วงเสวนา ชำแหละ ร่าง พ.ร.บ.มั่นคงปลอดภัยไซเบอร์ฯ ชี้สุ่มเสี่ยงละเมิดสิทธิประชาชนพร้อมเรียกร้องให้ปรับแก้

26 ตุลาคม 2561 ที่สมาคมนักข่าวนักหนังสือพิมพ์แห่งประเทศไทย มีการจัดกิจกรรมราชดำเนินเสวนาในหัวข้อ “อันตรายกฎหมายไซเบอร์…?” โดยมีวิทยากรคือ ไพบูลย์ อมรภิญโญเกียรติ ผู้ทรงคุณวุฒิคณะกรรมการเตรียมการไซเบอร์แห่งชาติ จษฎา ศิวรักษ์ หัวหน้ากลุ่มวิชาการ คณะทำงานความมั่นคงปลอดภัยไซเบอร์ฯ สมาคมโทรคมนาคมแห่งประเทศไทยในพระบรมราชูปถัมภ์ รศ.คณาธิป ทองรวีวงศ์ ผู้อำนวยการสถาบันกฎหมายสื่อดิจิทัล มหาวิทยาลัยเกษมบัณฑิต และ สุรางคณา วายุภาพ ผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธฮ. หรือ ETDA) เพื่อทำความเข้าใจและวิเคราะห์ปัญหาของ (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … ที่กำลังได้รับความสนใจและมีเสียงวิพากษ์วิจารณ์ในสังคมไทยอยู่ในขณะ

ไพบูลย์ อมรภิญโญเกียรติ ผู้ทรงคุณวุฒิคณะกรรมการเตรียมการไซเบอร์แห่งชาติ กล่าวว่า (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … มีต้นแบบมาจากกฎหมาย Cyber Security Act 2018 ของสิงคโปร์ แต่เมื่อถูกนำมาปรับใช้ในการเขียนกฎหมายของไทยกลับพบปัญหา ได้แก่

1.แม้เจตนารมณ์ของกฎหมาย ทั้งของสิงคโปร์รวมถึงของไทยเองตั้งไว้ว่าเน้นคุ้มครอง “โครงสร้างพื้นฐาน” (Infrastructure) ทางไซเบอร์ที่เกี่ยวข้องกับบริการ เช่น ผู้ให้บริการเชื่อมต่ออินเตอร์เน็ต หรือผู้ให้บริการสาธารณูปโภคต่างๆ จากการโจมตีของผู้ไม่หวังดี

แต่เมื่อมาระบุในตัวบทแล้วของไทยกลับรวมไปถึง “เนื้อหา” (Content) ที่ปรากฏบนโลกออนไลน์ด้วย เช่น ในมาตรา 56 (2) ที่มีคำว่า “ความมั่นคงของรัฐ” กับ “ความสงบเรียบร้อยของประชาชน” ซึ่งจุดนี้สามารถถูกตีความได้อย่างกว้างขวาง ผู้ถืออำนาจรัฐอาจสั่งการให้เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) ดำเนินการบางอย่างกับเนื้อหาที่ตนเห็นว่าไม่เหมาะสมได้ จึงขอเสนอว่าขอให้เพิ่มคำว่า “ระบบคอมพิวเตอร์” เข้าไปด้วยจะดีกว่าเพื่อให้เกิดความชัดเจน

2.กฎหมายฉบับนี้ให้อำนาจเลขาฯ กปช. ไว้ยิ่งใหญ่มาก คือการที่มีคำสั่งใดๆ ออกมาแล้วผู้ได้รับผลกระทบไม่สามารถอุทธรณ์ได้ ในขณะที่กฎหมายแบบเดียวกันของสิงคโปร์ไม่ปิดช่องทางดังกล่าว โดยกฎหมายของสิงคโปร์กำหนดให้ผู้รับผิดชอบมีอำนาจ 2 ส่วน ส่วนแรกคือสั่งการให้ผู้ให้บริการต่างๆ ปรับปรุงหลักเกณฑ์การรักษาความปลอดภัยไซเบอร์ รวมถึงเรียกข้อมูลการให้บริการมาตรวจสอบได้ กับส่วนที่สองคืออย่างไรก็ตามหากข้อมูลนั้นเป็นข้อมูลส่วนบุคคลแล้วผู้ให้บริการมีสัญญารักษาความลับของลูกค้า ผู้ให้บริการสามารถปฏิเสธไม่ให้ข้อมูลส่วนนี้ก็ได้

แต่เมื่อมาดู (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … ของไทย ในมาตรา 46 ที่ให้อำนาจเลขาฯ กปช. ของไทยเรียกดูข้อมูล ได้ระบุไว้ว่าไม่อาจยกเอาหน้าที่ตามกฎหมายอื่นหรือตามสัญญามาปฏิเสธการขอข้อมูลดังกล่าวได้ ซึ่งกรณีกฎหมายสิงคโปร์นั้นการขอข้อมูลในรอบแรกผู้ให้บริการสามารถปฏิเสธได้ แต่ถ้าฝ่ายรัฐมีข้อมูลที่เชื่อได้ว่าบุคคลดังกล่าวเกี่ยวข้องกับการทำอันตรายต่อความปลอดภัยไซเบอร์จริงๆ ก็จะมีมาตรการขั้นถัดไป ที่สำคัญคือฝ่ายเอกชนผู้ให้บริการในสิงคโปร์สามารถอุทธรณ์คำสั่งของเลขา กปช.  ของสิงคโปร์ได้ด้วย

“ผมคิดว่าทุกคน เราอาจจะแชทหาแฟน กิ๊ก หรือใครก็ตาม หรือมีความชอบส่วนตัวแบบแปลกๆ ชอบดูอะไรแปลกๆ เราไม่อยากให้ใครมาเห็นข้อมูลเรา เวลาทุกครั้งที่มีการเรียกจ้อมูลไปก็ต้องไม่สบายใจแน่นอนว่าข้อมูลตรงนั้นจะเป็นข้อมูลที่มันเกี่ยวข้องไหม ดังนั้นกฎหมายสิงคโปร์หรือกฎหมายทั่วโลกจะคุ้มครองเรื่องความเป็นส่วนตัว กฎหมายฉบับนี้มันมีความเหลื่อมล้ำกับกฎหมายข้อมูลส่วนบุคคลพอสมควร” ไพบูลย์ กล่าว

ไพบูลย์ กล่าวต่อไปว่า 3. (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … ของไทย มีบทลงโทษกรณีขัดคำสั่งเลขา กปช. ในทุกกรณี ต่างจากกฎหมายของสิงคโปร์ที่ระบุว่าต้อง “ไม่ปฏิบัติตามโดยไม่มีเหตุผลอันสมควร” ทั้งที่เป็นหลักการสำคัญในการออกกฎหมาย

4.ในมาตรา 57 ที่ให้อำนาจเลขาฯ กปช. ออกคำสั่งให้หน่วยงานหรือบุคคลต่างๆ ปฏิบัติตามได้เพียงแค่ “มีเหตุอันควรสงสัยว่า” ทั้งที่ในการออกกฎหมายอื่นๆ ทั่วไป อำนาจลักษณะนี้จะใช้ได้ก็ต่อเมื่อ “มีเหตุอันเชื่อได้ว่า” ซึ่งข้อความหลังนี้จะมีน้ำหนักและความชัดเจนที่มากกว่า

และ 5.ในมาตรา 58 ที่ให้อำนาจเลขาฯ กปช. เข้าถึงระบบหรืออุปกรณ์ที่เกี่ยวข้องกับไซเบอร์ซึ่งหน่วยงานหรือบุคคลใดครอบครองอยู่และดำเนินการได้หลายอย่าง เช่นในข้อ (2) ทำสำเนา สกัดคัดกรอง โดยยังใช้คำว่า “มีเหตุอันควรสงสัยว่า” เช่นเดียวกับมาตรา 57 โดยที่ไม่ต้องขอหมายศาล ส่วนในข้อ (4) ที่ให้อำนาจยึดอุปกรณ์ที่เกี่ยวข้องกับไซเบอร์ แม้ข้อนี้จะใช้คำว่า “มีเหตุอันเชื่อได้ว่า” แต่ก็ยังน่ากังวลเพราะเป็นคำสั่งที่ไม่สามารถอุทธรณ์ได้ และเรื่องนี้จริงๆ แล้วควรจะมีศาลเข้ามาเกี่ยวข้องด้วย ต่อให้เป็นเรื่องเร่งด่วนอย่างน้อยก็ต้องรายงานให้ศาลรับทราบ

เจษฎา ศิวรักษ์ หัวหน้ากลุ่มวิชาการ คณะทำงานความมั่นคงปลอดภัยไซเบอร์ฯ สมาคมโทรคมนาคมแห่งประเทศไทยในพระบรมราชูปถัมภ์ กล่าวว่า หากเทียบกับหลักการของกลุ่มประเทศที่อยู่ในองค์การเพื่อความร่วมมือและการพัฒนาทางเศรษฐกิจ (OECD) ซึ่งในปี 2555 OECD มีรายงานแนะนำให้ “ในการออกกฎหมายในเรื่อง Cyber Security ต้องคำนึงถึงไม่เพียงแต่ความมั่นคงของชาติอย่างเดียว แต่ต้องคำนึงถึงภาคประชาชน ภาคสังคมและภาคเศรษฐกิจด้วย” แต่ร่างกฎหมายไทยเปิดมาก็เจอหลักการความมั่นคงของชาติกับความสงบเรียบร้อยเสียแล้ว

เจษฎา กล่าวต่อไปว่า ในการออกกฎหมายความมั่นคงปลอดภัยไซเบอร์ของ OECD นั้นเน้นความร่วมมือของหลายหน่วยงาน เพราะภัยคุกคามไซเบอร์มีทั้งมุมกว้างและมุมลึก เช่น อินเตอร์เน็ตถือเป็นไซเบอร์ แต่การที่ระบบอินเตอร์เน็ตล่มอาจเกิดจากการลอบวางระเบิดโครงข่ายสัญญาณโทรคมนาคมซึ่งเป็นโครงสร้างที่ไม่ใช่ไซเบอร์ก็ได้ จึงไม่สร้างหน่วยงานใหม่แต่พยายามประสานการทำงานของหน่วยงานต่างๆ ทั้งรัฐและเอกชนที่เกี่ยวข้องเข้าด้วยกัน

“ภาคเอกชนของโทรคมนาคมโดนโจมตีทางไซเบอร์อยู่ทุกวันอยู่แล้ว แต่เขาก็มีมาตรการรับมืออยู่เพราะถ้าเน็ตเวิร์คเขาล่มชื่อเสียงเขาก็ไปก่อน สิ่งที่เขากลัวคือพอหน่วยงานรัฐตั้งมาใหม่แต่ประสบการณ์ไม่มี ไม่ออกกฎอะไรก็ไม่รู้ เขาจะทำอย่างไร หลายปีที่ผ่านมาโอเปอเรเตอร์มือถือ 3 เจ้าถูกโจมตีไหม ก็โดนอยู่ทุกวันโดนเป็นปกติ แต่เขาก็รู้วิธีการรับมือ เรื่องนี้เป็นส่วนหนึ่งที่เขาเน้น” นายเจษฎา ระบุ

หัวหน้ากลุ่มวิชาการ คณะทำงานความมั่นคงปลอดภัยไซเบอร์ฯ สมาคมโทรคมนาคมแห่งประเทศไทยในพระบรมราชูปถัมภ์ กล่าวอีกว่า งานความมั่นคงปลอดภัยไซเบอร์เป็นงานที่มีต้องอาศัยความร่วมมือกันระหว่างประเทศ จึงต้องสร้างกลไกที่เอื้อต่อความร่วมมือนี้ด้วย รวมถึงต้องระวังเรื่อง “เสรีภาพบนอินเตอร์เน็ต” เพราะหากออกกฎหมายเพื่อลดทอนเสรีภาพนี้โดยไม่สมเหตุสมผล จะส่งผลกระทบต่อการขยายตัวของภาคธุรกิจบนอินเตอร์เน็ตได้

รศ.คณาธิป ทองรวีวงศ์ ผู้อำนวยการสถาบันกฎหมายสื่อดิจิทัล มหาวิทยาลัยเกษมบัณฑิต กล่าวว่า ในทางสากลแม้สิทธิ 2 ประเภทคือสิทธิในการแสดงความคิดเห็นและสิทธิความเป็นส่วนตัวจะสามารถถูกจำกัดโดยกฎหมายได้ แต่การออกกฎหมายมาจำกัดสิทธิดังกล่าวต้องมีขอบเขตไม่กว้างเกินไปและมีการตรวจสอบถ่วงดุล ซึ่งเมื่อมาดู (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … พบการออกกฎหมายที่สามารถตีความได้กว้างขวางมาก

เช่น มาตรา 43 ว่าด้วยอำนาจของ กปช. ในการกำหนดว่าหน่วยงานผู้ให้บริการใดจะถือเป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ในข้อ (8) ระบุว่า “ด้านอื่นตามที่ กปช. ประกาศกำหนดเพิ่มเติม” จะกระทบต่อผู้ประกอบการอย่างกว้างขวางหรือไม่ อาทิ เมื่อมีเหตุมัลแวร์ (Malware = โปรแกรมที่สร้างขึ้นเพื่อจุดประสงค์ในทางมิจฉาชีพต่างๆ) ระบาดในระบบคอมพิวเตอร์ ทุกคนตั้งแต่เจ้าของธุรกิจขนาดใหญ่จนถึงพ่อค้าแม่ค้าออนไลน์รายย่อยๆ สามารถถูกกำหนดให้เป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศตามกฎหมายนี้ได้ทั้งสิ้น ทำให้อาจเป็นภาระเกินสมควรได้

หรือมาตรา 57 – 58 ที่เป็นเรื่องของการ “สอดแนม” ในทางสากลก็อนุญาตให้ทำได้ภายใต้ขอบเขตที่ชัดเจนทั้งตัวบุคคลที่ถูกสอดส่อง ข้อมูลอะไรบ้างที่สามารถเข้าถึงได้ มาตรการที่ใช้ต้องไม่กว้างขวางเกินไป และต้องจำกัดเวลาที่อนุญาตให้ทำได้ เพื่อป้องกันการที่รัฐจะนำไปสอดส่องการแสดงความคิดเห็นของประชาชนแบบวงกว้าง ดังกรณีที่เอ็ดเวิร์ด สโนว์เดน (Edward Snowden) เคยออกมาเปิดโปงถึงความพยายามของหน่วยงานรัฐบาลสหรัฐอเมริกาที่ต้องการกระทำการดังกล่าว

รศ.คณาธิป ยังกล่าวอีกว่า แม้ร่างกฎหมายล่าสุดจะเขียนนิยามความมั่นคงไซเบอร์ไว้ที่ระบบสารสนเทศจึงไม่น่าจะครอบคลุมถึงเนื้อหา เช่น การโพสต์ข้อความโจมตีรัฐบาล แต่สุดท้ายก็ต้องขึ้นอยู่กับการตีความ อย่างไรก็ตามที่น่ากังวลมากไม่แพ้กันคือแม้กฎหมายจะไม่มีโทษโดยตรงกับเรื่องดังกล่าว แต่อาจเข้าข่ายปรากฏการณ์ “Chilling Effect” ที่ประชาชนกลัวได้รับผลกระทบจากกฎหมายในทางอ้อม จนไม่กล้าแสดงความคิดเห็นเลยก็ได้ เช่น การเข้ามาสอดส่องพฤติกรรมบนโลกออนไลน์ของประชาชน แล้วเก็บข้อมูลไปเอาผิดในเรื่องอื่นๆ ได้

“ในอเมริกามีกรณีหน่วยงานรัฐไปตรวจสอบนาย A เพื่อหาข้อเท็จจริงการเลี่ยงภาษี รวมถึงนาย B และนาย C ที่เป็นลูกค้าของนาย A ด้วย ก็เก็บข้อมูลมาทั้งหมด วันแรกดำเนินคดีนาย A ก่อนตามที่ขอหมายศาลไว้ แต่ข้อมูลทั้งหมดยังทำสำเนาเก็บไว้อยู่ วันดีคืนดีก็มาไล่ดู คนนั้นเกี่ยวกับเรื่องนี้ คนนี้เกี่ยวกับเรื่องนั้น แต่ศาลสหรัฐบอกว่า 1.เจ้าหน้าที่ทำสำเนาข้อมูลกว้างเกินไป คุณจะจัดการนาย A ก็ต้องเอาเฉพาะจ้อมูลที่เกี่ยวกับนาย A และ 2.การเก็บข้อมูลไว้เรื่อยๆ และเอามาใช้ดำเนินคดีเรื่องอื่นๆ ภายหลัง ถือว่าไม่สอดคล้องกับหลักสิทธิเสรีภาพ” รศ.คณาธิป ยกตัวอย่าง

สุรางคณา วายุภาพ ผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธฮ. หรือ ETDA) กล่าวชี้แจงข้อกังวลต่างๆ ดังต่อไปนี้ 1.กรณีไม่ให้อุทธรณ์ แม้ (ร่าง) พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … จะไม่ระบุการอุทธรณ์ไว้อย่างกฎหมายอื่นๆ แต่การทำงานของ กปช. ยังอยู่ภายใต้กฎหมายอย่างน้อย 2 ฉบับ คือ พ.ร.บ.วิธีปฏิบัติราชการทางปกครอง พ.ศ.2539 กรณี กปช. ใช้อำนาจแล้วมีผู้ไม่เห็นด้วยจึงสามารถร้องเรียนได้

กับประมวลกฎหมายอาญามาตรา 157 กรณี กปช. ใช้อำนาจโดยมิชอบ อย่างไรก็ตามโดยส่วนตัวอยากให้เขียนไว้ดีกว่าเรื่องการอุทธรณ์เพื่อให้ประชาชนเกิดความสบายใจ แต่ก็ขึ้นกับในชั้นกฤษฎีกาว่าจะแก้ไขหรือไม่ 2.กรณีไม่ผ่านศาล เรื่องนี้เข้าใจคนร่างกฎหมายที่เห็นว่าภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างรวดเร็ว คลิกเดียวเพียงเสี้ยววินาทีก็อาจสร้างความเสียหายได้เป็นวงกว้าง การขอศาลอาจไม่ทันการ แต่โดยส่วนตัวก็กังวลในการใช้กฎหมายเช่นกัน เรื่องนี้น่าจะไปหาทางแก้ไขวิธีปฏิบัติว่าจะทำอย่างไร

3.การเรียกข้อมูลกรณีภัยร้ายแรง (มาตรา 56) ที่มีคำว่า “ความมั่นคงของรัฐ” กับ “ความสงบเรียบร้อยของประชาชน” เรื่องนี้ก็น่ากังวลหลังมีบทเรียนจาก พ.ร.บ.คอมพิวเตอร์ ที่แม้เจตนาดีแต่การบังคับใช้ในประเด็นความมั่นคงถูกตีความก้าวล่วงไปถึงเรื่องเนื้อหาด้วย ก็ต้องฝากให้ทางกฤษฎีกานำไปปรับแก้ด้วย 4.การป้องกันความเสี่ยงทางไซเบอร์ที่ใช้ถ้อยคำ “มีเหตุอันควรสงสัยว่า” แทนที่จะใช้ “มีเหตุอันเชื่อได้ว่า” ก็เป็นปัญหาจริงในการใช้ถ้อยคำ ก็เป็นอีกเรื่องที่ไม่ว่ากฤษฎีกาหรือสภานิติบัญญัติแห่งชาติ (สนช.) ต้องนำข้อนี้ไปพิจาณา

และ 5.การเข้าถึงข้อมูลส่วนบุคคล ในเจตนารมณ์ของกฎหมาย ข้อมูลที่ กปช. เข้าถึงและจัดเก็บได้ต้องเป็นข้อมูลที่เกี่ยวข้องกับภัยคุกคามไซเบอร์เท่านั้น อย่างไรก็ตามหากอ่านตามตัวอักษรก็อาจตีความตามที่หลายฝ่ายกังวลกรณีการเก็บข้อมูลอย่างกว้างขวางของประชาชนได้ ดังนั้นต้องปรับแก้ให้ชัดเจนกว่าที่เป็นอยู่ นอกจากนี้ในบทเฉพาะกาลที่ให้ สพธอ. ทำหน้าที่ กปช.ไปพลางจนกว่าจะมีการจัดตั้งสำนักงาน กปช. เป็นทางการ ก็ยืนยันว่าจะรีบดำเนินการให้เร็วที่สุดเพื่อให้แยกหน่วยงาน กปช. ออกจาก สพธอ.

“เราขอบคุณที่ให้เกียรติ ETDA ว่าเป็นหน่วยงานที่ขยันขันแข็งแล้วดูน่าจะไว้วางใจได้ เราก็หนักใจที่พลังไม่พอจะคัดค้านมติ ก.พ.ร. (สำนักงานคณะกรรมการพัฒนาระบบราชการ) เราเป็นหน่วยงานรัฐก็ต้องเคารพ อย่างไรก็ตามเสียงสะท้อนนี้มาจากภาคปฏิบัติ ทุกคนมีส่วนร่วมเสนอข้อคิดเห็น น่าจะเป็นสิ่งที่ดี ซึ่ง ETDA ก็ประสบเหมือนกันคือทำอย่างไรให้ ETDA ทำเรื่อง E – Commerce ทำเรื่อง Innovation ทำเรื่องใดๆ ที่ไปข้างหน้า ณ วันนี้ที่เรามารับผิดชอบหลายเรื่องทำให้เราเหมือนต้องคอยระวังหลัง เพราะงาน Cyber Security เป็นงานที่คอยระวังหลังว่าจะเกิดอะไรขึ้นก็แก้ปัญหา ฉะนั้นพลังของ ETDA ก็ไม่มากพอ” สุรางคณา กล่าว