เหตุผล 8 ข้อที่ สนช. ไม่ควรรับร่าง #พรบ_ความมั่นคงปลอดภัยไซเบอร์ ของกระทรวงดิจิทัลกับกฤษฎีกา:-
1. #เปิดช่องให้ละเมิดสิทธิประชาชน: อำนาจของเลขา กปช. ใน (ม.46) (ม.47) (ม.48) (ม.54) (ม.55) (ม.56) (ม.57) (ม.58) หลายอย่าง sensitive, กว้าง, ไม่มีหลักเกณฑ์, ไม่มีการให้เหตุผล, ไม่มีการพิจารณาความสมเหตุสมผล, อาจเปิดช่องให้ละเมิดอำนาจกฎหมายอื่น/สิทธิโดยชอบตามกฎหมายของ CII และประชาชน และเปิด business risk ให้ CII ที่ให้ข้อมูลและคู่สัญญาตลอดจนผู้รับบริการ จึงควรต้องกระทำโดยอาศัยคำสั่งศาล ไม่ใช่ทำได้โดยใช้เพียงดุลพินิจของเลขา CSA
2. #มีผลกระทบต่อประชาชนอย่างกว้างขวาง: นิยาม ทรัพย์สินสารสนเทศ ใน (ม.3) ครอบคลุมถึงมือถือและ Internet of Thing ด้วย จึงเปิดโอกาสให้จำกัดสิทธิเสรีภาพประชาชนอย่างมาก แต่ พรบ. กลับให้อำนาจเลขา กปช. โดยไม่มีการถ่วงดุลจาก คกก. กปช. (NCSC)
3. #โครงสร้างการบริหารขาดธรรมาภิบาล: กรรมการ NCSC มาจากภาครัฐ 7 คนกับผู้ทรงคุณวุฒิอีก 7 คน แต่กระบวนการสรรหาและคัดเลือกผู้ทรงคุณวุฒิให้ รมว. กำหนด ซึ่งอาจไม่ได้คนที่อิสระมาถ่วงดุลการใช้อำนาจของรัฐบาล (ม.5)
4. #หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ: การกำหนดหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ยังไม่ครอบคลุม critical infrastructure สำคัญทุกประเภท และควรระบุเกณฑ์ขนาดของหน่วยงาน/ผลกระทบด้วย ไม่ใช่สร้างภาระให้กิจการ/หน่วยงานเล็กๆ ที่ยังขาดศักยภาพในการดูแลตัวเอง นอกจากนี้ การทบทวนควรทำได้บ่อยเท่าที่จำเป็น ไม่ใช่ตายตัวที่ 2 ปี (ม.43)
5. #สิทธิพื้นฐานของผู้ถูกกล่าวหาตามหลักนิติธรรม: การรับผิดตาม (ม.64) ควรเฉพาะเมื่อฝ่าฝืนโดยไม่มีเหตุอันควร และต้องให้สิทธิผู้ถูกกล่าวหาอุทธรณ์หรือโต้แย้งได้
6. #การรวบอำนาจเรื่องสำคัญไว้กับหน่วยงานเดียว: (บทเฉพาะกาล) ความรับผิดชอบหลายเรื่องตกกับ สพธอ. หรือ ETDA มากเกินไป มีลักษณะรวบอำนาจ ขาด check and balance ทั้งที่ Cyber Security เป็นงานสำคัญระดับชาติที่ควรระดมความร่วมมือจากทุกภาคส่วน ไม่ใช่ให้กระทรวงดิจิทัล ดูอยู่คนเดียว
7. #ประเด็นความขัดแย้งทางผลประโยชน์: สนง. คกก. การรักษาความมั่นคงปลอดภัยไซเบอร์ (CSA) มีอำนาจถือหุ้น/ร่วมทุน ทำให้เป็นทั้ง player และ regulator และมี conflict of interest ได้ (ม.17)
8. #ประเด็นอื่นที่ควรปรับปรุง ได้แก่
- ผู้เชี่ยวชาญตาม (ม.41) ควรกำหนดให้มีวุฒิบัตรด้าน cyber security ที่ได้มาตรฐานเป็นที่ยอมรับของสากล
- การแจ้งชื่อผู้ดูแลระบบของ CII แก่ CSA หรือแจ้งก่อนเปลี่ยนแปลงผู้ดูแลระบบ 7 วัน ไม่ practical ไม่มีประโยชน์ และสร้างภาระแก่ CII โดยไม่จำเป็น (ม.44)
- การประเมินความเสี่ยงควรมีแนวทางที่เป็นหลักการมาตรฐาน ไม่ใช่ปล่อยให้ทำมาให้เลขา กปช. ดูว่าพอใจไหม (ม.47) (ม.48)
- การบังคับ CII ร่วมทดสอบความพร้อมในการรับมือ cyber threat ไม่ practical กับการทำงานของ CII ซึ่งต้องมีการเตรียมการ/จัดการทรัพยากรล่วงหน้า และมีระดับ risk หลากหลาย (ม.49)
- การรายงาน threat ที่เกิด/คาดว่าจะเกิด จะมีปริมาณมาก/เป็นภาระต่อ CII (ม.50) (ม.51)
- วิธี response ใน (ม.53) (ม.54) ล้าหลัง ไม่น่าทันเหตุการณ์ ไม่สอดคล้องกับเทคโนโลยีปัจจุบัน หรือไม่เหมาะกับการแก้ไข cyber threat ซึ่งต้องการ speed และ collaboration
download ตัวร่างที่ผ่าน ครม. รับหลักการได้จาก link
https://drive.google.com/open…
https://drive.google.com/open…
เครดิตภาพ พ.ต.อ.ญาณพล ยั่งยืน และสรุปความเห็นจากวงเสวนา #TISA ที่ G Tower เมื่อ 4 ตค.61
#CyberSecurityLaw
#CyberSecurityLaw
https://www.facebook.com/yanaphon/media_set?set=a.1963436750381899&type=3
ไม่มีความคิดเห็น:
แสดงความคิดเห็น