ประเทศไทยยังไม่มีกฎหมาย AI แบบครอบคลุมที่บังคับใช้ และ EU AI Act ก็ไม่บังคับใช้ในไทย สิ่งที่ผูกพันองค์กรจริงคือ PDPA และกฎเฉพาะภาค — อธิบายให้เข้าใจชัด
dgm เป็นพันธมิตรผู้ให้บริการติดตั้งและวางระบบ osFoundry ที่เป็นอิสระ — ไม่ได้มีส่วนเกี่ยวข้องกับบริษัทผู้พัฒนา osFoundry และ dgm ยังไม่เคยดำเนินโครงการติดตั้งให้ลูกค้ารายใดสำเร็จมาก่อน บทความนี้จึงอธิบายเฉพาะบริการที่เสนอให้ ไม่ใช่ผลงานในอดีต
ไทยกับ EU AI Act: คนละกรอบ
ข้อแตกต่างสำคัญที่สุดคือ EU AI Act ไม่บังคับใช้ในประเทศไทย และ ไทยยังไม่มีกฎหมาย AI แบบครอบคลุมของตัวเองที่บังคับใช้ องค์กรไทยที่ลอกกรอบ EU มาใช้ตรง ๆ จึงเสี่ยงทั้งทำเกินจำเป็นและพลาดสิ่งที่ผูกพันจริง
ในปี 2026 ประเทศไทย ยังไม่มีกฎหมาย AI แบบครอบคลุม (horizontal) ที่มีผลบังคับใช้ ร่างเดิมสองฉบับ — ร่างพระราชกฤษฎีกาว่าด้วยการประกอบธุรกิจบริการที่ควบคุมโดยใช้ระบบปัญญาประดิษฐ์ (สำนักงานพัฒนาธุรกรรมฯ/กระทรวงดิจิทัลฯ) และร่างพระราชบัญญัติส่งเสริมและสนับสนุนนวัตกรรมปัญญาประดิษฐ์ (ETDA) — ถูก รวมเป็นร่างหลักการกฎหมาย AI ฉบับเดียวเมื่อเดือนมิถุนายน 2025 และ ยังอยู่ในขั้น ‘ร่าง’ ยังไม่ได้ประกาศใช้ (คาดว่าจะใช้เวลาอีกหลายปีกว่าจะออกเป็นกฎหมาย) สิ่งที่มีผลจริงในวันนี้คือ PDPA บวกกับแนวปฏิบัติที่ไม่ผูกพัน เช่น แนวทางการกำกับดูแล Generative AI สำหรับองค์กร (กระทรวงดิจิทัลฯ/ETDA, 30 ต.ค. 2024) และยุทธศาสตร์ปัญญาประดิษฐ์แห่งชาติ (2022-2027) รวมถึงการกำกับดูแลรายภาคส่วน ดังนั้นสิ่งที่ผูกพันองค์กรในทางปฏิบัติยังคงเป็น PDPA และกฎเฉพาะภาคของหน่วยงานกำกับ — ไม่ใช่ ‘กฎหมาย AI’ และไม่ใช่ EU AI Act ซึ่งไม่บังคับใช้ในไทย โปรดตรวจสอบสถานะร่างล่าสุดอีกครั้ง
แล้วอะไรผูกพันองค์กรไทยจริง
ด้านการคุ้มครองข้อมูล กฎหมายที่ใช้ในไทยคือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งมีผลบังคับเต็มรูปแบบตั้งแต่ 1 มิถุนายน 2022 กำกับโดย คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) นี่เป็นกฎหมายของไทยเอง — ได้รับอิทธิพลจาก GDPR แต่ ไม่ใช่ GDPR และมีบทลงโทษแยกของตัวเอง (โทษปกครองสูงสุด 5 ล้านบาท โทษอาญากรณีข้อมูลอ่อนไหว และค่าสินไหมเชิงลงโทษได้ถึงสองเท่า) องค์กรที่ประมวลผลข้อมูลส่วนบุคคลด้วย AI ต้องมีฐานทางกฎหมาย กำหนดวัตถุประสงค์ที่ชัดเจน แจ้งความโปร่งใส และมีมาตรการความปลอดภัยที่เหมาะสม กฎการโอนข้อมูลข้ามพรมแดน (มาตรา 28/29) มีผลตั้งแต่ 24 มีนาคม 2024 และต้องแจ้งเหตุละเมิดข้อมูลต่อสำนักงานฯ ภายใน 72 ชั่วโมงนับแต่ทราบเหตุ การบังคับใช้เป็นจริงแล้ว (มีค่าปรับจริงในปี 2025)
นอกจาก PDPA ยังมีการกำกับรายภาค — ธปท. (ประกาศ outsourcing/ไอที-คลาวด์), ก.ล.ต. (กรอบ AI/ML ตลาดทุน), คปภ. (ประกันภัย) และ อย. (เครื่องมือแพทย์ที่เป็นซอฟต์แวร์) — ซึ่งทำงานผ่านประกาศและแนวปฏิบัติ ไม่ใช่กฎหมาย AI เฉพาะ
สำหรับบริษัทที่ทำธุรกิจข้ามพรมแดน
หากคุณให้บริการลูกค้าในสหภาพยุโรปด้วย คุณอาจต้องปฏิบัติตาม EU AI Act สำหรับส่วนนั้น ในขณะที่ในไทยยึด PDPA และกฎเฉพาะภาค — ควรแยกขอบเขตให้ชัด
dgm ช่วยอะไรได้บ้าง
dgm เป็นพันธมิตรผู้วางระบบที่เป็นอิสระ ช่วยองค์กรไทยนำ osFoundry ไปใช้งาน — ตั้งแต่การเลือกกรณีใช้งานแรกที่คุ้มค่า ไปจนถึงการลงมือติดตั้งจริงและเชื่อมต่อกับระบบเดิมที่คุณมีอยู่ dgm ช่วยองค์กรไทยจัดวางการกำกับดูแล AI ที่สอดคล้องกับ PDPA และกฎเฉพาะภาคจริง ไม่ใช่กรอบที่ไม่บังคับใช้ในไทย dgm ไม่ได้มีส่วนเกี่ยวข้องกับบริษัทผู้พัฒนา osFoundry และยังไม่เคยดำเนินโครงการติดตั้งให้ลูกค้ารายใดสำเร็จมาก่อน สิ่งที่อธิบายไว้จึงเป็น บริการที่เสนอให้ ไม่ใช่ผลงานในอดีต หากต้องการกำหนดขอบเขตโครงการเริ่มต้นที่สมจริง dgm ช่วยคุณวางแผนได้