ส่องเนื้อหา-สาระ “พ.ร.บ.ความมั่นคงไซเบอร์-คุ้มครองข้อมูลส่วนตัว” กระทบแค่ไหน

การประชุมสภานิติบัญญัติแห่งชาติ (สนช.) เมื่อ 22 ก.พ.ที่ผ่านมา ได้มีวาระการพิจารณาร่าง พ.ร.บ.ความมั่นคงปลอดภัยทางไซเบอร์ และร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ซึ่งหาก สนช.ให้ความเห็นชอบในวาระ 2-3 ก็พร้อมประกาศลงในราชกิจจานุเบกษาทันที 

ตั้งกรรมการพรึ่บ! คุมไซเบอร์

สำหรับร่าง พ.ร.บ.ความมั่นคงปลอดภัยทางไซเบอร์ หากประกาศใช้จะมีการตั้ง “กมช.” คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มีนายกรัฐมนตรีเป็นประธานกรรมการ กรรมการโดยตำแหน่ง อาทิ รัฐมนตรีกลาโหม เลขาธิการสภาความมั่นคงแห่งชาติ เป็นผู้กำหนดนโยบายและแผนงาน

แต่ในการดำเนินงานจะมี “กกม.” คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ ซึ่งมีรัฐมนตรีดีอีเป็นประธาน มีกรรมการโดยตำแหน่ง อาทิ ผู้บัญชาการทหารสูงสุด ผู้อำนวยการสำนักข่าวกรองแห่งชาติ ปลัดกระทรวงที่เกี่ยวข้อง ผู้ว่าการ ธปท. เลขาธิการ ก.ล.ต. เลขาธิการ กสทช. กำหนดแนวทางปฏิบัติของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) และประสานการเผชิญเหตุ

โดยหากเป็นภัยคุกคามระดับ “ร้ายแรง” อาจมอบอำนาจให้รัฐมนตรีดีอี ผู้บัญชาการทหารสูงสุด ปฏิบัติการได้กำหนด CII 8 ด้านสาระสำคัญ คือ จะประกาศรายชื่อหน่วยงานที่มีภารกิจ หรือ

บริการใน 8 ด้าน เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ได้แก่ ความมั่นคงของรัฐ บริการภาครัฐที่สำคัญ การเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม การขนส่งและโลจิสติกส์ พลังงานและสาธารณูปโภค สาธารณสุข และด้านอื่น ๆ ตามที่บอร์ดกำหนดเพิ่มเติม ซึ่งมีหน้าที่ต้องปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยที่กำหนด

ทั้งยังได้แบ่งประเภทภัยคุกคามทางไซเบอร์ออกเป็น 3 ระดับ คือ “ไม่ร้ายแรง” หมายถึง ภัยคุกคามที่มีความเสี่ยงทำให้ระบบคอมพิวเตอร์ของ CII หรือบริการของรัฐด้อยประสิทธิภาพลง “ร้ายแรง” หมายถึง การโจมตีระบบ มุ่งเป้าที่ CII ทำให้บริการภาครัฐ ความมั่นคงของรัฐ การป้องกันประเทศ เศรษฐกิจ สาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชนเสียหายจนไม่สามารถทำงานหรือใช้บริการได้

“วิกฤต” มีการโจมตีที่ส่งผลกระทบรุนแรงในวงกว้าง ทำให้ระบบล้มเหลวจนรัฐไม่สามารถควบคุมได้ มีความเสี่ยงที่จะลามไปยังโครงสร้างพื้นฐานสำคัญอื่น ๆ หรือเป็นภัยที่กระทบต่อความสงบเรียบร้อยของประชาชนหรือความมั่นคงของรัฐ หรืออาจทำให้ประเทศหรือส่วนใดส่วนหนึ่งตกอยู่ในภาวะคับขัน ซึ่งจำเป็นต้องมีมาตรการเร่งด่วนเพื่อรักษาไว้ซึ่งการปกครองระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรงเป็นประมุขตามรัฐธรรมนูญ

ให้อำนาจเมื่อภัยร้ายแรง-วิกฤต

เมื่อ กกม.เห็นว่าเกิดหรือคาดว่าจะเกิดภัยคุกคามระดับร้ายแรง ให้ออกคำสั่งเพื่อรับมือ ได้มีหนังสือขอความร่วมมือบุคคลมาให้ข้อมูล ขอเอกสาร เข้าไปในอสังหาริมทรัพย์หรือสถานประกอบการที่เกี่ยวข้อง หรือคาดว่ามีส่วนเกี่ยวข้องกับภัยคุกคาม โดยได้รับความยินยอมจากผู้ครอบครองสถานที่นั้น กรณีจำเป็นต้องเข้าถึงข้อมูลคอมพิวเตอร์และระบบ รวมถึงการยึด-อายัดอุปกรณ์ ให้ยื่นคำร้องต่อศาล

หากเป็นภัย “วิกฤต” ให้สภาความมั่นคงแห่งชาติดำเนินการตามกฎหมายนี้ และหากจำเป็นเร่งด่วน ให้เลขาธิการดำเนินการได้ทันที ไม่ต้องยื่นคำร้องต่อศาลในระหว่างจัดตั้งสำนักงาน ให้สำนักงานปลัดกระทรวงดีอีทำหน้าที่ตาม พ.ร.บ.นี้ และให้ปลัดดีอีทำหน้าที่เป็นเลขาธิการ

ข้อมูลส่วนบุคคลต้องได้รับการยินยอม

ขณะที่ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ล่าสุดให้เวลาเตรียมตัว 1 ปี หลังประกาศในราชกิจจานุเบกษา ทั้งยัง “ตัดทิ้ง” ข้อยกเว้นการบังคับใช้ตามร่างเดิม แต่เพิ่มเรื่องเสรีภาพในการเสนอข่าวสารหรือการแสดงความคิดเห็นที่ไม่กระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลจนเกินสมควร หรือเป็นไปเพื่อประโยชน์สาธารณะ

โดยหลังประกาศใช้จะมีการตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยประธานจะได้มาจากการสรรหาผู้เชี่ยวชาญ ซึ่งนายกรัฐมนตรีและประธานรัฐสภา ผู้ตรวจการแผ่นดิน คณะกรรมการสิทธิมนุษยชนแห่งชาติ เป็นผู้แต่งตั้งกรรมการสรรหา

หลักสำคัญ คือ การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน และสามารถถอนความยินยอมได้ในภายหลัง รวมถึงเจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลาย เมื่อการเก็บ ใช้ เปิดเผย ทำโดยไม่ชอบด้วยกฎหมาย หรือเมื่อถอนความยินยอม

ทั้งการระบุให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลต้องชดใช้ค่าสินไหมทดแทนหากฝ่าฝืนกฎหมายนี้ ไม่ว่าจะเกิดจากการจงใจหรือประมาท

ขณะเดียวกันได้กำหนดโทษทางอาญาของผู้ฝ่าฝืนด้วย โดยหากเก็บ-ใช้-เปิดเผยข้อมูล โดยไม่ได้รับการยินยอม ทำให้ผู้อื่นเกิดความเสียหาย มีโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 5 แสนบาท หากเป็นการแสวงหาประโยชน์โดยมิชอบ เพิ่มเป็นจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท แต่ยอมความได้

ส่วนผู้ควบคุมข้อมูลไม่ดำเนินการเกี่ยวกับการขอคำยินยอมตามแบบที่กำหนด มีโทษปรับไม่เกิน 1 ล้านบาท หากหลอกลวงหรือทำให้เข้าใจผิดเพื่อให้ความยินยอม หรือส่ง-โอนข้อมูลไม่ถูกต้อง โทษปรับไม่เกิน 3 ล้านบาท ในกรณีเป็นข้อมูลมีข้อกำหนดพิเศษในการจัดเก็บ หากฝ่าฝืนมีโทษปรับไม่เกิน 5 ล้านบาท

หากไม่เข้ามาชี้แจงข้อเท็จจริงตามคำสั่งของคณะกรรมการผู้เชี่ยวชาญ หรือไม่อำนวยความสะดวกต่อเจ้าหน้าที่ ที่มีคำสั่งศาลให้เข้าไปในสถานที่เพื่อตรวจสอบข้อเท็จจริง ยึดหรืออายัดเอกสาร มีโทษปรับไม่เกิน 5 แสนบาท โดยคณะกรรมการผู้เชี่ยวชาญมีอำนาจในการพิจารณาลงโทษปรับทางปกครองได้

บทเฉพาะกาลให้สำนักงานปลัดดีอี ทำหน้าที่ในระหว่างการจัดตั้งสำนักงาน และให้รองปลัดดีอีเป็นเลขาธิการไปก่อน

มี ดีกว่าไม่มี

ด้าน นายสุธี ทวิรัตน์ กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) เปิดเผยกับ ว่า กฎหมายทั้ง 2 ฉบับ “มี ดีกว่าไม่มี” แม้ว่าจะมีการแก้เนื้อหา เรื่องรวบอำนาจไว้เบ็ดเสร็จ แต่ก็ยังมีหลายส่วนที่ไม่เป็นไปตามมาตรฐานสากล เนื่องจากส่วนใหญ่เน้นไปที่การจัดตั้งสำนักงาน อย่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีแค่ราว 10 มาตราที่ระบุเกี่ยวกับการคุ้มครองสิทธิประชาชนจริง ๆ

“สำคัญ ทุกวันนี้ยังไม่มีหน่วยงานที่จะกำกับดูแล CII ในแต่ละด้านที่มีมาตรฐาน และจะต้องมีกฎหมายลูกที่ออกตามมา แต่ก็ยังไม่เห็นเนื้อหา”

นางนุสรา (อัสสกุล) บัญญัติปิยพจน์ นายกสมาคมประกันชีวิตไทย กล่าวว่า เห็นด้วยในหลักการของกฎหมาย แต่มีหลายส่วนที่ท้าทายในการทำธุรกิจ เช่น หลังจากลูกค้าเข้ามาซื้อประกันแล้ว มาขอยกเลิกการยินยอมให้ข้อมูลในภายหลัง จะเกิดอะไรขึ้นกับธุรกิจ เป็นประเด็นที่กำลังรอดูผลกระทบ

ด้าน นางสาววิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC ประเทศไทย เปิดเผยว่า เป็นเรื่องดีที่จะมีกฎหมายคุ้มครอง แต่ภาคธุรกิจอาจได้รับผลกระทบที่ต้องปรับกระบวนการทำงาน และต้องออกแบบการทำงานเพิ่มขึ้น