พ.ร.บ.มั่นคงไซเบอร์เข้า สนช. พรุ่งนี้ ค้นบ้าน ยึดคอมฯ ประกาศภาวะฉุกเฉินไซเบอร์ได้Thu, 2019-02-21 18:29
ดูร่าง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ที่จะเข้า สนช. วันพรุ่งนี้ หลังแก้ไขไปหลายรอบ นิยามภัยคุกคามยังไม่ยกเว้นเรื่องเชิงเนื้อหา เช่น โพสท์เฟสบุ๊ค ตั้งองค์กร 3 หน่วย ออกนโยบาย-กำกับทั้งรัฐ เอกชน ให้อำนาจเจ้าหน้าที่เข้าค้นบ้าน ยึดเครื่องมือได้ ขอข้อมูลเรียลไทม์แบบไม่ผ่านศาล ภาวะฉุกเฉินไซเบอร์ให้อำนาจรัฐล้นมือ ขอความร่วมมือแต่มีบทลงโทษ แถมอุทธรณ์ได้เป็นบางกรณี
21 ก.พ. 2562 ในวันพรุ่งนี้ (22 ก.พ. 2562) สภานิติบัญญัติแห่งชาติ (สนช.) มีวาระพิจารณาร่างพระราชบัญญัติ (พ.ร.บ.) การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. … หนึ่งในร่างฯ ที่มีการจับตามองจากสาธารณชน เนื่องจากความกังวลเรื่องอำนาจของหน่วยงานรัฐที่จัดตั้งขึ้นใหม่ที่อาจจะไปจำกัดสิทธิ เสรีภาพของชาวเน็ตในโลกออนไลน์ ไปจนถึงการแข่งขันของบริษัทเอกชน
ร่างฯ มีการจัดทำรับฟังความคิดเห็นหลายรอบ มีการแก้ไขหลายที่ รอบนี้ สนช. จะพิจารณาร่างฯ ที่คณะกรรมาธิการวิสามัญพิจารณาแล้ว ซึ่งหาก สนช. รับรอง ก็จะไปสู่วาระที่สาม และการลงมติให้ร่างฯ มีผลเป็นกฎหมายต่อไป ประชาไทจึงชวนดูหลักใหญ่ใจความในส่วนต่างๆ และข้อสังเกตในร่างฯ ที่จะได้รับพิจารณาในวันพรุ่งนี้ปฏิทินประชาไทxไข่แมว2020
ข่าวรายละเอียดร่างฯ ฉบับที่ผ่านมา
อ่านร่างฯ เข้า สนช. พรุ่งนี้ ฉบับเต็ม
นิยามภัยไซเบอร์
ในมาตราสามระบุถึงนิยามต่างๆ ไว้ ในด้านภัยคุกคามยังไม่พบว่ามีการจำกัดความภัยคุกคามไซเบอร์ และเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ในทางที่ยกเว้นเรื่องเชิงเนื้อหา เช่น โพสท์เฟสบุ๊ค อัพโหลดวิดีโอหรือส่งอีเมล์ ดังนี้
การรักษาความมั่นคงปลอดภัยไซเบอร์ มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อป้องกัน รับมือ ลดความเสี่ยงจากภัยคุกคามไซเบอร์ทั้งจากในและนอกประเทศ อันกระทบต่อความมั่นคงของรัฐ เศรษฐกิจ ทางทหาร และควาามสงบเรียบร้อยในประเทศ
ภัยคุกคามทางไซเบอร์ การกระทำหรือการดำเนินการใดๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหาย หรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์หรือข้อมูลอื่นที่เกี่ยวข้อง
ไซเบอร์ ข้อมูลและการสื่อสารที่เกิดจากการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่ายโทรคมนาคม รวมทั้งการให้บริการโดยปกติของดาวเทียมและระบบเครือข่ายที่คล้ายคลึงกันที่เชื่อมต่อกันเป็นการทั่วไป
เหตุการณ์เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ เหตุการณ์ที่เกิดจากการกระทำหรือการดำเนินการใดๆ ที่มิชอบ ซึ่งกระทำผ่านทางคอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งอาจเกิดความเสียหายหรือผลกระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือควาาามั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์
โครงสร้างพื้นฐานสำคัญทางสารสนเทศ คอมพิวเตอร์ หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานของรัฐหรือเอกชนใช้ในกิจการของตน ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศหรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ
หน่วยงานควบคุมหรือกำกับดูแล หน่วยงานรัฐหรือเอกชน หรือบุคคลซี่งมีกฎหมายหรือระเบียบกำหนดให้มีหน้าที่และอำนาจในการควบคุมหรือกำกับ ดูแลการดำเนินกิจการของหน่วยงานรัฐ หรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หน่วยงานรัฐหรือเอกชนซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ตามร่างฯ จำแนกเอาไว้เป็นประเภทดังนี้
ตั้งองค์กร 3 หน่วย ออกนโยบาย-กำกับรัฐ เอกชน
ร่างฯ นี้จะมีการจัดตั้งคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช. - NCSC) โดยมีนายกรัฐมนตรี เป็นประธานกรรมการ และมีกรรมการโดยตำแหน่ง ประกอบด้วยรัฐมนตรีว่าการ (รมว.) กระทรวงกลาโหม กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ปลัดกระทรวงการคลัง ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ เลขาธิการสภาความมั่นคงแห่งชาติ (สมช.)
นอกจากนั้น คณะกรรมการฯ ยังจะมีกรรมการผู้ทรงคุณวุฒิไม่เกินเจ็ดคนที่คณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญและประสบการณ์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เทคโนโลยีสารสนเทศและการสื่อสาร การคุ้มครองข้อมูลส่วนบุคคล วิทยาศาสตร์ วิศวกรรมศาสตร์ กฎหมาย หรืออื่นๆ ที่เกี่ยวข้อง
คณะกรรมการจะมีและจะให้มีเลขาธิการเป็นกรรมการ และเลขานุการ
คณะกรรมการฯ มีหน้าที่คร่าวๆ คือเสนอนโยบาย แผนว่าด้วยการรักษาความมั่นคงไซเบอร์ ส่งเสริม สนับสนุน การรักษาความมั่นคงไซเบอร์ ทำแผนปฏิบัติการรักษาความมั่นคงไซเบอร์ ให้ ครม. ให้ความเห็นชอบ กำหนดนโยบายการบริหารจัดการให้กับหน่วยงานรัฐ หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ไปจนถึงมอบหมายการควบคุมและกำกับดูแล กรอบการดำเนินงานด้านความมั่นคงไซเบอร์ให้หน่วยงานควบคุมหรือกำกับดูแล และติดตามประเมินผลการปฏิบัติตามนโยบาย และให้ข้อเสนอแนะแก่ ครม. หรือกระทรวงดีอี
การประชุมของคณะกรรมการนั้นให้เป็นไปตามระเบียบที่คณะกรรมการกำหนด ซึ่งสามารถประชุมด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีอื่นได้ และการได้รับเบี้ยประชุม หรือค่าตอบแทนก็เป็นไปตามหลักเกณฑ์ที่คณะรัฐมนตรีกำหนด
นอกจากคณะกรรมการที่เป็นร่มใหญ่แล้ว ร่างฯ ยังให้มีคณะกรรมการกำกับดูแลด้านความมั่นคงไซเบอร์ในชื่อ คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกม.) มีนายกฯ และ รมว. กระทรวงดีอีเป็นประธานกรรมการ มีผู้บัญชาการทหารสูงสุด ปลัดกระทรวงการต่างประเทศ กระทรวงคมนาคม กระทรวงดีอี กระทรวงพลังงาน กระทรวงมหาดไทย กระทรวงสาธารณสุข ผู้บัญชาการตำรวจแห่งชาติ เลขาธิการ สมช. ผอ.สำนักข่าวกรองแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ เลขาธิการคณะกรรมการกิจการการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เป็นกรรมการโดยตำแหน่ง และกรรมการทรงคุณวุฒิอีกสี่คน ให้เลขาธิการเป็นกรรมการและเลขานุการ
กกม. มีหน้าที่คร่าวๆ คือติดตามการดำเนินงานตามที่คณะกรรมการได้วางเอาไว้ ดูแลและดำเนินการรับมือภัยคุกคามไซเบอร์ระดับร้ายแรง กำหนดกรอบมาตรฐานการรักษาความมั่นคงไซเบอร์ ที่จะใช้เป็นข้อกำหนดขั้นต่ำ กำหนดระดับภัยคุกคามทางไซเบอร์ และรายละเอียดมาตรการป้องกัน รับมือ ประเมิน ปราบปราบ ระงับภัยเพื่อเสนอต่อคณะกรรมการ ไปจนถึงวิเคราะห์สถานการณ์ ประเมินผลกระทบจากภััยเพื่อเสนอให้คณะกรรมการพิจารณาสั่งการเมื่อมีภัยระดับร้ายแรง
ในระดับรองลงมา จะมีสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ที่ทำหน้าที่รับผิดชอบงานธุรการ งานวิชาการ งานการประชุม และงานเลขานุการของคณะกรรมการ และ กกม. สำนักงานมีสถานะเป็นนิติบุคคล ไม่ใช่หน่วยงานราชการ โดยได้รับงบประมาณจากแหล่งเหล่านี้
งบข้อที่ 1-3 ไม่ต้องนำเข้าคลังเป็นรายได้แผ่นดิน ส่วน 5-6 หักค่าใช้จ่ายแล้วส่งกลับเข้าคลัง
สำนักงานจะมีเลขาธิการหนึ่งคนไว้รับผิดชอบการปฏิบัติงานของสำนักงานและบังคับบัญชาพนักงาน ในส่วนการทำงานของสำนักงาน จะมีคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ กบส. มาดูแลกิจการบริหารงานทั่วไปของสำนักงาน เช่น การจ่ายงบประมาณประจำปี ออกข้อบังคับการจัดองค์กร การเงิน การบริหารบุคคล
ในมาตรา 44 ระบุว่าหน่วยงานรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสาารสนเทศ มีหน้าที่ป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ตามประมวลแนวทางปฏิบัติแลกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของแต่ละหน่วยงาน และต้องดำเนินการให้เป็นไปตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา 12 ด้วย
กำกับอะไร กำกับอย่างไร กับภัยไซเบอร์ 3 ระดับ
การจัดการกับภัยคุกคามไซเบอร์ ตามร่างฯ กำหนดภัยคุกคามเป็นสามระดับ ดังนี้
ระดับไม่ร้ายแรง คือภัยที่มีความเสี่ยงอย่างมีนัยสำคัญถึงระดับที่ทำให้ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศหรือการให้บริการของรัฐด้อยประสิทธิภาพลง
ระดับร้ายแรง ภัยที่มีการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์เพิ่มขึ้นอย่างมีนัยสำคัญ โดยมุ่งหมายเพื่อโจมตีโครงสร้างพื้นฐานสำคัญของประเทสและการโจมตีดังกล่าว มีผลทำให้ระบบคอมพิวเตอร์ หรือโครงสร้างสำคัญทางสารสนเทศที่เกี่ยวข้องกับการให้บริการของโครงสร้างพื้นฐานสำคัญของประเทศ ความมั่นคง ของรัฐ ความสัมพันธ์ระหว่างประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชนเสียหายจนไม่สามารถทำงานหรือให้บริการได้
ระดับวิกฤติ
เข้าค้นบ้าน ยึดเครื่องมือได้ ขอความร่วมมือแต่มีบทลงโทษ
เมื่อปรากฎแก่ กกม. ว่าเกิด หรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ระดับร้ายแรง กกม. สามารถออกคำสั่งให้สำนักงานดำเนินการรวบรวมข้อมูล ให้ความช่วยเหลือ ป้องกัน แจ้งเตือนและประสานงาน ทั้งนี้ มาตรา 61 อำนวยความสะดวกให้สำนักงาน โดยให้เลขาธกิการสั่งให้เจ้าหน้าที่ดำเนินการได้ต่อไปนี้
แม้ใช้คำว่าขอความร่วมมือ แต่มาตรา 73 ว่าด้วยบทลงโทษเขียนว่า ผู้ใดไม่ปฏิบัติตามหนังสือเรียกของพนักงานเจ้าหน้าที่ หรือไม่ส่งข้อมูลให้พนักงานเจ้าหน้าที่ตามมาตรา 61 (1) (2) โดยไม่มีเหตุอันสมควรแล้วแต่กรณี ต้องระวางโทษปรับไม่เกินหนึ่งแสนบาท
มาตรา 64 ให้อำนาจ กกม. ออกคำสั่งต่อไปนี้เพื่อรับมือและบรรเทาควมเสียหายจากภัยคุกคามระดับร้ายแรง
ข้อ 5 นั้นต้องให้เลขาธิการยื่นคำร้องต่อศาลตามเขตอำนาจเสียก่อน
สำหรับบทลงโทษ มาตรา 74 ผู้ที่ฝ่าฝืน ไม่ปฏิบัติตามคำสั่งของ กกม.ตามมาตรา 64 (1) (2) โดยไม่มีเหตุอันสมควร ต้องระวางโทษปรับไม่เกินสามแสนบาท และปรับอีกไม่เกินวันละหนึ่งหมื่นบาทนับแต่วันที่ครบกำหนดเวลาที่ กกม. ออกคำสั่งให้ปฏิบัติจนกว่าจะปฏิบัติให้ถูกต้อง
ผู้ฝ่าฝืนมาตราเดียวกันใน (3) (4) หรือไม่ปฏิบัติตามคำสั่งศาลมาตรา 64 (5) ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา 65 ในการป้องกัน รับมือเพื่อลดความเสี่ยงจากภัยคุกคามระดับร้ายแรง กกม. มีอำนาจดังนี้
ในข้อ (2) (3) (4) กกม. ต้องยื่นคำร้องขอต่อศาลที่มีเขตอำนาจรับผิดชอบก่อน และต้องระบุเหตุอันควรเชื่อได้ว่ากำลังมีการก่อภัยคุกคามไซเบอร์ระดับร้ายแรง ยื่นเป็นคำร้องไต่สวนคำร้องฉุกเฉินและให้ศาลพิจารณาไต่สวนโดยเร็ว
มาตรา 75 ผู้ใดขัดขวาง ไม่ปฏิบัติตามคำสั่ง กกม. หรือเจ้าหน้าที่ที่ปฏิบัติการตามคำสั่ง กกม. ตามมาตรา