หมายศาลก็ยังไม่พอ!: ต่อประเด็นถกเถียง “ชุดกฎหมายความมั่นคงดิจิทัล”

ยังคงเป็นที่พูดถึงอย่างต่อเนื่องสำหรับ "ชุดกฎหมายความมั่นคงดิจิทัล 10+3 ฉบับ" โดยเฉพาะกระแสคัดค้านจากภาคส่วนต่างๆ จนทำให้สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. ผู้ร่างกฎหมายฉบับนี้ต้องออกมายืนยันหนักแน่ว่าต้องมีการแก้ไขอย่างแน่นอน เพราะร่างที่วิพากษ์วิจารณ์อยู่นั้นยังไม่สิ้นสุดและยังมีอีกหลายขั้นตอนในการแก้ไข ซึ่งระหว่างนี้จะมีการรับฟังความคิดเห็นเพื่อนำไปปรับปรุงร่างกฎหมายต่อไป ทั้งนี้ สพธอ.ยังย้ำว่าร่างกฎหมายชุดนี้มีความสำคัญและจำเป็นอย่างยิ่งที่จะต้องออกในช่วงเวลานี้ 
iLaw จึงขอชวนถกเถียงในประเด็นเหล่านี้ให้ต่อเนื่อง และขอร่วมเปิดประเด็นต่อข้อถกเถียงเหล่านั้นด้วย เพื่อสร้างบทสนทนาอย่างมีเหตุมีผลบนพื้นฐานข้อเท็จจริง เพื่อให้สังคมที่กำลังตื่นตัวกับ "ชุดกฎหมายความมั่งคงดิจิทัล" ได้เรียนรู้และขบคิดไปด้วยกัน 

   

+การพัฒนาเศรษฐกิจดิจิทัลเป็นเรื่องสำคัญ ตอนนี้ประเทศไทยล้าหลังกว่าประเทศอื่นมาก จึงจำเป็นต้องมีการวางนโยบายระดับชาติในประเด็นนี้

 

ไม่มีใครปฏิเสธความสำคัญของการพัฒนาเศรษฐกิจดิจิทัล แต่จากภาพรวมของร่างกฎหมายชุดนี้ ยังไม่เห็นทิศทางในการส่งเสริมเศรษฐกิจดิจิทัลที่ชัดเจน เห็นแต่การจัดวางโครงสร้างเพื่อรวบอำนาจในการควบคุมดูแลการสื่อสารของประชาชนไว้ที่ส่วนราชการ ไม่เน้นการกระจายอำนาจแบบกำกับดูแล ซึ่งเป็นไปในทางตรงกันข้ามกับการเปิดพื้นที่การแข่งขันเสรีสำหรับภาคเอกชน 
ตัวอย่างเช่น ร่างแก้ไข พ.ร.บ.กสทช. กำหนดให้การจัดสรรคลื่นความถี่เปลี่ยนจากวิธีการประมูลซึ่งวัดกันที่ปริมาณผลตอบแทนเป็นวิธีคัดเลือกตามคุณสมบัติ การแก้ไขประเด็นนี้จะเปิดช่องให้เจ้าหน้าที่รัฐใช้ดุลพินิจพิจารณาใบอนุญาตในการใช้คลื่นความถี่ หากเป็นเช่นนี้ผลประโยชน์จากการพัฒนาเศรษฐกิจดิจิทัลจึงมีแนวโน้มจะอยู่ในมือนักการเมือง ข้าราชการ มากกว่าภาพเอกชนที่มีศักยภาพในการแข่งขัน
หรือกรณีร่างพ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ ที่กำหนดให้เจ้าหน้าที่รัฐมีอำนาจสั่งให้เอกชนกระทำการอย่างใดอย่างหนึ่งหรือไม่กระทำการอย่างใดอย่างหนึ่ง และกรณีร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่ยังไม่อาจให้ความมั่นใจได้ว่าข้อมูลของประชาชนและภาคธุรกิจจะได้รับการคุ้มครองอย่างปลอดภัย ส่งผลกระทบต่อความเชื่อใจของผู้บริโภคต่อผู้ให้บริการอินเทอร์เน็ตในเรื่องความเป็นส่วนตัว ประเด็นทางกฎหมายเหล่านี้ย่อมส่งผลให้เอกชนไม่อยากลงทุนด้านเศรษฐกิจดิจิทัลในประเทศไทย 
เมื่อดูภาพรวมของร่างกฎหมายทั้งหมด ประกอบกับร่างกฎหมายที่เกี่ยวข้องกับการควบคุมการสื่อสารบนโลกออนไลน์ เช่น ร่างแก้ไข วิ.อาญา เรื่องการดักฟัง และ ร่างพ.ร.บ.ป้องกันและปราบปรามสิ่งยั่วยุพฤติกรรมอันตราย จึงไม่อาจเรียกร่างกฎหมายชุดนี้ว่า "ชุดกฎหมายเศรษฐกิจดิจิทัล" แต่เรียกว่า "ชุดกฎหมายความมั่นคงดิจิทัล"
  
+การโจมตีทางไซเบอร์ เป็นภัยอันตรายยุคใหม่ ประเทศไทยจำเป็นต้องรีบออกกฎหมายมารับมือให้ทันสถานการณ์
แม้จะไม่มีร่างกฎหมายชุดความมั่นคงดิจิทัล ปัจจุบันการเจาะระบบ หรือการโจมตีทางไซเบอร์ก็เป็นความผิดตามพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 (พ.ร.บ.คอมพิวเตอร์ฯ) อยู่แล้ว เรามีหน่วยงานที่ัตั้งขึ้นเพื่อรับมือปัญหาการโจมตีทางไซเบอร์ ไม่ว่าจะเป็น กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.) ที่ใช้อำนาจตาม พ.ร.บ.คอมพิวเตอร์ฯ ซึ่งสามารถดักรับข้อมูลการสื่อสาร ยึดเครื่องมือสื่อสาร เจาะระบบ ถอดรหัสคอมพิวเตอร์ ได้อยู่แล้วโดยต้องขอหมายศาลก่อน
และปัจจุบันยังมี กรมสอบสวนคดีพิเศษ หรือดีเอสไอ ที่ใช้อำนาจตาม พ.ร.บ.การสืบสวนคดีพิเศษ พ.ศ.2547 ซึ่งในคดีสำคัญที่ประกาศให้เป็นคดีพิเศษ กฎหมายให้อำนาจเจ้าหน้าที่ดีเอสไอในการดักฟัง หรือเข้าถึงข้อมูลของผู้ต้องสงสัยได้โดยไม่ต้องมีหมายศาลอยู่แล้ว
ขณะที่ในทางการจัดการความรู้และป้องกันเหตุ เราก็มีศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย หรือ ThaiCERT  หน่วยงานภายใต้กระทรวง ICT ทำหน้าที่แนะนำในการแก้ไขภัยคุกคามความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ อยู่แล้วเช่นกัน
ดังนั้น การอ้างการโจมตีทางไซเบอร์เป็นเหตุจำเป็นเร่งด่วนในการออกกฎหมายชุดความมั่นคงดิจิทัล จึงไม่สมเหตุสมผลนัก 
นอกจากนี้ ทิศทางของร่างกฎหมายชุดนี้ยังไม่ชัดเจนว่าจะเน้นการป้องกันเรื่องการโจมตีทางไซเบอร์ หรือเน้นการรักษาความมั่นคงของรัฐ มากกว่ากัน เพราะร่างกฎหมายชุดนี้ไม่มีเน้นเรื่องมาตรการในการคุ้มครองป้องกันข้อมูล หรือป้องกันระบบคอมพิวเตอร์ที่สำคัญ แต่เน้นการให้อำนาจในการเข้าถึง จำกัด และยับยั้งข้อมูล ซึ่งมีน้ำหนักไปทางให้อำนาจเจ้าหน้าที่รัฐกระทำเพื่อความมั่นคงของรัฐ จึงไม่อาจมั่นใจได้ว่าร่างกฎหมายชุดนี้จะป้องกันหรือแก้ปัญหาการโจมตีทางไซเบอร์ได้
  
+นายกรัฐมนตรีให้สัมภาษณ์ชัดเจนว่า "ถ้ามีเรื่องเขาถึงทำ ถ้าไม่มีเรื่อง เขาไม่ได้ไปควานเธอ ไม่ได้ไปตรวจโทรศัพท์เธอ ชั้นจะไปตรวจเธอทำไม ชั้นไม่อยากตรวจ ชั้นไม่อยากรู้ เรื่องส่วนตัวชั้นไม่เกี่ยว เธอจะไปพูดอะไรกับใครชั้นไม่เกี่ยวหรอก"
คำกล่าวเช่นนี้อยู่บนความเชื่อที่ว่าเจ้าหน้าที่รัฐทุกคนจะเป็นคนดี เป็นคนซื่อสัตย์ แต่ในความเป็นจริงมีความเป็นไปได้ว่าเจ้าหน้าที่อาจจะใช้อำนาจนี้ในการกลั่นแกล้งคนที่ตนไม่ชอบได้ หรือเจ้าหน้าที่เองอาจเป็นเครื่องมือให้ฝ่ายการเมืองเข้าใช้อำนาจนี้ทำลายฝ่ายตรงข้ามของตนเองได้ ดังนั้นอำนาจที่มากก็มีแนวโน้มจะฉ้อฉลมาก 
หากต้องการมีอำนาจมากก็ต้องพร้อมสำหรับความรับผิดชอบมากเช่นกัน ซึ่งในร่าง พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ฯ ให้อำนาจเจ้าหน้าที่อย่างกว้างขวาง เพื่อตรวจสอบและจับกุมผู้กระทำความผิด ก็ย่อมต้องมีบทบัญญัติว่าหากมีการใช้เพื่อตรวจสอบและจับกุมคนบริสุทธิ์ด้วยแล้ว ความรับผิดชอบที่ตามมาจะเป็นอย่างไร แต่ในทางกลับกันไม่มีบทกำหนดโทษหากเจ้าที่หน้าที่ใช้อำนาจในทางมิชอบ ขณะที่มาตรา 36 ที่มีการกล่าวอ้างว่าใช้ควบคุมเจ้าหน้าที่นั้น มีบทกำหนดโทษเจ้าหน้าที่เปิดเผยข้อมูลที่ได้มาเท่านั้น แต่ยังไม่มีบทบัญญัติควบคุมไม่ให้เจ้าหน้าที่ใช้อำนาจเข้าถึงข้อมูลอย่างเกินเลย  
+ถ้าแก้ไขมาตรา 35 (3) ของ ร่าง พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ฯ ให้การดักฟังข้อมูลประชาชนต้องขอหมายศาลก่อน แล้วจบไหม?
การขอหมายศาลอาจช่วยถ่วงดุลการใช้อำนาจได้ในระดับหนึ่ง แต่จากงานวิจัยผลกระทบจากการบังคับใช้ พ.ร.บ.คอมพิวเตอร์ฯ พบว่าในทางปฏิบัติเมื่อเจ้าหน้าที่ขออนุญาตศาลเพื่อปิดกั้นการเข้าถึงเว็บไซต์ ศาลทำงานลักษณะคล้าย “ตรายาง” คือ มีคำสั่งอนุญาตตามที่ขอมาทั้งหมด แม้ว่าเป็นคำขอปิดกั้นเว็บไซต์จำนวนหลายพันยูอาร์แอล ศาลก็สั่งอนุญาตภายในวันเดียวกัน ดังนั้นการให้ศาลเป็นเพียงกลไกเดียวในการถ่วงดุลอาจจะไม่เพียงพอในการคุ้มครองสิทธิเสรีภาพของประชาชน
กลไกการคุ้มครองที่ดี ควรเริ่มต้นจากบัญญัติกฎหมายให้ชัดเจนก่อนว่าอำนาจของเจ้าหน้าที่ตามพ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ จะครอบคลุมกรณีใดบ้าง จะมุ่งหมายเฉพาะการโจมตีทางระบบ หรือจะรวมถึงการเผยแพร่เนื้อหาออนไลน์ด้วย และการกระทำความผิดตามกฎหมายใดบ้าง มาตราใดบ้างที่จะให้เจ้าหน้าที่มีอำนาจดักฟังข้อมูลของประชาชนได้
นอกจากนี้กลไกการตรวจสอบภายหลังการใช้อำนาจ เช่น บทบัญญัติความรับผิดหากใช้อำนาจโดยมิชอบ หรือการกำหนดหน้าที่ให้ทำรายงานเปิดเผยต่อสาธารณะ หรือรายงานส่งต่อหน่วยงานว่าเจ้าหน้าที่ได้ใช้อำนาจไปอย่างไรบ้าง และได้ผลหรือไม่อย่างไร ก็เป็นอีกส่วนสำคัญที่ควรพิจารณาเขียนไว้ในกฎหมายด้วยเช่นกัน
  
+กฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องสำคัญ ประเทศอื่นมีหมดแล้ว ประเทศไทยรอมาสิบกว่าปีแล้วยังผ่านไม่สำเร็จเสียที
การสร้างบรรยกาศการรับรู้ของสังคมคือหัวใจอย่างหนึ่งของการออกกฎหมาย ว่าคนจะยอมรับอำนาจนั้นๆหรือไม่ มิเช่นนั้นการบังคับใช้กฎหมายก็ไร้ประสิทธิภาพ ที่ผ่านมาสังคมไทยก็ยังตระหนักถึงปัญหาการละเมิดสิทธิส่วนบุคคลน้อย และสังคมไทยยังมีความรู้ความเข้าใจในประเด็นนี้น้อย หากมองในแง่ดีกระบวนการที่ยาวนานย่อมเกิดจากการรับฟังความคิดเห็นที่หลากหลายและยังไม่สามารถหาข้อสรุปที่ลงตัวได้ 
ในขณะเดียวกันการตระหนักรู้ถึงความสำคัญของข้อมูลส่วนบุคคลจะทำให้กฎหมายเป็นบรรทัดฐานสังคมได้อย่างแท้จริง กลไกต่างๆ อย่างเช่น ศาล ก็จะทำหน้าที่วินิจฉัยเพื่อคุ้มครองข้อมูลส่วนบุคคลได้อย่างสมบูรณ์ ไม่ใช่เป็นเพียงตรายางของฝ่ายความมั่นคงเท่านั้น และสังคมก็จะให้น้ำหนักกับการใช้อำนาจเพื่อละเมิดความเป็นส่วนตัว
ดังนั้นหากใช้เวลาพิจารณากฎหมายนานแต่ได้กฎหมายที่มีเนื้อหาเป็นที่ยอมรับ พร้อมกับความตระหนักรู้ร่วมกันของสังคม ก็น่าจะดีกว่ากฎหมายที่ออกมาอย่างรวดเร็ว ขาดความรอบคอบ ไม่สอดคล้องกับความรู้สึกนึกคิดของคนในสังคม และอาจสร้างปัญหาในการบังคับใช้ในอนาคต     
นอกจากนี้ ปรากฎการณ์ที่คนเริ่มออกมาเคลื่อนไหวต่อต้านกฎหมายฉบับดังกล่าวในโลกอินเทอร์เน็ท พอจะทำให้เห็นเค้าลางว่า "ความเป็นส่วนตัว" เริ่มเป็นวาระหนึ่งของสังคม โดยมีผู้ร่วมคัดค้านกฎหมายนี้มากกว่า 15,000 คน ดังนั้นสังคมจึงกำลังตื่นตัวและเรียนรู้ประเด็นเรื่องการคุ้มครองความเป็นส่วนตัวและการเฝ้าระวังภัยไซเบอร์ เมื่อสังคมตระหนักรู้ถึงปัญหาเหล่านี้แล้วความเข้าใจย่อมไม่ถูกลบหายไปอย่างแน่นอน จึงยังไม่จำเป็นต้องรีบร้อนเพื่อให้ได้กฎหมายที่มีข้อบกพร่องแล้วต้องมาตามแก้ไขปัญหาภายหลัง
+ทีมผู้ร่างกฎหมายยอมรับแล้วว่าร่างมีปัญหา และยินดีแก้ไข ทำไมยังต้องคัดค้านอีก
ปัจจุบันคณะรัฐมนตรีอนุมัติหลักการร่างกฎหมายชุดนี้และส่งให้คณะกรรมการกฤษฎีกาพิจารณาแล้ว โดยหลักการแล้ว คณะกรรมการกฤษฎีกา เป็นองค์กรที่ทำหน้าที่เสมือน "ช่างเทคนิค" คือ มีหน้าที่ปรับปรุงการใช้คำในร่างกฎหมายให้รอบคอบรัดกุมตรงตามเจตนารมณ์ของผู้ร่าง และแก้ไขข้อผิดพลาดเล็กน้อยเท่านั้น คณะกรรมการกฤษฎีกาไม่มีอำนาจและไม่สมควรใช้อำนาจแก้ไขหลักการสำคัญในร่างกฎหมาย
หลังคณะกรรมการกฤษฎีกาพิจารณาเสร็จ ร่างกฎหมายชุดนี้จะถูกส่งให้สภานิติบัญญัติแห่งชาติ (สนช.) เป็นผู้พิจารณา ซึ่งในกระบวนการก็อาจมีการแต่งตั้งคณะกรรมาธิการขึ้นมาพิจารณาและแก้ไขในรายละเอียด และอาจเรียกทีมผู้ร่างไปให้ความเห็นในขั้นตอนนี้ได้ แต่ผู้มีอำนาจตัดสินใจที่แท้จริงคือ สนช. ซึ่งสมาชิกสนช.ยังไม่มีท่าทีชัดเจนว่าจะแก้ไขร่างกฎหมายชุดนี้ไปในทางใด หรือไม่
เป็นเรื่องน่ายินดีที่ทีมผู้ร่างยอมรับและพร้อมแก้ไข แต่อำนาจในการเปลี่ยนแปลงแก้ไขเนื้อหาได้พ้นออกจากมือของทีมผู้ร่างกฎหมายไปแล้ว ดังนั้นการคัดค้านชุดร่างกฎหมายความมั่นคงดิจิทัลในปัจจุบันจึงไม่ได้มุ่งตรงไปที่ทีมผู้ร่างกฎหมาย แต่มุ่งตรงไปที่คณะรัฐมนตรีซึ่งมีอำนาจในการถอนร่างกฎหมายออกจากมือคณะกรรมการกฤษฎีกา และสมาชิกสนช. ซึ่งมีอำนาจในการแก้ไขเปลี่ยนแปลงหลักการต่างๆ ได้ 
+หากไม่รีบดันกฎหมายชุดนี้ให้ผ่านในสนช. กลัวว่าสภาที่มีแต่นักการเมืองจะทำงานช้า ออกกฎหมายไม่ทันรับมือกับสถานการณ์
ร่างกฎหมายความมั่นคงดิจิทัลชุดนี้จะเปลี่ยนโครงสร้างการกำกับดูแลการสื่อสารของประชาชนอย่างมหาศาล แต่กระบวนการร่างกลับไม่มีการรับฟังความคิดเห็นจากหน่วยงานที่เกี่ยวข้องและประชาชน ซึ่งเป็นผู้มีส่วนได้เสียโดยตรงมาตั้งแต่ต้น 
แม้ทีมผู้ร่างจะประกาศว่าหลังจากนี้ยินดีรับฟังทุกความคิดเห็น แต่เนื้อหาของร่างนี้ได้พ้นจากมือทีมผู้ร่างไปแล้ว และไม่มีอะไรรับประกันได้ว่าจะมีการรับฟังความเห็นของประชาชนอย่างรอบด้านและครบถ้วน ประกอบกับสถานการณ์บ้านเมืองภายใต้กฎอัยการศึก ซึ่งประชาชนทุกกลุ่มไม่มีเสรีภาพในการแสดงความเห็นอย่างเท่าเทียมกัน การแสดงออกเพื่อคัดค้านหรือเห็นต่างจากร่างกฎหมายชุดนี้ย่อมทำได้อย่างจำกัด  
การให้สนช. ซึ่งมาจากการแต่งตั้งเป็นผู้พิจารณา สุ่มเสี่ยงต่อการพิจารณาที่ไม่รอบคอบและมีผลประโยชน์ทับซ้อนเพราะชุดกฎหมายเหล่านี้ให้อำนาจไว้กับเจ้าหน้าที่ด้านความมั่นคงอย่างมาก และ สนช.เองก็มีสัดส่วนของเจ้าหน้าที่ด้านความมั่นคงเป็นส่วนใหญ่ ดังนั้น เพื่อความรอบคอบและชอบธรรมจึงควรให้สภาที่มาจากการเลือกตั้ง ที่มีตัวแทนหลากหลายทั้งในแง่พื้นที่และอุดมการณ์ มีระบบตรวจสอบถ่วงดุลจากพรรคการเมืองฝ่ายค้าน วุฒิสภา และประชาชน เป็นผู้พิจารณากฎหมายเหล่านี้