คอลัมนิสต์

ความกังวลต่อกฎหมายรักษาความมั่นคงปลอดภัยไซเบอร์

By กฎหมาย 4.026 ต.ค. 2018 เวลา 3:20 น.
ความกังวลต่อกฎหมายรักษาความมั่นคงปลอดภัยไซเบอร์

จากการที่รัฐบาลได้กำหนดนโยบายเศรษฐกิจดิจิทัลเพื่อเศรษฐกิจและสังคม (Digital Economy: DE) กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

 จึงจัดทำชุดร่างกฎหมายหรือเรียกสั้นๆ ว่า ชุดกฎหมายเศรษฐกิจดิจิทัล ขึ้น และคณะรัฐมนตรีได้พิจารณาอนุมัติเห็นชอบในหลักการร่างกฎหมายไปตั้งแต่วันที่ 16 ธ.ค.2557 และ วันที่ 6 ม.ค.2558 ตามลำดับ

ชุดกฎหมายข้างต้นได้แก่ กฎหมายปรับปรุงกระทรวง ทบวง กรม (เพื่อจัดตั้งกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม: กระทรวง ดีอี) กฎหมายการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม กฎหมายธุรกรรมทางอิเล็กทรอนิกส์ กฎหมายสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ กฎหมายการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ กฎหมายคุ้มครองข้อมูลส่วนบุคคล กฎหมายองค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการวิทยุกระจายเสียง วิทยุโทรทัศน์ และกิจการโทรคมนาคม และร่างกฎหมายที่ผ่านการพิจารณาของสำนักงานคณะกรรมการกฤษฎีกาและผ่านการรับฟังความคิดเห็นไปเมื่อวันที่ 11 ต.ค. 2561 คือ “ร่างพระราชบัญญัติ(พ.ร.บ.)ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ....” จากนั้นจะส่งความเห็นพร้อมร่างกฎหมายเสนอต่อคณะรัฐมนตรี(ครม.)และสภานิติบัญญัติแห่งชาติ(สนช.)เพื่อพิจารณาต่อไป

เหตุผลในการตราร่างกฎหมายดังกล่าวเนื่องจาก ปัจจุบันการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการของดาวเทียมมีความเสี่ยงจากภัยคุกคามทางไซเบอร์อันอาจกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ ประกอบกับประเทศไทยต้องเผชิญกับภัยคุกคามทางเทคโนโลยีดิจิทัลที่มีจำนวนเพิ่มสูงขึ้นและทวีความรุนแรงขึ้นตามลำดับ ส่งผลกระทบและสร้างความเสียหายทั้งต่อระดับปัจเจกชนและระดับประเทศ

ดังนั้นเพื่อให้สามารถป้องกันหรือรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที จึงควรกำหนดลักษณะของภารกิจหรือบริการที่มีความสำคัญทางสารสนเทศที่จะต้องมีการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ มิให้เกิดผลกระทบต่อความมั่นคงในด้านต่างๆ รวมทั้งให้มีหน่วยงานเพื่อรับผิดชอบดำเนินการประสานการปฏิบัติงานร่วมกันทั้งภาครัฐและเอกชน ตลอดจนกำหนดให้มีแผนปฏิบัติการและมาตรการการรักษาความมั่นคงปลอดภัยไซเบอร์อย่างมีเอกภาพ ต่อเนื่องและเป็นรูปธรรม อันจะทำให้การป้องกันและการรับมือกับภัยคุกคามทางไซเบอร์เป็นไปอย่างมีประสิทธิภาพ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์อันกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ

เนื้อหาของร่างกฎหมายฉบับนี้แบ่งออกเป็นส่วนต่างๆ ได้แก่ คำนิยามศัพท์ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) สำนักงานคณะกรรมการการรกษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สำนักงาน) การรักษาความมั่นคงปลอดภัยไซเบอร์อันประกอบด้วยนโยบายและแผน การบริหารจัดการ โครงสร้างพื้นฐานสําคัญทางสารสนเทศและการรับมือกับภัยคุกคามทางไซเบอร์ การกำหนดโทษ และบทเฉพาะกาล

ประเด็นที่อาจสร้างความกังวลให้กับสังคมคือ 1) ปัญหาการให้คำนิยามขอบเขตการคุ้มครองทางกฎหมายที่มีลักษณะกว้างมากเกินไป เช่น เรื่องความมั่นคงปลอดภัยไซเบอร์ที่เป็นภัยคุกคามทั้งจากภายในและภายนอกประเทศอันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ ภัยคุกคามไซเบอร์ที่มีผลต่อทรัพย์สินสารสนเทศ ซึ่งหมายความรวมไปตั้งแต่ระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ เครื่องคอมพิวเตอร์ รวมถึงอุปกรณ์คอมพิวเตอร์อื่นใดไปจนถึงข้อมูลคอมพิวเตอร์ ซึ่งเห็นได้ว่า หมายรวมถึงทุกเรื่องที่เป็นความมั่งคงของรัฐและครอบคลุมกับระบบคอมพิวเตอร์ทั้งโครงสร้างตั้งแต่ระดับมหภาคจนถึงระดับจุลภาคที่เป็นข้อมูลภายในคอมพิวเตอร์

2) การกำหนดอำนาจหน้าที่ของสำนักงานและ กปช. ยังเป็นปัญหาที่สำคัญได้แก่ การกำหนดให้ กปช. จัดทำแนวปฏิบัติอันเป็นข้อกําหนดขั้นต่ำในการดําเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์สําหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ รวมทั้งกําหนดมาตรการตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์ ซึ่งเห็นได้ว่า ในการจัดทำแนวปฏิบัติของ กปช. จะมีหลักประกันอย่างไรว่ามีมาตรฐานพอเพียงที่จะทำให้ภารกิจของรัฐเรื่องความมั่นคงไซเบอร์ประสบความสำเร็จในขณะที่สิทธิและเสรีภาพของประชาชนจะไม่ถูกกระทบจนเกินขอบเขตที่เหมาะสม

3) ปัญหาการขอความร่วมมือจากหน่วยงานทางสารสนเทศเพื่อให้ข้อมูลแก่ กปช. ตั้งแต่การออกแบบและการตั้งค่าระบบโครงสร้างสารสนเทศ ข้อมูลของระบบที่เชื่อมต่อหรือสื่อสาร และข้อมูลการทํางานของโครงสร้างพื้นฐานสําคัญทางสารสนเทศ หรือข้อมูลอื่นใดที่เห็นว่าจําเป็นที่อยู่ภายใต้การควบคุมของหน่วยงาน ซึ่งการขอความร่วมมือดังกล่าวไม่ได้พูดถึงเงื่อนไขการใช้อำนาจของ กปช. เช่น เงื่อนไขลักษณะหรือประเภทข้อมูลที่ต้องการ เงื่อนไขการจำกัดรายละเอียดข้อมูลที่จะเข้าถึง ทั้งนี้หากมีข้อมูลอันเป็นข้อมูลส่วนบุคคลของเอกชนที่ไม่เกี่ยวข้องอยู่ด้วยแล้วจะทำอย่างไรเพื่อคัดกรองออกเสียก่อน อย่างไรก็ตามร่างกฎหมายนี้กลับให้อำนาจแก่ กปช. ในลักษณะที่ไม่ให้หน่วยงานที่ถูกร้องขอข้อมูลโต้แย้งหรืออ้างเหตุที่จะไม่ส่งข้อมูลให้ โดยหน่วยงานไม่อาจยกเอาหน้าที่ที่มีอยู่ตามกฎหมายอื่นหรือตามสัญญามาเป็นข้ออ้างเพื่อไม่เปิดเผยข้อมูล

4) ในกรณีที่เกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ มีการให้อำนาจเจ้าหน้าที่เข้าตรวจสอบสถานที่ โดยมีหนังสือแจ้งถึงเหตุอันสมควรไปยังเจ้าของหรือผู้ครอบครองสถานที่เพื่อเข้าตรวจสอบสถานที่ เข้าถึงทรัพย์สินสารสนเทศ ทําสําเนา หรือสกัดคัดกรองข้อมูลสารสนเทศหรือโปรแกรมคอมพิวเตอร์ รวมถึงการยึดคอมพิวเตอร์หรืออุปกรณ์ใด ๆ ซึ่งไม่ได้ระบุว่าจะเป็นการเข้าถึงต่อหน้าหรือลับหลังเจ้าของข้อมูลอันเป็นเหตุให้เกิดการกระทำโดยมิชอบได้

5) ปัญหาการกระทบกระเทือนต่อการใช้สิทธิ เสรีภาพของประชาชนไม่ว่าจะเป็นเรื่องเกี่ยวกับสิทธิความเป็นส่วนตัวของบุคคล สิทธิการได้รับความคุ้มครองในข้อมูลส่วนบุคคล สิทธิพื้นฐานการแสดงความคิดเห็นที่มีอยู่หรือกระทำผ่านระบบคอมพิวเตอร์ หรือสิทธิในทรัพย์สินไม่ว่าจะเป็นสิทธิในการใช้หรือสิทธิครอบครองในอสังหาริมทรัพย์หรือสังหาริมทรัพย์

และสุดท้ายคือ ปัญหาเรื่องการย้อนกลับไปตั้งคำถาม ณ จุดเริ่มต้นของการมีกฎหมายฉบับนี้ว่า ควรแก้ไขเพิ่มเติมหรือแทรกเงื่อนไขบางประการลงไปในกฎหมายที่ใช้บังคับอยู่ก่อนแล้ว เช่น พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เป็นต้น หรือมีจำเป็นที่จะต้องตราร่างกฎหมายฉบับนี้ขึ้นใหม่หรือไม่

โดย... 

ผศ.ผจญ คงเมือง

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์