บทความทั้งหมด
Governance

คู่มือปฏิบัติ EU AI Act และ PDPA สำหรับองค์กรไทย

EU AI Act บังคับใช้เต็มรูปแบบสิงหาคม 2026 และ PDPA ของไทยก็เข้มงวดขึ้นเรื่อย ๆ การกำกับดูแล AI ไม่ใช่ทางเลือกอีกต่อไป

HarmonyX Research 5 เมษายน 2569 · 9 นาที
คู่มือปฏิบัติ EU AI Act และ PDPA สำหรับองค์กรไทย
สารบัญ

    EU AI Act จะบังคับใช้เต็มรูปแบบในเดือนสิงหาคม 2026 — เป็นกฎหมาย AI แบบครอบคลุมทุกสาขาฉบับแรกของโลกที่ผูกพันทางกฎหมาย จุดสำคัญคือขอบเขตที่กว้างข้ามพรมแดน: ถ้าผลลัพธ์ของระบบ AI กระทบบุคคลที่อยู่ใน EU กฎหมายก็ใช้บังคับ ไม่ว่าจะสร้างหรือใช้งานระบบไว้ที่ไหนก็ตาม สำหรับองค์กรไทยที่มีลูกค้า EU บริษัทลูกใน EU หรือคู่ค้าในห่วงโซ่อุปทานที่ตั้งอยู่ EU นี่คือความเสี่ยงทางกฎหมายในปัจจุบัน ไม่ใช่อนาคต

    ในประเทศ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) บังคับใช้โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) และครอบคลุมระบบ AI ทุกตัวที่ประมวลผลข้อมูลส่วนบุคคลในขั้นการอนุมานโดยตรง ไม่ว่าจะเป็นกระบวนการตัดสินใจอัตโนมัติ โมเดลให้คะแนนเครดิต หรือระบบจัดกลุ่มลูกค้า ทั้งหมดล้วนกระทบสิทธิของเจ้าของข้อมูล สองกรอบนี้ทับซ้อนกัน: ทำตาม EU AI Act เรื่องความโปร่งใสแล้ว แต่ละเลยคำขอเข้าถึงข้อมูลของเจ้าของข้อมูลตาม PDPA ก็ยังเสี่ยงผิดกฎหมายไทยอยู่ดี

    EU AI Act จัดระบบ AI ว่าเป็นความเสี่ยงสูงอย่างไร?

    กฎหมายแบ่งการจัดระดับความเสี่ยงเป็นสี่ระดับ ระดับห้ามใช้ เช่น การเฝ้าระวังด้วยข้อมูลชีวมิติแบบเรียลไทม์ในที่สาธารณะ และการให้คะแนนทางสังคมโดยภาครัฐ ห้ามใช้โดยสิ้นเชิง ส่วนความเสี่ยงสูงตาม Annex III ครอบคลุมโครงสร้างพื้นฐานสำคัญ การคัดกรองพนักงาน การพิจารณาสินเชื่อและประกัน การบังคับใช้กฎหมาย และการระบุตัวตนด้วยข้อมูลชีวมิติ ระบบกลุ่มนี้ต้องมีเอกสารทางเทคนิค การประเมินความสอดคล้อง (การตรวจสอบก่อนวางตลาดว่าระบบเป็นไปตามข้อกำหนด) ลงทะเบียนในฐานข้อมูล EU และรักษา audit trail อย่างต่อเนื่อง ระดับความเสี่ยงจำกัดแค่แจ้งผู้ใช้ว่ากำลังโต้ตอบกับ AI ส่วนความเสี่ยงต่ำ ซึ่งเป็น AI เชิงพาณิชย์ส่วนใหญ่ แทบไม่มีข้อบังคับ

    สรุปการจัดระดับความเสี่ยง:

    • ระดับห้ามใช้ — ห้ามใช้โดยสิ้นเชิง (การให้คะแนนทางสังคม การเฝ้าระวังด้วยข้อมูลชีวมิติแบบเรียลไทม์ในที่สาธารณะ)
    • ความเสี่ยงสูง (Annex III) — ต้องมีชุดการปฏิบัติตามกฎหมายครบ: เอกสารทางเทคนิค การประเมินความสอดคล้อง ลงทะเบียนในฐานข้อมูล EU audit trail และจุดควบคุมแบบ HITL
    • ความเสี่ยงจำกัด — ต้องแจ้งผู้ใช้ว่ากำลังโต้ตอบกับ AI เช่น chatbot ต้องบอกตัวเองว่าเป็น AI
    • ความเสี่ยงต่ำ — ไม่มีข้อบังคับบังคับใช้ มีเพียงแนวปฏิบัติตามความสมัครใจที่แนะนำเท่านั้น

    EU AI Act กระทบองค์กรไทยที่ไม่ได้ขายของในยุโรปอย่างไร?

    กฎหมายวัดที่ผลลัพธ์ของระบบ AI ไม่ใช่ที่ตั้งของบริษัท ถ้าระบบ AI ของคุณส่งคำคาดการณ์ คำแนะนำ หรือคำตัดสินใจที่กระทบบุคคลใน EU — แม้โมเดลจะรันบนเซิร์ฟเวอร์ในกรุงเทพ — ผู้ให้บริการหรือผู้ติดตั้งใช้งานก็อาจอยู่ในขอบเขตของกฎหมาย องค์กรไทยในธุรกิจการเงิน โลจิสติกส์ SaaS และสุขภาพดิจิทัลที่มีผู้ใช้เป็นชาวยุโรป หรือมีลูกค้าองค์กรที่จดทะเบียนใน EU ควรถือว่ากฎหมายนี้ใช้บังคับไว้ก่อน จนกว่าทีมกฎหมายจะตรวจสอบอย่างเป็นทางการแล้วบอกว่าไม่ใช่ ที่สำคัญ บริษัทข้ามชาติที่สำนักงานใหญ่อยู่ EU มักผูกเงื่อนไขแบบสอดคล้อง Act ลงในสัญญาจัดซื้อและข้อตกลงประมวลผลข้อมูลกับ vendor ในเอเชียอยู่แล้ว ทำให้การปฏิบัติตามกฎหมายกลายเป็นเงื่อนไขทางการค้าโดยปริยาย

    PDPA มีบทลงโทษอะไรเมื่อใช้ AI ผิดกฎ?

    PDPA กำหนดโทษทางปกครองสูงสุด 5 ล้านบาทต่อการละเมิดหนึ่งครั้ง ถ้าเปิดเผยข้อมูลส่วนบุคคลอ่อนไหวโดยจงใจหรือประมาท ยังมีโทษทางอาญาเพิ่ม คือจำคุกสูงสุด 1 ปีและปรับสูงสุด 1 ล้านบาท ความเสี่ยงหลักของระบบ AI เกิดเมื่อการประมวลผลอัตโนมัติกลายเป็น "การตัดสินใจที่มีนัยสำคัญ" ต่อเจ้าของข้อมูล เช่น ปฏิเสธสินเชื่อหรือปฏิเสธประกัน โดยไม่เปิดสิทธิให้คนทบทวน (การทบทวนแบบ HITL) ซึ่งเทียบได้กับ GDPR Article 22 PDPC ยังออกแนวทางว่าการสร้างโปรไฟล์อัตโนมัติด้วยข้อมูลอ่อนไหว เช่น สุขภาพ พฤติกรรมทางการเงิน หรือประวัติตำแหน่ง ต้องมีความยินยอมโดยชัดแจ้งและฐานทางกฎหมายที่บันทึกไว้ และต้องตรวจซ้ำทุกครั้งที่ฝึกโมเดลใหม่ด้วยข้อมูลใหม่

    การกำกับดูแลที่ติดทีหลังการติดตั้ง ต้นทุนแพงกว่าการกำกับดูแลที่ออกแบบไว้ตั้งแต่ต้นหลายเท่า

    จุดทับซ้อนระหว่าง EU AI Act และ PDPA

    มิติEU AI ActPDPA ของไทย
    ScopeAI System จำแนกตาม Risk Class (Unacceptable / High / Limited / Minimal)การประมวลผลข้อมูลส่วนบุคคลของบุคคลที่ระบุตัวตนได้
    TriggerRisk Classification ของ AI System + วางจำหน่ายในตลาด EUทุก Controller / Processor ที่ประมวลผลข้อมูลส่วนบุคคล โดยไม่จำกัด Sector
    ภาระหลักConformity Assessment + Technical Documentation + Post-market Monitoring (High-risk)Lawful Basis (Consent, Contract, Legitimate Interest ฯลฯ) + Records of Processing
    ค่าปรับสูงสุดสูงสุด €35M หรือ 7% ของรายได้ทั่วโลกสูงสุด 5 ล้านบาท + ความรับผิดทางอาญาสำหรับข้อมูลอ่อนไหว
    DPO บังคับProvider และ Deployer ของ High-risk AIเมื่อเข้าเกณฑ์มาตรา 41 ของ PDPA
    มีผลบังคับเป็นเฟส: Prohibitions ก.พ. 2025 → GPAI ส.ค. 2025 → High-risk ส.ค. 2026 → Embedded High-risk ส.ค. 2027บังคับใช้แล้วตั้งแต่ 1 มิ.ย. 2565
    เปรียบเทียบ Scope, ภาระหลัก และ Timing ของ EU AI Act กับ PDPA ไทย — องค์กรที่อยู่ใต้ทั้งสองชุดมักรวม Compliance Evidence เข้าด้วยกัน เพราะ Overlap สูง

    สองกรอบนี้มีพื้นที่ทับซ้อนพอที่จะใช้สถาปัตยกรรมการกำกับดูแลชุดเดียวรองรับได้ ทั้งคู่ต้องการ audit trail ที่บันทึกการตัดสินใจที่กระทบบุคคล ทั้งคู่ต้องการความชัดเจนเรื่องที่ตั้งของข้อมูล — EU AI Act บังคับให้เก็บบันทึกภายใน EU สำหรับระบบความเสี่ยงสูง ส่วน PDPA จำกัดการส่งข้อมูลส่วนบุคคลข้ามพรมแดนไปประเทศที่มีมาตรฐานการคุ้มครองเพียงพอ และทั้งคู่ตั้งกำหนดการตอบสนองต่อเหตุการณ์ภายใน 72 ชั่วโมง — EU AI Act สำหรับเหตุการณ์ร้ายแรงของระบบความเสี่ยงสูง และ PDPA สำหรับการรั่วไหลของข้อมูลส่วนบุคคล สร้างชั้นการกำกับดูแลชุดเดียวที่ตอบทั้งสองด้านได้พร้อมกัน จะลดทั้งภาระการเชื่อมระบบและจุดที่ต้องตรวจสอบ

    รายการตรวจก่อนสิงหาคม 2026 สำหรับองค์กรไทย

    รายการต่อไปนี้ควรปิดให้เสร็จก่อนวันบังคับใช้ แต่ละข้อจับคู่กับข้อกำหนดเฉพาะภายใต้ EU AI Act, PDPA หรือทั้งสองกรอบ

    1. ทำรายการระบบ AI ให้ครบ — รวมโมเดลทุกตัวในการใช้งานจริง รวมถึงโมเดลของบุคคลที่สามที่ฝังอยู่ในเครื่องมือ SaaS พร้อมระบุวัตถุประสงค์ ข้อมูลที่ป้อนเข้า และการตัดสินใจที่ส่งออก
    2. จัดระดับความเสี่ยงกับทุกระบบตามเกณฑ์ Annex III และบันทึกเหตุผลไว้ โดยเฉพาะกรณีที่ตัดสินว่าไม่ใช่ความเสี่ยงสูง เพื่อตอบผู้ตรวจสอบได้
    3. สำหรับระบบความเสี่ยงสูง: เตรียมเอกสารทางเทคนิค ตั้งขั้นตอนการประเมินความสอดคล้อง และวางกระบวนการทบทวนแบบ HITL ก่อนปล่อยติดตั้งใช้งานที่กระทบผู้ใช้ใน EU
    4. ติดตั้งระบบติดตามโมเดล เก็บการกระจายของข้อมูลที่เข้า คะแนนความมั่นใจของผลลัพธ์ สัญญาณการเบี่ยงเบน และตัวชี้วัดอคติ ลงในบันทึกที่แก้ไขไม่ได้ ที่ตอบทั้งการบันทึกของ EU AI Act และ audit trail ของ PDPA
    5. ทบทวนฐานทางกฎหมายตาม PDPA สำหรับข้อมูลส่วนบุคคลทั้งหมดที่ใช้ในการฝึกและการอนุมานของ AI อัปเดตบันทึกความยินยอมและตรวจข้อตกลงผู้ประมวลผลย่อยกับ vendor โมเดล AI และผู้ให้บริการคลาวด์
    6. ตั้งระบบตอบสนองต่อเหตุการณ์ภายใน 72 ชั่วโมงที่ครอบคลุมทั้งการแจ้งเหตุการณ์ร้ายแรงตาม EU AI Act และการแจ้งการรั่วไหลของข้อมูลส่วนบุคคลตาม PDPA พร้อมระบุผู้รับผิดชอบและเส้นทางการส่งต่อให้ชัด

    ขั้นตอนถัดไป

    เริ่มจากรายการ AI และการจัดระดับความเสี่ยงก่อนลงมือสร้างการควบคุมทางเทคนิค แนวทางที่น่าเชื่อถือที่สุดมาจาก European Commission ซึ่งเป็นแหล่งตีความอย่างเป็นทางการ ถ้าทีมต้องการความช่วยเหลือในการนำไปใช้ บริการ AI Governance ของ HarmonyX ครอบคลุมการทำรายการระบบ การจัดระดับความเสี่ยง การติดตั้งระบบติดตาม และสถาปัตยกรรม audit trail ในงานเดียว ออกแบบให้ตอบทั้ง EU AI Act และ PDPA พร้อมกัน

    แหล่งอ้างอิง

    artificialintelligenceact.eu EU AI Act Official Text — European Parliament and Council pdpc.or.th PDPC Thailand Personal Data Protection Committee digital-strategy.ec.europa.eu European Commission Regulatory Framework for AI — Digital Strategy
    คัดลอกลิงก์แล้ว