2016.04.06 14:06
“การสอดแนมการสื่อสารโดยรัฐเป็นสิ่งที่ทำไม่ได้เลย”
ใครว่าเช่นนั้น?
เราไม่ได้จะบอกว่ารัฐไม่สามารถเก็บพยานหลักฐานจากใครได้เลยในทุกกรณี แต่การสอดแนมมวลชนแบบเหวี่ยงแห (mass surveillance) หรือการสอดแนมการสื่อสารของคนทุกคนแบบเหมารวมนั้นจะทำไม่ได้ และไม่มีความชอบธรรมใดๆ เลยที่จะทำ ไม่ว่าจะในกรณีใดก็ตาม
สำหรับการสอดแนมการสื่อสารของบุคคลที่เป็นผู้ต้องสงสัยหรือการออกกฎหมายที่จะให้อำนาจเข้าถึงข้อมูลใดๆ รัฐควรกระทำโดยปฏิบัติตาม หลักการระหว่างประเทศว่าด้วยการใช้หลักสิทธิมนุษยชนกับการสอดแนมการสื่อสาร (International Principles on the Application of Human Rights to Communications Surveillance) หรือเรียกกันสั้นๆ ว่าหลัก “จำเป็นและได้สัดส่วน”
หลักการที่ว่านี้เป็นผลมาจากการปรึกษาหารือระดับสากลกับบรรดากลุ่มภาคประชาสังคม ภาคอุตสาหกรรม และผู้ชำนาญการระหว่างประเทศด้านกฎหมาย นโยบาย และเทคโนโลยีการสอดแนมการสื่อสาร และได้รับการสนับสนุนจากองค์กรมากกว่า 400 แห่งทั่วโลก
หลักการที่ว่ามีอาทิ การสอดแนมนั้นต้องเป็นหนทางเดียวที่จะบรรลุเป้าประสงค์อันชอบธรรมได้ หรือในกรณีที่มีหนทางอื่น มันต้องเป็นหนทางที่ละเมิดสิทธิมนุษยชนน้อยสุด มาตรการต้องได้สัดส่วนเหมาะสมกับเป้าหมายที่ต้องการ ต้องอยู่ภายใต้การกำกับดูแลของหน่วยงานตุลาการที่มีความรู้ความสามารถ สามารถตรวจสอบได้โดยสาธารณะ มีช่องทางเยียวยาสำหรับผู้ได้รับผลกระทบ
สำหรับประเทศไทย ปัจจุบันมีกฎหมายที่ให้อำนาจการสอดแนมหรือเข้าถึงข้อมูลอยู่แล้วหลายฉบับ เช่น พ.ร.บ.การสอบสวนคดีพิเศษ (มาตรา 25) พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (มาตรา 18) พ.ร.บ.ป้องกันและปราบปรามการฟอกเงิน (มาตรา 46) และพ.ร.บ.ป้องกันและปราบปรามยาเสพติด (มาตรา 14 จัตวา)
นอกจากนี้ ในรัฐบาลชุดนี้ยังมีการเสนอร่างกฎหมายที่จะให้อำนาจการเข้าถึงข้อมูลเพิ่มเติมอีกจำนวนหนึ่ง เช่น ร่าง พ.ร.บ.แก้ไขเพิ่มเติมประมวลกฎหมายวิธีพิจารณาความอาญา (เข้าถึงข้อมูลข่าวสารของผู้ต้องสงสัย) (มาตรา 131/2) และร่าง พ.ร.บ.ป้องกันและปราบปรามสิ่งยั่วยุพฤติกรรมอันตราย (มาตรา 16)
ร่างกฎหมายอีกฉบับหนึ่ง ที่คนยังเคลือบแคลงสงสัยอยู่ ว่าจะเป็นกฎหมายความมั่นคงปลอดภัยทางสารสนเทศและเครือข่ายอย่างที่หน่วยงานรับผิดชอบอธิบาย หรือสุดท้ายจะถูกใช้เป็นกฎหมายสอดแนม ก็คือ ร่างพ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (ร่างพ.ร.บ.มั่นคงไซเบอร์ฯ) ซึ่งกำลังจะเข้าสู่สภานิติบัญญัติแห่งชาติในเดือนนี้
ซึ่งเมื่อพิจารณาตัวบทของร่างพ.ร.บ.มั่นคงไซเบอร์ฯ ที่ให้อำนาจเจ้าหน้าที่เข้าถึงข้อมูลได้อย่างแทบไม่มีข้อจำกัด (มาตรา 35) หรือการให้คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มีอำนาจเรียกข้อมูลหรือให้เข้าให้ถ้อยคำเมื่อไรก็ได้ตามที่เห็นสมควร (มาตรา 33 และ 34) ประกอบกับประวัติการตีความคำว่า “ความมั่นคงปลอดภัยไซเบอร์” ของรัฐในวาระต่างๆ ก็ทำให้น่าเป็นห่วงว่ามันจะกลายเป็นกฎหมายสอดแนมละเมิดสิทธิเสียมากกว่า
ไม่ว่าความตั้งใจของร่างพ.ร.บ.มั่นคงไซเบอร์ฯ จะเป็นอย่างไร สิ่งหนึ่งที่ปฏิเสธไม่ได้ก็คือ มันจะเกี่ยวข้องโดยตรงกับข้อมูลการสื่อสารของประชาชนทั้งประเทศ ข้อมูลส่วนบุคคลของคนไทยทั้งหมดที่อยู่บนระบบสารสนเทศมีโอกาสถูกเข้าถึงได้ผ่านกฎหมายนี้ ดังนั้นในบทวิเคราะห์นี้ เราจะมาลองดูว่าร่างพ.ร.บ.มั่นคงไซเบอร์ฯ นั้นได้มาตรฐานตามหลัก “จำเป็นและได้สัดส่วน” มากน้อยเพียงใด เพื่อจะได้เห็นจุดที่ควรปรับปรุงร่วมกัน
ร่างพ.ร.บ.มั่นคงไซเบอร์ฯ VS. หลักการ “จำเป็นและได้สัดส่วน”
1. ความชอบด้วยกฎหมาย (Legality)
การจำกัดสิทธิมนุษยชนใดๆ จะต้องมีกฎหมายรองรับอยู่ก่อนแล้ว รัฐต้องไม่รับรองหรือปฏิบัติตามมาตรการที่แทรกแซงสิทธิเหล่านี้ หากปราศจากข้อกฎหมายรองรับ โดยข้อกฎหมายดังกล่าวต้องมีอยู่ก่อนแล้ว สาธารณะสามารถเข้าถึงได้ และสอดคล้องกับมาตรฐานว่าด้วยความชัดเจน (clarity) และความเที่ยงตรง (precision) ที่เพียงพอจะประกันได้ว่าบุคคลจะได้รับแจ้งล่วงหน้าถึงการใช้กฎหมายและเล็งเห็นผลที่จะเกิดขึ้นจากการใช้กฎหมายได้ เมื่อพิจารณาถึงอัตราการเปลี่ยนแปลงของเทคโนโลยีที่เป็นอยู่ กฎหมายที่จำกัดสิทธิมนุษยชนควรได้รับการทบทวนเป็นระยะ ทั้งนี้โดยผ่านกระบวนการนิติบัญญัติหรือการกำกับกิจการอย่างมีส่วนร่วม
สอดคล้องตามหลักการไหม: ไม่ [เหตุผล]
2. เป้าประสงค์อันชอบธรรม (Legitimate Aim)
กฎหมายควรอนุญาตให้การสอดแนมการสื่อสารทำได้เฉพาะโดยหน่วยงานของรัฐที่ถูกระบุอย่างเจาะจง เพื่อบรรลุเป้าประสงค์อันชอบธรรมซึ่งสอดคล้องกับประโยชน์ในทางกฎหมายที่สำคัญและมีความจำเป็นต่อสังคมประชาธิปไตย ไม่ควรนำมาตรการใด ๆ มาใช้ในลักษณะที่เป็นการเลือกปฏิบัติบนฐานของเชื้อชาติ สีผิว เพศ ภาษา ศาสนา ความเห็นทางการเมืองหรือความเห็นอื่น ๆ ถิ่นกำเนิดทางชนชาติหรือสังคม ทรัพย์สิน การเกิด หรือสถานภาพอื่นใด
สอดคล้องตามหลักการไหม:บางส่วน [เหตุผล]
3. ความจำเป็น (Necessity)
กฎหมาย ข้อบังคับ กิจกรรม อำนาจ หรือหน่วยงาน ที่เกี่ยวกับการสอดแนมการสื่อสารต้องถูกจำกัดอย่างเข้มงวด และต้องสามารถพิสูจน์ให้เห็นได้ว่าการสอดแนมเป็นสิ่งจำเป็นเพื่อบรรลุเป้าประสงค์อันชอบธรรม การสอดแนมการสื่อสารจะทำได้ก็ต่อเมื่อมันเป็นหนทางเดียวที่จะบรรลุเป้าประสงค์อันชอบธรรมได้ หรือในกรณีที่มีหนทางอื่น มันต้องเป็นหนทางที่น่าจะละเมิดสิทธิมนุษยชนน้อยสุด ภาระพิสูจน์เหตุผลเพื่อการสอดแนมดังกล่าว ทั้งในกระบวนการทางศาลและกระบวนการนิติบัญญัติ ต้องตกเป็นของรัฐเสมอ
สอดคล้องตามหลักการไหม: ไม่ [เหตุผล]
4. ความเพียงพอ (Adequacy)
การสอดแนมการสื่อสารแต่ละครั้งที่ได้รับอนุญาตให้กระทำได้ตามกฎหมาย ต้องมีความเหมาะสมเพื่อให้บรรลุเป้าประสงค์อันชอบธรรมได้ตามที่ระบุไว้อย่างเจาะจง
สอดคล้องตามหลักการไหม: คลุมเครือ [เหตุผล]
5. ความได้สัดส่วน (Proportionality)
การสอดแนมการสื่อสารควรถือเป็นการกระทำที่มีความรุกล้ำเป็นอย่างมาก มันแทรกแซงสิทธิความเป็นส่วนตัวและเสรีภาพในความคิดเห็นและการแสดงออก ซึ่งเป็นการคุกคามรากฐานของสังคมประชาธิปไตย การตัดสินใจใดๆ เกี่ยวกับการสอดแนมการสื่อสาร ต้องกระทำโดยคำนึงถึงความอ่อนไหวของข้อมูลที่จะเข้าถึง และความร้ายแรงของการล่วงละเมิดสิทธิมนุษยชนและผลประโยชน์อื่นๆ
- มีความเป็นไปได้อย่างสูงว่า อาชญากรรมร้ายแรงหรือภัยคุกคามที่เฉพาะเจาะจง อันนำมาสู่เป้าประสงค์อันชอบธรรมที่จะสอดแนม ได้เกิดขึ้นแล้วหรือกำลังจะเกิด และ
- มีความเป็นไปได้อย่างสูงว่า พยานหลักฐานที่เกี่ยวข้องและมีความสำคัญกับอาชญากรรมร้ายแรงหรือภัยคุกคามที่เฉพาะเจาะจงอันนำมาสู่เป้าประสงค์อันชอบธรรมที่จะสอดแนมดังกล่าว จะสามารถได้มาด้วยการเข้าถึงข้อมูลที่ได้รับการคุ้มครองที่เป็นเป้าค้นหาอยู่ และ
- วิธีการอื่นๆ ที่รุกล้ำน้อยกว่านี้ได้ถูกนำมาใช้จนหมดแล้วหรือจะใช้ไม่ได้ผล โดยวิธีการที่ถูกใช้ดังกล่าวเป็นวิธีที่เหลืออยู่ที่รุกล้ำน้อยที่สุด และ
- ข้อมูลที่ถูกเข้าถึงจะจำกัดอยู่เฉพาะส่วนที่เกี่ยวข้องและมีความสำคัญกับอาชญากรรมร้ายแรงหรือภัยคุกคามที่เฉพาะเจาะจงอันทำมาสู่เป้าประสงค์อันชอบธรรมที่จะสอดแนมตามที่มีการกล่าวหา และ
- ข้อมูลส่วนเกินที่ได้รับมาจะต้องไม่ถูกเก็บเอาไว้ แต่จะต้องถูกทำลายหรือถูกส่งกลับโดยทันที และ
- ข้อมูลจะถูกเข้าถึงโดยหน่วยงานเฉพาะตามที่ระบุไว้ และจะถูกใช้สำหรับเป้าประสงค์เฉพาะและภายในระยะเวลาตามที่ได้รับอนุญาตเท่านั้น
- คำร้องขอสอดแนมและวิธีการที่ใช้ในการสอดแนมที่เสนอต้องไม่ทำลายสาระสำคัญของสิทธิในความเป็นอยู่ส่วนตัวหรือสาระสำคัญของเสรีภาพขั้นพื้นฐาน
สอดคล้องตามหลักการไหม: ไม่ [เหตุผล]
6. หน่วยงานตุลาการที่มีความรู้ความสามารถ (Competent Judicial Authority)
การตัดสินใจเกี่ยวกับการสอดแนมการสื่อสารต้องอยู่ใต้การวินิจฉัยของหน่วยงานตุลาการที่มีความรู้ความสามารถ ไม่ลำเอียง และเป็นอิสระ โดยหน่วยงานดังกล่าวจะต้อง
- เป็นอิสระและแยกออกจากหน่วยงานที่ทำการสอดแนมการสื่อสาร
- มีประสบการณ์ในประเด็นที่เกี่ยวข้องและมีความรู้ความสามารถเพียงพอสำหรับการวินิจฉัยเกี่ยวกับความชอบด้วยกฎหมายของการสอดแนมการสื่อสาร เทคโนโลยีที่ใช้ และสิทธิมนุษยชน และ
- มีทรัพยากรเพียงพอในการปฏิบัติหน้าที่ตามที่ได้รับมอบหมาย
สอดคล้องตามหลักการไหม: ไม่ [เหตุผล]
7. กระบวนการอันควรตามกฎหมาย (Due Process)
กระบวนการอันควรตามกฎหมายกำหนดให้รัฐต้องเคารพและประกันสิทธิมนุษยชนของบุคคล โดยดูแลให้มั่นใจได้ว่า ขั้นตอนปฏิบัติที่ถูกต้องตามกฎหมายที่กำกับดูแลการแทรกแซงสิทธิมนุษยชนถูกแจกแจงอย่างชัดเจนในกฎหมาย มีการปฏิบัติตามอย่างสม่ำเสมอ และเป็นข้อมูลที่ประชาชนทั่วไปรับทราบ กล่าวอย่างเจาะจง ในการตัดสินใจเกี่ยวกับสิทธิมนุษยชนของบุคคล บุคคลทุกคนย่อมมีสิทธิเข้าถึงการพิจารณาคดีอย่างเป็นธรรมและอย่างเปิดเผยต่อสาธารณะภายในระยะเวลาที่เหมาะสม โดยหน่วยงานตุลาการที่เป็นอิสระ มีความรู้ความสามารถ และไม่ลำเอียง ที่จัดตั้งขึ้นตามกฎหมาย เว้นแต่กรณีเร่งด่วนฉุกเฉิน กล่าวคือเมื่อมีภัยเฉพาะหน้าซึ่งจะทำให้เกิดอันตรายต่อชีวิตมนุษย์ ในกรณีเช่นนั้น จำเป็นต้องมีการขออนุมัติย้อนหลังภายในระยะเวลาที่เหมาะสม การอ้างเพียงความเสี่ยงว่าอาจมีการหลบหนีหรือการทำลายพยานหลักฐาน ไม่อาจถือเป็นเหตุผลที่เพียงพอสำหรับการลงมือปฏิบัติก่อนแล้วขออนุมัติย้อนหลัง
สอดคล้องตามหลักการไหม: ไม่ [เหตุผล]
8. การแจ้งให้ผู้ใช้ทราบ (User Notification)
ผู้ที่กำลังตกเป็นเป้าสอดแนมการสื่อสารพึงได้รับแจ้งข้อวินิจฉัยที่อนุญาตให้ทำการสอดแนมการสื่อสาร การแจ้งดังกล่าวต้องให้เวลาและข้อมูลมากพอที่บุคคลจะสามารถคัดค้านคำวินิจฉัยหรือแสวงหาหนทางเยียวยาอื่นๆ ได้ บุคคลควรสามารถเข้าถึงเอกสารหลักฐานที่ใช้เพื่อสนับสนุนการขออนุมัติดังกล่าว การชะลอการแจ้งออกไปจะกระทำได้เฉพาะในสถานการณ์ดังนี้
- การแจ้งให้ทราบอาจส่งผลกระทบร้ายแรงต่อเป้าประสงค์ของการสอดแนมการสื่อสารที่ได้รับอนุมัติ หรือมีภัยเฉพาะหน้าซึ่งจะทำให้เกิดอันตรายต่อชีวิตมนุษย์ หรือ
- ในขณะที่อนุมัติให้สอดแนมได้ หน่วยงานตุลาการที่มีความรู้ความสามารถยังอนุมัติให้ชะลอการแจ้งให้ทราบถึงการสอดแนมดังกล่าวได้ด้วย และ
- ผู้ใช้ที่ได้รับผลกระทบได้รับแจ้งทันทีที่ภัยผ่านพ้นไปแล้ว ทั้งนี้ให้เป็นไปตามการวินิจฉัยโดยหน่วยงานตุลาการที่มีความรู้ความสามารถ พันธกรณีในการแจ้งให้ทราบเป็นภาระของรัฐ แต่ผู้ให้บริการการสื่อสารย่อมมีอิสระที่จะแจ้งให้บุคคลที่เกี่ยวข้องกับการสอดแนมการสื่อสารดังกล่าวได้ทราบ ทั้งนี้โดยสมัครใจหรือเมื่อมีการร้องขอ
สอดคล้องตามหลักการไหม: ไม่ [เหตุผล]
9. ความโปร่งใส (Transparency)
รัฐควรมีความโปร่งใสเกี่ยวกับการใช้และขอบเขตของกฎหมาย ข้อบังคับ กิจกรรม อำนาจ หรือหน่วยงานที่เกี่ยวกับการสอดแนมการสื่อสาร โดยอย่างน้อยควรเผยแพร่ 1) ข้อมูลภาพรวมถึงจำนวนที่เจาะจงชัดเจนของการร้องขอที่ได้อนุมัติและปฏิเสธ 2) ข้อมูลการร้องขอที่จำแนกตามผู้ให้บริการ ตามหน่วยงานสืบสวนสอบสวน ตามประเภทของการสอบสวน และตามเป้าประสงค์ของการสอบสวน และ 3) จำนวนที่ชัดเจนของบุคคลที่ได้รับผลกระทบต่อการร้องขอ; รัฐควรจัดหาข้อมูลให้บุคคลอย่างเพียงพอเพื่อช่วยให้เข้าใจอย่างเต็มที่ถึงขอบเขต ลักษณะ และการบังคับใช้กฎหมายที่อนุญาตให้มีการสอดแนมการสื่อสาร รัฐไม่ควรเข้าไปแทรกแซงความพยายามของผู้ให้บริการ ที่จะเผยแพร่ขั้นตอนที่ผู้ให้บริการใช้เมื่อต้องประเมินและทำตามคำร้องขอของรัฐในการสอดแนมการสื่อสาร ที่จะยึดถือขั้นตอนปฏิบัติดังกล่าว และที่จะเผยแพร่ประวัติคำร้องขอของรัฐในการสอดแนมการสื่อสารให้สาธารณะได้รับทราบ
สอดคล้องตามหลักการไหม: ไม่ [เหตุผล]
10. การตรวจสอบโดยสาธารณะ (Public Oversight)
รัฐควรกำหนดให้มีกลไกตรวจสอบที่เป็นอิสระเพื่อประกันความโปร่งใสและความพร้อมรับผิดของการสอดแนมการสื่อสาร กลไกตรวจสอบควรมีอำนาจในการเข้าถึงข้อมูลทุกอย่างที่อาจเกี่ยวข้องกับการปฏิบัติงานของรัฐ และหากเหมาะสมควรมีอำนาจในการเข้าถึงข้อมูลที่เป็นความลับหรือที่ถูกปกปิด; กลไกตรวจสอบควรมีอำนาจในการประเมินว่ารัฐได้ใช้อำนาจตามกฎหมายอย่างชอบธรรมหรือไม่; มีอำนาจประเมินว่ารัฐได้ตีพิมพ์เผยแพร่ข้อมูลการใช้และขอบเขตของเทคนิคและอำนาจเกี่ยวกับการสอดแนมการสื่อสาร–อย่างละเอียดครอบคลุมและอย่างแม่นยำ–ตรงตามพันธกรณีในเรื่องความโปร่งใสหรือไม่; มีอำนาจตีพิมพ์เผยแพร่รายงานตามกำหนดเวลาและข้อมูลอื่นที่เกี่ยวข้องกับการสอดแนมการสื่อสาร; และมีอำนาจตัดสินอย่างเปิดเผยต่อสาธารณะว่าการปฏิบัติงานต่างๆ ของรัฐดังกล่าวชอบด้วยกฎหมายหรือไม่ รวมถึงว่าการปฏิบัติงานเหล่านั้นเป็นไปตามหลักการเหล่านี้เพียงใด กลไกตรวจสอบที่เป็นอิสระนี้ควรกำหนดให้มีควบคู่ไปกับการตรวจสอบใด ๆ ที่มีอยู่แล้วโดยหน่วยงานอื่นของรัฐ
สอดคล้องตามหลักการไหม: ไม่ [เหตุผล]
11. ความคงสภาพของการสื่อสารและระบบ (Integrity of communication and systems)
เพื่อเป็นการประกันความคงสภาพ ความมั่นคงปลอดภัย และความเป็นส่วนตัวของระบบการสื่อสาร และเป็นการยอมรับข้อเท็จจริงที่ว่า ในแทบทุกครั้งที่มีการผ่อนระดับความมั่นคงปลอดภัยลงเพื่อบรรลุเป้าประสงค์ของรัฐ ระดับความมั่นคงปลอดภัยโดยทั่วไปก็จะลดลงตามไปด้วย รัฐไม่ควรบังคับให้ผู้ให้บริการหรือผู้ขายฮาร์ดแวร์หรือซอฟต์แวร์ใส่ความสามารถในการสอดแนมหรือการติดตามลงในระบบของพวกเขา และไม่ควรบังคับให้รวบรวมหรือรักษาข้อมูลใด ๆ ที่เป็นไปเพื่อเป้าประสงค์ในการสอดแนมการสื่อสารของรัฐเท่านั้น การรักษาหรือรวบรวมข้อมูลเอาไว้ก่อนไม่ควรถูกกำหนดเป็นหน้าที่ของผู้ให้บริการ บุคคลมีสิทธิแสดงออกถึงความคิดเห็นของพวกเขาโดยไม่ระบุชื่อ รัฐจึงควรงดเว้นจากการบังคับให้มีการระบุตัวตนผู้ใช้ โดยห้ามกำหนดเป็นเงื่อนไขก่อนการให้บริการ
สอดคล้องตามหลักการไหม: ไม่ [เหตุผล]
12. หลักประกันสำหรับความร่วมมือระหว่างประเทศ (Safeguards for International Cooperation)
เพื่อตอบสนองต่อการเปลี่ยนแปลงในการไหลของข้อมูลและการเปลี่ยนแปลงของเทคโนโลยีและบริการด้านการสื่อสาร รัฐอาจต้องขอความช่วยเหลือจากผู้ให้บริการจากนอกประเทศและรัฐอื่น ดังนั้นแล้ว สนธิสัญญาว่าด้วยความช่วยเหลือซึ่งกันและกันทางกฎหมาย (mutual legal assistance treaties – MLATs) และความตกลงอื่นใดที่รัฐได้เข้าเป็นภาคี ควรประกันว่า ในกรณีที่กฎหมายของรัฐมากกว่าหนึ่งแห่งมีผลบังคับใช้ต่อการสอดแนมการสื่อสาร รัฐจะต้องเลือกปฏิบัติตามมาตรฐานการคุ้มครองบุคคลในระดับที่สูงกว่าเสมอ ในกรณีที่รัฐขอความช่วยเหลือเพื่อเป้าประสงค์ในการบังคับใช้กฎหมาย ควรมีการนำหลักความผิดอาญาสองรัฐ (Dual Criminality) มาใช้ รัฐไม่อาจหลีกเลี่ยงการปฏิบัติตามข้อจำกัดของกฎหมายในประเทศที่ว่าด้วยการสอดแนมการสื่อสาร ด้วยใช้กระบวนการช่วยเหลือซึ่งกันและกันทางกฎหมายและคำร้องขอจากต่างประเทศเพื่อให้ได้รับข้อมูลที่ได้รับการคุ้มครอง กระบวนการช่วยเหลือซึ่งกันและกันทางกฎหมายและความตกลงอื่น ๆ ควรมีการจัดทำเป็นเอกสารอย่างชัดเจน มีการเผยแพร่ต่อสาธารณะ และอยู่ภายใต้หลักประกันเพื่อความเป็นธรรมในขั้นตอนปฏิบัติ
สอดคล้องตามหลักการไหม: ไม่ [เหตุผล]
13. หลักประกันเพื่อป้องกันการเข้าถึงโดยมิชอบด้วยกฎหมาย (Safeguards against illegitimate access and right to effective remedy)
รัฐควรกำหนดกฎหมายเพื่อเอาผิดทางอาญากับการสอดแนมการสื่อสารที่ไม่ชอบด้วยกฎหมาย ทั้งที่กระทำโดยรัฐและเอกชน กฎหมายดังกล่าวควรกำหนดบทลงโทษทั้งทางแพ่งและอาญาอย่างเพียงพอและอย่างมีนัยสำคัญ กำหนดความคุ้มครองให้กับผู้เปิดเผยความไม่ชอบมาพากล และกำหนดช่องทางเยียวยาสำหรับผู้ได้รับผลกระทบ กฎหมายต่าง ๆ ควรระบุเงื่อนไขด้วยว่าข้อมูลใด ๆ ที่ได้มาในลักษณะที่ไม่สอดคล้องกับหลักการทั้งหมดนี้ ย่อมไม่สามารถนำมาใช้เป็นพยานหลักฐานในศาลหรือกระบวนการยุติธรรมใด ๆ ได้ เช่นเดียวกับพยานหลักฐานซึ่งเป็นผลพวงมาจากข้อมูลดังกล่าว รัฐควรกำหนดกฎหมายด้วยว่าข้อมูลใด ๆ ที่ได้มาจากการสอดแนมการสื่อสาร ภายหลังที่ถูกใช้ตามเป้าประสงค์ของการค้นหาข้อมูลดังกล่าวแล้ว ข้อมูลเหล่านั้นจะต้องไม่ถูกเก็บไว้ แต่จะต้องถูกทำลายหรือส่งคืนผู้ที่ได้รับผลกระทบ
สอดคล้องตามหลักการไหม: ไม่ [เหตุผล]
มาดูเหตุผลแต่ละข้อกัน
1. ความชอบด้วยกฎหมาย: ไม่สอดคล้อง
เมื่อจะพิจารณาหลักความชอบด้วยกฎหมาย เราจำเป็นต้องเริ่มด้วยกฎหมายสูงสุดของประเทศก่อน นั่นคือรัฐธรรมนูญ
ปัจจุบันประเทศไทยปกครองด้วยรัฐธรรมนูญฉบับชั่วคราวปี 2557 ซึ่งเนื้อหาและจุดประสงค์หลักของรัฐธรรมนูญชั่วคราวนี้มีเพื่อวางหลักการในการเปลี่ยนผ่านไปสู่การปกครองด้วยรัฐธรรมนูญแบบปกติซึ่งจะมีการร่างในภายหลัง จึงไม่ได้มีหมวดต่างๆ ครบถ้วนครอบคลุมเท่ารัฐธรรมนูญปกติ ซึ่งหมวดหนึ่งที่ไม่มีนั้นรวมถึงหมวดที่ว่าด้วยสิทธิเสรีภาพด้วย
อย่างไรก็ตาม รัฐธรรมนูญชั่วคราวฉบับนี้ก็มีมาตรา 4 ซึ่งระบุว่าสิทธิเสรีภาพใดที่คนไทย “เคยได้รับการคุ้มครองตามประเพณีการปกครองประเทศไทยในระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรงเป็นประมุข” ย่อมได้รับการคุ้มครองตามรัฐธรรมนูญนี้ด้วย
มาตรา 4 ภายใต้บังคับบทบัญญัติแห่งรัฐธรรมนูญนี้ ศักดิ์ศรีความเป็นมนุษย์ สิทธิ เสรีภาพ และความเสมอภาค บรรดาที่ชนชาวไทยเคยได้รับการคุ้มครองตามประเพณีการปกครองประเทศไทยในระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรงเป็นประมุขและตามพันธกรณีระหว่างประเทศที่ประเทศไทยมีอยู่แล้ว ย่อมได้รับการคุ้มครองตามรัฐธรรมนูญนี้
การจะทราบว่า “ประเพณีการปกครองประเทศไทย” เป็นอย่างไร น่าจะทำได้ด้วยการย้อนกลับไปดูรัฐธรรมนูญฉบับก่อนๆ ในที่นี้เราจะพิจารณา 2 เรื่องคือ 1) สิทธิและเสรีภาพที่เกี่ยวข้องกับการสื่อสารและความเป็นส่วนตัว และ 2) ข้อจำกัดสิทธิและเสรีภาพดังกล่าว ซึ่งเราพบว่าในรัฐธรรมนูญฉบับปี 2540 และ 2550 นั้น ในมาตราที่ว่าด้วยสิทธิเสรีภาพในการสื่อสาร และมาตราที่ว่าด้วยการจำกัดสิทธิเสรีภาพ ทั้งสองฉบับมีเนื้อหาเหมือนกันทุกประการทุกตัวอักษร จึงน่าจะถือได้ว่าหลักการนี้เป็นประเพณีการปกครองของไทย และย่อมได้รับการคุ้มครองต่อเนื่องมาจนถึงรัฐธรรมนูญชั่วคราวปี 2557
มาตราที่ว่าด้วยสิทธิเสรีภาพในการสื่อสารและสิทธิความเป็นส่วนตัวในการสื่อสาร ในรัฐธรรมนูญ 2540 อยู่ในมาตรา 37 ส่วนในรัฐธรรมนูญ 2550 อยู่ในมาตรา 36 ซึ่งกำหนดว่า
บุคคลย่อมมีเสรีภาพในการสื่อสารถึงกันโดยทางที่ชอบด้วยกฎหมาย
การตรวจ การกัก หรือการเปิดเผยสิ่งสื่อสารที่บุคคลมีติดต่อถึงกัน รวมทั้งการกระทำด้วยประการอื่นใดเพื่อให้ล่วงรู้ถึงข้อความในสิ่งสื่อสารทั้งหลายที่บุคคลมีติดต่อถึงกัน จะกระทำมิได้ เว้นแต่โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมาย เฉพาะเพื่อรักษาความมั่นคงของรัฐ หรือเพื่อรักษาความสงบเรียบร้อยหรือศีลธรรมอันดีของประชาชน
ส่วนการจำกัดสิทธิและเสรีภาพนั้น รัฐธรรมนูญ 2540 และรัฐธรรมนูญ 2550 มีอยู่ในมาตรา 29 เหมือนกัน
การจำกัดสิทธิและเสรีภาพของบุคคลที่รัฐธรรมนูญรับรองไว้จะกระทำมิได้เว้นแต่โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมายเฉพาะเพื่อการที่รัฐธรรมนูญนี้กำหนดไว้และเท่าที่จำเป็น และจะกระทบกระเทือนสาระสำคัญแห่งสิทธิและเสรีภาพนั้นมิได้
กฎหมายตามวรรคหนึ่งต้องมีผลใช้บังคับเป็นการทั่วไป และไม่มุ่งหมายให้ใช้บังคับแก่กรณีใดกรณีหนึ่งหรือแก่บุคคลใดบุคคลหนึ่งเป็นการเจาะจง ทั้งต้องระบุบทบัญญัติแห่งรัฐธรรมนูญที่ให้อำนาจในการตรากฎหมายนั้นด้วย
บทบัญญัติในวรรคหนึ่งและวรรคสองให้นำมาใช้บังคับกับกฎที่ออกโดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมายด้วยโดยอนุโลม
จะเห็นว่าแม้ที่ผ่านมา “ประเพณีการปกครองประเทศไทย” จะอนุญาตให้จำกัดเสรีภาพในการสื่อสารและสิทธิความเป็นส่วนตัวในการสื่อสารได้ แต่การจำกัดสิทธิดังกล่าวต้อง “อาศัยอำนาจตามบทบัญญัติแห่งกฎหมาย เฉพาะเพื่อรักษาความมั่นคงของรัฐ หรือเพื่อรักษาความสงบเรียบร้อยหรือศีลธรรมอันดีของประชาชน” นอกจากนี้กฎหมายที่จำกัดสิทธิยังต้องมีลักษณะและเงื่อนไขว่าจะทำได้เฉพาะเท่าที่จำเป็นและจะกระทบกระเทือนสาระสำคัญของสิทธินั้นไม่ได้
ทีนี้เรามาดูพ.ร.บ.มั่นคงไซเบอร์บ้าง โดยเจาะที่มาตรา 35 (3) ซึ่งเกี่ยวกับการเข้าถึงข้อมูล
มาตรา 35 เพื่อประโยชน์ในการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ให้พนักงานเจ้าหน้าที่ที่ ได้รับมอบหมายเป็นหนังสือจากเลขาธิการ มีอำนาจดังต่อไปนี้
…
(3) เข้าถึงข้อมูลการติดต่อสื่อสารทั้งทางไปรษณีย์ โทรเลข โทรศัพท์ โทรสาร คอมพิวเตอร์ เครื่องมือ หรืออุปกรณ์ในการสื่อสารสื่ออิเล็กทรอนิกส์หรือสื่อทางเทคโนโลยีสารสนเทศใด เพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์การดำเนินการตาม (3) ให้เป็นไปตามหลักเกณฑ์และเงื่อนไขที่คณะรัฐมนตรีกำหนด
แม้ร่างมาตรานี้จะให้อำนาจเจ้าหน้าที่สอดแนมการสื่อสารเฉพาะ “เพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์” เท่านั้น แต่ตามภาษาที่ใช้ในตัวบทก็ยังเปิดโอกาสให้เจ้าหน้าที่เข้าถึงข้อมูลได้ทุกชนิด ไม่ได้ระบุถึงประเภทหรือระดับความอ่อนไหวของข้อมูล เจ้าหน้าที่อาจบอกได้ว่าการขอข้อมูลเผื่อไว้เยอะๆ ก่อนย่อมมีประโยชน์กับการรักษาความมั่นคงปลอดภัยไซเบอร์ กล่าวโดยสรุปคือ ไม่ได้ระบุถึงการเข้าถึงข้อมูลเฉพาะ “เท่าที่จำเป็น” นั่นแปลว่ามาตรา 35 (3) ของร่างพ.ร.บ.มั่นคงไซเบอร์นี้ น่าจะขัดกับรัฐธรรมนูญซึ่งเป็นกฎหมายสูงสุดของประเทศ
นอกจากนี้ ร่างมาตรา 35 (3) เท่าที่เราเห็นในปัจจุบัน ยังอาจขัดแย้งกับหลักการส่วนที่ว่ากฎหมายที่จำกัดสิทธิความเป็นส่วนตัวต้องมีความชัดเจนเพื่อที่บุคคลจะสามารถ “เล็งเห็นผลที่จะเกิดขึ้นจากการใช้กฎหมายได้” เนื่องจากไม่มีรายละเอียดหลักเกณฑ์ว่า ข้อมูลอะไรบ้างที่จะเข้าถึงได้หรือเข้าถึงไม่ได้ เมื่อใดที่ข้อมูลจะถูกเข้าถึงได้ ใครจะเป็นผู้อนุมัติ หรือข้อมูลจะสามารถถูกเข้าถึงได้เป็นระยะเวลานานเท่าใด ทั้งนี้แม้คณะรัฐมนตรีอาจกำหนดหลักเกณฑ์เหล่านี้ในภายหลังได้ แต่กระบวนการดังกล่าวก็จะไม่ได้ผ่านการพิจารณาของสภาผู้แทนราษฎร ที่สำคัญคือ เรายังไม่เห็นมันในตอนนี้
นอกจาก “ประเพณีการปกครองประเทศไทย” แล้ว มาตรา 4 ของรัฐธรรมนูญชั่วคราวปี 2557 ยังระบุว่าสิทธิเสรีภาพที่บรรดาที่ชนชาวไทยเคยได้รับการคุ้มครองตาม “พันธกรณีระหว่างประเทศที่ประเทศไทยมีอยู่แล้ว” ย่อมได้รับการคุ้มครองตามรัฐธรรมนูญนี้ด้วย ดังนั้นเราจะพิจารณากฎหมายระหว่างประเทศกันบ้าง
กฎหมายระหว่างประเทศที่เกี่ยวข้องกับการคุ้มครองสิทธิเสรีภาพของประชาชนมีอยู่หลายฉบับ การที่ประเทศไทยลงนามเข้าเป็นรัฐภาคีของกฎหมายจะมีผลผูกพันให้ประเทศไทยต้องปฏิบัติตาม อาทิ กติการะหว่างประเทศว่าด้วยสิทธิพลเมืองและสิทธิทางการเมือง (ICCPR) ซึ่งข้อ 17 ได้ระบุถึงสิทธิในความเป็นอยู่ส่วนตัว
1. No one shall be subjected to arbitrary or unlawful interference with his privacy, family, home or correspondence, nor to unlawful attacks on his honour and reputation.
2. Everyone has the right to the protection of the law against such interference or attacks
1. บุคคลจะถูกแทรกแซงความเป็นส่วนตัว ครอบครัว เคหสถาน หรือการติดต่อสื่อสารตามอำเภอใจหรือไม่ชอบด้วยกฎหมายมิได้ และจะถูกลบหลู่เกียรติและชื่อเสียงโดยไม่ชอบด้วยกฎหมายมิได้
2. บุคคลทุกคนมีสิทธิที่จะได้รับความคุ้มครองตามกฎหมายมิให้ถูกแทรกแซงหรือลบหลู่เช่นว่านั้น
ICCPR ไม่ได้ระบุว่าความเป็นส่วนตัวจะไม่สามารถถูกล่วงละเมิดได้เลย แต่การละเมิดที่เป็นไป “ตามอำเภอใจ” (arbitrary) จะกระทำมิได้ และการละเมิดสิทธิส่วนบุคคลจะกระทำได้ในสถานการณ์เฉพาะเท่านั้น ไม่ใช่ในกรณีกว้างๆ ดังที่ร่างพ.ร.บ.มั่นคงไซเบอร์ฯ ให้อำนาจคณะกรรมการและเจ้าหน้าที่เอาไว้
สรุปคือ ร่างพ.ร.บ.มั่นคงไซเบอร์นั้นอาจจะขัดกับทั้งรัฐธรรมนูญของไทยและทั้งกฎหมายระหว่างประเทศ จึงขัดหลักการข้อ 1 ที่ว่าด้วยความชอบด้วยกฎหมาย
กลับไปยัง หลักการข้อ 1
2. เป้าประสงค์อันชอบธรรม: สอดคล้องบางส่วน
สอดคล้องตามหลักการตามหลักการส่วนที่ว่า “กฎหมายควรอนุญาตให้การสอดแนมการสื่อสารทำได้เฉพาะโดยหน่วยงานของรัฐที่ถูกระบุอย่างเจาะจง” และ “ไม่ควรนำมาตรการใด ๆ มาใช้ในลักษณะที่เป็นการเลือกปฏิบัติบนฐานของเชื้อชาติ สีผิว เพศ ภาษา ศาสนา ความเห็นทางการเมืองหรือความเห็นอื่น ๆ ถิ่นกำเนิดทางชนชาติหรือสังคม ทรัพย์สิน การเกิด หรือสถานภาพอื่นใด” เนื่องจากหน่วยงานที่เข้าถึงการสื่อสารได้ตามร่างพ.ร.บ.นี้คือ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) เท่านั้น และร่างพ.ร.บ.นี้ไม่มีการเลือกปฏิบัติกับบุคคล
อย่างไรก็ตามสำหรับตามหลักการส่วนที่ว่า “เพื่อบรรลุเป้าประสงค์อันชอบธรรมซึ่งสอดคล้องกับประโยชน์ในทางกฎหมายที่สำคัญและมีความจำเป็นต่อสังคมประชาธิปไตย” นั้นเมื่อพิจารณาร่างพ.ร.บ.มั่นคงไซเบอร์ประกอบกับบริบทการบังคับใช้กฎหมายของไทยที่ผ่านมา พบว่า ยังมีความคลุมเครือ เนื่องจากที่ผ่านมา “เป้าประสงค์อันชอบธรรม” ในมุมมองของรัฐมักอ้างถึง “ความมั่นคงของชาติ” แบบคลุมเครือ การตีความก็ทำได้กว้างขวางมากและบางครั้งก็เปลี่ยนแปลงไปตามสถานการณ์ทางการเมือง (ตัวอย่างเช่นการบังคับใช้ประมวลกฎหมายอาญาหมวดความมั่นคง เช่น มาตรา 116) ไม่ได้ตั้งอยู่บนหลักการ “ซึ่งสอดคล้องกับประโยชน์ในทางกฎหมายที่สำคัญและมีความจำเป็นต่อสังคมประชาธิปไตย”
ในต่างประเทศ เช่นเยอรมนี ศาลรัฐธรรมนูญเยอรมนีมีคำพิพากษาว่า มาตรการที่ล่วงล้ำอย่างมากอย่างการเข้าค้นคอมพิวเตอร์โดยหน่วยงานรัฐที่บังคับใช้กฎหมาย มิอาจมีความชอบธรรมได้เพียงแค่การอ้าง “ผลประโยชน์ส่วนรวม” ซึ่งเป็นคำกว้างๆ ศาลระบุว่า มาตรการดังกล่าวจะมีความชอบธรรมเมื่อกระทำอยู่บนฐานที่ว่า มีหลักฐานว่ามี “ภัยคุกคามที่เป็นรูปธรรมต่อผลประโยชน์สำคัญซึ่งได้รับการปกป้องโดยกฎหมาย” (a concrete threat to an important legally-protected interest) เช่น ภัยคุกคามต่อ “ชีวิต ร่างกาย หรืออิสรภาพของบุคคล” หรือต่อ “ทรัพย์สินสาธารณะ และการทำให้รากฐานหรือการดำรงอยู่ของรัฐ หรือรากฐานที่จำเป็นต่อการดำรงอยู่ของมนุษย์ตกอยู่ในอันตราย” (อ้างอิง 1)
ขณะที่แฟรงก์ ลา รู ผู้เสนอรายงานพิเศษว่าด้วยเสรีภาพในการแสดงความคิดเห็นและการแสดงออกของสหประชาชาติ (ตั้งแต่ปี 2008 ถึงปี 2014) ระบุถึงข้อกังวลไว้ว่า คำว่า “ความมั่งคงของชาติ” ที่ “กว้างและไม่ระบุเจาะจง” ได้ถูกใช้เพื่อสร้างความชอบธรรมให้กับการสอดแนมและการเข้าถึงข้อมูลสื่อสาร โดยปราศจากมาตรการคุ้มครองที่เพียงพอ
ในรายงานของเขาต่อคณะมนตรีสิทธิมนุษยชนแห่งสหประชาชาติในปี 2013 ระบุว่า “การใช้แนวคิดเรื่องความมั่นคงของชาติ ซึ่งไม่มีความชัดเจน (amorphous) เพื่อสร้างความชอบธรรมให้กับการจำกัดสิทธิมนุษยชนเป็นสิ่งที่น่ากังวลอย่างมาก แนวคิดนี้ได้รับการนิยามไว้กว้างๆ ดังนั้นมันจึงเสี่ยงต่อการถูกนำมาบิดเบือนโดยรัฐ โดยใช้เป็นเครื่องมือในการสร้างความชอบธรรมให้กับการกระทำที่มุ่งเป้าไปยังกลุ่มคนที่สุ่มเสี่ยง เช่น นักปกป้องสิทธิมนุษยชน นักข่าว หรือนักกิจกรรม มันยังเป็นใบอนุญาตให้มีการสอบสวนหรือกิจกรรมที่เกี่ยวกับการบังคับใช้กฎหมายซึ่งเป็นความลับโดยมักไม่จำเป็น อันทำลายหลักการความโปร่งใสและการรับผิด (อ้างอิง 2)
สำหรับการปกป้องความมั่นคงของระบบเครือข่ายคอมพิวเตอร์ หากระบุว่าเป็นการป้องกันการโจมตีระบบการเงินการธนาคาร ระบบควบคุมไฟฟ้า หรือระบบโครงสร้างพื้นฐานสำคัญ (critical infrastructure) ที่หากกระทบก็จะส่งผลอย่างยิ่งต่อความมั่นคงของชาติอย่างเป็นรูปธรรม ก็จะเป็นการเจาะจงกว่าการใช้คำว่า “ความมั่นคงของชาติ” หรือ “ความสงบเรียบร้อยภายในประเทศ” อย่างลอยๆ ดังในร่างมาตรา 3 และมาตรา 34 วรรค 1 ของร่างพ.ร.บ.มั่นคงไซเบอร์ฯ ซึ่งมีความว่า
มาตรา 3 ในพระราชบัญญัตินี้
“ความมั่นคงปลอดภัยไซเบอร์” หมายความว่า มาตรการและการดำเนินการที่กำหนดขึ้น เพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศให้สามารถปกป้อง ป้องกัน หรือรับมือกับสถานการณ์ด้านภัยคุกคามทางไซเบอร์ที่ส่งผลกระทบหรืออาจก่อให้เกิดความเสี่ยงต่อการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยปกติของดาวเทียม อันกระทบต่อความมั่นคงของชาติซึ่งรวมถึงความมั่นคงทางการทหาร ความสงบเรียบร้อยภายในประเทศ และความมั่นคงทางเศรษฐกิจ
มาตรา 34
ในกรณีที่มีความจำเป็นเพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ที่อาจกระทบต่อความมั่นคงทางการเงินและการพาณิชย์ หรือความมั่นคงชองประเทศ กปช. อาจสั่งการให้หน่วยงานภาคเอกชนกระทำการหรืองดเว้นกระทำการอย่างใดอย่างหนึ่ง และให้รายงานผลการ ปฏิบัติการต่อ กปช. ตามที่ กปช. ประกาศกำหนด
กลับไปยัง หลักการข้อ 2
3. ความจำเป็น: ไม่สอดคล้อง
ร่างพ.ร.บ.นี้ไม่พิจารณาเลยว่า การสอดแนมจะทำได้ก็ต่อเมื่อ “เป็นหนทางเดียว” ที่จะบรรลุเป้าประสงค์อันชอบธรรมได้ หรือเป็นหนทางที่ “น่าจะละเมิดสิทธิมนุษยชนน้อยที่สุด” แต่ร่างพ.ร.บ.นี้กลับให้อำนาจเจ้าหน้าที่สอดแนมไว้ก่อน [มาตรา 35 (3)] โดยไม่คำนึงถึงทางเลือกอื่นๆ
ตัวอย่างวิธีการอื่นที่น่าจะละเมิดสิทธิมนุษยชนน้อยกว่าการสอดแนมการสื่อสารทุกกรณีได้ตลอดเวลาก็คือ มาตรา 18(6), 18(7), 18 (8), 19 ของพ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และมาตรา 25 ของพ.ร.บ.การสอบสวนคดีพิเศษ พ.ศ. 2547 ที่ให้อำนาจเจ้าหน้าที่เข้าถึงข้อมูลการสื่อสาร แต่การเข้าถึงดังกล่าวต้องอยู่ภายใต้การตรวจสอบโดยศาล ลองมาดูรายละเอียดกัน
พ.ร.บ.คอมพิวเตอร์ฯ มาตรา 18 ให้เจ้าหน้าที่รัฐมีอำนาจเรียกข้อมูลจราจรทางคอมพิวเตอร์, ทำสำเนาข้อมูลคอมพิวเตอร์, ยึดและตรวจสอบคอมพิวเตอร์, ตรวจสอบและเข้าถึงข้อมูลการจราจรทางคอมพิวเตอร์ ซึ่งรวมถึงหมายเลขที่อยู่ไอพี รวมทั้งถอดรหัสลับได้เท่าที่จำเป็น เพียงแต่จะต้องขออนุญาตศาลตามมาตรา 19 พร้อมทั้งต้องระบุเหตุอันควรเชื่อถึงการกระทำความผิด เหตุผลที่ต้องใช้อำนาจ รายละเอียดอุปกรณ์ที่จะใช้ตรวจสอบ รวมทั้งต้องรายงานผลการตรวจสอบต่อศาลภายใน 48 ชั่วโมง
นอกจากนี้ หากคดีทางคอมพิวเตอร์คดีใดถูกประกาศให้อยู่ในอำนาจของกรมสอบสวนคดีพิเศษ (ดีเอสไอ) เจ้าหน้าที่ก็จะมีอำนาจตามมาตรา 25 ของพ.ร.บ.การสอบสวนคดีพิเศษ พ.ศ. 2547 ที่จะได้มาซึ่งข้อมูลที่ส่งผ่านสื่ออิเล็กทรอนิกส์ หรือการดักรับเนื้อหาข้อความที่ส่งหากันทางอินเทอร์เน็ตคล้ายการดักฟังโทรศัพท์อีกด้วย โดยจะต้องขออนุญาตจากอธิบดีผู้พิพากษาศาลอาญาโดยตรง
อ่านบทความของ iLaw เพิ่มเติมในประเด็นนี้ที่ “ชวนดู วิธีใช้หลักฐานอิเล็กทรอนิกส์หาตัวผู้กระทำผิดออนไลน์ กฎหมายปัจจุบันให้อำนาจไว้พอแล้ว”
กลับไปยัง หลักการข้อ 3
4. ความเพียงพอ: ยังคลุมเครือ
เนื่องจากคำว่า “เป้าประสงค์อันชอบธรรม” ยังเป็นคำที่คลุมเครือ (ย้อนกลับไปดูเหตุผลในข้อ 2)
กลับไปยัง หลักการข้อ 4
5. ความได้สัดส่วน: ไม่สอดคล้อง
หลักการระบุว่า ในการสอดแนมการสื่อสาร อย่างน้อยรัฐต้องปฏิบัติตามข้อกำหนด 7 ข้อต่อข้างต้น ต่อหน่วยงานตุลาการที่มีความรู้ความสามารถ (Competent Judicial Authority) ในร่างพ.ร.บ.มั่นคงไซเบอร์ฯ ไม่มีแม้กระทั่งหน่วยงานตุลาการที่จะมาพิจารณาว่าการสอดแนมการสื่อสารเป็นไปตามข้อกำหนดดังกล่าวหรือไม่
ร่างพ.ร.บ.มั่นคงไซเบอร์ฯ ไม่ได้กำหนดข้อพิจารณาสำหรับการใช้อำนาจสอดแนมในเรื่องความเป็นไปได้อย่างสูงว่าอาชญากรรมร้ายแรงได้เกิดขึ้นแล้วหรือกำลังจะเกิด, การสอดแนมจะได้มาซึ่งข้อมูลที่ต้องการ, ได้ใช้วิธีการอื่นหมดแล้วแต่ยังไม่ได้ผล
ร่างพ.ร.บ.มั่นคงไซเบอร์ ซึ่งให้อำนาจเจ้าหน้าที่เข้าถึงข้อมูลได้ทุกประเภท ”เพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์” ร่างพ.ร.บ.นี้ไม่ได้กำหนดเงื่อนไขจำกัดอำนาจของเจ้าหน้าที่ไว้ว่า เจ้าหน้าที่จะเข้าถึงข้อมูลได้เฉพาะส่วนที่เกี่ยวข้องกับอาชญากรรม และข้อมูลส่วนเกินที่ไม่เกี่ยวข้องจะไม่ถูกเก็บเอาไว้ หรือข้อมูลจะถูกเข้าถึงโดยหน่วยงานเฉพาะตามที่ระบุไว้ และจะถูกใช้สำหรับเป้าประสงค์เฉพาะและภายในระยะเวลาตามที่ได้รับอนุญาตเท่านั้น
การสอดแนมตามร่างพ.ร.บ.นี้ละเมิดสาระสำคัญของสิทธิความเป็นส่วนตัวและเสรีภาพพื้นฐานอย่างชัดเจน สิทธิความเป็นส่วนตัวของเราจะไม่เหลืออยู่อีกต่อไปเมื่อการสื่อสารทั้งหมดของเราสามารถถูกสอดแนมได้ตลอดเวลา นอกจากนี้ การรับรู้ว่ามีสายตาของรัฐจับจ้องอยู่ตลอดเวลายังไปลดทอนเสรีภาพการแสดงออก เพราะเมื่อประชาชนรู้สึกว่ารัฐจับตามองอยู่ตลอดเวลา ก็จะไม่กล้าสื่อสารแสดงความคิดเห็นที่ตนเกรงว่าจะขัดกับอุดมการณ์ของรัฐ
กลับไปยัง หลักการข้อ 5
6. หน่วยงานตุลาการที่มีความรู้ความสามารถ: ไม่สอดคล้อง
ไม่มีหน่วยงานตุลาการใดๆ ทั้งสิ้นที่จะมาทำหน้าที่วินิจฉัยและพิจารณาการสอดแนมหรือเข้าถึงข้อมูลการสื่อสารตามร่างพ.ร.บ.นี้
กลับไปยัง หลักการข้อ 6
7. กระบวนการอันควรตามกฎหมาย: ไม่สอดคล้อง
ข้อที่ว่า “ขั้นตอนปฏิบัติที่ถูกต้องตามกฎหมายที่กำกับดูแลการแทรกแซงสิทธิมนุษยชนถูกแจกแจงอย่างชัดเจนในกฎหมาย มีการปฏิบัติตามอย่างสม่ำเสมอ และเป็นข้อมูลที่ประชาชนทั่วไปรับทราบ” นั้น ร่างพ.ร.บ.นี้ไม่มีการแจกแจงขั้นตอนปฏิบัติที่กำกับดูแลการแทรกแซงสิทธิมนุษยชนเอาไว้ ประชาชนทั่วไปจึงไม่อาจทราบข้อมูลเหล่านี้ได้
มาดูกฎหมายอื่นที่เป็นตัวอย่างของการเขียนกฎหมายที่ระบุขั้นตอนการละเมิดสิทธิที่ชัดเจนในประเทศไทยกัน กฎหมายดังกล่าวคือ พ.ร.บ.ว่าด้วยการการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 มาตรา 18 และ 19 ที่ระบุว่าต้องขอหมายศาลก่อนเข้าถึงข้อมูล ต้องมีการทำสำเนาข้อมูลคอมพิวเตอร์ของผู้ถูกละเมิด เป็นต้น หรือประมวลกฎหมายวิธีพิจารณาความอาญา ว่าด้วยการออกหมายค้น มาตรา 66 ถึงมาตรา 68
กลับไปยัง หลักการข้อ 7
8. การแจ้งให้ผู้ใช้ทราบ: ไม่สอดคล้อง
ร่างพ.ร.บ.มั่นคงไซเบอร์ฯ ไม่ได้กำหนดหลักการเรื่อง การแจ้งให้ผู้ถูกสอดแนมทราบ การขออนุมัติจากตุลาการที่มีความรู้ความสามารถ หรือกระบวนการอุทธรณ์หากผู้ถูกสอดแนมไม่เห็นด้วย เอาไว้เลย
กลับไปยัง หลักการข้อ 8
9. ความโปร่งใส: ไม่สอดคล้อง
ร่างพ.ร.บ.มั่นคงไซเบอร์ฯ ไม่ได้ระบุให้มีการตีพิมพ์เผยแพร่ข้อมูลเกี่ยวกับการสอดแนมตามหลักการข้างต้นแต่อย่างใด
กลับไปยัง หลักการข้อ 9
10. การตรวจสอบโดยสาธารณะ: ไม่สอดคล้อง
ไม่มีกลไกตรวจสอบการใช้อำนาจการสอดแนมใดๆ ทั้งสิ้น
นอกจากนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่จะตั้งขึ้นตามร่างพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในร่างฉบับล่าสุดที่เปิดเผยต่อสาธารณะ (ร่างที่ผ่านการตรวจแก้ของคณะกรรมการกฤษฎีกา) ซึ่งเราอาจจะหวังพึ่งว่าอาจจะมาคานอำนาจและช่วยตรวจสอบความโปร่งใสของการสอดแนมก็ไม่มีความเป็นอิสระ เพราะทำงานภายใต้โครงสร้างกระทรวงและใช้สำนักงานเลขานุการร่วมกับคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ซึ่งเป็นหน่วยงานที่มีอำนาจในการสอดแนมเสียเอง
กลับไปยัง หลักการข้อ 10
11. ความคงสภาพของการสื่อสารและระบบ: ไม่สอดคล้อง
ร่างพ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 34 จะช่วยให้การกระทำที่ไม่ควรกระทำทั้งหมดดังต่อไปนี้กลายเป็นเรื่อง “ถูกกฎหมาย” ไม่ว่าจะเป็นการบังคับให้ผู้ให้บริการหรือผู้ขายฮาร์ดแวร์หรือซอฟต์แวร์ใส่ความสามารถในการสอดแนมหรือการติดตามลงในระบบ, บังคับให้รวบรวมหรือรักษาข้อมูลใดๆ ที่เป็นไปเพียงเพื่อเป้าประสงค์ในการสอดแนมของรัฐเท่านั้น, กำหนดให้ผู้ให้บริการรวบรวมข้อมูลเอาไว้ก่อน และบังคับให้มีการระบุตัวตนผู้ใช้
จากประวัติของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารและรัฐบาลในรอบเกือบ 2 ปีที่ผ่านมา เราพบหลักฐานการกระทำที่จะกระทบต่อความน่าเชื่อถือของเครือข่าย เช่น การตั้งคณะทำงานทดสอบระบบและประสานงานกับผู้ให้บริการอินเทอร์เน็ตเพื่อจัดการกับ “อุปสรรค” จากการเข้ารหัสป้องกันข้อมูล (คำสั่งก.ไอซีทีที่ 163/2557 15 ธ.ค. 2557) การจัดส่งผลิตภัณฑ์ควบคุมและดักรับข้อมูลมายังประเทศไทย (Hacking Team มิ.ย. 2558) และการจัดซื้อระบบติดตามข้อมูลสังคมออนไลน์อัตโนมัติ (บก.ปอท. 19 ม.ค. 2559)
กลับไปยัง หลักการข้อ 11
12. หลักประกันสำหรับความร่วมมือระหว่างประเทศ: ไม่สอดคล้อง
เมื่อพิจารณาหลักการที่ว่า “ในกรณีที่รัฐขอความช่วยเหลือเพื่อเป้าประสงค์ในการบังคับใช้กฎหมาย ควรมีการนำหลักความผิดอาญาสองรัฐมาใช้ รัฐไม่อาจหลีกเลี่ยงการปฏิบัติตามข้อจำกัดของกฎหมายในประเทศที่ว่าด้วยการสอดแนมการสื่อสาร ด้วยใช้กระบวนการช่วยเหลือซึ่งกันและกันทางกฎหมายและคำร้องขอจากต่างประเทศเพื่อให้ได้รับข้อมูลที่ได้รับการคุ้มครอง กระบวนการช่วยเหลือซึ่งกันและกันทางกฎหมายและความตกลงอื่น ๆ ควรมีการจัดทำเป็นเอกสารอย่างชัดเจน มีการเผยแพร่ต่อสาธารณะ และอยู่ภายใต้หลักประกันเพื่อความเป็นธรรมในขั้นตอนปฏิบัติ” นั้น
ประเทศไทยมี พ.ร.บ.ความร่วมมือระหว่างประเทศในเรื่องทางอาญา พ.ศ. 2535 เป็นกรอบกฎหมายภายในเพื่อรองรับสนธิสัญญาการช่วยเหลือซึ่งกันและกันทางอาญาอยู่ อย่างไรก็ตามที่ผ่านมา หน่วยงานรัฐไทยประสานงานกับหน่วยงานรัฐในต่างประเทศเพื่อขอข้อมูลพยานหลักฐานอิเล็กทรอนิกส์โดยวิธีที่ไม่เป็นทางการนัก โดยประสานงานผ่านองค์การตำรวจอาชญากรรมระหว่างประเทศ (INTERPOL) อย่างไรก็ตาม วิธีการดังกล่าวเป็นการช่วยเหลือซึ่งกันและกันทางอาญาที่ไม่มีเอกสารอย่างเป็นทางการและไม่มีการเผยแพร่ต่อสาธารณะ
อนึ่ง ปัจจุบันประเทศไทยมีความร่วมมือกับอย่างน้อย 9 ประเทศ คือ สหรัฐอเมริกา แคนาดา สหราชอาณาจักร ฝรั่งเศส นอร์เวย์ สาธารณรัฐเกาหลี สาธารณรัฐประชาชนจีน อินเดีย และออสเตรเลีย (ข้อมูลจากกรมการกงสุลและ MLAT.info)
กลับไปยัง หลักการข้อ 12
13. หลักประกันเพื่อป้องกันการเข้าถึงโดยมิชอบด้วยกฎหมาย: ไม่สอดคล้อง
ร่างพ.ร.บ.มั่นคงไซเบอร์ฯ กำหนดเพียงบทลงโทษเจ้าหน้าที่ที่เปิดเผยหรือส่งมอบข้อมูลการสื่อสารที่ได้มา (ร่างมาตรา 36) แต่สำหรับเจ้าหน้าที่ที่สอดแนมโดยมิชอบนั้น ร่างกฎหมายไม่มีกำหนดบทลงโทษไว้เลย เรียกได้ว่า ร่างกฎหมายเขียนให้อำนาจ แต่ไม่มีบทลงโทษการใช้อำนาจในทางที่ผิดเอาไว้
ร่างพ.ร.บ.มั่นคงไซเบอร์ฯ ยังไม่มีการกำหนดความคุ้มครองให้กับผู้เปิดเผยความไม่ชอบมาพากล ไม่มีการกำหนดช่องทางเยียวยาสำหรับบุคคลผู้ได้รับผลกระทบจากการสอดแนม ไม่ระบุเงื่อนไขว่า ข้อมูลที่ได้มาในลักษณะที่ไม่สอดคล้องกับหลักการทั้งหมดนี้ ย่อมไม่สามารถนำมาใช้เป็นพยานหลักฐานในศาลหรือกระบวนการยุติธรรมใดๆ รวมทั้งไม่กำหนดให้ต้องทำลายหรือส่งกลับข้อมูลที่ได้มาจากการสอดแนมคืนไปยังบุคคลที่เกี่ยวข้องหลังจากที่ข้อมูลถูกใช้ตามเป้าประสงค์แล้วด้วย
กลับไปยัง หลักการข้อ 13
อ้างอิง
- 1 Dictum in the Constitutional Court judgement of February 2008 (1 BvR 370/07 and 1BvR 595/07). อ้างถึงในเอกสาร Necessary & Proportionate: International Principles on the Application of Human Rights Law to Communications Surveillance – Background and Supporting International Legal Analysis, May 2014, หน้า 18
- 2 A/HRC/23/40 report of 17 April 2013, at para.58
- International Principles on the Application of Human Rights to Communications Surveillance
- หลักการระหว่างประเทศว่าด้วยการใช้หลักสิทธิมนุษยชนกับการสอดแนมการสื่อสาร (แปลจากฉบับปี 2556)
- Universal Implementation Guide for the International Principles on the Application on Human Rights to Communication Surveillance แนะนำการนำหลักการจำเป็นและได้สัดส่วนไปใช้