EU AI Act และการยินยอมในคุกกี้ปี 2026: การสร้างโปรไฟล์ ระบบแนะนำ และโฆษณาแบบกำหนดเป้าหมายอยู่ในชั้นกฎระเบียบใหม่อย่างไร
The EU AI Act (Regulation 2024/1689) มีผลบังคับใช้ในเดือนสิงหาคม 2024 โดยมีบทบัญญัติที่แบ่งเป็นระยะในช่วงเวลาหลายปี กฎเกี่ยวกับแนวทางปฏิบัติที่ต้องห้ามมีผลบังคับใช้ในเดือนกุมภาพันธ์ 2025 ภาระผูกพันAI เพื่อวัตถุประสงค์ทั่วไปในเดือนสิงหาคม 2025 และส่วนใหญ่ของภาระผูกพันระบบความเสี่ยงสูงจะมีผลบังคับใช้ในช่วงปี 2026 และเข้าสู่ปี 2027 ณ ต้นปี 2026 AI Act ไม่ใช่ความกังวลสำหรับอนาคตอีกต่อไป แต่เป็นระเบียบข้อบังคับที่ใช้งานได้จริงซึ่งวางซ้อนบน GDPR สำหรับระบบใดก็ตามที่ใช้ AI เพื่อสร้างโปรไฟล์ ให้คะแนน หรือจัดอันดับผู้ใช้ EU สำหรับผู้เผยแพร่ที่เรียกใช้ระบบแนะนำ ผู้โฆษณาที่เรียกใช้เครื่องมือปรับแต่งส่วนบุคคล และผู้ขายเทคโนโลยีโฆษณาที่เรียกใช้การให้คะแนนผู้ชมแบบอัตโนมัติ AI Act เพิ่มมิติการปฏิบัติตามกฎระเบียบใหม่ที่ GDPR เพียงอย่างเดียวไม่เคยครอบคลุม: ไม่ใช่แค่ว่าผู้ใช้ยินยอมต่อการประมวลผลข้อมูลหรือไม่ แต่ระบบ AI เองนั้นตรงตามข้อกำหนดด้านการออกแบบ ความโปร่งใส การกำกับดูแล และความรับผิดชอบของกฎหมายหรือไม่ คู่มือนี้อธิบายโครงสร้างของ AI Act วิธีที่ตัดกับกฎการยินยอมคุกกี้และกฎการสร้างโปรไฟล์ GDPR สิ่งที่ภาระผูกพันปี 2026 ต้องการจริงๆ และวิธีที่ผู้เผยแพร่และผู้โฆษณาควรคิดเกี่ยวกับพื้นผิวการปฏิบัติตาม GDPR-plus-AI-Act ที่รวมกัน
โครงสร้างของ AI Act ในปี 2026
AI Act เป็นกฎระเบียบแนวนอนที่ครอบคลุมฉบับแรกของโลกเกี่ยวกับปัญญาประดิษฐ์ สถาปัตยกรรมแบบแบ่งชั้นตามความเสี่ยงเป็นกุญแจสำคัญในการทำความเข้าใจว่าภาระผูกพันใดบังคับใช้กับระบบใด
ชั้นความเสี่ยง
กฎหมายจัดประเภทระบบ AI เป็นสี่ชั้นตามความเสี่ยงที่เกิดขึ้น:
- ระบบที่ต้องห้าม — แนวทางปฏิบัติที่ถูกห้ามโดยสิ้นเชิง รวมถึงเทคนิคใต้สำนึกที่บิดเบือน การใช้ประโยชน์จากช่องโหว่ การให้คะแนนทางสังคมโดยหน่วยงานของรัฐ และการจัดหมวดหมู่ไบโอเมตริกซ์และการจดจำอารมณ์บางรูปแบบ
- ระบบความเสี่ยงสูง — ระบบที่ใช้ในบริบทที่มีความเสี่ยงสูงที่กำหนด ซึ่งอยู่ภายใต้ภาระผูกพันสำคัญส่วนใหญ่ของกฎหมาย รวมถึงการจัดการความเสี่ยง การกำกับดูแลข้อมูล ความโปร่งใส การกำกับดูแลของมนุษย์ และข้อกำหนดความแม่นยำ
- ระบบความเสี่ยงจำกัด — ระบบที่มีภาระผูกพันความโปร่งใสเฉพาะ รวมถึงระบบแนะนำเนื้อหาที่ขับเคลื่อนด้วย AI ส่วนใหญ่และแชทบอทที่โต้ตอบกับผู้ใช้โดยตรง
- ระบบความเสี่ยงขั้นต่ำ — ทุกอย่างอื่น ซึ่งอยู่ภายใต้เพียงจรรยาบรรณโดยสมัครใจทั่วไป
โฆษณาและระบบแนะนำอยู่ที่ไหน
AI ที่มุ่งเน้นโฆษณาส่วนใหญ่ — การให้คะแนนผู้ชม การเพิ่มประสิทธิภาพการประมูลแบบโปรแกรม ระบบแนะนำเนื้อหา เครื่องมือปรับแต่งส่วนบุคคล — อยู่ในชั้นความเสี่ยงจำกัดมากกว่าชั้นความเสี่ยงสูง ฟังดูเหมือนเป็นข่าวดี แต่ชั้นความเสี่ยงจำกัดยังคงมีภาระผูกพันความโปร่งใสที่มีความหมาย และกรณีขอบเขตหลายกรณีผลักดันระบบเฉพาะไปยังชั้นที่สูงขึ้น สิ่งสำคัญคือ กฎแนวทางปฏิบัติที่ต้องห้ามสามารถเข้าถึงระบบโฆษณาได้หากข้ามไปในดินแดนของการบิดเบือนหรือการใช้ประโยชน์ และ EDPB ได้ส่งสัญญาณความเต็มใจที่จะตีความบทบัญญัติเหล่านี้อย่างกว้างขวาง
การแบ่งระยะ
ปฏิทินปี 2026 มีความสำคัญ: ภาระผูกพันความเสี่ยงสูงสำหรับระบบใหม่มีผลบังคับใช้ในเดือนสิงหาคม 2026 ภาระผูกพันความเสี่ยงสูงสำหรับระบบที่อยู่ในตลาดแล้วมีผลบังคับใช้ในปี 2027 และภาระผูกพันของผู้ให้บริการ AI เพื่อวัตถุประสงค์ทั่วไปมีผลบังคับใช้แล้ว ผู้เผยแพร่และผู้โฆษณาควรทำแผนที่สินค้าคงคลัง AI ของตนเทียบกับปฏิทินนี้เพื่อทราบว่าภาระผูกพันใดบังคับใช้เมื่อใด
AI Act วางซ้อนบน GDPR อย่างไร
AI Act ไม่ได้แทนที่ GDPR แต่วางซ้อนอยู่บน GDPR ระบบที่ประมวลผลข้อมูลส่วนบุคคลเพื่อสร้างผลลัพธ์ที่ขับเคลื่อนด้วย AI ต้องปฏิบัติตามทั้งสองระบบ และภาระผูกพันเป็นแบบเสริมมากกว่าทางเลือก
ชั้น GDPR
GDPR ยังคงควบคุมความชอบด้วยกฎหมายของการประมวลผลข้อมูลส่วนบุคคล การยินยอมสำหรับการสร้างโปรไฟล์โฆษณา ฐานทางกฎหมายสำหรับการวัดผล กลุ่มสิทธิ์ของเจ้าของข้อมูล ภาระผูกพันการถ่ายโอนข้ามพรมแดน — ทั้งหมดนี้ยังคงบังคับใช้โดยไม่เปลี่ยนแปลง
ชั้น AI Act
บน GDPR AI Act เพิ่มภาระผูกพันโดยเฉพาะเกี่ยวกับระบบ AI เอง: วิธีที่ได้รับการฝึกอบรม ข้อมูลใดที่เข้าสู่การฝึกอบรม วิธีที่ผลลัพธ์ได้รับการจัดทำเอกสาร กลไกการกำกับดูแลใดที่มีอยู่ ความโปร่งใสที่ผู้ใช้ได้รับ ภาระผูกพันเหล่านี้ผูกพันกับระบบ AI โดยไม่คำนึงว่าการประมวลผลข้อมูลพื้นฐานนั้นอิงจากความยินยอม สัญญา หรือฐานทางกฎหมายอื่น
ความหมายในทางปฏิบัติ
ผู้เผยแพร่ที่เรียกใช้ระบบแนะนำเนื้อหาบนข้อมูลส่วนบุคคลต้องการทั้งฐานทางกฎหมาย GDPR ที่ถูกต้องสำหรับการประมวลผลข้อมูลและการเปิดเผยความโปร่งใสที่สอดคล้องภายใต้ AI Act อย่างใดอย่างหนึ่งเพียงอย่างเดียวไม่เพียงพอ พื้นผิวการปฏิบัติตามกฎระเบียบตอนนี้มีสองมิติอย่างแท้จริง และห่วงโซ่เอกสารต้องครอบคลุมทั้งสองแกน
แนวทางปฏิบัติที่ต้องห้ามและการโฆษณา
รายการแนวทางปฏิบัติที่ต้องห้ามของกฎหมายนั้นสั้น แต่มีผลสำคัญ และรายการหลายรายการมีผลต่อการออกแบบโฆษณา
เทคนิคการบิดเบือน
กฎหมายห้ามระบบ AI ที่ใช้เทคนิคใต้สำนึก แนวทางปฏิบัติที่บิดเบือน หรือใช้ประโยชน์จากช่องโหว่ของกลุ่มเฉพาะในลักษณะที่น่าจะก่อให้เกิดอันตรายอย่างมีนัยสำคัญ การออกแบบโฆษณาส่วนใหญ่ไม่เข้าใกล้เส้นนี้ แต่การโฆษณาที่มุ่งเป้าไปยังช่องโหว่ที่ระบุได้ (ความยากลำบากทางการเงิน สภาพสุขภาพจิต รูปแบบการติดยา) โดยใช้การสร้างโปรไฟล์ที่ขับเคลื่อนด้วย AI อาจข้ามเส้นนี้ได้ EDPB ได้แจ้งเตือนเรื่องนี้ในแนวทางเบื้องต้น
การจัดหมวดหมู่ไบโอเมตริกซ์
กฎหมายห้ามการจัดหมวดหมู่ไบโอเมตริกซ์ที่อนุมานคุณลักษณะที่ละเอียดอ่อน เช่น เชื้อชาติ ความคิดเห็นทางการเมือง การเป็นสมาชิกสหภาพแรงงาน ความเชื่อทางศาสนา ชีวิตทางเพศ หรือรสนิยมทางเพศ กลุ่มผู้ชมที่สร้างจากข้อมูลไบโอเมตริกซ์ที่อนุมานคุณลักษณะเหล่านี้ปัจจุบันอยู่ในดินแดนที่ต้องห้าม
การจดจำอารมณ์ในบริบทเฉพาะ
การจดจำอารมณ์ถูกห้ามในบริบทของที่ทำงานและการศึกษา กรณีการใช้งานการตรวจจับอารมณ์โฆษณานอกบริบทเหล่านั้นอาจยังได้รับอนุญาต แต่เผชิญกับการตรวจสอบที่เข้มข้นขึ้น
ภาระผูกพันความโปร่งใสความเสี่ยงจำกัด
นี่คือที่ที่งานการปฏิบัติตาม AI Act ส่วนใหญ่ของผู้เผยแพร่และผู้โฆษณาอยู่ในปี 2026
การเปิดเผยระบบแนะนำ
ระบบแนะนำเนื้อหาที่ปรับแต่งสิ่งที่ผู้ใช้เห็น — ไม่ว่าจะบนหน้าแรกของผู้เผยแพร่ ในฟีดในแอป หรือในตำแหน่งโฆษณาแบบโปรแกรม — อยู่ภายใต้ชั้นความเสี่ยงจำกัด ผู้ใช้ต้องได้รับแจ้งว่ากำลังโต้ตอบกับระบบ AI และระบบต้องได้รับการออกแบบให้ลักษณะ AI ของการโต้ตอบนั้นชัดเจน
การเปิดเผยแชทบอท
ระบบ AI ใดก็ตามที่โต้ตอบกับผู้ใช้โดยตรงในรูปแบบการสนทนาต้องเปิดเผยลักษณะ AI ของตน ผู้เผยแพร่และผู้โฆษณาที่เรียกใช้อินเทอร์เฟซแชท AI — สำหรับการสนับสนุนลูกค้า การค้นพบเนื้อหา หรือวัตถุประสงค์อื่นใด — ต้องปฏิบัติตามพื้นฐานนี้
การเปิดเผยเนื้อหาสังเคราะห์
รูปภาพ เสียง วิดีโอ และเนื้อหาข้อความที่สร้างด้วย AI ต้องถูกทำเครื่องหมายเป็นเช่นนั้น ผู้เผยแพร่ที่ใช้ภาพหรือข้อความที่สร้างด้วย AI ในเนื้อหาบรรณาธิการ งานสร้างสรรค์โฆษณา หรือภาพสินค้าต้องใช้ภาระผูกพันการทำเครื่องหมาย แนวทางการดำเนินการปี 2026 ได้ชี้แจงข้อกำหนดทางเทคนิคสำหรับการทำเครื่องหมาย รวมถึงมาตรฐานลายน้ำสำหรับเนื้อหาภาพ
พื้นผิวความยินยอมที่รวมกันในปี 2026
CMP และประกาศความเป็นส่วนตัวตอนนี้ต้องทำงานสำหรับทั้งสองระบบ CMP ของผู้เผยแพร่ปี 2026 ดูซับซ้อนกว่าผู้สืบทอดปี 2024 อย่างมีนัยสำคัญ
วัตถุประสงค์ความยินยอมแบบละเอียด
CMP เปิดเผยวัตถุประสงค์ความยินยอมที่แยกแยะระหว่างการโฆษณาทั่วไป การสร้างโปรไฟล์สำหรับโฆษณา การตัดสินใจอัตโนมัติ และการปรับแต่งส่วนบุคคลของระบบแนะนำ แต่ละรายการแมปกับขอบเขต AI Act และ GDPR เฉพาะ และแต่ละรายการต้องการความยินยอมเชิงบวกของตนเอง
การเปิดเผยระบบ AI
ประกาศความเป็นส่วนตัวหรือเอกสารเปิดเผย AI ที่มาพร้อมกันอธิบายระบบ AI ที่ใช้งาน วัตถุประสงค์ หมวดหมู่ของข้อมูลอินพุต ตรรกะกว้างๆ ของผลลัพธ์ และกลไกการกำกับดูแลของมนุษย์ที่มีอยู่ นี่มากกว่าการเปิดเผยการตัดสินใจอัตโนมัติของ GDPR มาตรา 22 — มันเป็นเรื่องราวความโปร่งใส AI ที่ครบถ้วนกว่า
สิทธิ์ในการคัดค้าน
สิทธิ์ GDPR ในการคัดค้านการสร้างโปรไฟล์ยังคงบังคับใช้ และ AI Act เพิ่มสิทธิ์ผู้ใช้เพิ่มเติมเกี่ยวกับการปรับแต่งส่วนบุคคลของระบบแนะนำที่ขับเคลื่อนด้วย AI ผู้ใช้สามารถยกเลิกการปรับแต่งส่วนบุคคลของระบบแนะนำโดยไม่สูญเสียการเข้าถึงบริการพื้นฐาน และการยกเลิกต้องง่ายอย่างน้อยเท่ากับการเลือกรับ
รูปแบบการดำเนินงานที่ใช้ได้ผลในปี 2026
ผู้เผยแพร่และผู้โฆษณาที่เรียกใช้โปรแกรมที่เติบโตเต็มที่ในปี 2026 กำลังรวมตัวกันในรูปแบบการดำเนินงานบางอย่าง
สินค้าคงคลัง AI
รักษาสินค้าคงคลังที่มีชีวิตของระบบ AI ทุกระบบที่ใช้งานทั่วทั้งสแต็กผู้เผยแพร่หรือผู้โฆษณา: ระบบ ชั้นความเสี่ยงภายใต้กฎหมาย ข้อมูลส่วนบุคคลที่ประมวลผล ฐานทางกฎหมายภายใต้ GDPR การเปิดเผยความโปร่งใสที่ใช้กับมัน และการกำกับดูแลของมนุษย์ที่มีอยู่ นี่คือสิ่งประดิษฐ์การปฏิบัติตามพื้นฐานและเป็นสิ่งที่หน่วยงานกำกับดูแลจะขอดูก่อน
ประกาศความเป็นส่วนตัวที่รวมกัน
ประกาศความเป็นส่วนตัวและความโปร่งใส AI ที่รวมกันฉบับเดียว — ภาษาโปรตุเกส เยอรมัน ฝรั่งเศส หรือภาษาใดก็ตามที่เหมาะสมกับผู้ชม — ที่ครอบคลุมทั้งภาระผูกพัน GDPR และ AI Act ในการเล่าเรื่องที่สอดคล้องกัน การพยายามรักษาการเปิดเผยสองรายการแยกกันเชิญชวนให้เกิดความขัดแย้งและความสับสนของผู้อ่าน
การตรวจสอบ AI ของผู้ขาย
สำหรับผู้ขายโฆษณาหรือการวิเคราะห์ทุกรายที่ประมวลผลผลลัพธ์ที่ขับเคลื่อนด้วย AI ในนามของผู้เผยแพร่ สัญญาต้องระบุการจัดสรรภาระผูกพัน AI Act การเข้าถึงเอกสารทางเทคนิค และการแจ้งเตือนเหตุการณ์ ข้อตกลงการประมวลผลข้อมูลมาตรฐานจากปี 2023 ไม่ได้ระบุ AI Act และต้องได้รับการปรับปรุง
บทลงโทษและท่าทีการบังคับใช้
AI Act แนะนำระบบบทลงโทษแบบแบ่งชั้นพร้อมค่าปรับทางปกครองที่สามารถเกินขีดสูงสุดของ GDPR
ชั้นบทลงโทษ
- สูงสุด EUR 35 ล้านหรือ 7 เปอร์เซ็นต์ของมูลค่าการค้าประจำปีทั่วโลก สำหรับการละเมิดแนวทางปฏิบัติที่ต้องห้าม
- สูงสุด EUR 15 ล้านหรือ 3 เปอร์เซ็นต์ สำหรับการละเมิดสาระสำคัญอื่นๆ ส่วนใหญ่
- สูงสุด EUR 7.5 ล้านหรือ 1 เปอร์เซ็นต์ สำหรับการให้ข้อมูลที่ไม่ถูกต้อง
สถาปัตยกรรมการบังคับใช้
แต่ละรัฐสมาชิกกำหนดหน่วยงานที่มีอำนาจระดับชาติสำหรับการบังคับใช้ AI Act และสำนักงาน AI ยุโรปประสานงานการกำกับดูแลโมเดล AI เพื่อวัตถุประสงค์ทั่วไป การบังคับใช้ต่อผู้เผยแพร่และผู้โฆษณาจะดำเนินการผ่านหน่วยงานระดับชาติเป็นหลัก มักอยู่ในการประสานงานใกล้ชิดกับหน่วยงานคุ้มครองข้อมูลที่มีอยู่ การดำเนินการบังคับใช้ AI Act ที่สำคัญครั้งแรกคาดว่าจะเกิดขึ้นตลอดปี 2026 เมื่อภาระผูกพันความเสี่ยงสูงมีผลบังคับใช้อย่างเต็มที่
รายการตรวจสอบการตรวจสอบสำหรับโฆษณาที่ขับเคลื่อนด้วย AI ในปี 2026
- สินค้าคงคลังที่มีชีวิตของระบบ AI ทุกระบบในสแต็กพร้อมการจำแนกชั้นความเสี่ยง
- ฐานทางกฎหมาย GDPR ที่จัดทำเอกสารสำหรับระบบ AI ทุกระบบที่ประมวลผลข้อมูลส่วนบุคคล
- การเปิดเผยความโปร่งใส AI Act ที่ใช้กับระบบความเสี่ยงจำกัดทุกระบบ รวมถึงการปรับแต่งส่วนบุคคลของระบบแนะนำและแชทบอท
- การทำเครื่องหมายเนื้อหาสังเคราะห์ที่ใช้กับงานสร้างสรรค์ รูปภาพ เสียง และวิดีโอที่สร้างด้วย AI
- ประกาศความเป็นส่วนตัวและความโปร่งใส AI ที่รวมกันในภาษาท้องถิ่นที่เกี่ยวข้อง
- CMP เปิดเผยการสร้างโปรไฟล์ การตัดสินใจอัตโนมัติ และการปรับแต่งส่วนบุคคลของระบบแนะนำเป็นวัตถุประสงค์ที่ต้องได้รับความยินยอมแยกกัน
- กลุ่มผู้ชมได้รับการตรวจสอบกับรายการการจัดหมวดหมู่ไบโอเมตริกซ์ที่ต้องห้าม
- สัญญาผู้ขายได้รับการอัปเดตเพื่อระบุการจัดสรรภาระผูกพัน AI Act
- กลไกการกำกับดูแลของมนุษย์ที่จัดทำเอกสารสำหรับระบบใดก็ตามที่เข้าใกล้ขอบเขตความเสี่ยงสูง
- เวิร์กโฟลว์สิทธิ์ของเจ้าของข้อมูลและผู้ใช้ AI Act สามารถตอบสนองต่อคำขอยกเลิก คำอธิบาย และการตรวจสอบโดยมนุษย์ภายในหน้าต่างการตอบสนองที่ใช้บังคับ
แนวโน้มปี 2026
AI Act ไม่ได้แทนที่ GDPR แต่วางซ้อนอยู่บน GDPR และพื้นผิวที่รวมกันนั้นซับซ้อนกว่าระบบใดระบบหนึ่งเพียงอย่างเดียวอย่างมีนัยสำคัญ สำหรับผู้เผยแพร่และผู้โฆษณาที่เรียกใช้การปรับแต่งส่วนบุคคล การสร้างโปรไฟล์ ระบบแนะนำ หรือเนื้อหาสร้างสรรค์ที่ขับเคลื่อนด้วย AI ปี 2026 เป็นปีที่สถาปัตยกรรมการปฏิบัติตามกฎระเบียบต้องเติบโตเกินกว่าท่าทาง GDPR ล้วนๆ ผู้ที่ปฏิบัติต่อ AI Act เป็นความกังวลสำหรับอนาคตจะพบว่าอนาคตมาถึงเร็วกว่าที่คาดไว้ โดยหน่วยงานระดับชาติออกการดำเนินการบังคับใช้ครั้งแรกตลอดปี 2026 และเข้าสู่ปี 2027 ผู้ที่สร้างการปฏิบัติตามกฎระเบียบแบบรวมกันตั้งแต่ต้นจะพบว่าสถาปัตยกรรมให้ผลตอบแทน: ภาระผูกพันความโปร่งใสของ AI Act ที่ดำเนินการอย่างดียังเสริมสร้างเรื่องราวความยินยอมและความไว้วางใจของ GDPR และวินัยการดำเนินงานในการรักษาสินค้าคงคลัง AI ที่มีชีวิตนั้นมีประโยชน์เกินกว่าการปฏิบัติตามกฎระเบียบอย่างมาก