เปิดคำอธิบาย ‘ร่าง พ.ร.บ.มั่นคงไซเบอร์’ จากมุมผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์

หมายเหตุ: เนื้อหาบทความดังกล่าวเป็นของ ดร.ภูมิ ภูมิรัตน กรรมการผู้ทรงคุณวุฒิในคณะกรรมการเตรียมการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ที่เผยแพร่ทางเฟสบุ๊กส่วนตัวเมื่อวันที่ 1 มีนาคม 2562 
โดยเนื้อหาเป็นการแลกเปลี่ยนประเด็นจากบทความ ร่าง พ.ร.บ.มั่นคงไซเบอร์ฯ 62: เปิดช่องเจ้าหน้าที่รัฐ "สอดส่อง" คนเห็นต่างได้ บนเว็บไซต์ ilaw.or.th ที่เผยแพร่ตั้งแต่วันที่ 25 กุมภาพันธ์ 2562
ทั้งนี้ ทาง iLaw เห็นว่าบทความของ ดร.ภูมิ ภูมิรัตน เป็นประโยชน์ต่อการทำความเข้าใจ ตีความ ร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ หลัง สภานิติบัญญัติแห่งชาติ เห็นชอบ ร่างกฎหมายฉบับดังกล่าว ด้วยคะแนนเสียงเห็นชอบ 133 เสีย ไม่เห็นชอบ 0 เสียง และงดออกเสียง 16 เสียง ในวันที่ 28 กุมภาพันธ์ 2562 ภายใต้บรรยากาศการมีส่วนร่วมต่อกฎหมายในสภาเป็นไปอย่างจำกัด จึงเรียนขออนุญาตนำบทความาเผยแพร่ต่อ ดังนี้
//////////////////////////////////////////
ผมเขียนเรื่องนี้เป็นความคิดเห็นส่วนตัว ในฐานะหนึ่งในผู้ทรงคุณวุฒิกรรมการเตรียมการด้านความมั่นคงปลอดภัยไซเบอร์ ไม่ใช่ความเห็นของกรรมการแต่อย่างใด และเขียนขึ้นไม่ใช่เพื่อเจตนาบอกว่าใครผิดถูกอะไร แต่ผมกังวลกับกระแสถกเถียงกันที่รุนแรงมาก ทำให้แบ่งฝักแบ่งฝ่ายทะเลาะกัน เลยอยากลองชี้แจงข้อมูลเท่าที่ตัวเองทราบ เพื่อหวังว่าจะใช้ตรงนี้เป็นอีกหนึ่งพื้นที่พูดคุยแลกเปลี่ยนและสนทนากันอย่างสร้างสรรค์ร่วมกัน
กฎหมายนี้มีความซับซ้อน เขียนกันมานาน และมีหลายมาตราที่คาบเกี่ยวกัน จะเข้าใจกฎหมายนี้ไม่ง่าย ต้องอ่านหลายรอบ ผมแนะนำให้ทุกคนหามาอ่านเอง โดยร่างที่ผมใช้เป็นร่างอ้างอิงของบทความนี้คือร่างที่ผ่านกรรมาธิการแล้ว และเข้าไปโหวตที่สนช. ในวาระสองและสาม เมื่อวันก่อนที่ผ่านมา
เมื่อเข้า สนช ไป ก็ไม่แปลกที่จะมีคนวิพากษ์วิจารณ์ และยิ่งตอนผ่านออกมาแล้ว (โดยติเอกฉันท์เลยมั้ง) ก็มีกระแสวิจารณ์ที่แรงขึ้น อันที่เป็นกระแสแรงที่สุด น่าจะอันนี้ 
โดยแบ่งประเด็นเป็น 8 ประเด็นดังภาพในบทความดังนี้
1. นิยามภัยคุกคามไซเบอร์ตีความได้กว้าง ครอบคลุม "เนื้อหา" บนโลกออนไลน์
2. เจ้าหน้าที่รัฐสามารถ ขอข้อมูลจากใครก็ได้ เพื่อประโยชน์ในการทำงาน
3. กฎหมายให้อำนาจเจ้าหน้าที่ ยึด-ค้น-เจาะ-ทำสำเนา คอมพิวเตอร์ ระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์
4. เมื่อมีภัยคุกคามไซเบอร์ร้ายแรงขึ้นไป เจ้าหน้าที่รัฐ สามารถสอดส่องข้อมูลได้แบบ Real-time 
5. ในกรณีจำเป็นเร่งด่วน เจ้าหน้าที่สามารถใช้อำนาจได้โดยไม่ต้องขอหมายศาล
6. การใช้อำนาจยึด ค้น เจาะ หรือขอข้อมูลใดๆ ไม่สามารถอุทธรณ์ เพื่อยับยังได้
7. เมื่อมีภัยคุกคามไซเบอร์ระดับวิกฤต ให้เป็นอำนาจหน้าที่ของสภาความมั่นคงแห่งชาติ
8. ผู้ใดฝ่าฝืน และไม่ปฏิบัติ ตามคำสั่ง มีโทษปรับ และโทษจำคุก
ซึ่งในบทความของ ilaw ก็มีเขียนอธิบายตรรกะของ 8 อย่างไว้แล้ว ผมอาจจะมีหยิบมา quote บ้าง แต่แนะนำให้ผู้อ่านไปอ่านเองด้วย
นอกจากนั้นก็มี infographic/information warfare เกิดขึ้น มีคนอื่นมากหลายทำ infographic อื่นๆมากมาย ทั้งชี้แจงเพิ่มเติม ทั้งพยายามชี้แจงแก้ไข ระบุว่าจริงบ้างเท็จบ้าง ผมจะไม่กล่าวถึง เพราะถือเป็นความคิดเห็นของแต่ละคนที่ทำได้ (เหมือนผมทำอยู่ในบทความนี้) และผมไม่ได้มีเจตนาไปวิจารณ์ความคิดเห็นของคนเหล่านั้น ผมจะพูดคุยแต่เฉพาะกับเนื้อหาของภาพและบทความที่กล่าวขึ้นข้างต้น
บทความนี้จะเน้นจำแนกแจกแจงคำวิจารณ์ของ ilaw ที่กำลังเป็นกระแสถกเถียง ณ เวลานี้ ในโอกาสหน้า ผมจะลองหาเวลามาจำแนกแจกแจงตัวบทกฎหมายไซเบอร์ (และ privacy ด้วย) จากมุมมองของผมเองอีกทีหนึ่งนะครับ แต่อันนั้นยาวกว่ามาก และจะต้องใช้เวลารวบรวมข้อมูลและความคิดนิดหน่อย วันนี้จึงจะขอพูดแต่เฉพาะประเด็นที่เป็นกระแสอยู่ โดยมีเป้าเพื่อชี้แจงและให้ความเข้าใจที่ชัดเจนกันกับทุกฝ่าย เพื่อลดความขัดแย้งถกเถียง และชักชวนให้ทุกคนมาคุยกันในมิติที่สร้างสรรค์แทนการใช้อารมณ์และกระแสหักล้างกันครับ
1. ilaw กล่าวว่า "นิยามภัยคุกคามไซเบอร์ตีความได้กว้าง ครอบคลุม "เนื้อหา" บนโลกออนไลน์"
นิยามภัยคุกคามไซเบอร์ อยู่ในมาตรา 3 ของ พรบ. ซึ่งเขียนว่า
ภัยคุกคามไซเบอร์ หมายความว่า การกระทำหรือการดำเนินการใดๆ โดยมิชอบโดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง
ซึ่งนิยามนี้ก็ค่อนข้างชัดเจนว่าหมายถึงการโจมตีระบบคอมพิวเตอร์ หรือภาษาในวงการ IT เรียกว่าการแฮกกันนั่นแหละ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง ก็ยากจะตีความไปรวมถึงเนื้อหาออนไลน์ เพราะจริงๆหมายถึง data ของโปรแกรมต่างๆ ไม่ได้หมายความรวมถึงเนื้อหา (ยกเว้นกรณีเดียวคือเนื้อหากับ data ไปปนกัน เช่นการแฮกบนระบบเวบด้วยเทคนิกเช่น sql inject/xss ซึ่งคำสั่ง (sql command หรือ html/script ที่ถูก inject เข้าไป) ไปปนอยู่กับ content (http request/response) ซึ่งก็ไม่ได้หมายความรวมถึงเนื้อหาบนโลกออนไลน์โดยทั่วไป
นิยามนี้ก็ถือว่าเขียนมาได้ดีพอควร แต่ ilaw เขาไม่ได้หมายความถึงมาตรา 3 อย่างเดียว เพราะมาตรา 59 ได้ไปจำแนกเพิ่มเติม คือแบ่งภัยคุกคามไซเบอร์เป็น 3 ระดับ คือระดับ ไม่ร้ายแรง ร้ายแรง และวิกฤต
ซึ่งในนิยามของวิกฤต มีสองข้อความย่อยที่ ilaw เขากังวล คือวงเล็บที่สอง (ถ้าใครอ่านในร่างกฎหมายข้างต้น มันคือ มาตรา 59(3)(ค) (เพราะ(ข) ถูกตัดออกทั้งหมด) ซึ่งนิยามของระดับวิกฤต นี้เขียนว่า
(ภัยคุกคามทางไซเบอร์ในระดับวิกฤต หมายถึง…) เป็นภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐ หรืออาจทำให้ประเทศหรือส่วนใดส่วนหนึ่งของประเทศตกอยู่ในภาวะคับขัน หรือมีการกระทำความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา การรบหรือการสงคราม ซึ่งจำเป็นต้องมีมาตรการเร่งด่วนเพื่อรักษาไว้ซึ่งการปกครองระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรงเป็นประมุขตามรัฐธรรมนูญแห่งราชอาณาจักรไทย เอกราช และบูรณภาพแห่งอาณาเขต ผลประโยชน์ของชาติ การปฏิบัติตามกฎหมาย ความปลอดภัยของประชาชน การดำรงชีวิตโดยปกติสุขของประชาชน การคุ้มครองสิทธิเสรีภาพ ความสงบเรียบร้อย หรือประโยชน์ส่วนรวม หรือการป้องปัดหรือแก้ไขเยียวยาความเสียหายจากภัยพิบัติสาธารณะอันมีมาอย่างฉุกเฉินและร้ายแรง
ซึ่งอ่านแล้วก็จะเห็นชัดเจน ว่าภาษาที่ใช้ตรงนี้ ไม่ได้เกี่ยวอะไรกับโลกไซเบอร์เลย (เป็นผลทั้งสิ้น) กล่าวคือ หากภัยในโลกไซเบอร์ใดนำไปสู่ปัญหาเหล่านี้ ก็ให้หมายรวมไปด้วยว่าภัยในโลกไซเบอร์ที่ทำให้เกิดสิ่งเหล่านี้นั้นเป็นภัยที่วิกฤต ผู้วิจารณ์ ilaw จึงกังวลว่า ข้อความเหล่านี้นั้นกว้าง และในอดีต มีการใช้ถ้อยคำเหล่านี้ในมิติของ เนื้อหาบนโลกออนไลน์มาก่อน ทำให้กังวลว่าอาจเป็นช่องทำให้ใช้เนื้อหาของ พรบ นี้ไปตีความแบบนั้นได้ด้วย นั่นคือความกังวลของ ilaw
จะเข้าใจตรงนี้ ต้องอธิบายกรอบการใช้นิยามนี้เพิ่มอีกนิดหน่อย คือ พรบ ไซเบอร์ ให้อำนาจคณะกรรมการมั่นคงปลอดภัยไซเบอร์ เป็นคนกำหนดและตีความการใช้นิยามเหล่านี้ แปลว่าคนที่ตีความสิ่งเหล่านี้ คือคณะกรรมการมั่นคงปลอดภัยไซเบอร์
ส่วนตัว ผมมองอย่างนี้ครับ คือนิยามดังกล่าว อาจถูกตีความแบบนั้นได้จริง ปฏิเสธไม่ได้ว่าคนจะตีความแบบนั้นได้ แต่ก็มีทางสู้ ถ้ามีคณะกรรมการไซเบอร์ตีความแบบนั้น คือนิยามข้างต้นมันขึ้นต้นว่า "เป็นภัยคุกคามทางไซเบอร์…" แปลว่าที่เหลือของทั้งย่อหน้า ต้องขยายข้อความนี้ แปลว่าสิ่งใดที่ไม่ใช่ ภัยคุกคามทางไซเบอร์ ตามมาตรา 3 ซึ่งไม่รวมเนื้อหา ออนไลน์ ย่อมไม่ใช่ด้วย นี่คือวิธีตีความของผม แปลว่าข้อกังวลนี้ของ ilaw ผมไม่เห็นด้วย ถ้าหากกรรมการไซเบอร์ไปตีความแบบนั้น ก็น่าจะผิดวัตถุประสงค์ของนิยาม
แต่ผมก็เข้าใจความกังวลของ ilaw เพราะเราก็เห็นได้ชัดว่ามีการตีความกฎหมายแปลกๆในการบังคับใช้ในบ้านเราอยู่เสมอๆ โดยเฉพาะ พรบ คอมพิวเตอร์ และ ณ เวลาปัจจุบัน กฎหมายยังไม่ได้ถูกนำมาบังคับใช้ การตีความของ ilaw หรือของผม ก็ยังไม่ได้มีการถูกนำไปฟ้องต่อศาล ให้ตัดสินออกมาว่าใครตีความถูกต้อง และยังไม่มีกรรมการไซเบอร์ มาลองใช้นิยามนี้ ว่าจะใช้ไปในทิศทางไหนด้วยซ้ำ
แปลว่า ความกังวลของ ilaw นั้น ผมให้ได้แค่ว่า "อาจจะจริง" คืออาจจะมีความพยายามไปทำเช่นนั้น เราต้องไปรอดูกันอีกที ผมจึงคิดว่า ข้อความของ ilaw อาจแก้ไขได้ดีกว่าให้ตรงกว่า เพื่อให้สังคมเข้าใจผิดน้อยลงนิดหน่อยได้ เช่น เขียนว่า "นิยามระดับภัยคุกคามไซเบอร์ อาจถูกนำไปตีความขยายให้เกินจนครอบคลุม "เนื้อหา" บนโลกออนไลน์" แทนอันเดิม เพื่อบ่งชี้เลยว่าประเด็นอยู่ที่มาตรา 59 ไม่ใช่มาตรา 3 และการตีความเพื่อให้ครอบคลุม "เนื้อหา" นั้นน่าจะถูกมองว่าเป็นการทำผิดไปจากเจตนารมณ์ของกฎหมาย ถ้าเขียนเช่นนี้ ทางออกของปัญหานี้ อาจจะมีได้หลากหลายรูปแบบมากกว่าการมาเถียงกันว่าจริงไม่จริง เช่น
1. ส่วนของคนร่างกฎหมายและภาคสังคม ต้องช่วยกันมาคัดเลือกรกรมการไซเบอร์ ให้เชี่ยวชาญเรื่องนี้จริง เอาอำนาจไปใช้อย่างถูกต้อง ไม่ไปใช้ผิดทาง
2. ภาคสังคมต้องช่วยกันติดตามดูการปฏิบัติงานของกรรมการเมือถูกแต่งตั้งแล้ว
3. ทุกฝ่ายต้องช่วยกันให้ความรู้ว่าประเด็นของกฎหมายจริงๆคืออะไร เพื่อช่วยกันดูแลไม่ให้มีการ abuse ดังกล่าว
ข้อวิจารณืข้อที่สอง
2. ilaw กล่าวว่า "เจ้าหน้าที่รัฐสามารถ ขอข้อมูลจากใครก็ได้ เพื่อประโยชน์ในการทำงาน"
อันนี้ ilaw น่าจะหมายถึง มาตรา 61 ซึ่งเป้าของ พรบ. คือกรรมการ และเลขาธิการ สามารถขอความร่วมมือจากใครก็ได้ให้ให้ข้อมูล เพื่อประโยชน์ในการทำงาน เพื่อวิเคราะห์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ ซึ่งหมายความกว้าง เพื่อเตรียมการก็ได้ เพื่อรับมือก็ได้ ได้ทั้งหมด
แปลว่าที่ ilaw เขียนนั้น มีอยู่ในกฎหมายจริง
โดยเป้าหมายของอำนาจนั้นคือเพื่อให้กรรมการสามารถทำงานได้ สามารถขอความร่วมมือ ขอข้อมูลมาทำงานได้ ก็เป็นอำนาจที่ควรมี โดยถ้าใครปฏิบัติตามคำขอโดยสุจริตแล้ว ให้ได้รับความคุ้มครอง ไม่ถือว่าผิดสัญญา แปลว่าต่อให้เป็นข้อมูลที่เดิมติดพันธะสัญญาไว้ ไม่สามารถเปิดเผยได้ ถ้ากรรมการขอ ก็เปิดเผยให้กรรมกาได้ ไม่ผิดสัญญา อันนี้เป็นเรื่องปกติทั่วไปของระบบการทำงาน ถ้าอ่านแค่มาตรา 61 ก็จะตีความได้ว่ามีไว้ขอความร่วมมือ เอกชนหรือองค์กรดังกล่าวจะให้ไม่ให้ก็ไม่เป็นไร แค่เขียนมาไว้ปกป้องว่าถ้าให้ ก็ทำได้ ไม่ต้องไปกลัวผิดกฎหมายอื่น แต่…
ที่น่ากังวล และ ilaw ไม่ได้พูดถึง คือบทลงโทษมาตรา 73 ระบุว่า ใครก็ตามแต่ที่กรรมการขอข้อมูลไปตาม 61(1) หรือ 61(2) แล้วไม่ส่งข้อมูลให้โดยไม่มีเหตุอันควร มีความผิดต้องโทษปรับไม่เกินหนึ่งแสนบาท
ถ้าไปอ่านบทลงโทษที่มาตรา 73 แล้ว จะพบว่า ความหมายของมาตรา 61 เปลี่ยนไป คือเอกชนจริงๆต้องให้ข้อมูล ยกเว้นมีเหตุอันควรไม่ให้ ซึ่งในกฎหมายไม่มีระบุเหตุอันควรเลย แปลว่าขึ้นอยู่กับการตีความของกรรมการไซเบอร์ หรือศาลถ้าเอกชนฟ้องร้อง ความหมายของมาตรา 61 จึงเปลี่ยนไปจากการขอความร่วมมือ เป็นการเรียก หรือภาษาอังกฤษ เขาใช้คำว่า compel ข้อมูล คือขอ แต่ไม่ให้ไม่ได้
ซี่งแปลว่า ที่ ilaw กังวลนั้น มีอยู่ในกฎหมายจริง และข้อความของ ilaw ควรเขียนให้แข็งขันขึ้น คือ "เจ้าหน้าที่รัฐสามารถ เรียกข้อมูลจากใครก็ได้ เพื่อประโยชน์ในการทำงาน หากไม่ให้ อาจมีความผิด"
ถามว่าอันนี้เป็นประเด็นที่ต้องกังวลขนาดไหน ก็ถ้าเป็นการปฏิบัติหน้าที่โดยปกติ ก็คงไม่มีปัญหาอะไร แต่อาจคล้ายข้อ 1 คือถ้ามีการ abuse อำนาจนี้ ก็อาจเป็นปัญหาได้ถ้ามองลึกๆ แบบผมเสนอแนะว่ามุมที่เราควรคุยกันคล้ายข้อ 1 คือ
1. เราควรมีกลไกใดในการ monitor การใช้อำนาจตามมาตรานี้เพิ่มเติมบ้าง กรรมการอาจไปออกเป็นมาตรการหรือกฎเกณฑ์เพิ่มเติมในการใช้อำนาจนี้ได้ ควรมีอะไรบ้าง
2. เราควรมีความชัดเจนในกลไกการปฏิเสธไม่ให้ความร่วมมือหรือไม่ อย่างไร?
ข้อ 3 ilaw เขียนว่า "กฎหมายให้อำนาจเจ้าหน้าที่ ยึด-ค้น-เจาะ-ทำสำเนา คอมพิวเตอร์ ระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์"
ตรงนี้น่าจะเป็นอำนาจตามมาตรา 65 ในร่างกฎหมาย (โดยเฉพาะ 65(2))
ขอชี้แจงส่วนตัวไว้เลย ตอนร่างกฎหมายนี้ ผมเคยเสนอหลายหนแล้วว่าควรเอามาตรานี้ออก หรืออย่างน้อย หลายๆวงเล็บ (รวมวงเล็บ 2) ควรเอาออก แต่ไม่สำเร็จ เพราะทีแรกนั้นมาตรา 65 ไม่ต้องขออำนาจศาล แต่ตอนนี้ต้องขออำนาจศาลแล้ว จึงไม่เหมือนกันแล้ว ผมต้องชี้แจงไว้ก่อนเลยว่าผมเคยเสนอให้เอาออก เพราะไม่งั้นจะมีคนมาสงสัยเจตนาผมได้เพราะได้เคยแสดงออกว่าไม่เห็นด้วยกับมาตรานี้แต่ต้นแล้ว เพื่อ transparency ให้ทุกคนได้ทราบเหมือนกัน
มาตรานี้ มีบังคับว่าถ้าเป็น (2)(3)(4) ต้องขอศาลก่อน ในระดับร้ายแรง
แต่ ilaw ได้อ้างอิงมาตรา 67 ไว้ด้วย ว่าถ้าคิดว่าเร่งด่วน ไม่ต้องขอหมายศาล แต่อันนี้ผมไม่เห็นด้วย เพราะมาตรา 67 เขียนไว้ว่าต้องเร่งด่วนและวิกฤต ด้วย ถึงจะไม่ต้องขอหมายศาล มาตรา 65 ไว้ใช้ในระดับร้ายแรงเท่านั้น ไม่ใช่ระดับวิกฤต (เพราะระดับวิกฤต มีเขียนมในมาตรา 66 ว่าให้ไปใช้อำนาจของสภาความมั่นคงแห่งชาติได้เลย) ผมเลยงงนิดหน่อยว่า มาตรา 67 ที่บอกว่าเร่งด่วนและวิกฤต ไม่ต้องขอศาลล่วงหน้า ไปรายงานทีหลัง มีไว้ทำไม ในเมื่อ พรบนี้ ไม่ได้ให้อำนาจระดับวิกฤต ไว้กับกรรมการเลย มาตรา 67 วรรคสอง ให้อำนาจในระดับร้ายแรงไว้เพิ่มเติม คือถ้าร้ายแรงและเร่งด่วน แต่อันนั้นเดี๋ยวเราพูดถึงอีกทีตอนพูดถึงการดักข้อมูล real-time (ซึ่งเป็นข้อถัดไป)
ฉะนั้น ข้อนี้ของ ilaw ผมคิดว่าต้องแก้ ให้เพิ่มเติมว่าโดยต้องขอหมายศาลก่อนด้วย มาตรานี้น่าจะรัดกุมอยู่แล้ว
แต่มีอยู่มุมหนึ่งที่ผมคิดว่าควรวิจารณ์ คือมาตรา 68 บอกไว้ว่าอำนาจตามมาตรา 65 นี้ ผู้ถูกสั่ง อุทธรณ์ไม่ได้ ซึ่งขัดหลัก rule of law และ due process และหากไม่ปฏิบัติตาม บทลงโทษในมาตรา 75 มีทั้งโทษจำคุกและปรับ ซึ่งเมื่อเอามารวมกับ 68 ผมว่าไม่ควร เพราะอุทธรณ์ไม่ได้ แต่ถ้าไม่ทำ ก็จำคุก คืออำนาจที่บังคับกันชัดๆ และ abuse ได้ง่ายมาก ถึงแม้จะต้องมีอำนาจศาลแล้ว ก็ยังคิดว่าควรอุทธรณ์ได้ เพราะตอนกรรมการไปขออำนาจศาล ไปฝ่ายเดียว ขนหลักฐานและข้อมูลไปให้ศาลด้านเดียว ด้านผู้ถูกสั่งไม่ได้สามารถไปแก้ต่างให้ศาลเห็นหรือเข้าใจได้ เป็นการร้องขออำนาจด้านเดียว จึงควรให้อุทธรณ์ได้
สรุปคือ ผมว่า ilaw ผิดตรงนี้ คือไปวิจารณ์ผิดจุด จุดที่น่าวิจารณ์ไม่ใช่ไม่ต้องขออำนาจศาล (ตรงนั้นผิด เพราะต้องขอ) แต่เป็น due process และการอุทธรณ์ไม่ได้
ข้อ 4. Ilaw กล่าวว่า “เมื่อมีภัยคุกคามไซเบอร์ร้ายแรงขึ้นไป เจ้าหน้าที่รัฐ สามารถสอดส่องข้อมูลได้ แบบ Real-time”
สืบเนื่องข้อก่อนหน้า มาตรา 67 ให้อำนาจ ในระดับร้ายแรงกับกรรมการไว้ในวรรคสอง ให้สามารถขอข้อมูลที่เป็นปัจจุบันและต่อเนื่อง ซึ่งก็ชัดเจนว่าขอข้อมูล real-time โดยเจตนาของคนร่างน่าจะหมายถึงขอเข้าไป monitor traffic เพื่อตรวจจับ ซึ่งการกระทำดังกล่าว อาจทำให้สอดส่องข้อมูลได้ ผมจึงมองว่าสิ่งที่ ilaw เขียนนั้นมีมูล คือ มาตราดังกล่าวให้อำนาจดังกล่าวจริง (และอุทธรณ์ไม่ได้ด้วยตามมาตรา 68)
แต่มาตรานี้แปลก คือเขียนไว้ว่าผู้ถูกขอต้องให้ความร่วมมือและให้ความสะดวก โดยเร็ว แต่กลับไม่มีบทกำหนดโทษไว้ (แต่ก็ไม่มีกำหนดว่าต้องขออำนาจศาล) เลยดูแปลกๆ คือเป็นอำนาจสั่งได้ ห้ามไม่ทำตาม แต่ถ้าไม่ทำตาม ก็ไม่มีโทษอะไร ข้อเสียก็อาจจะมีเช่น เขียนให้อำนาจเจ้าหน้าที่รัฐไว้ ต่อให้ไม่มีบทลงโทษ คนทั่วไปก็อาจจะยอมปฏิบัติตามอยู่ดีเพราะไม่รู้ว่าไม่ทำไม่ผิดอะไร แค่เจ้าหน้าที่รัฐอ้างว่าเขามีอำนาจก็เป็นแรงกดดันแล้ว
ส่วนตัวผมยังไม่แน่ใจว่ามาตรานี้บังคับใช้อย่างไร ที่ ilaw เขียนนั้นจริง แต่ผมคิดว่าเป็นการกลัวเสือไม่มีเขี้ยวเล็บ
ข้อ 5. ilaw กล่าวว่า “ในกรณีจำเป็นเร่งด่วน เจ้าหน้าที่สามารถใช้อำนาจได้โดยไม่ต้องขอหมายศาล”
ตรงนี้ คงหมายถึงมาตรา 67 วรรคหนึ่ง ซึ่งได้ชี้แจงไปแล้วก่อนหน้านี้ ว่าเร่งด่วนจริง ไม่ต้องขอหมายศาลจริง แต่เฉพาะระดับวิกฤต ซึ่งแปลก เพราะมาตรา 66 บอกว่าระดับวิกฤต ให้ไปใช้อำนาจสภาความมั่นคงแห่งชาติไปแล้ว กรรมการไม่มีอำนาจอะไรเพิ่มเติมอีก
แต่ ถ้าจะตีความแบบคนช่างสงสัยหรือช่างกังวล ก็จะตีความได้ว่า ถ้าเร่งด่วน และวิกฤต ไปใช้อำนาจสภาความมั่นคงแห่งชาติ ซึ่งสภาความมั่นคงแห่งชาติ อาจมีอำนาจบางอย่างที่ถ้าจะใช้ต้องขอศาล เลยอาจใช้อำนาจเขากลับมาสั่งให้กรรมการไซเบอร์ ทำ โดยใช้มาตรา 67 ซึ่งเมื่อกรรมการไซเบอร์ทำ ไม่ต้องขอศาล ก็เป็นการ by-pass ศาลที่เดิมต้องมีตามอำนาจอื่นของสภาความมั่นคงแห่งชาติได้หรือไม่ ทั้งนี้อันนี้เป็นการสันนิษฐานล้วนๆ ผมยังไม่แตกฉานอำนาจของสภาความมั่นคงแห่งชาติ ไม่ได้กำลังบอกว่าเขาคิดแบบนี้ แค่กำลังบอกในฐานะคนช่างคิดเชิงระบบ ว่าวรรคนี้ มันแปลก มีอยู่ในกฎหมายลอยๆ ถ้าจะใช้ มันมีท่าไหนให้ใช้บ้าง ก็แค่นั้นนะครับ จริงๆตรงนี้อาจจะไม่เป็นประเด็นอะไรเลย
ข้อ 6. ilaw กล่าวว่า “การใช้อำนาจยึด ค้น เจาะ หรือขอข้อมูลใดๆ ไม่สามารถอุทธรณ์ เพื่อยับยั้งได้”
ประเด็นนี้พูดถึงไปแล้วในตอนท้ายของข้อ 3 สรุปคือผมเห็นว่ามีปัญหาเรื่องกลไก rule of law และ due process จริง
ข้อ 7 ilaw กล่าวว่า “เมื่อมีภัยคุกคามไซเบอร์ระดับวิกฤติ ให้เป็นอำนาจหน้าที่ของสภาความมั่นคงแห่งชาติ”
จริง (มาตรา 66)
ข้อ 8 ilaw กล่าวว่า “ผู้ใดฝ่าฝืนและไม่ปฏิบัติตามคำสั่ง มีโทษปรับและโทษจำคุก”
จริง (ชี้แจงไปแล้วในข้อก่อนหน้า) แต่บางอันต้องมีคำสั่งศาลก่อน
มีแค่สองจุดที่มีปัญหาคือ มาตรา 64(3) และ (4) ที่ กรรมการมีอำนาจสั่งให้ใครทำก็ได้ ในสภาวะภัยร้ายแรง โดยที่ไม่ต้องขออำนาจศาล และถ้าสั่งแล้วไม่ทำ มีโทษจำคุก (มาตรา 74 วรรคสอง คุกหนึ่งปี) และอุทธรณ์ไม่ได้ (มาตรา 68) ซึ่งต้องไปดูเนื้อหาของมาตรา 64(3)(4) ซึ่งสั้นๆคือกรรมการสามารถสั่งให้เจ้าของระบบดำเนินการแก้ไขข้อบกพร่องหรือกำจัดชุดคำสั่งไม่พึงประสงค์ หรือรักษาสถาณะของคอมพิวเตอร์ไม่ว่าด้วยวิธีการใดๆ
ซึ่ง มาตรา 63(3)(4) นี่ประหลาดมาก สั่งได้ ต้องทำ ไม่ทำติดคุก ไม่ต้องขอศาล และสิ่งที่สั่ง เป็นเรื่องจำเพาะมาก มากขนาด ไม่คิดว่า กรรมการไซเบอร์จะสั่งได้ สั่งให้เจ้าของระบบทำการ patch หรือลบ โปรแกรมไม่พึงประสงค์ ถ้าสั่งไปแล้ว เจ้าของระบบถ้าทำ ทำให้ระบบพัง (บางทีเจ้าของระบบไม่ patch เพราะ patch ไม่ได้ มันไปทำให้โปรแกรมอื่นมีปัญหา หรือไม่ได้ซื้อบริการแล้ว คือไม่มีสิทธิ์ที่จะ patch) ถ้ากรรมการไปสั่งให้ทำ แล้วเขาทำไม่ได้ ถ้าทำ ก็โดนฟ้องว่าละเมิดสิทธิ์ หรือระบบล่ม (ซึ่งอาจจะนำมาซึ่งความเสียหายทางธุรกิจ แต่ถ้าเป็นระบบบางระบบที่สำคัญเช่น healthcare อาจมีคนตาย) แต่ถ้าไม่ทำ ก็ติดคุก ก็จะเป็นเรื่องที่ประหลาดมาก
สองมาตรานี้ ผมวิจารณ์ไปหลายหนตอนร่างกฎหมาย แต่ไม่ได้รับการตอบรับ มันยังคงอยู่ในร่างกฎหมายนี้ สั่งได้ ไม่ต้องขอศาล ไม่ทำติดคุก และสิ่งที่สั่ง อาจเป็นไปไม่ได้หรืออาจไปสร้างความเสียหายอื่นได้ แต่ยังไม่เห็นคนอื่นวิจารณ์ เลยขอวิจารณ์เอง
ทางออกของสังคม ณ จุดนี้ เมื่อมันเป็นกฎหมายแล้ว ก็หนีไม่พ้นประเด็นตอนแรก คือต้องช่วยกันไปดูว่ากรรมการไซเบอร์ที่ถูกตั้งมา จะใช้อำนาจเหล่านี้อย่างระมัดระวัง และช่วยกันหากลไกติดตามดูแลตรวจสอบครับ
ทั้งนี้ ผมก็ยังคิดอยู่ว่า กฎหมายนี้ มีดีกว่าไม่มี และจุดอ่อนในหลายๆจุดยังพอช่วยกันหาทางแก้ไขไปได้
เป้าหมายของบทความนี้ (ซึ่งขออภัยผู้อ่าน ยาวมากอีกแล้ว) ก็เพื่อช่วยกันพูดถึงประเด็นแบบเน้นสาระ พูดถึงในรายละเอียด เพื่อช่วยกันมองหาปัญหาและหาแนวทางแก้ไขไปในอนาคตนะครับ เพื่อลดความแตกแยกแบ่งฝักแบ่งฝ่าย ผมมองว่าทุกคนอยู่ทีมเดียวกันคือทีมประเทศไทย เห็นต่างบ้าง แต่ต้องช่วยกัน ผมไม่อยู่ฝ่ายใด ผมเขียนไปตามความจริง เป็นความคิดเห็น เพื่อแลกเปลี่ยนเรียนรู้กัน อะไรดีก็ชม อะไรควรแก้ก็วิจารณ์และเสนอแนะทางแก้ไขตามหลักวิชาการนะครับ
ในกรณีนี้ก็มีหลายประเด็นเห็นต่าง ilaw บ้าง ilaw ก็ปราณีผมนิดหนึ่งนะครับ