ในเยอรมนีและสหภาพยุโรป AI ไม่ได้สอดคล้องกับ GDPR โดยอัตโนมัติ และก็ไม่ได้ถูกห้ามโดยอัตโนมัติ ต้องดูการประมวลผลข้อมูลส่วนบุคคลจริง [3][4] EDPB Opinion 28/2024 เน้นสามเรื่องใหญ่: ความเป็นนิรนามของโมเดล ฐานประโยชน์อันชอบด้วยกฎหมาย และผลจากข้อมูลส่วนบุคคลที่เคยประมวลผลไม่ชอบด้วยกฎหมาย [3] หากข้อมูลส่วนบุคคลยังคงอยู่ในโม...

Create a landscape editorial hero image for this Studio Global article: Ist KI DSGVO-konform? Der Faktencheck für Deutschland und die EU. Article summary: KI ist in Deutschland und der EU nicht pauschal DSGVO konform: Nach der EDPB Opinion 28/2024 kommt es auf den konkreten Einsatz, personenbezogene Daten, Anonymität und Rechtsgrundlage an.. Topic tags: ai, privacy, gdpr, data protection, european union. Reference image context from search candidates: Reference image 1: visual subject "A blurred abstract image with warm gold, brown, and black tones is displayed alongside a white page featuring the title "Enzai | AI Governance Deep Dive" and a subtitle indicating" source context "Ist KI DSGVO-konform? Was in Deutschland und der EU wirklich gilt | Antwort | Studio Global" Reference image 2: visual subject "Der KI-Selbstcheck leitet dich mit einigen einfachen Fragen zu deinem Ergebnis. Natü
คำถามสำคัญไม่ใช่แค่ว่า ระบบนี้เป็น AI หรือไม่ แต่คือในโครงการนั้นมีการประมวลผลข้อมูลส่วนบุคคลตรงไหนบ้าง — ตอนพัฒนา ตอนนำไปใช้ หรือในขั้นตอนต่อ ๆ มา — และมีฐานการประเมินตาม GDPR ที่รองรับได้หรือเปล่า
สำหรับผู้อ่านไทยที่เจอคำว่า DSGVO ในบทความภาษาเยอรมัน ให้เข้าใจว่าเป็นชื่อย่อภาษาเยอรมันของ GDPR หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปในบริบทเยอรมนี ประเด็นหลักจึงไม่ใช่ชื่อย่อ แต่คือการใช้ข้อมูลส่วนบุคคลในระบบ AI นั้นถูกตรวจสอบตามกฎหมายอย่างไร
EDPB Opinion 28/2024 ของคณะกรรมการคุ้มครองข้อมูลแห่งยุโรปเป็นจุดอ้างอิงสำคัญในแหล่งข้อมูลนี้ เพราะเอกสารดังกล่าวว่าด้วยบางประเด็นด้านการคุ้มครองข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลในบริบทของโมเดล AI ข้อสรุปไม่ได้เป็นทั้งไฟเขียวแบบเหมารวม และไม่ได้เป็นคำสั่งห้าม AI แบบเหมารวมเช่นกัน
ประโยคว่า AI สอดคล้องกับ GDPR เป็นประโยคที่กว้างเกินไป เช่นเดียวกับประโยคว่า การใช้ AI ทุกกรณีผิดกฎหมายโดยอัตโนมัติ ก็ไม่แม่นยำ เอกสารของ EDPB มอง AI เป็นบริบทที่อาจมีการประมวลผลข้อมูลส่วนบุคคล และให้พิจารณาการประมวลผลนั้นเป็นรายกรณี
ในประกาศเมื่อวันที่ 18 ธันวาคม 2024 EDPB ระบุว่า Opinion 28/2024 พิจารณา 3 คำถามสำคัญ ได้แก่ โมเดล AI จะถือว่าเป็นนิรนามได้เมื่อใดและอย่างไร ประโยชน์อันชอบด้วยกฎหมายจะใช้เป็นฐานทางกฎหมายสำหรับการพัฒนาหรือใช้โมเดล AI ได้หรือไม่และอย่างไร และจะเกิดอะไรขึ้นหากโมเดล AI ถูกพัฒนาด้วยข้อมูลส่วนบุคคลที่เคยถูกประมวลผลโดยไม่ชอบด้วยกฎหมาย
ดังนั้น สำหรับเยอรมนีและสหภาพยุโรป จากแหล่งข้อมูลเหล่านี้ไม่มีคำตอบพิเศษที่บอกว่า AI ได้รับอนุญาตทั้งหมดหรือถูกห้ามทั้งหมด สิ่งที่ต้องตรวจคือการประมวลผลข้อมูลส่วนบุคคลจริง: ข้อมูลใดถูกใช้ ใช้เพื่อวัตถุประสงค์ใด อ้างฐานทางกฎหมายใด และมีความเสี่ยงต่อการประมวลผลในขั้นต่อมาอย่างไร
Opinion 28/2024 ระบุขอบเขตไว้ชัดว่าเกี่ยวกับบางประเด็นด้านการคุ้มครองข้อมูลในการประมวลผลข้อมูลส่วนบุคคลในบริบทของโมเดล AI เอกสารนี้จึงไม่ได้ตอบทุกคำถามทางกฎหมายเกี่ยวกับ AI แต่จับประเด็นที่สำคัญมากต่อการประเมินตาม GDPR
จุดที่ผู้พัฒนา ผู้ให้บริการ และผู้ใช้ในองค์กรควรอ่านให้ดีคือ โมเดล AI ไม่ได้ถูกประเมินจากคำเรียกทางเทคนิคเพียงอย่างเดียว แต่ต้องดูว่ามีข้อมูลส่วนบุคคลเข้าไปเกี่ยวข้องอย่างไร โดยเฉพาะเรื่องความเป็นนิรนาม ฐานทางกฎหมายแบบประโยชน์อันชอบด้วยกฎหมาย และผลของการประมวลผลข้อมูลที่อาจไม่ชอบด้วยกฎหมายในช่วงพัฒนาโมเดล
ความเข้าใจผิดที่พบบ่อยคือ หากข้อมูลส่วนบุคคลถูกนำไปฝึกโมเดลแล้วมองไม่เห็นข้อมูลดิบ โมเดลนั้นย่อมเป็นนิรนามเสมอ แนวของ EDPB ไม่ได้ง่ายแบบนั้น เพราะ EDPB ระบุว่าหน่วยงานกำกับคุ้มครองข้อมูลควรประเมินเป็นรายกรณีว่าโมเดล AI ใดถือเป็นนิรนามได้หรือไม่
แปลเป็นภาษาปฏิบัติคือ การพูดลอย ๆ ว่าโมเดลนี้ไม่เปิดเผยชื่อบุคคลแล้ว จึงไม่เกี่ยวกับ GDPR อาจไม่พอ สิ่งสำคัญคือภายใต้เงื่อนไขจริงของโมเดลนั้น ยังสามารถถือว่าเป็นนิรนามได้อย่างมีน้ำหนักหรือไม่
ประเด็นนี้ยิ่งสำคัญหากข้อมูลส่วนบุคคลยังคงอยู่ในโมเดล เอกสารสัมมนาของ ENISA เกี่ยวกับ EDPB Opinion ยกสถานการณ์ที่ข้อมูลส่วนบุคคลที่คงอยู่ในโมเดลอาจมีผลต่อความชอบด้วยกฎหมายของการประมวลผลในภายหลัง และต้องประเมินเป็นรายกรณี
หนึ่งในคำถามที่ EDPB Opinion 28/2024 พิจารณาโดยตรงคือ จะใช้ประโยชน์อันชอบด้วยกฎหมาย หรือ legitimate interest เป็นฐานทางกฎหมายสำหรับการพัฒนาหรือใช้โมเดล AI ได้หรือไม่ และอย่างไร
ประเด็นนี้สำคัญ แต่ไม่ใช่เช็คเปล่าที่ใช้ได้กับ AI ทุกกรณี จากแหล่งข้อมูลของ EDPB ไม่ได้แปลว่าการพัฒนา AI ทุกแบบหรือการใช้ AI ทุกงานจะอ้างประโยชน์อันชอบด้วยกฎหมายได้โดยอัตโนมัติ คำถามจริงคือ ฐานทางกฎหมายนี้รองรับการประมวลผลเฉพาะกรณีนั้นได้หรือไม่
หากขั้นตอนก่อนหน้าเคยมีปัญหา การประเมินจะยิ่งละเอียดขึ้น เอกสารของ ENISA ระบุสถานการณ์ที่หากการประมวลผลในภายหลังอ้างประโยชน์อันชอบด้วยกฎหมาย ก็ต้องนำความไม่ชอบด้วยกฎหมายตั้งแต่ต้นเข้ามาพิจารณาในการประเมินด้วย
อีกประเด็นหลักของ Opinion คือจะทำอย่างไรหากโมเดล AI ถูกพัฒนาด้วยข้อมูลส่วนบุคคลที่ถูกประมวลผลโดยไม่ชอบด้วยกฎหมาย
นัยสำคัญคือ ประวัติข้อมูลที่มีปัญหาไม่ได้หายไปเองเพียงเพราะภายหลังใช้งานในรูปแบบโมเดล AI แทนชุดข้อมูลดิบ หากข้อมูลส่วนบุคคลยังคงอยู่ในโมเดล ประเด็นนี้อาจกระทบความชอบด้วยกฎหมายของการประมวลผลในขั้นต่อมา และตามเอกสารของ ENISA ต้องประเมินเป็นรายกรณี
เมื่อมีหลายฝ่ายเกี่ยวข้อง เช่น ผู้พัฒนา ผู้ให้บริการ และผู้ใช้งานปลายทาง ความรับผิดก็ต้องแยกให้ชัด เอกสารของ ENISA แยกสถานการณ์ระหว่างผู้ควบคุมข้อมูลรายเดียวกับผู้ควบคุมข้อมูลคนละราย และเน้นว่าผู้ควบคุมข้อมูลแต่ละรายควรทำให้มั่นใจว่าการประมวลผลของตนเองชอบด้วยกฎหมาย
เช็กลิสต์นี้ไม่ใช่คำปรึกษากฎหมายเฉพาะกรณี แต่เป็นกรอบอ่านเอกสาร EDPB และ ENISA ให้จับประเด็นได้เร็วขึ้น
ก่อนอื่นต้องบอกให้ได้ว่ากำลังพูดถึงการพัฒนาโมเดล การนำไปใช้งานจริง หรือการประมวลผลอีกขั้นหนึ่งในบริบทของโมเดล AI เพราะประกาศของ EDPB กล่าวถึงการใช้ข้อมูลส่วนบุคคลทั้งเพื่อการพัฒนาและการนำโมเดล AI ไปใช้งาน
ต้องบันทึกให้ชัดว่ามีข้อมูลส่วนบุคคลถูกประมวลผลหรือไม่ และเกิดขึ้นในจุดใดของระบบ เพราะ Opinion 28/2024 ว่าด้วยการประมวลผลข้อมูลส่วนบุคคลในบริบทของโมเดล AI โดยตรง
หากจะจัดโมเดลว่าเป็นนิรนาม การประเมินต้องมีน้ำหนักตามข้อเท็จจริง ไม่ใช่เพียงคำยืนยันทั่วไป EDPB ระบุว่าหน่วยงานกำกับคุ้มครองข้อมูลจะประเมินความเป็นนิรนามของโมเดล AI เป็นรายกรณี
หากจะอ้างประโยชน์อันชอบด้วยกฎหมาย ต้องตรวจว่าฐานนี้รองรับการพัฒนาหรือการใช้งานเฉพาะกรณีนั้นได้อย่างไร เอกสารที่มีอยู่ไม่ได้สร้างข้อยกเว้นแบบเหมารวมสำหรับ AI
ควรถามว่าข้อมูลส่วนบุคคลยังคงอยู่ในโมเดลหรือไม่ และข้อมูลในช่วงพัฒนาโมเดลถูกประมวลผลโดยชอบด้วยกฎหมายหรือเปล่า ทั้งสองเรื่องอาจเกี่ยวข้องกับการประมวลผลในภายหลัง
หากมีหลายองค์กรหรือหลายหน่วยงานเกี่ยวข้องกับการพัฒนา การให้บริการ หรือการใช้โมเดล ต้องระบุให้ได้ว่าใครรับผิดชอบขั้นตอนไหน เอกสารของ ENISA เน้นว่าผู้ควบคุมข้อมูลแต่ละรายควรทำให้มั่นใจว่าการประมวลผลของตนเองชอบด้วยกฎหมาย
“โมเดล AI เป็นนิรนาม เพราะมองไม่เห็นข้อมูลดิบ” ไม่จำเป็นเสมอไป EDPB ระบุว่าความเป็นนิรนามของโมเดล AI ต้องประเมินเป็นรายกรณี
“อ้างประโยชน์อันชอบด้วยกฎหมายก็พอแล้ว” ยังไม่พอ EDPB พิจารณาว่าฐานนี้ใช้ได้หรือไม่และอย่างไร แต่ไม่ได้ให้เหตุผลอัตโนมัติสำหรับการใช้ AI ทุกกรณี
“พอฝึกโมเดลเสร็จแล้ว ที่มาของข้อมูลไม่สำคัญ” ไม่ถูกต้อง Opinion พิจารณาโดยตรงว่าหากโมเดล AI ถูกพัฒนาด้วยข้อมูลส่วนบุคคลที่ประมวลผลโดยไม่ชอบด้วยกฎหมายจะเกิดผลอย่างไร และหากข้อมูลส่วนบุคคลยังคงอยู่ในโมเดล ก็อาจมีผลต่อการประมวลผลในภายหลัง
AI ในเยอรมนีและสหภาพยุโรปไม่ได้สอดคล้องกับ GDPR เพียงเพราะเป็น AI และก็ไม่ได้ผิดกฎหมายเพียงเพราะเป็น AI เช่นกัน คำตอบที่ตรวจสอบได้คือ ต้องดูการประมวลผลข้อมูลส่วนบุคคลเฉพาะกรณี โดยเฉพาะความเป็นนิรนาม ฐานทางกฎหมาย ข้อมูลที่ยังคงอยู่ในโมเดล และผลจากการประมวลผลข้อมูลที่อาจไม่ชอบด้วยกฎหมายในช่วงก่อนหน้า
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
ในเยอรมนีและสหภาพยุโรป AI ไม่ได้สอดคล้องกับ GDPR โดยอัตโนมัติ และก็ไม่ได้ถูกห้ามโดยอัตโนมัติ ต้องดูการประมวลผลข้อมูลส่วนบุคคลจริง [3][4]
ในเยอรมนีและสหภาพยุโรป AI ไม่ได้สอดคล้องกับ GDPR โดยอัตโนมัติ และก็ไม่ได้ถูกห้ามโดยอัตโนมัติ ต้องดูการประมวลผลข้อมูลส่วนบุคคลจริง [3][4] EDPB Opinion 28/2024 เน้นสามเรื่องใหญ่: ความเป็นนิรนามของโมเดล ฐานประโยชน์อันชอบด้วยกฎหมาย และผลจากข้อมูลส่วนบุคคลที่เคยประมวลผลไม่ชอบด้วยกฎหมาย [3]
หากข้อมูลส่วนบุคคลยังคงอยู่ในโมเดล ประวัติการฝึกและความรับผิดของผู้ควบคุมข้อมูลแต่ละรายอาจมีผลต่อความชอบด้วยกฎหมายของการใช้งานต่อไป [2]