Original Title: Making and breaking with science and conscience: The human rights-compatibility of information security governance in the context of quantum computing and encryption
Source: dare.uva.nl
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original paper for full scientific accuracy.

ការបង្កើតនិងការបំបែកដោយវិទ្យាសាស្ត្រនិងមនសិការ៖ ភាពស្របគ្នានៃសិទ្ធិមនុស្សទៅនឹងអភិបាលកិច្ចសន្តិសុខព័ត៌មាននៅក្នុងបរិបទនៃការគណនាដោយកង់ទិចនិងការអ៊ិនគ្រីប

ចំណងជើងដើម៖ Making and breaking with science and conscience: The human rights-compatibility of information security governance in the context of quantum computing and encryption

អ្នកនិពន្ធ៖ Ot van Daalen (Universiteit van Amsterdam)

ឆ្នាំបោះពុម្ព៖ 2022 (Universiteit van Amsterdam)

វិស័យសិក្សា៖ Law and Information Security

១. សេចក្តីសង្ខេបប្រតិបត្តិ (Executive Summary)

បញ្ហា (The Problem)៖ និក្ខេបបទនេះដោះស្រាយលើបញ្ហាអភិបាលកិច្ចសន្តិសុខព័ត៌មាន (Information Security Governance) ជាពិសេសការប្រជែងគ្នារវាងការបង្កើតនិងការបំបែកប្រព័ន្ធសុវត្ថិភាព (ដូចជាការអ៊ិនគ្រីប និងកុំព្យូទ័រកង់ទិច) ថាតើវាស្របគ្នាជាមួយនឹងច្បាប់និងបទដ្ឋានសិទ្ធិមនុស្សអឺរ៉ុបដែរឬទេ។

វិធីសាស្ត្រ (The Methodology)៖ ការស្រាវជ្រាវនេះប្រើប្រាស់វិធីសាស្ត្រវិភាគផ្លូវច្បាប់និងគោលនយោបាយ (Legal and Policy Analysis) ដោយពឹងផ្អែកលើការពិនិត្យឯកសារពាក់ព័ន្ធនឹងច្បាប់សិទ្ធិមនុស្ស និងការវិវឌ្ឍនៃបច្ចេកវិទ្យា។

ការវិភាគវដ្ដសន្តិសុខព័ត៌មាន (Information Security Cycle Analysis)
ការវាយតម្លៃក្របខ័ណ្ឌសិទ្ធិមនុស្សអឺរ៉ុប (European Human Rights Framework Assessment)
ការសិក្សាករណីលើបច្ចេកវិទ្យាអ៊ិនគ្រីប (Case Study on Encryption Technologies)
ការសិក្សាករណីលើការគណនាដោយកង់ទិច (Case Study on Quantum Computing)

លទ្ធផលសំខាន់ៗ (The Verdict)៖

រដ្ឋមានកាតព្វកិច្ចវិជ្ជមានក្នុងការការពារប្រព័ន្ធឌីជីថលពីការចូលប្រើប្រាស់ដោយខុសច្បាប់ (Unlawful Access) ដើម្បីការពារសិទ្ធិឯកជនភាព និងសេរីភាពនៃការទំនាក់ទំនង។
ការដាក់កម្រិត ឬការប៉ុនប៉ងបំបែកប្រព័ន្ធអ៊ិនគ្រីប (Encryption) ភាគច្រើនរំលោភលើគោលការណ៍សមាមាត្រនៃសិទ្ធិមនុស្ស ពីព្រោះវាបង្កើនហានិភ័យនៃគ្រោះថ្នាក់ទៅដល់ហេដ្ឋារចនាសម្ព័ន្ធឌីជីថលទាំងមូល។
អ្នកស្រាវជ្រាវត្រូវមានការគាំពារផ្លូវច្បាប់ក្នុងការស្វែងរកនិងបង្ហាញពីចន្លោះប្រហោងសុវត្ថិភាព (Vulnerability Disclosure) ប៉ុន្តែក៏ត្រូវមានការទទួលខុសត្រូវក្នុងការកាត់បន្ថយហានិភ័យផងដែរ ដោយផ្អែកលើសិទ្ធិទទួលបានអត្ថប្រយោជន៍ពីវិទ្យាសាស្ត្រ (Right to Science)។

២. ការវិភាគលើប្រសិទ្ធភាព និងដែនកំណត់ (Performance & Constraints)

វិធីសាស្ត្រ (Method)	គុណសម្បត្តិ (Pros)	គុណវិបត្តិ (Cons)	លទ្ធផលគន្លឹះ (Key Result)
User-Controlled End-to-End Encryption (E2EE) ការអ៊ិនគ្រីបពីចុងទៅចុងដោយគ្រប់គ្រងដោយអ្នកប្រើប្រាស់	ការពារឯកជនភាព និងសេរីភាពនៃការទំនាក់ទំនងបានយ៉ាងរឹងមាំពីការចូលប្រើប្រាស់ដោយខុសច្បាប់ ទោះបីជាហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញត្រូវបានគេលួចចូលក៏ដោយ។	ធ្វើឱ្យស្ថាប័នអនុវត្តច្បាប់ និងរដ្ឋាភិបាលពិបាកក្នុងការស៊ើបអង្កេតបទល្មើស ឬតាមដានការសន្ទនា (បញ្ហា Going Dark)។	អ្នកនិពន្ធសន្និដ្ឋានថា វិធានការនេះមានភាពសមាមាត្របំផុតក្នុងការគោរពសិទ្ធិមនុស្ស ហើយស្នើឱ្យមានការការពារ និងជំរុញការប្រើប្រាស់តាមផ្លូវច្បាប់។
Client-Side Scanning (CSS) / Exceptional Access ការស្កេនលើឧបករណ៍អ្នកប្រើប្រាស់ និងការបង្កើតច្រកចូលពិសេសសម្រាប់រដ្ឋ (Backdoors)	ផ្តល់លទ្ធភាពដល់អាជ្ញាធរក្នុងការចូលមើលទិន្នន័យគោលដៅ ដើម្បីស៊ើបអង្កេត ឬទប់ស្កាត់បទល្មើស (ដូចជាការជួញដូរផ្លូវភេទកុមារជាដើម)។	បង្កើនហានិភ័យនៃគ្រោះថ្នាក់ពីការចូលប្រើប្រាស់ដោយខុសច្បាប់ (Unlawful Access) ដោយសារវាបង្កើតចំណុចខ្សោយចំកណ្តាល ដែលឧក្រិដ្ឋជនអាចវាយប្រហារបាន។	អ្នកនិពន្ធចាត់ទុកវិធានការនេះថាមិនសមាមាត្រ និងរំលោភបំពានសិទ្ធិឯកជនភាព និងសិទ្ធិទំនាក់ទំនងដោយសេរី។
Post-Quantum Cryptography (PQC) ការប្រើប្រាស់ក្បួនដោះស្រាយគ្រីបតូក្រោយកង់ទិច	អាចអនុវត្តបានទូលំទូលាយលើប្រព័ន្ធផ្នែកទន់ (Software) បច្ចុប្បន្ន ដើម្បីការពារទិន្នន័យពីការវាយប្រហារដោយកុំព្យូទ័រកង់ទិច។	ត្រូវការពេលវេលាយូរក្នុងការធ្វើតេស្ត ផ្លាស់ប្តូរ និងអាប់ដេតហេដ្ឋារចនាសម្ព័ន្ធឌីជីថលទាំងមូល។	PQC គឺជាដំណោះស្រាយជាក់ស្តែង និងអាចពង្រីកវិសាលភាពបានល្អប្រសើរជាងជម្រើសផ្សេងទៀត សម្រាប់ការការពារសន្តិសុខព័ត៌មាននាពេលអនាគតដ៏ខ្លីខាងមុខ។

ការចំណាយលើធនធាន (Resource Cost)៖ និក្ខេបបទនេះគឺជាការវិភាគផ្នែកគោលនយោបាយ និងច្បាប់ (Legal/Policy Analysis) ដូច្នេះវាមិនមានការសាកល្បងកូដដោយផ្ទាល់ទេ ប៉ុន្តែវាបានគូសបញ្ជាក់ពីធនធានដ៏ធំសម្បើមដែលត្រូវការសម្រាប់បច្ចេកវិទ្យាដែលបានលើកឡើង។

Hardware: កុំព្យូទ័រកង់ទិចតម្រូវឱ្យមានការវិនិយោគរាប់ពាន់លានដុល្លារ និង Qubits រូបវន្តរាប់លាន ដើម្បីអាចបំបែកលេខកូដអ៊ិនគ្រីបសាធារណៈ (ដូចជា RSA-2048) បាន។
Expertise: ទាមទារអ្នកជំនាញដែលមានកម្រិតខ្ពស់ផ្នែកច្បាប់សិទ្ធិមនុស្សអឺរ៉ុប គ្រីបតូក្រាហ្វី (Cryptography) និងអ្នកស្រាវជ្រាវសន្តិសុខព័ត៌មាន (Security Researchers)។
Policy Framework: តម្រូវឱ្យរដ្ឋាភិបាលរៀបចំយន្តការ និងច្បាប់ជាក់លាក់សម្រាប់ Coordinated Vulnerability Disclosure (CVD) ដើម្បីគាំទ្រដល់ការចុះបញ្ជី និងដោះស្រាយបញ្ហាសុវត្ថិភាព។

៣. ការពិនិត្យសម្រាប់បរិបទកម្ពុជា/អាស៊ីអាគ្នេយ៍

ភាពលំអៀងនៃទិន្នន័យ (Data Bias)៖

ការសិក្សានេះពឹងផ្អែកទាំងស្រុងលើឯកសារច្បាប់ និងយុត្តិសាស្រ្តនៃសហភាពអឺរ៉ុប (ECHR, CJEU) និងសហរដ្ឋអាមេរិក ព្រមទាំងប្រវត្តិសាស្ត្រនៃការអភិវឌ្ឍបច្ចេកវិទ្យានៅលោកខាងលិច។ សម្រាប់ប្រទេសកម្ពុជា ដែលមានបរិបទនយោបាយ និងប្រព័ន្ធច្បាប់ខុសគ្នា (ជាពិសេសបញ្ហាការគោរពសិទ្ធិមនុស្ស និងសេរីភាពបញ្ចេញមតិ) ការអនុវត្តទ្រឹស្តីទាំងនេះតម្រូវឱ្យមានការសម្របខ្លួនយ៉ាងប្រុងប្រយ័ត្ន។

លទ្ធភាពនៃការអនុវត្ត (Applicability)៖

ទោះបីជាផ្តោតលើតំបន់អឺរ៉ុបក៏ដោយ គោលការណ៍នៃអភិបាលកិច្ចសន្តិសុខព័ត៌មាននៅក្នុងឯកសារនេះ មានសារៈសំខាន់ខ្លាំងណាស់សម្រាប់ការអភិវឌ្ឍគោលនយោបាយឌីជីថលរបស់ប្រទេសកម្ពុជា។

Ministry of Post and Telecommunications (MPTC): អាចយកគោលការណ៍ Coordinated Vulnerability Disclosure (CVD) ទៅអនុវត្តក្នុងសេចក្តីព្រាងច្បាប់សន្តិសុខសាយប័រ ដើម្បីការពារអ្នកស្រាវជ្រាវក្នុងស្រុក (Ethical Hackers) ពីការចោទប្រកាន់ព្រហ្មទណ្ឌ។
National Bank of Cambodia (NBC) & FinTech: ស្ថាប័នហិរញ្ញវត្ថុគួរចាប់ផ្តើមសិក្សាពី Post-Quantum Cryptography (PQC) ដើម្បីធានាថាប្រព័ន្ធទូទាត់សាច់ប្រាក់ (ដូចជាប្រព័ន្ធបាគង) នៅតែមានសុវត្ថិភាពពីការគំរាមកំហែងនៃកុំព្យូទ័រកង់ទិចនាពេលអនាគត។
Human Rights NGOs & Journalists: ស្ថាប័នអង្គការសង្គមស៊ីវិលនៅកម្ពុជា អាចយកអំណះអំណាងផ្លូវច្បាប់នេះ ដើម្បីការពារសិទ្ធិប្រើប្រាស់ការអ៊ិនគ្រីបពីចុងទៅចុង (E2EE) ក្នុងការរក្សាសុវត្ថិភាពទិន្នន័យ និងប្រភពព័ត៌មានរបស់ខ្លួនពីការលួចស្តាប់ដោយខុសច្បាប់។

ការយល់ដឹងពីតុល្យភាពរវាងប្រតិបត្តិការរបស់អាជ្ញាធររដ្ឋ និងការការពារសិទ្ធិឯកជនភាព គឺជារឿងចាំបាច់សម្រាប់កសាងច្បាប់បច្ចេកវិទ្យាគមនាគមន៍និងព័ត៌មាននៅកម្ពុជា ដែលមិនរារាំងដល់ការច្នៃប្រឌិត។

៤. ផែនការសកម្មភាពសម្រាប់និស្សិត (Actionable Roadmap)

ដើម្បីអនុវត្តតាមការសិក្សានេះ និស្សិតគួរអនុវត្តតាមជំហានខាងក្រោម៖

យល់ដឹងពីមូលដ្ឋានគ្រឹះច្បាប់ និងបច្ចេកវិទ្យា: និស្សិតត្រូវសិក្សាអំពីទំនាក់ទំនងរវាងច្បាប់សិទ្ធិមនុស្សអន្តរជាតិ និងបច្ចេកវិទ្យា ដោយផ្តោតលើគោលការណ៍នៃការអ៊ិនគ្រីប និងសិទ្ធិឯកជនភាពទិន្នន័យ (Data Protection Law)។
សិក្សាពីយន្តការរកឃើញ និងរាយការណ៍ចន្លោះប្រហោង: សិក្សាពីរបៀបដំណើរការ Coordinated Vulnerability Disclosure (CVD) និងវិធីសាស្ត្ររាយការណ៍ពីចំណុចខ្សោយ (Bug Bounty Programs) ដោយប្រើប្រាស់ស្តង់ដារអន្តរជាតិដូចជា ISO/IEC 29147។
វិភាគប្រៀបធៀបជាមួយច្បាប់ក្នុងស្រុក: ធ្វើការស្រាវជ្រាវប្រៀបធៀបច្បាប់សិទ្ធិមនុស្សអឺរ៉ុប ជាមួយសេចក្តីព្រាងច្បាប់បទល្មើសបច្ចេកវិទ្យាព័ត៌មានកម្ពុជា (Draft Cybercrime Law) ដើម្បីរកមើលចំណុចដែលរារាំងដល់ការស្រាវជ្រាវសន្តិសុខសាយប័រដោយសុចរិត។
ត្រៀមខ្លួនសម្រាប់បច្ចេកវិទ្យាអនាគត: ចាប់ផ្តើមស្វែងយល់ពីក្បួនដោះស្រាយ Post-Quantum Cryptography (PQC) ដែលកំពុងត្រូវបានរៀបចំស្តង់ដារដោយ NIST ដើម្បីស្វែងយល់ពីរបៀបធ្វើទំនើបកម្មប្រព័ន្ធបច្ចុប្បន្ន។
អនុវត្តការការពារទិន្នន័យជាក់ស្តែង: សាកល្បងប្រើប្រាស់កម្មវិធីដែលមានប្រព័ន្ធ End-to-End Encryption (E2EE) ដូចជាកម្មវិធី Signal ឬឧបករណ៍ PGP/GPG ដើម្បីស្វែងយល់ពីយន្តការគ្រប់គ្រងសោរឯកជនដោយខ្លួនឯង (Device Self-Determination)។

៥. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស	ការពន្យល់ជាខេមរភាសា (Khmer Explanation)	និយមន័យសាមញ្ញ (Simple Definition)
Zero day vulnerability	គឺជាចំណុចខ្សោយ ឬប្រហោងសុវត្ថិភាពនៅក្នុងកម្មវិធីកុំព្យូទ័រ ដែលក្រុមហ៊ុនអ្នកបង្កើតកម្មវិធីនោះមិនទាន់បានដឹងនៅឡើយ។ ដោយសារតែគេមិនទាន់ដឹង ដូច្នេះវាមិនទាន់មានការបញ្ចេញកូដជួសជុល (Patch) ទេ ដែលធ្វើឱ្យអ្នកវាយប្រហារអាចប្រើប្រាស់វាដើម្បីលួចចូលប្រព័ន្ធបានយ៉ាងងាយស្រួល។	ដូចជាការភ្លេចចាក់សោទ្វារក្រោយផ្ទះដោយមិនដឹងខ្លួន ហើយចោរបានដឹងពីចន្លោះប្រហោងនេះមុនពេលម្ចាស់ផ្ទះដឹងខ្លួនឯង។
Coordinated Vulnerability Disclosure (CVD)	គឺជាដំណើរការសហការគ្នារវាងអ្នកស្រាវជ្រាវសន្តិសុខ (អ្នករកឃើញប្រហោងសុវត្ថិភាព) និងក្រុមហ៊ុនម្ចាស់ប្រព័ន្ធ ដោយអ្នកស្រាវជ្រាវផ្តល់ពេលវេលាឱ្យក្រុមហ៊ុនធ្វើការជួសជុលប្រហោងនោះជាមុនសិន មុននឹងប្រកាសផ្សព្វផ្សាយជាសាធារណៈ ដើម្បីការពារកុំឱ្យឧក្រិដ្ឋជនយកព័ត៌មាននេះទៅវាយប្រហារទាន់ពេល។	ដូចជាការប្រាប់ម្ចាស់ផ្ទះជាសម្ងាត់ថាទ្វារផ្ទះគាត់ខូច ដើម្បីឱ្យគាត់ប្រញាប់ជួសជុល ជាជាងការស្រែកប្រាប់អ្នកភូមិដែលនឹងអញ្ជើញចោរឱ្យមកលួច។
Public key cryptography	គឺជាប្រព័ន្ធអ៊ិនគ្រីបទិន្នន័យ (Asymmetric Encryption) ដែលប្រើប្រាស់សោរពីរផ្សេងគ្នា គឺ "សោរសាធារណៈ" (Public Key) សម្រាប់ចាក់សោរ (Encrypt) សារ និង "សោរឯកជន" (Private Key) ដែលមានតែអ្នកទទួលប៉ុណ្ណោះមានវា ដើម្បីប្រើសម្រាប់បើកសោរ (Decrypt) អានសារនោះ។	ដូចជាប្រអប់សំបុត្រដែលអ្នកណាក៏អាចទម្លាក់សំបុត្រចូលបានតាមរន្ធ (សោរសាធារណៈ) ប៉ុន្តែមានតែម្ចាស់ប្រអប់ទេទើបមានកូនសោរចាក់យកសំបុត្រចេញមកអានបាន (សោរឯកជន)។
Post-quantum cryptography (PQC)	គឺជាក្បួនដោះស្រាយគណិតវិទ្យាថ្មីសម្រាប់ការអ៊ិនគ្រីបទិន្នន័យ ដែលត្រូវបានបង្កើតឡើងយ៉ាងស្មុគស្មាញ ដើម្បីការពារទិន្នន័យមិនឱ្យកុំព្យូទ័រកង់ទិច (Quantum Computers) នៅថ្ងៃអនាគត ដែលមានថាមពលគណនាខ្លាំងមហិមា អាចធ្វើការគណនាបំបែកកូដសម្ងាត់នេះបាន។	ដូចជាការផ្លាស់ប្តូរមេសោរទ្វារដែកថ្មីដែលធន់ជាងមុន ដើម្បីទប់ទល់នឹងចោរដែលទើបតែទិញម៉ាស៊ីនកាត់ដែកឡាស៊ែរដ៏ទំនើបបំផុត។
Client-side scanning (CSS)	គឺជាបច្ចេកវិទ្យាដែលអនុញ្ញាតឱ្យអាជ្ញាធររដ្ឋ ឬក្រុមហ៊ុន ធ្វើការស្កេនពិនិត្យមើលរូបភាព ឬសារនៅលើឧបករណ៍របស់អ្នកប្រើប្រាស់ផ្ទាល់ (ដូចជាទូរស័ព្ទដៃ) មុនពេលទិន្នន័យទាំងនោះត្រូវបានអ៊ិនគ្រីប និងបញ្ជូនចេញទៅកាន់អ្នកផ្សេង ដើម្បីស្វែងរកមាតិកាខុសច្បាប់។	ដូចជាមានបុគ្គលិកប្រៃសណីយ៍ម្នាក់ឈរចាំពិនិត្យមើលសំបុត្ររបស់អ្នកនៅក្នុងផ្ទះរបស់អ្នកផ្ទាល់ មុនពេលអ្នកបិទស្រោមសំបុត្រផ្ញើចេញ។
Device self-determination	គឺជាសិទ្ធិអំណាចរបស់អ្នកប្រើប្រាស់ ឬម្ចាស់ឧបករណ៍ (ដូចជាទូរស័ព្ទ ឬកុំព្យូទ័រ) ក្នុងការគ្រប់គ្រង កែប្រែ ឬដំឡើងកម្មវិធីផ្សេងៗដោយខ្លួនឯង ដោយមិនមានការរឹតត្បិតពីក្រុមហ៊ុនផលិត (ឧទាហរណ៍៖ ការ Jailbreaking ដើម្បីដំឡើងកម្មវិធីក្រៅ Store ផ្លូវការ)។	ដូចជាពេលយើងទិញឡានមួយគ្រឿង យើងគួរតែមានសិទ្ធិយកវាទៅផ្លាស់ប្តូរពណ៌ ឬបំពាក់គ្រឿងបន្ថែមតាមចិត្តចង់ ដោយមិនចាំបាច់សុំការអនុញ្ញាតពីរោងចក្រ។
Attack surface	គឺជាបណ្តុំនៃចំណុចខ្សោយ ឬច្រកចូលផ្សេងៗទាំងអស់ដែលមាននៅលើប្រព័ន្ធកុំព្យូទ័រ កម្មវិធី ឬបណ្តាញ ដែលអ្នកវាយប្រហារ (Hackers) អាចព្យាយាមប្រើប្រាស់ដើម្បីលួចចូលទៅក្នុងប្រព័ន្ធនោះបាន។	ដូចជាបង្ួច ទ្វារ និងរន្ធខ្យល់ទាំងអស់នៃផ្ទះមួយ ដែលចោរអាចរកវិធីគាស់ចូលបាន ដែលបើផ្ទះមានច្រកចេញចូលកាន់តែច្រើន ហានិភ័យក៏កាន់តែខ្ពស់។
Vulnerabilities Equities Process (VEP)	គឺជាដំណើរការគោលនយោបាយរបស់រដ្ឋាភិបាលក្នុងការសម្រេចចិត្តថា តើត្រូវលាក់បាំងចំណុចខ្សោយកុំព្យូទ័រដែលខ្លួនរកឃើញដើម្បីទុកប្រើប្រាស់វាយប្រហារសត្រូវ (Offensive use) ឬត្រូវប្រកាសប្រាប់ក្រុមហ៊ុនឱ្យជួសជុលដើម្បីការពារសុវត្ថិភាពសាធារណៈ។	ដូចជាប៉ូលីសរើសបានសោរមេដែលអាចចាក់សោរផ្ទះគ្រប់គ្នាបាន ហើយត្រូវថ្លឹងថ្លែងថា តើគួរទុកសោរនោះប្រើដើម្បីចូលចាប់ចោរស្ងាត់ៗ ឬគួរប្រាប់អ្នកភូមិឱ្យដូរមេសោរចេញដើម្បីកុំឱ្យចោរផ្សេងលួចចូលបាន។

៦. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖