2015.02.20 19:02

เปิดเอกสารนโยบายความมั่นคงปลอดภัยไซเบอร์ (cybersecurity) ของต่างประเทศ ระบุชัดเจนคือ ความมั่นคงของโครงสร้างพื้นฐาน เน้นการมีส่วนร่วมของเอกชนและภาคประชาสังคม เคารพสิทธิในความเป็นอยู่ส่วนตัว สิทธิพลเมือง และความเปิดกว้างของอินเทอร์เน็ต อีกทั้งมีกลไกตรวจสอบที่เป็นอิสระ การแก้ไขชุดร่างกฎหมายเศรษฐกิจดิจิทัลฝากความหวังสุดท้ายไว้ที่สภานิติบัญญัติแห่งชาติ ด้านนักวิชาการกฎหมายตั้งคำถาม ร่างกฎหมายเพื่อเศรษฐกิจหรือเพื่อปรามผู้คิดต่างจากรัฐ เสนอให้สนช.ไม่รับหลักการกฎหมายทั้งชุด

ในวันที่ 18 กุมภาพันธ์ 2558 โครงการประกาศนียบัตรบัณฑิตทางกฎหมายมหาชน คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ได้จัดการอภิปรายทางวิชาการเรื่อง “Cyberspace: กฎหมาย พื้นที่ปลอดภัย และข้อมูลส่วนบุคคล” ณ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ โดยในงานมีผู้ร่วมการอภิปราย ได้แก่ จอมพล พิทักษ์สันตโยธิน อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย, อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานมูลนิธิเพื่ออินเทอร์เน็ตและวัฒนธรรมพลเมือง, ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์, ยิ่งชีพ อัชฌานนท์ ผู้จัดการโครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน (iLaw) ดำเนินการสัมมนาโดย ผศ.จันทจิรา เอี่ยมมยุรา อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์

เศรษฐกิจดิจิทัล & ความมั่นคงปลอดภัยไซเบอร์: เหมือนเหรียญที่ต้องมีสองด้าน

จอมพล พิทักษ์สันตโยธิน อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย กล่าวถึงความมั่นคงปลอดภัยไซเบอร์ (cybersecurity) ว่าคือการรักษาความลับของข้อมูล (confidentiality) ความถูกต้องครบถ้วนของข้อมูล (integrity) และสภาพความพร้อมใช้งานของระบบ (availability) ความมั่นคงปลอดภัยไซเบอร์ยังรวมไปถึงการรักษาความมั่นคงปลอดภัยของฮาร์ดแวร์ และความมั่นคงปลอดภัยของมนุษย์ที่เป็นผู้ใช้เทคโนโลยีด้วย ซึ่งระบบสารสนเทศนั้น ไม่ว่าจะออกแบบมาดีแค่ไหนก็มีจุดเปราะบางที่สามารถโจมตีได้

เนื่องจากเศรษฐกิจดิจิทัลต้องพึ่งพาอินเทอร์เน็ตและระบบสารสนเทศ หากระบบสารสนเทศถูกโจมตีจนเสียความมั่นคงปลอดภัย ก็ย่อมได้รับผลกระทบ​อย่างแน่นอน ฉะนั้นแล้ว การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ จึงมีความจำเป็นเพื่อให้กิจกรรมทางเศรษฐกิจออนไลน์ดำเนินไปได้โดยไม่สะดุด

“แสดงว่า ประเทศที่จะทำเศรษฐกิจดิจิทัล จะต้องคุ้มครองความมั่นคงปลอดภัยไซเบอร์ เหมือนเหรียญสองด้านที่อยู่ด้วยกัน เพราะฉะนั้น การมีนโยบายคุ้มครองความมั่นคงปลอดภัยไซเบอร์นี้จึงเป็นเรื่องเหมาะสม” ผศ.จันทจิรา เอี่ยมมยุรา ผู้ดำเนินรายการกล่าวเสริม

จอมพลกล่าวต่อว่า ทั้งนี้การรักษาความมั่นคงปลอดภัยไซเบอร์ ไม่ได้ใช้เพียงมาตรการทางกฎหมายเท่านั้น แต่ยังมีมาตรการเชิงเทคโนโลยีด้วย โดยจะเน้นไปที่การป้องกันและแก้ปัญหา (protection and solution) มากกว่าการป้องกันและปราบปราม (protection and suppression)

อาชญากรรมไซเบอร์คืออะไร

จอมพลกล่าวต่อว่า อาชญากรรมไซเบอร์ คือกิจกรรมที่ถือเป็นอาชญากรรรมหรือก่อให้เกิดความเสียหาย ซึ่งอยู่ในรูปของข้อมูล มีลักษณะโลกาภิวัฒน์ และเป็นเครือข่าย นอกจากนี้ อาชญากรรมไซเบอร์ยังรวมไปถึงกิจกรรมที่ใช้คอมพิวเตอร์เป็นสื่อกลางเพื่อทำผิดกฎหมายด้วย

รูปแบบของอาชญากรรมไซเบอร์มีหลายอย่าง อาทิ การเข้าถึงระบบคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต (การเจาะระบบ) การใช้มัลแวร์ (ไวรัส เวิร์ม โทรจัน) การใช้การโจมตีแบบ “Denial of Service” (DoS – การโจมตีด้วยการระดมเรียกใช้บริการจนระบบรับไม่ไหว) การโจมตีหลังบ้าน การปลอมแปลงตัวเป็นผู้อื่น การทำฟิชชิ่ง (phishing) หรือการสร้างเว็บไซต์ลวงเพื่อขโมยข้อมูลสำคัญ เป็นต้น

จอมพลกล่าวว่า ความผิดเหล่านี้ล้วนถูกระบุอยู่ในพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 อยู่แล้ว

“ถ้าเรื่องอาชญากรรมไซเบอร์ก็พูดอยู่แล้วในพ.ร.บ.คอมฯ แล้วอะไรเป็นฐานความผิดใหม่ในร่างพ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์” ผู้ร่วมเสวนาคนหนึ่งถาม ก่อนจะได้รับคำตอบจากจอมพลว่า

ร่างพ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เป็นกฎหมายที่ให้อำนาจหน่วยงานที่เกี่ยวข้องเป็นตัวดำเนินการ ไม่ใช่กฎหมายที่กำหนดฐานความผิด อาทิ มาตรา 33 ในร่างพ.ร.บ.ดังกล่าว ที่ระบุให้คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์มีอำนาจสั่งให้หน่วยงานของรัฐหรือบุคคลใดต้องดำเนินการอย่างใดอย่างหนึ่งนั้น ไม่ได้กำหนดฐานความผิดเอาไว้หากผู้นั้นไม่ทำตาม

ภัยที่แท้จริง ​หรือ ภัยที่อาจเป็นไปได้​?

จอมพลกล่าวว่า ภัยคุกคามทางไซเบอร์สามารถแบ่งได้เป็นภัยคุกคามที่แท้จริง (real threat) และภัยคุกคามที่อาจเป็นไปได้ (potential threat) ซึ่งสิ่งที่รัฐบาลหลายประเทศกังวลก็คือภัยคุกคามที่อาจเป็นไปได้ ทำให้รัฐบาลออกกฎหมายในเรื่องนี้ออกมา

ผู้ร่วมเสวนารายหนึ่ง ให้ความเห็นต่อร่างพ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ในประเด็นนี้ว่า

“นี่คือจุดผิดพลาดของร่างกฎหมายฉบับนี้ ทุกวันนี้ ภัยคุกคามที่แท้จริงมันมี แต่สเกลของมันอยู่ในระดับปัจเจก​[และ]ในระดับเศรษฐกิจ​ ​[อีก​ส่วนหนึ่ง​คือ]ภัยคุกคามที่อาจเป็นไปได้ซึ่งยังไม่เกิด แต่รัฐต้องการคุมมันไว้ก่อน ตรงนี้คุณต้องแยกมันออกจากกัน ตอนนี้ฐานความผิดมันปนกันไปหมด พ.ร.บ.มั่นคงไซเบอร์ฯ สเกลมันใหญ่กว่า ตอนนี้นิยาม ‘ความมั่นคงปลอดภัยไซเบอร์’ ใช้ปนกันอยู่ ไม่มีการแบ่งระดับ”

จอมพลกล่าวว่า ตนเห็นด้วยว่า พ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์เอาหลายเรื่องมา “ยำรวมกัน” และใช้มาตรการเดียวกันหมด ซึ่งไม่ควรจะเป็นเช่นนั้น

การรักษาความมั่นคงปลอดภัยไซเบอร์: ประสบการณ์จากต่างประเทศ

อาทิตย์ สุริยะวงศ์กุล จากมูลนิธิเพื่ออินเทอร์เน็ตและวัฒนธรรมพลเมือง ได้ยกตัวอย่างการรักษาความมั่นคงปลอดภัยไซเบอร์จากต่างประเทศ โดยกล่าวถึงหลักคิด กฎหมาย นโยบาย และโครงสร้างหน่วยงานที่ดูแลในเรื่องในการป้องกันภัยคุกคามไซเบอร์ โดยกล่าวว่า

ในสหรัฐอเมริกา มีหน่วยประสานงานความมั่นคงปลอดภัยไซเบอร์ชื่อว่า National Cybersecurity and Communications Integration Center (NCCIC) ซึ่งอยู่ในสังกัดกระทรวงความมั่นคงแห่งมาตุภูมิ (Department of Homeland Security) ที่เป็นหน่วยงานความมั่นคงภายในประเทศ ทั้งนี้เป็นเพราะสหรัฐฯ มีหลักคิดคือ ความมั่นคงของชาติมีด้วยกันหลายด้าน และด้านหนึ่งที่จำเป็นก็คือเรื่องของความมั่นคงปลอดภัยไซเบอร์

อย่างไรก็ตาม เมื่อเปรียบเทียบกับคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) ของไทย จะเห็นว่า NCCIC มีการเปิดให้ภาคเอกชนเข้ามามีส่วนร่วมอยู่มาก และให้เป็นไปด้วยความสมัครใจ

“ถ้าไปดูเอกสารจะบอกว่าที่เอกชนต้องมีส่วนร่วมในโครงสร้างองค์กร เพราะโครงสร้างโทรคมนาคมส่วนใหญ่ดำเนินการโดยเอกชนแทบทั้งนั้น”

นอกจากนี้ ในมาตรา 6 (Section 6) ของ Executive Order 13636 (Improving Critical Infrastructure Cybersecurity) ยังเขียนไว้ด้วยว่า ในการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ ให้มีกระบวนการปรึกษาหารือ (consultative process) โดยมีเอกชน นักวิชาการ หน่วยงานกำกับอิสระ รัฐบาลท้องถิ่น รัฐบาลระดับรัฐ และผู้เชี่ยวชาญภายนอก เข้ามาให้คำปรึกษาด้วย

หากดูที่ตัวกฎหมายดังกล่าว จะพบว่าความมั่นคงปลอดภัยไซเบอร์ของสหรัฐฯ นั้นเน้นไปที่ความมั่นคงปลอดภัยของตัวโครงสร้างพื้นฐานที่สำคัญ หรือ “critical infrastructure” โดยมองว่า โครงสร้างพื้นฐานเหล่านี้มีความสำคัญมาก ซึ่งหากถูกทำลายก็จะส่งผลต่อความมั่นคงของชาติ โดยมีการระบุไว้ในมาตรา 2 ว่าอะไรคือโครงสร้างพื้นฐานที่สำคัญ

อาทิตย์กล่าวว่า อย่างไรก็ตาม ความมั่นคงของชาตินั้นไม่ได้มีเพียงแค่เรื่องของโครงสร้างพื้นฐานหรือการโจมตีตัวระบบ แต่ยังมีเรื่องการก่อการร้าย หรือการใช้ระบบไปทำการกระทบกับเรื่องอื่น เช่น ใช้เพื่อประสานงานการก่อการร้าย การค้ายาเสพติด ซึ่งสหรัฐฯ เองก็เหมือนกับประเทศอื่นๆ ที่ให้อำนาจรัฐในการดักฟังหาข่าวกรองเพื่อต่อต้านภัยคุกคามลักษณะดังกล่าวเช่นกัน เช่นการให้อำนาจกับสำนักงานความมั่นคงแห่งชาติของสหรัฐฯ (National Security Agency-NSA) อย่างไรก็ตามสหรัฐมีแนวนโยบายที่พูดถึงการกำกับดูแลการดักฟังอย่างชัดเจน คือ Presidential Policy Directive 28 (PPD-28)

แนวนโยบาย PPD-28 ระบุว่าในการจัดทำแผน นโยบาย และแนวปฏิบัติเกี่ยวกับการดักรับข้อมูล จำเป็นต้องนำประเด็นความเป็นอยู่ส่วนตัว (privacy) และสิทธิพลเมือง (civil liberty) เข้ามาอยู่ในการพิจารณาจัดทำแผนด้วยตั้งแต่แรก “ไม่ใช่มาซ่อมกันทีหลัง” นอกจากนี้ ยังมีการระบุด้วยว่า การเก็บข้อมูลประชาชนจะต้องไม่เป็นไปเพื่อการ “ปิดกั้นการวิพากษ์วิจารณ์หรือต่อต้านรัฐ” (Section 1 (b))

นอกจากนี้หน่วยงานที่ทำงานด้านข่าวกรองเพื่อต่อต้านการก่อการร้ายไม่ว่าจะเป็น NSA, CIA หรือ FBI ก็ต้องอยู่ภายใต้การดูแลโดยคณะกรรมการหนึ่งที่ดูแลสิทธิในความเป็นอยู่ส่วนตัวและสิทธิพลเมือง นั่นคือ Privacy and Civil Liberties Oversight Board (PCLOB) ซึ่งทำงานเป็นอิสระ รายงานตรงต่อประธานาธิบดี และไม่มีความสัมพันธ์ใดๆ กับหน่วยงานดักรับข้อมูล ซึ่งในการทำงานของหน่วยงานที่เข้าไปเกี่ยวข้องกับการค้นหรือดักรับข้อมูลจะต้องทำรายงานไปยังคณะกรรมการดังกล่าวเป็นระยะๆ และคณะกรรมการฯ ก็มีอำนาจในการเรียกหน่วยงานที่เกี่ยวข้องมาให้คำแนะนำ ว่าจำเป็นต้องปรับปรุงวิธีการทำงานอย่างไรบ้าง และนอกจากหน้าที่ในการตรวจสอบดูแลการทำงานเพื่อรับประกันสิทธิพลเมืองแล้ว PCLOB ยังมีหน้าที่ในการเสนอแนะนโยบายต่อหน่วยงานที่เกี่ยวข้องในฝ่ายบริหารด้วย

“ถ้าลองเปรียบเทียบ PCLOB ก็จะคล้ายๆ คณะกรรมการสิทธิมนุษยชนแห่งชาติของไทย ที่สามารถเรียกให้เจ้าหน้าที่ที่เกี่ยวข้องมาให้ข้อมูลเวลาที่เกิดความขัดแย้ง”

นอกจากสหรัฐอเมริกาแล้ว สหราชอาณาจักรเองก็กำลังพิจารณาจัดตั้งคณะกรรมการที่ทำหน้าที่ดังกล่าวเช่นกัน ในชื่อ Privacy and Civil Liberties Board

เมื่อผู้ดำเนินรายการถามว่า ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลและร่างพ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ กำหนดให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ซึ่งดูแลเรื่องความเป็นส่วนตัว) มีสำนักงานเลขานุกรร่วมกันกับคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (ที่ดูแลเรื่องความมั่นคง) เช่นนี้จะขัดกับหลักสากลหรือไม่ อาทิตย์ตอบว่า แต่ละประเทศมีวิธีในการจัดการในส่วนนี้แตกต่างกัน แต่เรื่องหลักการแบ่งแยกอำนาจ หน่วยงานที่ทำหน้าที่ตรวจสอบก็ควรต้องเป็นอิสระจากหน่วยงานที่ตัวเองเข้าไปตรวจสอบ

อาทิตย์กล่าวว่า สรุปแล้วการดูแลความมั่นคงปลอดภัยไซเบอร์ของสหรัฐฯ จะเน้นการมีส่วนร่วมของหน่วยงานที่ไม่ใช่รัฐ มีการแยกอย่างชัดเจนว่า ความมั่นคงปลอดภัยไซเบอร์ที่พูดถึงเป็นเรื่องของโครงสร้างพื้นฐานเท่านั้น ส่วนหน่วยงานต่อต้านก่อการร้ายจะอยู่แยกต่างหากออกไป และมีหน่วยงานอิสระมาดูแลสิทธิพลเมืองอย่างชัดเจน

ความมั่นคงปลอดภัยไซเบอร์ของ OECD

อาทิตย์กล่าวว่า จากเอกสาร “การจัดทำนโยบายความมั่นคงปลอดภัยไซเบอร์ ณ จุดเปลี่ยน: วิเคราะห์ยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติรุ่นใหม่สำหรับเศรษฐกิจอินเทอร์เน็ต” (Cybersecurity Policy Making at a Turning Point: Analysing a New Generation of National Cybersecurity Strategies for the Internet Economy”) ขององค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (Organisation for Economic Co-operation and Development-OECD) จะเห็นได้ว่าเอกสารเน้นถึงการทำงานประสานงานกันทั้งในระดับนโยบายและระดับปฏิบัติการ การทำงานร่วมระหว่างรัฐและเอกชน และย้ำว่าการรักษาความมั่นคงปลอดภัยไซเบอร์ต้องให้ความสำคัญกับคุณค่าพื้นฐานเช่น ความเป็นอยู่ส่วนตัว เสรีภาพในการแสดงออก และการไหลเวียนของข้อมูลข่าวสารอย่างเสรี

ซึ่ง OECD ระบุว่า สิ่งที่ท้าทายคือการทำอย่างไรเพื่อให้รัฐบาลของประเทศต่างๆ ในกลุ่มสามารถรับมือกับภัยทางไซเบอร์ที่เกิดขึ้น​โดยที่ไม่ไปกระทบกับความเปิดกว้างของอินเทอร์เน็ต (openness of internet) ซึ่งความเปิดกว้างดังกล่าวเป็นกุญแจสำคัญต่อเศรษฐกิจบนฐานอินเทอร์เน็ต (internet economy)

ในช่วงท้าย อาทิตย์ยังได้แสดงเอกสารนโยบายด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศฟินแลนด์และเยอรมนี ซึ่งมีทิศทางเดียวกับการศึกษาของ OECD

เศรษฐกิจดิจิทัลและมาตรฐานกฎหมายคุ้มครองความเป็นส่วนตัว

ในเรื่องความเป็นส่วนตัวและเศรษฐกิจดิจิทัลนั้น ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ กล่าวถึงมาตรฐานเกี่ยวกับความเป็นส่วนตัวที่เอื้อต่อเศรษฐกิจดิจิทัลว่า กฎหมายคุ้มครองความเป็นส่วนตัวต้องมีความชัดเจน เพื่อที่เอกชนและหน่วยงานของรัฐจะได้รับทราบ เพราะหากกฎหมายเขียนไว้ไม่ชัดเจน ผู้ประกอบการก็จะเกิดความกลัว “แล้วพอผู้ประกอบการไม่รู้ว่าเส้นแบ่งอยู่ตรงไหน ก็ไม่กล้าดำเนินการ เพราะกลัวโดนฟ้อง”

ฐิติรัตน์ยังได้กล่าวถึงร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฉบับที่ผ่านการเห็นชอบจากคณะรัฐมนตรีด้วยว่า การคุ้มครองข้อมูลต้องมีการแยกแยะความรับผิดระหว่างผู้ควบคุมข้อมูล (data controller) ซึ่งเป็นผู้ที่มีอำนาจตัดสินใจว่าจะทำกับข้อมูลนั้นอย่างไร และผู้ที่นำข้อมูลไปประมวลผล (data processor) ซึ่งร่างพ.ร.บ.ฉบับดังกล่าวไม่ได้แยกสองส่วนนี้ออกจากกัน โดยตนเห็นว่ากฎหมายต้องระบุในส่วนนี้ให้ชัดเจน

นอกจากนี้ ที่ร่างกฎหมายระบุไว้ว่า ห้ามผู้ใดส่งข้อมูลส่วนบุคคลไปยังต่างประเทศ หากประเทศนั้นมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลต่ำกว่าไทย ต้องมีการนิยามให้ชัดเจนหรืออย่างน้อยก็ต้องมีแนวทางให้ผู้ประกอบการทราบ ว่าอย่างไรจึงจะเรียกว่ามีมาตรฐานสูงหรือเท่ากับไทย

ส่วนการที่ร่างกฎหมายกำหนดให้ผู้ควบคุมข้อมูลต้องมีมาตรการรักษาความปลอดภัย ฐิติรัตน์กล่าวว่า กฎหมายต้องระบุให้ละเอียด ว่ามาตรการรักษาความปลอดภัยอย่างไรที่กฎหมายต้องการ ซึ่งเรื่องนี้ควรเปิดรับฟังความคิดเห็นจากผู้ปฏิบัติงานจริงและต้องมีการสอบถามผู้ที่มีส่วนได้เสียให้รอบด้านเสียก่อน

ร่างกฎหมายยังมีปัญหาเรื่องความสอดคล้องในการบังคับใช้ โดยในร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 14 กำหนดให้คณะกรรมการข้อมูลข่าวสารของทางราชการ มีอำนาจกำกับดูแลในกรณีที่ผู้ควบคุมข้อมูลเป็นหน่วยงานของรัฐ (ที่อยู่ภายใต้พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540) หากร่างกฎหมายนี้ออกมาจะแปลว่า ภาคเอกชนจะถูกกำกับอยู่โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแห่งชาติที่ตั้งขึ้นภายใต้ร่างกฎหมายใหม่ ส่วนหน่วยงานภาครัฐจะอยู่ภายใต้กำกับของคณะกรรมการข้อมูลข่าวสารของทางราชการดังเดิม ซึ่งหมายความว่า ถึงแม้จะมีมาตรฐานความเป็นส่วนตัวแบบใหม่ แต่ตามร่างพ.ร.บ.นี้จะมีผู้กำกับ 2 หน่วยงาน ถ้าเช่นนั้นมาตรฐานจะเป็นแบบเดียวกันได้จริงหรือไม่

“ถ้าไปโรงพยาบาลรัฐกับโรงพยาบาลเอกชน เราจะได้รับการปฏิบัติเหมือนกันหรือไม่ในเรื่องข้อมูลส่วนบุคคล”

นอกจากนี้ ข้อยกเว้นในกฎหมายคุ้มครองข้อมูลส่วนบุคคลต้องไม่ทำลายวัตถุประสงค์โดยรวม ของกฎหมาย ซึ่งก็คือการคุ้มครองข้อมูลส่วนบุคคล แต่ในร่างพ.ร.บ.ฉบับนี้ มีข้อยกเว้นหลายข้อ อาทิ ข้อยกเว้นในร่างมาตรา 23 ซึ่งเป็นข้อยกเว้นที่กว้างขวาง อาจเปิดช่องให้รัฐใช้อำนาจแทรกแซงความเป็นส่วนตัวได้จนเกินสมควร ในกรณีนั้นก็จะเท่ากับทำลายวัตถุประสงค์ของการคุ้มครองข้อมูลโดยตรง โดยฐิติรัตน์ได้ยกตัวอย่างกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร ที่ก็มีข้อยกเว้นเช่นกัน แต่ระบุไว้อย่างละเอียด ชัดเจน และมีการแยกหมวดหมู่ ไม่นำทุกเรื่องมาปนกัน

ฝากความหวังสุดท้ายไว้ที่สนช.

ยิ่งชีพ อัชฌานนท์ ผู้จัดการโครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน กล่าวว่า ร่างกฎหมายชุดเศรษฐกิจดิจิทัลนี้เป็นความพยายามที่จะจัดสร้างโครงสร้างอำนาจรัฐใหม่ เห็นได้จากร่างกฎหมาย 7 ฉบับจากทั้งหมด 10 ฉบับที่เข้าและกำลังเข้าคณะกรรมการกฤษฎีกามีเนื้อหาให้จัดตั้งองค์กรใหม่

ยิ่งชีพกล่าวถึงกระบวนการทางนิติบัญญัติของร่างกฎหมายชุดนี้ว่า แม้ว่าผู้ร่างกฎหมาย (สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์-สพธอ.) จะบอกว่า ตนเห็นข้อบกพร่องในร่างกฎหมายและพร้อมที่จะแก้ไข

“ก็เหมือนเขาไม่ได้พูดอะไร เขามีอำนาจเต็มที่จะร่างมันออกมาอย่างไรก็ได้ในตอนร่าง แต่เขาปล่อยมันออกมา โดยตั้งใจหรือไม่ก็แล้วแต่… แต่ร่างนี้ ครม.รับหลักการแล้ว และเข้าไปอยู่ในกฤษฏีกาแล้ว มันพ้นไปจากอำนาจของคนที่บอกว่าพร้อมจะแก้ไขไปแล้ว เพราะฉะนั้นยิ่งเขาพูดว่าพร้อมจะแก้ไขมากเท่าไหร่ ก็เท่ากับเขาไม่ได้พูดอะไรเลย”

“เราจะต้องไม่วางใจจากคำพูดหวานๆ ว่า พร้อมจะแก้ไข ยินดีรับฟัง เพราะคนที่พูดไม่มีอำนาจอะไรแล้ว ส่วนคนที่มีอำนาจ คือกฤษฎีกากับสนช. ยังไม่มีใครออกมาพูดอะไร”

นอกจากนี้ แท้จริงแล้ว คณะกรรมการกฤษฎีกาก็ไม่ได้มีอำนาจในการแก้ไขหลักการในกฎหมายแต่อย่างใด และตนก็ไม่เห็นด้วยหากคณะกรรมการกฤษฎีกาจะแก้ไขหลักการในร่างกฎหมาย เพราะถือเป็นการทำเกินอำนาจหน้าที่

อย่างไรก็ดี ยิ่งชีพได้ตั้งข้อสังเกตว่า ในคณะกรรมการกฤษฎีกาเอง ก็มีผู้ที่ในอยู่ในคณะรัฐมนตรี (ซึ่งเป็นผู้ที่ผ่านร่างกฎหมายออกมา) และสมาชิกสภานิติบัญญัติแห่งชาติ (ซึ่งเป็นผู้ที่จะพิจารณาร่างกฎหมายในลำดับต่อไป) ดำรงตำแหน่งในคณะกรรมการกฤษฎีกาด้วย

ฉะนั้น โอกาสเดียวที่จะแก้ไขร่างกฎหมายก็คือเมื่อร่างกฎหมายเข้าสู่ขั้นตอนของสภานิติบัญญัติแห่งชาติ (สนช.)

“โอกาสเดียวที่จะแก้ไขมันได้ก็คือ เมื่อเข้าสู่สนช. สมาชิกสนช.ซึ่งมาจากการแต่งตั้งทั้งหมด ประมาณครึ่งหนึ่งเป็นทหาร เป็นองค์กรสุดท้ายที่มีอำนาจในการแก้ไขกฎหมายชุดนี้”

ยิ่งชีพกล่าวว่า ในสถานการณ์ปัจจุบัน มีกฎหมายหลายข้อที่เป็นที่ถกเถียงกันว่าไม่เปิดให้ประชาชนเข้ามามีส่วนร่วม แต่ในบรรดากฎหมายเหล่านี้ กฎหมายที่คนออกมาคัดค้านมากที่สุดคือชุดร่างกฎหมายเศรษฐกิจดิจิทัลที่ว่านี้

ยิ่งชีพกล่าวต่อไปว่า หากร่างกฎหมายที่ได้รับความสนใจมากในระดับนี้ยังผ่านออกมาเป็นกฎหมายบังคับใช้จริง ก็จะเป็นการส่งสัญญาณออกไปว่า ประชาชนจะไม่มีทางคัดค้านร่างกฎหมายฉบับอื่นๆ ที่เหลือได้เลย ทว่า หากเป็นไปในทางตรงข้าม “เราก็ยังพอมีความหวังได้ว่า สภาที่มาจากการแต่งตั้งยังรับฟังเสียงภายนอกอยู่บ้าง”

การดักฟังเป็นแค่ปัญหาเดียว ยังมีปัญหาอีกมากในร่างกฎหมาย 13 ฉบับ

ยิ่งชีพกล่าวด้วยว่า ส่วนใหญ่เสียงค้านร่างกฎหมายฉบับนี้คือการคัดค้านมาตรา 35​ (3) ของร่างพ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ที่อนุญาตให้รัฐดักฟังการสื่อสารของประชาชนได้โดยไม่ต้องขอหมายศาล ซึ่ง ณ ตอนนี้ ตนคิดว่าประชาชนเข้าใจแล้ว ว่าปัญหาของมาตรานี้คืออะไร “มันขยี้จนไม่มีอะไรจะขยี้แล้ว”

ทว่าประเด็นนี้เป็นเพียงปัญหาหนึ่งเท่านั้น ในบรรดาปัญหาอีกหลายข้อของร่างกฎหมายชุดนี้ทั้งชุด ไม่ว่าจะเป็นปัญหาเรื่องการจัดตั้งองค์กร กองทุน คณะกรรมการใหม่ หรือเรื่องการลดทอนอำนาจของคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ฯลฯ

“มันมีโอกาส ที่มาตรานี้ (ร่างมาตรา 35​ (3)) จะถูกแก้ มาตรานี้อาจจะถูกเอาออกไปเลยก็ได้ ถ้าเราพูดอยู่แต่อะไรซ้ำๆ ถ้าเขาแก้ขึ้นมาก็จบ ไม่มีอะไรจะพูดกันแล้ว… ถ้าจะไปต่อ ก็มีทางเดียวคือ เราต้องพูดถึงมันอยู่และขุดแง่มุมอื่นๆ ของกฎหมายทั้ง 13 ฉบับขึ้นมาพูดเรื่อยๆ”

“เราไม่อาจหาตรรกะใดๆ ได้ในร่างกฎหมายชุดนี้”

ผศ.จันทจิรา ผู้ดำเนินรายการกล่าวทิ้งท้ายว่า เราไม่อาจหาตรรกะใดๆ ในร่างกฎหมายชุดนี้ได้ ยิ่งไปกว่านั้น “การดึงกองทุนกทปส.กลับไปก็ดี การจัดสรรคลื่นก็ดี การเอา operator ไปเป็น regulator ของ regulator (การกำหนดให้ผู้บริหารของ กสท.และทีโอที เข้าไปมีตำแหน่งในคณะกรรมการเศรษฐกิจดิจิทัลแห่งชาติ ซึ่งมีอำนาจอนุมัตินโยบายและแผนแม่บทของกสทช.) มันทำลายหลักการแข่งขันเสรี ซึ่งเป็นหัวใจของระบบเศรษฐกิจดิจิทัล”

“มันทำให้เรารู้สึกว่าองค์กรต่างๆ ที่สร้างขึ้นมาใหม่ มันห่างไกลจากมาตรฐานของต่างประเทศ…มันไม่มีหลักมีเกณฑ์ ไม่สามารถอธิบายต่อสาธารณชนได้อย่างเป็นวิชาการ ทำให้เราสงสัยว่า จริงๆ ว่าวัตถุประสงค์แท้ๆ ของกฎหมายทั้งกลุ่มนี้คืออะไรกันแน่

“ถ้าไม่ได้มองเฉพาะตัวกฎหมาย แต่มองภาพรวมบวกกับบริบทหรือบรรยากาศทางการเมืองและสังคมไทยตอนนี้ น่าสงสัยว่ากลุ่มกฎหมายนี้ไม่ใช่เพื่อสนับสนุนเศรษฐกิจดิจิทัล แต่เพื่อทำหน้าที่อะไรบางอย่างในการปราบปราม หรือควบคุมผู้ที่เป็นปฏิปักษ์ต่อผู้ที่ถืออำนาจรัฐในวันนี้

“ดังนั้น สภานิติบัญญัติแห่งชาติ ควรจะต้องไม่รับหลักการกฎหมายทั้งกลุ่ม แล้วก็ส่งกลับคืนมา หรือจริงๆ แล้วเราควรจะต้องเก็บกฎหมายทั้งชุดเลย เอาไว้ในยุคที่ประเทศไทยมีรัฐบาลที่มาจากประชาธิปไตยซะก่อน เราจึงจะสามารถไว้วางใจได้”

ข้อมูลเพิ่มเติม

• ยุทธศาสตร์ความมั่นคงดิจิทัลแห่งชาติจากทั่วโลกสำหรับการศึกษาเปรียบเทียบ (รวบรวมโดยสำนักงานความมั่นคงสารสนเทศและเครือข่ายแห่งสหภาพยุโรป – ENISA)
• ดาวน์โหลด ร่างกฎหมายชุดเศรษฐกิจดิจิทัล 10+3 ฉบับ
• “จำเป็นและได้ส่วน”: บทเรียนข้ามโลกจากเอ็ดเวิร์ด สโนว์เดน – บทความโดย สฤณี อาชวานันทกุล สำรวจหน่วยงานความมั่นคงปลอดภัยไซเบอร์ของสหรัฐอเมริกา

Tags: cybercrime, cybersecurity, cyberspace, digital economy, National Broadcasting and Telecommunications Commission, National Cybersecurity and Communications Integration Center, National Security Agency, NSA, OECD, privacy, Privacy and Civil Liberties Oversight Board