ร่างกฎหมาย AI ฉบับแรกของไทย

ทำไมไทยต้องมีกฎหมาย AI?

ปี 2569 เป็นปีที่ AI เข้ามามีบทบาทในทุกภาคส่วนอย่างรวดเร็ว — จากรายงานพบว่า คนไทยกว่า 90% รู้จัก AI และมากกว่า 80% ใช้งานเป็นประจำ ขณะเดียวกัน ความเสี่ยงจากการใช้ AI ก็เพิ่มขึ้นอย่างมาก ไม่ว่าจะเป็น Deepfake, การตัดสินใจที่ลำเอียง (Bias), หรือการละเมิดข้อมูลส่วนบุคคล

ก่อนหน้านี้ ไทยยังไม่มีกรอบกฎหมายเฉพาะสำหรับ AI แต่พึ่งพา พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) และกฎหมายอื่นๆ ที่ไม่ได้ออกแบบมาสำหรับ AI โดยเฉพาะ ร่างกฎหมายใหม่นี้จึงมีเป้าหมายเพื่อ:

• สร้างกรอบการกำกับดูแลที่ชัดเจน — ให้องค์กรรู้ว่าต้องทำอะไรบ้างเมื่อใช้ AI
• คุ้มครองสิทธิและเสรีภาพของประชาชน — ป้องกันไม่ให้ AI ถูกใช้ในทางที่ละเมิดสิทธิ์
• ส่งเสริมนวัตกรรม — ไม่กำกับดูแลมากเกินจนยับยั้งการพัฒนา
• สร้างความเชื่อมั่นให้ผู้ใช้งาน — ให้คนไทยมั่นใจในการใช้ AI อย่างปลอดภัย

สาระสำคัญของร่างกฎหมาย AI ไทย

ร่างกฎหมายนี้ใช้แนวทาง Risk-based Approach (การกำกับดูแลตามระดับความเสี่ยง) คล้ายกับ EU AI Act ของสหภาพยุโรป โดยตั้งอยู่บน 3 เสาหลัก:

เสาที่ 1: Deregulation — ลดอุปสรรคทางกฎหมาย

ปลดล็อกข้อจำกัดทางกฎหมายที่เป็นอุปสรรคต่อการนำ AI มาใช้ เช่น การยกเว้นลิขสิทธิ์สำหรับ Text and Data Mining (TDM) ซึ่งเป็นกระบวนการสำคัญในการฝึกโมเดล AI

เสาที่ 2: Promotion — ส่งเสริมการพัฒนา

สนับสนุนการพัฒนา AI ผ่านหลายมาตรการ:

• Regulatory Sandbox — พื้นที่ทดสอบนวัตกรรม AI ภายใต้เงื่อนไขที่ควบคุม
• สิทธิประโยชน์ทางภาษี — สำหรับองค์กรที่ลงทุนพัฒนา AI
• AI Governance Center (AIGC) — ศูนย์ให้คำปรึกษาและสนับสนุนทางเทคนิค

เสาที่ 3: Governance — กำกับดูแลอย่างเหมาะสม

แบ่งระดับการกำกับดูแลตามความเสี่ยงของ AI:

ระดับความเสี่ยง	ลักษณะ	มาตรการ
ห้ามใช้ (Prohibited)	AI ที่เป็นภัยต่อสังคมอย่างชัดเจน เช่น Social Scoring, การจัดอันดับพลเมือง	ห้ามพัฒนาและใช้งานโดยเด็ดขาด
ความเสี่ยงสูง (High-risk)	AI ในด้านสาธารณสุข การเงิน กระบวนการยุติธรรม การจ้างงาน	ต้องมีระบบบริหารความเสี่ยง, ตัวแทนทางกฎหมายในไทย, รายงานเหตุผิดปกติ
ความเสี่ยงทั่วไป (General)	AI ทั่วไปที่ไม่เข้าข่ายความเสี่ยงสูง เช่น Chatbot, แนะนำสินค้า	ปฏิบัติตามแนวทางปฏิบัติที่ดี (Best Practices) โดยสมัครใจ

เปรียบเทียบกับกฎหมาย AI ต่างประเทศ

ไทยไม่ได้เป็นประเทศแรกที่ออกกฎหมาย AI — มาดูกันว่าประเทศอื่นทำอย่างไร:

ประเทศ/ภูมิภาค	กฎหมาย	แนวทาง	สถานะ
สหภาพยุโรป	EU AI Act	กำกับดูแลเข้มงวดตามระดับความเสี่ยง มีบทลงโทษสูง	มีผลบังคับใช้แล้ว
เกาหลีใต้	AI Basic Act	กฎหมาย AI ฉบับแรกของเอเชีย เน้นกรอบนโยบายและโครงสร้างกำกับดูแล	บังคับใช้เต็มรูปแบบ 22 ม.ค. 2569
ไทย	ร่าง พ.ร.บ. AI	สมดุลระหว่างการส่งเสริมและกำกับดูแล ใช้ทั้ง Soft Law และ Hard Law	อยู่ระหว่างรับฟังความคิดเห็น

จุดเด่นของร่างกฎหมาย AI ไทย คือการใช้แนวทาง Soft Law + Hard Law ผสมผสาน — ไม่เข้มงวดเท่า EU AI Act แต่ก็ไม่หลวมเกินไป โดยเน้นการส่งเสริมควบคู่กับการกำกับดูแล

องค์กรต้องเตรียมตัวอย่างไร?

แม้ร่างกฎหมายจะยังไม่มีผลบังคับใช้ แต่องค์กรที่เริ่มเตรียมตัวตั้งแต่ตอนนี้จะได้เปรียบ — ทั้งในแง่ Compliance และความน่าเชื่อถือ

1. สำรวจการใช้ AI ในองค์กร (AI Inventory)

ขั้นตอนแรกคือ รู้ก่อนว่าองค์กรใช้ AI ตรงไหนบ้าง:

• ระบบ Chatbot บริการลูกค้า
• เครื่องมือวิเคราะห์ข้อมูลที่มี AI/ML
• ระบบตรวจสอบใบหน้า (Facial Recognition)
• เครื่องมือ Generative AI ที่พนักงานใช้ (เช่น ChatGPT, Gemini)
• AI ที่ฝังอยู่ในซอฟต์แวร์อื่นๆ (เช่น ระบบ ERP, CRM)

2. ประเมินระดับความเสี่ยง

จัดกลุ่ม AI ที่ใช้ตามระดับความเสี่ยงที่ร่างกฎหมายกำหนด:

• AI ความเสี่ยงสูง? — เช่น ใช้ AI ตัดสินใจเรื่องสินเชื่อ, คัดเลือกพนักงาน, วินิจฉัยโรค
• AI ความเสี่ยงทั่วไป? — เช่น Chatbot ตอบคำถามทั่วไป, แนะนำสินค้า, วิเคราะห์รายงาน

3. จัดทำนโยบาย AI Governance

สร้างกรอบ AI Governance ภายในองค์กร ประกอบด้วย:

• นโยบายการใช้ AI — กำหนดว่าใครใช้ได้ ใช้ทำอะไร มีขอบเขตแค่ไหน
• กระบวนการตรวจสอบ — ตรวจสอบว่า AI ทำงานถูกต้อง ไม่ลำเอียง ไม่ละเมิดสิทธิ์
• การบริหารความเสี่ยง — ประเมินและจัดการ ความเสี่ยง จากการใช้ AI
• ช่องทางรายงานปัญหา — ให้พนักงานและผู้ใช้แจ้งเหตุผิดปกติได้

4. เตรียมระบบข้อมูลให้พร้อม

AI ต้องการข้อมูลที่มีคุณภาพ — และกฎหมายกำหนดให้ต้องตรวจสอบข้อมูลที่ใช้ฝึก AI ได้ ดังนั้นองค์กรควร:

• จัดระบบข้อมูลให้เป็นระเบียบ — ข้อมูลที่กระจัดกระจายใน Excel หลายไฟล์จะตรวจสอบยาก ระบบ ERP ช่วยรวมข้อมูลให้เป็นฐานเดียว
• มี Audit Trail — บันทึกว่าข้อมูลถูกเข้าถึง แก้ไข หรือใช้โดยใครเมื่อไหร่ (สำคัญมากภายใต้ 2FA และ ความปลอดภัยของข้อมูล)
• ปฏิบัติตาม PDPA — มั่นใจว่าข้อมูลที่ใช้กับ AI ได้รับความยินยอมและจัดเก็บถูกต้อง

5. ฝึกอบรมบุคลากร

กฎหมายกำหนดให้องค์กรต้องมี "คนที่เข้าใจ AI" ไม่จำเป็นต้องเป็นนักพัฒนา แต่ต้องเข้าใจว่า AI ทำงานอย่างไร มีข้อจำกัดอะไร และมีความเสี่ยงอะไรบ้าง

Timeline ที่คาดว่าจะเกิดขึ้น

ช่วงเวลา	สิ่งที่คาดว่าจะเกิดขึ้น
2568–2569	รับฟังความคิดเห็นสาธารณะ รวมร่างกฎหมายหลายฉบับเป็นฉบับเดียว
2569–2570	เข้าสู่กระบวนการนิติบัญญัติ พิจารณาในสภา
2570–2571	คาดว่าจะประกาศใช้ พร้อมระยะเปลี่ยนผ่านให้องค์กรปรับตัว

องค์กรที่มีระบบข้อมูลเป็นระเบียบ มี Audit Trail ครบถ้วน และมี AI Governance Policy จะปรับตัวรับกฎหมายใหม่ได้เร็วกว่าองค์กรที่ยังจัดการข้อมูลแบบกระจัดกระจาย — ดังนั้นการเริ่มวางระบบ ERP ตั้งแต่วันนี้ คือการเตรียมตัวที่ดีที่สุดสำหรับอนาคต

- ทีมงาน Saeree ERP

สรุป

ร่างกฎหมาย AI ฉบับแรกของไทย เป็นก้าวสำคัญที่จะช่วยสร้างกรอบการใช้ AI อย่างรับผิดชอบ องค์กรที่ต้องเตรียมตัวมากที่สุดคือองค์กรที่ใช้ AI ในการตัดสินใจที่กระทบสิทธิของคน เช่น การเงิน การจ้างงาน สาธารณสุข

5 สิ่งที่ควรเริ่มทำตั้งแต่วันนี้:

1. สำรวจ AI ที่ใช้ในองค์กร — ทำ AI Inventory
2. ประเมินระดับความเสี่ยง — จัดกลุ่มตามเกณฑ์ของร่างกฎหมาย
3. จัดทำนโยบาย AI Governance — กำหนดกฎเกณฑ์ภายในองค์กร
4. เตรียมระบบข้อมูล — รวมข้อมูลให้เป็นระบบ มี Audit Trail
5. ฝึกอบรมบุคลากร — ให้เข้าใจ AI และความเสี่ยง

หากองค์กรของคุณกำลังวางแผนจัดระบบข้อมูลและกระบวนการทำงานให้พร้อมรับกฎหมาย AI สามารถปรึกษาทีมที่ปรึกษาของเราได้ฟรี

แหล่งอ้างอิง

• ETDA — ร่างหลักการกฎหมาย AI ของไทย
• ThaiPublica — กฎหมาย AI ฉบับแรกของเอเชีย
• กรุงเทพธุรกิจ — ร่างกฎหมาย AI ไทยฉบับแรก
• Norton Rose Fulbright — Thailand's draft AI law