จากความนิยมในการใช้อินเทอร์เน็ตที่เพิ่มขึ้นทั่วโลก (ดูรูปที่ 1-4) สถิติอาชญากรรมคอมพิวเตอร์ที่มีการใช้งานอินเตอร์เน็ตเป็นสื่อกลางในการติดต่อก็มีสถิติเพิ่มขึ้นเป็นเงาตามตัวเช่นกัน เหล่าอาชญากรคอมพิวเตอร์ในปัจจุบันล้วนอาศัยช่องทางการโจมตีเหยื่อ หรือเป้าหมายผ่านทางเครือข่ายอินเทอร์เน็ต ซึ่งถือเป็นเครือข่ายสาธารณะที่เชื่อมต่อคอมพิวเตอร์ของผู้ใช้คอมพิวเตอร์กว่าพันล้านคนเข้าด้วยกัน

รูปที่ 1

Source: http://www.internetworldstats.com/

รูปที่ 2

รูปที่ 3

รูปที่ 4

จากการโจมตีทางอินเทอร์เน็ตดังกล่าวทำให้หลายองค์กรตลอดจนบุคคลทั่วไปเกิดความเสียหายทางด้านเศรษฐกิจและสังคม รวมทั้งเสียชื่อเสียงและสูญเสียความน่าเชื่อถือ ซึ่งในปัจจุบันกลายเป็นปัญหาใหญ่ในระดับชาติที่ทุกคนควรต้องทำความเข้าใจสาเหตุของปัญหาให้ถ่องแท้และร่วมกันแก้ปัญหาให้ถูกจุด

การออก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ของทางภาครัฐ ถือเป็นหนึ่งในวิธีการแก้ปัญหาที่ถูกต้อง แต่การออก พรบ. ฯ ดังกล่าวย่อมส่งผลกระทบกับวงการไอทีในประเทศไทยอย่างหลีกเลี่ยงไม่ได้ ซึ่งผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 นั้น สรุปได้ดังนี้

10 ผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550

1. การเตรียมความพร้อมและการจัดเตรียมงบประมาณขององค์กรในการจัดเก็บ Log ตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ยังไม่พร้อมและยังขาดงบประมาณอยู่ในองค์กรส่วนใหญ่

2. จำนวนพนักงานเจ้าหน้าที่ที่ยังไม่เพียงพอกับจำนวนอาชญากรรมที่เกี่ยวกับคอมพิวเตอร์ในปัจจุบันและอนาคต

หน่วยงานที่เกี่ยวข้องกับพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่ประชาชนสามารถแจ้งความกับเจ้าพนักงาน โดยประสานงานกับพนักงานเจ้าหน้าที่ ได้แก่
– ศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ (ศตท.) หรือ High-Tech Crime Center (HTCC)
– กองบังคับการปราบปรามการกระทำผิดต่อเด็ก เยาวชน และสตรี (ปดส.)
– กองบังคับการปราบปรามอาชญากรรมทางเศรษฐกิจและเทคโนโลยี (ปศท.)
– กรมสอบสวนคดีพิเศษ (DSI)

หน่วยงานที่มีพนักงานเจ้าหน้าที่ ได้แก่
– สำนักข่าวกรองแห่งชาติ
– สำนักงานตำรวจแห่งชาติ
– กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

3. ความสับสนระหว่าง การใช้พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 กับ การใช้ ป. วิอาญาในการดำเนินการขอหมายจับและการจับกุมผู้กระทำผิดที่กระทำผิดเกี่ยวกับคอมพิวเตอร์ ของผู้บังคับใช้กฎหมาย

4. ความเข้าใจผิดในการตีความพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ในเชิงเทคนิค

5. บทลงโทษบางมาตราที่ค่อนข้างอ่อนเกินไป หรือบางมาตราที่มากเกินไป เช่น การยอมความไม่ได้ในมาตราส่วนใหญ่

6. การจัดเก็บ Log File ที่ยังไม่ถูกต้องครบถ้วนตามวัตถุประสงค์ของพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 โดยเฉพาะเรื่องการระบุตัวเป็นรายบุคคล (Accountability)

7. การประชาสัมพันธ์ให้ประชาชนทั่วไปได้รับทราบและทำความเข้าใจกับพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ยังอยู่ในวงแคบ ทำให้บางคนไม่ทราบความหมายในรายละเอียดของ พรบ. ฯ หรือ อาจกระทำผิดโดยรู้เท่าไม่ถึงการณ์

8. ขาดการฝึกอบรมด้านเทคโนโลยีขั้นสูงในลักษณะ Hands-on Workshop เช่น Advanced Computer Forensic Workshop หรือ Incident Response and Handling Workshop ให้กับพนักงานเจ้าหน้าที่ โดยการฝึกฝนจาก Workshop จะทำให้เกิดความน่าเชื่อถือ และ เกิดความแม่นยำในการปฎิบัติงานมากขึ้น รวมทั้งขาดการสนับสนุนพนักงานเจ้าหน้าที่โดยควรมีหน่วยงานที่ถาวรมารองรับ

9. ขาดการฝึกอบรมเชิงเทคนิคให้กับ Law Enforcement เช่น ผู้พิพากษา และอัยการ อย่างเพียงพอ ทำให้อาจเกิดความผิดพลาดในการวินิจฉัยเวลาพิจารณาคดีได้

10. ผู้บริหารในหลายองค์กรยังคงเพิกเฉยต่อการจัดเก็บ Log File ตามพรบ.ฯ เนื่องจากคาดว่าคงไม่เกิดการบังคับใช้จริงและการตรวจสอบจากพนักงานเจ้าหน้าที่ที่มีจำนวนจำกัดยังไม่ถูกดำเนินการเป็นกรณีตัวอย่าง

มีการแก้ไข พรบ. ฯ เพิ่มเติมหรือไม่? อย่างไร?

หลังจากที่ พรบ.ฯ ประกาศบังคับใช้เมื่อวันที่ 18 มิถุนายน 2550 ทางกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารได้ออกประกาศเพิ่มเติมอีก 6 ประกาศ ได้แก่

1. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550

2. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง แต่งตั้งพนักงานเจ้าหน้าที่ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

3. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง แต่งตั้งพนักงานเจ้าหน้าที่ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ฉบับที่ 2

4. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง กำหนดแบบบัตรประจำตัวพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

5. ระเบียบว่าด้วยการจับกุม ค้น การทำสำนวนสอบสวนและดำเนินคดีกับผู้กระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

6. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์เกี่ยวกับคุณสมบัติของพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

(หมายเหตุ . หลังจากประกาศทั้ง 6 แล้ว ในปัจจุบันยังไม่มีการประกาศเพิ่มเติม)

ปัญหาและอุปสรรคของคณะกรรมาธิการร่าง พรบ. ฯ

ปัญหาและอุปสรรคส่วนใหญ่ของคณะกรรมาธิการร่าง พรบ. ฯ เป็นเรื่องของความเห็นที่ไม่ตรงกันเกี่ยวกับตัวบทกฎหมาย เพราะหากเรานำคนที่มีความรู้พื้นฐานไม่เท่ากันและประสบการณ์ที่แตกต่างกันมาปฏิบัติงานร่วมกันก็ย่อมเกิดความแตกต่างทางความคิดได้เป็นธรรมดา เนื่องจากคณะกรรมาธิการร่างพรบ. ฯ ประกอบด้วยกลุ่มนักกฎหมายที่ไม่มีความรู้ด้านเทคโนโลยีสารสนเทศในเชิงเทคนิค และ กลุ่มผู้เชี่ยวชาญด้านเทคนิคที่มีความรู้ด้านเทคโนโลยีสารสนเทศดีเยี่ยมแต่ไม่มีความรู้ด้านกฎหมายเพียงพอ ดังนั้นความเห็นบางอย่างอาจไม่ตรงกัน บทลงโทษในกฎหมายบางครั้งก็ถูกตัดออกไปโดยไม่จำเป็น หรือ ในตัวบทกฎหมายในบางข้อความก็มีบ้างที่ไม่จำเป็นต้องนำมาเขียนไว้ แต่ผู้ปฎิบัติตามกฎหมายต้องสามารถอธิบายกับพนักงานเจ้าหน้าที่ได้เวลาที่เกิดเหตุการณ์ไม่พึงประสงค์ โดยเริ่มจากการศึกษาตัวบทกฎหมายให้รู้แจ้งเห็นจริงเสียก่อน จึงจะสามารถตอบสนองความต้องการของพนักงานเจ้าหน้าที่ และ Law Enforcement ตลอดจน Auditor และ Regulator รวมทั้งตอบสนองต่อความต้องการของลูกค้า หรือ ผู้ใช้งานคอมพิวเตอร์ทั่วไป (Users) ได้อย่างถูกต้องตามกฎหมาย

ดังนั้นจึงสรุปได้ว่าตัวพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และประกาศกระทรวง ฯ ควรจะมีการนำมาปรับแต่งแก้ไขให้เป็นปัจจุบันและเพื่อสอดคล้องกับสถานการณ์การละเมิด พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และประกาศกระทรวง ฯ ที่เกิดขึ้นอยู่เป็นประจำในขณะนี้

สิ่งที่ผู้บังคับใช้กฎหมายและผู้ปฏิบัติตามกฎหมายต้องเรียนรู้มีอะไรบ้าง ?

·         สำหรับ ผู้บังคับใช้กฎหมายได้แก่ เจ้าหน้าที่รัฐ เช่น พนักงานเจ้าหน้าที่ ผู้พิพากษา อัยการ ตำรวจ ควร
– ศึกษาหลักวิชาการและองค์ความรู้ด้านการพิสูจน์หลักฐานทางคอมพิวเตอร์ ประกอบด้วย Host Forensic and Network/Internet Forensic, Incident Response and Incident handling, Fraud Audit 
– ศึกษาหลักวิชาการและองค์ความรู้ด้านความรู้พื้นฐานเกี่ยวกับเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ หรือ Common Body of Knowledge (CBK)
– ศึกษาหลักวิชาการและองค์ความรู้ด้านนิติศาสตร์และอาชญวิทยา
– ศึกษาประสบการณ์ case study ในการจับกุมและสืบสวนสอบสวนกรณีความผิดเกี่ยวกับคอมพิวเตอร์
– ศึกษากระบวนการจัดเก็บหลักฐานให้มีความน่าเชื่อถือในการพิสูจน์ทราบในชั้นศาล

·         สำหรับผู้ที่ต้องปฏิบัติตามกฎหมายพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ฯ ควร
– ศึกษาตัวบทกฎหมายและประกาศต่างๆให้เกิดความเข้าใจอย่างถ่องแท้
– ปฏิบัติตนและองค์กรไม่ให้ละเมิดข้อกำหนดในมาตราต่างๆของพรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ รวมทั้งประกาศกระทรวง ฯ 
– มีความรับผิดชอบต่อสังคมโดยร่วมมือในการจัดเก็บLog File และร่วมมือในการสืบสวนสอบสวนของพนักงานเจ้าหน้าที่
– เข้าใจถึงอำนาจหน้าที่ที่แตกต่างกันของเจ้าพนักงาน (ตำรวจ) และ พนักงานเจ้าหน้าที่
– เรียนรู้กลโกงทางอินเทอร์เน็ตและวิธีใช้อินเทอร์เน็ตอย่างปลอดภัยโดยควรจัดอบรม Information

Security Awareness Training ในองค์กรทุกปี อย่างน้อยปีละหนึ่งหรือสองครั้ง สำหรับผู้ใช้คอมพิวเตอร์ตามบ้านควรหาความรู้อินเทอร์เน็ตหรือจากการเข้าฟังสัมมนาที่เกี่ยวกับกลโกงทางอินเทอร์เน็ต เช่น Top Ten Cyber Security Threat 2009 เพื่อ “Update” ความรู้ใหม่ๆ เกี่ยวกับภัยอินเทอร์เน็ตทั้งในปัจจุบันและอนาคต

รูปแบบของการกระทำความผิด และ เหตุที่เกิดการกระทำความผิด

สำหรับรูปแบบของการกระทำความผิด (ดูรูปที่ 5)

รูปที่ 5

มาตรา 5-16 หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ (ดูรูปที่ 6)

รูปที่ 6

มาตรา18-30 หมวดที่ 2 พนักงานเจ้าหน้าที่ (ดูรูปที่ 7)

รูปที่ 7

บทกำหนดโทษ (ดูรูปที่ 8)

รูปที่ 8

สำหรับสภาพปัญหาของการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ มีข้อสังเกตุดังนี้

– ผู้กระทำความผิดอยู่ตรงไหนก็ได้ในโลก
– ผู้กระทำความผิดใช้เทคโนโลยีที่ซับซ้อนในการกระทำความผิดยากต่อการตรวจพบร่องรอยการกระทำผิด ทำให้ยากต่อการจับกุมและนำผู้กระทำผิดมาลงโทษ
– ความเสียหายกระทบถึงคนจำนวนมาก และ มีความรวดเร็ว
– หน่วยงานผู้มีหน้าที่ ไม่อาจป้องกันได้ทันท่วงที
– ที่เกิดเหตุมักมีมากกว่า 2 ท้องที่ ขึ้นไปเสมอ

สำหรับเหตุที่เกิดการกระทำความผิด อาจแบ่งได้หลายกรณี เช่น

– รู้เท่าไม่ถึงการณ์ โดยไม่ทราบว่าตนเองกำลังกระทำความผิดตามพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ
– เพิกเฉยเนื่องจากเห็นว่า ทางภาครัฐไม่เอาจริงในการจับกุม และมองว่าเป็นต้นทุน (Cost) ขององค์กรโดยไม่จำเป็นต้องลงทุนกับการจัดเก็บ Log 
– คิดว่าการกระทำของตนหรือองค์กรไม่ผิดกฎหมาย จากการตีความเอาเองหรืออ่านกฎหมายแล้วไม่ชัดเจน
– ไม่มีมาตรการในการป้องกันระบบของตนเองให้ดีพอ ทำให้กลายเป็นฐานของแฮกเกอร์หรืออาชญากรคอมพิวเตอร์โดยไม่รู้ตัว
– ไม่ออกกฎระเบียบในการใช้คอมพิวเตอร์ให้ถูกต้องและปลอดภัย หรือ Acceptable Use Policy (AUP) ซึ่งเป็นความรับผิดชอบของผู้บริหารระดับสูง

กล่าวโดยสรุปได้ว่า หลังการประกาศบังคับใช้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และ ประกาศกระทรวง ฯ ในตลอดระยะเวลาที่ผ่านมานั้น ยังมีคดีที่เป็นกรณีศึกษาเกิดขึ้นไม่มากนัก ส่วนใหญ่จะเป็นกรณีที่เกี่ยวกับการหมิ่นประมาท การเผยแพร่ภาพลามกอนาจาร มีกรณีที่เกี่ยวกับการโจมตีเจาะระบบ เพื่อขโมยเงินหรือหวังผลประโยชน์ทางด้านการเงิน โดยแฮกเกอร์รายบุคคล หรือ แก็งค์อาชญากรรมข้ามชาติ แต่ในปัจจุบันจำนวนคดียังมีจำนวนไม่มากเท่าคดีหมิ่นประมาท และ คดีเผยแพร่ภาพลามกอนาจาร

สำหรับกรณีที่ไม่จัดเก็บ Log หรือ จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่ต่ำกว่า 90 วัน ยังไม่มีกรณีที่องค์กรถูกจับและถูกปรับเลย ซึ่งทำให้หลายองค์กรยังไม่ปฏิบัติตามพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ตามมาตรา 26 รวมถึง ปัญหาของมาตรา 11 ที่เกี่ยวกับ SPAM Mail ก็ยังพบเห็นกันอยู่ตามปกติ หรือ อาจจะมากขึ้นกว่าเดิมด้วยซ้ำ ยังไม่รวมถึงการปล่อย MalWareหรือ ไวรัสคอมพิวเตอร์อีกจำนวนมาก

ดังนั้นควรมีการประชาสัมพันธ์เนื้อหา พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ให้มากขึ้นในวงกว้าง และ ควรมีการปรับแก้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ในบางมาตรา หรือ การปรับแก้บทลงโทษให้เหมาะสมกับสถานการณ์ปัจจุบัน ตลอดจน ภาครัฐควรบังคับใช้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ให้จริงจังมากกว่าที่เป็นอยู่ในขณะนี้ ในส่วนของการจัดเก็บ Log ของผู้ให้บริการ ไม่ควรเน้นไปที่การจับกุมเฉพาะคดีภาพลามกอนาจารหรือการเผยแพร่คลิปโป๊เท่านั้น ขณะเดียวกันควรเพิ่มจำนวนพนักงานเจ้าหน้าที่ให้มากขึ้น และถ่ายทอดความรู้ขั้นสูงให้กับพนักงานเจ้าหน้าที่ให้มีทักษะในการพิสูจน์หลักฐานทางคอมพิวเตอร์ให้มากขึ้นกว่าในปัจจุบัน เพื่อเป็นการเตรียมรับมือกับอาชญากรรมที่จะเกิดขึ้นในอนาคต ตามที่ทาง Gartner Research ได้ทำนายไว้แล้วว่า “Computer Crime as a Service” กำลังจะมาในเร็ววันนี้

จากความนิยมในการใช้อินเทอร์เน็ตที่เพิ่มขึ้นทั่วโลก (ดูรูปที่ 1-4) สถิติ อาชญากรรมคอมพิวเตอร์ที่มีการใช้งานอินเตอร์เน็ตเป็นสื่อกลางในการติดต่อก็ มีสถิติเพิ่มขึ้นเป็นเงาตามตัวเช่นกัน เหล่าอาชญากรคอมพิวเตอร์ในปัจจุบันล้วนอาศัยช่องทางการโจมตีเหยื่อ หรือเป้าหมายผ่านทางเครือข่ายอินเทอร์เน็ต ซึ่งถือเป็นเครือข่ายสาธารณะที่เชื่อมต่อคอมพิวเตอร์ของผู้ใช้คอมพิวเตอร์ กว่าพันล้านคนเข้าด้วยกัน

รูปที่ 1

Source: http://www.internetworldstats.com/

รูปที่ 2

รูปที่ 3

รูปที่ 4

จาก การโจมตีทางอินเทอร์เน็ตดังกล่าวทำให้หลายองค์กรตลอดจนบุคคลทั่วไปเกิดความ เสียหายทางด้านเศรษฐกิจและสังคม รวมทั้งเสียชื่อเสียงและสูญเสียความน่าเชื่อถือ ซึ่งในปัจจุบันกลายเป็นปัญหาใหญ่ในระดับชาติที่ทุกคนควรต้องทำความเข้าใจ สาเหตุของปัญหาให้ถ่องแท้และร่วมกันแก้ปัญหาให้ถูกจุด

การออก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ของ ทางภาครัฐ ถือเป็นหนึ่งในวิธีการแก้ปัญหาที่ถูกต้อง แต่การออก พรบ. ฯ ดังกล่าวย่อมส่งผลกระทบกับวงการไอทีในประเทศไทยอย่างหลีกเลี่ยงไม่ได้ ซึ่งผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 นั้น สรุปได้ดังนี้

10 ผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550

1. การเตรียมความพร้อมและการจัดเตรียมงบประมาณขององค์กรในการจัดเก็บ Log ตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ยังไม่พร้อมและยังขาดงบประมาณอยู่ในองค์กรส่วนใหญ่

2. จำนวนพนักงานเจ้าหน้าที่ที่ยังไม่เพียงพอกับจำนวนอาชญากรรมที่เกี่ยวกับคอมพิวเตอร์ในปัจจุบันและอนาคต

หน่วย งานที่เกี่ยวข้องกับพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่ประชาชนสามารถแจ้งความกับเจ้าพนักงาน โดยประสานงานกับพนักงานเจ้าหน้าที่ ได้แก่
– ศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ (ศตท.) หรือ High-Tech Crime Center (HTCC)
– กองบังคับการปราบปรามการกระทำผิดต่อเด็ก เยาวชน และสตรี (ปดส.)
– กองบังคับการปราบปรามอาชญากรรมทางเศรษฐกิจและเทคโนโลยี (ปศท.)
– กรมสอบสวนคดีพิเศษ (DSI)

หน่วยงานที่มีพนักงานเจ้าหน้าที่ ได้แก่
– สำนักข่าวกรองแห่งชาติ
– สำนักงานตำรวจแห่งชาติ
– กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

3. ความสับสนระหว่าง การใช้พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 กับ การใช้ ป. วิอาญาในการดำเนินการขอหมายจับและการจับกุมผู้กระทำผิดที่กระทำผิดเกี่ยวกับคอมพิวเตอร์ ของผู้บังคับใช้กฎหมาย

4. ความเข้าใจผิดในการตีความพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ในเชิงเทคนิค

5. บทลงโทษบางมาตราที่ค่อนข้างอ่อนเกินไป หรือบางมาตราที่มากเกินไป เช่น การยอมความไม่ได้ในมาตราส่วนใหญ่

6. การจัดเก็บ Log File ที่ยังไม่ถูกต้องครบถ้วนตามวัตถุประสงค์ของพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 โดยเฉพาะเรื่องการระบุตัวเป็นรายบุคคล (Accountability)

7. การประชาสัมพันธ์ให้ประชาชนทั่วไปได้รับทราบและทำความเข้าใจกับพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ยังอยู่ในวงแคบ ทำให้บางคนไม่ทราบความหมายในรายละเอียดของ พรบ. ฯ หรือ อาจกระทำผิดโดยรู้เท่าไม่ถึงการณ์

8. ขาดการฝึกอบรมด้านเทคโนโลยีขั้นสูงในลักษณะ Hands-on Workshop เช่น Advanced Computer Forensic Workshop หรือ Incident Response and Handling Workshop ให้กับพนักงานเจ้าหน้าที่ โดยการฝึกฝนจาก Workshop จะ ทำให้เกิดความน่าเชื่อถือ และ เกิดความแม่นยำในการปฎิบัติงานมากขึ้น รวมทั้งขาดการสนับสนุนพนักงานเจ้าหน้าที่โดยควรมีหน่วยงานที่ถาวรมารองรับ

9. ขาดการฝึกอบรมเชิงเทคนิคให้กับ Law Enforcement เช่น ผู้พิพากษา และอัยการ อย่างเพียงพอ ทำให้อาจเกิดความผิดพลาดในการวินิจฉัยเวลาพิจารณาคดีได้

10. ผู้บริหารในหลายองค์กรยังคงเพิกเฉยต่อการจัดเก็บ Log File ตามพ รบ.ฯ เนื่องจากคาดว่าคงไม่เกิดการบังคับใช้จริงและการตรวจสอบจากพนักงานเจ้า หน้าที่ที่มีจำนวนจำกัดยังไม่ถูกดำเนินการเป็นกรณีตัวอย่าง

มีการแก้ไข พรบ. ฯ เพิ่มเติมหรือไม่? อย่างไร?

หลังจากที่ พรบ.ฯ ประกาศบังคับใช้เมื่อวันที่ 18 มิถุนายน 2550 ทางกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารได้ออกประกาศเพิ่มเติมอีก 6 ประกาศ ได้แก่

1. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550

2. ประกาศกระ ทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง แต่งตั้งพนักงานเจ้าหน้าที่ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

3. ประกาศกระ ทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง แต่งตั้งพนักงานเจ้าหน้าที่ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ฉบับที่ 2

4. ประกาศกระ ทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง กำหนดแบบบัตรประจำตัวพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำ ความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

5. ระเบียบ ว่าด้วยการจับกุม ค้น การทำสำนวนสอบสวนและดำเนินคดีกับผู้กระทำความผิดตามพระราชบัญญัติว่าด้วยการ กระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

6. ประกาศกระ ทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์เกี่ยวกับคุณสมบัติของพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วย การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

(หมายเหตุ . หลังจากประกาศทั้ง 6 แล้ว ในปัจจุบันยังไม่มีการประกาศเพิ่มเติม)

ปัญหาและอุปสรรคของคณะกรรมาธิการร่าง พรบ. ฯ

ปัญหา และอุปสรรคส่วนใหญ่ของคณะกรรมาธิการร่าง พรบ. ฯ เป็นเรื่องของความเห็นที่ไม่ตรงกันเกี่ยวกับตัวบทกฎหมาย เพราะหากเรานำคนที่มีความรู้พื้นฐานไม่เท่ากันและประสบการณ์ที่แตกต่างกันมา ปฏิบัติงานร่วมกันก็ย่อมเกิดความแตกต่างทางความคิดได้เป็นธรรมดา เนื่องจากคณะกรรมาธิการร่างพรบ. ฯ ประกอบด้วยกลุ่มนักกฎหมายที่ไม่มีความรู้ด้านเทคโนโลยีสารสนเทศในเชิงเทคนิค และ กลุ่มผู้เชี่ยวชาญด้านเทคนิคที่มีความรู้ด้านเทคโนโลยีสารสนเทศดีเยี่ยมแต่ ไม่มีความรู้ด้านกฎหมายเพียงพอ ดังนั้นความเห็นบางอย่างอาจไม่ตรงกัน บทลงโทษในกฎหมายบางครั้งก็ถูกตัดออกไปโดยไม่จำเป็น หรือ ในตัวบทกฎหมายในบางข้อความก็มีบ้างที่ไม่จำเป็นต้องนำมาเขียนไว้ แต่ผู้ปฎิบัติตามกฎหมายต้องสามารถอธิบายกับพนักงานเจ้าหน้าที่ได้เวลาที่ เกิดเหตุการณ์ไม่พึงประสงค์ โดยเริ่มจากการศึกษาตัวบทกฎหมายให้รู้แจ้งเห็นจริงเสียก่อน จึงจะสามารถตอบสนองความต้องการของพนักงานเจ้าหน้าที่ และ Law Enforcement ตลอดจน Auditor และ Regulator รวมทั้งตอบสนองต่อความต้องการของลูกค้า หรือ ผู้ใช้งานคอมพิวเตอร์ทั่วไป (Users) ได้อย่างถูกต้องตามกฎหมาย

ดัง นั้นจึงสรุปได้ว่าตัวพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และประกาศกระทรวง ฯ ควรจะมีการนำมาปรับแต่งแก้ไขให้เป็นปัจจุบันและเพื่อสอดคล้องกับสถานการณ์ การละเมิด พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และประกาศกระทรวง ฯ ที่เกิดขึ้นอยู่เป็นประจำในขณะนี้

สิ่งที่ผู้บังคับใช้กฎหมายและผู้ปฏิบัติตามกฎหมายต้องเรียนรู้มีอะไรบ้าง ?

·         สำหรับ ผู้บังคับใช้กฎหมายได้แก่ เจ้าหน้าที่รัฐ เช่น พนักงานเจ้าหน้าที่ ผู้พิพากษา อัยการ ตำรวจ ควร
– ศึกษาหลักวิชาการและองค์ความรู้ด้านการพิสูจน์หลักฐานทางคอมพิวเตอร์ ประกอบด้วย Host Forensic and Network/Internet Forensic, Incident Response and Incident handling, Fraud Audit 
– ศึกษาหลักวิชาการและองค์ความรู้ด้านความรู้พื้นฐานเกี่ยวกับเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ หรือ Common Body of Knowledge (CBK)
– ศึกษาหลักวิชาการและองค์ความรู้ด้านนิติศาสตร์และอาชญวิทยา
– ศึกษาประสบการณ์ case study ในการจับกุมและสืบสวนสอบสวนกรณีความผิดเกี่ยวกับคอมพิวเตอร์
– ศึกษากระบวนการจัดเก็บหลักฐานให้มีความน่าเชื่อถือในการพิสูจน์ทราบในชั้นศาล

·         สำหรับผู้ที่ต้องปฏิบัติตามกฎหมายพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ฯ ควร
– ศึกษาตัวบทกฎหมายและประกาศต่างๆให้เกิดความเข้าใจอย่างถ่องแท้
– ปฏิบัติตนและองค์กรไม่ให้ละเมิดข้อกำหนดในมาตราต่างๆของพรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ รวมทั้งประกาศกระทรวง ฯ 
– มีความรับผิดชอบต่อสังคมโดยร่วมมือในการจัดเก็บLog File และร่วมมือในการสืบสวนสอบสวนของพนักงานเจ้าหน้าที่
– เข้าใจถึงอำนาจหน้าที่ที่แตกต่างกันของเจ้าพนักงาน (ตำรวจ) และ พนักงานเจ้าหน้าที่
– เรียนรู้กลโกงทางอินเทอร์เน็ตและวิธีใช้อินเทอร์เน็ตอย่างปลอดภัยโดยควรจัดอบรม Information

Security Awareness Training ใน องค์กรทุกปี อย่างน้อยปีละหนึ่งหรือสองครั้ง สำหรับผู้ใช้คอมพิวเตอร์ตามบ้านควรหาความรู้อินเทอร์เน็ตหรือจากการเข้าฟัง สัมมนาที่เกี่ยวกับกลโกงทางอินเทอร์เน็ต เช่น Top Ten Cyber Security Threat 2009 เพื่อ “Update” ความรู้ใหม่ๆ เกี่ยวกับภัยอินเทอร์เน็ตทั้งในปัจจุบันและอนาคต

รูปแบบของการกระทำความผิด และ เหตุที่เกิดการกระทำความผิด

สำหรับรูปแบบของการกระทำความผิด (ดูรูปที่ 5)

รูปที่ 5

มาตรา 5-16 หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ (ดูรูปที่ 6)

รูปที่ 6

มาตรา18-30 หมวดที่ 2 พนักงานเจ้าหน้าที่ (ดูรูปที่ 7)

รูปที่ 7

บทกำหนดโทษ (ดูรูปที่ 8)

รูปที่ 8

สำหรับสภาพปัญหาของการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ มีข้อสังเกตุดังนี้

– ผู้กระทำความผิดอยู่ตรงไหนก็ได้ในโลก
– ผู้ กระทำความผิดใช้เทคโนโลยีที่ซับซ้อนในการกระทำความผิดยากต่อการตรวจพบร่อง รอยการกระทำผิด ทำให้ยากต่อการจับกุมและนำผู้กระทำผิดมาลงโทษ
– ความเสียหายกระทบถึงคนจำนวนมาก และ มีความรวดเร็ว
– หน่วยงานผู้มีหน้าที่ ไม่อาจป้องกันได้ทันท่วงที
– ที่เกิดเหตุมักมีมากกว่า 2 ท้องที่ ขึ้นไปเสมอ

สำหรับเหตุที่เกิดการกระทำความผิด อาจแบ่งได้หลายกรณี เช่น

– รู้เท่าไม่ถึงการณ์ โดยไม่ทราบว่าตนเองกำลังกระทำความผิดตามพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ
– เพิกเฉยเนื่องจากเห็นว่า ทางภาครัฐไม่เอาจริงในการจับกุม และมองว่าเป็นต้นทุน (Cost) ขององค์กรโดยไม่จำเป็นต้องลงทุนกับการจัดเก็บ Log 
– คิดว่าการกระทำของตนหรือองค์กรไม่ผิดกฎหมาย จากการตีความเอาเองหรืออ่านกฎหมายแล้วไม่ชัดเจน
– ไม่มีมาตรการในการป้องกันระบบของตนเองให้ดีพอ ทำให้กลายเป็นฐานของแฮกเกอร์หรืออาชญากรคอมพิวเตอร์โดยไม่รู้ตัว
– ไม่ออกกฎระเบียบในการใช้คอมพิวเตอร์ให้ถูกต้องและปลอดภัย หรือ Acceptable Use Policy (AUP) ซึ่งเป็นความรับผิดชอบของผู้บริหารระดับสูง

กล่าว โดยสรุปได้ว่า หลังการประกาศบังคับใช้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และ ประกาศกระทรวง ฯ ในตลอดระยะเวลาที่ผ่านมานั้น ยังมีคดีที่เป็นกรณีศึกษาเกิดขึ้นไม่มากนัก ส่วนใหญ่จะเป็นกรณีที่เกี่ยวกับการหมิ่นประมาท การเผยแพร่ภาพลามกอนาจาร มีกรณีที่เกี่ยวกับการโจมตีเจาะระบบ เพื่อขโมยเงินหรือหวังผลประโยชน์ทางด้านการเงิน โดยแฮกเกอร์รายบุคคล หรือ แก็งค์อาชญากรรมข้ามชาติ แต่ในปัจจุบันจำนวนคดียังมีจำนวนไม่มากเท่าคดีหมิ่นประมาท และ คดีเผยแพร่ภาพลามกอนาจาร

สำหรับกรณีที่ไม่จัดเก็บ Log หรือ จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่ต่ำกว่า 90 วัน ยังไม่มีกรณีที่องค์กรถูกจับและถูกปรับเลย ซึ่งทำให้หลายองค์กรยังไม่ปฏิบัติตามพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ตามมาตรา 26 รวมถึง ปัญหาของมาตรา 11 ที่เกี่ยวกับ SPAM Mail ก็ยังพบเห็นกันอยู่ตามปกติ หรือ อาจจะมากขึ้นกว่าเดิมด้วยซ้ำ ยังไม่รวมถึงการปล่อย MalWareหรือ ไวรัสคอมพิวเตอร์อีกจำนวนมาก

ดัง นั้นควรมีการประชาสัมพันธ์เนื้อหา พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ให้มากขึ้นในวงกว้าง และ ควรมีการปรับแก้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ในบางมาตรา หรือ การปรับแก้บทลงโทษให้เหมาะสมกับสถานการณ์ปัจจุบัน ตลอดจน ภาครัฐควรบังคับใช้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ให้จริงจังมากกว่าที่เป็นอยู่ในขณะนี้ ในส่วนของการจัดเก็บ Log ของผู้ให้บริการ ไม่ควรเน้นไปที่การจับกุมเฉพาะคดีภาพลามกอนาจารหรือการเผยแพร่คลิปโป๊เท่านั้น ขณะ เดียวกันควรเพิ่มจำนวนพนักงานเจ้าหน้าที่ให้มากขึ้น และถ่ายทอดความรู้ขั้นสูงให้กับพนักงานเจ้าหน้าที่ให้มีทักษะในการพิสูจน์ หลักฐานทางคอมพิวเตอร์ให้มากขึ้นกว่าในปัจจุบัน เพื่อเป็นการเตรียมรับมือกับอาชญากรรมที่จะเกิดขึ้นในอนาคต ตามที่ทาง Gartner Research ได้ทำนายไว้แล้วว่า “Computer Crime as a Service” กำลังจะมาในเร็ววันนี้