The principle of using AI with personal data

NOVEMBER 18, 2019

ในโลกปัจจุบัน เรามีข้อมูลที่ถูกสร้างและถูกเก็บจำนวนมาก โดยมาจากสิ่งต่างๆ รอบตัวเรา เช่น พฤติกรรมการใช้งานฟังก์ชันต่างๆ จากโทรศัพท์มือถือและจากในโลกอินเตอร์เน็ต ที่ถูกแปลงไปอยู่ในโลกดิจิทัล เพื่อช่วยให้เอไอและแมชชีนเลิร์นนิ่ง (AI/Machine Learning) ทำการประมวลผลบางอย่าง เพื่อนำไปใช้ให้เกิดประโยชน์ต่อภาคธุรกิจและสังคม ทั้งในด้านของการช่วยตัดสินใจ การคาดการณ์ (Prediction) การทำงานอย่างอัตโนมัติ (Automation) โดยองค์กรอาจนำเอาข้อมูลส่วนตัวมาร่วมใช้วิเคราะห์ตัดสินใจควบคู่กันไปด้วย เพื่อทำให้ลูกค้ามีประสบการณ์การใช้งานที่ดี (User Experience) และอยู่ใช้บริการกับองค์กรได้นานยิ่งขึ้น ซึ่งแน่นอนว่าจะช่วยสร้างรายได้ให้กับธุรกิจมากยิ่งขึ้นเช่นกัน

จากประโยชน์ของการนำข้อมูลส่วนบุคคลมาใช้เพื่อประโยชน์ขององค์กรหรือภาคธุรกิจต่างๆ นี้เอง ทำให้ช่วงที่ผ่านมาหลายๆ ประเทศ รวมทั้งประเทศไทยได้ออกกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทำให้องค์กรและผู้ประกอบการเกิดความตระหนักและต้องคิดให้รอบคอบมากขึ้นในกรณีที่ต้องการนำข้อมูลต่างๆ มาใช้งาน ซึ่งแน่นอนว่าการที่จะทำ personalization ที่ดีได้นั้น ต้องอาศัยข้อมูลเกี่ยวกับพฤติกรรมของบุคคลจำนวนมาก แต่จะทำอย่างไรให้การนำข้อมูลมาใช้ยังคุ้มครองสิทธิส่วนบุคคลในขณะที่ก็ให้ประโยชน์กับผู้ใช้งานด้วยเช่นกัน เรียกได้ว่าเป็นสิ่งที่ท้าทายมาก โดยองค์กรหรือผู้ประกอบการอาจจะเป็นผู้ที่ควบคุมหรือประมวลผลข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้ได้ ภายใต้ข้อบังคับของกฎหมาย บทความนี้ผมอยากนำเสนอแนวคิด (mindset) หรือคำถามที่ผู้อ่านควรตระหนัก เมื่อเก็บข้อมูลส่วนบุคคล รวมทั้งการดูแลคุณภาพของข้อมูล ซึ่งการเก็บข้อมูลอะไรก็ตามควรมีกระบวนการที่คอยดูแลคุณภาพ สิ่งเหล่านี้เป็นส่วนหนึ่งของการธรรมาภิบาลข้อมูล (Data Governance)

หลักการและแนวคิดที่ควรมี

1. Know your data existence

รู้แก่นแท้ของข้อมูลที่มีอยู่ ไม่ว่าข้อมูลจะถูกเก็บหรือถูกใช้อย่างไร แนวคิดที่ควรมีคือ เราต้องตั้งคำถามด้วย 5Ws ได้แก่ Who, What, Why, When, Where และ How

  • Who: เก็บข้อมูลใคร ตัวตนของคนจำเป็นต้องเก็บหรือไม่ หรือจะทำการแปลงให้เป็นข้อมูลนิรนาม ไม่รู้ตัวตน (anonymize)

  • What: เก็บอะไร เก็บเท่าที่จำเป็น ใช้หลักเก็บยิ่งน้อยยิ่งดี (data minimization)

  • Why: เก็บทำไม ต้องมีเหตุจำเป็น หลักการนี้สำคัญมาก ควรมีการสื่อสารให้ผู้ที่ถูกเก็บข้อมูลทราบ ถ้าเป็นที่สาธารณะก็ควรมีป้ายบอก ถ้าเป็นการใช้บริการก็ควรแจ้งให้ทราบตอนใช้งานหรืออาจต้องมีการแสดงความยินยอม

  • When: เก็บไว้นานแค่ไหน ต้องมีแผนที่จะเก็บและลบทิ้งเมื่อไม่จำเป็น

  • Where: เก็บไว้ที่ไหน ต้องเป็นที่ที่ปลอดภัย มีการควบคุมการเข้าถึงอย่างรัดกุม

  • How: เก็บหรือส่งอย่างไร ควรมีการเข้ารหัสข้อมูล (encryption) ตอนอยู่ในฮาร์ดไดร์ฟ (data at rest) หรือตอนส่งข้อมูล (data in transit) รวมทั้งควรมีการทำ anonymization pseudonymization หรือไม่

ที่สำคัญควรมี data flow ตั้งแต่การเริ่มเก็บไปจนถึงแต่ละขั้นที่ข้อมูลถูกประมวลผลเก็บหรือส่งไปยังที่ต่างๆ

2. Build data protection by default

คิดปกป้องข้อมูลโดยปริยาย การเก็บข้อมูลส่วนบุคคล ควรคำนึงถึงความปลอดภัยของข้อมูลตลอดทั้งเส้นทาง (journey) ตั้งแต่การเก็บรักษา ประมวลผล เข้าถึง ส่งผ่าน ทำลาย รวมทั้งมีการประเมินความเสี่ยงและ ผลกระทบก่อนที่จะนำข้อมูลนั้นไปประมวลผล เพื่อที่จะมีการกำหนดนโยบายในการดูแลข้อมูลที่เหมาะสม ซึ่งควรเป็นส่วนหนึ่งของการธรรมาภิบาลข้อมูล (Data Governance)

3. Use FAT

Fairness: ข้อมูลที่เก็บหรือใช้ต้องไม่มีอคติ (bias) หรือมีน้อย เพื่อความเป็นธรรม (fairness) ต่อกลุ่มประชากรแต่ละกลุ่ม ไม่เอนเอียงไปในกลุ่มใดกลุ่มหนึ่งมากเกินไป เพราะผลกระทบของการใช้ข้อมูลที่มีอคติอาจทำให้โมเดล (model) ทำงานได้ดีกับกลุ่มหนึ่ง และทำงานได้ไม่มีประสิทธิภาพกับอีกกลุ่มหนึ่ง ในขั้นตอนการสอน AI/ML ในการ training data

Accountability: ต้องมีการควบคุมในเชิงนโยบายขององค์กร หรือแม้ในรูปแบบของกฎระเบียบที่จะทำให้ผู้ใช้ข้อมูลหรือ AI/ML เกิดประโยชน์ ไม่เกิดความเสียหายแก่บุคคลหรือสังคม รวมทั้งปกป้องผู้ให้ข้อมูล ต้องมีการประเมินความเสี่ยง risk assessment ซึ่งเป็นส่วนหนึ่งของการทำงานด้านข้อมูลและ AI/ML

Transparency: องค์กรควรจะสามารอธิบายกระบวนการในการเก็บข้อมูลและการประมวลผลข้อมูลได้ รวมทั้งสามารถที่จะอธิบายได้ว่า โมเดลที่ใช้ช่วยในการตัดสินใจ ทำงานได้อย่างไร ซึ่งตอนนี้ อาจจะทำได้ไม่สมบูรณ์สำหรับโมเดลที่ซับซ้อน และควรมีเอกสารบันทึกว่า มีขั้นตอนกระบวนการทำอย่างไร ข้อมูล data flow เป็นอย่างไร ซึ่งจะช่วยให้คนทำงานเข้าใจและมีการเตรียมพร้อมที่จะจัดการดูแลความปลอดภัยของระบบและข้อมูล รวมทั้งพร้อมที่จะตอบคำถามจากผู้ให้ข้อมูลในกรณีที่ถูกถาม

สุดท้ายแล้วการเอาข้อมูลส่วนตัวมาใช้ ต้องมีแนวคิดที่ดีที่จะดูแลข้อมูลของคนอื่นเหมือนดูแลข้อมูลของเราเอง สิ่งที่เกริ่นมา เป็นกระบวนการที่สร้างความรอบคอบเพื่อให้ข้อมูลและระบบมีความปลอดภัยมากขึ้น การดูแลข้อมูลของลูกค้าเป็นเรื่องของทุกคนในองค์กรที่ควรตระหนักและรอบคอบในการนำไปใช้ คงไม่มีใครอยากให้ข้อมูลของเราถูกนำไปใช้ในทางที่เราไม่ชอบหรือสร้างความเสียหายใช่ไหมครับ

 

Large amounts of data is created/ collected from everywhere around us. For example, human behavior of using many functions in smart phones and in internet platforms which have already been transformed into a digital world, so that AI and Machine Learning could learn and evaluate data into something useful for business and society. It can help with the forecasting, prediction, and automation by using those datasets along with human analysis to create and enhance users' experience so that the business can keep track of their customers and  stay loyal to the brand or business.

As a consequence of using  personal data by companies, many countries have formed the common data protection framework; including Thailand, so the companies are well considered for personal privacy when using customer personal data for their personalization work. It is a big challenge for businesses to be concerned about the use of customers behavior data and at the same time protecting their privacy when using it. The binding of data to a specific purpose in a business is the most important thing that must be respected when working with personal data, that it should be under the law. In this  article, i would like to highlight the mindset or the questions everyone needs to be concerned and aware of when collecting personal data and managing them as part of Data Governance.

The principle and concept

1. Know your data existence, where it comes from, what’s in it, what it means. It all starts from 5Ws; Who, What, Why, When, Where and How. 

 

  • Who: the Who of the data tells us whom we have collected data either individual or anonymize. 

  • What: what data has been collected and measured. Also stick with the practice of data minimization.

  • Why: reveals the most about our data, since it also gives insight into the Who, What, and How of the data being used.

  • When: how long will data be kept, and the plan to delete the data.  

  • Where: where to keep the data safe.

  • How: protecting sensitive data and how to retrieve data (encryption) in harddrive (data at rest or data in transit) and to practice pseudonymization. And most importantly, we need to have data flow from the beginning of collecting data until the end used. 

2. Build data protection by default,  is about considering data protection and privacy issues upfront in everything you do along the journey, from collecting data, analyse , pass through, delete and manage its risk of using data. It can help you ensure that you comply with the GDPR’s fundamental principles and requirements, and that it should be part of the Data Governance.


3. Use FAT

Fairness: the collection of data should reduce bias and ensure fairness to a group of people. As the model will work differently while individual fairness requires that each applicant be evaluated independently of any broader context  during the training data of AI/ML.

Accountability: it requires controllers and processors to take responsibility for their processing activities and for how they comply with data protection principles. Having risk assessment and records in place to demonstrate your compliance is key.

 

Transparency: the ability to access and work with data no matter where they are located or what application created them. 

 

Overall, the use of personal data should rely on the rule of using it, and others’ data should be protected just like ours. 

บทความโดย
คุณจรัล งามวิโรจน์เจริญ
Chief Data Scientist & VP of Data Innovation Lab
บริษัท เซอร์ทิส จำกัด

Related Posts

CONTACT US

Bangkok Office

Sertis Co.,Ltd. 

Suite No.302, 3rd Floor

597/5 Sukhumvit Road,

Khlong Tun Nuea, Wattana, Bangkok, Thailand 10110

Singapore Office

Sertis International Pte. Ltd.

3 Pickering Street

#03-05 Singapore 048660

© 2020 Sertis Co.,Ltd. All rights reserved.

  • Sertis Facebook
  • Sertis Linkedin
  • Sertis Channel
Sertis-Logo_2020.png