ร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ 62 เปิดช่องเจ้าหน้าที่รัฐ สอดส่อง คนเห็นต่างได้

ร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ ‘พ.ร.บ.มั่นคงไซเบอร์ฯ’ เป็นหนึ่งในกฎหมายที่รัฐบาลภายใต้คณะรักษาความสงบแห่งชาติพยายามผลักดันมาอย่างต่อเนื่องนับตั้งแต่ปี 2558 แต่ทุกครั้งที่ร่างดังกล่าวปรากฎต่อสาธารณะ ก็จะตามมาด้วยเสียงคัดค้าน เหตุผลหลัก คือ ความกังวลว่า กฎหมายดังกล่าวจะเปิดช่องให้รัฐเข้าถึงข้อมูลการสื่อสาร การแสดงความคิดเห็นบนโลกออนไลน์ได้โดยไม่ต้องมีหมายศาล

วันพฤหัสที่ 28 กุมภาพันธ์ 2562 ร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ ถูกบรรจุอยู่ในวาระการพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) อีกครั้ง และท้ายที่สุด สนช. ก็มติเห็นชอบร่างกฎหมายฉบับดังกล่าว ด้วยคะแนนเสียงเห็นชอบ 133 เสีย ไม่เห็นชอบ 0 เสียง และงดออกเสียง 16 เสียง ภายในระยะเวลาเพียง 3 ชั่วโมง โดยไม่มีการปรับแก้ประเด็นที่เสี่ยงจะถูกนำมาใช้ละเมิดสิทธิของประชาชนอยู่เหมือนเดิม

หลักการทั่วไป ‘ภัยคุกคามไซเบอร์’ คือ การโจมตีระบบและข้อมูล

โดยทั่วไป ‘ความมั่นคงปลอดภัยไซเบอร์’ เป็นเรื่องเกี่ยวกับ การสร้างความมั่นคงปลอดภัยในระบบ (network) และข้อมูล (data) โดยภัยคุกคามทางไซเบอร์ หมายถึง การกระทำที่สร้างความเสียหายต่อระบบและข้อมูลที่ทำให้ระบบและข้อมูลนั้นไม่เป็นความลับ ไม่อยู่ในสภาพพร้อมใช้งาน หรือขาดความครบถ้วนสมบูรณ์

ความหมายข้างต้น สอดคล้องกับ บทนิยาม ‘ภัยคุกคามไซเบอร์’ ตาม ร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ ในมาตรา 3 ที่ระบุว่า “ภัยคุกคามไซเบอร์ หมายถึง การกระทำหรือดำเนินการใดๆ โดยมิชอบโดยใช้คอมพิวเตอร์ หรือ ระบบคอมพิวเตอร์ หรือ โปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดการประทุุษร้าย หรือ เป็นภยันตรายที่ใกล้จะถึงที่ก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง” 

กล่าวคือ นิยามภัยคุกคามไซเบอร์ ตาม ร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ  ในมาตรา 3 หมายถึงการกระทำใดๆ ที่ใช้คอมพิวเตอร์ ข้อมูล หรือโปรแกรม เพื่อให้เกิดความเสียหายแก่คอมพิวเตอร์ การทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ เป็นต้น ซึ่งเป็นเรื่องของความปลอดภัยทางระบบหรือเป็นเรื่องเทคนิคไม่เกี่ยวกับการแสดงความคิดเห็น หรือการวิพากษ์วิจารณ์รัฐบาล

กฎหมายเปิดช่องให้ ‘เนิ้อหา’ บนโลกออนไลน์ เป็นภัยคุกคามไซเบอร์

แม้ว่า ร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 3 จะตีกรอบให้ภัยคุกคามไซเบอร์หมายถึงการโจมตีข้อมูลและระบบทางไซเบอร์ ทำให้กฎหมายนี้ไม่อาจเอามาใช้เพื่อปิดกั้นการแสดงความคิดเห็นแตกต่างจากรัฐบาลได้ แต่ทว่า ในมาตรา 59 กลับเปิดทางให้ตีความ ‘ขยาย’ ความหมายของภัยคุกคามไซเบอร์ให้กว้างขึ้น โดยแบ่งภัยคุกคามไซเบอร์ ออกเป็น 3 ระดับ ได้แก่

  1. ระดับไม่ร้ายแรง หมายถึง ภัยคุกคามไซเบอร์ที่ทำให้ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศหรือการให้บริการของรัฐด้อยประสิทธิภาพลง
  2. ระดับร้ายแรง หมายถึง ภัยคุกคามไซเบอร์ที่มีการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ ที่มีผลทำให้ระบบคอมพิวเตอร์ หรือคอมพิวเตอร์ที่เกี่ยวข้องกับการให้บริการด้านความมั่นคงของรัฐ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชน ไม่สามารถทำงานหรือให้บริการได้
  3. ระดับวิกฤติ แบ่งออกเป็น 2 อย่าง คือ
    1. ภัยคุกคามจากการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ที่ส่งผลกระทบรุนแรงเป็นวงกว้าง ทำให้การทำงานของหน่วยงานรัฐ การให้บริการของโครงสร้างพื้นฐานสำคัญของประเทศที่ให้กับประชาชนล้มเหลวทั้งระบบ จนรัฐควบคุมไม่ได้และเสี่ยงจะทำให้บุคคลจำนวนมากเสียชีวิตหรือระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์จำนวนมากถูกทำลายเป็นวงกว้างในระดับประเทศ
    2. ภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียงร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐหรืออาจทำให้ประเทศหรือส่วนใดส่วนหนึ่งของประเทศตกอยู่ในภาวะคับขันหรือมีการกระทำความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา การรบหรือการสงคราม

ในข้อ 3.2 เป็นจุดที่อันตราย เรื่องจากตัวร่างกฎหมายจงใจใช้ถ้อยคำที่ตีความได้กว้างมากขึ้นกว่านิยามในมาตรา 3 เช่น “อันกระทบหรืออาจกระทบต่อความสงบเรียงร้อยของประชาชนหรือเป็นภัยต่อความมั่นคงของรัฐ..” การเขียนกฎหมายเช่นนี้ เสียงต่อการที่ในอนาคตอาจมีผู้ที่เจตนาไม่ดี ตีความให้คำว่า “ภัยคุกคามไซเบอร์” ครอบคลุมถึงประเด็น “เนื้อหา” บนโลกออนไลน์มากกว่าเรื่องระบบ ทำให้การใช้คอมพิวเตอร์และอาจเกิดความเสียหายต่อความสงบเรียบร้อยของประชาชนหรือเป็นภัยต่อความมั่นคงของรัฐ ตกอยู่ภายใต้อำนาจตามกฎหมายนี้ ให้เจ้าหน้าที่สามารถเข้าถึงข้อมูลของประชาชนที่เพียงเห็นต่างและทำกิจกรรมต่อต้านรัฐบาลในขณะนั้นได้

เพื่อประโยชน์ในการทำงาน เจ้าหน้าที่สามารถขอข้อมูลจากใครก็ได้

ในร่างพ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 61 ระบุว่า เพื่อประโยชน์ในการวิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามไซเบอร์ เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) มีอำนาจขอความร่วมมือจากบุคคลให้มาให้ข้อมูล หรือทำข้อมูลเป็นหนังสือเกี่ยวกับภัยคุกคามไซเบอร์ และสามารถขอข้อมูล เอกสาร หรือสำเนาข้อมูล ที่อยู่ในการครอบครองของผู้อื่นได้ หากเห็นว่า เป็นประโยชน์ รวมถึงสามารถเข้าไปในอสังหาริมทรัพย์หรือสถานประกอบการที่เกี่ยวข้องกับภัยคุกคามไซเบอร์ได้ แต่ต้องได้รับความยินยอมจากผู้ครอบครองสถานที่นั้น

กรณีเร่งด่วน ยึด-ค้น-เจาะระบบ-ทำสำเนา ไม่ต้องขอหมายจากศาล

ในร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 65 กำหนดว่า ในกรณีที่คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกม.) เห็นว่า มีภัยคุกคามไซเบอร์ในระดับที่ร้ายแรงขึ้นไป ให้เจ้าหน้าที่รัฐสามารถตรวจค้นสถานที่ได้ และสามารถค้นคอมพิวเตอร์ เข้าถึงข้อมูล เข้าถึงระบบคอมพิวเตอร์ เจาะระบบ หรือทำสำเนาเอาข้อมูลทั้งหมดในคอมพิวเตอร์หรือในระบบคอมพิวเตอร์ไปได้ รวมถึงสามารถยึดหรืออายัดคอมพิวเตอร์ไว้ได้ หากมีเหตุอันควรเชื่อว่ามีความเกี่ยวข้องกับภัยคุกคามไซเบอร์

แต่การจะเข้าถึงข้อมูลหรือระบบคอมพิวเตอร์ การทำสำเนา การเจาระบบ หรือยึดอายัค เจ้าหน้าที่ต้องดำเนินการ ‘ขอหมายศาล’ เพื่อให้มีอำนาจในการดำเนินการ แต่ถ้าในกรณีจำเป็นเร่งด่วน ก็สามารถดำเนินการได้โดยไม่ต้องยื่นขอหมายศาล

เมื่อมีภัยคุกคามร้ายแรง สามารถสอดส่องข้อมูลได้แบบ Real-time

ในร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 67 วรรคสองระบุว่า ในกรณีที่มีภัยคุกคามระดับร้ายแรงหรือวิกฤติ และเพื่อประโยชน์ในการป้องกัน ประเมินผล รับมือ ปราบปราม ระงับ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ให้เลขาธิการคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติโดยความเห็นชอบของ กกม. มีอำนาจขอข้อมูลที่เป็นปัจจุบันและต่อเนื่อง (ข้อมูลแบบ Real-time) จากผู้ที่เกี่ยวข้องกับภัยคุกคามไซเบอร์

โดยอำนาจทั้งหลายที่มีอยู่ในร่างกฎหมายนี้ มาตรา 68 กำหนดว่า ไม่อนุญาตให้ผู้ที่ได้รับคำสั่งอันเกี่ยวกับการรับมือภัยคุกคามไซเบอร์อุทธรณ์คำสั่งได้ในกรณีที่เป็นการใช้อำนาจเมื่อมีภัยคุกคามในระดับร้ายแรงขึ้นไป

เมื่อมีภัยคุกคามในระดับวิกฤติ ให้เป็นอำนาจหน้าที่ของสภาความมั่นคงแห่งชาติ

ในร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 66 กำหนดให้ กรณีที่เกิดภัยคุกคามไซเบอร์ในระดับวิกฤติ ให้เป็นหน้าที่และอำนาจของสภาความมั่นคงแห่งชาติในการดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ตามกฎหมายว่าด้วยสภาความมั่นคงแห่งชาติ หรือกฎหมายอื่นทีเกี่ยวข้อง

ทั้งนี้ สภาความมั่นคงแห่งชาติ ประกอบไปด้วย นายกรัฐมนตรี รองนายกรัฐมนตรี รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวงการคลัง รัฐมนตรีว่าการกระทรวงต่างประเทศ รัฐมนตรีว่าการกระทรวงคมนาคม รัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร รัฐมนตรีว่าการกระทรวงมหาดไทย รัฐมนตรีว่าการกระทรวงยุติธรรม ผู้บัญชาการทหารสูงสุด เลขาธิการสภาความมั่นคงแห่งชาติ

ส่วนอำนาจหน้าที่ตามกฎหมายสภาความมั่นคงแห่งชาติ ยังกำหนดให้สภาความมั่นคงแห่งชาติเสนอนายกรัฐมนตรี หรือคณะรัฐมนตรี ให้อนุมัติหรือสั่งการให้หน่วยงานของรัฐหรือเจ้าหน้าที่รัฐดำเนินการตามอำนาจหน้าที่เพื่อป้องกัน แก้ไข หรือระงับยับยั้งภัยคุกคามดังกล่าวได้

ข้อมูลการสื่อสารที่เจ้าหน้าที่ได้ไป สามารถนำไปดำเนินคดีข้อหาอื่นได้

ในร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 69 วรรคสอง กำหนดให้พนักงานเจ้าหน้าที่เปิดเผยหรือส่งมอบข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ หรือข้อมูลอื่นๆ ที่เกี่ยวกับระบบคอมพิวเตอร์ให้กับผู้อื่นได้ ในกรณีเพื่อประโยชน์ในการดำเนินคดีกับผู้กระทำความผิดตามกฎหมายมั่นคงไซเบอร์หรือกฎหมายอื่น หรือเพื่อประโยชน์ในการดำเนินคดีกับพนักงานเจ้าหน้าที่เกี่ยวกับการใช้อำนาจโดยมิชอบ

กล่าวโดยสรุป ก็คือ เจ้าหน้าที่สามารถส่งมอบข้อมูลต่างๆ ที่ได้รับมาจากการเข้าถึงด้วยอำนาจพิเศษนี้ โดยเฉพาะข้อมูลจราจรคอมพิวเตอร์ที่จะระบุถึง การใช้งานอินเทอร์เน็ตเพื่อติดต่อสื่อสารกันของประชาชน ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่นๆ ที่เกี่ยวข้องเพื่อใช้ในการดำเนินคดีในข้อหาอื่นนอกเหนือจากการกระทำความผิดตาม พ.ร.บ.มั่นคงไซเบอร์ฯ ได้

ผู้ใช้คอมพิวเตอร์ที่ไม่ยอมกำจัดไวรัสคอมพิวเตอร์มีโอกาสติดคุก

ในร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 64 กำหนดให้ กกม. มีอำนาจออกคำสั่งไปยังบุคคลผู้เป็นเจ้าของ ผู้ครอบครอง หรือผู้ใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือผู้ดูแลระบบคอมพิวเตอร์ ซึ่งเกี่ยวข้องกับภัยคุกคามไซเบอร์ ให้ดำเนินการใดๆ เพื่อป้องกันภัยคุกคามไซเบอร์ได้ ดังนี้

  1. ให้เฝ้าระวังคอมพิวเตอร์หรือระบบคอมพิวเตอร์ในช่วงเวลาใดระยะเวลาหนึ่ง
  2. ตรวจสอบคอมพิวเตอร์หรือระบบคอมพิวเตอร์เพื่อหาข้อบกพร่อง
  3. ดำเนินการแก้ไขภัยคุกคามไซเบอร์หรือข้อบกพร่อง หรือกำจัดชุดคำสั่งไม่พึงประสงค์ (กำจัดไวรัส)
  4. รักษาสถานะของข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์เพื่อดำเนินการทางนิติวิทยาศาสตร์
  5. เข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง

จะเห็นว่า อำนาจที่สั่งให้ประชาชนต้องดำเนินการตามนั้น มีลักษณะเป็นเรื่อง ‘เชิงเทคนิค’ ทางคอมพิวเตอร์เสียเยอะ ได้แก่ การเฝ้าระวัง การตรวจสอบ หรือดำเนินการแก้ไขภัยคุกคามไซเบอร์ ซึ่งเป็นเรื่องปกติที่เจ้าหน้าที่หรือผู้เชี่ยวชาญด้านคอมพิวเตอร์พอจะทำได้

แต่ทว่า กฎหมายกับครอบคลุมคำสั่งไปยัง “เจ้าของ ผู้ครอบครอง หรือผู้ใช้คอมพิวเตอร์” ทำให้ผู้ใช้งานคอมพิวเตอร์โดยทั่วไป ที่ไม่มีความรู้ความเชี่ยวชาญทางคอมพิวเตอร์ และไม่ได้ตรวจสอบ แก้ไข หรือแม้แต่กำจัดไวรัสที่มีผลเป็นภัยคุกคามไซเบอร์ ก็จะมีความผิดไปด้วย โดยกำหนดโทษจำคุกไม่เกิน 1 ปี  หรือปรับไม่เกิน 100,000 บาท

ขอบคุณข้อมูลจาก iLaw

Banner-Jarrett-Lloyd

To contact Jarrett Lloyd by phone, please call +66-2392-4187 or email at contact@jarrettlloyd.com