EU AI Act จะบังคับใช้เต็มรูปแบบในเดือนสิงหาคม 2026 — เป็นกฎหมาย AI แบบครอบคลุมทุกสาขาฉบับแรกของโลกที่ผูกพันทางกฎหมาย จุดสำคัญคือขอบเขตที่กว้างข้ามพรมแดน: ถ้าผลลัพธ์ของระบบ AI กระทบบุคคลที่อยู่ใน EU กฎหมายก็ใช้บังคับ ไม่ว่าจะสร้างหรือใช้งานระบบไว้ที่ไหนก็ตาม สำหรับองค์กรไทยที่มีลูกค้า EU บริษัทลูกใน EU หรือคู่ค้าในห่วงโซ่อุปทานที่ตั้งอยู่ EU นี่คือความเสี่ยงทางกฎหมายในปัจจุบัน ไม่ใช่อนาคต
ในประเทศ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) บังคับใช้โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) และครอบคลุมระบบ AI ทุกตัวที่ประมวลผลข้อมูลส่วนบุคคลในขั้นการอนุมานโดยตรง ไม่ว่าจะเป็นกระบวนการตัดสินใจอัตโนมัติ โมเดลให้คะแนนเครดิต หรือระบบจัดกลุ่มลูกค้า ทั้งหมดล้วนกระทบสิทธิของเจ้าของข้อมูล สองกรอบนี้ทับซ้อนกัน: ทำตาม EU AI Act เรื่องความโปร่งใสแล้ว แต่ละเลยคำขอเข้าถึงข้อมูลของเจ้าของข้อมูลตาม PDPA ก็ยังเสี่ยงผิดกฎหมายไทยอยู่ดี
EU AI Act จัดระบบ AI ว่าเป็นความเสี่ยงสูงอย่างไร?
กฎหมายแบ่งการจัดระดับความเสี่ยงเป็นสี่ระดับ ระดับห้ามใช้ เช่น การเฝ้าระวังด้วยข้อมูลชีวมิติแบบเรียลไทม์ในที่สาธารณะ และการให้คะแนนทางสังคมโดยภาครัฐ ห้ามใช้โดยสิ้นเชิง ส่วนความเสี่ยงสูงตาม Annex III ครอบคลุมโครงสร้างพื้นฐานสำคัญ การคัดกรองพนักงาน การพิจารณาสินเชื่อและประกัน การบังคับใช้กฎหมาย และการระบุตัวตนด้วยข้อมูลชีวมิติ ระบบกลุ่มนี้ต้องมีเอกสารทางเทคนิค การประเมินความสอดคล้อง (การตรวจสอบก่อนวางตลาดว่าระบบเป็นไปตามข้อกำหนด) ลงทะเบียนในฐานข้อมูล EU และรักษา audit trail อย่างต่อเนื่อง ระดับความเสี่ยงจำกัดแค่แจ้งผู้ใช้ว่ากำลังโต้ตอบกับ AI ส่วนความเสี่ยงต่ำ ซึ่งเป็น AI เชิงพาณิชย์ส่วนใหญ่ แทบไม่มีข้อบังคับ
สรุปการจัดระดับความเสี่ยง:
- ระดับห้ามใช้ — ห้ามใช้โดยสิ้นเชิง (การให้คะแนนทางสังคม การเฝ้าระวังด้วยข้อมูลชีวมิติแบบเรียลไทม์ในที่สาธารณะ)
- ความเสี่ยงสูง (Annex III) — ต้องมีชุดการปฏิบัติตามกฎหมายครบ: เอกสารทางเทคนิค การประเมินความสอดคล้อง ลงทะเบียนในฐานข้อมูล EU audit trail และจุดควบคุมแบบ HITL
- ความเสี่ยงจำกัด — ต้องแจ้งผู้ใช้ว่ากำลังโต้ตอบกับ AI เช่น chatbot ต้องบอกตัวเองว่าเป็น AI
- ความเสี่ยงต่ำ — ไม่มีข้อบังคับบังคับใช้ มีเพียงแนวปฏิบัติตามความสมัครใจที่แนะนำเท่านั้น
EU AI Act กระทบองค์กรไทยที่ไม่ได้ขายของในยุโรปอย่างไร?
กฎหมายวัดที่ผลลัพธ์ของระบบ AI ไม่ใช่ที่ตั้งของบริษัท ถ้าระบบ AI ของคุณส่งคำคาดการณ์ คำแนะนำ หรือคำตัดสินใจที่กระทบบุคคลใน EU — แม้โมเดลจะรันบนเซิร์ฟเวอร์ในกรุงเทพ — ผู้ให้บริการหรือผู้ติดตั้งใช้งานก็อาจอยู่ในขอบเขตของกฎหมาย องค์กรไทยในธุรกิจการเงิน โลจิสติกส์ SaaS และสุขภาพดิจิทัลที่มีผู้ใช้เป็นชาวยุโรป หรือมีลูกค้าองค์กรที่จดทะเบียนใน EU ควรถือว่ากฎหมายนี้ใช้บังคับไว้ก่อน จนกว่าทีมกฎหมายจะตรวจสอบอย่างเป็นทางการแล้วบอกว่าไม่ใช่ ที่สำคัญ บริษัทข้ามชาติที่สำนักงานใหญ่อยู่ EU มักผูกเงื่อนไขแบบสอดคล้อง Act ลงในสัญญาจัดซื้อและข้อตกลงประมวลผลข้อมูลกับ vendor ในเอเชียอยู่แล้ว ทำให้การปฏิบัติตามกฎหมายกลายเป็นเงื่อนไขทางการค้าโดยปริยาย
PDPA มีบทลงโทษอะไรเมื่อใช้ AI ผิดกฎ?
PDPA กำหนดโทษทางปกครองสูงสุด 5 ล้านบาทต่อการละเมิดหนึ่งครั้ง ถ้าเปิดเผยข้อมูลส่วนบุคคลอ่อนไหวโดยจงใจหรือประมาท ยังมีโทษทางอาญาเพิ่ม คือจำคุกสูงสุด 1 ปีและปรับสูงสุด 1 ล้านบาท ความเสี่ยงหลักของระบบ AI เกิดเมื่อการประมวลผลอัตโนมัติกลายเป็น "การตัดสินใจที่มีนัยสำคัญ" ต่อเจ้าของข้อมูล เช่น ปฏิเสธสินเชื่อหรือปฏิเสธประกัน โดยไม่เปิดสิทธิให้คนทบทวน (การทบทวนแบบ HITL) ซึ่งเทียบได้กับ GDPR Article 22 PDPC ยังออกแนวทางว่าการสร้างโปรไฟล์อัตโนมัติด้วยข้อมูลอ่อนไหว เช่น สุขภาพ พฤติกรรมทางการเงิน หรือประวัติตำแหน่ง ต้องมีความยินยอมโดยชัดแจ้งและฐานทางกฎหมายที่บันทึกไว้ และต้องตรวจซ้ำทุกครั้งที่ฝึกโมเดลใหม่ด้วยข้อมูลใหม่
การกำกับดูแลที่ติดทีหลังการติดตั้ง ต้นทุนแพงกว่าการกำกับดูแลที่ออกแบบไว้ตั้งแต่ต้นหลายเท่า
จุดทับซ้อนระหว่าง EU AI Act และ PDPA
| มิติ | EU AI Act | PDPA ของไทย |
|---|---|---|
| Scope | AI System จำแนกตาม Risk Class (Unacceptable / High / Limited / Minimal) | การประมวลผลข้อมูลส่วนบุคคลของบุคคลที่ระบุตัวตนได้ |
| Trigger | Risk Classification ของ AI System + วางจำหน่ายในตลาด EU | ทุก Controller / Processor ที่ประมวลผลข้อมูลส่วนบุคคล โดยไม่จำกัด Sector |
| ภาระหลัก | Conformity Assessment + Technical Documentation + Post-market Monitoring (High-risk) | Lawful Basis (Consent, Contract, Legitimate Interest ฯลฯ) + Records of Processing |
| ค่าปรับสูงสุด | สูงสุด €35M หรือ 7% ของรายได้ทั่วโลก | สูงสุด 5 ล้านบาท + ความรับผิดทางอาญาสำหรับข้อมูลอ่อนไหว |
| DPO บังคับ | Provider และ Deployer ของ High-risk AI | เมื่อเข้าเกณฑ์มาตรา 41 ของ PDPA |
| มีผลบังคับ | เป็นเฟส: Prohibitions ก.พ. 2025 → GPAI ส.ค. 2025 → High-risk ส.ค. 2026 → Embedded High-risk ส.ค. 2027 | บังคับใช้แล้วตั้งแต่ 1 มิ.ย. 2565 |
สองกรอบนี้มีพื้นที่ทับซ้อนพอที่จะใช้สถาปัตยกรรมการกำกับดูแลชุดเดียวรองรับได้ ทั้งคู่ต้องการ audit trail ที่บันทึกการตัดสินใจที่กระทบบุคคล ทั้งคู่ต้องการความชัดเจนเรื่องที่ตั้งของข้อมูล — EU AI Act บังคับให้เก็บบันทึกภายใน EU สำหรับระบบความเสี่ยงสูง ส่วน PDPA จำกัดการส่งข้อมูลส่วนบุคคลข้ามพรมแดนไปประเทศที่มีมาตรฐานการคุ้มครองเพียงพอ และทั้งคู่ตั้งกำหนดการตอบสนองต่อเหตุการณ์ภายใน 72 ชั่วโมง — EU AI Act สำหรับเหตุการณ์ร้ายแรงของระบบความเสี่ยงสูง และ PDPA สำหรับการรั่วไหลของข้อมูลส่วนบุคคล สร้างชั้นการกำกับดูแลชุดเดียวที่ตอบทั้งสองด้านได้พร้อมกัน จะลดทั้งภาระการเชื่อมระบบและจุดที่ต้องตรวจสอบ
รายการตรวจก่อนสิงหาคม 2026 สำหรับองค์กรไทย
รายการต่อไปนี้ควรปิดให้เสร็จก่อนวันบังคับใช้ แต่ละข้อจับคู่กับข้อกำหนดเฉพาะภายใต้ EU AI Act, PDPA หรือทั้งสองกรอบ
- ทำรายการระบบ AI ให้ครบ — รวมโมเดลทุกตัวในการใช้งานจริง รวมถึงโมเดลของบุคคลที่สามที่ฝังอยู่ในเครื่องมือ SaaS พร้อมระบุวัตถุประสงค์ ข้อมูลที่ป้อนเข้า และการตัดสินใจที่ส่งออก
- จัดระดับความเสี่ยงกับทุกระบบตามเกณฑ์ Annex III และบันทึกเหตุผลไว้ โดยเฉพาะกรณีที่ตัดสินว่าไม่ใช่ความเสี่ยงสูง เพื่อตอบผู้ตรวจสอบได้
- สำหรับระบบความเสี่ยงสูง: เตรียมเอกสารทางเทคนิค ตั้งขั้นตอนการประเมินความสอดคล้อง และวางกระบวนการทบทวนแบบ HITL ก่อนปล่อยติดตั้งใช้งานที่กระทบผู้ใช้ใน EU
- ติดตั้งระบบติดตามโมเดล เก็บการกระจายของข้อมูลที่เข้า คะแนนความมั่นใจของผลลัพธ์ สัญญาณการเบี่ยงเบน และตัวชี้วัดอคติ ลงในบันทึกที่แก้ไขไม่ได้ ที่ตอบทั้งการบันทึกของ EU AI Act และ audit trail ของ PDPA
- ทบทวนฐานทางกฎหมายตาม PDPA สำหรับข้อมูลส่วนบุคคลทั้งหมดที่ใช้ในการฝึกและการอนุมานของ AI อัปเดตบันทึกความยินยอมและตรวจข้อตกลงผู้ประมวลผลย่อยกับ vendor โมเดล AI และผู้ให้บริการคลาวด์
- ตั้งระบบตอบสนองต่อเหตุการณ์ภายใน 72 ชั่วโมงที่ครอบคลุมทั้งการแจ้งเหตุการณ์ร้ายแรงตาม EU AI Act และการแจ้งการรั่วไหลของข้อมูลส่วนบุคคลตาม PDPA พร้อมระบุผู้รับผิดชอบและเส้นทางการส่งต่อให้ชัด
ขั้นตอนถัดไป
เริ่มจากรายการ AI และการจัดระดับความเสี่ยงก่อนลงมือสร้างการควบคุมทางเทคนิค แนวทางที่น่าเชื่อถือที่สุดมาจาก European Commission ซึ่งเป็นแหล่งตีความอย่างเป็นทางการ ถ้าทีมต้องการความช่วยเหลือในการนำไปใช้ บริการ AI Governance ของ HarmonyX ครอบคลุมการทำรายการระบบ การจัดระดับความเสี่ยง การติดตั้งระบบติดตาม และสถาปัตยกรรม audit trail ในงานเดียว ออกแบบให้ตอบทั้ง EU AI Act และ PDPA พร้อมกัน
