EU AI Act คืออะไร? คู่มือปฏิบัติตามกฎหมาย AI สำหรับธุรกิจไทย 2026

# EU AI Act คืออะไร? คู่มือปฏิบัติตามกฎหมาย AI สำหรับธุรกิจไทย 2026

ตั้งแต่ 2 กุมภาพันธ์ 2025 "EU AI Act" ได้มีผลบังคับใช้ในส่วนของข้อห้าม AI ที่อันตราย และข้อกำหนด AI Literacy ส่งผลให้ธุรกิจทั่วโลกรวมถึง SME ไทยที่ให้บริการลูกค้า EU ต้องเตรียมตัวทันที โดยส่วนที่เหลือทยอยมีผลบังคับใช้เต็มรูปแบบในปี 2026 และ 2027

ธุรกิจไทยหลายแห่งเข้าใจผิดว่า EU AI Act เกี่ยวข้องเฉพาะบริษัทใน EU แต่ความจริงกฎหมายนี้มีผลแบบ "Extraterritorial" กล่าวคือครอบคลุมผู้พัฒนา AI ผู้ทำ Output ใช้ใน EU หรือแม้แต่บริษัทที่ตั้งนอก EU ที่ลูกค้าของ AI อยู่ใน EU เช่น SaaS Platform ของไทยที่มีสมาชิกจากฝรั่งเศสก็เข้าข่ายได้

บทความนี้จะสรุปโครงสร้าง EU AI Act ระบบจัดระดับความเสี่ยง 4 ระดับ หน้าที่ของ Provider และ Deployer พร้อมแผน Compliance 6 เดือนที่ SME ไทยทำได้จริงโดยไม่ต้องจ้างที่ปรึกษาราคาแพง

EU AI Act คืออะไร และทำไมกระทบไทย

EU Artificial Intelligence Act (Regulation 2024/1689) เป็นกรอบกฎหมาย AI ฉบับแรกของโลก ประกาศในราชกิจจานุเบกษาของ EU เมื่อ 12 กรกฎาคม 2024 มีผลบังคับใช้ 1 สิงหาคม 2024 โดยใช้แนวคิด Risk-based Approach จัดระบบ AI ออกเป็น 4 ระดับตามระดับความเสี่ยงต่อสิทธิพื้นฐาน

ทำไมถึงกระทบ SME ไทย ลองดูตัวอย่างสถานการณ์

ทุกกรณีข้างต้นเข้าข่าย EU AI Act ทั้งสิ้น บทลงโทษสูงสุดถึง 35 ล้านยูโรหรือ 7% ของ Global Turnover แล้วแต่จำนวนใดจะสูงกว่า

4 ระดับความเสี่ยง AI ใน EU AI Act

หัวใจของกฎหมายคือการจัดระบบ AI ตามระดับความเสี่ยง

| ระดับ | ความเสี่ยง | ตัวอย่าง | ข้อบังคับ |

|-------|------------|----------|----------|

| Unacceptable Risk | ห้ามใช้เด็ดขาด | Social Scoring, Emotion Recognition ในที่ทำงาน, Manipulative AI | ห้ามตั้งแต่ 2 ก.พ. 2025 |

| High Risk | เสี่ยงสูง | AI Recruitment, Credit Scoring, AI ทางการแพทย์, AI ในการศึกษา | ลงทะเบียน, Conformity Assessment, Human Oversight |

| Limited Risk | เสี่ยงจำกัด | Chatbot, Deepfake, AI Generated Content | เปิดเผยว่าใช้ AI |

| Minimal Risk | เสี่ยงน้อย | Spam Filter, AI Gaming | ไม่มีข้อบังคับแต่ส่งเสริม Code of Conduct |

Unacceptable Risk คืออันที่บังคับใช้แล้ว ห้ามทำ Social Scoring แบบรัฐบาลจีน ห้าม Real-time Biometric Identification ในที่สาธารณะ (ยกเว้นเคสฉุกเฉิน) ห้าม AI ที่ใช้เทคนิค Subliminal เพื่อบิดเบือนพฤติกรรม

High Risk คือระดับที่ SME ไทยต้องระวังที่สุด หาก AI ของคุณใช้ในการจ้างงาน การกู้เงิน การวินิจฉัยโรค หรือการจัดการโครงสร้างพื้นฐาน ต้องผ่าน Conformity Assessment ก่อนออกตลาด EU และลงทะเบียนในฐานข้อมูล AI ของ EU

Limited Risk ครอบคลุม Chatbot และ Content Generator ต้องเปิดเผยชัดเจนว่าผู้ใช้กำลังสนทนากับ AI และต้อง Watermark Output ที่สร้างโดย AI ตามมาตรฐาน ISO/IEC

Minimal Risk ไม่มีข้อบังคับทางกฎหมาย แต่ EU AI Office ส่งเสริม Voluntary Code of Conduct

Provider vs Deployer หน้าที่ต่างกัน

EU AI Act แยกความรับผิดชอบระหว่าง 2 บทบาทหลัก

Provider คือผู้พัฒนา AI System หรือผู้ Rebrand นำไปจำหน่าย หน้าที่ได้แก่

Deployer คือผู้ใช้งาน AI ในธุรกิจ หน้าที่ได้แก่

SME ไทยส่วนใหญ่จะอยู่ในบทบาท Deployer เพราะนำ AI Platform ของต่างประเทศ เช่น OpenAI, Anthropic, Microsoft มาใช้ในธุรกิจ

Timeline บังคับใช้และ GPAI

ไทม์ไลน์บังคับใช้สำคัญที่ต้องจำ

สำหรับ GPAI ผู้ให้บริการ LLM เช่น OpenAI, Anthropic, Google ต้องประกอบ Model Card, สรุปข้อมูลที่ใช้ฝึก, จัดทำ Copyright Policy และในกรณี Systemic Risk ต้องทำ Adversarial Testing เพิ่ม

แผน Compliance 6 เดือนสำหรับ SME ไทย

นี่คือโรดแมป 6 เดือนที่ PM และ CEO ใช้ขับเคลื่อนได้ทันที

เดือนที่ 1: AI Inventory ระบุ AI ทุกระบบในองค์กร ทั้ง Software-as-a-Service และ Custom Model พร้อมระบุ Provider, Version, Data Input/Output, Use Case

เดือนที่ 2: Risk Classification จัดระบบ AI แต่ละตัวเข้า 4 ระดับความเสี่ยง ใช้เกณฑ์ Annex III ของ EU AI Act เป็นตัวตั้ง ตรวจว่ามีการใช้งานสำหรับลูกค้าหรือพนักงานใน EU หรือไม่

เดือนที่ 3: AI Literacy Program จัดฝึกอบรมพนักงานที่ใช้ AI ในการทำงาน ทั้งพื้นฐาน AI, ความเสี่ยง, ขอบเขตการใช้งาน บันทึกการอบรมเป็นหลักฐาน

เดือนที่ 4: Governance Structure ตั้ง AI Governance Committee มอบหมาย AI Compliance Officer ออก Internal AI Use Policy กำหนด Approval Process สำหรับ Deploy AI ใหม่

เดือนที่ 5: Technical Measures ติดตั้ง Logging, Monitoring, Human-in-the-Loop สำหรับ High Risk ประกอบ Instructions for Use สำหรับ AI ที่ผลิตเอง

เดือนที่ 6: Documentation + FRIA ปรับปรุง Privacy Policy ให้ครอบคลุม AI Use Case ออก FRIA สำหรับ High Risk AI และประกอบ Annual Compliance Report

ตารางเปรียบเทียบ EU AI Act vs PDPA vs ISO 42001

| มิติ | EU AI Act | PDPA ไทย | ISO/IEC 42001 |

|------|-----------|----------|---------------|

| ลักษณะ | กฎหมายบังคับใช้ | กฎหมายบังคับใช้ | มาตรฐานสมัครใจ |

| ขอบเขต | AI System ทุกประเภท | Personal Data | AI Management System |

| โทษสูงสุด | 35 ล้านยูโร หรือ 7% Turnover | 5 ล้านบาท/คดี | - |

| Extraterritorial | ใช่ | ใช่ ในขอบเขตที่กระทบคนไทย | ไม่มี |

| ต้องทำเอกสาร | ใช่ เข้มงวด | ใช่ | ใช่ เน้น ISO |

หลาย SME ไทยใช้ ISO 42001 เป็น Framework ตั้งต้นแล้วต่อยอดสู่ EU AI Act Compliance ได้มีประสิทธิภาพ

สรุปและขั้นตอนถัดไป

EU AI Act ไม่ใช่ "ปัญหาของบริษัทใหญ่" แต่เป็น "โอกาสของ SME ไทย" ที่จะสร้างความน่าเชื่อถือในตลาดโลก หากคุณเป็น PM หรือเจ้าของธุรกิจไทยที่ใช้หรือขาย AI ให้เริ่มต้นด้วย 5 ขั้นตอนนี้

1. ทำ AI Inventory วันนี้ภายใน 1 สัปดาห์

2. ตรวจว่ามีลูกค้าหรือพนักงานใน EU หรือไม่

3. อ่าน Annex III เพื่อระบุ High Risk Use Case

4. ฝึก AI Literacy ให้ทีมงานที่ใช้ AI

5. ตั้ง AI Governance Committee อย่างเป็นทางการ

ADS FIT พร้อมช่วย SME ไทยจัดทำ AI Compliance Framework ที่สอดคล้องทั้ง EU AI Act, PDPA และ ISO 42001 ด้วยทีมวิศวกรและที่ปรึกษา GRC ติดต่อทีมเราได้ที่ adsfit.co.th หรืออ่านบทความเพิ่มเติมในหมวด ISO/GMP/อย.