ไอซีที

กม.ไซเบอร์เข้าครม.ต้นธันวา ดีอีลดแรงต้านปรับอีกรอบย้ำนิยามให้เป๊ะ

“ดีอี” ปรับร่างกฎหมายไซเบอร์อีกรอบ ย้ำนิยามให้ชัด ดึงอำนาจศาลมาถ่วงดุล ตั้งบอร์ดย่อยอีกเพียบ ตีกรอบอำนาจสำนักงานใหม่-เลขาธิการ หวังลดข้อกังวลเอกชน ก่อนดันเข้า ครม.ต้นเดือน ธ.ค.นี้

 

พล.อ.อ.ประจิน จั่นตอง รองนายกรัฐมนตรี เปิดเผย “ประชาชาติธุรกิจ” หลังประชุมคณะทำงานปรับปรุงร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ ระหว่างกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) หน่วยงานภาครัฐและเอกชนว่า ได้ย้ำให้ตรวจสอบเนื้อหาร่างกฎหมายอย่างรอบคอบ ไม่ให้มีปัญหาการตีความในการปฏิบัติ และไม่ให้ทับซ้อนกับกฎหมายอื่น

ด้านนายพิเชฐ ดุรงคเวโรจน์ รัฐมนตรีกระทรวงดีอี เปิดเผยว่า ในที่ประชุมเห็นพ้องว่าจำเป็นต้องมีกฎหมายฉบับนี้ แต่ยังกังวลแนวทางปฏิบัติบางส่วน จากนี้จะมีการปรับแก้อีกรอบ ก่อนเสนอเข้าที่ประชุมคณะรัฐมนตรีราวต้นเดือน ธ.ค.นี้

ขณะที่นางอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดีอี กล่าวเสริมว่า ภาคเอกชนยังกังวลการใช้ถ้อยคำที่ยังไม่ชัดเจน และต้องการให้เพิ่มรายละเอียดในหลายประเด็น อาทิ กรอบของภัยคุกคามแต่ละระดับ แต่ทุกฝ่ายเห็นด้วยกับกรอบแนวคิดของร่างฉบับนี้แล้ว

“ร่างฉบับที่ปรับปรุงแก้ไขอีกรอบจะเสร็จได้ราวสัปดาห์หน้า จากนั้นจะนำเวียนให้หน่วยงานที่เกี่ยวข้องพิจารณา ก่อนที่จะเสนอเข้าที่ประชุม ครม. และ ครม.จะเป็นผู้พิจารณาว่าต้องส่งคณะกรรมการกฤษฎีกาอีกรอบ หรือให้สภานิติบัญญัติแห่งชาติพิจารณาได้เลย”

ตั้ง สนง.ชั่วคราวแทน สพธอ.

“ส่วนสำคัญที่เปลี่ยนคือ ไม่ได้มอบหมายให้ สพธอ. (สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์) เป็นผู้ปฏิบัติงานชั่วคราวเหมือนในร่างเดิม แต่จะตั้งสำนักงานชั่วคราวขึ้นมา เหมือนตอนตั้งกรมสอบสวนคดีพิเศษ (DSI) โดยดึงเจ้าหน้าที่จากแต่ละหน่วยงานที่เกี่ยวข้องมา เพื่อให้ขับเคลื่อนงานได้เร็วขึ้น”

สำหรับร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ฉบับล่าสุดที่ปรับปรุงใหม่ มีสาระสำคัญที่แก้ไขคือ กำหนดนิยามของภัยคุกคามทางไซเบอร์ โดยตัดในส่วนที่เกี่ยวข้องกับคอนเทนต์ออก และให้หมายถึงเฉพาะการดำเนินการใด ๆ

โดยมิชอบโดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ทรัพย์สินสารสนเทศ และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือทรัพย์สินสารสนเทศทั้งยังเพิ่มนิยาม “เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์” ให้ชัดเจนขึ้น

เพิ่มคณะกรรมการกำกับ สนง.

เพิ่มอำนาจของคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ “กปช.” ซึ่งมีนายกรัฐมนตรีเป็นประธาน ในการแต่งตั้งคณะกรรมการกำกับสำนักงาน กปช. เพื่อทำหน้าที่บริหารงานภายในให้มีประสิทธิภาพ รวมถึงแต่งตั้งและถอดถอนเลขาธิการสำนักงานทั้งยังกำหนดนโยบายและหน้าที่ให้หน่วยงานรัฐ หรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศรวมถึงนโยบายการบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ และออกประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านไซเบอร์ที่เป็นมาตรฐานขั้นต่ำที่หน่วยงานรัฐต้องปฏิบัติ

ผุด “คปมช.” ดูแลภัยไซเบอร์

กำหนดให้มีการตั้งคณะกรรมการกำกับดูแลความมั่นคงปลอดภัยไซเบอร์แห่งชาติ “คปมช.” ภายใต้การดูแลของรองนายกรัฐมนตรีฝ่ายความมั่นคง หรือรัฐมนตรีกระทรวงดีอี ซึ่งจะมีหน้าที่ดูแลเมื่อเกิดหรือคาดว่าจะเกิดภัยคุกคามไซเบอร์ โดยให้มีหน้าที่รวบรวมข้อมูล พยานเอกสาร พยานบุคคล พยานวัตถุ สนับสนุนให้ความช่วยเหลือ และเข้าร่วมในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคาม โดยแบ่งภัยคุกคามเป็น 3 ระดับ คือ ระดับทั่วไป ภัยร้ายแรง และภัยวิกฤตในการป้องกันภัยคุกคามร้ายแรง ให้เลขาธิการ กปช. และ คปมช. มีอำนาจออกคำสั่งเฉพาะเท่าที่จำเป็นให้บุคคลผู้เป็นเจ้าของกรรมสิทธิ์ ผู้ครอบครอง ผู้ใช้คอมพิวเตอร์ หรือระบบ ผู้ดูแลระบบคอมพิวเตอร์ ดำเนินการ และการเข้าถึงข้อมูลคอมพิวเตอร์หรือข้อมูลทรัพย์สินสารสนเทศที่เกี่ยวข้องเท่าที่จำเป็นนั้น ต้องยื่นคำร้องต่อศาล

ตีกรอบอำนาจเลขาธิการ

พร้อมกับตีกรอบอำนาจของเลขาธิการ กปช. ที่เดิมถูกท้วงติงว่ามีอำนาจมากเกินไป เปิดช่องให้ใช้ดุลพินิจ ร่างฉบับล่าสุดระบุให้เลขาธิการ ต้องอยู่ภายใต้การควบคุมดูแลของบอร์ด กปช. และคณะกรรมการกำกับสำนักงาน ทั้งยังระบุให้หน่วยงานที่ได้รับหนังสือแจ้งจาก กปช. ให้ส่งข้อมูล สามารถอุทธรณ์คำสั่งได้ภายใน 30 วันรวมถึงอำนาจในการเข้าถึงทรัพย์สินสารสนเทศ การเข้าตรวจสอบสถานที่ ที่เดิมแค่ “สงสัย” ก็เข้าถึงได้ แต่ร่างฉบับล่าสุดจะทำได้ต่อเมื่อมีเหตุ

“เชื่อได้ว่า” เกี่ยวข้องกับภัยคุกคาม ส่วนการยึด อายัด คอมพิวเตอร์ ระบบหรืออุปกรณ์ใด ๆ ให้ทำได้เฉพาะที่จำเป็น และต้องยื่นคำร้องต่อศาล ยกเว้นว่าเป็นภัยคุกคามระดับวิกฤตให้ดำเนินการได้ทันทีเท่าที่จำเป็น แต่เมื่อดำเนินการเสร็จแล้วต้องแจ้งต่อศาล

ขณะที่ประเด็นเรื่องผลประโยชน์ทับซ้อนที่อาจจะเกิดขึ้นจากการเปิดช่องให้ สำนักงาน กปช. เข้าถือหุ้นหรือลงทุนในนิติบุคคลอื่นได้นั้น ร่างกฎหมายฉบับล่าสุดได้ตัดเนื้อหาในส่วนนี้ออกทั้งหมด รวมไปถึงการให้กู้ยืมเงิน การเรียกเก็บค่าธรรมเนียม ค่าบริการ ค่าตอบแทนต่าง ๆ

ปรับบทลงโทษ

นอกจากนี้ยังได้เพิ่มส่วนของบทลงโทษพนักงานเจ้าหน้าที่ที่ได้เปิดเผยข้อมูลที่ได้ตาม พ.ร.บ.นี้ให้กับบุคคลอื่น ให้มีโทษจำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน 6 หมื่นบาท หรือทั้งจำทั้งปรับ หากเป็นการกระทำโดยประมาทมีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 2 หมื่นบาท รวมถึงผู้ใดที่ล่วงรู้ข้อมูลที่พนักงานเจ้าหน้าที่ตาม พ.ร.บ.นี้ได้มาแล้วนำไปเปิดเผยกับบุคคลอื่น มีโทษจำคุกไม่เกิน 2 ปี ปรับไม่เกิน 4 หมื่นบาท

ส่วนบทลงโทษเดิมที่กำหนดไว้สำหรับผู้ฝ่าฝืน พ.ร.บ.นี้ ทั้งในส่วนของเจ้าของกรรมสิทธิ์ ผู้ครอบครอง ผู้ดูแลระบบ หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ได้ระบุให้ต้องได้รับโทษเมื่อเป็นการฝ่าฝืนโดย “ไม่มีเหตุอันสมควร”

และในกรณีที่ฝ่าฝืนคำสั่งของเลขาธิการ กปช. ในการแก้ไขภัยคุกคามด้วยการกำจัดชุดคำสั่งไม่พึงประสงค์ การหยุดกิจกรรมตามที่ระบุ การหยุดใช้คอมพิวเตอร์หรือระบบ ได้ลดโทษจากจำคุก 3 ปี ปรับ 1.5 แสนบาท เป็นจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 2.5 หมื่นบาท หรือทั้งจำทั้งปรับแทน