พ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550


พ.ร.บ. เกี่ยวกับคอมพิวเตอร์

พ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550

ความผิดเกี่ยวกับคอมพิวเตอร์และพนักงานเจ้าหน้าที่

                จากการได้เข้าสัมมนาเรื่องการบังคับใช้กฎหมาย พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550  กับบทบาทของผู้ให้บริการ ณ ห้องพรหมโยธี มหาวิทยาลัยราชภัฎนครศรีธรรมราช  พอสรุปได้ดังนี้

หมวด 1 "ความผิดเกี่ยวกับคอมพิวเตอร์" ตั้งแต่มาตรา 5 ถึง มาตรา 17

มาตรา 5 ถึง มาตรา 10 เป็นการนำหลักการ CIA (Confidentially, Integrity และ vailability) มาประยุกต์ใช้กับการโจมตีของผู้ไม่หวังดีในแบบต่างๆ เช่น การเจาะระบบเข้าไปแอบขโมยสำเนาข้อมูล, การแอบดูชื่อและรหัสผ่านโดยใช้โปรแกรมประเภท Sniffer หรือการโจมตีเปลี่ยนหน้าเว็บไซต์ (Web Defacement, see www.zone-h.org ) ตลอดจนการโจมตีให้เว็บไซต์ล่ม (Denial of Services) ล้วนแต่เข้าข้อกฎหมายในมาตรา 5 ถึง มาตรา 10 ทั้งสิ้น ซึ่งมีโทษทั้งจำทั้งปรับ

                มาตรา 11 นั้น เกี่ยวข้องโดยตรงกับผู้ที่ชอบส่ง "SPAM Mail" ซึ่งมีโทษปรับไม่เกินหนึ่งแสนบาท 
                มาตรา 12 เป็นการกระทำผิดที่มีโทษในกรณีที่มีผลกระทบต่อความมั่นคงทางเศรฐกิจของประเทศหรือบริการสาธารณะ โทษสูงสุดถึงจำคุก 15 ปี และปรับถึง 3 แสนบาท แต่ถ้าหากทำให้ผู้อื่นถึงแก่ความตาย โทษจะสูงสุดถึงจำคุก 20 ปีเลยทีเดียว

                มาตรา 14 ถึง 16 นั้น ผู้ใช้คอมพิวเตอร์ ตลอดจนผู้ให้บริการตามข้อกำหนดของกฎหมาย ต้องระมัดระวังไม่ให้ข้อมูลอัน "ไม่เหมาะสม" ปรากฎอยู่บนอินเทอร์เน็ตในลักษณะการปรากฎของตัวข้อมูลเอง เช่น รูปภาพ หรือ ข้อความ ที่ถูก Upload ขึ้นไป รวมถึง Link ที่พาไปยังข้อมูลดังกล่าวด้วย เพราะฉะนั้นท่านที่ชอบ Forward Mail โดยไม่ระวังอาจเข้าข้อกฎหมายในมาตราที่ 14 ข้อ 5 ซึ่งมีโทษจำคุกไม่เกิน 5 ปี หรือ ปรับไม่เกิน 1 แสนบาท หรือ ทั้งจำทั้งปรับ

                มาตรา 17 ผู้ใดกระทำความผิดตามพระราชบัญญัตินี้นอกราชอาณาจักรและ

                        (1)    ผู้กระทำความผิดนั้นเป็นคนไทย และรัฐบาลแห่งประเทศที่ความผิดได้

เกิดขึ้นหรือผู้เสียหายได้ร้องขอให้ลงโทษ หรือ

(2)    ผู้กระทำความผิดนั้นเป็นคนต่างด้าว และรัฐบาลไทยหรือคนไทยเป็น

ผู้เสียหายและผู้เสียหายได้ร้องขอให้ลงโทษ จะต้องรับโทษภายในราชอาณาจักร

หมวด 2 พนักงานเจ้าหน้าที่  มาตรา 18-30

มาตรา 18 ให้อำนาจพนักงานเจ้าหน้าที่ที่ผ่านหลักสูตรการฝึกอบรมเรื่อง Computer and Network Forensic และมีคุณสมบัติตามที่กฎกระทรวงกำหนด เช่น ผ่านการสอบ Local Security Certification ที่ทางกระทรวงได้กำหนดขึ้น หรือ ผ่านการสอบ International Security Certification สากลเช่น CompTIA Security+, SSCP หรือ CISSP มีหนังสือสอบถามหรือเรียกบุคคลที่เกี่ยวข้องกับการกระทำความผิดตามพระราชบัญญัตินี้มาเพื่อให้ถ้อยคำ ส่งคำชี้แจงเป็นหนังสือ หรือส่งเอกสาร ข้อมูล หรือหลักฐานอื่นใดที่อยู่ในรูปแบบที่สามารถเข้าใจได้ และ สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บตามมาตรา ๒๖ หรือที่อยู่ในความครอบครองหรือควบคุมของผู้ให้บริการให้แก่พนักงานเจ้าหน้าที่ เพื่อใช้ข้อมูลดังกล่าวเป็นหลักฐานในการสืบสวนสอบสวนและประกอบการพิจารณาคดี โดยมาตราที่ 18 วรรค 4 ถึง 8 นั้น พนักงานเจ้าหน้าที่ ต้องยื่นคำร้องต่อศาลและขอหมายศาลก่อนถึงจะมีอำนาจสำเนาข้อมูล ส่งให้ส่งมอบ, ตรวจสอบเข้าถึง, ถอดรหัสสลักข้อมูล รวมทั้งการยึดและอายัดระบบ ทั้งนี้ในมาตรา 19 บัญญัติไว้ว่าพนักงานเจ้าหน้าที่ต้องส่งสำเนาบันทึกรายละเอียดให้แก่ศาลภายใน 48 ชม. และจะยึด/อายัดห้ามเกิน 30 วันขยายได้เต็มที่อีกไม่เกิน 60 วัน สำหรับมาตรา 20 ได้บัญญัติถึงเรื่องการระงับการทำให้แพร่หลายของข้อมูลที่อาจกระทบกระเทือนต่อความมั่นคงแห่งราชอาณาจักร หรือ ข้อมูลที่มีลักษณะต่อความสงบเรียบร้อย หรือ ศีลธรรมอันดีของประชาชน ยกตัวอย่าง เช่น พนักงานเจ้าหน้าที่มีอำนาจในการ Block เว็บไซด์ที่ไม่เหมาะสม เป็นต้น และในมาตรา 21 พนักงานเจ้าหน้าที่สามารถร้องขอให้ศาลมีคำสั่งห้ามจำหน่าย หรือ เผยแพร่ หรือสั่งให้เจ้าของหรือผู้ครอบครองข้อมูลคอมพิวเตอร์นั้นระงับการใช้งานและทำลายข้อมูลนั้นได้ โดยที่ชุดคำสั่งไม่พึงประสงค์ หมายถึง มัลแวร์ (MalWare) ต่าง ๆ เช่น ไวรัส, วอร์ม, ม้าโทรจัน, สปายแวร์ ตลอดจน โปรแกรม Hacking Tool ต่าง ๆ

        พนักงานเจ้าหน้าที่ก็มีความรับผิดชอบในการเก็บรักษาข้อมูลที่ได้มาเช่นกัน ดังที่บัญญัติไว้ในมาตราที่ 22 ถึงมาตรา 24 ห้ามมิให้พนักงานเจ้าหน้าที่เปิดเผยหรือส่งมอบข้อมูลที่ได้มาตามมาตรา 18 แก่บุคคลใด หากฝ่าฝืน พนักงานเจ้าหน้าที่ต้องระวางโทษจำคุกไม่เกิน 3 ปี หรือ ปรับไม่เกิน 6 หมื่นบาท หรือ ทั้งจำทั้งปรับ โดยในมาตรา 23 หากพนักงาน เจ้าหน้าที่ประมาทเลินเล่อ ทำให้ผู้ล่วงรู้ข้อมูลดังกล่าวต้องระวางโทษทั้งจำคุกและปรับ และ มาตรา 24 ได้บัญญัติผู้อื่นที่ล่วงรู้ข้อมูลที่ได้ว่าจากพนักงานเจ้าหน้าที่ก็มีโทษจำคุกและปรับ เช่นเดียวกันกับพนักงานเจ้าหน้าที่ ที่ปฏิบัติตนไม่ชอบ

มาตราสำคัญที่เป็น คือ มาตรา 26 และมาตรา 27 ซึ่ง มาตรา 26 บัญญัติให้ ผู้ให้บริการต้องเก็บข้อมูลจราจรคอมพิวเตอร์ไว้ไม่ ต่ำกว่า 90 วัน แต่ไม่เกิน 1 ปี ซึ่งรายละเอียดข้อมูลจราจรคอมพิวเตอร์ที่ต้องจัดเก็บจะอยู่ในประกาศรัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารที่กำลังทยอยออกตามหลังการประกาศใช้งานกฎหมายฉบับนี้ โดยผู้ให้บริการจะมีภาระหน้าที่เก็บข้อมูลจราจรเท่าที่จำเป็น เพื่อให้สามารถระบุตัวผู้ใช้บริการได้ หากผู้ให้บริการผู้ใดไม่ปฏิบัติ ต้องระวางโทษปรับไม่เกิน 5 แสนบาท และในมาตรา 27 บัญญัติไว้ชัดเจนว่าหากผู้ใดไม่ให้ความร่วมมือในการทำสั่งข้อมูลตาม มาตรา 18 หรือ มาตรา 20 หรือไม่ปฏิบัติตามมาตรา 21 ต้องระวางโทษปรับไม่เกิน 2 แสนบาท และที่สำคัญต้องโทษปรับ รายวันอีก ไม่เกินวันละ 5 พันบาท "จนกว่าจะปฏิบัติให้ถูกต้อง"

จะเห็นได้ว่าผู้ใช้บริการคงจะอยู่เฉยไม่ได้แล้ว ควรจะจัดหาอุปกรณ์ฮาร์ดแวร์ และ ซอฟท์แวร์ มาใช้ในการเก็บ Log ตามข้อกฎหมาย โดยอุปกรณ์ที่ใช้ควรมีการจัดเก็บ Log ในลักษณะ "Centralized Log Server" ที่สามารถป้องกันการแก้ไขโดยแฮกเกอร์ หรือ การแก้ไขโดยผู้ดูแลระบบเอง ข้อมูลจราจร หรือ Log ที่เกิดขึ้นจากอุปกรณ์ต่าง ๆ ในระบบ ควรอยู่ในรูปแบบข้อมูลดิบ (Raw Data) ที่ถูกป้องกันจากการแก้ไขเพราะข้อมูลจราจร ดังกล่าว จะถูกนำไปใช้ในการพิจารณาคดีในขั้นศาลดังนั้น ข้อมูล Log ควรที่จะมีความถูกต้องแน่นอนตามจริงและสามารถระบุตัวตน (Accountability) ของผู้กระทำยึดได้โดยไม่มีข้อโต้แย้งในชั้นศาล

                สำหรับมาตราที่ 28 บัญญัติถึงการแต่งตั้ง พนักงานเจ้าหน้าที่ที่มีความรู้ความสามารถเฉพาะทาง "Computer Forensic" มีคุณสมบัติตามที่รัฐมนตรีกำหนด เพื่อให้สามารถแน่ใจได้ว่าพนักงานเจ้าหน้าที่มีความรู้ความเข้าใจขั้นตอนในการเก็บข้อมูลหลักฐาน และการวิเคราะห์สืบสวนหาหลักฐานนี้อยู่ในรูปดิจิตอลฟอร์เมต ตลอดจน ปฏิบัติตามวิธีการที่ถูกต้อง ในการเก็บจัดการข้อมูลจนถึงการพิจารณาคดีในขั้นศาล (Chain of Custody) โดยในมาตรา 29 บัญญัติให้พนักงานเจ้าหน้าที่เป็นพนักงานฝ่ายปกครองหรือตำรวจชั้นผู้ใหญ่มีอำนาจรับคำร้องทุกข์ หรือ คำกล่าวโทษได้และมีอำนาจในการสืบสวนสอบสวน แต่อำนาจในการจับกุมให้พนักงานเจ้าหน้าที่ประสานงานกับ พนักงานสวบสวนผู้รับผิดชอบ เพื่อดำเนินงานตามหน้าที่

มาตราสุดท้าย (มาตรา 30) บัญญัติว่า พนักงานเจ้าหน้าที่ต้องมี "บัตรประจำตัว" เพื่อแสดงตนโดยรายละเอียดรูปแบบ ของบัตรให้เป็นไปตามที่รัฐมนตรีประกาศต่อไป

 

หมายเลขบันทึก: 195052เขียนเมื่อ 19 กรกฎาคม 2008 10:59 น. ()แก้ไขเมื่อ 11 มิถุนายน 2012 18:13 น. ()สัญญาอนุญาต: จำนวนที่อ่านจำนวนที่อ่าน:


ความเห็น (1)

ขอเรียกพี่ว่าพี่นะค่ะ

พี่นามสกุล ชุมพงษ์หรอค่ะ

ถ้าใช่พี่โทรหาแป้งหน่อยนะค่ะเพราะเเป้งเองนามสกุลชุมพงษ์ค่ะ

เบอร์แป้งนะค่ะ 087-7651120

พบปัญหาการใช้งานกรุณาแจ้ง LINE ID @gotoknow
ClassStart
ระบบจัดการการเรียนการสอนผ่านอินเทอร์เน็ต
ทั้งเว็บทั้งแอปใช้งานฟรี
ClassStart Books
โครงการหนังสือจากคลาสสตาร์ท