ดักฟังอินเทอร์เน็ต

ช่วงนี้มีข่าวดักฟังอินเทอร์เน็ตมาเรื่อยๆ โดยเฉพาะในต่างประเทศ (ที่ใช้กฎหมายยุคสงครามเย็นกันมานาน หรือไม่ก็ใช้กฎหมายตั้งแต่ 9/11) พอเจอ Snowden เลยต้องอัพเดตกฎหมายกันชุดใหญ่

อำนาจดักฟังเป็นเรื่องใหญ่ คำถามคือเรายอมรับไม่ได้ทุกกรณีรึเปล่าคงไม่ใช่ การดักฟังเป็นการละเมิด แต่ถ้ามีเหตุมันเบากว่าการจับกุม ซึ่งจะไปรบกวนชีวิตของผู้ต้องสงสัยกว่าเดิม

คำถามคือแล้วทำยังไงเราจะยอมรับได้ โดยส่วนตัวคิดว่า หลักการคือ

  • ตรวจสอบย้อนกลับได้ อันนี้สำคัญ กรณี Snowden บอกเราว่าการบอกว่ามีหมายศาลไม่ได้เป็นเครื่องป้องกันที่เพียงพอ (มีดีกว่าไม่มีแต่ว่ามีแล้วระบบแย่ก็ดีกว่านิดเดียวมากๆ FISA แทบจะเป็นตรายาง) คำสั่งควรเปิดเผยข้อมูลโดยรวม (aggregated data – จำนวนผู้ได้รับผลกระทบ, จำนวนคำสั่ง, จำนวนข้อความ) อย่างรวดเร็ว มีกรรมการตรวจสอบเข้าถึงรายละเอียดได้ทั้งหมด (อาจจะต้องมีระดับเข้าถึงความลับระดับความมั่นคงได้) และรายงานความผิดพลาดอย่างรวดเร็ว ในระยะยาว คำสั่งที่ไร้ผลแล้ว เช่น ปิดคดี หรือหมดอายุความ ต้องเปิดเผยรายละเอียดสู่สาธารณะ คนสั่งต้องไม่ทำตามสบายใจว่าไม่มีใครรู้ แต่ต้องคาดว่าหลังเรื่องจบจะมีคนรู้เสมอ ใครเป็นคนขอ ใครเป็นคนตรวจทาน ใครเป็นคนอนุญาต เป็นกรรม (ไม่ว่าดีหรือร้าย) ที่จะติดตัวไปจนตาย หลังเปิดเผยอาจจะมีฮีโร่หรือมีซาตานก็ต้องพร้อมรับสิ่งที่ตามมา
  • มีขอบเขตจำกัด อำนาจการดักฟังอาจจะไม่สามารถกำหนดเป็นบุคคลได้เสมอไป อาจจะกระทบคนจำนวนมากๆ เช่น ทั้งบ้าน, ทั้งโรงเรียน ฯลฯ แต่ต้องมีขอบเขตว่า ต่อให้ได้รับอนุญาตเป็นชุด (bulk) ก็ไม่ใช่เอาไปตีความใช้งานได้ตามใจชอบประเภทว่าถือหมายเดียวซัดทั้งประเทศ คำสั่งต้องระบุจำนวนผู้ได้รับผลกระทบและรายงานสู่กระบวนการตรวจสอบย้อนกลับ อาจจะต้องมีเพดานว่าคำสั่งจะอนุมัติได้ไม่เกินขอบเขตแค่ไหน เช่น ขนาดพื้นที่ หรือจำนวนอุปกรณ์ที่ได้รับผลกระทบ จำนวนไอพี ฯลฯ
  • ไม่ทำให้คนปลอดภัยน้อยลง กระบวนการดักฟัง เจาะระบบ ฯลฯ ต้องอยู่บนหลักว่าผู้ใช้โดยทั่วไปสามารถจัดหาระบบรักษาความปลอดภัยได้ดีแค่ไหนก็ให้เขาทำไป ต้องไม่มีการบังคับให้เปิดช่องพิเศษซึ่งลดความปลอดภัยโดยรวมลง รัฐเองมีความสามารถในการจัดหาช่องโหว่ที่ยังไม่เป็นที่รู้กันโดยทั่วไป อันนั้นก็ใช้งานได้ แต่ต้องไม่บังคับให้ผู้ผลิตใส่ช่องโหว่ลงไปอย่างตั้งใจ เพราะสุดท้ายแล้วช่องโหว่พวกนั้นจะกลายเป็นช่องโหว่ทำให้คนทั่วไปถูกโจมตีเสียเอง กรณีแบบนี้ที่เป็นบทเรียนคือกุญแจของ TSA และ RSA_EXPORT

หลักการอื่นๆ ประเภทว่าต้องเป็นคดีร้ายแรง มีเหตุผลพอสมควร ฯลฯ คงอยู่ในกฎหมายส่วนใหญ่อยู่แล้ว

 

lewcpe

CTO at MFEC PLC. Chief Editor at Blognone.com