วันนี้ (28 ก.พ.2562) #พรบไซเบอร์ ทะยานขึ้นสู่เทรนด์ทวิตเตอร์อันดับหนึ่ง หลัง ที่ประชุม สนช.มีมติ 133 เสียง งดออกเสียง 16 เสียง เห็นชอบร่างพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์
ก่อนหน้านี้โครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน (iLaw) หรือ ไอลอว์ มีการเผยแพร่ข้อมูลตั้งคำถาม ร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ 62: เปิดช่องเจ้าหน้าที่รัฐ "สอดส่อง" คนเห็นต่างได้
ร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ 'พ.ร.บ.มั่นคงไซเบอร์ฯ' เป็นหนึ่งในกฎหมายที่รัฐบาลภายใต้คณะรักษาความสงบแห่งชาติพยายามผลักดันมาอย่างต่อเนื่องนับตั้งแต่ปี 2558 และกำลังจะถูกบรรจุอยู่ในวาระการพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) อีกครั้ง
ไอลอว์ ระบุถึงรายละเอียดสำคัญในร่าง พ.ร.บ.นี้ หาก สนช. เห็นชอบในวาระดังกล่าวกฎหมายฉบับนี้จะถูกประกาศใช้เป็นกฎหมาย แม้ร่างฉบับนี้จะถูกปรับแก้ไปแล้วหลายต่อหลายรอบ แต่ก็ยังคงมีปัญหาที่เสี่ยงจะถูกนำมาใช้ละเมิดสิทธิของประชาชนอยู่เหมือนเดิม
'ภัยคุกคามไซเบอร์' คือ การโจมตีระบบและข้อมูล
ภัยคุกคามไซเบอร์ ตาม ร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ ในมาตรา 3 ระบุไว้ว่า "ภัยคุกคามไซเบอร์" หมายถึง การกระทำหรือดำเนินการใดๆ โดยมิชอบโดยใช้คอมพิวเตอร์ หรือ ระบบคอมพิวเตอร์ หรือ โปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดการประทุษร้าย หรือ เป็นภยันตรายที่ใกล้จะถึงที่ก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง"
สำหรับนิยามภัยคุกคามไซเบอร์ ตาม ร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ ในมาตรา 3 เป็นเรื่องของความปลอดภัยทางระบบหรือเป็นเรื่องเทคนิคไม่เกี่ยวกับการแสดงความคิดเห็น หรือการวิพากษ์วิจารณ์รัฐบาล แต่ในมาตรา 59 กลับเปิดทางให้ตีความ 'ขยาย' ความหมายของภัยคุกคามไซเบอร์ให้กว้างขึ้น โดยแบ่งภัยคุกคามไซเบอร์ ออกเป็น 3 ระดับ ได้แก่
1) ระดับไม่ร้ายแรง หมายถึง ภัยคุกคามไซเบอร์ที่ทำให้ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศหรือการให้บริการของรัฐด้อยประสิทธิภาพลง
2) ระดับร้ายแรง หมายถึง ภัยคุกคามไซเบอร์ที่มีการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ ที่มีผลทำให้ระบบคอมพิวเตอร์ หรือคอมพิวเตอร์ที่เกี่ยวข้องกับการให้บริการด้านความมั่นคงของรัฐ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชน ไม่สามารถทำงานหรือให้บริการได้
3) ระดับวิกฤติ แบ่งออกเป็น 2 อย่าง คือ
3.1) ภัยคุกคามจากการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ที่ส่งผลกระทบรุนแรงเป็นวงกว้าง ทำให้การทำงานของหน่วยงานรัฐ การให้บริการของโครงสร้างพื้นฐานสำคัญของประเทศที่ให้กับประชาชนล้มเหลวทั้งระบบ จนรัฐควบคุมไม่ได้และเสี่ยงจะทำให้บุคคลจำนวนมากเสียชีวิตหรือระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์จำนวนมากถูกทำลายเป็นวงกว้างในระดับประเทศ
3.2) ภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียงร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐหรืออาจทำให้ประเทศหรือส่วนใดส่วนหนึ่งของประเทศตกอยู่ในภาวะคับขันหรือมีการกระทำความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา การรบหรือการสงคราม
ในข้อ 3.2 เป็นจุดที่อันตราย เรื่องจากตัวร่างกฎหมายจงใจใช้ถ้อยคำที่ตีความได้กว้างมากขึ้นกว่านิยามในมาตรา 3 เช่น "อันกระทบหรืออาจกระทบต่อความสงบเรียงร้อยของประชาชนหรือเป็นภัยต่อความมั่นคงของรัฐ.." การเขียนกฎหมายเช่นนี้ เสียงต่อการที่ในอนาคตอาจมีผู้ที่เจตนาไม่ดี ตีความให้คำว่า "ภัยคุกคามไซเบอร์" ครอบคลุมถึงประเด็น "เนื้อหา" บนโลกออนไลน์มากกว่าเรื่องระบบ ทำให้การใช้คอมพิวเตอร์และอาจเกิดความเสียหายต่อความสงบเรียบร้อยของประชาชนหรือเป็นภัยต่อความมั่นคงของรัฐ ตกอยู่ภายใต้อำนาจตามกฎหมายนี้ ให้เจ้าหน้าที่สามารถเข้าถึงข้อมูลของประชาชนที่เพียงเห็นต่างและทำกิจกรรมต่อต้านรัฐบาลในขณะนั้นได้
เพื่อประโยชน์ในการทำงาน ขอข้อมูลจากใครก็ได้
ในร่างพ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 61 ระบุว่า เพื่อประโยชน์ในการวิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามไซเบอร์ เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) มีอำนาจขอความร่วมมือจากบุคคลให้มาให้ข้อมูล หรือทำข้อมูลเป็นหนังสือเกี่ยวกับภัยคุกคามไซเบอร์ และสามารถขอข้อมูล เอกสาร หรือสำเนาข้อมูล ที่อยู่ในการครอบครองของผู้อื่นได้ หากเห็นว่า เป็นประโยชน์ รวมถึงสามารถเข้าไปในอสังหาริมทรัพย์หรือสถานประกอบการที่เกี่ยวข้องกับภัยคุกคามไซเบอร์ได้ แต่ต้องได้รับความยินยอมจากผู้ครอบครองสถานที่นั้น
กรณีเร่งด่วน ยึด-ค้น-ทำสำเนา ไม่ต้องขอหมายจากศาล
ในร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 65 กำหนดว่า ในกรณีที่คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกม.) เห็นว่า มีภัยคุกคามไซเบอร์ในระดับที่ร้ายแรงขึ้นไป ให้เจ้าหน้าที่รัฐสามารถตรวจค้นสถานที่ได้ และสามารถค้นคอมพิวเตอร์ เข้าถึงข้อมูล เข้าถึงระบบคอมพิวเตอร์ เจาะระบบ หรือทำสำเนาเอาข้อมูลทั้งหมดในคอมพิวเตอร์หรือในระบบคอมพิวเตอร์ไปได้ รวมถึงสามารถยึดหรืออายัดคอมพิวเตอร์ไว้ได้ หากมีเหตุอันควรเชื่อว่ามีความเกี่ยวข้องกับภัยคุกคามไซเบอร์
แต่การจะเข้าถึงข้อมูลหรือระบบคอมพิวเตอร์ การทำสำเนา การเจาระบบ หรือยึดอายัค เจ้าหน้าที่ต้องดำเนินการ 'ขอหมายศาล' เพื่อให้มีอำนาจในการดำเนินการ แต่ถ้าในกรณีจำเป็นเร่งด่วน ก็สามารถดำเนินการได้โดยไม่ต้องยื่นขอหมายศาล
เมื่อมีภัยคุกคามร้ายแรง สอดส่องข้อมูลได้ Real-time
ในร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 67 วรรคสองระบุว่า ในกรณีที่มีภัยคุกคามระดับร้ายแรงหรือวิกฤติ และเพื่อประโยชน์ในการป้องกัน ประเมินผล รับมือ ปราบปราม ระงับ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ให้เลขาธิการคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติโดยความเห็นชอบของ กกม. มีอำนาจขอข้อมูลที่เป็นปัจจุบันและต่อเนื่อง (ข้อมูลแบบ Real-time) จากผู้ที่เกี่ยวข้องกับภัยคุกคามไซเบอร์
โดยอำนาจทั้งหลายที่มีอยู่ในร่างกฎหมายนี้ มาตรา 68 กำหนดว่า ไม่อนุญาตให้ผู้ที่ได้รับคำสั่งอันเกี่ยวกับการรับมือภัยคุกคามไซเบอร์อุทธรณ์คำสั่งได้ในกรณีที่เป็นการใช้อำนาจเมื่อมีภัยคุกคามในระดับร้ายแรงขึ้นไป
ระดับวิกฤติ ให้อำนาจหน้าที่ของสภาความมั่นคงแห่งชาติ
ในร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 66 กำหนดให้ กรณีที่เกิดภัยคุกคามไซเบอร์ในระดับวิกฤติ ให้เป็นหน้าที่และอำนาจของสภาความมั่นคงแห่งชาติในการดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ตามกฎหมายว่าด้วยสภาความมั่นคงแห่งชาติ หรือกฎหมายอื่นทีเกี่ยวข้อง
ทั้งนี้ สภาความมั่นคงแห่งชาติ ประกอบไปด้วย นายกรัฐมนตรี รองนายกรัฐมนตรี รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวงการคลัง รัฐมนตรีว่าการกระทรวงต่างประเทศ รัฐมนตรีว่าการกระทรวงคมนาคม รัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร รัฐมนตรีว่าการกระทรวงมหาดไทย รัฐมนตรีว่าการกระทรวงยุติธรรม ผู้บัญชาการทหารสูงสุด เลขาธิการสภาความมั่นคงแห่งชาติ
ส่วนอำนาจหน้าที่ตามกฎหมายสภาความมั่นคงแห่งชาติ ยังกำหนดให้สภาความมั่นคงแห่งชาติเสนอนายกรัฐมนตรี หรือคณะรัฐมนตรี ให้อนุมัติหรือสั่งการให้หน่วยงานของรัฐหรือเจ้าหน้าที่รัฐดำเนินการตามอำนาจหน้าที่เพื่อป้องกัน แก้ไข หรือระงับยับยั้งภัยคุกคามดังกล่าวได้
ข้อมูลที่เจ้าหน้าที่ได้ไป นำไปดำเนินคดีข้อหาอื่นได้
ในร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 69 วรรคสอง กำหนดให้พนักงานเจ้าหน้าที่เปิดเผยหรือส่งมอบข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ หรือข้อมูลอื่นๆ ที่เกี่ยวกับระบบคอมพิวเตอร์ให้กับผู้อื่นได้ ในกรณีเพื่อประโยชน์ในการดำเนินคดีกับผู้กระทำความผิดตามกฎหมายมั่นคงไซเบอร์หรือกฎหมายอื่น หรือเพื่อประโยชน์ในการดำเนินคดีกับพนักงานเจ้าหน้าที่เกี่ยวกับการใช้อำนาจโดยมิชอบ
กล่าวโดยสรุป ก็คือ เจ้าหน้าที่สามารถส่งมอบข้อมูลต่างๆ ที่ได้รับมาจากการเข้าถึงด้วยอำนาจพิเศษนี้ โดยเฉพาะข้อมูลจราจรคอมพิวเตอร์ที่จะระบุถึง การใช้งานอินเทอร์เน็ตเพื่อติดต่อสื่อสารกันของประชาชน ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่นๆ ที่เกี่ยวข้องเพื่อใช้ในการดำเนินคดีในข้อหาอื่นนอกเหนือจากการกระทำความผิดตาม พ.ร.บ.มั่นคงไซเบอร์ฯ ได้
ผู้ใช้คอมพิวเตอร์ที่ไม่กำจัดไวรัส มีโอกาสติดคุก
ในร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 64 กำหนดให้ กกม. มีอำนาจออกคำสั่งไปยังบุคคลผู้เป็นเจ้าของ ผู้ครอบครอง หรือผู้ใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือผู้ดูแลระบบคอมพิวเตอร์ ซึ่งเกี่ยวข้องกับภัยคุกคามไซเบอร์ ให้ดำเนินการใดๆ เพื่อป้องกันภัยคุกคามไซเบอร์ได้ ดังนี้
1) ให้เฝ้าระวังคอมพิวเตอร์หรือระบบคอมพิวเตอร์ในช่วงเวลาใดระยะเวลาหนึ่ง
2) ตรวจสอบคอมพิวเตอร์หรือระบบคอมพิวเตอร์เพื่อหาข้อบกพร่อง
3) ดำเนินการแก้ไขภัยคุกคามไซเบอร์หรือข้อบกพร่อง หรือกำจัดชุดคำสั่งไม่พึงประสงค์ (กำจัดไวรัส)
4) รักษาสถานะของข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์เพื่อดำเนินการทางนิติวิทยาศาสตร์
5) เข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง
จะเห็นว่า อำนาจที่สั่งให้ประชาชนต้องดำเนินการตามนั้น มีลักษณะเป็นเรื่อง 'เชิงเทคนิค' ทางคอมพิวเตอร์เสียเยอะ ได้แก่ การเฝ้าระวัง การตรวจสอบ หรือดำเนินการแก้ไขภัยคุกคามไซเบอร์ ซึ่งเป็นเรื่องปกติที่เจ้าหน้าที่หรือผู้เชี่ยวชาญด้านคอมพิวเตอร์พอจะทำได้
แต่ทว่า กฎหมายกับครอบคลุมคำสั่งไปยัง "เจ้าของ ผู้ครอบครอง หรือผู้ใช้คอมพิวเตอร์" ทำให้ผู้ใช้งานคอมพิวเตอร์โดยทั่วไป ที่ไม่มีความรู้ความเชี่ยวชาญทางคอมพิวเตอร์ และไม่ได้ตรวจสอบ แก้ไข หรือแม้แต่กำจัดไวรัสที่มีผลเป็นภัยคุกคามไซเบอร์ ก็จะมีความผิดไปด้วย โดยกำหนดโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 100,000 บาท
อ่านข่าวที่เกี่ยวข้อง
ผู้เชี่ยวชาญชี้ พ.ร.บ.ไซเบอร์ เน้นป้องกันโจมตีระบบโครงสร้างพื้นฐาน