เวทีจุฬาฯ เสวนา ครั้งที่ 17 นักวิชาการแสดงทัศนะ “พ.ร.บ. มั่นคงไซเบอร์ ’62 คุ้มกันหรือควบคุมพื้นที่ออนไลน์”

16 มีนาคม 2562

จุฬาลงกรณ์มหาวิทยาลัย จัดเวทีจุฬาฯ เสวนา ครั้งที่ 17 เรื่อง “เจาะลึก พ.ร.บ.มั่นคงไซเบอร์ ’62 คุ้มกันหรือควบคุมพื้นที่ออนไลน์” เมื่อวันพฤหัสบดีที่ 7 มีนาคม 2562 ณ ห้องประชุม 202 อาคารจามจุรี 4 เพื่อเผยแพร่ความรู้และสร้างความเข้าใจที่ถูกต้องเกี่ยวกับร่างพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. ซึ่งได้รับความเห็นชอบจากที่ประชุมสภานิติบัญญัติแห่งชาติ (สนช.) ให้ประกาศใช้กฎหมายฉบับนี้ และกำลังเป็นประเด็นที่อยู่ในความสนใจของประชาชน โดยเฉพาะอย่างยิ่งในสื่อสังคมออนไลน์ โดยมี ศ.ดร.พิรงรอง รามสูต รองอธิการบดี จุฬาฯ เป็นประธานกล่าวเปิดงานเสวนา ดำเนินรายการโดย ผศ.พิจิตรา สึคาโมโต หัวหน้าภาควิชาวารสารสนเทศ คณะนิเทศศาสตร์ จุฬาฯ

ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง คณะนิติศาสตร์ จุฬาฯ เผยถึงภาพรวมกฎหมายดิจิทัล ที่เกี่ยวข้องกับประเด็นการเสวนาครั้งนี้ว่ามี 3 ฉบับ ได้แก่ พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ หรือ พ.ร.บ.คอมพิวเตอร์ ที่ผ่านมามีปัญหาค่อนข้างมาก ในแง่ที่ว่าตัวบทบัญญัติเขียนไว้โดยมีเจตนาเพื่อกำหนดฐานความผิดที่เกี่ยวกับคอมพิวเตอร์ทางระบบเครือข่ายอินเทอร์เน็ต แต่ยังมีปัญหาการใช้ปะปนกับฐานความผิดปกติของทางกฎหมายอาญา ซึ่งอยู่ในช่วงของความพยายามแก้ไข โดยทฤษฎีคือ พ.ร.บ.คอมพิวเตอร์ ไม่ควรไปทำความผิดซ้ำกับประมวลกฎหมายอาญาอีก ที่พบบ่อยคือ เรื่องหมิ่นประมาท ฉ้อโกง ฯลฯ พ.ร.บ.คอมพิวเตอร์ ฉบับปี 2560 จึงมีการนำความผิดฐานหมิ่นประมาทออกไป

ต่อมาคือ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ พ.ร.บ.ไซเบอร์ ในทางทฤษฎี ความผิดเชิงเนื้อหาจะอยู่ใน พ.ร.บ.คอมพิวเตอร์ เป็นหลัก โดยปัญหาพื้นฐานของความมั่นคงปลอดภัยไซเบอร์ คือหน่วยงานและผู้ประกอบการเอกชนไม่มีแรงจูงใจ ไม่มีบทลงโทษที่จะไปกระตุ้นให้มีความมั่นคงปลอดภัยในระบบของตนเอง เมื่อมีความเสียหายเกิดขึ้นจึงทำได้เพียงไปฟ้องเพื่อให้ชดใช้ค่าเสียหาย ซึ่งไม่ทันและไม่เพียงพอต่อเหตุการณ์ปัจจุบัน และหากจะพิสูจน์ว่ามีเจตนาทำให้เสียหายด้วย ก็เป็นไปได้ยาก

“หลักการแก้ปัญหาคือ การสร้างมาตรฐานความปลอดภัยทางไอทีขึ้น เพื่อให้ทุกคนที่เข้ากลุ่มทำตัวเองให้ได้มาตรฐานตามที่กำหนด และจะมีการตรวจสอบอยู่ตลอดว่าได้มาตรฐานหรือไม่ ถ้าไม่ได้มาตรฐานก็จะมีความผิด เพื่อให้การบริหารจัดการง่ายขึ้น และดูแลมาตรฐานความปลอดภัยไซเบอร์ได้มากขึ้น”

สุดท้าย คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ผศ.ดร.ปิยะบุตร ระบุว่า เป็นเรื่องที่พยายามทำมากว่า 20 ปีแล้ว แต่ก็ไม่ประสบความสำเร็จ ครั้งนี้เป็นครั้งแรกที่ประเทศไทยจะได้มีร่าง พ.ร.บ.ส่วนบุคคล

“ปัญหาคือเราถูกเอาข้อมูลของเราไปใช้ประโยชน์โดยที่เราอาจจะไม่ได้ยินยอม เมื่อเกิดความเสียหาย ผู้เสียหายก็ต้องไปฟ้องเอาเอง ซึ่ง พ.ร.บ. นี้จะคล้าย พ.ร.บ.ไซเบอร์ ตรงที่ทำให้มีกฎหมายเพื่อกำหนดเป็นมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลให้ผู้ประกอบการที่เข้ากลุ่มทำตาม ถ้าไม่ทำก็มีความผิด ขณะเดียวกันทางสหภาพยุโรปก็ได้สร้างหลักการเรื่องนี้ไว้สูงมาก ถ้าเราไม่ทำอะไรเลย ก็อาจจะทำธุรกิจกับเขาไม่ได้”

ผศ.ดร.ปิยะบุตร อธิบายเพิ่มเติมเกี่ยวกับ พ.ร.บ.ไซเบอร์ ว่า ร่างเก่าปี 2561 ที่มีปัญหามาก เพราะนิยามของคำว่า “ภัยคุกคามทางไซเบอร์” ที่ทำให้มีการตีความได้กว้างขวาง และน่ากังวลว่าจะหมายถึงอะไรก็ได้ รวมถึงอาจจะไปทับกับ พ.ร.บ.คอมพิวเตอร์เดิมอีกด้วย อีกประเด็นที่หลายคนแสดงความห่วงใยคือ การให้อำนาจเลขาธิการของสำนักงานที่จะจัดตั้งขึ้นตาม พ.ร.บ.นี้ สามารถเป็นผู้สั่งการ โดยไม่ต้องไปผ่านกระบวนการศาล

“ร่าง พ.ร.บ.ไซเบอร์ ใหม่ มีการปรับนิยามของ ”ภัยคุกคามทางไซเบอร์” ให้เป็นเรื่องของการดำเนินการที่สร้างปัญหาประทุษร้ายต่อระบบคอมพิวเตอร์มากขึ้น และมีการแบ่งออกเป็น 3 ระดับ คือ ระดับไม่ร้ายแรง ระดับร้ายแรง และระดับวิกฤต แต่ก็มีข้อห่วงใยว่า นิยามในวงเล็บ ข ของระดับวิกฤตที่อาจกระทบกับเรื่องเนื้อหาที่มีความผิดใน พ.ร.บ. คอมพิวเตอร์ แล้วเวลาถูกใช้จริงจะเป็นอย่างไร”

ด้าน นพ.สุธี ทุวิรัตน์ กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ แสดงทัศนะว่า พ.ร.บ.ไซเบอร์ บังคับใช้กับหน่วยงานที่ถูกประกาศว่าเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure หรือ CII) ทั้งภาครัฐและเอกชน ได้แก่ ด้านความมั่นคงของรัฐ ด้านบริการภาครัฐที่สำคัญ ด้านการเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม ด้านการขนส่งและโลจิสติกส์ ด้านพลังงานและสาธารณูปโภค ด้านสาธารณสุข และด้านอื่นตามที่คณะกรรมการประกาศกำหนดเพิ่มเติม ไม่ได้บังคับใช้กับประชาชน แต่มีออกมาเพื่อให้ประชาชนอุ่นใจว่า หน่วยงานผู้ให้บริการ CII เหล่านี้จะมีมาตรฐานที่สูงขึ้น มีการเตรียมพร้อม และมีผู้กำกับดูแลซึ่งตอนนี้ยัง ไม่มี หรือมีแต่มาตรฐานยังไม่เข้มพอเมื่อเทียบกับมาตรฐานสากล ซึ่งจะออกมาในกฎหมายลูกที่จะประกาศ

เมื่อมีภัยคุกคามทางไซเบอร์ระดับร้ายแรงหรือระดับวิกฤต เกิดผลกระทบต่อคนส่วนใหญ่ เช่น ธนาคารล่ม โรงพยาบาลถูกแรนซัมแวร์โจมตี อินเทอร์เน็ตใช้ไม่ได้ทั่วประเทศ คณะกรรมการด้านความมั่นคงก็จะเข้ามาดูแล ประสานงานกับผู้ควบคุมกำกับดูแล CII ให้ไปคุยกับผู้ให้บริการ CII เพื่อเยียวยาแก้ปัญหาเฉพาะหน้า ซึ่งไม่ได้เข้ามาดูเรื่องการโจมตีไซเบอร์ แต่มาดูแลผลกระทบที่เกิดกับประชาชน

“สมมติถ้าแฮกเกอร์มาโจมตีโรงพยาบาล แฮกเกอร์จะมีความผิดเกี่ยวกับ พ.ร.บ. คอมพิวเตอร์ ส่วนคนที่มีความผิดเกี่ยวกับ พ.ร.บ.ไซเบอร์ คือผู้ให้บริการ CII เพราะกฎหมายบังคับให้มีมาตรฐานที่สูงกว่า บริการห้ามหยุดชะงัก ซึ่งหน่วยงานรัฐจะเข้าไปเก็บหลักฐานทางดิจิทัลว่าแอบไปโจมตีที่อื่นอยู่หรือไม่ หรือเป็นไวรัสสายพันธุ์ไหน เพื่อจะได้เตือนผู้ให้บริการ CII รายอื่น ขอให้เข้าใจบริบทนี้ก่อน”

นอกจากนี้ นพ.สุธี ยังอธิบายในส่วน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลว่า หลายคนอาจเข้าใจว่าเป็นเรื่องของไอทีหรือดิจิทัล แต่การคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของสิทธิส่วนบุคคล ซึ่งหลักการคือ คุ้มครองสิทธิของเจ้าของข้อมูล โดยรวมข้อมูลที่อยู่ในทุกรูปแบบ ไม่เฉพาะดิจิทัล

ขณะที่ คุณวีระ รัตนแสงเสถียร ประธานคณะทำงานการรักษาความมั่นคงปลอดภัยไซเบอร์ฯ สมาคมโทรคมนาคมแห่งประเทศไทยในพระบรมราชูปถัมภ์ กล่าวในมุมมองของภาคเอกชนว่า เจตจำนงของกฎหมายฉบับนี้น่าจะพูดถึงการรักษา คุ้มครอง และปกป้องประชาชน โดยกลไกของกฎหมายดำเนินการผ่านคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) และมีคณะกรรมการย่อยคือคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกม.) ซึ่งทำงานผ่านสำนักงาน และมีศูนย์ไซเบอร์แห่งชาติ

ในส่วนของคณะทำงานฯ ที่ได้ศึกษามามองว่า ร่าง พ.ร.บ.ไซเบอร์ใหม่ น่าจะมีความเหมาะสมมากกว่าร่างเดิม ซึ่งให้อำนาจเลขาธิการค่อนข้างมากในการตัดสินใจเรื่องต่างๆ และมีข้อดีคือการนำอำนาจศาลเข้ามาช่วยถ่วงดุลในการพิจารณาของภาครัฐ จากการพูดคุยกับผู้ประกอบการ มีความเห็นเรื่องความชัดเจนของคำนิยามหลายคำ ในการนำไปปฏิบัติจริงเพื่อให้ CII สามารถปฏิบัติได้ตามมาตรฐานที่วางไว้

“ที่ผ่านมา ภาครัฐได้เปิดเวทีให้ภาคเอกชน ภาควิชาการ และภาคประชาชนได้เข้ามาพูดคุยเกี่ยวกับร่าง พ.ร.บ. เดิม ซึ่งความคิดเห็นในครั้งนั้นก็ได้มาปรากฏอยู่มากมายในร่างฉบับใหม่นี้ จึงเชื่อว่าจะเป็นประโยชน์มาก หากภาครัฐจะดำเนินการในลักษณะเดียวกัน โดยเปิดรับฟังความคิดเห็นและร่วมคิดร่วมพิจารณาเรื่องนโยบาย ระเบียบ และข้อกำหนดต่างๆ เพื่อให้กฎหมายที่รองลงมามีความสามารถดำเนินการได้จริงและเหมาะสมกับสถานการณ์ในโลกปัจจุบัน”

ด้าน ดร.รอม หิรัญพฤกษ์ ประธานคณะอนุกรรมการด้านนโยบายและผลกระทบ คณะกรรมการธุรกรรมอิเล็กทรอนิกส์ แสดงความเห็นว่า ปัญหาด้านความมั่นคงปลอดภัยไซเบอร์ คือ เมื่อมีการกระทำความผิดเกิดขึ้น ไม่มีใครรับผิดชอบ และในที่สุดก็จะบอกว่าเป็นความรับผิดชอบของผู้บริหารสูงสุดของหน่วยงานหรือนิติบุคคลนั้นๆ จึงเป็นที่มาของ พ.ร.บ. ไซเบอร์อย่างที่เห็น เพื่อทำให้เกิดเกณฑ์ต่างๆ และมีความชัดเจนว่าใครเป็นผู้รับผิดชอบ

“บางท่านอาจไม่เข้าใจว่ากฎหมายพวกนี้บางทีมีหลายเวอร์ชัน บางครั้งไม่เหมือนกันเลย ในเรื่องการใช้อำนาจพิเศษต้องกำกับดูแลค่อนข้างรัดกุม การจะบุกพังประตูกลางดึกแล้วยกเครื่องคอมพิวเตอร์ออกมา เป็นเรื่องที่ทำไม่ได้ในทางปฏิบัติ พ.ร.บ. จึงต้องมีการกลั่นกรองและให้ความคิดเห็นต่างๆ เพื่อให้มีความสมดุลระหว่างความมั่นคงปลอดภัยไซเบอร์กับความเป็นส่วนตัว

ต้องทำความเข้าใจก่อนว่าตามกฎหมายไทย อำนาจประเภทที่สามารถดักฟังโทรศัพท์หรืออื่นๆ โดยไม่ต้องขอศาลมีอยู่แล้ว อย่าง ปปส. ปปง. หรือพวกกฎหมายฉุกเฉิน กฎอัยการศึก ถ้าเป็นเรื่องภัยอันตรายระดับสูงประเทศไหนๆ ก็มี แต่พวกเราไม่รู้ อย่างไรก็ตาม สิ่งเหล่านี้ใน พ.ร.บ. ไซเบอร์ ก็ถูกเปลี่ยนไปหมดแล้ว”

ดร.รอม กล่าวเสริมว่า สิ่งที่ต้องทำคือ การทำให้คนในสังคมเข้าใจว่าเรื่องนี้เป็นเรื่องสำคัญ กระทบถึงตัวทุกคนทั้งทางตรงและทางอ้อม การออกกฎหมายลูกต่างๆ ต้องรีบทำ มีการให้ความรู้แก่ผู้ประกอบการ ผู้ให้บริการที่เกี่ยวข้อง รวมทั้งการตั้งสำนักงานและการหาคนที่มีคุณสมบัติเหมาะสมมาทำงาน

“เรื่องภัยไซเบอร์ไม่มีมาตรฐานไทย เพราะโจรมาจากทั่วโลก จึงต้องหาคนเก่งจากที่ต่างๆ มาทำงาน ยกตัวอย่าง ถ้าธนาคารล่มไปหนึ่งแห่ง จะบอกว่าไม่สำคัญไม่ได้เพราะมันเชื่อมโยงกันเป็นเครือข่าย ถ้าเราไม่สร้างมาตรฐานที่เท่าเทียมกัน โจรจะโจมตีที่ที่อ่อนแอที่สุด แล้วที่อื่นก็จะล่มตามๆ กันไป”

ในส่วนของ พ.ร.บ. ข้อมูลส่วนบุคคล ดร.รอม ชี้ว่า “เป็น พ.ร.บ. ที่ออกพร้อมกัน วันเดียวกันกับ พ.ร.บ. ไซเบอร์ แต่ไม่มีใครสนใจ ทั้งที่เป็นเรื่องที่กระทบกับเราทุกคน เพราะทุกคนเป็นเจ้าของข้อมูล ต้องมีสิทธิรับรู้ สามารถดูได้ มีอะไรผิดต้องขอแก้ไขได้ ซึ่งภัยในเรื่องนี้จริงๆ มาจากดาต้าโบรกเกอร์ที่ทำธุรกิจข้ามประเทศ เช่น facebook, google ที่ไม่เก็บค่าใช้บริการจากเรา เพราะเราไม่ใช่ลูกค้าของเขา แต่เราเป็นสินค้า ข้อมูลเกี่ยวกับตัวเราคือสิ่งที่เขาเอาไปขายให้ผู้ให้บริการ ร้านค้า ธุรกิจขนาดใหญ่ ฯลฯ”

สุดท้าย คุณอาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต ได้ตั้งข้อสังเกต เกี่ยวกับ พ.ร.บ.ไซเบอร์ว่า นิยามของคำว่า “ภัยคุกคามทางไซเบอร์” ไม่มีตรงไหนที่มีคำว่าโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ที่อยู่ในมาตรา 3 แต่ไปอยู่ในมาตราที่เกี่ยวข้อง เช่น กฎหมายที่เกี่ยวกับ CII มาตรา 60 ที่แบ่งระดับภัยคุกคาม โดยมีคำนี้อยู่ในภัยระดับไม่ร้ายแรง ระดับร้ายแรง และระดับวิกฤตในเฉพาะข้อ ก แต่ข้อ ข ไม่มี

“ที่บอกว่าภัยคุกคามทางไซเบอร์ เป็นการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ และข้อมูลอื่นๆ ที่เกี่ยวข้อง ตกลงแล้วคืออะไรบ้าง ซึ่งคำว่า “ข้อมูลคอมพิวเตอร์” ดูแล้วไม่มีการกำหนดนิยามไว้ตรงไหน หลักทั่วไปจึงต้องไปดูนิยามจากกฎหมายข้างเคียงที่ใกล้เคียงที่สุด ซึ่งตามความเข้าใจคืออาจจะมีนิยามของข้อมูลคอมพิวเตอร์ใน พ.ร.บ. คอมพิวเตอร์ ที่มีการรวมเรื่องเนื้อหาเอาไว้”

คุณอาทิตย์ ยังระบุอีกว่า ส่วนหนึ่งนอกจากจะมีความกังวลต่อตัวบทที่มีความไม่ชัดเจน ซึ่งทำให้ชัดเจนขึ้นได้ด้วยการร่างประกาศต่างๆ แต่เรื่องการบังคับใช้กฎหมาย เช่น พ.ร.บ.คอมพิวเตอร์ ที่มีหลักการดีมาก แต่ก็ยังการนำไปใช้ฟ้องในทางการเมือง จึงเป็นความกังวลที่ชอบธรรมสำหรับคนที่ออกมาตั้งคำถามว่า สุดท้ายในการบังคับใช้ ถ้าแนวปฏิบัติไม่รัดกุมชัดเจน เจ้าหน้าที่มีช่องให้ตีความเยอะ ก็อาจเกิดปัญหาได้ แต่ถ้าทุกคนมีเจตนาดี พยายามทำให้ชัดเจน ปัญหาก็จะลดลงไป

“ประเด็นเรื่องการผ่านศาลนั้น ส่วนที่ผ่านศาลมีจริง แต่ที่ไม่ผ่านก็มี เช่น มาตรา 65 มีเฉพาะวงเล็บ 5 เรื่องการเข้าถึงข้อมูลคอมพิวเตอร์เท่านั้นที่ต้องขอคำสั่งศาล เรื่องการเฝ้าระวัง การตรวจสอบ ดำเนินมาตรการต่างๆ ไม่ต้องขอคำสั่งศาล และมาตรา 66 วงเล็บ 2-4 ต้องขอคำสั่งศาล แต่วงเล็บ 1 การเข้าตรวจสอบสถานที่ไม่ต้องมีคำสั่งศาล การจะบอกว่าทุกอย่างต้องขอคำสั่งศาล จึงไม่น่าจะใช่ข้อเท็จจริง”

สิ่งที่ยังไม่ได้เห็นมากใน พ.ร.บ.ฉบับนี้คือ การตรวจสอบก่อนใช้อำนาจมีปรากฏอยู่บ้าง แต่การตรวจสอบระหว่างใช้อำนาจไม่ชัดเจน คือไม่ใช่ว่าศาลอนุญาตแล้วจะอยู่ไปตลอด การตรวจสอบระหว่างใช้อำนาจจึงมีความจำเป็นว่าสิ่งที่เคยอนุญาตไปยังชอบด้วยเหตุด้วยผลอยู่หรือไม่ สิ่งนี้ปรากฏอยู่ใน พ.ร.บ. หลายฉบับ แต่ไม่ได้อยู่ใน พ.ร.บ.ไซเบอร์ รวมทั้งการตรวจสอบหลังใช้อำนาจ ซึ่ง พ.ร.บ. ข้อมูลส่วนบุคคล ทุกๆ 5 ปี จะมีการมารีวิวว่ากฎหมายยังสมเหตุสมผลอยู่หรือไม่ แต่สิ่งนี้ไม่ได้ปรากฏใน พ.ร.บ.ไซเบอร์

“ถ้าจะให้เจ้าหน้าที่ทำงานบางอย่างเพื่อปกป้องคุ้มครองประชาชน เราจำเป็นต้องให้อำนาจเขา แต่หลายครั้งเป็นการได้อำนาจที่เกินสัดส่วน สมมติมี 3 ระดับ จริงๆ ใช้อำนาจแค่ระดับ 2 ก็แก้ปัญหาได้แล้ว แต่เราให้อำนาจระดับ 3 ไป ถามว่าแก้ได้ไหม ก็แก้ได้จริง แต่อาจจะเป็นอำนาจที่เกินความจำเป็น หรือบางครั้งระดับ 3 แล้วก็ยังแก้ไม่ได้ ต้องใช้วิธีอื่น ถ้าบังคับใช้กฎหมายไปประมาณ 5 ปี ก็จะเริ่มมีประวัติแล้วว่าอำนาจแบบไหนที่ให้ไปแล้วชอบด้วยเหตุผลและแก้ปัญหาได้จริง แล้วรวบรวมสิ่งเหล่านี้มารีวิวทำให้กฎหมายสมเหตุสมผลมากขึ้นในอนาคต ตรงนี้เป็นกลไกที่หายไป”