“Single Gateway” คืนชีพ ก.ไอซีทีเสนอในพ.ร.บ.คอมพ์ ให้มีวิธีระงับข้อมูลที่เข้ารหัส SSL

2016.05.26 12:00

เพิ่มเติมข้อมูล: ปรับปรุงเลขมาตราให้ตรงกับร่างที่คณะรัฐมนตรีเสนอสภานิติบัญญัติแห่งชาติในวันที่ 26 เม.ย. 2559 (เดิมใช้เลขมาตราจากร่างฉบับวันที่ 19 เม.ย. 2559) เหตุผลเกี่ยวกับการใช้วิธีการและเครื่องพิเศษเพื่อปิดกั้นข้อมูลที่ถูกเข้ารหัสนี้ ปรากฏอยู่ในตารางเปรียบเทียบแนบท้ายเอกสารที่ครม.เสนอต่อสนช. (หน้า 12-14 ของเอกสารตารางเปรียบเทียบ) หากท่านไม่เห็นด้วยกับข้อเสนอดังกล่าว สามารถลงชื่อได้ที่ https://change.org/singlegatewayreturn

พบเอกสารนำเสนอของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เสนอหลักการและเหตุผลแก้ไขมาตรา 20 ของพ.ร.บ.คอมพิวเตอร์ให้รัฐมนตรีสามารถออกประกาศกำหนดให้มีวิธีการในการปิดกั้นข้อมูลที่ถูกเข้ารหัสได้

ในหน้า 7 ของเอกสารนำเสนอดังกล่าว ระบุว่า “รัฐมนตรีอาจประกาศกำหนดหลักเกณฑ์ ระยะเวลาและแนวทางการปฏิบัติสำหรับการระงับการทำให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ของผู้ให้บริการให้เป็นไปในแนวทางเดียวกันภายใต้พัฒนาการทางเทคโนโลยีที่เปลี่ยนไป เช่น ข้อมูลคอมพิวเตอร์ที่เข้ารหัสด้วยเทคโนโลยี SSL (Secure Socket Layer) ซึ่งถูกสร้างขึ้นมาเพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ตที่มีการเข้ารหัสแบบ Public-key encryption นั้น จำเป็นต้องมีวิธีการและเครื่องมือพิเศษในการดำเนินการจึงจะสามารถกระทำได้สำเร็จ …”

เข้าถึงข้อมูลเข้ารหัส SSL - หน้า 7 จากสไลด์หลักกการและเหตุผล ร่างพ.ร.บ.คอมพิวเตอร์ (กระทรวงไอซีที)

หน้า 7 ของเอกสารนำเสนอกล่าวถึงการระงับหรือลบข้อมูลที่ถูกเข้ารหัสด้วย public-key encryption

ระบบอีเมล การสื่อสาร และการพาณิชย์อิเล็กทรอนิกส์ในปัจจุบัน ใช้เทคโนโลยี SSL (Secure Sockets Layer) หรือ TLS (Transport Layer Security) ในการเข้ารหัสข้อมูลเป็นการทั่วไปเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้ ผู้ใช้อินเทอร์เน็ตอาจทราบได้ว่าเว็บไซต์ใดเข้ารหัสข้อมูล ด้วยการสังเกตที่อยู่เว็บไซต์ขึ้นต้นด้วยคำว่า https

ร่างพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่..) พ.ศ. …. ฉบับวันที่ 19 เมษายน 2559 ซึ่งผ่านสภานิติบัญญัติแห่งชาติ (สนช.) พิจารณาเห็นชอบในวาระที่หนึ่งไปแล้วนั้น นอกจากจะแก้ไขมาตรา 20 ให้สามารถปิดกั้นข้อมูลคอมพิวเตอร์ได้ แม้ข้อมูลนั้นจะไม่ผิดกฎหมายใดแล้ว ยังแก้ไขมาตรา 20 และ มาตรา 15 ให้รัฐมนตรีกระทรวงดิจิทัลมีอำนาจออกประกาศเพิ่มเติมเรื่องขั้นตอนการปิดกั้นเว็บได้ [ร่างมาตรา 14 แก้ไขมาตรา 20 และร่างมาตรา 9 แก้ไขมาตรา 15] โดยหากผู้ให้บริการอินเทอร์เน็ตไม่ทำตามประกาศดังกล่าวก็อาจจะต้องรับโทษ ซึ่งการออกประกาศเกี่ยวกับ SSL หรือ public-key encryption ในสไลด์ข้างต้นเป็นอำนาจตามมาตรา 20 และ 15 นี้

แก้ไขมาตรา 20 ให้สามารถปิดกั้นข้อมูลที่ผิดตามกฎหมายอื่นที่ไม่ใช่พ.ร.บ.คอมพิวเตอร์ได้ รวมถึงข้อมูลที่ไม่ผิดกฎหมาย แต่อาจขัดความสงบเรียบร้อยหรือศีลธรรมอันดี

แก้ไขมาตรา 20 ให้สามารถปิดกั้นข้อมูลที่ผิดตามกฎหมายอื่นที่ไม่ใช่พ.ร.บ.คอมพิวเตอร์ได้ รวมถึงข้อมูลที่ไม่ผิดกฎหมาย แต่อาจขัดความสงบเรียบร้อยหรือศีลธรรมอันดี

ร่างแก้ไขมาตรา 15 พ.ร.บ.คอมพิวเตอร์

แก้ไขมาตรา 15 ให้รัฐมนตรีมีอำนาจออกประกาศเพิ่มเติมเรื่องขั้นตอนการปิดกั้นข้อมูลได้

ข้อเสนอนี้สอดคล้องกับคำสั่งกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ที่ 163/2557 เรื่อง แต่งตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์ ซึ่งระบุว่าคณะทำงานด้านสื่อออนไลน์ ภายใต้คณะกรรมการเพื่อติดตามการเผยแพร่ข่าวสารต่อสาธารณะ (ซึ่งแต่งตั้งตามคำสั่ง คสช. (เฉพาะ) ที่ 12/2557 ลงวันที่ 19 มิ.ย. 2557) “พบว่ามีอุปสรรคในการตรวจสอบและปิดกั้นเว็บไซต์ที่มีการเข้ารหัสป้องกันข้อมูล (SSL : Secure Socket Layer)” ดังนั้นกระทรวงไอซีที “จึงเห็นควรให้มีการจัดหาและทดสอบประสิทธิภาพของอุปกรณ์ระบบเฝ้าติดตามสื่อออนไลน์เพื่อสนับสนุนการปฏิบัติงานของคณะทำงานด้านสื่อออนไลน์ให้เป็นไปด้วยความเรียบร้อยและมีประสิทธิภาพ”

ทั้งนี้คณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์ตามคำสั่งที่ 163/2557 ดังกล่าว มีอำนาจหน้าที่ 4 เรื่อง โดยสองเรื่องแรกคือ “1. ควบคุมการทดสอบระบบเฝ้าติดตามสื่อออนไลน์ที่มีการเข้ารหัสป้องกันข้อมูล (SSL : Secure Socket Layer) และประเมินผล เพื่อให้ได้ระบบที่มีประสิทธิภาพสูงสุด เหมาะสมในการใช้งานสำหรับประเทศไทย” และ “2. ประสานทางเทคนิคกับผู้ประกอบการและผู้ให้บริการอินเทอร์เน็ตภายในประเทศและที่เชื่อมต่อกับต่างประเทศโดยตรง (International Internet Gateway) ในการทดสอบระบบเฝ้าติดตามสื่อออนไลน์”

คำสั่งกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ที่ 163/2557 เรื่อง แต่งตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์

คำสั่งกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ที่ 163/2557 เรื่อง แต่งตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์

ผู้ใช้อินเทอร์เน็ตที่ทำงานด้านความมั่นคงปลอดภัยของระบบเครือข่ายมองเรื่องนี้ว่า สาเหตุที่จำเป็นต้องประสานการทำงานกับทางผู้ให้บริการอินเทอร์เน็ต อาจเป็นเพราะวิธีหนึ่งที่จะเข้าถึงข้อมูลที่ถูกเข้ารหัส คือการใช้วิธีที่เรียกว่า “Man-in-the-Middle Attack” ซึ่งหากผู้ให้บริการอินเทอร์เน็ตให้ความร่วมมือก็จะทำงานได้แนบเนียนขึ้น

หากร่างกฎหมายฉบับนี้ผ่าน มาตรา 15 ซึ่งกำหนดว่า “ผู้ให้บริการผู้ใดให้ความร่วมมือ ยินยอม หรือรู้เห็นเป็นใจให้มีการกระทำความผิด” จะต้องรับโทษด้วย จะเป็นภาระทางกฎหมายที่กดดันให้ผู้ให้บริการจำเป็นต้องให้ความร่วมมือกับเจ้าหน้าที่รัฐ ในการช่วยเหลือระงับข้อมูลที่ถูกเข้ารหัสได้ ทั้งนี้ก่อนที่จะระงับตัวข้อมูลได้ จำเป็นต้องเข้าถึงข้อมูลให้ทราบได้ก่อนว่าข้อมูลนั้นคืออะไร

ปกติการปิดกั้นเว็บไซต์ในปัจจุบัน จะใช้วิธีให้ผู้ให้บริการเข้าถึงอินเทอร์เน็ตตรวจสอบที่อยู่เว็บไซต์ (url) ที่ผู้ใช้เรียกดู เทียบกับรายการปิดกั้น (block list) โดยถ้าพบว่าที่อยู่ที่เรียกในตรงกับชื่อในรายการ ก็จะปิดกั้น — อย่างไรก็ตาม กรณีที่ผู้ใช้ติดต่อกับเว็บไซต์ที่มีที่อยู่ขึ้นต้นด้วย https:// ซึ่งหมายความว่ามีการเข้ารหัสข้อมูลที่ส่ง สิ่งที่ผู้ให้บริการเข้าถึงอินเทอร์เน็ตเห็นจะมีเพียงชื่อโดเมน ไม่มีส่วนอื่นๆ ของที่อยู่ เช่น หากผู้ใช้เข้าดูหน้าเว็บ https://www.facebook.com/thainetizen ที่อยู่ที่ผู้ให้บริการเข้าถึงอินเทอร์เน็ตจะมีเพียง https://www.facebook.com เท่านั้น ทำให้ไม่สามารถปิดกั้นเฉพาะหน้า https://www.facebook.com/thainetizen ได้ หากต้องการปิดกั้น ก็จะต้องปิดกั้นทั้ง https://www.facebook.com ซึ่งจะกระทบกับหน้าอื่นๆ ในเว็บไซต์เดียวกันด้วย — ด้วยเหตุนี้ หากต้องการจะปิดกั้นเว็บไซต์ที่เข้ารหัสเป็นรายหน้า ก็จำเป็นต้องหาวิธีการถอดรหัสให้ได้ เพื่อให้ทราบที่อยู่

ในทางเทคนิค วิธีการและเครื่องมือในการเข้าถึงข้อมูลที่ถูกเข้ารหัสดังกล่าว หากมีการนำมาใช้ จะสามารถเข้าถึงข้อมูลที่เข้ารหัสได้ทุกชนิด เช่น การโอนเงิน สั่งซื้อสินค้าออนไลน์ ไม่เจาะจงเฉพาะกับเนื้อหาที่ผิดกฎหมายหรือขัดศีลธรรม

ขณะนี้ ร่างแก้ไขพ.ร.บ.คอมพิวเตอร์ดังกล่าวผ่านการเห็นชอบจากสภานิติบัญญัติแห่งชาติ (สนช.) ในวาระแรกไปแล้ว และกำลังอยู่ระหว่างการพิจาณาของคณะกรรมาธิการวิสามัญพิจารณาร่างฯ โดยมีกำหนดแล้วเสร็จประมาณสิ้นเดือนมิถุนายน 2559 หลังจากนั้นจะส่งให้กับสนช.พิจารณาวาระที่ 2 และที่ 3 ต่อไป ก่อนจะประกาศใช้เป็นกฎหมาย

หากท่านไม่เห็นด้วยกับข้อเสนอดังกล่าว ลงชื่อเรียกร้องให้สภานิติบัญญัติแห่งชาติทบทวนได้ที่ https://change.org/singlegatewayreturn

อ่าน ข้อเสนอ 12 ข้อ ของเครือข่ายพลเมืองเน็ตต่อร่างพ.ร.บ.คอมพิวเตอร์

เหตุผลในการแก้ไขพ.ร.บ.คอมพิวเตอร์ มาตรา 20 หน้า 12

เหตุผลในการแก้ไขพ.ร.บ.คอมพิวเตอร์ มาตรา 20 หน้า 13

เหตุผลในการแก้ไขพ.ร.บ.คอมพิวเตอร์ มาตรา 20 หน้า 14

เอกสารนำเสนอฉบับเต็ม

Download (PDF, 3.35MB)

ร่างพ.ร.บ.คอมพิวเตอร์และเอกสารแนบท้ายที่คณะรัฐมนตรีเสนอต่อสภานิติบัญญัติแห่งชาติ (26 เม.ย. 2559)

Download (PDF, 2.8MB)

Tags: , , , , , , ,
%d bloggers like this: