2016.02.19 06:51
มองย้อนเหตุการณ์สำคัญเกี่ยวกับการสอดแนมในอดีตที่ผ่านมา 3 เหตุการณ์ ได้แก่ “สอดแนม ไลน์” “แฮกกิ้งทีม” และ “ซิงเกิลเกตเวย์” ซึ่งเหตุการณ์เหล่านี้ หากเกิดขึ้นจริงหรือมีการดำเนินการจริง จะส่งผลกระทบต่อสิทธิส่วนบุคคลในการสื่อสาร และอาจนำไปสู่การตั้งคำถามถึงความชอบด้วยกฎหมายของการกระทำดังกล่าว
โดย คณาธิป ทองรวีวงศ์
การสอดแนม และ สิทธิส่วนบุคคล
การสอดส่อง หรือ สอดแนม (Surveillance) ในที่นี้ คือการ เข้าถึงเพื่อทราบหรือเก็บข้อมูลการสื่อสารออนไลน์ หรืออาจเรียกว่า “ดักฟัง” ซึ่งมีนัยแสดงว่าผู้ถูกสอดแนมไม่รู้ตัวถึงการกระทำดังกล่าว
การสอดแนม อาจแบ่งออกเป็น 2 ระดับได้แก่ ระดับแรก การเข้าถึงข้อมูลแวดล้อม เช่น ข้อมูลส่งมาจากไหน ส่งไปที่ใด ใครเป็นผู้ส่งและผู้รับข้อมูล กรณีนี้เทียบได้กับ ข้อมูลจราจรคอมพิวเตอร์ ตาม พ.ร.บ.คอมฯ (ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลาชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น) หรืออาจเรียกว่า “เมทาดาทา” (metadata) ซึ่งหมายถึง “ข้อมูลเกี่ยวกับข้อมูล” (data about data) ระดับที่สอง การเข้าถึงข้อมูลเนื้อหา (content) ก็คือ เนื้อหาสาระของการสื่อสารนั้นๆ การสื่อสารของประชาชนในสื่อออนไลน์ต่างๆ เช่น การสนทนาทางโปรแกรมประยุกต์ไลน์ หรือ การสื่อสารทางเครือข่ายสังคมออนไลน์อื่นๆ โดยทั่วไปแล้ว สิ่งที่ผู้สอดแนมอยากทราบคือ คุยกันว่าอย่างไร คุยกันตอนไหน ใครคุยกับใคร สำหรับ “ใคร” ที่คุยกันอยู่นั้น สามารถระบุตัวในโลกความเป็นจริงว่าอย่างไร ดังนั้นจะเห็นได้ว่า การสอดแนม โดยสภาพเป็นการล่วงล้ำ สิทธิส่วนบุคคลในข้อมูลและการสื่อสารระหว่างบุคคล
ปัญหาในเบื้องต้นก็คือ จะรู้ไปทำไม ? สำหรับการสอดแนมของรัฐนั้น เหตุผลโดยชอบธรรมประการหนึ่งของการสอดแนมของรัฐก็คือ การทำเพื่อบังคับใช้กฎหมาย ปราบปรามการกระทำความผิด แสวงหาหลักฐานในการดำเนินคดีกับอาชญากร เช่น เพื่อให้รู้ว่า อาชญากรติดต่อกันอย่างไร เนื้อหาการติดต่อเกี่ยวข้องกับการทำผิดอย่างไร
อย่างไรก็ตาม การสอดแนมเพื่อการบังคับใช้กฎหมายแบบนี้ อาจสามารถทำได้ ในฐานะ “ข้อยกเว้น” ของสิทธิส่วนบุคคล เพื่อวัตถุประสงค์ที่ชอบด้วยกฎหมาย เช่น การปราบปรามอาชญากรรม ด้วยเหตุนี้ การสอดแนมต้องมีกฎหมายให้อำนาจอย่างชัดเจน กฎหมายนั้นจะต้องมีขอบเขตที่จำกัดและมีวัตถุประสงค์เฉพาะที่สอดคล้องและเป็นไปเพื่อบรรลุผลตามกฎหมายนั้น นอกจากนี้ การสอดแนมที่อาศัยอำนาจตามกฎหมายดังกล่าวก็จะต้องกระทำตามกระบวนการที่กำหนดไว้อย่างเคร่งครัดด้วย
สำหรับการสอดแนมในวงกว้าง ไม่เจาะจงเป้าหมาย ไม่มีเหตุอันควรสงสัย อย่างเช่นการสอดแนมในวงกว้าง เพื่อดูหรือสุ่มไปเรื่อยๆ ว่าใครสนทนาสื่อสารอะไรกันบ้างนั้น เกินขอบเขตและวัตถุประสงค์ของกฎหมาย และหน่วยงานภาครัฐหลายหน่วยก็ออกมาแถลงปฎิเสธหลังจากมีกระแสข่าวถึงแผนการหรือโครงการลักษณะดังกล่าว
ในบทความนี้ ผู้เขียนจะมองย้อนเหตุการณ์สำคัญเกี่ยวกับการสอดแนม ในอดีตที่ผ่านมา 3 เหตุการณ์ ได้แก่ “สอดแนมไลน์” “แฮกกิ้งทีม” และ “ซิงเกิลเกตเวย์” ซึ่งเหตุการณ์เหล่านี้ หากเกิดขึ้นจริงหรือมีการดำเนินการจริง จะส่งผลกระทบต่อสิทธิส่วนบุคคลในการสื่อสาร และอาจนำไปสู่การตั้งคำถามถึงความชอบด้วยกฎหมายของการกระทำดังกล่าว
สอดแนม “ไลน์”
เหตุการณ์
การสอดแนมโปรแกรมแชต “ไลน์” เริ่มอยู่ในความสนใจของสาธารณะตั้งแต่ในช่วงปี 2556 เมื่อทางกองบังคับการปราบปรามการกระทำผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี หรือ ปอท. (Technology Crime Suppression Division หรือ TCSD) แถลงแนวคิดในการสอดส่องการใช้งานไลน์ ด้วยวัตถุประสงค์ “ป้องกันอาชญากรรมทางไซเบอร์” โดยขอข้อมูลรายชื่อผู้ใช้งานและข้อมูลการสนทนาจากผู้ให้บริการโปรแกรมไลน์ จากนั้นก็มีข่าวสืบเนื่องต่อมา เช่น ทางกระทรวงไอซีทีแถลงปฎิเสธว่าไม่ได้ดักข้อมูลการสื่อสารในไลน์ ทางผู้ให้บริการไลน์ก็ออกมายืนยันว่าบริษัทจะไม่เปิดเผยข้อมูลผู้ใช้ โดยหากภาครัฐจะให้เปิดเผยก็ต้องดำเนินกระบวนการตามกฎหมายเช่นนำหมายศาลไปแสดงแก่บริษัทแม่ จะเห็นได้ว่าการสอดแนมไลน์เป็นประเด็นสำคัญมาตลอดปี 2556-2557 อย่างไรก็ตามในช่วงปี 2558 สอดแนมไลน์ก็ได้รับความสนใจน้อยลง อาจเพราะมีเหตุการณ์อื่นที่สร้างปรากฎการณ์ความกังวลต่อสิทธิส่วนบุคคลในวงกว้าง เช่น ซิงเกิลเกตเวย์ ฯลฯ
ประเด็นทางกฎหมาย
การสอดส่องไลน์ก่อให้เกิดและส่งต่อประเด็นทางกฎหมายเหล่านี้ ไปสู่เหตุการณ์ในแนวเดียวกันที่เกิดขึ้นในช่วงปี 2558 เช่น ซิงเกิลเกตเวย์ การขอข้อมูลจากกูเกิล ฯลฯ ประเด็นทางกฎหมายหลักๆ ที่ว่าก็คือ การที่ภาครัฐจะทำการเข้าถึงข้อมูลการสื่อสารออนไลน์ของประชาชน โดยอาจทำการสอดส่องในวงกว้าง (mass surveillance) หรือการสอดแนมแบบเจาะจงการสื่อสารของ “ผู้ต้อสงสัย” รวมไปถึงการ ขอ ข้อมูลผู้ใช้ ทั้งข้อมูลแวดล้อมหรือ metadata และ ข้อมูลเนื้อหาการสื่อสาร (content) นั้นทำได้หรือไม่ บนพื้นฐานของหลักกฎหมายใด
น่าสังเกตว่า ข่าวแนวนี้สะท้อนถึงความพยายามของภาครัฐในการเข้าถึงและสอดส่องการสื่อสารซึ่งอยู่นอกเหนือการควบคุมของกฎหมายภายในโดยตรง เนื่องจากผู้ให้บริการการสื่อสารซึ่งเก็บข้อมูลเหล่านี้ไม่ใช่ผู้ให้บริการภายในประเทศหรือมีฐานข้อมูลอยู่ภายในประเทศ นอกจากนี้กรณีการสื่อสารทางโปรแกรมประยุกต์สำหรับการสนทนาระหว่างบุคคล ยังมีลักษณะแตกต่างจากการสนทนาทางเครือข่ายสังคมที่ผู้ใช้อาจกำหนดให้สื่อสารต่อสาธารณะ เช่น เฟซบุ๊กที่ผู้ใช้เปิดหน้าเพจหรือตั้งค่าความเป็นส่วนตัวให้เผยแพร่ข้อมูลต่อบุคคลทั่วไปได้ แต่สำหรับโปรแกรมสนทนาหรือแอพลิเคชันบางตัวแล้ว โดยสภาพจะมีลักษณะ “ส่วนบุคคล” หรือเป็นการสื่อสารระหว่างบุคคลที่เจาะจงและจำกัดตัว ลักษณะเช่นนี้เองจึงส่งผลให้ความกังวลของประชาชนขยายวงออกไปและเป็นกระแสต่อเนื่องโดยเฉพาะในยุคที่บุคคลจำนวนมากในสังคมไทยสื่อสารระหว่างบุคคลและกลุ่มบุคคลผ่านโปรแกรมประยุกต์ดังกล่าว
“แฮกกิ้งทีม” (Hacking Team)
เหตุการณ์
“Hacking Team” ฟังดูเหมือนเป็นกลุ่มคนที่เป็นแฮกเกอร์ รวมทีมทำอะไรสักอย่าง แต่ในกรณีนี้ “Hacking Team” หมายถึงองค์กรธุรกิจที่พัฒนาเครื่องมือสอดแนม ในเว็บไซต์ขององค์กรนี้ระบุวัตถุประสงค์การทำธุรกิจว่า ให้บริการเครื่องมือเหล่านี้เฉพาะแก่ “หน่วยงานบังคับใช้กฎหมาย” รวมทั้งหน่วยงานของรัฐบาล โดยไม่ขายให้กับเอกชนหรือองค์กรธุรกิจ พูดง่ายๆ ก็คือ ขายเทคโนโลยีสำหรับสอดแนมให้ลูกค้าที่เป็นภาครัฐโดยเฉพาะ หน่วยงานรัฐหลายประเทศได้ใช้บริการขององค์กรนี้
หน่วยงานรัฐจะซื้อไปทำไม ? “Hacking Team” ระบุว่า วัตถุประสงค์ของการพัฒนาผลิตภัณฑ์และการที่ลูกค้านำไปใช้ ก็เพื่อสอดแนมการสื่อสารของอาชญากร ผู้ก่อการร้าย (surveillance of criminal and terrorist communication) “Hacking Team” โฆษณาในเว็บของเขาว่า พวกซอฟต์แวร์สอดแนมเหล่านี้ ลูกค้า (ภาครัฐ) จะไม่นำไปใช้ในวัตถุประสงค์ที่ผิดกฎหมาย โดยจะมีการตกลงในสัญญา (สัญญาซื้อขายซอฟต์แวร์สอดแนมระหว่างหน่วยงานรัฐผู้ซื้อกับองค์กรนี้ ซึ่งรายละเอียดของสัญญาไม่ปรากฎแก่บุคคลทั่วไป)
“Hacking Team” โจมตี “Privacy” ด้วยโดยกล่าวว่า “ความลับของการสื่อสารข้อมูลดิจิทัลปัจจุบันมักทำไปในนามของความเป็นส่วนตัว” ดังนั้น อาชญากร ผู้ก่อการร้าย ก็อาศัยความลับของการสื่อสารนี้ในการกระทำความผิด… ไม่แปลกอะไรที่ “Hacking Team” จะเลือกเอาเฉพาะด้านการใช้ “Privacy” ในทางที่ผิดมาเป็นข้ออ้าง เนื่องจากสินค้าหลักของ “Hacking Team” ก็คือการสอดแนมการสื่อสารโดยเฉพาะการสื่อสารที่เข้ารหัส ซึ่งธุรกิจหลักขององค์กรนี้ก็คือการล่วงล้ำ “Privacy” อยู่แล้ว
ทำไมธุรกิจขององค์กรนี้ถึงเป็นหนึ่งในประเด็นสำคัญด้านสิทธิส่วนบุคคลในปีที่ผ่านมา ทั้งที่องค์กรนี้ก็ดำเนินกิจการมานานแล้ว?
ประเด็นทางกฎหมาย
ประเด็น “Hacking Team” เป็นที่สนใจในประเทศไทย ด้วยเหตุผลคล้ายๆ กรณีสโนว์เดนเปิดโปงโครงการสอดแนมของสหรัฐ นั่นคือการ “แฉ” สำหรับกรณีนี้มีแฮกเกอร์ที่ไม่เปิดเผยตัวเจาะระบบของ “Hacking Team” แล้วปล่อยข้อมูลออกมาจำนวนหนึ่ง ซึ่งรวมถึงข้อมูลเกี่ยวกับลูกค้าที่สั่งซื้อซอฟต์แวร์สอดแนม
รายชื่อหน่วยงานของรัฐหลายประเทศถูก “แฉ” ให้โลกรับรู้ว่า “ซื้ออะไรไป” และทิ้งความสงสัยให้ประชาชนในประเทศเหล่านั้นสงสัยว่า “ซื้อไปทำอะไร”
บทความนี้ไม่ได้มุ่งจะตอบคำถามว่า “หน่วยงานราชการของไทยจะอยู่ในรายชื่อนั้นจริงหรือไม่ ? ถ้าใช่ ซื้อไปทำอะไรบ้าง และจะเอาไปทำอะไรต่ออีก ?” (จากข่าว ทางราชการโดยเฉพาะสำนักงานตำรวจแห่งชาติแถลงว่า “ไม่มีการซื้อมา”) แต่จะชี้ให้เห็นประเด็นทางกฎหมายที่สำคัญจากเหตุการณ์นี้ สองประเด็นก็คือ (1) รัฐสามารถซื้ออุปกรณ์เหล่านี้ได้หรือไม่ (2) รัฐสามารถนำอุปกรณ์ที่ซื้อเหล่านี้ไปทำการ “ดักฟัง” การสื่อสารออนไลน์ได้หรือไม่ อย่างไร
ซิงเกิลเกตเวย์
เหตุการณ์
ซิงเกิลเกตเวย์ (Single Gateway หรือ Single Internet Gateway) เป็นแนวคิดหรือข้อเสนอที่ถูกกล่าวถึงมากที่สุดอันหนึ่งของปี 2558 แม้ต่อมาทางภาครัฐจะยืนยันว่ายังไม่มีการดำเนินการก็ตาม
ซิงเกิลเกตเวย์เป็นการทำให้ทางเข้าออกของข้อมูลที่เชื่อมเครือข่ายต่างประเทศกับไทยเหลือแค่จุดที่กำหนดไว้จุดเดียว จากที่ในปัจจุบันมีหลายทางเข้าออก
ซิงเกิลเกตเวย์มีลักษณะพิเศษต่างจากเหตุการณ์อื่นๆ เนื่องจากการมีซิงเกลเกตเวย์เพียงอย่างเดียวยังไม่ส่งผลกระทบต่อสิทธิส่วนบุคคล แต่การมีซิงเกลเกตเวย์สามารถเป็นบันไดขั้นต้นอันจะนำไปสู่มาตรการอีกหลายรูปแบบที่กระทบสิทธิส่วนบุคคลและเสรีภาพในการสื่อสาร เช่น การดักรับ ตรวจสอบ และปิดกั้นข้อมูล แนวคิดนี้จึงถูกเปรียบเทียบกับ “The Great Firewall” ของประเทศจีน
ลักษณะของซิงเกิลเกตเวย์ที่อาจนำไปสู่มาตรการน่ากังวลหลายอย่างนี้ ทำให้เกิดกระแสต่อต้านคัดค้านจากหลายภาคส่วนของสังคมไทยอย่างกว้างขวาง จนคำว่า “ซิงเกิลเกตเวย์” ถูกกล่าวถึงในแทบจะทุกวงสนทนาของสังคมไทย
ประเด็นทางกฎหมาย
ในบทความนี้ ผู้เขียนจำแนกประเด็นทางกฎหมายของกรณีซิงเกิลเกตเวย์ เป็นสองมิติ ได้แก่
มิติแรก การที่ไทยเราปรับเปลี่ยนจากเดิมที่เคยเป็นเกตเวย์เดียว มาเป็นหลายเกตเวย์ มีพื้นฐานแนวคิดที่มาจากการค้าเสรี (free trade) ซึ่งในระบบการค้าเสรี จะมีผู้ขายหลายราย ทำให้ผู้ซื้อมีทางเลือกหลายทาง โดยนัยนี้ผู้ให้บริการอินเทอร์เน็ตภายในประเทศก็สามารถเลือกเกตเวย์ต่างๆ ตามที่ตนประสงค์ ส่งผลให้ผู้ใช้บริการมีทางเลือกมากขึ้นตามไปด้วย การกำหนดให้มีเกตเวย์เดียวส่งผลในแง่จำกัดทางเลือก สวนทางกับแนวคิดเศรษฐกิจและการค้าเสรี ประเด็นปัญหากฎหมายในมิตินี้จะเกี่ยวข้องกับการแข่งขันทางการค้า การผูกขาด ฯลฯ ซึ่งเป็นอีกมิติหนึ่ง และไม่อยู่ในขอบเขตของบทความนี้ที่จะกล่าวเฉพาะในมิติกฎหมายสิทธิส่วนบุคคลจากการสอดแนม
มิติที่สอง ความกังวลต่อ “สอดแนม” หรือการ ดักรับข้อมูลการสื่อสารทางอินเทอร์เน็ต ซึ่งในแง่นี้กระทบต่อสิทธิส่วนบุคคลโดยตรง และนำไปสู่ประเด็นต่อไปว่า รัฐสามารถดักฟังการสื่อสารของประชาชนได้หรือไม่ เพียงใด ?
ประเด็นทางกฎหมายสิทธิส่วนบุคคลจากเหตุการณ์ทั้งสาม: วงจรสอดแนม
จากเหตุการณ์สำคัญในอดีตที่ผ่านมา แม้ว่ามีชื่อเรียก แตกต่างกันไป มีสีสัน ความร้อนแรง ความน่าตระหนก แตกต่างกันไป แต่ในแง่สิทธิส่วนบุคคลแล้ว ผู้เขียนเห็นว่า เหตุการณ์ทั้งสามที่ยกตัวอย่างมานี้ มี “จุดร่วม” ที่แสดงนัยถึงประเด็นทางกฎหมายคล้ายคลึงกันอันเป็นประเด็นที่ส่งต่อไปยังเหตุการณ์อื่นๆ ที่จะตามมาในอนาคตได้อีก ประเด็นเหล่านั้นมี 3 ประเด็นหลักคือ
- การจัดซื้อ การพัฒนา อุปกรณ์หรือเครื่องมือสำหรับดักรับข้อมูลการสื่อสาร: รัฐซื้อหา “อุปกรณ์” ในการสอดแนม ได้หรือไม่ ?
- การดักรับข้อมูล หรือการสอดแนม: หน่วยงานของรัฐสอดแนมหรือดักรับข้อมูลการสื่อสารได้หรือไม่
- การขอข้อมูลการสื่อสาร: หากหน่วยงานของรัฐไม่ทำการเข้าถึงข้อมูลการสื่อสารเอง แต่ใช้วิธี “ขอ” ข้อมูลจากผู้ให้บริการ จะทำได้หรือไม่
เหตุการณ์ต่างๆ อันแสดงถึงประเด็นทั้งสาม สะท้อนภาพ “วงจรสอดแนม” ที่รัฐพยายามดำเนินการอยู่ และคาดว่าจะดำเนินการต่อไป ดังสรุปได้ตามแผนภาพนี้
ประเด็นแรก: การจัดซื้อ การพัฒนา อุปกรณ์หรือเครื่องมือสำหรับดักรับข้อมูลการสื่อสาร
คำถามหลักของประเด็นนี้คือ การจัดซื้อจัดจ้างอุปกรณ์ที่ใช้ในการสอดแนมการสื่อสารโดยภาครัฐนั้น สามารถทำได้หรือไม่?
เหตุการณ์ “Hacking Team” รวมทั้งเหตุการณ์ต่อเนื่องที่ตามมา เช่นข่าวการติดต่อรับฟังการสาธิตอุปกรณ์การดักฟังของเจ้าหน้าที่บางหน่วยงาน หรือการจัดซื้อจัดจ้างซอฟต์แวร์เก็บข้อมูลการสื่อสารออนไลน์ สะท้อนถึงประเด็นนี้
ในแง่หนึ่ง ซอฟต์แวร์ที่สามารถสอดส่องและควบคุมอุปกรณ์ของผู้อื่นนั้นมีลักษณะเป็น “มัลแวร์” ที่มาฝังตัวในคอมพิวเตอร์ ในแง่นี้พ.ร.บ.คอมฯ ของไทยไม่ได้กำหนดความผิดสำหรับการพัฒนา การครอบครอง หรือการจำหน่ายมัลแวร์ มัลแวร์ไม่ใช่ของที่มีไว้และผิดกฎหมายด้วยตัวของมัน แต่กฎหมายจะเข้ามาเอาผิดในขั้นตอนที่นำมัลแวร์เหล่านี้ไปใช้
ในอีกแง่หนึ่ง หากโลกทางกายภาพทำสงครามด้วยปืนจรวด สงครามไซเบอร์ก็อาศัยซอฟต์แวร์ในการโจมตี จึงอาจมองว่าซอฟต์แวร์เหล่านี้เป็น “อาวุธ” (arms, weapon) ได้ น่าคิดต่อไปว่าซอฟต์แวร์หรืออุปกรณ์ดักรับข้อมูลนั้น จะเป็นอาวุธตามนัยของสนธิสัญญาหรือข้อตกลงระหว่างประเทศด้วยหรือไม่ สำหรับประเทศไทย การพิจารณาว่าเป็น “อาวุธ” หรือไม่นั้นต้องดูกฎหมายเช่น พ.ร.บ.ควบคุมยุทธภัณฑ์ พ.ศ. 2530 ซึ่งตามประกาศกระทรวงกลาโหมจะกำหนดรายละเอียดว่าอาวุธชนิดใดเป็น “ยุทธภัณฑ์” ซึ่งต้องถูกควบคุมตามกฎหมายนี้ แต่โดยมากแล้วจะเกี่ยวข้องกับอาวุธในลักษณะทางกายภาพมากกว่าซอฟต์แวร์ แต่ก็ยังมีปัญหาว่าจะตีความเป็น “เครื่องมือสื่อสารและอุปกรณ์อิเล็กทรอนิกส์ทางทหาร” ได้หรือไม่
ข้อสังเกต: ร่างพ.ร.บ.คอมฯ ฉบับใหม่ กำหนดความผิดสำหรับการ “จำหน่ายหรือเผยแพร่ชุดคำสั่งที่ทำขึ้นเพื่อนำไปใช้เป็นเครื่องมือกระทำผิดในการดักรับข้อมูล” หากกฎหมายใหม่มีผลบังคับโดยมีองค์ประกอบความผิดนี้ ผู้จำหน่ายหรือเผยแพร่อุปกรณ์ดักรับข้อมูลก็มีความผิดด้วย อย่างไรก็ตาม การกระทำของภาครัฐก็อาจไม่เป็นความผิดอยู่นั่นเองถ้ามีกฎหมายให้อำนาจกระทำได้
ประเด็นที่สอง: การดักรับข้อมูลหรือการสอดแนม
คำถามหลักของประเด็นนี้คือ หากหน่วยงานของรัฐจัดซื้อหรือพัฒนาซอฟต์แวร์/อุปกรณ์การสอดแนมมาแล้ว จะนำมาใช้ได้หรือไม่ ?
ในประเด็นนี้ผู้เขียนขอจำแนกการสอดแนมเป็นสองกรณี เนื่องจากมีผลทางกฎหมายต่างกัน
กรณีแรก การสอดแนมแบบมีเป้าหมายเฉพาะ (targeted surveillance) การสอดแนมแบบนี้ กระทำไปโดยเจาะจง สำหรับบุคคลถูกสงสัยว่าจะกระทำผิดอะไร และตามหลักจะต้องมีการขอหมายศาลเพื่อการสอดแนมลักษณะนี้ จะเห็นได้ว่า แม้จะกระทบต่อสิทธิส่วนบุคคลในการสื่อสาร แต่อย่างน้อยที่สุดการสอดแนมแบบนี้ก็มีกระบวนการที่ชัดเจนและมีการตรวจสอบถ่วงดุล อีกทั้งยังมีหลักฐานให้ทราบได้ว่า “ใคร” สอดแนม “ใคร”
ในกรณีของประเทศไทย มีกฎหมายหลายฉบับที่ให้อำนาจเจ้าพนักงานของรัฐในการ “สอดแนม” หรือที่กฎหมายใช้คำว่า “ได้มาซึ่งข้อมูล…” ในกรณีของการสอดแนมแบบมีเป้าหมายเฉพาะ เช่น พระราชบัญญัติการสอบสวนคดีพิเศษ พ.ศ. 2547 มาตรา 25 พระราชบัญญัติป้องกันและปราบปรามยาเสพติด พ.ศ. 2519 มีหลักการที่ให้อำนาจเจ้าพนักงานได้มาซึ่งข้อมูลข่าวสารที่ถูกใช้หรืออาจถูกใช้เพื่อประโยชน์ในการกระทำความผิดเกี่ยวกับยาเสพติด ทั้งนี้ภายใต้เงื่อนไขที่กำหนดในมาตรา 14 จัตวา พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542ให้อำนาจเจ้าพนักงานที่เลขาธิการคณะกรรมการป้องกันและปราบปรามการฟอกเงินมอบหมายเป็นหนังสือ มีอำนาจเข้าถึงบัญชี ข้อมูลการสื่อสาร ข้อมูลคอมพิวเตอร์ แต่ต้องยื่นคำขออนุญาตจากศาลก่อน ตามมาตรา 46 พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 มาตรา 18 (6) ให้อำนาจเจ้าพนักงานในการ “ตรวจสอบหรือเข้าถึงระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์หรืออุปกรณ์ที่ใช้เก็บข้อมูลคอมพิวเตอร์ของบุคคลใด อันเป็นหลักฐานหรืออาจใช้เป็นหลักฐานเกี่ยวกับการกระทำความผิด หรือเพื่อสืบสวนหาตัวผู้กระทำความผิด…” โดยมาตรา 19 กำหนดเงื่อนไขให้พนักงานเจ้าหน้าที่ยื่นคำร้องต่อศาลที่มีเขตอำนาจเพื่อมีคำสั่งอนุญาต
กรณีที่สอง การสอดแนมในวงกว้าง (mass surveillance) เป็นการตรวจสอบการสื่อสารของประชาชนทั่วไป ทั้งที่ไม่มีส่วนเกี่ยวข้อง ไม่เหตุอันควรสงสัยว่ามีส่วนเกี่ยวพันกับความผิดใด และโดยสภาพแล้วไม่มีการขอหมายศาลสำหรับการกระทำแบบนี้ เพราะไม่มีกฎหมายกำหนดให้อำนาจทำได้ จึงไม่มีการกำหนดกระบวนการว่าต้องทำตามขั้นตอนอย่างไร หากเทียบกับกรณีต่างประเทศ ในปี 2558 ศาลสหรัฐอเมริกาตัดสินว่าการที่สำนักงานความมั่นคงแห่งชาติหรือ NSA ของสหรัฐเก็บข้อมูลประวัติการใช้งานโทรศัพท์ของประชาชนโดยทั่วไปในวงกว้าง เป็นการกระทำที่มิชอบด้วยกฎหมาย (แม้ว่าจะเป็นการเก็บเฉพาะเมทาดาทา คือรายละเอียดการสื่อสาร เช่น ใครโทรหาใคร วันเวลาที่โทร แต่ไม่ได้เก็บ “เนื้อหา” การสนทนา ก็ตาม)
ตามพ.ร.บ.คอมฯ ปัจจุบัน การสอดแนมหรือดักรับข้อมูลการสื่อสารออนไลน์นั้น โดยหลักจะเป็นความผิดตามกฎหมาย เนื่องจาก มาตรา 8 กำหนดไว้ชัดเจนว่า “ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้ ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ”
จะเห็นได้ว่าการพัฒนา/ซื้ออุปกรณ์ดักรับข้อมูลนั้นยังไม่ผิด แต่หากมีการดักรับแล้ว จะเข้าข่ายความผิดตามกฎหมาย แต่องค์ประกอบสำคัญคือ “โดยมิชอบ” ดังนั้น หากเป็นการสอดแนมโดยเฉพาะเจาะจง ที่ทำตามกระบวนการขั้นตอนที่กฎหมายกำหนดไว้เฉพาะดังกล่าวข้างต้น เป็นกรณีที่สามารถทำได้ตามกฎหมาย หรือ “lawful interception” จึงเป็นการกระทำ “โดยชอบ” ตามนัยมาตรา 8 แต่สำหรับการสอดแนมในวงกว้าง (mass surveillance) โดยไม่มีกฎหมายให้อำนาจ ก็เป็นการยากที่จะหากฎหมาย (กฎหมายปกติโดยทั่วไปในปัจจุบัน) มารองรับการกระทำดังกล่าว หรือแม้แต่กรณีที่มีกฎหมายให้อำนาจไว้ หากกระทำที่เกินขอบเขต หรือ ลัดขั้นตอนตามกระบวนการที่กฎหมายกำหนดไว้ ก็ไม่ใช่ “lawful interception”
นอกจากนี้ ข้อจำกัดของมาตรา 8 คือ คุ้มครองเฉพาะการสื่อสารออนไลน์ที่เป็นส่วนตัว ดังเช่น การสอดแนมโปรแกรมประยุกต์เพื่อการสนทนาระหว่างบุคคลอย่าง ไลน์ แต่หากเป็นการสื่อสารต่อสาธารณะ ก็ไม่ถือว่า “ดักรับข้อมูล” ดังนั้น ดังนั้น การเก็บข้อมูลการสื่อสารทางเว็บบอร์ดสาธารณะ เครือข่ายสังคมที่ตั้งค่าสาธารณะ จึงไม่อยู่ในขอบเขตความผิดมาตรานี้
ประเด็นที่สาม: การขอข้อมูลการสื่อสาร
คำถามหลักของประเด็นนี้คือ หากหน่วยงานของรัฐไม่ทำการเข้าถึงข้อมูลการสื่อสารเอง แต่ใช้วิธี “ขอ” ข้อมูลจากผู้ให้บริการ จะทำได้หรือไม่ ?
ตาม พ.ร.บ.คอมฯ ของไทย ข้อมูลแวดล้อมที่เกี่ยวกับการสื่อสาร หรือข้อมูลจราจรคอมพิวเตอร์นั้น ผู้ให้บริการแอปพลิเคชันต่างๆ จะอยู่ในความหมายของ “ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น” จึงมีหน้าที่เก็บรักษาข้อมูล เช่น รหัสประจำตัวผู้ใช้ หรือข้อมูลที่สามารถระบุตัวผู้ใช้บริการได้ หรือ User ID และอีเมลของผู้ใช้บริการ บันทึกข้อมูลการใช้บริการ ข้อมูลของผู้โพสต์ข้อมูล เป็นต้น โดยเจ้าพนักงานมีอำนาจสั่งผู้ให้บริการให้ส่งมอบข้อมูลดังกล่าวได้ (มาตรา 26 และ มาตรา 18) ในส่วนข้อมูลเนื้อหาการสื่อสารนั้น กฎหมายให้อำนาจเจ้าพนักงานสั่งให้ผู้ครอบครองข้อมูลดังกล่าวส่งมอบให้เจ้าพนักงานได้ แต่ต้องอยู่ในเงื่อนไขและขั้นตอนกระบวนการ เช่น การขอคำสั่งศาลด้วย (มาตรา 19)
แต่ทั้งนี้ พ.ร.บ.คอมฯ คือกฎหมายไทย ในขณะที่ผู้ให้บริการเก็บข้อมูลการสื่อสารโดยเฉพาะแอปพลิเคชันหรือโซเชียลมีเดียต่างๆ ที่คนไทยใช้กันอยู่ส่วนใหญ่ทุกวันนี้ ดำเนินการโดยผู้ให้บริการที่อยู่ต่างประเทศและมีฐานข้อมูลอยู่ต่างประเทศ คำสั่งของเจ้าพนักงานหรือแม้แต่คำสั่งศาลไทยไม่สามารถบังคับกับผู้ให้บริการต่างประเทศเหล่านี้โดยตรงได้ จึงต้องอาศัยกระบวนการตามข้อตกลงระหว่างประเทศ ตัวอย่างเช่น หากจะขอข้อมูลจากผู้ให้บริการสหรัฐอเมริกา รัฐบาลไทยก็ต้องดำเนินการตามความตกลงหรือมีสนธิสัญญาความร่วมมือทางอาญา (Mutual Legal Assistance Treaty หรือ MLAT) ซึ่งเป็นการตกลงและเจรจาระหว่างรัฐบาลประเทศที่ขอข้อมูลกับรัฐบาลสหรัฐ จึงเป็นเหตุให้ปรากฎข่าวหน่วยงานของรัฐไทย เจรจา “ขอ” ข้อมูลการสื่อสารจากผู้ให้บริการต่างประเทศอยู่บ่อยครั้ง และผู้ให้บริการหลายรายออกมาให้ข่าวปฎิเสธ อ้างว่าหากจะให้ข้อมูลก็ต้องทำตามคำสั่งศาลของประเทศนั้นๆ
ดังนั้น เมื่อรัฐประสงค์จะล่วงรู้ข้อมูลการสื่อสารออนไลน์ของประชาชน หากไม่สามารถดำเนินการเองได้ ก็ปรากฏความพยายามในการ “ขอ” ข้อมูลจากผู้ให้บริการต่างประเทศ ซึ่งโดยหลักแล้วเป็นการกระทบสิทธิส่วนบุคคลในข้อมูล สำหรับการขอข้อมูลที่เกี่ยวข้องกับการสื่อสารที่เมื่อนำมาประกอบรวมกันแล้วสามารถบ่งระบุตัวคนสื่อสารได้ นั้นนอกจากส่งผลกระทบสิทธิส่วนบุคคลของผู้สื่อสารข้อมูลแล้ว ยังกระทบสิทธิในการสื่อสารข้อมูลโดยนิรนาม ซึ่งเป็นส่วนหนึ่งที่สนับสนุนเสรีภาพในการแสดงความเห็นอีกด้วย อย่างไรก็ตาม รัฐอาจจำกัดสิทธิส่วนบุคคลนี้ได้หากมีน้ำหนักในการคุ้มครองประโยชน์อื่น เช่น เพื่อการบังคับใช้กฎหมายปราบปรามอาชญากรรม แต่แม้เป็นเช่นนั้นรัฐก็จะต้องดำเนินการให้สอดคล้องและถูกต้องกับกระบวนการตามกฎหมายทั้งของไทยและความตกลงระหว่างประเทศด้วย ในแง่ของผู้ให้บริการนั้น หากเปิดเผยข้อมูลตามคำขอของรัฐใดๆ ก็ตามที่ขอเข้ามา โดยไม่ดำเนินการให้สอดคล้องกับกฎหมายแล้ว ผู้ให้บริการรายนั้นอาจทำผิดข้อตกลงกับผู้ใช้บริการในการรักษาความเป็นส่วนตัว รวมทั้งเกิดผลกระทบต่อความเชื่อมั่นของผู้ใช้บริการด้วย
ย้อนอดีต มองปัจจุบัน และอนาคต “สิทธิส่วนบุคคลและการสอดแนม”
จากเหตุการณ์ที่ผ่านมาในอดีต ผู้เขียนเห็นว่าล้วนแต่ส่งต่อ “ประเด็นเดิมๆ” สู่ผลกระทบต่อสิทธิส่วนบุคคลในการสื่อสารของสังคมไทย นั่นคือ การจัดหาอุปกรณ์สอดแนม และความชอบด้วยกฎหมายของการสอดแนมเหล่านั้น และคำร้องขอข้อมูลจากผู้ให้บริการ หากรัฐไม่ได้ดำเนินการสอดแนมเองโดยตรง
ผู้เขียนมองว่าเหตุการณ์ที่จะเกิดขึ้นในปี 2559 หรือต่อไป จะยังอยู่กรอบแนวคิดเดิมๆ และประเด็นที่กล่าวมาเหล่านี้
ผู้เขียนขอหยิบยกเหตุการณ์ที่เกิดขึ้นช่วงต้นปี 2559 มาวิเคราะห์ 2 เหตุการณ์ ดังนี้
รัฐเรียกร้องให้กูเกิล “เปิดเผยข้อมูล” แสดงรายละเอียดของผู้ใช้งาน
จากข่าวว่าภาครัฐเจรจาให้ตัวแทนกูเกิลนำข้อมูลที่ผิดกฎหมายออกจากระบบนั้น นำไปสู่ข้อน่าสังเกตเกี่ยวกับประเด็นที่เกี่ยวเนื่องกัน นั่นคือ เมื่อมีข้อมูลบางอย่างที่ขัดต่อกฎหมายภายในประเทศ นอกจากรัฐจะพยายามเรียกร้องให้กูเกิล “ลบ” เนื้อหานั้นแล้ว ยังประสงค์ที่จะ “จัดการ” กับคนที่เผยแพร่เนื้อหาดังกล่าว โดยในขั้นแรกจะต้อง “ทราบ” ว่าใครเป็นผู้สื่อสารข้อมูลนั้น ซึ่งสะท้อนให้เห็นจากคำขอจากรัฐประเทศต่างๆ ที่ขอให้กูเกิลส่งข้อมูลผู้ใช้ (ข้อมูลแวดล้อมหรือข้อมูลที่บ่งระบุว่าใครเกี่ยวข้องกับข้อมูลนั้น เช่น ใช้ที่อยู่ไอพีอะไรในการส่งข้อมูลเข้าระบบ) สำหรับประเทศไทย รายงานของกูเกิลเผยแพร่ว่ามีการ “ขอข้อมูล” ในช่วงครึ่งแรกของปี 2558 ประมาณ 8 คำขอ รายงานนี้แสดงถึงการ “ขอข้อมูลการสื่อสาร” จากผู้ให้บริการที่อยู่ต่างประเทศ ซึ่งเกิดขึ้นแล้วในอดีตและคงจะเกิดขึ้นอีกในอนาคต ไม่เฉพาะรัฐไทยแต่รัฐอีกหลายประเทศก็มีความพยายามเช่นนี้
กระบวนการทางกฎหมายในการที่หน่วยงานของรัฐจะขอข้อมูลผู้ใช้งานกูเกิลนั้น อาจแบ่งได้สองกรณี คือ กรณีรัฐบาลสหรัฐ และกรณีรัฐบาลประเทศอื่น
กรณีแรก ผู้ขอข้อมูลเป็นหน่วยงานรัฐในสหรัฐอเมริกา การขอข้อมูลผู้ใช้งานผลิตภัณฑ์ต่างๆ ของกูเกิล เช่น Gmail, YouTube, Blogger นั้นถ้าเป็นกรณีตามกฎหมายสหรัฐอเมริกา ก็จะต้องทำตามขั้นตอนที่กำหนดในกฎหมาย “Electronic Communications Privacy Act” หรือ ECPA ซึ่งไม่ใช่อยู่ดีๆ เจ้าหน้าที่รัฐจะ “ขอ” ให้ส่งข้อมูลผู้ใช้งานได้ แต่ต้องดำเนินกระบวนการและออกเอกสารเป็นทางการตามกฎหมายส่งให้กูเกิล
เอกสารขอข้อมูลเหล่านั้นมีหลายชนิดได้แก่ subpoena, court order, และ search warrant โดยเอกสารแต่ละตัวมีอำนาจในการขอข้อมูลในระดับแตกต่างกันไป เช่น คำสั่งศาล หรือ “court order” ซึ่งต้องให้ศาลพิจารณาก่อน มีระดับการขอข้อมูลได้มากกว่า “subpoena” ซึ่งหน่วยงานรัฐออกได้เองโดยไม่ต้องขอศาล
ตัวอย่างเช่นกรณีการขอข้อมูลอีเมล หากมี “court order” ก็จะครอบคลุมข้อมูลที่อยู่ไอพีที่ใช้ส่งอีเมลนั้น วันเวลาในการส่ง ส่งมาจากไหน ส่งไปที่ใด และข้อมูลอื่นที่ไม่เกี่ยวกับ “เนื้อหา” (content)
การขอข้อมูลผู้ใช้งานที่มากไปกว่าข้อมูลบริบทแวดล้อม นั่นคือครอบคลุม “เนื้อหา” ด้วย จะต้องใช้ “search warrant”
การจะได้ “search warrant” มาต้องขออนุญาตศาลเช่นกัน แต่เจ้าหน้าที่มีภาระพิสูจน์มากกว่าการขอ “court order” กล่าวคือ ต้องพิสูจน์ให้เห็นเหตุอันควรเชื่อว่าข้อมูลเกี่ยวกับอาชญากรรมใดอยู่ที่เป้าหมายอันต้องการ “ค้น” เช่น ในบัญชีผู้ใช้งานอีเมลนี้มีเหตุต้องสงสัยถึงการประกอบอาชญากรรมอะไร เป็นต้น
กรณียูทูบ ถ้าเจ้าหน้าที่มี “subpoena” จะขอข้อมูลผู้สมัครใช้งานได้ ถ้ามี “court order” จะขอที่อยู่ไอพีที่อัปโหลดวีดีโอที่พิพาทนั้นเพิ่มมาได้ และถ้ามี “court warrant” จะขอได้ถึงข้อมูล “private video” และ “private message” เป็นต้น
กรณีที่สอง ผู้ขอข้อมูลเป็นหน่วยงานรัฐในประเทศอื่นๆ ที่กล่าวมาเป็นกรณีกฎหมายสหรัฐซึ่งสามารถบังคับกับกูเกิลได้โดยตรง แต่ถ้าหากเป็นกรณี รัฐบาลประเทศอื่น ที่ต้องการขอให้กูเกิลส่งข้อมูลเกี่ยวกับผู้ใช้งานมาให้นั้น ก็ต้องดำเนินการตามขั้นตอนในลักษณะอื่น เช่น ความตกลงหรือมีสนธิสัญญาความร่วมมือทางอาญา (Mutual Legal Assistance Treaties หรือ MLATs) ซึ่งเป็นการตกลงและเจรจาระหว่างรัฐบาลประเทศที่ขอข้อมูลกับรัฐบาลสหรัฐ
เนื่องจากเป็นความตกลงระหว่างประเทศ ไม่ใช่การบังคับใช้กฎหมายภายในกับกูเกิลโดยตรงเหมือนอย่างกรณีรัฐบาลสหรัฐบังคับใช้กฎหมาย ECPA กับกูเกิล ดังนั้น รัฐบาลประเทศอื่นนอกจากสหรัฐที่ประสงค์ขอข้อมูลผู้ใช้งานจากกุเกิล ก็จะต้องดำเนินการตามขั้นตอนภายใต้กรอบสนธิสัญญาดังกล่าว สำหรับประเทศไทยก็ได้ตกลงกับสหรัฐตามสนธิสัญญาดังกล่าว และมีพระราชบัญญัติความร่วมมือระหว่างประเทศในเรื่องทางอาญา พ.ศ. 2535 เป็นกรอบทางกฎหมายภายในรองรับ พระราชบัญญัติฉบับนี้กำหนดให้สำนักงานอัยการสูงสุดเป็นผู้ประสานงานกลางซึ่ง มีอำนาจในการพิจารณาขอและให้ความร่วมมือทางอาญาระหว่างไทยกับต่างประเทศ ดังนั้นหากรัฐบาลไทยจะขอข้อมูลจากกูเกิลก็ต้องดำเนินการตามขั้นตอนของกฎหมาย
ด้วยเหตุนี้ หากมีรัฐบาลประเทศหนึ่งเชิญให้ตัวแทนกูเกิลมาเพื่อ “ขอ” ข้อมูลผู้ใช้งานที่โพสต์เนื้อหาผิดกฎหมายของประเทศนั้น โดยการขอความร่วมมือ อ้างสัมพันธภาพอันดี อะไรก็แล้วแต่ ก็ไม่ใช่การดำเนินการตามกระบวนการขั้นตอนอย่างถูกต้อง กูเกิลสามารถปฎิเสธได้ และก็ควรจะปฎิเสธด้วยเพื่อเป็นการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งานกูเกิลให้เกิดความมั่นใจว่าจะไม่เปิดเผยข้อมูลส่วนบุคคลให้รัฐบาลไหนก็ตามที่อยู่ดีๆ ก็มาขอข้อมูลโดยไม่ดำเนินการตามขั้นตอนของกฎหมาย
จากข่าว: “ปอท.จัดซื้อระบบติดตามข้อมูลสังคมออนไลน์อัตโนมัติ เก็บข้อมูลการใช้เฟซบุ๊ก ทวิตเตอร์ พันทิป”
กรณีนี้เกิดขึ้นโดยเปิดเผยผ่านทางเอกสารประกวดราคาจัดซื้อจัดจ้าง “ครุภัณฑ์” สิ่งที่ภาครัฐประสงค์จัดซื้อจัดจ้างจากภาคเอกชนคือ “พัฒนาระบบติดตามข้อมูลสังคมออนไลน์อัตโนมัติ” เนื้อหาหลักก็คือ ระบบที่ทำการติดตามและจัดเก็บข้อมูล ในกรณีเฟซบุ๊ก ข้อมูลที่ระบบต้องสามารถติดตามและจัดเก็บ เช่น ข้อความที่โพสต์ วันเวลาที่โพสต์ ลิงก์ รูปภาพ วิดีโอที่โพสต์ ข้อความความเห็น ข้อมูลการแชร์ จำนวนการกดไลก์ จะเห็นว่าครอบคลุมทั้งเนื้อหาการสื่อสารโดยตรงและข้อมูลแวดล้อมด้วย
หากนำเหตุการณ์นี้มาพิจารณาตามประเด็นทางกฎหมายที่ยกขึ้นมาข้างต้น จะพบว่า
1. ไม่มีกฎหมายห้ามการจัดซื้อจัดจ้าง จ้างที่ปรึกษา ฯลฯ ของหน่วยงานรัฐ สำหรับอุปกรณ์ ซอฟต์แวร์ ที่เก็บข้อมูลหรือสอดแนมการสื่อสาร
2. จากเอกสารระบุคุณสมบัติของระบบ จะมุ่งเก็บข้อมูลที่เปิดเผยต่อสาธารณะ เช่น กรณีเฟซบุ๊ก จะเก็บ “จากหน้าไทม์ไลน์ที่เปิดสาธารณะ” กรณีเว็บบอร์ด จะเก็บที่อยู่กระทู้ (url) หัวข้อ ชื่อบัญชีผู้ใช้ วันเวลาตั้งกระทู้ ซึ่งทั้งหมดเปิดเผยต่อสาธารณะอยู่แล้ว จึงไม่เข้าข่ายการดักรับข้อมูลที่ขัดต่อพ.ร.บ.คอมฯ
อย่างไรก็ตาม หากจะล้วงลึกต่อไปถึงว่าหมายเลขบัตรประชาชนอะไรที่ลงทะเบียนใช้บัญชีชื่อนั้น ก็ไม่ใช่ข้อมูลที่ปรากฏต่อสาธารณะแล้ว หรือหากเข้าไปถึงข้อความสนทนาระหว่างบุคคลในเฟซบุ๊ก ประเด็นก็จะคล้ายคลึงกับการดักฟังไลน์ นั่นคือเกินขอบเขตของ “ข้อมูลที่เผยแพร่ต่อสาธารณะ” หากจะทำก็ต้องอาศัยอำนาจตามกฎหมายเฉพาะและดำเนินการตามกระบวนการของกฎหมายอย่างถูกต้องด้วย
จากตัวอย่างเหตุการณ์ที่ยกมานี้ แม้ว่าเป็นเรื่องราวใหม่ เหตุการณ์ใหม่ แต่เนื้อแท้แล้วก็ยังเป็นประเด็นทางกฎหมายเดิมๆ นั่นคือ การจัดซื้อจัดจ้างเพื่อได้มาซึ่งอุปกรณ์ตรวจสอบการสื่อสาร และ การใช้อุปกรณ์ดังกล่าวเพื่อทราบข้อมูลการสื่อสาร สำหรับเหตุการณ์ใหม่ที่จะเกิดขึ้นหลังจากนี้ ก็คงเป็นเช่นกัน
ในแง่สิทธิส่วนบุคคลแล้ว สิ่งที่น่ากังวลสำหรับการดำเนินการของภาครัฐในลักษณะนี้ก็คือ คำถามที่ว่า “การสอดแนมนั้นๆ มีกฎหมายให้อำนาจหรือไม่ การกระทำนั้นๆ เกินขอบเขตและขั้นตอนของกฎหมายนั้นหรือไม่ รวมทั้ง กฎหมายเหล่านั้นให้น้ำหนักกับผลประโยชน์อื่นๆ มากเกินกว่าสิทธิส่วนบุคคลของประชาชนหรือไม่
เหตุการณ์ต่างๆ ที่ผ่านมาและจะมีขึ้น ล้วนสะท้อนความพยายามของรัฐในการล่วงรู้รายละเอียดการสื่อสาร ระบุตัวตนคนสื่อสาร ซึ่งมาพร้อมกับเหตุผล “การบังคับใช้กฎหมาย ป้องกันและปราบปรามอาชญากร คุ้มครองเด็ก ฯลฯ” สำหรับในปี 2559 นี้ ความพยายามเช่นนี้คงจะยังดำเนินต่อไป ภายใต้เหตุผลเดิมๆ รวมทั้ง “ความปลอดภัยในการทำธุรกรรม ส่งเสริมเศรษฐกิจดิจิทัล”
อ้างอิง
- ย้อนไทม์ LINE ความพยายามสอดแนมการสื่อสารของรัฐไทย
- คณาธิป ทองรวีวงศ์, มาตรการเชิงนโยบายทางกฎหมายในการคุ้มครองสิทธิส่วนบุคคลจากการสอดส่องการ สนทนาทางโปรแกรมประยุกต์ไลน์, นำเสนอในการประชุมวิชาการระดับชาติ เครือข่ายวิจัยประชาชื่น 23 พฤษภาคม 2557
- ประวุฒิ โต้‘สตช.’ซื้อเครื่องสอดแนม
- ซิงเกิล เกตเวย์ : บล็อก แบน สแกน ดัก ในมุมมองกฎหมายสิทธิส่วนบุคคล
- Hacking Team กับมหกรรมถ้ำมองกระฉ่อนโลก
- คณาธิป ทองรวีวงศ์, มาตรการทางกฎหมายในการคุ้มครองสิทธิในความเป็นอยู่ส่วนตัวของผู้ถูกดักฟัง การสื่อสารข้อมูล, วารสารกระบวนการยุติธรรม, ปีที่ 6 เล่มที่ 1 มกราคม-เมษายน, 2556
- คณาธิป ทองรวีวงศ์, สิทธิในการสื่อสารข้อมูลออนไลน์โดยนิรนามของสื่อพลเมือง, วารสารนิติสังคมศาสตร์, ปีที่ 8 ฉบับที่ 2/2558 กรกฎาคม-ธันวาคม, หน้า 72-129
- ไทยขอ ‘กูเกิล’ ลัดขั้นตอน เซ็นเซอร์เนื้อหา ไม่ต้องรอคำสั่งศาล
- Google Transparency Report
- ปอท.จัดซื้อระบบติดตามการใช้เฟซบุ๊ก ทวิตเตอร์ พันทิป วงเงิน 12.8 ล้าน