แม้เสียงคัดค้านร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์จะเกิดขึ้นดังมากมาโดยตลอดตั้งแต่ปี 2557 เป็นต้นมา เพราะมีปัญหาเรื่องการให้อำนาจเจ้าหน้าที่รัฐในการเข้าถึงข้อมูลที่กว้างเกินไป และไม่มีกลไกในการอุทธรณ์ตามกฏหมาย
แต่เมื่อวันที่ 28 ธันวาคม 2561 สภานิติบัญญัติแห่งชาติ ก็รับร่างพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์เข้าสู่การพิจารณาแล้ว ตอนนี้สภาจะใช้เวลาอีก 2-3 เดือนที่เหลือก่อนเลือกตั้งปรับแก้กฎหมาย หากพร้อมก็คงได้ประกาศใช้ก่อนเลือกตั้ง
ก่อนหน้านี้ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเคยจัดงานรับฟังความคิดเห็นระหว่างวันที่ 16 พฤศจิกายน – 1 ธันวาคม 2561 ทางเว็บไซต์ ซึ่งมีผู้เข้ามาอ่าน 1,132 ราย และมีการจัดประชุมหารือเพื่อปรับปรุงร่างพ.ร.บ. 4 ครั้ง
โดยร่างที่เข้าสู่การพิจารณาของสนช. ซึ่งคณะรัฐมนตรีเห็นชอบแล้วเปลี่ยนแปลงไปจากร่างพ.ร.บ.ฯ ที่มีการรับฟังความคิดเห็นหลายประเด็นสำคัญ
และนี่คือสรุปประเด็นสำคัญของร่างกฎหมายฉบับล่าสุด ที่สภานิติบัญญัติแห่งชาติกำลังพิจารณา ที่เราจะชวนกันมาค่อยๆ อ่าน ซึ่งร่างกฎหมายฉบับนี้ มีทั้งภาษาและโครงสร้างที่ซับซ้อน หลายจุดยังเปิดช่องให้ต้องรอการตีความ
1. อะไรคือความมั่นคงไซเบอร์ จะรู้ได้ ต้องผ่านด่าน: กปช. – กกช. – กสส. – คกส. เสียก่อน
คำถามที่หลายคนน่าจะกำลังสงสัยอยู่ คืออะไรแปลว่า ความมั่นคงไซเบอร์ และ Cyber Security จะเป็นความหมายเดียวกันกับที่สากลเขาใช้กันไหม
ก่อนจะไปสู่คำตอบนั้นได้ เราต้องผ่านด่านแรกก่อนว่า สาระสำคัญของกฎหมายนี้ มีเพื่อตั้งคณะกรรมการเพื่อให้อำนาจแก่เจ้าหน้าที่ที่เกี่ยวข้อง
ซึ่งร่างพ.ร.บ.ฯ ฉบับนี้ ตั้งคณะกรรมการขึ้นมาจำนวนมากมายหลายชุด ที่ทำให้งุนงงคือ กรรมการที่ทำงานในแต่ละชุด ก็เป็นสมาชิกหน้าเดิมๆ ก็กระจายวนๆ ไปเป็นกรรมการหลายชุด โดยจะมีชุดหลัก ชื่อว่า คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ชื่อย่อ กปช. (ดูรายชื่อทั้งหมดได้ใน Fact Box)
2. ภัยคุกคามไซเบอร์ คือ เอฟเวอรีติง จิงเกอเบล
ร่างกฎหมายนี้มองระดับความรุนแรงของภัยคุกคามไซเบอร์ โดยอ้างอิงกับ ‘โครงสร้างพื้นฐานทางสารสนเทศ’ ทั้งหมด 8 ด้าน ได้แก่
- ความมั่นคงของรัฐ
- บริการภาครัฐ
- การเงินการธนาคาร
- เทคโนโลยีสารสนเทศและโทรคมนาคม
- การขนส่งและโลจิสติกส์
- พลังงานและสาธารณูปโภค
- สาธารณสุข
- ด้านอื่นๆ ตามที่กปช. กำหนด
โดยรวมแล้วก็คือ อะไรที่เข้าข่ายเป็น “สารสนเทศไซเบอร์” ซึ่งหมายถึงข้อมูลและการสื่อสารที่ใช้คอมพิวเตอร์ อินเทอร์เน็ต และโครงข่ายโทรคมนาคม ก็เข้านิยามภายใต้กฎหมายนี้ได้ทั้งนั้น
ทั้งนี้ การรักษาความมั่นคงปลอดภัยไซเบอร์ อธิบายสั้นๆ ไปที่เรื่องการคุ้มครองความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ (มาตรา 3) แต่ไม่นิยามชัดเจนว่าหมายถึงอะไร
ส่วนภัยคุกคามทางไซเบอร์ หมายถึง การกระทำหรือการดำเนินการใดๆ โดยมิชอบ โดยใช้คอมพิวเตอร์ หรือโปรแกรมไม่พึงประสงค์ เพื่อมุ่งจะ ‘ประทุษร้าย’ ต่อระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตราย ‘ที่ใกล้จะถึงที่จะ’ ก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง (มาตรา 3)
3. ภัยซีเรียส 3 ระดับ นิยามไว้กว้างๆ
กปช.และ/หรือ กกช. (จำชื่อเต็มไม่ได้ เลื่อนไปดูใน fact box) จะเป็นผู้กำหนดลักษณะของภัยคุกคามทางไซเบอร์ว่าอยู่ในระดับใด โดยแบ่งออกเป็น 3 ระดับ คือ
1) ภัยคุกคามไซเบอร์ระดับ ‘เฝ้าระวัง’ หมายถึงระดับที่อาจก่อให้เกิดความเสียหาย แต่ยังไม่ก่อให้เกิดผลกระทบต่อบุคคล ทรัพย์สิน หรือข้อมูลที่เกี่ยวข้องสำคัญในระดับร้ายแรง
2) ภัยคุกคามไซเบอร์ในระดับ ‘ร้ายแรง’ หมายถึง ภัยคุกคามที่ก่อให้เกิดความเสี่ยงที่จะทำให้เกิดความเสียหายต่อข้อมูลคอมพิวเตอร์… หรือการให้บริการของโครงสร้างพื้นฐานที่สำคัญทางสารสนเทศ ก่อให้เกิดความเสียหายต่อบุคคล หรือต่อข้อมูลที่เกี่ยวข้องกับระบบคอมพิวเตอร์ที่สำคัญจำนวนมาก
3) ภัยคุกคามระดับ ‘วิกฤต’ เป็นเหตุการณ์ที่ฉุกเฉิน เร่งด่วน ที่ใกล้จะเกิดและส่งผลกระทบต่อโครงสร้างพื้นฐานสำคัญทางสารสนเทศพื้นฐาน ความมั่นคงของรัฐ หรือชีวิตความเป็นอยู่ของประชาชน ตัวอย่างเช่น อาจเป็นผลให้บุคคลจำนวนมากเสียชีวิต ระบบคอมพิวเตอร์จำนวนมากถูกทำลายเป็นวงกว้าง หรือกระทบต่อ ‘ความสงบเรียบร้อยของประชาชนหรือเป็นภัยต่อความมั่นคงของรัฐ’
การแบ่งระดับความรุนแรงนี้ ก็เพื่อนิยามว่า เรื่องนั้นๆ ซีเรียสแค่ไหน ถ้าซีเรียสมากระดับวิกฤต จะมีผลให้เจ้าหน้าที่รัฐมีอำนาจเพิ่มขึ้นด้วย
อย่างไรก็ดี ด้วยลีลาภาษาเขียนลักษณะนี้อาจทำให้การตีความคำว่า “ภัยคุกคามไซเบอร์” ไม่ใช่เรื่องของการคุกคามเข้าใปในระบบคอมพิวเตอร์ แต่เสี่ยงจะถูกเข้าใจผิดว่า เป็นการใช้คอมพิวเตอร์เป็นสื่อกลางไปเขียนเนื้อหาเพื่อทำให้เกิดความเสียหายต่อบุคคลก็ได้
4. อำนาจเจ้าหน้าที่ ในการเข้าถึง ขอทำสำเนาข้อมูล และยึดคอมพิวเตอร์
ถ้าพบว่าจะต้องรับมือกับภัยคุกคามทางไซเบอร์ กฎหมายนี้ให้อำนาจเจ้าหน้าที่สามารถเข้าตรวจสอบทั้งข้อมูลและสถานที่ โดยขอเข้าถึงข้อมูล ทดสอบการทำงานของคอมพิวเตอร์ รวมถึงยึดอายัดคอมพิวเตอร์ได้ โดยต้องยื่นคำร้องต่อศาลเสียก่อน
อย่างไรก็ดี หากเหตุนั้นๆ ถูกนิยามว่าเป็นภาวะจำเป็นเร่งด่วนและเป็นภาวะภัยคุกคามไซเบอร์ในระดับวิกฤติ กฎหมายนี้ให้อำนาจกปช. ทำสิ่งต่างๆ ได้ทันทีโดยไม่ต้องมีหมายศาล และให้ถือเป็นอำนาจของสภาความมั่นคงแห่งชาติ (มาตรา 66 – 67)
5. โทษและข้อยกเว้นของเจ้าพนักงาน
แม้ร่างฉบับนี้มีกลไกกำหนดโทษของพนักงานทีทำผิดด้วย คือหากพนักงานเจ้าหน้าที่และพนักงานสอบสวน เปิดเผย ส่งมอบข้อมูลคอมพิวเตอร์ ที่ได้มาตามกฎหมายนี้ ให้แก่บุคคลใด หรือทำข้อมูลรั่ว จะมีโทษจำคุกสูงสุด 3 ปี ปรับไม่เกิน 60,000 บาท หรือทั้งจำและปรับ
อย่างไรก็ดี ในภาวะที่จำเป็นเร่งด่วนที่เจ้าหน้าที่สามารถลัดคิวดำเนินการกับระบบคอมพิวเตอร์ได้เลยโดยไม่ต้องขอหมายศาล ผู้ที่ได้รับผลกระทบก็ไม่มีสิทธิ์อุทธรณ์คำสั่งด้วย จะอุทธรณ์คำสั่งได้ก็เฉพาะกรณีภัยคุกคามไซเบอร์ในระดับ ‘เฝ้าระวัง’ เท่านั้น
ทั้งนี้หากเป็นไปตามปฏิทินการเมืองที่วิษณุ เครืองาม รองนายกรัฐมนตรี ด้านกฎหมายและกระบวนการยุติธรรมระบุ ร่างพ.ร.บ.ฯ ซึ่งเข้าสู่การพิจารณาของสนช.เมื่อวันที่ 28 ธันวาคม จะมีเวลาพิจารณาจนถึงวันที่ 15 กุมภาพันธ์ ซึ่งจากนั้น สนช.จะหยุดการพิจารณาร่างกฎหมายทั้งหมด แต่หากจำเป็นต้องออกกฎหมายใด รัฐบาลจะใช้อำนาจออกกฎหมายนั้นเป็นพระราชกำหนด (พ.ร.ก.) หรือใช้อำนาจตามมาตรา 44 ให้ออกเป็นคำสั่งคสช.
อ้างอิง:
Fact Box
องค์ประกอบของคณะกรรมการชุดต่างๆ ซึ่งมีหลายชุด และกรรมการก็นั่งเก้าอี้ซ้ำกันหลายคณะ
1. คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.)
หน้าที่: เสนอนโยบายด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ กำกับดูแลการจัดทำแผนปฏิบัติการ แต่งตั้งและถอดถอนเลขาธิการ
กรรมการ:
- รัฐมนตรี 7 กระทรวงคือ กระทรวงกลาโหม ดิจิทัลฯ คมนาคม พลังงาน ต่างประเทศ มหาดไทย ยุติธรรม
- หน่วยงานทหารและตำรวจ 4 คนคือ เลขาธิการกอ.รมน. ผู้บัญชาการตำรวจแห่งชาติ เลขาธิการสภาความมั่นคงแห่งชาติ ผู้อำนวยการสำนักข่าวกรองแห่งชาติ
- ตัวแทนจากอีก 2 หน่วยงานคือ ผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการกสทช.
- คณะกรรมการผู้ทรงคุณวุฒิ ไม่เกิน 7 คน แต่งตั้งโดยคณะรัฐมนตรีจากผู้มีความรู้ความเชี่ยวชาญ มีวาระดำรงตำแหน่ง 3 ปี
2. คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กกช.)
หน้าที่: ติดตามและกำกับดูแลการดำเนินการตามนโยบาย กำหนดระดับของของภัยคุกคามไซเบอร์และวิเคราะห์สถานการณ์เพื่อเสนอต่อกปช.
กรรมการ:
- รองนายกรัฐมนตรีฝ่ายความมั่นคงเป็นประธานกรรมการ
- รัฐมนตรีว่าการกระทรวงกลาโหม
- รัฐมนตรีว่าการกระทรวงดิจิทัลฯ
- ปลัดกระทรวงกลาโหม
- ปลัดกระทรวงดิจิทัลฯ
- ปลัดกระทรวงคมนาคม
- ปลัดกระทรวงพลังงาน
- ปลัดกระทรวงต่างประเทศ
- ปลัดกระทรวงมหาดไทย
- ปลัดกระทรวงยุติธรรม
- ผู้ว่าการธนาคารแห่งประเทศไทย
- เลขาธิการกสทช.
3. คณะกรรมการส่งเสริมการรักษาความมั่นคงปลอดภัยไซเบอร์โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (กสส.)
หน้าที่: รักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ โดยเฉพาะการกำหน้าที่ของผู้ควบคุมหรือดูแลมาตรฐานเพื่อรับมือกับภัยคุกคามทางไซเบอร์
กรรมการ:
- รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธานกรรมการ
- ปลัดกระทรวงการคลัง
- ปลัดกระทรวงดิจิทัลฯ
- ปลัดกระทรวงพาณิชย์
- กรรมการคนในหนึ่งคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติที่คณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติแต่งตั้ง
- ผู้ว่าการธนาคารแห่งประเทศไทย
- เลขาธิการกสทช.
- กรรมการผู้ทรงคุณวุฒิ ไม่เกิน 4 คน
4. คณะกรรมการเฉพาะด้านอื่น ซึ่งแต่งตั้งโดยความเห็นชอบของคณะรัฐมนตรี
5. คณะกรรมการกำกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ (คกส.)
หน้าที่: ดูแลงานด้านกิจการบริหารงานทั่วไปของสำนักงาน
กรรมการ:
- รัฐมนตรีกระทรวงดิจิทัลฯ
- ปลัดกระทรวงดิจิทัลฯ
- อธิบดีกรมบัญชีกลาง
- เลขาธิการก.พ.
- เลขาธิการก.พ.ร.
- กรรมการผู้ทรงคุณวุฒิไม่เกิน 6 คน