เปิดร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ฉบับเข้า สนช. ที่ไม่ได้รับการเปลี่ยนแปลงสาระสำคัญมาเทียบประเด็นต่อประเด็น หลังกลุ่มสื่อสารเชิงกลยุทธ์ สำนักเลขาธิการนายกรัฐมนตรีเขียนอ้างว่ากฎหมายไซเบอร์ดังกล่าวไม่คุกคามสิทธิประชาชน โต้ 8 ข้อจากไอลอว์ที่กังวลว่ากฎหมายจะเป็นเครื่องมือให้รัฐสอดส่องคน
5 มี.ค. 2562 กลุ่มสื่อสารเชิงกลยุทธ์ สำนักโฆษก สำนักเลขาธิการนายกรัฐมนตรี เขียนข่าวให้ข้อมูลในเว็บไซต์ทำเนียบรัฐบาลเมื่อวานนี้ (4 มี.ค. 2562) กรณีพระราชบัญญัติ (พ.ร.บ.) การรักษาความมั่นคงปลอดภัยไซเบอร์ ที่เพิ่งผ่านการพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) เมื่อวันพฤหัสบดีที่ผ่านมา (28 ก.พ. 2562) ว่าไม่คุกคามสิทธิประชาชน
ข่าวของสำนักโฆษกฯ ระบุว่า ความจริงกฎหมายดังกล่าวจะช่วยสร้างความมั่นคงปลอดภัยในระบบ หรือข้อมูลคอมพิวเตอร์ของประเทศ ไม่เกี่ยวกับการเฝ้าดูข้อมูลของประชาชนทั่วไป ซึ่งต่างจากพ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 ที่มีเป้าหมายเพื่อป้องกัน ควบคุม การกระทำความผิดที่เกิดขึ้นจากการใช้คอมพิวเตอร์
กังวลหรือไม่ เทียบกฎหมายในร่างฯ กับข้อชี้แจงทำเนียบรัฐบาล
แม้ตัวกฎหมายฉบับที่ผ่าน สนช. แล้วจะยังไม่ปรากฏสู่สาธารณะเนื่องจากรอประกาศในราชกิจจานุเบกษา แต่ข้อกังวลบนหน้าอินเทอร์เน็ตที่เป็นกระแสมาตั้งแต่ 28 ก.พ.ที่ผ่านมาแล้วเป็นประเด็นสืบเนื่องจากเนื้อหาในร่างฯ ฉบับที่ผ่านการพิจารณาของคณะกรรมาธิการวิสามัญ (ฉบับที่ สนช. พิจารณาก่อนจะรับรอง) ซึ่งข่าวของทำเนียบรัฐบาลได้แจงข้อกังวลออกมา 8 ข้อ ซึ่งตรงกับประเด็นในอินโฟกราฟิกของโครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน (ไอลอว์) ที่กลายเป็นที่ถกเถียงเป็นวงกว้างในช่วงสัปดาห์ที่แล้ว
อินโฟกราฟิกของไอลอว์ที่เป็นประเด็น (ดูภาพและอ่านเนื้อหาเต็มได้ที่ไอลอว์)
ประชาไทตั้งข้อสังเกตเทียบเนื้อหาทางกฎหมายตามร่างฯ ฉบับเข้า สนช. ซึ่งก็ไม่ได้รับการอภิปรายและเปลี่ยนแปลงเนื้อหาในส่วนที่มีความกังวล เป็นรายข้อ (อยู่ในล้อมกรอบสีม่วงด้านล่าง)
1. นิยามภัยคุกคามไซเบอร์ ตีความได้กว้าง อาจคุกคามต่อสิทธิของประชาชน
คำชี้แจงของสำนักโฆษกฯ : ภัยคุกคามไซเบอร์แบ่งออกเป็น 3 ระดับ คือ ระดับไม่ร้ายแรง ร้ายแรง และวิกฤติ ซึ่งเจตนารมณ์ของกฎหมายเป็นไปเพื่อกำกับดูแลให้หน่วยงานโครงสร้างพื้นฐานที่สำคัญ มีความมั่นคงปลอดภัยจากภัยคุกคามทางไซเบอร์ เช่น มัลแวร์ ไวรัส จึงไม่ไปคุกคามหรือกระทบสิทธิของบุคคล
ข้อสังเกต: แม้มีการระบุถึงเจตนารมณ์กฎหมาย แต่ในส่วนของนิยามภัยคุกคามไซเบอร์ และเหตุการณ์ที่เกี่ยวข้องกับภัยคุกคามไซเบอร์ในมาตราสาม ก็ยังเปิดช่องให้มีการตีความได้กว้างกว่าการกำจัดมัลแวร์ ไวรัส อาจไปถึงพฤติกรรมในทางเนื้อหา เมื่อบวกกับนิยามของภัยคุกคามไซเบอร์ระดับวิกฤติที่ไปคาบเกี่ยวกับประเด็นความมั่นคง
(มาตรา 3) ภัยคุกคามทางไซเบอร์ หมายถึงการกระทำหรือการดำเนินการใดๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหาย หรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์หรือข้อมูลอื่นที่เกี่ยวข้อง
เหตุการณ์เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ หมายถึง เหตุการณ์ที่เกิดจากการกระทำหรือการดำเนินการใดๆ ที่มิชอบ ซึ่งกระทำผ่านทางคอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งอาจเกิดความเสียหายหรือผลกระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์
(มาตรา 59 (3 ค)) ภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐหรืออาจทำให้ประเทศหรือส่วนใดส่วนหนึ่งของประเทศตกอยู่ในภาวะคับขันหรือมีการกระทำความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา การรบหรือการสงคราม ซึ่งจำเป็นต้องมีมาตรการเร่งด่วนเพื่อรักษาไว้ซึ่งการปกครองระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรงเป็นประมุขตามรัฐธรรมนูญแห่งราชอาณาจักรไทย เอกราชและบูรณภาพแห่งอาณาเขต ผลประโยชน์ของชาติ การปฏิบัติตามกฎหมาย ความปลอดภัยของประชาชน การดำรงชีวิตโดยปกติสุขของประชาชน การคุ้มครองสิทธิเสรีภาพ ความสงบเรียบร้อยหรือประโยชน์ส่วนรวม หรือการป้องปัดหรือแก้ไขเยียวยาความเสียหายจากภัยพิบัติสาธารณะอันมีมาอย่างฉุกเฉินและร้ายแรง
2. เจ้าหน้าที่รัฐสามารถขอข้อมูลจากใครก็ได้ เพื่อประโยชน์ในการทํางาน
คำชี้แจงฯ : ไม่จริง เจ้าหน้าที่จะเฝ้าดูการทำงานของระบบไม่ให้ผิดปกติเท่านั้น
ข้อสังเกต: ในมาตรา 60 เมื่อปรากฎแก่ กกม. (คณะกรรมการกำกับดูแลด้านความมั่นคงไซเบอร์ในชื่อ คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์) ว่าเกิด หรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ระดับร้ายแรง กกม. สามารถออกคำสั่งให้สำนักงานดำเนินการรวบรวมข้อมูล ให้ความช่วยเหลือ ป้องกัน แจ้งเตือนและประสานงาน
และในมาตรา 61 ให้ กกม. อำนวยความสะดวกให้สำนักงาน โดยให้เลขาธิการสั่งให้เจ้าหน้าที่ดำเนินการได้ต่อไปนี้
- มีหนังสือขอความร่วมมือจากคนที่เกี่ยวข้องเพื่อมาให้ข้อมูล
- มีหนังสือขอข้อมูล เอกสาร หรือสำเนาข้อมูลในความครอบครองผู้อื่น
- ถามบุคคลผู้มีความรู้ ความเข้าใจสถานการณ์ ข้อเท็จจริง
- เข้าไปในอสังหาริมทรัพย์หรือสถานประกอบการที่เกี่ยวข้อง หรือคาดว่ามีส่วนเกี่ยวข้อง โดยได้รั
- ความยินยอมจากผู้ครอบครองสถานที่นั้น
3. กฎหมายให้อํานาจเจ้าหน้าที่ยึด – ค้น – เจาะ - ทำสําเนา คอมพิวเตอร์ ระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์
คำชี้แจงฯ : เจ้าหน้าที่ต้องขออำนาจจากศาล (ตามมาตรา 65) และใช้อำนาจยึด – ค้น – เจาะ - ทำสําเนา กับอาชญากรที่โจมตีระบบสาธารณูปโภคจนล่ม ไม่เกี่ยวข้องกับประชาชนทั่วไป
ข้อสังเกต: ในมาตรา 65 การยึด อายัดคอมพิวเตอร์ ค้น เจาะ ทำสำเนานั้นต้องผ่านศาล แต่ว่าการเข้าตรวจสอบสถานที่เพื่อป้องกัน รับมือ ลดความเสี่ยงจากภัยคุกคามไซเบอร์ระดับร้ายแรงนั้นไม่ต้องขอศาล เพียงใช้หนังสือแจ้งเหตุอันสมควร และใน (2) และ (3) ที่ให้อำนาจเจ้าหน้าที่รัฐเข้าถึงข้อมูลและทดสอบการทำงานนั้น สามารถทำได้กับทั้งคอมพิวเตอร์ที่เกี่ยวข้อง และ ได้รับผลกระทบ จากภัยไซเบอร์ หากเอกชนหรือประชาชนได้รับผลกระทบแปลว่าย่อมทำได้เมื่อตีความจากอำนาจตามกฎหมาย
4. เมื่อมีภัยคุกคามไซเบอร์ร้ายแรงขึ้นไป เจ้าหน้าที่รัฐสามารถสอดส่องข้อมูลได้แบบ Real-time
คำชี้แจงฯ : เจ้าหน้าที่จะใช้อํานาจตามคําสั่งศาลเฉพาะกับผู้กระทําผิด ถ้ามีการโจมตีระบบคอมพิวเตอร์ ที่ทําให้ระบบล่มเท่านั้น ไม่เกี่ยวข้องกับประชาชนทั่วไป
ข้อสังเกต: ในมาตรา 67 วรรค 2 มีใจความว่า ในกรณีร้ายแรงหรือวิกฤติ คณะกรรมการหรือ กกม. มีอำนาจขอข้อมูลที่เป็นปัจจุบันและต่อเนื่อง จากผู้เกี่ยวข้องกับภัยคุกคามไซเบอร์ โดยผู้นั้นต้องให้ความร่วมมือและให้ความสะดวกแก่คณะกรรมการหรือ กกม. โดยเร็ว เท่ากับว่ามีช่องทางให้ขอข้อมูลแบบเรียลไทม์ ได้ตั้งแต่ในระดับรุนแรงโดยไม่จำเป็นต้องมีการยื่นขอศาล และในส่วนนิยามที่มาตรา 3 ก็ไม่ได้ให้ความหมายคำว่า “ผู้เกี่ยวข้องกับภัยคุกคามไซเบอร์” แต่อย่างใด จึงอาจเป็น หรือไม่เป็นผู้กระทำผิดก็ได้
5. ในกรณีจําเป็นเร่งด่วน เจ้าหน้าที่สามารถใช้อํานาจได้โดยไม่ต้องขอหมายศาล
คำชี้แจงฯ : ภัยคุกคามไซเบอร์ทุกระดับ ต้องขอหมายศาลทุกกรณี ยกเว้นระดับวิกฤติที่กระทบต่อความมั่นคงของประเทศเท่านั้นที่ทำได้ แต่ต้องแจ้งศาลโดยเร็ว
ข้อสังเกต: การแจ้งศาลโดยเร็วไม่มีกรอบกำหนดเวลาชัดเจนว่ากี่วัน (มาตรา 67)
6. การใช้อํานาจยึด ค้น เจาะ หรือขอข้อมูลใดๆ ไม่สามารถอุทธรณ์ เพื่อยับยั้งได้
คำชี้แจงฯ : ไม่จริง ขอศาลยกเลิกได้
ข้อสังเกต: อำนาจการยึด ค้น เจาะ ขอข้อมูล ตามมาตรา 65 เป็นมาตรการรับมือภัยคุกคามไซเบอร์ ระดับร้ายแรง แต่ในมาตรา 68 เขียนว่า ผู้ได้รับคำสั่งการรับมือภัยคุกคามทางไซเบอร์อาจอุทธรณ์คำสั่งได้ในกรณีภัยระดับไม่ร้ายแรงเท่านั้น
7. เมื่อมีภัยคุกคามไซเบอร์ระดับวิกฤติ ให้เป็นอํานาจหน้าที่ของสภาความมั่นคงแห่งชาติ (สมช.)
คำชี้แจงฯ : สภาความมั่นคงแห่งชาติ เข้ามาเพราะเป็นสถานการณ์ฉุกเฉิน หรือเป็นภัยคุกคามไซเบอร์ระดับวิกฤต ที่มีคนล้มตายจํานวนมาก
ข้อสังเกต: ในมาตรา 67 กรณีเกิดภัยคุกคามไซเบอร์ระดับวิกฤตินั้น ให้เป็นหน้าที่และอำนาจของ สมช. แต่นิยามของภัยคุกคามระดับวิกฤตินั้นหมายรวมถึงภัยที่กระทบต่อความมั่นคงของประเทศด้วย ดังที่เขียนไว้ ดังนี้
(มาตรา 59 (3 ค)) ภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐหรืออาจทำให้ประเทศหรือส่วนใดส่วนหนึ่งของประเทศตกอยู่ในภาวะคับขันหรือมีการกระทำความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา การรบหรือการสงคราม ซึ่งจำเป็นต้องมีมาตรการเร่งด่วนเพื่อรักษาไว้ซึ่งการปกครองระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรงเป็นประมุขตามรัฐธรรมนูญแห่งราชอาณาจักรไทย เอกราชและบูรณภาพแห่งอาณาเขต ผลประโยชน์ของชาติ การปฏิบัติตามกฎหมาย ความปลอดภัยของประชาชน การดำรงชีวิตโดยปกติสุขของประชาชน การคุ้มครองสิทธิเสรีภาพ ความสงบเรียบร้อยหรือประโยชน์ส่วนรวม หรือการป้องปัดหรือแก้ไขเยียวยาความเสียหายจากภัยพิบัติสาธารณะอันมีมาอย่างฉุกเฉินและร้ายแรง
8. ผู้ใดฝ่าฝืนและไม่ปฏิบัติตามคําสั่งมีทั้งโทษปรับและโทษจําคุก
คำชี้แจงฯ :โทษจําคุกมีเฉพาะถ้าเจ้าหน้าที่รัฐไปเปิดเผยข้อมูลที่ได้มา ไม่เกี่ยวข้องกับประชาชน
ข้อสังเกต: จริงอยู่ว่ามีบทลงโทษกับเจ้าหน้าที่รัฐที่เปิดเผยข้อมูลที่ได้มา แต่ก็มีบทลงโทษกับคนอื่นด้วย ในมาตรา 73 ว่าด้วยบทลงโทษเขียนว่า ผู้ใดไม่ปฏิบัติตามหนังสือเรียกของพนักงานเจ้าหน้าที่ หรือไม่ส่งข้อมูลให้พนักงานเจ้าหน้าที่ตามมาตรา 61 (1) (2) ตามหน้าที่เรื่องการวิเคราะห์สถานการณ์ ประเมินผลกระทบจากภัยคุกคามไซเบอร์โดยไม่มีเหตุอันสมควรแล้วแต่กรณี ต้องระวางโทษปรับไม่เกินหนึ่งแสนบาท
มาตรา 74 ผู้ที่ฝ่าฝืน ไม่ปฏิบัติตามคำสั่งของ กกม.ตามมาตรา 64 (1) (2) ที่ให้อำนาจเจ้าหน้าที่รัฐออกคำสั่งเพื่อรับมือและบรรเทาความเสียหายจากภัยคุกคามระดับร้ายแรงโดยไม่มีเหตุอันสมควร ต้องระวางโทษปรับไม่เกินสามแสนบาท และปรับอีกไม่เกินวันละหนึ่งหมื่นบาทนับแต่วันที่ครบกำหนดเวลาที่ กกม. ออกคำสั่งให้ปฏิบัติจนกว่าจะปฏิบัติให้ถูกต้อง
ผู้ฝ่าฝืนมาตราเดียวกันใน (3) (4) หรือไม่ปฏิบัติตามคำสั่งศาลมาตรา 64 (5) ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
(มาตรา 64 ให้อำนาจ กกม. ออกคำสั่งต่อไปนี้เพื่อรับมือและบรรเทาควมเสียหายจากภัยคุกคามระดับร้ายแรง)
- เฝ้าระวังคอมพิวเตอร์ หรือระบบคอมพิวเตอร์ในช่วงเวลาใดเวลาหนึ่ง
- ตรวจสอบคอมพิวเตอร์ หรือระบบคอมพิวเตอร์เพื่อหาข้อบกพร่อง
- กำจัดข้อบกพร่อง หรือชุดคำสั่งไม่พึงประสงค์
- รักษาสถานะข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ด้วยวิธีการใดๆ เพื่อดำเนินการทางนิติวิทยาศาสตร์ทางคอมพิวเตอร์
- เข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ที่เกี่ยวข้องเฉพาะเท่าที่จำเป็น
ในร่างฯ ระบุว่า หลังจากผ่าน สนช. แล้ว ร่างฯ กำลังรอลงประกาศในราชกิจจานุเบกษา และจะมีผลบังคับใช้ทันทีหลังจากประกาศในราชกิจจานุเบกษา ส่วนในบทเฉพาะกาล หน่วยงานที่เกี่ยวข้องจะต้องออกระเบียบ ประกาศ กฎกระทรวงภายในให้แล้วเสร็จภายในหนึ่งปี ทั้งนี้ ในเนื้อข่าวของสำนักเลขาฯ นายกฯ ระบุว่า พ.ร.บ.จะมีผลบังคับใช้ภายในหนึ่งปี ในระหว่างนี้จะมีกฎหมายลูกออกมารองรับอีกหลายฉบับ เช่น รายละเอียดเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ มาตรฐานความมั่นคงปลอดภัยไซเบอร์ แนวทางการปฏิบัติขิองหน่วยงานต่าง ๆ แนวทางการรายงานข้อมูล ฯลฯ
ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)