เมื่อ "ความมั่นคงไซเบอร์" กลายเป็นใบอนุญาตเฝ้าดูชีวิตดิจิทัลของคุณ
ลองนึกภาพนี้: คุณโทรหาแพทย์เพื่อนัดตรวจโรค ส่งอีเมลหาทนายความ หรือโอนเงินผ่านแอปธนาคาร — ทุกการกระทำเหล่านี้ทิ้งร่องรอยข้อมูลเอาไว้ในระบบของบริษัทโทรคมนาคม ธนาคาร และผู้ให้บริการอินเทอร์เน็ต คำถามคือ ใครมีสิทธิเข้าถึงข้อมูลเหล่านี้ได้บ้าง และภายใต้เงื่อนไขอะไร?
ในแคนาดา คำตอบกำลังเปลี่ยนไปอย่างรุนแรง ตั้งแต่ปี 2022 รัฐบาลแคนาดาพยายามผลักดัน Bill C-26 หรือกฎหมายว่าด้วยความมั่นคงไซเบอร์ ซึ่งให้อำนาจรัฐในการสั่งให้บริษัทโทรคมนาคม ธนาคาร และผู้ให้บริการโครงสร้างพื้นฐานสำคัญส่งมอบข้อมูลจำนวนมากให้กับรัฐบาลและหน่วยงานด้านความมั่นคง — และทำได้โดยไม่ต้องผ่านกระบวนการศาล ไม่ต้องแจ้งให้ประชาชนทราบ และเก็บทุกอย่างเป็นความลับได้ตามกฎหมาย
แม้ Bill C-26 จะตกไปพร้อมการยุบสภาในเดือนมกราคม 2025 แต่รัฐบาลชุดใหม่ภายใต้ Mark Carney ก็นำเนื้อหาเกือบเหมือนเดิมกลับมาในชื่อ Bill C-8 ในเดือนมิถุนายน 2025 และกำลังอยู่ระหว่างการพิจารณาในสภา เรื่องนี้จึงไม่ใช่เรื่องเก่า — มันยังมีชีวิตอยู่และกำลังขยับต่อ
Bill C-26 คืออะไร และทำงานอย่างไร
กฎหมายฉบับนี้แบ่งออกเป็น 2 ส่วนหลัก ส่วนแรกแก้ไข Telecommunications Act เพื่อให้รัฐมนตรีมีอำนาจสั่งผู้ให้บริการโทรคมนาคมดำเนินการใดก็ได้ที่เห็นว่าจำเป็นต่อความมั่นคง รวมถึงการห้ามใช้อุปกรณ์จากซัพพลายเออร์ที่มีความเสี่ยง เช่น กรณีที่แคนาดาแบน Huawei และ ZTE ออกจากโครงข่าย 5G
ส่วนที่สองสำคัญกว่า — มันสร้าง Critical Cyber Systems Protection Act (CCSPA) ขึ้นมาใหม่ทั้งหมด กฎหมายนี้กำหนดให้ผู้ให้บริการในภาคส่วนที่ถูก "กำหนด" อย่างธนาคาร สายการบิน ระบบพลังงาน และโทรคมนาคม ต้องรายงานเหตุการณ์ไซเบอร์ต่อรัฐบาล และให้อำนาจรัฐบาลสั่งการให้ดำเนินมาตรการความปลอดภัยที่รัฐกำหนด
อำนาจที่ทำให้นักสิทธิมนุษยชนตกใจ
จุดที่ทำให้เกิดความกังวลมากที่สุดคือ มาตรา 15.2 ของการแก้ไข Telecommunications Act ซึ่งให้อำนาจรัฐมนตรีสั่งให้บริษัทโทรคมนาคม "ทำสิ่งใดก็ได้หรือละเว้นการทำสิ่งใดก็ได้" โดยคำสั่งนั้นสามารถเป็นความลับได้ — กล่าวคือบริษัทที่ได้รับคำสั่งถูกห้ามเปิดเผยว่าตนเองได้รับคำสั่ง และห้ามบอกว่าคำสั่งนั้นมีเนื้อหาว่าอะไร
Canadian Civil Liberties Association (CCLA) บรรยายลักษณะอำนาจนี้ว่าเป็น "ชุดเครื่องมือสอดแนม" ที่รัฐบาลจะหยิบใช้เมื่อใดก็ได้ โดยไม่มีกลไกตรวจสอบที่เพียงพอ
ข้อกังวลหลัก 4 ด้านที่ผู้เชี่ยวชาญระบุ
1. การเก็บข้อมูลโดยไม่มีขอบเขตชัดเจน
Office of the Privacy Commissioner ของแคนาดาระบุว่ากฎหมายนี้ไม่ได้กำหนดเกณฑ์ความจำเป็นและสัดส่วน (necessity and proportionality) อย่างสม่ำเสมอ หมายความว่ารัฐสามารถรวบรวมข้อมูลส่วนบุคคลในวงกว้างเกินกว่าที่จำเป็นต่อวัตถุประสงค์ด้านความมั่นคงไซเบอร์ได้
2. ความลับที่ทำลายความโปร่งใส
มาตรา 24 ของ CCSPA ห้ามไม่ให้องค์กรที่ได้รับคำสั่งด้านความมั่นคงไซเบอร์เปิดเผยการมีอยู่ของคำสั่งหรือเนื้อหาคำสั่งนั้น นั่นหมายความว่าหากบริษัทโทรคมนาคมของคุณถูกสั่งให้ติดตั้งระบบดักฟัง ทั้งบริษัทและคุณในฐานะลูกค้าจะไม่มีวันรู้
3. ความเสี่ยงต่อการเข้ารหัสข้อมูล
Citizen Lab จาก University of Toronto เตือนว่าอำนาจสั่งการที่กว้างขวางอาจถูกใช้เพื่อบังคับให้บริษัทโทรคมนาคม "เปิดประตูหลัง" (backdoor) ในระบบเข้ารหัส ซึ่งจะทำให้ความปลอดภัยของทุกคนที่ใช้ระบบนั้นลดลง ไม่ใช่แค่เป้าหมายของการสอดแนม โดยอ้างอิงกรณีที่เกิดขึ้นจริงในสหรัฐฯ คือปฏิบัติการ Salt Typhoon ที่แฮกเกอร์จีนใช้ช่องโหว่จากระบบ "backdoor ถูกกฎหมาย" เจาะเครือข่ายโทรคมนาคมอเมริกัน
4. การแบ่งปันข้อมูลกับต่างประเทศ
กฎหมายเปิดทางให้รัฐบาลแชร์ข้อมูลที่รวบรวมได้กับหน่วยงานของรัฐทั้งในและต่างประเทศ โดยไม่มีข้อกำหนดที่ชัดเจนว่าข้อมูลส่วนบุคคลจะถูกลบออกก่อน นักวิจารณ์ชี้ว่าข้อมูลของชาวแคนาดาอาจถูกส่งต่อไปยัง NSA ของสหรัฐฯ หรือหน่วยงานพันธมิตรใน Five Eyes ซึ่งได้แก่ สหรัฐฯ สหราชอาณาจักร ออสเตรเลีย และนิวซีแลนด์
เปรียบเทียบกับประเทศอื่น: แคนาดาสุดโต่งแค่ไหน
ออสเตรเลียมีกฎหมายคุ้มครองโครงสร้างพื้นฐานสำคัญ (Security of Critical Infrastructure Act) ที่มีเนื้อหาคล้ายกัน แต่มีมาตรการคุ้มครองสิทธิที่เข้มงวดกว่า เช่น กำหนดให้รัฐบาลต้องทำ impact assessment ก่อนออกคำสั่ง และมีกลไกตรวจสอบอิสระ
สหภาพยุโรปผ่าน NIS2 Directive ซึ่งกำหนดมาตรฐานความมั่นคงไซเบอร์ขั้นต่ำสำหรับโครงสร้างพื้นฐานสำคัญ แต่ยังคงผูกพันกับ GDPR ที่บังคับให้การเก็บข้อมูลส่วนบุคคลต้องเป็นไปตามหลัก necessity และ proportionality
ในทางตรงกันข้าม กฎหมายแคนาดาถูกวิจารณ์ว่าขาดการรับประกันด้านความเป็นส่วนตัวเหล่านี้ — ทำให้นักวิเคราะห์หลายคนมองว่าแคนาดากำลัง "เลือกทางที่มีความเสี่ยงสูงกว่า" เมื่อเทียบกับพันธมิตร
ทำไมเรื่องนี้จึงสำคัญกับทุกคน ไม่ใช่แค่ชาวแคนาดา
กฎหมายของแคนาดาไม่ได้เกิดขึ้นในสุญญากาศ หลายประเทศทั่วโลกกำลังเผชิญกับแรงกดดันให้ออกกฎหมายความมั่นคงไซเบอร์ของตนเอง และมักใช้กฎหมายของประเทศที่มีชื่อเสียงด้านหลักนิติธรรมอย่างแคนาดาเป็นแบบอย่าง
ถ้า Bill C-26 หรือ Bill C-8 ผ่านในรูปแบบที่ไม่มีมาตรการคุ้มครองความเป็นส่วนตัวที่เพียงพอ มันจะส่งสัญญาณให้รัฐบาลอื่น ๆ ว่า "สามารถทำแบบนี้ได้" — โดยเฉพาะในประเทศที่กลไกตรวจสอบอำนาจรัฐอ่อนแอกว่า
สำหรับบริษัทเทคโนโลยีและผู้ใช้งานที่มีข้อมูลอยู่บนโครงสร้างพื้นฐานของแคนาดา เช่น บริการ Cloud หรือระบบสื่อสารของแคนาดา ผลกระทบจากกฎหมายนี้อาจข้ามพรมแดนได้ทันที
สถานะปัจจุบันและก้าวต่อไป
ณ ต้นปี 2026 Bill C-8 กำลังอยู่ระหว่างการพิจารณาของคณะกรรมการรัฐสภา กลุ่มภาคประชาสังคมหลายองค์กรรวมถึง CCLA, OpenMedia และ Citizen Lab ยังคงรณรงค์ขอให้แก้ไขในประเด็นสำคัญ 3 ด้าน ได้แก่ การห้ามออกคำสั่งที่จะทำลายระบบเข้ารหัสข้อมูล การเพิ่มกลไกตรวจสอบอิสระ และการกำหนดมาตรฐาน necessity-proportionality สำหรับการเก็บและแบ่งปันข้อมูลส่วนบุคคล
ประเด็นนี้ไม่ใช่แค่เรื่องเทคนิคกฎหมาย แต่เป็นคำถามพื้นฐานว่าในยุคดิจิทัล เราจะยอมรับอะไรในนาม "ความปลอดภัย" และจะขีดเส้นไว้ที่จุดไหนเพื่อปกป้องสิ่งที่เรียกว่า "ชีวิตส่วนตัว"
คำตอบที่แคนาดาเลือก — ไม่ว่าจะเป็นอะไร — มีแนวโน้มที่จะเป็นบรรทัดฐานให้ประเทศอื่นอ้างอิงต่อไปในทศวรรษหน้า
