กฎหมาย AI ของไทย — มันมาจริงแล้ว
เรื่อง AI regulation ในไทยพูดกันมาตั้งแต่ปี 2022-2023 แต่ช่วงนี้ดูเหมือนจะเริ่มเป็นรูปเป็นร่างมากขึ้นอย่างชัดเจน ร่าง พ.ร.บ. ปัญญาประดิษฐ์ ของไทยกำลังอยู่ระหว่างการพิจารณา และจากท่าทีของหน่วยงานที่เกี่ยวข้อง มันไม่ใช่เรื่องที่จะถูกเก็บเข้าลิ้นชักอีกต่อไป
ทำไมถึงต้องมีกฎหมาย AI แยกจาก PDPA?
หลายคนอาจสงสัยว่า ก็มี PDPA อยู่แล้ว ทำไมต้องมีกฎหมาย AI อีก? คำตอบง่ายๆ คือ PDPA คุ้มครองข้อมูลส่วนบุคคล แต่ AI มันเกี่ยวข้องกับอะไรที่กว้างกว่านั้นมาก
ลองคิดดูว่า AI สามารถ:
- ตัดสินใจเรื่องสินเชื่อหรือประกันภัยให้คนได้
- คัดกรองใบสมัครงานอัตโนมัติ
- วิเคราะห์พฤติกรรมลูกค้าเพื่อทำราคา dynamic
- สร้างเนื้อหาที่ดูเหมือนคนเขียน (เช่นบทความนี้... ล้อเล่นครับ)
เรื่องพวกนี้มันมากกว่าเรื่องข้อมูลส่วนบุคคล มันเกี่ยวกับ ความยุติธรรม ความโปร่งใส และความรับผิดชอบ ในการใช้ AI
EU AI Act — ตัวอย่างที่ไทยมองไปด้วย
ร่างกฎหมาย AI ของไทยมีหลายส่วนที่ได้แรงบันดาลใจจาก EU AI Act ซึ่งจะเริ่มบังคับใช้เต็มรูปแบบสำหรับระบบ AI ความเสี่ยงสูงในวันที่ 2 สิงหาคม 2026 โดยมีบทลงโทษสูงสุด 35 ล้านยูโร หรือ 7% ของรายได้ทั่วโลก
ที่น่าสนใจคือ EU AI Act ใช้แนวคิด risk-based approach คือจำแนก AI ตามระดับความเสี่ยง:
- ความเสี่ยงยอมรับไม่ได้ — เช่น social scoring, การจัดการอารมณ์ในที่ทำงาน → ห้ามใช้เลย
- ความเสี่ยงสูง — เช่น AI ที่ใช้ในการจ้างงาน สินเชื่อ ประกันภัย → ต้องมี compliance เข้มงวด
- ความเสี่ยงจำกัด — เช่น chatbot → ต้องบอกผู้ใช้ว่ากำลังคุยกับ AI
- ความเสี่ยงต่ำ — เช่น spam filter → ไม่ต้องทำอะไรเป็นพิเศษ
ไทยน่าจะใช้แนวทางคล้ายๆ กัน แต่ปรับให้เหมาะกับบริบทท้องถิ่น
3 เรื่องที่องค์กรไทยควรเตรียมตั้งแต่ตอนนี้
1. ทำ AI Inventory
รู้หรือเปล่าว่าตอนนี้องค์กรของคุณใช้ AI อะไรบ้าง? หลายองค์กรใช้ AI โดยไม่รู้ตัว ผ่าน SaaS ที่ subscribe อยู่ หรือผ่านเครื่องมือที่พนักงานใช้เอง (Shadow AI) การทำ inventory เป็นก้าวแรกที่สำคัญที่สุด
2. ประเมินความเสี่ยง
เมื่อรู้แล้วว่าใช้ AI อะไรบ้าง ก็ต้องประเมินว่า AI แต่ละตัวมีผลกระทบต่อคนอย่างไร ตัดสินใจอะไรให้คนไหม ใช้ข้อมูลอ่อนไหวหรือเปล่า มี bias risk ไหม
3. สร้าง AI Governance Framework
ไม่ต้องรอให้กฎหมายออก — การมี framework ภายในที่กำหนดว่าจะใช้ AI อย่างไร ใครเป็นผู้รับผิดชอบ มี review process อย่างไร เป็นสิ่งที่ทำได้เลยและจะช่วยให้พร้อมรับกฎหมายเมื่อมันมาถึง
PDPA กับ AI — ยังเชื่อมกันอยู่
แม้จะมีกฎหมาย AI แยกออกมา แต่ ข้อมูลส่วนบุคคลที่ใช้ใน AI ยังต้องอยู่ภายใต้ PDPA เสมอ สคส. ก็กำลังออกแนวปฏิบัติเรื่อง AI Governance เพิ่มเติมอยู่
นี่เป็นเหตุผลที่การจัดการ PDPA Compliance ให้เรียบร้อยตั้งแต่ตอนนี้มันสำคัญมาก เพราะเมื่อกฎหมาย AI มาถึง องค์กรที่มี PDPA foundation แข็งแรงจะปรับตัวได้เร็วกว่าอย่างเห็นได้ชัด
PrivacyHub ของ Enersys ช่วยจัดการ PDPA Compliance ครบวงจร ด้วย Zero-PII Architecture ที่ไม่เก็บข้อมูลส่วนบุคคลเลย และเมื่อผสมกับ Genesis AI จะช่วยวิเคราะห์ช่องโหว่ด้าน compliance และให้คำแนะนำอัตโนมัติ — เตรียมพร้อมสำหรับทั้ง PDPA และกฎหมาย AI ที่กำลังจะมา
กฎหมาย AI กำลังมา — องค์กรคุณพร้อมรับมือทั้งด้าน Privacy และ AI หรือยัง? เริ่มจากการจัดการ PDPA ให้เรียบร้อยด้วย PrivacyHub และลองใช้ Genesis AI Platform ที่ ai.enersys.app เพื่อเตรียมพร้อมสำหรับทั้งสองด้านพร้อมกัน
หากต้องการคำปรึกษาเฉพาะทางเรื่อง AI Governance และ PDPA Compliance สำหรับองค์กรของคุณ ติดต่อทีม Enersys ได้ที่ enersys.co.th/th/contact-us
