Skip to main content
News

สคส. เดินหน้า "Privacy in Action" — Eagle Eye Crawler ตรวจเว็บ 24 ชม. พร้อมร่างแนวปฏิบัติ AI กับ PDPA

สคส. เผย 2,672 เรื่องร้องเรียน PDPA พร้อมใช้ Eagle Eye Crawler ตรวจจับการละเมิดอัตโนมัติ 24 ชม. และกำลังร่างแนวปฏิบัติ AI Governance ฉบับใหม่

7 Mar 20265 minTilleke & Gibbins
PDPAสคส.Eagle EyePrivacy in ActionAI Governance

สคส. ส่งสัญญาณชัด: หมดยุครับรู้ ถึงเวลาพิสูจน์ให้เห็น

งาน Data Privacy Day 2026 ที่จัดโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เมื่อเดือนกุมภาพันธ์ที่ผ่านมา ไม่ใช่งานเสวนาทั่วไป — มันคือสัญญาณที่ชัดเจนที่สุดจาก สคส. ในรอบหลายปีว่า กฎเกณฑ์ของเกมกำลังเปลี่ยน

ธีมของปีนี้คือ "Privacy in Action" ซึ่งสะท้อนการปรับทิศทางเชิงนโยบายอย่างมีนัยสำคัญ จากเดิมที่มุ่งสร้างความตระหนักรู้ (Awareness) มาสู่การพิสูจน์การปฏิบัติจริง (Accountability) องค์กรที่ยังมองว่า PDPA เป็นแค่เรื่องนโยบายบนกระดาษ อาจต้องรับมือกับความเป็นจริงที่เจ็บปวดในปีนี้

2,672 เรื่องร้องเรียน: ตัวเลขที่ต้องอ่านให้ขาด

สคส. เปิดเผยว่าตั้งแต่กฎหมาย PDPA มีผลบังคับใช้จนถึงเดือนมกราคม 2026 มีเรื่องร้องเรียนสะสมแล้ว 2,672 เรื่อง โดยการละเมิดสามประเภทที่พบบ่อยที่สุด ได้แก่

  • ไม่ปฏิบัติตามหลัก Data Minimization — เก็บข้อมูลส่วนบุคคลเกินกว่าที่จำเป็นสำหรับวัตถุประสงค์ที่ระบุ
  • เก็บข้อมูลโดยไม่มีฐานทางกฎหมาย — ไม่ขอความยินยอม ไม่มี legitimate interest และไม่อยู่ภายใต้ข้อยกเว้นใดๆ ที่กฎหมายกำหนด
  • เปิดเผยหรือใช้ข้อมูลโดยไม่ได้รับอนุญาต — แชร์ข้อมูลส่วนบุคคลของลูกค้าหรือพนักงานโดยที่เจ้าของข้อมูลไม่รู้ตัวและไม่ยินยอม

ตัวเลข 2,672 เรื่องอาจดูไม่มากเมื่อเทียบกับจำนวนธุรกิจทั่วประเทศ แต่สิ่งสำคัญที่ต้องตระหนักคือ สคส. กำลังขยายกำลังในการตรวจสอบอย่างจริงจัง และอีกไม่นานตัวเลขนี้จะไม่ใช่ตัวเลขเดียวที่องค์กรต้องกังวล

Eagle Eye Crawler: เมื่อ สคส. ไม่รอรับเรื่องอีกต่อไป

หนึ่งในประเด็นที่หลายองค์กรยังไม่ทราบคือ สคส. ได้พัฒนาระบบที่เรียกว่า Eagle Eye Crawler ซึ่งเป็นเครื่องมือตรวจจับการละเมิด PDPA แบบ อัตโนมัติและทำงานตลอด 24 ชั่วโมง

ระบบนี้ทำงานโดยการ crawl เว็บไซต์และช่องทางดิจิทัลขององค์กรต่างๆ เพื่อตรวจสอบว่า

  • มี Cookie Consent Banner ที่ถูกต้องตามกฎหมายหรือไม่ และเปิดโอกาสให้ผู้ใช้ปฏิเสธได้จริงหรือเปล่า
  • Privacy Policy มีเนื้อหาครบถ้วนตามที่ PDPA กำหนดหรือไม่ และเข้าถึงได้ง่ายเพียงใด
  • มีการเก็บข้อมูลส่วนบุคคล เกินความจำเป็น หรือเก็บข้อมูลโดยไม่มี consent ก่อนหรือไม่
  • แบบฟอร์มออนไลน์มีกลไก ขอความยินยอมที่ถูกต้อง ก่อนรวบรวมข้อมูลหรือไม่

นัยที่สำคัญคือ องค์กรของคุณอาจถูกตรวจสอบโดยที่ไม่รู้ตัว และถูก flag ก่อนที่จะมีคนร้องเรียนด้วยซ้ำ กระบวนการบังคับใช้จึงไม่ได้เป็น reactive อีกต่อไป แต่กลายเป็น proactive surveillance ที่ครอบคลุมกว้างกว่าที่หลายองค์กรคาดไว้

ค่าปรับที่เริ่มหนักขึ้นในทุกภาคส่วน

จากรายงานของ Tilleke & Gibbins และสื่อกฎหมายระดับนานาชาติอย่าง Mondaq และ Transatlantic Law International ค่าปรับทางปกครองที่ สคส. ออกในช่วงที่ผ่านมาครอบคลุมหลายภาคส่วน ทั้ง หน่วยงานภาครัฐ สถานพยาบาล ค้าปลีก SME และ E-commerce โดยมูลค่าค่าปรับอยู่ในช่วงตั้งแต่หลักหมื่นบาทสำหรับความผิดเบาไปจนถึงหลายล้านบาทสำหรับการละเมิดที่ร้ายแรง

สิ่งที่ต้องเข้าใจให้ชัดเจนคือ PDPA ไม่ได้ลงโทษแค่ตัวบริษัท แต่ผู้บริหารที่มีส่วนรู้เห็นในการละเมิดอาจมี ความรับผิดส่วนตัว ทั้งในทางแพ่งและอาญา ซึ่งหมายความว่าการมองข้ามเรื่อง PDPA ไม่ใช่แค่ความเสี่ยงของบริษัทอีกต่อไป

แนวปฏิบัติ AI กับ PDPA: สิ่งที่กำลังจะมา

ประเด็นที่สำคัญที่สุดอีกประเด็นหนึ่งจากงาน Data Privacy Day 2026 คือ สคส. กำลังอยู่ในระหว่างจัดทำ แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลสำหรับการใช้ AI เพื่อเชื่อมโยงกฎหมาย PDPA กับการนำ AI ไปใช้งานในองค์กร

สาระสำคัญที่คาดว่าจะปรากฏในแนวปฏิบัตินี้ ได้แก่

องค์กรที่ใช้ AI คือ Data Controller เต็มรูปแบบ — ไม่ว่าจะเป็นระบบ Chatbot ที่เก็บบทสนทนาผู้ใช้ ระบบ Resume Screening ที่ประมวลผลข้อมูลผู้สมัครงาน หรือ AI วิเคราะห์พฤติกรรมลูกค้า ล้วนอยู่ภายใต้ PDPA โดยองค์กรรับผิดชอบ ไม่ใช่ AI

การใช้ AI กับข้อมูลส่วนบุคคลถือเป็น High-Risk Processing — จำเป็นต้องทำ Data Protection Impact Assessment (DPIA) ก่อนเริ่มใช้งาน โดยเฉพาะระบบที่มีการตัดสินใจอัตโนมัติ (Automated Decision-Making)

เจ้าของข้อมูลมีสิทธิ์รู้ว่า AI ตัดสินใจบนพื้นฐานอะไร — สำหรับกรณีที่ AI มีผลกระทบต่อสิทธิหรือผลประโยชน์ของบุคคล เช่น การปฏิเสธสินเชื่อ การไม่ผ่านการคัดเลือก หรือการเสนอราคาที่แตกต่าง องค์กรต้องสามารถอธิบายเหตุผลได้

แนวปฏิบัตินี้ไม่ได้รอให้ พ.ร.บ. AI ฉบับใหม่ที่ไทยกำลังร่างผ่านก่อน แต่จะทำงานควบคู่กับ PDPA ที่มีผลบังคับใช้อยู่แล้ว ซึ่งหมายความว่าองค์กรที่ใช้ AI อยู่ในปัจจุบัน ต้องเตรียมพร้อมทันที

5 สิ่งที่ต้องดำเนินการก่อนที่ Eagle Eye จะมาเคาะประตู

การรอให้ถูกร้องเรียนหรือถูก flag โดย Eagle Eye Crawler แล้วค่อยแก้ไขนั้นไม่ใช่กลยุทธ์ที่ปลอดภัย องค์กรควรดำเนินการเชิงรุกดังนี้

  1. ตรวจสอบเว็บไซต์และช่องทางดิจิทัลทั้งหมด — Cookie Consent Banner ถูกต้องตามกฎหมายไหม Privacy Policy อัปเดตล่าสุดหรือยัง มีแบบฟอร์มไหนที่เก็บข้อมูลโดยไม่มี consent
  2. ทำ Consent Audit — ทุก Consent ที่เก็บมาในอดีตมี Proof of Consent ที่ตรวจสอบได้หรือไม่ และ Consent นั้นยังมีผลอยู่หรือเปล่า
  3. จัดทำ Data Inventory — รู้ว่าองค์กรเก็บข้อมูลส่วนบุคคลอะไร ที่ไหน ใครเข้าถึงได้ และใช้ทำอะไร
  4. เตรียมระบบรับ DSR ให้พร้อม — กระบวนการรับคำขอใช้สิทธิ (Data Subject Request) ต้องตอบกลับได้ภายใน 30 วัน มีกระบวนการที่ชัดเจนและเอกสารพร้อม
  5. ประเมิน AI ที่ใช้อยู่ทั้งหมด — ถ้าองค์กรใช้ AI ที่ประมวลผลข้อมูลส่วนบุคคล ต้องระบุให้ได้ว่าแต่ละระบบมีฐานทางกฎหมายอะไร และต้องทำ DPIA หรือไม่

ประเมินสถานะ PDPA Compliance ขององค์กรได้ทันทีที่ แบบประเมิน PDPA Compliance — ใช้เวลาไม่นาน แต่ช่วยให้เห็นว่าตอนนี้ช่องโหว่อยู่ที่ไหนบ้าง

ภาคส่วนที่อยู่ในเรดาร์ของ สคส. เป็นพิเศษ

จากแนวทางการบังคับใช้ที่ผ่านมา ภาคส่วนที่ สคส. ให้ความสนใจตรวจสอบเป็นพิเศษ ได้แก่

  • E-commerce และค้าปลีกออนไลน์ — การเก็บข้อมูลพฤติกรรมการซื้อ การทำ Personalized Marketing และการส่งข้อมูลให้ Third-party
  • สถานพยาบาลและธุรกิจสุขภาพ — ข้อมูลสุขภาพเป็นข้อมูลอ่อนไหวที่มีบทลงโทษสูงกว่าปกติ
  • ค้าปลีกและธุรกิจ SME — ที่มักมีช่องโหว่ด้าน Cookie Consent และ Privacy Policy
  • หน่วยงานรัฐ — ที่ถือครองข้อมูลพลเมืองจำนวนมหาศาลและถูกตรวจสอบเข้มงวดขึ้น

แต่ความจริงคือ ทุกองค์กรที่เก็บข้อมูลส่วนบุคคล ไม่ว่าเล็กหรือใหญ่ ล้วนอยู่ในข่ายการบังคับใช้ทั้งนั้น

ก้าวต่อไป: จาก Awareness สู่ Accountability ที่พิสูจน์ได้

"Privacy in Action" ไม่ใช่แค่ธีมของงาน มันคือทิศทางของนโยบายที่จะดำเนินต่อไปในปีนี้และปีถัดๆ ไป สคส. กำลังสร้างโครงสร้างพื้นฐานของการบังคับใช้ที่ครอบคลุมขึ้นเรื่อยๆ ทั้งด้านบุคลากร เทคโนโลยี (Eagle Eye Crawler) และกฎเกณฑ์ใหม่ (AI Governance Guidelines)

สำหรับองค์กรที่ต้องการเตรียมพร้อมอย่างเป็นระบบ อ่าน PDPA Checklist 2026 เพื่อตรวจสอบว่าได้ครอบคลุมประเด็นสำคัญทั้งหมดหรือยัง

PrivacyHub ของ Enersys ออกแบบมาเพื่อตอบโจทย์ความต้องการเหล่านี้โดยตรง ครอบคลุมทั้ง Consent Management, DSR Automation, Data Inventory, RoPA, Breach Notification และ Vendor Management บนสถาปัตยกรรม Zero-PII Storage ที่ลดความเสี่ยงตั้งแต่การออกแบบ พร้อม Genesis AI ที่ช่วยวิเคราะห์ช่องโหว่และให้คำแนะนำเชิงรุกก่อนที่ Eagle Eye จะมาพบ

หากองค์กรของท่านต้องการประเมินสถานะ PDPA Compliance หรือต้องการวางแผนรับมือกับ AI Governance Guidelines ที่กำลังจะมา ทีมผู้เชี่ยวชาญของ Enersys พร้อมให้คำปรึกษา ปรึกษาทีม Enersys วันนี้เพื่อรับการวิเคราะห์เบื้องต้นโดยไม่มีค่าใช้จ่าย

แหล่งอ้างอิง: Tilleke & Gibbins: Key Takeaways from Thailand's Data Privacy Day 2026 | Mondaq | Transatlantic Law International | Thairath English

ลิงก์ที่เกี่ยวข้อง

Genesis AI Platform

ลองใช้ AI Platform สำหรับองค์กร

AI Readiness Assessment

องค์กรคุณพร้อมสำหรับ AI แค่ไหน?

อ่านบทความเพิ่มเติม

ติดตามข่าวสาร AI และ Tech

Back to Insights

Related Articles

NVIDIA GTC 2026 — เมื่อ Jensen Huang ประกาศยุค AI Infrastructure ที่จะเปลี่ยนทุกอุตสาหกรรม

NVIDIA GTC 2026 (16-19 มีนาคม) งานใหญ่ที่สุดของโลก AI — Jensen Huang เตรียมเปิดตัว Blackwell Ultra, Rubin Architecture และ AI Factory แนวคิดใหม่ ทำไมสิ่งที่เกิดขึ้นที่นี่จะกระทบทุกธุรกิจไทย

Apple Intelligence กับ Siri ใหม่ — เมื่อ AI บน iPhone เปลี่ยนวิธีที่คนใช้แอปทุกวัน

Apple เปิดตัว Siri โฉมใหม่ทั้งหมดใน iOS 26.4 มีนาคม 2026 — มาพร้อม On-screen Awareness, Cross-app Integration และความสามารถที่จะเปลี่ยนวิธีที่ผู้บริโภค 1.5 พันล้านคนใช้เทคโนโลยี

DeepSeek V4 — โมเดล AI ล้านล้านพารามิเตอร์ที่ไม่ต้องพึ่ง Nvidia ท้าทายอำนาจสหรัฐฯ

DeepSeek เปิดตัว V4 โมเดล AI ขนาด trillion-parameter ที่ทำงานบนชิป Huawei และ Cambricon — ไม่พึ่ง Nvidia เลย รองรับ 1 ล้าน token context พร้อม multimodal เต็มรูปแบบ

"Empowering Innovation,
Transforming Futures."

Contact us to make your project a reality.