The Latest Update Computer Crime Law Implementation Status in Thailand
จากความนิยมในการใช้อินเทอร์เน็ตที่เพิ่มขึ้นทั่วโลก (ดูรูปที่ 1-4) สถิติอาชญากรรมคอมพิวเตอร์ที่มีการใช้งานอินเตอร์เน็ตเป็นสื่อกลางในการติดต่อก็มีสถิติเพิ่มขึ้นเป็นเงาตามตัวเช่นกัน เหล่าอาชญากรคอมพิวเตอร์ในปัจจุบันล้วนอาศัยช่องทางการโจมตีเหยื่อ หรือเป้าหมายผ่านทางเครือข่ายอินเทอร์เน็ต ซึ่งถือเป็นเครือข่ายสาธารณะที่เชื่อมต่อคอมพิวเตอร์ของผู้ใช้คอมพิวเตอร์กว่าพันล้านคนเข้าด้วยกัน
รูปที่ 1 Source: http://www.internetworldstats.com/
รูปที่ 2
รูปที่ 3
รูปที่ 4
จากการโจมตีทางอินเทอร์เน็ตดังกล่าวทำให้หลายองค์กรตลอดจนบุคคลทั่วไปเกิดความเสียหายทางด้านเศรษฐกิจและสังคม รวมทั้งเสียชื่อเสียงและสูญเสียความน่าเชื่อถือ ซึ่งในปัจจุบันกลายเป็นปัญหาใหญ่ในระดับชาติที่ทุกคนควรต้องทำความเข้าใจสาเหตุของปัญหาให้ถ่องแท้และร่วมกันแก้ปัญหาให้ถูกจุด
การออก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ของทางภาครัฐ ถือเป็นหนึ่งในวิธีการแก้ปัญหาที่ถูกต้อง แต่การออก พรบ. ฯ ดังกล่าวย่อมส่งผลกระทบกับวงการไอทีในประเทศไทยอย่างหลีกเลี่ยงไม่ได้ ซึ่งผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 นั้น สรุปได้ดังนี้
10 ผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550
1. การเตรียมความพร้อมและการจัดเตรียมงบประมาณขององค์กรในการจัดเก็บ Log ตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ยังไม่พร้อมและยังขาดงบประมาณอยู่ในองค์กรส่วนใหญ่
2. จำนวนพนักงานเจ้าหน้าที่ที่ยังไม่เพียงพอกับจำนวนอาชญากรรมที่เกี่ยวกับคอมพิวเตอร์ในปัจจุบันและอนาคต
หน่วยงานที่เกี่ยวข้องกับพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่ประชาชนสามารถแจ้งความกับเจ้าพนักงาน โดยประสานงานกับพนักงานเจ้าหน้าที่ ได้แก่
– ศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ (ศตท.) หรือ High-Tech Crime Center (HTCC)
– กองบังคับการปราบปรามการกระทำผิดต่อเด็ก เยาวชน และสตรี (ปดส.)
– กองบังคับการปราบปรามอาชญากรรมทางเศรษฐกิจและเทคโนโลยี (ปศท.)
– กรมสอบสวนคดีพิเศษ (DSI)
หน่วยงานที่มีพนักงานเจ้าหน้าที่ ได้แก่
– สำนักข่าวกรองแห่งชาติ
– สำนักงานตำรวจแห่งชาติ
– กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
3. ความสับสนระหว่าง การใช้พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 กับ การใช้ ป. วิอาญาในการดำเนินการขอหมายจับและการจับกุมผู้กระทำผิดที่กระทำผิดเกี่ยวกับคอมพิวเตอร์ ของผู้บังคับใช้กฎหมาย
4. ความเข้าใจผิดในการตีความพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ในเชิงเทคนิค
5. บทลงโทษบางมาตราที่ค่อนข้างอ่อนเกินไป หรือบางมาตราที่มากเกินไป เช่น การยอมความไม่ได้ในมาตราส่วนใหญ่
6. การจัดเก็บ Log File ที่ยังไม่ถูกต้องครบถ้วนตามวัตถุประสงค์ของพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 โดยเฉพาะเรื่องการระบุตัวเป็นรายบุคคล (Accountability)
7. การประชาสัมพันธ์ให้ประชาชนทั่วไปได้รับทราบและทำความเข้าใจกับพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ยังอยู่ในวงแคบ ทำให้บางคนไม่ทราบความหมายในรายละเอียดของ พรบ. ฯ หรือ อาจกระทำผิดโดยรู้เท่าไม่ถึงการณ์
8. ขาดการฝึกอบรมด้านเทคโนโลยีขั้นสูงในลักษณะ Hands-on Workshop เช่น Advanced Computer Forensic Workshop หรือ Incident Response and Handling Workshop ให้กับพนักงานเจ้าหน้าที่ โดยการฝึกฝนจาก Workshop จะทำให้เกิดความน่าเชื่อถือ และ เกิดความแม่นยำในการปฎิบัติงานมากขึ้น รวมทั้งขาดการสนับสนุนพนักงานเจ้าหน้าที่โดยควรมีหน่วยงานที่ถาวรมารองรับ
9. ขาดการฝึกอบรมเชิงเทคนิคให้กับ Law Enforcement เช่น ผู้พิพากษา และอัยการ อย่างเพียงพอ ทำให้อาจเกิดความผิดพลาดในการวินิจฉัยเวลาพิจารณาคดีได้
10. ผู้บริหารในหลายองค์กรยังคงเพิกเฉยต่อการจัดเก็บ Log File ตามพรบ.ฯ เนื่องจากคาดว่าคงไม่เกิดการบังคับใช้จริงและการตรวจสอบจากพนักงานเจ้าหน้าที่ที่มีจำนวนจำกัดยังไม่ถูกดำเนินการเป็นกรณีตัวอย่าง
มีการแก้ไข พรบ. ฯ เพิ่มเติมหรือไม่? อย่างไร?
หลังจากที่ พรบ.ฯ ประกาศบังคับใช้เมื่อวันที่ 18 มิถุนายน 2550 ทางกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารได้ออกประกาศเพิ่มเติมอีก 6 ประกาศ ได้แก่
1. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550
2. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง แต่งตั้งพนักงานเจ้าหน้าที่ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
3. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง แต่งตั้งพนักงานเจ้าหน้าที่ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ฉบับที่ 2
4. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง กำหนดแบบบัตรประจำตัวพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
5. ระเบียบว่าด้วยการจับกุม ค้น การทำสำนวนสอบสวนและดำเนินคดีกับผู้กระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
6. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์เกี่ยวกับคุณสมบัติของพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
(หมายเหตุ . หลังจากประกาศทั้ง 6 แล้ว ในปัจจุบันยังไม่มีการประกาศเพิ่มเติม)
ปัญหาและอุปสรรคของคณะกรรมาธิการร่าง พรบ. ฯ
ปัญหาและอุปสรรคส่วนใหญ่ของคณะกรรมาธิการร่าง พรบ. ฯ เป็นเรื่องของความเห็นที่ไม่ตรงกันเกี่ยวกับตัวบทกฎหมาย เพราะหากเรานำคนที่มีความรู้พื้นฐานไม่เท่ากันและประสบการณ์ที่แตกต่างกันมาปฏิบัติงานร่วมกันก็ย่อมเกิดความแตกต่างทางความคิดได้เป็นธรรมดา เนื่องจากคณะกรรมาธิการร่างพรบ. ฯ ประกอบด้วยกลุ่มนักกฎหมายที่ไม่มีความรู้ด้านเทคโนโลยีสารสนเทศในเชิงเทคนิค และ กลุ่มผู้เชี่ยวชาญด้านเทคนิคที่มีความรู้ด้านเทคโนโลยีสารสนเทศดีเยี่ยมแต่ไม่มีความรู้ด้านกฎหมายเพียงพอ ดังนั้นความเห็นบางอย่างอาจไม่ตรงกัน บทลงโทษในกฎหมายบางครั้งก็ถูกตัดออกไปโดยไม่จำเป็น หรือ ในตัวบทกฎหมายในบางข้อความก็มีบ้างที่ไม่จำเป็นต้องนำมาเขียนไว้ แต่ผู้ปฎิบัติตามกฎหมายต้องสามารถอธิบายกับพนักงานเจ้าหน้าที่ได้เวลาที่เกิดเหตุการณ์ไม่พึงประสงค์ โดยเริ่มจากการศึกษาตัวบทกฎหมายให้รู้แจ้งเห็นจริงเสียก่อน จึงจะสามารถตอบสนองความต้องการของพนักงานเจ้าหน้าที่ และ Law Enforcement ตลอดจน Auditor และ Regulator รวมทั้งตอบสนองต่อความต้องการของลูกค้า หรือ ผู้ใช้งานคอมพิวเตอร์ทั่วไป (Users) ได้อย่างถูกต้องตามกฎหมาย
ดังนั้นจึงสรุปได้ว่าตัวพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และประกาศกระทรวง ฯ ควรจะมีการนำมาปรับแต่งแก้ไขให้เป็นปัจจุบันและเพื่อสอดคล้องกับสถานการณ์การละเมิด พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และประกาศกระทรวง ฯ ที่เกิดขึ้นอยู่เป็นประจำในขณะนี้
สิ่งที่ผู้บังคับใช้กฎหมายและผู้ปฏิบัติตามกฎหมายต้องเรียนรู้มีอะไรบ้าง ?
· สำหรับ ผู้บังคับใช้กฎหมายได้แก่ เจ้าหน้าที่รัฐ เช่น พนักงานเจ้าหน้าที่ ผู้พิพากษา อัยการ ตำรวจ ควร
– ศึกษาหลักวิชาการและองค์ดวามรู้ด้านการพิสูจน์หลักฐานทางคอมพิวเตอร์ ประกอบด้วย Host Forensic and Network/Internet Forensic, Incident Response and Incident handling, Fraud Audit
– ศึกษาหลักวิชาการและองค์ดวามรู้ด้านความรู้พื้นฐานเกี่ยวกับเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ หรือ Common Body of Knowledge (CBK)
– ศึกษาหลักวิชาการและองค์ความรู้ด้านนิติศาสตร์และอาชญวิทยา
– ศึกษาประสบการณ์ case study ในการจับกุมและสืบสวนสอบสวนกรณีความผิดเกี่ยวกับคอมพิวเตอร์
– ศึกษากระบวนการจัดเก็บหลักฐานให้มีความน่าเชื่อถือในการพิสูจน์ทราบในชั้นศาล
· สำหรับผู้ที่ต้องปฏิบัติตามกฎหมายพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ฯ ควร
– ศึกษาตัวบทกฎหมายและประกาศต่างๆให้เกิดความเข้าใจอย่างถ่องแท้
– ปฏิบัติตนและองค์กรไม่ให้ละเมิดข้อกำหนดในมาตราต่างๆของพรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ รวมทั้งประกาศกระทรวง ฯ
– มีความรับผิดชอบต่อสังคมโดยร่วมมือในการจัดเก็บ Log File และร่วมมือในการสืบสวนสอบสวนของพนักงานเจ้าหน้าที่
– เข้าใจถึงอำนาจหน้าที่ที่แตกต่างกันของเจ้าพนักงาน (ตำรวจ) และ พนักงานเจ้าหน้าที่
– เรียนรู้กลโกงทางอินเทอร์เน็ตและวิธีใช้อินเทอร์เน็ตอย่างปลอดภัยโดยควรจัดอบรม Information
Security Awareness Training ในองค์กรทุกปี อย่างน้อยปีละหนึ่งหรือสองครั้ง สำหรับผู้ใช้คอมพิวเตอร์ตามบ้านควรหาความรู้อินเทอร์เน็ตหรือจากการเข้าฟังสัมมนาที่เกี่ยวกับกลโกงทางอินเทอร์เน็ต เช่น Top Ten Cyber Security Threat 2009 เพื่อ “Update” ความรู้ใหม่ๆ เกี่ยวกับภัยอินเทอร์เน็ตทั้งในปัจจุบันและอนาคต
รูปแบบของการกระทำความผิด และ เหตุที่เกิดการกระทำความผิด
สำหรับรูปแบบของการกระทำความผิด (ดูรูปที่ 5)
รูปที่ 5
มาตรา 5-16 หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ (ดูรูปที่ 6)
รูปที่ 6
มาตรา18-30 หมวดที่ 2 พนักงานเจ้าหน้าที่ (ดูรูปที่ 7)
รูปที่ 7
บทกำหนดโทษ (ดูรูปที่ 8)
รูปที่ 8
สำหรับสภาพปัญหาของการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ มีข้อสังเกตุดังนี้
– ผู้กระทำความผิดอยู่ตรงไหนก็ได้ในโลก
– ผู้กระทำความผิดใช้เทคโนโลยีที่ซับซ้อนในการกระทำความผิดยากต่อการตรวจพบร่องรอยการกระทำผิด ทำให้ยากต่อการจับกุมและนำผู้กระทำผิดมาลงโทษ
– ความเสียหายกระทบถึงคนจำนวนมาก และ มีความรวดเร็ว
– หน่วยงานผู้มีหน้าที่ ไม่อาจป้องกันได้ทันท่วงที
– ที่เกิดเหตุมักมีมากกว่า 2 ท้องที่ ขึ้นไปเสมอ
สำหรับเหตุที่เกิดการกระทำความผิด อาจแบ่งได้หลายกรณี เช่น
– รู้เท่าไม่ถึงการณ์ โดยไม่ทราบว่าตนเองกำลังกระทำความผิดตามพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ
– เพิกเฉยเนื่องจากเห็นว่า ทางภาครัฐไม่เอาจริงในการจับกุม และมองว่าเป็นต้นทุน (Cost) ขององค์กรโดยไม่จำเป็นต้องลงทุนกับการจัดเก็บ Log
– คิดว่าการกระทำของตนหรือองค์กรไม่ผิดกฎหมาย จากการตีความเอาเองหรืออ่านกฎหมายแล้วไม่ชัดเจน
– ไม่มีมาตรการในการป้องกันระบบของตนเองให้ดีพอ ทำให้กลายเป็นฐานของแฮกเกอร์หรืออาชญากรคอมพิวเตอร์โดยไม่รู้ตัว
– ไม่ออกกฎระเบียบในการใช้คอมพิวเตอร์ให้ถูกต้องและปลอดภัย หรือ Acceptable Use Policy (AUP) ซึ่งเป็นความรับผิดชอบของผู้บริหารระดับสูง
กล่าวโดยสรุปได้ว่า หลังการประกาศบังคับใช้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และ ประกาศกระทรวง ฯ ในตลอดระยะเวลาที่ผ่านมานั้น ยังมีคดีที่เป็นกรณีศึกษาเกิดขึ้นไม่มากนัก ส่วนใหญ่จะเป็นกรณีที่เกี่ยวกับการหมิ่นประมาท การเผยแพร่ภาพลามกอนาจาร มีกรณีที่เกี่ยวกับการโจมตีเจาะระบบ เพื่อขโมยเงินหรือหวังผลประโยชน์ทางด้านการเงิน โดยแฮกเกอร์รายบุคคล หรือ แก็งค์อาชญากรรมข้ามชาติ แต่ในปัจจุบันจำนวนคดียังมีจำนวนไม่มากเท่าคดีหมิ่นประมาท และ คดีเผยแพร่ภาพลามกอนาจาร
สำหรับกรณีที่ไม่จัดเก็บ Log หรือ จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่ต่ำกว่า 90 วัน ยังไม่มีกรณีที่องค์กรถูกจับและถูกปรับเลย ซึ่งทำให้หลายองค์กรยังไม่ปฏิบัติตามพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ตามมาตรา 26 รวมถึง ปัญหาของมาตรา 11 ที่เกี่ยวกับ SPAM Mail ก็ยังพบเห็นกันอยู่ตามปกติ หรือ อาจจะมากขึ้นกว่าเดิมด้วยซ้ำ ยังไม่รวมถึงการปล่อย MalWareหรือ ไวรัสคอมพิวเตอร์อีกจำนวนมาก
ดังนั้นควรมีการประชาสัมพันธ์เนื้อหา พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ให้มากขึ้นในวงกว้าง และ ควรมีการปรับแก้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ในบางมาตรา หรือ การปรับแก้บทลงโทษให้เหมาะสมกับสถานการณ์ปัจจุบัน ตลอดจน ภาครัฐควรบังคับใช้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ให้จริงจังมากกว่าที่เป็นอยู่ในขณะนี้ ในส่วนของการจัดเก็บ Log ของผู้ให้บริการ ไม่ควรเน้นไปที่การจับกุมเฉพาะคดีภาพลามกอนาจารหรือการเผยแพร่คลิปโป๊เท่านั้น ขณะเดียวกันควรเพิ่มจำนวนพนักงานเจ้าหน้าที่ให้มากขึ้น และถ่ายทอดความรู้ขั้นสูงให้กับพนักงานเจ้าหน้าที่ให้มีทักษะในการพิสูจน์หลักฐานทางคอมพิวเตอร์ให้มากขึ้นกว่าในปัจจุบัน เพื่อเป็นการเตรียมรับมือกับอาชญากรรมที่จะเกิดขึ้นในอนาคต ตามที่ทาง Gartner Research ได้ทำนายไว้แล้วว่า “Computer Crime as a Service” กำลังจะมาในเร็ววันนี้
จากความนิยมในการใช้อินเทอร์เน็ตที่เพิ่มขึ้นทั่วโลก (ดูรูปที่ 1-4) สถิติอาชญากรรมคอมพิวเตอร์ที่มีการใช้งานอินเตอร์เน็ตเป็นสื่อกลางในการติดต่อก็มีสถิติเพิ่มขึ้นเป็นเงาตามตัวเช่นกัน เหล่าอาชญากรคอมพิวเตอร์ในปัจจุบันล้วนอาศัยช่องทางการโจมตีเหยื่อ หรือเป้าหมายผ่านทางเครือข่ายอินเทอร์เน็ต ซึ่งถือเป็นเครือข่ายสาธารณะที่เชื่อมต่อคอมพิวเตอร์ของผู้ใช้คอมพิวเตอร์กว่าพันล้านคนเข้าด้วยกัน
Source: http://www.internetworldstats.com/
จากการโจมตีทางอินเทอร์เน็ตดังกล่าวทำให้หลายองค์กรตลอดจนบุคคลทั่วไปเกิดความเสียหายทางด้านเศรษฐกิจและสังคม รวมทั้งเสียชื่อเสียงและสูญเสียความน่าเชื่อถือ ซึ่งในปัจจุบันกลายเป็นปัญหาใหญ่ในระดับชาติที่ทุกคนควรต้องทำความเข้าใจสาเหตุของปัญหาให้ถ่องแท้และร่วมกันแก้ปัญหาให้ถูกจุด การออก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ของทางภาครัฐ ถือเป็นหนึ่งในวิธีการแก้ปัญหาที่ถูกต้อง แต่การออก พรบ. ฯ ดังกล่าวย่อมส่งผลกระทบกับวงการไอทีในประเทศไทยอย่างหลีกเลี่ยงไม่ได้ ซึ่งผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 นั้น สรุปได้ดังนี้ 10 ผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 1. การเตรียมความพร้อมและการจัดเตรียมงบประมาณขององค์กรในการจัดเก็บ Log ตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ยังไม่พร้อมและยังขาดงบประมาณอยู่ในองค์กรส่วนใหญ่ 2. จำนวนพนักงานเจ้าหน้าที่ที่ยังไม่เพียงพอกับจำนวนอาชญากรรมที่เกี่ยวกับคอมพิวเตอร์ในปัจจุบันและอนาคต หน่วยงานที่เกี่ยวข้องกับพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่ประชาชนสามารถแจ้งความกับเจ้าพนักงาน โดยประสานงานกับพนักงานเจ้าหน้าที่ ได้แก่ หน่วยงานที่มีพนักงานเจ้าหน้าที่ ได้แก่ 3. ความสับสนระหว่าง การใช้พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 กับ การใช้ ป. วิอาญาในการดำเนินการขอหมายจับและการจับกุมผู้กระทำผิดที่กระทำผิดเกี่ยวกับคอมพิวเตอร์ ของผู้บังคับใช้กฎหมาย 4. ความเข้าใจผิดในการตีความพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ในเชิงเทคนิค 5. บทลงโทษบางมาตราที่ค่อนข้างอ่อนเกินไป หรือบางมาตราที่มากเกินไป เช่น การยอมความไม่ได้ในมาตราส่วนใหญ่ 6. การจัดเก็บ Log File ที่ยังไม่ถูกต้องครบถ้วนตามวัตถุประสงค์ของพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 โดยเฉพาะเรื่องการระบุตัวเป็นรายบุคคล (Accountability) 7. การประชาสัมพันธ์ให้ประชาชนทั่วไปได้รับทราบและทำความเข้าใจกับพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ยังอยู่ในวงแคบ ทำให้บางคนไม่ทราบความหมายในรายละเอียดของ พรบ. ฯ หรือ อาจกระทำผิดโดยรู้เท่าไม่ถึงการณ์ 8. ขาดการฝึกอบรมด้านเทคโนโลยีขั้นสูงในลักษณะ Hands-on Workshop เช่น Advanced Computer Forensic Workshop หรือ Incident Response and Handling Workshop ให้กับพนักงานเจ้าหน้าที่ โดยการฝึกฝนจาก Workshop จะทำให้เกิดความน่าเชื่อถือ และ เกิดความแม่นยำในการปฎิบัติงานมากขึ้น รวมทั้งขาดการสนับสนุนพนักงานเจ้าหน้าที่โดยควรมีหน่วยงานที่ถาวรมารองรับ 9. ขาดการฝึกอบรมเชิงเทคนิคให้กับ Law Enforcement เช่น ผู้พิพากษา และอัยการ อย่างเพียงพอ ทำให้อาจเกิดความผิดพลาดในการวินิจฉัยเวลาพิจารณาคดีได้ 10. ผู้บริหารในหลายองค์กรยังคงเพิกเฉยต่อการจัดเก็บ Log File ตามพรบ.ฯ เนื่องจากคาดว่าคงไม่เกิดการบังคับใช้จริงและการตรวจสอบจากพนักงานเจ้าหน้าที่ที่มีจำนวนจำกัดยังไม่ถูกดำเนินการเป็นกรณีตัวอย่าง มีการแก้ไข พรบ. ฯ เพิ่มเติมหรือไม่? อย่างไร? หลังจากที่ พรบ.ฯ ประกาศบังคับใช้เมื่อวันที่ 18 มิถุนายน 2550 ทางกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารได้ออกประกาศเพิ่มเติมอีก 6 ประกาศ ได้แก่ 1. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 2. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง แต่งตั้งพนักงานเจ้าหน้าที่ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 3. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง แต่งตั้งพนักงานเจ้าหน้าที่ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ฉบับที่ 2 4. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง กำหนดแบบบัตรประจำตัวพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 5. ระเบียบว่าด้วยการจับกุม ค้น การทำสำนวนสอบสวนและดำเนินคดีกับผู้กระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 6. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์เกี่ยวกับคุณสมบัติของพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (หมายเหตุ . หลังจากประกาศทั้ง 6 แล้ว ในปัจจุบันยังไม่มีการประกาศเพิ่มเติม) ปัญหาและอุปสรรคของคณะกรรมาธิการร่าง พรบ. ฯ ปัญหาและอุปสรรคส่วนใหญ่ของคณะกรรมาธิการร่าง พรบ. ฯ เป็นเรื่องของความเห็นที่ไม่ตรงกันเกี่ยวกับตัวบทกฎหมาย เพราะหากเรานำคนที่มีความรู้พื้นฐานไม่เท่ากันและประสบการณ์ที่แตกต่างกันมาปฏิบัติงานร่วมกันก็ย่อมเกิดความแตกต่างทางความคิดได้เป็นธรรมดา เนื่องจากคณะกรรมาธิการร่างพรบ. ฯ ประกอบด้วยกลุ่มนักกฎหมายที่ไม่มีความรู้ด้านเทคโนโลยีสารสนเทศในเชิงเทคนิค และ กลุ่มผู้เชี่ยวชาญด้านเทคนิคที่มีความรู้ด้านเทคโนโลยีสารสนเทศดีเยี่ยมแต่ไม่มีความรู้ด้านกฎหมายเพียงพอ ดังนั้นความเห็นบางอย่างอาจไม่ตรงกัน บทลงโทษในกฎหมายบางครั้งก็ถูกตัดออกไปโดยไม่จำเป็น หรือ ในตัวบทกฎหมายในบางข้อความก็มีบ้างที่ไม่จำเป็นต้องนำมาเขียนไว้ แต่ผู้ปฎิบัติตามกฎหมายต้องสามารถอธิบายกับพนักงานเจ้าหน้าที่ได้เวลาที่เกิดเหตุการณ์ไม่พึงประสงค์ โดยเริ่มจากการศึกษาตัวบทกฎหมายให้รู้แจ้งเห็นจริงเสียก่อน จึงจะสามารถตอบสนองความต้องการของพนักงานเจ้าหน้าที่ และ Law Enforcement ตลอดจน Auditor และ Regulator รวมทั้งตอบสนองต่อความต้องการของลูกค้า หรือ ผู้ใช้งานคอมพิวเตอร์ทั่วไป (Users) ได้อย่างถูกต้องตามกฎหมาย ดังนั้นจึงสรุปได้ว่าตัวพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และประกาศกระทรวง ฯ ควรจะมีการนำมาปรับแต่งแก้ไขให้เป็นปัจจุบันและเพื่อสอดคล้องกับสถานการณ์การละเมิด พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และประกาศกระทรวง ฯ ที่เกิดขึ้นอยู่เป็นประจำในขณะนี้ สิ่งที่ผู้บังคับใช้กฎหมายและผู้ปฏิบัติตามกฎหมายต้องเรียนรู้มีอะไรบ้าง ? · สำหรับ ผู้บังคับใช้กฎหมายได้แก่ เจ้าหน้าที่รัฐ เช่น พนักงานเจ้าหน้าที่ ผู้พิพากษา อัยการ ตำรวจ ควร · สำหรับผู้ที่ต้องปฏิบัติตามกฎหมายพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ฯ ควร Security Awareness Training ในองค์กรทุกปี อย่างน้อยปีละหนึ่งหรือสองครั้ง สำหรับผู้ใช้คอมพิวเตอร์ตามบ้านควรหาความรู้อินเทอร์เน็ตหรือจากการเข้าฟังสัมมนาที่เกี่ยวกับกลโกงทางอินเทอร์เน็ต เช่น Top Ten Cyber Security Threat 2009 เพื่อ “Update” ความรู้ใหม่ๆ เกี่ยวกับภัยอินเทอร์เน็ตทั้งในปัจจุบันและอนาคต รูปแบบของการกระทำความผิด และ เหตุที่เกิดการกระทำความผิด สำหรับรูปแบบของการกระทำความผิด (ดูรูปที่ 5)
มาตรา 5-16 หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ (ดูรูปที่ 6)
มาตรา18-30 หมวดที่ 2 พนักงานเจ้าหน้าที่ (ดูรูปที่ 7)
บทกำหนดโทษ (ดูรูปที่ 8)
สำหรับสภาพปัญหาของการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ มีข้อสังเกตุดังนี้ – ผู้กระทำความผิดอยู่ตรงไหนก็ได้ในโลก สำหรับเหตุที่เกิดการกระทำความผิด อาจแบ่งได้หลายกรณี เช่น – รู้เท่าไม่ถึงการณ์ โดยไม่ทราบว่าตนเองกำลังกระทำความผิดตามพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ กล่าวโดยสรุปได้ว่า หลังการประกาศบังคับใช้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และ ประกาศกระทรวง ฯ ในตลอดระยะเวลาที่ผ่านมานั้น ยังมีคดีที่เป็นกรณีศึกษาเกิดขึ้นไม่มากนัก ส่วนใหญ่จะเป็นกรณีที่เกี่ยวกับการหมิ่นประมาท การเผยแพร่ภาพลามกอนาจาร มีกรณีที่เกี่ยวกับการโจมตีเจาะระบบ เพื่อขโมยเงินหรือหวังผลประโยชน์ทางด้านการเงิน โดยแฮกเกอร์รายบุคคล หรือ แก็งค์อาชญากรรมข้ามชาติ แต่ในปัจจุบันจำนวนคดียังมีจำนวนไม่มากเท่าคดีหมิ่นประมาท และ คดีเผยแพร่ภาพลามกอนาจาร สำหรับกรณีที่ไม่จัดเก็บ Log หรือ จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่ต่ำกว่า 90 วัน ยังไม่มีกรณีที่องค์กรถูกจับและถูกปรับเลย ซึ่งทำให้หลายองค์กรยังไม่ปฏิบัติตามพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ตามมาตรา 26 รวมถึง ปัญหาของมาตรา 11 ที่เกี่ยวกับ SPAM Mail ก็ยังพบเห็นกันอยู่ตามปกติ หรือ อาจจะมากขึ้นกว่าเดิมด้วยซ้ำ ยังไม่รวมถึงการปล่อย MalWareหรือ ไวรัสคอมพิวเตอร์อีกจำนวนมาก ดังนั้นควรมีการประชาสัมพันธ์เนื้อหา พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ให้มากขึ้นในวงกว้าง และ ควรมีการปรับแก้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ในบางมาตรา หรือ การปรับแก้บทลงโทษให้เหมาะสมกับสถานการณ์ปัจจุบัน ตลอดจน ภาครัฐควรบังคับใช้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ให้จริงจังมากกว่าที่เป็นอยู่ในขณะนี้ ในส่วนของการจัดเก็บ Log ของผู้ให้บริการ ไม่ควรเน้นไปที่การจับกุมเฉพาะคดีภาพลามกอนาจารหรือการเผยแพร่คลิปโป๊เท่านั้น ขณะเดียวกันควรเพิ่มจำนวนพนักงานเจ้าหน้าที่ให้มากขึ้น และถ่ายทอดความรู้ขั้นสูงให้กับพนักงานเจ้าหน้าที่ให้มีทักษะในการพิสูจน์หลักฐานทางคอมพิวเตอร์ให้มากขึ้นกว่าในปัจจุบัน เพื่อเป็นการเตรียมรับมือกับอาชญากรรมที่จะเกิดขึ้นในอนาคต ตามที่ทาง Gartner Research ได้ทำนายไว้แล้วว่า “Computer Crime as a Service” กำลังจะมาในเร็ววันนี้ |
จากความนิยมในการใช้อินเทอร์เน็ตที่เพิ่มขึ้นทั่วโลก (ดูรูปที่ 1-4) สถิติ อาชญากรรมคอมพิวเตอร์ที่มีการใช้งานอินเตอร์เน็ตเป็นสื่อกลางในการติดต่อก็ มีสถิติเพิ่มขึ้นเป็นเงาตามตัวเช่นกัน เหล่าอาชญากรคอมพิวเตอร์ในปัจจุบันล้วนอาศัยช่องทางการโจมตีเหยื่อ หรือเป้าหมายผ่านทางเครือข่ายอินเทอร์เน็ต ซึ่งถือเป็นเครือข่ายสาธารณะที่เชื่อมต่อคอมพิวเตอร์ของผู้ใช้คอมพิวเตอร์ กว่าพันล้านคนเข้าด้วยกัน
รูปที่ 1 Source: http://www.internetworldstats.com/
รูปที่ 2
รูปที่ 3
รูปที่ 4
จาก การโจมตีทางอินเทอร์เน็ตดังกล่าวทำให้หลายองค์กรตลอดจนบุคคลทั่วไปเกิดความ เสียหายทางด้านเศรษฐกิจและสังคม รวมทั้งเสียชื่อเสียงและสูญเสียความน่าเชื่อถือ ซึ่งในปัจจุบันกลายเป็นปัญหาใหญ่ในระดับชาติที่ทุกคนควรต้องทำความเข้าใจ สาเหตุของปัญหาให้ถ่องแท้และร่วมกันแก้ปัญหาให้ถูกจุด
การออก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ของ ทางภาครัฐ ถือเป็นหนึ่งในวิธีการแก้ปัญหาที่ถูกต้อง แต่การออก พรบ. ฯ ดังกล่าวย่อมส่งผลกระทบกับวงการไอทีในประเทศไทยอย่างหลีกเลี่ยงไม่ได้ ซึ่งผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 นั้น สรุปได้ดังนี้
10 ผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550
1. การเตรียมความพร้อมและการจัดเตรียมงบประมาณขององค์กรในการจัดเก็บ Log ตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ยังไม่พร้อมและยังขาดงบประมาณอยู่ในองค์กรส่วนใหญ่
2. จำนวนพนักงานเจ้าหน้าที่ที่ยังไม่เพียงพอกับจำนวนอาชญากรรมที่เกี่ยวกับคอมพิวเตอร์ในปัจจุบันและอนาคต
หน่วย งานที่เกี่ยวข้องกับพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่ประชาชนสามารถแจ้งความกับเจ้าพนักงาน โดยประสานงานกับพนักงานเจ้าหน้าที่ ได้แก่
– ศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ (ศตท.) หรือ High-Tech Crime Center (HTCC)
– กองบังคับการปราบปรามการกระทำผิดต่อเด็ก เยาวชน และสตรี (ปดส.)
– กองบังคับการปราบปรามอาชญากรรมทางเศรษฐกิจและเทคโนโลยี (ปศท.)
– กรมสอบสวนคดีพิเศษ (DSI)
หน่วยงานที่มีพนักงานเจ้าหน้าที่ ได้แก่
– สำนักข่าวกรองแห่งชาติ
– สำนักงานตำรวจแห่งชาติ
– กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
3. ความสับสนระหว่าง การใช้พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 กับ การใช้ ป. วิอาญาในการดำเนินการขอหมายจับและการจับกุมผู้กระทำผิดที่กระทำผิดเกี่ยวกับคอมพิวเตอร์ ของผู้บังคับใช้กฎหมาย
4. ความเข้าใจผิดในการตีความพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ในเชิงเทคนิค
5. บทลงโทษบางมาตราที่ค่อนข้างอ่อนเกินไป หรือบางมาตราที่มากเกินไป เช่น การยอมความไม่ได้ในมาตราส่วนใหญ่
6. การจัดเก็บ Log File ที่ยังไม่ถูกต้องครบถ้วนตามวัตถุประสงค์ของพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 โดยเฉพาะเรื่องการระบุตัวเป็นรายบุคคล (Accountability)
7. การประชาสัมพันธ์ให้ประชาชนทั่วไปได้รับทราบและทำความเข้าใจกับพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ยังอยู่ในวงแคบ ทำให้บางคนไม่ทราบความหมายในรายละเอียดของ พรบ. ฯ หรือ อาจกระทำผิดโดยรู้เท่าไม่ถึงการณ์
8. ขาดการฝึกอบรมด้านเทคโนโลยีขั้นสูงในลักษณะ Hands-on Workshop เช่น Advanced Computer Forensic Workshop หรือ Incident Response and Handling Workshop ให้กับพนักงานเจ้าหน้าที่ โดยการฝึกฝนจาก Workshop จะ ทำให้เกิดความน่าเชื่อถือ และ เกิดความแม่นยำในการปฎิบัติงานมากขึ้น รวมทั้งขาดการสนับสนุนพนักงานเจ้าหน้าที่โดยควรมีหน่วยงานที่ถาวรมารองรับ
9. ขาดการฝึกอบรมเชิงเทคนิคให้กับ Law Enforcement เช่น ผู้พิพากษา และอัยการ อย่างเพียงพอ ทำให้อาจเกิดความผิดพลาดในการวินิจฉัยเวลาพิจารณาคดีได้
10. ผู้บริหารในหลายองค์กรยังคงเพิกเฉยต่อการจัดเก็บ Log File ตามพ รบ.ฯ เนื่องจากคาดว่าคงไม่เกิดการบังคับใช้จริงและการตรวจสอบจากพนักงานเจ้า หน้าที่ที่มีจำนวนจำกัดยังไม่ถูกดำเนินการเป็นกรณีตัวอย่าง
มีการแก้ไข พรบ. ฯ เพิ่มเติมหรือไม่? อย่างไร?
หลังจากที่ พรบ.ฯ ประกาศบังคับใช้เมื่อวันที่ 18 มิถุนายน 2550 ทางกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารได้ออกประกาศเพิ่มเติมอีก 6 ประกาศ ได้แก่
1. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550
2. ประกาศกระ ทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง แต่งตั้งพนักงานเจ้าหน้าที่ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
3. ประกาศกระ ทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง แต่งตั้งพนักงานเจ้าหน้าที่ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ฉบับที่ 2
4. ประกาศกระ ทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง กำหนดแบบบัตรประจำตัวพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำ ความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
5. ระเบียบ ว่าด้วยการจับกุม ค้น การทำสำนวนสอบสวนและดำเนินคดีกับผู้กระทำความผิดตามพระราชบัญญัติว่าด้วยการ กระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
6. ประกาศกระ ทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์เกี่ยวกับคุณสมบัติของพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วย การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
(หมายเหตุ . หลังจากประกาศทั้ง 6 แล้ว ในปัจจุบันยังไม่มีการประกาศเพิ่มเติม)
ปัญหาและอุปสรรคของคณะกรรมาธิการร่าง พรบ. ฯ
ปัญหา และอุปสรรคส่วนใหญ่ของคณะกรรมาธิการร่าง พรบ. ฯ เป็นเรื่องของความเห็นที่ไม่ตรงกันเกี่ยวกับตัวบทกฎหมาย เพราะหากเรานำคนที่มีความรู้พื้นฐานไม่เท่ากันและประสบการณ์ที่แตกต่างกันมา ปฏิบัติงานร่วมกันก็ย่อมเกิดความแตกต่างทางความคิดได้เป็นธรรมดา เนื่องจากคณะกรรมาธิการร่างพรบ. ฯ ประกอบด้วยกลุ่มนักกฎหมายที่ไม่มีความรู้ด้านเทคโนโลยีสารสนเทศในเชิงเทคนิค และ กลุ่มผู้เชี่ยวชาญด้านเทคนิคที่มีความรู้ด้านเทคโนโลยีสารสนเทศดีเยี่ยมแต่ ไม่มีความรู้ด้านกฎหมายเพียงพอ ดังนั้นความเห็นบางอย่างอาจไม่ตรงกัน บทลงโทษในกฎหมายบางครั้งก็ถูกตัดออกไปโดยไม่จำเป็น หรือ ในตัวบทกฎหมายในบางข้อความก็มีบ้างที่ไม่จำเป็นต้องนำมาเขียนไว้ แต่ผู้ปฎิบัติตามกฎหมายต้องสามารถอธิบายกับพนักงานเจ้าหน้าที่ได้เวลาที่ เกิดเหตุการณ์ไม่พึงประสงค์ โดยเริ่มจากการศึกษาตัวบทกฎหมายให้รู้แจ้งเห็นจริงเสียก่อน จึงจะสามารถตอบสนองความต้องการของพนักงานเจ้าหน้าที่ และ Law Enforcement ตลอดจน Auditor และ Regulator รวมทั้งตอบสนองต่อความต้องการของลูกค้า หรือ ผู้ใช้งานคอมพิวเตอร์ทั่วไป (Users) ได้อย่างถูกต้องตามกฎหมาย
ดัง นั้นจึงสรุปได้ว่าตัวพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และประกาศกระทรวง ฯ ควรจะมีการนำมาปรับแต่งแก้ไขให้เป็นปัจจุบันและเพื่อสอดคล้องกับสถานการณ์ การละเมิด พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และประกาศกระทรวง ฯ ที่เกิดขึ้นอยู่เป็นประจำในขณะนี้
สิ่งที่ผู้บังคับใช้กฎหมายและผู้ปฏิบัติตามกฎหมายต้องเรียนรู้มีอะไรบ้าง ?
· สำหรับ ผู้บังคับใช้กฎหมายได้แก่ เจ้าหน้าที่รัฐ เช่น พนักงานเจ้าหน้าที่ ผู้พิพากษา อัยการ ตำรวจ ควร
– ศึกษาหลักวิชาการและองค์ดวามรู้ด้านการพิสูจน์หลักฐานทางคอมพิวเตอร์ ประกอบด้วย Host Forensic and Network/Internet Forensic, Incident Response and Incident handling, Fraud Audit
– ศึกษาหลักวิชาการและองค์ดวามรู้ด้านความรู้พื้นฐานเกี่ยวกับเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ หรือ Common Body of Knowledge (CBK)
– ศึกษาหลักวิชาการและองค์ความรู้ด้านนิติศาสตร์และอาชญวิทยา
– ศึกษาประสบการณ์ case study ในการจับกุมและสืบสวนสอบสวนกรณีความผิดเกี่ยวกับคอมพิวเตอร์
– ศึกษากระบวนการจัดเก็บหลักฐานให้มีความน่าเชื่อถือในการพิสูจน์ทราบในชั้นศาล
· สำหรับผู้ที่ต้องปฏิบัติตามกฎหมายพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ฯ ควร
– ศึกษาตัวบทกฎหมายและประกาศต่างๆให้เกิดความเข้าใจอย่างถ่องแท้
– ปฏิบัติตนและองค์กรไม่ให้ละเมิดข้อกำหนดในมาตราต่างๆของพรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ รวมทั้งประกาศกระทรวง ฯ
– มีความรับผิดชอบต่อสังคมโดยร่วมมือในการจัดเก็บ Log File และร่วมมือในการสืบสวนสอบสวนของพนักงานเจ้าหน้าที่
– เข้าใจถึงอำนาจหน้าที่ที่แตกต่างกันของเจ้าพนักงาน (ตำรวจ) และ พนักงานเจ้าหน้าที่
– เรียนรู้กลโกงทางอินเทอร์เน็ตและวิธีใช้อินเทอร์เน็ตอย่างปลอดภัยโดยควรจัดอบรม Information
Security Awareness Training ใน องค์กรทุกปี อย่างน้อยปีละหนึ่งหรือสองครั้ง สำหรับผู้ใช้คอมพิวเตอร์ตามบ้านควรหาความรู้อินเทอร์เน็ตหรือจากการเข้าฟัง สัมมนาที่เกี่ยวกับกลโกงทางอินเทอร์เน็ต เช่น Top Ten Cyber Security Threat 2009 เพื่อ “Update” ความรู้ใหม่ๆ เกี่ยวกับภัยอินเทอร์เน็ตทั้งในปัจจุบันและอนาคต
รูปแบบของการกระทำความผิด และ เหตุที่เกิดการกระทำความผิด
สำหรับรูปแบบของการกระทำความผิด (ดูรูปที่ 5)
รูปที่ 5
มาตรา 5-16 หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ (ดูรูปที่ 6)
รูปที่ 6
มาตรา18-30 หมวดที่ 2 พนักงานเจ้าหน้าที่ (ดูรูปที่ 7)
รูปที่ 7
บทกำหนดโทษ (ดูรูปที่ 8)
รูปที่ 8
สำหรับสภาพปัญหาของการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ มีข้อสังเกตุดังนี้
– ผู้กระทำความผิดอยู่ตรงไหนก็ได้ในโลก
– ผู้ กระทำความผิดใช้เทคโนโลยีที่ซับซ้อนในการกระทำความผิดยากต่อการตรวจพบร่อง รอยการกระทำผิด ทำให้ยากต่อการจับกุมและนำผู้กระทำผิดมาลงโทษ
– ความเสียหายกระทบถึงคนจำนวนมาก และ มีความรวดเร็ว
– หน่วยงานผู้มีหน้าที่ ไม่อาจป้องกันได้ทันท่วงที
– ที่เกิดเหตุมักมีมากกว่า 2 ท้องที่ ขึ้นไปเสมอ
สำหรับเหตุที่เกิดการกระทำความผิด อาจแบ่งได้หลายกรณี เช่น
– รู้เท่าไม่ถึงการณ์ โดยไม่ทราบว่าตนเองกำลังกระทำความผิดตามพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ
– เพิกเฉยเนื่องจากเห็นว่า ทางภาครัฐไม่เอาจริงในการจับกุม และมองว่าเป็นต้นทุน (Cost) ขององค์กรโดยไม่จำเป็นต้องลงทุนกับการจัดเก็บ Log
– คิดว่าการกระทำของตนหรือองค์กรไม่ผิดกฎหมาย จากการตีความเอาเองหรืออ่านกฎหมายแล้วไม่ชัดเจน
– ไม่มีมาตรการในการป้องกันระบบของตนเองให้ดีพอ ทำให้กลายเป็นฐานของแฮกเกอร์หรืออาชญากรคอมพิวเตอร์โดยไม่รู้ตัว
– ไม่ออกกฎระเบียบในการใช้คอมพิวเตอร์ให้ถูกต้องและปลอดภัย หรือ Acceptable Use Policy (AUP) ซึ่งเป็นความรับผิดชอบของผู้บริหารระดับสูง
กล่าว โดยสรุปได้ว่า หลังการประกาศบังคับใช้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และ ประกาศกระทรวง ฯ ในตลอดระยะเวลาที่ผ่านมานั้น ยังมีคดีที่เป็นกรณีศึกษาเกิดขึ้นไม่มากนัก ส่วนใหญ่จะเป็นกรณีที่เกี่ยวกับการหมิ่นประมาท การเผยแพร่ภาพลามกอนาจาร มีกรณีที่เกี่ยวกับการโจมตีเจาะระบบ เพื่อขโมยเงินหรือหวังผลประโยชน์ทางด้านการเงิน โดยแฮกเกอร์รายบุคคล หรือ แก็งค์อาชญากรรมข้ามชาติ แต่ในปัจจุบันจำนวนคดียังมีจำนวนไม่มากเท่าคดีหมิ่นประมาท และ คดีเผยแพร่ภาพลามกอนาจาร
สำหรับกรณีที่ไม่จัดเก็บ Log หรือ จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่ต่ำกว่า 90 วัน ยังไม่มีกรณีที่องค์กรถูกจับและถูกปรับเลย ซึ่งทำให้หลายองค์กรยังไม่ปฏิบัติตามพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ตามมาตรา 26 รวมถึง ปัญหาของมาตรา 11 ที่เกี่ยวกับ SPAM Mail ก็ยังพบเห็นกันอยู่ตามปกติ หรือ อาจจะมากขึ้นกว่าเดิมด้วยซ้ำ ยังไม่รวมถึงการปล่อย MalWareหรือ ไวรัสคอมพิวเตอร์อีกจำนวนมาก
ดัง นั้นควรมีการประชาสัมพันธ์เนื้อหา พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ให้มากขึ้นในวงกว้าง และ ควรมีการปรับแก้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ในบางมาตรา หรือ การปรับแก้บทลงโทษให้เหมาะสมกับสถานการณ์ปัจจุบัน ตลอดจน ภาครัฐควรบังคับใช้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ให้จริงจังมากกว่าที่เป็นอยู่ในขณะนี้ ในส่วนของการจัดเก็บ Log ของผู้ให้บริการ ไม่ควรเน้นไปที่การจับกุมเฉพาะคดีภาพลามกอนาจารหรือการเผยแพร่คลิปโป๊เท่านั้น ขณะ เดียวกันควรเพิ่มจำนวนพนักงานเจ้าหน้าที่ให้มากขึ้น และถ่ายทอดความรู้ขั้นสูงให้กับพนักงานเจ้าหน้าที่ให้มีทักษะในการพิสูจน์ หลักฐานทางคอมพิวเตอร์ให้มากขึ้นกว่าในปัจจุบัน เพื่อเป็นการเตรียมรับมือกับอาชญากรรมที่จะเกิดขึ้นในอนาคต ตามที่ทาง Gartner Research ได้ทำนายไว้แล้วว่า “Computer Crime as a Service” กำลังจะมาในเร็ววันนี้
จากความนิยมในการใช้อินเทอร์เน็ตที่เพิ่มขึ้นทั่วโลก (ดูรูปที่ 1-4) สถิติ อาชญากรรมคอมพิวเตอร์ที่มีการใช้งานอินเตอร์เน็ตเป็นสื่อกลางในการติดต่อก็ มีสถิติเพิ่มขึ้นเป็นเงาตามตัวเช่นกัน เหล่าอาชญากรคอมพิวเตอร์ในปัจจุบันล้วนอาศัยช่องทางการโจมตีเหยื่อ หรือเป้าหมายผ่านทางเครือข่ายอินเทอร์เน็ต ซึ่งถือเป็นเครือข่ายสาธารณะที่เชื่อมต่อคอมพิวเตอร์ของผู้ใช้คอมพิวเตอร์ กว่าพันล้านคนเข้าด้วยกัน
Source: http://www.internetworldstats.com/
จาก การโจมตีทางอินเทอร์เน็ตดังกล่าวทำให้หลายองค์กรตลอดจนบุคคลทั่วไปเกิดความ เสียหายทางด้านเศรษฐกิจและสังคม รวมทั้งเสียชื่อเสียงและสูญเสียความน่าเชื่อถือ ซึ่งในปัจจุบันกลายเป็นปัญหาใหญ่ในระดับชาติที่ทุกคนควรต้องทำความเข้าใจ สาเหตุของปัญหาให้ถ่องแท้และร่วมกันแก้ปัญหาให้ถูกจุด การออก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ของ ทางภาครัฐ ถือเป็นหนึ่งในวิธีการแก้ปัญหาที่ถูกต้อง แต่การออก พรบ. ฯ ดังกล่าวย่อมส่งผลกระทบกับวงการไอทีในประเทศไทยอย่างหลีกเลี่ยงไม่ได้ ซึ่งผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 นั้น สรุปได้ดังนี้ 10 ผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 1. การเตรียมความพร้อมและการจัดเตรียมงบประมาณขององค์กรในการจัดเก็บ Log ตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ยังไม่พร้อมและยังขาดงบประมาณอยู่ในองค์กรส่วนใหญ่ 2. จำนวนพนักงานเจ้าหน้าที่ที่ยังไม่เพียงพอกับจำนวนอาชญากรรมที่เกี่ยวกับคอมพิวเตอร์ในปัจจุบันและอนาคต หน่วย งานที่เกี่ยวข้องกับพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่ประชาชนสามารถแจ้งความกับเจ้าพนักงาน โดยประสานงานกับพนักงานเจ้าหน้าที่ ได้แก่ หน่วยงานที่มีพนักงานเจ้าหน้าที่ ได้แก่ 3. ความสับสนระหว่าง การใช้พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 กับ การใช้ ป. วิอาญาในการดำเนินการขอหมายจับและการจับกุมผู้กระทำผิดที่กระทำผิดเกี่ยวกับคอมพิวเตอร์ ของผู้บังคับใช้กฎหมาย 4. ความเข้าใจผิดในการตีความพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ในเชิงเทคนิค 5. บทลงโทษบางมาตราที่ค่อนข้างอ่อนเกินไป หรือบางมาตราที่มากเกินไป เช่น การยอมความไม่ได้ในมาตราส่วนใหญ่ 6. การจัดเก็บ Log File ที่ยังไม่ถูกต้องครบถ้วนตามวัตถุประสงค์ของพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 โดยเฉพาะเรื่องการระบุตัวเป็นรายบุคคล (Accountability) 7. การประชาสัมพันธ์ให้ประชาชนทั่วไปได้รับทราบและทำความเข้าใจกับพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ยังอยู่ในวงแคบ ทำให้บางคนไม่ทราบความหมายในรายละเอียดของ พรบ. ฯ หรือ อาจกระทำผิดโดยรู้เท่าไม่ถึงการณ์ 8. ขาดการฝึกอบรมด้านเทคโนโลยีขั้นสูงในลักษณะ Hands-on Workshop เช่น Advanced Computer Forensic Workshop หรือ Incident Response and Handling Workshop ให้กับพนักงานเจ้าหน้าที่ โดยการฝึกฝนจาก Workshop จะ ทำให้เกิดความน่าเชื่อถือ และ เกิดความแม่นยำในการปฎิบัติงานมากขึ้น รวมทั้งขาดการสนับสนุนพนักงานเจ้าหน้าที่โดยควรมีหน่วยงานที่ถาวรมารองรับ 9. ขาดการฝึกอบรมเชิงเทคนิคให้กับ Law Enforcement เช่น ผู้พิพากษา และอัยการ อย่างเพียงพอ ทำให้อาจเกิดความผิดพลาดในการวินิจฉัยเวลาพิจารณาคดีได้ 10. ผู้บริหารในหลายองค์กรยังคงเพิกเฉยต่อการจัดเก็บ Log File ตามพ รบ.ฯ เนื่องจากคาดว่าคงไม่เกิดการบังคับใช้จริงและการตรวจสอบจากพนักงานเจ้า หน้าที่ที่มีจำนวนจำกัดยังไม่ถูกดำเนินการเป็นกรณีตัวอย่าง มีการแก้ไข พรบ. ฯ เพิ่มเติมหรือไม่? อย่างไร? หลังจากที่ พรบ.ฯ ประกาศบังคับใช้เมื่อวันที่ 18 มิถุนายน 2550 ทางกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารได้ออกประกาศเพิ่มเติมอีก 6 ประกาศ ได้แก่ 1. ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 2. ประกาศกระ ทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง แต่งตั้งพนักงานเจ้าหน้าที่ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 3. ประกาศกระ ทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง แต่งตั้งพนักงานเจ้าหน้าที่ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ฉบับที่ 2 4. ประกาศกระ ทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง กำหนดแบบบัตรประจำตัวพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำ ความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 5. ระเบียบ ว่าด้วยการจับกุม ค้น การทำสำนวนสอบสวนและดำเนินคดีกับผู้กระทำความผิดตามพระราชบัญญัติว่าด้วยการ กระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 6. ประกาศกระ ทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์เกี่ยวกับคุณสมบัติของพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วย การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (หมายเหตุ . หลังจากประกาศทั้ง 6 แล้ว ในปัจจุบันยังไม่มีการประกาศเพิ่มเติม) ปัญหาและอุปสรรคของคณะกรรมาธิการร่าง พรบ. ฯ ปัญหา และอุปสรรคส่วนใหญ่ของคณะกรรมาธิการร่าง พรบ. ฯ เป็นเรื่องของความเห็นที่ไม่ตรงกันเกี่ยวกับตัวบทกฎหมาย เพราะหากเรานำคนที่มีความรู้พื้นฐานไม่เท่ากันและประสบการณ์ที่แตกต่างกันมา ปฏิบัติงานร่วมกันก็ย่อมเกิดความแตกต่างทางความคิดได้เป็นธรรมดา เนื่องจากคณะกรรมาธิการร่างพรบ. ฯ ประกอบด้วยกลุ่มนักกฎหมายที่ไม่มีความรู้ด้านเทคโนโลยีสารสนเทศในเชิงเทคนิค และ กลุ่มผู้เชี่ยวชาญด้านเทคนิคที่มีความรู้ด้านเทคโนโลยีสารสนเทศดีเยี่ยมแต่ ไม่มีความรู้ด้านกฎหมายเพียงพอ ดังนั้นความเห็นบางอย่างอาจไม่ตรงกัน บทลงโทษในกฎหมายบางครั้งก็ถูกตัดออกไปโดยไม่จำเป็น หรือ ในตัวบทกฎหมายในบางข้อความก็มีบ้างที่ไม่จำเป็นต้องนำมาเขียนไว้ แต่ผู้ปฎิบัติตามกฎหมายต้องสามารถอธิบายกับพนักงานเจ้าหน้าที่ได้เวลาที่ เกิดเหตุการณ์ไม่พึงประสงค์ โดยเริ่มจากการศึกษาตัวบทกฎหมายให้รู้แจ้งเห็นจริงเสียก่อน จึงจะสามารถตอบสนองความต้องการของพนักงานเจ้าหน้าที่ และ Law Enforcement ตลอดจน Auditor และ Regulator รวมทั้งตอบสนองต่อความต้องการของลูกค้า หรือ ผู้ใช้งานคอมพิวเตอร์ทั่วไป (Users) ได้อย่างถูกต้องตามกฎหมาย ดัง นั้นจึงสรุปได้ว่าตัวพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และประกาศกระทรวง ฯ ควรจะมีการนำมาปรับแต่งแก้ไขให้เป็นปัจจุบันและเพื่อสอดคล้องกับสถานการณ์ การละเมิด พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และประกาศกระทรวง ฯ ที่เกิดขึ้นอยู่เป็นประจำในขณะนี้ สิ่งที่ผู้บังคับใช้กฎหมายและผู้ปฏิบัติตามกฎหมายต้องเรียนรู้มีอะไรบ้าง ? · สำหรับ ผู้บังคับใช้กฎหมายได้แก่ เจ้าหน้าที่รัฐ เช่น พนักงานเจ้าหน้าที่ ผู้พิพากษา อัยการ ตำรวจ ควร · สำหรับผู้ที่ต้องปฏิบัติตามกฎหมายพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ฯ ควร Security Awareness Training ใน องค์กรทุกปี อย่างน้อยปีละหนึ่งหรือสองครั้ง สำหรับผู้ใช้คอมพิวเตอร์ตามบ้านควรหาความรู้อินเทอร์เน็ตหรือจากการเข้าฟัง สัมมนาที่เกี่ยวกับกลโกงทางอินเทอร์เน็ต เช่น Top Ten Cyber Security Threat 2009 เพื่อ “Update” ความรู้ใหม่ๆ เกี่ยวกับภัยอินเทอร์เน็ตทั้งในปัจจุบันและอนาคต รูปแบบของการกระทำความผิด และ เหตุที่เกิดการกระทำความผิด สำหรับรูปแบบของการกระทำความผิด (ดูรูปที่ 5)
มาตรา 5-16 หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ (ดูรูปที่ 6)
มาตรา18-30 หมวดที่ 2 พนักงานเจ้าหน้าที่ (ดูรูปที่ 7)
บทกำหนดโทษ (ดูรูปที่ 8)
สำหรับสภาพปัญหาของการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ มีข้อสังเกตุดังนี้ – ผู้กระทำความผิดอยู่ตรงไหนก็ได้ในโลก สำหรับเหตุที่เกิดการกระทำความผิด อาจแบ่งได้หลายกรณี เช่น – รู้เท่าไม่ถึงการณ์ โดยไม่ทราบว่าตนเองกำลังกระทำความผิดตามพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ กล่าว โดยสรุปได้ว่า หลังการประกาศบังคับใช้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ และ ประกาศกระทรวง ฯ ในตลอดระยะเวลาที่ผ่านมานั้น ยังมีคดีที่เป็นกรณีศึกษาเกิดขึ้นไม่มากนัก ส่วนใหญ่จะเป็นกรณีที่เกี่ยวกับการหมิ่นประมาท การเผยแพร่ภาพลามกอนาจาร มีกรณีที่เกี่ยวกับการโจมตีเจาะระบบ เพื่อขโมยเงินหรือหวังผลประโยชน์ทางด้านการเงิน โดยแฮกเกอร์รายบุคคล หรือ แก็งค์อาชญากรรมข้ามชาติ แต่ในปัจจุบันจำนวนคดียังมีจำนวนไม่มากเท่าคดีหมิ่นประมาท และ คดีเผยแพร่ภาพลามกอนาจาร สำหรับกรณีที่ไม่จัดเก็บ Log หรือ จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่ต่ำกว่า 90 วัน ยังไม่มีกรณีที่องค์กรถูกจับและถูกปรับเลย ซึ่งทำให้หลายองค์กรยังไม่ปฏิบัติตามพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ตามมาตรา 26 รวมถึง ปัญหาของมาตรา 11 ที่เกี่ยวกับ SPAM Mail ก็ยังพบเห็นกันอยู่ตามปกติ หรือ อาจจะมากขึ้นกว่าเดิมด้วยซ้ำ ยังไม่รวมถึงการปล่อย MalWareหรือ ไวรัสคอมพิวเตอร์อีกจำนวนมาก ดัง นั้นควรมีการประชาสัมพันธ์เนื้อหา พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ให้มากขึ้นในวงกว้าง และ ควรมีการปรับแก้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ในบางมาตรา หรือ การปรับแก้บทลงโทษให้เหมาะสมกับสถานการณ์ปัจจุบัน ตลอดจน ภาครัฐควรบังคับใช้พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ฯ ให้จริงจังมากกว่าที่เป็นอยู่ในขณะนี้ ในส่วนของการจัดเก็บ Log ของผู้ให้บริการ ไม่ควรเน้นไปที่การจับกุมเฉพาะคดีภาพลามกอนาจารหรือการเผยแพร่คลิปโป๊เท่านั้น ขณะ เดียวกันควรเพิ่มจำนวนพนักงานเจ้าหน้าที่ให้มากขึ้น และถ่ายทอดความรู้ขั้นสูงให้กับพนักงานเจ้าหน้าที่ให้มีทักษะในการพิสูจน์ หลักฐานทางคอมพิวเตอร์ให้มากขึ้นกว่าในปัจจุบัน เพื่อเป็นการเตรียมรับมือกับอาชญากรรมที่จะเกิดขึ้นในอนาคต ตามที่ทาง Gartner Research ได้ทำนายไว้แล้วว่า “Computer Crime as a Service” กำลังจะมาในเร็ววันนี้ |