พ.ร.บ. AI ของไทยมีผลบังคับใช้เมื่อ 1 มีนาคม 2569 การเปลี่ยนแปลงนี้เงียบ แต่มีน้ำหนักสูง ทีม AI ระดับองค์กรต้องแบกภาระเพิ่มจาก PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่ใช้อยู่เดิม สามสัปดาห์ก่อนหน้านั้น เมื่อ 17 กุมภาพันธ์ 2569 PDPC หรือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เผยแพร่ร่างแนวปฏิบัติคุ้มครองข้อมูลส่วนบุคคลในการพัฒนาและใช้ AI ร่างนี้เปิดรับฟังความคิดเห็นสาธารณะ สองฉบับนี้รวมกันเป็นกรอบกำกับดูแล AI ระดับองค์กรที่จริงจังฉบับแรกของเอเชียตะวันออกเฉียงใต้ และทีมส่วนใหญ่ยังไม่ได้ลงมือทำ
บทความนี้คือแผนที่ทางปฏิบัติว่าอะไรเปลี่ยน อะไรยังเหมือนเดิม และทีม AI ขององค์กรไทยควรทำอะไรใน 90 วันข้างหน้า
ชั้นกฎหมายที่องค์กรไทยต้องปฏิบัติตามพร้อมกัน
ตอนนี้มีกฎหมายสามฉบับที่ใช้บังคับพร้อมกัน หนึ่ง คือ PDPA บังคับใช้ตั้งแต่ปี 2565 ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลทุกแบบ PDPC ระบุชัดว่า 'การประมวลผล' รวมถึงการฝึก การปรับจูน การอนุมาน และการดึงข้อมูลบนข้อมูลส่วนบุคคล ไม่ว่าจะทำด้วยมือ ด้วยอัลกอริทึม หรือด้วยโมเดล สอง คือ พ.ร.บ. AI ฉบับใหม่ มีผล 1 มีนาคม 2569 ใช้แนวทางจัดระดับความเสี่ยงตามแบบ EU AI Act แต่กระจายอำนาจการจัดประเภทไปยังหน่วยกำกับรายสาขา ดังนั้น AI ด้านการเงินถูกจัดประเภทโดย ธปท. ส่วนด้านสาธารณสุขโดย สธ. สาม คือร่างแนวปฏิบัติ AI ของ PDPC ยังไม่มีผลผูกพัน แต่ส่งสัญญาณทิศทางการบังคับใช้เมื่อประกาศจริง
สำหรับทีมองค์กร ภาระไม่ได้มาจากหน่วยงานเดียวอีกต่อไป ลองนึกถึงระบบ AI ที่ใช้พิจารณาสินเชื่อในธนาคารไทย ระบบนี้อยู่ใต้ PDPA, พ.ร.บ. AI และประกาศของ ธปท. ด้านความเป็นธรรมของอัลกอริทึม พร้อมกันทั้งหมด PDPA คุมการเก็บข้อมูลเท่าที่จำเป็น ฐานทางกฎหมาย และสิทธิของเจ้าของข้อมูล พ.ร.บ. AI เพิ่มการจัดเป็นความเสี่ยงสูง การทดสอบ และการขออนุมัติ คำถามด้านการกำกับดูแลเปลี่ยนไป ไม่ใช่ 'ใครเป็นเจ้าของเรื่อง compliance ของ AI?' แล้ว แต่กลายเป็น 'เราได้จับคู่ทุกระบบกับทุกหน่วยกำกับที่เกี่ยวข้องหรือยัง?'
อะไรนับเป็น 'ความเสี่ยงสูง' ภายใต้กรอบของไทย
พ.ร.บ. AI ใช้โครงสร้างสี่ระดับตามแบบ EU ระดับวิ่งจากห้ามใช้ ความเสี่ยงสูง ความเสี่ยงจำกัด จนถึงความเสี่ยงต่ำ แต่ขอบเขตของไทยแคบกว่าและกระจายตามสาขา ความเสี่ยงสูงในทางปฏิบัติครอบคลุม AI ที่ใช้ตัดสินสินเชื่อ ครอบคลุมการสรรหาและประเมินพนักงานอัตโนมัติ รวมถึงการวินิจฉัยทางการแพทย์และการคัดกรองทางการแพทย์ รวมถึงการบังคับใช้กฎหมายและระบบสนับสนุนการพิจารณาคดี รวมถึงการควบคุมโครงสร้างพื้นฐานสำคัญ ระบบเหล่านี้ต้องมีการประเมินความเสี่ยงเป็นเอกสาร ต้องทดสอบก่อนปล่อยขึ้นใช้งานจริง บางสาขาต้องให้หน่วยกำกับอนุมัติก่อนใช้งานจริง
ระบบความเสี่ยงจำกัด ได้แก่ chatbot ระบบแนะนำเนื้อหา และเครื่องมือสร้างเนื้อหา ระบบเหล่านี้ยังต้องแจ้งผู้ใช้ชัดเจนว่า 'คุณกำลังโต้ตอบกับ AI' ต้องติดป้ายผลลัพธ์ที่อาจถูกเข้าใจผิดว่าเป็นงานมนุษย์ และต้องมีเจ้าของภายในที่ระบุชื่อชัดเจน ระบบความเสี่ยงต่ำ เช่น ตัวกรองสแปมและ AI เพิ่มประสิทธิภาพภายใน ไม่มีภาระเฉพาะ นอกจาก PDPA หากมีข้อมูลส่วนบุคคลเข้ามาเกี่ยวข้อง
พ.ร.บ. AI ของไทยต่างจาก EU AI Act ตรงไหน
ความต่างสามจุดนี้สำคัญสำหรับทีมที่มีลูกค้าทั้ง EU และไทย หนึ่ง การกระจายอำนาจตามสาขาแปลว่าคุณต้องคุยกับหน่วยกำกับแต่ละแห่ง ไม่ใช่ AI Office แห่งเดียว ทีมฟินเทคคุยกับ ธปท. ทีมเฮลธ์เทคคุยกับ สธ. สอง โทษของไทยผูกกับระบบบังคับใช้รายสาขาที่มีอยู่เดิม ไม่ใช่ตัวเลข 7% ของรายได้ทั่วโลกแบบ EU แต่โทษสะสมจาก PDPA สูงสุด 5 ล้านบาทต่อการฝ่าฝืนหนึ่งครั้ง บวกกับค่าปรับรายสาขา อาจหนักมาก สาม และสำคัญที่สุดสำหรับนักสร้าง GenAI พ.ร.บ. ไทยพูดถึง GPAI หรือ AI วัตถุประสงค์ทั่วไป น้อยกว่า EU การกำกับดูแล foundation model จึงตกอยู่กับร่างแนวปฏิบัติของ PDPC เป็นหลัก
ผลในทางปฏิบัติชัดเจน องค์กรไทยที่ขายให้ลูกค้าใน EU ยังต้องเตรียมการสำหรับ EU AI Act Annex III ที่จะเริ่มบังคับใช้ 2 สิงหาคม 2569 ผลตรวจสอบล่าสุดแสดงว่าช่องว่างกว้างมาก รายงานความพร้อมของ Vision Compliance ประจำเมษายน 2569 ครอบคลุม 12 สาขา พบว่า 78% ขององค์กรยังไม่ได้ลงมือเรื่องการปฏิบัติตาม AI Act อย่างจริงจัง 83% ไม่มีรายการระบบ AI อย่างเป็นทางการ 74% ไม่มีเจ้าของด้านการกำกับดูแลที่กำหนดชัด
Sprint เตรียมความพร้อม 90 วัน
งานที่ปิดช่องว่าง compliance ได้จริงไม่หวือหวา แต่เป็นขั้นเป็นตอน สัปดาห์ที่ 1–2 ทำรายการระบบ AI ทุกตัว ครอบคลุมทั้งระบบใช้งานจริง ระบบทดลอง ระบบเงา และ AI ที่ฝังในผลิตภัณฑ์ vendor ฟีเจอร์ AI ใน CRM ก็นับ บันทึกวัตถุประสงค์ ข้อมูลที่ป้อนเข้า ที่มาของโมเดล อำนาจการตัดสินใจ และจุด HITL (Human-in-the-Loop) ปัจจุบัน สัปดาห์ที่ 3–4 จัดประเภทระบบทั้งหมดตามระดับความเสี่ยงของ พ.ร.บ. ไทย ถ้าคุณมีลูกค้าใน EU ให้จับคู่กับ Annex III ของ EU AI Act ด้วย จุดนี้คือที่ที่ทีมส่วนใหญ่เพิ่งรู้ว่าเครื่องมือคัดกรองพนักงานหรือบ็อตคัดกรองสินเชื่อของตัวเองคือความเสี่ยงสูง
สัปดาห์ที่ 5–8 สร้างโครงเอกสารหลัก สำหรับระบบความเสี่ยงสูง หมายถึงเอกสารทางเทคนิค ครอบคลุมเอกสารโมเดล เอกสารชุดข้อมูล และตัวชี้วัดประเมินผล เพิ่มบันทึกธรรมาภิบาลข้อมูลและขั้นตอนการกำกับโดยมนุษย์เป็นลายลักษณ์อักษร ตั้งช่องทางรายงานเหตุการณ์ที่มีเส้นตาย 72 ชั่วโมง สัปดาห์ที่ 9–10 กำหนดเจ้าของที่ระบุชื่อต่อหนึ่งระบบ ไม่ใช่คณะกรรมการ แต่เป็นบุคคลคนเดียว เขาต้องมีอำนาจหยุดหรือถอยกลับได้ สัปดาห์ที่ 11–12 ทำการซ้อมสถานการณ์เลวร้ายสุด เลือกหนึ่ง ตั้งแต่อคติของอัลกอริทึมโผล่ในการใช้งานจริง หน่วยกำกับขอ audit trail หรือเจ้าของข้อมูลขอให้ลบจากชุดข้อมูลฝึก
ทีมที่ทำเรื่องนี้เป็นแค่งานเอกสารจะตกการตรวจสอบครั้งแรก ทีมที่ทำเป็นงานวิศวกรรมจะรอด พวกเขาฝังการบันทึก การเก็บสายข้อมูล และเครื่องประเมินผลลงในกระบวนการส่งมอบ AI ผลลัพธ์คือการกำกับดูแลที่ใช้งานได้จริง และระบบที่แก้ปัญหาในการใช้งานจริงง่ายขึ้นด้วย
จุดที่ทีมส่วนใหญ่ติดขัด
รูปแบบที่ผิดสามแบบเกิดซ้ำในงาน AI องค์กรที่เราเจอในไทยและในภูมิภาค หนึ่ง 'การกำกับดูแลเป็นสไลด์' ทีมกฎหมายเขียนนโยบายโดยไม่แตะกระบวนการส่งมอบ วิศวกรก็ยังส่งงานต่อไป การตรวจ compliance เกิดขึ้นหลังเหตุ สอง 'AI เงาเกลื่อน' หน่วยธุรกิจหยิบ SaaS ที่มี AI ฝังอยู่มาใช้เงียบ ๆ ตัวจดประชุม ตัวช่วยวิจัย และตัวสร้างภาพ ส่งข้อมูลลูกค้าผ่านโมเดลของบุคคลที่สาม โดยรายการระบบจับไม่ได้ สาม 'EU ก่อน ไทยทีหลัง' ทีมที่มีลูกค้า EU สร้างตาม EU AI Act แล้วคิดว่า compliance ของไทยจะตามมาเอง ทำให้พลาดหน้าที่เฉพาะของหน่วยกำกับรายสาขาที่ไม่มีในกรอบ EU
บริษัทที่นำหน้าทำตรงข้าม พวกเขาถือ พ.ร.บ. AI ของไทยเป็นชั้นพื้นฐาน ใช้แนวปฏิบัติของ PDPC เป็นแรงผลักดันการกำกับดูแล foundation model และใช้ EU AI Act เป็นชั้นเสริมเฉพาะระบบที่มีข้อมูลไหลใน EU พวกเขาฝัง compliance ลงในระบบ CI ทุกครั้งที่ติดตั้งโมเดลจะวิ่งผ่านการตรวจกำกับดูแลอัตโนมัติ ไม่ใช่มาผูกทีหลังด้วยการรีวิวรายไตรมาส
สิ่งนี้หมายถึงอะไรในไตรมาสถัดไป
การลงทุน AI ระดับองค์กรของไทยกำลังเร่งตัว คำมั่นการลงทุน 1 พันล้านดอลลาร์ของ Microsoft เมื่อต้นปีสะท้อนขนาดโครงสร้างพื้นฐานที่กำลังเข้ามา Stanford AI Index 2026 ระบุว่าการนำ AI สร้างเนื้อหาไปใช้เร็วกว่ากราฟของ PC และอินเทอร์เน็ต หน่วยกำกับไม่ได้นำหน้าคลื่นนี้ แต่กำลังตามทันเร็วกว่าที่ทีมส่วนใหญ่คาด ร่างแนวปฏิบัติของ PDPC เมื่อ 17 กุมภาพันธ์จะขยับจากรับฟังความเห็นไปสู่การบังคับใช้จริงภายในปีนี้
ถ้าคุณยังไม่ได้ทำแผนที่ AI ทั้งหมดในมือ ไตรมาสนี้คือเวลาที่ต้องทำ ถ้าทำแล้ว ก้าวต่อไปคือทำให้หลักฐานเป็นอัตโนมัติ เก็บสายข้อมูล การประเมิน การอนุมัติ และเหตุการณ์อย่างต่อเนื่อง อย่ารอไปสร้างใหม่ตอนถูกกดดัน การกำกับดูแลกำลังกลายเป็นปัญหาวิศวกรรม ทีมที่มองมันแบบนั้นจะส่งงานได้เร็วขึ้น ไม่ใช่ช้าลง
