กรอบนโยบายทางกฎหมายในการพัฒนา AI อาจยังมีข้อจำกัดอยู่บางประการ โดยเฉพาะในสหภาพยุโรป ทำให้การประมวลผลข้อมูลส่วนบุคคลโดยใช้เทคโนโลยี AI ของบริษัทต่างๆ ยังนำไปสู่ข้อร้องเรียนและการดำเนินการตรวจสอบทางกฎหมาย ล่าสุด AI โมเดลที่ถูกร้องเรียนได้แก่ Twitter AI หรือ Grok AI
Grok AI เป็นของบริษัท xAI ซึ่งก่อตั้งโดย Elon Musk ในปี 2566 มีจุดมุ่งหมายเพื่อเป็นทางเลือกแทนแชตบอต AI อื่นๆ เช่น ChatGPT ของ OpenAI โดย Grok ถูกรวมเข้ากับแพลตฟอร์มโซเชียลมีเดีย X (เดิมคือ Twitter) ของ Musk และถูกออกแบบให้มีบุคลิกที่ตลกขบขันและ ขบถ มากขึ้น สะท้อนถึงวิสัยทัศน์ของ Musk ในการสร้าง AI ที่ให้การสนทนาแบบไม่จำกัดมากขึ้น
ชื่อ Grok มาจากหนังสือไซไฟชื่อดังเรื่อง Stranger in a Strange Land โดย Robert A. Heinlein ซึ่งหมายถึงการเข้าใจบางสิ่งอย่างถ่องแท้ทั้งในเชิงตรรกและอารมณ์ ปัจจุบัน Grok 2 AI Assistant เปิดให้ใช้งานได้เฉพาะผู้ใช้บริการ X/Twitter ที่สมัครสมาชิกแบบ Premium หรือ Premium+ เท่านั้น
NOYB องค์กรที่ไม่แสวงหาผลกำไรและมีวัตถุประสงค์ในการขับเคลื่อนการคุ้มครองข้อมูลส่วนบุคคลของพลเมืองยุโรป กล่าวอ้างว่า Twitter International (ซึ่งปัจจุบันเปลี่ยนชื่อเป็น X) ได้เริ่มใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการกว่า 60 ล้านคนในสหภาพยุโรป (EU/EEA) ในการฝึกอบรมเทคโนโลยีปัญญาประดิษฐ์ของตน (เช่น Grok) โดยไม่ได้รับความยินยอมจากผู้ใช้บริการและไม่ได้แจ้งให้ผู้ใช้บริการทราบล่วงหน้าตั้งแต่เดือน พ.ค.2567
ฉะนั้น เพื่อหยุดการประมวลผลข้อมูลส่วนบุคคลที่ผิดกฎหมายนี้ NOYB จึงได้ร้องเรียน X ไปยังหน่วยงานบังคับใช้กฎหมาย GDPR ในประเทศต่างๆ ของสหภาพยุโรป ได้แก่ ออสเตรีย เบลเยียม ฝรั่งเศส กรีซ ไอร์แลนด์ อิตาลี เนเธอร์แลนด์ สเปน และโปแลนด์ รวมจำนวน 9 คำร้อง
NOYB ได้ขอให้มีการสืบสวนอย่างเต็มรูปแบบ ในการพิจารณาคดีครั้งแรกของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของไอร์แลนด์ (DPC) ซึ่งเป็นองค์กรหลักที่มีอำนาจสืบสวนการกระทำความผิดของ X
โดย DPC มีการตกลงกับ X ให้หยุดการฝึกอบรมอัลกอริทึมด้วยข้อมูลส่วนบุคคลของพลเมืองในสหภาพยุโรปจนถึงเดือนก.ย. แต่ยังไม่ได้ตัดสินว่าการกระทำดังกล่าวชอบด้วยกฎหมายหรือไม่
ทั้งยังมีคำถามหลายประการที่ไม่ได้รับคำตอบ เช่น ข้อมูลของพลเมืองในสหภาพยุโรปที่ได้ถูกนำเข้าสู่ระบบแล้วเกิดอะไรขึ้น และ X จะแยกข้อมูลของพลเมืองในสหภาพยุโรปและนอกสหภาพยุโรปได้อย่างไร
ด้วยเหตุนี้ NOYB จึงได้ยื่นคำร้องภายใต้กฎหมาย GDPR กับหน่วยงานคุ้มครองข้อมูลส่วนบุคคลใน 9 ประเทศ เพื่อให้มั่นใจว่าปัญหาทางกฎหมายที่สำคัญเกี่ยวกับการฝึกอบรม AI ของ X จะได้รับการแก้ไขอย่างสมบูรณ์และสอดคล้องกับ GDPR
และเชื่อว่าหากหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปในประเทศอื่นๆ เข้ามามีส่วนร่วมในกระบวนการนี้มากขึ้น ความกดดันต่อ DPC ของไอร์แลนด์ และ X ในการปฏิบัติตามกฎหมายของสหภาพยุโรปก็จะยิ่งเพิ่มขึ้น
NOYB เห็นว่า GDPR มีทางออกที่ง่ายสำหรับการที่ผู้ใช้บริการจะ ให้ ข้อมูลส่วนบุคคลของตน เพื่อการพัฒนา AI โดยเพียงแค่นักพัฒนา/ผู้ให้บริการขอความยินยอมที่ชัดเจนจากผู้ใช้ในการประมวลผลข้อมูลส่วนบุคคล
หากมีผู้ใช้เพียงส่วนน้อยจาก 60 ล้านคนของ X ที่ให้ความยินยอมให้ข้อมูลของตนไปใช้ในการฝึกอบรม AI X ก็จะมีข้อมูลเพียงพอสำหรับการพัฒนา AI รุ่นใหม่ๆ
แต่การขอความยินยอมจากผู้ใช้บริการกลับไม่ใช่วิธีการที่ X เลือกใช้ในขณะนี้ แต่กลับนำข้อมูลของผู้ใช้บริการไปใช้โดยไม่แจ้งให้ทราบหรือขอความยินยอม ทั้งๆ ที่บริษัทติดต่อโดยตรงกับผู้ใช้บริการเพียง แค่ต้องแสดงข้อความการขอความยินยอมก่อนการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้บริการเท่านั้น (แต่กลับไม่ทำ)
เพื่อประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องกับข้อกำหนดด้านการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป X ต้องมีฐานทางกฎหมาย 1 ใน 6 ฐานทางกฎหมายภายใต้มาตรา 6 (1) ของ GDPR
ซึ่งแม้ว่าทางเลือกที่สมเหตุสมผลที่สุดในมุมมองของ NOYB คือ การขอความยินยอม แต่ X อ้างว่ามี ประโยชน์โดยชอบด้วยกฎหมาย (LI: legitimate interest) ที่มีความสำคัญมากกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของผู้ใช้บริการ
NOYB เห็นว่า X พิจารณาว่าผลประโยชน์ทางธุรกิจของตนสำคัญว่า สิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของผู้ใช้บริการ และการตีความทำนองนี้ศาลยุติธรรมแห่งสหภาพยุโรปเคยวางแนวบรรทัดฐานว่า ไม่เห็นด้วยมาแล้วในกรณีที่เกี่ยวกับการใช้ข้อมูลส่วนบุคคลของ Meta ในการโฆษณาที่เจาะจงเป้าหมาย
กรณีข้อร้องเรียนดังกล่าวหากพิจารณาภายใต้บริบทของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ผู้ร้องกล่าวอ้างว่า X ปฏิบัติโดยไม่ชอบด้วยกฎหมายอย่างน้อยใน 2 กรณี ดังนี้
1.การไม่มีฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เนื่องจากกรณีนี้ X ใช้ฐานทางกฎหมาย คือ ประโยชน์โดยชอบด้วยกฎหมาย (มาตรา 24 (5)) โดยไม่ใช้ การขอความยินยอม (มาตรา 24 วรรคหนึ่ง ประกอบมาตรา 19) ในการนำข้อมูลส่วนบุคคลไปใช้ในการพัฒนาระบบปัญญาประดิษฐ์
ซึ่งการเลือกระหว่างฐานทางกฎหมายในสองกรณีดังกล่าวข้างต้น หน่วยงานมีหน้าที่ต้องประเมินตามวัตถุประสงค์ บริบท ลักษณะของการนำข้อมูลไปใช้ และความสัมพันธ์ระหว่างหน่วยงานและเจ้าของข้อมูลส่วนบุคคลประกอบกัน
2.การไม่แจ้งวัตถุประสงค์ และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลตามเงื่อนไขที่กฎหมายกำหนดก่อนการเก็บรวบรวมข้อมูลส่วนบุคคลตามมาตรา 21 และ 23
คงต้องมารอดูกันว่าคำร้องใน 9 ประเทศดังกล่าวจะส่งผลกระทบต่อทิศทางการพัฒนา AI อย่างไรบ้าง
.....เรียบเรียงจาก
1. NOYB, Twitters AI plans hit with 9 more GDPR complaints,
2. Forbes, Rights Group Goes After X Over AI Training Data,