“คน” ต้องมาก่อน “เทคโนโลยี” (9) ***

ผู้อ่านที่เป็นแฟนประจำคอลัมน์นี้อาจพอจำได้ว่า เมื่อสามปีก่อน (พ.ศ. 2558) ผู้เขียนเคยเขียนซีรีส์บทความเกี่ยวกับ “ชุดกฎหมายดิจิทัล”

 ซึ่งรัฐบาล คสช. พยายามผลักดันโดยอ้างว่าสำคัญต่อการสร้าง “เศรษฐกิจดิจิทัล” แต่ผู้เขียนมองว่ากฎหมายชุดนี้อยากสร้างและค้ำจุน “ความมั่นคงดิจิทัล” มากกว่า โดยที่ “ความมั่นคง” หมายถึงความมั่นคงของรัฐบาล ไม่ใช่ความมั่นคงของชาติหรือของประชาชน 

และในเมื่อเน้นความมั่นคงของรัฐบาล ชุดกฎหมายนี้ก็จะบั่นทอนมากกว่าส่งเสริม “เศรษฐกิจดิจิทัล” เนื่องจากเศรษฐกิจดิจิทัลต้องเดินด้วย “ความไว้วางใจ” เป็นหลัก โดยเฉพาะความไว้วางใจของประชาชนและเอกชนต่อรัฐ

เนื้อหาหลักของร่างกฎหมายหลายฉบับในชุดกฎหมายนี้ให้อำนาจรัฐอย่างกว้างขวาง ปราศจากกลไกโปร่งใส (transparency) และกลไกรับผิด (accountability) ใดๆ เขียนนิยามต่างๆ อย่างตีขลุมเหมารวม ตรงข้ามกับหลักการเขียนกฎหมายที่ดีอย่างสิ้นเชิง และที่สำคัญที่สุดคือ ในเมื่อให้อำนาจรัฐอย่างกว้างขวางและไม่นิยามฐานความผิดอย่างรัดกุม ก็เท่ากับว่าเปิดช่องให้กฎหมายถูกเจ้าหน้าที่แย่ๆ นำไปใช้ปิดปากและข่มขู่คุกคามผู้ที่ออกมาวิพากษ์วิจารณ์การใช้อำนาจรัฐ

ซึ่งนั่นก็คือสิ่งที่เกิดขึ้นหลังจากที่ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับแก้ไข) กฎหมายฉบับหนึ่งในชุดกฎหมายนี้มีผลบังคับใช้ในปี พ.ศ. 2560 ดังที่เราจะเห็นเป็นข่าวอยู่เนืองๆ (ดูสรุปคดีบางส่วนได้จากเว็บ iLaw - https://ilaw.or.th/node/4901)

ในบรรดาร่างกฎหมายทั้งหมดในชุดกฎหมาย “ความมั่นคงดิจิทัล” ฉบับที่แย่ที่สุดและดังนั้นจึงถูกประณามมากที่สุด คือ ร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … ซึ่งมี สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. เป็นหน่วยงานยกร่าง

กฎหมายลักษณะนี้ในต่างประเทศมีขึ้นเพื่อช่วยดูแลระบบและป้องกันการโจมตีต่อระบบ (cyberattacks) ซึ่งนับวันเป็นภัยคุกคามที่อันตรายร้ายแรงขึ้น ซึ่งในเนื้อหาร่างกฎหมายของไทยก็มี เช่น หน่วยงานใหม่ชื่อ ‘คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ’ หรือ กปช. ที่มีนายกรัฐมนตรีเป็นประธาน มีอำนาจสั่งให้องค์กรที่ดูแลระบบคอมพิวเตอร์ของระบบ “สาธารณูปโภคสำคัญ” (critical infrastructure) อาทิ ไฟฟ้า น้ำประปา โรงพยาบาล สนามบิน โทรคมนาคม ลบมัลแวร์ หยุดการเชื่อมต่อเน็ตเวิร์ก ปรับปรุงระดับความปลอดภัยของระบบ ฯลฯ ได้

ฟังเผินๆ ดูดี แต่รายละเอียดของร่างกฎหมายฉบับนี้มีปัญหามาก โดยเฉพาะการให้อำนาจ กปช. แบบ “เหวี่ยงแห” ซึ่งผู้เขียนเห็นว่าจะนำไปสู่การใช้กฎหมายนี้ปิดปากกลั่นแกล้งผู้วิจารณ์รัฐอย่างแน่นอน เหมือนกับกรณีของ พ.ร.บ. คอมพิวเตอร์

ถึงแม้จะกลับไปแก้ถึงสามปีแล้ว ร่างใหม่ที่กลับมาใหม่ในเดือนตุลาคม 2561 ก็ยังมีปัญหาเดิม ผู้เขียนเห็นด้วยกับคุณอาทิตย์ สุริยะวงศ์กุล จากเครือข่ายพลเมืองเน็ต ที่สรุปปัญหาของร่างกฎหมายนี้ (อ่านฉบับเต็มได้ที่ https://thainetizen.org/docs/cybersecurity-bill-comments-20181012/) โดยผู้เขียนสรุปความได้ว่า 

1.ขอบเขตและเงื่อนไขการใช้อำนาจตามกฎหมายไม่มีความชัดเจน ไม่มีกลไกตรวจสอบการใช้อำนาจ

ร่างกฎหมายฉบับนี้จะให้อำนาจพิเศษจำนวนมากกับเจ้าหน้าที่รัฐและหน่วยงานของรัฐ ซึ่งจะมีผลกระทบต่อประชาชนทุกคน กฎหมายลักษณะนี้โดยปกติจำเป็นต้องมีการกำหนดขอบเขตและเงื่อนไขการใช้อำนาจอย่างเคร่งครัด เช่น ขอบเขตพื้นที่ (territorial scope) ขอบเขตเวลา (temporal scope) ขอบเขตในแง่ลักษณะของกิจกรรมหรือสิ่งที่จะเข้าข่ายให้สามารถใช้อำนาจได้ (material scope) รวมถึงพิจารณากลไกที่จะตรวจสอบการใช้อำนาจ อย่างไรก็ตาม ร่างกฎหมายฉบับนี้ แทบไม่มีการกำหนดขอบเขตอำนาจเลย และกลไกตรวจสอบการใช้อำนาจมีเพียงอนุมาตราเดียว คือมาตรา 58 (4) ซึ่งเป็นเพียงการพิจารณายืดระยะเวลาหลังจากที่พนักงานเจ้าหน้าที่ได้ยึดอุปกรณ์ไปแล้วสามสิบวัน (การยึดในตอนแรกนั้นสามารถทำได้ทันทีโดยไม่ต้องขอศาล) ส่วนบทกำหนดโทษสำหรับสำนักงานหรือพนักงานเจ้าหน้าที่นั้น ไม่มีเลย

2.ไม่แบ่งประเภทของข้อมูลที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์อย่างชัดเจน ขาดเกณฑ์การเข้าถึงข้อมูลประเภทต่างๆ รวมถึงประเภทข้อมูลที่มีความอ่อนไหวและห้ามเข้าถึง

[กฎหมายฉบับนี้] ให้อำนาจสำนักงาน เลขาธิการ และพนักงานเจ้าหน้าที่ ในการเข้าถึงข้อมูลอย่างกว้างขวาง ทั้งการรวบรวมข้อมูลโดยตัวสำนักงานเอง (มาตรา 53) การขอข้อมูล เรียกให้บุคคลมาให้ข้อมูลกับพนักงานเจ้าหน้าที่ เข้าไปในสถานประกอบการ ตรวจสอบสถานที่ ตรวจสอบคอมพิวเตอร์ และยึดอุปกรณ์เพื่อรวบรวมข้อมูล (มาตรา 54, 57 และ 58) การขอให้หน่วยงานรัฐและเอกชนให้ข้อมูลกับสำนักงาน (มาตรา 55) อย่างไรก็ตาม ในร่างกฎหมายไม่ได้มีการกำหนดว่า “ข้อมูล” ดังกล่าวครอบคลุมถึงข้อมูลประเภทใด ลักษณะใดบ้าง ทำให้ไม่สามารถกำหนดหลักเกณฑ์การเข้าถึงข้อมูลที่เหมาะสมกับข้อมูลที่มีลักษณะต่างๆ กัน มีเพียงมาตราเดียวที่จำแนกข้อมูลออกเป็นประเภทย่อยๆ คือมาตรา 46 ที่แบ่งข้อมูลเป็น 3 ประเภทคือ 1) ข้อมูลการออกแบบระบบฯ 2) ข้อมูลการทำงานของระบบฯ และ 3) ข้อมูลอื่นใด อย่างไรก็ตาม เมื่อมีการกล่าวถึง “ข้อมูล” ในมาตราอื่นๆ ก็ไม่ปรากฏว่ามีการอ้างอิงนิยามหรือการจำแนกตามมาตรา 46 แต่อย่างใด

3.ขาดกลไกคุ้มครองข้อมูลส่วนบุคคลอย่างสิ้นเชิง

ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. … ฉบับรับฟังความคิดเห็นเดือนกันยายน 2561 ซึ่งจะเข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติในเวลาไล่เลี่ยกับร่างกฎหมายฉบับนี้ ในมาตรา 4(2) ระบุว่า “[พระราชบัญญัตินี้ไม่ใช้บังคับแก่] การดำเนินการของหน่วยงานรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐหรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงินหรือนิติวิทยาศาสตร์” การยกเว้นดังกล่าวจะทำให้ข้อมูลส่วนบุคคลที่สำนักงาน เลขาธิการ และพนักงานเจ้าหน้าที่ ตามพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ สามารถเข้าถึงได้ ไม่ได้รับการคุ้มครองตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เท่ากับประชาชนจะขาดกลไกหลักสำหรับการคุ้มครองข้อมูลของตัวเองไปในทันที

4.ขาดเงื่อนไขและการตรวจสอบการใช้อำนาจของเจ้าหน้าที่ กรณีเข้าถึงและตรวจข้อมูล อุปกรณ์ สถานที่ และสั่งการผู้ครอบครองระบบ

ในการปฏิบัติการตามมาตรา 54, 55, 56, 57, และ 58 เสนอให้สำนักงาน เลขาธิการ และพนักงานเจ้าหน้าที่ ยื่นคำร้องโดยระบุเหตุผล ผลกระทบต่อเจ้าของข้อมูลหรืออุปกรณ์ และความจำเป็น ต่ออธิบดีผู้พิพากษาศาลแพ่งเพื่อขอคำสั่งศาลในการปฏิบัติการตามหน้าที่และอำนาจ ในกรณีจำเป็นเร่งด่วนซึ่งปรากฏอย่างชัดแจ้งว่าหากไม่ดำเนินการในทันทีจะเกิดความเสียหายต่อความมั่นคงปลอดภัยไซเบอร์แห่งชาติอย่างร้ายแรง ให้พนักงานเจ้าหน้าที่โดยอนุมัติของคณะกรรมการ ดำเนินการไปก่อนเฉพาะเท่าที่จำเป็น แล้วรายงานให้อธิบดีผู้พิพากษาศาลทราบโดยเร็วภายในยี่สิบสี่ชั่วโมง

 

*** ชื่อเต็ม: “คน” ต้องมาก่อน “เทคโนโลยี” (9) เมื่อร่าง พ.ร.บ. มั่นคงไซเบอร์ ไม่รักษาความมั่นคงของประชาชน