เทคโนโลยีปัญญาประดิษฐ์ (AI) ได้เข้ามามีบทบาทสำคัญในชีวิตประจำวันของเราอย่างรวดเร็ว ตั้งแต่โทรศัพท์มือถือไปจนถึงระบบขนส่ง
การทำความเข้าใจและกำกับดูแล AI อย่างเหมาะสมจึงไม่ใช่เรื่องไกลตัวอีกต่อไป รัฐบาลในหลายประเทศเริ่มตื่นตัวเกี่ยวกับ “ธรรมาภิบาล AI” หรือ AI governance ไม่ว่าจะเป็น เรื่องของความโปร่งใส ความยุติธรรม หรือแม้แต่ความปลอดภัยในอนาคต
ที่น่าสนใจคือ ในขณะที่สหภาพยุโรปได้ก้าวหน้าไปอีกขั้นด้วยการออกกฎหมาย EU AI Act ที่มีผลบังคับใช้ตั้งแต่ปี 2567 (แต่มีการบังคับใช้แบบค่อยเป็นค่อยไป มีขั้นมีตอน จะมีผลบังคับใช้เต็มรูปแบบช่วงกลางปี 2569)
ประเทศไทยเองก็ไม่ได้นิ่งนอนใจและได้มีการร่างคู่มือแนวทางการกำกับดูแล Generative AI ออกมาเช่นกันเมื่อช่วงปลายปี 2567 แล้วสองแนวทางนี้มีความเหมือนหรือแตกต่างกันอย่างไร?
มาร่วมกันเจาะลึกถึงประเด็นเหล่านี้และเตรียมพร้อมรับมือกับยุคสมัยที่ AI จะเข้ามาเปลี่ยนแปลงโลกของเราอย่างลึกซึ้งกันครับ
จากการเปรียบเทียบพระราชบัญญัติ AI ของสหภาพยุโรป (EU AI Act) และคู่มือแนวทางการกำกับดูแล Generative AI สำหรับองค์กรของไทย (Thai AI Guideline) มีประเด็นสำคัญดังนี้ ครับ
ขอบเขตและสถานะทางกฎหมาย
คู่มือแนวทางการกำกับดูแล Generative AI สำหรับองค์กรของไทย เน้นไปที่การกำกับดูแลและประยุกต์ใช้ Generative AI โดยเฉพาะ ในบริบทขององค์กร.
– คู่มือฉบับนี้จัดทำขึ้นเพื่อให้เป็นแนวทางสำหรับผู้บริหารและบุคลากรที่เกี่ยวข้องในองค์กรนำไปปรับใช้ ไม่ใช่เอกสารที่มีผลผูกพันทางกฎหมาย และการไม่ปฏิบัติตามหรือไม่นำไปปรับใช้เพียงบางส่วน ไม่ถือเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายและข้อกำหนดที่เกี่ยวข้อง.
– พระราชบัญญัติ AI ของสหภาพยุโรป (EU AI Act) เป็นกฎหมายที่ครอบคลุม ระบบ AI ทั้งหมด โดยมีการจัดประเภท AI ตามระดับความเสี่ยง.
ฉบับสรุปนี้ระบุว่าเป็นกฎหมายที่มีผลบังคับใช้ โดยมีการกำหนดระยะเวลาในการบังคับใช้สำหรับระบบ AI ประเภทต่างๆ.
การจัดประเภทความเสี่ยง
EU AI Act จำแนกระบบ AI ออกเป็น 4 ระดับความเสี่ยง:
– ความเสี่ยงที่ยอมรับไม่ได้ (Unacceptable risk): AI ประเภทนี้เป็นสิ่งต้องห้าม เช่น ระบบให้คะแนนทางสังคม (social scoring) และ AI ที่มีการปรับเปลี่ยนพฤติกรรมในลักษณะที่ก่อให้เกิดอันตรายอย่างมีนัยสำคัญ.
นอกจากนี้ยังรวมถึงระบบระบุตัวตนด้วยชีวมิติแบบ “เรียลไทม์” ในพื้นที่สาธารณะสำหรับหน่วยงานบังคับใช้กฎหมาย ยกเว้นในบางกรณีที่ระบุไว้โดยเฉพาะ.
– ความเสี่ยงสูง (High-risk): ระบบ AI ประเภทนี้อยู่ภายใต้การกำกับดูแลและมีข้อกำหนดเพิ่มเติมสำหรับผู้ให้บริการ.
ระบบความเสี่ยงสูง ได้แก่ ระบบที่เป็นองค์ประกอบด้านความปลอดภัยในผลิตภัณฑ์ที่อยู่ภายใต้กฎหมายของสหภาพยุโรปที่ระบุใน Annex I และต้องผ่านการประเมินความสอดคล้องโดยบุคคลที่สาม
หรือระบบที่อยู่ในกรณีการใช้งานตามรายการใน Annex III ยกเว้นกรณีที่เป็นงานที่มีขั้นตอนจำเพาะแคบๆ, ช่วยปรับปรุงผลลัพธ์จากกิจกรรมของมนุษย์ที่ทำเสร็จแล้ว,
ตรวจจับรูปแบบการตัดสินใจโดยไม่ได้ตั้งใจจะแทนที่หรือมีอิทธิพลต่อการประเมินของมนุษย์โดยปราศจากการตรวจสอบที่เหมาะสม, หรือปฏิบัติงานเตรียมการสำหรับการประเมินที่เกี่ยวข้องกับกรณีการใช้งานใน Annex III.
การประมวลผลข้อมูลส่วนบุคคลเพื่อประเมินลักษณะต่างๆ ของบุคคล (Profiling) ภายใต้กรณีการใช้งานใน Annex III จะถือเป็นความเสี่ยงสูงเสมอ.
– ความเสี่ยงจำกัด (Limited risk): ระบบ AI ประเภทนี้อยู่ภายใต้ข้อกำหนดด้านความโปร่งใสที่เบาลง โดยผู้พัฒนาและผู้ใช้งานต้องแจ้งให้ผู้ใช้งานปลายทางทราบว่ากำลังโต้ตอบกับ AI (เช่น แชทบอทและดีปเฟค).
– ความเสี่ยงน้อยที่สุด (Minimal risk): ระบบ AI ประเภทนี้ยังไม่ถูกกำกับดูแล (เช่น วิดีโอเกมที่เปิดใช้งาน AI และตัวกรองสแปม). อย่างไรก็ตาม แหล่งข้อมูลระบุว่าสถานการณ์นี้กำลังเปลี่ยนแปลงไปกับ Generative AI.
คู่มือแนวทางการกำกับดูแล Generative AI สำหรับองค์กรของไทย ไม่ได้จำแนกระบบ Generative AI ออกเป็นระดับความเสี่ยงอย่างเป็นทางการเช่น EU AI Act แต่ได้ระบุ ข้อจำกัด และ ความเสี่ยง ที่อาจเกิดขึ้นจากการประยุกต์ใช้ Generative AI.
ความเสี่ยงที่ระบุ เช่น อาการหลอน (Hallucination), ปัญหาเรื่องการคิดวิเคราะห์และตัดสินใจ, ปัญหาบริบทที่ละเอียดอ่อนหรือประเด็นทางจริยธรรม, การขาดความเชี่ยวชาญเฉพาะด้าน, ปัญหาข้อมูลส่วนบุคคล,
ความไม่เป็นปัจจุบันของข้อมูล, การขาดความสามารถในการอธิบายเหตุผลของผลลัพธ์, และความไม่แน่นอนของผลลัพธ์.
คู่มือยังอ้างอิงถึงกรอบการบริหารจัดการความเสี่ยง AI ของ NIST ในการระบุประเด็นความเสี่ยงต่างๆ เช่น ข้อมูลอันตรายต่อการผลิตอาวุธ, เนื้อหาที่น่าเชื่อถือแต่ไม่ถูกต้อง (Confabulation), คำแนะนำที่เป็นอันตราย/รุนแรง,
ความเป็นส่วนตัวของข้อมูล, สิ่งแวดล้อม, การทำงานร่วมกันระหว่างมนุษย์และ AI, ความสมบูรณ์ของข้อมูล, ความปลอดภัยของข้อมูล, ทรัพย์สินทางปัญญา, เนื้อหาลามก/คุกคาม/ล่วงละเมิด, เนื้อหาเชิงลบ/อคติ/แบ่งแยก, และความเสี่ยงในห่วงโซ่อุปทาน.
ข้อผูกพันและความรับผิดชอบ
EU AI Act กำหนด ข้อผูกพันส่วนใหญ่อยู่ที่ผู้ให้บริการ (Provider) ของระบบ AI ความเสี่ยงสูง.
ผู้ให้บริการที่ตั้งใจจะวางตลาดหรือนำระบบ AI ความเสี่ยงสูงไปใช้งานในสหภาพยุโรปต้องปฏิบัติตามข้อกำหนด ไม่ว่าจะตั้งอยู่ในสหภาพยุโรปหรือประเทศที่สาม รวมถึงผู้ให้บริการในประเทศที่สามที่ผลลัพธ์ของระบบ AI ความเสี่ยงสูงถูกนำไปใช้ในสหภาพยุโรป.
ผู้ใช้งาน (Deployer) ระบบ AI ความเสี่ยงสูงก็มีข้อผูกพันเช่นกัน แม้จะน้อยกว่าผู้ให้บริการ โดยมีผลกับผู้ใช้งานที่ตั้งอยู่ในสหภาพยุโรปและผู้ใช้งานในประเทศที่สามที่ผลลัพธ์ของระบบถูกนำไปใช้ในสหภาพยุโรป.
– ข้อกำหนดสำหรับผู้ให้บริการ AI ความเสี่ยงสูง รวมถึงการจัดตั้งระบบบริหารจัดการความเสี่ยง, การกำกับดูแลข้อมูล (เพื่อให้ชุดข้อมูลสำหรับการฝึกฝน การตรวจสอบ และการทดสอบมีความเกี่ยวข้อง เป็นตัวแทนที่ดี ปราศจากข้อผิดพลาด และสมบูรณ์), การจัดทำเอกสารทางเทคนิค,
การออกแบบระบบให้บันทึกเหตุการณ์ที่เกี่ยวข้อง, การให้คำแนะนำการใช้งานแก่ผู้ใช้งานปลายน้ำ, การออกแบบระบบที่อนุญาตให้ผู้ใช้งานนำการกำกับดูแลของมนุษย์ไปใช้ได้, การออกแบบระบบเพื่อให้ได้ระดับความถูกต้อง ความแข็งแกร่ง และความปลอดภัยทางไซเบอร์ที่เหมาะสม, และการจัดตั้งระบบการจัดการคุณภาพ.
ผู้ให้บริการ General Purpose AI (GPAI) Model ทุกรายต้องจัดทำเอกสารทางเทคนิค, ให้ข้อมูลและเอกสารแก่ผู้ให้บริการปลายน้ำ, ปฏิบัติตาม Copyright Directive, และเผยแพร่บทสรุปโดยละเอียดเกี่ยวกับเนื้อหาที่ใช้ในการฝึกฝน.
สำหรับ GPAI Model ที่มีความเสี่ยงเชิงระบบ (Systemic risk) (คำนวณจากปริมาณ Compute ในการฝึกฝนที่มากกว่า 10^25 FLOPs) ผู้ให้บริการมีข้อผูกพันเพิ่มเติม
เช่น การประเมินโมเดล การทดสอบแบบ adversarial การประเมินและบรรเทาความเสี่ยงเชิงระบบ การติดตามและรายงานเหตุการณ์ร้ายแรง และการรับรองระดับความปลอดภัยทางไซเบอร์ที่เพียงพอ.
กฎหมาย AI ของสหภาพยุโรปมีการบังคับใช้เป็นระยะ โดยมีส่วนต่างๆ ของกฎหมายมีผลบังคับใช้ในเวลาที่แตกต่างกัน ดังนี้
1 สิงหาคม 2567: กฎหมาย AI ของสหภาพยุโรปมีผลบังคับใช้อย่างเป็นทางการ ซึ่งถือเป็นการเริ่มต้นกระบวนการนำไปปฏิบัติ
2 กุมภาพันธ์ 2568: ข้อกำหนดที่เกี่ยวข้องกับระบบ AI ที่ถูกห้าม (ระบบที่ถือว่ามีความเสี่ยงที่ยอมรับไม่ได้ เช่น ระบบการจัดประเภทไบโอเมตริกบางประเภท และระบบการให้คะแนนทางสังคม) และข้อผูกพันด้านการรู้เท่าทัน AI เริ่มมีผลบังคับใช้
2 สิงหาคม 2568: กฎเกณฑ์ด้านการกำกับดูแล และข้อผูกพันสำหรับแบบจำลอง AI ทั่วไป (GPAI) จะเริ่มมีผลบังคับใช้ รัฐสมาชิกจะต้องแต่งตั้งหน่วยงานระดับชาติที่มีหน้าที่รับผิดชอบในการบังคับใช้กฎหมาย AI ภายในวันเดียวกันนี้ด้วย กฎเกณฑ์ที่เกี่ยวข้องกับบทลงโทษและการรักษาความลับก็จะมีผลบังคับใช้เช่นกัน
2 สิงหาคม 2569: ข้อกำหนดส่วนใหญ่ที่เหลือของกฎหมาย AI รวมถึงข้อผูกพันสำหรับระบบ AI ที่มีความเสี่ยงสูงตามที่ระบุไว้ในภาคผนวก III (เช่น AI ที่ใช้ในการจ้างงาน บริการสาธารณะที่สำคัญ) และข้อกำหนดด้านความโปร่งใสที่เฉพาะเจาะจง จะมีผลบังคับใช้ รัฐสมาชิกจะต้องดำเนินการตามกฎเกณฑ์ว่าด้วยบทลงโทษภายในวันเดียวกันนี้
2 สิงหาคม 2570: ข้อผูกพันสำหรับระบบ AI ที่มีความเสี่ยงสูงที่เป็นส่วนประกอบด้านความปลอดภัยในผลิตภัณฑ์ที่มีการควบคุม จะมีระยะเวลาเปลี่ยนผ่านที่ยาวนานขึ้นจนถึงวันดังกล่าว ผู้ให้บริการแบบจำลอง GPAI ที่วางจำหน่ายในตลาดก่อนวันที่ 2 สิงหาคม 2568 จะต้องปฏิบัติตามกฎหมายภายในเวลานี้ด้วย
31 ธันวาคม 2573: ระบบ AI ที่เป็นส่วนประกอบของระบบ IT ขนาดใหญ่ที่จัดตั้งขึ้นตามกฎหมายของสหภาพยุโรปในด้านเสรีภาพ ความมั่นคง และความยุติธรรม (เช่น ระบบข้อมูล Schengen) และวางจำหน่ายในตลาดก่อนวันที่ 2 สิงหาคม 2570 จะต้องปฏิบัติตามกฎหมายภายในวันดังกล่าว
ดังนั้น ในขณะที่กฎหมาย AI ของสหภาพยุโรปมีผลบังคับใช้ในเดือนสิงหาคม 2567 บทบัญญัติต่างๆ จะถูกนำมาใช้เป็นระยะเวลาหลายปี โดยส่วนใหญ่จะมีผลบังคับใช้ในวันที่ 2 สิงหาคม 2569
คู่มือแนวทางการกำกับดูแล Generative AI สำหรับองค์กรของไทย กำหนด หน้าที่และความรับผิดชอบ ให้กับ ผู้ใช้งาน (พนักงาน ลูกจ้าง ผู้ปฏิบัติงานที่เกี่ยวข้อง รวมถึงผู้รับจ้าง) ที่ใช้ Generative AI สำหรับการดำเนินงานตามภารกิจของสำนักงาน.
ผู้ใช้งาน มีหน้าที่ต้องแจ้งผู้บังคับบัญชาเกี่ยวกับวัตถุประสงค์ ขอบเขต และระดับการมีส่วนร่วมของมนุษย์กับ Generative AI ในการปฏิบัติงาน.
ต้องตรวจสอบเนื้อหาที่สร้างโดย Generative AI ก่อนนำไปใช้งานหรือเผยแพร่ โดยพิจารณาถึงความถูกต้อง ความถูกต้องตามกฎหมาย การไม่เลือกปฏิบัติ ความลับและข้อมูลส่วนบุคคล ความมั่นคงปลอดภัย และผลกระทบเชิงลบอื่นๆ.
ต้องรายงานผู้บังคับบัญชาทันทีหากเกิดข้อผิดพลาดหรือพบปัญหาที่อาจส่งผลกระทบเชิงลบ.
ผู้บังคับบัญชา มีหน้าที่ทบทวนปัญหา ประเมินประสิทธิภาพและประสิทธิผลของการประยุกต์ใช้ Generative AI เพื่อปรับปรุงวิธีการทำงาน.
คณะกรรมการบริหารเทคโนโลยีสารสนเทศ มีหน้าที่พิจารณาและอนุมัติรายการแอปพลิเคชันหรือบริการ Generative AI ที่เหมาะสมสำหรับการใช้งานภายในสำนักงาน.
ระบบ AI ที่ต้องห้าม/การใช้งานที่ต้องห้าม
EU AI Act ระบุ ประเภทของระบบ AI ที่ต้องห้าม ไว้อย่างชัดเจน เช่น ระบบให้คะแนนทางสังคม การประมวลผลชีวมิติบางประเภท การประเมินความเสี่ยงในการก่ออาชญากรรมโดยอิงจาก Profiling เท่านั้น.
คู่มือแนวทางการกำกับดูแล Generative AI สำหรับองค์กรของไทย ไม่ได้ห้ามประเภทของระบบ Generative AI แต่กำหนด แนวทางการประยุกต์ใช้ และสิ่งที่ ผู้ใช้งานต้องไม่กระทำ.
ในนโยบายตัวอย่าง ระบุว่าผู้ใช้งานต้องไม่ใช้ Generative AI ในการสร้างเนื้อหาที่ผิดกฎหมาย เป็นอันตราย ทำให้เสื่อมเสียชื่อเสียง ล่วงละเมิด มีเจตนาบิดเบือน หรือทำให้กิจกรรมของสำนักงานหยุดชะงัก.
การบริหารจัดการความเสี่ยงและธรรมาภิบาล
ทั้งสองเอกสารเน้นย้ำถึงความสำคัญของการบริหารจัดการความเสี่ยง
คู่มือแนวทางการกำกับดูแล Generative AI ของไทย เสนอแนวทางการบริหารจัดการความเสี่ยง เช่น การกำหนดกรอบแนวทางการกำกับดูแล Generative AI อย่างมีธรรมาภิบาล การตรวจสอบความสอดคล้องตามข้อกำหนดและกฎหมาย การส่งเสริมการใช้ AI อย่างมีจริยธรรม
การกำหนดแนวทางการทำงานร่วมกันระหว่างมนุษย์และ AI การสร้างความร่วมมือระหว่างฝ่ายต่างๆ การพัฒนากำกับดูแลข้อมูล การเฝ้าติดตาม ประเมินผล และปรับปรุง และการกำหนดมาตรการและเฝ้าระวังความมั่นคงปลอดภัยทางไซเบอร์.
EU AI Act กำหนดให้ผู้ให้บริการ AI ความเสี่ยงสูงต้องจัดตั้งระบบบริหารจัดการความเสี่ยงตลอดวงจรชีวิตของระบบ. นอกจากนี้ยังมีการจัดตั้ง AI Office เพื่อเฝ้าติดตามการนำไปปฏิบัติและการปฏิบัติตามข้อกำหนดของผู้ให้บริการ GPAI Model.
ข้อมูลและความเป็นส่วนตัว
ทั้งสองเอกสารให้ความสำคัญกับข้อมูล.
EU AI Act กำหนดให้ผู้ให้บริการ AI ความเสี่ยงสูงต้องดำเนินการกำกับดูแลข้อมูล เพื่อให้ชุดข้อมูลสำหรับการฝึกฝน ตรวจสอบ และทดสอบมีคุณภาพ.
คู่มือแนวทางการกำกับดูแล Generative AI ของไทย เน้นย้ำให้ผู้ใช้งานระมัดระวังในการนำข้อมูลภายในองค์กร ข้อมูลที่มีชั้นความลับ ข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลที่อ่อนไหว ไปใช้งานร่วมกับแอปพลิเคชันหรือบริการ Generative AI โดยเฉพาะบริการที่ไม่มีค่าใช้จ่าย
เนื่องจากข้อมูลเหล่านั้นอาจถูกนำไปใช้ในการฝึกสอนโมเดลได้. ผู้ใช้งานจะต้องใช้เฉพาะบริการที่ได้รับอนุมัติจากสำนักงานเท่านั้นหากจำเป็นต้องใช้ข้อมูลดังกล่าวร่วมด้วย.
โดยสรุป คู่มือแนวทางการกำกับดูแล Generative AI สำหรับองค์กรของไทยเป็นกรอบแนวทางที่เน้นการประยุกต์ใช้ Generative AI ในองค์กร โดยเน้นความรับผิดชอบของผู้ใช้งานและองค์กรในการจัดการกับความเสี่ยงและข้อจำกัดเฉพาะของเทคโนโลยีนี้ในบริบทการทำงาน.
ในทางตรงกันข้าม EU AI Act เป็นกฎหมายที่ครอบคลุม AI ในวงกว้างกว่า โดยมีการจำแนกตามระดับความเสี่ยงที่ชัดเจนและกำหนดข้อผูกพันที่แตกต่างกันสำหรับผู้ให้บริการและผู้ใช้งาน โดยเฉพาะอย่างยิ่งสำหรับระบบความเสี่ยงสูงและ GPAI.
แม้ขอบเขตและสถานะทางกฎหมายจะแตกต่างกัน แต่ทั้งสองเอกสารก็มีประเด็นร่วมกันในการให้ความสำคัญกับการบริหารจัดการความเสี่ยง การกำกับดูแลข้อมูล จริยธรรม และความปลอดภัยในการนำ AI มาประยุกต์ใช้.
ที่มา : กรุงเทพธุรกิจ / วันที่เผยแพร่ 12 พฤษภาคม 2568
Link : https://www.bangkokbiznews.com/blogs/tech/gadget/1179972
