ปัจจุบันนี้อินเทอร์เน็ตได้ลดอุปสรรคในการสื่อสารทำให้ลดต้นทุนอย่างมหาศาล โดยเฉพาะกิจการแพร่ภาพกระจายเสียง ในอดีต การแพร่ภาพกระจายเสียงจำเป็นต้องได้รับใบอนุญาตประกอบกิจการและต้องใช้เงินลงทุนมหาศาลในการดำเนินกิจการวิทยุหรือโทรทัศน์ รวมทั้งหนังสือพิมพ์ เพื่อให้สามารถเข้าถึงมวลชนอย่างกว้างขวาง ปัจจุบันนี้ ใครก็ได้สามารถใช้สมาร์ทโฟนและบัญชีผู้ใช้งานของทวิทเตอร์ เฟสบุ๊ค ยูทูบ หรือบริการสื่อออน์ไลน์อื่นๆ ในการแพร่ภาพกระจายเสียงได้ โดยไม่ต้องได้รับใบอนุญาตจากหน่วยงานรัฐที่มีอำนาจ
อินเทอร์เน็ตช่วยส่งเสริมให้บุคคลมีเสรีภาพในการสื่อสารได้อย่างเสรีมากขึ้น โดยเฉพาะเสรีภาพในการแสดงออกหรือพูดมีมากขึ้นอย่างไม่เคยมีมาก่อน บุคคลสามารถปกปิดตัวตนและเผยแพร่ความเห็นได้อย่างรวดเร็วและกว้างขวางมากขึ้น แต่ทั้งนี้ ผลกระทบทางลบก็เริ่มปรากฎให้เห็น ข้อเท็จจริงที่นำเสนออาจเกิดจากการสร้างข่าวเท็จ การนำเสนอที่หลอกลวง การปั่นข่าว หรือการเปลี่ยนแปลงข้อเท็จจริง เป็นต้น ซึ่งอาจนำไปสู่ความโกลาหลในสังคมและเศรษฐกิจได้ รัฐบาลในหลายประเทศเริ่มเห็นผลลัพธ์ที่เกิดขึ้นของผลกระทบดังกล่าวและพยายามหาแนวทางสร้างสมดุลระหว่างเสรีภาพในการแสดงออกบนอินเทอร์เน็ตและประโยชน์สาธารณะและรัฐ
อินเทอร์เน็ตมีขีดความสามารถในการก่อให้เกิดชะงักงันทางสังคมและบางธุรกิจได้ หลายประเทศเริ่มตระหนักถึงความสำคัญในเรื่องนี้ และก่อให้เกิดแรงกดดันแก่ผู้ให้บริการแพลทฟอร์มที่สามารถควบคุมหรือจัดการกับเนื้อหาของผู้ใช้บริการเพื่อให้ปฏิบัติตามกฎหมายหรือนโยบายของรัฐ ซึ่งที่สำคัญคือผู้ให้บริการแพลทฟอร์มไม่ได้มีสถานที่ตั้งในประเทศนั้น จึงมีปัญหาเรื่องเขตอำนาจรัฐในการจัดการหรือกำกับดูแลประเด็นดังกล่าว
ตัวอย่างที่เกิดขึ้นในช่วงแรกคือเรื่องสิทธิในการลืม (right ot be forgetten) ซึ่งเป็นนโยบายของสหภาพยุโรปที่กำหนดเงื่อนไขให้กับผู้ให้บริการสืบค้นออนไลน์อย่างเช่น กูเกิ้ล ด้วยเหตุผลทางธุรกิจ เนื้อหาบางอย่างไม่ได้ทำเงินหรือก่อให้เกิดรายได้ เพราะไม่มีโฆษณาหรือผู้สนับสนุน หรือเนื้อหาที่ก่อให้เกิดความเกลียดชังหรือปลุกปั่นซึ่งได้รับการร้องเรียนจากผู้ใช้บริการรายอื่นหรือจากผู้เสียหายหรือรัฐบาล ผู้ให้บริการมักจะกลั่นกรองเนื้อหาหรือปิดกั้นการเข้าถึงหรือลดลำดับความสำคัญในการนำเสนอหรือเข้าถึงโดยผู้ใช้บริการทั่วไป ในสหรัฐอเมริกา เสรีภาพในการแสดงออกได้รับการคุ้มครองตามรัฐธรรมนูญและในสังคมถือว่าเป็นคุณค่าที่สำคัญที่ต้องปกป้องไว้ คนในสังคมต้องอดทนหรือยอมรับกับคำพูดหรือการแสดงออกที่ตนไม่เห็นด้วยหรือไม่ชอบ การแสดงออกดังกล่าวต้องไม่ถูกควบคุมโดยรัฐ แต่สำหรับภาคเอกชนนั้น คุณค่าของการปกป้องเสรีภาพการแสดงออกก็มีบทบาทสำคัญที่ผู้ให้บริการต้องดำเนินการปกป้องและเป็นภาพลักษณ์ของผู้ให้บริการ แต่ก็ไม่ใช่ว่าผู้ให้บริการแพลทฟอร์มทุกรายจะอนุญาตให้มีการนำเสนอทุกการแสดงออกหรือคำพูด
คำถามสำคัญและยากคือแล้วอะไรคือเส้นที่จะแบ่งว่าการแสดงออกหรือคำพูดใดที่ควรได้รับการคุ้มครอง การแสดงออกหรือคำพูดใดที่สามารถถูกคัดกรองหรือปิดกั้นการนำเสนอต่อสาธารณะได้ แต่ละสังคมและวัฒนธรรมอาจลากเส้นแบ่งดังกล่าวแตกต่างกัน เมื่อมองในมุมของอินเทอร์เน็ตที่เป้นการเชื่อมโยงและสื่อสารระดับโลก ความแตกต่างดังกล่าวจะประนีประนอมกันอย่างไร เพราะอินเทอร์เน็ตทำหน้าที่ในทางอ้อมเป็นกระจกสะท้อนสังคมในแต่ละสังคม ทุกวันนี้ประชากรทั่วโลกสามรถเข้าถึงอินเทอร์เน็ตได้มากกว่าร้อยละ 50 บางคนหรือบางกลุ่มอาจไม่พอใจหรือไม่ยอมรับภาพสะท้อนของตนบนโลกอินเทอร์เน็ต และบางครั้งอาจคิดผิดต่อไปว่าการแก้ไขภาพที่สะท้อนบนอินเทอร์เน็ตเป็นปัญหาที่สามารถแก้ไขได้ด้วยการปิดกั้น ดังนั้น แนวโน้มของการปิดกั้นเนื้อหาบนอินเทอร์เน็ตเริ่มมีมากขึ้นโดยเฉพาะแรงกดดันจากภาครัฐ ปฏิกิริยาต่อต้านต่อแรงกดดันดังกล่าวทำให้เนื้อหาที่ถูกปิดกั้นดังกล่าวได้หลบหรือย้ายไปอยู่ใต้ดินแทนด้วยการสร้างระบบโครงข่ายใหม่ที่นิยมเรียกว่า dark web หลายคนเห็นว่าเป็นทางออกดี แต่หลายคนก็ทักท้วงว่าที่จริงแล้วความโปร่งใสเป็นองค์ประกอบสำคัญของสังคมเพราะสามารถสะท้อนภาพของสังคม กล่าวคือหากเราไม่สามารถเห็นมะเร็งร้ายในร่างกายเราได้ เราอาจไม่ตระหนักผลร้ายที่อาจเกิดขึ้นต่อเราได้ ทำให้เราละเลยที่จะแก้ไขเยียวยาปัญหาที่ถูกต้อง ความสำคัญของเสรีภาพการแสดงออกและเสรีภาพของสื่อมวลชนมักจะถูกหยิบยกขึ้นมาเพื่อต่อสู้กับเรื่องนี้ จึงเป็นประเด็นปัญหาที่ยังคงถกเถียงกันทั่วโลก
ทั้งนี้ ยังคงเป็นปริศนาที่ยังหาทางออกที่ดีไม่ได้ต่อไป ในโลกสื่อสารที่มีการเชื่อมโยงกันที่จะหาจุดสมดุลโดยต้องตระหนักความต้องการและความจำเป็นในการสื่อสาร เสรีภาพของบุคคลในการสื่อสาร และผลกระทบทางลบที่เกิดขึ้นจากการสื่อสารแบบไร้ข้อจำกัดที่อาจก่อให้เกิดความเสียหายแก่สังคมได้ รัฐบาลประเทศต่างๆ มีมุมมองและแนวทางจัดการที่แตกต่างกัน ในเวทีระหว่างประเทศก็ยังคงหาทางออกที่เหมาะสมไม่ได้ จึงต้องรอดูกันต่อไป
วันพุธที่ 10 มกราคม พ.ศ. 2561
วันอังคารที่ 9 มกราคม พ.ศ. 2561
กรอบกฎหมายเกี่ยวกับเทคโนโลยีการเข้ารหัสของสหภาพยุโรป
ระบบกฎหมายคุ้มครองข้อมูลของสหภาพยุโรปอิงตามข้อกำหนดการคุ้มครองข้อมูล ค.ศ. 1995 Data Protection Directive 1995 และข้อกำหนดการสื่อสารอิเล็กทรอนิกส์และสิทธฺความเป็นส่วนตัว ค.ศ. 2002 Privacy and Electronic Communications Directive 2002 หรือนิยมเรียกว่า “ePrivacy Directive” ข้อกำหนด ค.ศ. 1995 กำหนดกรอบการคุ้มครองข้อมูลส่วนบุคคลอย่างครอบคลุมและบังคับใช้กับผู้ที่ควบคุมข้อมูล (data controllers) เช่น องค์กรที่กำหนดวิธีการและเหตุผลในการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวกับชีวิตความเป็นอยู่ของแต่ละคน ข้อกำหนดส่วนบุคคลอิเล็กทรอนิกส์ใช้บังคับเฉพาะกับภาคอุตสาหกรรมสื่อสารอิเล็กทรอนิกส์ เช่น ผู้ให้บริการโทรคมนาคมหรืออินเทอร์เน็ต เป็นต้น และผู้ที่ประมวลผลข้อมูลส่วนบุคคลในระบบการสื่อสารอิเล็กทรอนิกส์ ทั้งนี้ มีข้อกำหนดเฉพาะตามมาตรา 17 ชองข้อกำหนดปี 1995 ที่กำหนดให้ประเทศสมาชิกต้องปฏิบัติตามมาตรการด้านเทคนิคและองค์กรที่เหมาะสมในการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้เกิดความสูญหายหรือเปิดเผยโดยไม่ได้รับอนุญาตและประกันว่ามาตรการดังกล่าวสามารถรักษาระดับความมั่นคงปลอดภัยที่เหมาะสมต่อความเสี่ยงที่อาจเกิดจากการประมวลผลและลักษณะของข้อมูลที่ได้รับความคุ้มครอง ในการดำเนินการดังกล่าว มีพันธกรณีที่ชัดเจนว่าให้มีการใช้เทคโนโลยีเข้ารหัสในบางสถานการณ์ ข้อกำหนดว่าด้วยสิทธิส่วนบุคคลอิเล็กทรอนิกส์กำหนดพันธกรณีที่สำคัญหลายประการแก่องค์กรเพื่อวัตถุประสงค์ในการปรับปรุงความมั่นคงปลอดภัยของข้อมูล ผู้ให้บริการต้องประกันว่าข้อมูลส่วนบุคคลสามารถเข้าถึงได้โดยบุคคลที่ได้รับอนุญาตเท่านั้นและภายใต้ขอบวัตถุประสงค์ที่ได้รับอนุญาตเท่านั้นด้วยและต้องคุ้มครองข้อมูลส่วนบุคคลที่จัดเก็บไว้และการส่งต่อในกรณีที่เกิดเหตุการณ์ทำลายโดยมิชอบหรืออุบัติเหตุ หรือเกิดการสูญหายหรือมีการแก้ไขเปลี่ยนแปลงโดยอุบัติเหตุและการจัดเก็บรักษา ประมวลผล การเข้าถึง หรือเปิดเผยโดยไม่ได้รับอนุญาตหรือไม่ชอบด้วยกฎหมาย
นอกจากนี้ ผู้ให้บริการต้องแจ้งบุคคลที่ข้อมูลส่วนบุคคลถูกละเมิดที่ได้รับผลกระทบดังกล่าวโดยไม่ชักช้ควร เว้นแต่ผู้ให้บริการสามารถพิสูจน์ได้ว่าได้ดำเนินการตามมาตรการทางเทคโนโลยีที่เหมาะสมแล้วที่อาจยอมให้ข้อมูลที่ไม่สำคัญแก่บุคคลที่สามหรือกล่าวอีกนัยหนึ่ง หากมีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น ก็ไม่มีหน้าที่แจ้งบุคคลที่ที่รับผลกระทบหากข้อมูลดังกล่าวได้มีการเข้ารหัสไว้ ข้อยกเว้นเรื่องความปลอดภัยในการเข้ารหัสของสหภาพยุโรปขยายไปยังการเข้ารหัสฐานข้อมูลและการใช้งาน อนึ่งกฎหมายสหภาพยุโรปกำหนดหลักการความเป็นกลางของเทคโนโลยีไว้ในเรื่องเทคโนโลยีเข้ารหัส ทั้งนี้เพื่อหลีกเลี่ยงความซ้ำซ้อนในทางกฎหมายเนื่องจากเทคโนโลยีสามารถล้าสมัยได้ ดังนั้น องค์กรที่ประกอบกิจการในสหภาพยุโรปต้องเตรียมการตามพันธกรณีของกฎหมายดังกล่าวด้วย
แต่กฎหมายเกี่ยวกับการเข้ารหัสในสหภาพยุโรปไม่ได้ไม่มีความชัดเจนและมีหลักการที่ชัดเจน โดยในบางกฎหมายของประเทศสมาชิกได้ระบุชัดเจนถึงการเข้ารหัส แม้ว่ากฎหมายส่วนใหญ่จะไม่ได้ระบุอ้างไว้ชัดเจนก็ตาม รายละเอียดของกฎหมายถูกกำหนดโดยองค์กรกำกับดูแลและศาลที่พัฒนากฎหมายตามมุมมองของตน หน่วยงานกำกับดูแลคุ้มครองข้อมูลของสหภาพยุโรปคาดหวังให้องค์กรต่างๆ ใช้เทคโนโลยีเข้ารหัสในการคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลที่มีความอ่อนไหวสูงหรือเป๋นความลับ เพื่อลดความเสียที่อาจเกิดขึ้นเมื่อมีการละเมิดความมั่นคงปลอดภัย องค์กรกำกับดุแลข้อมูลของหสภาพยุโรปยังไม่ได้มีการวิเคราะห์รูปแบบของการเข้ารหัสที่มีอยู่ในตลาดอย่างจริงจังรวมทั้งในทุกสถานการณ์ที่สามารถใช้การเข้ารหัสได้ เพราะการกำกับดุแลได้พัฒนาแบบแยกส่วน แต่ก็มีความชัดเจนว่ากฎหมายได้รับการพัฒนาและใช้กับองค์กรที่ประมวลผลข้อมูลส่วนบุคคลที่ต้องไปปรับใช้กับสถานการณ์เอง จึงพอสรุปได้ว่ากฎหมายครอบคลุมการใช้เทคโนโลยีเข้ารหัส การเข้ารหัสฐานข้อมูล ระบบคราวด์ อุปกรณ์พกพาที่ประมวลผลได้ เช่น โทรศัพท์เคลือนที่ แลปท๊อป เป็นต้น โโยครอบคลุมทั้งข้อมูลในเครื่องและข้อมูลที่ส่งผ่านบนโครงข่ายสื่อสาร ปัจจุบันนี้ กรอบกฎหมายกาคุ้มครองข้อมูลของสหภาพยุโรปอยู่ระหว่างการปรับปรุงให้สอดคล้องกับพัฒนาการที่ก้าวหน้าของเทคโนโลยี
สำหรับการคุ้มครองข้อมูลของประเทศสมาชิกในสหภาพยุโรปมีดังนี้
สหราชอาณาจักร : กฎหมายคุ้มครองข้อมูลปี 1998 ของสหราชอาณาจักรกำหนดให้ผู้ควบคุมข้อมูลดำเนินมาตรการทางเทคนิคและองค์กรในการเก้บรักษาข้อมูลให้มีความปลอดภัยและมั่นคง โดยต้องคำนึงถึงพัฒนาการของเทคโนโลยีและต้นทุนของการดำนเนินมาตรการดังกล่าว ทั้งนี้ มาตรการดังกล่าวต้องประกันระดับความมั่นคงปลอดภัยที่เหมาะสมกับ (ก) อันตรายที่อาจเกิดจากการประมวลผลที่ไม่ชอบด้วยกฎหมายหรือไม่ได้รับอนุญาตหรือการสูญหาย การทำลาย หรือเสียหายโดยอุบัติเหตุ และ (ข) ลักษณะของข้อมูลทีไ่ด้รับการคุ้มครอง กฎกำหนดให้มีการเข้ารหัสเนื่องจากอยู่ในขอบเขตของความก้าวหน้าทางเทคโนโลยีและควรต้องดำเนินการในสถานการณ์ที่เหมาะสม
กฎหมายคุ้มครองข้อมูลถูกกำกับดูแลและบังคับใช้คณะกรรมการข้อมูลข่าวสารที่จะตีพิมพ์แนวปฏิบัติเพื่อส่งเสริมแนวปฏิบัติที่ดีและอธิบายนโยบายและวิธีการดำเนินการแก่ภาคส่วนที่เกี่ยวข้อง เป้นที่ชัดเจนว่าคณะกรรมการข้อมูลข่าวสารได้กำหนดให้มีการใช้การเข้ารหัส โดยมีเอกสารเผยแพร่เรื่องการเข้ารหัสในเดือนพฤศจิกายน 2007 และแนวปฏิบัติด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศในปี 2012 การเข้ารหัสถือเป็นนโยบายและประเด็นสำคัญในฐานะเป้นวิะีการประกันว่าข้อมูลสามารถเข้าถึงโดยผู้ใช้ที่ได้รับอนุญาตเท่านั้น แนวปฏิบัติมีผลทางกฎหมายและสร้างรูปแบบการบังคับทางปกครองกับผู้ควบคุมข้อมูล ที่ผ่านมาการบังคับใช้กฎหมายไม่ได้ถูกท้าทายและมีการยอมรับว่าผู้ควบคุมข้อมูลเห็นด้วยกับความจำเป้นต้องเข้ารหัสข้อมูลส่วนบุคคล ซึ่งต่อมาได้ขยายขอบเขตการบังคับใช้ไปยังคอมพิวเตอร์ประเภทพกพาหรือแลบท๊อป ฮาร์ดดิสก์ และเมมโมรี่สติ๊ก รวมทั้งอีเมล์ อุปกรณ์สื่อสารอื่นๆ และเซิร์ฟเวอร์ด้วย
ในด้านบริการทางการเงิน ผู้ควบคุมข้อมูลที่ประกอบธุรกิจด้านการเงินที่อยู่ภายใต้การกำกัลด฿แลขององค์กรกำกับดูแลบริการการเงิน Finanacial Services Authority หรือ FSA) ตามกฎหมายบริการและตลาดการเงิน (Finanacial Services and Markets Act 2000 หรือ FSMA) กรอบกฎหมายดังกล่าวกำหนดให้บริษัทที่ให้บริการการเงินต้องคำนึงถึงความเสี่ยงในการดำเนิธุรกิจและมีหน้าที่ลดความเสี่ยงจากอาชญากรรมทางการเงิน โดยต้องจัดให้มีการเข้ารหัสข้อมูล ส่วนที่แตกต่างจากกฎหมายคุ้มครองข้อมูลคือการคุ้มครองและเข้ารหัสข้อมูลนั้นไม่เฉพาะข้อมูลส่วนบุคคลเท่านั้นและมีการบังคับใช้ค่อนข้างเข้ม กล่าวคือ ในเดือนกุมภาพันธ์ 2007 คณะกรรมการการเงินได้สั่งปรับสมาคมก่อสร้างเป้นจำนวนเงิน 980000 ปอนด์ในกรณีทำเครื่องคอมพิวเตอร์แบบพกพาสูญหายซึ่งบรรจุข้อมูลของลูกค้าโดยไม่ได้เข้ารหัสไว้ ในเดือนเมษายน 2008 คณะกรรมการการเงินได้ออกรายงานอาณชญากรรมทางการเงินและการคุ้มครองข้อมูลและกระตุ้นให้บริษัทต้องเข้ารหัสข้อมูลบนอุปกรณ์พกพาและสื่อต่างๆ ในปี 2010 บริษัทประกันถูกปรับเป็นจำนวนเงิน 2,275,000 ปอนด์จากกรณีเทปสำรองข้อมูลที่ไม่ได้มีการเข้ารหัสสูญหาย
ฝรั่งเศส: กฎหมายคุ้มครองข้อมูลเลขที่ 78-17 เรื่องการประมวลผลข้อมูล ไฟล์ข้อมูล และเสรีภาพส่วนบุคคล 1978 กำหนดให้ผู้ควบคุมข้อมูลดำเนินมาตรการระมัดระวังโดยคำนึงถึงลักษณะของข้อมูลและความเสี่ยงจากกระทบวนการประมวลผล การจัดเก็บรักษาข้อมูล และการป้องกันการเปลี่ยนแปลงแก้ไขและสร้างความเสียหายของข้อมูล รวมทั้งการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตจากบุคคลที่สาม (มาตรา 34) กฎหมายนี้อยู่ภายใต้การกำกับดูแลของคณะกรรมการเสรีภาพข้อมูลข่าวสารแห่งชาติ (Commission Nationale de l’Informatique et des Libertés หรือ “CNIL”) ซึ่งได้ออกแนวปฏิบัติสำหรับการบริหารและป้องกัยภัยคุกคามจากระบบเทคโนโลยีสารสนเทศและโครงข่ายสื่อสาร รวมทั้งการฉ้อโกงทางคอมพิวเตอร์ การจัดเก็บรวบรวมข้อมูล การสูญหายของข้อมูลและการกระจายข้อมูลที่เป็นความลับ และส่งเสริมให้ผู้ควบคุมข้อมูลจัดการกับภัยคุกคามอย่างจริงจัง
ล่าสุดคณะกรรมการฯให้ความสำคัญกับเทคโนโลยีคลาวด์และความจำเป็นในมาตรฐานความปลอดภัยใหม่ที่ยกระดับการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการฯ ยังให้ความสำคัญกับการเข้าใช้การเชื่อมโยงอินเทอร์เน็ตที่มีการเข้ารหัสสำหรับการแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์ โดยได้กำหนดให้มีการเข้ารหัสข้อมูลที่ฝากไว้บนคลาวด์ หากมีการละเมิดหรือเปิดเผยข้อมูลเกิดขึ้น ผู้ให้บริการดังกล่าวมีหน้าที่ต้องแจ้งคณะกรรมการฯและผู้ที่มีส่วนเกี่ยวข้องโดยทันที เว้นแต่คณะกรรมการฯ เห็นว่ามีมาตรการคุ้มครองข้อมูลที่เหมาะสมแล้ว คณะกรรมการฯ เห็นว่าความเสี่ยงต่อบุคคลอาจจำกัด เช่น หากมีการถูกแฮกไฟล์บนคอมพิวเตอร์ และหากข้อมูลถูกเข้ารหัสไว้ แฮกเกอร์อาจไม่สามารถเปิดอ่านข้อมูลได้หากไม่มีรหัส นอกจากนี้ องค์กรบริการการเงินในฝรั่งเศสต้องปฏิบัติตามพันธกรณีความลับของวิชาชีพอยู่แล้วตามกฎหมายการธนาคาร 1984 กฎหมายพัฒนากิจกรรมการเงิน 1996 และกฎหมายการเงิน 2010 และมีหน้าที่ต้องประกันว่าต้องจัดให้มีมาตรการที่เหมาะสมในการปฏิบัติตาม
เยอร์มันนี: กฎหมายคุ้มครองข้อมูลของสหพันธรัฐ (Federal Data Protection Act sหรือ “BDSG”) กำหนดหน้าที่ต่อหน่วยงานที่ประมวลผลข้อมูลส่วนบุคคลในการดำเนินมาตรการทางเทคนิคและองค์กรที่เหมาะสม และการรักษาความมั่นคงปลอดภัยขอ้มูล และการใช้เทคโนโลยีเข้ารหัส เพื่อป้องกันการเข้าถึงและเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตคล้ายกับประเทศฝรั่งเศสและสหราชอาณาจักร ที่น่าสนใจคือการกำหนดพันธะหน้าที่ให้มีมาตรการเพื่อประกันว่าผู้ควบคุมข้อมูลแบ่งแยกข้อมูลในการประมวลผลหากการประมวลผลมีวัตถุประสงค์ที่แตกต่างกัน ในขณะที่กฎหมายฝรั่งเศสกำหนดเพียงว่าผู้ควบคุมข้อมูลต้องมีมาตรการระมัดระวังเท่านั้น แต่ในเรื่องของเทคโนโลยีการเข้ารหัสในการคุ้มครองข้อมูลส่วนบุคคลเหมือนกัน คณะกรรมการคุ้มครองข้อมูลของสหพันธรัฐของเยอร์มันทำหน้าที่คล้ายกับคณะกรรมการเสรีภาพข่าวสารของฝรั่งเศสที่หน้าที่ออกหลักเกณฑ์และแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ที่น่าสนใจคือคณะกรรมการฯส่งเสริมการเข้ารหัสข้อมูลส่วนบุคคลบนระบบคลาวด์ สำหรับธุรกิจการเงินนั้น องค์กรกำกับดูแลการเงินของสหพันธรัฐ (Federal Financial Supervisory Authority หรือ “BaFin”) และธนาคารชาติเยอรมันนีได้ร่วมกันออกหลักเกณฑ์กำกับดูแลในเรื่องนี้ด้วยเหมือนทั้งสองประเทศข้างต้น
นอกจากนี้ ผู้ให้บริการต้องแจ้งบุคคลที่ข้อมูลส่วนบุคคลถูกละเมิดที่ได้รับผลกระทบดังกล่าวโดยไม่ชักช้ควร เว้นแต่ผู้ให้บริการสามารถพิสูจน์ได้ว่าได้ดำเนินการตามมาตรการทางเทคโนโลยีที่เหมาะสมแล้วที่อาจยอมให้ข้อมูลที่ไม่สำคัญแก่บุคคลที่สามหรือกล่าวอีกนัยหนึ่ง หากมีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น ก็ไม่มีหน้าที่แจ้งบุคคลที่ที่รับผลกระทบหากข้อมูลดังกล่าวได้มีการเข้ารหัสไว้ ข้อยกเว้นเรื่องความปลอดภัยในการเข้ารหัสของสหภาพยุโรปขยายไปยังการเข้ารหัสฐานข้อมูลและการใช้งาน อนึ่งกฎหมายสหภาพยุโรปกำหนดหลักการความเป็นกลางของเทคโนโลยีไว้ในเรื่องเทคโนโลยีเข้ารหัส ทั้งนี้เพื่อหลีกเลี่ยงความซ้ำซ้อนในทางกฎหมายเนื่องจากเทคโนโลยีสามารถล้าสมัยได้ ดังนั้น องค์กรที่ประกอบกิจการในสหภาพยุโรปต้องเตรียมการตามพันธกรณีของกฎหมายดังกล่าวด้วย
แต่กฎหมายเกี่ยวกับการเข้ารหัสในสหภาพยุโรปไม่ได้ไม่มีความชัดเจนและมีหลักการที่ชัดเจน โดยในบางกฎหมายของประเทศสมาชิกได้ระบุชัดเจนถึงการเข้ารหัส แม้ว่ากฎหมายส่วนใหญ่จะไม่ได้ระบุอ้างไว้ชัดเจนก็ตาม รายละเอียดของกฎหมายถูกกำหนดโดยองค์กรกำกับดูแลและศาลที่พัฒนากฎหมายตามมุมมองของตน หน่วยงานกำกับดูแลคุ้มครองข้อมูลของสหภาพยุโรปคาดหวังให้องค์กรต่างๆ ใช้เทคโนโลยีเข้ารหัสในการคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลที่มีความอ่อนไหวสูงหรือเป๋นความลับ เพื่อลดความเสียที่อาจเกิดขึ้นเมื่อมีการละเมิดความมั่นคงปลอดภัย องค์กรกำกับดุแลข้อมูลของหสภาพยุโรปยังไม่ได้มีการวิเคราะห์รูปแบบของการเข้ารหัสที่มีอยู่ในตลาดอย่างจริงจังรวมทั้งในทุกสถานการณ์ที่สามารถใช้การเข้ารหัสได้ เพราะการกำกับดุแลได้พัฒนาแบบแยกส่วน แต่ก็มีความชัดเจนว่ากฎหมายได้รับการพัฒนาและใช้กับองค์กรที่ประมวลผลข้อมูลส่วนบุคคลที่ต้องไปปรับใช้กับสถานการณ์เอง จึงพอสรุปได้ว่ากฎหมายครอบคลุมการใช้เทคโนโลยีเข้ารหัส การเข้ารหัสฐานข้อมูล ระบบคราวด์ อุปกรณ์พกพาที่ประมวลผลได้ เช่น โทรศัพท์เคลือนที่ แลปท๊อป เป็นต้น โโยครอบคลุมทั้งข้อมูลในเครื่องและข้อมูลที่ส่งผ่านบนโครงข่ายสื่อสาร ปัจจุบันนี้ กรอบกฎหมายกาคุ้มครองข้อมูลของสหภาพยุโรปอยู่ระหว่างการปรับปรุงให้สอดคล้องกับพัฒนาการที่ก้าวหน้าของเทคโนโลยี
สำหรับการคุ้มครองข้อมูลของประเทศสมาชิกในสหภาพยุโรปมีดังนี้
สหราชอาณาจักร : กฎหมายคุ้มครองข้อมูลปี 1998 ของสหราชอาณาจักรกำหนดให้ผู้ควบคุมข้อมูลดำเนินมาตรการทางเทคนิคและองค์กรในการเก้บรักษาข้อมูลให้มีความปลอดภัยและมั่นคง โดยต้องคำนึงถึงพัฒนาการของเทคโนโลยีและต้นทุนของการดำนเนินมาตรการดังกล่าว ทั้งนี้ มาตรการดังกล่าวต้องประกันระดับความมั่นคงปลอดภัยที่เหมาะสมกับ (ก) อันตรายที่อาจเกิดจากการประมวลผลที่ไม่ชอบด้วยกฎหมายหรือไม่ได้รับอนุญาตหรือการสูญหาย การทำลาย หรือเสียหายโดยอุบัติเหตุ และ (ข) ลักษณะของข้อมูลทีไ่ด้รับการคุ้มครอง กฎกำหนดให้มีการเข้ารหัสเนื่องจากอยู่ในขอบเขตของความก้าวหน้าทางเทคโนโลยีและควรต้องดำเนินการในสถานการณ์ที่เหมาะสม
กฎหมายคุ้มครองข้อมูลถูกกำกับดูแลและบังคับใช้คณะกรรมการข้อมูลข่าวสารที่จะตีพิมพ์แนวปฏิบัติเพื่อส่งเสริมแนวปฏิบัติที่ดีและอธิบายนโยบายและวิธีการดำเนินการแก่ภาคส่วนที่เกี่ยวข้อง เป้นที่ชัดเจนว่าคณะกรรมการข้อมูลข่าวสารได้กำหนดให้มีการใช้การเข้ารหัส โดยมีเอกสารเผยแพร่เรื่องการเข้ารหัสในเดือนพฤศจิกายน 2007 และแนวปฏิบัติด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศในปี 2012 การเข้ารหัสถือเป็นนโยบายและประเด็นสำคัญในฐานะเป้นวิะีการประกันว่าข้อมูลสามารถเข้าถึงโดยผู้ใช้ที่ได้รับอนุญาตเท่านั้น แนวปฏิบัติมีผลทางกฎหมายและสร้างรูปแบบการบังคับทางปกครองกับผู้ควบคุมข้อมูล ที่ผ่านมาการบังคับใช้กฎหมายไม่ได้ถูกท้าทายและมีการยอมรับว่าผู้ควบคุมข้อมูลเห็นด้วยกับความจำเป้นต้องเข้ารหัสข้อมูลส่วนบุคคล ซึ่งต่อมาได้ขยายขอบเขตการบังคับใช้ไปยังคอมพิวเตอร์ประเภทพกพาหรือแลบท๊อป ฮาร์ดดิสก์ และเมมโมรี่สติ๊ก รวมทั้งอีเมล์ อุปกรณ์สื่อสารอื่นๆ และเซิร์ฟเวอร์ด้วย
ในด้านบริการทางการเงิน ผู้ควบคุมข้อมูลที่ประกอบธุรกิจด้านการเงินที่อยู่ภายใต้การกำกัลด฿แลขององค์กรกำกับดูแลบริการการเงิน Finanacial Services Authority หรือ FSA) ตามกฎหมายบริการและตลาดการเงิน (Finanacial Services and Markets Act 2000 หรือ FSMA) กรอบกฎหมายดังกล่าวกำหนดให้บริษัทที่ให้บริการการเงินต้องคำนึงถึงความเสี่ยงในการดำเนิธุรกิจและมีหน้าที่ลดความเสี่ยงจากอาชญากรรมทางการเงิน โดยต้องจัดให้มีการเข้ารหัสข้อมูล ส่วนที่แตกต่างจากกฎหมายคุ้มครองข้อมูลคือการคุ้มครองและเข้ารหัสข้อมูลนั้นไม่เฉพาะข้อมูลส่วนบุคคลเท่านั้นและมีการบังคับใช้ค่อนข้างเข้ม กล่าวคือ ในเดือนกุมภาพันธ์ 2007 คณะกรรมการการเงินได้สั่งปรับสมาคมก่อสร้างเป้นจำนวนเงิน 980000 ปอนด์ในกรณีทำเครื่องคอมพิวเตอร์แบบพกพาสูญหายซึ่งบรรจุข้อมูลของลูกค้าโดยไม่ได้เข้ารหัสไว้ ในเดือนเมษายน 2008 คณะกรรมการการเงินได้ออกรายงานอาณชญากรรมทางการเงินและการคุ้มครองข้อมูลและกระตุ้นให้บริษัทต้องเข้ารหัสข้อมูลบนอุปกรณ์พกพาและสื่อต่างๆ ในปี 2010 บริษัทประกันถูกปรับเป็นจำนวนเงิน 2,275,000 ปอนด์จากกรณีเทปสำรองข้อมูลที่ไม่ได้มีการเข้ารหัสสูญหาย
ฝรั่งเศส: กฎหมายคุ้มครองข้อมูลเลขที่ 78-17 เรื่องการประมวลผลข้อมูล ไฟล์ข้อมูล และเสรีภาพส่วนบุคคล 1978 กำหนดให้ผู้ควบคุมข้อมูลดำเนินมาตรการระมัดระวังโดยคำนึงถึงลักษณะของข้อมูลและความเสี่ยงจากกระทบวนการประมวลผล การจัดเก็บรักษาข้อมูล และการป้องกันการเปลี่ยนแปลงแก้ไขและสร้างความเสียหายของข้อมูล รวมทั้งการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตจากบุคคลที่สาม (มาตรา 34) กฎหมายนี้อยู่ภายใต้การกำกับดูแลของคณะกรรมการเสรีภาพข้อมูลข่าวสารแห่งชาติ (Commission Nationale de l’Informatique et des Libertés หรือ “CNIL”) ซึ่งได้ออกแนวปฏิบัติสำหรับการบริหารและป้องกัยภัยคุกคามจากระบบเทคโนโลยีสารสนเทศและโครงข่ายสื่อสาร รวมทั้งการฉ้อโกงทางคอมพิวเตอร์ การจัดเก็บรวบรวมข้อมูล การสูญหายของข้อมูลและการกระจายข้อมูลที่เป็นความลับ และส่งเสริมให้ผู้ควบคุมข้อมูลจัดการกับภัยคุกคามอย่างจริงจัง
ล่าสุดคณะกรรมการฯให้ความสำคัญกับเทคโนโลยีคลาวด์และความจำเป็นในมาตรฐานความปลอดภัยใหม่ที่ยกระดับการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการฯ ยังให้ความสำคัญกับการเข้าใช้การเชื่อมโยงอินเทอร์เน็ตที่มีการเข้ารหัสสำหรับการแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์ โดยได้กำหนดให้มีการเข้ารหัสข้อมูลที่ฝากไว้บนคลาวด์ หากมีการละเมิดหรือเปิดเผยข้อมูลเกิดขึ้น ผู้ให้บริการดังกล่าวมีหน้าที่ต้องแจ้งคณะกรรมการฯและผู้ที่มีส่วนเกี่ยวข้องโดยทันที เว้นแต่คณะกรรมการฯ เห็นว่ามีมาตรการคุ้มครองข้อมูลที่เหมาะสมแล้ว คณะกรรมการฯ เห็นว่าความเสี่ยงต่อบุคคลอาจจำกัด เช่น หากมีการถูกแฮกไฟล์บนคอมพิวเตอร์ และหากข้อมูลถูกเข้ารหัสไว้ แฮกเกอร์อาจไม่สามารถเปิดอ่านข้อมูลได้หากไม่มีรหัส นอกจากนี้ องค์กรบริการการเงินในฝรั่งเศสต้องปฏิบัติตามพันธกรณีความลับของวิชาชีพอยู่แล้วตามกฎหมายการธนาคาร 1984 กฎหมายพัฒนากิจกรรมการเงิน 1996 และกฎหมายการเงิน 2010 และมีหน้าที่ต้องประกันว่าต้องจัดให้มีมาตรการที่เหมาะสมในการปฏิบัติตาม
เยอร์มันนี: กฎหมายคุ้มครองข้อมูลของสหพันธรัฐ (Federal Data Protection Act sหรือ “BDSG”) กำหนดหน้าที่ต่อหน่วยงานที่ประมวลผลข้อมูลส่วนบุคคลในการดำเนินมาตรการทางเทคนิคและองค์กรที่เหมาะสม และการรักษาความมั่นคงปลอดภัยขอ้มูล และการใช้เทคโนโลยีเข้ารหัส เพื่อป้องกันการเข้าถึงและเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตคล้ายกับประเทศฝรั่งเศสและสหราชอาณาจักร ที่น่าสนใจคือการกำหนดพันธะหน้าที่ให้มีมาตรการเพื่อประกันว่าผู้ควบคุมข้อมูลแบ่งแยกข้อมูลในการประมวลผลหากการประมวลผลมีวัตถุประสงค์ที่แตกต่างกัน ในขณะที่กฎหมายฝรั่งเศสกำหนดเพียงว่าผู้ควบคุมข้อมูลต้องมีมาตรการระมัดระวังเท่านั้น แต่ในเรื่องของเทคโนโลยีการเข้ารหัสในการคุ้มครองข้อมูลส่วนบุคคลเหมือนกัน คณะกรรมการคุ้มครองข้อมูลของสหพันธรัฐของเยอร์มันทำหน้าที่คล้ายกับคณะกรรมการเสรีภาพข่าวสารของฝรั่งเศสที่หน้าที่ออกหลักเกณฑ์และแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ที่น่าสนใจคือคณะกรรมการฯส่งเสริมการเข้ารหัสข้อมูลส่วนบุคคลบนระบบคลาวด์ สำหรับธุรกิจการเงินนั้น องค์กรกำกับดูแลการเงินของสหพันธรัฐ (Federal Financial Supervisory Authority หรือ “BaFin”) และธนาคารชาติเยอรมันนีได้ร่วมกันออกหลักเกณฑ์กำกับดูแลในเรื่องนี้ด้วยเหมือนทั้งสองประเทศข้างต้น
เทคโนโลยีปัญญาประดิษฐ์กับประเด็น Super Human
ในยุคดิจิทัล มนุษย์กำลังเผชิญความท้าทายที่หลากหลายมากขึ้นจากนวัตกรรมที่ล้ำสมัยซึ่งได้รับการออกแบบหรือประดิษฐ์ขึ้นเพื่ออำนวยความสะดวกการดำรงชีวิตของมนุษย์ ด้วยลักษณะที่มีความสลับซับซ้อนมากขึ้นอย่างมากมาย เทคโนโลยีปัญญาประดิษฐ์หรือ ARTIFICIAL INTELLIGENCE (AI) เป็นเทคโนโลยีที่ได้รับการพัฒนามาเนิ่นนานและเพิ่งมีบทบาทมากขึ้นในช่วงเวลานี้ และถือได้ว่าจะมีบทบาทสำคัญอย่างมากในอนาคตอันใกล้เพราะจะถูกนำมาใช้ในการช่วยแก้ไขปัญหาที่เดิมยังไม่สามารถแก้ไขได้ในอดีต ในปัจจุบันนี้เทคโนโลยี AI ได้รับการพัฒนาถึงระดับที่เดิมนวนิยายเคยวาดฝันไว้ โดยมีชื่อเรียกว่าเครื่องจักรเรียนรู้ (MACHINE LEARNING) ที่สามารถประยุกต์ใช้เครือข่ายประสาทที่เลียนแบบกระบวนการของระบบประสาทจริงของมนุษย์ได้ ซึ่งอาจเรียกว่าเป็นระบบการเรียนรู้เชิงลึก (DEEP LEARNING) ที่อนุญาตให้เครื่องจักรสามารถประมวลผลข้อมูลในระดับที่สลับซับซ้อนใกล้เคียงกับระดับการคิดหรือตัดสินใจของมนุษย์ได้ เช่น การรับรู้หรือรู้จักหน้าตาม ประกอบกับความก้าวหน้าของเทคโนโลยี BIG DATA ที่ส่งเสริมการใช้งานของเทคโนโลยี AI นักวิชาการคาดการณ์ว่าเทคโนโลยี AI อาจถูกนำไปใช้ในหกรูปแบบ ดังนี้
1. ระบบการขนส่งอัตโนมัติ ปัจจุบันนี้เริ่มมีการนำรถยนต์ไร้คนขับมาใช้งานบ้างแล้วซึ่งจะช่วยยกระดับด้านความปลอดภัยในการขับขี่และลดปัญหาจราจรและเศรษฐกิจในระยะยาว บริษัทกูเกิ้ลได้เริ่มทดสอบรถยนต์ไร้คนขับมาตั้งแต่ปี 2012 และกระทรวงการขนส่งของสหรัฐอเมริกาได้ได้เริ่มยอมรับแนวคิดนี้ ซึ่งอาจเริ่มนำมาประยุกต์ใช้กับการขนส่งสาธารณะก่อน เช่น รถโดยสารประจำทางหรือรถไฟในอนาคตอันใกล้
ดังนั้น จึงมีการกระตุ้นเตือนและเรียกร้องให้มีการวิจัยผลกระทบที่อาจเกิดขึ้นทางสังคมของเทคโนโลยี AI และประเด็นหลักที่ได้รับการหยิบยกขึ้นมาคือเรื่องจริยธรรม ความปลอดภัย และผลกระทบต่อสังคมของเทคโนโลยี AI แม้ว่าจะมีผลงานวิจัยที่ทรงคุณค่าจำนวนหนึ่ง ซึ่งเรียกร้องให้มีระบบความรับผิดชอบในการพัฒนาเทคโนโลยี AI โดยเฉพาะผลกระทบที่อาจเกิดขึ้นต่อความไม่เท่าเทียม ความยุติธรรม และอคติ ในปี 2018 นักวิชาการหลายกลุ่มทั่วโลกได้เปิดเวทีและวิจัยลงลึกในเรื่องดังกล่าว แต่พบว่าไม่ง่ายที่ภาคเอุตสาหกรรมเทคโนโลยีจะพยายามลดกระบวนการตัดสินใจหรือคิด การทดแทนการตัดสินใจของมนุษยคนที่เดิมอาจมีการยึดมั่นคุณค่าต่างๆ ที่ซับซ้อนด้วยกระบวนการคิดแบบง่ายที่สามารถติดตามตรวจสอบได้และเน้นประสิทธิภาพเป็นสำคัญ คุณค่าหรือค่านิยมบางอย่างอาจถูกละเลยหรือไม่สามารถใส่เข้าไปเป็นปัจจัยในกระบวนการคิดหรือตัดสินใจของเทคโนโลยี AI ได้
ผลกระทบทางสังคมมีความสำคัญหากผลกระทบดังกล่าวส่งผลแม้จะบางส่วนต่อสภาพแวดล้อม แม้จะก่อให้เกิดความเสียหายไม่มากนัก แต่อาจส่งผลต่อบรรยากาศของการต่อต้านหรือความกลัวต่อเทคโนโลยีได้ โดยเฉพาะหากก่อให้เกิดความโกรธแค้นของประชาชนที่ได้รับผลกระทบ เนื่องจากเทคโนโลยี AI อาจเข้ามามีบทบาทอย่างมากในฐานะเป็นกลไกใหม่ในการตัดสินใจในกิจการของภาครัฐ ซึ่งอาจส่งผลให้เกิดการเปลี่ยนแปลงอย่างมากในบางภาคอุตสาหกรรมที่นิยมใช้การตัดสินใจแบบฝ่ายเดียว
ล่าสุด ผู้มีชื่อเสียงด้านเทคโนโลยี เช่น STEPHEN HAWKING, ELON MUSK, STEVE WOZNIAK, BILL GATES และผู้มีชื่อเสียงอื่นได้เรียกร้องผ่านทางสื่อมวลชนถึงความกังวลของเขาถึงความเสี่ยงที่อาจเกิดขึ้นจาก AI เนื่องจากเทคโนโลยี AI มีศักยภาพที่จะฉลาดล้ำลึกกว่ามนุษย์และอาจแม้กระทั่งพัฒนาได้ด้วยตนเองเป็นซูเปอร์ฮิวแมน จึงยากที่จะคาดการณ์ได้ว่าจะมีพฤติกรรมอย่างไร มนุษย์ยังไม่เคยมีสิ่งประดิษฐ์ที่สามารถฉลาดกว่ามนุษย์ได้มาก่อนและโดยเฉพาะมันสามารถคิด พัฒนาและเรียนรู้ได้ด้วยตนเอง อาจทำให้มนุษย์เราต้องเผชิญกับวิวัฒนาการของเราเอง แม้ว่าในปัจจุบันมนุษย์เป็นสิ่งมีชีวิตที่มีวิวัฒนาการที่สามารถควบคุมโลกใบนี้ได้เหนือสัตว์อื่น ทั้งนี้ไม่ใช่เพราะมนุษย์แข็งแรงที่สุด เร็วที่สุด หรือใหญ่ที่สุด แต่เป็นเพราะเราฉลาดที่สุด แต่หากในอนาคตมนุษย์เราไม่ได้เป็นเผ่าพันธุ์ที่ฉลาดที่สุด ก็ไม่แน่ว่าต่อไปมนุษย์เรายังจะควบคุมโลกได้อีกต่อไปหรือไม่
วันจันทร์ที่ 8 มกราคม พ.ศ. 2561
หลักการป้องกันตนเองตามกฎหมายระหว่างประเทศ
ตามหลักกฎหมายระหว่างประเทศ รัฐที่มีอำนาจอธิปไตยมีสิทธิที่จะป้องกันตนเอง (right to self defense) ในกรณีถูกโจมตีด้วยอาวุธ กฎหมายที่ครอบคลุมแหล่งที่มาของการใช้กำลัง หรือ jus ad bellum ที่เกี่ยวข้องแต่แยกจากกฎหมายที่เกี่ยวกับการใช้กำลัง หรือ jus in bello ก่อนสงครามโลกครั้งที่สองจะเกิดขึ้น รัฐทุกรัฐถือว่ามีอำนาจอธิปไตยในการใช้กำลังทำหารต่อรัฐอื่นเพื่อปกป้องตนเองจากการกระทำผิดของรัฐอื่นนั้นๆ ในการยกร่างกฎบัตรของสหประชาชาติ รัฐหลายรัฐได้พยายามลดเหตุการณ์ของสงครามโดยการจำกัดสิทธิของรัฐในการใช้กำลังต่อรัฐอื่น แม้ว่ามาตรา 2 (4) ของกฎบัตรของสหประชาติห้ามรัฐสมาชิกจากการใช้หรือคุกคามการใช้กำลังต่อบูรณภาพอาณาเขตหรือความเป็นอิสระทางการเมืองของรัฐใด มาตรา 51 ต้องรักษาสิทธิดั้งเดิมของการป้องกันตนเองของแต่ละรัฐหรือกลุ่มหากการโจมตีทางอาวุธเกิดขึ้นต่อรัฐสมาชิกขององค์การสหประชาติจนกระทั่งสภาความมั่นคงมีมาตรการจำเป็นในการรักษาความสงบและความมั่นคงระหว่างประเทศ
หากตีความตามตัวอักษร มาตรา 51 มีความชัดเจนในเรื่องสิทธิที่จะกีดกันรัฐในการใช้กำลังจนกระทั่งหลังจากการโจมตีด้วยอาวุธเกิดขึ้นแล้วและไม่เพียงแต่มีภัยคุกคามของการใช้กำลังและยังมีการตีความว่าเป้นสิทธิที่รวมถึงสิทธิดั้งเดิมในการป้องกันตนเองที่มีอยู่เดิมตามกฎหมายจารีตประเพณีระหว่างประเทศ โดยถือว่าเป็นสิทธิป้องกันตนเองแบบการคาดการณ์ได้ในกรณีมีการโจมตีกำลังจะเกิดขึ้น รูปแบบของสิทธิในการใช้กำลังป้องกันตนเองในอาณาเขตของรัฐต่างประเทศกำหนด
ตัวอย่างเช่น ในกรณีแคโรไลน่า กล่าวคือ ในปี 1837 กองกำลังทหารของอังกฤษได้โจมตีเรือเอกชนของสหรัฐอเมริกาชื่อแค่โรไลน่าที่เข้ามาจอดพักในตอนกลางคืนบริเวณแม่น้ำไนแองการ่าของมลรัฐนิวยอร์ก โดยทหารอังกฤษอ้างว่าเรือดังกล่าวถูกใช้ในการจัดส่งเสบียงให้กับกลุ่มผู้ต่อต้านรัฐบาลอังกฤษในแคนาดาที่ตั้งฐานกองกำลังอยู่มราเกาะอีกฝากหนึ่งในแคนาดา สหรัฐอเมริกาโต้แย้งว่าเป็นการกระทำที่รุนแรงอย่างมากและเรียกร้องคำขอโทษและค่าชดเชยในความเสียหาย ในการเจรจาทางการทูตกับรัฐบาลอังกฤษ รัฐมนตรีกระทรวงการต่างประเทศของสหรัฐฯ นายแดเนียล เว็บเตอร์อ้างว่าการกระทำของอังกฤษเป็นการรุกล้ำดินแดงของมาในอาณาเขตของสหรัฐฯสามารถอ้างเหตุผลป้องกันตนเองได้เพียงในกรณีที่มีความจำเป็นที่ป้องกันตนเองแบบทันท่วงทีเท่านั้น และไม่มีทางเลือกอื่นหรือวิธีการอื่นหรือเวลาในการพิจารณาเป็นอย่างอื่นๆ นอกจากนี้ หากจะสมเหตุสมผล การใช้กำลังป้องกันตนเองต้องได้สัดส่วนต่อภัยคุกคามเพราะการกระทำที่จะถือว่ามีความจำเป็นในการป้องกันตนเองต้องถูกจำกัดโดยความจำเป็นนั้นและมีความชัดเจนอยู่ในตัวเอง ทั้งนี้ มีสามเงื่อนไขที่ได้รับการยอมรับอย่างกว้างขวางประกอบด้วย ความจำเป็น ความได้สัดส่วน และกำลังจะเกิดภัย อันจะให้รัฐอ้างเหตุผลในการใช้สิทธิใช้กำลังนอกอาณาเขตตนเองได้
สหรัฐฯใช้กำลังในการป้องกันตนเองตอบโต้การโจมตีของการก่อการร้ายในอดีตที่ผ่านมาและอ้างสิทธิในการใช้กำลังในกรณีคาดการณ์การโจมตีที่อาจเกิดขึ้น สิทธิในการใช้กำลังในการป้องกันตนเองและการใช้กำลังจริงสมเหตุสมผลตามสถานการณ์ไม่มีความจำเป็นต้องระบุการเกิดขึ้นของความขัดแย้งทางอาวุธแต่ประการใด ตัวอย่างเช่น ในปี 1986 สหรัฐอเมริกาใช้กำลังต่อลิเบียในการตอบโต้ต่อการโจมตีของผู้ก่อการร้ายต่อประชาชนของสหรัฐอเมริกาในกรุงเบอร์ลินซึ่งทั้งลิเบียและสหรัฐอเมริกาไม่ได้ถือว่าเกิดสถานการณ์ที่เพิ่มความขัดแย้งทางอาวุธแค่ประการใด การใช้กำลังต่อกลุ่มก่อการร้ายที่ต้องสงสัยในอัฟกานิสถานและซูดานเพื่อตอบโต้การระเบิดสถานทูตสหรัฐอเมริกาในแอฟริกาไม่ถูกมองว่าเป็นการเกิดขึ้นของสถานการณ์ความขัดแย้งทางอาวุธในขณะเวลานั้นที่จะนำกฎหมายสงครามมาใช้ในสถานการณ์ดังกล่าว หากรัฐเจ้าของอาณาเขตได้ให้ความยินยอมและไม่มีการละเมิดมาตรา 2(4) ของกฎบัตรสหประชาชาติและดังนั้นไม่มีความจำเป็นต้องอ้างทฤษฎีป้องกันตนเอง
ความเป็นไปได้อีกประการหนึ่งคือการแก้ไขความขัดแย้งเรื่องอธิปไตยเพื่ออ้างการใช้กำลังอย่างสมเหตุสมผลโดยปราศจากความยินยอมในอาณาเขตของรัฐอื่นที่ไม่ได้ริเริ่มการโจมตีทางอาวุธเป็นการแทรกแซงที่สมเหตุสมผลบนพื้นฐานที่รัฐที่ถูกบุกรุกหรือได้รับความเสียหายไม่สามารถหรือไม่ยินยอมในการย้ายภัยคุกคามที่กำลังจะเกิดขึ้นจากอาณาเขตนั้น จึงมีการเสนอแนะว่าสิทธิในการแทรกแซงทางทหารในกรณีดังกล่าวจากหลักความเป็นกลางระหว่างสงครามระหว่างรัฐ แต่ในเพื่อวัตถุประสงค์เพื่อสันติภาพ หากการเกิดขึ้นหรือภัยคุกคามไม่ได้ก่อให้เกิดหรือเพิ่มความขัดแย้งทางอาวุธภายในนิยามความหมายของกฎบัตรสหประชาชาติ สิทธิอาจขยายตามแนวคิดช่วยเหลือตนเอง (self help) ในกฎหมายระหว่างประเทศซึ่งทฤษฎียังไม่ได้รับการยอมรับตามกฎบัตรสหประชาชาติที่อนุญาตให้ใช้กำลัง
ในการตีความในปัจจุบันก็ยังคงไม่ชัดเจนว่าบททดสอบความไม่เต็มใจหรือไม่สามารถจะได้รับการเข้าใจเป็นบททดสอบแยกจากบททดสอบแคโรไลน่าหรือไม่ การพิจารณาเพิ่มเติม เช่น องค์ประกอบความจำเป็นหรือการทดแทนในปัจจัยหนึ่ง เช่น การกำลังเกิดขึ้นของภัยคุกคามกับกรณีภัยคุกคามที่ต่อเนื่อง หากการโจมตีด้วยอาวุธเป็นส่วนหนึ่งของกลุ่มกองกำลังใช้อาวุธที่มิใช่รัฐก่อให้เกิดสิทธิในการป้องกันตนเอง ก็ต้องพิจารณาต่อว่าจะมีเกณฑ์อะไรในการกำกับการใช้กำลังที่เกิดขึ้น บางคนเห็นว่าเงื่อนไข ความจำเป็น ความได้สัดส่วน และภัยที่กำลังเกิดขึ้นเป็นเกณฑ์ที่สมเหตุสมผลในการใช้กำลังและถือว่าเป็นกรอบกฎหมายที่เพียงพอที่ใช้บังคับตามกฎหมายสงครามที่ใช้ในสถานการณ์ที่มีความเป็นศัตรูกันที่ถือว่าเป็นกรณีที่เกิดความขัดแย้งทางอาวุธขึ้นแล้วหรือกรอบกฎหมายที่ใช้บังคับกับการบังคับใช้กฎหมายในระหว่างสันติซึ่งใช้กับเหตุการณ์ที่ไม่ใช่ด้วย
หากตีความตามตัวอักษร มาตรา 51 มีความชัดเจนในเรื่องสิทธิที่จะกีดกันรัฐในการใช้กำลังจนกระทั่งหลังจากการโจมตีด้วยอาวุธเกิดขึ้นแล้วและไม่เพียงแต่มีภัยคุกคามของการใช้กำลังและยังมีการตีความว่าเป้นสิทธิที่รวมถึงสิทธิดั้งเดิมในการป้องกันตนเองที่มีอยู่เดิมตามกฎหมายจารีตประเพณีระหว่างประเทศ โดยถือว่าเป็นสิทธิป้องกันตนเองแบบการคาดการณ์ได้ในกรณีมีการโจมตีกำลังจะเกิดขึ้น รูปแบบของสิทธิในการใช้กำลังป้องกันตนเองในอาณาเขตของรัฐต่างประเทศกำหนด
ตัวอย่างเช่น ในกรณีแคโรไลน่า กล่าวคือ ในปี 1837 กองกำลังทหารของอังกฤษได้โจมตีเรือเอกชนของสหรัฐอเมริกาชื่อแค่โรไลน่าที่เข้ามาจอดพักในตอนกลางคืนบริเวณแม่น้ำไนแองการ่าของมลรัฐนิวยอร์ก โดยทหารอังกฤษอ้างว่าเรือดังกล่าวถูกใช้ในการจัดส่งเสบียงให้กับกลุ่มผู้ต่อต้านรัฐบาลอังกฤษในแคนาดาที่ตั้งฐานกองกำลังอยู่มราเกาะอีกฝากหนึ่งในแคนาดา สหรัฐอเมริกาโต้แย้งว่าเป็นการกระทำที่รุนแรงอย่างมากและเรียกร้องคำขอโทษและค่าชดเชยในความเสียหาย ในการเจรจาทางการทูตกับรัฐบาลอังกฤษ รัฐมนตรีกระทรวงการต่างประเทศของสหรัฐฯ นายแดเนียล เว็บเตอร์อ้างว่าการกระทำของอังกฤษเป็นการรุกล้ำดินแดงของมาในอาณาเขตของสหรัฐฯสามารถอ้างเหตุผลป้องกันตนเองได้เพียงในกรณีที่มีความจำเป็นที่ป้องกันตนเองแบบทันท่วงทีเท่านั้น และไม่มีทางเลือกอื่นหรือวิธีการอื่นหรือเวลาในการพิจารณาเป็นอย่างอื่นๆ นอกจากนี้ หากจะสมเหตุสมผล การใช้กำลังป้องกันตนเองต้องได้สัดส่วนต่อภัยคุกคามเพราะการกระทำที่จะถือว่ามีความจำเป็นในการป้องกันตนเองต้องถูกจำกัดโดยความจำเป็นนั้นและมีความชัดเจนอยู่ในตัวเอง ทั้งนี้ มีสามเงื่อนไขที่ได้รับการยอมรับอย่างกว้างขวางประกอบด้วย ความจำเป็น ความได้สัดส่วน และกำลังจะเกิดภัย อันจะให้รัฐอ้างเหตุผลในการใช้สิทธิใช้กำลังนอกอาณาเขตตนเองได้
สหรัฐฯใช้กำลังในการป้องกันตนเองตอบโต้การโจมตีของการก่อการร้ายในอดีตที่ผ่านมาและอ้างสิทธิในการใช้กำลังในกรณีคาดการณ์การโจมตีที่อาจเกิดขึ้น สิทธิในการใช้กำลังในการป้องกันตนเองและการใช้กำลังจริงสมเหตุสมผลตามสถานการณ์ไม่มีความจำเป็นต้องระบุการเกิดขึ้นของความขัดแย้งทางอาวุธแต่ประการใด ตัวอย่างเช่น ในปี 1986 สหรัฐอเมริกาใช้กำลังต่อลิเบียในการตอบโต้ต่อการโจมตีของผู้ก่อการร้ายต่อประชาชนของสหรัฐอเมริกาในกรุงเบอร์ลินซึ่งทั้งลิเบียและสหรัฐอเมริกาไม่ได้ถือว่าเกิดสถานการณ์ที่เพิ่มความขัดแย้งทางอาวุธแค่ประการใด การใช้กำลังต่อกลุ่มก่อการร้ายที่ต้องสงสัยในอัฟกานิสถานและซูดานเพื่อตอบโต้การระเบิดสถานทูตสหรัฐอเมริกาในแอฟริกาไม่ถูกมองว่าเป็นการเกิดขึ้นของสถานการณ์ความขัดแย้งทางอาวุธในขณะเวลานั้นที่จะนำกฎหมายสงครามมาใช้ในสถานการณ์ดังกล่าว หากรัฐเจ้าของอาณาเขตได้ให้ความยินยอมและไม่มีการละเมิดมาตรา 2(4) ของกฎบัตรสหประชาชาติและดังนั้นไม่มีความจำเป็นต้องอ้างทฤษฎีป้องกันตนเอง
ความเป็นไปได้อีกประการหนึ่งคือการแก้ไขความขัดแย้งเรื่องอธิปไตยเพื่ออ้างการใช้กำลังอย่างสมเหตุสมผลโดยปราศจากความยินยอมในอาณาเขตของรัฐอื่นที่ไม่ได้ริเริ่มการโจมตีทางอาวุธเป็นการแทรกแซงที่สมเหตุสมผลบนพื้นฐานที่รัฐที่ถูกบุกรุกหรือได้รับความเสียหายไม่สามารถหรือไม่ยินยอมในการย้ายภัยคุกคามที่กำลังจะเกิดขึ้นจากอาณาเขตนั้น จึงมีการเสนอแนะว่าสิทธิในการแทรกแซงทางทหารในกรณีดังกล่าวจากหลักความเป็นกลางระหว่างสงครามระหว่างรัฐ แต่ในเพื่อวัตถุประสงค์เพื่อสันติภาพ หากการเกิดขึ้นหรือภัยคุกคามไม่ได้ก่อให้เกิดหรือเพิ่มความขัดแย้งทางอาวุธภายในนิยามความหมายของกฎบัตรสหประชาชาติ สิทธิอาจขยายตามแนวคิดช่วยเหลือตนเอง (self help) ในกฎหมายระหว่างประเทศซึ่งทฤษฎียังไม่ได้รับการยอมรับตามกฎบัตรสหประชาชาติที่อนุญาตให้ใช้กำลัง
ในการตีความในปัจจุบันก็ยังคงไม่ชัดเจนว่าบททดสอบความไม่เต็มใจหรือไม่สามารถจะได้รับการเข้าใจเป็นบททดสอบแยกจากบททดสอบแคโรไลน่าหรือไม่ การพิจารณาเพิ่มเติม เช่น องค์ประกอบความจำเป็นหรือการทดแทนในปัจจัยหนึ่ง เช่น การกำลังเกิดขึ้นของภัยคุกคามกับกรณีภัยคุกคามที่ต่อเนื่อง หากการโจมตีด้วยอาวุธเป็นส่วนหนึ่งของกลุ่มกองกำลังใช้อาวุธที่มิใช่รัฐก่อให้เกิดสิทธิในการป้องกันตนเอง ก็ต้องพิจารณาต่อว่าจะมีเกณฑ์อะไรในการกำกับการใช้กำลังที่เกิดขึ้น บางคนเห็นว่าเงื่อนไข ความจำเป็น ความได้สัดส่วน และภัยที่กำลังเกิดขึ้นเป็นเกณฑ์ที่สมเหตุสมผลในการใช้กำลังและถือว่าเป็นกรอบกฎหมายที่เพียงพอที่ใช้บังคับตามกฎหมายสงครามที่ใช้ในสถานการณ์ที่มีความเป็นศัตรูกันที่ถือว่าเป็นกรณีที่เกิดความขัดแย้งทางอาวุธขึ้นแล้วหรือกรอบกฎหมายที่ใช้บังคับกับการบังคับใช้กฎหมายในระหว่างสันติซึ่งใช้กับเหตุการณ์ที่ไม่ใช่ด้วย
กรอบการกำกับดูแลเทคโนโลยีการเข้ารหัสของสหรัฐอเมริกา
ระบบการคุ้มครองข้อมูลของสหรัฐอเมริกาแตกต่างจากของสหภาพยุโรปเนื่องจากระบบของสหรัฐอเมริกาใช้การกำกับดูแลแบบสาขาอุตสาหกรรม ซึ่งหมายความว่าข้อมูลส่วนบุคคลได้รับการคุ้มครองภายใต้กฎหมายแตกต่างกันในแต่ละสาขาอุตสาหกรรมหรือบริการ นอกจากนี้ ยังมีทั้งกฎหมายในระดับสหพันธรัฐและมลรัฐที่กำหนดเงื่อนไขการคุ้มครองข้อมูลส่วนบุคคล ปัญหาที่บรรดาธุรกิจและอุตสาหกรรมในสหรัฐอเมริกาต้องเผชิญคือการต้องปฏิบัติตามกฎหมายและมาตรฐานที่แตกต่างกันหลายฉบับ
เมื่อเทคโนโลยีเข้ารหัสก้าวหน้าและธุรกิจดังกล่าวเติบโตอย่างรุดหน้าในหลายอุตสาหกรรม ก่อให้เกิดประเด็นที่ส่งผลต่อการละเมิดการเปิดเผยข้อมูลตามกฎหมายที่มีอยู่เดิม ดังนั้น ประมาณ 47 มลรัฐได้กำหนดข้อยกเว้นสำหรับการเปิดเผยการละเมิดกฎความมั่นคงปลอดภัยแบบบังคับในกรณีที่ข้อมูลได้รับการคุ้มครองโดยการเข้ารหัส นอกจากนี้มีการนำเสนอร่างกฎหมายคุ้มครองผู้บริโภคที่สะท้อนมุมมองของรัฐบาลในเรื่องการคุ้มครองสิทธิส่วนตัวที่กำหนดหลักเกณฑ์ที่จะบังคับใช้ในการคุ้มครองข้อมูลส่วนบุคคลบนนออนไลน์ เช่น หลักการความมั่นคงปลอดภัยที่กำหนดให้ผู้บริโภคทุกคนมีสิทธิได้รับความทั่นคงปลอดภัยและรับผิดชอบในการจัดการข้อมูบส่วนบุคคลของตน ในทางปฏิบัติก่อให้เกิดความคาดหวังของผู้บริโภคในการใช้งานเทคโนโลยีการเข้ารหัสในบางสถานการณ์และได้รับการสนับสนุนโดยกฎหมาย
กฎหมายในระดับมลรัฐ เช่น กฎหมายละเมิดการรายงานและการคุ้มครองความมั่นคงปลอดภัยของข้อมูล ในสหรัฐอเมริกาไม่เพียงแต่เป็นกฎหมายเฉพาะสาขาอุตสาหกรรมแต่ยังเป็นกฎหมายที่มีผลบังคับใช้เฉพาะในมลรัฐบางมลรัฐเป้นการเฉพาะเจาะจงเท่านั้น มลรัฐส่วนใหญ่มีกฎหมายการแจ้งเตือนกรณีที่มีการละเมิดข้อมูลอยู่แล้ว เช่น มลรัฐแคริฟอร์เนียถือเป็นมลรัฐแนวหน้าที่มีการให้ความคุ้มครองที่ดีโดยมีหน่วยงานคุ้มครองและบังคับใช้กฎหมายเพื่อความเป็นส่วนตัว ที่สังกัดกระทรวงยุติธรรม และกฎหมายฉบับใหม่ของมลรัฐแคริฟอร์เนียว่าด้วยสิทธิส่วยตัวที่ผ่านในเดือนกรกฎาคม 2014 กำหนดให้บริษัทที่ดำเนินธึรกิจในมลรัฐที่เป้นเจ้าของคอมพิวเตอร์ที่ใช้ประมวลผลข้อมูลส่วนบุคคลต้องแจ้งประชาชนในมลรัฐในกรณีที่มีการละเมิดความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล รวมมั้งกรณีต้องสงสัยว่าจะมีการละเมิดด้วย เว้นแต่ข้อมูลดังกล่าวได้มีการเข้ารหัสความปลอดภัยไว้ ส่วนมลรัฐแมสซาชูแสทได้ผ้านกฎหมายที่กำหนดให้มีการเข้ารหัสข้อมูลส่วนบุคคลที่สื่อสารผ่านระบบอิเล็กทรอนิกส์และกำหนดให้ระบบคอมพิวเตอร์ต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เพียงพอเพื่อคุ้มครองข้อมูลส่วนบุคคล โดยต้องมีการเข้ารหัสบันทึกและไฟล์ข้อมูลที่มีข้อมูลส่วนบุคคลที่ส่งผ่านโครงข่ายสาธารณะหรือข้ามโครงข่ายไม่ว่าจะทางสายหรือไร้สายและต้องมีการเข้ารหัสข้อมูลส่วนบุคคลทั้งหมดที่จัดเก็บรักษาไว้บนคอมพิวเตอร์หรืออุปกรณ์แบบพกพา
คณะกรรมการการค้าแห่งสหพันธ์รัฐ (Federal Trade Commission หรือ FTC) แต่งตั้งขึ้นในปี 1914 โดยกฎหมายคณะกรรมการการค้าแห่งสหพันธ์รัฐและคณะกรรมการฯได้รับการแต่งตั้งโดยประะานาธิบดีวหรัฐอเมริกาด้วยความเห็นชอบของวุฒิสภา เพื่อทำหน้าที่คุ้มครองผู้บริโภคและจัดการกับพฤติกรรมที่กีดกันการแข่งขัน การหลอดลวงและการดำเนินธุรกิจที่ไม่เป็นธรรม รวมทั้งส่งเสริมสิทธิผู้บริโภค คณะกรรมการฯจึงกำหนดให้หน่วยงานและภาคธุรกิจดำเนินการให้มีวิีการเข้ารหัสที่เหมาะสมในการคุ้มครองข้อมูลของผู้บริโภค ประการแรกมีการตีความแล้วว่ากฎหมายคณะกรรมการการค้าแห่งสหพันธ์รัฐกำหนดให้มีการเข้ารหัสข้อมูล โดยเกิดเหตุที่กลุ่มธุรกิจโรงแรมถูกขโมยข้อมูลทางการเงินที่ไม่ได้เข้ารหัสโดยแฮกเกอร์ จึงได้เกิดการตรวจสอบแนวทางการกำกับดูแลบริการทางการชำระเงินอย่างละเอียดซึ่งสอดคล้องกับการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นของบริษัทชั้นนำต่างๆ เช่น Target, Neiman Marcus, และ Michaels Stores ที่มีข้อมูลลูกค้าจำนวนมหาศาลในสหรัฐอเมริกา
ต่อมาในเดือนมกราคม 2014 คณะกรรมการการค้าแห่งสหพันธ์รัฐพบว่าหน่วยงานรัฐที่มีอำนาจได้มีคำสั่งลงโทษบริษัทที่ไม่สามารถปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยเกี่ยวกับการส่งข้อมูลทางอิเล็กทรอนิกส์ของคนไข้และผู้ใ้ช้บริการตามมาตรฐานที่กำหนดไว้ได้ คณะกรรมการการค้าแห่งสหพันธ์รัฐมีอำนาจที่สั่งให้ธุรกิจที่ฝ่าฝืนต้องรับผิดในการขาดมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เพียงพอซึ่งอาจก่อให้เกิดหรือมีแนวโน้มก่อให้เกิดอันตรายหรือเสียหายต่อผู้บริโภคอย่างชัดเจน ทั้งนี้ คณะกรรมการการค้าแห่งสหพันธ์รัฐอ้างว่าปัจจุบันนี้มีเทคโนโลยีการเข้ารหัสที่สามารถป้องกันได้ ดังนั้น การไม่ดำเนินการจึงถือว่าไม่ปกป้องข้อมูลและมีมาตรการรักษาความปลอดภัยอย่างเพียงพอ
กฎหมายความรับผิดชอบและการย้ายประกันสุขภาพ ค.ศ. 1996 (Health Insurance Portability and Accountability Act 1996 หรือ HIPAA) รัฐบาลสหรัฐอเมริกาตระหนักถึงความก้าวหน้าของระบบการแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์ภายในอุตสาหกรรมการรักษาสุขภาพที่อาจก่อให้เกิดความเสี่ยงต่อความมั่นคงปลอดภัยและความเป็นส่วนตัว จึงได้ผ่านกฎหมายดังกล่าวมาเพื่อสร้างมาตรฐานแห่งชาติสำหรับข้อมูลสุขภาพที่ได้รับความคุ้มครองบนระบบอิเล็กทรอนิกส์ สำนักงานสิทธิพลเมืองกำหนดกฎจำนวนมากตามกฎหมายนี้ เช่น กฎเรื่องความเป็นส่วนตัว กฎเรีื่องการรักษาความปลอดภัย กฎเรื่องการแจ้งการละเมิดกฎ และกฎความปลอดภัยของคนไข้ เป็นต้น กฎเรื่องการรักษาความปลอดภัยกำหนดให้หน่วยงานต้องปฏิบัติตามการรักาาความปลอดภัยทางเทคนิคในการคุ้มครองข้อมูลสุขภาพทั้งหมด โดยเฉพาะมาตรการการเข้ารหัสข้อมูลเพื่อความปลอดภัย โดยได้กำหนดตัวอย่างของวิธีการเข้ารหัสไว้ด้วยที่สามารถใช้และปัจจัยที่ถือว่าเมื่อมีการปฏิบัติตามและประกันความสำเร็จตามแผนการเข้ารหัส จึงเห็นได้ว่านโยบายเรื่องการเข้ารหัสในกิจการการรักษาสุขภาพมีความชัดเจนมาก หน่วยงานที่เกี่ยวข้องมีหน้าที่คุ้มครองข้อมูลสุขภาพด้วยการเข้ารหัสข้อมูลตามมาตรฐานที่กำหนด
กฎหมาย Gramm-Leach-Bliley Act 1999 (GLB) หรือกฎหมายการปรับปรุงบริการทางการเงินให้ทันสมัย ถูกนำเสนอตามนโยบายปฏิรูปการกำกับดูแลบริการทางการเงินในสหรัฐอเมริกา กฎหมาย GLB นี้ใช้บังคับกับสถาบันการเงินและยังครอบคลุมรวมถึงการกำกับดูแลการบริหารจัดการข้อมูลส่วนบุคคลที่ไม่เกี่ยวกับการเงินด้วย นอกจากนี้ กฎหมาย GLB ยังกำหนดเกณฑ์พื้นฐานให้สถาบันการเงินปฏิบัติตามในเรื่องการเก็บรักษาข้อมูลทางการเงินส่วนบุคคลให้มีความปลอดภัย ให้มีการแจ้งนโยบายเกี่ยวกับการแบ่งปันข้อมูลการเงินส่วนบุคคล และให้ลูกค้าสามารถเลือกที่จะแบ่งปันข้อมูลบางส่วนได้ ทั้งนี้ มาตรา 501(b) กำหนดให้สถาบันการเงินปฏิบัติตามมาตรฐานของหน่วยงานกำกับดูแลเพื่อคุ้มครองความปลอดภัยและความลับของข้อมูลลูกค้าแม้มิใช่ข้อมูลทางการเงินโดยการรักษาความปลอดภัยทั้งการกายภาพ ทางเทคนิค และการบริหารงานองค์กร และยังกำหนดให้สถาบันการเงินจัดให้มีโครงการรักษาความมั่นคงปลอดภัยข้อมูลที่ครอบคลุมครบถ้วนเป็นลายลักษณ์อักษรที่เหมาะสมกับขนาด ความซับซ้อนและขอบเขตของกิจกรรมของสถาบันด้วย ที่น่าสนใจคิอการกำหนดให้สถาบันการเงินต้องจัดให้มีการวางระบบการเข้ารหัสสำหรับข้อมูลลูกค้าที่จัดเก็บรักษาไว้และที่ส่งทางอิเล็กทรอนิกส์ตามความเหมาะสม
กฎหมายรายงานเครดิตเป็นธรรม 1970 (Fair Credit Reporting Act 1970 หรือ FCRA) มีวัตถุประสงค์เพื่อกำกับดูแลการเก็บรวบรวมและการใช้ข้อมูลของลูกค้า โดยเฉพาะข้อมูลเครดิตของลูกค้า และบทบัญญัติที่บังคับใช้โดยคณะกรรมการการค้าแห่งสหพันธ์รัฐ เพื่อประกันความเป็นธรรม ความถูกต้อง และความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่อยู่ในไฟล์ของรายงานเครดิตของหน่วยงาน ตามกฎหมาย FCRA ลูกค้ามีสิทธิหลายประการ เช่น สิทธิที่จะได้รับการแจ้ง หากข้อมูลในไฟล์ถูกใช้ สิทธิที่จะรู้ว่าข้อมูลอะไรบ้างที่อยู่ในไฟล์ประวัติ สิทธิในการสอบถามคะแนนเครดิตของตนเอง และสิทธิร้องขอให้แก้ไขข้อมูลกรณีข้อมูลไม่ถูกต้องหรือไม่สมบูรณ์ การเข้ารหัสไม้ได้ถูกกำหนดไว้ในกฎหมายนี้ แต่ หน่วยงานดูแลเครดิตฯ ถูกคาดหวังให้จัดเก็บข้อมูลและปกป้องข้อมูลรั่วไหล สูญหาย หรือเสียหาย และดังนั้น จึงเป็นนัยยะว่าต้องมีการจัดให้มีเทคโนโลยีการเข้ารหัสใช้ในเรื่องนี้ด้วย
กฎหมายบริหารความปลอดภัยข้อมูลของสหพันธรัฐ (Federal Information Security Management Act 2002 หรือ FISMA) และที่แก้ไขเพิ่มเติมในปี 2013 ซึ่งผ่านภายใต้ชุดกฎหมายรัฐบาลอิเล็กทรอนิกส์ ปี 2002 (Electronic Government Act 2002) เป็นกฎหมายที่กำหนดให้หน่วยงานรัฐมีหน้าที่ต้องจัดให้มีชุดของกระบวนการและการควบคุมระบบที่ออกแบบเพื่อประกันความลับ ความมั่นคง และระบบเทคโนโลยีสารสนเทศ และข้อมูลที่เกี่ยวข้อง พร้อมนี้ได้กำหนดกรอบในการคุ้มครองข้อมูลของรัฐบาล การดำเนินงาน และสินทรัพย์ของรัฐบาลต่อภัยคุกคามทางธรรมชาติหรือที่เกิดจากมนุษย์ สำหรับกฎหมายที่แก้ไขปี 2013 ได้ขยายเงื่อนไขของหน่วยงานรัฐให้มีหน้าที่รับผิดชอบในการปฏิบัติตามมาตรฐานคอมพิวเตอร์ที่พัฒนาโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology หรือ NIST) ซึ่งประกันมาตรฐานเป็นเอกภาพและมีมาตรฐานเสริมและระบบความมั่นคงปลอดภัยแห่งชาติ การจัดให้มีสิ่งอำนวยความสะดวกสำหรับข้อมูลที่เป็นความลับและประกันตัวชี้วัดการปฏิบัติตามความปลอดภัยของข้อมูล NIST ซึ่งเป็นหน่วยงานหนึ่งของกระทรวงพาณิชย์มีหน้าที่รับผิดชอบในการส่งเสริมและรักษามาตรฐาน โดยจะตีพิมพ์มาตรฐานและแนวปฏิบัติที่หลากหลาย เช่น แนวปฏิบัติในการเก็บรักษาเทคโนโลยีการเข้ารหัสสำหรับอุปกรณ์ผู้ใช้งาน โดยระบุว่าการควบคุมความปลอดภัยหลักสำหรับการจำกัดการเข้าถึงข้อมูลที่อ่อนไหวที่เก็บรักษาในอุปกรณ์ต้องมีการเข้ารหัสและพิสูจน์ความแท้จริง พร้อมทั้งรายละเอียดของทางแก้ไขที่แนะนำ NIST ยังได้ตีพิมพ์รายงานฉบับพิเศษ ‘Special Publication (SP) 800-53 ที่กล่าวถึงการควบคุมความปลอดภัยที่แนะนำสำหรับระบบสารสนเทศสหพันธรัฐที่พัฒนาเพื่อสนับสนุนกฎหมายบริหารความปลอดภัยข้อมูลของสหพันธรัฐ หน่วยงานของสหพันธรัฐมีหน้าที่ต้องปฏิบัติตามโดยต้องปกป้องและบำรุงรักษาความมั่นคงปลอดภัยของข้อมูลรัฐบาลด้วยการใช้เทคโนโลยีการเข้ารหัส
ในปี 2013 รัฐบาลสหรัฐได้ออกคำสั่งฝ่ายบริหารว่าด้วยความมั่นคงปลอดภัยทางไซเบอร์ที 13636 เรื่องการยกระดับความมั่นคงปลอดภัยโครงสร้างพื้นฐานที่สำคัญด้านไซเบอร์ (Executive Order 13636 entitled ‘Improving Critical Infrastructure Cybersecurity) ซึ่งสอดคล้องกับแนวนโยบายการพัฒนาของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ พร้อมมอบหมายให้สภาบันมาตรฐานและเทคโนโลยีแห่งชาติเป็นผู้นำหลักในการพัฒนากรอบความมั่นคงปลอดภัยด้านไซเบอร์ของสหรัฐอเมริกาและสร้างแนวปฏิบัติที่ดีสำหรับธุรกิจธนาคาร การป้องกันประเทศ สาธารณูปโภค และอุตสาหกรรมสำคัญอื่นๆที่เกี่ยวข้อง เพื่อสนุบสนุนการป้องกันการถูกโจมตีทางไซเบอร์ สถาบันฯได้พัฒนามาตรฐานหลายด้าน เช่น ด้านโครงข่ายพลังงานไฟฟ้า การขนส่ง และการเข้ารหัสข้อมูล เป็นต้น
ในเรื่องการเข้ารหัสข้อมูล สถาบันฯได้นำเสนอมาตรฐานที่ทำงานร่วมกับกลุ่มผู้เชี่ยวชาญเพื่อสนับสนุนให้เกิดมาตรฐานการเข้ารหัสที่แข็งแกร่งและมีประสิทธิภาพ ในเดือนกุมภาพันธ์ 2014 รัฐบาลสหรัฐอเมริกาได้ประกาศกรอบมาตรฐานเทคโนโลยีการเข้ารหัสและรับข้อเสนอแนะจากภาคส่วนที่เกี่ยวข้องกว่า 3000 ราย แนวทางใช้วิธีการแบบสมัครใจสำหรับภาคอุตสาหกรรมในการใช้งาน นอกขากนี้ กระทรวงความมั่นคงภายในประเทศได้จัดตั้งโครงการชุมชนจิตอาสาทางไซเบอร์ด้านโครงสร้างพื้นฐาน (Critical Infrastructure Cyber Community (C3) Voluntary Program) เพื่อสร้างความตระหนักรู้แก่ประชาชน แม้ว่ากรอบดังกล่าวจะเป็นเรื่องความสมัครใจและไม่มีการบังคับอุตสาหกรรมในสหรัฐอเมริกา แต่ก็มีผลกระทบต่อบริษัทต่างชาติเพราะบริษัทที่ดำเนินธุรกิจกับบริษัทในสหรัฐอเมริกามีความจำเป็นต้องประเมินการใช้งานข้อมูลส่วนบุคคลในกิจกรรางไซเบอร์เพื่อประกันว่าดำเนินการได้อย่างปลอดภัยและเหมาะสม ดังนั้น มาตรฐานของสถาบันฯจึงมีผลกระทบต่อธุรกิจที่ต้องเข้าถึงและใช้ข้อมูลส่วนบุคคลของคนในสหรัฐอเมริกาอย่างหลีกเลี่ยงไม่ได้ โดยต้องดำเนินการตามแนวปฏิบัติและกระบวนการตามพันธกรร๊ตามกฎหมาย มาตรฐานอุตสาหกรรม และความคาดหวังของการกำกับดูแลของสหรัฐอเมริกาอยู่ดี
เมื่อเทคโนโลยีเข้ารหัสก้าวหน้าและธุรกิจดังกล่าวเติบโตอย่างรุดหน้าในหลายอุตสาหกรรม ก่อให้เกิดประเด็นที่ส่งผลต่อการละเมิดการเปิดเผยข้อมูลตามกฎหมายที่มีอยู่เดิม ดังนั้น ประมาณ 47 มลรัฐได้กำหนดข้อยกเว้นสำหรับการเปิดเผยการละเมิดกฎความมั่นคงปลอดภัยแบบบังคับในกรณีที่ข้อมูลได้รับการคุ้มครองโดยการเข้ารหัส นอกจากนี้มีการนำเสนอร่างกฎหมายคุ้มครองผู้บริโภคที่สะท้อนมุมมองของรัฐบาลในเรื่องการคุ้มครองสิทธิส่วนตัวที่กำหนดหลักเกณฑ์ที่จะบังคับใช้ในการคุ้มครองข้อมูลส่วนบุคคลบนนออนไลน์ เช่น หลักการความมั่นคงปลอดภัยที่กำหนดให้ผู้บริโภคทุกคนมีสิทธิได้รับความทั่นคงปลอดภัยและรับผิดชอบในการจัดการข้อมูบส่วนบุคคลของตน ในทางปฏิบัติก่อให้เกิดความคาดหวังของผู้บริโภคในการใช้งานเทคโนโลยีการเข้ารหัสในบางสถานการณ์และได้รับการสนับสนุนโดยกฎหมาย
กฎหมายในระดับมลรัฐ เช่น กฎหมายละเมิดการรายงานและการคุ้มครองความมั่นคงปลอดภัยของข้อมูล ในสหรัฐอเมริกาไม่เพียงแต่เป็นกฎหมายเฉพาะสาขาอุตสาหกรรมแต่ยังเป็นกฎหมายที่มีผลบังคับใช้เฉพาะในมลรัฐบางมลรัฐเป้นการเฉพาะเจาะจงเท่านั้น มลรัฐส่วนใหญ่มีกฎหมายการแจ้งเตือนกรณีที่มีการละเมิดข้อมูลอยู่แล้ว เช่น มลรัฐแคริฟอร์เนียถือเป็นมลรัฐแนวหน้าที่มีการให้ความคุ้มครองที่ดีโดยมีหน่วยงานคุ้มครองและบังคับใช้กฎหมายเพื่อความเป็นส่วนตัว ที่สังกัดกระทรวงยุติธรรม และกฎหมายฉบับใหม่ของมลรัฐแคริฟอร์เนียว่าด้วยสิทธิส่วยตัวที่ผ่านในเดือนกรกฎาคม 2014 กำหนดให้บริษัทที่ดำเนินธึรกิจในมลรัฐที่เป้นเจ้าของคอมพิวเตอร์ที่ใช้ประมวลผลข้อมูลส่วนบุคคลต้องแจ้งประชาชนในมลรัฐในกรณีที่มีการละเมิดความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล รวมมั้งกรณีต้องสงสัยว่าจะมีการละเมิดด้วย เว้นแต่ข้อมูลดังกล่าวได้มีการเข้ารหัสความปลอดภัยไว้ ส่วนมลรัฐแมสซาชูแสทได้ผ้านกฎหมายที่กำหนดให้มีการเข้ารหัสข้อมูลส่วนบุคคลที่สื่อสารผ่านระบบอิเล็กทรอนิกส์และกำหนดให้ระบบคอมพิวเตอร์ต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เพียงพอเพื่อคุ้มครองข้อมูลส่วนบุคคล โดยต้องมีการเข้ารหัสบันทึกและไฟล์ข้อมูลที่มีข้อมูลส่วนบุคคลที่ส่งผ่านโครงข่ายสาธารณะหรือข้ามโครงข่ายไม่ว่าจะทางสายหรือไร้สายและต้องมีการเข้ารหัสข้อมูลส่วนบุคคลทั้งหมดที่จัดเก็บรักษาไว้บนคอมพิวเตอร์หรืออุปกรณ์แบบพกพา
คณะกรรมการการค้าแห่งสหพันธ์รัฐ (Federal Trade Commission หรือ FTC) แต่งตั้งขึ้นในปี 1914 โดยกฎหมายคณะกรรมการการค้าแห่งสหพันธ์รัฐและคณะกรรมการฯได้รับการแต่งตั้งโดยประะานาธิบดีวหรัฐอเมริกาด้วยความเห็นชอบของวุฒิสภา เพื่อทำหน้าที่คุ้มครองผู้บริโภคและจัดการกับพฤติกรรมที่กีดกันการแข่งขัน การหลอดลวงและการดำเนินธุรกิจที่ไม่เป็นธรรม รวมทั้งส่งเสริมสิทธิผู้บริโภค คณะกรรมการฯจึงกำหนดให้หน่วยงานและภาคธุรกิจดำเนินการให้มีวิีการเข้ารหัสที่เหมาะสมในการคุ้มครองข้อมูลของผู้บริโภค ประการแรกมีการตีความแล้วว่ากฎหมายคณะกรรมการการค้าแห่งสหพันธ์รัฐกำหนดให้มีการเข้ารหัสข้อมูล โดยเกิดเหตุที่กลุ่มธุรกิจโรงแรมถูกขโมยข้อมูลทางการเงินที่ไม่ได้เข้ารหัสโดยแฮกเกอร์ จึงได้เกิดการตรวจสอบแนวทางการกำกับดูแลบริการทางการชำระเงินอย่างละเอียดซึ่งสอดคล้องกับการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นของบริษัทชั้นนำต่างๆ เช่น Target, Neiman Marcus, และ Michaels Stores ที่มีข้อมูลลูกค้าจำนวนมหาศาลในสหรัฐอเมริกา
ต่อมาในเดือนมกราคม 2014 คณะกรรมการการค้าแห่งสหพันธ์รัฐพบว่าหน่วยงานรัฐที่มีอำนาจได้มีคำสั่งลงโทษบริษัทที่ไม่สามารถปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยเกี่ยวกับการส่งข้อมูลทางอิเล็กทรอนิกส์ของคนไข้และผู้ใ้ช้บริการตามมาตรฐานที่กำหนดไว้ได้ คณะกรรมการการค้าแห่งสหพันธ์รัฐมีอำนาจที่สั่งให้ธุรกิจที่ฝ่าฝืนต้องรับผิดในการขาดมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เพียงพอซึ่งอาจก่อให้เกิดหรือมีแนวโน้มก่อให้เกิดอันตรายหรือเสียหายต่อผู้บริโภคอย่างชัดเจน ทั้งนี้ คณะกรรมการการค้าแห่งสหพันธ์รัฐอ้างว่าปัจจุบันนี้มีเทคโนโลยีการเข้ารหัสที่สามารถป้องกันได้ ดังนั้น การไม่ดำเนินการจึงถือว่าไม่ปกป้องข้อมูลและมีมาตรการรักษาความปลอดภัยอย่างเพียงพอ
กฎหมายความรับผิดชอบและการย้ายประกันสุขภาพ ค.ศ. 1996 (Health Insurance Portability and Accountability Act 1996 หรือ HIPAA) รัฐบาลสหรัฐอเมริกาตระหนักถึงความก้าวหน้าของระบบการแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์ภายในอุตสาหกรรมการรักษาสุขภาพที่อาจก่อให้เกิดความเสี่ยงต่อความมั่นคงปลอดภัยและความเป็นส่วนตัว จึงได้ผ่านกฎหมายดังกล่าวมาเพื่อสร้างมาตรฐานแห่งชาติสำหรับข้อมูลสุขภาพที่ได้รับความคุ้มครองบนระบบอิเล็กทรอนิกส์ สำนักงานสิทธิพลเมืองกำหนดกฎจำนวนมากตามกฎหมายนี้ เช่น กฎเรื่องความเป็นส่วนตัว กฎเรีื่องการรักษาความปลอดภัย กฎเรื่องการแจ้งการละเมิดกฎ และกฎความปลอดภัยของคนไข้ เป็นต้น กฎเรื่องการรักษาความปลอดภัยกำหนดให้หน่วยงานต้องปฏิบัติตามการรักาาความปลอดภัยทางเทคนิคในการคุ้มครองข้อมูลสุขภาพทั้งหมด โดยเฉพาะมาตรการการเข้ารหัสข้อมูลเพื่อความปลอดภัย โดยได้กำหนดตัวอย่างของวิธีการเข้ารหัสไว้ด้วยที่สามารถใช้และปัจจัยที่ถือว่าเมื่อมีการปฏิบัติตามและประกันความสำเร็จตามแผนการเข้ารหัส จึงเห็นได้ว่านโยบายเรื่องการเข้ารหัสในกิจการการรักษาสุขภาพมีความชัดเจนมาก หน่วยงานที่เกี่ยวข้องมีหน้าที่คุ้มครองข้อมูลสุขภาพด้วยการเข้ารหัสข้อมูลตามมาตรฐานที่กำหนด
กฎหมาย Gramm-Leach-Bliley Act 1999 (GLB) หรือกฎหมายการปรับปรุงบริการทางการเงินให้ทันสมัย ถูกนำเสนอตามนโยบายปฏิรูปการกำกับดูแลบริการทางการเงินในสหรัฐอเมริกา กฎหมาย GLB นี้ใช้บังคับกับสถาบันการเงินและยังครอบคลุมรวมถึงการกำกับดูแลการบริหารจัดการข้อมูลส่วนบุคคลที่ไม่เกี่ยวกับการเงินด้วย นอกจากนี้ กฎหมาย GLB ยังกำหนดเกณฑ์พื้นฐานให้สถาบันการเงินปฏิบัติตามในเรื่องการเก็บรักษาข้อมูลทางการเงินส่วนบุคคลให้มีความปลอดภัย ให้มีการแจ้งนโยบายเกี่ยวกับการแบ่งปันข้อมูลการเงินส่วนบุคคล และให้ลูกค้าสามารถเลือกที่จะแบ่งปันข้อมูลบางส่วนได้ ทั้งนี้ มาตรา 501(b) กำหนดให้สถาบันการเงินปฏิบัติตามมาตรฐานของหน่วยงานกำกับดูแลเพื่อคุ้มครองความปลอดภัยและความลับของข้อมูลลูกค้าแม้มิใช่ข้อมูลทางการเงินโดยการรักษาความปลอดภัยทั้งการกายภาพ ทางเทคนิค และการบริหารงานองค์กร และยังกำหนดให้สถาบันการเงินจัดให้มีโครงการรักษาความมั่นคงปลอดภัยข้อมูลที่ครอบคลุมครบถ้วนเป็นลายลักษณ์อักษรที่เหมาะสมกับขนาด ความซับซ้อนและขอบเขตของกิจกรรมของสถาบันด้วย ที่น่าสนใจคิอการกำหนดให้สถาบันการเงินต้องจัดให้มีการวางระบบการเข้ารหัสสำหรับข้อมูลลูกค้าที่จัดเก็บรักษาไว้และที่ส่งทางอิเล็กทรอนิกส์ตามความเหมาะสม
กฎหมายรายงานเครดิตเป็นธรรม 1970 (Fair Credit Reporting Act 1970 หรือ FCRA) มีวัตถุประสงค์เพื่อกำกับดูแลการเก็บรวบรวมและการใช้ข้อมูลของลูกค้า โดยเฉพาะข้อมูลเครดิตของลูกค้า และบทบัญญัติที่บังคับใช้โดยคณะกรรมการการค้าแห่งสหพันธ์รัฐ เพื่อประกันความเป็นธรรม ความถูกต้อง และความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่อยู่ในไฟล์ของรายงานเครดิตของหน่วยงาน ตามกฎหมาย FCRA ลูกค้ามีสิทธิหลายประการ เช่น สิทธิที่จะได้รับการแจ้ง หากข้อมูลในไฟล์ถูกใช้ สิทธิที่จะรู้ว่าข้อมูลอะไรบ้างที่อยู่ในไฟล์ประวัติ สิทธิในการสอบถามคะแนนเครดิตของตนเอง และสิทธิร้องขอให้แก้ไขข้อมูลกรณีข้อมูลไม่ถูกต้องหรือไม่สมบูรณ์ การเข้ารหัสไม้ได้ถูกกำหนดไว้ในกฎหมายนี้ แต่ หน่วยงานดูแลเครดิตฯ ถูกคาดหวังให้จัดเก็บข้อมูลและปกป้องข้อมูลรั่วไหล สูญหาย หรือเสียหาย และดังนั้น จึงเป็นนัยยะว่าต้องมีการจัดให้มีเทคโนโลยีการเข้ารหัสใช้ในเรื่องนี้ด้วย
กฎหมายบริหารความปลอดภัยข้อมูลของสหพันธรัฐ (Federal Information Security Management Act 2002 หรือ FISMA) และที่แก้ไขเพิ่มเติมในปี 2013 ซึ่งผ่านภายใต้ชุดกฎหมายรัฐบาลอิเล็กทรอนิกส์ ปี 2002 (Electronic Government Act 2002) เป็นกฎหมายที่กำหนดให้หน่วยงานรัฐมีหน้าที่ต้องจัดให้มีชุดของกระบวนการและการควบคุมระบบที่ออกแบบเพื่อประกันความลับ ความมั่นคง และระบบเทคโนโลยีสารสนเทศ และข้อมูลที่เกี่ยวข้อง พร้อมนี้ได้กำหนดกรอบในการคุ้มครองข้อมูลของรัฐบาล การดำเนินงาน และสินทรัพย์ของรัฐบาลต่อภัยคุกคามทางธรรมชาติหรือที่เกิดจากมนุษย์ สำหรับกฎหมายที่แก้ไขปี 2013 ได้ขยายเงื่อนไขของหน่วยงานรัฐให้มีหน้าที่รับผิดชอบในการปฏิบัติตามมาตรฐานคอมพิวเตอร์ที่พัฒนาโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology หรือ NIST) ซึ่งประกันมาตรฐานเป็นเอกภาพและมีมาตรฐานเสริมและระบบความมั่นคงปลอดภัยแห่งชาติ การจัดให้มีสิ่งอำนวยความสะดวกสำหรับข้อมูลที่เป็นความลับและประกันตัวชี้วัดการปฏิบัติตามความปลอดภัยของข้อมูล NIST ซึ่งเป็นหน่วยงานหนึ่งของกระทรวงพาณิชย์มีหน้าที่รับผิดชอบในการส่งเสริมและรักษามาตรฐาน โดยจะตีพิมพ์มาตรฐานและแนวปฏิบัติที่หลากหลาย เช่น แนวปฏิบัติในการเก็บรักษาเทคโนโลยีการเข้ารหัสสำหรับอุปกรณ์ผู้ใช้งาน โดยระบุว่าการควบคุมความปลอดภัยหลักสำหรับการจำกัดการเข้าถึงข้อมูลที่อ่อนไหวที่เก็บรักษาในอุปกรณ์ต้องมีการเข้ารหัสและพิสูจน์ความแท้จริง พร้อมทั้งรายละเอียดของทางแก้ไขที่แนะนำ NIST ยังได้ตีพิมพ์รายงานฉบับพิเศษ ‘Special Publication (SP) 800-53 ที่กล่าวถึงการควบคุมความปลอดภัยที่แนะนำสำหรับระบบสารสนเทศสหพันธรัฐที่พัฒนาเพื่อสนับสนุนกฎหมายบริหารความปลอดภัยข้อมูลของสหพันธรัฐ หน่วยงานของสหพันธรัฐมีหน้าที่ต้องปฏิบัติตามโดยต้องปกป้องและบำรุงรักษาความมั่นคงปลอดภัยของข้อมูลรัฐบาลด้วยการใช้เทคโนโลยีการเข้ารหัส
ในปี 2013 รัฐบาลสหรัฐได้ออกคำสั่งฝ่ายบริหารว่าด้วยความมั่นคงปลอดภัยทางไซเบอร์ที 13636 เรื่องการยกระดับความมั่นคงปลอดภัยโครงสร้างพื้นฐานที่สำคัญด้านไซเบอร์ (Executive Order 13636 entitled ‘Improving Critical Infrastructure Cybersecurity) ซึ่งสอดคล้องกับแนวนโยบายการพัฒนาของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ พร้อมมอบหมายให้สภาบันมาตรฐานและเทคโนโลยีแห่งชาติเป็นผู้นำหลักในการพัฒนากรอบความมั่นคงปลอดภัยด้านไซเบอร์ของสหรัฐอเมริกาและสร้างแนวปฏิบัติที่ดีสำหรับธุรกิจธนาคาร การป้องกันประเทศ สาธารณูปโภค และอุตสาหกรรมสำคัญอื่นๆที่เกี่ยวข้อง เพื่อสนุบสนุนการป้องกันการถูกโจมตีทางไซเบอร์ สถาบันฯได้พัฒนามาตรฐานหลายด้าน เช่น ด้านโครงข่ายพลังงานไฟฟ้า การขนส่ง และการเข้ารหัสข้อมูล เป็นต้น
ในเรื่องการเข้ารหัสข้อมูล สถาบันฯได้นำเสนอมาตรฐานที่ทำงานร่วมกับกลุ่มผู้เชี่ยวชาญเพื่อสนับสนุนให้เกิดมาตรฐานการเข้ารหัสที่แข็งแกร่งและมีประสิทธิภาพ ในเดือนกุมภาพันธ์ 2014 รัฐบาลสหรัฐอเมริกาได้ประกาศกรอบมาตรฐานเทคโนโลยีการเข้ารหัสและรับข้อเสนอแนะจากภาคส่วนที่เกี่ยวข้องกว่า 3000 ราย แนวทางใช้วิธีการแบบสมัครใจสำหรับภาคอุตสาหกรรมในการใช้งาน นอกขากนี้ กระทรวงความมั่นคงภายในประเทศได้จัดตั้งโครงการชุมชนจิตอาสาทางไซเบอร์ด้านโครงสร้างพื้นฐาน (Critical Infrastructure Cyber Community (C3) Voluntary Program) เพื่อสร้างความตระหนักรู้แก่ประชาชน แม้ว่ากรอบดังกล่าวจะเป็นเรื่องความสมัครใจและไม่มีการบังคับอุตสาหกรรมในสหรัฐอเมริกา แต่ก็มีผลกระทบต่อบริษัทต่างชาติเพราะบริษัทที่ดำเนินธุรกิจกับบริษัทในสหรัฐอเมริกามีความจำเป็นต้องประเมินการใช้งานข้อมูลส่วนบุคคลในกิจกรรางไซเบอร์เพื่อประกันว่าดำเนินการได้อย่างปลอดภัยและเหมาะสม ดังนั้น มาตรฐานของสถาบันฯจึงมีผลกระทบต่อธุรกิจที่ต้องเข้าถึงและใช้ข้อมูลส่วนบุคคลของคนในสหรัฐอเมริกาอย่างหลีกเลี่ยงไม่ได้ โดยต้องดำเนินการตามแนวปฏิบัติและกระบวนการตามพันธกรร๊ตามกฎหมาย มาตรฐานอุตสาหกรรม และความคาดหวังของการกำกับดูแลของสหรัฐอเมริกาอยู่ดี
วันพฤหัสบดีที่ 4 มกราคม พ.ศ. 2561
การสื่อข่าวกับเสรีภาพในการแสดงออก
การยกเว้นการละเมิดสิทธิส่วนตัวจากการใช้โดรนในการสอดแนมเป็นประเด็นที่สังคมให้ความสนใจอย่างมาก ซึ่งต้องมีการชั่งน้ำหนักระหว่างความกังวลของสาธารณะในการให้เกิดการไหลเวียนของข้อมูลข่าวสารที่ส่งเสริมตลาดความคิดเสรี โดรนหรือเครื่องบินไร้คนขับสามารถช่วยสื่อมวลชนและความสามารถของสาธารณะในการแสวงหาหรือรวบรวมข่าวสารได้ง่ายและมีประสิทธิภาพมากขึ้น โดยสามารถให้ดำเนินการหาข่าวสารได้ในบริเวณพื้นที่อันตรายโดยไม่ต้องให้คนมีความเสี่ยง และสามารถใช้เทคโนโลยีสอดแนมที่ทันสมัยในการก็บรวบรวมข้อมูลได้อย่างมีประสิทธิภาพ โดยสามารถบินเข้าไปในพื้นที่ซึ่งเครื่องบินแบบดั้งเดิมไม่สามารถเข้าไปได้ และสามารถบินอยู่ได้นานกว่าด้วย
แต่ความท้าทายเกิดขึ้นจากความพยายามในการสร้างจุดสมดุลที่เหมาะสมระหว่างผลประโยชน์ในการหาข่าวสารแบะผบประโยชน์ในสิทธิส่วนตัว บทบัญญัติแก้ไขรัฐธรรมนูญฉบับที่หนึ่งของหสรัฐอเมริกากำหนดว่า "รัฐสภาต้องไม่ออกกฎหมาย ... จำกัดเสรีภาพของคำพูดหรือของสื่อ ... " ศาลได้ตีความถ้อยคำว่าครอบคลุมทั้งรูปแบบของคำพูดแบบดั้งเดิม เช่น คำพูดทางการเมืองหรือบทความทางวิชาการ และรวมถึงรูปแบบในพฤติกรรมที่จำเป็นและเป็นส่วนหนึ่งของการแสดงออก เช่น การกระจายวรรณกรรมทางการเมืองหรือการหาเสียงแบบถึงประตูบ้าน
นอกจากนี้ ศาลยังได่ขยายความขอเขตของการคุ้มครองตามบทบัญญัติแก้ไขรัฐธรรมนูญฉบับที่หนึ่งให้รวมถึงพฤติกรรมอื่นด้วยไม่มีเป็นการแสดงที่้ชัดเจนในตนเอง แต่จำเป้นที่สอดคล้องกับความหมายและเนื้อหาเพื่อคุ้มครอง เช่น ศาลระบุว่าสาธารณะมีสิทธิที่จะได้รับข่าวสารในฐานะที่เป็นสิทธิเกี่ยวเนื่องจากสิทธิแสดงความเห็นอย่างเสรี ศาลได้ตัดสินหลายคดีในทำนองเดียวกันมาตั้งแต่ทศวรรษที่ 1960 ว่าสาธารณะและสื่อมวลชนมีสิทธิในการหาและเก็รวบรวมข่าวสารตามรัฐธรรมนูญ เริ่มด้วยคดี Zemel v. Rusk ศาลให้ข้อสังเกตว่าสิทธิในการพูดและตีพิมพ์ไม่ได้มีพร้อมกับสิทธิในการสื่อข่าวหรือสิทธิในการแสวงหาข่าวของสื่อมวลชนอย่างไม่มีข้อจำกัด ศาลจึงมีความลังเลใจในการขยายสิทธฺดังกล่าวที่อาจส่งสัญญาณในประเด็นกังวลดังกล่าวว่าสิทธิในการสื่อข่าวโดยไม่มีเงื่อนไขจำกัดสามารถยกเว้นกฎระเบียบของรัฐที่กำหนดเงื่อนไขหรือข้อจำกัดการสื่อข่าวไว้ได้ แต่ในหลายปีต่อมา ศาลระบุไว้ในคดี Branzburg v. Hayes ที่แม้ว่ากฎหมายที่ใช้บังคับทั่วไปอยู่สามารถใช้บังคับอย่างเท่าเทียมกับผู้สื่อข่าวเช่นเดียวกับสาธารณะชนทั่วไป โดยไม่มีข้อยกเว้น การสื่อข่าวหรือแสวงหาข้อเท็จจริงของผู้สื่อข่าวได้รับความคุ้มครองตามบทบัญญัติแก้ไขรัฐธรรมนูญฉบับที่หนึ่ง และได้รับความคุ้มครองในการแสวงหาข่าว มิฉะนั้น เสรีภาพของผู้สื่อข่าวอาจลดทอนลง แต่ศาลก็ไม่ได้กำหนดขอบเขตของการคุ้มครองที่ชัดเจน ในคดี Cohen v. Cowles Media Co. ศาลยึดติดกับแนวคิดว่ามีเส้นที่ชัดเจนอยู่แล้วว่ากฎหมายที่บังคับใช้ทั่วไปในปัจจุบันไม่ได้ขัดแย้งกับบทบบัญญัติแก้ไขรัฐธรรมนูญฉบับที่หนึ่งเพียง้พราะว่าการบังคับใช้กฎหมายดังกล่าวมีผลต่อผู้สื่อข่าวในการแสวงหาข่าวสารและสื่อข่าวสารต่อสาธารณะเช่นเดียวกันกับประชาชนอื่นทั่วไป ศาลวินิจฉัยเพิ่มเติมว่าหนังสือพิมพ์ไม่ได้สิทธิคุ้มกันเป็นพิเศษจากการบังคับใช้กฎหมายทั่วไป และไม่ได้มีสิทธิพิเศษในการละเมิดสิทธิของผู้อื่น ซึ่งต่อมาได้ ศาลอื่นๆก็ได้เดินตามแนวทางดังกล่าวในการกรณีเกี่ยวกับการถ่ายภาพและบันทึกเสียงของผู้สื่อข่าวที่มีการอ้างสิทธิคุ้มกันตามรัฐธรรมนูญ
ต่อมาในคดี Dietemann v. Time, Inc. ศาลอุทธรณ์ภาค 9 ได้ตีความในประเด็นว่านักข่าวสามารถใช้วิธีพรางตัวหรือปลอมตัวเพื่อแสวงหาข่าวได้หรือไม่ ซึ่งในคดีนี้บริษัท Time Life ได้ส่งผู้สื่อข่าวแฝงตัวเข้าไปในบ้านของคนที่อ้างว่าในบ้านมาแร่ที่สามารถรักษาโรคให้หายขาดได้ ผู้สื่อข่าวได้ซ่อนกล้องเพื่อเก็บภาพของผู้ชายเจ้าของบ้านและซ่อนไมโครโฟนเพื่อบันทึกสื่อและเผยแพร่บทสนทนา ผู้สื่อข่าวได้อ้างสิทธิการสื่อข่าวตามบทบัญญัติรัฐธรรมนูญเมื่อถูกฟ้องร้องดำเนินคดี ศาลอธิบายว่าแม้ว่าเจ้าของบ้านจะมีความเสี่ยงในการเชิญบุคคภายนอกเข้าไปในบ้าน เพราะว่าแขกที่เข้าไปในบ้านอาจนำบทสนทนามาเผยแพร่ได้ แต่เจ้าของบ้านไม่ควรจะต้องแบกรับความเสี่ยงว่าอะไรที่ได้ยินหรือเห็นจะส่งออกไปภายนอกด้วยการถ่ายภาพหรือการบันทึกเสียง ดังนั้น อุปกรณ์ล้ำสมัยที่ซ่อนไว้ไม่ถือว่าเป็นเครื่องมือในการรายงานข่าวสืบสวนที่ขาดไม่ได้แฃะบทบัญญัติแก้ไขรัฐธรรมนูญฉบับที่หนึ่งไม่ได้ถูกตีความให้ความคุ้มกันผู้สื่อข่าวจากการละเมิดหรือการก่ออาชญากรรมที่ดำเนินการในระหว่างการแสวงหาข่าวหรือสื่อข่าวแต่ประการใด
ในคดี Galella v. Onassis นายกัลเลอล่า ซึ่งเป็นผู้ที่อ้างตนเองว่าเป็นผู้สื่อข่าวที่เกาะติดนางแจ๊คเกอร์ลีน เคนเนดี้ โดยได้คอยติดตามถ่ายภาพและรังครานครอบครัวของนางแจ๊คเกอร์ลีนตลอดเวลา ศาลอุทธรณ์ภาคสองได้ตัดสินว่าการกระทำดังกล่าวเป็นการล่วงละเมิดสิทธิส่วนตัว แต่นายกัลเลอล่าอ้างว่าตนเองเป็นผู้สื่อข่าวจะได้รับการคุ้มครองอย่างสมบูรณ์ตามรัฐธรรมนูญ ศาลอุทธรณ์ภาคสองได้ปฏิเสธข้ออ้างดังกล่าว โดยให้เหตุผลว่าขอบเขตการคุ้มครองสิทธิของบทบัญญัติรัฐธรรมนูฐฉบับแก้ไขที่หนึ่งไม่ได้ให้ความคุ้มครองครอบคลุมถึงกรณีดังกล่าวตามที่อ้าง การก่ออาชญากรรมและการละเมิดสิทธิผู้อื่นในระหว่างการแสวงหาข่าวไม่ได้รับความคุ้มครอง จึงไม่มีภัยคุกคามใดในการนำเสนอข่าวอย่างเสรีที่ผู้สื่อข่าวต้องปฏิบัติตามกฎหมาย
วันพุธที่ 3 มกราคม พ.ศ. 2561
กรอบการกำกับดูแลการเข้ารหัสของสหราชอาณาจักร
กฎหมายการคุ้มครองข้อมูล ปี ค.ศ. 1998 (Data Protection Act 1998) กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่จัดให้มีมาตรการทางเทคนิคและองค์กรที่เหมาะสมในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลและประกันให้การพัฒนาทางเทคโนโลยีและต้นทุนในการดำเนินการตามมาตรการ มาตรการนั้นต้องประกันระดับของความมั่นคงปลอดภัยที่เหมาะสมกับ (ก) อันตรายที่อาจมาจากการประมวลผลที่ไม่ชอบด้วยกฎหมายหรือไม่ได้รับอนุญาตหรือการสูญเสียโดยอุบัติเหตุ การทำลายหรือเสียหายตามหลักเกณฑ์ที่กฎหมายกำหนดไว้ และ (ข) ลักษณะของข้อมูลที่ได้รับความคุ้มครอง
กฎดังกล่าวได้สร้างพันธกรณีในการเข้ารหัสว่าเทคโนโลยีการเข้ารหัสอยู่ภายใต้สถานะการพัฒนาทางเทคโนโลยีและดังนั้นควรดำเนินการให้เหมาะสมกับสถานการณ์ กฎหมายคุ้มครองข้อมูลอยู่ภายใต้การกำกับดูแลของสำนักงานคณะกรรมการข้อมูลข่าวสารที่มีการประกาศแนวทางดำเนินการเพื่อส่งเสริมให้เกิดแนวปฏิบัติที่ดีและนโยบายการบังคับใช้กฎหมาย หน้าที่หลักของสำนักงานคณะกรรมการข้อมูลข่าวสารประการหนึ่งคือการใช้เทคโนโลยีการเข้ารหัส โดยสำนักงานฯได้ตีพิมพ์แนวทางเฉพาะสำหรับการเข้ารหัสในเดือนพฤศจิกายน 2007 และแนวทางปฏิบัติสำหรับความปลอดภัยทางเทคโนโลยีสารสนเทศปนเดือนเทษายน 2012 การเข้ารหัสกลายเป็นเรื่องสำคัญในฐานะที่เป็นวิธีการประกันว่าข้อมูลสามารถเข้าถึงโดยผู้ใช้ที่ได้รับอนุญาตเท่านั้น ปัจจุบันนี้ สำนักงานฯได้ประกาศแนวทางนโยบายการใช้อุปกรณ์ตนเองในที่ทำงาน (Bring Your Onw Device หรือ BYOD) เพื่อให้สอดคล้องกับความก้าวหน้าทางเทคโนโลยีที่สนับสนุนความจำเป็นในการเข้ารหัสและประกาศว่าการเข้ารหัสเป็นสิ่งจำเป็นเบื้องต้นว่าธุรกิจต้องพิจารณาให้ความสำคัญกับการประเมินกระบวนการประมวลผลข้อมูลของตนเอง อนึ่งอนวปฏิบัติที่ออกประกาศโดยสำนักงานฯ มีผลทางกฎหมายและมีผลบังคับใช้ในทางปกครองกับผู้ควบคุมข้อมูล
ที่ผ่านมา การบังคับใช้แนวปฏิบัติดังกล่าวได้รับความร่วมมือจากผู้ควบคุมข้อมูลโดยเฉพาะการเข้ารหัสข้อมูลตามแนวปฏิบัติ ต่อมาการกำกับดูแลหันมาให้ความสำคัญกับคอมพิวเตอร์และอุปกรณ์ที่พกพาได้ง่ายและไม่มีการเข้ารหัส รวมทั้งเมมโมรี่สติ๊ก และจากนั้นกฌให้ความสำคัญกับการเข้ารหัสอีเมลล์และการสื่อสารอิเล็กทรอนิกส์อื่นๆ รวมทั้งการเข้รหัสเซิร์ฟเวอร์และฐานข้อมูล ดังนั้น จึงกล่าวได้ว่ากฎหมายคุ้มครองข้อมูลได้สร้างบรรยากาศสภาพแวดล้อมในการเข้ารหัสของข้อมูลส่วนบุคคลในสหราชอาณาจักรและถือว่าประสบความสำเร็จตามเปา้หมาย
อย่างไรก็ตาม ผู้ควบคุมข้อมูลในบริการทางการเงินที่ให้บริการในภาคการเงินในสหราชอาณาจักรถูกกำกับดูแลแยกต่างหาก โดยองค์กรกำกับพฤติกรรมทางการเงิน (Financial Conduct Authpority หรือ FCA) ที่มีอำนาจตามกฎหมายบริการทางการเงินและตลาดการเงินปี ค.ศ. 2000 (Financial Services and Markets Act 2000 หรือ FSMA) ภายใต้กรอบการกำกับดูแลดังกล่าว บริการที่ให้บริการทางการเงินต้องคำนึงถึงความเสี่ยงในการดำเนินการและลดความเสี่ยงที่อาจเกิดจากอาชญากรรมทางการเงิน พันธกรณีดังกล่าวได้กำหนดพันธกรณีในการเข้ารหัสไว้ แต่ไม่เหมือนกับกฎหมายคุ้มครองข้อมูล กฎหมายบริการทางการเงินและตลาดทางการเงินไม่มีขอบเขตจำกัดอยู่เฉพาะข้อมูลส่วนบุคคล ในเดือนกุมภาพันธฺ 2007 ประเด็นการเข้ารหัสในบริการทางการเงินได้รุดหน้าเมื่อมีการปรับสมาคมก่อสร้างเป้นจำนวน 980,000 ปอนด์ในกรณีที่ทำให้ข้อมูลลูกค้าที่อยู่ในคอมพิวเตอร์พกพาสูญหา ในเดือนเมษายน 2008 องค์กรกำกับพฤติกรรมทางการเงินได่้ประกาศรายงานอาชญากรรมทางการเงินและความมั่นคงปลอดภัยของข้อมูลทางการเงิน พร้อมกำหนดความคาดหวังว่าบริษัทที่ให้บริการทางการเงินต้องมีหน้าที่เข้ารหัสในอุปกรณ์ที่พกพาได้และสื่อที่เกี่ยวข้อง ในปี ค.ศ. 2010 บริษัทประกันภัยถูกปรับเป็นจำนวน 2,275,000 ปอนด์ในกรณีที่ทำให้เทปเก็บข้อมูลสำรองที่ไม่มีการเข้ารหัสสูญหายไปในระหว่างเดินทาง ค่าปรับดังกล่าวแสดงให้เห็นว่าภาคการเงินในสหราชอาณาจักรได้พยายามยกระดับความสำคัญของการเข้ารหัสข้อมูลส่วนบุคคล
กฎดังกล่าวได้สร้างพันธกรณีในการเข้ารหัสว่าเทคโนโลยีการเข้ารหัสอยู่ภายใต้สถานะการพัฒนาทางเทคโนโลยีและดังนั้นควรดำเนินการให้เหมาะสมกับสถานการณ์ กฎหมายคุ้มครองข้อมูลอยู่ภายใต้การกำกับดูแลของสำนักงานคณะกรรมการข้อมูลข่าวสารที่มีการประกาศแนวทางดำเนินการเพื่อส่งเสริมให้เกิดแนวปฏิบัติที่ดีและนโยบายการบังคับใช้กฎหมาย หน้าที่หลักของสำนักงานคณะกรรมการข้อมูลข่าวสารประการหนึ่งคือการใช้เทคโนโลยีการเข้ารหัส โดยสำนักงานฯได้ตีพิมพ์แนวทางเฉพาะสำหรับการเข้ารหัสในเดือนพฤศจิกายน 2007 และแนวทางปฏิบัติสำหรับความปลอดภัยทางเทคโนโลยีสารสนเทศปนเดือนเทษายน 2012 การเข้ารหัสกลายเป็นเรื่องสำคัญในฐานะที่เป็นวิธีการประกันว่าข้อมูลสามารถเข้าถึงโดยผู้ใช้ที่ได้รับอนุญาตเท่านั้น ปัจจุบันนี้ สำนักงานฯได้ประกาศแนวทางนโยบายการใช้อุปกรณ์ตนเองในที่ทำงาน (Bring Your Onw Device หรือ BYOD) เพื่อให้สอดคล้องกับความก้าวหน้าทางเทคโนโลยีที่สนับสนุนความจำเป็นในการเข้ารหัสและประกาศว่าการเข้ารหัสเป็นสิ่งจำเป็นเบื้องต้นว่าธุรกิจต้องพิจารณาให้ความสำคัญกับการประเมินกระบวนการประมวลผลข้อมูลของตนเอง อนึ่งอนวปฏิบัติที่ออกประกาศโดยสำนักงานฯ มีผลทางกฎหมายและมีผลบังคับใช้ในทางปกครองกับผู้ควบคุมข้อมูล
ที่ผ่านมา การบังคับใช้แนวปฏิบัติดังกล่าวได้รับความร่วมมือจากผู้ควบคุมข้อมูลโดยเฉพาะการเข้ารหัสข้อมูลตามแนวปฏิบัติ ต่อมาการกำกับดูแลหันมาให้ความสำคัญกับคอมพิวเตอร์และอุปกรณ์ที่พกพาได้ง่ายและไม่มีการเข้ารหัส รวมทั้งเมมโมรี่สติ๊ก และจากนั้นกฌให้ความสำคัญกับการเข้ารหัสอีเมลล์และการสื่อสารอิเล็กทรอนิกส์อื่นๆ รวมทั้งการเข้รหัสเซิร์ฟเวอร์และฐานข้อมูล ดังนั้น จึงกล่าวได้ว่ากฎหมายคุ้มครองข้อมูลได้สร้างบรรยากาศสภาพแวดล้อมในการเข้ารหัสของข้อมูลส่วนบุคคลในสหราชอาณาจักรและถือว่าประสบความสำเร็จตามเปา้หมาย
อย่างไรก็ตาม ผู้ควบคุมข้อมูลในบริการทางการเงินที่ให้บริการในภาคการเงินในสหราชอาณาจักรถูกกำกับดูแลแยกต่างหาก โดยองค์กรกำกับพฤติกรรมทางการเงิน (Financial Conduct Authpority หรือ FCA) ที่มีอำนาจตามกฎหมายบริการทางการเงินและตลาดการเงินปี ค.ศ. 2000 (Financial Services and Markets Act 2000 หรือ FSMA) ภายใต้กรอบการกำกับดูแลดังกล่าว บริการที่ให้บริการทางการเงินต้องคำนึงถึงความเสี่ยงในการดำเนินการและลดความเสี่ยงที่อาจเกิดจากอาชญากรรมทางการเงิน พันธกรณีดังกล่าวได้กำหนดพันธกรณีในการเข้ารหัสไว้ แต่ไม่เหมือนกับกฎหมายคุ้มครองข้อมูล กฎหมายบริการทางการเงินและตลาดทางการเงินไม่มีขอบเขตจำกัดอยู่เฉพาะข้อมูลส่วนบุคคล ในเดือนกุมภาพันธฺ 2007 ประเด็นการเข้ารหัสในบริการทางการเงินได้รุดหน้าเมื่อมีการปรับสมาคมก่อสร้างเป้นจำนวน 980,000 ปอนด์ในกรณีที่ทำให้ข้อมูลลูกค้าที่อยู่ในคอมพิวเตอร์พกพาสูญหา ในเดือนเมษายน 2008 องค์กรกำกับพฤติกรรมทางการเงินได่้ประกาศรายงานอาชญากรรมทางการเงินและความมั่นคงปลอดภัยของข้อมูลทางการเงิน พร้อมกำหนดความคาดหวังว่าบริษัทที่ให้บริการทางการเงินต้องมีหน้าที่เข้ารหัสในอุปกรณ์ที่พกพาได้และสื่อที่เกี่ยวข้อง ในปี ค.ศ. 2010 บริษัทประกันภัยถูกปรับเป็นจำนวน 2,275,000 ปอนด์ในกรณีที่ทำให้เทปเก็บข้อมูลสำรองที่ไม่มีการเข้ารหัสสูญหายไปในระหว่างเดินทาง ค่าปรับดังกล่าวแสดงให้เห็นว่าภาคการเงินในสหราชอาณาจักรได้พยายามยกระดับความสำคัญของการเข้ารหัสข้อมูลส่วนบุคคล
เทคโนโลยีการเข้ารหัสกับการบังคับใช้กฎหมาย
เป็นที่ยอมรับกันทั่วไปว่าระบบสื่อสารยุคใหม่จะเข้าสู่ระบบเทคโนโลยีดิจิทัลทั้งหมดในไม่ช้า ซึ่งส่งผลให้บทบาทของรัฐบาลเกี่ยวกับการเข้ารหัสข้อมูลและสิทธิส่วนตัว เนื่องจากหน่วยงานบังคับใช้กฎหมายและความมั่นคงของชาติต้องเข้ามาเกี่ยวข้องอย่างหลีกเลี่ยงไม่ได้ โดยหลักการแล้วการเขารหัสเป็นการประกันว่าการคุ้มครองข้อมูลซึ่งคุ้มครองเนื้อหาจากการเข้าถึงหรือเข้าใจในกรณีที่ข้อมูลดังกล่าวไปตกอยู่ในมือของคนอื่นที่ไม่ได้รับอนุญาต ความท้าทายเกิดขึ้นเมื่อไม่มีทางที่จะไม่สามารถถอดรหัสข้อมูลได้เนื่องจากมีความจำเป็นต้องมีวิธีการถอดรหัสแบบไม่มีกุญแจของหน่วยงานบังคับใช้กฎหมาย โดยเฉพาะหากเกี่ยวข้องกับกิจกรรมขององค์กรอาชญากรรม ขบวนการค้ายาเสพติด และผู้ก่อการร้าย
ประเด็นดังกล่าวถูกหยิบยกขึ้นมาต่อสาธารณในเดือนธันวาคม 2015 ในกรณีเกิดเหตุการณ์ยิงกันในเมืองซาน เบอร์นาดิโน่ หน่วยสืบสวนกลางของรัฐบาลกลาง (FBI) ไม่สามารถเข้าถึงข้อม฿ลของโทรศัพท์ไอโฟนของผู้ถูกกล่าวหาว่าเป็นมือปืนเนื่องจากลักษณะของการรักษาความปลอดภัยขั้นสูงไว้ รวมทั้งการเข้ารหัสข้อมูลของผู้ใช้โทรศัพท์ไว้ด้วย ในชั้นแรก หน่วยสืบสวนกลางของรัฐบาลกลางร้องขอไปยังสำนักงานความมั่นคงปลอดภัยแห่งชาติ (National Security Agency) ให้เข้าถึงข้อมูลในโทรศัพท์ แต่ผู้เชี่ยวชาญในสำนักงานความมั่นคงปลอดภัยแห่งชาติก็ไม่สามารถดำเนินการได้ ทางหน่วยสืบสวนกลางได้ร้องขอให้บริษัทแอปเปิ้ลสร้างซอฟต์แวร์ใหม่ขึ้นมาเพื่อให้หน่วยสืบสวนกลางสามารถเปิดรหัสโทรศัพท์ได้ แต่ทางบริษัทแอปเปิ้ลก็ปฏิเสธคำร้องขอดังกล่าว
กรณีที่คล้ายคลึงกันเกิดขึ้นในบราซิล บริษัท WhatsApp และบริษัทแม่คือบริษัท Facebook ได้ปิดกั้นการเข้าถึงข้อมูลของผู้ใช้บริการจากหน่วยงานบังคับใช้กฎหมายที่จะร้องขอเพื่อทำการสืบสวนคดีอาชญากรรม ความขัดแย้งเกิดจากการเข้ารหัสข้อมูลการสื่อสารของผู้ใช้บริการของบริษัท WhatsApp ซึ่งทางหน่วยงานบังคับใช้กฎหมายไม่สามารถเข้าถึงข้อมูลดังกล่าวได้และทำให้ไม่สามารถปฏิบัติตามคำสั่งศาลที่อนุญาตให้เข้าถึงข้อมูลที่เกี่ยวข้องกับอาชญากรรมได้
การสื่อสารเป็นความจำเป็นที่สำคัญของทางการทหารเพราะหมายความว่าหากศัตรูสามารถเข้าถึงข้อมูลความลับที่สำคัญได้อาจเป็นปัจจัยสำคัญที่ทำให้เกิดการแพ้หรือชนะสงครามได้ ด้วยเหตุนี้ เทคโนโลยีการเข้ารหัสจึงได้มีการพัฒนามาอย่างต่อเนื่องเพื่อประกันว่าข้อมูลที่สำคัญหรืออ่อนไหวไม่สามารถถอดรหัสได้โดยฝ่ายตรงกันข้าม เทคโนโลยีการเข้ารหัสจึงถูกถือว่าเป็นเทคโนโลยีอาวุธประเภทหนึ่ง ปัจจุบันนี้ถือว่าเป็นขีดความสามารถด้านความมั่นคงปลอดภัยของชาติที่ถูกควบคุมโดยหน่วยงานควบคุมการค้าด้านการป้องกันประเทศ (the Directorate of Defense Trade Controls) ในยุคข้อมูลข่าวสารที่เติบโตอย่างรวดเร็วและการสื่อสารระบบดิจิทัลแพร่หลาย หน่วยงานมาตรฐานแห่งชาติของสหรัฐอเมริกา (the National Bureau of Standards หรือ NBS) ได้กำหนดาตรฐานการเข้ารหัสไว้ ซึ่งได้รับรองมาตรฐานอัลกอริทึกสำหรับการโอนเงินที่พัฒนาโดยบริษัท IBM และต่อมาก็ได้รับการรับรองโดยสำนักงานความมั่นคงแห่งชาติ (the National Security Agency หรือ NSA) มาตรฐานดังกล่าวเรียกว่า DES (Data Encryption Standard) ซึ่งใช้การเข้ารหัสแบบอสมมาตรที่ต้องมีกุญแจสาธารณะและกุญแจส่วนบุคคลในการเข้าและถอดรหัสข้อมูล
ในช่วงก่อนทศวรรษที่ 1990 การใช้เทคโนโลยี DES ในภาคเอกชนได้รับความนิยมอย่างแพร่หลายในเชิงพาณิชย์และวงการวิชาการ แนวโน้มดังกล่าวส่งสัญญาณไปยังรัฐบาทั่วโลกให้ตระหนักถึงความสำคัญดังกล่าวและประเด็นปัญหาต่อหน่วยงานด้านความมั่นคงและหน่วยงานบังคับใช้กฎหมาย ซึ่งหน่วยงานรัฐได้อ้างว่าการเข้ารหัสแบบง่ายๆทำให้อาชญากรและผู้ก่อการร้ายสามารถดำเนินการโดยไม่ต้องรับผิดได้ ปัจจุบันเทคโนโลยีการเข้ารหัสก็ได้รับการพัฒนาเพิ่มขึ้นอย่างมากมาย ประกอบกับอินเทอร์เน็ตที่แพร่หลายทำให้ระบบการสื่อสารก้าวหน้าอย่างรวดเร็วอย่างที่ไม่เคยปรากฎมาก่อน ข้อมูลบนอุปกรณ์ส่วนบุคคลก็สามารถเข้ารหัสได้อย่างปลอดภัย ในขณะเดียวกัน ข้อกำหนดให้หน่วยงานบังคับใช้กฎหมายสามารถเข้าถึงข้อมูลอย่างทันท่วงทีก็เพิ่มขึ้นในขณะเดียวกัน การอ้างอิงการสนับสนุนจากฝ่ายตุลาการที่ยังมีความเห็นที่ไม่ลงรอยกันได้มีการเรียกร้องให้ข้อมูลของผู้ใช้บริการและการลงทุนของรัฐบาลในการต่อสู้กับวิธีการเข้ารหัสที่ซับซ้อน ความต้องการที่จะให้การทำงานของหน่าวยงานรัฐมีประสิทธิภาพมากขึ้น กลายเป็นประเด็นที่ถกเถียงกันอย่างกว้างขวาง ในมุมมองที่ค่อนข้างยอมรับมีสามแนวทางที่หน่วยงานบังคับใช้กฎหมายสามารถเข้าถึงข้อมูลที่เข้ารหัสได้ อาทิ
(1) อุปกรณ์ที่บรรจุข้อมูล ซึ่งอาจเป็นคอมพิวเตอร์ส่วนบุคคล สมาร์ทโฟน แทบเล็ท หรืออุปกรณ์อื่นๆ ที่มีข้อมูลสารเทศอยู่
(2) ข้อมูลในการสื่อสาร หากข้อมูลหรือเนื้อหาการสนทนาหลงเหลืออยู่ในอุปกรณ์สื่อสารของต้นทางและในการส่งไปยังอุปกรณ์ปลายทาง
(3) เซิร์ฟเวอร์สื่อสารของบริษัทสื่อสารที่เป็นตัวกลางในการให้บริการสื่อสาร ทั้งนี้ขึ้นอยู่กับประเภทของการสื่อสาร
หน่วยงานบังคับใช้กฎหมายมักจะร้องขอศาลในการเข้าถึงข้อมูลจากสามแนวทางดังกล่าว
บริษัท WhatsApp ได้มีการเข้ารหัสข้อมูลของผู้ใช้บริการมาเป็นระยะเวลานานแล้ว แต่ในช่วงแรกก็มีความเป็นไปได้ที่หน่วยงานบังคับใช้กฎหมายสามารถถอดรหัสได้ นับแต่ปี 2012 บริษัท WhatsApp ได้ปรับปรุงระบบการเข้ารหัสใหม่ทำให้หน่วยงานบังคับใช้กฎหมายมีปัญหาในการถอดรหัสเนื้อหาบนโปรแกรมของบริษัท แม้ว่าทางบริษัท WhatsApp ยังสามารถเข้าถึงเนื้อหาได้ผ่านทางเซิร์ฟเวอร์ของตน ในเดือนเมษายน 2016 WhatsApp ประกาศว่าบริษัทได้มีการเข้ารหัสการสื่อสารตั้งแต่ต้นทางไปจนกระทั่งปลายทาง และประกันว่าแม้กระทั่งพนักงานของบริษัทก็ไม่สามารถเข้าถึงและอ่านข้อมูลบนเซิร์ฟเวอร์ได้หรือข้อมูลที่วิ่งบนโครงข่ายได้ นโยบายดังกล่าวของ WhatsApp เท่ากับเป็นการไม่ปฏิบัติตามคำสั่งของศาลที่เรียกร้องให้หน่วยงานบังคับกฎหมายสามารถเข้าถึงเนื้อหาของระบบ WhatsApp ได้ เป็นที่น่าสนใจว่าในช่วงดังกล่าวบริษัทในซิลิกอน วัลเลย์หลายบริษัทได้ปะทะกับหน่วยงานบังคับใช้กฎหมายในประเด็นความเป้นส่วนตัวของผู้ใช้บริการ ระบบและเทคโนโลยีของการเข้ารหัสที่เข้มแข็งมั่นคงขึ้นสร้างความเชื่อมั่นในการสื่อสาร อาจเป้นสาเหตุหนึ่งที่บริษัท WhatsApp รวมทั้งบริษัทสื่อสารหลายบริษัทเลือกที่จะประกาศนโยบายประกันความเป็นส่วนตัวของผู้ใช้บริการ
ในกรณีที่เกิดขึ้นในบราซิล วันที่ 16 ธันวาคม 2015 ศาลอาญาที่หนึ่งในเซาเบอร์นาโด้โดแคมโปมีคำวินิจฉัยลงโทษที่บริษัท WhatsApp ไม่ให้ความร่วมมือตามคำสั่งศาลในกรณีที่การสืบสวนคดีแก็งปล้นธนาคาร ต่อมาในวันเดียวกันช่วงบ่ายคณะผู้พิพากษาศาลอาญาที่สิบเอ็ดได้กลับคำตัดสินดังกล่าว ในสามเดือนต่อมา รองประธานของบริษัทเฟสบุ๊กในลาตินอเมริกาได้ถูกจับและดำเนินคดีในข้อหาไม่ปฏิบัติไม่ให้ข้อมูลในการสืบสวนสอบสวนคดีอาญา ในวันที่ 30 มิถุนายน 2016 หนังสือพิมพ์รายงานว่าศาลสหพันธ์รัฐลอนดริน่ามีคำวินิจฉัยให้ระงับบัญชีธนาคารของบริษัทเฟสบุ๊กเพื่อเป้นหลักประกันค่าปรับในกรณีไม่ปฏิบัติตามคำสั่งศาลเป็นจำนวน 19.5 ล้านเหรียญบราซิล วัตถุประสงค์ของศาลคือให้บริษัท WhatsApp ส่งมอบข้อมูลการสนทนาของผู้ใช้บริการบางราย ในที่สุดวันที่ 19 กรกฎาคม 2016 ศาลอาญาสูงสุดในกรุงริโอได้วินิจฉัยให้บริษัท WhatsApp เป็นฝ่ายชนะในการไม่ปฏิบัติตามคำสั่งศาล แต่ในวันเดียวกันนั้นประธานศาลสูงสุดได้ระงับคำวินิ๗ฉัยดังกล่าว
ความเคลื่อนไหวของ WhatsApp ก่อให้เกิดคำถามหลายประการทั้งในเชิงจริยธรรมในการสร้างสมดุลระหว่างสิทธิส่วนตัวของผู้ใช้บริการกะบความมั่นคงของชาตและความปลอดภัยของสาธารณะ บริษัท WhatsApp ได้อ้างว่าด้วยเทคโนโลยีเข้ารหัสใหม่นี้ บริษัทไม่ได้ควบคุมหรือมีความรับผิดชอบการจราจรเหนือโครงข่ายหรือระบบตนเองและดังนั้น จึงไม่สามารถทำตามคำสั่งศาลได้ ซึ่งส่งผลต่อแนวปฏิบัติของหน่วยงานบังคับใช้กฎหมายที่มีแต่ดั้งเดิมที่มักจะดักฟังการสื่อสารในการจัดการกับอาชญากรรมและโดยเฉพาะเมื่อได้รับการเห็นชอบจากศาล รัฐสภาเรียกร้องให้บริษัทเทคโนโลยีที่สนับสนุนการเข้ารหัสสร้างประตูหลังให้เฉพาะหน่วยงานบังคับใช้กฎหมายในการเข้าถึงข้อมูลและการสื่อสารเพื่อบังคับใช้กฎหมายให้เป็นไปอย่างมีประสิทธิภาพ แต่บริษัทเทคโนโลยีสื่อสารไม่รับฟังเสียงเรียกร้องจากรัฐสภาและรัฐบาล จึงต้องมีการสร้างสมดุลอำนาจกับภาคเอกชน ตัวอย่างเช่น บริษัทกูเกิ้ลอ้างว่าบริษัทไม่ได้มีนโยบายให้ความร่วมมือกับหมายศาลโดยอัตโนมัติในกรณีที่มีการล่วงละเมิดสิทธิส่วนตัว บริษัทเฟสบุ๊กสร้างระบบการร้องขอสำหรับการบังคับใช้กฎหมายผ่านระบบออนไลน์เพื่อทบทวนประเภทของเนื้อหาที่ถูกร้องขอโดยหน่วยงานรัฐบาลเพื่อวัตถุประสงค์ในการสืบสวนสอบสวนหรือหมายศาล บริษัทเฟสบุ๊กต้องการรายละเอียดของคดีและคำอธิบายของความสำคัญของเนื้อหาที่ร้องขอและไม่ได้ดำเนินการตามหมายศาลโดยทันที
ทั้งนี้ จึงมีคำถามว่าหน่วยงานบังคับใช้กฎหมายมีทางเลือกอื่นอีกหรือไม่ในการจัดการกับการเข้ารหัสของบริษัทเทคโนโลยีสื่อสาร คำตอบคือมีทางเลือกอื่นอีก คือการใช้โปรแกรมจัดการกับข้อมูลในอุปกรณ์ของผู้ใช้บริการได้ แต่ข้อเสียคือมีค่าใช้จ่ายหรือต้นทุนที่สูงและมีความเสี่ยงในการเข้าถึงข้อมูลในบางกรณี เช่น การจะดักฟังหรือติดตามเป้าหมายมากกว่าหนึ่งคน จะมีความยุ่งยากกว่าการให้บริษัทเจ้าของระบบดำเนินการให้
เนื้อหาของการสนทนาสามารถจัดเก็บได้ในสถานที่ที่สามารถเข้าถึงได้โดยหน่วยงานผู้บังคับใช้กฎหมายหรือหน่วยงานของ WhatsApp ที่รับผิดชอบเพื่อตอบสนองความต้องการของระบบยุติธรรมหรือศาล ต้นทุนในกรดำเนินการดังกล่าวค่อนข้างมากรวมทั้งการสร้างระบบตรวจสอบภายใน การสร้างระบบการทำงานที่สามารถตรวจสอบเป้าหมายเฉพาะเจาะจง และการสร้างระบบการสนับสนุนการทำงานที่เกี่ยวเนื่องเป็นต้น เป้าหมายของ WhatsApp ในการปกป้องสิทธิความเป็นส่วนตัวของผู้ใช้บริการ แต่ WhatsApp ไม่สามารถปกป้องเนื้อหาของข้อความของผู้ใช้บริการได้ ซึ่งไม่ได้หมายความว่าไม่สามารถเข้าถึงข้อมูลเมต้าของการสื่อสารได้ เช่น ใครคุยกับใคร ระยะเวลาในการสื่อสาร การเชื่อมต่อกับเป้าหมาย และจำนวนของข้อมูลที่สื่อสารระหว่างผู้ต้องสงสัยกับบุคคลอื่น ในเมื่อไม่มีทางเลือกอื่นสำหรับเนื้อหาของข้อความสื่อสาร ข้อมูลดังกล่าวได้มีความชอบธรรมในการใช้งานโโยหน่วยงานบังคับใช้กฎหมาย
โดยสรุป ในกรณีของ WhatsApp ระบบยุติธรรมของบราซิลแสดงให้เห็นความจำเป็นของการประนีประนอมระหว่างการบังคับใช้กฎหมาย ความมั่นคงของชาติ และเทคโนโลยีการสื่อสาร ปฏิกิริยาที่น่าสนใจ เช่น การระงับการให้บริการที่มีผลกระทบต่อความเป็นอยู่ในชีวิตประจำวันของผู้คน และการดำเนินธุรกิจ รวมทั้งบริการสาธารณะของภาครัฐ ปัจจุบันนี้ เรากำลังเผชิญสถานการณ์ที่กลืนไม่เข้าคลายไม่ออกกับเทคโนโลยีการสื่อสารที่รุดหน้าไปอย่างรวดเร็วที่สามารถเลือกหรือจัดลำดับความสำคัญต่อสิทธิความเป็นส่วนตัวของผู้ใช้บริการเหนือการก่ออาชญากรรมหรือการกอ่การร้าย บริษัทผู้ให้บริการสื่อสารมีรายได้จากการใช้ประโยชน์ข้อมูลส่วนบุคคลของผู้ใช้บริการ จึงก่อให้เกิดคำถามในกรณีที่มีการอ้างความชอบธรรมเกี่ยวกับสิทธิส่วนตัว ยังไม่มีความชัดเจนในเรื่องนี้ ต้องคอยดูพัฒนาการทางกฎหมายและนโยบายของรัฐกันต่อไป
ประเด็นดังกล่าวถูกหยิบยกขึ้นมาต่อสาธารณในเดือนธันวาคม 2015 ในกรณีเกิดเหตุการณ์ยิงกันในเมืองซาน เบอร์นาดิโน่ หน่วยสืบสวนกลางของรัฐบาลกลาง (FBI) ไม่สามารถเข้าถึงข้อม฿ลของโทรศัพท์ไอโฟนของผู้ถูกกล่าวหาว่าเป็นมือปืนเนื่องจากลักษณะของการรักษาความปลอดภัยขั้นสูงไว้ รวมทั้งการเข้ารหัสข้อมูลของผู้ใช้โทรศัพท์ไว้ด้วย ในชั้นแรก หน่วยสืบสวนกลางของรัฐบาลกลางร้องขอไปยังสำนักงานความมั่นคงปลอดภัยแห่งชาติ (National Security Agency) ให้เข้าถึงข้อมูลในโทรศัพท์ แต่ผู้เชี่ยวชาญในสำนักงานความมั่นคงปลอดภัยแห่งชาติก็ไม่สามารถดำเนินการได้ ทางหน่วยสืบสวนกลางได้ร้องขอให้บริษัทแอปเปิ้ลสร้างซอฟต์แวร์ใหม่ขึ้นมาเพื่อให้หน่วยสืบสวนกลางสามารถเปิดรหัสโทรศัพท์ได้ แต่ทางบริษัทแอปเปิ้ลก็ปฏิเสธคำร้องขอดังกล่าว
กรณีที่คล้ายคลึงกันเกิดขึ้นในบราซิล บริษัท WhatsApp และบริษัทแม่คือบริษัท Facebook ได้ปิดกั้นการเข้าถึงข้อมูลของผู้ใช้บริการจากหน่วยงานบังคับใช้กฎหมายที่จะร้องขอเพื่อทำการสืบสวนคดีอาชญากรรม ความขัดแย้งเกิดจากการเข้ารหัสข้อมูลการสื่อสารของผู้ใช้บริการของบริษัท WhatsApp ซึ่งทางหน่วยงานบังคับใช้กฎหมายไม่สามารถเข้าถึงข้อมูลดังกล่าวได้และทำให้ไม่สามารถปฏิบัติตามคำสั่งศาลที่อนุญาตให้เข้าถึงข้อมูลที่เกี่ยวข้องกับอาชญากรรมได้
การสื่อสารเป็นความจำเป็นที่สำคัญของทางการทหารเพราะหมายความว่าหากศัตรูสามารถเข้าถึงข้อมูลความลับที่สำคัญได้อาจเป็นปัจจัยสำคัญที่ทำให้เกิดการแพ้หรือชนะสงครามได้ ด้วยเหตุนี้ เทคโนโลยีการเข้ารหัสจึงได้มีการพัฒนามาอย่างต่อเนื่องเพื่อประกันว่าข้อมูลที่สำคัญหรืออ่อนไหวไม่สามารถถอดรหัสได้โดยฝ่ายตรงกันข้าม เทคโนโลยีการเข้ารหัสจึงถูกถือว่าเป็นเทคโนโลยีอาวุธประเภทหนึ่ง ปัจจุบันนี้ถือว่าเป็นขีดความสามารถด้านความมั่นคงปลอดภัยของชาติที่ถูกควบคุมโดยหน่วยงานควบคุมการค้าด้านการป้องกันประเทศ (the Directorate of Defense Trade Controls) ในยุคข้อมูลข่าวสารที่เติบโตอย่างรวดเร็วและการสื่อสารระบบดิจิทัลแพร่หลาย หน่วยงานมาตรฐานแห่งชาติของสหรัฐอเมริกา (the National Bureau of Standards หรือ NBS) ได้กำหนดาตรฐานการเข้ารหัสไว้ ซึ่งได้รับรองมาตรฐานอัลกอริทึกสำหรับการโอนเงินที่พัฒนาโดยบริษัท IBM และต่อมาก็ได้รับการรับรองโดยสำนักงานความมั่นคงแห่งชาติ (the National Security Agency หรือ NSA) มาตรฐานดังกล่าวเรียกว่า DES (Data Encryption Standard) ซึ่งใช้การเข้ารหัสแบบอสมมาตรที่ต้องมีกุญแจสาธารณะและกุญแจส่วนบุคคลในการเข้าและถอดรหัสข้อมูล
ในช่วงก่อนทศวรรษที่ 1990 การใช้เทคโนโลยี DES ในภาคเอกชนได้รับความนิยมอย่างแพร่หลายในเชิงพาณิชย์และวงการวิชาการ แนวโน้มดังกล่าวส่งสัญญาณไปยังรัฐบาทั่วโลกให้ตระหนักถึงความสำคัญดังกล่าวและประเด็นปัญหาต่อหน่วยงานด้านความมั่นคงและหน่วยงานบังคับใช้กฎหมาย ซึ่งหน่วยงานรัฐได้อ้างว่าการเข้ารหัสแบบง่ายๆทำให้อาชญากรและผู้ก่อการร้ายสามารถดำเนินการโดยไม่ต้องรับผิดได้ ปัจจุบันเทคโนโลยีการเข้ารหัสก็ได้รับการพัฒนาเพิ่มขึ้นอย่างมากมาย ประกอบกับอินเทอร์เน็ตที่แพร่หลายทำให้ระบบการสื่อสารก้าวหน้าอย่างรวดเร็วอย่างที่ไม่เคยปรากฎมาก่อน ข้อมูลบนอุปกรณ์ส่วนบุคคลก็สามารถเข้ารหัสได้อย่างปลอดภัย ในขณะเดียวกัน ข้อกำหนดให้หน่วยงานบังคับใช้กฎหมายสามารถเข้าถึงข้อมูลอย่างทันท่วงทีก็เพิ่มขึ้นในขณะเดียวกัน การอ้างอิงการสนับสนุนจากฝ่ายตุลาการที่ยังมีความเห็นที่ไม่ลงรอยกันได้มีการเรียกร้องให้ข้อมูลของผู้ใช้บริการและการลงทุนของรัฐบาลในการต่อสู้กับวิธีการเข้ารหัสที่ซับซ้อน ความต้องการที่จะให้การทำงานของหน่าวยงานรัฐมีประสิทธิภาพมากขึ้น กลายเป็นประเด็นที่ถกเถียงกันอย่างกว้างขวาง ในมุมมองที่ค่อนข้างยอมรับมีสามแนวทางที่หน่วยงานบังคับใช้กฎหมายสามารถเข้าถึงข้อมูลที่เข้ารหัสได้ อาทิ
(1) อุปกรณ์ที่บรรจุข้อมูล ซึ่งอาจเป็นคอมพิวเตอร์ส่วนบุคคล สมาร์ทโฟน แทบเล็ท หรืออุปกรณ์อื่นๆ ที่มีข้อมูลสารเทศอยู่
(2) ข้อมูลในการสื่อสาร หากข้อมูลหรือเนื้อหาการสนทนาหลงเหลืออยู่ในอุปกรณ์สื่อสารของต้นทางและในการส่งไปยังอุปกรณ์ปลายทาง
(3) เซิร์ฟเวอร์สื่อสารของบริษัทสื่อสารที่เป็นตัวกลางในการให้บริการสื่อสาร ทั้งนี้ขึ้นอยู่กับประเภทของการสื่อสาร
หน่วยงานบังคับใช้กฎหมายมักจะร้องขอศาลในการเข้าถึงข้อมูลจากสามแนวทางดังกล่าว
บริษัท WhatsApp ได้มีการเข้ารหัสข้อมูลของผู้ใช้บริการมาเป็นระยะเวลานานแล้ว แต่ในช่วงแรกก็มีความเป็นไปได้ที่หน่วยงานบังคับใช้กฎหมายสามารถถอดรหัสได้ นับแต่ปี 2012 บริษัท WhatsApp ได้ปรับปรุงระบบการเข้ารหัสใหม่ทำให้หน่วยงานบังคับใช้กฎหมายมีปัญหาในการถอดรหัสเนื้อหาบนโปรแกรมของบริษัท แม้ว่าทางบริษัท WhatsApp ยังสามารถเข้าถึงเนื้อหาได้ผ่านทางเซิร์ฟเวอร์ของตน ในเดือนเมษายน 2016 WhatsApp ประกาศว่าบริษัทได้มีการเข้ารหัสการสื่อสารตั้งแต่ต้นทางไปจนกระทั่งปลายทาง และประกันว่าแม้กระทั่งพนักงานของบริษัทก็ไม่สามารถเข้าถึงและอ่านข้อมูลบนเซิร์ฟเวอร์ได้หรือข้อมูลที่วิ่งบนโครงข่ายได้ นโยบายดังกล่าวของ WhatsApp เท่ากับเป็นการไม่ปฏิบัติตามคำสั่งของศาลที่เรียกร้องให้หน่วยงานบังคับกฎหมายสามารถเข้าถึงเนื้อหาของระบบ WhatsApp ได้ เป็นที่น่าสนใจว่าในช่วงดังกล่าวบริษัทในซิลิกอน วัลเลย์หลายบริษัทได้ปะทะกับหน่วยงานบังคับใช้กฎหมายในประเด็นความเป้นส่วนตัวของผู้ใช้บริการ ระบบและเทคโนโลยีของการเข้ารหัสที่เข้มแข็งมั่นคงขึ้นสร้างความเชื่อมั่นในการสื่อสาร อาจเป้นสาเหตุหนึ่งที่บริษัท WhatsApp รวมทั้งบริษัทสื่อสารหลายบริษัทเลือกที่จะประกาศนโยบายประกันความเป็นส่วนตัวของผู้ใช้บริการ
ในกรณีที่เกิดขึ้นในบราซิล วันที่ 16 ธันวาคม 2015 ศาลอาญาที่หนึ่งในเซาเบอร์นาโด้โดแคมโปมีคำวินิจฉัยลงโทษที่บริษัท WhatsApp ไม่ให้ความร่วมมือตามคำสั่งศาลในกรณีที่การสืบสวนคดีแก็งปล้นธนาคาร ต่อมาในวันเดียวกันช่วงบ่ายคณะผู้พิพากษาศาลอาญาที่สิบเอ็ดได้กลับคำตัดสินดังกล่าว ในสามเดือนต่อมา รองประธานของบริษัทเฟสบุ๊กในลาตินอเมริกาได้ถูกจับและดำเนินคดีในข้อหาไม่ปฏิบัติไม่ให้ข้อมูลในการสืบสวนสอบสวนคดีอาญา ในวันที่ 30 มิถุนายน 2016 หนังสือพิมพ์รายงานว่าศาลสหพันธ์รัฐลอนดริน่ามีคำวินิจฉัยให้ระงับบัญชีธนาคารของบริษัทเฟสบุ๊กเพื่อเป้นหลักประกันค่าปรับในกรณีไม่ปฏิบัติตามคำสั่งศาลเป็นจำนวน 19.5 ล้านเหรียญบราซิล วัตถุประสงค์ของศาลคือให้บริษัท WhatsApp ส่งมอบข้อมูลการสนทนาของผู้ใช้บริการบางราย ในที่สุดวันที่ 19 กรกฎาคม 2016 ศาลอาญาสูงสุดในกรุงริโอได้วินิจฉัยให้บริษัท WhatsApp เป็นฝ่ายชนะในการไม่ปฏิบัติตามคำสั่งศาล แต่ในวันเดียวกันนั้นประธานศาลสูงสุดได้ระงับคำวินิ๗ฉัยดังกล่าว
ความเคลื่อนไหวของ WhatsApp ก่อให้เกิดคำถามหลายประการทั้งในเชิงจริยธรรมในการสร้างสมดุลระหว่างสิทธิส่วนตัวของผู้ใช้บริการกะบความมั่นคงของชาตและความปลอดภัยของสาธารณะ บริษัท WhatsApp ได้อ้างว่าด้วยเทคโนโลยีเข้ารหัสใหม่นี้ บริษัทไม่ได้ควบคุมหรือมีความรับผิดชอบการจราจรเหนือโครงข่ายหรือระบบตนเองและดังนั้น จึงไม่สามารถทำตามคำสั่งศาลได้ ซึ่งส่งผลต่อแนวปฏิบัติของหน่วยงานบังคับใช้กฎหมายที่มีแต่ดั้งเดิมที่มักจะดักฟังการสื่อสารในการจัดการกับอาชญากรรมและโดยเฉพาะเมื่อได้รับการเห็นชอบจากศาล รัฐสภาเรียกร้องให้บริษัทเทคโนโลยีที่สนับสนุนการเข้ารหัสสร้างประตูหลังให้เฉพาะหน่วยงานบังคับใช้กฎหมายในการเข้าถึงข้อมูลและการสื่อสารเพื่อบังคับใช้กฎหมายให้เป็นไปอย่างมีประสิทธิภาพ แต่บริษัทเทคโนโลยีสื่อสารไม่รับฟังเสียงเรียกร้องจากรัฐสภาและรัฐบาล จึงต้องมีการสร้างสมดุลอำนาจกับภาคเอกชน ตัวอย่างเช่น บริษัทกูเกิ้ลอ้างว่าบริษัทไม่ได้มีนโยบายให้ความร่วมมือกับหมายศาลโดยอัตโนมัติในกรณีที่มีการล่วงละเมิดสิทธิส่วนตัว บริษัทเฟสบุ๊กสร้างระบบการร้องขอสำหรับการบังคับใช้กฎหมายผ่านระบบออนไลน์เพื่อทบทวนประเภทของเนื้อหาที่ถูกร้องขอโดยหน่วยงานรัฐบาลเพื่อวัตถุประสงค์ในการสืบสวนสอบสวนหรือหมายศาล บริษัทเฟสบุ๊กต้องการรายละเอียดของคดีและคำอธิบายของความสำคัญของเนื้อหาที่ร้องขอและไม่ได้ดำเนินการตามหมายศาลโดยทันที
ทั้งนี้ จึงมีคำถามว่าหน่วยงานบังคับใช้กฎหมายมีทางเลือกอื่นอีกหรือไม่ในการจัดการกับการเข้ารหัสของบริษัทเทคโนโลยีสื่อสาร คำตอบคือมีทางเลือกอื่นอีก คือการใช้โปรแกรมจัดการกับข้อมูลในอุปกรณ์ของผู้ใช้บริการได้ แต่ข้อเสียคือมีค่าใช้จ่ายหรือต้นทุนที่สูงและมีความเสี่ยงในการเข้าถึงข้อมูลในบางกรณี เช่น การจะดักฟังหรือติดตามเป้าหมายมากกว่าหนึ่งคน จะมีความยุ่งยากกว่าการให้บริษัทเจ้าของระบบดำเนินการให้
เนื้อหาของการสนทนาสามารถจัดเก็บได้ในสถานที่ที่สามารถเข้าถึงได้โดยหน่วยงานผู้บังคับใช้กฎหมายหรือหน่วยงานของ WhatsApp ที่รับผิดชอบเพื่อตอบสนองความต้องการของระบบยุติธรรมหรือศาล ต้นทุนในกรดำเนินการดังกล่าวค่อนข้างมากรวมทั้งการสร้างระบบตรวจสอบภายใน การสร้างระบบการทำงานที่สามารถตรวจสอบเป้าหมายเฉพาะเจาะจง และการสร้างระบบการสนับสนุนการทำงานที่เกี่ยวเนื่องเป็นต้น เป้าหมายของ WhatsApp ในการปกป้องสิทธิความเป็นส่วนตัวของผู้ใช้บริการ แต่ WhatsApp ไม่สามารถปกป้องเนื้อหาของข้อความของผู้ใช้บริการได้ ซึ่งไม่ได้หมายความว่าไม่สามารถเข้าถึงข้อมูลเมต้าของการสื่อสารได้ เช่น ใครคุยกับใคร ระยะเวลาในการสื่อสาร การเชื่อมต่อกับเป้าหมาย และจำนวนของข้อมูลที่สื่อสารระหว่างผู้ต้องสงสัยกับบุคคลอื่น ในเมื่อไม่มีทางเลือกอื่นสำหรับเนื้อหาของข้อความสื่อสาร ข้อมูลดังกล่าวได้มีความชอบธรรมในการใช้งานโโยหน่วยงานบังคับใช้กฎหมาย
โดยสรุป ในกรณีของ WhatsApp ระบบยุติธรรมของบราซิลแสดงให้เห็นความจำเป็นของการประนีประนอมระหว่างการบังคับใช้กฎหมาย ความมั่นคงของชาติ และเทคโนโลยีการสื่อสาร ปฏิกิริยาที่น่าสนใจ เช่น การระงับการให้บริการที่มีผลกระทบต่อความเป็นอยู่ในชีวิตประจำวันของผู้คน และการดำเนินธุรกิจ รวมทั้งบริการสาธารณะของภาครัฐ ปัจจุบันนี้ เรากำลังเผชิญสถานการณ์ที่กลืนไม่เข้าคลายไม่ออกกับเทคโนโลยีการสื่อสารที่รุดหน้าไปอย่างรวดเร็วที่สามารถเลือกหรือจัดลำดับความสำคัญต่อสิทธิความเป็นส่วนตัวของผู้ใช้บริการเหนือการก่ออาชญากรรมหรือการกอ่การร้าย บริษัทผู้ให้บริการสื่อสารมีรายได้จากการใช้ประโยชน์ข้อมูลส่วนบุคคลของผู้ใช้บริการ จึงก่อให้เกิดคำถามในกรณีที่มีการอ้างความชอบธรรมเกี่ยวกับสิทธิส่วนตัว ยังไม่มีความชัดเจนในเรื่องนี้ ต้องคอยดูพัฒนาการทางกฎหมายและนโยบายของรัฐกันต่อไป
สมัครสมาชิก:
บทความ (Atom)