นักวิชาการนิติศาสตร์ระบุ ร่างพ.ร.บ.มั่นคงไซเบอร์ควรมุ่งปกป้องความมั่นคงของระบบสารสนเทศ แต่เนื้อหากลับมุ่งปกป้องความมั่นคงของชาติ ส่วนการยกเว้นไม่ต้องขอความยินยอมเจ้าของข้อมูล หากเงื่อนไขเป็นไปตามกฎกระทรวง เป็น “รูรั่ว” ของร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
เมื่อวันที่ 17 ต.ค. 2558 ที่ผ่านมา มีการสัมมนาวิชาการ “ตามติดกฎหมายดิจิทัล” ณ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ร่วมจัดโดยศูนย์นิติศาสตร์ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ องค์กร EngageMedia และมูลนิธิเพื่ออินเทอร์เน็ตและวัฒนธรรมพลเมือง (เครือข่ายพลเมืองเน็ต)
หัวใจของการมีพ.ร.บ.มั่นคงไซเบอร์ คือต้องมุ่งปกป้องความมั่นคงของระบบสารสนเทศ
สราวุธ ปิติยาศักดิ์ อาจารย์สาขาวิชานิติศาสตร์ มหาวิทยาลัยสุโขทัยธรรมาธิราช ผู้เชี่ยวชาญกฎหมายคอมพิวเตอร์กล่าวถึงร่าง พ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. (คณะรัฐมนตรีรับหลักการไปเมื่อวันที่ 6 ม.ค. 2557 ขณะนี้อยู่ในการตรวจแก้ของสำนักงานคณะกรรมการกฤษฎีกา) ว่า ร่างกฎหมายดังกล่าวควรต้องมุ่งคุ้มครองความมั่นคงปลอดภัยของ “ระบบสารสนเทศ” (network security) เป็นสำคัญ ไม่ใช่ความมั่นคงปลอดภัยของประเทศ (national security) ซึ่งการจะไปสู่ความมั่นคงปลอดภัยของระบบได้นั้น สิ่งสำคัญคือต้องสร้างและประสานความร่วมมือระหว่างหน่วยงานเพื่อรับมือภัยไซเบอร์ที่เกิดขึ้น หัวใจของร่างกฎหมายนี้ควรจะเป็นเพื่อสร้างความร่วมมือในการรับมือกับภัยคุกคามทางไซเบอร์เป็นหลัก
สราวุธได้เปรียบเทียบร่างกฎหมายดังกล่าวกับกลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (EU Cybersecurity Strategy) ว่า กลยุทธ์ฯของสหภาพยุโรปเน้นดูแลแค่ตัวระบบสารสนเทศเท่านั้น ไม่ได้สนใจความมั่นคงของประเทศ เป้าหมายสำคัญของกลยุทธ์ดังกล่าวคือเพื่อสร้างความเชื่อมั่นให้ธุรกิจและลูกค้าว่าตนจะสามารถทำธุรกรรมออนไลน์ได้อย่างมั่นใจ เพื่อจะมุ่งไปสู่ความเป็นตลาดดิจิทัลตลาดเดียว (Digital Single Market) ซึ่งจะก่อให้เกิดมูลค่าทางเศรษฐกิจมหาศาลระหว่างประเทศสมาชิก
ฉะนั้น กลยุทธ์ฯ ของสหภาพยุโรปจึงเน้นดูแลในเรื่องทางเทคนิคเป็นหลัก เช่น การมีระบบสำรองข้อมูลที่ดี มีระบบป้องกันมัลแวร์ที่ดี
ทว่าเมื่อกลับมามองร่างพ.ร.บ.มั่นคงไซเบอร์ฯ จุดประสงค์ของกฎหมายระบุไว้เช่นเดียวกับกลยุทธ์ฯของสหภาพยุโรป คือเพื่อปกป้องความมั่นคงปลอดภัยของระบบ แต่เนื้อหาในร่างกฎหมายกลับไม่สอดคล้องกับจุดประสงค์
เริ่มตั้งแต่นิยามของความมั่นคงปลอดภัยไซเบอร์ (ร่างมาตรา 3) กินความกว้างไปกว่าความมั่นคงปลอดภัยของระบบสารสนเทศ โดยรวมเอาความมั่นคงของชาติเข้ามาด้วย
คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) ตามร่างกฎหมายนี้ ยังมีตัวแทนด้านความมั่นคงทางทหารเข้ามานั่งอยู่ในตำแหน่งจำนวนมาก (ร่างมาตรา 6)
นอกจากนี้ ร่างกฎหมายยังกำหนดให้ กปช.มีอำนาจสั่งการเอกชนได้ สราวุธบอกว่า หากร่างกฎหมายนี้ต้องการคุ้มครองความมั่นคงปลอดภัยของระบบ กปช.ก็ควรมีอำนาจสั่งการเฉพาะเอกชนที่ทำธุรกิจเกี่ยวข้องกับระบบโครงสร้างพื้นฐานที่สำคัญ อาทิ ระบบพลังงาน ระบบธนาคาร ซึ่งการดำเนินงานของโครงสร้างพื้นฐานขึ้นอยู่กับการมีระบบอินเทอร์เน็ตที่มั่นคงปลอดภัยเท่านั้น ไม่ใช่สามารถสั่งการบริษัทเอกชนทั่วไปได้
“เป้าหมายหลักคือสร้างความมั่นคงปลอดภัยให้กับระบบและข้อมูล และนี่เป็นกรอบหลักของการมีกฎหมายเศรษฐกิจดิจิทัล นอกเหนือจากนั้นผมมองว่ามันเกินขอบเขตไป” สราวุธกล่าว
สุดท้าย เมื่อมีผู้ถามว่าหากจะต้องการรักษาความมั่นคงปลอดภัยของระบบ จำเป็นหรือไม่ที่ต้องมีกฎหมายนี้ หากเพิ่มบทบัญญัติที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของระบบเข้าไปในพ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ฯ ก็เพียงพอแล้วหรือไม่
สราวุธกล่าวว่า ตนเห็นว่ายังมีความจำเป็นที่จะต้องออกมาเป็นกฎหมายเฉพาะที่ดูแลเรื่องความมั่นคงไซเบอร์ เนื่องจากพ.ร.บ.คอมพิวเตอร์มีไว้เพื่ออุดช่องว่างของกฎหมายอาญาที่ไม่ครอบคลุมการกระทำผิดทางอาญาบางอย่างที่กระทำผ่านคอมพิวเตอร์และอินเทอร์เน็ต แต่พ.ร.บ.มั่นคงไซเบอร์ฯ เป็นกฎหมายที่เน้นในการสร้างความร่วมมือ ซึ่งมีจุดประสงค์แตกต่างกัน
เปิดช่องให้ออกกฎกระทรวง “รูรั่ว” ในร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
ต่อมา มีการวิพากษ์ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ…. ฉบับที่สำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาแล้ว (ซึ่งเป็นร่างฉบับล่าสุดในตอนนี้) โดยกิตติศักดิ์ ปรกติ อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์
บางประเด็นที่กิตติศักดิ์กล่าวถึงในร่างกฎหมายฉบับนี้ เช่น ประเด็นที่ร่างกฎหมายละเว้นไม่บังคับใช้กับองค์กรศาสนา (ร่างมาตรา 4 (5)) นั้นอาจทำให้เมื่อกฎหมายบังคับ จะมีผู้จดทะเบียนหน่วยงานในนามองค์กรศาสนามากขึ้น หรือใช้ “องค์กรศาสนาบังหน้า” เพื่อไม่ให้ต้องตกอยู่ภายใต้การบังคับใช้กฎหมายนี้ได้ ส่วนการไม่บังคับใช้กฎหมายนี้กับสื่อมวลชน (ร่างมาตรา 4 (2)) อาจทำให้ในอนาคตมีผู้จดทะเบียนในนามองค์กรสื่อมากขึ้นเช่นกัน
กิตติศักดิ์ยังกล่าวถึงร่างมาตรา 21 และ 23 ที่ยกเว้นให้ “ไม่ต้องขอความยินยอมในการเก็บข้อมูล” จากเจ้าของข้อมูลหากเข้าข่ายที่บัญญัติไว้ในกฎกระทรวงว่า การกำหนดข้อยกเว้นดังกล่าวทำให้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่อยู่ในกฎหมายทั้งหมด “มีรูรั่ว” และทำให้หลักการทั้งหมดที่มีเสียไป เนื่องจากการเปิดช่องให้สร้างข้อยกเว้นเพิ่มเติมด้วยวิธีออกเป็นกฎกระทรวง (ซึ่งไม่ต้องผ่านการพิจารณาทบทวนจากสภา)
บันทึกวิดีโอเสวนา
พันธ์ศักดิ์ ศิริรัชตพงษ์ ผู้ช่วยรัฐมนตรีประจำกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ชี้แจงทิศทางกฎหมายเศรษฐกิจดิจิทัล ความคืบหน้าร่างกฎหมาย และความเปลี่ยนแปลงในร่างกฎหมาย และเปิดให้ซักถาม
สาวตรี สุขศรี คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ อภิปรายร่างพ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์
สราวุธ ปิติยาศักดิ์ สาขาวิชานิติศาสตร์ มหาวิทยาลัยสุโขทัยธรรมาธิราช อภิปรายร่างพ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์
กิตติศักดิ์ ปรกติ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ อภิปรายร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
เอกสารที่เกี่ยวข้อง
- ร่างพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. (ฉบับที่คณะรัฐมนตรีรับหลักการ)
- ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …. (ฉบับที่สำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาแล้ว)
ข้อมูลเพิ่มเติม
- เปรียบเทียบร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ ไทย vs. กฎการรักษาความมั่นคงไซเบอร์สหภาพยุโรป
- ไทม์ไลน์การเดินทางของร่างกฎหมายดิจิทัลทั้งชุด