posttoday

4ข้อเท็จจริงต้องรู้ "พรบ.ความมั่นคงไซเบอร์" มุ่งป้องกันภัยคุกคาม-ไม่ได้ให้อำนาจส่องข้อมูลบุคคล

06 มีนาคม 2562

กระทรวงดิจิทัลฯชี้แจง 4 ข้อเท็จจริงเกี่ยวกับ ร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยทางไซเบอร์ ย้ำเพื่อรับมือการโจมตีทางไซเบอร์เพื่อประโยชน์ประเทศ

กระทรวงดิจิทัลฯชี้แจง 4 ข้อเท็จจริงเกี่ยวกับ ร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยทางไซเบอร์ ย้ำเพื่อรับมือการโจมตีทางไซเบอร์เพื่อประโยชน์ประเทศ

กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ชี้แจงข้อเท็จจริงเกี่ยวกับ ร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยทางไซเบอร์ โดยมีเนื้อหาน่าสนใจดังนี้

ประการแรก ร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ เป็นกฎหมายเพื่อประโยชน์ของประเทศและประชาชนโดยรวม

ร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ มีวัตถุประสงค์เพื่อช่วยดูแลและปกป้องโครงสร้างพื้นฐานสำคัญทาสารสนเทศ (Critical Information Infrastructure : CII) เนื่องจากปัจจุบันระบบสาธารณูปโภคและบริการพื้นฐานสำคัญของประเทศได้ถูกพัฒนาหรือถูกควบคุมด้วยระบบคอมพิวเตอร์ ทำให้มีความเสี่ยงจากการถูกโจมตีทางไซเบอร์ เช่น ไวรัส มัลแวร์ ฯลฯ ซึ่งอาจนำไปสู่การหยุดชะงัก หรือการทำลายให้ระบบไม่สามารถทำงานได้ ก่อความเสียหาย และกระทบกับชีวิตความเป็นอยู่ของประชาชนหรือการทำธุรกิจทั้งด้านสังคมและเศรษฐกิจ

การมีกฎหมายฉบับนี้เพื่อรักษาความมั่นคงของระบบสารสนเทศของโครงสร้างพื้นฐานที่สำคัญทางเศรษฐกิจในยุคดิจิทัล อันเป็นสากลที่นานาประเทศมีกฎหมายลักษณะนี้ ร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ฉบับนี้จึงเป็นประโยชน์ต่อประชาชน ธุรกิจ นักลงทุน ทั้งไทยและต่างชาติ เพื่อให้มั่นใจได้ว่า โครงสร้างพื้นฐานสำคัญและบริการหลักของประเทศสามารถให้บริการได้อย่างต่อเนื่อง

ประการที่สอง ร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ เป็นกฎหมายเพื่อรับมือการโจมตีระบบโครงสร้างพื้นฐานสำคัญของประเทศ

ซึ่งปัจจุบันบริหารควบคุมด้วยระบบคอมพิวเตอร์ ซึ่งในกฎหมายนี้เรียกว่า โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure : CII) ประกอบด้วย 7 ด้าน ได้แก่ ด้านความมั่นคง บริการภาครัฐที่สำคัญ การเงิน-การธนาคาร เทคโนโลยีสารสนเทศและโทรคมนาคม ระบบขนส่งและโลจิสติกส์ พลังงาน-สาธารณูปโภค และสาธารณสุข หากระบบคอมพิวเตอร์ของโครงสร้างพื้นฐานสำคัญทางสารสนเทศทั้ง 7 ด้านนี้ถูกโจมตีจากภัยคุกคามทางไซเบอร์ ทำให้ระบบหยุดชะงักหรือระบบล่ม จะส่งผลกระทบให้บริการพื้นฐานสำคัญไม่สามารถให้บริการได้ต่อเนื่อง และอาจทำให้เกิดความสูญเสียต่อชีวิตหรือความปลอดภัยของประชาชน

โดยร่างพ.ร.บ.กำหนดให้หน่วยงานทั้งรัฐและเอกชนที่รับผิดชอบการกิจในการให้บริการทั้ง 7 ด้านนี้ ต้องมีแผนป้องกัน การเฝ้าระวัง การรับมือและแผนเผชิญเหตุเมื่อเกิดการโจมตีทางไซเบอร์ขึ้น นอกจากนั้นร่าง พ.ร.บ.ฉบับนี้กำหนดให้มีคณะกรรมการและองค์กรที่รับผิดชอบเรื่องนี้โดยตรงเพื่อช่วยดูแลเมื่อหน่วยงานที่รับผิดชอบโดยตรงรับมือไม่ไหว โดยอำนาจของกรรมการและสำนักงานมีกรอบกำหนดชัดเจน มีกลไกตรวจสอบได้

ประการที่สาม ร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ ไม่มีบทบัญญัติใดๆที่เกี่ยวกับการเฝ้าระวัง สอดส่องติดตาม ข้อมูล เนื้อหา ในโซเชียลมีเดีย

เพราะเป็นกฎหมายที่ไม่ได้บังคับใช้กับประชาชนทั่วไป ไม่เข้าไปตรวจสอบข้อมูลที่เป็นเนื้อหาที่อาจเป็นความเท็จหรือหมิ่นประมาทบุคคลอื่น ซึ่งเพราะมี พ.ร.บ.การกระทำความผิดทางคอมพิวเตอร์ดูแลอยู่แล้ว

ทุกมาตราในร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์มีไว้เพื่อดูแลให้เกิดความปลอดภัยของระบบคอมพิวเตอร์เท่านั้น โดยในร่างพ.ร.บ.ฉบับนี้ กำหนดโทษไว้เพียง 2 ประเภท ได้แก่ ความผิดของเจ้าหน้าที่ซึ่งไม่ปฏิบัติตามหน้าที่ และ ความผิดของผู้รับผิดชอบในหน่วยงานที่มีหน้าที่ดูแลปกป้องระบบที่มีความสำคัญ แต่ละเลยการปฏิบัติหน้าที่หรือไม่ให้ความร่วมมือในยามที่มีภัยรุนแรง ร่างพ.ร.บ.นี้จึงไม่มีบรรทัดใดเลยที่ระบุถึงการขอดูข้อมูลประชาชนและละเมิดสิทธิ์ข้อมูลส่วนบุคคล

ประการที่สี่ การเข้าไปในสถานที่ เพื่อตรวจค้น ยึด อุปกรณ์ และการเข้าถึงระบบคอมพิวเตอร์ทุกกรณีต้องอาศัยคำสั่งศาล

โดยเจ้าพนักงานเข้าตรวจค้น ยึด อุปกรณ์ คอมพิวเตอร์ เครื่องมือสื่อสารเฉพาะเท่าที่จำเป็นเพื่อระงับหรือหยุดภัยคุกคาม เมื่อเกิดภัยไซเบอร์ในระดับร้ายแรงที่ทำให้ระบบของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศไม่สามารถทำงานได้เท่านั้น

ซึ่งร่างพ.ร.บ.นี้มีนิยามของภัยคุกคามไว้ 3 ระดับ คือ กรณีที่เป็นภัยคุกคามทางไซเบอร์ในระดับไม่ร้ายแรง เป็นหน้าที่ของหน่วยงานนั้นๆ และหน่วยงานกำกับดูแบต้องดำเนินการตามมาตรฐนที่กำหนดไว้ หากเป็นกรณีที่เป็นภัยคุกคามระดับร้ายแรง ที่ทำให้การทำงานของหน่วยงานโครงส้รางพื้นฐานสำคัญหยุดชะงัก สำนักงานคณะกรรมการรักษาความมั่นคงไซเบอร์จะให้ความช่วยเหลือในารแก้ปัญหา โดยการเข้าไปในสถานที่ หรือเข้าไปตรวจ โดยเจ้าหน้าที่จะต้องขอหมายศาลก่อนดำเนินการ และในกรณีเป็นภัยระดับวิกฤติ ที่ระบบของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศของชาติถูกโจมตีจนล่ม ไม่สามารถให้บริการได้ในวงกว้าง หรือมีประชาชนเสียชีวิต และมีผลกระทบต่อความมั่นคงของประเทศ จึงจะสามารถใช้อำนาจตามกฎหมายด้านการรักษาความมั่นคง

อย่างไรก็ตามเจ้าหน้าที่จะต้องดำเนินการแก้ไขอย่างเร่งด่วนพร้อมกับแจ้งศาลโดยเร็ว

ทั้งนี้ แนวทางของร่างพ.ร.บ.ไซเบอร์ฯฉบับนี้เป็นแนวทางเดียวกับที่ประเทศต่างๆ อาทิ สิงคโปร์ สหรัฐอเมริกา ออสเตรเลีย และประเทศในสหภาพยุโรป ใช้อยู่ในปัจจุบัน ในขั้นการปรับปรุงร่าง พ.ร.บ. กระทรวงดิจิทัลฯ ได้มีการหารือหน่วยงานที่เกี่ยวข้งทั้งภาครัฐและเอกชน และได้จัดให้มีการรับฟังความคิดเห็นกับประชาชนและผู้เกี่ยวข้อง รวมถึงมีการเผยแพร่ร่างพ.ร.บ. ในสื่อเว็บไซต์มาโดยตลอด

นอกจากนี้ในการพิจารณาของสภานิติบัญญัติแห่งชาติได้ตั้งคณะกรรมาธิการวิสามัญพิจารณาปรับปรุงแก้ไข ประกอบด้วยผู้ทรงคุณวุฒิจากส่วนต่างๆที่มีความรู้ ความเชี่ยวชาญ และประสบการณ์ มีการรับฟังความคิดเห็นจากผู้มีส่วนได้ส่วนเสียทั้งภาครัฐเอกชน และภาคประชาสังคม คณะกรรมาธิการฯ มีการประชุมกันถึงกว่า 20 ครั้ง เพื่อปรับปรุงแก้ไขร่างให้มีความสมบูรณ์มากที่สุด ตลอดช่วงเวลาหลายเดือนก่อนการนำเสนอ มิได้รวบรัดเร่งรีบแต่อย่างใด