Digital Sovereignty EP3: What’s Next for Global Technology-based Competition?
Table of Contents
- Digital Sovereignty ในมุมมองทางกฎหมาย
- Digital Sovereignty ในมุมมองของเสรีภาพในการเลือก (Freedon of Choice)
- Digital Sovereignty ในมุมมองด้านเทคโนโลยี
- Digital Sovereignty ในมุมมองด้านความรู้ความสามารถ (Competency)
- จุดที่เหมาะสมสำหรับ Digital Sovereignty อยู่ที่ไหน?
- ปัจจัยสำคัญสำหรับ Data Sovereignty
- อ้างอิง
จากบทความ Digital Sovereignty EP2: Does Regulation Hit the Target or Miss the Point? ในบทความนี้ เราจะเจาะลึก digital sovereignty ในแง่มุมต่าง ๆ ทั้งในมุมของกฎหมาย การมีอิสระในการเลือกใช้เทคโนโลยี และความสามารถในการแข่งขันว่ามีอะไรบ้าง ที่จะทำให้องค์กรมี digital sovereignty อย่างแท้จริงตามที่สหภาพยุโรปพยายามผลักดัน และจุดที่เหมาะสมในปัจจุบันว่าคือตรงไหนที่มีความเป็นไปได้มากที่สุดในปัจจุบัน
Digital Sovereignty ในมุมมองทางกฎหมาย
แนวคิดของ "อำนาจอธิปไตยทางดิจิทัล" ในทางกฎหมาย หมายถึง ความสามารถของสังคมในการสร้างและรักษามาตรฐานสำหรับโซลูชันดิจิทัล กฎหมาย GDPR มีสาระสำคัญ คือ บริษัทที่จัดเก็บและจัดการข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปจะต้องเพิ่มมาตรการปกป้องข้อมูลต่าง ๆ เพื่อควบคุมการเก็บรวบรวม ใช้ เปิดเผย ประมวลผล และลบข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ เพื่อปกป้องเสรีภาพของบุคคล การนำข้อมูลส่วนบุคคลไม่ให้สามารถนำไปใช้งานในเชิงพาณิชย์ได้หากไม่ได้รับความยินยอมจากเจ้าของข้อมูล โดยให้ความโปร่งใสต่อข้อมูลส่วนบุคคลและอำนาจในการควบคุมข้อมูลของตัวเอง ไม่ว่าจะเป็น การเปิดเผย ลบ เพิ่มเติม หรือเปลี่ยนแปลง
สหภาพยุโรปเปิดเผยเกี่ยวกับการใช้งาน Microsoft 365 ว่ามีการละเมิด GDPR หลายประการ เนื่องจากสถาบันในสหภาพยุโรปต้องเผชิญกับปัญหาที่เกี่ยวกับตำแหน่งของข้อมูล การถ่ายโอนข้อมูลระหว่างประเทศ และความเสี่ยงของการเปิดเผยข้อมูลโดยมิชอบด้วยกฎหมาย พวกเขาไม่สามารถควบคุมตำแหน่งของข้อมูลส่วนใหญ่ที่ประมวลผลโดย Microsoft และไม่สามารถควบคุมสิ่งที่ถ่ายโอนออกไปได้ ขาดการป้องกันที่เหมาะสมของ EU/EEA สถาบันในสหภาพยุโรปยังไม่มั่นใจเกี่ยวกับการปกป้องเอกสิทธิ์และความคุ้มกันของพวกเขา และไม่สามารถมั่นใจได้ว่า Microsoft จะไม่เปิดเผยข้อมูลส่วนบุคคลตามกฎหมาย GDPR ของสหภาพยุโรป
วิธีแก้ไขที่เป็นไปได้คือ การสร้างข้อตกลงกับผู้ดูแลผลประโยชน์ในท้องถิ่น (local) ซึ่งเป็นผู้ดำเนินการในประเทศนั้น ๆ ทำให้ซอฟต์แวร์อยู่ในเขตอำนาจศาลของประเทศตัวเอง แต่จะขัดแย้งกับความสามารถในการควบคุมและตัดสินใจด้วยตัวเองได้ทั้งหมด ซึ่งเป็นจุดประสงค์ของอำนาจอธิปไตย
“มีเพียงเสรีภาพในการตรวจสอบ ดัดแปลง ใช้งาน และแบ่งปันเทคโนโลยีพื้นฐานเท่านั้นที่มอบอำนาจอธิปไตยในแง่ของการพึ่งพาตนเอง”*
*Burwell, F.G. & Propp, K. (2022). Digital sovereignty in practice: The EU’s push to shape the new global economy. Atlantic Council.
Digital Sovereignty ในมุมมองของเสรีภาพในการเลือก (Freedon of Choice)
เมื่อสร้างบริการดิจิทัลบนโครงสร้างพื้นฐาน บริการดังกล่าวจะใช้ประโยชน์จากอินเทอร์เฟซ ความสามารถด้านระบบอัตโนมัติ (automation) และบริการระดับสูงจากโครงสร้างพื้นฐาน เพื่อให้การพัฒนาและการดำเนินงานเป็นไปอย่างมีประสิทธิภาพ ทำให้บริการที่พัฒนาขึ้นนี้ถูกผูกอยู่กับผู้ให้บริการโครงสร้างพื้นฐานรายเดิมอยู่เสมอ
การพึ่งพาโครงสร้างในลักษณะเช่นนี้ทำให้การย้ายบริการไปยังโครงสร้างพื้นฐานอื่น ๆ ยุ่งยาก นอกจากนี้ ค่าใช้จ่ายในการย้ายข้อมูลอาจกลายเป็นอุปสรรค และส่งผลกระทบที่ทำให้เกิดอุปสรรคต่อการย้ายไปใช้งานบริการที่อื่น สิ่งนี้สามารถแก้ไขได้หลายวิธี ในกรณีที่ดีที่สุด อินเทอร์เฟซทั้งหมด รวมถึงความสามารถด้านการทำงานอัตโนมัติ และบริการระดับสูงทั้งหมดต้องได้รับการกำหนดมาตรฐานอย่างดี และสามารถนำไปใช้ได้โดยอิสระจากโซลูชันซอฟต์แวร์และผู้ให้บริการโครงสร้างพื้นฐานที่หลากหลาย นี่เป็นกรณีของซอฟต์แวร์ open standard และ open source
ในกรณีที่ไม่มี open standard และการใช้งานแบบ open source แม้ว่าจะมีผู้ให้บริการให้เลือกเพียงพอ ก็ยังต้องพึ่งพิง (dependence) ผู้ให้บริการซอฟต์แวร์
Digital Sovereignty ในมุมมองด้านเทคโนโลยี
ในกรณีนี้ เราจะไม่สนใจฮาร์ดแวร์ และจะโฟกัสซอฟต์แวร์เพียงอย่างเดียว ในบริบทดั้งเดิม (traditional) เช่น ศูนย์ข้อมูล ฮาร์ดแวร์เปรียบเสมือนสินค้าโภคภัณฑ์ (commodity) ที่พร้อมให้ผู้ใช้งานมีอิสรภาพในการเลือก อย่างไรก็ตาม ในขอบเขตของซอฟต์แวร์ สิทธิ์การใช้งานที่มีกรรมสิทธิ์และการถูกผูกกับผู้ให้บริการ (vendor lock-in effect) ของผู้จำหน่ายนั้นขัดแย้งกับการมีความสามารถในการควบคุมโครงสร้างพื้นฐานนี้ได้ในท้ายที่สุด
“การเคลื่อนไหวของ open source ทำให้โลกมีแนวทางใหม่ในการพัฒนาซอฟต์แวร์”* ดังที่ Dirk Riehle ชี้ให้เห็นอย่างถูกต้องในคำกล่าวของเราที่ว่า “การเพิ่มขึ้นของ open source อย่างไม่หยุดยั้ง”* open source คือ "วิธีการพัฒนาซอฟต์แวร์ที่ควบคุมพลังของการตรวจสอบโดยผู้อื่นแบบกระจายด้วยกระบวนการที่โปร่งใส คำมั่นสัญญาของ open source คือ คุณภาพที่ดีขึ้น ความน่าเชื่อถือที่สูงขึ้น ความยืดหยุ่นที่มากขึ้น ต้นทุนที่ต่ำลง และยุติการถูกผูกขาดโดยผู้ขาย”*
*ผู้เขียนแปลจาก Zelke F. (Ed.). (2022). Digital Sovereignty. The Cloud Report, p.p.1-55.
*The Cloud Report.
*เรื่องเดียวกัน
นี่คือจุดสำคัญของซอฟต์แวร์ open source สำหรับการบรรลุอำนาจอธิปไตยทางดิจิทัลและความสามารถในการตัดสินใจด้วยตัวเองนั้นชัดเจน แม้ว่าจะได้รับความไว้วางใจในระดับสูง แต่ซอฟต์แวร์ open source สามารถตรวจสอบโดยผู้อื่นได้ตลอดเวลาอย่างโปร่งใส เทคโนโลยีนี้ไม่ได้ขึ้นอยู่กับผู้ให้บริการเทคโนโลยีรายเดียว การอัปเดตความปลอดภัยสามารถจัดทำโดยชุมชนที่จัดตั้งขึ้น หรือมีคนที่เชี่ยวชาญมาร่วมพัฒนาให้มีความเหมาะสม
เสรีภาพในการตรวจสอบ ดัดแปลง ใช้งาน และแบ่งปันเทคโนโลยีพื้นฐานเท่านั้นที่มอบอำนาจอธิปไตยในแง่ของการตัดสินใจด้วยตัวเอง จากมุมมองเชิงกลยุทธ์ในแง่ของอำนาจอธิปไตยทางดิจิทัล การรักษาเสรีภาพเหล่านี้ต้องการมากกว่าแค่ใบอนุญาตที่เกี่ยวข้อง
รูปที่ 1 : Open Infrastructure Foundation จาก https://jamescole.info/design/oif-branding
โครงสร้างที่สำคัญเชิงกลยุทธ์ควรได้รับการสนับสนุนอย่างจริงจังโดยคอมมิวนิตี้ที่เปิดกว้างและพัฒนาซอฟต์แวร์ตามหลักการของ four opens ได้แก่ open source, open development, open community และ open design โดยตัวอย่างคอมมิวนิตี้ที่ยึดถือแนวทางนี้มาอย่างยาวนานมากกว่า 10 ปี คือ OpenInfra Foundation ซึ่งจากเดิมคือ OpenStack Community
ในอีกด้านหนึ่ง open source ต้องใช้ทักษะและความรู้ที่แท้จริงจึงจะสามารถฝึกฝนและพึ่งพาตัวเองได้ อย่างไรก็ตาม แม้ว่า open source จะทำให้เกิดการสร้างทักษะ แต่ความรู้ที่จำเป็นอาจกลายเป็นอุปสรรคต่อการใช้งานซอฟต์แวร์ดังกล่าว
Digital Sovereignty ในมุมมองด้านความรู้ความสามารถ (Competency)
ซอฟต์แวร์ใดก็ตาม แม้จะเป็นซอฟต์แวร์ที่ดีที่สุด หากผู้ใช้งานไม่สามารถใช้งานได้อย่างชำนาญก็ไร้ประโยชน์ แต่การใช้งานจนเชี่ยวชาญนี้จะเกิดขึ้นได้ก็ต่อเมื่อมีการเสริมสร้างทักษะความรู้ ส่งเสริม และรักษาไว้ ตลาดมีการแข่งขันสูงขึ้น ทำให้องค์กรต้องการบุคลากรที่มีทักษะและระบบไอทีที่ซับซ้อนมากขึ้น ข้อเท็จจริงนี้กำลังกลายเป็นความท้าทายที่ยิ่งใหญ่สำหรับหน่วยงานภาครัฐ สถาบัน และบริษัทต่าง ๆ ว่าจะนำเสนอดิจิทัลด้วยวิธีที่กำหนดด้วยตัวเอง ปลอดภัย และมีคุณภาพดีเยี่ยมได้อย่างไร
จุดที่เหมาะสมสำหรับ Digital Sovereignty อยู่ที่ไหน?
เมื่อพิจารณาจากทั้งสี่ด้านแล้ว จะพบว่า แทบจะเป็นไปไม่ได้เลยที่ทุกองค์กร ไม่ว่าเอกชนหรือรัฐบาล จะมี “อำนาจอธิปไตยทางดิจิทัล” หากต้องการมี digital sovereignty ทุกองค์กรต้องมีการพัฒนาคลาวด์เป็นของตัวเอง โดยมีทีมใช้งานและควบคุมเองทั้งหมด ซึ่งไม่ใช่สิ่งที่จะเป็นไปได้ในอนาคตอันใกล้ อย่างน้อยก็ 3-5 ปีข้างหน้า คำถามต่อมาคือ จุดที่ควรจะเป็นคืออะไร?
บทบาทที่สำคัญและอย่างน้อยทุกองค์กรควรจะมี คือ อธิปไตยของข้อมูล (data sovereignty) ซึ่งหมายความถึงอิสรภาพส่วนบุคคล บริษัท และผู้มีอำนาจจะต้องควบคุมข้อมูลของพวกเขาได้ตลอดเวลา สิ่งนี้มีข้อกำหนดอยู่ 2 อย่าง ได้แก่
- พวกเขาต้องมีอำนาจควบคุมแต่เพียงผู้เดียวว่าใครสามารถเข้าถึงข้อมูลได้
- พวกเขาต้องมีตัวเลือก หากต้องการหรือจำเป็นที่จะต้องย้ายข้อมูลไปยังระบบอื่นได้อย่างง่ายดายทุกเมื่อ
ดังนั้น หากมองในมุมนี้แล้ว จะพบว่า การใช้งานคลาวด์โครงสร้างพื้นฐานของต่างประเทศ (global cloud) ไม่ว่าในสหรัฐฯ หรือจีน โดยที่ไม่สามารถควบคุมการไหลเวียนของข้อมูลได้ ย่อมถือว่าองค์กรนั้นไม่มี data sovereignty เลย หากองค์กรไม่สามารถปฏิบัติตามเงื่อนไขเหล่านี้ได้ องค์กรจะไม่สามารถปกป้องพื้นฐานทางธุรกิจของตัวเองได้ และบริษัทต่าง ๆ ก็จะไม่สามารถป้องกันการสูญเสียความลับและทรัพย์สินทางปัญญาได้ทั้งหมด ซึ่งในกรณีร้ายแรงก็อาจเป็นอันตรายต่อความมั่นคงขององค์กร ในมุมของหน่วยงานของรัฐ กรณีที่เลวร้ายที่สุดคือการก่อให้เกิดวิกฤตการณ์สาธารณะ ทั้งหมดนี้คือสิ่งที่สามารถเกิดขึ้นได้ทุกเมื่อ และแม้ว่าขณะนี้จะมองว่าเป็นเรื่องเล็กน้อย แต่ผลลัพธ์ก็อาจเลวร้ายมากจนเกินกว่าจะคาดถึง
เฉพาะองค์กรที่สามารถปฏิบัติตามข้อบังคับด้านการคุ้มครองข้อมูล เช่น GDPR ในสหภาพยุโรป หรือ PDPA ในประเทศไทย เท่านั้นที่สามารถปกป้องสิทธิ์ของพนักงาน ลูกค้า และพลเมืองด้วยความสามารถของตัวเอง โดยให้ข้อมูลและหลีกเลี่ยงการถูกปรับขั้นรุนแรง ตลอดจนทำให้องค์กรต่าง ๆ รอดพ้นจากผลกระทบจากการถูก vendor lock-in เบ็ดเสร็จ
ปัจจัยสำคัญสำหรับ Data Sovereignty
ด้วยเทคโนโลยีที่เหมาะสม บริษัทและหน่วยงานของรัฐสามารถบรรลุอำนาจอธิปไตยของข้อมูลที่ไม่ถูกจำกัด โดยระบบซอฟต์แวร์จะต้องมีคุณสมบัติที่สำคัญ 3 ประการ
ไม่ควรทำงานบน public cloud บริการ public cloud หากใช้งานของต่างประเทศ เปรียบได้กับกล่องดำที่ไม่สามารถติดตามได้ว่าใครสามารถเข้าถึงข้อมูลบ้าง Cloud Act ของสหรัฐฯ ก็มีปัญหาเช่นกัน กฎหมายนี้อนุญาตให้ทางการสหรัฐฯ เข้าถึงข้อมูลได้ค่อนข้างง่าย ดังนั้น ผู้ประกอบการจึงควรเลือกระบบซอฟต์แวร์ที่สามารถทำงานใน private cloud ได้ ทั้งในศูนย์ข้อมูลของตนเองหรือกับผู้ให้บริการด้านไอทีที่เชื่อถือได้ตามต้องการ จะทำให้สามารถควบคุมการไหลเวียนของข้อมูลได้อย่างเต็มที่
ระบบซอฟต์แวร์ควรรองรับ open standard โดยทุกคนสามารถเข้าถึงได้และอนุญาตให้แบ่งปันข้อมูลทุกประเภทอย่างอิสระโดยไม่มีการแก้ไข หากซอฟต์แวร์รองรับมาตรฐานดังกล่าว ก็จะสามารถทำงานร่วมกันได้ และสามารถทำงานร่วมกับซอฟต์แวร์ที่อื่นและระบบจากผู้จำหน่ายรายอื่นที่ใช้แนวทางเดียวกันได้อย่างง่ายดาย สิ่งนี้ทำให้บริษัทและเจ้าหน้าที่มีอิสระในการเปลี่ยนซอฟต์แวร์สำหรับโซลูชันทางเลือกได้ตลอดเวลา เพราะพวกเขาสามารถถ่ายโอนข้อมูลได้โดยไม่มีอุปสรรคใด ๆ
ระบบซอฟต์แวร์ควรขึ้นอยู่กับ open source ซอฟต์แวร์ open source เป็นผู้รับประกันอำนาจอธิปไตยของข้อมูล (data sovereignty) และอำนาจอธิปไตยทางดิจิทัล (digital sovereignty) นำเสนอความโปร่งใส การควบคุม และการเปิดกว้าง ทำให้องค์กรสามารถจัดการข้อมูลในลักษณะที่กำหนดด้วยตัวเอง ผู้ใช้งานจะเห็นได้ด้วยตัวเองว่าในรหัส (code) ซอฟต์แวร์ว่าไม่มีการ backdoor ใด ๆ ที่ข้อมูลสามารถไหลไปยังบุคคลที่สามโดยไม่มีใครสังเกตเห็น
นอกจากนี้ เนื่องจาก source code สามารถตรวจสอบและแก้ไขได้ บริษัทและหน่วยงานรัฐบาลจึงสามารถค้นหาและแก้ไขช่องโหว่ได้ด้วยตนเองก่อนที่จะถูกโจมตีโดยผู้ประสงค์ร้าย ตรงกันข้ามกับโซลูชัน open source ซึ่งแตกต่างจากซอฟต์แวร์ที่เป็นกรรมสิทธิ์ซึ่งมักจะไม่ขึ้นกับแพลตฟอร์ม อิสระในการเลือกฮาร์ดแวร์และผู้ให้บริการจึงมีมากขึ้นอย่างมาก
การทำงานขององค์กรในปัจจุบันควรเป็น private cloud มาตรฐานเปิด และใช้งาน open source คุณสมบัติทั้งสามประการนี้จะช่วยให้องค์กรต่าง ๆ สามารถออกแบบพื้นที่ส่วนกลางของการดำเนินงานประจำวันในลักษณะที่มีอำนาจอธิปไตยของข้อมูลได้ เช่น พื้นที่ทำงานดิจิทัลของพนักงาน เป็นต้น ทางเลือก open source มีมานานแล้วสำหรับแอปพลิเคชันทุกประเภท โซลูชันทั้งหมดนี้สามารถดำเนินการโดยองค์กรในรูปแบบ private cloud นอกจากนี้ ยังมีอินเทอร์เฟซแบบเปิด (open interface) ที่ทันสมัย เปิดใช้งานการผสานรวม และอนุญาตให้แต่ละแอปพลิเคชันแลกเปลี่ยนได้ตลอดเวลาหากจำเป็น
ด้วยวิธีนี้ บริษัทและหน่วยงานของรัฐสามารถสร้างพื้นที่ทำงานที่เป็นเอกเทศได้ และไม่จำเป็นต้องเจรจาต่อรองในแง่ของประสิทธิภาพและขอบเขตการทำงาน
อย่างไรก็ตาม การที่จะให้ทุกองค์กรมี private cloud ของตัวเอง การใช้งานมาตรฐานแบบเปิด open standard และ ใช้งานเฉพาะ open source เป็นเรื่องที่แทบจะเป็นไปไม่ได้อีกเช่นกัน สิ่งที่องค์กรต้องคำนึงสำหรับการใช้งาน private cloud นั้นไม่ใช่เพียงแค่เรื่องต้นทุนที่สูงเท่านั้น แต่ยังต้องมีทีมทำงานเบื้องหลังด้วย รวมถึงต้นทุนแอบแฝงต่าง ๆ อาทิ ค่าพนักงาน ค่าบริการศูนย์ข้อมูล ค่าแอร์ ค่าน้ำ ค่าไฟ และอื่น ๆ ระยะเวลาการใช้งาน ซึ่งต่างจากการใช้งาน public cloud เป็นอย่างมาก อนึ่ง การมี open standard และบังคับให้ทุกคนอยู่ในมาตรฐานเดียวกันก็ยังถือว่าเป็นไปได้ยากในปัจจุบัน และสุดท้าย การจะสร้างเทคโนโลยีจาก open source ถือเป็นเรื่องที่ต้องใช้เวลาในการทำการวิจัยและพัฒนาเป็นเวลานานกว่าจะสำเร็จ
รูปที่ 2 : Personal Data Protection Act (PDPA)
หากสถานการณ์ปัจจุบันเป็นเช่นนี้ ผู้นำองค์กรควรจะต้องตัดสินใจอย่างไร และอะไรคือจุดที่เหมาะสมสำหรับผู้ประกอบการ ในมุมมองของผู้เขียนในปัจจุบันนั้น หากมองในมุมของความปลอดภัยและความมั่นใจแล้ว ควรใช้งานผู้ให้บริการคลาวด์ที่อยู่ในประเทศเสียก่อน เนื่องจากอย่างน้อยองค์กรเหล่านี้ก็ยังอยู่ภายใต้กฎหมาย PDPA และสามารถตรวจจับความเคลื่อนไหวของข้อมูลได้ เนื่องจากอยู่ภายในประเทศ นี่จึงเป็นบทบาทสำคัญของ local cloud provider หรือผู้ให้บริการคลาวด์ในประเทศ
ในบทความนี้ เราได้เจาะลึกว่า digital sovereignty ในแง่มุมต่าง ๆ ทั้งในมุมของกฎหมาย การมีอิสระในการเลือกใช้เทคโนโลยี และความสามารถในการแข่งขันว่ามีอะไรบ้าง ที่จะทำให้องค์กรมี digital sovereignty อย่างแท้จริงตามที่สหภาพยุโรปพยายามผลักดัน และจุดที่เหมาะสมในการพยายามสร้างสมดุลทั้งในแง่มุมของความสามารถในการปรับใช้เทคโนโลยีและความต้องการใช้เทคโนโลยี
ในบทความ EP สุดท้ายจะสรุปสถานการณ์ในประเทศไทยและแนวคิดของผู้เขียนหลังจากได้ทำการศึกษาเรื่อง digital sovereignty อย่างแท้จริง
อ้างอิง
Burwell, F.G. & Propp, K. (2022). Digital sovereignty in practice: The EU’s push to shape the new global economy. Atlantic Council. https://www.atlanticcouncil.org/wp-content/uploads/2022/11/Digital-sovereignty-in-practice-The-EUs-push-to-shape-the-new-global-economy_.pdf
Zelke F. (Ed.). (2022). Digital Sovereignty. The Cloud Report, p.p.1-55.
I'm interested in learning new things, especially business and investment.