วันพฤหัสบดีที่ 17 พฤษภาคม พ.ศ. 2561

ความผิดฐานใช้รหัสผ่านระบบคอมพิวเตอร์ของนายจ้างเก่า

กฎหมายหลอกลวงและการใช้คอมพิวเตอร์โดยมิชอบ (Computer Fraud and Abuse Act หรือ CFAA) กำหนดฐานความผิดทางอาญาไว้จำนวนหนึ่งเพิ่มเติมจากกฎหมายอาญาทั่วไปของสหพันธรัฐ ในหมวดหนึ่งของกฎหมายฉบับนี้บัญญัติให้การกระทำเข้าฐานข้อมูลโดยไม่ได้รับอนุญาต (without authorization) หรือเกินขอบเขตที่ได้รับอนุญาต (in excess of authorization) โดยมีวัตถุประสงค์เพื่อหลอกลวงให้ถือว่าเป็นความผิดทางอาญา

ศาลอุทธรณ์ระดับสหพันธรัฐในภาค 9 ในคดี United States v. Nosal ได้วินิจฉัยว่าคำว่าโดยไม่ได้รับอนุญาตหมายความรวมถึงการแบ่งปันหรือให้บุคคลอื่นใช้รหัสในบางกรณีเข้าข่ายการกระทำตามความผิดนี้หรือไม่ ผู้พิพากษาเสียงข้างน้อยมีความเห็นแย้งว่าควรตีความยกเว้นในกรณีที่การให้ผู้อื่นใช้รหัสผ่านโดยมีวัตถุประสงค์ที่ดีและไม่มีเจตนาหลอกลวง (benign) ในคดีนี้นายนอซอลได้ลาออกจากงานจากบริษัทเดิมและเข้าทำงานกับบริษัทคู่แข่ง ต่อมานายนอซอลได้จ้างพนักงานจากบริษัทเดิมสองเข้ามาร่วมทีมงานด้วยคือนายคริสเตียนและจาคอบสัน แต่ไม่ได้จ้างนายเฟรอร์ริช ซึ่งก่อนที่นายคริสเตียนและจาคอบสันทั้งสองคนเข้ามาร่วมทำงานกับนายนอซอลได้ดาว์โหลดข้อมูลที่เป็นความลับจากบริษัทเดิมและแม้หลังจากที่ได้ลาออกจากบริษัทเดิมแล้ว ทั้งสองคนยังคงดาวโหลดข้อมูลต่อโดยใช้รหัสผ่านของนายเฟรอร์ริช นายนอซอลจึงถูกดำเนินคดีในข้อหาร่วมกระทำความผิดตามกฎหมาย CFAA กฎหมายความลับทางการค้า และการหลอกลวงทางเมล์ ศาลชั้นต้นได้ยกฟ้องข้อหาตามบทบัญญัติกฎหมาย CFAA ในกรณีกระทำการโดยเกินขอบเขตที่ได้รับอนุญาต และต่อมาศาลอุทธรณ์ภาค 9 ได้พิพากษายืนในประเด็นนี้โดยให้เหตุผลว่าการเข้าถึงโดยเกินขอบเขตการได้รับอนุญาตไม่ได้ขยายครอบคลุมถึงการเข้าถึงโดยได้รับอนุญาตเพื่อวัตถุประสงค์ที่ไม่ได้รับอนุญาต (unauthorized purpose)

แต่นายนอซอลยังคงถูกตั้งข้อหาการเข้าถึงโดยไม่ได้รับอนุญาต เช่น การช่วงเหลืออำนวยความสะดวกแก่พนักงานที่จ้างร่วมทีมงานในการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตเพื่อวัตถุประสงค์หลอกลวง คณะลูกขุนได้ตัดสินให้นายนอซอลมีความผิดฐานเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตและความลับทางการค้า ศาลชั้นต้นมีคำพิพากษาให้นายนอซอลจำคุก 1 ปี 1 วัน และถูกโทษปรับและต้องจ่ายค่าชดเชยเพื่อเป็นการเยียวความเสียหาย นายนอซอลได้อุทธรณ์คำพิพากษา ศาลอุทธรณ์ได้วินิจฉัยว่านายคริสเตียนและนายจาคอบสันในฐานะเป็นพนักงานเก่าได้เข้าถึงฐานข้อมูลที่เป็นความลับของบริษัทเก่าที่เป็นนายจ้างโดยไม่ได้รับอนุญาต แม้ว่าจะใช้รหัสผ่านที่ได้รับอนุญาตของนายเฟรอร์ริชก็ตาม กล่าวคือแม้ว่ารหัสผ่านของทั้งสองจะหมดอายุแล้วหรือถูกเพิกถอน แต่ผลลัพธ์ก็ยังคงเหมือนเดิมคือการเข้าถึงข้อมูลของบุคคลทั้งสองถือว่าไม่ได้รับการอนุญาตด้วยเจตนาหลอกลวง ดังนั้น จึงมีความผิดตามกฎหมาย CFAA และถือว่านายนอซอลมีความผิดเช่นเดียวกันในฐานผู้สมรู้ร่วมคิดและผู้สนับสนุนเนื่องจากเป็นผู้ว่าจ้างบุคคลทั้งสองเข้าร่วมงาน

แต่ความเห็นแย้งของผู้พิพากษาเสียงข้างน้อยให้เหตุผลว่าเจตนารมย์ของกฎหมาย CFAA คือการลงโทษหรือจัดการกับบรรดาแฮกเกอร์ไม่ใช่ใช้บังคับและลงโทษทางอาญากับพนักงานที่ไม่สุจริตหรือซื่อสัตย์ หรือผู้ฝ่าฝืนด้วยกรณีเล็กน้อย ควรต้อวตีความในทำนองเดียวกับประเด็นเกินขอบเขตการได้รับอนุญาตในกรณีพนักงานลูกจ้างที่ไม่ซื่อสัตย์ไม่ควรต้องได้รับการลงโทษทางอาญากับพฤติกรรมดังกล่าว และกรณีนี้ไม่ใช่ประเด็นว่ามีการแชร์ใช้รหัสอย่างสมัครใจกับอดีตลูกจ้างและประเด็นว่ารหัสผ่านของอดีตลูกจ้างถูกระงับหรือหมดอายุแล้ว มิฉะนั้น การลงโทษทางอาญากับกรณีนี้อาจมีผลในอนาคตอย่างกว้างขวางและใช้บังคับกับบุคคลทั่วไปในกิจกรรมการใช้ชีวิตประจำวันอันจะนำไปสู่การดำเนินคดีอาญาที่เลือกปฏิบัติและตามอำเภอใจได้

นอกจากนี้ ประเด็นที่น่าสนใจในคำพิพากษาในคดีนี้คือการกำหนดให้จำเลยชำระค่าชดเชยเพื่อเยียวยาโดยการชำระค่าทนายความและค่าใช้จ่ายที่เกิดจากการสวบสวนภายในองค์กรและการดำเนินคดี ซึ่งรัฐบาลได้ร้องขอให้จำเลยต้องรับผิดชอบในจำนวนเงิน $964,929.65 แต่ศาลชั้นต้นมีคำสั่งให้ชำระเหลือเพียง  $600,000 ในชั้นศาลอุทธรณ์ได้มีคำสั่งให้ศาลชั้นต้นพิจารณาทบทวนในประเด็นนี้ใหม่ โดยได้วางหลักการชำระค่าชดเชยกรณีค่าทนายความไว้ด้วยว่าประการแรกค่าชดเชยต้องเป็นรายจ่ายโดยตรงและคาดหมายได้ที่เกิดจากพฤติกรรมของจำเลย ประการที่สองค่าชดเชยดังกล่าวสมเหตุสมผลโดยพิจารณาจากความจำเป็นตามกฎหมายและต้องไม่ซ้ำซ้อนโดยคำนึงถึงเวลาและภาระงานที่ดำเนินการ ประการที่สาม ค่าชดเชยต้องสามารถเรียกคืนได้หากเกิดขึ้นระหว่างการเข้าร่วมในการสอบสวนหรือดำเินนคดี  ทั้งนี้การดำเนินงานของทนายความของบริษัทไม่สามารถทดแทนการดำเนินงานอัยการได้หรือถือว่าทำงานภายใต้อัยการ แต่เป็นการเข้าร่วมทำงานด้วยกัน

ทั้งนี้ เป็นที่เข้าใจว่าการมีส่วนร่วมไม่ถือว่าแยกออกจากการสอบสวนภายในองค์กร อย่างน้อยไม่ได้ถูกกำหนดหรือร้องขอโดยเจ้าหน้าที่สอบสวนหรืออัยการ ผลที่เกิดขึ้นคือว่าศาลอุทธรณืภาค 9 ได้เห็นชอบในการกำหนดให้มีการจ่ายค่าชดเชยเพื่อเยียวยาผู้เสียหายที่เป็นองค์กร เช่น ค่าทนายความ ค่าใช้จ่ายที่เกิดขึ้นจากการสวบสวนภายในองค์กรแม้ว่าจะไม่มีการร้องขอจากหน่วยงานภาครัฐ ผู้พิพากษาหนึ่งท่านในองค์คณะได้เห็นแย้งในเรื่องดังกล่าวไม่ได้โต้แย้งในประเด็นนี้ แต่เห็นแย้งในเรื่องขอบเขตการตีความของเสียงข้างมากโดยให้เหตุผลว่าผลลัพธ์จากการตีความในคดีนี้ได้ให้อำนาจอย่างไม่สมเหตุสมผลแก่องค์กรขนาดใหญ่เหนือคู่แข่งขัน ลูกจ้าง และประชาชนทั่วไป

ไม่มีความคิดเห็น:

แสดงความคิดเห็น