กฎหมาย 4.0

กฎหมาย 4.0

สนช.ผ่านกฎหมายสำคัญที่เกี่ยวกับเทคโนโลยีสารสนเทศและการคุ้มครองสิทธิของปัจเจกชนจำนวน 2 ฉบับ ในช่วงเดือนก.พ.ที่ผ่านมา

ได้แก่ร่างพระราชบัญญัติ(พ.ร.บ.)คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ...และร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ...โดยกฎหมายทั้ง 2 ฉบับถือเป็นกฎหมายในยุค 4.0 อย่างแท้จริง เนื่องจากเป็นกฎหมายที่ตราขึ้นเพื่อให้บริบทของกฎหมายทันต่อการเปลี่ยนแปลงของเทคโนโลยีและความก้าวหน้าของอุตสาหกรรมในยุคที่ AI Big data และ IoT เข้ามามีบทบาทมากขึ้น

ร่างกฎหมายทั้ง 2 ฉบับที่จะมีผลบังคับใช้เป็นกฎหมายในอนาคตมีหลักการที่น่าสนใจหลายๆ ประการ ดังนี้

การขอความยินยอม

การขอความยินยอมเป็นหัวใจสำคัญที่สุดของการคุ้มครองข้อมูลส่วนบุคคล ร่าง พ.ร.บ. จึงกำหนดว่าต้องทำโดยชัดแจ้งและในการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย โดยในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม และในการถอนความยินยอมที่จะเพิกถอนเสียเมื่อใดก็ได้ ก็จะต้องกระทำได้โดยง่ายเช่นเดียวกันกับการให้ความยินยอม (ร่างมาตรา 19)

สิทธิในการขอให้ลบหรือทำลายข้อมูลส่วนบุคล

หลักการดังกล่าวสอดคล้องกับหลักเกณฑ์ของ GDPR โดยร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องเป็นผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่ายเพื่อให้เป็นไปตามคำขอนั้น

กฎหมาย 4.0

ในขณะที่ร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ฯ ก็มีประเด็นที่น่าสนใจหลายๆ ประการ ผู้เขียนขอนำมาแลกเปลี่ยนเฉพาะในส่วนที่อาจจะยังไม่มีใครกล่าวถึงมากนักใน 2 ประเด็น ดังนี้

ขอบเขตในเชิงเนื้อหาของกฎหมาย

  ร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ฯ ของไทย มีลักษณะขอบเขตในเชิงเนื้อหาของกฎหมายใกล้เคียงกับ Cybersecurity Act 2016 ของประเทศสิงคโปร์อย่างมาก โดยเฉพาะการกำหนดให้ภัยคุกคามทางไซเบอร์ หมายความรวมถึงภัยคุกคามทางไซเบอร์ที่กระทำต่อหน่วยงานของรัฐด้วย แต่กฎหมายของสิงคโปร์นั้นมีข้อแตกต่างอย่างมีนัยสำคัญ กล่าวคือการใช้มาตรการในการรับมือภัยคุกคามทางไซเบอร์ต่อหน่วยงานของรัฐนั้นต้องใช้ในกรณีที่เป็นภัยคุกคามที่ร้ายแรงและใกล้จะเกิดขึ้นเท่านั้น (serious and imminent) และเฉพาะต่อกรณี ดังนี้

1) เป็นภัยคุกคามทางไซเบอร์ที่จะเกิดแก่บริการสำคัญของประเทศ (essential service) ซึ่งบริการสำคัญของประเทศจะถูกจำแนกออกเป็น 11 ลักษณะ 46 ประเภทบริการ ซึ่งหนึ่งในจำนวนนั้นมี 2 บริการ ที่เกี่ยวเนื่องกับการให้บริการของภาครัฐโดยตรงได้แก่ การให้บริการทางอิเล็กทรอนิกส์ของภาครัฐต่อประชาชน และระบบข้อมูลข่าวสารทางอิเล็กทรอนิกส์ของหน่วยงานภายในองค์กรของรัฐ หรือ

2) ในกรณีที่เกี่ยวกับความมั่นคง การป้องกันประเทศ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ และความสงบเรียบร้อยของประเทศ

แต่เมื่อพิจารณาบทบัญญัติของกฎหมายไทยจะพบว่า การรับมือภัยคุกคามทางไซเบอร์นั้นใช้มาตรการเดียวกันระหว่างภัยคุกคามต่อ “ระบบสารสนเทศซึ่งอยู่ในความดูแลรับผิดชอบของหน่วยงานรัฐ” และ “หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ” ในขณะที่หลายๆ ประเทศออกแบบระบบกฎหมายการรักษาความมั่นคงปลอดภัยไซเบอร์มาเพื่อคุ้มครอง “หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ” จากการโจมตีทางไซเบอร์เท่านั้น ซึ่งแน่นอนว่าหน่วยงานและบริการของรัฐบางลักษณะก็อาจจะอยู่ในกลุ่มหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศก็ได้ แต่ไม่ใช่ทุกหน่วยงาน

ดังนั้น แม้ในร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ฯ จะกำหนดประเภทกิจการและหน่วยงานที่จะถือว่าเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ไว้ 8 จำพวก ได้แก่ ความมั่นคงของรัฐ บริการภาครัฐที่สำคัญ การเงินการธนาคาร เทคโนโลยีสารสนเทศและโทรคมนาคม การขนส่งและโลจิสติกส์ พลังงานและสาธารณูปโภค ด้านสาธารณสุข และด้านอื่นๆ ตามที่คณะกรรมการประกาศกำหนดจึงอาจไม่มีความจำเป็นใดๆ เลย เพราะหน่วยงานของรัฐอยู่ในกลุ่มพิเศษแยกต่างหากออกมาแล้ว

มาตรการในการรับมือภัยคุกคามทางไซเบอร์

ร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ฯ กำหนดมาตรการในการรับมือภัยคุกคามทางไซเบอร์ ระดับความร้ายแรง และวิธีการบรรเทาความเสียหายไว้หลาย ๆ ประการ แต่ที่ผู้เขียนเห็นว่าน่าสนใจและอาจกระทบต่อสิทธิของบุคคลอย่างรุนแรงมีดังนี้

ปัญหาที่น่ากังวลคือ การพิจารณาว่ากรณีใดเป็นภัยคุกคามระดับใด เป็นเรื่องที่ให้อำนาจแก่หน่วยงานของรัฐในการใช้อำนาจอย่างกว้างขวางในการใช้ดุลพินิจในการตีความ และผู้เขียนเชื่อว่ากฎหมายทั้งสองฉบับนี้จะส่งผลต่อพฤติกรรมของผู้ใช้ ผู้ประกอบการ และหน่วยงานกำกับดูแลอย่างมีนัยสำคัญอย่างแน่นอนครับ

โดย... 

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์