"ซิงเกิลเกตเวย์ที่พูดกัน ก็ตัวนี้นี่แหละ" อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ตสรุป

ถ้ายังจำกันได้เมื่อปลายปีที่ผ่านมา มีการพูดถึง "ข้อสั่งการนายกรัฐมนตรี" ให้กระทรวงไอซีทีทำ "ซิงเกิลเกตเวย์" เพื่อใช้เป็นเครื่องมือควบคุมเว็บไซต์ที่ไม่เหมาะสมและการไหลเข้าของข้อมูลข่าวสารจากต่างประเทศผ่านทางระบบอินเทอร์เน็ต ซึ่งก่อให้ผู้ใช้งานอินเทอร์เน็ตในไทยเกิดความกังวลว่าการสื่อสารในช่องทางนี้จะไม่ปลอดภัยอีกต่อไปจนเกิดการล่ารายชื่อคัดค้านผ่าน change.org และปรากฏการณ์ F5 ก่อนที่เรื่องนี้จะค่อยๆ เงียบไปและเราก็ไม่ได้ยินคำๆ นี้อีก

แต่หลังเครือข่ายพลเมืองเน็ต [1]พบเอกสารแก้ไข พ.ร.บ.คอมพิวเตอร์ ซึ่งกำลังมีการตั้งคณะกรรมาธิการวิสามัญพิจารณาในเวลา 60 วัน หลัง สนช.รับหลักการไปเมื่อ 28 เม.ย. คำๆ นี้ก็กลับมา

โดยในร่างแก้ไข มาตรา 20 ซึ่งให้อำนาจพนักงานเจ้าหน้าที่ขออำนาจศาลสั่งบล็อคเว็บได้ ระบุว่า "รัฐมนตรีอาจประกาศกำหนดหลักเกณฑ์ ระยะเวลา และแนวทางการปฏิบัติสำหรับการระงับการทำให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ของผู้ให้บริการให้เป็นไปในแนวทางเดียวกันภายใต้พัฒนาการทางเทคโนโลยีที่เปลี่ยนไป" (ดูเอกสารด้านล่าง)

ในคำอธิบายถึงเหตุผลของการแก้ไขระบุว่า แม้ว่าศาลจะสั่งให้บล็อคเว็บได้ แต่ในทางปฏิบัติ จะต้องมีเครื่องมือและอุปกรณ์ต่างๆ ทั้งด้านฮาร์ดแวร์และซอฟท์แวร์ ตลอดจนขั้นตอนและแนวทางการปฏิบัติที่ชัดเจน เพื่อให้คำสั่งศาลสัมฤทธิ์ผล โดยมีการยกตัวอย่าง ข้อมูลคอมพิวเตอร์ที่เข้ารหัสด้วยเทคโนโลยี SSL (Secure Sockets Layer) ซึ่งถูกสร้างขึ้นเพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ต ที่มีการเข้ารหัสแบบ Public-key encryption ว่าจำต้องมีวิธีการและเครื่องมือพิเศษในการดำเนินการจึงจะกระทำได้สำเร็จ

ปัจจุบัน เว็บไซต์ใหญ่ๆ เช่น กูเกิล เฟซบุ๊ก ใช้การเข้ารหัสข้อมูลโดยใบรับรองความปลอดภัย
สังเกตได้จากยูอาร์แอลที่ขึ้นต้นด้วย https และมีสัญลักษณ์รูปแม่กุญแจสีเขียวหน้ายูอาร์แอล 

ประกอบกับมาตรา 15 พ.ร.บ.คอมพิวเตอร์ ซึ่งเดิมกำหนดโทษสำหรับผู้ให้บริการที่จงใจ สนับสนุน หรือยินยอมให้มีการกระทำความผิดตามมาตรา 14 มีโทษเท่ากับผู้ที่กระทำผิดนั้น ในร่าง พ.ร.บ.ใหม่ มีการแก้ไขเพิ่มเติม ให้รัฐมนตรีออกประกาศกำหนดขั้นตอนการแจ้งเตือน การระงับการทำให้แพร่หลายของข้อมูลคอมพิวเตอร์ และการนำข้อมูลคอมพิวเตอร์นั้นออกจากระบบคอมพิวเตอร์ หากผู้ให้บริการได้ปฏิบัติตามประกาศของรัฐมนตรีแล้ว จะไม่ต้องรับโทษ

อาทิตย์ชี้ว่า เอกสารนั้นเขียนเพิ่มเติมว่า ตอนนี้มีเว็บจำนวนมากที่ปิดไม่ได้ เพราะเข้ารหัส จะหาวิธีพิเศษที่จะช่วยให้ปิดกั้นได้ เท่าที่เข้าใจการใช้สิ่งเหล่านี้จำเป็นต้องให้ไอเอสพีให้ความร่วมมือบางอย่างเพื่อใช้อุปกรณ์ได้

"ตีความว่าถ้ารัฐขอความร่วมมือปิดกั้น ก็เท่ากับต้องถอดรหัส ถ้าไอเอสพีไม่ให้ความร่วมมือก็จะมีความผิด เท่ากับไอเอสพีต้องช่วยถอดรหัส" อาทิตย์บอก

การถอดรหัสนั้น ทำได้เช่น ในระดับผู้ให้บริการอย่างเว็บขายของที่เข้ารหัสอยู่ เนื่องจากเป็นเว็บของตัวเอง เข้าเอง ก็ถอดรหัสเองได้ ในระดับเอไอเอส หรือทรู ยังไม่แน่ใจว่าเขาจะจัดการอย่างไร อาจใช้วิธี Man-in-the-middle attack ให้ไอเอสพีออกใบรับรองปลอม เช่น มีเซิร์ฟเวอร์เฟซบุ๊กปลอม ใครก็ตามจะเข้าเฟซบุ๊ก เมื่อเรียกข้อมูลไปที่เฟซบุ๊ก ก็จะถูกเปลี่ยนทางไปที่เซิร์ฟเวอร์เฟซบุ๊กปลอม เพื่อความเนียนก็จะต้องสร้างใบรับรองปลอมขึ้นมาด้วย ซึ่งต้องทำที่ระดับเกตเวย์จึงจะทำได้

นั่นคือข้อมูลของผู้ใช้ทั่วไปจะถูกดูได้หมด

สอดคล้องกับคำสั่งกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ที่ 163/2557 เรื่อง แต่งตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์ ที่ระบุว่า มีอุปสรรคในการตรวจสอบและปิดกั้นเว็บไซต์ที่มีการเข้ารหัสป้องกันข้อมูล (SSL: Secure Socket Layer) จึงเห็นควรให้มีการจัดหาและทดสอบประสิทธิภาพของอุปกรณ์ระบบเฝ้าติดตามสื่อออนไลน์เพื่อสนับสนุนการปฏิบัติงานของคณะทำงานด้านสื่อออนไลน์ให้เป็นไปด้วยความเรียบร้อยและมีประสิทธิภาพ

"ก่อนหน้านี้เป็นการตั้งคณะกรรมการเพื่อทดสอบ" อาทิตย์บอกและว่า คราวนี้เป็นการให้อำนาจตามกฎหมายที่จะใช้จริง

ที่มา: ร่าง พ.ร.บ.คอมพิวเตอร์  [3]