ผศ.ทศพล ห่วงร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ ชี้ ไทยจะปิดเน็ตแบบจีนไม่ได้

 

อาจารย์ทศพล ทรรศนกุลพันธ์ แสดงข้อกังวล 12 ข้อในทางกฎหมาย ต่อร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ ที่ให้อำนาจรัฐไร้การตรวจสอบ ชี้รัฐยังสับสนระหว่างเรื่องความปลอดภัยกับการทำสงครามไซเบอร์ ย้ำรัฐไม่ได้มีแค่หน้าที่รักษาความมั่นคง แต่ต้องส่งเสริมเศรษฐกิจดิจิทัลด้วย

 

งานเสวนาวิชาการ เรื่อง "การรักษาความมั่นคงและความปลอดภัยทางไซเบอร์: ประวัติความเป็นมา หลักการ และข้อควรพิจารณา" ที่มหาวิทยาลัยธรรมศาสตร์ ศูนย์ลำปาง เมื่อวันที่ 24 กุมภาพันธ์ 2560 โดยมี ผศ.ทศพล ทรรศนกุลพันธ์ คณะนิติศาสตร์ มหาวิทยาลัยเชียงใหม่ บรรยายในหัวข้อ ร่างพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (ร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ)
ผศ.ทศพล กล่าวว่า เท่าที่ศึกษาจากหลายๆ ประเทศในโลกจะพบระบบกฎหมายที่ใช้รักษาความมั่นคงปลอดภัยในโลกไซเบอร์อยู่ 4 แบบ แบบแรก คือ แบบอิสระเสรี ไม่มีการออกกฎหมายมาควบคุมหรือกำกับดูแลโลกอินเทอร์เน็ตในฐานะสื่อใหม่ที่เพิ่งถูกประดิษฐ์ขึ้น อาศัยกลไกตลาดให้ผู้ประกอบธุรกิจแข่งขันกันเองปกป้องดูแลความปลอดภัยให้ลูกค้า ซึ่งประเทศไทยก็เริ่มจากแบบนี้ก่อน
แบบที่สอง คือ ให้ผู้ประกอบธุรกิจในประเภทเดียวกันมาตกลงกันเองเพื่อหากฎกติกา หรือ การควบคุมกำกับดูแลกันเอง (self regulation) ของผู้ให้บริการ
แบบที่สาม คือ รัฐเริ่มเห็นความสำคัญ โดยมีบางหน่วยงาน เช่น หน่วยงานความมั่นคง เริ่มมองว่ากิจกรรมในโลกไซเบอร์ อาจจะกระทบต่อความมั่นคง จึงมีการออกกฎมาย เช่น พระราชบัญญัติเพื่อเป็นแนวทางกว้างๆ ในการกำกับดูแล และให้ภาคธุรกิจเข้ามามีบทบาทในการกำหนดรายละเอียด
ภายใต้กรอบใหญ่ของรัฐ 
แบบที่สี่ คือ รัฐอยากจะเป็นผู้ควบคุมเอง (state monopolise) หรือรัฐถืออำนาจสิทธิขาดในการตัดสินใจสั่งการ หรือกำหนดมาตรฐานในรายละเอียด แล้วให้คนอื่นทำ ระบบแบบนี้จะรัฐพยายามจะทำงานในทางเทคนิคโดยจัดตั้งหน่วยงานขึ้นมาลงมือทำด้วย ตัวอย่างที่ชัดเจน คือ ประเทศจีน และนี่เป็นแนวทางที่รัฐไทยอยากจะเป็น
ผศ.ทศพล มองว่า ตั้งแต่การรัฐประหารในปี 2557 ก็เห็นทิศทางชัดเจนว่า ฝ่ายความมั่นคงของไทยมองเห็นความสำคัญของโลกออนไลน์ มีความพยายามออกกฎหมายมาควบคุมทั้งชุด 10+3 ฉบับ และมีฉบับที่ชัดเจนที่สุด คือ ร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ ซึ่งให้มีคณะกรรมการขึ้นมามีอำนาจสั่งทั้งหน่วยงานรัฐและเอกชน นี่เป็นวิธีคิดแบบหน่วยงานความมั่นคงที่เห็นว่าตัวเองมีหน้าที่และต้องรักษาพื้นที่ของตัวเองเอาไว้ (อ่านสรุปสาระสำคัญร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ ฉบับเดือน ม.ค.2558 คลิกที่นี่)
ผศ.ทศพล กล่าวด้วยว่า เราต้องมองว่ารัฐหนึ่งรัฐไม่ได้มีหน้าที่หรือภารกิจในการรักษาความมั่นคงเพียงอย่างเดียวเท่านั้น แต่รัฐยังมีภารกิจ คือ การส่งเสริมสนับสนุนให้เกิดความมั่นคงทางเศรษฐกิจด้วย ถ้าเราอยากจะมีระบบอินเทอร์เน็ตแบบปิดหรือมีมาตรฐานของตัวเองที่ไม่สอดคล้องกับโลก โดยดูตัวอย่างจีน ผลที่ตามมาจะเป็นอย่างไร
"ตลาดดิจิทัลไทยมีผู้บริโภคกี่คน? และตลาดดิจิทัลจีนมีผู้บริโภคกี่คน? ถ้าตลาดของจีนเป็นแบบปิดแล้วไม่หวังผู้บริโภคจากที่อื่น เขาอยู่ได้ไหม? แล้วเศรษฐกิจดิจิทัลของเราจะเป็นไปได้ไหม" ผศ.ทศพล ตั้งคำถาม
คิดเรื่องกฎหมายความมั่นคงไซเบอร์ ไม่ใช่คิดเรื่องทำสงคราม
ผศ.ทศพล กล่าวว่า เหมือนจะมีความสับสนในหน่วยงานความมั่นคงเกี่ยวกับการเสนอ พ.ร.บ.ความมั่นคงไซเบอร์ฯ ที่ไปมองว่า มันคือการสู้รบในโลกไซเบอร์ คือ มองเรื่องความมั่นคงปลอดภัย (Cyber Security) สับสนกับเรื่องการทำสงคราม (Cyber Warfare) ซึ่งหมายถึงการสู้รบกัน การโจมตีกันในโลกไซเบอร์
สองคำนี้แตกต่างกันตรงที่มองว่าใครเป็นคนทำ ถ้าเป็นคำว่า Cyber Warfare เป็นเรื่องของรัฐต่อสู้กับรัฐ หรือต่อสู้กับกองกำลังติดอาวุธที่ต้องการนำไปสู่การสร้างรัฐใหม่ หรือต้องการสร้างพื้นที่ปลดแอก โดยมีคู่ตรงข้าม มีคู่ต่อสู้ชัดเจน แต่การทำเรื่อง Cyber Security เพื่อจะออกกฎหมายของเรา เป็นเรื่องป้องกันการโจมตีของกลุ่มแฮกเกอร์ ตามรูรั่วของระบบ 
จริงๆ แล้ว ในปัจจุบันไม่มีกฎหมายอะไรที่เกี่ยวข้องกับ Cyber Warfare เลย ถ้ามีรัฐอื่นหรือมีคนบางกลุ่มประสงค์ร้ายมุ่งโจมตีทางไซเบอร์ใส่ประเทศไทย การทำสงครามแบบนั้นจริงต้องประกาศสงครามกัน และเป็นเรื่องระหว่างประเทศ การออกพระราชบัญญัติซึ่งเป็นกฎหมายภายในใช้เฉพาะกับอาณาเขตของไทย ทำอะไรไม่ได้เลย ต้องใช้ระดับกฎหมายระหว่างประเทศ ดังนั้น ถ้ารัฐไทยทำกฎหมายของตัวเองให้เหนื่อยเพื่อป้องกันสิ่งนี้ ก็ไม่ได้ผลอะไร
ดังนั้นแล้วการคิดจะออก พ.ร.บ.ความมั่นคงไซเบอร์ฯ จึงต้องคิดอยู่ในเรื่องกิจการภายในของเรา เช่น การประเมินความเสี่ยงของระบบของตัวเอง ต้องมีองค์กรที่มารวบรวมความรู้หรือประเมินความเสี่ยง คาดการณ์ว่าจะเกิดเหตุร้ายประมาณไหนบ้าง จะได้เตรียมตัวรับมือ และทำระบบแจ้งความเสี่ยงให้รับรู้เพื่อการเตรียมตัวรับมือของหน่วยงานต่างๆ 
ห่วง พ.ร.บ.ความมั่นคงไซเบอร์ฯ เปิดช่องรัฐสั่งเอกชนติดตั้งระบบสอดส่องผู้ใช้งาน
จากร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ ฉบับที่เคยเห็นกันเมื่อต้นปี 2558 ผศ.ทศพล แจกแจง 12 ประเด็น ที่น่าเป็นกังวล ดังนี้
1. ความได้มาตรฐานสากล เจ้าหน้าที่รัฐของเราเคยชี้แจงว่า ร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ ที่จัดทำอยู่นั้นได้มาตรฐานเช่นเดียวกับกฎหมายความมั่นคงของมาตุภูมิ (Homelamd Security Act) และกฎหมายผู้รักชาติ (Patriot Act) ของสหรัฐอเมริกา ซึ่งฟังแล้วก็รู้สึกสยอง เพราะกฎหมายสองฉบับนี้ให้เจ้าหน้าที่มีอำนาจเข้ามาสอดส่องประชาชนได้เพื่อตามหาผู้ก่อการร้าย เราต้องตั้งคำถามว่า ประเทศไทยเราอยู่ในสภาวะที่จะมีคู่ขัดแย้งมาก่อสงครามหรือไม่ ถึงต้องมีมาตรการลักษณะเช่นนั้น 
2. นิยามคำว่า "ความมั่นคงปลอดภัยไซเบอร์" ในร่างฉบับที่เราเคยเห็นกัน ครอบคลุมถึงอะไรก็ตามที่คณะกรรมการประกาศว่าเป็นภัยคุกคามทางไซเบอร์ และให้เจ้าหน้าที่มีอำนาจเข้ามาสอดส่องการสื่อสารของประชาชนได้ ซึ่งเป็นเรื่องที่น่ากลัว
นอกจากนี้ นิยามคำว่า "ความมั่นคงปลอดภัยไซเบอร์" ก็ยังเขียนไม่ชัดเจนว่า จะจำกัดเฉพาะโลกของซอฟต์แวร์ หรือรวมการกระทำในทางกายภาพด้วย ตัวอย่างเช่น ถ้ามีการชุมนุมทางการเมืองและมีการตัดสายเคเบิ้ลของผู้ให้บริการอินเทอร์เน็ต จะถือเป็นภัยคุกคามทางไซเบอร์ที่จะเปิดทางให้เจ้าหน้าที่มีอำนาจพิเศษหรือไม่ หรือเป็นเพียงอาชญากรรมปกติฐานทำให้เสียทรัพย์
3. ไม่มีการรับรองสิทธิของพลเมืองเน็ต เท่าที่พยายามอ่านร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ ไม่เห็นคำว่า ประชาชนหรือพลเมืองเลย ทั้งที่เราเรียนหนังสือกันมาว่า กฎหมายมีไว้เพื่อปกป้องสิทธิของบุคคล แต่กฎหมายนี้กลับมุ่งไปที่การปกป้องความมั่นคงของชาติ ความมั่นคงทางการทหาร รักษาความสงบ ความมั่นคงทางเศรษฐกิจ ทุกอย่างเป็นนามธรรมจับต้องไม่ได้ และขึ้นอยู่กับคนมีอำนาจจะตีความเพื่อเปิดสวิตช์ให้เจ้าหน้าที่มีอำนาจตามกฎหมายนี้ได้
4. ขอบเขตอำนาจของเจ้าหน้าที่ พบว่า อำนาจของเจ้าหน้าที่ตามร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ ไม่มีข้อจำกัดเงื่อนไขทั้งเรื่องเวลาและสถานที่ ไม่รู้ว่า ขอบเขตการใช้อำนาจอยู่ตรงไหน ทำให้เสี่ยงต่อการที่รัฐไปบอกกับบริษัทเอกชนว่า ให้ใส่อุปกรณ์บางอย่างลงไปในเครื่องคอมพิวเตอร์เพื่อให้รัฐสอดส่องได้ง่ายขึ้น หรือ Surveillance by design 
5. อำนาจของหน่วยงานใหม่ที่ตั้งขึ้นมา พบว่า อำนาจหน้าที่ของคณะกรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) ยังมีส่วนที่ขัดแย้งกันเอง เช่น ในเรื่องความมั่นคงของทหาร กลับเขียนว่าเป็นอำนาจโดยตรงของสมัชชาความมั่นคงแห่งชาติ
6. การเชื่อมร้อยกับหน่วยงานอื่นๆ พบว่า คณะกรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติมีอำนาจสั่งให้หน่วยงานอื่นๆ รายงานผลการคุกคามระบบ และมีอำนาจสั่งการได้ โดยไม่พบระบบการตรวจสอบถ่วงดุลอำนาจ ของคณะกรรมการชุดนี้เลย
7. ระเบียบการประเมินความเสี่ยง ยังไม่ชัดเจนว่า การประเมินความเสี่ยงที่แต่ละหน่วยงานจัดทำ เมื่อเสร็จแล้งต้องรายงานใครและรายงานจะเผยแพร่ที่ไหน เกรงว่า จะกลายเป็นเหมือนหน่วยงานราชการไทยที่ทำรายงานแล้วก็แปะไว้บนเว็บไซต์ตัวเองเฉยๆ
8. การจัดเก็บพยานหลักฐานทางคอมพิวเตอร์ ไม่พบว่า ร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ จำกัดอำนาจเจ้าหน้าที่ หรือใช้หลักผลไม้ของต้นไม้มีพิษ เช่น กรณีตรวจสอบเครื่องคอมพิวเตอร์เพื่อหาหลักฐานในความผิดฐานปล่อยไวรัส แต่กลับไปเจอภาพโป๊เด็กอยู่ในเครื่อง โดยหลักแล้วจะเอาหลักฐานมาดำเนินคดีฐานครอบครองภาพโป๊เด็กไม่ได้ แต่ในกฎหมายนี้ยังไม่ได้เขียนไว้ว่าจะให้ทำอย่างไร
9. การสร้างเครือข่ายเตือนภัยระหว่างประเทศ แม้ร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ จะเขียนเรื่องนี้ไว้ แต่รัฐไทยยังไม่ได้ลงนามเข้าเป็นภาคีในสนธิสัญญาระหว่างประเทศว่า ประเทศไทยจะอยู่ในระบบที่เตือนภัยกับร่วมหน่วยงานระดับโลก หรือร่วมกับประเทศใดบ้าง 
10. ความร่วมมือระหว่างภาครัฐกับเอกชน ยังไม่พบว่า ร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ มีช่องทางสร้างความร่วมมือกับเอกชนภายนอก แต่เอาทุกอย่างมาอยู่ในระบบราชการ ไม่มีการมีส่วนร่วมมากนัก เพราะฉะนั้นผู้เชี่ยวชาญที่ไม่ได้เป็นเจ้าหน้าที่ของรัฐก็จะไม่ถูกเรียกใช้งาน 
11. ช่องทางร้องทุกข์ของประชาชน ถ้าหากมีเจ้าหน้าที่รัฐใช้อำนาจเกินขอบเขตไปละเมิดสิทธิประชาชน หรือสร้างผลกระทบให้กับภาคธุรกิจ ก็ไม่รู้เลยว่า จะต้องไปฟ้องศาลไหนกันแน่
12. อำนาจของคณะกรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ที่จะสั่งให้ใครกระทำหรือไม่กระทำอะไรก็ได้ ค่อนข้างกว้างจนไม่รู้ว่าจะกว้างแค่ไหนบ้าง ซึ่งการเขียนแบบนี้เสี่ยงมากที่จะเปิดช่องให้รัฐสั่งให้บริษัทต่างๆ ใส่เทคโนโลยีเพื่อการสอดส่องการสื่อสารของประชาชน (Surveillance by design) ลงไปด้วย หรือเสี่ยงที่รัฐจะไปบังคับให้บริษัทเอกชนทั้งหลายออกนโยบายร่วมกันให้อำนาจรัฐเข้ามาสอดส่องประชาชน โดยไม่เป็นไปในทางคุ้มครองสิทธิ
รับฟังงานเสวนาแบบเต็มๆ ได้ที่