Data Sovereignty และกลยุทธ์คลาวด์สำหรับภูมิภาคเอเชียแปซิฟิก

ประเด็นสำคัญสำหรับผู้นำธุรกิจ

• กลยุทธ์คลาวด์สำหรับภูมิภาคเอเชียแปซิฟิกนั้นต้องมีความเฉพาะเจาะจงสำหรับแต่ละประเทศเนื่องจากกฎเกณฑ์ระดับชาติที่แตกต่างกัน ต่างจาก GDPR ของ EU ที่ใช้ข้อบังคับร่วมกัน

• การใช้คลาวด์ในท้องถิ่นไม่ได้ปกป้องข้อมูลของคุณจากกฎหมายต่างประเทศเสมอไป

• ย้าย AI ไม่ใช่ย้ายข้อมูล แนวทางใหม่สำหรับการใช้ AI อย่างถูกต้องตามกฎหมายคือการใช้เทคโนโลยีอย่าง federated learning และ edge computing เพื่อเทรนโมเดล ณ ที่ที่ข้อมูลอยู่ เพื่อให้แน่ใจว่าข้อมูลดิบที่ละเอียดอ่อนจะไม่ข้ามพรมแดน

• กลยุทธ์ต้องมาก่อนเทคโนโลยี ปัญหานี้เป็นความท้าทายด้านภูมิรัฐศาสตร์และสถาปัตยกรรม ไม่ใช่แค่ปัญหาทางเทคนิค คุณต้องการพาร์ตเนอร์ที่สามารถรับมือได้ทั้งสองด้าน

องค์กรมากมายในภูมิภาคเอเชียแปซิฟิกกำลังเร่งใช้งานแอปอัจฉริยะ (intelligent apps) ที่ขับเคลื่อนด้วย AI และ machine learning แต่ก็มีปัญหาข้อหนึ่ง คือ แอปพลิเคชันเหล่านี้ต้องการชุดข้อมูลขนาดใหญ่แบบรวมศูนย์เพื่อเทรนโมเดลให้มีความแม่นยำสูงสุด

ความต้องการนั้นก่อให้เกิดสิ่งที่เรียกว่า "ความย้อนแย้งเรื่องอธิปไตยทางข้อมูล" (data sovereignty paradox) ขึ้นมา เนื่องจากกฎหมายด้านอธิปไตยทางข้อมูล (data sovereignty) ระดับชาติที่ทรงพลัง กำลังบีบให้ข้อมูลเหล่านี้ต้องถูกแบ่งส่วนเพื่อจัดเก็บและควบคุมอยู่ภายในพรมแดนดิจิทัลของแต่ละประเทศ

สำหรับทุกบริษัทที่ดำเนินงานในภูมิภาคนี้ กลยุทธ์คลาวด์ (cloud strategy) แบบ one-size-fits-all นั้นไม่ใช่แค่ดีไม่พอ แต่ยังได้กลายเป็นความเสี่ยงทางธุรกิจขั้นพื้นฐานไปแล้ว องค์กรต่างๆ จึงต้องเปลี่ยนจากสถาปัตยกรรมแบบ cloud-first ที่ให้ความสำคัญกับระบบคลาวด์ ไปสู่ sovereignty-first ซึ่งหมายถึง การยึดอธิปไตยทางข้อมูลเป็นหลัก เราจะสรุปแนวทางการสร้างสถาปัตยกรรมนี้ให้คุณ

ความเชื่อผิดๆ ที่ทำลายกลยุทธ์คลาวด์

เหตุผลที่หลายองค์กรไม่สามารถปฏิบัติตามข้อกำหนดในปัจจุบันได้นั้นส่วนใหญ่เกิดขึ้นจากข้อสันนิษฐานที่ผิดๆ สองข้อ

ความเชื่อผิดๆ ที่ 1 "กลยุทธ์ของเราเหมาะกับเอเชียแปซิฟิก"

ที่จริงแล้วไม่ใช่อย่างนั้น เพราะภูมิภาคนี้มีกฎหมายด้านข้อมูลของแต่ละประเทศที่แตกต่างกันโดยสิ้นเชิง ซึ่งเกิดขึ้นจากแนวคิดที่ต่างกันตามนี้

ความเชื่อผิดๆ ที่ 2 “การใช้คลาวด์ในประเทศช่วยปกป้องข้อมูลของคุณจากกฎหมายต่างประเทศได้”

นี่คือความเชื่อที่อันตราย เกิดจากความเข้าใจที่คลาดเคลื่อนระหว่างแนวคิดสำคัญสองประการคือ data residency (ถิ่นที่อยู่ของข้อมูล) และ data sovereignty (อธิปไตยทางข้อมูล)

• Data residency เป็นเพียง สถานที่ที่ข้อมูลของคุณถูกจัดเก็บทางกายภาพ

• Data sovereignty คืออำนาจที่แท้จริงในการควบคุมข้อมูลนั้น ว่าใครสามารถเข้าถึง แก้ไข หรือย้ายข้อมูลได้ และข้อมูลนั้นอยู่ภายใต้บังคับของกฎหมายใด

ปัญหาก็คือ การมี data residency ที่เก็บข้อมูลในประเทศ ไม่ได้หมายความว่าคุณจะมี data sovereignty หรือ อำนาจควบคุมที่แท้จริงเหนือข้อมูลดังกล่าว

ตัวอย่างเช่น หากคุณเก็บข้อมูลไว้ในดาต้าเซ็นเตอร์ในออสเตรเลียที่ดำเนินการโดยผู้ให้บริการคลาวด์สัญชาติสหรัฐฯ ข้อมูลนั้นยังคงอยู่ภายใต้กฎหมายของสหรัฐฯ อย่าง US CLOUD Act ด้วย ซึ่งกฎหมายดังกล่าวบังคับให้บริษัทสัญชาติสหรัฐฯ ต้องส่งมอบข้อมูลให้แก่หน่วยงานบังคับใช้กฎหมาย ไม่ว่าข้อมูลนั้นจะถูกเก็บไว้ที่ใดในโลก 

สิ่งนี้สร้างสภาวะกลืนไม่เข้าคายไม่ออก ที่บริษัทผู้ให้บริการคลาวด์ของคุณอาจถูกบังคับให้ละเมิดกฎหมายออสเตรเลียที่เป็นกฎหมายท้องถิ่น เพื่อปฏิบัติตามกฎหมายของสหรัฐฯ ที่เป็นกฎหมายของประเทศแม่

กลยุทธ์คลาวด์เพื่อสร้าง data sovereignty

หากคุณอยากมีอธิปไตยทางข้อมูลอย่างแท้จริง ซึ่งหมายถึงคุมข้อมูลได้ 100% ไม่ใช่แค่เลือกที่เก็บ คุณต้องวางแผนโดยใช้ 3 กลยุทธ์นี้ผสมผสานกัน

กลยุทธ์ที่ 1: hybrid cloud (ไฮบริดคลาวด์)

หลักการคือ การจำแนกประเภทข้อมูลตามระดับความสำคัญ เพื่อจัดสรรทรัพยากรให้เหมาะสม

• ข้อมูลที่มีความละเอียดอ่อนสูง หรือข้อมูลที่อยู่ภายใต้การควบคุมเข้มงวด เช่น ข้อมูลส่วนบุคคลของพลเมือง หรือ PII ควรจัดเก็บบน private cloud ที่มีความปลอดภัยสูง ซึ่งอาจหมายถึงเซิร์ฟเวอร์ on-premise ภายในองค์กรของคุณเอง หรือคลาวด์ส่วนตัวที่โฮสต์โดยผู้ให้บริการในประเทศ และตั้งอยู่ภายในประเทศ

• Workload อื่นๆ ที่มีความสำคัญรองลงมา หรือต้องการความยืดหยุ่นในการขยายระบบ สามารถใช้ประโยชน์จาก public cloud เพื่อความคล่องตัว

กลยุทธ์ที่ 2: multi-cloud (มัลติคลาวด์)

หนึ่งในแนวคิดสำคัญของ multi-cloud คือ การเลือกใช้ผู้ให้บริการที่เหมาะสมกับเขตอำนาจศาลที่ถูกต้อง เพื่อหลีกเลี่ยงการผูกมัดทางภูมิรัฐศาสตร์ (geopolitical lock-in)

องค์กรจำเป็นต้องใช้ผู้ให้บริการที่แตกต่างกันในแต่ละภูมิภาค โดยพิจารณาจากข้อได้เปรียบด้านการปฏิบัติตามกฎหมายของผู้ให้บริการนั้นๆ ในท้องถิ่น

ตัวอย่างเช่น ในขณะที่องค์กรอาจใช้ AWS หรือ Azure ในสิงคโปร์ แต่เมื่อขยายธุรกิจไปยังประเทศจีน การเลือกใช้ผู้ให้บริการระดับภูมิภาค เช่น Alibaba Cloud หรือ Tencent Cloud จะเป็นทางเลือกที่เหมาะสมกว่า เนื่องจากผู้ให้บริการเหล่านี้ไม่อยู่ภายใต้บังคับของกฎหมายต่างประเทศ เช่น US CLOUD Act เป็นต้น

กลยุทธ์ที่ 3: sovereign cloud (คลาวด์อธิปไตย)

สำหรับข้อมูลสำคัญสูงสุด เช่น ความลับของรัฐ, บันทึกสุขภาพ, หรือข้อมูลหลักประกันของธนาคาร โซลูชันที่กำลังเป็นที่จับตามองคือ sovereign cloud

คลาวด์ประเภทนี้ไม่ใช่เพียงดาต้าเซ็นเตอร์ทั่วไป แต่เป็นบริการที่ถูกออกแบบมาโดยเฉพาะ

• มักดำเนินการโดย ผู้ให้บริการในท้องถิ่นที่ได้รับความไว้วางใจ

• ได้รับการออกแบบให้แยกขาดในทางกฎหมายและอยู่นอกเหนือเขตอำนาจศาลต่างประเทศอย่างสิ้นเชิง

• ทำหน้าที่เป็นเกราะป้องกันที่แท้จริงสำหรับข้อมูลที่ละเอียดอ่อนที่สุดขององค์กรและของชาติ

เทคโนโลยีเพื่อรัน AI โดยไม่ข้ามพรมแดน

สถาปัตยกรรมใหม่คือรากฐาน คุณสามารถใช้เทคโนโลยีต่อไปนี้เพื่อรัน AI บนสถาปัตยกรรมนั้น หลักการง่ายๆ คือ 

• Federated learning

แทนที่จะดึงข้อมูลทั้งหมดของคุณจากญี่ปุ่น อินเดีย และออสเตรเลียมาไว้ที่เซิร์ฟเวอร์กลางเดียว คุณส่งโมเดล AI ที่ยังไม่เทรน ไปหาข้อมูลในแต่ละประเทศแทน โมเดลจะเรียนรู้จากข้อมูลในท้องถิ่น ซึ่งข้อมูลนั้น ไม่เคยออกจากพรมแดน มีเพียงการอัปเดตทางคณิตศาสตร์ที่ไม่ระบุตัวตนเท่านั้นที่ถูกส่งกลับไปยังเซิร์ฟเวอร์กลาง เพื่อรวมกันเป็นโมเดลระดับโลกที่ฉลาดขึ้น ซึ่งวิธีการดังกล่าวเคารพกฎหมายด้าน data sovereignty ในการจัดเก็บข้อมูลในท้องถิ่นอย่างสมบูรณ์แบบ

• Edge computing

สำหรับการใช้งาน AI แบบเรียลไทม์ เช่น ในโรงงานหรือร้านค้าปลีก เมื่อคุณรัน inference ของโมเดล AI โดยตรงบนอุปกรณ์ edge เช่น กล้องอัจฉริยะหรือเซิร์ฟเวอร์ในพื้นที่ ข้อมูลปริมาณมากที่ละเอียดอ่อน เช่น ฟีดวิดีโอที่รันตลอด 24 ชั่วโมง จะถูกประมวลผลและลบทิ้งในเครื่อง ภายในเสี้ยววินาที สิ่งที่ส่งไปยังเซิร์ฟเวอร์กลาง คือ ผลลัพธ์ที่ผ่านการเข้ารหัสและไม่ระบุตัวตน เท่านั้น

• Confidential computing

เทคโนโลยีนี้เป็นความก้าวหน้าครั้งสำคัญในความปลอดภัยของคลาวด์ ซึ่งมีให้บริการโดยผู้ให้บริการรายใหญ่ โดยใช้ฮาร์ดแวร์ในการเข้ารหัสข้อมูลในขณะที่กำลังใช้งาน กระบวนการนี้ทำให้ในทางเทคนิคนั้นเป็นไปไม่ได้เลยที่ใครก็ตามจะเห็นข้อมูลข้างใน แม้แต่พนักงานของผู้ให้บริการคลาวด์เอง นับเป็นเกราะป้องกันทางที่แข็งแกร่งสำหรับปัญหาทางกฎหมาย อย่าง CLOUD Act ของอเมริกา

จาก compliance สู่ sovereign AI

การเปลี่ยนจาก กลยุทธ์คลาวด์ (cloud strategy) แบบ cloud-first ไปสู่ sovereignty-first ไม่ใช่แค่การตั้งรับเพื่อปฏิบัติตามกฎหมายเท่านั้น แต่มันคือ การเดินเกมรุก ที่สำคัญเพื่อเอาชนะตลาดเอเชียแปซิฟิก

ตอนนี้เรากำลังเห็นการเกิดขึ้นของ "sovereign AI" ที่ซึ่งประเทศชาติและองค์กรต่างๆ กำลังสร้างโมเดล AI ของตนเอง เพื่ออนาคตทางเศรษฐกิจและวัฒนธรรมของพวกเขา

• ในอินโดนีเซีย บริษัทโทรคมนาคม IOH กำลังสร้าง "โรงงาน AI อธิปไตย" (sovereign AI factory) เพื่อสร้าง large language model (LLM) ภาษาอินโดนีเซียขึ้นมา เพื่อให้แน่ใจว่า AI ของพวกเขาเข้าใจวัฒนธรรมและบริบทท้องถิ่น

• ในสิงคโปร์ โครงการริเริ่ม "AI Singapore" (AISG) ของรัฐบาลได้เปิดตัว SEA-LION ซึ่งเป็นโมเดลที่เทรนบน 11 ภาษาท้องถิ่น เพื่อต่อต้านอคติของโมเดลที่ยึดชาติตะวันตกเป็นศูนย์กลาง

สิ่งนี้แสดงถึงการกำหนดอนาคตทางเทคโนโลยีด้วยตนเอง องค์กรที่เชี่ยวชาญกลยุทธ์แบบ federated และตระหนักถึงอธิปไตยทางข้อมูลเหล่านี้ จะทำได้มากกว่าแค่การปฏิบัติตามกฎ แต่พวกเขาจะสร้างสิ่งหนึ่งที่ขาดไม่ได้ในยุคใหม่นี้ นั่นคือ “ความไว้วางใจ”

เปลี่ยนความเสี่ยงให้เป็นโอกาสกับ Seven Peaks

แนวคิดในบทความนี้ล้วนมีความซับซ้อน ความท้าทายไม่ได้มีแค่ทางเทคนิคเท่านั้น แต่เป็นความท้าทายเชิงกลยุทธ์ที่จัดการกับความขัดแย้งระหว่างกฎหมาย วิศวกรรม และธุรกิจ

ทีมงานของเราเชี่ยวชาญในการออกแบบและติดตั้งโซลูชันคลาวด์ที่ซับซ้อนสำหรับตลาดเอเชียแปซิฟิก เราไม่เพียงแค่สามารถช่วยคุณสร้างแอปอัจฉริยะ (intelligent apps) ได้ แต่เราสร้างมันบนรากฐานที่ยึดอธิปไตยทางข้อมูลเป็นหลัก ปลอดภัย และสอดคล้องกับกฎข้อบังคับต่างๆ

ติดต่อเราเพื่อคุยรายละเอียดเกี่ยวกับโปรเจกต์ของคุณ