ไอซีที

ดีอีแก้กม.ไซเบอร์ลดแรงต้าน วงในย้ำพ.ร.บ.ข้อมูลส่วนบุคคลยังน่าห่วง

กระทรวงดิจิทัลฯเร่งแก้ร่างกฎหมายไซเบอร์ หวังประกาศใช้ให้ทันรัฐบาลนี้ ลั่นเคลียร์ให้ครบทุกข้อท้วงติง ทั้งตัดนิยามที่เปิดช่องให้กำกับ “คอนเทนต์” ดึงอำนาจศาลเข้า “ยึด-ค้น” ตั้งบอร์ดเล็กถ่วงดุลเลขาธิการ พร้อมยึดโมเดลแบงก์ชาติเป็นต้นแบบ “กปช.” ฟากวงในย้ำอย่าลืมร่าง พ.ร.บ.ข้อมูลส่วนบุคคล เหตุยังมีช่องโหว่อีกเพียบ กระทบทั้งประชาชน-ธุรกิจวงกว้าง

นายพิเชฐ ดุรงคเวโรจน์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผย “ประชาชาติธุรกิจ” ว่า หลังหลายฝ่ายกังวลกับร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยทางไซเบอร์ เมื่อ 27-28 ต.ค.ที่ผ่านมา จึงได้จัดประชุมผู้เชี่ยวชาญและนักวิชาการเพื่อร่วมกันปรับปรุงร่างฉบับนี้อีกครั้ง โดยเห็นพ้องตรงกันว่า เป็นกฎหมายที่สำคัญและจำเป็นต้องมี

“ปรับแนวคิดทั้งหมด กำหนดขั้นตอนรับมือภัยไซเบอร์ระดับต่าง ๆ ตั้งองค์กรมาดูแลเฉพาะ สร้างสมดุลอำนาจ”

ตัด “คอนเทนต์” ออกจากนิยาม

ข้อกังวลสำคัญคือ นิยาม “ทรัพย์สินสารสนเทศ” ในมาตรา 3 ที่เดิมครอบคลุมถึงการกำกับ “คอนเทนต์” ที่ประชุมเห็นตรงกันว่าจะตัดออก เพื่อให้จำกัดเฉพาะโครงสร้างพื้นฐานประเทศที่ต้องดูแลรวมถึงการกำหนด CII (critical information infrastructure) หรือกลุ่มโครงสร้างพื้นฐานที่สำคัญยิ่งยวด ที่ล่าสุดระบุไว้ 6 โครงข่ายหลัก อาทิ โครงข่ายของระบบสาธารณูปโภค แต่ร่างใหม่จะไม่ระบุไว้ เพื่อให้สะดวกหากมีโครงข่ายใหม่ ๆ ที่สำคัญเพิ่มขึ้น โดยจะออกเป็นกฎหมายลูกระบุไว้แทน

ดึงอำนาจศาล-ตัดอำนาจเลขาฯ

ส่วนการตั้งสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (กปช.) มาดูแลนั้น เดิมท้วงติงเรื่องสถานะที่ไม่เหมาะสมกับอำนาจที่มีมาก จึงจะเปลี่ยนให้ กปช.เป็นส่วนราชการหน่วยงานของรัฐภายใต้ พ.ร.บ.เฉพาะ ในลักษณะเดียวกับธนาคารแห่งประเทศไทย (ธปท.) เพื่อให้ประสานงานกับส่วนราชการได้ แต่สามารถสร้างระบบค่าตอบแทนที่จะดึงดูดบุคลากรที่มีศักยภาพได้พร้อมลดทอนอำนาจเลขาธิการ กปช. โดยดึงการใช้ดุลพินิจ ไปอยู่ที่คณะกรรมการชุดเล็กที่บอร์ดไซเบอร์ซึ่งนายกรัฐมนตรีเป็นประธานเป็นผู้แต่งตั้ง ทั้งการตรวจค้น เข้าเคหสถาน ยึดอุปกรณ์ต่าง ๆ ของพนักงานเจ้าหน้าที่ จะกำหนดเงื่อนไขปฏิบัติการไว้ โดยจะต้องขอหมายศาลก่อน หากไม่ใช่ภัยร้ายแรงที่ทำให้โครงข่ายล่มได้ แต่ถ้าร้ายแรงให้คณะกรรมการชุดเล็กสั่งการได้ทันที

“ส่วนความรับผิดของพนักงานเจ้าหน้าที่นั้น ถึงไม่ได้มีกำหนดไว้ แต่ก็เข้าข่ายความผิดตามประมวลกฎหมายอาญามาตรา 157 ฐานปฏิบัติหรือละเว้นการปฏิบัติหน้าที่โดยมิชอบได้อยู่แล้ว”

สำหรับการกำหนดบทลงโทษของการฝ่าฝืน พ.ร.บ.นี้ ที่หลายฝ่ายมองว่าร้ายแรงมากเกินไปก็จะให้มีการทบทวนอีกครั้ง

“จากนี้จะนำข้อสรุปทั้งหมดมาปรับปรุงเป็นรายมาตรา แล้วเชิญประชุมหน่วยงานที่เกี่ยวข้องเพื่อดูว่าจะปรับปรุงตรงไหนอีกหรือไม่ รวมถึงคณะทำงาน 3 ฝ่าย

ระหว่างภาครัฐ เอกชน และประชาสังคมที่จะตั้งขึ้นด้วย ก่อนนำร่างล่าสุดเสนอเลขาธิการคณะรัฐมนตรีเข้าที่ประชุมคณะรัฐมนตรี ให้มีมติส่งเข้ากระบวนการนิติบัญญัติของ สนช. (สภานิติบัญญัติแห่งชาติ) ต่อไป ซึ่งยังเชื่อว่าจะประกาศใช้ได้ทันรัฐบาลนี้ แต่ก็ขึ้นอยู่กับทางกฤษฎีกาเป็นหลัก”

ส่วนร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ยืนยันว่า ยังอยู่ในขั้นตอนของคณะกรรมการกฤษฎีกาทบทวนอีกครั้งก่อนเสนอเข้า ครม. แต่เชื่อว่าเนื้อหาชัดเจนพอที่จะคุ้มครองสิทธิ์ประชาชน

กม.ข้อมูลส่วนบุคคลยังน่าห่วง

ด้านแหล่งข่าวภายในวงการไซเบอร์ซีเคียวริตี้ เปิดเผย “ประชาชาติธุรกิจ” โดยกังวลว่าร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะไม่ได้รับการแก้ไข ซึ่งจะสร้างผลกระทบกับทั้งประชาชน และองค์กรทั้งภาครัฐและธุรกิจแน่นอนหากประกาศใช้ตามร่างฉบับล่าสุด

“กฎหมายนี้บังคับใช้กับทุกคน ทุกธุรกิจ ทุกองค์กรในประเทศนี้ ง่าย ๆ ถ้าแอบใช้สมาร์ทโฟนถ่ายรูปถ่ายคลิปคนอื่นแล้วไปเผยแพร่ ตามร่างฉบับล่าสุด จะมีโทษปรับสูงสุดถึง 7 ล้านบาท

แต่มีเวลาให้ทุกคนทุกองค์กรเตรียมตัว ทั้งทำความเข้าใจ พัฒนาระบบต่าง ๆ เพียง 180 วันหลังประกาศใช้ ทั้งที่เป็นเรื่องใหม่มากของประเทศ ขณะที่ฝั่งสหภาพยุโรปให้เวลาเตรียมตัว 2 ปีหลังประกาศใช้ ทั้ง ๆ ที่ก่อนจะมี GDPR (กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป) ก็มีกฎหมาย DPD ที่คล้ายกันบังคับใช้อยู่แล้ว”

ที่สำคัญคือ มีข้อกำหนดที่ระบุเกี่ยวกับการคุ้มครองสิทธิ์ มาตรการกำกับมาตรฐานของระบบในการจัดเก็บ-ใช้-ประมวลผลข้อมูลต่าง ๆ มีน้อยมาก อาทิ หัวใจสำคัญของ GDPR คือ ต้องมีการวิเคราะห์ประเมินความเสี่ยงของการออกแบบระบบที่เกี่ยวข้องทั้งหมดของแต่ละหน่วยงานตั้งแต่ต้น เพื่อปิดช่องโหว่ที่อาจจะทำให้เกิดปัญหา โดยมีองค์กรกลางเข้าไปตรวจสอบและสั่งให้ปรับปรุงได้ แต่ในร่างกฎหมายของไทย ไม่มีส่วนนี้เลย แต่กลับมุ่งไปที่การจัดตั้งสำนักงานคณะกรรมการการคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนใหญ่

ยังไม่ได้มาตรฐาน GDPR

“GDPR ระบุไว้ชัดเจนว่า ไม่ยินยอมให้มีการทำธุรกรรมและให้ข้อมูลของพลเมืองยุโรปไหลไปสู่องค์กรที่ไม่มีมาตรฐานการคุ้มครองข้อมูลเทียบเท่า GDPR ฉะนั้น หากไทยไม่มีกฎหมายนี้ องค์กรที่อยากทำธุรกิจกับยุโรปก็ต้องไปทำสัญญาการันตีมาตรฐานเอาเองเป็นรายบริษัท ซึ่งยากมากในทางธุรกิจ แต่ที่สำคัญกว่านั้นคือต่อให้มีการประกาศใช้ พ.ร.บ.นี้ตามฉบับล่าสุดก็จะยังมีปัญหานี้อยู่ดี เพราะไม่ได้มีการกำหนดมาตรฐานต่าง ๆ ให้เพียงพอตามที่ GDPR กำหนดไว้ และยังจะเกิดปัญหาจากความไม่รู้ของประชาชน ซึ่งบทลงโทษรุนแรง มีทั้งโทษจำคุก โทษปรับด้วย”