เมื่อวันที่ 21 เมษายน 2569 ในงาน Money 20/20 Asia 2026 ที่กรุงเทพฯ ผู้ช่วยผู้ว่าการธนาคารแห่งประเทศไทย (ธปท.) คุณดารณี แซ่จู ได้ยืนยันต่อสาธารณะถึงการเริ่มใช้งานกรอบการแบ่งปันข้อมูลอย่างเต็มรูปแบบ ภายใต้หลักเกณฑ์ที่ ธปท. ประกาศเมื่อวันที่ 30 ตุลาคม 2568 ได้กำหนดแผนงานเชิงปฏิบัติอย่างชัดเจนว่า ข้อมูลบัญชีเงินฝากของบุคคลธรรมดาจะสามารถแบ่งปันได้ตั้งแต่ปลายปี 2569 ตามด้วยข้อมูลสินเชื่อ การชำระเงิน ประกัน ภาษี และสาธารณูปโภค ที่จะทยอยเปิดในปี 2570–2571 Open Banking ในแบบของไทยจึงได้ก้าวจากระยะออกแบบนโยบายไปสู่การใช้งานจริงแล้ว และธนาคาร FinTech ตลอดจนบริษัทที่ไม่ใช่สถาบันการเงินของญี่ปุ่นที่มีการดำเนินธุรกิจในไทย จำเป็นต้องทบทวนใหม่ว่าตนอยู่ในขอบเขตของกฎหมายฉบับนี้หรือไม่
บทความนี้ซึ่งเขียนจากมุมมองของทนายความญี่ปุ่น จะครอบคลุม (i) โครงสร้างของกฎหมาย (ii) แผนงานปี 2569–2571 (iii) การเปรียบเทียบกับกฎหมายการธนาคารฉบับแก้ไขของญี่ปุ่นปี 2560 (Electronic Payment Intermediary Services) และ Financial Services Intermediary Business ที่เริ่มใช้ปี 2564 (iv) จุดตัดกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) และ (v) การเตรียมพร้อมตามประเภทของบริษัท อ่านประกอบกับการเคลื่อนไหวล่าสุดของ ธปท. (เช่น การกำหนดให้การถอนเงินสดเกิน 5 ล้านบาทเป็นธุรกรรมเสี่ยงสูง) จะเห็นภาพรวมของทิศทางการกำกับดูแลทางการเงินของไทยชัดเจนยิ่งขึ้น
โครงสร้างของหลักเกณฑ์ — อะไร เมื่อไร ขอบเขตแค่ไหน
ฐานทางกฎหมายและขอบเขต
ฐานทางกฎหมายคือ Regulation on the Supervision of Mechanisms Enabling Consumers and Businesses to Exercise Their Right to Share Data ซึ่ง ธปท. ประกาศเมื่อวันที่ 30 ตุลาคม 2568 และประกาศต่อสาธารณะผ่านข่าวประชาสัมพันธ์ของ ธปท. เมื่อวันที่ 10 พฤศจิกายน 2568
อำนาจการกำกับดูแลของ ธปท. มีที่มาจากพระราชบัญญัติธนาคารแห่งประเทศไทย พ.ศ. 2485 พระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 และพระราชบัญญัติระบบการชำระเงิน พ.ศ. 2560 ผู้อยู่ภายใต้บังคับของหลักเกณฑ์คือผู้ให้บริการทางการเงินที่อยู่ภายใต้การกำกับดูแลของ ธปท. ได้แก่ สถาบันรับฝากเงิน ผู้ให้สินเชื่อ ผู้ออก e-Money ผู้ประกอบธุรกิจบัตรเครดิต และผู้ให้บริการการชำระเงิน
ข้อมูล 4 ประเภท
จากหลักเกณฑ์และพอร์ทัล Open Data ของ ธปท. ข้อมูลที่อยู่ในขอบเขตประกอบด้วย 4 ประเภทใหญ่
- ข้อมูลบัญชี (บัญชีเงินฝาก)
- ข้อมูลสินเชื่อ
- ข้อมูลการชำระเงิน (บัญชี e-Money บัตรเครดิต)
- ดัชนีสถานะทางการเงินและพฤติกรรมการใช้จ่าย
ที่สำคัญคือ หลักเกณฑ์นี้ไม่ใช่เพียงแค่ “การต่อระบบระหว่างธนาคาร” แต่เป็นกลไก บนฐานของสิทธิ: ผู้บริโภคหรือผู้ประกอบการมีสิทธิสั่งให้แบ่งปันข้อมูลของตนได้ และผู้อยู่ภายใต้บังคับต้องจัดสร้างกลไกให้สิทธินั้นใช้งานได้จริง ซึ่งเป็นแนวทางเดียวกับ PSD2 ของสหภาพยุโรปและ Open Banking ของสหราชอาณาจักร และแตกต่างโดยโครงสร้างจากรูปแบบ “ขึ้นทะเบียนตัวกลาง” ของญี่ปุ่น
หน้าที่ 4 ประการของผู้อยู่ภายใต้บังคับ
- การบริหารความเสี่ยงและความปลอดภัยของข้อมูล — การยืนยันตัวตน การเข้ารหัส และการควบคุมการเข้าถึงช่องทางการแบ่งปันข้อมูล
- การคุ้มครองผู้บริโภค — ความโปร่งใสของกระบวนการขอความยินยอม การถอนความยินยอม และการเยียวยาเมื่อเกิดการใช้ข้อมูลในทางมิชอบ
- ช่องทางแบ่งปันข้อมูลดิจิทัลมาตรฐาน — ที่เชื่อมต่อได้ระหว่างผู้ให้บริการในตลาด
- เงื่อนไขและค่าธรรมเนียมที่สมเหตุสมผล — ไม่ทำให้การใช้สิทธิถูกขัดขวางในทางปฏิบัติ
แผนงานทางการ
| วันที่ | หมุดหมาย |
|---|---|
| 30 ตุลาคม 2568 | ประกาศหลักเกณฑ์ |
| 10 พฤศจิกายน 2568 | ข่าวประชาสัมพันธ์ของ ธปท. |
| ปลายปี 2569 | ระยะที่ 1: ข้อมูลบัญชีเงินฝากของบุคคลธรรมดาเริ่มแบ่งปันได้ |
| 2570–2571 | ขยายเป็นระยะไปยังข้อมูลสินเชื่อ การชำระเงิน ประกัน ภาษี และสาธารณูปโภค |
สารสำคัญของ 21 เมษายน 2569 — ปัญหา “Data Island”
ตามNation Thailand ฉบับวันที่ 21 เมษายน 2569 ผู้ช่วยผู้ว่าการวางกรอบประเด็นไว้ดังนี้
”Data Island”
ประเทศไทยมีอัตราการใช้บริการชำระเงินดิจิทัลสูงที่สุดแห่งหนึ่งในเอเชีย แต่ ข้อมูลกลับถูกขังไว้ภายในแต่ละสถาบันและแต่ละบริการ ผลที่ตามมาคือ แม้บุคคลและ SME ที่มีกิจกรรมดิจิทัลคึกคัก ก็ยังอาจ “ล่องหนทางการเงิน (financially invisible)” เมื่อต้องการสินเชื่อจากผู้ให้บริการรายอื่น ประวัติธุรกรรมถูกเก็บไว้ในไซโล ผู้บริโภคเองก็ไม่สามารถย้ายออกได้
สองช่องว่าง
- ช่องว่างด้านการเข้าถึง (inclusion gap) — ประวัติเครดิตไม่สามารถนำติดตัวไปได้ ทำให้บุคคลและ SME ที่มีประวัติการซื้อขายจริงกลับไม่ได้รับสินเชื่อ
- ช่องว่างด้านความปลอดภัย (safety gap) — ข้อมูลแยกเป็นส่วน ๆ ทำให้ตรวจจับและยับยั้งการฉ้อโกงที่ขับเคลื่อนด้วย AI ได้ยากขึ้น
หลักการและแผนขับเคลื่อน
สารหลักวางอยู่บนหลักที่ว่า ข้อมูลเป็นของประชาชน: บุคคลและผู้ประกอบการควรเข้าถึง ควบคุม และแบ่งปันข้อมูลของตนได้ แผนริเริ่มที่เป็นรูปธรรมประกอบด้วย โครงการ Your Data ซึ่งกำลังสร้างมาตรฐานแห่งชาติบนฐานความยินยอม และ Digital Loan Document ที่ใช้บันทึกธุรกรรมที่ได้รับการตรวจสอบแล้วแทนเอกสารกระดาษ
จุดตัดกับ PDPA — การแปลงสิทธิการโอนย้ายข้อมูลลงสู่ภาคการเงิน
มาตรา 31 ของ PDPA
หลักเกณฑ์ของ ธปท. สามารถอ่านได้ดีที่สุดในฐานะ การนำสิทธิการโอนย้ายข้อมูลตามมาตรา 31 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้กับภาคการเงินโดยเฉพาะ PDPA ให้สิทธิในเชิงขวาง (แนวตั้ง) หลักเกณฑ์ของ ธปท. วางท่อเฉพาะของภาคการเงิน
ความยินยอมต้องชัดแจ้ง เฉพาะเจาะจง ได้รับข้อมูลครบถ้วน และกระทำโดยอิสระ
ตามมาตรา 19 ของ PDPA ความยินยอมที่ถูกต้องต้อง ชัดแจ้ง เฉพาะเจาะจง ได้รับข้อมูลครบถ้วน และกระทำโดยอิสระ ขณะที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นโดยทั่วไปต้องการ “ความยินยอมของเจ้าของข้อมูล” แต่ยอมรับความยินยอมโดยปริยายและการ opt-out ในหลายสถานการณ์ในทางปฏิบัติ ผลลัพธ์คือ หน้าจอการขอความยินยอมในไทยต้องออกแบบให้เข้มงวดกว่าของญี่ปุ่น การคัดลอกแบบฟอร์มความยินยอมของบริษัทแม่ในญี่ปุ่นมาใช้โดยตรงเป็นหนึ่งในวิธีที่ง่ายที่สุดที่จะสร้างช่องโหว่ด้าน compliance
ข้อมูลอ่อนไหวและการโอนข้ามพรมแดน
สัญญาณเกี่ยวกับสถานะทางการเงินและความสามารถในการชำระหนี้บางประเภทอาจเข้าข่ายข้อมูลส่วนบุคคลอ่อนไหวตามมาตรา 26 ของ PDPA ซึ่งเพิ่มมาตรฐานการขอความยินยอม สำหรับกรณีที่แบ่งปันข้อมูลกับบริษัทแม่ในญี่ปุ่นหรือบริษัทในเครือนอกประเทศไทย มาตรา 28–29 เกี่ยวกับการโอนข้ามพรมแดนเพิ่มอีกชั้นของข้อกำหนด (Adequacy, SCC, BCR ฯลฯ) กฎเกณฑ์ย่อยเฉพาะภาคการเงินของ PDPC ยังคงทยอยออก ต้องติดตามอย่างต่อเนื่อง
เปรียบเทียบกับกฎหมายญี่ปุ่น
ศูนย์กลางของการกำกับดูแลแตกต่างกัน
ในญี่ปุ่น การแก้ไขพระราชบัญญัติธนาคารในปี 2560 ได้ริเริ่มระบบ Electronic Payment Intermediary Services (denshi-daikō-gyō) และในปี 2563 (มีผลปี 2564) ได้เพิ่มใบอนุญาตตัวกลางแบบแนวนอนชื่อ Financial Services Intermediary Business ที่ครอบคลุมธนาคาร หลักทรัพย์ และประกันภัย สำนักงานคณะกรรมการกำกับดูแลทางการเงิน (FSA) สร้างระบบโดยยึด การขึ้นทะเบียนตัวกลาง เป็นหลัก ซึ่งเป็นรูปแบบการกำกับดูแล ฝั่งผู้ให้บริการ
ในทางตรงกันข้าม หลักเกณฑ์ของ ธปท. เริ่มจากสิทธิการโอนย้ายข้อมูลตาม PDPA และใช้ภาระหน้าที่ในการกำกับดูแลต่อสถาบันการเงินเพื่อทำให้สิทธินั้นใช้งานได้จริง หัวข้อเดียวกัน แต่สมอที่ต่างกัน: ญี่ปุ่นกำกับ ว่าใครเข้าร่วมได้ ส่วนไทยกำกับ ว่าใครเคลื่อนย้ายข้อมูลได้
PIPA เทียบกับ PDPA
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นไม่ได้บัญญัติสิทธิการโอนย้ายข้อมูลโดยตรง ที่ใกล้เคียงที่สุดคือสิทธิขอเปิดเผยและสิทธิขอยุติการใช้ ประเทศไทยบัญญัติสิทธินี้ไว้ชัดเจนในมาตรา 31 ของ PDPA และในจุดนี้ ก้าวไปไกลกว่าในแนวทาง “มุมเจ้าของข้อมูล” เมื่อเทียบกับญี่ปุ่น
ข้อควรพิจารณาในทางปฏิบัติสำหรับบริษัทญี่ปุ่น
ความรู้ด้าน compliance ที่บริษัทญี่ปุ่นสร้างไว้สำหรับ denshi-daikō-gyō — แนวทางการเชื่อม API การจัดการความยินยอม การควบคุมการฉ้อโกง — สามารถใช้เป็นฐานได้ในตลาดไทย แต่ ไม่เพียงพอ ในตัวเอง สามจุดที่แม่แบบจากญี่ปุ่นมักจะขาดในไทยคือ หน้าจอความยินยอมที่เข้มงวดกว่า ช่องทางรับคำขอโอนย้ายข้อมูลโดยเฉพาะ และธรรมาภิบาลการโอนข้ามพรมแดนที่แข็งแกร่งกว่า การ “ยกฉากทั้งหมดมาวาง” จากสถาปัตยกรรมความเป็นส่วนตัวของญี่ปุ่นมักจะเหลือช่องโหว่ด้าน PDPA
เมทริกซ์ผลกระทบต่อบริษัทญี่ปุ่น
① ธนาคาร บริษัทหลักทรัพย์ และบริษัทประกันญี่ปุ่น (นิติบุคคลในไทย)
อยู่ในขอบเขตโดยตรงในฐานะผู้อยู่ภายใต้การกำกับดูแลของ ธปท. รายการงานที่สมจริงสำหรับปลายปี 2569 ครอบคลุมการอัปเกรดระบบ core banking การสร้าง API gateway แพลตฟอร์มการจัดการความยินยอม และการทำให้ข้อมูลเป็นมาตรฐาน ต้องดำเนินการสอดคล้องกับ PDPA (หนังสือแจ้งความเป็นส่วนตัว, หน้าจอความยินยอม, DPIA) คู่ขนานกัน หากบริษัทในไทยจะแบ่งปันข้อมูลกลับไปยังบริษัทแม่ในญี่ปุ่นเพื่อสร้างแบบจำลองเครดิตหรือทำการตลาด ควรทบทวนกรอบการโอนข้ามพรมแดนตั้งแต่เนิ่น ๆ
② FinTech ผู้รวบรวมข้อมูล และผู้ให้บริการ PFM สัญชาติญี่ปุ่น
ในระยะนี้ หลักเกณฑ์เน้นฝั่ง ผู้ถือข้อมูล เป็นหลัก ข้อกำหนดในการเข้าร่วมในฝั่งผู้รับข้อมูลจะขึ้นอยู่กับคลื่นลูกถัดไปของกฎเกณฑ์ย่อยและระบบใบอนุญาต หากแผนรวบรวมข้อมูลหรือ PFM เป็นเสาหลักของกรณีธุรกิจ ควรตั้งกระบวนการเฝ้าติดตามการกำกับดูแลที่เฉพาะเจาะจงก่อนเปิดตัวผลิตภัณฑ์
③ บริษัทญี่ปุ่นที่ไม่ใช่สถาบันการเงิน (การผลิต ค้าปลีก การค้า)
ไม่อยู่ภายใต้การกำกับดูแลโดยตรง แต่เชื่อมโยงโดยอ้อมผ่านข้อมูลบัญชีเงินเดือนของพนักงานและกระแสการชำระเงินกับคู่ค้า ในระยะเวลาต่อไป การใช้งาน เช่น การแบ่งปันข้อมูลเงินเดือนเพื่อเข้าถึงสินเชื่อหรือประกันสำหรับพนักงาน น่าจะเกิดขึ้น การปรับปรุงธรรมาภิบาลข้อมูลของบริษัทในไทยให้สอดคล้องกับ PDPA ไว้ล่วงหน้า จะทำให้การตัดสินใจในภายหลังง่ายขึ้นเมื่อกรอบขยายตัว
④ ผู้ให้บริการ SaaS, HR Tech และ B2B FinTech สัญชาติญี่ปุ่น
การ deploy ในไทยต้องสอดคล้องกับมาตรฐาน API และมาตรฐานข้อมูลของ ธปท. สถาปัตยกรรมของแพลตฟอร์มเชื่อมต่อที่สร้างในญี่ปุ่นอาจต้องออกแบบใหม่สำหรับตลาดไทย การออกแบบให้ยืดหยุ่นก่อนมาตรฐานไทยถูกสรุป จะช่วยลดงานรื้อทำใหม่ในภายหลัง
เริ่มทำอะไรได้ตอนนี้ — 6 รายการ
- ยืนยันสถานะในขอบเขต — บริษัทในไทยตกอยู่ในประเภทใดของผู้อยู่ภายใต้การกำกับดูแลของ ธปท. (เงินฝาก สินเชื่อ e-Money บัตรเครดิต การชำระเงิน)
- ทบทวนการทำแผนผังข้อมูล — ปรับปรุงแผนภาพการไหลของข้อมูลส่วนบุคคลฝั่ง PDPA
- ออกแบบหน้าจอความยินยอมใหม่ — เปลี่ยนรูปแบบความยินยอมโดยปริยายเป็นกระแสที่สอดคล้อง PDPA ซึ่งชัดแจ้งและเฉพาะเจาะจง ไม่ใช้แม่แบบสากลของบริษัทแม่ซ้ำ
- กำหนดขอบเขตการก่อสร้างทางเทคนิค — API gateway แพลตฟอร์มจัดการความยินยอม และการทำให้ข้อมูลเป็นมาตรฐาน คือสามองค์ประกอบ
- ทบทวนการจัดการการโอนข้ามพรมแดน — ตรวจสอบว่าการส่งข้อมูลไปยังบริษัทแม่ในญี่ปุ่นเป็นไปตามมาตรา 28–29 ของ PDPA
- ตั้งระบบเฝ้าติดตามต่อเนื่อง — กฎเกณฑ์ย่อยของ ธปท., PDPC, กลต., และ คปภ. จะออกเรื่อย ๆ กำหนดผู้รับผิดชอบไว้
บริบทสากล
สหภาพยุโรป (PSD2) สหราชอาณาจักร (Open Banking) ออสเตรเลีย (Consumer Data Right) สิงคโปร์ (SGFinDex) และญี่ปุ่น (API ธนาคาร) อยู่ในขั้นความสุกงอมต่าง ๆ ของเส้นทาง open finance เดียวกัน ประเทศไทยวางตำแหน่งตัวเองเป็นเทียร์ถัดไปรองจากสิงคโปร์และฮ่องกงใน ASEAN และหลักเกณฑ์การแบ่งปันข้อมูลคือก้าวย่างเชิงสัญลักษณ์ ในมุมของ FATF และ Basel Committee ชั้นการแบ่งปันข้อมูลยังป้อนเข้ากับการป้องกัน AML และการฉ้อโกงที่ใช้ AI
โครงการ Your Data ของ ธปท. ส่งสัญญาณความทะเยอทะยานที่มากกว่าภาคธนาคาร ไปสู่โครงสร้างพื้นฐานการโอนย้ายข้อมูลที่กว้างกว่า ครอบคลุมข้อมูลภาษีและข้อมูลสาธารณูปโภค (ไฟฟ้า น้ำประปา) ในช่วงเวลาต่อไป อ่านเทียบเคียงกับ ซีรีส์กฎหมายดิจิทัลของไทย ตอนที่ 6 ว่าด้วย ธุรกรรมทางอิเล็กทรอนิกส์และสินทรัพย์ดิจิทัล และกรอบการกำกับดูแล AI ของไทย จะเห็นทิศทางโดยรวมของการเดินทางชัดเจนยิ่งขึ้น
สรุปในทางปฏิบัติ
- หลักเกณฑ์ของ ธปท. มี โครงสร้างสามระยะ: ประกาศเมื่อ 30 ตุลาคม 2568, ระยะที่ 1 (ข้อมูลบัญชีเงินฝากบุคคลธรรมดา) ในปลายปี 2569, ขยายในปี 2570–2571
- ระบบตัวกลางของญี่ปุ่นเป็น โมเดลฝั่งผู้ให้บริการ; ของไทยอิงกับ สิทธิการโอนย้ายข้อมูลของเจ้าของข้อมูลตาม PDPA
- มาตรฐานความยินยอมของไทยเข้มงวดกว่า; การยกแม่แบบ UI สากลของบริษัทแม่มาใช้มีความเสี่ยง
- ธนาคารญี่ปุ่นควรวางแผนงาน core banking และ API สำหรับปลายปี 2569; FinTech ควรเฝ้าติดตามกฎเกณฑ์ย่อย; บริษัทที่ไม่ใช่สถาบันการเงินควรเริ่มจากการจัดระเบียบ PDPA ก่อน
กฎเกณฑ์ย่อย มาตรฐาน API และรายละเอียดใบอนุญาตจะยังคงทยอยถูกเผยแพร่โดย ธปท., PDPC, กลต., และ คปภ. บทความนี้จึงต้องมีการอัปเดตเมื่อรายละเอียดเหล่านั้นปรากฏ
ติดต่อสอบถาม
สำหรับคำปรึกษาเกี่ยวกับกรอบ Open Banking และการแบ่งปันข้อมูลของไทย จุดตัดกับ PDPA การเข้าสู่ตลาดในฐานะผู้ให้บริการทางการเงินที่อยู่ภายใต้การกำกับดูแล หรือการออกแบบการโอนข้ามพรมแดน — ทั้งจากมุมกฎหมายญี่ปุ่นและกฎหมายไทย — เราทำงานร่วมกับทนายความชาวไทยของ JTJB International Lawyers ที่เป็นคู่ค้าอย่างใกล้ชิด ยินดีต้อนรับการติดต่อของท่าน
บทความที่เกี่ยวข้อง
- ธปท. กำหนดการถอนเงินสดเกิน 5 ล้านบาทเป็นธุรกรรมเสี่ยงสูง (มีผล 1 เมษายน 2569)
- คู่มือปฏิบัติ PDPA ไทย 2026
- กรอบการกำกับดูแล AI ของไทย 2026
- ซีรีส์กฎหมายดิจิทัลของไทย ตอนที่ 6 — ธุรกรรมทางอิเล็กทรอนิกส์และสินทรัพย์ดิจิทัล
บทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลทั่วไปเกี่ยวกับระบบกฎหมายของประเทศไทยจากข้อมูลสาธารณะ ณ เดือนเมษายน 2569 และไม่ถือเป็นคำแนะนำทางกฎหมายภายใต้กฎหมายไทย หลักเกณฑ์การแบ่งปันข้อมูลของ ธปท. กฎเกณฑ์ย่อยที่จะตามมา และการบังคับใช้ยังอาจเปลี่ยนแปลงได้ สำหรับกรณีเฉพาะ กรุณาปรึกษาผู้เชี่ยวชาญที่มีใบอนุญาตทนายความไทย สำนักงานของเราทำงานร่วมกับทนายความไทยของ JTJB International Lawyers