กลับไปที่หน้าแหล่งข้อมูล
กลยุทธ์

อธิปไตยข้อมูลสำหรับสำนักงานไทย: ทำไม AI สาธารณะจึงเป็นความเสี่ยงด้านความปลอดภัย

ประสิทธิภาพที่ได้จากเครื่องมือ AI นั้นมีจริง หุ้นส่วนที่สามารถร่างสรุปสัญญาได้ภายในสามนาทีแทนที่จะเป็นสี่สิบห้านาทีไม่ได้จินตนาการถึงเวลาที่ประหยัดได้ สิ่งที่สำนักงานวิชาชีพไทยจำนวนมากยังไม่ได้คิดทบทวนอย่างรอบคอบคือด้านตรงข้ามของธุรกรรมนั้น เมื่อเอกสารของลูกค้าถูกส่งเข้าไปในโมเดล AI สาธารณะ ข้อมูลเหล่านั้นจะไปอยู่ที่ไหน และใครจะเข้าถึงได้ในภายหลัง

สำหรับสำนักงานกฎหมายหรือสำนักงานบัญชีไทย นี่ไม่ใช่คำถามในเชิงทฤษฎี แต่เป็นพันธะวิชาชีพโดยตรง ลูกค้าที่สัญญาถูกอัปโหลด ข้อมูลทางการเงินถูกสรุป และสถานะภาษีถูกวิเคราะห์ ล้วนมีความคาดหวังที่สมเหตุสมผลว่าข้อมูลของพวกเขาจะยังอยู่ภายในสำนักงาน เครื่องมือ AI สาธารณะส่วนใหญ่ที่ใช้งานโดยไม่มีข้อตกลงระดับองค์กรโดยเฉพาะไม่ได้รับประกันสิ่งนั้น

บทความนี้อธิบายความแตกต่างระหว่างเครื่องมือ AI ที่เปิดใช้งานในแท็บเบราว์เซอร์กับโครงสร้างพื้นฐาน AI ที่สำนักงานวิชาชีพไทยควรใช้สำหรับงานของลูกค้า

สิ่งที่เครื่องมือ AI สาธารณะทำกับข้อมูลของคุณ

เงื่อนไขการให้บริการเริ่มต้นของเครื่องมือ AI สาธารณะส่วนใหญ่ รวมถึงเวอร์ชันสำหรับผู้บริโภคของโมเดลยอดนิยม อนุญาตให้ผู้ให้บริการนำเนื้อหาที่ส่งมาใช้เพื่อปรับปรุงและฝึกฝนระบบของตน ซึ่งหมายความว่าเมื่อหุ้นส่วนอัปโหลดเอกสารเงื่อนไขการซื้อกิจการที่ยังไม่ได้ลงนามและขอให้โมเดลระบุความเสี่ยงของดีล เอกสารนั้น หรือเวอร์ชันที่ประมวลผลแล้ว อาจกลายเป็นส่วนหนึ่งของข้อมูลที่โมเดลเรียนรู้จาก ซึ่งรวมถึงตัวตนของคู่สัญญา โครงสร้างดีล และเงื่อนไขเชิงพาณิชย์ที่อยู่ในเอกสารนั้น

เครื่องมือ AI สาธารณะไม่ใช่สภาพแวดล้อมวิชาชีพที่ปลอดภัย แต่เป็นบริการบนเบราว์เซอร์ที่มีค่าเริ่มต้นสำหรับผู้บริโภค สำนักงานวิชาชีพไทยส่วนใหญ่ที่ใช้เครื่องมือเหล่านี้สำหรับงานของลูกค้าดำเนินการภายใต้สมมติฐานว่าอินเทอร์เฟซรู้สึกเป็นส่วนตัว อินเทอร์เฟซนั้นดูเป็นส่วนตัวจริง แต่เงื่อนไขการจัดการข้อมูลมักระบุไว้ต่างออกไป

สิ่งนี้มีความสำคัญด้วยเหตุผลเฉพาะสองประการในบริบทบริการวิชาชีพไทย

ประการแรก ความลับของลูกค้าเป็นพันธะวิชาชีพหลักทั้งภายใต้พระราชบัญญัติทนายความและมาตรฐานวิชาชีพบัญชี การเปิดเผยข้อมูลลูกค้าให้บุคคลที่สาม แม้จะเป็นโดยไม่ตั้งใจผ่านเครื่องมือเทคโนโลยี ถือเป็นการละเมิดพันธะนั้น

ประการที่สอง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกำหนดข้อกำหนดเฉพาะเกี่ยวกับวิธีการแบ่งปันข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลบุคคลที่สาม เมื่อเครื่องมือ AI สาธารณะได้รับเอกสารที่มีข้อมูลส่วนบุคคลของลูกค้า เครื่องมือนั้นทำหน้าที่เป็นผู้ประมวลผลข้อมูลภายใต้ PDPA สำนักงานมีหน้าที่รับผิดชอบในการตรวจสอบว่าผู้ประมวลผลนั้นเป็นไปตามข้อกำหนด PDPA เครื่องมือ AI สำหรับผู้บริโภคส่วนใหญ่ไม่ได้จัดทำสัญญาการประมวลผลข้อมูล นโยบายความเป็นส่วนตัวไม่ใช่สิ่งทดแทน

กรอบ ETDA และสิ่งที่คาดหวังจากสำนักงาน

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ของไทย (ETDA) ได้จัดตั้งกรอบธรรมาภิบาล AI ที่สร้างบนสามเสาหลัก ได้แก่ ปลดล็อก ส่งเสริม และปกป้อง เสาหลักปกป้องมีความเกี่ยวข้องโดยตรงกับวิธีที่สำนักงานวิชาชีพควรประเมินเครื่องมือ AI ของตน โดยกำหนดมาตรฐานจริยธรรมสำหรับการใช้งาน AI รวมถึงการป้องกันการเลือกปฏิบัติด้วยอัลกอริทึมและการใช้ข้อมูลผิดประเภท โดยไม่กำหนดการห้ามทั่วไปต่อเทคโนโลยี AI

นัยเชิงปฏิบัติของกรอบนี้คือสำนักงานที่ดำเนินการในประเทศไทยคาดว่าจะทำการเลือกที่รอบคอบเกี่ยวกับวิธีการใช้งาน AI ไม่ใช่แค่ใช้เครื่องมือที่สะดวกที่สุด “AI ที่ตรวจสอบได้” คือมาตรฐานที่เกิดขึ้นจากบริบทนี้ ซึ่งหมายถึง AI ที่สำนักงานสามารถแสดงได้อย่างชัดเจนว่าข้อมูลไปที่ไหน ประมวลผลอย่างไร และยืนยันได้ว่าไม่เคยถูกนำไปใช้ฝึกโมเดลภายนอก สิ่งนี้อยู่ในความคาดหวังของเสาหลักปกป้องที่ว่าการใช้งาน AI ต้องรับผิดชอบได้ ไม่ใช่เกิดขึ้นโดยบังเอิญ

ไทยยังได้กำหนดแนวคิดอธิปไตย AI แห่งชาติ (อธิปไตยทาง AI) ในระดับนโยบาย รัฐบาลกำลังลงทุนใน Small Language Models ภายในประเทศที่ฝึกด้วยข้อมูลไทย ลดการพึ่งพาโมเดลต่างประเทศ และสร้างกรอบธรรมาภิบาลข้อมูลที่รักษาข้อมูลสำคัญของไทยไว้ในเขตอำนาจศาลไทย ทิศทางระดับชาติเช่นนี้มีนัยสำหรับสำนักงานบริการวิชาชีพ เมื่อความคาดหวังด้านกฎระเบียบพัฒนาขึ้น สำนักงานที่ได้นำแนวทาง AI ที่ตรวจสอบได้ไปปฏิบัติแล้วจะอยู่ในตำแหน่งที่ดีกว่าสำนักงานที่ยังไม่ได้ดำเนินการ

AI ที่ตรวจสอบได้หมายความว่าอะไรในทางปฏิบัติ

คำนี้ถูกใช้อย่างหลวมๆ แต่สำหรับสำนักงานบริการวิชาชีพการทดสอบนั้นเฉพาะเจาะจง มีสามคำถามที่ต้องถามเกี่ยวกับเครื่องมือ AI ใดๆ ที่ใช้สำหรับงานของลูกค้า

ข้อมูลไปที่ไหน? เอกสารที่เข้าไปในโมเดลต้องอยู่ในสภาพแวดล้อมที่กำหนดและตรวจสอบได้ ไม่ควรออกจากสภาพแวดล้อมนั้นเพื่อไปถึงผู้ประมวลผลย่อยบุคคลที่สามหรือขั้นตอนการฝึกโมเดลโดยไม่ได้รับความยินยอมอย่างชัดแจ้งจากสำนักงานและลูกค้า

ประมวลผลอย่างไร? สำนักงานควรสามารถยืนยันได้ว่าการประมวลผลเกิดขึ้นในสถานที่ทางภูมิศาสตร์ที่ระบุ ภายใต้กรอบกฎหมายที่กำหนด สำหรับข้อมูลลูกค้าไทย ซึ่งโดยทั่วไปหมายถึงการประมวลผลภายในประเทศไทยหรือในเขตอำนาจศาลที่ตรงตามมาตรฐานความเพียงพอของ PDPA

มีพื้นฐานสัญญาหรือไม่? สำนักงานควรมีสัญญาอย่างเป็นทางการกับผู้ให้บริการ AI ที่รวมถึงเงื่อนไขการประมวลผลข้อมูล ระบุระยะเวลาการเก็บรักษาและการลบ และให้สิทธิ์การตรวจสอบ บัญชีผู้บริโภคที่มีนโยบายความเป็นส่วนตัวไม่เป็นไปตามข้อกำหนดนี้

หากสำนักงานไม่สามารถตอบทั้งสามคำถามนี้ได้อย่างยืนยัน เครื่องมือนั้นไม่เหมาะสำหรับใช้กับข้อมูลลูกค้า มาตรฐานนี้ไม่ต้องการความรู้ทางเทคนิคขั้นสูง แต่ต้องการการประเมินผู้ขายที่รอบคอบแบบเดียวกับที่สำนักงานควรใช้กับบุคคลที่สามที่ได้รับข้อมูลลูกค้า

โครงสร้างพื้นฐาน Sovereign AI: ตำแหน่งของไทย

หนึ่งในพัฒนาการที่เป็นรูปธรรมในโครงสร้างพื้นฐาน AI ของไทยคือความร่วมมือระหว่าง AIS ผู้ให้บริการโทรคมนาคมรายใหญ่ของไทย กับ Oracle เพื่อดำเนินการสภาพแวดล้อม Hyperscale Cloud ที่มีบุคลากรไทยทั้งหมดและอยู่ภายใต้กฎหมายไทย โรงงานนี้ได้รับการรับรองจากสำนักงานส่งเสริมเศรษฐกิจดิจิทัล (depa) ซึ่งเป็นสัญญาณว่ารัฐยอมรับโครงสร้างพื้นฐาน cloud ที่ดำเนินการภายในประเทศเป็นรากฐานที่น่าเชื่อถือสำหรับการใช้งาน AI ขององค์กรไทย

ภาพรวมระดับโลกที่อยู่เบื้องหลังพัฒนาการนี้ควรเข้าใจ มีเพียง 32 ประเทศที่มีศูนย์ข้อมูล AI เฉพาะทาง และสหรัฐอเมริกา จีน และสหภาพยุโรปร่วมกันควบคุมกว่าครึ่งหนึ่งของกำลังการคำนวณที่ทรงพลังที่สุดในโลก มากกว่า 150 ประเทศไม่มีโครงสร้างพื้นฐานศูนย์ข้อมูล AI เลย ไทยกำลังวางตำแหน่งตัวเองอย่างมีเจตนาออกจากกลุ่มนั้น โดยลงทุนในโครงสร้างพื้นฐานภายในประเทศที่ทำให้องค์กรไทยสามารถประมวลผลงาน AI ภายในเขตอำนาจศาลไทยได้แทนที่จะส่งข้อมูลสำคัญผ่านระบบต่างประเทศ

สำหรับสำนักงานบริการวิชาชีพขนาดย่อม คำถามด้านโครงสร้างพื้นฐานได้รับการจัดการโดยแพลตฟอร์มซอฟต์แวร์ที่เลือกใช้ สำนักงานไม่จำเป็นต้องดำเนินการศูนย์ข้อมูลของตนเอง สิ่งที่สำนักงานต้องการคือซอฟต์แวร์ที่ส่วนประกอบ AI ทำงานบนโครงสร้างพื้นฐานที่ตรงตามมาตรฐาน AI ที่ตรวจสอบได้ ได้แก่ สถานที่ที่ทราบ การประมวลผลที่ตรวจสอบได้ และการป้องกันข้อมูลตามสัญญา การมีอยู่ของโครงสร้างพื้นฐาน cloud ที่ได้รับการรับรองจากไทยหมายความว่าผู้ให้บริการซอฟต์แวร์ที่ให้บริการสำนักงานไทยมีตัวเลือกที่น่าเชื่อถือสำหรับสถานที่สร้างระบบ

สิ่งที่ลูกค้าจะเริ่มถาม

แนวโน้มการจัดซื้อขององค์กรนั้นมองเห็นได้แล้วในภาคองค์กรขนาดใหญ่ของไทย บริษัทที่จัดการการปฏิบัติตาม PDPA ของตนเองและดำเนินการประเมินความเสี่ยงของผู้ขายกำลังเริ่มถามที่ปรึกษาวิชาชีพของตนเกี่ยวกับวิธีการจัดการข้อมูลลูกค้าในขั้นตอนงาน AI

สำหรับสำนักงานขนาดย่อมที่ให้บริการลูกค้าตลาดกลาง เรื่องนี้อาจรู้สึกเหมือนเป็นความกังวลในอนาคต แต่ใกล้กว่าที่คิด เมื่อบริษัทจดทะเบียนไทยเผชิญกับการตรวจสอบ PDPA และพันธะธรรมาภิบาลของตนเองพัฒนาขึ้น คำถามว่าสำนักงานกฎหมายหรือสำนักงานบัญชีของตนจัดการข้อมูลสำคัญในเครื่องมือ AI อย่างไรจะเปลี่ยนจากการพิจารณาอย่างไม่เป็นทางการไปเป็นรายการตรวจสอบการจัดซื้ออย่างเป็นทางการ สำนักงานที่สามารถตอบคำถามนั้นได้ด้วยโครงสร้างพื้นฐานที่มีเอกสารประกอบและสัญญาการประมวลผลข้อมูลที่ลงนามแล้วอยู่ในตำแหน่งที่ดีกว่าสำนักงานที่ตอบโดยอธิบายเวอร์ชันสำหรับผู้บริโภคของเครื่องมือ AI ยอดนิยม

ลูกค้าไม่ได้ตั้งคำถามนี้เสมอในแง่เทคนิค อาจมาในรูปแบบ “คุณรักษาความลับของข้อมูลเราไว้อย่างไรเมื่อใช้ AI?” คำตอบที่สำนักงานให้ในปี 2569 จะกำหนดมากขึ้นเรื่อยๆ ว่าความสัมพันธ์กับลูกค้านั้นจะต่ออายุหรือไม่

FirmFlow และสภาพแวดล้อมที่ปิดล้อม

FirmFlow ประมวลผลเอกสารของลูกค้า บันทึกการประชุม และข้อมูลคดีภายในสภาพแวดล้อมระดับองค์กรที่ปิดล้อม AI ที่วิเคราะห์สัญญา สรุปการประชุม หรือร่างรายงาน ดำเนินการภายในระบบที่ควบคุมซึ่งข้อมูลของลูกค้าไม่ออกจากแพลตฟอร์มหรือป้อนเข้าสู่การฝึกโมเดลสาธารณะ บันทึกคดีของสำนักงาน เอกสารของลูกค้า และผลการค้นพบที่สร้างโดย AI ยังคงอยู่ภายในแพลตฟอร์ม

นี่คือความแตกต่างของโครงสร้างพื้นฐานระหว่างการใช้เครื่องมือ AI บนเบราว์เซอร์สาธารณะสำหรับงานของลูกค้ากับ AI ที่สร้างเข้าไปในแพลตฟอร์มบริการวิชาชีพที่มีธรรมาภิบาลข้อมูลที่กำหนดไว้ FirmFlow ให้เงื่อนไขการประมวลผลข้อมูล ข้อกำหนดตำแหน่งข้อมูล และเอกสารประกอบ audit trail ที่ AI ที่ตรวจสอบได้ต้องการ สำนักงานที่ใช้ FirmFlow สำหรับขั้นตอนงาน AI มีคำตอบพร้อมก่อนที่ลูกค้าจะถาม

มาตรฐานมีความชัดเจน

ข้อโต้แย้งด้านประสิทธิภาพการทำงานของ AI ตกลงแล้ว ข้อโต้แย้งด้านความปลอดภัยเป็นการสนทนาที่สำนักงานวิชาชีพไทยต้องมีภายในองค์กรในปี 2569 คำถามไม่ใช่ว่าจะใช้ AI สำหรับงานของลูกค้าหรือไม่ แต่เป็นว่า AI ที่ใช้งานอยู่นั้นตรงตามมาตรฐานวิชาชีพและกฎระเบียบที่งานของลูกค้าต้องการหรือไม่

กรอบ ETDA นโยบายอธิปไตย AI ของไทย และข้อกำหนดของ PDPA ล้วนชี้ไปในทิศทางเดียวกัน ได้แก่ การนำ AI มาใช้ที่มีเจตนา ตรวจสอบได้ และมีพื้นฐานสัญญา มาตรฐานนั้นบรรลุได้ ขั้นตอนแรกคือการแยกความแตกต่างระหว่างเครื่องมือที่สร้างสำหรับผู้บริโภคส่วนบุคคลและโครงสร้างพื้นฐานที่สร้างสำหรับงานบริการวิชาชีพ สำนักงานไทยส่วนใหญ่ที่ทำการแยกความแตกต่างนั้นอย่างรอบคอบจะพบว่าตนต้องเปลี่ยนแปลงบางอย่างเกี่ยวกับเครื่องมือ AI ที่ใช้อยู่ในปัจจุบันสำหรับงานของลูกค้า

อ่านคู่มือฉบับเต็ม, ฟรี

เข้าร่วมกับมืออาชีพชาวไทยที่ได้รับข้อมูลเชิงปฏิบัติด้านการจัดการสำนักงาน