ให้บริการไวไฟฟรีอย่างไรให้ไม่ผิดกฏหมาย พรบ.คอมพิวเตอร์
ไวไฟฟรี
สวัสดีครับผู้อ่านทุกท่าน เคยสงสัยมั้ยครับว่าไวไฟฟรีที่เราไปใช้งานตามโรงแรม ร้านกาแฟ คาเฟ่ต่างๆ ห้างสรรพสินค้า แล้วทางร้านให้รหัสไวไฟมาซึ่งเป็นรหัสเดียวกันกับที่คนอื่นๆกำลังใช้งานอยู่ แล้วอย่างนี้จะระบุตนตัวผู้ใช้งานได้อย่างไรว่าใครที่กำลังใช้งานอินเทอร์เน็ตอยู่บ้าง แล้วถ้าเกิดมีการกระทำความผิดทางอินเทอร์เน็ตเกิดขึ้นทางร้านจะต้องนำข้อมูลส่วนไหนส่งให้เจ้าหน้าที่ที่เกี่ยวข้อง ในบทความตอนนี้ผมจะมาคลี่ข้อกฏหมายให้ดูครับว่าถ้าจะให้ปฏิบัติตามข้อกฏหมายแล้วจะต้องทำอย่างไรบ้าง
ประการแรกกฏหมายที่กำหนดการจัดเก็บข้อมูลการจราจรทางคอมพิวเตอร์คือ พรบ.ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์(ฉบับที่ 2) พ.ศ. 2560 ได้ให้คำจำกัดความของข้อมูลจราจรทางคอมพิวเตอร์ไว้ว่า “ข้อมูลจราจรทางคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น ซึ่งในพรบ.ไม่ได้ระบุถึงรายละเอียดว่าผู้ให้บริการอินเทอร์เน็ตแต่ละประเภทต้องเก็บข้อมูลอะไรบ้าง เราจึงต้องดูประกาศหลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๖๔ ของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมประกอบด้วยซึ่งมีรายละเอียดดังนี้
ประเภทของผู้ให้บริการ
1. ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ตหรือให้สามารถติดต่อถึงกันโดยประการอื่นโดยผ่านทางระบบคอมพิวเตอร์ไม่ว่าจะเป็นการให้บริการในนามของตนเองหรือในนามหรือเพื่อประโยชน์ของบุคคลอื่น
จำแนกได้ 6 ประเภทดังนี้
ตารางที่ 1 ผู้ให้บริการประเภท
1
ประเภท |
รายละเอียดตัวอย่างรูปแบบของผู้ให้บริการ |
ก.
ผู้ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและเสียง |
1) ผู้ให้บริการโทรศัพท์พื้นฐาน 2) ผู้ให้บริการโทรศัพท์เคลื่อนที่ 3)
ผู้ให้บริการโทรคมนาคมที่ให้บริการโทรศัพท์ติดต่อกันผ่านระบบอินเทอร์เน็ตและเครือข่ายคอมพิวเตอร์
4) ผู้ให้บริการวงจรเช่า เช่น ผู้ให้บริการ Leased Line, ผู้ให้บริการสายเช่า Fiber Optic, ผู้ให้บริการ ADSL
(Asymmetric Digital Subscriber Line), ผู้ให้บริการ Frame
Relay, ผู้ให้บริการ ATM (Asynchronous Transfer Mode), ผู้ให้บริการ MPLS (Multi Protocol Label Switching) เป็นต้น เว้นแต่ผู้ให้บริการนั้นให้บริการแต่เพียงสายสัญญาณอย่างเดียวเท่านั้น
(เช่น ผู้ให้บริการ Dark Fiber, ผู้ให้บริการสายใยแก้วนำแสง
ซึ่งอาจไม่มีสัญญาน Internet หรือไม่มี IP Traffic)
5) ผู้ให้บริการดาวเทียม 6) ผู้ให้บริการ VOIP (Voice over IP) |
ข.
ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ |
1) ผู้ให้บริการอินเทอร์เน็ตทั้งมีสายและไร้สาย 2)
ผู้ประกอบการซึ่งให้บริการในการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ในห้องพัก ห้องเช่า
โรงแรม หรือร้านอาหารและเครื่องดื่มในแต่ละกลุ่ม อย่างหนึ่งอย่างใด 3) ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์สำหรับองค์กร เช่น
หน่วยงาน ราชการ บริษัท หรือสถาบันการศึกษา |
ค.
ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่าง ๆ |
1) ผู้ให้บริการเช่าระบบคอมพิวเตอร์, การให้บริการเช่าเครื่องแม่ข่ายบริการเว็บไซต์ 2) ผู้ให้บริการแลกเปลี่ยนแฟ้มข้อมูล 3) ผู้ให้บริการเข้าถึงจดหมายอิเล็กทรอนิกส์ หรือบริการเข้าถึงข้อความอิเล็กทรอนิกส์ที่ติดต่อสื่อสารกันผ่านระบบคอมพิวเตอร์
4) ผู้ให้บริการศูนย์รับฝากข้อมูลทางอินเทอร์เน็ต |
ง.
ผู้ให้บริการร้านอินเทอร์เน็ต |
1) ผู้ให้บริการร้านอินเทอร์เน็ต 2) ผู้ให้บริการร้านเกมออนไลน์ 3) ผู้ให้บริการประเภทเกมส์หรือสันทนาการประเภท Virtual Reality หรือ e-Sport |
จ.
ผู้ให้บริการโปรแกรมคอมพิวเตอร์ ซอฟต์แวร์ เทคโนโลยีปัญญาประดิษฐ์ แอพพลิเคชันที่ทำให้บุคคลทั่วไปสามารถติดต่อสื่อสารข้อมูลถึงกันได้
|
1) App Store 2) Google Play 3) Chatbot 4) Clubhouse 5) Telegram 6)
ผู้ให้บริการอื่นที่ให้บริการโดยลักษณะการให้การติดต่อสื่อสารในลักษณะทำนองเดียวกัน
ฯลฯ |
ฉ.
ผู้ให้บริการสื่อสังคมออนไลน์รวมถึงผู้ให้บริการในฐานะสื่อกลางในการรับส่ง ข้อมูลผ่านระบบเครือข่ายคอมพิวเตอร์
ไม่ว่าจะมีระบบบอกรับสมาชิกหรือไม่ก็ตาม |
1) Facebook 2) YouTube 3) Instagram 4) LinkedIn 5) Line 6) MSN Messenger 7) WhatsApp 8)ผู้ให้บริการอื่นที่ให้บริการโดยลักษณะการให้การติดต่อสื่อสารในลักษณะทำนองเดียวกัน
ฯลฯ |
มาตรฐานทั่วไปในการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์
ก. ข้อมูลบันทึกเหตุการณ์การเข้าใช้งานในระบบคอมพิวเตอร์
ซึ่งต้องมีมาตรการตรวจสอบกำกับดูแลข้อมูลจราจรทางคอมพิวเตอร์ให้ระบบคอมพิวเตอร์สามารถให้ข้อมูล
เก็บรักษาข้อมูล หรือตรวจสอบข้อมูลการใช้งานของผู้ใช้บริการ
ข้อยกเว้นของระบบคอมพิวเตอร์ที่บันทึกข้อมูลคอมพิวเตอร์ไม่ได้
รายละเอียดเปอร์เซ็นต์ความผิดพลาดของระบบคอมพิวเตอร์
และข้อมูลภัยคุกคามทางไซเบอร์ของระบบคอมพิวเตอร์ ซึ่งมีรายละเอียดดังนี้
(1) ข้อมูลที่สามารถระบุตัวตนของผู้ใช้บริการ
(2) รายละเอียดของการใช้ข้อมูลของผู้ใช้บริการในระบบคอมพิวเตอร์
(3) วัน เวลา และรายละเอียดเหตุการณ์สำคัญที่เกี่ยวข้องกับกิจกรรมของผู้ใช้งาน
หรือผู้ใช้บริการ เช่น การล็อคอินเข้าออกระบบคอมพิวเตอร์
(4) ข้อมูลที่สามารถระบุหมายเลขของเครือข่ายคอมพิวเตอร์ระบบคอมพิวเตอร์
อุปกรณ์คอมพิวเตอร์ สถานที่ในการเข้าออกระบบคอมพิวเตอร์ และอุปกรณ์ที่ใช้เชื่อมต่อคอมพิวเตอร์ให้คอมพิวเตอร์สามารถเข้าถึงระบบคอมพิวเตอร์ได้
(5)
รายละเอียดบันทึกการเข้าถึงและการพยายามเข้าถึงระบบคอมพิวเตอร์ทั้งในส่วนที่เข้าถึงระบบคอมพิวเตอร์ได้และส่วนที่ระบบคอมพิวเตอร์ปฏิเสธการเข้าถึง
(6) บันทึกรายละเอียดข้อมูลคอมพิวเตอร์ที่มีการเข้าถึงแหล่งข้อมูล
(7) รายละเอียด ประเภทของแอปพลิเคชัน และการใช้งานในระบบคอมพิวเตอร์
(8) แฟ้มข้อมูลและประเภทของข้อมูลคอมพิวเตอร์ที่ถูกเข้าถึงในระบบคอมพิวเตอร์
(9) ตำแหน่งที่อยู่ของระบบเครือข่ายคอมพิวเตอร์และโปรโตคอลหลักที่ใช้
(10) รายละเอียดมาตรการการป้องกันภัยคุกคามทางไซเบอร์ เช่น
รายละเอียดการใช้โปรแกรมป้องกันไวรัสคอมพิวเตอร์
ระบบเฝ้าระวังภัยคุกคามทางไซเบอร์ที่ทำให้ระบบทำงาน และถูกระงับการใช้งาน
(11) รายละเอียดธุรกรรมที่ทำผ่านแอปพลิเคชันต่างๆ โดยผู้ใช้บริการ
ข. ระบบรักษาความปลอดภัยของข้อมูลจราจรทางคอมพิวเตอร์
ค.
รายละเอียดการเข้าถึงข้อมูลจราจรทางคอมพิวเตอร์ของผู้ดูแลระบบคอมพิวเตอร์
และผู้บริหารจัดการระบบคอมพิวเตอร์
ง. การตั้งค่าระบบเวลาให้เชื่อมต่อกับอุปกรณ์คอมพิวเตอร์และระบบคอมพิวเตอร์ ให้เป็นระบบสากล
ข้อมูลจราจรทางคอมพิวเตอร์ซึ่งผู้ให้บริการมีหน้าที่ต้องเก็บรักษา
ข้อมูลที่ผู้ให้บริการประเภท 1 ข. จะต้องจัดเก็บ
ประเภท | รายละเอียดตัวอย่างของข้อมูล |
ก. ข้อมูลอินเทอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย | 1) ข้อมูล Log ที่มีการบันทึกไว้เมื่อมีการเข้าถึงระบบเครือข่ายซึ่งระบุถึงตัวตนและ สิทธิในการเข้าถึงเครือข่าย เช่น TACACS (Terminal Access Controller Access Control System) หรือ RADIUS (Remote Authentication Dial-In User Service) หรือ DIAMETER |
2) ข้อมูลเกี่ยวกับวันและเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ | |
3) ข้อมูลเกี่ยวกับชื่อที่ระบุตัวตนผู้ใช้ | |
4) ข้อมูลหมายเลขชุดอินเทอร์เน็ตที่ถูกกำหนดให้โดยระบบผู้ให้บริการ | |
5) ข้อมูลที่บอกถึงหมายเลขสายที่เรียกเข้ามา |
มาตรการปกป้องข้อมูลและความน่าเชื่อถือของข้อมูลผู้ใช้บริการ
เพื่อป้องกันระบบความน่าเชื่อถือของข้อมูลให้ถูกต้องและไม่ให้ถูกแก้ไขเปลี่ยนแปลง
รวมถึงเพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ ผู้ให้บริการต้องจัดให้มีมาตรการรักษาความมั่นคง
ปลอดภัยของข้อมูลในระบบการพิสูจน์และยืนยันตัวตนซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ
มาตรการป้องกันด้านเทคนิคและมาตรการป้องกันทางกายภาพในเรื่องการเข้าถึงหรือควบคุมการใช้งาน
ข้อมูลในระบบการพิสูจน์และยืนยันตัวตนโดยอย่างน้อยต้องประกอบด้วยการดำเนินการดังต่อไปนี้
(1)
การควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลในระบบการพิสูจน์และยืนยันตัวตนโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
(2) การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลในระบบการพิสูจน์และยืนยันตัวตน
(3)
การบริหารจัดการการเข้าถึงของผู้ใช้งานเพื่อควบคุมการเข้าถึงข้อมูลในระบบการพิสูจน์และยืนยันตัวตนเฉพาะผู้ที่ได้รับอนุญาตแล้ว
(4)
การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งานเพื่อป้องกันการเข้าถึงข้อมูลในระบบการพิสูจน์และยืนยันตัวตนโดยไม่ได้รับอนุญาต
การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล
การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลในระบบ การพิสูจน์และยืนยันตัวตน
(5) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลในระบบการพิสูจน์และยืนยันตัวตนให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลในระบบการพิสูจน์และยืนยันตัวตน
การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์
ผู้ให้บริการต้องใช้วิธีการที่มั่นคงปลอดภัยเพื่อเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์
ดังต่อไปนี้
(1) เก็บในสื่อจัดเก็บข้อมูลหรืออุปกรณ์คอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่สามารถรักษาความครบถ้วนถูกต้องแท้จริงและระบุตัวบุคคลที่เข้าถึงสื่อจัดเก็บข้อมูลดังกล่าวได้
(2) มีระบบการเก็บรักษาความลับของข้อมูลที่จัดเก็บและกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าวเพื่อรักษาความน่าเชื่อถือของข้อมูลและไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้
เช่น การเก็บไว้ใน Centralized Log Server หรือการเก็บรักษาข้อมูลแบบถาวร
หรือการเข้ารหัสข้อมูลเพื่อตรวจสอบความเป็นต้นฉบับ เป็นต้น
เว้นแต่ผู้มีหน้าที่เกี่ยวข้องที่เจ้าของหรือผู้บริหารองค์กรกำหนดให้สามารถเข้าถึงข้อมูลดังกล่าวได้
เช่น ผู้ตรวจสอบระบบสารสนเทศขององค์กรหรือบุคคลที่องค์กรมอบหมาย เป็นต้น
รวมทั้งพนักงานเจ้าหน้าที่ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
(3) จัดให้มีผู้มีหน้าที่ประสานงานและให้ข้อมูลกับพนักงานเจ้าหน้าที่ซึ่งได้รับการแต่งตั้งตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
พ.ศ. ๒๕๕๐ และที่แก้ไขเพิ่มเติม เพื่อให้การส่งมอบข้อมูลนั้นเป็นไปด้วยความรวดเร็ว
(4) ในการเก็บข้อมูลจราจรนั้นต้องสามารถระบุรายละเอียดผู้ใช้บริการเป็นรายบุคคลได้ เช่น ลักษณะการใช้บริการ Proxy Server, Network Address Translation (NAT) หรือ Proxy Cache หรือ Cache Engine หรือบริการอินเทอร์เน็ตฟรี หรือจุดเชื่อมต่อไวไฟสาธารณะ เป็นต้น ต้องสามารถระบุตัวตนของผู้ใช้บริการเป็นรายบุคคลได้จริง
ระยะเวลาการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์
ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ตามกำหนดระยะเวลาดังต่อไปนี้
(1) กรณีทั่วไป ให้ผู้ให้บริการเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน
นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์
(2) กรณีจำเป็นเมื่อมีเหตุอันควรเชื่อได้ว่ามีการกระทำความผิดตามพระราชบัญญัตินี้ หรือเพื่อประโยชน์ในการรวบรวมข้อเท็จจริงและหลักฐานเกี่ยวกับการกระทำความผิดที่เกี่ยวข้องกับความมั่นคง แห่งราชอาณาจักร การก่อการร้าย องค์กรอาชญากรรมข้ามชาติ หรือความสงบเรียบร้อยของประชาชน ซึ่งได้ใช้ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์หรืออุปกรณ์ที่ใช้เก็บข้อมูลคอมพิวเตอร์เป็นองค์ประกอบ หรือเป็นส่วนหนึ่งในการกระทำความผิด หรือมีข้อมูลคอมพิวเตอร์ที่เกี่ยวข้องกับการกระทำความผิด ไม่ว่าข้อเท็จจริงในเหตุแห่งความจำเป็นดังกล่าวปรากฏต่อพนักงานเจ้าหน้าที่นั้นเอง หรือเมื่อได้รับการร้องขอจากเจ้าหน้าที่ผู้รับผิดชอบในการสืบสวนหรือสอบสวน ก่อนครบกำหนดเวลาตาม (๑) ให้พนักงาน เจ้าหน้าที่มีคำสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ของผู้ใช้บริการเป็นกรณีพิเศษ เฉพาะรายต่อไปอีกคราวละไม่เกินหกเดือนต่อเนื่องกัน แต่ต้องไม่เกินสองปี
หวังว่าข้อมูลในบทความนี้คงจะมีประโยชน์กับผู้อ่านบ้างนะครับ สำหรับบทความนี้คงต้องขอจบไว้เพียงเท่านี้ สวัสดีครับ