อีกไม่นาน จะมีกฎหมายฉบับหนึ่งออกมา อนุญาตให้รัฐเข้ามา ‘สอดส่อง’ หรือ ‘ดักฟัง’ การสื่อสารของเราทุกช่องทาง ไม่ว่าจะเป็นไปรษณีย์ โทรศัพท์ แฟกซ์ ไปจนถึงการสื่อสารผ่านโลกออนไลน์ หากสงสัยว่าการกระทำของเรา อาจเป็น ‘ภัยคุกคามต่อความมั่นคงปลอดภัยไซเบอร์’
กฎหมายที่ว่ามีชื่อว่า พ.ร.บ.การรักษาความมั่นคงไซเบอร์ (ความมั่นคงไซเบอร์ฯ)
ความจริงแล้วกฎหมายลักษณะนี้ไม่ใช่เรื่องใหม่ สหรัฐอเมริกามีใช้ตั้งแต่หลังเหตุการณ์ 9/11 หลายประเทศในยุโรปก็มีกัน แต่ที่น่ากลัวคือเนื้อหา ‘แบบไทยๆ’ หากยังจำกันได้ตอนเปิดตัวครั้งแรก ในปี 2558 กฎหมายนี้ให้อำนาจเจ้าหน้าที่รัฐเขาถึงข้อมูลการสื่อสารของประชาชนได้ โดยไม่ต้องมีหมายศาลใดๆ แถมยังไม่กำหนดบทลงโทษกรณีใช้อำนาจโดยไม่สุจริตอีกต่างหาก
แม้ร่างล่าสุด ที่ปรับปรุงแก้ไขและนำกลับมารับฟังความเห็นกลางปี 2560 จะเติมข้อความให้ต้องไปขออนุญาตศาลก่อนก็ตาม แต่ผู้ใช้เน็ตทุกคนก็ยังจำเป็นต้องจับตาร่างกฎหมายนี้ต่อไป เพราะ ‘อำนาจรัฐ’ กับ ‘สิทธิประชาชน’ เป็นเหมือนกระดานกระดก หากข้างหนึ่งมีมาก อีกข้างก็จะลดน้อยลง ต้องหาจุดสมดุลให้เจอ
กรณี พ.ร.บ.ความมั่นคงไซเบอร์ฯ เป็นการหาสมดุลระหว่าง ‘ความมั่นคงของรัฐ’ (national security) กับ ‘ความเป็นส่วนตัว’ (privacy) ซึ่งเป็นข้อถกเถียงที่มีในหลายประเทศทั่วโลก
หลายคนอาจไม่รู้ว่า นิยามของคำว่าความมั่นคงไซเบอร์ หรือ cyber security กินความแค่ไหน? กฎหมายความมั่นคงไซเบอร์ของประเทศอื่นๆ เป็นอย่างไร? อะไรคือสิ่งที่ยังขาดอยู่ใน พ.ร.บ.ความมั่นคงไซเบอร์ของไทย? และสิ่งอื่นๆ ที่ควรรู้ในโลกที่ไซเบอร์กำลังเป็นใหญ่? The MATTER ไปพูดคุยกับ ดร.ภูมิ ภูมิรัตน ที่ปรึกษาอาวุโสบริษัท G-Able ผู้เชี่ยวชาญด้านความปลอดภัยบนโลกไซเบอร์ เพื่อปูพื้นทำความเข้าใจในเรื่องนี้ ในลักษณะ ‘วิชาความมั่นคงไซเบอร์ 101’
ขอเชิญติดตาม
The MATTER: อะไรคือนิยามของคำว่า ‘ความมั่นคงไซเบอร์’
เรื่อง cyber security มันใกล้ตัวกว่าที่เราคิด ถ้าจะให้อธิบายก็คือ ‘ความมั่นคงปลอดภัย ในสิ่งที่เราทำกันในโลกออนไลน์ จากภัยที่มาจากโลกออนไลน์’ เป็นหลัก ดังนั้น เราจะไม่รวมภัยที่ไม่ได้มาจากนอกโลกออนไลน์ เช่น พนักงานบริษัทล้วงข้อมูลแล้วเอาไปแฉข้างนอก ซึ่งถ้าทำไปด้วยเจตนาดีจะเรียกว่า whistle blower ถ้าแต่มีเจตนาร้ายจะเรียกว่า espionage แต่ถ้าสิ่งเหล่านี้ทำโดยฝีมือของแฮกเกอร์ก็จะถือเป็น cyber security ทันที
ปัจจุบัน คนเรามีชีวิตในโลกออนไลน์มากขึ้น เรามีทรัพย์สินหลายๆ อย่างอยู่ในโลกออนไลน์ เช่น อินเทอร์เน็ตแบงกิ้ง ข้อมูลบนเว็บต่างๆ คำสั่งซื้อนู่นนี่ คำว่า cyber security มันจะมีหลายมิติ ถ้าเรามีบริการทางออนไลน์ที่เราพึ่งมันอยู่ 1.มันต้องใช้ได้ เข้าถึงได้ เจ๊งไป เช่น เฟซบุ๊กล่ม ไลน์ล่ม ไปจนถึงระบบจ่ายไฟฟ้า-ประปา ที่ปัจจุบันเริ่มโยงกับอินเตอร์เน็ตไม่พังไปเพราะถูกแฮ็ก จนทำให้ไฟดับ น้ำไม่ไหล 2.มันต้องทำงานถูกต้อง ไม่ผิดไม่พลาด เช่น โอนเงินหักบัญชีตัวเลขถูกต้อง สั่งของแล้วไม่ส่งให้ผิดที่ และ 3.ข้อมูลที่ถูกเก็บไว้ไม่รั่วไหล จนสร้างความเสียหายให้กับชีวิต
จะเห็นได้ว่า ทั้งหมดนี้มันก็พัวพันกับทุกมิติของชีวิตเรา
The MATTER: หลายคนเข้าใจว่า ความมั่นคงไซเบอร์เกี่ยวข้องกับแฮกเกอร์ การใช้มัลแวร์ หรือปล่อยไวรัสเท่านั้น ความเชื่อนี้ถูกต้องหรือไม่ หรือจริงๆ มันมีมากกว่านี้
สิ่งเหล่านั้นเป็น cyber threat หรือภัยไซเบอร์ ซึ่งเป็นซับเซ็ตของเรื่อง cyber security อีกทีหนึ่ง ซึ่งภัยไซเบอร์ที่จะเกิดขึ้นได้ มีเช่น คนร้ายพยายามโจมตีระบบโน่นนั่นนี่เพื่อเงิน หรือ hacking ใช้อาวุธสงครามในโลกออนไลน์ หรือ malware เพื่อสร้างความเสียหาย ใช้วิธีหลอกเพื่อมาเอาข้อมูลของเรา หรือ phishing
แต่เรื่องความมั่นคงไซเบอร์จริงๆ มันมีหลายระดับ ทั้งปัจเจกบุคคล ธุรกิจ หรือรัฐ
– ระดับปัจเจกบุคคล เช่น ปล่อยมัลแวร์มาที่เครื่องเรา เพื่อสร้างความรำคาญหรือขโมยข้อมูล เช่น พวก trojan หรือมาทำร้ายเราได้ หรือ ransomware ใช้เรียกค่าไถ่ นอกจากนี้ยังมีมัลแวร์แปลกๆ ที่ฝังไปกับเบราเซอร์แล้วขโมยแทรฟฟิกของเว็บนั้นๆ ทำให้เจ้าของเว็บนั้นไม่ได้เงินจาก ads
– ระดับธุรกิจ ก็จะมี cyber attack เพื่อมาทำลายกัน เช่น ทำให้ธุรกิจเดินต่อไม่ได้ หรือมาขโมยข้อมูลออกไปเปิดโปงให้เกิดความเสียหาย หรือนำข้อมูลลูกค้าไปค้าขายในโลกใต้ดิน
– ระดับรัฐ ก็โจมตีเพื่อผลประโยชน์บางอย่าง เช่น สหรัฐฯกำลังมีดราม่ากันอยู่ว่า รัสเซียมีส่วนในการเข้ามาทำให้การเลือกตั้งประธานาธิบดีเมื่อปีก่อนบิดเบือนไปหรือไม่ ซึ่งก็ต้องมานั่งพิจารณาว่ามีผลขนาดนั้นเลยเหรือ ซึ่งถ้าจริงก็จะ impact มาก แต่พิสูจน์ยากมาก
ฉะนั้น cyber attack ก็มีสเกลและสโคปที่หลากหลายมาก เวลาเราพูดถึง เราก็ต้องระมัดระวังว่าเราพูดถึงอะไร ถ้าพูดถึงรัฐ มันก็คือ national security แต่ถ้าเราพูดถึงตัวบุคคล มันกลายเป็นเรื่องของ privacy ฉะนั้นถ้าเราเทน้ำหนักไปที่ทิศใดทิศหนึ่ง มันก็อาจจะได้มาซึ่ง national security แต่เสียไปซึ่ง privacy หรือกลับกัน ซึ่งก็เป็นประเด็นเซนซิทีฟที่เถียงกันทั่วโลก
The MATTER: แต่รัฐบาลทั่วโลกก็มักจะอ้างเหตุผลเรื่องความมั่นคง มาสอดส่องประชาชน
หลังเกิดเหตุก่อการร้ายในอังกฤษ นายกรัฐมนตรีของอังกฤษ เทเรซ่า เมย์ เคยประกาศว่า “ต่อไปนี้จะไม่มีช่องทางสื่อสารไหนที่รัฐเข้าถึงไม่ได้” ซึ่งผมได้ยินแล้วก็ส่ายหน้า
เพราะสิ่งที่เมย์รวมถึงผู้นำหลายๆ ประเทศพูด ในมุมมองของเทคโนโลยี ผมบอกได้เลว่าตลก เพราะคนเหล่านี้ไม่เข้าใจว่าสิ่งที่เขาต้องการจะเอาชนะมันไม่ใช่แค่ algorithm หรือเป็นโปรแกรมๆ หนึ่ง ที่จะบังคับให้มี backdoor สำหรับรัฐเข้าถึงได้ แต่มันเป็น ‘กฎเกณฑ์ทางธรรมชาติ’ เพราะวิธีเข้ารหัสมันคือ ‘สมการทางคณิตศาสตร์’ ต่อให้เอากฎหมายมาบังคับ เช่น บอกให้ 1 + 1 = 3 แต่ผลกระทบมันจะกว้างไกลมาก ถามว่าคุ้มไหมที่จะทำแบบนั้น
ด้วยคอนเซ็ปท์เดียวกัน รัฐอาจจะอยากควบคุมวิธีเข้ารหัส โดยบอกให้คนดีทุกคนต้องเข้ารหัสที่รัฐเข้าถึงได้ แต่คุณไม่สามารถไปบอกคนชั่วไม่เขียนโปรแกรมที่รัฐเข้าถึงไม่ได้ มันเป็นการฝืนธรรมชาติ
คือความสามารถในการสื่อสารกันระหว่างคนสองคนที่ไม่มีคนอื่นเข้าถึงได้ มันเป็นความรู้ทางคณิตศาสตร์ที่มนุษย์โลกมีแล้ว แม้จะไม่ทุกคน แต่คนบางคนรู้และเข้าใจสิ่งนี้ ดังนั้นต่อให้คุณ remove โปรแกรมทั้งหมด คนเหล่านี้ก็เขียนโปรแกรมของตัวเองขึ้นมาได้ ฉะนั้นมันช้าเกินไปที่จะเบรกไม่ให้คนเหล่านี้มีวิธีการสื่อสารที่รัฐเข้าถึงไม่ได้ ภาษาอังกฤษเรียกว่า The cat is out of the bag คือแมวมันกระโดดออกจากกรงไปแล้ว คุณจับกลับมาไม่ได้แล้ว หรือวัวหายไปแล้ว ล้อมคอกตอนนี้ก็ไม่มีประโยชน์แล้ว
หรือต่อให้รัฐทำ โจรที่รัฐจะจับได้ก็มีแต่ ‘โจรที่โง่’ เท่านั้น แต่ ‘โจรที่ฉลาด’ ยังไงรัฐก็จับไม่ได้อยู่ดี แต่คำถามก็คือโจรที่โง่มันก็มีวิธีอื่นๆ ในการจับมากมาย แต่เมื่อจับโจรที่โง่ เราต้องเปลี่ยนโครงสร้างสังคมทั้งสังคม มันคุ้มกันไหม
The MATTER: ตัว ดร.ภูมิมีความเห็นอย่างไรกับ พ.ร.บ.ความมั่นคงไซเบอร์ ที่รัฐกำลังพยายามผลักดัน
มุมมองผมถ้ามันมี check and balance ในอำนาจนั้น ก็โอเค แต่ร่างแรกสุดไม่มีเลย ร่างล่าสุดที่นำมาประชาพิจารณ์ ก็ให้ขอศาล แต่ถ้าเร่งด่วนไม่ต้องขอก็ได้ แค่ให้ไปรายงานต่อศาลภายหลัง
แต่สิ่งที่ผมอยากเห็นไม่ใช่แค่ขอหรือรายต่อศาล แต่รายงานต่อประชาชนด้วยได้ไหม ทำให้เกิดความโปร่งใส ไม่ใช่ต่อศาล แต่ต่อประชาชน
เพราะมันมีตัวอย่างในสหรัฐฯ ที่ใช้กฎหมายนี้มาตั้งแต่เหตุการณ์ 9/11 คือเขาตั้งศาลพิเศษมาอนุมัติคำขอ แต่ 99% ศาลมักจะอนุมัติ ซึ่งถือว่ามหาศาลมากในการมาดักฟังคนนั้นคนนี้ เพราะมีปัญหาในการพิจารณา เนื่องจากศาลจะได้ฟังความแค่ข้างเดียว คือคนที่ไปขอ ของเราแม้จะดีกว่าหน่อย เพราะมีการตั้งคณะกรรมการขึ้นมากลั่นกรอง ตั้งแต่ พ.ร.บ.คอมพิวเตอร์ มาจนถึง พ.ร.บ.ความมั่นคงไซเบอร์ แต่ผมมองว่ามันยังไม่พอ เพราะกรรมการส่วนใหญ่มาจากรัฐ แม้จะมีภาคประชาชนเข้าไปด้วย แต่ก็แค่ 1-2 คน มันจึงเป็น check and balance ที่ imbalance
สิ่งที่ผมขอเพื่อให้เกิดความโปร่งใสนั้นทำง่ายมากเลย คือบังคับให้เปิดเผยออกมาว่า ทุกไตรมาสมีการใช้อำนาจนี้ไปทำอะไรบ้าง ในเชิงสถิติ ใช้มากน้อยแค่ไหน ใช้เพิ่มขึ้นหรือไม่ ใช้มากผิดปกติหรือเปล่าในช่วงเวลาที่ไม่มีอะไร
คือเราเข้าใจแหล่ะว่าการมีอำนาจนี้มันจำเป็น แต่ขอให้เรารู้หน่อยได้ไหม ว่ารัฐใช้อำนาจนี้ไปทำอะไรบ้าง เพราะจากมุมมองผม เรื่องสิทธิเสรีภาพ ถ้าเราไม่รู้ตัวเลยว่ากำลังถูกลิดรอน พอถึงจุดหนึ่ง กว่าเราจะรู้ตัวมันก็ไม่เหลือแล้ว
The MATTER: แนวโน้มเป็นอย่างไร มีโอกาสที่จะรัฐจะแก้ตามที่ร้องขอ ให้ต้องเปิดเผย ‘สถิติการใช้อำนาจ’ เข้าไปในกฎหมายหรือไม่
ผมเคยขอให้ใส่เรื่องนี้มาตั้งแต่ พ.ร.บ.คอมพิวเตอร์ แต่เขาก็อ้างว่าจะสร้างภาระมากเกินไป ทั้งที่จริงๆ เจ้าหน้าที่ก็ต้องสรุปตัวเลขการใช้อำนาจรายงานกรรมการอยู่แล้ว แต่ก็จะขอต่อไปใน พ.ร.บ.ความมั่นคงไซเบอร์
คือจริงๆ เรื่องพวกนี้ควรเปิด เพื่อให้เกิดความไว้วางใจ ไม่เช่นนั้นก็จะเกิดข้อสงสัยอยู่ตลอดเวลา แล้วรัฐก็จะพบว่าตัวเองได้รับความร่วมมือน้อยลงเรื่อยๆ ในมุมผม รัฐจะเอาอำนาจไปก็ได้ เพราะเวลาเกิดเหตุอะไร สังคมไทยชอบเรียกร้องจากรัฐ แต่ต้องให้เกิด transparency ซึ่งหากเป็นเช่นนั้น เชื่อว่าหลายคนยอมรับได้ ที่จะถูกลิดรอนนิดๆ หน่อยๆ เพื่อความมั่นคงปลอดภัย ขอเพียงเพื่อถูกลิดรอนแล้ว ‘พวกเรารู้’
อีกมุมที่ พ.ร.บ.ความมั่นคงไซเบอร์ขาดไป คือมิติ ‘ความรับผิดชอบของภาคเอกชน’ ซึ่งในสหรัฐฯและยุโรปจะมีโมเดลแบบนี้ คือให้เอกชนดูแลตัวเองได้ แต่รัฐก็ต้องการความรับผิดชอบจากเอกชน ว่าเมื่อถูกโจมตีใดๆ ที่จะกระทบต่อประชาชน จะต้องมารายงานรัฐ หากไม่รายงาน รัฐไปพบเองตอนหลัง ผู้บริหารจะต้องรับผิดชอบ โดยจะมีการประกาศ guideline ให้เป็นหลังพิงว่า ต่อให้เอกชนรายใดถูกโจมตี แต่ถ้ามีการวางมาตรการไว้ดีพอ ก็จะไม่ถูกลงโทษอะไร เพราะภัยไซเบอร์มันเหมือนฟ้าผ่า แผ่นดินไหว ไม่มีใครการันตีได้ทั้งหมด
The MATTER: ทำไมเอกชนต้องรายงานรัฐ เมื่อถูกโจมตีด้วยภัยไซเบอร์
เพราะบางกรณีมันจะส่งผลกระทบไปในวงกว้าง เช่นเคยมีกรณีบริษัทอีคอมเมิร์ซชื่อดังมีข่าวว่าอาจจะถูกแฮกข้อมูล แม้เจ้าของจะปฏิเสธ แต่ทุกคนก็ยังตั้งข้อสงสัยอยู่ ผลคือไม่ใช่แค่คนไม่เชื่อบริษัทนี้แต่ยังรวมไปถึงบริษัทอีคอมเมิร์ซอื่นๆ กลายเป็นไข่เน่าใบเดียวเสียทั้งตะกร้า หากเรากำหนดไว้ในกฎหมายให้ต้องรายงานต่อรัฐ รัฐก็จะได้แจ้งต่อสังคม คนก็จะได้ลุกขึ้นมาปกป้องตัวเอง นี่คือการทำให้ ecosystem มันเกิด
แต่ใน พ.ร.บ.ความมั่นคงไซเบอร์ไม่มีเรื่องเหล่านี้เลย ทำแค่ในมิติ ‘ให้อำนาจรัฐ’ อย่างเดียว คือหลังเกิดเหตุให้รัฐเข้ามาแก้ปัญหาได้ ซึ่งไม่มีทางแก้ได้ เพราะกว่าจะเข้ามา ข้อมูลมันก็รั่วไปหมดแล้ว
โดยหลักการ พ.ร.บ.ความมั่นคงไซเบอร์ ไม่ถึงกับเป็นกฎหมายที่ไม่ดี แต่มันยังไม่ครบทุกมุม ทำให้ไม่เกิดความเชื่อมั่น หรือ trust ในโลกไซเบอร์ ที่ประกอบด้วยรัฐ เอกชน และปัจเจกเชน ความน่าเชื่อถือมันจะต้อง 2 ways รัฐจะมาบอกแค่ว่า เห้ย ไว้ใจฉันสิ ไม่ได้ แต่ พ.ร.บ.นี้มันเหมือนกับบอกว่า ไว้ใจฉันเถอะ ให้อำนาจฉัน แล้วฉันจะทำสิ่งที่ถูกต้อง
The MATTER: นอกจากขออำนาจ ตัวกรรมการที่เข้าไปนั่งใช้อำนาจส่วนใหญ่ก็มาจากภาครัฐ
ผมเข้าใจว่านายกฯ มีความตั้งใจดี ถึงได้ออกระเบียบสำนักนายกรัฐมนตรีให้ตั้งคณะกรรมการเตรียมการเรื่องความมั่นคงไซเบอร์ก่อนที่ พ.ร.บ.จะใช้ โดยมีโควตาผู้ทรงคุณวุฒิถึง 7 คน ซึ่งผมก็หวังว่าเขาจะเชิญคนที่มีความรู้เชิงเทคนิคจริงๆ เข้ามาสัก 2 คน ไม่ใช่พ่อค้า หรือที่ปรึกษา แต่เป็นคนที่รู้เชิงเทคนิคจริงๆ โดยเฉพาะคนที่เคยเขียนโปรแกรม เพราะเรื่องนี้ต้องคำนึงถึงผลกระทบทางเทคนิคด้วย ไม่ใช่ประกาศไปแล้วบังคับใช้ไม่ได้ เหมือนห้ามนั่งท้ายรถกระบะ
แต่ปัญหาที่เคยเจอเวลามีการตั้งคณะกรรมการเรื่องพวกนี้ คือมักเชิญเจ้าของบริษัทที่ในอดีตอาจจะเคยเขียนโปรแกรม แต่เป็นนักธุรกิจมาแล้วสัก 10 ปี ซึ่งมัน out of touch เพราะเทคโนโลยีมันเปลี่ยนไปไกลมาก จนที่เราใช้อยู่ในปัจจุบัน ไม่มีอันไหนที่มีอายุเกิน 10 ปีเลย
The MATTER: อีกเรื่องที่คนกังวล คือการเก็บข้อมูลส่วนตัวโดยภาครัฐที่มีมากขึ้นเรื่อยๆ แล้วปรากฎเหตุการณ์ข้อมูลหลุดอย่างต่อเนื่อง
อันนี้ก็เลี่ยงไม่ได้ เพราะในแง่หนึ่งรัฐก็มีข้อมูลประชาชนเยอะอยู่แล้ว และจะเยอะขึ้นเรื่อยๆ สิ่งที่เรายังขาดสำหรับชุดกฎหมายเศรษฐกิจดิจิทัล คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่จะเข้ามาแก้ปัญหาเหล่านี้ ซึ่งก็หวังว่าจะออกมาดี ผมอยากเห็นการจัดตั้งเหมือนคณะกรรมการสิทธิมนุษยชนในโลกออนไลน์ ทำงานในรูปแบบ commissioner มีอิสระที่จะปกป้องคนได้จริงๆ ไม่ใช่แค่ committee ที่ตั้งตัวแทนจากภาครัฐมาพิจารณานู่นนี่นั่น แต่ร่างล่าสุดที่เห็นยังเป็นแบบหลัง
คือโดยพื้นฐาน ประชาชนต้องยอมรับก่อนว่า คนอื่นต้องมีข้อมูลของคุณ ไม่ใช่แค่รัฐแต่รวมถึงเอกชนด้วย แต่เราก็ต้องมี ‘หลังพิง’ คือใครทำอะไรพลาดก็ต้องรับผิดชอบต่อเรา ผมก็เลยตั้งความหวังกับ พ.ร.บ.นี้ แต่ไม่รู้ว่าจะหวังลมๆ แล้งๆ หรือเปล่า เพราะร่างมาสิบกว่าปีแล้ว ผ่านมาหลายรัฐบาล ยังไปไม่ถึงไหนเลย ทราบว่ากระทรวงดิจิทัลฯกำลังยกร่าง พ.ร.บ.นี้อยู่ แต่ก็มีแรงต้านสูงมาก จึงควรทำให้เกิดเป็น conversation สาธารณะ
ส่วนตัวผมคิดว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจจะสำคัญยิ่งกว่า พ.ร.บ.คอมพิวเตอร์ หรือ พ.ร.บ.ความมั่นคงไซเบอร์เสียอีก เพราะ 2 ฉบับหลัง ต่อให้ไม่มี รัฐก็ยังสามารถทำสิ่งที่อยากทำได้ด้วยกฎหมายเดิมๆ แต่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ถ้าไม่มี มันทำอะไรไม่ได้เลย
จากมุมมองผม การเก็บข้อมูลมันจะต้องมี และจะมีมากขึ้นเรื่อยๆ เราเลยต้องมีอะไรมาปกป้อง
ดาวน์โหลดร่าง พ.ร.บ.ความมั่นคงไซเบอร์มาศึกษาได้ที่
– ร่างแรก (ซึ่ง ครม.รับหลักการเมื่อปี 2558)
– ร่างล่าสุด (ซึ่งปรับปรุงแก้ไขและนำกลับมาประชาพิจารณา กลางปี 2560)
Illustration by Namsai Supavong
