จุฬาฯ ถกพ.ร.บ.ไซเบอร์ฯ เห็นพ้องช่วยคุ้มกันประเทศ
ไอที
นายวีระ รัตนแสงเสถียร ประธานคณะทำงานการรักษาความมั่นคงปลอดภัยไซเบอร์ฯ สมาคมโทรคมนาคมแห่งประเทศไทยในพระบรมราชูปถัมภ์ กล่าวว่า การคุ้มกัน หรือครอบคลุม กฏหมายนี้น่าจะพูดถึงคุ้มครอง รักษา ประชาชน ซึ่งมีคณะกรรมการดูแลเรื่องนี้และผ่านคณะทำงาน ผ่านศูนย์ควบคุมฯ ซึ่งพ.ร.บ.นี้น่าจะดีกว่ากฎหมายฉบับเก่า ข้อดีคือเอาอำนาจศาลฯ เข้ามาช่วย หากสิ่งเหล่านี้มีผลกระทบข้อมูลความปลอดภัย จึงน่าจะฟันธงว่าคุ้มกันมากกว่าควบคุม
เช่นคำว่ารุนแรง ไม่รุนแรง วิกฤต ที่ผ่านมาภาครัฐให้ภาคประชาชน เอกชน และส่วนที่เกี่ยวข้องมีโอกาสได้เข้าร่วมแสดงความคิดเห็นและได้เอาความคิดเห็นในทุกภาคส่วนมาประมวลและนำมาออกกฎหมายร่วมกัน ภาคเอกชนอยู่ระหว่างศึกษาในเรื่องของภัยร้ายแรงทั้ง 3 ลำดับของต่างประเทศ เช่น สิงคโปร์ ยุโรป ว่าปฏิบัติการอย่างไรหากเข้าสู่ 3 สถานการณ์นี้ น่าจะเป็นข้อมูลให้ภาครัฐได้ออกกฏหมายลูกต่อไป
ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง คณะนิติศาสตร์ จุฬาฯ กล่าวว่า พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ ในร่างเก่านั้นมีปัญหามาก เพราะนิยามเรียกว่าภัยคุกคามทางไซเบอร์ คือการกระทำหนือเหตุการณ์ที่กระทำด้วยวิธีการทางคอมพิวเตอร์ ให้การทำงานทางทรัพย์สินถูกทำลาย กระทบต่อทรัพย์สินสารสนเทศ ฯลฯ ซึ่งแปลว่าอะไรก็ได้ที่หลากหลาย จึงน่ากังวลว่าหมายถึงอะไรก็ได้ และอีกประเด็นคือ การให้อำนาจเลขาธิการที่ตั้งขึ้นตามพ.ร.บ.จะให้อำนาจในการตัดสินโดยไม่ต้องขออำนาจศาลฯ จึงน่าเป็นห่วงหลายคนกังวล แต่พอมาถึงพ.ร.บ.ไซเบอร์ฯ ล่าสุดที่ผ่านสนช.โดยต้องผ่านการกลั่นกรองก่อนตามลักษณะภัยคุกคามและขออำนาจศาลฯ
สำหรับพ.รบ..คอมฯ ที่ผ่านมาเรามีปัญหาค่อนข้างเยอะ ที่ระบุว่ากระทำความผิดทางอินเทอร์เน็ต ก็ยังใช้ปะปนกับทางกฎหมายอาญา ที่เจอบ่อยๆ คือการฉ่อโกง ความผิดควรจะเป็นในเรื่องของความผิดหมิ่นประมาทออกไป ถ้าความผิดอะไรทำทางอินเทอร์เน็ตแล้วก็ไม่ควรมาเป็นความผิดทางคอมพิวเตอร์อีก ความผิดเรื่องเนื้อหาจะอยู่ในพ.ร.บ.คอมฯ ส่วนใหญ่ แต่ก็เชื่อมโยงกับพ.ร.บ.ไซเบอร์ฯ ซึ่งหน่วยงาน เอกชนไม่มีแรงจูงใจที่จะรักษาระบบ สิ่งที่ทำได้คือไปฟ้องละเมิดไม่ทันต่อเหตุการณ์ปัจจุบัน ทางแก้ปัญหาคือ สร้างมาตรฐานขีดเส้นไว้ ลงทุนระบบเพื่อป้องกันความปลอดภัย
ในส่วนของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนั้น ประเทศไทยทำมาเป็น20ปี ก็ไม่สำเร็จ ตอนนี้เกิดร่างแล้ว และทางอียูสร้างหลักการมาตรฐานสูงมาก ประเทศไทยจึงควรกำหนด ซึ่งจะคล้ายกับ พ.ร.บ.ไซเบอร์ฯ ถ้าเกิดความเสียหายก็ต้องฟ้องศาลฯ แล้วพิสูจน์ จึงต้องควรมีกฏหมายและสร้างมาตนฐานเดียวกัน จะทำให้การดำเนินการง่ายกว่า
ดร.รอม หิรัญพฤกษ์ ประธานคณะอนุกรรมการด้านนโยบายและผลกระทบ คณะกรรมการธุรกรรมอิเล็กทรอนิกส์ กล่าวว่า ในเรื่องของพ.ร.บ.ไซเบอร์ฯ นั้น ความมั่นคงปลอดภัย ส่วนใหญ่มาเกิดในภาครัฐ ปัญหาที่เกิดขึ้นจริงๆ เมื่อเกิดการกระทำความผิดไม่มีใครรับผิดชอบ แต่จะมาโยงว่าผู้บริหารเป็นผู้ผิด เช่นเกิดระบบให้บริการของกรมหนึ่งล่มขึ้น อธิบดีกรมนั้นๆ ก็ต้องรับไป แต่เมื่อออกกฎหมายนี้จะได้มีข้อกำหนดชัดเจนว่าใครรับผิดชอบ ซึ่งหากเกิดการกระทำความผิดแล้วอำนาจอยู่ที่ตำรวจแล้วอยู่ดีๆ บุกไปบ้านและยกคอมฯ มาตรวจสอบเลยก็ทำไม่ได้ จึงต้องมีกฏหมายมารองรับเพื่อการกลั่นกรอง
"เราต้องแยกพ.ร.บ.ออกมา และต้องเข้าใจว่าอำนาจบางอย่างมีอยู่แล้วในกฏหมาย เช่นป.ป.ส.หรือป.ป.ง.เอง ก็มีการดักฟังโทรศัพท์ ในเรื่องของกรณีฉุกเฉิน กฏอัยการศึก ประเทศไหนๆ ก็มีทั้งนั้น แต่ประเทศไทยไม่รู้ ห่วงตรงที่ว่าถ้ามีการลักขโมยอีเมล ขโมยข้อมูลส่วนตัวต่างๆ จึงต้องทำความเข้าใจว่าเรื่องนี้สำคัญที่ต้องให้ใช้งานได้จริง ถ้าเป็นผู้ประกอบการจะต้องมีความรับผิดชอบอะไรบ้าง โจรมาได้จากทั่วโลก ไทยยังไม่ใช่ประเทศที่พัฒนาเต็มรูปแบบ"
นอกจากนี้ ในส่วนของธนาคารที่เกิดระบบล่มบ่อยๆ ถือว่าเสี่ยง เป็นเน็ตเวิร์ค โจรจะทำคนที่อ่อนแอกว่า คนอื่นก็ล่มเช่นกัน คนวิ่งไปถอนเงินหมด ส่วนตัวมองว่ากฏหมายที่กระทรวงดีอีออกมาล่าสุดนี้ ดีกว่าครั้งแรกมาก พยายามทำออกมาสร้างการป้องกันสถานภาพประเทศ แต่ไม่มีใครดูเรื่องคุ้มครองข้อมูลส่วนบุคคลเลย ทุกคนเป็นเจ้าของข้อมูล เพราะภัยจริงๆ มาจากดาต้าที่ให้ใช้งานจากแพลตฟอร์มต่างประเทศ เช่น กูเกิล เฟซบุ๊ค ไลน์ ที่ไม่เก็บค่าใช้บริการเพราะเราเป็นสินค้า ไม่ใช้ลูกค้าและโดนเอาข้อมูลส่วนตัวไปให้ร้านค้า ฯลฯ เป็นต้น
นพ.สุธี ทุวิรัตน์ กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) กล่าวว่า พ.ร.บ.ไซเบอร์ฯ จะบังคับกลุ่มอุตสาหกรรม หรือบริการสาธารณูปโภคสำคัญ อาทิ ประปา ไฟฟ้า การเงิน การขนส่งคมนาคม ไม่ได้มีผลบังคับใช้กับประชาชน ซึ่งกสทช.ก็ได้ดูแลกำกับดูแลกลุ่มผู้ให้บริการอยู่ดี แต่อำนาจยังไม่มี หากกฏหมายออกบังคับ กสทช.ก็ต้องออกกฎหมายบังคับอีกเพื่อรองรับสิ่งที่ร้ายแรงโดยเฉพาะการถูกโจมตี กฎหมายพ.ร.บ.ไซเบอร์ฯ จึงแบ่งกฎหมายเป็น 3 ระดับ คือ คือภัยคุกคามที่ไม่ร้ายแรง ภัยร้ายแรง และวิกฤตที่มีผลต่อส่วนรวม ประเทศชาติ ความมั่นคง ส่วนพ.ร.บ.คุ้มครอบข้อมูลส่วนบุคคล หัวใจหลักก็คือคุ้มครองสิทธิของบุคคล
นอกจากนี้ จึงบังคับใช้กับหน่วยงานเฉพาะ สมมุติว่าแฮกเกอร์โจมตีโรงพยาบาล แฮกเกอร์มีความผิดเกี่ยวกับพ.ร.บ.คอมฯ คนที่มีความผิดทางพ.ร.บ.ไซเบอร์ฯ คือโรงพยาบาล ไม่ใช่คนทำผิด ส่วนในเรื่องของการใช้งานธุรกรรมทางการเงิน ถ้าระบบล่ม หนูกัดระบบ คนที่ผิดคือธนาคาร ถือเป็นกฎหมายที่บังคับตัวธนาคารว่าละเลยหน้าที่ ภาครัฐต้องเข้ามาตรวจสอบว่าทำไมระบบถึงล่ม ดังนั้นจะต้องมีการลงทุนระบบรองรับที่สมบูรณ์ ไม่ใช่พอสิ้นเดือนคนมาทำธุรกรรมเยอะๆ ก็ล่ม จึงอยากให้ธนาคารแห่งประเทศไทยเข้ามาตรวจสอบมาตรฐานของธนาคารต่างๆ หน่วยงานภาครัฐต้องเข้ามาเก็บหลักฐาน หรืออาจเจอไวรัสอื่นๆ เพื่อเตือนผู้ให้บริการรายอื่นๆ ป้องกัน จึงอยากให้เข้าใจบริบทตรงนี้มากกว่า
นายอาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต กล่าวว่า สถิติที่น่าสนใจในระบบไซเบอร์สาเหตุที่ทำให้ระบบล่มสูงสุดในสหรัฐอเมริกามาจากไฟป่า กระรอก อันนี้ก็เป็นภัยที่ต้องรับมือ ส่วนในเรื่องธนาคารล่ม พอมีพร้อมเพย์จำนวนการใช้งานเยอะขึ้นระบบล่ม ไม่ได้มีใครโจมตี แต่การใช้งานเยอะ เจ้าของธนาคารออกมายอมรับจะขยาย ถือเป็นภัยแต่ไม่ได้มาจากบุคคลอื่น
อย่างไรก็ตาม ในเรื่องของการให้อำนาจในมาตรการต่างๆ นั้น ก็ต้องให้อำนาจ แต่อำนาจที่ให้ถือเป็นอำนาจที่เกินกว่าเหตุหรือเปล่า ดังนั้น ต้องมาดูว่าอำนาจแบบไหนให้ไปแล้วแก้ไขได้หรือไม่ และนำมาทบทวนและศึกษาเอาไปใช้ให้ตรงประโยชน์มากที่สุด