วันอาทิตย์, พฤศจิกายน 27, 2559

แคมเปญ... หยุด Single Gateway หยุดกฎหมายล้วงข้อมูลส่วนบุคคล





Petitioning สภานิติบัญญัติแห่งชาติ สมาชิกสภานิติบัญญัติแห่งชาติ and 1 other

หยุด Single Gateway หยุดกฎหมายล้วงข้อมูลส่วนบุคคล


[for English, scroll down]

ร่างพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ ..) พ.ศ.... หรือร่างแก้ไขพ.ร.บ.คอมพิวเตอร์ฯ เป็นหนึ่งใน "ชุดกฎหมายความมั่นคงดิจิทัล" ที่องค์กรภาคประชาชน 6 องค์กรและประชาชนมากกว่า 22,000 คนเคยเข้าชื่อเรียกร้องให้ชะลอการพิจารณาเมื่อต้นปี 2558 และรัฐบาลรับปากจะแก้ไขให้ไม่ละเมิดสิทธิเสรีภาพ

ผ่านไปหนึ่งปี พร้อมกับข่าวที่กระทรวงไอซีทีเสนอแนวคิด "ซิงเกิลเกตเวย์" (Single Gateway) เพื่อให้ควบคุมข้อมูลได้สะดวกขึ้น ร่างพ.ร.บ.คอมพิวเตอร์ดังกล่าวถูกปรับปรุงและส่งให้คณะรัฐมนตรีพิจารณาอีกครั้งในวันที่ 21 เมษายน 2559 โดยคณะรัฐมนตรีได้ลงมติเห็นชอบในวันเดียวกัน พร้อมทั้งส่งต่อให้สภานิติบัญญัติแห่งชาติ (สนช.) พิจารณาประกาศใช้เป็นกฎหมาย

วันที่ 28 เมษายน 2559 ที่ประชุมสนช.ได้พิจารณาร่างแก้ไขพ.ร.บ.คอมพิวเตอร์ วาระที่ 1 โดยสมาชิกสนช.จำนวนหนึ่งอภิปรายว่า เนื้อหาของกฎหมายมีข้อห้ามเรื่องการเผยแพร่ข้อมูลที่ "ขัดต่อศีลธรรมอันดีของประชาชน" ถือเป็นความหมายที่กว้างและมีความเปราะบางมาก อาจถูกตีความไปในลักษณะละเมิดสิทธิมนุษยชนได้ แต่สนช.ก็ยังมีมติเอกฉันท์รับหลักการด้วยคะแนน 160 ต่อ 0 และส่งต่อให้คณะกรรมาธิการวิสามัญพิจารณาร่างดังกล่าว โดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (เดิมคือกระทรวงไอซีที) วางเป้าหมายประกาศใช้ร่างดังกล่าวภายในปี 2559 นี้

ปัจจุบันการแก้ไขใกล้แล้วเสร็จ เตรียมส่งให้สนช.ผ่านกฎหมายในวาระที่ 3 เพื่อประกาศใช้ อย่างไรก็ตามข้อเป็นห่วงต่างๆ ก็ยังไม่ได้รับการปรับปรุงแต่อย่างใด อีกทั้งมีแนวโน้มแย่ลงกว่าฉบับที่ใช้ในปัจจุบัน (2550) อย่างเห็นได้ชัด โดยเฉพาะการจำกัดเสรีภาพในการแสดงออกและการเข้าถึงข้อมูลข่าวสาร อีกทั้งจะรบกวนการทำงานของระบบอินเทอร์เน็ต ทำให้การใช้งานอินเทอร์เน็ตไม่มีความเป็นส่วนตัวและไม่ปลอดภัยอีกต่อไป ตัวอย่างเช่น

1.  ปิดปากการตรวจสอบ -- มาตรา 14 (1) ของร่างที่แก้ไขใหม่ ยังถูกตีความให้นำมาใช้กับความผิดฐานหมิ่นประมาทได้ นิยามของ "ข้อมูลเท็จ" ที่ผ่านมาถูกใช้ในทางจำกัดการตรวจสอบผู้มีอำนาจทั้งในภาครัฐและเอกชน ทั้งที่เจตนารมณ์แท้จริงของกฎหมายมุ่งที่จะแก้ปัญหาการปลอมแปลงตัวตนเพื่อหลอกลวงออนไลน์เท่านั้น แต่ร่างใหม่ก็ยังไม่แก้ไขเรื่องนี้ นอกจากนี้ มาตรา 14 (2) ของร่างที่แก้ไขใหม่ ยังกำหนดฐานความผิดอย่างคลุมเครือยิ่งขึ้น เช่น ความผิดฐานโพสต์ข้อมูลเท็จที่กระทบต่อ "ความปลอดภัยสาธารณะ" "ความมั่นคงทางเศรษฐกิจ" หรือ "การบริการสาธารณะ" ซึ่งไม่มีนิยามชัดเจนในกฎหมาย อาจทำให้การบังคับใช้มีปัญหา เกิดการตีความโดยเจ้าหน้าที่เพื่อประโยชน์ของผู้มีอำนาจในเวลานั้น

2.  เปิดช่องไม่ต้องใช้คำสั่งศาล -- ในข้อ 5 (2) ของร่างประกาศกระทรวงดิจิทัลตามอำนาจมาตรา 15 ของร่างใหม่ ระบุให้ผู้ให้บริการเว็บไซต์ท่าและโซเชียลมีเดียจะต้องระงับหรือลบข้อมูลภายใน 3 วัน หลังได้รับแจ้ง ไม่เช่นนั้นจะต้องรับโทษเท่ากับผู้โพสต์ ซึ่งขั้นตอนการแจ้งตามมาตรา 15 ดังกล่าว ไม่มีการตรวจสอบโดยศาล และผู้แจ้งจะเป็นใครก็ได้ ทำให้ในทางปฏิบัติ การปิดเว็บด้วยมาตรา 15 จะทำได้สะดวกกว่าการใช้มาตรา 20 (ซึ่งต้องใช้คำสั่งศาล)

3.  ข้อมูลส่วนบุคคลตกอยู่ในอันตราย -- มาตรา 20 ของร่างใหม่ ให้อำนาจรัฐมนตรีออกประกาศเพิ่มเติมเรื่องวิธีการปิดกั้นเว็บไซต์ได้ ซึ่งปรากฏเอกสารของกระทรวงไอซีทีว่ามีการเตรียมออกประกาศให้สามารถเข้าถึงข้อมูลที่ถูกเข้ารหัสทั้งนี้เพื่อให้สามารถปิดกั้นเว็บไซต์ที่เข้ารหัส HTTPS ได้ โดยในข้อ 8 ของร่างประกาศกระทรวงดิจิทัลตามอำนาจมาตรา 20 ได้เขียนให้อำนาจผู้ให้บริการ (เช่นผู้ให้บริการเข้าถึงอินเทอร์เน็ต ผู้ให้บริการอินเทอร์เน็ตเกตเวย์) "ดําเนินการด้วยมาตรการทางเทคนิคใดๆ (Technical Measures) ที่ได้มาตรฐานเพื่อให้บังเกิดผลตามคําสั่งศาล" ภายใน 15 วัน การกระทำดังกล่าวจะรบกวนระบบรักษาความปลอดภัยของอินเทอร์เน็ต และทำให้ผู้ใช้อินเทอร์เน็ตทั้งหมดตกอยู่ในความไม่ปลอดภัย แม้จะไม่เกี่ยวข้องกับการกระทำผิดใดเลยก็ตาม

4.  ขยายอำนาจปิดเว็บ-ตั้งศูนย์บล็อคเว็บเบ็ดเสร็จ -- อำนาจของมาตรา 20 ในร่างใหม่ ยังขยายไปถึงการปิดเว็บไซต์ที่อาจผิดกฎหมายอาญาอื่น รวมถึงเนื้อหาที่ถูกกล่าวหาว่า "ละเมิดลิขสิทธิ์" ซึ่งปรากฏว่าที่ผ่านมาในต่างประเทศมีการใช้ข้ออ้างดังกล่าวอย่างต่อเนื่องเพื่อปิดกั้นไม่ให้ผู้บริโภควิพากษ์วิจารณ์สินค้าหรือบริการของบริษัทเอกชน นอกจากนี้ในข้อ 4 ของร่างประกาศกระทรวงดิจิทัลตามอำนาจมาตรา 20 ยังจะให้มีการจัดตั้งศูนย์กลาง "เพื่อให้พนักงานเจ้าหน้าที่ทําการระงับการทําให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์นั้นเอง โดยอาจเชื่อมโยงระบบดังกล่าวเข้ากับระบบการระงับการทําให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ของผู้ให้บริการในแต่ละรายโดยความยินยอมของผู้ให้บริการก็ได้" ระบบดังกล่าวจะทำให้เจ้าหน้าที่สามารถควบคุมการระงับและลบข้อมูลของฝั่งผู้ให้บริการได้ทันที ทำให้การตรวจสอบโดยศาล (ก่อนที่พนักงานเจ้าหน้าที่จะใช้อำนาจ) อาจถูกข้ามไปก่อนได้ในทางปฏิบัติ

5.  "กบว.ออนไลน์" ปิดเว็บ "ผิดศีลธรรม" แม้ไม่ผิดกฎหมาย -- มาตรา 20/1 ซึ่งเพิ่มขึ้นมาใหม่ เรื่องการปิดกั้นเว็บไซต์ จะส่งผลให้เว็บไซต์ถูก "บล็อค" ได้ แม้ว่าเนื้อหาบนเว็บไซต์จะไม่ผิดกฎหมายใดๆ เลยก็ตาม หากคณะกรรมการกลั่นกรองข้อมูลคอมพิวเตอร์เห็นว่าเนื้อหาเหล่านั้น "ขัดต่อความสงบเรียบร้อยและศีลธรรมอันดี" ทั้งนี้คณะกรรมการกลั่นกรองฯ หรือ "กบว.ออนไลน์" นี้สามารถมีได้หลายคณะ แต่ละคณะจะมีกรรมการ 5 คนมาจากการแต่งตั้งของรัฐมนตรีกระทรวงดิจิทัล และร่างกฎหมายไม่ได้กำหนดคุณสมบัติที่ชัดเจนของกรรมการ (มาตรา 20/1 ตามร่างฉบับ 18 พ.ย. 2559 คือมาตรา 20 (4) ในร่างฉบับ 26 พ.ย. 2559)

นอกจากนี้ยังมีข้อเป็นห่วงถึงการใช้อำนาจของเจ้าหน้าที่และการบังคับใช้กฎหมายในทางปฏิบัติในมาตราอื่นๆ อีก เช่น มาตรา 16/2 (ภาระในการรู้ว่ามีข้อมูลที่มีความผิดอยู่ในระบบของตัวเองหรือไม่) มาตรา 18 (การยึดค้นระบบและได้ไปซึ่งข้อมูลส่วนบุคคลตามมาตรา 18 (2) และ 18 (3) โดยไม่ต้องใช้คำสั่งศาล) และมาตรา 26 (เพิ่มระยะเวลาเก็บข้อมูลการจราจร โดยไม่ได้ระบุถึงสิทธิในการอุทธรณ์ของผู้ได้รับผลกระทบ)

ด้วยเหตุนี้ พวกเราประชาชนดังที่ลงชื่อ จึงเรียกร้องให้สมาชิกสภานิติบัญญัติแห่งชาติ ซึ่งมีหน้าที่พิจารณาร่างพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ได้ทบทวนและแก้ไขร่างกฎหมายในมาตราที่จะกระทบกับสิทธิเสรีภาพของประชาชน โดยพิจาณาแก้ไขร่างมาตรา 14 ให้มีความรัดกุมชัดเจน แก้ไขร่างมาตรา 15, 18 ประกอบ 19, 20, และ 26 ให้คำนึงถึงสิทธิในความเป็นอยู่ส่วนตัวและสิทธิในข้อมูลส่วนบุคคลของประชาชน และให้การออกมาตรการเพิ่มเติมใดๆ ที่จะกระทบสิทธิเสรีภาพโดยทั่วไปของประชาชนจะต้องผ่านกระบวนการการพิจารณาของรัฐสภาเท่านั้น และพิจารณาตัดมาตรา 16/2 และ 20/1 ออกจากร่าง

เอกสารอ้างอิง

12 ข้อเสนอแก้ไขร่างพ.ร.บ.คอมพิวเตอร์ (โดยเครือข่ายพลเมืองเน็ต)

ร่างพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่..) พ.ศ. .... (ร่าง 26 เม.ย. 2559 ที่สภานิติบัญญัติแห่งชาติพิจารณาวาระที่ 1 แล้ว)

Takedown Hall of Shame (Electronic Frontier Foundation)


On 26 April 2016, Thailand’s National Legislative Assembly overwhelmingly approved (160 to zero) the Bill to amend Computer-related Crime Act in its 1st hearing. The Bill poses threats to civil liberties, privacy, trade secrets, and security of the internet. For example, Section 20 may allow the Authority to circumvent encrypted communication. We want your support to stop these dangerous proposals.

Points of Concerns

Criminalisation of Speech and Computer Data:Language of new Section 14 (1) still opens for online defamation abuse. Section 14 (2) uses vague general terms like "public safety" and "economic stability”, undefined in any Thai criminal law, to criminalised computer data. -- Read iLaw analysis on this (in Thai) http://ilaw.or.th/node/4092

Intermediary Liability - Burden of Proof: Second paragraph of new Section 15 gives Minister power to issue additional procedural rules, which may additionally limits civil rights but require no review from Parliament. Service provider may be exempted from penalty if they follows the rules, but burden of proof is to the service provider.

Unpredictability of Law: Settlement Committee appointed by the Minister from power in Section 17/1 will create unpredictability of law enforcement.

Expanded Investigative Power: New Section 18 expands investigative power to non-CCA offences. Section 18 (2) and (3) allows the Authority to access "Traffic Data", which may contains personal data, without court order. Section 18 (7) allows the Authority to access encrypted computer system or encrypted data in the system.
Expanded Information Control: New Section 20 expands blocking and data removal power to non-CCA offences. Computer Data Screening Committee appointed by the Minister from power in Section 20/1 may ask the Court the takedown data that may breach "public order" or "moral high ground of people" even its not illegal. (Section 20/1 in 18 Nov 2016 Draft is Section 20 (4) in 26 Apr 2016 Draft) 

Surveillance of Encrypted Communication: Section 20 also gives the Minister power to issue additional rules to facilitate data blocking/removal. In the "reasons for amendment" document attached with the draft submitted to NLA, it said it is necessary to have a "special method and tools" to block a web page that use public-key encryption. -- Read Thai Netizen Network analysis on this and how it related to MICT "Single Gateway" project (in Thai) https://thainetizen.org/2016/05/single-gateway-back-ssl-censorship/

References:

Read the Bill in English: https://thainetizen.org/docs/cybercrime-amendment-20160426-th-en/
Sweeping Censorship: New Computer crime laws would give government control of internet(Coconut Bangkok)

If you don't agree with the Amendment proposal, please sign the Petition.

https://www.change.org/p/สนช-หยุด-single-gateway-หยุดกฎหมายล้วงข้อมูลส่วนบุคคล

This petition will be delivered to:
สภานิติบัญญัติแห่งชาติ
สมาชิกสภานิติบัญญัติแห่งชาติ
สภานิติบัญญัติแห่งชาติ
คณะกรรมาธิการวิสามัญพิจารณาร่างพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

Read the lette

เครือข่ายพลเมืองเน็ต started this petition with a single signature, and now has 41,379 supporters. Start a petition today to change something you care about.