TOR โครงการ TH-AI Passport กับประเด็น PDPA

ดร.อุดมธิปก ไพรเกษตร
นายกสมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย
ผู้ก่อตั้งสื่อ PDPA Thailand

เมื่อ 2 สัปดาห์ก่อนผมได้รับ TOR โครงการ TH-AI Passport จากเพื่อนท่านหนึ่ง แล้วให้ช่วยวิเคราะห์ในประเด็นที่เกี่ยวข้องกับ PDPA แม้ว่าจะเคยให้ความเห็นเรื่อง TH-AI Passport ในฐานะอนุกรรมการด้านการสื่อสาร โทรคมนาคม และเทคโนโลยีสารสนเทศ สภาผู้บริโภค เมื่อวันที่ 3 มิถุนายน ซึ่งท่านสามารถอ่านได้จาก https://www.tcc.or.th/free-ai-criteria/

และเมื่ออ่าน TOR โครงการ TH-AI Passport อย่างละเอียด ผมพบว่าโครงการมีการประมวลผลข้อมูลส่วนบุคคลขนาดใหญ่เพราะนอกจากมีการยืนยันตัวตนผ่านระบบรัฐ การใช้เลขประจำตัวประชาชนแล้วยังมีการจัดเก็บข้อมูลพฤติกรรมการใช้ Generative AI การประเมินทักษะ การออกใบรับรองดิจิทัล การจัดเก็บ log file การใช้ cloud และการเชื่อมต่อกับผู้ให้บริการ AI หลายราย

สิ่งที่ TOR เขียนไว้ดีแล้ว

TOR ฉบับนี้มีหลายข้อที่เป็นจุดเริ่มต้นที่ดีด้านการคุ้มครองข้อมูลส่วนบุคคล เช่น

มีการระบุชัดว่าโครงการเกี่ยวข้องกับข้อมูลส่วนบุคคลและข้อมูลพฤติกรรมการใช้งาน AI กำหนดให้ข้อมูลถูกจัดเก็บและประมวลผลภายในประเทศ ห้ามโอนข้อมูลออกนอกประเทศโดยไม่ได้รับอนุญาต กำหนดให้ขอความยินยอมตาม PDPA และให้ลบหรือทำลายข้อมูลเมื่อเจ้าของข้อมูลใช้สิทธิตามกฎหมาย

นอกจากนี้ TOR ยังระบุเรื่อง RBAC, Audit Trail, encryption, backup, access control, vulnerability scan, penetration test และมาตรฐานด้าน cloud เช่น ISO/IEC 27001, 27701, 27017 และ 27018 รวมถึงกำหนดให้ cloud provider มี DPO และห้ามผู้รับจ้างนำข้อมูลไปใช้เพื่อกิจการอื่น

ข้อกำหนดเหล่านี้ถือเป็นจุดเริ่มต้นที่ดี แต่ยังมีหลายประเด็นที่ควรเพิ่มเติมเพื่อไม่ให้ PDPA เป็นเพียงข้อกำหนดด้านเทคนิคหรือเอกสารประกอบโครงการเท่านั้น

สิ่งที่ควรเพิ่ม

แม้โครงการจะจัดซื้อจัดจ้างไปแล้ว หากสามารถเพิ่มเอกสารและกลไกด้าน PDPA เพิ่มเติมบางส่วนได้ จะช่วยลดความเสี่ยงและทำให้โครงการเป็นต้นแบบของรัฐในการใช้ AI อย่างรับผิดชอบ

สิ่งที่ควรมีเพิ่มเติม ได้แก่

  1. Role Mapping ระบุผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล ผู้ควบคุมร่วม และผู้ประมวลผลช่วง
  2. Lawful Basis Mapping แยกตามกิจกรรม ไม่ใช้ consent รวมทุกเรื่อง
  3. Privacy Notice ตามมาตรา 23 แบบแยกตามกิจกรรม
  4. Data Processing Agreement ระหว่าง สดช. กับผู้รับจ้าง และข้อตกลงกับ sub-processor
  5. Data Sharing Agreement หรือ Joint Controller Arrangement กับหน่วยงานที่เชื่อมข้อมูล
  6. DPIA และ AI Risk Assessment ก่อนเปิดระบบจริง
  7. Cross-border Transfer Assessment สำหรับ AI vendor, cloud, public cloud และ remote access
  8. RoPA ตามมาตรา 39 และ processor record ตามมาตรา 40
  9. DPO Governance ทั้งฝั่ง สดช. ผู้รับจ้างหลัก และ vendor สำคัญ
  10. Data Subject Rights Workflow รองรับสิทธิของเจ้าของข้อมูลครบถ้วน
  11. Retention, Deletion และ Anonymization Schedule แยกตามประเภทข้อมูล
  12. AI Data Governance Policy สำหรับ prompt, uploaded file, chat history, AI Agent, model training และ usage analytics

เนื่องจากผมไม่ได้เกี่ยวข้องกับการดำเนินโครงการ จึงไม่อาจยืนยันได้ว่าโครงการได้จัดทำเอกสารหรือกลไกเหล่านี้แล้วหรือไม่ หากดำเนินการไว้แล้วควรมีการชี้แจงเพิ่มเติมเพื่อสร้างความเชื่อมั่นให้กับประชาชนและสังคม

หัวใจของ TOR นี้คือข้อ 2.2 และข้อมูลพฤติกรรมการใช้ AI

TOR หน้า 2 ข้อ 2.2 ระบุว่าโครงการต้องส่งเสริมให้ข้อมูลส่วนบุคคลและข้อมูลพฤติกรรมการใช้งาน Generative AI ถูกจัดเก็บและประมวลผลภายในประเทศไทย และยกระดับการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายไทยให้สูงสุด

ข้อความนี้สำคัญ เพราะทำให้เห็นว่าโครงการนี้มีการประมวลผลข้อมูลส่วนบุคคลอย่างชัดเจน ไม่ใช่เพียงข้อมูลลงทะเบียนทั่วไป แต่รวมถึงข้อมูลพฤติกรรมการใช้ AI ซึ่งอาจสะท้อนความสนใจ ความรู้ ความสามารถ คำถาม ปัญหา เอกสารที่ผู้ใช้ส่งเข้าไป และรูปแบบการใช้งาน AI ของแต่ละบุคคล

หากข้อมูลเหล่านี้เชื่อมโยงกลับไปยังบุคคลได้ จึงเป็นข้อมูลส่วนบุคคลตามมาตรา 6 ของ PDPA ดังนั้น TOR ทั้งฉบับจึงควรถูกพิจารณาภายใต้กรอบ PDPA ตั้งแต่ต้น

คำถามที่ต้องตอบให้ได้คือ ใครเป็นผู้ควบคุมข้อมูล ใครเป็นผู้ประมวลผล ใช้ฐานกฎหมายใด แจ้งเจ้าของข้อมูลอย่างไร ส่งต่อให้ใคร เก็บไว้ที่ไหน และลบเมื่อไร

ใครเป็นผู้ควบคุมข้อมูล ใครเป็นผู้ประมวลผล

เมื่อเทียบกับมาตรา 6 ของ PDPA สดช. เป็นผู้ควบคุมข้อมูลส่วนบุคคลหลักของโครงการ เพราะเป็นผู้กำหนดวัตถุประสงค์ กลุ่มเป้าหมาย ระบบที่ต้องมี ข้อมูลที่ต้องจัดเก็บ รายงานที่ต้องส่งมอบ และเงื่อนไขการใช้ข้อมูล

ส่วนผู้รับจ้างหลักควรถูกมองเป็นผู้ประมวลผลข้อมูลส่วนบุคคล เพราะทำหน้าที่พัฒนา จัดหา และให้บริการแพลตฟอร์มตาม TOR เช่น ระบบลงทะเบียน ระบบ Generative AI ระบบการเรียนรู้ dashboard, call center, cloud, security และระบบรายงานผล

อย่างไรก็ตาม โครงการยังเกี่ยวข้องกับหลายฝ่าย เช่น DGA, ThaiD, ฐานข้อมูลนักศึกษา ผู้ให้บริการ Generative AI, cloud, public cloud, call center, survey, ผู้จัดกิจกรรม และ social media platform

ฝ่ายเหล่านี้อาจมีสถานะต่างกัน บางรายเป็น sub-processor บางรายเป็นผู้ควบคุมข้อมูลอิสระ และบางกรณีอาจเป็นผู้ควบคุมข้อมูลร่วม จึงควรมี Role Mapping ที่ชัดเจนก่อนเริ่มประมวลผลข้อมูลจริง

ระบบลงทะเบียน เลขบัตรประชาชน และการยืนยันตัวตนรัฐ

TOR หน้า 5 ข้อ 4.2.1.1 กำหนดให้ระบบลงทะเบียนและยืนยันตัวตนเชื่อมกับระบบทางรัฐของ DGA หรือ ThaiD และตรวจสอบเลขประจำตัวประชาชนเพื่อป้องกันการใช้สิทธิซ้ำ

เรื่องนี้ไม่ใช่เพียงประเด็นเทคนิค เพราะเลขประจำตัวประชาชนเป็นข้อมูลส่วนบุคคลที่มีความเสี่ยงสูง หากรั่วไหลอาจนำไปสู่การสวมรอยหรือความเสียหายอื่นได้

การเชื่อมกับระบบรัฐยังอาจเกี่ยวข้องกับการเก็บข้อมูลจากแหล่งอื่นตามมาตรา 25 และการเปิดเผยหรือใช้ข้อมูลระหว่างหลายหน่วยงานตามมาตรา 27 จึงควรมีข้อตกลงการเชื่อมโยงข้อมูลที่ชัดเจน

นอกจากนี้ การตรวจสอบสิทธิหรือการระงับสิทธิควรมีความโปร่งใส มีช่องทางให้เจ้าของข้อมูลตรวจสอบและแก้ไข หากข้อมูลผิดพลาดจนทำให้ถูกปฏิเสธสิทธิในการใช้บริการ

Consent ไม่ใช่ฐานกฎหมายเดียวของโครงการ

TOR หน้า 5 ข้อ 4.2.1.7(1) กำหนดให้ขอความยินยอมจากผู้ใช้งานก่อนจัดเก็บและประมวลผลข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลพฤติกรรมการใช้งาน
ข้อนี้สะท้อนว่า TOR ให้ความสำคัญกับ PDPA แต่ในเชิงกฎหมายต้องระวังว่า consent ไม่ใช่ฐานกฎหมายเดียวของทุกกิจกรรม

PDPA มาตรา 24 ยังมีฐานกฎหมายอื่น เช่น การปฏิบัติตามกฎหมาย ภารกิจเพื่อประโยชน์สาธารณะ การใช้อำนาจรัฐ การปฏิบัติตามสัญญา หรือประโยชน์โดยชอบด้วยกฎหมาย
กิจกรรมอย่างการลงทะเบียน ตรวจสิทธิ ยืนยันตัวตน ป้องกันสิทธิซ้ำ จัดสรรเครดิต AI จัดทำรายงานผลโครงการ รักษาความปลอดภัย และเก็บ log อาจไม่ควรใช้ consent เป็นฐานหลักทั้งหมด

หากไม่ consent แล้วใช้บริการไม่ได้เลย ความยินยอมนั้นอาจถูกตั้งคำถามว่าเป็นอิสระเพียงพอหรือไม่ ทางที่เหมาะสมคือจัดทำ Lawful Basis Mapping แยกตามกิจกรรม และใช้ consent เฉพาะกิจกรรมที่ไม่จำเป็นต่อบริการหลัก เช่น การใช้ภาพประชาสัมพันธ์รายบุคคล หรือการนำข้อมูลไปใช้พัฒนาโมเดล

Privacy Notice ต้องมาก่อน

เมื่อ TOR ระบุว่ามีการเก็บข้อมูลส่วนบุคคลและข้อมูลพฤติกรรมการใช้ AI โครงการต้องจัดทำ Privacy Notice ตามมาตรา 23 ให้ครบถ้วน

Privacy Notice ไม่ควรเขียนกว้าง ๆ ว่า “เก็บข้อมูลเพื่อดำเนินโครงการ” แต่ควรแยกตามกิจกรรม เช่น การลงทะเบียน การตรวจสิทธิ การใช้ Generative AI การเก็บ prompt, file upload, chat history, การสร้าง AI Agent, การเรียนออนไลน์ การออก e-certificate, dashboard, call center, survey, กิจกรรมประชาสัมพันธ์ และการเก็บ log file

แต่ละกิจกรรมควรระบุให้ชัดว่าเก็บข้อมูลอะไร เพื่ออะไร ใช้ฐานกฎหมายใด เปิดเผยให้ใคร เก็บไว้นานเท่าไร ส่งออกนอกประเทศหรือไม่ เจ้าของข้อมูลมีสิทธิอะไร และติดต่อ DPO ได้อย่างไร
นี่คือความแตกต่างระหว่างการมีเพียง consent checkbox กับการมีระบบคุ้มครองข้อมูลส่วนบุคคลจริง

การใช้ Generative AI และข้อมูลพฤติกรรมที่มีความเสี่ยงสูง

TOR หน้า 6 ข้อ 4.2.2.1 กำหนดให้แพลตฟอร์มรองรับ Generative AI หลายผลิตภัณฑ์ การสนทนา การ upload file การจัดการประวัติสนทนา การสร้าง AI Agent และการสร้างภาพ

ในมุม PDPA ส่วนนี้เป็นพื้นที่ความเสี่ยงสูง เพราะ prompt อาจมีข้อมูลส่วนบุคคลของผู้ใช้หรือบุคคลอื่น ไฟล์ที่ upload อาจมีข้อมูลลูกค้า นักเรียน ผู้ป่วย พนักงาน หรือคู่สัญญา ส่วน chat history อาจสะท้อนความสนใจ ความคิด ปัญหาสุขภาพ ปัญหาทางการเงิน หรือประเด็นละเอียดอ่อนของผู้ใช้
แม้ TOR ไม่ได้ตั้งใจเก็บข้อมูลอ่อนไหว แต่การเปิดให้ประชาชน upload file และพิมพ์ prompt ทำให้มีโอกาสที่ข้อมูลอ่อนไหวตามมาตรา 26 จะเข้าสู่ระบบโดยไม่ตั้งใจ

TOR จึงควรกำหนดมาตรการเฉพาะ เช่น คำเตือนก่อนใช้ระบบ ข้อห้ามนำข้อมูลอ่อนไหวเข้าระบบ data loss prevention, masking หรือ redaction, retention limit และข้อห้ามไม่ให้ vendor ใช้ข้อมูลผู้ใช้เพื่อ train model โดยไม่มีฐานกฎหมายที่ชัดเจน

Dashboard การวิเคราะห์รายบุคคล และ DPIA

TOR หน้า 7 ข้อ 4.2.2.3 และ 4.2.2.4 กำหนดให้ระบบประเมินภัยคุกคาม การใช้งานผิดกฎหมาย การใช้งานผิดวัตถุประสงค์ และความเสี่ยงรายบุคคลหรือรายกลุ่ม รวมถึงวิเคราะห์พฤติกรรมและแนวโน้มการใช้งาน

TOR หน้า 8 ข้อ 4.2.4.6 ยังระบุเรื่องรายงานผลการใช้งาน AI รายงานพฤติกรรมการใช้งาน แนวโน้มรายบุคคลและกลุ่มผู้ใช้งาน รวมถึงรายงานภัยคุกคามหรือความเสี่ยงในการใช้ Generative AI
นี่ไม่ใช่เพียง dashboard จำนวนผู้ใช้ แต่เป็นการวิเคราะห์พฤติกรรมของผู้ใช้ในระดับรายบุคคลและรายกลุ่ม

โครงการจึงต้องตอบให้ได้ว่า การวิเคราะห์ระดับรายบุคคลจำเป็นแค่ไหน ใช้ข้อมูลแบบ aggregate แทนได้หรือไม่ ใครเข้าถึง dashboard ได้ มี audit trail หรือไม่ และหากมีการระงับสิทธิจากข้อมูลหรือคะแนนความเสี่ยง เจ้าของข้อมูลมีช่องทางทบทวนอย่างไร

ในเชิง PDPA ประเด็นนี้เกี่ยวข้องกับมาตรา 23, 24, 37, 39 และ 41 และควรทำ DPIA หรือ Data Protection Impact Assessment แม้ PDPA ไทยยังไม่ได้กำหนด DPIA เป็นหน้าที่ทั่วไปโดยตรง เพราะโครงการที่ใช้ AI กับประชาชนจำนวนมากและมีการวิเคราะห์พฤติกรรมรายบุคคลควรจัดอยู่ในกลุ่มความเสี่ยงสูง

Data Localization ในยุค Generative AI

TOR ระบุเรื่อง Data Localization หลายจุด เช่น ข้อ 2.2 กำหนดให้ข้อมูลส่วนบุคคลและข้อมูลพฤติกรรมการใช้ AI อยู่ในประเทศไทย ข้อ 4.2.1.7(2) กำหนดให้ข้อมูลลงทะเบียนจัดเก็บและประมวลผลในประเทศ และข้อ 11.3.8 กำหนดเรื่องศูนย์ข้อมูลหลักในประเทศไทย

หลักการนี้สอดคล้องกับมาตรา 28 และ 29 ของ PDPA เรื่องการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

อย่างไรก็ตาม ในโลก Generative AI คำถามไม่จบที่ฐานข้อมูลลงทะเบียนอยู่ในไทย แต่ต้องถามต่อว่า prompt ถูกส่งไปที่ไหน ไฟล์ที่ upload ประมวลผลที่ใด chat history, metadata และ telemetry อยู่ประเทศใด มี sub-processor ต่างประเทศหรือไม่ และมี remote access จากต่างประเทศหรือไม่

ดังนั้น Data Localization ควรถูกตรวจสอบในหลายมิติ ทั้งที่เก็บข้อมูล สถานที่ประมวลผล สถานที่เข้าถึงข้อมูล ผู้รับจ้างช่วง และการโอนข้อมูลข้ามประเทศ

DPA, DSA, RoPA และ Processor Record

TOR หน้า 17 ข้อ 4.6 ระบุให้ผู้รับจ้างจัดทำเอกสารด้านกฎหมาย เช่น PDPA และข้อตกลงที่เกี่ยวข้อง แต่สำหรับโครงการขนาดนี้ ยังควรกำหนดให้ชัดเจนขึ้น เช่น

ควรมี Data Processing Agreement ระหว่าง สดช. กับผู้รับจ้างหลัก และระหว่างผู้รับจ้างหลักกับ sub-processor โดยระบุคำสั่งในการประมวลผล ข้อห้ามใช้ข้อมูลนอกวัตถุประสงค์ มาตรการ security การแจ้งเหตุละเมิดข้อมูล การช่วยรองรับสิทธิของเจ้าของข้อมูล การลบหรือคืนข้อมูลเมื่อสิ้นสุดสัญญา และการขออนุมัติ sub-processor

ควรมี Data Sharing Agreement สำหรับการเชื่อมข้อมูลกับ DGA, ThaiD, ฐานข้อมูลนักศึกษา หน่วยงานภายนอก หรือ platform อื่นที่มีสถานะเป็น controller-to-controller

นอกจากนี้ สดช. ควรจัดทำ RoPA ตามมาตรา 39 สำหรับกิจกรรมสำคัญ เช่น ลงทะเบียน ตรวจสิทธิ ใช้งาน AI เก็บ prompt/file/chat history วิเคราะห์พฤติกรรม เรียนออนไลน์ ออก e-certificate, call center, กิจกรรมประชาสัมพันธ์ และเชื่อมต่อผู้ให้บริการภายนอก

ผู้รับจ้างหลักและผู้รับจ้างช่วงก็ควรมี processor record ตามมาตรา 40 เพื่อแสดงว่าประมวลผลข้อมูลอะไร ในนามของใคร เพื่ออะไร และมีมาตรการรักษาความมั่นคงปลอดภัยอย่างไร

Security และเหตุละเมิดข้อมูลส่วนบุคคล

TOR มีข้อกำหนดด้าน security หลายข้อ เช่น RBAC, Audit Trail, encryption, backup/recovery, access control, penetration test, vulnerability scan, attack simulation และมาตรฐาน ISO/IEC 27001, 27701, 27017 และ 27018 สำหรับ cloud

ข้อกำหนดเหล่านี้สอดคล้องกับมาตรา 37 ของ PDPA และกฎหมายลำดับรองเรื่องมาตรการรักษาความมั่นคงปลอดภัย

แต่ TOR ควรเพิ่ม Personal Data Breach Response Procedure ให้ชัดเจน โดยกำหนดขั้นตอนแจ้งเหตุจาก sub-processor ไปยังผู้รับจ้างหลัก จากผู้รับจ้างหลักไปยัง สดช. และจาก สดช. ไปยังสำนักงาน PDPC และเจ้าของข้อมูลในกรณีที่กฎหมายกำหนด

ระบบนี้มีผู้ใช้จำนวนมาก ผู้ให้บริการหลายชั้น และข้อมูลพฤติกรรมจำนวนมาก การตอบสนองเหตุละเมิดข้อมูลจึงต้องเตรียมไว้ก่อนเกิดเหตุ ไม่ใช่รอให้เกิดเหตุแล้วค่อยวางกระบวนการ

สิทธิของเจ้าของข้อมูลและระยะเวลาเก็บรักษา

TOR หน้า 6 ข้อ 4.2.1.7(3) กำหนดให้ระบบลบหรือทำลายข้อมูลเมื่อผู้ใช้ต้องการใช้สิทธิตาม PDPA ซึ่งเป็นจุดเริ่มต้นที่ดี

แต่ PDPA ไม่ได้มีเพียงสิทธิลบข้อมูล เจ้าของข้อมูลยังมีสิทธิรับทราบข้อมูล สิทธิเข้าถึง สิทธิขอสำเนา สิทธิแก้ไข สิทธิคัดค้าน สิทธิขอระงับการใช้ สิทธิถอน consent และสิทธิร้องเรียน

โดยเฉพาะเมื่อระบบมีการวิเคราะห์พฤติกรรมและประเมินความเสี่ยงรายบุคคล เจ้าของข้อมูลควรรู้ได้ว่าข้อมูลใดถูกใช้ และมีช่องทางขอทบทวนหรือแก้ไขหากข้อมูลไม่ถูกต้อง

อีกประเด็นหนึ่งคือ ข้อมูลบางประเภทอาจลบไม่ได้ทันที เช่น log file ข้อมูลที่ต้องเก็บตามกฎหมายจัดซื้อจัดจ้าง หรือข้อมูลที่จำเป็นต่อการตรวจสอบการใช้สิทธิ โครงการจึงควรมี Retention Schedule และ Deletion Exception Matrix แยกตามประเภทข้อมูล

DPO ของ สดช. และผู้รับจ้าง

TOR หน้า 28 ข้อ 11.3.4 ระบุให้ cloud provider มี DPO ตาม PDPA ซึ่งเป็นข้อกำหนดที่ดี แต่ยังไม่ควรหยุดเพียงเท่านี้

โครงการนี้มี สดช. เป็นหน่วยงานรัฐและเป็นผู้ควบคุมข้อมูลส่วนบุคคลหลัก จึงควรมี DPO เข้าร่วมตั้งแต่ช่วงออกแบบและกำกับโครงการ

ผู้รับจ้างหลักที่ประมวลผลข้อมูลประชาชนจำนวนมากและเกี่ยวข้องกับการติดตามพฤติกรรมการใช้ AI ก็ควรมี DPO หรืออย่างน้อย privacy lead ที่มีบทบาทชัดเจน

DPO ควรตรวจ lawful basis, Privacy Notice, RoPA, DPA/DSA, data flow, DPIA, sub-processor, cross-border transfer, security และการรองรับสิทธิของเจ้าของข้อมูล ไม่ใช่มีชื่อไว้เฉพาะในเอกสาร

ข้อมูลส่วนบุคคลในกิจกรรมเกี่ยวกับ Call Center, Survey, กิจกรรม และประชาสัมพันธ์

ข้อมูลส่วนบุคคลของโครงการไม่ได้อยู่เฉพาะในระบบลงทะเบียนและแพลตฟอร์ม AI

TOR หน้า 16 ข้อ 4.4.4 กำหนดให้มี Call Center & Help Desk รับเรื่องร้องเรียนผ่านโทรศัพท์ อีเมล และ chatbot พร้อมกำหนดให้จัดเก็บข้อมูลผู้ใช้บริการอย่างปลอดภัยตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

TOR หน้า 17 ข้อ 4.5 กำหนดเรื่องการสำรวจความพึงพอใจ ความเชื่อมั่น และผลกระทบเชิงเศรษฐกิจและสังคม

TOR หน้า 9-16 ยังมีเรื่องกิจกรรมประชาสัมพันธ์ งานแถลงข่าว bootcamp, competition, การถ่ายภาพ วิดีโอ live stream และการเผยแพร่ผ่านเว็บไซต์หรือ social media
กิจกรรมเหล่านี้ต้องมี Privacy Notice, lawful basis, retention และมาตรการจำกัดการเข้าถึงข้อมูลเช่นเดียวกับข้อมูลในระบบหลัก

ข้อมูลบุคลากรของผู้รับจ้าง เช่น ชื่อ อายุ เลขประจำตัวประชาชน การศึกษา และประสบการณ์ ที่ใช้ยื่นประกอบข้อเสนอ ก็เป็นข้อมูลส่วนบุคคลเช่นกัน ผู้รับจ้างควรแจ้งบุคลากรของตน และ สดช. ควรกำหนดมาตรการเก็บรักษาและระยะเวลาเก็บอย่างเหมาะสม

ข้อห้ามใช้ข้อมูลนอกวัตถุประสงค์ต้องครอบคลุมผู้ให้บริการ AI

TOR หน้า 17 ข้อ 4.10 กำหนดว่าผู้รับจ้างต้องไม่นำข้อมูลที่เกิดขึ้นในโครงการและข้อมูลของผู้ร่วมโครงการไปใช้เพื่อกิจการอื่นนอกเหนือจากที่ได้รับอนุญาตจาก สดช.

TOR หน้า 30 ข้อ 14 และหน้า 31 ข้อ 15 ยังระบุเรื่องความลับ กรรมสิทธิ์ของข้อมูล และความรับผิดหากละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ข้อเหล่านี้ดีในเชิงสัญญา แต่ในบริบท AI ควรเขียนให้ชัดว่า ห้ามนำ prompt, uploaded file, chat history, usage data, metadata, telemetry, assessment result และ dashboard data ไปใช้เพื่อ train model, fine-tune model, improve product, commercial analytics, benchmarking, advertising หรือส่งต่อให้บุคคลภายนอก โดยไม่มีฐานกฎหมายและไม่ได้รับอนุญาตอย่างชัดเจน

ความเสี่ยงของ AI ไม่ใช่แค่ข้อมูลถูกเปิดเผย แต่รวมถึงการนำข้อมูลไปใช้ต่อในระบบหรือโมเดลโดยเจ้าของข้อมูลไม่รู้และตรวจสอบได้ยาก

จาก AI Passport สู่ AI ที่ประชาชนเชื่อมั่นได้

เนื่องจากโครงการ TH-AI Passport นี้ทาง สดช. คาดหวังว่าจะช่วยให้ประชาชนไทยเข้าถึง Generative AI ลดความเหลื่อมล้ำทางดิจิทัล และสร้าง AI literacy ในวงกว้าง

แต่ในอีกด้านหนึ่ง โครงการนี้อาจกลายเป็นจุดรวมข้อมูลพฤติกรรมการใช้ AI ของประชาชนจำนวนมาก

ดังนั้น PDPA จึงไม่ควรถูกมองเป็นภาระของโครงการ แต่ควรถูกใช้เป็นกรอบสร้างความเชื่อมั่นว่า การใช้ AI ผ่านโครงการของรัฐจะไม่ทำให้ข้อมูลของประชาชนถูกติดตาม วิเคราะห์ ส่งต่อ หรือใช้ซ้ำเกินวัตถุประสงค์

หลักที่ควรใช้กับโครงการนี้คือ มีฐานกฎหมายชัดเจน ใช้ข้อมูลเท่าที่จำเป็น ได้สัดส่วน ตรวจสอบได้ และปลอดภัย

คำถามของโครงการนี้จึงไม่ใช่เพียงว่า “รัฐจะทำให้ประชาชนใช้ AI ได้มากขึ้นอย่างไร”

แต่คือ “รัฐจะทำให้ประชาชนใช้ AI ได้ โดยยังมั่นใจว่าข้อมูลส่วนบุคคลของตนได้รับการคุ้มครองอย่างเพียงพอหรือไม่”

เอกสาร TOR TH-AI Passport  >>ดาวน์โหลด<<

ดร.อุดมธิปก ไพรเกษตร
นายกสมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย
ผู้ก่อตั้งสื่อ PDPA Thailand

ดร.อุดมธิปก ไพรเกษตร
นายกสมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย
ผู้ก่อตั้งสื่อ PDPA Thailand

เมื่อ 2 สัปดาห์ก่อนผมได้รับ TOR โครงการ TH-AI Passport จากเพื่อนท่านหนึ่ง แล้วให้ช่วยวิเคราะห์ในประเด็นที่เกี่ยวข้องกับ PDPA แม้ว่าจะเคยให้ความเห็นเรื่อง TH-AI Passport ในฐานะอนุกรรมการด้านการสื่อสาร โทรคมนาคม และเทคโนโลยีสารสนเทศ สภาผู้บริโภค เมื่อวันที่ 3 มิถุนายน ซึ่งท่านสามารถอ่านได้จาก https://www.tcc.or.th/free-ai-criteria/

และเมื่ออ่าน TOR โครงการ TH-AI Passport อย่างละเอียด ผมพบว่าโครงการมีการประมวลผลข้อมูลส่วนบุคคลขนาดใหญ่เพราะนอกจากมีการยืนยันตัวตนผ่านระบบรัฐ การใช้เลขประจำตัวประชาชนแล้วยังมีการจัดเก็บข้อมูลพฤติกรรมการใช้ Generative AI การประเมินทักษะ การออกใบรับรองดิจิทัล การจัดเก็บ log file การใช้ cloud และการเชื่อมต่อกับผู้ให้บริการ AI หลายราย

สิ่งที่ TOR เขียนไว้ดีแล้ว

TOR ฉบับนี้มีหลายข้อที่เป็นจุดเริ่มต้นที่ดีด้านการคุ้มครองข้อมูลส่วนบุคคล เช่น

มีการระบุชัดว่าโครงการเกี่ยวข้องกับข้อมูลส่วนบุคคลและข้อมูลพฤติกรรมการใช้งาน AI กำหนดให้ข้อมูลถูกจัดเก็บและประมวลผลภายในประเทศ ห้ามโอนข้อมูลออกนอกประเทศโดยไม่ได้รับอนุญาต กำหนดให้ขอความยินยอมตาม PDPA และให้ลบหรือทำลายข้อมูลเมื่อเจ้าของข้อมูลใช้สิทธิตามกฎหมาย

นอกจากนี้ TOR ยังระบุเรื่อง RBAC, Audit Trail, encryption, backup, access control, vulnerability scan, penetration test และมาตรฐานด้าน cloud เช่น ISO/IEC 27001, 27701, 27017 และ 27018 รวมถึงกำหนดให้ cloud provider มี DPO และห้ามผู้รับจ้างนำข้อมูลไปใช้เพื่อกิจการอื่น

ข้อกำหนดเหล่านี้ถือเป็นจุดเริ่มต้นที่ดี แต่ยังมีหลายประเด็นที่ควรเพิ่มเติมเพื่อไม่ให้ PDPA เป็นเพียงข้อกำหนดด้านเทคนิคหรือเอกสารประกอบโครงการเท่านั้น

สิ่งที่ควรเพิ่ม

แม้โครงการจะจัดซื้อจัดจ้างไปแล้ว หากสามารถเพิ่มเอกสารและกลไกด้าน PDPA เพิ่มเติมบางส่วนได้ จะช่วยลดความเสี่ยงและทำให้โครงการเป็นต้นแบบของรัฐในการใช้ AI อย่างรับผิดชอบ

สิ่งที่ควรมีเพิ่มเติม ได้แก่

  1. Role Mapping ระบุผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล ผู้ควบคุมร่วม และผู้ประมวลผลช่วง
  2. Lawful Basis Mapping แยกตามกิจกรรม ไม่ใช้ consent รวมทุกเรื่อง
  3. Privacy Notice ตามมาตรา 23 แบบแยกตามกิจกรรม
  4. Data Processing Agreement ระหว่าง สดช. กับผู้รับจ้าง และข้อตกลงกับ sub-processor
  5. Data Sharing Agreement หรือ Joint Controller Arrangement กับหน่วยงานที่เชื่อมข้อมูล
  6. DPIA และ AI Risk Assessment ก่อนเปิดระบบจริง
  7. Cross-border Transfer Assessment สำหรับ AI vendor, cloud, public cloud และ remote access
  8. RoPA ตามมาตรา 39 และ processor record ตามมาตรา 40
  9. DPO Governance ทั้งฝั่ง สดช. ผู้รับจ้างหลัก และ vendor สำคัญ
  10. Data Subject Rights Workflow รองรับสิทธิของเจ้าของข้อมูลครบถ้วน
  11. Retention, Deletion และ Anonymization Schedule แยกตามประเภทข้อมูล
  12. AI Data Governance Policy สำหรับ prompt, uploaded file, chat history, AI Agent, model training และ usage analytics

เนื่องจากผมไม่ได้เกี่ยวข้องกับการดำเนินโครงการ จึงไม่อาจยืนยันได้ว่าโครงการได้จัดทำเอกสารหรือกลไกเหล่านี้แล้วหรือไม่ หากดำเนินการไว้แล้วควรมีการชี้แจงเพิ่มเติมเพื่อสร้างความเชื่อมั่นให้กับประชาชนและสังคม

หัวใจของ TOR นี้คือข้อ 2.2 และข้อมูลพฤติกรรมการใช้ AI

TOR หน้า 2 ข้อ 2.2 ระบุว่าโครงการต้องส่งเสริมให้ข้อมูลส่วนบุคคลและข้อมูลพฤติกรรมการใช้งาน Generative AI ถูกจัดเก็บและประมวลผลภายในประเทศไทย และยกระดับการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายไทยให้สูงสุด

ข้อความนี้สำคัญ เพราะทำให้เห็นว่าโครงการนี้มีการประมวลผลข้อมูลส่วนบุคคลอย่างชัดเจน ไม่ใช่เพียงข้อมูลลงทะเบียนทั่วไป แต่รวมถึงข้อมูลพฤติกรรมการใช้ AI ซึ่งอาจสะท้อนความสนใจ ความรู้ ความสามารถ คำถาม ปัญหา เอกสารที่ผู้ใช้ส่งเข้าไป และรูปแบบการใช้งาน AI ของแต่ละบุคคล

หากข้อมูลเหล่านี้เชื่อมโยงกลับไปยังบุคคลได้ จึงเป็นข้อมูลส่วนบุคคลตามมาตรา 6 ของ PDPA ดังนั้น TOR ทั้งฉบับจึงควรถูกพิจารณาภายใต้กรอบ PDPA ตั้งแต่ต้น

คำถามที่ต้องตอบให้ได้คือ ใครเป็นผู้ควบคุมข้อมูล ใครเป็นผู้ประมวลผล ใช้ฐานกฎหมายใด แจ้งเจ้าของข้อมูลอย่างไร ส่งต่อให้ใคร เก็บไว้ที่ไหน และลบเมื่อไร

ใครเป็นผู้ควบคุมข้อมูล ใครเป็นผู้ประมวลผล

เมื่อเทียบกับมาตรา 6 ของ PDPA สดช. เป็นผู้ควบคุมข้อมูลส่วนบุคคลหลักของโครงการ เพราะเป็นผู้กำหนดวัตถุประสงค์ กลุ่มเป้าหมาย ระบบที่ต้องมี ข้อมูลที่ต้องจัดเก็บ รายงานที่ต้องส่งมอบ และเงื่อนไขการใช้ข้อมูล

ส่วนผู้รับจ้างหลักควรถูกมองเป็นผู้ประมวลผลข้อมูลส่วนบุคคล เพราะทำหน้าที่พัฒนา จัดหา และให้บริการแพลตฟอร์มตาม TOR เช่น ระบบลงทะเบียน ระบบ Generative AI ระบบการเรียนรู้ dashboard, call center, cloud, security และระบบรายงานผล

อย่างไรก็ตาม โครงการยังเกี่ยวข้องกับหลายฝ่าย เช่น DGA, ThaiD, ฐานข้อมูลนักศึกษา ผู้ให้บริการ Generative AI, cloud, public cloud, call center, survey, ผู้จัดกิจกรรม และ social media platform

ฝ่ายเหล่านี้อาจมีสถานะต่างกัน บางรายเป็น sub-processor บางรายเป็นผู้ควบคุมข้อมูลอิสระ และบางกรณีอาจเป็นผู้ควบคุมข้อมูลร่วม จึงควรมี Role Mapping ที่ชัดเจนก่อนเริ่มประมวลผลข้อมูลจริง

ระบบลงทะเบียน เลขบัตรประชาชน และการยืนยันตัวตนรัฐ

TOR หน้า 5 ข้อ 4.2.1.1 กำหนดให้ระบบลงทะเบียนและยืนยันตัวตนเชื่อมกับระบบทางรัฐของ DGA หรือ ThaiD และตรวจสอบเลขประจำตัวประชาชนเพื่อป้องกันการใช้สิทธิซ้ำ

เรื่องนี้ไม่ใช่เพียงประเด็นเทคนิค เพราะเลขประจำตัวประชาชนเป็นข้อมูลส่วนบุคคลที่มีความเสี่ยงสูง หากรั่วไหลอาจนำไปสู่การสวมรอยหรือความเสียหายอื่นได้

การเชื่อมกับระบบรัฐยังอาจเกี่ยวข้องกับการเก็บข้อมูลจากแหล่งอื่นตามมาตรา 25 และการเปิดเผยหรือใช้ข้อมูลระหว่างหลายหน่วยงานตามมาตรา 27 จึงควรมีข้อตกลงการเชื่อมโยงข้อมูลที่ชัดเจน

นอกจากนี้ การตรวจสอบสิทธิหรือการระงับสิทธิควรมีความโปร่งใส มีช่องทางให้เจ้าของข้อมูลตรวจสอบและแก้ไข หากข้อมูลผิดพลาดจนทำให้ถูกปฏิเสธสิทธิในการใช้บริการ

Consent ไม่ใช่ฐานกฎหมายเดียวของโครงการ

TOR หน้า 5 ข้อ 4.2.1.7(1) กำหนดให้ขอความยินยอมจากผู้ใช้งานก่อนจัดเก็บและประมวลผลข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลพฤติกรรมการใช้งาน
ข้อนี้สะท้อนว่า TOR ให้ความสำคัญกับ PDPA แต่ในเชิงกฎหมายต้องระวังว่า consent ไม่ใช่ฐานกฎหมายเดียวของทุกกิจกรรม

PDPA มาตรา 24 ยังมีฐานกฎหมายอื่น เช่น การปฏิบัติตามกฎหมาย ภารกิจเพื่อประโยชน์สาธารณะ การใช้อำนาจรัฐ การปฏิบัติตามสัญญา หรือประโยชน์โดยชอบด้วยกฎหมาย
กิจกรรมอย่างการลงทะเบียน ตรวจสิทธิ ยืนยันตัวตน ป้องกันสิทธิซ้ำ จัดสรรเครดิต AI จัดทำรายงานผลโครงการ รักษาความปลอดภัย และเก็บ log อาจไม่ควรใช้ consent เป็นฐานหลักทั้งหมด

หากไม่ consent แล้วใช้บริการไม่ได้เลย ความยินยอมนั้นอาจถูกตั้งคำถามว่าเป็นอิสระเพียงพอหรือไม่ ทางที่เหมาะสมคือจัดทำ Lawful Basis Mapping แยกตามกิจกรรม และใช้ consent เฉพาะกิจกรรมที่ไม่จำเป็นต่อบริการหลัก เช่น การใช้ภาพประชาสัมพันธ์รายบุคคล หรือการนำข้อมูลไปใช้พัฒนาโมเดล

Privacy Notice ต้องมาก่อน

เมื่อ TOR ระบุว่ามีการเก็บข้อมูลส่วนบุคคลและข้อมูลพฤติกรรมการใช้ AI โครงการต้องจัดทำ Privacy Notice ตามมาตรา 23 ให้ครบถ้วน

Privacy Notice ไม่ควรเขียนกว้าง ๆ ว่า “เก็บข้อมูลเพื่อดำเนินโครงการ” แต่ควรแยกตามกิจกรรม เช่น การลงทะเบียน การตรวจสิทธิ การใช้ Generative AI การเก็บ prompt, file upload, chat history, การสร้าง AI Agent, การเรียนออนไลน์ การออก e-certificate, dashboard, call center, survey, กิจกรรมประชาสัมพันธ์ และการเก็บ log file

แต่ละกิจกรรมควรระบุให้ชัดว่าเก็บข้อมูลอะไร เพื่ออะไร ใช้ฐานกฎหมายใด เปิดเผยให้ใคร เก็บไว้นานเท่าไร ส่งออกนอกประเทศหรือไม่ เจ้าของข้อมูลมีสิทธิอะไร และติดต่อ DPO ได้อย่างไร
นี่คือความแตกต่างระหว่างการมีเพียง consent checkbox กับการมีระบบคุ้มครองข้อมูลส่วนบุคคลจริง

การใช้ Generative AI และข้อมูลพฤติกรรมที่มีความเสี่ยงสูง

TOR หน้า 6 ข้อ 4.2.2.1 กำหนดให้แพลตฟอร์มรองรับ Generative AI หลายผลิตภัณฑ์ การสนทนา การ upload file การจัดการประวัติสนทนา การสร้าง AI Agent และการสร้างภาพ

ในมุม PDPA ส่วนนี้เป็นพื้นที่ความเสี่ยงสูง เพราะ prompt อาจมีข้อมูลส่วนบุคคลของผู้ใช้หรือบุคคลอื่น ไฟล์ที่ upload อาจมีข้อมูลลูกค้า นักเรียน ผู้ป่วย พนักงาน หรือคู่สัญญา ส่วน chat history อาจสะท้อนความสนใจ ความคิด ปัญหาสุขภาพ ปัญหาทางการเงิน หรือประเด็นละเอียดอ่อนของผู้ใช้
แม้ TOR ไม่ได้ตั้งใจเก็บข้อมูลอ่อนไหว แต่การเปิดให้ประชาชน upload file และพิมพ์ prompt ทำให้มีโอกาสที่ข้อมูลอ่อนไหวตามมาตรา 26 จะเข้าสู่ระบบโดยไม่ตั้งใจ

TOR จึงควรกำหนดมาตรการเฉพาะ เช่น คำเตือนก่อนใช้ระบบ ข้อห้ามนำข้อมูลอ่อนไหวเข้าระบบ data loss prevention, masking หรือ redaction, retention limit และข้อห้ามไม่ให้ vendor ใช้ข้อมูลผู้ใช้เพื่อ train model โดยไม่มีฐานกฎหมายที่ชัดเจน

Dashboard การวิเคราะห์รายบุคคล และ DPIA

TOR หน้า 7 ข้อ 4.2.2.3 และ 4.2.2.4 กำหนดให้ระบบประเมินภัยคุกคาม การใช้งานผิดกฎหมาย การใช้งานผิดวัตถุประสงค์ และความเสี่ยงรายบุคคลหรือรายกลุ่ม รวมถึงวิเคราะห์พฤติกรรมและแนวโน้มการใช้งาน

TOR หน้า 8 ข้อ 4.2.4.6 ยังระบุเรื่องรายงานผลการใช้งาน AI รายงานพฤติกรรมการใช้งาน แนวโน้มรายบุคคลและกลุ่มผู้ใช้งาน รวมถึงรายงานภัยคุกคามหรือความเสี่ยงในการใช้ Generative AI
นี่ไม่ใช่เพียง dashboard จำนวนผู้ใช้ แต่เป็นการวิเคราะห์พฤติกรรมของผู้ใช้ในระดับรายบุคคลและรายกลุ่ม

โครงการจึงต้องตอบให้ได้ว่า การวิเคราะห์ระดับรายบุคคลจำเป็นแค่ไหน ใช้ข้อมูลแบบ aggregate แทนได้หรือไม่ ใครเข้าถึง dashboard ได้ มี audit trail หรือไม่ และหากมีการระงับสิทธิจากข้อมูลหรือคะแนนความเสี่ยง เจ้าของข้อมูลมีช่องทางทบทวนอย่างไร

ในเชิง PDPA ประเด็นนี้เกี่ยวข้องกับมาตรา 23, 24, 37, 39 และ 41 และควรทำ DPIA หรือ Data Protection Impact Assessment แม้ PDPA ไทยยังไม่ได้กำหนด DPIA เป็นหน้าที่ทั่วไปโดยตรง เพราะโครงการที่ใช้ AI กับประชาชนจำนวนมากและมีการวิเคราะห์พฤติกรรมรายบุคคลควรจัดอยู่ในกลุ่มความเสี่ยงสูง

Data Localization ในยุค Generative AI

TOR ระบุเรื่อง Data Localization หลายจุด เช่น ข้อ 2.2 กำหนดให้ข้อมูลส่วนบุคคลและข้อมูลพฤติกรรมการใช้ AI อยู่ในประเทศไทย ข้อ 4.2.1.7(2) กำหนดให้ข้อมูลลงทะเบียนจัดเก็บและประมวลผลในประเทศ และข้อ 11.3.8 กำหนดเรื่องศูนย์ข้อมูลหลักในประเทศไทย

หลักการนี้สอดคล้องกับมาตรา 28 และ 29 ของ PDPA เรื่องการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

อย่างไรก็ตาม ในโลก Generative AI คำถามไม่จบที่ฐานข้อมูลลงทะเบียนอยู่ในไทย แต่ต้องถามต่อว่า prompt ถูกส่งไปที่ไหน ไฟล์ที่ upload ประมวลผลที่ใด chat history, metadata และ telemetry อยู่ประเทศใด มี sub-processor ต่างประเทศหรือไม่ และมี remote access จากต่างประเทศหรือไม่

ดังนั้น Data Localization ควรถูกตรวจสอบในหลายมิติ ทั้งที่เก็บข้อมูล สถานที่ประมวลผล สถานที่เข้าถึงข้อมูล ผู้รับจ้างช่วง และการโอนข้อมูลข้ามประเทศ

DPA, DSA, RoPA และ Processor Record

TOR หน้า 17 ข้อ 4.6 ระบุให้ผู้รับจ้างจัดทำเอกสารด้านกฎหมาย เช่น PDPA และข้อตกลงที่เกี่ยวข้อง แต่สำหรับโครงการขนาดนี้ ยังควรกำหนดให้ชัดเจนขึ้น เช่น

ควรมี Data Processing Agreement ระหว่าง สดช. กับผู้รับจ้างหลัก และระหว่างผู้รับจ้างหลักกับ sub-processor โดยระบุคำสั่งในการประมวลผล ข้อห้ามใช้ข้อมูลนอกวัตถุประสงค์ มาตรการ security การแจ้งเหตุละเมิดข้อมูล การช่วยรองรับสิทธิของเจ้าของข้อมูล การลบหรือคืนข้อมูลเมื่อสิ้นสุดสัญญา และการขออนุมัติ sub-processor

ควรมี Data Sharing Agreement สำหรับการเชื่อมข้อมูลกับ DGA, ThaiD, ฐานข้อมูลนักศึกษา หน่วยงานภายนอก หรือ platform อื่นที่มีสถานะเป็น controller-to-controller

นอกจากนี้ สดช. ควรจัดทำ RoPA ตามมาตรา 39 สำหรับกิจกรรมสำคัญ เช่น ลงทะเบียน ตรวจสิทธิ ใช้งาน AI เก็บ prompt/file/chat history วิเคราะห์พฤติกรรม เรียนออนไลน์ ออก e-certificate, call center, กิจกรรมประชาสัมพันธ์ และเชื่อมต่อผู้ให้บริการภายนอก

ผู้รับจ้างหลักและผู้รับจ้างช่วงก็ควรมี processor record ตามมาตรา 40 เพื่อแสดงว่าประมวลผลข้อมูลอะไร ในนามของใคร เพื่ออะไร และมีมาตรการรักษาความมั่นคงปลอดภัยอย่างไร

Security และเหตุละเมิดข้อมูลส่วนบุคคล

TOR มีข้อกำหนดด้าน security หลายข้อ เช่น RBAC, Audit Trail, encryption, backup/recovery, access control, penetration test, vulnerability scan, attack simulation และมาตรฐาน ISO/IEC 27001, 27701, 27017 และ 27018 สำหรับ cloud

ข้อกำหนดเหล่านี้สอดคล้องกับมาตรา 37 ของ PDPA และกฎหมายลำดับรองเรื่องมาตรการรักษาความมั่นคงปลอดภัย

แต่ TOR ควรเพิ่ม Personal Data Breach Response Procedure ให้ชัดเจน โดยกำหนดขั้นตอนแจ้งเหตุจาก sub-processor ไปยังผู้รับจ้างหลัก จากผู้รับจ้างหลักไปยัง สดช. และจาก สดช. ไปยังสำนักงาน PDPC และเจ้าของข้อมูลในกรณีที่กฎหมายกำหนด

ระบบนี้มีผู้ใช้จำนวนมาก ผู้ให้บริการหลายชั้น และข้อมูลพฤติกรรมจำนวนมาก การตอบสนองเหตุละเมิดข้อมูลจึงต้องเตรียมไว้ก่อนเกิดเหตุ ไม่ใช่รอให้เกิดเหตุแล้วค่อยวางกระบวนการ

สิทธิของเจ้าของข้อมูลและระยะเวลาเก็บรักษา

TOR หน้า 6 ข้อ 4.2.1.7(3) กำหนดให้ระบบลบหรือทำลายข้อมูลเมื่อผู้ใช้ต้องการใช้สิทธิตาม PDPA ซึ่งเป็นจุดเริ่มต้นที่ดี

แต่ PDPA ไม่ได้มีเพียงสิทธิลบข้อมูล เจ้าของข้อมูลยังมีสิทธิรับทราบข้อมูล สิทธิเข้าถึง สิทธิขอสำเนา สิทธิแก้ไข สิทธิคัดค้าน สิทธิขอระงับการใช้ สิทธิถอน consent และสิทธิร้องเรียน

โดยเฉพาะเมื่อระบบมีการวิเคราะห์พฤติกรรมและประเมินความเสี่ยงรายบุคคล เจ้าของข้อมูลควรรู้ได้ว่าข้อมูลใดถูกใช้ และมีช่องทางขอทบทวนหรือแก้ไขหากข้อมูลไม่ถูกต้อง

อีกประเด็นหนึ่งคือ ข้อมูลบางประเภทอาจลบไม่ได้ทันที เช่น log file ข้อมูลที่ต้องเก็บตามกฎหมายจัดซื้อจัดจ้าง หรือข้อมูลที่จำเป็นต่อการตรวจสอบการใช้สิทธิ โครงการจึงควรมี Retention Schedule และ Deletion Exception Matrix แยกตามประเภทข้อมูล

DPO ของ สดช. และผู้รับจ้าง

TOR หน้า 28 ข้อ 11.3.4 ระบุให้ cloud provider มี DPO ตาม PDPA ซึ่งเป็นข้อกำหนดที่ดี แต่ยังไม่ควรหยุดเพียงเท่านี้

โครงการนี้มี สดช. เป็นหน่วยงานรัฐและเป็นผู้ควบคุมข้อมูลส่วนบุคคลหลัก จึงควรมี DPO เข้าร่วมตั้งแต่ช่วงออกแบบและกำกับโครงการ

ผู้รับจ้างหลักที่ประมวลผลข้อมูลประชาชนจำนวนมากและเกี่ยวข้องกับการติดตามพฤติกรรมการใช้ AI ก็ควรมี DPO หรืออย่างน้อย privacy lead ที่มีบทบาทชัดเจน

DPO ควรตรวจ lawful basis, Privacy Notice, RoPA, DPA/DSA, data flow, DPIA, sub-processor, cross-border transfer, security และการรองรับสิทธิของเจ้าของข้อมูล ไม่ใช่มีชื่อไว้เฉพาะในเอกสาร

ข้อมูลส่วนบุคคลในกิจกรรมเกี่ยวกับ Call Center, Survey, กิจกรรม และประชาสัมพันธ์

ข้อมูลส่วนบุคคลของโครงการไม่ได้อยู่เฉพาะในระบบลงทะเบียนและแพลตฟอร์ม AI

TOR หน้า 16 ข้อ 4.4.4 กำหนดให้มี Call Center & Help Desk รับเรื่องร้องเรียนผ่านโทรศัพท์ อีเมล และ chatbot พร้อมกำหนดให้จัดเก็บข้อมูลผู้ใช้บริการอย่างปลอดภัยตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

TOR หน้า 17 ข้อ 4.5 กำหนดเรื่องการสำรวจความพึงพอใจ ความเชื่อมั่น และผลกระทบเชิงเศรษฐกิจและสังคม

TOR หน้า 9-16 ยังมีเรื่องกิจกรรมประชาสัมพันธ์ งานแถลงข่าว bootcamp, competition, การถ่ายภาพ วิดีโอ live stream และการเผยแพร่ผ่านเว็บไซต์หรือ social media
กิจกรรมเหล่านี้ต้องมี Privacy Notice, lawful basis, retention และมาตรการจำกัดการเข้าถึงข้อมูลเช่นเดียวกับข้อมูลในระบบหลัก

ข้อมูลบุคลากรของผู้รับจ้าง เช่น ชื่อ อายุ เลขประจำตัวประชาชน การศึกษา และประสบการณ์ ที่ใช้ยื่นประกอบข้อเสนอ ก็เป็นข้อมูลส่วนบุคคลเช่นกัน ผู้รับจ้างควรแจ้งบุคลากรของตน และ สดช. ควรกำหนดมาตรการเก็บรักษาและระยะเวลาเก็บอย่างเหมาะสม

ข้อห้ามใช้ข้อมูลนอกวัตถุประสงค์ต้องครอบคลุมผู้ให้บริการ AI

TOR หน้า 17 ข้อ 4.10 กำหนดว่าผู้รับจ้างต้องไม่นำข้อมูลที่เกิดขึ้นในโครงการและข้อมูลของผู้ร่วมโครงการไปใช้เพื่อกิจการอื่นนอกเหนือจากที่ได้รับอนุญาตจาก สดช.

TOR หน้า 30 ข้อ 14 และหน้า 31 ข้อ 15 ยังระบุเรื่องความลับ กรรมสิทธิ์ของข้อมูล และความรับผิดหากละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ข้อเหล่านี้ดีในเชิงสัญญา แต่ในบริบท AI ควรเขียนให้ชัดว่า ห้ามนำ prompt, uploaded file, chat history, usage data, metadata, telemetry, assessment result และ dashboard data ไปใช้เพื่อ train model, fine-tune model, improve product, commercial analytics, benchmarking, advertising หรือส่งต่อให้บุคคลภายนอก โดยไม่มีฐานกฎหมายและไม่ได้รับอนุญาตอย่างชัดเจน

ความเสี่ยงของ AI ไม่ใช่แค่ข้อมูลถูกเปิดเผย แต่รวมถึงการนำข้อมูลไปใช้ต่อในระบบหรือโมเดลโดยเจ้าของข้อมูลไม่รู้และตรวจสอบได้ยาก

จาก AI Passport สู่ AI ที่ประชาชนเชื่อมั่นได้

เนื่องจากโครงการ TH-AI Passport นี้ทาง สดช. คาดหวังว่าจะช่วยให้ประชาชนไทยเข้าถึง Generative AI ลดความเหลื่อมล้ำทางดิจิทัล และสร้าง AI literacy ในวงกว้าง

แต่ในอีกด้านหนึ่ง โครงการนี้อาจกลายเป็นจุดรวมข้อมูลพฤติกรรมการใช้ AI ของประชาชนจำนวนมาก

ดังนั้น PDPA จึงไม่ควรถูกมองเป็นภาระของโครงการ แต่ควรถูกใช้เป็นกรอบสร้างความเชื่อมั่นว่า การใช้ AI ผ่านโครงการของรัฐจะไม่ทำให้ข้อมูลของประชาชนถูกติดตาม วิเคราะห์ ส่งต่อ หรือใช้ซ้ำเกินวัตถุประสงค์

หลักที่ควรใช้กับโครงการนี้คือ มีฐานกฎหมายชัดเจน ใช้ข้อมูลเท่าที่จำเป็น ได้สัดส่วน ตรวจสอบได้ และปลอดภัย

คำถามของโครงการนี้จึงไม่ใช่เพียงว่า “รัฐจะทำให้ประชาชนใช้ AI ได้มากขึ้นอย่างไร”

แต่คือ “รัฐจะทำให้ประชาชนใช้ AI ได้ โดยยังมั่นใจว่าข้อมูลส่วนบุคคลของตนได้รับการคุ้มครองอย่างเพียงพอหรือไม่”

เอกสาร TOR TH-AI Passport  >>ดาวน์โหลด<<

ดร.อุดมธิปก ไพรเกษตร
นายกสมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย
ผู้ก่อตั้งสื่อ PDPA Thailand

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

สมาคม TPDPA วางแผนยุทธศาสตร์ 3 ปีเพื่อยกระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลไทยสู่สากล

สมาคม TPDPA วางแผนยุทธศาสตร์ 3 ปีเพื่อยกระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลไทยสู่สากล 

เมื่อวันที่ 28 มิถุนายน 2569 ที่ผ่านมาทางสมาคมเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไทย (TPDPA) เดินหน้าขับเคลื่อนสมาคมอย่างมีกลยุทธ์ จัดการประชุมคณะกรรมการสมาคมฯ ประจำปี 2569 เพื่อร่วมกำหนดทิศทางและจัดทำ “แผนการดำเนินงานสมาคมในวาระ 3 ปี” มุ่งสร้างมาตรฐาน พร้อมยกระดับศักยภาพบุคลากร และตอบโจทย์ความต้องการของสมาชิกทั่วประเทศอย่างมีประสิทธิภาพสูงสุด ณ มหาวิทยาลัยเกษตรศาสตร์ (บางเขน)

การประชุมวางแผนเชิงยุทธศาสตร์ในครั้งนี้ ถือเป็นก้าวสำคัญของสมาคม TPDPA ในการกำหนดหมุดหมาย ท่ามกลางความเปลี่ยนแปลงของเทคโนโลยีและกฎหมายการคุ้มครองข้อมูลส่วนบุคคล (PDPA) ทั้งในระดับประเทศและระดับสากล โดยมีคณะกรรมการผู้ทรงคุณวุฒิจากหลากหลายภาคส่วน รวมถึงผู้เชี่ยวชาญจากเครือข่ายหลักอย่าง DBC Group และ PDPA Thailand เข้าร่วมอย่างพร้อมเพรียง

บรรยากาศการประชุมเต็มไปด้วยความเข้มข้น โดยคณะกรรมการแต่ละฝ่ายได้ร่วมวิเคราะห์โอกาส และวางกลยุทธ์ในมิติต่าง ๆ เพื่อเตรียมพร้อมขับเคลื่อนสมาคมให้เติบโตอย่างมั่นคง โดยมุ่งเน้นไปที่การสร้างประโยชน์สูงสุดให้แก่สมาชิก การพัฒนาหลักสูตรและมาตรฐานวิชาชีพ รวมถึงการสร้างเครือข่ายความร่วมมือที่แข็งแกร่งระหว่างภาครัฐและภาคเอกชน

สมาคมฯ ได้โครงร่างแผนยุทธศาสตร์ 3 ปี และพร้อมที่จะเปลี่ยนวิสัยทัศน์ไปสู่การปฏิบัติจริง สำหรับองค์กร ผู้บริหาร และผู้ปฏิบัติงานด้าน PDPA ที่สนใจร่วมเป็นส่วนหนึ่งของเครือข่าย สามารถติดตามกิจกรรมดี ๆ และอัปเดตโครงการใหม่จากทางสมาคม ได้ที่ช่องทางประชาสัมพันธ์หลักของสมาคมเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไทย (TPDPA)

ติดตามข่าวสารและกิจกรรมการอบรมด้าน PDPA ได้ที่
Website: https://tpdpa.or.th/
Facebook: https://www.facebook.com/tpdpa.or.th

เผยแพร่ : 6 กรกฎาคม 2569

พระราชกฤษฎีกา Data Sharing หน่วยงานรัฐกับหน่วยงานรัฐ พ.ศ. 2569 : เปิดประตูข้อมูล แต่ไม่ปิด PDPA

ดร.อุดมธิปก ไพรเกษตร
นายกสมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย
ผู้ก่อตั้งสื่อ PDPA Thailand

ผมอยากชวนทุกคน “หยุดคิดสักครู่” ก่อนจะรีแอคทันทีว่า พระราชกฤษฎีกาการเปิดเผยข้อมูลข่าวสารส่วนบุคคลที่อยู่ในความควบคุมดูแลของหน่วยงานของรัฐต่อหน่วยงานของรัฐแห่งอื่น พ.ศ. 2569 คือกฎหมายที่เปิดทางให้รัฐ “เข้าถึงข้อมูลเราโดยไม่ต้องเคารพ PDPA” หรือทำให้เจ้าหน้าที่หน่วยงานรัฐ รู้สึกว่าต่อไปขอหรือใช้ข้อมูลส่วนบุคคลแบบไหนอย่างไรก็ได้

ซึ่งเมื่ออ่านให้ครบ และพิจารณาตาม พรบ.ข้อมูลข่าวสารราชการ พ.ศ.2540 (OIA) กับ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จะเห็นภาพที่ชัดเจนอย่างมีนัยสำคัญ เพราะพระราชกฤษฎีกาฉบับนี้ไม่ใช่การยกเลิก PDPA แต่เป็นการแก้ปัญหาที่เกิดขึ้นจริงในช่วง 4–5 ปีที่ผ่านมา คือ “หน่วยงานรัฐไม่ให้ข้อมูลกันเอง โดยอ้าง PDPA” จนงานบริการประชาชนและนโยบายสาธารณะสะดุด

“พระราชกฤษฎีกานี้คืออะไร”

พระราชกฤษฎีกาการเปิดเผยข้อมูลข่าวสารส่วนบุคคลที่อยู่ในความควบคุมดูแลของหน่วยงานของรัฐต่อหน่วยงานของรัฐแห่งอื่น พ.ศ. 2569 ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 29 มิถุนายน 2569 และมีผลใช้ตั้งแต่วันนี้ (30 มิถุนายน 2569) อ่านละเอียดได้ที่ https://ratchakitcha.soc.go.th/documents/114551.pdf

ตัวกฤษฎีกามีเพียง 4 มาตรา แต่หัวใจจริงอยู่ที่มาตรา 3 ซึ่งวางหลักว่า หน่วยงานของรัฐที่มีข้อมูลข่าวสารส่วนบุคคลอยู่ในความควบคุมดูแลของตน “มีหน้าที่” เปิดเผยข้อมูลดังกล่าวให้หน่วยงานของรัฐแห่งอื่น เมื่อมีการร้องขอ เพื่อให้เกิดการเชื่อมโยงข้อมูลสำหรับจัดทำและให้บริการภาครัฐแก่ประชาชนโดยวิธีการทางอิเล็กทรอนิกส์

พูดง่าย ๆ นี่คือการยอมรับข้อเท็จจริงว่า หากยังปล่อยให้ข้อมูลแต่ละกระทรวง แต่ละกรม แยกกันอยู่ในพื้นที่ของตนเอง รัฐก็จะไม่มีวันใช้ข้อมูลเพื่อบริการประชาชนแบบมุ่งเป้า ทำสวัสดิการอย่างแม่นยำ หรือบังคับใช้กฎหมายอย่างมีประสิทธิภาพได้เลย

“เปิดให้ทำ” อะไร และ “ไม่เปิดให้ทำ” อะไร

สิ่งที่พระราชกฤษฎีกานี้ “เปิดให้ทำ” คือการแลกเปลี่ยนหรือเชื่อมโยงข้อมูลข่าวสารส่วนบุคคล “ระหว่างหน่วยงานของรัฐ” เท่านั้น เพื่อประโยชน์ในการให้บริการภาครัฐ การจัดสวัสดิการ การช่วยเหลือประชาชน การจัดทำนโยบาย และการบังคับใช้กฎหมายตามที่ระบุไว้ในหมายเหตุท้ายพระราชกฤษฎีกา

แต่สิ่งที่พระราชกฤษฎีกานี้ “ไม่ได้เปิดให้ทำแบบเสรี” มีอยู่หลายชั้น และต้องอ่านให้ครบ

  • ไม่ได้พูดถึงการเปิดเผยต่อสาธารณะหรือเอกชนทั่วไป เป็นเพียงการเปิดช่องภายใน “วงการรัฐกับรัฐ” เท่านั้น
  • หน่วยงานผู้รับข้อมูลมีหน้าที่รักษาข้อมูล และถูก “ห้ามเปิดเผยต่อไปยังบุคคลภายนอก” ไม่ว่าบุคคลภายนอกนั้นจะเป็นหน่วยงานของรัฐหรือไม่ก็ตาม
  • การรักษาข้อมูลต้องเป็นไปตามหลักเกณฑ์และเงื่อนไขที่คณะกรรมการกำหนด และต้องสอดคล้องกับมาตรฐานความปลอดภัยทางไซเบอร์ ซึ่งเข้มข้นกว่าแค่การส่งเอกสารราชการธรรมดา

ดังนั้น การตีความว่ากฤษฎีกานี้ทำให้หน่วยงานรัฐ “ส่งต่อข้อมูลเราไปเรื่อย ๆ อย่างไร้ขอบเขต” จึงไม่ตรงกับตัวบทที่วางเงื่อนไขห้ามเปิดเผยต่อบุคคลภายนอกไว้อย่างชัดเจน

พระราชกฤษฎีกาฉบับนี้ มีความสัมพันธ์กับกฎหมายอื่นอย่างไร

เพื่อจะเข้าใจบทบาทของพระราชกฤษฎีกาฉบับนี้ เราต้องหยิบ พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 ขึ้นมาดูคู่กัน โดยเฉพาะมาตรา 4 และมาตรา 24

พ.ร.บ.ข้อมูลข่าวสารฯ นิยาม “ข้อมูลข่าวสารส่วนบุคคล” กว้างกว่าคำว่า “ข้อมูลส่วนบุคคล” ใน PDPA เพราะรวมทั้งข้อมูลเกี่ยวกับผู้ที่ถึงแก่กรรมแล้วด้วย

ขณะที่หมวด 2 ข้อมูลข่าวสารที่ไม่ต้องเปิดเผย มาตรา 15 ของ พ.ร.บ.ข้อมูลข่าวสารฯ (4) การเปิดเผยจะก่อให้เกิดอันตรายต่อชีวิตหรือความปลอดภัยของบุคคลหนึ่งบุคคลใด (5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการรุกล้ำสิทธิส่วนบุคคลโดยไม่สมควร และ (6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย หรือข้อมูลข่าวสารที่มีผู้ให้มาโดยไม่ประสงค์ให้ทางราชการนำไปเปิดเผยต่อผู้อื่น

ส่วนหมวด 3 ข้อมูลข่าวสารส่วนบุคคล มาตรา 24 ของ พ.ร.บ.ข้อมูลข่าวสารฯ วางหลักว่า หน่วยงานรัฐจะเปิดเผยข้อมูลข่าวสารส่วนบุคคลต่อหน่วยงานรัฐอื่นหรือบุคคลอื่น โดยไม่มีความยินยอมเป็นหนังสือจากเจ้าของข้อมูลไม่ได้ เว้นแต่เข้าข้อยกเว้น (1)–(9) โดยข้อ (9) ระบุว่า “กรณีอื่นตามที่กำหนดในพระราชกฤษฎีกา” และกำหนดว่าการเปิดเผยตาม (3)–(9) ต้องจัดทำบัญชีแสดงการเปิดเผยกำกับไว้กับข้อมูลข่าวสารนั้น

พระราชกฤษฎีกา พ.ศ. 2569 จึงเข้ามานั่งอยู่ตรงช่องว่างเล็ก ๆ แต่สำคัญมากนี้ คือทำหน้าที่เป็น “กรณีอื่น” ตามมาตรา 24(9) โดยเฉพาะ

ถ้าเปรียบเทียบเป็นภาพใหญ่ OIA คือ “ประตู” ที่กำหนดว่าเมื่อไรและอย่างไรที่รัฐจะเปิดเผยข้อมูลข่าวสารส่วนบุคคลได้ ส่วน PDPA คือ “กรอบกำกับการประมวลผล” ที่บอกว่าเมื่อข้อมูลถูกเก็บ ใช้ เปิดเผย หรือเชื่อมโยงแล้ว ต้องคุ้มครองสิทธิของเจ้าของข้อมูลอย่างไร

พระราชกฤษฎีกาไม่ได้ทำให้รัฐ “พ้น PDPA” แต่ทำให้ “อ้าง PDPA แล้วไม่ให้ข้อมูลกันเอง” ยากขึ้น

หนึ่งในปัญหาที่เกิดขึ้นจริงหลัง PDPA บังคับใช้คือ หลายหน่วยงานรัฐใช้ PDPA เป็น “เหตุผลอเนกประสงค์” ในการปฏิเสธการให้ข้อมูลแก่หน่วยงานรัฐอื่น ทั้งที่ภารกิจหลายเรื่องต้องอาศัยข้อมูลข้ามหน่วยงาน เช่น การจัดสวัสดิการ การยืนยันสิทธิ ลดภาระเอกสารประชาชน การแก้ปัญหาองค์กรอาชญากรรม หรือการทุจริตคอร์รัปชัน

พระราชกฤษฎีกาฉบับนี้เข้ามาเติมฐานกฎหมายเฉพาะให้ชัดว่า “การเปิดเผยข้อมูลข่าวสารส่วนบุคคลระหว่างหน่วยงานรัฐทำได้” เมื่ออยู่ในกรอบวัตถุประสงค์ของกฤษฎีกา และอยู่ภายใต้ พ.ร.บ.ข้อมูลข่าวสารฯ มาตรา 24(9)

แต่เมื่อหันกลับมาดู PDPA เราจะเห็นอย่างชัดเจนว่า ไม่มีข้อความใดในพระราชกฤษฎีกาที่บอกว่า “ยกเว้น PDPA” หรือ “ไม่ต้องทำตาม PDPA” ตรงกันข้าม PDPA มาตรา 3 กลับวางหลักว่า หากมีกฎหมายเฉพาะเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในเรื่องใด ให้ใช้กฎหมายเฉพาะนั้น แต่บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย สิทธิของเจ้าของข้อมูล และบทกำหนดโทษตาม PDPA ยังใช้ “เพิ่มเติม” ได้

แปลว่า

  • พระราชกฤษฎีกา = “เปิดประตูให้หน่วยงานรัฐเชื่อมโยงข้อมูลกันได้”
  • PDPA = “รั้ว กุญแจ และกล้องวงจรปิด” ที่กำกับว่าการเชื่อมโยงนั้นต้องจำเป็น ชอบด้วยกฎหมาย ได้สัดส่วน โปร่งใส และปลอดภัย

ประเด็นสำคัญ จาก “ให้ได้หรือไม่ได้” ไปสู่คำถามที่สำคัญกว่า “ได้มาแล้วใช้ต่ออย่างไร”

ข้อถกเถียงในวงราชการช่วงที่ผ่านมา มักติดอยู่ตรงคำถามว่า “ให้ข้อมูลกันได้หรือไม่ได้” ซึ่งพระราชกฤษฎีกานี้ช่วยตอบคำถามในชั้นแรกว่า “เปิดเผยให้กันได้” เมื่อมีวัตถุประสงค์ตามที่กำหนด และอยู่ในกรอบ พ.ร.บ.ข้อมูลข่าวสารฯ

แต่เมื่อเชื่อมกับ PDPA เราจำเป็นต้องย้ายไปสู่คำถามชั้นที่สอง คือ “ได้ข้อมูลมาแล้วใช้ต่ออย่างไรให้ชอบด้วยกฎหมายและได้สัดส่วน”

กรอบคิดที่ผมเสนอให้ตั้งคำถาม 2 ประเด็น

  1. ประเด็นแรก “เปิดเผยให้กันได้หรือไม่” เป็นหน่วยงานรัฐหรือไม่ ตาม OIA จะรวมรัฐวิสาหกิจด้วย? เหมาะสมหรือไม่ และ รวมถถึงส่วนราชการที่ไม่ใช่นิติบุคคลด้วย, ร้องขอเพื่อภารกิจภาครัฐหรือไม่, อยู่ในกรอบพระราชกฤษฎีกาหรือไม่, มีอำนาจหน้าที่รองรับหรือไม่
  2. ประเด็นถัดมา “ได้ข้อมูลมาแล้วใช้ได้อย่างไร” ใช้ตามวัตถุประสงค์หรือไม่, ใช้เท่าที่จำเป็นหรือไม่, มีมาตรการรองรับการใช้สิทธิหรือไม่ มีมาตรการรักษาความปลอดภัยข้อมูลดีเพียงพอหรือไม่ มีบันทึกการเปิดเผยข้อมูลให้หน่วยงานอื่น หรือบันทึกการรับข้อมูลจากหน่วยงานอื่นหรือไม่ มีการจัดทำบันทึกประมวลกิจกรรมข้อมูล (RoPA) หรือไม่ มีการเปิดเผยหรือห้ามส่งต่อหรือไม่

เพื่อตอบ 2 คำถามนี้ เราจะไม่หยุดอยู่แค่การตีความพระราชกฤษฎีกา แต่จะเชื่อมไปสู่การออกแบบ “Data Governance ของภาครัฐ” ที่ตอบโจทย์ PDPA ไปพร้อมกันด้วย

ฐานกฎหมายของการแชร์ข้อมูลภาครัฐ ภายใต้ PDPA ไม่ใช่ต้อง consent เสมอไป

อีกจุดที่สำคัญคือ การเลือกฐานกฎหมายตาม PDPA สำหรับการเปิดเผยและรับข้อมูลระหว่างหน่วยงานรัฐ ไม่จำเป็นต้องยึด “ความยินยอม” เป็นฐานหลักเสมอไป


สำหรับข้อมูลส่วนบุคคลทั่วไป ฐานกฎหมายที่เหมาะสม PDPA คือ

  • ภารกิจเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐ (Public Task / Official Authority) มาตรา 24(4) เมื่อการเชื่อมโยงข้อมูลจำเป็นต่อการให้บริการภาครัฐ สวัสดิการ การช่วยเหลือประชาชน หรือการบังคับใช้กฎหมาย
  • การปฏิบัติตามกฎหมาย (Legal Obligation) ตามมาตรา 24(5) เมื่อพระราชกฤษฎีกากำหนดหน้าที่ให้เปิดเผยข้อมูลตามคำขอที่อยู่ในกรอบกฎหมาย
  • กรณีกฎหมายอื่นบัญญัติให้ทำได้ เมื่อการใช้หรือเปิดเผยต่างจากวัตถุประสงค์เดิม แต่มีบทบัญญัติของ PDPA หรือกฎหมายอื่นรองรับ เช่น มาตรา 21 PDPA

ประเด็นสำคัญคือ ฐานกฎหมายของ “ผู้เปิดเผย” กับฐานกฎหมายของ “ผู้รับข้อมูล” อาจไม่ใช่เรื่องเดียวกันเสมอไป แต่ทั้งสองฝ่ายต้องตอบให้ได้ว่าตนเองมี Lawful Basis ที่ชัดเจน ไม่ใช่เพียงอ้างว่าคนอื่นส่งมาให้จึงใช้ต่อได้โดยอัตโนมัติ

Sensitive Data ในโลก PDPA กับข้อมูลข่าวสารส่วนบุคคลในโลก พ.ร.บ.ข้อมูลข่าวสารฯ

นิยาม “ข้อมูลข่าวสารส่วนบุคคล” ใน พ.ร.บ.ข้อมูลข่าวสารฯ กินความไปถึงข้อมูลสุขภาพ ประวัติอาชญากรรม ลายพิมพ์นิ้วมือ แผ่นเสียง รูปถ่าย และข้อมูลของผู้ถึงแก่กรรม

เมื่อเทียบกับ PDPA เราจะพบว่า ข้อมูลเหล่านี้บางส่วนกลายเป็น “ข้อมูลส่วนบุคคลอ่อนไหว” ตามมาตรา 26 เช่น ข้อมูลสุขภาพ ความพิการ ประวัติอาชญากรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นที่มีผลกระทบต่อเจ้าของข้อมูลอย่างมีนัยสำคัญ 

ขณะที่ตาม OIA ตามมาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคำสั่งมิให้เปิดเผยก็ได้ โดยคำนึงถึงการปฏิบัติหน้าที่ตามกฎหมายของหน่วยงานของรัฐ ประโยชน์สาธารณะ และประโยชน์ของเอกชนที่เกี่ยวข้องประกอบกัน ซึ่ง มาตรา15(5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการรุกล้ำสิทธิส่วนบุคคลโดยไม่สมควร

ขณะที่มาตรา 7 พรบ.สุขภาพแห่งชาติ พ.ศ.2550 กำหนดว่า “ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่ากรณีใดๆ ผู้ใดจะอาศัยอำนาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้” 

ผลคือ พระราชกฤษฎีกานี้ไม่สามารถถูกใช้เป็น “ใบเบิกทางรวดเดียว” สำหรับข้อมูลทุกประเภทโดยไม่พิจารณามาตรฐานของ PDPA เพิ่มเติม โดยเฉพาะในกรณี sensitive data ที่ต้องผ่านเงื่อนไขเฉพาะของมาตรา 26 และมีมาตรการคุ้มครองที่เหมาะสม

กล่าวสั้น ๆ ว่า ข้อมูลบางชุดอาจผ่าน “ประตู” ของ พ.ร.บ.ข้อมูลข่าวสารฯ แต่ยังต้องผ่าน “เครื่องตรวจความเสี่ยง” ของ PDPA หรือ กฎหมายอื่นอีกชั้นหนึ่งก่อนจะใช้ต่อได้อย่างชอบด้วยกฎหมาย

Security และ Cybersecurity ไม่ใช่เรื่องเทคนิคอย่างเดียว แต่เป็นเรื่องความรับผิดชอบร่วม

พระราชกฤษฎีกานี้เขียนไว้ชัดว่า การรักษาข้อมูลข่าวสารส่วนบุคคลที่เปิดเผยระหว่างหน่วยงานรัฐต้องเป็นไปตามหลักเกณฑ์และเงื่อนไขที่คณะกรรมการกำหนด และต้องสอดคล้องกับมาตรฐานการรักษาความปลอดภัยทางไซเบอร์

ในขณะเดียวกัน PDPA มาตรา 37 วางหน้าที่ให้ผู้ควบคุมข้อมูลต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทบทวนมาตรการเมื่อมีการเปลี่ยนแปลง และแจ้งเหตุละเมิดข้อมูลส่วนบุคคลต่อสำนักงานภายใน 72 ชั่วโมงเมื่อมีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล ซึ่งเมื่อทั้งหน่วยงานรัฐที่เป็นผู้ให้และผู้รับต่างก็เป็นผู้ควบคุมข้อมูลส่วนบุคคล จึงจำเป็นต้องมีมาตรการรักษาความมั่นคงปลอดภัยข้อมูล

เมื่อเอาสองกฎหมายมาวางคู่กัน ความปลอดภัยของข้อมูลจึงไม่ใช่เรื่องของฝ่ายเทคนิคฝ่ายเดียว แต่เป็น “ความรับผิดชอบร่วม” ระหว่างผู้บริหาร ผู้กำกับนโยบาย และผู้ปฏิบัติ โดยอย่างน้อยควรมี

  • Access control ที่กำหนดสิทธิผู้เข้าถึงอย่างได้สัดส่วนกับหน้าที่
  • Data minimization ส่งเฉพาะฟิลด์ที่จำเป็น ไม่ส่งทั้งฐานข้อมูลเพราะ “สะดวก”
  • Encryption ระหว่างส่งและขณะจัดเก็บ
  • Logging & monitoring ที่บันทึกว่าใครเข้าถึงอะไร เมื่อไร เพื่ออะไร และตรวจจับการใช้งานผิดปกติ
  • Retention & deletion ที่กำหนดว่าใช้ข้อมูลไปนานเท่าไร และเมื่อไรต้องลบหรือทำลาย
  • Breach response ที่ชัดเจนเมื่อเกิดเหตุละเมิดข้อมูล

ถ้าไม่มีมาตรการเหล่านี้ การเปิดเผยอาจมีฐานกฎหมายรองรับจากพระราชกฤษฎีกา แต่ก็ยังเสี่ยงผิดหน้าที่ด้านความมั่นคงปลอดภัยตาม PDPA อยู่ดี

กิจกรรม ROPA , บัญชีแสดงการเปิดเผย และ Data Sharing Register ต้องทำให้ “ตรวจสอบได้” ไม่ใช่แค่ “ทำได้”

มาตรา 24 วรรคสองของ พ.ร.บ.ข้อมูลข่าวสารฯ กำหนดว่า การเปิดเผยข้อมูลข่าวสารส่วนบุคคลตามข้อ (3)–(9) ต้องจัดทำบัญชีแสดงการเปิดเผยกำกับไว้กับข้อมูลข่าวสารนั้น

ขณะที่ PDPA มาตรา 39 กำหนดให้ผู้ควบคุมข้อมูลต้องบันทึกรายการประมวลผล (ROPA) เพื่อให้เจ้าของข้อมูลและสำนักงานตรวจสอบได้ เช่น วัตถุประสงค์ ประเภทข้อมูล ฐานกฎหมาย ผู้รับข้อมูล ระยะเวลาเก็บ และมาตรการรักษาความมั่นคงปลอดภัย

เมื่อเชื่อมสองกฎหมายเข้าด้วยกัน การเชื่อมโยงข้อมูลภาครัฐตามพระราชกฤษฎีกานี้ควรมีอย่างน้อย

  • บัญชีแสดงการเปิดเผย ตาม พ.ร.บ.ข้อมูลข่าวสารฯ ระบุว่าข้อมูลชุดใดถูกเปิดเผยให้ใคร เมื่อใด และด้วยเหตุผลใด
  • ROPA หรือ Data Sharing Register ตาม PDPA ที่บันทึกวัตถุประสงค์ ฐานกฎหมาย ระยะเวลาเก็บรักษา ผู้มีสิทธิเข้าถึง และมาตรการความปลอดภัย
  • Data sharing log หรือ API log เพื่อให้ตรวจสอบย้อนหลังได้ว่าใครดึงข้อมูลอะไรจากระบบกลางเวลาใด

ทั้งหมดนี้ไม่ได้มีเป้าหมายเพื่อเพิ่มภาระเอกสารให้เจ้าหน้าที่ แต่เพื่อให้ตอบได้เมื่อประชาชนถามว่า “ข้อมูลของผมถูกเชื่อมโยงไปที่ไหนบ้าง” และเพื่อให้หน่วยงานรัฐพิสูจน์ได้ว่าการใช้ข้อมูลนั้นชอบด้วยกฎหมายและได้สัดส่วนจริง

ความจำเป็นที่หน่วยงานรัฐต้องมี DPO ตาม PDPA ทุกหน่วยงานรัฐและทุกส่วนราชการ และบทบาทที่ต้องเดินควบคู่กับพระราชกฤษฎีกา

ตาม PDPA มาตรา 41(1) หน่วยงานรัฐที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) แม้จะมีการตอบข้อหารือของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่ตอบให้กับสำนักงานปลัดกระทรวงกลาโหม ว่าการมี DPO ของหน่วยงานรัฐครอบคลุมถึง มาตรา 41(2) และ 41(3) ด้วย หากเข้าเงื่อนไข แม้หลาย ๆ หน่วยงานรัฐไม่ทราบ ประกอบกับการตีความหน่วยงานของรัฐที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องเป็นนิติบุคคล ทั้งให้หน่วยงานหลาย ๆ หน่วยงานที่ไม่เป็นนิติบุคคล เช่นกองทุน หรือส่วนราชการภูมิภาค ซึ่งเป็นประเด็นที่ต้องแก้ไขต่อไปสำหรับ ผู้ที่รับผิดชอบ PDPA

สำหรับบริบทของพระราชกฤษฎีกานี้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ในหน่วยงานรัฐไม่ได้มีหน้าที่เพียงตอบคำถามประชาชนหรือจัดทำรายงานให้สำนักงานเท่านั้น แต่ควรเข้าไปอยู่ใน “กระบวนการตัดสินใจเชื่อมโยงข้อมูล” ตั้งแต่ต้น

บทบาทขั้นต่ำของ DPO ในโครงการเชื่อมโยงข้อมูลภาครัฐควรครอบคลุม

  • ตรวจฐานกฎหมายของการขอและการเปิดเผยข้อมูล
  • ตรวจความชัดเจนของวัตถุประสงค์และความจำเป็นของชุดข้อมูลที่ขอ
  • ตรวจ privacy notice หรือ public notice ว่าแจ้งประชาชนเพียงพอหรือไม่
  • ตรวจมาตรการการรักษาความมั่นคงปลอดภัยและ cyber control
  • ตรวจการบันทึกรายการและเงื่อนไขห้ามส่งต่อข้อมูล

เมื่อ DPO ถูกวางไว้ในจุดออกแบบนโยบายและกระบวนการ ไม่ใช่เพียงจุด “รับผิดชอบเวลามีปัญหา” ภาครัฐจะสามารถใช้พระราชกฤษฎีกาเป็นเครื่องมือเพื่อบริการประชาชนได้ โดยไม่ลดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลลง

หลัก “เปิดเผยได้ แต่ต้องพิสูจน์ได้” คือจุดยืนของ TPDPA

จากการวิเคราะห์โดยอิงเฉพาะพระราชกฤษฎีกาฉบับนี้ พ.ร.บ.ข้อมูลข่าวสารของราชการฯ และ PDPA ผมขอสรุปจุดยืนเชิงนโยบายในนามสมาคมว่า

  1. เรา สนับสนุนและเห็นด้วยกับ พระราชกฤษฎีกานี้ เพราะช่วยแก้ปัญหาการที่หน่วยงานรัฐอ้าง PDPA เพื่อไม่ให้ข้อมูลกันเอง ทั้งที่หลายภารกิจจำเป็นต้องใช้ข้อมูลข้ามหน่วยงาน
  2. เรา ไม่เห็นด้วยอย่างยิ่ง หากมีการตีความว่าพระราชกฤษฎีกานี้เป็นการยกเว้น PDPA หรือทำให้หน่วยงานรัฐพ้นจากหน้าที่ตาม PDPA
  3. เราเสนอให้ใช้หลัก 5 ข้อในการตีความและนำไปใช้: Lawful, Necessary, Proportionate, Accountable, Secure – มีฐานกฎหมายชัดเจน จำเป็น ได้สัดส่วน ตรวจสอบได้ และปลอดภัย
  4. เราเห็นว่าประเด็นสำคัญที่ต้องกำกับต่อไปไม่ใช่แค่ “ให้ข้อมูลกันได้หรือไม่” แต่เป็น “เมื่อให้ข้อมูลกันแล้ว ประชาชนยังได้รับการคุ้มครองเพียงพอหรือไม่” ทั้งในแง่เสรีภาพ สิทธิในการเข้าถึงและแก้ไขข้อมูล ความโปร่งใสในการเชื่อมโยง และการจำกัดการใช้ไม่ให้เกินวัตถุประสงค์

ถ้าจะให้จำง่าย ๆ ผมอยากฝากไว้แบบนี้

พระราชกฤษฎีกาฉบับนี้ “เปิดประตูให้รัฐเชื่อมโยงข้อมูล” แต่ PDPA ยังคงเป็น “รั้ว กุญแจ และกล้องวงจรปิด” ที่กำกับว่า การเชื่อมโยงนั้นต้องทำอย่างจำเป็น โปร่งใส ปลอดภัย และตรวจสอบได้

ดร.อุดมธิปก ไพรเกษตร
นายกสมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย
ผู้ก่อตั้งสื่อ PDPA Thailand

แบบสอบถามความคิดเห็นเกี่ยวกับ “ความเป็นส่วนตัว การคุ้มครองข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคล”

เนื่องในโอกาสวันที่ 28 มกราคมของทุกปี กำหนดให้เป็นวัน
International Data Privacy Day

ในปี 2569 นี้ ทาง PDPA Thailand และสถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) ภายใต้การบริหารงานโดย บริษัท ดีบีซี กรุ๊ป จำกัด (DBC Group) และพันธมิตร ได้แก่ สมาพันธ์เอสเอ็มอีไทย (SME Thai), สมาคมผู้ประกอบการพาณิชย์อิเล็กทรอนิกส์ไทย, สมาคมผู้ดูแลเว็บไซต์และสื่อออนไลน์ไทย, สมาคมการค้าดิจิทัลไทย, สมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย (TPDPA) และสภาองค์กรของผู้บริโภค

ได้ร่วมกันจัดทำแบบสอบถามเพื่อสำรวจเรื่อง “ความเป็นส่วนตัว, การคุ้มครองข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคล” ขึ้น ระหว่างวันนี้ – 14 กุมภาพันธ์ พ.ศ.2569 ผ่านช่องทางการสื่อสารออนไลน์ไปยังประชาชนกลุ่มต่างๆ ซึ่งท่านสามารถติดตามผลการสำรวจได้ที่ www.tpdpa.or.th  และ www.pdpathailand.com 

ท่านสามารถศึกษาประกาศความเป็นส่วนตัวได้ที่ https://pdpathailand.com/privacy-notice-questionnaires/

สำหรับท่านที่ตอบแบบสอบถาม และทำตามกติกา – เงื่อนไขครบตามที่กำหนด ลุ้นรับฟรี! iPad 11″ Wi-Fi ขนาด 128 GB จำนวน 1 รางวัล มูลค่า 12,900 บาท

พิเศษ ขึ้นไปอีกขั้นเพียงแชร์โพสต์กิจกรรมตอบแบบสอบถามเป็นสาธารณะ พร้อมติดแฮชแท็ก #TPDPA และแนบหลักฐานที่ใต้โพสต์ ลุ้นรับเพิ่ม Samsung Galaxy A07 ความจุ 128 GB จำนวน 1 รางวัล (มูลค่า 3,990 บาท)

เสวนา PDPA

เสวนา 3 ปี PDPA ปัญหา อุปสรรค และอนาคตการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย

ขอเชิญผู้สนใจร่วมเสวนา:

“3 ปี PDPA ปัญหา อุปสรรค และอนาคตการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย” เวทีเสวนาที่จะมาพูดคุยกันในประเด็นด้านกฎหมาย PDPA ทั้งปัญหา อุปสรรค และอนาคตของกฎหมาย PDPA

การเสวนาในครั้งนี้ จัดขึ้นเนื่องในโอกาสครบรอบ 6 ปีการประกาศใช้ และครบรอบ 3 ปีการบังคับใช้กฎหมาย PDPA ที่จะมาเสวนากันในเรื่องของการเดินทางตลอด 3 ปีแห่งการบังคับใช้กฎหมาย “ประเทศไทย” เปลี่ยนไปอย่างไร ปัญหา อุปสรรค และอนาคตที่จะเกิดขึ้นในด้านการคุ้มครองข้อมูลส่วนบุคคลจะเป็นอย่างไร การเตรียมความพร้อมและการดำเนินการของภาคองค์กรและธุรกิจที่ควรรู้ หาคำตอบได้ที่เสวนานี้ในหัวข้อ..

1. 3 ปี PDPA ปัญหาและอุปสรรค? 
2. ทิศทางอนาคตของการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย

การเสวนาในครั้งนี้ จะช่วยให้ท่านได้เห็นถึงภาพรวมของอนาคตกฎหมาย PDPA จากผู้เชี่ยวชาญด้านกฎหมายอย่างแท้จริง

ร่วมเสวนาโดย
1. ดร.อุดมธิปก ไพรเกษตร ประธานเจ้าหน้าที่บริหาร บริษัท ดีบีซี กรุ๊ป จำกัด
2. อ.สุกฤษ โกยอัครเดช ประธานเจ้าหน้าที่ฝ่ายปรึกษาและสอบทาน บริษัท ดีบีซี กรุ๊ป จำกัด
3. อ.สันต์ภพ พรวัฒนะกิจ: ทนายความหุ้นส่วนและผู้บริหารบริษัทที่ปรึกษากฎหมาย ลีกัลมายด์ จำกัด
4. คุณวัชระ รัตนโชติ: Data Protection Officer บริษัท ปตท. จำกัด (มหาชน)
5. คุณเข็มจริยา ธีรพงษ์: ผู้อำนวยการอาวุโส ฝ่ายกำกับการปฏิบัติงาน ธนาคารเพื่อการส่งออกและนำเข้าแห่งประเทศไทย
6. รศ.ดร. คณาธิป ทองรวีวงศ์: ผู้อำนวยการสถาบันกฎหมายสื่อดิจิทัล มหาวิทยาลัยเกษมบัณฑิต
7. ดร.สิทธินัย จันทรานนท์: ที่ปรึกษา – ผู้เชี่ยวชาญ ด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล

กำหนดการ

สถานที่อบรม: ณ ห้องอบรมสัมมนา 306 ชั้น 3 สำนักบริการคอมพิวเตอร์ มหาวิทยาลัยเกษตรศาสตร์ บางเขน (กรุงเทพฯ)

วันและเวลาอบรม: วันศุกร์ที่ 20 มิถุนายน พ.ศ. 2568 เวลา 13.00 – 16.30 น.

จัดโดย: สมาคม TPDPA ร่วมกับ PDPA Thailand ภายใต้การบริหารงาน โดย DBC Group

ค่าธรรมเนียม: ฟรี! ไม่มีค่าใช้จ่าย จำกัดเพียง 300 ที่นั่งเท่านั้น

*สัมมนานี้รับจำนวนจำกัด และมีการคัดเลือกผู้เข้าร่วมงานตามคุณสมบัติที่เหมาะสมกับเนื้อหาการจัดงาน ผู้ที่ได้รับคัดเลือกจะได้รับการติดต่อกลับจากเจ้าหน้าที่ก่อนวันงาน

PDPA GURU: Internal Audit

  คุณรู้หรือไม่? ว่าการทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ในองค์กร มีหลายมิติที่ต้องให้ความสำคัญ และไม่ใช่โครงการที่ “ทำครั้งเดียวจบ” เพราะกฎหมายยังมีอัปเดตหลักการ รวมถึงกฏหมายลำดับรองเป็นประจำ

เพื่อให้องค์กรสามารถปฏิบัติได้สอดคล้องตามที่กฎหมายกำหนดอย่างแท้จริง

   ทักษะ “การตรวจประเมิน” ความสอดคล้องตามมาตรฐานกฎหมาย PDPA จึงเป็นสิ่งที่สำคัญ องค์กรของคุณมั่นใจเกี่ยวกับความเสี่ยงด้าน PDPA และจะทำอย่างไรเพื่อลดความเสี่ยงนั้น หาคำตอบได้ที่เสวนา…

“Are You Ready? ผู้ตรวจสอบภายในพร้อมแค่ไหนที่จะช่วยลดความเสี่ยงขององค์กรด้าน PDPA” กับประเด็นสุด Exclusive เกี่ยวกับ Internal Audit ที่ไม่ควรพลาด

หัวข้อเสวนา

1. ความเชื่อมโยงของการตรวจสอบภายในเรื่อง Data Protection กับ Data Governance
2. แนะแนวปฏิบัติเพื่อทำตามข้อบังคับและกฎหมาย
3. การตรวจสอบ (Audit) ที่สนับสนุนการทำ PDPA และกรณีศึกษา

พิเศษ! แจกฟรี Checklist ตรวจประเมินตนเององค์กรด้านการคุ้มครองข้อมูลส่วนบุคคล

กำหนดการ

– วันพฤหัสบดีที่ 13 กุมภาพันธ์ 2568 l 13.30 – 15.30 น.
– ผ่านระบบ VDO Conference ZOOM

เสวนาโดย

– ดร.อุดมธิปก ไพรเกษตร: นายกสมาคม TPDPA ประธานเจ้าหน้าที่บริหาร DBC Group และผู้ก่อตั้ง PDPA Thailand
– อาจารย์สุกฤษ โกยอัครเดช: เลขาธิการ และประธานฝ่ายวิเทศสัมพันธ์สมาคม TPDPA และประธานเจ้าหน้าที่ฝ่ายปรึกษาและสอบทาน DBC Group
– อาจารย์ณัฏฐ์ ธนวนกุล: กรรมการและประธานฝ่ายพัฒนามาตรฐานวชาชีพ สมาคม TPDPA ที่ปรึกษาและวิทยากรสถาบัน DDTI
– อาจารย์ธีระพันธุ์ จันทร์แก้ว: Assistant Vice President System Certification Department สถาบันรับรองมาตรฐานไอเอสโอ (MASCI) 

ภายใต้ความร่วมมือระหว่าง

สมาคมที่ปรึกษาและสอบทานการคุ้มครองข้อมูลส่วนบุคคลไทย (TPDPA)    ร่วมกับ PDPA Thailand (บริหารงานโดย DBC Group) สถาบันรับรองมาตรฐานไอเอสโอ (MASCI) 

“ขณะนี้มีผู้ลงทะเบียนเต็มจำนวนแล้ว ท่านสามารถลงทะเบียนรับฟังเสวนาย้อนหลังและรับเอกสารแจก (แบบประเมินการปฏิบัติตาม PDPA) ผ่านทางอีเมลที่ลงทะเบียน ในวันที่ 14 กุมภาพันธ์ 2568”

สมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคล (TPDPA) ร่วมหารือกับหอการค้าเยอรมัน-ไทย ยกระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลสู่สากล

เมื่อวันที่ 2 ธันวาคม 2567 – คุณสุกฤษ โกยอัครเดช Ans Sukris Koyakradej เลขาธิการสมาคมและประธานฝ่ายวิเทศสัมพันธ์ ร่วมกับ คุณดวงดาว สำนองสุข กรรมการและประธานฝ่ายวิเทศสัมพันธ์ สมาคม TPDPA เดินทางเข้าพบ ดร.โรลันด์ ไวน์ กรรมการบริหาร และคุณสุพิน พรายมี ผู้จัดการฝ่ายกิจการทั่วไป หอการค้าเยอรมัน-ไทย เพื่อแลกเปลี่ยนมุมมองและแนวทางเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (PDPA)
 
นอกจากนี้ ยังมีการพูดคุยเกี่ยวกับแนวโน้มในการเปิด Training Session ร่วมกัน เพื่อสร้างความรู้ความเข้าใจและส่งเสริมความตระหนักรู้เรื่องการคุ้มครองข้อมูลส่วนบุคคลไทย
สิทธิมนุษยชน AI

สิทธิมนุษยชนในยุค AI: เมื่อความเป็นส่วนตัวและเสรีภาพถูกท้าทาย

เมื่อการใช้เทคโนโลยีดิจิทัลกลายเป็นส่วนหนึ่งของชีวิตประจำวัน แม้จะมอบความสะดวกสบายและประสิทธิภาพที่ไม่เคยมีมาก่อนให้กับเรา แต่ก็มาพร้อมกับคำถามสำคัญเกี่ยวกับสิทธิมนุษยชนที่กำลังถูกท้าทาย โดยเฉพาะเมื่อเทคโนโลยีดิจิทัลอย่าง Artificial Intelligence (AI) มีความสามารถมากขึ้น มีค่าใช้จ่ายที่ถูกลง จนสามารถนำมาใช้กันได้อย่างกว้างขวาง 

วันนี้ทุก ๆ ธุรกิจไม่ว่าจะขายสินค้าหรือบริการต่างมีความต้องการที่จะเข้าถึงข้อมูลส่วนบุคคลของเรา ด้วยเหตุผลต้องการสร้างและเพิ่มผลกำไรขององค์กรอย่างต่อเนื่อง ขณะเดียวกันหน่วยงานของรัฐเอง แม้มีข้อมูลส่วนบุคคลของประชาชนอยู่แล้ว แต่ก็ต้องการข้อมูลของประชาชนเพิ่มมากขึ้นเพื่อการวางแผน การจัดการและการให้บริการแก่ประชาชน ซึ่งการทำให้ต้องมีเครื่องมือที่มาช่วยในการจัดการกับข้อมูล และความต้องการของหน่วยงาน เทคโนโลยีดิจิทัลอย่าง AI และ Big Data จึงกลายเป็นคำตอบของหน่วยงานเหล่านี้

ภายใต้ความสะดวกสบายจากการใช้เทคโนโลยีดิจิทัลที่มี AI เป็นตัวขับเคลื่อน ประชาชนและผู้บริโภคต้องแลกมาด้วยความเป็นส่วนตัว เช่น ความสะดวกที่มาพร้อมกับการเฝ้าติดตาม แอปพลิเคชันที่แนะนำร้านอาหาร เพลง หรือสินค้าที่ “ตรงใจ” เราที่สุด เพราะวิเคราะห์พฤติกรรมของเราอย่างละเอียด การบริการที่เป็นส่วนตัวแต่แลกมาด้วยข้อมูลชีวิต การต้องเปิดเผยข้อมูลส่วนตัวจำนวนมาก และความปลอดภัยที่มาพร้อมการถูกจับตามอง เมื่อกล้องวงจรปิดอัจฉริยะที่ใช้ระบบจดจำใบหน้า แม้จะเพิ่มความปลอดภัย แต่ก็หมายถึงการถูกติดตามทุกย่างก้าว

ข้อมูลส่วนบุคคล คือ สินทรัพย์ล้ำค่าในยุค AI เพราะข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวมมีหลากหลายระดับ ข้อมูลพฤติกรรมออนไลน์ การค้นหาข้อมูล การกดไลก์และแชร์โพสต์ ประวัติการช้อปปิ้ง เส้นทางการเดินทาง ข้อมูลละเอียดอ่อน ประวัติสุขภาพ ความเชื่อทางศาสนา ความคิดเห็นทางการเมือง ข้อมูลทางการเงิน ซึ่งข้อมูลเหล่านี้เราให้กับหน่วยงานต่าง ๆ ทั้งฟรีและจ่ายเงินเพื่อแลกกับสินค้าหรือบริการนั้น 

เมื่อขอบเขตของการ AI ไม่ได้ใช้เพื่อการเก็บข้อมูลพื้นฐาน หรือวิเคราะห์ในระดับมหภาค แต่นำมาวิเคราะห์และเชื่อมโยงข้อมูลเพื่อทำความเข้าใจประชาชนและผู้บริโภคในระดับบุคคลหรือกลุ่มบุคคล ทำให้เข้าใจรูปแบบการใช้ชีวิต ความสัมพันธ์กับผู้อื่น สภาวะทางอารมณ์แนวโน้มการตัดสินใจ ทำให้มีอิทธิพลต่อการตัดสินใจของเราในรูปแบบที่แนบเนียน การสร้างความเชื่อและทัศนคติ แสดงเนื้อหาที่เลือกสรรตามความชอบ สร้าง Echo Chamber ที่ตอกย้ำความเชื่อเดิม นำเสนอโฆษณาที่มีอิทธิพลต่อการตัดสินใจ การควบคุมทางสังคม ระบบให้คะแนนความน่าเชื่อถือทางสังคม การตรวจจับและควบคุมการแสดงออกทางความคิด การติดตามพฤติกรรมในที่สาธารณะ

ผลกระทบที่มองไม่เห็น เมื่อประชาชนและผู้บริโภคอาจจะสูญเสียความเป็นส่วนตัว ซึ่งส่งผลกระทบต่อชีวิตในหลายด้าน การถูกเลือกปฏิบัติจากการวิเคราะห์ข้อมูล การถูกจำกัดโอกาสโดยไม่รู้ตัว ความเครียดจากการถูกติดตามตลอดเวลา การสูญเสียอิสระในการแสดงความคิดเห็น รวมทั้งการถูกหน่วยงานเอกชนและรัฐ นำข้อมูลส่วนบุคคลของเราไปใช้เพื่อพัฒนา AI โดยที่เราไม่รู้ และไม่ถูกต้อง ผ่านบริการของผู้ให้บริการ AI ที่มีอยู่ในรูปแบบฟรีหรือจ่ายเงิน โดยไม่ระแวดระวังต่อการหลุดรั่วข้อมูลส่วนบุคคลออกไปมากยิ่งขึ้น

การปกป้องสิทธิในยุค AI จึงจำเป็นต้องมีกรอบกฎหมายที่เข้มงวด ซึ่งในสหภาพยุโรป นอกจากกฎหมาย GDPR ที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลแล้ว ยังมีการออกกฎหมายกำกับดูแล AI เพิ่มขึ้นด้วย ส่วนในประเทศไทยในแม้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA แต่ยังไม่มีการส่งสัญญาณเรื่องข้อมูลส่วนบุคคลกับ AI ออกมา แม้ว่าจะมีการออกแนวทางการกำกับ AI โดยหน่วยงานอย่างสำนักงานธุรกรรมอิเล็กทรอนิกส์หรือ ETDA แต่ก็เป็นแนวทางที่ไม่ได้มีผลผูกพันทางด้านกฎหมายกับองค์กรต่าง ๆ ซึ่งหมายความว่าองค์กรต่าง ๆ ที่กำลังพัฒนาหรือนำ AI มาใช้ในองค์กรต้องเพิ่มความตระหนัก และความระแวดระวังในการใช้ข้อมูลส่วนบุคคลที่กิจกรรมที่เกี่ยวข้องกับ AI รวมทั้งการตรวจสอบและประเมินผลกระทบจากการพัฒนาหรือการใช้ AI ที่มีต่อประชาชนหรือผู้บริโภค

หน่วยงานที่เกี่ยวข้องควรให้ความรู้ประชาชนเรื่องผลกระทบของ AI ควบคู่กับประโยชน์ สร้างความตระหนักถึงคุณค่าของข้อมูลส่วนบุคคล และเสริมสร้างทักษะการปกป้องตนเอง เช่น การตั้งค่าความเป็นส่วนตัว การใช้เครื่องมือปกป้องข้อมูล และการจัดการความยินยอมอย่างเหมาะสม

การสร้างสมดุลระหว่างประโยชน์ของ AI และการคุ้มครองสิทธิมนุษยชนเป็นความท้าทายสำคัญที่ทุกภาคส่วนต้องร่วมมือกันแก้ไข เพื่อให้การพัฒนาเทคโนโลยีเป็นไปอย่างมีความรับผิดชอบและเคารพสิทธิของประชาชน

ความเป็นส่วนตัวในดิจิทัล

สิทธิความเป็นส่วนตัวในยุคดิจิทัล: มุมมองด้านสิทธิมนุษยชนและการคุ้มครองข้อมูลส่วนบุคคล

“เราไม่เคยอยู่ตามลำพังในโลกดิจิทัล” เคยรู้สึกว่าตนเองกำลังถูกจับจ้อง และเฝ้าติดตามตลอดเวลาไหม รู้สึกว่าสิ่งที่เราคิด สิ่งที่เขียน สิ่งที่พูดและสิ่งที่ทำ ล้วนแต่มีคนรู้ เนื่องในวันสิทธิมนุษยชนสากล 10 ธันวาคม มาทบทวนเรื่องสิทธิความเป็นส่วนตัวในยุคดิจิทัลกันครับ

สิทธิความเป็นส่วนตัวจากอดีตเมื่อวันที่ 10 ธันวาคม 2491 สหประชาชาติได้รับรองปฏิญญาสากลว่าด้วยสิทธิมนุษยชน ซึ่งข้อ 12 ได้รับรองสิทธิความเป็นส่วนตัวไว้อย่างชัดเจน แต่ในเวลานั้น ใครจะคาดคิดว่า 75 ปีต่อมา โลกจะเปลี่ยนแปลงไปมากจนการละเมิดความเป็นส่วนตัวกลายเป็นเรื่องง่ายดายเพียงปลายนิ้วสัมผัส จากยุคที่การละเมิดความเป็นส่วนตัวจำกัดอยู่ที่การแอบฟัง แอบอ่านจดหมาย หรือสอดส่องทางกายภาพ มาสู่ยุคที่ข้อมูลส่วนตัวของเราถูกเก็บรวบรวมและวิเคราะห์อย่างละเอียดผ่านเทคโนโลยีดิจิทัล

เมื่อทุกย่างก้าวถูกจับตามอง ในแต่ละวัน เราทิ้งร่องรอยดิจิทัล (Digital Footprint) ไว้มากมาย เช่น การใช้ชีวิตประจำวัน ตั้งแต่การโพสต์และแชทบนโซเชียลมีเดีย จะบ่งบอกความสนใจและความสัมพันธ์ของเรากับสิ่งต่าง ๆ การช้อปปิ้งออนไลน์จะเผยพฤติกรรมการใช้จ่ายและรสนิยมของเรา การใช้แอปพลิเคชัน เปิดเผยกิจวัตรและไลฟ์สไตล์ของเรา ทุกการเดินทางและตำแหน่งที่อยู่ จะมี GPS ซึ่งจะเปิดเผยเส้นทางการเดินทาง หรือการเช็คอินสถานที่ จะเปิดเผยสถานที่ที่สนใจ การใช้บริการขนส่งผ่านแอป และการบันทึกเส้นทางประจำ ส่วนการค้นหาและการเรียนรู้ จะบันทึกประวัติการค้นหาบ่งบอกความสนใจและความกังวลของเรา การดูวิดีโอออนไลน์สะท้อนความชอบและทัศนคติต่าง ๆ และการอ่านข่าวสารแสดงมุมมองทางการเมืองและสังคม

กฎหมายคุ้มครองความเป็นส่วนตัวของคนไทย หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ได้สร้างมาตรฐานใหม่ในการคุ้มครองข้อมูลส่วนบุคคล โดยให้สิทธิสำคัญแก่เจ้าของข้อมูล ตั้งแต่สิทธิพื้นฐาน ได้แก่ สิทธิในการรับรู้ (Right to be Informed) เพื่อทราบว่าใครเก็บข้อมูลอะไรไว้บ้าง สิทธิในการเข้าถึง (Right of Access) เพื่อขอดูข้อมูลของตนเองได้ และสิทธิในการแก้ไข (Right to Rectification) เพื่อแก้ไขข้อมูลให้ถูกต้องและเป็นปัจจุบัน ขณะเดียวกัน PDPA ยังให้สิทธิในการควบคุม ได้แก่ สิทธิที่จะถูกลืม (Right to be Forgotten)เพื่อขอลบข้อมูลที่ไม่ต้องการ สิทธิในการคัดค้าน (Right to Object) เพื่อปฏิเสธการใช้ข้อมูลได้ และสิทธิในการเคลื่อนย้ายข้อมูล (Right to Data Portability) เพื่อโอนข้อมูลไปที่อื่นได้

แม้ว่าจะมี PDPA แต่การละเมิดสิทธิของคนไทยและการรั่วไหลของข้อมูลส่วนบุคคลในประเทศไทยจากองค์กรของรัฐและเอกชนขนาดใหญ่ ยังเป็นเรื่องที่เกิดขึ้น โดยไม่มีแนวโน้มที่ลดลง โดยเฉพาะการละเมิดความเป็นส่วนตัว จะส่งผลกระทบต่อความมั่นคงในชีวิตของผู้คนจำนวนมาก เพราะเกิดการสวมรอยทำธุรกรรมทางการเงิน การใช้ข้อมูลเพื่อหลอกลวงญาติและคนใกล้ชิด รวมทั้งการนำข้อมูลไปใช้ในการก่ออาชญากรรมอื่น ๆ

แต่เมื่อเทคโนโลยี AI มีความสามารถเพิ่มมากขึ้นและถูกนำมาใช้ได้ง่ายขึ้นด้วยต้นทุนที่ถูกลง ซึ่งทำให้ AI มีประโยชน์ต่อมนุษยชาติ แต่ก็กำลังสร้างความท้าทายใหม่ ๆ ในการคุ้มครองความเป็นส่วนตัว เพราะ AI จะสามารถวิเคราะห์พฤติกรรมและทำนายการตัดสินใจได้แม่นยำขึ้น จะมีการนำระบบจดจำใบหน้าและท่าทางถูกใช้ในที่สาธารณะมากขึ้น มีการใช้กล้องวงจรปิดที่มี AI วิเคราะห์พฤติกรรม  มีการใช้ AI ในระบบติดตามการใช้งานอินเทอร์เน็ตที่ซับซ้อนขึ้น มีการใช้ AI การวิเคราะห์เสียงและการสนทนาแบบเรียลไทม์ หรือแม้แต่การใช้ AI สร้าง Deep Fake ที่สมจริงจนแยกแยะได้ยาก

  แนวทางปกป้องความเป็นส่วนตัวในยุคดิจิทัล สำหรับบุคคล การป้องกันเบื้องต้น เช่น การตรวจสอบและปรับการตั้งค่าความเป็นส่วนตัวในทุกแพลตฟอร์ม การใช้รหัสผ่านที่ซับซ้อนและเปลี่ยนอย่างสม่ำเสมอ เปิดการยืนยันตัวตนสองชั้นในทุกบริการที่สำคัญ ส่วนการใช้งานออนไลน์อย่างปลอดภัย ควรระมัดระวังการแชร์ข้อมูลส่วนตัวบนโซเชียลมีเดีย ระวังในการเชื่อมต่อเครือข่ายสาธารณะ และหมั่นตรวจสอบประวัติการทำธุรกรรมและรายงานเครดิต นอกจากนี้ควรหมั่นศึกษาและทำความเข้าใจนโยบายความเป็นส่วนตัวก่อนใช้บริการ ระวังการหลอกลวงทางออนไลน์และการแอบอ้างตัวตน และรายงานเมื่อพบการละเมิดความเป็นส่วนตัว ขณะที่องค์กรต่าง ๆ ต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลอย่างเคร่งครัด โดยให้ความสำคัญกับส่งเสริมให้บุคลากรขององค์กรตระหนักถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล และความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งมีมาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสม

ความเป็นส่วนตัวคือรากฐานของเสรีภาพ ในวันสิทธิมนุษยชนสากล 10 ธันวาคมนี้ เราต้องตระหนักว่าสิทธิความเป็นส่วนตัวไม่ใช่เพียงเรื่องของปัจเจกบุคคล แต่เป็นรากฐานสำคัญของสังคมประชาธิปไตย การปกป้องความเป็นส่วนตัวในยุคดิจิทัลจึงเป็นความรับผิดชอบร่วมกันของทุกภาคส่วน เพราะในโลกที่ข้อมูลคือพลัง การปกป้องความเป็นส่วนตัวคือการปกป้องเสรีภาพของเราทุกคน

TPDPA x PDPA Thailand ส่งเสริมคุ้มครองข้อมูลส่วนบุคคลไทย มอบคอร์สเรียนออนไลน์สถาบันอุดมศึกษาทั่วประเทศ

ครบรอบประกาศใช้ 5 ปี บังคับใช้ 2 ปี พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สมาคม TPDPA ร่วมกับ PDPA Thailand ผู้ให้บริการครบวงจรด้านการคุ้มครองข้อมูลส่วนบุคคล  มอบหลักสูตรอบรมออนไลน์แก่มหาวิทยาลัยและคณะนิติศาสตร์ทั่วประเทศ

 

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่รู้จักกันในนาม PDPA คือกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคลของไทย ถูกประกาศลงในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และขยายเวลาบังคับใช้มาหลายครั้ง จนได้ฤกษ์บังคับใช้อย่างเป็นทางการทั้งฉบับในวันที่ 1 มิถุนายน 2565 หรือเมื่อประมาณ 2 ปีกว่า ๆ ที่ผ่านมา องค์กรทั่วไทยทั้งรัฐและเอกชนมีความตื่นตัวเพิ่มมากขึ้น มีการปรับปรุงกระบวนการการทำงานให้สอดคล้องกับกฎหมายและมีความต้องการแรงงานที่มีองค์ความรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection) เพิ่มขึ้นเป็นเงาตามตัว

 

สมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย (TPDPA) ตระหนักเป็นอย่างดีถึงความสำคัญของกฎหมาย PDPA ที่เมื่อดำเนินการอย่างถูกต้องครบถ้วนแล้วจะส่งเสริมให้องค์กรทันยุคทันสมัย เท่าทันโลกาภิวัฒน์ ตลอดจนความต้องการแรงงานที่มีความรู้ด้านนี้เพื่อผลักดันให้ตรงกับวิสัยทัศน์ขององค์กร ร่วมกับ PDPA Thailand ผู้ให้บริการด้านการคุ้มครองข้อมูลส่วนบุคคล ได้แก่ บริการให้คำปรึกษา (Consulting) สอบทาน (Auditing) ฝึกอบรมภายในบริษัท (Inhouse Training) หลักสูตรเปิดให้แก่ผู้ที่สนใจ (Public Training) ฯลฯ ซึ่งมีความเข้าใจต่อสถานการณ์และมีพันธกิจที่ตรงเป็นหนึ่งเดียวกันกับสมาคมฯ

 

ขอมอบหลักสูตรพื้นฐานด้านการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย PDPA (Fundamental of Personal Data Protection Act) ในรูปแบบ E-learning อบรมผ่านระบบออนไลน์ได้ทุกที่ทุกเวลา แก่มหาวิทยาลัยและคณะนิติศาสตร์ทั่วประเทศ เพื่อให้บุคลากรภาคการศึกษามีความรู้ความเข้าใจและนำหลักสูตรที่ได้รับไปถ่ายทอดความรู้นี้แก่นักศึกษาของสถาบัน  สามารถบ่มเพาะนักศึกษาให้พร้อมก้าวสู่ตลาดแรงงานได้อย่างสมบูรณ์ยิ่งขึ้น ภายใต้โครงการที่มีชื่อว่า “PDPA-5n2” ระยะเวลาโครงการ 1 มิถุนายน – 15 สิงหาคม 2567

 

สถานศึกษาและคณะนิติศาสตร์ทั่วประเทศให้การตอบเป็นอย่างดี โดยจากสถิติการตอบรับที่เกิดขึ้นพบว่า กลุ่มมหาวิทยาลัย (มหาวิทยาลัย วิทยาลัย ราชวิทยาลัย และสถาบัน) ทั้งรัฐและเอกชนให้การตอบรับมาสูงถึง 32 แห่ง และคณะนิติศาสตร์ให้การตอบรับกลับมาอีก 7 แห่ง ทั้งนี้ TPDPA และ PDPA Thailand ได้ส่งมอบหลักสูตรดังกล่าวให้ทางมหาวิทยาลัยและคณะนิติศาสตร์ได้นำไปใช้งานและเผยแพร่ในองค์กรแล้ว ด้วยหวังเป็นอย่างยิ่งถึงประโยชน์ด้านการปลูกฝังแนวความคิดและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลให้แข็งแรงจากรากฐานการศึกษาที่ทั่วถึง และท้ายที่สุดก้าวข้ามกลายเป็นวัฒนธรรมและจริยธรรมภายในสังคม