Quick notes on Thailand’s new cybercrime law amendment (26 Apr 2016 rev)

Quick points for my international friends who want to get some gists about the development of Thailand’s new amendment of Computer-related Crime Act, as of 14 June 2016. Here I discussed the timeline, small notes on two different revisions on April 2016, and points of concerns regarding freedom of expression, privacy, and encryption.

If you don’t have much time, look at Section 14 (1) [online defamation], 14 (2) [“public safety”], 15 para. 3 [burden of proof to the intermediary], 17/1 [Settlement Commission], 18 (7) [investigative power to access encrypted data-at-rest], 20 (4) [Computer Data Screening Committee can block content that is totally legal], and 20 para. 5 [will be used to circumvent data-in-transit encryption].

Thai Netizen Network also made some recommendations to the Bill (updated 28 June 2016).

Timeline

  • 26 April 2016 — The Cabinet submitted the Bill to National Legislative Assembly (NLA).
  • 28 April — NLA 1st hearing – approved the Bill in principles (160 to 0) and sent it to Review Subcommittee. The Subcommittee has 60 days to review, with possible 30 days extension if needed.
  • ~26 June ~26 July — NLA should received the revised Bill and continue for the 2nd hearing. Updated: the Subcommittee decided to extended the review for another 30 days. Sections that got lots of comments are 14, 15, 16/1, 16/2, 18 (and in connection to 19), 20, and 21 (and in connection to 29).
  • There will be three hearings in NLA. In some cases, all the 1st, 2nd and 3rd hearings could be done in one day.
  • ICT Minister said the government willing to have all Digital Bills in effect by the end of 2016.

Read the Bill (in English)

  • Read Computer-related Crime Act (CCA) amendment (26 April 2016 draft) and its English translation, side by side.
  • There was a revision approved by the Cabinet on 19 April 2006.
    • The 19 April and 26 April revisions are almost identical.
    • Except that Section 13 and Section 14 of 19 April revision (both amend Section 18 of 2007 Act) are merged and become single Section 13 of 26 April revision.
    • So the Section number starting from Section 14 is shifting up.
    • This note is based on 26 April 2016 revision.
    • To avoid confusion, it will refer to the number of the Section to be amended.
  • The Minister responsible for this Act will be the Minister of Digital Economy and Society (new name of Minister of ICT).

Points of Concerns

1. Criminalisation of Speech and Computer Data

  • Section 14 (1) — Online defamation: language still open for online defamation
  • Section 14 (2) — “Public safety”: Vague and general terms like “public safety” and “economic stability” in this Section are undefined specifically in any Thai criminal law, but will be used to criminalised computer data.
    • From our communication with the lawmaker, they said this is meant to be for the crime against computer system of public infrastructure. If that’s the case, it can be better written in the draft, using terms like “critical infrastructure” or “critical information infrastructure”.
  • Read iLaw analysis on this (in Thai)

2. Disproportionate Intermediary Liability

  • Section 15 paragraph 2 — Blanket power: Minister power to issue additional procedural rules, which may additionally limits civil rights but require no review from Parliament.
  • Section 15 paragraph 3 — Burden of proof: if service provider follows the Ministerial procedural rules, they may exempted from penalty, but service provider has to prove their innocence.
  • Section 3 — No differentiation of intermediary types: Section 3 (since 2007 version) do defined two different types of “service providers”, but for the rest of the Act it does not really differentiated them. Every service providers got the same level of penalty.
    • We should at least differentiated between “mere conduit” and “hosting”.
    • EU E-Commerce Directive has three: “mere conduit” (Article 12), “caching” (Article 13) and “hosting” (Article 14).
  • See Manila Principles on Intermediary Liability

3. Unpredicability of Law — Judicial Process

  • Section 17/1 — Settlement Committee: for offences with 2 years or less jail term. Not sure what is the consequence, but definitely will creates unpredictability of law enforcement
    • The Settlement Committee will be appointed by the Minister. It will be consisted of three persons, one of whom has to be an inquiry official according to the Criminal Procedure Code. No other requirements stated in the Bill.

4. Expanded Investigative Power — Access to Encrypted Data-at-Rest

  • Section 18 — Expands investigative power of Section 18 to non-CCA offences
    • The entire Section 18 in 26 April 2016 revision of CCA amendment is almost identical to the 2007 CCA in use currently, except mainly this expansion.
  • Section 18 (together with Section 19, which are conditions in order to use the power in Section 18) in the current 2007 CCA is already a problem in itself, particularly about the authorisation of power. When compared to similar law on investigative power to gather electronic evidence like one in Section 25 of Special Investigation Act, Sections 18+19 of CCA required lesser check and balance.
  • Section 18 (7) is about accessing encrypted computer system or data.

5. Expanded Information Control

  • Section 20 — Expands blocking and data removal power to non-CCA offences
  • Section 20 (4) — Blocking of content that is totally legal: Computer Data Screening Committee may ask Court the block/remove data that breach “public order” or “moral high ground of people” even its not illegal
    • The Computer Data Screening Committee will be appointed by Minister. Will consisted of five persons. Two must come from relevant private sector. No other requirements stated in the Bill.
    • Thai Journalist Association is very concerned about this.
  • Film industry associations, like Motion Picture Association (regional) and Federation of National Film Associations of Thailand (local), support the expansion of Section 20 to also include site-blocking if copyright infringement occurs.
    • They also citing the damages from Facebook Live and call for measures to takedown such streaming, or any new technology that may infringe intellectual property rights, on social media.

6. Disintegrity of Secured Communication

  • Section 20 paragraph 5 — Additional technological measures to censor encrypted data: Minister can issue additional rules to facilitate data blocking/removal “in response to changing technology”
    • In the “reasons for amendment” document attached with the draft submitted to NLA, it said to block a web page that use public-key encryption a “special method and tools” are needed (see page 28-30 of the documents submitted to NLA, in the last column. You will see the keywords like “SSL”).
    • In order to block a specific URL, the URL has to be known first. The ISP will compare the URL with its blacklist. If matched, it will tell the user that the access is not allowed.
    • For an HTTPS encrypted webpage, the ISP know only first part of URL (the domain name). For example, if the entire URL is https://www.facebook.com/thainetizen, ISP will see only https://www.facebook.com. So they cannot compare and cannot block the URL specifically. They can block the entire www.facebook.com, but that will be very unpopular.
    • It is possible to circumvent the encryption, so ISP can block a specific URL again.
    • But this will affect confidentiality and integrity of the data on the network, as well as its availability (as the data may be blocked and inaccessible).
    • The same tool can also use for the surveillance of private communication.
  • Read Thai Netizen Network analysis on this Section 20 and how it related to MICT Order No. 163/2557 and the “Single Gateway” project (in Thai).
  • See also The Right to Privacy in Thailand and State of Surveillance: Thailand reports.

Stop This

Don’t agree with the Amendment proposal?
Sign the Petition: https://change.org/singlegatewayreturn
and keep spread it around.

Follow more updates and actions from Thai Netizen Network website at https://thainetizen.org and its Facebook page at https://www.facebook.com/thainetizen.

“อยากกด Like จนมือสั่น”

สืบเนื่องจากกรณีตำรวจอยากดูข้อมูลการพูดคุยกันของประชาชนบนโซเชียลมีเดีย

นิตยสาร Way สัมภาษณ์ประมาณสิงหาปีที่แล้ว ฉบับสั้น “5 คำถาม” ตีพิมพ์ลงฉบับ 56 ธีมเล่ม “Human 2.0”

ส่วนฉบับยาวเพิ่งออกมาเมื่อเดือนนี้ (ก.พ. 2557) ในชื่อว่า “อยากกด Like จนมือสั่น” ว่าด้วยความเคลื่อนไหวเปลี่ยนแปลงบนสื่อสังคม การแสดงออกทางการเมือง การควบคุมสื่อ และสิทธิมนุษยชน

ภาพประกอบนี้ถ่ายที่ชั้น 2 ตึกคณะนิติ จุฬา หน้าร้านถ่ายเอกสาร – โซฟานี่ก็ไปยืมมาจากร้านถ่ายเอกสาร ช่วยกันยกกับพี่ช่างภาพ

eh?

ชวนไปส่งเสียง เรื่องกฎหมายคอมพิวเตอร์ บ่าย 11 พ.ค. นี้ @ โรงแรม S31 สุขุมวิท 31

สัมมนาระดมความเห็น ร่างพ.ร.บ.คอมพิวเตอร์ฯ ฉบับสพธอ. 2556

กระทรวงไอซีที ได้มอบหมายให้สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) ร่างแก้ไขพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 มีหลายเรื่องที่แก้แล้วน่าจะดีขึ้น หลายเรื่องที่น่าห่วงว่าจะแย่ลง และมีบางเรื่องเพิ่มเติมขึ้นมาเดิม ฉบับปัจจุบันยังไม่มี

เรื่องที่ดีคือ มีการตัดมาตรา/ปรับภาษาให้สการนำพ.ร.บ.คอมพิวเตอร์ไปฟ้องหมิ่นประมาทออนไลน์มีโอกาสน้อยลง (คือให้ไปใช้กฎหมายอาญาที่มีอยู่แล้ว ซึ่งมีความรัดกุมมากกว่า)

เรื่องที่น่าห่วงคือ ขยายเวลาการเก็บ log file และอนุญาตให้เก็บแบบไม่มีกำหนดระยะเวลาได้ ซึ่งตรงนี้ในฝั่งผู้ให้บริการก็น่าจะมีภาระมากขึ้น สำหรับผู้ใช้ก็น่าเป็นห่วงเรื่องความเป็นส่วนตัว ข้อมูลส่วนบุคคลจะถูกเอาไปใช้ยังไงบ้าง ใครจะเข้าถึงได้มั่ง

เรื่องที่เพิ่มเข้ามาคือการกำหนดให้การทำสำเนาข้อมูลโดยไม่ได้รับอนุญาต เป็นความผิด ซึ่งความตั้งใจน่าจะเป็นเรื่อง การจารกรรมข้อมูล ซึ่งก็ต้องมีมาตรการลงโทษ แต่ภาษาที่ใช้ในร่างปัจจุบันอาจจะยังไม่ชัดเจนพอ อาจจะถูกเอาไปใช้ฟ้องในเรื่องอื่นได้ เช่นการไม่ทำตามสัญญาการใช้บริการออนไลน์ ไปทำสำเนาข้อมูลบางอย่างมา อาจจะถูกถือว่าเป็นการจารกรรมข้อมูลได้ ซึ่งตรงนี้น่าจะมีปัญหา เพราะกำลังจะทำให้ความผิดทางสัญญา (ซึ่งเป็นเรื่องระหว่างบุคคลกับบุคคล) กลายเป็นความผิดทางอาญา (ความผิดต่อสาธารณะ) ตรงนี้ไม่ได้จะบอกว่าการผิดสัญญาไม่ควรเป็นความผิด แต่จะบอกว่าถ้ามันผิดสัญญา ก็ไปฟ้องกันเอง ไม่ควรต้องเป็นภาระของรัฐที่จะเอาทรัพยากรสาธารณะ (งบประมาณ/ภาษี/คน) มาจัดการ

นอกจากนี้ยังมีเรื่องรูปโป๊ ซึ่งก็ไม่ชัดเจนว่าทำไมต้องใส่มาในพ.ร.บ.คอมพิวเตอร์ ใช้กฎหมายอาญาที่มีอยู่แล้วไม่ได้หรือยังไง คือถ้าบอกว่ารูปโป๊มีออนไลน์ด้วย ต้องใส่มาในกฎหมายคอมพิวเตอร์ หลอกเงินมีออนไลน์ด้วย ต้องใส่อีก การพนันออนไลน์ก็มี หมิ่นประมาทออนไลน์ก็มี ทุกสิ่งอย่างที่ทำออนไลน์ได้ (ซึ่งเพิ่มขึ้นเรื่อยๆ ทุกวัน) ต้องเอามาใส่ในกฎหมายคอมพิวเตอร์ ก็น่ากลัวว่าพ.ร.บ.คอมพิวเตอร์ของเราจะยาวเหยียด เพราะแทบจะต้องเอากฎหมายทุกฉบับมายัดลงไปในนี้

ในส่วนภาระและความผิดของผู้ให้บริการ มีความเปลี่ยนแปลงไปในทางที่ “ดีขึ้น” แต่ก็ยังไม่ดีเสียทีเดียว คือแม้จะมีการพูดถึงมาตรการ “notice and take down” (ถ้ามีการแจ้งมา ผู้ให้บริการก็จะพิจารณาลบออก) แต่ในตัวร่างพ.ร.บ.ฯ ก็ยังมีคำว่า “ควรจะรู้” ซึ่งตรงนี้ก็ไม่ชัดเจนว่า อะไรคือควรจะรู้ หรือเอาจริงๆ คือ ผู้ให้บริการจะรู้ได้ยังไง พอเป็นแบบนี้ เรื่องกระบวนการ notice and take down ที่เพิ่มเข้ามาก็ไม่มีประโยชน์อะไร เพราะมันจะถูกใช้หรือไม่ใช้ก็ได้

และก็ต้องโน๊ตไว้ด้วยว่ากลไก notice and take down นั้น ไม่ได้ออกแบบมาสำหรับเนื้อหา “เทาๆ” หรือเรื่องที่ต้องใช้ดุลยพินิจ อย่าง “ความมั่นคง” “ศีลธรรม” หรือ “ความสงบเรียบร้อยของประชาชน”

notice and take down ถูกออกแบบมาสำหรับเนื้อหาที่เห็นได้ชัดเจนและทันทีว่า น่าจะผิดกฎหมาย เช่น ละเมิดลิขสิทธิ์เพลง ขายยาโดยไม่มีใบอนุญาต ขายของต้องห้ามที่มีการประกาศแล้ว หรือเผยแพร่ข้อมูลส่วนบุคคลที่โดยปกติไม่น่าจะเปิดเผย — ส่วนเรื่องการเผยแพร่โทรจัน มัลแวร์ ไวรัส อันนี้เป็นเรื่อง computer emergency/incident response ใช้อีกกลไกนึงต่างหาก

แต่ในการพูดคุยเรื่องร่างพ.ร.บ.คอมพิวเตอร์ช่วงที่ผ่านมา ดูเหมือนจะใช้คำว่า notice and takedown สำหรับเนื้อหาทุกประเภท แถมยังเอาไปปนกับ emergency response อีก เลยไม่แน่ใจว่าสุดท้ายจะออกมาเป็นยังไง จะใช้ได้อย่างที่หวังไหม

โน๊ตเพิ่มคือ notice and take down ควรจะถูกนับเป็นมาตรการขั้นสูงสุดที่ยอมให้มีได้ ก่อนจะไปถึงการใช้กลไกศาล สำหรับการกำกับดูแลเนื้อหา คือมาตรการนี้ในตัวมันเอง คือการยอมให้เอกชนมีอำนาจคล้ายๆ ศาลในการตัดสินถูกผิด-และการตัดสินใจนั้นจะริดรอนสิทธิพลเมืองบางอย่าง ดังนั้นมันเป็นเรื่องที่ประเทศอย่างแคนาดายังไม่ยอมรับให้มีด้วยซ้ำ เพราะมันเป็นการใช้อำนาจที่ตรวจสอบได้ยาก (กฎหมายลิขสิทธิ์ของแคนาดาใช้ระบบ “notice and notice”)

แต่ดูเหมือนว่าที่เราคุยๆ กันที่ผ่านมา เหมือนจะยก notice and take down เอาไว้เป็นมาตรการขั้นต่ำสุดที่ผู้ให้บริการต้องทำ ไม่ทำแล้วจะมีความผิด (จริงๆ แล้วผู้ให้บริการควรจะมีสิทธิในการปฏิเสธในการทำตามคำขอด้วย เพราะ notice ในตัวมันเองยังไม่ได้เป็นการตัดสินชี้ถูกผิด ยังไม่ใช่คำสั่งศาลที่ผ่านกระบวนการพิจารณาตรวจสอบแล้ว)

มีหลายเรื่องที่น่าสนใจ ก็ชวนกันไปคุยครับ เสาร์ 11 พ.ค. นี้ ชวนๆ เพื่อนที่สนใจไปแชร์กันครับ จะมีคนมาคอมเมนต์ในสี่ประเด็น (ความผิดต่อระบบคอมพิวเตอร์, ความผิดเกี่ยวกับเนื้อหาออนไลน์, ภาระความรับผิดของผู้ให้บริการ, และอำนาจเจ้าหน้าที่ในการดำเนินคดีอาญา — ดูรายละเอียดที่นี่) แน่นอนว่าคนเหล่านี้พูดไม่ได้ครอบคุลมทุกเรื่องในร่างพ.ร.บ. งั้นก็เลยชวนครับ ว่าอาจจะมีใครถนัดเรื่องอื่นๆ ด้วย หรือเสริมประเด็นพวกนั้นจากมุมอื่น ช่วยๆ กัน

ลงทะเบียนที่ http://bit.ly/cca2013hearing

—-

สัมมนาระดมความเห็นต่อ “ร่างพ.ร.บ.คอมพิวเตอร์ฯ ฉบับสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ 2556”

วันเวลา: เสาร์ 11 พฤษภาคม 2556 12:30-17:00
สถานที่: โรงแรม S31 ซอยสุขุมวิท 31 [แผนที่]

[ลงทะเบียนเข้าร่วม] [Facebook event]

กรณีหน้าเว็บกระทรวงวัฒนธรรม “ถูกแฮ็ก” / ผู้ดูแลระบบควรรับผิดด้วยไหม?

จากกรณีหน้าเว็บกระทรวงวัฒนธรรม “ถูกแฮ็ก” หลังช่องสามประกาศงดฉายละคร “เหนือเมฆ 2” ต่อ และล่าสุดมีคนพบว่ามีลิงก์ไปเว็บรับพนันบอลบนหน้าแรกของเว็บกระทรวงด้วย ก็คิดๆ น่ะครับ ว่าคนเจาะนั้นเก่ง หรือว่าเว็บไซต์หน่วยงานรัฐไทยน่ะ ระบบรักษาความปลอดภัยห่วย

ผมพยายามตอบบางคำถามที่ถามกันบ่อย พร้อมตั้งข้อสังเกตและข้อเสนอ ซึ่งจะเกี่ยวข้องกับการแก้ไขพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และการเสนอร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

เกิดขึ้นได้อย่างไร?

เท่าที่ดูอาการตามหน้าจอและซอร์สโค้ดที่โชว์ใน Blognone เป็นเรื่องที่พบได้ทั่วไป ผมก็เคยโดนกับเว็บไซต์ที่เคยดูแล (cc.in.th)

ต้องเข้าใจว่าซอฟต์แวร์และฮาร์ดแวร์ทุกตัวมีรูโหว่ให้เจาะเข้าไปเสมอ เซิร์ฟเวอร์ของเว็บไซต์กระทรวงวัฒนธรรมก็เช่นกัน ไม่ว่าจะเป็นรูรั่วจากความผิดพลาดของซอฟต์แวร์หรืออุปกรณ์เอง หรือจากความประมาทเลินเล่อของผู้ดูแลที่ติดตั้งระบบไม่รัดกุม

รูรั่วเหล่านี้ จะถูกค้นพบใหม่เรื่อยๆ ทางผู้ผลิตซอฟต์แวร์ โดยปกติ เมื่อทราบข่าว ก็จะรีบอุดรูรั่วดังกล่าว และประกาศให้คนรีบอัปเดตซอฟต์แวร์หรือทำการแก้ไขด้วยวิธีอื่น

ทางคนที่ไม่หวังดีหรืออยากจะลองของ ถ้าทราบข่าวเดียวกัน ก็อาจจะใช้รูรั่วดังกล่าว เพื่อเข้าระบบโดยไม่ได้รับอนุญาตได้

ดังนั้นถ้าผู้ดูแลระบบไม่ได้ใส่ใจ ไม่ได้อัปเดตซอฟต์แวร์ ไม่ได้หมั่นตรวจตราระบบว่าการติดตั้งต่างๆ ยังรัดกุมอยู่ ก็ยิ่งมีโอกาสจะถูกเจาะได้ง่าย

(โน๊ต: ผมสนับสนุนหลักการ full disclosure นะครับ คือถ้าพบรูรั่วก็ต้องแจ้งให้ทราบ ไม่ใช่ปกปิดเอาไว้ ผมเชื่อว่าการเปิดเผยข้อปัญหา จะทำให้การแก้ปัญหาทำได้รวดเร็วกว่า และนำไปสู่ความปลอดภัยโดยรวมที่ดีกว่า)

แรงจูงใจ

เรื่องแบบนี้เกิดขึ้นบ่อย ไม่ว่าจะเป็นการเอาแบนเนอร์โฆษณาหรือลิงก์ไปยังเว็บที่อยากโปรโมต ไปแอบวางบนเว็บไซต์ต่างๆ ทั้งนี้เพราะมีแรงจูงใจทางเศรษฐกิจ

ส่วนใหญ่เป็นลิงก์ขายของประเภทหนังโป๊ ของเล่นผู้ใหญ่ การพนัน หรือยาเสริมสมรรถภาพทางเพศ (แต่ก็ไม่จำเป็นเสมอไปนะครับ) สินค้าเหล่านี้โฆษณาช่องทางปกติยาก คนจะเจอส่วนหนึ่งต้องใช้วิธีการค้นหาจากเสิร์ชเอนจิน

ดังนั้นจะทำยังไงให้คนค้นคำต่างๆ แล้วมาเจอเว็บของเขา ทำอย่างไรให้เว็บเขาขึ้นอันดับสูงๆ ในเสิร์ชเอนจินต่างๆ

วิธีหนึ่งคือ ให้มี “backlink” หรือ incoming link ให้เว็บอื่นทำลิงก์มาหาเว็บเขาเยอะๆ ทั้งนี้เพราะเสิร์ชเอนจินหลายตัว ใช้ backlink นี้ในการคำนวณ จัดอันดับ ว่าเว็บไซต์ไหนจะได้อยู่อันดับต้นๆ

เว็บใหญ่ๆ ที่มีคะแนน PageRank สูงๆ หรือเว็บของรัฐหรือองค์กรต่างๆ มักจะตกเป็นเป้าหมาย (go.th, .gov, .or.th, .edu) เพราะเสิร์ชเอนจินอย่างกูเกิล จะให้น้ำหนักว่า เว็บพวกนี้มีความน่าเชื่อถือ และคงไม่ลิงก์ไปไหนสุ่มสี่สุ่มห้า ลิงก์ที่อยู่ในเว็บพวกนี้ น่าจะได้รับการเลือกแล้ว คัดแล้ว ดังนั้นถ้าสามารถเอา backlink ไปวางไว้ในเว็บองค์กรเหล่านี้ได้ แล้วเชื่อมโยงมาเว็บไซต์ขายของที่ว่า ก็จะทำให้เว็บไซต์ขายของได้อันดับสูงขึ้น

จะแก้ไขอย่างไร ?

หลังจากนำลิงก์หรือแบนเนอร์ที่ไม่พึงประสงค์ออกไปหมดแล้ว การอัปเดตซอฟต์แวร์ก็อาจจะแก้ปัญหาทั้งหมดได้

แต่ก็ต้องระวังว่า อาจจะมี backdoor หรือ ประตูหลัง วางเอาไว้ในระบบในส่วนที่เราตรวจหาลำบาก เป็นช่องให้เจาะกลับมาอีกได้

หรือบางครั้ง หลงคิดว่าเอาลิงก์ออกหมดแล้ว แต่จริงๆ ไม่หมด อาจจะมีโปรแกรมเล็กๆ ฝังอยู่ในเซิร์ฟเวอร์ สร้างลิงก์พวกนั้นขึ้นมาใหม่ได้ เช่นอาจจะซ่อนอยู่ในโปรแกรมที่ถูกเรียกทำงานทุกครั้งเวลามีคนเข้าเยี่ยมชมเว็บไซต์ (อย่างไฟล์ header ของสคริปต์) แล้วโปรแกรมที่ว่าก็จะคอยเช็คว่า ลิงก์โฆษณายังอยู่ไหม ถ้าถูกลบไป ก็ให้สร้างใหม่ แบบนี้เหมือนฆ่าไม่ตาย จนกว่าเราจะหาโปรแกรมที่ว่านี้เจอและลบทิ้ง

(ที่แสบคือ โปรแกรมพวกนี้ซับซ้อนอยู่เหมือนกัน ที่เคยเจอคือ คนเขียนโปรแกรมเอาโค้ดทั้งหมด (เป็น PHP) ยัดลง string แล้วเข้ารหัสทั้งหมดเป็น base64 เก็บไว้ใน header ของ WordPress ซึ่งจะมีโค้ดเล็กๆ decode string ที่ว่ากลับมา แล้วจับเข้า eval() เพื่อรัน — พอเป็นแบบนี้แล้ว การจะใช้คีย์เวิร์ดเพื่อค้นหา string ของ url ที่เราคิดว่าเป็นปัญหา ก็เลยแทบเป็นไปไม่ได้ เพราะมันถูกเข้ารหัสไปแล้ว)

ทางที่ดีก็คือว่า พอรู้ว่าระบบถูกเจาะ ก็ต้องทำการตรวจสอบระบบทั้งหมด อย่าให้เหลือที่ที่น่าสงสัย จากนั้นก็ลงแพตซ์หรือตัวอัปเดตต่างๆ ให้ครบถ้วน และปิดบริการ ปิดพอร์ต ปิดช่องทางที่ไม่ได้ใช้งานทิ้งไป เพื่อให้เหลือช่องทางที่จะถูกเจาะได้น้อยลง

บางทีบนเซิร์ฟเวอร์ที่ให้บริการเว็บไซต์อันนึง มีบริการอื่นๆ อะไรไม่รู้เปิดอยู่อีกเป็นสิบๆ อย่าง ทั้งๆ ที่ไม่ได้ใช้ แบบนี้ก็เสี่ยง เหมือนยิ่งมีประตูเข้าบ้านเยอะ ก็ยิ่งเสี่ยง โอกาสที่กุญแจของประตูบานใดบานหนึ่งจะเสียมันก็มากขึ้นตามจำนวนประตู ก็ต้องปิดตายประตูพวกนี้ไปเลย อย่าปล่อยไว้เป็นความเสี่ยง

กรณีอย่างเว็บเซิร์ฟเวอร์นี่ หลายครั้งถูกเจาะผ่านทาง FTP — FTP เป็นซอฟต์แวร์ตัวหนึ่งที่ใช้ในการรับส่งไฟล์เข้าเซิร์ฟเวอร์ แต่มันออกแบบมานานมากแล้ว รุ่นแรกนี่เกิน 40 ปี ระบบความปลอดภัยก็ไม่ได้ทันสมัย ไม่มีการเข้ารหัส รหัสผ่านก็ถูกดักฟังง่าย เว็บโฮสต์เดี๋ยวนี้หลายที่เลยจะไม่ยอมเปิดให้ใช้ FTP แล้ว ตัดปัญหา (ไล่ให้ไปใช้ SCP หรือ SFTP แทน ซึ่งปลอดภัยกว่า)

ได้ข่าวว่ากระทรวงจะจัดซื้อเซิร์ฟเวอร์ใหม่เพื่อแก้ปัญหา ก็ต้องย้ำว่า การเปลี่ยนอุปกรณ์หรือซอฟต์แวร์ใหม่หมด อาจจะทำได้เร็ว และเหมือนแก้ปัญหาได้ทันที แต่จริงๆ ถ้าผู้ดูแลระบบยังคงไม่ใส่ใจดูแลปรับปรุงซอฟต์แวร์ให้ใหม่อยู่เสมอ ไม่ขยันติดตามข่าวสารเพื่ออุดช่องว่างของระบบอย่างต่อเนื่อง ก็อาจจะกลับมาโดนเจาะได้อีกอยู่ดี

เป็นการแฮ็ก ?

มันก็เป็นไปได้ว่า ไม่ใช่การแฮ็กที่เซิร์ฟเวอร์ ไม่ใช่การเจาะเข้าที่ไปเซิร์ฟเวอร์ แล้วเอาลิงก์เหล่านี้ไปวาง

แต่ลิงก์เหล่านี้ถูกวางในเครื่องของคนออกแบบเว็บ คนเขียนโปรแกรมเว็บ โดยใครหรือโปรแกรมอะไรสักอย่าง แล้วก็เป็นนักออกแบบหรือโปรแกรมเมอร์ที่มีสิทธิเข้าถึง(บางส่วนของ)เซิร์ฟเวอร์ได้เป็นปกตินี่แหละ เป็นคนเอาเข้าไปที่เซิร์ฟเวอร์เอง ไม่ได้มีการเจาะอะไรทั้งนั้น

คือเครื่องของคนออกแบบเว็บ อาจจะติดมัลแวร์หรือไวรัส แล้วเจ้ามัลแวร์นี่มันฉลาด สแกนเครื่อง หาว่ามีไฟล์อะไรหน้าตาเป็น .html .php ซึ่งเป็นประเภทไฟล์ที่คนนิยมใช้ทำเว็บ

พอมันก็เจอไฟล์พวกนี้ ก็จะแทรกลิงก์โฆษณานี้ลงไปในไฟล์ พอนักออกแบบเว็บ อัปโหลดไฟล์พวกนี้เข้าเซิร์ฟเวอร์ ลิงก์มันก็ติดไปด้วย

ถ้าเป็นแบบนี้ จริงๆ ตัวเว็บเซิร์ฟเวอร์ไม่ได้ถูกเจาะ ไม่ได้ถูกแฮ็ก แต่เป็นความประมาเลินเล่อของนักออกแบบ นักพัฒนาเว็บเอง ที่ปล่อยให้เครื่องตัวเองไม่สะอาด

ก็เลยมีโอกาสเป็นได้ทั้งสองอย่าง
1) เป็นการแฮ็ก (โดยคน หรือโดยโปรแกรมอัตโนมัติที่คอยสแกนหารูรั่ว)
2) ไม่ได้เป็นการแฮ็ก (แต่เครื่องนักออกแบบเว็บติดมัลแวร์)

หรือจะเป็นการจงใจเอาไปวางเองเลย ?

ก็เป็นไปได้ อย่างที่บอก มันมีแรงจูงใจทางเศรษฐกิจ คนทำก็อาจจะคิดว่าไม่มีใครมาตรวจสอบหรอก

พูดถึง backlink แล้วก็มีเรื่องน่าสนใจคือ บางทีจะเห็นบริษัทเอกชนเสนอตัวทำเว็บให้กับหน่วยงานรัฐฟรีๆ พอทำเสร็จ ก็จะทำแบนเนอร์ ทำลิงก์ โยงกลับไปเว็บตัวเอง ก็เป็นวิธีดันอันดับในเสิร์ชเอนจินตัวเองได้ด้วย

ข้อเสนอเพื่อการปรับปรุงความปลอดภัย ที่ไม่ใช่เรื่องซอฟต์แวร์และฮาร์ดแวร์

ข้อเสนอหนึ่งของผมคือ นอกจากผู้เจาะระบบ จะมีโทษทางอาญาตามพ.ร.บ.คอมพิวเตอร์แล้ว

ในกรณีนี้ ผู้ดูแลระบบ ซึ่งเป็นพนักงานของรัฐหรือข้าราชการ ก็ควรจะมีโทษทางวินัยด้วย ถ้าสามารถพิสูจน์ได้ว่าปล่อยปละละเลย เป็นกรณีสามารถป้องกันได้และอยู่ในอำนาจหน้าที่ แต่ไม่ยอมป้องกัน

คือในฐานะเจ้าหน้าที่รัฐซึ่งมีหน้าที่ มันไม่ใช่แค่ว่า ทำอะไร แล้วถึงจะผิดได้ มันมีเรื่องที่ ถ้าไม่ทำ ละเลย แล้วก็มีความผิดได้ด้วย เพราะมันอาจเกี่ยวกับความเสียหายของสาธารณะของประชาชนได้ เช่นข้อมูลส่วนบุคคลของประชาชนที่อยู่ในเซิร์ฟเวอร์เดียวกัน (ซึ่งโดยหลักการก็ควรจะแยกเก็บต่างหากอะนะ) เกิดรั่วไหล

แบบนี้ถ้ามีความเสียหายเกิดขึ้น ก็ต้องมีคนรับผิดชอบ ทั้งระดับตัวบุคคลและระดับหน่วยงาน

สำหรับผู้ดูแลระบบเอกชน อันนี้ก็แล้วแต่นโยบายบริษัท อาจจะถูกประเมินเป็นต้น

มันต้องมีมาตรการอะไรแบบนี้ด้วย ไม่ใช่ว่าคนผิดคือเฉพาะคนเจาะ เหมือนเราจ้างบริษัทรักษาความปลอดภัยมาเฝ้าบ้าน ถ้าเขาเอากุญแจล็อกห่วยๆ มาล็อกบ้านให้เรา หรือยามดันหลับ กล้องวงจรปิดก็ดันใช้งานไม่ได้ ฯลฯ เราควรจะเรียกร้องค่าเสียหายกับบริษัทรักษาความปลอดภัยได้ด้วย เขาต้องมีความรับผิดในบางระดับ ไม่งั้นจะจ้างมาทำไม ถ้าไม่ต้องรับผิดอะไรเลย

ทำแบบนี้เพื่อสร้างแรงจูงใจ ให้ต้อง take best efforts ทำให้ดีที่สุดสำหรับงานในหน้าที่

ปีที่แล้วเพิ่งมีกรณีที่ธนาคารแห่งหนึ่งในสหรัฐ ตกลงจ่ายเงินยอมความ หลังถูกลูกค้าฟ้องว่าระบบรักษาความปลอดภัยของธนาคารนั้นไม่ได้เรื่อง “ต่ำกว่ามาตรฐานในธุรกิจเดียวกัน” และเป็นเหตุให้ลูกค้าต้องเสียเงินในบัญชี

อัปเดตคืนวันที่ 24 ม.ค. 2556: ล่าสุดคณะกรรมการข้อมูลข่าวสารของสหราชอาณาจักร สั่งปรับบริษัทโซนี่ 250,000 ปอนด์ หรือเกือบ 11.8 ล้านบาท (ค่าปรับสูงสุดตามกฎหมายคือ 500,000 ปอนด์) เพื่อลงโทษที่โซนี่ไม่มีระบบรักษาความปลอดภัยที่ดีพอ จนทำให้เซิร์ฟเวอร์ถูกเจาะ ข้อมูลส่วนตัวและรหัสผ่านของลูกค้าที่เป็นสมาชิกเครือข่ายเกมออนไลน์กว่าล้านรายถูกขโมย

ในการให้การต่อศาล อาจารย์มหาวิทยาลัยผู้เชี่ยวชาญด้านความมั่นคงของระบบคอมพิวเตอร์รายหนึ่ง ให้การว่าซอฟต์แวร์เว็บเซิร์ฟเวอร์ที่โซนี่ใช้กับเครือข่ายเกมดังกล่าวนั้นไม่ได้ติดตั้งแพตช์ (ตัวปรับปรุงซอฟต์แวร์เพื่อแก้ไขปัญหา) อีกทั้งระบบยังไม่ได้ติดตั้งไฟร์วอลล์เพื่อป้องกันการโจมตีอีกด้วย

ที่แย่กว่านั้นคือ มีคนพูดเรื่องนี้ในเว็บบอร์ดสาธารณะแห่งหนึ่ง ที่พนักงานของโซนี่ก็คอยติดตามอยู่ ซึ่งแปลว่ามีคนของโซนี่รู้ปัญหา แต่ไม่ได้ดำเนินการแก้ไขป้องกันให้เหมาะสม

ผู้อำนวยการด้านการคุ้มครองข้อมูล ในคณะกรรมการข้อมูลข่าวสารฯ กล่าวว่า “ถ้าคุณรับผิดชอบรายละเอียดของบัตรจ่ายเงินและรายละเอียดสำหรับการเข้าสู่ระบบจำนวนมากมาย การรักษาความปลอดภัยให้กับข้อมูลบุคคลจำเป็นจะต้องเป็นสิ่งที่ได้รับความสนใจก่อนสิ่งอื่นๆ” (If you are responsible for so many payment card details and log-in details then keeping that personal data secure has to be your priority.)

กฎหมาย Data Protection Act ของสหราชอาณาจักร ระบุว่าผู้ดูแลข้อมูลมีหน้าที่รักษาข้อมูลให้ปลอดภัย ต้องมีการตรวจสอบระบบ (audit) และประเมินความเสี่ยง นอกจากนี้ต้องมีมาตรการรับมือเร่งด่วนหากพบว่ามีการรั่วไหลของข้อมูล ดังได้ประกาศไว้ในหลักการข้อที่ 7 ของการคุ้มครองข้อมูล

(ใครสนใจกฎหมายฉบับนี้ ลองดูรายงานการศึกษาโดย พงศ์ศักดิ์ ยอดมณี ที่เสนอต่อคณะกรรมการพัฒนากฎหมาย สำนักงานคณะกรรมการกฤษฎีกา)

แปลว่าจะเอาผู้ดูแลระบบไปเข้าคุก ?

ไม่ใช่ครับ

คือมันมี 2 เรื่อง
1) กรณีไหนที่ต้องรับผิดมั่ง กรณีไหนยกเว้นได้
2) ถ้าต้องรับผิดมีโทษ ควรเป็นโทษทางอาญา ทางแพ่ง ทางวินัย ทางสัญญาจ้าง ทางไหนมั่ง

ผมชอบเทียบกับการสร้างตึก ถ้าวิศวกรออกแบบมาดีหมดทุกอย่างแล้ว จะสร้างที่กรุงเทพนะ ย้อนหลังไป 30 ปี ไม่เคยมีประวัติแผ่นดินไหวเกิน 6 ริกเตอร์ สมมติ เขาก็ออกแบบไว้เผื่อตามหลักวิชาการเท่าที่จำเป็น ปรากฏวันดีคืนดี แผ่นดินไหวกรุงเทพ 8 ริกเตอร์ว่ะ พังหมด เขาก็ไม่น่าจะต้องรับผิดชอบ คือได้ทำดีที่สุดในเงื่อนไขที่คาดการณ์ล่วงหน้าได้ตามวิสัยมนุษย์ ตามหลักวิชาแล้ว

แต่ถ้าตรวจสอบแล้วพบว่าจริงๆ มันพังเพราะออกแบบไม่ดี อันนี้ก็ต้องรับผิด

กลับมากรณีเว็บเซิร์ฟเวอร์ ถ้าพิสูจน์ได้ว่า ลงแพตช์มันหมดแล้วเท่าที่ทำได้ พอร์ตต่างๆ ที่ไม่ได้ใช้ก็ปิดแล้ว ทำดีที่สุดแล้ว ถ้ายังโดนเจาะอยู่ ก็ถือว่าสุดวิสัยไหม ไม่ต้องรับผิด

แต่ถ้าพบว่า เออ ปล่อยปละละเลยจริง ซกมกมากในเซิร์ฟเวอร์ ก็ควรจะต้องรับผิดอะไรหน่อยไหม — ไม่ใช่ในทางอาญา แต่เป็นทางวินัยหรืออะไรที่เทียบเคียงได้ แบบที่เสนอไปก่อนหน้า

กฎหมายที่เกี่ยวกับคอมพิวเตอร์มันต้องมาทำงานเรื่องนี้ครับ เป็นอาชญากรรมคอมพิวเตอร์จริงๆ เป็นการคุ้มครองข้อมูลจริงๆ เป็นความปลอดภัยความมั่นคงของประชาชนของสาธารณะจริงๆ ไม่ใช่ทำแต่เรื่องหมิ่นกษัตริย์ หรืออ้าง “ความมั่นคงของชาติ” ลอยๆ เอาจุดประสงค์นั้นมาปนกับกฎหมายอาชญากรรมคอมพิวเตอร์ จนกฎหมายมันออกมาพิกลพิการ ถูก abuse เอาไปใช้เล่นงานศัตรูทางการเมือง ที่แย่ก็คือ กิจกรรมที่ว่ามาทั้งหมดกินทรัพยากรไปจากที่ควรจะเอามาปราบปรามอาชญากรรมคอมพิวเตอร์และปกป้องผู้ใช้คอมพิวเตอร์จริงๆ

(รวบรวมจากที่ตอบนักข่าวจากไทยพีบีเอสและเนชั่นทางเฟซบุ๊กและอีเมล กับที่คุยกับ @mormmam @warong และชวนคุยในกรุ๊ป thainetizen บนเฟซบุ๊ก)

—-

สนใจติดตามข่าวสารทำนองนี้ เชิญได้ที่เฟซบุ๊ก ทวิตเตอร์ ฯลฯ ของเครือข่ายพลเมืองเน็ตครับ 🙂
เฟซบุ๊กเพจ https://www.facebook.com/thainetizen
เฟซบุ๊กกรุ๊ป https://www.facebook.com/groups/thainetizen
ทวิตเตอร์ https://twitter.com/thainetizen
เว็บไซต์ https://thainetizen.org

สืบพยานคดีสื่อ-คอมพิวเตอร์ กันยายน 2554 @ ศาลอาญา รัชดา

เดือนกันยา 2554 นี้ ที่ศาลอาญา รัชดา (MRT ลาดพร้าว) มีสืบพยานคดีที่เกี่ยวกับกฎหมายสื่อตลอดทั้งเดือน (เลยไปถึงตุลา) รวม 3 คดี ดังนี้

  • คดี “ประชาไท” (พ.ร.บ.คอมพิวเตอร์ มาตรา 14, 15) :
    1-2, 6-9, 20-21 ก.ย. [สืบพยานโจทก์ต่อ] + 11-14 ต.ค. [สืบพยานจำเลย]
  • คดี “เอกชัย ขายซีดี” (พ.ร.บ.ภาพยนตร์และวีดิทัศน์ มาตรา 4 , 54 , 82 และประมวลกฎหมายอาญา มาตรา 112) :
    19 ก.ย. [นัดตรวจพยานหลักฐาน]
  • คดี “ลุง SMS” (พ.ร.บ.คอมพิวเตอร์ มาตรา 14(2), 14(3) และประมวลกฎหมายอาญา มาตรา 112) :
    23, 27-28 ก.ย. [สืบพยานโจทก์] + 29-30 ก.ย. [สืบพยานจำเลย]

ดูปฏิทินนัดสืบพยานได้ที่เว็บไซต์ iLaw http://ilaw.or.th/calendar/2011-09

ติดตามความเคลื่อนไหวของคดีได้ทางเว็บไซต์ เครือข่ายพลเมืองเน็ต และ ไอลอว์

ภาษาอังกฤษที่ FACT และ Siam Voices

ทวิตเตอร์ @thainetizen, @iLawClub, @Saksith, humanrightsSEA, และ hashtag #ThaiCCA (Thai Computer-related Crime Act)

แบบสำรวจความคิดเห็นเกี่ยวกับกติกาในโลกออนไลน์

แบบสำรวจโดยโครงการกฎหมายคอมพิวเตอร์ภาคประชาชน My Computer Law ครับ

คุณคิดว่ากฎกติกาของอินเทอร์เน็ตควรเป็นอย่างไร ?
เชิญร่วมแสดงความคิดเห็นในแบบสำรวจ คำถามมีทั้งหมด 6 ข้อ ใช้เวลา 2-10 นาที
ผลสำรวจที่จะเปิดเผยสู่สาธารณะ จะเป็นสถิติภาพรวมที่ระบุตัวตนผู้ตอบไม่ได้

คลิกที่นี่เพื่อทำแบบสำรวจ

สาวตรี สุขศรี: ว่าด้วยหลักกฎหมายอาญาและพ.ร.บ.คอมพิวเตอร์ 2550

อาจารย์กฎหมายตอบคำถาม ว่าด้วยหลักการบัญญัติกฎหมายอาญา และพ.ร.บ.คอมพิวเตอร์ฉบับปัจจุบัน (2550) มีอะไรพิเศษไปกว่ากฎหมายอาญาทั่วไป ?

  • อาชญากรรมคอมพิวเตอร์กับอาชญากรรมอินเทอร์เน็ตมันต่างกันยังไง ?
  • อะไรคือ “ความมั่นคง” ในมาตรา 14 (2) ?
  • โทษของตัวกลางในมาตรา 15 ทำไมจึงไม่เป็นไปตามมาตรฐานโทษอาญาทั่วไป ?
  • อะไรคือหลักความยืดหยุ่น ที่บอกว่าต้องใช้กับกฎหมายเทคโนโลยี ?
  • อะไรคือลำดับของหลักปฏิบัติทางกฎหมาย ? กรณีมาตรา 20 (ปิดกั้นเว็บไซต์)

บทสัมภาษณ์ สาวตรี สุขศรี อาจารย์นิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์:
ชำแหละพ.ร.บ.คอมพิวเตอร์ 2550 – ผิดหลักบัญญัติกฎหมายหรือไม่ ?

@MyComputerLaw

อาญาไม่พ้นเกล้า – อาชญากรรมทางความคิด

[David] Streckfuss says a number of possible solutions in the form of “braking mechanisms” on lèse majesté cases have been discussed by some academics. They include possibly requiring cases to be approved by the Bureau of the Royal Household before going to court, bringing the law in line with standard libel laws, as well as reducing sentences. “The problem with proposing reform is that anyone who proposes it also runs the risk of being accused of disloyalty — or actually being charged with lèse majesté,” says Streckfuss. The challenge for Thailand’s leaders is to find the courage to allow open, reasoned and respectful debate in order to preserve what they are so determined to defend.

[เดวิด] สเตร็คฟัส กล่าวว่านักวิชาการบางคนได้ถกเถียงหารือกันถึงทางออกที่เป็นไปได้จำนวนหนึ่ง ที่สามารถใช้เป็น “กลไกกลั่นกลอง” การฟ้องคดีหมิ่นประมาทกษัตริย์ได้. ทางออกเหล่านี้รวมถึง การที่การฟ้องศาลต้องได้รับการอนุมัติจากสำนักพระราชวังก่อน, การรวมกฎหมายดังกล่าวเข้ากับกฎหมายหมิ่นประมาทมาตรฐาน, และการลดโทษลง*. “ปัญหาของการเสนอการปฏิรูปก็คือ ไม่ว่าก็ตามที่เสนอการปฏิรูป จะตกอยู่ในความเสี่ยงที่จะถูกกล่าวหาว่าไม่จงรักภักดี — หรือถูกฟ้องด้วยกฎหมายหมิ่นประมาทกษัตริย์เสียเอง” สเตร็คฟัสกล่าว. ความท้าทายของบรรดาผู้นำประเทศไทยก็คือ การรวบรวมความกล้าหาญ ที่จะเปิดให้มีการถกเถียงอย่างเปิดเผย ด้วยเหตุผล และด้วยความเคารพกัน เพื่อที่จะรักษาสิ่งที่พวกเขามุ่งมั่นเหลือเกินที่จะปกป้อง.

จากบทความ What’s Behind Thailand’s Lèse Majesté Crackdown? โดย Robert Horn. TIME, 2 มิ.ย. 2554.

* โทษปัจจุบันคือ จำคุกขั้นต่ำ 3 ปี สูงสุด 15 ปี และเจ้าหน้าที่/ศาลมักอ้างเหตุว่า เนื่องจากโทษสูง จึงให้ประกันตัวไม่ได้ ทำให้ผู้ถูกกล่าวหาในคดีนี้ส่วนใหญ่ ไม่ได้รับการประกันตัว — effectively, การฟ้องใครก็ตามด้วยข้อหานี้ จะมีโอกาสเอาเขาคนนั้นเข้าไปอยู่ในที่คุมขังได้มาก เว้นแต่ว่าผู้ถูกกล่าวหาเป็นคนมีชื่อเสียง high profile หน่อย อันนี้ก็จะได้รับ “การยกเว้น” ให้ประกันตัวได้

ซึ่งมันน่าเศร้า ที่เราจำเป็นต้องใส่ “เครื่องหมายคำพูด” ครอบคำว่า /การยกเว้น/ เพราะสิทธิในการได้รับการประกันตัว เป็นสิทธิขั้นพื้นฐานที่ผู้ถูกกล่าวหาทุกคนควรจะต้องได้รับการพิจารณา — ไม่ใช่ว่า ตั้งให้ไม่ได้ประกันเป็น default แล้วได้ประกันเป็น exception ได้ประกันทีนึงผู้ถูกกล่าวหาต้องขอบคุณศาล ต้องตื้นตันนายก หรือรัฐบาลเอาไปอวดในที่ประชุมนานาชาติว่า “นี่ไง ๆ คดีนี้เขาได้ประกันนะ เห็นไหม ๆ” (โดยทำเป็นลืมคดีที่เหลือส่วนใหญ่ ซึ่งไม่ได้ประกัน)

สิ่งที่เราควรจะทำ คือเลิกโทษอาญาที่ไม่สมเหตุผลต่าง ๆ ทั้งหมดเสีย เลิกโทษอาญาหมิ่นประมาท เลิกโทษอาญาละเมิดลิขสิทธิ์ เลิกโทษอาญาคดีเกี่ยวกับการแสดงความคิดเห็น ให้เหลือแต่โทษทางแพ่ง เปิดโอกาสให้มีการยอมความไกล่เกลี่ยและเยียวยา

นิยามปลอมของ “ข้อมูลคอมพิวเตอร์อันเป็นเท็จ” ?

จากกรณี ปรียนันท์ ล้อเสริมวัฒนา นักกิจกรรมด้านสิทธิผู้ป่วย ถูกแจ้งข้อกล่าวหาว่า “นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ” ตามมาตรา 14 (1) ของพ.ร.บ.คอมพิวเตอร์ โดยข้อมูลคอมพิวเตอร์ที่ถูกกล่าวหาเป็นข้อมูลสถิติคนไข้ที่เสียชีวิตเและภาพความผิดพลาดในการรักษา ซึ่งใช้ในการรณรงค์ร่างพ.ร.บ.คุ้มครองผู้เสียหายจากการรับบริการสาธารณสุข ผมมีข้อสังเกตเกี่ยวกับมาตราดังกล่าวดังนี้

[English Brief] May 22, 2011. Thai patient rights activist Preeyanan Lorsermvattana of Thai Medical Error Network (TMEN) was accused of “forging computer data”. The data in question is from the Network’s campaign to support Medical Malpractice Victims Protection Bill. — My take: It could be a false data, but it’s not a “forged computer data” in a strict sense. Forged computer data is a computer data, like IP address, that is forged. Not a forged data of anything that happens to be in the computer storage. This is an abuse of Computer-related Crime Act. Updated 22:18: While my interpretation of “forged computer data” should be already correct, but Article 14 (1) includes both “forged computer data” and “false computer data” … dammit. Updated 23:00: @tewson points out that “false computer data” was only included later in the last revision of the Article.

มาตรา 14 (1) ของพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ระบุว่า:

มาตรา 14 ผู้ใดกระทําความผิดที่ระบุไว้ดังต่อไปนี้ ต้องระวางโทษจําคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจําทั้งปรับ
(1) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน

ความเห็นผมคือ “ข้อมูลคอมพิวเตอร์ปลอม” และ “ข้อมูลคอมพิวเตอร์อันเป็นเท็จ” ตาม มาตรา 14 (1) นี้ น่าจะหมายถึงเฉพาะ ข้อมูลทางคอมพิวเตอร์ ไม่ใช่ข้อมูลอะไรก็ได้ที่เก็บอยู่ในระบบคอมพิวเตอร์

คือเป็นข้อมูลทางคอมพิวเตอร์ที่ทำขึ้นเพื่อให้ระบบคอมพิวเตอร์เข้าใจผิดหรือเพื่อให้ระบบคอมพิวเตอร์ทำงานผิดพลาดเสียหาย เช่น ที่อยู่อินเทอร์เน็ตปลอม (แบบใน IP address spoofing) หัวอีเมลปลอม หรือ โค้ดโปรแกรมปลอม ที่จะทำให้ระบบคอมพิวเตอร์ทำงานผิดพลาด หรือทำให้ระบบมีช่องโหว่ทางความปลอดภัยจนถูกเจาะระบบได้ เป็นต้น

อัปเดต 22:18: คุยกับ @pruet และ @sawatree มีความเห็นว่า ตามเจตนารมณ์กฎหมาย “ข้อมูลคอมพิวเตอร์อันเป็นเท็จ” (false computer data) ก็คือ ข้อมูลเท็จที่อยู่ในระบบคอมพิวเตอร์ ส่วนที่ผมอธิบายไปนั้น เป็นเฉพาะนิยามของ “ข้อมูลคอมพิวเตอร์ปลอม” (forged computer data) — มาตรา 14 (1) ระบุทั้งสองอัน … เฮ่อ (ผมคิดว่า กฎหมายคอมพิวเตอร์ ควรจะมีเฉพาะเรื่อง forged computer data เท่านั้น ส่วนเรื่อง false data มันมีกฎหมายอื่นใช้ได้อยู่แล้ว ทั้งอาญาและแพ่งพาณิชย์)

อัปเดต 23:00: @tewson แจ้งมาว่า ความผิดเกี่ยวกับ “ข้อมูลคอมพิวเตอร์อันเป็นเท็จ” นั้น ถูกเพิ่มเข้ามาทีหลัง ในการแก้ไขครั้งสุดท้ายของมาตรา 14 นี้ (เดิมเป็นมาตรา 13) เดิมนั้นไม่มี

Computer Packet Pattern

กรณีของ ข้อมูลปลอม หรือ ข้อมูลอันเป็นเท็จ ไม่ว่าจะไปปรากฏอยู่ในระบบคอมพิวเตอร์หรือที่ไหนก็ตาม ไม่ควรจะใช้กฎหมายมาตรานี้

เป็นไปได้ว่า ในการรณรงค์ดังกล่าว อาจมีข้อมูลที่ไม่ตรงกับข้อเท็จจริง ถ้ากลุ่มแพทย์ที่คัดค้านร่างพ.ร.บ.ฯดังกล่าว ไม่ปราถนาจะพูดคุยทำความเข้าใจกับกลุ่มที่สนับสนุน ต้องการจะดำเนินการฟ้องร้อง ก็ควรจะใช้ข้อกฎหมายที่มันเหมาะสม ไม่ใช่เลือก “ตามความสะดวก” ของผู้กล่าวหา หรือเลือกตาม “ความไม่สะดวก” ของผู้ถูกกล่าวหา

ความแย่ของการนำเอาพ.ร.บ.คอมพิวเตอร์มาใช้แบบนี้ อย่างหนึ่งก็คือ เนื่องจากข้อมูลในอินเทอร์เน็ตนั้น สามารถไปปรากฏบนจอคอมพิวเตอร์ที่ไหนก็ได้ในประเทศ ทำให้ผู้กล่าวหาสามารถแจ้งความกับสถานีตำรวจได้ทั่วประเทศ ในกรณีนี้ปรียนันท์ต้องเดินทางจากบ้านที่กรุงเทพ ไปรับทราบข้อกล่าวหาที่จังหวัดสุรินทร์ (ลักษณะเดียวกับกรณีของ จีรนุช เปรมชัยพร ที่ต้องเดินทางไปให้การที่จังหวัดขอนแก่น)

ถ้าเราปล่อยให้มีการใช้กฎหมายผิดฝาผิดตัวแบบนี้ไปเรื่อย ๆ พ.ร.บ.คอมพิวเตอร์ จะกลายเป็นกฎหมายปิดปากครอบจักรวาลโดยสมบูรณ์แบบ ทั้งใช้เป็นกฎหมาย 112 หมิ่นเดชานุภาพ หมิ่นประมาท จับ ยึด ค้น หยุดการวิพากษ์วิจารณ์ทุกชนิด


* ภาพประกอบโดย Patrick Hoesly สัญญาอนุญาตครีเอทีฟคอมมอนส์ CC by