วิทย์-เทคโนโลยี

Data Localization คืออะไร ยุโรปทำจริง ไทยทำได้ไหม

เจาะแนวคิด Data Localization ความต่างจาก Data Residency และ Sovereignty พร้อมวิเคราะห์ว่าทำไมยุโรปเอาจริง และไทยภายใต้ PDPA ทำได้แค่ไหน

Data Localization คืออะไร ยุโรปทำจริง ไทยทำได้ไหม

Data localization คืออะไร และต่างจาก Data residency กับ Data sovereignty อย่างไร

Data localization คือข้อกำหนดทางกฎหมายที่บังคับให้ข้อมูลต้องถูกจัดเก็บและอยู่ภายในเขตแดนของประเทศที่เก็บรวบรวมข้อมูลนั้น และห้ามโอนออกนอกประเทศ ความเข้มงวดของแนวคิดนี้สูงกว่าคำที่มักถูกใช้สลับกันอีกสองคำ คือ Data residency และ Data sovereignty

Data residency หมายถึงสถานที่ตั้งทางกายภาพหรือทางภูมิศาสตร์ที่ข้อมูลถูกจัดเก็บและประมวลผล เป็นเพียงการกำหนดว่าข้อมูล "อยู่ที่ไหน" ขณะที่ Data localization เป็นข้อกำหนดที่เข้มงวดกว่า โดยบังคับว่าข้อมูลต้องคงอยู่ในเขตแดนหนึ่ง และห้ามโอนออกไปนอกพื้นที่นั้น

ส่วน Data sovereignty คือแนวคิดที่ว่าข้อมูลดิจิทัลต้องอยู่ภายใต้กฎหมายและโครงสร้างการกำกับดูแลของประเทศที่ข้อมูลถูกจัดเก็บ ความแตกต่างนี้สำคัญในทางปฏิบัติ เพราะองค์กรหนึ่งอาจปฏิบัติตามข้อกำหนดเรื่องที่ตั้งข้อมูลครบทุกข้อบนกระดาษ แต่ยังคงมีความเสี่ยงเชิงโครงสร้างที่รัฐบาลต่างชาติจะเข้าถึงข้อมูลได้อยู่ดี

ทำไมยุโรปจึงเอาจริงกับเรื่องนี้

กรอบกฎหมายหลักของยุโรปคือ GDPR ซึ่งยืนยันเขตอำนาจเหนือข้อมูลส่วนบุคคลของผู้พำนักในสหภาพยุโรป ไม่ว่าข้อมูลนั้นจะถูกประมวลผลที่ใด แม้ GDPR จะไม่ได้บังคับให้เก็บข้อมูลในยุโรปโดยตรง แต่การห้ามโอนข้อมูลไปยังประเทศที่ขาดมาตรฐานการคุ้มครองที่ "เพียงพอ" (adequacy) ทำให้เกิดสภาวะอธิปไตยทางข้อมูลโดยพฤตินัย

แรงกดดันจากกฎหมายเฉพาะภาคส่วน

นอกจาก GDPR ยุโรปยังมีกฎหมายเฉพาะภาคส่วนที่เพิ่มความเข้มงวดขึ้น เช่น NIS 2 Directive ที่มีผลบังคับใช้ในเดือนตุลาคม 2567 ครอบคลุมภาคส่วนสำคัญอย่างพลังงาน การขนส่ง ธนาคาร สาธารณสุข และโครงสร้างพื้นฐานดิจิทัล โดยกำหนดให้องค์กรต้องประเมินความเสี่ยงด้านความมั่นคงปลอดภัยตลอดห่วงโซ่อุปทาน รวมถึงสถานะอธิปไตยของผู้ให้บริการคลาวด์ บทลงโทษสูงสุดอยู่ที่ 10 ล้านยูโร หรือร้อยละ 2 ของรายได้รวมทั่วโลก

ขณะที่ DORA ซึ่งบังคับใช้ตั้งแต่เดือนมกราคม 2568 สำหรับภาคบริการการเงิน กำหนดให้สัญญากับผู้ให้บริการ ICT ต้องระบุเรื่องอธิปไตยข้อมูลและการเข้ารหัสอย่างชัดเจน

แรงกดดันเชิงภูมิรัฐศาสตร์

ปัจจัยที่ทำให้ยุโรปเร่งดำเนินการคือการพึ่งพาเทคโนโลยีต่างชาติในระดับสูง มีการประเมินว่าตลาดโครงสร้างพื้นฐานคลาวด์ของยุโรปราวร้อยละ 97 ถูกครอบงำโดยผู้ให้บริการที่ไม่ใช่สัญชาติยุโรป ทั้งจากสหรัฐฯ และจีน ความกังวลหลักคือกฎหมายอย่าง US CLOUD Act ที่อาจบังคับให้ผู้ให้บริการสัญชาติอเมริกันส่งมอบข้อมูลแก่รัฐบาลสหรัฐฯ ได้ แม้ข้อมูลนั้นจะถูกเก็บอยู่ในยุโรปก็ตาม

ในปี 2568 ยุโรปจึงเดินหน้าจากการใช้อิทธิพลเชิงกฎหมายไปสู่การยืนยันความเป็นอิสระทางเทคโนโลยี ผ่านความริเริ่มอย่างกรอบ EuroStack ที่ตั้งเป้าลดการพึ่งพาเทคโนโลยีต่างชาติ ขณะที่ค่าปรับสะสมภายใต้ GDPR ปัจจุบันทะลุ 7.1 พันล้านยูโรแล้ว โดยค่าปรับครั้งใหญ่ที่สุดคือกรณี Meta ที่ถูกปรับ 1.2 พันล้านยูโรจากการโอนข้อมูลระหว่างยุโรปกับสหรัฐฯ โดยไม่ชอบด้วยกฎหมาย

สถานะของไทย ทำได้ไหมในทางกฎหมายและโครงสร้าง

ไทยมีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งบังคับใช้เต็มฉบับตั้งแต่วันที่ 1 มิถุนายน 2565 โดยมีโครงสร้างหลายส่วนที่อ้างอิงแนวคิดจาก GDPR เช่น สิทธิของเจ้าของข้อมูล หลักความชอบด้วยกฎหมายในการประมวลผล และการแจ้งวัตถุประสงค์

อย่างไรก็ตาม PDPA ของไทยไม่ได้กำหนดเรื่อง data localization แบบบังคับให้เก็บข้อมูลในประเทศเหมือนกฎหมายของบางประเทศ เช่น กฎหมาย PIPL ของจีนที่บังคับให้ข้อมูลบางประเภทต้องเก็บภายในประเทศ หรือกฎหมายของรัสเซีย โครงสร้างของ PDPA เน้นที่การคุ้มครองสิทธิและการกำกับการโอนข้อมูลข้ามพรมแดน มากกว่าการตรึงข้อมูลไว้ในเขตแดน

ความท้าทายเชิงโครงสร้างพื้นฐาน

หากไทยจะเดินตามแนวทางยุโรป ความท้าทายสำคัญคือการพึ่งพาผู้ให้บริการคลาวด์ต่างชาติเช่นเดียวกับยุโรป การบังคับ localization โดยไม่มีโครงสร้างพื้นฐานคลาวด์ภายในประเทศที่เพียงพอ อาจสร้างต้นทุนสูงและกระทบความสามารถในการแข่งขัน โดยเฉพาะกับธุรกิจขนาดเล็ก ข้อมูลจากยุโรปชี้ว่าต้นทุนการปฏิบัติตามกฎด้านที่ตั้งข้อมูลคิดเป็นสัดส่วนสูงในงบประมาณการปฏิบัติตาม GDPR ของบริษัทขนาดกลาง

ความท้าทายเชิงความสามารถในการกำกับดูแล

การบังคับใช้ data localization ต้องอาศัยกลไกการตรวจสอบทางเทคนิคที่เข้มงวด ไม่ใช่เพียงข้อผูกพันในสัญญา ประสบการณ์จากยุโรปหลังคดี Schrems II ชี้ว่ามาตรการต้องเป็นการควบคุมระดับโครงสร้างพื้นฐาน เช่น geofencing ที่ทำให้ข้อมูลไม่สามารถออกนอกพื้นที่ได้ในเชิงเทคนิค ซึ่งต้องใช้ทั้งความพร้อมด้านกฎหมายและขีดความสามารถของหน่วยงานกำกับดูแล

ไทยควรมองเรื่องนี้อย่างไร

สำหรับผู้ที่ค้นหาว่าไทยทำ data localization ได้หรือไม่ คำตอบคือทำได้ในเชิงหลักการ แต่ต้องชั่งน้ำหนักระหว่างเป้าหมายด้านอธิปไตยข้อมูลกับต้นทุนทางเศรษฐกิจและความพร้อมของโครงสร้างพื้นฐาน บทเรียนจากยุโรปแสดงให้เห็นว่า การมีกฎหมายอย่างเดียวไม่เพียงพอ หากไม่มีทั้งโครงสร้างพื้นฐานคลาวด์ภายในประเทศและกลไกบังคับใช้เชิงเทคนิครองรับ แนวทางที่สมเหตุสมผลกว่าสำหรับไทยในระยะนี้ อาจเป็นการเสริมความเข้มแข็งของการกำกับการโอนข้อมูลข้ามพรมแดนภายใต้ PDPA ควบคู่กับการพัฒนาขีดความสามารถด้านคลาวด์ในประเทศ ก่อนพิจารณาบังคับ localization เต็มรูปแบบ

 

บทความที่เกี่ยวข้อง