ปัญหาที่ผู้ใช้งานปัญญาประดิษฐ์ (Generative AI) มักจะกังวลมากที่สุดคือ "ข้อมูลและคำสั่ง (Prompt) ที่เราป้อนเข้าระบบ จะถูกผู้พัฒนาค่ายยักษ์ใหญ่บันทึกและนำไปใช้ในการฝึกฝนโมเดล (Model Training) รุ่นถัดไปหรือไม่?"

ความกังวลนี้ทวีความรุนแรงมากขึ้นเมื่อกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ผลักดันโครงการ TH-AI Passport ด้วยงบประมาณ 1.6 พันล้านบาท เพื่อเชื่อมต่อผู้ใช้งานคนไทยจำนวน 5 ล้านคนเข้าสู่ระบบ AI ระดับโลก

ในเวทีจัดงานรับฟังความคิดเห็น TH-AI Passport Forum ณ อาคารซี ศูนย์ราชการแจ้งวัฒนะ เมื่อวันที่ 11 มิถุนายน 2569 ที่ผ่านมา ทางกระทรวงดีอีและผู้แทนจากค่ายผู้บริการเทคโนโลยีระดับโลกได้เข้ามาร่วมให้ความกระจ่างแก่สาธารณะในประเด็นนี้อย่างเป็นรูปธรรม จอนจะสรุปใจความเชิงวิศวกรรมความมั่นคงข้อมูลให้ฟังครับ

อินโฟกราฟิกแสดงแผนภาพวิเคราะห์ความเสี่ยงและมาตรการป้องกันข้อมูล Prompt คนไทยในระบบ TH-AI Passport ไหลไปเป็นข้อมูฝึกสอน AI ต่างชาติ

1. การปกป้องข้อมูลด้วยระบบ "Anonymization Gateway"

โดยปกติ เมื่อเราใช้งาน ChatGPT หรือ Gemini ข้อมูล Prompt ของเราจะถูกจับคู่เข้ากับบัญชีผู้ใช้ (User Account) โดยตรง ซึ่งระบุทั้งอีเมล เลขบัตรเครดิต หรือประวัติการชาร์จเงิน แต่สำหรับโครงการ TH-AI Passport รัฐบาลได้จัดทำระบบ "ประตูเชื่อมต่อระดับชาติ" (Anonymization Gateway) ขั้นกลางไว้บนคลาวด์ท้องถิ่น (Local Cloud) ในประเทศไทย:

  1. คัดกรองข้อมูลส่วนบุคคล (PII Stripping): ก่อนที่ข้อความคำสั่งจะถูกส่งออกนอกประเทศ ระบบคัดกรองภาษาไทยจะสแกนหาและตัดข้อมูลที่ระบุตัวตนออก เช่น ชื่อ-สกุล เลขบัตรประชาชน หรือเบอร์โทรศัพท์
  2. การแปลงเลขไอดีปลอม (Tokenization): ระบบจะสลับบัญชีผู้ใช้เป็นหมายเลขสุ่มจำลอง ทำให้ผู้รับข้อมูลทางเทคโนโลยีปลายทาง (เช่น เซิร์ฟเวอร์ของ OpenAI ในสหรัฐฯ) ทราบเพียงว่ามีคำถามภาษาไทยส่งมาประมวลผล แต่จะไม่สามารถย้อนกลับมาสืบทราบได้ว่าเป็นบัญชีของใคร
  3. การจัดเก็บบันทึกประวัติในไทย (Local Logs Only): ประวัติคำถามคำตอบทั้งหมดของประชาชนจะถูกเข้ารหัสระดับสูงและเก็บรักษาไว้ภายในอาณาเขตประเทศไทยเท่านั้น เพื่อให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)
[ผู้ใช้คนไทย] === ส่งคำสั่ง + ข้อมูล ===> [เกตเวย์คลาวด์ในไทย (ลบข้อมูลระบุตัวตน)] === ส่งเฉพาะ Prompt ปิดชื่อ ===> [คลาวด์ AI ต่างชาติ]

อินโฟกราฟิกแสดงสถาปัตยกรรมการทํางานของ Anonymization Gateway และระบบ Local Cloud เพื่อการปกป้องข้อมูลตามมาตรฐาน PDPA

2. การลงนามห้ามนำข้อมูลไปฝึกสอน AI (Data Training Prohibition)

ในสัญญาระหว่างกระทรวงดีอีและผู้แทนจากบริษัทคลาวด์ยักษ์ใหญ่ ได้มีบันทึกข้อตกลงอย่างเป็นทางการว่า:

  • ห้ามใช้ข้อมูลเป็นสารอาหารเทรนโมเดล (Zero Data Training Policy): ผู้ให้บริการโมเดล AI (เช่น Microsoft, Google) จะไม่สามารถดึงประวัติการพิมพ์ คำสั่ง รูปภาพ หรือเอกสารที่ผู้ใช้คนไทยอัปโหลดเข้าไประบบ TH-AI Passport ไปทำการปรับแต่งโมเดล (Fine-tuning) หรือฝึกสอนระบบ AI ในอนาคตได้เด็ดขาด
  • การบังคับลบข้อมูลทันที (Session Ephemerality): ทันทีที่มีการคืนคำตอบกลับมาสู่เบราว์เซอร์ของผู้ใช้ ข้อมูลในแคช (Cache) ของเซิร์ฟเวอร์ต่างชาติจะต้องถูกเคลียร์ทิ้งทันที โดยไม่มีการสำรองข้อมูล (Data Backup) หรือส่งไปเก็บบันทึกบนเซิร์ฟเวอร์ภายนอก

3. ความกังวลที่ยังคงอยู่: ประสิทธิภาพในการดักจับภาษาไทยของเกตเวย์

ถึงแม้จะมีระบบ Anonymization Gateway ที่ออกแบบมาอย่างสวยงามบนกระดาษ แต่ในความเป็นจริงของเทคโนโลยีระบบความปลอดภัยคอมพิวเตอร์ มีจุดกังวลบางประเด็นที่คนใช้งานจริงควรตระหนักรู้:

  • คำไทยที่แฝงข้อมูลส่วนตัว: ระบบ AI ในไทยปัจจุบันยังจับคำไทยที่ปนคำเฉพาะตัวไม่ได้ 100% เช่น หากเราพิมพ์ส่งที่อยู่บ้านเป็นคำย่อ ปนไปกับประวัติการรักษาพยาบาล ระบบคัดกรองอัตโนมัติอาจจะปล่อยหลุดผ่านไปถึงเซิร์ฟเวอร์ต่างชาติได้
  • ความเสี่ยงของเซิร์ฟเวอร์ตัวกลางเชื่อมต่อ: ข้อมูลทั้งหมดจะถูกถอดรหัสเพื่อแปลงนิรนามที่เกตเวย์ของภาครัฐในไทย หมายความว่า ตัวระบบเกตเวย์นั่นเองคือจุดที่มีความเสี่ยงสูงที่สุด (Single Point of Failure) หากระบบรักษาความปลอดภัยของหน่วยงานไอทีไทยไม่ดีพอ อาจจะถูกแฮกเกอร์โจมตีเพื่อขโมยล็อกคำถามคำตอบของผู้ใช้ทั้งหมดได้ในที่เดียว

บทวิเคราะห์ของจอน: สิ่งที่ประชาชนควรปฏิบัติจริง

ในมุมมองของผม มาตรการปกปิดตัวตนของ TH-AI Passport ถือว่ามีความรัดกุมตามมาตรฐานสากลและมีความพยายามในการปกป้องสิทธิ์ผู้บริโภคชาวไทยอย่างเต็มที่

ทว่า เพื่อความปลอดภัยขั้นสูงสุดในการเก็บรักษาความลับเชิงธุรกิจและส่วนบุคคล จอนแนะนำว่า "หลีกเลี่ยงการป้อนข้อมูลสำคัญทางธุรกิจ ข้อมูลทางการเงิน เลขบัญชี หรือประวัติความลับในครอบครัวลงในระบบเครื่องมือ AI ของภาครัฐ" ให้ใช้เครื่องมือนี้สำหรับการค้นคว้าทั่วไป ฝึกภาษา เขียนโค้ดโปรแกรม หรือคิดไอเดียการทำงานจะปลอดภัยที่สุดครับ

อินโฟกราฟิกเช็กลิสต์คำถามสำคัญเรื่องความโปร่งใส ปลอดภัย และการควบคุมสิทธิ์ส่วนบุคคลในการใช้งาน AI

👉 ความมั่นคงทางข้อมูลและโครงสร้างพื้นฐานอินเทอร์เน็ตที่เสถียรในประเทศไทยเป็นรากฐานของอุตสาหกรรมดิจิทัล สามารถศึกษาความคืบหน้าของเทคโนโลยีสารสนเทศเพิ่มเติมได้ที่หน้าบทความ หมวดหมู่ AI & Platform ของเรา เพื่อเตรียมความพร้อมระบบรักษาความปลอดภัยข้อมูลของคุณครับ

บทความโดย จอน (Jon) — วิเคราะห์ระบบการควบคุมความเป็นส่วนตัวและการเข้ารหัสข้อมูลดิจิทัลเพื่อผลประโยชน์ผู้บริโภคชาวไทย