คำให้การล่าสุดของผู้อำนวยการฝ่ายกิจการสาธารณะและกฎหมายของ Microsoft France ได้จุดประกายการถ่ายเทอย่างเข้มข้นเกี่ยวกับอำนาจอธิปไตยทางข้อมูลและการเข้าถึงของกฎหมายสหรัฐฯ ในดินแดนต่างประเทศ ในระหว่างการไต่สวนของวุฒิสภา France เมื่อวันที่ 10 มิถุนายน 2025 ตัวแทนของ Microsoft ได้ยอมรับว่าบริษัทไม่สามารถรับประกันการคุ้มครองข้อมูลของพลเมือง France จากคำขอของรัฐบาลสหรัฐฯ แม้ว่าข้อมูลจะถูกเก็บไว้ภายในขอบเขต EU ก็ตาม
การยอมรับนี้มีผลกระทบที่กว้างไกลซึ่งขยายไปไกลกว่า France โดยส่งผลต่อประเทศต่างๆ ทั่วโลกรวมถึง Canada ที่หน่วยงานรัฐบาลและกองกำลังทหารพึ่พาบริการของ Microsoft อย่างมาก
การเข้าถึงทั่วโลกของ CLOUD Act สร้างความกังวลเรื่องอำนาจอธิปไตย
CLOUD Act ของสหรัฐฯ อนุญาตให้หน่วยงาน America บังคับบริษัทเทคโนโลยีที่มีฐานใน US ส่งมอบข้อมูลโดยไม่คำนึงถึงว่าข้อมูลนั้นถูกเก็บไว้ที่ใดในโลก คำให้การของ Microsoft ยืนยันว่ากฎหมายนี้มีอำนาจเหนือกฎระเบียบคุ้มครองข้อมูลระหว่างประเทศและภายในประเทศทั้งหมด ซึ่งหมายความว่าข้อมูลของ Canada ที่เก็บไว้ในเซิร์ฟเวอร์ของ Microsoft ใน Canada ยังคงสามารถถูกเข้าถึงโดยหน่วยงานสหรัฐฯ โดยไม่ต้องได้รับอนุมัติจากรัฐบาล Canada
การเปิดเผยนี้น่าตกใจเป็นพิเศษสำหรับประเทศที่ได้ลงทุนในข้อกำหนดการพำนักข้อมูล โดยเชื่อว่าการเก็บข้อมูลไว้ภายในขอบเขตของตนจะให้การคุ้มครองที่เพียงพอ คำแถลงของ Microsoft ยืนยันอย่างมีประสิทธิภาพว่ามาตรการเหล่านี้ไม่เพียงพอเมื่อต้องจัดการกับบริษัทเทคโนโลยีที่มีฐานใน US
กรอบกฎหมาย:
- US CLOUD Act: อนุญาตให้รัฐบาล US บังคับบริษัทของ US ให้ข้อมูลโดยไม่คำนึงถึงตำแหน่งที่เก็บข้อมูล
- ข้อกำหนดการเก็บข้อมูลในประเทศ: กฎหมายแห่งชาติที่กำหนดให้ข้อมูลบางประเภทต้องเก็บไว้ภายในพรมแดนประเทศ (พิสูจน์แล้วว่าไม่เพียงพอ)
- อำนาจอธิปไตยด้านข้อมูล: สิทธิของประเทศในการควบคุมการเข้าถึงและการเปิดเผยข้อมูลดิจิทัลที่อยู่ภายใต้กฎหมายของตนเองเท่านั้น
ข้อมูลรัฐบาลและทหารตกอยู่ในความเสี่ยง
ผลกระทบขยายไปถึงการดำเนินงานที่ละเอียดอ่อนของรัฐบาล กระทรวงกลาโหม Canada และ Canadian Armed Forces ใช้ Microsoft 365 ผ่านแพลตฟอร์ม Defence 365 ที่เชี่ยวชาญเพื่อการร่วมมือระหว่างหน่วยงาน ภายใต้ CLOUD Act แม้แต่โครงสร้างพื้นฐานที่มุ่งเน้นทหารนี้ก็สามารถตกอยู่ภายใต้คำขอข้อมูลของรัฐบาลสหรัฐฯ ได้ในทางทฤษฎี
การอภิปรายในชุมชนเน้นถึงความท้าทายทางเทคนิคในการป้องกันการเข้าถึงดังกล่าว แม้ว่าบางคนจะแนะนำว่าองค์กร EU ที่แยกต่างหากซึ่งมีการเข้าถึงเฉพาะในท้องถิ่นเท่านั้นสามารถให้การคุ้มครองได้ แต่คนอื่นๆ ชี้ให้เห็นปัญหาพื้นฐาน: สำนักงานใหญ่อาจรักษาการเข้าถึงแบบ backdoor ไปยังระบบต่างประเทศได้ ทำให้การแยกตัวอย่างสมบูรณ์เป็นไปได้ยาก
ผู้เล่นหลักและบริการที่ได้รับผลกระทบ:
- Microsoft 365 และ Defence 365 (เวอร์ชันสำหรับกองทัพ Canadian)
- Amazon Web Services (AWS)
- Google Cloud Platform
- ผู้ให้บริการคลาวด์อื่นๆ ที่มีฐานอยู่ใน US
ตัวเลือกที่จำกัดสำหรับการคุ้มครองข้อมูลที่แท้จริง
ชุมชนเทคโนโลยีได้ระบุว่ามีโซลูชันที่เป็นไปได้น้อยมากสำหรับความท้าทายด้านอำนาจอธิปไตยนี้ การเข้ารหัสที่แข็งแกร่งยังคงเป็นการป้องกันหนึ่ง แต่แม้แต่สิ่งนี้ก็มีข้อจำกัดเมื่อต้องจัดการกับผู้กระทำการของรัฐบาลที่มุ่งมั่น บริษัทบางแห่งได้พยายามสร้างหน่วยงานระหว่างประเทศที่แยกต่างหากซึ่งมีเพียงพนักงานท้องถิ่นเท่านั้นที่มีข้อมูลประจำตัวการเข้าถึง แต่การเข้าถึงอย่างกว้างขวางของ CLOUD Act อาจยังคงใช้ได้
ท้ายที่สุด วิธีเดียวที่น่าจะหลีกเลี่ยงความเสี่ยงของคำขอทางกฎหมายของสหรัฐฯ ที่มีอำนาจเหนือกฎหมาย Canada หรือกฎหมายระหว่างประเทศอื่นๆ คือไม่ใช้ผลิตภัณฑ์ขององค์กรที่มีฐานใน US หรือเก็บไว้แยกจาก Internet อย่างสมบูรณ์
สถานการณ์นี้ได้ทำให้เกิดการเรียกร้องใหม่ให้ประเทศต่างๆ พัฒนาความสามารถคลาวด์อธิปไตย ลดการพึ่งพายักษ์เทคโนโลยีที่มีฐานใน US เช่น Microsoft, Amazon และ Google อย่างไรก็ตาม การสร้างโครงสร้างพื้นฐานดังกล่าวต้องการการลงทุนและความเชี่ยวชาญทางเทคนิคที่หลายประเทศขาดแคลนในปัจจุบัน
มาตรการป้องกันที่เป็นไปได้:
- การเข้ารหัสที่แข็งแกร่ง (มีประสิทธิผลจำกัดต่อผู้กระทำที่มีความมุ่งมั่น)
- บริษัทย่อยระหว่างประเทศแยกต่างหากที่มีการเข้าถึงเฉพาะในท้องถิ่น
- การหลีกเลี่ยงบริการเทคโนโลジีที่มีฐานใน US อย่างสมบูรณ์
- ระบบที่แยกออกจากอากาศและไม่เชื่อมต่อกับอินเทอร์เน็ต
- การพัฒนาโครงสร้างพื้นฐานคลาวด์ที่เป็นอธิปไตย
สัญญาณเตือนสำหรับอำนาจอธิปไตยดิจิทัล
การยอมรับอย่างตรงไปตรงมาของ Microsoft ทำหน้าที่เป็นการเตือนใจอย่างชัดเจนว่าในโลกดิจิทัลที่เชื่อมต่อกันของเรา เขตอำนาจศาลทางกฎหมายมักจะตามสำนักงานใหญ่ของบริษัทมากกว่าตำแหน่งที่ตั้งของข้อมูล สำหรับประเทศที่จริงจังเกี่ยวกับการคุ้มครองอำนาจอธิปไตยดิจิทัลของตน การเปิดเผยนี้อาจบังคับให้ต้องตัดสินใจที่ยากลำบากเกี่ยวกับการสร้างสมดุลระหว่างความสะดวกทางเทคโนโลยีกับความกังวลด้านความมั่นคงแห่งชาติและความเป็นส่วนตัว
การถกเถียงยังคงดำเนินต่อไปในขณะที่รัฐบาลทั่วโลกต่อสู้กับวิธีการรักษาการควบคุมข้อมูลของพลเมืองและสถาบันของตนในยุคที่ถูกครอบงำโดยยักษ์เทคโนโลยี America ที่ดำเนินงานภายใต้หน่วยงานกฎหมายสหรัฐฯ ที่กว้างขวางมากขึ้น
อ้างอิง: Microsoft says U.S. law takes precedence over Canadian data sovereignty