ข่าวสารนํ้าบาดาล

“Single Gateway” คืนชีพ ก.ไอซีทีเสนอในพ.ร.บ.คอมพ์ ให้มีวิธีระงับข้อมูลที่เข้ารหัส SSL

  • อัพเดทวันที่ 26 พ.ค. 59
  • อ่าน 2,498
  • เผยแพร่โดย ผู้ดูแล เว็บไซต์
Email

 

รณรงค์: ขอเสียงประชาชนหยุด! ร่าง พ.ร.บ.คอมฯ ฉบับใหม่

เพิ่มข้อมูล: ปรับปรุงเลขมาตราให้ตรงกับร่างที่คณะรัฐมนตรีเสนอสภานิติบัญญัติแห่งชาติในวันที่ 26 เม.ย. 2559 (เดิมใช้เลขมาตราจากร่างฉบับวันที่ 19 เม.ย. 2559) เหตุผลเกี่ยวกับการใช้วิธีการและเครื่องพิเศษเพื่อปิดกั้นข้อมูลที่ถูกเข้ารหัสนี้ ปรากฏอยู่ในตารางเปรียบเทียบแนบท้ายเอกสารที่ครม.เสนอต่อสนช. (หน้า 12-14 ของเอกสารตารางเปรียบเทียบ) หากท่านไม่เห็นด้วยกับข้อเสนอดังกล่าว สามารถลงชื่อได้ที่ https://change.org/singlegatewayreturn

เพิ่มข้อมูล 13 ธ.ค. 2559: ประกาศกระทรวงดิจิทัลที่รัฐมนตรีจะประกาศตามอำนาจมาตรา 20 มีเป็นร่างแล้ว โดยในข้อ 8  จะให้อำนาจกับผู้ให้บริการดำเนิน “มาตรการทางเทคนิคใดๆ” และข้อ 4 ให้กระทรวงดิจิทัลตั้ง “ระบบคอมพิวเตอร์ศูนย์กลาง” ให้เจ้าหน้าที่ระงับหรือลบข้อมูลคอมพิวเตอร์ได้เอง โดยระบบดังกล่าวอาจเชื่อมโยงกับผู้ให้บริการแต่ละราย ดูร่างพ.ร.บ.คอมพิวเตอร์ฉบับที่คณะกรรมาธิการวิสามัญฯส่งเข้าสนช.วาระที่ 2 http://library.senate.go.th/document/mSubject/Ext64/64240_0001.PDF (ร่าง 9 ธ.ค. 2559) และร่างประกาศกระทรวงดิจิทัลฯ ประกอบพ.ร.บ.คอมพิวเตอร์ https://ictlawcenter.etda.or.th/activities/detail/public-hearing-CC-bills (ร่าง 18 พ.ย. 2559)

พบเอกสารนำเสนอของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เสนอหลักการและเหตุผลแก้ไขมาตรา 20 ของพ.ร.บ.คอมพิวเตอร์ให้รัฐมนตรีสามารถออกประกาศกำหนดให้มีวิธีการในการปิดกั้นข้อมูลที่ถูกเข้ารหัสได้

ในหน้า 7 ของเอกสารนำเสนอดังกล่าว ระบุว่า “รัฐมนตรีอาจประกาศกำหนดหลักเกณฑ์ ระยะเวลาและแนวทางการปฏิบัติสำหรับการระงับการทำให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ของผู้ให้บริการให้เป็นไปในแนวทางเดียวกันภายใต้พัฒนาการทางเทคโนโลยีที่เปลี่ยนไป เช่น ข้อมูลคอมพิวเตอร์ที่เข้ารหัสด้วยเทคโนโลยี SSL (Secure Socket Layer) ซึ่งถูกสร้างขึ้นมาเพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ตที่มีการเข้ารหัสแบบ Public-key encryption นั้น จำเป็นต้องมีวิธีการและเครื่องมือพิเศษในการดำเนินการจึงจะสามารถกระทำได้สำเร็จ …”

เข้าถึงข้อมูลเข้ารหัส SSL - หน้า 7 จากสไลด์หลักกการและเหตุผล ร่างพ.ร.บ.คอมพิวเตอร์ (กระทรวงไอซีที)

หน้า 7 ของเอกสารนำเสนอกล่าวถึงการระงับหรือลบข้อมูลที่ถูกเข้ารหัสด้วย public-key encryption

ระบบอีเมล การสื่อสาร และการพาณิชย์อิเล็กทรอนิกส์ในปัจจุบัน ใช้เทคโนโลยี SSL (Secure Sockets Layer) หรือ TLS (Transport Layer Security) ในการเข้ารหัสข้อมูลเป็นการทั่วไปเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้ ผู้ใช้อินเทอร์เน็ตอาจทราบได้ว่าเว็บไซต์ใดเข้ารหัสข้อมูล ด้วยการสังเกตที่อยู่เว็บไซต์ขึ้นต้นด้วยคำว่า https

ร่างพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่..) พ.ศ. …. ฉบับวันที่ 19 เมษายน 2559 ซึ่งผ่านสภานิติบัญญัติแห่งชาติ (สนช.) พิจารณาเห็นชอบในวาระที่หนึ่งไปแล้วนั้น นอกจากจะแก้ไขมาตรา 20 ให้สามารถปิดกั้นข้อมูลคอมพิวเตอร์ได้ แม้ข้อมูลนั้นจะไม่ผิดกฎหมายใดแล้ว ยังแก้ไขมาตรา 20 และ มาตรา 15 ให้รัฐมนตรีกระทรวงดิจิทัลมีอำนาจออกประกาศเพิ่มเติมเรื่องขั้นตอนการปิดกั้นเว็บได้ [ร่างมาตรา 14 แก้ไขมาตรา 20 และร่างมาตรา 9 แก้ไขมาตรา 15] โดยหากผู้ให้บริการอินเทอร์เน็ตไม่ทำตามประกาศดังกล่าวก็อาจจะต้องรับโทษ ซึ่งการออกประกาศเกี่ยวกับ SSL หรือ public-key encryption ในสไลด์ข้างต้นเป็นอำนาจตามมาตรา 20 และ 15 นี้

แก้ไขมาตรา 20 ให้สามารถปิดกั้นข้อมูลที่ผิดตามกฎหมายอื่นที่ไม่ใช่พ.ร.บ.คอมพิวเตอร์ได้ รวมถึงข้อมูลที่ไม่ผิดกฎหมาย แต่อาจขัดความสงบเรียบร้อยหรือศีลธรรมอันดี

แก้ไขมาตรา 20 ให้สามารถปิดกั้นข้อมูลที่ผิดตามกฎหมายอื่นที่ไม่ใช่พ.ร.บ.คอมพิวเตอร์ได้ รวมถึงข้อมูลที่ไม่ผิดกฎหมาย แต่อาจขัดความสงบเรียบร้อยหรือศีลธรรมอันดี

ร่างแก้ไขมาตรา 15 พ.ร.บ.คอมพิวเตอร์

แก้ไขมาตรา 15 ให้รัฐมนตรีมีอำนาจออกประกาศเพิ่มเติมเรื่องขั้นตอนการปิดกั้นข้อมูลได้

ข้อเสนอนี้สอดคล้องกับคำสั่งกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ที่ 163/2557 เรื่อง แต่งตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์ ซึ่งระบุว่าคณะทำงานด้านสื่อออนไลน์ ภายใต้คณะกรรมการเพื่อติดตามการเผยแพร่ข่าวสารต่อสาธารณะ (ซึ่งแต่งตั้งตามคำสั่ง คสช. (เฉพาะ) ที่ 12/2557 ลงวันที่ 19 มิ.ย. 2557“พบว่ามีอุปสรรคในการตรวจสอบและปิดกั้นเว็บไซต์ที่มีการเข้ารหัสป้องกันข้อมูล (SSL : Secure Socket Layer)” ดังนั้นกระทรวงไอซีที “จึงเห็นควรให้มีการจัดหาและทดสอบประสิทธิภาพของอุปกรณ์ระบบเฝ้าติดตามสื่อออนไลน์เพื่อสนับสนุนการปฏิบัติงานของคณะทำงานด้านสื่อออนไลน์ให้เป็นไปด้วยความเรียบร้อยและมีประสิทธิภาพ”

ทั้งนี้คณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์ตามคำสั่งที่ 163/2557 ดังกล่าว มีอำนาจหน้าที่ 4 เรื่อง โดยสองเรื่องแรกคือ “1. ควบคุมการทดสอบระบบเฝ้าติดตามสื่อออนไลน์ที่มีการเข้ารหัสป้องกันข้อมูล (SSL : Secure Socket Layer) และประเมินผล เพื่อให้ได้ระบบที่มีประสิทธิภาพสูงสุด เหมาะสมในการใช้งานสำหรับประเทศไทย” และ “2. ประสานทางเทคนิคกับผู้ประกอบการและผู้ให้บริการอินเทอร์เน็ตภายในประเทศและที่เชื่อมต่อกับต่างประเทศโดยตรง (International Internet Gateway) ในการทดสอบระบบเฝ้าติดตามสื่อออนไลน์”

คำสั่งกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ที่ 163/2557 เรื่อง แต่งตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์

คำสั่งกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ที่ 163/2557 เรื่อง แต่งตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์

ผู้ใช้อินเทอร์เน็ตที่ทำงานด้านความมั่นคงปลอดภัยของระบบเครือข่ายมองเรื่องนี้ว่า สาเหตุที่จำเป็นต้องประสานการทำงานกับทางผู้ให้บริการอินเทอร์เน็ต อาจเป็นเพราะวิธีหนึ่งที่จะเข้าถึงข้อมูลที่ถูกเข้ารหัส คือการใช้วิธีที่เรียกว่า “Man-in-the-Middle Attack” ซึ่งหากผู้ให้บริการอินเทอร์เน็ตให้ความร่วมมือก็จะทำงานได้แนบเนียนขึ้น

หากร่างกฎหมายฉบับนี้ผ่าน มาตรา 15 ซึ่งกำหนดว่า “ผู้ให้บริการผู้ใดให้ความร่วมมือ ยินยอม หรือรู้เห็นเป็นใจให้มีการกระทำความผิด” จะต้องรับโทษด้วย จะเป็นภาระทางกฎหมายที่กดดันให้ผู้ให้บริการจำเป็นต้องให้ความร่วมมือกับเจ้าหน้าที่รัฐ ในการช่วยเหลือระงับข้อมูลที่ถูกเข้ารหัสได้ ทั้งนี้ก่อนที่จะระงับตัวข้อมูลได้ จำเป็นต้องเข้าถึงข้อมูลให้ทราบได้ก่อนว่าข้อมูลนั้นคืออะไร

ปกติการปิดกั้นเว็บไซต์ในปัจจุบัน จะใช้วิธีให้ผู้ให้บริการเข้าถึงอินเทอร์เน็ตตรวจสอบที่อยู่เว็บไซต์ (url) ที่ผู้ใช้เรียกดู เทียบกับรายการปิดกั้น (block list) โดยถ้าพบว่าที่อยู่ที่เรียกในตรงกับชื่อในรายการ ก็จะปิดกั้น — อย่างไรก็ตาม กรณีที่ผู้ใช้ติดต่อกับเว็บไซต์ที่มีที่อยู่ขึ้นต้นด้วย https:// ซึ่งหมายความว่ามีการเข้ารหัสข้อมูลที่ส่ง สิ่งที่ผู้ให้บริการเข้าถึงอินเทอร์เน็ตเห็นจะมีเพียงชื่อโดเมน ไม่มีส่วนอื่นๆ ของที่อยู่ เช่น หากผู้ใช้เข้าดูหน้าเว็บ https://www.facebook.com/thainetizen ที่อยู่ที่ผู้ให้บริการเข้าถึงอินเทอร์เน็ตจะมีเพียง https://www.facebook.com เท่านั้น ทำให้ไม่สามารถปิดกั้นเฉพาะหน้า https://www.facebook.com/thainetizen ได้ หากต้องการปิดกั้น ก็จะต้องปิดกั้นทั้ง https://www.facebook.com ซึ่งจะกระทบกับหน้าอื่นๆ ในเว็บไซต์เดียวกันด้วย — ด้วยเหตุนี้ หากต้องการจะปิดกั้นเว็บไซต์ที่เข้ารหัสเป็นรายหน้า ก็จำเป็นต้องหาวิธีการถอดรหัสให้ได้ เพื่อให้ทราบที่อยู่

การเรียกดูเว็บ เมื่อทำงานปกติ

การเรียกดูหน้าเว็บ เมื่อทำงานปกติ: (1) ผู้ใช้ส่งคำขอไปที่ผู้ให้บริการ (ISP) (2) ผู้ให้บริการส่งต่อคำขอไปยังเซิร์ฟเวอร์ปลายทาง (3) เซิร์ฟเวอร์ปลายทางส่งหน้าเว็บกลับมาให้ (4) ผู้ให้บริการส่งต่อหน้าเว็บกลับให้กับผู้ใช้

เจ้าหน้าที่ขอคำสั่งศาลเพื่อปิดกั้นหน้าเว็บราย url - ISP เพิ่มลงบัญชีดำ

การขอให้ปิดกั้นหน้าเว็บ: (1) เจ้าหน้าที่ขอคำสั่งศาลเพื่อปิดกั้นหน้าเว็บราย url (2) ศาลออกคำสั่ง (3) ผู้ให้บริการเพิ่ม url ลงบัญชีดำ

การเรียกดูเว็บ เมื่อ ISP พบว่าหน้าที่เรียกอยู่ในบัญชีดำ ปฏิเสธไม่ให้ดู

การเรียกดูหน้าเว็บ HTTP เมื่อมีการปิดกั้นเว็บ: (1) ผู้ใช้ส่งคำขอไปที่ผู้ให้บริการ (ISP) (2) ผู้ให้บริการเปรียบเทียบ url ที่ขอกับบัญชีดำ (3) พบ url ในบัญชีดำ (4) ผู้ให้บริการแจ้งผู้ใช้ว่าไม่ให้ดู

การเรียกดูหน้าเว็บผ่าน HTTPS เนื่องจากถูกเข้ารหัสลับ ทาง ISP ไม่รู้ url เต็ม จึงเทียบกับบัญชีดำไม่ได้

การเรียกดูหน้าเว็บ HTTPS (ถูกเข้ารหัสลับ) เมื่อมีการปิดกั้นเว็บ: (1) ผู้ใช้ส่งคำขอไปที่ผู้ให้บริการ (ISP) (2) ผู้ให้บริการเปรียบเทียบ url ที่ขอกับบัญชีดำ (3) ไม่พบ url ในบัญชีดำ เนื่องจาก url ที่ผู้ให้บริการทราบไม่ใช่ url เต็ม (บางส่วนถูกเข้ารหัสอยู่) (4) ผู้ให้บริการส่งต่อคำขอไปยังเซิร์ฟเวอร์ปลายทาง (5) เซิร์ฟเวอร์ปลายทางส่งหน้าเว็บที่ถูกเข้ารหัสกลับมาให้ (6) ผู้ให้บริการส่งต่อหน้าเว็บที่ถูกเข้ารหัสกลับให้กับผู้ใช้ (เบราว์เซอร์ของผู้ใช้ถอดรหัสลับที่ปลายทาง) [อ้างอิง: http://bit.ly/2hyhR29 ]

ในทางเทคนิค วิธีการและเครื่องมือในการเข้าถึงข้อมูลที่ถูกเข้ารหัสดังกล่าว หากมีการนำมาใช้ จะสามารถเข้าถึงข้อมูลที่เข้ารหัสได้ทุกชนิด เช่น การโอนเงิน สั่งซื้อสินค้าออนไลน์ ไม่เจาะจงเฉพาะกับเนื้อหาที่ผิดกฎหมายหรือขัดศีลธรรม

ขณะนี้ ร่างแก้ไขพ.ร.บ.คอมพิวเตอร์ดังกล่าวผ่านการเห็นชอบจากสภานิติบัญญัติแห่งชาติ (สนช.) ในวาระแรกไปแล้ว และคณะกรรมาธิการวิสามัญพิจารณาร่างฯพิจารณาเสร็จสิ้นแล้ว ต่อจากนี้จะส่งให้กับสนช.พิจารณาวาระที่ 2 และที่ 3 ต่อไป ในวันที่ 15 ธันวาคม 2559 ก่อนจะประกาศใช้เป็นกฎหมาย

หากท่านไม่เห็นด้วยกับข้อเสนอดังกล่าว รีบอีเมลถึงสมาชิกสภานิติบัญญัติแห่งชาติ ก่อนเริ่มพิจารณาวาระ 2 และ 3 ในเช้าวันที่ 15 พ.ค. 2559

อ่าน ข้อเสนอ 12 ข้อ ของเครือข่ายพลเมืองเน็ตต่อร่างพ.ร.บ.คอมพิวเตอร์ https://change.org/singlegatewayreturn

เหตุผลในการแก้ไขพ.ร.บ.คอมพิวเตอร์ มาตรา 20 หน้า 12

เหตุผลในการแก้ไขพ.ร.บ.คอมพิวเตอร์ มาตรา 20 หน้า 13

เหตุผลในการแก้ไขพ.ร.บ.คอมพิวเตอร์ มาตรา 20 หน้า 14