สนช. พิจารณากฎหมาย 30 ฉบับในวาระด่วนก่อนสิ้นปี หนึ่งในนั้นคือ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ที่เพิ่งผ่าน ครม. ไปเมื่อ 19 ธ.ค. ที่ผ่านมา เนื้อความยังไม่ละเว้นข้อมูลเชิงเนื้อหาออกจากขอบข่ายเหตุการณ์เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ มีหน่วยงานเฉพาะที่ตัวแทนภาครัฐเป็นเสียงส่วนมากเอาไว้กำหนดระดับภัยคุกคามไซเบอร์

28 ธ.ค. 2561 การประชุมสภานิติบัญญัติแห่งชาติในวันนี้ (28 ธ.ค.) มีการพิจารณาร่างพระราชบัญญัติ (พ.ร.บ.) ในวาระด่วนจำนวน 30 ร่าง (ดูวาระประชุม) โดยมีร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ที่เพิ่งผ่านมติจากคณะรัฐมนตรี (ครม.) เมื่อวันที่ 19 ธ.ค. ที่ผ่านมา ตามร่างฯ แล้วหากประกาศในราชกิจจานุเบกษาแล้วจะมีผลใช้บังคับในวันถัดจากนั้น

เนื้อความในร่างฯ มีการกำหนดบทนิยามคำเอาไว้ ตามที่ยกมาเป็นตัวอย่างดังนี้

การรักษาความมั่นคงปลอดภัยไซเบอร์: มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อป้องกัน รับมือและลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ทั้งจากภายในและภายนอกประเทศ อันกระทบต่อความมั่นคงของรัฐ เศรษฐกิจ ความมั่นคงทางหทาร และความสงบเรียบร้อยภายในประเทศ

ภัยคุกคามทางไซเบอร์: การกระทำหรือการดำเนินการใดๆ โดยมิชอบโดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องและเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง

เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์: เหตุการร์ที่เกิดจากการกระทำหรือการดำเนินการใดๆ ที่มิชอบซึ่งกระทำการผ่านทางคอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งอาจเกิดความเสียหายหรือผลกระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือความมั่นคงปลอดภัยไซเบอร์ของเครื่องคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์

ไซเบอร์: หมายรวมถึง ข้อมูลและการสื่อสารที่เกิดจากการให้บริการ หรือการประยุตก์ใช้เครือข่ายคอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่ายโทรคมนาคม รวมทั้งการให้บริการโดยปกติของดาวเทียมและระบบเครือข่ายที่คล้ายคลึงกัน ที่เชื่อมต่อกันเป็นการทั่วไป

ร่างฯ นี้ยังคงให้มีคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) โดยโครงสร้างบอร์ดคณะกรรมการประกอบด้วยนายกรัฐมนตรี ในฐานะประธาน รองนายกรัฐมนตรีฝ่ายความมั่นคงเป็นรองประธานกรรมการ และกรรมการโดยตำแหน่ง ได้แก่ รมว.กระทรวงกลาโหม กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กระทรวงการคลัง กระทรวงการต่างประเทศ กระทรวงคมนาคม กระทรวงพลังงาน กระทรวงมหาดไทย กระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ เลขาธิการสภาความมั่นคงแห่งชาติ ผู้อำนวยการสำนักข่าวกรองแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.)

นอกจากนั้นยังเพิ่มเลขาธิการกองอำนวยการรักษาความมั่นคงภายใน (กอ.รมน.) เข้ามาเป็นหนึ่งในกรรมการโดยตำแหน่งด้วย ซึ่งในร่างฯ ชุดที่ผ่านมาไม่มี นอกจากนั้นยังให้มีกรรมการผู้ทรงคุณวุฒิจำนวนไม่เกิดเจ็ดคนที่ ครม. ตั้งจากผู้มีความรู้ ความเชี่ยวชาญในด้านที่เป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ และยังมีเลขาธิการเป็นกรรมการและเลขานุการโดยตำแหน่ง

ภายใต้ กปช. ยังมีหน่วยงานย่อยสองหน่วยงาน ได้แก่

คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกซ.) มีหน้าที่โดยสังเขปคือการปฏิบัติงานด้านภัยคุกคามไซเบอร์ เช่น ติดตามการดำเนินนโยบายและแผนการรักษาความมั่นคงปลอดภัยไซเบอร์ ดูแลและดำเนินการเพื่อรับมือภัยคุกคามไซเบอร์ในระดับร้ายแรง กำหนดระดับภัยคุกคามไซเบอร์ มีรองนายกฯ ฝ่ายความมั่นคงเป็นประธาน

กกซ. มีกรรมการโดยตำแหน่ง 16 คน ได้แก่ รมว.กระทรวงกลาโหม กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงกลาโหม ปลัดกระทรวงการคลัง ปลัดกระทรวงการต่างประเทศ ปลัดกระทรวงคมนาคม ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงวิทยาศาสตร์และเทคโนโลยี ปลัดกระทรวงพลังงาน ปลัดกระทรวงมหาดไทย ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ เลขาธิการสภาความมั่นคงแห่งชาติ ผู้อำนวยการสำนักข่าวกรองแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการ กสทช. และกรรมการผู้ทรงคุณวุฒิ 4 คนที่แต่งตั้งโดย กปช.

คณะกรรมการส่งเสริมการรักษาความมั่นคงปลอดภัยไซเบอร์โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (กสส.) มีหน้าที่โดยสังเขปคือการติดตามการดำเนินการตามนโยบายและแผนมาตรา 41 (3) และ (7) เรื่อง ดำเนินการเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (หน่วยงานโครงสร้างพื้นฐานฯ) กำหนดหน้าที่ของหน่วยงานโครงสร้างพื้นฐานฯ และอื่นๆ

กสส. มี รมว.กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน มีกรรมการโดยตำแหน่ง 9 คน ประกอบด้วยปลัดกระทรวงการคลัง กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงพาณิชย์ กรรมการคนหนึ่งในคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติที่คณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติแต่งตั้ง ผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการ กสทช. และมีกรรมการผู้ทรงคุณวุฒิไม่เกิน 4 คน โดย กปช. เป็นผู้แต่งตั้ง

ร่างฯ ให้มีสำนักงาน กปช. ที่มีหน้าที่รับผิดชอบงานธุรการ งานวิชาการ งานการประชุมและเลขานุการของ กปช. และคณะกรรมการเฉพาะด้าน ซึ่งร่างฯ ก่อนเข้า ครม. ได้ตัดอำนาจเรื่องการกู้เงิน ร่วมทุน ลงทุนออก และต้องส่งคลังเป็นรายได้แผ่นดินด้วย โดย กปช. จะมีเลขาธิการเป็นผู้บังคับบัญชาพนักงานและลูกจ้างของสำนักงาน

ในส่วนของการรับมือภัยคุกคามทางไซเบอร์ (ส่วนที่ 4) จำแนกระดับภัยคุกคามเป็นสามระดับดังนี้

ระดับเฝ้าระวัง หมายถึงภัยในระดับที่อาจก่อให้เกิดความเสียหาย แต่ยังไม่ก่อให้เกิดผลกระทบต่อบุคคล ทรัพย์สิน หรือข้อมูลที่เกี่ยวข้องที่สำคัญในระดับร้ายแรง

ระดับร้ายแรง

• ก่อให้เกิดความเสี่ยงที่จะทำใก้เกิดความเสียหายต่อข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ หรือการให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
• ภัยคุกคามที่ก่อให้เกิดความเสี่ยงภัยจนอาจทำให้คอมพิวเตอร์ ระบบคอมพิวเตอร์ที่ให้บริการของโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่เกี่ยวข้องกับภัยคุกคามต่อความมั่นคงของรัฐ การป้องกันประเทศ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยงของประชาชน ถูกแทรกแซงอย่างมีนัยสำคัญหรือถูกระงับการทำงาน
• ภัยคุกคามที่มีความรุนแรงหรือที่ก่อหรืออาจก่อให้เกิดความเสี่ยงภัยหรือความเสียหายต่อบุคคล หรือต่อข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ที่สำคัญหรือมีจำนวนมาก

ระดับวิกฤติ

• ภัยหรือเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ที่ฉุกเฉิน เร่งด่วน ที่ใกล้จะเกิด และส่งผลกระทบต่อโครงสร้างพื้นฐานสำคัญทางสารสนเทศ สาธารณูปโภคขั้นพื้นฐาน ความมั่นคงของรัฐ หรือชีวิตความเป็นอยู่ของประชาชน
• ภัยคุกคามไซเบอร์ที่ฉุกเฉิน เร่งด่วน ที่ใกล้จะเกิดอันอาจเป็นผลให้บุคคลจำนวนมากเสียชีวิต หรือระบบคมพิวเตอร์จำนวนมากถูกทำลายในวงกว้างในระดับประเทศ
• ภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของประชาปชนหรือเป็นภัยต่อความมั่นคงของรัฐหรืออาจทำให้ประเทศ หรือส่วนในส่วนหนึ่งของประเทศอยู่ในภาวะคับขันหรือมีการกระทำความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา การรบหรือการสงคราม ซึ่งจำเป็นต้องมีมาตรการเร่งด่วนเพื่อรักษาไว้ซึ่การปกครองระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรงเป็นประมุขตามรัฐธรรมนูญแห่ราชอาณาจักรไทย เอกราชและบูรณภาพแห่งอาณาเขต ผลประโยชน์ของชาติ การปฏิบัติตามกฎหมาย ความปลอดภัยของประชาชน การดำรงชีวิตโดยปกติสุขของประชาชน การคุ้มครองสิทธิเสรีภาพ ความสงบเรียบร้อยหรือประโยชน์ส่วนรวม หรือการป้องปัดหรือแก้ไขเยียวยาความเสียหายจากภัยพิบัิสาธารณะอันมีมาอย่างฉุกเฉินและร้ายแรง

ทั้งนี้ รายละเอียดของลักษณะภัยคุกคาม มาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภัยคุกคามทางไซเบอร์แต่ละระดับให้ กปช. เป็นผู้ประกาศกำหนด

มาตรา 61 ระบุว่า เมื่อปรากฏแก่ กปช. ว่าเกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ในระดับร้ายแรงงตามมาตรา 60 กกซ. สามารถออกคำสั่งให้สำนักงานดำเนินการได้ต่อไปนี้

• มีหนังสือขอความร่วมมือจากบุคคลที่เกี่ยวข้องมาให้ข้อมูล
• มีหนังสือขอข้อมูล เอกสาร หรือสำเนาข้อมูลหรือเอกสารในความครอบครองของผู้อื่น
• สอบถามบุคคลที่มีความรู้ควมเข้าใจเกี่ยวกับข้อเท็จจริงและสถานการณ์ที่เกี่ยวพัน
• เข้าไปในอสังหาริมทรัพย์หรือสถานประกอบการที่เกี่ยวข้องหรือคาดว่ามีส่วนเกี่ยวข้อง โดยได้รับความยินยอมจากผู้ครอบครองสถานที่

มาตรา 64 ให้ กปช. หรือ กกซ. มีอำนาจออกคำสั่งเท่าที่จำเป็นเพื่อป้องกันการคุกคาทางไซเบอร์ต่อไปนี้

• เฝ้าระวังคอมพิวเตอร์หรือระบบคอมพิวเตอร์ในช่วงระยะเวลาใดเวลาหนึ่ง
• ตรวจสอบคอมพิวเตอร์หรือระบบคอมพิวเตอร์เพื่อหาข้อบกพร่องที่กระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ วิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามไซเบอร์
• ดำเนินมาตรการแก้ไขภัยคุกคามทางไซเบอร์พื่อจัดการข้อบกพร่องหรือกำจัดชุดคำสั่งไม่พึงประสงค์ หรือระงับบรรเทาภัยคุกคามทางไซเบอร์ที่ดำเนินการอยู่
• รักษาสถานะของข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ด้วยวิธีการใดๆ เพื่อดำเนินการทางนิติวิทยาศาสตร์ทางคอมพิวเตอร์
• เข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ที่เกี่ยวข้องเฉพาะเท่าที่จำเป็น เพื่อป้องกันภัยคุกคามทางไซเบอร์ (ต้องยื่นคำร้องต่อศาล)

มาตรา 65 ให้ กปช. หรือ กกซ. มีอำนาจปฏิบัติการหรือสั่งให้พนักงานเจ้าหน้าที่ปฏิบัติการเฉพาะเท่าที่จำเป็นเพื่อป้องกันการคุกคามทางไซเบอร์ในเรื่องต่อไปนี้

• ตรวจสอบสถานที่โดยมีหนังสือแจ้งเหตุอันสมควรไปยังเจ้าของหรือผู้ครอบครองสถานที่
• เข้าถึงข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทำสำเนา สกัดคัดกรองข้อมูลสารสนเทศหรือโปรแกรมคอมพิวเตอร์ซึ่งมีเหตุอันควรเชื่อว่าเกี่ยวข้องหรือได้รับผลกระทบจากภัยคุกคามไซเบอร์
• ทดสอบการทำงานของคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีเหตุอันควรเชื่อได้ว่าเกี่ยวข้อง หรือได้รับผลกระทบจากภัยคุกคามทางไซเบอร์ หรือถูกใช้เพื่อค้นหาข้อมูลใดๆ ที่อยู่ภายใน หรือใช้ประโยชน์จากคอมพิวเตอร์หรือระบบคอมพิวเตอร์นั้น (ต้องมีคำสั่งศาล)
• ยึดหรืออายัตคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรืออุปกรณ์ใดๆ เท่าที่จำเป็น (ต้องมีคำสั่งศาล)

ทั้งนี้ ในกรณีที่เกิดภัยคุกคามทางไซเบอร์ระดับวิกฤติ ให้สภาความมั่นคงแห่งชาติมีอำนาจดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ และในกรณีที่จำเป็นเร่งด่วน และเป็นภัยคุกคามไซเบอร์ระดับวิกฤติ ให้ กปช. ดำเนินการได้ทันทีเท่าที่จำเป็นโดยไม่ต้องยื่นคำร้องต่อศาล หลังจากดำเนินการแล้วจึงค่อยให้ กปช. หรือ กกซ. แจ้งรายละเอียดการดำเนินการต่อศาลที่มีเขตอำนาจทราบโดยเร็ว แต่ไม่ได้มีกรอบกำหนดเวลาเอาไว้ว่าโดยเร็วหมายความว่าภายในกี่วัน

อำนาจในการขอข้อมูลเวลาจริง (Real time data) ย้ายไปอยู่ที่มาตรา 67 โดยในกรณีร้ายแรงหรือวิกฤติ เพื่อประโยชน์ในการป้องกัน ประเมินผล รับมือ ปราบปราม ระงับ ลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ให้เลขาธิการ โดยความเห็นชอบของ กปช. หรือ กกซ. ขอข้อมูลเวลาจริงจากผู้เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ แต่ไม่ได้ระบุว่าต้องมีคำสั่งศาลเพื่อเข้าถึงข้อมูลเวลาจริง