คุณขายสินค้าให้ลูกค้ายุโรปไหม แม้จะผ่านพาร์ทเนอร์ที่นำเทคโนโลยีของคุณไปขายต่อก็นับ ถ้าใช่ ข้อกำหนดความเสี่ยงสูงของ EU AI Act จะมีผลกับคุณตั้งแต่สิงหาคม 2026 สำหรับผู้ให้บริการในเอเชียแปซิฟิกส่วนใหญ่ แปลว่าเหลือเวลาประมาณ 90 วันทำงาน เพื่อขยับจากแค่ "รู้ว่ามีกฎหมาย" ไปสู่ "มีหลักฐานพร้อมให้ผู้ตรวจสอบดู"
ความเสี่ยงนี้ไม่ใช่เรื่องทฤษฎี ค่าปรับสูงสุดคือ 35 ล้านยูโรหรือ 7% ของรายได้ทั่วโลก แล้วแต่ว่าจำนวนใดสูงกว่า ลูกค้ายุโรปก็เริ่มเขียนข้อบังคับเรื่องการปฏิบัติตามกฎหมายลงในสัญญาต่ออายุแล้ว นี่คือแผนที่เราใช้กับลูกค้าในกรุงเทพฯ สิงคโปร์ และจาการ์ตา
วันที่ 1–30: จัดทำรายการและจัดระดับความเสี่ยง
เริ่มจากการรู้ก่อนว่าคุณมีอะไรอยู่ในมือบ้าง ทำรายการระบบ AI ทุกตัวที่ส่งให้ลูกค้ายุโรป รวมถึงโมเดลที่ฝังอยู่ในฟีเจอร์ SaaS และ API ของบุคคลที่สามที่คุณนำมาขายต่อ จากนั้นจัดระดับตามสี่ระดับความเสี่ยงของ Act ได้แก่ ห้ามใช้, ความเสี่ยงสูง, ความเสี่ยงจำกัด และความเสี่ยงต่ำ งานประเภทวิเคราะห์ข้อมูลธุรกิจ คัดกรองพนักงาน ให้คะแนนเครดิต และระบบโครงสร้างพื้นฐานสำคัญ ส่วนใหญ่จะถูกจัดเป็นความเสี่ยงสูง
- สร้างทะเบียนระบบ AI สำหรับแต่ละระบบ ระบุเจ้าของ วัตถุประสงค์ แหล่งข้อมูลที่ใช้ฝึก และประเทศที่ให้บริการ
- จับคู่ระบบเข้ากับหมวดใน Annex III ซึ่งเป็นรายการความเสี่ยงสูงของ Act หรือยืนยันว่าเป็นความเสี่ยงจำกัด
- ตั้งธงฟีเจอร์ที่ใช้การจดจำอารมณ์ การจัดประเภทด้วยข้อมูลชีวมิติ หรือการระบุตัวตนระยะไกลแบบเรียลไทม์ ฟีเจอร์เหล่านี้มักถูกห้ามโดยสิ้นเชิง
วันที่ 31–60: การควบคุมด้านเทคนิคและการกำกับดูแล
ขั้นตอนนี้คือการสร้างหลักฐาน ระบบความเสี่ยงสูงต้องมีหลักฐานเจ็ดด้าน ได้แก่ การจัดการความเสี่ยง ธรรมาภิบาลข้อมูล เอกสารทางเทคนิค การเก็บบันทึก ความโปร่งใส การกำกับโดยมนุษย์ และความแม่นยำ ความทนทาน รวมถึงความปลอดภัยทางไซเบอร์ ให้มองแต่ละด้านเป็นงานวิศวกรรม ไม่ใช่ PDF นโยบายเฉย ๆ
- ตั้งทะเบียนโมเดล เก็บที่มา รุ่น และแหล่งของชุดข้อมูลฝึกแต่ละชุด
- เชื่อมการตรวจจับการเบี่ยงเบน อคติ และประสิทธิภาพ เข้ากับข้อมูลการใช้งานจริงโดยตรง
- เพิ่มจุด HITL (Human-in-the-Loop) คือคนที่ต้องรีวิวหรืออนุมัติ ในทุกเส้นทางการตัดสินใจที่ผลกระทบสูง
- จัดระบบการตอบสนองต่อเหตุการณ์ให้พร้อม คุณต้องรายงานเหตุการณ์ร้ายแรงภายใน 15 วัน
วันที่ 61–90: การประเมินความสอดคล้อง สัญญา และหลักฐาน
เดือนสุดท้ายคือการแพ็กเกจหลักฐานทั้งหมดออกมา จัดทำเอกสารเทคนิค รันการประเมินความสอดคล้องภายใน คือการตรวจสอบตัวเองตามรายการของ Act ร่างคำประกาศความสอดคล้องของ EU และลงทะเบียนระบบในฐานข้อมูลของ EU ตามที่กำหนด พร้อมกันนั้นให้อัปเดตข้อตกลงประมวลผลข้อมูลและสัญญาบริการหลัก ให้บทบาทของผู้ให้บริการ ผู้ติดตั้งใช้งาน และผู้จัดจำหน่าย ชัดเจน ลูกค้ายุโรปจะถามแน่นอน
ผู้ให้บริการในเอเชียแปซิฟิกที่จะชนะในสองปีข้างหน้า จะมองความสอดคล้องตาม AI Act เป็นฟีเจอร์ของผลิตภัณฑ์ ไม่ใช่ภาระทางกฎหมาย
ชุดเครื่องมือ AI Observability and Governance Suite ของเรา จัดการงานส่วนใหญ่นี้ให้อัตโนมัติ ครอบคลุมตั้งแต่ทะเบียนโมเดล สายข้อมูล การตรวจจับการเบี่ยงเบนและอคติ guardrails แบบ policy-as-code ไปจนถึงการส่งออกหลักฐานที่พร้อมให้ตรวจสอบ ถ้าคุณเหลือเวลา 90 วันแล้วยังอยู่ขั้นทำรายการอยู่ ติดต่อมาคุยกับเราได้ เรารัน sprint เตรียมความพร้อมแบบกระชับให้ทีมในเอเชียแปซิฟิกทุกเดือน
