27/02/2026
ทีมงาน PDPA Core ได้มีโอกาสเข้าร่วมการประชุมรับฟังความคิดเห็นร่างแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวกับการพัฒนาและใช้งานเทคโนโลยีปัญญาประดิษฐ์ โดย สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล - สคส ในวันที่ 19 กุมภาพันธ์ 2569 ณ โรงแรม ดิ เอมเมอรัลด์ ที่ผ่านมา
เพื่อนำเกณฑ์มาตรฐานใหม่นี้มายกระดับการบริการของเรา ให้ตอบโจทย์ทั้งด้านการรักษาความปลอดภัยของข้อมูลลูกค้า และบริการที่ก้าวทันเทคโนโลยียิ่งขึ้น เราจึงขอสรุปประเด็นสำคัญที่น่าสนใจจากที่ประชุมมาฝากทุกคน
📌📌 ทำไมต้องมีแนวปฏิบัติเรื่อง กับ
เพราะวันนี้ AI เข้ามาอยู่ในชีวิตประจำวันเราทุกส่วน ตั้งแต่กระแสนิยมสายมูในไทยที่หลายคนใช้ ChatGPT ช่วยดูลายมือหรือวิเคราะห์ดวงชะตา ไปจนถึงการใช้ AI ช่วยสรุปงานหรือเขียนอีเมลในที่ทำงาน
แต่สิ่งที่หลายคนมองข้ามคือ ในขณะที่เรากำลังพิมพ์ถามดวงชะตา หรือส่งไฟล์งานให้ AI ช่วยสรุป เรากำลังส่งข้อมูลส่วนบุคคลอะไรให้ AI บ้าง? เพราะ AI จะเรียนรู้และปรับตัวตามคำสั่ง (Prompt) หรือข้อมูลที่เราป้อนให้ (Input) เสมอ
#ร่างแนวปฏิบัติฉบับนี้จึงถูกจัดทำขึ้น เพื่อเป็น ‘คู่มือการปฏิบัติงาน’ (Operational Guidance) เพื่อให้องค์กรใช้งาน AI ได้อย่างโปร่งใส สอดคล้องกับกฎหมาย PDPA และที่สำคัญที่สุดคือการสร้าง ความเชื่อมั่นทางดิจิทัล (Digital Trust) ให้เกิดขึ้นในประเทศไทย
📌📌 สรุปประเด็นสำคัญที่น่าสนใจจากที่ประชุม
ซึ่งแนวปฏิบัติถูกแบ่งออกเป็น 5 ส่วนหลัก ดังนี้
1️⃣ ส่วนที่ 1: #บทนำและการกำกับดูแล
สคส. เน้นย้ำว่าหากเราใช้ AI เพื่อประโยชน์ส่วนตัว เช่น ใช้ช่วยร่างอีเมลหรือหาข้อมูลเพื่อการศึกษา กฎหมาย PDPA จะไม่บังคับใช้ แต่ถ้าเป็นการใช้ในนามองค์กรเพื่อธุรกิจหรือแสวงหากำไร องค์กรต้องปฏิบัติตามกฎหมายอย่างเคร่งครัด
โดยหัวใจสำคัญคือ Stakeholder ต้องระบุสถานะทางกฎหมายของผู้เกี่ยวข้องใน AI Value Chain ให้ชัดเจนว่าใครคือ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และใครคือ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
▪️Data Controller (ผู้ควบคุมข้อมูล) : องค์กรที่ตัดสินใจนำ AI มาใช้และกำหนดวัตถุประสงค์การป้อนข้อมูล
▪️Data Processor (ผู้ประมวลผลข้อมูล) : ผู้ให้บริการโมเดล AI หรือระบบ Cloud ที่ทำงานตามคำสั่ง
การระบุบทบาทที่ชัดเจนจะช่วยให้องค์กรวางรากฐาน Data Protection by Design และจัดทำข้อตกลงการประมวลผล (DPA) ได้อย่างถูกต้องตามหลักความรับผิดชอบ (Accountability)
2️⃣ ส่วนที่ 2: #การปฏิบัติตาม PDPA ตลอดวงจรชีวิต AI
ข้อมูลในโลก AI ไม่ได้มีแค่ชื่อ-นามสกุล แต่ยังรวมถึงข้อมูลทางเทคนิค เช่น Prompt, Embedding หรือ Vector Data ที่สามารถระบุตัวตนทางอ้อมได้ หากข้อมูลมาจากแหล่งอื่น (3rd-party) องค์กรต้องตรวจสอบแหล่งที่มา (Data Provenance) ว่าได้มาโดยชอบด้วยกฎหมายหรือไม่
นอกจากนี้ยังมีประเด็นเรื่อง ‘สิทธิที่จะถูกลืม’ หรือ Machine Unlearning เพราะเมื่อ AI เรียนรู้ข้อมูลไปจนเป็นส่วนหนึ่งของพารามิเตอร์แล้ว การสั่งให้มันลืมทำได้ยากมาก องค์กรจึงต้องมีมาตรการป้องกันไม่ให้ข้อมูลรั่วไหล
3️⃣ ส่วนที่ 3: #การรักษาความมั่นคงปลอดภัย
เน้นการประเมินความเสี่ยงเชิงรุกผ่านการทำ DPIA (Data Protection Impact Assessment) สำหรับโครงการ AI ที่มีความเสี่ยงสูงต่อสิทธิเจ้าของข้อมูล องค์กรต้องมีมาตรการป้องกันการโจมตีใหม่ ๆ เช่น การหลอกล่อคำสั่ง (Prompt Injection) หรือการพยายามกู้คืนข้อมูลส่วนบุคคลจากโมเดล (Model Inversion)
4️⃣ ส่วนที่ 4: #การบริหารจัดการสิทธิและเหตุละเมิด
เจ้าของข้อมูลยังคงมีสิทธิตามกฎหมาย เช่น สิทธิขอเข้าถึงข้อมูล หรือสิทธิคัดค้านการตัดสินใจอัตโนมัติ (Automated Decision-Making) เช่น การอนุมัติสินเชื่อโดย AI องค์กรควรมีกลไกให้มนุษย์ตรวจสอบ (Human-in-the-loop) เพื่อความเป็นธรรม และหากเกิดเหตุละเมิดข้อมูล ต้องแจ้ง สคส. ภายใน 72 ชั่วโมง
5️⃣ ส่วนที่ 5: #ภาคผนวกและเครื่องมือช่วยปฏิบัติ
ส่วนนี้คือ Toolkit สำคัญที่มีทั้งรายการตรวจสอบ (Checklist) และคำถามที่พบบ่อย (FAQ) เพื่อให้ทั้งผู้พัฒนาและผู้ใช้งาน AI นำไปเช็กความสอดคล้องกับกฎหมายได้จริง
สิ่งที่เราเห็นชัดจากการเข้าร่วมประชุมครั้งนี้คือ การกำกับดูแล AI ในประเทศไทยกำลังมุ่งสู่ความโปร่งใสและความรับผิดชอบที่มากขึ้น องค์กรที่ใช้ AI จึงจำเป็นต้องเข้าใจ PDPA มากขึ้นกว่าเดิม
PDPA Core ไม่ได้ทำแค่เอกสารให้ครบตามกฎหมาย แต่เราพัฒนากระบวนการทำงานให้สอดรับกับเทคโนโลยี เพื่อพัฒนาแนวทางการทำ PDPA ให้เติบโตไปพร้อมกับ AI เพราะการคุ้มครองข้อมูลที่ดีต้องก้าวไปพร้อมกับเทคโนโลยีเสมอ
⸻
PDPA Core ให้คำปรึกษา พร้อมจัดทำ PDPA ครบวงจร ติดต่อเราได้ที่
🔸Website: https://go.wow.th/pdpacore-home
🔸Call: 02-024-5560
#ข้อมูลส่วนบุคคล #กฎหมายคุ้มครองข้อมูลส่วนบุคคล
