สำหรับบริษัทญี่ปุ่นที่ดำเนินธุรกิจในประเทศไทย คำถามที่ว่า “กฎหมายใดบ้างที่ควบคุมระบบ IT และข้อมูลของเรา?” ไม่ใช่เรื่องนามธรรม แต่เป็นความจำเป็นในทางปฏิบัติ กฎหมายดิจิทัลของไทยไม่ได้รวบรวมไว้ในประมวลกฎหมายฉบับเดียว แต่กระจายอยู่ในกฎหมายและพระราชกฤษฎีกาแยกกันตามประเด็น ซีรีส์ 6 ตอนนี้จะให้ภาพรวมอย่างเป็นระบบ โดยตอนที่ 1 จะทำแผนที่ภูมิทัศน์กฎหมายทั้งหมด
ทำไมต้องเข้าใจกฎหมายดิจิทัลไทยตอนนี้
เศรษฐกิจดิจิทัลไทยกำลังเติบโตอย่างรวดเร็ว
ตลาด e-commerce ของไทยคาดว่าจะมีมูลค่าประมาณ 1.15 ล้านล้านบาทในปี 2026 (เติบโต 7% จากปีที่แล้ว) โดยมี Shopee, Lazada และ TikTok Shop เป็นผู้นำตลาด รัฐบาลไทยได้บรรจุการพัฒนา AI และเศรษฐกิจข้อมูลไว้ในแผนพัฒนาเศรษฐกิจและสังคมดิจิทัล (DESDP) 2025–2030 ส่งผลให้มีการออกกฎหมายใหม่หลายฉบับในช่วงไม่กี่ปีที่ผ่านมา
บริษัทญี่ปุ่นที่เพียงแค่ใช้ระบบ IT บริหารจัดการข้อมูลพนักงาน และลงนามสัญญาอิเล็กทรอนิกส์ในไทย อาจตกอยู่ภายใต้กฎหมายหลายฉบับพร้อมกัน
ความท้าทาย: รู้ว่ากฎหมายใดบ้างที่ใช้กับธุรกิจของคุณ
หนึ่งในคำถามที่พบบ่อยที่สุดจาก SME ญี่ปุ่นคือ “กฎหมายที่เกี่ยวข้องกับ IT ในไทยมีอะไรบ้าง และฉบับไหนใช้กับธุรกิจเรา?” ซีรีส์นี้มุ่งหวังที่จะเป็นคู่มืออย่างเป็นระบบสำหรับคำถามเหล่านั้น
แผนที่กฎหมายดิจิทัลไทย — 7 กฎหมาย + 2 ร่างกฎหมาย
กรอบกฎหมายดิจิทัลของไทยแบ่งได้เป็นกฎหมายที่บังคับใช้แล้ว 7 ฉบับ และร่างกฎหมายที่อยู่ระหว่างการพัฒนา 2 ฉบับ
กฎหมายที่บังคับใช้แล้ว
① พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)
- ชื่อเต็ม: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- ประกาศ: 2562 / บังคับใช้เต็มรูปแบบ: 1 มิถุนายน 2565
- ขอบเขต: ควบคุมการเก็บรวบรวม ใช้ เปิดเผย และโอนข้อมูลส่วนบุคคลข้ามพรมแดน
- หน่วยงานกำกับดูแล: PDPC (คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล)
- กฎหมายญี่ปุ่นที่เทียบเคียง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (APPI)
มักเรียกว่า “GDPR ของไทย” เป็นกฎหมายดิจิทัลที่เกี่ยวข้องโดยตรงกับธุรกิจต่างชาติมากที่สุด บริษัทใดก็ตามที่จัดการข้อมูลส่วนบุคคลแม้แต่รายการเดียว เช่น ชื่อพนักงาน ล้วนอยู่ในขอบเขตการบังคับใช้
② พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์
- ชื่อเต็ม: พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
- บังคับใช้: 27 พฤษภาคม 2562
- ขอบเขต: คุ้มครองโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) และกำหนดกรอบการรับมือภัยคุกคามทางไซเบอร์
- หน่วยงานกำกับดูแล: NCSA (สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ)
ภาระหน้าที่ใช้กับผู้ประกอบการ CII ในภาคส่วนต่างๆ เช่น โทรคมนาคม การเงิน พลังงาน โลจิสติกส์ และการดูแลสุขภาพ
③ พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
- ชื่อเต็ม: พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (แก้ไขเพิ่มเติม พ.ศ. 2560)
- ขอบเขต: ห้ามการเข้าถึงโดยไม่ได้รับอนุญาต การแก้ไขข้อมูล การเผยแพร่ข้อมูลเท็จ กำหนดภาระหน้าที่การเก็บข้อมูลจราจรสำหรับผู้ให้บริการ
- หน่วยงานกำกับดูแล: MDES (กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม) / ตำรวจ
④ พระราชบัญญัติธุรกรรมทางอิเล็กทรอนิกส์
- ชื่อเต็ม: พระราชบัญญัติธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (แก้ไขเพิ่มเติม พ.ศ. 2562)
- ขอบเขต: ความถูกต้องตามกฎหมายของลายมือชื่ออิเล็กทรอนิกส์ คุณค่าทางหลักฐานของบันทึกอิเล็กทรอนิกส์
- หน่วยงานกำกับดูแล: ETDA (สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์)
⑤ พระราชกฤษฎีกามาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี
- ชื่อเต็ม: พระราชกฤษฎีกาว่าด้วยมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 (แก้ไขเพิ่มเติม พ.ศ. 2568)
- ขอบเขต: ป้องกันการฉ้อโกงออนไลน์และอาชญากรรมทางการเงิน กำหนดภาระหน้าที่แก่สถาบันการเงินและแพลตฟอร์มโซเชียลมีเดีย
⑥ พระราชกำหนดการประกอบธุรกิจสินทรัพย์ดิจิทัล
- ชื่อเต็ม: พระราชกำหนดการประกอบธุรกิจสินทรัพย์ดิจิทัล พ.ศ. 2561
- บังคับใช้: 2561
- ขอบเขต: ระบบใบอนุญาตสำหรับศูนย์ซื้อขายสินทรัพย์ดิจิทัล นายหน้า ตัวแทน; การควบคุม ICO
- หน่วยงานกำกับดูแล: ก.ล.ต. (สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์)
⑦ พระราชบัญญัติการแข่งขันทางการค้า (การควบคุมแพลตฟอร์มดิจิทัล)
- ชื่อเต็ม: พระราชบัญญัติการแข่งขันทางการค้า พ.ศ. 2560
- ขอบเขต: ห้ามการใช้อำนาจเหนือตลาดในทางมิชอบ การปฏิบัติทางการค้าที่ไม่เป็นธรรม
- หน่วยงานกำกับดูแล: คณะกรรมการการแข่งขันทางการค้า (TCCT)
ร่างกฎหมายที่อยู่ระหว่างการพัฒนา
⑧ ร่างกฎหมาย AI (หลักการร่างกฎหมาย AI)
- หน่วยงานร่าง: ETDA (ฉบับรวม)
- สถานะ: หลักการพื้นฐานสรุปเสร็จเมื่อมิถุนายน 2568; อยู่ระหว่างการแก้ไข
- ขอบเขต: การควบคุม AI ตามระดับความเสี่ยง (AI ต้องห้าม, AI ความเสี่ยงสูง, AI ความเสี่ยงจำกัด)
⑨ ร่างพระราชบัญญัติเศรษฐกิจแพลตฟอร์ม (Draft PEA)
- หน่วยงานร่าง: ETDA
- สถานะ: อยู่ระหว่างการพัฒนา
- ขอบเขต: กำกับดูแลแพลตฟอร์มในแบบ EU DSA (การแจ้งและลบ, ความโปร่งใสของการจัดอันดับ)
แผนผังหน่วยงานกำกับดูแล
| กฎหมาย / ร่างกฎหมาย | หน่วยงานกำกับดูแล | กฎหมายญี่ปุ่นที่เทียบเคียง |
|---|---|---|
| PDPA | PDPC | APPI |
| พ.ร.บ.ความมั่นคงไซเบอร์ | NCSA | กฎหมายพื้นฐานว่าด้วยความมั่นคงไซเบอร์ |
| พ.ร.บ.คอมพิวเตอร์ | MDES / ตำรวจ | กฎหมายห้ามเข้าถึงคอมพิวเตอร์โดยไม่ได้รับอนุญาต |
| พ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์ | ETDA | กฎหมายลายเซ็นอิเล็กทรอนิกส์ |
| พระราชกฤษฎีกาป้องกันอาชญากรรมเทคโนโลยี | MDES / สถาบันการเงิน | กฎหมายป้องกันการโอนเงินอาชญากรรม |
| พ.ร.ก.สินทรัพย์ดิจิทัล | ก.ล.ต. | กฎหมายบริการชำระเงิน / FIEA |
| พ.ร.บ.การแข่งขันทางการค้า | TCCT | กฎหมายความโปร่งใสแพลตฟอร์มดิจิทัล |
| ร่างกฎหมาย AI | ETDA / AI Governance Center | (อยู่ระหว่างการพิจารณา) |
| ร่าง PEA | ETDA | กฎหมายธุรกรรมแพลตฟอร์มดิจิทัล |
กฎหมายใดบ้างที่ใช้กับบริษัทของคุณ?
ใช้กับทุกธุรกิจ (โดยหลัก)
PDPA: บริษัทใดก็ตามที่ประมวลผลข้อมูลส่วนบุคคลของพนักงาน ลูกค้า หรือคู่ค้าทางธุรกิจแม้เพียงรายการเดียวก็อยู่ในขอบเขตของกฎหมาย นอกจากนี้ PDPA ยังมีผลบังคับใช้นอกอาณาเขต — ครอบคลุมองค์กรนอกประเทศไทยที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลในประเทศไทย
พ.ร.บ.คอมพิวเตอร์: นิติบุคคลใดก็ตามที่ดำเนินระบบ IT เว็บไซต์ หรือเครือข่ายในประเทศไทยอยู่ในขอบเขต
กฎหมายเพิ่มเติมตามประเภทธุรกิจ
| ประเภทธุรกิจ | กฎหมายเพิ่มเติมที่ใช้บังคับ |
|---|---|
| โทรคมนาคม การเงิน พลังงาน โลจิสติกส์ สาธารณสุข (โครงสร้างพื้นฐาน) | พ.ร.บ.ความมั่นคงไซเบอร์ (ภาระหน้าที่ CII) |
| ผู้ประกอบการ e-commerce / แพลตฟอร์มดิจิทัล | พ.ร.บ.การแข่งขันทางการค้า (แนวปฏิบัติ TCCT) |
| บริษัทคริปโต / บล็อกเชน / ฟินเทค | พ.ร.ก.สินทรัพย์ดิจิทัล |
| บริษัทที่พัฒนา จัดหา หรือใช้ระบบ AI | PDPA (ปัจจุบัน) + ร่างกฎหมาย AI (อนาคต) |
| บริษัทที่ทำสัญญาอิเล็กทรอนิกส์ | พ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์ |
| แพลตฟอร์มโซเชียลมีเดีย / สถาบันการเงิน | พระราชกฤษฎีกาป้องกันอาชญากรรมเทคโนโลยี |
ภาพรวมซีรีส์ทั้งหมด 6 ตอน
| ตอน | วันที่เผยแพร่ | หัวข้อ |
|---|---|---|
| ตอนที่ 1 (บทความนี้) | 22 มี.ค. 2569 | แผนที่กฎหมายดิจิทัลไทยฉบับสมบูรณ์ |
| ตอนที่ 2 | 23 มี.ค. 2569 | PDPA — การบังคับใช้ กรณีค่าปรับ และความเชื่อมโยงกับ AI |
| ตอนที่ 3 | 24 มี.ค. 2569 | กฎระเบียบ AI — โครงสร้างร่างกฎหมาย AI และภาระหน้าที่ |
| ตอนที่ 4 | 25 มี.ค. 2569 | กฎระเบียบ e-commerce / แพลตฟอร์ม — แนวปฏิบัติ TCCT และร่าง PEA |
| ตอนที่ 5 | 26 มี.ค. 2569 | พ.ร.บ.ความมั่นคงไซเบอร์ + พ.ร.บ.คอมพิวเตอร์ |
| ตอนที่ 6 | 27 มี.ค. 2569 | ธุรกรรมอิเล็กทรอนิกส์ ลายเซ็นอิเล็กทรอนิกส์ กฎระเบียบสกุลเงินดิจิทัล + สรุปซีรีส์ |
บทความที่เกี่ยวข้อง
- ข้อควรระวังสำหรับบริษัทที่ใช้ AI ในไทย — กรอบกฎระเบียบ AI ล่าสุดปี 2569
- กฎระเบียบ e-commerce ใหม่ของไทย — ค่าธรรมเนียมแพลตฟอร์มและการผูกขาดโลจิสติกส์
- คู่มือปฏิบัติ PDPA ไทย 2569
ตอนถัดไป
ตอนที่ 2 (23 มีนาคม 2569): เจาะลึก PDPA ของไทย ซึ่งขณะนี้อยู่ในช่วงการบังคับใช้อย่างจริงจัง เราจะวิเคราะห์กรณีค่าปรับที่เกิดขึ้นจริง อธิบายว่า PDPC Eagle Eye Crawler ติดตามความสอดคล้องของเว็บไซต์อย่างไร ตรวจสอบแนวปฏิบัติฉบับร่างเกี่ยวกับ AI และ PDPA ของกุมภาพันธ์ 2569 และกล่าวถึงกลไกการโอนข้อมูลข้ามพรมแดน
บทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลทั่วไปเกี่ยวกับระบบกฎหมายของประเทศไทย และไม่ถือเป็นคำแนะนำทางกฎหมายภายใต้กฎหมายไทย สำหรับกรณีเฉพาะ กรุณาปรึกษาผู้เชี่ยวชาญที่มีใบอนุญาตทนายความไทย สำนักงานของเราทำงานร่วมกับทนายความไทยของ JTJB International Lawyers