รัฐบาล คสช. หมายมั่นปั้นมือมาตั้งแต่ปี 2558 ในการผลักดันชุดกฎหมายเศรษฐกิจดิจิทัลให้เกิดขึ้นได้จริง แต่ด้วยแรงต้านที่ยังคงคุกรุ่นนับแต่ผู้มีอำนาจบางคนมีแนวคิดเรื่อง Single Gateway ก็ทำให้การผลักดันชุดกฎหมายนี้ ต้องชะลอออกไป และใช้วิธีทยอยส่งเข้าพิจารณาตามขั้นตอนทีละฉบับ เพื่อเลี่ยงกระแสต้าน
ร่าง พ.ร.บ.ทั้ง 9 ฉบับในชุดกฎหมายเศรษฐกิจดิจิทัลค่อยๆ ผ่านความเห็นชอบจากที่ประชุม สนช.ไปฉบับแล้ว-ฉบับเล่า จนเหลือ 2 ฉบับสุดท้าย คือ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (พ.ร.บ.ข้อมูลส่วนบุคคล) และ ร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ร.บ.มั่นคงไซเบอร์) ที่ถูกเสนอให้ที่ประชุม สนช.พิจารณา ในสัปดาห์นี้
The MATTER ไปขอให้ อาทิตย์ สุริยะวงศ์กุล จากเครือข่ายพลเมืองเน็ต ผู้ที่ติดตามการออกกฎหมายที่เกี่ยวข้องกับโลกดิจิทัลมานานหลายปี ช่วยวิเคราะห์ว่า ร่างกฎหมายเศรษฐกิจดิจิทัลทั้ง 2 ฉบับสุดท้ายนี้ มีเนื้อหาส่วนใดที่น่ากังวล และถ้าออกมาบังคับใช้แล้ว จะส่งผลกระทบต่อชีวิตของพวกเราในด้านใดบ้าง
อาทิตย์ สุริยะวงศ์กุล จากเครือข่ายพลเมืองเน็ต (ถ่ายภาพโดย: ธิดาพร ศรีจันทร์)
พ.ร.บ.มั่นคงไซเบอร์
โครงการอินเตอร์เน็ตเพื่อกฎหมายประชาชน หรือ iLaw องค์กรที่จับตาการทำงานของ สนช.มาตั้งแต่ปี 2557 – ปัจจุบัน ลิสต์ข้อกังวลเกี่ยวกับร่าง พ.ร.บ.มั่นคงไซเบอร์ไว้ถึง 8 ข้อ ประกอบด้วย
- นิยามภัยคุกคามไซเบอร์ตีความได้กว้าง ครอบคลุม ‘เนื้อหา’ บนโลกออนไลน์
- เจ้าหน้าที่รัฐสามารถขอข้อมูลจากใครก็ได้เพื่อประโยชน์ในการทำงาน
- กฎหมายให้อำนาจเจ้าหน้าที่ ยึด-ค้น-เจาะ-ทำสำเนา คอมพิวเตอร์ ระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์
- เมื่อมีภัยคุกคามไซเบอร์ร้ายแรงขึ้นไป เจ้าหน้าที่รัฐสามารถสอดส่องข้อมูลได้แบบ Real-time
- ในกรณีจำเป็นเร่งด่วน เจ้าหน้าที่สามารถใช้อำนาจได้โดยไม่ต้องขอหมายศาล
- การใช้อำนาจยึด ค้น เจาะ หรือขอข้อมูลใดๆ ไม่สามารถอุทธรณ์เพื่อยับยั้งได้
- เมื่อมีภัยคุกคามไซเบอร์ระดับวิกฤติ ให้เป็นอำนาจหน้าที่ของสภาความมั่นคงแห่งชาติ
- ผู้ใดฝ่าฝืนและไม่ปฏิบัติตามคำสั่งมีทั้งโทษปรับและโทษจำคุก
ส่วนอาทิตย์ ให้ข้อกังวลเกี่ยวกับร่าง พ.ร.บ.มั่นคงไซเบอร์ ไว้ 3 เรื่อง
หนึ่ง แม้จะเข้าใจได้ว่า เจ้าหน้าที่จำเป็นต้องมีอำนาจอะไรบางอย่างในการจัดการกับภัยคุกคามไซเบอร์ แต่อำนาจที่ได้นั้นต้องได้สัดส่วนกับความจำเป็น
สอง กลไกตรวจสอบการใช้อำนาจ ก่อนใช้ ระหว่างใช้ และหลังใช้ มีเพียงพอหรือไม่ จากร่าง พ.ร.บ.ปัจจุบัน แม้จะมีกลไกตรวจสอบการใช้อำนาจอยู่จริง แต่ในมาตรา 66-68 ก็มีข้อยกเว้น เช่น ถ้าจำเป็นเร่งด่วนก็ไม่ต้องขอศาล (มาตรา 67) หรือตัดสิทธิอุทธรณ์ถ้าเป็นภัยคุกคามระดับวิกฤต (มาตรา 68) นอกจากนี้หากเทียบกับกฎหมายของกรมสอบสวนคดีพิเศษ (DSI) ที่แม้จะได้คำสั่งศาลไปแล้ว แต่ก็ยังต้องรายงานกลับมายังศาลเป็นประจำ เพื่อให้ศาลพิจารณาว่าจำเป็นต้องใช้อำนาจนั้นต่อไปหรือไม่ ถ้าศาลเห็นว่าเพียงพอแล้วก็อาจจะสั่งให้ DSI หยุดใข้อำนาจ แต่ในร่าง พ.ร.บ.นี้มันไม่มีเช่นนั้นอยู่
สาม ร่างกฎหมายนี้ไม่ได้กำหนดช่วงเวลาในการทบทวน ต่างกับร่าง พ.ร.บ.ข้อมูลส่วนบุคคลที่กำหนดไว้เลยว่า ให้ทบทวนทุกๆ 5 ปี เพราะเป็นไปได้ที่กฎหมายจะล้าสมัย ใช้แก้ปัญหาไม่ได้ หรือมีการนำไปใช้ในทางที่ผิด (abuse) เพื่อปรับเปลี่ยนให้เหมาะสมมากขึ้น แต่มันไม่มีแบบนี้ในร่าง พ.ร.บ.มั่นคงไซเบอร์
ส่วนที่หลายฝ่ายมองว่าร่างกฎหมายนี้ ไม่ต่างจาก ‘กฎอัยการศึกออนไลน์’ อาทิตย์มองว่า จะมองเช่นนั้นก็ได้ เพราะมาตรา 66 ก็บอกว่า ถ้าเป็นภัยคุกคามระดับวิกฤตก็จะให้อำนาจสภาความมั่นคงแห่งชาติ (สมช.) เข้ามา
“การประกาศกฎอัยการศึกทั่วๆ ไป ที่ต้องกำหนดพื้นที่และเวลาที่จะใช้ เนื่องจากมันให้ขอบเขตการใช้อำนาจกับเจ้าหน้าที่ไม่ชัดเจน จึงต้องกำหนดขอบเขตของพื้นที่และเวลาที่จะใช้อย่างชัดเจน ส่วนร่าง พ.ร.บ.มั่นคงไซเบอร์ ไม่มีการกำหนดขอบเขตแบบนั้น อันนี้น่ากังวล โอเค มันอาจจะไม่ร้ายแรงเหมือนกฎอัยการศึก แต่ในบ้างมิติมันยิ่งกว่า เพราะมันครอบคลุมทุกๆ พื้นที่ เนื่องจากขอบเขตเรื่องพื้นที่และเวลามันไม่ชัดเจน”
เนื้อหาในร่าง พ.ร.บ.มั่นคงไซเบอร์ มาตรา 66-68 ที่หลายฝ่ายกังวล เพราะไม่เพียงเปิดทางให้ทหารเข้ามาใช้อำนาจตามกฎหมายนี้ ยังยกเว้นกลไกการตรวจสอบถ่วงดุล ทั้งการขอหมายศาล และการยื่นอุทธรณ์การใช้คำสั่ง
เราถามว่า เป็นไปได้ไหมที่กฎหมายนี้จะถูกใช้เพื่อปิดปากหรือจับกุมคนที่ต่อต้านหรือไม่เอาผู้มีอำนาจ
“ผมก็ตอบไม่ได้ แต่ถ้าดูอย่าง พ.ร.บ.คอมพิวเตอร์ ที่ผ่านมา เราก็มีประวัติศาสตร์ไม่ดีเท่าไรนัก ไม่ได้อยากบอกว่าคนทำกฎหมายนี้มีเจตนาไม่ดี เพราะโดยเนื้อหาของมันก็ไม่ได้แย่ขนาดนั้น แต่ถ้าเราดูบริบทรายล้อม เช่น ประวัติศาสตร์ที่ผ่านมาของการใช้ พ.ร.บ.คอมฯ ก็ทำให้เข้าใจได้ว่าทำไมหลายๆ ฝ่ายกังวล”
(เพิ่มเติมโดย The MATTER – ปัญหาของ พ.ร.บ.คอมฯ ที่ผ่านมา นับแต่ฉบับแรกในปี 2550 คือผู้เขียนตั้งใจให้แก้ปัญหาเรื่องระบบ แต่กลับมีการนำไปใช้เล่นงานหรือฟ้องร้องกันในเชิงเนื้อหา คือฟ้องหมิ่นประมาทกันบนโลกออนไลน์ ซึ่งในบางกรณีถูกมองว่าเป็นการฟ้องเพื่อปิดปากการวิพากษ์วิจารณ์ภาครัฐ แม้จะมีการแก้ไขกฎหมายในปี 2560 โดยผู้เกี่ยวข้องอ้างว่า จะทำให้คดีหมิ่นประมาท 5 หมื่นคดี ที่ใช้ พ.ร.บ.คอมฯ ฟ้องร้องกันหมดไป แต่เรื่องดังกล่าวก็ไม่เกิดขึ้นจริง)
หรือที่คนบางกลุ่มไปเทียบว่าประเทศอื่นๆ ก็มีกฎหมายลักษณะนี้ เขาตอบว่า ใช่ อย่างอังกฤษก็ให้หน่วยข่าวกรองเข้ามาทำหน้าที่จัดการภัยคุกคามทางไซเบอร์ โดยเนื้อหากฎหมายที่ให้อำนาจก็คล้ายๆ กับเรา แต่สิ่งที่มันต่างกันก็คือหน่วยงานด้านความมั่นคงของเขา ใช้พลเรือนนำ ไม่ใช่ทหารนำ
“นอกจากนี้ ช่วงที่ผ่านมา เราจะเห็นได้ว่า ทหารมีแนวโน้มจะมองคนเห็นต่างเป็นภัยต่อความมั่นคง หนักแผ่นดิน อะไรก็ว่าไป พอของพวกนี้ประกอบกันปุ๊บ และมีช่องในร่าง พ.ร.บ.มั่นคงไซเบอร์ที่จะให้ สมช.เข้ามาได้อีก กฎหมายที่ดูเหมือนไม่มีอะไร มันก็เลยน่ากลัวขึ้นมาได้”
อาทิตย์ สุริยะวงศ์กุล จากเครือข่ายพลเมืองเน็ต (ถ่ายภาพโดย: ธิดาพร ศรีจันทร์)
พ.ร.บ.ข้อมูลส่วนบุคคล
สำหรับร่าง พ.ร.บ.ข้อมูลส่วนบุคคล อาทิตย์บอกว่า มีการแก้ไขให้ดีขึ้น โดยเฉพาะการแก้ไขมาตรา 4 ที่เดิมเคยยกเว้นไม่ให้ใช้กับ 6 กิจการ (แปลว่าจะไม่มีการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายนี้กับการใช้ข้อมูลในกิจการนั้นๆ เช่น รัฐสภา ศาล บริษัทข้อมูลเครดิต) เปลี่ยนไปเป็นหมวดที่ 3/1 ที่จะให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมาเป็นผู้พิจารณาว่าจะออกประกาศจำกัดการคุ้มครองในกิจการใด ซึ่งต้องเป็นกิจการที่ถูกระบุไว้ในร่าง พ.ร.บ.นี้ด้วย
อย่างไรก็ตาม เขาตั้งข้อสังเกตเรื่ององค์ประกอบและที่มาของ ‘คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล’ ที่ส่วนหนึ่งมาจากภาครัฐ และอีกส่วนหนึ่งเป็นผู้ทรงคุณวุฒิในภาคเอกชน ซึ่งไม่มีข้อจำกัดเรื่องผลประโยชน์ทับซ้อน จน player อาจมาเป็น regulator ได้ และไม่ได้ทำงานแบบเต็มเวลา ในขณะที่กิจการที่ใช้ข้อมูลส่วนบุคคลปัจจุบันมีจำนวนมาก จึงอาจทำให้มีปัญหาในการทำงานได้
ขณะที่ประโยชน์ของการมี ร่าง พ.ร.บ.ข้อมูลส่วนบุคคลก็คือ การวาง ‘มาตรฐานกลางขั้นต่ำ’ ในการคุ้มครองข้อมูลของบุคคลต่างๆ ซึ่งก็เป็นเรื่องสิทธิ และในขณะเดียวกัน ก็ทำให้ง่ายในการค้าขายกับกิจการต่างประเทศ เพราะระบบเศรษฐกิจปัจจุบัน จำนวนมากขึ้นอยู่กับการแลกเปลี่ยนข้อมูล เช่น ลูกค้า ผู้โดยสาร ผู้มาใช้บริการ ฯลฯ หากมีกฎหมายมาคุ้มครอง ก็น่าจะช่วยให้แลกเปลี่ยนข้อมูลได้ง่ายขึ้น
(เพิ่มเติมโดย The MATTER – เราคุยกับอาทิตย์ก่อนที่การพิจารณาร่าง พ.ร.บ.ข้อมูลส่วนบุคคลของ สนช.จะเสร็จสิ้น ซึ่งผลปรากฎว่า สนช.ได้แก้ไขมาตรา 4 ให้กลับไปเป็นเช่นร่างเดิม คือไม่ให้ใช้การคุ้มครองข้อมูลส่วนบุคคลกับ 6 กิจการ และตัดหมวด 3/1 ที่ทำให้เขาบอกว่า ร่างกฎหมายนี้ “ดีขึ้น” ออกทั้งหมด)
