สภาที่ปรึกษาธุรกิจสหรัฐร่อนหนังสือติงร่าง พ.ร.บ.ไซเบอร์ ย้ำมีกฎหมายเป็นเรื่องดี แต่ทุกอย่างต้องชัดเจน ทั้งนิยาม-อำนาจของหน่วยงานที่ตรวจสอบได้ แนะดึงอำนาจศาลเข้าถ่วงดุล ให้สิทธิ์อุทธรณ์ ชี้ควรเปิดประชาพิจารณ์อย่างกว้างขวางอีกครั้ง
แหล่งข่าวภายในกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยกับ “ประชาชาติธุรกิจ” ว่า สภาที่ปรึกษาธุรกิจสหรัฐอเมริกา-อาเซียน (US-ASEAN Business Council : US-ABC) ได้ส่งหนังสือถึงปลัดกระทรวงดีอี เมื่อ 12 ต.ค.ที่ผ่านมา เพื่อนำเสนอความเห็นของสภาที่ปรึกษาและภาคอุตสาหกรรมต่อร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยทางไซเบอร์ ซึ่งสำนักงานคณะกรรมการกฤษฎีกาตรวจสอบร่างเสร็จแล้ว เตรียมส่งให้สภานิติบัญญัติแห่งชาติ (สนช.) พิจารณา
โดย US-ABC ได้ระบุว่า ยินดีอย่างยิ่งที่รัฐบาลไทยพยายามสร้างความพร้อมในการรับมือกับภัยคุกคามทางไซเบอร์ ดังนั้นเพื่อให้กฎหมายดังกล่าวบังคับใช้ได้จริงอย่างมีประสิทธิภาพ จึงเสนอแนะในหลายประเด็น โดยเฉพาะความชัดเจนของการกำหนดคำจำกัดความต่าง ๆ ซึ่งในร่างฉบับล่าสุดอาจจะยังทำให้เกิดปัญหาในการตีความและมีขอบเขตที่กว้างขวางเกินไป อาทิ คำจำกัดความของ “โครงสร้างพื้นฐานสำคัญทางสารสนเทศ” (Critical Information Infrastructure : CII)
“ความปลอดภัยทางไซเบอร์ควรใช้แนวทางการจัดลำดับความสำคัญอย่างเหมาะสม เนื่องจากภัยคุกคามมีความแตกต่างและสร้างผลกระทบไม่เท่ากัน และควรนำมาใช้ในการจัดลำดับความสำคัญของความเสี่ยงที่จะเกิดกับโครงสร้างพื้นฐาน CII ด้วย ซึ่งถือเป็นความท้าทายในการดำเนินการ”
รวมถึงคำจำกัดความที่ชัดเจนของ “เหตุการณ์ทางไซเบอร์” “สถานการณ์อันเป็นภัยต่อความมั่นคง” และ “สถานการณ์อันเป็นภัยต่อความมั่นคงอย่างร้ายแรง” เพราะความชัดเจนของนิยามจะเป็นแนวทางในการรายงานและการรักษาความปลอดภัยที่มีประสิทธิภาพมากขึ้น เนื่องจากปัจจุบันยังไม่มีความแน่ชัดถึงเกณฑ์สำคัญในการรายงาน การแจ้งเตือนต่าง ๆ ที่สำคัญคือ ควรสร้างกลไกให้แต่ละหน่วยงานทั้งภาครัฐและเอกชนมีการแบ่งปันข้อมูลเพื่อรับมือกับภัยคุกคาม ซึ่งต้องเริ่มจากการทำความเข้าใจ สร้างแรงจูงใจในการเข้าร่วมดำเนินการตามกลยุทธ์ที่วางไว้ เพื่อให้รับมือกับภัยคุกคามได้อย่างทันท่วงที และมีประสิทธิภาพเพียงพอ
ขณะที่ในมาตรา 50 และ 51 ของร่าง พ.ร.บ.ที่กำหนดให้หน่วยงานต้องรายงานเหตุการโจมตีทางอินเทอร์เน็ตทั้งหมดที่เกิดขึ้นจริงและที่คาดการณ์ไว้ ซึ่งหากไม่รายงานจะมีโทษปรับไม่เกิน 2 แสนบาท ทาง US-ABC ระบุว่า แต่ละวันมีเหตุภัยคุกคามเกิดขึ้นจำนวนมาก ซึ่งส่วนใหญ่จะป้องกันระบบได้สำเร็จ การกำหนดให้ทุกหน่วยงานต้องรายงานข้อมูลที่ถูกโจมตี หรือคาดว่าจะเกิดทุกครั้ง จึงเป็นเรื่องที่เป็นไปไม่ได้ หากต้องทำจะเป็นการสร้างภาระอย่างมาก
ที่สำคัญคือการสร้างสมดุลของหน่วยงานใหม่ที่จะตั้งขึ้นทั้งคณะกรรมการการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (กปช.) และสำนักงาน รวมถึงเลขาธิการ ในอำนาจตามมาตรา 54 ถึง 57 ที่สามารถเรียกขอข้อมูล เข้าถึงข้อมูล เข้าไปในสถานประกอบการหรืออสังหาริมทรัพย์ ยึดอุปกรณ์ โดยควรต้องมีการกำหนดขอบเขตที่ชัดเจน และยังต้องมีคำสั่งศาลหากหน่วยงานไม่ได้ให้ความยินยอม โดยกระบวนการต้องผ่านการกำกับดูแลที่เป็นอิสระ ทั้งต้องให้บุคคลหรือหน่วยงานมีโอกาสในการคัดค้าน มีสิทธิ์ในการยื่นอุทธรณ์คำสั่งไปยังศาล
และด้วยการปฏิบัติตาม พ.ร.บ.นี้ จะส่งผลกระทบกับหลายส่วน กระทรวงจึงควรเปิดให้หน่วยงานที่เกี่ยวข้องได้แสดงความคิดเห็นอย่างกว้างขวาง ไม่เฉพาะในภาคอุตสาหกรรมไอซีทีหรือโทรคมนาคมเท่านั้น โดยเฉพาะในมาตรา 57 ของร่าง พ.ร.บ. ที่ให้อำนาจในการเข้าถึง “ทรัพย์สินสารสนเทศ” ซึ่งมีนิยามกว้างขวาง รวมถึงสั่งให้หยุดการใช้คอมพิวเตอร์และระบบ และการเข้าไปในพื้นที่ของภาคเอกชนตามมาตรา 58
“อำนาจนี้กระทบกว้างขวาง จึงต้องเป็นไปตามมาตรฐานสากล จึงเสนอให้ประชาพิจารณ์กับผู้ที่มีส่วนได้ส่วนเสียทั้งหมดเพื่อรักษาความปลอดภัยของระบบนิเวศทางไซเบอร์แบบองค์รวม และที่น่ากังวลมากคือ มาตรา 64 ที่ระบุว่าหากผู้กระทำผิดตาม พ.ร.บ.เป็นนิติบุคคล กรรมการผู้จัดการหรือตัวแทนของนิติบุคคลทั้งหมดต้องถูกลงโทษด้วย ซึ่งมีทั้งโทษปรับและจำคุก”
ที่สำคัญคือการกำหนดอำนาจของเลขาธิการ กปช. ไม่ควรเปิดให้มีการใช้ดุลพินิจ เช่นในมาตรา 48 ที่ระบุว่า ในกรณีที่เลขาธิการเห็นว่า การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ตามมาตรา 47 “ไม่เป็นที่น่าพอใจ” แต่ควรจะระบุถึงการดำเนินการตามขั้นตอนมาตรฐานที่เป็นสากลที่ชัดเจนแทน