ReadyPlanet.com
dot dot
dot
dot
bulletคณะกรรมการบริหาร
bulletหน้าที่ของ กบร.
bulletนโยบายชมรม
bulletขอบเขตรับผิดชอบอนุกรรมการ
bulletข้อบังคับชมรมฯ
bulletธนาคาร&สถาบันการเงินสมาชิก
bulletแผนการดำเนินงาน
dot
dot
bulletข้อมูล ธปท.สำหรับสถาบันการเงิน
bullet Web App. Security (OWASP Top 10)
bullet Checklist สำหรับบริหารจัดการ Cisco Router
bulletRouter Audit Tool (RAT)
bulletweb application testing
dot
dot
bulletกระทรวงการคลัง
bulletธนาคารแห่งประเทศไทย
bulletสมาคมผู้ตรวจสอบภายในฯ
bulletสมาคมธนาคารไทย
bulletISACA Bangkok
bulletสำนักงานคณะกรรมการ กลต.
bulletInformation Technology Governance (โดย อ.เมธา )
bulletThaiCERT
bulletAudit Net




พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
ความเคลื่อนไหวล่าสุดร่างพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และ พระราชกฤษฎีกาที่เกี่ยวข้องกับพระราชบัญญัติธุรกรรมทางอิเล็กทรอนิกส์ (Thailand ICT Law Latest Update )
by
A.Pinya Hom-anek,
GCFW, CISSP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:
        สืบเนื่องจากกฏหมาย พรบ.ธุรกรรมทางอิเล็กโทรนิคส์ที่ได้ประกาศบังคับใช้ตั้งแต่ปี พ.ศ. 2544 ในปัจจุบันเวลาผ่านมา 6 ปี ทางภาครัฐได้มีความพยายามในการผลักดันในการใช้กฏหมาย พรบ. ธุรกรรมฯ โดยได้พยายามออกกฏหมายลูก หรือ พระราชกฤษฎีกาออกมาในหลายมาตรา ซึ่งในวันที่ 10 มกราคม พ.ศ. 2550 ที่ผ่านมา ทางรัฐบาลได้ประกาศใช้ พระราชกฤษฎีกา "กำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ.2549" อาศัยอำนาจตามความในมาตรา ๑๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย (ฉบับชั่วคราว) พ.ศ. 2549 และมาตรา ๓๕ วรรคหนึ่ง แห่งพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 ซึ่งมีผลกระทบกับภาครัฐโดยตรง โดยหน่วยงานของรัฐต้องจัดทำแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อให้การดำเนินการใด ๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัยและเชื่อถือได้ หน่วยงานภาครัฐมีความจำเป็นต้องทำตามหลักธรรมาภิบาลในการใช้งานระบบสารสนเทศ หรือ "IT Governance" ตลอดจนปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยระดับโลกในบางส่วน ซึ่งได้แก่มาตรฐาน ISO / IEC 27001 (Information Security Management System) ซึ่งแนวนโยบายและแนวปฏิบัติบางส่วนของ มาตรฐาน ISO / IEC 27001 ตามพระราชกฤษฎีกา กฤษฎีกา "กำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ.2549" ในมาตรา 5 แบ่งออกเป็น 3 หัวข้อ ดังนี้

  1. การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ (Access Control)
  2. การจัดให้มีระบบสารสนเทศและระบบสำรองของสารสนเทศซึ่งอย่ในสภาพพร้อมใช้งาน และจัดทำแผนเตรียมพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทางอิเล็กโทรนิคส์ (Business Continuity Planning & Disaster Recovery Planning)
  3. การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ (IT Risk Assessment)
        โดยหน่วยงานรัฐต้องปฏิบัติตามแนวนโยบายและแนวปฏิบัติที่ได้แสดงไว้ และให้จัดให้มีการตรวจสอบการปฏิบัติตามแนวนโยบายและแนวปฏิบัติที่กำหนดไว้อย่างสม่ำเสมอ ซึ่งเหตุผลในการประกาศใช้พระราชกฤษฏีกา ฉบับนี้ คือ เนื่องจากประเทศไทยได้เริ่มเข้าสู่ยุคสังคมสารสนเทศ ซึ่งมีการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐมากขึ้น สมควรสนับสนุนให้หน่วยงานของรัฐมีระบบการบริการของตนโดยการประยุกต์ใช้เทคโนโลยีสารสนเทศเพื่อให้สามารถบริการประชาชนได้อย่างทั่วถึง สะดวก และรวดเร็ว อันเป็นการเพิ่มประสิทธิภาพและประสิทธิผลของหน่วยงานของรัฐ พร้อมกับให้หน่วยงานของรัฐสามารถพัฒนาการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐภายใต้มาตรฐานและเป็นไปในทิศทางเดียวกัน และสร้างความเชื่อมั่นของประชาชนต่อการดำเนินกิจกรรมของรัฐด้วยวิธีการทางอิเล็กทรอนิกส์ ประกอบกับมาตรา 35 วรรคหนึ่งแห่งพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 บัญญัติว่า คำขอ การอนุญาต การจดทะเบียน คำสั่งทางปกครอง การชำระเงิน การประกาศหรือการดำเนินการใด ๆ ตามกฎหมายกับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทำในรูปของข้อมูลอิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กำหนดโดยพระราชกฤษฎีกาแล้วให้ถือว่ามีผลโดยชอบด้วยกฎหมายเช่นเดียวกับการดำเนินการตามหลักเกณฑ์และวิธีการที่กฎหมายในเรื่องนั้นกำหนดจึงจำเป็นต้องตราพระราชกฤษฎีกานี้

        สำหรับกฏหมายลูกที่ยังไม่ประกาศใช้แต่เราควรให้ความสนใจก็คือ ร่างพระราชกฤษฎีกาว่าด้วยการกำกับดูแลธุรกิจบริการ การให้บริการออกใบรับรองอิเล็กทรอนิกส์ในมาตรา 32 ซึ่งกำลังจะถูกพิจารณาและประกาศใช้ในเวลาอันใกล้นี้ เกี่ยวกับธุรกรรมทางอิเล็กโทรนิคส์ รวมถึงการกำกับดูแลธุรกิจบริการให้บริการออกใบรับรองอิเล็กโทรนิคส์ หรือ CA (Certificate Authority) โดยรูปแบบของการกำกับดูแล CA แบ่งออกเป็น 3 ประเภท ได้แก่
  1. แบบแจ้งเพื่อทราบ (บัญชี ก) คือ การพัฒนาและประยุกต์ใช้เฉพาะภายในองค์กร
  2. แบบขึ้นทะเบียน (บัญชี ข) คือ การพัฒนาและประยุกต์ใช้เฉพาะกลุ่มปิด คือการพัฒนาและประยุกต์ใช้เฉพาะกลุ่มปิด เช่น ธปท. กลต. ปปง.
  3. แบบรับใบอนุญาต (บัญชี ค) การพัฒนาและการประยุกต์ใช้ในกลุ่มปิด ใช้บริการสาธารณะอย่างแพร่หลายและไม่จำกัดจำนวน เช่น CAT, TOT, สบทร.
        กฏหมายลูกที่น่าสนใจอีกมาตราคือ ร่างพระราชกฤษฎีกากำหนดวิธีการแบบ (มั่นคง) ปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ สืบเนื่องจากพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 หมวด 1 มาตรา 25 ซึ่งเป็นการนำประกาศมาตรฐานการรักษาในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ที่คณะอนุกรรมการด้านความมั่นคง ภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้ประกาศในปี พ.ศ. 2547 (version I) โดยอ้างจากมาตรฐาน ISO / IEC 17799 และ ปี พ.ศ. 2549 (version II) โดยอ้างจากมาตรฐาน ISO / IEC 27001 นำมาเป็นแนวทางในการปฏิบัติ ซึ่งจะเน้นไปที่องค์กรที่มีความเกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) ของประเทศ ได้แก่ การไฟฟ้า, การประปา, บ.ปตท จำกัด มหาชน ซึ่งส่วนใหญ่ใช้ระบบ SCADA (Supervisory Control And Data Acquisition) ในการควบคุมอุปกรณ์ที่มีผลต่อโครงสร้างพื้นฐานสำคัญดังกล่าว

สาระสำคัญของร่างพระราชกฤษฎีกากำหนดวิธีการแบบ (มั่นคง) ปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ในมาตรา 8 จะกล่าวถึงสาระสำคัญของนโยบายด้านความมั่นคงปลอดภัย ซึ่งการดำเนินวิธีการแบบปลอดภัยต้องอยู่บนหลักการพื้นฐานที่สำคัญของการทำธุรกรรมอิเล็กทรอนิกส์ทุกชนิด มี 13 หัวข้อ ได้แก่

  1. การจัดทำนโยบายหรือมาตรฐานด้านความมั่นคงปลอดภัย (Security policy)
  2. การจัดโครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร ทั้งในส่วนที่เป็นการบริการจัดการด้านความมั่นคงปลอดภัยภายในองค์กร และภายนอกองค์กร (Organization of Information Security)
  3. การบริหารจัดการทรัพย์สินขององค์กร (Asset Management)
  4. การสร้างความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security)
  5. การสร้างความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical security)
  6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบสารสนเทศและระบบคอมพิวเตอร์ขององค์กร (Information system security)
  7. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and Operations Management)
  8. การควบคุมการเข้าถึง (Access Control)
  9. การจัดหา การพัฒนา และการบำรุงรักษาระบบสารสนเทศ
  10. การบริหารจัดการเหตุการณ์ที่มีความเสี่ยงหรือก่อให้เกิดผลกระทบต่อความมั่นคงปลอดภัยขององค์กร (Information Security Incident Management)
  11. การบริหารจัดการให้มีความต่อเนื่องในการดำเนินงานขององค์กร (ฺBusiness Continuity Management)
  12. การปฏิบัติตามข้อกำหนดด้านความมั่นคงปลอดภัย (Compliance)
  13. การกำหนดเกี่ยวกับมาตรฐานของเทคโนโลยีที่เหมาะสม
ในส่วนของ พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ที่หลายคนกำลังรอคอยนั้น คาดว่าจะผ่านการพิจารณาจากคณะรัฐมนตรี และ ประกาศใช้ภายในปี พ.ศ. 2550 นี้ จากการประชุมสภานิติบัญญัติแห่งชาติ ดังที่ 6/2549 วันพุธที่ 15 พ.ย. 49 ที่ประชุมได้มีมติรับหลักการแห่งร่างพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. และได้แต่งตั้งคณะกรรมการธิการวิสามัญขึ้นมาพิจารณาร่างพรบ. ดังกล่าว ความคืบหน้าในการร่างพระราชบัญญัติซึ่งมีทั้งสิ้น 28 มาตรา โดยในสาระที่คณะกรรมาธิการให้ความสำคัญเป็นพิเศษทั้งหมด 3 ข้อ ได้แก่
  1. การทำความเข้าใจเกี่ยวกับประเด็นทางเทคนิคทั้งในลักษณะของการกระทำความผิดและลักษณะของการสืบสวนสอบสวนของพนักงานเจ้าหน้าที่
  2. การสร้างความสมดุลระหว่างการคุ้มครองสังคมและคุ้มครองสิทธิความเป็นส่วนตัวของประชาชน
  3. การควบคุมการใช้อำนาจของพนักงานเจ้าหน้าที่ให้อยู่ในระดับที่เหมาะสม ทั้งนี้ เพื่อให้กฎหมายนั้นสามารถใช้บังคับได้อย่างมีประสิทธิภาพ โดยไม่ก่อให้เกิดภาระกับผู้ให้บริการ/ผู้ประกอบการมากเกินไป โดยมีจุดยืนสำคัญในการให้ความคุ้มครองความเป็นส่วนตัวของประชาชน
โดยสาระสำคัญของร่างพระราชบัญญัติที่มีการปรับแก้ ได้แก่

        1) ฐานความผิด

ในการพิจารณาร่างพระราชบัญญัติฯ ในส่วนของฐานความผิดนั้น ได้มีการปรับแก้ถ้อยคำให้มีความชัดเจนขึ้นโดยยังคงหลักการเดิมไว้ทั้งหมด อันครอบคลุมถึงการกระทำความผิดที่สำหรับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ในลักษณะต่างๆ ที่กระทบต่อความลับ (confidentiality), ความครบถ้วน (integrity), และสภาพพร้อมใช้งาน (availability) ของระบบคอมพิวเตอร์และข้อมูลคอมพิวเตอร์ เช่น การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ (มาตรา 5), การล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ (มาตรา 6), การเข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ (มาตรา 7), การดักรับข้อมูลคอมพิวเตอร์ (มาตรา 8), การรบกวนระบบคอมพิวเตอร์หรือข้อมูลคอมพิวเตอร์ (มาตรา 9 และมาตรา 10), การรบกวนระบบคอมพิวเตอร์และข้อมูลคอมพิวเตอร์ที่กระทบต่อความมั่นคงของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจ และการบริการสาธารณะ (มาตรา 11), การเผยแพร่ชุดคำสั่งชั่วร้ายที่ใช้ในการกระทำความผิดตามมาตราก่อนหน้านี้ (มาตรา 12), การเผยแพร่เนื้อหาอันไม่เหมาะสมหรือเป็นเท็จ เช่น ปลอมแปลงข้อมูลคอมพิวเตอร์หรือทำข้อมูลคอมพิวเตอร์อันเป็นเท็จ หรือก่อให้เกิดความเสียหายหรือก่อให้เกิดความตื่นตระหนกกับประชาชน หรือเนื้อความที่กระทบต่อสถาบันหรือการก่อการร้าย รวมทั้งข้อมูลคอมพิวเตอร์อันลามกทั้งหลาย และการ forward หรือส่งต่อข้อมูลคอมพิวเตอร์ข้างต้น รวมทั้งกำหนดให้บุคคลซึ่งทำผิดด้วยการเผยแพร่ข้อมูลคอมพิวเตอร์ลามกอันเป็นข้อมูลหรือภาพของบุคคลซึ่งมีอายุไม่เกิน 18 ปี นั้น ต้องรับโทษหนักขึ้น (มาตรา 13), รวมทั้งกำหนดโทษของผู้ให้บริการที่สนับสนุนหรือยินยอมให้มีการกระทำความผิดตามมาตรา 13 ต้องรับโทษด้วย หากมิได้ระงับการเผยแพร่ข้อมูลคอมพิวเตอร์นั้น (มาตรา 14), นอกจากนั้น ก็ยังได้กำหนดฐานความผิดในเรื่องการตัดต่อภาพของบุคคลอื่น อันอาจก่อให้เกิดความอับอายหรือเสียหาย ซึ่งอาจมีปัญหาว่าการตีความของความผิดในเรื่องหมิ่นประมาทตามกฎหมายอาญานั้นไปไม่ถึง (มาตรา 15)

        2) อำนาจของพนักงานเจ้าหน้าที่

เดิมร่างพระราชบัญญัติฯ ยกร่างขึ้นโดยให้อำนาจหน้าที่ทั่วไปแก่พนักงานเจ้าหน้าที่ไว้อย่างเต็มที่ เพื่อเอื้อประโยชน์ต่อการสืบสวนสอบสวนของพนักงานเจ้าหน้าที่ เช่น อำนาจในการค้นหรือเข้ายึด หรือตรวจสอบระบบคอมพิวเตอร์ที่ต้องสงสัยว่าได้มีการใช้ในการกระทำความผิด, การถอดรหัสลับของข้อมูลคอมพิวเตอร์, หรือการเรียกข้อมูลจราจรทางคอมพิวเตอร์ เป็นต้น อย่างไรก็ตาม โดยที่มีการให้อำนาจแก่พนักงานเจ้าหน้าที่ไว้อย่างกว้างขวาง และเพื่อไม่ให้การใช้อำนาจนั้นเกิดผลกระทบกับผู้ให้บริการหรือกระทบกับสิทธิของประชาชนมากเกินไป ในร่างพระราชบัญญัติฯ จึงได้มีการกำหนดเงื่อนไขการใช้อำนาจไว้อย่างเข้มงวด เช่น ให้ใช้พยานหลักฐานที่รวบรวมได้เพียงเฉพาะในคดีเกี่ยวกับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์เท่านั้น หรือห้ามไม่ให้พนักงานเจ้าหน้าที่ส่งมอบพยานหลักฐานที่ได้มา ให้กับพนักงานเจ้าหน้าที่ซึ่งมีอำนาจหน้าที่ตามกฎหมายฉบับอื่น เพื่อให้นำพยานหลักฐานดังกล่าวไปใช้ในการดำเนินคดีอื่นที่เกี่ยวข้องอันอาจกระทบกับสิทธิของประชาชนได้โดยง่ายหากพนักงานเจ้าหน้าที่ใช้อำนาจหน้าที่ในทางมิชอบ หรือแม้กระทั่งการกำหนดให้พนักงานเจ้าหน้าที่ตามร่างพระราชบัญญัติฯ ต้องรับผิดแม้กระทั่งกระทำให้พยานหลักฐานรั่วไหลโดยประมาท และกำหนดให้พยานหลักฐานที่รั่วไหลจากการกระทำโดยประมาทนั้น ไม่สามารถอ้างเป็นพยานหลักฐานในชั้นศาลได้ เป็นต้น

นอกจากนั้น ยังได้กำหนดให้มีการตรวจสอบการใช้อำนาจของพนักงานเจ้าหน้าที่โดยศาลนั้น มีความชัดเจนมากขึ้น เช่น การกำหนดให้พนักงานเจ้าหน้าที่ระบุเหตุอันควรเชื่อว่า ทำไมจึงต้องใช้อำนาจตามร่างพระราชบัญญัติ, ลักษณะการกระทำความผิด, รายละเอียดของอุปกรณ์ที่ใช้ในการกระทำความผิดเท่าที่จะทำได้

        3) ความยืดหยุ่นและการเตรียมความพร้อมในการบังคับใช้กฎหมาย

โดยที่ในร่างพระราชบัญญัตินั้น ได้กำหนดเกี่ยวกับบุคคลซึ่งเกี่ยวข้องในหลายส่วน เช่น ผู้ให้บริการซึ่งอาจหมายถึง ผู้ประกอบกิจการทางด้านโทรคมนาคม, ผู้ให้บริการอินเทอร์เน็ต, ผู้ให้บริการอื่นๆ เช่น Web Hosting หรือหน่วยงานต่างๆ ที่ต้องกำหนดให้เจ้าหน้าที่หรือพนักงานผู้ดูแลระบบของตน เป็นต้น ทำหน้าที่ในการเก็บข้อมูลจราจรทางคอมพิวเตอร์ (traffic data) ซึ่งเป็นข้อมูลสำคัญที่ใช้ในการสืบสวนหรือสอบสวนเป็นระยะเวลา 90 วัน แต่ไม่เกิน 1 ปี จากเดิมที่กำหนดให้เก็บ traffic data ไว้เพียง 30 วัน ไม่เกิน 90 วัน เท่านั้น อันเป็นระยะที่เหมาะสมและสอดคล้องกับความจำเป็นในการนำไปใช้เพื่อประโยชน์ในการสืบสวนและสอบสวนทางปฏิบัติมากกว่า แต่เพื่อไม่ให้เป็นภาระกับผู้ให้บริการมากเกินสมควร ในกฎหมายจึงได้กำหนดให้รัฐมนตรีไอซีทีจัดทำประกาศว่า ใครบ้าง คือ "ผู้ให้บริการ" อันจะก่อให้เกิดภาระกับบุคคลหรือหน่วยงานดังกล่าวเมื่อมีการประกาศหลังกฎหมายบังคับใช้ต่อไป โดยในเบื้องต้นการกำหนดว่า ใครบ้าง คือ ผู้ให้บริการนั้น ในเบื้องต้นไม่น่าจะหมายถึงผู้ให้บริการทุกประเภท แต่น่าจะกำหนดให้หมายถึงแต่เพียงผู้ให้บริการกลุ่มใหญ่ๆ เท่านั้น เช่น ผู้ประกอบกิจการทางด้านโทรคมนาคม หรือผู้ให้บริการอินเทอร์เน็ต เป็นต้น

นอกจากนั้น เพื่อให้รับกับประกาศเกี่ยวกับ "ผู้ให้บริการ" ในร่างกฎหมายจึงได้กำหนดให้รัฐมนตรีไอซีทีจ้ดทำประกาศเกี่ยวกับ "traffic data" ว่า หมายถึงอะไรบ้าง เพื่อผู้ให้บริการจะได้ไม่ต้องเก็บ traffic data ที่ไม่จำเป็นอันเป็นภาระโดยใช่เหตุแต่อย่างใด

อย่างไรก็ตาม ในการปฏิบัติหน้าที่ของ "พนักงานเจ้าหน้าที่" ซึ่งมีอำนาจหน้าที่ตามร่างพระราชบัญญัติฯ นั้น จำเป็นต้องมีความรู้ความเข้าใจในลักษณะการกระทำความผิดเกี่ยวกับคอมพิวเตอร์หรืออาชญากรรมทางคอมพิวเตอร์เป็นอย่างดี ในร่างกฎหมายจึงได้กำหนดให้ "พนักงานเจ้าหน้าที่" ต้องมีคุณสมบัติซึ่งต้องผ่านการอบรมหลักสูตรที่กำหนดขึ้นเป็นพิเศษเพื่อให้สามารถทำหน้าที่ตามกฎหมายฉบับนี้ได้อย่างแท้จริงต่อไป

ทั้งนี้ เพื่อให้กฎหมายพร้อมในการบังคับใช้งานและเพื่อให้ประชาชนหรือสมาชิกสนช.หรือทุกส่วนงานที่เกี่ยวข้องได้ทราบ, ได้มีส่วนร่วมในการให้ข้อคิดเห็น, เข้าใจ และเตรียมความพร้อมในการบังคับใช้กฎหมายล่วงหน้า คณะกรรมาธิการวิสามัญฯ จึงได้วางแผนการจ้ดทำร่างประกาศข้างต้นให้แล้วเสร็จไปพร้อมๆ กันกับการพิจารณาร่างพระราชบัญญัติฯ เพื่อให้ร่างพระราชบัญญัติฯ นั้น สามารถบังคับใช้ได้อย่างสมบูรณ์ในทันทีที่ประกาศใช้

        4) การรับฟังความคิดเห็น

อนึ่ง ในระหว่างที่มีการพิจารณาร่างพระราชบัญญัติฯ นั้น คณะกรรมาธิการวิสามัญฯ ได้จัดให้มีการรับฟังความเห็นเกี่ยวกับร่างพระราชบัญญัติฯ จากทุกส่วนงานที่เกี่ยวข้องทั้งในภาครัฐและภาคเอกชน จำนวนหลายครั้ง และได้มีการนำข้อคิดเห็นที่ได้รับฟังเหล่านั้น รวมทั้งคำแปรญัตติของสมาชิกสนช.ในชั้นรับหลักการของร่างพระราชบัญญัติฯ ไปใช้ในการพิจารณาปรับปรุงร่างพระราชบัญญัติฯ เพื่อให้ร่างพระราชบัญญัติฯ นั้น มีความสมบูรณ์เพียงพอที่จะคุ้มครองสังคมและรักษาสิทธิความเป็นส่วนตัวอันเป็นสิทธิขั้นพื้นฐานของประชาชนให้สมดุล ควบคู่พร้อมกันไปด้วย

ประเด็นหลักของร่าง พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ คือ มาตรา 24 ที่ให้ผู้บริการเก็บข้อมูลจราจรไว้ไม่ต่ำกว่า 90 วัน แต่ไม่เกินหนึ่งปี ทำให้เกิดต้องมีการแยกประเภทผู้ให้บริการออกเป็นประเภทต่างๆ จากการประชุมล่าสุด สรุปว่าได้กำหนดผู้ให้บริการเป็น 4 ประเภท ใหญ่ ๆ ได้แก่

  1. ผู้ประกอบกิจการโทรคมนาคม ตาม พรบ. โทรคมนาคม พ.ศ. 2544 เช่น AIS, DTAC, True, TOT
  2. ผู้ให้บริการการเข้าถึงเครือข่ายคอมพิวเตอร์ เช่น Internet Service Provider (ISP) , Internet Cafe
  3. ผู้ให้บริการเช่าระบบคอมพิวเตอร์ เช่น Web Hostingหรือ ผู้ให้บริการรับฝากข้อมูล เช่น Data Center
  4. ผู้ให้บริการ Content หรือ Content Provider เช่น Web Sanook, Kapook, Pantip รวมถึง ผู้ให้บริการ Internet Banking ด้วย
ซึ่งผู้ให้บริการในแต่ละประเภทมีความจำเป็นต้องเก็บข้อมูลจราจรของตนเองในลักษณะการจัดเก็บที่แตกต่างกันออกไป ในส่วนของประเด็นของพนักงานเจ้าหน้าที่ก็เป็นประเด็นสำคัญที่มีการพูดถึงกันอย่างมากเพราะหากพนักงานเจ้าหน้าที่ไม่มีความรู้ความสามารถโดยเฉพาะเรื่อง (Computer Forensic) เพียงพอก็จะก่อให้เกิดปัญหาการพิสูจน์หลักฐานทางคอมพิวเตอร์ ในการนำกฏหมายมาใช้อย่างไม่ถูกต้อง และอาจทำให้ผู้ต้องหาหลุดมือไปอย่างที่ไม่ควรจะเป็นดังนั้น พนักงานเจ้าหน้าที่จึงมีความจำเป็น ต้องเข้ารับการฝึกอบรมคอร์สพิเศษ ในการเตรียมตัวปฏิบัติงานเฉพาะทางและผ่านการรับรองของสถาบันที่ให้การฝึกอบรมดังกล่าวว่ามีความรู้ความสามารถเพียงพอที่จะปฏิบัติงานได้อย่างมีประสิทธิภาพ ตรงตามเจตนารมณ์ของกฏหมายดังกล่าว

และสำหรับประเภทของ Log File ที่มีความจำเป็นต้องเก็บไว้ ไม่ต่ำกว่า 90 วัน ตามมาตรา 24 นั้น จากการประชุมล่าสุด มีผู้ให้ความเห็นว่าควรมีการแบ่งประเภทของ Log File ออกเป็น 7 ประเภทใหญ่ ๆ อ้างอิงจาก EU Forum on Cybercrime ดังนี้

  1. Personal Computer log file
  2. Network Access Server or RADIUS server log file
  3. Email Server log file (SMTP log)
  4. FTP Server log file
  5. Web Server (HTTP server) log file
  6. UseNet log file
  7. IRC log file
หมายเหตุ: ประเภทผู้ให้บริการ และ ประเภทของ Log File อย่างเป็นทางการ ต้องรอรัฐมนตรีไอซีทีจัดทำประกาศอีกครั้งหนึ่ง

ข้อมูลจราจรหรือข้อมูล Log ที่ต้องจัดเก็บนั้นจะแตกต่างกันไปตามโปรโตคอลที่ใช้ในแต่ละบริการเช่น บริการ Email ก็จะจัดเก็บในส่วนของ Email header เป็นต้น จะเห็นได้ว่าการจัดเก็บ Log เป็นเวลาไม่น้อยกว่า 90 วัน ดังกล่าวนั้น เป็นภาระหน้าที่ของฝ่ายสารสนเทศ ซึ่งรับผิดชอบโดยผู้บริหารหรือผู้จัดการฝ่ายต้องมีหน้าที่เป็นผู้ปฏิบัติตามข้อกำหนดของกฏหมาย โดยควรต้องได้รับความเห็นชอบและการสนับสนุนจากผู้บริหารระดับสูงของบริษัทหรือองค์กรด้วย ผู้บริหารระดับสูงมีความจำเป็นที่ต้องให้ความสำคัญกับการปฏิบัติตามข้อกฏหมาย และควรมีความเข้าใจถึงวัตถุประสงค์ของกฏหมายให้ชัดเจน ดังนั้น การฝึกรม Security Awareness Training ให้แก่กลุ่มผู้บริหารระดับสูง (Top Management ) เป็นเรื่องสำคัญที่เราไม่ควรมองข้าม มีหลายงานวิจัยด้านความปลอดภัยข้อมูลพบว่าหากผู้บริหารไม่ให้ความสำคัญกับเรื่องความปลอดภัยข้อมูล และเรื่องการปฏิบัติตามกฏหมายต่าง ๆ แล้ว (Regulatory Compliance) อาจทำให้องค์กรเกิดความเสียหาย ตลอดจนตัวผู้บริหารเองก็อาจถูกฟ้องร้องดำเนินคดีได้ ดังนั้น ในปัจจุบัน นอกจากผู้บริหารต้องคำนึงถึง "Business Objective" ที่ต้องสนับสนุนโดยระบบสารสนเทศโดยตรงแล้ว ผู้บริหารยังต้องคำนึงถึง "Governance Objective" ขององค์กรในยุคสมัย "Regulatory Compliance" โดยไม่ควรมองว่าเป็นต้นทุนที่เพิ่มขึ้นขององค์กรเพียงข้างเดียว แต่ควรจะมองในมุมของบรรษัทภิบาลหรือ "Corporate Governance" ด้วย ซึ่งในปัจจุบันถือเป็นกระแสที่ผู้บริหารระดับสูงของทุกองค์กรต้องให้ความสำคัญ

จากการวิเคราะห์มาตราต่าง ๆ ในกฏหมาย ทั้งสองฉบับ พบว่าประเทศไทยยังต้องพยายามพัฒนาบุคลากรในสายนี้ โดยการฝึกอบรมให้เกิดความรู้อย่างแท้จริงในการปฏิบัติงาน ตลอดจนควรจัดสัมมนาหรือเผยแพร่ข้อมูลให้ประชาชนเกิดความเข้าใจถึงวัตถุประสงค์ที่แท้จริงของพรบ. ธุรกรรมอิเล็กโทรนิคส์ และพรบ. การกระทำผิดเกี่ยวกับคอมพิวเตอร์ เพื่อให้บรรลุวัตถุประสงค์ในระดับชาติในเรื่องความมั่นคงของชาติ และเพื่อให้เกิดเสถียรภาพของระบบสารสนเทศในหน่วยงานทั้งภาครัฐ และเอกชนทั่วไป ไม่ให้เกิดความล้าหลังเมื่อเปรียบเทียบกับประเทศเพื่อนบ้าน ยกตัวอย่าง เช่น ประเทศเวียดนาม ที่กำลังพัฒนาด้านสารสนเทศแข่งกับประเทศไทยของเราอย่างน่ากลัว เราจึงควรหันมาจริงจังกับเรื่องความปลอดภัยข้อมูลให้มากกว่านี้

    จาก : หนังสือ eLeader Thailand
    ประจำเดือน เดือนเมษายน 2550
    Update Information : 12 เมษายน 2550



    บทความการตรวจสอบภายใน

    Audit Technique article
    การทุจริตบัตรเครดิตโดยการดูดข้อมูลบัตรเครดิตผ่านทางสายโทรศัพท์
    7 อันดับภัยอินเทอร์เน็ตในประเทศไทย
    วิธีการใช้บัตรเครดิตอย่างปลอดภัย
    งานวิจัยบุคคลเรื่องการทุจริตบัตรเครดิต
    คำทำนายอนาคตทิศทางเทคโนโลยีและภัยด้านความปลอดภัยข้อมูล
    การพัฒนา การกำกับดูแลกิจการ ของต่างประเทศ
    แนะนำการลงทุนในกองทุนรวมเพื่อการเลี้ยงชีพ (RMF) article
    9 คำถาม สำหรับตัดสินใจเลือกลงทุน RMF และ LTF article
    นโยบายการตรวจสอบสถาบันการเงิน ปี 49 ของ ธปท. article
    เรื่องน่ารู้ "ทรัพย์สิน ของคู่สมรส" article
    สตท. กับบริการ Quality Assurance Review article



    Copyright © 2012 All Rights Reserved.
    ชมรมผู้ตรวจสอบภายในธนาคาร และสถาบันการเงิน (Bank & Financial Institution Internal Auditors Club) ที่ทำการ สมาคมธนาคารไทย เลขที่ 5/13 ชั้น 4 หมู่ 3 ถนนแจ้งวัฒนะ ตำบลคลองเกลือ อำเภอปากเกร็ด จังหวัดนนทบุรี 11120 โทร. 0-2264-0883-7 โทรสาร. 0-2264-0888 สถานที่ติดต่อ ประธานและเลขาธิการกรรมการบริหารและคณะกรรมการบริหารชมรมฯ ตามระยะเวลาที่ดำรงตำแหน่งอยู่ โปรดดูรายละเอียดในหัวเรื่องคณะกรรมการ