สารบัญ
AI 101 — ปัญญาประดิษฐ์ฉบับภาษาคน · Part 2 (เอา AI ไปใช้ในงาน/ธุรกิจ) ภาคนี้ผมเขียนให้เจ้าของกิจการกับคนทำงานทั่วไปที่ไม่ใช่สาย IT — อ่านสนุกๆ แต่ได้ของกลับไปใช้จริง ไม่มีศัพท์ยากๆ ขู่ให้กลัว ตอนนี้ว่าด้วยเรื่อง “AI กับกฎหมายไทย” — เพราะพอเราเอา AI มาใช้กับงานจริง มันไปแตะเรื่อง “ข้อมูลลูกค้า” กับ “ลิขสิทธิ์ผลงาน” เข้าเต็มๆ และตรงนี้แหละที่หลายคนเผลอก้าวพลาดโดยไม่รู้ตัว (สารบัญเต็มจะตามมานะครับ)
ลองนึกภาพฉากนี้ดูก่อนครับ
สมมติว่ามีเจ้าของร้านคนหนึ่ง เพิ่งเริ่มเอา AI มาช่วยงานในร้านได้สักพัก กำลังสนุกเลยครับ ให้ AI ช่วยตอบแชทลูกค้า ช่วยเขียนแคปชั่นขายของ ช่วยสรุปว่าใครเป็นลูกค้าประจำควรดูแลเป็นพิเศษ ทุกอย่างไหลลื่นไปหมด รู้สึกว่าร้านตัวเองล้ำไปอีกขั้นแล้ว
วันหนึ่งเจ้าของร้านคนนี้นั่งคุยกับเพื่อนที่เป็นทนายอยู่ เล่าด้วยความภูมิใจว่า “เฮ้ย เดี๋ยวนี้ฉันเอารายชื่อลูกค้าทั้งหมดพร้อมเบอร์โทร ที่อยู่ ประวัติการซื้อ โยนเข้าไปให้ AI ตัวนึงบนเน็ตช่วยวิเคราะห์เลยนะ มันบอกได้เลยว่าใครกำลังจะเลิกซื้อ เจ๋งมาก” เพื่อนทนายฟังแล้วหยุดยกแก้วกาแฟกลางอากาศ ก่อนถามเสียงเรียบๆ ว่า “แล้วลูกค้าเขายอมให้เอาข้อมูลเขาไปทำแบบนั้นรึยังล่ะ”
เจ้าของร้านนิ่งไปแป๊บนึงครับ “อ้าว… ต้องขอเขาด้วยเหรอ ก็ข้อมูลมันอยู่ในระบบฉันอยู่แล้วนี่”
นี่แหละครับคือฉากที่ผมเจอบ่อยมากในหัวคนที่เพิ่งเริ่มใช้ AI — เรามักคิดว่า “ข้อมูลที่อยู่ในมือเรา = ข้อมูลที่เราทำอะไรกับมันก็ได้” ซึ่งในโลกของกฎหมายสมัยนี้ มันไม่ใช่อย่างนั้นแล้วครับ และพอเอา AI เข้ามาเกี่ยวด้วย เรื่องมันยิ่งซับซ้อนขึ้นไปอีก
ตอนนี้ผมเลยอยากชวนคุยเรื่องที่คนชอบข้ามกันที่สุดเวลาตื่นเต้นกับ AI — เรื่อง “กฎหมาย” ครับ ผมจะเล่าสามเรื่องหลักที่เจ้าของกิจการต้องรู้: PDPA (กฎหมายข้อมูลส่วนบุคคลของไทย), ลิขสิทธิ์ของผลงานที่ AI สร้าง, และ กฎ AI ของต่างชาติที่ดันเอื้อมมาถึงเราได้
📚 ตอนนี้แตะเรื่อง “ข้อมูล” เยอะ ถ้าใครยังไม่ได้อ่านว่าทำไมข้อมูลถึงเป็นเชื้อเพลิงของ AI แนะนำให้แวะอ่าน ข้อมูลของคุณคือเชื้อเพลิงของ AI ก่อนได้ครับ ตอนนี้ผมจะโฟกัสที่ “กฎหมาย” ล้วนๆ ไม่เล่าเรื่องการจัดบ้านข้อมูลซ้ำ
ขอออกตัวก่อนเลยนะครับ — ผมไม่ใช่นักกฎหมาย เป็นแค่เจ้าของกิจการคนนึงที่พยายามทำความเข้าใจเรื่องพวกนี้ให้พอเอาตัวรอด เรื่องที่ผมเล่าวันนี้คือ “หลักการกว้างๆ” เพื่อให้เห็นภาพและรู้ว่าควรระวังตรงไหน ไม่ใช่คำปรึกษากฎหมายนะครับ เรื่องไหนที่เสี่ยงจริงๆ กับธุรกิจคุณ ปรึกษาทนายเป็นเรื่องเป็นราวดีที่สุดครับ
เรื่องที่ 1 — PDPA: AI ของคุณกำลังกินข้อมูลของใครอยู่
เริ่มจากตัวที่ใกล้ตัวเจ้าของกิจการไทยที่สุดก่อนเลยครับ คือ PDPA
PDPA คืออะไร แบบสั้นที่สุด
PDPA (อ่านว่า พี-ดี-พี-เอ ย่อมาจาก Personal Data Protection Act หรือชื่อไทยคือ “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล”) เป็นกฎหมายไทยที่ออกมาตั้งแต่ปี 2562 และเริ่มบังคับใช้เต็มรูปแบบเมื่อกลางปี 2565 ครับ
ถ้าให้ผมสรุปหัวใจของมันเหลือประโยคเดียว มันคือกฎหมายที่บอกว่า — “ข้อมูลส่วนตัวของคน ไม่ใช่ของคุณ ต่อให้มันบังเอิญมาอยู่ในมือคุณก็ตาม”
ลองนึกภาพง่ายๆ แบบนี้ครับ ข้อมูลลูกค้าที่คุณเก็บไว้ — ชื่อ เบอร์โทร ที่อยู่ อีเมล ประวัติการซื้อของ — มันเหมือน ของฝากที่ลูกค้าเอามาฝากไว้ในตู้เซฟร้านคุณ คุณดูแลมันได้ เก็บมันไว้ได้ ใช้มันได้ตามที่ตกลงกัน แต่คุณจะเอาของในตู้เซฟไปทำอะไรนอกเหนือจากที่เจ้าของเขายอมไว้ไม่ได้ และวันไหนเจ้าของจะมาขอคืน คุณก็ต้องคืน
PDPA วางหลักไว้ประมาณนี้ครับ (ผมเล่าแบบหลวมๆ ให้เห็นภาพ ไม่ลงรายมาตรา):
- ก่อนจะเก็บหรือใช้ข้อมูลส่วนตัวของใคร โดยทั่วไปคุณต้อง มีฐานที่ทำได้ — บ่อยที่สุดคือต้องได้ ความยินยอม (consent) จากเจ้าของข้อมูลก่อน
- ต้องบอกเขาให้ชัดว่าจะเอาข้อมูลไป ใช้ทำอะไร — และจะใช้นอกเหนือจากที่บอกไว้ไม่ได้
- เจ้าของข้อมูลมีสิทธิ์ขอดู ขอแก้ หรือขอให้ลบข้อมูลของตัวเองได้
- ข้อมูลบางประเภทที่อ่อนไหวเป็นพิเศษ (เช่น ข้อมูลสุขภาพ ข้อมูลการเงิน ข้อมูลชีวภาพอย่างลายนิ้วมือ/ใบหน้า) คุมเข้มกว่าปกติ ต้องได้ความยินยอมแบบชัดแจ้งจริงๆ
แล้ว AI มันมาเกี่ยวตรงไหน
ตรงนี้แหละครับคือจุดที่หลายคนพลาด AI ส่วนใหญ่ทำงานได้ดีก็เพราะมัน “กินข้อมูล” ยิ่งเราป้อนข้อมูลลูกค้าให้มันเยอะ มันยิ่งวิเคราะห์ได้แม่น — แต่ปัญหาคือ ข้อมูลที่เราป้อนเข้าไปนั้น มันคือข้อมูลส่วนตัวของลูกค้าที่ PDPA คุ้มครองอยู่
ลองดูเส้นแบ่งง่ายๆ ที่ผมสมมติเป็นตัวอย่างให้นะครับ (ย้ำว่าเป็นตัวอย่าง สมมติ ที่ผมแต่งขึ้นเองเพื่อให้เห็นภาพ ไม่ใช่เคสจริงของใคร)
| สิ่งที่เจ้าของร้านทำกับ AI (สมมติ) | กลิ่นความเสี่ยง PDPA |
|---|---|
| โยนรายชื่อลูกค้าจริงพร้อมเบอร์โทรเข้า AI สาธารณะบนเน็ต เพื่อให้ช่วยวิเคราะห์ | สูง — เอาข้อมูลส่วนตัวออกไปนอกบ้าน โดยลูกค้าไม่เคยยินยอมให้ทำแบบนี้ |
| เอาแชทจริงของลูกค้า (มีชื่อ มีเรื่องส่วนตัว) ไปให้ AI สรุป | สูง — ในแชทอาจมีข้อมูลอ่อนไหวที่เราเองก็ไม่ทันสังเกต |
| ให้ AI ช่วยร่างแคปชั่นขายของ โดยไม่มีข้อมูลลูกค้าจริงเลย | ต่ำ — ไม่มีข้อมูลส่วนตัวใครเข้าไปเกี่ยว |
| ใช้ AI วิเคราะห์ยอดขายรวมของร้าน แบบที่ดูไม่ออกว่าเป็นของลูกค้าคนไหน | ต่ำกว่า — ถ้าข้อมูลถูกทำให้ระบุตัวคนไม่ได้จริงๆ ความเสี่ยงก็ลดลง |
เห็นเส้นแบ่งไหมครับ มันไม่ได้อยู่ที่ว่า “ใช้ AI หรือไม่ใช้” แต่อยู่ที่ว่า “คุณเอาข้อมูลส่วนตัวของใครยัดเข้าไปในนั้นหรือเปล่า แล้วเขายอมให้ทำแบบนั้นไหม”
มีอีกจุดที่คนมองข้ามบ่อยมากครับ — เวลาเราเอาข้อมูลลูกค้าไปป้อนให้ AI สาธารณะที่อยู่บนเน็ต (เช่น เครื่องมือฟรีๆ ที่ใครก็เข้าไปพิมพ์ได้) เราต้องเข้าใจว่าข้อมูลนั้น มันหลุดออกจากบ้านเราไปอยู่ในมือคนอื่นแล้ว เครื่องมือบางตัวเขาเขียนเงื่อนไขไว้เลยว่าเอาสิ่งที่เราพิมพ์เข้าไปไปใช้ปรับปรุงระบบเขาต่อได้ด้วย เท่ากับว่าข้อมูลลูกค้าของเราอาจไปโผล่ในที่ที่เราควบคุมไม่ได้อีกแล้ว ในมุม PDPA นี่คือการ “ส่งข้อมูลออกไปข้างนอก” ที่ต้องคิดให้หนักครับ
โดนจริงไหม หรือแค่ขู่
หลายคนอาจคิดว่า “โอ๊ย กฎหมายพวกนี้เขาคงไม่มาเล่นงานร้านเล็กๆ อย่างเราหรอก” ผมเข้าใจความรู้สึกนั้นครับ แต่ขอเล่าตามจริงแบบหลวมๆ ว่า — ที่ผ่านมาหน่วยงานที่ดูแล PDPA ของไทยเขา เริ่มออกคำสั่งปรับกันจริงแล้ว และค่าปรับทางปกครองมันไม่ใช่เลขเล็กๆ นะครับ กฎหมายเปิดช่องให้ปรับได้ถึงระดับ หลายล้านบาท ต่อกรณี และเคยมีองค์กรโดนปรับเป็นเงินก้อนใหญ่มาแล้วจากการดูแลข้อมูลส่วนบุคคลไม่ดีพอ
ผมไม่อยากให้ตัวเลขที่ผมจำมาไม่เป๊ะมาทำให้คุณเข้าใจผิด เลยขอเล่าแค่ “ทิศทาง” ครับ — ทิศทางคือ เอาจริงขึ้นเรื่อยๆ ไม่ใช่กฎหมายที่ออกมาแล้วนอนหลับ ฉะนั้นคิดว่า “เราเล็ก คงไม่โดน” เป็นการเดิมพันที่ไม่คุ้มเท่าไหร่ครับ
💡 มุมเจ้าของกิจการ: ก่อนจะเอาข้อมูลอะไรป้อน AI ลองถามตัวเองสั้นๆ สามข้อครับ — (1) “ในนี้มีข้อมูลที่ระบุตัวลูกค้าได้ไหม” (2) “ลูกค้าเคยยอมให้เราเอาข้อมูลเขาไปใช้แบบนี้รึเปล่า” (3) “ถ้าข้อมูลนี้หลุดไปอยู่ในมือคนอื่น ผมรับได้ไหม” ถ้าสามข้อนี้ทำให้คุณลังเล — แปลว่ายังไม่ควรโยนเข้าไปครับ ทางที่ปลอดภัยกว่าคือ ลบข้อมูลที่ระบุตัวคนออกก่อน (เช่น เปลี่ยนชื่อจริงเป็น “ลูกค้า A”) หรือเลือกใช้เครื่องมือที่ออกแบบมาให้ข้อมูลอยู่ในบ้านเราจริงๆ
เรื่องที่ 2 — ลิขสิทธิ์: ของที่ AI วาด/เขียนให้ มันเป็นของใคร
มาเรื่องที่สองที่สนุก (และน่าปวดหัว) ไม่แพ้กันครับ — ลิขสิทธิ์
สมมติว่าเจ้าของร้านให้ AI ช่วยออกแบบโลโก้ใหม่ ช่วยวาดภาพประกอบสวยๆ ลงเพจ ช่วยแต่งเพลงโฆษณาสั้นๆ ออกมาน่ารักมาก พอใจสุดๆ คำถามที่ตามมาทันทีคือ — “ภาพนี้ เพลงนี้ โลโก้นี้ มันเป็นลิขสิทธิ์ของเราหรือเปล่า ใครจะมาก๊อปไปใช้เราห้ามได้ไหม”
คำตอบในแบบไทยตอนนี้ มันไม่ได้ตรงไปตรงมาอย่างที่หลายคนหวังครับ
หลักของลิขสิทธิ์ไทยที่ต้องเข้าใจก่อน
กฎหมายลิขสิทธิ์ไทยมีหลักพื้นฐานที่สำคัญมากอยู่อย่างนึงครับ — งานที่จะได้รับการคุ้มครองลิขสิทธิ์ โดยหลักแล้วมันต้องเกิดจาก “คน” ที่ใช้ความคิดสร้างสรรค์ของตัวเองสร้างมันขึ้นมา พูดง่ายๆ คือกฎหมายเขาออกแบบมาเพื่อปกป้อง ผลงานสร้างสรรค์ของมนุษย์ ครับ
ทีนี้ปัญหามันอยู่ตรงนี้ — แล้วถ้าภาพนั้นมัน “AI วาด” ล่ะ? AI ไม่ใช่คน แล้วงานที่ออกมาจากการพิมพ์คำสั่งสั้นๆ ให้ AI ไปวาดเองทั้งหมด มันยังนับเป็น “ผลงานสร้างสรรค์ของมนุษย์” อยู่ไหม?
นี่คือคำถามที่กฎหมายลิขสิทธิ์ไทยฉบับปัจจุบัน ยังไม่ได้เขียนตอบไว้ตรงๆ ครับ เพราะกฎหมายมันร่างมาตั้งแต่ยุคที่ยังไม่มี AI วาดรูปได้แบบทุกวันนี้ ตอนนี้เลยกลายเป็นพื้นที่ที่ยัง “คลุมเครือ” และต้องรอให้ชัดขึ้นในอนาคต
เส้นแบ่งที่พอจับทางได้
ถึงกฎหมายจะยังไม่ชัด แต่จากหลักที่ว่า “ลิขสิทธิ์ปกป้องความคิดสร้างสรรค์ของคน” เราพอลากเส้นทางคร่าวๆ ได้ประมาณนี้ครับ (ย้ำว่านี่คือการ “พอจับทาง” ไม่ใช่คำตอบที่ฟันธงได้ เพราะของจริงต้องดูเป็นกรณีๆ ไป)
| สถานการณ์ (สมมติ) | แนวโน้มเรื่องลิขสิทธิ์ |
|---|---|
| พิมพ์คำสั่งสั้นๆ ให้ AI วาดภาพ แล้วเอามาใช้ทั้งดุ้นโดยไม่แก้อะไรเลย | ความเป็นเจ้าของไม่ชัด — เพราะคนแทบไม่ได้ใส่ความคิดสร้างสรรค์ของตัวเองลงไป |
| ใช้ AI เป็นจุดเริ่ม แล้วคนเอามาแก้ ปรับ จัดองค์ประกอบ ใส่ไอเดียตัวเองลงไปเยอะ | มีน้ำหนักกว่า — เพราะมี “ฝีมือคน” เข้าไปสร้างสรรค์จริง |
| เขียนเนื้อหาเองทั้งหมด ใช้ AI แค่ช่วยตรวจคำผิด | เป็นงานของคนชัดเจน — AI เป็นแค่เครื่องมือช่วย |
ทิศทางที่พอเห็นได้คือ — ยิ่ง “คน” ใส่ความคิดสร้างสรรค์ลงไปในงานมากเท่าไหร่ โอกาสที่งานนั้นจะได้รับการคุ้มครองก็ยิ่งมากขึ้น ส่วนงานที่ AI ทำให้แทบทั้งหมดโดยคนแค่กดปุ่ม ตรงนั้นแหละที่ความเป็นเจ้าของมันลอยๆ
อีกด้านที่อันตรายกว่า — ของที่ AI “หยิบมา” จากคนอื่น
มีมุมลิขสิทธิ์อีกด้านที่ผมว่าเจ้าของกิจการต้องระวังยิ่งกว่าเรื่อง “ของเราเป็นของเราไหม” ด้วยซ้ำครับ นั่นคือ — AI มันไปหยิบของคนอื่นมาให้เราโดยที่เราไม่รู้ตัวหรือเปล่า
AI ที่วาดรูป แต่งเพลง เขียนข้อความได้ มันเก่งขึ้นมาจากการ “เรียนรู้” จากงานจำนวนมหาศาลบนอินเทอร์เน็ต ซึ่งในกองข้อมูลนั้นก็มีงานที่มีลิขสิทธิ์ของคนอื่นปนอยู่ด้วย บางครั้ง AI อาจสร้างของออกมา คล้ายงานของคนอื่นมากเกินไป จนถ้าเราเอาไปใช้เชิงพาณิชย์ เราอาจกลายเป็นคนไปละเมิดลิขสิทธิ์เขาเข้าโดยไม่ได้ตั้งใจ
ลองนึกภาพสมมติแบบนี้ครับ — เจ้าของร้านให้ AI ออกแบบมาสคอตน่ารักๆ ให้แบรนด์ แล้วบังเอิญหน้าตามันดันไปคล้ายตัวการ์ตูนดังของค่ายใหญ่เข้า พอเอาไปพิมพ์ลงสินค้าขายจริง วันดีคืนดีเจ้าของลิขสิทธิ์ตัวจริงเขาทักมา — ตรงนี้คนที่เดือดร้อนคือเรา ไม่ใช่ AI ครับ เพราะ AI มันรับผิดแทนเราไม่ได้
💡 มุมเจ้าของกิจการ: ถ้าจะเอางานที่ AI สร้างไปใช้ “หาเงิน” จริงจัง (โลโก้แบรนด์ แพ็กเกจสินค้า โฆษณาที่ลงทุนเยอะ) อย่าใช้ทั้งดุ้นแบบหลับหูหลับตาครับ สองอย่างที่ควรทำคือ (1) ให้คนในทีมเอามาปรับแต่ง ใส่ความเป็นแบรนด์เราลงไป เพื่อให้มัน “เป็นงานของเรา” มากขึ้น และ (2) เช็กก่อนว่ามันไปคล้ายงานใครที่มีชื่อเสียงเข้าหรือเปล่า งานเล่นๆ ในเพจประจำวันไม่ต้องซีเรียสขนาดนั้น แต่งานที่เป็นหน้าเป็นตาของแบรนด์ ลงแรงตรวจนิดนึงคุ้มกว่ามาแก้ทีหลังเยอะครับ
เรื่องที่ 3 — กฎ AI ของต่างชาติที่ “เอื้อมมาถึง” เราได้
มาถึงเรื่องที่ฟังดูไกลตัวที่สุด แต่จริงๆ อาจใกล้กว่าที่คิดครับ — กฎหมายควบคุม AI ของ ต่างชาติ
หลายคนพอได้ยินว่า “ยุโรปออกกฎหมายคุม AI แล้วนะ” ก็มักคิดว่า “เออ ดีของเขา แต่มันเรื่องของฝรั่ง ไม่เกี่ยวกับร้านฉันในไทยหรอก” — ซึ่งความคิดนี้อาจไม่จริงทั้งหมดครับ
EU AI Act คืออะไร แบบสั้นๆ
ฝั่งยุโรปเขาออกกฎหมายที่เรียกว่า EU AI Act (อ่านว่า อี-ยู เอไอ แอ็กต์ — กฎหมายว่าด้วยปัญญาประดิษฐ์ของสหภาพยุโรป) ซึ่งถือเป็นกฎหมายคุม AI แบบครอบคลุมฉบับใหญ่ฉบับแรกๆ ของโลก แนวคิดหลักของมันคือ แบ่งการใช้ AI เป็นระดับความเสี่ยง — ยิ่งใช้ AI ในเรื่องที่กระทบคนมาก (เช่น ตัดสินใจเรื่องสำคัญในชีวิตคน) ก็ยิ่งต้องทำตามกฎเข้มขึ้น บางการใช้งานที่อันตรายเกินไปก็ห้ามเลย
แล้วทำไมมันถึง “เอื้อมมาถึงไทย” ได้
นี่คือจุดที่คนตกใจครับ — กฎหมายตัวนี้เขาเขียนให้มันมีผลแบบ “ข้ามพรมแดน” ได้
หลักของมันคร่าวๆ คือ — กฎไม่ได้ดูแค่ว่า “บริษัทคุณตั้งอยู่ที่ไหน” แต่ดูว่า “ผลของ AI ที่คุณใช้ มันไปกระทบคนในยุโรปหรือเปล่า” ด้วย พูดง่ายๆ คือต่อให้คุณเป็นบริษัทไทย server อยู่ไทย พนักงานเป็นคนไทยหมด แต่ถ้าบริการ AI ของคุณดันไปให้บริการหรือส่งผลถึงผู้คนที่อยู่ในยุโรป — กฎตัวนี้ก็อาจเอื้อมมือมาแตะคุณได้ครับ
ลองนึกภาพสมมติแบบนี้ครับ — ร้านขายของออนไลน์ไทยร้านนึง ทำเว็บขายของส่งไปทั่วโลก รวมถึงมีลูกค้าในยุโรปด้วย แล้วเอา AI มาคัดกรอง/ให้คะแนนลูกค้าแบบอัตโนมัติ ถ้าระบบนั้นไปกระทบสิทธิ์ของลูกค้าที่อยู่ในยุโรป — กฎของยุโรปก็อาจเข้ามาเกี่ยวได้ ทั้งที่ร้านนี้ตั้งอยู่กลางกรุงเทพฯ
แนวคิด “กฎหมายตามผลกระทบไปถึงตัวคน ไม่ใช่ตามที่ตั้งบริษัท” แบบนี้ จริงๆ ไม่ใช่เรื่องใหม่นะครับ — PDPA ของไทยเองก็มีลักษณะคล้ายกัน คือถ้าบริษัทต่างชาติมาเสนอขายของหรือติดตามพฤติกรรมคนในไทย ก็ต้องอยู่ใต้ PDPA เหมือนกัน โลกสมัยนี้กฎหมายมันเลยไม่ได้หยุดที่ชายแดนอีกแล้วครับ
ต้องตกใจขนาดไหน
ผมไม่อยากให้ใครอ่านแล้วตื่นตระหนกเกินเหตุนะครับ ความจริงคือ — ร้านเล็กๆ ที่ขายลูกค้าในไทยเป็นหลัก โอกาสที่กฎ AI ของยุโรปจะมาเล่นงานโดยตรงนั้นน้อยมาก เรื่องที่ใกล้ตัวคุณกว่าเยอะคือ PDPA ไทยที่ผมเล่าไปข้างต้น
แต่ที่ผมยกเรื่องนี้ขึ้นมา เพราะอยากให้เห็น “ทิศทางของโลก” ครับ — ทิศทางคือ ประเทศใหญ่ๆ เริ่มออกกฎคุม AI กันจริงจังขึ้นเรื่อยๆ และหลายฉบับออกแบบให้เอื้อมข้ามพรมแดนได้ ถ้าธุรกิจคุณโตขึ้น มีลูกค้าต่างประเทศมากขึ้น วันหนึ่งเรื่องพวกนี้จะกลายเป็นเรื่องที่ต้องรู้จริงๆ และไทยเองก็มีแนวโน้มจะมีกฎเกี่ยวกับ AI ที่ชัดเจนขึ้นในอนาคตเช่นกัน
💡 มุมเจ้าของกิจการ: ตอนนี้ยังไม่ต้องไปจ้างทนายต่างประเทศอะไรครับ สิ่งที่ทำได้เลยคือ — ถ้าธุรกิจคุณเริ่มมีลูกค้าต่างประเทศ และเริ่มเอา AI ไปใช้ตัดสินใจอะไรที่กระทบลูกค้าโดยตรง (เช่น อนุมัติ/ปฏิเสธ คัดกรอง ให้คะแนน) ให้จดไว้ในใจว่า “นี่คือจุดที่อาจต้องปรึกษาคนรู้กฎหมายเมื่อโตขึ้น” แค่รู้ว่ามันมีอยู่ ก็ทำให้คุณไม่ตกหลุมในวันที่ธุรกิจขยายแล้วครับ
เชื่อมโยงสามเรื่องนี้เข้าด้วยกัน — มันคือเรื่องเดียวกัน
อ่านมาถึงตรงนี้ บางคนอาจรู้สึกว่าสามเรื่องนี้มันคนละเรื่องกันเลย — ข้อมูลส่วนตัว, ลิขสิทธิ์, กฎต่างชาติ แต่จริงๆ แล้วมันมีเส้นด้ายเส้นเดียวร้อยอยู่ครับ
เส้นนั้นคือ — “AI เป็นแค่เครื่องมือ คนที่รับผิดชอบตามกฎหมายคือเราที่เอามันไปใช้”
นี่คือหัวใจที่ผมอยากให้จำกลับไปมากที่สุดครับ AI มันวิเคราะห์ข้อมูลลูกค้าให้ก็จริง แต่ถ้าผิด PDPA คนโดนคือเรา ไม่ใช่ AI พอ AI วาดรูปให้ ถ้าไปละเมิดลิขสิทธิ์คนอื่นเข้า คนโดนฟ้องก็คือเรา ไม่ใช่ AI หรือเวลา AI ตัดสินใจแทนเรา ถ้าไปขัดกฎของประเทศที่ลูกค้าเราอยู่ คนรับผิดก็คือเราอยู่ดี ไม่ใช่ AI
มันเหมือนกับการที่เราจ้างพนักงานใหม่ที่เก่งมากเข้ามาทำงานครับ พนักงานคนนี้ทำงานเร็ว ทำได้เยอะ แต่ถ้าเขาไปทำอะไรผิดกฎหมายในนามร้านเรา — เจ้าของร้านก็ต้องรับผิดชอบอยู่ดี เราจะอ้างว่า “ก็พนักงานมันทำเอง ผมไม่รู้” ไม่ได้ เพราะหน้าที่กำกับดูแลมันเป็นของเรา การใช้ AI ก็เป็นแบบเดียวกันเป๊ะเลยครับ
ผมเลยอยากสรุปเป็นตารางง่ายๆ ว่าสามเรื่องนี้มันถามคำถามอะไรกับเรา —
| เรื่อง | คำถามที่มันถามเรา | ใครรับผิดถ้าพลาด |
|---|---|---|
| PDPA | ”ข้อมูลคนที่คุณป้อนให้ AI นี้ เจ้าของเขายอมไหม” | เรา (เจ้าของกิจการ) |
| ลิขสิทธิ์ | ”งานที่ AI ทำให้ มันเป็นของคุณจริงไหม และไปก๊อปใครมาหรือเปล่า” | เรา (คนเอาไปใช้) |
| กฎต่างชาติ | ”AI ของคุณไปกระทบคนในประเทศที่มีกฎเข้มหรือเปล่า” | เรา (คนให้บริการ) |
เห็นไหมครับว่าช่องขวาสุดมันเป็นคำเดิมหมด — “เรา” เสมอ นี่แหละคือสิ่งที่ผมอยากให้ติดหัวกลับไปครับ
แล้วทั้งหมดนี้เกี่ยวกับ AAISM ยังไง
มีคำนึงที่ช่วงนี้ผมได้ยินบ่อยขึ้นเรื่อยๆ ในวงคนที่ทำเรื่อง AI จริงจัง คือคำว่า AAISM ครับ ผมจะยังไม่ลงรายละเอียดในตอนนี้ (มันมีซีรีส์ของมันแยกต่างหากที่เจาะลึกกว่านี้เยอะ) แต่อยากเกริ่นเบาๆ ให้เห็นภาพว่ามันเชื่อมกับเรื่องวันนี้ยังไง
ถ้าให้ผมเล่าแบบบ้านๆ ที่สุด AAISM มันคือแนวคิดเรื่อง “การกำกับดูแลการใช้ AI ให้ปลอดภัยและมีความรับผิดชอบ” ครับ คือแทนที่จะปล่อยให้แต่ละคนในองค์กรเอา AI ไปใช้กันตามใจชอบ มันชวนให้เราคิดเป็นระบบว่า — เราจะตั้งกฎอะไรในการใช้ AI, เราจะมองเห็นความเสี่ยงตรงไหนได้บ้าง, แล้วเราจะคุมให้งานที่ AI ทำมันไม่หลุดกรอบที่เรารับได้ยังไง
ฟังดูคุ้นๆ ไหมครับ — ก็ใช่ครับ มันคือเรื่องเดียวกับสามข้อที่เราคุยกันมาทั้งตอนนี้เลย เรื่อง PDPA, ลิขสิทธิ์, กฎต่างชาติ มันคือ “ตัวอย่างรูปธรรม” ของความเสี่ยงที่แนวคิดแบบ AAISM พยายามให้เราเห็นล่วงหน้าและคุมไว้ก่อนที่มันจะกลายเป็นปัญหา
สำหรับเจ้าของกิจการอย่างเรา ไม่ต้องไปทำให้มันใหญ่โตซับซ้อนเกินตัวธุรกิจหรอกครับ เอาแค่หลักคิดง่ายๆ ว่า “ก่อนปล่อยให้ AI ทำอะไรสำคัญ เราตั้งกฎ มองเสี่ยง และคุมงานมันแล้วหรือยัง” แค่นี้คุณก็ได้หัวใจของมันไปแล้วครับ ส่วนรายละเอียดที่ลึกกว่านี้ ค่อยตามไปอ่านในซีรีส์ที่เจาะเรื่องนี้โดยเฉพาะได้
สรุปสั้นๆ ส่งท้าย
ถ้าให้ผมย่อทั้งเรื่องนี้เหลือไม่กี่บรรทัดเอาไว้จำง่ายๆ คือแบบนี้ครับ —
- PDPA = ข้อมูลส่วนตัวของลูกค้าไม่ใช่ของเรา ก่อนเอาไปป้อน AI ต้องดูว่าเจ้าของเขายอมไหม และอย่าโยนข้อมูลที่ระบุตัวคนได้เข้าเครื่องมือสาธารณะมั่วๆ
- ลิขสิทธิ์ = งานที่ AI ทำให้ ความเป็นเจ้าของยังคลุมเครือ ยิ่งคนใส่ฝีมือลงไปมาก ยิ่งเป็นของเรามากขึ้น และต้องระวังว่า AI ไปหยิบของคนอื่นมาให้เราโดยไม่รู้ตัวด้วย
- กฎต่างชาติ = กฎ AI สมัยใหม่หลายฉบับเอื้อมข้ามพรมแดนตาม “ผลกระทบต่อตัวคน” ไม่ใช่ตามที่ตั้งบริษัท ร้านเล็กในไทยยังไม่ต้องตื่นตระหนก แต่ให้รู้ทิศทางไว้
- เส้นด้ายเส้นเดียว = AI เป็นแค่เครื่องมือ คนรับผิดตามกฎหมายคือ “เรา” เสมอ เหมือนเราต้องรับผิดชอบพนักงานที่เราจ้างมา
ผมไม่ใช่นักกฎหมายนะครับ เป็นแค่เจ้าของกิจการคนนึงที่พยายามเข้าใจเรื่องพวกนี้พอเอาตัวรอด สิ่งที่เล่าวันนี้คือหลักการกว้างๆ ไว้ให้รู้ว่าควรระวังตรงไหน ไม่ใช่คำปรึกษากฎหมายที่เอาไปใช้ฟันธงกับเคสจริงได้ เรื่องไหนที่เสี่ยงกับธุรกิจคุณจริงๆ ปรึกษาทนายเป็นเรื่องเป็นราวคุ้มที่สุดครับ ตรงไหนผมเข้าใจคลาดเคลื่อน ทักท้วงกันเข้ามาได้เลยนะครับ ยินดีมากๆ
ตอนหน้าของซีรีส์ AI 101 ผมว่าจะเล่าเรื่องที่ต่อยอดจากวันนี้พอดี — ในเมื่อความรับผิดชอบมันอยู่ที่เราเสมอ แล้วเราจะ “วางกฎการใช้ AI ในร้านของเราเอง” ยังไงให้ทีมงานใช้ได้สบายใจ ไม่หลุดกรอบ ไว้เจอกันตอนหน้าครับ
