ในที่สุดพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ ก็ถูกประกาศใช้เป็นกฎหมาย เมื่อสภานิติบัญญัติแห่งชาติ หรือ สนช. ลงมติในวาระ 3 เห็นสมควรให้ประกาศใช้ ด้วยคะแนนเสียงเห็นด้วย 133 ไม่เห็นด้วย ไม่มี งดออกเสียง 16 เสียง
ท่ามกลางความกังวลของผู้คนบนโลกออนไลน์ที่เกรงว่ากฎหมายฉบับนี้จะเปิดทางให้ ‘รัฐ’ สอดส่องข้อมูลส่วนบุคคลโดยอ้างเหตุว่าเป็น ‘ภัยคุกคาม’ ตามเนื้อหาของกฎหมายที่บัญญัติไว้อย่างกว้างๆ และให้อำนาจเจ้าหน้าที่ในการตีความเมื่อบังคับใช้จริง
THE STANDARD ชวนคุณมาชำแหละ พ.ร.บ. มั่นคงไซเบอร์ เพื่อตอบทุกข้อสงสัย นิยามความมั่นคงคืออะไร คุกคามเสรีภาพจริงหรือไม่ แล้วทำไมคนมากมายถึงต้องกังวล ผ่านมุมมองของนักกฎหมายสิทธิส่วนบุคคล
Q: ความมั่นคงใน พ.ร.บ. ไซเบอร์ คืออะไร โพสต์โจมตีรัฐบาลเป็นภัยคุกคามหรือไม่
ผู้เขียนแบ่ง ‘ความมั่นคง’ เป็นสองประเภท ดังนี้
ประเภทที่หนึ่ง ความมั่นคงในแง่ไซเบอร์ คือ ความมั่นคงของระบบและข้อมูลและการใช้งานคอมพิวเตอร์ โดยหลัก 3 อย่างที่เรียกว่า ‘CIA’ คือ ความลับ (Confidentiality) บูรณภาพ (Integrity) ความพร้อมใช้ (Availability)
ดังนั้น ภัยคุกคามต่อความมั่นคงประเภทนี้ก็คือ การโจมตีใดๆ ที่กระทบคุณสมบัติดังกล่าว เช่น การเจาะเข้าถึงฐานข้อมูลของหน่วยงานราชการ กระทบต่อความลับ การส่งมัลแวร์ทำลายหรือแก้ไขข้อมูลกระทบต่อบูรณภาพ การโจมตีทำให้ระบบใช้การไม่ได้ เช่น เว็บล่ม (หรือ DDOS) กระทบต่อความพร้อมใช้
ความมั่นไซเบอร์ จึงไม่จำต้องเกี่ยวข้องกับภาครัฐ ใครที่ใช้คอมพิวเตอร์ก็ต้องการ ‘ความมั่นคง’ ประเภทนี้ เช่นเดียวกัน
ประเภทที่สอง ความมั่นคงของรัฐบาล ภัยคุกคามต่อความมั่นคงประเภทนี้เกิดจากหลายสาเหตุ และไม่จำเป็นต้องเกี่ยวกับไซเบอร์หรือระบบคอมพิวเตอร์ก็ได้ เช่น การก่อการร้ายแบบวางระเบิด การจลาจลแบบใช้อาวุธ หรือส่งโปรแกรมไปควบคุมเครื่องบินที่คณะรัฐมนตรีโดยสารให้ตกทะเล
ถามว่า พ.ร.บ. มั่นคงไซเบอร์ ป้องกันภัยคุกคามต่อความมั่นคงประเภทใด
เมื่อดูนิยามของกฎหมาย สรุปได้ว่า หมายถึง การกระทำหรือการดำเนินการใดๆ โดยมิชอบ โดยใช้คอมพิวเตอร์ หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบ ข้อมูล และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบ หรือข้อมูล
กฎหมายนี้จึงเกี่ยวกับภัยคุกคามประเภทที่หนึ่ง สำหรับกรณีที่เกี่ยวข้องกับความมั่นคงของรัฐบาล จำกัดเฉพาะภัยคุกคามไซเบอร์ที่มีลักษณะผสมทั้งสองประเภท กล่าวคือ คุกคามต่อความมั่นคงต่อระบบและส่งผลไปถึงความมั่นคงของรัฐบาลด้วย เช่น ส่งโปรแกรมไปแก้ผลโหวตกฎหมายให้ออกมาไม่เห็นด้วยกับร่าง พ.ร.บ. มั่นคงไซเบอร์ หรือส่งโปรแกรมไปควบคุมเครื่องบินที่คณะรัฐมนตรีโดยสารให้ตกทะเล จะถือเป็นภัยคุกคามไซเบอร์ตาม พ.ร.บ. นี้
ดังนั้น ภัยคุกคามต่อความมั่นคงของรัฐบาลด้วยวิธีการหรือรูปแบบอื่นๆ ที่ไม่กระทบต่อระบบหรือข้อมูล แม้กระทำทางคอมพิวเตอร์ เช่น โพสต์ข้อมูลโจมตีรัฐบาลทางอินเทอร์เน็ต จึงไม่อยู่ในนิยามของ ‘ภัยคุกคามไซเบอร์’ แต่อาจผิดกฎหมายอื่น เช่น กฎหมายอาญา 116 หรือ พ.ร.บ. คอมพิวเตอร์ ซึ่งเป็นอีกปัญหาหนึ่ง
Q: ภัยคุกคามความมั่นคงไซเบอร์คืออะไร รวมถึง ‘เนื้อหา’ หรือไม่ นิยามภัยคุกคามไซเบอร์ตีความได้กว้าง ครอบคลุม ‘เนื้อหา’ บนโลกออนไลน์จริงหรือไม่
ก่อนจะตอบคำถามนี้ มีคำถามที่ซ้อนขึ้นมาว่า ทำไม ‘เนื้อหา’ (Content) ถึงเป็นประเด็น และทำไมหลายฝ่ายหวาดหวั่นกับ ‘เนื้อหา’
ในแง่กฎหมายข้อมูลคอมพิวเตอร์มีสองนัยคือ ข้อมูลที่เป็นโค้ด เป็นรหัส ข้อมูลนี้มนุษย์ทั่วไปอ่านไม่ออก ไม่สามารถกล่าวได้ว่าเป็น จริง หรือ เท็จ แต่มันก่อให้เกิดความเสียหายต่อระบบหรือข้อมูลคอมพิวเตอร์ ซึ่งก็คือภัยคุกคามไซเบอร์ตาม พ.ร.บ. นี้นั่นเอง
อีกนัยหนึ่ง ข้อมูลคอมพิวเตอร์หมายถึง ข้อมูลที่มนุษย์อ่านได้ เช่น เรื่องราวต่างๆ ที่เราโพสต์แชร์กันในชีวิตประจำวัน ซึ่งโดยหลักแล้วไม่กระทบความมั่นคงทางไซเบอร์ และไม่กระทบความมั่นคงของรัฐบาลด้วย
แต่บังเอิญว่าไทยมี พ.ร.บ. คอมพิวเตอร์ ซึ่งกำหนดความผิดสำหรับ ‘ข้อมูลคอมพิวเตอร์’ ทั้งสองนัย กล่าวคือ ส่งรหัสหรือโค้ดโจมตีระบบก็มีความผิด และโพสต์ข้อมูลเนื้อหาที่มนุษย์เข้าใจได้บางอย่างก็เป็นความผิด
เช่น พ.ร.บ. คอมพิวเตอร์ มาตรา 14 (2) กำหนดว่า นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายต่อการรักษาความมั่นคงปลอดภัยของประเทศ…
เพื่อให้เห็นภาพชัดๆ ผู้เขียนจะยกตัวอย่าง 3 กรณีดังนี้
กรณีที่ 1 การส่งมัลแวร์เข้าไปโจมตีระบบคอมพิวเตอร์ที่ควบคุมการเดินรถสาธารณะ ส่งผลให้รถไม่สามารถใช้การได้ และเกิดความเสียหายต่อผู้โดยสารในแง่ต่างๆ ทั้งความล่าช้า ฯลฯ
กรณีนี้เป็นภัยคุกคามไซเบอร์ตาม พ.ร.บ. มั่นคงไซเบอร์ ไม่ใช่เพราะส่งผลกระทบต่อรถ แต่เพราะส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ที่ควบคุมรถ ตัวอย่างนี้คือการใช้ข้อมูลในลักษณะชุดคำสั่ง ไม่เกี่ยวกับเนื้อหา
กรณีที่ 2 การโพสต์ข้อมูลขู่จะวางระเบิดรถไฟฟ้า ส่งผลให้คนรับรู้ข่าวสารตื่นตระหนก อาจทำให้ต้องงดหรือเลื่อนการออกเดินทาง
กรณีนี้เป็นข้อมูลเนื้อหาที่สามารถส่งผลกระทบต่อเศรษฐกิจหรือทรัพย์สิน แต่ไม่กระทบต่อระบบหรือข้อมูลคอมพิวเตอร์ จึงไม่ใช่ภัยคุกคามไซเบอร์ ตาม พ.ร.บ. มั่นคงไซเบอร์ แต่อาจผิดกฎหมายอื่น เช่น ถ้าเป็นข้อมูลเท็จก็จะเป็นความผิด พ.ร.บ. คอมพิวเตอร์ มาตรา 14 (2)
กรณีที่ 3 การโพสต์ข้อมูลวิพากษ์วิจารณ์ภาครัฐในการประมูลหรือจัดทำโครงการรถสาธารณะ ส่งผลให้ภาครัฐรู้สึกเสียชื่อเสียงหรือกระทบต่อการบริหาร
การกระทำนี้ใช้ข้อมูล ‘เนื้อหา’ แต่ไม่กระทบต่อระบบหรือข้อมูลคอมพิวเตอร์ จึงไม่ใช่ภัยคุกคามไซเบอร์ ตาม พ.ร.บ. มั่นคงไซเบอร์ แต่อาจถูกตั้งข้อหา พ.ร.บ. คอมพิวเตอร์ มาตรา 14 (2)
ความกังวลต่อ ‘เนื้อหา’ ที่หลายฝ่ายมีต่อ พ.ร.บ. ไซเบอร์ เกิดจากกรณีตัวอย่างที่ 3
นั่นคือหลายคนกังวลว่า การโพสต์แชร์ข่าวเท็จต่างๆ ที่ภาครัฐเห็นว่ากระทบต่อความมั่นคงจะเป็นความผิดหรือถูกตรวจสอบ ตามกฎหมายความมั่นคงไซเบอร์ไปด้วย
ความกังวลนี้สะท้อนจากสภาพการณ์ที่ผ่านมา เมื่อ ความผิด มาตรา 14 ของ พ.ร.บ. คอมพิวเตอร์ ถูกนำมาบังคับใช้กับการโพสต์ การแชร์ มาโดยตลอด จนเราได้ยินคำว่า เช็กก่อนแชร์ คิดก่อนโพสต์ ฯลฯ หากเปรียบเทียบกับกฎหมายความผิดเกี่ยวกับคอมพิวเตอร์ของหลายประเทศ จะพบว่าไม่ได้กำหนดให้พฤติกรรมตามตัวอย่างที่ 3 เป็น ‘อาชญากรรมคอมพิวเตอร์’ แต่มองว่าเป็นเรื่อง ‘เสรีภาพในการแสดงความคิดเห็น’
เพราะหากการวิจารณ์เป็นเรื่องไม่จริง ผู้ได้รับผลกระทบก็ออกมาชี้แจง หรือฟ้องกลับโดยอาศัยกฎหมายอื่นที่ไม่ได้รุนแรง เช่น หมิ่นประมาท ในขณะที่ พ.ร.บ. คอมพิวเตอร์ มีมาตรา 14 กำหนดความผิดเกี่ยวกับเนื้อหาไว้ด้วยถ้อยคำที่ ‘กว้าง’ ครอบคลุมการโพสต์แชร์ข้อมูลเท็จที่กระทบต่อความมั่นคง ฯลฯ แม้ว่ามาตรา 14 (1) แก้ไขไม่รวมถึงหมิ่นประมาทแล้ว แต่การวิพากษ์วิจารณ์ยังคงอาจจะถูกฟ้องตาม 14 (2)
จะเห็นได้ว่า ‘ความมั่นคง’ ตาม พ.ร.บ. คอมพิวเตอร์ กว้างกว่า นิยามของภัยคุกคามไซเบอร์ เพราะอาจรวมไปถึงการกระทำที่ไม่ส่งผลกระทบต่อระบบหรือข้อมูลเลย ดังเช่นตัวอย่างที่ 3 แต่ในแง่ พ.ร.บ. มั่นคงไซเบอร์ ไม่รวมถึงการกระทำผิดเกี่ยวกับ ‘เนื้อหา’ ตามตัวอย่างที่ 2 และ 3
ดังนั้น การโพสต์วิพากษ์วิจารณ์ต่างๆ แม้รัฐบาลจะเห็นว่ากระทบความมั่นคงก็ไม่ผิด พ.ร.บ. มั่นคงไซเบอร์ แต่อาจจะผิด พ.ร.บ. คอมพิวเตอร์ ซึ่งไม่ใช่ความผิดตาม พ.ร.บ. มั่นคงไซเบอร์โดยตรง แต่อาจนำไปสู่ความกังวลในข้อ 5 ตามเนื้อหาด้านล่างต่อไป
Q: ร่าง พ.ร.บ. มั่นคงไซเบอร์ มาตรา 59 เปิดทางให้ตีความ ‘ขยาย’ ความหมายของภัยคุกคามไซเบอร์ให้กว้างขึ้น เช่น ‘อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของประชาชนหรือเป็นภัยต่อความมั่นคงของรัฐ…’ เสี่ยงต่อการตีความให้คำว่า ‘ภัยคุกคามไซเบอร์’ ครอบคลุมถึงประเด็น ‘เนื้อหา’ บนโลกออนไลน์มากกว่าเรื่องระบบจริงหรือไม่
เมื่ออ่านเฉพาะมาตรา 59 จะเห็นถ้อยคำที่คล้ายคลึงกับ พ.ร.บ. คอมพิวเตอร์ โดยเฉพาะมาตรา 14 (2) จึงเกิดความกังวลตามคำถามนี้ เพราะมาตรา 14 เป็นบทเรียนของ ‘ความกว้าง’ ในแง่ของการตีความบังคับใช้กฎหมายมาก่อนแล้ว
แต่มาตรา 59 เป็นการอธิบายภัยคุกคามไซเบอร์ระดับวิกฤต โดยคำว่า ‘กระทบต่อความมั่นคง ฯลฯ’ ต้องผ่านนิยามของ ‘ภัยคุกคามไซเบอร์’ มาก่อน ในเมื่อนิยามของภัยคุกคามไซเบอร์ จำกัดว่าต้องกระทำต่อระบบหรือข้อมูล ตามมาตรา 59 ก็จะต้องเป็นการโจมตีระบบหรือข้อมูลมาก่อน และการโจมตีนั้นกระทบต่อความมั่นคงของรัฐ
ดังนั้นลำพังแค่เนื้อหา (Content) แม้ภาครัฐจะเห็นว่ากระทบต่อความมั่นคง ก็จะไม่เข้าข่ายกรณีมาตรา 59
Q: พ.ร.บ. มั่นคงไซเบอร์ กับ พ.ร.บ. คอมพิวเตอร์ เหมือนหรือต่างกันอย่างไร
พ.ร.บ. คอมพิวเตอร์ มีกลุ่มความผิดเกี่ยวกับแฮกเกอร์หลายมาตรา เช่น เจาะระบบ แก้ไขข้อมูล ส่งมัลแวร์ ฯลฯ ซึ่งทับซ้อนหรือเป็นกลุ่มเดียวกับภัยคุกคามไซเบอร์ตาม พ.ร.บ. มั่นคงไซเบอร์ นั่นเอง
แต่ข้อแตกต่างคือ พ.ร.บ. มั่นคงไซเบอร์ ไม่ได้กำหนดความผิดหรือโทษสำหรับผู้ก่อให้เกิดภัยคุกคาม แต่กำหนดมาตรการในเชิงป้องกัน (Preventive) ก่อนเกิดเหตุ เช่น ให้อำนาจเจ้าหน้าที่ตรวจสอบหรือสอดส่องตั้งแต่ตอนมีความเสี่ยงหรือ ‘น่าจะ’ ‘เชื่อว่า’ จะเกิด รวมทั้งมาตรการเชิงตอบโต้ (Response) หลังเกิดเหตุแล้ว เช่น ให้อำนาจเจ้าหน้าที่ใช้วิธีทางเทคนิคสกัดการลุกลามของมัลแวร์ หรือสั่งให้ผู้เกี่ยวข้องกระทำการเพื่อยุติหรือระงับภัยคุกคาม
เปรียบเทียบง่ายๆ ได้ว่า พ.ร.บ. คอมพิวเตอร์ เป็นกฎหมายที่ใช้กับอดีต คือมีคนก่อภัยคุกคามไซเบอร์ขึ้นแล้ว จึงไปตามจับมาลงโทษ แต่ พ.ร.บ. มั่นคงไซเบอร์ เป็นกฎหมายที่ครอบคลุมทั้งสามกาลคือ อดีต ปัจจุบัน และอนาคต กล่าวคือ สามารถดำเนินการป้องกันความเสี่ยงไว้ล่วงหน้าตั้งแต่ยังไม่เกิดภัย สามารถใช้ตอบโต้รับมือภัยที่เกิดขึ้นแล้ว รวมถึงตอบโต้อย่างต่อเนื่องขณะที่ภัยคุกคามยังดำเนินอยู่ได้อีกด้วย
Q: ทำไมหลายฝ่ายกังวลต่อกฎหมายนี้ ในเมื่อภัยคุกคามไซเบอร์ มาพร้อมกับเทคโนโลยีที่ครอบงำวิถีชีวิตดิจิทัลของคนยุคนี้ ก็ควรมีกฎหมายป้องกันและรับมือไม่ใช่หรือ
เหตุผลและหลักการของกฎหมายนี้ เพื่อป้องกันและรับมือภัยคุกคามไซเบอร์ เช่น การโจมตีให้ระบบล่ม การส่งมัลแวร์ หรือแพร่มัลแวร์เรียกค่าไถ่ (Ransomware) ในวงกว้าง ดังที่เกิดในต่างประเทศ และเป็นเรื่องสำคัญและเกิดกับไทยได้เช่นกัน โดยหลักการจึงไม่น่ากังวล
คงปฏิเสธไม่ได้ว่า ผู้บริโภคยุคนี้รู้สึกเดือดร้อนกับโจรขึ้นบ้าน (หมายถึงโจรที่ปีนรั้วหรือใช้กุญแจผีไขประตูเข้ามาเอาของ) น้อยกว่าเงินในกระเป๋าอิเล็กทรอนิกส์ถูกโอนไปยังคนอื่นหรือหายไปหมด หรือเปิดเข้าแอปฯ จะซื้อของแล้วมันล่มไม่สามารถใช้การได้
แต่ ‘หน้าที่’ ตามกฎหมาย และ ‘อำนาจ’ ของคณะกรรมการตามกฎหมายนี้มีค่อนข้างมาก จึงนำไปสู่ข้อกังวลอย่างน้อย 9 ประการ ดังนี้
ข้อกังวลที่ 1 ความไม่ชัดเจนและกว้าง
จากบทบัญญัติของกฎหมายที่ให้อำนาจ ทั้ง / อดีต = ตอบโต้ภัยคุกคามที่เกิดแล้ว / ปัจจุบัน =ตอบโต้ภัยคุกคามที่ยังเกิดอยู่ / อนาคต = ป้องกัน ‘ความเสี่ยง’ / กฎหมายนี้จึงปรากฏถ้อยคำ ‘อาจจะ น่าจะ เชื่อว่าจะ’ อยู่หลายมาตรา ทำให้ต้องขึ้นอยู่กับดุลพินิจในการบังคับกฎหมาย
เนื่องจากกฎหมายปรากฏถ้อยคำในลักษณะคาดการณ์ หรือการประเมินหลายจุด เช่น ‘คาดว่าจะเกิด’ ‘อาจจะกระทบ’ ผู้เขียนจึงขอยกตัวอย่างกรณีความกังวลที่ ‘คาดว่า’ จะเกิดขึ้นบนพื้นฐานของตัวบทตามร่างกฎหมายที่เผยแพร่ของ สนช. ตามข้อกังวล 2-9 ต่อไปนี้
ข้อกังวล 2 อำนาจเรียกให้ส่งข้อมูล
หลักการตามมาตรา 61 เกิดจากเหตุผลที่ต้องการหาหลักฐานหรือระงับการคุกคามไซเบอร์ เช่น มีมัลแวร์ชนิดหนึ่งแพร่ในระบบ แต่เนื่องจาก ‘ข้อมูล’ ตาม พ.ร.บ. มีความหมายกว้าง การได้มาซึ่งข้อมูลเพื่อหาภัยคุกคามเช่นมัลแวร์ อาจทำให้ได้มาซึ่งข้อมูลอื่นไปด้วย
เหตุการณ์ที่กังวลว่าจะเกิดในอนาคต: น้องผักกาด เป็นผู้ใช้บริการ ผู้ให้บริการโทรศัพท์และอินเทอร์เน็ตรายหนึ่ง ต่อมาปรากฏว่ามีการแพร่ของมัลแวร์เลิฟเลิฟในระบบของผู้ให้บริการ คณะกรรมการมั่นคงไซเบอร์จึงใช้อำนาจเรียกขอข้อมูลจากผู้ให้บริการ ทำให้ได้ข้อมูลที่เกี่ยวกับมัลแวร์เลิฟเลิฟ รวมทั้งรู้เห็นหรือพบข้อมูลอื่นด้วย เช่น ข้อมูลจราจรคอมพิวเตอร์ และข้อมูลระบุตัวตนผู้ใช้งาน ข้อมูลเหล่านี้ไม่ใช่เนื้อหา (Content) กล่าวคือ ไม่รู้ว่าน้องผักกาดคุยอะไร แต่เมื่อนำมาประกอบกันก็สามารถเชื่อมโยงพฤติกรรมออนไลน์ของน้องผักกาดว่า สื่อสารอะไร กับใคร ฯลฯ น้องผักกาดจึงกังวลในความเป็นส่วนตัว
แม้ว่าการเปิดเผยข้อมูลผู้ใช้บริการโดยไม่ได้รับความยินยอม อาจเป็นการผิดสัญญาต่อผู้ใช้งานหรือผิดกฎหมายอื่น เช่น กฎหมายข้อมูลส่วนบุคคล แต่กฎหมายมั่นคงไซเบอร์ก็บอกว่า ผู้ให้บริการที่เปิดเผยข้อมูลตามคำสั่ง ไม่มีความผิดทั้งในแง่สัญญาและละเมิด จึงไม่ต้องรับผิดต่อน้องผักกาด
ข้อกังวล 3 อำนาจเข้าถึง ทำสำเนา ข้อมูล
นอกจากใช้อำนาจเรียกให้ผู้เกี่ยวข้องส่งข้อมูลแล้ว คณะกรรมการฯ อาจใช้อำนาจสั่งให้เจ้าหน้าที่กระทำการหลายอย่าง (มาตรา 65) เช่น ตรวจสอบหรือเข้าถึงหรือได้มาซึ่งข้อมูล ทำสำเนาข้อมูล สกัดคัดกรองข้อมูล ยึดอายัดระบบ ฯลฯ
เหตุการณ์ที่กังวลว่าจะเกิดในอนาคต: น้องผักกูด เป็นผู้ใช้บริการ Cyber Banking แห่งหนึ่ง ปรากฏว่ามีมัลแวร์แพร่ระบาดในระบบของธนาคาร และอาจเป็นชนิดพันธุ์ที่เข้ารหัสข้อมูล
คณะกรรมการฯ จึงใช้อำนาจเข้าถึง ทำสำเนาข้อมูล ทำให้ได้มาซึ่งข้อมูลหลายอย่าง เช่น ไฟล์ที่มีมัลแวร์ ข้อมูลธุรกรรมต่างๆ เพราะเวลามัลแวร์แพร่ในระบบก็อาจจะอยู่ทั่วๆ ไป หรือในการสแกนหาก็ทำให้พบเห็นข้อมูลอื่นไปด้วย น้องผักกูดจึงกังวลในความเป็นส่วนตัว
ข้อกังวล 4 ข้อมูลที่อยู่ในความครอบครองของเจ้าหน้าที่
กรณีตามข้อกังวลที่ 2 และ 3 กฎหมายกำหนดว่า เจ้าหน้าที่จะใช้อำนาจ ต้องขอคำสั่งศาลก่อน แต่ข้อกังวลก็มีต่อไปว่า หลังจากเจ้าหน้าที่ได้ข้อมูลมาอยู่ในครอบครองของเจ้าหน้าที่แล้ว นอกจากข้อมูลเกี่ยวกับโค้ดหรือรหัส เช่นมัลแวร์แล้ว ยังอาจรวมถึงข้อมูลบ่งชี้พฤติกรรมต่างๆ ของน้องผักกาดและผักกูดไปด้วย ตรงนี้มีประเด็นว่า เจ้าหน้าที่จะนำไปใช้อะไรบ้าง มีกฎหมายควบคุมหรือไม่
ตามมาตรา 59 ระบุว่า ข้อมูลที่เจ้าหน้าที่ได้มาจากการใช้อำนาจ เช่น ข้อมูลผู้ใช้บริการ ข้อมูลจราจรคอมพิวเตอร์ ห้ามเปิดเผยแก่บุคคลใด หากเจ้าหน้าที่เปิดเผยก็จะมีโทษทั้งจำและปรับ หลักการนี้ดูเหมือนทำให้น้องผักกาดและผักกูดสบายใจระดับหนึ่ง แต่มาตรา 59 กลับมีข้อยกเว้นที่จะกล่าวในข้อกังวลที่ 5
ข้อกังวล 5 ข้อมูลที่เจ้าหน้าที่พบเห็นหรือได้มาจากการใช้อำนาจ จะนำไปใช้ฟ้องร้องดำเนินคดีความผิดอื่นๆ หรือกฎหมายอื่นๆ ได้หรือไม่
แม้ว่าโดยหลักแล้ว เมื่อเจ้าหน้าที่ได้ข้อมูลใดมาจากการใช้อำนาจ จะไม่สามารถนำไปเปิดเผยหรือใช้ประโยชน์ได้ เพราะเป็นการได้มาเพื่อตรวจสอบป้องกันภัยคุกคามไซเบอร์เท่านั้น แต่มาตรา 59 ยกเว้นว่าหลักข้อห้ามนี้ ‘…ไม่ให้ใช้บังคับกับการกระทำเพื่อประโยชน์ในการดำเนินคดีตามกฎหมายนี้หรือกฎหมายอื่น’
เหตุการณ์ที่กังวลว่าจะเกิดในอนาคต:
- น้องผักกาดกำลังสมัครรับเลือกตั้งเป็น ส.ส. ข้อมูลผู้ใช้บริการและการจราจรคอมพิวเตอร์ของตนในระบบของผู้ให้บริการที่เจ้าหน้าที่เข้าถึงและได้ไปนั้น แม้จะไม่เกี่ยวข้องกับเนื้อหาการสนทนาของน้องผักกาด แต่อาจทำให้เห็นว่าน้องผักกาดสนทนากับใคร เวลาไหน น้องผักกาดจึงรู้สึกกังวลว่า จะนำไปสู่การสืบสวนความผิดอื่นที่กว้าง เช่น มาตรา 14 (2) พ.ร.บ. คอมพิวเตอร์ ในอีกขั้นตอนหรือไม่
- น้องผักกูดกังวลว่า ข้อมูลในระบบธนาคารออนไลน์ของตน เกี่ยวข้องกับมิติชีวิตที่หลากหลาย เช่น ซื้อของจากใคร โอนเงินกี่ครั้ง เมื่อเจ้าหน้าที่พบเห็นและได้ไปซึ่งข้อมูลนี้ แม้จะไม่ผิด พ.ร.บ. มั่นคงไซเบอร์ แต่เจ้าหน้าที่จะส่งข้อมูลที่ได้มา ไปให้เจ้าหน้าที่ฟ้องคดีตามกฎหมายอื่น เช่น กฎหมายภาษี หรือไม่
- น้องผักเบี้ย เซฟข้อมูลภาพลามกไว้ในคอมพิวเตอร์ของตนเพื่อดูส่วนตัว รวมทั้งฝากไว้ในอัลบั้มในระบบคลาวด์ของผู้ให้บริการรายหนึ่ง บังเอิญว่ามีภาพลามกเด็กอยู่ด้วย ซึ่งลำพังแค่ครอบครองก็เป็นความผิดตามกฎหมายอาญา ต่อมามีมัลแวร์แพร่ในระบบของผู้ให้บริการคลาวด์นั้น เจ้าหน้าที่ตามกฎหมายมั่นคงไซเบอร์จึงขอหมายศาลเพื่อเข้าถึงตรวจสอบระบบเพื่อหามัลแวร์ แต่บังเอิญพบภาพลามกของน้องผักเบี้ยด้วย ทำให้กังวลว่าจะถูกนำหลักฐานนี้ไปใช้ฟ้องคดีตามกฎหมายอาญาหรือไม่
แม้จะกล่าวว่า ก็สิ่งที่ผักกาด ผักกูด หรือผักเบี้ยทำเป็นความผิดตามกฎหมาย และควรดำเนินคดี แต่การเข้าถึงหรือตรวจสอบในวงกว้างตามกฎหมายมั่นคงไซเบอร์ นำไปสู่การได้มาซึ่งหลักฐานสำหรับความผิดอื่น และมาตรา 69 ให้เจ้าหน้าที่เปิดเผยเพื่อดำเนินคดีได้นั้น ทำให้เกิดความกังวลว่า จะเปิดโอกาสให้เกิดการตรวจสอบจับกุมได้อย่างกว้างหรือไม่
ข้อนี้ยากที่จะตอบได้ชัดเจนตอนนี้ เพราะจะเกิดปัญหาเมื่อบังคับใช้กฎหมายจริง และเจ้าหน้าที่พบเห็นหรือได้มาซึ่งข้อมูลแล้ว
ข้อกังวล 6 หลักการตรวจสอบถ่วงดุล
ตามหลักสากล การใช้อำนาจของฝ่ายบริหารหรือคณะกรรมการจะต้องได้รับการตรวจสอบถ่วงดุล เช่น ขอหมายศาล
จากตัวบทการใช้อำนาจที่กล่าวข้างต้น เช่น เข้าถึงข้อมูล ฯลฯ ต้องขอหมายศาลก่อน ยกเว้น กรณีมาตรา 67 ภัยคุกคามระดับวิกฤต สามารถใช้อำนาจโดยไม่ต้องขอศาลก่อน แต่หลังจากใช้อำนาจแล้วให้รายงานศาล
ข้อกังวลก็สืบเนื่องจากความกว้างของตัวบท เช่น ระดับวิกฤต อีกทั้งยังเชื่อมโยงให้เป็นอำนาจสภาความมั่นคงแห่งชาติ ซึ่งตามกฎหมายสภาความมั่นคงแห่งชาติก็ให้อำนาจนายกฯ สั่งการได้กว้าง
มีข้อสังเกตจากคดีต่างประเทศว่า หลักการตรวจสอบถ่วงดุลโดยศาล เป็นเกณฑ์เพียงประการหนึ่งของหลักสิทธิมนุษยชนสากลเท่านั้น แม้ว่ากฎหมายที่ให้อำนาจสอดแนมจะกำหนดว่าต้องขอคำสั่งศาล แต่ก็ต้องดูหลักการอื่นด้วย เช่น หลักความจำเป็นและได้สัดส่วน หลักความชัดเจนหรือเจาะจงของกฎหมายเป็นต้น
ข้อกังวล 7 ความกว้างและความต่อเนื่อง
สอดส่องหรือสอดแนมวงกว้างได้หรือไม่
ศาลสิทธิมนุษยชนยุโรป ตัดสินไว้ในหลายคดีว่า กฎหมายประเทศสมาชิกที่ให้อำนาจสอดแนมวงกว้าง (Mass Surveillance) ขัดต่อหลักสิทธิมนุษยชน ในหลายประเทศค่อนข้างให้น้ำหนักกับกฎหมายลักษณะนี้
คำว่า ‘วงกว้าง’ คือไม่เจาะจงเป้าหมาย หลักการสากลยอมรับการตรวจสอบข้อมูลเพื่อจับกุมอาชญากรรม แต่ต้องมีลักษณะเจาะจง เช่น เข้าถึงข้อมูลของผู้ใด บริษัทใด แต่ภัยคุกคามไซเบอร์มีลักษณะแพร่ไปวงกว้าง ผู้ได้รับผลกระทบจึงกว้างไปด้วย ดังนั้น การให้อำนาจตรวจสอบข้อมูลตามตัวบทกฎหมาย จึงสามารถครอบคลุมผู้ใช้งานทั่วไปได้กว้าง ในขั้นตอนนี้ ตอบได้ว่าตัวบทเปิดโอกาสไว้กว้าง ขึ้นอยู่กับคำสั่งศาลว่าจะอนุญาตให้กว้างหรือเจาะจงแค่ไหน
สอดส่องหรือสอดแนมต่อเนื่อง เรื่อยๆ ได้หรือไม่
ตามหลักการสิทธิมนุษยชน นอกจากการสอดแนมต้องมีลักษณะจำกัดตัวเป้าหมาย ยังต้องมีเวลาจำกัด การสอดแนมเรื่อยๆ เก็บข้อมูลเรียลไทม์ไปเรื่อย จึงไม่สอดคล้องกับหลักการนี้
ตาม พ.ร.บ. มั่นคงไซเบอร์ มาตรา 67 ให้อำนาจขอข้อมูลที่เป็นปัจจุบันและต่อเนื่อง…(ร่างเดิมระบุคำว่า เวลาจริง หรือ Real Time แต่มีการตัดออกไป) แต่ก็มีความกังวลว่า ถ้อยคำเช่นนี้เปิดโอกาสให้สอดส่องได้เรื่อยๆ ต่อเนื่อง โดยไม่มีขอบเขตเวลาชัดเจน
ข้อกังวล 8 หน้าที่และความเสี่ยงของผู้ประกอบธุรกิจ
กฎหมายนี้กำหนดหน้าที่ให้ผู้ประกอบธุรกิจที่มีลักษณะเป็น ‘โครงสร้างพื้นฐาน’ ต้องมีหน้าที่หลายอย่าง เช่น วางแผนรับมือภัยคุกคามไซเบอร์ จัดทำประมวลแนวปฏิบัติ (Code of Practice) แผนประเมินความเสี่ยง ต้องตรวจประเมิน พูดง่ายๆ คือเป็นกฎหมาย ‘Audit’ เหมือนกับตรวจประเมินสิ่งแวดล้อม ตรวจประเมินคุณภาพอื่นๆ รวมทั้งกำหนดหน้าที่ว่า ถ้าเกิดภัยคุกคามไซเบอร์จะต้องรายงานคณะกรรมการกำกับดูแลความมั่นคงไซเบอร์
ดังนั้น ถ้าเป็นผู้ประกอบการในกลุ่มโครงสร้างพื้นฐาน เช่น การเงินการธนาคาร เทคโนโลยีสารสนเทศ โทรคมนาคม การขนส่ง โลจิสติกส์ สาธารณสุข ฯลฯ ก็จะต้องมีหน้าที่ตามกฎหมายนี้
ผลกระทบนี้ในแง่หนึ่งก็มีความจำเป็นเพื่อป้องกันภัย แต่ในอีกแง่หนึ่ง เมื่อพิจารณาประกอบกับว่า ผู้ประกอบการต้องมีหน้าที่ตามกฎหมายอีกฉบับที่ออกมาคู่กันด้วย คือกฎหมายข้อมูลส่วนบุคคล ก็มองได้ว่าเป็นภาระที่ค่อนข้างหนัก ยิ่งไปกว่านั้น ผู้ประกอบการบางรายอาจกังวลว่า ไม่รู้เมื่อไรที่เจ้าหน้าที่จะใช้อำนาจเข้าถึงหรือตรวจสอบข้อมูล เพราะกฎหมายมีลักษณะกว้าง โดยเฉพาะอย่างยิ่งข้อมูลในระบบของผู้ประกอบธุรกิจ มีความหลากหลายทั้งข้อมูลทั่วไป ข้อมูลลูกค้า ข้อมูลความลับทางการค้า ข้อมูลทรัพย์สินทางปัญญา
เหตุการณ์ที่กังวลว่าจะเกิดในอนาคต:
น้องเมลอน ผู้ประกอบธุรกิจต่างชาติ ประสงค์จะมาทำธุรกิจโลจิสติกส์ในไทย แต่ธุรกิจนี้อยู่ในข่ายโครงสร้างพื้นฐาน จึงต้องมีหน้าที่ตามกฎหมาย นอกจากต้นทุนสูงซึ่งเธอก็ยอมรับได้และจะใช้วิธีเพิ่มค่าบริการไปให้ลูกค้าแทน แต่กระนั้นก็ยังกังวลว่า ไม่รู้เมื่อไรจะมีภัยคุกคามในระบบของเธอ ซึ่งเจ้าหน้าที่จะใช้อำนาจตรวจสอบเข้าถึงข้อมูล อาจทำให้พบเห็นข้อมูลความลับทางการค้าของเธอไปด้วย แม้จะมีกฎหมายห้ามและลงโทษหากเจ้าหน้าที่กระทำการดังกล่าว แต่เธอก็กังวลว่าอาจมีเจ้าหน้าที่ส่วนน้อยที่มีเจตนาไม่ดีในขั้นตอนการบังคับใช้กฎหมาย
ข้อกังวล 9 อำนาจสั่งให้กระทำการ
นอกจากอำนาจเข้าถึงหรือตรวจสอบแล้ว คณะกรรมการตามกฎหมายนี้ยังมีอำนาจสั่งให้ผู้อื่นกระทำการหลายอย่าง (มาตรา 64 สำหรับการสั่งให้กระทำการหลายอย่าง ตามมาตรานี้ไม่ต้องขอคำสั่งศาลด้วย) เช่น เฝ้าระวัง ตรวจสอบระบบ ดำเนินการแก้ไขภัยคุกคามเพื่อกำจัดข้อบกพร่องหรือชุดคำสั่งไม่พึงประสงค์ รักษาสถานะของข้อมูล ผู้เขียนเรียกรวมๆ ของการสั่งให้ทำการต่างๆ เหล่านี้ว่า ‘หน้าที่ของแอดมิน’ เช่น เมื่อระบบมีจุดอ่อน ต้องแก้ไข เมื่อมีมัลแวร์ต้องหาทางนำออกหรือระงับการทำงานของมัน รวมทั้งต้องเก็บข้อมูลเป็นหลักฐานให้เจ้าหน้าที่ อำนาจนี้นำไปสู่ความกังวล
เหตุการณ์ที่กังวลว่าจะเกิดในอนาคต:
น้องผักแว่น ใช้มือถือทั้งวัน ส่วนใหญ่เป็นการแชต โพสต์ในโซเชียล ฯลฯ ไม่มีทักษะพิเศษอะไรมากกว่านี้ ซึ่งก็เป็นเช่นเดียวกับพวกเราอีกหลายคน
ต่อมาปรากฏว่ามีมัลแวร์เลิฟเลิฟ แพร่ระบาดในสื่อโซเชียล แต่ตามกฎหมายมาตรา 64 น้องผักแว่นเป็น ‘ผู้ได้รับผลกระทบจากภัยคุกคามไซเบอร์’ จึงอาจได้รับคำสั่งให้ดำเนินการในหน้าที่ของ ‘แอดมิน’ เช่น แก้ไขหรือกำจัดภัยคุกคาม หากไม่ดำเนินการตามคำสั่งอาจมีโทษจำคุก แม้กฎหมายมีเขียนข้อยกเว้น (ไม่ปฏิบัติตามโดยไม่มีเหตุอันควร) ซึ่งน้องผักแว่นอาจต่อสู้ว่า ที่ไม่ทำตามคำสั่งเพราะไม่รู้ ไม่มีทักษะ แต่ก็เป็นเรื่องในชั้นดำเนินคดีแล้ว น้องผักแว่นกังวลว่าจะถูกดำเนินคดี และไม่รู้ว่าวันใดตนจะถูกคำสั่งดังกล่าว
สรุป พ.ร.บ. มั่นคงไซเบอร์ เป็นกฎหมายที่มีหลักการและเหตุผลที่สอดคล้องกับสภาพเทคโนโลยี แต่ด้วยรายละเอียดของหลักการให้อำนาจรัฐเพื่อดำเนินการครอบคลุมทั้ง อดีต ปัจจุบัน และอนาคต จึงมีหลายประเด็นที่ก่อให้เกิดข้อกังวลในแง่สิทธิมนุษยชนที่จะตามมา
กฎหมายนี้ออกมาควบคู่กับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งโดยหลักดูเหมือนย้อนแย้งกัน เพราะการเข้าถึงหรือได้มาซึ่งข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับความยินยอม เป็นความผิดตามกฎหมายคุ้มครองข้อมูล แต่ก็มีการกำหนดยกเว้น สำหรับการกระทำที่เกิดจากการใช้อำนาจโดยกฎหมายดังเช่น พ.ร.บ. มั่นคงไซเบอร์ แล้ว
หมายเหตุ: บทความนี้เขียนขึ้นบนพื้นฐานการวิเคราะห์ร่างที่เผยแพร่ในเว็บ สนช.
กฎหมายนี้มีการวิพากษ์วิจารณ์ให้ข้อมูลหลายด้าน เช่น
พิสูจน์อักษร: ลักษณ์นารา พักตร์เพียงจันทร์
