แนวคิดในการนำเอไอ มาใช้กับข้อมูลส่วนบุคคล

NOVEMBER 18, 2019

ในโลกปัจจุบัน เรามีข้อมูลที่ถูกสร้างและถูกเก็บจำนวนมาก โดยมาจากสิ่งต่างๆ รอบตัวเรา เช่น พฤติกรรมการใช้งานฟังก์ชันต่างๆ จากโทรศัพท์มือถือและจากในโลกอินเตอร์เน็ต ที่ถูกแปลงไปอยู่ในโลกดิจิทัล เพื่อช่วยให้เอไอและแมชชีนเลิร์นนิ่ง (AI/Machine Learning) ทำการประมวลผลบางอย่าง เพื่อนำไปใช้ให้เกิดประโยชน์ต่อภาคธุรกิจและสังคม ทั้งในด้านของการช่วยตัดสินใจ การคาดการณ์ (Prediction) การทำงานอย่างอัตโนมัติ (Automation) โดยองค์กรอาจนำเอาข้อมูลส่วนตัวมาร่วมใช้วิเคราะห์ตัดสินใจควบคู่กันไปด้วย เพื่อทำให้ลูกค้ามีประสบการณ์การใช้งานที่ดี (User Experience) และอยู่ใช้บริการกับองค์กรได้นานยิ่งขึ้น ซึ่งแน่นอนว่าจะช่วยสร้างรายได้ให้กับธุรกิจมากยิ่งขึ้นเช่นกัน

จากประโยชน์ของการนำข้อมูลส่วนบุคคลมาใช้เพื่อประโยชน์ขององค์กรหรือภาคธุรกิจต่างๆ นี้เอง ทำให้ช่วงที่ผ่านมาหลายๆ ประเทศ รวมทั้งประเทศไทยได้ออกกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทำให้องค์กรและผู้ประกอบการเกิดความตระหนักและต้องคิดให้รอบคอบมากขึ้นในกรณีที่ต้องการนำข้อมูลต่างๆ มาใช้งาน ซึ่งแน่นอนว่าการที่จะทำ personalization ที่ดีได้นั้น ต้องอาศัยข้อมูลเกี่ยวกับพฤติกรรมของบุคคลจำนวนมาก แต่จะทำอย่างไรให้การนำข้อมูลมาใช้ยังคุ้มครองสิทธิส่วนบุคคลในขณะที่ก็ให้ประโยชน์กับผู้ใช้งานด้วยเช่นกัน เรียกได้ว่าเป็นสิ่งที่ท้าทายมาก โดยองค์กรหรือผู้ประกอบการอาจจะเป็นผู้ที่ควบคุมหรือประมวลผลข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้ได้ ภายใต้ข้อบังคับของกฎหมาย บทความนี้ผมอยากนำเสนอแนวคิด (mindset) หรือคำถามที่ผู้อ่านควรตระหนัก เมื่อเก็บข้อมูลส่วนบุคคล รวมทั้งการดูแลคุณภาพของข้อมูล ซึ่งการเก็บข้อมูลอะไรก็ตามควรมีกระบวนการที่คอยดูแลคุณภาพ สิ่งเหล่านี้เป็นส่วนหนึ่งของการธรรมาภิบาลข้อมูล (Data Governance)

หลักการและแนวคิดที่ควรมี

1. Know your data existence

รู้แก่นแท้ของข้อมูลที่มีอยู่ ไม่ว่าข้อมูลจะถูกเก็บหรือถูกใช้อย่างไร แนวคิดที่ควรมีคือ เราต้องตั้งคำถามด้วย 5Ws ได้แก่ Who, What, Why, When, Where และ How

  • Who: เก็บข้อมูลใคร ตัวตนของคนจำเป็นต้องเก็บหรือไม่ หรือจะทำการแปลงให้เป็นข้อมูลนิรนาม ไม่รู้ตัวตน (anonymize)

  • What: เก็บอะไร เก็บเท่าที่จำเป็น ใช้หลักเก็บยิ่งน้อยยิ่งดี (data minimization)

  • Why: เก็บทำไม ต้องมีเหตุจำเป็น หลักการนี้สำคัญมาก ควรมีการสื่อสารให้ผู้ที่ถูกเก็บข้อมูลทราบ ถ้าเป็นที่สาธารณะก็ควรมีป้ายบอก ถ้าเป็นการใช้บริการก็ควรแจ้งให้ทราบตอนใช้งานหรืออาจต้องมีการแสดงความยินยอม

  • When: เก็บไว้นานแค่ไหน ต้องมีแผนที่จะเก็บและลบทิ้งเมื่อไม่จำเป็น

  • Where: เก็บไว้ที่ไหน ต้องเป็นที่ที่ปลอดภัย มีการควบคุมการเข้าถึงอย่างรัดกุม

  • How: เก็บหรือส่งอย่างไร ควรมีการเข้ารหัสข้อมูล (encryption) ตอนอยู่ในฮาร์ดไดร์ฟ (data at rest) หรือตอนส่งข้อมูล (data in transit) รวมทั้งควรมีการทำ anonymization pseudonymization หรือไม่

ที่สำคัญควรมี data flow ตั้งแต่การเริ่มเก็บไปจนถึงแต่ละขั้นที่ข้อมูลถูกประมวลผลเก็บหรือส่งไปยังที่ต่างๆ

2. Build data protection by default

คิดปกป้องข้อมูลโดยปริยาย การเก็บข้อมูลส่วนบุคคล ควรคำนึงถึงความปลอดภัยของข้อมูลตลอดทั้งเส้นทาง (journey) ตั้งแต่การเก็บรักษา ประมวลผล เข้าถึง ส่งผ่าน ทำลาย รวมทั้งมีการประเมินความเสี่ยงและ ผลกระทบก่อนที่จะนำข้อมูลนั้นไปประมวลผล เพื่อที่จะมีการกำหนดนโยบายในการดูแลข้อมูลที่เหมาะสม ซึ่งควรเป็นส่วนหนึ่งของการธรรมาภิบาลข้อมูล (Data Governance)

3. Use FAT

Fairness: ข้อมูลที่เก็บหรือใช้ต้องไม่มีอคติ (bias) หรือมีน้อย เพื่อความเป็นธรรม (fairness) ต่อกลุ่มประชากรแต่ละกลุ่ม ไม่เอนเอียงไปในกลุ่มใดกลุ่มหนึ่งมากเกินไป เพราะผลกระทบของการใช้ข้อมูลที่มีอคติอาจทำให้โมเดล (model) ทำงานได้ดีกับกลุ่มหนึ่ง และทำงานได้ไม่มีประสิทธิภาพกับอีกกลุ่มหนึ่ง ในขั้นตอนการสอน AI/ML ในการ training data

Accountability: ต้องมีการควบคุมในเชิงนโยบายขององค์กร หรือแม้ในรูปแบบของกฎระเบียบที่จะทำให้ผู้ใช้ข้อมูลหรือ AI/ML เกิดประโยชน์ ไม่เกิดความเสียหายแก่บุคคลหรือสังคม รวมทั้งปกป้องผู้ให้ข้อมูล ต้องมีการประเมินความเสี่ยง risk assessment ซึ่งเป็นส่วนหนึ่งของการทำงานด้านข้อมูลและ AI/ML

Transparency: องค์กรควรจะสามารอธิบายกระบวนการในการเก็บข้อมูลและการประมวลผลข้อมูลได้ รวมทั้งสามารถที่จะอธิบายได้ว่า โมเดลที่ใช้ช่วยในการตัดสินใจ ทำงานได้อย่างไร ซึ่งตอนนี้ อาจจะทำได้ไม่สมบูรณ์สำหรับโมเดลที่ซับซ้อน และควรมีเอกสารบันทึกว่า มีขั้นตอนกระบวนการทำอย่างไร ข้อมูล data flow เป็นอย่างไร ซึ่งจะช่วยให้คนทำงานเข้าใจและมีการเตรียมพร้อมที่จะจัดการดูแลความปลอดภัยของระบบและข้อมูล รวมทั้งพร้อมที่จะตอบคำถามจากผู้ให้ข้อมูลในกรณีที่ถูกถาม

สุดท้ายแล้วการเอาข้อมูลส่วนตัวมาใช้ ต้องมีแนวคิดที่ดีที่จะดูแลข้อมูลของคนอื่นเหมือนดูแลข้อมูลของเราเอง สิ่งที่เกริ่นมา เป็นกระบวนการที่สร้างความรอบคอบเพื่อให้ข้อมูลและระบบมีความปลอดภัยมากขึ้น การดูแลข้อมูลของลูกค้าเป็นเรื่องของทุกคนในองค์กรที่ควรตระหนักและรอบคอบในการนำไปใช้ คงไม่มีใครอยากให้ข้อมูลของเราถูกนำไปใช้ในทางที่เราไม่ชอบหรือสร้างความเสียหายใช่ไหมครับ

บทความโดย
คุณจรัล งามวิโรจน์เจริญ
Chief Data Scientist & VP of Data Innovation Lab
บริษัท เซอร์ทิส จำกัด

Related Posts

CONTACT US

Bangkok 

597/5 Sukhumvit Road,

Wattana, Bangkok, Thailand

Singapore

3 Pickering Street

#03-05 Singapore 048660

© 2019 Sertis Co.,Ltd. All rights reserved.

  • Sertis Facebook
  • Sertis Linkedin
  • Sertis Channel
Untitled-2-01_edited.png