อีเมลที่พวกเขาไม่ควรอ่าน

 (it-notes.dragas.net)
2 คะแนน โดย GN⁺ 2025-10-09 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เรื่องราวจากเหตุการณ์จริงเกี่ยวกับความเสี่ยงของ Vendor lock-in และแนวปฏิบัติทางการค้าที่ก้าวร้าว
  • หน่วยงานภาครัฐพยายามย้ายระบบอีเมลไปสู่ระบบที่อิงโอเพนซอร์ส แต่กลับต้องเผชิญกับสัญญาที่ไม่เป็นธรรมและข้อสงสัยเรื่องการสอดส่องจากผู้ให้บริการ
  • เงื่อนไขที่ซ่อนอยู่ในสัญญา และการแก้ไขฝ่ายเดียว ทำให้ลูกค้าไม่สามารถย้ายออกได้อย่างอิสระ และทำให้ต้นทุนการดูแลพุ่งสูงขึ้น
  • แม้จะมีหลักฐานบ่งชี้เรื่อง การสอดส่องและการเข้าถึงอีเมล จริง องค์กรกลับสนใจเพียงค่าใช้จ่ายที่เพิ่มขึ้น มากกว่าการตอบสนองทางกฎหมายและจริยธรรม
  • แม้แต่บริษัทที่ชูจิตวิญญาณโอเพนซอร์สก็ยังเกิด กรณีการใช้อำนาจในทางที่ผิด ทิ้งไว้เพียงความเสียหายต่อความเชื่อมั่นและภาพลักษณ์เชิงลบต่อทั้งอุตสาหกรรม

คำนำจากผู้เขียน

  • เรื่องนี้อ้างอิงจากประสบการณ์จริง แต่ได้มีการปรับเปลี่ยนและผสมรายละเอียดทางเทคนิค บริบท และข้อมูลบางส่วน เพื่อ ปกป้องตัวตนของบุคคลและบริษัท
  • ผู้เขียนแนะนำให้อ่านเรื่องนี้ในฐานะ กรณีตัวอย่างทั่วไป ของปัญหาที่แพร่หลายในอุตสาหกรรม IT คือ Vendor lock-in และ แนวปฏิบัติทางธุรกิจที่ก้าวร้าว

ลำดับเหตุการณ์ – การนำระบบอีเมลใหม่มาใช้

  • เมื่อหลายปีก่อน หน่วยงานภาครัฐหลักแห่งหนึ่ง (Agency A) ใช้งาน เซิร์ฟเวอร์อีเมล Exchange รุ่นเก่า
  • ไม่มีการอัปเดตความปลอดภัยมานาน ทำให้มีความเสี่ยงต่อการถูกโจมตีสูง และเริ่มมีข้อกำหนดที่แนะนำให้ นำโอเพนซอร์สมาใช้
  • ผู้รับจ้างภายนอกรายหนึ่งเสนอ บริการแบบ managed service ที่ต่อยอดจากโอเพนซอร์สเมลสแตก พร้อมส่วนขยายของตนเองและการซัพพอร์ตระดับองค์กร
  • แม้ราคาจะอยู่ในระดับใกล้เคียงกับที่พบได้ทั่วไปในตลาด แต่ก็ แพงเกินจริงเมื่อเทียบกับบริการที่ให้จริง
  • Agency A มี โครงสร้างพื้นฐานที่เชื่อถือได้อยู่แล้ว เช่น multi-datacenter และ IP range ที่มั่นคง
  • คำขอของหน่วยงานคือ "ประเมินโซลูชันนี้ และถ้าเหมาะสมก็ย้ายระบบ" (ขอบเขต: กล่องเมลและ alias ราว 500 รายการ)

การนำร่องและการย้ายระบบที่สำเร็จ

  • ผู้เขียนนำโอเพนซอร์สสแตกดังกล่าวไปใช้ในสภาพแวดล้อมที่ไม่สำคัญต่อภารกิจหลักและกับลูกค้าทดสอบบางรายใน ราคาลดพิเศษ แล้วพิสูจน์การใช้งานได้ต่อเนื่อง 1 ปีโดยไม่มีปัญหา
  • ด้วยความพึงพอใจในความยืดหยุ่นของการออกแบบ จึงแนะนำ Agency A ให้ทำ pilot migration
  • มีการสร้างเซิร์ฟเวอร์ใหม่ ตั้งค่าโดเมนให้กับผู้เข้าร่วมช่วงแรก แล้วค่อย ๆ ย้ายระบบทีละส่วน
  • หลังสลับ MX record ระบบก็ทำงานได้อย่างราบรื่น และทีมภายในองค์กรก็ดูแลต่อได้โดยไม่มีปัญหาสำคัญ

ข่าวแพร่กระจายและหน่วยงานแห่งที่สอง

  • Agency B เป็นลูกค้าเดิมของ ผู้ให้บริการ managed service รายเดียวกัน
  • เมื่อเห็นข้อดีอย่าง ลดต้นทุนรวมเหลือ 1/10, ได้อำนาจควบคุมข้อมูลมากขึ้น และเสถียรภาพดีขึ้น จึงสนใจจะย้ายระบบ
  • แต่ติดสัญญา ต่ออายุอัตโนมัติ 5 ปี ซึ่งขณะนั้นยังเหลืออีก 2 ปี และมีเงื่อนไขแจ้งล่วงหน้า 6 เดือน จึงยังมีเวลาจัดการ
  • ด้วย นโยบายการขายที่ก้าวร้าว ของผู้ให้บริการรายนั้นและความกังวลว่าจะถูกตอบโต้ จึงเตรียมการกันแบบ ลับสุดยอด
  • หลังจัดเตรียมบัญชี alias และชุดทดสอบเสร็จ ก็วางแผนทำ migration จริงให้ตรงกับช่วงเวลาแจ้งยกเลิกสัญญา

การปรากฏตัวของหน่วยงานแห่งที่สามและลางร้าย

  • Agency C ก็ใช้ผู้ให้บริการรายเดียวกัน และต้องการย้ายไปยังโอเพนซอร์สสแตกเดียวกัน
  • ผู้เขียนส่งใบเสนอราคาแยกต่างหากให้ Agency C โดยไม่ได้กล่าวถึงความเกี่ยวข้องกับ Agency B
  • ทุกอย่างดูราบรื่น แต่แล้วก็มี ข้อความ SMS ที่ไม่คาดคิดส่งมา (เนื้อหาว่า "ส่งอีเมลไม่ได้")

การขัดขวางการยกเลิกสัญญาและร่องรอยการรั่วไหลของข้อมูลภายใน

  • หัวหน้าฝ่าย IT ของ Agency B แจ้งว่า "เกิดปัญหาในการยกเลิกสัญญา และการเตรียมย้ายออกภายในถูกผู้ให้บริการล่วงรู้"
  • ผู้ให้บริการได้รับรู้ทั้งแผนงานภายในของหน่วยงาน รวมถึงใบเสนอราคาของผู้เขียนที่ส่งให้ Agency C
  • Agency C ยังถูกผู้ให้บริการข่มขู่ว่า ฝ่ายนั้นเป็น "ผู้ติดตั้งที่ได้รับการรับรองเพียงรายเดียวของซอฟต์แวร์นี้" พร้อมทั้งกล่าวหาว่าเป็นการแข่งขันที่ไม่เป็นธรรมและขู่ดำเนินคดี
  • หน่วยงานกังวลเรื่องข้อพิพาทที่อาจเกิดขึ้น จึงล้มเลิกแผนย้ายระบบ

ความสงสัยเรื่องการดักอ่านอีเมลและการทดสอบ

  • ที่ Agency C มีการตรวจพบว่าบัญชีที่ยืนยันตัวตนด้วยโทเคนของ ผู้ดูแลสัญญาคนเก่าจากภายนอก ยังคงมี สิทธิ์เข้าถึงอีเมลทั้งหมด
  • บุคคลนั้นยอมรับว่าได้ "แจ้ง" ผู้ให้บริการ แต่ปฏิเสธว่าไม่ได้พูดถึงผู้เขียน
  • เพื่อยืนยันข้อสงสัยเรื่องการดักอ่านอีเมล จึงให้ คนรู้จักในต่างประเทศส่งใบเสนอราคาปลอมมา และหลังจากนั้นผู้ให้บริการก็พูดถึงข้อมูลดังกล่าวทันที
  • สิ่งนี้ชี้ให้เห็นอย่างชัดเจนว่ามีความเป็นไปได้สูงมากที่ อีเมลถูกเปิดอ่านได้

เงื่อนไขสัญญาที่น่าตกใจและการตอบสนองของผู้ให้บริการ

  • เมื่อทีม IT ยื่นคำร้องเรียนอย่างเป็นทางการ ผู้ให้บริการกลับตอบว่า "สามารถทำได้ตามเงื่อนไขในสัญญา" และชี้ไปที่ ข้อแก้ไขฝ่ายเดียว ซึ่งถูกยอมรับไปเมื่อ 2 ปีก่อน
  • ตัวอย่างของเงื่อนไขที่ถูกแก้ไข:
    • ขยายระยะเวลาแจ้งล่วงหน้าจาก 6 เดือนเป็น 12 เดือน
    • สามารถเปลี่ยนบริการที่เคยให้ฟรีให้กลายเป็นแบบมีค่าใช้จ่ายได้
    • อ้างเหตุผลด้าน "ความปลอดภัย" เพื่อ บล็อกการเข้าถึงนอกเหนือจากเว็บเมล (และก็เริ่มบังคับใช้ทันที)
  • นี่เป็นแนวปฏิบัติที่เกิดขึ้นได้ในยุคก่อน GDPR เมื่อกฎระเบียบยังไม่เข้มงวดเพียงพอ

การตอบสนองแบบเฉื่อยชาและความเสียหายเพิ่มเติม

  • ผู้เขียนพยายามชี้แจงด้วยตนเองในประเด็น การแข่งขันที่เป็นธรรม และข้อกล่าวหาเรื่อง ผู้ติดตั้งที่ไม่ได้รับการรับรอง แต่ผู้ให้บริการไม่ตอบสนองต่อความพยายามติดต่อใด ๆ
  • ผู้เขียนแนะนำให้ทั้งสองหน่วยงานดำเนิน การตรวจสอบทางกฎหมายและจริยธรรม แต่ในทางปฏิบัติ ทุกฝ่ายกลับสนใจเพียง ค่าใช้จ่ายที่เพิ่มขึ้น (ฟีเจอร์เดิมที่เคยฟรีถูกเก็บเงิน และมีต้นทุนเพิ่มอีก 30%)
  • องค์กรเหล่านี้มองว่าปัญหาอยู่แค่ภาระงบประมาณ ไม่ได้ให้ความสำคัญกับการทุจริตภายในหรือการละเมิดข้อมูลส่วนบุคคล

บทสรุปและข้อคิด

  • หลายปีต่อมา ผู้อำนวยการที่รับผิดชอบถูกเปลี่ยนตัวทั้งหมด เหลือเพียงทีมเทคนิคที่ยังอยู่ พร้อมความเสียใจและความระมัดระวังมากขึ้น
  • สุดท้ายเรื่องจบลงด้วยการ ย้ายไปยังผู้ให้บริการที่ปลอดภัยกว่า แต่ไม่ได้สร้างสรรค์เป็นพิเศษ
  • ผู้เขียนไม่สามารถแก้ปัญหานี้ได้ถึงราก
  • เมื่อบริษัทที่ประกาศตัวว่าสนับสนุน "โอเพนซอร์ส" แสดงพฤติกรรมแบบ Vendor lock-in หรือ ไร้จริยธรรม เช่นนี้ ทั้งอุตสาหกรรมก็ล้วนได้รับผลกระทบ
  • หัวใจของปัญหาไม่ใช่ซอฟต์แวร์ แต่คือทัศนคติของคนที่ใช้งานและบริหารมัน

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-10-09
ความคิดเห็น Hacker News

  • เคยมีคนหนึ่งที่เป็นผู้จัดการ IT ชั่วคราว และยังคงเชื่อมต่อกับไคลเอนต์อีเมลผ่านการยืนยันตัวตนด้วยโทเค็น ทำให้เข้าถึงข้อความทั้งหมดได้ คนนี้เป็นคู่สัญญาฝ่ายที่เคยทำสัญญากับผู้ขายรายนั้นแต่เดิม พอถามแบบไม่เป็นทางการ เขาก็บอกว่าเขาติดต่อมาเพื่อ "เตือน" และไม่มีปัญหาอะไร พฤติกรรมแบบนี้ทำให้รู้สึกแย่มาก เพราะมีคนที่ทำข้อมูลรั่วหรือฝ่าฝืนกฎแล้วก็พูดว่า "ไม่ใช่เรื่องใหญ่" อยู่เสมอ Director ที่ทำงานกับฉันก็ทำอะไรคล้ายกันหลายครั้ง เวลาไปรู้จักซอฟต์แวร์จากในงานคอนเฟอเรนซ์ก็จะนัดเดโมทันทีและเสนอทำสัญญา แล้วก็ไปรับปากงานกับผู้รับเหมาภายนอกที่ตัวเองรู้จักก่อน ทั้งที่จริงไม่มีอำนาจทำสัญญา เลยค่อยมาติดต่อฉันทีหลัง แม้หลังจากที่ฉันได้รับมอบหมายให้เป็นคนเลือกผลิตภัณฑ์แล้ว เรื่องแบบนี้ก็ยังเกิดขึ้นอีกสองครั้ง ทุกครั้งฉันทำงานภายใต้ผู้จัดการคนละคน แต่ทั้งสองคนก็บอกแค่ว่า "ไม่มีปัญหาอะไร" สุดท้าย Director คนนั้นถูกทักท้วงว่าการรับปากงานและเตรียมสัญญาแบบนี้ขัดกับนโยบายบริษัทอย่างร้ายแรง แต่ Director ไม่สนใจเลย โดยบอกว่าเป็นปัญหาภายในจึงไม่มีใครลงโทษตัวเองได้ ต่อมาเมื่อเราประเมินผลิตภัณฑ์นั้น มันให้คำมั่นว่า "จะดีขึ้นเองเมื่อเวลาผ่านไป" และข้อมูลทั้งหมดของบริษัทก็ถูกป้อนเข้า AI ไปเฉย ๆ โดยไม่สนใจกฎความปลอดภัยของข้อมูลองค์กร ตอนนั้น Director ก็ยังตอบแบบเฉยเมยว่า "มีปัญหาอะไร ทุกคนก็อ่านข้อมูลของคนอื่นกันทั้งนั้น" สุดท้ายฝ่ายกฎหมายต้องเข้ามาแทรกแซงและปิดฟังก์ชัน AI ไป การต้องต่อสู้กับเพื่อนร่วมงานที่มีเจตนาร้ายหรือมักง่ายแบบนี้เป็นเรื่องยากมาก โดยเฉพาะถ้าคนนั้นเป็นเจ้านาย พวกเขามักปัดว่าเป็นแค่ความผิดพลาดแล้วก็ปล่อยผ่านไปโดยไม่มีใครลงโทษได้

    • ฉันเคยทำงานในบริษัท Fortune 100 สองแห่ง และเห็นต่อหน้าต่อตาหลายครั้งว่าผู้จัดการตามจุดต่าง ๆ รับเงินตอบแทนส่วนตัวจากผู้ขาย พอฉันชี้ให้เห็นแบบเปิดเผย ฉันก็ไม่ถูกเชิญเข้าประชุมหลายวงอีกเลย

    • สิ่งที่ Director ทำ คล้ายมากกับสิ่งที่ฉันเห็น HR Director หลายคนชอบทำเป็นประจำ คนกลุ่มนี้ชอบเปลี่ยนซอฟต์แวร์ประเมินผลงานราคาแพงไปเรื่อยทุก 2-3 ปี โดยไม่เคยปรึกษาใครเลย อย่างน้อย Lattice ที่ชอบใช้กันตอนนี้ UX ก็ยังพอใช้ได้ แต่ PeopleSoft ที่เคยใช้ก่อนหน้านั้นแย่มากจริง ๆ

  • คำขอนั้นเรียบง่ายมาก: "ประเมินโซลูชันนี้ แล้วถ้าเหมาะก็ย้ายระบบ" แต่ฉันต้องอ่านหลายรอบกว่าจะเข้าใจถูกต้อง ว่าโซลูชันที่พูดถึงตรงนี้หมายถึงเฉพาะโอเพนซอร์สสแตก โดยไม่รวมผู้ขายที่กล่าวถึงในย่อหน้าก่อน ตอนแรกฉันนึกว่ารวมผู้ขายด้วย แต่พอเริ่มมีการเปรียบเทียบกันต่อเนื่องก็เลยสับสน

    • ฉันก็ต้องอ่านไปหลายย่อหน้าเหมือนกันกว่าจะเข้าใจจุดนี้

    • น่าสนใจ ฉันหยุดอ่านตรงนั้นเลย

  • ฟังดูเหมือนกำลังพูดถึง Oracle อยู่ แน่นอนว่า Oracle จัดการเรื่องแบบนี้ได้แนบเนียนกว่ามาก แต่ฉันแนะนำคนอื่นเสมอว่าให้หลีกเลี่ยงผลิตภัณฑ์ของ Oracle ถ้าทำได้

  • หวังว่าสักวันหนึ่งเรื่องนี้จะถูกเปิดเผยชื่อจริง

    • ผู้เขียนบอกว่าบริษัทนี้ชอบฟ้องร้องทางกฎหมายบ่อยมาก ซึ่งก็เข้าใจได้ว่าเขาคงอยากหลีกเลี่ยงสถานการณ์ที่ถูกฟ้องเป็นการส่วนตัว แม้แต่กรรมการของบริษัทเองก็คงไม่กล้าสู้กับบริษัทนี้

    • มีคนบอกว่า "หวังว่าสักวันจะเปิดเผยชื่อจริง" แต่ผู้เขียนตอบว่าเขาเขียนแบบไม่เปิดเผยตัวตนเพื่อ "ปกป้องความเป็นส่วนตัวของผู้เกี่ยวข้องและบริษัท" ฟังแล้วก็อดคิดไม่ได้ว่าบริษัทก็มีสิทธิความเป็นส่วนตัวด้วยหรือ แต่ฉันก็เข้าใจความรู้สึกนี้ ฉันเคยทำงานที่บริษัทหนึ่งซึ่งทำเรื่องที่ยอมรับไม่ได้เลยในช่วงภัยพิบัติทางธรรมชาติ พอฉันยกปัญหาขึ้นมา ฉันกลับเป็นคนเดียวที่โดนลงโทษ ส่วนเพื่อนร่วมงานคนอื่นก็ทนเงียบกันไป สุดท้ายฉันก็ลาออกทันทีที่มีโอกาส แม้จะผ่านมาราว 20 ปีแล้ว แต่พอจะเขียนเรื่องนั้นออกมาเป็นลายลักษณ์อักษรก็ไม่ง่ายเลย เพราะมันผ่านมาหลายสิบปีแล้ว จะยังมีความหมายอะไรหรือ ชื่อบริษัทกับผู้บริหารก็เปลี่ยนไปหมดแล้ว เลยสงสัยว่าจะเหลืออะไรให้ได้ประโยชน์ ด้วยเหตุนี้ในบล็อกของฉันจึงมี dead-man's switch ที่จะเปิดเผยเรื่องแย่ ๆ ของหลายบริษัทโดยอัตโนมัติ แต่ถึงมีคนเห็นแล้วจะเปลี่ยนอะไรได้ไหม ก็คงมีแต่ทำให้โมโหหรือไร้ความหมาย ถึงอย่างนั้น ฉันก็เป็นคนหนึ่งที่ชอบตะโกนบน HN ให้เปิดเผยชื่อจริงอยู่เสมอ สุดท้ายก็เลยย้อนแย้งกับตัวเอง

    • น่าเสียดายมากที่พวกเขาอยู่ใน EU ซึ่งดูเหมือนทั้งในทางกฎหมายและวัฒนธรรมจะไม่ได้ให้ความสำคัญกับเสรีภาพในการแสดงออกมากนัก

  • คนนี้ดูเหมือนทำงานอยู่ในสภาพแวดล้อมแบบ "ทุ่งกับระเบิด" จริง ๆ ทุกก้าวมีปัญหาแตกขึ้นมา และยังมีศัตรูที่แข็งแกร่งอยู่ด้วย ลิงก์ที่เกี่ยวข้อง

    • สภาพแวดล้อมแบบทุ่งกับระเบิดนี้จริง ๆ แล้วเป็นภาพสะท้อนของระบบนิเวศธุรกิจอิตาลี อิตาลีเต็มไปด้วยบริษัทเล็ก ๆ ที่บริหารกันในครอบครัวหรือในกลุ่มญาติพี่น้อง เรื่องแบบนี้เกิดขึ้นทุกวัน ถ้าเรื่องนั้นเป็นความจริง ผู้เขียนอาจเป็นคนที่มีสายสัมพันธ์บางอย่างกับ Guardia di Finanza ซึ่งเป็นตำรวจภาษี หน่วยงานนี้แทบจะมีอำนาจเป็นความเป็นความตายต่อผู้ประกอบการรายย่อยเลยทีเดียว

  • อาจจะเป็นเพราะสับสนเรื่องช่วงเวลาหรือสับสนว่าใครเป็นใคร แต่มีการบอกว่า "บริษัทนี้เสนอผลิตภัณฑ์เวอร์ชันที่ดูแลเองและใส่ฟีเจอร์เฉพาะของตัวเอง" ซึ่งทำให้ฉันสงสัยว่านั่นยังถือเป็นโอเพนซอร์สอยู่ไหม

    • โครงการแบบนี้มีเยอะมาก ตัวอย่างเช่น Gitlab มีทั้ง Community Edition ที่เป็นโอเพนซอร์ส และรุ่น Premium กับ Ultimate ที่ให้บริการแบบเสียเงิน

    • นี่คือกรณีของการ "ทำตามตัวอักษรของกฎหมาย" ในยุโรป โดยเฉพาะกฎหมายระดับประเทศของหลายประเทศ มักกำหนดให้ภาครัฐต้องใช้โอเพนซอร์ส เหตุผลก็เพื่อรับประกันการทำงานร่วมกัน ป้องกัน vendor lock-in รักษาอธิปไตยดิจิทัล และยึดหลักว่า "เงินสาธารณะ = โค้ดสาธารณะ" การไปใช้โอเพนซอร์สบนเซิร์ฟเวอร์ของคนอื่น แม้ในทางเทคนิคจะถือว่าทำตามข้อกำหนด แต่ถ้ามองถึงเหตุผลที่แท้จริงของการใช้โอเพนซอร์ส โดยเฉพาะเรื่องการหลีกเลี่ยง vendor lock-in แล้ว มันก็ดูตลกดี

  • รายละเอียดปลีกย่อยในสัญญาต้องอ่านอย่างถี่ถ้วนก่อนเซ็นเสมอ สัญญาผู้บริโภคทั่วไปก็จริง แต่สัญญาธุรกิจยิ่งจำเป็น

    • แม้แต่สัญญาธุรกิจขนาดเล็กก็ไม่ใช่ข้อยกเว้น ในองค์กรไม่แสวงหากำไรที่ฉันเป็นกรรมการอยู่ พนักงานไปดูเครื่องมัลติฟังก์ชันสำหรับสำนักงานแล้วเอาสัญญากลับมา บอกว่าตรวจสอบหมดแล้วให้ฉันเซ็นได้เลย แต่เงื่อนไขชวนตกใจมาก เช่น ถ้าเรายกเลิกไม่ว่าด้วยเหตุผลใดก็ตาม แม้อีกฝ่ายจะไม่ปฏิบัติตามสัญญา เราก็ยังต้องจ่ายเงินค่าสัญญาที่เหลือทั้งหมดทันที เพราะเป็นโครงสร้างแบบเช่า ค่าเครื่องทั้งก้อนถูกเก็บรวมไว้ในค่ารายเดือน แต่กรรมสิทธิ์ในเครื่องก็ยังเป็นของผู้ขาย สุดท้ายต่อให้ยกเลิก เครื่องก็ยังเป็นของผู้ขาย ส่วนเราต้องจ่ายเงินครบ และถ้ามีข้อพิพาททางกฎหมาย เราฝ่ายเดียวต้องรับผิดชอบค่าทนายทั้งหมด ฉันบอกไปเลยว่าไม่มีทางเซ็น และพนักงานก็โกรธฉันอยู่เกือบหนึ่งปีเพราะที่อื่นเขาก็เซ็นกันหมด

    • คำแนะนำคือให้อ่านรายละเอียดปลีกย่อยให้ครบ แต่จริง ๆ จากเรื่องนี้ก็เห็นว่าบางครั้งมันแทบไม่มีความหมาย เพราะเงื่อนไขสัญญามักถูกเปลี่ยนแบบ "ฝ่ายเดียว" โดยไม่แจ้งคู่สัญญา ในอุตสาหกรรม IT เรื่องแบบนี้แทบเป็นเรื่องปกติ ต่อให้คุณตรวจเงื่อนไขในสัญญาที่เซ็นไปแล้วอย่างละเอียดแค่ไหน ก็ไม่มีประโยชน์ถ้ามันถูกเปลี่ยนภายหลัง ทุกวันนี้แค่มีอีเมลแจ้งว่าเงื่อนไขการใช้งานเปลี่ยนก็ถือว่าโชคดีแล้ว ท่าทีคือถ้าไม่ยอมรับแล้วจะทำอะไรได้ ใครไม่ใช่ทนายก็คงบอกว่านี่ผิดกฎหมาย แต่เพราะศาลแทบไม่เคยลงโทษจริงจัง เรื่องนี้เลยเกิดซ้ำแล้วซ้ำอีก

    • ต้องนับเวลา ความพยายามที่ใช้ตีความและตรวจสัญญา รวมถึงความเสี่ยงหากเข้าใจผิด ให้เป็นต้นทุนด้วย เมื่อคิดแบบนี้แล้ว บางสัญญาก็อาจจะคุ้มกว่าถ้าไม่ทำตั้งแต่แรก

    • ฉันสงสัยว่าข้อกำหนดเรื่อง "การแก้ไขฝ่ายเดียว" มันทำงานจริง ๆ อย่างไร ถ้าไม่ชอบรายละเอียดใหม่ เราต้องรีบแจ้งยกเลิกก่อน 6 เดือนเลยหรือเปล่า

    • ฉันเคยอ่านข้อตกลงสมัครใช้งาน ID.me แล้วช็อกมาก มันเรียกร้องให้สละสิทธิความเป็นพลเมืองอย่าง "สมัครใจ" เลยทำให้ฉันไม่อยากใช้ แต่ถ้าจะล็อกอิน IRS.gov ก็ไม่มีทางเลือกอื่น ถ้าจะดู YouTube ก็ต้องมีบัญชี Google ถ้าจะอยู่ในกลุ่มแชตของผู้ปกครองก็ต้องยอมรับเงื่อนไขของ Meta บน WhatsApp เรื่องแบบนี้ไม่มีที่สิ้นสุดจริง ๆ

  • ฉันไม่ใช่ผู้เชี่ยวชาญด้านกฎหมาย แต่คิดว่าเป้าหมายของการที่พวกเขาอ่านอีเมลและดำเนินการตามนั้นมันผิดกฎหมายอย่างชัดเจนมาก จนสัญญาเองก็ควรถูกมองเป็นโมฆะ

    • โดยเฉพาะถ้านี่เป็นหน่วยงานรัฐ มันยิ่งน่าตกใจมาก ถ้าผู้รับเหมาภายนอกแอบฝัง backdoor ในเซิร์ฟเวอร์อีเมลแล้วคอยสอดแนมอีเมลอยู่ล่ะ? อาจเป็นได้ตั้งแต่การทุจริตไปจนถึงปฏิบัติการข่าวกรองต่างชาติเลยก็ได้ ถ้าเรื่องนี้เกิดในสหรัฐฯ FBI หรือ CIA คงออกมาจัดการปัญหาผู้ขายแบบนี้จนหมดสิ้นไปแล้ว

    • ใช่ ปัญหาคือถ้าจะยกเลิก คุณต้องไปสู้ในศาลกับอีกฝ่ายที่เป็นศัตรูอย่างยิ่ง และพวกเขาจะพยายามทุกทางให้เราเสียเงินเพิ่ม องค์กรบางแห่งให้ความสำคัญกับความปลอดภัยมากกว่าจริยธรรม จึงยอมจ่ายเพิ่มเพื่อเลี่ยงความเสี่ยง ขณะเดียวกันก็มีบริษัทที่ยอมต่อสู้เพื่อยุติการฟ้องสิทธิบัตรที่ไม่เป็นธรรม หรือเพื่อล้มเงื่อนไขสัญญาที่ไม่สมเหตุสมผล กรณีนี้ชัดเจนว่าองค์กรนั้นไม่ใช่แบบหลัง

    • นี่ไม่ใช่คำแนะนำทางกฎหมาย แต่ฉันคิดว่าเรื่องแบบนี้จำเป็นต้องเปิดเผยชื่อจริงเพื่อเตือนคนอื่น

  • คิดว่าคนใน HN หลายคนน่าจะเคยเจอสถานการณ์คล้ายกัน เมื่อก่อนฉันเคยกำลังปิดระบบแบบลับ ๆ อยู่ และระหว่างบริษัทเรากับพาร์ตเนอร์ก็ใช้โค้ดเบสร่วมกัน นักพัฒนาคนหนึ่งของเราดันเขียนอะไรประมาณ "Reversing Migration Script" ลงใน commit และไม่ถึงหนึ่งชั่วโมงต่อมา CEO ของทั้งสองบริษัทก็ปะทะกันอย่างรุนแรง ทีหลังถึงได้รู้ว่าอีกบริษัทเฝ้าตรวจจับคำประเภทนี้ในโค้ดแบบเรียลไทม์ พอเห็นสัญญาณว่าเรากำลังจะยุติความร่วมมือก็ลงมือทันที ทั้งที่จริงก็เป็นการยุติตามสัญญาอย่างถูกต้องก่อนหมดอายุ ไม่มีอะไรผิดปกติเลย พอรู้ทีหลังว่ามีการเฝ้าระวังแบบนี้ ในบริษัทก็เกิดการล่าแม่มดว่า "ใครเป็นสาย" ด้วย เป็นประสบการณ์ที่หนักมาก ตอนนี้เหมือนโลกจะมองพฤติกรรมระดับโรคจิตแบบนี้ว่าเป็นเรื่องธรรมดาไปแล้ว มีแต่ฉันนี่แหละที่ยังทำงานแบบซื่อ ๆ เหมือนคนยุคเก่า เลยไม่แปลกที่หลายบริษัทอยากรับแต่คนอายุ 20 กว่า /ล้อเล่นนิดหน่อย

    • ถ้าแชร์ได้ก็อยากรู้ว่าพวกเขาเฝ้าตรวจจับอย่างไรในทางปฏิบัติ อยากเรียนรู้จากกรณีแบบนี้

    • เวลาต้องเขียนอะไรในจุดที่อาจถูกเฝ้าดู ก็ควรใส่ชื่อตัวแปรที่กระตุ้นระบบได้ง่าย ๆ ลงไป แบบมุกเกี่ยวกับ NSA สมัยก่อนนั่นแหละ

  • เขาบอกว่านี่เป็น "เรื่องสยองขวัญที่สร้างจากเรื่องจริง" แต่ฉันก็สงสัยว่าจริงแค่ไหน ถ้ารายละเอียดเป็นเรื่องจริงทั้งหมดก็น่าจะยิ่งน่าสนใจ

    • มีการระบุไว้ชัดเจนว่า "เพื่อปกป้องความเป็นส่วนตัว จึงมีการดัดแปลงเทคโนโลยี สถานการณ์ และรายละเอียดบางส่วน หรือผสมรวมกับประสบการณ์อื่น" ซึ่งก็เป็นตรรกะแบบเดียวกับที่สื่อใช้ชื่อปลอมเพื่อหลีกเลี่ยงคดีหมิ่นประมาท