ความน่ากังวลบางประการต่อร่าง พ.ร.บ. ความมั่นคงไซเบอร์ฯ

ความน่ากังวลบางประการต่อร่าง พ.ร.บ. ความมั่นคงไซเบอร์ฯ

เมื่อ 20 ม.ค. 2558
ไฟล์แนบขนาดไฟล์
ร่างพ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ พ.ศ.... .pdf19.11 MB
ร่างพ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ พ.ศ.... หรือ ร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ เป็นหนึ่งใน "ชุดกฎหมายความมั่นคงดิจิทัล 10+3 ฉบับ"  ที่คณะรัฐมนตรีอนุมติหลักการไปแล้ว เพื่อรองรับ "การพัฒนาเศรษฐกิจดิจิทัล"
 
“การพัฒนาเศรษฐกิจดิจิทัล” คือนโยบายที่คณะรัฐมนตรีภายใต้การนำของพล.อ.ประยุทธ จันทร์โอชา แถลงต่อสภานิติบัญญัติแห่งชาติ ในวันทื่ 12 กันยายน 2557 จึงไม่น่าแปลกใจ ที่คณะรัฐมนตรีจะรับหลักการร่างกฎหมายเพื่อรองรับ “การพัฒนาเศรษฐกิจดิจิทัล” วันเดียวถึง 8 ฉบับ เมื่อวันที่ 6 มกราคม 2557 แต่สิ่งที่น่าแปลกใจคือ เนื้อหาของกฎหมายที่ร่างขึ้นมาดูจะมีเนื้อหาเป็นกฎหมายด้านความมั่นคงเสียมากกว่าการพัฒนาเศรษฐกิจ 
 
ร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ เขียนขึ้นเพื่อจัดตั้งองค์กรที่จะทำหน้าที่ป้องกันอาชญากรรมทางไซเบอร์ที่อาจส่งผลกระทบในวงกว้างอย่างรวดเร็วโดยเฉพาะ  โดยให้จัดตั้ง "สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ" มีสถานะเป็นหน่วยงานของรัฐที่เป็นนิติบุคคล แต่ไม่ใช่ส่วนราชการ และรัฐวิสาหกิจ และให้มี "คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ" หรือ กปช. อยู่ภายใต้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ทำหน้าที่เป็นองค์กรกลาง ประสานงาน และกำหนดแนวทางรับมือกับภัยคุกคามไซเบอร์ โดยหวังว่าหน่วยงานเหล่านี้จะช่วยให้ความมั่นใจแก่นักลงทุนในการทำธุรกิจออนไลน์และจะช่วยให้การพัฒนาเศรษฐกิจดิจิทัลเป็นไปได้อย่างราบรื่น 
 
 
 
ภาพโดย  thomsonwilliam94
 
ข้อสังเกตเรื่องคำนิยาม ยังคงกว้างและไม่ชัดเจน
 
ร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ เขียนคำนิยามศัพท์ไว้แบบกว้างๆ เหมือนกับกฎหมายด้านความมั่นคงฉบับอื่น เช่น พ.ร.บ. กฎอัยการศึก พ.ศ. 2457(กฎอัยการศึก) พ.ร.ก. การบริหารราชการในสถานการณ์ฉุกเฉิน (พ.ร.ก.ฉุกเฉิน) รวมทั้ง พ.ร.บ. การรักษาความมั่นคงในราชอาณาจักร (พ.ร.บ. ความมั่นคง)
 
ร่างกฎหมายฉบับนี้ให้ความหมายของคำว่า ความมั่นคงไซเบอร์ฯ ไว้ในมาตรา 3 วรรค 1 ว่า
 
“มาตรการและการดำเนินการที่กำหนดขึ้น เพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศให้สามารถปกป้อง ป้องกัน หรือรับมือกับสถานการณ์ด้าน ภัยคุกคามทางไซเบอร์ที่ส่งผลกระทบหรืออาจก่อให้เกิดความเสี่ยงต่อการให้บริการหรือการประยุกต์ใช้ เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยปกติของดาวเทียม อันกระทบต่อความมั่นคงของชาติ ซึ่งรวมถึงความมั่นคงทางการทหาร ความสงบเรียบร้อยภายในประเทศ และ ความมั่นคงทางเศรษฐกิจ”
 
จะเห็นได้ว่า คำนิยามของกฎหมาย เขียนไว้อย่างกว้างๆ ประชาชนทั่วไปอ่านแล้วเข้าใจได้ยาก จึงเปิดโอกาสให้เจ้าหน้าที่ใช้ดุลพินิจในการปฏิบัติงานได้อย่างกว้างขวาง คำว่า ”ภัยคุกคาม” ตามวรรคนี้ก็ยังกำกวม เพราะไม่ได้ระบุให้ชัดเจนว่า เป็นภัยคุกคามในเชิงเทคนิคที่มีต่อตัวระบบ หรือรวมไปถึงการเผยแพร่เนื้อหาที่เจ้าหน้าที่เห็นว่ากระทบต่อความมั่นคงด้วย 
 
ข้อสังเกตต่อเรื่องอำนาจเจ้าหน้าที่ในการเข้าถึงข้อมูลการสื่อสาร โดยไม่ต้องมีหมายศาล
 
ตามมาตรา 35 (1) พนักงานเจ้าหน้าที่ของสำนักงานความมั่นคงไซเบอร์ฯ สามารถเรียกให้หน่วยงานของรัฐหรือบุคคลใดๆ มาให้ถ้อยคำ หรือนำส่งเอกสารต่างๆ เพื่อประโยชน์ในการรักษาการตามพ.ร.บ. ฉบับนี้ มาตรา 35 (2) ให้อำนาจสำนักงานความมั่นคงไซเบอร์ฯ ส่งหนังสือ”ขอความร่วมมือ” ให้หน่วยงานราชการหรือหน่วยงานเอกชน ดำเนินการเพื่อประโยชน์ในการปฏิบัติหน้าที่ของคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) ส่วนมาตรา 35 (3) ก็ให้อำนาจเจ้าหน้าที่เข้าถึงข้อมูลการติดต่อสื่อสาร ทั้งทางไปรษณีย์ โทรเลข โทรศัพท์ โทรสาร คอมพิวเตอร์ หรืออุปกรณ์สื่อสารอิเล็กทรอนิกส์หรือสื่อเทคโนโลยีสารสนเทศอื่น เพื่อประโยชน์ในการรักษาความมั่นคงไซเบอร์ ภายใต้หลักเกณฑ์ที่คณะรัฐมนตรีกำหนด 
 
อำนาจใน (3) เป็นข้อที่น่ากังวลมากที่สุด เพราะให้อำนาจเจ้าหน้าที่ตรวจสอบการสื่อสารของประชาชนได้ทุกช่องทาง โดยไม่มีขอบเขตและไม่มีกระบวนการตรวจสอบใดๆ เลย คล้ายกับการให้อำนาจเจ้าหน้าที่ทหารอย่างเต็มที่ในช่วงเวลาที่ประกาศใช้กฎอัยการศึก ขณะที่ในช่วงเวลาเดียวกันก็มีข้อเสนอเรื่องแก้ไขประมวลกฎหมายวิธีพิจารณาความอาญา ให้เจ้าหน้าที่มีอำนาจดักฟังโทรศัพท์และข้อมูลการสื่อสารของประชาชนได้ แต่ต้องขออนุญาตอธิบดีผู้พิพากษาก่อน และมีกำหนดเวลาการใช้อำนาจที่ชัดเจน
 
นอกจากนี้การที่ (3) กำหนดให้เจ้าหน้าที่สามารถเข้าถึงข้อมูลการสื่อสารทาง "ไปรษณีย์" ซึ่งไม่เกี่ยวข้องกับการสื่อสารในโลกไซเบอร์ และ "โทรเลข" ซึ่งเป็นช่องทางการสื่อสารที่ไม่มีอยู่แล้วในปัจจุบัน ทำให้เห็นว่าขั้นตอนการร่างพ.ร.บ.ฉบับนี้อาจมีความรีบร้อนที่จะมุ่งให้อำนาจแก่เจ้าหน้าที่ในหน่วยงานใหม่มากเกินไป ยังไม่ได้ผ่านการไตร่ตรองและคิดให้รอบคอบเสียก่อน
 
หากกฎหมายฉบับนี้มีผลบังคับใช้ ก็แทบจะไม่มีอะไรที่จะยังสามารถความเป็นส่วนตัวในการสื่อสารได้อีกเลย แม้ว่าครม.จะรับหลักการร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พร้อมกับการร่างกฎหมายฉบับนี้ แต่ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ก็อาจจะไม่ช่วยถ่วงดุลอำนาจของของพ.ร.บ.ฉบับนี้ได้มากนัก เพราะเลขาธิการสภาความมั่นคงแห่งชาติ และปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ซึ่งเป็นกปช. ก็อยู่ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลด้วย จึงได้แต่หวังว่า ครม.จะวางหลักเกณฑ์ที่ทำให้การใช้อำนาจตาม (3) เป็นไปอย่างจำกัดและมีแนวทางใช้อำนาจที่ชัดเจน  
 
กฎหมายความมั่นคงไซเบอร์ อาจให้ผลสวนทางกับการพัฒนาเศรษฐกิจดิจิทัล
 
ร่างมาตรา 34 ให้อำนาจ กปช. สั่งให้หน่วยงานเอกชนกระทำการหรืองดเว้นการกระทำอย่างใดอย่างหนึ่งได้ เพื่อประโยชน์ในการรักษาความมั่นคง และต้องรายงานผลการดำเนินงานต่อ กปช. ด้วย ขณะที่มาตรา 35 (2) ให้อำนาจเจ้าหน้าที่ออกจดหมาย “ขอความร่วมมือ” ให้หน่วยงานเอกชน ดำเนินการเพื่อประโยชน์ในการทำงานของ กปช. ขณะที่ความในมาตรา 35 (3) ก็ให้อำนาจเจ้าหน้าที่ของสำนักงาน เข้าถึงข้อมูลการติดต่อสื่อสารทั้งในและนอกโลกไซเบอร์ได้โดยไม่มีกระบวนการตรวจสอบ
 
หากพ.ร.บ.นี้มีผลบังคับใช้ ทั้งบรรษัทข้ามชาติและบรรษัทไทยที่กำลังจะลงทุนในกิจการดิจิทัลอาจต้องคิดหนักขึ้น เพราะพวกเขาไม่อาจมั่นใจในความปลอดภัยของข้อมูลได้เลย นอกจากนี้ก็ยังต้องกังวลถึงความเป็นอิสระในการดำเนินธุรกิจภายใต้กฎหมายไทย เพราะวันดีคือดี กปช.หรือสำนักงาน ก็อาจ “ขอความร่วมมือ” หรือสั่งให้บรรษัท กระทำการหรืองดเว้นการกระทำการใดๆ ก็ได้ พ.ร.บ. ความมั่นคงไซเบอร์ฯ จึงอาจกลายเป็นปัจจัยที่ทำให้บรรษัทต่างๆ พิจารณาไม่ลงทุนในประเทศไทยได้       
 
เนื่องจากร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ บัญญัติขึ้นเพื่อการจัดตั้งองค์กร จึงยังไม่มีการบัญญัติว่าการกระทำใดเข้าข่ายผิดกฎหมาย และยังไม่มีบทกำหนดโทษต่อบุคคลที่กระทำความผิด อย่างไรก็ตาม เนื่องจากกฎหมายเขียนไว้กว้างๆ กปช.และสำนักงานฯ จึงสามารถที่จะตีความว่าสิ่งใดเข้าข่ายอำนาจหน้าที่ของตนได้อย่างกว้างขวาง ทำให้ต้องจับตามองว่า ประกาศหรือคำสั่งซึ่งจะออกมาภายหลังที่องค์กรได้รับการจัดตั้งขึ้นแล้ว จะมีหน้าตาเป็นอย่างไร และจะกระทบสิทธิเสรีภาพของคนทั่วไปมากน้อยแค่ไหนด้วย