ในช่วงนี้กำลังมีอีกหนึ่งกระแสที่มาแรงนั่นก็คือ #พรบไซเบอร์ เนื่องจากอยู่ในช่วงที่คณะรัฐมนตรีกำลังนำร่างพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ ฉบับปี 2562 เข้าสู่ที่ประชุมสภานิติบัญญัติแห่งชาติเพื่อพิจารณาผ่านร่างกฎหมายในวันนี้ (28 ก.พ.) ซึ่งก็มีกระแสคัดค้านบนโลกออนไลน์อยู่อย่างต่อเนื่อง
พ.ร.บ. ไซเบอร์ที่กำลังเป็นกระแสอยู่นี้ เป็นกฎหมายที่ทางคณะรัฐมนตรีพยายามผลักดันมาแล้วถึง 3 ครั้ง ในปี 2558 2560 และ 2561 และในช่วงนี้ก็ได้มีการนำร่างกฎหมายนี้ให้ที่ประชุมสนช. พิจารณาอีกครั้ง ร่างกฎหมายนี้มีเนื้อหาอะไรที่เราควรรู้ และจะเกิดอะไรขึ้นบ้างหากร่างกฎหมายฉบับนี้ผ่านความเห็นชอบจากสนช. ไปดูกัน
ตามนิยามในมาตรา 3 ภัยคุกคามไซเบอร์ หมายถึง “การกระทำหรือดำเนินการใดๆ โดยมิชอบโดยใช้คอมพิวเตอร์ หรือ ระบบคอมพิวเตอร์ หรือ โปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดการประทุุษร้าย หรือ เป็นภยันตรายที่ใกล้จะถึงที่ก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง”
โดยได้แบ่งภัยคุกคามไซเบอร์ ออกเป็น 3 ระดับ ได้แก่ ระดับเฝ้าระวัง ระดับร้ายแรง และระดับวิกฤต
- ระดับเฝ้าระวัง คือ ทำให้ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศหรือการให้บริการของรัฐด้อยประสิทธิภาพลง ไม่ได้ก่อความเสียหายรุนแรง
- ระดับร้ายแรง คือ โจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ ที่มีผลทำให้ระบบคอมพิวเตอร์ หรือคอมพิวเตอร์ที่เกี่ยวข้องกับการให้บริการด้านความมั่นคงของรัฐ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชน ไม่สามารถทำงานหรือให้บริการได้
- ระดับวิกฤต ดูแลโดยสภาความมั่นคงแห่งชาติ มี 2 กรณี ได้แก่
- ส่งผลกระทบรุนแรงต่อโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศเป็นวงกว้าง ทำให้การทำงานของหน่วยงานรัฐ การให้บริการของโครงสร้างพื้นฐานสำคัญของประเทศที่ให้กับประชาชนล้มเหลวทั้งระบบจนรัฐควบคุมการทำงานส่วนกลางของระบบคอมพิวเตอร์ของรัฐไม่ได้ หรือการใช้มาตรการเยียวยาตามปกติแก้ไขปัญหาไม่ได้ และมีความเสี่ยงที่จะลุกลามไปโครงสร้างพื้นฐานสำคัญอื่นๆ ของประเทศ
- ภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐหรืออาจทำให้ประเทศหรือส่วนใดส่วนหนึ่งของประเทศตกอยู่ในภาวะคับขันหรือมีการกระทำความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา การรบหรือการสงคราม
โดยจะมีการจัดตั้งคณะกรรมการที่กำกับดูแลเกี่ยวกับความปลอดภัยมั่นคงไซเบอร์ ได้แก่ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกซ.) คณะกรรมการส่งเสริมการรักษาความมั่นคงปลอดภัยไซเบอร์โครงสร้างพื้นฐานสำคัญทางสารสนเทศ(กสส.) คณะกรรมการกำกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (คกส.)
เมื่อกฎหมายบังคับใช้แล้ว การกระทำใดๆ ที่เข้าข่ายเป็นภัยคุกคามไซเบอร์ คณะกรรมการจะมีอำนาจสั่งการเจ้าหน้าที่ Cyber Security ดำเนินการดังต่อไปนี้
- เข้าตรวจสอบสถานที่ได้ : หากมีเหตุสงสัยหรือมีความเกี่ยวข้องกับภัยคุกคามไซเบอร์ โดยมีหนังสือแจ้งถึงเหตุอันสมควรไปยังเจ้าของหรือผู้ครองครองสถานที่เพื่อเข้าตรวจสอบสถานที่นั้น
- ตรวจสอบ ขอ และทำสำเนาข้อมูลได้ : ในกรณีเพื่อประโยชน์ในการทำงาน และเมื่อมีเหตุต้องสงสัยว่าจะเป็นภัยคุกคามไซเบอร์ เจ้าหน้าที่สามารถขอข้อมูล หรือสำเนาข้อมูลที่อยู่ในการครอบครองของผู้อื่นได้โดยต้องได้รับการยินยอมจากเจ้าของก่อน
- ตรวจสอบข้อมูลได้เรียลไทม์ : ในกรณีที่มีภัยคุกคามไซเบอร์ระดับร้ายแรงขึ้นไป เจ้าหน้าที่สามารถขอข้อมูลที่เป็นปัจจุบันและต่อเนื่อง (ข้อมูลแบบ Real-time) จากผู้ที่เกี่ยวข้องกับภัยคุกคามไซเบอร์ดังกล่าวได้
- ยึด อายัดอุปกรณ์ได้แบบไม่ต้องมีหมายศาล :ในกรณีเร่งด่วน หรือเข้าข่ายภัยคุกคามไซเบอร์ระดับวิกฤต เจ้าหน้าที่สามารถเข้าบ้านและขอยึดเครื่องคอมหรืออุปกรณ์ไปได้โดยไม่ต้องมีหมายศาล (ส่วนถ้าเป็นกรณีไม่เร่งด่วน หรือเป็นระดับร้ายแรงลงมา ยังต้องมีหมายศาลอยู่)
จุดสังเกตในกฎหมายฉบับนี้ก็คือ
- กลุ่มคนที่เข้ามาเป็นคณะกรรมการกำกับดูแลมาจากการแต่งตั้ง ซึ่งมีอำนาจออกหนังสือขอข้อมูล หรือขอตรวจสอบอุปกรณ์ได้โดยไม่ต้องยื่นคำร้องต่อศาล
- การตัดสินว่ากรณีต่างๆ เป็นภัยคุกคามไซเบอร์ระดับใด ก็จะขึ้นอยู่กับการตัดสินใจคณะกรรมการเหล่านี้
- คำว่า “ทรัพย์สินสารสนเทศ” มีความหมายกว้างมาก ตั้งแต่ระบบเครือข่าย ระบบคอมพิวเตอร์ โทรศัพท์มือถือ อุปกรณ์ต่างๆ ที่ต่อเน็ต บันทึกข้อมูล และอุปกรณ์อื่นๆ เช่น แฟลชไดรฟ์ กล้องดิจิตอล SD-Card แปลว่าเจ้าหน้าที่สามารถยึดอุปกรณ์เหล่านี้ได้ทั้งหมด
- ใจความตอนหนึ่งเกี่ยวกับภัยคุกคามไซเบอร์ระดับวิกฤต ระบุว่า “รวมถึงเนื้อหาที่กระทบหรืออาจกระทบต่อความสงบเรียบร้อยของประชาชนหรือเป็นภัยต่อความมั่นคงของรัฐ” ทำให้อาจตีความได้กว้าง และรวมไปถึงการคิดเล่นเห็นต่างบนโลกออนไลน์ด้วย
- ในกรณีที่เจ้าหน้าที่ตรวจสอบแล้วไม่พบความผิดฐานเป็นภัยคุกคามไซเบอร์ แต่พบว่ามีความผิดฐานอื่น ก็สามารถใช้ข้อมูลที่ได้ไปเป็นหลักฐานได้