สมาชิกสภานิติบัญญัติแห่งชาติ (สนช.) เห็นชอบในหลักการวาระที่ 1 ของร่างกฎหมายที่เกี่ยวกับดิจิทัล 6 ฉบับช่วงส่งท้ายปี 2561 รวมถึงร่างพระราชบัญญัติว่าด้วยความมั่นคงปลอดภัยทางไซเบอร์ หรือ 'พ.ร.บ.ไซเบอร์' และร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ 'พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล' ที่มีการเปิดรับความคิดเห็นจากประชาชนผ่านเว็บไซต์และมีการจัดทำรายงานศึกษาผลกระทบ แต่ผู้ที่ติดตามความเคลื่อนไหวเหล่านี้มาตั้งแต่ต้น กลับมองว่า "ร่าง ก.ม.ทั้ง 2 ฉบับ อาจไม่ได้คุ้มครองประชาชนอย่างแท้จริง"

อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต ให้สัมภาษณ์ในรายการ Tonight Thailand ทาง Voice TV 21 เมื่อวันที่ 30 ธ.ค. 2561 โดยพูดถึง พ.ร.บ.ไซเบอร์ เป็นฉบับแรก ซึ่งเขาระบุว่า ร่าง พ.ร.บ.ดังกล่าวมีความเปลี่ยนแปลงพอสมควร เมื่อเทียบกับเนื้อหาร่าง พ.ร.บ.ฉบับแรกๆ ที่ออกมา แต่ข้อดีที่เพิ่มมา ถือว่า 'เล็กน้อย' เมื่อเทียบกับผลกระทบที่อาจจะมาพร้อมกับ 'ท่าพิเศษ' ซึ่งซ่อนอยู่ในมาตราท้ายๆ ของร่างกฎหมาย

• อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต

เขาย้ำด้วยว่า พ.ร.บ.ไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไม่ได้กระทบต่อ 'ผู้ใช้อินเทอร์เน็ต' เพียงอย่างเดียว แต่รวมถึงผู้ใช้หรือผู้ที่มีส่วนเกี่ยวข้องกับระบบสารสนเทศทั้งหมดในประเทศไทย รวมถึงผู้ใช้บริการธนาคาร สถาบันการเงิน ระบบสื่อสารโทรคมนาคม และระบบขนส่งสาธารณะต่างๆ

นอกจากนี้ 'ข้อมูลส่วนบุคคล' ของประชาชนคนธรรมดา อาจถูกภาครัฐหรือบริษัทขนาดใหญ่ รวมถึงสื่อมวลชน นำไปใช้งานได้ในบางกรณี 'โดยไม่มีความผิด' เพราะในร่าง ก.ม.ดิจิทัลที่กล่าวมา ได้กำหนด 'ข้อยกเว้น' ให้เจ้าหน้าที่หรือผู้ประกอบการเอกชน รวมถึงผู้ที่อยู่ในเกณฑ์ที่จะได้รับการยกเว้นเอาไว้แล้ว

นิยามเรื่อง 'ข้อมูล' ไม่ชัดเจน

อาทิตย์ระบุว่า กระทรวงดีอีได้เปิดรับฟังความคิดเห็นประชาชน (ที่มีต่อร่างกฎหมายดิจิทัลต่างๆ) ผ่านทางเว็บไซต์ สามารถดูจากยอดวิวได้ แต่ถ้าไปดูในส่วนที่เป็นเอกสารแสดงความคิดเห็น จะพบเอกสารของบริษัทต่างๆ รวม 400 กว่าหน้า ชี้ประเด็นที่เป็นห่วง คือ การนิยามเรื่องข้อมูล สำหรับผู้ประกอบการที่เกี่ยวกับดิจิทัล เป็นกังวลว่า ข้อมูลประเภทไหนที่รัฐสามารถขอดูได้ ร่างก่อนหน้านี้บางร่าง พยายามกำหนดนิยามข้อมูลว่ารัฐจะขออะไรได้บ้าง เช่น ข้อมูลที่ใช้ในการออกแบบระบบ ข้อมูลที่ใช้ในการดูแลรักษาระบบ ข้อมูลที่ใช้ในการเฝ้าระวังแก้ไขระบบ ซึ่งเป็นข้อมูลที่คอมพิวเตอร์อ่านและประมวลผล

ขณะเดียวกันก็มีคำถามตามมาว่าข้อมูลที่รัฐขอดูได้ มีแค่ข้อมูลที่คอมพิวเตอร์อ่าน หรือจะรวมไปถึงเนื้อหาที่มนุษย์ อ่านด้วย ซึ่งข้อมูลประเภทหลัง จะรวมไปถึงข่าวสาร ข้อมูล หรือข้อความที่เราส่งหากัน ซึ่งร่าง พ.ร.บ.ไซเบอร์ก่อนหน้านี้บางร่าง พยายามจะเขียนให้ 'ไม่รวม' ข้อมูลที่มนุษย์อ่าน แต่พอมาถึงร่างนี้ที่เพิ่งผ่าน สนช.เมื่อวันที่ 28 ธ.ค. ปรากฏว่า ข้อความตรงนั้น 'หายไปหมดแล้ว' หมายถึงว่า อาจจะรวมอยู่ก็ได้ แต่ก็ไม่มีความชัดเจนในเรื่องนี้

ส่วนเนื้อหาที่เปลี่ยนแปลงก็มีพอสมควร เช่น การกำหนดว่า 'ใคร' จะเป็นคนตรวจสอบการใช้อำนาจ จากเดิมไม่ได้เขียนให้ชัดเจนว่าใครจะเป็นคนดูแลรับผิดชอบเรื่องนี้ ก็มีการเพิ่มมาว่าจะมี 'ศาล' เป็นคนดูแล แต่คำถามต่อมา คือ เรื่องการเข้าไปในสถานที่ประกอบการเพื่อขอตรวจข้อมูล เป็นเรื่องที่ภาคธุรกิจห่วง เพราะถ้าการกำหนดเรื่องข้อมูลไม่ชัดเจน ภาคธุรกิจก็วางแผนดำเนินการให้ชัดเจนไม่ได้ และถ้าภาคธุรกิจหรือผู้ประกอบการที่เกี่ยวข้องกับดิจิทัลต้องเก็บข้อมูลทั้งหมดเผื่อไว้สำหรับภาครัฐขอตรวจสอบ ก็จะกลายเป็นภาระหนักขึ้นมาทันที

เมื่อ 'รัฐ-เอกชน' คือ 'คู่กรณีของประชาชน' ร่าง พ.ร.บ.อยู่ข้างใคร?

อาทิตย์ย้ำว่า เวลาพูดถึงร่าง พ.ร.บ.ไซเบอร์ ไม่ได้เกี่ยวข้องแค่การใช้อินเทอร์เน็ตอย่างเดียว แต่เป็นการพูดถึงระบบสารสนเทศและระบบคอมพิวเตอร์ทุกชนิดที่เรามองว่าเป็นโครงสร้างพื้นฐานทางด้านสารสนเทศที่สำคัญ ซึ่งตามร่าง พ.ร.บ.นี้ก็จะมีกำหนดเอาไว้อยู่แล้ว โดยจะรวมไปถึงเรื่องการขนส่ง โทรคมนาคม ซึ่งสุดท้ายแล้วมันจะเกี่ยวข้องกับประชาชนคนทั่วไปทุกคน

"ไม่ว่าคุณจะใช้อินเทอร์เน็ตหรือเปล่า แต่ก็ไม่มีใครไม่เคยใช้ถนน หรือมีใครไม่เคยใช้รถไฟฟ้าบ้าง? มีใครไม่ใช้โทรศัพท์บ้าง? คือมันน้อยมากๆ มีใครไม่มีบัญชีธนาคารบ้าง?"

สุดท้ายแล้ว การใช้ข้อมูลในระบบสารสนเทศ อยู่ใกล้ตัวประชาชนคนทั่วไปมากกว่าการใช้อินเทอร์เน็ตหรือการแสดงความคิดเห็นผ่านสื่อสังคมออนไลน์ แต่แทรกซึมไปในชีวีตประจำวันโดยที่หลายคนอาจจะไม่รู้ตัว แต่ว่าร่างกฎหมายดิจิทัล ทั้ง พ.ร.บ.ไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จึงควรจะต้องกำกับดูแลทั้งรัฐและเอกชน ซึ่งเป็นผู้ให้บริการกับสาธารณะจำนวนมาก เพราะบริการเหล่านี้เป็นสิ่งที่ทุกคนต้องใช้

อาทิตย์กล่าวว่า กฎหมายในประเทศเรามีเยอะแยะ สุดท้ายจะบังคับใช้หรือไม่บังคับใช้ ประชาชนแทบจะไม่มีทางรู้ได้ พร้อมยกตัวอย่างเรื่องกฎหมายใบอนุญาตการขับรถ กฎหมายการประกอบการกิจการเดินรถ ซึ่ง 'ร้อยวันพันปี' ไม่เคยใช้ แต่เมื่อนักกิจกรรมพยายามจะเดินทางไป 'อุทยานราชภักดิ์' กลับมีการตรวจสอบคนขับรถ ถูกตรวจปัสสาวะ ถูกตรวจไปอนุญาตขับรถ ผู้ประกอบการกิจการรถทัวร์ก็ได้รับคำบอกกล่าวให้ไปเอาใบอนุญาตประกอบกิจการตัวจริงมาแสดงทันที ทั้งที่ปกติไม่เคยมีการตรวจตรามาก่อน

"มันก็มองได้หลายทาง ว่ามันจะเกิดอะไรขึ้น ถ้า...คิดว่าเราไม่ได้จะตกเป็นเป้าหมายในการเลือกใช้กฎหมาย ก็อาจจะไม่ต้องกังวลก็ได้ แต่ปัญหาคือ 'เราไม่มีทางรู้' ไง"

นอกจากนี้ กรรมการที่ทำงานภายใต้โครงสร้างของกระทรวง และได้รับเลือกจากภาครัฐ ทำให้กังขาว่าจะ 'เป็นอิสระ' มากน้อยแค่ไหน โดยเฉพาะในบางกรณีที่ 'ภาครัฐ' เป็นคู่กรณีในการละเมิดข้อมูลส่วนบุคคลของประชาชน แต่ที่เป็นปัญหามากที่สุด คือ มาตรา 4 ของร่าง พ.ร.บ.ไซเบอร์ ที่ระบุว่าจะมีการตั้งคณะกรรมการความมั่นคงไซเบอร์ แต่บอกว่า พ.ร.บ.นี้จะไม่ใช้กับ 'หน่วยงานความมั่นคงของรัฐ' และ 'เอกชนขนาดใหญ่' ซึ่งรวมถึงบริษัทด้านสื่อสารมวลชน และสมาชิกบริษัทข้อมูลเครดิตแห่งชาติ จํากัด ซึ่งมีทั้งธนาคาพาณิชย์ ประกันชีวิต ประกันภัย และบริษัทบัตรเครดิตต่างๆ

"...ธนาคาร ประกันภัย ประกันชีวิตทั้งหลาย ได้รับข้อยกเว้นจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล บางหน่วยงานเข้ามาล่วงละเมิดข้อมูลส่วนตัวของเราได้หมด รวมถึงการทำงานของสื่อด้วย...เราลองนึกดูก็ได้ว่าข่าวใหญ่ๆ มีการละเมิดสิทธิบุคคลหรือละเมิดข้อมูลของผู้ป่วย สื่อเองก็ละเมิด แต่สื่อเองก็ได้รับการยกเว้น โทรขายสินค้า ขายประกัน ก็ได้รับการยกเว้น"

อาทิตย์สรุปว่า สิ่งที่ดีขึ้นของกฎหมายฉบับนี้ เมื่อเทียบกับการปรับปรุงอื่นๆ ที่ผ่านมา คือ มีเรื่องกระบวนการตรวจสอบมากขึ้น มีการระบุว่าจะต้องแจ้งศาลเพื่อขอใช้อำนาจ แต่อย่างไรก็ตาม ถ้าไปดูที่มาตรา 66 - 67 - 68 จะพบว่ามาตราดังกล่าวกำหนดให้มีการ 'บายพาส' หรือ 'ลัดคิว' ได้โดยที่สุดท้ายแล้วก็ไม่มีมาตรการคุ้มครองประชาชน หรือมาตรการการตรวจสอบการใช้อำนาจที่แท้จริง

'ท่าพิเศษ' ซ่อนอยู่ในมาตราท้ายๆ

การบายพาสหรือลัดคิวในร่าง พ.ร.บ.ไซเบอร์ จะมีหลักในการพิจารณาว่า เมื่อไหร่ก็ตามที่มีภัยคุกคามในระดับวิกฤต ซึ่งตามที่ร่าง พ.ร.บ.นี้กำหนดไว้ จะมี 3 ระดับด้วยกัน คือ ระดับเฝ้าระวัง ถือเป็นภัยคุกคามต่ำสุด ต่อมาคือ ระดับร้ายแรง และ ระดับวิกฤต ซึ่งมาตรา 66 บอกไว้ว่า เมื่อใดก็ตามที่สถานการณ์เข้าสู่ระดับวิกฤต สิ่งต่างๆ เช่น กลไกคณะกรรมการเจ้าหน้าที่ที่จะต้องทำเรื่องขอข้อมูลหรือเอกสารอะไรของประชาชน ก็ไม่จำเป็นต้องใช้แล้ว แต่ส่งไปให้ 'สภาความมั่นคงแห่งชาติ' ได้เลย

"เหมือนเป็นทางด่วน ถ้าวิกฤตปุ๊บ ป.ป.ช. อะไรต่างๆ หรือเจ้าหน้าที่ตามใบอนุญาติที่จะต้องแจ้ง (ต่อศาล) ก็ไม่ต้องแล้ว ไปใช้ (กลไก) สภาความมั่นคงแห่งชาติเลย"

"ส่วนมาตรา 67 บอกว่า ถ้าเมื่อไหร่มีเหตุจำเป็นเร่งด่วน ซึ่งก็ไม่รู้แบบไหนถึงเรียกว่าด่วนนะครับ ซึ่งทำไปทำมา ภัยคุกคามทางคอมพิวเตอร์มันก็มาเร็วไปเร็ว ข้อมูลวิ่งเร็วมาก ถ้าอย่างนั้นมันก็คงด่วนหมดแหละ เขาบอกว่า มาตรา 67 นี่ ถ้ามีเหตุจำเป็นเร่งด่วน ไอ้ที่เคยเขียนไว้ในมาตราต้นๆ ว่าต้องขอศาล...ก็ไม่ต้องขอ ทำไปก่อน แล้วค่อยแจ้งทีหลังโดยเร็ว อะไรประมาณนี้"

อาทิตย์ตั้งข้อสังเกตว่า ข้อความที่ระบุในร่าง พ.ร.บ.ท่อนนี้ 'น่าสนใจ' เพราะเปรียบได้กับ 'ท่าพิเศษ' ที่จะให้เจ้าหน้าที่รัฐใช้เดินหน้าต่อได้ และไม่ใช่ว่าการเขียนแบบนี้จะไม่ปรากฏในกฎหมายอื่นเลย ถ้าหากไปดู พ.ร.บ.การสอบสวนคดีพิเศษที่ 'ดีเอสไอ' ใช้ จะมีท่อนหนึ่งที่เขียนว่า 'การดักฟัง' ซึ่งเป็นมาตรการที่ละเมิดสิทธิ อาจจะจำเป็นต้องใช้ในบางกรณี สามารถทำได้ แต่ต้องขอศาล หรือถ้ามีเหตุที่ทำให้ต้องดำเนินการไปก่อน ก็ต้องแจ้งให้ศาลทราบภายหลัง แต่มีเงื่อนเวลากำหนดอยู่ว่าจะต้องแจ้งภายในกี่ชั่วโมง ซึ่งเมื่อศาลได้รับทราบว่ามีการดำเนินการไปแล้ว แต่ศาลเห็นว่ามาตรการที่ทำอยู่ไม่เหมาะสม หรือได้ข้อมูลเพียงพอแล้ว ศาลสามารถสั่งให้หยุดได้ทันที แต่ในกรณีของมาตรา 67 ร่าง พ.ร.บ.ไซเบอร์ บอกแค่ว่า "ให้แจ้งศาล" แต่ศาลทำอะไรได้บ้าง ก็ไม่ได้บอกไว้ให้ชัดเจน

ท่าพิเศษอีกหนึ่งท่า คือ มาตรา 68 ซึ่งเป็นมาตรการที่ตัดสิทธิการอุทธรณ์ โดยระบุว่า ถ้าหากมีการพิจารณาแล้วว่าสิ่งที่เกิดขึ้นเป็นเรื่องวิกฤตร้ายแรง ก็จะตัดสิทธิในการอุทธรณ์ของผู้ที่ถูกตรวจสอบหรือถูกกล่าวหาทิ้งไป

ฝากความหวังถึง สนช. - 'ตัวแทนประชาชน' ในกลไกที่ไม่ปกติ

ร่าง พ.ร.บ.ไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ผ่านขั้นตอนรับหลักการวาระที่ 1 ของ สนช.ไปแล้ว ซึ่งนั่นหมายความว่าได้ผ่านพ้นขั้นตอนที่จะตั้งประเด็น แปรญัตติ หรือสามารถอภิปรายไปแล้ว และอาทิตย์กล่าวว่า "ตอนนี้บ้านเมืองเราอยู่ในภาวะไม่ปกติ ช่องทางที่ใช้ในเวลาปกติก็อาจจะไม่ทำงาน"

อาทิตย์บอกอีกว่า ถ้าสมมติเรายังเชื่อในกลไกการทำงานที่กำลังเป็นอยู่ในตอนนี้ ช่องทางเดียวที่เหลืออยู่ก็คือ สนช. ถ้าสมาชิก สนช. อยากจะทำประโยชน์ให้กับประเทศ ก็ควรจะต้องอ่านทบทวนตัวบทกฎหมาย อย่าอ่านแต่เอกสารรายงานการศึกษาผลกระทบเพียงอย่างเดียว

"มาตรา 77 ของรัฐธรรมนูญ บอกไว้ว่าจะต้องศึกษาทุกผลกระทบจากกฎหมาย...แต่ว่าในร่างกฎหมายนี้จริงๆ ในตัวบท ย่อหน้าต้นๆ เลย ก่อนจะมาตรา 1 ที่คล้ายๆ เป็นอารัมภบท มันจะบอกว่า กฎหมายนี้ มีบทบัญญัติ ซึ่งอาจละเมิดสิทธิเสรีภาพของพลเมือง..อ้าว..ตกลงนี่คุณศึกษาผลกระทบของกฎหมายฉบับเดียวกันหรือเปล่า"