Digital Sovereignty EP3: What’s Next for Global Technology-based Competition?

จากบทความ Digital Sovereignty EP2: Does Regulation Hit the Target or Miss the Point? ในบทความนี้ เราจะเจาะลึก digital sovereignty ในแง่มุมต่าง ๆ ทั้งในมุมของกฎหมาย การมีอิสระในการเลือกใช้เทคโนโลยี และความสามารถในการแข่งขันว่ามีอะไรบ้าง ที่จะทำให้องค์กรมี digital sovereignty อย่างแท้จริงตามที่สหภาพยุโรปพยายามผลักดัน และจุดที่เหมาะสมในปัจจุบันว่าคือตรงไหนที่มีความเป็นไปได้มากที่สุดในปัจจุบัน

แนวคิดของ "อำนาจอธิปไตยทางดิจิทัล" ในทางกฎหมาย หมายถึง ความสามารถของสังคมในการสร้างและรักษามาตรฐานสำหรับโซลูชันดิจิทัล กฎหมาย GDPR มีสาระสำคัญ คือ บริษัทที่จัดเก็บและจัดการข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปจะต้องเพิ่มมาตรการปกป้องข้อมูลต่าง ๆ เพื่อควบคุมการเก็บรวบรวม ใช้ เปิดเผย ประมวลผล และลบข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ เพื่อปกป้องเสรีภาพของบุคคล การนำข้อมูลส่วนบุคคลไม่ให้สามารถนำไปใช้งานในเชิงพาณิชย์ได้หากไม่ได้รับความยินยอมจากเจ้าของข้อมูล โดยให้ความโปร่งใสต่อข้อมูลส่วนบุคคลและอำนาจในการควบคุมข้อมูลของตัวเอง ไม่ว่าจะเป็น การเปิดเผย ลบ เพิ่มเติม หรือเปลี่ยนแปลง

สหภาพยุโรปเปิดเผยเกี่ยวกับการใช้งาน Microsoft 365 ว่ามีการละเมิด GDPR หลายประการ เนื่องจากสถาบันในสหภาพยุโรปต้องเผชิญกับปัญหาที่เกี่ยวกับตำแหน่งของข้อมูล การถ่ายโอนข้อมูลระหว่างประเทศ และความเสี่ยงของการเปิดเผยข้อมูลโดยมิชอบด้วยกฎหมาย พวกเขาไม่สามารถควบคุมตำแหน่งของข้อมูลส่วนใหญ่ที่ประมวลผลโดย Microsoft และไม่สามารถควบคุมสิ่งที่ถ่ายโอนออกไปได้ ขาดการป้องกันที่เหมาะสมของ EU/EEA สถาบันในสหภาพยุโรปยังไม่มั่นใจเกี่ยวกับการปกป้องเอกสิทธิ์และความคุ้มกันของพวกเขา และไม่สามารถมั่นใจได้ว่า Microsoft จะไม่เปิดเผยข้อมูลส่วนบุคคลตามกฎหมาย GDPR ของสหภาพยุโรป

วิธีแก้ไขที่เป็นไปได้คือ การสร้างข้อตกลงกับผู้ดูแลผลประโยชน์ในท้องถิ่น (local) ซึ่งเป็นผู้ดำเนินการในประเทศนั้น ๆ ทำให้ซอฟต์แวร์อยู่ในเขตอำนาจศาลของประเทศตัวเอง แต่จะขัดแย้งกับความสามารถในการควบคุมและตัดสินใจด้วยตัวเองได้ทั้งหมด ซึ่งเป็นจุดประสงค์ของอำนาจอธิปไตย

“มีเพียงเสรีภาพในการตรวจสอบ ดัดแปลง ใช้งาน และแบ่งปันเทคโนโลยีพื้นฐานเท่านั้นที่มอบอำนาจอธิปไตยในแง่ของการพึ่งพาตนเอง”*

*Burwell, F.G. & Propp, K. (2022). Digital sovereignty in practice: The EU’s push to shape the new global economy. Atlantic Council.

เมื่อสร้างบริการดิจิทัลบนโครงสร้างพื้นฐาน บริการดังกล่าวจะใช้ประโยชน์จากอินเทอร์เฟซ ความสามารถด้านระบบอัตโนมัติ (automation) และบริการระดับสูงจากโครงสร้างพื้นฐาน เพื่อให้การพัฒนาและการดำเนินงานเป็นไปอย่างมีประสิทธิภาพ ทำให้บริการที่พัฒนาขึ้นนี้ถูกผูกอยู่กับผู้ให้บริการโครงสร้างพื้นฐานรายเดิมอยู่เสมอ

การพึ่งพาโครงสร้างในลักษณะเช่นนี้ทำให้การย้ายบริการไปยังโครงสร้างพื้นฐานอื่น ๆ ยุ่งยาก นอกจากนี้ ค่าใช้จ่ายในการย้ายข้อมูลอาจกลายเป็นอุปสรรค และส่งผลกระทบที่ทำให้เกิดอุปสรรคต่อการย้ายไปใช้งานบริการที่อื่น สิ่งนี้สามารถแก้ไขได้หลายวิธี ในกรณีที่ดีที่สุด อินเทอร์เฟซทั้งหมด รวมถึงความสามารถด้านการทำงานอัตโนมัติ และบริการระดับสูงทั้งหมดต้องได้รับการกำหนดมาตรฐานอย่างดี และสามารถนำไปใช้ได้โดยอิสระจากโซลูชันซอฟต์แวร์และผู้ให้บริการโครงสร้างพื้นฐานที่หลากหลาย นี่เป็นกรณีของซอฟต์แวร์ open standard และ open source

ในกรณีที่ไม่มี open standard และการใช้งานแบบ open source แม้ว่าจะมีผู้ให้บริการให้เลือกเพียงพอ ก็ยังต้องพึ่งพิง (dependence) ผู้ให้บริการซอฟต์แวร์

ในกรณีนี้ เราจะไม่สนใจฮาร์ดแวร์ และจะโฟกัสซอฟต์แวร์เพียงอย่างเดียว ในบริบทดั้งเดิม (traditional) เช่น ศูนย์ข้อมูล ฮาร์ดแวร์เปรียบเสมือนสินค้าโภคภัณฑ์ (commodity) ที่พร้อมให้ผู้ใช้งานมีอิสรภาพในการเลือก อย่างไรก็ตาม ในขอบเขตของซอฟต์แวร์ สิทธิ์การใช้งานที่มีกรรมสิทธิ์และการถูกผูกกับผู้ให้บริการ (vendor lock-in effect) ของผู้จำหน่ายนั้นขัดแย้งกับการมีความสามารถในการควบคุมโครงสร้างพื้นฐานนี้ได้ในท้ายที่สุด

“การเคลื่อนไหวของ open source ทำให้โลกมีแนวทางใหม่ในการพัฒนาซอฟต์แวร์”* ดังที่ Dirk Riehle ชี้ให้เห็นอย่างถูกต้องในคำกล่าวของเราที่ว่า “การเพิ่มขึ้นของ open source อย่างไม่หยุดยั้ง”* open source คือ "วิธีการพัฒนาซอฟต์แวร์ที่ควบคุมพลังของการตรวจสอบโดยผู้อื่นแบบกระจายด้วยกระบวนการที่โปร่งใส คำมั่นสัญญาของ open source คือ คุณภาพที่ดีขึ้น ความน่าเชื่อถือที่สูงขึ้น ความยืดหยุ่นที่มากขึ้น ต้นทุนที่ต่ำลง และยุติการถูกผูกขาดโดยผู้ขาย”*

*ผู้เขียนแปลจาก Zelke F. (Ed.). (2022). Digital Sovereignty. The Cloud Report, p.p.1-55.

*The Cloud Report.

*เรื่องเดียวกัน

นี่คือจุดสำคัญของซอฟต์แวร์ open source สำหรับการบรรลุอำนาจอธิปไตยทางดิจิทัลและความสามารถในการตัดสินใจด้วยตัวเองนั้นชัดเจน แม้ว่าจะได้รับความไว้วางใจในระดับสูง แต่ซอฟต์แวร์ open source สามารถตรวจสอบโดยผู้อื่นได้ตลอดเวลาอย่างโปร่งใส เทคโนโลยีนี้ไม่ได้ขึ้นอยู่กับผู้ให้บริการเทคโนโลยีรายเดียว การอัปเดตความปลอดภัยสามารถจัดทำโดยชุมชนที่จัดตั้งขึ้น หรือมีคนที่เชี่ยวชาญมาร่วมพัฒนาให้มีความเหมาะสม

เสรีภาพในการตรวจสอบ ดัดแปลง ใช้งาน และแบ่งปันเทคโนโลยีพื้นฐานเท่านั้นที่มอบอำนาจอธิปไตยในแง่ของการตัดสินใจด้วยตัวเอง จากมุมมองเชิงกลยุทธ์ในแง่ของอำนาจอธิปไตยทางดิจิทัล การรักษาเสรีภาพเหล่านี้ต้องการมากกว่าแค่ใบอนุญาตที่เกี่ยวข้อง

รูปที่ 1 : Open Infrastructure Foundation จาก https://jamescole.info/design/oif-branding

โครงสร้างที่สำคัญเชิงกลยุทธ์ควรได้รับการสนับสนุนอย่างจริงจังโดยคอมมิวนิตี้ที่เปิดกว้างและพัฒนาซอฟต์แวร์ตามหลักการของ four opens ได้แก่ open source, open development, open community และ open design โดยตัวอย่างคอมมิวนิตี้ที่ยึดถือแนวทางนี้มาอย่างยาวนานมากกว่า 10 ปี คือ OpenInfra Foundation ซึ่งจากเดิมคือ OpenStack Community

ในอีกด้านหนึ่ง open source ต้องใช้ทักษะและความรู้ที่แท้จริงจึงจะสามารถฝึกฝนและพึ่งพาตัวเองได้ อย่างไรก็ตาม แม้ว่า open source จะทำให้เกิดการสร้างทักษะ แต่ความรู้ที่จำเป็นอาจกลายเป็นอุปสรรคต่อการใช้งานซอฟต์แวร์ดังกล่าว

ซอฟต์แวร์ใดก็ตาม แม้จะเป็นซอฟต์แวร์ที่ดีที่สุด หากผู้ใช้งานไม่สามารถใช้งานได้อย่างชำนาญก็ไร้ประโยชน์ แต่การใช้งานจนเชี่ยวชาญนี้จะเกิดขึ้นได้ก็ต่อเมื่อมีการเสริมสร้างทักษะความรู้ ส่งเสริม และรักษาไว้ ตลาดมีการแข่งขันสูงขึ้น ทำให้องค์กรต้องการบุคลากรที่มีทักษะและระบบไอทีที่ซับซ้อนมากขึ้น ข้อเท็จจริงนี้กำลังกลายเป็นความท้าทายที่ยิ่งใหญ่สำหรับหน่วยงานภาครัฐ สถาบัน และบริษัทต่าง ๆ ว่าจะนำเสนอดิจิทัลด้วยวิธีที่กำหนดด้วยตัวเอง ปลอดภัย และมีคุณภาพดีเยี่ยมได้อย่างไร

เมื่อพิจารณาจากทั้งสี่ด้านแล้ว จะพบว่า แทบจะเป็นไปไม่ได้เลยที่ทุกองค์กร ไม่ว่าเอกชนหรือรัฐบาล จะมี “อำนาจอธิปไตยทางดิจิทัล” หากต้องการมี digital sovereignty ทุกองค์กรต้องมีการพัฒนาคลาวด์เป็นของตัวเอง โดยมีทีมใช้งานและควบคุมเองทั้งหมด ซึ่งไม่ใช่สิ่งที่จะเป็นไปได้ในอนาคตอันใกล้ อย่างน้อยก็ 3-5 ปีข้างหน้า คำถามต่อมาคือ จุดที่ควรจะเป็นคืออะไร?

บทบาทที่สำคัญและอย่างน้อยทุกองค์กรควรจะมี คือ อธิปไตยของข้อมูล (data sovereignty) ซึ่งหมายความถึงอิสรภาพส่วนบุคคล บริษัท และผู้มีอำนาจจะต้องควบคุมข้อมูลของพวกเขาได้ตลอดเวลา สิ่งนี้มีข้อกำหนดอยู่ 2 อย่าง ได้แก่

1. พวกเขาต้องมีอำนาจควบคุมแต่เพียงผู้เดียวว่าใครสามารถเข้าถึงข้อมูลได้
2. พวกเขาต้องมีตัวเลือก หากต้องการหรือจำเป็นที่จะต้องย้ายข้อมูลไปยังระบบอื่นได้อย่างง่ายดายทุกเมื่อ

ดังนั้น หากมองในมุมนี้แล้ว จะพบว่า การใช้งานคลาวด์โครงสร้างพื้นฐานของต่างประเทศ (global cloud) ไม่ว่าในสหรัฐฯ หรือจีน โดยที่ไม่สามารถควบคุมการไหลเวียนของข้อมูลได้ ย่อมถือว่าองค์กรนั้นไม่มี data sovereignty เลย หากองค์กรไม่สามารถปฏิบัติตามเงื่อนไขเหล่านี้ได้ องค์กรจะไม่สามารถปกป้องพื้นฐานทางธุรกิจของตัวเองได้ และบริษัทต่าง ๆ ก็จะไม่สามารถป้องกันการสูญเสียความลับและทรัพย์สินทางปัญญาได้ทั้งหมด ซึ่งในกรณีร้ายแรงก็อาจเป็นอันตรายต่อความมั่นคงขององค์กร ในมุมของหน่วยงานของรัฐ กรณีที่เลวร้ายที่สุดคือการก่อให้เกิดวิกฤตการณ์สาธารณะ ทั้งหมดนี้คือสิ่งที่สามารถเกิดขึ้นได้ทุกเมื่อ และแม้ว่าขณะนี้จะมองว่าเป็นเรื่องเล็กน้อย แต่ผลลัพธ์ก็อาจเลวร้ายมากจนเกินกว่าจะคาดถึง

เฉพาะองค์กรที่สามารถปฏิบัติตามข้อบังคับด้านการคุ้มครองข้อมูล เช่น GDPR ในสหภาพยุโรป หรือ PDPA ในประเทศไทย เท่านั้นที่สามารถปกป้องสิทธิ์ของพนักงาน ลูกค้า และพลเมืองด้วยความสามารถของตัวเอง โดยให้ข้อมูลและหลีกเลี่ยงการถูกปรับขั้นรุนแรง ตลอดจนทำให้องค์กรต่าง ๆ รอดพ้นจากผลกระทบจากการถูก vendor lock-in เบ็ดเสร็จ

ด้วยเทคโนโลยีที่เหมาะสม บริษัทและหน่วยงานของรัฐสามารถบรรลุอำนาจอธิปไตยของข้อมูลที่ไม่ถูกจำกัด โดยระบบซอฟต์แวร์จะต้องมีคุณสมบัติที่สำคัญ 3 ประการ

1. ไม่ควรทำงานบน public cloud บริการ public cloud หากใช้งานของต่างประเทศ เปรียบได้กับกล่องดำที่ไม่สามารถติดตามได้ว่าใครสามารถเข้าถึงข้อมูลบ้าง Cloud Act ของสหรัฐฯ ก็มีปัญหาเช่นกัน กฎหมายนี้อนุญาตให้ทางการสหรัฐฯ เข้าถึงข้อมูลได้ค่อนข้างง่าย ดังนั้น ผู้ประกอบการจึงควรเลือกระบบซอฟต์แวร์ที่สามารถทำงานใน private cloud ได้ ทั้งในศูนย์ข้อมูลของตนเองหรือกับผู้ให้บริการด้านไอทีที่เชื่อถือได้ตามต้องการ จะทำให้สามารถควบคุมการไหลเวียนของข้อมูลได้อย่างเต็มที่

2. ระบบซอฟต์แวร์ควรรองรับ open standard โดยทุกคนสามารถเข้าถึงได้และอนุญาตให้แบ่งปันข้อมูลทุกประเภทอย่างอิสระโดยไม่มีการแก้ไข หากซอฟต์แวร์รองรับมาตรฐานดังกล่าว ก็จะสามารถทำงานร่วมกันได้ และสามารถทำงานร่วมกับซอฟต์แวร์ที่อื่นและระบบจากผู้จำหน่ายรายอื่นที่ใช้แนวทางเดียวกันได้อย่างง่ายดาย สิ่งนี้ทำให้บริษัทและเจ้าหน้าที่มีอิสระในการเปลี่ยนซอฟต์แวร์สำหรับโซลูชันทางเลือกได้ตลอดเวลา เพราะพวกเขาสามารถถ่ายโอนข้อมูลได้โดยไม่มีอุปสรรคใด ๆ

3. ระบบซอฟต์แวร์ควรขึ้นอยู่กับ open source ซอฟต์แวร์ open source เป็นผู้รับประกันอำนาจอธิปไตยของข้อมูล (data sovereignty) และอำนาจอธิปไตยทางดิจิทัล (digital sovereignty) นำเสนอความโปร่งใส การควบคุม และการเปิดกว้าง ทำให้องค์กรสามารถจัดการข้อมูลในลักษณะที่กำหนดด้วยตัวเอง ผู้ใช้งานจะเห็นได้ด้วยตัวเองว่าในรหัส (code) ซอฟต์แวร์ว่าไม่มีการ backdoor ใด ๆ ที่ข้อมูลสามารถไหลไปยังบุคคลที่สามโดยไม่มีใครสังเกตเห็น

นอกจากนี้ เนื่องจาก source code สามารถตรวจสอบและแก้ไขได้ บริษัทและหน่วยงานรัฐบาลจึงสามารถค้นหาและแก้ไขช่องโหว่ได้ด้วยตนเองก่อนที่จะถูกโจมตีโดยผู้ประสงค์ร้าย ตรงกันข้ามกับโซลูชัน open source ซึ่งแตกต่างจากซอฟต์แวร์ที่เป็นกรรมสิทธิ์ซึ่งมักจะไม่ขึ้นกับแพลตฟอร์ม อิสระในการเลือกฮาร์ดแวร์และผู้ให้บริการจึงมีมากขึ้นอย่างมาก

การทำงานขององค์กรในปัจจุบันควรเป็น private cloud มาตรฐานเปิด และใช้งาน open source คุณสมบัติทั้งสามประการนี้จะช่วยให้องค์กรต่าง ๆ สามารถออกแบบพื้นที่ส่วนกลางของการดำเนินงานประจำวันในลักษณะที่มีอำนาจอธิปไตยของข้อมูลได้ เช่น พื้นที่ทำงานดิจิทัลของพนักงาน เป็นต้น ทางเลือก open source มีมานานแล้วสำหรับแอปพลิเคชันทุกประเภท โซลูชันทั้งหมดนี้สามารถดำเนินการโดยองค์กรในรูปแบบ private cloud นอกจากนี้ ยังมีอินเทอร์เฟซแบบเปิด (open interface) ที่ทันสมัย เปิดใช้งานการผสานรวม และอนุญาตให้แต่ละแอปพลิเคชันแลกเปลี่ยนได้ตลอดเวลาหากจำเป็น

ด้วยวิธีนี้ บริษัทและหน่วยงานของรัฐสามารถสร้างพื้นที่ทำงานที่เป็นเอกเทศได้ และไม่จำเป็นต้องเจรจาต่อรองในแง่ของประสิทธิภาพและขอบเขตการทำงาน

อย่างไรก็ตาม การที่จะให้ทุกองค์กรมี private cloud ของตัวเอง การใช้งานมาตรฐานแบบเปิด open standard และ ใช้งานเฉพาะ open source เป็นเรื่องที่แทบจะเป็นไปไม่ได้อีกเช่นกัน สิ่งที่องค์กรต้องคำนึงสำหรับการใช้งาน private cloud นั้นไม่ใช่เพียงแค่เรื่องต้นทุนที่สูงเท่านั้น แต่ยังต้องมีทีมทำงานเบื้องหลังด้วย รวมถึงต้นทุนแอบแฝงต่าง ๆ อาทิ ค่าพนักงาน ค่าบริการศูนย์ข้อมูล ค่าแอร์ ค่าน้ำ ค่าไฟ และอื่น ๆ ระยะเวลาการใช้งาน ซึ่งต่างจากการใช้งาน public cloud เป็นอย่างมาก อนึ่ง การมี open standard และบังคับให้ทุกคนอยู่ในมาตรฐานเดียวกันก็ยังถือว่าเป็นไปได้ยากในปัจจุบัน และสุดท้าย การจะสร้างเทคโนโลยีจาก open source ถือเป็นเรื่องที่ต้องใช้เวลาในการทำการวิจัยและพัฒนาเป็นเวลานานกว่าจะสำเร็จ

รูปที่ 2 : Personal Data Protection Act (PDPA)

หากสถานการณ์ปัจจุบันเป็นเช่นนี้ ผู้นำองค์กรควรจะต้องตัดสินใจอย่างไร และอะไรคือจุดที่เหมาะสมสำหรับผู้ประกอบการ ในมุมมองของผู้เขียนในปัจจุบันนั้น หากมองในมุมของความปลอดภัยและความมั่นใจแล้ว ควรใช้งานผู้ให้บริการคลาวด์ที่อยู่ในประเทศเสียก่อน เนื่องจากอย่างน้อยองค์กรเหล่านี้ก็ยังอยู่ภายใต้กฎหมาย PDPA และสามารถตรวจจับความเคลื่อนไหวของข้อมูลได้ เนื่องจากอยู่ภายในประเทศ นี่จึงเป็นบทบาทสำคัญของ local cloud provider หรือผู้ให้บริการคลาวด์ในประเทศ

ในบทความนี้ เราได้เจาะลึกว่า digital sovereignty ในแง่มุมต่าง ๆ ทั้งในมุมของกฎหมาย การมีอิสระในการเลือกใช้เทคโนโลยี และความสามารถในการแข่งขันว่ามีอะไรบ้าง ที่จะทำให้องค์กรมี digital sovereignty อย่างแท้จริงตามที่สหภาพยุโรปพยายามผลักดัน และจุดที่เหมาะสมในการพยายามสร้างสมดุลทั้งในแง่มุมของความสามารถในการปรับใช้เทคโนโลยีและความต้องการใช้เทคโนโลยี

ในบทความ EP สุดท้ายจะสรุปสถานการณ์ในประเทศไทยและแนวคิดของผู้เขียนหลังจากได้ทำการศึกษาเรื่อง digital sovereignty อย่างแท้จริง

Burwell, F.G. & Propp, K. (2022). Digital sovereignty in practice: The EU’s push to shape the new global economy. Atlantic Council. https://www.atlanticcouncil.org/wp-content/uploads/2022/11/Digital-sovereignty-in-practice-The-EUs-push-to-shape-the-new-global-economy_.pdf

Zelke F. (Ed.). (2022). Digital Sovereignty. The Cloud Report, p.p.1-55.