ร่าง พ.ร.บ.ความมั่นคงไซเบอร์ รีเทิร์น ตั้งคณะกรรมการขึ้นมา มีอำนาจชอนไชคอมพิวเตอร์ของเรา

ยังจำได้ไหม เมื่อต้นปี 2558 รัฐบาลคสช. พยายามเสนอ ร่างพ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ ซึ่งรวมอยู่ในชุดกฎหมายเศรษฐกิจดิจิทัล 10 ฉบับ โดยผ่านความเห็นชอบจากคณะรัฐมนตรีในวันที่ 16 ธันวาคม 2557 และ 6 มกราคม 2558  แต่มีเสียงคัดค้านจากทั่วสารทิศ ประชาชนลงชื่อคัดค้านร่างพ.ร.บ. ชุดนี้สามแสนกว่าคน ตอนนี้มันกลับมาอีกครั้ง ในช่วงเวลาที่รัฐบาลคสช. เสนอกฎหมายที่สนช. ยกมือให้ผ่านรัวๆ ก่อนที่จะหมดวาระลงก่อนการเลือกตั้งครั้งใหม่

ร่างพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ… ฉบับที่มีการรับฟังความคิดเห็นหลังจากผ่านคณะกรรมการกฤษฎีกามาแล้ว เมื่อวันที่ 11 ตุลาคม เพื่อเตรียมเข้าสู่การพิจารณาสนช. อันเป็นขั้นสุดท้ายก่อนจะประกาศใช้ มีข้อกังวลหลายประเด็น โดยเฉพาะการใช้อำนาจของรัฐในการเข้าถึงข้อมูลที่กว้างเกินไป และไม่มีกลไกในการอุทธรณ์ตามกฏหมาย

อะไรคือความมั่นคงปลอดภัยไซเบอร์

ดูเหมือนจะบอกได้ยากมากว่า ขอบเขตของพ.ร.บ.นี้สิ้นสุดตรงไหน เพราะครอบคลุมการสื่อสารแทบทุกประเภท โดยระบุว่า “ไซเบอร์” หมายถึง “ข้อมูลและการสื่อสารที่เกิดจากการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่ายโทรคมนาคม รวมทั้งการให้บริการโดยปกติของดาวเทียมและระบบเครือข่ายที่คล้ายคลึงกัน ที่เชื่อมต่อกันเป็นการทั่วไป” (มาตรา 3)

ส่วน “การรักษาความมั่นคงปลอดภัยไซเบอร์” เน้นพูดกว้างๆ ว่าคือการคุ้มครองความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ (มาตรา 3) แต่ไม่มีการนิยามชัดเจนว่าหมายถึงอะไร

การรักษาความมั่นคงปลอดภัยไซเบอร์ เน้นพูดกว้างๆ ว่าคือการคุ้มครองความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ

มาตราที่สำคัญมากที่เราต้องช่วยกันคิดต่อคือ อะไรคือความหมายของคำว่า ภัยคุกคามทางไซเบอร์ ตามหลักที่สากลย่อมเข้าใจกัน น่าจะหมายถึงการใช้เทคนิคพิเศษทางเทคโนโลยีเข้าไปสร้างผลกระทบเสียหาย แต่ร่างกฎหมายฉบับนี้เขียนเอาไว้เปิดช่องให้ตีความ โดยบอกว่า…

“ภัยคุกคามทางไซเบอร์ หมายถึงการกระทำหรือเหตุการณ์ที่กระทำด้วยวิธีการทางคอมพิวเตอร์หรือวิธีการทางอิเล็กทรอนิกส์ ที่ทำให้การทำงานของทรัพย์สินสารสนเทศมีความผิดปกติ หรือมีความพยายามเข้าถึงโดยใช้เทคโนโลยี ซึ่งอาจส่งผลกระทบหรือก่อให้เกิดความเสียหายต่อทรัพย์สินสารสนเทศ หรือทำให้ทรัพย์สินสารสนเทศถูกทำลาย”

ที่น่ากังวลคือ หากเนื้อหากฎหมายเขียนเอาไว้แค่นี้ การกระทำอะไร เช่น เล่นอินเทอร์เน็ต ส่งเมสเสจ แชทไลน์กลุ่ม ก็ถูกตีความว่าเป็นภัยคุกคามทางไซเบอร์ได้ทั้งนั้น

นอกจากนี้ ภัยคุกคามร้ายแรงที่ให้อำนาจเลขาธิการปฏิบัติหน้าที่ หมายถึง ภัยคุกคามทางไซเบอร์ที่มีลักษณะก่อให้เกิดความเสี่ยงที่จะทำให้เกิดความเสียหายต่อทรัพย์สินสารสนเทศ โดยเน้นไปที่ภัยคุกคามต่อความมั่นคงของรัฐ การป้องกันประเทศ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชน (มาตรา 56)

คำว่า ‘ภัยคุกคามทางไซเบอร์’ เน้นไปที่ภัยคุกคามต่อความมั่นคงของรัฐ การป้องกันประเทศ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชน

คณะบุคคล 14 คนที่มีอำนาจตามกฎหมาย

ร่างพ.ร.บ.ฯ นี้ให้อำนาจคณะกรรมการ 14 คนเรียกว่า คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (คปช.)  โดย 7 คนแรกประกอบด้วย นายกรัฐมนตรี รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ เลขาธิการสภาความมั่นคงแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย อีก 7 คนมาจากการแต่งตั้งของคณะรัฐมนตรี มีวาระการดำรงตำแหน่งคราวละ 3 ปี

ในจำนวนนี้ จะมีการแต่งตั้งตำแหน่งเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติด้วย

ส่วนบุคคลที่มีหน้าที่ปฏิบัติงานตามกฎหมายมาจากการแต่งตั้งของรัฐมนตรีเรียกว่า “พนักงานเจ้าหน้าที่” โดยไม่มีการระบุว่าต้องมีคุณสมบัติอย่างไร ระบุเพียงว่า “เพื่อปฏิบัติการอย่างหนึ่งอย่างใดตามพระราชบัญญัตินี้” (มาตรา 13)

คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (คปช.)  โดย 7 คนแรก ประกอบด้วย นายกรัฐมนตรี รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ เลขาธิการสภาความมั่นคงแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย และอีก 7 คนมาจากการแต่งตั้งของคณะรัฐมนตรี

อำนาจมหาศาลในมือเลขาธิการ

มาตรา 57 กำหนดว่า เลขาธิการสามารถออกคำสั่งให้บุคคลผู้เป็นเจ้าของ ผู้ครอบครอง หรือผู้ใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งมีเหตุอันควรสงสัยว่าเป็นผู้เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ หรือได้รับผลกระทบจากภัยคุกคามทางไซเบอร์ ต้องดำเนินมาตรการเฝ้าระวัง แก้ไขปัญหา และประเมินผลกระทบจากภัยคุกคาม

ประเด็นที่น่าสนใจก็คือ พนักงานเจ้าหน้าที่ (ซึ่งมาจากการแต่งตั้งของรัฐมนตรีและไม่ได้ระบุคุณสมบัติ) สามารถเข้าถึงคอมพิวเตอร์หรือระบบคอมพิวเตอร์นี้ได้ หรือของบุคคลที่ “มีเหตุอันควรเชื่อได้ว่าเคยใช้หรือเกี่ยวข้องกับคอมพิวเตอร์หรือระบบคอมพิวเตอร์นั้น” โดยอ้างเหตุผลว่า เป็นการตรวจสอบคอมพิวเตอร์เพื่อหาข้อบกพร่อง (มาตรา 57)

มาตรา 58  ให้อำนาจเลขาธิการปฏิบัติการหรือสั่งพนักงานเจ้าหน้าที่ ให้สามารถ “ตรวจสอบสถานที่หรือผู้ครอบครองสถานที่ โดยมีหนังสือแจ้งเหตุเท่านั้น ในกรณีที่ ‘มีเหตุอันควรสงสัย’ ว่าคอมพิวเตอร์หรือระบบคอมพิวเตอร์นั้น ‘เกี่ยวข้อง’ กับภัยคุกคามทางไซเบอร์ หรือได้รับผลกระทบจากภัยคุกคามทางไซเบอร์ สามารถเข้าถึง ทำสำเนา สกัดกรองข้อมูลสารสนเทศ รวมทั้งสามารถยึดคอมพิวเตอร์หรืออุปกรณ์ใดๆ ได้ไม่เกิน 30 วัน หากเกินกว่านั้นต้องให้ศาลแพ่งพิจารณา

พนักงานเจ้าหน้าที่ สามารถเข้าถึงคอมพิวเตอร์ของบุคคล โดยอ้างเหตุผลว่า เป็นการตรวจสอบคอมพิวเตอร์เพื่อหาข้อบกพร่อง

หากไม่ปฏิบัติตามคำสั่งเลขาธิการ ในกรณีที่ไม่เฝ้าระวังและตรวจสอบคอมพิวเตอร์และระบบคอมพิวเตอร์ จะต้องถูกระวางโทษปรับไม่เกิน 300,000 บาท และปรับอีกไม่เกินวันละ 10,000 บาท นับแต่วันที่ครบกำหนดระยะเวลาที่พนักงานเจ้าหน้าที่ออกคำสั่งให้ปฏิบัติ ในกรณีที่ไม่แก้ไขหรือหยุดการใช้งานคอมพิวเตอร์หรือระบบคอมพิวเตอร์ จะต้องระวางโทษจำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน 150,000 บาท (มาตรา 62)

นอกจากนี้ หากขัดขวางหรือไม่ปฏิบัติตามคำสั่งหรือไม่อำนวยความสะดวกแก่เลขาธิการ หรือพนักงานเจ้าหน้าที่ซึ่งปฏิบัติการตามมาตรา 58 ต้องระวางโทษจำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน 150,000 บาท หรือทั้งจำทั้งปรับ

ในบทเฉพาะกาลกำหนดให้ผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ปฏิบัติหน้าที่เลขาธิการตามพระราชบัญญัตินี้เป็นการชั่วคราว จนกว่าจะมีการแต่งตั้งเลขาธิการตามพระราชบัญญัตินี้

กรณีที่ ‘มีเหตุอันควรสงสัย’ ว่าคอมพิวเตอร์หรือระบบคอมพิวเตอร์นั้นเกี่ยวข้องกับภัยคุกคามทางไซเบอร์ หรือได้รับผลกระทบจากภัยคุกคามทางไซเบอร์ สามารถเข้าถึง ทำสำเนา สกัดกรองข้อมูลสารสนเทศ รวมทั้งสามารถยึดคอมพิวเตอร์หรืออุปกรณ์ใดๆ ได้ไม่เกิน 30 วัน

บทลงโทษและการรับผิดทางกฎหมายของเจ้าหน้าที่

ไม่ชัดเจนว่าจะมีการดำเนินการอย่างไร ในกรณีที่เจ้าหน้าที่ตามกฎหมายนี้ปฏิบัติหน้าที่โดยมิชอบหรือทุจริต เนื่องจากร่างพ.ร.บ. กำหนดให้สำนักงาน กปช. มีฐานะเป็นนิติบุคคล ไม่เป็นส่วนราชการและรัฐวิสาหกิจ (มาตรา 14) ทำให้เกิดความกังวลทันทีว่า ประชาชนหรือใครก็ตามจะมีสิทธิฟ้องเจ้าหน้าที่ในข้อหาละเว้นการปฏิบัติหน้าที่โดยมิชอบหรือทุจริต (มาตรา 157 ตามประมวลกฎหมายอาญา) ได้อย่างไร

อ่านร่างพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. ฉบับล่าสุดที่นำออกประชาพิจารณ์  http://www.lawamendment.go.th/index.php/component/k2/item/1306-2018-09-27-07-35-21