การกำกับดูแล AI ในกลุ่มประเทศ ASEAN กำลังอยู่ในสถานการณ์ที่แต่ละประเทศทยอยจัดทำแนวทางปฏิบัติ (Guidelines) และเอกสารยุทธศาสตร์เฉพาะด้าน AI ด้วยความเร็วที่แตกต่างกัน โดยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นรากฐาน

บทความนี้จัดทำขึ้นสำหรับเจ้าหน้าที่ฝ่ายกฎหมายและกำกับดูแลการปฏิบัติงานของบริษัทญี่ปุ่นที่ดำเนินธุรกิจใน ASEAN ผู้รับผิดชอบโครงการนำ AI มาใช้งาน และ Tech Lead ที่ประจำอยู่ในฐานการดำเนินงานใน ASEAN โดยจะนำเสนอข้อมูลของ 4 ประเทศ ได้แก่ ไทย เวียดนาม ลาว และอินโดนีเซีย เพื่อสรุปภาพรวมในประเด็น: (1) สถานะปัจจุบันของการกำกับดูแล AI ในแต่ละประเทศ (2) ความเชื่อมโยงกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และ (3) แนวทางปฏิบัติที่บริษัทญี่ปุ่นควรดำเนินการ

ขอสรุปใจความสำคัญไว้ ณ ที่นี้ว่า ใน ASEAN ยังไม่มี "กฎหมายกำกับดูแล AI ที่ครอบคลุมและมีผลผูกพันทางกฎหมายเหมือน EU AI Act" แต่หากเพิกเฉยต่อความเคลื่อนไหวของแต่ละประเทศ อาจนำไปสู่ต้นทุนในการปฏิบัติตามกฎระเบียบที่เกิดขึ้นอย่างกะทันหันในการทำธุรกิจข้ามพรมแดน การเริ่มดำเนินการตามขั้นตอน 3 ระยะ ได้แก่ "การทำความเข้าใจสถานการณ์ปัจจุบัน → การประเมินความเสี่ยงภายในองค์กร → การจัดทำระบบธรรมาภิบาล" ตั้งแต่เนิ่นๆ จะเป็นมาตรการลดความเสี่ยงสำหรับบริษัทญี่ปุ่น

ทั้งนี้ บทความนี้เรียบเรียงขึ้นจากองค์ความรู้ในพื้นที่และข้อมูลที่เปิดเผยต่อสาธารณะของบริษัทเรา ไม่ถือเป็นคำแนะนำทางกฎหมาย ในการดำเนินการจริง โปรดปรึกษาผู้เชี่ยวชาญด้านกฎหมายในพื้นที่นั้นๆ ทุกครั้ง

การเปรียบเทียบกฎระเบียบด้าน AI ในอาเซียนมีความสำคัญต่อการทำความเข้าใจทั้ง "ความแตกต่างในปัจจุบัน" และ "ทิศทางในอนาคต" เพื่อนำมาจัดลำดับความสำคัญของความเสี่ยงสำหรับองค์กร

ต่างจาก EU AI Act หรือกฎระเบียบด้าน AI ในระดับรัฐของสหรัฐอเมริกา กฎระเบียบด้าน AI ภายในภูมิภาคอาเซียนมีความแตกต่างกันอย่างมากในด้านความคืบหน้า รูปแบบ และผลผูกพันทางกฎหมาย หากไม่มีการเปรียบเทียบ จะทำให้ไม่สามารถประเมินได้ว่า "ควรจัดสรรทรัพยากรให้กับประเทศใดมากน้อยเพียงใด"

ในภูมิภาคอาเซียน ความเร็วในการดำเนินการด้านกฎระเบียบ AI มีความแตกต่างกันค่อนข้างมาก โดยสามารถสรุปภาพรวมได้ดังนี้:

• สิงคโปร์: เป็นประเทศที่เผยแพร่กรอบธรรมาภิบาล AI (AI Governance Framework) เร็วที่สุดในอาเซียน แม้จะไม่อยู่ในขอบเขตหลักของบทความนี้ แต่ถือเป็นเกณฑ์มาตรฐานที่มีประโยชน์ในการเปรียบเทียบ
• ไทย: มีแผนยุทธศาสตร์ AI แห่งชาติ และเน้นการกำกับดูแลการใช้ AI ผ่านพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)
• เวียดนาม: การอภิปรายเกี่ยวกับร่างกฎหมายที่เกี่ยวข้องกับ AI กำลังเข้มข้นขึ้น และกระบวนการทางนิติบัญญัติกำลังดำเนินอยู่
• อินโดนีเซีย: เริ่มต้นด้วยแนวทางจริยธรรม AI (AI Ethics Guidelines) และมีการวางโครงสร้างให้เชื่อมโยงกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (UU PDP)
• ลาว: กฎระเบียบเฉพาะสำหรับ AI ยังอยู่ในขั้นตอนการพัฒนา แต่มีการปรับใช้ผ่านการตีความกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPL) และกฎหมายดิจิทัล

ด้วยความแตกต่างของความเร็วในการดำเนินการนี้ บริษัทญี่ปุ่นจำเป็นต้องติดตามสถานะล่าสุดของกฎหมายและแนวปฏิบัติโดยให้ความสำคัญกับ "ประเทศที่มีสัดส่วนทางธุรกิจสูง" เป็นอันดับแรก

บริษัทญี่ปุ่นหลายแห่งที่ดำเนินธุรกิจใน ASEAN มักมีการดำเนินงานที่ครอบคลุมหลายประเทศ (เช่น การใช้โมเดล AI ของสำนักงานใหญ่ในไทยเพื่อประมวลผลข้อมูลจากเวียดนามและลาว) ในกรณีนี้ ความแตกต่างของกฎระเบียบในแต่ละประเทศจะปรากฏให้เห็นในรูปแบบดังต่อไปนี้:

• การโอนข้อมูลข้ามพรมแดน (Data Cross-border Transfer): ในบางประเทศอาจมีการกำหนดข้อกำหนดเพิ่มเติมสำหรับการโอนข้อมูลส่วนบุคคลออกนอกประเทศ (เช่น ข้อสัญญา, การแจ้งต่อหน่วยงานที่เกี่ยวข้อง, หรือการขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล)
• ความรับผิดชอบต่อผลลัพธ์ของ AI (Accountability for AI Decisions): หากผลลัพธ์ที่ได้จาก AI ส่งผลกระทบต่อผู้ใช้งานในท้องถิ่น อาจจำเป็นต้องปฏิบัติตามแนวทางปฏิบัติในท้องถิ่นว่าด้วยความสามารถในการอธิบายได้ (Explainability) ของ AI
• กฎระเบียบเพิ่มเติมเฉพาะอุตสาหกรรม: ในภาคการเงิน การแพทย์ และภาครัฐ อาจมีกฎระเบียบเฉพาะอุตสาหกรรมเพิ่มเติมสำหรับการใช้งาน AI

แม้ว่า ASEAN มักถูกมองว่าเป็น "ภูมิภาคที่มีกฎระเบียบไม่เข้มงวด" แต่ในความเป็นจริง กฎระเบียบในแต่ละด้านโดยเฉพาะกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำลังได้รับการพัฒนาอย่างต่อเนื่อง ทำให้ความเสี่ยงจากการ "เพิกเฉยต่อกฎระเบียบแล้วดำเนินธุรกิจต่อไป" เพิ่มสูงขึ้นทุกปี

การเปรียบเทียบจำเป็นต้องใช้เกณฑ์มาตรฐานเดียวกัน บทความนี้จะเปรียบเทียบแต่ละประเทศโดยใช้เกณฑ์ 3 ด้าน ได้แก่ "ผลผูกพันทางกฎหมาย" (Legal Binding), "การเชื่อมโยงกับกฎหมายคุ้มครองข้อมูล" (Connection with Data Protection Laws) และ "การรองรับการโอนข้อมูลข้ามพรมแดน" (Cross-border Transfer Compliance)

การจำกัดขอบเขตของเกณฑ์จะช่วยให้ตัดสินผลกระทบต่อบริษัทของตนได้ง่ายขึ้น เนื่องจากการติดตามข้อมูลอย่างครอบคลุมทุกด้านต้องใช้ค่าใช้จ่ายสูง การเริ่มต้นประเมินด้วยเกณฑ์ทั้ง 3 ด้านนี้จึงเป็นแนวทางที่สมเหตุสมผลและทำได้จริง

ASEAN各国のAI関連規範は、「強制力のある法律」と「ガイドライン・戦略文書」が混在する状況にある。両者は対応の優先度が大きく異なる。

日系企業の実務では、(1) まず法律レイヤを遵守、(2) ガイドラインレベルは自主的に取り込み、(3) 戦略文書はリスクシナリオの素材として参照、という三層対応が現実的だ。

---

บรรทัดฐานที่เกี่ยวข้องกับ AI ในกลุ่มประเทศ ASEAN อยู่ในสถานการณ์ที่มีทั้ง "กฎหมายที่มีผลบังคับใช้" และ "แนวปฏิบัติ/เอกสารยุทธศาสตร์" ปะปนกัน ซึ่งทั้งสองส่วนนี้มีลำดับความสำคัญในการรับมือที่แตกต่างกันอย่างมาก

ในทางปฏิบัติสำหรับบริษัทญี่ปุ่น การรับมือแบบสามชั้นถือเป็นแนวทางที่เป็นจริงที่สุด ได้แก่ (1) ปฏิบัติตามชั้นกฎหมายก่อน (2) นำระดับแนวปฏิบัติมาปรับใช้ด้วยความสมัครใจ และ (3) อ้างอิงเอกสารยุทธศาสตร์เพื่อใช้เป็นข้อมูลสำหรับสถานการณ์ความเสี่ยง (Risk Scenario)

ในกลุ่มประเทศอาเซียน ยังมีไม่กี่ประเทศที่มีการตรากฎหมายควบคุม AI ขึ้นมาเป็นการเฉพาะ โดยส่วนใหญ่จะเป็นโครงสร้างที่ใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในการกำกับดูแลการใช้งาน AI ทางอ้อม

• ไทย PDPA: การประมวลผลข้อมูลส่วนบุคคลโดย AI อยู่ภายใต้บังคับของ PDPA รวมถึงการกำกับดูแลการตัดสินใจโดยอัตโนมัติ (Automated Decision-Making) ก็ถูกหารือภายใต้กรอบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลเช่นกัน
• อินโดนีเซีย UU PDP: กำหนดให้การประมวลผลด้วย AI เป็นการประมวลผลข้อมูลส่วนบุคคลในลักษณะเดียวกัน
• ลาว PDPL: การกำกับดูแล AI ผ่านกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเน้นไปที่กฎระเบียบเกี่ยวกับการโอนข้อมูลข้ามพรมแดน
• เวียดนาม (บรรทัดฐานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล): การกำกับดูแลการใช้งาน AI ผ่านบรรทัดฐานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

กล่าวคือ การมองภาพรวมในอาเซียนให้ถูกต้องนั้น ไม่ใช่การติดตาม "กฎหมายควบคุม AI" แบบแยกส่วน แต่ควรพิจารณาในรูปแบบของ "กฎหมายคุ้มครองข้อมูลส่วนบุคคล + แนวปฏิบัติเกี่ยวกับ AI" (AI Guidelines) ควบคู่กันไป

สำหรับบทความที่เกี่ยวข้อง โปรดดู เปรียบเทียบกฎหมายคุ้มครองข้อมูลส่วนบุคคล 4 ประเทศในอาเซียนอย่างละเอียด ประกอบด้วย

ในการใช้งาน AI ภายในภูมิภาคอาเซียน การโอนข้อมูลข้ามพรมแดน (Cross-border data transfer) มักจะเกิดขึ้นเกือบทุกกรณี กฎหมายคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศส่วนใหญ่มักมีข้อกำหนดเกี่ยวกับการโอนข้อมูลข้ามพรมแดน (เช่น การขอความยินยอม, ข้อสัญญา, การแจ้งต่อหน่วยงานกำกับดูแล เป็นต้น)

รูปแบบที่บริษัทญี่ปุ่นมักประสบปัญหาบ่อยครั้ง มีดังนี้:

• การประมวลผลข้อมูลลูกค้าในเวียดนามและลาวด้วยระบบ AI ของสำนักงานใหญ่ในไทย: จำเป็นต้องปฏิบัติตามกฎระเบียบการโอนข้อมูลข้ามพรมแดนของประเทศต้นทาง (เวียดนามและลาว)
• การใช้โครงสร้างพื้นฐาน AI ระดับโลกของญี่ปุ่นร่วมกันในกลุ่มประเทศอาเซียน: จำเป็นต้องมีการขอความยินยอมแยกตามรายประเทศ, การจัดทำข้อสัญญา และการตรวจสอบมาตรการรักษาความปลอดภัยของปลายทางที่รับโอนข้อมูลในต่างประเทศ
• โมเดล AI บนระบบคลาวด์ใช้ศูนย์ข้อมูลในประเทศอื่น: ไม่ควรปล่อยให้เป็นหน้าที่ของผู้ให้บริการคลาวด์เพียงอย่างเดียว แต่จำเป็นต้องทราบตำแหน่งที่ตั้งทางกายภาพของข้อมูลด้วย

โดยเฉพาะอย่างยิ่ง หากข้อมูลที่ใช้ในการฝึกสอน (Training data) ของโมเดล AI มีข้อมูลส่วนบุคคลของประเทศต่างๆ ในอาเซียนรวมอยู่ด้วย กฎระเบียบว่าด้วยการโอนข้อมูลข้ามพรมแดนตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอาจครอบคลุมไปถึงกระบวนการเรียนรู้ทั้งหมด ดังนั้น การตรวจสอบตั้งแต่ขั้นตอนการออกแบบจึงมีความสำคัญเป็นอย่างยิ่ง

จากนี้ไป จะขอสรุปแนวโน้มล่าสุด ณ เวลาที่เขียนบทความ ของ 4 ประเทศ ได้แก่ ไทย เวียดนาม ลาว และอินโดนีเซีย ตามลำดับ

ทั้งนี้ เนื่องจากกฎระเบียบของแต่ละประเทศในอาเซียนมีการเปลี่ยนแปลงอย่างรวดเร็ว ข้อมูลในบทความนี้จึงเป็นเพียงการรวบรวมข้อมูล ณ เวลาที่เขียนเท่านั้น ในการดำเนินการจริง โปรดตรวจสอบข้อมูลล่าสุดจากแหล่งข้อมูลอย่างเป็นทางการของแต่ละประเทศและปรึกษาผู้เชี่ยวชาญด้านกฎหมายในพื้นที่เสมอ

ประเทศไทยเป็นหนึ่งในประเทศภายในภูมิภาคอาเซียนที่มีความกระตือรือร้นในการจัดทำธรรมาภิบาล AI โดยมีการเผยแพร่เอกสารยุทธศาสตร์ AI แห่งชาติออกมาแล้ว หัวใจสำคัญคือการกำกับดูแลการใช้ AI ผ่านพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ซึ่งประเด็นเรื่องการตัดสินใจอัตโนมัติ (Automated Decision-Making) และการทำโปรไฟล์ส่วนบุคคล (Personal Profiling) จะถูกนำมาหารือภายใต้กรอบการทำงานนี้

ประเด็นเชิงปฏิบัติสำหรับประเทศไทยมีสามประการ ประการแรก PDPA มีขอบเขตการบังคับใช้ที่กว้างขวาง โดยครอบคลุมถึงบริษัทต่างชาติที่จัดการข้อมูลของคนไทยหรือผู้ที่พำนักอยู่ในประเทศไทยด้วย (การบังคับใช้นอกอาณาเขต) ประการที่สอง ในงานที่การตัดสินใจด้วย AI ส่งผลกระทบต่อบุคคล อาจมีการกำหนดให้ต้องมีการบันทึกกระบวนการตัดสินใจเพื่อความรับผิดชอบ (Accountability) ประการที่สาม ในบางอุตสาหกรรม เช่น การเงินและการแพทย์ อาจมีการบังคับใช้กฎระเบียบเฉพาะทาง (จากธนาคารกลาง กระทรวงสาธารณสุข หรือ ก.ล.ต. เป็นต้น) เพิ่มเติมจากการใช้งาน AI ทั่วไป

สำหรับบริษัทญี่ปุ่นที่ดำเนินธุรกิจด้านระบบ AI ในประเทศไทย แนวทางที่มั่นคงคือการเริ่มต้นจากการปฏิบัติตาม PDPA ควบคู่ไปกับการทำความเข้าใจภาพรวมโดยผสมผสานกฎระเบียบเฉพาะอุตสาหกรรมและทิศทางของยุทธศาสตร์ AI แห่งชาติเข้าด้วยกัน

โปรดดูบทความที่เกี่ยวข้องเรื่อง รายการตรวจสอบการปฏิบัติตามกฎระเบียบเพื่อสร้างสมดุลระหว่างการรับมือ PDPA และการใช้ AI ในประเทศไทย

เวียดนามกำลังดำเนินการจัดทำบรรทัดฐานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล โดยมีการหารือเกี่ยวกับร่างกฎหมายและบรรทัดฐานที่เกี่ยวข้องกับ AI ควบคู่กันไป จึงเป็นหนึ่งในประเทศที่จำเป็นต้องติดตามความคืบหน้าของกระบวนการทางกฎหมายอย่างต่อเนื่อง

ข้อควรระวังในทางปฏิบัติ:

• บรรทัดฐานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล: การประมวลผลข้อมูลส่วนบุคคลโดย AI มีแนวโน้มที่จะถูกจัดให้อยู่ภายใต้กรอบการทำงานนี้
• การโอนข้อมูลข้ามพรมแดน: กฎระเบียบเกี่ยวกับการโอนข้อมูลข้ามพรมแดนถูกครอบคลุมอยู่ในบรรทัดฐานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
• กฎระเบียบเฉพาะอุตสาหกรรม: มีกฎระเบียบเฉพาะด้านความมั่นคงปลอดภัยไซเบอร์และการจัดการข้อมูลในภาคส่วนต่างๆ เช่น การเงินและโทรคมนาคม

เวียดนามเป็นประเทศที่มีการแก้ไขและประกาศใช้ร่างกฎหมายอย่างคึกคัก ดังนั้น ผู้ประกอบการที่ใช้งาน AI อย่างเต็มรูปแบบจำเป็นต้องมีการอัปเดตข้อมูลกับฝ่ายกฎหมายในพื้นที่อย่างสม่ำเสมอ

ลาวเป็นประเทศหนึ่งในอาเซียนที่มีการจัดทำกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPL) โดยใช้โครงสร้างที่ทำงานร่วมกับกฎหมายดิจิทัลและกฎหมายธุรกรรมทางอิเล็กทรอนิกส์ แม้ว่ากฎหมายเฉพาะสำหรับ AI จะยังอยู่ในขั้นตอนการพัฒนา แต่การใช้งาน AI ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลจะอยู่ภายใต้บังคับของ PDPL

ประเด็นสำคัญในทางปฏิบัติสำหรับลาว:

• การบังคับใช้ PDPL: ระบบ AI ที่จัดการข้อมูลส่วนบุคคลของพลเมืองลาวหรือผู้ที่พำนักอยู่ในลาว จะต้องอยู่ภายใต้บังคับของ PDPL
• การโอนข้อมูลข้ามพรมแดน: การโอนข้อมูลส่วนบุคคลออกนอกประเทศจำเป็นต้องปฏิบัติตามข้อกำหนดที่ระบุไว้ใน PDPL
• กฎหมายดิจิทัลและกฎหมายธุรกรรมทางอิเล็กทรอนิกส์: ความสมบูรณ์ของธุรกรรมทางอิเล็กทรอนิกส์และสัญญาอิเล็กทรอนิกส์ที่ดำเนินการโดย AI จะถูกพิจารณาภายใต้กรอบของกฎหมายเหล่านี้
• ตามประเภทธุรกิจ: ในภาคการเงินและภาครัฐ กฎระเบียบเฉพาะของแต่ละอุตสาหกรรมอาจส่งผลต่อการใช้งาน AI

แม้ว่าลาวจะเป็นประเทศที่ค่อนข้างเริ่มต้นในการจัดทำกฎระเบียบภายในอาเซียน แต่ในช่วงไม่กี่ปีที่ผ่านมาการปรับปรุงกฎหมายได้เร่งตัวขึ้น บริษัทญี่ปุ่นควรมีระบบตรวจสอบเวอร์ชันล่าสุดของกฎหมายเป็นประจำทุกปี

สำหรับบทความที่เกี่ยวข้อง โปรดดู ประเด็นสำคัญที่บริษัทควรทราบเกี่ยวกับกฎหมายดิจิทัลของลาว และ คู่มือการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของลาว

อินโดนีเซียมีการจัดทำกฎหมายคุ้มครองข้อมูลส่วนบุคคล (UU PDP) ไว้แล้ว ในส่วนที่เกี่ยวข้องกับ AI นั้น รัฐบาลได้กำหนดแนวทางจริยธรรมนำร่องไว้ก่อน โดยไม่ได้ใช้กฎหมายควบคุม AI โดยตรง แต่ใช้วิธีการกำหนดทิศทางผ่านแนวทางปฏิบัติ และใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในการกำกับดูแลการประมวลผลข้อมูลในแต่ละกรณีแทน

ประเด็นสำคัญในทางปฏิบัติ:

• การปฏิบัติตาม UU PDP: การประมวลผลข้อมูลส่วนบุคคลโดย AI จะถูกจัดให้อยู่ภายใต้ขอบเขตของ UU PDP
• แนวทางจริยธรรม AI: แนวทางจริยธรรมที่นำโดยรัฐบาลอาจทำหน้าที่เป็นมาตรฐานอุตสาหกรรมในทางปฏิบัติในบางสถานการณ์
• กฎระเบียบเฉพาะอุตสาหกรรม: กฎระเบียบเฉพาะอุตสาหกรรม เช่น จากหน่วยงานกำกับดูแลภาคการเงิน (OJK) และหน่วยงานกำกับดูแลด้านการสื่อสาร จะมีผลบังคับใช้ซ้อนทับกับการใช้งาน AI
• การโอนข้อมูลข้ามพรมแดน: จำเป็นต้องปฏิบัติตามกฎระเบียบว่าด้วยการโอนข้อมูลข้ามพรมแดนตาม UU PDP

ตลาดอินโดนีเซียมีขนาดใหญ่และมักต้องอาศัยความร่วมมือกับพันธมิตรในท้องถิ่นเป็นหลัก ดังนั้นในการนำระบบ AI ไปใช้งาน จำเป็นต้องมีการประเมินสถานะการปฏิบัติตามกฎระเบียบ (Compliance) ของฝั่งพันธมิตรร่วมด้วย

การรับมือกับกฎระเบียบด้าน AI ในอาเซียนนั้น การใช้วิธี "ติดตามให้ครบทุกอย่าง" อาจไม่ตอบโจทย์ แต่การจัดลำดับความสำคัญตาม "สัดส่วนธุรกิจ × ความเสี่ยง × ต้นทุน" เป็นแนวทางที่สมเหตุสมผลมากกว่า

ในที่นี้ จะขอสรุปแนวทางปฏิบัติสองประการที่บริษัทญี่ปุ่นควรดำเนินการจริง ได้แก่ การประเมินความเสี่ยง (Risk Assessment) และการจัดทำธรรมาภิบาลภายในองค์กร (Internal Governance)

เมื่อเริ่มต้นรับมือกับกฎระเบียบด้าน AI ในกลุ่มประเทศ ASEAN สิ่งแรกที่ควรทำคือ "การประเมินความเสี่ยงขององค์กร" โดยทางเราขอแนะนำขั้นตอนดังต่อไปนี้:

1. การสำรวจกรณีการใช้งาน AI (AI Use Case Inventory): จัดทำรายการระบบ AI ที่กำลังใช้งานอยู่และที่วางแผนจะใช้งานในสาขาแต่ละประเทศ
2. การระบุประเทศเป้าหมาย: ทำการแมปปิ้งว่าแต่ละกรณีการใช้งานอยู่ภายใต้กฎระเบียบของประเทศใดบ้าง (กฎหมายคุ้มครองข้อมูลส่วนบุคคล, กฎระเบียบเฉพาะอุตสาหกรรม, และแนวปฏิบัติเกี่ยวกับ AI)
3. การประเมินระดับผลกระทบ: จำแนกความเสี่ยงออกเป็น ระดับสูง (ส่งผลกระทบโดยตรงต่อบุคคล, การตัดสินใจทางการเงิน, การตัดสินใจทางการแพทย์), ระดับกลาง และระดับต่ำ (การเพิ่มประสิทธิภาพการทำงานภายในองค์กร)
4. การวิเคราะห์ช่องว่าง (Gap Analysis): ตรวจสอบช่องว่างระหว่างการดำเนินงานในปัจจุบันกับข้อกำหนดด้านกฎระเบียบของแต่ละประเทศสำหรับกรณีการใช้งานแต่ละรายการ
5. แผนการรับมือ: จัดทำแผนการรับมือตามระดับความสำคัญของช่องว่างที่พบ

หากบรรจุกระบวนการนี้ไว้ในการทบทวนประจำปี จะช่วยให้การติดตามการอัปเดตกฎระเบียบเป็นไปอย่างเป็นระบบ ทางเราขอแนะนำรูปแบบการดำเนินงานโดยให้มีการทบทวนร่วมกับฝ่ายกฎหมายท้องถิ่นปีละ 1 ครั้ง และมีการอัปเดตข้อมูลรายประเทศทุกไตรมาส

การนำผลการประเมินความเสี่ยง (Risk Assessment) มาปรับใช้ในรูปแบบที่องค์กรสามารถดำเนินการได้อย่างต่อเนื่อง คือการจัดทำธรรมาภิบาลภายในองค์กร โดยต้องจัดเตรียมองค์ประกอบพื้นฐานอย่างน้อย 4 ประการ ดังนี้:

• นโยบายการใช้ AI: เกณฑ์การตัดสินใจ ข้อห้าม และขั้นตอนการอนุมัติเมื่อมีการใช้ AI ภายในองค์กร
• แนวปฏิบัติในการจัดการข้อมูล: ขั้นตอนการป้อนข้อมูลส่วนบุคคลและข้อมูลที่เป็นความลับเข้าสู่ระบบ AI
• ผู้รับผิดชอบและโครงสร้างองค์กร: ผู้รับผิดชอบด้านการปฏิบัติตามกฎระเบียบ AI (AI Compliance Officer) และช่องทางการประสานงานกับสาขาในต่างประเทศ
• การให้ความรู้และการสื่อสาร: การอบรมพนักงานที่ปฏิบัติงานจริง การจัดทำ FAQ และการส่งข้อมูลอัปเดตอย่างสม่ำเสมอ

สำหรับบริษัทญี่ปุ่นที่มีสาขาใน ASEAN โครงสร้างธรรมาภิบาลแบบสองระดับ (สำนักงานใหญ่และสาขาท้องถิ่น) ถือเป็นแนวทางที่เหมาะสมที่สุด โดยสำนักงานใหญ่จะเป็นผู้กำหนดนโยบายส่วนกลางของบริษัท และสาขาท้องถิ่นจะเป็นผู้ดำเนินการเพิ่มเติมเพื่อให้สอดคล้องกับกฎระเบียบของแต่ละประเทศ

สามารถดูบทความที่เกี่ยวข้องเพิ่มเติมได้ที่ AI กํากับดูแลคืออะไร? และ เปรียบเทียบกฎหมายคุ้มครองข้อมูลส่วนบุคคล 4 ประเทศใน ASEAN

เราขอตอบคำถามที่พบบ่อยจากบริษัทญี่ปุ่นที่มีฐานการดำเนินงานใน ASEAN ดังนี้

Q1. ใน ASEAN มีกฎระเบียบด้าน AI ที่ครอบคลุมแบบ "เทียบเท่า EU AI Act" หรือไม่?

ณ เวลาที่เขียนบทความนี้ ยังไม่มีกฎระเบียบด้าน AI ที่ครอบคลุมและมีผลผูกพันทางกฎหมายแบบ "เทียบเท่า EU AI Act" ในภูมิภาค ASEAN แม้ว่าสิงคโปร์จะเป็นผู้นำด้านกรอบธรรมาภิบาล AI (AI Governance Framework) แต่สิ่งนี้ก็ยังถือเป็นแนวทางปฏิบัติ (Guidelines) ไม่ใช่กฎหมายที่มีผลผูกพัน ในหลายประเทศมีการกำกับดูแลการใช้ AI ผ่านการผสมผสานระหว่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลและแนวทางปฏิบัติเกี่ยวกับ AI

Q2. หากแนวทางปฏิบัติเกี่ยวกับ AI ไม่มีผลผูกพันทางกฎหมาย สามารถเพิกเฉยได้หรือไม่?

ไม่แนะนำให้เพิกเฉย ประการแรก แนวทางปฏิบัติมักเป็นสัญญาณบ่งชี้ถึงการออกกฎหมายในอนาคต ประการที่สอง มักถูกอ้างอิงเป็น "มาตรฐานโดยพฤตินัย" (De facto standard) จากหน่วยงานท้องถิ่น คู่ค้า และผู้ใช้งาน หากไม่ปฏิบัติตามอาจเสียเปรียบในด้านความน่าเชื่อถือ การทำสัญญา และการจัดซื้อจัดจ้าง ประการที่สาม มีตัวอย่างที่หน่วยงานกำกับดูแลเฉพาะอุตสาหกรรม (เช่น การเงิน การแพทย์ โทรคมนาคม) นำแนวทางปฏิบัติไปรวมเป็นเงื่อนไขในการออกใบอนุญาต แม้จะไม่ต้องเข้มงวดเท่ากับกฎหมาย แต่การนำไปรวมไว้ในธรรมาภิบาลขององค์กรก็ถือว่าคุ้มค่า

Q3. เมื่อบริษัทญี่ปุ่นดำเนินงานด้าน AI ใน ASEAN กฎระเบียบใดที่ควรให้ความสำคัญเป็นอันดับแรก?

"กฎหมายคุ้มครองข้อมูลส่วนบุคคล" (Personal Data Protection Act) มักจะเป็นสิ่งที่ต้องให้ความสำคัญสูงสุดด้วยเหตุผล 3 ประการ ได้แก่ มีบทลงโทษและมาตรการทางปกครองที่ชัดเจนเมื่อมีการฝ่าฝืน, มีการบังคับใช้ข้ามพรมแดน (Extraterritorial application) ที่กว้างขวาง และเป็นพื้นฐานโดยพฤตินัยของกฎระเบียบด้าน AI การเริ่มต้นจากการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล แล้วค่อยขยายขอบเขตไปยังกฎระเบียบเฉพาะอุตสาหกรรม แนวทางปฏิบัติเกี่ยวกับ AI และเอกสารยุทธศาสตร์ระดับชาติ ถือเป็นแนวทางที่มั่นคงที่สุด

Q4. เพื่อรับมือกับกฎระเบียบใน ASEAN ควรจัดทำนโยบายที่เป็นมาตรฐานเดียวกันจากสำนักงานใหญ่ หรือแยกทำตามแต่ละประเทศ?

การใช้แนวทางแบบผสมผสาน (Hybrid) เป็นสิ่งที่ทำได้จริงมากที่สุด โดยการกำหนด "ข้อกำหนดขั้นต่ำที่เป็นมาตรฐานเดียวกันทั้งบริษัท" (เช่น การจัดการข้อมูลส่วนบุคคล การจัดการข้อมูลลับ ขั้นตอนการอนุมัติการใช้ AI) ไว้ที่สำนักงานใหญ่ และให้แต่ละสาขาในแต่ละประเทศจัดทำ "ข้อกำหนดเพิ่มเติม" (เช่น การปฏิบัติตามกฎระเบียบของแต่ละประเทศ การปฏิบัติตามกฎระเบียบเฉพาะอุตสาหกรรม) โครงสร้างสองระดับนี้จะช่วยสร้างสมดุลระหว่างต้นทุนการดูแลรักษาในทางปฏิบัติและความเหมาะสมกับบริบทของท้องถิ่นได้ดีที่สุด

ในปัจจุบัน กฎระเบียบด้าน AI ของ ASEAN ยังไม่มีกรอบการกำกับดูแลที่รวมศูนย์และครอบคลุมเหมือนกับ EU AI Act แต่การใช้งาน AI กำลังถูกกำกับดูแลในทางปฏิบัติผ่านการผสมผสานระหว่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลและแนวปฏิบัติเกี่ยวกับ AI ของแต่ละประเทศ ต่อไปนี้คือสรุปประเด็นสำคัญของบทความนี้

• การรับมือกับกฎระเบียบด้าน AI ใน ASEAN ควรพิจารณาจากชุดกฎเกณฑ์ที่ประกอบด้วย "กฎหมายคุ้มครองข้อมูลส่วนบุคคล + แนวปฏิบัติเกี่ยวกับ AI + กฎระเบียบเฉพาะอุตสาหกรรม"
• ประเทศไทย เวียดนาม ลาว และอินโดนีเซีย มีความคืบหน้า รูปแบบ และผลผูกพันทางกฎหมายที่แตกต่างกัน จึงจำเป็นต้องจัดระเบียบข้อมูลโดยใช้เกณฑ์การเปรียบเทียบที่สอดคล้องกัน
• การดำเนินการในทางปฏิบัติควรสร้างวงจรที่ยั่งยืน ได้แก่ การประเมินความเสี่ยง (Risk Assessment) → การจัดทำระบบธรรมาภิบาล (Governance) → การทบทวนประจำปี (Annual Review)
• โครงสร้างธรรมาภิบาลแบบสองชั้นระหว่างสำนักงานใหญ่และหน่วยงานในท้องถิ่น จะช่วยให้เกิดความสมดุลระหว่างความสามารถในการดูแลรักษาและความเหมาะสมกับบริบทของพื้นที่

กฎระเบียบของแต่ละประเทศใน ASEAN มีการเปลี่ยนแปลงอย่างรวดเร็ว ข้อมูลในบทความนี้เป็นเพียงการสรุป ณ เวลาที่เขียนเท่านั้น ในการดำเนินการจริง โปรดตรวจสอบข้อมูลล่าสุดที่เปิดเผยต่อสาธารณะและปรึกษาผู้เชี่ยวชาญด้านกฎหมายในท้องถิ่นเสมอ

บริษัทของเราให้การสนับสนุนการจัดทำระบบการปฏิบัติตามกฎระเบียบด้าน AI (AI Compliance) สำหรับบริษัทญี่ปุ่นที่ดำเนินธุรกิจในภูมิภาค ASEAN หากท่านต้องการหารือในเบื้องต้น สามารถติดต่อสอบถามเราได้ทันที