หนึ่งในร่างกฎหมายที่กำลังมีคนเชียร์ให้รีบทำแท้งก่อนปล่อยให้ออกมาก่อความวุ่นวายให้แก่วงการไซเบอร์เมืองไทย มากกว่าเชียร์ให้ผ่านก็คือ ร่างพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

ร่างกฎหมายนี้เสนอโดยกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ไอซีที) ซึ่งเป็นหนึ่งในร่างฯที่เกี่ยวกับการดำเนินงานของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ที่ ครม.มีมติเห็นชอบในหลักการไปแล้ว

นิยามของคำว่า “ความมั่นคงปลอดภัยไซเบอร์” หมายถึงมาตรการและการดำเนินการที่กำหนดขึ้น เพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ ให้สามารถปกป้อง ป้องกัน หรือรับมือกับสถานการณ์ด้านภัยคุกคามทางไซเบอร์

ซึ่งส่งผลกระทบหรืออาจก่อให้เกิดความเสี่ยงต่อการให้บริการ หรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ อินเตอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยปกติของดาวเทียม อันกระทบต่อความมั่นคงของชาติ รวมถึงความมั่นคงทางการทหาร ความสงบเรียบร้อยภายในประเทศ และความมั่นคงทางเศรษฐกิจด้วย

ดังนั้น จึงกำหนดให้มีการตั้ง คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) ขึ้น โดยมีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธาน

...

ในกรณีมีเหตุฉุกเฉินหรือภยันตรายจากภัยคุกคามทางไซเบอร์ ที่อาจกระทบกับความมั่นคงของประเทศ กปช.สามารถสั่งหน่วยงานรัฐทุกแห่ง ดำเนินการป้องกัน แก้ไข บรรเทาความเสียหายที่เกิด หรืออาจจะเกิดได้

หรือในกรณีมีความจำเป็นเพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ที่อาจกระทบต่อความมั่นคงทางการเงิน การพาณิชย์ หรือความมั่นคงของประเทศ กปช.ก็ยังสามารถสั่งหน่วยงานเอกชนได้เช่นกัน

แม้ทุกประเทศในโลกล้วนจำต้องมีเครื่องมือไว้ป้องกันล้อมกรอบภัยคุกคามทางไซเบอร์ด้วยกันทั้งนั้น แต่ประเด็นที่หลายฝ่ายในสังคมยังคงกังขาหรือส่ายหัวให้กับความพยายามที่จะเข็นร่าง พ.ร.บ.ฉบับนี้ ออกมาเป็นกฎหมาย ก็ตรงที่มีการเขียนให้อำนาจผู้ดูแลร่างกฎหมายนี้ เอาไว้แบบ ครอบจักรวาล

เช่น ให้อำนาจสามารถเรียกหน่วยงานรัฐ และบุคคลมาให้การ สามารถสั่งหน่วยงานรัฐ และเอกชนได้หลายๆเรื่อง รวมทั้ง ยังสามารถแอบดักฟังการสนทนาได้ด้วย เป็นต้น

เมื่อหลายฝ่ายรู้สึกคับข้องกับอำนาจ และโทษทัณฑ์สำหรับผู้ฝ่าฝืนกฎหมายดังกล่าว วันก่อน เมธา สุวรรณสาร นายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ จึงได้เชิญผู้เกี่ยวข้องระดับบริหารจากหลายองค์กร และผู้ที่คาดว่าจะได้รับผลกระทบจากร่างกฎหมายนี้จำนวนหนึ่ง ไปร่วมกันหาทางออก ที่อาคารจี ทาวเวอร์ พระราม 9

พ.ต.อ.ญาณพล ยั่งยืน หนึ่งในคณะกรรมการเตรียมการด้านรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เหมือนจะออกตัวเอาไว้แต่เนิ่นๆว่า แม้ตัวเขาจะเป็นหนึ่งในคณะกรรมการ แต่ก็ใช่ว่าจะเห็นด้วยกับร่างกฎหมายนี้ไปซะทุกเรื่อง เพราะเค้าลางของปัญหาตามร่างกฎหมายฉบับนี้ มีอยู่เพียบ!!

เป็นต้นว่า กรณีที่กำหนดให้ผู้ดูแลระบบสารสนเทศ ต้องจัดให้มีการประเมินความเสี่ยงอย่างน้อยปีละครั้ง ผู้ใดฝ่าฝืน มีโทษปรับสองแสนบาท หรือ วันละหนึ่งหมื่นบาท

หากเลขาธิการสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) เห็นว่า การประเมินความเสี่ยงไม่น่าพอใจ

ผู้ดูแลระบบ ต้องทำใหม่อีกครั้ง ผู้ดูแลระบบยังต้องกำหนดให้มีกลไกการเฝ้าระวัง และ ต้องเข้าร่วมทดสอบความพร้อมของระบบ อีกด้วย

...

เมื่อหน่วยงานควบคุม หรือกำกับดูแล ทราบเหตุ ให้สนับสนุน ช่วยเหลือ และแจ้งหน่วยอื่นให้ทราบด้วย รวมทั้งให้อำนาจพนักงานเจ้าหน้าที่ มีหนังสือเรียกบุคคลให้ไปให้ข้อมูล ในเวลาที่เหมาะสม หากฝ่าฝืนมีโทษปรับไม่เกินหนึ่งแสนบาท

เมื่อพนักงานเจ้าหน้าที่มีหนังสือขอข้อมูล หรือสำเนาข้อมูลเอกสารซึ่งอยู่ในความครอบครองของผู้อื่นอันเป็นประโยชน์แก่การดำเนินการ ต้องจัดการให้ตามนั้น ใครฝ่าฝืนมีโทษปรับไม่เกินหนึ่งแสนบาท

พนักงานเจ้าหน้าที่สามารถเข้าไปในอสังหาริมทรัพย์ หรือสถานประกอบการใด ที่เกี่ยวข้องหรือคาดว่ามีส่วนเกี่ยวข้องกับภัยคุกคามทางไซเบอร์ของบุคคลหรือหน่วยงานที่เกี่ยวข้อง โดยได้รับความยินยอมจากผู้ครอบครองสถานที่นั้น

นอกจากนี้ เลขาธิการ กปช. ยังมีอำนาจสั่งการให้หน่วยงานของรัฐด้านความมั่นคง ดำเนินการป้องกัน และ รับมือภัย เช่น สั่ง หน่วยงานทางทหารหรือตำรวจ หรือสั่งให้ ผู้บริหารรถไฟฟ้าบีทีเอส หยุดการเดินรถ เพราะมีสัญญาณไปรบกวนได้ด้วย เป็นต้น

ซึ่ง พ.ต.อ.ญาณพลเห็นว่า คำว่า “ระดับร้ายแรง” นั้น เขียนไว้กว้างเกินไปแบบครอบจักรวาล เช่น ถ้ามีความรุนแรงที่ก่อหรืออาจก่อให้เกิดความเสียหายต่อบุคคล หรือทรัพย์สินสารสนเทศที่สำคัญ หรือมีจำนวนมาก มาตรานี้ซึ่งตีความได้กว้างมาก เปิดช่องให้พนักงานเจ้าหน้าที่ สามารถบุกบ้านของเราได้ หากคอมพิวเตอร์ของบ้านเราถูกไวรัสโจมตี เป็นต้น

...

หรือถ้า กปช. เห็นว่า เซิร์ฟเวอร์ของท่านมีปัญหา ไม่ว่าเป็นเครื่องที่ถูกโจมตีหรือเครื่องที่จะนำไปใช้โจมตีผู้อื่น ให้เหมารวมเอาไว้ก่อนว่า

ถือเป็นเครื่องที่เกี่ยวข้องกับภัยคุกคาม ถ้าได้รับความยินยอมจากผู้ครอบครองสถานที่ซึ่งเซิร์ฟเวอร์นั้นตั้งอยู่ (จะมีสักกี่คนที่กล้าขัดขืน) ทางการสามารถ เข้าไปตรวจค้น และ เข้าถึงทรัพย์สินสารสนเทศ

เช่น ระบบเครื่องคอมพิวเตอร์ หรือฮาร์ดดิสก์ ทั้งยังสามารถทดสอบการทำงานของเครื่องเหล่านั้น ซึ่งบางทีอาจเป็นข้อมูลสำคัญหรือเป็นความลับทางการค้า รวมทั้งยังสามารถยึดเอาเครื่องไปตรวจสอบได้ถึง 30 วัน ซึ่งบางคนบอกว่า เล่นจัดหนักให้อำนาจกันถึงขนาดนี้ ควรย้ายเซิร์ฟเวอร์ไปอยู่ในต่างประเทศกันซะให้หมดเลยดีไหม?

“เทียบกับกรณีเจ้าหน้าที่ของหน่วยงานดีเอสไอจะเข้าไปตรวจค้นที่ใด หลังจากทำให้เป็นคดีพิเศษแล้ว จึงจะมีอำนาจเข้าไปตรวจค้นได้ หรือในกรณีที่ต้องการจะแอบดักฟังการสนทนา ต้องไปขออนุญาตต่ออธิบดีผู้พิพากษาศาลอาญาก่อนแต่เพียงผู้เดียวเท่านั้น จากนั้นให้จัดทำสำเนาไว้ 2 ชุด มอบให้อธิบดีผู้พิพากษาศาลอาญา 1 ชุด อีกชุดเก็บไว้ใช้ดำเนินการสอบสวนต่อ”

ขณะที่ พล.อ.บรรเจิด เทียนทองดี คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติให้ความเห็นไว้สั้นๆแต่แหลมคมว่า

“การร่างกฎหมายที่ดีควรร่างมาจากความเห็นที่หลากหลายของทุกฝ่ายที่เกี่ยวข้อง คุณภาพของกฎหมายเป็นสิ่งสำคัญ ไม่ใช่จำนวนกฎหมาย ที่เร่งออกมากันมากมาย เพื่อให้ดูมีผลงาน”

“ร่างกฎหมายนี้คล้ายกับร่างกฎหมายอีกหลายฉบับ ที่ผู้ร่างจงใจเขียนออกมาเพื่อตอบโจทย์ตัวเอง เอาไว้เป็นเครื่องมือในการบริหารจัดการของตัวเอง หรือสร้างอำนาจและอาณาจักรของตัวเองขึ้นมา เท่าที่ทราบมีการไปลอกบางส่วนมาจากกฎหมายไซเบอร์ของสิงคโปร์ แต่เอามาเขียนให้กระทรวงดิจิทัลฯเป็นใหญ่”

...

โชคดีที่นาทีนี้ ร่าง พ.ร.บ.ฉบับนี้ยังสามารถเปลี่ยนแปลงแก้ไขได้ เพราะยังอยู่ในชั้นกรรมาธิการของสมาชิกสภานิติบัญญัติแห่งชาติ (สนช.) ที่เหลือจึงขึ้นอยู่กับบรรดา สนช.ผู้ทรงเกียรติทั้งหลาย จะใช้ดุลพินิจชั่งตรอง ทำในสิ่งที่ถูกต้อง หรือว่านอนสอนง่าย ตามใบสั่งของใครบางคน.