BioLawCom.De

เมื่อหลายวันก่อน มีคนเข้ามาถามเรื่อง การฟ้องร้องเรียกค่าเสียหายจากผู้ผลิตซอพท์แวร์ ในฟอรั่มของ blognone ซึ่งเป็นกรณีที่น่าสนใจมาก เพราะผู้โพสต์เป็นเจ้าของธุรกิจ ที่ต้องใช้ซอพท์แวร์ในการบริหารงาน จึงได้ซื้อซอพท์แวร์ราคาแปดแสนบาทมาใช้ ปรากฏว่าใช้ไปใช้มา มีปัญหาหลาย ๆ อย่าง ทั้งเรื่องความปลอดภัย และการทำงานของโปรแกรม การซัพพอร์ทจากทางบริษัท ก็ไม่ได้ช่วยอะไรให้ดีขึ้นเท่าใดนัก (ผมเดาว่าที่แก้ยาก เพราะซอพท์แวร์มีปัญหาตั้งแต่ระดับโครงสร้าง) ผู้โพสต์เลยต้องการถามว่าจะฟ้องร้องได้หรือไม่ ที่น่าสนใจก็เพราะว่า เป็นเรื่องที่ใหม่ และผมเข้าใจว่า ไม่มีใครเคยฟ้องกันบนชั้นศาลมาก่อน จึงยังไม่มีเกณฑ์ในการพิจรณาคดีที่ชัดเจน

เนื่องจากผมมีนักกฏหมายใกล้ ๆ ตัว (คุณเช ฯ) เลยหันหน้าไปถาม คำตอบที่ได้คือ ฟ้องได้ หากพิสูจน์ได้ว่าซอพท์แวร์ชำรุดเสียหายจริง ด้วยกฏหมายที่ว่าด้วยเรื่องสินค้าชำรุดบกพร่อง ในกฏหมายแพ่งและพานิชย์ ซึ่งตรงนี้คนไอทีหลาย ๆ คนยังเข้าใจผิดอยู่ ว่าหากไม่มีในข้อตกลงซื้อขาย ซึ่งกำหนดคุณสมบัติต่าง ๆ ของซอพท์แวร์เอาไว้ (requirement) ก็ไม่สามารถฟ้องได้ คุณเช ฯ และ ผมเห็นตรงกันว่า ไม่น่าจะเกี่ยว เพราะต้องแยกกันระหว่าง "คุณสมบัติของสินค้า" กับ "คุณภาพของสินค้า" ซึ่ง requirement ควรอยู่ในหมวดของคุณสมบัติของสินค้า หากผู้ผลิตทำผิดตรงนี้ ก็ต้องฟ้องกันในเรื่องของผิดสัญญาซื้อขาย ส่วนเรื่องสินค้าบกพร่อง ควรต้องอยู่ในหมวดของคุณภาพสินค้า ซึ่งต้องมาพิจรณากันอีกที ว่าเมื่อไรถึงจะเข้าข่าย

การพิจรณาว่าเข้าข่ายเรื่องสินค้าบกพร่องนี่แหละ เป็นอะไรที่ค่อนข้างยาก ตามคำเล่าอ้างของคุณเช ฯ เราสามารถใช้หลักในการพิจรณาได้สองหลักคือ ...

กฏหมาย

bow_der_kleine

1. หลักวิญญูชน หรือหลักสามัญสำนึก กับ
2. การใช้ความคิดเห็นของผู้เชี่ยวชาญ

แต่ไม่บางกรณีไม่เป็นเช่นนั้น เพราะต้องใช้ความรู้ ความชำนาญบางอย่างของผู้เชี่ยวชาญ ถึงจะบอกได้ว่าสินค้าตัวนั้นบกพร่องหรือไม่ เช่น ซื้อ Standard Single Mode Fiber มาแล้ว ปรากฏว่า Dispersion Factor เป็น 32ps/nm/km แทนที่จะเป็น 17ps/nm/km เป็นต้น

ในตอนแรกที่ผมได้อ่านกระทู้ ผมก็ฟันธงเลยว่า ใช้หลักวิญญูชนได้ เพราะผมคิดว่า ปกติแล้วเวลาซื้อซอพท์แวร์มาใช้งาน คนทั่วไปที่มีความคิดปกติ ก็ต้องคิดว่าซอพท์แวร์ตัวนั้นต้องทำงานถูกต้อง และมีระบบรักษาความปลอดภัย ในระดับที่ยอมรับได้ แต่ปรากฏว่า เถียงกันไปเถียงกันมา หาเป็นเช่นนั้นไม่ เพราะสามัญสำนึกของหลายคน กลับบอกว่า เฮ้ย ! ความปลอดภัยไม่เห็นจะจำเป็นเลย หรือโครงสร้างของโปรแกรมเพี้ยน ๆ ไปบ้างก็ไม่เป็นไรหรอก ให้โปรแกรมมันทำงานได้ก็พอแล้ว ผมเลยต้องมานั่งคิดใหม่ ว่ากรณีนี้ อาจต้องใช้ความคิดเห็นของผู้เชี่ยวชาญ ผมก็เลยต้องปลอมตัวเป็นผู้เชี่ยวชาญ แล้วไปหาข้อมูลเพิ่มเติม

ข้อมูลแรกที่ผมหาได้คือ Software Quality จาก Wikipedia และเปเปอร์หนึ่งจาก IEEE : Software quality from a behavioral perspective และ เปเปอร์อื่น ๆ อีกมากมาย ประเด็นที่เข้าข่ายในกรณีนี้คือ security (ความปลอดภัย) และ reliability (ความน่าเชื่อถือ หรือ ความถูกต้องในการทำงานของซอพท์แวร์)

เรื่องที่พิจรณาง่ายกว่า คือ เรื่องของความปลอดภัย ตามที่ผมเรียนมาในวิชา cryptography อาจารย์ได้ฟันธงไว้เลยว่า ไม่มีระบบใดในโลกนี้ที่ปลอดภัย และไม่สามารถเจาะได้ หากมีเวลา และทรัพยากรมากพอ ดังนั้น การตัดสินว่าระบบใดปลอดภัยหรือไม่ จึงต้องมาดูว่า คนที่ต้องการเจาะเข้าไปในระบบ ต้องใช้เวลา และทรัพยากรมากน้องเพียงใด ยิ่งต้องใช้เวลาหรือทรัพยากรมากเท่าไร แสดงว่าระบบยิ่งปลอดภัย แต่ในกรณีนี้ ฐานข้อมูลไม่มีพาสต์เวิร์ท ... จบข่าว ความปลอดภัยเป็นศูนย์ เพราะไม่ต้องทำอะไรเลย ใครอยากเข้าไปทำอะไรในระบบ เชิญตามสบาย

ในเรื่องของความถูกต้องในการทำงานของซอพท์แวร์นี่ยากหน่อย เพราะ ซอพท์แวร์ทุกตัวทำงานผิดพลาดอยู่แล้ว โดยมาก หากเป็นการซื้อขายซอพท์แวร์กันในราคาที่สูงมาก ๆ ก็จะมีข้อตกลงกัน ว่าซอพท์แวร์ควรทำงานถูกต้องในอัตราส่วนเท่าใด เช่น ส่งข้อมูลไปล้านครั้งในหนึ่งวัน ถึงจะมีสักครั้ง ที่ซอพท์แวร์ทำงานพลาด แต่ในกรณีนี้ ผมเข้าใจว่าไม่ได้มีการตกลงกันอย่างชัดเจน ก็ต้องมาพิจณาว่า ซอพท์แวร์ราคาเท่านี้ สเกลงานเท่านั้น อัตราความถูกต้องในการทำงานของซอพท์แวร์ควรจะเป็นเท่าไร แต่จากที่อ่าน ซอพท์แวร์ตัวดังกล่าว ใช้การแชร์ไฟล์ฐานข้อมูลระหว่างเครื่อง ด้วยวิธีนี้ ผมเดาเอาว่า หากส่งข้อมูลไปยังฐานข้อมูลหลาย ๆ ชุดพร้อม ๆ กัน ก็น่าจะมีการทำงานที่ผิดพลาดแล้ว

ประเด็นที่ผมคิดว่า น่าสนใจไม่แพ้ประเด็นทางกฏหมายคือ ความคิดเห็นของคนที่เข้ามาตอบกระทู้ เพราะมีความคิดเห็นหนึ่งเขียนไว้ว่า

ผมว่า security หรือ technique ภายในต่างๆ ดูแล้วไม่เห็นจะเกี่ยวกับที่ซื้อขายกันในที่นี้เลยนะครับ ถ้าในสภาวะปกติ ไม่มีใครทำอะไรแผลงๆ มันทำงานได้ตามที่ตกลง มันก็จบ ไม่เช่นนั้นก็น่าจะต้องตกลงกันแต่แรก (อ้างอิง )