Digital Sovereignty EP4: Thailand’s Situation and our Perspective
จากบทความ Digital Sovereignty EP3: What’s Next for Global Technology-based Competition? ที่ได้กล่าวถึงมุมมองในด้านต่าง ๆ ที่ digital sovereignty ส่งผลกระทบ ใน EP นี้ เราจะสรุปสถานการณ์ในประเทศไทยและแนวคิดของผู้เขียนหลังจากได้ทำการศึกษาเรื่อง Digital sovereignty อย่างแท้จริง
ปัจจุบัน สถานการณ์ในไทยเป็นอย่างไร?
หากเรามองย้อนกลับมาในมุมของประเทศไทย แม้ว่าวิกฤตโควิด-19 ที่เป็นตัวเร่งการทำ digital transformation ได้จบลงไปแล้ว แต่ก็ได้ทิ้งร่องรอยบางอย่างของการย้ายปริมาณงาน (workload) เอาไว้ เนื่องจากขณะเกิดวิกฤต ทุกคนต่างรีบเร่งย้ายปริมาณงานขึ้นระบบคลาวด์ ซึ่งเจ้าตลาดอย่าง AWS, Microsoft และ Google ก็เป็นตัวเลือกที่ได้รับความนิยมสูงโดยที่ยังไม่ได้คำนึงถึงผลกระทบหลังจากนั้นอย่างถี่ถ้วน นอกจากจะต้องพบกับต้นทุนที่สูงแล้ว เรื่องที่สำคัญไม่แพ้กัน คือ ความเป็นเจ้าของข้อมูลและความปลอดภัย
สถานการณ์ของประเทศไทยมีความคล้ายคลึงกับสหภาพยุโรป คือ เป็นผู้รับเทคโนโลยีจากสหรัฐอเมริกาและจีน แม้ว่าจะมีการออกกฎหมาย PDPA โดยมีต้นแบบมาจาก GDPR ของยุโรปแล้ว แต่การบังคับใช้มีความเข้มงวดต่างจากกฎหมาย GDPR เป็นอย่างมาก โดยอย่างแรกคือเรื่องของบทลงโทษ
GDPR ระบุว่า สำหรับการละเมิดขั้นรุนแรง โดยเฉพาะอย่างยิ่ง ในมาตรา 83(5) มีกรอบการปรับสูงถึง 20 ล้านยูโร หรือคิดเป็นมูลค่าสูงถึง 740 ล้านบาท หรือ 4 เปอร์เซ็นต์ของมูลค่าการซื้อขายทั่วโลกของปีงบประมาณก่อนหน้า แล้วแต่จำนวนใดจะสูงกว่า และแม้กระทั่งรายการของการละเมิดที่รุนแรงน้อยกว่าในมาตรา 83(4) GDPR กำหนดค่าปรับสูงถึง 10 ล้านยูโร หรือ 2 เปอร์เซ็นต์ของมูลค่าการซื้อขายทั่วโลกของปีงบประมาณก่อนหน้า แล้วแต่ว่าจำนวนใดจะสูงกว่า
ในส่วนของ PDPA จะมีการลงโทษทั้งทางอาญาแพ่งและปกครอง โดยอ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยโทษอาญา ได้แก่ จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ โทษทางแพ่ง ได้แก่ ค่าสินไหมทดแทนและค่าสินไหมทดแทนเพื่อการลงโทษอีกไม่เกิน 2 เท่า และสุดท้าย โทษทางการปกครอง คือ ปรับไม่เกิน 5 ล้านบาท ซึ่งถ้าดูในจำนวนเงินก็ถือว่าน้อยกว่า GDPR มากเลยทีเดียว
ข้อแตกต่างต่อมาระหว่าง PDPA และ GDPR คือ PDPA ต้องมีผู้แจ้งความเข้ามาก่อนถึงจะดำเนินการตรวจสอบทางกฎหมาย แต่ในส่วนของ GDPR จะมีคณะกรรมการในการดำเนินการตรวจสอบอยู่ตลอดเวลา โดยที่เจ้าของข้อมูลส่วนบุคคลไม่จำเป็นต้องแจ้งความเข้าไป
และสุดท้าย สำหรับประเทศไทย การโอนข้อมูลไปต่างประเทศก็ยังติดเครื่องหมายคำถามอยู่ว่าเราสามารถส่งและโอนข้อมูลไปประเทศใดได้บ้าง และผู้ให้บริการรับฝากหรือประมวลผลข้อมูลต้องมีมาตรฐานมากขนาดไหน เนื่องจาก ณ ปัจจุบันยังไม่มีประกาศที่ชัดเจนจากทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ว่าประเทศใดมีรายชื่อใน whitelist ที่ PDPA ให้การยอมรับ และสามารถส่งหรือโอนข้อมูลออกได้
แม้ว่าจะมีการประกาศบังคับใช้และมีการจัดตั้งคณะกรรมการเป็นที่เรียบร้อยแล้ว แต่ต้องยอมรับว่าในยุคปัจจุบัน ข้อมูลส่วนบุคคลถือเป็นเรื่องใหม่ และคนส่วนมากยังไม่ได้เข้าใจหลักเกณฑ์หรือกฎหมายมากนัก รวมถึงบุคลากรบุคลากรที่จะมาดูแลรักษาข้อมูลส่วนบุคคลภายในองค์กร (Data Protection Officer: DPO) ทำให้การบังคับใช้กฎหมายยังคงเป็นเรื่องยากในปัจจุบัน
อย่างไรก็ตาม แม้แต่กฎหมายที่มีพัฒนาการมากที่สุดอย่าง GDPR ก็ยังพบปัญหาว่าไม่สามารถควบคุมการไหลเวียนข้อมูลได้ทั้งหมด ตัวอย่างเช่น กรณีศึกษาของ Microsoft ที่ได้กล่าวไว้ในบทความตอนต้น ทำให้เรามองเห็นบทบาทของผู้ให้บริการคลาวด์ท้องถิ่น (local cloud) ที่อยู่ในอาณาเขตประเทศไทยในปัจจุบัน แน่นอนว่าเราสามารถติดตามการรั่วไหลข้อมูลของเราได้ง่ายกว่าการที่เราไปอยู่ต่างประเทศ หากเกิดการรั่วไหลก็สามารถแจ้งความดำเนินคดีได้ง่ายกว่า แต่หากข้อมูลของเรารั่วไหลที่ต่างประเทศนั้น การจะดำเนินคดีก็มีความยากลำบาก มีต้นทุนที่สูงกว่า และกินเวลานานกว่ามาก
นอกจากนี้ ยังมีกรณีศึกษาจากที่เอ็ดเวิร์ด สโนว์เดน เปิดเผยการสอดแนมจากทางการสหรัฐฯ แม้จะผ่านกฎหมาย PDPA ซึ่งจะมีการประกาศถึง whitelist อย่างเป็นทางการในอนาคต แต่จะก็ยังมีประเด็นว่า หากไม่รู้ว่าข้อมูลมีการรั่วไหลก็ไม่ผิดกฎหมาย เนื่องจากวิธีการบังคับใช้กฎหมายในปัจจุบันยังไม่เข้มงวดมากเพียงพอ
ทรรศนะของผู้เขียนต่อสถานการณ์ในไทย
หากมองจากภัยในโลกดิจิทัล ทั้งในกรณีของประเทศไทยที่มีแฮ็กเกอร์ 9Near แฮ็กข้อมูลคนไทย 55 ล้านรายชื่อ ซึ่ง ณ วันที่ผู้เขียนจัดทำบทความนั้นการดำเนินคดียังไม่ถึงที่สิ้นสุด รวมถึงกรณีที่อดีตพนักงาน Tesla ออกมาแฉว่า พนักงานของบริษัทสามารถเข้าถึงกล้องที่ถูกติดตั้งอยู่ภายในรถของลูกค้า และยังเคยนำภาพพฤติกรรมส่วนตัวของลูกค้ามานินทากันอย่างสนุกปาก ทำให้เห็นว่า โลกของอินเทอร์เน็ตที่ถือกำเนิดขึ้นมาประมาณ 30 ปี ก็อาจจะยังถือว่าเติบโตไม่เต็มที่มากนัก
อย่างไรก็ตาม อินเทอร์เน็ตได้ทำให้การดำเนินชีวิตของมนุษย์ง่ายขึ้นอย่างเห็นได้ชัดหลายประการ โดยเฉพาะเทคโนโลยีสารสนเทศที่ช่วยให้เราติดต่อกันได้ง่ายมากขึ้น แต่เมื่อมีข้อดีก็ย่อมมีข้อเสียแฝงอยู่ อินเทอร์เน็ตก็เช่นกัน การที่เราติดต่อสื่อสารกันง่ายขึ้นหมายความว่าข้อมูลส่วนบุคคลของเราอยู่บนโลกอินเทอร์เน็ตเพิ่มมากขึ้น และก็ย่อมเสี่ยงที่จะรั่วไหลและถูกใช้ในทางมิชอบได้เช่นเดียวกัน
หากเราทุกคนใช้งานอินเทอร์เน็ตเพื่อวัตถุประสงค์ที่ควร เช่น การติดต่อสื่อสาร หรือการใช้เพื่อค้นหาข้อมูล ก็ย่อมเป็นประโยชน์ต่อเราทุกคน แต่หากนำไปใช้ในทางมิชอบ เช่น การเรียกค่าไถ่ หรือการเก็บภาพจากอุปกรณ์ต่าง ๆ โดยที่เจ้าของข้อมูลไม่รู้ตัว ก็ย่อมเป็นภัยต่อมนุษย์ แน่นอนว่ากฎหมายต่าง ๆ ที่ทำหน้าที่เป็นกรอบในการปฏิบัติก็ยังต้องพัฒนาตามเทคโนโลยีใหม่ ๆ เพื่อให้เท่าทันกับเหตุการณ์ในปัจจุบันและลดปัญหาความวุ่นวายที่จะเกิดขึ้นในอนาคต
จากสถานการณ์ในไทยที่ได้ศึกษามาและกล่าวไว้ข้างต้น ผู้เขียนมองว่า ประเทศไทยต้องใช้เวลาอีกอย่างน้อย 3-5 ปีในการพัฒนาและบังคับใช้กฎหมาย รวมถึงการเผยแพร่ข้อมูลและสร้างบุคลากรในด้านการคุ้มครองข้อมูลส่วนบุคคล และในอนาคต digital sovereignty จะเป็นเรื่องที่คนไทยให้ความสำคัญมากเพียงใด ก็เป็นเรื่องที่ต้องให้เวลาเป็นเครื่องพิสูจน์ อย่างไรก็ตาม ผู้เขียนค่อนข้างสนับสนุนให้ประเทศไทยมี digital sovereignty เนื่องจากสามารถดำเนินการต่าง ๆ ได้รวดเร็ว ไม่ต้องติดต่อกับองค์กรต่างชาติ และมีความคล่องตัว ทั้งนี้ ข้อมูลข้างต้นเป็นเพียงความเห็นส่วนตัวของผู้เขียนเท่านั้น และยังไม่มีตัวอย่างที่ชัดเจนว่าในกลุ่มประเทศที่ไม่ได้มีความโดดเด่นในเรื่องเทคโนโลยีควรจะต้องวางตัวหรือมีการกำหนดกฎเกณฑ์อย่างไร
อย่างน้อยที่สุด ผู้เขียนมองว่า หากประเทศไทยต้องการจะก้าวสู่เศรษฐกิจดิจิทัลและได้รับประโยชน์อย่างเต็มที่ โครงสร้างพื้นฐานทางดิจิทัลเป็นสิ่งที่สำคัญอย่างมาก ไม่ว่าจะเป็นเรื่องของการวิจัยและพัฒนา (R&D) เทคโนโลยีใหม่ ๆ หรือเรื่องของค่าส่งข้อมูลที่เราไม่สามารถควบคุมได้ ซึ่งหากเรามีโครงสร้างพื้นฐานทางดิจิทัลเป็นของตัวเองแล้ว ก็จะสามารถมีพื้นที่ในการทดลอง (sandbox) ที่มีต้นทุนไม่สูง ช่วยให้มีคนกล้าเข้ามาทดลองและทดสอบความคิดตัวเองมากขึ้น
นอกจากนี้ หากเราเปรียบเทียบกับโครงสร้างพื้นฐานทางกายภาพ (physical infrastructure) ก็ไม่มีประเทศไหนที่ประชากรภายในประเทศต้องจ่ายเงินในการใช้ถนน ทางเดิน หรือสวนสาธารณะให้ต่างประเทศ เช่นเดียวกันกับโครงสร้างพื้นฐานทางดิจิทัล (digital infrastructure) ทำไมเราจึงจำเป็นต้องกังวลเกี่ยวกับต้นทุนในการส่งข้อมูลระหว่างประเทศ ซึ่งเป็นสิ่งที่ยากต่อการควบคุม
ผู้เขียนยังมองอีกว่า ข้อมูลส่วนบุคคลเป็นเรื่องที่ค่อนข้างละเอียดอ่อน แต่ละคนอาจให้ความและยินยอมเปิดเผยข้อมูลส่วนบุคคลมาก-น้อยไม่เท่ากัน นอกจากนี้ ในอีกด้านหนึ่งของเหรียญก็ยังต้องมองในมุมของผู้ทำธุรกิจอีกด้วย เนื่องจากในปัจจุบัน การที่ภาคธุรกิจมีการใช้งานข้อมูลส่วนบุคคลเพิ่มขึ้น ไม่ว่าจะเป็นการโฆษณา การขายตรง การวิเคราะห์ตลาด ซึ่งเป็นสิ่งที่ทุกประเทศจะต้องพยายามทำให้เกิดความสมดุลระหว่างความเป็นส่วนตัวของบุคคลและการทำธุรกิจ รวมถึงวิธีการจัดเก็บและตรวจสอบว่าข้อมูลส่วนบุคคลที่ให้ไปนั้นไม่มีการใช้งานที่ผิดวัตถุประสงค์จากที่ตกลงกันไว้ และประเด็นในเรื่องของการเก็บข้อมูลที่ต่างประเทศ เราสามารถติดตามได้ทุกขั้นตอนเลยหรือไม่ และมั่นใจได้แค่ไหนว่าไม่มีการ backdoor โดยที่ไม่รู้ตัว
สุดท้ายนี้ ผู้เขียนขอแบ่งจิ๊กซอว์ทั้งหมดออกเป็น 3 ชิ้นได้แก่ ผู้ใช้บริการคลาวด์ เจ้าของข้อมูลที่แท้จริง ผู้ควบคุมและกำกับกฎหมาย
ในด้านของ ผู้ใช้บริการคลาวด์ สามารถเลือกได้ว่าจะใช้งาน local cloud หรือ global cloud โดยสามารถพิจารณาเลือกได้หลายด้าน ได้แก่ บริการที่ใช้ ความหลากหลายของผลิตภัณฑ์และบริการ ต้นทุน และนโยบายของบริษัทในเรื่องของ digital sovereingnty โดยมีข้อสมมติว่าองค์กรมากกว่า 90 เปอร์เซ็นต์ไม่สามารถสร้าง private cloud ใช้งานได้เอง และต้องใช้งาน public cloud ทำให้ต้องใช้บริการจากที่อื่น ซึ่งในปัจจุบันขึ้นกับองค์กรว่าจะเลือกใช้งานอย่างไรก็ได้ เนื่องจากความคลุมเครือของกฎหมาย PDPA ทำให้สามารถขอความยินยอมจากเจ้าของข้อมูลและสามารถโอนข้อมูลไปต่างประเทศได้ แต่หากมีการประกาศ whitelist ของประเทศที่สามารถโอนข้อมูลไปได้ และสหรัฐฯ กับจีนที่ไม่ได้อยู่ในลิสต์นั้นเช่นเดียวกับ GDPR ก็เป็นความเสี่ยง เนื่องจากการย้ายข้อมูลกลับมาทั้งหมดจะเป็นค่าใช้จ่ายก้อนโตของบริษัท ผู้เขียนจึงมองว่า ผู้ประกอบการควรค่อยๆ ปรับตัวและทยอยส่งข้อมูลกลับมา รวมถึงข้อมูลที่เกิดขึ้นใหม่ก็ให้จัดเก็บและประมวลผลอยู่ในประเทศไทยเพื่อลดความเสี่ยงและสร้างความคุ้นชินให้กับพนักงานของบริษัทไปด้วย ซึ่งเป็นวิธีการที่สามารถช่วยลดต้นทุนและความเสี่ยงได้
เจ้าของข้อมูลที่แท้จริง จิ๊กซอว์ชิ้นนี้ค่อนข้างละเอียดอ่อน เนื่องจากหากทุกคนให้ความสำคัญกับข้อมูลส่วนบุคคล จะทำให้เกิดการตระหนักรู้เป็นวงกว้าง ซึ่งจะส่งผลให้ผู้ประกอบการที่มีข้อมูลส่วนบุคคลเร่งปรับตัวและภาครัฐเร่งออกกฎหมายคุ้มครอง แต่หากคนส่วนมากไม่ได้ให้ความสำคัญก็สามารถตอบได้ว่า digital sovereignty เป็นเรื่องที่ไม่เข้ากับบริบทของประเทศไทยนั่นเอง
ผู้ควบคุมและกำกับกฎหมาย เป็นอีกหนึ่งผู้เล่นที่สำคัญ เนื่องจากเป็นกฎหมายใหม่ที่เกี่ยวกับข้อมูลส่วนบุคคล การสื่อสารและสร้างบุคลากรก็เป็นสิ่งที่ท้าทายไม่ต่างกัน เนื่องจากกฎหมายนี้เป็นกฎหมายที่ประกาศใช้แล้ว แต่ยังมีประเด็นในเรื่องของกฎหมายลูกอยู่ ทำให้การบังคับใช้ยังมีผลกระทบในวงกว้าง ดังนั้น การขยับตัวของผู้ควบคุมและออกกฎหมายก็เป็นสิ่งที่ต้องจับตามองเช่นกัน ไม่ว่าจะเป็น การสื่อสารกับประชาชน การเตรียมพร้อมบุคคลากร และความเด็ดขาดในการใช้กฎหมาย
I'm interested in learning new things, especially business and investment.