“ข้อมูลอยู่ไหน ใครเข้าถึงได้บ้าง” ทำไม US CLOUD Act อาจเป็นแรงสั่นสะเทือนอธิปไตยไซเบอร์ไทย และเราควรรับมืออย่างไร

04 ส.ค. 2568 | 22:00 น.

โดย นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล (AFONcyber) อุปนายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) และกรรมการผู้จัดการ บริษัท ซอเวอเร้นท์ จำกัด

 

ท่ามกลางปัญหาความขัดแย้งในภูมิภาคต่างๆ และการชิงความเป็นเลิศทาง AI ที่กินข้อมูลเป็นอาหาร ประเทศมหาอำนาจต่างๆ พยายามช่วงชิงความได้เปรียบจากการครอบงำทางเทคโนโลยี ประเทศเล็กอย่างเราต้องรู้เท่าทันและอยู่ให้เป็น เลือกและใช้เทคโนโลยีอย่างเข้าใจและรู้เท่าทัน ที่สำคัญ ต้องเพิ่มขีดความสามารถในการพึ่งพาตนเองทางเทคโนโลยี โดยเฉพาะในสภาวะการที่ไม่อาจไว้เนื้อเชื่อใจใครได้
 

1. US CLOUD ACT ใน 60 วินาที

  • ออกมาในปี 2018 แก้ไขกฎหมาย Stored Communications Act (SCA)
  • บังคับให้ผู้ให้บริการอิเล็กทรอนิกส์สัญชาติสหรัฐ (หรือบริษัทใดที่ “อยู่ภายใต้เขตอำนาจศาล สหรัฐ”) ส่งมอบข้อมูลที่ตนควบคุม ไม่ว่าเซิร์ฟเวอร์นั้นจะตั้งอยู่ในประเทศใด
  • เพิ่มกลไก “Executive Agreement” ให้บางประเทศที่ผ่าน “มาตรฐานสิทธิมนุษยชน” ทำข้อตกลงรับ-ส่งข้อมูลกับกระทรวงยุติธรรมสหรัฐโดยตรง (สหราชอาณาจักรและออสเตรเลียลงนามแล้ว)
  • บริษัทสามารถขอให้ศาลสหรัฐ “ผ่อนปรน” หากหมายค้นชนกับกฎหมายคุ้มครองข้อมูลของต่างชาติ แต่ภาระโต้แย้งตกที่บริษัท ไม่ใช่รัฐบาลผู้ได้รับผลกระทบ

2. ประเด็นร้อน: อธิปไตยไซเบอร์กระทบตรงไหน?

  • ความมั่นคงของรัฐ : ผลกระทบที่ควรจับตา ข้อมูลความมั่นคงแห่งชาติที่ฝากบน hyperscaler (ผู้ให้บริการโครงสร้างพื้นฐานด้านไอทีขนาดใหญ่มาก ที่ให้บริการประมวลผลและพื้นที่จัดเก็บข้อมูลจำนวนมหาศาล โดยเฉพาะอย่างยิ่งสำหรับองค์กรและผู้ใช้งานจำนวนมาก) สัญชาติสหรัฐอาจถูกเรียกดูได้ภายใต้คำสั่งลับ เช่น FISA § 702 หรือ National Security Letter แม้ตั้งอยู่ใน “Thailand Region” ก็ตาม
  • ความลับทางการค้า : ผลกระทบที่ควรจับตา บริษัทไทยที่วาง Intellectual Property สำคัญบน SaaS/Cloud ผู้ให้บริการสัญชาติสหรัฐอเมริกา อาจไม่รู้ตัวเมื่อคู่ค้า/คู่แข่งในสหรัฐยื่นหมายเพื่อ ดึงข้อมูลผ่านกระบวนการสืบสวน
  • ภาระคู่กฎหมาย : ผลกระทบที่ควรจับตา หากข้อมูล “บุคคลสัญชาติ EU” อยู่ในระบบขององค์กรไทยบนคลาวด์สหรัฐ → ถูกหมายสหรัฐเรียก → อาจละเมิด GDPR พร้อมกันสองฝั่ง (ค่าปรับสูงถึง 4 % ของรายได้ทั่วโลก)
  • นโยบายท้องถิ่น : ผลกระทบที่ควรจับตา หลายประเทศตอบโต้ด้วยกฎหมาย Data Localization และโครงการ Sovereign Cloud (ตัวอย่าง GAIA-X ของสหภาพยุโรป) เพื่อรักษาเขตอำนาจอธิปไตยเหนือข้อมูล
ข่าวที่เกี่ยวข้อง
9 ชั่วโมงที่แล้ว

ดัชนีเรือตู้ฟื้นตัว

13 ชั่วโมงที่แล้ว

รากเหง้าของระบอบประชาธิปไตยของเมียนมา

1 วันที่แล้ว

คปภ.ลงโทษปรับบริษัทประกันเหตุจ่ายเงินล่าช้า ยังต้องดำเนินคดีอาญาแทนผู้ร้องเรียนด้วยหรือไม่?

1 วันที่แล้ว

TISA ปฏิวัติการออมสร้างภูมิคุ้มกันทางการเงินให้ชาติในยุคสูงวัย

1 วันที่แล้ว

มาเก๊าต้องการลดบทบาทกาสิโนจริงหรือ? (จบ)

3. บทเรียนจากต่างประเทศ

  1. ฝรั่งเศส - ตั้ง “SecNumCloud” มาตรฐานคลาวด์ที่ผู้ให้บริการต้องพิสูจน์ว่าไม่ตกอยู่ภายใต้ CLOUD ACT และพัฒนาคลาวด์ร่วมกับหน่วยงานรัฐวิสาหกิจ (Orange, Thales)
  2. เยอรมนี - โครงการ GAIA-X ผลักดันสถาปัตยกรรมคลาวด์แบบ federated กระจายศูนย์ พร้อมนโยบายให้ข้อมูลภาครัฐอยู่ใน “Trusted Cloud”
  3. ออสเตรเลีย - ยอมรับข้อตกลง Executive Agreement แต่ออกร่างกฎหมาย “Critical Infrastructure Risk Management” บังคับเก็บข้อมูลสำคัญในประเทศและเข้ารหัสสองชั้น (customer-held key)
     

4. ทางเลือกและคำแนะนำสำหรับประเทศไทย

 

การย้ายข้อมูลขึ้นคลาวด์ไม่ใช่แค่การส่งออกข้อมูล 
แต่คือการส่งออก เขตอำนาจศาล ไปพร้อมกัน


CLOUD ACT ชี้ให้เห็นว่าเส้นแบ่งแดนในโลกกายภาพไม่รับประกันความเป็นเจ้าของข้อมูลอย่างแท้จริง เมื่อองค์กรไทย รัฐหรือเอกชน พึ่งพาโครงสร้างพื้นฐานดิจิทัลสัญชาติสหรัฐ จึงต้อง “คิดเผื่อ” กฎหมายต่างแดนไว้ตั้งแต่วันออกแบบสถาปัตยกรรม ไม่ใช่รอให้เกิดข้อพิพาทแล้วค่อยหาทางหนีทีไล่

ก้าวแรกวันนี้ คือประเมินประเภทข้อมูล → กำหนดตำแหน่งจัดเก็บ → ต่อรองสัญญาให้โปร่งใส → วางระบบเข้ารหัสและกุญแจในมือเราเอง เพื่อตอบโจทย์คล่องตัวธุรกิจภายใต้กรอบอธิปไตยไซเบอร์ ไทยอย่างสมดุล