Please scroll down for the English version

จากการที่รัฐมนตรีว่าการกระทรวงดิจิตัลเพื่อเศรษฐกิจและสังคม นายพุทธิพงษ์ ปุณณกันต์ กล่าวเมื่อวันที่ 8 ตุลาคม 2562 เรื่องการ “ขอความร่วมมือ”ให้ร้านอาหารและร้านกาแฟที่ให้บริการ wi-fi ดำเนินการจัดเก็บข้อมูลการจราจรทางอินเตอร์เน็ต (internet traffic data) ของผู้ใช้ wi-fi ที่ทางร้านให้บริการเป็นเวลา 90 วัน ถ้าไม่เช่นนั้นจะมีการดำเนินการตามกฎหมายต่อผู้ประกอบการร้านค้าตาม พระราชบัญญัติ คอมพิวเตอร์มาตรา 26 นั้น ถือได้ว่าเป็นกรณีที่เสี่ยงต่อการละเมิดสิทธิส่วนบุคคลและความเป็นส่วนตัวของผู้ใช้อินเตอร์เน็ตเป็นอย่างยิ่ง 

ทางรัฐบาลกล่าวว่ากรณีดังกล่าวเป็นการ “ขอความร่วมมือ” จากประชาชนและไม่ถือเป็นการละเมิดสิทธิ แต่ “การขอความร่วมมือนั้น” กลับตั้งอยู่บนเงื่อนไขที่ว่า ถ้าหากไม่ดำเนินการจัดเก็บก็จะถือว่าเป็นการทำผิดกฎหมายมาตรา 26 ของพระราชบัญญัติคอมพิวเตอร์ ซึ่งประเด็นนี้ เป็นเรื่องของการที่รัฐบาลมองปัญหาด้านความมั่นคงเป็นหลัก โดยที่ไม่ได้คำนึงถึงว่า การจัดเก็บข้อมูลจราจรทางอินเตอร์เน็ต (internet traffic data) นั้นไม่ได้เป็นสิ่งที่กระทำได้โดยง่าย ต้องอาศัยความรู้ในด้านเทคนิค ซึ่งอาจจะทำให้เกิดคำถามที่ว่า “แล้วจะต้องทำอย่างไรที่จะจัดเก็บ” การกระทำดังกล่าวจึงถือเป็นการเพิ่มความรับผิดชอบที่ไม่จำเป็นให้กับทางร้านค้าและผู้ประกอบการ ทั้งยังเป็นการที่รัฐใช้อำนาจในการแทรกแซงการทำธุรกิจของผู้ประกอบการที่ไม่ควรเกิดขึ้น 

มาตรา 26 ของพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 กล่าวว่า “ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็น พนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินสองปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้” จะเห็นได้ว่าตัวบทกฎหมายนี้ไม่เอื้อให้มีการตีความที่เฉพาะเจาะจง ซึ่งเป็นปัญหาที่ทำให้เกิดความกังวลต่อสิทธิและเสรีภาพของประชาชนตั้งแต่เมื่อครั้งที่พระราชบัญญัติดังกล่าวนี้ยังเป็นร่างพระราชบัญญัติ ซึ่งในขณะนั้นก็มีผู้แสดงความกังวลมากมายผ่านแคมเปญบน Change.org ถึงการที่กฎหมายนี้จะถูกนำมาใช้ในทางที่มิชอบด้วยสิทธิและเสรีภาพของประชาชน ในกรณีนี้ เคยมีประกาศของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารออกมาในวันที่ 21 สิงหาคมปี 2550 ถึงความหมายของ “ผู้ให้บริการ” ว่าจำแนกได้เป็น 5 ประเภท ซึ่งหนึ่งในนั้นคือ ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider) ซึ่งสามารถจำแนกย่อยลงไปอีก 3 ประเภทคือ (1) ผู้ให้บริการอินเตอร์เน็ต (Internet Service Provider) ทั้งมีสายและไร้สาย (2)  ผู้ประกอบการซึ่งให้บริการในการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ในห้องพัก ห้องเช่าโรงแรม หรือร้านอาหารและเครื่องดื่ม และ (3) ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์สำหรับองค์กรเช่น หน่วยงานราชการ บริษัท หรือสถาบันการศึกษา  

จะเห็นได้ว่าจากประกาศนี้ ผู้ประกอบการร้านค้าและร้านกาแฟนั้นถูกกฎหมายบังคับโดยปริยายให้ดำเนินการเก็บข้อมูลจราจรทางอินเตอร์เน็ตมาเป็นเวลานานแล้ว แต่ว่าจากการที่รัฐเพิ่งมีการ “ขอความร่วมมือ” นั้น เป็นการบ่งชี้ว่า รัฐกำลังนำกฎหมายที่มีปัญหาในการละเมิดสิทธิเสรีภาพส่วนบุคคลนี้มาใช้อย่างเข้มงวดมากขึ้นด้วยเหตุผลของความมั่นคง ซึ่งตัวบทกฎหมายเองก็ไม่ได้กำหนดว่าทางรัฐจะต้องดำเนินการแจ้งจุดประสงค์ที่แน่ชัดในการเก็บข้อมูลว่าการจัดเก็บทำไปเพื่ออะไร และจะมีการดำเนินการอย่างไรบ้างกับข้อมูลที่ถูกจัดเก็บนั้น ความต้องการของรัฐในที่นี้จึงเป็นการอาศัยอำนาจของกฎหมาย มาใช้ในการสอดส่องพฤติกรรมการใช้อินเตอร์เน็ตของประชาชน 

ประชาชนผู้ใช้อินเตอร์เน็ตนั้นควรที่จะมีสิทธิในการเข้าถึงบริการทางอินเตอร์เน็ต โดยที่ไม่ต้องมีความกังวลว่า ข้อมูลส่วนตัวของตนเองจะถูกนำไปใช้อย่างไรบ้าง ทั้งนี้เนื่องจากข้อมูลการจราจรอินเตอร์เน็ตนั้นจะเปิดเผยเกี่ยวกับรายชื่อ websites ต่างๆ ที่ผู้ใช้อินเตอร์เน็ตเข้าชม ระยะเวลาในการเข้าชม การเชื่อมต่อต่างๆ ที่เกิดขึ้น ระยะเวลาในการเชื่อมต่อ ข้อมูลที่มีการแลกเปลี่ยนทางคอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์อื่นๆ ระหว่างที่เชื่อมต่อ นอกจากนี้แล้วยังเปิดเผยข้อมูลที่อ่อนไหว (sensitive data) เช่น IP Address อีกด้วย

ทั้งนี้ การแก้กฎหมายที่เป็นปัญหาดังกล่าวเป็นเป้าหมายระยะยาวที่แคมเปญนี้ต้องการ แต่เพื่อให้ทันกับเหตุการณ์ปัจจุบัน หากรัฐคิดถึงสิทธิเสรีภาพของประชาชนเป็นหลัก ก็ควรที่จะมีการยุติ “การขอความร่วมมือ” ในการจัดเก็บข้อมูลในครั้งนี้ เพราะไม่ใช่เป็นสิ่งที่กระทำได้โดยง่ายในโลกแห่งความเป็นจริงโดยผู้ประกอบการรายเล็กหรือรายย่อยที่ไม่ได้มีความรู้ด้านเทคนิค ทั้งยังเป็นการละเมิดสิทธิความเป็นส่วนตัวของประชาชน 

หมายเหตุ: ประเด็นนี้ยังมีผลกระทบโดยตรงต่อชาวต่างชาติที่อาศัยอยู่ในประเทศไทย โดยผลกระทบที่สามารถมองเห็นได้ชัดเจนมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป General Data Protection Regulations (GDPR) ซึ่งถือเป็นหนึ่งในกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เข้มงวดมากที่สุดในโลก และปกป้องข้อมูลส่วนบุคคลของพลเมืองของสหภาพยุโรปนอกอาณาเขตด้วย โดยกฎหมาย GDPR นั้นระบุอย่างชัดเจนว่า การเก็บข้อมูลนั้นต้องเป็นไปโดยที่มีการยินยอมของเจ้าของข้อมูล โดยต้องแจ้งให้ทราบว่าข้อมูลที่เก็บเป็นข้อมูลประเภทไหน และข้อมูลจะนำไปใช้ดำเนินการอย่างไรบ้าง ซึ่งการ “ขอความร่วมมือ” ในการเก็บข้อมูลแบบเหมารวมนี้ อาจจะเกิดผลกระทบได้มากกว่าที่ทางรัฐบาลไทยประเมินการเอาไว้

#FreeWifi #RespectMyPrivacy #RespectMyData

Change.org/FreeWifi

----------------------

No “cooperation” in collecting internet traffic data of those who use public Wi-Fi in cafés and restaurants.

Thailand’s Minister of Digital Economy and Society, Puttipong Punnakan, announced on October 8, 2019 that restaurants and cafés in Thailand must collect the internet traffic data of people who use their wi-fi service – or face punishment under Article 26 of the Computer Crimes Act. This threatens the right to privacy and the personal data of people in general. It should not happen.

According to sources, the government of Thailand have said that the collection is not “binding” and the government is only asking for “cooperation”. However, failure to “cooperate” will constitute a violation of Article 26 of the Computer Crimes Act. It clearly shows that the government views the issue mainly from the perspective of security, and is not concerned about the fact that asking restaurants and café operators to collect the data is difficult in practice. This kind of data collection requires technical skills. The announcement adds an unnecessary burden on café and restaurant owners. It can be considered as government using its power to interfere with business operations.

Article 26 of the Computer Crimes Act B.E. 2560 (2017) states: “A service provider is obliged to retain computer traffic data for at least 90 days from the date on which the data is entered into a computer system. If necessary, for a particular provider and on a particular occasion, a competent official may instruct a service provider to retain such computer traffic data for longer than 90 days but not exceeding two years.” The vagueness of the law on this issue has raised concerns over people’s rights and liberties since it appeared in draft form. Many people signed a petition for its amendment on Change.org. 

On August 21, 2007 the then Ministry of Information and Communication Technology (MICT) -- it changed its name in 2016 to Ministry of Digital Economy and Society -- made an announcement about what constitutes a “service provider”, and created five categories. One of them, an “Access Service Provider”, is then divided into three sub-categories: (1) an Internet Service Provider, both wired and wireless; (2) an operator that provides the user with access to a computer network system in a room, rented room, hotel, restaurant or beverage shop; and (3) an Access Service Provider that provides access to a computer network system for an organization such as a state agency, company or educational institution.

In this case, the restaurant and café operators have long been legally bound to collect internet traffic data. The announcement about the data collection means that the government is attempting to tighten the enforcement of the law for security purposes. Moreover, the vague provision does not require the government to state a purpose for the data collection or how the data will be processed. The announcement can therefore be considered as surveillance of people’s online behavior in the name of the law.

People should have the right to access the internet without worrying about how their personal data will be used. Internet traffic data will show a list of websites that users have visited, how much time they spent on the websites, the types of connection made, the time period of connection on a laptop and other electronic devices, and information that was exchanged during the connection. It also reveals sensitive information such as an IP address. 

Furthermore, this announcement can also affect foreigners living in Thailand, especially those who are protected under their country’s personal data protection law. The repercussions of this announcement might go beyond the Thai government’s calculations. The most obvious effect might concern the General Data Protection Regulations (GDPR) of the European Union, one of the strictest laws in the world on data protection, which protects the personal data of its citizens beyond EU borders. In this case, the GDPR requires consent of the data subject by having clear information about what type of personal data is collected and the object and purpose of its processing.

The ultimate goal of this campaign is for the law to be amended because its legal loopholes threaten human rights. However, given the situation, there is an urgent need to address this “cooperation” requested by the government. Respect for people’s right to privacy means that this request for “cooperation” should be withdrawn immediately, because it is impractical for café and restaurants operators without technical knowledge to fulfil it – and it is a clear violation of citizens’ right to privacy.