(ร่าง) พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ....

งานนำเสนอเรื่อง: "(ร่าง) พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ...."— ใบสำเนางานนำเสนอ:

1 (ร่าง) พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ....
Chapter 7 (ร่าง) พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ....

2 กรอบแนวคิดการรักษาความมั่นคงปลอดภัยไซเบอร์ในอุดมคติ
กรอบแนวคิดการรักษาความมั่นคงปลอดภัยไซเบอร์ในอุดมคติโดยยึดประเด็นสำคัญที่ต้องนำมาพิจารณาร่วมกันในการสร้างความมั่นคงปลอดภัยไซเบอร์ดังนี้ (1) ความมั่นคงปลอดภัยของระบบและข้อมูล (2) สิทธิเสรีภาพของประชาชน (3) ความมั่นคงของประเทศ และ (4) การร่วมมือกันของบุคคลที่เกี่ยวข้องกับโลกไซเบอร์

3 กรอบแนวคิดการรักษาความมั่นคงปลอดภัยไซเบอร์ในอุดมคติ (ต่อ...)

4 กรอบแนวคิดการรักษาความมั่นคงปลอดภัยไซเบอร์ในอุดมคติ(ต่อ...)
ได้แก่การสร้างความมั่นคงปลอดภัยในระบบ network และข้อมูล (data) ด้วยมาตรการทางเทคโนโลยี มาตรการทางกฎหมาย (statutory regulation) รวมถึงการกำกับดูแลตนเอง (self-regulation) และการกำกับดูแลร่วมกัน (co-regulation) ของบุคคล 3 ฝ่าย ได้แก่ รัฐ หน่วยงานภาคเอกชน และภาคประชาสังคม แม้มาตรการทางกฎหมายอาจมีความจำเป็นในการรักษาความมั่นคงปลอดภัยของระบบและข้อมูลอันอาจกระทบถึงความมั่นคงของชาติ แต่ความเข้มข้นของมาตรการดังกล่าวก็ต้องคำนึงถึงสิทธิเสรีภาพของประชาชนให้ประชาชนยังคงดำรงซึ่งสิทธิเสรีภาพในโลกไซเบอร์ (โลกเสมือนจริง) เสมอกับที่มีในโลกแห่งความเป็นจริง

5 กรอบแนวคิดการรักษาความมั่นคงปลอดภัยไซเบอร์ในอุดมคติ (ต่อ...)
กรอบแนวคิดการรักษาความมั่นคงปลอดภัยไซเบอร์ในอุดมคติ (ต่อ...) 1.1 รัฐหรือหน่วยงานของรัฐ  รัฐต้องจัดให้ภาคเอกชนเฉพาะที่เกี่ยวข้องกับความมั่นคงของระบบและข้อมูลอันกระทบความมั่นคงของชาติ เช่น กิจการธนาคาร สายการบิน สาธารณูปโภค จัดให้มีการบริหารความเสี่ยงทางเทคนิคที่ดีและต่อเนื่อง เช่น มีระบบการตั้งค่าแบบปลอดภัย มีระบบควบคุมการเข้าถึง มีระบบป้องกันชุดคำสั่งไม่พึงประสงค์ มีระบบจัดการปิดช่องโหว่คอมพิวเตอร์ มีการสำรองข้อมูลที่สำคัญ เป็นต้น นอกจากนี้ รัฐต้องกำหนดให้หน่วยงานภาคเอกชนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบและข้อมูลอันกระทบความมั่นคงของชาติ ต้องรายงานการโจมตีทางไซเบอร์ให้กับรัฐทันที จัดให้มีสายด่วนแจ้งภัยไซเบอร์ในกรณีมีการโจมตีได้ทันทีตลอด 24 ชั่วโมง

6 กรอบแนวคิดการรักษาความมั่นคงปลอดภัยไซเบอร์ในอุดมคติ(ต่อ...)
1.2 หน่วยงานภาคเอกชน  ต้องมีหน้าที่บริหารความเสี่ยงในการจัดการทางเทคโนโลยีเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ เช่น ไฟร์วอลล์ขอบเขต (boundary firewalls), เกตเวย์อินเทอร์เน็ต (Internet gateway) ระบบการตั้งค่าแบบปลอดภัย (secure configuration) ระบบควบคุมการเข้าถึง (access control) ระบบป้องกันชุดคำสั่งไม่พึงประสงค์ (malware protection) ระบบจัดการปิดช่องโหว่คอมพิวเตอร์ (patch management) เป็นต้น นอกจากนี้ หน่วยงานภาคเอกชน โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับกิจการสำคัญที่มีผลต่อความมั่นคงของชาติ เช่น กิจการธนาคาร สายการบิน ฯลฯ ต้องมีหน้าที่รายงานการโจมตีทางไซเบอร์ให้หน่วยงานของรัฐทันที 1.3 ภาคประชาสังคม  ต้องได้รับการการคุ้มครองสิทธิเสรีภาพในโลกไซเบอร์ (โลกเสมือนจริง) เสมอด้วยโลกแห่งความเป็นจริง อย่างไรก็ตาม ภาคประชาสังคมควรมีหน้าที่เฝ้าระวังระบบและข้อมูลบนอินเทอร์เน็ตให้มีความมั่นคงปลอดภัย หากพบเว็บไซต์ที่มีเนื้อหาที่ไม่เหมาะสมหรือพบการโจมตีทางไซเบอร์ ก็ควรรายงานเหตุการณ์ดังกล่าวทันที

7 กลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปเพื่อดำรงรักษาความเป็นตลาดดิจิทัลเดียว
การเป็นตลาดดิจิทัลเดียว (Digital Single Market) เป็นหนึ่งในเป้าหมายที่สำคัญของคณะกรรมาธิการยุโรป เพราะสามารถทำให้รายได้ของ EU เพิ่มขึ้น ทำให้การจ้างงานเพิ่มขึ้นนับล้านตำแหน่ง ทำให้สังคมเกิดการแลกเปลี่ยนความรู้ต่อกัน ความมั่นคงปลอดภัยในโลกไซเบอร์เป็นรากฐานที่สำคัญของการเป็นตลาดดิจิทัลเดียว ปัจจุบันพลเมืองหลายร้อยล้านคนใน EU ต่างพึ่งพาอินเทอร์เน็ตสำหรับการรับบริการในด้านต่างๆ เช่น การรับบริการจากรัฐบาลอิเล็กทรอนิกส์ การรับบริการด้านสุขภาพ การช้อปปิ้งสินค้าและบริการออนไลน์ และการติดต่อสื่อสารในเครือข่ายสังคมออนไลน์ อย่างไรก็ดี โลกไซเบอร์มีความเสี่ยงต่อภัยคุกคามที่อาจเกิดจากความล้มเหลวทางเทคนิค (technical failures) และการโจมตีไซเบอร์ (cyber attacks) ความล้มเหลวในการตอบโต้ต่อภัยคุกคามทางไซเบอร์ อาจนำไปสู่การสูญเสียความเชื่อมั่นของผู้บริโภคในโลกไซเบอร์ ส่งผลให้ธุรกิจอาจต้องสูญเสียเงินจำนวนมหาศาล และกระทบต่อประสิทธิภาพของโครงการรัฐบาลอิเล็กทรอนิกส์ ตลอดจนความมั่นคงของชาติอาจถูกสั่นคลอนและเนื่องจากการโจมตีไซเบอร์ไม่อาจสกัดกันด้วยพรมแดนของประเทศ วิธีการแก้ปัญหาของ EU จึงต้องสร้าง “กลยุทธ์และกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป” ขึ้น เพื่อสร้างความมั่นใจแก่ธุรกิจและประชาชนในสหภาพยุโรปว่าโลกไซเบอร์ในสหภาพยุโรปมีความมั่นคงปลอดภัย

8 กลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป ได้แก่
การลดการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ โดยการเสริมสร้างความเชี่ยวชาญแก่เจ้าหน้าที่ผู้มีอำนาจดูแล ตรวจสอบและดำเนินคดีกับผู้กระทำความผิด จัดให้มีการประสานงานระหว่างหน่วยงานบังคับใช้กฎหมาย EU การพัฒนานโยบายการป้องกันไซเบอร์ของ EU รวมทั้งเพิ่มขีดความสามารถในการรักษาความมั่นคง และนโยบายการป้องกันไซเบอร์ร่วมกัน การเสริมสร้างนโยบายต่างประเทศของสหภาพยุโรปที่เกี่ยวกับโลกไซเบอร์ (Cyberspace) เพื่อสนับสนุนการใช้กฎหมายระหว่างประเทศกับกิจกรรมในโลกไซเบอร์ และเพื่อให้ความช่วยเหลือประเทศนอก EU ในการสร้างขีดความสามารถในการรักษาความมั่นคงปลอดภัยไซเบอร์ การสนับสนุนทรัพยากร ทั้งทางด้านอุตสาหกรรมและเทคโนโลยีที่จำเป็นในการเป็นตลาดดิจิทัลเดียว เพราะจะช่วยกระตุ้นให้เกิดอุตสาหกรรมและตลาดสำหรับเทคโนโลยีสารสนเทศและการสื่อสารที่มั่นคงปลอดภัยใน EU

9 กฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (EU Network and Information Security Directive)
ปรับปรุงประสิทธิภาพทางเทคนิคในการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศสมาชิกแห่งสหภาพยุโรป โดยประเทศสมาชิกแต่ละประเทศจะต้องสร้างเครือข่ายความมั่นคงปลอดภัยสารสนเทศ (National Information Security: NIS) ของตน ตลอดจนจัดตั้งองค์กรที่มีอำนาจแห่งชาติ (National Competent Authority: NCA) เพื่อนำกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปมาใช้ในประเทศของตน นอกจากนี้ประเทศสมาชิกยังต้องสร้างทีมงานเพื่อตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ (Computer Emergency Response Team: CERT) เพื่อเป็นผู้รับผิดชอบในการจัดการและลดความเสี่ยงของการเกิดอุบัติอันอาจเหตุจากการรักษาความมั่นคงปลอดภัยไซเบอร์

10 กฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (EU Network and Information Security Directive)
(ต่อ...) เสริมสร้างความร่วมมือระหว่างประเทศสมาชิกในสหภาพยุโรป รวมถึงหน่วยงานภาครัฐและเอกชนเพื่อร่วมกันจัดการกับปัญหาการโจมตีทางไซเบอร์ กำหนดมาตรฐานการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ขั้นต่ำสำหรับผู้ประกอบการตลาดที่ประกอบธุรกรรมเกี่ยวกับโครงสร้างพื้นฐานที่สำคัญ เช่น พลังงาน สุขภาพ การขนส่ง บริการทางการเงิน และอื่นๆ ที่อยู่ในประเทศสมาชิกของสหภาพยุโรปทั้งหมด ตามมาตรฐานขั้นต่ำดังกล่าว ผู้ประกอบการตลาดจะต้องกำหนดมาตรการในการบริหารความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ และจะต้องรายงานเหตุการณ์เกี่ยวกับความมั่นคงปลอดภัยในโลกไซเบอร์ที่มี “ผลกระทบที่สำคัญ” จากการให้บริการของตน

11 ประโยชน์ของกฎรักษาความมั่นคงปลอดภัยแห่งสหภาพยุโรป
ทำให้ประชาชนและผู้บริโภคเกิดความไว้วางใจในเทคโนโลยีที่พวกเขาใช้ในชีวิตประจำวันมากขึ้น ทำให้รัฐบาลและภาคธุรกิจจะสามารถที่จะใช้เครือข่ายดิจิทัลและโครงสร้างพื้นฐานที่จะให้บริการที่จำเป็นแก่ประชาชนและผู้บริโภคทั้งในประเทศและนอกประเทศได้อย่างมั่นใจและมั่นคงปลอดภัย ทำให้เศรษฐกิจของสหภาพยุโรปได้ประโยชน์จากการบริการที่น่าเชื่อถือมากขึ้น รวมถึงการมีวัฒนธรรมของการบริหารความเสี่ยงและระบบการรายงานเหตุการณ์ที่เกิดขึ้นจะสร้างความมีเสถียรภาพสำหรับองค์กรธุรกิจที่ต้องการจะแข่งขันการทำธุรกิจในตลาดดิจิทัลเดียวแห่งสหภาพยุโรป

12 (ร่าง) พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์
พ.ศ. .... บทนำ “การโจมตีทางไซเบอร์” ถือเป็นภัยคุกคามใหญ่หลวงต่อผลประโยชน์ทางเศรษฐกิจตลอดจนความมั่นคงของประเทศ การโจมตีทางไซเบอร์มีหลายรูปแบบ เช่น การเจาะระบบคอมพิวเตอร์ (hacking) การสอดแนมข้อมูลคอมพิวเตอร์โดยสปายแวร์ (spyware) การดักรับข้อมูลคอมพิวเตอร์ (sniffing) การทำลายระบบคอมพิวเตอร์หรือข้อมูลคอมพิวเตอร์ (malicious software: malware) หรือการรุมสอบถามข้อมูลจนระบบล่ม (Denial of Service attack: DoS attack) เป็นต้น แต่ละการโจมตีล้วนแต่สร้างความเสียหายอย่างมหาศาลทั้งต่อระบบเศรษฐกิจและความมั่นคงของประเทศ

13 ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ…
หลักการ และเหตุผล ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ… ความก้าวหน้าทางเทคโนโลยีสารสนเทศซึ่งถูกนามาใช้ประโยชน์ในการทำธุรกรรมหรือการติดต่อสื่อสาร ก่อให้เกิดสภาพแวดล้อมที่เอื้ออำนวยต่อภัยคุกคามและการก่ออาชญากรรมทางไซเบอร์ที่สามารถส่งผลกระทบในวงกว้างได้อย่างรวดเร็วยิ่งทวีความรุนแรงมากขึ้น สร้างความเสียหายทั้งในระดับบุคคลและระดับประเทศ การป้องกันหรือรับมือกับภัยคุกคาม / ความเสี่ยงบนไซเบอร์ จึงต้องอาศัยความรวดเร็วและการประสานงานกับทุกหน่วยงานที่เกี่ยวข้อง และการดูแลรักษาความมั่นคงปลอดภัยไซเบอร์อย่างต่อเนื่อง ดังนั้น เพื่อให้ประเทศไทยสามารถป้องกันสถานการณ์ด้านภัยคุกคามทางไซเบอร์ที่อาจก่อให้เกิดความเสี่ยงต่อการให้บริการ เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยปกติของดาวเทียม ซึ่งกระทบต่อความมั่นคงของชาติในมิติต่าง ๆ อันครอบคลุมถึงความมั่นคงทางการทหาร ความสงบเรียบร้อยภายในประเทศ และความมั่นคงทางเศรษฐกิจ มีการดำเนินการที่รวดเร็วและมีความเป็นเอกภาพ สมควรกำหนดให้มีมาตรการด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ ให้เป็นไปอย่างมีประสิทธิภาพ และเกิดผลสัมฤทธิ์

14 มาตรา ๓ ในพระราชบัญญัตินี้
คำจำกัดความ “ความมั่นคงปลอดภัยไซเบอร์” ตามร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ… มาตรา ๓ ในพระราชบัญญัตินี้ “ความมั่นคงปลอดภัยไซเบอร์” หมายความว่า มาตรการและการดำเนินการที่กำหนดขึ้น เพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศให้สามารถปกป้อง ป้องกัน หรือรับมือกับสถานการณ์ด้านภัยคุกคามทางไซเบอร์ที่ส่งผลกระทบหรืออาจก่อให้เกิดความเสี่ยงต่อการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยปกติของดาวเทียม อันกระทบต่อความมั่นคงของชาติซึ่งรวมถึงความมั่นคงทางการทหาร ความสงบเรียบร้อยภายในประเทศ และความมั่นคงทางเศรษฐกิจ

15 องค์ประกอบของร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ…
ร่างพระราชบัญญัติ ฯ ประกอบด้วย 5 หมวด ดังนี้ หมวดที่ 1 การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หมวดที่ 2 คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หมวดที่ 3 สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์ แห่งชาติ หมวดที่ 4 การปฏิบัติการและการรับมือภัยคุกคามทางไซเบอร์ หมวดที่ 5 พนักงานเจ้าหน้าที่

16 หมวดที่ 1 การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
สาระสำคัญ หมวดที่ 1 การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มาตรา ๕ การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติต้องดำเนินการ เพื่อปกป้อง รับมือ ป้องกันและลดความเสี่ยงจากสถานการณ์ภัยคุกคามทางไซเบอร์อันกระทบต่อความมั่นคงของชาติทั้งจากภายในและภายนอกประเทศ ซึ่งครอบคลุมถึง ความมั่นคงทางเศรษฐกิจ ความสงบเรียบร้อยภายในประเทศ และอาจส่งผลกระทบต่อความมั่นคงทางทหาร หรือที่ส่งผลกระทบอย่างมีนัยสำคัญต่อความมั่นคงของประเทศทางไซเบอร์ในภาพรวม ให้มีความเป็นเอกภาพ โดยให้คำนึงถึงความสอดคล้องกับกรอบนโยบายและแผนแม่บทที่เกี่ยวกับการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคมของคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคม และกรอบนโยบายและแผนแม่บทที่เกี่ยวกับการรักษาความมั่นคงของสภาความมั่นคงแห่งชาติ ซึ่งเห็นชอบโดย คณะรัฐมนตรี

17 หมวดที่ 1 การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
สาระสำคัญ หมวดที่ 1 การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (ต่อ...) การดำเนินการเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างน้อยจึงต้องครอบคลุมในเรื่อง ดังต่อไปนี้ (๑) การบูรณาการการจัดการความมั่นคงปลอดภัยไซเบอร์ของประเทศ (๒) การสร้างศักยภาพในการตอบสนองต่อสถานการณ์ฉุกเฉินทางความมั่นคงปลอดภัยไซ เบอร์ (๓) การปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ (๔) การประสานความร่วมมือระหว่างภาครัฐและเอกชนเพื่อความมั่นคงปลอดภัยไซเบอร์ (๕) การสร้างความตระหนักและรอบรู้ด้านความมั่นคงปลอดภัยไซเบอร์ (๖) การพัฒนาระเบียบและกฎหมายเพื่อความมั่นคงปลอดภัยไซเบอร์ (๗) การวิจัยและพัฒนาเพื่อความมั่นคงปลอดภัยไซเบอร์ (๘) การประสานความร่วมมือระหว่างประเทศเพื่อความมั่นคงปลอดภัยไซเบอร์

18 หมวดที่ 2 คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
สาระสำคัญ หมวดที่ 2 คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หมวดที่ 2 เป็นหมวดที่มีการแต่งตั้งคณะกรรมการรักษาความมั่นคง ปลอดภัยไซเบอร์แห่งชาติ กำหนดโครงสร้างของกรรมการ กำหนดคุณสมบัติและวาระการดำรงตำแหน่ง และ กำหนดอำนาจหน้าที่ ตามมาตรา 6 – มาตรา 13 ดังรายละเอียดของ มาตรา 6 ดังต่อไปนี้ มาตรา ๖ ให้มีคณะกรรมการคณะหนึ่ง เรียกว่า “คณะกรรมการการรักษาความมั่นคง ปลอดภัยไซเบอร์แห่งชาติ” เรียกโดยย่อว่า “กปช.” และให้ใช้ชื่อภาษาอังกฤษว่า “National Cybersecurity Committee” เรียกโดยย่อว่า “NCSC” ประกอบด้วย รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ กรรมการโดยตำแหน่งจ านวนสี่คน ได้แก่ เลขาธิการสภาความมั่นคงแห่งชาติ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงกลาโหม ผู้บังคับการกองบังคับการปราบปรามการ กระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ กรรมการผู้ทรงคุณวุฒิจำนวนไม่เกินเจ็ดคน ซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ด้านเทคโนโลยีสารสนเทศและการสื่อสาร

19 หมวดที่ 3 สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ
สาระสำคัญ หมวดที่ 3 สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ มาตรา ๑๔ ให้จัดตั้งสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติขึ้นเป็นหน่วยงานของรัฐที่มีฐานะเป็นนิติบุคคล ไม่เป็นส่วนราชการและรัฐวิสาหกิจ มาตรา ๑๕ ให้สำนักงานมีสำนักงานใหญ่ในกรุงเทพมหานครหรือจังหวัดใกล้เคียง

20 หมวดที่ 4 การปฏิบัติการและการรับมือภัยคุกคามทางไซเบอร์
สาระสำคัญ หมวดที่ 4 การปฏิบัติการและการรับมือภัยคุกคามทางไซเบอร์ มาตรา ๒๗ เมื่อ กปช. จัดทำแผนแม่บทความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ให้สำนักงานจัดทำแนวทาง มาตรการ แผนปฏิบัติการ หรือโครงการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ให้สอดคล้องและเป็นไปตามนโยบายและแผนดังกล่าว เมื่อคณะกรรมการให้ความเห็นชอบแนวทาง มาตรการ แผนปฏิบัติการ หรือโครงการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์และมีผลใช้บังคับแล้ว หากมีกรณีจำเป็นให้ กปช. มีอำนาจแก้ไขเปลี่ยนแปลงหรือเพิ่มเติมให้เหมาะสมแก่สถานการณ์ได้ มาตรา ๓๔ ในกรณีที่มีความจำเป็นเพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ที่อาจกระทบต่อความมั่นคงทางการเงินและการพาณิชย์ หรือความมั่นคงของประเทศ กปช. อาจสั่งการให้หน่วยงานภาคเอกชนกระทำการหรืองดเว้นกระทำการอย่างใดอย่างหนึ่ง และให้รายงานผลการปฏิบัติการต่อ กปช. ตามที่ กปช. ประกาศกำหนด

21 หมวดที่ 5 พนักงานเจ้าหน้าที่
สาระสำคัญ หมวดที่ 5 พนักงานเจ้าหน้าที่ มาตรา ๓๕ เพื่อประโยชน์ในการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ ให้พนักงานเจ้าหน้าที่ที่ได้รับมอบหมายเป็นหนังสือจากเลขาธิการ มีอำนาจดังต่อไปนี้ (๑) มีหนังสือสอบถามหรือเรียกให้หน่วยงานของรัฐ หรือบุคคลใดๆ มาให้ถ้อยคำ ส่งคำชี้แจงเป็นหนังสือ หรือส่งบัญชี เอกสาร หรือหลักฐานใด ๆ มาเพื่อตรวจสอบหรือให้ข้อมูลเพื่อประโยชน์ในการปฏิบัติการตาม พ.ร.บ. นี้ (๒) มีหนังสือขอให้หน่วยงานราชการ หรือหน่วยงานเอกชนดำเนินการเพื่อประโยชน์แห่งการปฏิบัติหน้าที่ของ กปช. (๓) เข้าถึงข้อมูลการติดต่อสื่อสารทั้งทางไปรษณีย์ โทรเลข โทรศัพท์ โทรสาร คอมพิวเตอร์ เครื่องมือ หรืออุปกรณ์ในการสื่อสารสื่ออิเล็กทรอนิกส์หรือสื่อทางเทคโนโลยีสารสนเทศใด เพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์ การดำเนินการตาม (๓) ให้เป็นไปตามหลักเกณฑ์และเงื่อนไขที่คณะรัฐมนตรีกำหนด

22 วิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ….*
[*หมายเหตุ ร่างกฎหมายฯ ที่นำมาวิเคราะห์ในบทความนี้เป็นฉบับที่คณะรัฐมนตรีเห็นชอบในหลักการ ซึ่งเป็นร่างฯ ฉบับแรก และเป็นร่างฯ ฉบับเดียวที่เปิดเผยต่อสาธารณะในขณะนี้] สามารถแยกวิเคราะห์เป็นข้อๆ ได้ดังนี้ 1. เหตุผลของกฎหมาย ร่างกฎหมายไซเบอร์ของไทย ได้ให้เหตุผลในการยกร่างกฎหมายไว้ดังนี้ “การป้องกันหรือรับมือกับภัยคุกคามหรือความเสี่ยงบนไซเบอร์จึงต้องอาศัยความรวดเร็วและการประสานงานกับทุกหน่วยงานที่เกี่ยวข้องเพื่อป้องกันและรับมือได้ทันสถานการณ์ และมีการดูแลรักษาความมั่นคงปลอดภัยไซเบอร์อย่างต่อเนื่อง” การกำหนดคำว่า “ประสานงาน” สอดคล้องกับแนวคิดการร่วมมือกันของกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปที่ใช้คำว่า “cooperation” ซึ่งเป็นการทำงานรวมกันทั้งภาครัฐและเอกชนในการต่อสู้กับปัญหาการโจมตีไซเบอร์

23 วิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ (ต่อ...)
2. ความหมายของ “ความมั่นคงปลอดภัยไซเบอร์” บทนิยามศัพท์ในร่างกฎหมายไซเบอร์ของไทย ได้นิยามคำว่า“ความมั่นคงปลอดภัยไซเบอร์” ว่าหมายถึง “มาตรการและการดำเนินการที่กำหนดขึ้น เพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศให้สามารถปกป้อง ป้องกัน หรือรับมือกับสถานการณ์ด้านภัยคุกคามทางไซเบอร์ที่ส่งผลกระทบหรืออาจก่อให้เกิดความเสี่ยงต่อการให้บริการหรือการประยุกต์ใช้ เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยปกติของดาวเทียม อันกระทบต่อความมั่นคงของชาติ ซึ่งรวมถึงความมั่นคงทางการทหาร ความสงบเรียบร้อยภายในประเทศ และความมั่นคงทางเศรษฐกิจ” จากนิยามศัพท์ “ความมั่นคงปลอดภัยไซเบอร์” ข้างต้น จะเห็นได้ว่าร่างกฎหมายไซเบอร์ของไทยมิได้มุ่งเฉพาะความมั่นคงปลอดภัยของระบบและข้อมูลอันกระทบต่อความมั่นคงทางเศรษฐกิจแต่เพียงอย่างเดียว แต่หมายความรวมถึงความมั่นคงทางการทหารและความสงบเรียบร้อยภายในประเทศด้วย ซึ่งแตกต่างกับกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปที่มุ่งเน้นความมั่นคงปลอดภัยของระบบและข้อมูลเพื่อประโยชน์ทางเศรษฐกิจเป็นสำคัญ

24 วิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ (ต่อ...)
3 ผู้มีอำนาจสั่งการตามร่างกฎหมายไซเบอร์: คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ร่างกฎหมายไซเบอร์ของไทยกำหนดให้มีคณะกรรมการคณะหนึ่ง เรียกว่า “คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” หรือ“กปช.” (National Cybersecurity Committee” เรียกโดยย่อว่า “NCSC” )ประกอบด้วย 1) รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ 2) กรรมการโดยตำแหน่งจำนวนสี่คน ได้แก่ เลขาธิการสภาความมั่นคงแห่งชาติ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงกลาโหม ผู้บังคับการกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ 3) กรรมการผู้ทรงคุณวุฒิจำนวนไม่เกินเจ็ดคนซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านนิติศาสตร์ หรือด้านอื่นที่เกี่ยวข้องและเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์

25 วิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ (ต่อ...)
ร่างกฎหมายไซเบอร์ของไทยกำหนดให้ กปช. มีอำนาจหน้าที่ที่สำคัญ ดังต่อไปนี้ 1) สั่งการหรือประสานความร่วมมือกับหน่วยงานภาครัฐและภาคเอกชนเพื่อปฏิบัติให้เป็นไปตามนโยบายหรือแผนปฏิบัติการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือให้ดำเนินการอื่นใดที่จำเป็นต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งในประเทศและต่างประเทศ 2) (มาตรา 34) เมื่อมีเหตุฉุกเฉินหรือภยันตรายอันเนื่องมาจากภัยคุกคามทางไซเบอร์ที่อาจก่อให้เกิดผลกระทบต่อความมั่นคงของประเทศ ให้ กปช. มีอำนาจสั่งการให้หน่วยงานของรัฐทุกแห่งดำเนินการอย่างหนึ่งอย่างใดเพื่อป้องกัน แก้ไขปัญหา หรือบรรเทาความเสียหายที่เกิดหรืออาจจะเกิดขึ้นได้ตามที่เห็นสมควร และอาจให้หน่วยงานของรัฐ หรือบุคคลใด รวมทั้งบุคคลซึ่งได้รับอันตรายหรืออาจได้รับอันตรายหรือความเสียหายดังกล่าว กระทำหรือร่วมกันกระทำการใด ๆ อันจะมีผลเป็นการควบคุม ระงับ หรือบรรเทาผลร้ายจากอันตรายและความเสียหายที่เกิดขึ้นนั้นได้อย่างทันท่วงที

26 วิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ (ต่อ...)
3) (มาตรา 33) ในกรณีที่มีความจำเป็นเพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ที่อาจกระทบต่อความมั่นคงทางการเงินและการพาณิชย์ หรือความมั่นคงของประเทศ กปช. อาจสั่งการให้หน่วยงานภาคเอกชนกระทำการหรืองดเว้นกระทำการอย่างใดอย่างหนึ่ง และให้รายงานผลการปฏิบัติการต่อ กปช. ตามที่ กปช. ประกาศกำหนด 4) (มาตรา 35) เพื่อประโยชน์ในการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ ให้พนักงานเจ้าหน้าที่ที่ได้รับมอบหมายเป็นหนังสือจากเลขาธิการ มีอำนาจดังต่อไปนี้ (4.1) มีหนังสือสอบถามหรือเรียกให้หน่วยงานของรัฐ หรือบุคคลใดๆ มาให้ถ้อยคำ ส่งคำชี้แจงเป็นหนังสือ หรือส่งบัญชี เอกสาร หรือหลักฐานใด ๆ มาเพื่อตรวจสอบหรือให้ข้อมูลเพื่อประโยชน์ในการปฏิบัติการตามพระราชบัญญัตินี้ (4.2) มีหนังสือขอให้หน่วยงานราชการ หรือหน่วยงานเอกชนดำเนินการเพื่อประโยชน์แห่งการปฏิบัติหน้าที่ของ กปช.

27 วิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ (ต่อ...)
(4.3) เข้าถึงข้อมูลการติดต่อสื่อสารทั้งทางไปรษณีย์ โทรเลข โทรศัพท์ โทรสาร คอมพิวเตอร์ เครื่องมือหรืออุปกรณ์ในการสื่อสารสื่ออิเล็กทรอนิกส์หรือสื่อทางเทคโนโลยีสารสนเทศใดเพื่อประโยชน์ในการปฏิบัติการการรักษาความมั่นคงปลอดภัยไซเบอร์ การดำเนินการตาม (4.3) ให้เป็นไปตามหลักเกณฑ์และเงื่อนไขที่คณะรัฐมนตรีกำหนด  จากบทบัญญัติข้างต้นจะเห็นว่า กปช. มีอำนาจมากมาย สามารถสั่งการหรือประสานความร่วมมือกับหน่วยงานภาครัฐและภาคเอกชนเพื่อปฏิบัติให้เป็นไปตามนโยบายหรือแผนปฏิบัติการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือให้ดำเนินการอื่นใดที่จำเป็นต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งในประเทศและต่างประเทศ แต่มีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ ซึ่งอาจเกิดความไม่คล่องแคล่วในการประสานงานกับหน่วยงานอื่นที่ไม่ใช่ฝ่ายบริหาร เช่น หน่วยงานศาล หรือหน่วยงานทหาร ดังนั้นกฎหมายควรกำหนดให้นายกรัฐมนตรีในฐานะผู้นำฝ่ายบริหารเป็นประธานกรรมการมีอำนาจหน้าที่ตามร่างกฎหมายฉบับนี้เพื่อประโยชน์ในการสั่งการและประสานงานกับหน่วยงานอื่นๆ ข้างต้น

28 วิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ (ต่อ...)
การที่ร่างกฎหมายไซเบอร์ของไทยให้อำนาจพนักงานเจ้าหน้าที่ที่ได้รับมอบหมายเป็นหนังสือจากเลขาธิการ มีอำนาจ เข้าถึง “ข้อมูลการติดต่อสื่อสาร (traffic data) ทั้งทางไปรษณีย์ โทรเลข โทรศัพท์ โทรสาร คอมพิวเตอร์ เครื่องมือหรืออุปกรณ์ในการสื่อสารสื่ออิเล็กทรอนิกส์หรือสื่อทางเทคโนโลยีสารสนเทศใด เพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์” อาจเป็นการนอกกรอบวัตถุประสงค์ของแนวคิดกฎหมายรักษาความมั่นคงปลอดภัยไซเบอร์ที่มุ่งเน้นสร้างความมั่นคงปลอดภัยของระบบและข้อมูลในโลกไซเบอร์ การตรวจสอบหรือสอดส่องควรจำกัดไว้ในโลกไซเบอร์เท่านั้น การกำหนดให้มีอำนาจเข้าถึงข้อมูลทาง “ไปรษณีย์ โทรเลข โทรศัพท์ โทรสาร” จึงอาจเป็นขัดสิทธิส่วนบุคคลได้ นอกจากนี้ การที่ร่างกฎหมายกำหนดให้พนักงานเจ้าหน้าที่ที่ได้รับการมอบหมายเป็นหนังสือจากเลขา กปช. มีอำนาจเข้าถึงข้อมูลการติดต่อสื่อสารเพื่อประโยชน์ในการปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์โดยไม่ต้องมีหมายศาล (warrant) แต่ให้เป็นไปตามหลักเกณฑ์และเงื่อนไขที่คณะรัฐมนตรีกำหนด อาจเป็นการขัดกับสิทธิเสรีภาพของประชาชนในการติดต่อสื่อสารกันโดยเสรีได้

29 วิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ (ต่อ...)
บทสรุปและข้อเสนอแนะ 4.1 กฎไซเบอร์ของสหภาพยุโรปให้อำนาจการเข้าถึงการติดต่อสื่อสารเฉพาะข้อมูลคอมพิวเตอร์เท่านั้น แต่ร่างกฎหมายไซเบอร์ของไทยกำหนดอำนาจการเข้าถึงการติดต่อสื่อสารทุกรูปแบบของประชาชน เช่น ไปรษณีย์ โทรเลข ฯลฯ อาจเป็นการนอกกรอบวัตถุประสงค์ของการรักษาความมั่นคงปลอดภัยไซเบอร์และอาจขัดสิทธิส่วนบุคคล 4.2 การให้เจ้าพนักงานเข้าถึงข้อมูลคอมพิวเตอร์ที่เป็นข้อมูลส่วนบุคคลในหน่วยงานเอกชนโดยไม่ต้องขออำนาจศาล (warrant) ควรมีการกำหนดให้กระทำได้เฉพาะกรณีจำเป็นเร่งด่วนและเฉพาะหน่วยงานประเภทที่มีความสำคัญต่อความมั่นคงของชาติเท่านั้น (critical infrastructures) เช่น สนามบิน ธนาคาร ฯลฯ ดังเช่นที่กำหนดไว้ในกฎการรักษาความมั่นคงปลอดภัยแห่งสหภาพยุโรป ทั้งนี้เพื่อไม่ให้เป็นการเพิ่มภาระกับหน่วยงานเอกชนและขัดสิทธิส่วนบุคคลของประชาชน

30 บทสรุปและข้อเสนอแนะ (ต่อ...)
วิเคราะห์ร่างพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์ (ต่อ...) บทสรุปและข้อเสนอแนะ (ต่อ...) 4.3 ร่างกฎหมายไซเบอร์ของไทยควรมุ่งเน้นในการสร้างความร่วมมือ (cooperation) ระหว่างรัฐ หน่วยงานภาคเอกชน และภาคประชาสังคม ในลักษณะของการกำกับดูแลตนเอง (self-regulation) และการกำกับดูแลร่วมกัน (co-regulation) มากกว่าการใช้ตัวบทกฎหมาย (statutory regulation) ที่เข้มงวดเกินไปอันอาจกระทบถึงสิทธิเสรีภาพของประชาชนในการติดต่อสื่อสาร

31 ต่อต้านการตั้งซิงเกิลเกตเวย์
Single Gateway คืออะไร? เกตเวย์ ถ้าแปลเป็นภาษาไทยง่ายๆก็คือประตูทางผ่าน คำศัพท์ในวงการไอทีหมายถึงจุดที่เป็นเสมือนประตูเชื่อมระหว่างเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่ง และเป็นตัวที่เชื่อมต่อโครงข่ายของแต่ละประเทศเข้าด้วยกัน  สมมุติว่าเราเชื่อมต่ออินเตอร์เน็ตกับเซิฟเวอร์ ปัจจุบันจะต้องผ่าน International internet gateway (IIG) ในบางประเทศที่ต้องการควบคุมผู้ใช้งานอินเตอร์เน็ตอย่างเช่น จีน ผู้ให้บริการ IIG จะมีเพียงเจ้าเดียวเท่านั้น ซึ่งก่อนหน้านี้ไทยก็เคยใช้ระบบนี้ตอนที่อินเตอร์เน็ตยังไม่แพร่หลายมากนัก คือเมื่อต่ออินเตอร์เน็ต ทุกจุดเชื่อมต่อก็จะต้องมารวมที่ กสท ซึ่งเป็นผู้ให้บริการ IIG แต่ในปัจจุบัน หลังวิกฤติปี 40 ไอเอ็มเอฟก็ได้สั่งให้เราเปิดเสรีโทรคมนาคม ทำให้เกตเวย์ในไทยเพิ่มมากขึ้นจนตอนนี้มีประมาณสิบเกตเวย์แล้ว เพราะฉะนั้น Single Gateway เปรียบเสมือนการใช้ประตูเพียงบานเดียว เข้าออก ทำให้การใช้งานอินเตอร์เน็ตง่ายต่อการควบคุมโดยภาครัฐ

32 ทำไมรัฐจะกลับมาใช้ Single Gateway?
ในบางประเทศ จึงอาจเป็นเรื่องไม่น่าแปลกใจที่รัฐบาลพยายามควบคุมการใช้งานและเข้าถึงข้อมูลข่าวสารจากโลกภายนอก โดยอ้างอิง ‘ความมั่นคง’

33 ปัญหาและสิ่งที่จะตามมาของการใช้ Single Gateway?

34 ถ้าตั้ง Single Gateway จริง ผู้ใช้อินเทอร์เน็ตจะพบเจอกับอะไร?
การถูกบล็อก แบน สแกน และตรวจสอบทุกการใช้งานในอินเตอร์เนตจากรัฐบาล รัฐบาลสามารถป้องกันการเข้าถึงเว็บไซต์ที่ไม่ต้องการให้เข้าได้ เหมือนประเทศจีน ที่ไม่อนุญาตให้เข้า Facebook หรือสื่อ Social Network ที่รัฐไม่ต้องการให้ประชาชนเข้าถึง การติดต่อสื่อสารทางอินเตอร์เนตทุกอย่างจะขึ้นอยู่กับระบบเดียว และถ้าระบบนั้น "ถูกโจมตีจนล้มเหลว" นั่นหมายถึงระบบอินเตอร์เนตที่ต้องพินาศทั้งประเทศ ความเชื่อมั่นของต่างชาติเกี่ยวกับระบบความมั่นคงและปลอดภัยของการให้บริการอินเตอร์เนตต่ำถึงขีดสุด เพราะหน่วยงานเอกชนสามารถถูกล้วงลูกโดยรัฐบาลได้ตลอดเวลา