Page Header Logo

The Journal of King Mongkut's University of Technology North Bangkok
วารสารวิชาการพระจอมเกล้าพระนครเหนือ

Home > Vol 35, No 4 (2025) > Kitikusoun

ข้อเสนอแนะในการแก้ไขกฎหมายกรณีการใช้ปัญญาประดิษฐ์ในการประมวลผลข้อมูลส่วนบุคคล
Suggested Amendments to the Law Regarding the Use of Artificial Intelligence in Processing Personal Data

Worawit Kitikusoun, Pongpisit Wuttidittachotti

Abstract


บทความวิชาการนี้มุ่งเน้นการวิเคราะห์กรอบกฎหมายและแนวปฏิบัติของ GDPR และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่เกี่ยวข้องกับการใช้ AI ในการคุ้มครองข้อมูลส่วนบุคคลการศึกษาเน้นการทำความเข้าใจถึงหลักการสำคัญของกฎหมายทั้งสองฉบับที่เกี่ยวข้องกับการประมวลผลข้อมูลโดย AI เช่น การตัดสินใจอัตโนมัติ (Automated Decision-Making) การประเมินผลกระทบด้านความเป็นส่วนตัว (Privacy Impact Assessment) และการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล บทความวิชาการนี้ยังได้รวบรวมแนวปฏิบัติและตัวอย่างการนำ AI ไปใช้ในบริบทที่ปลอดภัยและสอดคล้องกับกฎหมาย นอกจากนี้ยังนำเสนอแนวทางจากกฎหมาย GDPR และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในการลดความเสี่ยงและเพิ่มประสิทธิภาพในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการอภิปรายเกี่ยวกับความท้าทายและข้อจำกัดในการปรับใช้กฎหมายดังกล่าวในบริบทของประเทศไทย ซึ่งควรได้รับการปรับปรุงให้มีความชัดเจนและครอบคลุมการใช้ AI ในการประมวลผลข้อมูลมากยิ่งขึ้น โดยเฉพาะอย่างยิ่งในกรณีที่การตัดสินใจโดย AI อาจส่งผลกระทบต่อสิทธิของเจ้าของข้อมูลส่วนบุคคล ควรเพิ่มข้อกำหนดในการแจ้งเตือนและเปิดโอกาสให้เจ้าของข้อมูลส่วนบุคคลสามารถคัดค้านหรือขอให้มีการตรวจสอบการตัดสินใจโดยมนุษย์ได้

This academic article focuses on analyzing the legal frameworks and practices of the General Data Protection Regulation (GDPR) and Thailand’s Personal Data Protection Act B.E. 2562 (2019) concerning the use of AI in personal data protection. The study emphasizes understanding the key principles of both laws related to data processing by AI, such as automated decision-making, privacy impact assessments, and the protection of data subjects' rights. The article compiles best practices and examples of the safe and lawful use of AI in various contexts. Furthermore, it presents approaches from the GDPR and Thailand’s Personal Data Protection Act B.E. 2562 (2019) to mitigate risks and enhance the efficiency of personal data protection. It also discusses the challenges and limitations of implementing these laws within Thailand’s context, suggesting the need for clearer and more comprehensive regulations to address AI-based data processing. Particular attention is given to cases where AI decision-making may impact the rights of data subjects. It recommends the inclusion of provisions requiring notification and providing opportunities for data subjects to object or request human review of AI decisions.


Keywords



[1] I. Calzada. (2019). Technological sovereignty: Protecting citizens’ digital rights in the AI-driven and post-GDPR algorithmic and city-regional european realm. Regions. [Online]. Available: https://doi.org/10.1080/13673882.2018.00001038

[2] D. Torrea, S. Abualhaija, M. Sabetzadehand, L. Briand, K. Baetens, P. Goes, and S. Forastier. An AI-Assisted Approach for Checking the Completeness of Privacy Policies against GDPR. Presented at IEEE International Conference on Requirements Engineering. [Online]. Available: https://doi.org/10.1109/RE48521.2020.00025

[3] M. Lippi, P. Przemysław, C. Giuseppe, L. Francesca, M. Hans, S. Giovanni, and T. Paolo. (2019, Jun.). CLAUDETTE: An automated detector of potentially unfair clauses in online terms of service. Artificial Intelligence and Law. [Online]. vol. 27, no. 2, pp. 117–139. Available: https:// doi.org/10.1007/s10506-019-09243-2

[4] M. Butterworth. (2018, Apr.). The ICO and artificial intelligence: The role of fairness in the GDPR framework. Computer Law and Security Review. [Online]. vol. 34, no. 2, pp. 257–268. Available: https://doi.org/ 10.1016/j.clsr.2018.01.004

[5] A. J. Wulf and O. Seizov. (2022). Please understand we cannot provide further information: Evaluating content and transparency of GDPRmandated AI disclosures. AI & Society. [Online]. vol. 39, pp. 235–256. Available: https://doi. org/10.1007/s00146-022-01424-z

[6] F. Lore`, P. Basile, A. Appice, M. de Gemmis, D. Malerba, and G. Semeraro. (2023, Mar.). An AI framework to support decisions on GDPR compliance. Journal of Intelligent Information Systems. [Online]. vol. 60, pp. 541–568. Available: https://doi.org/10.1007/s10844-023-00782-4

[7] F. Kakava, “The ‘Nebulous’ concept of detriment under recital 42 of the GDPR,” SSRN Electronic Journal, vol. 5, no. 4, pp. 527–540, 2019.

[8] F. Ufert. (2019). Insight AI Regulation Through the Lens of Fundamental Rights: How Well Does the GDPR Address the Challenges Posed by AI?. European Papers. [Online]. vol. 5, no. 2, pp. 1087–1097. Available: https://doi. org/10.15166/2499-8249/394

[9] G. P. L. Chong. (2019). Cashless China: Securitization of everyday life through Alipay’s social credit system—Sesame Credit. Chinese Journal of Communication. [Online]. vol. 12, no .3, pp. 290–307. Available: https://doi.org/10.1080/ 17544750.2019.1583261

[10] S. Wachter, B. Mittelstadt, and L. Floridi. (2017). Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation. International Data Privacy Law. [Online]. 7(2), pp. 76–99. Available: https://doi.org/10.1093/idpl/ipx005

[11] C. Cheng and S. Ou, “The status quo and problems of the building of China’s social credit system and suggestions,” International Business and Management, vol. 8, no. 2, pp. 169–173, 2014.

[12] A. Broumas and P. Charalampakis. (2022). Greek DPA imposes 20M euro fine on Clearview AI for unlawful processing of personal data. [Online]. Available: https://iapp.org/news/a/greek-dpaimposes- 20m-euro-fine-on-clearview-ai-forunlawful- processing-of-personal-data/

[13] S. Gal, A. Huberman, and B. Johanson, “Data governance in AI systems: Privacy by Design and GDPR compliance,” Journal of Information Systems and Technology Management, vol. 20, no. 1, pp. 35–52, 2022.

[14] M. Ienca, J. Fins, R. Jox, F. Jotterand, S. Voeneky, R. Andorno, T. Ball, C. Castelluccia, R. Chavarriaga, H. Chneiweiss, A. Ferretti, O. Friedrich, S. Hurst, G. Merkel, F. Molnár Gábor, J. Rickli, J. Scheibner, E. Vayena, R. Yuste, and P. Kellmeyer, “Towards a governance framework for brain data,” Neuroethics, vol. 15, no. 2, 2022.

[15] J. Meszaros and C.-H Ho, “AI research and data protection: Can the same rules apply for commercial and academic research under the GDPR?,” Computer Law and Security Review, vol. 41, pp. 83–92, 2021.

[16] D. Felz, W. Nauwelaerts, and A. Portnoy. (2023, Sep.). EU’s Highest Court Issues Major AI Decision With Wide-Reaching Impact. Alston & Bird. [Online]. Available: https://www.alstonprivacy. com/eus-highest-court-issues-major-ai-decision- with-wide-reaching-impact/.

[17] J. J. Bryson. (2019). The past decade and future of AI's impact on society. Ethics and Information Technology. [Online]. vol. 20, no. 3, pp. 185–191. Available: https://doi.org/10.1007/s10676-018- 9467-5.

[18] L. Edwards and M. Veale. (2018). Enslaving the Algorithm: From a ‘Right to Explanation’ to a ‘Right to Better Decisions’?. IEEE Security & Privacy. [Online]. vol. 16, no. 3, pp. 46–54. Available: https://doi.org/10.1109/MSP.2018.2701152.

[19] M. Ananny and K. Crawford. (2018). Seeing without knowing: Limitations of the transparency ideal and its application to algorithmic accountability. New Media & Society. [Online]. 20(3), pp. 973–989. Available: https://doi.org/10.1177/1461444816676645

[20] A. Sitthitheerarut, “Legal problems concerning electronic personal data protection,” M.S. thesis, Faculty of Law, Thammasat University, 2015 (in Thai).

[21] S. Kuebler-Wachendorff, R. Luzsa, J. Kranz, S. Mager, E. Syrmoudis, S. Mayr, and J. Grossklags. (2021, Aug.). The right to data portability: Conception, Status Quo, and Future Directions. Informatik-Spektrum. [Online]. vol. 44, no. 4, pp. 264–272. Available: https://doi.org/10.1007/ s00287-021-01372-w.

Full Text: PDF

DOI: 10.14416/j.kmutnb.2025.01.003

ISSN: 2985-2145