Posted: 12 Oct 2018 07:20 AM PDT (อ้างอิงจากอีเมล์ข่าว เว็บไซต์ประชาไท www.prachatai.com)
Submitted on Fri, 2018-10-12 21:20
ชวนทำความรู้จักกับร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภั ยไซเบอร์ แบบง่ายๆ ผ่านคำถาม ใคร/ทำอะไร/อย่างไร เมื่อรัฐจะตั้งหน่วยงานรัฐที่ ไม่ใช่ราชการ มีงบให้ หาเงินเองได้ แต่มีอำนาจสั่งหน่วยงานราชการ เอกชน และประชาชนเรื่องรับมือภั ยไซเบอร์ที่นิยามยังกำกวม สามารถค้นสถานที่ ยึดคอมฯ แบบไม่ต้องขอศาล เอกชนเสนอแก้ไขหลายประการให้เดิ นสะดวกกว่านี้ เสียงจากเวทีรับฟังความเห็นชี้ กฎหมายละเมิดสิทธิอย่างร้ายแรง
ร่างพระราชบัญญัติ (พ.ร.บ.) การรักษาความมั่นคงปลอดภั ยไซเบอร์ ถูกหยิบยกขึ้นมาเป็นที่พูดถึงอี กครั้งเมื่อมีการรับฟังความคิ ดเห็นในวันที่ 11 ต.ค. ที่สำนักงานสำนักงานพัฒนาธุ รกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA กทม. โดยมีผู้สันทัดกรณีมากหน้ าหลายตามาเข้าร่วมรับฟังและให้ ความเห็นเต็มห้อง ไม่ว่าจะเป็นนักวิชาการ ประชาสังคม ผู้ประกอบการโทรคมนาคม สื่อมวลชน ฯลฯ การรับฟังความเห็นครั้งนี้มีชั ยชนะ มิตรพันธ์ รองผู้อำนวยการ ETDA เป็นผู้ดำเนินรายการ
ชื่อของกฎหมายไม่ใคร่จะดู ไกลจากชีวิตประจำวั นของชาวไทยมากนัก ในวันที่อัตราการใช้อินเทอร์เน็ ตผ่านโทรศัพท์สมาร์ทโฟนถึงร้ อยละ 93.7 (จากกลุ่มสำรวจราว 33 ล้านคน) ตามสถิติของสำนักงานสถิติแห่ งชาติ และแน่นอน ถ้าคุณได้อ่านข่าวนี้แปลว่าคุ ณได้เชื่อมต่อกับอินเทอร์เน็ ตแล้ว
อย่างไรก็ดี รายละเอียดของร่าง พ.ร.บ. ที่กำหนดลักษณะ ขอบเขตอำนาจของผู้ใช้ กฎหมายในการรับมือกับภัยคุ กคามไซเบอร์ไว้เยอะแยะ รวมถึงแนวทางปฏิบัติต่างๆ หลายหน้า ทั้งนี้ รายละเอียดต่างๆ ยังคงกำกวม อย่างเช่น อะไรคือภัยไซเบอร์ โพสท์เฟสบุ๊กด่ารัฐบาลถือว่าเป็ นไหม หน่วยงานที่ตั้งขึ้นมาทำอะไรได้ บ้าง พังประตูบ้านเข้ามาขอพาสเวิร์ ดจากเราๆ ท่านๆ ได้หรือไม่
ในตัวร่างยังไม่มีคำตอบของคำถาม แต่หากกฎหมายผ่านแล้ว ก็จะมีผลต่อสุขภาวะบนโลกไซเบอร์ ของประชาชนไม่ทางตรงก็ทางอ้อม หรือไม่มากก็น้อย ประชาไทจึงชวนทำความเข้ าใจคอนเซปต์แบบง่ายๆ ของร่างกฎหมายล่าสุดที่เพิ่งมี การรับฟังความคิดเห็นทั้ งบนโลกกายภาพ และผ่านเว็บไซต์รับฟังความคิ ดเห็น (ที่สิ้นสุดวันนี้ (12 ต.ค. 61) พอดี)
อ่านร่างฯ ตัวเต็มที่นี่
ทำอะไร: มุ่งป้องกันภัยคุกคามไซเบอร์ที่ จะโจมตีโครงสร้างสำคัญของประเทศ
ตัว พ.ร.บ. นี้มีหลักการกว้างๆ ว่า ต้องมีกฎหมายมาป้องกัน รับมือ ลดความเสี่ยงจาก ‘ภัยคุกคามทางไซเบอร์’ ไม่ให้เกิดผลกระทบต่อความมั่ นคงในด้านต่างๆ ผ่านคณะกรรมการและหน่วยงานที่ตั้ งขึ้นเพื่อปฏิบัติงานร่วมกั นระหว่างภาครัฐและเอกชน โดยจะมีแผนปฏิบัติ การและมาตรการด้านรักษาความมั่ นคงปลอดภัยไซเบอร์อย่างมี เอกภาพและต่อเนื่อง ในวันที่ประเทศไทยมีบริการประยุ กต์ใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคมที่สามารถถู กโจมตีและสร้างความเสียหายได้
สิ่งที่ต้องทำความเข้าใจเร็วๆ เมื่อพูดถึง พ.ร.บ. นี้มีสี่อย่างคือ โครงสร้างพื้นฐานสำคั ญทางสารสนเทศ (Critical Information Infrastructure - CII ) หน่วยงานโครงสร้างพื้นฐานสำคั ญทางสารสนเทศ ภัยคุกคามไซเบอร์ และ ทรัพย์สินสารสนเทศ
ในภาษาที่ร่าง พ.ร.บ. เขียนไว้เป็นแบบนี้
นฐานทำงานผ่านโครงสร้างพื้ นฐานในการทำงาน ซึ่งในทางรูปธรรมและนามธรรม เครื่องมือและข้อมูลที่หน่ วยงานใช้ก็คือทรัพย์สิ นสารสนเทศที่หน่วยงานเป็นเจ้ าของ และภัยคุกคามไซเบอร์คือการใช้วิ ธีการทางคอมพิวเตอร์ หรืออิเล็กทรอนิกส์สร้างความเสี ยหายต่อทรัพย์สินสารสนเทศหรื อทำให้ทำงานไม่ได้
ยกตัวอย่าง: โรงพยาบาล(หน่วยงานโครงสร้างพื้ นฐาน)ใช้เครือข่ายคอมพิวเตอร์ (โครงสร้างพื้นฐานทางสารสนเทศ) เชื่อมต่อกันเพื่อเก็บบันทึกข้ อมูลผู้ป่วย สถิติ และการทำงานทำผ่านคอมพิวเตอร์ (ทรัพย์สินสารสนเทศ) ภัยคุกคามจึงอาจเป็นวิธี การทางคอมพิวเตอร์เพื่อทำให้ การทำงานเสียหายหรือทำงานต่อไม่ ได้ เช่น ไวรัส การส่งชุดข้อมูลไม่พึงประสงค์ จำนวนมากเพื่อทำให้ ระบบประมวลผลช้าลง (ดีดอส) การแฮ็ค เป็นต้น
ใคร: จัดตั้งคณะกรรมการ 14 คน ตั้งสำนักงานสนับสนุน รัฐให้เงิน แต่หาเงินเองได้ ไม่ใช่ส่วนราชการ เลขาธิการอำนาจล้นมือ
พ.ร.บ. นี้จะให้มี ‘คณะกรรมการการรักษาความมั่ นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.)’ ประกอบด้วยสมาชิก 14 คน ได้แก่นายกรัฐมนตรี (ประธาน) รัฐมนตรีว่าการ (รมว.) กระทรวงกลาโหม กระทรวงดิจิทัลเพื่อเศรษฐกิ จและสังคม ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ เลขาธิการสภาความมั่นคงแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย และผู้ทรงคุณวุฒิที่มีความรู้ ความสามารถในด้านการรักษาความมั่ นคงปลอดภัยไซเบอร์ เทคโนโลยีสารสนเทศและการสื่อสาร การคุ้มครองข้อมูลส่วนบุคล วิทยาศาสตร์ วิศวกรรมศาสตร์ กฎหมาย หรือด้านอื่นที่เกี่ยวข้องอั นเป็นประโยชน์ต่อการรักษาความมั่ นคงปลอดภัยไซเบอร์ และจะแต่งตั้งเลขาธิการจากใน 14 คนนี้
กปช. ทำหน้าที่รักษาความมั่นคงปลอดภั ยไซเบอร์หลายอย่าง ไม่ว่าจะเป็นการเสนอนโยบาย แผนดำเนินการ ทำแผนปฏิบัติการเพื่อเป็นแผนแม่ บทในสถานการณ์ปกติและในเวลาที่ อาจจะเกิดหรือเกิดภัยคุ กคามไซเบอร์ กำหนดแนวทาง กรอบมาตรฐานขั้นต่ำให้หน่ วยงานรัฐและเอกชนที่เกี่ยวข้อง กำหนดมาตรการตอบสนอง รับมือภัยคุกคามไซเบอร์ กำหนดแนวทางสร้างทั กษะและความเชี่ยวชาญ ติดตามประเมินผลการปฏิบัติ ตามนโยบาย เสนอความเห็น และข้อคิดเห็นต่อคณะรัฐมนตรี ในการปรับปรุงกฎหมายที่เกี่ยวข้ อง จัดทำรายงานสรุปผลการดำเนินการ และทำเรื่องอื่นๆ ตามที่บัญญัติใน พ.ร.บ. หรือที่ ครม.มอบหมาย
นอกจากตัวคณะกรรมการฯ ยังจะมีการจัดตั้งสำนักงาน กปช. ขึ้นเพื่อสนับสนุนการทำงานของ กปช. เป็นศูนย์กลางข้อมู ลและประสานงานด้านการรั กษาความมั่นคงปลอดภัยไซเบอร์ เฝ้าระวัง แจ้งเตือน สนับสนุน ช่วยเหลือในการป้องกันรับมือ และลดความเสี่ยงจากภัยคุ กคามไซเบอร์ เผยแพร่ความรู้ ศึกษา วิจัย และพัฒนา
ทั้งนี้ สถานะของสำนักงาน เป็นนิติบุคคล ไม่ใช่ส่วนราชการ ได้รับงบอุดหนุนจากรัฐเป็นรายปี แต่หากมีรายได้จากการดำเนิ นงานหรือทรัพย์สินของสำนักงาน ก็ไม่ต้องส่งกลับคลังเพื่อเป็ นรายได้ของรัฐ ในมาตรา 17 ได้ให้อำนาจสำนักงานในการเป็นหุ้ นส่วน ถือหุ้น หรือร่วมทุนกับนิติบุคคลอื่นที่ เกี่ยวกับวัตถุประสงค์ของสำนั กงาน กู้ยืมเงินเพื่อวัตถุประสงค์ ของสำนักงานได้ และยังเรียกเก็บค่าธรรมเนียม ค่าบำรุง ค่าตอบแทนหรือค่าบริ การในการดำเนินงานได้ด้วย
อย่างไร: แนวทางจัดการภัยไซเบอร์กว้ างขวาง ค้นบ้าน-ยึดคอมฯ ได้ไม่ต้องมีหมายศาล แต่ความรับผิดชอบต่ำ
พ.ร.บ. นี้ให้อำนาจ หน้าที่องค์กรที่ตั้งใหม่อย่ างน่ากังวล เพราะอำนาจหน้าที่นั้นอิงอยู่กั บการป้องกัน ‘ภัยคุกคามทางไซเบอร์’ แต่แค่ตัวนิยามของภัยคุ กคามทางไซเบอร์เองก็กำกวมแล้ว การมีอำนาจในการจัดการต่อสิ่งที่ กำกวมยิ่งทำให้เกิดข้อเคลื อบแคลงต่อหลายภาคส่วน
มาตรา 46 ให้อำนาจเลขาธิการ กปช. ออกหนังสือขอความร่วมมือจากหน่ วยงานโครงสร้างพื้นฐานสำคั ญทางสารสนเทศเพื่อขอข้อมูลเหล่ านี้
ดเผยข้อมูลไม่ได้ การทำตามความในมาตรานี้โดยสุจริ ตไม่เป็นการผิดกฎหมายหรือสัญญา แบบนี้เรียกว่าหนังสือขอความร่ วมมือได้ไหม
มาตรา 47 ให้ผู้ดูแลระบบต้องมีการประเมิ นความเสี่ยง และตรวจสอบด้านการรักษาความมั่ นคงปลอดภัยไซเบอร์อย่างน้อยปี ละครั้ง และส่งสำเนารายงานต่อสำนักงาน กปช. ภายใน 30 วัน แต่ถ้าเลขาธิการเห็นว่ าการประเมินหรือการตรวจสอบไม่น่ าพอใจ ก็สามารถให้ทำใหม่ได้อีกครั้ งหนึ่ง (มาตรา 48)
ผู้ฝ่าฝืน ไม่ทำตามมาตรา 47 ต้องระวางโทษปรับไม่เกิน 200,000 บาท และปรับเป็นรายวันอีกไม่เกินวั นละหนึ่งหมื่นบาทนับแต่วันที่ถู กสั่งให้ทำจนถึงวันที่ทำเสร็จ (มาตรา59)
พ.ร.บ. ยังกำหนดให้หน่วยงานรัฐ หน่วยงานโครงสร้างพื้นฐานสำคั ญทางสารสนเทศจะต้องแจ้งรายชื่ อเจ้าหน้าที่ระดับบริหารและปฏิ บัติการเพื่อประสานงานด้านรั กษาความมั่นคงปลอดภัยไซเบอร์กั บทางสำนักงาน ซึ่งเป็นช่องทางที่ใช้ติดต่อกั นเมื่อมีเหตุภัยคุกคามไซเบอร์ เพื่อรับมือกับเหตุ
ในส่วนของการรับมือภัยคุ กคามทางไซเบอร์เป็นสิ่งที่มี ความคลุมเครือและให้อำนาจอย่ างกว้างกับทางสำนักงานและ กปช. เริ่มจากมาตรา 51 ที่เขียนว่า ในกรณีที่เกิดหรือคาดว่าจะเกิ ดภัยคุกคามทางไซเบอร์ต่ อระบบสารสนเทศซึ่งอยู่ในความดู แลรับผิดชอบของหน่วยงานรัฐหรื อหน่วยงานโครงสร้างพื้นฐานสำคั ญทางสารสนเทศ ให้น่วยงานนั้นตรวจสอบทรัพย์สิ นสารสนเทศและพฤติการณ์แวดล้ อมเพื่อประเมินภัยคุกคามไซเบอร์ ถ้ามีภัยก็ให้รับมือตามแผนที่มี และแจ้งไปยังสำนักงานโดยเร็ว
หรือถ้าสำนักงานเห็นว่าเกิด หรือคาดว่าจะเกิดภัยคุ กคามทางไซเบอร์ ก็ให้มีการรวมข้อมูล วิเคราะห์สถานการณ์ ประเมินผลกระทบ แจ้งเตือนภัย อำนวยความสะดวกในการประสานงาน และเข้าช่วยเหลือ โดยการรวบรวมข้อมูลนั้น กฎหมายให้อำนาจสำนักงานในการ
องดูแลไม่ให้มีการใช้ข้อมูลที่ ได้มาในลักษณะที่อาจก่อให้เกิ ดความเสียหาย
ในร่างฯ ยังไม่ระบุ หรือมีตัวอย่างว่าการทำอะไรที่ เป็นภัยคุกคามต่อความมั่ นคงปลอดภัยไซเบอร์ จึงยังไม่สามารถพูดได้ว่าการส่ งข้อมูลในอีเมล์ โพสท์เฟสบุ๊ก หรือเนื้อหาวิดีโอต่างๆ หรือพูดง่ายๆ คือสิ่งที่เป็น ‘เนื้อหา’ ไม่ใช่ภัยคุกคามทางไซเบอร์
กฎหมายมีการเตรียมตัวในสภาวะที่ ย่ำแย่ที่สุด หรือที่เรียกว่ามีภัยคุ กคามไซเบอร์ระดับร้ายแรง ตามกฎหมายให้ความหมายเอาไว้ว่ าเป็นสิ่งที่
นว่า เลขาธิการมีอำนาจสั่งการหรื อกำกับหน่วยงานรัฐที่เกี่ยวกั บการรักษาความมั่นคงปลอดภั ยไซเบอร์กระทำการป้องกัน รับมือ ลดความเสี่ยงภัยคุกคาม โดยให้เลขาธิการรายงาน กปช. เรื่องการดำเนินงานอย่างต่อเนื่ อง
มาตรา 57 ให้อำนาจเลขาธิการในการออกคำสั่ งให้คน ผู้ครอบครอง หรือผู้ใช้คอมพิวเตอร์หรื อระบบคอมพิวเตอร์ที่มีเหตุอั นควรสงสัยว่าเป็นผู้เกี่ยวข้ องกับภัยคุกคามทางไซเบอร์ หรือได้รับผลกระทบจากภัยคุ กคามไซเบอร์เพื่อ
องกัน รับมือ ลดความเสี่ยงจากภัยคุ กคามไซเบอร์ที่หนักมือ โดยให้อำนาจเข้าถึงคนหรือวัตถุ ในทางกายภาพแบบไม่ต้องขอศาลก่อน โดยมีอำนาจดังนี้
ลเวลาจริง (Real time data) จากผู้เกี่ยวข้อง หมายถึงข้อมูล ณ เวลานั้นๆ
กำหนดโทษคนอื่นหนัก แต่ความรับผิดชอบตัวเองยังไม่ค่
ในบทกำหนดโทษระบุว่า ผู้ใดไม่ปฏิบัติตามหนังสือเรี ยกของพนักงานเจ้าหน้าที่ ไม่ส่งข้อมูลให้เจ้าพนักงาน ต้องระวางโทษปรับไม่เกิน 100,000 บาท (มาตรา 61) ผู้ใดฝ่าฝืนหรือไม่ปฏิบัติ ตามคำสั่งของเลขาธิการตามมาตรา 57 ว่าด้วยการรับมือภัยไซเบอร์ร้ ายแรง ต้องระวางโทษปรับไม่เกิน 300,000 บาท ปรับอีกไม่เกินวันละหนึ่งหมื่ นบาทนับแต่วันที่ ครบกำหนดระยะเวลาที่พนักงานเจ้ าหน้าที่ออกคำสั่งให้ปฏิบัติ จนกว่าจะปฏิบัติให้ถูกต้อง ผู้ฝ่าฝืนคำสั่งเลขาธิ การตามมาตรา 57 (3) (4) ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกิน 150,000 บาทหรือทั้งจำทั้งปรับ เช่นเดียวกันกับการขัดขวางคำสั่ งเลขาธิการในมาตรา 58
เนื่องจากตัวองค์กรไม่ใช่หน่ วยงานราชการ แต่เป็นนิติบุคคลและเป็นหน่ วยงานของรัฐ คำถามที่ยังไม่มีคำตอบคือ หากปฏิบัติหน้าที่โดยมิ ชอบจะสามารถฟ้องเอาผิ ดตามกฎหมายอาญามาตรา 157 ได้หรือไม่
นอกจากนั้น การเอาข้อมูลสำคัญของทั้งภาครัฐ รัฐวิสาหกิจรวมถึงเอกชนไปไว้กั บหน่วยงานๆ เดียว แม้จะมีกฎหมายระบุว่าไม่ สามารถนำไปใช้ในทางที่ผิดได้ แต่การเป็นศูนย์กลางของข้อมูลทั้ งหลายย่อมเป็นเป้าหมายตั วโตของการโจมตีทางไซเบอร์ คำถามจึงอยู่ที่ประสิทธิ ภาพในการเก็บข้อมูลให้เป็ นความลับและความสามารถในการป้ องกันการคุกคามไซเบอร์ของตั วสำนักงานเอง และคำถามที่ยังไม่มีคำตอบคือ ตัวสำนักงานเองถือเป็น CII ใช่หรือไม่ ข้อมูลที่เก็บไปจะเก็บถึงไหน ข้อมูลส่วนบุคคลของประชาชนจะเป็ นเป้าหมายหรือไม่ หลายคนยังคงจำข้อมูลส่วนบุคคลที่ หลุดไปจากคลังข้อมูลของ TRUE ได้ ถ้าหากข้อมูลมีการส่งต่อมากขึ้น ความปลอดภัยของข้อมูลย่อมได้รั บผลกระทบไม่ว่าจะมากหรือน้อย
เสียงจากเวทีรับฟังความเห็นกั
นแสดงความกังวลต่อเนื้อหาในร่ างฯ โดยเฉพาะในเรื่องนิยามที่ยังไม่ ชัดเจนว่าอะไรคือภัยคุ กคามไซเบอร์ ที่บอกว่าเป็นวิธีการทางคอมพิ วเตอร์ ทางเทคนิค หรือทางอิเล็กทรอนิกส์ ใจความในการโพสท์เฟสบุ๊กหรืออี เมล์จะถือเป็นภัยต่อความมั่ นคงอย่างที่เกิดขึ้นบ่อยๆ กับผู้ทีถูกฟ้องในความผิดตาม พ.ร.บ.อาชญากรรมทางคอมพิวเตอร์ (พ.ร.บ.คอมพิวเตอร์)
นอกจากนั้น อำนาจของเลขาธิการในการขอข้อมูล ยึดอุปกรณ์ต่างๆ หรือเข้าถึงเคหสถานในกรณีที่มี ภัยคุกคามไซเบอร์อย่างร้ายแรง (ซึ่งโดยตัวนิยามก็กว้างและยั งไม่มีรายละเอียด) สามารถทำได้โดยไม่มีหมายศาล แต่ใน พ.ร.บ.คอมพิวเตอร์ นั้นมีกำหนดแนวทางอำนาจเดียวกั นไว้ แต่ต้องได้รับอนุญาตจากศาลก่อน ซึ่งหนึ่งในผู้เข้าร่วมงานรับฟั งความเห็นได้ตั้งข้อสังเกตว่ าอำนาจเหมือนกันแต่ทำไมถึงไม่ผ่ านศาลเหมือนกัน ผู้ออกความเห็นหลายคนก็ แสดงความเห็นว่าควรจะต้องได้รั บอนุญาตจากศาลเสียก่อน
นอกจากนั้น การใช้คำว่า “คาดว่า” หรือ “มีเหตุที่เชื่อได้ว่า” นั้นให้ขอบเขตที่กว้างขวาง ขาดความชัดเจนและอาจทำไม่ได้ ในทางปฏิบัติ ย่อมหมายถึงอำนาจการจั ดการของสำนักงานและเลขาธิการที่ หาขอบเขตที่แน่นอนไม่ได้ จึงควรระมัดระวังเรื่องการใช้ คำในกฎหมาย
สมาคมความมั่นคงปลอดภั ยระบบสารสนเทศ สมาคมของกลุ่มนักวิชาการด้ านความมั่นคงปลอดภั ยสารสนเทศในประเทศไทยที่ติ ดตามและศึกษาร่างฯ นี้ ส่งแถลงการณ์ให้ทาง ETDA แสดงความกังวลดังนี้
ของประชาชนอย่างร้ายแรง
ทางสมาคมโทรคมนาคมแห่ งประเทศไทยในพระบรมราชูปถัมภ์ และสมาคมอินเทอร์เน็ตได้มีหนั งสือเสนอแนะต่อร่างฯ หลายประการ หลักๆ เป็นเรื่ องการกำหนดขอบเขตอำนาจให้ชั ดเจนขึ้น นำคำกำกวมอย่าง “คาดว่า” ออก เสนอแนะให้ออกแบบการบังคับใช้ กฎหมายโดยไม่เพิ่มภาระให้ผู้ ประกอบกิจการ ลดเวลาการยึดอุปกรณ์จาก 30 วันเหลือ 5 วัน ยืดเวลาเริ่มบังคับใช้ พ.ร.บ. เป็น 180 วัน (จากเดิมบังคับใช้ทันทีหลัง พ.ร.บ. ผ่าน) เพื่อให้เอกชนมีเวลาเตรียมตัว เพิ่มเลขาธิการสำนั กงานคณะกรรมการสิทธิมนุษยชนแห่ งชาติ ผู้ตรวจการแผ่นดินเป็ นคณะกรรมการ กปช. และเพิ่มผู้เชี่ ยวชาญจากภาคเอกชนเป็นหนึ่งผู้ ทรงคุณวุฒิ
นอกจากนั้นยังเสนอให้มี การออกระเบียบ ประกาศ คำสั่งเกี่ยวกับการรักษาความมั่ นคงปลอดภัยไซเบอร์ที่มีผลใช้บั งคับทั่วไปและมีผลกระทบกั บประชาชน โดยต้องมีจัดรับฟังความเห็น ไม่ให้สำนักงานมีอำนาจเข้าถึ งทรัพย์สินสารสนเทศ ทำสำเนา หรือสกัดคัดกรองข้อมู ลสารสนเทศหรือโปรแกรมคอมพิ วเตอร์ ปรับปรุงบทกำหนดโทษให้เป็นคุณกั บคนทำงานมากขึ้น และให้สำนักงานต้องรับผิ ดชอบความเสียหายหากมีข้อมูลรั่ วไหล ซึ่งแต่เดิมไม่ได้มีกำหนดไว้
ชวนทำความรู้จักกับร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภั
- ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภั
ยไซเบอร์ถูกนำมารับฟังความคิ ดเห็นอีกครั้งเมื่อ 11 ต.ค. 2561 เนื้อความจะมีการจัดตั้ งคณะกรรมการและสำนักงานเพื่อดู แลเรื่องความมั่นคงปลอดภั ยไซเบอร์โดยเฉพาะ (กปช.) - หน่วยงานดังกล่าวจะมีหน้าที่
กำหนดนโยบาย เก็บข้อมูลจากหน่วยงานรั ฐและเอกชนที่เกี่ยวข้อง เมื่อมีเหตุภัยคุกคามก็จะดำเนิ นการประสานงานไปจนถึงช่วยแก้ไข - มีข้อสงสัยกันมากเกี่ยวกับนิ
ยามของภัยคุกคามทางไซเบอร์ว่ าหมายถึงอะไรบ้าง ในร่างฯ ยังคงไม่มีคำตอบที่ชัดเจน รวมถึงขอบเขตอำนาจของหน่วยงานที่ จะตั้งใหม่ที่กว้างครอบจักรวาล ค้นสถานที่ ยึดคอมพิวเตอร์ได้ แบบไม่ต้องขอศาล ทั้งยังไม่ใช่ ส่วนราชการ แต่ได้งบประมาณ และถือหุ้นในกิจการที่เกี่ยวข้ องกับภารกิจตาม พ.ร.บ. ได้
ชื่อของกฎหมายไม่ใคร่จะดู
อย่างไรก็ดี รายละเอียดของร่าง พ.ร.บ. ที่กำหนดลักษณะ ขอบเขตอำนาจของผู้ใช้
ในตัวร่างยังไม่มีคำตอบของคำถาม แต่หากกฎหมายผ่านแล้ว ก็จะมีผลต่อสุขภาวะบนโลกไซเบอร์
อ่านร่างฯ ตัวเต็มที่นี่
รู้จักตัวร่างฯ ผ่าน "ใคร? ทำอะไร? อย่างไร?"
ทำอะไร: มุ่งป้องกันภัยคุกคามไซเบอร์ที่
ตัว พ.ร.บ. นี้มีหลักการกว้างๆ ว่า ต้องมีกฎหมายมาป้องกัน รับมือ ลดความเสี่ยงจาก ‘ภัยคุกคามทางไซเบอร์’ ไม่ให้เกิดผลกระทบต่อความมั่
สิ่งที่ต้องทำความเข้าใจเร็วๆ เมื่อพูดถึง พ.ร.บ. นี้มีสี่อย่างคือ โครงสร้างพื้นฐานสำคั
ในภาษาที่ร่าง พ.ร.บ. เขียนไว้เป็นแบบนี้
- ภัยคุกคามทางไซเบอร์ หมายถึง การกระทำหรือเหตุการณ์ที่
กระทำด้วยวิธีการทางคอมพิวเตอร์ หรือวิธีการทางอิเล็กทรอนิกส์ที่ ทำให้การทำงานของทรัพย์สิ นสารสนเทศมีความผิดปกติ หรือมีความพยายามเข้าถึง หรือเข้าถึงโดยใช้เทคโนโลยี ซึ่งอาจส่งผลกระทบหรือก่อให้เกิ ดความเสียหายต่อทรัพย์สิ นสารสนเทศ ทำให้ทรัพย์สินสารสนเทศถูกทำลาย - โครงสร้างพื้นฐานสำคั
ญทางสารสนเทศ หมายถึงคอมพิวเตอร์หรื อระบบคอมพิวเตอร์ซึ่งหน่วยงานรั ฐหรือเอกชนใช้ในกิจการของตนที่ เกี่ยวกับการรักษาความมั่ นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิ จของประเทศหรือโครงสร้างพื้ นฐานอันเป็นประโยชน์สาธารณะ - ทรัพย์สินสารสนเทศหมายถึง
- ระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ และระบบสารสนเทศ
- เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ เครื่องบันทึกข้อมูล และอุปกรณ์อื่นใด
- ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์และข้อมู
ลคอมพิวเตอร์
- หน่วยงานโครงสร้างพื้นฐานสำคั
ญทางสารสนเทศ คือ หน่วยงานรัฐหรือเอกชนที่มีภารกิ จให้บริการโครงสร้างพื้นฐานสำคั ญทางสารสนเทศ ปัจจุบันมีแปดด้าน ได้แก่ - ความมั่นคงของรัฐ
- บริการภาครัฐที่สำคัญ
- การเงินการธนาคาร
- เทคโนโลยีสารสนเทศและโทรคมนาคม
- การขนส่งและโลจิสติกส์
- พลังงานและสาธารณูปโภค
- สาธารณสุข
- ด้านอื่นๆ ตามที่ กปช. (จะพูดถึงในอีกหนึ่งบรรทัด) กำหนดเพิ่มเติม
ยกตัวอย่าง: โรงพยาบาล(หน่วยงานโครงสร้างพื้
ใคร: จัดตั้งคณะกรรมการ 14 คน ตั้งสำนักงานสนับสนุน รัฐให้เงิน แต่หาเงินเองได้ ไม่ใช่ส่วนราชการ เลขาธิการอำนาจล้นมือ
พ.ร.บ. นี้จะให้มี ‘คณะกรรมการการรักษาความมั่
กปช. ทำหน้าที่รักษาความมั่นคงปลอดภั
นอกจากตัวคณะกรรมการฯ ยังจะมีการจัดตั้งสำนักงาน กปช. ขึ้นเพื่อสนับสนุนการทำงานของ กปช. เป็นศูนย์กลางข้อมู
ทั้งนี้ สถานะของสำนักงาน เป็นนิติบุคคล ไม่ใช่ส่วนราชการ ได้รับงบอุดหนุนจากรัฐเป็นรายปี แต่หากมีรายได้จากการดำเนิ
อย่างไร: แนวทางจัดการภัยไซเบอร์กว้
พ.ร.บ. นี้ให้อำนาจ หน้าที่องค์กรที่ตั้งใหม่อย่
มาตรา 46 ให้อำนาจเลขาธิการ กปช. ออกหนังสือขอความร่วมมือจากหน่
- การออกแบบ การตั้งค่าของ CII และข้อมูลของระบบที่เชื่อมต่อ หรือสื่อสารกับมัน
- ข้อมูลการทำงานของ CII หรือระบบที่เชื่อมต่อ สื่อสารกับมัน ที่หน่วยงานนั้นๆ ควบคุม
- ข้อมูล อื่นใด ที่เห็นว่าจำเป็นในการรักษาระดั
บความมั่นคงปลอดภัยไซเบอร์ของ CII
มาตรา 47 ให้ผู้ดูแลระบบต้องมีการประเมิ
ผู้ฝ่าฝืน ไม่ทำตามมาตรา 47 ต้องระวางโทษปรับไม่เกิน 200,000 บาท และปรับเป็นรายวันอีกไม่เกินวั
พ.ร.บ. ยังกำหนดให้หน่วยงานรัฐ หน่วยงานโครงสร้างพื้นฐานสำคั
ในส่วนของการรับมือภัยคุ
หรือถ้าสำนักงานเห็นว่าเกิด หรือคาดว่าจะเกิดภัยคุ
- เรียกคนที่เกี่ยวข้องมาให้ข้อมู
ล หรือให้ข้อมูลเป็นหนังสือเกี่ ยวกับภัยคุกคาม - ขอข้อมูล เอกสาร สำเนาข้อมูลหรื
อเอกสารในความครอบครองของผู้อื่ น - สอบถามคนที่มีความรู้ความเข้
าใจเกี่ยวกับข้อเท็จจริ งและสถานการณ์ที่เกี่ยวข้องกั บภัยคุกคามไซเบอร์ - เข้าไปในอสังหาริมทรัพย์ หรือสถานประกอบการที่เกี่ยวข้
องหรือคาดว่ามีส่วนเกี่ยวข้องกั บภัยคุกคามทางไซเบอร์ของบุ คคลหรือหน่วยงานที่เกี่ยวข้ องโดยได้รับความยินยอมจากผู้ ครอบครองสถานที่นั้น
ในร่างฯ ยังไม่ระบุ หรือมีตัวอย่างว่าการทำอะไรที่
กฎหมายมีการเตรียมตัวในสภาวะที่
- ก่อให้เกิดความเสี่ยงที่จะทำให้
เกิดความเสียหายต่อทรัพย์สิ นสารสนเทศอย่างมีนัยสำคัญ หรือขัดขวางการให้บริ การของโครงสร้างพื้นฐานสำคั ญทางสารสนเทศ - ก่อให้เกิดภัยคุกคามต่อความมั่
นคงของรัฐ การป้องกันประเทศ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชน - มีความรุนแรงที่ก่อหรืออาจก่
อให้เกิดความเสียหายต่อบุคลหรื อต่อทรัพย์สินสารสนเทศที่สำคั ญหรือมีจำนวนมาก
มาตรา 57 ให้อำนาจเลขาธิการในการออกคำสั่
- เฝ้าระวังคอมพิวเตอร์ ระบบคอมพิวเตอร์ในช่
วงระยะเวลาใดเวลาหนึ่ง - ตรวจสอบคอมพิวเตอร์ ระบบคอมพิวเตอร์เพื่อหาข้อบกพร่
องที่กระทบต่อการรักษาความมั่ นคงปลอภัยไซเบอร์ วิเคราะห์สถานการณ์ ประเมินผลกระทบ - ดำเนินมาตรการแก้ไขภัยคุ
กคามทางไซเบอร์ ซึ่งให้ตัวอย่างมาตรการไว้ชั ดเจนว่าได้แก่การกำจัดชุดคำสั่ งไม่พึงประสงค์ออกจากคอมพิ วเตอร์ ปรับปรุงซอฟต์แวร์เพื่อจัดการกั บข้อบกพร่อง ยกเลิกการเชื่อมต่อกับคอมพิ วเตอร์ชั่วคราวที่เจอชุดคำสั่ งที่ไม่พึงประสงค์ เปลี่ยนเส้นทางเดินทางของข้อมู ลหรือชุดคำสั่งที่ไม่พึงประสงค์ - หยุดการใช้งานคอมพิวเตอร์ ระบบคอมพิวเตอร์ทั้งหมดหรื
อบางส่วน - และในกรณีจำเป็น พนักงานเจ้าหน้าที่อาจขอความช่
วยเหลือในการเข้าถึงคอมพิวเตอร์ หรือระบบคอมพิวเตอร์จากบุคคลที่ มีเหตุอันควรเชื่อได้ว่าใช้หรื อเคยใช้
- ตรวจสอบสถานที่ โดยมีหนังสือแจ้งเหตุไปยังเจ้
าของ หรือผู้ครอบครองสถานที่ - เข้าถึงทรัพย์สินสารสนเทศ ทำสำเนา สกัดคัดกรองข้อมูลสารสนเทศ โปรแกรมคอมพิวเตอร์ ซึ่งมีเหตุอันควรสงสัยว่าเกี่
ยวข้องหรือได้รับผลกระทบจากภั ยคุกคาม - ทดสอบการทำงานของคอมพิวเตอร์หรื
อระบบคอมพิวเตอร์ที่มีเหตุอั นควรสงสัยว่าเกี่ยวข้อง หรือได้รับผลกระทบจากภัยคุกคาม - ยึดคอมพิวเตอร์หรืออุปกรณ์ใดๆ ซึ่งมีเหตุอันควรเชื่อได้ว่าเกี่
ยวข้องกับภัยคุกคามทางไซเบอร์ เพื่อตรวจสอบหรือวิเคราะห์ไม่ เกิน 30 วัน หากจำเป็นต้องยึดไว้เกินกำหนด ให้ยื่นคำร้องต่อศาลแพ่งเพื่ อขยายเวลาได้ไม่เกิน 90 วัน
กำหนดโทษคนอื่นหนัก แต่ความรับผิดชอบตัวเองยังไม่ค่ อยพูดถึง
ในบทกำหนดโทษระบุว่า ผู้ใดไม่ปฏิบัติตามหนังสือเรีเนื่องจากตัวองค์กรไม่ใช่หน่
นอกจากนั้น การเอาข้อมูลสำคัญของทั้งภาครัฐ รัฐวิสาหกิจรวมถึงเอกชนไปไว้กั
เสียงจากเวทีรับฟังความเห็นกั งวลนิยามภัยไซเบอร์ อำนาจที่กว้างเกินไปของหน่วยงาน
บรรยากาศในงานรับฟังความเห็น มีคนเข้ามาเต็มห้อง นับจำนวนได้ราวหนึ่งร้อยคน
หลายเสียงในเวทีรับฟังความเห็นอกจากนั้น อำนาจของเลขาธิการในการขอข้อมูล ยึดอุปกรณ์ต่างๆ หรือเข้าถึงเคหสถานในกรณีที่มี
นอกจากนั้น การใช้คำว่า “คาดว่า” หรือ “มีเหตุที่เชื่อได้ว่า” นั้นให้ขอบเขตที่กว้างขวาง ขาดความชัดเจนและอาจทำไม่ได้
สมาคมความมั่นคงปลอดภั
- สำนักงานไม่มีธรรมาภิบาลอย่างร้
ายแรงและการขัดกันแห่ งผลประโยชน์ เนื่องจากเป็นหน่วยงานรัฐ เป็นนิติบุคคล แต่ไม่เป็นส่วนราชการ ถือหุ้นได้ กู้ยืมเงินได้ แต่ไม่ต้องส่งรายได้เข้าคลังแผ่ นดิน การที่เป็นหน่วยงานที่ทำหน้าที่ บังคับใช้กฎหมาย ไม่ควรจะมีหน้าที่เป็นผู้ให้บริ การ และไม่ควรจะต้องมี การแสวงหารายได้และการถือหุ้นกั บเอกชน - อำนาจครอบจักวาล ผูกขาดความรับผิดชอบในทุกเรื่
องที่เกี่ยวกับไซเบอร์ (ม.16 ม.51-58) ควรแยกหน่วยงานที่จัดทำนโยบาย ให้บริการ กำกับดูแล ออกจากกันอย่างเด็ดขาด ไม่รวมที่หน่วยงานเดียวเพื่ อความโปร่งใสและมีประสิทธิภาพ - เลขาธิการมีอำนาจมากเกินไป สั่งหน่วยงานราชการ หน่วยงานความมั่นคง หน่วยงานรัฐ เอกชนและประชาชนได้ (ม.21-31 ม.51-58) โดยเฉพาะการออกคำสั่งบุคคลเพี
ยงเพราะมีเหตุสงสัยว่าเกี่ยวข้ องหรือได้รับผลกระทบจากภัยคุ กคามไซเบอร์ และการเข้าถึงสถานที่ประกอบการ ทรัพย์สินสารสนเทศ ตรวจสอบ ยึดคอมพิวเตอร์หรืออุปกรณ์ โดยไม่ต้องมีหมายศาล
ทางสมาคมโทรคมนาคมแห่
นอกจากนั้นยังเสนอให้มี
แสดงความคิดเห็น