เปรียบเทียบร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ ไทย vs. กฎการรักษาความมั่นคงไซเบอร์สหภาพยุโรป

2015.10.09 19:32

บทวิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ… : ศึกษาเปรียบเทียบกลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป

โดย รศ.ดร.สราวุธ ปิติยาศักดิ์ [1]

cybersecurity-4

บทนำ

“การโจมตีทางไซเบอร์” ถือเป็นภัยคุกคามใหญ่หลวงต่อผลประโยชน์ทางเศรษฐกิจตลอดจนความมั่นคงของประเทศ การโจมตีทางไซเบอร์มีหลายรูปแบบ เช่น การเจาะระบบคอมพิวเตอร์ (hacking) การสอดแนมข้อมูลคอมพิวเตอร์โดยสปายแวร์ (spyware) การดักรับข้อมูลคอมพิวเตอร์ (sniffing) การทำลายระบบคอมพิวเตอร์หรือข้อมูลคอมพิวเตอร์ (malicious software: malware) หรือการรุมสอบถามข้อมูลจนระบบล่ม (Denial of Service attack: DoS attack) เป็นต้น แต่ละการโจมตีล้วนแต่สร้างความเสียหายอย่างมหาศาลทั้งต่อระบบเศรษฐกิจและความมั่นคงของประเทศ

ปัจจุบันประเทศไทยถูกจัดว่าเป็นประเทศเป้าหมายของการโจมตีทางไซเบอร์ที่สำคัญประเทศหนึ่งของโลก[2] รัฐบาลไทยโดยพลเอกประยุทธ์ จันทร์โอชา นายกรัฐมนตรี ได้ตระหนักถึงความสำคัญดังกล่าว จึงมีนโยบายให้บูรณการความมั่นคงปลอดภัยทางไซเบอร์ควบคู่กับการขับเคลื่อนเศรษฐกิจดิจิทัล โดยให้นำแนวความคิด การปฏิบัติการไซเบอร์และการต่อต้านสงครามไซเบอร์ของศูนย์ไซเบอร์กองทัพบก (Army Cyber Center) ใส่ไว้ในเศรษฐกิจดิจิทัล (Digital Economy) จัดเชื่อมโยงเครือข่ายและขยายผลในระดับชาติ รวมไว้ในโครงสร้างเศรษฐกิจดิจิทัลของรัฐบาลและให้กระทรวงกลาโหมไปดูภาพรวม[3]

ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … เป็นหนึ่งในกฎหมายเศรษฐกิจดิจิทัล 8 ฉบับ[4] ที่ถูกร่างขึ้นมาเพื่อสนองนโยบายการบูรณการความมั่นคงควบคู่กับเศรษฐกิจข้างต้น ร่างกฎหมายดังกล่าวได้ผ่านการอนุมัติของคณะรัฐมนตรีไปแล้วแต่เนื้อหาสาระของร่างกฎหมายฉบับดังกล่าวได้ถูกวิพากษ์วิจารณ์ในวงกว้างเนื่องจากมีเนื้อหาสาระที่เกี่ยวข้องกับทั้งสิทธิเสรีภาพของผู้ใช้สื่อออนไลน์และความมั่นคงของชาติในขณะเดียวกัน บทความนี้จึงมีวัตถุประสงค์ที่จะศึกษา วิเคราะห์ ตลอดจนวิจารณ์ร่างกฎหมายฉบับนี้เพื่อนำเสนอข้อคิดเห็นอันอาจเป็นประโยชน์ในการแก้ไขปรับปรุงร่างกฎหมายฉบับดังกล่าวให้เหมาะสมต่อไป

ในบทความฉบับนี้ส่วนแรกจะวางกรอบแนวคิดการรักษาความมั่นคงปลอดภัยไซเบอร์ในอุดมคติ ต่อมาในส่วนที่สองจะกล่าวถึงกลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปและในส่วนที่สามจะวิเคราะห์วิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์พ.ศ… ส่วนท้ายสุดจะกล่าวถึงบทสรุปและข้อเสนอแนะในประเด็นสำคัญต่างๆ

1. กรอบแนวคิดการรักษาความมั่นคงปลอดภัยไซเบอร์

ส่วนแรกบทความฉบับนี้ เริ่มด้วยการนำเสนอกรอบแนวคิดการรักษาความมั่นคงปลอดภัยไซเบอร์ในอุดมคติโดยยึดประเด็นสำคัญที่ต้องนำมาพิจารณาร่วมกันในการสร้างความมั่นคงปลอดภัยไซเบอร์ดังนี้ (1) ความมั่นคงปลอดภัยของระบบและข้อมูล (2) สิทธิเสรีภาพของประชาชน (3) ความมั่นคงของประเทศ และ (4) การร่วมมือกันของบุคคลที่เกี่ยวข้องกับโลกไซเบอร์

แผนภาพโดย รศ.ดร.สราวุธปิติยาศักดิ์

แผนภาพโดย รศ.ดร.สราวุธปิติยาศักดิ์

วัตถุประสงค์หลักของการรักษาความมั่นคงปลอดภัยในไซเบอร์ ได้แก่การสร้างความมั่นคงปลอดภัยในระบบ (network) และข้อมูล (data) การบรรลุวัตถุประสงค์ดังกล่าวจำต้องใช้ทั้งมาตรการทางเทคโนโลยี มาตรการทางกฎหมาย (statutory regulation) รวมถึงการกำกับดูแลตนเอง (self-regulation) และการกำกับดูแลร่วมกัน (co-regulation) ของบุคคล 3 ฝ่ายผู้อาจได้รับผลกระทบจากการโจมตีทางไซเบอร์ ได้แก่ รัฐ หน่วยงานภาคเอกชน และภาคประชาสังคม อย่างไรก็ดีแม้มาตรการทางกฎหมายอาจมีความจำเป็นในการรักษาความมั่นคงปลอดภัยของระบบและข้อมูลอันอาจกระทบถึงความมั่นคงของชาติ แต่ความเข้มข้นของมาตรการดังกล่าวก็ต้องคำนึงถึงสิทธิเสรีภาพของประชาชนให้ประชาชนยังคงดำรงซึ่งสิทธิเสรีภาพในโลกไซเบอร์ (โลกเสมือนจริง) เสมอกับที่มีในโลกแห่งความเป็นจริง

ด้วยเหตุที่การโจมตีทางไซเบอร์อาจกระทำโดยผู้ไม่หวังดีที่มาจากทั้งภายในประเทศและภายนอกประเทศ ฉะนั้น รัฐ หน่วยงานภาคเอกชนและภาคประชาสังคมจำต้องมีการประสานความร่วมมือกันอย่างเป็นระบบเพื่อจัดการกับปัญหาการโจมตีทางไซเบอร์ทั้งจากภายในประเทศและนอกประเทศ โดยแต่ละฝ่ายอาจมีบทบาทสำคัญดังนี้

1.1 รัฐหรือหน่วยงานของรัฐ รัฐต้องมีหน้าที่หลักในการประสานความร่วมมือกับหน่วยงานภาคเอกชนและภาคประชาสังคม ในส่วนการประสานงานกับภาคเอกชน รัฐต้องจัดให้ภาคเอกชนเฉพาะที่เกี่ยวข้องกับความมั่นคงของระบบและข้อมูลอันกระทบความมั่นคงของชาติ เช่น กิจการธนาคาร สายการบิน สาธารณูปโภค จัดให้มีการบริหารความเสี่ยงทางเทคนิคที่ดีและต่อเนื่อง เช่น มีระบบการตั้งค่าแบบปลอดภัย มีระบบควบคุมการเข้าถึง มีระบบป้องกันชุดคำสั่งไม่พึงประสงค์ มีระบบจัดการปิดช่องโหว่คอมพิวเตอร์ มีการสำรองข้อมูลที่สำคัญ เป็นต้น

นอกจากนี้ รัฐต้องกำหนดให้หน่วยงานภาคเอกชนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบและข้อมูลอันกระทบความมั่นคงของชาติ ต้องรายงานการโจมตีทางไซเบอร์ให้กับรัฐทันที เพื่อความรวดเร็ว และการประสานงานกับทุกหน่วยงานที่เกี่ยวข้อง เพื่อป้องกันและรับมือได้ทันสถานการณ์

ในส่วนการประสานงานกับภาคประชาสังคม รัฐควรจัดให้มีการอบรมเพิ่มพูนความรู้แก่ภาคประชาสังคมและภาคประชาชนถึงภัยทางไซเบอร์ รวมทั้งจัดให้มีสายด่วนแจ้งภัยไซเบอร์ในกรณีมีการโจมตีได้ทันทีตลอด 24 ชั่วโมง

1.2 หน่วยงานภาคเอกชน เอกชนต้องมีหน้าที่บริหารความเสี่ยงในการจัดการทางเทคโนโลยีเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ เช่น ไฟร์วอลล์ขอบเขต (boundary firewalls)[5] เกตเวย์อินเทอร์เน็ต (Internet gateway) ระบบการตั้งค่าแบบปลอดภัย (secure configuration) ระบบควบคุมการเข้าถึง (access control) ระบบป้องกันชุดคำสั่งไม่พึงประสงค์ (malware protection) ระบบจัดการปิดช่องโหว่คอมพิวเตอร์ (patch management) เป็นต้น นอกจากนี้ หน่วยงานภาคเอกชน โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับกิจการสำคัญที่มีผลต่อความมั่นคงของชาติ เช่น กิจการธนาคาร สายการบิน ฯลฯ ต้องมีหน้าที่รายงานการโจมตีทางไซเบอร์ให้หน่วยงานของรัฐทันทีเพื่อประโยชน์ในการป้องกันความเสียหายอย่างทันการ

1.3 ภาคประชาสังคม ประชาสังคมรวมถึงประชาชน จะได้รับการการคุ้มครองสิทธิเสรีภาพในโลกไซเบอร์ (โลกเสมือนจริง) เสมอด้วยโลกแห่งความเป็นจริง อย่างไรก็ตาม ภาคประชาสังคมควรมีหน้าที่เฝ้าระวังระบบและข้อมูลบนอินเทอร์เน็ตให้มีความมั่นคงปลอดภัย หากพบเว็บไซต์ที่มีเนื้อหาที่ไม่เหมาะสมหรือพบการโจมตีทางไซเบอร์ ก็ควรรายงานเหตุการณ์ดังกล่าวต่อพนักงานเจ้าหน้าที่ที่มีอำนาจในการจัดการกับปัญหาดังกล่าวทันที

2. กลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป: ตลาดดิจิทัลเดียว

การเป็นตลาดดิจิทัลเดียว (Digital Single Market) เป็นหนึ่งในเป้าหมายที่สำคัญของคณะกรรมาธิการยุโรป เพราะการเป็นตลาดดิจิทัลเดียวของสหภาพยุโรปจะสามารถทำให้รายได้ของสหภาพยุโรปเพิ่มขึ้นอีกถึง 250,000 ล้านยูโร ทำให้การจ้างงานเพิ่มขึ้นนับล้านตำแหน่ง รวมทั้งทำให้สังคมเกิดการแลกเปลี่ยนความรู้ต่อกัน[6]

ความมั่นใจและความมั่นคงปลอดภัยในโลกไซเบอร์เป็นรากฐานที่สำคัญของการเป็นตลาดดิจิทัลเดียว ปัจจุบันพลเมืองหลายร้อยล้านคนในสหภาพยุโรปต่างพึ่งพาอินเทอร์เน็ตสำหรับการรับบริการในด้านต่างๆ ไม่ว่าจะเป็นการรับบริการจากรัฐบาลอิเล็กทรอนิกส์ การรับบริการด้านสุขภาพ การช้อปปิ้งสินค้าและบริการออนไลน์ และการติดต่อสื่อสารในเครือข่ายสังคมออนไลน์ อย่างไรก็ดี โลกไซเบอร์มีความเสี่ยงต่อภัยคุกคามที่อาจเกิดจากความล้มเหลวทางเทคนิค (technical failures) และการโจมตีไซเบอร์ (cyber attacks) ที่ได้เพิ่มขึ้นในอัตราที่น่ากังวล[7]

ความล้มเหลวในการตอบโต้ต่อภัยคุกคามทางไซเบอร์เหล่านี้ อาจนำไปสู่การสูญเสียความเชื่อมั่นของผู้บริโภคในโลกไซเบอร์ ส่งผลให้ธุรกิจอาจต้องสูญเสียเงินจำนวนมหาศาล และกระทบต่อประสิทธิภาพของโครงการรัฐบาลอิเล็กทรอนิกส์ ตลอดจนความมั่นคงของชาติอาจถูกสั่นคลอนและเนื่องจากการโจมตีไซเบอร์ไม่อาจสกัดกันด้วยพรมแดนของประเทศ วิธีการแก้ปัญหาของสหภาพยุโรปจึงต้องสร้าง “กลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป” ขึ้น เพื่อสร้างความมั่นใจแก่ธุรกิจและประชาชนในสหภาพยุโรปว่าโลกไซเบอร์ในสหภาพยุโรปมีความมั่นคงปลอดภัย[8]

2.1 กลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (EU Cybersecurity Strategy)

สหภาพยุโรปกำหนดกลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์ขึ้นโดยมีเป้าหมายเพื่อคุ้มครองสิทธิเสรีภาพ ตลอดจนรักษาความมั่นคงปลอดภัยอย่างสูงสุดสำหรับการติดต่อสื่อสารออนไลน์กลยุทธ์นี้จักช่วยสร้างความมั่นใจทั้งแก่ประชาคมแห่งสหภาพยุโรปและประชาคมโลกว่าสหภาพยุโรปมีมาตรการการรักษาความมั่นคงปลอดภัยไซเบอร์ที่แข็งแกร่ง มีประสิทธิภาพ และมีความปลอดภัยมากที่สุดแห่งหนึ่งของโลก[9]

กลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป ได้แก่

2.1.1  การบรรลุความมั่นคงปลอดภัยไซเบอร์โดยการเพิ่มขีดความสามารถ สร้างความพร้อม กระชับความร่วมมือในการแลกเปลี่ยนข้อมูลและความตระหนักในด้านเครือข่ายและความปลอดภัยของข้อมูลทั้งภาครัฐและเอกชน ทั้งระดับประเทศและระดับสหภาพ[10]

2.1.2 การลดการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ลงอย่างชัดเจน โดยการเสริมสร้างความเชี่ยวชาญแก่เจ้าหน้าที่ผู้มีอำนาจดูแล ตรวจสอบและดำเนินคดีกับผู้กระทำความผิด ทั้งจัดให้มีการประสานงานระหว่างหน่วยงานบังคับใช้กฎหมายทั่วสหภาพยุโรปและการเสริมสร้างความร่วมมือกับหน่วยงานหรือบุคคลอื่นๆ[11]

2.1.3 การพัฒนานโยบายการป้องกันไซเบอร์ของสหภาพยุโรป รวมทั้งเพิ่มขีดความสามารถในการรักษาความปลอดภัยและนโยบายการป้องกันไซเบอร์ร่วมกัน[12]

2.1.4 การสนับสนุนทรัพยากร ทั้งทางด้านอุตสาหกรรมและเทคโนโลยีที่จำเป็นในการเป็นตลาดดิจิทัลเดียว (Digital Single Market) กลยุทธ์นี้จะช่วยกระตุ้นการเกิดขึ้นของอุตสาหกรรมและตลาดสำหรับเทคโนโลยีสารสนเทศและการสื่อสาร (Information Communication and Technology: ICT) ที่มั่นคงปลอดภัยในสหภาพยุโรปซึ่งท้ายสุดจะนำไปสู่การเจริญเติบโตและความสามารถในการแข่งขันของเศรษฐกิจสหภาพยุโรป ทั้งยังเป็นการเพิ่มงบประมาณในการวิจัยและพัฒนาเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ทั้งของภาครัฐและเอกชน[13]

2.1.5 การเสริมสร้างนโยบายต่างประเทศของสหภาพยุโรปที่เกี่ยวกับโลกไซเบอร์ (Cyberspace) เพื่อส่งเสริมค่านิยมหลักของสหภาพยุโรปในการกำหนดบรรทัดฐานสำหรับพฤติกรรมที่มีความรับผิดชอบ เพื่อสนับสนุนการประยุกต์ใช้กฎหมายระหว่างประเทศที่มีอยู่กับกิจกรรมในโลกไซเบอร์ และเพื่อให้ความช่วยเหลือประเทศนอกสหภาพยุโรปในการสร้างขีดความสามารถในการรักษาความมั่นคงปลอดภัยไซเบอร์[14]

2.2 กฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (EU Network and Information Security Directive)

กฎการรักษาความมั่นคงปลอดภัยของเครือข่ายและข้อมูลแห่งสหภาพยุโรป (EU Network and Information Security Directive) หรือที่รู้จักกันทั่วไปว่า “กฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (EU Cybersecurity Directive)” ถูกเสนอโดยคณะกรรมาธิการยุโรป ใน พ.ศ. 2557 โดยมีจุดมุ่งหมายเพื่อสร้างความเชื่อมั่นว่าโลกไซเบอร์ในสหภาพยุโรปมีความมั่นคงปลอดภัย

หลังมีการประชุมร่วมระหว่างสภายุโรป รัฐสภายุโรปและคณะกรรมาธิการยุโรป เมื่อวันที่ 13 มีนาคม พ.ศ. 2557 รัฐสภายุโรปพิจารณาแล้วเห็นว่าความเสี่ยงที่การเกิดจากโจมตีทางไซเบอร์ได้เพิ่มขึ้นทั้งต่อหน่วยงานของภาครัฐและเอกชนทั่วสหภาพยุโรป จึงได้อนุมัติร่างแรกของกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป

กฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปที่ถูกนำเสนอนี้นับเป็นกฎการรักษาความมั่นคงปลอดภัยไซเบอร์ฉบับแรกในสหภาพยุโรป โดยมีจุดมุ่งหมายที่จะนำมาบังคับใช้ควบคู่กับกลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปสำหรับการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ทั่วสหภาพยุโรป

ภายใต้กฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป สหภาพยุโรปจะจัดให้มีการดำเนินการที่สำคัญดังนี้

ก. ปรับปรุงประสิทธิภาพทางเทคนิคในการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศสมาชิกแห่งสหภาพยุโรป โดยประเทศสมาชิกแต่ละประเทศจะต้องสร้างเครือข่ายข้อมูลรักษาความมั่นคงปลอดภัย (National Information Security: NIS) ของตน ตลอดจนจัดตั้งเจ้าหน้าที่ผู้มีอำนาจแห่งชาติ (National Competent Authority: NCA) เพื่อนำกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปมาใช้ในประเทศของตนนอกจากนี้ประเทศสมาชิกยังต้องสร้างทีมงานคอมพิวเตอร์ฉุกเฉิน (Computer Emergency Response Team: CERT) เพื่อเป็นผู้รับผิดชอบในการจัดการและลดความเสี่ยงของการเกิดอุบัติอันอาจเหตุจากการรักษาความมั่นคงปลอดภัยไซเบอร์

ข. เสริมสร้างความร่วมมือระหว่างประเทศสมาชิกในสหภาพยุโรป รวมถึงหน่วยงานภาครัฐและเอกชนเพื่อร่วมกันจัดการกับปัญหาการโจมตีทางไซเบอร์

ค. กำหนดมาตรฐานการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ขั้นต่ำสำหรับผู้ประกอบการตลาดที่ประกอบธุรกรรมเกี่ยวกับโครงสร้างพื้นฐานที่สำคัญ เช่น พลังงาน สุขภาพ การขนส่ง บริการทางการเงิน และอื่นๆ ที่อยู่ในประเทศสมาชิกของสหภาพยุโรปทั้งหมด ตามมาตรฐานขั้นต่ำดังกล่าว ผู้ประกอบการตลาดจะต้องกำหนดมาตรการในการบริหารความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ และจะต้องรายงานเหตุการณ์เกี่ยวกับความมั่นคงปลอดภัยในโลกไซเบอร์ที่มี “ผลกระทบที่สำคัญ” จากการให้บริการของตน

2.3 ประโยชน์ของกฎรักษาความมั่นคงปลอดภัยแห่งสหภาพยุโรป

กฎรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปจะก่อให้เกิดประโยชน์หลายประการ เช่น

ก. ทำให้ประชาชนและผู้บริโภคเกิดความไว้วางใจในเทคโนโลยีที่พวกเขาใช้ในชีวิตประจำวันมากขึ้น

ข. ทำให้รัฐบาลและภาคธุรกิจจะสามารถที่จะใช้เครือข่ายดิจิทัลและโครงสร้างพื้นฐานที่จะให้บริการที่จำเป็นแก่ประชาชนและผู้บริโภคทั้งในประเทศและนอกประเทศได้อย่างมั่นใจและมั่นคงปลอดภัย

ค. ทำให้เศรษฐกิจของสหภาพยุโรปได้ประโยชน์จากการบริการที่น่าเชื่อถือมากขึ้น รวมถึงการมีวัฒนธรรมของการบริหารความเสี่ยงและระบบการรายงานเหตุการณ์ที่เกิดขึ้นจะสร้างความเท่าเทียมกันและความมีเสถียรภาพสำหรับองค์กรธุรกิจที่ต้องการจะแข่งขันการทำธุรกิจในตลาดดิจิทัลเดียวแห่งสหภาพยุโรป[15]

3. วิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ….*

[*หมายเหตุ ร่างกฎหมายฯ ที่นำมาวิเคราะห์ในบทความนี้เป็นฉบับที่คณะรัฐมนตรีเห็นชอบในหลักการ ซึ่งเป็นร่างฯ ฉบับแรก และเป็นร่างฯ ฉบับเดียวที่เปิดเผยต่อสาธารณะในขณะนี้]

ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ… (ร่างกฎหมายไซเบอร์ของไทย) อาจแยกวิเคราะห์เป็นข้อๆ ได้ดังนี้

3.1 เหตุผลของกฎหมาย

ร่างกฎหมายไซเบอร์ของไทย ได้ให้เหตุผลในการยกร่างกฎหมายไว้ดังนี้ “การป้องกันหรือรับมือกับภัยคุกคามหรือความเสี่ยงบนไซเบอร์จึงต้องอาศัยความรวดเร็วและการประสานงานกับทุกหน่วยงานที่เกี่ยวข้องเพื่อป้องกันและรับมือได้ทันสถานการณ์ และมีการดูแลรักษาความมั่นคงปลอดภัยไซเบอร์อย่างต่อเนื่อง” การกำหนดคำว่า “ประสานงาน” สอดคล้องกับแนวคิดการร่วมมือกันของกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปที่ใช้คำว่า “cooperation” ซึ่งเป็นการทำงานรวมกันทั้งภาครัฐและเอกชนในการต่อสู้กับปัญหาการโจมตีไซเบอร์

3.2 ความหมายของ “ความมั่นคงปลอดภัยไซเบอร์”

บทนิยามศัพท์ในร่างกฎหมายไซเบอร์ของไทย ได้นิยามคำว่า“ความมั่นคงปลอดภัยไซเบอร์” ว่าหมายถึง “มาตรการและการดำเนินการที่กำหนดขึ้น เพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศให้สามารถปกป้อง ป้องกัน หรือรับมือกับสถานการณ์ด้านภัยคุกคามทางไซเบอร์ที่ส่งผลกระทบหรืออาจก่อให้เกิดความเสี่ยงต่อการให้บริการหรือการประยุกต์ใช้ เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยปกติของดาวเทียม อันกระทบต่อความมั่นคงของชาติ ซึ่งรวมถึงความมั่นคงทางการทหาร ความสงบเรียบร้อยภายในประเทศ และความมั่นคงทางเศรษฐกิจ”

จากนิยามศัพท์ “ความมั่นคงปลอดภัยไซเบอร์” ข้างต้น จะเห็นได้ว่าร่างกฎหมายไซเบอร์ของไทยมิได้มุ่งเฉพาะความมั่นคงปลอดภัยของระบบและข้อมูลอันกระทบต่อความมั่นคงทางเศรษฐกิจแต่เพียงอย่างเดียว แต่หมายความรวมถึงความมั่นคงทางการทหารและความสงบเรียบร้อยภายในประเทศด้วย ซึ่งแตกต่างกับกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปที่มุ่งเน้นความมั่นคงปลอดภัยของระบบและข้อมูลเพื่อประโยชน์ทางเศรษฐกิจเป็นสำคัญ

3.3 ความหมาย “หน่วยงานของรัฐ”

ร่างกฎหมายไซเบอร์ของไทยนิยามคำว่า “หน่วยงานของรัฐ” ว่าหมายถึง “กระทรวง กรม ส่วนราชการที่เรียกชื่ออย่างอื่นและมีฐานะเป็นกรม ราชการส่วนภูมิภาค ราชการส่วนท้องถิ่น องค์การมหาชน รัฐวิสาหกิจ และหน่วยงานที่ตั้งขึ้นโดยพระราชบัญญัติหรือพระราชกฤษฎีกา และให้หมายความรวมถึงนิติบุคคล คณะบุคคล หรือบุคคล ซึ่งมีอำนาจหน้าที่ดำเนินงานของรัฐไม่ว่ากรณีใด ๆ”

คำจำกัดความ “หน่วยงานของรัฐ” ตามกฎหมายไซเบอร์ของไทย มีความหมายกว้างมาก รวมทั้งส่วนราชการอื่นๆ ทั้งหมด ไม่ว่าจะเป็นหน่วยงานราชการส่วนบริหาร นิติบัญญัติ และตุลาการ

3.4 ผู้มีอำนาจสั่งการตามร่างกฎหมายไซเบอร์: คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

ร่างกฎหมายไซเบอร์ของไทยกำหนดให้มีคณะกรรมการคณะหนึ่ง เรียกว่า “คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” เรียกโดยย่อว่า “กปช.” และให้ใช้ชื่อภาษาอังกฤษว่า “National Cybersecurity Committee” เรียกโดยย่อว่า “NCSC” ประกอบด้วย

1) รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ

2) กรรมการโดยตำแหน่งจำนวนสี่คน ได้แก่ เลขาธิการสภาความมั่นคงแห่งชาติ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงกลาโหม ผู้บังคับการกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ

3) กรรมการผู้ทรงคุณวุฒิจานวนไม่เกินเจ็ดคนซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านนิติศาสตร์ หรือด้านอื่นที่เกี่ยวข้องและเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์[16]

และร่างกฎหมายไซเบอร์ของไทยกำหนดให้ กปช. มีอำนาจหน้าที่ที่สำคัญ ดังต่อไปนี้

1) สั่งการหรือประสานความร่วมมือกับหน่วยงานภาครัฐและภาคเอกชนเพื่อปฏิบัติให้เป็นไปตามนโยบายหรือแผนปฏิบัติการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือให้ดำเนินการอื่นใดที่จำเป็นต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งในประเทศและต่างประเทศ[17]

2) เมื่อมีเหตุฉุกเฉินหรือภยันตรายอันเนื่องมาจากภัยคุกคามทางไซเบอร์ที่อาจก่อให้เกิดผลกระทบต่อความมั่นคงของประเทศ ให้ กปช. มีอำนาจสั่งการให้หน่วยงานของรัฐทุกแห่งดำเนินการอย่างหนึ่งอย่างใดเพื่อป้องกัน แก้ไขปัญหา หรือบรรเทาความเสียหายที่เกิดหรืออาจจะเกิดขึ้นได้ตามที่เห็นสมควร และอาจให้หน่วยงานของรัฐ หรือบุคคลใด รวมทั้งบุคคลซึ่งได้รับอันตรายหรืออาจได้รับอันตรายหรือความเสียหายดังกล่าว กระทำหรือร่วมกันกระทำการใด ๆ อันจะมีผลเป็นการควบคุม ระงับ หรือบรรเทาผลร้ายจากอันตรายและความเสียหายที่เกิดขึ้นนั้นได้อย่างทันท่วงที[18]

3) ในกรณีที่มีความจำเป็นเพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ที่อาจกระทบต่อความมั่นคงทางการเงินและการพาณิชย์ หรือความมั่นคงของประเทศ กปช. อาจสั่งการให้หน่วยงานภาคเอกชนกระทำการหรืองดเว้นกระทำการอย่างใดอย่างหนึ่ง และให้รายงานผลการปฏิบัติการต่อ กปช. ตามที่ กปช. ประกาศกำหนด[19]

4) เพื่อประโยชน์ในการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ ให้พนักงานเจ้าหน้าที่ที่ได้รับมอบหมายเป็นหนังสือจากเลขาธิการ มีอำนาจดังต่อไปนี้

(1) มีหนังสือสอบถามหรือเรียกให้หน่วยงานของรัฐ หรือบุคคลใดๆ มาให้ถ้อยคำ ส่งคำชี้แจงเป็นหนังสือ หรือส่งบัญชี เอกสาร หรือหลักฐานใด ๆ มาเพื่อตรวจสอบหรือให้ข้อมูลเพื่อประโยชน์ในการปฏิบัติการตามพระราชบัญญัตินี้[20]

(2) มีหนังสือขอให้หน่วยงานราชการ หรือหน่วยงานเอกชนดำเนินการเพื่อประโยชน์แห่งการปฏิบัติหน้าที่ของ กปช.[21]

(3) เข้าถึงข้อมูลการติดต่อสื่อสารทั้งทางไปรษณีย์ โทรเลข โทรศัพท์ โทรสาร คอมพิวเตอร์ เครื่องมือหรืออุปกรณ์ในการสื่อสารสื่ออิเล็กทรอนิกส์หรือสื่อทางเทคโนโลยีสารสนเทศใด เพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์

การดำเนินการตาม (3) ให้เป็นไปตามหลักเกณฑ์และเงื่อนไขที่คณะรัฐมนตรีกำหนด [22]

จากบทบัญญัติข้างต้นจะเห็นว่าคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) มีอำนาจมากมาย สามารถสั่งการหรือประสานความร่วมมือกับหน่วยงานภาครัฐและภาคเอกชนเพื่อปฏิบัติให้เป็นไปตามนโยบายหรือแผนปฏิบัติการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือให้ดำเนินการอื่นใดที่จำเป็นต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งในประเทศและต่างประเทศ แต่มีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ ซึ่งอาจเกิดความไม่คล่องแคล่วในการประสานงานกับหน่วยงานอื่นที่ไม่ใช่ฝ่ายบริหาร เช่น หน่วยงานศาล หรือหน่วยงานทหาร ดังนั้นกฎหมายควรกำหนดให้นายกรัฐมนตรีในฐานะผู้นำฝ่ายบริหารเป็นประธานกรรมการมีอำนาจหน้าที่ตามร่างกฎหมายฉบับนี้เพื่อประโยชน์ในการสั่งการและประสานงานกับหน่วยงานอื่นๆ ข้างต้น

ประการต่อมา การที่ร่างกฎหมายไซเบอร์ของไทยให้อำนาจพนักงานเจ้าหน้าที่ที่ได้รับมอบหมายเป็นหนังสือจากเลขาธิการ มีอำนาจ เข้าถึง “ข้อมูลการติดต่อสื่อสาร (traffic data) ทั้งทางไปรษณีย์ โทรเลข โทรศัพท์ โทรสาร คอมพิวเตอร์ เครื่องมือหรืออุปกรณ์ในการสื่อสารสื่ออิเล็กทรอนิกส์หรือสื่อทางเทคโนโลยีสารสนเทศใด เพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์” อาจเป็นการนอกกรอบวัตถุประสงค์ของแนวคิดกฎหมายรักษาความมั่นคงปลอดภัยไซเบอร์ที่มุ่งเน้นสร้างความมั่นคงปลอดภัยของระบบและข้อมูลในโลกไซเบอร์ การตรวจสอบหรือสอดส่องควรจำกัดไว้ในโลกไซเบอร์เท่านั้น การกำหนดให้มีอำนาจเข้าถึงข้อมูลทาง “ไปรษณีย์ โทรเลข โทรศัพท์ โทรสาร” จึงอาจเป็นขัดสิทธิส่วนบุคคลประชาชน

นอกจากนี้ การที่ร่างกฎหมายกำหนดให้พนักงานเจ้าหน้าที่ที่ได้รับการมอบหมายเป็นหนังสือจากเลขา กปช. มีอำนาจเข้าถึงข้อมูลการติดต่อสื่อสารเพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์โดยไม่ต้องมีหมายศาล (warrant) แต่ให้เป็นไปตามหลักเกณฑ์และเงื่อนไขที่คณะรัฐมนตรีกำหนด อาจเป็นการขัดกับสิทธิเสรีภาพของประชาชนในการติดต่อสื่อสารกันโดยเสรีได้

4. บทสรุปและข้อเสนอแนะ

4.1 กลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์ของสหภาพยุโรปมุ่งรักษาความมั่นคงปลอดภัยของระบบและข้อมูลในโลกไซเบอร์ โดยกำหนดให้ประเทศสมาชิกปรับปรุงความสามารถในการรักษาความมั่นคงปลอดภัยไซเบอร์แต่กฎหมายไซเบอร์ของไทยมุ่งรักษาความมั่นคงของรัฐจากการกระทำในโลกไซเบอร์

4.2 กลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์ของสหภาพยุโรปเน้นการปรับปรุงความร่วมมือระหว่างประเทศสมาชิกและระหว่างภาครัฐและเอกชน แต่ร่างกฎหมายไซเบอร์ของไทย แม้จะได้มีการกำหนดในเหตุผลการยกร่างกฎหมาย แต่ในเนื้อหาสาระของกฎหมายยังไม่มีความชัดเจนในประเด็นดังกล่าว

4.3 กลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์ของสหภาพยุโรปกำหนดให้บริษัทที่อยู่ในภาคธุรกิจที่สำคัญ เช่น พลังงานการขนส่ง การธนาคาร และสุขภาพ รวมถึงธุรกิจการให้บริการอินเทอร์เน็ตต้องปฏิบัติการบริหารความเสี่ยงและรายงานเหตุการณ์สำคัญที่เกิดขึ้นทางไซเบอร์แก่หน่วยงานของรัฐ แต่ร่างกฎหมายไซเบอร์ของไทยกำหนดให้หน่วยงานภาคธุรกิจทุกประเภทต้องรายงานเหตุการณ์ทางไซเบอร์ต่อรัฐ

4.4 ร่างกฎหมายไซเบอร์ของไทยให้อำนาจพิเศษแก่ กปช.อย่างมาก กปช. มีอำนาจสั่งการได้หน่วยงานภาครัฐทุกแห่ง แต่มีรัฐมนตรีเป็นประธาน สมควรให้นายกรัฐมนตรีซึ่งเป็นผู้บังคับบัญชาสูงสุดฝ่ายบริหารเป็นประธาน

4.5 ร่างกฎหมายไซเบอร์ของไทยกำหนดอำนาจการเข้าถึงการติดต่อสื่อสารทุกรูปแบบของประชาชน เช่น ไปรษณีย์ โทรเลข ฯลฯ อาจเป็นการนอกกรอบวัตถุประสงค์ของการรักษาความมั่นคงปลอดภัยไซเบอร์และอาจขัดสิทธิส่วนบุคคลของประชาชน

4.6 การให้เจ้าพนักงานเข้าถึงข้อมูลคอมพิวเตอร์ที่เป็นข้อมูลส่วนบุคคลในหน่วยงานเอกชนโดยไม่ต้องขออำนาจศาล (warrant) ควรมีการกำหนดให้กระทำได้เฉพาะกรณีจำเป็นเร่งด่วนและเฉพาะหน่วยงานประเภทที่มีความสำคัญต่อความมั่นคงของชาติเท่านั้น (critical infrastructures) เช่น สนามบิน ธนาคาร ฯลฯ ดังเช่นที่กำหนดไว้ในกฎการรักษาความมั่นคงปลอดภัยแห่งสหภาพยุโรป ทั้งนี้เพื่อไม่ให้เป็นการเพิ่มภาระกับหน่วยงานเอกชนและขัดสิทธิส่วนบุคคลของประชาชน

4.7 ร่างกฎหมายไซเบอร์ของไทยควรมุ่งเน้นในการสร้างความร่วมมือ (cooperation) ระหว่างรัฐ หน่วยงานภาคเอกชน และภาคประชาสังคม ในลักษณะของการกำกับดูแลตนเอง (self-regulation) และการกำกับดูแลร่วมกัน (co-regulation) มากกว่าการใช้ตัวบทกฎหมาย (statutory regulation) ที่เข้มงวดเกินไปอันอาจกระทบถึงสิทธิเสรีภาพของประชาชนในการติดต่อสื่อสาร

Download (PDF, 1016KB)

ชวนร่วมสัมมนาวิชาการ “เวทีสาธารณะ : ตามติดกฎหมายดิจิทัล”

เสาร์ที่ 17 ตุลาคม 2558 เวลา 12.30-17.00 น.
ณ ห้องจิ๊ด เศรษฐบุตร (LT.1) คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์

ดู รายละเอียดงาน

ร่วมตามติดร่างกฎหมายชุดเศรษฐกิจดิจิทัล 3 ฉบับ (ร่างพ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ…., ร่างพ.ร.บ.ว่าด้วยความมั่นคงปลอดภัยไซเบอร์แห่งชาติ พ.ศ…. และ ร่างพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ….) ทั้งความคืบหน้า ทิศทางร่างกฎหมาย และความเปลี่ยนแปลงในร่างกฎหมายฉบับล่าสุด

พร้อมรับฟังสรุปประเด็นสำคัญและข้อสังเกตของร่างกฎหมาย โดยนักวิชาการผู้เชี่ยวชาญ 3 ท่าน ได้แก่ ผศ.สาวตรี สุขศรี คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์, ผศ.กิตติศักดิ์ ปรกติ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ และ รศ.สราวุธ ปิติยาศักดิ์ สาขาวิชานิติศาสตร์ มหาวิทยาลัยสุโขทัยธรรมาธิราช

สัมมนาวิชาการ "เวทีสาธารณะ : ตามติดกฎหมายดิจิทัล"

สัมมนาวิชาการ “เวทีสาธารณะ : ตามติดกฎหมายดิจิทัล”

เอกสารที่เกี่ยวข้อง

อ้างอิง

  • [1] อาจารย์ประจำสาขาวิชานิติศาสตร์ มหาวิทยาลัยสุโขทัยธรรมาธิราช
  • [2] Suchit Leesa-nguansuk. “Thailand at high risk for Cyberattack.” Bangkok Post. 4 Sep 2015. Retrieved 8 Oct. 2015 from:http://www.bangkokpost.com/business/news/680328/thailand-at-high-risk-for-cyberattack
  • [3] ศูนย์เทคโนโลยีทางทหาร กรมการทหารสื่อสาร กองทัพบก (Military Technology Center) Retrieved 8 Oct. 2015 from:http://mtc.rta.mi.th
  • [4] (ร่าง) พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ ..) พ.ศ. …., (ร่าง) พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ ..) พ.ศ. ….,  (ร่าง) พ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ….,  (ร่าง) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ….,  (ร่าง) พ.ร.บ.ว่าด้วยการส่งเสริมเศรษฐกิจดิจิทัล พ.ศ. ….,  (ร่าง) พ.ร.บ.กองทุนพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม พ.ศ. …., (ร่าง) พ.ร.บ.องค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการวิทยุกระจายเสียง วิทยุโทรทัศน์ และกิจการโทรคมนาคม (ฉบับที่ ..) พ.ศ. …., และ (ร่าง) พ.ร.ฎ.จัดตั้งสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (ฉบับที่ ..) พ.ศ. ….
  • [5] ไฟร์วอลล์ขอบเขต หมายถึง ไฟร์วอลล์แบบที่ใช้กันเป็นส่วนใหญ่ ติดตั้งอยู่ในขอบเขตของเครือข่ายภายในและภายนอกซึ่งบทบาทของแยกระหว่างเครือข่ายภายในและภายนอกเพื่อปกป้องเขตแดนของเครือข่ายภายใน
  • [6] European Commission. Digital Agenda for Europe: A Europe 2020 Initiative. Network and Information (NIS) Directive. Retrieved 8 October 2015 from:http://ec.europa.eu/digital-agenda/en/news/network-and-information-security-nis-directive
  • [7] Ibid.
  • [8] Ibid.
  • [9] European Commission. Digital Agenda for Europe: A Europe 2020 Initiative. Communication on a Cybersecurity Strategy of the European Union – An Open, Safe and Secure Cyberspace. Retrieved 8 October 2015 from:http://ec.europa.eu/digital-agenda/en/news/communication-cybersecurity-strategy-european-union-%E2%80%93-open-safe-and-secure-cyberspace
  • [10] Ibid.
  • [11] Ibid.
  • [12] Ibid.
  • [13] Ibid.
  • [14] Ibid.
  • [15] European Commission. Digital Agenda for Europe: A Europe 2020 Initiative. Network and Information (NIS) Directive.Note 6.
  • [16] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 6
  • [17] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 7(8)
  • [18] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 34
  • [19] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 33
  • [20] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 35(1)
  • [21] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 35(2)
  • [22] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 35(3)
Tags: , , , , , , , , , ,
%d bloggers like this: