2016.05.26 12:00
รณรงค์: ขอเสียงประชาชนหยุด! ร่าง พ.ร.บ.คอมฯ ฉบับใหม่
เพิ่มข้อมูล: ปรับปรุงเลขมาตราให้ตรงกับร่างที่คณะรัฐมนตรีเสนอสภานิติบัญญัติแห่งชาติในวันที่ 26 เม.ย. 2559 (เดิมใช้เลขมาตราจากร่างฉบับวันที่ 19 เม.ย. 2559) เหตุผลเกี่ยวกับการใช้วิธีการและเครื่องพิเศษเพื่อปิดกั้นข้อมูลที่ถูกเข้ารหัสนี้ ปรากฏอยู่ในตารางเปรียบเทียบแนบท้ายเอกสารที่ครม.เสนอต่อสนช. (หน้า 12-14 ของเอกสารตารางเปรียบเทียบ) หากท่านไม่เห็นด้วยกับข้อเสนอดังกล่าว สามารถลงชื่อได้ที่ https://change.org/singlegatewayreturn
เพิ่มข้อมูล 13 ธ.ค. 2559: ประกาศกระทรวงดิจิทัลที่รัฐมนตรีจะประกาศตามอำนาจมาตรา 20 มีเป็นร่างแล้ว โดยในข้อ 8 จะให้อำนาจกับผู้ให้บริการดำเนิน “มาตรการทางเทคนิคใดๆ” และข้อ 4 ให้กระทรวงดิจิทัลตั้ง “ระบบคอมพิวเตอร์ศูนย์กลาง” ให้เจ้าหน้าที่ระงับหรือลบข้อมูลคอมพิวเตอร์ได้เอง โดยระบบดังกล่าวอาจเชื่อมโยงกับผู้ให้บริการแต่ละราย ดูร่างพ.ร.บ.คอมพิวเตอร์ฉบับที่คณะกรรมาธิการวิสามัญฯส่งเข้าสนช.วาระที่ 2 http://library.senate.go.th/document/mSubject/Ext64/64240_0001.PDF (ร่าง 9 ธ.ค. 2559) และร่างประกาศกระทรวงดิจิทัลฯ ประกอบพ.ร.บ.คอมพิวเตอร์ https://ictlawcenter.etda.or.th/activities/detail/public-hearing-CC-bills (ร่าง 18 พ.ย. 2559)
พบเอกสารนำเสนอของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เสนอหลักการและเหตุผลแก้ไขมาตรา 20 ของพ.ร.บ.คอมพิวเตอร์ให้รัฐมนตรีสามารถออกประกาศกำหนดให้มีวิธีการในการปิดกั้นข้อมูลที่ถูกเข้ารหัสได้
ในหน้า 7 ของเอกสารนำเสนอดังกล่าว ระบุว่า “รัฐมนตรีอาจประกาศกำหนดหลักเกณฑ์ ระยะเวลาและแนวทางการปฏิบัติสำหรับการระงับการทำให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ของผู้ให้บริการให้เป็นไปในแนวทางเดียวกันภายใต้พัฒนาการทางเทคโนโลยีที่เปลี่ยนไป เช่น ข้อมูลคอมพิวเตอร์ที่เข้ารหัสด้วยเทคโนโลยี SSL (Secure Socket Layer) ซึ่งถูกสร้างขึ้นมาเพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ตที่มีการเข้ารหัสแบบ Public-key encryption นั้น จำเป็นต้องมีวิธีการและเครื่องมือพิเศษในการดำเนินการจึงจะสามารถกระทำได้สำเร็จ …”
ระบบอีเมล การสื่อสาร และการพาณิชย์อิเล็กทรอนิกส์ในปัจจุบัน ใช้เทคโนโลยี SSL (Secure Sockets Layer) หรือ TLS (Transport Layer Security) ในการเข้ารหัสข้อมูลเป็นการทั่วไปเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้ ผู้ใช้อินเทอร์เน็ตอาจทราบได้ว่าเว็บไซต์ใดเข้ารหัสข้อมูล ด้วยการสังเกตที่อยู่เว็บไซต์ขึ้นต้นด้วยคำว่า https
ร่างพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่..) พ.ศ. …. ฉบับวันที่ 19 เมษายน 2559 ซึ่งผ่านสภานิติบัญญัติแห่งชาติ (สนช.) พิจารณาเห็นชอบในวาระที่หนึ่งไปแล้วนั้น นอกจากจะแก้ไขมาตรา 20 ให้สามารถปิดกั้นข้อมูลคอมพิวเตอร์ได้ แม้ข้อมูลนั้นจะไม่ผิดกฎหมายใดแล้ว ยังแก้ไขมาตรา 20 และ มาตรา 15 ให้รัฐมนตรีกระทรวงดิจิทัลมีอำนาจออกประกาศเพิ่มเติมเรื่องขั้นตอนการปิดกั้นเว็บได้ [ร่างมาตรา 14 แก้ไขมาตรา 20 และร่างมาตรา 9 แก้ไขมาตรา 15] โดยหากผู้ให้บริการอินเทอร์เน็ตไม่ทำตามประกาศดังกล่าวก็อาจจะต้องรับโทษ ซึ่งการออกประกาศเกี่ยวกับ SSL หรือ public-key encryption ในสไลด์ข้างต้นเป็นอำนาจตามมาตรา 20 และ 15 นี้
ข้อเสนอนี้สอดคล้องกับคำสั่งกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ที่ 163/2557 เรื่อง แต่งตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์ ซึ่งระบุว่าคณะทำงานด้านสื่อออนไลน์ ภายใต้คณะกรรมการเพื่อติดตามการเผยแพร่ข่าวสารต่อสาธารณะ (ซึ่งแต่งตั้งตามคำสั่ง คสช. (เฉพาะ) ที่ 12/2557 ลงวันที่ 19 มิ.ย. 2557) “พบว่ามีอุปสรรคในการตรวจสอบและปิดกั้นเว็บไซต์ที่มีการเข้ารหัสป้องกันข้อมูล (SSL : Secure Socket Layer)” ดังนั้นกระทรวงไอซีที “จึงเห็นควรให้มีการจัดหาและทดสอบประสิทธิภาพของอุปกรณ์ระบบเฝ้าติดตามสื่อออนไลน์เพื่อสนับสนุนการปฏิบัติงานของคณะทำงานด้านสื่อออนไลน์ให้เป็นไปด้วยความเรียบร้อยและมีประสิทธิภาพ”
ทั้งนี้คณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์ตามคำสั่งที่ 163/2557 ดังกล่าว มีอำนาจหน้าที่ 4 เรื่อง โดยสองเรื่องแรกคือ “1. ควบคุมการทดสอบระบบเฝ้าติดตามสื่อออนไลน์ที่มีการเข้ารหัสป้องกันข้อมูล (SSL : Secure Socket Layer) และประเมินผล เพื่อให้ได้ระบบที่มีประสิทธิภาพสูงสุด เหมาะสมในการใช้งานสำหรับประเทศไทย” และ “2. ประสานทางเทคนิคกับผู้ประกอบการและผู้ให้บริการอินเทอร์เน็ตภายในประเทศและที่เชื่อมต่อกับต่างประเทศโดยตรง (International Internet Gateway) ในการทดสอบระบบเฝ้าติดตามสื่อออนไลน์”
ผู้ใช้อินเทอร์เน็ตที่ทำงานด้านความมั่นคงปลอดภัยของระบบเครือข่ายมองเรื่องนี้ว่า สาเหตุที่จำเป็นต้องประสานการทำงานกับทางผู้ให้บริการอินเทอร์เน็ต อาจเป็นเพราะวิธีหนึ่งที่จะเข้าถึงข้อมูลที่ถูกเข้ารหัส คือการใช้วิธีที่เรียกว่า “Man-in-the-Middle Attack” ซึ่งหากผู้ให้บริการอินเทอร์เน็ตให้ความร่วมมือก็จะทำงานได้แนบเนียนขึ้น
หากร่างกฎหมายฉบับนี้ผ่าน มาตรา 15 ซึ่งกำหนดว่า “ผู้ให้บริการผู้ใดให้ความร่วมมือ ยินยอม หรือรู้เห็นเป็นใจให้มีการกระทำความผิด” จะต้องรับโทษด้วย จะเป็นภาระทางกฎหมายที่กดดันให้ผู้ให้บริการจำเป็นต้องให้ความร่วมมือกับเจ้าหน้าที่รัฐ ในการช่วยเหลือระงับข้อมูลที่ถูกเข้ารหัสได้ ทั้งนี้ก่อนที่จะระงับตัวข้อมูลได้ จำเป็นต้องเข้าถึงข้อมูลให้ทราบได้ก่อนว่าข้อมูลนั้นคืออะไร
ปกติการปิดกั้นเว็บไซต์ในปัจจุบัน จะใช้วิธีให้ผู้ให้บริการเข้าถึงอินเทอร์เน็ตตรวจสอบที่อยู่เว็บไซต์ (url) ที่ผู้ใช้เรียกดู เทียบกับรายการปิดกั้น (block list) โดยถ้าพบว่าที่อยู่ที่เรียกในตรงกับชื่อในรายการ ก็จะปิดกั้น — อย่างไรก็ตาม กรณีที่ผู้ใช้ติดต่อกับเว็บไซต์ที่มีที่อยู่ขึ้นต้นด้วย https:// ซึ่งหมายความว่ามีการเข้ารหัสข้อมูลที่ส่ง สิ่งที่ผู้ให้บริการเข้าถึงอินเทอร์เน็ตเห็นจะมีเพียงชื่อโดเมน ไม่มีส่วนอื่นๆ ของที่อยู่ เช่น หากผู้ใช้เข้าดูหน้าเว็บ https://www.facebook.com/thainetizen ที่อยู่ที่ผู้ให้บริการเข้าถึงอินเทอร์เน็ตจะมีเพียง https://www.facebook.com เท่านั้น ทำให้ไม่สามารถปิดกั้นเฉพาะหน้า https://www.facebook.com/thainetizen ได้ หากต้องการปิดกั้น ก็จะต้องปิดกั้นทั้ง https://www.facebook.com ซึ่งจะกระทบกับหน้าอื่นๆ ในเว็บไซต์เดียวกันด้วย — ด้วยเหตุนี้ หากต้องการจะปิดกั้นเว็บไซต์ที่เข้ารหัสเป็นรายหน้า ก็จำเป็นต้องหาวิธีการถอดรหัสให้ได้ เพื่อให้ทราบที่อยู่
ในทางเทคนิค วิธีการและเครื่องมือในการเข้าถึงข้อมูลที่ถูกเข้ารหัสดังกล่าว หากมีการนำมาใช้ จะสามารถเข้าถึงข้อมูลที่เข้ารหัสได้ทุกชนิด เช่น การโอนเงิน สั่งซื้อสินค้าออนไลน์ ไม่เจาะจงเฉพาะกับเนื้อหาที่ผิดกฎหมายหรือขัดศีลธรรม
ขณะนี้ ร่างแก้ไขพ.ร.บ.คอมพิวเตอร์ดังกล่าวผ่านการเห็นชอบจากสภานิติบัญญัติแห่งชาติ (สนช.) ในวาระแรกไปแล้ว และคณะกรรมาธิการวิสามัญพิจารณาร่างฯพิจารณาเสร็จสิ้นแล้ว ต่อจากนี้จะส่งให้กับสนช.พิจารณาวาระที่ 2 และที่ 3 ต่อไป ในวันที่ 15 ธันวาคม 2559 ก่อนจะประกาศใช้เป็นกฎหมาย
หากท่านไม่เห็นด้วยกับข้อเสนอดังกล่าว รีบอีเมลถึงสมาชิกสภานิติบัญญัติแห่งชาติ ก่อนเริ่มพิจารณาวาระ 2 และ 3 ในเช้าวันที่ 15 พ.ค. 2559
อ่าน ข้อเสนอ 12 ข้อ ของเครือข่ายพลเมืองเน็ตต่อร่างพ.ร.บ.คอมพิวเตอร์ https://change.org/singlegatewayreturn
ร่างพ.ร.บ.คอมพิวเตอร์และเอกสารแนบท้ายที่คณะรัฐมนตรีเสนอต่อสภานิติบัญญัติแห่งชาติ (26 เม.ย. 2559)
Tags: Computer-related Crime Act, cybersecurity, Digital Economy Bills, encryption, Ministry of Information and Communication Technology, privacy, single gateway, surveillance