Sunset Provision – กำหนดวันหมดอายุให้กฎหมาย

เมื่อวันพฤหัสที่ 18 ก.พ. ที่ผ่านมา ระหว่างเสวนา “การเมืองบนใยแก้ว” #‎คิดนะแต่ไม่แสดงออก‬ ที่ องค์การนักศึกษามหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์ จัด มีหัวข้อหนึ่งที่ถูกยกขึ้นมาคุย คือการสอดส่องโดยรัฐ ก็เลยคุยกันต่อถึง USA Patriot Act (แน่นอนว่าเป็นชื่อย่อ ชื่อเต็มคือ Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act – กูยอมใจ)

เลยได้มีโอกาสพูดถึงการรีวิว การต่ออายุ การต่ออายุอีกครั้งซึ่งที่ไม่สำเร็จ และการหมดอายุลงของบางมาตราใน Patriot Act เนื่องจากพบหลักฐานเชิงประจักษ์ในระหว่างที่กฎหมายบังคับใช้ว่ามันไม่ได้ทำงานได้อย่างที่มันอ้าง นอกจากนี้ในทางปฏิบัติยังนำไปสู่การละเมิดสิทธิหลายกรณี

การหมดอายุลงของบางมาตราในกฎหมายเช่นนี้ เป็นแนวคิดที่เรียกว่า “Sunset” (อาทิตย์อัสดง) ซึ่งเหตุผลในการกำหนดให้กฎหมายหมดอายุลงก็มีหลายเหตุผล บางเหตุผลก็เป็นเรื่องไม่ดีซะเท่าไหร่ เช่นกำหนดให้กฎหมายที่รัฐบาลนี้ออกหมดอายุลงเมื่อหมดอายุรัฐบาล เพื่อไม่ให้รัฐบาลหน้าเอากฎหมายเดียวกันกลับมาเล่นงานรัฐบาลเก่าได้

แต่ในกรณีอื่น มันก็มีเหตุผลที่ดีอยู่ เช่น การออกกฎหมายเพื่อรับมือกับสถานการณ์ฉุกเฉิน ที่สังคมมีแนวโน้มจะตื่นตระหนก panic กับสิ่งรอบตัว คนออกกฎหมายก็อาจจะใส่ sunset provision เข้าไป บอกว่าให้กฎหมายนี้เป็น “มาตรการชั่วคราว” นะ เช่น มีอายุ 5 ปีนะ พอจะครบ 5 ปี ถ้าเห็นว่ากฎหมายนี้ยังโอเคอยู่ ก็ให้ทำการต่ออายุมันซะ แต่ถ้าไม่ก็ปล่อยมันหมดอายุไป ตกลับขอบฟ้าไป เมื่อทำแบบนี้ ก็จะเป็นการบังคับให้ในอนาคตถ้ายังต้องการจะใช้กฎหมายต่อ ก็จะต้องมีการรีวิวทบทวนกฎหมายนั้นๆ ในสถานการณ์ที่เป็นปัจจุบัน ในภาวะที่คนหายตกใจกันแล้ว และด้วยข้อมูลเชิงประจักษณ์จากการใช้กฎหมายจริงในช่วงที่ผ่านมา (ซึ่งในสมัยออกกฎหมายตอนแรก ยังไม่มีข้อมูลแบบนี้)

Sunset provision ยังเป็นเหมือนการประนีประนอมด้วย ในข้อกฎหมายที่มีแนวโน้มจะละเมิดสิทธิพลเมืองสูง ที่ในภาวะปกติคงจะผ่านเป็นกฎหมายลำบาก แต่ในภาวะพิเศษ ผู้แทนในสภาฝั่งสิทธิพลเมืองก็คงจะไปทัดทานอะไรต้านกระแสสังคมไม่ได้นัก การยอมให้มีกฎหมายที่อาจละเมิดสิทธิแต่จำเป็นต้องใส่ sunset provision ก็เลยเหมือนเป็นการยอมถอย แต่ใส่เงื่อนไขไว้ว่า จะไม่ถอยตลอดไปนะ ถอยแค่เวลาจำกัดเท่านั้น

Sunset Provision ใน USA Patriot Act

กรณีของ Patriot Act มาตราที่เป็น Sunset provision คือมาตราที่เกี่ยวข้องกับการดักฟังและดักรับข้อมูล ซึ่งกฎหมายในตอนแรกกำหนดให้หมดอายุลงเมื่อวันที่ 31 ธันวาคม 2005 หลังจากนั้นก็มีการต่ออายุมาเรื่อยๆ รวมถึงออกกฎหมายให้บางมาตราที่เดิมเป็น Sunset provision หรือ “มาตราชั่วคราว” ให้กลายเป็น “มาตราถาวร” – ดู https://en.wikipedia.org/wiki/Sunset_provision#USA_PATRIOT_Act และ https://en.wikipedia.org/wiki/Patriot_Act#Reauthorizations

ส่วนตัวเลขงานวิจัยที่อ้างระหว่างการเสวนา ที่ว่าการดักฟัง-ดักรับข้อมูลแบบเหมารวมทีละเยอะๆ (bulk) ป้องกันการก่อการร้ายได้จริงๆ หรือ เอามาจากงานของ New American Foundation ซึ่งระบุว่า การใช้อำนาจตาม Section 215 ของ Patriot Act เพื่อเก็บข้อมูลพฤติกรรมการโทร (เบอร์ไหนโทรหาเบอร์ไหน เมื่อไหร่ ใช้เวลาแค่ไหน แต่ไม่มีเนื้อหาการคุย) นำไปสู่การเริ่มต้นการต่อต้านการก่อการร้ายที่สำเร็จเพียงอย่างมาก 1.8% ส่วนการใช้อำนาจสอดส่องคนที่ไม่ใช่พลเมืองสหรัฐตาม Section 702 ของกฎหมาย FISA นำไปสู่การสืบทราบเพียง 4.4% ในขณะที่โดยเปรียบเทียบแล้ว ในเคสที่ประสบความสำเร็จ มีการใช้อำนาจของ NSA ที่ไม่ได้เกี่ยวข้องกับ Section 215 หรือ 702 – อันหมายถึงการสืบหาข่าวด้วยวิธีการข่าวกรองแบบดั้งเดิม – อยู่ 21%

ซึ่งตีความได้ว่า ใช่การดักฟังการสื่อสารอาจจะช่วยต่อต้านการก่อการร้ายอยู่นิดหน่อย แต่มันมีวิธีอื่นที่ได้ผลกว่า-และละเมิดสิทธิบุคคลทั่วไปน้อยกว่า

ผลการศึกษาโดย New American Foundation ดังกล่าวมีชื่อว่า Do NSA’s Bulk Surveillance Programs Stop Terrorists? – เอกสารนี้เป็นส่วนหนึ่งของผลการศึกษาและข้อเสนอแนะจากหลายที่ ที่ถูกส่งให้คณะกรรมการรีวิวกฎหมาย Patriot Act รอบล่าสุด ที่สุดท้ายสภาคองเกรสตัดสินใจไม่ต่ออายุมาตราพวกนั้นใน Patriot Act (ไม่ได้แปลว่าทั้ง Patriot Act หมดอายุนะครับ เฉพาะบางมาตราเท่านั้น) แล้วออกกฎหมาย USA Freedom Act มาใช้แทน (ย่อมาจาก Uniting and Strengthening America by Fulfilling Rights and Ending Eavesdropping, Dragnet-collection and Online Monitoring Act – มึงเก่งมาก) ซึ่งยังอนุญาตให้หน่วยงานความมั่นคงสามารถเข้าถึงข้อมูลของบุคคลได้ แต่ต้องให้ศาลกลางอนุญาตก่อน

ผลการศึกษาอีกชิ้นที่พูดถึงในวันงานคือ Surveillance Costs: The NSA’s Impact on the Economy, Internet Freedom & Cybersecurity ซึ่งพูดถึงราคาที่สังคมต้องจ่ายจากโครงการข่าวกรองของ NSA

—-
ภาพประกอบ “sunset” โดย Matthias Bachmann – สัญญาอนุญาตครีเอทีฟคอมมอนส์แบบแสดงที่มา-อนุญาตแบบเดียวกัน

“ข้อยกเว้น” ที่อาจทำลายหลักการของร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลลงไปทั้งฉบับ #ไร้ค่า

ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 4 ข้อยกเว้น

ขอยกจากที่คุยกันในเฟซบุ๊กสองโพสต์เรื่อง ข้อยกเว้นในร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กับเรื่อง ศาลยุติธรรมแห่งสหภาพยุโรปตัดสินว่าข้อตกลง “Safe Habour” ระหว่างสหรัฐกับอียูเป็นโมฆะ มาโพสต์ไว้ตรงนี้ด้วย เพื่อให้ค้นหาง่าย

ตัดมาตรา 4 ว่าด้วย “ข้อยกเว้น” ในร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมาให้ดูกันก่อน ร่างฉบับนี้สำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาเสร็จแล้วเมื่อกรกฎาคม 2558 และส่งกลับไปให้คณะรัฐมนตรีแล้ว ซึ่งถ้าครม.เห็นชอบก็จะส่งไปให้สภานิติบัญญัติแห่งชาติต่อไป (ดาวน์โหลดได้จากเว็บไซต์สพธอ. – มีร่างกฎหมายดิจิทัลครบทุกฉบับ ยกเว้นร่างพ.ร.บ.ความมั่นคงไซเบอร์ ที่ไม่มีฉบับที่กฤษฎีกาตรวจแล้วให้โหลด):

มาตรา 4 พระราชบัญญัตินี้ไม่ใช้บังคับแก่
(1) บุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนของบุคคลนั้นเท่านั้น โดยมิให้ผู้อื่นใช้ข้อมูลส่วนบุคคลนั้น หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อผู้อื่น
(2) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
(3) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวมรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามอำนาจหน้าที่ของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมการธิการ แล้วแต่กรณี
(4) การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
(5) การดำเนินกิจการทางศาสนาขององค์การทางศาสนา
(6) การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา

ความเห็นสั้นๆ ของผมคือ

ข้อ 2 อ่านแล้วนึกถึงพ.ร.บ.ลิขสิทธิ์ ซึ่งนับว่าซอฟต์แวร์เป็น “วรรณกรรม” ด้วย
ถ้ามีซอฟต์แวร์ที่เก็บข้อมูลส่วนบุคคลตามจริยธรรมวิชาชีพ (ซึ่งก็ไม่รู้ว่าคืออะไร) แปลว่าไม่อยู่ในความคุ้มครองของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนี้รึเปล่า?
แม้โดยทั่วไปนิยามพิเศษจะไม่นำมาใช้ข้ามกฎหมายต่างฉบับกัน แต่อันนี้ก็กังวลไว้ก่อน เพราะที่ผ่านมาก็มีกรณีที่ถ้าจำเป็นต้องตีความนิยามเพิ่มเติม ศาลก็พยายามจะอ้างอิงเทียบกับกฎหมายที่มีอยู่ในเรื่องใกล้เคียง

ข้อ 3 อาจจะพออธิบายได้ในเชิงหลักการ (เห็นด้วยหรือไม่นี่อีกเรื่อง) แต่ในทางปฏิบัติน่าจะมีปัญหาแน่ เพราะเท่ากับเป็นข้อยกเว้นที่ไม่มีขีดจำกัด ไอ้คณะกรรมาธิการนี่มันงอกขึ้นมาได้เรื่อยๆ – เวลาพูดถึงข้อยกเว้นของกฎหมายมันควรจะมีขอบเขตจำกัดชัดเจน

ข้อ 4 นี่รวมถึงการดักฟังไหม คือเข้าใจว่าเจ้าหน้าที่บังคับใช้กฎหมายมีความจำเป็นในกรณีเฉพาะเจาะจงที่จำเป็นต้องสามารถเข้าถึงข้อมูลส่วนบุคคลได้ แต่แทนที่จะเป็นการยกเว้นไปเลย มันควรจะระบุแทนหรือเปล่า ว่าเอาไปใช้อย่างไรได้บ้าง (ดู หลักการระหว่างประเทศว่าด้วยการใช้หลักสิทธิมนุษยชนกับการสอดแนมการสื่อสาร)

ข้อ 5 ข้อนี่ถามกันมาตั้งแต่ปีที่แล้ว ในอย่างน้อยสามวง ว่าทำไมต้องมี ทำไมองค์การทางศาสนาถึงมีสิทธิพิเศษได้รับการยกเว้น อะไรคือคำอธิบาย – ซึ่งในบันทึกประกอบของสำนักงานคณะกรรมการกฤษฎีการที่ท้ายร่าง ก็ไม่ได้อธิบายเรื่องนี้

ข้อ 6 จะบอกว่ามีกฎหมายคุ้มครองแบบแยกส่วนอุตสาหกรรม (sectoral) อยู่แล้ว มันก็ฟังขึ้น แต่ทำไมถึงมีเฉพาะข้อมูลเครดิตที่ได้สิทธิพิเศษมาอยู่ในข้อยกเว้นนี้ ทั้งที่ sector อื่นก็มีกฎหมายเฉพาะ เช่น ข้อมูลผู้ป่วยตามพ.ร.บ.สุขภาพ หรือข้อมูลส่วนตัวบนการสื่อสารในกิจการโทรคมนาคม ตามประกาศกทช.

วรรคสองแย่สุด คือเปิดช่องอนุญาตให้ความคุ้มครองตามพระราชบัญญัติที่ออกโดยสภานิติบัญญัติ (ที่โดยหลักการคือเป็นผู้แทนประชาชน และมีกระบวนการรีวิวหลายขั้น) ถูกยกเลิกได้โดยพระราชกฤษฎีกาซึ่งไม่ต้องผ่านสภา คณะรัฐมนตรีออกได้เองเลย

คือขึ้นโครงมาขึงขังมาก จะคุ้มครองนั่นนี่ จะมีบทลงโทษ จะมีคณะกรรมการ จะมีมาตรฐาน ฯลฯ แต่ทำไปทำมา ข้อมูลที่จะถูกคุ้มครองมันถูกตัดออกไปเรื่อยๆ และยังเปิดช่องให้ยกเว้นกันได้สบายๆ

รวมๆ แล้วก็เหมือนกับที่เคยเสนอไปหลายครั้ง ว่าเรื่อง “ข้อยกเว้น” นี้เรียกได้ว่าเป็นเรื่องสำคัญที่สุดของการวางกฎหมายคุ้มครองเลยก็ว่าได้ เพราะมันกำหนดกรอบว่า อะไรที่จะไม่ถูกคุ้มครอง (คือกฎหมายคุ้มครองจะเขียนดีแค่ไหนก็ไม่มีประโยชน์กับข้อมูลกลุ่มนั้นแล้ว เพราะมันไม่ถูกนับ) ดังนั้นจะต้องเขียนให้ชัดเจน ตัวอย่างที่ดีคือของสหราชอาณาจักร ที่แยกมาเป็นหมวด Exemptions ต่างหากในกฎหมาย (Part IV) เพื่อที่จะลงรายละเอียดได้ และเป็นการเขียนในระดับพระราชบัญญัติเพื่อให้สภาพิจารณาไปร่วมกันแต่แรกเลย ไม่ใช่มาออกเป็นพระราชกฤษฎีกาในภายหลังแบบไม่ผ่านสภา นอกจากนี้ยังมีออกข้อแนะนำ (Guidelines) เพื่อช่วยในการตีความกฎหมายด้วย

นอกจากนี้ ถ้าคิดถึงเรื่องการค้าระหว่างประเทศและการโอนข้อมูลระหว่างประเทศกับสหภาพยุโรปหรือประเทศอื่นที่ต้องการคุ้มครองสิทธิของพลเมืองประเทศของเขา เรื่องข้อยกเว้นก็ยิ่งสำคัญมาก เร็วๆ นี้มีคดีตัวอย่าง คือคดี ศาลยุติธรรมแห่งสหภาพยุโรปเพิ่งตัดสินไปว่าสหรัฐอเมริกาไม่มีการคุ้มครองข้อมูลส่วนบุคคลที่ดีพอ เลยตัดสหรัฐออกจากประเทศที่สามารถโอนข้อมูลส่วนบุคคลของพลเมืองอียูไปได้ (โดยไม่ต้องไปทำสัญญาระหว่างเอกชนเป็นรายๆ ไป) — โดยข้อสำคัญที่ศาลยุติธรรมแห่งสหภาพยุโรปนำมาตัดสิน ก็คือเรื่องข้อยกเว้นนี่แหละ ที่ศาลมองว่าข้อยกเว้นในข้อตกลง “Safe Habour” ระหว่างสหรัฐกับอียูนั้นกว้างไป

รายละเอียดเพิ่มเติมเรื่องนี้ดูได้ในคำตัดสินของศาลยุติธรรมแห่งสหภาพยุโรป (CJEU) คดีหมายเลข C-362/14 ซึ่งตัดสินให้ Decision 2000/520/EC (Safe Harbour Decision) ของคณะกรรมาธิการยุโรป เป็นโมฆะ

Decision ดังกล่าวว่าด้วยเรื่องข้อตกลง “Safe Habour ที่คณะกรรมาธิการยุโรปได้ทำการ “รับรอง” ว่าโครงการดังกล่าวของสหรัฐอเมริกามีเนื้อกฎหมายและการบังคับใช้ด้านการคุ้มครองข้อมูลส่วนบุคคลที่เท่ากับมาตรฐานสหภาพยุโรป ตาม Directive 95/46/EC (Data Protection Directive) ทำให้องค์กรของสหรัฐที่เข้าร่วมโครงการดังกล่าวสามารถรับโอนข้อมูลส่วนบุคคลจากสหภาพยุโรปได้

แต่หลังการเปิดโปงโครงการสอดแนมมวลชนอย่าง PRISM ก็ทำให้พบว่า องค์กรที่เข้าร่วมโครงการ Safe Habour ต่างก็มอบข้อมูลให้กับหน่วยงานของรัฐบาลสหรัฐ อย่าง NSA ซึ่งทำได้ภายใต้ “ข้อยกเว้น” ด้านความมั่นคงหรือตามกฎหมายอื่นๆ ที่จำเป็น-ซึ่งอาจประกาศเพิ่มเติมภายหลัง

จุดนี้ทำให้ CJEU มองว่า เท่ากับความคุ้มครองก็ไม่เท่ากับของยุโรปแล้ว ประกอบกับหลักฐานเชิงประจักษ์หลายอย่างในช่วงที่ผ่านมา ทำให้เห็นว่าโครงการ Safe Habour ไม่สามารถคุ้มครองสิทธิในความเป็นส่วนตัวของพลเมืองยุโรปได้จริง จึงตัดสินให้ Decision 2000/520/EC เป็นโมฆะ และทำให้องค์กรในสหภาพยุโรปไม่สามารถส่งข้อมูลไปยังสหรัฐอเมริกาได้อีกต่อไป

ผลกระทบจากตรงนี้คือ ต่อไปประเทศไหนจะออกกฎหมายหรือกลไกหรืออะไรก็ตามที่จะมาเป็น “ข้อยกเว้น” ของการคุ้มครองข้อมูลส่วนบุคคล จะต้องระวังให้ดี ไม่งั้นจะไปกระทบการรับส่งข้อมูลระหว่างประเทศกับสหภาพยุโรปได้ — ประเทศไทยก็ควรจะระมัดระวังเรื่องนี้ครับ

นอกจากนี้ยังมีประเด็น ความเป็นอิสระขององค์กรคุ้มครอง/กำกับดูแล้การใช้ข้อมูลส่วนบุคคล ที่  Directive 95/46/EC ก็ให้ความสำคัญ เนื่องจากจะเป็นสิ่งที่มาบังคับใช้กฎหมาย ซึ่งเรื่องนี้เดี๋ยวคุยกันอีกตอนครับ

สรุปคือ ต้องระวังอย่าให้ “ข้อยกเว้น” มาทำลายหลักการการคุ้มครองเป็นการทั่วไป ไม่อย่างนั้นมีกฎหมายไปก็เหมือนไม่มี #ไร้ค่า และเราก็จะถูกปฏิบัติจากประเทศอื่นเหมือนกับเราเป็นประเทศที่ไม่มีกฎหมายเรื่องนี้ครับ

ติดตั้ง HTTPS พร้อมใบรับรองฟรีจาก Let’s Encrypt บน shared host​ (DreamHost)

Let’s Encrypt เป็นบริการออกใบรับรองการเข้ารหัสเว็บ ที่ให้บริการฟรี ที่ผ่านบริการนี้ต้องเสียเงิน ประมาณ 500 บาทไปจนถึงเกินหมื่นก็มี ซึ่งในทางเทคนิคแล้ว ใบรับรองพวกนี้เหมือนกันหมดไม่ว่าจะฟรีหรือจ่ายเท่าไรก็ตาม

Let’s Encrypt ให้บริการฟรีได้ ส่วนหนึ่งเพราะมันทำให้กระบวนการต่างๆ ทำได้ด้วยตัวเองได้โดยผู้ใช้ (มีสคริปต์มาให้รันเองได้ และในอนาคตจะเป็นระบบอัตโนมัติมากขึ้น) ค่าใช้จ่ายก็เลยถูกลง และอีกส่วนหนึ่งเพราะมีองค์กรหลายแห่งสนับสนุนเงินทุน รวมๆ คือคนเหล่านี้อยากเห็นอินเทอร์เน็ตที่มันปลอดภัยขึ้น (ซึ่งพอคนมั่นใจกับการใช้งานอินเทอร์เน็ตมากขึ้น เดี๋ยวธุรกิจอะไรอื่นๆ ที่ทำตังค์ได้ มันจะตามมาเอง)

อย่างไรก็ตาม ณ ตอนนี้ สคริปต์ของ Let’s Encrypt นี่มันจะใช้บนเครื่องที่เรามี permission เข้าถึง root ของเซิร์ฟเวอร์ได้เท่านั้น คนใช้ shared host นี่หมดสิทธิ์

แต่ช้าก่อน — ถ้าใครใช้ DreamHost หรือเว็บโฮสต์ที่อนุญาตให้เราติดตั้งใบรับรองได้เองทางหน้าเว็บ ก็ไม่ต้องเสียใจ มีวิธีอยู่ คือเรารันสคริปต์นั่นในเครื่องโน๊ตบุ๊กหรือเดสก์ท็อปของเราเองก่อน (บน Linux หรือ OS X) แล้วจากนั้นก็ค่อยเอาไฟล์ต่างๆ ไปใส่ไว้ใน Dreamhost อีกที ผ่านคอนโทรลพาเนลบนหน้าเว็บปกติ

ขั้นตอนวิธีทำเอามาจาก Using Let’s Encrypt With Dreamhost โดย jmhobbs

  1. เริ่มจากไปบอก DreamHost ก่อนว่าให้เพิ่ม secure hosting ไปที่ชื่อโดเมนของเรา
    ล็อกอินเข้า DreamHost panel ที่ด้านซ้ายเลือก “Domains” –> “Secure Hosting” –> “Add Secure Hosting” (ใครใช้ shared host ยี่ห้ออื่น ลองหาทางดูครับ อาจจะมีคล้ายๆ กัน)
    Add secure hosting in Dreamhostตรงนี้เราก็เลือกชื่อโดเมนที่เราต้องการให้มีการเข้ารหัส
    Choose domain name to add secure hosting
    จบขั้นนี้ปุ๊บ สิ่งที่เราได้ก็คือ ชื่อโดเมนที่เราเลือก จะมีการเข้ารหัสด้วย HTTPS แล้ว แต่ใบรับรองที่ใช้จะเป็น self-signed (เซ็นรับรองด้วยตัวเราเอง) ซึ่งเวลาใครมาเข้าเว็บไซต์เรา เบราว์เซอร์มันก็จะเตือนว่า ไม่น่าเชื่อถือนะ สิ่งที่เราจะทำต่อไปก็คือ ไปขอใบรับรอง ที่ Let’s Encrypt (บุคคลที่สาม) เป็นคนเซ็นให้เรา เพื่อให้เบราว์เซอร์มันพอใจ (และคนอุ่นใจ)
  2. ก่อนจะใช้ Let’s Encrypt ก็ต้องติดตั้งมันลงเครื่องโน๊ตบุ๊กหรือเดสก์ท็อปของเรา
    โดยไปดึงสคริปต์มาด้วย git (ถ้ายังไม่มี ก็ติดตั้ง git ก่อน)

    git clone https://github.com/letsencrypt/letsencrypt
  3. จากนั้นก็ ขอใบรับรอง ด้วยสคริปต์ของ Let’s Encrypt
    cd letsencrypt
    ./letsencrypt-auto certonly --manual --debug

    คำอธิบายอ็อปชัน

    • certonly ระบุเพื่อบอกว่า ให้สร้างใบรับรอง แต่ไม่ต้องติดตั้ง (เดี๋ยวเราติดตั้งเอง – ผ่านคอนโทรลพาเนลของ Dreamhost)
    • –manual บอกว่า เราจะทำ domain validation ยืนยันว่าเรามีสิทธิ์ในชื่อโดเมนนั้นเอง (ผ่านการเอาข้อความอันนึงไปวางไว้ที่เซิร์ฟเวอร์นั้น)
    • –debug ใส่อ็อปชันนี่ ถ้ารันบน OS X, ถ้าใช้ Linux ก็ไม่ต้องใส่

    ตรงนี้สคริปต์อาจจะติดตั้งโปรแกรมที่จำเป็นลงในเครื่อง เช่น libxml2, python2.7 (ถ้าบน OS X ก็ผ่าน homebrew) ก็ดูๆ ครับ ว่ามันสำเร็จไหม ถ้าไม่มีปัญหาอะไร สคริปต์ก็จะพาเราไปสู่ขั้นที่ 4

  4. สคริปต์จะถาม อีเมลของเรา (ใช้กรณีกู้กุญแจที่หาย)
    Let's Encrypt asking for e-mail
    และ ชื่อโดเมนที่เราต้องการใบรับรองLet's Encrypt asking for domain name
    ตรงขั้นนี้มันจะเตือนเราว่าทางระบบจะทำการบันทึก ที่อยู่ไอพี (IP address) ที่เราใช้เพื่อขอใบรับรองนะ เราโอเคไหมที่จะให้คนอื่นรู้ที่อยู่ไอพีที่เรากำลังใช้อยู่ขณะนี้ (ของเครื่องที่เรากำลังใช้อยู่ ไม่ใช่เว็บเซิร์ฟเวอร์) ถ้าเราโอเค ก็ตอบตกลงไป
    Let's Encrypt warns about IP logging
  5. ถึงตรงนี้มันจะให้เรายืนยันว่า เรามีสิทธิ์ในชื่อโดเมนที่เราขอไปจริงๆ ด้วยการให้เราสร้างไฟล์ที่มีชื่อตามที่มันกำหนดในไดเรกทอรีที่กำหนด (ตรงสีเขียว) โดยในไฟล์นั้นต้องมีข้อความที่กำหนดด้วย (สีแดง) — อย่าเพิ่งกด ENTER จนกว่าเราจะสร้างไฟล์ที่ว่าเสร็จ
    Let's Encrypt asking for domain validationวิธีสร้างก็ตามนี้ คือ (ในอีกหน้าจอนึง-ล็อกอินเข้าไปที่เซิร์ฟเวอร์ ไม่ได้ทำที่เครื่องเราเองนะ) เข้าไปที่ไดเรกทอรีของเว็บไซต์เราก่อน (อันนี้เป็นการแบ่งไดเรกทอรีในแบบของ Dreamhost ใครใช้โฮสต์อื่นก็ปรับไปนะครับ) จากนั้นก็สร้างไดเรกทอรีที่กำหนด แล้วก็สร้างไฟล์และเอาข้อความที่มันบอกไปใส่ เพื่อบอกว่า นี่ไง เราสร้างได้ เรามีสิทธิ์จริงๆ นะ

    cd [domain]
    mkdir -p .well-known/acme-challenge/
    echo -n "[RedContent]" > .well-known/acme-challenge/[GreenFilename]

    พอจัดการเรื่องที่เซิร์ฟเวอร์เสร็จ ก็กลับมาที่หน้าจอที่เครื่องเรา แล้วกด ENTER ได้เลย

    ถ้าระบบมันเจอไฟล์ที่เราสร้างไว้อย่างถูกต้องที่เซิร์ฟเวอร์ ระบบมันจะสร้างใบรับรองให้เรา เก็บไว้ที่ /etc/letsencrypt/live/[domain]
    ข้างในไดเรกทอรีดังกล่าวจะมีไฟล์อยู่ 4 ไฟล์: cert.pem, chain.pem, fullchain.pem, privkey.pem ซึ่งเราจะเอาไปใช้ในขั้นต่อไป
    **ไฟล์เหล่านี้อย่าให้คนอื่นรู้** ไม่งั้นเขาจะปลอมตัวเป็นเว็บไซต์ของเราได้

  6. ถึงตรงนี้เราจะเริ่มก๊อปปี้ใบรับรองต่างๆ ไปใส่ในคอนโทรลพาเนลของ Dreamhost
    เริ่มด้วยการคลิก Edit ที่ท้ายชื่อโดเมน ในหน้า “Secure Hosting”
    Add certificate in Dreamhostจะเจอหน้า “Certificate Settings”
    ให้เราเลือก “Manual configuration”
    มันจะขึ้นช่องให้เราใส่ใบรับรองต่างๆ อยู่ 4 ช่อง
    Add certificate in Dreamhost4 ช่องนี้ ให้ใส่ดังนี้

    • Certificate Signing Request: ลบทิ้งให้ว่าง
    • Certificate: เอาข้อความในไฟล์ cert.pem มาใส่
    • Private Key: แปลง privkey.pem เป็นฟอร์แมต RSA ด้วย openssl แล้วนำข้อความมาใส่
    • Intermediate Certificate: เอาข้อความในไฟล์ chain.pem มาใส่

    วิธีดูข้อความในไฟล์

    sudo less /etc/letsencrypt/live/[domain]/cert.pem

    วิธีแปลง privkey.pem เป็นฟอร์แมต RSA แล้วเอาไปเก็บไว้ที่ privkey.key (จากนั้นก็เอาข้อความใน privkey.key ไปใช้)

    sudo openssl rsa -in /etc/letsencrypt/live/bact.cc/privkey.pem -out privkey.key

    ใส่ครบทุกช่องแล้ว ก็คลิก “Save changes now”

  7. เท่านี้ก็น่าจะเสร็จแล้ว — แต่ถ้าอยากให้ทุกครั้งที่เรียก http://abc.xyz แล้วให้มัน redirect ไปที่ https:///abc.xyz อัตโนมัติ ก็ทำขั้นนี้เพิ่มหน่อย — ใส่โค้ดนี้ลงในไฟล์ .htaccess
    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  8. ลองเข้าเว็บไซต์ของเราดู ว่าเข้ารหัสและมีใบรับรองสวยงามอย่างที่หวังไหม หลังการแก้ไขต่างๆ อาจจะต้องรอสักพัก ไม่น่าจะเกิน 15 นาที เพื่อให้ระบบมันรีเฟรช
  9. ทดสอบความเรียบร้อยอีกที ด้วย การทดสอบจาก SSL Labs เพื่อดูว่าเรายังขาดตกตรงไหนอีก
  10. อย่าลืมว่า ใบรับรองของ Let’s Encrypt จะหมดอายุทุกๆ 3 เดือน ดังนั้นพอใกล้ๆ 3 เดือนก็อย่าลืมทำซ้ำตั้งแต่ขั้นที่ 3 ใหม่นะครับ

ส่วนใครใจไม่ร้อน รอได้ ก็รออีกหน่อย ทาง Dreamhost ประกาศแล้วว่า จะหาทางให้สามารถใช้ Let’s Encrypt บน Dreamhost ได้แบบง่ายๆ แค่คลิกๆ ก็เสร็จ

“อยากกด Like จนมือสั่น”

สืบเนื่องจากกรณีตำรวจอยากดูข้อมูลการพูดคุยกันของประชาชนบนโซเชียลมีเดีย

นิตยสาร Way สัมภาษณ์ประมาณสิงหาปีที่แล้ว ฉบับสั้น “5 คำถาม” ตีพิมพ์ลงฉบับ 56 ธีมเล่ม “Human 2.0”

ส่วนฉบับยาวเพิ่งออกมาเมื่อเดือนนี้ (ก.พ. 2557) ในชื่อว่า “อยากกด Like จนมือสั่น” ว่าด้วยความเคลื่อนไหวเปลี่ยนแปลงบนสื่อสังคม การแสดงออกทางการเมือง การควบคุมสื่อ และสิทธิมนุษยชน

ภาพประกอบนี้ถ่ายที่ชั้น 2 ตึกคณะนิติ จุฬา หน้าร้านถ่ายเอกสาร – โซฟานี่ก็ไปยืมมาจากร้านถ่ายเอกสาร ช่วยกันยกกับพี่ช่างภาพ

eh?

เข้าเว็บไซต์มหาวิทยาลัยเที่ยงคืนไม่ได้? ลิงก์เสีย? ลองนี่

ใครจะค้นจะหาอะไรในเว็บไซต์เดิมของมหาวิทยาลัยเที่ยงคืน ถ้าลิงก์ที่มีอยู่มันเข้าไม่ได้แล้ว (เพราะเว็บไซต์ใหม่เปลี่ยนการจัด url) และลองเสิร์ชด้วยชื่อบทความไม่ได้ผล ลองสองอันนี้ดูครับ

ถ้าลิงก์ที่มีอยู่เป็นลิงก์จากสมัย http://www.geocities.com/midnightuniv/ หรือ http://www.geocities.com/midnight2545/ ให้เปลี่ยนคำว่า geo ในลิงก์เป็น reo แล้วลองเข้าดูใหม่

ถ้าลิงก์ที่มีอยู่หน้าตาแนวๆ นี้ http://www.midnightuniv.org/midnight2544/XXX.html
ให้ลอก XXX มาใส่ตามลิงก์นี้ http://thaiis.com/midnightuniv-org-v1/XXX.html

เช่น http://www.midnightuniv.org/midnight2544/0009999708.html
ก็เป็น http://thaiis.com/midnightuniv-org-v1/midnight2544/0009999708.html

ส่วนถ้าอยากไล่ดูบทความในแบบเดิมๆ ไปที่หน้าแรกแบบเก่าเก่าและแบบเก่าได้ที่สองลิงก์นี้ครับ

สำหรับเว็บไซต์มหาวิทยาลัยเที่ยงคืนรุ่นใหม่ล่าสุด ซึ่งมีบทความใหม่ๆ ออกมาอยู่เรื่อยๆ เข้าดูได้ที่ http://www.midnightuniv.org/

(เหตุทั้งหมดเกิดจากมีคนมาถามถึงบทความในโพสต์นี้ ซึ่งลิงก์เดิมเข้าไม่ได้แล้ว ก็เลยถึอโอกาสอัปเดตและเขียนบอกวิธีไปเลย)

“ออกไป! ออกไป!” เมื่อคนซานฟราน ชัตดาวน์รถรับส่งพนักงานของกูเกิล

คนซานฟรานทนไม่ไหว บริษัทเทคโนโลยีบุก ทำบ้านแพง ขนส่งมวลชนพัง ผู้เช่าเดิมถูกไล่ ธุรกิจท้องถิ่นต้องปิดตัว

Tech workers vs. The rest of the City

คนท้องถิ่นมองว่าพนักงานของบริษัทเหล่านี้แทบไม่ได้มอบอะไรกลับให้กับท้องถิ่นเลย เช่น บริการอาหารและซักรีดบริษัทอย่างกูเกิลก็จัดหาให้พนักงานฟรี ตลาดที่คนในอุตสาหกรรมเทคโนโลยีไปก็เป็นตลาดหรูๆ เก๋ๆ ที่คนท้องถิ่นไม่ได้ขายของ

กฎหมายปัจจุบันหลายอย่างเอื้อประโยชน์ต่อธุรกิจเทคโนโลยีและพนักงานของบริษัทเหล่านี้ที่มีกำลังซื้อสูงกว่า เช่นการยกเว้นภาษีกิจการเทคโนโลยี หรือ Ellis Act ที่อนุญาตให้ผู้ให้เช่ายกเลิกสัญญากับผู้เช่าได้ แม้ผู้เช่าไม่ได้ทำอะไรผิดก็ตาม โดยเปิดช่องว่า ผู้ให้เช่าสามารถยกเลิกสัญญาได้หากกำลังจะเลิกกิจการ – ผู้ให้เช่าสามารถ “กำลังจะเลิกกิจการ” ได้ไม่จำกัดจำนวนครั้ง

หลายปีที่ผ่านมามีคนถูกไล่ออกจากบ้านเช่าก่อนหมดสัญญาจำนวนมากเพราะเจ้าของจะปล่อยให้ผู้เช่ารายใหม่ที่จ่ายแพงกว่า

เมื่อบ้านก็แพง ธุรกิจท้องถิ่นก็ทำไม่ได้ ทำให้คนท้องถิ่นจำเป็นต้องย้ายออกเป็นจำนวนมาก

ที่น่าโมโหสุดในสายตาคนท้องถิ่นคือ บริษัทเทคโนโลยีอย่างกูเกิล แอปเปิล และบริษัทอื่นๆ จัดรถชัตเติลบัสรับส่งพนักงานของตัวเอง และใช้ป้ายรถเมล์สาธารณะเป็นจุดจอดรับส่ง ซึ่งนอกจากจะทำให้บ้านละแวกป้ายรถเมล์แพงขึ้น 20% แล้ว ยังทำให้รถเมล์ของรัฐทำกำไรไม่ได้ และส่งผลต่อการเดินทางของคนที่ไม่ได้เป็นพนักงานบริษัทเหล่านี้หรือไม่ได้เดินทางไปทำงาน

ชาวซานฟรานที่ไม่พอใจ ออกมาปิดการเดินรถรับส่งพนักงาน

“Public $$$$, Private Gains”

สถานะทางกฎหมายของรถบัสเอกชนเหล่านี้ยังคลุมเครือ และหลายคนก็ไม่พอใจที่นอกจากบริษัทเอกชนจะมาใช้โครงสร้างพื้นฐานที่ตัวเองไม่ได้ลงทุนแล้ว ยังจะสร้างผลกระทบต่อคนท้องถิ่นอีก

ทุกๆ วัน มีรถบัสของบริษัทเทคโนโลยีเหล่านี้จอดที่ป้ายรถเมล์ของซานฟรานฯ ประมาณ 7,100 ครั้ง โดยไม่มีใบอนุญาตจอด (แต่ผู้บังคับใช้กฎหมายก็ไม่ได้ว่าอะไร) ทำให้รถเมล์ปกติที่จะเข้าจอดต้องล่าช้า และรถบัสเหล่านี้ไม่ได้จ่ายค่าบำรุงรักษาป้ายและระบบช่องทางรถเมล์ให้กับเมือง

อย่างไรก็ตาม รัฐบาลท้องถิ่นซานฟรานซิสโกกำลังจะลงคะแนนรับ/ไม่รับร่างกฎหมายที่จะทำให้รถบัสดังกล่าวถูกกฎหมาย และให้รถบัสเหล่านี้ทุกคันต้องจ่ายเงิน 1 เหรียญทุก 1 ป้ายที่จอด ให้กับขนส่งมวลชนซานฟรานซิสโก มีการคำนวณว่าขนส่งมวลชนซานฟรานซิสโกจะได้รับเงินประมาณ 1.5 ล้านเหรียญต่อปี แต่เงินจำนวนนี้อย่างมากก็จะครอบคลุมเฉพาะต้นทุนในการดำเนินงาน และจะไม่ทำให้ขนส่งมวลชนซานฟรานซิสโกมีกำไรไปปรับปรุงบริการอะไรเพิ่มได้

ที่ร้ายคือ เพิ่งจะมีบันทึกจากฝ่ายการเดินทางของกูเกิลหลุดออกมา เชิญชวนพนักงานกูเกิลไปแสดงความเห็นสนับสนุนร่างกฎหมายดังกล่าว โดยในบันทึกมีสคริปต์คำพูดให้พนักงานเอาไปใช้ได้ด้วย ว่าควรจะพูดอย่างไรถึงจะดูดี เช่นบอกว่า ถ้าไม่มีรถบัสก็คงต้องขับรถและจะทำลายสิ่งแวดล้อม หรือพวกเขาสนับสนุนร้านค้าท้องถิ่นอยู่เรื่อยๆ

สถานการณ์ตอนนี้ตึงเครียดน่าดู ถึงขนาดกูเกิลต้องจ้างพนักงานรักษาความปลอดภัยเพื่อคุ้มครองรถชัตเติลบัสของตัวเอง หลังจากเมื่อวันที่ 9 ธันวาคมปีที่แล้ว (2556) คนซานฟรานจำนวนนึงไปปิดล้อมรถของกูเกิล

เดินไปไหนย่อมมีรอยเท้า แต่บริษัทพวกนี้ตัวใหญ่ไปหน่อย ตีนเลยหนัก แถม “เผลอ” ไปเดินบนหัวชาวบ้านด้วย

ข้อมูลจากแคมเปญ “Heart of the City” — เผยแพร่ครั้งแรกที่ ประชาไท บล็อกกาซีน)

Person API ขุดประกอบประวัติบุคคลจากอินเทอร์เน็ต

วันนี้ได้อ่านเกี่ยวกับบริการของบริษัท FullContact ซึ่งเพิ่งไปซื้อกิจการบริษัท Cobook ผู้ผลิตโปรแกรมสมุดโทรศัพท์ของ Mac มาเมื่อปลายปีก่อน

ความสามารถอันนึงของ Cobook และซอฟต์แวร์คล้ายๆ กัน อย่างตัว Contacts ของ Gmail ก็คือ มันสามารถ “merge” หรือรวมที่อยู่ติดต่อที่ซ้ำๆ กันให้มาเป็นอันเดียวได้ เช่น คนๆ นึงอาจจะมีมีหลายเบอร์โทร มีอีเมล มีทวิตเตอร์ มี LinkedIn มีบัญชีโซเชียลมีเดียอื่นๆ บางบัญชีใช้ชื่อจริง บางบัญชีเป็นชื่อเล่น ซอฟต์แวร์พวกนี้มันช่วยรวมทั้งหมดให้มาอยู่ในระเบียนเดียวกันได้ จะได้จัดการและค้นหาได้ง่ายๆ

แต่ก็ไม่ใช่ว่าจะ merge ได้เสมอไป ก็ได้บ้างไม่ได้บ้าง ตามความกำจัดของข้อมูลที่มีในสมุดโทรศัพท์นั้น ที่ถ้ามีข้อมูลน้อยเกินไปก็อาจจะมองไม่เห็นความเชื่อมโยงระหว่างกัน

FullContact Person API

ของ FullContact นี่เก่งกว่า เพราะมันไม่ได้ใช้เฉพาะข้อมูลเท่าที่เรามีในสมุดโทรศัพท์ มันไปดึงข้อมูลจากอินเทอร์เน็ตและจากแหล่งอื่นๆ มาด้วย ทำให้สามารถเห็นความเชื่อมโยงได้มากขึ้น สามารถประกอบชิ้นส่วนข้อมูลเล็กๆ เข้าด้วยกันเป็นข้อมูลประวัติบุคคลที่สมบูรณ์มากขึ้น

เช่น รู้แค่ชื่ออะไร ทำงานที่ไหน ก็หาเบอร์มือถือหรืออายุได้แล้ว เป็นต้น

คือในทางหนึ่ง มันก็สะดวกดี สำหรับคนที่ต้องการติดต่องานหรือมีธุระอะไรจำเป็น (และชอบธรรม)

แต่มันก็ทำให้เราได้เห็นว่า เครือข่ายสารสนเทศที่เชื่อมโยงไปทุกที่และพลังการประมวลผลของคอมพิวเตอร์ ก็ทำให้การเก็บรวบรวมข้อมูลชิ้นเล็กๆ ที่กระจัดกระจายในเครือข่าย แล้วเอามาประกอบเป็น “profile” หรือ “หน้าตา” ของคนๆ หนึ่ง มันเป็นไปได้ง่ายๆ

Person API ของ FullContact ก็เสนอบริการแบบนั้น มันใช้ข้อมูลที่เก็บรวบรวมมาจากทั่วอินเทอร์เน็ตและฐานข้อมูลที่เปิดเผยสาธารณะ เอามาประมวลผล ต่อจิ๊กซอว์ และสร้างประวัติของบุคคล พร้อมที่อยู่ติดต่อ อายุ และข้อมูลส่วนตัวอื่นๆ ได้

FullContact บอกว่าตัวเองเป็นบริษัทให้บริการ “contact management” ข้อมูลที่ให้บริการก็มี ประวัติบุคคล ชื่อ อีเมล พิกัดที่ตั้ง โดยโฆษณาว่า มีข้อมูลติดต่ออยู่ 1 พันล้านระเบียน สามารถจับคู่ข้อมูลพวกนี้ให้เราได้ 6 ใน 10 ครั้ง ในเวลาแค่ 150 มิลลิวินาที (หนึ่งวินาที จับคู่ให้เราแบบนี้ได้เกือบ 7 คน) และมีความแม่นยำสูงถึง 90%

หน่วยงานความมั่นคงก็ต้องมีอะไรทำนองนี้ใช้แน่ๆ ล่ะครับ ถ้าในตลาดมันมีซะขนาดนี้แล้ว

คำถามหนึ่งที่น่าสนใจคือ การเก็บรวบรวมข้อมูลมาประกอบร่างแบบนี้ ชอบด้วยกฎหมายไหม? คือข้อมูลพวกนี้ คนใช้เน็ตก็เปิดเผยให้กับผู้ให้บริการ หรือโพสต์เอาไว้ในเว็บไซต์หรือโซเชียลมีเดียของตัวเองอยู่แล้ว มันก็น่าจะเป็นข้อมูลที่ไม่ใช่ความลับ และเขาก็สมัครใจจะเปิดเผยเอง แต่ก็นั่นล่ะ การเปิดเผยส่วนนึงให้กับคนนี้ อีกส่วนนึงให้กับคนนั้น คนเปิดนี่ก็ไม่ได้คิดว่าข้อมูลพวกนั้น สุดท้ายมันจะถูกรวมร่าง กลายเป็นข้อมูลแบบสมบูรณ์เกี่ยวกับตัวเขา

เนื่องจากเมืองไทยยังไม่มีกฎหมายคุ้มครองส่วนบุคคลเป็นการเฉพาะ (แม้รัฐธรรมนูญจะระบุถึงสิทธิในความเป็นส่วนตัวเอาไว้หลายมาตรา) เราลองไปดูคำพิพากษาของศาลฎีกาสหรัฐที่คล้ายๆ กับเรื่องนี้กัน

“People disclose the phone numbers that they dial or text to their cellular providers, the URLS that they visit and the e-mail addresses with which they correspond to their Internet service providers, and the books, groceries and medications they purchase to online retailers . . . I would not assume that all information voluntarily disclosed to some member of the public for a limited purpose is, for that reason alone, disentitled to Fourth Amendment protection.” United States v. Jones, 565 U.S. ___, 132 S. Ct. 945, 957 (2012) (Sotomayor, J., concurring).
อ้างจาก International Principles on the Application of Human Rights to Communications Surveillance

“ผู้คนเปิดเผยหมายเลขโทรศัพท์ที่พวกเขาโทรหรือส่งข้อความ ให้กับผู้ให้บริการโทรศัพท์มือถือ เปิดเผยตัวชี้แหล่งในอินเทอร์เน็ต (URL) ที่พวกเขาเข้าชมและที่อยู่อีเมลที่พวกเขาติดต่อด้วย ให้กับผู้ให้บริการอินเทอร์เน็ต และเปิดเผยถึงหนังสือ ของชำ และยาที่พวกเขาซื้อ ให้กับผู้ขายปลีกทางอินเทอร์เน็ต … ศาลไม่เชื่อว่าข้อมูลทั้งหมดที่มีการเปิดเผยโดยสมัครใจให้กับสมาชิกบางคนในพื้นที่สาธารณะเพื่อจุดประสงค์เฉพาะอย่าง ไม่ควรได้รับการคุ้มครองตามข้อแก้ไขรัฐธรรมนูญครั้งที่ 4 (Fourth Amendment) เพียงเพราะเหตุผลนั้นเพียงอย่างเดียว” United States v. Jones, 565 U.S. ___, 132 S. Ct. 945, 957 (2555) (Sotomayor, J., พิพากษายืน).
อ้างจาก หลักการระหว่างประเทศว่าด้วยการใช้หลักสิทธิมนุษยชนกับการสอดแนมการสื่อสาร

Fourth Amendment หรือ ข้อแก้ไขรัฐธรรมนูญครั้งที่ 4 นี่พูดถึงสิทธิในความเป็นส่วนตัว พูดถึงเรื่องการขอค้นตัวค้นบ้าน

ศาลฎีกาในคดีนี้บอกว่า ใช่ คนน่ะเปิดเผยข้อมูลต่างๆ ให้กับผู้ให้บริการ แต่มันก็มีเจตนาในการเปิดเผยอยู่ ว่าเปิดเผยเพราะเขาจะรับบริการนี้ ในครั้งนี้ ดังนั้นข้อมูลก็ควรจะถูกใช้เพื่อการนั้นเท่านั้น ไม่ควรจะถูกเอาไปใช้ในเรื่องอื่นต่อ

เทคโนโลยีเปลี่ยนไปเร็วมาก ข้อมูลออนไลน์มากขึ้นเรื่อยๆ คอมพิวเตอร์เก่งขึ้นเร็วขึ้นเรื่อยๆ กฎหมายควรจะให้ความคุ้มครองที่ได้สัดส่วนกัน

(ภาพประกอบจากเว็บไซต์ FullContact)

ไหลข้ามพรมแดน ทั้งคน ข้อมูล ทุน สินค้า และความน่าปวดหัว

Freedom of Movement.

(จากข่าว “ประธานาธิบดีฝรั่งเศสเร่งปราบการเลี่ยงภาษีโดยบริษัทไอทีจากสหรัฐ”)

ผมว่าปัญหาเลี่ยงภาษีโดยอาศัยความแตกต่างทางกฎหมายในแต่ละประเทศ/รัฐ/เขตเศรษฐกิจ นี่ก็เป็นตัวอย่างนึงของความ “เอาไม่อยู่” อีกต่อไปแล้วของขอบเขตกฎหมายที่อยู่บนฐานรัฐชาติ

องค์กรและกิจกรรมหลายอย่างมากขึ้นเรื่อยๆ มันทำงานระดับข้ามรัฐข้ามพรมแดน แล้วกฎพวกนั้นก็ตามไม่ทัน ซึ่งเปิดช่องให้คนสร้างปัญหา และในทางกลับกัน ไอ้ตัวกฎหมายก็สร้างปัญหาซะเองได้ด้วย

แม้อุปลักษณ์ “เครือข่าย” จะเป็นอุปลักษณ์ยอดนิยม ที่ถูกใช้ในการเข้าใจและอธิบายแนวคิดและสิ่งต่างๆ ในยุค “อินเทอร์เน็ต” นี้ — แต่กรณีนี้ อุปลักษณ์ “ของไหล” อาจจะเหมาะกว่า

เราลองคิดว่า คน ข้อมูล ทุน และสินค้า ก็เหมือนกับน้ำ

ถ้ามีรู น้ำก็ไหล ถ้ามีแรงดัน น้ำก็ไหล
ถ้าระดับสองที่ไม่เท่ากัน น้ำก็ไหลจากสูงไปต่ำ
น้ำไหลไปทุกที่ เจอกำแพงก็ไหลไปตามแนวกำแพง จนไปสุดกำแพงแล้วไหลต่อ
น้ำมามากๆ พังกำแพงได้อีก

คนไหล เงินไหล สินค้าไหล ข้อมูลไหล
ปัญหาปวดหัวระหว่างประเทศมักจะวนๆ กับเรื่องพวกนี้
ผู้อพยพ แรงงานต่างชาติ การเข้าออกของทุน กำแพงภาษี การคุมข้อมูล

การลงทุนโครงสร้างพื้นฐานในประเทศ ก็เน้นเรื่องการไหลพวกนี้ เพื่อให้ระบบเศรษฐกิจและสังคมมันมีประสิทธิภาพ

ข้อมูลไหลเร็วก็ตัดสินใจเร็ว ในสมัยที่ เจงกีส ข่าน ขยายจักรวรรดิมองโกล หนึ่งในกลไกสำคัญในการบริหารดินแดนกว้างใหญ่อย่างนั้นก็คือ ระบบจดหมายม้าเร็ว

หรือไฟฟ้า ประปา ถนนหนทาง รางรถไฟ ก็เป็นโครงสร้างพื้นฐานที่ว่าด้วยการไหลทั้งนั้น

จึงเห็นได้ว่าโดยพื้นฐานแล้ว รัฐบาลประเทศต่างๆ ก็อยากให้ของมันไหลแหละ แต่เขาต้องเป็นคนควบคุมการไหล/ต้องไหลในระดับที่เขาคุมได้

การเจรจาหรือมาตรการระหว่างประเทศอื่นๆ จำนวนหนึ่งก็มาจากความคาดหวังในระดับของการไหลที่ไม่ตรงกันของสองพื้นที่

แต่ในขณะที่กิจกรรมระดับรัฐบาลที่เป็นทางการดำเนินไป ถ้ามันมีรู หรือระดับของสองพื้นที่มันสูงต่ำกันมาก หรืออีกฝั่งมีแรงดันมาก ยังไงของมันก็ไหล อาจจะไม่ถูกกฎหมาย แต่ของไหลมันหาทางของมันเสมอ

กฎหมายและความคุ้มครองต่างๆ ก็ต้องไปให้ทันกับสิ่งเหล่านี้ด้วย จะคิดในกรอบเก่าๆ ไม่ได้แล้ว ไม่งั้นไหลตามกันไม่ทัน

Trans-Pacific Partnership และการแก้ไขกฎหมายลิขสิทธิ์ … จะคุ้มครองทุกฝ่ายให้แฟร์ๆ ได้ยังไง?

ความคิดเห็นเรื่องการเข้าเป็นสมาชิกความตกลงหุ้นส่วนยุทธศาสตร์ทางเศรษฐกิจภาคพื้นแปซิฟิก (Trans-Pacific Partnership Agreement) หรือ ทีพีพี (TPP) โดย Susan Chalmers @susan_chalmers ผู้เชี่ยวชาญกฎหมายทรัพย์สินทางปัญญาและ(อดีต)ที่ปรึกษาด้านนโยบายของ InternetNZ ผู้ดูแลระบบโดเมนของนิวซีแลนด์ ซึ่งมาเมืองไทยเมื่อปลายปีที่แล้ว เพื่อแลกเปลี่ยนกับนักกฎหมายและผู้ประกอบการอินเทอร์เน็ตไทย

“นอกจากปัญหาเทคนิคทางกฎหมาย เช่นกรณี ‘สำเนาชั่วคราว’ แล้ว การเข้าร่วม TPP อาจทำให้เกิดการผูกขาดทางการค้า เช่นมาตราที่ว่าด้วยการนำเข้าซ้อน (parallel import) ระบุว่า เจ้าของลิขสิทธิ์มีสิทธิในการขอให้ประเทศสมาชิกห้ามนำเข้าสินค้าลิขสิทธิ์อย่างเดียวกันจากประเทศอื่น ซึ่งอาจส่งผลให้ราคาหนังสือ สื่อการสอน ภาพยนตร์ เพลง โปรแกรมคอมพิวเตอร์ และงานอันมีลิขสิทธิ์อื่นมีราคาแพงขึ้นได้

ตัวอย่างเช่น มหาวิทยาลัยไทยที่ต้องการสั่งซื้อหนังสือเรียนชื่อเรื่องหนึ่ง จำเป็นต้องซื้อหนังสือดังกล่าวจากตัวแทนจำหน่ายในประเทศไทยที่ได้รับอนุญาตจากเจ้าของลิขสิทธิ์เท่านั้น มหาวิทยาลัยไม่สามารถซื้อหนังสือชื่อเรื่องเดียวกันจากตัวแทนจำหน่ายในประเทศอื่นที่อาจมีราคาถูกกว่าได้ แม้จะเป็นสินค้าถูกต้องตามลิขสิทธิ์เหมือนกัน เนื่องจากจะเป็นการละเมิดข้อห้ามเรื่องการนำเข้าซ้อน

นอกจากนี้แล้ว ไทยยังต้องอยู่ภายใต้ความตกลงทริปส์พลัส (TRIPS+) ซึ่งเป็นความตกลงระหว่างประเทศเกี่ยวกับกฎหมายทรัพย์สินทางปัญญาที่จะขยายระยะเวลาคุ้มครองลิขสิทธิ์จาก 50 ปีหลังการเสียชีวิตของผู้เขียนออกไปเป็น 70 ปีหลังการเสียชีวิตสำหรับเจ้าของงานที่เป็นบุคคลธรรมดา และอาจยาวนานถึง 95 ปีหลังการตีพิมพ์หรือยาวนานถึง 120 ปีหลังการสร้างสรรค์ผลงานสำหรับเจ้าของผลงานที่เป็นนิติบุคคล

การขยายเวลาคุ้มครองและกฎระเบียบที่อาจมองว่าเป็นการแทรกแซงกลไกตลาดมากขึ้นนี้ ถือเป็นข้อน่ากังวลเป็นอย่างยิ่ง เนื่องจากประเทศไทยอยู่ในฐานะผู้นำเข้าสื่อมากกว่าการเป็นผู้ส่งออก”

ยังมีประเด็นความรับผิดของผู้ใช้บริการอินเทอร์เน็ต สิทธิบัตรซอฟต์แวร์ และความสามารถในคิดค้นนวัตกรรมและความสามารถในการแข่งขันของประเทศสมาชิก อ่านฉบับเต็ม (ซึ่งมีอธิบายด้วย ว่าอะไรคือ TPP) ที่ นำเข้าซ้อน-สำเนาชั่วคราว-ขยายลิขสิทธิ์ ผู้เชี่ยวชาญห่วง ไทยเข้าร่วม TPP อาจได้ไม่คุ้มเสีย ถอดความและสัมภาษณ์โดย ลีลา สัตยมาศ @officiallyleela

อำนาจและหน้าที่ของนักเทคโนโลยี

"effective democratic regulations"

หน้าที่ของนักเทคโนโลยีและวิศวกร นั้นไม่เพียงสร้างเครื่องมือแก้ปัญหาในชีวิตของมนุษย์ แต่ยังต้องอธิบายให้สังคมเข้าใจได้ด้วยว่า ระบบที่ว่าซับซ้อนนั้น ทำงานอย่างไร

ที่เป็นเช่นนี้เพื่อให้สังคมร่วมตรวจสอบและกำกับระบบดังกล่าวได้ ไม่อย่างนั้นอำนาจก็จะตกไปอยู่ในมือของนักเทคโนโลยีและวิศวกรเสียหมด

(ภาพประกอบจาก Engineering: A Very Short Introduction หน้า 2)