กม.ไซเบอร์:เมื่อหลักความมั่นคงไซเบอร์แพ้ทัศนคติ “มั่นคง 0.4"
ตลอด 4 ปีที่ผ่านมา ผู้เขียนใช้เนื้อที่ในคอลัมน์นี้ไปแล้วมากมาย
ถ้ามัดรวมกันคงได้เป็นหนังสือหนึ่งเล่ม เพื่ออธิบายอันตรายของร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. .... (“พ.ร.บ. ไซเบอร์”) ซึ่งหลังจากที่กฎหมายนี้เผชิญเสียงต่อต้านอย่างรุนแรงจนถูกนำกลับไปร่างใหม่หลายครั้ง สภานิติบัญญัติแห่งชาติ (สนช.) ก็ลงมติเห็นชอบร่างสุดท้ายในวันที่ 28 ก.พ.2562 ที่ผ่านมา โดยไม่มีเสียงคัดค้านแม้แต่เสียงเดียว ตามสไตล์สภาฝักถั่ว
ในฐานะคนที่ติดตามเส้นทางของกฎหมายฉบับนี้อย่างใกล้ชิดมานานกว่า 4 ปี ผู้เขียนเห็นว่ากฎหมายฉบับที่ผ่าน สนช. นั้น “ดีกว่า” ร่างแรกที่เคยเห็น แต่ก็ยัง “อันตราย” และสุ่มเสี่ยงที่จะถูกนำไปใช้เพื่อลิดรอนสิทธิเสรีภาพการแสดงออกอยู่ดี
เพียงแต่ “ยัดไส้” บทบัญญัติที่เป็นอันตรายต่อประชาชนให้อยู่ลึกลงไปอีกในกฎหมาย หายากขึ้นหน่อยเท่านั้นเอง
พ.ร.บ. ไซเบอร์ อันตรายกว่า พ.ร.บ. คอมพิวเตอร์ เพราะให้อำนาจรัฐในการ “ขอข้อมูล” และ “สอดส่อง” คนที่ถูกแปะป้ายว่า เป็นภัยคุกคาม ฉะนั้นเราอาจไม่รู้เลยว่าใครกำลังถูกลิดรอนสิทธิด้วยกฎหมายฉบับนี้บ้าง ต่างจาก พ.ร.บ. คอมพิวเตอร์ ซึ่งใช้หลังจากที่เกิดการกระทำ(ที่รัฐอ้างว่า)ผิด ดังนั้นอย่างน้อยเราจะรู้ว่าใครโดนกลั่นแกล้ง เพราะจะถูกแจ้งข้อหาและดำเนินคดี
ถ้ายังจำกันได้ คณะที่ปรับปรุง พ.ร.บ. คอมพิวเตอร์ เมื่อปี 2558 ตอนนั้นก็อ้างคล้ายๆ กับตอนนี้ว่า ประชาชนไม่ต้องห่วง กฎหมายจะไม่ถูกนำมาใช้ฟ้องกลั่นแกล้งอีกแล้ว แต่เราก็ได้เห็นจากข้อเท็จจริงที่ผ่านมาแล้วว่าไม่จริงเลย ยังมีคดีการแสดงออกที่อ้างว่าผิด พ.ร.บ. คอมฯ ไม่น้อยกว่าหลายสิบคดี คนที่แค่วิจารณ์กระเป๋าเมียนายกฯ วิพากษ์วิจารณ์รัฐ ล้อเลียนรัฐบาล แชร์ข้อมูลวิจารณ์รัฐ ฯลฯ ล้วนถูกจับจริงมาแล้วในข้อหานำเข้าข้อมูลเท็จอัน “อาจทำให้ประชาชนตื่นตระหนก” “เป็นภัยต่อความมั่นคงของรัฐ” หรือ “ขัดต่อความสงบเรียบร้อยและศีลธรรมอันดี”
ในเมื่อเราเห็นแล้วว่า คำครอบจักรวาลเหล่านี้ล้วนถูกตีความในทางที่คุกคามปิดปากประชาชนทั้งสิ้น ดังนั้นกฎหมายฉบับไหนใช้คำเหล่านี้ เราก็ควรต้องมองมันในแง่ลบก่อนเลยว่า มีแนวโน้มสูงที่จะถูกเอามาใช้คุกคามอีก
โดยเฉพาะในเมื่อไม่มีเหตุผลใดๆ เลย ที่จะใส่คำเหล่านี้ไว้ใน พ.ร.บ.ไซเบอร์ ซึ่งในหลักการสากล เป็นกฎหมายสำคัญสำหรับการรักษาความปลอดภัยของระบบคอมพิวเตอร์จากการถูกโจมตีของแฮ็กเกอร์ ผู้เขียนเคยอธิบายไว้หลายครั้งก่อนหน้านี้แล้วว่า (ดูตัวอย่าง https://thaipublica.org/2015/02/real-cyber-security-laws/) พ.ร.บ. ไซเบอร์ ในต่างประเทศ ล้วนแต่เน้นปรับปรุงมาตรฐานความปลอดภัยของระบบ การแลกเปลี่ยนข้อมูลที่เกี่ยวกับภัยคุกคามไซเบอร์ และเพิ่มศักยภาพของเจ้าหน้าที่ โดยที่มีกลไกตรวจสอบถ่วงดุลทุกขั้นตอน ต้องรายงานผลการดำเนินงานประจำปีต่อกรรมาธิการในสภา
แล้ว พ.ร.บ. ไซเบอร์ ยัดคำครอบจักรวาลอันตรายเหล่านี้ไว้ตรงไหน? คำตอบคือมาตรา 59 ซึ่งแบ่ง “ภัยคุกคามทางไซเบอร์” ออกเป็น 3 ระดับ
1) ระดับไม่ร้ายแรง หมายถึง ภัยคุกคามไซเบอร์ที่ทำให้ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศหรือการให้บริการของรัฐด้อยประสิทธิภาพลง
2) ระดับร้ายแรง หมายถึง ภัยคุกคามไซเบอร์ที่มีการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ ที่มีผลทำให้ระบบคอมพิวเตอร์ หรือคอมพิวเตอร์ที่เกี่ยวข้องกับการให้บริการด้านความมั่นคงของรัฐ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชน ไม่สามารถทำงานหรือให้บริการได้ (สังเกตว่า ณ จุดนี้ คำว่า “ความมั่นคงของรัฐ” และ “ความสงบเรียบร้อยของประชาชน” ถูกใส่เข้ามาในนิยาม “ภัยคุกคามทางไซเบอร์ระดับร้ายแรง” ด้วย)
3) ระดับวิกฤติ แบ่งออกเป็น 2 อย่าง คือ
3.1) ภัยคุกคามจากการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ที่ส่งผลกระทบรุนแรงเป็นวงกว้าง ทำให้การทำงานของหน่วยงานรัฐ การให้บริการของโครงสร้างพื้นฐานสำคัญของประเทศที่ให้กับประชาชนล้มเหลวทั้งระบบ จนรัฐควบคุมไม่ได้และเสี่ยงจะทำให้บุคคลจำนวนมากเสียชีวิตหรือระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์จำนวนมากถูกทำลายเป็นวงกว้างในระดับประเทศ
3.2) ภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐ หรืออาจทำให้ประเทศหรือส่วนใดส่วนหนึ่งของประเทศตกอยู่ในภาวะคับขัน หรือมีการกระทำความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา การรบหรือการสงคราม
ข้อ 3.2 (มาตรา 59(3)(ค) ในกฎหมาย) คือจุดที่อันตรายอย่างยิ่ง เพราะไม่เพียงใส่คำครอบจักรวาล “ภัยต่อความมั่นคงของรัฐ” และ “อาจกระทบต่อความสงบเรียบร้อย” เข้ามาเท่านั้น แต่ยังให้ระดับความสำคัญมันมากถึง “ภัยคุกคามทางไซเบอร์ระดับวิกฤติ” เทียบเท่าการโจมตีไซเบอร์ที่ส่งผลให้โครงสร้างพื้นฐานสำคัญของประเทศล้มเหลวทั้งระบบเลยทีเดียว (!)
ดังที่ผู้เขียนกล่าวไปข้างต้นแล้วว่า ไม่มีเหตุผลใดๆ เลย ที่จะใส่คำครอบจักรวาลเหล่านี้เข้ามาในกฎหมายที่วัตถุประสงค์หลักคือการรักษาความปลอดภัยของระบบคอมพิวเตอร์ และผู้เขียนก็ไม่เคยเห็นกฎหมายลักษณะเดียวกันในประเทศไหนทำแบบนี้
ฉะนั้น การ “ยัดไส้” คำครอบจักรวาลเหล่านี้เข้ามา จึงตีความเป็นอื่นไปไม่ได้เลยนอกจากว่า ผู้ร่างจงใจเปิดทางให้ฝ่ายความมั่นคงใช้บทบัญญัติเหล่านี้ในการคุกคามการแสดงออกของประชาชน ในทำนองเดียวกันกับที่ใช้ พ.ร.บ. คอมพิวเตอร์ ไล่ล่าการแสดงออกออนไลน์มากกว่าอาชญากรคอมพิวเตอร์ ผิดเจตนารมณ์ของกฎหมายมานานหลายปี
พ.ร.บ. ไซเบอร์ น่ากลัวกว่า พ.ร.บ. คอมพิวเตอร์ เพราะลงเจ้าหน้าที่ตีความว่าการแสดงออก การโพสต์เนื้อหาอะไรก็ตามออนไลน์เข้าข่าย “ภัยคุกคามทางไซเบอร์ระดับร้ายแรง” หรือ “ภัยคุกคามทางไซเบอร์ระดับวิกฤติ” แล้วไซร้ ก็จะสามารถสั่งการให้หน่วยงานรัฐและเอกชนทำหรือไม่ทำอะไรก็ได้ หรือจะออกคำสั่งให้หน่วยงานรัฐใช้เครื่องมืออิเล็กทรอนิกส์ เช่น เครื่องมือสอดส่องระบบ (มาตรา 62) ก็ได้
ถ้าเป็น “ภัยคุกคามทางไซเบอร์ระดับร้ายแรง” การเข้าถึงข้อมูลคอมพิวเตอร์จะต้องขอหมายศาลก่อน แต่ถ้าเป็น “ภัยคุกคามทางไซเบอร์ระดับวิกฤติ” (ซึ่งผู้เขียนชี้ไปแล้วข้างต้นว่านิยามรวมถึงคำครอบจักรวาลอันตราย) แล้วล่ะก็ คณะกรรมการมั่นคงไซเบอร์ฯ สามารถทำทุกอย่างได้เลย “เพื่อป้องกันและเยียวยาความเสียหายก่อนล่วงหน้า” โดยไม่ต้องยื่นคำร้องต่อศาล (มาตรา 67) เพียงแต่แจ้งศาลภายหลังการดำเนินการเท่านั้น
การออกคำสั่งต่างๆ ตามกฎหมายนี้ ผู้รับคำสั่งสามารถอุทธรณ์ได้เฉพาะในกรณีที่เป็นภัยคุกคามทางไซเบอร์ระดับไม่ร้ายแรงเท่านั้น (มาตรา 68)
ในเมื่อกฎหมายสำคัญที่ควรจะได้มาตรฐานสากล ช่วยยกระดับความมั่นคงปลอดภัยของ “ระบบ” ดันถูกยัดไส้คำครอบจักรวาลเจ้าปัญหาเข้ามาจนสุ่มเสี่ยงว่าจะกลายเป็นเครื่องมือปิดกั้นการแสดงออก เหมือนกับที่เราได้เห็นแล้วในกรณี พ.ร.บ. คอมพิวเตอร์ ผู้เขียนก็สรุปได้แต่เพียงสั้นๆ ว่า กฎหมายฉบับนี้สะท้อนว่าหลักความมั่นคงไซเบอร์สากล ได้พ่ายแพ้ต่อทัศนคติเรื่อง “ความมั่นคง” แบบเชยๆ สมัยสงครามเย็นไปแล้ว.