ChatGPT ภาพหลอน และการละเมิดข้อมูลส่วนบุคคล

Share

Loading

หลาย ๆ ท่านอาจเคยได้ยินว่า Generative AI อาจให้ข้อมูลที่ผิดพลาดหรือไม่ตรงกับความเป็นจริงได้ ดังนั้น ผู้ใช้งานโมเดลภาษาขนาดใหญ่ (LLM: Larger language models) จึงต้องมีความตระหนักรู้ในข้อจำกัดของเทคโนโลยีประกอบด้วย

ข้อมูลที่ผิดพลาดอาจจะเป็นข้อเท็จจริงพื้นฐาน หรืออาจจะเป็นข้อมูลเกี่ยวกับบุคคลก็ได้ ลองจินตนาการว่าหาก Generative AI ให้ข้อมูลที่ไม่ถูกต้องเกี่ยวกับตัวท่าน เช่น “วันเดือนปีเกิด” ท่านในฐานะของผู้ใช้งานโมเดลภาษาเหล่านั้นหรือเจ้าของข้อมูลส่วนบุคคลที่ไม่ถูกต้อง และโดยเฉพาะอย่างยิ่งหากมีการให้ข้อมูลที่ไม่ถูกต้องที่อาจสร้างความเสื่อมเสียต่อเจ้าของข้อมูลส่วนบุคคล ท่านจะมีสิทธิตามกฎหมายอย่างไรบ้างหรือไม่ เพื่อจะทำให้ข้อมูลส่วนบุคคลของตนที่ถูกประมวลผลหรือแสดงผลโดย Generative AI นั้นถูกต้อง หรือขอให้ลบข้อมูลเหล่านั้นออกจากการประมวลผลหรือการแสดงผลลัพธ์

การที่ระบบปัญญาประดิษฐ์หรือ AI สร้างข้อมูลหรือเนื้อหาที่ไม่ถูกต้องหรือไม่เป็นความจริง ในทางเทคนิค เรียกว่า AI Hallucination หรือการประดิษฐ์ภาพหลอนโดย AI

คือกรณีนี้เป็นสถานการณ์ที่ AI สร้างข้อมูลหรือเนื้อหาที่ไม่ถูกต้องหรือไม่เป็นความจริง ซึ่งเป็นผลลัพธ์การตอบสนองที่สร้างโดย AI ที่ให้ข้อมูลที่เป็นเท็จหรือทำให้เข้าใจผิดว่าเป็นข้อเท็จจริง เปรียบเสมือนภาพหลอนในจิตวิทยาของมนุษย์ที่อาจเกิดจากข้อจำกัดของโมเดล AI เอง ประกอบกับข้อมูลที่ใช้ฝึกโมเดล

สาเหตุหลักของ AI Hallucination ประกอบด้วยข้อมูลที่ใช้ฝึกโมเดลนั้นหากข้อมูลผิดพลาดหรือไม่ครบถ้วน AI ก็อาจเรียนรู้ข้อมูลผิด ๆ และสร้างผลลัพธ์ที่ไม่ตรงกับความเป็นจริงได้ หรือเกิดจากการที่ลักษณะการทำงานของ AI บางประเภททำงานโดยอาศัยความน่าจะเป็นในการคาดคะเนผลลัพธ์ ซึ่งอาจทำให้ AI ตอบสนองผิดพลาดได้เช่นกัน และผลกระทบของ AI Hallucination อาจนำไปสู่การแพร่กระจายของข้อมูลเท็จหรือข่าวปลอมได้

เมื่อวันที่ 29 เมษายน 2567 อาการหลอนของ AI ถูกโต้แย้งในประเทศออสเตรีย โดย NYOB ซึ่งเป็นองค์กรที่ไม่แสวงหากำไรที่ขับเคลื่อนด้านการคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ได้ยื่นข้อร้องเรียนต่อหน่วยงานกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศออสเตรีย (DSB) เพื่อขอให้มีคำสั่งให้ OpenAI ผู้ให้บริการ ChatGPT ปฏิบัติให้สอดคล้องกับหน้าที่ของบริษัทตาม GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป

ในประเด็นของการตอบสนองต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลในการขอเข้าถึงและทราบแหล่งที่มาของข้อมูลส่วนบุคคล (access request) สิทธิในการแก้ไขข้อมูลส่วนบุคคลของตนเองให้ถูกต้อง (accuracy, rectification request) และสิทธิในการลบข้อมูลส่วนบุคคลที่ไม่ถูกต้อง (erasure request)

ข้อร้องเรียนดังกล่าวสืบเนื่องจากการที่ผู้ใช้บริการ ChatGPT รายหนึ่งพบว่าข้อมูลส่วนบุคคลของตนในส่วนของวันเดือนปีเกิดที่แสดงผลโดย ChatGPT ไม่ถูกต้อง และบุคคลดังกล่าวได้ใช้สิทธิของตนเองตาม GDPR ดังนี้

1 ขอให้ OpenAI เปิดเผยแหล่งที่มาของข้อมูลส่วนบุคคลของเขาว่าได้ข้อมูลของเขามาอย่างไร และจากแหล่งข้อมูลไหน (access request) ซึ่ง OpenAI ไม่สามารถอธิบายแหล่งที่มาของข้อมูลได้

2 ขอให้ทำข้อมูลส่วนบุคคลให้ถูกต้อง (accuracy and rectification) แต่เนื่องจากการประมวลผลทำโดยระบบอัตโนมัติและอัลกอริธึมที่กำหนดไว้ OpenAI จึงไม่สามารถแก้ไขผลลัพธ์ได้

3 ขอให้ลบข้อมูลส่วนบุคคลที่ไม่ถูกต้อง (erasure request) กรณีนี้ OpenAI ไม่สามารถตอบสนองต่อคำร้องขอดังกล่าวได้เช่นกัน เนื่องจากจะกระทบโครงสร้างของข้อมูล ทำได้แต่เพียงการซ่อนหรือไม่แสดงผลเท่านั้น

การร้องเรียนครั้งนี้ทำให้ DSB ต้องไต่สวนการดำเนินการของ OpenAI ตาม GDPR และคดีนี้มีแนวโน้มว่าอาจจะมีผลกระทบในหลาย ๆ ประเทศของสหภาพยุโรป เนื่องจาก OpenAI ให้บริการในทุกประเทศ และผลของคำตัดสินในคดีนี้ย่อมส่งผลสำคัญต่อการกำหนดทิศทางการพัฒนา AI

ย้อนกลับมาพิจารณาประเด็นดังกล่าวภายใต้กฎหมายไทย ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ​กำหนดหน้าที่ของผู้ให้บริการ Generative AI ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ใช้บริการในฐานะเจ้าของข้อมูลส่วนบุคคล ไว้ดังนี้

1 PDPA ใช้บังคับการประมวลผลข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร (extra territorial) หากมีการเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม

ดังนั้น ผู้ให้บริการ Generative AI ที่ให้บริการในประเทศไทย แม้ว่าจะไม่ได้จดทะเบียนจัดตั้งหรือมีสาขาในประเทศไทย ก็อาจต้องปฏิบัติตาม PDPA (มาตรา 5 วรรคสอง)

2 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน ซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม (มาตรา 30)

3 ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด และเจ้าของข้อมูลส่วนบุคคลสามารถร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการให้ข้อมูลส่วนบุคคลของตนถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดได้ (มาตรา 35 และมาตรา 36)

4 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (มาตรา 33)

แหล่งข้อมูล

https://www.bangkokbiznews.com/tech/gadget/1127464