- รัฐบาลแคนาดาเสนอ ร่างกฎหมาย C-22 ซึ่งเป็น ‘Lawful Access Act’ โดยเพิ่มภาระให้ผู้ให้บริการโทรคมนาคมและผู้ให้บริการอินเทอร์เน็ต (ISP) ต้อง ให้ความร่วมมือด้านการเฝ้าระวังและการดักฟัง มากขึ้น
- แม้ร่างกฎหมายใหม่จะ ลดอำนาจการเข้าถึงข้อมูลโดยไม่ต้องมีหมายศาล ลงอย่างมาก แต่ยังคงมี ข้อกำหนดให้สร้างโครงสร้างพื้นฐานสำหรับการเฝ้าระวังและเก็บรักษาเมตาดาต้า ซึ่งยังคงมี ความเสี่ยงร้ายแรงต่อความเป็นส่วนตัว
- ร่างกฎหมายแบ่งออกเป็นสองส่วน โดยครึ่งแรกเป็น การปรับปรุงกระบวนการเข้าถึงข้อมูล ส่วนครึ่งหลังใช้ ‘Supporting Authorized Access to Information Act (SAAIA)’ เพื่อกำหนดข้อกำหนดด้านเทคโนโลยีการเฝ้าระวัง
- SAAIA เพิ่มนิยามใหม่ของ ‘Electronic Service Provider (ESP)’ ทำให้แพลตฟอร์มระดับโลกอย่าง Google และ Meta อาจอยู่ในขอบเขตการกำกับดูแล และกำหนดให้ ต้องเก็บรักษาเมตาดาต้าได้นานสูงสุด 1 ปี
- แม้รัฐบาลจะจำกัดการเข้าถึงโดยไม่ต้องมีหมายศาลบางส่วน แต่ การขยายขีดความสามารถในการเฝ้าระวังและข้อกำหนดการรักษาความลับ ยังทำให้เกิด ความกังวลต่อการทำให้ความมั่นคงปลอดภัยของเครือข่ายอ่อนแอลงและการละเมิดเสรีภาพของประชาชน อย่างต่อเนื่อง
ภาพรวมของร่างกฎหมาย C-22
- ร่างกฎหมาย C-22 (Lawful Access Act) เป็นกฎหมายใหม่ด้านการเฝ้าระวังที่รัฐบาลแคนาดาเสนอขึ้น โดยเป็นการปรับแก้จากข้อถกเถียงใน ร่างกฎหมาย C-2 ก่อนหน้า
- C-2 อนุญาตให้ เข้าถึงข้อมูลส่วนบุคคลได้โดยไม่ต้องมีหมายศาล จนก่อให้เกิดข้อโต้แย้งทางรัฐธรรมนูญ
- ด้วยเหตุนี้รัฐบาลจึงตัดบทบัญญัติเรื่องการเข้าถึงออกจาก C-2 และเสนอ C-22 เป็นร่างกฎหมายแยกต่างหาก
- C-22 ครอบคลุมประเด็นหลัก 2 ด้าน
- กระบวนการที่หน่วยงานบังคับใช้กฎหมายใช้ในการ เข้าถึงข้อมูลส่วนบุคคล ที่ถือครองโดยผู้ให้บริการโทรคมนาคม (เช่น ISP และผู้ให้บริการเครือข่ายไร้สาย)
- การสร้าง ขีดความสามารถด้านการเฝ้าระวังและติดตามตรวจสอบ ในเครือข่ายสื่อสารภายในแคนาดา
การเปลี่ยนแปลงของกระบวนการเข้าถึงข้อมูล
- ร่างกฎหมายใหม่ยกเลิก อำนาจเรียกข้อมูลแบบกว้างขวางโดยไม่ต้องมีหมายศาล ในอดีต และแทนที่ด้วย ‘confirmation of service’
- ตำรวจจะขอได้เพียงการยืนยันว่าบุคคลหนึ่งเป็นลูกค้าของผู้ให้บริการรายนั้นหรือไม่
- หากต้องการเข้าถึงข้อมูลส่วนบุคคลเพิ่มเติม ต้องได้รับ การอนุมัติจากศาล (production order)
- การเปลี่ยนแปลงนี้ทำให้ ขอบเขตของการขอข้อมูลโดยไม่ต้องมีหมายศาลจำกัดอยู่ที่ผู้ให้บริการสื่อสาร และกำหนดให้การเข้าถึงข้อมูลส่วนบุคคลต้องมี การกำกับดูแลโดยฝ่ายตุลาการ
- ร่างกฎหมายยังมีบทบัญญัติแยกต่างหากเกี่ยวกับ การให้ข้อมูลโดยสมัครใจ สถานการณ์ฉุกเฉิน และคำขอจากหน่วยงานต่างประเทศ
- อย่างไรก็ตาม มาตรฐานที่ต่ำอย่าง ‘reasonable grounds to suspect’ ยังคงถูกชี้ว่าเป็นประเด็นน่ากังวล
เนื้อหาสำคัญของ SAAIA
- SAAIA ซึ่งเป็นครึ่งหลังของร่างกฎหมาย กำหนดให้ผู้ให้บริการโทรคมนาคมมี หน้าที่ต้องสร้างขีดความสามารถด้านการเฝ้าระวังและติดตามตรวจสอบ
- ต้องให้ความร่วมมือเพื่อให้รัฐบาลและหน่วยงานบังคับใช้กฎหมายสามารถ ทดสอบการเข้าถึงเครือข่ายสื่อสารและความสามารถในการดักฟัง ได้
- ทุกคำขออยู่ภายใต้ ข้อกำหนดการรักษาความลับ
- มีการเพิ่มคำนิยามใหม่ของ ‘Electronic Service Provider (ESP)’
- ครอบคลุมผู้ให้บริการอิเล็กทรอนิกส์ทุกรายที่ให้บริการหรือดำเนินธุรกิจในแคนาดา
- แพลตฟอร์มระดับโลกอย่าง Google และ Meta ก็อาจถูกรวมอยู่ด้วย
- ผู้ประกอบการที่ถูกกำหนดเป็น core providers จะมีภาระเพิ่มเติม
- เช่น การสร้างและบำรุงรักษาฟังก์ชันการเฝ้าระวัง การติดตั้งและดำเนินงานอุปกรณ์ การแจ้งรัฐบาล และ การเก็บรักษาเมตาดาต้าได้นานสูงสุด 1 ปี
การเก็บรักษาเมตาดาต้าและข้อยกเว้น
- ข้อกำหนดการเก็บรักษาเมตาดาต้า เป็นบทบัญญัติใหม่ที่ไม่มีอยู่ใน C-2 แต่ถูกเพิ่มเข้ามาใน C-22
- อย่างไรก็ตาม เนื้อหาการสื่อสาร ประวัติการท่องเว็บ และกิจกรรมบนโซเชียลมีเดีย ไม่ถูกรวมอยู่ในข้อมูลที่ต้องเก็บรักษา
- มีข้อยกเว้นเกี่ยวกับ systemic vulnerability
- หากฟังก์ชันการเฝ้าระวังทำให้เกิดช่องโหว่ด้านความปลอดภัยหรือขัดขวางการแก้ไข ผู้ให้บริการอาจไม่ต้องปฏิบัติตามข้อกำหนดนั้น
- แต่ก็มีข้อกังวลว่าข้อยกเว้นดังกล่าว อาจไม่เพียงพอที่จะป้องกันการทำให้ความปลอดภัยอ่อนแอลง
- รวมถึงความเป็นไปได้ที่การเปลี่ยนแปลงต่าง ๆ จะถูกนำไปใช้โดยไม่เปิดเผยต่อสาธารณะและดำเนินการอย่างลับ ๆ
ความกังวลเรื่องการเฝ้าระวัง ความปลอดภัย และการแบ่งปันข้อมูลระหว่างประเทศ
- SAAIA ก่อให้เกิดปัญหาหลายด้าน ทั้ง ความเปราะบางของความมั่นคงปลอดภัยเครือข่าย การปกปิดเป็นความลับ ต้นทุน และระบบกำกับดูแล
- บทบัญญัติบางส่วนถูกวิเคราะห์ว่าออกแบบมาโดยคำนึงถึงความร่วมมือด้าน การแบ่งปันข้อมูลระหว่างประเทศ ภายใต้ พิธีสารเพิ่มเติมฉบับที่ 2 ของอนุสัญญาบูดาเปสต์ (2AP) และ กฎหมาย CLOUD Act ของสหรัฐฯ
- โดยสรุป ร่างกฎหมาย C-22 แม้จะจำกัดการเข้าถึงโดยไม่ต้องมีหมายศาล แต่ด้วย การเสริมสร้างโครงสร้างพื้นฐานการเฝ้าระวังและการเก็บเมตาดาต้าขนาดใหญ่
จึงยังถูกมองว่ามี ความเสี่ยงสูงต่อการละเมิดความเป็นส่วนตัวและเสรีภาพพลเมือง อยู่เช่นเดิม
1 ความคิดเห็น
ความเห็นจาก Hacker News
มีความคิดว่าถ้าจะหยุดสถานการณ์ที่นักการเมืองยื่น ร่างกฎหมายที่ละเมิดความเป็นส่วนตัว ซ้ำแล้วซ้ำเล่า เราน่าจะสร้าง เอเจนต์มอนิเตอร์ ที่เมื่อมีการเสนอร่างกฎหมายใหม่ก็จะส่งการแจ้งเตือนไปยังสมาชิกสภาและฝ่ายค้านโดยอัตโนมัติ
ถ้าดูตัวบทร่างกฎหมาย จะระบุว่าต้องมีหมายศาล (warrant) แต่เมื่อดูบทบัญญัติที่เพิ่มเข้ามาใหม่ ผู้พิพากษาสามารถตัดสินได้ว่า “หากเห็นว่าชอบธรรมในบางสถานการณ์” ก็ไม่จำเป็นต้องมอบสำเนาหมายศาลให้กับคู่กรณี ข้อนี้ดูเป็น ช่องโหว่เชิงอัตวิสัยที่เปิดทางเลี่ยงเสรีภาพพลเมือง
สรุปสำหรับคนที่รีบ: Bill C‑22 (2026) ของแคนาดาเป็นการแก้กฎหมายเพื่อให้หน่วยงานสืบสวนเข้าถึงข้อมูลดิจิทัลได้เร็วขึ้นและชัดเจนขึ้น ขยายอำนาจในการขอข้อมูลผู้สมัครใช้บริการ ข้อมูลการส่งผ่าน และข้อมูลการติดตาม จากผู้ให้บริการโทรคมนาคม ผู้ให้บริการออนไลน์ และบริษัทต่างชาติ พร้อมสร้าง กรอบกฎหมาย ให้ผู้ให้บริการอิเล็กทรอนิกส์สนับสนุนความร่วมมือในการสืบสวน
ความร่วมมือของประเทศ Five Eyes (หรือ 9, 14 Eyes) ดำเนินมาตั้งแต่ยุคสงครามเย็น แต่ยังไม่ได้รับการปรับปรุงให้สอดคล้องกับ การเปลี่ยนแปลงทางภูมิรัฐศาสตร์และเทคโนโลยี ในปัจจุบัน ตรงกันข้าม ในช่วงที่ความร่วมมือยิ่งแน่นแฟ้นขึ้น ผู้มีสิทธิเลือกตั้งกลับกำลังตั้งคำถามต่ออนาคตของพันธมิตรกับสหรัฐ อยากให้ผู้นำแต่ละประเทศพูดอย่างตรงไปตรงมามากกว่านี้เกี่ยวกับแรงกดดันจากต่างประเทศ การเงียบเรื่องอิทธิพลจากชาติพันธมิตร แต่กลับวิจารณ์เฉพาะอิทธิพลจากประเทศที่ไม่ใช่พันธมิตรนั้นเป็น ภัยต่อประชาธิปไตย
ถ้าอ่านตัวบทร่างกฎหมาย มันก็ดูคล้าย อำนาจการเข้าถึงโดยชอบด้วยกฎหมาย ที่หน่วยงานความมั่นคงในประเทศประชาธิปไตยตะวันตกอื่นๆ มีอยู่แล้ว หากไม่จินตนาการแบบดิสโทเปียเกินจริง ก็อยากรู้ว่าแท้จริงแล้วปัญหาอยู่ตรงไหน
ร่างกฎหมายอ้างว่า “ไม่ได้มอบอำนาจใหม่” แต่ในความเป็นจริงกลับระบุชัดว่าหากไม่ เก็บรักษาเมตะดาต้าไว้นานสูงสุด 1 ปี ก็อาจถูกปรับหรือจำคุก
ในฐานะพลเมืองแคนาดา ฉันหงุดหงิดที่รัฐบาลยังคงเดินหน้าผลักดัน ร่างกฎหมายสอดส่อง ที่เคยถูกปฏิเสธมาแล้วหลายครั้ง
ฉันไม่เข้าใจว่าทำไมถึงอยากเชื่อม โครงสร้างพื้นฐานการสอดส่องระดับชาติ เข้ากับแบ็กโบนของ ISP โดยตรง
มันแทบไม่ต่างจากการที่ตำรวจเดินตามฉันไปโดยไม่มีข้อกล่าวหาใดๆ แล้วคอยจดว่าฉันคุยกับใคร เวลาไหน
ยิ่งไปกว่านั้น ถ้าข้อมูลพวกนี้ถูกเก็บไว้โดย ผู้รับเหมาภาคเอกชน ความเสี่ยงเรื่องข้อมูลรั่วไหลหรือ คดีแพ่ง ก็จะยิ่งสูงขึ้น
ตามร่างกฎหมายมีการใช้คำใหม่ว่า “ผู้ให้บริการอิเล็กทรอนิกส์ (electronic service provider)” ซึ่งดูเหมือนตั้งใจจะรวมไม่ใช่แค่ผู้ให้บริการโทรคมนาคม แต่รวมถึงแพลตฟอร์มอย่าง Google, Meta ด้วย
ศาลสูงสุดแคนาดาก็เคยแสดงจุดยืนเชิงลบต่อ การให้ข้อมูลส่วนบุคคลโดยไม่มีหมายศาล มาแล้ว
อำนาจสืบสวนที่มีอยู่เดิมก็เพียงพออยู่แล้ว จึงสงสัยว่าทำไมต้องทำให้แพลตฟอร์มกลายเป็น หน่วยงานช่วยสืบสวน ด้วย
ระบบแบบนี้เป็นโครงสร้างที่น่าจะเห็นใน รัฐเผด็จการ มากกว่า มีความเสี่ยงต่อการใช้อำนาจในทางที่ผิดสูงเกินไปและเป็นอันตรายต่อประชาธิปไตย
แคนาดาถึงกับไม่ต้องอ้างเหตุผลอย่าง “ปกป้องเด็ก” หรือ “ยืนยันอายุ” แบบประเทศอื่นๆ ด้วยซ้ำ แต่เดินหน้าผลักดัน ระบบสอดส่องมวลชนขนาดใหญ่ แบบตรงๆ ซึ่งก็ดูมีประสิทธิภาพในสไตล์รัฐบาลแคนาดาดี(?) เร็วเป็นพิเศษก็เฉพาะตอนแบบนี้แหละ ไม่มีความอืดอาดแบบระบบราชการ
เพียงสองชั่วโมงหลังโพสต์ ความเห็นเกือบครึ่งก็ถูกวิจารณ์ว่าเป็น ปฏิกิริยาสุดโต่ง
น่าผิดหวังที่ยังคงมีการผลักดันกฎหมายสอดส่องแบบนี้ต่อไปด้วยเหตุผลว่า “เผื่อไว้ก่อน”
ทางเลือกที่ดีกว่าอาจเป็นให้ โฮสต์ดูแลกลั่นกรอง คอนเทนต์สาธารณะด้วยตนเอง แต่แบบนั้นก็ยังมี ผลข้างเคียง เช่น ต้องรายงานคอนเทนต์ประเภทใดบ้าง
รัฐบาลที่เคยภาคภูมิใจกับเสรีภาพและกระบวนการอันเป็นธรรม ตอนนี้ดูเหมือนกำลังเปลี่ยนไปเป็น ระบอบสอดส่องที่คุมขังประชาชนของตนเอง