“นักกฎหมาย-คนไอที” แสดงความกังวลต่อข้อกำหนดฉบับที่ 29 กีดกันข่าวที่ทำให้หวาดกลัว ด้วยการ block เน็ตจาก IP Address ตั้งคำถามเก็บ log มีต้นทุนหลักแสน หากต้องทำระบบดังกล่าวในสภาพเศรษฐกิจแบบนี้เหมาะหรือไม่ ชี้ พ.ร.บ.คอมฯ มีกลไกที่เพียงพอแล้ว
เมื่อวันที่ 30 กรกฎาคม 2564 ที่ผ่านมา หลายคนคงได้เห็นข้อกำหนดที่ออกตามความในมาตรา 9 แห่งพระราชกำหนดการบริหารราชการในสถานการณ์ฉุกเฉิน พ.ศ. 2548 (ฉบับที่ 29) ซึ่งเปิดทางให้ กสทช. block อินเทอร์เน็ตของ IP Address ที่สร้างข้อมูลที่ทำให้เกิดควาหวาดกลัวได้
อ่านประกอบ: ราชกิจจาฯ ออกข้อกำหนด ระงับ IP Address ของผู้นำเสนอข่าวที่สร้างความหวาดกลัวได้
เราได้พูดคุยกับ คุณศุภเดช สุทธิพงศ์คณาสัย พิธีกรรายการล้ำหน้าโชว์ และ ผศ.ดร.ทศพล ทรรศนกุลพันธ์ หัวหน้าศูนย์ศึกษากฎหมายกับเทคโนโลยี มหาวิทยาลัยเชียงใหม่ มีประเด็นที่น่าสนใจดังนี้
ทำระบบเก็บ log มีต้นทุนหลักแสน คำถามเกิดตามมาเมื่อต้องทำในสภาพเศรษฐกิจแบบนี้
คุณศุภเดช เริ่มกล่าวถึงข้อกำหนดฉบับที่ 29 โดยเทียบกับพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ หรือ พ.ร.บ.คอมฯ โดยระบุว่า พ.ร.บ.คอมฯ ตอนแรกถูกออกแบบมาเพื่อป้องกันการโจมตีทางไซเบอร์ ทำให้มีกลไกในการจัดเก็บ log ย้อนหลัง 90 วัน แต่ที่ผ่านมากลายเป็นว่า กลับถูกใช้ในการฟ้องร้องในคดีหมิ่นประมาท และ log กลับถูกตรวจสอบกับคดีดังกล่าวเป็นส่วนมาก ซึ่งคุณศุภเดชมองว่า การนำมาใช้ฟ้องในลักษณะดังกล่าว ไม่ใช่เหตุผลของ พ.ร.บ.คอมฯ ตั้งแต่ต้น
ยิ่ง พ.ร.บ.คอมฯ ฉบับใหม่ ก็เน้นในเรื่องของการเข้าโจมตีระบบคอมพิวเตอร์ จึงตกเป็นจำเลย หรือแพะรับบาป หรือหยิบไปเป็นเครื่องมือโดยปริยาย
อย่างไรก็ตาม การทำให้ระบบรองรับการเก็บ log สำหรับองค์กร ส่งผลให้ต้องมีค่าใช้จ่ายอย่างหลีกเลี่ยงไม่ได้ การจะให้ compile ตาม พ.ร.บ.คอมฯ มีรายละเอียดปลีกย่อยเยอะ เช่น
- Hardware ที่ใช้ต้องรองรับเรื่องการส่ง log
- นโยบายขององค์กรที่ต้องกำหนด policy ของผู้ใช้ในองค์กร โดย IT Manager ก็ต้องมาดูแลในส่วนนี้
- Storage ที่ใช้เก็บ log ก็จะเพิ่มขึ้นในทุกๆ วัน ก็ต้องคำนึงในส่วนนี้
- HR ต้องทำเอกสารยืนยันว่า บัญชีในระบบคอมพิวเตอร์นี้ อยู่ในความรับผิดชอบของแต่ละคน
- มาตรการของ log ห้ามถูก access ได้โดย admin เพื่อให้ยืนยันว่า log ไม่ถูกแก้ไข
- เป็นต้น
บางองค์กรใหญ่ เขาก็ต้องทำตามกฎหมาย พ.ร.บ.คอมฯ เช่น ISP, บริษัทใหญ่ๆ หรือบริษัทระดับมหาชน ก็คงมีระบบ log อยู่แล้ว ในขณะที่บางบริษัทอาจจะไม่ทำระบบเก็บ log ก็ได้ แต่หากมีเหตุบางอย่างเกิดขึ้นและถูกตรวจสอบเรื่อง log แล้วพบว่าไม่มีการจัดเก็บ log ก็จะถูกปรับตามกฎหมาย พ.ร.บ.คอมฯ ซึ่งโดยปกติเจ้าหน้าที่ไม่ได้ไล่ตรวจทุกออฟฟิศ ทำให้หลายองค์กรยังลังเลว่าจะลงทุนดีหรือไม่ลงทุนดี
“รัฐบอกว่าต้องมี (ระบบเก็บ log) แต่รัฐไม่ได้ช่วยจ่าย และคนที่ต้องการใช้งานคือรัฐ” คุณศุภเดช กล่าว
พร้อมแสดงความกังวลว่าบางธุรกิจขนาดกลางและเล็กไม่ได้มีเงินจำนวนมาก แต่ต้องมาลงทุนกับระบบ log หลักแสนบาทในสภาพเศรษฐกิจตอนนี้ พร้อมเสนอให้ผู้ที่ต้องการให้เก็บ log ก็ควรช่วยออกเงินในส่วนนี้ด้วย
หากมองเทียบกับหลายๆ ประเทศที่มีการตัดอินเทอร์เน็ตไม่ให้ระดับประเทศ โดยไม่แคร์ได้ระดับหลักการหรือภาคเศรษฐกิจ เพื่อใช้ในการควบคุม ซึ่งเอาเข้าจริงก็สามารถตัดอินเทอร์เน็ตได้ แต่ในความเป็นจริงมีหลายขั้นตอนมากที่จะไปถึงขั้นนั้นได้ ไม่ได้ทำได้โดยง่าย เพราะต้องไม่ลืมว่า ISP แต่ละเจ้ามี “ข้อตกลงเพื่อรักษาระดับการให้บริการ” หรือ Service Level Agreement (SLA) ซึ่งลูกค้าอาจฟ้องกลับได้ หากบริการต่างๆ ไม่สามารถใช้งานได้ตามปกติ
“สนับสนุนให้ call out แต่จง call out แบบไม่หยาบ และให้ความรู้อย่างถูกต้อง ทั้งในแง่หลักการ ข้อมูล และกฎหมาย” คุณศุภเดช กล่าวทิ้งท้าย
พ.ร.บ.คอมฯ มีกลไกเพียงพอแล้ว ไม่จำเป็นต้องใช้ข้อกำหนดนี้
ทางด้าน ดร.ทศพล เปิดเผยว่าข้อกำหนดฉบับที่ 29 ที่ออกมาในครั้งนี้ จะไม่มีคัดกรองใดๆ เกิดขึ้น ต่างจากแต่เดิมที่การ block ผ่าน พ.ร.บ.ต่างๆ จะต้องขอหมายศาล หรือจะต้องมีคณะกรรมการภายใต้ พ.ร.บ. บางตัวที่สั่งให้ block เว็บ แต่พอมีการใช้ พ.ร.ก.ฉุกเฉิน จะเปิดให้ใครก็ได้มาทำหน้าที่ต่างๆ โดยไม่จำเป็นต้องตระหนักถึงหลักการใดๆ ก็ได้
แม้ พ.ร.บ.DSI, พ.ร.บ.ป้องกันอาชญากรรมข้ามชาติ, พ.ร.บ.ป้องกันยาเสพติด จะให้อำนาจในการปิดหรือการ block แต่ พ.ร.บ.เหล่านี้มีมาตรการบรรเทาผลกระทบ เช่น ให้อำนาจองค์กรหนึ่งไป block, สอดส่อง หรือเก็บข้อมูล แต่สุดท้ายก็มีกระบวนการทำลายงานเข้าไปด้วยผ่านอัยการ และศาลตรวจสอบย้อนกลับอีกทีได้ว่า การใช้อำนาจดังกล่าวชอบด้วยกฎหมายหรือไม่
นอกจากนี้การให้ กสทช. บอก ISP เพื่อ block และให้รีบส่งข้อมูลไปยังตำรวจและส่งต่อไปยังอัยการดำเนินคดี ถือเป็นการใช้อำนาจทางปกครอง และโทษทางอาญา เพื่อจำกัดเสรีภาพการแสดงออก
หัวหน้าศูนย์ศึกษากฎหมายกับเทคโนโลยี ตั้งข้อสังเกตเพิ่มเติมว่า จากการทำวิจัยในหลายๆ ครั้ง พบว่ารัฐพยายามเปลี่ยน model การกำกับดูแลมาหลายรอบแล้ว โดยในตอนแรกเปิดให้เอกชนกำกับดูแลกันเอง ต่อมาจึงเพิ่ม regulator อย่าง กทช. และ กสช. จากนั้นรวมเข้ามาเป็น กสทช. ในภายหลังเมื่อเริ่มรู้สึกว่า “ไม่ได้ดั่งใจ” จึงมอบอำนาจให้ดีอีเอสเข้ามากำกับ แต่สุดท้ายก็พบว่ามีความสามารถไม่เท่าเอกชน จึงอยากดึงให้เอกชนเข้ามาอยู่ในระบบการกำกับนี้ให้ได้
“ที่สำคัญคือรู้ได้อย่างไรว่า น่าหวาดกลัว สะพรึงกลัว หรือกระทบต่อความมั่นคง ของพวกนี้ไม่มีนิยามที่ชัดเจน ซึ่งนิยามที่ชัดเจนมันก็ต้องไปลุ้นการตีความที่ศาล” ดร.ทศพล กล่าว
ดร.ทศพล กล่าวต่อว่า “ยกตัวอย่างกรณีคนจีนเขาเมาแล้วล้มในสนามบินสุวรรณภูมิ แต่ไปเขียนแคปชันว่าเขาติดโควิดแล้วมาล้มในสุวรรณภูมิระบาดหนัก อันนี้ผมเห็นด้วยว่าเขียนแบบนี้ก็ต้องดำเนินคดี เพราะมันทำให้ประชานตื่นตระหนกจริง แต่ตอนนี้เอาไปใช้ว่าอะไรก็หวาดกลัวไปหมด อันนี้ก็หนักแล้ว”
หัวหน้าศูนย์ศึกษากฎหมายกับเทคโนโลยี ให้ความเห็นต่อ โดยชี้ว่าการมอบอำนาจครั้งนี้ที่มอบอำนาจให้ กสทช. ก็ไม่เหมาะสม เนื่องจาก กสทช. ควรดูแค่การรักษาความมั่นคงของระบบ ดูระบบไม่ให้ล่ม แต่กลับต้องมาดูเรื่องของเนื้อหา กลายเป็นดูเรื่องของการเซ็นเซอร์ไปด้วย
“พาร์ทที่ใช้อำนาจมาสั่งให้ปิดเป็นการใช้อำนาจตามแนวกฎหมายหรือคำสั่งปกครอง เวลาโต้แย้งต้องไปขึ้นศาลปกครอง แล้วพอคำสั่งแบบนี้ไม่ได้สัดส่วน มันละเมิดสิทธิของประชาชนเกินสมควร ขอให้ยกเลิกคำสั่ง หรือใช้อำนาจโต้แย้งการใช้อำนาจปิด IP ได้ แต่พอเป็น พ.ร.ก.ฉุกเฉิน มาตรานึงดันให้คดีทั้งปวงดันไม่ให้ขึ้นศาลปกครอง” ดร.ทศพล กล่าว พร้อมระบุต่อว่า พอเป็นแบบนี้ ก็ต้องไปขึ้นศาลแพ่ง ก็จะสร้างความยากลำบาก ประชาชนก็ต้องมีทนายไป ในขณะที่การร้องกับศาลปกครอง จะมีนิติกรรับเรื่องราวร้องทุกข์ทำให้ประชาชน ช่วยร่างคำร้องและฟ้องให้ประชาชน
โดยหากเทียบกับ พ.ร.บ.คอมฯ ปี 2560 ในมาตรา 14 มีเนื้อหาดังนี้
มาตรา 14 ผู้ใดกระทำความผิดที่ระบุไว้ดังต่อไปนี้ ต้องระวางโทษจำคุกไม่เกิน 5 ปีหรือปรับไม่เกิน 100,000 บาท หรือทั้งจำทั้งปรับ
(อนุ 1) โดยทุจริต หรือโดยหลอกลวง นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ที่บิดเบือนหรือปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ประชาชน อันมิใช่ การกระทำผิดฐานหมิ่นประมาทตามประมวลกฎหมายอาญา
(อนุ 2) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายต่อการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะของประเทศ หรือก่อให้เกิดความตี่นตระหนกแก่ประชาชน
(อนุ 3) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ อันเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา
(อนุ 4) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ ที่มีลักษณะอันลามกและข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
(อนุ 5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์โดยรู้อยู่แล้วว่าเป็นข้อมูลคอมพิวเตอร์ตาม (อนุ 1) (อนุ 2) (อนุ 3) หรือ (อนุ 4)
ถ้าการกระทำความผิดตามวรรคหนึ่ง (อนุ 1) มิได้กระทำต่อประชาชน แต่เป็นการกระทำต่อบุคคลใดบุคคลหนึ่ง ผู้กระทำ ผู้เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ดังกล่าวต้องระวางโทษจำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน 60,000 บาท หรือทั้งจำทั้งปรับ และให้เป็นความผิดอันยอมความได้
ดร.ทศพล ชี้ต่อว่า “เวลาเทียบกันง่ายๆ เรื่องเซนเซอร์ เรื่องเกี่ยวกับข้อมูลข่าวสาร ก็เทียบกับ พ.ร.บ.การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (พ.ร.บ.คอมฯ) ซึ่งอันนั้นก็จะมีคณะกรรมการใต้ พ.ร.บ. คอยดูว่ามันมีการนำเข้าข้อมูลซึ่งมีลักษณะความผิดตามมาตรา 14 มาตราดังของ พ.ร.บ. นี้ ใน อนุ 1 จะบอกว่า ถ้ามันเท็จ มันปลอม มันบิดเบือน แล้วทุจริต หรือโดนหลอกลวง ทำให้เสียประโยชน์ทางทรัพย์สิน เป็นความผิด โดย อนุ 2 มันจะเป็นเรื่องของในอนาคต โดยระบุว่า ทำให้ประชาชนตื่นตระหนก กับ อนุ 3 ซึ่งบอกว่าถ้านำเข้าซึ่งข้อมูล ซึ่งส่งผลเสียหายต่อความมั่นคง”
“ซึ่งเอาจริงๆ มันมีกลไกตาม พ.ร.บ.คอมพิวเตอร์ ก็ไม่ได้ใช้ เอา (ข้อกำหนดฉบับที่ 29 ตามมา พ.ร.ก.ฉุกเฉินมาตรา 9) มา bypass เลย ใช้กลไกแบบนี้ กับเรื่องโควิดและเรื่องการเมือง ก็น่าเป็นห่วง” ดร.ทศพล กล่าวปิดท้าย
