Posted: 23 Mar 2018 06:34 AM PDT (อ้างอิงจากอีเมล์ข่าว เว็บไซต์ประชาไท)
นัชชา ตันติวิทยาพิทักษ์
ผู้ประสานงานเครือข่ายพลเมืองเน็ต ชำแหละ ร่าง พ.ร.บ.ความมั่นคงไซเบอร์ ฉ.ล่าสุด ชี้นิยาม ‘ไซเบอร์’ กว้าง เสี่ยงความผิดเนื้อหากระทบความมั่นคง โครงสร้างบอร์ดอำนาจนำอยู่ที่ฝ่ายความมั่นคง ขณะที่การขอข้อมูลหากเอกชนไม่ยินยอมอาจมีโทษ แต่ขอข้อมูลรัฐไม่ต้องใช้คำสั่งศาล
“ความมั่นคงไซเบอร์เป็นความมั่นคงของระบบโครงสร้างพื้นฐานทั่วไป ไม่ว่าจะเป็นเรื่องการเงิน เศรษฐกิจ สังคม กิจวัตรประจำวัน รวมถึงเรื่องการทหาร แต่สำหรับร่าง พ.ร.บ. ฉบับนี้ พอดูวิธีการเขียนโครงสร้างอำนาจ คณะกรรมการ เรื่องการถ่วงดุลตรวจสอบอำนาจ เหมือนถอยหลังไปเป็นยุคที่ทหารนำ มันคือการใช้มุมมองความมั่นคงทางการทหาร เรื่องการป้องกันประเทศเป็นหลัก ไม่มองมิติอื่น”
คือบทสรุปส่วนหนึ่งจากการวิเคราะห์ของ อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต เกี่ยวกับร่าง พ.ร.บ. ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ฉบับล่าสุด ซึ่งอยู่ในช่วงรับฟังความคิดเห็น และกำลังจะหมดช่วงรับฟังความคิดเห็นในวันที่ 25 มี.ค. นี้
ประชาไท ชวนอ่านการวิเคราะห์ร่าง พ.ร.บ. ฉบับนี้ ทั้งนิยามคำว่า “ไซเบอร์” ที่กินความหมายกว้างไปจนถึงตัวเนื้อหาข้อมูล จึงเสี่ยงความผิดเนื้อหากระทบความมั่นคง โครงสร้างคณะกรรมการที่ดูเหมือนอำนาจนำจะอยู่ที่ฝ่ายความมั่นคง ทหารได้ฟาสต์แทร็คขณะที่พลเรือนต้องตรงตามหลักเกณฑ์ถึงได้เป็นเจ้าหน้าที่ รวมถึงการขอข้อมูลที่หากเอกชนไม่ยินยอมอาจมีบทลงโทษตามมา
นิยาม ‘ไซเบอร์’ กว้าง เสี่ยงความผิดเนื้อหากระทบความมั่นคง
อาทิตย์ กล่าวถึงมาตรา 3 เกี่ยวกับคำนิยามคำว่า “ไซเบอร์” ซึ่งในร่าง พ.ร.บ.ฉบับนี้ ให้ความหมายว่า “กิจกรรมที่เกี่ยวข้องกับเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ การสื่อสารข้อมูลคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์”
“ซึ่งมันกว้างมาก มันคืออะไรก็ได้ มันรวมไปถึงเนื้อหาที่คนอ่านด้วย ไม่ใช่แค่ตัวระบบ ซึ่งการเขียนแบบนี้เหมือนกับ พ.ร.บ.คอมพิวเตอร์ โดยหลักเราบอกว่า พ.ร.บ.คอมพิวเตอร์ ถูกออกแบบมาเกี่ยวกับอาชญากรรมทางคอมพิวเตอร์ การไปโจมตีระบบ แต่ในมาตรา 14 ของ พ.ร.บ.คอมพิวเตอร์ รวมไปถึงข้อความ รูปภาพ ข้อมูลต่างๆ ที่มนุษย์อ่านด้วย ไม่ใช่แค่คอมพิวเตอร์อ่าน ดังนั้นมันจึงรวมไปถึงเรื่องหมิ่นประมาท ข้อมูลเท็จ แม้ในฉบับล่าสุดจะตัดเรื่องหมิ่นประมาทออกแล้ว แต่ก็ยังคงเรื่องข้อมูลเท็จไว้ แล้วภาษาแบบนี้ก็กลับมาปรากฎใน พ.ร.บ.ไซเบอร์ คำว่า “ข้อมูลคอมพิวเตอร์” แปลว่าถ้ามีคลิปหรือรูปภาพหรือข้อความใดๆ เผยแพร่เป็นจำนวนมากในอินเทอร์เน็ต คณะกรรมการชุดนี้ก็อาจจะบอกว่าเป็นภัยความมั่นคงไซเบอร์ด้วยรึเปล่า แล้วก็อาจจะไปสั่ง ISP (Internet Service Provider: หน่วยงานที่ให้บริการเครือข่ายอินเทอร์เน็ต) ทุกที่ว่าต้องหาทางกำจัดข้อมูลนี้ออกไปจากระบบ”
อาทิตย์ ชี้ว่า นี่ไม่ใช่การตีความไปเองเสียทีเดียว ถ้าดูรายงานของคณะกรรมาธิการทหารเมื่อปี 2555 มีรายงานศึกษาของคณะกรรมาธิการทหารวุฒิสภา พูดถึงภัยคุกคามรูปแบบใหม่ที่มากับโซเชียลมีเดีย ซึ่งก็จะระบุว่ามีอะไรบ้าง จำนวนหนึ่งเกี่ยวกับเรื่องการโจมตีระบบ และมีอันหนึ่งเกี่ยวกับการเผยแพร่เนื้อหาโจมตีหรือส่งผลกระทบต่อสถาบันหลักของชาติ ซึ่งพอนับว่าอันนี้เป็นภัยคุกคามทางไซเบอร์ จึงอาจเป็นไปได้ว่า พ.ร.บ.ฉบับนี้จะถูกใช้ควบคู่ไปกับ มาตรา 14 ของ พ.ร.บ.คอมพิวเตอร์ ด้วย
ผู้ประสานงานเครือข่ายพลเมืองเน็ต อธิบายต่อว่า ต่อไปหากเป็นการโพสต์ลงเฟสบุ๊ควิพากษ์วิจารณ์การเมือง สถาบัน หรือวิจารณ์เช่นยุทธศาสตร์ชาติ 20 ปี ล้อเลียนนายกฯ ทำให้คนเข้าใจผิด เขาก็อาจจะอ้างว่าการทำให้นายกฯ ดูไม่น่าเชื่อถือ ส่งผลกระทบต่อความมั่นคงของประเทศ ตัวอย่างเช่น คนปล่อยคลิปเป็นล้านๆ คลิป ก็ไม่ได้ทำให้ระบบล่ม ไม่ใช่ปัญหาเรื่องระบบ แต่อาจเป็นคลิปที่ทำให้คนไม่สบายใจ ควรจะระบุให้ชัดไปเลยว่าความมั่นคงไซเบอร์ คือความมั่นคงของระบบคอมพิวเตอร์ ระบบสารสนเทศ ส่วนเรื่องที่คนจะไม่สบายใจ ส่งผลกระทบต่อความมั่นคงประเทศ เอาไปใส่ในกฎหมายอื่น ไม่ต้องใส่ในกฎหมายนี้
อาทิตย์ อธิบายด้วยว่า นอกจากนี้ ร่าง พ.ร.บ. ฉบับนี้ ยังสามารถเอามาใช้ล่วงหน้าได้ด้วย โดย พ.ร.บ คอมพิวเตอร์ จะใช้ได้เหตุต้องเกิดก่อน ขณะที่ พ.ร.บ.ไซเบอร์ มีในส่วนการป้องกันไม่ให้เหตุเกิด ถ้าหากสงสัยว่าคนนี้จะเป็นคนปล่อยข้อมูล สามารถไปจับก่อนได้เป็นการป้องกันไม่ให้เกิด ซึ่งร่างปัจจุบันมันสามารถตีความไปถึงขนาดนั้นได้ ซึ่งมันไม่ควร จะเขียนอย่างไรไม่ให้รวมส่วนเนื้อหา ให้เป็นเฉพาะเรื่องระบบ
โครงสร้างคณะกรรมการ อำนาจนำอยู่ที่ฝ่ายความมั่นคง
สำหรับโครงสร้างคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ อาทิตย์ กล่าวว่า
เมื่อเทียบกับ ร่าง พ.ร.บ.เมื่อ 2 ปีก่อน จะเป็นส่วนที่มีความเปลี่ยนแปลงมาก พ.ร.บ. ฉบับก่อนประธานกรรมการเป็นรัฐมนตรีว่าการกระทรวงดิจิทัลฯ มีกรรมการไม่เกิน 10 คน แต่ร่าง พ.ร.บ.ฉบับนี้ นายกรัฐมนตรีเป็นประธานกรรมการ และขยายจำนวนกรรมการออกไปโดยนำรัฐมนตรีจากกระทรวงต่างๆ หน่วยงานความมั่นคง หน่วยงานอื่นเพิ่มเข้ามา และเพิ่มตำแหน่งรองประธาน โดยรองประธานคนที่หนึ่งคือรัฐมนตรีว่าการกระทรวงกลาโหม ส่วนรัฐมนตรีว่าการกระทรวงดิจิทัลฯ กลายเป็นรองประธานคนที่สอง ดังนั้นเมื่อประธานไม่สามารถทำหน้าที่ได้เมื่อมีการประชุม รองประธานคนที่หนึ่งจะถูกเลื่อนขึ้นมาเป็นประธานในการประชุมตามลำดับ รัฐมนตรีว่าการกระทรวงกลาโหมจึงมีอำนาจเหนือจากรัฐมนตรีว่าการกระทรวงดิจิทัลฯ และถ้าดูโดยสัดส่วนของคนที่มีอำนาจจะมาจากหน่วยงานความมั่นคงเพิ่มขึ้น เช่น สำนักข่าวกรอง สภาความมั่นคง
อาทิตย์ อธิบายโครงสร้างคณะกรรมการดังกล่าวต่อว่า กรรมการตามร่างนี้มี 2 ชุด คือ ‘คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ’ ดูส่วนนโยบาย และ ‘คณะกรรมการบริหารสำนักงาน’ เป็นคนรับนโยบายและปฏิบัติ ในแง่นี้ถ้าดูโดยรวมฝ่ายความมั่นคง ฝ่ายกลาโหมจะเป็นคนดูนโยบาย แล้วบทบาทของกระทรวงดิจิทัลฯ ที่เดิมเคยเป็นคนนำนโยบาย ตอนนี้กลายเป็นคนรับนโยบายไปทำ
2 แผนแม่บทกำกับแผนไซเบอร์ฯ ฝ่ายความมั่นคงดูนโยบาย ก.ดิจิทัลฯ นำไปปฏิบัติ
สำหรับแผนแม่บทที่จะมากำกับนโยบายที่เกี่ยวข้องนั้น ผู้ประสานงานเครือข่ายพลเมืองเน็ต อธิบายว่า ไม่ว่าคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์จะออกนโยบายใดๆ ในมาตรา 5 ของร่างเขียนว่านโยบายนั้นจะต้องสอดคล้องกับแผนแม่บท 2 แผน แผนแรกคือแผนแม่บทที่เกี่ยวกับการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคมของคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ ที่มีนายกรัฐมนตรีเป็นประธาน และแผนที่สองคือแผนแม่บทเกี่ยวกับการรักษาความมั่นคงของสภาความมั่นคงแห่งชาติ
“หมายความว่า ข้างล่างมีแผนความมั่นคงไซเบอร์อยู่ ข้างบนจะมีแผนแม่บทอีกสองอันที่เป็นตัวกำกับแผนความมั่นคงไซเบอร์อีกที แต่ในการถ่วงดุลอำนาจแม้คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์สามารถส่งข้อเสนอแนะกลับไปให้คณะกรรมการดิจิทัลฯ แต่ส่งข้อเสนอแนะไปที่สภาความมั่นคงไม่ได้ ประกอบกับสัดส่วนสำนักงานความมั่นคงที่มาอยู่ในคณะกรรมรักษาความมั่นคงปลอดภัยไซเบอร์ รวมแล้วทำให้เห็นชัดเจนว่าร่างฉบับนี้อำนาจนำไม่ได้อยู่ที่กระทรวงดิจิทัล แต่อำนาจนำอยู่ที่สภาความมั่นคงแห่งชาติและกระทรวงกลาโหม” อาทิตย์ กล่าว
อาทิตย์ ยกตัวอย่างในต่างประเทศ ว่า เมื่อดูฝ่ายสภาความมั่นคง หรือกระทรวงกลาโหมในต่างประเทศมีลักษณะเป็นพลเรือนนำ แต่ในประเทศไทยเนื่องจากเหตุผลอะไรบางอย่าง สภาความมั่นคงแห่งชาติก็เป็นทหารนำ ส่วนรัฐมนตรีว่าการกระทรวงกลาโหมที่ผ่านมาของไทยส่วนใหญ่ก็เป็นตำแหน่งทหาร ไม่เชิงว่าจะแยกขาดออกจากกองทัพเสียทีเดียว
การขอข้อมูลหากเอกชนไม่ยินยอมอาจมีโทษ - ขอข้อมูลรัฐไม่ต้องใช้คำสั่งศาล
ผู้ประสานงานเครือข่ายพลเมืองเน็ต กล่าวถึงปัญหาของร่าง พ.ร.บ.ฉบับนี้ต่อว่า กลไกการตรวจสอบการใช้อำนาจยังไม่ค่อยชัดเจน ในกรณีขอความร่วมมือขอข้อมูลแม้จะมีการขอให้ศาลเป็นผู้พิจารณา แต่เฉพาะกรณีที่หน่วยงานที่ไปขอข้อมูลเป็นเอกชนแล้วเอกชนไม่ให้ความยินยอม ดังนั้นถ้าเอกชนยินยอมก็ไม่ต้องใช้คำสั่งศาล ในขณะที่หน่วยงานรัฐสามารถขอข้อมูลได้ทันทีไม่ต้องมีคำสั่งศาล ซึ่งตรงนี้เราเห็นว่มันไม่ควรมีข้อยกเว้น ไม่ว่าจะขอข้อมูลอะไร จากหน่วยงานรัฐหรือเอกชน และไม่ว่าเขาจะยินยอมหรือไม่ก็ตามก็ต้องให้ศาลเป็นผู้พิจารณา เพราะสุดท้ายข้อมูลที่จะให้อาจจะไม่ใช่ข้อมูลของเขาเอง เช่น สมมติจะขอข้อมูลจากธนาคารแห่งหนึ่ง ข้อมูลนั้นเป็นของธนาคารหรือของลูกค้าธนาคาร และหากธนาคารยินยอมก็ไม่ต้องใช้คำสั่งศาล ดังนั้นธนาคารก็อาจจะยินยอมให้ข้อมูล
มาตรา 47 วรรค 2 เขียนว่า “ในกรณีที่ภาคเอกชนไม่ปฏิบัติตามคำสั่งพนักงานเจ้าหน้าที่ที่ขอความร่วมมือ ให้เสนอคณะกรรมการ พิจารณา เพื่อเสนอให้หน่วยงานรัฐที่มีหน้าที่กำกับดูแล พิจารณาลงโทษโดยใช้อำนาจตามกฎหมาย ประกาศ ข้อบังคับอื่นใดที่มีอยู่”
อาทิตย์ อธิบายมาตราดังกล่าวว่า ถ้าไม่ให้ความร่วมมือก็เป็นไปได้ที่จะถูกลงโทษ เพราะฉะนั้นเรื่องการยินยอม ไม่ยินยอม สุดท้ายพอมีบทลงโทษกำกับอยู่ มันไม่ใช่ความสมัครใจเสียทีเดียว พอเป็นแบบนี้ กลไกที่ถ่วงดุลการใช้อำนาจซึ่งในที่นี้คือศาลก็จะไม่ถูกใช้ เพราะเอกชนก็จะยินยอมดีกว่าเสี่ยงถูกลงโทษ ในกรณีนี้ควรแยกให้ชัดว่ากรณีใดที่เกี่ยวกับการขอความร่วมมือ ก็ไม่ควรมีบทลงโทษ แต่ถ้ากรณีที่เป็นเรื่องซีเรียส ต้องใช้การออกคำสั่ง แล้วไม่ได้ปฏิบัติตามคำสั่งจะมีบทลงโทษในการไม่ปฏิบัติตามคำสั่งก็ได้
คำนิยามไม่รัดกุม หน่วยงานรัฐอาจไม่ใช่แค่หน่วยงานรัฐ
สำหรับการขอข้อมูลจากหน่วยงานรัฐโดยไม่ต้องใช้คำสั่งศาลนั้น อาทิตย์ กล่าวว่า เมื่อดูในคำนิยามในมาตรา 3 “หน่วยงานของรัฐ” หมายความว่า ราชการส่วนกลาง ราชการส่วนภูมิภาค ราชการส่วนท้องถิ่นองค์กรอิสระ องค์การมหาชน รัฐวิสาหกิจ และหน่วยงานของรัฐที่ตั้งขึ้นโดยพระราชบัญญัติหรือพระราชกฤษฎีกา และให้หมายความรวมถึงนิติบุคคล คณะบุคคล หรือบุคคล ซึ่งมีอำนาจหน้าที่ดำเนินงานของรัฐไม่ว่าในกรณีใด ๆ ซึ่งก็อาจเป็นไปได้ว่าจะรวมถึงเอกชนที่ได้รับสัมปทานของรัฐมาอย่างเช่น บีทีเอส ก็อาจจะเข้าข่าย เพราะไม่ชัดเจนว่ามีหน่วยงานใดบ้าง แม้การระบุให้ชัดเจนว่าเป็นหน่วยงานใดบ้างอาจจะเยอะไป แต่เคยมีข้อเสนอว่าถ้าเห็นว่าหน่วยงานใดสำคัญจริงๆ ก็สามารถทำเป็นรายชื่อประกาศให้ชัดเจนได้ ไม่ต้องอยู่ในร่าง พ.ร.บ.ฉบับนี้ แต่เขียนระบุให้ไปดูรายชื่อได้ตามประกาศ เพราะอย่างน้อยเรารู้ล่วงหน้าได้ว่าหน่วยงานไหนจะมีความสำคัญ
ทหารได้ฟาสต์แทร็ค พลเรือนต้องตรงตามหลักเกณฑ์ถึงได้เป็นเจ้าหน้าที่
มาตรา 49 การแต่งตั้งพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้ ให้รัฐมนตรีแต่งตั้งจากผู้มีความรู้ความเชี่ยวชาญเกี่ยวกับระบบคอมพิวเตอร์หรือการรักษาความมั่นคงปลอดภัยสารสนเทศและมีคุณสมบัติตามที่รัฐมนตรีกำหนด
มาตรา 50 เพื่อประโยชน์ในการประสานงานหรือการปฏิบัติการให้เจ้าหน้าที่ของกระทรวงกลาโหม ที่ได้รับมอบหมายในการปฏิบัติภารกิจเพื่อตอบสนองและรับมือกับภัยคุกคามไซเบอร์ที่กระทบต่อความมั่นคง ทางทหารเป็นพนักงานเจ้าหน้าที่ในการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้
เกี่ยวกับ มาตรา 49 และ 50 นี้ อาทิตย์ กล่าวว่า ในเรื่องการแต่งตั้งเจ้าหน้าที่ อาจแบ่งได้จากสองทาง หนึ่งคือทางปกติที่นายกรัฐมนตรีแต่งตั้งผู้เชี่ยวชาญตามหลักเกณฑ์ที่กำหนด สอง คือวิธีที่เราเรียกเองว่าฟาสต์แทร็ก เป็นวิธีพิเศษ วิธีเร่งด่วน คือทหารที่ได้รับมอบหมายสามารถเป็นเจ้าหน้าที่ตาม พ.ร.บ. นี้ได้ทันทีโดยอัตโนมัติ ไม่ต้องเป็นไปตามหลักเกณฑ์แต่งตั้งผู้เชี่ยวชาญ ดังนั้นจึงเห็นได้ว่าแม้แต่ฝ่ายปฏิบัติก็ยังมีหลักเกณฑ์ปฏิบัติระหว่างทหารและพลเรือนไม่เท่ากัน
อ่านรายละเอียด ร่าง พ.ร.บ. ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ฉบับล่าสุด ที่นี่
AttachmentSizeSenate Report 2012.pdf 5.06 MB
ติดตามความเคลื่อนไหวของ ประชาไท ทางอีเมล คลิกอ่าน http://goo.gl/8xIcV หรือเฟซบุ๊ค http://fb.me/Prachatai
This posting includes an audio/video/photo media file: Download Now
แสดงความคิดเห็น