ຂໍ້ສັງເກດ: ບົດຄວາມນີ້ມີຈຸດປະສົງເພື່ອໃຫ້ຂໍ້ມູນເທົ່ານັ້ນ ແລະ ບໍ່ຖືວ່າເປັນຄຳແນະນຳທາງກົດໝາຍ. ສຳລັບການຕັດສິນໃຈທາງກົດໝາຍໂດຍສະເພາະ, ກະລຸນາປຶກສາທະນາຍຄວາມທີ່ມີຄວາມຊ່ຽວຊານດ້ານກົດໝາຍລາວ. ການແປກົດໝາຍເປັນການແປອ້າງອີງໂດຍຜູ້ຂຽນ, ສ່ວນຕົ້ນສະບັບທີ່ເປັນທາງການແມ່ນສະບັບພາສາລາວ.

ບໍລິສັດທີ່ດຳເນີນທຸລະກິດໃນລາວ ເມື່ອໄດ້ຍິນຄຳວ່າ "ກົດໝາຍດິຈິຕອນ" ສິ່ງທຳອິດທີ່ຕ້ອງປະເຊີນໜ້າກໍຄື ບັນຫາທີ່ວ່າບໍ່ຮູ້ວ່າຕ້ອງປົກປ້ອງຫຍັງ. ໃນໄທມີ PDPA, ໃນຫວຽດນາມມີລັດຖະບັນຍັດວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ, ແຕ່ລາວຍັງບໍ່ທັນມີກົດໝາຍປົກປ້ອງຂໍ້ມູນທີ່ຄອບຄຸມທົ່ວເຖິງ.

ຢ່າງໃດກໍຕາມ, ນັ້ນບໍ່ໄດ້ໝາຍຄວາມວ່າ "ບໍ່ມີກົດລະບຽບ". ລາວມີກົດໝາຍ 3 ສະບັບ ໄດ້ແກ່ ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນເອເລັກໂຕຣນິກ, ກົດໝາຍວ່າດ້ວຍອາດຊະຍາກຳທາງຄອມພິວເຕີ ແລະ ກົດໝາຍວ່າດ້ວຍການຄ້າເອເລັກໂຕຣນິກ, ເຊິ່ງການນຳໃຊ້ຂໍ້ມູນສ່ວນຕົວໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ, ການໂອນຂໍ້ມູນຂ້າມຊາຍແດນ ແລະ ການຮັບມືກັບການໂຈມຕີທາງໄຊເບີ ໄດ້ຖືກກຳນົດໄວ້ເປັນພັນທະທາງກົດໝາຍແລ້ວ. ສຳລັບການນຳໃຊ້ AI ກໍດີ, ສະຖານະການທີ່ຈະຖືກຮຽກຮ້ອງຄວາມຮັບຜິດຊອບພາຍໃຕ້ກອບກົດໝາຍທີ່ມີຢູ່ແລ້ວນັ້ນ ກໍມີຢ່າງແນ່ນອນ.

ໃນບົດຄວາມນີ້, ໄດ້ລວບລວມກົດລະບຽບດ້ານດິຈິຕອນຂອງລາວໄວ້ໃນລາຍການກວດສອບ 25 ຂໍ້, ເພື່ອໃຫ້ຜູ້ບໍລິຫານ ແລະ ພະນັກງານຝ່າຍກົດໝາຍສາມາດກວດກາການຈັດການຂໍ້ມູນ ແລະ ການນຳໃຊ້ AI ຂອງອົງກອນຕົນເອງ ແລະ ລະບຸຈຸດທີ່ຍັງຂາດຕົກບົກຜ່ອງດ້ານ Compliance ໄດ້ ໂດຍອອກແບບໃຫ້ເປັນເຄື່ອງມືປະຕິບັດງານຈິງ.

ລາຍການກວດສອບນີ້ປະກອບດ້ວຍ 3 ໝວດໝູ່ ລວມທັງໝົດ 25 ລາຍການ ດັ່ງນີ້:

ວິທີໃຊ້ງານ: ກວດສອບ ☐ ໃນແຕ່ລະລາຍການຕາມລຳດັບ ແລ້ວລະບຸລາຍການທີ່ຍັງບໍ່ທັນດຳເນີນການ. ສຳລັບລາຍການທີ່ຍາກຕໍ່ການຕັດສິນໃຈດ້ວຍຕົນເອງ, ແນະນຳໃຫ້ປຶກສາທະນາຍຄວາມທ້ອງຖິ່ນທີ່ມີຄວາມຊ່ຽວຊານດ້ານກົດໝາຍລາວ. ຫາກຕ້ອງການລາຍການກວດສອບໃນຮູບແບບ PDF, ສາມາດດາວໂຫຼດໄດ້ຜ່ານ CTA ທ້າຍໜ້າ.

ເພື່ອເຂົ້າໃຈກົດລະບຽບດິຈິຕອລຂອງລາວ, ສິ່ງທຳອິດທີ່ຕ້ອງເຂົ້າໃຈກໍ່ຄື ໂຄງສ້າງຂອງມັນບໍ່ໄດ້ເປັນ "ກົດໝາຍສະບັບດຽວທີ່ຄອບຄຸມທັງໝົດ" ແຕ່ເປັນ "ການປະສົມປະສານຂອງກົດໝາຍສາມສະບັບທີ່ແຍກຕ່າງຫາກ".

ກຳນົດໃນປີ 2017. ເປັນກົດໝາຍທີ່ກຳນົດການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວທີ່ປະມວນຜົນທາງອີເລັກໂທຣນິກ ແລະ ຖືເປັນກົດໝາຍ ພື້ນຖານ ຫຼື ຫຼັກການ ດ້ານການປົກປ້ອງຂໍ້ມູນໃນລາວ.

ບົດບັນຍັດຫຼັກ:

• ຄຳນິຍາມຂໍ້ມູນສ່ວນຕົວ: ຂໍ້ມູນອີເລັກໂທຣນິກທີ່ສາມາດລະບຸຕົວບຸກຄົນໄດ້ (ຊື່, ເລກປະຈຳຕົວ, ຂໍ້ມູນທີ່ຕັ້ງ ແລະ ອື່ນໆ)
• ຫຼັກການເກັບກຳ: ການລະບຸຈຸດປະສົງຢ່າງຊັດເຈນ ແລະ ການໄດ້ຮັບຄວາມຍິນຍອມຈາກເຈົ້າຂອງຂໍ້ມູນ
• ພັນທະການເກັບຮັກສາ: ການຄຸ້ມຄອງຄວາມປອດໄພດ້ວຍມາດຕະການທາງດ້ານເຕັກນິກ ແລະ ອົງກອນທີ່ເໝາະສົມ
• ການໂອນຂໍ້ມູນຂ້າມຊາຍແດນ: ການໂອນຂໍ້ມູນໄປຕ່າງປະເທດຈະຕ້ອງເປັນໄປຕາມເງື່ອນໄຂທີ່ກຳນົດ
• ບົດລົງໂທດ: ມີບົດບັນຍັດກ່ຽວກັບໂທດທາງປົກຄອງ ແລະ ໂທດທາງອາຍາສຳລັບຜູ້ລະເມີດ

ໃນຕອນທີ່ກຳລັງສ້າງໂຄງສ້າງພື້ນຖານ ຫຼື Infrastructure ຂໍ້ມູນໃຫ້ລູກຄ້າ, ມີຜູ້ໃຫ້ບໍລິການ IT ທ້ອງຖິ່ນຈຳນວນໜຶ່ງທີ່ບໍ່ຮູ້ຈັກກົດໝາຍສະບັບນີ້. ກົດໝາຍມີຢູ່ແລ້ວ, ແຕ່ຍັງມີຊ່ອງຫວ່າງໃນດ້ານການຮັບຮູ້ໃນທາງປະຕິບັດຕົວຈິງ.

ກຳນົດຂຶ້ນໃນປີ 2015. ໄດ້ຈຳແນກປະເພດອາຊະຍາກຳທາງໄຊເບີ ເຊັ່ນ: ການເຂົ້າເຖິງໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ, ການປອມແປງຂໍ້ມູນ, ການສໍ້ໂກງທາງອອນລາຍ ແລະ ກຳນົດບົດລົງໂທດໄວ້ຢ່າງຊັດເຈນ.

ຈຸດທີ່ວິສາຫະກິດຄວນລະມັດລະວັງເປັນພິເສດ:

• ການຫ້າມເຂົ້າເຖິງໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ: ຄອບຄຸມບໍ່ພຽງແຕ່ການບຸກລຸກເຂົ້າລະບົບຂອງຕົນເອງ ແຕ່ຍັງລວມເຖິງການທີ່ພະນັກງານເຂົ້າເຖິງຂໍ້ມູນທີ່ຢູ່ນອກຂອບເຂດສິດທິ໌ຂອງຕົນ
• ການປອມແປງ ແລະ ທຳລາຍຂໍ້ມູນ: ຄວາມຮັບຜິດຊອບທາງອາຍາຕໍ່ການຈັດການຂໍ້ມູນໂດຍເຈດຕະນາ
• ການລາຍງານເຫດການ: ພັນທະໃນການລາຍງານຕໍ່ເຈົ້າໜ້າທີ່ທີ່ກ່ຽວຂ້ອງເມື່ອຖືກໂຈມຕີທາງໄຊເບີ
• ການຮັກສາຫຼັກຖານ: ພັນທະໃນການຮັກສາ ແລະ ສົ່ງຂໍ້ມູນຕໍ່ໃຫ້ຫຼັກຖານທາງອີເລັກໂທຣນິກ

ສຳລັບສະພາບຄວາມເປັນຈິງ ແລະ ມາດຕະການຮັບມືກັບການສໍ້ໂກງຜ່ານສະມາດໂຟນໃນລາວ, ບົດຄວາມທີ່ກ່ຽວຂ້ອງ ໄດ້ອະທິບາຍຕົວຢ່າງການນຳໃຊ້ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີໄວ້ຢ່າງລະອຽດ.

ກຳນົດໃນປີ 2012 ແລະ ແກ້ໄຂໃນປີ 2018. ກຳນົດຄວາມຖືກຕ້ອງຕາມກົດໝາຍຂອງລາຍເຊັນອີເລັກໂທຣນິກ, ເງື່ອນໄຂການສ້າງສັນຍາອີເລັກໂທຣນິກ, ແລະ ການປົກປ້ອງຜູ້ບໍລິໂພກ.

• ຄວາມຖືກຕ້ອງຂອງລາຍເຊັນອີເລັກໂທຣນິກ: ລາຍເຊັນອີເລັກໂທຣນິກທີ່ຕອບສະໜອງເງື່ອນໄຂທີ່ກຳນົດໄວ້ມີຜົນທາງກົດໝາຍທຽບເທົ່າກັບລາຍເຊັນດ້ວຍມື
• ສັນຍາອີເລັກໂທຣນິກ: ຊີ້ແຈງເງື່ອນໄຂການສ້າງສັນຍາທາງອອນລາຍ
• ການປົກປ້ອງຜູ້ບໍລິໂພກ: ພັນທະການເປີດເຜີຍ ຂໍ້ມູນຂອງຜູ້ປະກອບການ EC, ກົດລະບຽບການສົ່ງຄືນສິນຄ້າ ແລະ ການຄືນເງິນ
• ການເກັບຮັກສາຂໍ້ມູນ: ເງື່ອນໄຂທີ່ກ່ຽວຂ້ອງກັບການເກັບຮັກສາບັນທຶກທຸລະກຳໃນຮູບແບບອີເລັກໂທຣນິກ

ໃນຂະນະທີ່ປະເທດສ່ວນໃຫຍ່ໃນ ASEAN ໄດ້ຮ່າງ ແລະ ບັງຄັບໃຊ້ກົດໝາຍຄຸ້ມຄອງຂໍ້ມູນສ່ວນຕົວແບບຄົບວົງຈອນແລ້ວ, ລາວຍັງບໍ່ທັນມີກົດໝາຍລວມສູນໃນຮູບແບບ PDPA. ແຕ່ນັ້ນບໍ່ໄດ້ໝາຍຄວາມວ່າ "ການຄວບຄຸມຍັງຫຼວມ".

ເມື່ອຈັດລຽງໂຄງສ້າງສະຖານະການປັດຈຸບັນ:

ກະຊວງວິທະຍາສາດ ແລະ ເທັກໂນໂລຊີ (MoST) ຂອງລາວກຳລັງຊຸກຍູ້ການຫັນເປັນດິຈິຕອນ, ປະກອບກັບການເຂົ້າຮ່ວມໃນກອບຂໍ້ຕົກລົງດ້ານເສດຖະກິດດິຈິຕອນ ASEAN (DEFA), ຈຶ່ງມີຄວາມເປັນໄປໄດ້ສູງທີ່ການຮ່າງກົດໝາຍລວມສູນຈະຄືບໜ້າພາຍໃນສອງສາມປີຂ້າງໜ້າ. ການສ້າງລະບົບການຄຸ້ມຄອງຂໍ້ມູນຂັ້ນຕ່ຳທີ່ສຸດໃນຕອນນີ້ ຖືເປັນການກຽມຕົວທີ່ດີທີ່ສຸດສຳລັບການເຂັ້ມງວດດ້ານລະບຽບການໃນອະນາຄົດ.

ສະຫຼຸບລາຍການປົກປ້ອງຂໍ້ມູນທີ່ວິສາຫະກິດຄວນກວດສອບ ໂດຍສຸມໃສ່ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກຂອງລາວ.

☐ ລາຍການທີ 1: ມີການລະບຸຈຸດປະສົງຂອງການເກັບກຳຂໍ້ມູນສ່ວນຕົວຢ່າງຊັດເຈນຫຼືບໍ່

ສຳລັບຂໍ້ມູນແຕ່ລະລາຍການທີ່ເກັບກຳ ໃຫ້ບັນທຶກເປັນເອກະສານວ່າ "ເກັບໄປເພື່ອຫຍັງ" ແລະ "ໃຊ້ໃນຂອບເຂດໃດ". ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກຂອງລາວກຳນົດໃຫ້ຕ້ອງລະບຸຈຸດປະສົງຢ່າງຊັດເຈນ, ການເກັບກຳໂດຍອ້າງເຫດຜົນທີ່ບໍ່ຊັດເຈນວ່າ "ອາດຈະໃຊ້ໃນອະນາຄົດ" ນັ້ນບໍ່ໄດ້ຮັບການຍອມຮັບ.

☐ ລາຍການທີ 2: ມີການຂໍຄວາມຍິນຍອມຈາກເຈົ້າຂອງຂໍ້ມູນ (ຕົວບຸກຄົນ) ຫຼືບໍ່

ບໍ່ວ່າຈະເປັນຂໍ້ມູນພະນັກງານ ຫຼື ຂໍ້ມູນລູກຄ້າ, ໂດຍຫຼັກການແລ້ວການເກັບກຳຂໍ້ມູນສ່ວນຕົວຕ້ອງໄດ້ຮັບຄວາມຍິນຍອມຈາກຕົວບຸກຄົນນັ້ນ. ໃຫ້ເກັບຮັກສາບັນທຶກການຂໍຄວາມຍິນຍອມ (ວ່າໄດ້ຮັບຄວາມຍິນຍອມເມື່ອໃດ ແລະ ໃນຂອບເຂດໃດ) ໄວ້ດ້ວຍ.

ໃນໂຄງການທີ່ລາວ, ມີລູກຄ້າລາຍໜຶ່ງທີ່ບໍ່ໄດ້ຈັດກຽມໃບຍິນຍອມເປັນພາສາລາວ ແລະ ດຳເນີນການດ້ວຍພາສາອັງກິດເທົ່ານັ້ນ. ພະນັກງານທ້ອງຖິ່ນບໍ່ສາມາດເຂົ້າໃຈເນື້ອໃນໄດ້ ຈຶ່ງເຮັດໃຫ້ການຍິນຍອມຢູ່ໃນລະດັບ "ຮູບແບບທາງການ" ເທົ່ານັ້ນ — ເພື່ອຮັບປະກັນຄວາມຍິນຍອມທີ່ມີຄວາມໝາຍຢ່າງແທ້ຈິງ, ການອະທິບາຍເປັນພາສາທ້ອງຖິ່ນຈຶ່ງເປັນສິ່ງທີ່ຂາດບໍ່ໄດ້.

☐ ລາຍການທີ 3: ມີການຈຳກັດຂໍ້ມູນທີ່ເກັບກຳໃຫ້ຢູ່ໃນລະດັບທີ່ຈຳເປັນຕໍ່າສຸດຫຼືບໍ່

ກວດສອບວ່າມີການເກັບກຳຂໍ້ມູນທີ່ບໍ່ຈຳເປັນຕໍ່ການດຳເນີນງານ (ເຊັ່ນ: ຂໍ້ມູນທີ່ອ່ອນໄຫວ ອາທິ ສາສະໜາ, ຊົນເຜົ່າ, ຂໍ້ມູນສຸຂະພາບ ແລະ ອື່ນໆ) ຫຼືບໍ່. ໂດຍສະເພາະໃນລະບົບ HR ມັກພົບກໍລະນີທີ່ຕັ້ງຄ່າໃຫ້ "ປ້ອນຂໍ້ມູນທຸກຊ່ອງໄປກ່ອນ" ຢູ່ເລື້ອຍໆ.

☐ ລາຍການທີ 4: ມີການສະແດງ Privacy Policy ໃນຂະນະເກັບກຳຂໍ້ມູນຫຼືບໍ່

ບໍ່ວ່າຈະເກັບກຳຂໍ້ມູນຜ່ານເວັບໄຊ, ແອັບ ຫຼື ແບບຟອມເຈ້ຍ, ໃຫ້ຮັບປະກັນວ່າ Privacy Policy ຢູ່ໃນສະຖານະທີ່ຕົວບຸກຄົນສາມາດເຂົ້າເບິ່ງໄດ້. ເປັນການດີທີ່ຈະຈັດໃຫ້ມີສະບັບພາສາລາວດ້ວຍ.

☐ ລາຍການທີ 5: ມີການກຳນົດສະຖານທີ່ ແລະ ໄລຍະເວລາໃນການເກັບຮັກສາຂໍ້ມູນໄວ້ຊັດເຈນບໍ?

ຕ້ອງກຳນົດໃຫ້ຊັດເຈນວ່າ "ເກັບໄວ້ທີ່ໃດ" ແລະ "ເກັບໄວ້ຮອດເມື່ອໃດ". ໃນກໍລະນີທີ່ໃຊ້ບໍລິການ Cloud, ຈຳເປັນຕ້ອງຮັບຮູ້ເຖິງສະຖານທີ່ຕັ້ງທາງກາຍະພາບຂອງ Data Center ນັ້ນໆ ດ້ວຍ.

☐ ລາຍການທີ 6: ມີການຈັດການສິດການເຂົ້າເຖິງໂດຍອີງຕາມຫຼັກການສິດຂັ້ນຕ່ຳສຸດ (Principle of Least Privilege) ບໍ?

ສະພາບທີ່ "ທຸກຄົນສາມາດເຂົ້າເຖິງຂໍ້ມູນທັງໝົດໄດ້" ນັ້ນ ຖືເປັນຄວາມສ່ຽງທາງດ້ານກົດໝາຍອາຊະຍາກຳທາງໄຊເບີ (Cybercrime Law) ເຊັ່ນກັນ. ຄວນກຳນົດສິດການເຂົ້າເຖິງຕາມພະແນກ ແລະ ຕຳແໜ່ງ, ພ້ອມທັງທົບທວນຄືນຢ່າງສະໝ່ຳສະເໝີ.

☐ ລາຍການທີ 7: ມີການດຳເນີນມາດຕະການເຂົ້າລະຫັດ (Encryption) ແລະ ການຄຸ້ມຄອງຄວາມປອດໄພຂໍ້ມູນບໍ?

ຕ້ອງການທັງການເຂົ້າລະຫັດຂໍ້ມູນໃນຂະນະເກັບຮັກສາ (Encryption at Rest) ແລະ ການເຂົ້າລະຫັດຂໍ້ມູນໃນຂະນະສົ່ງຜ່ານ (Encryption in Transit). ໂດຍສະເພາະ, ສະພາບແວດລ້ອມຂອງອິນເຕີເນັດພາຍໃນລາວ ຍັງມີຄວາມບໍ່ໝັ້ນຄົງໃນບາງພື້ນທີ່, ດັ່ງນັ້ນ ການຮັບປະກັນຄວາມປອດໄພຂອງເສັ້ນທາງການສື່ສານ (Communication Channel) ຈຶ່ງເປັນສິ່ງສຳຄັນ.

☐ ລາຍການທີ 8: ທ່ານຮູ້ຈັກຫຼືບໍ່ວ່າມີການໂອນຂໍ້ມູນສ່ວນຕົວຂ້າມຊາຍແດນ

ພຽງແຕ່ການໃຊ້ເຄື່ອງມື SaaS (Google Workspace, Salesforce ແລະ ອື່ນໆ) ກໍ່ເຮັດໃຫ້ຂໍ້ມູນຖືກໂອນໄປຕ່າງປະເທດແລ້ວ. ໃຫ້ກວດສອບ ແລະ ລວບລວມລາຍການສະຖານທີ່ເກັບຮັກສາຂໍ້ມູນຂອງທຸກບໍລິການທີ່ອົງກອນຂອງທ່ານໃຊ້ງານ.

☐ ລາຍການທີ 9: ທ່ານໄດ້ກວດສອບລະດັບການປົກປ້ອງຂໍ້ມູນຂອງປະເທດ ຫຼື ພາກພື້ນປາຍທາງທີ່ຮັບການໂອນຂໍ້ມູນຂ້າມຊາຍແດນຫຼືບໍ່

ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນອີເລັກໂທຣນິກຂອງລາວໄດ້ກຳນົດເງື່ອນໄຂໃນການໂອນຂໍ້ມູນຂ້າມຊາຍແດນ. ໃຫ້ກວດສອບວ່າປະເທດປາຍທາງມີລະບົບການປົກປ້ອງຂໍ້ມູນທີ່ພຽງພໍຫຼືບໍ່, ແລະ ໄດ້ກຳນົດມາດຕະການປົກປ້ອງທາງສັນຍາ (ຂໍ້ກຳນົດທີ່ທຽບເທົ່າ Standard Contractual Clauses) ໄວ້ຫຼືບໍ່.

☐ ລາຍການທີ 10: ທ່ານໄດ້ກຳນົດກົດລະບຽບການແບ່ງປັນຂໍ້ມູນລະຫວ່າງບໍລິສັດໃນກຸ່ມຫຼືບໍ່

ການແບ່ງປັນຂໍ້ມູນກັບບໍລິສັດແມ່ (ຍີ່ປຸ່ນ, ໄທ ແລະ ອື່ນໆ) ກໍ່ຖືວ່າເປັນການໂອນຂໍ້ມູນຂ້າມຊາຍແດນເຊັ່ນກັນ. ຄວາມເຂົ້າໃຈທີ່ວ່າ "ຢູ່ໃນກຸ່ມດຽວກັນຈຶ່ງບໍ່ເປັນຫຍັງ" ນັ້ນເປັນຄວາມເຂົ້າໃຈທີ່ຜິດ. ຕ້ອງທຳສັນຍາການແບ່ງປັນຂໍ້ມູນລະຫວ່າງບໍລິສັດໃນກຸ່ມ ແລະ ກຳນົດເຫດຜົນທາງກົດໝາຍຂອງການໂອນຂໍ້ມູນໃຫ້ຊັດເຈນ.

ເມື່ອ 5 ປີກ່ອນ, ໃນໂຄງການໜຶ່ງຢູ່ລາວ ຂະນະທີ່ກຳລັງແບ່ງປັນຂໍ້ມູນລັບ, ໄດ້ຖືກຊີ້ໃຫ້ເຫັນວ່າ "ສັນຍາບໍ່ໄດ້ລະບຸຂອບເຂດການແບ່ງປັນ" ຈຶ່ງຕ້ອງຮີບດ່ວນຈັດທຳສັນຍາການປະມວນຜົນຂໍ້ມູນເພີ່ມເຕີມໃນພາຍຫຼັງ. ການແກ້ໄຂແບບຕາມທັນນັ້ນ ບໍ່ພຽງແຕ່ໃຊ້ຊັບພະຍາກອນຫຼາຍ ແຕ່ຍັງສ້າງຕົ້ນທຶນດ້ານຄວາມໄວ້ວາງໃຈອີກດ້ວຍ.

ລາວບໍ່ມີກົດໝາຍສະເພາະດ້ານ AI. ແຕ່ວ່າ, ພາຍໃຕ້ກອບຂອງກົດໝາຍທີ່ມີຢູ່ 3 ສະບັບ ແລະ ກົດໝາຍສັນຍາ-ແຮງງານທົ່ວໄປ, ຄວາມຮັບຜິດຊອບທາງກົດໝາຍທີ່ກ່ຽວຂ້ອງກັບການນຳໃຊ້ AI ກໍ່ຍັງສາມາດເກີດຂຶ້ນໄດ້.

☐ ລາຍການທີ 11: ລະບຸປະເພດຂໍ້ມູນທີ່ລະບົບ AI ປະມວນຜົນໄດ້ຫຼືບໍ່

ໃນກໍລະນີທີ່ AI ປະມວນຜົນຂໍ້ມູນສ່ວນຕົວ, ຈະຕົກຢູ່ພາຍໃຕ້ການບັງຄັບໃຊ້ຂອງກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກ. ໃຫ້ສຳຫຼວດ ແລະ ລວບລວມລາຍການປະເພດ ແລະ ປະລິມານຂໍ້ມູນທີ່ AI ຈັດການ ເຊັ່ນ: Chatbot, ການຄັດກອງຜູ້ສະໝັກງານ, ການວິເຄາະລູກຄ້າ, ເປັນຕົ້ນ.

☐ ລາຍການທີ 12: ນຳເອົາການກວດສອບໂດຍມະນຸດເຂົ້າໃນຂະບວນການຕັດສິນໃຈຂອງ AI ໄດ້ຫຼືບໍ່

ເຖິງແມ່ນວ່າ ສປປ ລາວ ຍັງບໍ່ທັນມີການຈັດໝວດໝູ່ "AI ຄວາມສ່ຽງສູງ" ຄ້າຍຄືກັບ EU AI Act, ແຕ່ສຳລັບການຕັດສິນໃຈຂອງ AI ທີ່ສົ່ງຜົນກະທົບຢ່າງໃຫຍ່ຫຼວງຕໍ່ບຸກຄົນ ເຊັ່ນ: ການປະເມີນຜົນງານພະນັກງານ, ການອະນຸມັດສິນເຊື່ອ, ການວິນິດໄສທາງການແພດ, ແນະນຳໃຫ້ມີການທົບທວນໂດຍມະນຸດຢ່າງເຂັ້ມງວດ. ສິ່ງນີ້ບໍ່ພຽງແຕ່ຊ່ວຍຫຼຸດຜ່ອນຄວາມສ່ຽງຈາກການຊີ້ນຳທາງດ້ານການບໍລິຫານເທົ່ານັ້ນ, ແຕ່ຍັງມີຜົນປະໂຫຍດໃນທາງປະຕິບັດທີ່ສຳຄັນໃນການຮັບປະກັນຄວາມໂປ່ງໃສຂອງການຕັດສິນໃຈອີກດ້ວຍ.

ສຳລັບການປຽບທຽບກັບ EU AI Act ແລະ ທ່າອ່ຽງຂອງ AI Governance ໃນລະດັບໂລກ, ສາມາດອ່ານລາຍລະອຽດເພີ່ມເຕີມໄດ້ທີ່ ບົດຄວາມທີ່ກ່ຽວຂ້ອງກ່ຽວກັບ AI Governance.

☐ ລາຍການທີ 13: ລວມເອົາຂໍ້ກຳນົດການປະມວນຜົນຂໍ້ມູນໄວ້ໃນສັນຍາກັບ AI Vendor ໄດ້ຫຼືບໍ່

ໃນກໍລະນີທີ່ໃຊ້ບໍລິການ AI ພາຍນອກ (ເຊັ່ນ: ChatGPT API, Claude API ແລະ ອື່ນໆ), ໃຫ້ກວດສອບໃນສັນຍາວ່າຂໍ້ມູນທີ່ປ້ອນເຂົ້າໄປຈະຖືກ Vendor ປະມວນຜົນແນວໃດ. ໂດຍສະເພາະ, ຈຸດສຳຄັນທີ່ຕ້ອງກວດສອບຄືວ່າຂໍ້ມູນດັ່ງກ່າວຈະຖືກນຳໃຊ້ໃນການຝຶກສອນ Model ຫຼືບໍ່.

☐ ລາຍການທີ 14: ມີການຈັດລະບຽບສິດທິ໌ລິຂະສິດ ແລະ ຊັບສິນທາງປັນຍາຂອງເນື້ອຫາທີ່ສ້າງໂດຍ AI ແລ້ວຫຼືບໍ່

ກົດໝາຍລິຂະສິດຂອງລາວຍັງບໍ່ທັນກຳນົດສິດທິ໌ຄວາມເປັນເຈົ້າຂອງຜົນງານທີ່ສ້າງໂດຍ AI ຢ່າງຊັດເຈນ. ຄວນກຳນົດກົດລະບຽບການນຳໃຊ້ພາຍໃນອົງກອນ (ເຊັ່ນ: ຜົນງານທີ່ສ້າງໂດຍ AI ຈະຖືວ່າເປັນຜົນງານຂອງໃຜ, ແລະ ນະໂຍບາຍການໃສ່ແຫຼ່ງທີ່ມາເມື່ອເຜີຍແຜ່ສູ່ສາທາລະນະ) ໃຫ້ຊັດເຈນ.

☐ ລາຍການທີ 15: ມີລະບົບການກວດສອບຄວາມຖືກຕ້ອງ (Fact-check) ຂອງຜົນລັບທີ່ໄດ້ຈາກ AI ແລ້ວຫຼືບໍ່

ການນຳເອົາຂໍ້ມູນທີ່ AI ສ້າງຂຶ້ນໄປສົ່ງໃຫ້ລູກຄ້າ ຫຼື ໜ່ວຍງານລັດໂດຍກົງ ອາດກໍ່ໃຫ້ເກີດຄວາມສ່ຽງດ້ານຄວາມຮັບຜິດຊອບຈາກຂໍ້ມູນທີ່ຜິດພາດ. ໂດຍສະເພາະໃນກໍລະນີທີ່ນຳຜົນລັບຈາກ AI ໄປໃຊ້ໃນເອກະສານທາງກົດໝາຍ ຫຼື ການຍື່ນຄຳຮ້ອງທາງລັດຖະການ, ຄວນກຳນົດໃຫ້ມີຂະບວນການ ຫຼື Pipeline ກວດສອບໂດຍຜູ້ຊ່ຽວຊານເປັນຂັ້ນຕອນທີ່ຕ້ອງປະຕິບັດຢ່າງເຂັ້ມງວດ.

☐ ລາຍການທີ 16: ໄດ້ກຳນົດເຄື່ອງມື AI ທີ່ອະນຸຍາດໃຫ້ພະນັກງານໃຊ້ໃນການເຮັດວຽກແລ້ວຫຼືບໍ່

ການໃຊ້ເຄື່ອງມື AI ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ (Shadow AI) ແມ່ນສາເຫດໜຶ່ງຂອງການຮົ່ວໄຫຼຂໍ້ມູນທີ່ບໍ່ໄດ້ຕັ້ງໃຈ. ຄວນຈັດທຳລາຍການເຄື່ອງມືທີ່ໄດ້ຮັບອະນຸຍາດ ພ້ອມທັງວາງກົດລະບຽບການໃຊ້ງານ (ລວມທັງການກຳນົດຂໍ້ມູນທີ່ຫ້າມປ້ອນເຂົ້າລະບົບ).

☐ ລາຍການທີ 17: ໄດ້ຈັດຝຶກອົບຮົມ ແລະ ໃຫ້ຄວາມຮູ້ກ່ຽວກັບການໃຊ້ AI ແລ້ວຫຼືບໍ່

ການມີນະໂຍບາຍຢ່າງດຽວນັ້ນຍັງບໍ່ພຽງພໍ. ໂດຍສະເພາະສຳລັບພະນັກງານທ້ອງຖິ່ນໃນລາວ ຄວນຈັດກຽມເອກະສານຝຶກອົບຮົມເປັນພາສາລາວ ເພື່ອໃຫ້ພວກເຂົາເຂົ້າໃຈຄວາມສ່ຽງຂອງການໃຊ້ AI ແລະ ວິທີການໃຊ້ງານທີ່ຖືກຕ້ອງເໝາະສົມ.

☐ ລາຍການທີ 18: ໄດ້ກຳນົດຂະບວນການ ຫຼື Pipeline ລາຍງານເມື່ອເກີດເຫດການຈາກການໃຊ້ AI ແລ້ວຫຼືບໍ່

ຄວນກຳນົດຂະບວນການ Escalation ສຳລັບຮັບມືກັບເຫດການສະເພາະທີ່ເກີດຈາກ AI ເຊັ່ນ: ຄວາມເສຍຫາຍຈາກການຕັດສິນໃຈຜິດພາດຂອງ AI ຫຼື ການຮົ່ວໄຫຼຂໍ້ມູນຜ່ານ AI. ວິທີທີ່ເປັນຈິງທີ່ສຸດຄືການລວມ ຫຼື Merge ຂະບວນການນີ້ເຂົ້າກັບຂະບວນການ ຫຼື Pipeline ລາຍງານເຫດການດ້ານ Cybersecurity ທີ່ມີຢູ່ແລ້ວ.

ສຳລັບມາດຕະການທາງດ້ານເຕັກນິກດ້ານຄວາມປອດໄພ AI ໄດ້ອະທິບາຍເສີມໄວ້ໃນ ລາວ AI Security Checklist.

ກວດສອບລະບົບຄວາມປອດໄພຂອງວິສາຫະກິດ ໂດຍສຸມໃສ່ກົດໝາຍອາຊະຍາກຳທາງໄຊເບີເປັນພື້ນຖານ ຫຼື ຫຼັກການ.

☐ ລາຍການທີ 19: ທ່ານຮູ້ຈັກສະຖານທີ່ລາຍງານ ແລະ ກຳນົດເວລາລາຍງານເມື່ອເກີດເຫດການທາງໄຊເບີບໍ?

ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີກຳນົດໃຫ້ມີການລາຍງານຕໍ່ເຈົ້າໜ້າທີ່ທີ່ກ່ຽວຂ້ອງເມື່ອເກີດເຫດການ. ຄວນກວດສອບລ່ວງໜ້າກ່ຽວກັບສະຖານທີ່ລາຍງານ (ເຊັ່ນ: LaoCERT ພາຍໃຕ້ກະຊວງວິທະຍາສາດ ແລະ ເຕັກໂນໂລຊີ) ແລະ ຂັ້ນຕອນການລາຍງານ. ການລໍຖ້າຄົ້ນຫາຂໍ້ມູນຫຼັງຈາກເກີດເຫດການແລ້ວຈະສາຍເກີນໄປ.

☐ ລາຍການທີ 20: ທ່ານໄດ້ຈັດທຳແຜນການຮັບມືກັບເຫດການ (IRP) ແລະ ຝຶກຊ້ອມຢ່າງສະໝ່ຳສະເໝີບໍ?

ນອກຈາກການຈັດທຳແຜນການແລ້ວ ຍັງຕ້ອງດຳເນີນການຝຶກຊ້ອມ (Tabletop Exercise) ຢ່າງໜ້ອຍປີລະ 1 ຄັ້ງ. ໃນສະພາບແວດລ້ອມດ້ານການສື່ສານໂທລະຄົມຂອງລາວ ຊ່ອງທາງການຕິດຕໍ່ສຸກເສີນກັບສຳນັກງານໃຫຍ່ອາດແຕກຕ່າງຈາກປົກກະຕິ — ຄວນລວມເອົາການສື່ສານຜ່ານດາວທຽມ ແລະ ຊ່ອງທາງການຕິດຕໍ່ແບບ Offline ໄວ້ໃນແຜນການດ້ວຍ.

☐ ລາຍການທີ 21: ທ່ານໄດ້ກຳນົດໄລຍະເວລາການເກັບຮັກສາ Log ແລະ ຂັ້ນຕອນການຄົງຄ່າໄວ້ບໍ?

ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີກຳນົດໃຫ້ມີການຄົງຄ່າຫຼັກຖານທາງອີເລັກໂທຣນິກໄວ້. ຄວນເກັບຮັກສາ System Log ແລະ Access Log ໄວ້ຢ່າງໜ້ອຍ 1 ປີ ພ້ອມທັງດຳເນີນມາດຕະການປ້ອງກັນການດັດແປງ. ຄວນກຽມຄວາມພ້ອມໃນການຕອບສະໜອງຕໍ່ຄຳຮ້ອງຂໍສົ່ງຫຼັກຖານຈາກອົງການສືບສວນ.

☐ ລາຍການທີ 22: ມີການນຳໃຊ້ລະບົບ Firewall ແລະ ລະບົບກວດຈັບ/ປ້ອງກັນການບຸກລຸກ (IDS/IPS) ຫຼືບໍ່

ນອກຈາກການປ້ອງກັນຂອບເຂດພື້ນຖານແລ້ວ ຍັງຕ້ອງອອກແບບໂດຍຄຳນຶງເຖິງລັກສະນະສະເພາະຂອງເຄືອຂ່າຍພາຍໃນລາວ ເຊັ່ນ: ຄວາມບໍ່ສະຖຽນຂອງແບນວິດ ແລະ ຄວາມຫຼາກຫຼາຍຂອງ ISP. ໃນບາງກໍລະນີ ຄຸນນະພາບການສື່ສານລະຫວ່າງສຳນັກງານໃນນະຄອນຫຼວງວຽງຈັນ ແລະ ສາຂາຕ່າງແຂວງອາດມີຄວາມແຕກຕ່າງກັນຢ່າງຫຼວງຫຼາຍ.

☐ ລາຍການທີ 23: ມີການອັບເດດ Patch ແກ້ໄຂຊ່ອງໂຫວ່ຂອງຊອບແວຢ່າງສະໝ່ຳສະເໝີຫຼືບໍ່

ການຈັດການ Patch ຖືເປັນພື້ນຖານທີ່ສຳຄັນທີ່ສຸດ ແຕ່ໃນຄວາມເປັນຈິງ ສຳນັກງານທ້ອງຖິ່ນໃນລາວມັກປະສົບບັນຫາ "ແບນວິດບໍ່ພຽງພໍຈົນບໍ່ສາມາດອັບເດດໄດ້". ດັ່ງນັ້ນ ຈຶ່ງຄວນກຽມຂັ້ນຕອນການອັບເດດແບບ Offline ໄວ້ດ້ວຍ.

☐ ລາຍການທີ 24: ມີການຈັດໂຄງການເສີມສ້າງຄວາມຮູ້ດ້ານຄວາມປອດໄພໃຫ້ແກ່ພະນັກງານຫຼືບໍ່

ໃຫ້ຈັດໂຄງການທີ່ຄອບຄຸມທັງການຝຶກຊ້ອມຮັບມືກັບ Phishing Email, ການສຶກສາດ້ານການຈັດການລະຫັດຜ່ານ ແລະ ຄວາມປອດໄພທາງກາຍະພາບ (ເຊັ່ນ: ການຈຳກັດການນຳ USB Memory ເຂົ້າມາ) ຢ່າງໜ້ອຍ 2 ຄັ້ງຕໍ່ປີ.

☐ ລາຍການທີ 25: ມີການວາງແຜນ Backup ຂໍ້ມູນ ແລະ ແຜນການຟື້ນຟູຈາກໄພພິບັດ (DR) ຫຼືບໍ່

ໃຫ້ເກັບຮັກສາ Backup ຂໍ້ມູນໄວ້ໃນຫຼາຍສະຖານທີ່ທັງພາຍໃນ ແລະ ຕ່າງປະເທດ. ເນື່ອງຈາກລາວມີຄວາມສ່ຽງຕໍ່ໄພທຳມະຊາດ (ເຊັ່ນ: ນ້ຳຖ້ວມ) ຈຶ່ງຕ້ອງຄຳນຶງເຖິງການກະຈາຍທາງກາຍະພາບດ້ວຍ. ນອກຈາກນີ້ ໃຫ້ກຳນົດໄລຍະເວລາເປົ້າໝາຍການກູ້ຄືນ (RTO — Recovery Time Objective) ແລະ ຈຸດເປົ້າໝາຍໃນການຟື້ນຟູ (RPO — Recovery Point Objective) ໃຫ້ຊັດເຈນ.

ການພັດທະນາກົດໝາຍຂອງລາວບໍ່ແມ່ນ "ລ້າຫຼັງ" ແຕ່ຢູ່ໃນຂັ້ນຕອນ "ກຳລັງຕາມທັນ". ແລະ DEFA ຄືເຄື່ອງຈັກເລັ່ງຄວາມໄວໃນຂະບວນການນັ້ນ.

ສັນຍາ DEFA ທີ່ 10 ປະເທດ ASEAN ໄດ້ລົງນາມໃນປີ 2025 ນັ້ນ ເປັນກອບການເຮັດວຽກທີ່ລວມເອົາກົດລະບຽບດ້ານການຄ້າດິຈິຕອລ ແລະ ການໄຫຼວຽນຂໍ້ມູນພາຍໃນພາກພື້ນໃຫ້ເປັນມາດຕະຖານດຽວກັນ. ໂດຍຄອບຄຸມຂົງເຂດດັ່ງຕໍ່ໄປນີ້:

• ການອຳນວຍຄວາມສະດວກໃຫ້ການໄຫຼວຽນຂໍ້ມູນຂ້າມຊາຍແດນ
• ການໃຊ້ງານຮ່ວມກັນຂອງລະບົບການຊຳລະເງິນດິຈິຕອລ
• ການຮ່ວມມືດ້ານ Cybersecurity
• ຫຼັກການຮ່ວມດ້ານ AI Governance
• ການປົກປ້ອງຜູ້ບໍລິໂພກ

ລາວມີຂະໜາດເສດຖະກິດດິຈິຕອລທີ່ຍັງນ້ອຍຢູ່ໃນກຸ່ມ ASEAN ແຕ່ການເຂົ້າຮ່ວມ DEFA ຈະເຮັດໃຫ້ລາວໄດ້ຮັບແຮງກົດດັນ (ພ້ອມທັງການສະໜັບສະໜູນ) ຈາກພາຍນອກ ໃນການເລັ່ງລັດການຈັດຕັ້ງກົດໝາຍພາຍໃນປະເທດໃຫ້ທັນສະໄໝ.

DEFA ອີງໃສ່ຫຼັກການ "ການໄຫຼວຽນຂໍ້ມູນທີ່ອາໄສຄວາມໄວ້ວາງໃຈ" ແລະ ຮຽກຮ້ອງໃຫ້ແຕ່ລະປະເທດມີມາດຕະຖານການປົກປ້ອງຂໍ້ມູນຂັ້ນຕ່ຳ. ນີ້ຖືເປັນສັນຍານທີ່ຊຸກຍູ້ໃຫ້ລາວຈັດຕັ້ງປະຕິບັດກົດໝາຍທີ່ຄອບຄຸມໃນຮູບແບບ PDPA.

ສິ່ງທີ່ວິສາຫະກິດຄວນດຳເນີນການໃນຕອນນີ້ແມ່ນຊັດເຈນ ນັ້ນຄື ການສ້າງລະບົບການຄຸ້ມຄອງຂໍ້ມູນທີ່ຮອງຮັບມາດຕະຖານ ຫຼື Specification ຂອງ DEFA ໄວ້ລ່ວງໜ້າ. ໂດຍສະເພາະ:

1. ການດຳເນີນການ Data Mapping (ຂໍ້ມູນໃດ, ຢູ່ທີ່ໃດ, ໄຫຼວຽນແນວໃດ)
2. ການຈັດຕຽມສັນຍາການປຸງແຕ່ງຂໍ້ມູນ (ລະຫວ່າງຜູ້ໃຫ້ບໍລິການ ແລະ ບໍລິສັດໃນກຸ່ມ)
3. ການແປນະໂຍບາຍຄວາມເປັນສ່ວນຕົວເປັນຫຼາຍພາສາ (ພາສາລາວ ແລະ ພາສາອັງກິດ)
4. ການສ້າງລະບົບຮັບມືກັບເຫດການສຸກເສີນ (Incident Response)

ທັງ 4 ຂໍ້ນີ້ແມ່ນຂໍ້ກຳນົດພື້ນຖານທີ່ຈະຖືກຮຽກຮ້ອງຢ່າງແນ່ນອນ ບໍ່ວ່າກົດໝາຍໃດຈະຖືກບັນຍັດຂຶ້ນໃນອະນາຄົດ ແລະ ການລົງທຶນດັ່ງກ່າວຈະບໍ່ສູນເປົ່າ.

ບໍລິສັດຫຼາຍແຫ່ງມັກຕີຄວາມວ່າ ການທີ່ບໍ່ມີກົດໝາຍຄຸ້ມຄອງຂໍ້ມູນສ່ວນຕົວແບບຄົບຊຸດນັ້ນ ໝາຍຄວາມວ່າ "ບໍ່ມີກົດລະບຽບຄວບຄຸມ" ແຕ່ຢ່າງໃດ. ແຕ່ໃນຄວາມເປັນຈິງ ກົດໝາຍວ່າດ້ວຍການຄຸ້ມຄອງຂໍ້ມູນທາງອີເລັກໂທຣນິກ ແລະ ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີ ມີຜົນບັງຄັບໃຊ້ຢ່າງແນ່ນອນ ແລະ ການລະເມີດກໍ່ມີບົດລົງໂທດທີ່ຊັດເຈນ. ຍິ່ງໄປກວ່ານັ້ນ ການບັງຄັບໃຊ້ກົດໝາຍໃນລາວມີລັກສະນະທີ່ຂຶ້ນກັບດຸນພິນິດຂອງເຈົ້າໜ້າທີ່ ດັ່ງນັ້ນ ການອ້າງວ່າ "ບໍ່ຮູ້ກົດໝາຍ" ຈຶ່ງບໍ່ສາມາດໃຊ້ເປັນຂໍ້ແກ້ຕົວໄດ້ ເມື່ອເກີດບັນຫາຂຶ້ນ.

ໃນກໍລະນີທີ່ຜູ້ຂຽນໄດ້ພົບເຫັນດ້ວຍຕົນເອງ ບໍລິສັດຕ່າງປະເທດແຫ່ງໜຶ່ງໄດ້ໂອນຖານຂໍ້ມູນລູກຄ້າໄປໄວ້ທີ່ເຊີບເວີນອກລາວໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ. ເມື່ອຖືກເຈົ້າໜ້າທີ່ເຂົ້າກວດສອບ ບໍລິສັດດັ່ງກ່າວໄດ້ອ້າງວ່າ "ໄດ້ຍິນວ່າລາວບໍ່ມີກົດໝາຍຄຸ້ມຄອງຂໍ້ມູນ" ແຕ່ເມື່ອຖືກຊີ້ໃຫ້ເຫັນຂໍ້ຄວາມໃນກົດໝາຍວ່າດ້ວຍການຄຸ້ມຄອງຂໍ້ມູນທາງອີເລັກໂທຣນິກ ຈຶ່ງໄດ້ຮັບຮູ້ເຖິງຄວາມຮ້າຍແຮງຂອງສະຖານະການ. ໃນທີ່ສຸດ ບໍລິສັດໄດ້ຮັບຄຳສັ່ງໃຫ້ແກ້ໄຂ ແລະ ຖືກປັບໂທດ.

ຢູ່ລາວ ບໍ່ພຽງແຕ່ຂໍ້ຄວາມໃນກົດໝາຍເທົ່ານັ້ນ ແຕ່ ການຊີ້ນຳດ້ານການບໍລິຫານຂອງກະຊວງ (ຄຳແນະນຳ ແລະ ແນວທາງ) ຍັງມີອຳນາດຄວບຄຸມຢ່າງເປັນຈິງຈັງ ໃນຫຼາຍກໍລະນີ. ກະຊວງເຕັກໂນໂລຊີ ແລະ ການສື່ສານ (ກະຊວງເຕັກໂນໂລຊີ ແລະ ການສື່ສານ) ແມ່ນໜ່ວຍງານຫຼັກທີ່ຮັບຜິດຊອບນະໂຍບາຍດິຈິຕອນ ແລະ ອາດມີການຊີ້ນຳໃນເລື່ອງທີ່ບໍ່ໄດ້ລະບຸໄວ້ຢ່າງຊັດເຈນໃນກົດໝາຍ.

ມາດຕະການຮັບມືໄດ້ແກ່:

• ຕິດຕາມການປະກາດຢ່າງເປັນທາງການຂອງ MoST ຢ່າງສະໝ່ຳສະເໝີ
• ຮັບຂໍ້ມູນຂ່າວສານລ່າສຸດໂດຍຜ່ານສັນຍາທີ່ປຶກສາກັບສຳນັກງານກົດໝາຍທ້ອງຖິ່ນ
• ໃຊ້ປະໂຫຍດຈາກເຄືອຂ່າຍຂອງສະມາຄົມທຸລະກິດ (ເຊັ່ນ: ຫໍການຄ້າ ແລະ ອຸດສາຫະກຳແຫ່ງຊາດລາວ ແລະ ອື່ນໆ)

ບໍລິສັດຕ່າງປະເທດຫຼາຍແຫ່ງທີ່ດຳເນີນທຸລະກິດໃນລາວ ມັກແບ່ງປັນຂໍ້ມູນກັບຄູ່ຮ່ວມທຸລະກິດໃນທ້ອງຖິ່ນ (ບໍລິສັດຮ່ວມທຶນ, ຕົວແທນຈຳໜ່າຍ, ຜູ້ຮັບເໝົາ). ພື້ນຖານ ຫຼື ຫຼັກການທີ່ມັກຖືກມອງຂ້າມໃນກໍລະນີນີ້ ມີດັ່ງນີ້:

• ການຄຸ້ມຄອງຜູ້ຮັບເໝົາດ້ານການປະມວນຜົນຂໍ້ມູນ: ຍັງບໍ່ທັນໄດ້ກວດສອບວ່າຄູ່ຮ່ວມທຸລະກິດໄດ້ດຳເນີນມາດຕະການຄວາມປອດໄພທີ່ເໝາະສົມຫຼືບໍ່
• ການສົ່ງຄືນ ແລະ ລຶບຂໍ້ມູນເມື່ອສິ້ນສຸດສັນຍາ: ມີຫຼາຍກໍລະນີທີ່ບໍ່ໄດ້ລະບຸໄວ້ຢ່າງຊັດເຈນໃນສັນຍາ
• ການຈຳກັດການມອບໝາຍຕໍ່: ການຮັບມືກັບກໍລະນີທີ່ຄູ່ຮ່ວມທຸລະກິດສົ່ງຂໍ້ມູນຕໍ່ໃຫ້ບຸກຄົນທີສາມ
• ສິດໃນການກວດສອບ (Audit): ການຮັບປະກັນສິດໃນການກວດສອບສະຖານະການຄຸ້ມຄອງຂໍ້ມູນຂອງຄູ່ຮ່ວມທຸລະກິດ

ບໍ່ມີ. ລາວໄດ້ກຳນົດການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວໄວ້ບາງສ່ວນໃນກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກ (ປີ 2017) ແຕ່ຍັງບໍ່ທັນມີກົດໝາຍທີ່ຄອບຄຸມທົ່ວເຖິງຄືກັບ GDPR ຫຼື PDPA ຂອງໄທ. ຢ່າງໃດກໍ່ຕາມ, ເນື່ອງຈາກການເຂົ້າຮ່ວມ ASEAN DEFA, ມີຄວາມເປັນໄປໄດ້ທີ່ກົດໝາຍທີ່ຄອບຄຸມທົ່ວເຖິງດັ່ງກ່າວຈະຖືກສ້າງຂຶ້ນພາຍໃນສອງສາມປີຂ້າງໜ້າ. ໃນຂັ້ນຕອນນີ້, ການປະຕິບັດຕາມກົດໝາຍທີ່ມີຢູ່ທັງ 3 ສະບັບຖືເປັນເສັ້ນຂັ້ນຕ່ຳສຸດທີ່ຕ້ອງປະຕິບັດ.

ໃນຂະນະນີ້, ຍັງບໍ່ທັນມີລະບົບການແຈ້ງຂໍ້ມູນ ຫຼື ການອະນຸຍາດທີ່ອຸທິດຕົນໃຫ້ກັບການນຳໃຊ້ AI ໂດຍສະເພາະ. ຢ່າງໃດກໍ່ຕາມ, ຫາກ AI ປະມວນຜົນຂໍ້ມູນສ່ວນຕົວ, ກໍ່ຈະຕົກຢູ່ພາຍໃຕ້ການບັງຄັບໃຊ້ຂອງກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກ. ນອກຈາກນີ້, ໃນຂະແໜງທີ່ຢູ່ພາຍໃຕ້ການຄວບຄຸມ ເຊັ່ນ: ການເງິນ, ການແພດ, ແລະ ການສຶກສາ, ກົດລະບຽບສະເພາະຂອງແຕ່ລະຂະແໜງກໍ່ອາດຈະຄອບຄຸມໄປເຖິງການນຳໃຊ້ AI ດ້ວຍ. ຈຶ່ງແນະນຳໃຫ້ຢືນຢັນລ່ວງໜ້າກັບໜ່ວຍງານຄວບຄຸມທີ່ຮັບຜິດຊອບໃນແຕ່ລະຂະແໜງ.

ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກໄດ້ກຳນົດເງື່ອນໄຂສຳລັບການໂອນຂໍ້ມູນຂ້າມຊາຍແດນ, ແຕ່ຂັ້ນຕອນສະເພາະ (ສິ່ງທີ່ທຽບເທົ່າກັບການຮັບຮອງຄວາມພຽງພໍ ຫຼື SCC) ຍັງບໍ່ທັນໄດ້ຖືກກຳນົດລາຍລະອຽດຢ່າງຄົບຖ້ວນເທົ່າກັບ GDPR. ໃນທາງປະຕິບັດ, ຂັ້ນຕ່ຳທີ່ຕ້ອງດຳເນີນການ ໄດ້ແກ່: ການກວດສອບລະດັບການປົກປ້ອງຂໍ້ມູນຂອງຝ່າຍທີ່ຮັບໂອນຂໍ້ມູນ, ການທຳສັນຍາການປະມວນຜົນຂໍ້ມູນ, ແລະ ການແຈ້ງໃຫ້ເຈົ້າຂອງຂໍ້ມູນຊາບ. ນອກຈາກນີ້, ຄວນໃຫ້ຄວາມສົນໃຈວ່າການນຳໃຊ້ບໍລິການ Cloud ກໍຖືວ່າເປັນການໂອນຂໍ້ມູນຂ້າມຊາຍແດນດ້ວຍເຊັ່ນກັນ.

ຂຶ້ນຢູ່ກັບກົດໝາຍທີ່ກ່ຽວຂ້ອງ. ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີ ກຳນົດໂທດຈຳຄຸກ (ສູງສຸດ 5 ປີ) ແລະ ໂທດປັບໃໝ ສຳລັບການເຂົ້າເຖິງລະບົບໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ ແລະ ການປ່ຽນແປງຂໍ້ມູນ. ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກ ສ່ວນໃຫຍ່ເນັ້ນໃສ່ການລົງໂທດທາງດ້ານບໍລິຫານ (ຄຳສັ່ງໃຫ້ແກ້ໄຂ, ຄຳສັ່ງໃຫ້ຢຸດດຳເນີນທຸລະກິດ ແລະ ອື່ນໆ). ຈຳນວນເງິນຄ່າປັບໃໝນັ້ນບໍ່ສູງເທົ່າ GDPR (4% ຂອງລາຍຮັບ) ແຕ່ຄວາມສ່ຽງທີ່ເປັນຕົວຈິງ ເຊັ່ນ: ການຖືກຖອນໃບອະນຸຍາດດຳເນີນທຸລະກິດໃນລາວ ແລະ ຄວາມສຳພັນທີ່ເຊື່ອມໂຊມລົງກັບໜ່ວຍງານທາງການ ຖືວ່າຮ້າຍແຮງກວ່ານັ້ນ.

ເມື່ອກວດສອບທັງ 25 ລາຍການຄົບຖ້ວນແລ້ວ, ໃຫ້ດຳເນີນການຕາມລຳດັບຄວາມສຳຄັນດັ່ງນີ້.

1. ການຈັດລຳດັບຄວາມສຳຄັນຂອງລາຍການທີ່ຍັງບໍ່ໄດ້ດຳເນີນການ

2. ການປຶກສາຫາລືກັບຜູ້ຊ່ຽວຊານ

ໃຫ້ຕິດຕໍ່ທະນາຍຄວາມທີ່ມີຄວາມຊ່ຽວຊານດ້ານກົດໝາຍລາວ, ເພື່ອຂໍໃຫ້ປະເມີນຄວາມສ່ຽງ ແລະ ກຳນົດແນວທາງດຳເນີນການສຳລັບລາຍການທີ່ຍັງຄ້າງຢູ່. ທີ່ນະຄອນຫຼວງວຽງຈັນມີສຳນັກງານກົດໝາຍສາກົນຕັ້ງຢູ່, ລວມທັງສຳນັກງານທີ່ສາມາດໃຫ້ບໍລິການເປັນພາສາອັງກິດ ແລະ ພາສາຍີ່ປຸ່ນ.

3. ສຶກສາເພີ່ມເຕີມຈາກບົດຄວາມທີ່ກ່ຽວຂ້ອງ

• ພາບລວມຂອງ AI Governance — ການປຽບທຽບກົດລະບຽບ AI ລະດັບໂລກ ລວມທັງ EU AI Act
• ລາຍການກວດສອບຄວາມປອດໄພ AI ຂອງລາວ — ລາຍລະອຽດດ້ານມາດຕະການຄວາມປອດໄພທາງເທັກນິກ
• ຄູ່ມືປ້ອງກັນການສໍ້ໂກງທາງໂທລະສັບສະຫຼາດໃນລາວ — ຕົວຢ່າງຕົວຈິງ ແລະ ມາດຕະການຮັບມືກ່ຽວກັບກົດໝາຍອາຊະຍາກຳທາງໄຊເບີ

4. ການທົບທວນຄືນຢ່າງສະໝ່ຳສະເໝີ

ກົດລະບຽບ ແລະ ຂໍ້ກຳນົດຂອງລາວຍັງຢູ່ໃນຂະບວນການປ່ຽນແປງ. ຂໍໃຫ້ທົບທວນລາຍການກວດສອບນີ້ທຸກໄຕມາດ (3 ເດືອນຕໍ່ຄັ້ງ), ເພື່ອສະທ້ອນໃຫ້ເຫັນຄວາມຄືບໜ້າຂອງກົດໝາຍ, ລະບຽບການ, ແລະ ການພັດທະນາຂອງ DEFA ທີ່ອອກໃໝ່.