คำกล่าวที่ว่า “ประเทศไทยไม่มีกฎหมาย AI” นั้นถูกต้องเพียงบางส่วน ณ เดือนมีนาคม 2569 ยังไม่มีกฎหมาย AI ฉบับสมบูรณ์ อย่างไรก็ตาม “หลักการร่างกฎหมาย AI (Draft Principles of the AI Law)” ได้รับการสรุปแล้วในเดือนมิถุนายน 2568 และ ETDA กำลังดำเนินการร่างข้อความตามกฎหมาย โครงสร้างตามความเสี่ยงมีความคล้ายคลึงกับ EU AI Act อย่างมาก บทความนี้จะแผนที่กรอบของร่างกฎหมาย AI ในระดับโครงสร้างทางกฎหมาย
← ตอนที่ 2: การบังคับใช้ PDPA และความเชื่อมโยงกับ AI
ประวัติการออกกฎหมาย — จากสองร่างสู่กรอบเดียว
2566–2568: ร่างกฎหมายสองฉบับที่พัฒนาคู่ขนาน
ร่างของ ONDE (สำนักงานคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ): พระราชกฤษฎีกาที่มุ่งเน้นความโปร่งใส ความปลอดภัย และความยุติธรรมในการใช้งาน AI เชิงพาณิชย์ รวมถึงระบบการอนุมัติล่วงหน้าสำหรับ AI ความเสี่ยงสูง
ร่างของ ETDA (สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์): กฎหมายสนับสนุนนวัตกรรมที่เน้น AI Sandbox การแบ่งปันข้อมูล และระบบการจัดประเภทตามความเสี่ยงที่ยืดหยุ่น อิงตาม EU AI Act
มิถุนายน 2568: “หลักการร่างกฎหมาย AI” ฉบับรวม
หลังการรับฟังความคิดเห็นสาธารณะ ร่างทั้งสองได้รวมกันในเดือนมิถุนายน 2568 เป็น “หลักการร่างกฎหมาย AI” ETDA ยังคงนำกระบวนการร่างข้อความตามกฎหมายต่อไป ยังไม่มีกำหนดเวลาที่ชัดเจนสำหรับการประกาศใช้
โครงสร้างการจัดประเภทความเสี่ยง — เปรียบเทียบกับ EU AI Act
| ระดับความเสี่ยง | ร่างกฎหมาย AI ไทย | EU AI Act |
|---|---|---|
| ต้องห้าม | การให้คะแนนทางสังคม การบิดเบือน การเก็บข้อมูลชีวภาพแบบไม่เลือกหน้า | Annex I |
| ความเสี่ยงสูง | การจ้างงาน สินเชื่อ การวินิจฉัยทางการแพทย์ การสนับสนุนคดีความ | Annex III |
| ความเสี่ยงจำกัด | แชทบอต ดีปเฟค (หน้าที่ความโปร่งใสเท่านั้น) | AI ความเสี่ยงจำกัด |
| ความเสี่ยงน้อยที่สุด | ตัวกรองสแปม เกม AI (ไม่มีกฎระเบียบ) | AI ความเสี่ยงน้อยที่สุด |
จุดเด่นของไทย: การกำหนดรายการความเสี่ยงโดยหน่วยงาน
ต่างจาก EU AI Act ที่ระบุรายการ AI ความเสี่ยงสูงใน Annex III ของตัวกฎหมายเอง ร่างกฎหมาย AI ของไทย มอบอำนาจให้หน่วยงานกำกับดูแล (ETDA และหน่วยงานกำกับดูแลเฉพาะภาคส่วน) กำหนดรายการเฉพาะหลังการประกาศใช้ผ่านประกาศราชกิจจานุเบกษา
AI ต้องห้าม
ตัวอย่างของ AI ที่จัดอยู่ในหมวด “ต้องห้าม”:
① ระบบให้คะแนนทางสังคม: AI ที่ประเมินพฤติกรรมทางสังคมของบุคคลอย่างครอบคลุมเพื่อจำกัดการเข้าถึงสิทธิ โอกาส หรือบริการ
② AI บิดเบือนจิตใจ: AI ที่ใช้เทคนิคแอบแฝงหรือหลอกลวงเพื่อบั่นทอนการตัดสินใจอย่างอิสระของบุคคล
③ การเก็บข้อมูลชีวภาพแบบไม่เลือกหน้า: ระบบการเฝ้าระวังด้วยการจดจำใบหน้าในพื้นที่สาธารณะแบบไม่จำเพาะเจาะจง
④ การเอาเปรียบกลุ่มเปราะบาง: AI ที่ใช้ประโยชน์จากความเปราะบางของเด็ก ผู้สูงอายุ หรือกลุ่มเสี่ยงอื่นๆ
AI ความเสี่ยงสูง — ภาระหน้าที่หลัก
ภาระหน้าที่หลักสำหรับ AI ความเสี่ยงสูง
| ภาระหน้าที่ | เนื้อหา |
|---|---|
| การลงทะเบียน | การลงทะเบียนล่วงหน้ากับ AI Governance Center (AIGC) |
| การประเมินความสอดคล้อง | การประเมินความเสี่ยงและการตรวจสอบโดยบุคคลที่สามก่อนการใช้งาน |
| การจัดการความเสี่ยง | การติดตามความเสี่ยงอย่างต่อเนื่องและมาตรการแก้ไข |
| เอกสารทางเทคนิค | บันทึกข้อมูลการฝึก อัลกอริทึม และผลการประเมินความแม่นยำ |
| การกำกับดูแลโดยมนุษย์ | ขั้นตอนการติดตามและแทรกแซงโดยมนุษย์ในการตัดสินใจอัตโนมัติ |
| การรายงานเหตุการณ์ | การรายงานเหตุการณ์สำคัญต่อหน่วยงานที่มีอำนาจบังคับ |
ผู้ให้บริการ vs ผู้ใช้งาน — ความแตกต่างที่สำคัญ
ผู้ให้บริการ (Providers — นักพัฒนา/ผู้จัดหา AI)
- ภาระหน้าที่หลัก: การประเมินความสอดคล้อง เอกสารทางเทคนิค การลงทะเบียน AIGC การรายงานเหตุการณ์
ผู้ใช้งาน (Deployers — ผู้ใช้งาน AI)
- ภาระหน้าที่หลัก: การใช้งาน AI ความเสี่ยงสูงอย่างถูกต้อง การฝึกอบรมพนักงาน กรอบการติดตาม การตอบสนองต่อเหตุการณ์
บริษัทญี่ปุ่นส่วนใหญ่เป็น “ผู้ใช้งาน”
บริษัทญี่ปุ่นที่ใช้เครื่องมือ AI เชิงพาณิชย์ (ChatGPT API, Gemini, Copilot ฯลฯ) ในการดำเนินงานโดยทั่วไปจัดอยู่ในประเภทผู้ใช้งาน ภาระหน้าที่ของผู้ใช้งานเบากว่าผู้ให้บริการ แต่ผู้ใช้งานที่ใช้ AI ความเสี่ยงสูงต้องระวัง:
- AI ในการสรรหาบุคลากร การประเมินผล หรือการตัดสินใจด้านสินเชื่อ → ต้องปฏิบัติตามเงื่อนไขการใช้งาน AI ความเสี่ยงสูง
- การตัดสินใจอัตโนมัติ → ภาระหน้าที่ตาม PDPA มาตรา 39–40 บังคับใช้พร้อมกัน
AI Governance Center (AIGC)
บทบาทหลักของ AIGC:
- รับและตรวจสอบการลงทะเบียน AI ความเสี่ยงสูง
- จัดการและอนุมัติใบสมัคร AI Sandbox
- พัฒนาแนวปฏิบัติตีความสำหรับกฎหมาย AI
- ประสานอำนาจกับหน่วยงานกำกับดูแลเฉพาะภาคส่วน (BOT, ก.ล.ต., อย. ฯลฯ)
การบังคับใช้นอกอาณาเขตและข้อกำหนดตัวแทนในประเทศ
ร่างกฎหมาย AI คาดว่าจะมีผลบังคับใช้นอกอาณาเขต โดยครอบคลุมผู้ให้บริการ AI จากต่างประเทศที่ให้บริการแก่ผู้ใช้ในประเทศไทย ซึ่งอาจต้องแต่งตั้งตัวแทนในประเทศไทย คล้ายกับข้อกำหนดตัวแทนของ EU AI Act
บทความที่เกี่ยวข้อง
- ข้อควรระวังสำหรับบริษัทที่ใช้ AI ในไทย 2569
- ← ตอนที่ 2: การบังคับใช้ PDPA และความเชื่อมโยงกับ AI
- ตอนที่ 4: กฎหมายอีคอมเมิร์ซไทย →
ตอนถัดไป
ตอนที่ 4 (25 มีนาคม 2569): กฎระเบียบแพลตฟอร์มอีคอมเมิร์ซของไทย — ฐานทางกฎหมายในพระราชบัญญัติการแข่งขันทางการค้า ลักษณะและขอบเขตของแนวปฏิบัติ TCCT หกหมวดพฤติกรรมที่ถูกควบคุม และโครงสร้างของร่างพระราชบัญญัติเศรษฐกิจแพลตฟอร์ม
บทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลทั่วไปเกี่ยวกับระบบกฎหมายของประเทศไทย และไม่ถือเป็นคำแนะนำทางกฎหมายภายใต้กฎหมายไทย สำหรับกรณีเฉพาะ กรุณาปรึกษาผู้เชี่ยวชาญที่มีใบอนุญาตทนายความไทย สำนักงานของเราทำงานร่วมกับทนายความไทยของ JTJB International Lawyers