ไขข้อข้องใจ "พ.ร.บ.มั่นคงไซเบอร์ 62" ป้องกันหรือควบคุม?
พิราภรณ์ วิทูรัตน์ : เรื่อง
เป็นที่ทราบกันแล้วว่าสภานิติบัญญัติแห่งชาติ หรือ สนช. ลงมติเห็นชอบร่างพระราชบัญญัติการรักษาความมั่นคงปลอดภัย
ไซเบอร์ในวาระที่ 3 เป็นเอกฉันท์ถึง 133 เสียงด้วยกัน ภายหลังการนำเสนอข่าวได้เกิดกระแสวิพากษ์วิจารณ์ไปในทิศทางที่ไม่สู้ดีนัก หลายฝ่ายแสดงความกังวลเกี่ยวกับรายละเอียดร่าง พ.ร.บ.ฉบับนี้ว่า อาจเป็นการเปิดช่องให้รัฐเข้ามาควบคุมจัดการสิทธิเสรีภาพในพื้นที่ออนไลน์ของผู้ใช้งานได้ง่ายขึ้น
แม้มติเห็นชอบของ สนช.จะล่วงเลยมาหลายวันแล้ว แต่ร่าง พ.ร.บ.ไซเบอร์ฉบับนี้ยังถูกจับตาและได้รับความสนใจในหมู่ผู้ใช้งานสื่อโซเชียลมีเดียตลอดเวลา ในโอกาสนี้ “ดีไลฟ์-ประชาชาติธุรกิจ” จะพาทุกท่านไปสำรวจเจาะลึกถึงร่าง พ.ร.บ.เจ้าปัญหาฉบับนี้โดยคณาจารย์-ผู้เชี่ยวชาญในงานเสวนา “เจาะลึก พ.ร.บ.มั่นคงไซเบอร์ 62 คุ้มกันหรือควบคุมพื้นที่ออนไลน์” ทั้งเจตนารมณ์ของกฎหมาย บทบัญญัติ รวมไปถึงข้อถกเถียงว่า แท้ที่จริงแล้วร่าง พ.ร.บ.ฉบับนี้ลิดรอนสิทธิของประชาชนจริงหรือไม่
ต้องแยกออกเป็นสอง พ.ร.บ.ให้ชัดเจน
ไม่ว่าจะตามหน้าสื่อหรือการถกเถียงประเด็นนี้ เรามักจะเรียก พ.ร.บ.ฉบับนี้ โดยรวม ๆ ว่า “พ.ร.บ.ไซเบอร์” ซึ่งในความเป็นจริงแล้วร่าง พ.ร.บ.ที่ผ่านความเห็นชอบในครั้งนี้ไม่ได้มีเพียงฉบับเดียวเท่านั้น แต่ยังแบ่งออกเป็น พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง อาจารย์ประจำคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย อธิบายวัตถุประสงค์ของ พ.ร.บ.ทั้งสองอย่างชัดเจน
เริ่มที่ฉบับแรก คือ พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ หรือ “พ.ร.บ.ไซเบอร์” มีเจตนารมณ์เพื่อเป็นการขีดเส้นให้กับผู้ให้บริการอินเทอร์เน็ต เพราะก่อนหน้านี้ไทยไม่เคยมีตัวบทกฎหมายที่นำมาใช้กำกับควบคุมผู้ประกอบการ ทำให้ผู้ให้บริการเหล่านี้ไม่มีแรงกระตุ้นในการเพิ่มกลไกการรักษาความปลอดภัย เมื่อปัญหาเกิดขึ้นประชาชนจึงไม่สามารถเอาผิดผู้ให้บริการได้ แม้ว่าแต่ละหน่วยงานมีคณะผู้บริหารที่ควรเป็นผู้รับผิดชอบความเสียหายที่เกิดขึ้น แต่หากต้องการเอาผิดสิ่งที่ทำได้เพียงอย่างเดียว คือ ดำเนินคดีฟ้องร้องเอาผิด และพิสูจน์ว่าผู้บริหารเหล่านี้มีเจตนาทำให้ระบบเสียหายจริงหรือไม่ ซึ่งเป็นเรื่องที่ทำได้ยากมาก
ร่าง พ.ร.บ.นี้จึงระบุหน่วยงานที่ต้องปฏิบัติตามมาตรฐาน เรียกหน่วยงานประเภทนี้ว่า Critical Information Infrastructure หรือ CII คือผู้ให้บริการคอมพิวเตอร์แก่ประชาชนเป็นส่วนใหญ่ มีอยู่ 8 หน่วยงานตามมาตรา 49 เป็นหน่วยงานตามโครงสร้างพื้นฐานสำคัญทางสารสนเทศทั้งภาครัฐและเอกชน เพื่อให้ CII ทั้ง 8 แห่งเตรียมพร้อมรับมือกับการโจมตีด้วยการพัฒนาระบบรักษาความปลอดภัยไปในทิศทางเดียวกันทั้งหมด
ส่วน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลทำหน้าที่คุ้มครองและรักษาสิทธิประโยชน์ข้อมูลของผู้ใช้บริการอินเทอร์เน็ต ฉะนั้น หน้าที่ของ พ.ร.บ.ทั้งสอง
จึงเป็นการคุ้มครองปกป้องคนละส่วนกัน พูดให้เข้าใจโดยง่ายคือ พ.ร.บ.ไซเบอร์มีผลบังคับใช้กับหน่วยงานผู้ให้บริการอินเทอร์เน็ต ส่วน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลทำหน้าที่คุ้มครองรักษาความปลอดภัยข้อมูลของปัจเจกในระบบอิเล็กทรอนิกส์ ทั้งสองส่วนเป็น พ.ร.บ.ที่เกิดขึ้นมาเพื่อปกป้องพิทักษ์สิทธิของประชาชนผู้ใช้บริการทั้งสิ้น
บังคับใช้กับ CII แต่มีผลกับตัวบุคคลเช่นกัน
อย่างที่ได้พูดไปในหัวข้อที่แล้วว่า พ.ร.บ.ไซเบอร์เน้นบังคับใช้กับหน่วยงาน CII ไม่ใช่ตัวบุคคลทั่วไป ตัวอย่างที่ใกล้ตัวมากที่สุด เช่น ระบบอินเทอร์เน็ตแบงกิ้งที่มักจะมีปัญหาทุกสิ้นเดือน ซึ่งตลอดมาประชาชนผู้ใช้บริการไม่สามารถเรียกร้อง
การรับผิดชอบความเสียหายจากธนาคารได้ หาก พ.ร.บ.ฉบับนี้มีผลบังคับใช้ ผู้เสียหายสามารถฟ้องร้องฐานละเลยหน้าที่ตาม พ.ร.บ.ได้ทันที
แม้ว่า พ.ร.บ.ไซเบอร์จะมุ่งใช้กับ CII เป็นหลัก แต่ผู้ใช้บริการเองก็ต้องตระหนักและศึกษาผลกระทบจากข้อกฎหมายในส่วนนี้ด้วย นายอาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ตแสดงความกังวลว่า การที่หลายฝ่ายเน้นย้ำว่า พ.ร.บ.ฉบับนี้เป็นเรื่องของโครงสร้างพื้นฐาน หรือ CII เท่านั้นดูจะเป็นเรื่องที่ไม่ถูกต้อง เพราะท้ายที่สุดแล้วผู้ที่ได้รับผลกระทบจากความล้มเหลวเชิงระบบของ CII ก็คือ ประชาชนผู้ใช้บริการ
ด้านอาจารย์ปิยะบุตรเสริมประเด็นนี้เช่นกันว่า priority หลักของ พ.ร.บ.ไซเบอร์ คือ CII ก็จริง แต่ไม่ได้หมายความว่าส่วนอื่น ๆ ไม่เกี่ยวข้องกับร่างนี้ ทุกคนต้องดำเนินการเพื่อความปลอดภัยทางไซเบอร์ของตัวเองด้วย ที่สำคัญอยากฝากให้ทุกคนศึกษาข้อกฎหมายนี้อย่างถี่ถ้วน เพราะหลังจากนี้จะมีการออกกฎหมายลูกหลายฉบับ ลักษณะที่ควรจะเกิดขึ้นคือการนิยามคำว่า “ภัยคุกคามทางไซเบอร์” ให้ชัดเจน ไล่ระดับความรุนแรงของบทลงโทษจากเบาไปหาหนัก หากตรงนี้ไม่เกิด การตีความกฎหมายจะยังไม่สามารถทำได้ เพราะขณะนี้มีเพียงการกำหนดสโคปอย่างกว้าง ๆ 3 ระดับ คือ ระดับไม่รุนแรง ระดับรุนแรง และระดับวิกฤต การจะทราบว่าแบบไหนรุนแรงหรือไม่รุนแรงต้องมีการชี้เฉพาะเจาะจงกว่านี้
สิ่งที่หายไปใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
อาทิตย์ยกมาตราที่ดูจะมีปัญหาในอนาคตมากที่สุดขึ้นมาไล่ดูทีละวงเล็บ นั่นก็คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 4 เนื้อหาในมาตรานี้ระบุถึงการยกเว้นคุ้มครอง หรือไม่คุ้มครองกับกิจกรรม หรือกิจการใด ๆ บ้าง ซึ่งอันที่ดูจะมีปัญหามาก ๆ ได้แก่ มาตรา 4 (2) และมาตรา 4 (6)
“ในมาตรา 4 (2) ระบุเงื่อนไขยกเว้นการคุ้มครองข้อมูลสำหรับการดำเนินงานของหน่วยงานรัฐที่มีหน้าที่รักษาความมั่นคงของรัฐ ความปลอดภัยของประชาชน ป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ และการรักษาความมั่นคงปลอดภัยไซเบอร์ หมายความว่า ข้อมูลอะไรก็ตามที่ได้รับการจัดเก็บตาม พ.ร.บ.ไซเบอร์ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะไม่มีส่วนเข้าไปคุ้มครอง ฉะนั้น กลไกของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่ผู้ออกแบบกฎหมายบอกกับเราว่าจะเข้ามามีส่วนในการคานอำนาจกับ พ.ร.บ.ไซเบอร์จะถูกตัดออกไปจากความรับรู้ทันที”
หากดูมาตรา 4 (2) ลึกลงไปอีกก็จะพบว่า ไม่มีการระบุถึงข้อมูลการจราจรอย่างบัตรเติมเงินที่ใช้กับขนส่งมวลชน ซึ่งมีการลงทะเบียนจากหมายเลขบัตรประชาชนด้วย แปลว่าข้อมูลส่วนบุคคลที่เราให้ไปก็ไม่ได้รับการคุ้มครองจาก พ.ร.บ.ฉบับนี้เช่นกัน
ส่วนมาตรา 4 (6) ระบุถึงการยกเว้นการคุ้มครองในส่วนของบริษัทข้อมูลเครดิตแห่งชาติ ได้แก่ ธนาคารพาณิชย์ บริษัทเงินทุน บริษัทหลักทรัพย์บริษัทเครดิตฟองซิเอร์ บริษัทประกันวินาศภัย บริษัทประกันชีวิต นิติบุคคลที่ให้บริการบัตรเครดิต นิติบุคคลที่มีกฎหมายเฉพาะจัดตั้งขึ้นเพื่อดำเนินการทางการเงิน และนิติบุคคลอื่นที่ประกอบกิจการให้สินเชื่อเป็นทางการค้า
ปกติตามที่คณะกรรมการประกาศกำหนด เหล่านี้ไม่ถูกคุ้มครองโดย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
นอกจากจะถูกยกเว้นแล้ว หากประชาชนมีความประสงค์จะขอทราบรายชื่อสมาชิกว่ามีบริษัทใดบ้าง รัฐเองก็ไม่สามารถเปิดเผยรายชื่อได้ โดยให้เหตุผลว่าไม่สามารถบังคับใช้กับนิติบุคคลที่เป็นเอกชนได้ และล่าสุดมีการเพิ่มประเภทสมาชิกเข้าไปอีก โดยให้รวมถึงตัวกลางที่รับหน้าที่ประมวลผลข้อมูลให้กับองค์กรเหล่านี้อีกทอดหนึ่ง ซึ่งผู้ควบคุมข้อมูลตรงนี้ไม่ได้รับการยินยอมจากประชาชนโดยตรง แต่ร่างนี้กลับได้รับการแก้ไขเพิ่มเติมเข้าไปด้วย
“เป็นห่วงอย่างมีส่วนร่วม” สิ่งที่ทุกฝ่ายพึงปฏิบัติ
ด้าน ดร.รอม หิรัญพฤกษ์ ประธานคณะอนุกรรมการด้านนโยบายและผลกระทบ คณะกรรมการธุรกรรมอิเล็กทรอนิกส์มองว่า พ.ร.บ.ทั้งสองร่างไม่ใช่เรื่องของคนกลุ่มใดกลุ่มหนึ่ง แต่มีผลกับทุกคนทั้งทางตรงและทางอ้อม สิ่งสำคัญคือ จะทำอย่างไรให้สังคมเข้าใจว่าเรื่องนี้สำคัญ ต้องให้ความรู้ผู้ประกอบการเรื่องความรับผิดชอบ ระบบรักษาความปลอดภัยต้องเป็นไปตามมาตรฐานสากล เพราะไวรัสหรือการโจรกรรมข้อมูลอิเล็กทรอนิกส์มาจากทั่วโลก เราต้องพร้อมรับมือกับสถานการณ์ที่จะเกิดขึ้นได้
“เรื่อง privacy สำคัญมาก ไม่จำเป็นต้องมีเครื่องคอมพิวเตอร์ที่ให้บริการคนอื่น แต่ทุกคนเป็นเจ้าของข้อมูล เช่น ข้อมูลส่วนบุคคลในโรงพยาบาล สิ่งเหล่านี้เป็นสิทธิตามเงื่อนไข ภัยจริง ๆ ของ privacy เกิดจากดาต้าโบรกเกอร์ข้ามประเทศพวกเฟซบุ๊ก กูเกิล ทวิตเตอร์ เรารู้สึกว่าดีเหลือเกินเพราะเขาไม่เก็บตังค์ ซึ่งจริง ๆ นั่นเพราะเราไม่ใช่ลูกค้าแต่เราเป็นสินค้าของเขา ข้อมูลที่เกี่ยวกับตัวเรานี่แหละที่เขานำไปขายให้กับลูกค้า เมื่อมีการออกกฎหมายลูกแล้ว ตรงนั้นจะชัดเจนมากขึ้น ทุกคนต้อง concern กับตรงนี้มากขึ้น” ดร.รอมอธิบาย
ต้องติดตามกันต่อไปว่า หลังมีการประกาศใช้แล้ว บรรดากฎหมายลูกที่ออกมาจะมีความชัดเจนอย่างไรบ้าง เพราะไม่ใช่เพียงผู้ประกอบการหรือแอ็กทีฟยูสเซอร์เท่านั้นที่ได้รับผลกระทบ แต่ข้อมูลส่วนบุคคลในระบบอิเล็กทรอนิกส์ คือสิ่งสำคัญที่เราทุกคนพึงตระหนัก