ຈຸດສຳຄັນທີ່ທຸລະກິດຕ້ອງຮູ້ກ່ຽວກັບກົດໝາຍດິຈິຕອລຂອງລາວ — ລາຍການກວດສອບການປະຕິບັດຕາມກົດລະບຽບດ້ານການປົກປ້ອງຂໍ້ມູນ ແລະ ການນຳໃຊ້ AI 【ທັງໝົດ 25 ຫົວຂໍ້】
ຂໍ້ຄວາມນຳ
ຂໍ້ສັງເກດ: ບົດຄວາມນີ້ມີຈຸດປະສົງເພື່ອໃຫ້ຂໍ້ມູນເທົ່ານັ້ນ ແລະ ບໍ່ຖືເປັນຄຳແນະນຳທາງກົດໝາຍ. ສຳລັບການຕັດສິນໃຈທາງກົດໝາຍໂດຍສະເພາະ, ກະລຸນາປຶກສາທະນາຍຄວາມທີ່ມີຄວາມຊ່ຽວຊານດ້ານກົດໝາຍລາວ. ການແປກົດໝາຍໃນທີ່ນີ້ເປັນການແປອ້າງອີງໂດຍຜູ້ຂຽນ, ໂດຍສະບັບທາງການແມ່ນພາສາລາວ.
ສຳລັບວິສາຫະກິດທີ່ດຳເນີນທຸລະກິດໃນລາວ, ລະບຽບກົດໝາຍທີ່ກ່ຽວຂ້ອງກັບດ້ານດິຈິຕອນແມ່ນຂົງເຂດທີ່ກຳລັງໄດ້ຮັບການຈັດຕັ້ງຢ່າງວ່ອງໄວ.
ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ (PDP Law) ໄດ້ຖືກບັງຄັບໃຊ້ແລ້ວ. ສະພາແຫ່ງຊາດລາວໄດ້ຜ່ານ ແລະ ບັງຄັບໃຊ້ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ (ອ້າງອີງ: Rajah & Tann Asia). ດ້ວຍເຫດນີ້, ລາວຈຶ່ງໄດ້ກາຍເປັນໜຶ່ງໃນປະເທດສະມາຊິກ ASEAN ທີ່ມີກົດໝາຍປົກປ້ອງຂໍ້ມູນແບບຄົບຊຸດ, ຕໍ່ຈາກໄທ ແລະ ຫວຽດນາມ.
ນອກຈາກນັ້ນ, ກົດໝາຍ 3 ສະບັບ ທີ່ມີຢູ່ກ່ອນໜ້ານີ້ ໄດ້ແກ່ ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນເອເລັກໂທຣນິກ (ປີ 2017), ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີ (ປີ 2015) ແລະ ກົດໝາຍວ່າດ້ວຍທຸລະກຳເອເລັກໂທຣນິກ (ປີ 2012) ຍັງຄົງມີຜົນບັງຄັບໃຊ້ຢູ່, ແລະ ປະກອບກັນກັບກົດໝາຍໃໝ່ ສ້າງເປັນລະບົບລະບຽບຫຼາຍຊັ້ນ. ຍິ່ງໄປກວ່ານັ້ນ, ກົດໝາຍວ່າດ້ວຍຄວາມປອດໄພທາງໄຊເບີສະບັບໃໝ່ ກຳລັງຢູ່ໃນຂັ້ນຕອນການພິຈາລະນາຂອງສະພາແຫ່ງຊາດ (ອ້າງອີງ: KPL), ສະແດງໃຫ້ເຫັນວ່າລະບຽບດ້ານດິຈິຕອນກຳລັງເພີ່ມທະວີຂຶ້ນເລື້ອຍໆ.
ໃນບົດຄວາມນີ້, ລະບຽບກົດໝາຍດ້ານດິຈິຕອນຂອງລາວໄດ້ຖືກລວບລວມໄວ້ເປັນ ລາຍການກວດສອບ 25 ຂໍ້. ເຄື່ອງມືນີ້ຖືກອອກແບບມາເພື່ອໃຫ້ຜູ້ບໍລິຫານ ແລະ ຜູ້ຮັບຜິດຊອບດ້ານກົດໝາຍສາມາດກວດສອບການຈັດການຂໍ້ມູນ ແລະ ການນຳໃຊ້ AI ຂອງອົງກອນຕົນເອງ, ພ້ອມທັງລະບຸຈຸດທີ່ອາດຂາດຕົກບົກພ່ອງດ້ານ Compliance ໄດ້ຢ່າງມີປະສິດທິພາບ.
ວິທີໃຊ້ລາຍການກວດສອບນີ້
ລາຍການກວດສອບນີ້ປະກອບດ້ວຍ 3 ໝວດໝູ່ ແລະ 25 ລາຍການທັງໝົດ ດັ່ງລຸ່ມນີ້:
| ໝວດໝູ່ | ຈຳນວນລາຍການ | ຂອບເຂດ |
|---|---|---|
| ການປົກປ້ອງຂໍ້ມູນ | 10 ລາຍການ | ການເກັບກຳ, ການເກັບຮັກສາ ແລະ ການໂອນຂໍ້ມູນສ່ວນຕົວ |
| ການນຳໃຊ້ AI | 8 ລາຍການ | ການນຳໃຊ້, ການດຳເນີນງານ ແລະ ນະໂຍບາຍ AI |
| ຄວາມປອດໄພທາງໄຊເບີ | 7 ລາຍການ | ການຮັບມືກັບເຫດການ ແລະ ມາດຕະການຄວາມປອດໄພທາງດ້ານເຕັກນິກ |
ວິທີໃຊ້ງານ: ກວດສອບ ☐ ຂອງແຕ່ລະລາຍການຕາມລຳດັບ ແລ້ວລະບຸລາຍການທີ່ຍັງບໍ່ໄດ້ດຳເນີນການ. ສຳລັບລາຍການທີ່ຍາກຕໍ່ການຕັດສິນໃຈດ້ວຍຕົນເອງ, ແນະນຳໃຫ້ປຶກສາທະນາຍຄວາມທ້ອງຖິ່ນທີ່ມີຄວາມຊ່ຽວຊານດ້ານກົດໝາຍລາວ. ຫາກຕ້ອງການລາຍການກວດສອບໃນຮູບແບບ PDF, ສາມາດດາວໂຫຼດໄດ້ຜ່ານ CTA ທ້າຍໜ້າ.
ກົດໝາຍດິຈິຕອລຂອງລາວມີຫຍັງແດ່? — ພາບລວມຂອງ 4 ກົດໝາຍ
ເພື່ອເຂົ້າໃຈກົດລະບຽບດິຈິຕອລຂອງລາວ, ຈຳເປັນຕ້ອງເຂົ້າໃຈວ່າລະບົບນີ້ປະກອບດ້ວຍການລວມກັນຂອງ 4 ກົດໝາຍ.
| ຊື່ກົດໝາຍ | ປີທີ່ກຳນົດ | ຂອບເຂດຫຼັກ |
|---|---|---|
| ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ (PDP Law) | ຜ່ານແລ້ວ | ການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວຢ່າງຄອບຄຸມ |
| ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນເອເລັກໂທຣນິກ (ສະບັບເລກທີ 25/NA) | ປີ 2017 | ການປົກປ້ອງ ແລະ ການຄຸ້ມຄອງຂໍ້ມູນເອເລັກໂທຣນິກ |
| ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີ | ປີ 2015 | ການປ້ອງກັນ ແລະ ການລົງໂທດອາຊະຍາກຳທາງໄຊເບີ |
| ກົດໝາຍວ່າດ້ວຍທຸລະກຳເອເລັກໂທຣນິກ | ປີ 2012 | ລາຍເຊັນເອເລັກໂທຣນິກ, ສັນຍາເອເລັກໂທຣນິກ ແລະ ອີຄອມເມີດ |
ນອກຈາກນີ້, ກົດໝາຍວ່າດ້ວຍຄວາມປອດໄພທາງໄຊເບີສະບັບໃໝ່ (10 ພາກ, 11 ໝວດ, 79 ມາດຕາ) ກຳລັງຢູ່ໃນຂັ້ນຕອນການພິຈາລະນາຂອງສະພາແຫ່ງຊາດ, ຫາກຜ່ານການຮັບຮອງ ກໍຈະເພີ່ມກອບກົດໝາຍສະເພາະດ້ານຄວາມປອດໄພທາງໄຊເບີຂຶ້ນມາອີກ (ທີ່ມາ: KPL).
ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນບຸກຄົນ (PDP Law) — ກົດໝາຍປົກປ້ອງຂໍ້ມູນທີ່ຄອບຄຸມທົ່ວດ້ານສະບັບທຳອິດຂອງລາວ
ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ ແມ່ນກົດໝາຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວແບບຄົບຊຸດທີ່ຜ່ານການຮັບຮອງຈາກສະພາແຫ່ງຊາດລາວ ໂດຍເປັນການຍົກລະດັບກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນເອເລັກໂທຣນິກສະບັບເກົ່າ (ປີ 2017) ແລະ ລະບຽບການລະດັບດຳລາໃຫ້ກາຍເປັນກົດໝາຍທາງການ (ທີ່ມາ: Rajah & Tann Asia).
ບົດບັນຍັດຫຼັກ:
- ຂອບເຂດການນຳໃຊ້: ນຳໃຊ້ກັບທັງພາກລັດ ແລະ ພາກເອກະຊົນ
- ຄຳນິຍາມຂໍ້ມູນສ່ວນຕົວ: ຂໍ້ມູນທີ່ສາມາດລະບຸຕົວຕົນບຸກຄົນໄດ້ (ຊື່, ເລກປະຈຳຕົວ, ຂໍ້ມູນທີ່ຕັ້ງ ແລະ ອື່ນໆ)
- ການຂໍຄວາມຍິນຍອມ: ການປະມວນຜົນຂໍ້ມູນໂດຍຫຼັກການຕ້ອງໄດ້ຮັບຄວາມຍິນຍອມຈາກເຈົ້າຂອງຂໍ້ມູນ
- ສິດຂອງເຈົ້າຂອງຂໍ້ມູນ: ກຳນົດສິດໃນການແກ້ໄຂ, ສິດໃນການຢຸດການໂອນຍ້າຍ ແລະ ສິດໃນການລຶບຂໍ້ມູນໄວ້ໃນກົດໝາຍ
- ການໂອນຂໍ້ມູນຂ້າມຊາຍແດນ: ການໂອນຂໍ້ມູນໄປຕ່າງປະເທດຕ້ອງຜ່ານການປະເມີນ ແລະ ການອະນຸມັດ
- ອົງການກຳກັບດູແລ: ອົງການປົກປ້ອງຂໍ້ມູນພາຍໃຕ້ກະຊວງເທັກໂນໂລຊີ ແລະ ການສື່ສານ (MoTC)
- ບົດລົງໂທດ: ໂທດທາງປົກຄອງ (LAK 25 ລ້ານ ຫາ 100 ລ້ານ), ໃນກໍລະນີທີ່ຮ້າຍແຮງອາດໄດ້ຮັບໂທດທາງອາຍາ (ລວມທັງການຈຳຄຸກ)
ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນເອເລັກໂທຣນິກສະບັບເກົ່າ (ສະບັບເລກທີ 25/NA, ປະກາດໃຊ້ປີ 2017) ຍັງຄົງມີຜົນບັງຄັບໃຊ້ຢູ່ ແລະ ຮ່ວມກັບ PDP Law ກໍ່ເປັນສອງເສົາຫຼັກຂອງລະບົບການປົກປ້ອງຂໍ້ມູນຂອງລາວ (ທີ່ມາ: DLA Piper, ILO NATLEX).
ໃນຕອນທີ່ສ້າງໂຄງສ້າງພື້ນຖານ ຫຼື Infrastructure ຂໍ້ມູນໃຫ້ລູກຄ້າ, ມີ IT Vendor ທ້ອງຖິ່ນຫຼາຍລາຍທີ່ບໍ່ຮູ້ຈັກກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນເອເລັກໂທຣນິກ. ເຖິງແມ່ນວ່າການບັງຄັບໃຊ້ PDP Law ຈະເຮັດໃຫ້ພັນທະທາງກົດໝາຍຊັດເຈນຂຶ້ນ, ແຕ່ຍັງມີຊ່ອງຫວ່າງດ້ານຄວາມຮັບຮູ້ໃນການປະຕິບັດຕົວຈິງຢູ່.
ພາບລວມຂອງກົດໝາຍວ່າດ້ວຍການຕ້ານອາຊະຍາກຳທາງຄອມພິວເຕີ
ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີ (ສ້າງຕັ້ງໃນປີ 2015) ແມ່ນກົດໝາຍທີ່ຄວບຄຸມການເຂົ້າເຖິງລະບົບໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ ແລະ ການປ່ຽນແປງຂໍ້ມູນໂດຍໃຊ້ມາດຕະການທາງອາຍາ. ກົດໝາຍສະບັບນີ້ຍັງເປັນພື້ນຖານທາງກົດໝາຍໃນການສ້າງຕັ້ງ LaoCERT (ທີມງານຕອບໂຕ້ເຫດສຸກເສີນທາງຄອມພິວເຕີແຫ່ງຊາດ) ອີກດ້ວຍ (ທີ່ມາ: Council of Europe, Digital Watch Observatory).
ຈຸດທີ່ວິສາຫະກິດຄວນໃຫ້ຄວາມສົນໃຈເປັນພິເສດ:
- ການຫ້າມເຂົ້າເຖິງໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ: ຄອບຄຸມບໍ່ພຽງແຕ່ການບຸກລຸກເຂົ້າລະບົບຂອງຕົນເອງໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ ແຕ່ຍັງລວມເຖິງການທີ່ພະນັກງານເຂົ້າເຖິງຂໍ້ມູນທີ່ຢູ່ນອກຂອບເຂດສິດທິຂອງຕົນ
- ການປ່ຽນແປງ ແລະ ທຳລາຍຂໍ້ມູນ: ຄວາມຮັບຜິດຊອບທາງອາຍາຕໍ່ການຈັດການຂໍ້ມູນໂດຍເຈດຕະນາ
- ການລາຍງານເຫດການ: ພັນທະໃນການລາຍງານຕໍ່ເຈົ້າໜ້າທີ່ເມື່ອຖືກໂຈມຕີທາງໄຊເບີ
- ການຮັກສາຫຼັກຖານ: ພັນທະໃນການຮັກສາ ແລະ ສົ່ງມອບຫຼັກຖານທາງອີເລັກໂທຣນິກ
- ບົດລົງໂທດ: ກຳນົດໂທດປັບໃໝ ແລະ ຈຳຄຸກຕາມຄວາມຮ້າຍແຮງຂອງການລະເມີດ
ນອກຈາກນີ້, ກົດໝາຍວ່າດ້ວຍຄວາມປອດໄພທາງໄຊເບີສະບັບໃໝ່ (10 ພາກ 11 ໝວດ 79 ມາດຕາ) ກຳລັງຢູ່ໃນຂັ້ນຕອນການພິຈາລະນາຂອງສະພາແຫ່ງຊາດ, ຫາກໄດ້ຮັບການຮັບຮອງ ມາດຕະຖານ ຫຼື Specification ດ້ານເຕັກນິກຂອງຄວາມປອດໄພທາງໄຊເບີ ແລະ ກອບທາງກົດໝາຍສຳລັບການຕອບໂຕ້ເຫດສຸກເສີນຈະໄດ້ຮັບການເສີມຄວາມເຂັ້ມແຂງຍິ່ງຂຶ້ນ (ທີ່ມາ: KPL).
ສຳລັບຂໍ້ມູນກ່ຽວກັບສະຖານະການ ແລະ ມາດຕະການຮັບມືກັບການສໍ້ໂກງຜ່ານໂທລະສັບສະຫຼາດໃນລາວ, ບົດຄວາມທີ່ກ່ຽວຂ້ອງ ໄດ້ອະທິບາຍຕົວຢ່າງການນຳໃຊ້ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີໄວ້ຢ່າງລະອຽດ.
ພາບລວມຂອງກົດໝາຍວ່າດ້ວຍທຸລະກຳທາງອີເລັກໂທຣນິກ
ກົດໝາຍວ່າດ້ວຍການຄ້າທາງອີເລັກໂທຣນິກ (ສ້າງຕັ້ງໃນປີ 2012) ແມ່ນກົດໝາຍພື້ນຖານທີ່ກຳນົດຜົນທາງກົດໝາຍຂອງລາຍເຊັນທາງອີເລັກໂທຣນິກ ແລະ ສັນຍາທາງອີເລັກໂທຣນິກ. ດ້ວຍດຳລັດ EC (ມີຜົນບັງຄັບໃຊ້ໃນປີ 2021) ໄດ້ເພີ່ມລະບົບການລົງທະບຽນຂອງຜູ້ປະກອບການອອນໄລນ໌ ແລະ ການຄຸ້ມຄອງຜູ້ບໍລິໂພກ (ທີ່ມາ: VDB Loi).
- ຄວາມຖືກຕ້ອງຂອງລາຍເຊັນທາງອີເລັກໂທຣນິກ: ລາຍເຊັນທາງອີເລັກໂທຣນິກທີ່ຕອບສະໜອງເງື່ອນໄຂທີ່ກຳນົດໄວ້ ມີຜົນທາງກົດໝາຍເທົ່າທຽມກັບລາຍເຊັນດ້ວຍມື
- ສັນຍາທາງອີເລັກໂທຣນິກ: ກຳນົດຢ່າງຊັດເຈນກ່ຽວກັບເງື່ອນໄຂການສ້າງສັນຍາທາງອອນໄລນ໌
- ການຄຸ້ມຄອງຜູ້ບໍລິໂພກ: ພັນທະການເປີດເຜີຍຂໍ້ມູນຂອງຜູ້ປະກອບການ EC, ກົດລະບຽບການສົ່ງຄືນ ແລະ ການຄືນເງິນ (ເສີມຂຶ້ນໂດຍດຳລັດ EC)
- ການລົງທະບຽນຜູ້ປະກອບການ: ຜູ້ປະກອບການຂາຍສິນຄ້າອອນໄລນ໌ຕ້ອງລົງທະບຽນທາງອີເລັກໂທຣນິກ (ດຳລັດ EC)
- ການເກັບຮັກສາຂໍ້ມູນ: ເງື່ອນໄຂທີ່ກ່ຽວຂ້ອງກັບການເກັບຮັກສາບັນທຶກການຊື້ຂາຍໃນຮູບແບບອີເລັກໂທຣນິກ
ຕຳແໜ່ງຂອງລາວທີ່ປ່ຽນແປງໄປຈາກການບັງຄັບໃຊ້ກົດໝາຍຄຸ້ມຄອງຂໍ້ມູນສ່ວນຕົວ
ລາວໄດ້ກ້າວເຂົ້າຮ່ວມກຸ່ມປະເທດສະມາຊິກ ASEAN ທີ່ມີກົດໝາຍຄຸ້ມຄອງຂໍ້ມູນສ່ວນຕົວແບບຄົບວົງຈອນ ດ້ວຍການບັງຄັບໃຊ້ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ (PDP Law) (ທີ່ມາ: Rajah & Tann Asia).
ເພື່ອຈັດລະບຽບໂຄງສ້າງໃນປັດຈຸບັນ:
| ປະເທດ | ກົດໝາຍຄຸ້ມຄອງຂໍ້ມູນສ່ວນຕົວແບບຄົບວົງຈອນ | ສະຖານະ |
|---|---|---|
| ໄທ | PDPA (ບັງຄັບໃຊ້ເຕັມຮູບແບບ ປີ 2022) | ບັງຄັບໃຊ້ແລ້ວ |
| ຫວຽດນາມ | ດຳລັດວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ (ປີ 2023) | ບັງຄັບໃຊ້ແລ້ວ |
| ລາວ | ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ (PDP Law) | ບັງຄັບໃຊ້ແລ້ວ |
| ກຳປູເຈຍ | ຮ່າງກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ (LPDP) ເປີດຕົວ ຫຼື Launch ແລ້ວ | ຢູ່ໃນຂັ້ນຕອນການຮ່າງ (ທີ່ມາ: Hogan Lovells) |
PDP Law ໄດ້ຮັບການກຳນົດຂຶ້ນເພື່ອເສີມຕໍ່ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກສະບັບເກົ່າ (ປີ 2017) ໂດຍຄອບຄຸມຢ່າງຄົບຖ້ວນທັງການນິຍາມຂໍ້ມູນສ່ວນຕົວ, ການຂໍຄວາມຍິນຍອມ, ສິດຂອງເຈົ້າຂອງຂໍ້ມູນ, ເງື່ອນໄຂການໂອນຂໍ້ມູນຂ້າມຊາຍແດນ, ແລະ ບົດລົງໂທດ.
ຄວາມໝາຍສຳລັບວິສາຫະກິດ: ຄວາມເຂົ້າໃຈເດີມທີ່ວ່າ "ລາວບໍ່ມີກົດໝາຍຄຸ້ມຄອງຂໍ້ມູນສ່ວນຕົວແບບຄົບວົງຈອນ" ໄດ້ກາຍເປັນອະດີດໄປຢ່າງສິ້ນເຊີງແລ້ວ. ດ້ວຍການບັງຄັບໃຊ້ PDP Law, ການທົບທວນລະບົບການປະຕິບັດຕາມກົດໝາຍ (Compliance) ບໍ່ແມ່ນ "ການກຽມພ້ອມສຳລັບອະນາຄົດ" ອີກຕໍ່ໄປ ແຕ່ໄດ້ກາຍເປັນພັນທະທາງກົດໝາຍໃນປັດຈຸບັນ. ກະຊວງເຕັກໂນໂລຊີ ແລະ ການສື່ສານ (MoTC) ທຳໜ້າທີ່ເປັນໜ່ວຍງານກຳກັບດູແລ, ແລະ ການລົງທະບຽນກັບໜ່ວຍງານຄຸ້ມຄອງການປົກປ້ອງຂໍ້ມູນກໍ່ຖືກກຳນົດໃຫ້ເປັນພັນທະບັງຄັບ (ທີ່ມາ: DLA Piper).
ລາຍການກວດສອບການປົກປ້ອງຂໍ້ມູນ【10 ລາຍການ】
ອີງຕາມກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ (PDP Law) ແລະ ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກຂອງລາວ, ໄດ້ມີການລວບລວມລາຍການກວດສອບດ້ານການປົກປ້ອງຂໍ້ມູນທີ່ວິສາຫະກິດຄວນກວດສອບ. ດ້ວຍການມີຜົນບັງຄັບໃຊ້ຂອງ PDP Law, ລາຍການກວດສອບຕໍ່ໄປນີ້ຖືເປັນພັນທະທາງກົດໝາຍ ບໍ່ແມ່ນພຽງແຕ່ຂໍ້ແນະນຳເທົ່ານັ້ນ.
ການກວດສອບທີ່ກ່ຽວຂ້ອງກັບການເກັບກຳ ແລະ ການໄດ້ຮັບຂໍ້ມູນສ່ວນຕົວ
☐ ລາຍການທີ 1: ມີການລະບຸຈຸດປະສົງຂອງການເກັບກຳຂໍ້ມູນສ່ວນຕົວຢ່າງຊັດເຈນບໍ?
PDP Law ກຳນົດໃຫ້ການປະມວນຜົນຂໍ້ມູນສ່ວນຕົວຕ້ອງມີພື້ນຖານທາງກົດໝາຍຮອງຮັບ ແລະ ຕ້ອງມີການບັນທຶກເປັນເອກະສານວ່າຂໍ້ມູນແຕ່ລະລາຍການຖືກເກັບກຳ "ເພື່ອຈຸດປະສົງໃດ" ແລະ "ໃນຂອບເຂດໃດ". ການເກັບກຳຂໍ້ມູນໂດຍອ້າງເຫດຜົນທີ່ບໍ່ຊັດເຈນວ່າ "ອາດຈະໃຊ້ໃນອະນາຄົດ" ນັ້ນບໍ່ໄດ້ຮັບການຍອມຮັບ.
☐ ລາຍການທີ 2: ມີການຂໍຄວາມຍິນຍອມຈາກເຈົ້າຂອງຂໍ້ມູນ (ຕົວບຸກຄົນ) ບໍ?
PDP Law ກຳນົດວ່າ ໂດຍຫຼັກການແລ້ວ ການປະມວນຜົນຂໍ້ມູນສ່ວນຕົວຕ້ອງໄດ້ຮັບຄວາມຍິນຍອມທີ່ຖືກຕ້ອງຈາກຕົວບຸກຄົນ. ຕ້ອງເກັບຮັກສາບັນທຶກການຂໍຄວາມຍິນຍອມ (ວ່າໄດ້ຮັບຄວາມຍິນຍອມເວລາໃດ ແລະ ໃນຂອບເຂດໃດ) ໄວ້ດ້ວຍ. ກົດໝາຍຍັງກຳນົດໃຫ້ເຈົ້າຂອງຂໍ້ມູນມີສິດຖອນຄວາມຍິນຍອມໄດ້ (ອ້າງອີງ: DLA Piper).
ໃນໂຄງການທີ່ລາວ ເຄີຍມີລູກຄ້າລາຍໜຶ່ງທີ່ບໍ່ໄດ້ຈັດກຽມໃບຍິນຍອມເປັນພາສາລາວ ແລະ ດຳເນີນການດ້ວຍພາສາອັງກິດເທົ່ານັ້ນ. ສ່ງຜົນໃຫ້ພະນັກງານທ້ອງຖິ່ນບໍ່ສາມາດເຂົ້າໃຈເນື້ອໃນໄດ້ ແລະ ຄວາມຍິນຍອມຈຶ່ງກາຍເປັນພຽງ "ຮູບແບບທາງການ" ເທົ່ານັ້ນ — ເພື່ອຮັບປະກັນຄວາມຍິນຍອມທີ່ແທ້ຈິງ ການອະທິບາຍເປັນພາສາທ້ອງຖິ່ນຈຶ່ງເປັນສິ່ງທີ່ຂາດບໍ່ໄດ້.
☐ ລາຍການທີ 3: ມີການຈຳກັດຂໍ້ມູນທີ່ເກັບກຳໃຫ້ຢູ່ໃນລະດັບທີ່ຈຳເປັນຕໍ່າສຸດບໍ?
ໃຫ້ກວດສອບວ່າມີການເກັບກຳຂໍ້ມູນທີ່ບໍ່ຈຳເປັນຕໍ່ການດຳເນີນງານ (ເຊັ່ນ: ຂໍ້ມູນທີ່ລະອຽດອ່ອນ ໄດ້ແກ່ ສາສະໜາ, ຊົນເຜົ່າ, ຂໍ້ມູນສຸຂະພາບ ແລະ ອື່ນໆ) ຫຼືບໍ. PDP Law ກຳນົດໃຫ້ມີມາດຕະການປົກປ້ອງເພີ່ມເຕີມສຳລັບການປະມວນຜົນຂໍ້ມູນທີ່ລະອຽດອ່ອນ ໂດຍສະເພາະລະບົບ HR ທີ່ຕັ້ງຄ່າໃຫ້ "ກຳລັງປ້ອນຂໍ້ມູນທຸກຊ່ອງ" ນັ້ນຈຳເປັນຕ້ອງໄດ້ຮັບການທົບທວນຄືນ.
☐ ລາຍການທີ 4: ມີການສະແດງ Privacy Policy ໃນຂະນະທີ່ເກັບກຳຂໍ້ມູນບໍ?
PDP Law ກຳນົດໃຫ້ກິດຈະກຳການປະມວນຜົນຂໍ້ມູນຕ້ອງມີຄວາມໂປ່ງໃສ. ບໍ່ວ່າຈະເກັບກຳຂໍ້ມູນຜ່ານ Web site, ແອັບ ຫຼື ແບບຟອມເຈ້ຍ ກໍ່ຕ້ອງຈັດໃຫ້ຕົວບຸກຄົນສາມາດເຂົ້າເຖິງ Privacy Policy ໄດ້. ການຈັດໃຫ້ມີສະບັບພາສາລາວຖືເປັນສິ່ງທີ່ຕ້ອງດຳເນີນການ.
ການກວດສອບກ່ຽວກັບການເກັບຮັກສາ ແລະ ການຈັດການຂໍ້ມູນ
☐ ລາຍການທີ 5: ກຳນົດສະຖານທີ່ ແລະ ໄລຍະເວລາໃນການເກັບຮັກສາຂໍ້ມູນໄວ້ແລ້ວບໍ່
ຕ້ອງກຳນົດໃຫ້ຊັດເຈນວ່າ "ເກັບໄວ້ທີ່ໃດ" ແລະ "ເກັບໄວ້ຮອດເມື່ອໃດ". ກົດໝາຍ PDP Law ກຳນົດໃຫ້ມີການລົງທະບຽນກິດຈະກຳການປະມວນຜົນຂໍ້ມູນ, ແລະ ການຮັບຮູ້ສະຖານທີ່ເກັບຮັກສາຂໍ້ມູນແມ່ນສ່ວນໜຶ່ງຂອງເງື່ອນໄຂການລົງທະບຽນດັ່ງກ່າວ. ຫາກໃຊ້ບໍລິການ Cloud, ກໍ່ຈຳເປັນຕ້ອງຮັບຮູ້ສະຖານທີ່ຕັ້ງທາງກາຍະພາບຂອງ Data Center ນັ້ນໆ ດ້ວຍ.
☐ ລາຍການທີ 6: ຈັດການສິດທິການເຂົ້າເຖິງຕາມຫຼັກການສິດທິຂັ້ນຕ່ຳສຸດໄວ້ແລ້ວບໍ່
ສະພາບທີ່ "ທຸກຄົນສາມາດເຂົ້າເຖິງຂໍ້ມູນທັງໝົດໄດ້" ມີຄວາມສ່ຽງທີ່ຈະລະເມີດເງື່ອນໄຂມາດຕະການຄຸ້ມຄອງຄວາມປອດໄພຂອງ PDP Law. ຄວນກຳນົດສິດທິການເຂົ້າເຖິງຕາມພະແນກ ແລະ ຕຳແໜ່ງ, ພ້ອມທັງກວດສອບທົບທວນຄືນຢ່າງສະໝ່ຳສະເໝີ.
☐ ລາຍການທີ 7: ດຳເນີນການເຂົ້າລະຫັດຂໍ້ມູນ ແລະ ມາດຕະການຄຸ້ມຄອງຄວາມປອດໄພໄວ້ແລ້ວບໍ່
PDP Law ກຳນົດໃຫ້ດຳເນີນມາດຕະການຄວາມປອດໄພທີ່ເໝາະສົມ (ອ້າງອີງ: DLA Piper). ແນະນຳໃຫ້ໃຊ້ທັງການເຂົ້າລະຫັດຂໍ້ມູນຂະນະເກັບຮັກສາ (Encryption at Rest) ແລະ ການເຂົ້າລະຫັດຂໍ້ມູນຂະນະສົ່ງຜ່ານ (Encryption in Transit). ໂດຍສະເພາະ, ສະພາບແວດລ້ອມອິນເຕີເນັດໃນບາງພື້ນທີ່ພາຍໃນລາວຍັງບໍ່ທັນມີຄວາມໝັ້ນຄົງ, ດັ່ງນັ້ນ ການຮັບປະກັນຄວາມປອດໄພຂອງເສັ້ນທາງການສື່ສານຈຶ່ງເປັນສິ່ງສຳຄັນ.
ການກວດສອບກ່ຽວກັບການໂອນຍ້າຍຂໍ້ມູນຂ້າມຊາຍແດນ
☐ ລາຍການທີ 8: ທ່ານຮູ້ຈັກຫຼືບໍ່ວ່າມີການໂອນຂໍ້ມູນສ່ວນຕົວຂ້າມຊາຍແດນ
ພຽງແຕ່ການໃຊ້ເຄື່ອງມື SaaS (ເຊັ່ນ: Google Workspace, Salesforce ແລະ ອື່ນໆ) ຂໍ້ມູນກໍຈະຖືກໂອນໄປຕ່າງປະເທດແລ້ວ. PDP Law ກຳນົດໃຫ້ມີການປະເມີນ ແລະ ການອະນຸມັດສຳລັບການໂອນຂໍ້ມູນຂ້າມຊາຍແດນ (ອ້າງອີງ: DLA Piper) ດັ່ງນັ້ນ ຈຶ່ງຈຳເປັນຕ້ອງສຳຫຼວດສະຖານທີ່ເກັບຮັກສາຂໍ້ມູນຂອງທຸກການບໍລິການທີ່ອົງກອນຂອງທ່ານໃຊ້ງານ.
☐ ລາຍການທີ 9: ທ່ານໄດ້ກວດສອບລະດັບການປົກປ້ອງຂໍ້ມູນຂອງປະເທດ ຫຼື ພາກພື້ນປາຍທາງທີ່ຮັບການໂອນຂໍ້ມູນຂ້າມຊາຍແດນຫຼືບໍ່
PDP Law ກຳນົດເງື່ອນໄຂສຳລັບການໂອນຂໍ້ມູນຂ້າມຊາຍແດນ ໂດຍຕ້ອງກວດສອບວ່າປະເທດປາຍທາງມີລະບົບການປົກປ້ອງຂໍ້ມູນທີ່ພຽງພໍ ຫຼື ມີມາດຕະການປົກປ້ອງທາງດ້ານສັນຍາໄວ້ຫຼືບໍ່. ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກສະບັບເກົ່າກໍໄດ້ກຳນົດໃຫ້ຕ້ອງໄດ້ຮັບຄວາມຍິນຍອມຈາກເຈົ້າຂອງຂໍ້ມູນສຳລັບການໂອນຂ້າມຊາຍແດນເຊັ່ນກັນ.
☐ ລາຍການທີ 10: ທ່ານໄດ້ກຳນົດກົດລະບຽບການແບ່ງປັນຂໍ້ມູນລະຫວ່າງບໍລິສັດໃນກຸ່ມຫຼືບໍ່
ການແບ່ງປັນຂໍ້ມູນກັບບໍລິສັດແມ່ (ຍີ່ປຸ່ນ, ໄທ ແລະ ອື່ນໆ) ກໍຖືວ່າເປັນການໂອນຂໍ້ມູນຂ້າມຊາຍແດນເຊັ່ນກັນ. ການຄິດວ່າ "ຢູ່ໃນກຸ່ມດຽວກັນຈຶ່ງບໍ່ມີບັນຫາ" ນັ້ນເປັນຄວາມເຂົ້າໃຈທີ່ຜິດ. ຕ້ອງທຳສັນຍາການແບ່ງປັນຂໍ້ມູນລະຫວ່າງບໍລິສັດໃນກຸ່ມ ແລະ ກຳນົດເຫດຜົນທາງກົດໝາຍຂອງການໂອນຂໍ້ມູນໃຫ້ຊັດເຈນ.
ເມື່ອ 5 ປີກ່ອນ ໃນໂຄງການໜຶ່ງຢູ່ລາວ ຂະນະທີ່ມີການແບ່ງປັນຂໍ້ມູນລັບ ໄດ້ຖືກທ້ວງຕິງວ່າ "ໃນສັນຍາບໍ່ໄດ້ລະບຸຂອບເຂດຂອງການແບ່ງປັນໄວ້" ຈຶ່ງຕ້ອງຮີບດ່ວນຈັດທຳສັນຍາການປຸງແຕ່ງຂໍ້ມູນເພີ່ມເຕີມໃນທັນທີ. ການແກ້ໄຂຫຼັງເຫດການນັ້ນ ບໍ່ພຽງແຕ່ໃຊ້ເວລາ ແລະ ຊັບພະຍາກອນຫຼາຍ ແຕ່ຍັງສ້າງຕົ້ນທຶນດ້ານຄວາມໄວ້ວາງໃຈອີກດ້ວຍ.
ລາຍການກວດສອບການນຳໃຊ້ AI 【8 ລາຍການ】
ລາວບໍ່ມີກົດໝາຍສະເພາະດ້ານ AI ໂດຍກົງ. ແຕ່ວ່າ, ພາຍໃຕ້ກອບຂອງ PDP Law, ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກ, ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີ, ລວມທັງກົດໝາຍສັນຍາ ແລະ ກົດໝາຍແຮງງານທົ່ວໄປ, ຄວາມຮັບຜິດຊອບທາງກົດໝາຍທີ່ກ່ຽວຂ້ອງກັບການນຳໃຊ້ AI ກໍ່ຍັງສາມາດເກີດຂຶ້ນໄດ້. ໃນລະດັບ ASEAN, DEFA ໄດ້ລວມເອົາຫຼັກການຮ່ວມກັນດ້ານ AI Governance ໄວ້ດ້ວຍ (ທີ່ມາ: WEF), ແລະ ຄາດວ່າຈະມີການສະທ້ອນຫຼັກການດັ່ງກ່າວເຂົ້າໃນກົດໝາຍພາຍໃນຂອງລາວໃນອະນາຄົດ.
ການປະເມີນຄວາມສ່ຽງທາງກົດໝາຍໃນການນຳໃຊ້ AI
☐ ລາຍການທີ 11: ລະບຸປະເພດຂໍ້ມູນທີ່ລະບົບ AI ປະມວນຜົນໄດ້ຫຼືບໍ່
ໃນກໍລະນີທີ່ AI ປະມວນຜົນຂໍ້ມູນສ່ວນຕົວ, ຈະຕ້ອງຢູ່ພາຍໃຕ້ການບັງຄັບໃຊ້ຂອງ PDP Law. ຈຳເປັນຕ້ອງສຳຫຼວດປະເພດ ແລະ ປະລິມານຂໍ້ມູນທີ່ AI ຈັດການ ໄດ້ແກ່ Chatbot, ການຄັດກອງການຮັບສະໝັກງານ, ການວິເຄາະລູກຄ້າ ແລະ ອື່ນໆ, ພ້ອມທັງລວມໃສ່ໃນລາຍການທີ່ຕ້ອງລົງທະບຽນກິດຈະກຳການປະມວນຜົນຂໍ້ມູນ.
☐ ລາຍການທີ 12: ລວມເອົາການກວດກາໂດຍມະນຸດໃນຂະບວນການຕັດສິນໃຈຂອງ AI ໄດ້ຫຼືບໍ່
ເຖິງແມ່ນວ່າລາວຍັງບໍ່ທັນມີການຈັດໝວດໝູ່ "AI ຄວາມສ່ຽງສູງ" ຄ້າຍຄືກັບ EU AI Act, ແຕ່ DEFA ໄດ້ລວມເອົາຫຼັກການຮ່ວມດ້ານ AI Governance ໄວ້ດ້ວຍ (ອ້າງອີງ: WEF, ASEAN ທາງການ), ແລະ ມີຄວາມເປັນໄປໄດ້ທີ່ກົດລະບຽບໃນລະດັບ ASEAN ຈະຖືກສະທ້ອນໃສ່ກົດໝາຍພາຍໃນໃນອະນາຄົດ. ສຳລັບການຕັດສິນໃຈຂອງ AI ທີ່ສົ່ງຜົນກະທົບຢ່າງໜັກໜ່ວງຕໍ່ບຸກຄົນ ເຊັ່ນ: ການປະເມີນບຸກຄະລາກອນ, ການພິຈາລະນາສິນເຊື່ອ, ການວິນິດໄສທາງການແພດ, ແນະນຳຢ່າງຍິ່ງໃຫ້ມີການທົບທວນໂດຍມະນຸດ.
ສຳລັບການປຽບທຽບກັບ EU AI Act ແລະ ທ່າອ່ຽງ AI Governance ໃນລະດັບໂລກ, ສາມາດອ່ານລາຍລະອຽດເພີ່ມເຕີມໄດ້ທີ່ ບົດຄວາມທີ່ກ່ຽວຂ້ອງກ່ຽວກັບ AI Governance.
☐ ລາຍການທີ 13: ລວມເອົາຂໍ້ກຳນົດການປະມວນຜົນຂໍ້ມູນໃນສັນຍາກັບ AI Vendor ໄດ້ຫຼືບໍ່
ໃນກໍລະນີທີ່ໃຊ້ບໍລິການ AI ພາຍນອກ (ChatGPT API, Claude API ແລະ ອື່ນໆ), ຕ້ອງກວດສອບໃນສັນຍາວ່າຂໍ້ມູນທີ່ປ້ອນເຂົ້າຈະຖືກປະມວນຜົນແນວໃດຈາກຝ່າຍ Vendor. PDP Law ກຳນົດໃຫ້ມີການຄຸ້ມຄອງຜູ້ຮັບມອບໝາຍການປະມວນຜົນຂໍ້ມູນດ້ວຍ, ໂດຍສະເພາະການກວດສອບວ່າຂໍ້ມູນດັ່ງກ່າວຈະຖືກນຳໃຊ້ໃນການຝຶກສອນ Model ຫຼືບໍ່ ຖືເປັນຈຸດສຳຄັນທີ່ຕ້ອງຢືນຢັນ.
ການຈັດການຂໍ້ມູນທີ່ສ້າງໂດຍ AI
☐ ລາຍການທີ 14: ມີການຈັດລະບຽບສິດລິຂະສິດ ແລະ ສິດທິຊັບສິນທາງປັນຍາຂອງເນື້ອຫາທີ່ສ້າງໂດຍ AI ແລ້ວຫຼືບໍ່
ກົດໝາຍລິຂະສິດຂອງລາວຍັງບໍ່ທັນກຳນົດສິດທິຄວາມເປັນເຈົ້າຂອງຜົນງານທີ່ສ້າງໂດຍ AI ຢ່າງຊັດເຈນ. ຄວນວາງກົດລະບຽບການນຳໃຊ້ພາຍໃນອົງກອນ (ເຊັ່ນ: ຜົນງານທີ່ສ້າງໂດຍ AI ຈະຖືວ່າເປັນຜົນງານຂອງໃຜ, ແລະ ນະໂຍບາຍການລະບຸແຫຼ່ງທີ່ມາເມື່ອເຜີຍແຜ່ສູ່ສາທາລະນະ) ໃຫ້ຊັດເຈນໄວ້ລ່ວງໜ້າ.
☐ ລາຍການທີ 15: ມີລະບົບກວດສອບຄວາມຖືກຕ້ອງຂອງຂໍ້ມູນ (Fact-check) ສຳລັບຜົນລັບທີ່ AI ສ້າງຂຶ້ນແລ້ວຫຼືບໍ່
ການນຳຂໍ້ມູນທີ່ AI ສ້າງຂຶ້ນໄປສົ່ງໃຫ້ລູກຄ້າ ຫຼື ໜ່ວຍງານລັດໂດຍກົງ ໂດຍບໍ່ຜ່ານການກວດສອບ ອາດກໍ່ໃຫ້ເກີດຄວາມສ່ຽງດ້ານຄວາມຮັບຜິດຊອບຈາກຂໍ້ມູນທີ່ຜິດພາດ. ໂດຍສະເພາະໃນກໍລະນີທີ່ນຳຜົນລັບຂອງ AI ໄປໃຊ້ໃນເອກະສານທາງກົດໝາຍ ຫຼື ການຍື່ນຄຳຮ້ອງຕໍ່ໜ່ວຍງານລັດ ຈຳເປັນຕ້ອງກຳນົດໃຫ້ມີຂະບວນການ ຫຼື Pipeline ກວດສອບໂດຍຜູ້ຊ່ຽວຊານເປັນຂັ້ນຕອນບັງຄັບ.
ນະໂຍບາຍການໃຊ້ AI ສຳລັບພະນັກງານ
☐ ລາຍການທີ 16: ໄດ້ກຳນົດເຄື່ອງມື AI ທີ່ພະນັກງານໄດ້ຮັບອະນຸຍາດໃຫ້ໃຊ້ໃນການເຮັດວຽກແລ້ວຫຼືບໍ່
ການໃຊ້ເຄື່ອງມື AI ໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ (Shadow AI) ອາດເປັນສາເຫດຂອງການຮົ່ວໄຫຼຂໍ້ມູນໂດຍບໍ່ໄດ້ຕັ້ງໃຈ ພາຍໃຕ້ກົດໝາຍ PDP Law. ຈຶ່ງຄວນຈັດທຳລາຍການເຄື່ອງມືທີ່ໄດ້ຮັບອະນຸຍາດ ພ້ອມທັງກຳນົດກົດລະບຽບການໃຊ້ງານ (ລວມທັງການກຳນົດຂໍ້ມູນທີ່ຫ້າມປ້ອນເຂົ້າລະບົບ).
☐ ລາຍການທີ 17: ໄດ້ຈັດການຝຶກອົບຮົມ ແລະ ໃຫ້ຄວາມຮູ້ກ່ຽວກັບການໃຊ້ AI ແລ້ວຫຼືບໍ່
ການມີນະໂຍບາຍຢ່າງດຽວນັ້ນຍັງບໍ່ພຽງພໍ. ໂດຍສະເພາະສຳລັບພະນັກງານທ້ອງຖິ່ນໃນລາວ ຈຳເປັນຕ້ອງຈັດກຽມເອກະສານຝຶກອົບຮົມເປັນພາສາລາວ ເພື່ອໃຫ້ພວກເຂົາເຂົ້າໃຈຄວາມສ່ຽງຂອງການໃຊ້ AI ແລະ ວິທີການໃຊ້ງານທີ່ຖືກຕ້ອງເໝາະສົມ.
☐ ລາຍການທີ 18: ໄດ້ກຳນົດຂະບວນການ ຫຼື Pipeline ລາຍງານເມື່ອເກີດເຫດການ (Incident) ຈາກການໃຊ້ AI ແລ້ວຫຼືບໍ່
ຄວນກຳນົດຂະບວນການ Escalation ທີ່ຮອງຮັບ Incident ສະເພາະຂອງ AI ເຊັ່ນ: ຄວາມເສຍຫາຍທີ່ເກີດຈາກການຕັດສິນໃຈຜິດພາດຂອງ AI ຫຼື ການຮົ່ວໄຫຼຂໍ້ມູນຜ່ານ AI. ການລວມ ຫຼື Merge ຂະບວນການ ຫຼື Pipeline ດັ່ງກ່າວເຂົ້າກັບຂະບວນການ ຫຼື Pipeline ລາຍງານ Incident ດ້ານ Cybersecurity ທີ່ມີຢູ່ແລ້ວຖືເປັນແນວທາງທີ່ເປັນໄປໄດ້ຫຼາຍທີ່ສຸດ. ຫາກກົດໝາຍ Cybersecurity ສະບັບໃໝ່ຖືກຮັບຮອງ ຄາດວ່າຂໍ້ກຳນົດທາງກົດໝາຍກ່ຽວກັບການລາຍງານ Incident ຈະມີຄວາມຊັດເຈນຍິ່ງຂຶ້ນ (ທີ່ມາ: KPL).
ສຳລັບມາດຕະການດ້ານເຕັກນິກຂອງ AI Security ສາມາດອ່ານເພີ່ມເຕີມໄດ້ທີ່ ລາຍການກວດສອບ AI Security ສຳລັບລາວ.
ລາຍການກວດສອບຄວາມປອດໄພທາງໄຊເບີ【7 ລາຍການ】
ກວດສອບລະບົບຄວາມປອດໄພຂອງວິສາຫະກິດ ໂດຍອີງໃສ່ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີ (ສ້າງຕັ້ງໃນປີ 2015) ເປັນຫຼັກ. ໃນຂະນະນີ້ ກົດໝາຍວ່າດ້ວຍຄວາມປອດໄພທາງໄຊເບີສະບັບໃໝ່ກຳລັງຢູ່ໃນຂັ້ນຕອນການພິຈາລະນາຂອງສະພາແຫ່ງຊາດ (ທີ່ມາ: KPL) ຫາກໄດ້ຮັບການຮັບຮອງ ມາດຕະຖານ ຫຼື Specification ດ້ານວິຊາການ ແລະ ຂໍ້ກຳນົດກ່ຽວກັບການຮັບມືໃນສະຖານະການສຸກເສີນກໍຈະມີຄວາມຊັດເຈນຍິ່ງຂຶ້ນ.
ພັນທະການລາຍງານເຫດການ
☐ ລາຍການ 19: ທ່ານຮູ້ຈັກສະຖານທີ່ລາຍງານ ແລະ ກຳນົດເວລາລາຍງານເມື່ອເກີດເຫດການທາງໄຊເບີບໍ?
ສະຖານທີ່ລາຍງານເຫດການທາງໄຊເບີ ຄືທີມຕອບໂຕ້ສຸກເສີນທາງຄອມພິວເຕີແຫ່ງຊາດ LaoCERT ພາຍໃຕ້ກະຊວງເທັກໂນໂລຊີ ແລະ ການສື່ສານ (MoTC). LaoCERT ຍັງເປັນສະມາຊິກຂອງ APCERT (Asia Pacific CERT) ອີກດ້ວຍ (ທີ່ມາ: LaoCERT ທາງການ, APCERT). ຂໍ້ມູນຕິດຕໍ່ ແລະ ຂັ້ນຕອນການແຈ້ງລ່າສຸດສາມາດກວດສອບໄດ້ທີ່ເວັບໄຊທ໌ທາງການຂອງ LaoCERT (laocert.gov.la). ການລໍຖ້າຈົນກວ່າຈະເກີດເຫດການຂຶ້ນແລ້ວຈຶ່ງເລີ່ມຄົ້ນຫາຂໍ້ມູນນັ້ນ ຖືວ່າຊ້າເກີນໄປ.
☐ ລາຍການ 20: ທ່ານໄດ້ຈັດທຳແຜນຕອບໂຕ້ເຫດການ (IRP) ແລະ ຝຶກຊ້ອມຢ່າງສະໝ່ຳສະເໝີບໍ?
ນອກຈາກການຈັດທຳແຜນແລ້ວ ຍັງຕ້ອງດຳເນີນການຝຶກຊ້ອມ (Tabletop Exercise) ຢ່າງໜ້ອຍ 1 ຄັ້ງຕໍ່ປີ. ໃນສະພາບແວດລ້ອມການສື່ສານຂອງລາວ ຊ່ອງທາງຕິດຕໍ່ສຸກເສີນກັບສຳນັກງານໃຫຍ່ອາດແຕກຕ່າງຈາກປົກກະຕິ — ດັ່ງນັ້ນ ຈຶ່ງຄວນລວມເອົາການສື່ສານຜ່ານດາວທຽມ ແລະ ຊ່ອງທາງຕິດຕໍ່ແບບ Offline ໄວ້ໃນແຜນດ້ວຍ.
☐ ລາຍການ 21: ທ່ານໄດ້ກຳນົດໄລຍະເວລາເກັບຮັກສາ Log ແລະ ຂັ້ນຕອນການຄຸ້ມຄອງຫຼັກຖານບໍ?
ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີ (ປີ 2015) ກຳນົດໃຫ້ມີການຄຸ້ມຄອງຫຼັກຖານທາງອີເລັກໂທຣນິກ. ໄລຍະເວລາການເກັບຮັກສາຕ້ອງເປັນໄປຕາມຂໍ້ກຳນົດຂອງກົດໝາຍ ແລະ ແນວທາງຂອງເຈົ້າໜ້າທີ່ທີ່ກ່ຽວຂ້ອງ ແຕ່ໃນທາງປະຕິບັດ ໂດຍທົ່ວໄປແນະນຳໃຫ້ເກັບຮັກສາ Log ໄວ້ຢ່າງໜ້ອຍປະມານ 1 ປີ. ຄວນກຽມຄວາມພ້ອມໃນການຕອບສະໜອງຕໍ່ຄຳຮ້ອງຂໍສົ່ງຫຼັກຖານຈາກໜ່ວຍງານສືບສວນ.
ມາດຕະການຄຸ້ມຄອງຄວາມປອດໄພດ້ານວິຊາການ
☐ ລາຍການທີ 22: ມີການນຳໃຊ້ລະບົບ Firewall ແລະ ລະບົບກວດຈັບ/ປ້ອງກັນການບຸກລຸກ (IDS/IPS) ຫຼືບໍ່
ນອກຈາກການປ້ອງກັນຂອບເຂດພື້ນຖານແລ້ວ ຍັງຕ້ອງອອກແບບໂດຍຄຳນຶງເຖິງລັກສະນະສະເພາະຂອງເຄືອຂ່າຍພາຍໃນລາວ (ຄວາມບໍ່ສະຖຽນຂອງແບນວິດ, ຄວາມຫຼາກຫຼາຍຂອງ ISP) ດ້ວຍ. ໃນບາງກໍລະນີ ຄຸນນະພາບການສື່ສານລະຫວ່າງຫ້ອງການໃນວຽງຈັນ ແລະ ສາຂາຕ່າງແຂວງອາດມີຄວາມແຕກຕ່າງກັນຢ່າງຫຼວງຫຼາຍ.
☐ ລາຍການທີ 23: ມີການອັບເດດ Patch ແກ້ໄຂຊ່ອງໂຫວ່ຂອງຊອບແວຢ່າງສະໝ່ຳສະເໝີຫຼືບໍ່
ການຈັດການ Patch ຖືເປັນພື້ນຖານທີ່ສຳຄັນທີ່ສຸດ ແຕ່ໃນຄວາມເປັນຈິງ ຫ້ອງການທ້ອງຖິ່ນໃນລາວມັກພົບບັນຫາ "ແບນວິດບໍ່ພຽງພໍຈົນບໍ່ສາມາດອັບເດດໄດ້". ດັ່ງນັ້ນ ຈຶ່ງຄວນກຽມຂັ້ນຕອນການອັບເດດແບບ Offline ໄວ້ດ້ວຍ.
☐ ລາຍການທີ 24: ມີການຈັດໂຄງການເສີມສ້າງຄວາມຮູ້ດ້ານຄວາມປອດໄພໃຫ້ພະນັກງານຫຼືບໍ່
ໃຫ້ຈັດໂຄງການທີ່ຄອບຄຸມທັງການຝຶກຊ້ອມຮັບມືກັບ Phishing Email, ການສຶກສາດ້ານການຈັດການລະຫັດຜ່ານ ແລະ ຄວາມປອດໄພທາງກາຍະພາບ (ເຊັ່ນ: ການຈຳກັດການນຳ USB Memory ເຂົ້າມາ) ຢ່າງໜ້ອຍ 2 ຄັ້ງຕໍ່ປີ.
☐ ລາຍການທີ 25: ມີການວາງແຜນ Backup ຂໍ້ມູນ ແລະ ແຜນການຟື້ນຟູຈາກໄພພິບັດ (DR) ຫຼືບໍ່
ໃຫ້ເກັບຮັກສາ Backup ຂໍ້ມູນໄວ້ໃນຫຼາຍສະຖານທີ່ທັງພາຍໃນ ແລະ ຕ່າງປະເທດ. ເນື່ອງຈາກລາວມີຄວາມສ່ຽງຕໍ່ໄພທຳມະຊາດ (ເຊັ່ນ: ນ້ຳຖ້ວມ) ຈຶ່ງຕ້ອງຄຳນຶງເຖິງການກະຈາຍທາງກາຍະພາບດ້ວຍ. ນອກຈາກນີ້ ໃຫ້ກຳນົດເວລາເປົ້າໝາຍການຟື້ນຟູ (RTO) ແລະ ຈຸດເປົ້າໝາຍການຟື້ນຟູ (RPO) ໃຫ້ຊັດເຈນ.
ຄວາມສຳພັນກັບຂໍ້ຕົກລົງກອບດິຈິຕອລເສດຖະກິດອາຊຽນ (DEFA) — ການກຽມພ້ອມຮັບມືກັບການເຂັ້ມງວດດ້ານກົດລະບຽບໃນອະນາຄົດ
ເບື້ອງຫຼັງຂອງການເລັ່ງລັດດ້ານກົດໝາຍຂອງລາວ ແມ່ນມີການມີຢູ່ຂອງ ASEAN Digital Economy Framework Agreement (DEFA). ການບັງຄັບໃຊ້ PDP Law ກໍ່ເປັນສ່ວນໜຶ່ງຂອງກະແສນີ້ເຊັ່ນກັນ.
ພາບລວມຂອງ DEFA ແລະ ຕຳແໜ່ງຂອງລາວ
DEFA ແມ່ນກອບຂໍ້ຕົກລົງສະເພາະທີ່ມຸ່ງເຮັດໃຫ້ກົດລະບຽບການຄ້າດິຈິຕອລພາຍໃນ ASEAN ເປັນມາດຕະຖານດຽວກັນ. ຜ່ານການເຈລະຈາ 14 ຮອບ, ໄດ້ບັນລຸຂໍ້ຕົກລົງໃນ 24 ມາດຕາ 98 ວັກ (ຄິດເປັນ 73% ຂອງທັງໝົດ) (ທີ່ມາ: WEF, The Star). ການລົງນາມຖືເປັນເປົ້າໝາຍທີ່ຕັ້ງໄວ້. ຄອບຄຸມຂອບເຂດດັ່ງຕໍ່ໄປນີ້:
- ການອຳນວຍຄວາມສະດວກໃນການໄຫຼວຽນຂໍ້ມູນຂ້າມຊາຍແດນ
- ການໃຊ້ງານລ່ວງກັນໄດ້ຂອງລະບົບການຊຳລະເງິນດິຈິຕອລ
- ການຮ່ວມມືດ້ານ Cybersecurity
- ຫຼັກການຮ່ວມດ້ານ AI Governance
- ການປົກປ້ອງຜູ້ບໍລິໂພກ
ເສດຖະກິດດິຈິຕອລຂອງ ASEAN ມີມູນຄ່າປະມານ 3 ແສນລ້ານໂດລາໃນປັດຈຸບັນ, ແຕ່ຄາດວ່າຫາກ DEFA ປະສົບຜົນສຳເລັດ ຈະສາມາດເຕີບໂຕໄດ້ເຖິງ 2 ລ້ານລ້ານໂດລາພາຍໃນປີ 2030 (ທີ່ມາ: ASEAN ທາງການ). ລາວມີຂະໜາດເສດຖະກິດດິຈິຕອລທີ່ຍັງນ້ອຍກວ່າປະເທດອື່ນໃນ ASEAN, ແຕ່ການເຂົ້າຮ່ວມ DEFA ໄດ້ເຮັດໜ້າທີ່ເປັນແรງກົດດັນ (ແລະ ການສະໜັບສະໜູນ) ຈາກພາຍນອກໃນການຜັກດັນໃຫ້ມີການຮ່າງ PDP Law.
ທິດທາງຂອງກົດລະບຽບການໄຫຼວຽນຂໍ້ມູນຂ້າມຊາຍແດນ
DEFA ຍึດຖືຫຼັກການ "ການໄຫຼວຽນຂໍ້ມູນທີ່ອີງໃສ່ຄວາມໄວ້ວາງໃຈ" ໂດຍກຳນົດໃຫ້ແຕ່ລະປະເທດຕ້ອງມີມາດຕະຖານການປົກປ້ອງຂໍ້ມູນຂັ້ນຕ່ຳ. ການບັງຄັບໃຊ້ PDP Law ຂອງລາວກໍ່ຖືເປັນການຕອບສະໜອງຕໍ່ຂໍ້ກຳນົດຂອງ DEFA ດັ່ງກ່າວ.
ໃນຕອນນີ້ທີ່ PDP Law ໄດ້ຖືກບັງຄັບໃຊ້ແລ້ວ ສິ່ງທີ່ວິສາຫະກິດຄວນກຽມຕົວຮັບມືໃນລຳດັບຕໍ່ໄປຄື ການກຳນົດລະບຽບລະອຽດຂອງ DEFA ແລະ ລະບຽບການຈັດຕັ້ງປະຕິບັດພາຍໃນປະເທດ. ໂດຍສະເພາະ:
- ການອັບເດດ Data Mapping: ການທົບທວນຄືນກະແສຂໍ້ມູນໃຫ້ສອດຄ່ອງກັບຂໍ້ກຳນົດການລົງທະບຽນຂອງ PDP Law
- ການທົບທວນສັນຍາການປະມວນຜົນຂໍ້ມູນ: ການປັບປຸງຂໍ້ສັນຍາໃຫ້ສອດຄ່ອງກັບຂໍ້ກຳນົດຂອງ PDP Law
- ການປັບປຸງນະໂຍບາຍຄວາມເປັນສ່ວນຕົວ: ການຈັດທຳເປັນຫຼາຍພາສາ (ພາສາລາວ ແລະ ພາສາອັງກິດ) ເພື່ອຕອບສະໜອງຂໍ້ກຳນົດດ້ານຄວາມໂປ່ງໃສຂອງ PDP Law
- ການລົງທະບຽນກັບໜ່ວຍງານຄຸ້ມຄອງການປົກປ້ອງຂໍ້ມູນ: ການແຈ້ງກິດຈະກຳການປະມວນຜົນຂໍ້ມູນຕໍ່ໜ່ວຍງານຄຸ້ມຄອງການປົກປ້ອງຂໍ້ມູນທີ່ຢູ່ພາຍໃຕ້ MoTC
ຫຼັງຈາກການບັງຄັບໃຊ້ PDP Law ແລ້ວ ການຈັດຕັ້ງລະບຽບຍ່ອຍ (ລະບຽບຂອງລັດຖະບານ) ຍັງຄົງດຳເນີນຕໍ່ໄປ ແລະ ມີແນວໂນ້ມວ່າຈະມີພັນທະທີ່ລະອຽດຊັດເຈນຂຶ້ນຕື່ມໃນອະນາຄົດ (ທີ່ມາ: Rajah & Tann Asia).
ຂໍ້ຜິດພາດທີ່ມັກຖືກມອງຂ້າມ ແລະ ບັນຫາທີ່ພົບໃນການປະຕິບັດຕົວຈິງ
ຄວາມເຂົ້າໃຈຜິດທີ່ວ່າ "ບໍ່ມີກົດໝາຍ ຈຶ່ງເຮັດຫຍັງກໍ່ໄດ້"
ເຖິງແມ່ນວ່າໃນຍຸກທີ່ຍັງບໍ່ທັນມີກົດໝາຍຄຸ້ມຄອງຂໍ້ມູນສ່ວນຕົວແບບຄົບຊຸດ, ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກ ແລະ ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີກໍ່ມີຜົນບັງຄັບໃຊ້ຢ່າງແນ່ນອນ, ແລະ ການລະເມີດກໍ່ມີບົດລົງໂທດທີ່ຊັດເຈນ. ໃນປັດຈຸບັນ ພາຍຫຼັງທີ່ PDP Law ມີຜົນບັງຄັບໃຊ້ແລ້ວ, ຄວາມເຂົ້າໃຈທີ່ວ່າ "ລາວບໍ່ມີລະບຽບຄວບຄຸມ" ຖືວ່າເປັນຄວາມສ່ຽງທາງດ້ານກົດໝາຍໂດຍກົງ.
ໃນກໍລະນີທີ່ຜູ້ຂຽນໄດ້ພົບເຫັນດ້ວຍຕົນເອງ, ບໍລິສັດຕ່າງປະເທດແຫ່ງໜຶ່ງໄດ້ໂອນຖານຂໍ້ມູນລູກຄ້າໄປຍັງເຊີບເວີທີ່ຢູ່ນອກລາວໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ. ເມື່ອເຈົ້າໜ້າທີ່ເຂົ້າກວດສອບ, ບໍລິສັດດັ່ງກ່າວໄດ້ອ້າງວ່າ "ໄດ້ຍິນວ່າລາວບໍ່ມີກົດໝາຍຄຸ້ມຄອງຂໍ້ມູນ" ແຕ່ເມື່ອຖືກຊີ້ໃຫ້ເຫັນຂໍ້ຄວາມໃນກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກ ຈຶ່ງໄດ້ຮັບຮູ້ເຖິງຄວາມຮ້າຍແຮງຂອງສະຖານະການ. ໃນທີ່ສຸດ ບໍລິສັດໄດ້ຮັບຄຳສັ່ງໃຫ້ແກ້ໄຂ ແລະ ຖືກປັບໄໝ.
ພາຍຫຼັງ PDP Law ມີຜົນບັງຄັບໃຊ້, ມີຄວາມເປັນໄປໄດ້ສູງທີ່ການຈັດການກັບກໍລະນີດັ່ງກ່າວຈະຖືກເຂັ້ມງວດຍິ່ງຂຶ້ນ. ນອກຈາກໂທດທາງປົກຄອງ (LAK 25 ລ້ານ ຫາ 100 ລ້ານ) ແລ້ວ, ໃນກໍລະນີທີ່ມີເຈດຕະນາຮ້າຍ ກໍ່ອາດຖືກດຳເນີນຄະດີທາງອາຍາອີກດ້ວຍ.
ຄວາມສ່ຽງຈາກການຊີ້ນຳດ້ານບໍລິຫານຂອງກະຊວງວິທະຍາສາດ ແລະ ເທັກໂນໂລຊີ (MoST)
ຢູ່ລາວ, ບໍ່ພຽງແຕ່ຂໍ້ຄວາມໃນກົດໝາຍເທົ່ານັ້ນ, ແຕ່ ການຊີ້ນຳດ້ານການບໍລິຫານຂອງກະຊວງ (ຄຳແນະນຳ ແລະ ແນວທາງ) ຍັງມີອຳນາດຄວບຄຸມຢ່າງເປັນຈິງຈັງ ໃນຫຼາຍສະຖານະການ. ກະຊວງເຕັກໂນໂລຊີ ແລະ ການສື່ສານ (MoTC, ກະຊວງເຕັກໂນໂລຊີ ແລະ ການສື່ສານ) ແມ່ນໜ່ວຍງານຫຼັກທີ່ຮັບຜິດຊອບດ້ານນະໂຍບາຍດິຈິຕອນ, ແລະ ຍັງເປັນອົງການຄຸ້ມຄອງ PDP Law ອີກດ້ວຍ (ທີ່ມາ: DLA Piper, MoTC InfoComm Asia). ການຊີ້ນຳອາດຈະຖືກດຳເນີນການໃນເລື່ອງທີ່ບໍ່ໄດ້ລະບຸໄວ້ຢ່າງຊັດເຈນໃນກົດໝາຍ.
ມາດຕະການຮັບມືໄດ້ແກ່:
- ຕິດຕາມການປະກາດທາງການຂອງ MoTC ຢ່າງສະໝ່ຳສະເໝີ
- ຮັບຂໍ້ມູນທ່ານສຸດໂດຍຜ່ານສັນຍາທີ່ປຶກສາກັບສຳນັກງານກົດໝາຍທ້ອງຖິ່ນ
- ໃຊ້ປະໂຫຍດຈາກເຄືອຂ່າຍຂອງສະມາຄົມທຸລະກິດ (ເຊັ່ນ: ຫໍການຄ້າ ແລະ ອຸດສາຫະກຳແຫ່ງຊາດລາວ ແລະ ອື່ນໆ)
ຈຸດອ່ອນດ້ານສັນຍາກັບຄູ່ຮ່ວມງານທ້ອງຖິ່ນ
ບໍລິສັດຕ່າງປະເທດຫຼາຍແຫ່ງທີ່ດຳເນີນທຸລະກິດໃນລາວ ແບ່ງປັນຂໍ້ມູນກັບຄູ່ຮ່ວມທຸລະກິດໃນທ້ອງຖິ່ນ (ບໍລິສັດຮ່ວມທຶນ, ຕົວແທນຈຳໜ່າຍ, ຜູ້ຮັບເໝົາຊ່ວງ). ການບັງຄັບໃຊ້ກົດໝາຍ PDP Law ໄດ້ເຮັດໃຫ້ພັນທະທາງກົດໝາຍກ່ຽວກັບການຄຸ້ມຄອງຜູ້ຮັບມອບໝາຍຊັດເຈນຂຶ້ນ. ຈຸດສຳຄັນ ຫຼື ແກນຫຼັກທີ່ມັກຖືກມອງຂ້າມ:
- ການຄຸ້ມຄອງຜູ້ຮັບມອບໝາຍດ້ານການປະມວນຜົນຂໍ້ມູນ: ກົດໝາຍ PDP Law ກຳນົດໃຫ້ຜູ້ຮັບມອບໝາຍດ້ານການປະມວນຜົນຂໍ້ມູນຕ້ອງມີມາດຕະການປົກປ້ອງທີ່ເໝາະສົມເຊັ່ນກັນ. ຈຶ່ງມີຄວາມຈຳເປັນຕ້ອງກວດສອບວ່າຄູ່ຮ່ວມທຸລະກິດໄດ້ດຳເນີນມາດຕະການຄວາມປອດໄພທີ່ເໝາະສົມຫຼືບໍ່
- ການສົ່ງຄືນ ຫຼື ລຶບຂໍ້ມູນເມື່ອສິ້ນສຸດສັນຍາ: ກໍລະນີສ່ວນໃຫຍ່ຍັງບໍ່ທັນໄດ້ລະບຸໄວ້ຢ່າງຊັດເຈນໃນສັນຍາ
- ການຈຳກັດການມອບໝາຍຕໍ່: ການຮັບມືກັບກໍລະນີທີ່ຄູ່ຮ່ວມທຸລະກິດສົ່ງຂໍ້ມູນຕໍ່ໃຫ້ບຸກຄົນທີສາມ
- ສິດໃນການກວດສອບ: ການຮັບປະກັນສິດໃນການກວດສອບສະຖານະການຄຸ້ມຄອງຂໍ້ມູນຂອງຄູ່ຮ່ວມທຸລະກິດ
FAQ
ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີ (ສ້າງຕັ້ງໃນປີ 2015) ໄດ້ກຳນົດໂທດຈຳຄຸກ ແລະ ໂທດປັບໃໝ, ໃນຂະນະທີ່ PDP Law ກຳນົດໂທດທາງປົກຄອງ (LAK 25,000,000 ຫາ 100,000,000) ແລະ ໂທດທາງອາຍາໃນກໍລະນີທີ່ມີຄວາມຜິດຮ້າຍແຮງ. ເນື່ອງຈາກເພດານໂທດຈຳຄຸກ ແລະ ໂທດປັບໃໝທີ່ລະບຸໄວ້ຢ່າງຊັດເຈນນັ້ນແຕກຕ່າງກັນໄປຕາມແຕ່ລະມາດຕາ, ຈຶ່ງຂໍໃຫ້ອ້າງອີງມາດຕາທີ່ກ່ຽວຂ້ອງໂດຍກົງສຳລັບລາຍລະອຽດຂອງບົດລົງໂທດ (ທີ່ມາ: Digital Watch Observatory, DLA Piper).
ລາວມີກົດໝາຍຄຸ້ມຄອງຂໍ້ມູນສ່ວນຕົວແບບຄົບວົງຈອນບໍ?
ມີ. ສະພາແຫ່ງຊາດລາວໄດ້ຜ່ານກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ (PDP Law) ແລະ ໄດ້ມີຜົນບັງຄັບໃຊ້ແລ້ວ (ທີ່ມາ: Rajah & Tann Asia). ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກສະບັບເກົ່າ (ປີ 2017) ໄດ້ກຳນົດການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວໄວ້ພຽງບາງສ່ວນ, ແຕ່ PDP Law ໄດ້ສ້າງກອບກົດໝາຍທີ່ຄອບຄຸມຢ່າງຄົບຖ້ວນ. ຄ້າຍຄືກັນກັບ PDPA ຂອງໄທ ແລະ ດຳລັດວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວຂອງຫວຽດນາມ, ລາວໄດ້ກາຍເປັນໜຶ່ງໃນປະເທດສະມາຊິກ ASEAN ທີ່ມີກົດໝາຍປົກປ້ອງຂໍ້ມູນທີ່ຄອບຄຸມຢ່າງຄົບຖ້ວນ. ຈຳເປັນຕ້ອງປະຕິບັດຕາມກົດໝາຍທັງ 3 ສະບັບຄຽງຄູ່ກັນ, ໄດ້ແກ່: PDP Law, ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກທີ່ມີຢູ່ແລ້ວ ແລະ ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີ.
Q2: ການນຳໃຊ້ AI ໃນການເຮັດວຽກ ຕ້ອງມີການແຈ້ງຂໍອະນຸຍາດກ່ອນບໍ?
ໃນຂະນະນີ້ ຍັງບໍ່ທັນມີລະບົບການແຈ້ງຂໍອະນຸຍາດທີ່ອຸທິດຕົນໃຫ້ກັບການນຳໃຊ້ AI ໂດຍສະເພາະ. ຢ່າງໃດກໍ່ຕາມ, ຫາກ AI ປະມວນຜົນຂໍ້ມູນສ່ວນຕົວ, ກໍ່ຈະຕົກຢູ່ພາຍໃຕ້ການບັງຄັບໃຊ້ຂອງ PDP Law ແລະ ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນເອເລັກໂທຣນິກ. ນອກຈາກນີ້, ໃນຂະແໜງທີ່ຢູ່ພາຍໃຕ້ການຄວບຄຸມ ເຊັ່ນ: ການເງິນ, ການແພດ, ແລະ ການສຶກສາ, ກໍ່ມີຄວາມເປັນໄປໄດ້ທີ່ລະບຽບການສະເພາະຂອງແຕ່ລະຂະແໜງຈະຄອບຄຸມໄປເຖິງການນຳໃຊ້ AI ດ້ວຍ. ຈຶ່ງແນະນຳໃຫ້ຢືນຢັນລ່ວງໜ້າກັບໜ່ວຍງານຄວບຄຸມຂອງແຕ່ລະຂະແໜງ. ສັງເກດວ່າ DEFA ໄດ້ລວມເອົາຫຼັກການຮ່ວມກັນດ້ານ AI Governance ໄວ້ດ້ວຍ (ທີ່ມາ: WEF), ແລະ ມີຄວາມເປັນໄປໄດ້ທີ່ລະບຽບການໃນລະດັບ ASEAN ຈະຖືກກຳນົດຂຶ້ນໃນອະນາຄົດ.
ຄຳຖາມທີ 3: ຂໍ້ກຳນົດສຳລັບການໂອນຂໍ້ມູນສ່ວນຕົວອອກນອກປະເທດລາວແມ່ນຫຍັງ?
ກົດໝາຍ PDP Law ກຳນົດໃຫ້ມີການປະເມີນ ແລະ ການອະນຸມັດສຳລັບການໂອນຂໍ້ມູນຂ້າມຊາຍແດນ (ທີ່ມາ: DLA Piper). ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງອີເລັກໂທຣນິກກໍ່ກຳນົດໃຫ້ຕ້ອງໄດ້ຮັບຄວາມຍິນຍອມຈາກເຈົ້າຂອງຂໍ້ມູນສຳລັບການໂອນຂໍ້ມູນຂ້າມຊາຍແດນເຊັ່ນກັນ. ຂັ້ນຕອນສະເພາະ (ສິ່ງທີ່ທຽບເທົ່າກັບການຮັບຮອງຄວາມພຽງພໍ ຫຼື SCC) ບໍ່ໄດ້ຖືກກຳນົດໄວ້ຢ່າງລະອຽດເທົ່າກັບ GDPR, ແຕ່ໃນທາງປະຕິບັດ, ຕ້ອງດຳເນີນການຢ່າງໜ້ອຍດັ່ງນີ້: ການກວດສອບລະດັບການປົກປ້ອງຂໍ້ມູນຂອງຝ່າຍທີ່ຮັບໂອນ, ການທຳສັນຍາການປະມວນຜົນຂໍ້ມູນ, ແລະ ການແຈ້ງໃຫ້ເຈົ້າຂອງຂໍ້ມູນຊາບ. ຄວນສັງເກດວ່າການໃຊ້ບໍລິການ Cloud ກໍ່ຖືວ່າເປັນການໂອນຂໍ້ມູນຂ້າມຊາຍແດນດ້ວຍ. ມີຄວາມເປັນໄປໄດ້ທີ່ຂໍ້ກຳນົດລູກຂອງ PDP Law ຈະເພີ່ມເຕີມຂໍ້ກຳນົດທີ່ລະອຽດກວ່ານີ້ (ທີ່ມາ: Rajah & Tann Asia).
ຄຳຖາມທີ 4: ບົດລົງໂທດໃນກໍລະນີລະເມີດມີລະດັບໃດແດ່?
ຂຶ້ນຢູ່ກັບກົດໝາຍແຕ່ລະສະບັບ. PDP Law ສຸມໃສ່ການລົງໂທດທາງບໍລິຫານ (LAK 25 ລ້ານ ຫາ 100 ລ້ານກີບ, ທຽບເທົ່າປະມານ 150,000 ຫາ 600,000 ເຢັນຍີ່ປຸ່ນ) ເປັນຫຼັກ, ແລະ ໃນກໍລະນີທີ່ຮ້າຍແຮງ ຈະໃຊ້ໂທດທາງອາຍາ (ລວມທັງໂທດຈຳຄຸກ). ກົດໝາຍວ່າດ້ວຍອາຊະຍາກຳທາງໄຊເບີ (ປີ 2015) ກຳນົດໂທດຈຳຄຸກ ແລະ ຄ່າປັບສຳລັບການເຂົ້າເຖິງລະບົບໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ ແລະ ການປ່ຽນແປງຂໍ້ມູນ (ອ້າງອີງ: Digital Watch Observatory, Council of Europe).
ຕົວເລກຄ່າປັບໂທດໂດຍຕົວເອງນັ້ນ ບໍ່ໄດ້ສູງເທົ່າ GDPR (4% ຂອງລາຍຮັບ), ແຕ່ຄວາມສ່ຽງທີ່ເປັນຕົວຈິງ ເຊັ່ນ: ການຖືກຖອນໃບອະນຸຍາດດຳເນີນທຸລະກິດໃນລາວ ແລະ ຄວາມສຳພັນທີ່ຊຸດໂຊມລົງກັບເຈົ້າໜ້າທີ່ ຖືວ່າຮ້າຍແຮງກວ່ານັ້ນ. ກົດລະບຽບລູກຂອງ PDP Law ຍັງຢູ່ໃນຂັ້ນຕອນການຮ່າງ, ແລະ ມີຄວາມເປັນໄປໄດ້ທີ່ລາຍລະອຽດຂອງໂທດຈະຖືກກຳນົດຊັດເຈນຂຶ້ນໃນອະນາຄົດ.
ຂັ້ນຕອນຕໍ່ໄປຫຼັງຈາກກວດສອບສຳເລັດ
ເມື່ອກວດສອບຄົບທັງ 25 ລາຍການແລ້ວ, ໃຫ້ດຳເນີນການຕາມລຳດັບຄວາມສຳຄັນດັ່ງນີ້.
1. ການຈັດລຳດັບຄວາມສຳຄັນຂອງລາຍການທີ່ຍັງບໍ່ໄດ້ດຳເນີນການ
| ລຳດັບຄວາມສຳຄັນ | ເກນການພິຈາລະນາ | ກຳນົດເວລາດຳເນີນການ |
|---|---|---|
| ສູງ | ລາຍການທີ່ຍັງບໍ່ສອດຄ່ອງກັບພັນທະພາຍໃຕ້ PDP Law ແລະ ກົດໝາຍອາຊະຍາກຳທາງໄຊເບີ | ພາຍໃນ 1 ເດືອນ |
| ກາງ | ການລົງທະບຽນກັບອຳນາດການປົກຄອງດ້ານການປົກປ້ອງຂໍ້ມູນ, ການກຽມຮັບມືກັບລະບຽບການຍ່ອຍ | ພາຍໃນ 3 ເດືອນ |
| ຕ່ຳ | ລາຍການທີ່ແນະນຳໃນຖານະ Best Practice (ນະໂຍບາຍ AI ເປັນຕົ້ນ) | ພາຍໃນ 6 ເດືອນ |
2. ການປຶກສາຜູ້ຊ່ຽວຊານ
ຄວນຂໍຄຳປຶກສາຈາກທະນາຍຄວາມທີ່ມີຄວາມຊ່ຽວຊານດ້ານກົດໝາຍລາວ ເພື່ອປະເມີນການນຳໃຊ້ PDP Law ຢ່າງລະອຽດ ແລະ ປະເມີນຄວາມສ່ຽງຂອງລາຍການທີ່ຍັງບໍ່ໄດ້ດຳເນີນການ. ໃນວຽງຈັນມີສຳນັກງານກົດໝາຍສາກົນຕັ້ງຢູ່, ລວມທັງສຳນັກງານທີ່ສາມາດໃຫ້ບໍລິການເປັນພາສາອັງກິດ ແລະ ພາສາຍີ່ປຸ່ນ. ເນື່ອງຈາກລະບຽບການຍ່ອຍຂອງ PDP Law ຍັງຢູ່ໃນຂັ້ນຕອນການຮ່າງ, ການຕິດຕາມຄວາມເຄື່ອນໄຫວຫຼ້າສຸດຈຶ່ງມີຄວາມສຳຄັນຫຼາຍ.
3. ເສີມສ້າງຄວາມຮູ້ຜ່ານບົດຄວາມທີ່ກ່ຽວຂ້ອງ
- ພາບລວມຂອງ AI Governance — ການປຽບທຽບລະບຽບການ AI ໃນລະດັບໂລກ ລວມທັງ EU AI Act
- ລາຍການກວດສອບຄວາມປອດໄພ AI ຂອງລາວ — ລາຍລະອຽດມາດຕະການຄວາມປອດໄພດ້ານເຕັກນິກ
- ຄູ່ມືປ້ອງກັນການສໍ້ໂກງທາງໂທລະສັບສະຫຼາດໃນລາວ — ຕົວຢ່າງຕົວຈິງ ແລະ ມາດຕະການຮັບມືກ່ຽວກັບກົດໝາຍອາຊະຍາກຳທາງໄຊເບີ
4. ການທົບທວນຄືນຢ່າງເປັນປົກກະຕິ
ລະບຽບການດິຈິຕອລຂອງລາວກຳລັງປ່ຽນແປງຢ່າງວ່ອງໄວ. ຄວນຕິດຕາມຢ່າງໃກ້ຊິດກ່ຽວກັບການຮ່າງລະບຽບການຍ່ອຍຂອງ PDP Law, ຄວາມເຄື່ອນໄຫວຂອງກົດໝາຍຄວາມປອດໄພທາງໄຊເບີສະບັບໃໝ່, ແລະ ການລົງນາມ ແລະ ການມີຜົນບັງຄັບໃຊ້ຂອງ DEFA ພ້ອມທັງທົບທວນລາຍການກວດສອບນີ້ ທຸກໄຕຣມາດ (1 ຄັ້ງຕໍ່ 3 ເດືອນ).
ຜູ້ຂຽນ · ຜູ້ກວດທານ
Boun
ຫຼັງຈາກສຳເລັດການສຶກສາຈາກ RBAC (Rattana Business Administration College), ໄດ້ເລີ່ມຕົ້ນອາຊີບໃນຖານະວິສະວະກອນຊອບແວຕັ້ງແຕ່ປີ 2014. ໄດ້ອຸທິດເວລາກວ່າ 22 ປີ ໃນການອອກແບບ ແລະ ພັດທະນາລະບົບການຈັດການຂໍ້ມູນ ແລະ ເຄື່ອງມືເພີ່ມປະສິດທິພາບການດຳເນີນງານ ສຳລັບອົງການ NGO ສາກົນດ້ານພະລັງງານນ້ຳ (WWF, GIZ, NT2, NNG1). ເປັນຜູ້ນຳໃນການອອກແບບ ແລະ ຈັດຕັ້ງປະຕິບັດລະບົບທຸລະກິດທີ່ນຳໃຊ້ AI. ມີຄວາມຊ່ຽວຊານດ້ານການປະມວນຜົນພາສາທຳມະຊາດ (NLP) ແລະ ການສ້າງຕົວແບບການຮຽນຮູ້ຂອງເຄື່ອງ (Machine Learning), ແລະ ໃນປັດຈຸບັນກຳລັງຊຸກດັນການພັດທະນາ AIDX (AI Digital Transformation) ໂດຍການຜະສົມຜະສານ Generative AI ແລະ ຕົວແບບພາສາຂະໜາດໃຫຍ່ (LLM). ຈຸດແຂງທີ່ໂດດເດັ່ນຄືຄວາມສາມາດໃນການສະໜັບສະໜູນຢ່າງຄົບຊຸດ ຕັ້ງແຕ່ການວາງແຜນຍຸດທະສາດການນຳໃຊ້ AI ໄປຈົນເຖິງການຈັດຕັ້ງປະຕິບັດ ໃນການຊຸກດັນ DX ຂອງວິສາຫະກິດ.
Chi
ສຳເລັດການສຶກສາສາຂາວິທະຍາສາດຄອມພິວເຕີ (Information Science) ຈາກມະຫາວິທະຍາໄລແຫ່ງຊາດລາວ ໂດຍໃນລະຫວ່າງການສຶກສາມີສ່ວນຮ່ວມໃນການພັດທະນາຊອບແວສະຖິຕິ (Statistical Software) ຈາກປະສົບການຕົວຈິງ ຈຶ່ງໄດ້ສ້າງພື້ນຖານດ້ານການວິເຄາະຂໍ້ມູນ (Data Analysis) ແລະ ການໂປຣແກຣມມິງ (Programming) ຢ່າງເຂັ້ມແຂງ. ຕັ້ງແຕ່ປີ 2021 ໄດ້ກ້າວເຂົ້າສູ່ເສັ້ນທາງການພັດທະນາ Web ແລະ ແອັບພລິເຄຊັນ (Application) ແລະ ຕັ້ງແຕ່ປີ 2023 ເປັນຕົ້ນມາ ໄດ້ສັ່ງສົມປະສົບການພັດທະນາຢ່າງເຕັມຮູບແບບທັງໃນດ້ານ Frontend ແລະ Backend. ໃນບໍລິສັດ ຮັບຜິດຊອບການອອກແບບ ແລະ ພັດທະນາ Web Service ທີ່ນຳໃຊ້ AI ພ້ອມທັງມີສ່ວນຮ່ວມໃນໂຄງການທີ່ປະສົມປະສານ ການປະມວນຜົນພາສາທຳມະຊາດ (NLP: Natural Language Processing), ການຮຽນຮູ້ຂອງເຄື່ອງ (Machine Learning), Generative AI ແລະ ໂມເດນພາສາຂະໜາດໃຫຍ່ (LLM: Large Language Model) ເຂົ້າກັບລະບົບທຸລະກິດ. ມີຄວາມກະຕືລືລົ້ນໃນການຕິດຕາມເທັກໂນໂລຊີໃໝ່ລ່າສຸດຢູ່ສະເໝີ ແລະ ໃຫ້ຄວາມສຳຄັນກັບຄວາມວ່ອງໄວໃນທຸກຂັ້ນຕອນ ຕັ້ງແຕ່ການທົດສອບດ້ານເທັກນິກ ຈົນເຖິງການນຳໄປໃຊ້ງານຈິງໃນລະບົບ Production.
