“คน” ต้องมาก่อน “เทคโนโลยี” (10) กฎหมายเทคโนโลยีที่ “ดี” (และเห็นหัว “คน”)

สฤณี อาชวานันทกุล

ตอนที่แล้วผู้เขียนพูดถึงความแย่หลายประการของร่างกฎหมาย “พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …” (กฎหมายมั่นคงไซเบอร์) ซึ่งหลังจากที่ถูกรัฐบาล คสช. นำกลับไปทบทวนกว่าสามปี หลังจากที่เผชิญกับกระแสการต่อต้านอย่างกว้างขวางในปี พ.ศ. 2558 (รวมทั้งจากผู้เขียนคอลัมน์นี้ด้วย) ร่างกฎหมายฉบับใหม่ก็ไม่ได้ดีขึ้นกว่าเดิมกี่มากน้อย ยังคงให้อำนาจรัฐอย่างกว้างขวาง กำหนดนิยามอย่างเหวี่ยงแหเหมารวมชนิดเปิดช่องอ้าซ่าให้กลั่นแกล้งและละเมิดสิทธิประชาชน โดยที่ไม่มีกลไกคานดุล กลไกโปร่งใส และกลไกตรวจสอบใดๆ เลย

ก่อนหน้านี้ผู้เขียนพยายามเน้นหลายครั้งว่า การส่งเสริม “เศรษฐกิจดิจิทัล” ที่ถูกต้องนั้นจะต้องสร้าง “ความไว้วางใจ” ซึ่งเป็นหัวใจของเศรษฐกิจดิจิทัล โดยเฉพาะความไว้วางใจของประชาชนและเอกชนต่อรัฐ

กฎหมายหรือกฎเกณฑ์อะไรก็ตามที่บั่นทอนหรือทำลายความไว้วางใจ ย่อมไม่มีวันช่วยพัฒนา “เศรษฐกิจดิจิทัล” หรือภาพฝันที่รัฐบาลนี้ขนาดนามว่า “ไทยแลนด์ 4.0” ได้เลย

ตลอดระยะเวลาสี่ปีที่ผ่านมา ผู้เขียนได้อ่านหลักการและข้อเสนอแนะเกี่ยวกับการพัฒนาเศรษฐกิจดิจิทัลระดับสากลหลายชุด ตั้งแต่แนวปฏิบัติของ OECD และธนาคารโลก จนถึงข้อเสนอขององค์กรภาคประชาชนระดับโลก อาทิ Electronic Frontier Foundation (EFF) และ Privacy International ที่เข้าใจและสนับสนุนการพัฒนาเศรษฐกิจดิจิทัล แต่ก็อยากให้การพัฒนานั้นส่งเสริมและคุ้มครองสิทธิเสรีภาพการแสดงออก และสิทธิในความเป็นส่วนตัวของเราทุกคนด้วย

สิ่งที่ควรทำและไม่ควรทำสำหรับการรักษาความมั่นคงปลอดภัยไซเบอร์ (cyber security) โดย Privacy International
สิ่งที่ควรทำและไม่ควรทำสำหรับการรักษาความมั่นคงปลอดภัยไซเบอร์ (cyber security) โดย Privacy International

จากเอกสารเหล่านี้ เปรียบเทียบกับกรณีที่เกิดขึ้นจริงในไทย ผู้เขียนคิดว่าสามารถสรุป “หลักการพื้นฐาน” ของกลไกเชิงสถาบันที่จำเป็นต่อการพัฒนาเศรษฐกิจดิจิทัล ตัวอย่างร่างกฎหมายที่ละเมิดหลักการนี้ และผลกระทบที่ผู้เขียนคาดว่าจะเกิดขึ้น ได้อย่างน้อยสามข้อดังต่อไปนี้

หลักการ #1. รัฐจะต้องเน้นบทบาทการ “ส่งเสริม” และ “สนับสนุน” เป็นหลัก พร้อมกับไม่ทำลายหลักสนามแข่งขันที่เท่าเทียม เช่น ด้วยการมอบสิทธิประโยชน์ทางภาษีให้กับผู้ประกอบการดิจิทัล ไม่ใช่หมกมุ่นกับการตั้งองค์กรใหม่ๆ มารวบอำนาจหรือแข่งกับเอกชน โดยเฉพาะด้วยวิธีที่มีผลประโยชน์ทับซ้อนอย่างชัดเจน เช่น เป็นทั้งผู้กำหนดนโยบาย กำกับดูแล และแข่งขันในตลาดไปพร้อมกัน

ร่างกฎหมายที่ละเมิดหลักข้อนี้: ร่าง พ.ร.บ. มั่นคงไซเบอร์, ร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และร่าง พ.ร.บ. สำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์แห่งชาติ (สพธอ.) ฉบับใหม่ ล้วนแต่กำหนดให้ตั้งคณะกรรมการหรือสำนักงานใหม่ ซึ่งจะมีอำนาจทำทุกอย่างตั้งแต่กำกับดูแล สั่งการ ไปจนถึงประกอบธุรกิจในทางที่แข่งขันกับเอกชน เข้าข่ายผลประโยชน์ทับซ้อนอย่างชัดเจน

น่าสังเกตว่า ก่อนหน้าที่จะออกมาเป็นกฎหมายในรัฐบาลปัจจุบัน ร่าง พ.ร.บ. การพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม เคยกำหนดว่าจะตั้งกองทุนพัฒนาดิจิทัลฯ โดยใช้เงินจาก กสทช. และให้กองทุนนี้มีสถานะเป็นนิติบุคคล เอาเงินไปลงทุนร่วมกับเอกชนหรือปล่อยกู้ให้กับใครก็ได้ ไม่ต้องส่งเงินเข้ารัฐ ใช้เงินนอกระบบงบประมาณอย่างสิ้นเชิง

อย่างไรก็ดี ภายหลังจากที่ร่างกฎหมายนี้เผชิญกับเสียงคัดค้านอย่างเข้มข้น ผลสุดท้ายกฎหมายฉบับที่ออกมาบังคับใช้จริงก็ลดขีดความแย่ของผลประโยชน์ทับซ้อนไปหนึ่งเปลาะ ด้วยการเขียนขยายความในมาตรา 26(1) ว่า กองทุนดิจิทัลฯ มีหน้าที่ “ส่งเสริม สนับสนุน หรือให้ความช่วยเหลือหน่วยงานของรัฐและเอกชนหรือบุคคลทั่วไป ในการดําเนินการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม ทั้งนี้ การส่งเสริม สนับสนุน หรือให้ความช่วยเหลือดังกล่าว ต้องมีวัตถุประสงค์เพื่อประโยชน์ต่อการให้บริการสาธารณะและไม่เป็นการแสวงหากําไร โดยไม่เป็นการทําลายการแข่งขันอันพึงมีตามปกติวิสัยของกิจการภาคเอกชน” (ขีดเส้นใต้โดยผู้เขียน)

น่าตกใจที่ผู้ร่างกฎหมายฉบับอื่นๆ ในชุดเศรษฐกิจดิจิทัล ตั้งแต่กฎหมายมั่นคงไซเบอร์ กฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎหมาย สพธอ. ฉบับใหม่ กลับมิได้เรียนรู้บทเรียนราคาแพงจากกฎหมายพัฒนาดิจิทัลฯ และไม่สำเหนียกในหลักการพื้นฐานว่าควรหลีกเลี่ยงผลประโยชน์ทับซ้อนแต่อย่างใด!

ผลกระทบที่คาดว่าจะเกิดขึ้น: การแข่งกับเอกชน และเอื้อประโยชน์ให้พวกพ้อง เช่น สำนักงานคณะกรรมการมั่นคงไซเบอร์ฯ ออกทุนสนับสนุนโครงการของเอกชนที่เป็น “พวกเดียวกัน” กับผู้ร่างกฎหมาย รวมถึงยังจะเปิดช่องคอร์รัปชันชนิด “คอร์รัปชันเชิงนโยบาย” หลายโครงการ ไม่ต่างจากปัญหาที่เกิดขึ้น (และหลายคนก็รุมประณาม) ในรัฐบาลก่อนๆ

หลักการ #2. การใช้อำนาจของรัฐทุกกรณีจะต้องมีกลไกถ่วงดุล คานดุล ตรวจสอบ และนิยามทุกอย่างต้องแคบและชัดเจน โดยเฉพาะนิยามฐานความผิด และนิยามเหตุการณ์ที่จะให้รัฐมีอำนาจลิดรอนสิทธิเสรีภาพของประชาชนอย่างน้อยชั่วคราว ตามหลักการพื้นฐาน “จำเป็นและได้ส่วน” (necessary and proportionate) รวมถึงต้องมีกลไกอุทธรณ์ ร้องเรียน และเยียวยา กรณีมีผู้สงสัยว่ารัฐใช้อำนาจโดยมิชอบ หรือเกิดความผิดพลาดในทางที่ลิดรอนสิทธิ

ร่างกฎหมายที่ละเมิดหลักข้อนี้: การใช้อำนาจที่สำคัญๆ ของรัฐ เช่น การดักและสอดแนมข้อมูลของประชาชน บล็อกเว็บไซต์ สั่งให้ลบข้อมูล ฯลฯ ตามร่างกฎหมายหลักทุกฉบับในชุดกฎหมายดิจิทัล (พ.ร.บ. คอมพิวเตอร์, พ.ร.บ. พัฒนาดิจิทัลฯ, พ.ร.บ. มั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ไม่ปรากฎว่ามีกลไกต่างๆ ข้างต้นเลย

ดร. ภูมิ ภูมิรัตน หนึ่งในกรรมการผู้ทรงคุณวุฒิของกรรมการเตรียมการด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ให้ความเห็นต่อร่าง พ.ร.บ. มั่นคงไซเบอร์ ส่วนหนึ่งว่า “อำนาจหลายๆ อย่างขาดกรอบการกำกับควบคุมอำนาจ เช่นอำนาจในการสั่งให้เอกชนต้องให้ข้อมูล หรือต้องปฏิบัติตามที่เลขาธิการสั่งนั้น เลขาธิการ CSA [Cyber Security Agency] ทำได้เพียงเพราะสงสัยว่าจะมีภัย ซึ่งองค์กรแทบทุกองค์กรที่เชื่อมต่อ internet อยู่นั้น เสี่ยงที่จะมีภัยตลอดเวลา และหลายๆองค์กรโดนโจมตีทุกวัน วันละเป็นร้อยๆ ครั้ง การจะอ้างถึงการเชื่อได้ว่าจะมีภัยนั้น ดูจะเป็นอำนาจที่กว้างขวางเกินไป”

ผลกระทบที่คาดว่าจะเกิดขึ้น: เอกชนไม่มั่นใจที่จะลงทุนในกิจการดิจิทัล ประชาชนไม่มั่นใจที่จะแสดงความคิดเห็นอย่างอิสระ ตกอยู่ในความหวาดระแวง โดยเฉพาะคนที่รู้สึกว่าตัวเองไม่ได้อยู่ “ฝ่ายเดียวกัน” กับผู้มีอำนาจ (ไม่ว่าจะฝ่ายไหนก็ตาม …อย่าลืมว่ากฎหมายเมื่อออกมาแล้ว ทุกรัฐบาลก็ใช้ได้)

หลักการ #3. รัฐจะต้องปรับปรุงระดับความปลอดภัยไซเบอร์ของเครือข่ายของรัฐ และสร้างความมั่นใจกับประชาชนได้ว่าระบบของเอกชนก็จะปลอดภัยมากขึ้นเช่นเดียวกัน (ใครๆ ก็รู้ว่าเว็บและเซิร์ฟเวอร์ของราชการไทยนั้นเปราะบางแฮ็กง่ายมาก และที่ผ่านมาคนก็ยังไม่ไว้ใจระบบของเอกชนมากเท่าที่ควร)

ร่างกฎหมายที่ละเมิดหลักข้อนี้: ไม่เห็น แต่ผู้เขียนก็ยังไม่เห็นมีมาตราใดๆ ในร่างกฎหมายฉบับไหนที่จะส่งเสริมหรือปรับปรุงเรื่องนี้เลย

ผลกระทบที่คาดว่าจะเกิดขึ้น: ประชาชนไม่ไว้ใจและมืดแปดด้านต่อไป ว่าข้อมูลส่วนบุคคลของตนในระบบของรัฐ กับของเอกชนจะไว้วางใจได้ขนาดไหน