พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์: ภาระการปฏิบัติตามและความทับซ้อนกับ PDPA
การเปลี่ยนผ่านสู่เศรษฐกิจดิจิทัลทำให้ความมั่นคงปลอดภัยไซเบอร์กลายเป็นวาระสำคัญระดับชาติ ประเทศไทยได้วางกรอบกฎหมายรองรับผ่านพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 (Cybersecurity Act) ซึ่งประกาศใช้พร้อมกับ PDPA และเป็นส่วนหนึ่งของชุดกฎหมายดิจิทัลที่ปรับปรุงกรอบการกำกับดูแลพื้นที่ไซเบอร์ของประเทศ กฎหมายฉบับนี้มุ่งคุ้มครองโครงสร้างพื้นฐานสำคัญของประเทศจากภัยคุกคามทางไซเบอร์ และวางกลไกการรับมือเหตุการณ์ในระดับชาติ ทีมกฎหมายและทีมความมั่นคงสารสนเทศขององค์กรจำเป็นต้องเข้าใจภาระหน้าที่ภายใต้กฎหมายนี้ โดยเฉพาะจุดที่ทับซ้อนกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
โครงสร้างการกำกับดูแล
กฎหมายกำหนดโครงสร้างสถาบันหลายระดับเพื่อบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ของประเทศ ประกอบด้วยคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (National Cyber Security Committee) ทำหน้าที่กำหนดนโยบายและแผนระดับชาติ คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ที่ดูแลการปฏิบัติเชิงปฏิบัติการ และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช. หรือ NCSA) ที่ทำหน้าที่เป็นหน่วยงานหลักในการประสานงาน เฝ้าระวัง และตอบสนองต่อภัยคุกคาม โครงสร้างนี้สะท้อนแนวทางการกำกับดูแลแบบรวมศูนย์ที่ให้รัฐมีบทบาทเชิงรุกในการปกป้องพื้นที่ไซเบอร์
หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII)
หัวใจของกฎหมายอยู่ที่แนวคิด "โครงสร้างพื้นฐานสำคัญทางสารสนเทศ" (Critical Information Infrastructure หรือ CII) ซึ่งหมายถึงระบบคอมพิวเตอร์ที่หากถูกกระทบจะส่งผลร้ายแรงต่อความมั่นคงหรือบริการสาธารณะที่จำเป็น กฎหมายระบุภาคส่วนที่อาจถูกกำหนดเป็น CII ได้แก่
- ด้านความมั่นคงของรัฐ
- ด้านบริการภาครัฐที่สำคัญ
- ด้านการเงินการธนาคาร
- ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม
- ด้านการขนส่งและโลจิสติกส์
- ด้านพลังงานและสาธารณูปโภค
- ด้านสาธารณสุข
องค์กรที่ถูกกำหนดให้เป็นหน่วยงาน CII ต้องแบกรับภาระการปฏิบัติตามกฎหมายที่เข้มข้นกว่าหน่วยงานทั่วไปอย่างมีนัยสำคัญ ประเด็นสำคัญคือหน่วยงาน CII ไม่ได้จำกัดเฉพาะภาครัฐ แต่รวมถึงองค์กรเอกชนที่ดำเนินการในภาคส่วนวิกฤตเหล่านี้ด้วย
ภาระการปฏิบัติตามของหน่วยงาน CII
หน่วยงานที่ถูกกำหนดเป็น CII มีหน้าที่ตามกฎหมายหลายประการที่ต้องดำเนินการอย่างต่อเนื่อง
- จัดทำและปฏิบัติตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านความมั่นคงปลอดภัยไซเบอร์ที่หน่วยงานกำกับกำหนด
- ประเมินความเสี่ยงและตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์เป็นระยะ รวมถึงการตรวจประเมินโดยผู้ตรวจสอบอิสระ
- แจ้งเหตุภัยคุกคามทางไซเบอร์ต่อ NCSA เมื่อเกิดหรือคาดว่าจะเกิดภัยคุกคาม
- แต่งตั้งผู้รับผิดชอบและจัดให้มีกลไกรับมือเหตุการณ์
- ให้ความร่วมมือกับหน่วยงานกำกับในการป้องกันและรับมือภัยคุกคาม
การจำแนกระดับภัยคุกคามและอำนาจรัฐ
กฎหมายจำแนกภัยคุกคามทางไซเบอร์ออกเป็นสามระดับ คือระดับไม่ร้ายแรง ระดับร้ายแรง และระดับวิกฤต โดยแต่ละระดับให้อำนาจเจ้าหน้าที่รัฐแตกต่างกัน ในระดับที่รุนแรงขึ้น เจ้าหน้าที่อาจมีอำนาจเข้าตรวจสอบระบบ เข้าถึงข้อมูล หรือดำเนินมาตรการเพื่อยับยั้งภัยคุกคาม อำนาจในลักษณะนี้เคยเป็นประเด็นถกเถียงในแง่ผลกระทบต่อสิทธิเสรีภาพและความเป็นส่วนตัว จึงมีการกำหนดกลไกถ่วงดุล เช่น การขออนุญาตจากศาลในมาตรการที่กระทบสิทธิอย่างมีนัยสำคัญในกรณีที่ไม่ใช่ภัยระดับวิกฤตที่ต้องดำเนินการเร่งด่วน องค์กรจึงควรเข้าใจขอบเขตอำนาจเหล่านี้เพื่อเตรียมกระบวนการรองรับการร้องขอจากรัฐอย่างถูกต้อง
ความทับซ้อนกับ PDPA
จุดที่ทีมกฎหมายต้องให้ความสำคัญมากที่สุดคือความสัมพันธ์ระหว่างกฎหมายไซเบอร์กับ PDPA เพราะเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์จำนวนมากเกี่ยวข้องกับข้อมูลส่วนบุคคลโดยตรง ประเด็นทับซ้อนที่สำคัญ ได้แก่
- การแจ้งเหตุที่แตกต่างกัน เมื่อเกิดเหตุที่เป็นทั้งภัยคุกคามไซเบอร์และการละเมิดข้อมูลส่วนบุคคล องค์กรอาจต้องแจ้งทั้ง NCSA ตามกฎหมายไซเบอร์และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงตาม PDPA ซึ่งมีวัตถุประสงค์และกรอบเวลาต่างกัน
- มาตรการรักษาความปลอดภัย PDPA กำหนดให้ผู้ควบคุมข้อมูลต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ซึ่งกรอบมาตรฐานด้านไซเบอร์สามารถใช้เป็นแนวทางในการปฏิบัติได้ ทำให้ทั้งสองกฎหมายเสริมกัน
- การเข้าถึงข้อมูลโดยรัฐ อำนาจการเข้าถึงข้อมูลตามกฎหมายไซเบอร์ต้องพิจารณาควบคู่กับหลักการคุ้มครองข้อมูลส่วนบุคคล องค์กรต้องมีนโยบายที่ชัดเจนในการตอบสนองคำร้องขอโดยรักษาสมดุลระหว่างการปฏิบัติตามกฎหมายและการคุ้มครองสิทธิของเจ้าของข้อมูล
แนวทางการเตรียมความพร้อมสำหรับองค์กร
การปฏิบัติตามกฎหมายไซเบอร์และ PDPA อย่างมีประสิทธิภาพควรใช้แนวทางบูรณาการมากกว่าการแยกจัดการเป็นโครงการเอกเทศ องค์กรควรดำเนินการดังนี้
- ประเมินว่าองค์กรเข้าข่ายเป็นหน่วยงาน CII หรืออยู่ในห่วงโซ่อุปทานของหน่วยงาน CII หรือไม่ เพราะภาระหน้าที่แตกต่างกันอย่างมาก
- จัดทำแผนตอบสนองเหตุการณ์แบบครบวงจรที่ครอบคลุมทั้งการแจ้งเหตุไซเบอร์และการแจ้งเหตุละเมิดข้อมูล พร้อมกำหนดผู้รับผิดชอบและช่องทางการรายงานที่ชัดเจน
- ปรับกรอบธรรมาภิบาลให้ DPO ตาม PDPA และผู้รับผิดชอบด้านความมั่นคงปลอดภัยไซเบอร์ทำงานประสานกัน
- ทบทวนสัญญากับผู้ให้บริการภายนอกให้ครอบคลุมพันธะด้านความมั่นคงปลอดภัยและการแจ้งเหตุ
- ฝึกซ้อมการรับมือเหตุการณ์เป็นระยะเพื่อทดสอบความพร้อมในทางปฏิบัติ
โดยสรุป กฎหมายการรักษาความมั่นคงปลอดภัยไซเบอร์และ PDPA เป็นสองเสาหลักของกรอบการกำกับดิจิทัลของไทยที่ทำงานสอดประสานกัน องค์กรที่มองภาพรวมและออกแบบระบบธรรมาภิบาลข้อมูลและความมั่นคงปลอดภัยแบบบูรณาการจะสามารถปฏิบัติตามกฎหมายได้อย่างมีประสิทธิภาพ ลดความซ้ำซ้อน และพร้อมรับมือกับภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็ว