ไม่พบผลการค้นหา
ตอน 1 : ข้อกังวล พ.ร.ก.ปราบปรามอาชญากรรมเทคโนโลยี ละเมิดสิทธิมนุษยชน 9 ประการ

'วอยซ์' ชวน คณาธิป ทองรวีวงศ์ ผู้อำนวยการสถาบันกฎหมายสื่อดิจิทัล คณะนิติศาสตร์ ม.เกษมบัณฑิต อ่าน พรก ป้องกันปราบปราอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 ระหว่างบรรทัด หลังรัฐบาลเร่งรัดใช้อำนาจฝ่ายบริหารตรา พ.ร.ก.ช่วงปลายสมัยก่อนครบวาระของรัฐบาลเพียง 1 สัปดาห์ พร้อมสรุปประเด็นชี้ชัดสกัดโกงออนไลน์หรือละเมิดสิทธิมนุษยชน โดยสรุปเป็นข้อห่วงกังวล 9 ประการ ดังนี้ 

1.ชื่อ พ.ร.ก. “ป้องกันปราบปรามอาชญากรรมเทคโนโลยี”  แต่เนื้อใน คือ ตรวจสอบข้อมูลบัญชีและสร้างกฎเกณฑ์ต่างๆแก่ประชาชนผู้ใช้งาน

​เหตุผลและความจำเป็นของ พ.ร.ก.นี้มักมีการอ้างเกี่ยวกับ อาชญากรรมที่พบเป็นข่าวอยู่แทบทุกวัน เช่น คอลเซ็นเตอร์ หลอกให้โอนเงิน หลอกให้กดลิงค์ การ “ดูดเงิน” แบบต่างๆ ทางอิเล็กทรอนิกส์ 

​เหตุผลตอนท้ายในหมายเหตุ ของ พ.ร.ก. ก็ระบุว่า “ มีการหลอกลวงประชาชนผ่านอุปกรณ์เทคโนโลยีต่างๆ ผู้หลอกลวงได้โอนทรัพย์สินผ่านบัญชีเงินฝาก ของบุคคลอื่นต่อไปเป็นทอดๆ เพื่อปกปิดการกระทำผิด..” 

​แต่เมื่อมาดูหลักการของ พ.ร.ก. มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี  ทิ่ประกาศใช้บังคับเมื่อวันที่ 16 มี.ค. 2566 พบว่า หลักการสำคัญไม่มีบทมาตรากำหนดโทษสำหรับ ผู้ก่อเหตุอย่าง คอลเซ็นเตอร์  หลอกส่งลิงค์ คนเขียนแอปปลอม หรือแอป“ดูดเงิน”  ทั้งที่พฤติกรรมเหล่านี้เป็น “อาชญากรรมเทคโนโลยี” ที่แท้จริงอันเป็น “ต้นเหตุ” 

แต่หลักการสำคัญสรุปได้ 4 อย่างคือ 

1.สร้างระบบและให้อำนาจหลายฝ่ายที่เกี่ยวข้องกับข้อมูลบัญชีและธุรกรรม แยกเป็นหลักการย่อย ดังนี้

1.1 สร้างระบบแลกเปลี่ยนข้อมูลธุรกรรมของประชาชน โดยสถาบันการเงิน ผู้ให้บริการเครือข่ายโทรศัพท์ โทรคมนาคม ผู้ให้บริการทีเกี่ยวข้อง รวมทั้งเจ้าหน้าที่ เช่น สำนักงานตำรวจ , กรมสอบสวนคดีพิเศษ (ดีเอสไอ) , สำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.)   ให้เปิดเผยแลกเปลี่ยนข้อมูลบัญชีและธุรกรรมของประชาชน เมื่อธุรกรรมมีลักษณะ “เหตุอันควรสงสัย” (มาตรา 4 ) เช่น ธนาคารสามารถเปิดเผยหรือส่งข้อมูลให้ตำรวจ ปปง. ดีเอสไอ โดยหน่วยงานดังกล่าวนำไปใช้เพื่อ “ป้องกันปราบปรามอาชญากรรม” 

1.2 ให้อำนาจเจ้าหน้าที่ได้มาซึ่งข้อมูลระบุตัวผู้ใช้งานอุปกรณ์ โทรศัพท์ คอมพิวเตอร์ โดยอาจสั่งจากผู้ให้บริการเครือข่าย ผู้ให้บริการอื่น (มาตรา 5) 

1.3 เนื่องจากการตรวจสอบเข้าถึงเปิดเผยข้อมูลธุรกรรมบัญชีของประชาชนดังกล่าวเป็นการกระทำที่ขัดต่อ พรบ ข้อมูลส่วนบุคคล (PDPA)  พรก นี้จึงยกเว้นว่า ไม่อยู่ภายใต้ PDPA (มาตรา 12)

2. การ “อายัดบัญชี”  ให้สถาบันการเงินหรือผู้ประกอบธุรกิจระงับการทำธุรกรรมที่ “ต้องสงสัย” และ นำข้อมูลบัญชีหรือธุรกรรมที่ “ต้องสงสัย” เข้าสู่ระบบแลกเปลี่ยนข้อมูล (มาตรา 6) โดยไม่จำกัดว่าต้องมีผู้ร้องเรียน สถาบันการเงินหรือผู้ให้บริการอาจดำเนินการเองเมื่อพบเหตุ “ต้องสงสัย” หรือได้รับแจ้งจากระบบแลกเปลี่ยนข้อมูลก็ได้ 

3 กำหนดความผิดและโทษสำหรับผู้เปิดบัญชีแทนคนอื่น หรือที่เรียกกันว่า “บัญชีม้า” (มาตรา 10-11) 

​4. การสร้างเงื่อนไขการทำธุรกรม การโอนเงิน การยืนยันตัวตนประชาชนผุ้ใช้งาน เช่น จำกัดจำนวนบัญชีผู้ใช้งานของแต่ละสถาบันการเงิน  น่ากังวลคือการให้เก็บข้อมูลไบโอเมตริกส์ เช่น ภาพแสกนหน้า ฯลฯ เพื่อยืนยันตัวตน ในกรณีโอนเงินถึงจำนวนที่กำหนด (ไม่ได้ระบุโดยตรงใน พรก แต่ปรากฎในมาตรการของ ธนาคารแห่งประเทศไทย) 

โดยรวมเห็นว่า พ.ร.ก. นี้ มุ่งมาจัดการที่ “ปลายเหตุ” คือ พฤติกรรมการรับเงินที่อาจเกี่ยวข้องกับการกระทำผิด  รวมทั้งให้อำนาจตรวจสอบหรือสอดส่องข้อมูลธุรกรรมโดยหลายหน่วยงาน ซึ่งในแง่หนึ่งก็เป็นหลักการที่เป็นไปเพื่อปราบปรามขั้นตอนส่วนหนึ่งของอาชญากรรมไซเบอร์ต่างๆ แต่ในอีกแง่หนึ่งคือมาตรการตาม พ.ร.ก.นี้ ไม่ได้ไปจัดการที่พฤติกรรม “ต้นเหตุ” อีกทั้งในการสร้างกลไก เงื่อนไข และความผิดสำหรับการกระทำในทอด “ปลายเหตุ” ยังมีข้อคำถามข้อกังวลด้านสิทธิมนุษยชนของประชาชนอีกหลายข้อดังจะกล่าวต่อไป 

2. การกำหนดความผิดสำหรับ บัญชีม้า จำเป็น รีบด่วน และ ไม่มีกฎหมายใช้บังคับมาก่อน จริงหรือไม่ ? 

พ.ร.ก. กำหนดความผิดสำหรับ การเปิดบัญชีเพื่อรับเงินแทนบุคคลอื่น หรือเป็น นอมินี ที่เรียกเป็นไทยว่า บัญชีม้า 

มองผิวเผินอาจกล่าวว่า มีความจำเป็นในการกำหนดความผิดนี้ เพราะไม่มีความผิดแบบนี้มาก่อน อาจจะจริงส่วนหนึ่ง เพราะตามกฎหมายอาญาหรือ พ.ร.บ.คอมพิวเตอร์ไม่มีความผิดฐาน เปิดบัญชีแทนคนอื่น 

แต่ไม่สามารถกล่าวได้ว่า ไทยไม่มีกฎหมายสำหรับพฤติกรรมนี้ เพราะทางปฎิบัติที่ผ่านมา เมื่อมีนอมินี หรือบัญชีม้า ก็สามารถดำเนินคดีได้โดยเจ้าหน้าที่จะนำหลักกฎหมายอาญาพื้นฐานคือเรื่อง “ตัวการ” มาตั้งข้อหาฐาน “เป็นตัวการร่วมกับผู้กระทำผิด”  ขึ้นอยู่กับว่า “บัญชีม้า” เปิดร่วมกับแผนการกระทำผิดอะไร

เช่น รับจ้างเปิดบัญชีเพื่อรับเงินจากการพนันออนไลน์หรือการฉ้อโกงคนอื่น ก็อาจถูกตั้งข้อหาร่วมกันฉ้อโกง ร่วมกันกระทำผิด พ.ร.บ.การพนัน รวมทั้งยังมีกฎหมายฟอกเงิน ที่อาจนำมาตั้งข้อหาได้อยู่แล้ว 

ดังนั้น แม้ว่าไม่มี พ.ร.ก. ที่กำหนดความผิดฐาน บัญชีม้า ก็มีกฎหมายอื่นที่อาจมีโทษสูงกว่าฐานบัญชีม้า ตาม พ.ร.ก.มาตั้งข้อหาบังคับใช้ได้อยู่แล้ว 

ยิ่งไปกว่านั้น แม้มีฐานความผิดเฉพาะบัญชีม้า แต่เอาเข้าจริงเมื่อถูกดำเนินคดี ก็อาจโดนข้อหาบัญชีม้าตาม พ.ร.ก.พ่วงไปหรือร่วมกันกับ ความผิดฐาน ตัวการตามความผิดอื่นในลักษณะกรรมเดียวผิดหลายบทหรือหลายกรรมต่างกันได้อีกอยู่ดี

ในแง่นี้จึงมองได้ว่า ฐานความผิด บัญชีม้า ตาม พ.ร.ก.นี้ ไม่จำเป็นแถมยังจะซ้ำซ้อนกับกฎหมายอื่น หากตัด พ.ร.ก.นี้ออกไป บัญชีม้า ก็ยังมีกฎหมายมาบังคับและเป็นความผิดได้อยู่นั่นเอง

นำไปสู่อีกคำถาม ว่า ทำไม พ.ร.ก.นี้ รีบด่วนจนไม่สามารถออกเป็น พรบ เพื่อผ่านการพิจารณาของสภาผู้แทนตามปกติได้? 

ยิ่งไปกว่านั้น การกำหนดฐานความผิดสำหรับบัญชีม้าด้วยถ้อยคำที่กว้างและอาจตีความครอบคลุมหลายพฤติกรรมในการเปิดบัญชีอาจส่งผลให้เกิด “แพะ” ดังจะกล่าวต่อไป

3 หลักการแลกเปลี่ยนข้อมูลธุรกรรมต้องสงสัย / การตรวจสอบว่าบัญชีใดเป็นบัญชีม้า หรือ “เบอร์โทรม้า”  : กว้างและไม่ชัดเจน 

​หลักการสำคัญของ พ.ร.ก. นี้คือสร้างกลไกแลกเปลี่ยนข้อมูล กล่าวคือ หลายฝ่ายที่เกี่ยวข้องกับธุรกรรม เช่น ธนาคาร ผู้ให้บริการออนไลน์หรือธุรกรรมต่างๆ สามารถตรวจสอบ แลกเปลี่ยนข้อมูลบัญชีและการทำธุรกรรมของผู้ใช้งาน 

​โดยหลักแล้วการกระทำนี้ ต้องห้ามตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) หรืออาจทำได้ตามข้อยกเว้นก็คือต้องมีคำสั่งศาล แต่ พรกนี้ ให้อำนาจทำการแลกเปลี่ยนข้อมูลอีกทั้งอาจนำไปสู่การทำฐานข้อมูลหรือวิเคราะห์ข้อมูลขนาดใหญ่ (Big data) โดยบูรณาการหลายส่วน โดยเป็นข้อยกเว้น PDPA (มาตรา 12 ระบุว่า การเก็บใช้เปิดเผยข้อมูลตาม พรก ไม่อยู่ภายใต้ PDPA) ทำให้ประชาชนไม่สามารถนำหลัก “ความยินยอม” มาใช้ได้

แน่นอนว่ากฎหมายที่อ้างความมั่นคงหรือประโยชน์สาธารณะ หรือเพื่อปราบปรมอาชญากรรม ย่อมจำกัดสิทธิเสรีภาพได้ แต่กฎหมายดังกล่าวจะต้องอยู่ภายใต้เงื่อนไขข้อจำกัด ตามหลักสิทธิมนุษยชน กฎหมายที่จำกัดสิทธิเสรีภาพต้อง ชัดเจน เจาะจง มีขอบเขตจำกัด และคาดหมายได้

เกณฑ์เหล่านี้เป็นเกณฑ์สากล ปรากฎในสนธิสัญญาสิทธิมนุษยชนและคำพิพากษาศาลในหลายประเทศ 

นำเกณฑ์ดังกล่าว มาดูตัวบท ของ พ.ร.ก.นี้จะ เห็นว่า ไม่ชัดเจนในหลายประเด็น เช่น

1.ในส่วนของการแลกเปลี่ยนข้อมูลบัญชีธุรกรรมที่ต้องสงสัยว่าจะเกี่ยวข้องกับอาชญากรรม ใช้เกณฑ์อะไร

เพราะมาตรา 5 และ 6 ใช้คำ “เหตุอันควรสงสัย” อย่างกว้าง ไม่มีเกณฑ์ชี้วัดเชิงประจักษ์ใดๆที่จะตรวจสอบได้ 

2. ในส่วนของการกำหนดความผิดบัญชีม้า ที่กำหนดความผิดฐานปิดบัญชีเพื่อใช้แทนบุคคลอื่นนั้น อะไรคือเกณฑ์พิจารณา 

อีกทั้ง ไม่ใช่แค่ บัญชีม้า แต่เป็น เบอร์โทรม้า ด้วย เพราะความผิดกำหนดรวมไปถึงการให้คนอื่นใช้หรือยืมหมายเลขโทรศัพท์ 

มาตรา 9 ระบุว่า “เปิดหรือยินยอมให้บุคคลอื่นใช้บัญชีเงินฝาก บัตรอิเล็กทรอนิกส์ โดยมิได้มีเจตนาใช้เพื่อตนหรือยินยอมให้บุคคลอื่นใช้หรือยืมเลขหมายโทรศัพท์ของตน โดยรู้หรือควรรู้ว่าจะนำไปใช้กระทำผิด..”  

กฎหมายระบุถ้อยคำอย่างกว้าง ไม่มีเกณฑ์ชัดเจนว่า อย่างไรถึงเป็นการ “เปิดบัญชีให้บุคคลอื่นหรือยอมให้บุคคลอื่นใช้ หรือยอมให้บุคคลอื่นใช้เบอร์โทร โดยรู้หรือควรรู้ว่าจะมีการนำไปใช้ทำผิด” ?

-มีหลายบัญชี เปิดหลายธนาคาร รับและโอนกันไปมา การฝากโอนและรับโอนกันในเชิงความสัมพันธ์ส่วนตัวไม่ได้เกี่ยวกับธุรกิจอะไร

-เปิดบัญชีเพื่อรับเงินแทนในความสัมพันธ์ครอบครัว เช่น บางคนไม่สะดวก ก็ใช้บัญชีอีกคนรับเงิน 

-การให้คนอื่นใช้มือถือของตนทำธุรกรรมต่างๆแทนให้ 

การกระทำเหล่านี้ไม่ได้มีเจตนาทำผิด แต่ตามตัวบทมาตรา 9 ใช้ถ้อยคำกว้าง ก้าวขาครึ่งหนึ่งอยู่ในตัวบความผิดบัญชีม้า เพราะเป็นการ “ยินยอมให้บุคคลอื่นใช้บัญชีเงินฝากโดยมิได้เจตนาใช้เพื่อตน” แม้จะต้องมาดูเงื่อนไของค์ประกอบว่า “โดยรู้หรือควรรู้ว่าจะมีการนำบัญชีไปใช้กระทำผิด” แต่ก็เป็นถ้อยคำที่กว้างและสุ่มเสี่ยงต่อการถูกตั้งข้อหาในเบื้องต้นได้

ความผิดฐานบัญชีม้าตาม พ.ร.ก. จึงกฎหมายจำกัดสิทธิเสรีภาพ ที่แม้จะสามารถทำได้เพื่ออ้างเหตุป้องกันอาชญากรรม แต่มีลักษณะไม่สอดคล้องกับเกณฑ์สิทธิมนุษยชนสากลที่กฎหมายจำกัดสิทธิต้อง แคบ เจาะจง  

ความไม่ชัดเจนเช่นนี้ อาจนำไปสู่ “เหตุต้องสงสัย” (ที่ไม่ระบุชัดเจน) ทำให้หน่วยงานที่เกี่ยวข้องมีอำนาจ “ตรวจสอบหรือสอดส่อง” ธุรกรรมซึ่งอาจเป็นพฤติกรรรมการให้คนอื่นใช้บัญชีหรือให้ใช้เบอร์โทรที่ไม่ได้ผิดกฎหมายหลายอย่าง 

เปรี่ยบเทียบกับกฎหมายที่ให้อำนาจ “สอดส่องหรือตรวจสอบข้อมูล” โดยเป็นข้อยกเว้นของ PDPA อีกฉบับหนึ่งคือกฎหมายภาษี ที่จะกล่าวต่อไป จะเห็นว่า พ.ร.ก.นี้ กว้างและไม่ชัดเจนมากกว่า 

คณาธิป 0-AF4E8F9D3FFF.jpeg

4. การให้อำนาจเข้าถึงและเปิดเผยข้อมูลส่วนบุคคลตาม พ.ร.ก.นี้ ไม่ชัดเจนและกว้าง กว่ากฎหมายภาษีที่แก้ไขยุค คสช.

เปรียบเทียบกับ กฎหมายที่จำกัดสิทธิและเข้าถึงข้อมูลส่วนบุคคลโดยยกเว้นจาก PDPA อีกฉบับที่ออกมาในยุค คสช คือกฎหมายภาษีอากรแก้ไข ที่ให้ธนาคารรายงานธุรกรรม น่าสงสัย หรือที่เรียกว่า “ธุรกรรมลักษณะเฉพาะ”  (มาตรา 3 สัตตรส ประมวลรัษฏากร เรื่อง การรายงานข้อมูลบุคคลที่มีธุรกรรมลักษณะเฉพาะ  และ ประกาศกฎกระทรวง ให้สถาบันการเงินรายงานธุรกรรมการเงินลูกค้า ต่อสรรพากร หากรับโอนตั้งแต่ 3 พันครั้งขึ้นไป หรือฝาก/รับโอนเงินทุกบัญชีรวมกันตั้งแต่400 ครั้ง รวมเงิน 2 ล้านบาทขึ้นไป/ปี)  

แม้จะกระทบสิทธิเสรีภาพ และเป็นข้อยกเว้นของสิทธิความยินยอมตาม PDPA เหมือนกับ พ.ร.ก.นี้ แต่กฎหมายภาษี ยังกระทบต่อสิทธิมนุษยชนน้อยกว่าเมื่อเปรียบเทียบกับ พ.ร.ก.ฯ นี้ เพราะกำหนดให้สถาบันการเงินส่งข้อมูล เมื่อเข้าเกณฑ์ “ต้องสงสัย” หรือธุรกรรมลักษณะเฉพาะ  ที่มีการระบุเกณฑ์ที่เจาะจง  ได้แก่ การ รับโอน 3000 ครั้ง หรือ 400 ครั้งและยอดรวม 2 ล้านบาท อีกทั้งยังจำกัดเฉพาะการรายงานข้อมูลแต่ละธนาคาร ไม่ได้นับรวมหรือโยงทุกบัญชีทุกธนาคาร 

ในขณะที่ พ.ร.ก.นี้ ไม่มีเกณฑ์ชัดเจนว่า ธุรกรรมน่าสงสัย หรือ “เหตุอันควรสงสัย” ตามมาตรา 5 และ 6 ที่จะถูกตรวจสอบหรือทำให้เกิดการแลกเปลี่ยนข้อมูลคืออะไร  ในส่วนของบัญชีหรือเบอร์โทรม้า อย่างไรคือเกณฑ์พิจารณาเจตนาว่า “โดยมิได้มีเจตนาใช้เพื่อตน” ล้วนแต่เป็นการกำหนดในลักษณะกว้าง

จึงเห็นว่า ผลกระทบต่อสิทธิมนุษยชนของ พรกนี้ รุนแรงกว่า กฎหมายภาษีที่ให้ธนาคารรายงานธุรกรรมฯ  โดยหลักควรที่จะออกมาในระดับของ พ.ร.บ. เพื่อผ่านสภาและให้โอกาสผู้แทนประชาชนได้อภิปรายกว้างขวาง

5. สิทธิโต้แย้งของประชาชน หากมีการใช้ AI วิเคราะห์และตัดสินใจว่าบัญชีหรือธุรกรรมใด ต้องสงสัย / หรือเป็นบัญชีม้า   

เรื่องที่ใหญ่มากของกฎหมายช้อมูลส่วนบุคคลยุโรป (GDPR) คือ การที่ภาครัฐหรือเอกชนนำ AI มาตัดสินใจแทนมนุษย์ จะต้องให้สิทธิประชาชน คัดค้านการใช้ AI หรือให้มนุษย์แทรกเข้ามาตัดสินใจด้วย รวมทั้งเปิดเผยความโปร่งใส่ของเกณฑ์หรือวิธีการที่ AI ใช้วิเคราะห์

ดังนั้น ถ้าผู้ประกอบการหรือสถาบันการเงิน ไม่ได้ใช้ “มนุษย์” มาตัดสินว่า ธุรกรรมใดต้องสงสัย แต่จะใช้ AI มาสรุปตัดสิน  ตามกฎหมายข้อมูลส่วนบุคคลยุโรปหรือในหลายประเทศ ก็ให้สิทธิประชาชนเจ้าของข้อมูล คัดค้าน แต่ PDPA ของไทยไม่ได้นำหลักนี้ของยุโรปมาแต่ต้น ยิ่งไปกว่านั้น พ.ร.ก. นี้ก็เป็นข้อยกเว้นของ PDPA เข้าไปอีกชั้นหนึ่ง (มาตรา 12 ระบุไม่อยู่ภายใต้ PDPA) 

เมื่อบวกเข้ากับหลักของ พ.ร.ก.นี้ ซึ่ง ไม่ได้ระบุเกณฑ์ว่าทำธุรกรรมแบบใดเข้าข่าย “เหตุอันควรสงสัย” รวมทั้ง ไม่ได้ระบุเจาะจงถึงเกณฑ์ ตัดสินบัญชีม้า ว่า การเปิดบัญชีแบบใดที่ไม่ใช่ “ใช้เพื่อตน” และไม่ได้ระบุควบคุมการนำ AI มาตัดสิน “ความต้องสงสัย” โดยอัตโนมัติ

ความเสี่ยงต่อสิทธิมนุษยชน ที่อาจเกิดขึ้นคือ

หาก AI มาวิเคราะห์ว่า ธุรกรรมแบบนี้ต้องสงสัย โดยเกณฑ์หรืออัลกอริทึ่ม (ซึ่ง พรก ไม่ได้ระบุและให้เปิดเผยเกณฑ์ตัดสินต่อสาธารณะ) อาจนำไปสู่การตัดสิน ซึ่งอาจเป็นการระงับบัญชีหรือธุรกรรมโดยอัตโนมัติที่ยุโรปเรียกว่า “Automated decision” และหากธุรกรรมที่เข้าเกณฑ์ของ AI ไม่เกี่ยวกับอาชญากรรม ? ความยุ่งยากในการเรียกร้องสิทธิ โต้แย้งของประชาชน จะเป็นอย่างไร ? อีกทั้ง พรก นี้ก็ไม่ได้กำหนดกระบวนการเยียวยาโต้แย้งไว้ กล่าวคือ หากสถาบันการเงินหรือหน่วยงานตามมาตรา 4 ใช้ AI วิเคราะห์เห็นว่า “มีเหตุต้องสงสัย” และเปิดเผยและเปลี่ยนข้อมูลบัญชีหรือธุรกรรม  มาตรา 4 ไม่ได้เปิดโอกาสแจ้งเจ้าของข้อมูลให้โต้แย้งก่อนหรือให้เวลาโต้แย้งภายในกำหนดใดๆ 

หาก AI มาวิเคราะห์ว่า บัญชีนี้เข้าเกณฑ์บัญชีม้า เช่น วิเคราะห์ว่า การให้คนอื่นใช้บัญชีหรือเบอร์โทรเป็นการกระทำเข้าข่ายมาตรา 9  อาจนำไปสู่การตัดสิน ซึ่งอาจถึงขั้นตั้งข้อหาความผิดบัญชีม้า ส่งผลให้เจ้าของบัญชีต้องตกเป็นผู้ต้องหา และหากบัญชีนั้นไม่ได้เปิดเพื่อรับจ้างให้แก่กลุ่มอาชญากรรม หรือไม่มีเจตนา เพราะไม่รู้ว่าจะมีการนำไปใช้กระทำผิด  ก็ต้องเป็นภาระของผู้ถูกตัดสินในการต่อสู้คดี และ พรก นี้ก็ไม่ได้กำหนดกระบวนการเยียวยาโต้แย้งไว้

ความเสี่ยงข้างต้น เป็นผลข้างเคียงอันอาจเกิดจาก พ.ร.ก.ที่วางหลัก ตรวจสอบ สอดส่อง และไม่เห็นว่า พ.ร.ก. นี้จะกำหนดบทบัญญัติหรือกลไกใดๆในการป้องกันความเสี่ยงหรือผลกระทบต่อสิทธิเสรีภาพเหล่านี้ เช่น ไม่มีบทมาตราห้ามหรือควบคุมการนำ AI มาวิเคราะห์ตัดสิน  ไม่กำหนดให้หน่วยงานรัฐหรือสถาบันการเงินที่เกี่ยวข้องต้อง “เปิดเผยเกณฑ์ที่ใช้ตัดสินว่าธุรกรรมใดต้องสงสัย”  ไม่พบบทมาตราให้สิทธิประชาชนที่ถูกตัดสินว่าธุรกรรมต้องสงสัยหรือบัญชีม้า โดย AI โต้แย้งการตัดสินโดยอัตโนมัติ และให้เปิดเผยสูตรหรือวิธีการคำนวณตัดสินของ AI

6. การควบคุมบัญชีม้า โดยไม่มีมาตรการคุ้มครอง “บัญชีแพะ” 

บัญชีม้าหรือการเปิดบัญชีรับเงินแทนผู้อื่น ผมเห็นว่ามี 3 แบบ 

1. ม้าแบบมีเจตนา รู้ว่าเปิดบัญชีให้ผู้กระทำผิดอะไร เช่น รู้ว่าเปิดรับเงินให้พวกทำพนันออนไลน์หรือหลอกลวงโอนเงิน

2. ม้าแบบดราม่า น่าเห็นใจ คือ ตกงานไม่มีเงิน หรือหารายได้พิเศษ เขาให้เงิน 500 ไปเปิดบัญชีแล้วเอารหัสต่างๆให้เขาไป ซึ่งเอาไปทำอะไรก็ไม่รู้ แบบนี้เห็นว่าไม่ควรต้องผิดตัวการร่วมเพราะไม่มีเจตนารู้เลยว่าที่เปิดเอาบัญชีไปทำอะไร บางทีคนที่มาให้เปิดก็หลอกด้วยซ้ำว่าไม่ได้เอาไปทำอะไรผิดกฎหมาย 

3. ม้าแบบถูกเอาโจรทำให้เป็นแพะ  อันนี้น่ากังวลสุด เพราะอาชญากรย่อมต้องหา “คนอื่น” มารับเงินจากการกระทำผิดเพื่อปกปิดตัวตน เมื่อกฎหมายสร้างเงื่อนไขต่างๆ เช่น กำหนดให้ต้องเอาไบโอเมทริกส์มายืนยันเปิดบัญชี และทุกอย่างก็เปิดบัญชีทางอิเล็กทรอนิกส์หมดได้ อาชญากรอาจใช้วิธีแฮกไบโอเมทริกส์และข้อมูลระบุตัวอื่นไปเปิดบัญชีและรับเงินผิดกฎหมาย เจ้าตัวอาจไม่รู้ว่าเป็น “ม้า” จนมีหมายจากตำรวจมาแล้ว 

ตาม พ.ร.ก.ฯ ม้าแบบที่ 1 ชัดเจนว่าผิด มาตรา 9 ของ พ.ร.ก. แต่แม้ว่า ไม่ต้องมี พ.ร.ก. นี้ ก็ถูกดำเนินคดีฐานตัวการร่วมหรือผู้สนับสนุนความผิดนั้นได้อยู่แล้ว 

ม้าแบบที่ 2 มีความเสี่ยงถูกดำเนินคดีและตกเป็นผู้ต้องหา อาจมีเพียงโอกาสข้อต่อสู้ว่าไม่เจตนา ซึ่งก็ขึ้นอยู่กับข้อเท็จจริง 

ม้าแบบที่ 3 ตามหลักกฎหมายไม่ผิดอีกทั้งเป็นผู้เสียหาย แต่ ด้วยหลักฐานเบื้องต้นและร่องรอยการเงิน ย่อมถูกเจ้าหน้าที่อาศัยตัวบทกฎหมายนี้ตั้งข้อหาบัญชีม้าได้เช่นกัน ยิ่งประกอบกับ ธนาคารแห่งประเทศไทยกำหนดให้การให้ใช้ไบโอเมทริกส์ เช่น ภาพจำลองใบหน้ายืนยันตัวตนเมื่อโอนเงินเกิน 50000 หรือตามเงื่อนไขอื่น แม้ในแง่หนึ่งจะอ้างว่าเพื่อความปลอดภัย แต่ในอีกแง่ อาชญากรรมที่สามารถเจาะเอาข้อมูลนี้ไปใช้ (ในต่างประเทศมีงานวิชาการและกรณีศึกษาหลายชิ้นที่มีการแฮกข้อมูลลักษณะนี้) จะทำให้ป้ายความผิดร่องรอยไปที่บัญชีแพะโดยไม่รู้ตัว ทำให้ต้องเสียทั้งเงินและเวลาในการต่อสู้คดี โดยไม่เห็นว่า พรก นี้กำหนดกลไกใดๆ เพื่อให้สิทธิปฎิเสธหรือข้อต่อสู้เฉพาะสำหรับม้าแบบที่ 3 

นอกจากนี้ ม้าทั้ง 3 แบบ ยังอาจถูก “พิจารณาตัดสิน” จากตัวบทที่กว้างและจาก “AI” ด้วยเกณฑ์ที่ไม่ได้ระบุเจาะจงอยู่ในตัวบทอีกด้วย 

​ดังนั้นจึงเห็นว่า ตามกรอบสิทธิมนุษยชนแล้วการกำหนดความผิดบัญชีม้าและกลไกแวดล้อมของ พ.ร.ก.นี้ ให้น้ำหนักแก่การปราบปราม “ปลายทางของอาชญากรรม” คือขั้นตอนการรับเงิน แต่ส่งผลน่ากังวลในแง่สิทธิเสรีภาพ

7. การขาดหลักตรวจสอบถ่วงดุลโดยฝ่ายตุลาการหรือองค์กรอิสระ 

​ตามหลักสิทธิมนุษยชนสากล กฎหมายที่จำกัดสิทธิเสรีภาพต้องมีการตรวจสอบถ่วงดุล โดยเฉพาะเมื่อมีการใช้อำนาจจำกัดสิทธิโดยเจ้าหน้าที่บังคับใช้กฎหมายหรือฝ่ายบริหาร โดยหลักสากลที่สำคัญคือ การตรวจสอบโดยศาล หรือ  judicial review 

​หากไม่มี พ.ร.ก. นี้ การเข้าถึงข้อมูลบัญชี หรือการนำข้อมูลธุรกรรมไปแลกเปลี่ยนระหว่างหน่วยงานและผู้ให้บริการย่อม  ไม่สามารถทำได้ แม้ว่าไม่มี PDPA  ก็ตาม  เพราะเป็นการกระทำที่กระทบต่อทรัพย์สินและสิทธิขั้นพื้นฐาน เปรียบได้เหมือนการค้น (Search)  ซึ่งหากเป็นการเข้าถึงบัญชีอิเล็กทรอนิกส์อาจเป็นการ “เข้าถึงโดยมิชอบ” ตาม พ.ร.บ.คอมฯ ซึ่งต้องขอหมายศาลก่อน

​แต่เมื่อ พ.ร.ก. นี้ กำหนดหน้าที่และให้สิทธิผู้ให้บริการ สถาบันการเงินเข้าถึงและตรวจสอบข้อมูล ได้โดยไม่มีบทบัญญัติให้ต้องขอหมายศาลก่อน จึงไม่สอดคล้องกับหลักการตรวจสอบถ่วงดุลโดยฝ่ายตุลาการ 

​8. ความเปราะบางและความเสี่ยงต่อสิทธิเสรีภาพของ ไบโอเมทริกซ์ / Biometric 

เรื่องที่ใหญ่มากของกฎหมายช้อมูลส่วนบุคคลยุโรป (GDPR) คือ การที่กำหนดหลักการคุ้มครองข้อมูลชีวภาพ หรือไบโอเมทริกซ์ (สแกนนิ้ว หน้า ม่านตา) เป็นพิเศษ กว่าข้อมูลส่วนบุคคลทั่วไป พิเศษในแง่ที่ว่า ใครจะเก็บหรือเอาไปใช้ ต้องขอความยินยอม โดยมีข้อยกเว้นของความยินยอมที่น้อยและจำกัดกว่าข้อมูลทั่วไป

ทั้งนี้ด้วยเหตุผลหลายอย่าง เช่น ข้อมูลนี้เมื่อถูกโจรกรรมเอาไปแล้ว “Reset” ใหม่ไม่ได้ ไม่เหมือนบัตรเครดิตหรือเลขบัญชี เพราะมันระบุเจาะจงตัวคนนั้นซึ่งไม่เหมือนใคร 

รวมทั้งยังมีหลักการเก็บข้อมูลน้อยที่สุด (Data minimization) คือ ถ้าไม่จำเป็นอย่าเก็บข้อมูลนี้ ให้หาทางเลือกอื่นแทนเท่าที่ทำได้  ทั้งนี้เพื่อลดความเสี่ยง เพราะรัฐบาลประเทศใดก็ไม่สามารถรับรองได้ว่า ข้อมูลนี้เมื่อเก็บไปแล้วจะไม่ถูก “แฮก”  

สำหรับ PDPA ก็มีหลักการดังกล่าวเช่นกัน แต่ พ.ร.ก. นี้กลับออกมาเป็นกฎหมายพิเศษ ยกเว้นหลักการดังกล่าว

ฝ่ายเจ้าหน้าที่ตลอดจนผู้ประกอบการหลายรายมักจะมองว่า การให้เก็บและยืนยันตัวตนด้วยไบโอเมทริกส์ จะทำให้ปลอดภัยและระบุตัวได้แน่นอน  อันเป็นการมองเชิงการบังคับใช้กฎหมาย ที่มีหลักฐานระบุตัวหรือร่องรอยโดยผู้ต้องหาปฎิเสธได้ยาก แต่ในแง่สิทธิเสรีภาพ แนวคิดดังกล่าวเป็นความเสี่ยง

พ.ร.ก.นี้ ไม่ได้กำหนดในตัวบทมาตราใด ใว่ากรณีใดต้องใช้ไบโอเมทริกส์ แต่ก่อนที่ พ.ร.ก. นี้จะประกาศในราชกิจจาฯ 16 มี.ค. 2566 ธนาคารแห่งประเทศไทยก็มีการออกกฎเกณฑ์ให้สถาบันการเงิน ตรวจสอบอัตลักษณ์ทางกายภาพของลูกค้า (biometrics) เช่น สแกนใบหน้า ในกรณีลูกค้าขอเปิดบัญชีโดยผ่านแอปพลิเคชันและโอนเงินตามเงื่อนไขที่กำหนดไว้ เช่น โอนเงินมากกว่า 50,000 บาท หรือปรับเพิ่มวงเงินทำธุรกรรมต่อวันเป็นตั้งแต่ 50,000 บาท ขึ้นไป

ผลกระทบของมาตราการนี้ อาจไม่ได้เกิดแค่ในตอนโอน เพราะ เมื่อมีการกำหนดให้ใช้ไบโอเมทริกส์หรือภาพจำลองใบหน้าเป็นการเปรียบเทียบ (Comparison) คือ ต้องไปเปรียบเทียบจับคู่กับฐานข้อมูล ส่งผลว่า ไม่ใช่แค่การโอนหรือทำธุรกรรมทึ่เข้าเงื่อนไขแต่ละครั้งต้องใช้ไบโอเมทริกส์ แต่กลายเป็นว่า ธนาคารจะสามารถสร้างเงื่อนไขตั้งแต่เปิดบัญชีให้ต้องเก็บข้อมูลไบโอเมทริกส์ (เพราะจะนำไปเปรียบเทียบเมื่อทำธุรกรรมตามเงื่อนไข)  โดยลูกค้าจะไม่สามารถปฎิเสธหรือไม่ยินยอมได้เลย มิเช่นนั้นก็เปิดบัญชีไม่ได้ 

หลักการเช่นนี้ ส่งผลจำกัดอย่างยิ่งต่อสิทธิในความยินยอมของประชาชนที่กังวลในความเสี่ยงของไบโอเมทริกซ์ ที่หากถูกแฮกหรือนำไปใช้มิชอบแล้ว ยากมากที่จะแก้ไขหรือรีเซทเหมือนกับเลขบัญชี 

แน่นอนว่า เหตุผลของภาครัฐในการสร้างกฎเกณฑ์นี้คือเพื่อปราบปรามอาชญากรรม แต่ตามหลักสิทธิมนุษยชนสากล เมื่อนำหลักเกณฑ์ความได้สัดส่วน ทางเลือกอื่นที่จำกัดสิทธิน้อยกว่า ความเจาะจงและชัดเจนของมาตรการ มาวิเคราะห์ประเด็นต่างๆ ของกฎหมายนี้แล้ว เห็นว่า น้ำหนักที่ให้กับสิทธิมนุษยชนนั้นน้อยและไม่สอดคล้องกับหลักสากล 

9. ข้อกังวลเกี่ยวกับ ไทมมิ่ง (Timing) หรือ ช่วงเวลา และความ “จำเป็นเร่งด่วน” ของ พรกนี้ 

​ย้อนดู ก่อนเลือกตั้ง 24 มี.ค. 2562 รัฐบาลยุคนั้น เร่งออก PDPA ก่อนการเลือกตั้ง จากนั้นพอเลือกตั้งเสร็จ ก็เลื่อนการบังคับมาเรื่อยๆ จนถึง มิ.ย. 2565 ตัดภาพมาดูตอนนี้ ใกล้ถึงการเลือกตั้งครั้งใหม่ โดยอาจเป็น พ.ค. 2566 

รัฐบาล เร่ง ออกกฎหมาย โดยออกเป็น พ.ร.ก. ไม่ได้ผ่านการอภิปรายอย่างกว้างขวางตามวาระต่างๆ ในสภาผู้แทน อ้างว่าจำเป็นเร่งด่วนกับอาชญากรรมเทคโนโลยี 

แต่เนื้อหา พ.ร.ก.นี้ ไปยกเว้นหลักสิทธิในความยินยอมของประชาชนตาม PDPA รวมทั้งมีเนื้อหานำไปสู่การแลกเปลี่ยนข้อมูลบัญชี  กำหนดฐานความผิดอาญา บัญชีม้า เบอร์โทรม้า โดยมีตัวบทที่ กว้าง ไม่เจาะจง ไม่มีกลไกตรวจสอบโดยศาล ฯลฯ   

จึงเป็นกฎหมายที่กระทบต่อสิทธิเสรีภาพมากและส่งผลระยะยาวเพราะจะเป็นการสร้างระบบและศูนย์กลางบูรณาการข้อมูลธุรกรรมของประชาชน เมื่อชั่งน้ำหนักระหว่างความจำเป็นและสิทธิเสรีภาพที่จะได้รับผลกระทบ เห็นว่า ไม่ควรที่เป็นกฎหมายที่ออกมาโดยฝ่ายบริหาร บังคับใช้โดยฝ่ายบริหาร ควรออกมาเป็นรูป พ.ร.บ. และเข้าสู่การพิจารณาของผู้แทน 

ข้อคำถามที่เกิดขึ้นกับ พ.ร.ก. และ กฎเกณฑ์สืบเนื่องเช่น กฎเกณฑ์ธนาคารแห่งประเทศไทยที่วิเคราะห์ในที่นี้ ไม่ได้มุ่งไปที่การจัดการผู้ก่อเหตุอย่างแฮกเกอร์ แกงค์คอลเซ็นเตอร์ คนส่งลิงค์หลอกเงิน แต่ล้วนแต่มุ่งไปที่ ปลายทาง อยู่บนมุมมองการ “ตรวจสอบตัวตน ยืนยันตัวตน” และท้ายที่สุดส่งผลกระทบในการสร้างเงื่อนไขแก่ประชาชนทั่วไปในการทำธุรกรรมและเก็บข้อมูลส่วนบุคคลของผู้บริสุทธิ์มากขึ้นโดยยกเว้น PDPA เพื่อเปิดทางให้รวมศูนย์แลกเปลี่ยนข้อมูลได้อย่างกว้าง 

ข้อสงสัยและคำถามส่งท้าย “ …บัญชีม้า แอปดูดเงิน ฯลฯ  มีมานานแล้ว แต่ทำไมมารีบออกกฎหมายสอดส่องและบิ๊กดาต้าข้อมูลธุรกรรมก่อนเลือกตั้งไม่กี่เดือน ทำไมไม่ปล่อยให้รัฐบาลหน้าทำ... ?

 

Topic

การเมือง

Related

รบ. แจงจำเป็นเลื่อนบังคับใช้ 'พ.ร.บ.อุ้มหาย' เหตุ สตช.ต้องเตรียมความพร้อม
'วิโรจน์' ร้อง DSI สอบการเสียชีวิต 'ผกก.เบิ้ม' จนท.รัฐเข้าข่ายทำผิด พ.ร.บ.อุ้มหายฯ หรือไม่
ชี้ประกาศดีอีเอส 65 ร้ายแรงกว่า พ.ร.บ.คอมฯ เปิดช่องเอกชนละเมิดสิทธิเสรีภาพชาวเน็ต
รัฐสภาเลื่อนถก-ต้องรื้อร่าง พ.ร.บ.ประชามติ-โห่ ส.ว.ขอนับผลใหม่ปม กมธ.ข้างมากแพ้โหวต ม.9
'เพื่อไทย' ย้ำโหวตค้าน พ.ร.ก.เลื่อนใช้กฎหมายอุ้มหาย พร้อมยื่นศาล รธน. ดักทางซีก รบ.ส่อเลื่อน
'ฝ่ายค้าน' จวกรัฐบาลออก พ.ร.ก.เลื่อนบังคับใช้ พ.ร.บ.อุ้มหายฯ อ้างเหตุอุปกรณ์ไม่พร้อม
'ไอลอว์' เผย 8 ข้อน่ากังวล หลังสนช.เห็นชอบ พ.ร.บ.ไซเบอร์
นักวิชาการทีดีอาร์ไอชี้ปมปัญหาร่าง 'พ.ร.บ.ข้าว' ชงตั้งกองทุนวิจัยสร้างกลไกทำงานร่วม 4 ฝ่าย

Author

กองบรรณาธิการวอยซ์ออนไลน์
63925Article
1241Video
11Blog

MOST VIEWED

READ
WATCH