ความสำคัญ กม.ไซเบอร์-ข้อมูลบุคคลฯ ที่รัฐบาลต้องใส่ใจ
ความเจริญก้าวหน้าทางเทคโนโลยีของมนุษย์ในตลอดหลายปีที่ผ่านมา ทำให้การใช้ชีวิตประจำวันของประชากรโลกมีลักษณะที่เปลี่ยนแปลงไปอย่างสิ้นเชิง
สังเกตได้จากการเปลี่ยนแปลงเรื่องการสื่อสารของมนุษย์ จากการใช้จดหมายหรือโทรศัพท์ตามบ้าน มาเป็นการติดต่อผ่านโทรศัพท์เคลื่อนที่ ซึ่งในปัจจุบันกลายเป็นสมาร์ทโฟนซึ่งเปรียบเสมือนอวัยวะที่ 33ของมนุษย์ที่นำมาใช้ประโยชน์ในการติดต่อสื่อสารให้มีความสะดวกรวดเร็วมากขึ้น จึงเกิดลักษณะการดำเนินชีวิตประจำวันที่เรียกว่า “Digital Life Style” ที่มนุษย์ทุกคนบนโลกจำเป็นต้องมีทักษะในการใช้งานอุปกรณ์คอมพิวเตอร์แบบตั้งโต๊ะ และแบบพกพาให้ปลอดภัยจากอาชญากรรมทางเทคโนโลยี โดยทักษะดังกล่าวถูกกล่าวอยู่เป็นประจำในโลกไซเบอร์ว่า “Digital Literacy” เมื่อโลกเปลี่ยนจากยุค “Information Edge” ไปสู่ยุค “Cyber Edge” และ “AI Edge” ตามลำดับ ทำให้รัฐบาลในแต่ละประเทศทั่วโลกต้องมีการปรับตัวให้สอดคล้องกับยุคสมัยแห่งการเปลี่ยนแปลงทางดิจิทัล (Digital Transformation) จึงจำเป็นที่จะต้องตรากฎหมายและปรับปรุงกฎหมายที่มีอยู่ ให้สอดคล้องกับยุคสมัยแห่งการเปลี่ยนแปลงดังกล่าว ทั้งนี้เพื่อความมั่นคงปลอดภัยของประเทศและป้องกันการละเมิดความเป็นส่วนตัวของประชาชน ซึ่งมีโอกาสที่จะถูกเอาเปรียบหรือละเมิดความเป็นส่วนตัวได้จากทั้งในและนอกประเทศ เมื่อโลกแคบลงจึงไม่มีขอบเขตชัดเจนเหมือนชายแดนประเทศทางกายภาพ หากแต่กลายเป็นโลกไซเบอร์ที่ไม่มีขอบเขตชัดเจน จากเหตุผลดังกล่าว ประเทศไทยจึงจำเป็นต้องปรับตัวโดยการตรากฎหมายด้านเทคโนโลยีสารสนเทศที่เรียกกันว่า “ชุดกฎหมายดิจิทัล” เพิ่มขึ้นอีก 2 ฉบับ
โดยจากเดิมเรามีกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์และกฎหมายว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์อยู่แล้ว ซึ่งถือว่าการทำธุรกรรมทางอิเล็กทรอนิกส์สามารถนำหลักฐานทางอิเล็กทรอนิกส์มาพิสูจน์ในชั้นศาลได้ ไม่ต่างจากการทำธุรกรรมในแบบเดิมและเรามีกฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์เพื่อลงโทษแฮกเกอร์หรืออาชญากรทางไซเบอร์ที่เข้ามาละเมิดโจมตีระบบขององค์กรและบุคคลทั่วไป หากแต่กฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์จะมีลักษณะที่ว่าต้องมีการกระทำผิดเสียก่อน จึงมีการกล่าวหาเอาผิดผู้กระทำผิดเหล่านั้น หากแต่ยังมีกฎหมายในบางข้อที่มีลักษณะที่องค์กรต้องปฏิบัติก่อนเหตุเกิด โดยถือเป็นวินัยขององค์กรและผู้ให้บริการ เช่น ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบ เพื่อเป็นประโยชน์ในการพิสูจน์หลักฐานทางคอมพิวเตอร์หลังจากเกิดเหตุ เป็นต้น
หากแต่ปรัชญาในการออกแบบพัฒนากฎหมายใหม่ทั้งสองฉบับจะเป็นลักษณะที่เป็นการป้องกันและการลดความเสี่ยงไม่ให้เกิดเหตุการณ์ไม่พึงประสงค์ทางไซเบอร์ จึงมองได้ว่า ข้อกำหนดในตัวบทกฎหมายเป็นวินัยที่องค์กรต้องปฏิบัติตามมาตรฐานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นต่ำ ตลอดจนประมวลแนวทางในทางปฏิบัติ (Code of Practices) ซึ่ง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ เน้นไปที่หน่วยงานโครงสร้างพื้นฐานที่มีความสำคัญของประเทศ (Critical Infrastructure) ได้แก่ บรรดาหน่วยงานหรือองค์กรหรือส่วนงานหนึ่งส่วนงานใดของหน่วยงานหรือองค์กรซึ่งธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานหรือองค์กรหรือส่วนงานของหน่วยงานหรือองค์กรนั้นมีผลเกี่ยวเนื่องสำคัญต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศหรือต่อสาธารณชน ยกตัวอย่าง เช่น โรงไฟฟ้า ผู้ให้บริการเครือข่ายโทรคมนาคม รถไฟฟ้าทั้งบนดินและใต้ดิน สนามบินทั้งในเมืองหลวงและหัวเมืองต่างๆ สถาบันการเงิน ธนาคารแห่งประเทศไทย ตลาดหลักทรัพย์ หน่วยงานด้านสาธารณสุข ทั้งโรงพยาบาลของรัฐและโรงพยาบาลเอกชน หน่วยงานรัฐในการให้บริการประชาชน เช่น กรมการปกครอง สำนักงานเขต สำนักงานที่ดิน หน่วยงานที่รัฐ Outsource ให้ผู้ให้บริการ/ผู้รับจ้างปฏิบัติหน้าที่แทนรัฐ เช่น หน่วยงานรับทำ passport เป็นบริษัทที่รับหน้าที่ทำ passport แทนกรมการกงสุล กระทรวงต่างประเทศ
ซึ่งหน่วยงานดังกล่าวจำเป็นต้องมีวินัยในการบริหารจัดการ “โครงสร้างพื้นฐานสำคัญทางสารสนเทศ” (Critical Information Infrastructure) หรือที่เรียกโดยย่อว่า “CII” หมายถึง คอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานของรัฐหรือหน่วยงานเอกชนใช้ในกิจการของตนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศหรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ ตามประกาศที่ทางกฎหมายได้กำหนดไว้ จากเนื้อหาในกฎหมายดังกล่าว สรุปได้ว่าหน่วยงานที่อยู่ในมาตรา 49
หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ดังกล่าว จำเป็นต้องมีการจัดเตรียมการและปฏิบัติตามกรอบมาตรฐานในมาตรา 13 ซึ่งอ้างอิงมาจาก NIST Cybersecurity Framework ที่สหรัฐนำมาใช้ในการขอความร่วมมือจากหน่วยงานโครงสร้างพื้นฐานที่อยู่ในความดูแลของ Department of Homeland Security (DHS) การที่หน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศปฏิบัติตามมาตรฐานขั้นต่ำตามที่ตัวบทกฎหมายที่ได้ตราไว้ ย่อมส่งผลทำให้เกิดความมั่นคงปลอดภัยโดยรวมต่อประเทศ ทั้งนี้เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพและเพื่อให้มีมาตรการป้องกัน รับมือและ ลดความเสี่ยงจากภัยคุกคามทางไซเบอร์อันกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ
หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ดังกล่าว จำเป็นต้องมีการจัดเตรียมการและปฏิบัติตามกรอบมาตรฐานในมาตรา 13 ซึ่งอ้างอิงมาจาก NIST Cybersecurity Framework ที่สหรัฐนำมาใช้ในการขอความร่วมมือจากหน่วยงานโครงสร้างพื้นฐานที่อยู่ในความดูแลของ Department of Homeland Security (DHS) การที่หน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศปฏิบัติตามมาตรฐานขั้นต่ำตามที่ตัวบทกฎหมายที่ได้ตราไว้ ย่อมส่งผลทำให้เกิดความมั่นคงปลอดภัยโดยรวมต่อประเทศ ทั้งนี้เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพและเพื่อให้มีมาตรการป้องกัน รับมือและ ลดความเสี่ยงจากภัยคุกคามทางไซเบอร์อันกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ
ผู้บริหารระดับสูง และกรรมการของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศ ควรเริ่มศึกษาและตั้งคณะทำงานที่เกี่ยวข้องกับ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์เสียตั้งแต่บัดนี้ เพราะ พ.ร.บ. นี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป คือมีผลบังคับใช้ตั้งแต่ วันที่ 28 พฤษภาคม 2562 ทั้งนี้ นอกจากวัตถุประสงค์เพื่อการปฏิบัติตามกฎหมายบ้านเมืองแล้ว ยังเป็นการป้องกันปัญหา “Reputational Risk” ที่อาจส่งผลกระทบต่อภาพลักษณ์และชื่อเสียงขององค์กรอีกด้วย