ปัจจุบันประเทศไทยยังไม่มีกฎหมายที่กำกับดูแล AI โดยเฉพาะ อย่างไรก็ตาม การมองว่า “ไม่มีกฎหมาย = ทำอะไรก็ได้” ถือเป็นความเข้าใจที่ผิดพลาดอย่างร้ายแรง กฎระเบียบรายภาคส่วนในด้านการเงิน กระบวนการยุติธรรม และการคุ้มครองผู้บริโภคมีผลบังคับใช้แล้ว พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ใช้บังคับกับการใช้ AI ได้ทันที และในปี 2568 ร่างหลักการของกฎหมาย AI ฉบับรวมได้ถูกจัดทำขึ้น โดยคาดว่าจะมีผลบังคับใช้ภายในไม่กี่ปีข้างหน้า บทความนี้จัดทำขึ้นโดยอิงข้อมูล ณ เดือนมีนาคม 2569 เพื่อช่วยให้ธุรกิจญี่ปุ่นเข้าใจว่าควรเตรียมตัวอย่างไร
ปัจจุบันไทยอยู่ที่จุดไหนในเรื่องกฎระเบียบ AI?
กรอบกฎระเบียบ AI ของไทยเข้าใจได้ดีที่สุดผ่านสามชั้น ดังนี้
ชั้นที่ 1 — ร่างกฎหมาย AI ฉบับครอบคลุม (อยู่ระหว่างการเตรียมการ)
ตั้งแต่ปี 2566 หน่วยงานสองแห่งได้พัฒนาร่างกฎหมาย AI คู่ขนานกัน
- ONDE (สำนักงานคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ): ร่างพระราชกฤษฎีกาเน้นการกำกับดูแล มุ่งเน้นความโปร่งใส ความปลอดภัย และความเป็นธรรมในการใช้ AI เชิงพาณิชย์
- ETDA (สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์): ร่างพระราชบัญญัติเน้นการส่งเสริม มุ่งสนับสนุนนวัตกรรม AI ผ่านระบบ Sandbox และกรอบการแบ่งปันข้อมูล
ในเดือนมิถุนายน 2568 หลังการรับฟังความคิดเห็นสาธารณะ ร่างทั้งสองได้รับการรวมเป็น “Draft Principles of the AI Law (หลักการร่างกฎหมาย AI)” ขณะนี้ ETDA ยังคงปรับปรุงร่างอยู่ โดยมีเป้าหมายให้มีผลบังคับใช้ภายในไม่กี่ปีข้างหน้า แต่กำหนดเวลาที่แน่ชัดยังไม่ได้รับการยืนยัน
ชั้นที่ 2 — กฎระเบียบรายภาคส่วน (บางส่วนมีผลบังคับใช้แล้ว)
สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ประกาศกรอบกฎระเบียบสำหรับการใช้ AI และ Machine Learning ในตลาดทุนเมื่อปี 2566 ธนาคารแห่งประเทศไทย (ธปท.) ออกแนวทาง AI สำหรับสถาบันการเงิน และกฎระเบียบด้าน AI ในกระบวนการยุติธรรมและการคุ้มครองผู้บริโภคก็มีผลบังคับใช้แล้ว
ชั้นที่ 3 — กฎหมายที่มีอยู่เดิม (PDPA และอื่น ๆ)
แม้ไม่มีกฎหมาย AI ฉบับครอบคลุม แต่ PDPA กฎหมายคุ้มครองผู้บริโภค และกฎหมายละเมิดก็ใช้บังคับกับการใช้ AI ได้ในทันที นี่คือความเสี่ยงทางกฎหมายที่ส่งผลกระทบต่อบริษัทญี่ปุ่นมากที่สุดในขณะนี้
สถานการณ์ปัจจุบันของไทยอาจอธิบายได้ว่าเป็น “สภาพแวดล้อมการกำกับดูแลแบบไฮบริด” บริษัทต่าง ๆ ต้องจัดการกับพันธกรณีทางกฎหมายที่มีอยู่เดิม ควบคู่ไปกับการเตรียมพร้อมสำหรับกรอบกฎระเบียบใหม่ไปพร้อมกัน
แนวทางตามระดับความเสี่ยงคืออะไร? — เปรียบเทียบกับ EU AI Act
ร่างกฎหมาย AI ของไทยอ้างอิง EU AI Act (มีผลบังคับใช้เดือนสิงหาคม 2567) เป็นหลัก แนวคิดสำคัญคือ “แนวทางตามระดับความเสี่ยง (Risk-Based Approach)” — แทนที่จะกำกับดูแล AI อย่างเหมือนกันทุกประเภท ระดับการกำกับดูแลจะปรับตามความเสี่ยงที่ AI ก่อให้เกิดต่อสังคม
การจำแนก AI เป็น 4 ระดับความเสี่ยง
| ระดับความเสี่ยง | ตัวอย่าง | การกำกับดูแล |
|---|---|---|
| AI ต้องห้าม | การจัดการจิตใต้สำนึก การให้คะแนนทางสังคม การระบุตัวตนทางชีวภาพแบบเรียลไทม์ในพื้นที่สาธารณะ | ห้ามนำออกสู่ตลาดและใช้งานโดยเด็ดขาด |
| AI ความเสี่ยงสูง | การคัดกรองผู้สมัครงาน การประเมินสินเชื่อ การสนับสนุนการวินิจฉัยทางการแพทย์ | ข้อกำหนดการจดทะเบียน การจัดการความเสี่ยง ความโปร่งใส และความแม่นยำ |
| AI ความเสี่ยงจำกัด | แชทบอต การจดจำอารมณ์ Deepfake | ข้อกำหนดความโปร่งใส (การแจ้งให้ผู้ใช้ทราบ) |
| AI ความเสี่ยงน้อยที่สุด | ตัวกรองสแปม เกม AI | โดยหลักไม่มีการกำกับดูแล |
ความแตกต่างสำคัญระหว่างไทยและ EU
ร่างกฎหมายของไทยใช้กรอบเดียวกัน แต่มีความแตกต่างหลายประการ
รายชื่อ AI ความเสี่ยงสูง: EU กำหนดรายชื่อเฉพาะไว้ในตัวกฎหมาย ขณะที่ไทยมอบหมายให้หน่วยงานกำกับดูแลรายภาคส่วนกำหนด ซึ่งให้ความยืดหยุ่นแต่ทำให้บริษัทต่าง ๆ ประเมินได้ยากขึ้นว่า AI ของตนจัดอยู่ในประเภทความเสี่ยงสูงหรือไม่
AI อเนกประสงค์ (GPAI): EU กำหนดข้อกำหนดความโปร่งใสสำหรับโมเดล GPAI เช่น ChatGPT ร่างกฎหมายไทยปัจจุบันยังไม่มีบทบัญญัติเกี่ยวกับ GPAI อย่างชัดเจน
AI Sandbox: บังคับสำหรับประเทศสมาชิก EU แต่เป็นทางเลือกในไทย
บทลงโทษ: ร่างกฎหมายไทยกำหนดทั้งโทษทางปกครองและโทษทางอาญา ซึ่งมีความชัดเจนกว่าในบางแง่มุม
เปรียบเทียบกับญี่ปุ่น
แนวทางการกำกับดูแล AI ของญี่ปุ่น (AI Governance Guidelines และ Hiroshima AI Process) ให้ความสำคัญกับการปฏิบัติตามโดยสมัครใจมากกว่ากฎระเบียบบังคับ ไทยและ EU มีแนวทางที่เน้นการกำกับดูแลมากกว่า บริษัทญี่ปุ่นในไทยไม่ควรสันนิษฐานว่าการกำกับดูแลตนเองในแบบที่ทำในญี่ปุ่นจะเพียงพอสำหรับข้อกำหนดของไทย
PDPA × AI — ความเสี่ยงที่ใกล้ชิดที่สุดสำหรับบริษัทญี่ปุ่น
เมื่อวันที่ 17 กุมภาพันธ์ 2569 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) เผยแพร่ ร่างแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลในการพัฒนาและใช้งาน AI และเปิดรับฟังความคิดเห็นสาธารณะ นับเป็นการอธิบายอย่างเป็นระบบครั้งแรกว่า PDPA บังคับใช้กับ AI อย่างไร โปรดทราบว่าเป็นเพียงร่าง เนื้อหาอาจเปลี่ยนแปลงได้ในฉบับสุดท้าย
”การใช้ AI ไม่ได้ลดความรับผิดชอบของคุณ”
ร่างแนวปฏิบัติเน้นย้ำอย่างชัดเจนว่า องค์กรต่าง ๆ ไม่สามารถโอนความรับผิดชอบด้านการคุ้มครองข้อมูลไปยัง AI ได้
บริษัทของคุณ (ผู้ใช้ AI): เนื่องจากคุณเป็นผู้กำหนดวัตถุประสงค์และข้อมูลนำเข้าของ AI คุณจึงถือเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” ภายใต้ PDPA การใช้ AI วิเคราะห์ข้อมูลลูกค้าไม่ได้เปลี่ยนพันธกรณีของคุณเกี่ยวกับการขอความยินยอม การระบุวัตถุประสงค์ และการลดข้อมูลให้น้อยที่สุด
ผู้ให้บริการ AI (Vendor): โดยทั่วไปจัดเป็น “ผู้ประมวลผลข้อมูล (Data Processor)” แต่หาก Vendor นำข้อมูลลูกค้าของคุณไปใช้อิสระ เช่น นำไปฝึกโมเดลของตัวเอง อาจถือเป็นผู้ควบคุมข้อมูลส่วนบุคคลได้ สัญญากับ Vendor ต้องระบุการใช้ข้อมูลอย่างชัดเจน
PDPC ยังได้นำเครื่องมือบังคับใช้อัตโนมัติ “Eagle Eye Crawler” มาใช้ตรวจสอบการละเมิด PDPA บนอินเทอร์เน็ตอย่างต่อเนื่อง ยิ่งใช้ AI มากขึ้น ความเสี่ยงด้านการคุ้มครองข้อมูลก็ยิ่งเพิ่มขึ้น
ผลกระทบในทางปฏิบัติ
- ตรวจสอบว่าพนักงานนำข้อมูลส่วนบุคคลของลูกค้าหรือพนักงานไปป้อนใน ChatGPT หรือ AI อื่น ๆ หรือไม่
- ทบทวนและปรับปรุง สัญญาประมวลผลข้อมูล (DPA) กับ Vendor AI
- อัปเดต ประกาศความเป็นส่วนตัวและข้อกำหนดการใช้งาน ให้เปิดเผยการประมวลผลด้วย AI
- สำหรับ AI ที่ใช้ในการคัดเลือกบุคลากร การประเมินสินเชื่อ หรือการตัดสินใจสำคัญ ต้องมีกระบวนการ อธิบายเหตุผลของการตัดสินใจ AI ได้
บทลงโทษ PDPA สูงสุดถึง 5 ล้านบาท ในโทษทางปกครอง และอาจมีโทษทางอาญาในบางกรณี
5 สิ่งที่บริษัทญี่ปุ่นควรทำตอนนี้
กฎหมาย AI ฉบับครอบคลุมของไทยยังไม่มีผลบังคับใช้ แต่ “การรอกฎหมายก่อน” ก็เป็นตัวเลือกที่มีความเสี่ยงในตัวเอง บริษัทที่สร้างกรอบการกำกับดูแลตั้งแต่วันนี้จะมีต้นทุนการปฏิบัติตามกฎระเบียบต่ำกว่ามากเมื่อกฎหมายมีผลบังคับใช้
ขั้นที่ 1 — จัดทำรายการการใช้งาน AI ของบริษัท
ระบุว่าฝ่ายธุรกิจใดใช้เครื่องมือ AI อะไร เพื่อวัตถุประสงค์ใด ครอบคลุมถึงแชทบอต SaaS ระบบ CRM อัตโนมัติ เครื่องมือสรรหาบุคลากร แดชบอร์ดวิเคราะห์ข้อมูล และ AI ที่ฝังอยู่ในซอฟต์แวร์ที่บริษัทใช้ รวมถึง “AI ที่ฝ่าย IT ติดตั้งโดยไม่ได้แจ้ง” และ “ChatGPT ที่พนักงานใช้งานเอง”
ขั้นที่ 2 — จำแนก AI ตามระดับความเสี่ยง
นำกรอบ 4 ระดับไปใช้กับรายการของคุณ ให้ความสำคัญกับ AI ที่ใช้ในการ สรรหาบุคลากร สินเชื่อ การดูแลสุขภาพ และกระบวนการที่มีความสำคัญด้านความปลอดภัย เป็นอันดับแรก แม้แต่ระบบ IoT ในโรงงานก็อาจต้องตรวจสอบหากข้อมูลเซ็นเซอร์มีข้อมูลส่วนบุคคลรวมอยู่ด้วย
ขั้นที่ 3 — ทบทวนและปรับปรุง DPA กับ Vendor
สัญญาต้องระบุอย่างชัดเจนว่า Vendor อาจนำข้อมูลของคุณไปใช้เพื่อการฝึกโมเดลหรือวัตถุประสงค์อื่นได้หรือไม่ เครื่องมือ AI ราคาถูกหรือฟรีมักมีสิทธิ์ใช้ข้อมูลกว้างขวางในข้อกำหนดการใช้งาน ควรอ่านอย่างละเอียด
ขั้นที่ 4 — อัปเดตประกาศความเป็นส่วนตัวและข้อกำหนดการใช้งาน
เปิดเผยการประมวลผลด้วย AI ให้ลูกค้าและพนักงานทราบในภาษาที่เข้าใจง่าย สำหรับแชทบอต กรอบร่างระบุว่าการเปิดเผย (“บริการนี้ดูแลโดย AI”) จะเป็นข้อกำหนดความโปร่งใสภายใต้ประเภทความเสี่ยงจำกัด
ขั้นที่ 5 — พัฒนานโยบายการกำกับดูแล AI ภายในองค์กร
จัดทำเอกสารระบุผู้รับผิดชอบการกำกับดูแล AI วิธีการประเมินความเสี่ยง กระบวนการตอบสนองต่อเหตุการณ์ และบันทึกที่ต้องเก็บรักษา เอกสารนี้จะเป็นหลักฐานการปฏิบัติตามกฎระเบียบเมื่อข้อกำหนดเป็นทางการมีผลบังคับใช้
AI Sandbox — โอกาสสำหรับบริษัทญี่ปุ่น
AI Innovation Testing Center ภายใต้ ETDA ดำเนินโครงการ Sandbox — สภาพแวดล้อมควบคุมที่บริษัทต่าง ๆ สามารถทดสอบบริการ AI ก่อนที่กรอบกฎระเบียบครบถ้วนจะมีผลบังคับใช้
ผู้เข้าร่วม Sandbox จะได้รับ Safe Harbor จากโทษทางปกครอง (แต่ไม่รวมความรับผิดทางแพ่ง) โปรแกรมนี้ได้รับการนำร่องในภาค Fintech และ Healthtech และมีโอกาสสำหรับบริษัทญี่ปุ่นในด้าน IoT ในการผลิต การเพิ่มประสิทธิภาพโลจิสติกส์ และ AI สำหรับการบริการลูกค้า
เมื่อรวมกับสิทธิประโยชน์ส่งเสริมการลงทุน BOI — ดูบทความ อัปเดต BOI ไทย 2568 — Sandbox มอบเส้นทางที่มีโครงสร้างในการทดสอบนวัตกรรมที่ขับเคลื่อนด้วย AI โดยมีความเสี่ยงด้านกฎระเบียบต่ำลง
ประเด็นที่ต้องติดตามต่อไป
ความคืบหน้าของร่างกฎหมาย AI ฉบับครอบคลุม: ETDA กำลังปรับปรุงร่างอย่างต่อเนื่อง ติดตามการประกาศรับฟังความคิดเห็นสาธารณะและพัฒนาการในรัฐสภา
การสรุปแนวปฏิบัติ PDPC ด้าน AI-ความเป็นส่วนตัว: ยังไม่มีการประกาศกำหนดเวลาสำหรับฉบับสุดท้าย แทนที่จะรอ ควรปรับตามทิศทางของร่างตั้งแต่วันนี้
การขยายกฎระเบียบรายภาคส่วน: คาดว่าแนวทาง AI จะขยายไปสู่ภาคสุขภาพ ยานยนต์ การก่อสร้าง และการศึกษา
การประสานกฎระเบียบ AI ในอาเซียน: ไทยออกแบบกรอบกฎระเบียบโดยอ้างอิง “ASEAN Guide on AI Governance and Ethics” การเปรียบเทียบกับ Model AI Governance Framework ของสิงคโปร์และแนวทางของอินโดนีเซียจะนำเสนอในบทความต่อไป
ช่วงเวลาที่มีพันธกรณีด้านกฎระเบียบน้อยจะไม่คงอยู่ตลอดไป บริษัทที่สร้างโครงสร้างพื้นฐานด้านการกำกับดูแลตั้งแต่วันนี้จะเป็นผู้ที่พร้อมที่สุดเมื่อกฎหมายมีผลบังคับใช้
กิจกรรมของสำนักงานในด้านนี้
สำนักงานของเราให้คำปรึกษาเกี่ยวกับเรื่องที่เกี่ยวข้องกับกฎหมายไทยร่วมกับทนายความชาวไทยของ JTJB International Lawyers และเรายังทำการวิจัยเกี่ยวกับ การระงับข้อพิพาทออนไลน์ด้วย AI (AI-ODR: AI-assisted Online Dispute Resolution) — การใช้ปัญญาประดิษฐ์เพื่ออำนวยความสะดวกในการระงับข้อพิพาทนอกการดำเนินคดีแบบดั้งเดิม ซึ่งทำให้เรามีมุมมองเกี่ยวกับ AI ที่ครอบคลุมทั้งความเสี่ยงทางกฎหมายและโอกาสทางกฎหมาย
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ AI และ ODR กำลังเปลี่ยนแปลงการระงับข้อพิพาทในภูมิภาคอาเซียน โปรดดู ซีรีส์การระงับข้อพิพาท ตอนที่ 3: ODR และ AI ที่แนวหน้า
เราให้คำปรึกษาด้านการปฏิบัติตาม PDPA สำหรับการใช้ AI ในไทย การออกแบบกรอบการกำกับดูแล AI และการร่างข้อกำหนดสัญญาที่เกี่ยวกับ AI — จากทั้งมุมมองกฎหมายญี่ปุ่นและกฎหมายไทย การวิจัย AI-ODR ของสำนักงานยังช่วยให้เราเข้าใจอย่างลึกซึ้งว่า AI กำลังเปลี่ยนแปลงกระบวนการทางกฎหมายอย่างไร กรุณาติดต่อเราได้อย่างอิสระ
บทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลทั่วไปเกี่ยวกับระบบกฎหมายของประเทศไทย และไม่ถือเป็นคำแนะนำทางกฎหมายภายใต้กฎหมายไทย สำหรับกรณีเฉพาะ กรุณาปรึกษาผู้เชี่ยวชาญที่มีใบอนุญาตทนายความไทย สำนักงานของเราทำงานร่วมกับทนายความไทยของ JTJB International Lawyers