เรื่อง : ธัชชัย วงศ์กิจรุ่งเรือง
ภาพ : ประเวช ตันตราภิรมย์
๑๖ ธันวาคม ๒๕๕๙ หลังคณะกรรมาธิการวิสามัญพิจารณามาเป็นวาระที่ ๓ สภานิติบัญญัติแห่งชาติ (สนช.) ได้พิจารณาให้ ร่างพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ผ่านในที่สุด…แม้จะด้วยเหตุผลว่าเพื่อให้ทันสมัยเหมาะสมกับสถานการณ์ปัจจุบัน เพิ่มฐานความผิดและบทลงโทษให้ครอบคลุมเรื่องต่าง ๆ เช่น การเจาะทำลายระบบความมั่นคงของประเทศ ช่วยคุ้มครองและสร้างความเป็นธรรมแก่ผู้ใช้ รวมทั้งรองรับการพัฒนาเศรษฐกิจดิจิทัลของประเทศ แต่ช่วงก่อนที่จะผ่านความเห็นชอบนั้น กลับได้รับเสียงวิพากษ์วิจารณ์มาโดยตลอด ถึงรายละเอียดที่อาจละเมิดสิทธิผู้ใช้อินเทอร์เน็ต
อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต ติดตามผลกระทบจาก พ.ร.บ. คอมพิวเตอร์ฯ มาโดยตลอด รวมถึงยังได้ทำการรณรงค์ผ่าน Change.org ในชื่อ “หยุด #พรบคอม หยุดกฎหมายล้วงข้อมูลส่วนบุคคล” ตั้งแต่ช่วงเดือนเมษายน ๒๕๕๙ ภายหลังจากที่คณะกรรมาธิการเริ่มผ่านวาระที่ ๑ ก่อนจะกลับมารณรงค์อีกครั้งเมื่อมีการเผยแพร่ร่าง พ.ร.บ. ฉบับต่อมาในช่วงเดือนธันวาคม ๒๕๕๙ ทำให้ผู้ใช้อินเทอร์เน็ตตื่นตัวจนมีผู้ร่วมลงชื่อทั้งสิ้นกว่า ๓๗๔,๐๐๐ คน ก่อนนำรายชื่อไปยื่นแก่สภานิติบัญญัติแห่งชาติ เขาจึงน่าจะเป็นผู้ให้คำอธิบายได้ดีว่าอะไรจะเป็นปัญหาใน พ.ร.บ. ฉบับนี้ รวมถึงพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกันด้วย
มาตรา ๑๘ ปัญหาจาก พ.ร.บ. คอมพิวเตอร์ฯ ปี ๒๕๕๐ การให้อำนาจพนักงานเจ้าหน้าที่ในการเข้าถึงข้อมูล
สำหรับข้อมูลในเครื่อง เจ้าหน้าที่สามารถทำได้เลยโดยไม่ต้องขอคำสั่งศาล แต่ในข้อมูลที่วิ่งอยู่ระหว่างเครื่อง ใน พ.ร.บ. คอมพิวเตอร์ฯ ไม่ได้มีอำนาจดักจับข้อมูลกลุ่มนี้ชัดเจนแม้ในฉบับล่าสุด แต่ที่เขาเขียนเพิ่มในมาตรา ๒๐ ไว้ว่าให้รัฐมนตรีกระทรวงดิจิทัลสามารถออกประกาศเพิ่มเติมได้เพื่อให้การระงับเว็บไซต์ หรือสั่งให้ผู้ให้บริการอินเทอร์เน็ต (ISP) ระงับได้ โดยให้คำนึงถึงพัฒนาการทางเทคโนโลยีที่เปลี่ยนไป จะเห็นว่ามาตรานี้ไม่ได้มีเจตนาอย่างชัดเจนเพื่อเข้าถึงข้อมูลประชาชน แต่มันเปิดโอกาสให้เจ้าหน้าที่ดูข้อมูลได้ สมมุติเราเป็นระบบไปรษณีย์ เราจะรู้ได้อย่างไรว่าใครคือคนผิด มีจดหมายอยู่หนึ่งฉบับ เราจะโชคดีมากเลยหรือที่จะหยิบฉบับแรกแล้วเจอเลย เพื่อที่จะค้นหา มันหลีกเลี่ยงไม่ได้ที่เขาจะต้องเปิดเกือบทุกฉบับ
มีคนแย้งว่าไม่เห็นต้องแคร์ถ้าจะมีคนดูข้อมูลเรา สหรัฐอเมริกาเองก็เคยมีกรณีนี้ ถ้าเราไม่ได้ทำผิดจะกลัวอะไร
ปัญหาคือว่าถ้าคุณไม่แคร์ก็เรื่องของคุณ แต่ระบบนี้มันไม่ได้ตั้งมาแล้วมันดูเฉพาะข้อมูลของคนที่ไม่แคร์ แต่มันดูของคนที่แคร์ด้วยไง
มาตรา ๑๔ กับการเพิ่มคำว่า “บิดเบือน”
คณะผู้ร่างฯ บอกว่ามาตรานี้ดีขึ้นกว่าเดิมเพราะตัดเรื่องการเอาไปใช้เพื่อฟ้องหมิ่นประมาทออกแล้ว แต่ร่างในวันที่ ๙ ธันวาคม ๒๕๕๙ มาตรา ๔ วรรค ๑ ของเดิมจะมีเฉพาะคำว่าข้อมูลคอมพิวเตอร์ปลอม หรือข้อมูลฯ อันเป็นเท็จ และเพิ่มคำว่าข้อมูลฯ ที่บิดเบือนขึ้นมา ซึ่งที่เพิ่มคำนี้สำคัญ เพราะมันมีที่เอาไปฟ้องได้มากขึ้น ข้อหานี้คนโดนกันเยอะเหมือนกันระหว่างรณรงค์โหวตโนช่วงทำประชามติ รัฐบาลใช้มาตรา ๖๑ ใน พ.ร.บ. ประชามติฯ เพราะเผยแพร่ข้อมูลที่ไม่ตรงกับสิ่งที่คณะผู้ร่างฯ ได้อธิบาย ทำให้ผิดไปจากข้อเท็จจริง ซึ่งถ้าดูตัวอย่างจากกรณีนี้ผมมองว่าที่เพิ่มคำเข้ามา เดี๋ยวก็จะมีกรณีเดียวกันเกิดขึ้น
สถานการณ์ไหนที่ พ.ร.บ. คอมพิวเตอร์ฯ จะถูกนำไปใช้ในช่วงใกล้ที่สุด
ช่วงเลือกตั้งน่าจะถูกนำมาใช้ได้ ในช่วงหาเสียงน่าจะมีความเสี่ยงที่อาจจะพูดอะไรที่บิดเบือน ถ้า กกต. ออกมาชูประเด็นนี้และปรามนักการเมือง ก็น่าจะเป็นการรณรงค์หาเสียงที่ลำบาก จนอาจจะไม่สามารถพูดเสนอนโยบายอะไรได้เลย เพราะคุณต้องพูดเฉพาะข้อเท็จจริงเท่านั้น คุณไม่สามารถพูดว่าถ้าผมทำแบบนี้จะเกิดสิ่งนี้ขึ้นในอนาคต เอาสถิตินี้มาพูดมันจะถูกตีความว่าบิดเบือนไหม แล้วพอพูดไม่ได้ เราในฐานะผู้ใช้สิทธิ์จะเอาอะไรไปตัดสินในการเลือก ?
single gateway เป็นคำที่พูดถึงกันมาก มันยังเกิดขึ้นได้อยู่ไหม
จริง ๆ คำนี้ก็เป็นปัญหา มันทำให้คนนึกไปหลายอย่าง หรือนึกว่าการควบคุมผ่านแค่ประตูเดียว ขอพูดถึงในแง่เรื่องการควบคุมในมาตรา ๒๐ คือการให้กระทรวงดิจิทัลจัดตั้งศูนย์กลางเพื่อให้เจ้าหน้าที่สามารถระงับการเผยแพร่ข้อมูลได้ด้วยตัวเอง โดยอาจเชื่อมกับตัวผู้ให้บริการ ตรงนี้เรามองว่ามันคลับคล้ายคลับคลาว่าผู้ให้บริการจะมีกี่เจ้า ขอให้เชื่อมโยงมาที่รัฐก็พอ เพื่อให้รัฐสามารถสั่งปิดสั่งเปิดได้ เป็นการควบคุมโดยส่วนกลาง ซึ่งมันอาจจะไม่ใช่ single gateway ในเชิงกายภาพ แต่มันคือ single control ที่มีคนเดียวที่ควบคุมทุกอย่างได้ อาจมีคนแย้งว่าในร่างฯ นี้บอกว่าผู้ให้บริการไม่จำเป็นต้องยินยอมก็ได้ แต่จริง ๆ มันก็ลำบากเหมือนกัน เพราะถ้าผู้ให้บริการไม่ยินยอมกับระบบคอมพิวเตอร์กลาง ก็อาจจะถูกใช้เป็นข้ออ้างในการไม่ต่อใบอนุญาตจากคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.)
ปัญหาจาก พ.ร.บ. ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์
จะมีสามมาตราที่คนพูดกันเยอะ คือมาตรา ๓๓ และ ๓๔ สำนักงาน กปช. มีอำนาจสั่งให้หน่วยงานรัฐในมาตรา ๓๓ หรือพนักงานเอกชนตามมาตรา ๓๔ ให้กระทำการ หรืองดเว้นกระทำการอย่างใดอย่างหนึ่งตามที่ กปช. เห็นสมควรเพื่อรักษาความมั่นคงของประเทศ คือมันกว้างมาก พอลองไปดูนิยามความมั่นคงทางไซเบอร์มันก็ไม่เหมือนกันอีก ถ้าเป็นแนวทางของวิทยาลัยป้องกันราชอาณาจักรเคยศึกษาไว้เมื่อปี ๒๕๕๔ เรื่อง “ภัยคุกคามรูปแบบใหม่ของประเทศ” พูดเรื่องเนื้อหาที่เป็นภัยต่อความมั่นคงที่เผยแพร่ผ่านอินเทอร์เน็ต แต่การตีความอีกแบบหนึ่งที่น่าจะเคร่งครัดกว่าความมั่นคงคือเน้นความปลอดภัยของตัวระบบ ของข้อมูลข่าวสาร โดยมีแนวคิดว่าถ้าตัวระบบปลอดภัย คือสุดท้ายจุดหมายปลายทางมันคือความมั่นคงของชาติเหมือนกัน ในการตีความแบบแรก คือมีการปล่อยข่าวลือว่าบริษัทนี้ล้มละลายทำให้คนในตลาดหุ้นตื่นตกใจ แต่ในการตีความแบบ ๒ จะมองว่าถ้ามีคนไปส่งโปรแกรมมัลแวร์โจมตีระบบ ทำให้การซื้อขายหุ้นไม่ได้หรือผิดพลาด คนในตลาดก็จะตกใจ การพูดถึงความปลอดภัยทางไซเบอร์ในที่อื่น ๆ ของโลกเขาจะพูดถึงแบบที่ ๒ แต่ของไทยเน้นแบบแรก เราเลยห่วงว่ามาตรา ๓๓ และ ๓๔ กปช. สามารถจะให้ทำอะไรก็ได้ เพื่อรักษาความมั่นคงทางไซเบอร์ แบบนี้เพื่อให้หยุดเผยแพร่เนื้อหาด้วยหรือเปล่า ? มันจะเป็นอีกกฎหมายที่เข้ามาควบคุมเนื้อหานะ ไม่ใช่เรื่องความปลอดภัยของระบบ อันนี้ที่เรากลัว
อีกอันคือมาตรา ๓๕ เป็นเรื่องการเข้าถึงข้อมูล ตาม พ.ร.บ. เจ้าหน้าที่สามารถเข้าถึงข้อมูลต่าง ๆ ได้ทั้งโทรคมนาคม อีเมล และข้อมูลคอมพิวเตอร์ต่าง ๆ ที่เขาเป็นห่วงในมาตรานี้ไม่ได้พูดชัด ๆ ว่าจะต้องขอคำสั่งศาลหรือไม่ เขียนไว้เพียงแต่ว่าหลักเกณฑ์ในการที่จะขอข้อมูลเหล่านี้ให้รัฐมนตรีไปประกาศเพิ่มเติม ซึ่งเราคิดว่ามันเป็นปัญหาร่วมกันของหลายกฎหมายที่ สนช. ออก ที่การดำเนินงานซึ่งเกี่ยวกับประชาชนจำนวนมากไม่ยอมเขียนในกฎหมายหลัก เท่ากับว่าเวลาสมาชิก สนช. อ่านกฎหมายแล้วเห็นชอบ เขาเห็นชอบด้วยหลักการว่ามันดีหรือเปล่า แต่ขั้นตอนปฏิบัติต้องรอรัฐมนตรีประกาศ ซึ่งมันไม่ได้มีกลไกที่ถึงพร้อมเพียงพอ
เป้าหมายของเครือข่ายพลเมืองเน็ต
เราไม่ใช่ต้องการจะบอกว่าต้องการเป็นแบบนั้นแบบนี้ เราอยากให้ข้อมูลกับคนมากที่สุด เพื่อให้เขาบอกกับตัวเองได้ว่าตัวเขาเองในฐานะประชาชนทั่วไป หรือองค์กรภาคธุรกิจ ได้รู้ว่ากฎหมายที่เกี่ยวข้องกับพวกนี้มันไปถึงไหนแล้ว มีประเด็นน่าเป็นห่วง สามารถเชื่อมโยงกิจกรรมที่เขากำลังทำได้ ถ้ามีคนรู้เป็นจำนวนเพียงพอแล้ว เราคิดว่าเราพอแล้ว และบางคนที่มีข้อเป็นห่วงที่อยากจะพูด แต่ไม่สะดวกใจที่จะพูด เราก็ยินดีที่จะพูดให้
