Image credit: Flickr user 3dom, creative commons

Internet providers are helping the Thai government track down dissidents

ผู้ให้บริการอินเทอร์เนตมีส่วนช่วยรัฐไทยติดตามตัวผู้ที่เห็นต่าง

ฉบับภาษาไทยอยู่ข้างล่าง

On 4 June 2020, media reported the mysterious abduction and potential assassination of Wanchalerm Satsaksit, a Thai dissident exiled in Phnom Penh. Wanchalerm was a prominent critic of the Thai military and is the latest in a series of Thai activists who have disappeared abroad, often in violent circumstances. Among the charges he fled was an alleged violation of the Computer Crimes Act for posting “distorted” online content about the military government. He was reported to have also been charged with lese-majeste, but authorities have denied this.

The military-led government is generally envisioned as the perpetrator behind acts of online surveillance and censorship in Thailand. However, proprietary internet service providers (ISPs) can play an intermediary role in the suppression of freedom of speech. In the past, ISPs have relinquished identifying data to law-enforcement authorities, broaches of privacy that can lead directly to the persecution of dissidents.

I interviewed Wanchalerm and other exiles between 2014 and 2016 as part of research on how Thai dissidents use the internet in Asia and Europe. Wanchalerm believed that True, Thailand’s largest ISP, exposed hundreds of dissidents’ account details to the junta in the aftermath of the May 2014 coup. Due to the closed nature of the Thai state, it is difficult to corroborate Wanchalerm’s belief that True shared dissidents’ data with law enforcement. What we know is that since 2007, Thai governments have sought to curb online defiance by successively passing punitive legislative frameworks that compel ISPs to employ online surveillance and censorship technologies. The Terms of Service of ISPs, including True’s Privacy Policy, commonly allow companies share data with law-enforcement authorities. This legal and technological infrastructure has lowered the threshold of privacy protection and digital rights, making it crucial for those who use the internet for political change to take precautionary measures to protect their data.

Surveillance and censorship: the legal landscape

In Thailand, various laws oblige ISPs to relinquish users’ data to the authorities during the course of criminal investigations. Article 112 of the Criminal Code (the lese-majeste law) is infamously Thailand’s harshest censorship law. Over the past two decades, individuals found to have “defamed, insulted or threatened the King, the Queen, the Heir-apparent or the Regent” have been sentenced to up to 60 years in prison. Since the coronation of Rama X however, officials have shifted away from using the lese-majeste law to charge critics of the monarchy, exhibiting a preference instead for computer-related laws.

The 2017 Amended Computer Crimes Act (CCA) is now arguably the authorities’ repressive tool of choice when it comes to online dissidence. The CCA threatens prison sentences of up to five years for users who use digital devices to upload “false information” or information “contrary to peace and order.” Its provisions allow law-enforcement authorities almost unfettered access to metadata stored by ISPs and other internet intermediates (metadata refers to data that may give insights into the identities of end-users. Examples of metadata include the subject line of emails, the length of a mobile call, or a user’s location when communicating and who they communicated with.) Section 26 further mandates that ISPs collect and/or retain metadata for 90 days to 1 year in order to be eligible for operating licenses issued by the government. Section 18 allows law-enforcement authorities to access this stored data, including via the seizure of users’ computer systems that sometimes involves breaking encryption.

In the past, law-enforcement authorities usually charged dissidents who criticised the monarchy with lèse-majesté alongside the CCA. In March 2011 for example, Thantawut Thaweewarodomkul (also known as Noom Rednon), a web designer for a pro-Red-Shirt webpage, was found guilty and sentenced to 13 years in prison (10 for lese-majeste and 3 for violating the CCA) in relation to comments posted to the website. According to the news-site Prachatai, Triple T Broadband, a Thai ISP, revealed an IP address belonging to Thantawut that was connected to the website.

The same year, Anthony Chai, a Thai-born American citizen operating a computer store in California, filed a lawsuit against Netfirms accusing the Canadian ISP of breaking US law by sharing two email addresses associated with his IP address with Thai officers without his knowledge. According to the lawsuit against Netfirms, users in Chai’s shop posted anonymous online comments critical of lese-majeste in 2005. When Chai arrived at a Bangkok airport in May 2006, Department of Special Investigation officers pulled him aside for interrogation, confiscated his computer and detained him, before releasing him under the threat of a potential re-arrest if he returned to Thailand. Chai’s case shows how even international ISP companies have chosen to share the data of alleged dissidents with law-enforcement officials.

Other oppressive cyber-related laws such as the 2019 Cybersecurity Act and the 2019 Personal Data Protection Act (PADA) further authorise sweeping powers for law-enforcement authorities to snoop on any user on the mere grounds that they are a ‘suspect.’ This can involve seizing users’ computers for up to 30 days and making copies of their computer systems without a court warrant. PADA additionally permits the government to harness data from journalists (including that relating to anonymous sources) and dissidents without court warrants. Authorities also rely on executive directives (such as “junta head orders”) and subordinate legislation to oblige ISPs to handover data, as seen in the aftermath of the May 2014 coup when the military ordered all ISPs to monitor and censor content critical of the military.

On top of building this punitive legal framework, Thai authorities have purchased surveillance tools (such as its “lawful interception” system) to expand their capacity to monitor digital communications and internet traffic for criticism. Reports from digital rights research centres and watchdogs have found that the authorities employ a variety of surveillance hardware and software (which are not limited to the following list.) Since 2010, the government has essentially coerced ISPs into installing “sniffer tools” which enable them to collect, log, and analyse network traffic. Some ISPs also employ PacketShaper, a network traffic shaping tool that is used to monitor encrypted traffic, censor websites and store internet traffic. ISPs are compelled to install such censorship infrastructure by Section 15 of the CCA, which holds them under intermediary liability. ISPs, websites and social media platforms can be subject to “the same punishment as the criminal” for any unlawful information, data and content shared by end-users using their services.

A final cause for further investigations into the complicity of ISPs in the suppression of freedom of speech are their cozy ties, both personal and business, with the Thai government. Such connections are particularly thick when it comes to True Corporation, owned by the major conglomerate Charoen Pokphand (CP). The family behind CP, for example, has close links to government officials through marriage. True has also benefitted from lucrative government contracts and monopolies. In 2016, True Group announced it would provide the WiFi infrastructure for all police stations nation-wide. True’s victory in auctions for 4G and 5G licenses in 2015 and 2020 respectively have made it the most powerful tech conglomerate in the country.

Ways forward for dissident internet users

The news of disappeared political exiles has drawn the public’s attention to lese-majeste. After the news of Wanchalerm’s disappearance broke, the Twitter hashtag #Saveวันเฉลิม (#SaveWanchalearm) was trending with more than 530,000 retweets, followed by the hashtag #ยกเลิก112 (#Abolish112) with more than 605,700 retweets. A few years ago, this mass online dissent would have been unthinkable. The rise of online political resistance, while a potentially powerful force for change, raises the stakes of issues of privacy and digital rights.

Wanchalearm Satsaksit

When I interviewed Wanchalerm, he was aware of the asymmetrical power between the Thai state and ISPs, and believed the relationship had led to the exposure of other dissidents. According to Wanchalerm, “As far as I know [from a source inside of the government], law-enforcement officers discovered many people’s IPs around 1 or 2 days following the Emergency Decree announcement, because on 25 May [2014], the NCPO summoned 128 Thai ISP operators. Then, they started arresting around 100 citizens who posted content on Facebook. They were arrested by the TCSD [Technology Crime Suppression Division of the Royal Thai Police] at home without warrants.”

Wanchalerm believed the arrests were partially facilitated by ISPs, including True, relinquishing personal data to TCSD officials: “True revealed information like IP addresses which should have been hidden by VPNs [Virtual Private Networks]. Authorities found out users’ IP addresses from True WiFi modems. Although the VPN masks the IP address, it doesn’t conceal the serial numbers on a modem. So identities can be traced through the WiFi of a user’s residence.”

Wanchalerm did not reveal which ISP he himself was using and it is difficult to corroborate his belief that True shared dissidents’ metadata with law enforcement. I include his statements only to show that dissidents are aware of the regimes of censorship and surveillance that they face, a factor shaping how and if they express politically. What we know is that the Amended Computer Crimes Act obliges internet intermediaries to store user data and that all Thailand-based ISPs are obliged to share the metadata of their clients—activists, journalists, academics, human rights defenders, and so on—with officials. In the case of Wanchalerm, that possibility was among the factors which motivated him to flee Thailand.

The Patani Panopticon: biometrics in Thailand’s deep south

The collection of facial recognition data to identify separatist insurgents in the deep south will only feed distrust towards the Thai state.

Since Wanchalerm’s disappearance, issues of digital safety have become doubly urgent due to a surge in mass surveillance during the COVID-19 crisis. The Thai government has responded to the pandemic by declaring a state of emergency that grants extensive executive powers, as well as by developing a controversial contact-tracing mobile app. A balance must be struck between privacy, free speech and the management of a public health crisis. I conclude with some recommendations to members of the general public, dissidents and civil society organisations seeking to manage surveillance and censorship while engaging in political discussion online.

First, users should utilise encryption and alternatives (such as Signal and Jitsi) during mobilisation, organisation and protests. Rather than simply omitting locations when posting Facebook statuses or using an avatar or pen name, other privacy measures can be more effective: using non-commercial VPNs, adding another layer of security with Two-Factor-Authentication (2FA), decompartmentalising online accounts by separating email addresses, among others. Second, users should only turn to commercial platforms when publicising campaigns. To avoid being disrupted by repressive state apparatuses, they should use open source alternatives when privately organising protests. Finally, pro-democracy civil society organisations should support a long-term campaign to raise awareness of issues of digital privacy, cybersecurity as well as reform of the punitive legal apparatus that compels ISPs to participate in state repression.

เมื่อวันที 4 มิถุนายน 2563 สำนักข่าวหลายแห่งต่างรายงานถึงการสาปสูญไป (และเป็นไปได้ที่จะเป็นการลอบสังหาร) ของ นายวันเฉลิม สัตย์ศักดิ์สิทธิ์ คนไทยคนหนึ่งที่เผชิญหน้าและท้าทายอำนาจนิยมอย่างไม่ลดละ วันเฉลิม จัดได้ว่าเป็นผู้วิจารณ์รัฐบาลทหารในระดับแนวหน้าและเขายังเป็นบุคคลล่าสุดที่เป็นหนึ่งในนักกิจกรรมที่ได้หายตัวไป ซึ่งบ่อยครั้งพวกเขาตกอยู่ภายใต้ความรุนแรงในดินแดนต่างบ้านต่างเมือง วันเฉลิม ต้องหลบหนีคดีเพราะได้ถูกดำเนินคดีข้อหาฝ่าฝืนพระราชบัญญัติคอมพิวเตอร์ (พรบ.คอม) จากการโพสต์ข้อตวามที่ “บิดเบือน” เกี่ยวกับรัฐบาลทหารบนโลกออน์ไลน์ บางสำนักงานข่าวอ้างว่า  วันเฉลิม เป็นผู้ต้องหาคดีหมิ่นพระบรมราชานุภาพ หรือ มาตรา 112 ซึ่งรัฐบาลเองก็ได้ปฏิเสธข้ออ้างนี้

รัฐบาลทหารมักจะถูกมองว่าเป็นผู้บงการเบื้องหลังการสอดส่องและการเซ็นเซ่อร์อินเทอร์เนตในประเทศ แต่บริษัทผู้ให้บริการอินเทอร์เนต หรือ ISPs (Internet Service Providers) ทั้งหลายเองก็มีบทบาทเป็นตัวกลางในการยับยั้งเสรีภาพในการแสดงออก   ในอดีต บางบริษัท ISPs ได้เปิดเผยข้อมูลที่ระบุอัตลักษณ์ (identifying data) ของเจ้าของข้อมูลนั้นๆ ให้แก่เจ้าพนักงานที่บังคับใช้ตามกฏหมาย (เช่น ตำรวจ) เพื่อการสืบสวนคดีที่เกี่ยวข้องกับการวิจารณ์รัฐบาล การกระทำเช่นนี้นับว่าเป็นการละเมิดสิทธิความเป็นส่วนตัว และนำไปสู่การฟ้องร้องดำเนินคดีกับผู้ที่คิดต่างจากรัฐบาล

ผู้เขียนได้สัมภาษณ์ วันเฉลิม และผู้ลี้ภัยจำนวนหนึ่งระหว่างปี 2557 – 2559 ซึ่งเป็นส่วนหนึ่งของงานวิจัยทางวิชาการเกี่ยวกับการใช้อินเทอร์เนตในกลุ่มผู้ที่ท้าทายต่ออำนาจเผด็จการ ทั้งในเอเชียและยุโรป   ทั้งนี้  วันเฉลิม เชื่อว่า บริษัททรู คอร์ปอเรชั่น (True Corporation) ซึ่งเป็นบริษัท ISP รายใหญ่ที่สุดในประเทศไทยได้เปิดเผยข้อมูลบัญชีของผู้ที่วิจารณ์รัฐบาลหลายคนให้กับรัฐบาลทหารภายหลังจากการทำรัฐประหารในปี 2557

เนื่องมาจากความไม่โปร่งใสของรัฐไทยเป็นทุนเดิมอยู่แล้ว จึงยากที่จะยืนยันความเชื่อของ วันเฉลิม ที่ว่า กลุ่มทรู ได้ส่งมอบข้อมูลของผู้ฝ่าฝืนรัฐบาลทหารให้กับเจ้าหน้าที่ผู้บังคับใช้กฏหมาย   แม้จะไม่อาจยืนยันในเรื่องนี้ได้ แต่สิ่งที่เรารู้ดีนั่นก็คือตั้งแต่ปี 2550 เป็นต้นมา รัฐบาลต่างพากันหาทางที่จะควบคุมความท้าทายของมวลชนส่วนหนึ่งในโลกไซเบอร์ โดยการออกกรอบกฏหมายเพื่อลงโทษและบีบบังคับให้บริษัท ISP ทั้งหลายใช้เทคโนโลยีเพื่อการสอดส่องและเซ็นเซ่อร์บนโลกไซเบอร์ มิหนำซ้ำ บริษัท ISP เองยังมีการตั้งเงื่อนไขการใช้บริการ (Terms of Service) อย่างเช่น “นโยบายความเป็นส่วนตัว”  ของ ทรู คอปอเรชั่น ซึ่งเงื่อนไขการใช้บริการโดยทั่วไปแล้วอนุญาตให้บริษัท ISP เหล่านี้ส่งมอบข้อมูลบัญชีของผู้ใช้บริการให้กับเจ้าหน้าที่บังคับใช้กฏหมายอีกด้วย การใช้เงื่อนไขทั้งทางกฏหมายและทางเทคโนโลยีแบบนี้ ลดระดับการปกป้องความเป็นส่วนตัวและสิทธิมนุษยชนทางดิจิทัลลงไป การละเมิดสิทธิแบบนี้จำเป็นอย่างยิ่งที่จะต้องมีมาตรการในการพึงระวังป้องกันข้อมูลของผู้ใช้อินเทอร์เนตเพื่อการเปลี่ยนแปลงทางสังคม-การเมือง

การสอดส่องและการเซ็นเซ่อร์บนอินเทอร์เนต: ภูมิทัศน์ทางกฏหมาย

ในประเทศไทย มีกฏหมายบางข้อที่บังคับให้ ISPs ส่งข้อมูลมาให้กับเจ้าหน้าที่เพื่อการสืบสวนคดีอาชญากรรม กฏหมายที่เกี่ยวข้องกับอาชญากรรมทางคอมพิวเตอร์ เช่น มาตรา 112 แห่งประมวลกฎหมายอาญา (หรือเรียกว่า เลส มาเจ้สเต้ lèse-majesté) กฏหมายที่เป็นที่รู้จักกันดีว่ามีบทลงโทษที่รุนแรงที่สุดในบรรดากฏหมายเซ็นเซ่อร์ในประเทศไทย จากเวลาที่ผ่านมามากกว่าสองทศวรรษ มีผู้ถูกดำเนินคดีนี้ที่ถูกจำคุกบางครั้งยาวนานจนถึง 60 ปีอันเนื่องมาจากได้ “หมิ่นประมาท ดูหมิ่น หรือแสดงความอาฆาตมาดร้ายพระมหากษัตริย์ พระราชินี รัชทายาท หรือผู้สำเร็จราชการแทนพระองค์”  อย่างไรก็ตาม นับตั้งแต่พิธีบรมราชาภิเษกของรัชการที่ 10 เจ้าหน้าที่ทางราชการได้หลีกเลี่ยงการบังคับใช้ มาตรา 112  เพื่อดำเนินคดีกับผู้ที่วิจารณ์กษัตริย์โดยหันมาบังคับใช้กฏหมายที่เกี่ยวข้องกับคอมพิวเตอร์แทน

พระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ ที่ออกมาเมื่อปี 2560  นับได้ว่าเป็นเครื่องมือที่รัฐบาลนำมาใช้สำหรับจำกัดการใช้เสรีภาพในการแสดงความคิดเห็นบนโลกออนไลน์ พ.ร.บ.คอมพิวเตอร์ฯ ได้กำหนดบทลงโทษถึงห้าปีแก่ผู้ใช้เครื่องมือดิจิทัลที่นำเข้าข้อมูล “อันเป็นเท็จ” หรือ “ที่ก่อความไม่สงบและเรียบร้อย”    และตามที่ปรากฏในหลายๆมาตราของ พ.ร.บ.คอมพิวเตอร์ฯยังให้อำนาจแก่เจ้าพนักงานแบบไม่มีขอบเขตในการเข้าถึง เมตะดาต้า (metadata)  ซึ่งเก็บโดยบริษัท ISP และผู้ประกอบการอินเทอร์เนตประเภทอื่นๆ (metadata คือ ข้อมูลที่ให้รายละเอียดว่าใครคือผู้ใช้อินเทอร์เนตอย่างเช่น หัวเรื่องของอีเมล์ ระยะเวลาการโทรเข้า-ออก หรือระบุตำแหน่งของผู้ใช้เครื่องมือดิจิทัลและผู้ที่คุยสนทนาด้วย นอกจากนั้นมาตรา 26 ของ พ.ร.บ.คอมพิวเตอร์ฯ ยังบังคับให้บริษัท ISP เก็บและ/หรือหน่วงเหนี่ยว metadata ไว้ ตั้งแต่ 90 วันถึง 1 ปี เงื่อนไขนี้เพื่อจะทำให้บริษัทเหล่านี้มีคุณสมบัติตามที่รัฐบาลกำหนดไว้ถึงจะได้สิทธิ์ในการทำสัญญากับรัฐบาล นอกจากนี้มาตรา 18 ของกฏหมายเดียวกันนี้ยังให้อนุญาตเจ้าพนักงานเข้าถึงข้อมูลของผู้ใช้จากการยึดระบบคอมพิวเตอร์ และรวมไปถึงการทำลายรหัสลับที่ปกป้องข้อมูลนั้นๆ

ในอดีตเจ้าพนักงานมักจะตั้งข้อหาคดีหมิ่นพระบรมเดชานุภาพ ไปพร้อมกับ คดีพ.ร.บ.คอมพิวเตอร์ฯ ให้แก่ผู้ที่วิจารณ์กษัตริย์ เช่นเมื่อเดือน มีนาคม 2554  ธันย์ฐวุฒิ ทวีวโรดมกุล (หรือรู้จักกันในอีกชื่อหนึ่งว่า หนุ่ม เรดนนท์) ผู้ออกแบบเว็บไซต์ให้กับเว็บของคนเสื้อแดงที่มีข้อความโพสต์ลงบนเว็ปไซต์ ซึ่งถูกตัดสินจำคุก 13 ปี (10 ปีสำหรับคดีหมิ่นพระบรมเดชานุภาพ และ 3 ปีสำหรับคดีพ.ร.บ.คอมพิวเตอร์ฯ) ประชาไทได้รายงานว่า ทริปเปิ้ลทีบรอดแบรนด์ (Triple T Broadband) ซึ่งเป็นบริษัท ISP ได้เปิดเผย IP Address ของธันย์ฐวุฒิที่เชื่อมต่อกับเว็บไซต์ที่เขาดูแลอยู่ในขณะนั้น (IP Address หรือ Internet Protocol ซึ่งเป็นหมายเลขประจำเครื่องของเครื่องคอมพิวเตอร์ เปรียบเสมือนเลขที่บ้านของคนๆหนึ่ง)

ในปีเดียวกัน แอนโทนี่ ชัย คนไทยสัญชาติอเมริกันที่เปิดร้านคอมพิวเตอร์และให้บริการในรัฐแคลิฟอร์เนีย พร้อมกับทนายความ  ได้ยื่นฟ้องศาลดำเนินคดีกับ Netfirms ซึ่งเป็นบริษัท ISP ที่ตั้งอยู่ในประเทศแคนาดา โดยกล่าวหาว่าบริษัทได้ฝ่าฝืนกฏหมายของประเทศสหรัฐอเมริกาเพราะบริษัทได้ส่งมอบอีเมล์สองบัญชีที่เชื่อมต่อกับ IP Address ของแอนโทนี่ ให้กับเจ้าพนักงานไทยโดยที่เขาไม่มีส่วนรับรู้  ตามเนื้อหาของคดีที่ฟ้องร้องกับบริษัท Netfirms นี้ ผู้ใช้บริการในร้านของแอนโทนี่ได้โพสต์ข้อความวิจารณ์มาตรา 112 แบบนิรนามในปี 2548 เมื่อแอนโทนี่เดินทางมาที่สนามบินในกรุงเทพฯในเดือนพฤษภาคม 2549 ตำรวจจากกรมสอบสวนคดีพิเศษ (ดีเอสไอ)ดีงตัวเขาออกมาจากแถวผู้โดยสารที่รอเข้าประเทศ พร้อมยึดคอมพิวเตอร์และควบคุมตัวเขาไว้ก่อนที่จะปล่อยตัวเขา พร้อมกับขู่ว่าจะจับกุมอีกหากเขาเดินทางกลับมาที่เมืองไทย กรณีของแอนโทนี่นี้ ทำให้เห็นว่าแม้แต่บริษัท ISP ต่างชาติก็ยังเปิดเผยข้อมูลของคนที่คิดต่างให้กับเจ้าพนักงานไทย

ยังมีกฏหมายที่เกี่ยวข้องกับอาชญากรรมทางคอมพิวเตอร์อื่นๆที่มีปัญหาอีก เช่น พ.ร.บ.ไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่ออกมาเมื่อปีที่แล้ว (พ.ศ.2562) ยังได้เพิ่มอำนาจล้นพ้นให้กับรัฐเพื่อการสอดส่องผู้ใช้อินเทอร์เนตของบุคคใดก็ตามที่ทางการเพียงแค่มีความ”สงสัย”    นั่นหมายความว่า กฏหมายยังให้อำนาจแก่เจ้าพนักงานที่จะยึดคอมพิวเตอร์มาจากผู้ใช้อินเทอร์เนตเป็นเวลายาวนานถึง 30 วันพร้อมกับให้อำนาจในการทำสำเนาของระบบคอมพิวเตอร์โดยที่ไม่มีหมายศาล ส่วนพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนั้น ยังให้อนุญาตรัฐเก็บข้อมูลจากนักข่าว (รวมถึงแหล่งข่าวนิรนาม) และข้อมูลของผู้ที่คิดต่างโดยไม่ต้องรอหมายศาล ยิ่งไปกว่านั้น กองทัพ กระทรวง และหน่วยงานราชการต่างๆ ยังสามารถออกคำสั่งต่างๆ (เช่น คำสั่งจากคณะรักษาความสงบแห่งชาติ) เพื่อมาบังคับให้บริษัท ISP ทั้งหลายส่งมอบข้อมูลแก่เจ้าพนักงาน อย่างที่เห็นได้จากหลังรัฐประหาร เมื่อกองทัพมีคำสั่งให้บริษัท ISP ทั้งหมดให้จับตามองและยับยั้งข้อมูลที่วิจารณ์ทหาร

นอกจากการสร้างกรอบทางกฏหมายเพื่อการบังคับใช้ลงโทษคดีอาชญากรรมทางคอมพิวเตอร์ ทางการไทยยังซื้อเครื่องมือทางเทคโนโลยีในการสอดส่อง (เข่น ระบบ “lawful interception”) เพื่อที่จะขยายศักยภาพของกองทัพในการสอดส่องการสื่อสารทางดิจิทัลและการจราจรบนอินเทอร์เนตเพื่อการวิจารณ์ต่อการทำงานของรัฐ มีรายงานบางชิ้นจากศูนย์วิจัยและองค์กรเฝ้าดูแลเพื่อการปกป้องสิทธิมนุษยชนทางดิจิทัล (digital rights) ได้เปิดเผยว่าทางการไทยได้ใช้อุปกรณ์ทางเทคโนโลยี ฮาร์ดแวร์ และ ซอฟแวร์ ต่างๆเพื่อการสอดส่อง (ซึ่งยังมีมากไปกว่าตัวอย่างที่เอ่ยถึงด้านล่างนี้) ในปี 2553 รัฐไทยได้บังคับให้บริษัท ISP ทุกแห่งติดตั้ง “sniffer tools” เพื่อให้บริษัท ISP สามารถเก็บและวิเคราะห์การจราจรทางคอมพิวเตอร์ บางบริษัท ISP ยังมีการใช้เครื่องมือ PacketShaper  ซึ่งเป็นเทคโนโลยีที่ช่วยให้ประติดประต่อโครงสร้างของการจราจรในเครือข่ายของของการติดต่อสื่อสารเครือข่ายใดเครือข่ายหนึ่งที่ใช้การเข้ารหัสลับ ทั้งนี้บางบริษัท ISP ได้นำเครื่องมือชิ้นนี้มาใช้เพื่อการสอดส่องการจราจรที่เข้ารหัสลับ (encryption)  เพื่อที่จะยับยั้งเว็บไซต์และเก็บการจราจรทางอินเทอร์เนต  ที่เป็นเช่นนี้เพราะว่า มาตราที่ 15 แห่งพ.ร.บ.คอมพิวเตอร์ฯ ผลักภาระให้ตัวกลางทางอินเทอร์เนต (internet intermediaries) รับผิดชอบที่ต้องดูแลสอดส่องและยับยั้งข้อมูลที่ “ผิดกฏหมาย” เอง ฉนั้น บริษัท ISP ก็ดี  เว็บไซต์ และแพลตฟอร์มโซเชี่ยวมีเดียต่างๆ สามารถ “ได้รับโทษหนักด้วยจากการกระทำของผู้ก่ออาชญากรรม” (นั่นก็คือ ผู้ที่เข้ามาใช้บริการของตัวกลางทางอินเทอร์เนตนนั้นๆ) อันเนื่องมาจากการนำเข้า สารสนเทศ ข้อมูล และเนื้อหาที่ผิดกฏหมาย

สาเหตุที่สำคัญอีกข้อหนึ่งที่บริษัท ISPให้ความร่วมมือกับรัฐในการยับยั้งการแสดงออกทางความคิดเห็นของผู้ที่เห็นต่าง อันเนื่องมาจากความสัมพันธ์อย่างเป็นกันเองทั้งทางส่วนตัวและทางธุรกิจระหว่างรัฐไทยและบริษัท ISP  ความสัมพันธ์ที่แนบแฟ้นแบบนี้เห็นได้จากที่ บริษัท ทรู คอร์ปอเรชั่น (True Corporation)  ซึ่งมีเจ้าของเป็นกลุ่มธุรกิจยักษ์ใหญ่ เครือเจริญโภคภัณฑ์ หรือ ซีพี ยกตัวอย่าง ครอบครัวที่อยู่เบื้องหลังกลุ่มซีพี มีความใกล้ชิดกับรัฐบาลจากการสมรสระหว่างคนในครอบครัวกับอดีตรัฐมนตรีบางคน กลุ่มทรู ยังได้รับเอกสิทธิ์จากการทำสัญญาผูกขาดกับรัฐ เช่น เมื่อปี 2559  กลุ่มทรู ได้ประกาศที่จะสร้างและติดตั้งระบบ WiFi   ให้แก่สถานีตำรวจทั่วประเทศ  และการชนะการประมูลคลื่นความถี่ในการให้บริการ 4G และ 5G ของ กลุ่มทรู ในปี 2558 และ ปี 2563 ตามลำดับนี้ ได้ทำให้ ทรู กลายมาเป็นเครือธุรกิจทางเทคโนโลยีที่มั่งคั่งและมีอำนาจที่สุดในประเทศ

มองไปข้างหน้า: คำแนะนำสำหรับผู้ใช้อินเทอร์เนตเพื่อการแสดงออกความคิดที่ต่างจากกระแสหลัก

จากข่าวรายงานการสาปสูญไปของผู้ลี้ภัยทางการเมืองหลายๆคน ได้ทำให้ประชาชนในพื้นที่สาธารณะมีความสนใจต่อมาตรา 112  อีกครั้ง หลังจากมีการรายงานข่าวการหายตัวไปของ วันเฉลิม แฮชแท็ก #Saveวันเฉลิม และ #ยกเลิก112 ได้สร้างกระแสเทรนด์ในทวิตเตอร์อีกด้วย และได้มีการแชร์ต่อในทวิตเตอร์มากถึง 530,000 ครั้งสำหรับแฮชแท็ก #Saveวันเฉลิม และ 605,700 ครั้งสำหรับแฮชแท็ก #ยกเลิก112  ปรากฏการณ์ของคนที่เห็นต่างทางออนไลน์จำนวนมหาศาลแบบนี้ (mass online dissent) เมื่อไม่กี่ปีก่อนหน้านี้เราคงแทบจะคาดเลยทีเดียวว่าจะเกิดขึ้นได้ และนี่แสดงให้เห็นว่าการต่อสู้ทางการเมืองบนโลกออนไลน์มีการเพิ่มขึ้นเรื่อยๆ  แน่นอนว่าอินเทอร์เนตมีพลังขับเคลื่อนที่จะช่วยในการเปลี่ยนแปลงแต่อินเทอร์เนตยังนำความเสี่ยงต่างๆเข้ามาด้วย เช่น การถูกละเมิดความเป็นส่วนตัวและสิทธิมนุษยชนทางดิจิทัล

เมื่อผู้เขียนได้สัมภาษณ์วันเฉลิม ตัวเขาเองได้ตระหนักถึงอำนาจอันเหลื่อมล้ำระหว่างรัฐไทยและบริษัท ISP    ทั้งนี้ วันเฉลิม เชื่อว่าความสัมพันธ์ระหว่างรัฐบาลกับบริษัท ISP นำไปสู่การเปิดโปงตัวตนของผู้ที่เห็นต่าง วันเฉลิม ได้เล่าว่า “เท่าที่ทราบมา[จากสายภายใน] ที่เค้าไปเจอ IP ของหลายๆคนในช่วงการจับกุมที่ผ่านมาโดยไม่มีหมายเรียก  1 ถึง 2 วันหลังจากที่คสช. ประกาศกฏอัยการศึก มีการเรียกผู้ให้บริการอินเทอร์เนต 128 เจ้า เข้าไปประชุมร่วมกับทหาร แล้วก็เริ่มมีการจับกุมคนที่โพสต์ทาง Facebook โดยที่ ปอท. ตามไปถึงที่บ้านโดยไม่มีหมาย[ศาล]เรียก

วันเฉลิม เองเชื่อว่าการจับกุมผู้ที่เห็นต่างนั้นมาจากการให้ความร่วมมือของบริษัท ISP ซึ่งรวมถึง กลุ่มทรู ในการส่งมอบข้อมูลส่วนตัวของผู้ใช้บริการให้กับตำรวจ ปอท. (กองบังคับการปราบปรามการกระทำผิดเกี่ยวกับอาชกรรมทางเทคโนโลยี) วันเฉลิม ยังได้บอกเพิ่มอีกด้วยว่า: “อย่าง ทรู เนี่ยก็เปิดเผยข้อมูลว่า IP [ของผู้ที่ใช้บริการทรู] นี้ที่มันมีการเปลี่ยนไปและมีการใช้ VPN covers [ปกปิด] สุดท้ายแล้วมันมาจากกล่องส่งสัญญาณ [WiFi modem] ของบริษัทอะไร ดังนั้น VPN มันปิด IP ก็จริง แต่ว่าพอสุดท้ายแล้วไอ้เลขกล่องสัญญาณอินเทอร์เนตเนี่ยมันตามเจอต้นตอได้จาก WiFi ที่บ้าน [ของผู้ที่ใช้บริการทรู]

อนึ่ง Virtual Private Networks หมายถึง เครือข่ายส่วนตัวซึ่งมีการเข้ารหัส และมีระบบรักษาความปลอดภัย จากบทส่วนหนึ่งของบทสัมภาษณ์นี้ แม้ว่า วันเฉลิม จะไม่ได้บอกผู้เขียนว่าตัวเขาเองได้ใช้ ISP ของบริษัทไหน และมันยากที่จะยืนยันว่า กลุ่มทรู ได้ส่งมอบข้อมูลของผู้ใช้บริการให้แก่เจ้าพนักงานจริงหรือไม่   ซึ่งผู้เขียนเองเพียงแค่แนบบทสัมภาษณ์ของ วันเฉลิม มาในบทความนี้เพื่อชี้ให้เห็นว่าผู้ที่คิดเห็นต่างจากรัฐมีความรู้เป็นทุนเดิมอยู่แล้วเกี่ยวกับการสอดส่องและการเซ็นเซอร์ที่ตนเองกำลังเผชิญอยู่ และปัจจัยนี้เองที่หล่อหลอมวิธีการแสดงออกทางการเมืองของพวกเขา   แต่สิ่งหนึ่งที่เรารู้กันดีนั่นก็คือ พ.ร.บ.คอมพิวเตอร์ฯฉบับแก้ไข บีบบังคับให้ตัวกลางทางอินเทอร์เนตเก็บกักข้อมูลของลูกค้าของตัวเองแล้วส่งมอบให้เจ้าพนักงาน ซึ่งรวมถึงข้อมูลของ นักกิจกรรมทางการเมือง นักข่าว นักวิชาการ นักปกป้องสิทธิมนุษยชน และผู้ที่เห็นต่างกับรัฐผู้อื่นๆอีกมากมาย ส่วนในกรณีของวันเฉลิมเองนั้น ความเป็นไปได้ที่ว่าการเปิดโปงข้อมูลของตัวเขาเองโดยบริษัท ISP เป็นส่วนหนึ่งของหลายๆปัจจัยที่จูงใจให้ วันเฉลิม หนีออกมาจากประเทศไทย

นับตั้งแต่วันที่วันเฉลิมหายตัวไป ปัญหาที่เร่งด่วนอย่างเช่น ความปลอดภัยทางดิจิทัลได้เพิ่มทวีคูณอันเนื่องมาจากความระวังระไวความดูแลการตรวจตราของมวลชน (mass surveillance) ที่เพิ่มขึ้นอย่างมากมายในช่วงวิกฤตไวรัส COVID-19   ทั้งนี้ รัฐไทยได้รับมือกับโรคระบาดนี้ด้วยการประกาศใช้ พระราชกำหนดฉุกเฉิน ซึ่งได้ให้อำนาจล้นฟ้ารวมทั้งการนำแอปพลิเคชั่นเพื่อติดตามการแพร่ระบาดไวรัส “ไทยชนะ” (contact-tracing mobile application) ที่ตกเป็นข่าวมาใช้  แต่มันจำเป็นอย่างยิ่งที่จะต้องสร้างสมดุลย์ระหว่าง ความเป็นส่วนตัว เสรีภาพในการแสดงออกทางความคิดเห็น และการรับมือกับวิกฤตทางสุขภาพของประชาชนนั้น

ท้ายที่สุดนี้ผู้เขียนได้แนะนำข้อคิดบางข้อให้แก่ประชาชนทั่วไป  ผู้ที่เห็นต่าง  และองค์กรภาคประชาสังคม เพื่อหาแนวทางจัดการปัญหาการสอดแนมและการยับยั้งการแสดงออกความคิดเห็น เมื่อเวลาเข้าร่วมทำกิจกรรมทางการเมืองบนอินเทอร์เนต คำแนะนำแรกก็คือ ผู้ใช้อินเทอร์เนตควรใช้เทคโนโลยีที่มีการเข้ารหัสลับ (encryption) และเทคโลยีอัลเทอร์เนทีฟต่างๆ (เช่น แอ้พพลิเคชั่น Signal และ Jitsi ที่ใช้ได้ทั้งในมือถือและแล็ปท็อป) หรือเทคโลยีที่พัฒนามาจากโอเพ่นซอร์ซ (open source) และไม่ได้มาจากบริษัทเทคโนโลยียักษ์ใหญ่ เพื่อการสนทนาที่ละเอียดอ่อนในการใช้จัดทำกิจกรรม เคลื่อนไหวทางการเมือง เช่นการประท้วง ยิ่งไปกว่านั้น มันยังไม่เพียงพอที่จะปกปิดข้อมูลความเป็นส่วนตัวของตนเอง โดยการที่ไม่บอกว่าตนเองโพสต์มาจากที่ไดเมื่อเวลาโพสต์สถานะบน Facebook  รวมถึงการใช้อวตาร หรือ นามแฝง  แต่ผู้ใช้อินเทอร์เนตยังจำเป็นต้องใช้ VPN ที่พัฒนามาจากกลุ่มนักกิจกรรม (activists) ไม่ใช่จากบริษัท VPN   ยิ่งไปกว่านั้น ถ้าอยากจะเพิ่มความปลอดภัยทางการปกป้องบัญชีออน์ไลน์ต่างๆให้มากไปกว่านี้อีกควรใช้ การยืนยันตัวตนผ่านสองขั้นตอน (Two-Factor-Authentication หรือ 2FA) และการแยกบัญชีออน์ไลน์ต่างๆจากกันด้วยการลงสมัครบัญชีด้วยที่อยู่อีเมล์ที่แตกต่างกัน นี่เป็นเพียงคำแนะนำส่วนหนึ่งเท่านั้นเพราะยังมีวิธีอื่นอีกมากมาย

คำแนะนำที่สองก็คือ ถ้าจะใช้บริการบริษัทเทคโนโลยียักษ์ใหญ่ ผู้ใช้อินเทอร์เนตควรใช้เพื่อลงประชาสัมพันธ์เกี่ยวกับกิจกรรมทางการเมืองของกลุ่มตนเท่านั้น หมายความว่าการนำแพลตฟอร์มหรือแอ้พจากบริษัทเหล่านี้มาใช้เพื่อการสื่อสารที่ละเอียดอ่อนกับสมาชิกภายในกลุ่มเพื่อการจัดกิจกรรม จะทำให้เจ้าหน้าที่รัฐสามารถสอดส่องรู้เห็นถึงความเคลื่อนไหว และสามารถยับยั้งการประท้วงก่อนที่จะสำเร็จลุล่วงไปได้

คำแนะนำสุดท้ายคือ ประชาชนและภาคประชาสังคมที่มุ่งขยายพื้นที่ประชาธิปไตยให้กว้างขวางออกไป ควรให้การสนับสนุนต่อการรณรงค์ในระยะยาวในเรื่องที่กี่ยวกับ ความเป็นส่วนตัวทางดิจิทัล ความปลอดภัยทางไซเบอร์ และการเปลี่ยนกฏหมายต่างๆที่ออกมาลงโทษและบังคับให้บริษัท ISP ให้มีส่วนร่วมในการกดขี่ขมเหงผู้ที่เห็นต่างกับรัฐ

More on Thailand

Solidarity in precarity: food delivery riders in Thailand’s gig economy

The algorithms of food delivery apps incentivise riders to work harder, longer and faster—sometimes at the expense of their safety and rights.

The Royalists Marketplace: the supply and demand for dissent in Thailand

The Facebook group "Royalists Marketplace", a platform for discussion on all things monarchy, is a microcosm of burgeoning criticism against Thailand's new king.

Pracharat welfare depoliticises Thailand’s “political peasants”

สวัสดิการประชารัฐกับการเปลี่ยนแปลงความสัมพันธ์รัฐ-ชนบทไทย