จับเข่าคุย “ดร.ปิยะบุตร” นิติฯ จุฬาฯ เรื่องต้องรู้เกี่ยวกับ พรบ.ไซเบอร์

ดร.ปิยะบุตร บุญอร่ามเรือง อาจารย์ประจำคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย เปิดเผยรายละเอียดและเรื่องที่ต้องตระหนักเมื่อมีการประกาศบังคับใช้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 หรือ พรบ.ไซเบอร์ โดยย้ำชัดว่ามีความเกี่ยวข้องกับทุกคน

ดร.ปิยะบุตร กล่าวว่า คำถามแรกที่ทุกคนมักจะถามเหมือนกันคือ พรบ.ไซเบอร์ คืออะไร ตอบอย่างง่ายคือ พรบ.ไซเบอร์ เป็นมาตรการกำกับดูแล (regulation) ในลักษณะที่เป็นการกำหนดมาตรฐานความปลอดภัยที่ “ผู้ประกอบการต้องปฏิบัติ” ทั้งนี้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 (พรบ.ไซเบอร์) เป็นกฎหมายสมัยใหม่ที่มีลักษณะเป็นมาตรการกำกับดูแล (regulation) ไม่ใช่การกำหนดฐานความผิดอาญาแบบที่คุ้นเคยกัน

ลักษณะของมาตรการกำกับดูแลก็คือ การกำหนดมาตรฐานที่ผู้เกี่ยวข้องต้องปฏิบัติ ในที่นี้ก็คือ ผู้ที่มีระบบคอมพิวเตอร์ ต้องดำเนินการให้ระบบของตนเองได้มาตรฐานความปลอดภัย กรณีที่ไม่ปลอดภัยส่งผลเสียหายอย่างไรบ้างนั้นมีผู้อธิบายไว้มากแล้ว แต่หากไม่มีกฎหมายมากำหนดมาตรฐานก็จะไม่มีแรงจูงใจทางธุรกิจที่ดีพอที่จะทำให้ทุกฝ่ายร่วมกันดำเนินการให้ได้มาตรฐานที่ควรจะเป็น เพราะไม่มีใครอยากจะลงทุนในสิ่งที่เป็นมาตรการป้องกันความเสียหายของตนหากหลีกเลี่ยงได้ ทุกคนย่อมอยากจะเอาเงินก้อนนั้นไปลงทุนในสิ่งที่จะสร้างรายได้ทำกำไรมากกว่า

ดร.ปิยะบุตร กล่าวต่อว่า การสร้างมาตรฐานของการรักษาความมั่นคงปลอดภัยไซเบอร์จำเป็นที่จะต้องกำหนดความรับผิดของนิติบุคคลที่ไม่ปฏิบัติตามมาตรฐานเอาไว้ แนวทางนี้เป็นแนวทางสากลที่ปรากฏในกฎหมายสมัยใหม่ฉบับต่างๆ โดยเฉพาะเรื่องทุจริตคอรัปชั่นและการคุ้มครองข้อมูลส่วนบุคคล ที่น่าสนใจคือ ผู้บริหารและกรรมการของนิติบุคคลจะต้องมีส่วนรับผิดด้วยซึ่งถือเป็นหน้าที่ในการกำกับดูแลกิจการ (corporate oversight liability) ทำให้ความปลอดภัยไซเบอร์เป็นส่วนหนึ่งจากกรอบบรรษัทภิบาล เช่น กลุ่มประเทศอย่างสหรัฐอเมริกา, สหราชอาณาจักร, เยอรมนี, สหรัฐอาหรับเอมิเรตส์, แคนาดา, แอฟริกาใต้ และสิงคโปร์ เป็นต้น ในแง่นี้ผลกระทบของกฎหมายจึงมุ่งไปยังหน่วยงานและองค์กรต่างๆเป็นสำคัญ

ทั้งนี้ พรบ.ไซเบอร์ได้กำหนดฐานความผิดเอาไว้ในหมวด 4 โดยเฉพาะส่วนที่หน่วยงานหรือองค์กรต้องมีความรับผิดได้แก่ กรณีไม่รายงานเหตุภัยคุกคามทางไซเบอร์, กรณีไม่ปฏิบัติตามหนังสือเรียกของพนักงานเจ้าหน้าที่, กรณีไม่ปฏิบัติตามคำสั่งของ กกม. โดยครอบคลุมทั้งกรณีป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ในระดับร้ายแรง ซึ่งจะมีโทษอาญาสูงสุดจำคุกไม่เกิน 3 ปีปรับไม่เกิน 100,000 บาท

อย่างไรก็ดี มาตรฐานตามแบบกฎหมายบริษัทนั้นอ้างอิงตามมาตรฐานหน้าที่แห่งความระมัดระวัง (reasonable care) ตาม ปพพ.1168 เป็นความรับผิดทางแพ่งซึ่งขึ้นอยู่กับบริบทเป็นรายกรณี แต่ความรับผิดตามมาตรา 77 พรบ.ไซเบอร์นั้นมีความชัดเจนมากกว่า เพราะกฎหมายกำหนดให้เป็นหน้าที่ที่จะต้องทำอย่างชัดเจนและเป็นความรับผิดทางอาญา ผู้บริหารหรือกรรมการจึงมีหน้าที่ต้องจัดให้มีมาตรฐานความปลอดภัยทางไซเบอร์ของหน่วยงานหรือองค์กรตามที่คณะกรรมการกำหนดโดยไม่ต้องรอให้เกิดความเสียหายขึ้นมาเสียก่อน ผู้บริหารและกรรมการในปัจจุบันจึงจำเป็นต้องมีความรู้และความเข้าใจบริบทของ พรบ.ไซเบอร์ เพื่อที่จะสามารถบริหารและจัดการความเสี่ยงจากภัยคุกคามทางไซเบอร์ และมีบุคลากรที่พร้อมจะดำเนินการโดยเฉพาะกับการประสานงานกับหน่วยงานกำกับดูแลเพื่อให้แน่ใจว่าหน่วยงานหรือองค์กรของตนได้ดำเนินการให้เป็นไปตามมาตรฐาน

ดร.ปิยะบุตร ยังกล่าวอีกว่า กลไกที่ใช้ในการรักษาความมั่นคงปลอดภัยไซเบอร์นั้น มีกลไกหลักในการกำกับดูแลตามกฎหมายประกอบไปด้วยองค์กรที่จัดตั้งขึ้นมา ได้แก่

กมช. หรือคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ที่มีนายกรัฐมนตรีเป็นประธาน ทำหน้าที่กำหนดนโยบายและแผนปฏิบัติการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับภาพรวมทั้งประเทศ

กกม. หรือคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ ที่มีรัฐมนตรีว่าการกระทรวงดิจิทัลฯเป็นประธาน ทำหน้าที่ติดตามและกำกับดูแลการดำเนินการของหน่วยงานและองค์กรต่างๆให้ได้ตามมาตรฐาน

สกมช. หรือสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ที่มีเลขาธิการเป็นผู้รับผิดชอบสูงสุดทำหน้าที่เป็นฝ่ายปฏิบัติงานของคณะกรรมการทั้งสองและคณะอนุกรรมการอื่นๆที่อาจมีขึ้นมา

ทั้งนี้ กลไกที่สำคัญที่สุดตามสาระของกฎหมายนี้ก็คือ มาตรฐานที่จะได้กำหนดขึ้น ซึ่งมาตรฐานทั้งหลายที่จะมีขึ้นก็ต้องเป็นไปตามมาตรฐานสากลตระกูล ISO, NIST และอื่นๆที่จะมีตามมา ได้แก่

การกำหนดหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หรือ CII (Critical Information Infrastructures) ซึ่งจะเป็นการกำหนดหน่วยงานหรือองค์กรที่มีความสำคัญทางสารสนเทศของประเทศให้ต้องดำเนินการให้มีมาตรฐานทางไซเบอร์ ในกรณีนี้จะทำงานร่วมกันกับหน่วยงานกำกับดูแลเฉพาะสาขาที่มีอยู่แล้ว เช่น ธปท., กสทช., กกพ. เป็นต้น

ประมวลแนวทางปฏิบัติ (Code of practices) และกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity framework) ที่จะใช้เป็นมาตรฐานขั้นต่ำที่ทุกหน่วยงานจะต้องปฏิบัติโดยเฉพาะCII โดยมาตรา 13 วรรคสอง ถึงขนาดกำหนดกรอบมาตรฐานตามแบบ NIST Cybersecurity Framework เอาไว้ตามภาพ

NIST Cybersecurity Framework

กลไกของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ หรือที่เรียกว่า CERT ซึ่งจะเป็นกลไกประสานงานระหว่าง CERT ของประเทศต่างๆและ CERT ของภาคธุรกิจต่างๆให้สามารถรับมือภัยคุกคามได้

ดร.ปิยะบุตรยังกล่าวเพิ่มเติมว่า ในเชิงเปรียบเทียบกับ พรบ.คอม. แล้ว พรบ.ไซเบอร์เป็นมาตรการกำกับดูแล (regulation) ที่ไม่เกี่ยวข้องกับเนื้อหา

โดยข้อกังวลมากที่สุดในกฎหมายฉบับนี้ คือ ประเด็นการรับมือภัยคุกคามไซเบอร์ที่มีการจัดระดับความร้ายแรงเมื่อเกิดเหตุภัยคุกคามทางไซเบอร์ 3 ระดับ ได้แก่ ระดับไม่ร้ายแรง, ระดับร้ายแรง, ระดับวิกฤติ ที่กำหนดให้เป็นอำนาจหน้าที่ของ กกม. ที่อาจสั่งให้ดำเนินการเพื่อรับมือภัยคุกคาม รวมถึง การเข้าไปในอสังหาริมทรัพย์, เข้าถึงข้อมูล, ยึดอายัดคอมพิวเตอร์, หรือขอข้อมูลที่เป็นปัจจุบันและต่อเนื่อง (real-time) เป็นต้น ซึ่งมีผู้วิพากษ์วิจารณ์อยู่พอสมควร ว่าบทบัญญัติเปิดช่องให้ตีความให้การกระทำเชิงการแสดงออกทางสื่อสามารถเป็นภัยคุกคามระดับวิกฤตได้และจะทำให้ถูกเจ้าหน้าที่ดำเนินการตามกฎหมาย หากเกิดกรณีเช่นนั้นจริงก็จะต้องถือว่าเป็นการใช้อำนาจหน้าที่โดยมิชอบ เพราะแกนกลางของ พรบ.ไซเบอร์ คือ นิยามของคำว่า “ภัยคุกคามทางไซเบอร์” ที่หมายถึง การกระทำใดๆโดยมิชอบที่มุ่งทำลายระบบหรือข้อมูลคอมพิวเตอร์ แต่ไม่ใช่การโพสต์หรือนำเสนอข้อมูลหรือการแสดงออกทางสื่อใดๆ ดังนั้นการแสดงออกทางสื่อต่างๆจึงไม่ใช่ภัยคุกคามตามความหมายนี้ เมื่อไม่ใช่ภัยคุกคามก็ไม่อาจจะเป็นภัยคุกคามระดับใดๆได้ ขณะที่ พรบ.คอม.กำหนดฐานความผิดอาญาของผู้ที่นำเข้าซึ่งข้อมูลบิดเบือนหลอกลวง ซึ่งเป็นฐานความผิดของการแสดงออกทางสื่อไว้แล้ว

“พรบ.ไซเบอร์เป็นมาตรการกำกับดูแล (regulation) โดยหลักมีลักษณะเป็นการป้องกันเพื่อไม่ให้มีเหตุภัยคุกคาม (ex ante) ในขณะที่ พรบ.คอม.มีลักษณะเป็นการกำหนดฐานความผิดอาญาของผู้กระทำความผิดต้องจับตัวมาลงโทษ ความผิดได้เกิดขึ้นแล้ว (ex post) เป็นคนละขั้นตอนกัน ดังนั้น ความผิดหลักตาม พรบ.ไซเบอร์ ก็คือ การไม่ปฏิบัติให้ได้มาตรฐานที่กำหนด ซึ่งรวมถึงการไม่ปฏิบัติตามคำสั่งเป็นสำคัญ อย่างไรก็ตาม สภาพบังคับในทางปฏิบัติจำเป็นต้องรอการจัดตั้งสำนักงานฯและหลักเกณฑ์ต่างๆที่จะออกมา 1 ปีนับจากวันที่ประกาศในราชกิจจานุเบกษา” ดร. ปิยะบุตรกล่าวทิ้งท้าย

เตรียมพบกับ “คู่มือแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล 2.0 ของไทย” (ภาคต่อของปีก่อน #TDPG 1.0)  ซึ่งศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาฯ #LDRC  Law and Development Research Center โดยได้รับการสนับสนุนจาก Lawfirms ชั้นนำ ได้แก่  Rajah & Tann (Thailand), Linklaters (Thailand), Chandler MHM, Dherakupt International Law Office

เมื่อ TDGP 2.0 แล้วเสร็จ LDRC จะดำเนินการเผยแพร่ให้แก่สาธารณะ ดังเช่น TDPG1.0 ในปีที่แล้ว

ขอขอบคุณผู้ให้การสนับสนุนทุกท่านเพื่อให้ #LawChula #LDRC เป็นแหล่งเรียนรู้ให้กับสังคม

ผู้สนใจ #TDPG 1.0 สามารถ download ได้จาก Thailand Data Protection Guildeline V.1