“ข้อมูลอยู่ไหน ใครเข้าถึงได้บ้าง” ทำไม US CLOUD Act อาจเป็นแรงสั่นสะเทือนอธิปไตยไซเบอร์ไทย และเราควรรับมืออย่างไร
โดย นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล (AFONcyber) อุปนายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) และกรรมการผู้จัดการ บริษัท ซอเวอเร้นท์ จำกัด
ท่ามกลางปัญหาความขัดแย้งในภูมิภาคต่างๆ และการชิงความเป็นเลิศทาง AI ที่กินข้อมูลเป็นอาหาร ประเทศมหาอำนาจต่างๆ พยายามช่วงชิงความได้เปรียบจากการครอบงำทางเทคโนโลยี ประเทศเล็กอย่างเราต้องรู้เท่าทันและอยู่ให้เป็น เลือกและใช้เทคโนโลยีอย่างเข้าใจและรู้เท่าทัน ที่สำคัญ ต้องเพิ่มขีดความสามารถในการพึ่งพาตนเองทางเทคโนโลยี โดยเฉพาะในสภาวะการที่ไม่อาจไว้เนื้อเชื่อใจใครได้
1. US CLOUD ACT ใน 60 วินาที
- ออกมาในปี 2018 แก้ไขกฎหมาย Stored Communications Act (SCA)
- บังคับให้ผู้ให้บริการอิเล็กทรอนิกส์สัญชาติสหรัฐ (หรือบริษัทใดที่ “อยู่ภายใต้เขตอำนาจศาล สหรัฐ”) ส่งมอบข้อมูลที่ตนควบคุม ไม่ว่าเซิร์ฟเวอร์นั้นจะตั้งอยู่ในประเทศใด
- เพิ่มกลไก “Executive Agreement” ให้บางประเทศที่ผ่าน “มาตรฐานสิทธิมนุษยชน” ทำข้อตกลงรับ-ส่งข้อมูลกับกระทรวงยุติธรรมสหรัฐโดยตรง (สหราชอาณาจักรและออสเตรเลียลงนามแล้ว)
- บริษัทสามารถขอให้ศาลสหรัฐ “ผ่อนปรน” หากหมายค้นชนกับกฎหมายคุ้มครองข้อมูลของต่างชาติ แต่ภาระโต้แย้งตกที่บริษัท ไม่ใช่รัฐบาลผู้ได้รับผลกระทบ
2. ประเด็นร้อน: อธิปไตยไซเบอร์กระทบตรงไหน?
- ความมั่นคงของรัฐ : ผลกระทบที่ควรจับตา ข้อมูลความมั่นคงแห่งชาติที่ฝากบน hyperscaler (ผู้ให้บริการโครงสร้างพื้นฐานด้านไอทีขนาดใหญ่มาก ที่ให้บริการประมวลผลและพื้นที่จัดเก็บข้อมูลจำนวนมหาศาล โดยเฉพาะอย่างยิ่งสำหรับองค์กรและผู้ใช้งานจำนวนมาก) สัญชาติสหรัฐอาจถูกเรียกดูได้ภายใต้คำสั่งลับ เช่น FISA § 702 หรือ National Security Letter แม้ตั้งอยู่ใน “Thailand Region” ก็ตาม
- ความลับทางการค้า : ผลกระทบที่ควรจับตา บริษัทไทยที่วาง Intellectual Property สำคัญบน SaaS/Cloud ผู้ให้บริการสัญชาติสหรัฐอเมริกา อาจไม่รู้ตัวเมื่อคู่ค้า/คู่แข่งในสหรัฐยื่นหมายเพื่อ ดึงข้อมูลผ่านกระบวนการสืบสวน
- ภาระคู่กฎหมาย : ผลกระทบที่ควรจับตา หากข้อมูล “บุคคลสัญชาติ EU” อยู่ในระบบขององค์กรไทยบนคลาวด์สหรัฐ → ถูกหมายสหรัฐเรียก → อาจละเมิด GDPR พร้อมกันสองฝั่ง (ค่าปรับสูงถึง 4 % ของรายได้ทั่วโลก)
- นโยบายท้องถิ่น : ผลกระทบที่ควรจับตา หลายประเทศตอบโต้ด้วยกฎหมาย Data Localization และโครงการ Sovereign Cloud (ตัวอย่าง GAIA-X ของสหภาพยุโรป) เพื่อรักษาเขตอำนาจอธิปไตยเหนือข้อมูล
3. บทเรียนจากต่างประเทศ
- ฝรั่งเศส - ตั้ง “SecNumCloud” มาตรฐานคลาวด์ที่ผู้ให้บริการต้องพิสูจน์ว่าไม่ตกอยู่ภายใต้ CLOUD ACT และพัฒนาคลาวด์ร่วมกับหน่วยงานรัฐวิสาหกิจ (Orange, Thales)
- เยอรมนี - โครงการ GAIA-X ผลักดันสถาปัตยกรรมคลาวด์แบบ federated กระจายศูนย์ พร้อมนโยบายให้ข้อมูลภาครัฐอยู่ใน “Trusted Cloud”
- ออสเตรเลีย - ยอมรับข้อตกลง Executive Agreement แต่ออกร่างกฎหมาย “Critical Infrastructure Risk Management” บังคับเก็บข้อมูลสำคัญในประเทศและเข้ารหัสสองชั้น (customer-held key)
4. ทางเลือกและคำแนะนำสำหรับประเทศไทย
การย้ายข้อมูลขึ้นคลาวด์ไม่ใช่แค่การส่งออกข้อมูล
แต่คือการส่งออก เขตอำนาจศาล ไปพร้อมกัน
CLOUD ACT ชี้ให้เห็นว่าเส้นแบ่งแดนในโลกกายภาพไม่รับประกันความเป็นเจ้าของข้อมูลอย่างแท้จริง เมื่อองค์กรไทย รัฐหรือเอกชน พึ่งพาโครงสร้างพื้นฐานดิจิทัลสัญชาติสหรัฐ จึงต้อง “คิดเผื่อ” กฎหมายต่างแดนไว้ตั้งแต่วันออกแบบสถาปัตยกรรม ไม่ใช่รอให้เกิดข้อพิพาทแล้วค่อยหาทางหนีทีไล่
ก้าวแรกวันนี้ คือประเมินประเภทข้อมูล → กำหนดตำแหน่งจัดเก็บ → ต่อรองสัญญาให้โปร่งใส → วางระบบเข้ารหัสและกุญแจในมือเราเอง เพื่อตอบโจทย์คล่องตัวธุรกิจภายใต้กรอบอธิปไตยไซเบอร์ ไทยอย่างสมดุล