พ.ร.บ. มั่นคงไซเบอร์ และข้อสังเกตว่าด้วย “โลกทัศน์” การเขียน
ณ ต้นปี พ.ศ. 2652 คณะรักษาความสงบแห่งชาติ (คสช.) อยู่ในอำนาจมาแล้ว 4 ปี 7 เดือน นานกว่ารัฐบาลที่มาจากการเลือกตั้ง สภานิติบัญญัติแห่งชาติ
หรือ สนช. ซึ่งแต่งตั้งโดย คสช. ออกกฎหมายไปแล้วกว่า 300 ฉบับ และชอบประกาศอยู่เนืองๆ ว่ากฎหมายเหล่านี้ “มีคุณภาพ”
กฎหมายฉบับหนึ่งซึ่งผ่านการพิจารณาวาระแรกของ สนช. ไปเมื่อปลายเดือน ธ.ค. 2561 และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ก็ออกมาประกาศว่า นี่เป็น “ของขวัญปีใหม่” แก่ประชาชน คือ ร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. .... (ชื่อย่อ “พ.ร.บ. มั่นคงไซเบอร์”) ซึ่งกลับมาใหม่หลังจากที่เนื้อหาถูกภาคประชาสังคม เอกชน และนักเทคโนโลยีจำนวนมาก รวมทั้งผู้เขียนเองด้วย ต่อต้านคัดค้านตลอดมานับจากที่ร่างแรกปรากฎต่อสาธารณะในปี พ.ศ. 2558 เพราะมองว่ามันเขียนด้วยโลกทัศน์ที่อันตรายของฝ่ายความมั่นคง ตีความ “ความปลอดภัยมั่นคงไซเบอร์” อย่างกว้างขวาง ไม่เฉพาะเจาะจงเรื่องความปลอดภัยของระบบคอมพิวเตอร์ตามหลักสากล แต่ล้ำเส้นเข้าไปคุกคามสิทธิอย่างง่ายดาย โดยไม่มีอำนาจถ่วงดุลจากตุลาการและกลไกความรับผิดใดๆ เลย
ผู้เขียนใช้เนื้อที่ในคอลัมน์นี้เขียนไปแล้วมากมายถึงอันตรายของร่างกฎหมายฉบับนี้ ตลอด 4 ปีที่ผ่านมา โดยเฉพาะการนิยาม “ภัยคุกคามไซเบอร์” อย่างคลุมเครือและกว้างขวาง สุ่มเสี่ยงต่อการตีความว่าหมายถึงการแสดงออกของประชาชนในโลกออนไลน์ ซึ่งเป็นการแสดงความคิดเห็นธรรมดาๆ แต่ถูกฝ่ายความมั่นคงตีความอย่างไร้เหตุผลว่า คุกคามความมั่นคงของรัฐ หรือเป็นภัยต่อความสงบเรียบร้อย ผู้เขียนกล้า “ฟันธง” ได้เลยว่า ความเสี่ยงข้อนี้จะเป็นจริงอย่างแน่นอนถ้านิยาม “หลวม” เพราะเราได้เห็นตลอดหลายปีที่ผ่านมาในกรณีของ พ.ร.บ. คอมพิวเตอร์
ร่างกฎหมายฉบับที่ผ่าน สนช. วาระแรก ยังคงอันตรายต่อประชาชนเช่นเดิม ถึงแม้จะมีการปรับแก้บางประเด็นให้ดีขึ้น เช่น ไม่ให้สำนักงานที่เกี่ยวข้องมีอำนาจทำธุรกิจ ร่วมทุนกับเอกชน เหมือนกับร่างแรกๆ ที่ผ่านมา และให้การเข้าตรวจสอบทั้งข้อมูลและสถานที่ในกรณีที่ไม่ใช่ “ภาวะจำเป็นเร่งด่วน” ต้องมีหมายศาลก่อน แต่ปัญหาใหญ่คือนิยามกว้างขวางคลุมเครือ การให้อำนาจเจ้าหน้าที่ล้นมือ และการไม่มีกลไกความรับผิด ล้วนยังอยู่ครบในร่างนี้ ดังที่เว็บไซต์ The Momentum สรุปไว้อย่างรวบรัด ความบางตอนว่า (อ่านฉบับเต็มได้จาก https://themomentum.co/5-concerns-on-cyber-security-bill-december-2018/)
“การรักษาความมั่นคงปลอดภัยไซเบอร์ อธิบายสั้นๆ ไปที่เรื่องการคุ้มครองความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ (มาตรา 3) แต่ไม่นิยามชัดเจนว่าหมายถึงอะไร...ส่วนภัยคุกคามทางไซเบอร์ หมายถึง การกระทำหรือการดำเนินการใดๆ โดยมิชอบ โดยใช้คอมพิวเตอร์ หรือโปรแกรมไม่พึงประสงค์ เพื่อมุ่งจะ ‘ประทุษร้าย’ ต่อระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตราย ‘ที่ใกล้จะถึงที่จะ’ ก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง (มาตรา 3)
“ด้วยลีลาภาษาเขียนลักษณะนี้อาจทำให้การตีความคำว่า “ภัยคุกคามไซเบอร์” ไม่ใช่เรื่องของการคุกคามเข้าใปในระบบคอมพิวเตอร์ แต่เสี่ยงจะถูกเข้าใจผิดว่า เป็นการใช้คอมพิวเตอร์เป็นสื่อกลางไปเขียนเนื้อหาเพื่อทำให้เกิดความเสียหายต่อบุคคลก็ได้
“ถ้าพบว่าจะต้องรับมือกับภัยคุกคามทางไซเบอร์ กฎหมายนี้ให้อำนาจเจ้าหน้าที่สามารถเข้าตรวจสอบทั้งข้อมูลและสถานที่ โดยขอเข้าถึงข้อมูล ทดสอบการทำงานของคอมพิวเตอร์ รวมถึงยึดอายัดคอมพิวเตอร์ได้ โดยต้องยื่นคำร้องต่อศาลเสียก่อน ...อย่างไรก็ดี หากเหตุนั้นๆ ถูกนิยามว่าเป็นภาวะจำเป็นเร่งด่วนและเป็นภาวะภัยคุกคามไซเบอร์ในระดับวิกฤติ กฎหมายนี้ให้อำนาจคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) ทำสิ่งต่างๆ ได้ทันทีโดยไม่ต้องมีหมายศาล และให้ถือเป็นอำนาจของสภาความมั่นคงแห่งชาติ (มาตรา 66 – 67)
“แม้ร่างฉบับนี้มีกลไกกำหนดโทษของพนักงานทีทำผิดด้วย คือหากพนักงานเจ้าหน้าที่และพนักงานสอบสวน เปิดเผย ส่งมอบข้อมูลคอมพิวเตอร์ ที่ได้มาตามกฎหมายนี้ ให้แก่บุคคลใด หรือทำข้อมูลรั่ว จะมีโทษจำคุกสูงสุด 3 ปี ปรับไม่เกิน 60,000 บาท หรือทั้งจำและปรับ ...อย่างไรก็ดี ในภาวะจำเป็นเร่งด่วนที่เจ้าหน้าที่สามารถลัดคิวดำเนินการกับระบบคอมพิวเตอร์ได้เลยโดยไม่ต้องขอหมายศาล ผู้ที่ได้รับผลกระทบก็ไม่มีสิทธิ์อุทธรณ์คำสั่งด้วย จะอุทธรณ์คำสั่งได้ก็เฉพาะกรณีภัยคุกคามไซเบอร์ในระดับ ‘เฝ้าระวัง’ เท่านั้น”
ร่างกฎหมายฉบับนี้นิยาม “ภัยคุกคามระดับ ‘วิกฤติ’” ว่า เป็นเหตุการณ์ที่ฉุกเฉินเร่งด่วน ที่ใกล้จะเกิดและส่งผลกระทบต่อโครงสร้างพื้นฐานสำคัญทางสารสนเทศพื้นฐาน ความมั่นคงของรัฐ หรือชีวิตความเป็นอยู่ของประชาชน ตัวอย่างเช่น อาจเป็นผลให้บุคคลจำนวนมากเสียชีวิต ระบบคอมพิวเตอร์จำนวนมากถูกทำลายเป็นวงกว้าง – ซึ่งนิยามแบบนี้นับว่ามีเหตุมีผล แต่ในนิยามข้อนี้ดันต่อท้ายด้วยวลีอันตราย “หรือกระทบต่อความสงบเรียบร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐ” ซึ่งเป็นวลีอานุภาพทำลายล้างสูง ใน พ.ร.บ. คอมพิวเตอร์ วลีทำนองนี้ถูกหยิบขึ้นมาใช้เพื่อฟ้องร้องกลั่นแกล้งมาหลายคดีแล้ว ตั้งแต่คนที่วิพากษ์วิจารณ์ คสช. ไปจนถึงคนที่แค่แชร์โพสความเห็นเกี่ยวกับกระเป๋าภริยาหัวหน้า คสช. (!)
จากประสบการณ์ติดตามเส้นทางของร่างกฎหมายฉบับนี้และฉบับอื่นๆ อีกนับ 10 ฉบับ ผู้เขียนสรุปข้อสังเกตของตัวเองว่าด้วย “โลกทัศน์” การเขียนกฎหมายยุค คสช. ได้ 2 ข้อสั้นๆ ว่า
1.ลำดับความสำคัญของกลุ่มต่างๆ ในการออกกฎหมายจากสำคัญมากไปสำคัญน้อย ได้แก่ สถาบันกษัตริย์ กองทัพ ข้าราชการ เอกชน ส่วนประชาชนไม่อยู่ในสายตา วาระของประชาชนจะถูกหยิบยกมาก็ต่อเมื่อมีนักวิชาการ หรือองค์กรภาคประชาสังคมที่สนิทกับ คสช. ไปวิ่งเต้นล็อบบี้หรือคัดค้าน (ซึ่งก็ไม่มีการันตีว่าจะประสบความสำเร็จ) ส่วนกลไกคุ้มครองป้องกันผลกระทบต่อประชาชน ซึ่งเป็นเรื่องที่สำคัญอันดับต้นๆ ในหลักการ กฎหมายที่เกี่ยวข้องกลับให้ไปรอดูในกฎกระทรวง ไม่มีบทบัญญัติใดๆ หรือถอดรื้อกลไกเดิม
2.ขยายอำนาจของรัฐอย่างกว้างขวางผู้เขียนไม่เคยเห็นกฎหมายฉบับไหนที่จะไปลดอำนาจรัฐ เพิ่มอำนาจประชาชนเลย ในทางตรงกันข้าม กฎหมายในยุค คสช. นิยมตั้งคณะกรรมการ สำนักงาน ฯลฯ ใหม่ๆ ขึ้นมา โดยปราศจากกลไกรับผิด หลายกรณีให้อำนาจหน่วยงานใหม่เหล่านี้ทำทุกเรื่อง ตั้งแต่กำกับดูแล เขียนนโยบาย ร่วมทุนกับเอกชน และทำธุรกิจเอง เป็นผลประโยชน์ทับซ้อนและผิดหลักธรรมาภิบาลอย่างสิ้นเชิง
ผู้เขียนเห็นว่า ถึงเวลาแล้วที่เราจะต้องเลิกเชื่อในความเชื่อผิดๆ ว่า “กฎหมายยิ่งออกมากเท่าไรยิ่งดี” และ “ปัญหาไม่ได้อยู่ที่ตัวบทกฎหมาย แค่อยู่ที่การบังคับใช้” เพราะกฎหมายใหม่จำนวนมากจำเป็นจะต้องได้รับการทบทวนโดยสภาที่มาจากการเลือกตั้ง และลำพัง พ.ร.บ. คอมพิวเตอร์ กับ ร่าง พ.ร.บ. มั่นคงไซเบอร์ ก็มอบบทเรียนให้เรามากมายแล้ว ถึงอันตรายของ “ตัวบท” ที่เขียนอย่างลุแก่อำนาจ