ภัยคุกคามบนโลกไซเบอร์ นับเป็นอีกหนึ่งภัยคุกคามที่เกิดขึ้นมานับตั้งแต่เราทุกคนมีคอมพิวเตอร์

จากเริ่มแรกคือไวรัส ที่มุ่งหมายสร้างความเสียหายให้กับระบบของเป้าหมาย

จนถึงยุคของอินเตอร์เน็ต ที่มีการโจมตีบนโลกไซเบอร์หลายรูปแบบเกิดขึ้น ให้เป็นสิ่งอันตรายต่อผู้คน ระบบและสถาบันทางสังคมที่กำลังทำงานและเก็บรักษาข้อมูลสำคัญไว้ในไซเบอร์สเปซ

เพราะความได้เปรียบในพื้นที่อันมหาศาลและความสามารถในการประมวลเพื่อสนับสนุนการตัดสินใจ ตั้งแต่การเลือกอาหารแต่ละมื้อ หรือนัดหมายงาน ไปจนถึงนโยบายส่งออกและระบบควบคุมความเย็นในเตาปฏิกรณ์นิวเคลียร์

หลายประเทศที่เผชิญกับภัยคุกคามในโลกดิจิตอล ได้เขียนกฎหมายเพื่อใช้เป็นการเฉพาะ

บางประเทศที่ขยายขอบเขตนิยามความมั่นคงของชาติคือเสถียรภาพของรัฐบาลที่ไม่ควรสั่นคลอนแม้บริหารประเทศอย่างไม่ยุติธรรมและเต็มไปด้วยการลิดรอนกดขี่ชีวิตประชาชน ก็วางกรอบกฎหมายความมั่นคงโลกไซเบอร์ถึงขนาดเกาะติด สอดส่องความเคลื่อนไหวของประชาชนแบบรายตัว

ประเทศไทยกับกฎหมายเกี่ยวกับโลกออนไลน์ ในปัจจุบันที่ถูกใช้อยู่ตอนนี้คือ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ฉบับแก้ไข 2560 ที่ถูกใช้รักษาความปลอดภัยจากการแฮ็กเจาะระบบจนถึงใช้ปิดปากเสียงวิจารณ์ของคนเห็นต่างหรือต่อต้านรัฐบาล ร่าง พ.ร.บ.ความมั่นคงไซเบอร์ จึงถูกจับตามาตลอดว่า เมื่อออกเป็นกฎหมายแล้ว

บทบัญญัติที่ถูกเขียนไว้ จะช่วยปกป้องทุกคนบนโลกออนไลน์ได้อย่างปลอดภัย หรือจะเพิ่มระดับลิดรอนสิทธิและควบคุมกิจกรรมของประชาชนไปอีกขั้น?

 

สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.-ETDA) ได้เปิดเวทีรับฟังความคิดเห็น ร่าง พ.ร.บ.ความมั่นคงไซเบอร์ เมื่อ 11 ตุลาคมที่ผ่านมา

โดยเชิญผู้เกี่ยวข้องทั้งภาครัฐ เอกชน ภาคประชาชนที่ใช้ระบบออนไลน์มาร่วมแลกเปลี่ยนความคิด เสนอแนะจนถึงวิพากษ์วิจารณ์ร่างกฎหมายฉบับนี้

ก่อนจะถูกเสนอตามขั้นตอนก่อนออกเป็นพระราชบัญญัติต่อไป

 

ดร.ชัยชนะ มิตรพันธ์ รองผู้อำนวยการ สพธอ. กล่าวว่า จุดที่เสี่ยงถูกโจมตีทางไซเบอร์มากที่สุดคือ หน่วยงานของรัฐและโครงสร้างสารสนเทศที่สำคัญ (Critical Information Infrastructure-CII) แต่ถามว่าเกี่ยวข้องกับเราทุกคนหรือไม่ ต้องตอบว่าเกี่ยว ซึ่งกฎหมายฉบับนี้จะป้องกันภัยคุกคามที่ต้องทำงานร่วมกัน

เวลาเราไปสัมมนา มักได้ยินว่า ความมั่นคงไซเบอร์ เป็นเรื่องของทุกคน เป็นมาตรการที่ค่อนข้างเป็นทางการแล้วว่าทุกคนต้องร่วมทำงานกันยังไง จะเชื่อมโยงกับกฎหมาย อย่าง พ.ร.บ.ธุรกรรมอิเล็กทรอนิกส์ ในมาตราที่กำหนดมาตรฐานขั้นต่ำด้านความมั่นคงว่ามีอะไรบ้าง เมื่อปฏิบัติแล้วแต่ยังเจอภัยคุกคาม ตัว พ.ร.บ.คอมพิวเตอร์จะมาดูแลจับผู้กระทำผิด

แต่ยังขาดอีกหลายส่วน เช่น การดูแลความปลอดภัยก่อนเกิดเหตุ ระหว่างเกิดเหตุและหลังเกิดเหตุ ที่ผ่านมา ยังไม่มีกฎหมายที่ชัด จนมาถึงร่าง พ.ร.บ.นี้ที่ทำให้ชัดเจน

 

ดร.ชัยชนะกล่าวอีกว่า เมื่อดูเนื้อหาร่าง พ.ร.บ.ดังกล่าว องค์กรตามกลไก พ.ร.บ.นี้คือ คณะกรรมการความมั่นคงไซเบอร์แห่งชาติ ทำหน้าที่กำหนดนโยบาย แนวทางปฏิบัติเพื่อรักษาความมั่นคงไซเบอร์, มีสำนักงานเพื่อทำหน้าที่สนับสนุนการทำงานและเฝ้าระวังภัยไซเบอร์ ก่อนหน้านี้ได้จัดรับฟังกับบริษัทต่างชาติ และหน่วยงานที่คาดว่ามี CII ซึ่ง พ.ร.บ.นี้ระบุว่า ผู้ดูแลด้าน CII ว่าต้องทำหน้าที่ยังไง จนถึงแผนปฏิบัติการรับมือภัยคุกคามไซเบอร์

อีกทั้งยังเน้นถึงส่วนสำคัญอย่าง CII ซึ่งยังมีอีกคำคือ CI (Critical Infrastrcture) ที่หมายถึง ระบบสาธารณูปโภค คมนาคม บริการสาธารณสุข หากถูกโจมตี ย่อมส่งผลกระทบต่อชีวิตประชาชน ดังนั้น ทั้ง CI และ CII มีความเกี่ยวข้องกัน พ.ร.บ.นี้จึงเข้าไปกำหนด CI เพื่อให้ CII ดำเนินต่อไปได้

กลุ่ม CII ที่ถูกกำหนดดูแลใน พ.ร.บ.นี้คือ ความมั่นคงรัฐ, บริการภาครัฐที่สำคัญ, ด้านการเงินธนาคาร, เทคโนโลยีสารสนเทศ, โลจิสติกส์ พลังงาน เป็นต้น

นอกจากนี้ ส่วนสำคัญที่มีการตั้งคำถามคืออำนาจหน้าที่ของเลขาธิการ ยกตัวอย่าง การขอความร่วมมือเป็นหนังสือ เพื่อขอข้อมูลการออกแบบและคำสั่งใน CII ของผู้เกี่ยวข้อง และข้อมูลอื่นที่จำเป็นในระดับก่อนเกิดเหตุ ซึ่งเป็นข้อมูลอ่อนไหวและเป็นความลับ ซึ่ง ดร.ชัยชนะกล่าวว่า หากไม่ให้ข้อมูล ไม่ได้มีการกำหนดเป็นความผิดหรือมีบทลงโทษ

อย่างไรก็ตาม ร่าง พ.ร.บ.ในส่วนหมวดบทลงโทษ กลับระบุว่า ผู้ใดไม่ปฏิบัติตามหนังสือเรียกตามมาตรา 54 ว่าด้วยการขอความร่วมมือให้ข้อมูล หรือผู้ใดขัดขวาง ไม่ปฏิบัติตามคำสั่งหรือไม่อำนวยความสะดวกตามมาตรา 58 ว่าด้วยการเข้าตรวจสอบ, เข้าถึงทรัพย์สินสารสนเทศ, ยึดอุปกรณ์ที่มีเหตุอันควรเชื่อได้ว่าเป็นภัยคุกคาม

ต้องได้รับโทษปรับ หรือทั้งจำคุกและปรับ

 

ไม่เพียงเท่านี้ ร่าง พ.ร.บ.วางกลไกรับมือ ลดความเสี่ยงภัยคุกคามต่อความมั่นคงไซเบอร์ ตั้งแต่ระดับภาวะปกติจนถึงภัยคุกคามรุนแรง โดยดูในมิติว่ากระทบต่อภารกิจหลักของ CII ตาม พ.ร.บ.มากแค่ไหน กระทบต่อคนจำนวนมากแค่ไหน

หากเกิดกรณีร้ายแรง สำนักงานจะสั่งการให้ปฏิบัติเพื่อหยุดการไหลของข้อมูลหรือระบบ

การเฝ้าระวัง หรือไปตรวจสถานที่เพื่อข้อมูลหรือยึดอุปกรณ์ไปตรวจสอบ ซึ่งเป็นอำนาจของเลขาธิการในการสั่งการ

แม้มีข้อโต้แย้งว่าต้องมีคำสั่งศาลก่อน

 

ด้านผู้ร่วมเวทีรับฟัง ต่างออกมาแสดงทัศนะที่หลากหลายตั้งแต่แสดงความกังวลกับการใช้คำ อย่างคำว่า “คาดว่าจะเกิด” ก็สามารถใช้อำนาจหน้าที่ตามกฎหมายได้ หรือร่าง พ.ร.บ.ไม่ได้ครอบคลุมถึงความมั่นคงในชีวิตและเสรีภาพของประชาชนในฐานะปัจเจกบุคคล

เมื่อถามถึงตรวจสอบการใช้ดุลพินิจของเจ้าหน้าที่ในการปฏิบัติหน้าที่ตามกฎหมายนั้น ดร.ชัยชนะกล่าวว่า ตรงส่วนการใช้อำนาจหน้าที่จะมีพนักงานเจ้าหน้าที่และเลขาธิการ แต่เท่าที่ดู การคานอำนาจกันนั้นยังไม่เพียงพอ แม้ว่าการยึดอุปกรณ์ซึ่งเป็นอำนาจของเลขาธิการ แต่ก็จะยึดอุปกรณ์ตามในเวลาที่จำกัด

หากเกินกำหนดต้องขออนุญาตต่อศาลแพ่ง

 

นายสุทธิพงศ์ กนกากร ผู้เชี่ยวชาญด้านไอทีกล่าวว่า ในวงการไอทีมองว่า กฎหมายนี้ วิธีการเขียนค่อนไปทางรวบรวมอำนาจ ไม่ต่างกับเกสตาโปยุคนาซีเยอรมัน อันนี้เป็นตำรวจลับยุคใหม่ ซึ่งให้อำนาจกับหัวหน้ามากเกินไป

จึงเห็นว่า สนช.ยังไม่ต้องผ่านกฎหมายนี้ รอให้มีรัฐบาลเลือกตั้ง กฎหมายจะได้ออกมาเป็นธรรมกว่านี้ ไม่ใช่รวบอำนาจสูงสุดไว้

และในมาตรา 50 ยังไม่ได้แยกให้ชัดเจนกันระหว่าง Threatening (การคุกคาม) กับ Breaching (การเจาะ) ซึ่งในวงการไอที มันมีการคุกคามเป็นหมื่นทุกวัน อีกทั้งกฎหมายเขียนเอาคนในระบบราชการมาดูแลความมั่นคงไซเบอร์ ทำไมไม่ใช้ผู้เชี่ยวชาญด้านนี้ในภาคเอกชน และลักษณะทำงานไม่รวมอำนาจสูงสุดไว้ แต่ใช้การปรึกษาหารือ

นายมนตรี สถาพรกุล ผู้เชี่ยวชาญด้านนโยบายข้อมูลส่วนบุคคลของดีแทค กล่าวว่า เวลาเราพูดถึงไซเบอร์หรือสารสนเทศ จะครอบคลุม 3 ส่วนคือ โครงสร้าง, เครือข่ายและข้อมูล

แต่มีประเด็นว่า ตัวกำกับ ป้องกันหรือตัวกรอบควรพูดถึงในโครงสร้างและเครือข่าย แต่กรณีข้อมูล เรามี พ.ร.บ.ที่เกี่ยวข้องอยู่แล้ว ข้อมูลส่วนบุคคล ก็กำลังมี พ.ร.บ.ข้อมูลส่วนบุคคลที่คาดว่าจะออก หรือ พ.ร.บ.คอมพิวเตอร์ ซึ่งตนมองว่า พ.ร.บ.ความมั่นคงไซเบอร์จะทับซ้อน

หรือกรณีที่เกิดเหตุควรมีการรายงานที่เป็นรูปธรรมมากกว่าเป็นแค่ข้อสงสัย หรือที่เชื่อว่าจะเกิดขึ้น หรือบางอย่างที่ระบุว่า “ขอความร่วมมือ” แต่ปลายๆ กลับกลายเป็นการบังคับ

นายอาทิตย์ สุริยะวงศ์กุล จากเครือข่ายพลเมืองเน็ต กล่าวว่า ข้อมูลที่จะขอนั้น ข้อมูลอะไร ควรต้องทำให้ชัดเจน และสมมติว่ามีคลิปวิดีโอในระบบ แล้วบอกว่าเนื้อหาเป็นภัยต่อความมั่นคง นับเป็นภัยคุกคามต่อโครงสร้างสารสนเทศที่สำคัญหรือไม่

ตัวแทนสมาคมโทรคมนาคมแห่งประเทศไทย เสนอว่า ตัวร่าง พ.ร.บ.อยากให้เน้นไปที่โครงข่าย ระบบคอมพิวเตอร์ ไม่อยากให้เน้นในคอนเทนต์หรือเนื้อหา

นี่เป็นเพียงความเห็นส่วนหนึ่งที่สะท้อนออกมา ซึ่งต้องติดตามกันต่อไปว่า ร่าง พ.ร.บ.ความมั่นคงไซเบอร์ฉบับนี้จะมีหน้าตาเป็นอย่างไรก่อนจะมีผลบังคับใช้

ไม่ว่าจะออกมาเป็นอย่างไร ย่อมส่งผลกระทบต่อภาคเอกชนหรือชีวิตของประชาชนอย่างเลี่ยงไม่ได้