(New Thailand Cyber Crime Law and Thai Cyber Crime Case Study : Part II)
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
จากบทวิเคราะห์กฏหมายในบทความตอนที่แล้ว เราได้วิเคราะห์ถึงหมวด 1 “ความผิดเกี่ยวกับคอมพิวเตอร์” ตั้งแต่มาตรา 5 ถึง มาตรา 17 โดยที่มาตรา 5, 6, 7, 8, 9, 10 และ มาตรา 12 กล่าวถึง ความผิดที่กระทำต่อคอมพิวเตอร์ และ มาตรา 11 และ มาตรา 13 ถึง มาตรา 16 กล่าวถึงการใช้คอมพิวเตอร์ในการกระทำผิด ตลอดจนมาตรา 17 กล่าวถึงการกระทำผิดนอกราชอาณาจักรต้องรับโทษในราชอาณาจักร สรุปสาระสำคัญของมาตรา 5 ถึงมาตรา 17 ได้ดังนี้
ประเด็นที่สำคัญอีก 2 ประเด็น คือ มาตรา 2 และมาตรา 3 โดยมาตรา 2 บัญญัติไว้ว่า กฏหมายจะมีผลบังคับใช้ภายหลังประกาศในราชกิจจานุเบกษา 30 วัน ซึ่งหมายถึงในอีกไม่กี่เดือนข้างหน้า ภายในปี พ.ศ. 2550 อย่างแน่นอน และมาตรา 3 กล่าวถึง คำนิยาม ที่เป็นเรื่องวิพากวิจารณ์กันมากที่สุดคือ คำนิยามของ “ผู้ให้บริการ” ที่ครอบคลุมหน่วยงานทั้งภาครัฐและเอกชน ไม่เฉพาะ “ISP” หรือ “ผู้ให้บริการอินเทอร์เน็ต” เพียงอย่างดียว กล่าวคือ ผู้ให้บริการแบ่งออกเป็นทั้งหมด 4 กลุ่ม ได้แก่
กลุ่มที่ 1 ผู้ประกอบกิจการโทรคมนาคม (Telecommunication Carrier)
กลุ่มที่ 2 ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider)
กลุ่มที่ 3 ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือให้เช่าบริการโปรแกรมประยุกต์ต่างๆ (Host Service Provider)
กลุ่มที่ 4 ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชั่นต่างๆ (Content Provider)
ซึ่งผู้ให้บริการมีภาระหน้าที่ต้องเก็บข้อมูลจราจรทางคอมพิวเตอร์ (มาตรา 26) ที่กฏหมายกำหนดไว้ว่า “ข้อมูลจราจรคอมพิวเตอร์” คือ “ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่นๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น” โดยกล่าวถึงรายละเอียดไว้ในกฏกระทรวงที่กำลังจะออกตามมาเป็นประกาศรัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ซึ่งลงนามโดยรัฐมนตรีว่าการกระทรวงสารสนเทศและการสื่อสาร
สำหรับมาตรา 18 ถึง มาตรา 30 อยู่ใน หมวด 2 “พนักงานเจ้าหน้าที่” ซึ่งรวมถึง ข้อปฏิบัติของผู้ให้บริการที่ต้องให้ความร่วมมือกับพนักงานเจ้าหน้าที่ด้วย โดยรายละเอียดของกฏหมายนั้นมีดังนี้
หมวด ๒ พนักงานเจ้าหน้าที่
มาตรา ๑๘ ภายใต้บังคับมาตรา ๑๙ เพื่อประโยชน์ในการสืบสวนและสอบสวน ในกรณีที่มีเหตุอันควรเชื่อได้ว่ามีการกระทำความผิดตามพระราชบัญญัตินี้ ให้พนักงานเจ้าหน้าที่มีอำนาจอย่างหนึ่งอย่างใด ดังต่อไปนี้ เฉพาะที่จำเป็นเพื่อประโยชน์ในการใช้เป็นหลักฐานเกี่ยวกับการกระทำความผิดและหาตัวผู้กระทำความผิด
(๑) มีหนังสือสอบถามหรือเรียกบุคคลที่เกี่ยวข้องกับการกระทำความผิดตามพระราชบัญญัตินี้มาเพื่อให้ถ้อยคำ ส่งคำชี้แจงเป็นหนังสือ หรือส่งเอกสาร ข้อมูล หรือหลักฐานอื่นใดที่อยู่ในรูปแบบที่สามารถเข้าใจได้
(๒) เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ให้บริการเกี่ยวกับการติดต่อสื่อสารผ่านระบบคอมพิวเตอร์หรือจากบุคคลอื่นที่เกี่ยวข้อง
(๓) สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บตามมาตรา ๒๖ หรือที่อยู่ในความครอบครองหรือควบคุมของผู้ให้บริการให้แก่พนักงานเจ้าหน้าที่
(๔) ทำสำเนาข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ จากระบบคอมพิวเตอร์ที่มีเหตุอันควรเชื่อได้ว่ามีการกระทำความผิดตามพระราชบัญญัตินี้ ในกรณีที่ระบบคอมพิวเตอร์นั้นยังมิได้อยู่ในความครอบครองของพนักงานเจ้าหน้าที่
(๕) สั่งให้บุคคลซึ่งครอบครองหรือควบคุมข้อมูลคอมพิวเตอร์ หรืออุปกรณ์ที่ใช้เก็บข้อมูลคอมพิวเตอร์ ส่งมอบข้อมูลคอมพิวเตอร์ หรืออุปกรณ์ดังกล่าวให้แก่พนักงานเจ้าหน้าที่
(๖) ตรวจสอบหรือเข้าถึงระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ หรืออุปกรณ์ที่ใช้เก็บข้อมูลคอมพิวเตอร์ของบุคคลใด อันเป็นหลักฐานหรืออาจใช้เป็นหลักฐานเกี่ยวกับการกระทำความผิด หรือเพื่อสืบสวนหาตัวผู้กระทำความผิดและสั่งให้บุคคลนั้นส่งข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ ที่เกี่ยวข้องเท่าที่จำเป็นให้ด้วยก็ได้
(๗) ถอดรหัสลับของข้อมูลคอมพิวเตอร์ของบุคคลใด หรือสั่งให้บุคคลที่เกี่ยวข้องกับการเข้ารหัสลับของข้อมูลคอมพิวเตอร์ ทำการถอดรหัสลับ หรือให้ความร่วมมือกับพนักงานเจ้าหน้าที่ในการถอดรหัสลับดังกล่าว
(๘) ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จำเป็นเฉพาะเพื่อประโยชน์ในการทราบรายละเอียดแห่งความผิดและผู้กระทำความผิดตามพระราชบัญญัตินี้
มาตรา ๑๙ การใช้อำนาจของพนักงานเจ้าหน้าที่ตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) ให้พนักงานเจ้าหน้าที่ยื่นคำร้องต่อศาลที่มีเขตอำนาจเพื่อมีคำสั่งอนุญาตให้พนักงานเจ้าหน้าที่ดำเนินการตามคำร้อง ทั้งนี้ คำร้องต้องระบุเหตุอันควรเชื่อได้ว่าบุคคลใดกระทำหรือกำลังจะกระทำการอย่างหนึ่งอย่างใดอันเป็นความผิดตามพระราชบัญญัตินี้ เหตุที่ต้องใช้อำนาจ ลักษณะของการกระทำความผิด รายละเอียดเกี่ยวกับอุปกรณ์ที่ใช้ในการกระทำความผิดและผู้กระทำความผิด เท่าที่สามารถจะระบุได้ประกอบคำร้องด้วย ในการพิจารณาคำร้องให้ศาลพิจารณาคำร้องดังกล่าวโดยเร็ว
เมื่อศาลมีคำสั่งอนุญาตแล้ว ก่อนดำเนินการตามคำสั่งของศาล ให้พนักงาน
เจ้าหน้าที่ส่งสำเนาบันทึกเหตุอันควรเชื่อที่ทำให้ต้องใช้อำนาจตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) มอบให้เจ้าของหรือผู้ครอบครองระบบคอมพิวเตอร์นั้นไว้เป็นหลักฐาน แต่ถ้าไม่มีเจ้าของหรือผู้ครอบครองเครื่องคอมพิวเตอร์อยู่ ณ ที่นั้น ให้พนักงานเจ้าหน้าที่ส่งมอบสำเนาบันทึกนั้นให้แก่เจ้าของหรือผู้ครอบครองดังกล่าวในทันทีที่กระทำได้
ให้พนักงานเจ้าหน้าที่ผู้เป็นหัวหน้าในการดำเนินการตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) ส่งสำเนาบันทึกรายละเอียดการดำเนินการและเหตุผลแห่งการดำเนินการ ให้ศาลที่มีเขตอำนาจภายในสี่สิบแปดชั่วโมงนับแต่เวลาลงมือดำเนินการ เพื่อเป็นหลักฐาน
การทำสำเนาข้อมูลคอมพิวเตอร์ตามมาตรา ๑๘ (๔) ให้กระทำได้เฉพาะเมื่อมีเหตุอันควรเชื่อได้ว่ามีการกระทำความผิดตามพระราชบัญญัตินี้ และต้องไม่เป็นอุปสรรคในการดำเนินกิจการของเจ้าของหรือผู้ครอบครองข้อมูลคอมพิวเตอร์นั้นเกินความจำเป็น
การยึดหรืออายัดตามมาตรา ๑๘ (๘) นอกจากจะต้องส่งมอบสำเนาหนังสือแสดงการยึดหรืออายัดมอบให้เจ้าของหรือผู้ครอบครองระบบคอมพิวเตอร์นั้นไว้เป็นหลักฐานแล้ว พนักงานเจ้าหน้าที่จะสั่งยึดหรืออายัดไว้เกินสามสิบวันมิได้ ในกรณีจำเป็นที่ต้องยึดหรืออายัด ไว้นานกว่านั้น ให้ยื่นคำร้องต่อศาลที่มีเขตอำนาจเพื่อขอขยายเวลายึดหรืออายัดได้ แต่ศาลจะอนุญาตให้ขยายเวลาครั้งเดียวหรือหลายครั้งรวมกันได้อีกไม่เกินหกสิบวัน เมื่อหมดความจำเป็นที่จะยึดหรืออายัดหรือครบกำหนดเวลาดังกล่าวแล้ว พนักงานเจ้าหน้าที่ต้องส่งคืนระบบคอมพิวเตอร์ ที่ยึดหรือถอนการอายัดโดยพลัน
หนังสือแสดงการยึดหรืออายัดตามวรรคห้าให้เป็นไปตามที่กำหนดในกฎกระทรวง
มาตรา ๒๐ ในกรณีที่การกระทำความผิดตามพระราชบัญญัตินี้เป็นการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์ที่อาจกระทบกระเทือนต่อความมั่นคงแห่งราชอาณาจักรตามที่กำหนดไว้ในภาคสอง ลักษณะ ๑ หรือลักษณะ ๑/๑ แห่งประมวลกฎหมายอาญา หรือที่มีลักษณะขัดต่อ ความสงบเรียบร้อยหรือศีลธรรมอันดีของประชาชน พนักงานเจ้าหน้าที่โดยได้รับความเห็นชอบจากรัฐมนตรีอาจยื่นคำร้องพร้อมแสดงพยานหลักฐานต่อศาลที่มีเขตอำนาจขอให้มีคำสั่งระงับ การทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์นั้นได้
ในกรณีที่ศาลมีคำสั่งให้ระงับการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์ตามวรรคหนึ่ง ให้พนักงานเจ้าหน้าที่ทำการระงับการทำให้แพร่หลายนั้นเอง หรือสั่งให้ผู้ให้บริการระงับการทำให้แพร่หลายซึ่งข้อมูลคอมพิวเตอร์นั้นก็ได้
มาตรา ๒๑ ในกรณีที่พนักงานเจ้าหน้าที่พบว่า ข้อมูลคอมพิวเตอร์ใดมีชุดคำสั่ง ไม่พึงประสงค์รวมอยู่ด้วย พนักงานเจ้าหน้าที่อาจยื่นคำร้องต่อศาลที่มีเขตอำนาจเพื่อขอให้มีคำสั่งห้ามจำหน่ายหรือเผยแพร่ หรือสั่งให้เจ้าของหรือผู้ครอบครองข้อมูลคอมพิวเตอร์นั้นระงับการใช้ ทำลาย หรือแก้ไขข้อมูลคอมพิวเตอร์นั้นได้ หรือจะกำหนดเงื่อนไขในการใช้ มีไว้ในครอบครอง หรือเผยแพร่ชุดคำสั่งไม่พึงประสงค์ดังกล่าวก็ได้
ชุดคำสั่งไม่พึงประสงค์ตามวรรคหนึ่งหมายถึงชุดคำสั่งที่มีผลทำให้ข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์หรือชุดคำสั่งอื่นเกิดความเสียหาย ถูกทำลาย ถูกแก้ไข เปลี่ยนแปลงหรือเพิ่มเติม ขัดข้อง หรือปฏิบัติงานไม่ตรงตามคำสั่งที่กำหนดไว้ หรือโดยประการอื่นตามที่กำหนดในกฎกระทรวง ทั้งนี้ เว้นแต่เป็นชุดคำสั่งที่มุ่งหมายในการป้องกันหรือแก้ไขชุดคำสั่งดังกล่าวข้างต้น ตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา
มาตรา ๒๒ ห้ามมิให้พนักงานเจ้าหน้าที่เปิดเผยหรือส่งมอบข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ หรือข้อมูลของผู้ใช้บริการ ที่ได้มาตามมาตรา ๑๘ ให้แก่บุคคลใด
ความในวรรคหนึ่งมิให้ใช้บังคับกับการกระทำเพื่อประโยชน์ในการดำเนินคดีกับผู้กระทำความผิดตามพระราชบัญญัตินี้ หรือเพื่อประโยชน์ในการดำเนินคดีกับพนักงานเจ้าหน้าที่เกี่ยวกับการใช้อำนาจหน้าที่โดยมิชอบ หรือเป็นการกระทำตามคำสั่งหรือที่ได้รับอนุญาตจากศาล
พนักงานเจ้าหน้าที่ผู้ใดฝ่าฝืนวรรคหนึ่งต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๒๓ พนักงานเจ้าหน้าที่ผู้ใดกระทำโดยประมาทเป็นเหตุให้ผู้อื่นล่วงรู้ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ หรือข้อมูลของผู้ใช้บริการ ที่ได้มาตามมาตรา ๑๘ ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๒๔ ผู้ใดล่วงรู้ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ หรือข้อมูลของผู้ใช้บริการ ที่พนักงานเจ้าหน้าที่ได้มาตามมาตรา ๑๘ และเปิดเผยข้อมูลนั้นต่อ ผู้หนึ่งผู้ใด ต้องระวางโทษจำคุกไม่เกินสองปี หรือปรับไม่เกินสี่หมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๒๕ ข้อมูล ข้อมูลคอมพิวเตอร์ หรือข้อมูลจราจรทางคอมพิวเตอร์ ที่พนักงานเจ้าหน้าที่ได้มาตามพระราชบัญญัตินี้ ให้อ้างและรับฟังเป็นพยานหลักฐานตามบทบัญญัติแห่งประมวลกฎหมายวิธีพิจารณาความอาญาหรือกฎหมายอื่นอันว่าด้วยการสืบพยานได้ แต่ต้องเป็นชนิดที่มิได้เกิดขึ้นจากการจูงใจ มีคำมั่นสัญญา ขู่เข็ญ หลอกลวง หรือโดยมิชอบประการอื่น
มาตรา ๒๖ ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า เก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่ง ให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้
ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลง
ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา
ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท
มาตรา ๒๗ ผู้ใดไม่ปฏิบัติตามคำสั่งของศาลหรือพนักงานเจ้าหน้าที่ที่สั่งตามมาตรา ๑๘ หรือมาตรา ๒๐ หรือไม่ปฏิบัติตามคำสั่งของศาลตามมาตรา ๒๑ ต้องระวางโทษปรับ ไม่เกินสองแสนบาท และปรับเป็นรายวันอีกไม่เกินวันละห้าพันบาทจนกว่าจะปฏิบัติให้ถูกต้อง
มาตรา ๒๘ การแต่งตั้งพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้ ให้รัฐมนตรีแต่งตั้งจากผู้มีความรู้และความชำนาญเกี่ยวกับระบบคอมพิวเตอร์และมีคุณสมบัติตามที่รัฐมนตรีกำหนด
มาตรา ๒๙ ในการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ ให้พนักงานเจ้าหน้าที่ เป็นพนักงานฝ่ายปกครองหรือตำรวจชั้นผู้ใหญ่ตามประมวลกฎหมายวิธีพิจารณาความอาญา มีอำนาจรับคำร้องทุกข์หรือรับคำกล่าวโทษ และมีอำนาจในการสืบสวนสอบสวนเฉพาะความผิดตามพระราชบัญญัตินี้
ในการจับ ควบคุม ค้น การทำสำนวนสอบสวนและดำเนินคดีผู้กระทำความผิดตามพระราชบัญญัตินี้ บรรดาที่เป็นอำนาจของพนักงานฝ่ายปกครองหรือตำรวจชั้นผู้ใหญ่ หรือพนักงานสอบสวนตามประมวลกฎหมายวิธีพิจารณาความอาญา ให้พนักงานเจ้าหน้าที่ประสานงาน กับพนักงานสอบสวนผู้รับผิดชอบเพื่อดำเนินการตามอำนาจหน้าที่ต่อไป
ให้นายกรัฐมนตรีในฐานะผู้กำกับดูแลสำนักงานตำรวจแห่งชาติและรัฐมนตรี มีอำนาจร่วมกันกำหนดระเบียบเกี่ยวกับแนวทางและวิธีปฏิบัติในการดำเนินการตามวรรคสอง
มาตรา ๓๐ ในการปฏิบัติหน้าที่ พนักงานเจ้าหน้าที่ต้องแสดงบัตรประจำตัว ต่อบุคคลซึ่งเกี่ยวข้อง
บัตรประจำตัวของพนักงานเจ้าหน้าที่ให้เป็นไปตามแบบที่รัฐมนตรีประกาศ ในราชกิจจานุเบกษา
บทวิเคราห์มาตรา 18 ถึง มาตรา 30
มาตรา 18 ให้อำนาจพนักงานเจ้าหน้าที่ที่ผ่านหลักสูตรการฝึกอบรมเรื่อง Computer and Network Forensic และมีคุณสมบัติตามที่กฎกระทรวงกำหนด เช่น ผ่านการสอบ Local Security Certification ที่ทางกระทรวงได้กำหนดขึ้น หรือ ผ่านการสอบ International Security Certification สากลเช่น CompTIA Security+, SSCP หรือ CISSP มีหนังสือสอบถามหรือเรียกบุคคลที่เกี่ยวข้องกับการกระทำความผิดตามพระราชบัญญัตินี้มาเพื่อให้ถ้อยคำ ส่งคำชี้แจงเป็นหนังสือ หรือส่งเอกสาร ข้อมูล หรือหลักฐานอื่นใดที่อยู่ในรูปแบบที่สามารถเข้าใจได้ และ สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บตามมาตรา ๒๖ หรือที่อยู่ในความครอบครองหรือควบคุมของผู้ให้บริการให้แก่พนักงานเจ้าหน้าที่ เพื่อใช้ข้อมูลดังกล่าวเป็นหลักฐานในการสืบสวนสอบสวนและประกอบการพิจารณาคดี โดยมาตราที่ 18 วรรค 4 ถึง 8 นั้น พนักงานเจ้าหน้าที่ ต้องยื่นคำร้องต่อศาลและขอหมายศาลก่อนถึงจะมีอำนาจสำเนาข้อมูล ส่งให้ส่งมอบ, ตรวจสอบเข้าถึง, ถอดรหัสสลักข้อมูล รวมทั้งการยึดและอายัดระบบ ทั้งนี้ในมาตรา 19 บัญญัติไว้ว่าพนักงานเจ้าหน้าที่ต้องส่งสำเนาบันทึกรายละเอียดให้แก่ศาลภายใน 48 ชม. และจะยึด/อายัดห้ามเกิน 30 วันขยายได้เต็มที่อีกไม่เกิน 60 วัน สำหรับมาตรา 20 ได้บัญญัติถึงเรื่องการระงับการทำให้แพร่หล่ายของข้อมูลที่อาจกระทบกระเทือนต่อความมั่นคงแห่งราชอาณาจักร หรือ ข้อมูลที่มีลักษณะต่อความสงบเรียบร้อย หรือ ศีลธรรมอันดีของประชาชน ยกตัวอย่าง เช่น พนักงานเจ้าหน้าที่มีอำนาจในการ Block เว็บไซด์ที่ไม่เหมาะสม เป็นต้น และในมาตรา 21 พนักงานเจ้าหน้าที่สามารถร้องขอให้ศาลมีคำสั่งห้ามจำหน่าย หรือ เผยแพร่ หรือสั่งให้เจ้าของหรือผู้ครอบครองข้อมูลคอมพิวเตอร์นั้นระงับการใช้งานและทำลายข้อมูลนั้นได้ โดยที่ชุดคำสั่งไม่พึงประสงค์ หมายถึง มัลแวร์ (MalWare) ต่าง ๆ เช่น ไวรัส, วอร์ม, ม้าโทรจัน, สปายแวร์ ตลอดจน โปรแกรม Hacking Tool ต่าง ๆ
พนักงานเจ้าหน้าที่ก็มีความรับผิดชอบในการเก็บรักษาข้อมูลที่ได้มาเช่นกัน ดังที่บัญญัติไว้ในมาตราที่ 22 ถึงมาตรา 24 ห้ามมิให้พนักงานเจ้าหน้าที่เปิดเผยหรือส่งมอบข้อมูลที่ได้มาตามมาตรา 18 แก่บุคคลใด หากฝ่าฝืน พนักงานเจ้าหน้าที่ต้องระวางโทษจำคุกไม่เกิน 3 ปี หรือ ปรับไม่เกิน 6 หมื่นบาท หรือ ทั้งจำทั้งปรับ โดยในมาตรา 23 หากพนักงาน เจ้าหน้าที่ประมาทเลินเล่อ ทำให้ผู้ล่วงรู้ข้อมูลดังกล่าวต้องระวางโทษทั้งจำคุกและปรับ และ มาตรา 24 ได้บัญญัติผู้อื่นที่ล่วงรู้ข้อมูลที่ได้ว่าจากพนักงานเจ้าหน้าที่ก็มีโทษจำคุกและปรับ เช่นเดียวกันกับพนักงานเจ้าหน้าที่ ที่ปฏิบัติตนไม่ชอบ
มาตราสำคัญที่เป็น ประเด็นร้อนวันนี้คือ มาตรา 26 และมาตรา 27 ซึ่ง มาตรา 26 บัญญัติให้ ผู้ให้บริการต้องเก็บข้อมูลจราจรคอมพิวเตอร์ไว้ไม่ ต่ำกว่า 90 วัน แต่ไม่เกิน 1 ปี ซึ่งรายละเอียดข้อมูลจราจรคอมพิวเตอร์ที่ต้องจัดเก็บจะอยู่ในประกาศรัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารที่กำลังทยอยออกตามหลังการประกาศใช้งานกฏหมายฉบับนี้ โดยผู้ให้บริการจะมีภาระหน้าที่เก็บข้อมูลจราจรเท่าที่จำเป็น เพื่อให้สามารถระบุตัวผู้ใช้บริการได้ หากผู้ให้บริการผู้ใดไม่ปฏิบัติ ต้องระวางโทษปรับไม่เกิน 5 แสนบาท และในมาตรา 27 บัญญัติไว้ชัดเจนว่าหากผู้ใดไม่ให้ความร่วมมือในการทำสั่งข้อมูลตาม มาตรา 18 หรือ มาตรา 20 หรือไม่ปฏิบัติตามมาตรา 21 ต้องระวางโทษปรับไม่เกิน 2 แสนบาท และที่สำคัญต้องโทษปรับ รายวันอีก ไม่เกินวันละ 5 พันบาท “จนกว่าจะปฏิบัติให้ถูกต้อง”
จะเห็นได้ว่าผู้ใช้บริการคงจะอยู่เฉยไม่ได้แล้ว ควรจะจัดหาอุปกรณ์ฮาร์ดแวร์ และ ซอฟท์แวร์ มาใช้ในการเก็บ Log ตามข้อกฏหมาย โดยอุปกรณ์ที่ใช้ควรมีการจัดเก็บ Log ในลักษณะ “Centralized Log Server” ที่สามารถป้องกันการแก้ไขโดยแฮกเกอร์ หรือ การแก้ไขโดยผู้ดูแลระบบเอง ข้อมูลจราจร หรือ Log ที่เกิดขึ้นจากอุปกรณ์ต่าง ๆ ในระบบ ควรอยู่ในรูปแบบข้อมูลดิบ (Raw Data) ที่ถูกป้องกันจากการแก้ไขเพราะข้อมูลจราจร ดังกล่าว จะถูกนำไปใช้ในการพิจารณาคดีในชั้นนศาลดังนั้น ข้อมูล Log ควรที่จะมีความถูกต้องแน่นอนตามจริงและสามารถระบุตัวตน (Accountability) ของผู้กระทำการยึดได้โดยไม่มีข้อโต้แย้งในชั้นศาล
สำหรับมาตราที่ 28 บัญญัติถึงการแต่งตั้ง พนักงานเจ้าหน้าที่ที่มีความรู้ความสามารถเฉพาะทาง “Computer Forensic” มีคุณสมบัติตามที่รัฐมนตรีกำหนด เพื่อให้สามารถแน่ใจได้ว่าพนักงานเจ้าหน้าที่มีความรู้ความเข้าใจขั้นตอนในการเก็บข้อมูลหลักฐาน และการวิเคราะห์สืบสวนหาหลักฐานนี้อยู่ในรูปดิจิตอลฟอร์เมต ตลอดจน ปฏิบัติตามวิธีการที่ถูกต้อง ในการเก็บจัดการข้อมูลจนถึงการพิจารณาคดีในขั้นศาล (Chain of Custody) โดยในมาตรา 29 บัญญัติให้พนักงานเจ้าหน้าที่เป็นพนักงานฝ่ายปกครองหรือตำรวจชั้นผู้ใหญ่มีอำนาจรับคำร้องทุกข์ หรือ คำกล่าวโทษได้และมีอำนาจในการสืบสวนสอบสวน แต่อำนาจในการจับกุมให้พนักงานเจ้าหน้าที่ประสานงานกับ พนักงานสวบสวนผู้รับผิดชอบ เพื่อดำเนินงานตามหน้าที่
มาตราสุดท้าย (มาตรา 30) บัญญัติว่า พนักงานเจ้าหน้าที่ต้องมี “บัตรประจำตัว” เพื่อแสดงตนโดยรายละเอียดรูปแบบ ของบัตรให้เป็นไปตามที่รัฐมนตรีประกาศต่อไป
กล่าวโดยสรุป จะเห็นได้ว่ากฏหมายฉบับนี้มีผลกระทบกับสังคมสารสนเทศของประเทศไทยในระดับหนึ่งถือเป็นการเปลี่ยนแปลงครั้งสำคัญในแวดวงไอทีที่ผู้ใช้คอมพิวเตอร์ทุกคนควรให้ความสนใจศึกษารายละเอียดของกฏหมายฉบับนี้ตลอดจนมีการเตรียมตัวและปรับตัวให้องค์กรปฏิบัติตามกฏหมาย เช่น ไม่ Forward Email โดยไม่จำเป็น หรือ ควรจัดเก็บ Log ไว้ไม่ต่ำกว่า 90 วัน เป็นต้น การเติบโตของสังคมแหล่งภูมิปัญญาและการเรียนรู้ มีความจำเป็นต้องมีกฏหมายเฉพาะทางดังเช่น กฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ที่ใช้เวลาในการพัฒนาร่างกฎหมายถึง 9 ปี เต็ม เพื่อที่จะทำให้การใช้งานระบบสารสนเทศ รวมถึงระบบอินเทอร์เน็ต มีความปลอดภัยมากขึ้นส่งผลถึงการพัฒนาเศษฐกิจและสังคมของประเทศไทยในอนาคต ดังนั้น เราจึงควรร่วมกันปฏิบัติตามข้อกฏหมายอย่างเคร่งครัดด้วยความเข้าใจที่ถูกต้องในวัตถุประสงค์ของกฏหมายดังที่กล่าวมาแล้วในตอนต้น
อาชญากรรมคอมพิวเตอร์ในปัจจุบันและอนาคตทวีความซับซ้อนและเพิ่มความรุนแรงของผลกระทบมากขึ้น เนื่องจากอาชญากรรมคอมพิวเตอร์ในปัจจุบันมีการทำงานในลักษณะ “Organized Crime” คือ ทำเป็นกลุ่มเป็นองค์กร และ มีการโจมตีเพื่อหวังผลและมีจุดประสงค์ชัดเจน เรียกว่า “Targeted Attack” ซึ่งส่วนใหญ่จะมุ่งประโยชน์ทางด้านการเงิน เช่น การโจมตีระบบอินเทอร์เน็ตแบงก์กิ้ง หรือ การโจมตีระบบบัตรเครดิต รวมถึง การเข้า “Hack” ระบบเครือข่ายของบริษัทสื่อสารใหญ่ ๆ เพื่อแอบขโมยโทรศัพท์ฟรีโดยการเปลี่ยนแปลงข้อมูลในระบบ PRE-PAID ดังที่เป็นข่าวหน้าหนึ่งของหนังสือพิมพ์หลายฉบับมาแล้ว
ดังนั้น จึงมีความจำเป็นอย่างยิ่งในระดับชาติที่กฏหมายการกระทำเกี่ยวกับคอมพิวเตอร์ควรถูกบัญญัติ และมีผลบังคับใช้ให้เร็วที่สุดเท่าที่จะทำได้ เพราะ อาชญากรรมคอมพิวเตอร์นั้นเกิดขึ้นอย่างรวดเร็วและมีการเปลี่ยนแปลงอยู่ตลอดเวลา อีกทั้งยังมีคดีความเก่า ๆ ที่คั่งค้างไม่สามารถเอาผิดแฮกเกอร์ได้อย่างชัดเจนอีกหลายคดี จึงสรุปได้ว่า ปี พ.ศ. 2550 นี้คือเป็น นิมิตรหมายที่ดีสำหรับ ประเทศไทย ที่เราจะได้มีกฏหมายเกี่ยวกับ “Computer Crime” เหมือนกับหลาย ๆ ประเทศในแถบเอเชียที่มีกฏหมายในลักษณะนี้มาเป็นระยะเวลานานแล้ว และจากนี้ไปหากใครคิดจะเป็นแฮกเกอร์หรือก็คงต้องคิดใหม่และตระหนักถึงบทลงโทษในกฎหมายที่มีโทษจำคุกสูงสุดถึง 20 ปี ในภาพรวมจึงถือว่ากฏหมายฉบับนี้สอบผ่านและช่วยทำให้สังคมมีความสงบสุขมากขึ้นได้ในที่สุด