จาก EU AI Act สู่แนวทางการพัฒนากฎหมาย AI ของไทย: สร้างสมดุลระหว่างนวัตกรรมและการคุ้มครองสิทธิ

ในยุคที่เทคโนโลยีปัญญาประดิษฐ์ (Artificial Intelligence: AI) กำลังเข้ามามีบทบาทสำคัญในการขับเคลื่อนเศรษฐกิจและสังคมดิจิทัล การกำกับดูแลการพัฒนาและการใช้งาน AI ด้วยกฎหมายและกฎระเบียบที่เหมาะสมจึงเป็นประเด็นที่หลายประเทศทั่วโลกให้ความสำคัญ เพื่อสร้างความสมดุลระหว่างการส่งเสริมนวัตกรรมและการคุ้มครองสิทธิและความเป็นอยู่ที่ดีของประชาชน ซึ่งสหภาพยุโรป (European Union: EU) ถือเป็นผู้นำในการวางกรอบกฎหมายเพื่อกำกับดูแล AI โดยมีความพยายามในการเสนอร่างกฎหมายพระราชบัญญัติ "Artificial Intelligence Act" (AI Act) ซึ่งจะเป็นกฎหมายฉบับแรกของโลกที่กำหนดมาตรฐานการกำกับดูแล AI โดยตรง โดยกฎหมายฉบับนี้ได้ผ่านการอนุมัติจาก European Parliament เมื่อวันที่ 13 มีนาคม 2024 และได้ผ่านการอนุมัติร่างพระราชบัญญัติ "Artificial Intelligence Act" (AI Act) อย่างเป็นทางการ เมื่อวันที่ 21 พฤษภาคม 2024 ที่ผ่านมา โดยคณะมนตรีแห่งสหภาพยุโรป (The Council of the EU) ซึ่งจะเริ่มทยอยมีผลบังคับใช้ในแต่ละหัวข้อตามกรอบระยะเวลาที่แตกต่างกันออกไป และจะมีผลบังคับใช้อย่างเต็มรูปแบบประมาณปี 2026

นอกจากนั้น EU ยังมีการปรับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง General Data Protection Regulation (GDPR) ให้ครอบคลุมการประมวลผลข้อมูลโดยระบบ AI ด้วย บทความนี้จะวิเคราะห์แนวทางของ EU ในการกำกับดูแล AI ผ่านกฎหมายสำคัญเหล่านี้ และนำเสนอแนวทางที่ประเทศไทยสามารถนำไปประยุกต์ใช้ในการพัฒนากรอบกฎหมายของตนเองต่อไป

สาระสำคัญของ EU AI Act และผลกระทบต่อการพัฒนา AI ในยุโรป

ร่างกฎหมาย EU AI Act มีจุดมุ่งหมายเพื่อกำหนดกรอบการกำกับดูแล AI ที่สร้างสมดุลระหว่างการคุ้มครองสิทธิขั้นพื้นฐานของประชาชน กับการส่งเสริมนวัตกรรมและการแข่งขันที่เป็นธรรม หัวใจสำคัญของ AI Act อยู่ที่การจัดระดับความเสี่ยงของระบบ AI (Risk-based approach) โดยแบ่งออกเป็น 4 ระดับ ได้แก่

1. ระดับที่มีความเสี่ยงต่ำมาก (Minimal risk) เป็นระบบ AI ที่ให้อิสระแก่ผู้พัฒนาในการใช้งานและนำไปใช้ประโยชน์โดยไม่มีการกำกับดูแลอย่างเฉพาะเจาะจง เพราะมีความเสี่ยงต่ำมาก ตัวอย่างเช่น

   • ระบบกรองสแปมหรืออีเมลขยะ สำหรับระบบเหล่านี้ การพัฒนาและใช้งานสามารถดำเนินการได้อย่างอิสระ เพียงแค่ต้องปฏิบัติตามกฎหมายทั่วไปและหลักการพื้นฐานของจริยธรรม AI เท่านั้น

2. ระดับที่มีความเสี่ยงต่ำหรือจำกัด (Limited risk) เป็นระบบ AI ที่มีความเสี่ยงต่อผู้ใช้ในระดับต่ำ ข้อกำหนดจึงไม่เข้มงวดมากนัก ตัวอย่างเช่น

   • แชทบอทหรือระบบตอบคำถามอัตโนมัติ ที่ไม่ได้เก็บข้อมูลส่วนบุคคลและไม่มีอำนาจตัดสินใจสำคัญใดๆ เพียงแค่สร้างปฏิสัมพันธ์กับผู้ใช้หรือให้ข้อมูลทั่วไป ระบบเหล่านี้มีภาระผูกพันเพียงการแจ้งให้ผู้ใช้ทราบว่ากำลังติดต่อกับ AI ไม่ใช่มนุษย์จริง เพื่อป้องกันความสับสนหรือความเข้าใจผิด

3. ระดับที่มีความเสี่ยงสูง (High risk) เป็นระบบ AI ที่มีความเสี่ยงสูงต่อสุขภาพ ความปลอดภัย และสิทธิขั้นพื้นฐานของประชาชน จึงต้องมีการกำกับดูแลอย่างเข้มงวด ตัวอย่างเช่น

   • ระบบคัดเลือกผู้สมัครงาน (Recruitment AI) ที่วิเคราะห์คุณสมบัติและความเหมาะสมของผู้สมัครจากใบสมัคร ซึ่งมีความเสี่ยงต่อการเลือกปฏิบัติและปิดกั้นโอกาสการจ้างงานอย่างไม่เป็นธรรม ระบบเหล่านี้จะต้องปฏิบัติตามข้อกำหนดที่เข้มงวด เช่น ต้องผ่านการประเมินความเสี่ยงอย่างละเอียด การจัดทำเอกสารอธิบายกระบวนการตัดสินใจของระบบ การกำกับดูแลโดยมนุษย์ และการเปิดเผยข้อมูลที่จำเป็น เป็นต้น

4. ระดับที่มีความเสี่ยงที่ยอมรับไม่ได้ (Unacceptable risk) เป็นระบบ AI ที่มีความเสี่ยงสูงมากจนถึงขั้นยอมรับไม่ได้ เนื่องจากสร้างอันตรายหรือผลกระทบเชิงลบอย่างร้ายแรง ทำให้ถูกห้ามใช้งานโดยเด็ดขาด ตัวอย่างเช่น

   • ระบบระบุตัวตนด้วยข้อมูลชีวมิติ (เช่น ใบหน้า ลายนิ้วมือ) แบบเรียลไทม์ในพื้นที่สาธารณะ ซึ่งละเมิดสิทธิความเป็นส่วนตัวและเสรีภาพในการเคลื่อนไหวของบุคคล (ยกเว้นเพื่อประโยชน์สาธารณะบางประการ เช่น การสืบสวนอาชญากรรม)

การจัดระดับความเสี่ยงนี้ช่วยให้การกำกับดูแลเป็นไปอย่างเหมาะสมสอดคล้องกับระดับความอันตรายหรือผลกระทบที่อาจเกิดต่อปัจเจกบุคคลและสังคม ทำให้เกิดการคุ้มครองสิทธิอย่างเพียงพอในระบบที่มีความเสี่ยงสูง ในขณะเดียวกันก็ไม่สร้างภาระหรืออุปสรรคเกินจำเป็นต่อผู้พัฒนาในระบบที่มีความเสี่ยงต่ำ ซึ่งช่วยสร้างสมดุลระหว่างการนำ AI มาใช้ประโยชน์และการคุ้มครองประชาชนไปพร้อมๆกัน

นอกจากนี้ AI Act ยังกำหนดให้มีการจัดตั้งพื้นที่กำกับดูแลเป็นการเฉพาะ (Regulatory sandbox) เพื่อเป็นพื้นที่สำหรับการทดสอบนวัตกรรม AI ในสภาวะแวดล้อมจำกัด ก่อนที่จะนำไปใช้งานจริงในวงกว้าง ภายใต้ การกำกับดูแลของหน่วยงานผู้มีอำนาจ กลไกนี้จะช่วยอำนวยความสะดวกในการพัฒนาและทดสอบนวัตกรรมใหม่ๆ โดยมีการควบคุมความเสี่ยงไว้ตั้งแต่ต้น ซึ่งจะเป็นประโยชน์ต่อการส่งเสริมการวิจัยและพัฒนาเทคโนโลยี AI ในยุโรป

ความเชื่อมโยงระหว่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล GDPR และการกำกับดูแล AI

แม้ AI Act จะเป็นกฎหมายหลักในการกำกับดูแล AI โดยตรง แต่ในทางปฏิบัติ การใช้งาน AI มักจะเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลด้วย ดังนั้น จึงจำเป็นต้องพิจารณากฎหมายคุ้มครองข้อมูลส่วนบุคคลควบคู่ไปด้วย ซึ่งในกรณีของสหภาพยุโรปก็คือ General Data Protection Regulation (GDPR) โดย GDPR ได้กำหนดหลักการสำคัญและข้อกำหนดในการประมวลผลข้อมูลส่วนบุคคล เพื่อคุ้มครองสิทธิของเจ้าของข้อมูล ซึ่งระบบ AI ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการฝึกฝน ทดสอบ หรือใช้งานจริงก็ถือเป็นการประมวลผลข้อมูลรูปแบบหนึ่ง จึงต้องปฏิบัติตามข้อกำหนดและหลักการของ GDPR ด้วย

ข้อกำหนดสำคัญของ GDPR เริ่มตั้งแต่การเก็บข้อมูลต้องได้รับความยินยอมจากเจ้าของข้อมูล หรือมีฐานทางกฎหมายอื่นรองรับ ต้องแจ้งวัตถุประสงค์และรายละเอียดการประมวลผลแก่เจ้าของข้อมูล จำกัดการเก็บข้อมูลเท่าที่จำเป็น และระมัดระวังไม่ให้ข้อมูลรั่วไหล ในระหว่างประมวลผลต้องเคารพสิทธิของเจ้าของข้อมูลตามที่กฎหมายกำหนด เช่น สิทธิในการเข้าถึง แก้ไข ลบ โอนย้าย หรือคัดค้านการประมวลผลข้อมูล รวมถึงสิทธิที่จะไม่ถูกตัดสินใจอย่างอัตโนมัติโดยอาศัยการประมวลผลข้อมูลแต่เพียงอย่างเดียว ซึ่งในกรณีของ AI นั้น ผู้ควบคุมและประมวลผลข้อมูลจะต้องจัดให้มีมาตรการที่เหมาะสมในการปกป้องสิทธิเหล่านี้ เช่น การแจ้งให้เจ้าของข้อมูลทราบเมื่อมีการตัดสินใจโดย AI การจัดให้มีกลไกอุทธรณ์โดยมนุษย์

นอกจากการปฏิบัติตามข้อกำหนดทั่วไปของ GDPR แล้ว AI Act ซึ่งเป็นกฎหมายหลัก ที่เข้ามากำกับดูแล AI โดยเฉพาะ AI ที่มีความเสี่ยงสูง ซึ่งจะต้องดำเนินการตามข้อกำหนดเพิ่มเติมด้วย เช่น การจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment: DPIA) ก่อนการประมวลผล เพื่อระบุความเสี่ยงที่อาจเกิดขึ้นต่อสิทธิและเสรีภาพของเจ้าของข้อมูล และกำหนดมาตรการจัดการความเสี่ยงที่เหมาะสม

จากการศึกษาถึงแม้ว่า AI Act จะมีมาตรการในการคุ้มครองสิทธิความเป็นส่วนตัวของปัจเจกบุคคลที่กำหนดไว้รัดกุมแล้ว จากการพิจารณาถึงผลกระทบในการเข้าถึงข้อมูลส่วนบุคคลด้วย AI ยังคงมีประเด็นที่ควรพิจารณาถึง ในเรื่องการจัดตั้งพื้นที่กำกับดูแลเป็นการเฉพาะ (Regulatory sandbox) ซึ่งกลไกนี้ถือเป็นเครื่องมือที่มีประสิทธิภาพ ที่เป็นสนามทดสอบรูปแบบการทำธุรกิจ ผลิตภัณฑ์และบริการจากเทคโนโลยีและนวัตกรรมใหม่ ภายใต้แนวคิดพื้นที่ปลอดภัยสำหรับการทดลองและทดสอบที่สอบคล้องกับกฎระเบียบที่เหมาะสม สามารถหลีกเลี่ยงความเสี่ยงและผลกระทบทางกฎหมายที่อาจเกิดขึ้น แต่ความเห็นอีกด้านหนึ่งในบทความของ Florina Pop and Lukas Adomavicius พบว่า การเข้าถึงข้อมูลส่วนบุคคลด้วย AI ในกลไกนี้ อาจมีช่องโหว่จากกรณีของการประมวลผลข้อมูลส่วนบุคคลเพิ่มเติมเพื่อวัตถุประสงค์อื่นนอกเหนือจากที่ได้รวบรวมข้อมูลไว้ (อาทิ เฉพาะในกรณีที่เป็นการจัดตั้ง Regulatory sandbox พัฒนาระบบเพื่อสาธารณประโยชน์ การป้องกันความผิดทางอาญา การสาธารณสุข สุขภาพของประชาชน มาตรการด้านความปลอดภัย หรือการคุ้มครองสิ่งแวดล้อม) ที่ได้ที่กำหนดไว้ใน มาตรา 54 ของ AI Act ในเรื่องการประมวลผลข้อมูลส่วนบุคคล ที่อาจไปลดทอนหรือละเมิดกฎระเบียบที่เหมาะสมในการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดไว้ในกฎหมาย GDPR ในประเด็นที่เกี่ยวข้องกับหลักการจำกัดวัตถุประสงค์ของการประมวลผลข้อมูลตาม มาตรา 5(1)(b) และ มาตรา 6(4) ที่กำหนดไว้อย่างเคร่งครัดในกฎหมาย GDPR ซึ่งอาจจะส่งผลกระทบแก่สิทธิมนุษยชนซึ่งเป็นสิทธิขั้นพื้นฐานของประชาชนตามรัฐธรรมนูญ

อย่างไรก็ตาม แม้ว่าการจัดตั้งพื้นที่กำกับดูแลเป็นการเฉพาะ (Regulatory sandbox) นั้นพบข้อที่เป็นประโยชน์หลายประการ อีกทั้งผู้กำหนดนโยบายของภาครัฐจะเกิดการเรียนรู้และความเข้าใจอันจะนำไปสู่การพัฒนากฎระเบียบที่ทันสมัยโดยอ้างอิงจากผลการทดสอบที่ได้จากการทดลองในพื้นที่กำกับดูแลเป็นการเฉพาะนี้ ในขณะเดียวกันก็อาจเกิดเสียงวิพากษ์วิจารณ์ในประเด็นกฎหมายข้างต้นได้ ดังนั้น หน่วยงานกำกับดูแลและผู้พัฒนา AI ในสหภาพยุโรปจึงจำเป็นต้องทำความเข้าใจและบูรณาการการปฏิบัติตามทั้ง AI Act และ GDPR เข้าไปในทุกขั้นตอนการพัฒนาและการทดสอบและการใช้งาน AI เพื่อให้เกิดการปกป้องสิทธิของประชาชนอย่างรอบด้าน

แนวทางสำหรับประเทศไทยในการพัฒนากรอบกฎหมายกำกับดูแล AI

สำหรับประเทศไทย การกำกับดูแล AI ยังอยู่ในระยะเริ่มต้น โดยปัจจุบันมีเพียงแนวปฏิบัติจริยธรรมปัญญาประดิษฐ์ (AI Ethics Guideline) ที่พัฒนาโดยคณะกรรมการจริยธรรมปัญญาประดิษฐ์ ซึ่งกำหนดหลักการพื้นฐาน 6 ประการไว้ ทั้งนี้ แนวปฏิบัติดังกล่าวยังเป็นเพียงข้อเสนอแนะในการปฏิบัติตามความสมัครใจ ซึ่งต่อมาได้มีการยกร่างกฎหมายหรือระเบียบรองรับเพื่อให้มีกลไกการบังคับใช้ที่ชัดเจนขึ้น โดยสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ร่วมกับทีมวิจัยมหาวิทยาลัยธรรมศาสตร์ได้พัฒนาโดยการจัดทำร่างพระราชบัญญัติว่าด้วยการส่งเสริมและสนับสนุนนวัตกรรมปัญญาประดิษฐ์แห่งประเทศไทย เพื่อเตรียมพร้อมการดำเนินงานตามร่างแผนปฏิบัติการ AI แห่งชาติ

ในการพัฒนากรอบกฎหมายกำกับดูแล AI ของไทย เราสามารถเรียนรู้จากประสบการณ์ของสหภาพยุโรป โดยเฉพาะในประเด็นต่อไปนี้

1. การกำหนดขอบเขตและหลักการของกฎหมายโดยการจัดระดับความเสี่ยงของระบบ AI ซึ่งเป็นแนวทางที่ได้รับการยอมรับในระดับสากล แนวทางนี้จะช่วยให้การกำกับดูแลเป็นไปอย่างเหมาะสมกับระดับความเสี่ยง โดยไม่สร้างภาระเกินจำเป็นสำหรับระบบที่มีความเสี่ยงต่ำ ขณะเดียวกันก็มีความเข้มงวดพอสำหรับระบบที่มีความเสี่ยงสูง
2. การสร้างสมดุลระหว่างการบังคับใช้กฎเกณฑ์เชิงบังคับ (Hard law) และการส่งเสริมแนวปฏิบัติโดยสมัครใจ (Soft law) เช่น การสนับสนุนการพัฒนาประมวลจริยธรรมโดยหน่วยงานวิชาชีพหรือองค์กรกำกับดูแลตนเอง ซึ่งจะช่วยให้กรอบการกำกับดูแลมีความยืดหยุ่นและปรับตัวได้กับการพัฒนาของเทคโนโลยี
3. การจัดตั้ง AI sandbox เพื่อเป็นกลไกทดสอบนวัตกรรมภายใต้การกำกับดูแลของหน่วยงานที่เกี่ยวข้อง
4. การบูรณาการข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคล (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) เข้ากับการกำกับดูแล AI โดยการสร้างความเชื่อมโยงระหว่างหน่วยงานกำกับดูแลและการบังคับใช้กฎหมายทั้งสองฉบับ รวมถึงการให้ความรู้แก่ผู้พัฒนาและผู้ใช้งานถึงข้อกำหนดที่เกี่ยวข้อง

บทสรุป

การวางกรอบกฎหมายเพื่อกำกับดูแลการพัฒนาและใช้งาน AI อย่างมีประสิทธิผล จะเป็นปัจจัยสำคัญในการวางรากฐานสำหรับการพัฒนาเทคโนโลยีและนวัตกรรม AI อย่างยั่งยืนและรับผิดชอบต่อสังคม โดยการสร้างความสมดุลระหว่างการส่งเสริมนวัตกรรมและการคุ้มครองสิทธิและเสรีภาพของประชาชน ประสบการณ์ของสหภาพยุโรปในการพัฒนา AI Act และการปรับใช้ GDPR ให้สอดคล้องกับการกำกับดูแล AI เป็นแบบอย่างที่ดีที่ประเทศไทยสามารถเรียนรู้ได้ ทั้งในแง่การออกแบบหลักการและขอบเขตของกฎหมาย การจัดระดับความเสี่ยงของระบบ การวางกลไกการกำกับดูแลและบังคับใช้กฎหมาย การจัดตั้ง AI sandbox การสร้างความสมดุลระหว่างการบังคับใช้กฎเกณฑ์และการส่งเสริมแนวปฏิบัติที่ดี ร่วมกันกำหนดนโยบาย พัฒนากรอบจริยธรรมและกฎหมายที่เข้มแข็ง นั่นจะเป็นจุดเริ่มต้นสำคัญที่จะทำให้ไทยสามารถใช้ประโยชน์จากพลังของ AI ได้อย่างเต็มศักยภาพ ในขณะเดียวกันก็ลดทอนความเสี่ยงและผลกระทบเชิงลบต่างๆ เพื่อการพัฒนาที่ยั่งยืนและทั่วถึงอย่างแท้จริง

จรรยา ชมศิริ

หัวหน้างานกฎหมายอาวุโส

สำนักงานส่งเสริมเศรษฐกิจดิจิทัล

แหล่งข้อมูลอ้างอิง

• Admin Dir. บทความ ตอนที่ 1 ปัญญาประดิษฐ์ (AI) กับการกำกับดูแลในแง่มุมของกฎหมายและการเตรียมความพร้อมระดับองค์กร Retrieved from https://www.dir.co.th/en/news/ia-news/organizational-preparation-ai-2.html.
• ร่างกฎหมาย EU Artificial Intelligence Act (EU AI Act).กรมยุโรปกระทรวงการต่างประเทศ Retrieved from https://europetouch.mfa.go.th/th/content/%E0%B8%A3%E0%B9%88%E0%B8%B2%E0%B8%87%E0%B8%81%E0%B8%8E%E0%B8%AB%E0%B8%A1%E0%B8%B2%E0%B8%A2-eu-artificial-intelligence-act-eu-ai-ac?cate=5d6abf7c15e39c3f30001465.
• European Commission. (2021). Proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). Retrieved from https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-laying-down-harmonised-rules-artificial-intelligence.
• European Union. (2016). Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Official Journal of the European Union.
• Danique Knibbeler and Sarah Zadeh. International: The interplay between the AI Act and the GDPR - AI series
• part 1. Retrieved from https://www.dataguidance.com/opinion/international-interplay-between-ai-act-and-gdpr-ai.
• Florina Pop and Lukas Adomavicius. Sandboxes for Responsible Artificial Intelligence. Retrieved from https://www.eipa.eu/publications/briefing/sandboxes-for-responsible-artificial-intelligence/.
• See Article 54 of the AI act.
• See Article 5(1)(b) and article 6(4) [6] of General Data Protection Regulation.
• European Parliament. Artificial intelligence act and regulatory sandboxes,2022,1-5 Retrieved from chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.europarl.europa.eu/RegData/etudes/BRIE/2022/733544/EPRS_BRI(2022)733544_EN.pdf.
• The Ministry of Digital Economy and Society. Digital Thailand: AI Ethics Guideline. Retrieved from https://www.etda.or.th/getattachment/9d370f25-f37a-4b7c-b661-48d2d730651d/Digital-Thailand-AI-Ethics-Principle-and-Guideline.pdf.aspx.
• ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC). ร่างกฎหมายการประยุกต์ใช้ AI อย่างมีธรรมาภิบาล”Retrieved from https://www.nectec.or.th/news/news-pr-news/ai-ethics-etda.html