ส่องความอันตรายกฎหมายไซเบอร์(ไทย)..!? : รายงาน
ความทันสมัยของเทคโนโลยีการสื่อสารในยุคปัจจุบัน ส่งผลให้ทุกวันนี้ “โซเชียลมีเดีย” กลายเป็นปัจจัยที่ 5 ในการดำรงชีวิตของคนในปัจจุบัน แต่ผลพวงที่ตามมาคือการกระทำผิดผ่านโซเชียลมีเดีย และนับวันยิ่งทวีความผิดขึ้น ไม่เว้นแม้กระทั่งความผิดที่กระทบต่อความมั่นคงของชาติ จนรัฐบาลต้องออก “กฎหมายไซเบอร์” !
แต่การออกกฎหมายไซเบอร์เพื่อมาควบคุมการกระทำความผิดน่าจะยังมีหลายประเด็นที่สุ่มเสี่ยงละเมิดสิทธิเสรีภาพของประชาชนได้ องค์กรกลางที่ทำหน้าที่เผยแพร่ข้อมูลข่าวสารสู่สาธารณะให้ประชาชนได้รับรู้ข้อเท็จจริงของสิ่งที่เกิดขึ้นในสังคมอย่าง “สื่อมวลชน” จึงไม่อาจนิ่งเฉยกับกฎหมายไซเบอร์ที่ว่านี้
เกี่ยวกับเรื่องนี้ สมาคมนักข่าวนักหนังสือพิมพ์แห่งประเทศไทย ได้จัดกิจกรรมราชดำเนินเสวนาในหัวข้อ “อันตรายกฎหมายไซเบอร์...?” โดยมี ไพบูลย์ อมรภิญโญเกียรติ ผู้ทรงคุณวุฒิคณะกรรมการเตรียมการไซเบอร์แห่งชาติ พร้อมด้วย เจษฎา ศิวรักษ์ หัวหน้ากลุ่มวิชาการ คณะทำงานความมั่นคงปลอดภัยไซเบอร์ฯ สมาคมโทรคมนาคมแห่งประเทศไทยในพระบรมราชูปถัมภ์ รศ.คณาธิป ทองรวีวงศ์ ผู้อำนวยการสถาบันกฎหมายสื่อดิจิทัล มหาวิทยาลัยเกษมบัณฑิต และ สุรางคณา วายุภาพ ผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ. หรือ ETDA) เป็นวิทยากรร่วมถกประเด็นดังกล่าว เพื่อทำความเข้าใจและวิเคราะห์ปัญหาของ (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. .... ที่กำลังได้รับความสนใจและมีเสียงวิพากษ์วิจารณ์ในสังคมไทยอยู่ในขณะนี้
ไพบูลย์ อธิบายว่า (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. .... มีต้นแบบมาจากกฎหมาย Cyber Security Act 2018 ของสิงคโปร์ แต่เมื่อถูกนำมาปรับใช้ในการเขียนกฎหมายของไทยกลับพบปัญหา คือ 1.แม้เจตนารมณ์ของกฎหมาย ทั้งของสิงคโปร์รวมถึงของไทยเองตั้งไว้ว่าเน้นคุ้มครอง “โครงสร้างพื้นฐาน” ทางไซเบอร์ที่เกี่ยวข้องกับบริการ เช่น ผู้ให้บริการเชื่อมต่ออินเทอร์เน็ต หรือผู้ให้บริการสาธารณูปโภคต่างๆ จากการโจมตีของผู้ไม่หวังดี แต่เมื่อมาระบุในตัวบทแล้วของไทยกลับรวมไปถึง “เนื้อหา” ที่ปรากฏบนโลกออนไลน์ด้วย ยกตัวอย่างเช่น ในมาตรา 56 (2) ที่มีคำว่า “ความมั่นคงของรัฐ” กับ “ความสงบเรียบร้อยของประชาชน” ซึ่งจุดนี้สามารถถูกตีความได้อย่างกว้างขวาง ผู้ถืออำนาจรัฐอาจสั่งการให้เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) ดำเนินการบางอย่างกับเนื้อหาที่เห็นว่าไม่เหมาะสมได้ จึงขอเสนอว่าขอให้เพิ่มคำว่า “ระบบคอมพิวเตอร์” เข้าไปด้วย เพื่อให้เกิดความชัดเจน
2.กฎหมายฉบับนี้ให้อำนาจเลขาฯ กปช. ไว้ยิ่งใหญ่มาก คือ การที่มีคำสั่งใดๆ ออกมาแล้ว ผู้ได้รับผลกระทบไม่สามารถอุทธรณ์ได้ ในขณะที่กฎหมายแบบเดียวกันของสิงคโปร์ไม่ปิดช่องทางดังกล่าว โดยกฎหมายของสิงคโปร์กำหนดให้ผู้รับผิดชอบมีอำนาจ 2 ส่วน ส่วนแรก สั่งการให้ผู้ให้บริการต่างๆ ปรับปรุงหลักเกณฑ์การรักษาความปลอดภัยไซเบอร์ รวมถึงเรียกข้อมูลการให้บริการมาตรวจสอบได้ ส่วนที่สอง หากข้อมูลนั้นเป็นข้อมูลส่วนบุคคล แล้วผู้ให้บริการมีสัญญารักษาความลับของลูกค้า ผู้ให้บริการสามารถปฏิเสธไม่ให้ข้อมูลส่วนนี้ก็ได้ แต่เมื่อมาดูของไทย ในมาตรา 46 ที่ให้อำนาจเลขาฯ กปช. เรียกดูข้อมูล ได้ระบุไว้ว่า ไม่อาจยกเอาหน้าที่ตามกฎหมายอื่นหรือตามสัญญามาปฏิเสธการขอข้อมูลดังกล่าวได้ ซึ่งกรณีกฎหมายสิงคโปร์นั้นการขอข้อมูลในรอบแรกผู้ให้บริการสามารถปฏิเสธได้ แต่ถ้าฝ่ายรัฐมีข้อมูลที่เชื่อได้ว่าบุคคลดังกล่าวเกี่ยวข้องกับการทำอันตรายต่อความปลอดภัยไซเบอร์จริงๆ ก็จะมีมาตรการขั้นถัดไป ที่สำคัญคือฝ่ายเอกชนผู้ให้บริการในสิงคโปร์สามารถอุทธรณ์คำสั่งของเลขาฯ กปช. ของสิงคโปร์ได้ด้วย
“ผมคิดว่าทุกคนอาจจะแชทหาแฟน กิ๊ก หรือใครก็ตาม หรือมีความชอบส่วนตัวแบบแปลกๆ ชอบดูอะไรแปลกๆ เราไม่อยากให้ใครมาเห็นข้อมูลเรา เวลาที่มีการเรียกข้อมูลไปก็ต้องไม่สบายใจ แน่นอนว่าข้อมูลตรง
นั้นจะเป็นข้อมูลที่มันเกี่ยวข้องไหม ดังนั้นกฎหมายสิงคโปร์หรือกฎหมายทั่วโลกจะคุ้มครองเรื่องความเป็นส่วนตัว กฎหมายฉบับนี้มีความเหลื่อมล้ำกับกฎหมายข้อมูลส่วนบุคคลพอสมควร” ไพบูลย์ แจกแจง และว่า ปัญหาที่ 3 ของ (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ... ของไทย มีบทลงโทษกรณีขัดคำสั่งเลขาฯ กปช. ในทุกกรณี ต่างจากกฎหมายของสิงคโปร์ที่ระบุว่าต้อง “ไม่ปฏิบัติตามโดยไม่มีเหตุผลอันสมควร” ทั้งที่เป็นหลักการสำคัญในการออกกฎหมาย
4.ในมาตรา 57 ที่ให้อำนาจเลขาฯ กปช. ออกคำสั่งให้หน่วยงานหรือบุคคลต่างๆ ปฏิบัติตามได้เพียงแค่ “มีเหตุอันควรสงสัยว่า” ทั้งที่ในการออกกฎหมายอื่นๆ ทั่วไป อำนาจลักษณะนี้จะใช้ได้ก็ต่อเมื่อ “มีเหตุอันเชื่อได้ว่า” ซึ่งข้อความหลังนี้จะมีน้ำหนักและความชัดเจนที่มากกว่า และ 5.ในมาตรา 58 ที่ให้อำนาจเลขาฯ กปช. เข้าถึงระบบหรืออุปกรณ์ที่เกี่ยวข้องกับไซเบอร์ ซึ่งหน่วยงานหรือบุคคลใดครอบครองอยู่และดำเนินการได้หลายอย่าง เช่นในข้อ (2) ทำสำเนา สกัดคัดกรอง โดยยังใช้คำว่า “มีเหตุอันควรสงสัยว่า” เช่นเดียวกับมาตรา 57 โดยที่ไม่ต้องขอหมายศาล ส่วนในข้อ (4) ที่ให้อำนาจยึดอุปกรณ์ที่เกี่ยวข้องกับไซเบอร์ แม้ข้อนี้จะใช้คำว่า “มีเหตุอันเชื่อได้ว่า” แต่ก็ยังน่ากังวลเพราะเป็นคำสั่งที่ไม่สามารถอุทธรณ์ได้ และเรื่องนี้จริงๆ แล้วควรจะมีศาลเข้ามาเกี่ยวข้องด้วย ต่อให้เป็นเรื่องเร่งด่วนอย่างน้อยก็ต้องรายงานให้ศาลรับทราบ
ขณะที่ เจษฎา บอกว่า หากเทียบกับหลักการของกลุ่มประเทศที่อยู่ในองค์การเพื่อความร่วมมือและการพัฒนาทางเศรษฐกิจ (โออีซีดี) ซึ่งในปี 2555 โออีซีดีมีรายงานแนะนำให้ “ในการออกกฎหมายในเรื่อง Cyber Security ต้องคำนึงถึงไม่เพียงแต่ความมั่นคงของชาติอย่างเดียว แต่ต้องคำนึงถึงภาคประชาชน ภาคสังคมและภาคเศรษฐกิจด้วย” แต่ร่างกฎหมายไทยเปิดมาก็เจอหลักการความมั่นคงของชาติกับความสงบเรียบร้อยเสียแล้ว โดยการออกกฎหมายความมั่นคงปลอดภัยไซเบอร์ของโออีซีดีนั้น จะเน้นความร่วมมือของหลายหน่วยงาน เพราะภัยคุกคามไซเบอร์มีทั้งมุมกว้างและมุมลึก อาทิ อินเทอร์เน็ตถือเป็นไซเบอร์ แต่การที่ระบบอินเทอร์เน็ตล่มอาจเกิดจากการลอบวางระเบิดโครงข่ายสัญญาณโทรคมนาคม ซึ่งเป็นโครงสร้างที่ไม่ใช่ไซเบอร์ก็ได้ จึงไม่สร้างหน่วยงานใหม่ แต่พยายามประสานการทำงานของหน่วยงานต่างๆ ทั้งรัฐและเอกชนที่เกี่ยวข้องเข้าด้วยกัน
“ภาคเอกชนของโทรคมนาคมโดนโจมตีทางไซเบอร์อยู่ทุกวันอยู่แล้ว แต่เขาก็มีมาตรการรับมืออยู่ เพราะถ้าเน็ตเวิร์กเขาล่มชื่อเสียงเขาก็ไปก่อน สิ่งที่เขากลัวคือ พอหน่วยงานรัฐตั้งมาใหม่ แต่ประสบการณ์ไม่มี ออกกฎอะไรก็ไม่รู้ เขาจะทำอย่างไร หลายปีที่ผ่านมาโอเปอเรเตอร์มือถือ 3 เจ้าถูกโจมตีไหม ก็โดนอยู่ทุกวัน โดนเป็นปกติ แต่เขาก็รู้วิธีการรับมือ เรื่องนี้เป็นส่วนหนึ่งที่เขาเน้น” เจษฎา ระบุ พร้อมกับย้ำว่า งานความมั่นคงปลอดภัยไซเบอร์ เป็นงานที่มีต้องอาศัยความร่วมมือกันระหว่างประเทศ จึงต้องสร้างกลไกที่เอื้อต่อความร่วมมือนี้ด้วย รวมถึงต้องระวังเรื่อง “เสรีภาพบนอินเทอร์เน็ต” เพราะหากออกกฎหมายเพื่อลดทอนเสรีภาพนี้โดยไม่สมเหตุสมผล จะส่งผลกระทบต่อการขยายตัวของภาคธุรกิจบนอินเทอร์เน็ตได้
สอดคล้องกับความเห็น รศ.คณาธิป ที่บอกว่า ในทางสากลแม้สิทธิ 2 ประเภท คือ สิทธิในการแสดงความคิดเห็น และสิทธิความเป็นส่วนตัว จะสามารถถูกจำกัดโดยกฎหมายได้ แต่การออกกฎหมายมาจำกัดสิทธิดังกล่าวต้องมีขอบเขตไม่กว้างเกินไป โดยต้องมีการตรวจสอบถ่วงดุล แต่เมื่อมาดู (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ... พบการออกกฎหมายที่สามารถตีความได้กว้างขวางมาก ยกตัวอย่าง มาตรา 43 ว่าด้วยอำนาจของ กปช. ในการกำหนดว่า หน่วยงานผู้ให้บริการใดจะถือเป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศ โดยเฉพาะในข้อ (8) ระบุว่า “ด้านอื่นตามที่ กปช. ประกาศกำหนดเพิ่มเติม” จะกระทบต่อผู้ประกอบการอย่างกว้างขวางหรือไม่ อาทิ เมื่อมีเหตุมัลแวร์ (Malware) โดยมัลแวร์ คือ โปรแกรมที่สร้างขึ้นเพื่อจุดประสงค์ในทางมิจฉาชีพต่างๆ ที่ระบาดในระบบคอมพิวเตอร์ทุกคน ตั้งแต่เจ้าของธุรกิจขนาดใหญ่จนถึงพ่อค้าแม่ค้าออนไลน์รายย่อยๆ สามารถถูกกำหนดให้เป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศตามกฎหมายนี้ได้ทั้งสิ้น ซึ่งจะส่งผลทำให้เป็นภาระเกินสมควรได้
ขณะเดียวกัน มาตรา 57-58 ที่เป็นเรื่องของการ “สอดแนม!” ในทางสากลก็อนุญาตให้ทำได้ภายใต้ขอบเขตที่ชัดเจนทั้งตัวบุคคลที่ถูกสอดส่อง ข้อมูลอะไรบ้างที่สามารถเข้าถึงได้ มาตรการที่ใช้ต้องไม่กว้างขวางเกินไป และต้องจำกัดเวลาที่อนุญาตให้ทำได้ เพื่อป้องกันการที่รัฐจะนำไปสอดส่องการแสดงความคิดเห็นของประชาชนแบบวงกว้าง แม้ร่างกฎหมายล่าสุดจะเขียนนิยามความมั่นคงไซเบอร์ไว้ที่ระบบสารสนเทศ จึงไม่น่าจะครอบคลุมถึงเนื้อหา เช่น การโพสต์ข้อความโจมตีรัฐบาล แต่สุดท้ายก็ต้องขึ้นอยู่กับการตีความ อย่างไรก็ตามที่น่ากังวลมากไม่แพ้กัน คือ ถึงแม้กฎหมายจะไม่มีโทษโดยตรงกับเรื่องดังกล่าว แต่อาจเข้าข่ายปรากฏการณ์ “Chilling Effect” ที่ประชาชนกลัวได้รับผลกระทบจากกฎหมายในทางอ้อม จนไม่กล้าแสดงความคิดเห็นเลยก็ได้ เช่น การเข้ามาสอดส่องพฤติกรรมบนโลกออนไลน์ของประชาชน แล้วเก็บข้อมูลไปเอาผิดในเรื่องอื่นๆ ได้
ด้าน สุรางคณา ชี้แจงข้อกังวลต่างๆ ได้แก่ 1.กรณีไม่ให้อุทธรณ์ แม้ (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ... จะไม่ระบุการอุทธรณ์ไว้อย่างกฎหมายอื่นๆ แต่การทำงานของ กปช. ยังอยู่ภายใต้กฎหมายอย่างน้อย 2 ฉบับ คือ พ.ร.บ.วิธีปฏิบัติราชการทางปกครอง พ.ศ.2539 กรณี กปช.ใช้อำนาจแล้วมีผู้ไม่เห็นด้วยจึงสามารถร้องเรียนได้ กับประมวลกฎหมายอาญามาตรา 157 กรณี กปช. ใช้อำนาจโดยมิชอบ ทั้งนี้ทั้งนั้นโดยส่วนตัวอยากให้เขียนเรื่องการอุทธรณ์ไว้ดีกว่า เพื่อให้ประชาชนเกิดความสบายใจ แต่ก็ขึ้นกับในชั้นกฤษฎีกาว่าจะแก้ไขหรือไม่ 2.กรณีไม่ผ่านศาล เรื่องนี้เข้าใจคนร่างกฎหมายที่เห็นว่า ภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างรวดเร็ว คลิกเดียวเพียงเสี้ยววินาทีก็อาจสร้างความเสียหายได้เป็นวงกว้าง การขอศาลอาจไม่ทันกาล แต่โดยส่วนตัวก็กังวลในการใช้กฎหมายเช่นกัน เรื่องนี้น่าจะไปหาทางแก้ไขวิธีปฏิบัติว่าจะทำอย่างไร
3.การเรียกข้อมูลกรณีภัยร้ายแรง (มาตรา 56) ที่มีคำว่า “ความมั่นคงของรัฐ” กับ “ความสงบเรียบร้อยของประชาชน” เรื่องนี้ก็น่ากังวลหลังมีบทเรียนจาก “พ.ร.บ.คอมพิวเตอร์” ที่แม้เจตนาดีแต่การบังคับใช้ในประเด็นความมั่นคงถูกตีความก้าวล่วงไปถึงเรื่องเนื้อหาด้วย จึงอยากฝากให้ทางกฤษฎีกานำไปปรับแก้ด้วย 4.การป้องกันความเสี่ยงทางไซเบอร์ ที่ใช้ถ้อยคำ “มีเหตุอันควรสงสัยว่า” แทนที่จะใช้ “มีเหตุอันเชื่อได้ว่า” ก็เป็นปัญหาจริงในการใช้ถ้อยคำ จึงเป็นอีกเรื่องที่ไม่ว่ากฤษฎีกาหรือสภานิติบัญญัติแห่งชาติ (สนช.) ต้องนำข้อนี้ไปพิจาณา และ 5.การเข้าถึงข้อมูลส่วนบุคคล ในเจตนารมณ์ของกฎหมาย ข้อมูลที่ กปช. เข้าถึงและจัดเก็บได้ต้องเป็นข้อมูลที่เกี่ยวข้องกับภัยคุกคามไซเบอร์เท่านั้น อย่างไรก็ตามหากอ่านตามตัวอักษร ก็อาจตีความตามที่หลายฝ่ายกังวล กรณีการเก็บข้อมูลอย่างกว้างขวางของประชาชนได้ ดังนั้นต้องปรับแก้ให้ชัดเจนกว่า ที่เป็นอยู่ นอกจากนี้ในบทเฉพาะกาลที่ให้ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. ทำหน้าที่ กปช.ไปพลางๆ จนกว่าจะมีการจัดตั้งสำนักงาน กปช. เป็นทางการ ในส่วนนี้ก็ยืนยันว่าจะรีบดำเนินการให้เร็วที่สุด เพื่อให้แยกหน่วยงาน กปช. ออกจาก สพธอ.
เสียงสะท้อนเหล่านี้มาจากภาคปฏิบัติ และทุกคนมีส่วนร่วมเสนอข้อคิดเห็น เพราะไม่ใช่ว่า “กฎหมายไซเบอร์” ไม่ดี แต่จะออกกฎอย่างไรเพื่อไม่ให้เป็นอันตรายต่อประชาชนคนไทย การปกป้องความมั่นคง ต้องอยู่บนความรับผิดชอบที่เป็นธรรม..!!
ข่าวที่เกี่ยวข้อง