Data localization คืออะไร และต่างจาก Data residency กับ Data sovereignty อย่างไร
Data localization คือข้อกำหนดทางกฎหมายที่บังคับให้ข้อมูลต้องถูกจัดเก็บและอยู่ภายในเขตแดนของประเทศที่เก็บรวบรวมข้อมูลนั้น และห้ามโอนออกนอกประเทศ ความเข้มงวดของแนวคิดนี้สูงกว่าคำที่มักถูกใช้สลับกันอีกสองคำ คือ Data residency และ Data sovereignty
Data residency หมายถึงสถานที่ตั้งทางกายภาพหรือทางภูมิศาสตร์ที่ข้อมูลถูกจัดเก็บและประมวลผล เป็นเพียงการกำหนดว่าข้อมูล "อยู่ที่ไหน" ขณะที่ Data localization เป็นข้อกำหนดที่เข้มงวดกว่า โดยบังคับว่าข้อมูลต้องคงอยู่ในเขตแดนหนึ่ง และห้ามโอนออกไปนอกพื้นที่นั้น
ส่วน Data sovereignty คือแนวคิดที่ว่าข้อมูลดิจิทัลต้องอยู่ภายใต้กฎหมายและโครงสร้างการกำกับดูแลของประเทศที่ข้อมูลถูกจัดเก็บ ความแตกต่างนี้สำคัญในทางปฏิบัติ เพราะองค์กรหนึ่งอาจปฏิบัติตามข้อกำหนดเรื่องที่ตั้งข้อมูลครบทุกข้อบนกระดาษ แต่ยังคงมีความเสี่ยงเชิงโครงสร้างที่รัฐบาลต่างชาติจะเข้าถึงข้อมูลได้อยู่ดี
ทำไมยุโรปจึงเอาจริงกับเรื่องนี้
กรอบกฎหมายหลักของยุโรปคือ GDPR ซึ่งยืนยันเขตอำนาจเหนือข้อมูลส่วนบุคคลของผู้พำนักในสหภาพยุโรป ไม่ว่าข้อมูลนั้นจะถูกประมวลผลที่ใด แม้ GDPR จะไม่ได้บังคับให้เก็บข้อมูลในยุโรปโดยตรง แต่การห้ามโอนข้อมูลไปยังประเทศที่ขาดมาตรฐานการคุ้มครองที่ "เพียงพอ" (adequacy) ทำให้เกิดสภาวะอธิปไตยทางข้อมูลโดยพฤตินัย
แรงกดดันจากกฎหมายเฉพาะภาคส่วน
นอกจาก GDPR ยุโรปยังมีกฎหมายเฉพาะภาคส่วนที่เพิ่มความเข้มงวดขึ้น เช่น NIS 2 Directive ที่มีผลบังคับใช้ในเดือนตุลาคม 2567 ครอบคลุมภาคส่วนสำคัญอย่างพลังงาน การขนส่ง ธนาคาร สาธารณสุข และโครงสร้างพื้นฐานดิจิทัล โดยกำหนดให้องค์กรต้องประเมินความเสี่ยงด้านความมั่นคงปลอดภัยตลอดห่วงโซ่อุปทาน รวมถึงสถานะอธิปไตยของผู้ให้บริการคลาวด์ บทลงโทษสูงสุดอยู่ที่ 10 ล้านยูโร หรือร้อยละ 2 ของรายได้รวมทั่วโลก
ขณะที่ DORA ซึ่งบังคับใช้ตั้งแต่เดือนมกราคม 2568 สำหรับภาคบริการการเงิน กำหนดให้สัญญากับผู้ให้บริการ ICT ต้องระบุเรื่องอธิปไตยข้อมูลและการเข้ารหัสอย่างชัดเจน
แรงกดดันเชิงภูมิรัฐศาสตร์
ปัจจัยที่ทำให้ยุโรปเร่งดำเนินการคือการพึ่งพาเทคโนโลยีต่างชาติในระดับสูง มีการประเมินว่าตลาดโครงสร้างพื้นฐานคลาวด์ของยุโรปราวร้อยละ 97 ถูกครอบงำโดยผู้ให้บริการที่ไม่ใช่สัญชาติยุโรป ทั้งจากสหรัฐฯ และจีน ความกังวลหลักคือกฎหมายอย่าง US CLOUD Act ที่อาจบังคับให้ผู้ให้บริการสัญชาติอเมริกันส่งมอบข้อมูลแก่รัฐบาลสหรัฐฯ ได้ แม้ข้อมูลนั้นจะถูกเก็บอยู่ในยุโรปก็ตาม
ในปี 2568 ยุโรปจึงเดินหน้าจากการใช้อิทธิพลเชิงกฎหมายไปสู่การยืนยันความเป็นอิสระทางเทคโนโลยี ผ่านความริเริ่มอย่างกรอบ EuroStack ที่ตั้งเป้าลดการพึ่งพาเทคโนโลยีต่างชาติ ขณะที่ค่าปรับสะสมภายใต้ GDPR ปัจจุบันทะลุ 7.1 พันล้านยูโรแล้ว โดยค่าปรับครั้งใหญ่ที่สุดคือกรณี Meta ที่ถูกปรับ 1.2 พันล้านยูโรจากการโอนข้อมูลระหว่างยุโรปกับสหรัฐฯ โดยไม่ชอบด้วยกฎหมาย
สถานะของไทย ทำได้ไหมในทางกฎหมายและโครงสร้าง
ไทยมีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งบังคับใช้เต็มฉบับตั้งแต่วันที่ 1 มิถุนายน 2565 โดยมีโครงสร้างหลายส่วนที่อ้างอิงแนวคิดจาก GDPR เช่น สิทธิของเจ้าของข้อมูล หลักความชอบด้วยกฎหมายในการประมวลผล และการแจ้งวัตถุประสงค์
อย่างไรก็ตาม PDPA ของไทยไม่ได้กำหนดเรื่อง data localization แบบบังคับให้เก็บข้อมูลในประเทศเหมือนกฎหมายของบางประเทศ เช่น กฎหมาย PIPL ของจีนที่บังคับให้ข้อมูลบางประเภทต้องเก็บภายในประเทศ หรือกฎหมายของรัสเซีย โครงสร้างของ PDPA เน้นที่การคุ้มครองสิทธิและการกำกับการโอนข้อมูลข้ามพรมแดน มากกว่าการตรึงข้อมูลไว้ในเขตแดน
ความท้าทายเชิงโครงสร้างพื้นฐาน
หากไทยจะเดินตามแนวทางยุโรป ความท้าทายสำคัญคือการพึ่งพาผู้ให้บริการคลาวด์ต่างชาติเช่นเดียวกับยุโรป การบังคับ localization โดยไม่มีโครงสร้างพื้นฐานคลาวด์ภายในประเทศที่เพียงพอ อาจสร้างต้นทุนสูงและกระทบความสามารถในการแข่งขัน โดยเฉพาะกับธุรกิจขนาดเล็ก ข้อมูลจากยุโรปชี้ว่าต้นทุนการปฏิบัติตามกฎด้านที่ตั้งข้อมูลคิดเป็นสัดส่วนสูงในงบประมาณการปฏิบัติตาม GDPR ของบริษัทขนาดกลาง
ความท้าทายเชิงความสามารถในการกำกับดูแล
การบังคับใช้ data localization ต้องอาศัยกลไกการตรวจสอบทางเทคนิคที่เข้มงวด ไม่ใช่เพียงข้อผูกพันในสัญญา ประสบการณ์จากยุโรปหลังคดี Schrems II ชี้ว่ามาตรการต้องเป็นการควบคุมระดับโครงสร้างพื้นฐาน เช่น geofencing ที่ทำให้ข้อมูลไม่สามารถออกนอกพื้นที่ได้ในเชิงเทคนิค ซึ่งต้องใช้ทั้งความพร้อมด้านกฎหมายและขีดความสามารถของหน่วยงานกำกับดูแล
ไทยควรมองเรื่องนี้อย่างไร
สำหรับผู้ที่ค้นหาว่าไทยทำ data localization ได้หรือไม่ คำตอบคือทำได้ในเชิงหลักการ แต่ต้องชั่งน้ำหนักระหว่างเป้าหมายด้านอธิปไตยข้อมูลกับต้นทุนทางเศรษฐกิจและความพร้อมของโครงสร้างพื้นฐาน บทเรียนจากยุโรปแสดงให้เห็นว่า การมีกฎหมายอย่างเดียวไม่เพียงพอ หากไม่มีทั้งโครงสร้างพื้นฐานคลาวด์ภายในประเทศและกลไกบังคับใช้เชิงเทคนิครองรับ แนวทางที่สมเหตุสมผลกว่าสำหรับไทยในระยะนี้ อาจเป็นการเสริมความเข้มแข็งของการกำกับการโอนข้อมูลข้ามพรมแดนภายใต้ PDPA ควบคู่กับการพัฒนาขีดความสามารถด้านคลาวด์ในประเทศ ก่อนพิจารณาบังคับ localization เต็มรูปแบบ
