พ.ร.บ. ไซเบอร์: เมื่อหลักความมั่นคงไซเบอร์แพ้ทัศนคติ “ความมั่นคง 0.4”

สฤณี ทอาชวานันกุล

ตลอดสี่ปีที่ผ่านมา ผู้เขียนใช้เนื้อที่ในคอลัมน์นี้ไปแล้วมากมาย ถ้ามัดรวมกันคงได้เป็นหนังสือหนึ่งเล่ม เพื่ออธิบายอันตรายของร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. …. (“พ.ร.บ. ไซเบอร์”) ซึ่งหลังจากที่กฎหมายนี้เผชิญเสียงต่อต้านอย่างรุนแรงจนถูกนำกลับไปร่างใหม่หลายครั้ง สภานิติบัญญัติแห่งชาติ (สนช.) ก็ลงมติเห็นชอบร่างสุดท้ายในวันที่ 28 กุมภาพันธ์ 2562 ที่ผ่านมา โดยไม่มีเสียงคัดค้านแม้แต่เสียงเดียว ตามสไตล์สภาฝักถั่ว

ในฐานะคนที่ติดตามเส้นทางของกฎหมายฉบับนี้อย่างใกล้ชิดมานานกว่า 4 ปี ผู้เขียนเห็นว่ากฎหมายฉบับที่ผ่าน สนช. นั้น “ดีกว่า” ร่างแรกที่เคยเห็น แต่ก็ยัง “อันตราย” และสุ่มเสี่ยงที่จะถูกนำไปใช้เพื่อลิดรอนสิทธิเสรีภาพการแสดงออกอยู่ดี

เพียงแต่ “ยัดไส้” บทบัญญัติที่เป็นอันตรายต่อประชาชนให้อยู่ลึกลงไปอีกในกฎหมาย หายากขึ้นหน่อยเท่านั้นเอง

พ.ร.บ. ไซเบอร์ อันตรายกว่า พ.ร.บ. คอมพิวเตอร์ เพราะให้อำนาจรัฐในการ “ขอข้อมูล” และ “สอดส่อง” คนที่ถูกแปะป้ายว่าเป็นภัยคุกคาม ฉะนั้นเราอาจไม่รู้เลยว่าใครกำลังถูกลิดรอนสิทธิด้วยกฎหมายฉบับนี้บ้าง ต่างจาก พ.ร.บ. คอมพิวเตอร์ ซึ่งใช้หลังจากที่เกิดการกระทำ(ที่รัฐอ้างว่า)ผิด ดังนั้นอย่างน้อยเราจะรู้ว่าใครโดนกลั่นแกล้ง เพราะจะถูกแจ้งข้อหาและดำเนินคดี

ถ้ายังจำกันได้ คณะที่ปรับปรุง พ.ร.บ. คอมพิวเตอร์ เมื่อปี 2558 ตอนนั้นก็อ้างคล้ายๆ กับตอนนี้ว่า ประชาชนไม่ต้องห่วง กฎหมายจะไม่ถูกนำมาใช้ฟ้องกลั่นแกล้งอีกแล้ว แต่เราก็ได้เห็นจากข้อเท็จจริงที่ผ่านมาแล้วว่าไม่จริงเลย ยังมีคดีการแสดงออกที่อ้างว่าผิด พ.ร.บ. คอมฯ ไม่น้อยกว่าหลายสิบคดี คนที่แค่วิจารณ์กระเป๋าเมียนายกฯ วิพากษ์วิจารณ์รัฐ ล้อเลียนรัฐบาล แชร์ข้อมูลวิจารณ์รัฐ ฯลฯ ล้วนถูกจับจริงมาแล้วในข้อหานำเข้าข้อมูลเท็จอัน “อาจทำให้ประชาชนตื่นตระหนก” “เป็นภัยต่อความมั่นคงของรัฐ” หรือ “ขัดต่อความสงบเรียบร้อยและศีลธรรมอันดี”

ในเมื่อเราเห็นแล้วว่า คำครอบจักรวาลเหล่านี้ล้วนถูกตีความในทางที่คุกคามปิดปากประชาชนทั้งสิ้น ดังนั้นกฎหมายฉบับไหนใช้คำเหล่านี้ เราก็ควรต้องมองมันในแง่ลบก่อนเลยว่า มีแนวโน้มสูงที่จะถูกเอามาใช้คุกคามอีก

โดยเฉพาะในเมื่อไม่มีเหตุผลใดๆ เลย ที่จะใส่คำเหล่านี้ไว้ใน พ.ร.บ. ไซเบอร์ ซึ่งในหลักการสากล เป็นกฎหมายสำคัญสำหรับการรักษาความปลอดภัยของระบบคอมพิวเตอร์จากการถูกโจมตีของแฮ็กเกอร์ ผู้เขียนเคยอธิบายไว้หลายครั้งก่อนหน้านี้ว่า พ.ร.บ. ไซเบอร์ ในต่างประเทศ ล้วนแต่เน้นปรับปรุงมาตรฐานความปลอดภัยของระบบ การแลกเปลี่ยนข้อมูลที่เกี่ยวกับภัยคุกคามไซเบอร์ และเพิ่มศักยภาพของเจ้าหน้าที่ โดยที่มีกลไกตรวจสอบถ่วงดุลทุกขั้นตอน ต้องรายงานผลการดำเนินงานประจำปีต่อกรรมาธิการในสภา

กฎหมายความมั่นคงปลอดภัยไซเบอร์ Directive on security of network and information systems (นิยมย่อว่า NIS Directive) ฉบับหลักของสหภาพยุโรป มีผลบังคับใช้ในปี 2018 ที่ผ่านมา นิยาม “ภัยคุกคามทางไซเบอร์” ไว้สั้นๆ ง่ายๆ ว่า ‘incident’ means any event having an actual adverse effect on the security of network and information systems (เหตุการณ์ใดก็ตามที่ส่งผลกระทบทางลบต่อความมั่นคงปลอดภัยของเครือข่ายและระบบข้อมูล) และ ‘risk’ means any reasonably identifiable circumstance or event having a potential adverse effect on the security of network and information systems (สถานการณ์หรือเหตุการณ์ใดก็ตามที่น่าจะส่งผลกระทบทางลบต่อความมั่นคงปลอดภัยของเครือข่ายและระบบข้อมูล)

ชัดเจนว่าเป็นภัยคุกคามต่อ “ระบบ” เท่านั้น

ไม่มีตรงไหนบอกว่ารวมถึงภัยคุกคามที่อาจส่งผลกระทบต่อความมั่นคงของรัฐ หรือความสงบเรียบร้อยของประชาชนแต่อย่างใด

แล้ว พ.ร.บ. ไซเบอร์ ของไทย ยัดคำครอบจักรวาลอันตรายเหล่านี้ไว้ตรงไหน?

เริ่มแรก คำว่า “ภัยคุกคามทางไซเบอร์” ถูกนิยามไว้สั้นๆ ในมาตรา 3 ว่า “การกระทำหรือการดำเนินการใดๆ โดยมิชอบโดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง

คำถามคือ “ข้อมูลคอมพิวเตอร์” และ “ข้อมูลอื่นที่เกี่ยวข้อง” หมายถึงอะไร? ทำไมต้องใส่มานิยาม ? ถ้าหากเจตนารมณ์ของกฎหมายเป็นไปเพื่อรักษาความมั่นคงปลอดภัยของระบบ ทำไมไม่หยุดแค่คำว่า “ระบบ” ให้ชัดเจน เหมือนกับในกฎหมายยุโรป ?

ผู้เขียนนึกถึง พ.ร.บ. คอมพิวเตอร์ ซึ่งผู้ร่างบางคนเคยอ้างว่าจะไม่เอาไปใช้กับการแสดงออกเด็ดขาด เพราะคำว่า “ข้อมูลคอมพิวเตอร์อันเป็นเท็จ” ตามเจตนารมณ์หมายถึงการปลอมแปลงข้อมูลคอมพิวเตอร์เพื่อหลอกลวง หรือ phishing เท่านั้น แต่แล้วก็ปรากฎว่า “ข้อมูลคอมพิวเตอร์” (data) ถูกตีความแบบตีขลุมไปหมายถึงข้อความ (speech) หรือเนื้อหา (content) อะไรก็ตามที่คนโพสออนไลน์ กลายเป็นคดีอยู่เนืองๆ และกลายเป็นบรรทัดฐาน(แย่ๆ)ในการใช้กฎหมายฉบับนี้สืบมา

นิยามในมาตรา 3 จึงไม่ทำให้ผู้เขียนสบายใจได้ทีเดียวนัก ว่าจะใช้เฉพาะกับเรื่องระบบเท่านั้น

เอกสารโฆษณาของกระทรวงดีอี อ้างว่า พ.ร.บ. คอม จะใช้กับ "การฉ้อโกง การปลอมแปลงข้อมูล" เท่านั้น
เอกสารโฆษณาของกระทรวงดีอี อ้างว่า พ.ร.บ. คอม จะใช้กับ “การฉ้อโกง การปลอมแปลงข้อมูล” เท่านั้น

ต่อมาในมาตรา 59 แบ่ง “ภัยคุกคามทางไซเบอร์” ออกเป็นสามระดับ

1) ระดับไม่ร้ายแรง หมายถึง ภัยคุกคามไซเบอร์ที่ทำให้ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศหรือการให้บริการของรัฐด้อยประสิทธิภาพลง

2) ระดับร้ายแรง หมายถึง ภัยคุกคามไซเบอร์ที่มีการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ ที่มีผลทำให้ระบบคอมพิวเตอร์ หรือคอมพิวเตอร์ที่เกี่ยวข้องกับการให้บริการด้านความมั่นคงของรัฐ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชน ไม่สามารถทำงานหรือให้บริการได้

(สังเกตว่า ณ จุดนี้ คำว่า “ความมั่นคงของรัฐ” และ “ความสงบเรียบร้อยของประชาชน” ถูกใส่เข้ามาในนิยาม “ภัยคุกคามทางไซเบอร์ระดับร้ายแรง” ด้วย)

3) ระดับวิกฤติ แบ่งออกเป็น 2 ประเภท คือ

3.1) ภัยคุกคามจากการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ที่ส่งผลกระทบรุนแรงเป็นวงกว้าง ทำให้การทำงานของหน่วยงานรัฐ การให้บริการของโครงสร้างพื้นฐานสำคัญของประเทศที่ให้กับประชาชนล้มเหลวทั้งระบบ จนรัฐควบคุมไม่ได้และเสี่ยงจะทำให้บุคคลจำนวนมากเสียชีวิตหรือระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์จำนวนมากถูกทำลายเป็นวงกว้างในระดับประเทศ

3.2) ภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐ หรืออาจทำให้ประเทศหรือส่วนใดส่วนหนึ่งของประเทศตกอยู่ในภาวะคับขัน หรือมีการกระทำความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา การรบหรือการสงคราม

ข้อ 3.2 (มาตรา 59(3)(ค) ในกฎหมาย) คือจุดที่อันตรายอย่างยิ่ง เพราะไม่เพียงใส่คำครอบจักรวาล “ภัยต่อความมั่นคงของรัฐ” และ “อาจกระทบต่อความสงบเรียบร้อย” (คือยังไม่กระทบจริงๆ ก็ได้ แค่ “อาจกระทบ” ก็พอ) เข้ามาเท่านั้น แต่ยังให้ระดับความสำคัญมันมากถึง “ภัยคุกคามทางไซเบอร์ระดับวิกฤติ” เทียบเท่าการโจมตีไซเบอร์ที่ส่งผลให้โครงสร้างพื้นฐานสำคัญของประเทศล้มเหลวทั้งระบบเลยทีเดียว (!)

ดังที่ผู้เขียนกล่าวไปข้างต้นแล้วว่า ไม่มีเหตุผลใดๆ เลย ที่จะใส่คำครอบจักรวาลเหล่านี้เข้ามาในกฎหมายที่วัตถุประสงค์หลักคือการรักษาความปลอดภัยของระบบคอมพิวเตอร์ และผู้เขียนก็ไม่เคยเห็นกฎหมายลักษณะเดียวกันในประเทศไหนทำแบบนี้

ฉะนั้น การ “ยัดไส้” คำครอบจักรวาลเหล่านี้เข้ามา จึงตีความเป็นอื่นไปไม่ได้เลยนอกจากว่า ผู้ร่างเปิดทางให้ฝ่ายความมั่นคงใช้บทบัญญัติเหล่านี้ในการคุกคามการแสดงออกของประชาชน ในทำนองเดียวกันกับที่ใช้ พ.ร.บ. คอมพิวเตอร์ เน้นไล่ล่าการแสดงออกออนไลน์มากกว่าอาชญากรคอมพิวเตอร์ ผิดเจตนารมณ์ของกฎหมายมานานหลายปี

พ.ร.บ. ไซเบอร์ น่ากลัวกว่า พ.ร.บ. คอมพิวเตอร์ ในแง่ที่ว่า ถ้าหากเจ้าหน้าที่ตีความว่าการกระทำใดๆ เข้าข่าย “ภัยคุกคามทางไซเบอร์ระดับร้ายแรง” หรือ “ภัยคุกคามทางไซเบอร์ระดับวิกฤติ” แล้วไซร้ ก็จะสามารถสั่งการให้หน่วยงานรัฐและเอกชนทำหรือไม่ทำอะไรก็ได้ หรือจะออกคำสั่งให้หน่วยงานรัฐใช้เครื่องมืออิเล็กทรอนิกส์ เช่น เครื่องมือสอดส่องระบบ (มาตรา 62) ก็ได้

ถ้าเป็น “ภัยคุกคามทางไซเบอร์ระดับร้ายแรง” การเข้าถึงข้อมูลคอมพิวเตอร์จะต้องขอหมายศาลก่อน แต่ถ้าเป็นเหตุจำเป็นเร่งด่วน และเป็น “ภัยคุกคามทางไซเบอร์ระดับวิกฤติ” (ซึ่งผู้เขียนชี้ไปแล้วข้างต้นว่านิยามรวมถึงคำครอบจักรวาลอันตราย) แล้วล่ะก็ คณะกรรมการมั่นคงไซเบอร์ฯ สามารถทำทุกอย่างได้เลย “เพื่อป้องกันและเยียวยาความเสียหายก่อนล่วงหน้า” โดยไม่ต้องยื่นคำร้องต่อศาล (มาตรา 67) เพียงแต่แจ้งศาลภายหลังการดำเนินการเท่านั้น

การออกคำสั่งต่างๆ ตามกฎหมายนี้ ผู้รับคำสั่งสามารถอุทธรณ์ได้เฉพาะในกรณีที่เป็นภัยคุกคามทางไซเบอร์ระดับไม่ร้ายแรงเท่านั้น (มาตรา 68)

ในเมื่อกฎหมายสำคัญที่ควรจะได้มาตรฐานสากล ช่วยยกระดับความมั่นคงปลอดภัยของ “ระบบ” ดันถูกยัดไส้คำครอบจักรวาลเจ้าปัญหาเข้ามาจนสุ่มเสี่ยงว่าจะกลายเป็นเครื่องมือปิดกั้นการแสดงออก เหมือนกับที่เราได้เห็นแล้วในกรณี พ.ร.บ. คอมพิวเตอร์ ผู้เขียนก็สรุปได้แต่เพียงสั้นๆ ว่า กฎหมายฉบับนี้สะท้อนว่าหลักความมั่นคงไซเบอร์สากล ได้พ่ายแพ้ต่อทัศนคติเรื่อง “ความมั่นคง” แบบเชยๆ สมัยสงครามเย็นไปแล้ว.