หลังจากสภานิติบัญญัติแห่งชาติ หรือ สนช. พิจารณาเห็นชอบร่างพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. ด้วยคะแนนเสียงเห็นด้วย 133 เสียง ไม่เห็นด้วย 0 เสียง และงดออกเสียง 16 เสียง เมื่อวันที่ 28 ก.พ. ที่ผ่านมา ปัจจุบันร่าง พ.ร.บ. ฉบับนี้ยังไม่มีผลบังคับใช้ เนื่องจากต้องรอประกาศราชกิจจานุเบกษา
อย่างไรก็ตาม หลายฝ่ายออกมาแสดงความกังวลต่อผลกระทบที่จะเกิดขึ้นกับการใช้อินเทอร์เน็ตส่วนบุคคล อีกทั้งมีการตีความ พ.ร.บ. ฉบับนี้มากมายจนเกิดความสับสนและตระหนกในวงกว้าง จุฬาลงกรณ์มหาวิทยาลัย จึงจัดเสวนาหัวข้อ "เจาะลึก พ.ร.บ. มั่นคงไซเบอร์'62 คุ้มกัน หรือ ควบคุม พื้นที่ออนไลน์"
จับตากฎหมาย 3 ฉบับ ปั้นเศรษฐกิจดิิจิทัล
แต่ก่อนที่จะตระหนกกันไป ประชาชนอาจต้องตระหนักก่อนว่า กฎหมายนี้มีที่มาที่ไปอย่างไร ดังนั้น จึงต้องย้อนกลับไปที่ มติที่ประชุมคณะรัฐมนตรี (ครม.) เมื่อวันที่ 25 พ.ย. 2553 ที่เห็นชอบจัดตั้ง 'สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)' หรือ สพธอ. ภายใต้กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
ขณะเดียวกัน สพธอ. ได้รับภารกิจสำคัญ คือการจัดทำชุดร่างกฎหมายเพื่อส่งเสริมเศรษฐกิจและสังคม หรือ 'ชุดกฎหมายเศรษฐกิจดิจิทัล' (Digital Economy) ซึ่งประกอบด้วย กฎหมาย 3 ฉบับ ได้แก่
ฉบับที่ 1 : พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560
'ผศ.ดร. ปิยะบุตร บุญอร่ามเรือง' คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย กล่าวว่า สำหรับ พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 หรือที่ประชาชนรู้จักกันในชื่อ "พ.ร.บ. คอมฯ" มีหน้าที่หลักคือการควบคุมการกระทำความผิดที่เกี่ยวข้องกับการใช้คอมพิวเตอร์ ระบบเครือข่าย หรือระบบอินเทอร์เน็ต โดยเน้นไปที่เนื้อหา
พ.ร.บ. ฉบับนี้มีผลบังคับใช้อยู่ในปัจจุบัน ถือเป็น พ.ร.บ. หลักที่ใช้ดูแลความผิดเชิงเนื้อหา
ฉบับที่ 2 : ร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ….
กฎหมายฉบับนี้ ผ่านความเห็นชอบของ สนช. มาเมื่อวันที่ 28 ก.พ. ที่ผ่านมา และรอการประกาศในราชกิจจานุเบกษา เป็นกฎหมายที่มีกระแสร้อนแรงอยู่ในขณะนี้
ผศ.ดร. ปิยะบุตร เล่าว่า กฎหมายฉบับนี้มีขึ้นเพื่อกำหนดมาตรฐานกำกับหน่วยงานและผู้ประกอบการเอกชนให้มีการสร้างความปลอดภัยกับระบบของตัวเอง เพื่อหลีกเลี่ยงความเสียหายที่จะตามมาในภายหลัง ซึ่งในอดีตผู้เสียหายจะต้องไปดำเนินการฟ้องร้องและพิสูจน์ด้วยตัวเอง ซึ่งยุ่งยากและไม่มีประสิทธิผล การสร้างกฏหมายขึ้นมาบังคับให้หน่วยงานจำเป็นต้องอยู่ภายใต้มาตรฐานของรัฐบาลจึงเป็นวิธีที่มีประสิทธิภาพมากกว่า
ขณะที่ 'นพ.สุธี ทุวิรัตน์' กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ ย้ำหลายครั้งว่า ตามมาตรา 49 กฏหมายฉบับนี้เน้นการบังคับใช้กับหน่วยงานโครงสร้างพื้นฐานสารสนเทศที่สำคัญ 8 ด้าน ได้แก่
อย่างไรก็ตาม ผศ.ดร. ปิยะบุตร อธิบายเพิ่มเติมว่า ตามตัวบทกฏหมายครอบคลุมทั้งระบบ แต่เน้นการบังคับใช้กับหน่วยงานหลักข้างต้น เนื่องจากปัจจุบันยังไม่มีกรณีที่ผู้ใช้งานปลายทาง (End User) หรือ ประชาชนทั่วไป สามารถทำให้ระบบโครงข่ายพังลงได้
ส่วนประเด็นหลักที่มีการถกเถียงในสังคมขณะนี้ จาก พ.ร.บ. ไซเบอร์คือ ความหมายของคำว่า "ภัยคุกคามทางไซเบอร์" ซึ่งตามนิยามในกฎหมาย หมายถึง การกระทำหรือการดำเนินการใดๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบ คอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันอันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง
ดังนั้น โดยภาษาที่ใช้เป็นเรื่องของการดำเนินการ การสร้างปัญหาประทุษร้ายต่อระบบคอมพิวเตอร์ ไม่ใช่ด้านเนื้อหาที่ประชาชนมีความกังวล
ฉบับที่ 3 : ร่างพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ....
'รอม หิรัญพฤกษ์' ประธานคณะอนุกรรมการด้านนโยบายและผลกระทบ คณะกรรมการธุรกรรมอิเล็กทรอนิกส์ ชี้ว่า กฎหมายฉบับนี้มีความสำคัญต่อประชาชนมากที่สุด แต่กลับไม่เป็นที่รับรู้ในวงกว้าง ทั้งที่กฏหมายฉบับนี้ผ่าน สนช. ออกมาพร้อมกับ พ.ร.บ. ไซเบอร์ และสามารถเรียกว่าเป็น "ฝาแฝดที่ต้องมีการบังคบใช้ร่วมกัน" ได้
แล้วเกิดขึ้นมาเพื่อดูแลข้อมูลส่วนบุคคลของทุกคน และขจัดปัญหาการถูกนำข้อมูลไปใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล ทั้งนี้การมีกฏหมายที่ออกมาสร้างมาตรฐานเรื่องการดูแลข้อมูลนี้ยังส่งผลดีในเชิงการค้าระหว่างประเทศเช่นกัน
ยกตัวอย่าง ปัจจุบันสหภาพยุโรป หรือ อียู มีกฏหมายเรื่องการคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐานสูงมาก หากประเทศไทยไม่สามารถไปอยู่ในมาตรฐานระดับเดียวกันได้ อาจทำให้ประเทศไทยตกขบวนการทำเศรษฐกิจกับอียูได้
ปมปัญหาตีความตัวบท อะไรคือ "ภัยคุกคามขั้นวิกฤต"
'วีระ รัตนแสงเสถียร' ประธานคณะทำงานการรักษาความมั่นคงปลอดภัยไซเบอร์ฯ สมาคมโทรคมนาคมแห่งประเทศไทยในพระบรมราชินูปถัมภ์ แสดงความเป็นห่วงเกี่ยวมาตรา 60 ใน พ.ร.บ. ไซเบอร์ ที่พูดถึงการพิจารณาเพื่อใช้อำนาจในการป้องกันภัยคุกคามทางไซเบอร์ ซึ่งแบ่งออกเป็น 3 ระดับ คือ (1) ระดับไม่ร้ายแรง (2) ระดับร้ายแรง (3) ระดับวิกฤต ซึ่งไม่ได้มีการลงรายละเอียดชัดเจนสำหรับหน่วยงานโครงสร้างพื้นฐานสารสนเทศที่สำคัญ 8 ด้าน ว่าเมื่อเจาะลึกลงไปในแต่ละด้าน สถานการณ์แบบไหนจึงจะเรียกว่าระดับใด
แต่ในมาตรา 60 นี้ ผศ.ดร.ปิยะบุตร เสริมว่า ในระดับที่ 3 หรือระดับวิกฤต ถูกแบ่งออกเป็นสองประเภท คือประเภท ก. และ ประเภท ข. โดยในตัวบทกฏหมายที่ใช้อธิบายประเภท ข. นั้นมีความไม่ชัดเจนของภาษา ทำให้หลายฝ่ายเกิดความกังวลว่า เมื่อถึงเวลานำไปบังคับใช้จริง จะมีการตีความเกินความจำเป็นหรือไม่ โดยไปตีความเกินจาก 'การกระทำ' ซึ่งเป็นหน้าที่หลัก พ.ร.บ. ไซเบอร์ ไปรวม 'เนื้อหา' ซึ่งอยู่ภายใต้ พ.ร.บ. คอมฯ
อย่างไรก็ตาม ถ้าว่ากันตามตัวหนังสือ แท้จริงแล้วไม่อาจทำได้ แต่ถ้าว่ากันตามการปฏิบัติ ทุกกฏหมายมันมีช่องว่างให้ละเมิิดได้ทั้งสิ้น ดังนั้นการออกกฎหมายลูกต้องให้หลายภาคส่วนเข้ามามีส่วนร่วม
"จะมาพูดว่าตัวหนังสือห้ามละเมิด มันเป็นไปไม่ได้ เราก็ต้องคอยไม่ให้เขาละเมิด ทุกกฏหมายก็เป็นเหมือนกัน” ผศ.ดร.ปิยะบุตร กล่าว
ตั้งข้อสังเกต กฎหมายดิจิทัลทั้งหมดมีขึ้นเพื่อ 'คุ้มครอง' หรือ 'ควบคุม'
'อาทิตย์ สุริยะวงศ์กุล' ผู้ประสานงานเครือข่ายพลเมืองเน็ต แสดงความกังวลในประเด็นกลไกการตรวจสอบการใช้อำนาจ โดยกล่าวว่า พ.ร.บ. คอมฯ มีเพื่อให้อำนาจเจ้าหน้าที่รัฐตามจับตัวผู้กระทำความผิด ขณะที่ พ.ร.บ. ไซเบอร์ มีเพื่อป้องกันเหตุการณ์ไม่พึงประสงค์ที่จะเกิดขึ้น โดย พ.ร.บ. ทั้ง 2 ฉบับ มีกลไกการตรวจสอบ แต่กลไกการตรวจสอบเหล่านั้นส่วนใหญ่เป็นเรื่อง 'ถ้าคุณไม่ให้ความร่วมมือกับเจ้าหน้าที่จะมีโทษอะไร' 'ถ้าเจ้าหน้าที่กระทำความผิด เอาข้อมูลไปใช้ในทางที่ผิดจะมีโทษอย่างไร' หรือเป็นการขอคำสั่งศาล ซึ่งหลายๆ กรณีก็ไม่ได้มีการขอคำสั่งศาล
ส่วนกรณีที่เกิดเหตุการณ์ขึ้นมาจริง แล้วเจ้าหน้าที่ขอเข้าไปตรวจสอบ ซึ่งข้อมูลที่เจ้าหน้าที่เข้าไปตรวจสอบไม่ได้มีแค่ข้อมูลของผู้ให้บริการเท่านั้น แต่ยังมีข้อมูลของประชาชนด้วย เช่นการใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ให้เชื่อว่ามีขึ้นมาเพื่อคุ้มครองข้อมูลของประชาชนตรงนั้น ในมาตราที่ 4 วงเล็บ 2 กลับมีการยกเว้นการบังคับใช้ ข้อมูลสำหรับการดำเนินงานของหน่วยงานรัฐที่มีหน้าที่รักษาความมั่นคงของรัฐ ความปลอดภัยของประชาชน ป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ และการรักษาความมั่นคงไซเบอร์ ซึ่งแปลว่า ข้อมูลที่เก็บหลักฐานมาตาม พ.ร.บ. คอมฯ หรือ พ.ร.บ. ไซเบอร์ ก็ไม่ได้รับการคุ้มครอง ที่สำคัญในแง่การตรวจสอบการใช้อำนาจ กลไกการคานอำนาจ ก็หายไป
อีกทั้ง ในมาตราที่ 4 วงเล็บ 6 ยังไปยกเว้นข้อมูลเครดิต โดยบริษัทข้อมูลเครดิตและสมาชิก ซึ่งมีมากมาย นั้นหมายความว่าข้อมูลเครดิตของประชาชนก็ไม่ถูกคุ้มครอง
"แล้ว พ.ร.บ. นี้มันจะเหลืออะไรให้คุ้มครองบ้าง สิ่งที่มันจะไปคุ้มครองได้ มันหดเล็กลงๆ เรื่อยๆ เพราะมาตรา 4 ไปยกเว้นหมด” นายอาทิตย์ กล่าว
นายอาทิตย์ปิดท้ายความกังวลในประเด็นความเป็นอิสระ เนื่องจากกรรมการควบคุมดูแลมาจากภาครัฐ คำถามคือถ้าหน่วยงานเดียวกันละเมิดข้อมูล แล้วมานั่งเป็นกรรมการเหมือนกัน จะสามารถตัดเรื่องผลประโยชน์ทับซ้อนได้หรือไม่
สถานการณ์ พ.ร.บ. 3 ฉบับที่เกิดขึ้นในตอนนี้ อาจอยู่ในภาวะที่ประชาชนไม่ไว้วางใจทั้งตัวบทกฏหมายและผู้ที่จะเข้ามามีอำนาจใช้กฏหมายทั้ง 3 ฉบับ ดังนั้นสิ่งที่ดีที่สุดที่ประชาชนจะทำได้ คือการตื่นตัวและเฝ้าระวังไม่ปล่อยให้มีการละเมิดเกิดขึ้น เพราะไม่ว่าจะร่างกฏหมายด้วยความระมัดระวังแค่ไหน หากคนจะละเมิด ถ้าไม่มีใครมอง เขาก็หาช่องละเมิดได้อยู่ดี
ข่าวที่เกี่ยวข้อง :