การลบหรือทำลายข้อมูลส่วนบุคคลและการพัฒนา AI
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562
หรือ PDPA มาตรา 37 (3) กำหนดให้องค์กรมีหน้าที่จัดให้มีระบบการตรวจสอบ
เพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา
หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น
หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ
หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่กรณีดังต่อไปนี้
1.
เป็นการเก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น
(freedom of expression)
2.
การเก็บรักษาไว้เพื่อวัตถุประสงค์เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ
2.1 การจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ 2.2การปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
2.3 เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์
การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์
การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ
หรือระบบและการให้บริการด้านสังคมสงเคราะห์
2.4 ประโยชน์สาธารณะด้านการสาธารณสุข
3.
การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย
4.
การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย
5.
การยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
6.
การปฏิบัติตามกฎหมาย
นอกจากจะเป็นหน้าที่ขององค์กรที่จะต้องจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้างต้นแล้ว
PDPA
ยังให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคลในการขอให้ผู้ควบคุมข้อมูลส่วนบุคคล
“ดำเนินการลบหรือทำลาย” (Erasure) หรือ
“ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้อีกด้วย”
(Anonymization) ตามที่กำหนดไว้ในมาตรา 33
และองค์กรมีหน้าที่ดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลเว้นแต่ต้องด้วยข้อยกเว้นตามกฎหมาย
มาตรา
33
ของ PDPA ดังกล่าวแตกต่างจากสิทธิในการขอให้ลบตาม
GDPR (Art. 17 GDPR Right to erasure (‘right to be forgotten’)) เนื่องจากตาม GDPR ไม่ได้กล่าวถึงสิทธิในการขอทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
ดังนั้น โดยหลักการตามมาตรา 17 GDPR หากเจ้าของข้อมูลส่วนบุคคลขอลบข้อมูลและไม่มีข้อยกเว้น
องค์กรย่อมมีหน้าที่ในการลบข้อมูลเท่านั้น
ทั้งนี้
ตาม GDPR
ข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้หรือข้อมูลนิรนาม
(Anonymous Data) ไม่ถือว่าเป็นข้อมูลส่วนบุคคล
จึงไม่อยู่ภายใต้บังคับของ GDPR ดังนั้น
องค์กรที่มีข้อมูลส่วนบุคคลดังกล่าวอยู่ในความครอบครองหรือมีการประมวลผล Anonymous
Data
เช่น
เพื่อการทำ Machine Learning หรือ Training
Data/Testing Data สำหรับโมเดล AI การดำเนินการดังกล่าวจะไม่อยู่ในบังคับของ
GDPR แต่ตาม GDPR ก็ยังมีความไม่ชัดเจนว่าองค์กรสามารถเลือกที่จะใช้วิธีการ
Anonymization แทนการลบข้อมูลได้หรือไม่
และยิ่งหากเจ้าของข้อมูลส่วนบุคคลใช้สิทธิในการขอลบ
องค์กรจะปฏิเสธไม่ดำเนินการลบแต่ใช้วิธีการ Anonymization เพื่อให้ข้อมูลที่มีอยู่สามารถนำไปใช้ประโยชน์ในด้านอื่น ๆ
ต่อไปได้หรือไม่
เมื่อพิจารณาบทบัญญัติของ
PDPA
ตามมาตรา 37 (3) หน้าที่ดำเนินการลบ และมาตรา 33 คำขอให้ลบ
จึงมีประเด็นน่าสนใจว่าองค์กรสามารถเลือกที่จะไม่ลบแต่เลือกทำให้ข้อมูลเป็นข้อมูลนิรนาม
(Anonymous Data) แทนได้หรือไม่
ซึ่ง (ร่าง) ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ในการลบหรือทำลายฯ (อยู่ระหว่างการรับฟังความคิดเห็น) ที่ออกโดยอาศัยอำนาจตามมาตรา 33 วรรคห้า ในข้อ
7.
กำหนดว่า
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลใช้สิทธิขอให้องค์กรดำเนินการลบหรือทำลาย
หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม
ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย องค์กรจะต้องดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเท่านั้น
โดยไม่อาจดำเนินการทำให้ข้อมูลเป็นข้อมูลนิรนาม (Anonymous Data) แทนได้
จากบทบัญญัติดังกล่าวของร่างประกาศฯ
จึงมีแนวโน้มว่าคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะเปิดช่องให้หน่วยงานเลือกใช้การทำ
Anonymization
แทนการลบข้อมูลส่วนบุคคลได้ (ยกเว้นกรณีที่เป็นการเก็บรวบรวม ใช้
หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายเท่านั้น)
ดังนั้น
แม้ว่าเจ้าของข้อมูลส่วนบุคคลจะได้ถอนความยินยอม
หรือข้อมูลส่วนบุคคลนั้นสิ้นสุดระยะเวลาการจัดเก็บแล้ว
ซึ่งการบัญญัติในลักษณะดังกล่าวจะส่งผลดีต่อการพัฒนา AI
ของประเทศ
เนื่องจากนักพัฒนาจะถูกลดข้อจำกัดในการนำข้อมูลมาใช้เพื่อการพัฒนา AI
นอกจากนี้ร่างประกาศฉบับดังกล่าวในข้อ
5.
ยังส่งเสริมและสนับสนุนการพัฒนาเทคโนโลยี AI อย่างมีนัยยะสำคัญ
โดยการกำหนดให้หน่วยงานอาจไม่ต้องทำการลบหรือทำลายข้อมูลส่วนบุคคลหรือต้องทำ Anonymous
Data ตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอเนื่องจากเหตุผลทางเทคนิคได้
ซึ่งกรณีนี้จะทำให้องค์กรที่ใช้ Big Data หรือมีข้อมูลขนาดใหญ่และซับซ้อนเพื่อใช้ในการฝึกสอน
AI อาจไม่ต้องทำการลบหรือทำลายข้อมูลส่วนบุคคล
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลร้องขอ
เนื่องจากการดำเนินการดังกล่าวอาจไม่สามารถดำเนินการได้ด้วยเหตุผลในทางเทคนิค
(Technical
Feasibility) อีกทั้งการดำเนินการลบหรือทำลาย
หรือการทำ Anonymization ยังอาจจะส่งผลกระทบต่อความน่าเชื่อถือและความถูกต้องของการประมวลผลของระบบ
AI
หรือหากข้อมูลส่วนบุคคลถูกลบออกจากชุดข้อมูลการฝึก
โมเดล AI
ก็อาจจำเป็นต้องได้รับการฝึกใหม่ (Model Retraining) เพื่อให้แน่ใจว่าจะไม่เก็บข้อมูลที่ได้มาจากข้อมูลที่ถูกลบ
ซึ่งกระบวนการนี้อาจต้องใช้ทรัพยากรมากอีกด้วย แต่ทั้งนี้
องค์กรมีหน้าที่ชี้แจงหรือแสดงให้เห็นถึงเหตุผลดังกล่าว
อย่างไรก็ตาม
หลักความโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคลก็เป็นเรื่องสำคัญเช่นเดียวกัน
ร่างประกาศฯ จึงกำหนดให้ในกรณีของการทำ Anonymous Data องค์กรมีหน้าที่แจ้งรายละเอียดในการดำเนินการดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบตามสมควรด้วย
หรือในกรณีที่ไม่อาจดำเนินการลบหรือทำลาย หรือทำ Anonymous Data ตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้
องค์กรก็มีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมเหตุผลประกอบด้วยเช่นกัน
ที่มา
:
กรุงเทพธุรกิจ
วันที่
25 มิถุนายน 2567
