การประชุมสภานิติบัญญัติแห่งชาติ (สนช.) มีมติเห็นชอบ ร่าง พ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. ด้วยคะแนน 133 เสียง ไม่เห็นด้วย 0 งดออกเสียง 16 เสียง เพื่อประกาศใช้เป็นกฏหมายต่อไป บรรยากาศในที่ประชุมปราศจากคณะกรรมาธิการ (กมธ.) วิสามัญ รวมถึงสมาชิกสภานิติบัญญัติแห่งชาติ (สนช.) ติดใจสงวนคำแปรญัตติ ไม่มีข้อเสนอให้แก้ไขหรือปรับปรุงตามบทบัญญัติที่ กมธ. เสนอแต่อย่างใด
ทั้งหมดใช้เวลาประมาณ 2 ชั่วโมง 20 นาที
ร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … มีต้นแบบมาจากกฎหมาย Cyber Security Act 2018 ของสิงคโปร์ ที่เน้นคุ้มครอง ‘โครงสร้างพื้นฐาน’ (infrastructure) ทางไซเบอร์ที่เกี่ยวข้องกับบริการ เช่น ผู้ให้บริการเชื่อมต่ออินเทอร์เน็ต หรือผู้ให้บริการสาธารณูปโภคต่างๆ จากการโจมตีของผู้ไม่หวังดี
แต่เมื่อถูกนำมาปรับใช้กฎหมายของไทยกลับพบปัญหาว่ามุ่งเน้นคุ้มครองไปถึงเนื้อหา (content) เนื่องจากกฎหมายเขียนไว้กว้างมากว่า ‘ภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐ’
มาตรา 3 ระบุชัดเจนว่า กฎหมายไซเบอร์นี้เป็นการคุ้มครองระบบ
“ภัยคุกคามไซเบอร์ หมายถึง การกระทำหรือดำเนินการใดๆ โดยมิชอบโดยใช้คอมพิวเตอร์ หรือระบบคอมพิวเตอร์ หรือโปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดการประทุุษร้าย หรือเป็นภยันตรายที่ใกล้จะถึงที่ก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง”
แต่ในมาตรา 59 กลับถ่างความหมายของภัยคุกคามไซเบอร์ให้กว้างขึ้น โดยแบ่งภัยคุกคามไซเบอร์ ออกเป็น 3 ระดับ ได้แก่
- ระดับไม่ร้ายแรง
- ระดับร้ายแรง
- ระดับวิกฤติ
การนิยามระดับความรุนแรงในข้อ 1 และ 2 มีความชัดเจนว่าเป็นการคุ้มครองที่ตัวระบบคอมพิวเตอร์ เช่น 1. ระดับไม่ร้ายแรง หมายถึง ภัยคุกคามไซเบอร์ที่ทำให้ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศหรือการให้บริการของรัฐด้อยประสิทธิภาพลง
2. ระดับร้ายแรง หมายถึงภัยคุกคามไซเบอร์ที่มีการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ ที่มีผลทำให้ระบบคอมพิวเตอร์ หรือคอมพิวเตอร์ที่เกี่ยวข้องกับการให้บริการด้านความมั่นคงของรัฐ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชน ไม่สามารถทำงานหรือให้บริการได้
แต่ปัญหาคือการนิยามความหมายในข้อ 3. ระดับวิกฤติ ซึ่งแบ่งออกเป็น 2 ประเภท
3.1. ภัยคุกคามจากการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ที่ส่งผลกระทบรุนแรงเป็นวงกว้าง ทำให้การทำงานของหน่วยงานรัฐ การให้บริการของโครงสร้างพื้นฐานสำคัญของประเทศที่ให้กับประชาชนล้มเหลวทั้งระบบ จนรัฐควบคุมไม่ได้และเสี่ยงจะทำให้บุคคลจำนวนมากเสียชีวิตหรือระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์จำนวนมากถูกทำลายเป็นวงกว้างในระดับประเทศ
3.2. ภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐ หรืออาจทำให้ประเทศหรือส่วนใดส่วนหนึ่งของประเทศตกอยู่ในภาวะคับขัน หรือมีการกระทำความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา การรบหรือการสงคราม
iLAW วิเคราะห์ว่า ข้อ 3.2 เป็น ‘จุดที่อันตราย’ เนื่องจากร่างกฎหมายจงใจใช้ถ้อยคำที่ตีความได้กว้างมากขึ้นกว่านิยามในมาตรา 3 เช่น “อันกระทบหรืออาจกระทบต่อความสงบเรียงร้อยของประชาชนหรือเป็นภัยต่อความมั่นคงของรัฐ…”
การเขียนกฎหมายเช่นนี้มีความเสี่ยงต่อการที่ในอนาคตอาจมีผู้เจตนาไม่ดีตีความให้คำว่า ‘ภัยคุกคามไซเบอร์’ ครอบคลุมถึงประเด็น ‘เนื้อหา’ บนโลกออนไลน์มากกว่าเรื่องระบบ ภายใต้อำนาจตามกฎหมายนี้ อาจทำให้เจ้าหน้าที่สามารถเข้าถึงข้อมูลของประชาชนที่เพียงเห็นต่างและทำกิจกรรมต่อต้านรัฐบาลในขณะนั้นได้
ถ้าพบภัยคุกคาม เจ้าหน้าที่สามารถทำอะไรได้บ้างภายใต้ พ.ร.บ. ไซเบอร์
มาตรา 61 เพื่อประโยชน์ในการทำงาน เจ้าหน้าที่สามารถขอข้อมูลจากใครก็ได้
มาตรา 65 กรณีเร่งด่วน เจ้าหน้าที่สามารถยึด-ค้น-เจาะระบบ-ทำสำเนา โดยไม่ต้องขอหมายจากศาล
มาตรา 67 วรรค 2 เมื่อมีภัยคุกคามร้ายแรง เจ้าหน้าที่สามารถสอดส่องข้อมูลของเราๆ ท่านๆ ได้แบบ real-time
มาตรา 69 วรรค 2 ข้อมูลการสื่อสารที่เจ้าหน้าที่ได้ไป สามารถนำไปดำเนินคดีข้อหาอื่นได้
กฎหมายอาญาไทยมีเรื่องความมั่นคง หมิ่นประมาท และเรื่องลิขสิทธิ์อยู่แล้ว กฎหมายความมั่นคงปลอดภัยไซเบอร์ก็ไม่ควรพูดถึงเรื่องนี้อีก แต่ควรระบุถึงความผิดอื่นๆ ที่ยังไม่มีในกฎหมายอาญา เช่น การขโมยข้อมูล การก็อปปี้ เพื่อจะได้ใช้กลไกกฎหมายที่มีอยู่แล้วต่อไป
ในการออกกฎหมายในเรื่อง Cyber Security ไม่เพียงแต่ความมั่นคงของชาติที่ต้องคำนึง แต่ต้องคำนึงถึงภาคประชาชน ภาคสังคมและภาคเศรษฐกิจ และเสรีภาพในการแสดงความคิดเห็นของประชาชน
นิยามความหมายที่กว้างเช่นนี้ ย่อมมีความกังวลว่า จะเกิดการตีความอย่างไรว่าอะไรคือ ‘ภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียงร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐ’
ในร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ มาตรา 66 กำหนดให้ กรณีที่เกิดภัยคุกคามไซเบอร์ในระดับวิกฤติ ให้เป็นหน้าที่และอำนาจของสภาความมั่นคงแห่งชาติในการดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ตามกฎหมายว่าด้วยสภาความมั่นคงแห่งชาติ หรือกฎหมายอื่นทีเกี่ยวข้อง
สภาความมั่นคงแห่งชาติ ประกอบไปด้วย นายกรัฐมนตรี รองนายกรัฐมนตรี รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวงการคลัง รัฐมนตรีว่าการกระทรวงต่างประเทศ รัฐมนตรีว่าการกระทรวงคมนาคม รัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร รัฐมนตรีว่าการกระทรวงมหาดไทย รัฐมนตรีว่าการกระทรวงยุติธรรม ผู้บัญชาการทหารสูงสุด เลขาธิการสภาความมั่นคงแห่งชาติ ส่วนอำนาจหน้าที่ตามกฎหมายสภาความมั่นคงแห่งชาติ ยังกำหนดให้สภาความมั่นคงแห่งชาติเสนอนายกรัฐมนตรี หรือคณะรัฐมนตรี ให้อนุมัติหรือสั่งการให้หน่วยงานของรัฐหรือเจ้าหน้าที่รัฐดำเนินการตามอำนาจหน้าที่เพื่อป้องกัน แก้ไข หรือระงับยับยั้งภัยคุกคามดังกล่าวได้ |
อ้างอิงข้อมูลจาก: iLaw