เปิดร่าง พ.ร.บ. การรักษาความปลอดภัยไซเบอร์ คำนิยามไม่ละเว้นข้อมูลเชิงเนื้อหา ไม่ชัดว่าไม่เอาผิดการโพสท์หรือไม่ โครงสร้างใหม่ มีกรรมการเฉพาะด้าน กอ.รมน. โผล่กรรมการปลอดภัยไซเบอร์แห่งชาติ เจ้าหน้าที่ยังเข้าถึงข้อมูล-ตรวจสอบสถานที่-ขอข้อมูล Real-time แบบไม่มีคำสั่งศาลได้

19 ธ.ค. 2561 สืบเนื่องจากคณะรัฐมนตรี (ครม.) มีมติรับร่างพระราชบัญญัติ (พ.ร.บ.) การรักษาความปลอดภัยไซเบอร์ ไปเมื่อวานนี้ (18 ธ.ค.) หลังจากมีการเปิดรับฟังความเห็นและแก้ไขหลายรอบ ท่ามกลางเสียงวิพากษ์วิจารณ์จากองค์กรด้านสารสนเทศ และผู้มีส่วนได้ส่วนเสียเรื่อยมา

ทั้งนี้ รายละเอียดโดยสังเขปที่น่าสนใจเกี่ยวกับเรื่องคำนิยาม โครงสร้างกรรมการและแนวทางรับมือภัยคุกคามไซเบอร์มีการเปลี่ยนแปลงจากร่างฯ ฉบับรับฟังความเห็นอยู่หลายประการ ประชาไทจึงชวนทำความเข้าใจเร็วๆ ในประเด็นดังกล่าว

อะไร: คำนิยามยังไม่ละเว้นข้อมูลเชิงเนื้อหาชัดเจน

เมื่อดูนิยามของคำในร่างฯ พบว่ายังไม่มีความชัดเจนเรื่องการไม่เอาผิดกับข้อมูลเชิงเนื้อหา เช่น การโพสท์เฟซบุ๊คหรือการอัพโหลดวิดีโอ โดยคำนิยามที่เกี่ยวข้องตามที่ปรากฏในกฎหมายมีดังนี้

การรักษาความมั่นคงปลอดภัยไซเบอร์ หมายถึง มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ทั้งจากภายในและภายนอกประเทศอันกระทบต่อความมั่นคงของประเทศอันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ

ภัยคุกคามทางไซเบอร์ หมายถึง การกระทำหรือการดำเนินการใดๆ โดยมิชอบโดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง

ไซเบอร์ หมายความรวมถึงข้อมูลและการสื่อสารที่เกิดจากการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่ายโทรคมนาคม รวมทั้งการให้บริการโดยปกติของดาวเทียมและระบบเครือข่ายที่คล้ายคลึงกัน ที่เชื่อมต่อกันเป็นการทั่วไป

เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ หมายความว่า เหตุการณ์ที่เกิดจากการกระทำหรือการดำเนินการใดๆ ที่มิชอบซึ่งกระทำผ่านทางคอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งอาจเกิดความเสียหายหรือผลกระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือความมั่นคงปลอดภัยไซเบอร์ของเครื่องคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์

ใคร: โครงสร้างใหม่ มีกรรมการเฉพาะด้าน กอ.รมน. โผล่กรรมการปลอดภัยไซเบอร์แห่งชาติ

ในมาตรา 5 กำหนดให้มีคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) ให้มีนายกรัฐมนตรีเป็นประธานกรรมการ มีรองนายกฯ ฝ่ายความมั่นคงเป็นรองประธาน  และกรรมการโดยตำแหน่ง ได้แก่ รมว.กระทรวงกลาโหม กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กระทรวงการคลัง กระทรวงการต่างประเทศ กระทรวงคมนาคม กระทรวงพลังงาน กระทรวงมหาดไทย กระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ เลขาธิการสภาความมั่นคงแห่งชาติ ผู้อำนวยการสำนักข่าวกรองแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.)

นอกจากนั้นยังเพิ่มเลขาธิการกองอำนวยการรักษาความมั่นคงภายใน (กอ.รมน.) เข้ามาเป็นหนึ่งในกรรมการโดยตำแหน่งด้วย ซึ่งในร่างฯ ชุดที่ผ่านมาไม่มี นอกจากนั้นยังให้มีกรรมการผู้ทรงคุณวุฒิจำนวนไม่เกิดเจ็ดคนที่ ครม. ตั้งจากผู้มีความรู้ ความเชี่ยวชาญในด้านที่เป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ และยังมีเลขาธิการเป็นกรรมการและเลขานุการโดยตำแหน่ง

ภายใต้ กปช. ยังมีหน่วยงานย่อยสองหน่วยงาน ได้แก่

1. คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกซ.) มีหน้าที่โดยสังเขปคือการปฏิบัติงานด้านภัยคุกคามไซเบอร์ เช่น ติดตามการดำเนินนโยบายและแผนการรักษาความมั่นคงปลอดภัยไซเบอร์ ดูแลและดำเนินการเพื่อรับมือภัยคุกคามไซเบอร์ในระดับร้ายแรง กำหนดระดับภัยคุกคามไซเบอร์ มีรองนายกฯ ฝ่ายความมั่นคงเป็นประธาน
2. คณะกรรมการส่งเสริมการรักษาความมั่นคงปลอดภัยไซเบอร์โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (กสส.) มีหน้าที่โดยสังเขปคือการติดตามการดำเนินการตามนโยบายและแผนมาตรา 41 (3) และ (7) เรื่อง ดำเนินการเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (หน่วยงานโครงสร้างพื้นฐานฯ) กำหนดหน้าที่ของหน่วยงานโครงสร้างพื้นฐานฯ และอื่นๆ มี รมว.กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน

โครงสร้างพื้นฐานสำคัญทางสารสนเทศ ตามมาตรา 48 มีดังต่อไปนี้

1. ด้านความมั่นคงของรัฐ
2. บริการภาครัฐที่สำคัญ
3. การเงินการธนาคาร
4. เทคโนโลยีสารสนเทศและโทรคมนาคม
5. การขนส่งและโลจิสติกส์
6. พลังงานและสาธารณูปโภค
7. สาธารณสุข
8. ด้านอื่นๆ ตามที่ กปช. ประกาศเพิ่มเติม

ในร่างฯ ชุดนี้มีการเปลี่ยนแปลงรายละเอียดเรื่องขอบเขตด้านการเงินของสำนักงาน กปช. ที่มีหน้าที่รับผิดชอบงานธุรการ งานวิชาการ งานการประชุมและเลขานุการของ กปช. และคณะกรรมการเฉพาะด้าน ซึ่งร่างฯ ก่อนหน้าให้อำนาจในการกู้เงิน ร่วมทุน หรือลงทุนกับนิติบุคคลอื่นๆ เพื่อบรรลุวัตถุประสงค์ตามร่างฯ ได้รับเงินอุดหนุนรายปีจากรัฐบาล และรายได้สำนักงานไม่ต้องนำส่งเข้าคลังเป็นรายได้แผ่นดิน แต่ในร่างฯ นี้ต้องส่งคลังเป็นรายได้แผ่นดิน (มาตรา 23) และยังตัดอำนาจเรื่องการกู้เงิน ร่วมทุน ลงทุนออก โดย กปช. จะมีเลขาธิการเป็นผู้บังคับบัญชาพนักงานและลูกจ้างของสำนักงาน

อย่างไร: ยังเข้าถึงข้อมูล-ตรวจสอบสถานที่-ขอข้อมูล Real-time แบบไม่มีคำสั่งศาลได้

มาตรา 42 กำหนด กปช. ทำนโยบายส่งเสริม สนับสนุน วางแผนนโยบายการดเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ และมาตรา 43 ให้หน่วยงานรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศทำแนวปฏิบัติการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของแต่ละหน่วยงานขึ้นมาให้สอดคล้องกับนโยบายและแผนจาก กปช. หน่วยงานเหล่านั้นยังมีหน้าที่ป้องกัน รับมือ ลดความเสี่ยงจากภัยคุกคามไซเบอร์เองตามกรอบมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ด้วย

ร่างฯ ฉบับนี้ให้ กปช. และ/หรือ กกซ. กำหนดลักษณะภัยคุกคามทางไซเบอร์เป็นสามระดับ

1. ระดับเฝ้าระวัง หมายถึงภัยในระดับที่อาจก่อให้เกิดความเสียหาย แต่ยังไม่ก่อให้เกิดผลกระทบต่อบุคคล ทรัพย์สิน หรือข้อมูลที่เกี่ยวข้องที่สำคัญในระดับร้ายแรง

2. ระดับร้ายแรง หมายถึงภัยคุกคามในระดับร้ายแรงในลักษณะต่อไปน้

• ก่อให้เกิดความเสี่ยงจะทำให้เกิดความเสียหายต่อข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นเกี่ยวข้องกับระบบคอมพิวเตอร์ หรือการให้บริการของโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
• ก่อให้เกิดความเสี่ยงภัยจนอาจทำให้คอมพิวเตอร์ ระบบคอมพิวเตอร์ที่ให้บริการของโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่เกี่ยวกับภัยคุกคามต่อความมั่นคงของรัฐ การป้องกันประเทศ ความสัมพันธ์ระหว่างประเทศ เศรฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชนถูกแทรกแซงอย่างมีนัยสำคัญหรือถูกระงับการทำงาน

มีความรุนแรง หรืออาจก่อให้เกิดความเสี่ยงภัยหรือความเสียหายต่อบุคคล หรือต่อข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ที่สำคัญหรือมีจำนวนมาก

3. ระดับวิกฤติ มีลักษณะดังต่อไปนี้

• เป็นภัยคุกคามทางไซเบอร์หรือเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ที่ฉุกเฉิน เร่งด่วน ที่ใกล้จะเกิด และส่งผลกระทบต่อโครงสร้างพื้นฐานสำคัญทางสารสนเทศ สาธารณูปโภคขั้นพื้นฐาน ความมั่นคงของรัฐ หรือชีวิตความเป็นอยู่ของประชาชน
• เป็นภัยที่ฉุกเฉิน เร่งด่วน ใกล้จะเกิดอันอาจเป็นผลให้บุคคลจำนวนมากเสียชีวิต หรือระบบคอมพิวเตอร์จำนวนมากถูกทำลายในวงกว้างในระดับประเทศ
• เป็นภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐ หรืออาจทำให้ประเทศหรือส่วนใดส่วนหนึ่งของประเทศตกอยู่ในภาวะคับขันหรือมีการกระทำความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา การรบหรือการสงคราม ซึ่งจำเป็นต้องมีมาตรการเร่งด่วนเพื่อรักษาไว้ซึ่งการปกครองระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรงเป็นประมุขตามรัฐธรรมนูญแห่งราชอาณาจักรไทย เอกราชและบูรณภาพแห่งอาณาเขต ผลประโยชน์ของชาติ การปฏิบัติตามกฎหมาย ความปลอดภัยของประชาชน การดำรงชีวิตโดยปกติสุขของประชาชน การคุ้มครองสิทธิเสรีภาพ ความสงบเรียบร้อยหรือประโยชน์นส่วนรวม หรือการป้องปัดหรือแก้ไขเยียวยาความเสียหายจากภัยพิบัติสาธารณะอันมีมาอย่างฉุกเฉินและร้ายแรง

ทั้งนี้ หากเกิด หรือคาดว่าจะเกิดภัยคุกคามไซเบอร์ระดับร้ายแรง กปช. มีอำนาจดำเนินการ หรือมอบหมายให้ กกซ. ดำเนินมาตรการแจ้งเตือน แก้ไขปัญหา วิเคราะห์สถานการณ์ อำนาจนี้รวมไปถึงการเข้าไปในอสังหาริมทรัพย์หรือสถานประกอบการที่เกี่ยวข้อง หรือคาดว่ามีส่วนเกี่ยวข้องกับภัยคุกคามทางไซเบอร์ของบุคคลหรือหน่วยงานที่เกี่ยวข้อง โดยได้รับความยินยอมจากผู้ครอบครองสถานที่นั้น

มาตรา 64 เพื่อรับมือและบรรเทาความเสียหายจากภัยคุกคามทางไซเบอร์ในระดับร้ายแรง กปช. หรือ กกซ. มีอำนาจออกคำสั่งดังนี้

1. เฝ้าระวังคอมพิวเตอร์หรือระบบคอมพิวเตอร์ในช่วงระยะเวลาหนึ่ง
2. ตรวจสอบคอมพิวเตอร์ ระบบคอมพิวเตอร์ หาข้อบกพร่อง
3. จัดการข้อบกพร่อง หรือกำจัดชุดคำสั่งที่ไม่พึงประสงค์
4. รักษาสถานะข้อมูลคอมพิวเตอร์เพื่อดำเนินการทางนิติวิทยาศาสตร์คอมพิวเตอร์
5. เข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ (ต้องมีคำสั่งศาล)

มาตรา 65 เพื่อป้องกัน รับมือ ลดความเสี่ยงจากภัยไซเบอร์ระดับร้ายแรง กปช. หรือ กกซ. มีอำนาจสั่งการต่อไปนี้

1. ตรวจสอบสถานที่โดยมีหนังสือแจ้งเหตุอันสมควรไปยังเจ้าของหรือผู้ครอบครองสถานที่
2. เข้าถึงข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทำสำเนา สกัดคัดกรองข้อมูลสารสนเทศหรือโปรแกรมคอมพิวเตอร์ซึ่งมีเหตุอันควรเชื่อว่าเกี่ยวข้องหรือได้รับผลกระทบจากภัยคุกคามไซเบอร์
3. ทดสอบการทำงานของคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีเหตุอันควรเชื่อได้ว่าเกี่ยวข้อง หรือได้รับผลกระทบจากภัยคุกคามทางไซเบอร์ หรือถูกใช้เพื่อค้นหาข้อมูลใดๆ ที่อยู่ภายใน หรือใช้ประโยชน์จากคอมพิวเตอร์หรือระบบคอมพิวเตอร์นั้น (ต้องมีคำสั่งศาล)
4. ยึดหรืออายัตคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรืออุปกรณ์ใดๆ เท่าที่จำเป็น (ต้องมีคำสั่งศาล)

ทั้งนี้ ในกรณีที่เกิดภัยคุกคามทางไซเบอร์ระดับวิกฤติ ให้สภาความมั่นคงแห่งชาติมีอำนาจดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ และในกรณีที่จำเป็นเร่งด่วน และเป็นภัยคุกคามไซเบอร์ระดับวิกฤติ ให้ กปช. ดำเนินการได้ทันทีเท่าที่จำเป็นโดยไม่ต้องยื่นคำร้องต่อศาล หลังจากดำเนินการแล้วจึงค่อยให้ กปช. หรือ กกซ. แจ้งรายละเอียดการดำเนินการต่อศาลที่มีเขตอำนาจทราบโดยเร็ว

อำนาจในการขอข้อมูลเวลาจริง (Real time data) ย้ายไปอยู่ที่มาตรา 67 โดยในกรณีร้ายแรงหรือวิกฤติ เพื่อประโยชน์ในการป้องกัน ประเมินผล รับมือ ปราบปราม ระงับ ลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ให้เลขาธิการ โดยความเห็นชอบของ กปช. หรือ กกซ. ขอข้อมูลเวลาจริงจากผู้เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ แต่ไม่ได้ระบุว่าต้องมีคำสั่งศาลเพื่อเข้าถึงข้อมูลเวลาจริง

ในบทกำหนดโทษนั้น พนักงาน เจ้าหน้าที่ และพนักงานสอบสวนตาม ร่างฯ นี้ถูกห้ามไม่ให้เปิดเผยหรือส่งมอบข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ หรือข้อมูลของผู้ใช้ริการที่ได้มาตาม พ.ร.บ. นี้แก่บุคคลใด หากฝ่าฝืน มีโทษจำคุกไม่เกินสามปี ปรับไม่เกิน 60,000 บาท หรือทั้งจำทั้งปรับ หากกระทำโดยประมาทให้ผู้อื่นล่วงรู้ข้อมูลเหล่านั้น จำคุกไม่เกินหนึ่งปี ปรับไม่เกิน 20,000 บาทหรือทั้งจำทั้งปรับ

ผู้ใดล่วงรู้ข้อมูลข้างต้นและเปิดเผยต่อผู้หนึ่งผู้ใด ต้องระวางโทษจำคุกไม่เกินสองปี ปรับไม่เกิน 40,000 บาท หรือทั้งจำทั้งปรับ หากผู้ใดขัดขวา ไม่ปฏิบัติตามคำสั่ง หรือไม่ให้ความสะดวกแก่เลขาธิการหรือพนักงานเจ้าหน้าที่ปฏิบัติการตามมาตรา 65 โดยไม่มีเหตุอันสมควร ต้องระวางโทษจำคุกไม่เกินสามปี ปรับไม่เกิน 150,000 บาทหรือทั้งจำทั้งปรับ