จะเป็นอย่างไร ถ้าเจ้าหน้าที่รัฐสามารถเข้าถึงข้อมูลส่วนตัวของเราได้ ไม่ว่าจะเป็นข้อมูลการติดต่อสื่อสาร โทรศัพท์ ไปรษณีย์ หรือคอมพิวเตอร์ โดยไม่จำเป็นต้องขอหมายศาลก่อน และไม่ต้องรอให้มีความผิดเกิดขึ้น เพียงแค่เราถูกรัฐนิยามว่าเป็น ‘ภัยต่อความมั่นคง’
นี่คือเนื้อหาของร่าง พ.ร.บ.ความมั่นคงไซเบอร์ ที่ถูกหลายฝ่ายหยิบขึ้นมาพูดถึง พร้อมเปรียบเทียบว่า มีลักษณะคล้ายกับกฎอัยการศึกเวอร์ชั่นออนไลน์ ที่ทำงานตลอด 365 วันบนอินเทอร์เน็ต
ในช่วงเวลาที่ร่างกฏหมายนี้กำลังรอเข้าสู่การพิจารณาของ สนช. เพื่อประกาศใช้อย่างเป็นทางการ The MATTER ชวน อาทิตย์ สุริยะวงศ์กุล จากเครือข่ายพลเมืองเน็ตมาพูดคุยกันว่า คิดเห็นอย่างไร และเนื้อหาของร่างกฎหมายนี้มันน่ากลัวอย่างที่หลายคนมองกันอยู่จริงๆ รึเปล่า
The MATTER: ตอนนี้ร่าง พ.ร.บ.ความมั่นคงไซเบอร์ อยู่ในขั้นตอนไหนแล้ว
อาทิตย์: ล่าสุดตัวร่างออกมาจากกฤษฎีกาแล้ว เพิ่งออกมาวันที่ 23 พฤษาคม เตรียมจะถูกส่งต่อไปให้ สนช. พิจารณาอีก 3 วาระ ถ้าเสร็จแล้วก็จะเป็นกฎหมาย ถ้าถามว่าถึงขั้นไหนแล้ว ก็ถือว่ามาได้ครึ่งทางแล้ว แต่เนื้อหาก็ไม่ได้เปลี่ยนไปเยอะจากร่างแรกซักเท่าไหร่
The MATTER: ในร่างใหม่นี้มีสิ่งหนึ่งที่เปลี่ยนไป คือ นิยามคำว่า ‘ความมั่นคงไซเบอร์’ ที่กว้างขวางมากขึ้น มองเรื่องนี้อย่างไร
อาทิตย์: มันก็คงเป็นเรื่องไม่ค่อยดี ถ้าเขาจะตีความให้มันไปคลุมเรื่องอื่นๆในทางที่มากระทบสิทธิ แต่คนที่เขียนกฎหมายก็คงจะอธิบายว่า มันจำเป็นต้องเขียนให้ค่อนกว้างขวางเอาไว้ก่อน เพราะภัยความมั่นคงทางไซเบอร์ หรือภัยความมั่นคงที่มีโดยรวมๆ มันคาดเดาล่วงหน้าไม่ได้ว่ามันจะมีลักษณะแบบไหน คนเขียนกฎหมายเขาก็บอกไว้ว่ามันจำเป็นนะ ปัญหาคือเราจะเลือกเชื่อข้างไหนดี
The MATTER: แต่พอนิยามของ ‘ความมั่นคงไซเบอร์’ กว้างมากอย่างนี้ มันอาจจะเปิดทางให้เจ้าหน้าที่ใช้อำนาจไปดูข้อมูลส่วนตัวของคนใช้อินเทอร์เน็ตที่มากขึ้นด้วยรึเปล่า
อาทิตย์: ผมคิดว่านิยามมันค่อนข้างผิดฝาผิดตัว คำว่า ‘ความมั่นคงปลอดภัย’ จริงๆ มันคือสถานะและภาวะที่รู้สึกว่ามีความมั่นคง แต่ในตัวร่างกฎหมายกลับหมายความถึงมาตรการและการดำเนินการ มันกลายเป็นเรื่องเครื่องมือ กลไก วิธีการทำงาน และเน้นว่าจะให้อำนาจอะไรแก่เจ้าหน้าที่บ้าง มากกว่าจะเป็นสภาพที่เรารู้สึกว่ามันเกิดสิ่งเหล่านั้นขึ้นจริงๆ
นิยามของความมั่นคงในร่างหมายนี้มันกลายเป็นว่า จะมีความปลอดภัยหรือไม่ปลอดภัยไม่รู้แหละ แต่ขอให้ฉันมีเครื่องมือไว้ก่อน ผมว่าอันนี้น่าจะเป็นจุดใหญ่อันหนึ่งเลยที่นิยามมันไม่สะท้อนจุดมุ่งหมายที่ถูกที่ควร
The MATTER: มันเลยทำให้การใช้อำนาจดูไม่มีความชัดเจนอย่างนั้นเหรอ
อาทิตย์: คุณจะใช้อำนาจไปเพื่ออะไร คือคุณจะใช้อำนาจเพื่อให้คนรู้สึกปลอดภัย หรือว่าคุณใช้อำนาจเพียงเพราะว่ากฎหมายให้อำนาจฉันไว้ ผมว่าถ้าไปอ่านดูมันก็จะงงๆ ว่าทำไมขึ้นต้นนิยามมาเป็นแบบนี้ อีกอันคือผมไม่แน่ใจว่าเรื่องคณะกรรมการรักษาความปลอดภัยไซเบอร์แห่งชาติ (กปช.) เคยมีคนทักท้วงไปพอสมควร มันก็ไม่ได้เปลี่ยนหน้าตาไปเท่าไหร่ เดิมมันเป็นรัฐมนตรีกระทรวงดิจิทัลเป็นประธาน แต่ตอนนี้เปลี่ยนเป็นนายกฯ หรือรองนายกฯ ที่ได้รับมอบหมาย ซึ่งเป็นไปตามข้อเสนอของ สปท. แล้วก็มีการให้รัฐมนตรีกระทรวงกลาโหมมาเป็นรองประธาน ซึ่งของเดิมไม่มี แล้วก็มีปลัดอีกมากมาย มีปลัดกลาโหม มีสำนักข่าวกรอง สภาความมั่นคง ต่างๆ นานา
The MATTER: มันจำเป็นแค่ไหนที่จะต้องมีกรรมการเยอะขนาดนี้
อาทิตย์: นั่นสิ คำอธิบายของเขาก็คือว่า นายกรัฐมนตรีจำเป็นต้องนั่งเป็นหัวโต๊ะ เพราะสุดท้ายแล้วกฎหมายฉบับนี้จะสั่งการหน่วยงานรัฐทุกหน่วย ในกรณีที่มีเกิดเหตุการณ์อะไรเกิดขึ้นมา ถ้าให้นายกฯนั่งเป็นประธานก็จะง่าย ทีเดียวจบ ต่อมาคือคำถามว่า แล้วทำไมต้องมีฝ่ายกลาโหมมานั่งด้วย เขามองว่าภัยความมั่นคงมันเป็นลักษณะที่ว่าจะต้องมีใครมาโจมตี เพราะฉะนั้นจะต้องมีกระทรวงกลาโหม มีทหาร มีกองทัพ พูดง่ายๆ คือมาป้องกันภัย ป้องกันประเทศจากศัตรู ดังนั้นก็เลยจะต้องมีทหารเข้ามา
มันก็มีคำถามว่า ปัญหามันจริงแบบนั้นหรือเปล่า ทุกวันนี้ภัยความมั่นคงมันเป็นการที่รัฐกับรัฐสู้กันหรือเปล่า หรือจริงๆ ภัยความมั่นคงมันเกิดจากคนภายในประเทศกันเองนี่แหละ หรือจริงๆ มันอาจจะไม่ได้เกิดจากคนก็ได้ มันอาจจะเป็นซอฟต์แวร์อะไรบางอย่าง ซึ่งอาจจะไม่ได้มีความมุ่งหมายทางการเมือง
สงครามระหว่างรัฐกับรัฐในมุมมองของกลาโหม ก็คือความต้องการเอาชนะเพื่อจุดมุ่งหมายทางการเมือง ยึดดินแดน หรือทำให้อีกฝ่ายเสียเปรียบในทางยุทธศาสตร์ อันนี้คือคิดในแบบโหมดสงคราม แต่ว่าภาวะที่เราสามารถมีความมั่นคงทางไซเบอร์จำเป็นต้องคิดแบบสงครามหรือเปล่า ก็อาจไม่จำเป็น การที่เราติดตั้งแอนตี้ไวรัสลงในเครื่องเรา มันก็เหมือนการทำให้คอมพิวเตอร์เราสะอาดขึ้น ปลอดภัยจากเชื้อโรค คือมันสามารถอธิบายด้วยภาษาแบบหมอก็ได้ มันไม่ต้องอธิบายด้วยภาษาแบบการสู้รบ
เวลาเราคิดถึงประเด็นความมั่นคงไซเบอร์ หนึ่งคือมันไม่ใช่เรื่องทางการทหาร สองคำว่า Cyber Warfare ถามว่ามันมีอยู่ไหม มันมีอยู่จริง เช่น ประเทศนั้นเป็นประเทศที่เป็นศัตรูกับประเทศนี้ สู้รบกันแล้วก็ไปทำให้อีกฝ่ายระบบเสียหาย ทำให้ไฟดับทั้งหมด ประชาชนแตกตื่น เพื่อที่จะเข้าไปบุกได้ง่าย ถามว่ามันเป็นไปได้ไหมในทางทฤษฎี มันเป็นไปได้ แต่เขาเรียกว่า Cyber Warfare ไม่ใช่ Cyber Security สองเรื่องนี้มันเป็นคนละอย่างกัน ผมคิดว่าคนเขียนกฎหมายกำลังสับสน
ผมไม่ได้บอกนะว่าสุดท้ายเรื่องนี้ไม่เกี่ยวกับทหาร เพราะถ้าเกิดว่าระบบของทางการทหารไม่มี Cyber Security แน่นอนประเทศเราอาจจะตกอยู่ในอันตราย เพราะว่ากลาโหมทำงานไม่ได้ แต่ Cyber Security แบบเดียวกันมันก็ไปกระทบเรื่องอื่นๆด้วย ถ้าคุณดึงกลาโหมมาได้ บอกว่าเป็นความมั่นคงทางการทหาร ทำไมในคณะกรรมการชุดเดียวกันคุณไม่เอากระทรวงเกษตรมาด้วยล่ะ เพราะมันก็มีเรื่องความมั่นคงทางอาหาร ทุกอย่างมันใช้คำว่าความมั่นคงได้ทั้งนั้น ความมั่นคงทางพลังงาน ความมั่นคงของมนุษย์ ความมั่นคงเยอะแยะ 108 ทำไมไม่ดึงมาให้หมดล่ะ ทำไมดึงมาแค่ทหาร ปัญหานี้มาจากการที่เขามอง เอาคำว่า Cyber Security กับ Cyber Warfare มาปนกัน
The MATTER: กำลังจะบอกว่า พอมองทุกอย่างเป็นความมั่นคงไปหมด อำนาจที่ใช้มันก็จะกว้างมากขึ้น
อาทิตย์: ใช่ สำนักงานความมั่นคงไซเบอร์สามารถสั่งให้หน่วยงานรัฐ และเอกชนทำหรือไม่ทำอะไรก็ได้ในการที่จะเป็นการปกป้องความมั่นคง ภาษาแบบเดียวกันนี้มันอยู่ในกฎอัยการศึก และ พ.ร.ก.ฉุกเฉินฯ มันก็สมเหตุสมผลถ้าจะอธิบายว่าในช่วงเวลาพิเศษจำเป็นจะต้องมีกฎหมายพิเศษ เพื่อให้เจ้าหน้าที่สามารถตรวจตราได้ง่าย งั้นก็ประกาศเคอร์ฟิว หลังสี่ทุ่ม หลังเที่ยงคืนเนี่ยอย่าออกไปไหน ตำรวจจะได้ทำหน้าที่ได้ แยกคนดีออกจากคนร้าย แล้วจะได้ดำเนินการง่าย อันนี้คือคิดในมุมว่าจะต้องมีการประกาศสถานการณ์ฉุกเฉินบางอย่างในช่วงเวลาพิเศษ
ภาษาเดียวกันนี้มันอยู่ในร่าง พ.ร.บ.ความมั่นคงไซเบอร์ แล้วยังก็บอกว่า ถ้าเมื่อใดมีสถานการณ์พิเศษแบบนี้เกิดขึ้นสำนักงานนี้จะมีอำนาจทำสิ่งนั้นสิ่งนี้ ประเด็นก็คือว่าลักษณะแบบกฎอัยการศึกเนี่ย เช่น ข้าศึกบุก มีก่อการร้าย มีอุทกภัย ภัยธรรมชาติ
The MATTER: แต่เนื้อหาคล้ายกับกฎอัยการศึกในร่างนี้ มันสามารถถูกบังคับใช้ในทุกช่วงเวลา
อาทิตย์: สถานการณ์พวกนั้นนานๆ จะเกิดขึ้นที ดังนั้นการที่ประชาชนอาจจะยอมเสียสละเสรีภาพส่วนตัวบางประการในช่วงเวลาที่จำกัด มันอาจจะสมเหตุสมผล แต่นี่ พ.ร.บ.ความมั่นคงไซเบอร์เราใช้คอมพิวเตอร์ทุกวัน มัลแวร์ก็มีข่าวทุกวัน ไวรัสมีข่าวทุกวัน สถานการณ์พิเศษมีทุกวันเลยว่ะ แปลว่า สำนักงานนี้จะมีอำนาจในการสั่งตลอด 24 ชั่วโมง ตลอด 7 วัน ตลอด 365 วัน
เหตุผลแบบนี้แหล่ะ ในฟิลิปปินส์ตอนที่มีการพยายามจะออกกฎหมายคล้ายๆ แบบนี้ เขาก็เรียกเลยว่ากฎอัยการศึกไซเบอร์ คือดูตามที่เขาร่างมันไม่ใช่กฎหมายความมั่นคงไซเบอร์ ไม่ใช่กฎหมายคุ้มครองไซเบอร์ แต่มันคือกฎอัยการศึกไซเบอร์ เพราะว่าตัวสำนักงานมีอำนาจเยอะมากในการที่จะสั่งหรือไม่สั่งอะไรต่างๆ มันแตกต่างไปจากกฎหมายหรือกลไก Cyber Security ในหลายประเทศที่เขาไม่ได้เน้นเรื่องการสั่งการจาก Top-Down แต่เขาเน้นเรื่องการทำงานด้วยกัน
ในต่างประเทศเขาสร้างกลไกที่รับประกันว่า ถ้าคุณแชร์ข้อมูลให้กับเจ้าหน้าที่ และคุณก็มีมาตรการป้องกันอะไรบางอย่าง ที่มันได้มาตรฐานอุตสาหกรรมในระดับหนึ่ง ต่อให้มีปัญหาอะไรเกิดขึ้น คุณไม่ต้องรับโทษเต็มๆ เพราะถือว่าคุณทำดีที่สุดแล้ว หนึ่งคือทำดีที่สุดกับลูกค้าคุณเอง สองคือคุณไม่ได้คุ้มครองเฉพาะลูกค้าคุณเอง แต่คุณคุ้มครองคนอื่นด้วยเพราะคุณแชร์ข้อมูลนี้ให้คนอื่นรู้ จะได้ป้องกันตัวกันทัน แปลว่าคุณมีความรับผิดชอบต่อสังคม ดังนั้นเราจึงมีแรงจูงใจ ให้คนทำแบบนี้โดยการบอกว่าถ้าต้องมีโทษงั้นลดลงกึ่งหนึ่งแล้วกัน หรือบางกรณีอาจจะไม่ต้องรับโทษอะไรก็ว่ากันไป ให้มันกระตุ้นให้คนแชร์ข้อมูล ซึ่งกลไกแบบนี้เราไม่เห็นในร่างกฎหมายความมั่นคงไซเบอร์
The MATTER: ถ้าร่างกฎหมายนี้ไม่ได้สร้างแรงจูงใจ แล้วมันไปเน้นที่อะไรแทน
อาทิตย์: มันคือการบังคับมากกว่า มันไม่มีกลไกส่งเสริมให้คนแชร์ข้อมูล แล้วอีกอย่างก็คือว่า มันอาจจะไม่ได้อยู่ในกฎหมายนี้ตรงๆ แต่เนื่องจากภาพลักษณ์ที่ผ่านมา ไม่ว่าจะเป็นรัฐบาลนี้หรือรัฐบาลไหนๆ ก็ตาม คนไม่ค่อยเชื่อมั่นว่า ถ้าเราแชร์ข้อมูลของเราไปแล้ว รัฐจะเอาข้อมูลของเราไปทำอะไร ในกฎหมายฉบับนี้บอกว่าสำนักงานด้านความมั่นคงไซเบอร์สามารถเรียกขอข้อมูลจากผู้ให้บริการได้
สมมติว่าผมเป็นผู้ให้บริการ กฎหมายนี้บอกว่า ถ้าเจ้าหน้าที่คิดว่า ผู้ใช้บริการของผมบางคนอาจจะทำอะไรที่มันก่อให้เกิดความไม่มั่นคงทางไซเบอร์ เขาขอข้อมูลได้ไหม ผมต้องให้ ซึ่งไม่ให้ก็ผิดกฎหมาย ทีนี้ในฐานะผมเป็นผู้ให้บริการผมก็อยากทำตามกฎหมายแหละ ไม่อย่างนั้นผมก็อาจจะถูกรัฐเล่นงาน แต่ในอีกทางที่ถ้าผมแชร์ แม้ว่ากฎหมายจะคุ้มครองผมว่าต่อให้ผมแชร์ไปลูกค้ามาฟ้องผมไม่ได้นะ กฎหมายมันคุ้มครองอยู่ให้ผมสามารถแชร์ให้รัฐได้ แต่ความเชื่อมั่น แบรนด์ของผมมันก็เสีย ถ้าผมจำเป็นต้องแชร์อะไรแบบนี้ กฎหมายบังคับว่าคุณต้องแชร์แม้ว่าคุณจะไม่เชื่อใจรัฐหรือไม่ก็ตาม คนก็หนีไปใช้บริการของที่อื่น ซึ่งถ้ามันเป็นแบบนี้คุณจะบังคับยังไงล่ะ มันยิ่งทำให้ความสามารถในการทำให้ระบบมันปลอดภัยลดลง
The MATTER: มองอย่างไรกับการให้อำนาจเจ้าหน้าที่ขอดูข้อมูลส่วนตัวของผู้ใช้บริการได้ โดยไม่ต้องมีหมายศาลก่อน
อาทิตย์: ในร่างใหม่นี้มันก็มีเรื่องดักฟังที่เราเคยห่วงกัน อย่างตอนนั้นเราถามไปว่าดักฟังได้เลยหรือเปล่า ไม่ต้องฟังคำสั่งศาลก็ได้เลยเหรอ ในรอบนี้เขาก็เลยเติมขึ้นมาว่า จะต้องมีการขออนุญาตจากศาลก่อน อย่างไรก็ตาม ก็มีห้อยท้ายว่าแต่ในกรณีจำเป็นเร่งด่วนในกรณีที่เป็นภัยต่อความมั่นคงนั้น ก็ไม่ต้องขออนุญาตจากศาลก็ได้ ก็คือให้ดักฟังไปก่อนแล้วค่อยไปแจ้งศาลทีหลังได้ สุดท้ายในทางปฏิบัติมันก็ไม่มีความหมาย ก็คือเขียนไปเพื่อให้สามารถชี้แจงกับสาธารณะได้เท่านั้น
คำถามก็คือจะเอาข้อมูลไปทำอะไร ผมจะมั่นใจได้ยังไงว่า หลังจากเปิดเผยข้อมูลพวกนี้ไปแล้วเนี่ยจะถูกลบทิ้งหรือเปล่า มันเอาไประบุตัวตนได้แค่ไหน มั่วๆ หรือเปล่า ประเด็นคือใครก็ตามที่มีข้อมูลส่วนบุคคลของเรา พอเขาได้ไป เขาก็มักจะเอาไปใช้ตัดสินว่าเราเป็นคนแบบนั้นแบบนี้ โดยที่ตัดขาดจากบริบทรอบด้าน อีกเรื่องหนึ่งก็คือเขาได้ข้อมูลเราไปแล้วเนี่ย เขาจะเอาไปแชร์ต่อหรือทำอะไรต่างๆ ก็ได้ พอเป็นแบบนี้พอพูดถึงกฎหมายเกี่ยวกับการแชร์ข้อมูลในประเทศอื่นๆ ในเรื่องเกี่ยวกับ Cyber Security เลยสร้างกลไกที่ส่งเสริมให้คนแชร์ข้อมูลจะได้ป้องกันกันได้ แล้วเวลาแชร์ข้อมูลเขาก็จะเขียนรายละเอียดเอาไว้ในตัวกฎหมายว่า ข้อมูลที่จะแชร์นี้จะต้องไม่รวมข้อมูลส่วนบุคคล มันจะต้องเป็นข้อมูลเกี่ยวกับระบบเน็ตเวิร์คเท่านั้น
การที่รู้ว่าคอมพิวเตอร์ของใครบ้าง ชื่ออะไรบ้าง อายุเท่าไหร่บ้าง ติดมัลแวร์ ทำอาชีพอะไร ความคิดเห็นทางการเมืองเป็นแบบไหน มันเกี่ยวอะไรกับการป้องกันมัลแวร์ เวลาเราติดมัลแวร์ มันติดโดยไม่เลือกความคิดเห็นทางการเมืองไง เรื่องความคิดเห็นทางการเมือง คุณนับถือศาสนาอะไร ข้อมูลส่วนตัวต่างๆ มันไม่มีความจำเป็นต่อการระงับยับยั้งการแพร่ระบาดมัลแวร์ หรือการทำให้ระบบคอมพิวเตอรมันปลอดภัย เพราะเวลาระบบคอมพิวเตอร์ปลอดภัยหรือไม่ปลอดภัยมันไม่เลือกชาติเลือกศาสนา ไวรัสมันไปทุกที่ พอเป็นแบบนี้กฎหมายประเทศอื่นเขาก็เลยเขียนไว้ว่าทำยังไงให้คนแชร์ข้อมูลเพื่อให้ระบบโดยรวมปลอดภัย ในขณะเดียวกันยังคุ้มครองข้อมูลส่วนบุคคลอยู่
The MATTER: กฎหมายนี้ให้อำนาจเจ้าหน้าที่สามารถเข้าไปดูข้อมูลโทรศัพท์ ไปรษณีย์ อีเมล เราได้แค่ไหนหรือว่าแล้วแต่กรณี
อาทิตย์: มันก็แล้วแต่กรณี เวลาเราพูดถึงว่าข้อมูลในระบบคอมพิวเตอร์มันอยู่ที่ไหนบ้าง มันมีตั้งแต่ต้นทาง ปลายทาง ระหว่างทาง
The MATTER: แล้วมันจะไปดูข้อมูลในส่วนไหนได้บ้าง
อาทิตย์: ทั้งหมดเลย เพราะมันไม่ได้ระบุไง แสดงว่าขอตรงไหนก็ได้
The MATTER: ทีนี้พอทุกอย่างมันเป็นความมั่นคงหมดเลย ชีวิตการใช้อินเทอร์เน็ตเรามันจะเป็นยังไง
อาทิตย์: ยังไม่ต้องพูดถึงเรื่องทางการเมืองหรือการกลั่นแกล้งอะไรนะ เอาแค่ว่าสุดท้ายแล้วการมีกฎหมายคุ้มครองความมั่นคงไซเบอร์มันจะทำให้เรามีความมั่นคงทางไซเบอร์จริงหรือเปล่า จะทำให้เราใช้อินเทอร์เน็ตได้ปลอดภัยจริงหรือเปล่า เอาแค่คำถามนี้ก่อน
ถ้าเราเอาแต่เน้นเรื่องการบังคับแล้วไม่ได้มีเรื่องการส่งเสริม ไม่ได้มีเรื่องการแชร์ข้อมูล เรื่องการทำให้ระบบปลอดภัย ผู้ประกอบการบางประเภทอาจจะสบาย เพราะเชื่อว่า ฉันไม่จำเป็นจะพัฒนาระบบให้ได้มาตรฐานก็ได้ ก็แบบนี้ต้นทุนมันถูกกว่า รอเมื่อไหร่ข้อมูลมันหลุดแล้วรัฐบาลมาสั่งขอข้อมูล หรือว่าสั่งให้ทำนั่นทำนี่ ก็แค่ทำตามคำสั่งนั้นไป ก็จบ ไม่ต้องพัฒนาตัวเอง
ส่วนผู้ให้บริการที่มีความรับผิดชอบและพยายามจะพัฒนาตามมาตรฐาน มันก็ทำไปของมัน แต่ว่าอีกจำนวนก็รู้สึกว่าไม่จำเป็นนี่ คือนอกจากกลไกตลาดที่จะมากดดันแล้ว ซึ่งจริงๆ แล้วมันก็มีผลมาก คือคนอาจจะย้ายไปใช้แบรนด์ที่มันปลอดภัยกว่า แต่ว่าในแง่เรื่องการส่งเสริมตัวอุตสาหกรรม มันต้องมีการบังคับกันเอง
ร่างกฎหมายนี้มันมีแต่การจะลงโทษ แต่มันไม่บอกว่า ถ้าคุณทำระบบให้ได้มาตรฐานแล้วจะเกิดอะไรขึ้น ซึ่งพอเป็นแบบนี้แล้วคนที่ทำตามมาตรฐานไปก็ไม่มีประโยชน์ ทำไปก็ต้องรับผิดเต็มเหมือนเดิม ทำไปแล้วไปแจ้งว่าผมมีไวรัสนะ ผมจะไปแจ้งเพื่อให้คนอื่นเตรียมพร้อม ผมก็ดันมีโทษอีก ไม่ได้ลดหย่อน ผมว่าร่างปัจจุบันนี้มันไม่ได้คิดถึงว่าคนที่ทำดีแล้วจะได้ผลตอบแทนอะไร มีแต่ลงโทษ
The MATTER: คุยกันมาถึงตรงนี้ ชื่อกฎหมายมันคือเน้นความมั่นคง ตกลงแล้วมันทำให้เรารู้สึกมั่นคงจริงๆ หรือเปล่า
อาทิตย์: เวลาพูดถึงการป้องกันข้อมูลส่วนบุคคล มันคือความรู้สึกที่เราอยากควบคุมข้อมูลบางอย่างได้ สภาวะที่เราสามารถควบคุมข้อมูลตัวเองได้นี่แหละ คือ สภาวะที่เรารู้สึกมีความปลอดภัยในเชิงข้อมูล หรือการที่เรามั่นใจว่าเซฟข้อมูลวันนี้แล้ววันหน้าเปิดมาเป็นแบบเดิม หรือเราพูดแบบนี้แล้วไปถึงปลายทางเป็นแบบเดิม
แต่ถ้าเราไม่มั่นใจสำนักงานความมั่นคงไซเบอร์ เพราะมันมีอำนาจเยอะแยะมากมาย มีหน่วยงานความมั่นคงเต็มไปหมด แต่สำนักงานนี้มันกำลังจะเป็นสำนักงานเลขาให้กับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมันควรจะต้องเป็นองค์กรอิสระ ทำงานอิสระจากตัวรัฐบาล ไม่อย่างนั้น เวลาเรามีข้อขัดแย้งกับรัฐใครจะคุ้มครองเรา เพราะถ้าเกิดเมื่อไหร่ที่คณะกรรมการนี้ทำงานตัดสิน วินิจฉัยในทางที่อาจจะไม่ถูกใจกับรัฐ เขาก็โดนเด้งได้
ดังนั้น ถ้ามันมีกรณีที่เกิดว่าคณะกรรมการ 2 ชุดนี้ทำงานขัดกัน มันตอบได้แน่นอนว่าเขาจะทำงานให้ใคร ผมคิดว่าอันนี้มันสำคัญ ปัญหาประเด็นมันไม่ได้อยู่แค่ในนี้ ปัญหามันมีเยอะ และมันยังกระทบชิ่งไปยังกฎหมายฉบับอื่นอีกด้วย
The MATTER: ถ้าจะเทียบกันระหว่าง พ.ร.บ.คอม กับ พ.ร.บ.ไซเบอร์ ข้อเหมือนข้อต่างหลักๆ คืออะไรบ้าง
อาทิตย์: พ.ร.บ.คอม มันจะเข้ามากำกับ และดูแลจัดการหลังจากเกิดเหตุแล้ว มันต้องมีการกระทำผิดอะไรบางอย่างเกิดขึ้นก่อนมันถึงจะจัดการได้ ดังนั้นถ้าพูดถึงการละเมิดสิทธิ์ ถามว่ามีไหม มี แต่โดยมากมันก็จะเป็นการจำกัดสิทธิหลังที่คุณได้ทำกิจกรรมนั้นไปแล้ว โอเคแหละ มันอาจจะสร้างบรรยากาศความกลัว ทำให้คนไม่กล้าพูดอะไรต่างๆ ก็ว่าไป มันกระทบแน่นอนนะ แต่กฎหมายคือการบังคับหลังจากที่เหตุนั้นได้เกิดขึ้นไปแล้ว
ส่วน พ.ร.บ.ไซเบอร์มีลักษณะ Proactive ถ้าผมสงสัยว่า คุณจะเป็นภัยต่อความมั่นคง ผมขอข้อมูลจากผู้ให้บริการ และผมอาจจะมีมาตรการอะไรบางอย่างกับคุณ ก่อนที่คุณจะลงมือเสียอีก เพราะจากข้อมูลที่แสดงผมเชื่อว่า คุณน่าจะเป็นคนที่ทำให้เกิดความไม่มั่นคงในระบบ
ผมว่าอันนี้น่ากลัว ในแง่ที่ว่ามันแทบไม่ต้องมีหลักฐานอะไรเลยไง มันก็ลำบากเหมือนกันในการควบคุมอำนาจ และจัดการตรงนี้ให้ดี
