เนื่องจากการบัญญัติให้General Data Protection Regulation (GDPR) ของสหภาพยุโรปขยายการบังคับใช้ไปถึงประเทศที่อยู่นอกอาณาเขตของสหภาพยุโรป (EU) ด้วย เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เกิดประสิทธิภาพสูงสุด ซึ่งส่งผลกระทบกับประเทศที่มีการดำเนินธุรกรรมต่าง ๆ กับประเทศของสมาชิกสหภาพยุโรป เนื่องจากมีผลบังคับใช้กับหน่วยงานไม่ว่าจะเป็นภาครัฐ ภาคเอกชน หรือภาคธุรกิจที่มีการเก็บข้อมูลส่วนบุคคล ตลอดจนผู้ให้บริการในรูปแบบออนไลน์แก่บุคคลที่อยู่ใน EU หลาย ๆ หน่วยงานจึงให้ความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ โดยคำนึงถึงการเก็บรักษาและการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีการละเมิดตามกฎหมาย GDPR ซึ่งได้กำหนดบทลงโทษเอาไว้ โดยกำหนดค่าปรับทางแพ่งสูงสุดถึง 20 ล้านยูโร หรือประมาณร้อยละ 4 ของรายได้ทั้งปีทั่วโลก รวมถึงการกำหนดสิทธิให้เจ้าของข้อมูลสามารถสั่งให้องค์กรทำการลบข้อมูลที่มีอยู่หรือในกรณีที่เห็นว่าไม่จำเป็นแล้ว ในกรณีที่เกิดการรั่วไหลของข้อมูลนั้นองค์กรหรือหน่วยงานที่รับผิดชอบต้องแจ้งเหตุต่อเจ้าหน้าที่รัฐ รวมถึงแจ้งเจ้าของข้อมูลส่วนบุคคลเช่นกัน[1]

3.3) ประเด็นที่เกี่ยวกับการบังคับใช้ General Data Protection Regulation (GDPR) กับงานยุติธรรม: Recital 20 Respecting the Independence of the Judiciary

ตามข้อกำหนดของสหภาพยุโรปเรื่องการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลและการโอนข้อมูลโดยเป็นอิสระและเสรี ข้อ 20 กำหนดขอบเขตของการคุ้มครองข้อมูลส่วนบุคคลโดยให้ครอบคลุมไปถึงศาลเช่นเดียวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่บัญญัติให้ครอบคลุมไปถึงการประมวลผล การใช้ การเก็บรวบรวมข้อมูลส่วนบุคคลของศาล แต่ข้อแตกต่างระหว่างกฎหมาย GDPR และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลคือ กฎหมาย GDPR จะไม่คุ้มครองข้อมูลส่วนบุคคลในลักษณะที่ศาลได้นำข้อมูลส่วนบุคคลนั้นมาดำเนินการปฏิบัติหน้าที่ หรือประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ในการให้ความยุติธรรม หรือเพื่อให้ความเป็นอิสระของศาลในการปฏิบัติหน้าที่ตามอำนาจหน้าที่ที่กำหนดไว้ตามกฎหมาย หากทำการเปรียบเทียบกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทยในมาตรา 4 ซึ่งกำหนดไม่ใช้บังคับใช้ในกรณีที่พิจารณาพิพากษาคดีต่าง ๆ ของศาล การปฏิบัติหน้าที่ของเจ้าหน้าที่ในการดำเนินการตามกระบวนการยุติธรรมเพื่อให้การพิจารณาคดีสำเร็จลุล่วงไปได้ด้วยดี การบังคับคดี และการวางทรัพย์ของคู่ความ รวมถึง การดำเนินงานตามกระบวนการยุติธรรมทางอาญา โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยนั้นให้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 30 ในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามคำขอจะปฏิเสธคำขอได้เฉพาะในกรณีตามกฎหมายหรือคำสั่งศาล และการเข้าถึงหรือการรับสำเนานั้นจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธคำขอพร้อมด้วยเหตุผล ในกรณีที่ไม่อาจปฏิเสธคำขอได้ตามวรรคสอง ให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตามคำขอโดยไม่ชักช้า รวมถึงการจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลด้วยเช่นกัน[2]

3.4) ประเด็นท้าทายใหม่ (EU’s Proposed Artificial Intelligence Regulation)

การกำกับดูแลด้านปัญญาประดิษฐ์ (Artificial Intelligence (AI)) ส่วนใหญ่ของสหภาพยุโรปเน้นที่กรอบการทำงานด้านจริยธรรมและคำมั่นสัญญาเป็นหลัก ซึ่งเป็นหลักการพื้นฐานของการใช้งานระบบ AI การพิจารณาถึงการนำ AI ไปใช้ให้มีจริยธรรมและความน่าเชื่อถือ

สำหรับนโยบายของสหภาพยุโรปได้กำหนดร่างระเบียบ AI ที่จะใช้กับภาครัฐและเอกชน ผู้ให้บริการ และผู้ใช้ระบบ โดยไม่คำนึงว่าจะอยู่ในสหภาพยุโรปหรือไม่ การกำหนดความรับผิดที่เกี่ยวข้องกับเทคโนโลยี รวมถึงการกำหนดมาตรการด้านความปลอดภัยของภาคส่วนที่เกี่ยวข้อง ร่างดังกล่าวกำหนดถึงขอบเขตในกรณีที่เป็นการใช้ข้อมูลจำนวนมาก กรอบการทำงานที่เป็นนวัตกรรมใหม่ โดยสามารถควบคุมความเสี่ยงและอันตรายที่อาจเกิดขึ้นจากการใช้ AI ในรูปแบบที่เฉพาะเจาะจง สร้างความมั่นใจให้กับผู้ใช้ เพิ่มการยอมรับ และสร้างความแน่นอนทางกฎหมายให้กับหน่วยงานภาครัฐและเอกชน

ประเทศสมาชิกของสหภาพยุโรปจะต้องกำหนดหน่วยงานเพื่อดูแลการปฏิบัติตามกฎระเบียบ แต่ละประเทศจะต้องแต่งตั้งหน่วยงานกำกับดูแลระดับชาติ ซึ่งจะทำหน้าที่ 2 ประการ คือ

ประการแรก ทำหน้าที่เป็น หน่วยงานรับแจ้ง ซึ่งจะรับผิดชอบในการร่างขั้นตอนที่จำเป็นและแต่งตั้งหน่วยงานอิสระที่จะตรวจสอบข้อกำหนดสำหรับระบบ AI ที่มีความเสี่ยงสูง หน่วยงานที่ได้รับแจ้งจะสามารถออกใบรับรองเพื่อให้เป็นไปตามข้อกำหนดบังคับ ใบรับรองเหล่านี้จะมีอายุไม่เกิน 5 ปี หน่วยงานที่ได้รับแจ้งอย่างเป็นทางการทั้งหมดจะต้องลงทะเบียนในรายการที่กำหนดโดยคณะกรรมาธิการยุโรป

ประการที่สอง หน่วยงานกำกับดูแลระดับประเทศจะทำหน้าที่เป็นหน่วยงานที่เฝ้าระวัง ควบคุมระดับประเทศ และตรวจสอบการปฏิบัติตามกฎสำหรับระบบ AI ที่มีความเสี่ยงสูงจะช่วยให้แน่ใจได้ว่ามีการบังคับใช้ตามกฎและให้อำนาจที่จำเป็นแก่หน่วยงานของรัฐเพื่อแทรกแซงในกรณีที่ระบบ AI ก่อให้เกิดความเสี่ยงที่ไม่คาดคิด ซึ่งต้องการดำเนินการอย่างรวดเร็ว[3]

[1] กรุงเทพธุรกิจออนไลน์. (2563). ‘ข้อมูลส่วนบุคคล‘ สำคัญแค่ไหน ตามกฎหมาย GDPR ยุโรป [ออนไลน์], 5 มกราคม 2565, https://www.bangkokbiznews.com/tech/882376

[2] Ibid.

[3] Dimitar Lilkov. (2021). Regulating artificial intelligence in the EU: A risky game. [ออนไลน์], 5 มกราคม 2565, https://journals.sagepub.com/doi/full/10.1177/17816858211059248