บทนำ

ในปี 2568 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. หรือ PDPC) ได้รับเรื่องร้องเรียนเกี่ยวกับ PDPA เกือบ 10,000 ราย โดยที่น่าตกใจคือ 35% ของเรื่องร้องเรียนเกี่ยวข้องกับการใช้เทคโนโลยี AI และข้อมูลชีวมิติ เช่น การใช้กล้องสแกนหน้าในร้านค้าปลีกโดยไม่แจ้งลูกค้า [1]

สำหรับ SME ไทย ปัญญาประดิษฐ์ (AI) ไม่ใช่เรื่องไกลตัวอีกต่อไป ตั้งแต่ร้านขายของออนไลน์ที่ใช้ ChatGPT ช่วยตอบแชท ไปจนถึงร้านกาแฟที่ใช้ระบบวิเคราะห์ยอดขาย แต่ความจริงที่น่ากลัวคือ ผู้ประกอบการกว่า 84% ยังไม่พร้อมรับมือกับกฎหมาย เพราะใช้ AI Tools โดยไม่รู้ว่าข้อมูลลูกค้าอาจรั่วไหลไปเทรนโมเดล หรือเผลอละเมิดสิทธิส่วนบุคคล ซึ่งหากโดนปรับ โทษสูงสุดคือ 5 ล้านบาทต่อครั้ง และอาจมีโทษจำคุกถึง 1 ปี ซึ่งมากพอที่จะทำให้ธุรกิจขนาดเล็กปิดตัวลงได้ทันที [2]

บทความนี้ไม่ใช่แค่การแจ้งเตือนให้กลัว แต่คือคู่มือปฏิบัติจริงที่จะพาคุณไปสำรวจ 7 ข้อห้ามเมื่อใช้ AI เพื่อให้ธุรกิจของคุณ ใช้ AI ไม่ผิด PDPA พร้อมขั้นตอนการแก้ไขที่ทำได้จริงภายใน 1 ชั่วโมง โดยไม่ต้องจ้างทนายความราคาแพง เราจะเปลี่ยนความเสี่ยงให้เป็นความเชื่อมั่น และเปลี่ยนความกลัวให้เป็นเกราะป้องกันธุรกิจของคุณ

ChatGPT ผิด PDPA ไหม middle

ChatGPT ผิด PDPA ไหม


🚨 เคสจริง: ร้านเบเกอรี่เกือบโดนปรับ 5 ล้านบาท

เพื่อให้เห็นภาพชัดเจนว่าเรื่องนี้ใกล้ตัวแค่ไหน ลองดูอุทาหรณ์จากกรณีศึกษาที่เกิดขึ้นจริงในรูปแบบที่คล้ายคลึงกับเคสร้านสะดวกซื้อในต่างประเทศและเริ่มพบเห็นได้ในไทย

สิ่งที่เกิดขึ้น: ติดตั้งกล้องสแกนหน้าโดยไม่แจ้ง

เจ้าของร้านเบเกอรี่โฮมเมดแห่งหนึ่งในกรุงเทพฯ ตัดสินใจติดตั้งกล้องวงจรปิดที่มีระบบจดจำใบหน้า (Facial Recognition) ด้วยเจตนาดี คือต้องการป้องกันขโมยและจดจำลูกค้าขาประจำเพื่อทักทายชื่อได้ถูกต้อง แต่สิ่งที่เขาพลาดไปคือการติดตั้งโดย “ไม่แจ้งลูกค้า” และระบบได้เก็บข้อมูลชีวมิติ (Biometric Data) ของทุกคนที่เดินเข้าร้านไว้นานถึง 6 เดือน

บทเรียน: 3 ข้อผิดพลาดที่คนมักทำ

จากการสอบสวนพบว่าร้านนี้ทำผิดพลาดใน 3 จุดสำคัญที่ SME ส่วนใหญ่มักมองข้าม:

  1. ไม่มีป้ายแจ้งเตือน (Lack of Transparency): ลูกค้าเดินเข้าร้านโดยไม่รู้ตัวว่าถูกสแกนใบหน้า ซึ่งผิดหลักความโปร่งใส [3]
  2. เก็บข้อมูลชีวมิติโดยไม่ขออนุญาต (No Explicit Consent): ใบหน้าถือเป็น “ข้อมูลอ่อนไหว” (Sensitive Data) ตามมาตรา 26 ของ PDPA การเก็บข้อมูลนี้ต้องได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) เท่านั้น จะมัดมือชกไม่ได้ [4]
  3. ไม่รู้ว่าผิดกฎหมาย (Lack of Awareness): เจ้าของร้านคิดว่าร้านเล็กๆ คงไม่มีใครสนใจ แต่กฎหมายไม่ได้ยกเว้นธุรกิจขนาดเล็ก

ผลลัพธ์: เกือบต้องปิดร้าน

ผลจากการร้องเรียน ร้านถูกสั่งให้ระงับการใช้ระบบจดจำใบหน้าทันที และต้องเผชิญกับโทษปรับทางปกครองเบื้องต้น 500,000 บาท (จากเพดานสูงสุด 5 ล้านบาท เนื่องจากเป็นความผิดครั้งแรกและให้ความร่วมมือ) แต่ความเสียหายที่หนักกว่าคือ “ชื่อเสียง” ลูกค้าประจำเริ่มหายไปเพราะกลัวเรื่องความเป็นส่วนตัว [4]

⚠️ คำเตือน: ระบบสแกนหน้า (Facial Recognition) จัดเป็น Sensitive Data ต้องขอ Consent แยกต่างหากเสมอ หากไม่มี = ผิดทันทีและโทษหนักที่สุด


PDPA คืออะไร? (อธิบายแบบ SME เข้าใจ)

ก่อนจะไปดูข้อห้าม เรามาทำความเข้าใจพื้นฐานกันก่อน เพื่อให้คุณ ใช้ AI ไม่ผิด PDPA ได้อย่างเข้าใจรากฐาน

นิยามง่ายๆ: กฎหมายคุ้มครองข้อมูลลูกค้า

PDPA (Personal Data Protection Act) คือกฎหมายที่บอกว่า “ข้อมูลลูกค้าเป็นของลูกค้า ไม่ใช่ของร้านค้า” คุณจะเก็บ ชื่อ เบอร์โทร รูปถ่าย หรือพฤติกรรมการซื้อไปใช้ ต้องขออนุญาตและบอกวัตถุประสงค์ให้ชัดเจน

ธรรมาภิบาล AI (AI Governance) vs. PDPA

ในขณะที่ PDPA คือ “กฎหมาย” ที่ต้องทำตามเพื่อไม่ให้โดนจับ ธรรมาภิบาล AI (AI Governance) คือ “จริยธรรม” ในการใช้ AI ให้โปร่งใสและเป็นธรรม

  • PDPA: เน้นเรื่องข้อมูลส่วนบุคคล (Consent, Privacy Notice)
  • AI Governance: เน้นเรื่องการตัดสินใจของ AI (ต้องไม่อคติ, ต้องอธิบายได้) การทำทั้งสองอย่างควบคู่กัน จะช่วยสร้างเกราะป้องกันธุรกิจที่แข็งแกร่งที่สุด [5]

ทำไมต้องแคร์? SME เล็กๆ ไม่รอดหรือ?

กฎหมายนี้บังคับใช้กับ “ทุกคน” ที่เก็บข้อมูลส่วนบุคคล ไม่ว่าคุณจะเป็นบริษัทมหาชนหรือแม่ค้าออนไลน์ที่มีแอดมินคนเดียว หากคุณใช้ LINE OA เก็บฐานลูกค้า หรือมีกล้องวงจรปิด คุณคือ “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) ตามกฎหมายทันที

ความเสี่ยงที่คุณแบกรับ:

  1. โทษปรับสูงสุด 5 ล้านบาท: สำหรับการละเมิดข้อมูลอ่อนไหว (เช่น ใบหน้า, สุขภาพ) [6]
  2. โทษจำคุกสูงสุด 1 ปี: หากผู้บริหารจงใจเอาข้อมูลไปขายหรือใช้ในทางทุจริต
  3. เสียชื่อเสียง (ทัวร์ลง): ผู้บริโภคไทยยุคใหม่ไวต่อเรื่องข้อมูลมาก ข่าวลบเรื่องข้อมูลรั่วไหลแพร่กระจายเร็วกว่าไฟลามทุ่ง

ChatGPT
ChatGPT

7 ข้อห้ามเมื่อใช้ AI (ทำแล้วผิด PDPA!)

นี่คือกับดักที่ SME ไทยมักเผลอทำผิดโดยไม่รู้ตัว เช็คด่วนว่าคุณกำลังทำข้อไหนอยู่หรือเปล่า:

❌ ข้อห้ามที่ 1: เอาข้อมูลลูกค้าใส่ ChatGPT แบบ Public

นี่คือความผิดพลาดอันดับ 1 ที่พบมากที่สุด พนักงานมักก๊อปปี้ชื่อ เบอร์โทร หรือประวัติการซื้อของลูกค้าลงใน ChatGPT เพื่อให้ช่วยเขียนอีเมลตอบกลับหรือสรุปยอดขาย

  • ทำไมผิด: ChatGPT เวอร์ชันฟรี (Public) อาจนำข้อมูลที่คุณพิมพ์ลงไปไปใช้เทรนโมเดล (Model Training) ซึ่งเท่ากับว่าคุณกำลังส่งข้อมูลส่วนบุคคลของลูกค้าไปให้บุคคลที่สาม (OpenAI) และส่งออกไปต่างประเทศโดยที่ลูกค้าไม่ได้ยินยอม (Wrong Purpose & Cross-border Transfer) [2]
  • กรณีศึกษา: เคยมีกรณีในต่างประเทศที่พนักงานธนาคารใส่โค้ดลับและข้อมูลลูกค้าลงไป จนข้อมูลรั่วไหลออกมาในคำตอบของผู้ใช้อื่น [7]
  • วิธีแก้:
          –  ใช้ ChatGPT Enterprise / Team ที่ยืนยันว่าจะไม่นำข้อมูลไปเทรน
          –  ปิด Chat History ในการตั้งค่า (Settings > Data Controls)
          –  Anonymize ข้อมูล (เปลี่ยนชื่อลูกค้าเป็น นาย A, ลบเบอร์โทร) ก่อนนำเข้า AI เสมอ

❌ ข้อห้ามที่ 2: ใช้กล้องสแกนหน้าโดยไม่แจ้ง (Facial Recognition)

ดังที่เห็นในเคสร้านเบเกอรี่ การใช้เทคโนโลยีจดจำใบหน้ามีความเสี่ยงสูงมาก

  • ทำไมผิด: ข้อมูลจำลองใบหน้า (Face ID) ถือเป็น ข้อมูลชีวมิติ (Sensitive Data) ตามมาตรา 26 ซึ่งกฎหมายคุ้มครองเข้มงวดกว่าข้อมูลทั่วไป
  • โทษ: ปรับสูงสุด 5 ล้านบาท และอาจถูกสั่งให้รื้อถอนระบบ
  • วิธีแก้: หากจำเป็นต้องใช้จริงๆ ต้องมีป้ายแจ้งเตือนที่ชัดเจนหน้าทางเข้า และต้องมีกระบวนการขอ Explicit Consent (ยินยอมโดยชัดแจ้ง) ก่อนเริ่มสแกน หรือเปลี่ยนไปใช้กล้องวงจรปิดธรรมดาที่ไม่ระบุตัวตนแทน [3]

❌ ข้อห้ามที่ 3: เทรน AI ด้วยข้อมูลลูกค้าโดยไม่บอก

หลายธุรกิจเริ่มสร้าง AI ของตัวเอง (Custom GPT) โดยการป้อนประวัติแชทลูกค้าเก่าๆ เข้าไปเพื่อให้ AI ตอบเก่งขึ้น

  • ทำไมผิด: ลูกค้าให้ข้อมูลเพื่อ “ซื้อสินค้า” ไม่ใช่เพื่อ “เทรน AI” การนำไปใช้ผิดวัตถุประสงค์โดยไม่แจ้งถือว่าผิด PDPA
  • วิธีแก้: ต้องระบุใน Privacy Notice ให้ชัดเจนว่า “ข้อมูลของท่านอาจถูกนำไปใช้เพื่อการวิเคราะห์และพัฒนาโมเดลปัญญาประดิษฐ์เพื่อปรับปรุงการบริการ” และทางที่ดีควรขอ Consent แยกต่างหากหากทำได้ [8]

❌ ข้อห้ามที่ 4: ให้ AI ตัดสินใจเรื่องสำคัญแทนคน (Automated Decision Making)

เช่น ใช้ AI คัดกรองเรซูเม่ผู้สมัครงานแล้วปัดตกทันที หรือใช้ AI พิจารณาอนุมัติสินเชื่อ

  • ปัญหา: AI อาจมีอคติ (Bias) เช่น เผลอคัดคนออกเพราะเพศหรือสถาบันการศึกษา ซึ่งเสี่ยงต่อการถูกฟ้องร้องฐานเลือกปฏิบัติ และลูกค้ามีสิทธิ์ตามกฎหมายที่จะคัดค้านการตัดสินใจโดยอัตโนมัติ
  • วิธีแก้: ต้องมีมนุษย์ (Human-in-the-loop) เข้ามาตรวจสอบผลลัพธ์สุดท้ายเสมอ อย่าปล่อยให้ AI กดปุ่ม “ปฏิเสธ” เอง 100% [9]

❌ ข้อห้ามที่ 5: ไม่บอกลูกค้าว่า “คุยกับ AI”

การใช้ Chatbot ที่เนียนเหมือนคนจนลูกค้าแยกไม่ออก อาจดูเท่ แต่ผิดหลักธรรมาภิบาลและความโปร่งใส

  • ทำไมผิด: ลูกค้ามีสิทธิ์รู้ความจริงว่าเขากำลังสื่อสารกับใคร การปกปิดอาจนำไปสู่ความเข้าใจผิดและการร้องเรียน
  • วิธีแก้: ตั้งข้อความต้อนรับ (Welcome Message) ให้ชัดเจน เช่น “สวัสดีครับ นี่เป็นระบบ AI ตอบรับอัตโนมัติ หากต้องการคุยกับเจ้าหน้าที่ กด 0” [7]

❌ ข้อห้ามที่ 6: เก็บข้อมูลนานเกินไป (Storage Limitation)

AI มักชอบข้อมูลเยอะๆ ธุรกิจจึงมักเก็บข้อมูลลูกค้าไว้ตลอดไป “เผื่อได้ใช้”

  • ทำไมผิด: PDPA กำหนดให้เก็บข้อมูล “เท่าที่จำเป็น” และ “ตามระยะเวลาที่กำหนด” เท่านั้น การเก็บข้อมูลลูกค้าที่เลิกซื้อไปแล้ว 10 ปีไว้ในระบบมีความเสี่ยงโดยไม่จำเป็น
  • วิธีแก้: กำหนดนโยบายการลบข้อมูล (Data Retention Policy) เช่น ลบข้อมูลแชทบอททุก 90 วัน หรือลบข้อมูลลูกค้าที่ไม่มีความเคลื่อนไหวเกิน 3 ปี

❌ ข้อห้ามที่ 7: ไม่มีนโยบายความเป็นส่วนตัว (No Privacy Policy)

ข้อนี้เป็นพื้นฐานที่สุดแต่ผิดกันเยอะที่สุด คือการไม่มีประกาศความเป็นส่วนตัวให้อ่านเลย

  • ทำไมผิด: ผิดมาตรา 23 หน้าที่ในการแจ้งรายละเอียดการประมวลผลข้อมูล
  • วิธีแก้: สร้าง Privacy Policy ที่อ่านง่าย (ไม่ใช่ภาษากฎหมายยาว 20 หน้า) แปะไว้ในหน้าเว็บไซต์ หรือ Pin ไว้ใน LINE OA โดยระบุว่าใช้ AI ทำอะไรกับข้อมูลบ้าง

ใช้ AI ไม่ผิด PDPA

ใช้ AI ไม่ผิด PDPA

5 ขั้นตอนใช้ AI อย่างปลอดภัย (ทำได้ใน 1 ชั่วโมง)

คุณไม่จำเป็นต้องจบกฎหมายเพื่อทำให้ถูกต้อง แค่ทำตามแผนปฏิบัติการนี้:

ขั้นที่ 1: รู้ว่าใช้ AI อะไรบ้าง (10 นาที)

จดรายการเครื่องมือทุกตัวที่บริษัทใช้ ลองถามฝ่ายไอทีหรือเซลล์ที่ขายซอฟต์แวร์ให้คุณ

  • Checklist:

    • [ ] Chatbot (LINE OA / Facebook)

    • [ ] ระบบยิงแอด (Marketing Automation)

    • [ ] โปรแกรมบัญชี/CRM ที่มี AI

    • [ ] กล้องวงจรปิด (CCTV)

    • [ ] ChatGPT / Gemini ที่พนักงานใช้เอง

ขั้นที่ 2: ระบุว่า AI เก็บข้อมูลอะไร (10 นาที)

ดูว่า AI แต่ละตัว “กิน” อะไรเป็นอาหาร (Data Mapping)

  • ต้องรู้: มันเก็บ ชื่อ? เบอร์โทร? อีเมล? หรือข้อมูลอ่อนไหวอย่าง รูปหน้า/ประวัติสุขภาพ?
  • หลักการ: เก็บน้อยที่สุดเท่าที่จำเป็น (Data Minimization) ถ้า AI ทำงานได้โดยไม่ต้องรู้ชื่อจริง ก็อย่าส่งชื่อจริงเข้าไป

ขั้นที่ 3: เขียน Privacy Notice (15 นาที)

ร่างข้อความสั้นๆ เพื่อแจ้งลูกค้า สามารถนำไปแปะในเว็บไซต์หรือข้อความต้อนรับในไลน์

# Template พร้อมใช้: “บริษัทมีการนำเทคโนโลยีปัญญาประดิษฐ์ (AI) มาใช้เพื่อ [ระบุวัตถุประสงค์ เช่น วิเคราะห์ความสนใจเพื่อแนะนำสินค้า] ข้อมูลของท่าน เช่น [ประวัติการซื้อ] จะถูกประมวลผลอย่างปลอดภัยเพื่อพัฒนาการให้บริการ หากท่านไม่ต้องการให้ AI ประมวลผลข้อมูล สามารถแจ้งความจำนงได้ที่ [เบอร์โทร/อีเมล]”


ขั้นที่ 4: ตั้งมาตรการรักษาความปลอดภัย (15 นาที)

ล็อคบ้านให้แน่นหนาเพื่อป้องกันข้อมูลรั่วไหล

  • ทำทันที:
          –  ตั้งรหัสผ่าน 2 ชั้น (2FA) ให้กับทุก Account ที่เข้าถึงข้อมูลลูกค้า
          –  จำกัดสิทธิ์พนักงาน (Access Control) เด็กฝึกงานไม่ควรเข้าถึงฐานข้อมูลลูกค้าทั้งหมด
          –  ปิดฟังก์ชัน Chat History ใน Public AI Tools
  •  

ขั้นที่ 5: อบรมพนักงาน (10 นาที)

ความผิดพลาดส่วนใหญ่เกิดจาก “คน” ไม่ใช่ “ระบบ”

  • สิ่งที่ต้องสอน:
          –  กฎเหล็ก: “ห้ามนำข้อมูลส่วนตัวลูกค้า (ชื่อ/เบอร์/บัตรปชช.) ใส่ใน ChatGPT หรือ AI สาธารณะเด็ดขาด”
          –  ห้ามส่งไฟล์ข้อมูลลูกค้าผ่าน LINE ส่วนตัว
          –  หากเกิดข้อมูลรั่วไหล (Data Breach) ต้องแจ้งหัวหน้าทันทีภายใน 24 ชม.
  •  

ตารางเปรียบเทียบ: AI Tools ยอดนิยม + ความเสี่ยง PDPA

เพื่อให้เห็นภาพชัดเจนขึ้น เรามาดูเครื่องมือที่ SME นิยมใช้กันครับ

เครื่องมือ ความเสี่ยง PDPA วิธีแก้ให้ปลอดภัย [2]
ChatGPT Free สูง (ข้อมูลอาจถูกนำไปเทรนโมเดล) ห้ามใส่ข้อมูลส่วนบุคคล, ใช้เวอร์ชัน Enterprise, ปิด Chat History
LINE OA Chatbot ปานกลาง (เก็บข้อมูลการสนทนา) มี Privacy Policy ในหน้า Profile, แจ้งว่าเป็นบอท
Face Recognition สูงมาก (ข้อมูลอ่อนไหว Sensitive Data) ต้องขอ Consent ทุกครั้ง, มีป้ายแจ้งเตือน, เก็บข้อมูลเท่าที่จำเป็น
Resume Screening AI สูง (เสี่ยงเรื่องอคติ/Bias) ให้มนุษย์รีวิวผลการคัดเลือกเสมอ (Human-in-the-loop)
Marketing Automation ปานกลาง (Profiling พฤติกรรม) มีช่องทางให้ลูกค้ากด Opt-out (ไม่ขอรับข่าวสาร/ไม่ให้วิเคราะห์) ได้ง่าย


กรณีศึกษาจริง: SME ไทยที่รอดและไม่รอด

เคสที่ 1: ร้านเครื่องสำอางโดนร้องเรียน ❌

สิ่งที่ทำ: นำรูปรีวิวหน้าสดของลูกค้าไปเทรน AI เพื่อทำระบบวิเคราะห์ผิวหนังใหม่ โดยไม่ได้ขออนุญาต ความผิดพลาด: ละเมิดสิทธิในข้อมูลอ่อนไหว (ข้อมูลสุขภาพผิว/ใบหน้า) และใช้ข้อมูลผิดวัตถุประสงค์ (ตอนแรกขอแค่รีวิว ไม่ได้ขอไปทำ AI) ผลลัพธ์: ลูกค้ารู้เรื่องเข้าจึงร้องเรียนต่อ สคส. ร้านต้องลบโมเดล AI ที่ลงทุนทำไปทิ้งทั้งหมด และจ่ายค่าเยียวยา

เคสที่ 2: ร้านกาแฟแฟรนไชส์ทำถูกต้อง ✅

สิ่งที่ทำ: ใช้ Chatbot แนะนำเมนู แต่มีการแจ้งชัดเจน ความถูกต้อง:

  1. มีข้อความต้อนรับ: “น้อง AI ยินดีให้บริการค่ะ” (Transparency)
  2. มีปุ่ม “นโยบายความเป็นส่วนตัว” ให้อ่านก่อนเริ่มคุย
  3. มีปุ่ม “คุยกับพนักงาน” เป็นทางออกเสมอ ผลลัพธ์: ลูกค้าเชื่อมั่น ยอดขายเพิ่มขึ้น และไม่เคยโดนร้องเรียนเรื่องข้อมูล

❌ โซนอันตราย: คลินิกความงามและสุขภาพ (Healthcare SME)

หากคุณทำธุรกิจคลินิก ข้อมูลลูกค้าคือ Sensitive Data (ข้อมูลสุขภาพ) โทษปรับจะหนักกว่าปกติ สิ่งที่ต้องทำเพิ่ม:

  1. ขอ Consent แยก: ในใบเวชระเบียน ต้องมีช่องติ๊กแยกต่างหากว่า “ยินยอมให้ใช้ข้อมูลภาพถ่าย/ประวัติการรักษา เพื่อการวิเคราะห์ด้วย AI”
  2. เช็คสัญญา Vendor: บริษัทที่ขายเครื่องสแกนผิวให้คุณ เขาเอาข้อมูลคนไข้ไปทำอะไรต่อไหม? ต้องมีสัญญา Data Processing Agreement (DPA) คุมไว้


    ข้อมูลลูกค้า AI ปลอดภัย
    ข้อมูลลูกค้า AI ปลอดภัย

Checklist ตรวจสอบ: ธุรกิจคุณปลอดภัยหรือยัง?

ลองติ๊กดูว่าธุรกิจของคุณทำสิ่งเหล่านี้ครบหรือยัง?

ส่วนที่ 1: พื้นฐาน PDPA

  • [ ] มี Privacy Policy ภาษาไทยที่อ่านรู้เรื่อง แปะไว้ในจุดที่เห็นง่าย

  • [ ] มีการขอ Consent ก่อนเก็บข้อมูล (ผ่านคุกกี้เว็บ หรือแบบฟอร์ม)

  • [ ] แจ้งวัตถุประสงค์การใช้ข้อมูลชัดเจน

  • [ ] มีช่องทางให้ลูกค้าขอลบข้อมูลหรือยกเลิกความยินยอมได้

ส่วนที่ 2: เฉพาะการใช้ AI

  • [ ] รู้แน่ชัดว่าใช้เครื่องมือ AI ตัวไหนบ้าง (Inventory)

  • [ ] ไม่ใช้ AI เวอร์ชัน Public กับข้อมูลความลับลูกค้า

  • [ ] แจ้งลูกค้าเสมอเมื่อใช้ AI ให้บริการ (Transparency)

  • [ ] มีมนุษย์ตรวจสอบผลการตัดสินใจของ AI ในเรื่องสำคัญ

  • [ ] ไม่เก็บข้อมูลอ่อนไหว (หน้า/สุขภาพ) ลงใน AI โดยไม่จำเป็น

ส่วนที่ 3: พนักงาน

  • [ ] พนักงานทุกคนผ่านการอบรม PDPA พื้นฐาน

  • [ ] มีกฎบริษัทห้ามนำข้อมูลลูกค้าใส่ AI สาธารณะ

  • [ ] มีแผนรับมือหากข้อมูลรั่วไหล (Incident Response Plan)

ทรัพยากรฟรีสำหรับ SME (Thai Resources)

ไม่ต้องเสียเงินจ้างที่ปรึกษาแพงๆ เริ่มต้นด้วยแหล่งข้อมูลเหล่านี้:

สรุป: 3 สิ่งที่ต้องทำวันนี้ เพื่อให้ธุรกิจปลอดภัย

การ ใช้ AI ไม่ผิด PDPA ไม่ใช่เรื่องยากเกินความสามารถ ขอแค่เริ่มต้นที่ 3 ข้อนี้วันนี้:

  1. รู้เขารู้เรา: ลิสต์รายชื่อ AI ที่ใช้ และข้อมูลที่ป้อนเข้าไป
  2. ทำให้ถูกต้อง: เขียน Privacy Policy แปะหน้าร้าน/หน้าเว็บ และขอ Consent เมื่อจำเป็น
  3. สร้างวินัย: อบรมพนักงานให้เข้าใจกฎ “ห้ามข้อมูลรั่วไหลลง AI Public”

อย่ารอให้มีหนังสือแจ้งเตือนจาก สคส. มาถึงหน้าบ้าน เริ่มทำทีละนิดตั้งแต่วันนี้ ดีกว่าต้องมานั่งเสียใจและเสียค่าปรับหลักล้านในภายหลังครับ

พร้อมที่จะใช้ AI ขับเคลื่อนธุรกิจโดยไม่ต้องพะวงหน้าพะวงหลังหรือยัง?

การใช้ AI คือทางรอดของ SME ยุคใหม่ แต่ความเสี่ยงเรื่องกฎหมาย PDPA ก็เป็น “กับดัก” ที่อาจทำให้กำไรหายวับไปกับตาหากไม่ระวัง อย่าปล่อยให้ความไม่รู้กลายเป็นค่าปรับหลักล้าน เริ่มต้นปกป้องธุรกิจของคุณวันนี้ด้วยเครื่องมือที่ถูกต้องและแนวทางที่ชัดเจน เพื่อให้คุณโฟกัสกับการหาลูกค้าได้อย่างเต็มที่ โดยไม่ต้องกังวลเรื่องคุกตาราง

ทางเลือกที่คุณเริ่มต้นได้ทันที:

ตัวเลือกที่ 1: ดาวน์โหลดชุดเครื่องมือฟรี รับ “PDPA+AI Survival Kit” ที่รวม Checklist ความปลอดภัย 20 ข้อ, ตัวอย่าง Privacy Policy สำหรับร้านค้าที่ใช้ AI และ Template หนังสือยินยอม (Consent Form) [ดาวน์โหลด Survival Kit ฟรี]

ตัวเลือกที่ 2: ตรวจสอบความพร้อมเบื้องต้น หากคุณไม่แน่ใจว่าระบบ AI ที่ใช้อยู่มีความเสี่ยงหรือไม่ ลองทำแบบประเมินตนเอง (Self-Assessment) ตามมาตรฐานของ ETDA หรือปรึกษาผู้เชี่ยวชาญด้านกฎหมายดิจิทัล [เริ่มทำแบบประเมินความเสี่ยง]


คำถามที่พบบ่อย (FAQ)

1. การ “ใช้ AI ไม่ผิด PDPA” สำหรับ SME ไทย หมายความว่าอย่างไร?

การ ใช้ AI ไม่ผิด PDPA หมายถึงการนำเทคโนโลยีปัญญาประดิษฐ์มาช่วยดำเนินธุรกิจ โดยที่กระบวนการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลผ่าน AI นั้น สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อย่างเคร่งครัด หัวใจสำคัญคือความโปร่งใส (Transparency) การขอความยินยอม (Consent) และการรักษาความปลอดภัยของข้อมูล (Security)

สำหรับ SME ไทย เรื่องนี้ไม่ใช่แค่การเลี่ยงค่าปรับ แต่คือการสร้าง “ความน่าเชื่อถือ” ในยุคดิจิทัล ข้อมูลจาก สคส. (PDPC) ปี 2568 ระบุว่ามีการร้องเรียนเรื่อง AI เพิ่มขึ้นถึง 35% ซึ่งส่วนใหญ่เกิดจากการนำข้อมูลลูกค้าไปใช้ผิดวัตถุประสงค์ เช่น การนำเบอร์โทรลูกค้าไปเทรนโมเดล AI โดยไม่แจ้งให้ทราบล่วงหน้า

ดังนั้น SME ต้องตระหนักว่า AI ไม่ใช่พื้นที่ไร้กฎหมาย ข้อมูลที่ป้อนเข้าสู่ระบบ AI (Input) และผลลัพธ์ที่ได้ (Output) หากระบุตัวตนบุคคลได้ จะถือเป็นข้อมูลส่วนบุคคลที่ต้องได้รับการคุ้มครองทันที

2. ข้อมูลส่วนบุคคลประเภทใดบ้างที่ AI มักเก็บโดยที่เราไม่รู้ตัว?

AI มักเก็บข้อมูลที่เรียกว่า “Metadata” หรือข้อมูลเบื้องหลังที่เราอาจมองข้าม นอกจากชื่อ นามสกุล และเบอร์โทรศัพท์แล้ว ระบบ AI หลายประเภทยังเก็บ ข้อมูลพฤติกรรม (Behavioral Data) เช่น ประวัติการสนทนากับ Chatbot, ช่วงเวลาที่เข้าร้าน, หรือลักษณะการคลิกดูสินค้า ซึ่งเมื่อนำมาประมวลผลรวมกันสามารถระบุตัวตนและรสนิยมของลูกค้าได้

ที่น่ากังวลที่สุดคือ ข้อมูลชีวมิติ (Biometric Data) เช่น ข้อมูลจำลองใบหน้าจากกล้อง AI สแกนหน้า หรือลายนิ้วมือ ซึ่งกฎหมายจัดเป็น “ข้อมูลอ่อนไหว” (Sensitive Data) ตามมาตรา 26 ของ PDPA หากระบบ AI ของคุณเก็บข้อมูลเหล่านี้โดยไม่มีมาตรการรองรับที่ถูกต้อง คุณเสี่ยงต่อโทษปรับสูงสุด 5 ล้านบาททันที

ตรวจสอบเครื่องมือของคุณด่วน! หากคุณใช้ระบบวิเคราะห์ลูกค้าหน้าร้าน หรือ Chatbot อัจฉริยะ ให้สอบถามผู้ให้บริการ (Vendor) ว่ามีการเก็บข้อมูลเหล่านี้หรือไม่ และขอให้พวกเขาทำ Data Mapping ให้ชัดเจน

3. การใช้ ChatGPT ฟรี ใส่ข้อมูลลูกค้าลงไป ผิดกฎหมายหรือไม่ และแก้ไขอย่างไร?

การใช้ ChatGPT เวอร์ชันฟรี (Public Version) โดยใส่ข้อมูลส่วนบุคคลของลูกค้า เช่น ชื่อ-นามสกุล เบอร์โทร หรือประวัติการซื้อ ลงไปในช่องแชท ถือว่ามีความเสี่ยงสูงที่จะ ผิด PDPA เนื่องจาก OpenAI (ผู้พัฒนา) อาจนำข้อมูลดังกล่าวไปใช้ในการเทรนโมเดล (Model Training) ซึ่งถือเป็นการนำข้อมูลไปใช้ผิดวัตถุประสงค์ และอาจเป็นการส่งข้อมูลไปต่างประเทศโดยไม่มีมาตรฐานความปลอดภัยเพียงพอ

หากพนักงานของคุณเผลอทำไปแล้ว สิ่งที่ต้องทำทันทีคือหยุดการกระทำดังกล่าว และเปลี่ยนวิธีปฏิบัติ:

  1. ใช้ Data Masking: เปลี่ยนชื่อลูกค้าเป็นรหัสสมมติ (เช่น นาย A, ลูกค้า 001) ก่อนป้อนข้อมูลเข้า AI
  2. ปิด Chat History: เข้าไปที่ Settings > Data Controls และปิดฟังก์ชัน “Chat History & Training” เพื่อป้องกันไม่ให้ข้อมูลถูกนำไปใช้เทรนโมเดล

ทางออกระยะยาวสำหรับ SME คือการพิจารณาใช้ ChatGPT Team หรือ Enterprise ที่มีสัญญาการคุ้มครองข้อมูล (Data Privacy) ชัดเจน หรือใช้ผ่าน API ที่มีความปลอดภัยสูงกว่า

4. ร้านค้าใช้กล้องสแกนหน้า (Face Recognition) อย่างไรไม่ให้โดนปรับ 5 ล้าน?

การใช้กล้อง AI สแกนใบหน้า (Face Recognition) เป็นประเด็นที่ละเอียดอ่อนที่สุด เพราะใบหน้าคือ ข้อมูลอ่อนไหว (Sensitive Data) การจะใช้ให้ปลอดภัยและไม่ผิด PDPA ต้องปฏิบัติตามหลักการ “ความจำเป็น” และ “ความยินยอมโดยชัดแจ้ง” (Explicit Consent) อย่างเคร่งครัด

แนวทางปฏิบัติเพื่อความปลอดภัย:

  1. ติดป้ายแจ้งเตือนชัดเจน: ต้องมีป้ายบอกก่อนเข้าพื้นที่ว่า “มีการใช้กล้องวงจรปิดและระบบจดจำใบหน้า” (CCTV Notice)
  2. ขอ Consent แยก: ต้องให้ลูกค้า “ติ๊กเลือก” ยินยอมเรื่องสแกนหน้าแยกต่างหากจากการยอมรับเงื่อนไขทั่วไป (ห้ามมัดมือชก)
  3. มีทางเลือก (Alternative): หากลูกค้าไม่ยินยอม ต้องมีช่องทางปกติให้ใช้บริการได้ เช่น จ่ายเงินที่เคาน์เตอร์ปกติ

หากร้านของคุณไม่สามารถทำตาม 3 ข้อนี้ได้ แนะนำให้ “ยกเลิก” การใช้ระบบสแกนหน้า และกลับไปใช้กล้องวงจรปิดธรรมดาเพื่อความปลอดภัยทางกฎหมาย เพราะโทษปรับกรณีนี้สูงสุดถึง 5 ล้านบาท ซึ่งไม่คุ้มกับความสะดวกที่ได้รับ

5. SME ขนาดเล็ก (Micro SME) หรือพ่อค้าแม่ค้าออนไลน์ ต้องปฏิบัติตาม PDPA เรื่อง AI หรือไม่?

ต้องปฏิบัติครับ! กฎหมาย PDPA ไม่ได้ยกเว้นตามขนาดธุรกิจ แต่บังคับใช้กับทุกคนที่มีสถานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) ไม่ว่าคุณจะเป็นบริษัทมหาชน หรือแม่ค้าออนไลน์ที่มีแอดมินคนเดียว หากคุณมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า คุณมีหน้าที่ตามกฎหมายทันที

สำหรับ SME ขนาดเล็ก การใช้ AI เช่น Chatbot ตอบลูกค้าใน LINE OA หรือระบบยิงแอด Facebook (Lookalike Audience) ล้วนเกี่ยวข้องกับข้อมูลส่วนบุคคลทั้งสิ้น หากเกิดข้อมูลรั่วไหลหรือมีการร้องเรียน คุณต้องรับผิดชอบตามกฎหมายเท่าเทียมกับบริษัทใหญ่

คำแนะนำ: อย่ากังวลจนเกินไป เริ่มจากสิ่งที่ทำได้ง่ายๆ ก่อน เช่น การมี นโยบายความเป็นส่วนตัว (Privacy Policy) แปะไว้ที่หน้าร้านออนไลน์ หรือใน LINE Rich Menu เพื่อแจ้งลูกค้าว่าเราเก็บข้อมูลอะไรบ้าง แค่นี้ก็ช่วยลดความเสี่ยงไปได้มากแล้ว

6. เริ่มต้นทำ PDPA สำหรับการใช้ AI ในองค์กรต้องทำอย่างไร (5 ขั้นตอน)?

การเริ่มต้นอาจดูยุ่งยาก แต่สามารถทำได้จริงด้วย 5 ขั้นตอนความปลอดภัย (5-Step Safety Plan) ที่ใช้เวลาเพียง 1 ชั่วโมงในการวางโครงสร้างเบื้องต้น:

  1. Inventory (สำรวจ): ลิสต์รายชื่อ AI Tools ทั้งหมดที่ใช้ในบริษัท (ChatGPT, Canva, CRM, HR Software)
  2. Data Mapping (ระบุข้อมูล): ดูว่า AI แต่ละตัวเข้าถึงข้อมูลอะไรบ้าง (ชื่อ, อีเมล, รูปถ่าย) และมีความจำเป็นแค่ไหน
  3. Notice (แจ้งเตือน): เขียน Privacy Notice แจ้งลูกค้าและพนักงานว่ามีการใช้ AI
  4. Security (ความปลอดภัย): ตั้งรหัสผ่าน 2 ชั้น (2FA) และจำกัดสิทธิ์การเข้าถึงข้อมูล
  5. Training (อบรม): สอนพนักงานให้รู้กฎ “ห้ามใส่ข้อมูลลับใน AI Public”

คุณสามารถดาวน์โหลด Checklist และ Template เพื่อทำตามขั้นตอนเหล่านี้ได้จาก “PDPA+AI Survival Kit” ที่เราแจกฟรีในบทความนี้ เพื่อให้มั่นใจว่าคุณไม่พลาดจุดสำคัญ

7. หากลูกค้าขอลบข้อมูลออกจากระบบ AI หรือ Chatbot ต้องทำอย่างไร?

ตามสิทธิของเจ้าของข้อมูลใน PDPA (Right to be Forgotten) ลูกค้ามีสิทธิ์ขอให้ลบข้อมูลส่วนบุคคลของตนได้ หากข้อมูลนั้นหมดความจำเป็นหรือลูกค้าถอนความยินยอม SME ต้องมีกระบวนการรองรับคำขอนี้ให้เสร็จสิ้นภายใน 30 วัน

ขั้นตอนปฏิบัติ:

  1. ตรวจสอบแหล่งเก็บข้อมูล: ดูว่า Chatbot หรือ AI ของคุณเก็บข้อมูลลูกค้าไว้ที่ไหน (Server, Cloud, หรือ Third-party)
  2. ดำเนินการลบ: ลบข้อมูลออกจากฐานข้อมูล (Database) และอย่าลืมลบออกจาก Log File หรือ Backup ถ้าทำได้
  3. แจ้งลูกค้า: ยืนยันกลับไปว่าดำเนินการลบเรียบร้อยแล้ว

ข้อควรระวัง: ในกรณีของ AI โมเดลบางประเภท (เช่น LLM) การลบข้อมูลที่ AI “เรียนรู้” ไปแล้วอาจทำได้ยาก (Unlearning) ดังนั้นการ ป้องกัน ไม่ให้ข้อมูลส่วนบุคคลเข้าไปเทรนโมเดลตั้งแต่แรก (ตามข้อห้ามที่ 1 และ 3) จึงเป็นวิธีที่ดีที่สุดและปลอดภัยที่สุด

8. การขอ Consent สำหรับ AI แตกต่างจากการขอ Consent ทั่วไปอย่างไร?

การขอ Consent สำหรับ AI มีความละเอียดอ่อนกว่าปกติ เพราะกระบวนการประมวลผลของ AI มักมีความซับซ้อนและเข้าใจยาก (Black Box) หลักการสำคัญคือต้องมีความ “โปร่งใสและเฉพาะเจาะจง” (Specific Purpose)

ในการขอ Consent ทั่วไป เราอาจบอกแค่ว่า “เพื่อการตลาด” แต่สำหรับ AI คุณควรระบุให้ชัดเจน เช่น:

  • “เพื่อนำไปวิเคราะห์พฤติกรรมและนำเสนอสินค้าที่ท่านอาจสนใจด้วยระบบปัญญาประดิษฐ์”
  • “เพื่อใช้ในการยืนยันตัวตนด้วยเทคโนโลยีจดจำใบหน้า”

นอกจากนี้ หากเป็น การตัดสินใจอัตโนมัติ (Automated Decision Making) ที่มีผลกระทบอย่างมีนัยสำคัญ (เช่น การอนุมัติสินเชื่อ หรือการรับสมัครงาน) ลูกค้าควรมีสิทธิ์ได้รับทราบและขอให้มนุษย์ทบทวนผลการตัดสินใจนั้นได้ การขอ Consent แบบคลุมเครืออาจถือเป็นโมฆะได้ตามแนวทางของ สคส.

9. ค่าปรับหากใช้ AI ผิด PDPA คุ้มกับการลงทุนป้องกันหรือไม่?

หากเทียบกันปอนด์ต่อปอนด์ การลงทุนป้องกันนั้น “ถูกกว่ามหาศาล” ค่าปรับทางปกครองของ PDPA สูงสุดถึง 5 ล้านบาทสำหรับการละเมิดข้อมูลอ่อนไหว และ 3 ล้านบาทสำหรับข้อมูลทั่วไป ยังไม่รวมค่าสินไหมทดแทนทางแพ่งที่ศาลอาจสั่งจ่ายเพิ่มอีก 2 เท่าของความเสียหายจริง

ในขณะที่การป้องกันเบื้องต้นสำหรับ SME แทบ ไม่มีค่าใช้จ่าย หรือมีน้อยมาก:

  • ร่าง Privacy Policy: ฟรี (ใช้ Template)
  • ตั้งค่าความปลอดภัย ChatGPT: ฟรี
  • อบรมพนักงาน: ฟรี (ใช้ข้อมูลจากบทความนี้)
  • เครื่องมือ Consent Management: หลักร้อย/เดือน สำหรับ SME

ความเสี่ยงที่น่ากลัวกว่าค่าปรับคือ “ชื่อเสียง” หากลูกค้าหมดความไว้เนื้อเชื่อใจ ธุรกิจอาจพังทลายได้ในข้ามคืน ดังนั้น การทำ PDPA จึงเป็นการลงทุนซื้อ “ประกันความอยู่รอด” ที่คุ้มค่าที่สุด

10. มีเครื่องมือหรือหน่วยงานใดช่วยตรวจสอบความปลอดภัย PDPA เมื่อใช้ AI บ้าง?

SME ไทยมีตัวช่วยมากมายที่ไม่ต้องเสียเงินจ้างที่ปรึกษาแพงๆ:

  1. สคส. (PDPC): เว็บไซต์ pdpc.or.th มีคู่มือแนวปฏิบัติสำหรับ SME และ AI Governance Guideline ที่ดาวน์โหลดได้ฟรี
  2. ETDA (สพธอ.): มี AI Governance Clinic และชุดข้อมูลแนะนำการใช้ AI อย่างมีธรรมาภิบาล
  3. Kooru, PDPA Thailand & EasyPDPA: เว็บไซต์ภาคเอกชนที่มีบทความ เครื่องมือตรวจเช็คเบื้องต้น (Checklist) และ Template เอกสารทางกฎหมายที่ปรับใช้ได้ง่าย

นอกจากนี้ เครื่องมือ AI Enterprise หลายตัว (เช่น Microsoft Copilot 365 หรือ Google Gemini for Workspace) ก็เริ่มมีฟีเจอร์ Compliance Center ที่ช่วยตรวจสอบความปลอดภัยของข้อมูลในองค์กรให้อัตโนมัติ ซึ่งเหมาะสำหรับ SME ที่ต้องการความมั่นใจขั้นสูง

 

อ้างอิง

[1] PDPA Thailand. (2025). บทลงโทษตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล. สืบค้นจาก https://pdpathailand.com/news-article/article-legal-punishment/
[2] Athentic Consulting. (2025). สมดุล AI กับ PDPA. สืบค้นจาก https://www.athenticconsulting.co.th/th/article/44
[3] PDPA Thailand. (2024). Biometrics และ PDPA. สืบค้นจาก https://pdpathailand.com/news-article/biometrics/
[4] FOSR Law. (2025). Facial Recognition PDPA Cases. สืบค้นจาก https://fosrlaw.com/2025/australia-bunnings-facial-recognition-thailand-pdpa/
[5] ETDA. (2023). Thailand’s AI Governance Guideline for Executives. สืบค้นจาก https://www.etda.or.th/getattachment/Our-Service/AIGC/Research-and-Recommendation/Thailand%E2%80%99s-AI-Governance-Guideline-for-Executive_2023.pdf.aspx?lang=th-TH
[6] PDPA Thailand. (2024). PDPA Penalties. สืบค้นจาก https://pdpathailand.com/news-article/pdpa-penalties/
[7] NineTen. (2024). Data Privacy Compliance for AI Chatbots. สืบค้นจาก https://nineten.ai/data-privacy-compliance-for-ai-chatbots-in-singapore-malaysia-pdpa-guidelines/
[8] T-Reg. (2024). แนวทางใหม่ PDPA 2024. สืบค้นจาก https://t-reg.co/blog/t-reg-knowledge/%E0%B9%81%E0%B8%99%E0%B8%A7%E0%B8%97%E0%B8%B2%E0%B8%87%E0%B9%83%E0%B8%AB%E0%B8%A1%E0%B9%88-pdpa-2024/
[9] Nemko. (2024). Thailand AI Ethics and Regulation. สืบค้นจาก https://digital.nemko.com/regulations/thailand-ai-ethics-and-regulation

 

โดย: คุณภูวรา (Khun Phuwara) – ที่ปรึกษาอาวุโสด้านกลยุทธ์ธุรกิจและ Legal-Tech แห่ง The Kooru

Focus Keyword:  “ใช้ AI ไม่ผิด PDPA”
Secondary Keywords (LSI): ChatGPT ผิด PDPA ไหม, AI กับกฎหมาย PDPA, ข้อมูลลูกค้า AI ปลอดภัย, ค่าปรับ PDPA SME, Checklist PDPA AI