สรุป! ร่างแนวปฏิบัติการใช้ AI ให้สอดคล้องกับกฎหมาย PDPA สร้าง Digital Trust ให้องค์กร

February 27, 2026

ทีมงาน PDPA Core ได้มีโอกาสเข้าร่วมการประชุมรับฟังความคิดเห็นร่างแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวกับการพัฒนาและใช้งานเทคโนโลยีปัญญาประดิษฐ์ จัดโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ในวันที่ 19 กุมภาพันธ์ 2569 ณ โรงแรม ดิ เอมเมอรัลด์ เพื่อนำเกณฑ์มาตรฐานใหม่นี้มายกระดับการบริการของเรา ให้ตอบโจทย์ทั้งด้านการรักษาความปลอดภัยของข้อมูลลูกค้า และบริการที่ก้าวทันเทคโนโลยียิ่งขึ้น PDPA Core จึงขอสรุปประเด็นสำคัญที่น่าสนใจจากที่ประชุมมาฝากทุกคน

ทำไมต้องมีแนวปฏิบัติเรื่อง AI กับ PDPA?

วันนี้ AI เข้ามาอยู่ในชีวิตประจำวันเราทุกส่วน ตั้งแต่กระแสนิยมสายมูในไทยที่ใช้ ChatGPT ช่วยดูลายมือหรือวิเคราะห์ดวงชะตา ไปจนถึงการใช้ AI ช่วยสรุปงานหรือเขียนอีเมลในที่ทำงาน

แต่สิ่งที่หลายคนมองข้ามคือ ในขณะที่เรากำลังพิมพ์ถามดวงชะตา หรือส่งไฟล์งานให้ AI ช่วยสรุป เรากำลังส่งข้อมูลส่วนบุคคลอะไรให้ AI บ้าง? เพราะ AI จะเรียนรู้และปรับตัวตามคำสั่ง (Prompt) หรือข้อมูลที่เราป้อนให้ (Input) เสมอ

ร่างแนวปฏิบัติฉบับนี้จึงถูกจัดทำขึ้น เพื่อเป็น ‘คู่มือการปฏิบัติงาน’ (Operational Guidance) เพื่อให้องค์กรใช้งาน AI ได้อย่างโปร่งใส สอดคล้องกับกฎหมาย PDPA และที่สำคัญที่สุดคือการสร้าง ความเชื่อมั่นทางดิจิทัล (Digital Trust) ให้เกิดขึ้นในประเทศไทย

สรุป 5 ส่วนหลักของร่างแนวปฏิบัติปัญญาประดิษฐ์ (AI Guidelines)

ร่างแนวปฏิบัติฉบับนี้แบ่งเนื้อหาออกเป็น 5 ส่วนสำคัญที่องค์กรต้องทำความเข้าใจ ได้แก่

1. บทนำและการกำกับดูแล (Introduction & Governance)

สคส. เน้นย้ำว่าหากเราใช้ AI เพื่อประโยชน์ส่วนตัว เช่น ใช้ช่วยร่างอีเมลหรือหาข้อมูลเพื่อการศึกษา กฎหมาย PDPA จะไม่บังคับใช้ แต่หากเป็นการใช้ในนามองค์กร ธุรกิจจะต้องปฏิบัติตามกฎหมายอย่างเคร่งครัด

โดยหัวใจสำคัญคือ Stakeholder ต้องระบุสถานะทางกฎหมายของผู้เกี่ยวข้องใน AI Value Chain ให้ชัดเจนว่าใครคือ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และใครคือ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

Data Controller (ผู้ควบคุมข้อมูล) : องค์กรที่ตัดสินใจนำ AI มาใช้และกำหนดวัตถุประสงค์การป้อนข้อมูล
Data Processor (ผู้ประมวลผลข้อมูล) : ผู้ให้บริการโมเดล AI หรือระบบ Cloud ที่ทำงานตามคำสั่ง

การระบุบทบาทที่ชัดเจนจะช่วยให้องค์กรวางรากฐาน Data Protection by Design และจัดทำข้อตกลงการประมวลผล (DPA) ได้อย่างถูกต้องตามหลักความรับผิดชอบ (Accountability)

2. การปฏิบัติตาม PDPA ตลอดวงจรชีวิต AI (Compliance Life Cycle)

ข้อมูลในโลก AI ไม่ได้มีแค่ชื่อ-นามสกุล แต่ยังรวมถึงข้อมูลทางเทคนิค เช่น Prompt, Embedding หรือ Vector Data ที่สามารถระบุตัวตนทางอ้อมได้ หากข้อมูลมาจากแหล่งอื่น (3rd-party) องค์กรต้องตรวจสอบแหล่งที่มา (Data Provenance) ว่าได้มาโดยชอบด้วยกฎหมายหรือไม่

นอกจากนี้ยังมีประเด็นเรื่อง ‘สิทธิที่จะถูกลืม’ หรือ Machine Unlearning เพราะเมื่อ AI เรียนรู้ข้อมูลไปจนเป็นส่วนหนึ่งของพารามิเตอร์แล้ว การสั่งให้มันลืมทำได้ยากมาก องค์กรจึงต้องมีมาตรการป้องกันไม่ให้ข้อมูลรั่วไหล

3. การรักษาความมั่นคงปลอดภัย (Security)

เน้นการประเมินความเสี่ยงเชิงรุกผ่านการทำ DPIA (Data Protection Impact Assessment) สำหรับโครงการ AI ที่มีความเสี่ยงสูงต่อสิทธิเจ้าของข้อมูล องค์กรต้องมีมาตรการป้องกันการโจมตีใหม่ ๆ เช่น

Prompt Injection : การหลอกล่อคำสั่งให้ AI เปิดเผยข้อมูลความลับ
Model Inversion : การพยายามกู้คืนข้อมูลส่วนบุคคลที่ใช้ฝึกฝนจากโมเดล

4. การบริหารจัดการสิทธิและเหตุละเมิด (Rights & Breach Management)

เจ้าของข้อมูลยังคงมีสิทธิตามกฎหมาย เช่น สิทธิขอเข้าถึงข้อมูล หรือสิทธิคัดค้านการตัดสินใจอัตโนมัติ (Automated Decision-Making) เช่น การอนุมัติสินเชื่อโดย AI องค์กรควรมีกลไกให้มนุษย์ตรวจสอบ (Human-in-the-loop) เพื่อความเป็นธรรม และหากเกิดเหตุละเมิดข้อมูล ต้องแจ้ง สคส. ภายใน 72 ชั่วโมง

5. ภาคผนวกและเครื่องมือช่วยปฏิบัติ (Annexes & Toolkits)

รวบรวมเครื่องมือสำคัญเพื่อให้ผู้พัฒนาและผู้ใช้งาน AI นำไปปฏิบัติจริงได้ง่ายขึ้น เช่น

รายการตรวจสอบความสอดคล้อง (Compliance Checklist)
คำถามที่พบบ่อย (FAQ) ในบริบทการใช้ AI

PDPA Core ก้าวไปพร้อมกับเทคโนโลยีเพื่อคุณ

สิ่งที่เราเห็นชัดจากการเข้าร่วมประชุมครั้งนี้คือ การกำกับดูแล AI ในประเทศไทยกำลังมุ่งสู่ความโปร่งใสและความรับผิดชอบที่มากขึ้น องค์กรที่ใช้ AI จึงจำเป็นต้องเข้าใจ PDPA มากขึ้นกว่าเดิม

PDPA Core ไม่ได้ทำแค่เอกสารให้ครบตามกฎหมาย แต่เราพัฒนากระบวนการทำงานให้สอดรับกับเทคโนโลยี เพื่อพัฒนาแนวทางการทำ PDPA ให้เติบโตไปพร้อมกับ AI เพราะการคุ้มครองข้อมูลที่ดีต้องก้าวไปพร้อมกับเทคโนโลยีเสมอ ต้องการที่ปรึกษาด้าน PDPA สำหรับการใช้งาน AI ในองค์กร? ติดต่อทีมงาน PDPA Core ได้ทันที!