|
พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
ความเคลื่อนไหวล่าสุดร่างพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และ พระราชกฤษฎีกาที่เกี่ยวข้องกับพระราชบัญญัติธุรกรรมทางอิเล็กทรอนิกส์ (Thailand ICT Law Latest Update )
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:  | สืบเนื่องจากกฏหมาย พรบ.ธุรกรรมทางอิเล็กโทรนิคส์ที่ได้ประกาศบังคับใช้ตั้งแต่ปี พ.ศ. 2544 ในปัจจุบันเวลาผ่านมา 6 ปี ทางภาครัฐได้มีความพยายามในการผลักดันในการใช้กฏหมาย พรบ. ธุรกรรมฯ โดยได้พยายามออกกฏหมายลูก หรือ พระราชกฤษฎีกาออกมาในหลายมาตรา ซึ่งในวันที่ 10 มกราคม พ.ศ. 2550 ที่ผ่านมา ทางรัฐบาลได้ประกาศใช้ พระราชกฤษฎีกา "กำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ.2549" อาศัยอำนาจตามความในมาตรา ๑๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย (ฉบับชั่วคราว) พ.ศ. 2549 และมาตรา ๓๕ วรรคหนึ่ง แห่งพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 ซึ่งมีผลกระทบกับภาครัฐโดยตรง โดยหน่วยงานของรัฐต้องจัดทำแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อให้การดำเนินการใด ๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัยและเชื่อถือได้ หน่วยงานภาครัฐมีความจำเป็นต้องทำตามหลักธรรมาภิบาลในการใช้งานระบบสารสนเทศ หรือ "IT Governance" ตลอดจนปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยระดับโลกในบางส่วน ซึ่งได้แก่มาตรฐาน ISO / IEC 27001 (Information Security Management System) ซึ่งแนวนโยบายและแนวปฏิบัติบางส่วนของ มาตรฐาน ISO / IEC 27001 ตามพระราชกฤษฎีกา กฤษฎีกา "กำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ.2549" ในมาตรา 5 แบ่งออกเป็น 3 หัวข้อ ดังนี้
- การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ (Access Control)
- การจัดให้มีระบบสารสนเทศและระบบสำรองของสารสนเทศซึ่งอย่ในสภาพพร้อมใช้งาน และจัดทำแผนเตรียมพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทางอิเล็กโทรนิคส์ (Business Continuity Planning & Disaster Recovery Planning)
- การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ (IT Risk Assessment)
โดยหน่วยงานรัฐต้องปฏิบัติตามแนวนโยบายและแนวปฏิบัติที่ได้แสดงไว้ และให้จัดให้มีการตรวจสอบการปฏิบัติตามแนวนโยบายและแนวปฏิบัติที่กำหนดไว้อย่างสม่ำเสมอ ซึ่งเหตุผลในการประกาศใช้พระราชกฤษฏีกา ฉบับนี้ คือ เนื่องจากประเทศไทยได้เริ่มเข้าสู่ยุคสังคมสารสนเทศ ซึ่งมีการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐมากขึ้น สมควรสนับสนุนให้หน่วยงานของรัฐมีระบบการบริการของตนโดยการประยุกต์ใช้เทคโนโลยีสารสนเทศเพื่อให้สามารถบริการประชาชนได้อย่างทั่วถึง สะดวก และรวดเร็ว อันเป็นการเพิ่มประสิทธิภาพและประสิทธิผลของหน่วยงานของรัฐ พร้อมกับให้หน่วยงานของรัฐสามารถพัฒนาการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐภายใต้มาตรฐานและเป็นไปในทิศทางเดียวกัน และสร้างความเชื่อมั่นของประชาชนต่อการดำเนินกิจกรรมของรัฐด้วยวิธีการทางอิเล็กทรอนิกส์ ประกอบกับมาตรา 35 วรรคหนึ่งแห่งพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 บัญญัติว่า คำขอ การอนุญาต การจดทะเบียน คำสั่งทางปกครอง การชำระเงิน การประกาศหรือการดำเนินการใด ๆ ตามกฎหมายกับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทำในรูปของข้อมูลอิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กำหนดโดยพระราชกฤษฎีกาแล้วให้ถือว่ามีผลโดยชอบด้วยกฎหมายเช่นเดียวกับการดำเนินการตามหลักเกณฑ์และวิธีการที่กฎหมายในเรื่องนั้นกำหนดจึงจำเป็นต้องตราพระราชกฤษฎีกานี้
สำหรับกฏหมายลูกที่ยังไม่ประกาศใช้แต่เราควรให้ความสนใจก็คือ ร่างพระราชกฤษฎีกาว่าด้วยการกำกับดูแลธุรกิจบริการ การให้บริการออกใบรับรองอิเล็กทรอนิกส์ในมาตรา 32 ซึ่งกำลังจะถูกพิจารณาและประกาศใช้ในเวลาอันใกล้นี้ เกี่ยวกับธุรกรรมทางอิเล็กโทรนิคส์ รวมถึงการกำกับดูแลธุรกิจบริการให้บริการออกใบรับรองอิเล็กโทรนิคส์ หรือ CA (Certificate Authority) โดยรูปแบบของการกำกับดูแล CA แบ่งออกเป็น 3 ประเภท ได้แก่
- แบบแจ้งเพื่อทราบ (บัญชี ก) คือ การพัฒนาและประยุกต์ใช้เฉพาะภายในองค์กร
- แบบขึ้นทะเบียน (บัญชี ข) คือ การพัฒนาและประยุกต์ใช้เฉพาะกลุ่มปิด คือการพัฒนาและประยุกต์ใช้เฉพาะกลุ่มปิด เช่น ธปท. กลต. ปปง.
- แบบรับใบอนุญาต (บัญชี ค) การพัฒนาและการประยุกต์ใช้ในกลุ่มปิด ใช้บริการสาธารณะอย่างแพร่หลายและไม่จำกัดจำนวน เช่น CAT, TOT, สบทร.
กฏหมายลูกที่น่าสนใจอีกมาตราคือ ร่างพระราชกฤษฎีกากำหนดวิธีการแบบ (มั่นคง) ปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ สืบเนื่องจากพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 หมวด 1 มาตรา 25 ซึ่งเป็นการนำประกาศมาตรฐานการรักษาในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ที่คณะอนุกรรมการด้านความมั่นคง ภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้ประกาศในปี พ.ศ. 2547 (version I) โดยอ้างจากมาตรฐาน ISO / IEC 17799 และ ปี พ.ศ. 2549 (version II) โดยอ้างจากมาตรฐาน ISO / IEC 27001 นำมาเป็นแนวทางในการปฏิบัติ ซึ่งจะเน้นไปที่องค์กรที่มีความเกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) ของประเทศ ได้แก่ การไฟฟ้า, การประปา, บ.ปตท จำกัด มหาชน ซึ่งส่วนใหญ่ใช้ระบบ SCADA (Supervisory Control And Data Acquisition) ในการควบคุมอุปกรณ์ที่มีผลต่อโครงสร้างพื้นฐานสำคัญดังกล่าว
สาระสำคัญของร่างพระราชกฤษฎีกากำหนดวิธีการแบบ (มั่นคง) ปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ในมาตรา 8 จะกล่าวถึงสาระสำคัญของนโยบายด้านความมั่นคงปลอดภัย ซึ่งการดำเนินวิธีการแบบปลอดภัยต้องอยู่บนหลักการพื้นฐานที่สำคัญของการทำธุรกรรมอิเล็กทรอนิกส์ทุกชนิด มี 13 หัวข้อ ได้แก่
- การจัดทำนโยบายหรือมาตรฐานด้านความมั่นคงปลอดภัย (Security policy)
- การจัดโครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร ทั้งในส่วนที่เป็นการบริการจัดการด้านความมั่นคงปลอดภัยภายในองค์กร และภายนอกองค์กร (Organization of Information Security)
- การบริหารจัดการทรัพย์สินขององค์กร (Asset Management)
- การสร้างความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security)
- การสร้างความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical security)
- การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบสารสนเทศและระบบคอมพิวเตอร์ขององค์กร (Information system security)
- การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and Operations Management)
- การควบคุมการเข้าถึง (Access Control)
- การจัดหา การพัฒนา และการบำรุงรักษาระบบสารสนเทศ
- การบริหารจัดการเหตุการณ์ที่มีความเสี่ยงหรือก่อให้เกิดผลกระทบต่อความมั่นคงปลอดภัยขององค์กร (Information Security Incident Management)
- การบริหารจัดการให้มีความต่อเนื่องในการดำเนินงานขององค์กร (ฺBusiness Continuity Management)
- การปฏิบัติตามข้อกำหนดด้านความมั่นคงปลอดภัย (Compliance)
- การกำหนดเกี่ยวกับมาตรฐานของเทคโนโลยีที่เหมาะสม
ในส่วนของ พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ที่หลายคนกำลังรอคอยนั้น คาดว่าจะผ่านการพิจารณาจากคณะรัฐมนตรี และ ประกาศใช้ภายในปี พ.ศ. 2550 นี้ จากการประชุมสภานิติบัญญัติแห่งชาติ ดังที่ 6/2549 วันพุธที่ 15 พ.ย. 49 ที่ประชุมได้มีมติรับหลักการแห่งร่างพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. และได้แต่งตั้งคณะกรรมการธิการวิสามัญขึ้นมาพิจารณาร่างพรบ. ดังกล่าว ความคืบหน้าในการร่างพระราชบัญญัติซึ่งมีทั้งสิ้น 28 มาตรา โดยในสาระที่คณะกรรมาธิการให้ความสำคัญเป็นพิเศษทั้งหมด 3 ข้อ ได้แก่
- การทำความเข้าใจเกี่ยวกับประเด็นทางเทคนิคทั้งในลักษณะของการกระทำความผิดและลักษณะของการสืบสวนสอบสวนของพนักงานเจ้าหน้าที่
- การสร้างความสมดุลระหว่างการคุ้มครองสังคมและคุ้มครองสิทธิความเป็นส่วนตัวของประชาชน
- การควบคุมการใช้อำนาจของพนักงานเจ้าหน้าที่ให้อยู่ในระดับที่เหมาะสม ทั้งนี้ เพื่อให้กฎหมายนั้นสามารถใช้บังคับได้อย่างมีประสิทธิภาพ โดยไม่ก่อให้เกิดภาระกับผู้ให้บริการ/ผู้ประกอบการมากเกินไป โดยมีจุดยืนสำคัญในการให้ความคุ้มครองความเป็นส่วนตัวของประชาชน
โดยสาระสำคัญของร่างพระราชบัญญัติที่มีการปรับแก้ ได้แก่
1) ฐานความผิด
ในการพิจารณาร่างพระราชบัญญัติฯ ในส่วนของฐานความผิดนั้น ได้มีการปรับแก้ถ้อยคำให้มีความชัดเจนขึ้นโดยยังคงหลักการเดิมไว้ทั้งหมด อันครอบคลุมถึงการกระทำความผิดที่สำหรับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ในลักษณะต่างๆ ที่กระทบต่อความลับ (confidentiality), ความครบถ้วน (integrity), และสภาพพร้อมใช้งาน (availability) ของระบบคอมพิวเตอร์และข้อมูลคอมพิวเตอร์ เช่น การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ (มาตรา 5), การล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ (มาตรา 6), การเข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ (มาตรา 7), การดักรับข้อมูลคอมพิวเตอร์ (มาตรา 8), การรบกวนระบบคอมพิวเตอร์หรือข้อมูลคอมพิวเตอร์ (มาตรา 9 และมาตรา 10), การรบกวนระบบคอมพิวเตอร์และข้อมูลคอมพิวเตอร์ที่กระทบต่อความมั่นคงของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจ และการบริการสาธารณะ (มาตรา 11), การเผยแพร่ชุดคำสั่งชั่วร้ายที่ใช้ในการกระทำความผิดตามมาตราก่อนหน้านี้ (มาตรา 12), การเผยแพร่เนื้อหาอันไม่เหมาะสมหรือเป็นเท็จ เช่น ปลอมแปลงข้อมูลคอมพิวเตอร์หรือทำข้อมูลคอมพิวเตอร์อันเป็นเท็จ หรือก่อให้เกิดความเสียหายหรือก่อให้เกิดความตื่นตระหนกกับประชาชน หรือเนื้อความที่กระทบต่อสถาบันหรือการก่อการร้าย รวมทั้งข้อมูลคอมพิวเตอร์อันลามกทั้งหลาย และการ forward หรือส่งต่อข้อมูลคอมพิวเตอร์ข้างต้น รวมทั้งกำหนดให้บุคคลซึ่งทำผิดด้วยการเผยแพร่ข้อมูลคอมพิวเตอร์ลามกอันเป็นข้อมูลหรือภาพของบุคคลซึ่งมีอายุไม่เกิน 18 ปี นั้น ต้องรับโทษหนักขึ้น (มาตรา 13), รวมทั้งกำหนดโทษของผู้ให้บริการที่สนับสนุนหรือยินยอมให้มีการกระทำความผิดตามมาตรา 13 ต้องรับโทษด้วย หากมิได้ระงับการเผยแพร่ข้อมูลคอมพิวเตอร์นั้น (มาตรา 14), นอกจากนั้น ก็ยังได้กำหนดฐานความผิดในเรื่องการตัดต่อภาพของบุคคลอื่น อันอาจก่อให้เกิดความอับอายหรือเสียหาย ซึ่งอาจมีปัญหาว่าการตีความของความผิดในเรื่องหมิ่นประมาทตามกฎหมายอาญานั้นไปไม่ถึง (มาตรา 15)
2) อำนาจของพนักงานเจ้าหน้าที่
เดิมร่างพระราชบัญญัติฯ ยกร่างขึ้นโดยให้อำนาจหน้าที่ทั่วไปแก่พนักงานเจ้าหน้าที่ไว้อย่างเต็มที่ เพื่อเอื้อประโยชน์ต่อการสืบสวนสอบสวนของพนักงานเจ้าหน้าที่ เช่น อำนาจในการค้นหรือเข้ายึด หรือตรวจสอบระบบคอมพิวเตอร์ที่ต้องสงสัยว่าได้มีการใช้ในการกระทำความผิด, การถอดรหัสลับของข้อมูลคอมพิวเตอร์, หรือการเรียกข้อมูลจราจรทางคอมพิวเตอร์ เป็นต้น อย่างไรก็ตาม โดยที่มีการให้อำนาจแก่พนักงานเจ้าหน้าที่ไว้อย่างกว้างขวาง และเพื่อไม่ให้การใช้อำนาจนั้นเกิดผลกระทบกับผู้ให้บริการหรือกระทบกับสิทธิของประชาชนมากเกินไป ในร่างพระราชบัญญัติฯ จึงได้มีการกำหนดเงื่อนไขการใช้อำนาจไว้อย่างเข้มงวด เช่น ให้ใช้พยานหลักฐานที่รวบรวมได้เพียงเฉพาะในคดีเกี่ยวกับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์เท่านั้น หรือห้ามไม่ให้พนักงานเจ้าหน้าที่ส่งมอบพยานหลักฐานที่ได้มา ให้กับพนักงานเจ้าหน้าที่ซึ่งมีอำนาจหน้าที่ตามกฎหมายฉบับอื่น เพื่อให้นำพยานหลักฐานดังกล่าวไปใช้ในการดำเนินคดีอื่นที่เกี่ยวข้องอันอาจกระทบกับสิทธิของประชาชนได้โดยง่ายหากพนักงานเจ้าหน้าที่ใช้อำนาจหน้าที่ในทางมิชอบ หรือแม้กระทั่งการกำหนดให้พนักงานเจ้าหน้าที่ตามร่างพระราชบัญญัติฯ ต้องรับผิดแม้กระทั่งกระทำให้พยานหลักฐานรั่วไหลโดยประมาท และกำหนดให้พยานหลักฐานที่รั่วไหลจากการกระทำโดยประมาทนั้น ไม่สามารถอ้างเป็นพยานหลักฐานในชั้นศาลได้ เป็นต้น
นอกจากนั้น ยังได้กำหนดให้มีการตรวจสอบการใช้อำนาจของพนักงานเจ้าหน้าที่โดยศาลนั้น มีความชัดเจนมากขึ้น เช่น การกำหนดให้พนักงานเจ้าหน้าที่ระบุเหตุอันควรเชื่อว่า ทำไมจึงต้องใช้อำนาจตามร่างพระราชบัญญัติ, ลักษณะการกระทำความผิด, รายละเอียดของอุปกรณ์ที่ใช้ในการกระทำความผิดเท่าที่จะทำได้
3) ความยืดหยุ่นและการเตรียมความพร้อมในการบังคับใช้กฎหมาย
โดยที่ในร่างพระราชบัญญัตินั้น ได้กำหนดเกี่ยวกับบุคคลซึ่งเกี่ยวข้องในหลายส่วน เช่น ผู้ให้บริการซึ่งอาจหมายถึง ผู้ประกอบกิจการทางด้านโทรคมนาคม, ผู้ให้บริการอินเทอร์เน็ต, ผู้ให้บริการอื่นๆ เช่น Web Hosting หรือหน่วยงานต่างๆ ที่ต้องกำหนดให้เจ้าหน้าที่หรือพนักงานผู้ดูแลระบบของตน เป็นต้น ทำหน้าที่ในการเก็บข้อมูลจราจรทางคอมพิวเตอร์ (traffic data) ซึ่งเป็นข้อมูลสำคัญที่ใช้ในการสืบสวนหรือสอบสวนเป็นระยะเวลา 90 วัน แต่ไม่เกิน 1 ปี จากเดิมที่กำหนดให้เก็บ traffic data ไว้เพียง 30 วัน ไม่เกิน 90 วัน เท่านั้น อันเป็นระยะที่เหมาะสมและสอดคล้องกับความจำเป็นในการนำไปใช้เพื่อประโยชน์ในการสืบสวนและสอบสวนทางปฏิบัติมากกว่า แต่เพื่อไม่ให้เป็นภาระกับผู้ให้บริการมากเกินสมควร ในกฎหมายจึงได้กำหนดให้รัฐมนตรีไอซีทีจัดทำประกาศว่า ใครบ้าง คือ "ผู้ให้บริการ" อันจะก่อให้เกิดภาระกับบุคคลหรือหน่วยงานดังกล่าวเมื่อมีการประกาศหลังกฎหมายบังคับใช้ต่อไป โดยในเบื้องต้นการกำหนดว่า ใครบ้าง คือ ผู้ให้บริการนั้น ในเบื้องต้นไม่น่าจะหมายถึงผู้ให้บริการทุกประเภท แต่น่าจะกำหนดให้หมายถึงแต่เพียงผู้ให้บริการกลุ่มใหญ่ๆ เท่านั้น เช่น ผู้ประกอบกิจการทางด้านโทรคมนาคม หรือผู้ให้บริการอินเทอร์เน็ต เป็นต้น
นอกจากนั้น เพื่อให้รับกับประกาศเกี่ยวกับ "ผู้ให้บริการ" ในร่างกฎหมายจึงได้กำหนดให้รัฐมนตรีไอซีทีจ้ดทำประกาศเกี่ยวกับ "traffic data" ว่า หมายถึงอะไรบ้าง เพื่อผู้ให้บริการจะได้ไม่ต้องเก็บ traffic data ที่ไม่จำเป็นอันเป็นภาระโดยใช่เหตุแต่อย่างใด
อย่างไรก็ตาม ในการปฏิบัติหน้าที่ของ "พนักงานเจ้าหน้าที่" ซึ่งมีอำนาจหน้าที่ตามร่างพระราชบัญญัติฯ นั้น จำเป็นต้องมีความรู้ความเข้าใจในลักษณะการกระทำความผิดเกี่ยวกับคอมพิวเตอร์หรืออาชญากรรมทางคอมพิวเตอร์เป็นอย่างดี ในร่างกฎหมายจึงได้กำหนดให้ "พนักงานเจ้าหน้าที่" ต้องมีคุณสมบัติซึ่งต้องผ่านการอบรมหลักสูตรที่กำหนดขึ้นเป็นพิเศษเพื่อให้สามารถทำหน้าที่ตามกฎหมายฉบับนี้ได้อย่างแท้จริงต่อไป
ทั้งนี้ เพื่อให้กฎหมายพร้อมในการบังคับใช้งานและเพื่อให้ประชาชนหรือสมาชิกสนช.หรือทุกส่วนงานที่เกี่ยวข้องได้ทราบ, ได้มีส่วนร่วมในการให้ข้อคิดเห็น, เข้าใจ และเตรียมความพร้อมในการบังคับใช้กฎหมายล่วงหน้า คณะกรรมาธิการวิสามัญฯ จึงได้วางแผนการจ้ดทำร่างประกาศข้างต้นให้แล้วเสร็จไปพร้อมๆ กันกับการพิจารณาร่างพระราชบัญญัติฯ เพื่อให้ร่างพระราชบัญญัติฯ นั้น สามารถบังคับใช้ได้อย่างสมบูรณ์ในทันทีที่ประกาศใช้
4) การรับฟังความคิดเห็น
อนึ่ง ในระหว่างที่มีการพิจารณาร่างพระราชบัญญัติฯ นั้น คณะกรรมาธิการวิสามัญฯ ได้จัดให้มีการรับฟังความเห็นเกี่ยวกับร่างพระราชบัญญัติฯ จากทุกส่วนงานที่เกี่ยวข้องทั้งในภาครัฐและภาคเอกชน จำนวนหลายครั้ง และได้มีการนำข้อคิดเห็นที่ได้รับฟังเหล่านั้น รวมทั้งคำแปรญัตติของสมาชิกสนช.ในชั้นรับหลักการของร่างพระราชบัญญัติฯ ไปใช้ในการพิจารณาปรับปรุงร่างพระราชบัญญัติฯ เพื่อให้ร่างพระราชบัญญัติฯ นั้น มีความสมบูรณ์เพียงพอที่จะคุ้มครองสังคมและรักษาสิทธิความเป็นส่วนตัวอันเป็นสิทธิขั้นพื้นฐานของประชาชนให้สมดุล ควบคู่พร้อมกันไปด้วย
ประเด็นหลักของร่าง พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ คือ มาตรา 24 ที่ให้ผู้บริการเก็บข้อมูลจราจรไว้ไม่ต่ำกว่า 90 วัน แต่ไม่เกินหนึ่งปี ทำให้เกิดต้องมีการแยกประเภทผู้ให้บริการออกเป็นประเภทต่างๆ จากการประชุมล่าสุด สรุปว่าได้กำหนดผู้ให้บริการเป็น 4 ประเภท ใหญ่ ๆ ได้แก่
- ผู้ประกอบกิจการโทรคมนาคม ตาม พรบ. โทรคมนาคม พ.ศ. 2544 เช่น AIS, DTAC, True, TOT
- ผู้ให้บริการการเข้าถึงเครือข่ายคอมพิวเตอร์ เช่น Internet Service Provider (ISP) , Internet Cafe
- ผู้ให้บริการเช่าระบบคอมพิวเตอร์ เช่น Web Hostingหรือ ผู้ให้บริการรับฝากข้อมูล เช่น Data Center
- ผู้ให้บริการ Content หรือ Content Provider เช่น Web Sanook, Kapook, Pantip รวมถึง ผู้ให้บริการ Internet Banking ด้วย
ซึ่งผู้ให้บริการในแต่ละประเภทมีความจำเป็นต้องเก็บข้อมูลจราจรของตนเองในลักษณะการจัดเก็บที่แตกต่างกันออกไป ในส่วนของประเด็นของพนักงานเจ้าหน้าที่ก็เป็นประเด็นสำคัญที่มีการพูดถึงกันอย่างมากเพราะหากพนักงานเจ้าหน้าที่ไม่มีความรู้ความสามารถโดยเฉพาะเรื่อง (Computer Forensic) เพียงพอก็จะก่อให้เกิดปัญหาการพิสูจน์หลักฐานทางคอมพิวเตอร์ ในการนำกฏหมายมาใช้อย่างไม่ถูกต้อง และอาจทำให้ผู้ต้องหาหลุดมือไปอย่างที่ไม่ควรจะเป็นดังนั้น พนักงานเจ้าหน้าที่จึงมีความจำเป็น ต้องเข้ารับการฝึกอบรมคอร์สพิเศษ ในการเตรียมตัวปฏิบัติงานเฉพาะทางและผ่านการรับรองของสถาบันที่ให้การฝึกอบรมดังกล่าวว่ามีความรู้ความสามารถเพียงพอที่จะปฏิบัติงานได้อย่างมีประสิทธิภาพ ตรงตามเจตนารมณ์ของกฏหมายดังกล่าว
และสำหรับประเภทของ Log File ที่มีความจำเป็นต้องเก็บไว้ ไม่ต่ำกว่า 90 วัน ตามมาตรา 24 นั้น จากการประชุมล่าสุด มีผู้ให้ความเห็นว่าควรมีการแบ่งประเภทของ Log File ออกเป็น 7 ประเภทใหญ่ ๆ อ้างอิงจาก EU Forum on Cybercrime ดังนี้
- Personal Computer log file
- Network Access Server or RADIUS server log file
- Email Server log file (SMTP log)
- FTP Server log file
- Web Server (HTTP server) log file
- UseNet log file
- IRC log file
หมายเหตุ: ประเภทผู้ให้บริการ และ ประเภทของ Log File อย่างเป็นทางการ ต้องรอรัฐมนตรีไอซีทีจัดทำประกาศอีกครั้งหนึ่ง
ข้อมูลจราจรหรือข้อมูล Log ที่ต้องจัดเก็บนั้นจะแตกต่างกันไปตามโปรโตคอลที่ใช้ในแต่ละบริการเช่น บริการ Email ก็จะจัดเก็บในส่วนของ Email header เป็นต้น จะเห็นได้ว่าการจัดเก็บ Log เป็นเวลาไม่น้อยกว่า 90 วัน ดังกล่าวนั้น เป็นภาระหน้าที่ของฝ่ายสารสนเทศ ซึ่งรับผิดชอบโดยผู้บริหารหรือผู้จัดการฝ่ายต้องมีหน้าที่เป็นผู้ปฏิบัติตามข้อกำหนดของกฏหมาย โดยควรต้องได้รับความเห็นชอบและการสนับสนุนจากผู้บริหารระดับสูงของบริษัทหรือองค์กรด้วย ผู้บริหารระดับสูงมีความจำเป็นที่ต้องให้ความสำคัญกับการปฏิบัติตามข้อกฏหมาย และควรมีความเข้าใจถึงวัตถุประสงค์ของกฏหมายให้ชัดเจน ดังนั้น การฝึกรม Security Awareness Training ให้แก่กลุ่มผู้บริหารระดับสูง (Top Management ) เป็นเรื่องสำคัญที่เราไม่ควรมองข้าม มีหลายงานวิจัยด้านความปลอดภัยข้อมูลพบว่าหากผู้บริหารไม่ให้ความสำคัญกับเรื่องความปลอดภัยข้อมูล และเรื่องการปฏิบัติตามกฏหมายต่าง ๆ แล้ว (Regulatory Compliance) อาจทำให้องค์กรเกิดความเสียหาย ตลอดจนตัวผู้บริหารเองก็อาจถูกฟ้องร้องดำเนินคดีได้ ดังนั้น ในปัจจุบัน นอกจากผู้บริหารต้องคำนึงถึง "Business Objective" ที่ต้องสนับสนุนโดยระบบสารสนเทศโดยตรงแล้ว ผู้บริหารยังต้องคำนึงถึง "Governance Objective" ขององค์กรในยุคสมัย "Regulatory Compliance" โดยไม่ควรมองว่าเป็นต้นทุนที่เพิ่มขึ้นขององค์กรเพียงข้างเดียว แต่ควรจะมองในมุมของบรรษัทภิบาลหรือ "Corporate Governance" ด้วย ซึ่งในปัจจุบันถือเป็นกระแสที่ผู้บริหารระดับสูงของทุกองค์กรต้องให้ความสำคัญ
จากการวิเคราะห์มาตราต่าง ๆ ในกฏหมาย ทั้งสองฉบับ พบว่าประเทศไทยยังต้องพยายามพัฒนาบุคลากรในสายนี้ โดยการฝึกอบรมให้เกิดความรู้อย่างแท้จริงในการปฏิบัติงาน ตลอดจนควรจัดสัมมนาหรือเผยแพร่ข้อมูลให้ประชาชนเกิดความเข้าใจถึงวัตถุประสงค์ที่แท้จริงของพรบ. ธุรกรรมอิเล็กโทรนิคส์ และพรบ. การกระทำผิดเกี่ยวกับคอมพิวเตอร์ เพื่อให้บรรลุวัตถุประสงค์ในระดับชาติในเรื่องความมั่นคงของชาติ และเพื่อให้เกิดเสถียรภาพของระบบสารสนเทศในหน่วยงานทั้งภาครัฐ และเอกชนทั่วไป ไม่ให้เกิดความล้าหลังเมื่อเปรียบเทียบกับประเทศเพื่อนบ้าน ยกตัวอย่าง เช่น ประเทศเวียดนาม ที่กำลังพัฒนาด้านสารสนเทศแข่งกับประเทศไทยของเราอย่างน่ากลัว เราจึงควรหันมาจริงจังกับเรื่องความปลอดภัยข้อมูลให้มากกว่านี้
จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนเมษายน 2550
Update Information : 12 เมษายน 2550 |
บทความการตรวจสอบภายใน
|
