Kedaulatan Data England dan Sovereign Cloud

United Kingdom pasca-Brexit sedang membina rejim kedaulatan data tersendiri yang bebas daripada EU. Akta Perlindungan Data dan Maklumat Digital (Akta DPDI) yang diluluskan pada Mei 2024 mengusung slogan "menggalakkan inovasi dan perniagaan" melalui pelonggaran keperluan DPO dan semakan semula model persetujuan cookie, lantas mula menelusuri jalan yang jelas berbeza daripada GDPR EU. Namun "jalan ketiga" ini tersepit di antara dua risiko struktural: pengiktirafan kecukupan dengan EU (yang dilanjutkan pada Jun 2025 namun risiko tamat tempoh masih kekal) dan akses data rentas sempadan di bawah Akta CLOUD Amerika Syarikat. Titik pertikaian terbesar ialah isu kedaulatan data Microsoft 365 (M365). Hampir semua kementerian kerajaan Britain, NHS, dan Parlimen menggunakan M365, tetapi EU Data Boundary Microsoft (bermula Januari 2024) tidak merangkumi United Kingdom, maka data kerajaan Britain menanggung risiko undang-undang di mana Microsoft boleh dipaksa mendedahkan data tersebut di bawah Akta CLOUD Amerika Syarikat. Pada Oktober 2022, UKCloud — satu-satunya pembekal awan berdaulat buatan tempatan di Britain — telah dibubarkan, menyebabkan pergantungan kerajaan kepada awan semakin tertumpu pada hyperscaler Amerika Syarikat. Kontrak Federated Data Platform NHS Palantir (bernilai £330 juta bersamaan kira-kira ¥61 bilion) turut dikecam hebat sebagai penyerahan data pesakit kepada syarikat Amerika. Pasaran awan Britain bernilai kira-kira £15 hingga £18 bilion setahun (bersamaan kira-kira ¥2.775 trilion hingga ¥3.33 trilion), manakala pasaran pusat data merupakan yang terbesar di Eropah dengan kapasiti melebihi 800MW. Makalah ini mengkaji secara menyeluruh kerangka undang-undang kedaulatan data Britain, kemerdekaan dan kekangan pasca-Brexit, kontroversi kedaulatan data M365, keadaan semasa dan cabaran awan berdaulat, keperluan data NHS dan perkhidmatan kewangan, serta prospek masa hadapan.

Apakah Kedaulatan Data Britain — "Jalan Ketiga" Pasca-Brexit

Kedaulatan data Britain adalah konsep unik yang lahir daripada Brexit.

Apabila tempoh peralihan berakhir pada 31 Disember 2020, GDPR EU telah diwarisi sebagai "UK GDPR" di bawah undang-undang domestik Britain. Kandungannya hampir sama dengan EU GDPR, tetapi rujukan institusi digantikan dengan ICO (Pejabat Pesuruhjaya Maklumat), dan kuasa dipindahkan daripada Suruhanjaya EU kepada Menteri Negara Britain. Data Protection Act 2018 (DPA 2018) merupakan undang-undang asas bagi kerangka ini.

Data Protection and Digital Information Act (DPDI Act) yang diluluskan pada 24 Mei 2024 menjadi titik perbezaan ketara undang-undang perlindungan data Britain daripada EU. Ia melonggarkan keperluan DPO (Pegawai Perlindungan Data) kepada "Senior Responsible Individual", memudahkan keperluan DPIA (Penilaian Impak Perlindungan Data), mengalihkan model persetujuan kuki kepada kaedah opt-out, dan meluaskan asas "kepentingan sah" (legitimate interests). Dalam pemindahan data antarabangsa, ia turut membenarkan kelulusan berdasarkan faktor yang lebih luas, berbanding piawaian ketat "setara pada intinya".

Kerajaan Britain memposisikan pendekatan ini sebagai "rejim data bertaraf dunia" dan "dividen Brexit". John Edwards, Pesuruhjaya Maklumat (dilantik Januari 2022, bekas Pesuruhjaya Privasi New Zealand), menyatakan bahawa "undang-undang perlindungan data bukan penghalang yang mengekang inovasi, tetapi kerangka kerja yang membolehkan inovasi yang boleh dipercayai." Namun Jim Killock, Pengarah Eksekutif kumpulan advokasi privasi Open Rights Group, memberi amaran tentang hakisan perlindungan data dan kedaulatan Britain.

Tindakan Mengimbangi dengan EU — Pemanjangan Pengiktirafan Kecukupan dan Kelemahannya

Kekangan terbesar kedaulatan data United Kingdom ialah kebergantungannya kepada pengiktirafan kecukupan EU.

Suruhanjaya EU mengadopsi keputusan kecukupan untuk United Kingdom pada 28 Jun 2021, membenarkan pemindahan bebas data peribadi dari EEA ke United Kingdom. Pengiktirafan ini mengandungi klausa sunset empat tahun yang dijadualkan tamat pada 27 Jun 2025, namun telah dilanjutkan pada Jun 2025. European Data Protection Board (EDPB) mengakui perubahan yang dibawa oleh Akta DPDI di United Kingdom, namun menyatakan pendapat bahawa "kesetaraan yang substansial masih dikekalkan."

Walau bagaimanapun, risiko tamat tempoh tidak hilang begitu sahaja. Kelonggaran keperluan DPO, penyederhanaan DPIA, pembaharuan persetujuan kuki, dan perluasan standard pemindahan antarabangsa di bawah Akta DPDI merupakan punca kebimbangan pihak EU. Preseden cabaran undang-undang oleh Max Schrems yang membatalkan EU-US Safe Harbor (Schrems I, 2015) dan Privacy Shield (Schrems II, 2020) boleh turut diaplikasikan terhadap kecukupan United Kingdom. Sekiranya kecukupan tamat tempoh, pemindahan data antara United Kingdom dan EU perlu bergantung kepada SCC (Standard Contractual Clauses) atau BCR (Binding Corporate Rules), yang akan menimbulkan kos pematuhan berbilion paun setahun kepada syarikat-syarikat United Kingdom.

United Kingdom sedang berusaha mengikuti "jalan ketiga" iaitu "mengekalkan kecukupan dengan EU sambil lebih fleksibel daripada EU", namun kedua-dua matlamat ini pada dasarnya berada dalam ketegangan antara satu sama lain.

Perdebatan Kedaulatan Data M365 — Risiko Struktural yang Paling Serius

Kontroversi paling serius mengenai kedaulatan data Britain ialah isu kedaulatan data Microsoft 365 (M365).

Skala pergantungan kerajaan Britain terhadap M365 adalah amat besar. Pejabat Kabinet, Kementerian Dalam Negeri, Kementerian Pertahanan, Kementerian Pendidikan, HMRC (Jabatan Hasil dan Kastam), malah Parlimen Britain sendiri menggunakan M365. NHS turut memindahkan NHS Mail ke Exchange Online. Ratusan ribu kakitangan kerajaan dan pekerja sektor awam menggunakan M365 setiap hari.

Komitmen kediaman data Microsoft adalah seperti berikut. "Data pelanggan teras" bagi penyewa Britain disimpan di pusat data UK South (London) dan UK West (Cardiff). Ini merangkumi Exchange Online, SharePoint Online, OneDrive for Business, dan Microsoft Teams (mesej sembang/saluran).

Namun terdapat pengecualian yang kritikal. Pertama, data telemetri, data diagnostik, data sokongan, dan sebahagian operasi pemprosesan mungkin keluar dari UK. Kedua, sesetengah operasi mungkin diproses sementara di luar UK. Ketiga, perkhidmatan global seperti integrasi Bing, fungsi Copilot, dan Delve bukan bersifat khusus wilayah.

Masalah terbesar ialah EU Data Boundary Microsoft (bermula 1 Januari 2024) tidak merangkumi Britain. Pelanggan EU/EFTA diberikan jaminan yang dipertingkat bahawa data mereka disimpan dan diproses dalam sempadan EU/EFTA, namun Britain tidak termasuk. Ini mewujudkan asimetri di mana perlindungan yang diberikan kepada pelanggan kerajaan EU tidak diberikan kepada pelanggan kerajaan Britain.

Akta CLOUD Amerika Syarikat (diluluskan 23 Mac 2018) merupakan punca risiko struktur. Akta CLOUD membenarkan agensi penguatkuasaan undang-undang Amerika Syarikat memaksa syarikat teknologi berpangkalan di Amerika Syarikat untuk menyerahkan data, tanpa mengira sama ada data tersebut berada di dalam atau di luar Amerika Syarikat. Ini bermakna walaupun data kerajaan Britain disimpan di pusat data UK Microsoft, kerajaan Amerika Syarikat boleh mengarahkan Microsoft untuk mendedahkan data tersebut di bawah Akta CLOUD.

Perjanjian Akses Data Britain-Amerika Syarikat (ditandatangani 3 Oktober 2019, berkuat kuasa Oktober 2022) merupakan perjanjian dua hala pertama berdasarkan Akta CLOUD. Ia membenarkan agensi penguatkuasaan undang-undang setiap negara meminta data terus daripada syarikat teknologi di negara yang satu lagi, tetapi terhad kepada jenayah serius dan tidak boleh menyasarkan warganegara negara lain. Walau bagaimanapun, permintaan keselamatan negara (seperti Seksyen 702 FISA) berada di luar skop perjanjian ini, dan agensi perisikan Amerika Syarikat berpotensi mengakses data kakitangan kerajaan Britain.

Soalan berkaitan kedaulatan data M365 telah dikemukakan di kedua-dua Dewan Rakyat dan Dewan Lord. Open Rights Group menjalankan kempen mengenai keprihatinan terhadap penggunaan produk Microsoft oleh kerajaan dan kedaulatan data, manakala Privacy International telah menyuarakan kebimbangan mengenai Akta CLOUD dan data kerajaan.

Integrasi AI semakin memperburuk risiko ini. Integrasi Microsoft Copilot dengan M365 menimbulkan persoalan baharu mengenai tempat pemprosesan AI berlaku dan data mana yang dibekalkan kepada model AI. Dalam konteks ketegangan geopolitik yang semakin meningkat, perhatian terhadap kedaulatan digital turut menguat. Walaupun kerajaan Parti Buruh (sejak Julai 2024) telah menunjukkan minat terhadap kedaulatan digital, sebarang tindakan yang konklusif berkaitan M365 masih belum diambil.

Keruntuhan UKCloud——Dilema Struktural Awan Berdaulat

Kejadian paling simbolik dalam sejarah awan berdaulat Britain ialah kejatuhan UKCloud.

UKCloud ditubuhkan pada tahun 2011 sebagai satu-satunya pembekal awan berdaulat buatan tempatan di Britain. Data disimpan hanya di dalam Britain, dikendalikan hanya oleh warganegara Britain, dan mematuhi hanya undang-undang Britain — inilah titik jualannya. NHS, Kementerian Pertahanan, polis, pihak berkuasa tempatan, dan kerajaan pusat semuanya adalah pelanggannya.

Pada 24 Oktober 2022, UKCloud memasuki likuidasi paksa. PwC dilantik sebagai penglikuid. Walaupun pendapatannya kira-kira £40 juta hingga £50 juta, syarikat itu tidak menguntungkan dan kalah dalam persaingan harga dengan hyperscaler (AWS, Azure, Google). Usaha untuk mendapatkan pembiayaan tambahan dan dijual kepada pihak lain semuanya gagal.

Pengajaran daripada kejatuhan ini adalah jelas. Pertama, pembekal awan berdaulat berada dalam kedudukan yang sangat tidak menguntungkan berbanding hyperscaler dari segi ekonomi skala. Kedua, proses perolehan kerajaan Britain cenderung mengutamakan kos berbanding kedaulatan. Ketiga, "berdaulat" sahaja tidak mencukupi sebagai faktor pembezaan. Keempat, terdapat kritikan bahawa kerajaan sepatutnya melayan UKCloud sebagai infrastruktur strategik, sama seperti industri pertahanan.

Selepas kejatuhan itu, ironinya, kebanyakan bekas pelanggan UKCloud berpindah ke AWS atau Azure, yang seterusnya semakin memperkukuhkan kebergantungan kerajaan terhadap hyperscaler.

Keperluan Data NHS & Perkhidmatan Kewangan

NHS dan perkhidmatan kewangan merupakan bidang yang paling sensitif berkaitan kedaulatan data United Kingdom.

Data pesakit NHS tertakluk kepada UK GDPR/DPA 2018, Kewajipan Kerahsiaan di bawah Common Law, Prinsip Caldicott (8 prinsip), serta NHS Data Security and Protection Toolkit (DSPT). Pada hakikatnya, data NHS mesti disimpan di dalam United Kingdom.

Polemik terbesar ialah Palantir Federated Data Platform (FDP). NHS England pada November 2023 telah menganugerahkan kontrak tujuh tahun bernilai kira-kira £330 juta (lebih kurang ¥61 bilion) kepada Palantir Technologies (syarikat Amerika Syarikat, dengan In-Q-Tel — unit pelaburan CIA — sebagai pelabur awal). FDP bertujuan mengintegrasikan data antara organisasi NHS bagi meningkatkan kecekapan operasi dan pengurusan waktu menunggu, namun ia mendapat kritikan hebat kerana mempercayakan data pesakit kepada syarikat Amerika. openDemocracy dan Foxglove mengemukakan cabaran undang-undang, manakala tinjauan pendapat menunjukkan ketidakselesaan orang ramai terhadap pengendalian data NHS oleh Palantir. Dilaporkan lebih satu juta orang telah menarik diri daripada perkongsian data NHS. Pihak Palantir pula menghujahkan bahawa FDP bersifat "berfederasi" — data kekal dalam infrastruktur setiap organisasi NHS dan tidak dipusatkan — serta menyatakan bahawa data tidak akan meninggalkan United Kingdom.

Dalam perkhidmatan kewangan, Pernyataan Penyeliaan Bersama FCA/PRA SS2/21 (Pengalihdayaan dan Pengurusan Risiko Pihak Ketiga) adalah penting. Walaupun kediaman data di dalam UK tidak diwajibkan secara langsung, keperluan untuk mengekalkan keupayaan pengawasan kawal selia, akses audit, dan kesinambungan perniagaan menjadikannya perlu secara praktikal agar data berada dalam jangkauan pihak pengawal selia UK. Financial Services and Markets Act 2023 memperkenalkan kuasa pengawasan kawal selia langsung terhadap "Pihak Ketiga Kritikal" (seperti AWS, Azure, Google Cloud dan lain-lain).

Klasifikasi Keselamatan Kerajaan dan Realiti Awan Berdaulat

Data kerajaan United Kingdom mempunyai tiga peringkat klasifikasi keselamatan.

OFFICIAL (termasuk OFFICIAL-SENSITIVE) merangkumi kira-kira 90% data kerajaan dan boleh diproses di awan awam yang diperakui (termasuk rantau UK hyperscaler). SECRET memerlukan kawalan yang lebih ketat dan biasanya memerlukan infrastruktur berasaskan UK beserta jaminan tambahan. TOP SECRET adalah klasifikasi tertinggi dan umumnya memerlukan persekitaran air-gap, premis dalam UK, serta pengoperasian oleh warganegara UK yang mempunyai pelepasan keselamatan.

14 Prinsip Keselamatan Awan NCSC merangkumi perlindungan data semasa penghantaran, perlindungan aset, pengasingan antara pengguna, rangka kerja tadbir urus, keselamatan operasi, keselamatan kakitangan, pembangunan selamat, dan keselamatan rantaian bekalan. NCSC telah menilai dan menerbitkan penilaian perkhidmatan AWS, Azure, dan Google Cloud berdasarkan prinsip-prinsip ini.

Yang perlu diberi perhatian ialah NCSC secara jelas menyatakan bahawa "lokasi fizikal data sering kali tidak sepenting bidang kuasa undang-undang yang menguasainya atau langkah keselamatan yang melindunginya." Walau bagaimanapun, pihaknya turut mengakui bahawa kediaman data dalam UK merupakan keperluan yang sesuai bagi klasifikasi tertentu dan model ancaman tertentu.

Data Pasaran——Pasaran Awan Terbesar di Eropah

United Kingdom ialah pasaran awan terbesar di Eropah dan juga pasaran pusat data terbesar di Eropah.

Pasaran perkhidmatan infrastruktur awan di United Kingdom dianggarkan bernilai kira-kira £15 bilion hingga £18 bilion setahun (kira-kira ¥2.775 trilion hingga ¥3.330 trilion), dengan kadar pertumbuhan tahunan sebanyak 20 hingga 25%. Bahagian pasaran dikuasai oleh AWS (kira-kira 30–33%), Microsoft Azure (kira-kira 25–28%), dan Google Cloud (kira-kira 10–12%).

Perolehan awan kerajaan melalui rangka kerja G-Cloud (Crown Commercial Service) telah mencapai kumulatif melebihi £12 bilion. Kapasiti pusat data United Kingdom melebihi 800MW, menjadikannya yang terbesar di Eropah, dengan London sebagai hab pusat data terbesar di Eropah. Pasaran keselamatan siber bernilai kira-kira £12 bilion hingga £13 bilion, menjadikannya ketiga terbesar di dunia.

Selepas keruntuhan UKCloud, pasaran awan berdaulat (sovereign cloud) United Kingdom kini didominasi oleh rantau UK milik pembekal hyperscaler, dengan pendekatan yang bergantung kepada kawalan teknikal dan kontraktual, bukan pembekal berdaulat khusus.

Prospek Masa Depan——Kedaulatan Data dan Masa Depan Awan Berdaulat di Era AI

Kedaulatan data United Kingdom berada di titik perubahan di mana pelbagai dinamik saling bersilang.

Impak Akta DPDI akan menjadi nyata dalam beberapa tahun akan datang. Akta ini diluluskan pada Mei 2024, namun banyak peruntukan memerlukan perundangan sekunder yang masih dalam proses penggubalan pada awal 2026. Jika peraturan masa hadapan semakin menjauh daripada EU, mengekalkan keputusan kecukupan akan menjadi semakin sukar.

Persilangan antara AI dan kedaulatan data merupakan isu baharu yang paling signifikan. Lokasi penyimpanan dan pemprosesan data latihan model AI, pemprosesan data sulit semasa inferens AI, serta aliran data melalui integrasi M365 Microsoft Copilot — semua ini mengamplifikasikan isu kedaulatan data. UK AI Safety Institute (ditubuhkan November 2023) menumpukan perhatian pada keselamatan AI, namun titik persilangan dengan kedaulatan data turut berada dalam skop pandangannya.

Masa depan awan berdaulat — walaupun UKCloud telah gagal, pelaburan dalam awan berdaulat semakin pesat di peringkat global. Model perkongsian seperti Thales-Google di Perancis dan T-Systems-Google di Jerman berkemungkinan diterima pakai di United Kingdom juga. Sekiranya kerajaan UK komited terhadap keperluan berdaulat, saiz pasaran berpotensi mencapai £5 hingga £8 bilion menjelang 2028–2030.

Konsep "jambatan data" United Kingdom merupakan senario yang paling optimistik. Dengan mengekalkan kecukupan dengan EU sambil memanfaatkan hubungan erat dengan AS (Perjanjian Akses Data UK-AS, Five Eyes, "hubungan istimewa"), serta mengembangkan perjanjian pemindahan data dengan Jepun, Korea Selatan, Australia dan sebagainya. Jika berjaya, UK boleh menjadi bidang kuasa yang menarik bagi operasi data multinasional. Namun, jika UK dianggap berfungsi sebagai saluran paip data dari EU ke AS — dengan perlindungan yang lemah — EU akan menyekat laluan ini.

Isu kedaulatan data M365 merupakan cabaran struktural yang tidak akan diselesaikan dalam jangka masa terdekat. Walaupun alternatif sumber terbuka seperti LibreOffice, Nextcloud, dan Matrix telah dicadangkan, tiada alternatif yang setanding dengan ekosistem M365 pada masa ini. Kebergantungan kerajaan UK terhadap M365 adalah mendalam, dan migrasi akan melibatkan kos yang sangat tinggi serta bersifat mengganggu. Isu ini secara jelas menunjukkan bahawa kedaulatan digital bukan sekadar cabaran teknikal, malah merupakan cabaran kompleks yang merangkumi dimensi geopolitik, undang-undang, dan ekonomi.

Kesan Terhadap Industri

Pertama, perbezaan antara undang-undang DPDI Britain dengan EU GDPR telah mewujudkan ketegangan struktur antara "menggalakkan inovasi" dan "mengekalkan keputusan kecukupan". Pelanjutan pada Jun 2025 membawa kelegaan, namun perbezaan yang lebih jauh akan meningkatkan risiko pembatalan, yang boleh menimbulkan kos pematuhan berbilion paun setahun bagi syarikat-syarikat British.

Kedua, isu kedaulatan data M365 merupakan cabaran yang paling serius dan paling sukar untuk ditangani dengan segera oleh kerajaan British. Pengecualian Britain daripada EU Data Boundary Microsoft telah mewujudkan perlindungan yang tidak simetri antara pelanggan kerajaan EU dan pelanggan kerajaan British. Risiko akses data Amerika Syarikat di bawah Undang-undang CLOUD boleh dikurangkan melalui langkah-langkah teknikal (kunci enkripsi yang diurus pelanggan, pengkomputeran sulit) tetapi tidak dapat dihapuskan sepenuhnya.

Ketiga, keruntuhan UKCloud telah membuktikan bahawa awan berdaulat tidak dapat dikekalkan tanpa skala ekonomi. Namun di peringkat global, model perkongsian seperti Thales-Google dan T-Systems-Google telah berjaya, dan pendekatan yang serupa mungkin akan dipertimbangkan di Britain juga.

Keempat, kontrak Palantir NHS (£330 juta) menunjukkan bahawa kedaulatan data bukan sekadar konsep abstrak, tetapi merupakan isu nyata yang berkait langsung dengan data paling sensitif warga——rekod kesihatan. Fakta bahawa lebih daripada satu juta orang telah memilih untuk keluar (opt-out) membuktikan bahawa kepercayaan awam adalah penentu kejayaan atau kegagalan strategi kedaulatan data.

Maklumat Rujukan: UK Data Protection Act 2018, UK GDPR (Retained EU Law), Data Protection and Digital Information Act 2024 (Royal Assent 24 Mei 2024), European Commission UK Adequacy Decision (28 Jun 2021), US CLOUD Act (23 Mac 2018), UK-US Data Access Agreement (Ditandatangani Oktober 2019, Berkuat Kuasa Oktober 2022), NCSC Cloud Security Guidance & 14 Cloud Security Principles, FCA/PRA SS2/21 Outsourcing and Third Party Risk Management, Financial Services and Markets Act 2023 (Critical Third Party Regime), NHS Data Security and Protection Toolkit, Microsoft EU Data Boundary (1 Januari 2024), Microsoft UK Data Residency Documentation, G-Cloud Framework Documentation (Crown Commercial Service), UKCloud Liquidation Records (PwC, Oktober 2022), ICO Annual Reports & John Edwards Statements, Palantir NHS FDP Contract (November 2023, £330 juta), Parliamentary Hansard (M365 Data Sovereignty Questions), Open Rights Group Publications, Privacy International Reports, EDPB Opinion on UK Adequacy, NCSC Assessment of AWS/Azure/Google Cloud, techUK Cloud and Data Reports, UK Government Cloud Strategy (2023/2024), UK AI Safety Institute, DPDI Act Secondary Legislation Progress