รู้จัก ร่าง พ.ร.บ. ความมั่นคงไซเบอร์ เมื่อความปลอดภัยกับละเมิดสิทธิห่างแค่เส้นเบลอๆ

ชวนทำความรู้จักกับร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ แบบง่ายๆ ผ่านคำถาม ใคร/ทำอะไร/อย่างไร เมื่อรัฐจะตั้งหน่วยงานรัฐที่ไม่ใช่ราชการ มีงบให้ หาเงินเองได้ แต่มีอำนาจสั่งหน่วยงานราชการ เอกชน และประชาชนเรื่องรับมือภัยไซเบอร์ที่นิยามยังกำกวม สามารถค้นสถานที่ ยึดคอมฯ แบบไม่ต้องขอศาล เอกชนเสนอแก้ไขหลายประการให้เดินสะดวกกว่านี้ เสียงจากเวทีรับฟังความเห็นชี้ กฎหมายละเมิดสิทธิอย่างร้ายแรง

  • ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ถูกนำมารับฟังความคิดเห็นอีกครั้งเมื่อ 11 ต.ค. 2561 เนื้อความจะมีการจัดตั้งคณะกรรมการและสำนักงานเพื่อดูแลเรื่องความมั่นคงปลอดภัยไซเบอร์โดยเฉพาะ (กปช.)
  • หน่วยงานดังกล่าวจะมีหน้าที่กำหนดนโยบาย เก็บข้อมูลจากหน่วยงานรัฐและเอกชนที่เกี่ยวข้อง เมื่อมีเหตุภัยคุกคามก็จะดำเนินการประสานงานไปจนถึงช่วยแก้ไข
  • มีข้อสงสัยกันมากเกี่ยวกับนิยามของภัยคุกคามทางไซเบอร์ว่าหมายถึงอะไรบ้าง ในร่างฯ ยังคงไม่มีคำตอบที่ชัดเจน รวมถึงขอบเขตอำนาจของหน่วยงานที่จะตั้งใหม่ที่กว้างครอบจักรวาล ค้นสถานที่ ยึดคอมพิวเตอร์ได้แบบไม่ต้องขอศาล ทั้งยังไม่ใช่ส่วนราชการ แต่ได้งบประมาณ และถือหุ้นในกิจการที่เกี่ยวข้องกับภารกิจตาม พ.ร.บ. ได้ 

ร่างพระราชบัญญัติ (พ.ร.บ.) การรักษาความมั่นคงปลอดภัยไซเบอร์ ถูกหยิบยกขึ้นมาเป็นที่พูดถึงอีกครั้งเมื่อมีการรับฟังความคิดเห็นในวันที่ 11 ต.ค. ที่สำนักงานสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA กทม. โดยมีผู้สันทัดกรณีมากหน้าหลายตามาเข้าร่วมรับฟังและให้ความเห็นเต็มห้อง ไม่ว่าจะเป็นนักวิชาการ ประชาสังคม ผู้ประกอบการโทรคมนาคม สื่อมวลชน ฯลฯ  การรับฟังความเห็นครั้งนี้มีชัยชนะ มิตรพันธ์ รองผู้อำนวยการ ETDA เป็นผู้ดำเนินรายการ

ชื่อของกฎหมายไม่ใคร่จะดูไกลจากชีวิตประจำวันของชาวไทยมากนัก ในวันที่อัตราการใช้อินเทอร์เน็ตผ่านโทรศัพท์สมาร์ทโฟนถึงร้อยละ 93.7 (จากกลุ่มสำรวจราว 33 ล้านคน) ตามสถิติของสำนักงานสถิติแห่งชาติ และแน่นอน ถ้าคุณได้อ่านข่าวนี้แปลว่าคุณได้เชื่อมต่อกับอินเทอร์เน็ตแล้ว

อย่างไรก็ดี รายละเอียดของร่าง พ.ร.บ. ที่กำหนดลักษณะ ขอบเขตอำนาจของผู้ใช้กฎหมายในการรับมือกับภัยคุกคามไซเบอร์ไว้เยอะแยะ รวมถึงแนวทางปฏิบัติต่างๆ หลายหน้า ทั้งนี้ รายละเอียดต่างๆ ยังคงกำกวม อย่างเช่น อะไรคือภัยไซเบอร์ โพสท์เฟสบุ๊กด่ารัฐบาลถือว่าเป็นไหม หน่วยงานที่ตั้งขึ้นมาทำอะไรได้บ้าง พังประตูบ้านเข้ามาขอพาสเวิร์ดจากเราๆ ท่านๆ ได้หรือไม่

ในตัวร่างยังไม่มีคำตอบของคำถาม แต่หากกฎหมายผ่านแล้วก็จะมีผลต่อสุขภาวะบนโลกไซเบอร์ของประชาชนไม่ทางตรงก็ทางอ้อมหรือไม่มากก็น้อย ประชาไทจึงชวนทำความเข้าใจคอนเซปต์แบบง่ายๆ ของร่างกฎหมายล่าสุดที่เพิ่งมีการรับฟังความคิดเห็นทั้งบนโลกกายภาพ และผ่านเว็บไซต์รับฟังความคิดเห็น (ที่สิ้นสุดวันนี้ (12 ต.ค. 61) พอดี)

อ่านร่างฯ ตัวเต็มที่นี่

รู้จักตัวร่างฯ ผ่าน "ใคร? ทำอะไร? อย่างไร?"

 

 

ทำอะไร: มุ่งป้องกันภัยคุกคามไซเบอร์ที่จะโจมตีโครงสร้างสำคัญของประเทศ

ตัว พ.ร.บ. นี้มีหลักการกว้างๆ ว่า ต้องมีกฎหมายมาป้องกัน รับมือ ลดความเสี่ยงจาก ‘ภัยคุกคามทางไซเบอร์’ ไม่ให้เกิดผลกระทบต่อความมั่นคงในด้านต่างๆ ผ่านคณะกรรมการและหน่วยงานที่ตั้งขึ้นเพื่อปฏิบัติงานร่วมกันระหว่างภาครัฐและเอกชน โดยจะมีแผนปฏิบัติการและมาตรการด้านรักษาความมั่นคงปลอดภัยไซเบอร์อย่างมีเอกภาพและต่อเนื่อง ในวันที่ประเทศไทยมีบริการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคมที่สามารถถูกโจมตีและสร้างความเสียหายได้

สิ่งที่ต้องทำความเข้าใจเร็วๆ เมื่อพูดถึง พ.ร.บ. นี้มีสี่อย่างคือ โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure - CII ) หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ภัยคุกคามไซเบอร์ และ ทรัพย์สินสารสนเทศ

ในภาษาที่ร่าง พ.ร.บ. เขียนไว้เป็นแบบนี้

  • ภัยคุกคามทางไซเบอร์ หมายถึง การกระทำหรือเหตุการณ์ที่กระทำด้วยวิธีการทางคอมพิวเตอร์หรือวิธีการทางอิเล็กทรอนิกส์ที่ทำให้การทำงานของทรัพย์สินสารสนเทศมีความผิดปกติ หรือมีความพยายามเข้าถึง หรือเข้าถึงโดยใช้เทคโนโลยี ซึ่งอาจส่งผลกระทบหรือก่อให้เกิดความเสียหายต่อทรัพย์สินสารสนเทศ ทำให้ทรัพย์สินสารสนเทศถูกทำลาย
  • โครงสร้างพื้นฐานสำคัญทางสารสนเทศ หมายถึงคอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานรัฐหรือเอกชนใช้ในกิจการของตนที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศหรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ
  • ทรัพย์สินสารสนเทศหมายถึง
    • ระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ และระบบสารสนเทศ
    • เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ เครื่องบันทึกข้อมูล และอุปกรณ์อื่นใด
    • ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์และข้อมูลคอมพิวเตอร์
  • หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ คือ หน่วยงานรัฐหรือเอกชนที่มีภารกิจให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ปัจจุบันมีแปดด้าน ได้แก่
    • ความมั่นคงของรัฐ
    • บริการภาครัฐที่สำคัญ
    • การเงินการธนาคาร
    • เทคโนโลยีสารสนเทศและโทรคมนาคม
    • การขนส่งและโลจิสติกส์
    • พลังงานและสาธารณูปโภค
    • สาธารณสุข
    • ด้านอื่นๆ ตามที่ กปช. (จะพูดถึงในอีกหนึ่งบรรทัด) กำหนดเพิ่มเติม

สรุปได้ง่ายๆ ว่า หน่วยงานโครงสร้างพื้นฐานทำงานผ่านโครงสร้างพื้นฐานในการทำงาน ซึ่งในทางรูปธรรมและนามธรรม เครื่องมือและข้อมูลที่หน่วยงานใช้ก็คือทรัพย์สินสารสนเทศที่หน่วยงานเป็นเจ้าของ และภัยคุกคามไซเบอร์คือการใช้วิธีการทางคอมพิวเตอร์ หรืออิเล็กทรอนิกส์สร้างความเสียหายต่อทรัพย์สินสารสนเทศหรือทำให้ทำงานไม่ได้

ยกตัวอย่าง: โรงพยาบาล(หน่วยงานโครงสร้างพื้นฐาน)ใช้เครือข่ายคอมพิวเตอร์ (โครงสร้างพื้นฐานทางสารสนเทศ) เชื่อมต่อกันเพื่อเก็บบันทึกข้อมูลผู้ป่วย สถิติ และการทำงานทำผ่านคอมพิวเตอร์ (ทรัพย์สินสารสนเทศ) ภัยคุกคามจึงอาจเป็นวิธีการทางคอมพิวเตอร์เพื่อทำให้การทำงานเสียหายหรือทำงานต่อไม่ได้ เช่น ไวรัส การส่งชุดข้อมูลไม่พึงประสงค์จำนวนมากเพื่อทำให้ระบบประมวลผลช้าลง (ดีดอส) การแฮ็ค เป็นต้น

ใคร: จัดตั้งคณะกรรมการ 14 คน ตั้งสำนักงานสนับสนุน รัฐให้เงิน แต่หาเงินเองได้ ไม่ใช่ส่วนราชการ เลขาธิการอำนาจล้นมือ

พ.ร.บ. นี้จะให้มี ‘คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.)’ ประกอบด้วยสมาชิก 14 คน ได้แก่นายกรัฐมนตรี (ประธาน) รัฐมนตรีว่าการ (รมว.) กระทรวงกลาโหม กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ เลขาธิการสภาความมั่นคงแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย และผู้ทรงคุณวุฒิที่มีความรู้ ความสามารถในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เทคโนโลยีสารสนเทศและการสื่อสาร การคุ้มครองข้อมูลส่วนบุคล วิทยาศาสตร์ วิศวกรรมศาสตร์ กฎหมาย หรือด้านอื่นที่เกี่ยวข้องอันเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ และจะแต่งตั้งเลขาธิการจากใน 14 คนนี้

กปช. ทำหน้าที่รักษาความมั่นคงปลอดภัยไซเบอร์หลายอย่าง ไม่ว่าจะเป็นการเสนอนโยบาย แผนดำเนินการ ทำแผนปฏิบัติการเพื่อเป็นแผนแม่บทในสถานการณ์ปกติและในเวลาที่อาจจะเกิดหรือเกิดภัยคุกคามไซเบอร์ กำหนดแนวทาง กรอบมาตรฐานขั้นต่ำให้หน่วยงานรัฐและเอกชนที่เกี่ยวข้อง กำหนดมาตรการตอบสนอง รับมือภัยคุกคามไซเบอร์ กำหนดแนวทางสร้างทักษะและความเชี่ยวชาญ ติดตามประเมินผลการปฏิบัติตามนโยบาย เสนอความเห็น และข้อคิดเห็นต่อคณะรัฐมนตรีในการปรับปรุงกฎหมายที่เกี่ยวข้อง จัดทำรายงานสรุปผลการดำเนินการ และทำเรื่องอื่นๆ ตามที่บัญญัติใน พ.ร.บ. หรือที่ ครม.มอบหมาย

นอกจากตัวคณะกรรมการฯ ยังจะมีการจัดตั้งสำนักงาน กปช. ขึ้นเพื่อสนับสนุนการทำงานของ กปช. เป็นศูนย์กลางข้อมูลและประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เฝ้าระวัง แจ้งเตือน สนับสนุน ช่วยเหลือในการป้องกันรับมือ และลดความเสี่ยงจากภัยคุกคามไซเบอร์ เผยแพร่ความรู้ ศึกษา วิจัย และพัฒนา

ทั้งนี้ สถานะของสำนักงาน เป็นนิติบุคคล ไม่ใช่ส่วนราชการ ได้รับงบอุดหนุนจากรัฐเป็นรายปี แต่หากมีรายได้จากการดำเนินงานหรือทรัพย์สินของสำนักงาน ก็ไม่ต้องส่งกลับคลังเพื่อเป็นรายได้ของรัฐ ในมาตรา 17 ได้ให้อำนาจสำนักงานในการเป็นหุ้นส่วน ถือหุ้น หรือร่วมทุนกับนิติบุคคลอื่นที่เกี่ยวกับวัตถุประสงค์ของสำนักงาน กู้ยืมเงินเพื่อวัตถุประสงค์ของสำนักงานได้ และยังเรียกเก็บค่าธรรมเนียม ค่าบำรุง ค่าตอบแทนหรือค่าบริการในการดำเนินงานได้ด้วย

อย่างไร: แนวทางจัดการภัยไซเบอร์กว้างขวาง ค้นบ้าน-ยึดคอมฯ ได้ไม่ต้องมีหมายศาล แต่ความรับผิดชอบต่ำ

พ.ร.บ. นี้ให้อำนาจ หน้าที่องค์กรที่ตั้งใหม่อย่างน่ากังวล เพราะอำนาจหน้าที่นั้นอิงอยู่กับการป้องกัน ‘ภัยคุกคามทางไซเบอร์’ แต่แค่ตัวนิยามของภัยคุกคามทางไซเบอร์เองก็กำกวมแล้ว การมีอำนาจในการจัดการต่อสิ่งที่กำกวมยิ่งทำให้เกิดข้อเคลือบแคลงต่อหลายภาคส่วน

มาตรา 46 ให้อำนาจเลขาธิการ กปช. ออกหนังสือขอความร่วมมือจากหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศเพื่อขอข้อมูลเหล่านี้

  • การออกแบบ การตั้งค่าของ CII และข้อมูลของระบบที่เชื่อมต่อ หรือสื่อสารกับมัน
  • ข้อมูลการทำงานของ CII หรือระบบที่เชื่อมต่อ สื่อสารกับมัน ที่หน่วยงานนั้นๆ ควบคุม
  • ข้อมูล อื่นใด ที่เห็นว่าจำเป็นในการรักษาระดับความมั่นคงปลอดภัยไซเบอร์ของ CII

แม้วรรคต้นเป็นการขอความร่วมมือ แต่ตอนท้ายของมาตรา 46 กลับระบุว่า หน่วยงานใดๆ ที่ได้รับหนังสือ จะยกหน้าที่ตามกฎหมายอื่น หรือตามสัญญามาอ้างเพื่อไม่เปิดเผยข้อมูลไม่ได้ การทำตามความในมาตรานี้โดยสุจริตไม่เป็นการผิดกฎหมายหรือสัญญา แบบนี้เรียกว่าหนังสือขอความร่วมมือได้ไหม

มาตรา 47 ให้ผู้ดูแลระบบต้องมีการประเมินความเสี่ยง และตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อย่างน้อยปีละครั้ง และส่งสำเนารายงานต่อสำนักงาน กปช. ภายใน 30 วัน แต่ถ้าเลขาธิการเห็นว่าการประเมินหรือการตรวจสอบไม่น่าพอใจ ก็สามารถให้ทำใหม่ได้อีกครั้งหนึ่ง (มาตรา 48)

ผู้ฝ่าฝืน ไม่ทำตามมาตรา 47 ต้องระวางโทษปรับไม่เกิน 200,000 บาท และปรับเป็นรายวันอีกไม่เกินวันละหนึ่งหมื่นบาทนับแต่วันที่ถูกสั่งให้ทำจนถึงวันที่ทำเสร็จ (มาตรา59)

พ.ร.บ. ยังกำหนดให้หน่วยงานรัฐ หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะต้องแจ้งรายชื่อเจ้าหน้าที่ระดับบริหารและปฏิบัติการเพื่อประสานงานด้านรักษาความมั่นคงปลอดภัยไซเบอร์กับทางสำนักงาน ซึ่งเป็นช่องทางที่ใช้ติดต่อกันเมื่อมีเหตุภัยคุกคามไซเบอร์เพื่อรับมือกับเหตุ

ในส่วนของการรับมือภัยคุกคามทางไซเบอร์เป็นสิ่งที่มีความคลุมเครือและให้อำนาจอย่างกว้างกับทางสำนักงานและ กปช. เริ่มจากมาตรา 51 ที่เขียนว่า ในกรณีที่เกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ต่อระบบสารสนเทศซึ่งอยู่ในความดูแลรับผิดชอบของหน่วยงานรัฐหรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ให้น่วยงานนั้นตรวจสอบทรัพย์สินสารสนเทศและพฤติการณ์แวดล้อมเพื่อประเมินภัยคุกคามไซเบอร์ ถ้ามีภัยก็ให้รับมือตามแผนที่มี และแจ้งไปยังสำนักงานโดยเร็ว

หรือถ้าสำนักงานเห็นว่าเกิด หรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ ก็ให้มีการรวมข้อมูล วิเคราะห์สถานการณ์ ประเมินผลกระทบ แจ้งเตือนภัย อำนวยความสะดวกในการประสานงาน และเข้าช่วยเหลือ โดยการรวบรวมข้อมูลนั้น กฎหมายให้อำนาจสำนักงานในการ

  • เรียกคนที่เกี่ยวข้องมาให้ข้อมูล หรือให้ข้อมูลเป็นหนังสือเกี่ยวกับภัยคุกคาม
  • ขอข้อมูล เอกสาร สำเนาข้อมูลหรือเอกสารในความครอบครองของผู้อื่น
  • สอบถามคนที่มีความรู้ความเข้าใจเกี่ยวกับข้อเท็จจริงและสถานการณ์ที่เกี่ยวข้องกับภัยคุกคามไซเบอร์
  • เข้าไปในอสังหาริมทรัพย์ หรือสถานประกอบการที่เกี่ยวข้องหรือคาดว่ามีส่วนเกี่ยวข้องกับภัยคุกคามทางไซเบอร์ของบุคคลหรือหน่วยงานที่เกี่ยวข้องโดยได้รับความยินยอมจากผู้ครอบครองสถานที่นั้น

ในส่วนการดูแลข้อมูลนั้น กฎหมายกำหนดเพียงว่าสำนักงานต้องดูแลไม่ให้มีการใช้ข้อมูลที่ได้มาในลักษณะที่อาจก่อให้เกิดความเสียหาย

ในร่างฯ ยังไม่ระบุ หรือมีตัวอย่างว่าการทำอะไรที่เป็นภัยคุกคามต่อความมั่นคงปลอดภัยไซเบอร์ จึงยังไม่สามารถพูดได้ว่าการส่งข้อมูลในอีเมล์ โพสท์เฟสบุ๊ก หรือเนื้อหาวิดีโอต่างๆ หรือพูดง่ายๆ คือสิ่งที่เป็น ‘เนื้อหา’ ไม่ใช่ภัยคุกคามทางไซเบอร์

กฎหมายมีการเตรียมตัวในสภาวะที่ย่ำแย่ที่สุด หรือที่เรียกว่ามีภัยคุกคามไซเบอร์ระดับร้ายแรง ตามกฎหมายให้ความหมายเอาไว้ว่าเป็นสิ่งที่

  • ก่อให้เกิดความเสี่ยงที่จะทำให้เกิดความเสียหายต่อทรัพย์สินสารสนเทศอย่างมีนัยสำคัญ หรือขัดขวางการให้บริการของโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
  • ก่อให้เกิดภัยคุกคามต่อความมั่นคงของรัฐ การป้องกันประเทศ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชน
  • มีความรุนแรงที่ก่อหรืออาจก่อให้เกิดความเสียหายต่อบุคลหรือต่อทรัพย์สินสารสนเทศที่สำคัญหรือมีจำนวนมาก

การรับมือกับเหตุภัยคุกคามเช่นว่า เลขาธิการมีอำนาจสั่งการหรือกำกับหน่วยงานรัฐที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์กระทำการป้องกัน รับมือ ลดความเสี่ยงภัยคุกคาม โดยให้เลขาธิการรายงาน กปช. เรื่องการดำเนินงานอย่างต่อเนื่อง

มาตรา 57 ให้อำนาจเลขาธิการในการออกคำสั่งให้คน ผู้ครอบครอง หรือผู้ใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีเหตุอันควรสงสัยว่าเป็นผู้เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ หรือได้รับผลกระทบจากภัยคุกคามไซเบอร์เพื่อ

  • เฝ้าระวังคอมพิวเตอร์ ระบบคอมพิวเตอร์ในช่วงระยะเวลาใดเวลาหนึ่ง
  • ตรวจสอบคอมพิวเตอร์ ระบบคอมพิวเตอร์เพื่อหาข้อบกพร่องที่กระทบต่อการรักษาความมั่นคงปลอภัยไซเบอร์ วิเคราะห์สถานการณ์ ประเมินผลกระทบ
  • ดำเนินมาตรการแก้ไขภัยคุกคามทางไซเบอร์ ซึ่งให้ตัวอย่างมาตรการไว้ชัดเจนว่าได้แก่การกำจัดชุดคำสั่งไม่พึงประสงค์ออกจากคอมพิวเตอร์ ปรับปรุงซอฟต์แวร์เพื่อจัดการกับข้อบกพร่อง ยกเลิกการเชื่อมต่อกับคอมพิวเตอร์ชั่วคราวที่เจอชุดคำสั่งที่ไม่พึงประสงค์ เปลี่ยนเส้นทางเดินทางของข้อมูลหรือชุดคำสั่งที่ไม่พึงประสงค์
  • หยุดการใช้งานคอมพิวเตอร์ ระบบคอมพิวเตอร์ทั้งหมดหรือบางส่วน
  • และในกรณีจำเป็น พนักงานเจ้าหน้าที่อาจขอความช่วยเหลือในการเข้าถึงคอมพิวเตอร์หรือระบบคอมพิวเตอร์จากบุคคลที่มีเหตุอันควรเชื่อได้ว่าใช้หรือเคยใช้

มาตรา 58 ให้อำนาจเลขาธิการดำเนินการป้องกัน รับมือ ลดความเสี่ยงจากภัยคุกคามไซเบอร์ที่หนักมือ โดยให้อำนาจเข้าถึงคนหรือวัตถุในทางกายภาพแบบไม่ต้องขอศาลก่อน โดยมีอำนาจดังนี้

  • ตรวจสอบสถานที่ โดยมีหนังสือแจ้งเหตุไปยังเจ้าของ หรือผู้ครอบครองสถานที่
  • เข้าถึงทรัพย์สินสารสนเทศ ทำสำเนา สกัดคัดกรองข้อมูลสารสนเทศ โปรแกรมคอมพิวเตอร์ ซึ่งมีเหตุอันควรสงสัยว่าเกี่ยวข้องหรือได้รับผลกระทบจากภัยคุกคาม
  • ทดสอบการทำงานของคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีเหตุอันควรสงสัยว่าเกี่ยวข้อง หรือได้รับผลกระทบจากภัยคุกคาม
  • ยึดคอมพิวเตอร์หรืออุปกรณ์ใดๆ ซึ่งมีเหตุอันควรเชื่อได้ว่าเกี่ยวข้องกับภัยคุกคามทางไซเบอร์เพื่อตรวจสอบหรือวิเคราะห์ไม่เกิน 30 วัน หากจำเป็นต้องยึดไว้เกินกำหนด ให้ยื่นคำร้องต่อศาลแพ่งเพื่อขยายเวลาได้ไม่เกิน 90 วัน

ในกรณีฉุกเฉินนั้น เลขาธิการมีอำนาจขอข้อมูลเวลาจริง (Real time data) จากผู้เกี่ยวข้อง หมายถึงข้อมูล ณ เวลานั้นๆ

กำหนดโทษคนอื่นหนัก แต่ความรับผิดชอบตัวเองยังไม่ค่อยพูดถึง

ในบทกำหนดโทษระบุว่า ผู้ใดไม่ปฏิบัติตามหนังสือเรียกของพนักงานเจ้าหน้าที่ ไม่ส่งข้อมูลให้เจ้าพนักงาน ต้องระวางโทษปรับไม่เกิน 100,000 บาท (มาตรา 61) ผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามคำสั่งของเลขาธิการตามมาตรา 57 ว่าด้วยการรับมือภัยไซเบอร์ร้ายแรง ต้องระวางโทษปรับไม่เกิน 300,000 บาท ปรับอีกไม่เกินวันละหนึ่งหมื่นบาทนับแต่วันที่ครบกำหนดระยะเวลาที่พนักงานเจ้าหน้าที่ออกคำสั่งให้ปฏิบัติจนกว่าจะปฏิบัติให้ถูกต้อง ผู้ฝ่าฝืนคำสั่งเลขาธิการตามมาตรา 57 (3) (4) ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกิน 150,000 บาทหรือทั้งจำทั้งปรับ เช่นเดียวกันกับการขัดขวางคำสั่งเลขาธิการในมาตรา 58

เนื่องจากตัวองค์กรไม่ใช่หน่วยงานราชการ แต่เป็นนิติบุคคลและเป็นหน่วยงานของรัฐ คำถามที่ยังไม่มีคำตอบคือ หากปฏิบัติหน้าที่โดยมิชอบจะสามารถฟ้องเอาผิดตามกฎหมายอาญามาตรา 157 ได้หรือไม่

นอกจากนั้น การเอาข้อมูลสำคัญของทั้งภาครัฐ รัฐวิสาหกิจรวมถึงเอกชนไปไว้กับหน่วยงานๆ เดียว แม้จะมีกฎหมายระบุว่าไม่สามารถนำไปใช้ในทางที่ผิดได้ แต่การเป็นศูนย์กลางของข้อมูลทั้งหลายย่อมเป็นเป้าหมายตัวโตของการโจมตีทางไซเบอร์ คำถามจึงอยู่ที่ประสิทธิภาพในการเก็บข้อมูลให้เป็นความลับและความสามารถในการป้องกันการคุกคามไซเบอร์ของตัวสำนักงานเอง และคำถามที่ยังไม่มีคำตอบคือ ตัวสำนักงานเองถือเป็น CII ใช่หรือไม่ ข้อมูลที่เก็บไปจะเก็บถึงไหน ข้อมูลส่วนบุคคลของประชาชนจะเป็นเป้าหมายหรือไม่ หลายคนยังคงจำข้อมูลส่วนบุคคลที่หลุดไปจากคลังข้อมูลของ TRUE ได้ ถ้าหากข้อมูลมีการส่งต่อมากขึ้น ความปลอดภัยของข้อมูลย่อมได้รับผลกระทบไม่ว่าจะมากหรือน้อย

เสียงจากเวทีรับฟังความเห็นกังวลนิยามภัยไซเบอร์ อำนาจที่กว้างเกินไปของหน่วยงาน

บรรยากาศในงานรับฟังความเห็น มีคนเข้ามาเต็มห้อง นับจำนวนได้ราวหนึ่งร้อยคน

หลายเสียงในเวทีรับฟังความเห็นแสดงความกังวลต่อเนื้อหาในร่างฯ โดยเฉพาะในเรื่องนิยามที่ยังไม่ชัดเจนว่าอะไรคือภัยคุกคามไซเบอร์ ที่บอกว่าเป็นวิธีการทางคอมพิวเตอร์ ทางเทคนิค หรือทางอิเล็กทรอนิกส์ ใจความในการโพสท์เฟสบุ๊กหรืออีเมล์จะถือเป็นภัยต่อความมั่นคงอย่างที่เกิดขึ้นบ่อยๆ กับผู้ทีถูกฟ้องในความผิดตาม พ.ร.บ.อาชญากรรมทางคอมพิวเตอร์ (พ.ร.บ.คอมพิวเตอร์)

นอกจากนั้น อำนาจของเลขาธิการในการขอข้อมูล ยึดอุปกรณ์ต่างๆ หรือเข้าถึงเคหสถานในกรณีที่มีภัยคุกคามไซเบอร์อย่างร้ายแรง (ซึ่งโดยตัวนิยามก็กว้างและยังไม่มีรายละเอียด) สามารถทำได้โดยไม่มีหมายศาล แต่ใน พ.ร.บ.คอมพิวเตอร์ นั้นมีกำหนดแนวทางอำนาจเดียวกันไว้ แต่ต้องได้รับอนุญาตจากศาลก่อน ซึ่งหนึ่งในผู้เข้าร่วมงานรับฟังความเห็นได้ตั้งข้อสังเกตว่าอำนาจเหมือนกันแต่ทำไมถึงไม่ผ่านศาลเหมือนกัน ผู้ออกความเห็นหลายคนก็แสดงความเห็นว่าควรจะต้องได้รับอนุญาตจากศาลเสียก่อน

นอกจากนั้น การใช้คำว่า “คาดว่า” หรือ “มีเหตุที่เชื่อได้ว่า” นั้นให้ขอบเขตที่กว้างขวาง ขาดความชัดเจนและอาจทำไม่ได้ในทางปฏิบัติ ย่อมหมายถึงอำนาจการจัดการของสำนักงานและเลขาธิการที่หาขอบเขตที่แน่นอนไม่ได้ จึงควรระมัดระวังเรื่องการใช้คำในกฎหมาย

สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ สมาคมของกลุ่มนักวิชาการด้านความมั่นคงปลอดภัยสารสนเทศในประเทศไทยที่ติดตามและศึกษาร่างฯ นี้ ส่งแถลงการณ์ให้ทาง ETDA แสดงความกังวลดังนี้

  • สำนักงานไม่มีธรรมาภิบาลอย่างร้ายแรงและการขัดกันแห่งผลประโยชน์ เนื่องจากเป็นหน่วยงานรัฐ เป็นนิติบุคคล แต่ไม่เป็นส่วนราชการ ถือหุ้นได้ กู้ยืมเงินได้ แต่ไม่ต้องส่งรายได้เข้าคลังแผ่นดิน การที่เป็นหน่วยงานที่ทำหน้าที่บังคับใช้กฎหมาย ไม่ควรจะมีหน้าที่เป็นผู้ให้บริการ และไม่ควรจะต้องมีการแสวงหารายได้และการถือหุ้นกับเอกชน
  • อำนาจครอบจักวาล ผูกขาดความรับผิดชอบในทุกเรื่องที่เกี่ยวกับไซเบอร์ (ม.16 ม.51-58) ควรแยกหน่วยงานที่จัดทำนโยบาย ให้บริการ กำกับดูแล ออกจากกันอย่างเด็ดขาด ไม่รวมที่หน่วยงานเดียวเพื่อความโปร่งใสและมีประสิทธิภาพ
  • เลขาธิการมีอำนาจมากเกินไป สั่งหน่วยงานราชการ หน่วยงานความมั่นคง หน่วยงานรัฐ เอกชนและประชาชนได้ (ม.21-31 ม.51-58) โดยเฉพาะการออกคำสั่งบุคคลเพียงเพราะมีเหตุสงสัยว่าเกี่ยวข้องหรือได้รับผลกระทบจากภัยคุกคามไซเบอร์ และการเข้าถึงสถานที่ประกอบการ ทรัพย์สินสารสนเทศ ตรวจสอบ ยึดคอมพิวเตอร์หรืออุปกรณ์โดยไม่ต้องมีหมายศาล

สมาคมฯ ให้ความเห็นว่าการใช้อำนาจตาม ม.57-58 เข้าข่ายการละเมิดสิทธิของประชาชนอย่างร้ายแรง

ทางสมาคมโทรคมนาคมแห่งประเทศไทยในพระบรมราชูปถัมภ์ และสมาคมอินเทอร์เน็ตได้มีหนังสือเสนอแนะต่อร่างฯ หลายประการ หลักๆ เป็นเรื่องการกำหนดขอบเขตอำนาจให้ชัดเจนขึ้น นำคำกำกวมอย่าง “คาดว่า” ออก เสนอแนะให้ออกแบบการบังคับใช้กฎหมายโดยไม่เพิ่มภาระให้ผู้ประกอบกิจการ ลดเวลาการยึดอุปกรณ์จาก 30 วันเหลือ 5 วัน ยืดเวลาเริ่มบังคับใช้ พ.ร.บ. เป็น 180 วัน (จากเดิมบังคับใช้ทันทีหลัง พ.ร.บ. ผ่าน) เพื่อให้เอกชนมีเวลาเตรียมตัว เพิ่มเลขาธิการสำนักงานคณะกรรมการสิทธิมนุษยชนแห่งชาติ ผู้ตรวจการแผ่นดินเป็นคณะกรรมการ กปช. และเพิ่มผู้เชี่ยวชาญจากภาคเอกชนเป็นหนึ่งผู้ทรงคุณวุฒิ

นอกจากนั้นยังเสนอให้มีการออกระเบียบ ประกาศ คำสั่งเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ที่มีผลใช้บังคับทั่วไปและมีผลกระทบกับประชาชน โดยต้องมีจัดรับฟังความเห็น ไม่ให้สำนักงานมีอำนาจเข้าถึงทรัพย์สินสารสนเทศ ทำสำเนา หรือสกัดคัดกรองข้อมูลสารสนเทศหรือโปรแกรมคอมพิวเตอร์ ปรับปรุงบทกำหนดโทษให้เป็นคุณกับคนทำงานมากขึ้น และให้สำนักงานต้องรับผิดชอบความเสียหายหากมีข้อมูลรั่วไหล ซึ่งแต่เดิมไม่ได้มีกำหนดไว้

ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)

ติดตามประชาไทอัพเดท ได้ที่:
Facebook : https://www.facebook.com/prachatai
Twitter : https://twitter.com/prachatai
YouTube : https://www.youtube.com/prachatai
Prachatai Store Shop : https://prachataistore.net
ข่าวรอบวัน
สนับสนุนประชาไท 1,000 บาท รับร่มตาใส + เสื้อโปโล

ประชาไท