“ดีอี” ปรับร่างกฎหมายไซเบอร์อีกรอบ ย้ำนิยามให้ชัด ดึงอำนาจศาลมาถ่วงดุล ตั้งบอร์ดย่อยอีกเพียบ ตีกรอบอำนาจสำนักงานใหม่-เลขาธิการ หวังลดข้อกังวลเอกชน ก่อนดันเข้า ครม.ต้นเดือน ธ.ค.นี้
พล.อ.อ.ประจิน จั่นตอง รองนายกรัฐมนตรี เปิดเผย “ประชาชาติธุรกิจ” หลังประชุมคณะทำงานปรับปรุงร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ ระหว่างกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) หน่วยงานภาครัฐและเอกชนว่า ได้ย้ำให้ตรวจสอบเนื้อหาร่างกฎหมายอย่างรอบคอบ ไม่ให้มีปัญหาการตีความในการปฏิบัติ และไม่ให้ทับซ้อนกับกฎหมายอื่น
- ประกาศแล้ว! พระราชกฤษฎีกาเงินช่วยค่าครองชีพผู้รับเบี้ยหวัดบำนาญ รับ 11,000 บาทต่อเดือน
- บังคับใช้แล้ว! หลักเกณฑ์การดำเนินงาน 30 บาทรักษาทุกที่ ด้วยบัตรประชาชนใบเดียว
- กีรติ รัชโน ปลัดกระทรวงพาณิชย์ เสียชีวิต อายุ 56 ปี
ด้านนายพิเชฐ ดุรงคเวโรจน์ รัฐมนตรีกระทรวงดีอี เปิดเผยว่า ในที่ประชุมเห็นพ้องว่าจำเป็นต้องมีกฎหมายฉบับนี้ แต่ยังกังวลแนวทางปฏิบัติบางส่วน จากนี้จะมีการปรับแก้อีกรอบ ก่อนเสนอเข้าที่ประชุมคณะรัฐมนตรีราวต้นเดือน ธ.ค.นี้
ขณะที่นางอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดีอี กล่าวเสริมว่า ภาคเอกชนยังกังวลการใช้ถ้อยคำที่ยังไม่ชัดเจน และต้องการให้เพิ่มรายละเอียดในหลายประเด็น อาทิ กรอบของภัยคุกคามแต่ละระดับ แต่ทุกฝ่ายเห็นด้วยกับกรอบแนวคิดของร่างฉบับนี้แล้ว
“ร่างฉบับที่ปรับปรุงแก้ไขอีกรอบจะเสร็จได้ราวสัปดาห์หน้า จากนั้นจะนำเวียนให้หน่วยงานที่เกี่ยวข้องพิจารณา ก่อนที่จะเสนอเข้าที่ประชุม ครม. และ ครม.จะเป็นผู้พิจารณาว่าต้องส่งคณะกรรมการกฤษฎีกาอีกรอบ หรือให้สภานิติบัญญัติแห่งชาติพิจารณาได้เลย”
ตั้ง สนง.ชั่วคราวแทน สพธอ.
“ส่วนสำคัญที่เปลี่ยนคือ ไม่ได้มอบหมายให้ สพธอ. (สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์) เป็นผู้ปฏิบัติงานชั่วคราวเหมือนในร่างเดิม แต่จะตั้งสำนักงานชั่วคราวขึ้นมา เหมือนตอนตั้งกรมสอบสวนคดีพิเศษ (DSI) โดยดึงเจ้าหน้าที่จากแต่ละหน่วยงานที่เกี่ยวข้องมา เพื่อให้ขับเคลื่อนงานได้เร็วขึ้น”
สำหรับร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ฉบับล่าสุดที่ปรับปรุงใหม่ มีสาระสำคัญที่แก้ไขคือ กำหนดนิยามของภัยคุกคามทางไซเบอร์ โดยตัดในส่วนที่เกี่ยวข้องกับคอนเทนต์ออก และให้หมายถึงเฉพาะการดำเนินการใด ๆ
โดยมิชอบโดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ทรัพย์สินสารสนเทศ และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือทรัพย์สินสารสนเทศทั้งยังเพิ่มนิยาม “เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์” ให้ชัดเจนขึ้น
เพิ่มคณะกรรมการกำกับ สนง.
เพิ่มอำนาจของคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ “กปช.” ซึ่งมีนายกรัฐมนตรีเป็นประธาน ในการแต่งตั้งคณะกรรมการกำกับสำนักงาน กปช. เพื่อทำหน้าที่บริหารงานภายในให้มีประสิทธิภาพ รวมถึงแต่งตั้งและถอดถอนเลขาธิการสำนักงานทั้งยังกำหนดนโยบายและหน้าที่ให้หน่วยงานรัฐ หรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศรวมถึงนโยบายการบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ และออกประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านไซเบอร์ที่เป็นมาตรฐานขั้นต่ำที่หน่วยงานรัฐต้องปฏิบัติ
ผุด “คปมช.” ดูแลภัยไซเบอร์
กำหนดให้มีการตั้งคณะกรรมการกำกับดูแลความมั่นคงปลอดภัยไซเบอร์แห่งชาติ “คปมช.” ภายใต้การดูแลของรองนายกรัฐมนตรีฝ่ายความมั่นคง หรือรัฐมนตรีกระทรวงดีอี ซึ่งจะมีหน้าที่ดูแลเมื่อเกิดหรือคาดว่าจะเกิดภัยคุกคามไซเบอร์ โดยให้มีหน้าที่รวบรวมข้อมูล พยานเอกสาร พยานบุคคล พยานวัตถุ สนับสนุนให้ความช่วยเหลือ และเข้าร่วมในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคาม โดยแบ่งภัยคุกคามเป็น 3 ระดับ คือ ระดับทั่วไป ภัยร้ายแรง และภัยวิกฤตในการป้องกันภัยคุกคามร้ายแรง ให้เลขาธิการ กปช. และ คปมช. มีอำนาจออกคำสั่งเฉพาะเท่าที่จำเป็นให้บุคคลผู้เป็นเจ้าของกรรมสิทธิ์ ผู้ครอบครอง ผู้ใช้คอมพิวเตอร์ หรือระบบ ผู้ดูแลระบบคอมพิวเตอร์ ดำเนินการ และการเข้าถึงข้อมูลคอมพิวเตอร์หรือข้อมูลทรัพย์สินสารสนเทศที่เกี่ยวข้องเท่าที่จำเป็นนั้น ต้องยื่นคำร้องต่อศาล
ตีกรอบอำนาจเลขาธิการ
พร้อมกับตีกรอบอำนาจของเลขาธิการ กปช. ที่เดิมถูกท้วงติงว่ามีอำนาจมากเกินไป เปิดช่องให้ใช้ดุลพินิจ ร่างฉบับล่าสุดระบุให้เลขาธิการ ต้องอยู่ภายใต้การควบคุมดูแลของบอร์ด กปช. และคณะกรรมการกำกับสำนักงาน ทั้งยังระบุให้หน่วยงานที่ได้รับหนังสือแจ้งจาก กปช. ให้ส่งข้อมูล สามารถอุทธรณ์คำสั่งได้ภายใน 30 วันรวมถึงอำนาจในการเข้าถึงทรัพย์สินสารสนเทศ การเข้าตรวจสอบสถานที่ ที่เดิมแค่ “สงสัย” ก็เข้าถึงได้ แต่ร่างฉบับล่าสุดจะทำได้ต่อเมื่อมีเหตุ
“เชื่อได้ว่า” เกี่ยวข้องกับภัยคุกคาม ส่วนการยึด อายัด คอมพิวเตอร์ ระบบหรืออุปกรณ์ใด ๆ ให้ทำได้เฉพาะที่จำเป็น และต้องยื่นคำร้องต่อศาล ยกเว้นว่าเป็นภัยคุกคามระดับวิกฤตให้ดำเนินการได้ทันทีเท่าที่จำเป็น แต่เมื่อดำเนินการเสร็จแล้วต้องแจ้งต่อศาล
ขณะที่ประเด็นเรื่องผลประโยชน์ทับซ้อนที่อาจจะเกิดขึ้นจากการเปิดช่องให้ สำนักงาน กปช. เข้าถือหุ้นหรือลงทุนในนิติบุคคลอื่นได้นั้น ร่างกฎหมายฉบับล่าสุดได้ตัดเนื้อหาในส่วนนี้ออกทั้งหมด รวมไปถึงการให้กู้ยืมเงิน การเรียกเก็บค่าธรรมเนียม ค่าบริการ ค่าตอบแทนต่าง ๆ
ปรับบทลงโทษ
นอกจากนี้ยังได้เพิ่มส่วนของบทลงโทษพนักงานเจ้าหน้าที่ที่ได้เปิดเผยข้อมูลที่ได้ตาม พ.ร.บ.นี้ให้กับบุคคลอื่น ให้มีโทษจำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน 6 หมื่นบาท หรือทั้งจำทั้งปรับ หากเป็นการกระทำโดยประมาทมีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 2 หมื่นบาท รวมถึงผู้ใดที่ล่วงรู้ข้อมูลที่พนักงานเจ้าหน้าที่ตาม พ.ร.บ.นี้ได้มาแล้วนำไปเปิดเผยกับบุคคลอื่น มีโทษจำคุกไม่เกิน 2 ปี ปรับไม่เกิน 4 หมื่นบาท
ส่วนบทลงโทษเดิมที่กำหนดไว้สำหรับผู้ฝ่าฝืน พ.ร.บ.นี้ ทั้งในส่วนของเจ้าของกรรมสิทธิ์ ผู้ครอบครอง ผู้ดูแลระบบ หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ได้ระบุให้ต้องได้รับโทษเมื่อเป็นการฝ่าฝืนโดย “ไม่มีเหตุอันสมควร”
และในกรณีที่ฝ่าฝืนคำสั่งของเลขาธิการ กปช. ในการแก้ไขภัยคุกคามด้วยการกำจัดชุดคำสั่งไม่พึงประสงค์ การหยุดกิจกรรมตามที่ระบุ การหยุดใช้คอมพิวเตอร์หรือระบบ ได้ลดโทษจากจำคุก 3 ปี ปรับ 1.5 แสนบาท เป็นจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 2.5 หมื่นบาท หรือทั้งจำทั้งปรับแทน