2015.10.09 19:32

บทวิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ… : ศึกษาเปรียบเทียบกลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป

โดย รศ.ดร.สราวุธ ปิติยาศักดิ์ [1]

บทนำ

“การโจมตีทางไซเบอร์” ถือเป็นภัยคุกคามใหญ่หลวงต่อผลประโยชน์ทางเศรษฐกิจตลอดจนความมั่นคงของประเทศ การโจมตีทางไซเบอร์มีหลายรูปแบบ เช่น การเจาะระบบคอมพิวเตอร์ (hacking) การสอดแนมข้อมูลคอมพิวเตอร์โดยสปายแวร์ (spyware) การดักรับข้อมูลคอมพิวเตอร์ (sniffing) การทำลายระบบคอมพิวเตอร์หรือข้อมูลคอมพิวเตอร์ (malicious software: malware) หรือการรุมสอบถามข้อมูลจนระบบล่ม (Denial of Service attack: DoS attack) เป็นต้น แต่ละการโจมตีล้วนแต่สร้างความเสียหายอย่างมหาศาลทั้งต่อระบบเศรษฐกิจและความมั่นคงของประเทศ

ปัจจุบันประเทศไทยถูกจัดว่าเป็นประเทศเป้าหมายของการโจมตีทางไซเบอร์ที่สำคัญประเทศหนึ่งของโลก[2] รัฐบาลไทยโดยพลเอกประยุทธ์ จันทร์โอชา นายกรัฐมนตรี ได้ตระหนักถึงความสำคัญดังกล่าว จึงมีนโยบายให้บูรณการความมั่นคงปลอดภัยทางไซเบอร์ควบคู่กับการขับเคลื่อนเศรษฐกิจดิจิทัล โดยให้นำแนวความคิด การปฏิบัติการไซเบอร์และการต่อต้านสงครามไซเบอร์ของศูนย์ไซเบอร์กองทัพบก (Army Cyber Center) ใส่ไว้ในเศรษฐกิจดิจิทัล (Digital Economy) จัดเชื่อมโยงเครือข่ายและขยายผลในระดับชาติ รวมไว้ในโครงสร้างเศรษฐกิจดิจิทัลของรัฐบาลและให้กระทรวงกลาโหมไปดูภาพรวม[3]

ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … เป็นหนึ่งในกฎหมายเศรษฐกิจดิจิทัล 8 ฉบับ[4] ที่ถูกร่างขึ้นมาเพื่อสนองนโยบายการบูรณการความมั่นคงควบคู่กับเศรษฐกิจข้างต้น ร่างกฎหมายดังกล่าวได้ผ่านการอนุมัติของคณะรัฐมนตรีไปแล้วแต่เนื้อหาสาระของร่างกฎหมายฉบับดังกล่าวได้ถูกวิพากษ์วิจารณ์ในวงกว้างเนื่องจากมีเนื้อหาสาระที่เกี่ยวข้องกับทั้งสิทธิเสรีภาพของผู้ใช้สื่อออนไลน์และความมั่นคงของชาติในขณะเดียวกัน บทความนี้จึงมีวัตถุประสงค์ที่จะศึกษา วิเคราะห์ ตลอดจนวิจารณ์ร่างกฎหมายฉบับนี้เพื่อนำเสนอข้อคิดเห็นอันอาจเป็นประโยชน์ในการแก้ไขปรับปรุงร่างกฎหมายฉบับดังกล่าวให้เหมาะสมต่อไป

ในบทความฉบับนี้ส่วนแรกจะวางกรอบแนวคิดการรักษาความมั่นคงปลอดภัยไซเบอร์ในอุดมคติ ต่อมาในส่วนที่สองจะกล่าวถึงกลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปและในส่วนที่สามจะวิเคราะห์วิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์พ.ศ… ส่วนท้ายสุดจะกล่าวถึงบทสรุปและข้อเสนอแนะในประเด็นสำคัญต่างๆ

1. กรอบแนวคิดการรักษาความมั่นคงปลอดภัยไซเบอร์

ส่วนแรกบทความฉบับนี้ เริ่มด้วยการนำเสนอกรอบแนวคิดการรักษาความมั่นคงปลอดภัยไซเบอร์ในอุดมคติโดยยึดประเด็นสำคัญที่ต้องนำมาพิจารณาร่วมกันในการสร้างความมั่นคงปลอดภัยไซเบอร์ดังนี้ (1) ความมั่นคงปลอดภัยของระบบและข้อมูล (2) สิทธิเสรีภาพของประชาชน (3) ความมั่นคงของประเทศ และ (4) การร่วมมือกันของบุคคลที่เกี่ยวข้องกับโลกไซเบอร์

วัตถุประสงค์หลักของการรักษาความมั่นคงปลอดภัยในไซเบอร์ ได้แก่การสร้างความมั่นคงปลอดภัยในระบบ (network) และข้อมูล (data) การบรรลุวัตถุประสงค์ดังกล่าวจำต้องใช้ทั้งมาตรการทางเทคโนโลยี มาตรการทางกฎหมาย (statutory regulation) รวมถึงการกำกับดูแลตนเอง (self-regulation) และการกำกับดูแลร่วมกัน (co-regulation) ของบุคคล 3 ฝ่ายผู้อาจได้รับผลกระทบจากการโจมตีทางไซเบอร์ ได้แก่ รัฐ หน่วยงานภาคเอกชน และภาคประชาสังคม อย่างไรก็ดีแม้มาตรการทางกฎหมายอาจมีความจำเป็นในการรักษาความมั่นคงปลอดภัยของระบบและข้อมูลอันอาจกระทบถึงความมั่นคงของชาติ แต่ความเข้มข้นของมาตรการดังกล่าวก็ต้องคำนึงถึงสิทธิเสรีภาพของประชาชนให้ประชาชนยังคงดำรงซึ่งสิทธิเสรีภาพในโลกไซเบอร์ (โลกเสมือนจริง) เสมอกับที่มีในโลกแห่งความเป็นจริง

ด้วยเหตุที่การโจมตีทางไซเบอร์อาจกระทำโดยผู้ไม่หวังดีที่มาจากทั้งภายในประเทศและภายนอกประเทศ ฉะนั้น รัฐ หน่วยงานภาคเอกชนและภาคประชาสังคมจำต้องมีการประสานความร่วมมือกันอย่างเป็นระบบเพื่อจัดการกับปัญหาการโจมตีทางไซเบอร์ทั้งจากภายในประเทศและนอกประเทศ โดยแต่ละฝ่ายอาจมีบทบาทสำคัญดังนี้

1.1 รัฐหรือหน่วยงานของรัฐ รัฐต้องมีหน้าที่หลักในการประสานความร่วมมือกับหน่วยงานภาคเอกชนและภาคประชาสังคม ในส่วนการประสานงานกับภาคเอกชน รัฐต้องจัดให้ภาคเอกชนเฉพาะที่เกี่ยวข้องกับความมั่นคงของระบบและข้อมูลอันกระทบความมั่นคงของชาติ เช่น กิจการธนาคาร สายการบิน สาธารณูปโภค จัดให้มีการบริหารความเสี่ยงทางเทคนิคที่ดีและต่อเนื่อง เช่น มีระบบการตั้งค่าแบบปลอดภัย มีระบบควบคุมการเข้าถึง มีระบบป้องกันชุดคำสั่งไม่พึงประสงค์ มีระบบจัดการปิดช่องโหว่คอมพิวเตอร์ มีการสำรองข้อมูลที่สำคัญ เป็นต้น

นอกจากนี้ รัฐต้องกำหนดให้หน่วยงานภาคเอกชนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบและข้อมูลอันกระทบความมั่นคงของชาติ ต้องรายงานการโจมตีทางไซเบอร์ให้กับรัฐทันที เพื่อความรวดเร็ว และการประสานงานกับทุกหน่วยงานที่เกี่ยวข้อง เพื่อป้องกันและรับมือได้ทันสถานการณ์

ในส่วนการประสานงานกับภาคประชาสังคม รัฐควรจัดให้มีการอบรมเพิ่มพูนความรู้แก่ภาคประชาสังคมและภาคประชาชนถึงภัยทางไซเบอร์ รวมทั้งจัดให้มีสายด่วนแจ้งภัยไซเบอร์ในกรณีมีการโจมตีได้ทันทีตลอด 24 ชั่วโมง

1.2 หน่วยงานภาคเอกชน เอกชนต้องมีหน้าที่บริหารความเสี่ยงในการจัดการทางเทคโนโลยีเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ เช่น ไฟร์วอลล์ขอบเขต (boundary firewalls)[5] เกตเวย์อินเทอร์เน็ต (Internet gateway) ระบบการตั้งค่าแบบปลอดภัย (secure configuration) ระบบควบคุมการเข้าถึง (access control) ระบบป้องกันชุดคำสั่งไม่พึงประสงค์ (malware protection) ระบบจัดการปิดช่องโหว่คอมพิวเตอร์ (patch management) เป็นต้น นอกจากนี้ หน่วยงานภาคเอกชน โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับกิจการสำคัญที่มีผลต่อความมั่นคงของชาติ เช่น กิจการธนาคาร สายการบิน ฯลฯ ต้องมีหน้าที่รายงานการโจมตีทางไซเบอร์ให้หน่วยงานของรัฐทันทีเพื่อประโยชน์ในการป้องกันความเสียหายอย่างทันการ

1.3 ภาคประชาสังคม ประชาสังคมรวมถึงประชาชน จะได้รับการการคุ้มครองสิทธิเสรีภาพในโลกไซเบอร์ (โลกเสมือนจริง) เสมอด้วยโลกแห่งความเป็นจริง อย่างไรก็ตาม ภาคประชาสังคมควรมีหน้าที่เฝ้าระวังระบบและข้อมูลบนอินเทอร์เน็ตให้มีความมั่นคงปลอดภัย หากพบเว็บไซต์ที่มีเนื้อหาที่ไม่เหมาะสมหรือพบการโจมตีทางไซเบอร์ ก็ควรรายงานเหตุการณ์ดังกล่าวต่อพนักงานเจ้าหน้าที่ที่มีอำนาจในการจัดการกับปัญหาดังกล่าวทันที

2. กลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป: ตลาดดิจิทัลเดียว

การเป็นตลาดดิจิทัลเดียว (Digital Single Market) เป็นหนึ่งในเป้าหมายที่สำคัญของคณะกรรมาธิการยุโรป เพราะการเป็นตลาดดิจิทัลเดียวของสหภาพยุโรปจะสามารถทำให้รายได้ของสหภาพยุโรปเพิ่มขึ้นอีกถึง 250,000 ล้านยูโร ทำให้การจ้างงานเพิ่มขึ้นนับล้านตำแหน่ง รวมทั้งทำให้สังคมเกิดการแลกเปลี่ยนความรู้ต่อกัน[6]

ความมั่นใจและความมั่นคงปลอดภัยในโลกไซเบอร์เป็นรากฐานที่สำคัญของการเป็นตลาดดิจิทัลเดียว ปัจจุบันพลเมืองหลายร้อยล้านคนในสหภาพยุโรปต่างพึ่งพาอินเทอร์เน็ตสำหรับการรับบริการในด้านต่างๆ ไม่ว่าจะเป็นการรับบริการจากรัฐบาลอิเล็กทรอนิกส์ การรับบริการด้านสุขภาพ การช้อปปิ้งสินค้าและบริการออนไลน์ และการติดต่อสื่อสารในเครือข่ายสังคมออนไลน์ อย่างไรก็ดี โลกไซเบอร์มีความเสี่ยงต่อภัยคุกคามที่อาจเกิดจากความล้มเหลวทางเทคนิค (technical failures) และการโจมตีไซเบอร์ (cyber attacks) ที่ได้เพิ่มขึ้นในอัตราที่น่ากังวล[7]

ความล้มเหลวในการตอบโต้ต่อภัยคุกคามทางไซเบอร์เหล่านี้ อาจนำไปสู่การสูญเสียความเชื่อมั่นของผู้บริโภคในโลกไซเบอร์ ส่งผลให้ธุรกิจอาจต้องสูญเสียเงินจำนวนมหาศาล และกระทบต่อประสิทธิภาพของโครงการรัฐบาลอิเล็กทรอนิกส์ ตลอดจนความมั่นคงของชาติอาจถูกสั่นคลอนและเนื่องจากการโจมตีไซเบอร์ไม่อาจสกัดกันด้วยพรมแดนของประเทศ วิธีการแก้ปัญหาของสหภาพยุโรปจึงต้องสร้าง “กลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป” ขึ้น เพื่อสร้างความมั่นใจแก่ธุรกิจและประชาชนในสหภาพยุโรปว่าโลกไซเบอร์ในสหภาพยุโรปมีความมั่นคงปลอดภัย[8]

2.1 กลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (EU Cybersecurity Strategy)

สหภาพยุโรปกำหนดกลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์ขึ้นโดยมีเป้าหมายเพื่อคุ้มครองสิทธิเสรีภาพ ตลอดจนรักษาความมั่นคงปลอดภัยอย่างสูงสุดสำหรับการติดต่อสื่อสารออนไลน์กลยุทธ์นี้จักช่วยสร้างความมั่นใจทั้งแก่ประชาคมแห่งสหภาพยุโรปและประชาคมโลกว่าสหภาพยุโรปมีมาตรการการรักษาความมั่นคงปลอดภัยไซเบอร์ที่แข็งแกร่ง มีประสิทธิภาพ และมีความปลอดภัยมากที่สุดแห่งหนึ่งของโลก[9]

กลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป ได้แก่

2.1.1  การบรรลุความมั่นคงปลอดภัยไซเบอร์โดยการเพิ่มขีดความสามารถ สร้างความพร้อม กระชับความร่วมมือในการแลกเปลี่ยนข้อมูลและความตระหนักในด้านเครือข่ายและความปลอดภัยของข้อมูลทั้งภาครัฐและเอกชน ทั้งระดับประเทศและระดับสหภาพ[10]

2.1.2 การลดการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ลงอย่างชัดเจน โดยการเสริมสร้างความเชี่ยวชาญแก่เจ้าหน้าที่ผู้มีอำนาจดูแล ตรวจสอบและดำเนินคดีกับผู้กระทำความผิด ทั้งจัดให้มีการประสานงานระหว่างหน่วยงานบังคับใช้กฎหมายทั่วสหภาพยุโรปและการเสริมสร้างความร่วมมือกับหน่วยงานหรือบุคคลอื่นๆ[11]

2.1.3 การพัฒนานโยบายการป้องกันไซเบอร์ของสหภาพยุโรป รวมทั้งเพิ่มขีดความสามารถในการรักษาความปลอดภัยและนโยบายการป้องกันไซเบอร์ร่วมกัน[12]

2.1.4 การสนับสนุนทรัพยากร ทั้งทางด้านอุตสาหกรรมและเทคโนโลยีที่จำเป็นในการเป็นตลาดดิจิทัลเดียว (Digital Single Market) กลยุทธ์นี้จะช่วยกระตุ้นการเกิดขึ้นของอุตสาหกรรมและตลาดสำหรับเทคโนโลยีสารสนเทศและการสื่อสาร (Information Communication and Technology: ICT) ที่มั่นคงปลอดภัยในสหภาพยุโรปซึ่งท้ายสุดจะนำไปสู่การเจริญเติบโตและความสามารถในการแข่งขันของเศรษฐกิจสหภาพยุโรป ทั้งยังเป็นการเพิ่มงบประมาณในการวิจัยและพัฒนาเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ทั้งของภาครัฐและเอกชน[13]

2.1.5 การเสริมสร้างนโยบายต่างประเทศของสหภาพยุโรปที่เกี่ยวกับโลกไซเบอร์ (Cyberspace) เพื่อส่งเสริมค่านิยมหลักของสหภาพยุโรปในการกำหนดบรรทัดฐานสำหรับพฤติกรรมที่มีความรับผิดชอบ เพื่อสนับสนุนการประยุกต์ใช้กฎหมายระหว่างประเทศที่มีอยู่กับกิจกรรมในโลกไซเบอร์ และเพื่อให้ความช่วยเหลือประเทศนอกสหภาพยุโรปในการสร้างขีดความสามารถในการรักษาความมั่นคงปลอดภัยไซเบอร์[14]

2.2 กฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (EU Network and Information Security Directive)

กฎการรักษาความมั่นคงปลอดภัยของเครือข่ายและข้อมูลแห่งสหภาพยุโรป (EU Network and Information Security Directive) หรือที่รู้จักกันทั่วไปว่า “กฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (EU Cybersecurity Directive)” ถูกเสนอโดยคณะกรรมาธิการยุโรป ใน พ.ศ. 2557 โดยมีจุดมุ่งหมายเพื่อสร้างความเชื่อมั่นว่าโลกไซเบอร์ในสหภาพยุโรปมีความมั่นคงปลอดภัย

หลังมีการประชุมร่วมระหว่างสภายุโรป รัฐสภายุโรปและคณะกรรมาธิการยุโรป เมื่อวันที่ 13 มีนาคม พ.ศ. 2557 รัฐสภายุโรปพิจารณาแล้วเห็นว่าความเสี่ยงที่การเกิดจากโจมตีทางไซเบอร์ได้เพิ่มขึ้นทั้งต่อหน่วยงานของภาครัฐและเอกชนทั่วสหภาพยุโรป จึงได้อนุมัติร่างแรกของกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป

กฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปที่ถูกนำเสนอนี้นับเป็นกฎการรักษาความมั่นคงปลอดภัยไซเบอร์ฉบับแรกในสหภาพยุโรป โดยมีจุดมุ่งหมายที่จะนำมาบังคับใช้ควบคู่กับกลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปสำหรับการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ทั่วสหภาพยุโรป

ภายใต้กฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป สหภาพยุโรปจะจัดให้มีการดำเนินการที่สำคัญดังนี้

ก. ปรับปรุงประสิทธิภาพทางเทคนิคในการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศสมาชิกแห่งสหภาพยุโรป โดยประเทศสมาชิกแต่ละประเทศจะต้องสร้างเครือข่ายข้อมูลรักษาความมั่นคงปลอดภัย (National Information Security: NIS) ของตน ตลอดจนจัดตั้งเจ้าหน้าที่ผู้มีอำนาจแห่งชาติ (National Competent Authority: NCA) เพื่อนำกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปมาใช้ในประเทศของตนนอกจากนี้ประเทศสมาชิกยังต้องสร้างทีมงานคอมพิวเตอร์ฉุกเฉิน (Computer Emergency Response Team: CERT) เพื่อเป็นผู้รับผิดชอบในการจัดการและลดความเสี่ยงของการเกิดอุบัติอันอาจเหตุจากการรักษาความมั่นคงปลอดภัยไซเบอร์

ข. เสริมสร้างความร่วมมือระหว่างประเทศสมาชิกในสหภาพยุโรป รวมถึงหน่วยงานภาครัฐและเอกชนเพื่อร่วมกันจัดการกับปัญหาการโจมตีทางไซเบอร์

ค. กำหนดมาตรฐานการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ขั้นต่ำสำหรับผู้ประกอบการตลาดที่ประกอบธุรกรรมเกี่ยวกับโครงสร้างพื้นฐานที่สำคัญ เช่น พลังงาน สุขภาพ การขนส่ง บริการทางการเงิน และอื่นๆ ที่อยู่ในประเทศสมาชิกของสหภาพยุโรปทั้งหมด ตามมาตรฐานขั้นต่ำดังกล่าว ผู้ประกอบการตลาดจะต้องกำหนดมาตรการในการบริหารความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ และจะต้องรายงานเหตุการณ์เกี่ยวกับความมั่นคงปลอดภัยในโลกไซเบอร์ที่มี “ผลกระทบที่สำคัญ” จากการให้บริการของตน

2.3 ประโยชน์ของกฎรักษาความมั่นคงปลอดภัยแห่งสหภาพยุโรป

กฎรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปจะก่อให้เกิดประโยชน์หลายประการ เช่น

ก. ทำให้ประชาชนและผู้บริโภคเกิดความไว้วางใจในเทคโนโลยีที่พวกเขาใช้ในชีวิตประจำวันมากขึ้น

ข. ทำให้รัฐบาลและภาคธุรกิจจะสามารถที่จะใช้เครือข่ายดิจิทัลและโครงสร้างพื้นฐานที่จะให้บริการที่จำเป็นแก่ประชาชนและผู้บริโภคทั้งในประเทศและนอกประเทศได้อย่างมั่นใจและมั่นคงปลอดภัย

ค. ทำให้เศรษฐกิจของสหภาพยุโรปได้ประโยชน์จากการบริการที่น่าเชื่อถือมากขึ้น รวมถึงการมีวัฒนธรรมของการบริหารความเสี่ยงและระบบการรายงานเหตุการณ์ที่เกิดขึ้นจะสร้างความเท่าเทียมกันและความมีเสถียรภาพสำหรับองค์กรธุรกิจที่ต้องการจะแข่งขันการทำธุรกิจในตลาดดิจิทัลเดียวแห่งสหภาพยุโรป[15]

3. วิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ….*

[*หมายเหตุ ร่างกฎหมายฯ ที่นำมาวิเคราะห์ในบทความนี้เป็นฉบับที่คณะรัฐมนตรีเห็นชอบในหลักการ ซึ่งเป็นร่างฯ ฉบับแรก และเป็นร่างฯ ฉบับเดียวที่เปิดเผยต่อสาธารณะในขณะนี้]

ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ… (ร่างกฎหมายไซเบอร์ของไทย) อาจแยกวิเคราะห์เป็นข้อๆ ได้ดังนี้

3.1 เหตุผลของกฎหมาย

ร่างกฎหมายไซเบอร์ของไทย ได้ให้เหตุผลในการยกร่างกฎหมายไว้ดังนี้ “การป้องกันหรือรับมือกับภัยคุกคามหรือความเสี่ยงบนไซเบอร์จึงต้องอาศัยความรวดเร็วและการประสานงานกับทุกหน่วยงานที่เกี่ยวข้องเพื่อป้องกันและรับมือได้ทันสถานการณ์ และมีการดูแลรักษาความมั่นคงปลอดภัยไซเบอร์อย่างต่อเนื่อง” การกำหนดคำว่า “ประสานงาน” สอดคล้องกับแนวคิดการร่วมมือกันของกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปที่ใช้คำว่า “cooperation” ซึ่งเป็นการทำงานรวมกันทั้งภาครัฐและเอกชนในการต่อสู้กับปัญหาการโจมตีไซเบอร์

3.2 ความหมายของ “ความมั่นคงปลอดภัยไซเบอร์”

บทนิยามศัพท์ในร่างกฎหมายไซเบอร์ของไทย ได้นิยามคำว่า“ความมั่นคงปลอดภัยไซเบอร์” ว่าหมายถึง “มาตรการและการดำเนินการที่กำหนดขึ้น เพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศให้สามารถปกป้อง ป้องกัน หรือรับมือกับสถานการณ์ด้านภัยคุกคามทางไซเบอร์ที่ส่งผลกระทบหรืออาจก่อให้เกิดความเสี่ยงต่อการให้บริการหรือการประยุกต์ใช้ เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยปกติของดาวเทียม อันกระทบต่อความมั่นคงของชาติ ซึ่งรวมถึงความมั่นคงทางการทหาร ความสงบเรียบร้อยภายในประเทศ และความมั่นคงทางเศรษฐกิจ”

จากนิยามศัพท์ “ความมั่นคงปลอดภัยไซเบอร์” ข้างต้น จะเห็นได้ว่าร่างกฎหมายไซเบอร์ของไทยมิได้มุ่งเฉพาะความมั่นคงปลอดภัยของระบบและข้อมูลอันกระทบต่อความมั่นคงทางเศรษฐกิจแต่เพียงอย่างเดียว แต่หมายความรวมถึงความมั่นคงทางการทหารและความสงบเรียบร้อยภายในประเทศด้วย ซึ่งแตกต่างกับกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปที่มุ่งเน้นความมั่นคงปลอดภัยของระบบและข้อมูลเพื่อประโยชน์ทางเศรษฐกิจเป็นสำคัญ

3.3 ความหมาย “หน่วยงานของรัฐ”

ร่างกฎหมายไซเบอร์ของไทยนิยามคำว่า “หน่วยงานของรัฐ” ว่าหมายถึง “กระทรวง กรม ส่วนราชการที่เรียกชื่ออย่างอื่นและมีฐานะเป็นกรม ราชการส่วนภูมิภาค ราชการส่วนท้องถิ่น องค์การมหาชน รัฐวิสาหกิจ และหน่วยงานที่ตั้งขึ้นโดยพระราชบัญญัติหรือพระราชกฤษฎีกา และให้หมายความรวมถึงนิติบุคคล คณะบุคคล หรือบุคคล ซึ่งมีอำนาจหน้าที่ดำเนินงานของรัฐไม่ว่ากรณีใด ๆ”

คำจำกัดความ “หน่วยงานของรัฐ” ตามกฎหมายไซเบอร์ของไทย มีความหมายกว้างมาก รวมทั้งส่วนราชการอื่นๆ ทั้งหมด ไม่ว่าจะเป็นหน่วยงานราชการส่วนบริหาร นิติบัญญัติ และตุลาการ

3.4 ผู้มีอำนาจสั่งการตามร่างกฎหมายไซเบอร์: คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

ร่างกฎหมายไซเบอร์ของไทยกำหนดให้มีคณะกรรมการคณะหนึ่ง เรียกว่า “คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” เรียกโดยย่อว่า “กปช.” และให้ใช้ชื่อภาษาอังกฤษว่า “National Cybersecurity Committee” เรียกโดยย่อว่า “NCSC” ประกอบด้วย

1) รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ

2) กรรมการโดยตำแหน่งจำนวนสี่คน ได้แก่ เลขาธิการสภาความมั่นคงแห่งชาติ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงกลาโหม ผู้บังคับการกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ

3) กรรมการผู้ทรงคุณวุฒิจานวนไม่เกินเจ็ดคนซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านนิติศาสตร์ หรือด้านอื่นที่เกี่ยวข้องและเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์[16]

และร่างกฎหมายไซเบอร์ของไทยกำหนดให้ กปช. มีอำนาจหน้าที่ที่สำคัญ ดังต่อไปนี้

1) สั่งการหรือประสานความร่วมมือกับหน่วยงานภาครัฐและภาคเอกชนเพื่อปฏิบัติให้เป็นไปตามนโยบายหรือแผนปฏิบัติการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือให้ดำเนินการอื่นใดที่จำเป็นต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งในประเทศและต่างประเทศ[17]

2) เมื่อมีเหตุฉุกเฉินหรือภยันตรายอันเนื่องมาจากภัยคุกคามทางไซเบอร์ที่อาจก่อให้เกิดผลกระทบต่อความมั่นคงของประเทศ ให้ กปช. มีอำนาจสั่งการให้หน่วยงานของรัฐทุกแห่งดำเนินการอย่างหนึ่งอย่างใดเพื่อป้องกัน แก้ไขปัญหา หรือบรรเทาความเสียหายที่เกิดหรืออาจจะเกิดขึ้นได้ตามที่เห็นสมควร และอาจให้หน่วยงานของรัฐ หรือบุคคลใด รวมทั้งบุคคลซึ่งได้รับอันตรายหรืออาจได้รับอันตรายหรือความเสียหายดังกล่าว กระทำหรือร่วมกันกระทำการใด ๆ อันจะมีผลเป็นการควบคุม ระงับ หรือบรรเทาผลร้ายจากอันตรายและความเสียหายที่เกิดขึ้นนั้นได้อย่างทันท่วงที[18]

3) ในกรณีที่มีความจำเป็นเพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ที่อาจกระทบต่อความมั่นคงทางการเงินและการพาณิชย์ หรือความมั่นคงของประเทศ กปช. อาจสั่งการให้หน่วยงานภาคเอกชนกระทำการหรืองดเว้นกระทำการอย่างใดอย่างหนึ่ง และให้รายงานผลการปฏิบัติการต่อ กปช. ตามที่ กปช. ประกาศกำหนด[19]

4) เพื่อประโยชน์ในการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ ให้พนักงานเจ้าหน้าที่ที่ได้รับมอบหมายเป็นหนังสือจากเลขาธิการ มีอำนาจดังต่อไปนี้

(1) มีหนังสือสอบถามหรือเรียกให้หน่วยงานของรัฐ หรือบุคคลใดๆ มาให้ถ้อยคำ ส่งคำชี้แจงเป็นหนังสือ หรือส่งบัญชี เอกสาร หรือหลักฐานใด ๆ มาเพื่อตรวจสอบหรือให้ข้อมูลเพื่อประโยชน์ในการปฏิบัติการตามพระราชบัญญัตินี้[20]

(2) มีหนังสือขอให้หน่วยงานราชการ หรือหน่วยงานเอกชนดำเนินการเพื่อประโยชน์แห่งการปฏิบัติหน้าที่ของ กปช.[21]

(3) เข้าถึงข้อมูลการติดต่อสื่อสารทั้งทางไปรษณีย์ โทรเลข โทรศัพท์ โทรสาร คอมพิวเตอร์ เครื่องมือหรืออุปกรณ์ในการสื่อสารสื่ออิเล็กทรอนิกส์หรือสื่อทางเทคโนโลยีสารสนเทศใด เพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์

การดำเนินการตาม (3) ให้เป็นไปตามหลักเกณฑ์และเงื่อนไขที่คณะรัฐมนตรีกำหนด [22]

จากบทบัญญัติข้างต้นจะเห็นว่าคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) มีอำนาจมากมาย สามารถสั่งการหรือประสานความร่วมมือกับหน่วยงานภาครัฐและภาคเอกชนเพื่อปฏิบัติให้เป็นไปตามนโยบายหรือแผนปฏิบัติการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือให้ดำเนินการอื่นใดที่จำเป็นต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งในประเทศและต่างประเทศ แต่มีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ ซึ่งอาจเกิดความไม่คล่องแคล่วในการประสานงานกับหน่วยงานอื่นที่ไม่ใช่ฝ่ายบริหาร เช่น หน่วยงานศาล หรือหน่วยงานทหาร ดังนั้นกฎหมายควรกำหนดให้นายกรัฐมนตรีในฐานะผู้นำฝ่ายบริหารเป็นประธานกรรมการมีอำนาจหน้าที่ตามร่างกฎหมายฉบับนี้เพื่อประโยชน์ในการสั่งการและประสานงานกับหน่วยงานอื่นๆ ข้างต้น

ประการต่อมา การที่ร่างกฎหมายไซเบอร์ของไทยให้อำนาจพนักงานเจ้าหน้าที่ที่ได้รับมอบหมายเป็นหนังสือจากเลขาธิการ มีอำนาจ เข้าถึง “ข้อมูลการติดต่อสื่อสาร (traffic data) ทั้งทางไปรษณีย์ โทรเลข โทรศัพท์ โทรสาร คอมพิวเตอร์ เครื่องมือหรืออุปกรณ์ในการสื่อสารสื่ออิเล็กทรอนิกส์หรือสื่อทางเทคโนโลยีสารสนเทศใด เพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์” อาจเป็นการนอกกรอบวัตถุประสงค์ของแนวคิดกฎหมายรักษาความมั่นคงปลอดภัยไซเบอร์ที่มุ่งเน้นสร้างความมั่นคงปลอดภัยของระบบและข้อมูลในโลกไซเบอร์ การตรวจสอบหรือสอดส่องควรจำกัดไว้ในโลกไซเบอร์เท่านั้น การกำหนดให้มีอำนาจเข้าถึงข้อมูลทาง “ไปรษณีย์ โทรเลข โทรศัพท์ โทรสาร” จึงอาจเป็นขัดสิทธิส่วนบุคคลประชาชน

นอกจากนี้ การที่ร่างกฎหมายกำหนดให้พนักงานเจ้าหน้าที่ที่ได้รับการมอบหมายเป็นหนังสือจากเลขา กปช. มีอำนาจเข้าถึงข้อมูลการติดต่อสื่อสารเพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์โดยไม่ต้องมีหมายศาล (warrant) แต่ให้เป็นไปตามหลักเกณฑ์และเงื่อนไขที่คณะรัฐมนตรีกำหนด อาจเป็นการขัดกับสิทธิเสรีภาพของประชาชนในการติดต่อสื่อสารกันโดยเสรีได้

4. บทสรุปและข้อเสนอแนะ

4.1 กลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์ของสหภาพยุโรปมุ่งรักษาความมั่นคงปลอดภัยของระบบและข้อมูลในโลกไซเบอร์ โดยกำหนดให้ประเทศสมาชิกปรับปรุงความสามารถในการรักษาความมั่นคงปลอดภัยไซเบอร์แต่กฎหมายไซเบอร์ของไทยมุ่งรักษาความมั่นคงของรัฐจากการกระทำในโลกไซเบอร์

4.2 กลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์ของสหภาพยุโรปเน้นการปรับปรุงความร่วมมือระหว่างประเทศสมาชิกและระหว่างภาครัฐและเอกชน แต่ร่างกฎหมายไซเบอร์ของไทย แม้จะได้มีการกำหนดในเหตุผลการยกร่างกฎหมาย แต่ในเนื้อหาสาระของกฎหมายยังไม่มีความชัดเจนในประเด็นดังกล่าว

4.3 กลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์ของสหภาพยุโรปกำหนดให้บริษัทที่อยู่ในภาคธุรกิจที่สำคัญ เช่น พลังงานการขนส่ง การธนาคาร และสุขภาพ รวมถึงธุรกิจการให้บริการอินเทอร์เน็ตต้องปฏิบัติการบริหารความเสี่ยงและรายงานเหตุการณ์สำคัญที่เกิดขึ้นทางไซเบอร์แก่หน่วยงานของรัฐ แต่ร่างกฎหมายไซเบอร์ของไทยกำหนดให้หน่วยงานภาคธุรกิจทุกประเภทต้องรายงานเหตุการณ์ทางไซเบอร์ต่อรัฐ

4.4 ร่างกฎหมายไซเบอร์ของไทยให้อำนาจพิเศษแก่ กปช.อย่างมาก กปช. มีอำนาจสั่งการได้หน่วยงานภาครัฐทุกแห่ง แต่มีรัฐมนตรีเป็นประธาน สมควรให้นายกรัฐมนตรีซึ่งเป็นผู้บังคับบัญชาสูงสุดฝ่ายบริหารเป็นประธาน

4.5 ร่างกฎหมายไซเบอร์ของไทยกำหนดอำนาจการเข้าถึงการติดต่อสื่อสารทุกรูปแบบของประชาชน เช่น ไปรษณีย์ โทรเลข ฯลฯ อาจเป็นการนอกกรอบวัตถุประสงค์ของการรักษาความมั่นคงปลอดภัยไซเบอร์และอาจขัดสิทธิส่วนบุคคลของประชาชน

4.6 การให้เจ้าพนักงานเข้าถึงข้อมูลคอมพิวเตอร์ที่เป็นข้อมูลส่วนบุคคลในหน่วยงานเอกชนโดยไม่ต้องขออำนาจศาล (warrant) ควรมีการกำหนดให้กระทำได้เฉพาะกรณีจำเป็นเร่งด่วนและเฉพาะหน่วยงานประเภทที่มีความสำคัญต่อความมั่นคงของชาติเท่านั้น (critical infrastructures) เช่น สนามบิน ธนาคาร ฯลฯ ดังเช่นที่กำหนดไว้ในกฎการรักษาความมั่นคงปลอดภัยแห่งสหภาพยุโรป ทั้งนี้เพื่อไม่ให้เป็นการเพิ่มภาระกับหน่วยงานเอกชนและขัดสิทธิส่วนบุคคลของประชาชน

4.7 ร่างกฎหมายไซเบอร์ของไทยควรมุ่งเน้นในการสร้างความร่วมมือ (cooperation) ระหว่างรัฐ หน่วยงานภาคเอกชน และภาคประชาสังคม ในลักษณะของการกำกับดูแลตนเอง (self-regulation) และการกำกับดูแลร่วมกัน (co-regulation) มากกว่าการใช้ตัวบทกฎหมาย (statutory regulation) ที่เข้มงวดเกินไปอันอาจกระทบถึงสิทธิเสรีภาพของประชาชนในการติดต่อสื่อสาร

Download (PDF, 1016KB)

ชวนร่วมสัมมนาวิชาการ “เวทีสาธารณะ : ตามติดกฎหมายดิจิทัล”

เสาร์ที่ 17 ตุลาคม 2558 เวลา 12.30-17.00 น.
ณ ห้องจิ๊ด เศรษฐบุตร (LT.1) คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์

ดู รายละเอียดงาน

ร่วมตามติดร่างกฎหมายชุดเศรษฐกิจดิจิทัล 3 ฉบับ (ร่างพ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ…., ร่างพ.ร.บ.ว่าด้วยความมั่นคงปลอดภัยไซเบอร์แห่งชาติ พ.ศ…. และ ร่างพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ….) ทั้งความคืบหน้า ทิศทางร่างกฎหมาย และความเปลี่ยนแปลงในร่างกฎหมายฉบับล่าสุด

พร้อมรับฟังสรุปประเด็นสำคัญและข้อสังเกตของร่างกฎหมาย โดยนักวิชาการผู้เชี่ยวชาญ 3 ท่าน ได้แก่ ผศ.สาวตรี สุขศรี คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์, ผศ.กิตติศักดิ์ ปรกติ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ และ รศ.สราวุธ ปิติยาศักดิ์ สาขาวิชานิติศาสตร์ มหาวิทยาลัยสุโขทัยธรรมาธิราช

เอกสารที่เกี่ยวข้อง

• (ร่าง) พ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. (ฉบับที่คณะรัฐมนตรีรับหลักการ)
• สไลด์นำเสนอ “บทวิเคราะห์ร่างพรบ.ว่าด้วยการรักษามั่นคงปลอดภัยไซเบอร์แห่งชาติ พ.ศ…..: เปรียบเทียบกลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์ของสหภาพยุโรป” โดย รศ.สราวุธ ปิติยาศักดิ์
• อย่าเข้าใจผิด จุดประสงค์ กม.มั่นคงไซเบอร์คือความมั่นคงระบบไอที ไม่ใช่ “ความมั่นคงของชาติ”

อ้างอิง

• [1] อาจารย์ประจำสาขาวิชานิติศาสตร์ มหาวิทยาลัยสุโขทัยธรรมาธิราช
• [2] Suchit Leesa-nguansuk. “Thailand at high risk for Cyberattack.” Bangkok Post. 4 Sep 2015. Retrieved 8 Oct. 2015 from:http://www.bangkokpost.com/business/news/680328/thailand-at-high-risk-for-cyberattack
• [3] ศูนย์เทคโนโลยีทางทหาร กรมการทหารสื่อสาร กองทัพบก (Military Technology Center) Retrieved 8 Oct. 2015 from:http://mtc.rta.mi.th
• [4] (ร่าง) พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ ..) พ.ศ. …., (ร่าง) พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ ..) พ.ศ. ….,  (ร่าง) พ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ….,  (ร่าง) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ….,  (ร่าง) พ.ร.บ.ว่าด้วยการส่งเสริมเศรษฐกิจดิจิทัล พ.ศ. ….,  (ร่าง) พ.ร.บ.กองทุนพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม พ.ศ. …., (ร่าง) พ.ร.บ.องค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการวิทยุกระจายเสียง วิทยุโทรทัศน์ และกิจการโทรคมนาคม (ฉบับที่ ..) พ.ศ. …., และ (ร่าง) พ.ร.ฎ.จัดตั้งสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (ฉบับที่ ..) พ.ศ. ….
• [5] ไฟร์วอลล์ขอบเขต หมายถึง ไฟร์วอลล์แบบที่ใช้กันเป็นส่วนใหญ่ ติดตั้งอยู่ในขอบเขตของเครือข่ายภายในและภายนอกซึ่งบทบาทของแยกระหว่างเครือข่ายภายในและภายนอกเพื่อปกป้องเขตแดนของเครือข่ายภายใน
• [6] European Commission. Digital Agenda for Europe: A Europe 2020 Initiative. Network and Information (NIS) Directive. Retrieved 8 October 2015 from:http://ec.europa.eu/digital-agenda/en/news/network-and-information-security-nis-directive
• [7] Ibid.
• [8] Ibid.
• [9] European Commission. Digital Agenda for Europe: A Europe 2020 Initiative. Communication on a Cybersecurity Strategy of the European Union – An Open, Safe and Secure Cyberspace. Retrieved 8 October 2015 from:http://ec.europa.eu/digital-agenda/en/news/communication-cybersecurity-strategy-european-union-%E2%80%93-open-safe-and-secure-cyberspace
• [10] Ibid.
• [11] Ibid.
• [12] Ibid.
• [13] Ibid.
• [14] Ibid.
• [15] European Commission. Digital Agenda for Europe: A Europe 2020 Initiative. Network and Information (NIS) Directive.Note 6.
• [16] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 6
• [17] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 7(8)
• [18] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 34
• [19] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 33
• [20] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 35(1)
• [21] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 35(2)
• [22] ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ของไทย มาตรา 35(3)

Tags: Computer Emergency Response Team, cybersecurity, digital economy, EU Cybersecurity Strategy, EU Network and Information Security Directive, National Competent Authority, National Cybersecurity Bill, National Cybersecurity Committee, National Information Security, Sarawut Pitiyasak, สราวุธ ปิติยาศักดิ์