จรัล งามวิโรจน์เจริญ Chief Data Scientist & VP of Data Innovation Lab บริษัท เซอร์ทิส จำกัด
ในโลกปัจจุบัน เรามีข้อมูลที่ถูกสร้างและถูกเก็บจำนวนมาก โดยมาจากสิ่งต่างๆ รอบตัวเรา เช่น พฤติกรรมการใช้งานฟังก์ชันต่างๆ จากโทรศัพท์มือถือและจากในโลกอินเทอร์เน็ต ที่ถูกแปลงไปอยู่ในโลกดิจิทัล เพื่อช่วยให้เอไอและแมชชีนเลิร์นนิง (AI & machine learning) ทำการประมวลผลบางอย่าง เพื่อนำไปใช้ให้เกิดประโยชน์ต่อภาคธุรกิจและสังคม ทั้งในด้านของการช่วยตัดสินใจ การคาดการณ์ (prediction) การทำงานอย่างอัตโนมัติ (automation) โดยองค์กรอาจนำเอาข้อมูลส่วนตัวมาร่วมใช้วิเคราะห์ตัดสินใจควบคู่กันไปด้วย เพื่อทำให้ลูกค้ามีประสบการณ์การใช้งานที่ดี (user experience) และอยู่ใช้บริการกับองค์กรได้นานยิ่งขึ้น ซึ่งแน่นอนว่าจะช่วยสร้างรายได้ให้กับธุรกิจมากยิ่งขึ้นเช่นกัน
จากประโยชน์ของการนำข้อมูลส่วนบุคคลมาใช้เพื่อประโยชน์ขององค์กรหรือภาคธุรกิจต่างๆ นี้เอง ทำให้ช่วงที่ผ่านมาหลายๆ ประเทศ รวมทั้งประเทศไทยได้ออกกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทำให้องค์กรและผู้ประกอบการเกิดความตระหนักและต้องคิดให้รอบคอบมากขึ้นในกรณีที่ต้องการนำข้อมูลต่างๆ มาใช้งาน ซึ่งแน่นอนว่าการที่จะทำ personalization ที่ดีได้นั้น ต้องอาศัยข้อมูลเกี่ยวกับพฤติกรรมของบุคคลจำนวนมาก แต่จะทำอย่างไรให้การนำข้อมูลมาใช้ยังคุ้มครองสิทธิส่วนบุคคล ในขณะที่ก็ให้ประโยชน์กับผู้ใช้งานด้วยเช่นกัน เรียกได้ว่าเป็นสิ่งที่ท้าทายมาก โดยองค์กรหรือผู้ประกอบการอาจจะเป็นผู้ที่ควบคุมหรือประมวลผลข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้ได้ ภายใต้ข้อบังคับของกฎหมาย
บทความนี้ผมอยากนำเสนอแนวคิด (mindset) หรือคำถามที่ผู้อ่านควรตระหนัก เมื่อเก็บข้อมูลส่วนบุคคล รวมทั้งการดูแลคุณภาพของข้อมูล ซึ่งการเก็บข้อมูลอะไรก็ตามควรมีกระบวนการที่คอยดูแลคุณภาพ สิ่งเหล่านี้เป็นส่วนหนึ่งของการธรรมาภิบาลข้อมูล (data governance)
หลักการและแนวคิดที่ควรมี
1. Know your data existence รู้แก่นแท้ของข้อมูลที่มีอยู่ ไม่ว่าข้อมูลจะถูกเก็บหรือถูกใช้อย่างไร แนวคิดที่ควรมีคือ เราต้องตั้งคำถามด้วย 5Ws ได้แก่ Who, What, Why, When, Where และ How
- Who: เก็บข้อมูลใคร ตัวตนของคนจำเป็นต้องเก็บหรือไม่ หรือจะทำการแปลงให้เป็นข้อมูลนิรนาม ไม่รู้ตัวตน (anonymize)
- What: เก็บอะไร เก็บเท่าที่จำเป็น ใช้หลักเก็บยิ่งน้อยยิ่งดี (data minimization)
- Why: เก็บทำไม ต้องมีเหตุจำเป็น หลักการนี้สำคัญมาก ควรมีการสื่อสารให้ผู้ที่ถูกเก็บข้อมูลทราบ ถ้าเป็นที่สาธารณะก็ควรมีป้ายบอก ถ้าเป็นการใช้บริการก็ควรแจ้งให้ทราบตอนใช้งานหรืออาจต้องมีการแสดงความยินยอม
- When: เก็บไว้นานแค่ไหน ต้องมีแผนที่จะเก็บและลบทิ้งเมื่อไม่จำเป็น
- Where: เก็บไว้ที่ไหน ต้องเป็นที่ที่ปลอดภัย มีการควบคุมการเข้าถึงอย่างรัดกุม
- How: เก็บหรือส่งอย่างไร ควรมีการเข้ารหัสข้อมูล (encryption) ตอนอยู่ในฮาร์ดไดรฟ์ (data at rest) หรือตอนส่งข้อมูล (data in transit) รวมทั้งควรมีการทำ anonymization pseudonymization หรือไม่ ที่สำคัญควรมี data flow ตั้งแต่การเริ่มเก็บไปจนถึงแต่ละขั้นที่ข้อมูลถูกประมวลผลเก็บหรือส่งไปยังที่ต่างๆ
2. Build data protection by default คิดปกป้องข้อมูลโดยปริยาย การเก็บข้อมูลส่วนบุคคล ควรคำนึงถึงความปลอดภัยของข้อมูลตลอดทั้งเส้นทาง (journey) ตั้งแต่การเก็บรักษา ประมวลผล เข้าถึง ส่งผ่าน ทำลาย รวมทั้งมีการประเมินความเสี่ยงและ ผลกระทบก่อนที่จะนำข้อมูลนั้นไปประมวลผล เพื่อที่จะมีการกำหนดนโยบายในการดูแลข้อมูลที่เหมาะสม ซึ่งควรเป็นส่วนหนึ่งของการธรรมาภิบาลข้อมูล
3. Use FAT
Fairness: ข้อมูลที่เก็บหรือใช้ต้องไม่มีอคติ (bias) หรือมีน้อย เพื่อความเป็นธรรม (fairness) ต่อกลุ่มประชากรแต่ละกลุ่ม ไม่เอนเอียงไปในกลุ่มใดกลุ่มหนึ่งมากเกินไป เพราะผลกระทบของการใช้ข้อมูลที่มีอคติอาจทำให้โมเดล (model) ทำงานได้ดีกับกลุ่มหนึ่ง และทำงานได้ไม่มีประสิทธิภาพกับอีกกลุ่มหนึ่ง ในขั้นตอนการสอน AI/ML ในการ training data
Accountability: ต้องมีการควบคุมในเชิงนโยบายขององค์กร หรือแม้ในรูปแบบของกฎระเบียบที่จะทำให้ผู้ใช้ข้อมูลหรือ AI/ML เกิดประโยชน์ ไม่เกิดความเสียหายแก่บุคคลหรือสังคม รวมทั้งปกป้องผู้ให้ข้อมูล ต้องมีการประเมินความเสี่ยง (risk assessment) ซึ่งเป็นส่วนหนึ่งของการทำงานด้านข้อมูลและ AI/ML
Transparency: องค์กรควรจะสามารอธิบายกระบวนการในการเก็บข้อมูลและการประมวลผลข้อมูลได้ รวมทั้งสามารถที่จะอธิบายได้ว่า โมเดลที่ใช้ช่วยในการตัดสินใจ ทำงานได้อย่างไร ซึ่งตอนนี้ อาจจะทำได้ไม่สมบูรณ์สำหรับโมเดลที่ซับซ้อน และควรมีเอกสารบันทึกว่า มีขั้นตอนกระบวนการทำอย่างไร ข้อมูล data flow เป็นอย่างไร ซึ่งจะช่วยให้คนทำงานเข้าใจและมีการเตรียมพร้อมที่จะจัดการดูแลความปลอดภัยของระบบและข้อมูล รวมทั้งพร้อมที่จะตอบคำถามจากผู้ให้ข้อมูลในกรณีที่ถูกถาม
สุดท้ายแล้วการเอาข้อมูลส่วนตัวมาใช้ ต้องมีแนวคิดที่ดีที่จะดูแลข้อมูลของคนอื่นเหมือนดูแลข้อมูลของเราเอง
สิ่งที่เกริ่นมา เป็นกระบวนการที่สร้างความรอบคอบเพื่อให้ข้อมูลและระบบมีความปลอดภัยมากขึ้น การดูแลข้อมูลของลูกค้าเป็นเรื่องของทุกคนในองค์กรที่ควรตระหนักและรอบคอบในการนำไปใช้ คงไม่มีใครอยากให้ข้อมูลของเราถูกนำไปใช้ในทางที่เราไม่ชอบหรือสร้างความเสียหายใช่ไหมครับ