วงเสวนาระบุ ต้องหาจุดลงของสิทธิส่วนบุคคลกับการเข้าถึงข้อมูลของรัฐ

จุดประเด็น รัฐเข้าถึงข้อมูลส่วนบุคคลได้มากขนาดไหนเพื่อผลประโยชน์สาธารณะและชาติ ชี้คำตอบอยู่ในคำถามว่าสิทธิส่วนบุคคลสำคัญแค่ไหนในกระบวนการกฎหมาย ต้องหาจุดสมดุลระหว่างการเข้าถึงข้อมูลกับความสาหัสของภัยคุกคาม มีเงื่อนไขจำกัดการใช้ข้อมูลและโปร่งใสให้เจ้าของข้อมูลติดตาม แสดงความยินยอมและเพิกถอนสิทธิการเข้าถึงได้


(ซ้ายไปขวา) ลาสส์ ชุลท์, ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล, เซียวฮงโก๊ะ

22 พ.ย. 2560 คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์จัดซีรีส์เสวนาเรื่อง “ความปลอดภัยไซเบอร์และความเป็นส่วนตัวของพลเมืองในไทย” ที่คณะนิติศาสตร์ มธ. ผู้ร่วมเสวนาประกอบด้วย ลาสส์ ชุลท์ อาจารย์คณะนิติศาสตร์ มธ. และสมาชิกศูนย์ความเป็นเลิศด้านนโยบายสาธารณะและธรรมาภิบาลแห่งเยอรมัน-เอเชียตะวันออกเฉียงใต้ (ซีพีจี) ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์คณะนิติศาสตร์ มธ. และเซียวฮงโก๊ะ ผู้อำนวยการด้านนโยบายระดับโลกของบริษัทซิสโก บริษัทด้านไอทีและระบบเครือข่ายทั่วโลก

ข้อกังวลด้านกฎหมายบนความเป็นส่วนตัว รัฐและเอกชนในยุคไทยแลนด์ 4.0

ฐิติรัตน์ กล่าวว่า หากพูดถึงเศรษฐกิจดิจิทัล หรือประเทศไทย 4.0 พื้นฐานที่ต้องมีคือการไหลของข้อมูลอย่างอิสระ เพราะมีผลกับการแข่งขันของภาคเอกชน เป็นผลดีกับประชาชนในการเข้าถึงข้อมูลและเป็นประโยชน์ต่อการจัดการและใช้ข้อมูล แต่ในทางกลับกัน ความเสรีของข้อมูลก็มีความเสี่ยงตรงที่อาจจะมีความเสี่ยงที่จะเจอการจู่โจมตามเครือข่ายไซเบอร์และอุปกรณ์ที่เชื่อมโยงและเก็บข้อมูลของผู้ใช้ และอาจพบปัญหาที่จะทำให้คนอื่นเข้าใจเรื่องภัยคุกคามไซเบอร์ยากเพราะว่าเป็นภัยที่มองเห็นยาก

อาจารย์จากคณะนิติศาสตร์ มธ. ระบุว่า สิ่งสำคัญเมื่อพูดถึงเรื่องความปลอดภัยไซเบอร์คือการคุ้มครองความเป็นส่วนตัวของบุคคล ซึ่งมิตินี้บางครั้งถูกมองข้ามไปในบริบทของประเทศไทยและประเทศในเอเชีย แม้จะถูกบัญญัติเอาไว้ในคำประกาศสิทธิมนุษยชนสากลก็ตาม อย่างไรก็ตาม ความเป็นส่วนตัวของข้อมูลอาจจำเป็นต้องยินยอมให้รัฐเข้าถึงได้ เช่น การให้เข้าถึงบันทึกข้อมูลสุขภาพเพื่อนำไปใช้กับการวิจัยทางการแพทย์หรือการให้รัฐเข้าถึงข้อมูลเพื่อป้องกันการก่อการร้าย แต่ อย่างไรก็ตาม การใช้งานข้อมูลควรจำกัดเอาไว้ว่าจะใช้กับอะไร ไม่ใช่ได้ข้อมูลมาแล้วจะทำอะไรก็ได้

ทั้งนี้ ความกังวลด้านความเป็นส่วนตัวเมื่อมีการบังคับใช้กฎหมายไซเบอร์มีอยู่ 4 ประการ หนึ่ง กระบวนการจัดเก็บข้อมูลซึ่งมีข้อกังวลว่าบุคคลควรได้รับการแจ้งเตือนและต้องยินยอมเสียก่อน และบุคคลควรมีสิทธิปฏิเสธไม่ให้ข้อมูลได้ สอง กระบวนการใช้และประมวลผลข้อมูลว่าควรจะจำกัดขอบเขตการใช้ข้อมูลว่าจะใช้ทำอะไรบ้าง สาม การแชร์ข้อมูล ควรจำกัดว่าข้อมูลสามารถถูกแชร์ให้ใครได้บ้าง และ สี่ ความปลอดภัยในการจัดเก็บข้อมูลที่มีข้อกังวลเรื่องความโปร่งใส บุคคลควรมีสิทธิในการเข้าถึงว่าบริษัทเอกชนและรัฐบาลเอาข้อมูลของพวกเขาไปทำอะไรบ้าง

อาจารย์นิติศาสตร์ ชี้ว่า ผู้ใช้บริการอาจเจอปัญหาด้านนโยบายความเป็นส่วนตัวจากบริษัทเอกชนผู้ให้บริการ สิ่งนี้เรียกว่าความย้อนแย้งด้านความโปร่งใส (Transparency Paradox) ถามว่าทุกวันนี้มีใครที่อ่านข้อตกลงการให้บริการก่อนที่จะใช้งานแอปพพลิเคชั่นบ้าง บริษัทเอกชนสามารถเข้าถึงข้อมูลของเราผ่านการที่เราคลิกตกลงเงื่อนไขการให้บริการแม้จะไม่ได้อ่าน เขาเพียงแค่ต้องการความยินยอมเท่านั้น ส่วนนี้จึงเป็นทางสองแพร่งของความยินยอมที่มีปัญหาว่า เราควรทำให้กระบวนการรับรู้และสร้างความยินยอมควรเป็นอะไรที่เข้าใจได้ง่าย (Comprehensible) ย่อเงื่อนไขให้คนอ่านง่าย แต่ก็มีความเสี่ยงที่จะสูญเสียใจความสำคัญของเงื่อนไขไป หรือจะทำให้การให้ความยินยอมนั้นมีลักษณะครอบคลุม (Comprehensive)

ฐิติรัตน์ตั้งคำถามว่า แล้วไทยควรจะเปลี่ยนจากการควบคุมสิทธิส่วนบุคคลตัวเองเป็นแบบรวมศูนย์ คือให้รัฐบาลออกแบบเองไหม ซึ่งเธอเห็นว่าไม่ควร เพราะเราควรมีสิทธิ์ในการตัดสินใจเอง แต่ละคนมีทัศนคติ ไลฟ์สไตล์ไม่เหมือนกัน แต่ในขณะเดียวกันสังคมควรหาบรรทัดฐานร่วมกันในบางประเด็น เช่น ความเป็นส่วนตัวของเด็กและเยาวชน ทั้งนี้ระบบการสั่งการจากรัฐบาลอาจไม่ใช่การสั่งให้ทำเพียงอย่างเดียว อาจออกแบบให้เป็นการทำให้คนคิดถึงเรื่องความเป็นส่วนตัวกันเองว่าอะไรคือทางออกที่ดีที่สุดก็ได้
 

เสนอหาจุดสมดุลระหว่างผลประโยชน์ส่วนรวมกับความเป็นส่วนตัว

ลาสส์ กล่าวว่า ต่อคำถามว่ารัฐสามารถเข้าถึงข้อมูลของบุคคลได้มากและลึกขนาดไหนเพื่อที่จะป้องกันภัยคุกคามและใช้สืบสวนอาชญากรรม สุดท้ายคำตอบอยู่ในคำถามที่ว่า แล้วสิทธิและความเป็นส่วนตัวมีบทบาทในระบบกฎหมายมากน้อยขนาดไหน ในฐานะที่เขาเองมาจากเยอรมนีซึ่งเป็นประเทศสมาชิกของสหภาพยุโรป (อียู) ที่ที่ความเป็นส่วนตัวถูกให้ความสำคัญมาก ซึ่งจุดนี้นำไปสู่การออกแบบกฎหมายที่เกี่ยวข้องอื่นๆ แต่ถ้าภายใต้บริบทหนึ่งซึ่งความเป็นส่วนตัวไม่ถูกศาลคำนึงถึงก็จะมีผลลัพธ์แตกต่างออกไป

อาจารย์ชาวเยอรมนีกล่าวถึงร่างพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ของไทยว่า เป็นการเชื่อมโยงความปลอดภัยไซเบอร์เข้ากับความมั่นคงของชาติ ลักษณะของกฎหมายเป็นรูปแบบของการป้องกันไม่ให้เกิด ในขณะที่ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์เป็นกลไกที่ถูกใช้หลังเกิดอาชญากรรมแล้ว

ลาสส์ระบุว่า การหาสมดุลระหว่างผลประโยชน์สาธารณะกับการเข้าถึงสิทธิส่วนบุคคลต้องมีสัดส่วนที่เหมาะสม สิ่งที่จำเป็นไม่ใช่มุมมองของรัฐบาลที่บอกว่าต้องปกป้องผลประโยชน์สาธารณะด้วยทุกสิ่งที่มี แต่เรากำลังพูดจากมุมมองของปัจเจกที่เห็นว่าควรมีหนทางรักษาผลประโยชน์สาธารณะให้ได้ในขณะที่ไม่ได้ควบคุมความเป็นส่วนตัวมากจนเกินไป
เขาย้ำว่า กฎหมายต้องอธิบายเป้าหมายตัวเองให้ชัดเจน เพื่อให้พวกเราดำเนินกระบวนการอื่นๆ ไปให้สอดคล้องวัตถุประสงค์ของกฎหมาย อีกประการหนึ่งคือ มีวิธีไหนที่ใช้งานได้ดีกว่ามาตรการที่ใช้หรือไม่ เช่น การเก็บข้อมูลทุกอย่างเอาไว้ 90 วันตามที่บัญญัติไว้ใน พ.ร.บ. คอมพิวเตอร์ เป็นอะไรที่ร้ายแรงเพราะไม่ใช่การหาข้อมูลจากผู้ต้องสงสัยแต่เป็นการเก็บข้อมูลของทุกคน

มาตรา 26 พ.ร.บ.คอมพิวเตอร์ฯ - ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็น พนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินสองปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้

ลาสส์ตั้งคำถามต่อว่า แล้วจะมีวิธีการอื่นมากไปกว่าที่ใช้อยู่ในปัจจุบันหรือไม่ แล้วถ้าวิธีการดังกล่าวมีราคาแพงต้องดูว่ามันได้สัดส่วนที่จะเปลี่ยนแปลงหรือเปล่า ถ้าแพงจนรับไม่ได้ก็ควรต้องมาคิด แต่ถ้าราคาแพงจะทำให้การปกป้องความเป็นส่วนตัวและสิทธิของประชาชน มันก็เป็นสิ่งที่จำเป็น

คำถามต่อมาของลาสส์คือ จำเป็นต้องมีข้อมูลมากเท่าไหร่ และข้อมูลไหนที่จำเป็นต้องมี อาจมีแค่ข้อมูลการจราจรของข้อมูล (ทราฟฟิก) หรือจะลงลึกจนถึงเนื้อหาต่างๆ ที่คนเผยแพร่หรือไม่ ขอบเขตความจำเป็นมีผลกับระดับความเป็นส่วนตัวของประชาชน  และใครที่สามารถเข้าถึงข้อมูลเช่นว่าได้ จำเป็นต้องมีการจำกัดการเข้าถึง ไม่ใช่ว่าให้ข้อมูลไปให้รัฐบาลแล้วรัฐบาลจะส่งเวียนข้อมูลไปให้ใครก็ได้ ต้องมีการจำกัดขอบเขตด้วยว่าข้อมูลจะถูกใช้ในเรื่องไหน แล้วเรื่องหนึ่งๆ ใครจะเป็นคนเข้าถึงข้อมูลนั้นได้บ้าง

นอกจากนั้นเราควรมีกระบวนการบรรเทาและปกป้องบุคคลต่อผลกระทบจากการถูกเข้าถึงข้อมูลส่วนบุคคล กระบวนการนั้นอาจเป็นคำสั่งจากศาล หรือมีข้อบังคับให้คนต้องยินยอมว่าจะถูกเก็บข้อมูล ซึ่งมีความสำคัญเพราะเป็นการแจ้งเตือนให้คนทราบด้วยว่าจะมีการเก็บข้อมูล ไม่เช่นนั้นอาจมีปัญหาเวลาเดือดร้อนอันเป็นผลจากการถูกเก็บข้อมูล หรือข้อบังคับว่าข้อมูลต้องถูกลบหลังใช้งานเสร็จแล้ว คำถามที่ว่าข้อมูลจะถูกเก็บไว้ได้นานเท่าไหร่ และสิทธิต่อข้อมูลที่ถูกเก็บไป

ลาสส์ยังระบุว่า จุดสมดุลระหว่างผลประโยชน์สาธารณะกับสิทธิส่วนบุคคลนั้นอาจถูกพิจารณาจากความสาหัสและความจวนตัวของภัยคุกคาม ถ้าภัยคุกคามจวนตัวและรัฐบาลต้องการปกป้องความมั่นคงของรัฐ หรือต้องการสืบสวนคดีร้ายแรง คำสั่งจากรัฐบาลอาจบุกรุกความเป็นส่วนตัวของประชาชนมากกว่าภัยคุกคามที่ไกลตัวและอาชญากรรมขนาดเล็ก ทั้งนี้ทั้งหมดจำเป็นที่จะต้องวิเคราะห์ถึงความจำเป็นในการเข้าถึงข้อมูลส่วนบุคคลว่าสมควรแก่เหตุจริงหรือไม่ และยกตัวอย่างกรณีของอียูว่า ในอียูนั้นการเก็บข้อมูลของผู้ใช้บริการทุกคนเอาไว้แทบจะทำไม่ได้ ยกเว้นไว้แต่การสืบสวนคดีที่ร้ายแรงมาก ในกรณีเยอรมนีนั้นเจ้าหน้าที่ไม่สามารถยึดไดอารี่ของประชาชนด้วยซ้ำ เนื่องจากถือว่าเป็นพื้นที่ส่วนตัวที่ใครก็ไม่สามารถเข้าไปล่วงรู้ได้ไม่ว่าในกรณีใดๆ (Intimate Sphere)

ตัวแทนบริษัทไอทีระดับโลกแนะกฎหมายไม่ควรฉุดนวัตกรรม

เซียวฮงโก๊ะให้คำจำกัดความของคำที่คนมักใช้สลับและผสมกันไปมา อย่างคำว่าความปลอดภัยไซเบอร์ (Cyber Security) อาชญากรรมไซเบอร์ (Cybercrime) ความเป็นส่วนตัว (Privacy) และเนื้อหา (Content)

ความปลอดภัยไซเบอร์ (Cyber Security) คือกิจกรรมที่ทำเพื่อป้องกันตัวเองจากการจู่โจมทางไซเบอร์ โดยจุดมุ่งหมายหลักคือการป้องกันและหยุดยั้งการจู่โจม ส่วนอาชญากรรมไซเบอร์ (Cybercrime) นั้นหมายถึงการตามหาตัวผู้ก่อเหตุ ซึ่งเป็นความรับผิดชอบของเจ้าหน้าที่ตำรวจ คำว่าความเป็นส่วนตัว (Privacy) หมายถึงข้อมูลส่วนบุคคลและการปกป้องข้อมูลดังกล่าว คำนี้สามารถเชื่อมโยงกับความปลอดภัยไซเบอร์และอาชญากรรมไซเบอร์ได้หากมีการเจาะและเข้าถึงข้อมูลดังกล่าว ส่วนคำว่าเนื้อหา (Content) นั้นคือข้อมูลต่างๆ ที่อยู่บนอินเทอร์เน็ต หมายรวมถึงข้อมูลทั้งที่เป็นเท็จและเป็นจริง

ปัญหาใหญ่ที่สุดคือ เราจะรู้ได้อย่างไรว่าเราถูกเจาะ เพราะว่าสิ่งแวดล้อมและรูปแบบภัยคุกคามทางไซเบอร์ในวันนี้แตกต่างจากอดีตอย่างมาก และระบบปฏิบัติการป้องกันแบบเดิมๆ ไม่สามารถรับมือกับภัยแบบใหม่ได้ การทำงานของระบบป้องกันมีลักษณะเหมือนกับเกมตีตัวตุ่น (Whack a mole) ที่ต่อให้ตีเก่งแค่ไหนก็ยังต้องพลาดอย่างน้อยหนึ่งถึงสองตัว ในการจู่โจมไซเบอร์ก็เป็นลักษณะเดียวกัน ผู้จู่โจมจะใช้จำนวนเข้าสู้และต้องการให้หลุดเข้าไปเจาะได้แค่ตัวเดียวก็พอ ในขณะที่ฝ่ายป้องกันนั้นต้องป้องกันให้ได้ทั้งหมด

องค์กรต่างๆ มีความลำบากในการบริหารเช่นกันเพราะพวกเขาใช้หลายซอฟต์แวร์ในการป้องกันการโจมตีไซเบอร์ แต่ซอฟต์แวร์ต่างๆ ไม่มีระบบสื่อสาร ประสานงานกัน ตอนนี้จึงมีการพูดถึงการสร้างซอฟต์แวร์ที่มีศักยภาพในการสื่อสารระหว่างซอฟต์แวร์ที่ต่างกัน รวมถึงการรับมือการโจมตีด้วยการมีระบบป้องกันหลายชั้นมากขึ้น ทั้งนี้บริษัทเอกชนควรจะมีบุคคลที่มีความรู้ความชำนาญในการใช้งานระบบป้องกันความปลอดภัย เพราะการมีแค่ซอฟต์แวร์อย่างเดียวแต่ไม่สามารถใช้งานได้เต็มที่และถูกต้องก็เหมือนไม่มี ทั้งนี้บุคลากรระดับผู้บริหารควรตระหนักถึงปัญหาเรื่องความปลอดภัยไซเบอร์ด้วย

ผู้อำนวยการด้านนโยบายระดับโลกของบริษัทรักษาความปลอดภัยไซเบอร์ชั้นนำของโลกระบุถึงปัญหาของการบังคับใช้กฎหมายด้านอาชญากรรมไซเบอร์และการจู่โจมไซเบอร์ว่า มีปัญหาตรงที่กฎหมายสามารถใช้ได้ต่อเมื่อปัญหาเกิดขึ้นแล้ว ตำรวจสามารถออกปฏิบัติการได้ต่อเมื่อมีอาชญากรรมเกิดขึ้น จึงควรมีมาตรการที่เอาไว้ใช้ป้องกันไม่ให้เกิดขึ้นด้วย กฎหมายควรมีความยืดหยุ่น ไม่ตึงเกินไปเพราะจะเป็นการยับยั้งการเกิดนวัตกรรม และไม่หย่อนเกินไปจนใครจะทำอะไรก็ได้ทุกอย่าง การควบคุมไม่ควรจะไปฉุดรั้งการพัฒนาองค์ความรู้

ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)

ติดตามประชาไทอัพเดท ได้ที่:
Facebook : https://www.facebook.com/prachatai
Twitter : https://twitter.com/prachatai
YouTube : https://www.youtube.com/prachatai
Prachatai Store Shop : https://prachataistore.net
สนับสนุนประชาไท 1,000 บาท รับร่มตาใส + เสื้อโปโล

ประชาไท