รู้จักร่าง (เดิม) พ.ร.บ. ไซเบอร์ฯ

ซึ่งประชาไท โดย เยี่ยมยุทธ สุทธิฉายา ได้ประมวลไว้เมื่อ 12 ต.ค.ที่ผ่านมา 'รู้จัก ร่าง พ.ร.บ. ความมั่นคงไซเบอร์ เมื่อความปลอดภัยกับละเมิดสิทธิห่างแค่เส้นเบลอๆ' ดังนี้

ใคร: ตั้งคณะกรรมการ 14 คน ตั้งสำนักงานสนับสนุน รัฐให้เงิน แต่หาเงินเองได้ ไม่ใช่ส่วนราชการ เลขาธิการอำนาจล้นมือ

พ.ร.บ. นี้จะให้มี ‘คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.)’ ประกอบด้วยสมาชิก 14 คน ได้แก่นายกรัฐมนตรี (ประธาน) รัฐมนตรีว่าการ (รมว.) กระทรวงกลาโหม กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ เลขาธิการสภาความมั่นคงแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย และผู้ทรงคุณวุฒิที่มีความรู้ ความสามารถในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เทคโนโลยีสารสนเทศและการสื่อสาร การคุ้มครองข้อมูลส่วนบุคล วิทยาศาสตร์ วิศวกรรมศาสตร์ กฎหมาย หรือด้านอื่นที่เกี่ยวข้องอันเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ และจะแต่งตั้งเลขาธิการจากใน 14 คนนี้

กปช. ทำหน้าที่รักษาความมั่นคงปลอดภัยไซเบอร์หลายอย่าง ไม่ว่าจะเป็นการเสนอนโยบาย แผนดำเนินการ ทำแผนปฏิบัติการเพื่อเป็นแผนแม่บทในสถานการณ์ปกติและในเวลาที่อาจจะเกิดหรือเกิดภัยคุกคามไซเบอร์ กำหนดแนวทาง กรอบมาตรฐานขั้นต่ำให้หน่วยงานรัฐและเอกชนที่เกี่ยวข้อง กำหนดมาตรการตอบสนอง รับมือภัยคุกคามไซเบอร์ กำหนดแนวทางสร้างทักษะและความเชี่ยวชาญ ติดตามประเมินผลการปฏิบัติตามนโยบาย เสนอความเห็น และข้อคิดเห็นต่อคณะรัฐมนตรีในการปรับปรุงกฎหมายที่เกี่ยวข้อง จัดทำรายงานสรุปผลการดำเนินการ และทำเรื่องอื่นๆ ตามที่บัญญัติใน พ.ร.บ. หรือที่ ครม.มอบหมาย

นอกจากตัวคณะกรรมการฯ ยังจะมีการจัดตั้งสำนักงาน กปช. ขึ้นเพื่อสนับสนุนการทำงานของ กปช. เป็นศูนย์กลางข้อมูลและประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เฝ้าระวัง แจ้งเตือน สนับสนุน ช่วยเหลือในการป้องกันรับมือ และลดความเสี่ยงจากภัยคุกคามไซเบอร์ เผยแพร่ความรู้ ศึกษา วิจัย และพัฒนา

ทั้งนี้ สถานะของสำนักงาน เป็นนิติบุคคล ไม่ใช่ส่วนราชการ ได้รับงบอุดหนุนจากรัฐเป็นรายปี แต่หากมีรายได้จากการดำเนินงานหรือทรัพย์สินของสำนักงาน ก็ไม่ต้องส่งกลับคลังเพื่อเป็นรายได้ของรัฐ ในมาตรา 17 ได้ให้อำนาจสำนักงานในการเป็นหุ้นส่วน ถือหุ้น หรือร่วมทุนกับนิติบุคคลอื่นที่เกี่ยวกับวัตถุประสงค์ของสำนักงาน กู้ยืมเงินเพื่อวัตถุประสงค์ของสำนักงานได้ และยังเรียกเก็บค่าธรรมเนียม ค่าบำรุง ค่าตอบแทนหรือค่าบริการในการดำเนินงานได้ด้วย

ทำอะไร: มุ่งป้องกันภัยคุกคามไซเบอร์ที่จะโจมตีโครงสร้างสำคัญของประเทศ

ตัว พ.ร.บ. นี้มีหลักการกว้างๆ ว่า ต้องมีกฎหมายมาป้องกัน รับมือ ลดความเสี่ยงจาก ‘ภัยคุกคามทางไซเบอร์’ หรือคือการใช้วิธีการทางคอมพิวเตอร์ หรืออิเล็กทรอนิกส์สร้างความเสียหายต่อทรัพย์สินสารสนเทศหรือทำให้ทำงานไม่ได้ ไม่ให้เกิดผลกระทบต่อความมั่นคงในด้านต่างๆ ผ่านคณะกรรมการและหน่วยงานที่ตั้งขึ้นเพื่อปฏิบัติงานร่วมกันระหว่างภาครัฐและเอกชน โดยจะมีแผนปฏิบัติการและมาตรการด้านรักษาความมั่นคงปลอดภัยไซเบอร์อย่างมีเอกภาพและต่อเนื่อง ในวันที่ประเทศไทยมีบริการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคมที่สามารถถูกโจมตีและสร้างความเสียหายได้

ยกตัวอย่าง: โรงพยาบาล(หน่วยงานโครงสร้างพื้นฐาน)ใช้เครือข่ายคอมพิวเตอร์ (โครงสร้างพื้นฐานทางสารสนเทศ) เชื่อมต่อกันเพื่อเก็บบันทึกข้อมูลผู้ป่วย สถิติ และการทำงานทำผ่านคอมพิวเตอร์ (ทรัพย์สินสารสนเทศ) ภัยคุกคามจึงอาจเป็นวิธีการทางคอมพิวเตอร์เพื่อทำให้การทำงานเสียหายหรือทำงานต่อไม่ได้ เช่น ไวรัส การส่งชุดข้อมูลไม่พึงประสงค์จำนวนมากเพื่อทำให้ระบบประมวลผลช้าลง (ดีดอส) การแฮ็ค เป็นต้น

อย่างไร: แนวทางจัดการภัยไซเบอร์กว้างขวาง ค้นบ้าน-ยึดคอมฯ ได้ไม่ต้องมีหมายศาล

พ.ร.บ. นี้ให้อำนาจ หน้าที่องค์กรที่ตั้งใหม่อย่างน่ากังวล เพราะอำนาจหน้าที่นั้นอิงอยู่กับการป้องกัน ‘ภัยคุกคามทางไซเบอร์’ แต่แค่ตัวนิยามของภัยคุกคามทางไซเบอร์เองก็กำกวมแล้ว การมีอำนาจในการจัดการต่อสิ่งที่กำกวมยิ่งทำให้เกิดข้อเคลือบแคลงต่อหลายภาคส่วน

พ.ร.บ. ยังกำหนดให้หน่วยงานรัฐ หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะต้องแจ้งรายชื่อเจ้าหน้าที่ระดับบริหารและปฏิบัติการเพื่อประสานงานด้านรักษาความมั่นคงปลอดภัยไซเบอร์กับทางสำนักงาน ซึ่งเป็นช่องทางที่ใช้ติดต่อกันเมื่อมีเหตุภัยคุกคามไซเบอร์เพื่อรับมือกับเหตุ

ในส่วนของการรับมือภัยคุกคามทางไซเบอร์เป็นสิ่งที่มีความคลุมเครือและให้อำนาจอย่างกว้างกับทางสำนักงานและ กปช. เริ่มจากมาตรา 51 ที่เขียนว่า ในกรณีที่เกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ต่อระบบสารสนเทศซึ่งอยู่ในความดูแลรับผิดชอบของหน่วยงานรัฐหรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ให้หน่วยงานนั้นตรวจสอบทรัพย์สินสารสนเทศและพฤติการณ์แวดล้อมเพื่อประเมินภัยคุกคามไซเบอร์ ถ้ามีภัยก็ให้รับมือตามแผนที่มี และแจ้งไปยังสำนักงานโดยเร็ว

หรือถ้าสำนักงานเห็นว่าเกิด หรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ ก็ให้มีการรวมข้อมูล วิเคราะห์สถานการณ์ ประเมินผลกระทบ แจ้งเตือนภัย อำนวยความสะดวกในการประสานงาน และเข้าช่วยเหลือ โดยการรวบรวมข้อมูลนั้น กฎหมายให้อำนาจสำนักงานในการ

• เรียกคนที่เกี่ยวข้องมาให้ข้อมูล หรือให้ข้อมูลเป็นหนังสือเกี่ยวกับภัยคุกคาม
• ขอข้อมูล เอกสาร สำเนาข้อมูลหรือเอกสารในความครอบครองของผู้อื่น
• สอบถามคนที่มีความรู้ความเข้าใจเกี่ยวกับข้อเท็จจริงและสถานการณ์ที่เกี่ยวข้องกับภัยคุกคามไซเบอร์
• เข้าไปในอสังหาริมทรัพย์ หรือสถานประกอบการที่เกี่ยวข้องหรือคาดว่ามีส่วนเกี่ยวข้องกับภัยคุกคามทางไซเบอร์ของบุคคลหรือหน่วยงานที่เกี่ยวข้องโดยได้รับความยินยอมจากผู้ครอบครองสถานที่นั้น

ในส่วนการดูแลข้อมูลนั้น กฎหมายกำหนดเพียงว่าสำนักงานต้องดูแลไม่ให้มีการใช้ข้อมูลที่ได้มาในลักษณะที่อาจก่อให้เกิดความเสียหาย

ในร่างฯ ยังไม่ระบุ หรือมีตัวอย่างว่าการทำอะไรที่เป็นภัยคุกคามต่อความมั่นคงปลอดภัยไซเบอร์ จึงยังไม่สามารถพูดได้ว่าการส่งข้อมูลในอีเมล์ โพสท์เฟสบุ๊ก หรือเนื้อหาวิดีโอต่างๆ หรือพูดง่ายๆ คือสิ่งที่เป็น ‘เนื้อหา’ ไม่ใช่ภัยคุกคามทางไซเบอร์

มาตรา 58 ให้อำนาจเลขาธิการดำเนินการป้องกัน รับมือ ลดความเสี่ยงจากภัยคุกคามไซเบอร์ที่หนักมือ โดยให้อำนาจเข้าถึงคนหรือวัตถุในทางกายภาพแบบไม่ต้องขอศาลก่อน โดยมีอำนาจดังนี้

• ตรวจสอบสถานที่ โดยมีหนังสือแจ้งเหตุไปยังเจ้าของ หรือผู้ครอบครองสถานที่
• เข้าถึงทรัพย์สินสารสนเทศ ทำสำเนา สกัดคัดกรองข้อมูลสารสนเทศ โปรแกรมคอมพิวเตอร์ ซึ่งมีเหตุอันควรสงสัยว่าเกี่ยวข้องหรือได้รับผลกระทบจากภัยคุกคาม
• ทดสอบการทำงานของคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีเหตุอันควรสงสัยว่าเกี่ยวข้อง หรือได้รับผลกระทบจากภัยคุกคาม
• ยึดคอมพิวเตอร์หรืออุปกรณ์ใดๆ ซึ่งมีเหตุอันควรเชื่อได้ว่าเกี่ยวข้องกับภัยคุกคามทางไซเบอร์เพื่อตรวจสอบหรือวิเคราะห์ไม่เกิน 30 วัน หากจำเป็นต้องยึดไว้เกินกำหนด ให้ยื่นคำร้องต่อศาลแพ่งเพื่อขยายเวลาได้ไม่เกิน 90 วัน

ในกรณีฉุกเฉินนั้น เลขาธิการมีอำนาจขอข้อมูลเวลาจริง (Real time data) จากผู้เกี่ยวข้อง หมายถึงข้อมูล ณ เวลานั้นๆ

กำหนดโทษคนอื่นหนัก แต่ความรับผิดชอบตัวเองยังไม่ค่อยพูดถึง

ในบทกำหนดโทษระบุว่า ผู้ใดไม่ปฏิบัติตามหนังสือเรียกของพนักงานเจ้าหน้าที่ ไม่ส่งข้อมูลให้เจ้าพนักงาน ต้องระวางโทษปรับไม่เกิน 100,000 บาท (มาตรา 61) ผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามคำสั่งของเลขาธิการตามมาตรา 57 ว่าด้วยการรับมือภัยไซเบอร์ร้ายแรง ต้องระวางโทษปรับไม่เกิน 300,000 บาท ปรับอีกไม่เกินวันละหนึ่งหมื่นบาทนับแต่วันที่ครบกำหนดระยะเวลาที่พนักงานเจ้าหน้าที่ออกคำสั่งให้ปฏิบัติจนกว่าจะปฏิบัติให้ถูกต้อง ผู้ฝ่าฝืนคำสั่งเลขาธิการตามมาตรา 57 (3) (4) ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกิน 150,000 บาทหรือทั้งจำทั้งปรับ เช่นเดียวกันกับการขัดขวางคำสั่งเลขาธิการในมาตรา 58

เนื่องจากตัวองค์กรไม่ใช่หน่วยงานราชการ แต่เป็นนิติบุคคลและเป็นหน่วยงานของรัฐ คำถามที่ยังไม่มีคำตอบคือ หากปฏิบัติหน้าที่โดยมิชอบจะสามารถฟ้องเอาผิดตามกฎหมายอาญามาตรา 157 ได้หรือไม่

นอกจากนั้น การเอาข้อมูลสำคัญของทั้งภาครัฐ รัฐวิสาหกิจรวมถึงเอกชนไปไว้กับหน่วยงานๆ เดียว แม้จะมีกฎหมายระบุว่าไม่สามารถนำไปใช้ในทางที่ผิดได้ แต่การเป็นศูนย์กลางของข้อมูลทั้งหลายย่อมเป็นเป้าหมายตัวโตของการโจมตีทางไซเบอร์ คำถามจึงอยู่ที่ประสิทธิภาพในการเก็บข้อมูลให้เป็นความลับและความสามารถในการป้องกันการคุกคามไซเบอร์ของตัวสำนักงานเอง และคำถามที่ยังไม่มีคำตอบคือ ตัวสำนักงานเองถือเป็น CII ใช่หรือไม่ ข้อมูลที่เก็บไปจะเก็บถึงไหน ข้อมูลส่วนบุคคลของประชาชนจะเป็นเป้าหมายหรือไม่ หลายคนยังคงจำข้อมูลส่วนบุคคลที่หลุดไปจากคลังข้อมูลของ TRUE ได้ ถ้าหากข้อมูลมีการส่งต่อมากขึ้น ความปลอดภัยของข้อมูลย่อมได้รับผลกระทบไม่ว่าจะมากหรือน้อย