ข้อจำกัดความรับผิดชอบ: บทความนี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้น และไม่ถือเป็นคำแนะนำทางกฎหมาย สำหรับการตัดสินใจทางกฎหมายโดยเฉพาะเจาะจง กรุณาปรึกษาทนายความที่มีความเชี่ยวชาญด้านกฎหมายลาว การแปลบทบัญญัติกฎหมายเป็นการแปลอ้างอิงโดยผู้เขียน โดยต้นฉบับที่เป็นทางการคือฉบับภาษาลาว

สำหรับองค์กรที่ดำเนินธุรกิจในลาว กฎระเบียบที่เกี่ยวข้องกับดิจิทัลเป็นด้านที่มีการพัฒนาและจัดทำขึ้นอย่างรวดเร็ว

กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDP Law) มีผลบังคับใช้แล้ว สภาแห่งชาติลาวได้ผ่านและบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (ที่มา: Rajah & Tann Asia) ส่งผลให้ลาวกลายเป็นหนึ่งในประเทศใน ASEAN ที่มีกฎหมายคุ้มครองข้อมูลแบบครอบคลุม ต่อจากไทยและเวียดนาม

นอกจากนี้ กฎหมาย 3 ฉบับ ที่มีอยู่เดิม ได้แก่ กฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ (ปี 2017) กฎหมายอาชญากรรมไซเบอร์ (ปี 2015) และกฎหมายธุรกรรมอิเล็กทรอนิกส์ (ปี 2012) ยังคงมีผลบังคับใช้ต่อไป และก่อให้เกิดโครงสร้างกฎระเบียบแบบหลายชั้นร่วมกับกฎหมายใหม่ ยิ่งไปกว่านั้น กฎหมายความมั่นคงปลอดภัยไซเบอร์ฉบับใหม่ กำลังอยู่ระหว่างการพิจารณาของสภาแห่งชาติ (ที่มา: KPL) ซึ่งแสดงให้เห็นว่ากฎระเบียบด้านดิจิทัลมีแนวโน้มเข้มงวดขึ้นอย่างต่อเนื่อง

บทความนี้ได้รวบรวมกฎระเบียบด้านดิจิทัลของลาวไว้ใน checklist จำนวน 25 รายการ โดยออกแบบให้เป็นเครื่องมือเชิงปฏิบัติสำหรับผู้บริหารและเจ้าหน้าที่ฝ่ายกฎหมาย เพื่อตรวจสอบการจัดการข้อมูลและการใช้งาน AI ขององค์กร รวมถึงระบุช่องว่างด้าน compliance

รายการตรวจสอบนี้ประกอบด้วย 3 หมวดหมู่ รวมทั้งหมด 25 รายการ ดังนี้

วิธีใช้งาน: ตรวจสอบ ☐ ในแต่ละรายการตามลำดับ เพื่อระบุรายการที่ยังไม่ได้ดำเนินการ สำหรับรายการที่ยากต่อการตัดสินใจด้วยตนเอง แนะนำให้ปรึกษาทนายความท้องถิ่นที่มีความเชี่ยวชาญด้านกฎหมายลาว หากต้องการรายการตรวจสอบในรูปแบบ PDF สามารถดาวน์โหลดได้จาก CTA ที่ท้ายหน้า

การทำความเข้าใจกฎระเบียบด้านดิจิทัลของลาวนั้น จำเป็นต้องเข้าใจว่ากฎระเบียบเหล่านี้ประกอบขึ้นจากกฎหมาย 4 ฉบับรวมกัน

นอกจากนี้ ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ฉบับใหม่ (10 ภาค 11 หมวด 79 มาตรา) กำลังอยู่ระหว่างการพิจารณาในสภาแห่งชาติ หากผ่านการพิจารณา จะมีการเพิ่มกรอบกฎหมายเฉพาะด้านความมั่นคงปลอดภัยไซเบอร์ขึ้นมาอีกชั้นหนึ่ง (ที่มา: KPL)

กฎหมายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Law) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับครอบคลุมที่ผ่านการรับรองโดยสภาแห่งชาติลาว และเป็นการยกระดับกฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ฉบับเดิม (ปี 2017) รวมถึงระเบียบในระดับพระราชกฤษฎีกาให้กลายเป็นกฎหมายอย่างเป็นทางการ (ที่มา: Rajah & Tann Asia)

บทบัญญัติหลัก:

• ขอบเขตการบังคับใช้: ครอบคลุมทั้งภาครัฐและภาคเอกชน
• นิยามของข้อมูลส่วนบุคคล: ข้อมูลที่สามารถระบุตัวบุคคลได้ (ชื่อ, หมายเลข ID, ข้อมูลตำแหน่งที่ตั้ง ฯลฯ)
• การขอความยินยอม: โดยหลักการแล้ว การประมวลผลข้อมูลต้องได้รับความยินยอมจากเจ้าของข้อมูล
• สิทธิของเจ้าของข้อมูล: กำหนดสิทธิในการแก้ไข, สิทธิในการระงับการโอน และสิทธิในการลบข้อมูลไว้ในกฎหมาย
• การโอนข้อมูลข้ามพรมแดน: การโอนข้อมูลไปยังต่างประเทศต้องผ่านการประเมินและได้รับการอนุมัติ
• หน่วยงานกำกับดูแล: หน่วยงานคุ้มครองข้อมูลภายใต้กระทรวงเทคโนโลยีและการสื่อสาร (MoTC)
• บทลงโทษ: โทษทางปกครอง (LAK 25 ล้าน–100 ล้าน) และในกรณีที่มีเจตนาร้ายอาจมีโทษทางอาญา (รวมถึงโทษจำคุก)

กฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ฉบับเดิม (No. 25/NA ประกาศใช้ปี 2017) ยังคงมีผลบังคับใช้อยู่ และร่วมกับ PDP Law ก่อให้เกิดเป็นสองเสาหลักของระบบคุ้มครองข้อมูลของลาว (ที่มา: DLA Piper, ILO NATLEX)

ในระหว่างการสร้างโครงสร้างพื้นฐานด้านข้อมูลให้กับลูกค้า พบว่ามีผู้ให้บริการ IT ในพื้นที่จำนวนไม่น้อยที่ไม่ทราบถึงการมีอยู่ของกฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ แม้ว่าการบังคับใช้ PDP Law จะทำให้ภาระผูกพันทางกฎหมายชัดเจนยิ่งขึ้น แต่ในทางปฏิบัติยังคงมีช่องว่างด้านการรับรู้อยู่

กฎหมายอาชญากรรมไซเบอร์ (ประกาศใช้ปี 2015) เป็นกฎหมายที่กำหนดโทษทางอาญาสำหรับการเข้าถึงระบบโดยไม่ได้รับอนุญาตและการแก้ไขข้อมูลโดยมิชอบ นอกจากนี้ยังเป็นกฎหมายที่ให้อำนาจในการจัดตั้ง LaoCERT (ทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์แห่งชาติ) อีกด้วย (ที่มา: Council of Europe, Digital Watch Observatory)

ประเด็นที่ภาคธุรกิจควรให้ความสำคัญเป็นพิเศษ:

• การห้ามเข้าถึงระบบโดยไม่ได้รับอนุญาต: ครอบคลุมไม่เพียงแค่การบุกรุกระบบของตนเองโดยไม่ได้รับอนุญาต แต่รวมถึงการที่พนักงานเข้าถึงข้อมูลนอกเหนือขอบเขตสิทธิ์ที่ได้รับด้วย
• การแก้ไขและทำลายข้อมูล: ความรับผิดทางอาญาสำหรับการจัดการข้อมูลโดยเจตนา
• การรายงานเหตุการณ์: ภาระหน้าที่ในการแจ้งหน่วยงานที่เกี่ยวข้องเมื่อถูกโจมตีทางไซเบอร์
• การเก็บรักษาหลักฐาน: ภาระหน้าที่ในการเก็บรักษาและส่งมอบหลักฐานทางอิเล็กทรอนิกส์
• บทลงโทษ: กำหนดโทษปรับและโทษจำคุกตามความร้ายแรงของการละเมิด

ทั้งนี้ กฎหมายความมั่นคงปลอดภัยไซเบอร์ฉบับใหม่ (10 ภาค 11 หมวด 79 มาตรา) อยู่ระหว่างการพิจารณาของสภาแห่งชาติ หากผ่านการรับรอง จะยิ่งเสริมความแข็งแกร่งให้กับมาตรฐานทางเทคนิคด้านความมั่นคงปลอดภัยไซเบอร์และกรอบทางกฎหมายสำหรับการรับมือเหตุฉุกเฉินมากยิ่งขึ้น (ที่มา: KPL)

สำหรับข้อมูลเชิงลึกเกี่ยวกับสถานการณ์การฉ้อโกงผ่านสมาร์ทโฟนในลาวและมาตรการรับมือ รวมถึงตัวอย่างการบังคับใช้กฎหมายอาชญากรรมไซเบอร์ สามารถอ่านเพิ่มเติมได้ในบทความที่เกี่ยวข้อง

กฎหมายธุรกรรมทางอิเล็กทรอนิกส์ (ประกาศใช้ปี 2012) เป็นกฎหมายพื้นฐานที่กำหนดผลทางกฎหมายของลายมือชื่ออิเล็กทรอนิกส์และสัญญาอิเล็กทรอนิกส์ โดยพระราชกฤษฎีกา EC (มีผลบังคับใช้ปี 2021) ได้เพิ่มเติมระบบการจดทะเบียนผู้ประกอบธุรกิจออนไลน์และการคุ้มครองผู้บริโภค (ที่มา: VDB Loi)

• ความสมบูรณ์ของลายมือชื่ออิเล็กทรอนิกส์: ลายมือชื่ออิเล็กทรอนิกส์ที่เป็นไปตามเงื่อนไขที่กำหนดมีผลทางกฎหมายเทียบเท่าลายมือชื่อที่เขียนด้วยมือ
• สัญญาอิเล็กทรอนิกส์: กำหนดเงื่อนไขการเกิดขึ้นของสัญญาทางออนไลน์ให้ชัดเจน
• การคุ้มครองผู้บริโภค: ภาระหน้าที่ในการเปิดเผยข้อมูลของผู้ประกอบธุรกิจ EC รวมถึงกฎเกณฑ์การคืนสินค้าและการคืนเงิน (เสริมความเข้มแข็งโดยพระราชกฤษฎีกา EC)
• การจดทะเบียนผู้ประกอบธุรกิจ: ผู้ประกอบธุรกิจขายสินค้าออนไลน์มีหน้าที่จดทะเบียนทางอิเล็กทรอนิกส์ (พระราชกฤษฎีกา EC)
• การจัดเก็บข้อมูล: เงื่อนไขที่เกี่ยวข้องกับการจัดเก็บบันทึกธุรกรรมในรูปแบบอิเล็กทรอนิกส์

ลาวได้เข้าร่วมกลุ่มประเทศสมาชิกอาเซียนที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างครอบคลุม ด้วยการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDP Law) (ที่มา: Rajah & Tann Asia)

เมื่อจัดระเบียบโครงสร้างในปัจจุบัน:

PDP Law ได้รับการออกแบบมาเพื่อเสริมกฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ฉบับเดิม (ปี 2017) โดยกำหนดอย่างครอบคลุมในเรื่องนิยามของข้อมูลส่วนบุคคล การขอความยินยอม สิทธิของเจ้าของข้อมูล ข้อกำหนดการโอนข้อมูลข้ามพรมแดน และบทลงโทษ

ความหมายสำหรับภาคธุรกิจ: ความเข้าใจเดิมที่ว่า "ลาวไม่มีกฎหมายครอบคลุม" กลายเป็นเรื่องของอดีตไปอย่างสิ้นเชิงแล้ว ด้วยการบังคับใช้ PDP Law การทบทวนกรอบการปฏิบัติตามกฎหมาย (Compliance) จึงไม่ใช่ "การเตรียมพร้อมสำหรับอนาคต" อีกต่อไป แต่เป็นภาระผูกพันทางกฎหมายในปัจจุบัน กระทรวงเทคโนโลยีและการสื่อสาร (MoTC) ทำหน้าที่เป็นหน่วยงานกำกับดูแล และการจดทะเบียนกับหน่วยงานคุ้มครองข้อมูลก็เป็นสิ่งที่บังคับด้วยเช่นกัน (ที่มา: DLA Piper)

ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDP Law) และกฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ของลาว ได้มีการรวบรวมรายการตรวจสอบด้านการคุ้มครองข้อมูลที่องค์กรควรดำเนินการตรวจสอบ ด้วยการบังคับใช้ PDP Law รายการตรวจสอบต่อไปนี้จึงไม่ใช่เพียงข้อแนะนำ แต่ถือเป็นข้อผูกพันทางกฎหมาย

☐ รายการที่ 1: มีการระบุวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลอย่างชัดเจนหรือไม่

PDP Law กำหนดให้การประมวลผลข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายรองรับ และจำเป็นต้องจัดทำเอกสารระบุว่าข้อมูลแต่ละรายการถูกนำไปใช้ "เพื่อวัตถุประสงค์ใด" และ "ในขอบเขตเพียงใด" การเก็บรวบรวมข้อมูลโดยอ้างเหตุผลคลุมเครือว่า "อาจนำไปใช้ในอนาคต" นั้นไม่เป็นที่ยอมรับ

☐ รายการที่ 2: มีการขอความยินยอมจากเจ้าของข้อมูล (Data Subject) หรือไม่

PDP Law กำหนดให้การประมวลผลข้อมูลส่วนบุคคลโดยหลักการแล้วต้องได้รับความยินยอมที่ถูกต้องและสมบูรณ์จากเจ้าของข้อมูล พร้อมทั้งต้องจัดเก็บบันทึกการขอความยินยอม (ว่าได้รับความยินยอมเมื่อใด และในขอบเขตใด) นอกจากนี้ กฎหมายยังรับรองสิทธิ์ในการถอนความยินยอมของเจ้าของข้อมูลด้วย (อ้างอิง: DLA Piper)

ในโครงการที่ลาว เคยมีลูกค้ารายหนึ่งที่จัดทำเอกสารขอความยินยอมเป็นภาษาอังกฤษเพียงภาษาเดียว โดยไม่มีฉบับภาษาลาว ส่งผลให้พนักงานในพื้นที่ไม่สามารถเข้าใจเนื้อหาได้ และความยินยอมที่ได้รับจึงเป็นเพียง "พิธีการ" เท่านั้น — การอธิบายในภาษาท้องถิ่นถือเป็นสิ่งจำเป็นอย่างยิ่งเพื่อให้ความยินยอมมีผลอย่างแท้จริง

☐ รายการที่ 3: มีการจำกัดการเก็บรวบรวมข้อมูลให้เฉพาะที่จำเป็นขั้นต่ำหรือไม่

ควรตรวจสอบว่ามีการเก็บรวบรวมข้อมูลที่ไม่จำเป็นต่อการดำเนินงาน เช่น ข้อมูลอ่อนไหว (Sensitive Data) อย่างศาสนา เชื้อชาติ หรือข้อมูลสุขภาพ หรือไม่ PDP Law กำหนดให้การประมวลผล Sensitive Data ต้องมีมาตรการคุ้มครองเพิ่มเติม โดยเฉพาะกรณีที่ระบบ HR กำหนดให้ "กรอกข้อมูลทุกช่องโดยไม่มีข้อยกเว้น" ซึ่งจำเป็นต้องได้รับการทบทวน

☐ รายการที่ 4: มีการแสดง Privacy Policy ในขณะเก็บรวบรวมข้อมูลหรือไม่

PDP Law กำหนดให้กิจกรรมการประมวลผลข้อมูลต้องมีความโปร่งใส ไม่ว่าจะเป็นการเก็บรวบรวมข้อมูลผ่านเว็บไซต์ แอปพลิเคชัน หรือแบบฟอร์มกระดาษ ต้องจัดให้เจ้าของข้อมูลสามารถเข้าถึง Privacy Policy ได้ และการจัดทำ Privacy Policy ฉบับภาษาลาวถือเป็นสิ่งที่จำเป็นต้องดำเนินการ

☐ รายการที่ 5: กำหนดสถานที่จัดเก็บและระยะเวลาการจัดเก็บข้อมูลหรือไม่

ต้องระบุให้ชัดเจนว่าจัดเก็บ "ที่ไหน" และ "นานแค่ไหน" ภายใต้ PDP Law มีข้อบังคับให้ลงทะเบียนกิจกรรมการประมวลผลข้อมูล และการทราบสถานที่จัดเก็บถือเป็นส่วนหนึ่งของข้อกำหนดการลงทะเบียน หากใช้บริการคลาวด์ จำเป็นต้องทราบที่ตั้งทางกายภาพของศูนย์ข้อมูล (data center) ด้วย

☐ รายการที่ 6: บริหารจัดการสิทธิ์การเข้าถึงตามหลักการสิทธิ์ขั้นต่ำ (principle of least privilege) หรือไม่

สถานะที่ "ทุกคนสามารถเข้าถึงข้อมูลทั้งหมดได้" มีความเสี่ยงที่จะละเมิดข้อกำหนดมาตรการรักษาความปลอดภัยภายใต้ PDP Law ควรกำหนดสิทธิ์การเข้าถึงตามแผนกและตำแหน่งงาน พร้อมทั้งตรวจสอบทบทวนเป็นระยะ

☐ รายการที่ 7: ดำเนินการเข้ารหัสข้อมูลและมาตรการรักษาความปลอดภัยหรือไม่

PDP Law กำหนดให้ต้องดำเนินมาตรการรักษาความปลอดภัยที่เหมาะสม (ที่มา: DLA Piper) โดยแนะนำให้ใช้ทั้งการเข้ารหัสขณะจัดเก็บ (encryption at rest) และการเข้ารหัสขณะส่งข้อมูล (encryption in transit) โดยเฉพาะอย่างยิ่งเนื่องจากสภาพแวดล้อมอินเทอร์เน็ตในบางพื้นที่ของลาวยังไม่เสถียร การรักษาความปลอดภัยของช่องทางการสื่อสารจึงมีความสำคัญอย่างยิ่ง

☐ รายการที่ 8: ทราบหรือไม่ว่ามีการโอนข้อมูลส่วนบุคคลข้ามพรมแดนหรือไม่

เพียงแค่ใช้งานเครื่องมือ SaaS (เช่น Google Workspace, Salesforce เป็นต้น) ข้อมูลก็ถูกโอนไปยังต่างประเทศแล้ว PDP Law กำหนดให้มีการประเมินและการอนุมัติสำหรับการโอนข้อมูลข้ามพรมแดน (อ้างอิง: DLA Piper) จึงจำเป็นต้องสำรวจว่าข้อมูลถูกจัดเก็บไว้ที่ใดสำหรับบริการทุกรายการที่องค์กรใช้งาน

☐ รายการที่ 9: ตรวจสอบหรือไม่ว่าประเทศหรือภูมิภาคปลายทางมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ

PDP Law กำหนดเงื่อนไขสำหรับการโอนข้อมูลข้ามพรมแดน จึงต้องตรวจสอบว่าประเทศปลายทางมีระบบการคุ้มครองข้อมูลที่เพียงพอหรือไม่ หรือมีมาตรการคุ้มครองตามสัญญาหรือไม่ ทั้งนี้ ภายใต้กฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ฉบับเดิม การโอนข้อมูลข้ามพรมแดนก็กำหนดให้ต้องได้รับความยินยอมจากเจ้าของข้อมูลอยู่แล้ว

☐ รายการที่ 10: จัดทำกฎเกณฑ์การแบ่งปันข้อมูลระหว่างบริษัทในกลุ่มหรือไม่

การแบ่งปันข้อมูลกับบริษัทแม่ (ไม่ว่าจะอยู่ในญี่ปุ่น ไทย หรือประเทศอื่น) ถือเป็นการโอนข้อมูลข้ามพรมแดนเช่นกัน ความเข้าใจที่ว่า "อยู่ในกลุ่มเดียวกันจึงไม่มีปัญหา" นั้นเป็นความเข้าใจที่ผิด แม้แต่ระหว่างบริษัทในกลุ่มก็ต้องจัดทำสัญญาการแบ่งปันข้อมูลและระบุเหตุผลทางกฎหมายของการโอนให้ชัดเจน

เมื่อ 5 ปีก่อน ในโครงการที่ลาว ครั้งที่มีการแบ่งปันข้อมูลที่เป็นความลับ ได้รับการทักท้วงว่า "ขอบเขตการแบ่งปันไม่ได้ระบุไว้ในสัญญา" จึงต้องรีบจัดทำสัญญาการประมวลผลข้อมูลเพิ่มเติมอย่างเร่งด่วน การแก้ไขปัญหาภายหลังนั้นสิ้นเปลืองทั้งเวลาและความน่าเชื่อถือ

ลาวไม่มีกฎหมายที่ออกแบบมาเพื่อกำกับดูแล AI โดยเฉพาะ อย่างไรก็ตาม ความรับผิดทางกฎหมายที่เกี่ยวข้องกับการใช้งาน AI ยังคงเกิดขึ้นได้ภายใต้กรอบของ PDP Law กฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ กฎหมายอาชญากรรมไซเบอร์ รวมถึงกฎหมายสัญญาและกฎหมายแรงงานทั่วไป ในระดับ ASEAN นั้น DEFA ได้บรรจุหลักการร่วมด้านการกำกับดูแล AI เอาไว้ด้วย (ที่มา: WEF) และคาดว่าจะมีการนำหลักการดังกล่าวมาสะท้อนในกฎหมายภายในประเทศของลาวในอนาคต

☐ รายการที่ 11: ระบุประเภทข้อมูลที่ระบบ AI ประมวลผลแล้วหรือไม่

หาก AI ประมวลผลข้อมูลส่วนบุคคล จะอยู่ภายใต้การบังคับใช้ของ PDP Law ควรสำรวจประเภทและปริมาณข้อมูลที่ AI จัดการ ไม่ว่าจะเป็น chatbot, การคัดกรองผู้สมัครงาน หรือการวิเคราะห์ลูกค้า และนำข้อมูลเหล่านั้นรวมไว้ในการลงทะเบียนกิจกรรมการประมวลผลข้อมูลด้วย

☐ รายการที่ 12: บูรณาการการกำกับดูแลโดยมนุษย์เข้าไว้ในกระบวนการตัดสินใจของ AI แล้วหรือไม่

แม้ลาวจะยังไม่มีการจำแนกประเภท "AI ความเสี่ยงสูง" เช่นเดียวกับ EU AI Act แต่ DEFA ได้บรรจุหลักการร่วมด้าน AI governance ไว้แล้ว (อ้างอิง: WEF, ASEAN ทางการ) และมีความเป็นไปได้ที่กฎระเบียบในระดับ ASEAN จะถูกนำมาสะท้อนในกฎหมายภายในประเทศในอนาคต จึงแนะนำอย่างยิ่งให้มีการตรวจสอบโดยมนุษย์ในการตัดสินใจของ AI ที่ส่งผลกระทบอย่างมีนัยสำคัญต่อบุคคล เช่น การประเมินบุคลากร, การพิจารณาสินเชื่อ หรือการวินิจฉัยทางการแพทย์

สำหรับการเปรียบเทียบกับ EU AI Act และแนวโน้ม AI governance ในระดับโลก สามารถอ่านรายละเอียดเพิ่มเติมได้ที่บทความที่เกี่ยวข้องด้าน AI governance

☐ รายการที่ 13: รวมข้อกำหนดการประมวลผลข้อมูลไว้ในสัญญากับผู้ให้บริการ AI แล้วหรือไม่

หากใช้บริการ AI จากภายนอก เช่น ChatGPT API, Claude API เป็นต้น ควรตรวจสอบในสัญญาว่าข้อมูลที่ป้อนเข้าไปจะถูกประมวลผลอย่างไรในฝั่งของผู้ให้บริการ PDP Law กำหนดให้มีการบริหารจัดการผู้รับมอบหมายการประมวลผลข้อมูลด้วย โดยเฉพาะอย่างยิ่ง ประเด็นที่ต้องตรวจสอบเป็นพิเศษคือข้อมูลดังกล่าวจะถูกนำไปใช้ในการฝึกโมเดลหรือไม่

☐ รายการที่ 14: มีการจัดระเบียบเรื่องลิขสิทธิ์และสิทธิ์ในทรัพย์สินทางปัญญาของเนื้อหาที่สร้างโดย AI หรือไม่

กฎหมายลิขสิทธิ์ของลาวยังไม่ได้กำหนดเรื่องการ귀属สิทธิ์ของผลงานที่สร้างโดย AI ไว้อย่างชัดเจน ควรกำหนดกฎเกณฑ์การใช้งานภายในองค์กร เช่น การระบุว่าผลงานที่สร้างโดย AI จะถือเป็นผลงานของใคร รวมถึงนโยบายการแสดงที่มาเมื่อเผยแพร่สู่ภายนอก

☐ รายการที่ 15: มีระบบการตรวจสอบข้อเท็จจริง (Fact-check) สำหรับผลลัพธ์ที่ได้จาก AI หรือไม่

การนำข้อมูลที่ AI สร้างขึ้นไปยื่นต่อลูกค้าหรือหน่วยงานราชการโดยตรงนั้น ก่อให้เกิดความเสี่ยงด้านความรับผิดชอบจากข้อมูลที่ผิดพลาดได้ โดยเฉพาะอย่างยิ่งในกรณีที่นำผลลัพธ์จาก AI ไปใช้ในเอกสารทางกฎหมายหรือการยื่นคำขอต่อหน่วยงานของรัฐ ควรกำหนดให้มีกระบวนการตรวจสอบโดยผู้เชี่ยวชาญเป็นขั้นตอนบังคับ

☐ รายการที่ 16: กำหนดเครื่องมือ AI ที่อนุญาตให้พนักงานใช้ในการทำงานหรือไม่

การใช้เครื่องมือ AI โดยไม่ได้รับอนุญาต (Shadow AI) อาจเป็นสาเหตุของการรั่วไหลของข้อมูลโดยไม่ตั้งใจภายใต้ PDP Law การจัดทำรายการเครื่องมือที่ได้รับอนุญาต พร้อมกำหนดกฎเกณฑ์การใช้งาน (รวมถึงการระบุข้อมูลที่ห้ามป้อนเข้าระบบ) ถือเป็นสิ่งจำเป็น

☐ รายการที่ 17: จัดให้มีการฝึกอบรมและให้ความรู้เกี่ยวกับการใช้งาน AI หรือไม่

การมีนโยบายเพียงอย่างเดียวนั้นไม่เพียงพอ โดยเฉพาะอย่างยิ่งสำหรับพนักงานท้องถิ่นในลาว จำเป็นต้องจัดเตรียมเอกสารการฝึกอบรมเป็นภาษาลาว เพื่อให้พนักงานเข้าใจถึงความเสี่ยงและวิธีการใช้งาน AI อย่างเหมาะสม

☐ รายการที่ 18: กำหนดขั้นตอนการรายงานเมื่อเกิดเหตุการณ์จากการใช้งาน AI หรือไม่

ควรกำหนด Escalation Flow สำหรับรับมือกับเหตุการณ์เฉพาะที่เกี่ยวข้องกับ AI เช่น ความเสียหายจากการตัดสินใจผิดพลาดของ AI หรือการรั่วไหลของข้อมูลผ่าน AI การผนวกรวมเข้ากับขั้นตอนการรายงานเหตุการณ์ด้าน Cybersecurity ที่มีอยู่เดิมถือเป็นแนวทางที่ปฏิบัติได้จริง หากกฎหมาย Cybersecurity ฉบับใหม่มีผลบังคับใช้ คาดว่าข้อกำหนดทางกฎหมายเกี่ยวกับการรายงานเหตุการณ์จะมีความชัดเจนยิ่งขึ้น (ที่มา: KPL)

สำหรับมาตรการทางเทคนิคด้านความปลอดภัยของ AI สามารถศึกษาเพิ่มเติมได้ที่ ลาว AI Security Checklist

โดยมุ่งเน้นที่กฎหมายอาชญากรรมทางไซเบอร์ (ประกาศใช้ปี 2015) เป็นหลัก จึงมีการตรวจสอบระบบความปลอดภัยของภาคธุรกิจ ขณะนี้ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ฉบับใหม่อยู่ระหว่างการพิจารณาของสภาแห่งชาติ (ที่มา: KPL) หากผ่านการบังคับใช้ จะทำให้ข้อกำหนดด้านมาตรฐานทางเทคนิคและการรับมือเหตุฉุกเฉินมีความชัดเจนยิ่งขึ้น

☐ หัวข้อ 19: ทราบหน่วยงานที่ต้องรายงานและกำหนดเวลาการรายงานเมื่อเกิดเหตุการณ์ไซเบอร์หรือไม่

หน่วยงานที่ต้องรายงานเหตุการณ์ไซเบอร์คือ LaoCERT (ทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์แห่งชาติ) ซึ่งอยู่ภายใต้กระทรวงเทคโนโลยีและการสื่อสาร (MoTC) โดย LaoCERT เป็นสมาชิกของ APCERT (Asia Pacific CERT) ด้วย (ที่มา: เว็บไซต์ทางการ LaoCERT, APCERT) ข้อมูลติดต่อและขั้นตอนการแจ้งเหตุล่าสุดสามารถตรวจสอบได้ที่เว็บไซต์ทางการของ LaoCERT (laocert.gov.la) การเริ่มค้นหาข้อมูลหลังจากเกิดเหตุการณ์แล้วนั้นถือว่าสายเกินไป

☐ หัวข้อ 20: มีการจัดทำแผนรับมือเหตุการณ์ (IRP) และฝึกซ้อมอย่างสม่ำเสมอหรือไม่

นอกจากการจัดทำแผนแล้ว ควรดำเนินการฝึกซ้อม (Tabletop Exercise) อย่างน้อยปีละ 1 ครั้ง ในสภาพแวดล้อมการสื่อสารของลาว ช่องทางการติดต่อฉุกเฉินกับสำนักงานใหญ่อาจแตกต่างจากปกติ ดังนั้นควรรวมการสื่อสารผ่านดาวเทียมและช่องทางการติดต่อแบบออฟไลน์ไว้ในแผนด้วย

☐ หัวข้อ 21: มีการกำหนดระยะเวลาการเก็บรักษาบันทึก (Log) และขั้นตอนการอนุรักษ์หลักฐานหรือไม่

กฎหมายอาชญากรรมไซเบอร์ (ปี 2015) กำหนดให้มีการอนุรักษ์หลักฐานทางอิเล็กทรอนิกส์ ระยะเวลาการจัดเก็บต้องเป็นไปตามบทบัญญัติของกฎหมายและแนวทางของหน่วยงานที่เกี่ยวข้อง อย่างไรก็ตาม ในทางปฏิบัติโดยทั่วไปแนะนำให้เก็บรักษา Log ไว้อย่างน้อยประมาณ 1 ปี และควรเตรียมความพร้อมในการตอบสนองต่อคำร้องขอส่งหลักฐานจากหน่วยงานสืบสวน

☐ รายการที่ 22: มีการติดตั้งไฟร์วอลล์และระบบตรวจจับ/ป้องกันการบุกรุก (IDS/IPS) หรือไม่

นอกจากการป้องกันขอบเขตเครือข่ายขั้นพื้นฐานแล้ว ยังจำเป็นต้องออกแบบระบบโดยคำนึงถึงลักษณะเฉพาะของเครือข่ายในลาว ได้แก่ ความไม่เสถียรของแบนด์วิดท์และความหลากหลายของ ISP ทั้งนี้ คุณภาพการสื่อสารระหว่างสำนักงานในเวียงจันทน์และสาขาในต่างจังหวัดอาจมีความแตกต่างกันอย่างมีนัยสำคัญ

☐ รายการที่ 23: มีการติดตั้งแพตช์แก้ไขช่องโหว่ของซอฟต์แวร์อย่างสม่ำเสมอหรือไม่

การจัดการแพตช์ถือเป็นพื้นฐานที่สำคัญที่สุด อย่างไรก็ตาม สำนักงานในลาวมักประสบปัญหาในทางปฏิบัติ เช่น "แบนด์วิดท์ไม่เพียงพอจนไม่สามารถอัปเดตได้" ดังนั้น ควรจัดเตรียมขั้นตอนการอัปเดตแบบออฟไลน์ไว้ด้วย

☐ รายการที่ 24: มีการดำเนินโปรแกรมเสริมสร้างความตระหนักด้านความปลอดภัยสำหรับพนักงานหรือไม่

ควรจัดทำโปรแกรมที่ครอบคลุม ประกอบด้วย การฝึกซ้อมรับมือฟิชชิงอีเมล การอบรมการจัดการรหัสผ่าน และความปลอดภัยทางกายภาพ (เช่น การจำกัดการนำ USB เมมโมรี่เข้ามาในองค์กร) โดยดำเนินการอย่างน้อยปีละ 2 ครั้ง

☐ รายการที่ 25: มีการจัดทำแผนสำรองข้อมูลและแผนการกู้คืนระบบจากภัยพิบัติ (DR) หรือไม่

ควรจัดเก็บข้อมูลสำรองไว้ในหลายสถานที่ทั้งในและต่างประเทศ เนื่องจากลาวมีความเสี่ยงจากภัยธรรมชาติ (เช่น น้ำท่วม) จึงควรพิจารณาการกระจายสถานที่จัดเก็บในเชิงกายภาพด้วย นอกจากนี้ ควรกำหนด Recovery Time Objective (RTO) และ Recovery Point Objective (RPO) ให้ชัดเจน

เบื้องหลังการเร่งพัฒนากฎหมายของลาวนั้น มีกรอบความตกลงเศรษฐกิจดิจิทัลอาเซียน (DEFA) เป็นแรงผลักดัน การบังคับใช้ PDP Law ก็เป็นส่วนหนึ่งของกระแสนี้เช่นกัน

DEFA คือกรอบความตกลงเฉพาะทางที่มุ่งสร้างความเป็นเอกภาพให้กับกฎระเบียบการค้าดิจิทัลภายใน ASEAN หลังจากผ่านการเจรจามาแล้ว 14 รอบ ได้บรรลุข้อตกลงใน 24 มาตรา 98 วรรค (คิดเป็น 73% ของทั้งหมด) (ที่มา: WEF, The Star) โดยมีเป้าหมายที่จะลงนามในอนาคต กรอบความตกลงนี้ครอบคลุมประเด็นต่อไปนี้:

• การอำนวยความสะดวกด้านการไหลเวียนข้อมูลข้ามพรมแดน
• การทำงานร่วมกันของระบบการชำระเงินดิจิทัล
• ความร่วมมือด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity)
• หลักการร่วมด้านการกำกับดูแล AI (AI Governance)
• การคุ้มครองผู้บริโภค

เศรษฐกิจดิจิทัลของ ASEAN มีมูลค่าอยู่ที่ประมาณ 3 แสนล้านดอลลาร์สหรัฐในปัจจุบัน แต่หาก DEFA ประสบความสำเร็จ คาดการณ์ว่าจะเติบโตได้สูงสุดถึง 2 ล้านล้านดอลลาร์สหรัฐภายในปี 2030 (ที่มา: ASEAN อย่างเป็นทางการ) แม้ว่าลาวจะมีขนาดเศรษฐกิจดิจิทัลที่เล็กที่สุดแห่งหนึ่งใน ASEAN แต่การเข้าร่วม DEFA ได้ทำหน้าที่เป็นแรงกดดัน (และแรงสนับสนุน) จากภายนอกที่ผลักดันให้เกิดการออก PDP Law ขึ้น

DEFA ยึดหลัก "การหมุนเวียนข้อมูลบนพื้นฐานของความไว้วางใจ" และกำหนดให้แต่ละประเทศต้องมีมาตรฐานการคุ้มครองข้อมูลขั้นต่ำ การบังคับใช้ PDP Law ของลาวถือเป็นการตอบสนองต่อข้อกำหนดของ DEFA ในรูปแบบหนึ่ง

เมื่อ PDP Law มีผลบังคับใช้แล้ว สิ่งที่องค์กรควรเตรียมพร้อมในลำดับถัดไปคือ การกำหนดกฎเกณฑ์รายละเอียดของ DEFA และการจัดทำกฎระเบียบการดำเนินการภายในประเทศ โดยมีรายละเอียดดังนี้:

1. การอัปเดต Data Mapping: ทบทวนกระแสข้อมูลใหม่ให้สอดคล้องกับข้อกำหนดการลงทะเบียนภายใต้ PDP Law
2. การทบทวนสัญญาการประมวลผลข้อมูล: ปรับปรุงข้อกำหนดในสัญญาให้เป็นไปตามข้อกำหนดของ PDP Law
3. การแก้ไข Privacy Policy: จัดทำเป็นหลายภาษา (ภาษาลาวและภาษาอังกฤษ) เพื่อให้สอดคล้องกับข้อกำหนดด้านความโปร่งใสของ PDP Law
4. การลงทะเบียนกับหน่วยงานคุ้มครองข้อมูล: แจ้งกิจกรรมการประมวลผลต่อหน่วยงานคุ้มครองข้อมูลภายใต้การกำกับดูแลของ MoTC

แม้หลัง PDP Law มีผลบังคับใช้แล้ว การจัดทำกฎระเบียบรอง (กฎระเบียบของรัฐบาล) ยังคงดำเนินต่อไป และคาดว่าจะมีการเพิ่มพันธกรณีที่เฉพาะเจาะจงมากขึ้นในอนาคต (ที่มา: Rajah & Tann Asia)

แม้ในยุคที่ยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลแบบครอบคลุม กฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์และกฎหมายอาชญากรรมไซเบอร์ก็มีผลบังคับใช้อย่างชัดเจน พร้อมบทลงโทษสำหรับผู้ฝ่าฝืน ในปัจจุบันหลังจาก PDP Law มีผลบังคับใช้แล้ว ความเข้าใจที่ว่า "ลาวไม่มีกฎระเบียบ" ถือเป็นความเสี่ยงทางกฎหมายในตัวเอง

จากกรณีที่ผู้เขียนได้พบเห็นจริง บริษัทต่างชาติแห่งหนึ่งได้โอนฐานข้อมูลลูกค้าไปยังเซิร์ฟเวอร์นอกประเทศลาวโดยไม่ได้รับอนุญาต เมื่อเจ้าหน้าที่เข้าตรวจสอบ บริษัทอ้างว่า "ได้ยินมาว่าลาวไม่มีกฎหมายคุ้มครองข้อมูล" แต่เมื่อถูกชี้ให้เห็นข้อความในกฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ จึงได้ตระหนักถึงความร้ายแรงของสถานการณ์เป็นครั้งแรก ผลสุดท้ายถูกสั่งให้แก้ไขและถูกปรับเป็นเงิน

หลังจาก PDP Law มีผลบังคับใช้ การจัดการกับกรณีเช่นนี้มีแนวโน้มที่จะเข้มงวดยิ่งขึ้น บทลงโทษนอกจากโทษทางปกครอง (LAK 25 ล้าน–100 ล้าน) แล้ว ในกรณีที่มีเจตนาร้ายยังอาจมีการบังคับใช้โทษทางอาญาด้วย

ในลาว ไม่เพียงแต่บทบัญญัติทางกฎหมายเท่านั้น แต่การชี้นำทางปกครองของกระทรวง (หนังสือเวียน/แนวปฏิบัติ) ยังมีอำนาจกำกับดูแลในทางปฏิบัติในหลายสถานการณ์ กระทรวงเทคโนโลยีและการสื่อสาร (MoTC、ກະຊວງເຕັກໂນໂລຊີ ແລະ ການສື່ສານ) เป็นหน่วยงานหลักที่รับผิดชอบนโยบายดิจิทัล และยังเป็นหน่วยงานกำกับดูแล PDP Law อีกด้วย (อ้างอิง: DLA Piper、MoTC InfoComm Asia) โดยอาจมีการชี้นำในเรื่องที่ไม่ได้ระบุไว้อย่างชัดเจนในกฎหมาย

มาตรการรับมือ ได้แก่:

• ติดตามประกาศอย่างเป็นทางการของ MoTC อย่างสม่ำเสมอ
• รับข้อมูลล่าสุดผ่านสัญญาที่ปรึกษากับสำนักงานกฎหมายท้องถิ่น
• ใช้ประโยชน์จากเครือข่ายสมาคมธุรกิจ (เช่น หอการค้าและอุตสาหกรรมลาว เป็นต้น)

บริษัทต่างชาติจำนวนมากที่ดำเนินธุรกิจในลาวมีการแบ่งปันข้อมูลกับพาร์ทเนอร์ในท้องถิ่น (บริษัทร่วมทุน, ตัวแทน, ผู้รับจ้างช่วง) การบังคับใช้ PDP Law ทำให้พันธกรณีทางกฎหมายในการบริหารจัดการผู้รับมอบหมายงานมีความชัดเจนยิ่งขึ้น จุดบอดที่พบบ่อย:

• การบริหารจัดการผู้รับมอบหมายการประมวลผลข้อมูล: PDP Law กำหนดให้ผู้รับมอบหมายการประมวลผลข้อมูลต้องมีมาตรการป้องกันที่เหมาะสมด้วย จำเป็นต้องตรวจสอบว่าพาร์ทเนอร์มีมาตรการรักษาความปลอดภัยที่เพียงพอหรือไม่
• การคืนหรือลบข้อมูลเมื่อสิ้นสุดสัญญา: หลายกรณีไม่ได้ระบุไว้อย่างชัดเจนในสัญญา
• การจำกัดการมอบหมายงานต่อ: การรับมือกับกรณีที่พาร์ทเนอร์ส่งต่อข้อมูลให้บุคคลที่สาม
• สิทธิ์ในการตรวจสอบ: การรับรองสิทธิ์ในการตรวจสอบสถานะการจัดการข้อมูลของพาร์ทเนอร์

กฎหมายอาชญากรรมทางไซเบอร์ (ประกาศใช้ปี 2015) กำหนดโทษจำคุกและโทษปรับ ในขณะที่ PDP Law กำหนดโทษทางปกครอง (LAK 25,000,000–100,000,000) และโทษทางอาญาสำหรับกรณีที่มีเจตนาร้าย ทั้งนี้ เพดานโทษจำคุกและโทษปรับโดยละเอียดจะแตกต่างกันไปตามแต่ละมาตรา จึงควรอ้างอิงบทบัญญัติที่เกี่ยวข้องโดยตรงสำหรับรายละเอียดของบทลงโทษ (ที่มา: Digital Watch Observatory, DLA Piper)

มีอยู่จริง สภาแห่งชาติลาวได้ผ่านกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDP Law) และมีผลบังคับใช้แล้ว (ที่มา: Rajah & Tann Asia) แม้ว่าในอดีตกฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ (ปี 2017) จะกำหนดการคุ้มครองข้อมูลส่วนบุคคลไว้เพียงบางส่วน แต่ PDP Law ได้สร้างกรอบทางกฎหมายที่ครอบคลุมขึ้นมา เช่นเดียวกับ PDPA ของไทยและพระราชกฤษฎีกาคุ้มครองข้อมูลส่วนบุคคลของเวียดนาม ลาวได้กลายเป็นหนึ่งในประเทศสมาชิก ASEAN ที่มีกฎหมายคุ้มครองข้อมูลแบบครอบคลุม ทั้งนี้ จำเป็นต้องปฏิบัติตามกฎหมายทั้ง 3 ฉบับร่วมกัน ได้แก่ PDP Law กฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ที่มีอยู่เดิม และกฎหมายอาชญากรรมทางไซเบอร์

ในปัจจุบันยังไม่มีระบบการแจ้งหรือการขออนุญาตที่เฉพาะเจาะจงสำหรับการใช้งาน AI โดยเฉพาะ อย่างไรก็ตาม หาก AI ประมวลผลข้อมูลส่วนบุคคล จะอยู่ภายใต้การบังคับใช้ของ PDP Law และกฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ นอกจากนี้ ในอุตสาหกรรมที่มีการกำกับดูแล เช่น การเงิน การแพทย์ และการศึกษา กฎระเบียบเฉพาะของแต่ละอุตสาหกรรมอาจครอบคลุมถึงการใช้งาน AI ด้วยเช่นกัน จึงแนะนำให้ยืนยันข้อมูลล่วงหน้ากับหน่วยงานกำกับดูแลของแต่ละอุตสาหกรรม ทั้งนี้ DEFA ได้รวมหลักการร่วมด้าน AI Governance ไว้ด้วย (ที่มา: WEF) และมีความเป็นไปได้ที่จะมีการกำหนดกฎระเบียบในระดับ ASEAN ขึ้นในอนาคต

PDP Law กำหนดให้การโอนข้อมูลข้ามพรมแดนต้องผ่านการประเมินและได้รับการอนุมัติ (ที่มา: DLA Piper) นอกจากนี้ กฎหมายคุ้มครองข้อมูลอิเล็กทรอนิกส์ยังกำหนดให้การโอนข้อมูลข้ามพรมแดนต้องได้รับความยินยอมจากเจ้าของข้อมูลด้วย แม้ว่าขั้นตอนที่เป็นรูปธรรม (เช่น กลไกที่เทียบเท่ากับ adequacy decision หรือ SCC) จะไม่ได้ถูกกำหนดไว้อย่างละเอียดเท่ากับ GDPR แต่ในทางปฏิบัติ อย่างน้อยที่สุดควรดำเนินการตรวจสอบระดับการคุ้มครองข้อมูลของปลายทางที่รับโอน การจัดทำสัญญาการประมวลผลข้อมูล และการแจ้งให้เจ้าของข้อมูลทราบ ทั้งนี้ ควรระมัดระวังว่าการใช้บริการ cloud service ก็ถือเป็นการโอนข้อมูลข้ามพรมแดนเช่นกัน นอกจากนี้ยังมีความเป็นไปได้ที่กฎระเบียบลำดับรองภายใต้ PDP Law จะมีการเพิ่มเติมข้อกำหนดที่เฉพาะเจาะจงมากขึ้นในอนาคต (ที่มา: Rajah & Tann Asia)

ขึ้นอยู่กับกฎหมายที่เกี่ยวข้อง PDP Law มุ่งเน้นโทษทางปกครอง (LAK 25 ล้าน ถึง 100 ล้าน คิดเป็นเงินเยนญี่ปุ่นประมาณ 150,000 ถึง 600,000 เยน) และในกรณีที่มีเจตนาทุจริตอาจมีการบังคับใช้โทษทางอาญา (รวมถึงโทษจำคุก) กฎหมายอาชญากรรมไซเบอร์ (ปี 2015) กำหนดโทษจำคุกและค่าปรับสำหรับการเข้าถึงระบบโดยไม่ได้รับอนุญาตและการแก้ไขข้อมูลโดยมิชอบ (ที่มา: Digital Watch Observatory, Council of Europe)

แม้ว่าจำนวนเงินค่าปรับจะไม่สูงเท่า GDPR (ร้อยละ 4 ของรายได้) แต่ความเสี่ยงที่เป็นรูปธรรมกว่า ได้แก่ การเพิกถอนใบอนุญาตประกอบธุรกิจในลาวและความสัมพันธ์ที่เสื่อมถอยกับหน่วยงานที่มีอำนาจ ซึ่งถือเป็นความเสี่ยงที่ร้ายแรงกว่า ขณะนี้กำลังอยู่ระหว่างการจัดทำกฎระเบียบรองภายใต้ PDP Law และมีความเป็นไปได้ที่รายละเอียดของบทลงโทษจะมีความชัดเจนยิ่งขึ้นในอนาคต

เมื่อตรวจสอบครบทั้ง 25 รายการแล้ว ให้ดำเนินการตามลำดับความสำคัญดังต่อไปนี้

1. การจัดลำดับความสำคัญของรายการที่ยังไม่ได้ดำเนินการ

2. การปรึกษาผู้เชี่ยวชาญ

ควรปรึกษาทนายความที่มีความเชี่ยวชาญด้านกฎหมายลาว เพื่อประเมินการบังคับใช้ PDP Law อย่างเป็นรูปธรรม และประเมินความเสี่ยงของรายการที่ยังไม่ได้ดำเนินการ ในเวียงจันทน์มีสำนักงานกฎหมายระหว่างประเทศตั้งอยู่ และมีบางแห่งที่สามารถให้บริการเป็นภาษาอังกฤษและภาษาญี่ปุ่นได้ นอกจากนี้ เนื่องจากกฎระเบียบรองของ PDP Law ยังอยู่ระหว่างการจัดทำ การติดตามความเคลื่อนไหวล่าสุดจึงมีความสำคัญอย่างยิ่ง

3. เพิ่มพูนความรู้จากบทความที่เกี่ยวข้อง

• ภาพรวม AI Governance — การเปรียบเทียบกฎระเบียบ AI ระดับโลก รวมถึง EU AI Act
• Checklist ความปลอดภัย AI ในลาว — รายละเอียดมาตรการรักษาความปลอดภัยทางเทคนิค
• คู่มือป้องกันการฉ้อโกงทางสมาร์ทโฟนในลาว — ตัวอย่างจริงและมาตรการรับมือตามกฎหมายอาชญากรรมทางไซเบอร์

4. การทบทวนเป็นประจำ

กฎระเบียบดิจิทัลของลาวกำลังเปลี่ยนแปลงอย่างรวดเร็ว ควรติดตามความคืบหน้าของกฎระเบียบรองภายใต้ PDP Law ความเคลื่อนไหวของกฎหมายความมั่นคงปลอดภัยไซเบอร์ฉบับใหม่ รวมถึงการลงนามและการมีผลบังคับใช้ของ DEFA และทบทวน Checklist นี้ ทุกไตรมาส