พิเศษ เสตเสถียร
เมื่อเร็ว ๆ นี้มีกรรมการของบริษัทมหาชนแห่งหนึ่งถามผมว่า การประชุมกรรมการผ่านทางอิเล็กทรอนิกส์สามารถทำได้แล้วไม่ใช่หรือ? พอดีเขามีเรื่องที่จะต้องประชุมด่วน แต่กรรมการของเขาอยู่ต่างประเทศ ถ้าอย่างนั้น บริษัทของเขาจะประชุมคณะกรรมการทาง Video Conference จะได้ไหม?
ผมตอบไปว่าอย่างไรขออุบไว้ก่อน เรามาดูกฎหมายที่เกี่ยวข้องกับการประชุมอิเล็กทรอนิกส์กันก่อนดีกว่าครับ
ตามประกาศคณะรักษาความสงบแห่งชาติ ฉบับที่ 74/2557 เรื่อง การประชุมผ่านสื่ออิเล็กทรอนิกส์ ที่ได้ออกมาตั้งแต่วันที่ 27 มิถุนายน พ.ศ. 2557 ได้บัญญัติถึง “การประชุมผ่านสื่ออิเล็กทรอนิกส์” เอาไว้ว่า
“การประชุมที่กฎหมายบัญญัติให้ต้องมีการประชุมที่กระทําผ่านสื่ออิเล็กทรอนิกส์โดยผู้ร่วมประชุมอย่างน้อยหนึ่งในสามขององค์ประชุมต้องอยู่ในที่ประชุมแห่งเดียวกัน และผู้ร่วมประชุมทั้งหมดต้องอยู่ในราชอาณาจักรขณะที่มีการประชุม แม้จะมิได้อยู่ในสถานที่เดียวกันและสามารถประชุมปรึกษาหารือและแสดงความคิดเห็นระหว่างกันได้ผ่านสื่ออิเล็กทรอนิกส์”
เพราะฉะนั้น เงื่อนไขข้อแรกของการประชุมทางอิเล็กทรอนิกส์ คือนอกจากจะต้องกระทำผ่านสื่ออิเล็กทรอนิกส์ เช่น โทรศัพท์หรือวิดีโอ แล้ว ก็จะต้องมีเงื่อนไขว่าต้องมีผู้เข้าร่วมประชุมอย่างน้อย 1 ใน 3 ต้องอยู่ในที่เดียวกัน และที่สำคัญที่สุดผู้เข้าร่วมประชุมทั้งหมดจะต้องอยู่ในราชอาณาจักรขณะที่มีการประชุม เพราะฉะนั้น ถ้าบริษัทไหนมีกรรมการเป็นชาวต่างประเทศที่อยู่นอกประเทศไทย ก็คิดดูเอาเองครับว่าจะประชุมทางอิเล็กทรอนิกส์ได้หรือไม่?
ในการประชุมทางอิเล็กทรอนิกส์นั้น ก็ไม่ยากอะไร ในข้อ 6 ของประกาศ คสช. ดังกล่าวบอกว่า
“ในการประชุมผ่านสื่ออิเล็กทรอนิกส์ ผู้มีหน้าที่จัดการประชุมต้อง
-
(1) จัดให้ผู้ร่วมประชุมแสดงตนเพื่อร่วมประชุมผ่านสื่อเล็กทรอนิกส์ก่อนร่วมการประชุม
(2) จัดทํารายงานการประชุมเป็นหนังสือ
(3) จัดให้มีการบันทึกเสียงหรือทั้งเสียงและภาพ แล้วแต่กรณี ของผู้ร่วมประชุมทุกคนตลอดระยะเวลาที่มีการประชุมในรูปข้อมูลอิเล็กทรอนิกส์เว้นแต่เป็นการประชุมลับ และให้ถือเป็นส่วนหนึ่งของรายงานการประชุม”
ถ้าการประชุมทางอิเล็กทรอนิกส์ได้ทำตามที่ว่ามาข้างต้นแล้ว ข้อ 8 ก็บอกว่า
“ให้ถือว่าการประชุมผ่านสื่ออิเล็กทรอนิกส์ตามประกาศคณะรักษาความสงบแห่งชาตินี้เป็นการประชุมโดยชอบด้วยกฎหมาย และห้ามมิให้ปฏิเสธการรับฟังข้อมูลอิเล็กทรอนิกส์ตามประกาศคณะรักษาความสงบแห่งชาตินี้เป็นพยานหลักฐานในกระบวนการพิจารณาตามกฎหมายทั้งในคดีแพ่ง คดีอาญา หรือคดีอื่นใด เพียงเพราะเหตุว่าเป็นข้อมูลอิเล็กทรอนิกส์”
ฟังดูแล้วก็ดีมากใช่ไหมครับ กฎหมายมาอำนวยความสะดวกด้วยการรับรองการประชุมทางอิเล็กทรอนิกส์ แต่ที่น่าจะเป็นข้อสำคัญคือ ในข้อ 4 ของประกาศนี้บอกว่า
“การประชุมผ่านสื่ออิเล็กทรอนิกส์ต้องเป็นไปตามมาตรฐานการรักษาความมั่นคงปลอดภัยของการประชุมผ่านสื่ออิเล็กทรอนิกส์ที่กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารกําหนดโดยประกาศในราชกิจจานุเบกษา”
เราก็เลยต้องไปดูประกาศที่เกี่ยวข้องคือ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของการประชุมผ่านสื่ออิเล็กทรอนิกส์ พ.ศ. 2557 ซึ่งในประกาศนี้บอกว่า
“ข้อ 4 การประชุมผ่านสื่ออิเล็กทรอนิกส์ให้กระทําผ่านระบบควบคุมการประชุมที่มีกระบวนการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ซึ่งสอดคล้องกับหลักเกณฑ์ตามประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 หรือมาตรฐานอื่นที่เทียบเท่า ทั้งนี้ ไม่ว่าผู้ให้บริการระบบดังกล่าวจะเป็นภาครัฐหรือภาคเอกชนให้มีการบันทึกเสียงหรือทั้งเสียงและภาพ แล้วแต่กรณีของผู้ร่วมประชุมทุกคนตลอดระยะเวลาที่มีการประชุม รวมทั้งข้อมูลจราจรทางคอมพิวเตอร์ที่เกิดจากการบันทึกดังกล่าว ทั้งนี้ โดยบันทึกในระบบควบคุมการประชุมหรือโดยระบบอื่นใด
การบันทึกข้อมูลตามวรรคสองจะต้องบันทึกในรูปข้อมูลอิเล็กทรอนิกส์ลงในสื่ออิเล็กทรอนิกส์ที่มีความมั่นคงปลอดภัยและด้วยวิธีการที่เชื่อถือได้ตามข้อกําหนดแนบท้ายประกาศนี้”
ซึ่งประกาศแนบท้ายก็มีเงื่อนไขอยู่อีก 3 ข้อ มีความยาวประมาณ 1 หน้ากระดาษ ผมขออนุญาตไม่กล่าวถึงนะครับ ท่านที่สนใจก็ไปดูเอาเอง
คราวนี้ในประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารที่ว่ามาข้างต้นบอกว่า การประชุมผ่านสื่ออิเล็กทรอนิกส์ให้กระทําผ่านระบบควบคุมการประชุมที่มีกระบวนการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ซึ่งสอดคล้องกับประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ เป็นกฎหมายซ้อนกฎหมาย เราก็จะต้องไปดูกฎหมายที่เขาอ้างถึงต่อไปอีกว่ากำหนดไว้อย่างไร
ตามประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 ก็บอกว่า
“ข้อ 4 ข้อปฏิบัติในด้านการรักษาความมั่นคงปลอดภัย ต้องมีเนื้อหาอย่างน้อยครอบคลุมตามข้อ 5-15”
ก็แสดงว่า มีกฎหมายที่เราต้องทำตามอีกประมาณ 10 ข้อ เอาเป็นตัวอย่างสักข้อสองข้อนะครับคือ
“ข้อ 5 ให้มีข้อกําหนดการเข้าถึงและควบคุมการใช้งานสารสนเทศ (access control)ซึ่งต้องมีเนื้อหาอย่างน้อย ดังนี้
-
(1) หน่วยงานของรัฐต้องมีการควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการประมวลผลข้อมูลโดยคํานึงถึงการใช้งานและความมั่นคงปลอดภัย
(2) ในการกําหนดกฎเกณฑเกี่ยวกับการอนุญาตให้เข้าถึง ต้องกําหนดตามนโยบายที่เกี่ยวข้องกับการอนุญาต การกําหนดสิทธิ หรือการมอบอํานาจของหนวยงานของรัฐนั้น ๆ
(3) หน่วยงานของรัฐต้องกําหนดเกี่ยวกับประเภทของข้อมูล ลําดับความสําคัญ หรือลําดับชั้นความลับของข้อมูล รวมทั้งระดับชั้นการ เข้าถึง เวลาที่ได้เข้าถึง และช่องทางการเข้าถึง”
……
“ข้อ 7 ให้มีการบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงระบบสารสนเทศเฉพาะผู้ที่ได้รับอนุญาตแล้ว และผ่านการฝึกอบรม หลักสูตรการสร้างความตระหนักเรื่องความมั่นคงปลอดภัยสารสนเทศ (information security awareness training) เพื่อป้องกันการเข้าถึงจากผู้ซึ่งไม่ได้รับอนุญาตโดยต้องมีเนื้อหาอย่างน้อย ดังนี้
-
(1) สร้างความรู้ความเข้าใจให้กับผู้ใช้งาน เพื่อให้เกิดความตระหนัก ความเข้าใจถึงภัยและผลกระทบที่เกิดจากการใชงานระบบสารสนเทศโดยไมระมัดระวังหรือรู้เท่าไมถึงการณ์ รวมถึงกําหนดให้มีมาตรการเชิงป้องกันตามความเหมาะสม
(2) การลงทะเบียนผู้ใช้งาน (user registration) ต้องกําหนดให้มีขั้นตอนทางปฏิบัติสําหรับการลงทะเบียนผู้ใช้งานเมื่อมีการอนุญาตให้เข้าถึงระบบสารสนเทศ และการตัดออกจากทะเบียนของผู้ใช้งานเมื่อมีการยกเลิกเพิกถอนการอนุญาตดังกล่าว
(3) การบริหารจัดการสิทธิของผู้ใช้งาน (user management) ต้องจัดให้มีการควบคุมและจํากัดสิทธิเพื่อเข้าถึงและใช้งานระบบสารสนเทศแต่ละชนิดตามความเหมาะสม ทั้งนี้รวมถึงสิทธิจําเพาะ สิทธิพิเศษ และสิทธิอื่น ๆ ที่เกี่ยวข้องกับการเข้าถึง
(4) การบริหารจัดการรหัสผ่านสําหรับผู้ใช้งาน (user password management) ต้องจัดให้มีกระบวนการบริหารจัดการรหัสผ่านสําหรับผูใช้งานอยางรัดกุม
(5) การทบทวนสิทธิการเข้าถึงของผู้ใช้งาน (review of user access rights) ต้องจัดให้มีกระบวนการทบทวนสิทธิการเข้าถึงของผู้ ใช้งานระบบสารสนเทศตามระยะเวลาที่กําหนดไว้
(ที่บทบัญญัติในประกาศนี้เขียนว่า “หน่วยงานของรัฐ” เพราะประกาศของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ฉบับนี้ใช้กับหน่วยงานของรัฐ แต่ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารให้เอามาใช้กับภาคเอกชนด้วย)
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ฉบับนี้มีทั้งหมด 8 หน้าผู้ที่สนใจก็ไปดูเอาเองได้ครับว่า การรักษาความมั่นคงปลอดภัยด้านสารสนเทศที่ท่านต้องจัดให้มี มีอะไรบ้าง
ที่เห็นเป็นข่าว ก็เห็นมีอย่างเช่นกระทรวงมหาดไทย เวลาจะประชุมผู้ว่าราชการจังหวัดที่อยู่ท้องที่ต่าง ๆ กัน ก็จะทำ Video Conference ถ้าบริษัทไหนอยากจะมีประชุมทางอิเล็กทรอนิกส์แบบนี้บ้างก็ต้องทำตามเงื่อนไขต่าง ๆ ให้ครบดังที่ผมได้บอกมาแล้วข้างต้น ก็คงจะเหนื่อยหน่อยนะครับ ผมว่าต่อไปต้องมีคนมารับจ้างให้บริการการประชุมทางอิเล็กทรอนิกส์ แต่ก็ต้องระวังรักษาความลับทางการค้าในเรื่องที่ประชุมให้ดี(เห็นจะต้องไปร่างสัญญารักษาความลับหรือ confidentiality agreement ให้ผู้รับจ้างเซ็นอีกฉบับเสียแล้ว)
ในประกาศของ คสช. ได้เกริ่นบอกไว้ในเบื้องต้นว่า
“โดยที่เทคโนโลยีปัจจุบันทําให้ผู้ร่วมประชุมทั้งภาครัฐและภาคเอกชนสามารถปรึกษาหารือกันผ่านสื่ออิเล็กทรอนิกส์ได้โดยสะดวกแม้จะมิได้อยู่ในสถานที่เดียวกัน ทั้งยังเป็นการประหยัดต้นทุนและระยะเวลาในการจัดการประชุมและการเดินทางไปร่วมประชุมด้วย และปัจจุบันมีการใช้วิธีการประชุมผ่านสื่ออิเล็กทรอนิกส์ในการประกอบธุรกิจกันอย่างแพร่หลาย แต่กฎหมายที่ใช้บังคับอยู่ในปัจจุบันยังไม่เปิดช่องให้ดําเนินการประชุมผ่านสื่ออิเล็กทรอนิกส์โดยมีผลบังคับใช้ได้ตามกฎหมาย สมควรมีกฎหมายกลางเพื่อกําหนดให้การประชุมบางอย่างที่กฎหมายต่าง ๆ บัญญัติให้ต้องประชุม สามารถกระทําผ่านสื่ออิเล็กทรอนิกส์โดยมีผลบังคับใช้ตามกฎหมายได้อีกทางหนึ่งด้วย”
ผมจึงยังไม่ค่อยแน่ใจว่า เงื่อนไขต่าง ๆ ที่ทางรัฐกำหนดให้ทำตามนั้น ทางภาคเอกชนที่อยากให้มีการประชุมทางอิเล็กทรอนิกส์จะทำตามได้โดยง่ายหรือเปล่า?
