ข้อจำกัดความรับผิดชอบ: บทความนี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้น และไม่ถือเป็นคำแนะนำทางกฎหมาย สำหรับการวินิจฉัยทางกฎหมายในกรณีเฉพาะ กรุณาปรึกษาทนายความที่มีความเชี่ยวชาญด้านกฎหมายลาว การแปลบทบัญญัติกฎหมายในที่นี้เป็นการแปลอ้างอิงโดยผู้เขียน โดยต้นฉบับภาษาลาวถือเป็นฉบับที่มีผลบังคับใช้

บริษัทที่ดำเนินธุรกิจในลาวเมื่อได้ยินคำว่า "กฎหมายดิจิทัล" มักเผชิญกับปัญหาแรกคือ ไม่รู้ว่าต้องปฏิบัติตามอะไรบ้าง ไทยมี PDPA เวียดนามมีพระราชกฤษฎีกาคุ้มครองข้อมูลส่วนบุคคล แต่ลาวยังไม่มีกฎหมายคุ้มครองข้อมูลที่ครอบคลุมในลักษณะเดียวกัน

อย่างไรก็ตาม นั่นไม่ได้หมายความว่า "ไม่มีกฎระเบียบ" ลาวมีกฎหมาย 3 ฉบับ ได้แก่ กฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ กฎหมายอาชญากรรมไซเบอร์ และกฎหมายพาณิชย์อิเล็กทรอนิกส์ ซึ่งได้กำหนดให้การใช้ข้อมูลส่วนบุคคลโดยมิชอบ การโอนข้อมูลข้ามพรมแดน และการรับมือกับการโจมตีทางไซเบอร์เป็นพันธกรณีทางกฎหมายไว้แล้ว นอกจากนี้ การใช้งาน AI ก็มีสถานการณ์ที่อาจถูกตั้งคำถามเรื่องความรับผิดภายใต้กรอบกฎหมายที่มีอยู่อย่างแน่นอน

บทความนี้ได้จัดระเบียบกฎหมายและระเบียบข้อบังคับด้านดิจิทัลของลาวออกเป็น checklist ทั้งหมด 25 รายการ โดยออกแบบให้เป็นเครื่องมือเชิงปฏิบัติสำหรับผู้บริหารและฝ่ายกฎหมาย เพื่อใช้ตรวจสอบการจัดการข้อมูลและการใช้งาน AI ขององค์กร และระบุช่องว่างด้าน compliance

รายการตรวจสอบนี้ประกอบด้วย 3 หมวดหมู่ รวมทั้งสิ้น 25 รายการ ดังนี้

วิธีใช้งาน: ตรวจสอบ ☐ ในแต่ละรายการตามลำดับ เพื่อระบุรายการที่ยังไม่ได้ดำเนินการ สำหรับรายการที่ยากต่อการตัดสินใจด้วยตนเอง แนะนำให้ปรึกษาทนายความท้องถิ่นที่มีความเชี่ยวชาญด้านกฎหมายลาว หากต้องการเวอร์ชัน PDF ของรายการตรวจสอบนี้ สามารถดาวน์โหลดได้จาก CTA ที่ท้ายหน้า

เพื่อให้เข้าใจกฎระเบียบด้านดิจิทัลของลาว สิ่งสำคัญที่ต้องทำความเข้าใจก่อนคือ โครงสร้างกฎหมายนั้นไม่ได้ประกอบด้วย "กฎหมายครอบคลุมฉบับเดียว" แต่เป็น "การผสมผสานของกฎหมายเฉพาะ 3 ฉบับ"

ประกาศใช้ในปี 2017 เป็นกฎหมายที่กำหนดการคุ้มครองข้อมูลส่วนบุคคลที่ประมวลผลด้วยระบบอิเล็กทรอนิกส์ และถือเป็นกฎหมายหลักด้านการคุ้มครองข้อมูลในลาว

บทบัญญัติหลัก:

• คำนิยามข้อมูลส่วนบุคคล: ข้อมูลอิเล็กทรอนิกส์ที่สามารถระบุตัวบุคคลได้ (เช่น ชื่อ หมายเลข ID ข้อมูลตำแหน่งที่ตั้ง เป็นต้น)
• หลักการเก็บรวบรวมข้อมูล: การระบุวัตถุประสงค์อย่างชัดเจน และการได้รับความยินยอมจากเจ้าของข้อมูล
• หน้าที่ในการจัดเก็บ: การบริหารจัดการความปลอดภัยด้วยมาตรการทางเทคนิคและองค์กรที่เหมาะสม
• การโอนข้อมูลข้ามแดน: การโอนข้อมูลไปยังต่างประเทศมีเงื่อนไขที่กำหนดไว้
• บทลงโทษ: มีบทบัญญัติเกี่ยวกับโทษทางปกครองและโทษทางอาญาสำหรับผู้ฝ่าฝืน

ในระหว่างการสร้างโครงสร้างพื้นฐานด้านข้อมูลให้กับลูกค้า พบว่ามีผู้ให้บริการ IT ในท้องถิ่นจำนวนไม่น้อยที่ไม่ทราบถึงการมีอยู่ของกฎหมายฉบับนี้ กฎหมายมีผลบังคับใช้แล้ว แต่การรับรู้ในทางปฏิบัติยังคงมีช่องว่างอยู่

ประกาศใช้ในปี 2015 โดยได้จำแนกประเภทอาชญากรรมทางไซเบอร์ต่าง ๆ เช่น การเข้าถึงระบบโดยไม่ได้รับอนุญาต การปลอมแปลงข้อมูล และการฉ้อโกงออนไลน์ พร้อมทั้งกำหนดบทลงโทษที่เกี่ยวข้อง

ประเด็นที่ภาคธุรกิจควรให้ความสำคัญเป็นพิเศษ:

• การห้ามเข้าถึงระบบโดยไม่ได้รับอนุญาต: ครอบคลุมไม่เพียงแค่การบุกรุกระบบขององค์กรจากภายนอก แต่ยังรวมถึงการที่พนักงานเข้าถึงข้อมูลเกินขอบเขตสิทธิ์ที่ได้รับมอบหมาย
• การปลอมแปลงและทำลายข้อมูล: ความรับผิดทางอาญาสำหรับการจัดการข้อมูลโดยเจตนา
• การรายงานเหตุการณ์: ภาระผูกพันในการรายงานต่อหน่วยงานที่มีอำนาจเมื่อถูกโจมตีทางไซเบอร์
• การเก็บรักษาหลักฐาน: ภาระผูกพันในการเก็บรักษาและส่งมอบหลักฐานทางอิเล็กทรอนิกส์

สำหรับสถานการณ์จริงของการฉ้อโกงผ่านสมาร์ทโฟนในลาวและแนวทางการรับมือ สามารถศึกษาตัวอย่างการบังคับใช้กฎหมายอาชญากรรมทางไซเบอร์ได้อย่างละเอียดในบทความที่เกี่ยวข้อง

ประกาศใช้ในปี 2012 และแก้ไขในปี 2018 กำหนดความมีผลทางกฎหมายของลายเซ็นอิเล็กทรอนิกส์ เงื่อนไขการก่อตั้งสัญญาอิเล็กทรอนิกส์ และการคุ้มครองผู้บริโภค

• ความมีผลทางกฎหมายของลายเซ็นอิเล็กทรอนิกส์: ลายเซ็นอิเล็กทรอนิกส์ที่เป็นไปตามเงื่อนไขที่กำหนดมีผลทางกฎหมายเทียบเท่าลายเซ็นลายมือ
• สัญญาอิเล็กทรอนิกส์: ชี้แจงเงื่อนไขการก่อตั้งสัญญาทางออนไลน์อย่างชัดเจน
• การคุ้มครองผู้บริโภค: ภาระหน้าที่ในการเปิดเผยข้อมูลของผู้ประกอบการ EC กฎเกณฑ์การคืนสินค้าและการคืนเงิน
• การจัดเก็บข้อมูล: เงื่อนไขเกี่ยวกับการจัดเก็บบันทึกธุรกรรมในรูปแบบอิเล็กทรอนิกส์

ในขณะที่ประเทศสมาชิก ASEAN หลายประเทศได้ตรากฎหมายคุ้มครองข้อมูลแบบครอบคลุมและบังคับใช้แล้ว ลาวยังไม่มีกฎหมายเอกภาพในรูปแบบ PDPA อย่างไรก็ตาม นั่นไม่ได้หมายความว่า "กฎระเบียบยังหละหลวม"

เมื่อจัดระเบียบโครงสร้างในปัจจุบัน:

กระทรวงวิทยาศาสตร์และเทคโนโลยีแห่ง สปป.ลาว (MoST) กำลังผลักดันการเปลี่ยนผ่านสู่ดิจิทัล และด้วยการเข้าร่วมกรอบความตกลงเศรษฐกิจดิจิทัล ASEAN (DEFA) จึงมีความเป็นไปได้สูงที่การตรากฎหมายแบบครอบคลุมจะมีความคืบหน้าในอีกไม่กี่ปีข้างหน้า การสร้างกรอบธรรมาภิบาลข้อมูลขั้นพื้นฐานไว้ตั้งแต่ตอนนี้ ถือเป็นการเตรียมพร้อมรับมือกับการเข้มงวดของกฎระเบียบในอนาคตได้ดีที่สุด

โดยมุ่งเน้นที่กฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ของลาว บทความนี้ได้รวบรวมและจัดระเบียบรายการด้านการคุ้มครองข้อมูลที่ภาคธุรกิจควรตรวจสอบ

☐ รายการที่ 1: มีการระบุวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลอย่างชัดเจนหรือไม่

จัดทำเอกสารระบุว่าข้อมูลแต่ละประเภทที่เก็บรวบรวมนั้น "เพื่อวัตถุประสงค์ใด" และ "ในขอบเขตใด" กฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ของลาวกำหนดให้ต้องระบุวัตถุประสงค์อย่างชัดแจ้ง การเก็บรวบรวมข้อมูลโดยอ้างเหตุผลคลุมเครือว่า "อาจนำไปใช้ในอนาคต" นั้นไม่เป็นที่ยอมรับ

☐ รายการที่ 2: มีการขอความยินยอมจากเจ้าของข้อมูล (Data Subject) หรือไม่

ไม่ว่าจะเป็นข้อมูลของพนักงานหรือข้อมูลของลูกค้า โดยหลักการแล้วการเก็บรวบรวมข้อมูลส่วนบุคคลจำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูล นอกจากนี้ยังต้องเก็บบันทึกการขอความยินยอมด้วยว่าได้รับความยินยอมเมื่อใดและในขอบเขตใด

ในโครงการที่ลาว เคยมีลูกค้ารายหนึ่งที่ไม่ได้จัดเตรียมเอกสารความยินยอมเป็นภาษาลาว และดำเนินการโดยใช้ภาษาอังกฤษเพียงอย่างเดียว ส่งผลให้พนักงานในพื้นที่ไม่เข้าใจเนื้อหา และความยินยอมที่ได้รับจึงเป็นเพียง "ความยินยอมในเชิงรูปแบบ" เท่านั้น — การอธิบายเป็นภาษาท้องถิ่นถือเป็นสิ่งจำเป็นเพื่อให้ความยินยอมมีผลอย่างแท้จริง

☐ รายการที่ 3: มีการจำกัดการเก็บรวบรวมข้อมูลให้เฉพาะที่จำเป็นขั้นต่ำหรือไม่

ตรวจสอบว่าไม่มีการเก็บรวบรวมข้อมูลที่ไม่จำเป็นต่อการดำเนินงาน เช่น ข้อมูลอ่อนไหว (Sensitive Data) อย่างศาสนา เชื้อชาติ หรือข้อมูลสุขภาพ โดยเฉพาะในระบบ HR มักพบกรณีที่ตั้งค่าให้ "กรอกข้อมูลทุกช่องไว้ก่อน" อยู่บ่อยครั้ง

☐ รายการที่ 4: มีการแสดง Privacy Policy ในขณะที่เก็บรวบรวมข้อมูลหรือไม่

ไม่ว่าจะเป็นการเก็บรวบรวมข้อมูลผ่านเว็บไซต์ แอปพลิเคชัน หรือแบบฟอร์มกระดาษ ต้องจัดให้เจ้าของข้อมูลสามารถเข้าถึง Privacy Policy ได้ และควรจัดเตรียมเวอร์ชันภาษาลาวด้วย

☐ รายการที่ 5: กำหนดสถานที่และระยะเวลาในการจัดเก็บข้อมูลหรือไม่

ต้องระบุให้ชัดเจนว่าจัดเก็บ "ที่ไหน" และ "นานแค่ไหน" หากใช้บริการ cloud service ก็จำเป็นต้องทราบที่ตั้งทางกายภาพของ data center ด้วย

☐ รายการที่ 6: บริหารจัดการสิทธิ์การเข้าถึงตามหลัก least privilege principle หรือไม่

สถานะที่ "ทุกคนสามารถเข้าถึงข้อมูลทั้งหมดได้" ถือเป็นความเสี่ยงภายใต้กฎหมายอาชญากรรมทางไซเบอร์เช่นกัน ควรกำหนดสิทธิ์การเข้าถึงตามแผนกและตำแหน่งงาน และทำการตรวจสอบทบทวนเป็นระยะ

☐ รายการที่ 7: ดำเนินการเข้ารหัสข้อมูลและมาตรการรักษาความปลอดภัยหรือไม่

จำเป็นต้องมีทั้ง encryption at rest (การเข้ารหัสขณะจัดเก็บ) และ encryption in transit (การเข้ารหัสขณะส่งข้อมูล) โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมอินเทอร์เน็ตภายในประเทศลาวที่มีบางพื้นที่ไม่เสถียร การรักษาความปลอดภัยของช่องทางการสื่อสารจึงเป็นเรื่องสำคัญ

☐ รายการที่ 8: ทราบหรือไม่ว่ามีการโอนข้อมูลส่วนบุคคลข้ามพรมแดนหรือไม่

เพียงแค่ใช้งานเครื่องมือ SaaS (เช่น Google Workspace, Salesforce เป็นต้น) ข้อมูลก็ถูกโอนไปยังต่างประเทศแล้ว ควรสำรวจและจัดทำรายการสถานที่จัดเก็บข้อมูลของบริการทั้งหมดที่องค์กรใช้งาน

☐ รายการที่ 9: ตรวจสอบระดับการคุ้มครองข้อมูลของประเทศหรือภูมิภาคปลายทางที่รับโอนข้อมูลข้ามพรมแดนหรือไม่

กฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ของลาวกำหนดเงื่อนไขสำหรับการโอนข้อมูลข้ามพรมแดน ควรตรวจสอบว่าประเทศปลายทางมีระบบคุ้มครองข้อมูลที่เพียงพอหรือไม่ และมีมาตรการคุ้มครองตามสัญญา (ข้อกำหนดที่เทียบเท่า Standard Contractual Clauses) หรือไม่

☐ รายการที่ 10: จัดทำกฎเกณฑ์การแบ่งปันข้อมูลระหว่างบริษัทในกลุ่มหรือไม่

การแบ่งปันข้อมูลกับบริษัทแม่ (ญี่ปุ่น, ไทย เป็นต้น) ก็ถือเป็นการโอนข้อมูลข้ามพรมแดนเช่นกัน ความเข้าใจที่ว่า "อยู่ในกลุ่มเดียวกันจึงไม่มีปัญหา" นั้นเป็นความเข้าใจที่ผิด ควรทำสัญญาการแบ่งปันข้อมูลระหว่างบริษัทในกลุ่ม และระบุเหตุผลอ้างอิงในการโอนข้อมูลให้ชัดเจน

เมื่อ 5 ปีก่อน ระหว่างโครงการในลาว ครั้งที่มีการแบ่งปันข้อมูลที่เป็นความลับ ได้รับการทักท้วงว่า "ขอบเขตการแบ่งปันไม่ได้ระบุไว้ในสัญญา" จึงต้องเร่งจัดทำสัญญาการประมวลผลข้อมูลเพิ่มเติมในภายหลัง การแก้ไขปัญหาแบบตามหลังนั้นสิ้นเปลืองทั้งแรงงานและต้นทุนด้านความน่าเชื่อถือ

ลาวไม่มีกฎหมายที่ออกแบบมาเพื่อกำกับดูแล AI โดยเฉพาะ อย่างไรก็ตาม กรอบกฎหมายที่มีอยู่ 3 ฉบับ รวมถึงกฎหมายสัญญาและกฎหมายแรงงานทั่วไป ก่อให้เกิดความรับผิดทางกฎหมายที่เกี่ยวข้องกับการใช้งาน AI

☐ รายการที่ 11: ระบุประเภทของข้อมูลที่ระบบ AI ประมวลผลแล้วหรือไม่

หาก AI ประมวลผลข้อมูลส่วนบุคคล จะอยู่ภายใต้การบังคับใช้ของกฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ ให้ทำการสำรวจประเภทและปริมาณข้อมูลที่ AI จัดการ ไม่ว่าจะเป็น chatbot, การคัดกรองการสมัครงาน หรือการวิเคราะห์ลูกค้า

☐ รายการที่ 12: บูรณาการการกำกับดูแลโดยมนุษย์เข้าไว้ในกระบวนการตัดสินใจของ AI แล้วหรือไม่

แม้ว่าลาวจะยังไม่มีการจำแนกประเภท "AI ความเสี่ยงสูง" เช่นเดียวกับ EU AI Act แต่ขอแนะนำอย่างยิ่งให้มีการตรวจสอบโดยมนุษย์ในการตัดสินใจของ AI ที่ส่งผลกระทบอย่างมีนัยสำคัญต่อบุคคล เช่น การประเมินบุคลากร การพิจารณาสินเชื่อ และการวินิจฉัยทางการแพทย์ ซึ่งไม่เพียงช่วยลดความเสี่ยงจากการกำกับดูแลทางปกครองเท่านั้น แต่ยังมีประโยชน์ในทางปฏิบัติอย่างมากในการสร้างความโปร่งใสในการตัดสินใจอีกด้วย

สำหรับการเปรียบเทียบกับ EU AI Act และแนวโน้ม AI governance ในระดับโลก สามารถอ่านรายละเอียดเพิ่มเติมได้ที่บทความที่เกี่ยวข้องด้าน AI governance

☐ รายการที่ 13: รวมข้อกำหนดการประมวลผลข้อมูลไว้ในสัญญากับผู้ให้บริการ AI แล้วหรือไม่

หากใช้บริการ AI จากภายนอก (เช่น ChatGPT API, Claude API เป็นต้น) ให้ตรวจสอบในสัญญาว่าข้อมูลที่ป้อนเข้าไปจะถูกประมวลผลอย่างไรในฝั่งของผู้ให้บริการ โดยเฉพาะอย่างยิ่ง การตรวจสอบว่าข้อมูลดังกล่าวจะถูกนำไปใช้ในการฝึกโมเดลหรือไม่ถือเป็นประเด็นสำคัญที่ต้องยืนยัน

☐ รายการที่ 14: มีการจัดระเบียบเรื่องลิขสิทธิ์และสิทธิ์ในทรัพย์สินทางปัญญาของเนื้อหาที่สร้างโดย AI หรือไม่

กฎหมายลิขสิทธิ์ของลาวยังไม่ได้กำหนดเรื่องการ귀속สิทธิ์ของผลงานที่สร้างโดย AI ไว้อย่างชัดเจน ควรกำหนดกฎเกณฑ์การใช้งานภายในองค์กร เช่น การระบุว่าผลงานที่สร้างโดย AI จะถือเป็นผลงานของใคร รวมถึงนโยบายการแสดงที่มาเมื่อเผยแพร่สู่สาธารณะ

☐ รายการที่ 15: มีระบบการตรวจสอบข้อเท็จจริง (fact-check) สำหรับผลลัพธ์ที่ได้จาก AI หรือไม่

การนำข้อมูลที่ AI สร้างขึ้นไปยื่นต่อลูกค้าหรือหน่วยงานราชการโดยตรงนั้น ก่อให้เกิดความเสี่ยงด้านความรับผิดชอบจากข้อมูลที่ผิดพลาด โดยเฉพาะอย่างยิ่งในกรณีที่นำผลลัพธ์จาก AI ไปใช้ในเอกสารทางกฎหมายหรือการยื่นคำร้องต่อหน่วยงานของรัฐ ควรกำหนดให้มีกระบวนการตรวจสอบโดยผู้เชี่ยวชาญเป็นขั้นตอนบังคับ

☐ รายการที่ 16: มีการกำหนด AI Tools ที่อนุญาตให้พนักงานใช้ในการทำงานหรือไม่

การใช้ AI Tools โดยไม่ได้รับอนุญาต (Shadow AI) เป็นสาเหตุของการรั่วไหลของข้อมูลโดยไม่ตั้งใจ ควรจัดทำรายการ Tools ที่ได้รับอนุญาต พร้อมกำหนดกฎเกณฑ์การใช้งาน (รวมถึงการระบุข้อมูลที่ห้ามป้อนเข้าระบบ)

☐ รายการที่ 17: มีการจัดฝึกอบรมและให้ความรู้เกี่ยวกับการใช้ AI หรือไม่

การมีนโยบายเพียงอย่างเดียวนั้นไม่เพียงพอ โดยเฉพาะอย่างยิ่งสำหรับพนักงานท้องถิ่นในลาว จำเป็นต้องจัดเตรียมเอกสารฝึกอบรมเป็นภาษาลาว เพื่อให้พนักงานเข้าใจถึงความเสี่ยงและวิธีการใช้ AI อย่างเหมาะสม

☐ รายการที่ 18: มีการกำหนดขั้นตอนการรายงานเมื่อเกิดอินซิเดนต์จากการใช้ AI หรือไม่

ควรกำหนด Escalation Flow สำหรับอินซิเดนต์ที่เกิดขึ้นเฉพาะจาก AI เช่น ความเสียหายจากการตัดสินใจผิดพลาดของ AI หรือการรั่วไหลของข้อมูลผ่าน AI การผนวกรวมเข้ากับขั้นตอนการรายงานอินซิเดนต์ด้านความปลอดภัยทางไซเบอร์ที่มีอยู่เดิมถือเป็นแนวทางที่เหมาะสมในทางปฏิบัติ

สำหรับมาตรการทางเทคนิคด้าน AI Security สามารถศึกษาเพิ่มเติมได้ที่ ลาว AI Security Checklist

ตรวจสอบระบบความปลอดภัยขององค์กรโดยมุ่งเน้นที่กฎหมายอาชญากรรมไซเบอร์เป็นหลัก

☐ รายการที่ 19: ทราบหน่วยงานที่ต้องรายงานและกำหนดเวลาการรายงานเมื่อเกิดเหตุการณ์ทางไซเบอร์หรือไม่

กฎหมายอาชญากรรมทางไซเบอร์กำหนดให้ต้องรายงานต่อหน่วยงานที่เกี่ยวข้องเมื่อเกิดเหตุการณ์ขึ้น ควรตรวจสอบหน่วยงานที่ต้องรายงาน (เช่น LaoCERT ภายใต้กระทรวงวิทยาศาสตร์และเทคโนโลยี) และขั้นตอนการรายงานล่วงหน้า การเริ่มค้นหาข้อมูลหลังจากเกิดเหตุการณ์แล้วนั้นสายเกินไป

☐ รายการที่ 20: มีการจัดทำแผนรับมือเหตุการณ์ (IRP) และฝึกซ้อมอย่างสม่ำเสมอหรือไม่

นอกจากการจัดทำแผนแล้ว ควรดำเนินการฝึกซ้อม (Tabletop Exercise) อย่างน้อยปีละ 1 ครั้ง ในสภาพแวดล้อมการสื่อสารของลาว ช่องทางการติดต่อฉุกเฉินกับสำนักงานใหญ่อาจแตกต่างจากปกติ — ควรรวมการสื่อสารผ่านดาวเทียมและช่องทางการติดต่อแบบออฟไลน์ไว้ในแผนด้วย

☐ รายการที่ 21: มีการกำหนดระยะเวลาการเก็บรักษาบันทึกและขั้นตอนการอนุรักษ์หลักฐานหรือไม่

กฎหมายอาชญากรรมทางไซเบอร์กำหนดให้มีการอนุรักษ์หลักฐานทางอิเล็กทรอนิกส์ ควรเก็บรักษา System Log และ Access Log ไว้อย่างน้อย 1 ปี พร้อมดำเนินมาตรการป้องกันการปลอมแปลง และเตรียมความพร้อมในการตอบสนองต่อคำร้องขอส่งหลักฐานจากหน่วยงานสืบสวน

☐ รายการที่ 22: มีการติดตั้งระบบ Firewall และระบบตรวจจับ/ป้องกันการบุกรุก (IDS/IPS) หรือไม่

นอกจากการป้องกันขอบเขตเครือข่ายขั้นพื้นฐานแล้ว ยังจำเป็นต้องออกแบบโดยคำนึงถึงลักษณะเฉพาะของเครือข่ายในลาว (ความไม่เสถียรของแบนด์วิดท์ และความหลากหลายของ ISP) ทั้งนี้ คุณภาพการสื่อสารระหว่างสำนักงานในเวียงจันทน์และสาขาในต่างจังหวัดอาจมีความแตกต่างกันอย่างมีนัยสำคัญ

☐ รายการที่ 23: มีการติดตั้ง Patch เพื่อแก้ไขช่องโหว่ของซอฟต์แวร์อย่างสม่ำเสมอหรือไม่

การจัดการ Patch ถือเป็นพื้นฐานที่สำคัญที่สุด อย่างไรก็ตาม ในสำนักงานท้องถิ่นของลาวมักพบสภาพความเป็นจริงที่ว่า "แบนด์วิดท์ไม่เพียงพอจนไม่สามารถอัปเดตได้" ดังนั้นควรจัดเตรียมขั้นตอนการอัปเดตแบบออฟไลน์ไว้ด้วย

☐ รายการที่ 24: มีการดำเนินโปรแกรมเสริมสร้างความตระหนักด้านความปลอดภัยให้แก่พนักงานหรือไม่

ควรดำเนินโปรแกรมที่ครอบคลุม ซึ่งรวมถึงการฝึกซ้อมรับมือ Phishing Email การอบรมการจัดการรหัสผ่าน และความปลอดภัยทางกายภาพ (เช่น การจำกัดการนำ USB Memory เข้ามาใช้งาน) อย่างน้อยปีละ 2 ครั้ง

☐ รายการที่ 25: มีการจัดทำแผนสำรองข้อมูลและแผนการกู้คืนระบบจากภัยพิบัติ (DR) หรือไม่

ควรจัดเก็บข้อมูลสำรองไว้ในหลายสถานที่ทั้งในและต่างประเทศ เนื่องจากลาวมีความเสี่ยงจากภัยธรรมชาติ (เช่น อุทกภัย) จึงควรพิจารณาการกระจายข้อมูลในเชิงกายภาพด้วย นอกจากนี้ ควรกำหนด Recovery Time Objective (RTO) และ Recovery Point Objective (RPO) ให้ชัดเจน

การพัฒนากฎหมายของลาวไม่ได้ "ล้าหลัง" แต่อยู่ในขั้นตอนของการ "ไล่ตาม" และ DEFA คือตัวเร่งความเร็วของกระบวนการนั้น

DEFA ที่ประเทศสมาชิก ASEAN ทั้ง 10 ประเทศได้ลงนามในปี 2025 นั้น เป็นกรอบการทำงานที่มุ่งสร้างความเป็นเอกภาพด้านกฎระเบียบการค้าดิจิทัลและการไหลเวียนของข้อมูลภายในภูมิภาค โดยครอบคลุมประเด็นต่อไปนี้:

• การอำนวยความสะดวกด้านการไหลเวียนของข้อมูลข้ามพรมแดน
• การทำงานร่วมกันของระบบการชำระเงินดิจิทัล
• ความร่วมมือด้าน Cybersecurity
• หลักการร่วมด้าน AI Governance
• การคุ้มครองผู้บริโภค

แม้ลาวจะมีขนาดเศรษฐกิจดิจิทัลที่เล็กที่สุดในกลุ่ม ASEAN แต่การเข้าร่วม DEFA จะทำให้ประเทศได้รับแรงกดดัน (และการสนับสนุน) จากภายนอกในการเร่งพัฒนาและปรับปรุงกฎหมายภายในประเทศ

DEFA ยึดหลัก "การไหลเวียนข้อมูลบนพื้นฐานของความไว้วางใจ" และกำหนดให้แต่ละประเทศต้องมีมาตรฐานการคุ้มครองข้อมูลขั้นต่ำ ซึ่งในทางปฏิบัติถือเป็นสัญญาณที่กระตุ้นให้ลาวตรากฎหมายครอบคลุมในรูปแบบ PDPA

สิ่งที่องค์กรควรดำเนินการในตอนนี้มีความชัดเจน นั่นคือ การสร้างกรอบธรรมาภิบาลข้อมูล (Data Governance) ที่ตอบสนองต่อมาตรฐานที่ DEFA กำหนดไว้ล่วงหน้า โดยมีรายละเอียดดังนี้:

1. การจัดทำ Data Mapping (ข้อมูลใด อยู่ที่ไหน และไหลเวียนอย่างไร)
2. การจัดทำสัญญาการประมวลผลข้อมูล (ระหว่างผู้ให้บริการและบริษัทในกลุ่ม)
3. การแปลนโยบายความเป็นส่วนตัวเป็นหลายภาษา (ภาษาลาวและภาษาอังกฤษ)
4. การสร้างระบบรับมือเหตุการณ์ด้านความปลอดภัย (Incident Response)

ทั้ง 4 ข้อนี้ถือเป็นข้อกำหนดพื้นฐานที่จำเป็นต้องปฏิบัติตามไม่ว่ากฎหมายใดจะถูกตราขึ้นในอนาคต จึงมั่นใจได้ว่าการลงทุนดังกล่าวจะไม่สูญเปล่า

บริษัทจำนวนไม่น้อยที่ตีความการไม่มีกฎหมายคุ้มครองข้อมูลที่ครอบคลุมว่าเท่ากับ "ไม่มีกฎระเบียบ" อย่างไรก็ตาม กฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์และกฎหมายอาชญากรรมทางไซเบอร์นั้นมีอยู่จริงอย่างแน่นอน และการละเมิดมีบทลงโทษที่ชัดเจน นอกจากนี้ การบังคับใช้กฎหมายในลาวยังมีลักษณะที่ขึ้นอยู่กับดุลยพินิจของเจ้าหน้าที่ ดังนั้นเมื่อเกิดปัญหาขึ้น การอ้างว่า "ไม่ทราบกฎหมาย" จึงไม่อาจใช้เป็นข้อแก้ตัวได้

จากกรณีที่ผู้เขียนได้พบเห็นโดยตรง บริษัทต่างชาติแห่งหนึ่งได้โอนฐานข้อมูลลูกค้าไปยังเซิร์ฟเวอร์นอกประเทศลาวโดยไม่ได้รับอนุญาต เมื่อเจ้าหน้าที่เข้าตรวจสอบ บริษัทได้อ้างว่า "ได้รับแจ้งว่าลาวไม่มีกฎหมายคุ้มครองข้อมูล" แต่เมื่อถูกชี้ให้เห็นข้อความในกฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ จึงได้ตระหนักถึงความร้ายแรงของสถานการณ์เป็นครั้งแรก ผลที่ตามมาคือถูกออกคำสั่งให้แก้ไขและถูกปรับเป็นเงิน

ในลาว ไม่เพียงแต่บทบัญญัติทางกฎหมายเท่านั้น แต่การชี้นำทางการบริหารของกระทรวง (หนังสือเวียน/แนวปฏิบัติ) ยังมีอำนาจกำกับดูแลในทางปฏิบัติในหลายสถานการณ์ กระทรวงวิทยาศาสตร์และเทคโนโลยี（ກະຊວງເຕັກໂນໂລຊີ ແລະ ການສື່ສານ）เป็นหน่วยงานหลักที่รับผิดชอบนโยบายดิจิทัล และอาจมีการออกคำชี้นำในเรื่องที่ไม่ได้ระบุไว้อย่างชัดเจนในกฎหมาย

มาตรการรับมือได้แก่:

• ติดตามประกาศอย่างเป็นทางการของ MoST อย่างสม่ำเสมอ
• รับข้อมูลล่าสุดผ่านสัญญาที่ปรึกษากับสำนักงานกฎหมายในพื้นที่
• ใช้ประโยชน์จากเครือข่ายสมาคมการค้า (เช่น หอการค้าและอุตสาหกรรมลาว เป็นต้น)

บริษัทต่างชาติจำนวนมากที่ดำเนินธุรกิจในลาวมักแบ่งปันข้อมูลกับพันธมิตรในท้องถิ่น (บริษัทร่วมทุน, ตัวแทน, ผู้รับจ้างช่วง) จุดบอดที่พบได้ทั่วไปในกรณีนี้ ได้แก่:

• การบริหารจัดการผู้รับมอบหมายการประมวลผลข้อมูล: ยังไม่ได้ตรวจสอบว่าพันธมิตรได้ดำเนินมาตรการรักษาความปลอดภัยที่เหมาะสมหรือไม่
• การคืนและลบข้อมูลเมื่อสิ้นสุดสัญญา: หลายกรณีไม่ได้ระบุไว้อย่างชัดเจนในสัญญา
• การจำกัดการมอบหมายช่วง: การรับมือกับกรณีที่พันธมิตรส่งต่อข้อมูลให้บุคคลที่สาม
• สิทธิ์ในการตรวจสอบ: การรับประกันสิทธิ์ในการตรวจสอบสถานะการจัดการข้อมูลของพันธมิตร

ไม่มี ลาวมีการกำหนดการคุ้มครองข้อมูลส่วนบุคคลบางส่วนไว้ในกฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ (ปี 2017) แต่ยังไม่มีกฎหมายที่ครอบคลุมในลักษณะเดียวกับ GDPR หรือ PDPA ของไทย อย่างไรก็ตาม เนื่องจากลาวเข้าร่วม ASEAN DEFA จึงมีความเป็นไปได้ที่จะมีการออกกฎหมายครอบคลุมภายในไม่กี่ปีข้างหน้า ในขณะนี้ การปฏิบัติตามกฎหมายที่มีอยู่ทั้ง 3 ฉบับถือเป็นเกณฑ์ขั้นต่ำที่ต้องดำเนินการ

ในปัจจุบันยังไม่มีระบบการแจ้งหรือการขออนุญาตที่เฉพาะเจาะจงสำหรับการใช้งาน AI โดยเฉพาะ อย่างไรก็ตาม หาก AI ประมวลผลข้อมูลส่วนบุคคล จะอยู่ภายใต้การบังคับใช้ของกฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ นอกจากนี้ ในอุตสาหกรรมที่มีการกำกับดูแล เช่น การเงิน การแพทย์ และการศึกษา กฎระเบียบเฉพาะของแต่ละอุตสาหกรรมอาจครอบคลุมถึงการใช้งาน AI ด้วยเช่นกัน จึงแนะนำให้ทำการยืนยันล่วงหน้ากับหน่วยงานกำกับดูแลของแต่ละอุตสาหกรรม

กฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์กำหนดเงื่อนไขสำหรับการโอนข้อมูลข้ามพรมแดน แต่ขั้นตอนที่เป็นรูปธรรม (เช่น การรับรองความเพียงพอหรือสิ่งที่เทียบเท่า SCC) ไม่ได้ถูกระบุไว้อย่างละเอียดเท่ากับ GDPR ในทางปฏิบัติ อย่างน้อยที่สุดควรดำเนินการตรวจสอบระดับการคุ้มครองข้อมูลของปลายทางที่รับโอน การจัดทำสัญญาการประมวลผลข้อมูล และการแจ้งให้เจ้าของข้อมูลทราบ นอกจากนี้ยังต้องระวังว่าการใช้บริการคลาวด์ก็ถือเป็นการโอนข้อมูลข้ามพรมแดนด้วยเช่นกัน

กฎหมายแต่ละฉบับมีบทลงโทษที่แตกต่างกัน กฎหมายอาชญากรรมไซเบอร์กำหนดโทษจำคุก (สูงสุด 5 ปี) และโทษปรับสำหรับการเข้าถึงระบบโดยไม่ได้รับอนุญาตและการแก้ไขข้อมูล ส่วนกฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์เน้นบทลงโทษทางปกครองเป็นหลัก (คำสั่งแก้ไข คำสั่งระงับการดำเนินงาน เป็นต้น) แม้ว่าจำนวนเงินค่าปรับจะไม่สูงเท่า GDPR (ร้อยละ 4 ของรายได้) แต่ความเสี่ยงที่แท้จริงที่ร้ายแรงกว่า คือ การถูกเพิกถอนใบอนุญาตประกอบธุรกิจในลาว และความสัมพันธ์ที่เสื่อมถอยกับหน่วยงานของรัฐ

เมื่อตรวจสอบรายการทั้ง 25 ข้อเสร็จสิ้นแล้ว ให้ดำเนินการตามลำดับความสำคัญดังต่อไปนี้

1. การจัดลำดับความสำคัญของรายการที่ยังไม่ได้ดำเนินการ

2. การปรึกษาผู้เชี่ยวชาญ

ขอให้ทนายความที่มีความเชี่ยวชาญด้านกฎหมายลาวประเมินความเสี่ยงและจัดทำแนวทางรับมือสำหรับรายการที่ยังไม่ได้ดำเนินการ ในเวียงจันทน์มีสำนักงานกฎหมายระหว่างประเทศตั้งอยู่ และบางแห่งสามารถให้บริการเป็นภาษาอังกฤษและภาษาญี่ปุ่นได้

3. เพิ่มพูนความรู้จากบทความที่เกี่ยวข้อง

• ภาพรวม AI Governance — การเปรียบเทียบกฎระเบียบ AI ระดับโลก รวมถึง EU AI Act
• Laos AI Security Checklist — รายละเอียดมาตรการรักษาความปลอดภัยทางเทคนิค
• คู่มือป้องกันการฉ้อโกงทางสมาร์ทโฟนในลาว — ตัวอย่างจริงและมาตรการรับมือภายใต้กฎหมายอาชญากรรมไซเบอร์

4. การทบทวนเป็นประจำ

กฎระเบียบของลาวยังอยู่ในช่วงเปลี่ยนแปลง ควรทบทวน checklist นี้ ทุกไตรมาส และนำการพัฒนาด้านกฎหมาย ประกาศ และความคืบหน้าของ DEFA มาปรับปรุงให้เป็นปัจจุบัน