ไอร์แลนด์เดินหน้าทำให้สปายแวร์เชิงพาณิชย์สำหรับการบังคับใช้กฎหมายถูกกฎหมาย
ไอร์แลนด์กำลังผลักดันร่างกฎหมายการสื่อสาร (การดักฟังและการเข้าถึงโดยชอบด้วยกฎหมาย) ฉบับใหม่ ที่จะมอบอำนาจทางกฎหมายแก่ตำรวจในการใช้งานสปายแวร์เชิงพาณิชย์ รวมถึงเครื่องมือจากผู้ให้บริการที่ก่อให้เกิดข้อถกเถียงอย่าง NSO Group กฎหมายที่เสนอนี้ได้รับการออกแบบมาเพื่อปรับปรุงกฎหมายการเฝ้าระวังของประเทศให้ทันสมัย โดยขยายขอบเขตให้ครอบคลุมแพลตฟอร์มส่งข้อความที่มีการเข้ารหัส เช่น Signal และ WhatsApp รวมถึงข้อมูลเมตาดาต้าที่เกิดจากการสื่อสารเหล่านั้น
ร่างกฎหมายฉบับนี้ถือเป็นหนึ่งในการขยายอำนาจการเฝ้าระวังของรัฐที่สำคัญที่สุดในประวัติศาสตร์ร่วมสมัยของไอร์แลนด์ และได้รับการวิพากษ์วิจารณ์อย่างรุนแรงจากนักสิทธิดิจิทัล ซึ่งเตือนว่ากลไกการกำกับดูแลที่อ่อนแอนั้นอาจเปลี่ยนเครื่องมือเหล่านี้ให้กลายเป็นอุปกรณ์ของการละเมิดสิทธิได้
ร่างกฎหมายอนุญาตให้ทำอะไรได้บ้าง
นอกเหนือจากการกล่าวถึงสปายแวร์เชิงพาณิชย์ที่เรียกความสนใจได้เป็นอย่างดีแล้ว กฎหมายฉบับนี้ยังครอบคลุมความสามารถในการเฝ้าระวังในวงกว้างที่ก่อให้เกิดความกังวลอย่างจริงจังในหมู่ผู้เชี่ยวชาญด้านความเป็นส่วนตัว
ร่างกฎหมายมีบทบัญญัติเกี่ยวกับการใช้เครื่องมือนิติวิทยาศาสตร์และ IMSI-catcher ซึ่งเป็นอุปกรณ์ที่เลียนแบบเสาสัญญาณโทรศัพท์เพื่อดักจับการสื่อสารทางมือถือและระบุโทรศัพท์ในพื้นที่ที่กำหนด เทคโนโลยีเหล่านี้ไม่ได้มีความแม่นยำในการใช้งาน โดยเฉพาะอย่างยิ่ง IMSI-catcher จะเก็บรวบรวมข้อมูลจากทุกอุปกรณ์ที่อยู่ในระยะ ไม่ใช่เฉพาะอุปกรณ์ของผู้ต้องสงสัยเท่านั้น
สปายแวร์ประเภทที่ผลิตโดย NSO Group ทำงานแตกต่างออกไป แต่อาจกล่าวได้ว่ามีการรุกล้ำมากกว่า เมื่อติดตั้งบนอุปกรณ์เป้าหมายแล้ว มันสามารถดึงข้อมูลประวัติตำแหน่งที่ตั้ง รูปภาพ ประวัติการค้นหา ข้อความส่วนตัว และรายชื่อผู้ติดต่อได้อย่างเงียบเชียบ ทั้งหมดนี้โดยที่ผู้ใช้ไม่รู้ตัว เป้าหมายไม่มีทางทราบเลยว่าอุปกรณ์ของตนถูกบุกรุก
ร่างกฎหมายยังขยายอำนาจการเฝ้าระวังให้ครอบคลุมเมตาดาต้าจากแพลตฟอร์มที่มีการเข้ารหัสอีกด้วย แม้ว่าเนื้อหาของข้อความจะได้รับการปกป้องด้วยการเข้ารหัสแบบ end-to-end แต่เมตาดาต้าก็เปิดเผยว่าใครสื่อสารกับใคร เมื่อใด บ่อยแค่ไหน และจากสถานที่ใด ข้อมูลเพียงเท่านั้นก็สามารถวาดภาพอย่างละเอียดของความสัมพันธ์และการเคลื่อนไหวของบุคคลได้
เหตุใดผู้เชี่ยวชาญด้านสิทธิดิจิทัลจึงกังวล
ข้อคัดค้านหลักจากองค์กรด้านสิทธิดิจิทัลไม่ได้อยู่ที่ว่าการบังคับใช้กฎหมายควรไม่มีสิทธิ์เข้าถึงการสื่อสารเลยในการสืบสวนคดีอาญาร้ายแรง ความกังวลอยู่ที่ความสมดุลและการกำกับดูแล
สปายแวร์เชิงพาณิชย์มีประวัติการใช้งานในทางที่ผิดที่ถูกบันทึกไว้ การสืบสวนโดยนักข่าวและองค์กรภาคประชาสังคมได้เชื่อมโยงเครื่องมือ Pegasus ของ NSO Group กับการเฝ้าระวังนักข่าว นักปกป้องสิทธิมนุษยชน ทนายความ และบุคคลฝ่ายค้านทางการเมืองในหลายประเทศ ตัวเทคโนโลยีเองไม่สามารถแยกแยะระหว่างผู้ต้องสงสัยในคดีอาญาและนักเคลื่อนไหวภาคประชาสังคมได้ ความแตกต่างนั้นขึ้นอยู่กับกรอบกฎหมายและระบบการกำกับดูแลที่ควบคุมการใช้งานเท่านั้น
ไอร์แลนด์ในฐานะรัฐสมาชิกของสหภาพยุโรปอยู่ภายใต้กฎหมายสิทธิมนุษยชนของยุโรป ซึ่งกำหนดให้มาตรการเฝ้าระวังต้องมีความจำเป็น ได้สัดส่วน และอยู่ภายใต้การกำกับดูแลทางตุลาการที่มีความหมาย นักวิจารณ์โต้แย้งว่าร่างกฎหมายในรูปแบบปัจจุบันไม่มีมาตรการคุ้มครองที่เพียงพอเพื่อให้ผ่านมาตรฐานดังกล่าว หากการกำกับดูแลอ่อนแอหรือการอนุญาตทางตุลาการถูกมองว่าเป็นเพียงพิธีการ ก็จะเปิดช่องให้ขยายขอบเขตการใช้งานเพื่อกำหนดเป้าหมายผู้คนที่ไม่ก่อให้เกิดภัยคุกคามทางอาญา
การรวม IMSI-catcher เข้าไปด้วยยิ่งเพิ่มความกังวลอีกชั้น ลักษณะที่ไม่เลือกหน้าของมันหมายความว่าบุคคลใดก็ตามที่อยู่ในการชุมนุม การประชุม หรือการรวมตัวสาธารณะ อาจมีอุปกรณ์ของตนถูกดักจับในตาข่ายข้อมูล โดยไม่คำนึงถึงข้อสงสัยในการกระทำผิดใดๆ
สิ่งนี้หมายความว่าอะไรสำหรับคุณ
สำหรับประชาชนทั่วไปในไอร์แลนด์ ผลกระทบในทางปฏิบัติทันทีของร่างกฎหมายนี้อาจรู้สึกเป็นนามธรรม สปายแวร์ของตำรวจมักถูกใช้ในการสืบสวนแบบเจาะจงเป้าหมาย ไม่ได้นำมาใช้กับประชาชนทั่วไป แต่ความเสี่ยงมีอยู่จริง และขยายไปไกลกว่าผู้ต้องสงสัยในคดีอาญา
นักข่าวที่สื่อสารกับแหล่งข่าว นักเคลื่อนไหวที่จัดกิจกรรมในประเด็นทางการเมืองที่อ่อนไหว ทนายความที่จัดการคดีลับของลูกความ และทุกคนที่งานหรือความเชื่อของพวกเขาอาจทำให้ขัดแย้งกับผลประโยชน์ของรัฐ ล้วนมีเหตุผลโดยตรงที่ต้องให้ความสนใจ ประวัติของการใช้การเฝ้าระวังเกินขอบเขตในประเทศประชาธิปไตยแสดงให้เห็นว่าเครื่องมือที่ได้รับอนุญาตสำหรับการสืบสวนคดีอาชญากรรมร้ายแรงมักขยายการใช้งานในวงกว้างขึ้นเรื่อยๆ เมื่อเวลาผ่านไป
แอปส่งข้อความที่มีการเข้ารหัสยังคงเป็นเครื่องมือความเป็นส่วนตัวที่สำคัญ แต่เป้าหมายที่ชัดเจนของร่างกฎหมายในการหลีกเลี่ยงการเข้ารหัสทำให้เห็นถึงข้อจำกัดของมันเมื่ออุปกรณ์ปลายทางเองถูกบุกรุก สปายแวร์ระดับอุปกรณ์หลีกเลี่ยงการเข้ารหัสได้อย่างสมบูรณ์โดยอ่านข้อมูลก่อนที่จะถูกส่งหรือหลังจากที่ได้รับ
การเข้าใจว่าคุณสร้างข้อมูลอะไรบ้าง ใครสามารถเข้าถึงได้ และภายใต้เงื่อนไขทางกฎหมายใด นับเป็นสิ่งสำคัญมากขึ้นเรื่อยๆ สำหรับทุกคนที่ให้คุณค่ากับความเป็นส่วนตัวของตน
ประเด็นสำคัญสำหรับผู้อ่าน:
- ตรวจสอบการตั้งค่าสิทธิ์และการเข้าถึงข้อมูลบนอุปกรณ์ของคุณเป็นประจำ
- ตระหนักว่าเมตาดาต้าจากแอปที่มีการเข้ารหัสอาจเปิดเผยข้อมูลได้มากพอๆ กับเนื้อหาของข้อความ
- ติดตามความคืบหน้าของร่างกฎหมายนี้ผ่านกระบวนการนิติบัญญัติของไอร์แลนด์ เนื่องจากช่วงเวลาการรับฟังความคิดเห็นสาธารณะเป็นโอกาสสำหรับการมีส่วนร่วมของประชาชน
- สนับสนุนองค์กรสิทธิดิจิทัลที่ตรวจสอบกฎหมายการเฝ้าระวังและสนับสนุนกลไกการกำกับดูแลที่เข้มแข็ง
- พิจารณาว่าอุปกรณ์ของคุณสร้างและจัดเก็บข้อมูลอะไรบ้าง เนื่องจากสปายแวร์กำหนดเป้าหมายที่อุปกรณ์ ไม่ใช่เพียงช่องทางการสื่อสาร
ร่างกฎหมายของไอร์แลนด์ยังอยู่ในขั้นตอนการพิจารณา ซึ่งหมายความว่ายังมีเวลาสำหรับภาคประชาสังคม ผู้เชี่ยวชาญด้านกฎหมาย และประชาชนในการผลักดันให้มีมาตรการคุ้มครองที่เข้มแข็งขึ้น ผลลัพธ์สุดท้ายของกฎหมายฉบับนี้จะมีผลสืบเนื่องยาวนานต่อสิทธิความเป็นส่วนตัวในไอร์แลนด์ และอาจสร้างบรรทัดฐานที่ได้รับการจับตามองอย่างใกล้ชิดทั่วทั้งยุโรป
