ข่าวสารและบทความล่าสุด

Athentic Consulting’s team of experienced experts bring you the
latest news and insights in law and regulations.

AI CCTV และ Smart Surveillance: ความท้าทายด้านความเป็นส่วนตัวในยุคดิจิทัล

AI CCTV และ Smart Surveillance คืออะไร

เทคโนโลยี AI ทำให้กล้องวงจรปิด (CCTV) พัฒนาไปสู่ระบบเฝ้าระวังอัจฉริยะ (Smart Surveillance) ที่สามารถใช้การวิเคราะห์ภาพ (video analytics) เพื่อช่วยตรวจจับ ระบุ และติดตามบุคคลหรือเหตุการณ์ได้โดยอัตโนมัติ ซึ่งแตกต่างจากกล้องวงจรปิดแบบทั่วไปที่ทำหน้าที่เพียงบันทึกภาพเท่านั้น ทั้งนี้ เทคโนโลยี AI CCTV ในประเทศไทย เริ่มถูกนำไปใช้ทั้งในภาครัฐเพื่อเสริมสร้างความปลอดภัยในพื้นที่สาธารณะ และในภาคเอกชนเพื่อเพิ่มประสิทธิภาพในการดำเนินธุรกิจ อย่างไรก็ตาม การใช้งานเทคโนโลยีนี้มีข้อท้าทายด้านความเป็นส่วนตัว

Detection และ Recognition: จุดเปลี่ยนของความเป็นส่วนตัวในยุค AI CCTV

ความสามารถของ AI CCTV ในปัจจุบันสามารถวิเคราะห์ข้อมูลของบุคคลในรูปแบบต่าง ๆ ผ่านเทคโนโลยี AI ตั้งแต่การตรวจจับว่ามีบุคคลอยู่ในพื้นที่ไปจนถึงการระบุตัวตนของบุคคลโดยเฉพาะความแตกต่างของการทำงานนี้มีความสำคัญต่อการพิจารณาการดำเนินการให้สอดคล้องตาม PDPA โดยเฉพาะในประเด็นเกี่ยวกับการประมวลผลข้อมูลชีวมิติ (Biometric Data) ซึ่งเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) 

โดยทั่วไป ระบบ AI CCTV สามารถแบ่งลักษณะการทำงานออกได้เป็น 2 ระดับหลัก ได้แก่ “Detection” และ “Recognition” ซึ่งมีระดับผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลที่แตกต่างกัน

Detection หมายถึง การตรวจจับว่ามีบุคคลหรือวัตถุอยู่ภายในภาพหรือพื้นที่ เช่น การตรวจจับการเคลื่อนไหว การนับจำนวนคน หรือการแยกว่าภาพดังกล่าวเป็นบุคคล โดยระบบยังไม่สามารถระบุตัวตนของบุคคลนั้นได้ ซึ่งในทางกฎหมาย กระบวนการประมวลผลข้อมูลในระดับ Detection ไม่ก่อให้เกิดข้อมูลที่สามารถระบุตัวบุคคลได้โดยตรง ความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลจึงอยู่ในระดับต่ำ

ในขณะที่ Recognition เป็นการทำงานในระดับที่สูงขึ้น โดยระบบสามารถเชื่อมโยงข้อมูลกับบุคคลใดบุคคลหนึ่งหรือระบุตัวตนของบุคคลได้ เช่น การจดจำใบหน้า (Facial Recognition Technology: FRT) การเปรียบเทียบภาพใบหน้ากับฐานข้อมูล หรือการวิเคราะห์ลักษณะเฉพาะทางชีวภาพชีวภาพ (Biometric Template) เพื่อยืนยันตัวบุคคล

ปัจจุบัน AI CCTV บางระบบยังได้รับการพัฒนาให้สามารถจดจำใบหน้าแบบเรียลไทม์ (Live Facial Recognition Technology: LFT) ได้ โดยระบบสามารถสแกนและวิเคราะห์ใบหน้าของผู้คนที่เดินผ่านกล้องแบบอัตโนมัติ และนำข้อมูลดังกล่าวไปเปรียบเทียบกับฐานข้อมูลที่กำหนดไว้ล่วงหน้าเพื่อค้นหาหรือระบุตัวบุคคลที่ต้องการ แม้ว่าระบบอาจมุ่งวิเคราะห์บุคคลบางราย แต่ในทางเทคนิคระบบต้องประมวลผลใบหน้าของทุกคนที่อยู่ในพื้นที่ครอบคลุมก่อนเสมอ ซึ่งส่งผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลอย่างมาก

ความแตกต่างดังกล่าวมีความสำคัญในมุมมองของกฎหมายคุ้มครองข้อมูลส่วนบุคคล เนื่องจากภาพใบหน้าที่ถูกประมวลผลด้วย AI เพื่อใช้ในการระบุตัวตนบุคคล อาจเข้าข่ายเป็นข้อมูลชีวมิติ (Biometric Data) ซึ่งเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ตาม PDPA มาตรา 26 และต้องได้รับการคุ้มครองในระดับที่สูงกว่าข้อมูลส่วนบุคคลทั่วไป ความโปร่งใส และขอบเขตการใช้งาน ซึ่งต้องดำเนินการให้สอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล 

กรณีศึกษา: การใช้ AI CCTV ในบริบทที่แตกต่างกัน

เมื่อระบบ CCTV เริ่มผสานเทคโนโลยี AI เข้ามาใช้งานมากขึ้น ไม่ว่าจะเป็นการจดจำใบหน้า (Facial Recognition) การวิเคราะห์พฤติกรรม การติดตามการเคลื่อนไหวของบุคคล (Tracking) หรือการวิเคราะห์อารมณ์จากสีหน้า (Emotion Detection) ระบบดังกล่าวเริ่มมีการประมวลผลข้อมูลที่มีความเสี่ยงสูง ซึ่งส่งผลต่อสิทธิและเสรีภาพของเจ้าของข้อมูลได้

ปัจจุบันประเทศไทยเริ่มมีการนำระบบ AI CCTV มาใช้งานมากขึ้น อย่างกรณีของหน่วยงานภาครัฐที่มีหน้าที่รักษาความมั่นคงและความปลอดภัยของประชาชน เช่น สำนักงานตำรวจแห่งชาติ ได้นำ AI CCTV มาใช้ในพื้นที่สาธารณะเพื่อตรวจจับและจดจำใบหน้าของผู้ต้องหาตามหมายจับ โดยมีการใช้เทคโนโลยีจดจำใบหน้า (Facial Recognition) เพื่อเปรียบเทียบกับฐานข้อมูลบุคคลหรือระบุตัวตนเฉพาะ ซึ่งเชื่อมโยงฐานข้อมูลหมายจับของ CIB พร้อมระบบแจ้งเตือนไปยังตำรวจที่ในพื้นที่ทันที ซึ่งตามมาตรา 4 PDPA ไม่บังคับใช้กับการดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐหรือรักษาความปลอดภัยของประชาชน หน่วยงานของรัฐจึงไม่จำเป็นต้องอ้างฐานทางกฎหมายตาม PDPA อย่างไรก็ดี การดำเนินการยังคงต้องมีอำนาจรองรับจากกฎหมายเฉพาะ ได้แก่ พระราชบัญญัติตำรวจแห่งชาติ พ.ศ. 2565 และประมวลกฎหมายวิธีพิจารณาความอาญา ซึ่งให้อำนาจในการสืบสวน รวบรวมพยานหลักฐาน และจับกุมผู้ต้องหาตามหมายจับของศาล แนวทางนี้สอดคล้องกับหลักการของสหภาพยุโรป (EU) ภายใต้ EU AI Act ที่อนุญาตให้หน่วยงานสามารถใช้ระบบ Remote Biometric Identification ในพื้นที่สาธารณะได้เฉพาะกรณีที่มีความจำเป็น เช่น การตามจับผู้ต้องหาในคดีร้ายแรง และต้องผ่านการอนุมัติจากศาลก่อนเสมอ 

สำหรับภาคเอกชน เช่น ห้างสรรพสินค้าที่นำ AI CCTV มาวิเคราะห์พฤติกรรมของผู้ใช้บริการในลักษณะที่ไม่มีการระบุตัวตนบุคคล เช่น การนับจำนวนผู้เข้าใช้บริการ การวิเคราะห์เส้นทางการเดิน หรือการวิเคราะห์รูปแบบการเลือกซื้อสินค้า การประมวลผลข้อมูลดังกล่าวสามารถอ้างฐานประโยชน์อันชอบธรรม (Legitimate Interest) ตามมาตรา 24(5) ได้ เนื่องจากการวิเคราะห์ในลักษณะนี้ไม่มีการระบุตัวตนบุคคล ความเสี่ยงต่อสิทธิของเจ้าของข้อมูลจึงอยู่ในระดับต่ำ ทำให้ฐานประโยชน์อันชอบธรรมเพียงพอที่จะถ่วงดุลกับประโยชน์ทางธุรกิจได้ โดยไม่จำเป็นต้องพึ่งความยินยอม ทั้งนี้ ผู้ควบคุมข้อมูลยังคงมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลทราบผ่าน Privacy Notice ที่ชัดเจน แนวทางนี้สอดคล้องกับ EDPB Guidelines 5/2022 ของสหภาพยุโรป และแนวปฏิบัติของ UK ICO ที่ระบุว่าการเฝ้าระวังด้วยวิดีโอในลักษณะที่ไม่ระบุตัวตนสามารถอาศัยฐาน Legitimate Interest ได้ โดยผู้ควบคุมข้อมูลต้องดำเนินการประเมิน Legitimate Interest Assessment (LIA) เพื่อชั่งดุลระหว่างผลประโยชน์อันชอบด้วยกฎหมายขององค์กรกับสิทธิและเสรีภาพของเจ้าของข้อมูล และต้องแสดงให้เห็นว่าการประมวลผลดังกล่าวไม่ก่อให้เกิดผลกระทบต่อเจ้าของข้อมูลเกินสมควร ทั้งนี้ ผู้ควบคุมข้อมูลยังคงมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลทราบผ่าน Privacy Notice ที่ชัดเจน

อย่างไรก็ตาม AI CCTV ไม่ได้มีการทำงานในลักษณะเดียวกันทั้งหมด ในบางกรณี AI อาจทำหน้าที่เพียงตรวจจับเหตุการณ์หรือความผิดปกติในพื้นที่ควบคุมที่อนุญาตให้เฉพาะบุคคลที่มีสิทธิเข้าพื้นที่เท่านั้น เช่น การตรวจพบว่ามีบุคคลพยายามเข้าสู่พื้นที่หวงห้าม หรือมีบุคคลอยู่ในพื้นที่ที่ไม่ควรเข้าถึง โดยระบบจะส่งสัญญาณแจ้งเตือนไปยังเจ้าหน้าที่ที่เกี่ยวข้องเพื่อดำเนินการตรวจสอบต่อไป ทั้งนี้ ระบบลักษณะดังกล่าวอาจทำหน้าที่เพียงตรวจจับ (Detection) โดยไม่ได้มีการจดจำหรือระบุตัวตนของบุคคลว่าเป็นใคร ซึ่งอาจอาศัยฐานประโยชน์อันชอบธรรม (Legitimate Interest) ในการประมวลผลข้อมูลได้ ภายใต้เงื่อนไขที่องค์กรสามารถแสดงให้เห็นถึงความจำเป็น ความเหมาะสม และความได้สัดส่วนของการประมวลผลข้อมูลขณะเดียวกัน บางองค์กรอาจมีการนำ AI CCTV มาใช้ร่วมกับเทคโนโลยีจดจำใบหน้า (Facial Recognition) เพื่อควบคุมการเข้าออกพื้นที่ที่มีข้อจำกัดด้านความปลอดภัย โดยจัดเก็บข้อมูลชีวมิติ (Biometric Template) ของพนักงานหรือบุคคลที่ได้รับอนุญาตไว้ในระบบล่วงหน้า เพื่อใช้ในการยืนยันตัวตนและตรวจสอบสิทธิการเข้าถึงพื้นที่ดังกล่าว

การใช้งานระบบในลักษณะนี้มีความซับซ้อนทางกฎหมายมากกว่ากล้องวงจรปิดทั่วไป เนื่องจากในทางเทคนิค ระบบอาจต้องประมวลผลข้อมูลใบหน้าของบุคคลที่ปรากฏอยู่หน้ากล้องเพื่อนำมาเปรียบเทียบกับฐานข้อมูลที่จัดเก็บไว้ก่อน จึงจะสามารถประเมินได้ว่าบุคคลดังกล่าวเป็นผู้ที่ได้รับอนุญาตหรือไม่ ส่งผลให้ข้อมูลใบหน้าที่ถูกนำมาใช้เพื่อการระบุตัวตนหรือยืนยันตัวบุคคลอาจเข้าข่ายเป็นข้อมูลชีวมิติ (Biometric Data) ซึ่งเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26 ด้วยเหตุนี้ องค์กรจึงควรขอความยินยอมโดยชัดแจ้ง (Explicit Consent) จากบุคคลที่องค์กรจะนำข้อมูลใบหน้ามาใช้เป็นฐานข้อมูลของระบบก่อนดำเนินการประมวลผลข้อมูลดังกล่าว

แนวทางการใช้ AI CCTV ให้สอดคล้องตามกฎหมายคุ้มครองข้อมูลลส่วนบุคคล

จากกรณีศึกษาทั้งในประเทศไทยและต่างประเทศข้างต้น สามารถสรุปเป็นแนวทางปฏิบัติสำหรับองค์กรที่ต้องการนำ AI CCTV มาใช้งานให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้ดังนี้

  1. ระบุประเภทของการประมวลผลให้ชัดเจนก่อนติดตั้ง องค์กรต้องวิเคราะห์ก่อนติดตั้งระบบว่า AI ทำหน้าที่เพียงตรวจจับ (Detection) เช่น นับจำนวนคน วิเคราะห์การเคลื่อนไหว โดยไม่มีการสร้างข้อมูลที่เชื่อมโยงกลับไปยังตัวบุคคล หรือทำหน้าที่จดจำและระบุตัวตน (Recognition) ซึ่งมีการสร้าง facial template เพื่อเปรียบเทียบกับฐานข้อมูล เพราะทั้งสองกรณีมีฐานทางกฎหมายและภาระหน้าที่ที่แตกต่างกันโดยสิ้นเชิง
  2. เลือกฐานทางกฎหมายให้สอดคล้องกับประเภทการประมวลผล หากเป็นการวิเคราะห์พฤติกรรมโดยไม่ระบุตัวตน สามารถอ้างฐานประโยชน์อันชอบธรรม (Legitimate Interest) ตามมาตรา 24(5) ได้ โดยต้องจัดทำการประเมิน Legitimate Interest Assessment (LIA) เพื่อพิสูจน์ความจำเป็นและการชั่งน้ำหนักผลประโยชน์กับสิทธิของเจ้าของข้อมูล แต่สำหรับการประมวลผลข้อมูลชีวมิติ อาจต้องขอความยินยอม (Explicit Consent) กับเจ้าของข้อมูลโดยชัดแจ้ง
  3. จัดทำ AI CCTV Notice และ Privacy Notice ให้มีความชัดเจนและครบถ้วน องค์กรมีหน้าที่แจ้งให้เจ้าของข้อมูลทราบถึงการใช้ระบบ AI CCTV วัตถุประสงค์ในการประมวลผล ประเภทของข้อมูลที่เก็บรวบรวม ระยะเวลาการเก็บรักษาข้อมูล ตลอดจนสิทธิของเจ้าของข้อมูลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ควรระบุให้ชัดเจนว่าข้อมูลส่วนบุคคลใดบ้างที่มีการนำไปประมวลผลด้วยเทคโนโลยี AI และมีการประมวลผลในลักษณะใด นอกจากนี้ องค์กรควรติดตั้งป้ายแจ้งเตือนในตำแหน่งที่สามารถมองเห็นได้อย่างชัดเจนก่อนเข้าสู่พื้นที่ที่มีการติดตั้งระบบ AI CCTV
  4. จัดทำ Consent Form สำหรับกรณี Biometric Data ในกรณีที่ระบบ AI CCTV มีการจัดเก็บข้อมูลใบหน้าของบุคคลไว้ในฐานข้อมูลของระบบ เพื่อให้ AI ใช้ในการระบุตัวตนหรือเปรียบเทียบตัวตนเมื่อเข้าสู่พื้นที่ควบคุม องค์กรต้องได้รับความยินยอมโดยชัดแจ้งจากบุคคลที่องค์กรจะนำข้อมูลใบหน้ามาใช้เป็นฐานข้อมูลของระบบก่อนดำเนินการประมวลผลข้อมูลด้วย AI พร้อมจัดให้มีกลไกสำหรับการปฏิเสธหรือถอนความยินยอมได้อย่างเหมาะสม และแยกส่วนการขอความยินยอมสำหรับการประมวลผลข้อมูลชีวมิติออกจากการขอความยินยอมในเรื่องอื่นอย่างชัดเจน
  5. ดำเนินการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) สำหรับระบบ AI CCTV ที่มีความเสี่ยงสูงต่อสิทธิและเสรีของเจ้าของข้อมูล โดยเฉพาะระบบที่มีการจดจำใบหน้าหรือจับคู่กับฐานข้อมูลรายชื่อบุคคล ควรจัดทำ DPIA เพื่อประเมินความจำเป็น ความได้สัดส่วน และมาตรการลดความเสี่ยงก่อนเริ่มใช้งานจริง
  6. กำหนดมาตรการรักษาความมั่นคงปลอดภัยและระยะเวลาจัดเก็บข้อมูล ข้อมูลที่ได้จากการประมวลผลโดยทั่วไป หรือด้วยเทคนิคเฉพาะอย่าง AI ควรมีการกำหนดระยะเวลาจัดเก็บที่ชัดเจนและลบทำลายเมื่อพ้นความจำเป็น พร้อมทั้งมีมาตรการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตของระบบดังกล่าว เพื่อลดความเสี่ยงจากการรั่วไหลของข้อมูลส่วนบุคคล
สรุป

AI CCTV กำลังเปลี่ยนกล้องวงจรปิดให้เป็น Smart Surveillance ที่สามารถวิเคราะห์และระบุบุคคลได้ การติดตั้งและใช้งานระบบนี้จึงต้องสอดคล้องตาม PDPA โดยคำนึงถึงการประมวลผลข้อมูลชีวมิติ ความโปร่งใส การขอความยินยอม การประเมินความเสี่ยง และมาตรการรักษาความปลอดภัย เพื่อปกป้องสิทธิและเสรีภาพของเจ้าของข้อมูลอย่างเหมาะสม

แหล่งอ้างอิง

  • Information Commissioner’s Office (ICO), Guidance on Video Surveillance Including CCTV (last updated 21 June 2023).
  • National Institute of Standards and Technology (NIST), Face Detection, NIST Glossary (2025).
  • National Institute of Standards and Technology (NIST), Face Recognition, NIST Glossary (2025).
  • กองบรรณาธิการวอยซ์ออนไลน์, “กทม. ผนึกกำลังตำรวจ ใช้ AI CCTV เฝ้าระวังเข้ม ยกระดับความปลอดภัยสงกรานต์ 2569” (11 เมษายน 2569).
  • พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, มาตรา 4 (2).
  • Regulation (EU) 2024/1689 of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act), Article 5
  • European Data Protection Board (EDPB), Guidelines 05/2022 on the Use of Facial Recognition Technology in the Area of Law Enforcement (Version 2.0, adopted 17 May 2023).
  • Information Commissioner’s Office (ICO), ICO Opinion: The Use of Live Facial Recognition Technology in Public Places (18 June 2021).
ปาลิตา รุ่งระวี
Lead - Legal Technology Counselor
ราชนิภักดิ์ ปรีชาจารย์
Legal Technology Counselor
เกี่ยวกับเอเทนติค ข่าวสารและบทความล่าสุด บริการของเรา ติดต่อเรา ร่วมงานกับเรา