กฎหมายปลอดภัยไซเบอร์ เป้าหมายป้องกันหรือควบคุม?

หมายเหตุ – ความเห็นนักวิชาการจากงานจุฬาฯเสวนา ครั้งที่ 17 เรื่อง “เจาะลึก พ.ร.บ.มั่นคงไซเบอร์’62 คุ้มกันหรือควบคุมพื้นที่ออนไลน์” จัดโดยจุฬาลงกรณ์มหาวิทยาลัย ที่อาคารจามจุรี 4 จุฬาฯ เมื่อวันที่ 7 มีนาคม


 

ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง
คณะนิติศาสตร์ จุฬาฯ

ปัญหาของ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ คือหน่วยงานและผู้ประกอบการเอกชน 1.ไม่มีแรงจูงใจ 2.ไม่มีบทลงโทษที่จะไปจูงใจและกระตุ้นให้เขามีความมั่นคงปลอดภัยในระบบของตัวเอง หากไม่มีกฎหมายพวกนี้อยู่และมีความเสียหายเกิดขึ้น สิ่งเดียวที่จะทำได้คือการฟ้องว่าเขาละเมิดและทำความเสียหาย เพื่อให้ชดใช้ค่าเสียหาย สิ่่งนี้ทำไม่ทันและไม่เพียงพอต่อสถานการณ์ปัจจุบัน ดังนั้น หลักการคือเราจะทำอย่างไรถึงจะแก้ปัญหาตรงนี้ได้

ส่วนระดับภัยคุกคามทางไซเบอร์แบ่งออกเป็น 3 ระดับ คือ 1.ระดับไม่ร้ายแรง คือมีความเสี่ยงอย่างมีนัยสำคัญที่ทำให้ระบบคอมพิวเตอร์ของหน่วยงานและโครงสร้างพื้นฐานสำคัญของประเทศด้อยประสิทธิภาพลง ไม่ถึงกับพังหรือหยุดไปเลย แต่จะทำให้ทำงานช้าหรืออาจทำงานไม่ได้บางส่วน แต่ส่วนใหญ่ก็ยังทำงานได้

2.ระดับร้ายแรง มีลักษณะที่เพิ่มขึ้นอย่างมีนัยยะสำคัญของการโจมตีคอมพิวเตอร์โดยมุ่งหมายที่จะโจมตีโครงสร้างพื้นฐาน ทำให้มีผลกระทบต่อระบบความมั่นคงของประเทศ จนไม่สามารถทำงานหรือให้บริการได้

และ 3.ระดับวิกฤต วงเล็บ ก บอกว่าเป็นระดับที่สูงขึ้นและมีลักษณะที่เป็นวงกว้าง ทำให้เกิดความล้มเหลวทั้งระบบจนรัฐไม่สามารถควบคุมได้จนอาจไม่สามารถแก้ไขปัญหาได้ อาจมีผลให้บุคคลจำนวนมากเสียชีวิต วงเล็บ ข บอกว่าวิกฤตนี้เป็นภัยคุกคามทางไซเบอร์ซึ่งอาจกระทบต่อความสงบของประชาชนและเป็นภัยต่อความมั่นคงของรัฐ ทำให้ประเทศหรือส่วนหนึ่งส่วนใดของประเทศตกอยู่ในภาวะคับขัน ถือเป็นการกระทำความผิดเกี่ยวกับการก่อการร้ายซึ่งจำเป็นต้องมีมาตรการเร่งด่วนเข้ามาแก้ปัญหา

ดร.รอม หิรัญพฤกษ์
ประธานคณะอนุกรรมการด้านนโยบายและผลกระทบ
คณะกรรมการธุรกรรมอิเล็กทรอนิกส์

ประเด็นสำคัญเรื่องความมั่นคงปลอดภัยอย่างหนึ่งคือการบังคับต่างๆ ส่วนใหญ่จะเกิดในภาครัฐหลังจากออกคำสั่งมาแล้ว เนื่องจากใครจะทำ เรื่องสำคัญขนาดไหน ต้องมีมาตรฐานระดับต่างๆ ปัญหาคือ เวลามีการกระทำผิดจะไม่มีใครรับผิดชอบ ในที่สุดความรับผิดชอบก็จะตกอยู่กับผู้บริหารสูงสุดของหน่วยงานนั้นๆ ซึ่งผู้บริหารต้องรับผิดชอบไป ไม่สามารถบอกได้ว่าซีอีโอไม่เกี่ยวไม่ได้ ดังนั้น พ.ร.บ.มั่นคงไซเบอร์ทำให้เห็นถึงความชัดเจนว่าใครเป็นผู้รับผิดชอบ

สิ่งเหล่านี้คือที่มาว่าทำไมต้องเป็นแบบนี้ เพื่อจะได้เข้าใจว่าสังคมที่เราอยู่จะต้องเป็นยังไง ต้องเข้าใจก่อนว่ากฎหมายไทยไม่มีอำนาจในการลอบดักฟังโทรศัพท์ หรืออะไรต่างๆ โดยไม่ต้องขอศาล แต่ถ้าเป็นภัยอันตรายหรือระดับสูงซึ่งมีอยู่แล้ว แต่พวกเราไม่รู้ ส่วนตัวไม่คิดว่าจะมีใครมาดักฟัง แอบดูอีเมล์ หรือโซเชียลโดยที่ไม่ได้รับอนุญาต แต่อาจมีความเสียหายเกิดขึ้นในอนาคตได้ สิ่งเหล่านี้คือประเด็นที่ถูกเขียนลงใน พ.ร.บ.มั่นคงไซเบอร์ ส่วนที่เหลืออยู่ที่ต้องทำคือจะทำยังไงให้คนในสังคมเข้าใจว่าเรื่องนี้เป็นเรื่องสำคัญและจะกระทบตัวท่านทั้งทางตรงและทางอ้อม ดังนั้น การให้ความรู้ว่า หากท่านเป็นผู้ประกอบการ ท่านต้องมีความรับผิดชอบอย่างไรเมื่อท่านให้บริการเรื่องไซเบอร์เซอร์วิสให้กับประชาชนคนอื่น เราต้องสื่อสารให้เข้าใจว่า ถ้าท่านมีองค์กรที่ใช้สิ่งเหล่านี้ท่านต้องรับผิดชอบอะไรบ้างให้ชัดเจน

ท้ายที่สุดใน พ.ร.บ.นี้มีเรื่องการตั้งสำนักงานของโครงการที่จะต้องรับผิดชอบ ซึ่งต้องมาดูกันต่อว่าจะหาคนที่ทำงานพวกนี้ได้ที่ไหน อย่างไร มีคุณสมบัติ และมาตรฐานอย่างไร

วีระ รัตนแสงเสถียร
ประธานคณะทำงานการรักษาความมั่นคงปลอดภัยไซเบอร์ฯ สมาคมโทรคมนาคมแห่งประเทศไทยในพระบรมราชูปถัมภ์

หัวข้อพูดถึงคำว่าคุ้มกันและควบคุม หากฟังจากวิทยากรที่ผ่านมาคิดว่าเจตจำนงหรือคุณธรรมของกฎหมายฉบับนี้น่าจะพูดถึงการรักษา คุ้มครอง ปกป้องประชาชน โดยกลไกของกฎหมายดำเนินผ่านคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) รวมถึงคณะกรรมการย่อย ซึ่งทำงานผ่านสำนักงานและศูนย์ไซเบอร์แห่งชาติ โดยคณะทำงานที่ศึกษามามองว่าร่างตัวนี้ในรูปแบบดังกล่าวเหมาะสมกว่าร่างเดิม หรือร่างปีที่แล้ว ซึ่งให้อำนาจส่วนเลขาฯในการตัดสินใจต่างๆ ค่อนข้างมาก

ข้อดีของกฎหมายคือ การนำอำนาจศาลเข้ามาช่วยพิจารณาการดำเนินงานของภาครัฐ เมื่อภาครัฐมีความเข้าใจว่าสิ่งต่างๆ มีผลกระทบต่อการักษาความมั่นคง ปลอดภัย ต้องมีอำนาจของศาลเข้ามาถ่วงดุล เราคิดว่านี่เป็นข้อดีมากกว่า ฟันธงว่าเป็นการคุ้มกันมากกว่าควบคุม ทั้งนี้ จากการพูดคุยของสมาคมฯกับผู้ประกอบการ เรามีความเห็นตรงกันเรื่องความชัดเจน เช่น คำว่ารุนแรง ไม่รุนแรง วิกฤต เมื่อไปดำเนินการลักษณะผู้ปฏิบัติที่เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ หรือซีไอไอ เช่น ผมเป็นผู้ประกอบการโทรศัพท์เคลื่อนที่ อาจต้องมาพูดว่าเข้าข่ายวิกฤตหรือรุนแรงหรือไม่ ต้องใช้มาตราข้อไหน

ที่ผ่านมาภาครัฐได้กรุณาให้ภาคเอกชน นักวิชาการ และภาคประชาชนเข้าไปให้ความเห็นต่อร่างเก่า โดยสิ่งเหล่านั้นเข้าไปปรากฏอยู่ในร่างฉบับนี้จำนวนมาก ขอชื่นชมในการเปิดเวทีขึ้นมา พร้อมนำไปประมวลและจัดทำ เชื่อว่าความชัดเจนในการทำให้ซีไอไอปฏิบัติได้ตามมาตรฐานที่วางไว้ คงเป็นประโยชน์มากหากภาครัฐดำเนินการได้สอดคล้องกับการทำร่างฉบับนี้ นั่นคือการเปิดรับฟังความเห็น ร่วมคิด พิจารณา นโยบาย ข้อกำหนดต่างๆ ซึ่งเข้าใจว่าบทเฉพาะกาลของร่างฉบับนี้ให้เวลา 1 ปี คิดว่ามีเวลามากพอสมควรที่ทุกภาคส่วนจะช่วยให้ภาครัฐจัดทำกฎหมายที่เป็นกฎหมายรองจากฉบับนี้ มีความสามารถดำเนินการได้จริง เหมาะกับสถานการณ์ที่เกิดขึ้นในปัจจุบัน

อาทิตย์ สุริยะวงศ์กุล
ผู้ประสานงานเครือข่ายพลเมืองเน็ต

ผมไม่ใช่ผู้เชี่ยวชาญหรือผู้มีความรู้ เพียงแค่ติดตามอ่านหรือดูด้วยสายตาของผู้มีความสงสัยตลอดเวลาว่าผู้มีอำนาจไม่ว่ารัฐหรือเอกชนควรได้รับการตรวจสอบด้วยกลไกต่างๆ ทั้งนี้ ความสงสัยของผมไปถึงเรื่องที่กฎหมายนี้พูดถึงโครงสร้างพื้นฐานที่อยู่ในมาตรา 3 ของ พ.ร.บ.มั่นคงไซเบอร์ จะเห็นว่าคำนิยามของคำว่าภัยคุกคามทางไซเบอร์ไม่มีตรงไหนที่พูดถึงโครงสร้างพื้นฐานสำคัญการสารสนเทศของประเทศ หรือซีไอไอ มีเฉพาะคำว่าคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ และข้อมูลอื่นๆ แต่จะไปอยู่ในมาตราที่เกี่ยวข้อง อาทิ มาตรา 60, 61 แต่โดยนิยามของภัยคุกคามทางไซเบอร์ไม่มีนิยามของซีไอไออยู่

หากไปดูกฎหมายที่เกี่ยวข้องกับซีไอไอในมาตรา 60 ซึ่งคำว่าโครงสร้างพื้นฐานสำคัญการสารสนเทศของประเทศปรากฏอยู่ในภัยระดับไม่ร้ายแรง ภัยระดับร้ายแรง และภัยระดับวิกฤต แต่มีอยู่ในเฉพาะข้อ ก เท่านั้น หากไปดูนิยามในการแบ่งระดับของมาตรา 60 วงเล็บ 3 ข ไม่มีตรงไหนอ้างถึงซีไอไอ ดังนั้น เวลาอ้างว่าใช้ซีไอไอทั้งฉบับจึงเป็นจริงเฉพาะข้อ 1, 2 และ 3 เฉพาะ ก เท่านั้น

ภัยคุกคามทางไซเบอร์ไม่ใช่ทุกครั้งที่คำว่าโครงสร้างพื้นฐานสำคัญการสารสนเทศของประเทศจะปรากฏอยู่ในนิยามของภัยระดับต่างๆ ทั้งนี้ การที่ภัยคุกคามทางไซเบอร์บอกว่าเป็นการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ และข้อมูลอื่นๆ ที่เกี่ยวข้อง ตกลงคืออะไรบ้าง ระบบคอมพ์อาจดูตรงไปตรงมา แต่ข้อมูลคอมพิวเตอร์ไม่มีกำหนดนิยามไว้ โดยทั่วไป หากไม่ได้กำหนดนิยามไว้ในกฎหมายโดยตรง ให้ดูนิยามจากกฎหมายข้างเคียงที่ใกล้เคียงที่สุด ตามความเข้าใจซึ่งอาจจะผิดคือให้ดูนิยามของข้อมูลคอมพิวเตอร์ใน พ.ร.บ.คอมพิวเตอร์ ฉบับ 2550 แก้ไข 2560 ซึ่งคำว่าข้อมูลคอมพิวเตอร์ในกฎหมายนั้นรวมถึงเนื้อหาด้วย ตลอดจนคำว่าข้อมูลอื่นๆ ที่เกี่ยวข้องก็ไม่มีกำหนดนิยามว่าเป็นแบบไหน

หากดูตามประวัติศาสตร์ไทย สภาความมั่นคงของชาติมีลักษณะแบบทหารนำพลเรือน อาทิ ข่าวกรอง ซึ่งมีแนวโน้มว่าหน่วยงานเหล่านี้มักมองคนเห็นต่างเป็นศตรู ส่วนหนึ่งนอกจากจะมีความกังวลกับตัวบทซึ่งมีความไม่ชัดเจนแล้ว ยังกังวลเรื่องการบังคับใช้กฎหมาย เช่น พ.ร.บ.คอมพิวเตอร์ร่างหลักการดีมาก แต่ใช้ฟ้องในทางการเมืองบ้างเล็กน้อย นี่เป็นความกังวลโดยชอบธรรมสำหรับคนที่ออกมาตั้งคำถามว่าการบังคับใช้นั้น หากแนวปฏิบัติไม่ชัดเจน เจ้าหน้าที่มีช่องตีความเยอะ อาจเกิดปัญหาได้ แม้จะมีเจตนาดีก็ตาม เชื่อว่าหากทำให้ชัดเจน ปัญหาอาจลดลงไป

นอกจากนี้ทุกสิ่งทุกอย่างต้องผ่านศาล โดยส่วนที่ผ่านก็มีจริง ที่ไม่ผ่านก็มี เช่น มาตรา 65 ในวงเล็บ 5 เรื่องการเข้าถึงข้อมูลคอมพิวเตอร์เรื่องเดียวเท่านั้นที่ต้องขอคำสั่งศาล รวมทั้งมาตรา 66 ซึ่งมี 4 วงเล็บ วงเล็บที่ 2-4 ต้องขอคำสั่งศาล วงเล็บที่ 1 ซึ่งเป็นการเข้าตรวจสอบสถานที่ไม่ต้องขอคำสั่งศาล ดังนั้น การจะตีว่าทุกอย่างต้องขอคำสั่งศาลนั้นน่าจะไม่ใช่ข้อเท็จจริง

เกาะติดทุกสถานการณ์จาก
Line @Matichon ได้ที่นี่

LINE @Matichon

บทความก่อนหน้านี้เอ็ม บุษราคัม เผยถึงฝันที่แม่นเวอร์ ทำตาหม่ำ จ๊กมก ได้เฮ เตรียมต้อนรับหลานคนที่ 2
บทความถัดไปปธ.ศาลฎีกา ประชุมขับเคลื่อนนโยบาย ‘ท่านเปา’ ตั้งเป้าพิจารณาคดีไม่เกิน 1 ปี