2015.01.07 14:56

อินเทอร์เน็ตและโทรศัพท์มือถือช่วยให้เราติดต่อสื่อสารกับญาติพี่น้อง เพื่อน และเพื่อนร่วมงานได้สะดวกรวดเร็ว แต่เทคโนโลยีเดียวกันนี้ก็อำนวยความสะดวกในการดักฟังเช่นกัน เครือข่ายพลเมืองเน็ตชวนย้อนเวลาไปดูความพยายาม (บางส่วน) ของรัฐไทยในการสอดส่องว่าประชาชนกำลังคุยอะไรกัน ทั้งในช่วงรัฐบาลทหารจากการรัฐประหารและรัฐบาลพลเรือนจากการเลือกตั้ง ไปดูเทคนิคต่างๆ ในการพยายามจะดักหรือเก็บข้อมูลส่วนบุคคล ซึ่งบางวิธีก็ใช้อุปกรณ์ซับซ้อนทันสมัย บางวิธีก็ใช้การล่อหลอกให้คนสับสน ส่วนบางวิธีก็ “ขอเป็นเพื่อน” เข้าไปดูกันดื้อๆ เลย

ดักไม่ดัก ดูไม่ดู

หลังจากเมื่อวันที่ 22 ธ.ค. 2557 ที่ผ่านมา นายพรชัย รุจิประภา รัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเปิดเผยว่ากระทรวงกำลังตรวจตราข้อมูลในแอปพลิเคชันไลน์ (LINE) โดยเฉพาะข้อความเกี่ยวกับสถาบันกษัตริย์และความมั่นคง ไลน์ประเทศไทยได้ออกมายืนยันในวันรุ่งขึ้น (23 ธันวาคม) ว่า บริษัทไม่ได้เปิดเผยข้อมูลผู้ใช้ให้กับกระทรวงไอซีทีตามที่เป็นข่าว เพราะข้อมูลดังกล่าวเป็นข้อมูลส่วนบุคคลและในทางสากลมีกฎหมายคุ้มครองอยู่ หากทางการไทยประสานขอข้อมูลมาที่ไลน์ประเทศไทย ต้องมีหมายศาล และขึ้นอยู่กับดุลยพินิจของบริษัทแม่ที่ญี่ปุ่นว่าจะดำเนินการตามที่ขอหรือไม่

ในวันที่ 23 ธ.ค. พรชัยได้ปฏิเสธข่าวดังกล่าวเช่นกัน โดยระบุข่าวที่ออกไปมีคลาดเคลื่อน กระทรวงไอซีทีเพียงอาศัยข้อความและประวัติการแชตจากที่มีผู้นำมาแจ้งความ โดยไม่ได้เข้าไปดักฟังการพูดคุยกันส่วนตัว

“ผมพูดว่าให้ระวังอย่าส่งต่อข้อความทางไลน์นะ สามารถตามจับได้เพราะเวลาผู้เสียหายเข้ามาแจ้งความ เขาจะนำข้อความในแชตมาให้ตำรวจทำให้สาวถึงต้นตอได้จากตรงนั้น ไม่ใช่ว่ากระทรวงไอซีทีไปนั่งส่องข้อความที่คนแชตกัน และที่เตือนว่า ให้ระวังอย่าส่งต่อเพราะตาม พ.ร.บ.ว่าด้วยความผิดเกี่ยวกับคอมพิวเตอร์ แค่ส่งต่อก็ถือว่าสมรู้ร่วมคิดแล้วจะมาอ้างว่าไม่รู้ ไม่ตั้งใจไม่ได้ ตอนนี้ผมเริ่มเข้าใจแล้วว่าที่นายกรัฐมนตรีหงุดหงิดเวลาอ่านข่าว เพราะไปลงไอ้ที่เราไม่ได้พูด เป็นแบบนี้เอง

“ตั้งแต่มีข่าวออกไปได้คุยกับไลน์ ประเทศไทยแล้ว เขาก็เข้าใจว่า กระทรวงไอซีทีไม่ได้มีนโยบายไปกดดันหรือทำอย่างที่เป็นข่าว ทางนั้นยังมั่นใจด้วยว่า ผมไม่ได้พูดไปแบบนั้น เพราะก็รู้กันอยู่แล้วว่าทำไม่ได้ บริษัทเขาก็มีนโยบายคุ้มครองข้อมูลในระบบอยู่”

สฤณี อาชวานันทกุล นักเขียนและประธานคณะทำงานเครือข่ายพลเมืองเน็ต ตั้งข้อสังเกตว่าสิ่งที่รัฐมนตรีไอซีทีแถลงในตอนแรกอาจเป็นการ “โกหก” เพื่อข่มขู่ประชาชน

“ไลน์แถลงแล้วว่ารัฐบาลล้วงข้อมูลไม่ได้ แปลว่าที่ รัฐมนตรีไอซีทีแถลงว่าตรวจสอบข้อมูลประชาชนได้หมดนั้นคืออะไรถ้าไม่ใช่ ‘โกหก’ คำโต? โกหกไปเพื่ออะไร? ข่มขู่ประชาชน? ท่านจะรับผิดชอบอย่างไรบ้างกับการพูดมั่วๆ ให้ประชาชนแตกตื่น?”

ย้อนอดีต อยากส่องข้อมูลประชาชนกันทุกรัฐบาล

ไม่เพียงคณะรัฐประหารและรัฐบาลในขณะนี้เท่านั้นที่พยายามสอดส่องกิจกรรมของประชาชน ที่ผ่านมา ปรากฏความพยายามในการดักรับข้อมูลการสื่อสารของประชาชนอยู่หลายครั้งอย่างต่อเนื่องทุกรัฐบาล

หลังการรัฐประหารเมื่อเดือนกันยายน 2549 ไม่นาน ในสมัยรัฐบาลพลเอกสุรยุทธ์ จุลานนท์ (2550) นายวุฒิพงษ์ เพรียบจริยวัฒน์ รักษาการกรรมการผู้จัดการใหญ่บริษัท ทีโอที จำกัด (มหาชน) ได้เปิดเผยว่ากองทัพกำลังเตรียมเครื่องมือดักฟังโทรศัพท์พื้นฐานของทีโอทีทุกคู่สาย โดยใช้เงินบริจาค 8,000 ล้านบาทจากทีโอที

ในสมัยรัฐบาลพลเรือนของนายอภิสิทธิ์ เวชชาชีวะ (2553) กระทรวงไอซีทีก็ได้เสนอให้ติดระบบดักจับข้อมูลบนอินเทอร์เน็ต หรือ “สนิฟเฟอร์” (sniffer) โดยระบุว่าทำไปเพื่อป้องกันการละเมิดทรัพย์สินทางปัญญาและเพื่อช่วยคัดกรองเว็บไซต์ไม่เหมาะสม ความเคลื่อนไหวดังกล่าวก่อให้เกิดกระแสคัดค้านจากผู้ใช้อินเทอร์เน็ต มีการจัดตั้งหน้าเฟซบุ๊กชื่อ Thailand No Sniffer เพื่อแสดงความกังวลและไม่เห็นด้วย

ในปีถัดมา ในสมัยรัฐบาลของนางสาวยิ่งลักษณ์ ชินวัตร ร.ต.อ.เฉลิม อยู่บำรุง รองนายกรัฐมนตรีในขณะนั้น ได้เปิดเผยเมื่อเดือนธันวาคม 2554 ถึงแผนการจัดซื้ออุปกรณ์เพื่อดักรับข้อมูลที่อาจละเมิดกฎหมายอาญามาตรา 112 หรือ “หมิ่นพระบรมเดชานุภาพ” ก่อนที่เรื่องดังกล่าวจะเงียบหายไป

เดือนสิงหาคม 2556 พล.ต.ต.พิสิษฐ์ เปาอินทร์ ผู้บังคับการกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.) เปิดเผยว่าปอท.จะตรวจสอบผู้ใช้บริการสื่อสังคมในทางผิดกฎหมาย กระทบต่อความมั่นคง และศีลธรรมอันดี ซึ่งจะเน้นอาชญากรรม 4 ประเภท คือค้าอาวุธ ค้ายาเสพติด ค้าประเวณี และค้าของปลอมและละเมิดลิขสิทธิ์

“ตอนนี้เราจัดเจ้าหน้าที่ชุดมอนิเตอร์โซเชียลมีเดียไว้ 6 นาย หากพบมีการส่งข้อความที่เข้าข่ายกระทำผิดใน 4 กลุ่มประเภทที่ ปอท. ตั้งไว้ เราก็จะส่งหนังสือไปทางบริษัทผู้ผลิตโปรแกรมไลน์ในญี่ปุ่น ซึ่งทางนั้นจะทำการตรวจสอบให้ว่าข้อความที่ส่งมีต้นทางจากบุคคลใด เพื่อ ปอท.จะสามารถใช้เป็นหลักฐานดำเนินคดีตาม พ.ร.บ.คอมพิวเตอร์ ซึ่งขณะนี้มีข้อความที่ถูกส่งต่อบนโซเชียลที่ ปอท. เฝ้าจับตาอยู่และเข้าข่ายความผิด พ.ร.บ.คอมพิวเตอร์แล้ว ร่วมเกือบ 100 ข้อความ”

ท่าทีของรัฐบาล (หรือผู้มีอำนาจขณะนั้น) ในการจับตาการใช้สื่อสังคม ทวีความเข้มข้นและต่อเนื่องอย่างเห็นได้ชัด หลังการประกาศกฎอัยการศึกในวันที่ 20 พ.ค. 2557 และการรัฐประหารอีกสองวันถัดมาในวันที่ 22 พ.ค. 2557

ในวันเดียวกับที่กองทัพบกประกาศกฎอัยการศึกและจัดตั้งกองอำนวยการรักษาความสงบเรียบร้อย (กอ.รส.) กอ.รส.ได้ออกคำสั่งหลายฉบับที่เกี่ยวกับการทำงานของสื่อสารมวลชน การระงับการเผยแพร่ข่าวสาร และการตรวจสอบข้อมูลออนไลน์ เป็นที่สังเกตว่ากอ.รส.ให้ความสำคัญกับการควบคุมสื่อมาก ดังจะเห็นได้จากคำสั่ง 12 ฉบับที่ออกในวันแรกเป็นคำสั่งเกี่ยวกับสื่อถึงครึ่งหนึ่ง ได้แก่ฉบับที่ 1 (การถ่ายทอดออกอากาศสถานีวิทยุกระจายเสียง สถานีวิทยุโทรทัศน์ และสถานีวิทยุชุมชน), 3 (ห้ามการเสนอข่าว แจกจ่าย จำหน่ายสิ่งพิมพ์ ที่ส่งผลกระทบต่อการรักษาความสงบเรียบร้อยภายในประเทศ), 6 (ขอความร่วมมือระงับการถ่ายทอดออกอากาศของสถานีโทรทัศน์ดาวเทียม และสถานีวิทยุชุมชน), 7 (ขอความร่วมมือระงับการถ่ายทอดออกอากาศของสถานีโทรทัศน์ดาวเทียม และสถานีวิทยุชุมชน (เพิ่มเติม)), 8 (ขอความร่วมมือจากสื่อสังคมออนไลน์) และ 9/2557 (ห้ามสร้างความขัดแย้งหรือต่อต้านการปฏิบัติงานของ กอ.รส.)

คำสั่งกอ.รส.ที่ 8/2557 นั้นระบุถึงการสอดส่องสื่อสังคมออนไลน์อย่างเจาะจง และในวันรุ่งขึ้น (21 พ.ค.) หลังจากกอ.รส.ออกคำสั่งนี้ สำนักงานกสทช.ได้เชิญผู้ให้บริการอินเทอร์เน็ตทุกรายที่ได้รับอนุญาตจากกสทช.ร่วมหารือและขอความร่วมมือในการตรวจสอบและปิดกั้นเนื้อหาที่อาจก่อให้เกิดความขัดแย้งและอาจส่งผลต่อความสงบเรียบร้อยตามคำสั่งดังกล่าว

หลังจากนั้นหนึ่งวัน ในวันที่ 22 พ.ค. 2557 คณะรักษาความสงบแห่งชาติ (คสช.) ก็ได้รัฐประหารยึดอำนาจจากรัฐบาลยิ่งลักษณ์ และออกประกาศเกี่ยวกับการควบคุมสื่อทันทีหลายฉบับในวันเดียวกัน ได้แก่ประกาศคสช.ฉบับที่ 12 (ขอความร่วมมือจากสื่อสังคมออนไลน์), 14 (ห้ามสร้างความขัดแย้งหรือต่อต้านการปฏิบัติงานของคณะรักษาความสงบแห่งชาติ), 17 (การเผยแพร่ข้อมูลข่าวสารผ่านช่องทางอินเทอร์เน็ต), และ 18/2557 (การเผยแพร่ข้อมูลข่าวสารต่อสาธารณะ) โดยหลังจากนั้นก็มีประกาศเพิ่มเติมอีก เช่น ประกาศคสช.ฉบับที่ 26 (การดูแลและสอดส่องการใช้สื่อสังคมออนไลน์) และ 97/2557 (การให้ความร่วมมือต่อการปฏิบัติงานของคณะรักษาความสงบแห่งชาติและการเผยแพร่ข้อมูลข่าวสารต่อสาธารณะ)

ส่วนราชการโดยเฉพาะกระทรวงไอซีที ขานรับนโยบายของคสช.ในการควบคุมและสอดส่องสื่อโดยทันที เช่น ภายในสัปดาห์แรกของการรัฐประหาร นายสุรชัย ศรีสารคาม ปลัดกระทรวงไอซีทีเปิดเผยว่าจะเสนอแผนให้คสช.จัดตั้งดิจิทัลอินเทอร์เน็ตเกตเวย์แห่งชาติ เพื่อให้ผู้ให้บริการอินเทอร์เน็ต (ไอเอสพี) ใช้เชื่อมกับต่างประเทศร่วมกัน โดยจะเป็นความร่วมมือระหว่างไอเอสพีที่มีเกตเวย์เป็นของตนเอง อาทิ บมจ.ทีโอที บมจ.กสท โทรคมนาคม และไอเอสพีอื่นๆ อีก 6 ราย ซึ่งจะช่วยให้กระทรวงไอซีทีเข้ามาควบคุมการบล็อคเว็บไซต์ได้ง่ายและทำได้ในทางตรงมากขึ้น

27 พ.ค. 2557 พล.ต.ต.พิสิษฐ์ ที่ปรึกษาปลัดกระทรวงไอซีทีและหัวหน้าคณะทำงานด้านสื่อสังคมออนไลน์ (ตามประกาศคสช.ฉบับที่ 26/2557) แถลงว่ากระทรวงไอซีทีกำลังประสานงานกับเฟซบุ๊ก กูเกิล ยูทูบ และไลน์ เพื่อขอความร่วมมือในการระงับการเข้าถึงเว็บไซต์ที่มีเนื้อหาขัดต่อประกาศคสช.ฉบับที่ 12, 17 และ 26 โดยอาศัยอำนาจตาม พ.ร.บ.ระเบียบบริหารราชการแผ่นดิน พ.ศ. 2553 นอกจากนี้พิสิษฐ์ยังระบุถึงวิธีการสอดส่องด้วยว่า

“ในส่วนของกระบวนการการระงับนั้น จะเป็นในลักษณะของการสอดส่องผ่านกลุ่มไลน์ [กรุ๊ป] มากกว่า โดยทางเราอาจจะมีมาตรการเข้าไปสมัครเป็นเพื่อนกับท่าน แล้วพอท่านกดรับ ผมก็จะคอยดูว่าในกลุ่มนั้น มีการเผยแพร่ข้อมูลที่เข้าข่ายการเผยแพร่ข้อมูลที่ขัดต่อประกาศคสช.หรือไม่”

สองวันถัดมา พิสิษฐ์เปิดเผยว่าเตรียมส่งเจ้าหน้าที่ระดับสูงของไอซีทีไปเจรจากับเฟซบุ๊ก กูเกิล และไลน์ เพื่อขอความร่วมมือระงับการใช้สื่อสังคมเป็นรายบุคคลหากพบเนื้อหาหมิ่นเบื้องสูง ยุยงปลุกปั่นเพื่อให้แตกความสามัคคี หรือฝ่าฝืนคำสั่งของคสช. แต่ต่อมายกเลิกแผนเข้าพบเมื่อ 3 มิ.ย. 2557 หลังข่าวแผนเข้าพบผู้ให้บริการเหล่านี้ทำให้ผู้ใช้เลือกที่จะส่งข้อความด้วยช่องทางอื่นๆ แทน

นอกจากวิธีการดักรับข้อมูล การขอข้อมูลจากผู้ให้บริการ และการใช้เจ้าหน้าที่ตรวจตราข่าวสารบนสื่อสังคมหรือแฝงตัวไปเป็น “เพื่อน” แล้ว รัฐยังสามารถดึงข้อมูลส่วนตัวของผู้ใช้ได้ด้วยวิธี “สมัครใจ” ผ่านแอปบนสื่อสังคม

19 มิ.ย. 2557 เครือข่ายพลเมืองเน็ตยืนยันข้อสังเกตของผู้ใช้อินเทอร์เน็ตรายหนึ่งที่แจ้งว่าหน้าเว็บ tcsd.info ของกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.) มีลิงก์ไปยังแอปเฟซบุ๊กที่อาจเก็บข้อมูลส่วนบุคคลของผู้ใช้ที่รู้เท่าไม่ถึงการณ์ สับสนจนกดยอมรับให้แอปเข้าถึงข้อมูลโดยไม่ตั้งใจ

หน้าเว็บ tcsd.info เป็นหน้าเว็บที่จะแสดงแทนหน้าเว็บที่ถูกปิดกั้นโดยปอท. ในหน้าเว็บดังกล่าวจะมีปุ่มที่เขียนว่า “close” (ปิด) ซึ่งโดยทั่วไปในการออกแบบหน้าเว็บจะหมายถึงการปิดหน้าเว็บที่กำลังดูอยู่ อย่างไรก็ตามในขณะนั้น เมื่อผู้ใช้ปุ่ม “close” จะเป็นการนำไปสู่หน้าของแอปเฟซบุ๊กที่ชื่อว่า “Login” (ซึ่งหมายถึง “การลงชื่อเข้าใช้”) และมีข้อความสอบถามว่าผู้ใช้จะยินยอมให้แอปเข้าถึงข้อมูลส่วนตัวหรือไม่ หากผู้ใช้กด “Okay” (ตกลง) ไม่ว่าจะโดยรู้ว่ากำลังจะยินยอมให้แอปเข้าถึงข้อมูลของตัวเอง หรือจากความสับสนเนื่องจากการแสดงชื่อที่ชวนให้เข้าใจผิดว่ากำลังเป็นการตกลงเข้าใช้เฟซบุ๊ก ข้อมูลส่วนตัวของผู้ใช้เฟซบุ๊กคนดังกล่าวจะสามารถถูกเข้าถึงได้โดยผู้ดูแลแอปทันที ซึ่งหลังจากการเปิดเผยนี้ทางปอท.ยอมรับว่าเป็นผู้ดูแลแอปและเก็บข้อมูลดังกล่าวจริง แต่ผู้ใช้สามารถเลือกไม่ให้ข้อมูลได้

วิธีการสอดส่องพฤติกรรมผู้ใช้อินเทอร์เน็ตอีกแบบที่พบและมีแนวโน้มมากขึ้น คือการให้ผู้ใช้อินเทอร์เน็ตจับตากันเอง

23 มิ.ย. 2557 พล.ต.อ.สมยศ พุ่มพันธ์ม่วง รองผู้บัญชาการตำรวจแห่งชาติ ประชาสัมพันธ์ให้ประชาชนเป็นหูเป็นตาให้รัฐ บันทึกภาพผู้แสดงสัญลักษณ์ต้านคสช.ในพื้นที่สาธารณะและพื้นที่ออนไลน์และส่งมายังสำนักงานตำรวจแห่งชาติ โดยผู้แจ้งจะได้รางวัลนำจับภาพละ 500 บาท หากข้อมูลนั้นนำไปสู่การจับกุมและดำเนินคดีกับบุคคลในภาพเหล่านั้นได้ นอกจากนี้ยังเชิญชวนให้ประชาชนแจ้งเบาะแสที่หน้าเฟซบุ๊ก “จ่าฮูก”

ไลน์ปลอดภัยหรือไม่?

ความปลอดภัยของข้อมูลส่วนตัวหรือการคุ้มครองผู้ใช้งานแอปพลิเคชัน นั้นขึ้นอยู่กับการคุ้มครองใน 2 ลักษณะ คือมาตรการคุ้มครองทางเทคนิคและทางกฎหมาย ที่ต้องทำงานไปพร้อมๆ กัน

1) มาตรการคุ้มครองทางเทคนิค ที่ต้องมีตลอดการเดินทางของข้อมูล ตลอดวงจรชีวิต (life cycle) ของข้อมูล ไม่ว่าจะเป็นในส่วนการรับส่งข้อมูลบนเครือข่าย ความมั่นคงของตัวเครือข่ายเอง การออกแบบแอปพลิเคชัน การจัดเก็บข้อมูล การจัดลำดับชั้นของสิทธิ์ในการเข้าถึงข้อมูล ความเข้มงวดของการยืนยันตัวตน ฯลฯ เพื่อลดโอกาสที่ข้อมูลจะรั่วไหลไปโดยไม่เจตนาหรือถูกเข้าถึงโดยที่เจ้าของไม่ได้อนุญาต รวมทั้งลดความเสียหายในน้อยที่สุดในกรณีที่เกิดการรั่วไหลแล้ว

2) มาตรการคุ้มครองทางกฎหมาย ไม่ว่าจะเป็นในรูปแบบสัญญาสองฝ่ายระหว่างผู้ให้บริการและผู้ใช้บริการ กฎหมายคุ้มครองข้อมูลส่วนบุคคล กฎหมายเกี่ยวกับการพิจารณาความอาญาและอำนาจในการดักฟัง การกำกับดูแลโดยองค์กรกำกับ เช่น องค์กรสิทธิผู้บริโภค องค์กรกำกับดูแลการสื่อสาร ความเข้มแข็งและความกระตือรือร้นของผู้ประกอบการในการปกป้องสิทธิของลูกค้า เช่น การมีทีมกฎหมายที่พร้อมจะถามถึงความชอบธรรมเหมาะสมในการที่รัฐจะขอข้อมูลผู้ใช้ ทั้งหมดนี้เพื่อลงโทษผู้เปิดเผยข้อมูลหรือละเมิดสิทธิผู้ใช้ ยับยั้งความเสียหายและเยียวยาผู้ถูกละเมิด และเพื่อจูงใจให้ผู้ให้บริการมีวิธีปฏิบัติในการประกอบกิจการที่คุ้มครองข้อมูลของผู้ใช้และจัดให้มีมาตรการทางเทคนิคที่ได้มาตรฐาน

สำหรับมาตรการคุ้มครองทางกฎหมายของไลน์นั้น ไลน์ได้ระบุถึงการให้ข้อมูลแก่บุคคลที่สามไว้ในนโยบายความเป็นส่วนตัวว่า

“Other than as described in this Privacy Policy and, where relevant, other applicable privacy policies or addendums, LINE will never provide your information to any third parties without your consent, unless we believe in good faith that we are required or permitted to do so under applicable laws or to protect and defend LINE’s rights and/or property.”

“เว้นแต่ที่ได้อธิบายไว้ในนโยบายความเป็นส่วนตัว และ ในกรณีที่เกี่ยวข้อง ในนโยบายและการแก้ไขเพิ่มเติมเรื่องความเป็นส่วนตัวในที่อื่นๆ บริษัทจะไม่มอบข้อมูลของผู้ใช้บริการให้กับบุคคลที่สาม เว้นแต่ในกรณีที่บริษัทเชื่อโดยสุจริตว่าบริษัทจำเป็นต้องมอบหรือได้รับอนุญาตให้มอบข้อมูลดังกล่าวตามกฎหมาย หรือเพื่อคุ้มครองและปกป้องสิทธิและ/หรือสมบัติของไลน์” (คำแปลอย่างไม่เป็นทางการ)

ทั้งนี้ไลน์เคยแถลงอย่างเป็นทางการว่า จะ “จะไม่มอบข้อมูลส่วนตัวของลูกค้าให้แก่บุคคลอื่นอย่างเด็ดขาด ยกเว้นคดีความที่เกิดขึ้นในต่างประเทศ มีการประสานงานกันอย่างเป็นทางการมายังรัฐบาลญี่ปุ่น เพื่อขอคำสั่งศาลญี่ปุ่น มาให้ไลน์ส่งมอบข้อมูลให้” และแม้บริษัทจะพร้อมปฏิบัติตามกฎหมายของแต่ละประเทศและกฎหมายระหว่างประเทศ แต่เซิร์ฟเวอร์ของไลน์ทั้งหมดติดตั้งอยู่ในประเทศญี่ปุ่น ดังนั้นการตรวจสอบจะต้องเป็นไปตามกฎหมายญี่ปุ่นเท่านั้น

ด้านมาตรการทางเทคนิค ไลน์ระบุไว้ในหน้าความช่วยเหลือต่อคำถามที่ว่าบุคคลที่สามสามารถ “แอบดู” เนื้อหาของการสนทนาได้หรือไม่ ว่า “ไม่ได้ ผู้ที่ไม่ได้อยู่ในการสนทนาไม่สามารถเห็นสิ่งที่คุณพิมพ์ได้ ไลน์ปลอดภัย”

อย่างไรก็ตาม มีการตรวจสอบพบว่าไลน์มีรูรั่วเรื่องความปลอดภัย โดยเมื่อวันที่ 20 ธันวาคม 2556 ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) ได้เผยแพร่คำเตือน ว่าไลน์ไม่ได้เข้ารหัสข้อมูลหากสนทนาบนเครือข่ายมือถือและมีรูรั่วบนไลน์เวอร์ชันเดสก์ท็อป ซึ่งหมายความว่า บุคคลใดที่สามารถเข้าถึงเครือข่ายมือถือได้ ก็จะสามารถอ่านข้อความสนทนาทั้งหมดได้ รวมถึงข้อความย้อนหลังไปอย่างน้อยสองเดือน นอกจากนี้ผู้ใช้ไลน์บน Windows และ Mac OS ก็มีความเสี่ยงจะถูกอ่านข้อมูลแม้จะมีการเข้ารหัสแล้วก็ตาม (รายละเอียดทางเทคนิค)

ผู้ให้บริการมือถือไทยยอมรับว่ามีรูรั่วดังกล่าวจริง และได้แจ้งทางบริษัท Naver ผู้ให้บริการไลน์รับทราบ

เดือนมีนาคม 2557 ไลน์ชี้แจงไว้ในบล็อกของบริษัท ระบุว่าได้ปรับปรุงระบบความปลอดภัยแล้ว ข้อมูลการสื่อสารทั้งหมดจะถูกเข้ารหัสไม่ว่าจะใช้ผ่านเครือข่าย 3G, 4G หรือ WiFi รวมทั้งยังเข้ารหัสข้อมูลที่จัดเก็บในไลน์ด้วย ไม่ว่าจะเป็นหมายเลขโทรศัพท์ ชื่อบัญชี หรือรหัสผ่าน และข้อมูลเกี่ยวกับผู้ใช้จะถูกลบอย่างถาวรเมื่อผู้ใช้ปิดบัญชีเพื่อยกเลิกการใช้งาน

อย่างไรก็ดี ไลน์ไม่ได้ระบุอย่างชัดเจนว่าการเข้ารหัสการสื่อสารที่ปรับปรุงแล้วดังกล่าว เป็นการเข้ารหัสแบบต้นทางถึงปลายทาง (end-to-end encryption) ที่ไลน์ไม่ได้ถือกุญแจไขรหัส หรือเป็นการเข้ารหัสจากต้นทางไปยังเซิร์ฟเวอร์ไลน์และจากเซิร์ฟเวอร์ไลน์ไปยังปลายทาง (ซึ่งหมายความว่าไลน์ซึ่งเป็นคนกลางสามารถอ่านข้อความได้ ผู้ใช้ทำได้เพียงต้องเชื่อใจไลน์ ว่าไลน์จะไม่แอบอ่านหรือมอบข้อมูลของตัวเองให้กับคนอื่น)

แต่ถึงที่สุดแล้ว แม้การสื่อสารจะถูกเข้ารหัสแบบต้นทางถึงปลายทาง มันก็เพียงช่วยป้องกันจากการถูกดักรับข้อมูลระหว่างทางเท่านั้น แต่ไม่ได้รับประกันว่า คนที่เราคุยด้วยที่ปลายทางจะเป็นคนเดียวกับที่เราคิด การจะแน่ใจว่าคนที่ปลายทางเป็นคนที่เราอยากคุยด้วยจริงๆ จำเป็นต้องอาศัยขั้นตอนการยืนยันตัวตน ซึ่งเป็นขั้นตอนต่างหากจากการเข้ารหัสการสื่อสาร การสื่อสารที่ปลอดภัยจำเป็นต้องมีทั้งการเข้ารหัสระหว่างทางและการยืนยันตัวตนที่ปลายทางทั้งสองฝั่งของการสื่อสาร

วิธีอย่างหนึ่งในการยืนยันตัวตนคือการใช้ใบรับรองที่ออกโดยองค์กรผู้ออกใบรับรองหรือ Certificate Authority (CA) วิธีนี้เป็นวิธีมาตรฐานที่ใช้กันในอินเทอร์เน็ตปัจจุบัน อย่างไรก็ตามวิธีนี้ก็มีจุดอ่อน คือเราจำเป็นต้องเชื่อใจ CA แต่ในอดีตที่ผ่านมาก็มีกรณีที่ CA ของรัฐ (ฝรั่งเศส อินเดีย) หรือ CA เอกชนที่อาจถูกแทรกแซงโดยรัฐ หรือ CA เอกชนที่ทำงานผิดพลาด ได้ออก “ใบรับรองปลอม” ที่อ้างกับผู้ใช้ว่าเป็นใบรับรองของผู้ให้บริการอินเทอร์เน็ต (เช่น กูเกิล เฟซบุ๊ก) เมื่อเว็บเบราว์เซอร์หรือแอปที่ฝั่งผู้ใช้หลงเชื่อใบรับรองดังกล่าวและใช้ข้อมูลในใบรับรองเพื่อส่งข้อมูล ข้อมูลที่ถูกดักรับจะถูกถอดรหัสได้โดยผู้ควบคุมใบรองรับปลอมดังกล่าว

ความเสี่ยงในเรื่องใบรับรองนี้ เป็นจุดอ่อนของซอฟต์แวร์หลายตัว ไม่ว่าจะเป็นแอปบนมือถือ เว็บเบราว์เซอร์ หรือตัวระบบปฏิบัติการเอง โดยเฉพาะซอฟต์แวร์ที่ไม่ค่อยอัปเดต เนื่องจากใบรับรองอาจถูกประกาศเลิกใช้ได้ตลอดเวลา เมื่อพบว่ามีความไม่ปลอดภัย หรือ CA บางเจ้าอาจถูกแทรกแซงหรือเจาะระบบ จนใบรับรองทุกใบที่ออกโดย CA ดังกล่าวหมดความน่าเชื่อถือ แต่หากซอฟต์แวร์ไม่มีการอัปเดตก็จะยังใช้ใบรับรองที่ไม่มีความปลอดภัยอยู่

ความเสี่ยงในเรื่องใบรับรองนี้ เป็นจุดอ่อนของซอฟต์แวร์หลายตัว ไม่ว่าจะเป็นแอปบนมือถือ เว็บเบราว์เซอร์ หรือตัวระบบปฏิบัติการเอง โดยเฉพาะซอฟต์แวร์ที่ไม่ได้รับการปรับปรุงรุ่นอย่างสม่ำเสมอ เนื่องจากใบรับรองอาจถูกประกาศเลิกใช้ได้ตลอดเวลา เมื่อพบว่ามีความไม่ปลอดภัย หรือ CA บางเจ้าอาจถูกแทรกแซงหรือเจาะระบบ จนใบรับรองทุกใบที่ออกโดย CA ดังกล่าวหมดความน่าเชื่อถือ ซึ่งหากซอฟต์แวร์ไม่มีการปรับปรุงก็จะยังใช้ใบรับรองที่ไม่มีความปลอดภัยอยู่

เลือกใช้บริการที่ปลอดภัย

เมื่อทั้งซอฟต์แวร์ยังสามารถมีข้อผิดพลาด ผู้ให้บริการยังประมาทจนถูกเจาะระบบ และบางทีผู้รักษากฎหมายกลับมาเป็นผู้ละเมิดเสียเอง สิ่งสำคัญจึงหนีไม่พ้นที่เราจะต้องระลึกอยู่เสมอว่า โลกนี้ไม่มีอะไรปลอดภัยร้อยเปอร์เซ็นต์ ไม่ว่าจะออฟไลน์หรือออนไลน์ และหากต้องสื่อสารเรื่องละเอียดอ่อนบนอินเทอร์เน็ต ผู้ใช้ก็จำเป็นต้องพอรู้คร่าวๆ ว่าเครื่องมือต่างๆ ทำงานอย่างไร เพื่อจะได้ประเมินสถานการณ์และความเสี่ยงของตัวเองถูก (เหมือนกับเราขับรถก็ต้องพอรู้ว่า ถ้าเบรกมือชำรุด ก็ไม่ควรจะออกรถ เพราะเราไม่รู้ว่าจะออกไปเจออะไรบ้าง อาจจะเจอสถานการณ์ที่จำเป็นต้องใช้เบรกมือก็ได้) นอกจากนี้ยังควรศึกษาใช้งานเครื่องมือช่วยรักษาความเป็นส่วนตัวเอาไว้ด้วย ทั้งที่ใช้งานเป็นประจำและที่เผื่อกรณีฉุกเฉิน เช่น ซอฟต์แวร์ช่วยค้นหาโทรศัพท์ที่หาย (เราคงไม่อยากให้โทรศัพท์เราหาย เช่นเดียวกับที่ก็ไม่มีใครอยากให้เครื่องบินลงฉุกเฉินหรือตึกไฟไหม้เช่นกัน แต่ทุกครั้งที่เราขึ้นเครื่องบินก็ควรจะศึกษาวิธีใช้ชูชีพหรืออุปกรณ์ฉุกเฉินเสียหน่อย หรือทุกๆ ปีก็ควรจะฝึกหนีไฟและตรวจเช็คเครื่องดับเพลิงเสียบ้าง)

อย่างไรก็ตาม บางครั้งการประเมินซอฟต์แวร์หรือระบบไอทีก็เป็นเรื่องซับซ้อนเกินคนทั่วไปจะเข้าใจ แต่ก็ไม่ต้องเป็นห่วง มีคนพยายามจะประเมินสิ่งเหล่านี้ให้เราอยู่เหมือนกัน ถ้าเราเชื่อใจพวกเขา

สำหรับแอปแชต มูลนิธิพรมแดนอิเล็กทรอนิกส์ (Electronic Frontier Foundation – EFF) เคยเผยแพร่ตารางเปรียบเทียบแอปแชตแต่ละตัวว่าปกป้องความปลอดภัยและความเป็นส่วนตัวของผู้ใช้บริการในระดับใดบ้าง โดยมีเกณฑ์พิจารณา คือ

1. เข้ารหัสระหว่างส่งข้อความหากันหรือไม่
2. เข้ารหัสโดยที่ป้องกันไม่ให้ผู้ให้บริการอ่านข้อความได้หรือไม่
3. คุณพิสูจน์ได้ไหมว่าคนที่คุยอยู่คือตัวจริง
4. ข้อความที่เคยคุยกันปลอดภัยไหมถ้ากุญแจเราถูกขโมย
5. การเขียนโปรแกรมเปิดให้คนอื่นๆ ตรวจสอบได้ไหม
6. การออกแบบความปลอดภัยได้รับการรับรองหรือผ่านการวิพากษ์วิจารณ์จากผู้เชี่ยวชาญมาแล้วหรือไม่
7. การเขียนโปรแกรมได้ถูกตรวจสอบ (audit) จากหน่วยงานภายนอกหรือไม่

จากการเปรียบเทียบพบว่าแอปพลิเคชัน Cryptocat และ TextSecure ได้คะแนนมากที่สุด สอบผ่านการประเมินทุกข้อ ได้ 7 คะแนนเเต็ม ส่วน สไกป์ กูเกิลแฮงก์เอาต์ เฟซบุ๊ก และวอตส์แอป ซึ่งคนไทยนิยมใช้ ได้คะแนนต่ำเท่ากันหมด คือ 2 คะแนน

อย่างไรก็ตาม การสำรวจดังกล่าวไม่มีไลน์ที่ใช้กันแพร่หลายในประเทศไทย – เครือข่ายพลเมืองเน็ตขอเชิญชวนผู้สนใจ ร่วมทดลองประเมินความปลอดภัยแอปไลน์จากเกณฑ์แบบเดียวกันนี้ได้

ต้องร่วมกันยืนยันสิทธิเสรีภาพในการสื่อสารของพวกเขาเอง

เครือข่ายพลเมืองเน็ตยังยืนยันจุดยืนและข้อเรียกร้องเกี่ยวกับการสอดส่องประชาชนดังนี้

1. รัฐต้องให้ความชัดเจนว่า การขอข้อมูลการสื่อสาร มีข้อมูลประเภทอะไรบ้างและทำไปเพื่อจุดประสงค์ที่ชอบธรรมอย่างไร โดยเป็นไปตามหลักการระหว่างประเทศว่าด้วยการใช้หลักสิทธิมนุษยชนกับการสอดแนมการสื่อสาร
2. ผู้บริการการสื่อสารและเครือข่ายสังคมออนไลน์ ควรปกป้องสิทธิเสรีภาพของผู้ใช้ โดยเฉพาะสิทธิในข้อมูลส่วนบุคคล
3. ผู้บังคับใช้กฎหมายต้องดำเนินการตามที่ระบุในกฎหมาย และหยุดการ “ขอความร่วมมือ” อย่างไม่เป็นทางการจากผู้ให้บริการ เพื่อความโปร่งใสและตรวจสอบได้
4. รัฐต้องหยุดการกระทำที่ทำให้เกิดความกลัวในหมู่ประชาชนผู้ใช้เครื่องมือสื่อสาร รวมทั้งหยุดการใช้พ.ร.บ.คอมพิวเตอร์ฯ อย่างพร่ำเพรื่อผิดเจตนารมณ์กฎหมาย
5. รัฐควรรับมือกับข่าวลือซึ่งอาจกระทบต่อความมั่นคงของรัฐหรือรัฐบาล โดยไม่ต้องใช้มาตราการที่จะกระทบต่อสิทธิเสรีภาพ เช่น การชี้แจงข้อมูลตามความเป็นจริงต่อสาธารณะ

เราขอชักชวนให้ประชาชนผู้ใช้อินเทอร์เน็ตและเทคโนโลยีการสื่อสารทุกชนิด ยืนยันสิทธิเสรีภาพของตัวเราเอง ด้วยการแสดงความไม่เห็นด้วยกับนโยบายหรือการดำเนินการใดๆ ที่ส่งผลกระทบต่อสิทธิเสรีภาพของเรา ไม่ว่าจะโดยตรงหรือโดยอ้อม ร่วมกันผลักดันกฎหมายและมาตรฐานที่คุ้มครองสิทธิของเรา และสนับสนุนผู้ให้บริการหรือผู้ผลิตสินค้าที่พยายามคุ้มครองสิทธิของเรา

ลำดับความพยายามสอดส่องการสื่อสารออนไลน์ของรัฐ (บางส่วน)

2553
มกราคม

• 19 ม.ค. 2553 “คณะทำงานกำกับดูแลและเฝ้าระวังการละเมิดทรัพย์สินทางปัญญาบนเครือข่ายอินเทอร์เน็ต” ภายใต้กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ไอซีที) เสนอให้คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.) เพิ่มหลักเกณฑ์ในการออกใบอนุญาตให้กับผู้ประกอบการต้องติดตั้งอุปกรณ์ดักจับข้อมูลไว้ที่เกตเวย์อินเทอร์เน็ต
• 21 ม.ค. 2553 ผู้ใช้อินเทอร์เน็ตรณรงค์ต่อต้านการสอดส่องข้อมูล

2554
ธันวาคม

• 14 ธ.ค. 2554 ร.ต.อ.เฉลิม อยู่บำรุง รองนายกรัฐมนตรี ในฐานะประธานคณะกรรมการอำนวยการกำหนดนโยบายการป้องกันและปราบปรามการนำเสนอข้อมูลข่าวสารที่ผิดกฎหมายหรือไม่เหมาะสม ผ่านระบบเทคโนโลยีสารสนเทศและการสื่อสาร ในขณะนั้น ร่วมกับตัวแทนกระทรวงไอซีทีแถลงข่าวเตรียมจัดซื้อ “เครื่องสกัดกั้นสัญญาณ” (Lawful Interception) เพื่อปิดกั้นข้อความที่ไม่เหมาะสมบนอินเทอร์เน็ต

2555
มกราคม

• กระทรวงไอซีทีจัดฝึกอบรมหลักสูตรผู้บังคับบัญชาและผู้บริหารลูกเสือไซเบอร์ เพื่อขับเคลื่อนการดำเนินโครงการสร้างลูกเสือบนเครือข่ายอินเทอร์เน็ต

2556
สิงหาคม

• 13 ส.ค.2556 พล.ต.ต.พิสิษฐ์ เปาอินทร์ ผู้บังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.) ระบุว่า ปอท. จะเข้าดูแลและควบคุมการใช้โปรแกรมต่างบนโซเชียลเน็ตเวิร์ก รวมไปถึงโปรแกรมแชตต่างๆ อาทิ ไลน์ เพื่อป้องกันเหตุอาชญากรรมทางโลกไซเบอร์ พร้อมทั้งกล่าวว่า ปอท. ได้รับความร่วมมือจากบริษัทผู้ให้บริการโปรแกรมไลน์ ในการให้ข้อมูลยืนยันตัวบุคคลภายใน 90 วันหลังจากที่ก่อเหตุ โดยไม่จำเป็นต้องขอหมายศาล
• 13 ส.ค.2556 นางอมรา พงศาพิชญ์ ประธานคณะกรรมการสิทธิมนุษยชนแห่งชาติ (กสม.) เตรียมตรวจสอบการสนทนาผ่านโปรแกรมแชตไลน์ ระบุต้องระวังไม่ให้ละเมิดสิทธิส่วนบุคคล
• 13 ส.ค. 2556 เครือข่ายพลเมืองเน็ตออกแถลงการณ์ “รัฐไทยต้องให้ความชัดเจนเรื่องการสอดส่องประชาชนบนไลน์และสื่อสังคมอื่น”
• 14 ส.ค. 2556 นายประวิทย์ ลี่สถาพรวงศา กรรมการกิจการกระจายเสียงกิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ไม่เห็นด้วยที่ ปอท. จะขอบริษัทที่ให้บริการไลน์เปิดข้อมูลการสนทนา โดยย้ำว่า การกระทำดังกล่าวต้องอาศัยหมายศาลเช่นเดียวกับประเทศเสรีประชาธิปไตยทั่วไป
• 23 ส.ค.2556 ไลน์เปิดเผยว่า ไม่เคยได้รับการติดต่อจาก ปอท. และจะไม่ส่งข้อมูลส่วนตัวลูกค้าให้บุคคลที่ 3 อย่างเด็ดขาด หากปอท.ต้องการข้อมูลลูกค้าต้องมีคำสั่งศาลไทยและต้องประสานมายังรัฐบาลญี่ปุ่นอย่างเป็นทางการ

ธันวาคม

• 20 ธ.ค. 2556 ไทยเซิร์ตพบช่องโหว่ของแอปพลิเคชันไลน์ ซึ่งช่องโหว่ดังกล่าวทำให้แฮกเกอร์สามารถดักรับข้อมูลบนเครือข่าย LAN/WiFi และอ่านบทสนทนาได้ทันที โดยไทยเซิร์ตได้แนะนำให้ผู้ใช้งานอัปเดตเวอร์ชันใหม่

2557
พฤษภาคม

• 27 พ.ค. 2557 นายสุรชัย ศรีสารคาม ปลัดกระทรวงไอซีที ระบุว่า กระทรวงไอซีทีเตรียมประสานความร่วมมือไปยังผู้ให้บริการเฟซบุ๊ก ไลน์ ยูทูบ เพื่อขอปิดบัญชีผู้ใช้งานเป็นรายบัญชีกรณีพบเนื้อหาผิดกฏหมาย
• 30 พ.ค. 2557 พล.ต.ต.พิสิษฐ์ เปาอินทร์ ที่ปรึกษาปลัดกระทรวงไอซีทีให้สัมภาษณ์ว่า จะใช้การสอดส่องผ่านกลุ่มไลน์ด้วยมาตรการ “เป็นเพื่อนกับท่าน” โดยเมื่อผู้ใช้กดรับให้เจ้าหน้าที่เข้ามาอยู่ในกลุ่ม เจ้าหน้าที่ก็จะคอยตรวจสอบว่าในกลุ่มมีการเผยแพร่ข้อมูลที่เข้าข่ายการเผยแพร่ข้อมูลที่ขัดต่อประกาศ คสช. หรือไม่

กรกฎาคม

• 21 ก.ค.2557 ไลน์เพิ่มความสามารถ ‘hidden chat’ (คุยแบบลับ) ซึ่งข้อความที่ถูกอ่านแล้วจะถูกลบออกจากเซิร์ฟเวอร์โดยอัติโนมัติ ส่วนข้อความที่ไม่ได้เปิดอ่านจะถูกลบอัตโนมัติหลังจากได้รับเป็นเวลา 2 สัปดาห์

ธันวาคม

• 22 ธ.ค. 2557 นายพรชัย รุจิประภา รมว.ไอซีทีเปิดเผยว่า กระทรวงไอซีทีสามารถตรวจสอบข้อความที่แชตผ่านไลน์ได้ทั้งหมด โดยข้อความหมิ่นประมาท ข้อความหมิ่นสถาบันและกระทบต่อความมั่นคงจะถูกจับตามองเป็นพิเศษ
• 23 ธ.ค. 2557 นายพรชัยปฏิเสธข่าวที่ว่ากระทรวงไอซีทีกำลังตรวจสอบการสื่อสารในไลน์ โดยชี้แจงว่ากระทรวงไอซีทีเพียงอาศัยข้อความและประวัติการแชตจากที่มีผู้นำมาแจ้งความ โดยไม่ได้เข้าไปดักฟังการพูดคุยกันส่วนตัว

อ่านเพิ่มเติม

• ถกหนัก กฎหมายดักฟัง นักกฎหมายเตือนต้องเจาะจง ชั่งน้ำหนักสาธารณะ VS บุคคล
• ไม่คุ้มครองความปลอดภัยและเป็นส่วนตัวให้ผู้บริโภค = “ตัดโอกาสทางธุรกิจ” ของตัวเอง – ว่าด้วยมาตรการทางเทคโนโลยีและมาตรการทางกฎหมายในการคุ้มครองข้อมูลส่วนบุคคลของบริการออนไลน์

 

ขอบคุณภาพประกอบจาก macthai.com และ pixabay.com และขอบคุณ @public_lewcpe สำหรับการทักท้วงเรื่องการเข้ารหัสข้อมูลของไลน์

Tags: chat apps, encryption, Line, Ministry of Information and Communication Technology, privacy, security, surveillance