ผู้เขียนไปร่วมวงเสวนา “เกาะขอบสนาม สนช. วิเคราะห์ร่าง พ.ร.บ. คอมพิวเตอร์” เมื่อวันที่ 23 พฤศจิกายนที่ผ่านมา (ดูคลิปวีดีย้อนหลังได้ที่นี่ / อ่านสรุปประเด็นจากเวทีรับฟังความคิดเห็นของ สนช. ได้ที่นี่ / ดาวน์โหลดร่างกฎหมายและร่างประกาศที่เกี่ยวข้องได้จากเว็บ สพธอ. / อ่านและดาวน์โหลดข้อเสนอแก้ไข พ.ร.บ. คอมพิวเตอร์ 12 ข้อ จากเครือข่ายพลเมืองเน็ต)
กฎหมายอาชญากรรมคอมพิวเตอร์ที่ดี จะต้องเน้นการปกป้องคุ้มครอง “ระบบ” (network) ให้ปลอดภัยจากภัยคุกคามทางไซเบอร์ และปราบปรามอาชญากร ไม่ใช่หมกมุ่นกับการเอาผิด “เนื้อหา” (content) ซึ่งวันนี้เนื้อหาส่วนใหญ่ในเน็ตคือสิ่งที่ผู้ใช้เน็ตโพสเอง อัพโหลดเอง หรือแชร์กันเอง (user-generated content ย่อว่า UGC) ในทางที่ลิดรอนสิทธิเสรีภาพของประชาชน และปิดกั้นการเข้าถึงข้อมูลข่าวสาร
ผู้เขียนฟังวงเสวนาที่ สนช. แล้วรู้สึกกังวลว่า มีหลายประเด็นที่คณะผู้ร่างกฎหมายฉบับนี้ และที่ปรึกษาคณะฯ พยายามอธิบาย แต่มีลักษณะ “ผิดฝาผิดตัว” หรือไม่ก็ “อ้างมั่ว” หลายข้อ ซึ่งอาจทำให้ผู้ฟังที่ไม่ได้ติดตามเส้นทางของร่างกฎหมายนี้เกิดความเข้าใจผิดไปคนละทาง
โพสนี้ผู้เขียนจึงรวบรวม “ข้ออ้าง” ของคณะผู้ร่างบางข้อที่ไม่ใช่ความจริง หรือเป็นความจริงที่อันตราย และพยายามอธิบายอย่างรวบรัดว่ามันอันตรายอย่างไร
ข้ออ้าง #1. มาตรา 14(1) ที่แก้ไขใหม่ จะไม่ถูกนำไปใช้กับคดีหมิ่นประมาทอีก
[UPDATE เนื้อหาตามกฎหมายที่ สนช. เห็นชอบ 19/12/59]
มาตรา 14(1) ที่ผ่านมาถูกนำไปใช้ฟ้องคดีหมิ่นประมาทเป็นจำนวนมาก และการใช้มาตรานี้ก็เป็นสาเหตุหลักที่ทำให้ พ.ร.บ. คอมพิวเตอร์ที่ผ่านมาถูกใช้ฟ้องความผิดเกี่ยวกับเนื้อหาไม่น้อยกว่า 215 คดี มากกว่าความผิดต่อระบบ (ซึ่งเป็นเจตนารมณ์หลักของการออกกฎหมาย!) ถึง 3.5 เท่า (งานวิจัยนับสถิติปี 2550-2554)
ไพบูลย์ อมรภิญโญเกียรติ ที่ปรึกษากรรมาธิการวิสามัญพิจารณาร่างแก้ไขกฎหมายฉบับนี้ ให้สัมภาษณ์สื่อ ความตอนหนึ่งว่า
“วันนี้แก้ไขชัดเจนแล้วว่ามาตรา 14(1) ไม่ใช่ความผิดฐานหมิ่นประมาท คดีหมิ่นประมาทต่างๆ จะหายไป ที่มีคดีฟ้องร้องขึ้นสู่ศาลต่างๆ จะหายไปเลยประมาณ 50 เปอร์เซนต์ พ.ร.บ.คอมพิวเตอร์ จะว่าด้วยการปลอมแปลงตัวตน หรือปลอมแปลงเพื่อหลอกเอาทรัพย์สินอย่างเดียว ฉะนั้นไม่มีปัญหาแล้ว”
ผู้เขียนฟังกูรูกฎหมายแล้วก็ยังไม่สบายใจ เพราะมาตรา 14(1) ในกฎหมายฉบับปรับปรุงใหม่กำหนดฐานความผิดไว้ว่า
“โดยทุจริต หรือโดยหลอกลวง นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ที่บิดเบือนหรือปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ประชาชน อันมิใช่การกระทำความผิดฐานหมิ่นประมาทตามประมวลกฎหมายอาญา”
ถึงแม้จะมีวลี “อันมิใช่การกระทำความผิดฐานหมิ่นประมาทตามประมวลกฎหมายอาญา” ห้อยท้ายไว้แล้วก็ตาม ผู้เขียนไม่คิดว่าใครจะรับประกันได้ว่าจะไม่มีการใช้มาตรานี้ในการกลั่นแกล้งปิดปากคนอื่นอีก ดังที่เกิดขึ้นตลอด 9 ปีที่ผ่านมา อย่างเช่นคดีฟ้องนักข่าว, ฟ้องนักวิจัยและนักสิทธิมนุษยชน, ฟ้องสมาชิกสหภาพแรงงาน, และแม้แต่ฟ้องคนธรรมดาที่เพียงแต่ออกมาเรียกร้องความยุติธรรมให้กับน้าชาย หรือปกป้องชุมชนของตัวเอง (“โดยหลอกลวง” แปลว่าอะไร? จะพิสูจน์เจตนาได้อย่างไรว่าไม่ได้ตั้งใจจะหลอกลวง?)
ข้อความที่ชัดกว่าร่างนี้มาก ปรากฎในร่างฉบับเดือน ส.ค. 2559 ซึ่งกำหนดชัดว่าความผิดตามมาตรา 14 ต้องเป็นการ “ทำให้ได้ไปซึ่งทรัพย์สินหรือข้อมูลส่วนบุคคลของผู้อื่น” (ตรงกับความผิดฐานฉ้อโกง ในประมวลกฎหมายอาญา) ซึ่งจะทำให้ลำพังการโพสต์ข้อความที่อาจมีคนไปฟ้องในข้อหาว่า “เท็จ” หรือ “บิดเบือน” ไม่เข้าข่ายความผิดตามกฎหมายนี้อีกต่อไป
ฉะนั้น คำถามง่ายๆ ที่คณะผู้ร่างไม่เคยตอบ คือ เหตุใดจึงไม่นำถ้อยคำของร่างฉบับเดือนสิงหาคม 2559 (ซึ่งจริงๆ มาจากร่างเก่า ตั้งแต่ปี 2558) มาใช้ทั้งดุ้น เพื่อให้เกิดความชัดเจนว่า ใครๆ จะใช้มาตรา 14(1) คุกคามเสรีภาพการแสดงออกไม่ได้?
ทำไมถึงยังใช้ข้อความครึ่งๆ กลางๆ เปิดช่องให้เจ้าหน้าที่ตีความเอาเอง?
ข้ออ้าง #2. การแก้มาตรา 14(2) มีเจตนาคุ้มครองโครงสร้างพื้นฐานของประเทศ
ร่างกฎหมายนี้แก้ไขใจความสำคัญในมาตรา 14 (2) ด้วยการเพิ่มฐานความผิดให้กว้างกว่าเดิม หากมีผู้โพสต์ข้อมูลอันเป็นเท็จ ซึ่งน่าจะเกิดความเสียหายต่อ “การรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ การบริการสาธารณะ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ หรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน” ให้มีโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท
ความผิดข้อนี้ยอมความกันไม่ได้ด้วย! (ต่างจากมาตรา 14(1) ซึ่งยอมความได้ ถ้าเป็นความผิดต่อ “บุคคลใดบุคคลหนึ่ง”)
คณะผู้ร่างอ้างว่า การแก้ไขมาตรานี้ทำไปเพื่อจัดการกับการโจมตีต่อโครงสร้างพื้นฐานที่สำคัญ บริการสาธารณะ ฯลฯ แต่ปัญหาคือ ใครจะเป็นผู้ตัดสินว่า อะไรเป็น “ข้อมูลเท็จ” ?
ถ้าผู้เขียนโพสข้อความวิพากษ์วิจารณ์ธนาคารของรัฐแห่งหนึ่งว่า ระบบความปลอดภัยห่วย ส่งผลให้หลายคนวิตกกังวล จะเข้าข่ายมีความผิดหรือไม่?
ใครจะตัดสินได้อย่างไรว่าอะไรเท็จ อะไรจริง เพราะหลายเรื่องเป็นเรื่องเทาๆ หรือการแสดงความเห็นที่แตกต่างกัน
คำถามใหญ่คือ ลำพังการโพส “ข้อมูลคอมพิวเตอร์อันเป็นเท็จ” จะส่งผลต่อ “ระบบ” โครงสร้างพื้นฐานได้อย่างไร ในเมื่อมันไม่ใช่การโจมตีไซเบอร์?
ผู้เขียนจึงเห็นว่า การเพิ่มข้อความเหล่านี้ในมาตรา 14(2) นอกจากจะไม่ช่วยอะไรในการป้องกันและปราบปราม “อาชญากรรมคอมพิวเตอร์” ต่อบริการสาธารณะ ฯลฯ แล้ว ยังจะเปิดช่องให้เกิดการกลั่นแกล้งฟ้องร้อง คุกคามเสรีภาพในการแสดงออกมากกว่าเดิม!
แล้ววิธีจัดการกับการโจมตีไซเบอร์ต่อโครงสร้างพื้นฐาน บริการสาธารณะ ฯลฯ ที่สำคัญอย่างยิ่งต่อประเทศ ที่ถูกต้องต้องทำอย่างไร?
คำตอบคือ ต้องกำหนดนิยาม “โครงสร้างพื้นฐานอันมีความสำคัญอย่างยิ่งยวด” (critical infrastructure) และฐานความผิดให้ชัดเจน – ดูตัวอย่างจากข้อเสนอจากเครือข่ายพลเมืองเน็ต
อีกทั้งรัฐยังต้องทำสิ่งอื่นๆ อีกมาก ไม่ใช่แค่มุ่ง “ปราบปราม” ผู้กระทำผิด แต่ต้องปรับปรุง “ระดับความมั่นคงปลอดภัยไซเบอร์” (cybersecurity) ของระบบคอมพิวเตอร์ของรัฐกับเอกชนด้วย (ซึ่งอาจจะอยู่ในกฎหมายนี้ หรืออยู่ในกฎหมายอื่น เช่น กฎหมายความมั่นคงปลอดภัยไซเบอร์ ซึ่งเรายังไม่เห็นร่างล่าสุด) อาทิ การกำหนดมาตรฐานขั้นต่ำของการดูแลระบบ, การบัญญัติกรอบการจัดการความเสี่ยง (risk management), การกำหนดให้ผู้ประกอบการและรัฐต้องรายงานต่อผู้ใช้ทันทีที่เกิดการโจมตีระบบจนข้อมูลผู้ใช้รั่วไหล ฯลฯ ดูตัวอย่างจาก NIST Cybersecurity Framework ของสหรัฐอเมริกา
ไม่ใช่แก้ง่ายๆ ด้วยการเติมถ้อยคำสั้นๆ ทึ่คลุมเครือ เปิดช่องให้เกิดปัญหาตามมามากมาย คล้ายกับการนำมาตรา 14(1) ไปใช้ผิดวัตถุประสงค์ ซึ่งเรามีบทเรียนกันมามากพอแล้ว
ข้ออ้าง #3. ขั้นตอนการแจ้งเตือนและนำออก (notice and takedown) สำหรับผู้ประกอบการ เอามาจากขั้นตอนตามกฎหมาย DMCA ของอเมริกา
กฎหมาย DMCA หรือ Digital Millennium Rights Act ของอเมริกา กำหนดขั้นตอนการแจ้งเตือนและนำออก สำหรับเนื้อหาที่เจ้าของลิขสิทธิ์เชื่อว่า ละเมิดลิขสิทธิ์ของตัวเอง การอ้างว่านำขั้นตอนนี้มาใช้กับกรณีของไทย ซึ่งมีฐานความผิด (มาตรา 14) กว้างขวางและคลุมเครือกว่า “เนื้อหาที่ละเมิดลิขสิทธิ์” มาก จึงเป็นการอ้างแบบ “ผิดฝาผิดตัว” เปรียบเทียบกันไม่ได้เลย
ตามขั้นตอน notice and takedown ของอเมริกา ผู้แจ้งจะต้องพิสูจน์ว่าเป็นเจ้าของลิขสิทธิ์ และมีกระบวนการอุทธรณ์ประมาณหนึ่ง แต่ในขั้นตอนตามร่างประกาศกระทรวงของไทย ใครๆ ก็แจ้งได้ ไม่จำเป็นต้องเป็นเจ้าหน้าที่รัฐ และผู้ให้บริการต้องนำเนื้อหาลงภายใน 3 วัน โดยไม่ต้องมีคำสั่งศาล – เท่ากับตัดตอนขั้นตอนตามมาตรา 20 อย่างสิ้นเชิง
(ยังไม่ต้องพูดถึงว่า ระบบ notice and takedown ของอเมริกานั้นที่ผ่านมาก็มีปัญหามากมาย โดยเฉพาะการถูกใช้เป็นเครื่องมือกลั่นแกล้งกัน)
ข้ออ้าง #4. ข้อ 16/2 ใหม่ (บังคับให้ทุกคน “ทำลาย” ข้อมูลที่ถูกศาลตัดสินว่าผิด) เอามาจากหลัก Right to be Forgotten ของยุโรป
ข้ออ้างนี้ “ผิดฝาผิดตัว” ยิ่งกว่าข้ออ้างเรื่องขั้นตอน notice and takedown เสียอีก ดังที่ อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ตอธิบายในบทสัมภาษณ์กับ The Momentum:
“คำว่า ‘Right to Be Forgotten’ ที่คุณไพบูลย์ อมรภิญโญเกียรติ นำมาเปรียบเทียบกับ มาตรา 16/2 ถือว่าเป็นการใช้คำผิดความหมาย เพราะตามที่อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล ที่ดูเรื่องกฎหมาย EU (สหภาพยุโรป) และกฎหมายระหว่างประเทศได้กล่าวไว้ว่า EU เป็นที่แรกของโลกที่ประกาศกฎหมายเรื่อง Right to Be Forgotten โดยกฎหมายตัวนี้พูดถึงเรื่องที่ว่า ปัจเจกบุคคลมีสิทธิ์ที่จะปกป้องชื่อเสียงของตัวเองจากการเข้าใจผิดข้อมูลของอินเทอร์เน็ตบางอย่าง อาจจะเป็นข้อมูลสื่อบางอย่างทั่วไปที่มีความผิดพลาดเกี่ยวกับตัวเขา ซึ่งเมื่อบุคคลดังกล่าวพบข้อมูลนั้นเมื่อใด เขาสามารถขอแก้ไขหรือขอที่จะไม่ให้ข้อมูลไปปรากฏ ณ ตรงนั้น
“แต่ Right to Be Forgotten ของ EU จะไม่บังคับให้ผู้บริการลบข้อมูลตรงนั้นทิ้ง แต่ให้ถอดออกจากเสิร์ชเอนจิ้นหรือสารบัญ เขาจะไม่ไปยุ่งกับการมีอยู่ของข้อมูลนั้น สมมติมีหนังสือพิมพ์ฉบับหนึ่งที่เขียนข้อมูลเกี่ยวกับผมผิด ในโลกที่เป็นกระดาษผมไม่ได้รู้สึกเดือดร้อน เพราะว่าคนน้อยมากที่จะไปเจอหนังสือพิมพ์ฉบับนั้น ผมจึงมองว่าความเสียหายมันน้อย แต่โลกที่เป็นอินเทอร์เน็ต คุณเสิร์ชไม่นานก็เจอ ซึ่งบางทีอาจจะเจอข้อมูลเท็จที่เกี่ยวกับผมมากกว่าข้อมูลจริงเสียด้วยซ้ำ ผมอาจจะเสียหาย …
“…ในมาตรา 16/2 มันคือคนละเรื่องกับ Right to Be Forgotten มันคือการบอกว่าใครก็ตามที่มีข้อมูลที่ศาลสรุปว่ามีความผิด แม้ว่าคุณจะไม่ได้เป็นคนนำเข้าสู่ระบบก็ตาม แต่ถามว่าถ้าเจ้าหน้าที่บอกว่าคุณน่าจะรู้แหละว่ามีข้อมูลนี้อยู่ในระบบ ดังนั้นคุณก็มีความผิด ถ้าคุณไม่ลบ มันก็จะเป็นการกดดันให้ทุกๆ คนต้องลบ
“แล้วผมจะรู้ได้อย่างไรว่าข้อมูลที่ผมมีเก็บไว้เป็นเวลาหลายปีมีความผิด เมื่อเวลาผ่านไปหลายปี คำพิพากษาของศาลก็มีมากขึ้นเรื่อยๆ แล้วมันเป็นหน้าที่ของผมหรือที่จะต้องไปนั่งค้นข้อมูลคำพิพากษาของศาลย้อนหลัง แล้วบรรดาคนที่ทำหน้าที่ในห้องสมุด, จดหมายเหตุ, งานวิจัย หรือคลังข้อมูลข่าวต่างๆ พวกเขาจำเป็นจะต้องลบข้อมูลเหล่านั้นที่ถูกพิพากษาว่าผิดทิ้งหรือเปล่า”
ข้ออ้าง #5. กฎหมายเขียนดีอย่างไร ก็เอาไปบังคับใช้ผิดๆ ได้อยู่ดี ต้องไปแก้ที่การบังคับใช้
ปัญหาคือ ทุกคดีที่ใช้ พ.ร.บ. คอมพิวเตอร์ เอาผิดกับ “เนื้อหา” ที่ผ่านมา เจ้าหน้าที่ตำรวจล้วนแต่อ้างว่า “ดูตามตัวบท” ไม่เคยดูตาม “เจตนารมณ์” ของผู้ร่างกฎหมายแต่อย่างใด
ทำไมผู้ร่างถึงไม่ร่างกฎหมายให้รัดกุมตั้งแต่แรก เพื่อลดความเสี่ยงที่จะถูกนำไปบังคับใช้ผิดๆ ?
—-
เก็บตก: สรุปประเด็นที่ตัวเองไปพูดในงานเสวนาข้างต้นค่ะ –
ประเด็นทั้งหมดที่ตัวเองอยากจะพูด สรุปสั้นๆ ได้ว่า ถ้ารัฐอยากให้กฎหมายฉบับนี้ช่วยพัฒนาเศรษฐกิจ-สังคมดิจิทัลได้จริง ก็จะต้องสร้าง “ความเชื่อมั่น” หรือ “ความไว้วางใจ” ให้เกิดกับทุกภาคส่วนให้ได้ ทั้งผู้ใช้ ผู้ประกอบการ และภาคประชาสังคม โดย “แก่น” ความไว้วางใจที่ว่านี้ คือ
1) ทำให้ทุกคนเชื่อมั่นว่า ระบบคอมพิวเตอร์ของภาครัฐและผู้ประกอบการจะมีขีดความมั่นคงปลอดภัยไซเบอร์มากขึ้น คุ้มครองข้อมูลของเราได้มากขึ้น สามารถตามจับคนที่ฉ้อโกง แฮ็กเกอร์ ฯลฯ ได้อย่างมีประสิทธิภาพมากขึ้น — แต่ร่าง พ.ร.บ. คอมฯ ที่แก้ไขนี้กลับไม่ได้แก้ไขมาตราใดๆ ที่เป็นเรื่อง “อาชญากรรมคอมพิวเตอร์” อย่างชัดเจน ให้ดีขึ้นเลย อีกทั้งไม่มีการกำหนดว่าระบบของรัฐกับเอกชนจะต้องมี capacity อย่างไรในการรับมือกับการโจมตีไซเบอร์ กรอบการจัดการความเสี่ยงต้องทำอย่างไร เจ้าหน้าที่ของรัฐจะต้องมีคุณสมบัติดีขึ้นอย่างไร รวมถึงไม่ได้กำหนดให้เอกชนแจ้งผู้ใช้บริการทันทีที่ข้อมูลผู้ใช้รั่วไหล
เนื้อหาที่เกี่ยวข้องกับ “อาชญากรรมคอมพิวเตอร์” (cyber crime) มีเพียงการแก้มาตรา 11 เรื่อง spam แต่ร่างกฎกระทรวงที่ออกมาก็ยังใช้งานจริงไม่ได้ เพราะยังไม่ได้นิยามความถี่และปริมาณ (หัวใจสำคัญของการนิยามว่าอะไรเป็น “spam”)
2) ทำให้ทุกคนเชื่อมั่นว่า จะสามารถสื่อสาร แลกเปลี่ยนข้อมูลข่าวสารออนไลน์กันได้อย่างอิสรเสรี ไม่ตกอยู่ใต้บรรยากาศของความหวาดกลัว หรือหวาดระแวงว่าเราจะพูดอะไรได้หรือไม่ได้ รัฐจะไม่เข้ามาจับกุม ปิดกั้นเนื้อหา หรือสอดส่องข้อมูลแบบขัดต่อหลักสากล “จำเป็นและได้ส่วน” (necessary and proportionate — คือรัฐต้องมีเหตุผลที่ชัดแจ้งในการรุกล้ำสิทธิส่วนบุคคล เช่น มีเหตุอันควรเชื่อว่าคนคนนี้มีเอี่ยวกับการก่อการร้าย) — ร่างกฎหมายฉบับนี้เลวร้ายกว่าเดิมมากในแง่นี้ หลักๆ เพราะ
1. ขยายนิยามฐานความผิดให้คลุมเครือและครอบจักรวาลกว่าเดิม
2. ผลักดันให้ผู้ให้บริการ self-censorship เพราะให้ “ใครก็ได้” แจ้งเตือนและลบเนื้อหาที่ผู้แจ้ง “เชื่อว่า” ผิดกฎหมาย (ซึ่งกว้างกว่าเดิมมาก) และไม่ต้องอาศัยคำสั่งศาล (คือตัดตอนมาตรา 20 ไปเลย)
3. สร้างระบบ censorship แบบรวมศูนย์ ไม่ต้องแจ้งผู้ให้บริการอีกต่อไป และให้ “คณะกรรมการกลั่นกรองฯ” มีอำนาจปิดกั้นแม้แต่เนื้อหาที่ไม่ผิดกฎหมายใดๆ เพียงแต่(มองว่า)ขัดต่อความสงบเรียบร้อยหรือศีลธรรมอันดี และ
4. อำนาจทั้งหมดที่มากกว่าเดิมมากเหล่านี้ไม่มีกระบวนการตรวจสอบ อุทธรณ์ และเยียวยาใดๆ ทั้งสิ้น