กฎหมาย AI และกฎแพลตฟอร์มดิจิทัลของไทย — บังคับใช้แล้ว สิ่งที่ธุรกิจต้องทำ "ตอนนี้"

ไม่ใช่ "กำลังจะมา" อีกต่อไป — พ.ร.บ. ปัญญาประดิษฐ์ของไทยมีผลบังคับใช้แล้วตั้งแต่ 1 มีนาคม 2026 และภายในเดือนเดียวกัน คณะกรรมการแข่งขันทางการค้า (TCCT) ก็ออกแนวปฏิบัติกำกับแพลตฟอร์มดิจิทัลตามมาติดๆ

ถ้าองค์กรคุณพัฒนา AI, ใช้ AI ในการตัดสินใจทางธุรกิจ, หรือดำเนินธุรกิจบนแพลตฟอร์มออนไลน์ — บทความนี้คือแผนที่นำทางฉบับสมบูรณ์ที่อ่านจบแล้วลงมือทำได้เลย

ไทม์ไลน์สำคัญที่ต้องจำ

วันที่	เหตุการณ์
กุมภาพันธ์ 2026	สคส. เปิดรับฟังความคิดเห็น ร่างแนวปฏิบัติคุ้มครองข้อมูลส่วนบุคคลสำหรับ AI
กุมภาพันธ์ 2026	เผยแพร่ร่างพระราชกฤษฎีกาว่าด้วย AI และร่างประกาศนายกฯ กำหนด AI ความเสี่ยงสูง
1 มีนาคม 2026	พ.ร.บ. ปัญญาประดิษฐ์มีผลบังคับใช้
25 มีนาคม 2026	TCCT ออกแนวปฏิบัติกำกับแพลตฟอร์ม multi-sided มีผลบังคับใช้
31 มีนาคม 2026	เดดไลน์แจ้งจดทะเบียนแพลตฟอร์ม ride-sharing
29 เมษายน 2026	ปิดรับฟังความคิดเห็นร่างกฎเกณฑ์ธุรกิจขายตรง/ตลาดแบบตรง
สิงหาคม 2026	EU AI Act บังคับใช้เต็มรูปแบบ (กระทบบริษัทไทยที่ให้บริการใน EU)

ไม่เคยมีเดือนไหนที่กฎหมายดิจิทัลของไทยเปลี่ยนแปลงเร็วขนาดนี้

พ.ร.บ. ปัญญาประดิษฐ์ — หมดยุค "ไม่มีกฎ"

แนวคิดหลัก: Risk-Based Approach

กฎหมายใหม่ใช้แนวทาง แบ่งระดับความเสี่ยง คล้าย EU AI Act โดยแบ่ง AI ออกเป็น 3 ระดับ:

AI ที่ห้ามใช้ (Unacceptable Risk) — ระบบ AI ที่มีความเสี่ยงต่อสิทธิมนุษยชนระดับที่ยอมรับไม่ได้ ถูกห้ามโดยเด็ดขาด
AI ความเสี่ยงสูง (High-Risk) — ต้องผ่าน conformity assessment ก่อนใช้งาน เช่น ระบบ AI ที่ใช้ในกระบวนการยุติธรรม การให้สินเชื่อ การคัดเลือกบุคลากร
AI ความเสี่ยงจำกัด (Limited Risk) — มีข้อกำหนดด้านความโปร่งใส เช่น ต้องแจ้งผู้ใช้ว่ากำลังโต้ตอบกับ AI

ศูนย์กำกับดูแล AI (AI Governance Center)

กฎหมายกำหนดให้จัดตั้ง AI Governance Center ภายใต้ สพธอ. (ETDA) เป็นหน่วยงานกลางในการกำกับดูแลและบังคับใช้กฎหมาย AI ทั้งระบบ

สิทธิของบุคคลที่ได้รับผลกระทบจาก AI

นี่คือจุดที่หลายองค์กรยังไม่ตระหนัก — กฎหมายให้สิทธิ์บุคคลที่ได้รับผลกระทบจากการตัดสินใจของ AI อย่างชัดเจน:

สิทธิ์ที่จะรู้ — ต้องแจ้งเมื่อมีการใช้ AI ในการตัดสินใจที่กระทบต่อบุคคล
สิทธิ์ได้รับคำอธิบาย — หาก AI ตัดสินใจในทางลบ (ปฏิเสธสินเชื่อ ไม่ผ่านคัดเลือก) ต้องอธิบายปัจจัยหลักที่ AI ใช้ในการตัดสินใจได้
สิทธิ์ในการ human oversight — กรณี high-risk AI ต้องมีคนตรวจสอบกำกับ

ร่างพระราชกฤษฎีกา AI ความเสี่ยงสูง — ผลกระทบที่ต้องเตรียม

ร่างพระราชกฤษฎีกาว่าด้วย AI และร่างประกาศนายกรัฐมนตรีกำหนดรายการ AI ความเสี่ยงสูง ที่เผยแพร่ในเดือนกุมภาพันธ์ 2026 กำหนดข้อบังคับเพิ่มเติมที่สำคัญ:

สำหรับ Provider (ผู้พัฒนา/ผู้ให้บริการ AI)

ลงทะเบียน ตัวเอง และระบบ AI กับหน่วยงานกำกับดูแล ก่อน นำออกสู่ตลาด
วางระบบ Risk Management ตามมาตรฐานสากล (เช่น ISO/IEC 42001:2023)
รายงานเหตุการณ์ร้ายแรง ที่เกิดจาก AI ต่อหน่วยงานกำกับดูแล
ผู้ให้บริการจากต่างประเทศต้อง แต่งตั้งตัวแทนในประเทศไทย เป็นลายลักษณ์อักษร

สำหรับ Deployer (ผู้นำ AI มาใช้งาน)

จัดให้มี human oversight ในกระบวนการตัดสินใจ
เก็บ operational log ของระบบ AI
ตรวจสอบ คุณภาพข้อมูล input ที่ป้อนเข้าระบบ
แจ้งบุคคล ที่อาจได้รับผลกระทบจากการตัดสินใจของ AI

ข้อสำคัญ: แม้ร่างพระราชกฤษฎีกายังอยู่ระหว่างการรับฟังความคิดเห็น แต่ พ.ร.บ. หลักบังคับใช้แล้ว — องค์กรที่เริ่มเตรียมตัวตอนนี้จะได้เปรียบอย่างมาก

สคส. ออกแนวปฏิบัติ AI + PDPA — สองกฎหมายที่ต้องทำพร้อมกัน

ในเดือนกุมภาพันธ์ 2026 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส./PDPC) ได้เปิดรับฟังความคิดเห็น ร่างแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลในการพัฒนาและใช้ AI ซึ่งสาระสำคัญครอบคลุม:

บทบาทของผู้เกี่ยวข้อง — กำหนดว่าใครเป็น Data Controller/Processor ในห่วงโซ่ AI
ข้อตกลงห้ามใช้ข้อมูลฝึกโมเดล — สัญญา Data Processing ต้องระบุชัดว่าห้ามนำข้อมูลไป train AI model โดยไม่ได้รับอนุญาต
DPIA สำหรับ AI ความเสี่ยงสูง — ต้องทำ Data Protection Impact Assessment ก่อนเริ่มใช้งาน AI ที่ประมวลผลข้อมูลส่วนบุคคล
มาตรการรักษาความปลอดภัยตลอดวงจร AI — ตั้งแต่พัฒนา ทดสอบ deploy จนถึง decommission

ทำไมเรื่องนี้สำคัญมาก

พ.ร.บ. AI กับ PDPA ไม่ได้แยกกัน — องค์กรที่ใช้ AI ประมวลผลข้อมูลส่วนบุคคลต้อง ปฏิบัติตามทั้งสองกฎหมายพร้อมกัน ยิ่งสคส. มีระบบ Eagle Eye Crawler คอย crawl เว็บไซต์ตรวจสอบแบบ proactive แล้ว ความเสี่ยงที่จะถูกจับได้โดยไม่ทันตั้งตัวยิ่งสูงขึ้น

แนวปฏิบัติ TCCT สำหรับแพลตฟอร์มดิจิทัล — เกมเปลี่ยน 25 มี.ค. 2026

คณะกรรมการแข่งขันทางการค้า (TCCT) ได้ออกประกาศแนวทางการพิจารณาพฤติกรรมทางการค้าที่ไม่เป็นธรรม การผูกขาด และการกระทำที่อาจลดหรือจำกัดการแข่งขันใน แพลตฟอร์ม multi-sided ซึ่งเผยแพร่ในราชกิจจานุเบกษา 24 มีนาคม 2026 และ มีผลบังคับใช้ 25 มีนาคม 2026

แพลตฟอร์มไหนถูกกำกับ?

ประกาศนิยาม "แพลตฟอร์ม multi-sided" ว่าเป็น ตัวกลางที่เชื่อมต่อกลุ่มผู้ใช้ตั้งแต่ 2 กลุ่มขึ้นไป ให้มีปฏิสัมพันธ์ ทำธุรกรรม หรือพึ่งพากันในระบบนิเวศเดียว — ครอบคลุม:

แพลตฟอร์ม e-commerce (เชื่อมผู้ขาย ผู้ซื้อ logistics โฆษณา ระบบชำระเงิน)
แพลตฟอร์ม ride-sharing
แพลตฟอร์ม social commerce
แพลตฟอร์ม food delivery

พฤติกรรมที่ถูกห้าม

ด้านราคา:

การกำหนดค่าธรรมเนียมแบบ parallel (สมรู้ร่วมคิดกำหนดราคาคล้ายกัน)
การเลือกปฏิบัติด้านราคากับผู้ขายที่เงื่อนไขเทียบเคียงกัน
การเปลี่ยนโครงสร้างค่าธรรมเนียมกะทันหันโดยไม่แจ้งล่วงหน้า

ด้านพฤติกรรมการค้า:

จัดอันดับผู้ขายด้วย algorithm แบบไม่โปร่งใส — ห้ามจำกัดการมองเห็นสินค้าผ่าน algorithm
Self-preferencing — ห้ามให้สิทธิพิเศษกับสินค้าของแพลตฟอร์มเองหรือบริษัทในเครือ
บังคับใช้ logistics ของแพลตฟอร์ม — ห้ามกำหนดให้ต้องใช้ผู้ให้บริการขนส่งที่แพลตฟอร์มเลือก
ใช้ข้อมูลผู้ขายเพื่อประโยชน์ของแพลตฟอร์ม — ห้ามเอาข้อมูลยอดขายและพฤติกรรมของผู้ขายไปใช้แข่งขันกับผู้ขายเอง

โทษ

การกระทำที่พบว่าจำกัดการแข่งขันอย่างมีนัยสำคัญ อาจถูก ลงโทษทางปกครอง หรือถึงขั้น โทษทางอาญา ตามพระราชบัญญัติการแข่งขันทางการค้า พ.ศ. 2560

ETDA — "Co-Creation Regulator" กับหลัก 3 ประการ

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ซึ่งเรียกตัวเองว่า "co-creation regulator" ได้วางโรดแมปกำกับดูแลแพลตฟอร์มดิจิทัลปี 2026 ภายใต้พระราชกฤษฎีกาว่าด้วยธุรกิจบริการแพลตฟอร์มดิจิทัล พ.ศ. 2565 โดยยึดหลัก 3 ประการ:

Practicable (ปฏิบัติได้จริง) — กฎเกณฑ์ต้องทำได้ ไม่ใช่แค่เขียนสวยบนกระดาษ
Verifiable (ตรวจสอบได้) — ต้องพิสูจน์ได้ว่าปฏิบัติตาม ไม่ใช่แค่ประกาศนโยบาย
Shared Responsibility (รับผิดชอบร่วม) — แพลตฟอร์ม ผู้ขาย ผู้ซื้อ ต่างมีหน้าที่ร่วมกัน

สิ่งที่ ETDA กำลังผลักดันในปี 2026

ด้าน	รายละเอียด
มาตรฐานสินค้า/บริการบนแพลตฟอร์ม	ร่วมมือกับ อย. และ สมอ. ตรวจสอบสินค้าบนแพลตฟอร์ม 21 รายที่ได้รับมอบหมาย
ความเป็นธรรมด้านค่าธรรมเนียม	กำกับความโปร่งใสของค่า commission และค่าบริการต่างๆ
ป้องกันการฉ้อโกงออนไลน์	ระบบยืนยันตัวตนผู้ขายและผู้ลงโฆษณาแบบ risk-based
Social Commerce	กำลังร่างกฎเกณฑ์สำหรับ social media ที่ทำการค้า

ทำไม Compliance เป็นเรื่องเร่งด่วน — ตัวเลขที่พูดแทน

ถ้ายังคิดว่า "ค่อยทำทีหลังก็ได้" ลองดูตัวเลขเหล่านี้:

ไทยเผชิญ การโจมตีทางไซเบอร์กว่า 3,200 ครั้งต่อสัปดาห์ — สูงกว่าค่าเฉลี่ยโลก 164%
109,000+ เหตุ ransomware — สูงสุดในเอเชียตะวันออกเฉียงใต้
63% ขององค์กรในไทยเคยถูก data breach
52% ขององค์กรที่ถูก ransomware ยอมจ่ายค่าไถ่
สคส. ดำเนินการกับผู้ละเมิด PDPA แล้ว — ค่าปรับรวม 21.5 ล้านบาท ใน 5 คดี
ค่าเสียหายเฉลี่ยจาก ransomware อยู่ที่ 1.8 – 5 ล้านดอลลาร์สหรัฐต่อเหตุการณ์

กฎหมาย AI ใหม่กำหนดให้ผู้ให้บริการ ต้องรายงานเหตุการณ์ร้ายแรง — ถ้าระบบ AI ถูกโจมตีแล้วไม่แจ้ง จะโดนทั้งกฎหมายไซเบอร์และกฎหมาย AI พร้อมกัน

Sector-Specific Guidelines ที่ออกมาแล้ว

นอกจากกฎหมาย AI หลัก ยังมีแนวปฏิบัติเฉพาะอุตสาหกรรมที่ต้องปฏิบัติตาม:

หน่วยงาน	เรื่อง	ปี
ธนาคารแห่งประเทศไทย (BOT)	AI lifecycle management, risk assessment, data governance	ก.ย. 2025
สำนักงาน ก.ล.ต. (SEC)	Fairness, compliance, accountability, transparency สำหรับ AI ในตลาดทุน	2025
สำนักงาน คปภ. (OIC)	Risk management, security, consumer protection สำหรับ AI ในประกันภัย	2025
สคส. (PDPC)	DPIA, lifecycle security สำหรับ AI ที่ใช้ข้อมูลส่วนบุคคล	ก.พ. 2026
สกมช. (NCSA)	แนวปฏิบัติ AI ตาม ISO/IEC 42001:2023	ก.ย. 2025

ถ้าองค์กรอยู่ในอุตสาหกรรมเหล่านี้ ต้องปฏิบัติตาม ทั้งกฎหมาย AI หลัก + แนวปฏิบัติเฉพาะอุตสาหกรรม

Compliance Checklist — 12 ข้อที่ต้องทำตอนนี้

ด้าน AI

สำรวจระบบ AI ทั้งหมด ที่ใช้ในองค์กร — รวมถึง AI ที่ซื้อมาใช้ ไม่ใช่แค่ที่พัฒนาเอง
จำแนกระดับความเสี่ยง ของ AI แต่ละตัว (unacceptable / high / limited)
จัดทำ Risk Management Framework สำหรับ AI ความเสี่ยงสูง ตาม ISO/IEC 42001:2023
วาง human oversight process — ต้องมีคนตรวจสอบการตัดสินใจของ AI ที่มีผลกระทบต่อบุคคล
เตรียมระบบ explainability — ต้องอธิบายได้ว่า AI ตัดสินใจอย่างไรและเพราะอะไร
ตั้งระบบ incident reporting สำหรับเหตุการณ์ร้ายแรงที่เกิดจาก AI

ด้าน PDPA + AI

ทำ DPIA สำหรับระบบ AI ทุกตัวที่ประมวลผลข้อมูลส่วนบุคคล
ตรวจสอบสัญญา Data Processing — ต้องมีข้อห้ามนำข้อมูลไป train model โดยไม่ได้รับอนุญาต
ประเมิน cross-border data transfer — ถ้าใช้ AI API จากต่างประเทศ ต้องมี SCC หรือมาตรการคุ้มครอง

ด้านแพลตฟอร์มดิจิทัล

ตรวจสอบว่าธุรกิจเข้าข่ายแพลตฟอร์ม multi-sided หรือไม่ ตามนิยามของ TCCT
ทบทวน algorithm ที่ใช้จัดอันดับ — ต้องโปร่งใสและไม่เลือกปฏิบัติ
ตรวจสอบนโยบายค่าธรรมเนียม — ต้องเป็นธรรมและแจ้งล่วงหน้าเมื่อเปลี่ยนแปลง

ผลกระทบต่อ Startup และ Tech Company ไทย

กฎหมายชุดนี้ไม่ได้กระทบแค่บริษัทใหญ่ — startup ที่ใช้ AI เป็นหัวใจของธุรกิจ ก็ต้องปฏิบัติตามเช่นกัน

สิ่งที่ต้องคิดใหม่

Startup ที่พัฒนา AI product: ถ้าผลิตภัณฑ์จัดอยู่ในกลุ่ม high-risk (เช่น AI วิเคราะห์ความเสี่ยงสินเชื่อ, AI คัดกรองผู้สมัครงาน, AI วินิจฉัยทางการแพทย์) ต้องลงทะเบียนกับหน่วยงานกำกับดูแลก่อนนำออกสู่ตลาด — นี่คือต้นทุนและเวลาที่ต้องวางแผนล่วงหน้า

บริษัทที่ใช้ AI จากต่างประเทศ: ผู้ให้บริการ AI จากต่างประเทศที่ให้บริการในไทยต้องแต่งตั้งตัวแทนในประเทศ — ถ้าใช้ AI ที่ provider ยังไม่ปฏิบัติตาม อาจต้องเปลี่ยนผู้ให้บริการ

Platform operator: ต้องทบทวนทั้ง business model และ algorithm ใหม่หมดภายใต้กรอบ TCCT ที่เข้มงวดขึ้น

โอกาสที่มาพร้อมกัน

แต่อีกมุมหนึ่ง กฎหมายนี้ก็สร้าง competitive advantage ให้องค์กรที่เตรียมตัวดี:

ได้ ความน่าเชื่อถือ จากลูกค้าและพันธมิตรทางธุรกิจ
พร้อม ขยายไปตลาดต่างประเทศ ที่มีกฎหมาย AI เข้มงวด (EU, เกาหลีใต้, เวียดนาม)
ลด ความเสี่ยงทางกฎหมาย ที่อาจมีผลต่อการระดมทุนรอบถัดไป

กฎหมาย AI + แพลตฟอร์มดิจิทัล + PDPA = ระบบนิเวศกฎหมายใหม่

สิ่งที่ต้องเข้าใจคือ กฎหมายเหล่านี้ไม่ได้ทำงานแยกส่วนกัน แต่เป็น ระบบนิเวศกฎหมายดิจิทัล ที่เชื่อมโยงกัน:

พ.ร.บ. AI → กำกับการพัฒนาและใช้งาน AI
     ↕
PDPA → คุ้มครองข้อมูลส่วนบุคคลที่ AI ประมวลผล
     ↕
พ.ร.ก. แพลตฟอร์มดิจิทัล → กำกับแพลตฟอร์มที่ใช้ AI ในการให้บริการ
     ↕
พ.ร.บ. แข่งขันทางการค้า (TCCT) → ป้องกันการใช้ AI เพื่อผูกขาดตลาด

องค์กรที่มองแค่กฎหมายใดกฎหมายหนึ่ง อาจพลาดภาพรวม — ต้องวาง governance framework ที่ครอบคลุมทั้งระบบนิเวศ

สิ่งที่ Enersys แนะนำ

จากประสบการณ์ที่เราทำงานร่วมกับองค์กรในการวาง Compliance Framework และพัฒนาระบบ Privacy & Data Governance เราเห็นว่าองค์กรที่ประสบความสำเร็จมีสิ่งที่เหมือนกัน:

เริ่มจาก Gap Assessment — สำรวจก่อนว่าตอนนี้ยืนอยู่จุดไหน ก่อนวางแผนว่าต้องไปจุดไหน
วาง Governance Framework แบบ cross-regulation — ไม่ทำแยกทีละกฎหมาย แต่วาง framework เดียวที่ครอบคลุมทั้ง AI, PDPA และ platform regulation
ใช้เทคโนโลยีช่วยจัดการ — การ track consent, DPIA, data mapping, incident reporting ด้วยมือไม่สเกล ต้องมีระบบช่วย
ฝึกอบรมทีม — กฎหมายใหม่ไม่ใช่แค่เรื่องของ legal team แต่กระทบทุกคนที่ใช้หรือพัฒนา AI

Enersys มีทีมที่พร้อมช่วยวาง AI Governance Framework, PDPA Compliance และ Digital Platform Strategy ตั้งแต่ assessment ไปจนถึงการนำไปใช้จริง

ติดต่อเราวันนี้ เพื่อปรึกษาเรื่อง compliance ก่อนที่ grace period จะหมด

กฎหมาย AI และกฎแพลตฟอร์มดิจิทัลของไทย — บังคับใช้แล้ว มีนาคม 2026 สิ่งที่ธุรกิจต้องทำ "ตอนนี้"