Posted: 22 Nov 2017 09:38 AM PST  (อ้างอิงจากอีเมล์ข่าว เว็บไซต์ประชาไท)

จุดประเด็น รัฐเข้าถึงข้อมูลส่วนบุคคลได้มากขนาดไหนเพื่อผลประโยชน์สาธารณะและชาติ คำตอบอยู่ในคำถามว่าสิทธิส่วนบุคคลสำคัญแค่ไหนในกระบวนการกฎหมาย ต้องหาจุดสมดุลระหว่างการเข้าถึงข้อมูลกับความสาหัสของภัยคุกคาม ควรมีเงื่อนไขจำกัดการใช้ข้อมูลและโปร่งใสให้เจ้าของข้อมูลติดตาม แสดงความยินยอมและเพิกถอนสิทธิการเข้าถึงได้


(ซ้ายไปขวา): ลาสส์ ชุลท์ ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล เซียวฮงโก๊ะ

เมื่อ 22 พ.ย. 60 คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์จัดซีรีส์เสวนาเรื่อง “ความปลอดภัยไซเบอร์และความเป็นส่วนตัวของพลเมืองในไทย” ที่คณะนิติศาสตร์ มธ. มีลาสส์ ชุลท์ ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์คณะนิติศาสตร์ มธ. และเซียวฮงโก๊ะ ผู้อำนวยการด้านนโยบายระดับโลกของบริษัทซิสโก บริษัทด้านไอทีและระบบเครือข่ายทั่วโลก

oooooooooo

ลาสส์ กล่าวว่า ต่อคำถามที่ว่ารัฐสามารถเข้าถึงข้อมูลของบุคคลได้มากและลึกขนาดไหนเพื่อที่จะป้องกันภัยคุกคามและใช้สืบสวนอาชญากรรม ซึ่งสุดท้ายคำตอบอยู่ในคำถามที่ว่า แล้วสิทธิและความเป็นส่วนตัวมีบทบาทในระบบกฎหมายมากน้อยขนาดไหน ส่วนตัวมาจากเยอรมนีซึ่งเป็นสมาชิกของสหภาพยุโรป (อียู) เป็นที่ๆ ความเป็นส่วนตัวถูกให้ความสำคัญมากซึ่งจุดนี้นำไปสู่การออกแบบกฎหมายที่เกี่ยวข้องอื่นๆ แต่ถ้าภายใต้บริบทหนึ่งซึ่งความเป็นส่วนตัวไม่ถูกศาลคำนึงถึงก็จะมีผลลัพธ์แตกต่างออกไป

อาจารย์ชาวเยอรมนีกล่าวถึง ร่างพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ว่า เป็นการเชื่อมโยงความปลอดภัยไซเบอร์เข้ากับความมั่นคงของชาติ ลักษณะของกฎหมายเป็นรูปแบบของการป้องกันไม่ให้เกิด ในขณะที่ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์เป็นกลไกที่ถูกใช้หลังเกิดอาชญากรรมแล้ว

ลาสส์ระบุว่าการหาสมดุลระหว่างผลประโยชน์สาธารณะกับการเข้าถึงสิทธิส่วนบุคคลต้องมีสัดส่วนที่เหมาะสม สิ่งที่จำเป็นไม่ใช่มุมมองของรัฐบาลที่บอกว่าต้องปกป้องผลประโยชน์สาธารณะด้วยทุกสิ่งที่มี แต่เรากำลังพูดจากมุมมองของปัจเจกที่เห็นว่าควรมีหนทางรักษาผลประโยชน์สาธารณะให้ได้ในขณะที่ไม่ได้ควบคุมความเป็นส่วนตัวมากจนเกินไป

กฎหมายต้องอธิบายเป้าหมายตัวเองให้ชัดเจน เพื่อให้พวกเราดำเนินกระบวนการอื่นๆ ไปให้สอดคล้องวัตถุประสงค์ของกฎหมาย อีกประการหนึ่งคือ มีวิธีไหนที่ใช้งานได้ดีกว่ามาตรการที่ใช้หรือไม่ เช่นการเก็บข้อมูลทุกอย่างเอาไว้ 90 วันตามที่บัญญัติไว้ใน พ.ร.บ. คอมพิวเตอร์ เป็นอะไรที่ร้ายแรงเพราะไม่ใช่การหาข้อมูลจากผู้ต้องสงสัยแต่เป็นการเก็บข้อมูลของทุกคน


“มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็น พนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินสองปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้”

แล้วจะมีวิธีการอื่นมากไปกว่าที่ใช้อยู่ในปัจจุบันหรือไม่ แล้วถ้าวิธีการดังกล่าวมีราคาแพงต้องดูว่ามันได้สัดส่วนที่จะเปลี่ยนแปลงหรือเปล่า ถ้าแพงจนรับไม่ได้ก็ควรต้องมาคิด แต่ถ้าราคาแพงจะทำให้การปกป้องความเป็นส่วนตัวและสิทธิของประชาชนมันก็เป็นสิ่งที่จำเป็น

คำถามต่อมาของลาสส์คือ จำเป็นต้องมีข้อมูลมากเท่าไหร่ และข้อมูลไหนที่จำเป็นต้องมี อาจมีแค่ข้อมูลการจราจรของข้อมูล (ทราฟฟิค) หรือจะลงลึกจนถึงเนื้อหาต่างๆ ที่คนเผยแพร่หรือไม่ ขอบเขตความจำเป็นมีผลกับระดับความเป็นส่วนตัวของประชาชน นอกจากนั้น และใครที่สามารถเข้าถึงข้อมูลเช่นว่าได้ จำเป็นต้องมีการจำกัดการเข้าถึง ไม่ใช่ว่าให้ข้อมูลไปให้รัฐบาลแล้วรัฐบาลจะส่งเวียนข้อมูลไปให้ใครก็ได้ ต้องมีการจำกัดขอบเขตด้วยว่าข้อมูลจะถูกใช้ในเรื่องไหน แล้วเรื่องหนึ่งๆ ใครจะเป็นคนเข้าถึงข้อมูลนั้นได้บ้าง

นอกจากนั้นเราควรมีกระบวนการบรรเทาและปกป้องบุคคลต่อผลกระทบการถูกเข้าถึงข้อมูลส่วนบุคคล กระบวนการนั้นอาจเป็นคำสั่งจากศาล หรือมีข้อบังคับให้คนต้องยินยอมว่าจะถูกเก็บข้อมูล ซึ่งมีความสำคัญเพราะเป็นการแจ้งเตือนให้คนทราบด้วยว่าจะมีการเก็บข้อมูล ไม่เช่นนั้นอาจมีปัญหาเวลาเดือดร้อนอันเป็นผลจากการถูกเก็บข้อมูล หรือข้อบังคับว่าข้อมูลต้องถูกลบหลังใช้งานเสร็จแล้ว คำถามที่ว่าข้อมูลจะถูกเก็บไว้ได้นานเท่าไหร่ และสิทธิต่อข้อมูลที่ถูกเก็บไป

ลาสส์ยังระบุว่า จุดสมดุลระหว่างผลประโยชน์สาธารณะกับสิทธิส่วนบุคคลนั้นอาจถูกพิจารณาจากความสาหัสและความจวนตัวของภัยคุกคาม ถ้าภัยคุกคามจวนตัวและรัฐบาลต้องการปกป้องความมั่นคงของรัฐ หรือต้องการสืบสวนคดีร้ายแรง คำสั่งจากรัฐบาลอาจบุกรุกความเป็นส่วนตัวของประชาชนมากกว่าภัยคุกคามที่ไกลตัวและอาชญากรรมขนาดเล็ก ทั้งนี้ทั้งหมดจำเป็นที่จะต้องวิเคราะห์ถึงความจำเป็นในการเข้าถึงข้อมูลส่วนบุคคลว่าสมควรแก่เหตุจริงหรือไม่ และยกตัวอย่างกรณีของอียูว่า ในอียูนั้นการเก็บข้อมูลของผู้ใช้บริการทุกคนเอาไว้แทบจะทำไม่ได้ ยกเว้นไว้แต่การสืบสวนคดีที่ร้ายแรงมาก ในกรณีเยอรมนีนั้นเจ้าหน้าที่ไม่สามารถยึดไดอารี่ของประชาชนด้วยซ้ำ เนื่องจากถือว่าเป็นพื้นที่ส่วนตัวที่ใครก็ไม่สามารถเข้าไปล่วงรู้ได้ไม่ว่าในกรณีใดๆ (Intimate Sphere)

oooooooooo

ฐิติรัตน์ กล่าวว่า หากพูดถึงเศรษฐกิจดิจิตัล หรือประเทศไทย 4.0 พื้นฐานที่ต้องมีคือการไหลของข้อมูลอย่างอิสระ เพราะมีผลกับการแข่งขันของภาคเอกชน เป็นผลดีกับประชาชนในการเข้าถึงข้อมูลและเป็นประโยชน์ต่อการจัดการและใช้ข้อมูล แต่ในทางกลับกันเสรีข้อมูลก็มีความเสี่ยงตรงที่อาจจะมีความเสี่ยงที่จะเจอการจู่โจมตามเครือข่ายไซเบอร์และอุปกรณ์ที่เชื่อมโยงและเก็บข้อมูลของผู้ใช้ และอาจพบปัญหาที่จะทำให้คนอื่นเข้าใจเรื่องภัยคุกคามไซเบอร์ยากเพราะว่าเป็นภัยที่มองเห็นยาก

อาจารย์จากคณะนิติศาสตร์ มธ. ระบุว่าสิ่งสำคัญเมื่อพูดถึงเรื่องความปลอดภัยไซเบอร์คือการคุ้มครองความเป็นส่วนตัวของบุคคลซึ่งมิตินี้บางครั้งถูกมองข้ามไปในบริบทของประเทศไทยและประเทศในเอเชียแม้จะถูกบัญญัติเอาไว้ในคำประกาศสิทธิมนุษยชนสากลก็ตาม อย่างไรก็ตาม ความเป็นส่วนตัวของข้อมูลอาจจำเป็นต้องยินยอมให้รัฐเข้าถึงได้ เช่น การให้เข้าถึงบันทึกข้อมูลสุขภาพเพื่อนำไปใช้กับการวิจัยทางการแพทย์หรือการให้รัฐเข้าถึงข้อมูลเพื่อป้องกันการก่อการร้าย แต่อย่างไรก็ตามการใช้งานข้อมูลควรจำกัดเอาไว้ว่าจะใช้กับอะไร ไม่ใช่ได้ข้อมูลมาแล้วจะทำอะไรก็ได้

ความกังวลด้านความเป็นส่วนตัวเมื่อมีการบังคับใช้กฎหมายไซเบอร์มีอยู่ 4 ประการ หนึ่ง กระบวนการจัดเก็บข้อมูลซึ่งมีข้อกังวลว่าบุคคลควรได้รับการแจ้งเตือนและต้องยินยอมเสียก่อน และบุคคลควรมีสิทธิปฏิเสธไม่ให้ข้อมูลได้ สอง กระบวนการใช้และประมวลผลข้อมูลว่าควรจะจำกัดขอบเขตการใช้ข้อมูลว่าจะใช้ทำอะไรบ้าง สาม การแชร์ข้อมูล ควรจำกัดว่าข้อมูลสามารถถูกแชร์ให้ใครได้บ้าง สี่ ความปลอดภัยในการจัดเก็บข้อมูลที่มีข้อกังวลเรื่องความโปร่งใส บุคคลควรมีสิทธิในการเข้าถึงว่าบริษัทเอกชนและรัฐบาลเอาข้อมูลของพวกเขาไปทำอะไรบ้าง

ผู้ใช้บริการอาจเจอปัญหาด้านนโยบายความเป็นส่วนตัวจากบริษัทเอกชนผู้ให้บริการ สิ่งนี้เรียกว่าความย้อนแย้งด้านความโปร่งใส (Transparency Paradox) ทุกวันนี้มีใครที่อ่านข้อตกลงการให้บริการก่อนที่จะใช้งานแอพพลิเคชั่นบ้าง บริษัทเอกชนสามารถเข้าถึงข้อมูลของเราผ่านการคลิกตกลงเงื่อนไขการให้บริการแม้จะไม่ได้อ่าน เขาเพียงแค่ต้องการความยินยอมเท่านั้น ส่วนนี้จึงเป็นทางสองแพร่งของความยินยอมที่มีปัญหาว่า เราควรทำให้กระบวนการรับรู้และสร้างความยินยอมควรเป็นอะไรที่เข้าใจได้ง่าย (comprehensible) ย่อเงื่อนไขให้คนอ่านง่าย แต่ก็มีความเสี่ยงที่จะสูญเสียใจความสำคัญของเงื่อนไขไป หรือจะทำให้การให้ความยินยอมนั้นมีลักษณะครอบคลุม (Comprehensive)

ฐิติรัตน์ตั้งคำถามว่า แล้วไทยควรจะเปลี่ยนจากการควบคุมสิทธิส่วนบุคคลตัวเองเป็นแบบรวมศูนย์ คือให้รัฐบาลออกแบบเองไหมซึ่งเธอเห็นว่าไม่ควร เพราะเราควรมีสิทธิ์ในการตัดสินใจเอง แต่ละคนมีทัศนคติ ไลฟ์สไตล์ไม่เหมือนกัน แต่ในขณะเดียวกันสังคมควรหาบรรทัดฐานร่วมกันในบางประเด็น เช่น ความเป็นส่วนตัวของเด็กและเยาวชน ทั้งนี้ระบบการสั่งการจากรัฐบาลอาจไม่ใช่การสั่งให้ทำเพียงอย่างเดียว อาจออกแบบให้เป็นการทำให้คนคิดถึงเรื่องความเป็นส่วนตัวกันเองว่าอะไรคือทางออกที่ดีที่สุดก็ได้

oooooooooo

เซียวฮงโก๊ะให้คำจำกัดความคำที่คนมักใช้สลับและผสมกันไปมาคือคำว่าความปลอดภัยไซเบอร์ (Cyber Security) อาชญากรรมไซเบอร์ (Cyber Crime) ความเป็นส่วนตัว (Privacy) และเนื้อหา (Content)

ความปลอดภัยไซเบอร์คือกิจกรรมที่ทำเพื่อป้องกันตัวเองจากการจู่โจมทางไซเบอร์ โดยจุดมุ่งหมายหลักคือการป้องกันและหยุดยั้งการจู่โจม ส่วนอาชญากรรมไซเบอร์นั้นหมายถึงการตามหาตัวผู้ก่อเหตุ บริษัทรักษาความปลอดภัยไซเบอร์ไม่ได้มีจุดมุ่งหมายดังกล่าวเพราะหน้าที่ตนคือรับผิดชอบด้านความปลอดภัยไซเบอร์ เจ้าหน้าที่ตำรวจจะเป็นผู้รับผิดชอบส่วนของอาชญากรรม คำว่าความเป็นส่วนตัวหมายถึงข้อมูลส่วนบุคคลและการปกป้องข้อมูลดังกล่าว คำนี้สามารถเชื่อมโยงกับความปลอดภัยไซเบอร์และอาชญากรรมไซเบอร์ได้หากมีการเจาะและถึงข้อมูลดังกล่าว ส่วนคำว่าเนื้อหานั้นคือข้อมูลต่างๆ ที่อยู่บนอินเทอร์เน็ต หมายรวมถึงข้อมูลทั้งที่เป็นเท็จและเป็นจริง

ปัญหาใหญ่ที่สุดคือ เราจะรู้ได้อย่างไรว่าเราถูกเจาะ เพราะว่าสิ่งแวดล้อมและรูปแบบภัยคุกคามทางไซเบอร์ในวันนี้แตกต่างจากอดีตอย่างมาก และระบบปฏิบัติการป้องกันแบบเดิมๆ ไม่สามารถรับมือกับภัยใหม่ได้ การทำงานของระบบป้องกันมีลักษณะเหมือนกับเกมตีตัวตุ่น (Whack a mole) ที่ต่อให้ตีเก่งแค่ไหนก็ยังต้องพลาดอย่างน้อยหนึ่งถึงสองตัว ในการจู่โจมไซเบอร์ก็เป็นลักษณะเดียวกัน ผู้จู่โจมจะใช้จำนวนเข้าสู้และต้องการให้หลุดเข้าไปเจาะได้แค่ตัวเดียวก็พอ ในขณะที่ฝ่ายป้องกันนั้นต้องป้องกันให้ได้ทั้งหมด

องค์กรต่างๆ มีความลำบากในการบริหารเช่นกันเพราะพวกเขาใช้หลายซอฟต์แวร์ในการป้องกันการโจมตีไซเบอร์ แต่ซอฟต์แวร์ต่างๆ ไม่มีระบบสื่อสาร ประสานงานกัน ตอนนี้จึงมีการพูดถึงการสร้างซอฟต์แวร์ที่มีศักยภาพในการสื่อสารระหว่างซอฟต์แวร์ที่ต่างกัน รวมถึงการรับมือการโจมตีด้วยการมีระบบป้องกันหลายชั้นมากขึ้น ทั้งนี้บริษัทเอกชนควรจะมีบุคคลที่มีความรู้ความชำนาญในการใช้งานระบบป้องกันความปลอดภัย เพราะการมีแค่ซอฟต์แวร์อย่างเดียวแต่ไม่สามารถใช้งานได้เต็มที่และถูกต้องก็เหมือนไม่มี ทั้งนี้บุคลากรระดับผู้บริหารควรตระหนักถึงปัญหาเรื่องความปลอดภัยไซเบอร์ด้วย

ผู้อำนวยการด้านนโยบายระดับโลกของบริษัทรักษาความปลอดภัยไซเบอร์ชั้นนำของโลกระบุถึงปัญหาของการบังคับใช้กฎหมายด้านอาชญากรรมไซเบอร์และการจู่โจมไซเบอร์ว่ามีปัญหาตรงที่กฎหมายสามารถใช้ได้ต่อเมื่อปัญหาเกิดขึ้นแล้ว ตำรวจสามารถออกปฏิบัติการได้ต่อเมื่อมีอาชญากรรมเกิดขึ้น จึงควรมีมาตรการที่เอาไว้ใช้ป้องกันไม่ให้เกิดขึ้นด้วย กฎหมายควรมีความยืดหยุ่น ไม่ตึงเกินไปเพราะจะเป็นการยับยั้งการเกิดนวัตกรรม และไม่หย่อนเกินไปจนใครจะทำอะไรก็ได้ทุกอย่าง การควบคุมไม่ควรจะไปฉุดรั้งการพัฒนาองค์ความรู้

แสดงความคิดเห็น

ขับเคลื่อนโดย Blogger.