กลไกกฎหมายกับภัยไซเบอร์

กลไกกฎหมายกับภัยไซเบอร์

คงปฏิเสธไม่ได้ว่าเราอยู่ในช่วงเวลาที่ “กิจกรรมทางเศรษฐกิจกระทำผ่านอินเทอร์เน็ตเป็นหลัก” (Internet-Based Economy) ด้วยเหตุดังกล่าว

จึงเป็นที่มาในการเพิ่มขึ้นของ “ภัยคุกคามทางไซเบอร์” หลากหลายรูปแบบ

ภัยคุกคามทางไซเบอร์คืออะไร

หากพิจารณาตามกฎหมาย นิยามของ Cyber threats หรือภัยคุกคามทางไซเบอร์ ปรากฏอยู่ใน พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ร.บ.ไซเบอร์) ซึ่งหมายถึงการกระทำโดยไม่ชอบโดยใช้คอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือโปรแกรมใดๆ ที่มีเจตนาให้เกิดการประทุษร้ายและก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของระบบหรือข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นๆ ที่เกี่ยวข้อง

ดังนั้น เมื่อพิเคราะห์ถ้อยคำตามกฎหมายจะสังเกตได้ว่า พ.ร.บ.ไซเบอร์ได้ใช้คำในลักษณะเดียวกันกับที่บัญญัติไว้ในกฎหมายอาญา เช่น “เจตนาประทุษร้าย” (ตามบทนิยามในข้างต้น) ซึ่งเป็นนัยที่จะสื่อว่า ภัยไซเบอร์นั้นเป็น “อาชญากรรมประเภทหนึ่ง” ที่มีลักษณะคล้ายกับการทำร้ายหรือทำให้เสียหายต่อร่างกายหรือทรัพย์สินที่มีรูปร่างในแบบเดิม ซึ่งเป็นการกระทำในเชิงกายภาพ

แต่ในกรณีนี้เป็นการกระทำผ่านระบบคอมพิวเตอร์ซึ่งแม้จะเป็นช่องทางอิเล็กทรอนิกส์ที่ไม่มีลักษณะในทางกายภาพ แต่สามารถให้ผลเสียหายต่อทรัพย์สินของบุคคล และอาจกระทบต่อความสงบเรียบร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐได้ไม่ต่างกัน 

รูปแบบของภัยคุกคามทางไซเบอร์

ปัจจุบัน ประเภทของ Cyber threats นั้นหลากหลาย มีวิวัฒนาการอย่างต่อเนื่อง และเพิ่มปริมาณมากขึ้นตามความก้าวหน้าของเทคโนโลยี ผู้เขียนขอยกตัวอย่างบางประเภทที่น่าสนใจ ดังนี้

 “Ransomware” หรือ “การเรียกค่าไถ่” โดยใช้ “ข้อมูลเป็นตัวประกันกล่าวคือในทางเทคนิค Ransomware เป็นมัลแวร์ (Malware) ชนิดหนึ่งที่ถูกสร้างให้เข้าไปล็อกไฟล์ หรือเข้ารหัสข้อมูลประเภทต่างๆ ของผู้ใช้งาน ไม่ว่าจะเป็นข้อมูลที่เป็นไฟล์เอกสาร เสียง หรือภาพ ให้ไม่สามารถเรียกดูข้อมูลได้ตามปกติ และเมื่อ Hacker เข้าสู่ระบบปลายทางได้แล้ว ก็จะทำการเข้ารหัสข้อมูล และทิ้ง Ransom note หรือข้อความเรียกค่าไถ่ไว้ ซึ่งหากไม่จ่ายเงินตามที่เรียกร้อง ไฟล์ดังกล่าวก็จะไม่สามารถกู้คืนมาได้

อย่างไรก็ดี แม้ Ransomware จะไม่ได้ถูกออกแบบมาเพื่อขโมยข้อมูล แต่การโจมตีในยุคหลังๆ ก็มีข้อมูลที่น่าสนใจว่า Hacker มักจะทำการเจาะระบบเพื่อขโมยข้อมูล (Data Breach) ควบคู่กันไปกับการเรียกค่าไถ่ ซึ่งหมายความว่า การเรียกค่าไถ่ในอนาคตอาจไม่ใช่แค่การขอเงินเพื่อแลกกับการปลดล็อกรหัส แต่ Hacker จะขโมยข้อมูลของเหยื่อมาไว้ก่อน เพื่อเพิ่มอำนาจในการต่อรอง

“Phishing” หรือ อีเมลหลอกลวง ซึ่งเป็นการหลอกลวงรูปแบบหนึ่งผ่านการส่งอีเมลเพื่อให้ได้มาซึ่งข้อมูลสำคัญ เช่น ข้อมูล Login (username/password) ในปัจจุบัน ผู้บริโภคทางการเงินถือเป็นกลุ่มหลักที่ได้รับความเสียหายจากการส่งอีเมลลวงนี้ ตัวอย่างมีให้เห็นบ่อยครั้งในกรณีที่มีการสร้างอีเมลที่แอบอ้างเป็นผู้ให้บริการทางการเงินเพื่อหลอกให้ลูกค้าผิด เช่น ได้รับอีเมลอ้างว่ามีการค้างชำระค่าบัตรเครดิตกับธนาคาร และมีการแนบ attached file ปลอม หรือสร้าง link ที่ใส่ URL ของเว็บไซต์ปลอมที่มีลักษณะคล้ายกับหน้าเว็บไซต์จริงของธนาคารเพื่อโน้มน้าวให้ผู้ใช้บริการกรอกข้อมูลสำคัญ (เช่น รหัสผ่าน) เพื่อเข้าไปตรวจสอบ ซึ่งเมื่อได้กรอกข้อมูลดังกล่าวไป ก็เท่ากับว่าได้ให้ข้อมูลสำคัญในการเข้าถึงเอกสารทางการเงินกับ Hacker ไปโดยปริยาย

กลไกกฎหมายที่เกี่ยวข้อง

1.พ.ร.บ.คอมพิวเตอร์ เป็นกฎหมายที่บัญญัติถึงการกระทำความผิดที่เกี่ยวกับระบบคอมพิวเตอร์ ในลักษณะต่างๆ เช่น การเข้าถึงระบบหรือข้อมูลคอมพิวเตอร์โดยไม่ชอบ ซึ่งกฎหมายฉบับนี้จะนำมาใช้ก็ต่อเมื่อ “มีการกระทำความผิดเกิดขึ้นแล้ว”

2.กฎหมายธุรกรรมอิเล็กทรอนิกส์ จะเข้ามามีบทบาทต่อมา เมื่อมีการกระทำความผิดเกี่ยวกับระบบคอมพิวเตอร์เกิดขึ้น และมีการฟ้องร้องในชั้นศาล ซึ่งข้อมูลการกระทำความผิดที่เกี่ยวกับระบบคอมพิวเตอร์แน่นอนว่าส่วนมากจะอยู่ในรูปแบบอิเล็กทรอนิกส์ ในประเด็นนี้กฎหมายกำหนดให้ “ข้อมูลอิเล็กทรอนิกส์สามารถรับฟังเป็นพยานหลักฐานในศาลได้” ดังนั้น จึงเป็นหน้าที่ของศาลในการชั่งน้ำหนักพยานหลักฐานว่าข้อมูลอิเล็กทรอนิกส์ดังกล่าวมีความน่าเชื่อถือหรือไม่ เพียงใด

3.พ.ร.บ.ไซเบอร์ ต่างจาก พ.ร.บ.คอมพิวเตอร์ ตรงที่มีลักษณะเป็น Precautionary measures หรือมาตรการป้องกันล่วงหน้า กล่าวคือมีกลไกกำหนดให้ “หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ” เช่น สถาบันการเงิน ตลาดหลักทรัพย์ โรงพยาบาล และหน่วยงานของรัฐที่ให้บริการประชาชน มีหน้าที่ต้องปฏิบัติตามมาตรฐานขั้นต่ำในการรักษาความมั่นคงปลอดภัยทางไซเบอร์เพื่อ “ป้องกัน” ไม่ให้เกิดภัยคุกคาม

4.กฎหมายอาญาจะมีบทบาทในกรณีที่การกระทำความผิดทางไซเบอร์มีลักษณะของการกระทำความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญาควบคู่กันไปด้วย หรืออาจมีความผิดฐานอื่นๆ ประกอบตามที่กำหนดไว้ใน ป.อาญา

Security ต้องมาพร้อม Privacy

กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) คือ กฎหมายอีกฉบับที่ไม่อาจมองข้าม เพราะแม้องค์กรจะจัดการกับข้อมูลส่วนบุคคลได้ดีเพียงใด แต่หากปราศจากระบบการรักษาความปลอดภัยข้อมูลที่ดีแล้ว ก็ไม่สามารถบรรลุผล ในการให้ความคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพได้ เช่น องค์กรประมวลผลและเก็บรักษาข้อมูลตามข้อกำหนดของกฎหมายอย่างถูกต้อง แต่ไม่มีระบบรักษาความปลอดภัยที่ดี ในที่สุดข้อมูลดังกล่าวอาจรั่วไหล และส่งผลกระทบต่อสิทธิของเจ้าของข้อมูลอยู่ดี

 ดังนั้น หลักการในเรื่องการรักษาความปลอดภัยของข้อมูลจึงเป็นหลักการสำคัญที่สอดแทรกอยู่ใน PDPA เช่น แม้กฎหมายจะยกเว้นให้กิจกรรมบางประเภทไม่อยู่ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล แต่ผู้ควบคุมข้อมูลที่ได้รับยกเว้นยังคงมีหน้าที่รักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐาน (ม.4) และแม้จะมีการตรา พ.ร.ก.โดยอาศัยอำนาจตาม ม.4 วรรคสอง เพื่อเลื่อนการบังคับใช้ของกฎหมาย พ.ร.ก.ฉบับดังกล่าวก็ยังคงกำหนดให้ผู้ควบคุมข้อมูลต้องจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลให้เป็นไปตามมาตรฐานที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมกำหนด

ท้ายที่สุด ผู้เขียนเชื่อว่าทุกองค์กรคงจะอยู่ในช่วงการศึกษาและจัดวางแนวทางในการให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด แต่สิ่งที่ไม่อาจมองข้าม คือการสร้างระบบความปลอดภัยให้กับข้อมูลควบคู่กันไป เพื่อป้องกันทั้งข้อมูลรั่วไหล และภัยไซเบอร์ในรูปแบบต่างๆ ที่จะเกิดขึ้นอีกมากมายในอนาคต

[บทความนี้เป็นความเห็นส่วนตัวของผู้เขียน]