เมื่อวันที่ 24 ก.พ.2560 ณ ห้อง 1208 ชั้น 2 ตึกสิรินธรารัตน์ ม.ธรรมศาสตร์ ลำปาง มีงานเสวนาเรื่อง "ร่างพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์และพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ : ความเป็นมา หลักการ และข้อควรพิจารณา" โดย ผศ.ทศพล ทรรศนกุลพันธ์ ได้กล่าวในหัวข้อ "ร่างพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์"
ผศ.ทศพล ทรรศนกุลพันธ์ กล่าวว่า ระบบการกำกับโลกไซเบอร์ถ้ามองจากทั้งโลกจะมีทั้งหมด4แบบ แบบ1 คือ เป็นอิสรเสรี อยู่ดีดีมีคนคิดขึ้นได้ก็ใช้ประโยชน์ยังไม่มีการใช้กฎหมายมากำกับดูแล เป็นเสรี ใช้กลไกการตลาดสู้กันเองในทางธุรกิจและดึงดูดลูกค้า แต่ละธุรกิจก็ดูแลตัวเอง ในไทยรวมไปถึงทุกที่ช่วงแรกก็จะเป็นส่วนใหญ่แบบนี้ แบบที่2 คือมีคู่แข่ง และมีผู้ให้บริการหลายๆราย ที่ให้บริการในเรื่องเดียวกัน แทนที่จะเป็นระบบที่เยอะต่างคนต่างทำ มาตกลงร่วมกันเพื่อสร้างกลไกร่วมกันสร้างกฎร่วมกัน แบบนี้จึงเป็นการควบคุมจากภาคธุรกิจกันเองโดยผ่านผู้บริการนั้นๆ แบบที่3 รัฐเริ่มให้ความสำคัญ ว่ามีผลกระทบต่อความมั่นคงหรือไม่ ทุกวันนี้คงไม่ต้องบอกว่าในโลกไซเบอร์ส่งผลต่อสังคมการเมืองและความมั่นคงแน่นอน อันนี้รัฐไทยสนใจ รัฐจึงจะออกกฎหมายใหญ่ๆมาให้แนวทางกว้างๆแต่ในรายละเอียดในเชิงเทคนิคเชิงวิธีการจะอาศัยให้ธุรกิจหรือภาคบริการนั้นๆไปออกกฎเอาเอง แต่กฎภายในของตัวเองต้องอยู่ภายในกรอบของรัฐ แบบที่ 4 คือแนวทางที่รัฐไทยอยากจะเป็น คือรัฐเอาอำนาจสิทธิขาดในการตัดสินใจ บีบบังคับสั่งการ ให้คนอื่นทำในมาตรฐานลงไปรายละเอียดและเชิงเทคนิคด้วย มีหน่วยงานที่ดูแลด้านนี้ หรือจ้างเอกชนมาอยู่ภายใต้การควบคุมของรัฐ ถ้าจะเทียบอาจจะเหมือนจีน ซึ่งผมมองว่าทิศทางตั้งแต่การรัฐประหารตั้งแต่ปี 2557 ก็เห็นชัดเจนว่า ฝ่ายความมั่นคงมองเห็นความสำคัญหรือเขามองว่ามันคุกคามต่อความมั่นคง เขาเลยพยายามออกกฎหมายทั้งชุด ที่เต็มๆเลยก็คือพ.ร.บ.ความมั่นคงไซเบอร์ จะเห็นว่าคณะกรรมการขึ้นมามีอำนาจสั่งเอกชนหรือหน่วยงานรัฐ ในการสร้างมาตรฐานขึ้นมา ส่วนที่เขาจะทำได้หรือไม่เป็นอีกเรื่อง อยู่ที่ยุทธศาสตร์ ยุทธวิธี
ทศพล กล่าวว่า ถ้าไทยเดินไปในทิศทางที่เป็นแบบจีน คือเข้าไปควบคุมการไหลเวียนของข้อมูลหรือการเจาะระบบคล้ายๆสร้างกำแพงเมืองจีน ต้องมองว่ารัฐ1รัฐไม่ได้มีหน้าที่ในการรักษาความสงบหรือความมั่นคงอย่างเดียว แต่ระยะหลังต้องสร้างกิจกรรม ทางเศรษฐกิจเพื่อให้เกิดความมั่งคั่ง ถ้าต้องต้องการใช้ระบบปิด แบบไม่ตรงตามมาตรฐานสากลที่เขาใช้กันในโลกตลาด เศรษฐกิจดิจิตอลไทยจะเป็นอย่างไร
ทศพล กล่าวว่า มันมีความสับสนหรือไม่ในฝ่ายความมั่นคงที่มองพ.ร.บ.ความมั่นคงไซเบอร์เป็นพ.ร.บ.ความมั่นคงด้านการสู้รบทางไซเบอร์รึเปล่า ทีนี้ต้องแยกให้ชัดว่า การโจมตีทางไซเบอร์ในปัจจุบันมันไม่มีด้วยซ้ำในกฎหมายสงครามทั้งในแง่ที่มีหน่วยงานของรัฐอื่นหรือกองกำลังทางไซเบอร์โจมตีเว็บไซต์รัฐบาลเรา มันก็ยังไม่มีกฎหมายที่มันชัดเจน ที่จะมาฟันธงว่าการกระทำนี้เป็นสงครามไหมไม่มี ถ้าจะทำว่าเป็นสงครามนะต้องมีการตอบโต้ระหว่างประเทศ มันก็ไม่ได้ผลเพราะเป็นต้องเป็นกฎหมายระหว่างประเทศ ในเชิงกฎหมายรัฐไทยต้องไปร่วมเวทีระหว่างประเทศ
ทศพลกล่าวว่า พ.ร.บ.ความมั่นคงไซเบอร์จริงๆสิ่งต้องทำก็คือต้องประเมินความเสี่ยงของระบบตัวเอง ที่จะทำให้พ.ร.บ.นี้คุ้มทุนคือ มีคณะกรรมการที่มาช่วยรวบรวมองค์ความรู้หรือมาช่วยประเมินปัญหาแนวโน้มเพื่อการเตรียมตัวต่อความเสี่ยงและแจ้งให้รับรู้ว่ามีการละเมิดระบบ โจมตีระบบ หรือการรั่วไหลอ่อนแอของระบบ อันนี้เป็นการเทียบกับประเทศอื่นๆหรือสหภาพยุโรป
"เราพยายามหาประชาชน ไม่เห็นคำว่าประชาชน หรือพลเมืองหรือบุคคลเลยมันน่าสลดสยองนิดหนึ่งเพราะตามที่เราเรียนหนังสือกฎหมายกันมาบอกว่ากฎหมายมีไว้ปกป้องสิทธิของบุคคลคือประธานแห่งสิทธิ แต่เราไปพบว่ามันไม่ใช่ เราไปพบในมาตรา3เน้นไปที่การปกป้องความมั่นคงของชาติหรือความมั่นคงที่เกี่ยวของกับการทหาร รักษาความสงบ รักษาความมั่นคงทางเศรษฐกิจ คือทุกอย่างเป็นนามธรรมจับต้องไม่ได้ มันอยู่ที่ใครมีอำนาจในการที่ความแล้วชี้ว่ามันกระทบความมั่นคงแล้ว "
ทศพลกล่าวว่า พ.ร.บ.ความมั่นคงไซเบอร์มีความเชื่อมโยงกับมาตรฐานสากลหรือไม่ เจ้าพนักงานของรัฐหรือรัฐมนตรีก็พูดว่า พ.ร.บ.ความมั่นคงทางไซเบอร์ของเราได้มาตรฐานอเมริกา ฟังแล้วสยองเพราะใครๆก็รู้ว่ากฎหมายตัวนี้ไม่ได้รักษาความมั่นคงอย่างเดียว มันเป็นกฎหมายที่เข้าไปสอดส่องดูแลว่าในระบบมันมีใครที่สุ่มเสี่ยงว่าจะมีการก่อการร้ายหรือลุ่มอาชญากรรมข้ามชาติหรือเปล่า พูดแล้วเหมือนมันดี แต่คนก็สงสัยว่า จะทำอะไรกันแน่ จะสอดส่องใคร ซึ่งพอพูดถึงกันเยอะ เขาก็บอกไม่ใช่เราอาจจะลอกแบบมาจากเกาหลีใต้ เป็นการรักษาความมั่นคงทางไซเบอร์ตลอดเวลาจากปัญหาการคุมคามจากชาติติดกัน(เกาหลีเหนือ) เราก็ต้องตั้งคำถามว่าประเทศไทยมีภาวะฉุกเฉิน มีคู่ความเสี่ยงที่จะก่อสงครามตลอดเวลาอย่างนั้นหรือไม่ เรายังไม่ชัดเลยว่าความมั่นคงทางไซเบอร์จะเอาเฉพาะในลักษณะของซอฟต์แวร์หรือสัญญาณ หรือในลักษณะของโครงสร้างพื้นฐาน เช่นมีการชุมนุมทางการเมืองแล้วมีคนไปตัดสายสัญญาณอินเตอร์เน็ตจะมีคนบอกว่าผิดความมั่นคงทางไซเบอร์หรือไม่ ถ้าถามนักกฎหมายก็จะบอกว่าเป็นอีกเรื่อง เป็นอาชญากรรมปกติทำให้เสียทรัพย์ก็ไปดูกันอีกแบบ อันนี้ก็น่าเป็นห่วงในประเทศที่มีการชุมนุมทางการเมือง จะมีคนเอาเหตุนี้มาใช่บ่อยๆรึเปล่า ตกลงแล้วความมั่นคงมนเป็นเรื่องของ เครือข่ายระบบไอที หรือ ความมั่นคงของชาติ หรือเปล่า มันคุมเครือ
ทศพล กล่าวว่า ตัวพ.ร.บ.มีการรับรองสิทธิของพลเมืองเน็ตไว้เป็นพื้นฐานหรือประชาชนเป็นประธานในการใช้สิทธิหรือใช้อำนาจในการปกป้องตามพ.ร.บ.นี้หรือไม่ เราพยายามหาประชาชน ไม่เห็นคำว่าประชาชน หรือพลเมืองหรือบุคคลเลยมันน่าสลดสยองนิดหนึ่งเพราะตามที่เราเรียนหนังสือกฎหมายกันมาบอกว่ากฎหมายมีไว้ปกป้องสิทธิของบุคคลคือประธานแห่งสิทธิ แต่เราไปพบว่ามันไม่ใช่ เราไปพบในมาตรา3เน้นไปที่การปกป้องความมั่นคงของชาติหรือความมั่นคงที่เกี่ยวของกับการทหาร รักษาความสงบ รักษาความมั่นคงทางเศรษฐกิจ คือทุกอย่างเป็นนามธรรมจับต้องไม่ได้ มันอยู่ที่ใครมีอำนาจในการที่ความแล้วชี้ว่ามันกระทบความมั่นคงแล้ว
ทศพลกล่าวว่า เราพบว่าอำนาจหลังที่มาจากการบอกว่าตอนนี้เราพบการคุกคามทางไซเบอร์แล้ว มันไม่มีการวางเงื่อนไขในการจำกัดเงื่อนเวลา สถานที่ คือไม่รู้ว่าจะหยุดเมื่อไหร่ขอบเขตคือตรงไหน มันไม่ได้เคารพตามลำดับศักดิ์ของกฎหมาย เราพบว่าการไม่มีการประกันสิทธิประชาชนมันหลงลืมรัฐธรรมนูญไปไหม พออ้างว่าเข้าสู่สถานการณ์การคุมคามแล้ว มาตรา34 ระบุว่า คณะกรรมการสั่งให้หน่วยงานอื่นๆกระทำการเพื่อตอบสนองความมั่นคงปลอดภัยได้ สิ่งที่อาจเกิดขึ้นได้แน่ๆก็คือ อาจจะเกิด การออกแบบของรัฐว่าอยากได้อย่างไรให้ไปบอกบริษัทว่าต้องทำอย่างนี้นะ จะได้สอดแนมได้อะไรได้ มันก็เป็นความหวาดกลัวเรื่องการสอดส่อง ถามว่าคิดไปเองไหม มันบวกไปด้วยมาตรา35(3)ที่ให้อำนาจว่าด้วยการเข้าไปสอดส่องในตัวการสื่อสารเลย มันตลกตรงที่ว่า เราพูดกันเรื่องความปลอดภัยทางไซเบอร์ แต่จะแทรกแซงไปถึงการสื่อทางที่เป็นอานาล็อค
ทศพล ย้ำว่า มันเสี่ยงมากที่รัฐจะให้บริษัทใส่เทคโนโลยีในการสอดส่องลงไป หรือไปบังคับให้เครือข่ายองค์กรวิชาชีพมีกฎหรือนโยบายร่วมกันที่มีลักษณะไม่ประกันสิทธิผู้บริโภคแต่มีลักษณะเอื้อให้รัฐเข้ามาสอดส่องมากกว่าซึ่งมันอันตราย