กลายเป็นประเด็นที่เรียกเสียงวิพากษ์วิจารณ์จากสังคมได้อย่างกว้างขวาง สำหรับความพยายามของรัฐในการผลักดันร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … หรือที่เรียกกันง่ายๆ กว่า “กฎหมายไซเบอร์” เนื่องจากมีหลายประเด็นที่สังคมยังเคลือบแคลง โดยเฉพาะการให้อำนาจชนิด “ล้นฟ้า” กับ คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.)และเลขาธิการ กปช. เช่น การอนุญาตให้เจ้าหน้าที่ดักฟังการสื่อสารของเราทุกช่องทาง รวมถึงการบังคับเพื่อเข้าตรวจค้น ยึด และเข้าถึงเครื่องคอมพิวเตอร์ส่วนบุคคล หากสงสัยว่าอาจมีการกระทำอันเป็น “ภัยคุกคาม” ต่อความมั่นคงปลอดภัยทางไซเบอร์
ขณะที่ “สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์” (ETDA) ซึ่งเป็นเจ้าภาพในการนำเสนอร่างกฎหมายฉบับดังกล่าวก็ยืนยันถึงความจำเป็นที่จะต้องเตรียมพร้อมสำหรับภัยคุกคามทางไซเบอร์ เพราะนี่คือปัญหาสำคัญระดับโลก ที่แม้แต่ World Economic Forum ยังกำหนดให้เรื่องนี้เป็น 1 ใน 5 ประเด็นสำคัญที่มีความเสี่ยงระดับ TOP 5 ของโลกเลยทีเดียว
รายงานฉบับนี้ จึงขออนุญาตนำเนื้อหาการแลกเปลี่ยนความคิดเห็นเกี่ยวกับกฎหมายฉบับดังกล่าวในหัวข้อ “อันตรายกฎหมายไซเบอร์…?” บนเวที “ราชดำเนินเสวนา” จัดโดยสมาคมนักข่าวและนักหนังสือพิมพ์แห่งประเทศไทย เมื่อช่วงปลายเดือนตุลาคม 2561 เพื่อฉายภาพให้เห็นว่า เนื้อในของกฎหมายฉบับนี้ มีข้อดีข้อเสียอย่างไร และท้ายที่สุดแล้ว หน้าตาของ “กฎหมายไซเบอร์” ในบ้านเรา ควรจะออกมาอย่างไร
โดยบนเวทีดังกล่าว นางสุรางคณา วายุภาพ ผู้อำนวยการ ETDA ได้เปิดประเด็นโดยชี้ให้เห็นถึงความจำเป็นที่ต้องมีกฎหมายฉบับนี้ว่า ที่ผ่านมา ทุกคนคงได้ยินข่าวข้อมูลรั่วไหลของโรงพยาบาลในสิงค์โปร์ หรือโรงพยาบาลในอังกฤษถึงกับต้องหยุดการให้บริการ เนื่องจากถูกโจมตี ซึ่งอนาคตก็จะยังคงเกิดเรื่องลักษณะนี้ต่อไป ทำให้ประเทศต่าง ๆ ต้องเขียนกฎหมายเพื่อสร้างความมั่นคงและปลอดภัยทางไซเบอร์ขึ้นมา
“ปัจจุบันเราทราบดีว่า อินเตอร์เน็ตมีบทบาทด้านต่าง ๆ มากมาย หากมีการโจมตี ISP หรือโจมตีระบบสาธารณูปโภค เช่น ไฟฟ้า จนระบบล่มขึ้นมา ก็จะส่งผลกระทบและความเสียหายได้ในวงกว้าง ดังนั้นเราจึงต้องมีการวางระบบบป้องกัน และมีหน่วยงานสอดส่องดูแล เพื่อยกระดับความแข็งแรงในการคุ้มครองระบบไซเบอร์ของประเทศ นี่คือ Conceptของกฎหมาย” ผอ. EDTAกล่าว
นายไพบูลย์ อมรภิญโญเกียรติผู้ทรงคุณวุฒิคณะกรรมการเตรียมการไซเบอร์แห่งชาติ กล่าวว่า ร่างกฎหมายไซเบอร์ของไทย มีต้นแบบมาจากกฎหมาย Cyber Security Act 2018 ของสิงคโปร์ แต่ในการยกร่างกลับพบเนื้อหาที่เป็นปัญหา ประกอบด้วย
1.แม้เจตนารมณ์ของกฎหมายจะมุ่งปกป้องโครงสร้างพื้นฐานรวมถึงระบบสาธารณูปโภคต่าง ๆ จากการถูกโจมตี แต่กฎหมายของไทยกลับขยายขอบเขตการครอบคลุมออกไป เช่น ในมาตรา 56 (2) ที่มีคำว่า “ความมั่นคงของรัฐ” และ “ความสงบเรียบร้อยของประชาชน” ซึ่งสามารถนำไปตีความได้อย่างกว้างขวาง เปิดช่องให้ผู้ถืออำนาจรัฐสั่งการให้เลขาธิการ กปช. ดำเนินการบางอยางกับเนื้อหาที่เห็นว่าไม่เหมาะสมได้
2.กฎหมายฉบับนี้ให้อำนาจเลขาฯ กปช. ไว้ยิ่งใหญ่มาก คือการที่มีคำสั่งใดๆ ออกมาแล้วผู้ได้รับผลกระทบไม่สามารถอุทธรณ์ได้ หรือแม้แต่กรณีการคุ้มครองข้อมูลของลูกค้าของบริษัทเอกชน เพราะเนื้อหากฎหมายระบุว่า เราไม่อาจยกเอาหน้าที่ตามกฎหมายอื่น หรือตามสัญญามาปฏิเสธการขอข้อมูลดังกล่าวได้
“ผมคิดว่าทุกคน เราอาจจะแชทหาแฟน กิ๊ก หรือใครก็ตาม หรือมีความชอบส่วนตัวแบบแปลกๆ ชอบดูอะไรแปลกๆ และเราก็ไม่อยากให้ใครมาเห็นข้อมูลเรา ทุกครั้งเวลาที่มีหน่วยงานมาเรียกข้อมูลไป ก็ต้องไม่สบายใจแน่นอนว่า ข้อมูลตรงนั้นจะเป็นข้อมูลที่มันเกี่ยวข้องไหม ดังนั้นกฎหมายสิงคโปร์หรือกฎหมายทั่วโลกจะคุ้มครองเรื่องความเป็นส่วนตัว แต่กฎหมายฉบับนี้มันมีความเหลื่อมล้ำกับกฎหมายข้อมูลส่วนบุคคล”
3.ร่างกฎหมายไซเบอร์ของไทย มีบทลงโทษกรณีขัดคำสั่งเลขา กปช. ในทุกกรณี
4.ในมาตรา 57 ที่ให้อำนาจเลขาฯ กปช. ออกคำสั่งให้หน่วยงานหรือบุคคลต่าง ๆ ปฏิบัติตามได้ทันที เพียงแค่ “มีเหตุอันควรสงสัยว่า” ซึ่งขัดกับหลักการของกฎหมายทั่วไปอื่น ๆ ที่จะใช้อำนาจนี้ได้ก็ต่อเมื่อ “มีเหตุอันเชื่อได้ว่า” ซึ่งเป็นเหตุผลที่มีนำหนักและความชัดเจนมากกว่า
5.ในมาตรา 58 ที่ให้อำนาจเลขาฯ กปช. เข้าถึงระบบหรืออุปกรณ์ที่เกี่ยวกับไซเบอร์ของหน่วยงานหรือบุคคลใด ๆ โดยสห้ดำเนินการได้หลายอย่าง เช่น ข้อ (2) ทำสำเนา สกัดคัดกรอง โดยยังใช้คำว่า “มีเหตุอันควรสงสัยว่า” และไม่ต้องขอหมายศาล ส่วนในข้อ (4) ที่ให้อำนาจยึดอุปกรณ์ แม้จะมีการใช้คำว่า “มีเหตุอันเชื่อได้ว่า” แต่ก็ยังน่ากังวล เพราะเป็นคำสั่งที่ไม่สามารถอุทธรณ์ได้ และเรื่องนี้จริง ๆ ควรต้องมีหมายศาลก่อน หรือต่อให้เป็นเรื่องเร่งด่วน อย่างน้อยก็ควรต้องรายงานให้ศาลรับทราบก่อนเช่นกัน
นายเจษฎา ศิวรักษ์หัวหน้ากลุ่มวิชาการ คณะทำงานความมั่นคงปลอดภัยไซเบอร์ สมาคมโทรคมนาคมแห่งประเทศไทยในพระบรมราชูปถัมภ์ กล่าวว่าทุกวันนี้ภาคเอกชนด้านโทรคมนาคมโดนโจมตีทางไซเบอร์แทบทุกวันอยู่แล้ว แต่เขาก็มีมาตรการรับมือ เพราะถ้าเน็ตเวิร์คเขาล่มชื่อเสียงเขาก็ไปก่อน สิ่งที่เขากลัว คือ พอหน่วยงานรัฐตั้งมาใหม่ แต่ประสบการณ์ไม่มี ไปออกกฎอะไรก็ไม่รู้ เขาจะทำอย่างไร หลายปีที่ผ่านมาโอเปอเรเตอร์มือถือ 3เจ้าถูกโจมตีไหม ก็โดนอยู่ทุกวันโดนเป็นปกติ แต่เขาก็รู้วิธีการรับมือ เรื่องนี้เป็นส่วนหนึ่งที่เขาเน้น
งานความมั่นคงปลอดภัยไซเบอร์เป็นงานที่มีต้องอาศัยความร่วมมือกันระหว่างประเทศ จึงต้องสร้างกลไกที่เอื้อต่อความร่วมมือนี้ด้วย รวมถึงต้องระวังเรื่อง “เสรีภาพบนอินเตอร์เน็ต” เพราะหากออกกฎหมายเพื่อลดทอนเสรีภาพนี้โดยไม่สมเหตุสมผล จะส่งผลกระทบต่อการขยายตัวของภาคธุรกิจบนอินเตอร์เน็ตได้
รศ.คณาธิป ทองรวีวงศ์ ผู้อำนวยการสถาบันกฎหมายสื่อดิจิทัล มหาวิทยาลัยเกษมบัณฑิต กล่าวว่า ในทางสากลแม้สิทธิการแสดงความคิดเห็นและสิทธิความเป็นส่วนตัวจะสามารถถูกจำกัดโดยกฎหมายได้ แต่การออกกฎหมายมาจำกัดสิทธิดังกล่าวต้องมีขอบเขตไม่กว้างเกินไป และมีการตรวจสอบถ่วงดุล แต่กฎหมายไซเบอร์ของไทย มีเนื้อหาที่สามารถตีความได้กว้างขวางมาก
เช่น มาตรา 57 – 58 ที่มีเรื่องการ “สอดแนม” ในทางสากลก็อนุญาตให้ทำได้ภายใต้ขอบเขตที่ชัดเจน ทั้งตัวบุคคลที่ถูกสอดส่อง ข้อมูลอะไรบ้างที่สามารถเข้าถึงได้ มาตรการที่ใช้ต้องไม่กว้างขวางเกินไป และต้องจำกัดเวลาที่อนุญาตให้ทำได้ เพื่อป้องกันการที่รัฐจะนำไปสอดส่องการแสดงความคิดเห็นของประชาชนแบบวงกว้าง ดังเช่นกรณีที่Edward Snowdenเคยออกมาเปิดโปงหน่วยงานรัฐบาลสหรัฐที่กระทำการดังกล่าว
แม้ร่างกฎหมายล่าสุด จะเขียนนิยามความมั่นคงไซเบอร์ไว้ที่ระบบสารสนเทศ จึงไม่น่าจะครอบคลุมถึงเนื้อหา เช่น การโพสต์ข้อความโจมตีรัฐบาล แต่สุดท้ายก็ต้องขึ้นอยู่กับการตีความ และสิ่งที่น่ากังวลมากไม่แพ้กัน คือ แม้กฎหมายจะไม่มีโทษโดยตรงกับเรื่องดังกล่าว แต่อาจเข้าข่ายปรากฏการณ์ “Chilling Effect” ที่ประชาชนกลัวได้รับผลกระทบจากกฎหมายในทางอ้อม จนไม่กล้าแสดงความคิดเห็นเลยก็ได้
ขณะที่ในช่วงท้ายของการเสวนา นางสุรางคณา ได้กล่าวชี้แจงถึงข้อกังวลจากฝ่ายต่างๆ โดยแยกเป็นประเด็นได้ดังนี้
1.ประเด็นไม่สามารถอุทธรณ์คำสั่งเลขาฯ กปช. ซึ่งแม้ร่างกฎหมายไซเบอร์จะไม่ระบุเรื่องนี้เอาไว้ แต่ในทางปฏิบัติ กปช. ยังต้องทำงานภายใต้กฎหมายอย่างน้อย 2 ฉบับ คือ พ.ร.บ.วิธีปฏิบัติราชการทางปกครอง พ.ศ.2539 ซึ่งหาก กปช. ใช้อำนาจแล้วมีผู้ไม่เห็นด้วย ก็สามารถร้องเรียนได้ และ ประมวลกฎหมายอาญามาตรา 157 เกี่ยวกับการปฏิบัติหรือละเว้นการปฏิบัติหน้าที่โดยมิชอบ
2.กรณีไม่ต้องผ่านศาล เรื่องนี้เข้าใจคนร่างกฎหมายที่เห็นว่า ภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างรวดเร็ว เพียงแค่คลิกเดียว หรือเพียงเสี้ยววินาที ก็อาจสร้างความเสียหายได้เป็นวงกว้าง การขอศาลอาจไม่ทันการ
3.การเรียกข้อมูลกรณีภัยร้ายแรง (มาตรา 56) ที่มีคำว่า “ความมั่นคงของรัฐ” กับ “ความสงบเรียบร้อยของประชาชน” ซึ่งยอมรับว่ามีความน่ากังวลหลังมีบทเรียนจาก พ.ร.บ.คอมพิวเตอร์ ที่แม้เจตนาดี แต่การบังคับใช้ในประเด็นความมั่นคงถูกตีความก้าวล่วงไปถึงเรื่องเนื้อหาด้วย
4.การป้องกันความเสี่ยงทางไซเบอร์ที่ใช้ถ้อยคำ “มีเหตุอันควรสงสัยว่า” แทนที่จะใช้ “มีเหตุอันเชื่อได้ว่า” ซึ่งยอมรับว่าเป็นปัญหาจริงในการใช้ถ้อยคำ
5.การเข้าถึงข้อมูลส่วนบุคคล ในเจตนารมณ์ของกฎหมาย ข้อมูลที่ กปช. เข้าถึงและจัดเก็บได้ต้องเป็นข้อมูลที่เกี่ยวข้องกับภัยคุกคามไซเบอร์เท่านั้น อย่างไรก็ตามหากอ่านตามตัวอักษรก็อาจตีความตามที่หลายฝ่ายกังวล ดังนั้นอาจต้องปรับแก้ให้ชัดเจนกว่าที่เป็นอยู่
อย่างไรก็ตาม ผู้อำนวยการ EDTA ได้เปิดเผยในช่วงท้ายว่า กระบวนการแก้ไขเนื้อหาร่างกฎหมายดังกล่าว สามารถทำได้ในชั้นกฤษฎีกาไปจนถึงชั้นการพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) แต่ทั้งนี้ หากต้องการผลักดันให้กฎหมายเสร็จทันในรัฐบาลชุดนี้ ก็ต้องดำเนินการผลักดันให้เข้าสู่กระบวนการการพิจารณาของ สนช. อย่างช้าที่สุดภายในกลางเดือนธันวาคม เพื่อให้การพิจารณาเสร็จทันเวลาก่อนการเลือกตั้งทั่วไปในวันที่ 24 กุมภาพันธ์2562 ซึ่งจะส่งผลให้ สนช. พ้นวาระ และทำให้กระบวนการผลักดันการประกาศใช้กฎหมายฉบับนี้ถูกยื้อออกไปทันที
ดังนั้นในช่วงโค้งสุดท้ายของการเมืองไทย ก่อนจะมีการเลือกตั้งทั่วไปในต้นปีหน้า จึงต้องติดตามจับตาการผลักดันร่างกฎหมายไซเบอร์ฉบับนี้กันอย่างใกล้ชิด และที่สำคัญ “เนื้อใน” ของกฎหมายจะยังคงตามหลักการเดิมอยู่ต่อไปหรือไม่