วันศุกร์, เมษายน 01, 2559

มันใกล้เข้ามาแล้ว! ร่างกฏหมายความมั่นคงดิจิตัล



รูปประกอบจาก เครือข่ายพลเมืองเน็ต


บทเรียนจากการสอดส่องประชาชนในต่างประเทศ: เมื่อรัฐลุแก่อำนาจและทำลายเศรษฐกิจดิจิทัล


ที่มา เวป ILAW
31 มี.ค. 2559

ชุดกฎหมายมั่นคงดิจิทัลกำลังจะกลับมา หลังจากคณะกรรมการกฤษฎีกาได้พิจารณาร่างกฎหมายดังกล่าวเสร็จสิ้น ก่อนที่จะส่งให้คณะรัฐมนตรีพิจารณาให้ความเห็นชอบและส่งให้สภานิติบัญญัติแห่งชาติพิจารณาต่อไป ทั้งนี้ ในหลักการและเนื้อหาสาระของกฎหมายยังคงมีปัญหาที่ควรถกเถียงกันอีกมา โดยบทเรียนจากต่างประเทศก็ได้พิสูจน์แล้วว่า การให้อำนาจเจ้าหน้าที่ในกฎหมายจนเกินความจำเป็นและไม่ได้สัดส่วนเหล่านี้ ไม่มีประสิทธิภาพในการปราบปรามการกระทำความผิด และเสี่ยงต่อการใช้ในทางที่ผิด รวมถึงอาจส่งผลเสียต่อสิ่งที่เรียกว่า “เศรษฐกิจดิจิทัล” อีกด้วย

ประเทศไทยเองก็เป็นอีกประเทศหนึ่งที่รัฐบาลกำลังพิจารณากฎหมายที่ให้อำนาจ สอดส่องประชาชน หรือที่ภาคประชาสังคมเรียกกันว่า “ชุดกฎหมายมั่นคงดิจิทัล” ทั้งนี้ ชุดกฎหมายมั่นคงดิจิทัลเคยถูกภาคประชาสังคมคัดค้านถึงผลเสียในเรื่องสิทธิความเป็นส่วนตัวกับผลเสียที่อาจเกิดขึ้นกับแนวทางการส่งเสริมเศรษฐกิจดิจิทัล และรัฐบาลจึงผ่อนคลายท่าทีในการผลักดันกฎหมายดังกล่าวลง พร้อมทั้งมีสัญญาใจกับประชาชนว่าจะนำไปปรับปรุงแก้ใหม่ให้ดีขึ้น

อย่างไรก็ดี ชุดกฎหมายดังกล่าวกำลังจะกลับมาอีกครั้ง ดังนั้น เพื่อป้องกันปัญหาแบบเดิมจึงขอทวนความจำปัญหาของกฎหมายและส่องดูปัญหาเท่าที่ทราบของร่างกฎหมายใหม่ รวมถึงลงละเอียดให้ชัดว่ากฎหมายสอดส่องไม่มีประสิทธิภาพและเสี่ยงต่อการใช้ในทางที่ผิดอย่างไร

ปัญหาเดิมของชุดกฎหมายมั่นคงดิจิทัลคือ เปิดช่องให้ สอดส่อง-คัดกรอง-ปิดกั้นข้อมูลได้อย่างอิสระ และการคุ้มครองข้อมูลค่อนข้างต่ำ

ตัวอย่างของกฎหมายบางฉบับในชุดกฎหมายมั่นคงดิจิทัลที่มีปัญหา ได้แก่ ร่างพ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือที่เรียกกันสั้นๆ ว่า พ.ร.บ. ความมั่นคงไซเบอร์ฯ จุดเด่นของร่างกฎหมายฉบับนี้ก็คือ มาตรา 35 เพราะมาตราดังกล่าวให้อำนาจเจ้าพนักงานสามารถเรียกให้หน่วยงานของรัฐหรือบุคคลใดๆ มาให้ถ้อยคำ หรือนำส่งเอกสารต่างๆ และยังสามารถส่งหนังสือ "ขอความร่วมมือ” ให้หน่วยงานราชการหรือหน่วยงานเอกชน ดำเนินการเพื่อประโยชน์ในการปฏิบัติหน้าที่ของคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ รวมไปถึงให้อำนาจเจ้าพนังานเข้าถึงข้อมูลการติดต่อ สื่อสาร ทั้งทางไปรษณีย์ โทรเลข โทรศัพท์ โทรสาร คอมพิวเตอร์ หรืออุปกรณ์สื่อสารอิเล็กทรอนิกส์หรือสื่อเทคโนโลยีสารสนเทศอื่น เพื่อประโยชน์ในการรักษาความมั่นคงไซเบอร์ ภายใต้หลักเกณฑ์ที่คณะรัฐมนตรีกำหนดได้อีกด้วย

กล่าวโดยสรุปก็คือ เจ้าพนังงานมีอำนาจในการเข้าถึงข้อมูลการสื่อสาร โดยไม่ต้องมีหมายศาล และยังสามารถปิดกั้น บล็อก แบน เนื้อหา ได้อย่างอิสระ

แม้ว่าในกฎหมายในชุดดังกล่าว จะมี ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล อยู่ด้วยแต่ว่า ในมาตรา 23 (5) ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล กลับเปิดช่องไว้อีกว่า การเก็บรวมรวมข้อมูลส่วนบุคคลบางกรณีไม่จำเป็นต้องได้ “มาตรฐาน” เช่นเดียวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล แต่ให้เป็นไปตามกฎหมายอื่น นั้นเท่ากับว่า สิทธิความเป็นส่วนตัวของประชาชนที่จะได้รับการคุ้มครองตามกฎหมายนี้ก็จะถูกลดทอนลง เช่น หากเป็นการเข้าถึงข้อมูลส่วนบุคคลตามกฎหมาย พ.ร.บ. ความมั่นคงไซเบอร์ฯ ก็สามารถละเมิดความเป็นส่วนตัวได้ ซึ่งจะมากหรือน้อยก็ขึ้นอยู่กับหลักเกณฑ์ที่คณะรัฐมนตรีจะเป็นผู้กำหนดในภายหลัง

ร่างแก้ไขใหม่เพิ่มอำนาจปิดกั้นเนื้อหา แต่มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายยังไม่ดีขึ้นเท่าไร

จากข้อมูลของ เครือข่ายพลเมืองเน็ต ซึ่งติดตามร่างกฎหมายดังกล่าวอย่างใกล้ชิดได้สรุปชุดกฎหมายมั่งคงดิจิทัลบางฉบับที่ผ่านการพิจารณาของคณะกรรมการกฤษฎีกาไว้ดังนี้

ร่างพ.ร.บ.คอมพิวเตอร์ฯ ร่างใหม่จากกฤษฎีกา – เพิ่มมาตรา 14/1 เพิ่มบทลงโทษเนื้อหาด้านความมั่นคง-สร้างความตื่นตระหนก ทำให้ร่างกฎหมายนี้ยังเปิดช่องให้ถูกใช้เป็นเครื่องมือปราบปรามผู้เห็นต่างทางการเมืองได้

ร่างพ.ร.บ.คุ้มครองข้อมูลฯ ร่างใหม่จากกฤษฎีกา – คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ไม่เป็นอิสระ มีแนวโน้มทำงานคุ้มครองไม่ได้จริง เนื่องจากทำงานใต้โครงสร้างกระทรวง และต้องพึ่งพาสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ อย่างมาก (ตามมาตรา 16) นอกจากนี้กรรมการยังมาจากหน่วยงานรัฐในสัดส่วนสูง ทำงานไม่เต็มเวลา และอาจมีประโยชน์ขัดกัน

ร่างพ.ร.บ.ความมั่นคงไซเบอร์ – ยังไม่มีร่างใหม่ให้ประชาชนเห็น ทั้งที่ใกล้ส่งเข้าสนช.แล้ว

เครือข่ายพลเมืองเน็ต ยังตั้งข้อสังเกตไว้อีกด้วยว่า ที่ผ่านมารัฐบาลพยายามจะดักรับข้อมูลของประชาชน เช่น มีการจัดตั้งคณะทำงาน-จัดซื้อเครื่องมือ และจะใช้มาตรา 33, 34 และ 35 ของ ร่าง พ.ร.บ.ความมั่นคงไซเบอร์ฯ เพื่อให้ใช้เครื่องมือเหล่านี้ได้ถูกกฎหมาย

ซึ่งจากข้อมูลในส่วนนี้ก็เพียงพอจะบอกกับสังคมได้ว่า ราคาที่ต้องจ่ายสำหรับคำว่า "ความมั่นคงของชาติ" ก็คือ ประชาชนจะต้องพกพาดวงตาและใบหูของรัฐไปด้วยทุกหนทุกแห่งซึ่งสอดแทรกอยู่ตามโครงข่ายการสื่อสาร ไม่ว่าคุณจะติดต่อผ่านคอมพิวเตอร์ โทรศัพท์มือถือ หรือสื่อเทคโนโลยีสารสนเทศอื่นๆ มิใช่แค่นั้น รัฐยังมีฝ่ามือในการปิดบังดวงตาของคุณเมื่อรัฐเห็นว่ามีเนื้อหาที่ไม่เหมาะสมสำหรับคุณได้อย่างอิสระอีกด้วย หากว่าชุดกฎหมายความมั่นคงดิจิทัลยังไม่ได้รับการแก้ไขให้ดีขึ้นอย่างแท้จริง

บทเรียนจากต่างประเทศ: กฎหมายสอดส่องไม่มีประสิทธิภาพและมีโอกาสถูกนำไปใช้ในทางที่ผิด

ถึงแม้ว่าหลายประเทศที่กำลังเผชิญหน้ากับการก่อการร้ายมีท่าทีจะสนับสนุน “กฎหมายสอดส่อง” แต่ทว่า บทเรียนจากสหรัฐอเมริกาหนึ่งในประเทศที่เต็มไปด้วยปัญหาการสอดส่องข้อมูลส่วนบุคคลไม่แพ้ชาติใดในโลก กลับมีข้อเท็จจริงเกี่ยวกับกฎหมายดังกล่าวว่า “ไม่ได้มีประสิทธิภาพยอดเยี่ยมอย่างที่คิด” โดย ข้อมูลจากมูลนิธิ New America ระบุว่า จากการศึกษาและวิเคราห์ข้อมูลจากผู้ที่ถูกตั้งข้อหาว่าเกี่ยวข้องกับการก่อการร้ายพบว่า การสอดส่องของฝ่ายความมั่นคงตามกฎหมาย “รัฐบัญญัติรักชาติสหรัฐฯ ปี 2001” หรือ Patriot Act สามารถช่วยระบุผู้ต้องสงสัยได้ 1.8 เปอร์เซ็น จากจำนวนคดีความมั่นคงที่จับกุมได้ทั้งหมด

อีกทั้ง การสอดส่องบุคคลที่ไม่ใช่พลเมืองสหรัฐฯ ตามกฎหมาย “รัฐบัญญัติสอดส่องข่าวกรองต่างประเทศ” หรือ FISA ช่วยระบุตัวผู้ต้องสงสัยได้ 4.4 เปอร์เซ็น ส่วนการสอดส่องโดยไม่มีกฎหมายรองรับอย่างชัดเจนช่วยให้ระบุตัวผู้ต้องสงสัย ได้ 1.3 เปอร์เซ็น ทั้งนี้ ในรายงานดังกล่าวระบุอีกว่า การสอบสวนด้วยวิธีการปกติอาจจะให้ผลลัพธ์ที่ดีกว่า

นอกจากนี้ ยังมีกรณีที่รัฐใช้การสอดส่องสอดแนมมาใช้ในทางที่ผิดอีก เช่น เอธิโอเปีย ที่มีรายงานของ Human Rigth Watch ว่ารัฐบาลใช้ข้ออ้างเรื่องการต่อสู้กับผู้ก่อการร้ายเพื่อสอดส่องข้อมูลการสื่อสาร แต่ในความเป็นจริงแล้วใช้ไปเพื่อจำกัดความเห็นต่าง นำไปสู่การจับกุมคุมขัง การสอบสวนโดยไม่ชอบโดยเฉพาะกับนักเคลื่อนไหวเพื่อสิทธิมนุษยชน และยังมีกรณีที่เจ้าหน้าหน่วยงานข่าวกรองอเมริกัน หรือ National Security Agency (NSA) ใช้ระบบสอดแนมในทางมิชอบหลายกรณี เช่น สอดแนมคนที่สนใจเพื่อจะจีบเป็นแฟน

บทเรียกจากอเมริกา: อย่าให้ความมั่นคงดิจิทัลมาทำลายการพัฒนาเศรษฐกิจดิจิทัล

จากบทความ “หัวใจของเศรษฐกิจดิจิทัล” โดย สฤณี อาชวานันทกุล แสดงให้เห็นถึงความเห็นของนักธุรกิจในสายไอทีเกี่ยวความเสียหายจากการสอดส่องสอดแนมความเป็นส่วนตัวของประชาชนในประเทศสหรัฐอเมริกา อย่างเช่น

อีริก ชมิตท์ ประธานเจ้าหน้าที่บริหารบริษัท กูเกิล ยักษ์ใหญ่ในวงการ ยืนยันออกสื่อตลอดมาว่า มหกรรมการ “ลุแก่อำนาจ” ของเอ็นเอสเอกระทบต่อธุรกิจอย่างมหันต์ อีกทั้ง งานวิจัยจาก Information Technology and Innovation Foundation ประเมินว่าเฉพาะอุตสาหกรรม คลาวด์ คอมพิวติ้ง (cloud computing) หรือธุรกิจให้บริการใช้หรือเช่าใช้ระบบคอมพิวเตอร์หรือทรัพยากรด้านคอมพิวเตอร์ เช่น บริการพื้นที่ฝากไฟล์บนอินเทอร์เน็ต อย่าง iCloud บน iPhone, iPad หรือ Google Drive ก็มีความสุ่มเสี่ยงที่จะสูญธุรกิจมูลค่าถึง 22,000-35,000 ล้านเหรียญสหรัฐตลอดระยะเวลาไม่กี่ปีข้างหน้า

หรือ แบรด สมิธ หัวหน้าฝ่ายกฎหมายของไมโครซอฟท์ ที่ประสานเสียงและเสริมชมิตท์ว่า “คนไม่ไปฝากเงินกับธนาคารที่พวกเขาไม่ไว้ใจ เช่นกัน คนจะไม่ใช้อินเทอร์เน็ตที่พวกเขาไม่ไว้ใจ”

และ แรมซีย์ ฮอมซานี หัวหน้าฝ่ายกฎหมายของดร็อพบ็อกซ์ (Dropbox) บริการฝากไฟล์ออนไลน์ที่ได้รับความนิยมเป็นอันดับต้นๆ ในโลก ย้ำว่า “ความไว้วางใจ” คือหัวใจของเศรษฐกิจอินเทอร์เน็ต แต่ความไว้วางใจนี้กำลังถูก “บ่อนทำลายจากภายใน” ด้วยนโยบายด้านความมั่นคงของรัฐที่ทำเกินกว่าเหตุ

จากความคิดเห็นของนักธุรกิจไอทีชั้นนำของโลก ก็เป็นภาพสะท้อนอีกมุมหนึ่งว่า หากประชาชนไม่มีความไว้วางใจต่อความเป็นส่วนตัวบนโลกอินเทอร์เน็ตและความมั่นคงปลอดภัยในข้อมูล เพราะเสี่ยงต่อการสอดส่องสอดแนมของรัฐได้ตามอำเภอใจแล้วล่ะก็ ความมั่นคงและยั่งยืนของเศรษฐกิจดิจิทัลจะไม่สามารถดำรงอยู่ได้อีกต่อไป

โดยหลักแล้ว ไม่ใช่ว่ารัฐไม่สามารถเข้าถึงข้อมูลส่วนบุคคลของประชาชนได้เลย แต่การเข้าถึงนั้นต้องไปตามหลักความจำเป็นและได้สัดส่วน และมีระบบตรวจสอบถ่วงดุลที่เชื่อถือได้ เพื่อป้องกันไม่ให้เกิดการลุแก่อำนาจ นำไปสู่การละเมิดสิทธิมนุษยชนและทำลายเศรษฐกิจดิจิทัล ดังนั้น หากรัฐจำเป็นจะต้องมีกฎหมายสอดส่องเพื่อรับมือกับภัยก่อการร้ายอย่างแท้จริง ก็ต้องมีการรับประกันว่า

การเข้าถึงข้อมูลของประชาชนเป็นไปโดยมีเหตุผลรองรับชัดเจนว่า ข้อมูลที่เข้าถึงจะถูกใช้เพื่อสิ่งใด และกฎหมายต้องกำหนดมาตรฐานการเข้าถึง การเก็บข้อมูล ให้เป็นไปตามหลักความจำเป็นและได้สัดส่วน เช่น ต้องมีความโปร่งใสให้ตรวจสอบได้ว่าใช้วิธีการเก็บข้อมูลแบบใด เก็บข้อมูลชนิดใดบ้าง เป็นระยะเวลาเท่าใด รวมไปถึงต้องมีกลไกตรวจสอบประสิทธิภาพ และตรวจสอบว่าการใช้อำนาจดังกล่าวถูกต้องหรือไม่ และต้องจัดให้มีหน่วยงานรับเรื่องร้องเรียนหรือทำหน้าที่ในการตรวจสอบการใช้อำนาจ และมีกระบวนการเยียวยาหากเกิดความเสียหายขึ้นอีกด้วย