Visualizing power relations of actors (in Data Protection Bill)

วาดกราฟความสัมพันธ์ระหว่างผู้กระทำ (actor) ในกฎหมาย

This whole week I will participate in Internet Policy and Advocacy: Research Methods Workshop for South and Southeast Asia Actors at National Law University Delhi. (Nice way to spend my Songkran :p)

Shown at the bottom of this post is a presentation that I gave yesterday during the Case Study 1: The Power of Mapping Stakeholders, Decision Makers, and Implementers in Thailand’s Cyber Policy session, where we discussed examples of visualizing bills in graph (noun –verb-> noun), how this method can quickly reveal unbalanced power relations of actors(-to-be), and show why data protection mechanism in the current bill is probably structurally designed to fail.

Of course, the examples only rely on one type of source (written laws). Ideally, incorporating also data from other types of source (actual enforcement, unspoken rules, policy ethnographies, etc.) is encouraged, for a more complete picture.

Examples included Data Protection Committee relationships with National Cybersecurity Committee, Data blocking/removal mechanism from Article 20 of 2017 Computer-related Crime Act, media control after the 2014 Coup (NCPO Announcements and Orders), and the Ministry of ICT under NCPO structure.

Actor --Action-> Actor

Draw.io is a nice online drawing tool that you may like to try. No installation is required. Graph can also be drawn in a descriptive way using tools like GraphvizGephi and NodeXL.

คุยกับกระทรวงดิจิทัลเรื่องร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

เมื่อวานไปสำนักงานปลัดกระทรวงดิจิทัล ให้ข้อมูลเรื่องร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีหลายประเด็นที่เขาคุยกันในที่ประชุม ก็ไล่ไปตามหัวข้อที่ทางกระทรวงเขากำหนดมา ในช่วงท้ายก่อนจบเขามีเปิดให้พูดถึงประเด็นอื่นที่เป็นห่วงด้วย

เรื่องที่คุยกัน เช่น

  • ควรเพิ่มนิยามของคำว่า “ผู้ประมวลผลข้อมูล” (data processor) หรือไม่ แตกต่างจาก “ผู้ควบคุมข้อมูล” (data controller) อย่างไร
  • อะไรคือ Legitimate Interests ที่จะอนุญาตให้ผู้ควบคุมข้อมูลสามารถประมวลผลข้อมูลได้แม้ไม่ตรงตามวัตถุประสงค์ที่เจ้าของข้อมูลให้ความยินยอมไว้เมื่อคราวที่เก็บรวบรวมข้อมูล
  • มีความต้องการนำข้อมูลไปวิเคราะห์ (เช่นในลักษณะ Big Data) หากได้ทำให้ข้อมูลเชื่อมโยงกลับมาระบุตัวบุคคลไม่ได้แล้ว ยังจะต้องขอความยินยอมอีกหรือไม่ (เรื่องนี้เคยพูดไปบ้างแล้ว โดยยกตัวอย่างข้อมูลสุขภาพ อ้างงานของ Sweeney (2000))
  • จะทำอย่างไรกับข้อมูลที่เก็บรวบรวมมาก่อนกฎหมายคุ้มครองข้อมูลประกาศใช้ – ให้ใช้ต่อไปได้เลยโดยไม่ต้องขอความยินยอมใหม่? หรือต้องขอใหม่? หรือกำหนดระยะผ่อนผันให้ใช้ได้ไประยะเวลาหนึ่ง แต่ถ้าพ้นช่วงนี้แล้วไม่ได้รับความยินยอมใหม่ ก็ต้องหยุดใช้และทำลายข้อมูลทิ้ง?
  • การกำหนดข้อยกเว้นหรือกำหนดให้กิจการใดที่ไม่อยู่ใต้บังคับของกฎหมายนี้
  • หลักการของ EU General Data Protection Regulation และ APEC Privacy Framework รวมถึง APEC Cross Border Privacy Rules (CBPR) system

และมีอีกบางประเด็นที่ไม่ได้คุยระหว่างประชุม แต่กลับมาค้นเพิ่ม เช่นนิยาม “profiling” ของ GDPR และการพรางข้อมูล (data masking/data obfuscation)

เอกสารนี้รวมความคิดเห็นบางส่วนของผมที่ได้อภิปรายไปเมื่อวาน (4 เม.ย. 2560) และเขียนเพิ่มเติมเพื่อส่งให้กับทางกระทรวงเป็นเอกสารอีกครั้งในวันนี้ (5 เม.ย. 2560) การแบ่งหัวข้ออิงตามคำถามที่กระทรวงถามมา และเพิ่มบางประเด็นที่ผมเห็นว่าแม้ไม่ได้ถามก็ควรอธิบายประกอบไปด้วยเพราะสำคัญ เช่น การออกแบบโครงสร้างคณะกรรมการคุ้มครองข้อมูล ซึ่งผมมองว่าตามร่างปัจจุบันคณะกรรมการจะไม่เป็นอิสระและจะทำงานไม่ได้ดี

ข้อมูลประกอบการนำเสนอความเห็นและข้อเสนอแนะ แนวทางแก้ไขหรือปรับปรุง ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …. PDF | OpenDocument Text

ใครมีความคิดเห็นอะไรกับตัวร่าง (ขณะนี้ใช้ร่างฉบับที่สำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาแล้ว เรื่องเสร็จที่ 1135/2558ในการพิจารณา) ก็ส่งความคิดเห็นไปได้ที่ คณะทำงานร่างแก้ไขกฎหมาย กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม — ทางคณะทำงานแจ้งว่าทางเขามีกำหนดส่งเรื่องออกไปภายในเดือนเมษายนนี้ ก็เหลือเวลาอีกไม่มากแล้วครับ

กฎหมายคุ้มครองข้อมูลไทย จะเดินตามโมเดลไหนดี: สหภาพยุโรป หรือ เอเปค?

เวลาคุยกันว่า ประเทศไทยควรจะเลือกเดินตามหลักการคุ้มครองข้อมูลส่วนบุคคลของ EU (สหภาพยุโรป) หรือ APEC (ความร่วมมือทางเศรษฐกิจเอเชีย-แปซิฟิก) ก็มักจะมีคำอธิบายว่า ของ EU นั้นเน้นเรื่องสิทธิมนุษยชน แต่ของ APEC มองเรื่องเศรษฐกิจนะ (แล้วโน้มน้าวโดยนัยว่า ไทยน่าจะมองเรื่องเศรษฐกิจก่อน ตอนนี้เศรษฐกิจแย่)

ผมก็เคยอธิบายแบบเร็วๆ อย่างนั้นเหมือนกันนะ คือในแง่ที่มามันก็น่าจะทำนองนั้น

แต่ไม่ได้หมายความว่ากรอบกฎหมายของ EU มันไม่ได้คำนึงถึงเรื่องเศรษฐกิจเลย มันก็คิดในทุกมิติ เศรษฐกิจก็เป็นหนึ่งในนั้น นวัตกรรม ความก้าวหน้าทางวิทยาศาสตร์ก็ใช่ (เอาจริงๆ ก็พอพูดได้ว่า EU นี่เริ่มต้นด้วยเหตุผลทางเศรษฐกิจ ย้อนไปสมัยประชาคมถ่านหินและเหล็กกล้าแห่งยุโรป)

เราไม่จำเป็นต้องเลือกอย่างใดอย่างหนึ่ง สิทธิมนุษยชนกับเศรษฐกิจทั้งสองอย่างนี้ไปด้วยกันได้ โดยเฉพาะเศรษฐกิจดิจิทัลที่มันต้องตั้งอยู่บนฐาน “ความไว้เนื้อเชื่อใจกัน”

ถ้าเอาเศรษฐกิจอย่างเดียวไม่สนสิทธิมนุษยชนเลย ลองดูอุตสาหกรรมอาหารทะเลสิ ตอนนี้เป็นยังไง พอจะโดนแบนจริงๆ ก็ต้องรีบมาทำให้มันได้มาตรฐานอยู่ดี ตลาดที่เสียไปแล้วบางส่วนก็เสียไปเลย

การมีมาตรฐานด้านสิทธิที่ดี ก็เพื่อให้คู่ค้าของเราไว้ใจเรา เชื่อใจเรา ว่าเราให้ความสำคัญกับคุณค่าที่เขาให้ความสำคัญ มันแยกกันไม่ขาด

….

อีกประเด็นคือ ของ EU ที่เราคุยกันเนี่ย อันนึงคือ General Data Protection Regulation (Regulation (EU) 2016/679) กับอีกอันคือ Directive (EU) 2016/680 ซึ่งทั้งคู่เพิ่งออกมาเมื่อปีที่แล้ว (2016 และจะมีผลบังคับใช้ในปี 2018)

ในขณะที่ APEC Privacy Framework ออกเมื่อปี 2005 (เริ่มร่างปี 2003 adopted ปี 2004 แต่ finalized ปี 2005)

ตอนปี 2005 นี่โลกเทคโนโลยีสารสนเทศเป็นอย่างไรบ้าง?

  • hi5 กำลังเริ่มเป็นที่นิยม (ตั้งปี 2004)
  • MySpace เป็นสื่อสังคมออนไลน์อันดับหนึ่ง (ตั้งปี 2003)
  • Facebook เพิ่งตั้งได้ปีเดียว (2004) แต่ยังจำกัดสมาชิกอยู่เฉพาะนักศึกษาในสหรัฐ (เปิดให้ลงทะเบียนทั่วไปปี 2006)
  • Gmail ก็เพิ่งเปิดให้บริการแบบจำกัดได้หนึ่งปีเหมือนกัน (2004) ต้องมี invite ถึงจะสมัครได้ และกว่าจะเปิดให้บริการทั่วไปก็ปี 2009
  • โทรศัพท์ “สมาร์ตโฟน” ในตอนนั้นคือ Nokia รุ่น 9300i (ประกาศพ.ย. 2005 วางขายจริง ม.ค. 2006) ระบบปฏิบัติการ Symbian 7.0S หน่วยความจำ 80 MB เบราว์เซอร์รองรับ HTML 4.01 กับ WML 1.3 ราคาเกือบสามหมื่น
  • ยังไม่มี iPhone (ออกปี 2007)
  • ยังไม่มี Google Android (กูเกิลซื้อบริษัทแอนดรอย์มาปี 2005 แล้วเอามาพัฒนาต่อ แล้วออกรุ่นแรกในปี 2008)
  • ยังไม่มี Line (ออกปี 2011)
  • ยังไม่มี Amazon Web Services (เริ่มปี 2006)

คือหยิบมือถือของเราขึ้นมาดูนี่ แทบไม่มีอะไรที่มีมาก่อนปี 2005 เลย หรือถ้ามีก็เปลี่ยนสภาพไปจนจำไม่ได้แล้ว พวกคอนเซปต์อย่าง cloud อะไรนี่ สมัยนั้นยังไม่มีการใช้อย่างแพร่หลายในทางการค้าเลย (เมื่อก่อนเรียกในชื่ออื่น เช่น utility computing)

ซึ่งพอเป็นแบบนี้ มันก็ลำบากอยู่เหมือนกัน ที่จะคาดหวังให้กรอบกฎหมายจากปี 2005 อย่าง APEC Privacy Framework มันจะมาเห็นประเด็นอะไรในปัจจุบันแบบละเอียดๆ คือสมัยนั้นมันยังไม่มี (เอาจริงๆ มันก็พอมี เช่น APEC Cross-border Privacy Enforcement Arrangement จากปี 2010 แต่เราไม่ยอมอ้างกัน ไปอ้างแต่ของเก่า)

ในขณะที่ตอนร่าง General Data Protection Regulation ของ EU มันก็มีกรณีศึกษาอะไรให้สรุปเป็นบทเรียนเยอะแล้ว โดยเฉพาะจากอุตสาหกรรมอินเทอร์เน็ตและการประมวลผลข้อมูลที่มันเปลี่ยนไปอย่างมากในทศวรรษที่ผ่านมา เขาเลยปรับปรุงออกมาแบบนี้

ถ้าไทยจะมีกฎหมายใหม่ ก็ควรคิดถึงอนาคตไหม ไม่ใช่เอาวิธีคิดจากเมื่อ 12 ปีที่แล้วมาใช้ ประกาศปุ๊บ ล้าสมัยทันที เสียเวลาไหม

 

ภาพประกอบ: Nokia 9300i จาก Nokia Museum

ออกแบบหน่วยงานคุ้มครองข้อมูลที่มีประสิทธิภาพ: บทเรียนจากสหภาพยุโรป

สรุปบางส่วนจากรายงานศึกษาเปรียบเทียบ Data Protection in the European Union: the role of National Data Protection Authorities (Strengthening the fundamental rights architecture in the EU II) ของ European Union Agency for Fundamental Rights [พ.ค. 2010]

วิธีปฏิบัติที่ดีที่สุด (best practices) สำหรับหน่วยงานคุ้มครองข้อมูล (Data Protection Authority) ว่าด้วยโครงสร้างขององค์กร, อำนาจ, ทรัพยากร, และความร่วมมือกับองค์กรอื่น

ในด้านหนึ่ง รัฐสมาชิกสหภาพยุโรปหลายแห่งได้มอบอำนาจเจาะจงบางประการและมอบอิสระอย่างสูงให้กับหน่วยงานคุ้มครองข้อมูล ในอีกด้านหนึ่ง หน่วยงานคุ้มครองข้อมูลก็ได้สร้างความร่วมมือกับผู้มีส่วนได้เสีย 3 ประเภท อันได้แก่ สถาบันของรัฐ หน่วยงานที่ไม่ใช่รัฐที่ทำงานแข็งขันในด้านนี้ และหน่วยงานคุ้มครองข้อมูลของรัฐสมาชิกอื่นๆ

โครงสร้างและความเป็นอิสระของหน่วยงานคุ้มครองข้อมูล

  • ความเป็นอิสระของหน่วยงานคุ้มครองข้อมูลเป็นปัจจัยที่ขาดไม่ได้ในการที่จะรับประกันว่าจะมีการคุ้มครองข้อมูลเป็นอย่างดี
  • ด้วยเหตุนี้ มาตรการในเชิงโครงสร้างสถาบัน เช่น การกำหนดลักษณะทางนิติบุคคลเป็นพิเศษสำหรับหน่วยงานกำกับดูแลข้อมูล (เช่นในสเปนและมอลตา) หรือการระบุลงไปในรัฐธรรมนูญถึงอำนาจและหน้าที่ (เช่นในรัฐธรรมนูญของโปรตุเกสและกรีซ) เป็นตัวอย่างที่ดีที่จะเพิ่มความเป็นอิสระของหน่วยงานกำกับดูแล
  • แม้การเลือกตั้งคณะกรรมการหรือผู้บริหารหน่วยงานคุ้มครองข้อมูล โดยฝ่ายนิติบัญญัติ (เช่นในเยอรมนีและในสโลเวเนีย) จะไม่ได้รับประกันเสมอไปว่าเจ้าหน้าที่หน่วยงานคุ้มครองจะมีความเป็นอิสระ แต่กระบวนการที่จำเป็นต้องให้มีฉันทามติระหว่างสมาชิกสภานิติบัญญัติเสียงข้างมากและฝ่ายค้าน (เช่นในกรีก) ก็ควรได้รับการพิจารณาว่าเป็นวิธีปฏิบัติที่ดีที่สุด
  • รัฐสมาชิกบางแห่งได้ออกแบบมาตรการลดอิทธิพลและแรงกดดันทางการเมือง เพื่อเป็นการรับประกันความเป็นอิสระของหน่วยงานคุ้มครองข้อมูล เช่นการกำหนดให้เจ้าหน้าที่ของหน่วยงานจะพ้นตำแหน่งก่อนกำหนดวาระได้ก็ต่อเมื่อประพฤติขัดกับหลักการที่ได้ระบุไว้ล่วงหน้า และก็ต่อเมื่อได้ผ่านกระบวนการเช่นเดียวกับที่ใช้ในตอนแต่งตั้งเท่านั้น (เช่นในสโลเวเนีย โปแลนด์)

อำนาจในการกำหนดระเบียบปฏิบัติของหน่วยงานคุ้มครองข้อมูล

  • วิธีปฏิบัติที่ดีที่สุดอีกอย่างหนึ่ง ที่จะรับประกันความเป็นอิสระของหน่วยงานคุ้มครองข้อมูล คือการที่หน่วยงานคุ้มครองข้อมูลมีสิทธิที่จะนำกฎหมายเข้าสู่ศาลรัฐธรรมนูญ เพื่อให้ศาลพิจารณาว่ากฎหมายดังกล่าวชอบด้วยรัฐธรรมนูญหรือไม่ (เช่นในสโลเวเนีย)
  • อำนาจของหน่วยงานคุ้มครองข้อมูลที่จะจัดเตรียมระเบียบปฏิบัติ (code of conduct) ก็เป็นวิธีปฏิบัติที่ดีเช่นกัน การมีส่วนร่วมในการร่างระเบียบปฏิบัติในการคุ้มครองข้อมูลนั้นไม่เพียงเพิ่มการคุ้มครองข้อมูลสำหรับประชาชน แต่ยังช่วยให้หน่วยงานคุ้มครองข้อมูลเป็นที่รู้จักและถูกมองเห็นในสังคม และหน่วยงานคุ้มครองข้อมูลควรเข้าร่วมกระบวนการนี้ในเชิงรุกอย่างแข็งขัน
  • ในไอร์แลนด์ กฎหมายมอบอำนาจให้กับหน่วยงานคุ้มครองข้อมูลส่วนบุคคลแห่งชาติในการเสนอและจัดเตรียมระเบียบปฏิบัติ ซึ่งถ้าหากได้รับความเห็นชอบจากฝ่ายนิติบัญญัติ ก็จะมีผลบังคับตามกฎหมาย (Ireland Data Protection Act [1988-2003], Section 13)

ทรัพยากร

  • นอกเหนือจากความเป็นอิสระและอำนาจที่จำเป็น หน่วยงานคุ้มครองข้อมูลจำเป็นต้องได้รับประกันว่าจะได้รับทรัพยากรมนุษย์และทรัพยากรทางการเงินที่จำเป็นอย่างเพียงพอ เพื่อให้สามารถบังคับใช้ระบบการคุ้มครองข้อมูลได้อย่างมีประสิทธิภาพ
  • ในรัฐสมาชิกส่วนใหญ่ หน่วยงานคุ้มครองข้อมูลได้รับการสนับสนุนทรัพยากรที่จำเป็นจากงบประมาณของรัฐ (เช่นในอิตาลี ฝรั่งเศส เนเธอร์แลนด์ และเอสโตเนีย) ซึ่งโดยมากจะอยู่ในงบประมาณกระทรวงยุติธรรม
  • อย่างไรก็ตาม ในบางรัฐสมาชิก หน่วยงานคุ้มครองก็สามารถหาทรัพยากรทางการเงินเพิ่มเติมได้อย่างมีนัยสำคัญ จากรายได้ที่ได้มาจากค่าแจ้งเตือนผู้ประมวลผลข้อมูล และ/หรือ จากค่าปรับที่เป็นตัวเงินที่มาจากการลงโทษการละเมิดกฎหมายคุ้มครองข้อมูล (เช่นในลักเซมเบิร์กและมอลตา)

ความร่วมมือระหว่างหน่วยงาน

  • ความร่วมมือและการสื่อสารอย่างสม่ำเสมอระหว่างหน่วยงานรัฐและหน่วยงานคุ้มครองข้อมูลจะทำให้ระบบการคุ้มครองข้อมูลโดยรวมทำงานอย่างราบรื่นยิ่งขึ้น
  • ในเยอรมนี โครงการอบรมขนาดใหญ่ดำเนินงานในรูปแบบโรงเรียนคุ้มครองข้อมูล ซึ่งได้พัฒนาหลักสูตรอบรมที่ครอบคลุมและเป็นระบบ สำหรับการบริหารงานปกครองในทุกด้าน
  • ความร่วมมือและการสื่อสารอย่างใกล้ชิดกับหน่วยงานที่ไม่ใช่รัฐ (เอ็นจีโอ) ที่ทำงานในด้านนี้ มีประโยชน์หลายประการ
  • ประการแรกคือ หน่วยงานที่ไม่ใช่รัฐหรือเอ็นจีโอนั้นอยู่ในฐานะที่จะสามารถส่งสัญญาณว่ามีการละเมิดกฎหมายคุ้มครองข้อมูลที่ชัดเจนหรืออย่างเป็นระบบ ให้หน่วยงานคุ้มครองข้อมูลหรือให้กับประชาสังคมได้รับทราบ ซึ่งเท่ากับว่าเราจะมีหน่วยงานกำกับดูแลที่ไม่ใช่รัฐเพิ่มเติมขึ้นมา ซึ่งในหลายกรณี การมีหน่วยงานที่ไม่ใช่รัฐเพิ่มขึ้นมานี้ ก็ช่วยให้การตรวจตราการคุ้มครองข้อมูลเป็นไปได้ครอบคลุมมากขึ้น
  • ประการที่สอง เอ็นจีโอนั้นทำให้มีช่องทางสื่อสาร ‘จากล่างขึ้นบน’ ซึ่งทำให้พลเมืองมีโอกาสที่จะเสนอการแก้ไขปรับปรุงกรอบกฎหมาย
    • จากมุมมองนี้ หน่วยงานคุ้มครองข้อมูลของฮังการีได้ช่วยเหลือและร่วมมือกับเอ็นจีโอหลายแห่ง ตัวอย่างเช่น ในปี 2000 หน่วยงานคุ้มครองข้อมูลได้ทบทวนแผนงานคุ้มครองข้อมูลสำหรับโครงการวิจัยสิทธิของชาวโรมา (ยิปซี) ซึ่งดำเนินงานโดยคณะกรรมการเฮลซิงกิฮังการี และในปี 2004 เจ้าหน้าที่ของหน่วยงานได้ร่วมกับสหภาพสิทธิพลเมืองฮังการีทำการทดสอบสถานพยาบาลจำนวนหนึ่งเพื่อดูว่าการตรวจเชื้อเฮชไอวีนั้นได้ทำไปอย่างเป็นนิรนามและไม่มีค่าใช้จ่ายจริงอย่างที่ได้ประกาศหรือไม่ และหลังจากนั้นก็ได้ออกข้อแนะนำซึ่งตั้งอยู่บนฐานของข้อค้นพบระหว่างการทดสอบดังกล่าว
  • ประการสุดท้าย ความร่วมมือและการสื่อสารอย่างสม่ำเสมอระหว่างหน่วยงานคุ้มครองข้อมูลของรัฐอื่นๆ ทั้งในและนอกสหภาพยุโรป ก็เป็นประโยชน์เช่นกัน
    • ในระดับสหภาพยุโรป สิ่งนี้ถูกทำให้เป็นจริงหลักๆ ผ่านทางคณะทำงานซึ่งก่อตั้งตามมาตรา 29 ของ Data Protection Directive เวทีนี้ทำให้มีสภาพแวดล้อมเชิงสถาบันที่จำเป็น เพื่อให้หน่วยงานคุ้มครองข้อมูลจากรัฐต่างๆ สามารถปรับประสานการใช้กฎหมายของตัวเองให้สอดคล้องเข้ากันได้กับรัฐอื่นๆ
    • ความร่วมมือแบบทวิภาคีและพหุภาคีก็เป็นเรื่องที่ควรส่งเสริมให้เกิด ทั้งในภายในสหภาพยุโรปและกับประเทศนอกสหภาพยุโรป ตัวอย่างที่ดีเช่นการที่โปรตุเกสกับสเปนมีการประชุมอย่างไม่เป็นทางการร่วมกันเป็นประจำทุกปี เพื่อพูดคุยเกี่ยวกับพัฒนาการที่สำคัญในการคุ้มครองข้อมูล

 

เรื่องที่เกี่ยวข้อง: ออกแบบอำนาจ: อ่านโครงสร้างคณะกรรมการในกฎหมายไทย

ออกแบบอำนาจ: อ่านโครงสร้างคณะกรรมการในกฎหมายไทย

ช่วงที่ผ่านมา นั่งดูร่างกฎหมายจำนวนหนึ่ง อย่างร่างพ.ร.บ.คอมพิวเตอร์ ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และร่างพ.ร.บ.กสทช. ก็เลยผ่านตาพวกที่มา คุณสมบัติ สัดส่วน ของคณะกรรมการนั่นนี่ตามกฎหมาย เลยขอโน๊ตที่สังเกตเห็นไว้ตรงนี้หน่อย จำนวนนึงเคยเขียนไว้บนเฟซบุ๊กแล้ว [1] [2] แต่อันนี้มาเขียนเพิ่ม และจะได้หาได้ง่ายๆ ด้วย เฟซบุ๊กมันหายาก (เขียนค้างมาจะสามเดือน เพิ่งจะเสร็จ…)

คำถามที่อยากค้นหาคือ เราจะดูตรงไหนได้บ้าง ว่าคณะกรรมการหนึ่งๆ มีที่มาและกระบวนการสรรหาที่เหมาะสม ไม่มีผลประโยชน์ทับซ้อน มีอิสระในการทำงาน มีอำนาจในการทำงาน และอำนาจนั้นมีกลไกตรวจสอบชัดเจน

ประเภทและที่มาของกรรมการ

กรรมการในคณะกรรมการนี่มีที่มาหลายได้แบบ เช่น

  • กรรมการที่สรรหามาเพื่อทำงานในคณะกรรมการนั้นโดยเฉพาะ — เป็นกรรมการที่ทำงานกรรมการให้กับคณะกรรมการนั้นๆ เต็มเวลา ห้ามทำงานอื่น (อาจจะด้วยเหตุผลเรื่องป้องกันผลประโยชน์ทับซ้อนด้วย) วิธีสรรหานั้นก็แล้วแต่กฎหมายจะกำหนด เช่น ให้สภาเลือกกรรมการสรรหามาคัดเลือกกรรมการอีกที หรือให้ตัวแทนสมาคมวิชาชีพและองค์กรที่เกี่ยวข้องเสนอตัวแทนเข้ามาเพื่อทำการคัดเลือกกันเอง ตัวอย่างของกรรมการที่ทำงานเต็มเวลาลักษณะนี้เช่น กรรมการกสทช. และกรรมการนโยบายไทยพีบีเอส
  • กรรมการโดยตำแหน่ง (ex officio) — เป็นกรรมการที่ผู้ร่างกฎหมายมองว่า โดยตำแหน่งงานประจำของเขาแล้วเกี่ยวข้องโดยตรงกับภารกิจของคณะกรรมการ ควรจะมาช่วยคิดช่วยทำในเรื่องนี้ด้วย ก็เลยใส่เข้ามา นั่นคือกรรมการแต่ละท่านเขาก็ทำงานเต็มเวลาที่อื่นอยู่ด้วย เช่น เป็นรัฐมนตรีกระทรวง เป็นปลัดกระทรวง เป็นอธิบดีกรม เป็นนายกสมาคมวิชาชีพ แต่ก็มาช่วยงานของคณะกรรมการด้วย กรรมการโดยตำแหน่งนี้ตามชื่อก็คือผูกอยู่กับตำแหน่ง ไม่ใช่ตัวบุคคล วันหนึ่งถ้ารัฐมนตรีกระทรวงเปลี่ยนเป็นคนใหม่ กรรมการโดยตำแหน่งก็จะเปลี่ยนตามไปเป็นคนใหม่ด้วย
  • กรรมการผู้ทรงคุณวุฒิ — เป็นกรรมการที่คณะกรรมการหรือรัฐมนตรีหรือผู้ที่กฎหมายให้อำนาจ แต่งตั้งเข้ามา เพราะต้องการความรู้ความเชี่ยวชาญหรือประสบการณ์เฉพาะบางอย่าง เช่น ด้านวิศวกรรม ด้านกฎหมาย ด้านเศรษฐศาสตร์ ด้านสิทธิมนุษยชน ด้านการคุ้มครองผู้บริโภค ก็ว่าไป หรืออาจจะต้องการให้มีสัดส่วนของผู้มีส่วนได้ส่วนเสียที่มันครบถ้วนขึ้น เช่นให้มีจากภาคเอกชนด้วย จากภาคประชาสังคมด้วย จากภาควิชาการด้วย กรรมการประเภทนี้อาจทำงานอยู่ที่อื่นด้วย
  • กรรมการเฉพาะกิจ — เป็นกรรมการที่ถูกเชิญมาเฉพาะการประชุมหนึ่งๆ เนื่องจากมีอำนาจหน้าที่เกี่ยวกับเรื่องที่กำลังจะพิจารณาหรือมีความรู้ความเชี่ยวชาญเกี่ยวข้อง กรรมการประเภทนี้โดยเหตุผลที่ถูกเชิญมาจะคล้ายกรรมการโดยตำแหน่ง (อำนาจเกี่ยวข้อง) หรือกรรมการผู้ทรงคุณวุฒิ (ความรู้เกี่ยวข้อง) แต่เป็นการเชิญมาเป็นครั้งคราวเท่านั้น

กรรมการที่ไม่ได้ทำงานเต็มเวลาให้กับคณะกรรมการ

ข้อจำกัดหนึ่งของกรรมการที่ไม่ได้ทำงานเต็มเวลา ไม่ว่าจะเป็นกรรมการโดยตำแหน่งหรือกรรมการผู้ทรงคุณวุฒิ ก็คือการไม่ได้ทำงานเต็มเวลานั่นแหละ ซึ่งถ้าเป็นคณะกรรมการที่มีขอบเขตงานกว้าง มีภารกิจหลายอย่าง มีภาระงานสูง หรือต้องตัดสินใจเรื่องละเอียดที่จะส่งผลกระทบเยอะ ต้องใช้เวลา ก็อาจจะทำได้ไม่เต็มที่

อย่างกรณีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (ฉบับจากปี 2558 ที่ผ่านการตรวจจากสำนักงานคณะกรรมการกฤษฎีกาแล้ว) ก็มีกรรมการโดยตำแหน่งและกรรมการผู้ทรงคุณวุฒิทั้งหมด ไม่มีกรรมการที่ทำงานเต็มเวลาเลย กระทั่งคนที่มารับตำแหน่งเลขานุการกรรมการเอง ก็ยังเป็นเลขานุการให้กับคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติอีกด้วย (เลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติเป็นเลขานุการของทั้งสองคณะกรรมการนี้โดยตำแหน่ง)

ตรงนี้ไม่ได้บอกว่ากรรมการที่ไม่ได้ทำงานเต็มเวลาไม่ดี แต่คงต้องพิจารณาอย่างน้อย 2 เรื่อง คือ 1) ภาระงาน 2) ความเป็นอิสระในการทำงาน — ถ้าคณะกรรมการไหนมีภาระงานเยอะและจำเป็นต้องมีความเป็นอิสระสูง กรรมการที่ทำงานได้เต็มเวลาและไม่ได้ผูกอยู่กับหน่วยงานอื่นก็น่าจะเหมาะกว่าเพราะมีเวลาทำงานได้เต็มที่มากกว่า และการตัดสินใจก็น่าจะทำได้เต็มที่มากกว่าด้วย ไม่ต้องเกรงใจใคร

เช่น ถ้ามองว่าต่อไปจะมีประเด็นละเมิดข้อมูลส่วนบุคคลมากขึ้นๆ ตามเศรษฐกิจและสังคมที่พึ่งพาข้อมูลข่าวสารมากขึ้น ทั้งภาครัฐ ภาคเอกชน รวมถึงประชาชนทั่วไป ก็เข้าถึงข้อมูลของกันและกันมากขึ้น ก็คงต้องพิจารณาว่าคุ้มครองข้อมูลส่วนบุคคลและสิทธิในความเป็นอยู่ส่วนบุคคลนั้น ควรจะให้มีคณะกรรมการที่ทำงานเต็มเวลาทั้งชุดและทำงานได้เป็นอิสระไหม คล้ายๆ กับงานคุ้มครองสิทธิมนุษยชนที่ปัจจุบันก็มีคณะกรรมการสิทธิมนุษยชนแห่งชาติ

สัดส่วนตัวแทน-การขัดกันของผลประโยชน์-การแยกบทบาทผู้กำกับกิจการ

นอกจากนี้ก็ยังมีประเด็นความเหมาะสมในการปฏิบัติหน้าที่ด้วย เช่นจะมีการขัดกันของผลประโยชน์ (conflict of interest) ไหม คือถ้าคณะกรรมการนี้ออกแบบมาเพื่อเป็น ผู้ตัดสินไกล่เกลี่ยคดี หรือเป็นผู้กำกับดูแล (regulator) ก็ไม่ควรจะเอาคนที่เป็นผู้ถูกกำกับมาเป็น ไม่งั้นก็จะเหมือนเอาผู้เล่นมาเป็นกรรมการเสียเอง ก็อาจจะไม่เป็นธรรมกับผู้เล่นอื่น

ต่อเรื่องที่มาของกรรมการอีกนิด ที่มาของกรรมการโดยตำแหน่งนั้น อันนึงที่พบคือ กระทรวงการคลังมักจะถูกใส่เข้ามาบ่อยๆ เห็นว่าเพื่อให้สะดวกต่อเรื่องงบประมาณ ถ้ามีข้อติดขัดอะไรก็จะได้ปรึกษาได้เลย ส่วนถ้าคณะกรรมการชุดไหนที่ออกแบบให้มี “การมีส่วนร่วมของภาคเอกชน” ก็จะเป็น ผู้แทนสภาหอการค้าแห่งประเทศไทย ผู้แทนสภาอุตสาหกรรมแห่งประเทศไทย และผู้แทนสมาคมธนาคารไทย 3 แห่งนี้ ที่มักจะได้สัดส่วนอยู่เสมอๆ (กรณีเป็นคณะกรรมการที่ดูแลภาพกว้างๆ – ส่วนถ้าเป็นกฎหมายที่เจาะจงอุตสาหกรรม ก็จะเป็นสมาคมผู้ประกอบการหรือสมาคมวิชาชีพในอุตสาหกรรมนั้นๆ)

อย่างไรก็ตาม การกำหนดคุณสมบัติในแง่ที่มา-สัดส่วนตัวแทน อาจไม่จำเป็นต้องเป็น “กรรมการโดยตำแหน่ง” ก็ได้ เช่นอาจระบุกว้างๆ ให้มีภาคเอกชนที่เกี่ยวข้องกี่คนหรืออย่างน้อยกี่คนก็ได้ เช่นในร่างพ.ร.บ.คอมพิวเตอร์ ฉบับ 30 ก.ย. 2559 ที่ยังอยู่ในระหว่างพิจารณา มาตรา 20/1 ที่มีการตั้งคณะกรรมการกลั่นกรองข้อมูลคอมพิวเตอร์ วรรคสองระบุว่า “ให้รัฐมนตรีแต่งตั้งคณะกรรมการกลั่นกรองข้อมูลคอมพิวเตอร์ตามวรรคหนึ่งอย่างน้อยหนึ่งคณะ โดยแต่ละคณะให้มีจำนวนห้าคน ซึ่งสองในห้าต้องมาจากผู้แทนภาคเอกชนที่เกี่ยวข้องและให้ได้รับค่าตอบแทนตามที่คณะรัฐมนตรีกำหนด”

ความรู้และประสบการณ์

สำหรับการกำหนดคุณสมบัติด้านความรู้หรือประสบการณ์ของกรรมการ กฎหมายบางฉบับอาจจะระบุลงไปเลยว่า ต้องการกรรมการที่มีความเชี่ยวชาญด้านไหนๆ กี่คน (เช่น ให้มีกรรมการด้านกฎหมาย 1 คน ด้านผู้บริโภค 1 คน ด้านวิศวกรรม 1 คน) ในขณะที่กฎหมายบางฉบับอาจจะเขียนรวมๆ (เช่น ให้มีกรรมการด้านกฎหมาย ด้านผู้บริโภค ด้านวิศวกรรมรวม 3 คน แบบนี้ก็เป็นไปได้ว่า อาจจะได้นักกฎหมายด้านการคุ้มครองผู้บริโภคมา 1 คน [กฎหมาย+ผู้บริโภค] และวิศวกรอีก 2 คน)

ตัวอย่างเช่น ในมาตรา 6 ของพ.ร.บ.องค์กรจัดสรรคลื่นความถี่และกำกับกิจการวิทยุกระจายเสียงวิทยุโทรทัศน์ และกิจการโทรคมนาคม หรือ พ.ร.บ.กสทช. ฉบับปี พ.ศ. 2553 (ฉบับที่ใช้อยู่ปัจจุบันนี้) จะเขียนแจกแจงเลย ว่าในคณะกรรมการกสทช. จะกรรมการด้านใดจำนวนกี่คน

มาตรา 6 พ.ร.บ.กสทช. พ.ศ. 2553
มาตรา 6 พ.ร.บ.กสทช. พ.ศ. 2553

 

ในขณะที่ในร่างมาตรา 6 ใหม่ที่กำลังแก้ไขอยู่ เขียนว่าอยากให้มีด้านใดบ้าง และเขียนให้จำนวนคณะกรรมการทั้งหมดแบบรวมๆ 7 คน

มาตรา 6 ร่างพ.ร.บ.กสทช. (ฉบับที่สคก.ตรวจพิจารณาแล้ว - 2558)
มาตรา 6 ร่างพ.ร.บ.กสทช. (ฉบับที่สคก.ตรวจพิจารณาแล้ว – 2558)

 

อีกตัวอย่างเช่น ในมาตรา 7 ของร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ระบุว่าให้มี “กรรมการผู้ทรงคุณวุฒิ จำนวนห้าคน ซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านสังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ หรือด้านอื่นที่เกี่ยวข้องและเป็นประโยชน์ต่อการคุ้มครองข้อมูลส่วนบุคคล” คือมีความเชี่ยวชาญอยู่ 6 ด้านเป็นอย่างน้อยที่เขียนไว้ แต่มีกรรมการ 5 คน ก็อาจจะตีความได้สองแบบคือ 1) ให้หากรรมการที่เชี่ยวชาญมากกว่าหนึ่งสาขา 2) อาจจะไม่จำเป็นก็ได้ที่จะต้องมีความเชี่ยวชาญให้ครบ 6 ด้านนี้ในคณะกรรมการ (หรือกรรมการโดยตำแหน่งอาจจะมีใครเชี่ยวชาญเรื่องที่ขาดไปก็ได้?)

มาตรา 7 ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (ฉบับที่สคก.ตรวจพิจารณาแล้ว - 2558)
มาตรา 7 ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (ฉบับที่สคก.ตรวจพิจารณาแล้ว – 2558)

 

เรื่องน่าสนใจอีกอันก็คือ ในกรณีที่ต้องการนักวิชาการ บางกฎหมายจะกำหนดว่าให้คัดเลือกจากอาจารย์ที่มาจากมหาวิทยาลัยของรัฐ เช่นในร่างพ.ร.บ.คอมพิวเตอร์ ฉบับ 17 ส.ค. 2559 (ร่างฉบับนี้เก่าแล้ว ปัจจุบันหน้าตาที่มาเปลี่ยนไปแล้ว ยกมาเป็นตัวอย่างเท่านั้น) มาตรา 20/1 ที่มีการตั้งคณะกรรมการกลั่นกรองข้อมูลคอมพิวเตอร์ มีตอนหนึ่งเขียนว่า “ผู้ทรงคุณวุฒิซึ่งมีความรู้ความเชี่ยวชาญด้านการสื่อสารมวลชนที่รัฐมนตรีแต่งตั้งจากอาจารย์มหาวิทยาลัยของรัฐหนึ่งคน” แบบนี้อาจารย์มหาวิทยาลัยเอกชนก็อดไป หรือแม้จะระบุแค่เพียง “อาจารย์” ก็อาจทำให้คนที่มีความรู้เรื่องนั้นแต่ไม่ได้อยู่ในภาคการศึกษาหมดสิทธิ์เช่นกัน

มาตรา 20/1 ร่างพ.ร.บ.คอมพิวเตอร์
มาตรา 20/1 ร่างพ.ร.บ.คอมพิวเตอร์ (30 ก.ย. 2559)

กรรมการเฉพาะกิจ

สำหรับ “กรรมการเฉพาะกิจ” คณะกรรมการบางชุดอาจอนุญาตให้มีการเชิญบุคคลภายนอกที่ปกติไม่ใช่กรรมการมาเป็นกรรมการเฉพาะการประชุมหนึ่งๆ ที่เห็นว่าน่าจะเป็นประโยชน์ด้วยก็ได้ ตัวอย่างเช่น ในพ.ร.บ.สภาความมั่นคงแห่งชาติ พ.ศ. 2559 ที่ในมาตรา 6 วรรค 3 พูดถึง “สมาชิกเฉพาะกิจ” ที่มีฐานะเหมือนสมาชิกปกติ “เฉพาะการประชุมที่ได้รับเชิญ”

มาตรา 6 พ.ร.บ.สภาความมั่นคงแห่งชาติ พ.ศ. 2559
มาตรา 6 พ.ร.บ.สภาความมั่นคงแห่งชาติ พ.ศ. 2559

อายุของตัวกรรมการ

สิ่งหนึ่งที่ร่างพ.ร.บ.กสทช.ที่ตอนนี้อยู่ในสภา เปลี่ยนแปลงไปจากพ.ร.บ.ฉบับปี 2553 ที่ใช้อยู่ในปัจจุบัน ก็คือ ช่วงอายุ ที่จะเป็นกรรมการกสทช.ได้ จากปัจจุบัน 35-70 ปี เปลี่ยนเป็น 45-65 ปี ซึ่งก็นึกเหตุผลไม่ออก

ลองดูเกณฑ์อายุของสมาชิกคณะกรรมการอื่นๆ ได้เป็นตารางนี้

กรรมการ / คณะกรรมการ อายุไม่ต่ำกว่า อายุไม่เกิน
กรรมการ คณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ (ร่าง) 45 65
กรรมการผู้ทรงคุณวุฒิ คณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ (ร่าง) 65
กรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ร่าง)
กรรมการผู้ทรงคุณวุฒิ คณะกรรมการคุ้มครองผู้บริโภค
กรรมการ คณะกรรมการสิทธิมนุษยชนแห่งชาติ 35
กรรมการผู้ทรงคุณวุฒิ คณะกรรมการพัฒนาการบริหารงานยุติธรรมแห่งชาติ 35
กรรมการ คณะกรรมการนโยบายองค์การกระจายเสียงและแพร่ภาพสาธารณะแห่งประเทศไทย 35
กรรมการผู้ทรงคุณวุฒิ คณะกรรมการการมาตรฐานแห่งชาติ 25
กรรมการผู้ทรงคุณวุฒิ คณะกรรมการกำกับการให้บริการด้านนิติวิทยาศาสตร์ 35
กรรมการ คณะกรรมการกิจการกระจายเสียงและกิจการโทรทัศน์ (2543) 35 70
กรรมการ คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (2543) 35 70
กรรมการ คณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ (2553) 35 70
กรรมการ คณะกรรมการการเลือกตั้ง (ร่างรธน.)
กรรมการ คณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ (ร่าง)

โดยรวมที่พบคือ ส่วนมากจะกำหนดอายุขั้นต่ำที่ 35 ปี และไม่ได้กำหนดว่าอายุห้ามเกินเท่าไร กฎหมายที่มีกำหนดเพดานอายุจะเป็นพวกกฎหมายไอซีที

คณะกรรมการคุ้มครองผู้บริโภคนี่ไม่ระบุอายุเลย ส่วนคณะกรรมการดิจิทัลกำหนดเฉพาะว่าไม่เกินเท่าไหร่ ไม่กำหนดขั้นต่ำ ในขณะที่คณะกรรมการการมาตรฐานแห่งชาติกำหนดอายุขั้นต่ำต่ำกว่าใคร คือ 25 ปี

ที่งงๆ คือ ตัวร่างพ.ร.บ.กสทช.กับร่างพ.ร.บ.ดิจิทัลฯ ก็มาไล่ๆ กันในรัฐบาลเดียวกัน แต่ทำไมเกณฑ์เรื่องนี้ต่างกัน คืออันแรกกำหนดอายุ 45 ปี อันหลังกำหนด 35 ปี เลยจะอธิบายว่าเป็นเรื่องอาวุโส ประสบการณ์ ก็อธิบายไม่ได้เต็มที่นัก เพราะคณะกรรมการกสทช.เองก็ต้องทำตามนโยบายของคณะกรรมการดิจิทัลฯอีกที (ซึ่งเป็นไปได้ที่กรรมการในคณะกรรมการดิจิทัลจะอายุน้อยกว่า)

และทำไปทำมา อายุกับประสบการณ์ สัมพันธ์กันแค่ไหน ประสบการณ์ 1 ปีในช่วง 1990-2000 กับประสบการณ์ 1 ปีในช่วง 2001-2010 เกี่ยวข้องกับเทคโนโลยีในปี 2020 เท่ากันไหม ที่สุดคือ มันโอเคแค่ไหนกับการกำหนดเกณฑ์อายุตายตัวขนาดนั้นในกฎหมาย

Audrey Tang รัฐมนตรีดิจิทัลของไต้หวันที่เพิ่งเข้ารับตำแหน่งไม่นานนี้ เธอพัฒนาเว็บค้นหาเนื้อเพลงจีนตั้งแต่อายุ 15 ปี ทำงานในบริษัทซอฟต์แวร์ตั้งแต่อายุ 19 ปี เป็นผู้จัดการโครงการโอเพนซอร์สอย่าง Perl เขียนซอฟต์แวร์สเปรดชีตออนไลน์เจ๋งๆ อย่าง EtherCalc เปิดบริษัทของตัวเองหลายแห่ง เป็นที่ปรึกษาให้กับบริษัทแอปเปิล ได้รับการยอมรับทั้งจากภาครัฐ ภาคเอกชน นักพัฒนาซอฟต์แวร์ และนักกิจกรรมสังคม แต่คุณสมบัติไม่น่าจะมาเป็นกสทช.ของไทยได้ในชุดหน้า เนื่องจากวันที่รับตำแหน่งเธออายุเพียง 35 ปี ไม่ถึงเกณฑ์ 45 ปี ของร่างพ.ร.บ.กสทช.ฉบับใหม่ … นี่ มาร์ก ซักเคอร์เบิร์ก ก็ไม่ได้เหมือนกัน ตอนนี้อายุแค่ 32 ปี

วาระดำรงตำแหน่ง

วาระการดำรงตำแหน่งของกรรมการจะถูกกำหนดไว้ในกฎหมายด้วย เช่น ถ้าเป็นกรรมการโดยตำแหน่ง ก็มาและไปตามตำแหน่งนั้นๆ ถ้าเป็นกรรมการที่สรรหามาก็อาจกำหนดให้ดำรงตำแหน่งวาระละ 3 ปี 4 ปี 5 ปี แล้วแต่ นอกจากนี้ยังอาจกำหนดด้วย ว่ากรรมการจะพ้นวาระเมื่อใด เช่น เมื่อตาย ลาออก ถูกถอดถอน ละเมิดกฎ หรืออายุเกิน

การเข้าและออกสู่การเป็นกรรมการในคณะกรรมการหนึ่งๆ ไม่จำเป็นต้องพร้อมกัน เช่นถ้ามีกรรมการคนใดคนหนึ่งพ้นตำแหน่งไป ก็สามารถเลือกหรือตั้งกรรมการคนใหม่เข้ามาแทนได้ หรือสำหรับกรรมการผู้ทรงคุณวุฒิและกรรมการเฉพาะกิจ จะตั้งเพิ่มเติมภายหลังก็ทำได้

นอกจากนี้ ยังสามารถออกแบบให้การสรรหากรรมการเข้าสู่คณะกรรมการมีลักษณะเหลื่อมกันได้ด้วย ดังเช่น พ.ร.บ.องค์การกระจายเสียงและแพร่ภาพสาธารณะแห่งประเทศไทย พ.ศ. 2551 หรือพ.ร.บ.ไทยพีบีเอส ในมาตรา 23 วรรค 2 ออกแบบวาระของกรรมการนโยบายเอาไว้น่าสนใจดี

มาตรา 23 พ.ร.บ.ไทยพีบีเอส พ.ศ. 2551
มาตรา 23 พ.ร.บ.ไทยพีบีเอส พ.ศ. 2551

 

คือคณะกรรมการนโยบายของไทยพีบีเอสนั้น มีทั้งหมด 9 คน ประธาน 1 คน กรรมการที่เหลืออีก 8 คน กรรมการมีวาระ 4 ปี – ทีนี้หลัง 2 ปีแรกที่มีคณะกรรมการชุดแรก จะมีจับสลากเอากรรมการออกครึ่งนึง (4 คน) แล้วเลือกเข้ามาใหม่แทนตำแหน่งที่ว่างลง – ผ่านไปอีก 2 ปี กรรมการอีกครึ่งหนึ่งที่รอดจากการจับสลากเมื่อ 2 ปีก่อน ก็จะหมดวาระลง ก็เลือกเข้ามาใหม่ และอีก 2 ปีถัดไปชุดที่เข้ามาแทนที่คนจับสลากออก ก็จะหมดวาระ ก็เลือกเข้าใหม่ เป็นแบบนี้ไปเรื่อยๆ (การจับสลากออกจะเกิดขึ้นแค่ครั้งเดียวในวาระเริ่มแรกเท่านั้น)

ไม่รู้ว่าการออกแบบแบบนี้มีที่มายังไง แต่เห็นว่ามันอาจจะทำหน้าที่ได้อย่างน้อย 3 อย่าง

1) ลดโอกาสครอบงำโดยผู้สรรหากลุ่มเดียว คือในกระบวนการสรรหากรรมการ คนก็กลัวว่าจะมีอำนาจทางการเมือง ทุน หรือกระแสสังคมอะไรมาแทรกแซงกดดัน เช่น กลัวว่าสรรหาเข้ามาในสมัยรัฐบาลไหน ก็จะเป็นพวกรัฐบาลสมัยนั้น แต่พอทำให้วาระของกรรมการมันเหลื่อมกัน มันก็โอกาสที่จะลดการครอบงำแบบยกแผงได้ (เว้นว่ารัฐบาลจะมาจากพรรคเดียวกันต่อเนื่อง – แต่ในแง่นั้นก็อาจจะพอพูดได้ว่า ก็ประชาชนไว้ใจ)

2) ช่วยให้คณะกรรมการ “สดใหม่” อยู่เสมอ “อัปเดต” สมาชิกของคณะกรรมการได้ถี่ขึ้น แทนที่จะต้องรอให้ครบทุก 4 ปี แล้วอัปเดตรวดเดียว ก็สามารถอัปเดตเป็นขยักได้ทุก 2 ปี ตรงนี้ก็น่าจะช่วยให้หน้าตาของกรรมการสอดคล้องกับโจทย์ของสังคม ณ เวลานั้นมากขึ้น

3) ช่วยให้การทำงานของคณะกรรมการมีความต่อเนื่อง ไม่ใช่ว่าเปลี่ยนทีเดียวยกชุด แล้วมาเริ่มใหม่หมดจากศูย์กันทุกคน กว่าจะเข้าที่เข้าทางก็ต้องใช้เวลา ถ้าเปลี่ยนทีละครึ่ง ครึ่งที่อยู่มาก่อนก็ช่วยประครองครึ่งที่เพิ่งเข้ามาใหม่ได้

คณะกรรรมการที่เกี่ยวกับสื่อ ไอซีที และเทคโนโลยีต่างๆ ที่เปลี่ยนแปลงเร็ว มีประเด็นทางสังคมใหม่ๆ อย่างคณะกรรมการดิจิทัลและคณะกรรมการกสทช. น่าจะลองโมเดลนี้ดู สลับปีให้มันเหลื่อมกัน

อย่างไรก็ตาม พวกคณะกรรมการที่มีแต่กรรมการโดยตำแหน่งเยอะๆ นี่ วิธีนี้อาจไม่ได้เปลี่ยนอะไรมากนัก คือส่วนที่เป็นกรรมการโดยตำแหน่งข้าราชการการเมือง (อย่างรัฐมนตรี) มันก็เวียนตามวาระรัฐบาลอยู่แล้ว ส่วนกรรมการโดยตำแหน่งข้าราชการประจำ (อย่างอธิบดี) เขาก็อาจจะอยู่กันในตำแหน่งนานๆ ก็ได้ อีกอย่าง การเข้าการออกตำแหน่งพวกนี้ในแต่ละกรมมันก็ไม่ได้พร้อมๆ กันไปทั้งหมด (คือไม่จำเป็นต้องมากำหนดการเหลื่อมกันในชั้นคณะกรรมการก็ได้)

อย่างไรก็ตาม การเพิ่มความหลากหลายในความคิดเห็นของกรรมการ-ลดโอกาสการครองงำโดยผู้สรรหากลุ่มเดียว ไม่ได้ทำได้ด้วยการทำให้การเข้าสู่วาระเหลื่อมกันเพียงอย่างเดียว แต่อาจใช้วิธีอื่นได้ด้วย เช่นการออกแบบอำนาจในการแต่งตั้ง การพ้นวาวระ และการถอดถอนกรรมการ ดังเช่นในกรณี ศาลสูงสุดแห่งสหรัฐอเมริกา (Supreme Court of the United States)  ที่ประกอบด้วยสมาชิก 9 คน (ประธาน 1 คน ตุลาการสทบอีก 8 คน) ประธานาบดีแห่งสหรัฐอเมริกามีอำนาจแต่งตั้งสมาชิกศาลสูงสุด (เสนอชื่อและให้สภารับรอง) แต่ไม่มีอำนาจถอดถอน สมาชิกศาลสูงสุดจะอยู่ในวาระไปตลอดชีวิตหรือจนกว่าจะลาออก ซึ่งในทางปฏิบัติ เนื่องจากสมาชิกจะตายไม่พร้อมกันและตายในช่วงประธานาธิบดีที่อาจจะมาจากคนละพรรคการเมือง ส่งผลให้สมาชิกของศาลสูงสุดมีความหลากหลายในทางอุดมการณ์การเมือง

โครงสร้างอำนาจ: คณะกรรมการรายงานต่อใคร ใครสั่งคณะกรรมการได้ ใครสรรหา-แต่งตั้ง-ถอดถอนกรรมการได้

อีกสิ่งที่คนออกแบบคณะกรรมการจะคิดไว้ ก็คือ คณะกรรมการนี้จะไปทำงานอยู่ภายใต้โครงสร้างแบบไหน เช่น เป็นคณะกรรมการที่ทำงานภายใต้โครงสร้างกระทรวง เป็นคณะกรรมการร่วมระหว่างหลายหน่วยงาน หรือเป็นคณะกรรมการอิสระ ไม่ขึ้นกับหน่วยงานใด รายงานตรงต่อนายกรัฐมนตรีหรือต่อสภาผู้แทนราษฎรเลย เหล่านี้เราสามารถอ่านได้จากตัวกฎหมายนั้นๆ หรืออ่านประกอบกับกฎหมายที่เกี่ยวข้อง

มีแนวโน้มว่าคณะกรรมการที่ประธานกรรมการเป็นรัฐมนตรีของกระทรวงใดกระทรวงหนึ่งโดยตำแหน่ง ก็จะทำงานอยู่ภายใต้โครงสร้างของกระทรวงนั้น (แต่ในทางปฏิบัติก็ไม่เสมอไป คือถ้ารัฐมนตรีกระทรวงปล่อยอิสระ หรือประธานคณะกรรมการแข็งแรงพอ คณะกรรมการก็อาจจะเป็นอิสระได้ในช่วงเวลานั้นๆ)

สำหรับการเข้าสู่ตำแหน่งเพื่อกระจายอำนาจให้ได้ดุล หรือลดการแทรกแซง กฎหมายก็อาจออกแบบให้อำนาจสรรหา แต่งตั้ง และถอดถอน กระจายไปอยู่ในหน่วยงานหรือบุคคลที่แยกต่างหากออกจากกัน

ตัวอย่างเช่น กรณีผู้พิพากษาศาลฎีกาของสหรัฐอเมริกา (Supreme Court of the United States) ประธานาธิบดีมีอำนาจเสนอชื่อ (nominate) จากนั้นวุฒิสภาจะรับรอง (confirm) เพื่อแต่งตั้ง แต่เมื่อผู้พิพากษาคนนั้นรับตำแหน่งแล้ว ก็จะอยู่ในตำแหน่งไปตลอดชีวิต ไม่มีใครมีอำนาจถอดถอนได้ แม้แต่ประธานาธิบดี (เชื่อว่าเพื่อให้การทำงานไม่ถูกแทรกแซง)

หรือคณะกรรมการบางชุด ก็อาจจะมีกระบวนการสรรหาที่ละเอียดหรือ “ซับซ้อน” ขึ้น โดยอาจจะมีจุดประสงค์เพื่อให้มีการคัดกรองที่ละเอียดขึ้น ได้รับการเสนอชื่ออย่างหลากหลายมีส่วนร่วมมากขึ้น ลดอำนาจสรรหาจากหน่วนงานใดหน่วยงานหนึ่งโดยตรง หรือจุดประสงค์อื่น

เช่น มาตรา 18 พ.ร.บ.องค์การกระจายเสียงและแพร่ภาพสาธารณะแห่งประเทศไทย พ.ศ. 2551 ก็กำหนดให้มีคณะกรรมการสรรหา 15 คน มาจากสมาคมสื่อ สภานักวิชาการสื่อ เอ็นจีโอ สภาทนายความ สสส. และปลัดกระทรวง โดยระบุชื่อตำแหน่งและชื่อหน่วยงานลงในกฎหมายเลย — ซึ่งก็ถามได้เหมือนกัน ว่าทำไมต้องเป็นองค์กรเหล่านี้ด้วย ถ้าต่อไปมีองค์กรอื่นหรือบุคคลอื่นที่น่าจะเหมาะสมกว่า ทำไมเขาถึงมามีส่วนร่วมสรรหาด้วยไม่ได้

เพื่อ “แก้ปัญหา” ดังกล่าว พ.ร.บ.องค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการวิทยุกระจายเสียง วิทยุโทรทัศน์ และกิจการโทรคมนาคม พ.ศ. 2553 พยายามเปิดช่องให้ตัวแทนจากกลุ่มอื่นที่ไม่ได้กำหนดชื่ออย่างเจาะจงไว้ในกฎหมายสามารถเข้าไปมีส่วนร่วมในการสรรหาได้ โดยกำหนดที่มาของผู้ถูกเสนอชื่อไว้ 2 ทาง ทางหนึ่งมาคณะกรรมการสรรหาที่กฎหมายระบุชื่อไว้ อีกทางหนึ่งมาจากสมาคมหรือนิติบุคคลที่ได้ลงทะเบียนไว้ตามมาตรา 9 จากนั้นรายชื่อจากทั้ง 2 ทางจะถูกรวมเข้าด้วยกันเพื่อให้วุฒิสภาเป็นผู้เลือกและแต่งตั้ง (กระบวนการนี้กำลังจะเปลี่ยนในร่างพ.ร.บ.กสทช.ฉบับใหม่)

เนื่องจากงานของรัฐสมัยใหม่มีความซับซ้อนข้ามประเด็นข้ามความรับผิดชอบมากขึ้น อีกทั้งรัฐยังมีแนวโน้มจะลงมือทำเองน้อยลง และผันตัวไปเป็นผู้อำนวยการ (facilitator) หรือผู้กำกับกิจการ (regulator) มากขึ้น จำนวนคณะกรรมการต่างๆ จึงมีมากขึ้นเรื่อยๆ การสรรหาคณะกรรมการก็มากขึ้นตาม ประเทศอย่างสหราชอาณาจักรต้องการให้กระบวนการสรรหาเหล่านี้เป็นไปด้วยมาตรฐานที่สม่ำเสมอ โปร่งใสตรวจสอบได้ และมีความรับผิดต่อสาธารณะ ก็เลยจัดการให้มีหน่วยงานที่มาทำหน้าที่กำกับการสรรหาแต่งตั้งอีกที ชื่อว่า “คณะกรรมการเพื่อการแต่งตั้งตำแหน่งสาธารณะ” (Commissioner for Public Appointments) โดยคณะกรรมการนี้จะไม่ทำการสรรหาแต่งตั้งเอง แต่จะเป็นผู้ตรวจสอบและรับรองว่าเป็นไปตามกฎที่วางไว้หรือไม่

Commissioner for Public Appointments

การรายงานต่อใคร ใครจะมาเป็นกรรมการโดยตำแหน่ง หรือใครจะเป็นคนมีอำนาจเอากรรมการเข้าออก พวกนี้สามารถใช้ดูได้ ว่าคณะกรรมการใดเป็นอิสระจากใคร แค่ไหน ว่าง่ายๆ คือ จากมุมมองของคณะกรรมการ พอมองขึ้นไปข้างบน ก็จะเห็นว่าใครอยู่เหนือหัวบ้าง

แต่ไม่ใช่แค่คนที่อยู่บนหัวเท่านั้น แต่คนที่อยู่รอบๆ ที่จะทำงานด้วยกัน ช่วยเหลืองานกัน ก็มีส่วนเช่นกัน (และใครสั่งคนๆ นั้นได้? คนๆ นั้นต้องรายงานต่อใคร?) ว่าการทำงานจะมีอิสระและมีประสิทธิภาพได้แค่ไหน

โครงสร้างการทำงาน: คณะกรรมการมีใครช่วยงาน สั่งการใครได้

โดยมากแล้ว คณะกรรมการมักทำงานกำหนดนโยบาย กำหนดแผนงาน วินิจฉัยคำร้อง ออกคำสั่ง หรือกำหนดระเบียบ แต่ไม่ได้เป็นผู้ปฏิบัติการบังคับใช้คำสั่งหรือระเบียบเหล่านั้นด้วยตัวเอง อีกทั้งไม่ได้เป็นผู้นำนโยบายและแผนงานไปปฏิบัติ ก็จะมีหน่วยงานอื่นมารับไปทำอีกที

นอกจากนี้หากงานของคณะกรรมการมีมาก ก็จะมี “สำนักงานเลขานุการ” มาทำหน้าที่เรื่องประสานงาน ธุรการ เลขานุการอื่นๆ เป็นการเฉพาะด้วย เช่น คณะรัฐมนตรี มีสำนักงานคณะรัฐมนตรี, คณะกรรมการกฤษฎีกา มีสำนักงานคณะกรรมการกฤษฎีกา, คณะกรรมการกสทช. มีสำนักงานกสทช., คณะกรรมการคุ้มครองผู้บริโภค มีสำนักงานคณะกรรมการคุ้มครองผู้บริโภค (สคบ.) แต่ก็ไม่จำเป็นว่าหน่วยงานหนึ่งๆ จะรับเป็นสำนักงานเลขานุการให้กับคณะกรรมการเพียงคณะเดียว บางหน่วยงานอาจจะรับมากกว่าหนึ่งก็ได้ แล้วแต่จะออกแบบ

ร่างพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (ฉบับเสนอครม. ม.ค. 2558) นอกจากให้มีคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กปช.) แล้ว ในมาตรา 14 ยังตั้ง “สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” ขึ้นมาเป็นสำนักงานเลขานุการช่วยงานกปช.ด้วย โดยมาตรา 17 ให้สำนักงานมีหน้าที่ 13 ข้อ ซึ่งรวมถึงการประสานความร่วมมือทางปฏิบัติในการดำเนินงาน ประสานงานเพื่อรวบรวมข้อมูล บริหารแผนงานตามคำสั่งคณะกรรมการ รับผิดชอบงานธุรการ งานวิชาการ งานการประชุม และงานเลขานุการของคณะกรรมการ และปฏิบัติงานอื่นใดตามที่คณะกรรมการหรือคณะรัฐมนตรีมอบหมาย และในมาตรา 21 กำหนดให้มีเลขาธิการสำนักงาน ดูแลรับผิดชอบการปฏิบัติงานของสำนักงาน ขึ้นต่อต่อประธานกรรมการกปช. และเป็นผู้บังคับบัญชาพนักงานและลูกจ้างของสำนักงาน

ในขณะเดียวกัน ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. … (ฉบับที่ผ่านการพิจารณาของสำนักงานคณะกรรมการกฤษฎีกาแล้วเมื่อ ก.ย. 2558) ในมาตรา 7 (ประกอบนิยามในมาตรา 5) กำหนดให้เลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เป็นเลขานุการและกรรมการโดยตำแหน่งของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (และให้แต่งตั้งเจ้าหน้าที่ของสำนักงานมาช่วยงานได้อีก 2 ตำแหน่ง) และในมาตรา 16 ให้สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติทำงานวิชาการและธุรการให้กับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

โครงสร้างความสัมพันธ์ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ - คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ร่าง ก.ย. 2558)
โครงสร้างความสัมพันธ์ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ – คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ร่าง ก.ย. 2558)

ซึ่งตรงนี้ก็ตั้งคำถามต่อได้อีก ว่าแม้ในบางกรณีหน้าที่ของงาน 2 ส่วนนี้ (มั่นคงไซเบอร์ และ คุ้มครองข้อมูล) จะส่งเสริมกัน แต่ก็มีบางกรณีที่หน้าที่อาจจะขัดกัน (เช่น คณะกรรมการมั่นคงไซเบอร์จะใช้อำนาจตามมาตรา 34 ของพ.ร.บ.มั่นคงไซเบอร์ สั่งเอกชนขอข้อมูลส่วนบุคคล แต่ทางคณะกรรมการคุ้มครองข้อมูลอาจจะไม่เห็นด้วย) แบบนี้จะทำอย่างไร

การทำงานของคณะกรรมการคุ้มครองข้อมูลจะเป็นอิสระคานอำนาจได้จริงไหม เพราะตัวเลขานุการก็เป็นเลขาธิการสำนักมั่นคงไซเบอร์ ที่ถูกแต่งตั้งและถอดถอนได้โดยคณะกรรมการมั่นคงไซเบอร์ หรือถ้าไม่รู้จะตัดสินใจอย่างไร คนในสำนักงานก็ใส่เกียร์ว่างละกัน แบบนี้งานคุ้มครองข้อมูลส่วนบุคคลก็อาจจะดำเนินไปได้ยากในทางปฏิบัติหรือไม่

ถ้าลองดูที่แผนผังความสัมพันธ์ที่มาและที่ไปของอำนาจ ก็จะเห็นได้ว่า มันเอนไปทางฝั่งมั่นคงไซเบอร์มากกว่าด้านคุ้มครองข้อมูล ตรงนี้บอกอะไรกับเราไหม

** อัปเดต 28 พ.ย. 2559 — กมธ.สื่อสารมวลชน ของสภาขับเคลื่อนการปฏิรูปประเทศ เสนอปรับเปลี่ยนสัดส่วนของคณะกรรมการมั่นคงไซเบอร์ ให้เพิ่มกรรมการจากฝ่ายความมั่นคง(ทางการทหาร)เข้าไปอีก พร้อมให้พิจารณาแก้ไขร่างพ.ร.บ.มั่นคงไซเบอร์ส่วนอื่นๆ ตามยุทธศาสตร์ของฝ่ายความมั่นคงและเหล่าทัพ แปลว่าอำนาจก็ยิ่งเอนไปทางฝ่ายความมั่นคงทางการทหารมากขึ้นไหม? อำนาจในการคุ้มครองข้อมูลส่วนบุคคลในเชิงโครงสร้างคณะกรรมการก็อาจจะอ่อนลงโดยเปรียบเทียบหรือเปล่า? ถ้าวาดแผนผังใหม่ ก็จะได้แบบนี้ สังเกตตรงประธานคณะกรรมการมั่นคงไซเบอร์ จะเปลี่ยนจากรัฐมนตรีดิจิทัลเป็นนายกรัฐมนตรี และมีเพิ่มตำแหน่งรองประธาน 2 ตำแหน่ง หนึ่งในนั้นเพิ่มรัฐมนตรีกลาโหมเข้ามา

โครงสร้างความสัมพันธ์ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ - คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ฉบับสภาขับเคลื่อนการปฏิรูปประเทศเสนอ พ.ย. 2559)
โครงสร้างความสัมพันธ์ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ – คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ฉบับสภาขับเคลื่อนการปฏิรูปประเทศเสนอ พ.ย. 2559)

[นอกเรื่องนิด: พอดูจากข้อเสนอจากสภาขับเคลื่อนฯ ดูเหมือนนิยามคำว่า “ความมั่นคงปลอดภัยไซเบอร์” ที่หน่วยงานความมั่นคงโดยเฉพาะความมั่นคงทางทหารของไทยเข้าใจ จะรวมเรื่อง “เนื้อหาที่มนุษย์สื่อสารกัน” เข้าไปด้วย ไม่ใช่แค่เรื่องความมั่นคงปลอดภัยของตัวระบบสารสนเทศ — ซึ่งพอมองแบบนี้ก็ทำให้เข้าใจได้ ว่าทำไมกมธ.สื่อสารมวลชนถึงเข้ามาเกี่ยว]

ใครสนใจการทำงานของอำนาจรัฐ สนใจว่ากลไกพวกนี้สุดท้ายจะคุ้มครองเราได้แค่ไหนอย่างไร ใครเป็นผู้เล่นสำคัญ คณะกรรมการที่ควรจะมีอิสระในการทำงานนั้นอิสระจริงไหม ลองทำแผนที่ของอำนาจแบบนี้กันดูเล่นก็ได้ครับ สนุกดี ตอนผมวาดตอนแรกนี่เส้นพันกันยุ่งมาก ลองขยับอยู่สองสามรอบ

ถ้ากฎหมายต่างๆ อยู่ในรูปแบบที่เครื่องอ่านได้ (machine readable) และทำลิงก์เชื่อมโยงระหว่างอำนาจของกฎหมายต่างๆ หน่วยงานต่างๆ ก็น่าจะสะดวกในการทำความเข้าใจกฎหมายและความสัมพันธ์ของอำนาจดีนะ

อ้างอิง

  1. การเข้าสู่ตำแหน่งที่เหลื่อมกันของคณะกรรมการไทยพีบีเอส (Facebook)
  2. ช่วงอายุของกรรมการ ในร่างพ.ร.บ.กสทช.ล่าสุด (ก.ย. 2559) (Facebook)
  3. มาตรา 7 ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ….
  4. มาตรา 7 ร่าง พ.ร.บ.องค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการวิทยุกระจายเสียง วิทยุโทรทัศน์ และกิจการโทรคมนาคม (ฉบับที่..) พ.ศ. ….
  5. มาตรา 8 ร่าง พ.ร.บ.การพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม พ.ศ. ….
  6. มาตรา 11 พ.ร.บ.คุ้มครองผู้บริโภค (ฉบับที่ 2) พ.ศ. 2541
  7. มาตรา 6 พ.ร.บ.คณะกรรมการสิทธิมนุษยชนแห่งชาติ พ.ศ. 2542
  8. มาตรา 8 พ.ร.บ.พัฒนาการบริหารงานยุติธรรมแห่งชาติ พ.ศ. 2549
  9. มาตรา 19 พ.ร.บ.องค์การกระจายเสียงและแพร่ภาพสาธารณะแห่งประเทศไทย พ.ศ. 2551
  10. มาตรา 8 พ.ร.บ.การมาตรฐานแห่งชาติ พ.ศ. 2551
  11. มาตรา 11 พ.ร.บ.การให้บริการด้านนิติวิทยาศาสตร์ พ.ศ. 2559
  12. มาตรา 8 และมาตรา 14 พ.ร.บ.องค์กรจัดสรรคลื่นความถี่และกำกับกิจการวิทยุกระจายเสียงวิทยุโทรทัศน์ และกิจการโทรคมนาคม พ.ศ. 2543
  13. มาตรา 8 มาตรา 14 และมาตรา 50 พ.ร.บ.องค์กรจัดสรรคลื่นความถี่และกำกับกิจการวิทยุกระจายเสียงวิทยุโทรทัศน์ และกิจการโทรคมนาคม พ.ศ. 2543
  14. มาตรา 7 และมาตรา 20 พ.ร.บ.องค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการวิทยุกระจายเสียง วิทยุโทรทัศน์ และกิจการโทรคมนาคม พ.ศ. 2553
  15. มาตรา 222 ร่างรัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. …. (ฉบับลงประชามติ 7 ส.ค. 2559)
  16. มาตรา 232 ร่างรัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. …. (ฉบับลงประชามติ 7 ส.ค. 2559)
  17. มาตรา 6 พ.ร.บ.สภาความมั่นคงแห่งชาติ พ.ศ. 2559
  18. รายงานของคณะกรรมาธิการขับเคลื่อนการปฏิรูปประเทศด้านการสื่อสารมวลชน เรื่อง ผลการศึกษาและข้อสังเกตร่างพระราชบัญญัติว่าด้วยการรักษาความมั่นคง ปลอดภัยไซเบอร์ พ.ศ. ….
  19. มองกฎหมายเศรษฐกิจดิจิทัล ผ่านฐานคิดของฝ่ายความมั่นคง
  20. “ความมั่นคงไซเบอร์” แบบไทยๆ (Facebook)

“ข้อยกเว้น” ที่อาจทำลายหลักการของร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลลงไปทั้งฉบับ #ไร้ค่า

ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 4 ข้อยกเว้น

ขอยกจากที่คุยกันในเฟซบุ๊กสองโพสต์เรื่อง ข้อยกเว้นในร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กับเรื่อง ศาลยุติธรรมแห่งสหภาพยุโรปตัดสินว่าข้อตกลง “Safe Habour” ระหว่างสหรัฐกับอียูเป็นโมฆะ มาโพสต์ไว้ตรงนี้ด้วย เพื่อให้ค้นหาง่าย

ตัดมาตรา 4 ว่าด้วย “ข้อยกเว้น” ในร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมาให้ดูกันก่อน ร่างฉบับนี้สำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาเสร็จแล้วเมื่อกรกฎาคม 2558 และส่งกลับไปให้คณะรัฐมนตรีแล้ว ซึ่งถ้าครม.เห็นชอบก็จะส่งไปให้สภานิติบัญญัติแห่งชาติต่อไป (ดาวน์โหลดได้จากเว็บไซต์สพธอ. – มีร่างกฎหมายดิจิทัลครบทุกฉบับ ยกเว้นร่างพ.ร.บ.ความมั่นคงไซเบอร์ ที่ไม่มีฉบับที่กฤษฎีกาตรวจแล้วให้โหลด):

มาตรา 4 พระราชบัญญัตินี้ไม่ใช้บังคับแก่
(1) บุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนของบุคคลนั้นเท่านั้น โดยมิให้ผู้อื่นใช้ข้อมูลส่วนบุคคลนั้น หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อผู้อื่น
(2) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
(3) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวมรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามอำนาจหน้าที่ของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมการธิการ แล้วแต่กรณี
(4) การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
(5) การดำเนินกิจการทางศาสนาขององค์การทางศาสนา
(6) การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา

ความเห็นสั้นๆ ของผมคือ

ข้อ 2 อ่านแล้วนึกถึงพ.ร.บ.ลิขสิทธิ์ ซึ่งนับว่าซอฟต์แวร์เป็น “วรรณกรรม” ด้วย
ถ้ามีซอฟต์แวร์ที่เก็บข้อมูลส่วนบุคคลตามจริยธรรมวิชาชีพ (ซึ่งก็ไม่รู้ว่าคืออะไร) แปลว่าไม่อยู่ในความคุ้มครองของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนี้รึเปล่า?
แม้โดยทั่วไปนิยามพิเศษจะไม่นำมาใช้ข้ามกฎหมายต่างฉบับกัน แต่อันนี้ก็กังวลไว้ก่อน เพราะที่ผ่านมาก็มีกรณีที่ถ้าจำเป็นต้องตีความนิยามเพิ่มเติม ศาลก็พยายามจะอ้างอิงเทียบกับกฎหมายที่มีอยู่ในเรื่องใกล้เคียง

ข้อ 3 อาจจะพออธิบายได้ในเชิงหลักการ (เห็นด้วยหรือไม่นี่อีกเรื่อง) แต่ในทางปฏิบัติน่าจะมีปัญหาแน่ เพราะเท่ากับเป็นข้อยกเว้นที่ไม่มีขีดจำกัด ไอ้คณะกรรมาธิการนี่มันงอกขึ้นมาได้เรื่อยๆ – เวลาพูดถึงข้อยกเว้นของกฎหมายมันควรจะมีขอบเขตจำกัดชัดเจน

ข้อ 4 นี่รวมถึงการดักฟังไหม คือเข้าใจว่าเจ้าหน้าที่บังคับใช้กฎหมายมีความจำเป็นในกรณีเฉพาะเจาะจงที่จำเป็นต้องสามารถเข้าถึงข้อมูลส่วนบุคคลได้ แต่แทนที่จะเป็นการยกเว้นไปเลย มันควรจะระบุแทนหรือเปล่า ว่าเอาไปใช้อย่างไรได้บ้าง (ดู หลักการระหว่างประเทศว่าด้วยการใช้หลักสิทธิมนุษยชนกับการสอดแนมการสื่อสาร)

ข้อ 5 ข้อนี่ถามกันมาตั้งแต่ปีที่แล้ว ในอย่างน้อยสามวง ว่าทำไมต้องมี ทำไมองค์การทางศาสนาถึงมีสิทธิพิเศษได้รับการยกเว้น อะไรคือคำอธิบาย – ซึ่งในบันทึกประกอบของสำนักงานคณะกรรมการกฤษฎีการที่ท้ายร่าง ก็ไม่ได้อธิบายเรื่องนี้

ข้อ 6 จะบอกว่ามีกฎหมายคุ้มครองแบบแยกส่วนอุตสาหกรรม (sectoral) อยู่แล้ว มันก็ฟังขึ้น แต่ทำไมถึงมีเฉพาะข้อมูลเครดิตที่ได้สิทธิพิเศษมาอยู่ในข้อยกเว้นนี้ ทั้งที่ sector อื่นก็มีกฎหมายเฉพาะ เช่น ข้อมูลผู้ป่วยตามพ.ร.บ.สุขภาพ หรือข้อมูลส่วนตัวบนการสื่อสารในกิจการโทรคมนาคม ตามประกาศกทช.

วรรคสองแย่สุด คือเปิดช่องอนุญาตให้ความคุ้มครองตามพระราชบัญญัติที่ออกโดยสภานิติบัญญัติ (ที่โดยหลักการคือเป็นผู้แทนประชาชน และมีกระบวนการรีวิวหลายขั้น) ถูกยกเลิกได้โดยพระราชกฤษฎีกาซึ่งไม่ต้องผ่านสภา คณะรัฐมนตรีออกได้เองเลย

คือขึ้นโครงมาขึงขังมาก จะคุ้มครองนั่นนี่ จะมีบทลงโทษ จะมีคณะกรรมการ จะมีมาตรฐาน ฯลฯ แต่ทำไปทำมา ข้อมูลที่จะถูกคุ้มครองมันถูกตัดออกไปเรื่อยๆ และยังเปิดช่องให้ยกเว้นกันได้สบายๆ

รวมๆ แล้วก็เหมือนกับที่เคยเสนอไปหลายครั้ง ว่าเรื่อง “ข้อยกเว้น” นี้เรียกได้ว่าเป็นเรื่องสำคัญที่สุดของการวางกฎหมายคุ้มครองเลยก็ว่าได้ เพราะมันกำหนดกรอบว่า อะไรที่จะไม่ถูกคุ้มครอง (คือกฎหมายคุ้มครองจะเขียนดีแค่ไหนก็ไม่มีประโยชน์กับข้อมูลกลุ่มนั้นแล้ว เพราะมันไม่ถูกนับ) ดังนั้นจะต้องเขียนให้ชัดเจน ตัวอย่างที่ดีคือของสหราชอาณาจักร ที่แยกมาเป็นหมวด Exemptions ต่างหากในกฎหมาย (Part IV) เพื่อที่จะลงรายละเอียดได้ และเป็นการเขียนในระดับพระราชบัญญัติเพื่อให้สภาพิจารณาไปร่วมกันแต่แรกเลย ไม่ใช่มาออกเป็นพระราชกฤษฎีกาในภายหลังแบบไม่ผ่านสภา นอกจากนี้ยังมีออกข้อแนะนำ (Guidelines) เพื่อช่วยในการตีความกฎหมายด้วย

นอกจากนี้ ถ้าคิดถึงเรื่องการค้าระหว่างประเทศและการโอนข้อมูลระหว่างประเทศกับสหภาพยุโรปหรือประเทศอื่นที่ต้องการคุ้มครองสิทธิของพลเมืองประเทศของเขา เรื่องข้อยกเว้นก็ยิ่งสำคัญมาก เร็วๆ นี้มีคดีตัวอย่าง คือคดี ศาลยุติธรรมแห่งสหภาพยุโรปเพิ่งตัดสินไปว่าสหรัฐอเมริกาไม่มีการคุ้มครองข้อมูลส่วนบุคคลที่ดีพอ เลยตัดสหรัฐออกจากประเทศที่สามารถโอนข้อมูลส่วนบุคคลของพลเมืองอียูไปได้ (โดยไม่ต้องไปทำสัญญาระหว่างเอกชนเป็นรายๆ ไป) — โดยข้อสำคัญที่ศาลยุติธรรมแห่งสหภาพยุโรปนำมาตัดสิน ก็คือเรื่องข้อยกเว้นนี่แหละ ที่ศาลมองว่าข้อยกเว้นในข้อตกลง “Safe Habour” ระหว่างสหรัฐกับอียูนั้นกว้างไป

รายละเอียดเพิ่มเติมเรื่องนี้ดูได้ในคำตัดสินของศาลยุติธรรมแห่งสหภาพยุโรป (CJEU) คดีหมายเลข C-362/14 ซึ่งตัดสินให้ Decision 2000/520/EC (Safe Harbour Decision) ของคณะกรรมาธิการยุโรป เป็นโมฆะ

Decision ดังกล่าวว่าด้วยเรื่องข้อตกลง “Safe Habour ที่คณะกรรมาธิการยุโรปได้ทำการ “รับรอง” ว่าโครงการดังกล่าวของสหรัฐอเมริกามีเนื้อกฎหมายและการบังคับใช้ด้านการคุ้มครองข้อมูลส่วนบุคคลที่เท่ากับมาตรฐานสหภาพยุโรป ตาม Directive 95/46/EC (Data Protection Directive) ทำให้องค์กรของสหรัฐที่เข้าร่วมโครงการดังกล่าวสามารถรับโอนข้อมูลส่วนบุคคลจากสหภาพยุโรปได้

แต่หลังการเปิดโปงโครงการสอดแนมมวลชนอย่าง PRISM ก็ทำให้พบว่า องค์กรที่เข้าร่วมโครงการ Safe Habour ต่างก็มอบข้อมูลให้กับหน่วยงานของรัฐบาลสหรัฐ อย่าง NSA ซึ่งทำได้ภายใต้ “ข้อยกเว้น” ด้านความมั่นคงหรือตามกฎหมายอื่นๆ ที่จำเป็น-ซึ่งอาจประกาศเพิ่มเติมภายหลัง

จุดนี้ทำให้ CJEU มองว่า เท่ากับความคุ้มครองก็ไม่เท่ากับของยุโรปแล้ว ประกอบกับหลักฐานเชิงประจักษ์หลายอย่างในช่วงที่ผ่านมา ทำให้เห็นว่าโครงการ Safe Habour ไม่สามารถคุ้มครองสิทธิในความเป็นส่วนตัวของพลเมืองยุโรปได้จริง จึงตัดสินให้ Decision 2000/520/EC เป็นโมฆะ และทำให้องค์กรในสหภาพยุโรปไม่สามารถส่งข้อมูลไปยังสหรัฐอเมริกาได้อีกต่อไป

ผลกระทบจากตรงนี้คือ ต่อไปประเทศไหนจะออกกฎหมายหรือกลไกหรืออะไรก็ตามที่จะมาเป็น “ข้อยกเว้น” ของการคุ้มครองข้อมูลส่วนบุคคล จะต้องระวังให้ดี ไม่งั้นจะไปกระทบการรับส่งข้อมูลระหว่างประเทศกับสหภาพยุโรปได้ — ประเทศไทยก็ควรจะระมัดระวังเรื่องนี้ครับ

นอกจากนี้ยังมีประเด็น ความเป็นอิสระขององค์กรคุ้มครอง/กำกับดูแล้การใช้ข้อมูลส่วนบุคคล ที่  Directive 95/46/EC ก็ให้ความสำคัญ เนื่องจากจะเป็นสิ่งที่มาบังคับใช้กฎหมาย ซึ่งเรื่องนี้เดี๋ยวคุยกันอีกตอนครับ

สรุปคือ ต้องระวังอย่าให้ “ข้อยกเว้น” มาทำลายหลักการการคุ้มครองเป็นการทั่วไป ไม่อย่างนั้นมีกฎหมายไปก็เหมือนไม่มี #ไร้ค่า และเราก็จะถูกปฏิบัติจากประเทศอื่นเหมือนกับเราเป็นประเทศที่ไม่มีกฎหมายเรื่องนี้ครับ

Person API ขุดประกอบประวัติบุคคลจากอินเทอร์เน็ต

วันนี้ได้อ่านเกี่ยวกับบริการของบริษัท FullContact ซึ่งเพิ่งไปซื้อกิจการบริษัท Cobook ผู้ผลิตโปรแกรมสมุดโทรศัพท์ของ Mac มาเมื่อปลายปีก่อน

ความสามารถอันนึงของ Cobook และซอฟต์แวร์คล้ายๆ กัน อย่างตัว Contacts ของ Gmail ก็คือ มันสามารถ “merge” หรือรวมที่อยู่ติดต่อที่ซ้ำๆ กันให้มาเป็นอันเดียวได้ เช่น คนๆ นึงอาจจะมีมีหลายเบอร์โทร มีอีเมล มีทวิตเตอร์ มี LinkedIn มีบัญชีโซเชียลมีเดียอื่นๆ บางบัญชีใช้ชื่อจริง บางบัญชีเป็นชื่อเล่น ซอฟต์แวร์พวกนี้มันช่วยรวมทั้งหมดให้มาอยู่ในระเบียนเดียวกันได้ จะได้จัดการและค้นหาได้ง่ายๆ

แต่ก็ไม่ใช่ว่าจะ merge ได้เสมอไป ก็ได้บ้างไม่ได้บ้าง ตามความกำจัดของข้อมูลที่มีในสมุดโทรศัพท์นั้น ที่ถ้ามีข้อมูลน้อยเกินไปก็อาจจะมองไม่เห็นความเชื่อมโยงระหว่างกัน

FullContact Person API

ของ FullContact นี่เก่งกว่า เพราะมันไม่ได้ใช้เฉพาะข้อมูลเท่าที่เรามีในสมุดโทรศัพท์ มันไปดึงข้อมูลจากอินเทอร์เน็ตและจากแหล่งอื่นๆ มาด้วย ทำให้สามารถเห็นความเชื่อมโยงได้มากขึ้น สามารถประกอบชิ้นส่วนข้อมูลเล็กๆ เข้าด้วยกันเป็นข้อมูลประวัติบุคคลที่สมบูรณ์มากขึ้น

เช่น รู้แค่ชื่ออะไร ทำงานที่ไหน ก็หาเบอร์มือถือหรืออายุได้แล้ว เป็นต้น

คือในทางหนึ่ง มันก็สะดวกดี สำหรับคนที่ต้องการติดต่องานหรือมีธุระอะไรจำเป็น (และชอบธรรม)

แต่มันก็ทำให้เราได้เห็นว่า เครือข่ายสารสนเทศที่เชื่อมโยงไปทุกที่และพลังการประมวลผลของคอมพิวเตอร์ ก็ทำให้การเก็บรวบรวมข้อมูลชิ้นเล็กๆ ที่กระจัดกระจายในเครือข่าย แล้วเอามาประกอบเป็น “profile” หรือ “หน้าตา” ของคนๆ หนึ่ง มันเป็นไปได้ง่ายๆ

Person API ของ FullContact ก็เสนอบริการแบบนั้น มันใช้ข้อมูลที่เก็บรวบรวมมาจากทั่วอินเทอร์เน็ตและฐานข้อมูลที่เปิดเผยสาธารณะ เอามาประมวลผล ต่อจิ๊กซอว์ และสร้างประวัติของบุคคล พร้อมที่อยู่ติดต่อ อายุ และข้อมูลส่วนตัวอื่นๆ ได้

FullContact บอกว่าตัวเองเป็นบริษัทให้บริการ “contact management” ข้อมูลที่ให้บริการก็มี ประวัติบุคคล ชื่อ อีเมล พิกัดที่ตั้ง โดยโฆษณาว่า มีข้อมูลติดต่ออยู่ 1 พันล้านระเบียน สามารถจับคู่ข้อมูลพวกนี้ให้เราได้ 6 ใน 10 ครั้ง ในเวลาแค่ 150 มิลลิวินาที (หนึ่งวินาที จับคู่ให้เราแบบนี้ได้เกือบ 7 คน) และมีความแม่นยำสูงถึง 90%

หน่วยงานความมั่นคงก็ต้องมีอะไรทำนองนี้ใช้แน่ๆ ล่ะครับ ถ้าในตลาดมันมีซะขนาดนี้แล้ว

คำถามหนึ่งที่น่าสนใจคือ การเก็บรวบรวมข้อมูลมาประกอบร่างแบบนี้ ชอบด้วยกฎหมายไหม? คือข้อมูลพวกนี้ คนใช้เน็ตก็เปิดเผยให้กับผู้ให้บริการ หรือโพสต์เอาไว้ในเว็บไซต์หรือโซเชียลมีเดียของตัวเองอยู่แล้ว มันก็น่าจะเป็นข้อมูลที่ไม่ใช่ความลับ และเขาก็สมัครใจจะเปิดเผยเอง แต่ก็นั่นล่ะ การเปิดเผยส่วนนึงให้กับคนนี้ อีกส่วนนึงให้กับคนนั้น คนเปิดนี่ก็ไม่ได้คิดว่าข้อมูลพวกนั้น สุดท้ายมันจะถูกรวมร่าง กลายเป็นข้อมูลแบบสมบูรณ์เกี่ยวกับตัวเขา

เนื่องจากเมืองไทยยังไม่มีกฎหมายคุ้มครองส่วนบุคคลเป็นการเฉพาะ (แม้รัฐธรรมนูญจะระบุถึงสิทธิในความเป็นส่วนตัวเอาไว้หลายมาตรา) เราลองไปดูคำพิพากษาของศาลฎีกาสหรัฐที่คล้ายๆ กับเรื่องนี้กัน

“People disclose the phone numbers that they dial or text to their cellular providers, the URLS that they visit and the e-mail addresses with which they correspond to their Internet service providers, and the books, groceries and medications they purchase to online retailers . . . I would not assume that all information voluntarily disclosed to some member of the public for a limited purpose is, for that reason alone, disentitled to Fourth Amendment protection.” United States v. Jones, 565 U.S. ___, 132 S. Ct. 945, 957 (2012) (Sotomayor, J., concurring).
อ้างจาก International Principles on the Application of Human Rights to Communications Surveillance

“ผู้คนเปิดเผยหมายเลขโทรศัพท์ที่พวกเขาโทรหรือส่งข้อความ ให้กับผู้ให้บริการโทรศัพท์มือถือ เปิดเผยตัวชี้แหล่งในอินเทอร์เน็ต (URL) ที่พวกเขาเข้าชมและที่อยู่อีเมลที่พวกเขาติดต่อด้วย ให้กับผู้ให้บริการอินเทอร์เน็ต และเปิดเผยถึงหนังสือ ของชำ และยาที่พวกเขาซื้อ ให้กับผู้ขายปลีกทางอินเทอร์เน็ต … ศาลไม่เชื่อว่าข้อมูลทั้งหมดที่มีการเปิดเผยโดยสมัครใจให้กับสมาชิกบางคนในพื้นที่สาธารณะเพื่อจุดประสงค์เฉพาะอย่าง ไม่ควรได้รับการคุ้มครองตามข้อแก้ไขรัฐธรรมนูญครั้งที่ 4 (Fourth Amendment) เพียงเพราะเหตุผลนั้นเพียงอย่างเดียว” United States v. Jones, 565 U.S. ___, 132 S. Ct. 945, 957 (2555) (Sotomayor, J., พิพากษายืน).
อ้างจาก หลักการระหว่างประเทศว่าด้วยการใช้หลักสิทธิมนุษยชนกับการสอดแนมการสื่อสาร

Fourth Amendment หรือ ข้อแก้ไขรัฐธรรมนูญครั้งที่ 4 นี่พูดถึงสิทธิในความเป็นส่วนตัว พูดถึงเรื่องการขอค้นตัวค้นบ้าน

ศาลฎีกาในคดีนี้บอกว่า ใช่ คนน่ะเปิดเผยข้อมูลต่างๆ ให้กับผู้ให้บริการ แต่มันก็มีเจตนาในการเปิดเผยอยู่ ว่าเปิดเผยเพราะเขาจะรับบริการนี้ ในครั้งนี้ ดังนั้นข้อมูลก็ควรจะถูกใช้เพื่อการนั้นเท่านั้น ไม่ควรจะถูกเอาไปใช้ในเรื่องอื่นต่อ

เทคโนโลยีเปลี่ยนไปเร็วมาก ข้อมูลออนไลน์มากขึ้นเรื่อยๆ คอมพิวเตอร์เก่งขึ้นเร็วขึ้นเรื่อยๆ กฎหมายควรจะให้ความคุ้มครองที่ได้สัดส่วนกัน

(ภาพประกอบจากเว็บไซต์ FullContact)

รวมบทความภาษาไทยเรื่องความเป็นส่วนตัว ข้อมูลส่วนบุคคล และสิทธิในการถูกลืม

รวมลิงก์บทความเกี่ยวกับความเป็นส่วนตัวและข้อมูลส่วนบุคคล

ใครสนใจประเด็นเหล่านี้ ขอเชิญร่วมงานประชุมวันที่ 25 กันยานี้ด้วยครับ

การประชุมว่าด้วยเทคโนโลยีและสิทธิพลเมืองครั้งที่ 2
2nd Technology and Civil Rights Conference

พุธ 25 ก.ย. 2556 08:30-16:30
ห้อง 5303 อาคาร 5 มหาวิทยาลัยหอการค้าไทย ถนนวิภาวดี-รังสิต [แผนที่] [Facebook]

คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย และเครือข่ายพลเมืองเน็ต โดยการสนับสนุนของมูลนิธิไฮน์ริค เบิลล์ สำนักงานเอเชียตะวันออกเฉียงใต้ ไพรเวซีอินเทอร์เนชันแนล และอินเทอร์นิวส์ ขอเชิญพลเมืองเน็ต นักวิชาการ ผู้ประกอบการ องค์กรประชาสังคม องค์กรกำกับดูแล และสื่อมวลชน ร่วมการประชุมว่าด้วยเทคโนโลยีและสิทธิพลเมืองประจำปี 2556 ในหัวข้อ “หน้าต่างมีหูประตูมีช่อง: ความเป็นส่วนตัวออนไลน์และการสอดส่องการสื่อสาร (Online Privacy and Communications Surviellance)”

รายละเอียดเพิ่มเติมที่ https://thainetizen.org/2013/09/tech-civil-rights-conf-2013-online-privacy-communications-surveillance/

[jobs] โครงการวิจัยความเป็นส่วนตัวออนไลน์ รับสมัครงาน 2 ตำแหน่ง

เครือข่ายพลเมืองเน็ต รับสมัครเจ้าหน้าที่วิจัยประจำโครงการ “Thai Online Services’ Privacy Policy and Security Measures: Evaluation and Public Understanding” โครงการนี้จะสำรวจนโยบายความเป็นส่วนตัว มาตรการรักษาความปลอดภัย และการคุ้มครองข้อมูลส่วนบุคคลของบริการออนไลน์ในประเทศไทย และนำเสนอข้อค้นพบในรูปแบบเข้าใจง่าย เพื่อให้ผู้บริโภคใช้ประกอบการตัดสินใจเลือกใช้บริการ

นักวิจัยประจำโครงการ 1 ตำแหน่ง (ร่วมบริหารโครงการวิจัยด้วย)
ระยะเวลา: 21 เดือน (พ.ค. 2013 – ม.ค. 2015)
เงินเดือน: 31,400 บาท

นักศึกษาผู้ช่วยนักวิจัย 1 ตำแหน่ง (20 ชั่วโมง/สัปดาห์)
ระยะเวลา: 8 เดือน (พ.ค. 2013 – ธ.ค. 2013)
เงินเดือน: 10,000 บาท

เปิดรับสมัครถึงวันที่ 12 เม.ย. 2013 – ประกาศผล 25 เม.ย.

ดูรายละเอียดคุณสมบัติ หน้าที่รับผิดชอบ และวิธีการสมัคร ที่เว็บไซต์เครือข่ายพลเมืองเน็ต

โครงการวิจัยนี้เป็นส่วนหนึ่งของชุดโครงการวิจัยระดับนานาชาติ “Surveillance and Freedom: global understandings and rights development (SAFEGUARD)” ซึ่งมีโครงการวิจัย 19 โครงการใน 16 ประเทศ และทำงานร่วมกับองค์กร Privacy International สหราชอาณาจักร

เครือข่ายพลเมืองเน็ตเป็นกลุ่มรณรงค์เพื่อสิทธิมนุษยชนและอินเทอร์เน็ต ก่อตั้งปี 2008 มีบทบาทในการผลักดันการแก้ไขพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ การส่งเสริมความเข้มแข็งของสื่อพลเมือง และความเข้าใจในวัฒนธรรมออนไลน์

กรณีหน้าเว็บกระทรวงวัฒนธรรม “ถูกแฮ็ก” / ผู้ดูแลระบบควรรับผิดด้วยไหม?

จากกรณีหน้าเว็บกระทรวงวัฒนธรรม “ถูกแฮ็ก” หลังช่องสามประกาศงดฉายละคร “เหนือเมฆ 2” ต่อ และล่าสุดมีคนพบว่ามีลิงก์ไปเว็บรับพนันบอลบนหน้าแรกของเว็บกระทรวงด้วย ก็คิดๆ น่ะครับ ว่าคนเจาะนั้นเก่ง หรือว่าเว็บไซต์หน่วยงานรัฐไทยน่ะ ระบบรักษาความปลอดภัยห่วย

ผมพยายามตอบบางคำถามที่ถามกันบ่อย พร้อมตั้งข้อสังเกตและข้อเสนอ ซึ่งจะเกี่ยวข้องกับการแก้ไขพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และการเสนอร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

เกิดขึ้นได้อย่างไร?

เท่าที่ดูอาการตามหน้าจอและซอร์สโค้ดที่โชว์ใน Blognone เป็นเรื่องที่พบได้ทั่วไป ผมก็เคยโดนกับเว็บไซต์ที่เคยดูแล (cc.in.th)

ต้องเข้าใจว่าซอฟต์แวร์และฮาร์ดแวร์ทุกตัวมีรูโหว่ให้เจาะเข้าไปเสมอ เซิร์ฟเวอร์ของเว็บไซต์กระทรวงวัฒนธรรมก็เช่นกัน ไม่ว่าจะเป็นรูรั่วจากความผิดพลาดของซอฟต์แวร์หรืออุปกรณ์เอง หรือจากความประมาทเลินเล่อของผู้ดูแลที่ติดตั้งระบบไม่รัดกุม

รูรั่วเหล่านี้ จะถูกค้นพบใหม่เรื่อยๆ ทางผู้ผลิตซอฟต์แวร์ โดยปกติ เมื่อทราบข่าว ก็จะรีบอุดรูรั่วดังกล่าว และประกาศให้คนรีบอัปเดตซอฟต์แวร์หรือทำการแก้ไขด้วยวิธีอื่น

ทางคนที่ไม่หวังดีหรืออยากจะลองของ ถ้าทราบข่าวเดียวกัน ก็อาจจะใช้รูรั่วดังกล่าว เพื่อเข้าระบบโดยไม่ได้รับอนุญาตได้

ดังนั้นถ้าผู้ดูแลระบบไม่ได้ใส่ใจ ไม่ได้อัปเดตซอฟต์แวร์ ไม่ได้หมั่นตรวจตราระบบว่าการติดตั้งต่างๆ ยังรัดกุมอยู่ ก็ยิ่งมีโอกาสจะถูกเจาะได้ง่าย

(โน๊ต: ผมสนับสนุนหลักการ full disclosure นะครับ คือถ้าพบรูรั่วก็ต้องแจ้งให้ทราบ ไม่ใช่ปกปิดเอาไว้ ผมเชื่อว่าการเปิดเผยข้อปัญหา จะทำให้การแก้ปัญหาทำได้รวดเร็วกว่า และนำไปสู่ความปลอดภัยโดยรวมที่ดีกว่า)

แรงจูงใจ

เรื่องแบบนี้เกิดขึ้นบ่อย ไม่ว่าจะเป็นการเอาแบนเนอร์โฆษณาหรือลิงก์ไปยังเว็บที่อยากโปรโมต ไปแอบวางบนเว็บไซต์ต่างๆ ทั้งนี้เพราะมีแรงจูงใจทางเศรษฐกิจ

ส่วนใหญ่เป็นลิงก์ขายของประเภทหนังโป๊ ของเล่นผู้ใหญ่ การพนัน หรือยาเสริมสมรรถภาพทางเพศ (แต่ก็ไม่จำเป็นเสมอไปนะครับ) สินค้าเหล่านี้โฆษณาช่องทางปกติยาก คนจะเจอส่วนหนึ่งต้องใช้วิธีการค้นหาจากเสิร์ชเอนจิน

ดังนั้นจะทำยังไงให้คนค้นคำต่างๆ แล้วมาเจอเว็บของเขา ทำอย่างไรให้เว็บเขาขึ้นอันดับสูงๆ ในเสิร์ชเอนจินต่างๆ

วิธีหนึ่งคือ ให้มี “backlink” หรือ incoming link ให้เว็บอื่นทำลิงก์มาหาเว็บเขาเยอะๆ ทั้งนี้เพราะเสิร์ชเอนจินหลายตัว ใช้ backlink นี้ในการคำนวณ จัดอันดับ ว่าเว็บไซต์ไหนจะได้อยู่อันดับต้นๆ

เว็บใหญ่ๆ ที่มีคะแนน PageRank สูงๆ หรือเว็บของรัฐหรือองค์กรต่างๆ มักจะตกเป็นเป้าหมาย (go.th, .gov, .or.th, .edu) เพราะเสิร์ชเอนจินอย่างกูเกิล จะให้น้ำหนักว่า เว็บพวกนี้มีความน่าเชื่อถือ และคงไม่ลิงก์ไปไหนสุ่มสี่สุ่มห้า ลิงก์ที่อยู่ในเว็บพวกนี้ น่าจะได้รับการเลือกแล้ว คัดแล้ว ดังนั้นถ้าสามารถเอา backlink ไปวางไว้ในเว็บองค์กรเหล่านี้ได้ แล้วเชื่อมโยงมาเว็บไซต์ขายของที่ว่า ก็จะทำให้เว็บไซต์ขายของได้อันดับสูงขึ้น

จะแก้ไขอย่างไร ?

หลังจากนำลิงก์หรือแบนเนอร์ที่ไม่พึงประสงค์ออกไปหมดแล้ว การอัปเดตซอฟต์แวร์ก็อาจจะแก้ปัญหาทั้งหมดได้

แต่ก็ต้องระวังว่า อาจจะมี backdoor หรือ ประตูหลัง วางเอาไว้ในระบบในส่วนที่เราตรวจหาลำบาก เป็นช่องให้เจาะกลับมาอีกได้

หรือบางครั้ง หลงคิดว่าเอาลิงก์ออกหมดแล้ว แต่จริงๆ ไม่หมด อาจจะมีโปรแกรมเล็กๆ ฝังอยู่ในเซิร์ฟเวอร์ สร้างลิงก์พวกนั้นขึ้นมาใหม่ได้ เช่นอาจจะซ่อนอยู่ในโปรแกรมที่ถูกเรียกทำงานทุกครั้งเวลามีคนเข้าเยี่ยมชมเว็บไซต์ (อย่างไฟล์ header ของสคริปต์) แล้วโปรแกรมที่ว่าก็จะคอยเช็คว่า ลิงก์โฆษณายังอยู่ไหม ถ้าถูกลบไป ก็ให้สร้างใหม่ แบบนี้เหมือนฆ่าไม่ตาย จนกว่าเราจะหาโปรแกรมที่ว่านี้เจอและลบทิ้ง

(ที่แสบคือ โปรแกรมพวกนี้ซับซ้อนอยู่เหมือนกัน ที่เคยเจอคือ คนเขียนโปรแกรมเอาโค้ดทั้งหมด (เป็น PHP) ยัดลง string แล้วเข้ารหัสทั้งหมดเป็น base64 เก็บไว้ใน header ของ WordPress ซึ่งจะมีโค้ดเล็กๆ decode string ที่ว่ากลับมา แล้วจับเข้า eval() เพื่อรัน — พอเป็นแบบนี้แล้ว การจะใช้คีย์เวิร์ดเพื่อค้นหา string ของ url ที่เราคิดว่าเป็นปัญหา ก็เลยแทบเป็นไปไม่ได้ เพราะมันถูกเข้ารหัสไปแล้ว)

ทางที่ดีก็คือว่า พอรู้ว่าระบบถูกเจาะ ก็ต้องทำการตรวจสอบระบบทั้งหมด อย่าให้เหลือที่ที่น่าสงสัย จากนั้นก็ลงแพตซ์หรือตัวอัปเดตต่างๆ ให้ครบถ้วน และปิดบริการ ปิดพอร์ต ปิดช่องทางที่ไม่ได้ใช้งานทิ้งไป เพื่อให้เหลือช่องทางที่จะถูกเจาะได้น้อยลง

บางทีบนเซิร์ฟเวอร์ที่ให้บริการเว็บไซต์อันนึง มีบริการอื่นๆ อะไรไม่รู้เปิดอยู่อีกเป็นสิบๆ อย่าง ทั้งๆ ที่ไม่ได้ใช้ แบบนี้ก็เสี่ยง เหมือนยิ่งมีประตูเข้าบ้านเยอะ ก็ยิ่งเสี่ยง โอกาสที่กุญแจของประตูบานใดบานหนึ่งจะเสียมันก็มากขึ้นตามจำนวนประตู ก็ต้องปิดตายประตูพวกนี้ไปเลย อย่าปล่อยไว้เป็นความเสี่ยง

กรณีอย่างเว็บเซิร์ฟเวอร์นี่ หลายครั้งถูกเจาะผ่านทาง FTP — FTP เป็นซอฟต์แวร์ตัวหนึ่งที่ใช้ในการรับส่งไฟล์เข้าเซิร์ฟเวอร์ แต่มันออกแบบมานานมากแล้ว รุ่นแรกนี่เกิน 40 ปี ระบบความปลอดภัยก็ไม่ได้ทันสมัย ไม่มีการเข้ารหัส รหัสผ่านก็ถูกดักฟังง่าย เว็บโฮสต์เดี๋ยวนี้หลายที่เลยจะไม่ยอมเปิดให้ใช้ FTP แล้ว ตัดปัญหา (ไล่ให้ไปใช้ SCP หรือ SFTP แทน ซึ่งปลอดภัยกว่า)

ได้ข่าวว่ากระทรวงจะจัดซื้อเซิร์ฟเวอร์ใหม่เพื่อแก้ปัญหา ก็ต้องย้ำว่า การเปลี่ยนอุปกรณ์หรือซอฟต์แวร์ใหม่หมด อาจจะทำได้เร็ว และเหมือนแก้ปัญหาได้ทันที แต่จริงๆ ถ้าผู้ดูแลระบบยังคงไม่ใส่ใจดูแลปรับปรุงซอฟต์แวร์ให้ใหม่อยู่เสมอ ไม่ขยันติดตามข่าวสารเพื่ออุดช่องว่างของระบบอย่างต่อเนื่อง ก็อาจจะกลับมาโดนเจาะได้อีกอยู่ดี

เป็นการแฮ็ก ?

มันก็เป็นไปได้ว่า ไม่ใช่การแฮ็กที่เซิร์ฟเวอร์ ไม่ใช่การเจาะเข้าที่ไปเซิร์ฟเวอร์ แล้วเอาลิงก์เหล่านี้ไปวาง

แต่ลิงก์เหล่านี้ถูกวางในเครื่องของคนออกแบบเว็บ คนเขียนโปรแกรมเว็บ โดยใครหรือโปรแกรมอะไรสักอย่าง แล้วก็เป็นนักออกแบบหรือโปรแกรมเมอร์ที่มีสิทธิเข้าถึง(บางส่วนของ)เซิร์ฟเวอร์ได้เป็นปกตินี่แหละ เป็นคนเอาเข้าไปที่เซิร์ฟเวอร์เอง ไม่ได้มีการเจาะอะไรทั้งนั้น

คือเครื่องของคนออกแบบเว็บ อาจจะติดมัลแวร์หรือไวรัส แล้วเจ้ามัลแวร์นี่มันฉลาด สแกนเครื่อง หาว่ามีไฟล์อะไรหน้าตาเป็น .html .php ซึ่งเป็นประเภทไฟล์ที่คนนิยมใช้ทำเว็บ

พอมันก็เจอไฟล์พวกนี้ ก็จะแทรกลิงก์โฆษณานี้ลงไปในไฟล์ พอนักออกแบบเว็บ อัปโหลดไฟล์พวกนี้เข้าเซิร์ฟเวอร์ ลิงก์มันก็ติดไปด้วย

ถ้าเป็นแบบนี้ จริงๆ ตัวเว็บเซิร์ฟเวอร์ไม่ได้ถูกเจาะ ไม่ได้ถูกแฮ็ก แต่เป็นความประมาเลินเล่อของนักออกแบบ นักพัฒนาเว็บเอง ที่ปล่อยให้เครื่องตัวเองไม่สะอาด

ก็เลยมีโอกาสเป็นได้ทั้งสองอย่าง
1) เป็นการแฮ็ก (โดยคน หรือโดยโปรแกรมอัตโนมัติที่คอยสแกนหารูรั่ว)
2) ไม่ได้เป็นการแฮ็ก (แต่เครื่องนักออกแบบเว็บติดมัลแวร์)

หรือจะเป็นการจงใจเอาไปวางเองเลย ?

ก็เป็นไปได้ อย่างที่บอก มันมีแรงจูงใจทางเศรษฐกิจ คนทำก็อาจจะคิดว่าไม่มีใครมาตรวจสอบหรอก

พูดถึง backlink แล้วก็มีเรื่องน่าสนใจคือ บางทีจะเห็นบริษัทเอกชนเสนอตัวทำเว็บให้กับหน่วยงานรัฐฟรีๆ พอทำเสร็จ ก็จะทำแบนเนอร์ ทำลิงก์ โยงกลับไปเว็บตัวเอง ก็เป็นวิธีดันอันดับในเสิร์ชเอนจินตัวเองได้ด้วย

ข้อเสนอเพื่อการปรับปรุงความปลอดภัย ที่ไม่ใช่เรื่องซอฟต์แวร์และฮาร์ดแวร์

ข้อเสนอหนึ่งของผมคือ นอกจากผู้เจาะระบบ จะมีโทษทางอาญาตามพ.ร.บ.คอมพิวเตอร์แล้ว

ในกรณีนี้ ผู้ดูแลระบบ ซึ่งเป็นพนักงานของรัฐหรือข้าราชการ ก็ควรจะมีโทษทางวินัยด้วย ถ้าสามารถพิสูจน์ได้ว่าปล่อยปละละเลย เป็นกรณีสามารถป้องกันได้และอยู่ในอำนาจหน้าที่ แต่ไม่ยอมป้องกัน

คือในฐานะเจ้าหน้าที่รัฐซึ่งมีหน้าที่ มันไม่ใช่แค่ว่า ทำอะไร แล้วถึงจะผิดได้ มันมีเรื่องที่ ถ้าไม่ทำ ละเลย แล้วก็มีความผิดได้ด้วย เพราะมันอาจเกี่ยวกับความเสียหายของสาธารณะของประชาชนได้ เช่นข้อมูลส่วนบุคคลของประชาชนที่อยู่ในเซิร์ฟเวอร์เดียวกัน (ซึ่งโดยหลักการก็ควรจะแยกเก็บต่างหากอะนะ) เกิดรั่วไหล

แบบนี้ถ้ามีความเสียหายเกิดขึ้น ก็ต้องมีคนรับผิดชอบ ทั้งระดับตัวบุคคลและระดับหน่วยงาน

สำหรับผู้ดูแลระบบเอกชน อันนี้ก็แล้วแต่นโยบายบริษัท อาจจะถูกประเมินเป็นต้น

มันต้องมีมาตรการอะไรแบบนี้ด้วย ไม่ใช่ว่าคนผิดคือเฉพาะคนเจาะ เหมือนเราจ้างบริษัทรักษาความปลอดภัยมาเฝ้าบ้าน ถ้าเขาเอากุญแจล็อกห่วยๆ มาล็อกบ้านให้เรา หรือยามดันหลับ กล้องวงจรปิดก็ดันใช้งานไม่ได้ ฯลฯ เราควรจะเรียกร้องค่าเสียหายกับบริษัทรักษาความปลอดภัยได้ด้วย เขาต้องมีความรับผิดในบางระดับ ไม่งั้นจะจ้างมาทำไม ถ้าไม่ต้องรับผิดอะไรเลย

ทำแบบนี้เพื่อสร้างแรงจูงใจ ให้ต้อง take best efforts ทำให้ดีที่สุดสำหรับงานในหน้าที่

ปีที่แล้วเพิ่งมีกรณีที่ธนาคารแห่งหนึ่งในสหรัฐ ตกลงจ่ายเงินยอมความ หลังถูกลูกค้าฟ้องว่าระบบรักษาความปลอดภัยของธนาคารนั้นไม่ได้เรื่อง “ต่ำกว่ามาตรฐานในธุรกิจเดียวกัน” และเป็นเหตุให้ลูกค้าต้องเสียเงินในบัญชี

อัปเดตคืนวันที่ 24 ม.ค. 2556: ล่าสุดคณะกรรมการข้อมูลข่าวสารของสหราชอาณาจักร สั่งปรับบริษัทโซนี่ 250,000 ปอนด์ หรือเกือบ 11.8 ล้านบาท (ค่าปรับสูงสุดตามกฎหมายคือ 500,000 ปอนด์) เพื่อลงโทษที่โซนี่ไม่มีระบบรักษาความปลอดภัยที่ดีพอ จนทำให้เซิร์ฟเวอร์ถูกเจาะ ข้อมูลส่วนตัวและรหัสผ่านของลูกค้าที่เป็นสมาชิกเครือข่ายเกมออนไลน์กว่าล้านรายถูกขโมย

ในการให้การต่อศาล อาจารย์มหาวิทยาลัยผู้เชี่ยวชาญด้านความมั่นคงของระบบคอมพิวเตอร์รายหนึ่ง ให้การว่าซอฟต์แวร์เว็บเซิร์ฟเวอร์ที่โซนี่ใช้กับเครือข่ายเกมดังกล่าวนั้นไม่ได้ติดตั้งแพตช์ (ตัวปรับปรุงซอฟต์แวร์เพื่อแก้ไขปัญหา) อีกทั้งระบบยังไม่ได้ติดตั้งไฟร์วอลล์เพื่อป้องกันการโจมตีอีกด้วย

ที่แย่กว่านั้นคือ มีคนพูดเรื่องนี้ในเว็บบอร์ดสาธารณะแห่งหนึ่ง ที่พนักงานของโซนี่ก็คอยติดตามอยู่ ซึ่งแปลว่ามีคนของโซนี่รู้ปัญหา แต่ไม่ได้ดำเนินการแก้ไขป้องกันให้เหมาะสม

ผู้อำนวยการด้านการคุ้มครองข้อมูล ในคณะกรรมการข้อมูลข่าวสารฯ กล่าวว่า “ถ้าคุณรับผิดชอบรายละเอียดของบัตรจ่ายเงินและรายละเอียดสำหรับการเข้าสู่ระบบจำนวนมากมาย การรักษาความปลอดภัยให้กับข้อมูลบุคคลจำเป็นจะต้องเป็นสิ่งที่ได้รับความสนใจก่อนสิ่งอื่นๆ” (If you are responsible for so many payment card details and log-in details then keeping that personal data secure has to be your priority.)

กฎหมาย Data Protection Act ของสหราชอาณาจักร ระบุว่าผู้ดูแลข้อมูลมีหน้าที่รักษาข้อมูลให้ปลอดภัย ต้องมีการตรวจสอบระบบ (audit) และประเมินความเสี่ยง นอกจากนี้ต้องมีมาตรการรับมือเร่งด่วนหากพบว่ามีการรั่วไหลของข้อมูล ดังได้ประกาศไว้ในหลักการข้อที่ 7 ของการคุ้มครองข้อมูล

(ใครสนใจกฎหมายฉบับนี้ ลองดูรายงานการศึกษาโดย พงศ์ศักดิ์ ยอดมณี ที่เสนอต่อคณะกรรมการพัฒนากฎหมาย สำนักงานคณะกรรมการกฤษฎีกา)

แปลว่าจะเอาผู้ดูแลระบบไปเข้าคุก ?

ไม่ใช่ครับ

คือมันมี 2 เรื่อง
1) กรณีไหนที่ต้องรับผิดมั่ง กรณีไหนยกเว้นได้
2) ถ้าต้องรับผิดมีโทษ ควรเป็นโทษทางอาญา ทางแพ่ง ทางวินัย ทางสัญญาจ้าง ทางไหนมั่ง

ผมชอบเทียบกับการสร้างตึก ถ้าวิศวกรออกแบบมาดีหมดทุกอย่างแล้ว จะสร้างที่กรุงเทพนะ ย้อนหลังไป 30 ปี ไม่เคยมีประวัติแผ่นดินไหวเกิน 6 ริกเตอร์ สมมติ เขาก็ออกแบบไว้เผื่อตามหลักวิชาการเท่าที่จำเป็น ปรากฏวันดีคืนดี แผ่นดินไหวกรุงเทพ 8 ริกเตอร์ว่ะ พังหมด เขาก็ไม่น่าจะต้องรับผิดชอบ คือได้ทำดีที่สุดในเงื่อนไขที่คาดการณ์ล่วงหน้าได้ตามวิสัยมนุษย์ ตามหลักวิชาแล้ว

แต่ถ้าตรวจสอบแล้วพบว่าจริงๆ มันพังเพราะออกแบบไม่ดี อันนี้ก็ต้องรับผิด

กลับมากรณีเว็บเซิร์ฟเวอร์ ถ้าพิสูจน์ได้ว่า ลงแพตช์มันหมดแล้วเท่าที่ทำได้ พอร์ตต่างๆ ที่ไม่ได้ใช้ก็ปิดแล้ว ทำดีที่สุดแล้ว ถ้ายังโดนเจาะอยู่ ก็ถือว่าสุดวิสัยไหม ไม่ต้องรับผิด

แต่ถ้าพบว่า เออ ปล่อยปละละเลยจริง ซกมกมากในเซิร์ฟเวอร์ ก็ควรจะต้องรับผิดอะไรหน่อยไหม — ไม่ใช่ในทางอาญา แต่เป็นทางวินัยหรืออะไรที่เทียบเคียงได้ แบบที่เสนอไปก่อนหน้า

กฎหมายที่เกี่ยวกับคอมพิวเตอร์มันต้องมาทำงานเรื่องนี้ครับ เป็นอาชญากรรมคอมพิวเตอร์จริงๆ เป็นการคุ้มครองข้อมูลจริงๆ เป็นความปลอดภัยความมั่นคงของประชาชนของสาธารณะจริงๆ ไม่ใช่ทำแต่เรื่องหมิ่นกษัตริย์ หรืออ้าง “ความมั่นคงของชาติ” ลอยๆ เอาจุดประสงค์นั้นมาปนกับกฎหมายอาชญากรรมคอมพิวเตอร์ จนกฎหมายมันออกมาพิกลพิการ ถูก abuse เอาไปใช้เล่นงานศัตรูทางการเมือง ที่แย่ก็คือ กิจกรรมที่ว่ามาทั้งหมดกินทรัพยากรไปจากที่ควรจะเอามาปราบปรามอาชญากรรมคอมพิวเตอร์และปกป้องผู้ใช้คอมพิวเตอร์จริงๆ

(รวบรวมจากที่ตอบนักข่าวจากไทยพีบีเอสและเนชั่นทางเฟซบุ๊กและอีเมล กับที่คุยกับ @mormmam @warong และชวนคุยในกรุ๊ป thainetizen บนเฟซบุ๊ก)

—-

สนใจติดตามข่าวสารทำนองนี้ เชิญได้ที่เฟซบุ๊ก ทวิตเตอร์ ฯลฯ ของเครือข่ายพลเมืองเน็ตครับ 🙂
เฟซบุ๊กเพจ https://www.facebook.com/thainetizen
เฟซบุ๊กกรุ๊ป https://www.facebook.com/groups/thainetizen
ทวิตเตอร์ https://twitter.com/thainetizen
เว็บไซต์ https://thainetizen.org