ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต มหาวิทยาลัยเกษตรศาสตร์ บทบาทของ พรบ.คอมพิวเตอร์ ต่อประเทศไทย ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต บรรยายในการสัมมนา NetDay 2007 มหาวิทยาลัยเกษตรศาสตร์
วัตถุประสงค์ของคำบรรยาย เพื่อให้เข้าใจความสำคัญของกฎหมายที่เกี่ยวข้องกับไอซีที และ ประเด็นสำคัญ พรบ. ลิขสิทธิ์และการคุ้มครองโปรแกรม พรบ. ข้อมูลข่าวสารของราชการ พรบ. ธุรกรรมทางอิเล็กทรอนิกส์ พรบ. การกระทำผิดว่าด้วยคอมพิวเตอร์ ร่าง พรบ. ข้อมูลส่วนบุคคล
ทำไมจึงต้องมีกฎหมายไอซีที ไอซีทีได้เปลี่ยนรูปแบบการดำเนินงานต่าง ๆ ที่เราเคยรู้จักและคุ้นเคยมานานแล้ว ข้อความกระดาษ => ข้อความอิเล็กทรอนิกส์ การส่งจดหมาย => การส่งอีเมล การใช้ธนบัตร => การใช้บัตรเครดิต การซื้อขายโดยเข้าไปที่ร้านค้าจริง => การซื้อขายผ่านอินเทอร์เน็ตโดยไม่เห็นสินค้าและผู้ขาย การจัดเก็บข้อมูลไว้ในฐานข้อมูลที่เชื่อมโยงเป็นเครือข่ายอาจถูกโจรกรรมหรือก่อวินาศกรรมได้ การดัดแปลงแก้ไขภาพถ่ายดิจิทัล
การดำเนินคดีและพิจารณาคดี แต่เดิมมาให้น้ำหนักต่อพยานหลักฐานสำคัญคือ กระดาษทีมีลายมือชื่อ การกำหนดเวลาและสถานที่เกิดเหตุที่ชัดเจน การทราบกรรมวิธีก่อเหตุ หรือ ขั้นตอนของการก่อเหตุ การลงโทษผู้กระทำผิดจะทำได้ต่อเมื่อมีการระบุว่าเป็นความผิดตามกฎหมาย กิจกรรมที่เกี่ยวกับไอซีทีจำนวนมากไม่เข้าข่ายข้างต้น
การผลักดันกฎหมายไอซีที เนคเทค ซึ่งได้รับแต่งตั้งให้เป็นสำนักงานเลขานุการคณะกรรมการไอซีทีแห่งชาติตั้งแต่แรก ได้เล็งเห็นปัญหานี้ และได้ตั้งหน่วยงานขึ้นศึกษาเรื่องกฎหมายไอซีทีของประเทศอื่น คณะกรรมการฯ อนุมัติให้ตั้งคณะกรรมการร่างกฎหมายขึ้นหลายคณะ และได้ผลักดันจนสามารถตรา พรบ. ขึ้นสองฉบับคือ พรบ. ธุรกรรมทางอิเล็กทรอนิกส์ พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์
พรบ. ลิขสิทธิ์ แต่เดิมหน่วยงานที่ดูแล พรบ. นี้คือ กรมศิลปากร แต่งานอันมีลิขสิทธิ์ไปเกี่ยวข้องกับการค้ามากขึ้น และ ประเทศไทยได้รับการจับตามองว่าเป็นประเทศที่มีการละเมิดลิขสิทธิ์สูงมาก โดยเฉพาะทางด้านซอฟต์แวร์ กระทรวงพาณิชย์ ร่วมกับกรมศิลปากร จึงศึกษาจัดทำร่าง พรบ. ลิขสิทธิ์ฉบับใหม่ให้ครอบคลุมโปรแกรมคอมพิวเตอร์ ต่อมา กระทรวงพาณิชย์ได้ตั้งกรมทรัพย์สินทางปัญญาขึ้น และรับมอบพรบ. นี้ไปกำกับดูแล
ทำไมจึงต้องคุ้มครองลิขสิทธิ์โปรแกรม ประเทศไทยขายสินค้าไป สรอ. โดยได้สิทธิ์ที่เรียกว่า GSP ส่วนสรอ. นั้นปัจจุบันไม่มีสินค้าส่งออกมากเหมือนเดิม แต่ส่งออกซอฟต์แวร์และความรู้แทน ซึ่งสิ่งเหล่านี้ลอกเลียนได้ง่าย สรอ. จึงเจรจาให้ประเทศต่าง ๆ เข้มงวดจับกุมการลอกเลียนซอฟต์แวร์ มิฉะนั้นจะตัด GSP ประเทศไทยไม่มีทางเลือกจึงต้องทำตาม การคุ้มครองก็มีประโยชน์ต่อพ่อค้าไทยที่คิดค้นผลิตสินค้าอันมีลิขสิทธิ์เหล่านี้ เพียงแต่พ่อค้าเหล่านี้เป็นเพียงคนกลุ่มน้อยเท่านั้น
ความเกี่ยวข้องกับ CIO CIO ต้องกำกับดูแลให้มีการตั้งงบประมาณจัดซื้อสิทธิ์ในการใช้ซอฟต์แวร์ (license) เวลาที่เราเรียกว่าซื้อซอฟต์แวร์มานั้น ที่จริงเราไม่ได้เป็นเจ้าของซอฟต์แวร์นั้น เราเพียงแต่ซื้อสิทธิ์ในการใช้เท่านั้น เราไม่สามารถดัดแปลงซอฟต์แวร์นั้นไปใช้ในเครื่องอื่น ๆ, ไม่สามารถนำไปขายหรือให้เช่าต่อ, และไม่สามารถก๊อปปีแจกให้ผู้อื่นไปใช้งาน บริษัทซอฟต์แวร์ต่างประเทศ ได้จัดตั้งทีม BSA (Business Software Alliance) เพื่อตรวจสอบหน่วยงานว่าละเมิดลิขสิทธิ์หรือไม่ และจัดการฟ้องร้องผู้ละเมิดปีละหลายร้อยราย
ความเกี่ยวข้องกับ CIO 2 การดาวน์โหลดซอฟต์แวร์ผ่านอินเทอร์เน็ตเป็นเรื่องง่าย CIO ต้องควบคุมและประกาศห้าม มิฉะนั้นหากถูกจับกุม CIO ต้องรับผิดด้วย CIO ต้องให้พนักงานตรวจสอบการดาวน์โหลดซอฟต์แวร์มาบรรจุไว้ในเครื่องต่าง ๆ เป็นประจำ หากพบว่ามีซอฟต์แวร์ที่ไม่ได้รับอนุญาต หรือสงสัยว่าไม่มีสิทธิ์ในการใช้ CIO ต้องตักเตือนและนำซอฟต์แวร์นั้นออกจากระบบ
ความเกี่ยวข้องกับ CIO 3 การมอบหมายให้ลูกจ้างและ ขรก. ของหน่วยงานรัฐพัฒนาซอฟต์แวร์ขึ้น ลิขสิทธิ์เป็นของหน่วยงาน (ในกรณีของบริษัทเอกชน การพัฒนาของพนักงานเป็นลิขสิทธิ์ของพนักงาน) หากขรก. พัฒนาซอฟต์แวร์ขึ้นใช้เอง โดยเราไม่ได้สั่งให้ทำ ลิขสิทธิ์เป็นของ ขรก. ในกรณีที่เราจ้างบริษัทอื่นพัฒนาซอฟต์แวร์ให้เราใช้ ลิขสิทธิ์ (ส่วนที่พัฒนาขึ้น) เป็นของเรา แต่ไม่นับลิขสิทธิ์ของซอฟต์แวร์อื่น ๆ ที่มีลิขสิทธิ์อยู่เดิมและนำมาใช้ร่วมด้วย
พรบ. ข้อมูลข่าวสารของราชการ มีความสำคัญมากเพราะทำให้เกิดการเปลี่ยนแปลงหลักการจาก การปกปิดเป็นเรื่องปกติ และ เปิดเผยเป็นข้อยกเว้น ให้กลายเป็น การเปิดเผยเป็นเรื่องปกติ และ การปกปิดเป็นเรื่องยกเว้น นั่นคือ... ประชาชนสามารถขอตรวจสอบเอกสารราชการต่าง ๆ ได้ ถ้าหากไม่เกี่ยวข้องกับความมั่นคงของประเทศ หรือ พระมหากษัตริย์และราชวงศ์
CIO มาเกี่ยวข้องได้อย่างไร
สิ่งที่ CIO ต้องดูแลให้เกิดขึ้นตาม พรบ. นี้ นำโครงสร้างหน่วยงาน และ ตำแหน่งหน้าทีความรับผิดชอบลงประกาศใน ราชกิจจาฯ นำระเบียบต่าง ๆ ที่หน่วยงานกำหนดขึ้นและมีผลบังคับใช้แก่ประชาชนลงใน ราชกิจจาฯ จัดทำสถานที่สำหรับให้ประชาชนเข้ามาตรวจสอบข้อมูลข่าวสารสำคัญได้ เช่น กฎระเบียบ, สัญญาสัมปทาน, การซื้อพัสดุครุภัณฑ์ต่าง ๆ ในแต่ละเดือน
สิ่งที่ CIO ต้องดูแลให้เกิดขึ้นตาม พรบ. นี้ การจัดทำเว็บไซต์เพื่อแจ้งข้อมูลข่าวสารสำคัญแก่ประชาชน การกำหนดระเบียบว่าด้วยการขอตรวจสอบข้อมูลข่าวสารของหน่วยงาน การกำหนดระดับชั้นความลับ การดูแลเอกสารและข้อมูลข่าวสารให้เป็นไปตามระเบียบ การส่งมอบเอกสารที่มีอายุเกินกำหนดให้เก็บรักษาแก่หอจดหมายเหตุ
สิ่งที่ CIO ต้องดูแลให้เกิดขึ้นตาม พรบ. นี้ การปฏิเสธคำขอตรวจสอบข้อมูลข่าวสารที่ตนเองครอบครองอยู่ อาจส่งผลให้ประชาชน นำเรื่องร้องเรียนต่อ สขร. ซึ่งจะทำให้มีการส่งเรื่องให้คณะกรรมการวินิจฉัยพิจารณา CIO ต้องยินยอมให้ ควฉ. เข้าตรวจสอบข้อมูลข่าวสารที่เป็นปัญหาได้ เมื่อคำวินิจฉัยเป็นประการใด หน่วยงานต้องปฏิบัติตามคำวินิจฉัยนั้น
พ.ร.บ. ธุรกรรมทางอิเล็กทรอนิกส์ เกิดขึ้นจากการรวมกฎหมายที่เสนอผ่าน ครม. สองฉบับเข้าด้วยกัน ทำให้สาระของกฎหมายฉบับนี้ค่อนข้างซับซ้อน... กำหนดวิธีการลงลายมือชื่ออิเล็กทรอนิกส์ กำหนดให้เอกสารอิเล็กทรอนิกส์เป็นพยานหลักฐานที่ใช้ในการพิจารณาคดีได้ กำหนดแนวทางในการคุ้มครองการพาณิชย์อิเล็กทรอนิกส์ โดยจัดให้มีการลงทะเบียน Certificate Authority
สิ่งที่ CIO ต้องดูแลให้เกิดขึ้นตาม พรบ. นี้ หน่วยงานราชการทั่วไปไม่ได้เกี่ยวข้องกับการให้บริการธุรกรรมทางอิเล็กทรอนิกส์มากนัก อย่างไรก็ตาม ปัจจุบันมีหน่วยงานหลายแห่งเริ่มดำเนินการทำนองนี้แล้วเช่น กรมสรรพากร กรมศุลกากร ตลาดหลักทรัพย์ ธนาคาร
สิ่งที่ CIO ต้องดูแลให้เกิดขึ้นตาม พรบ. นี้ การศึกษาพิจารณาผลกระทบของพรบ. นี้ต่อการดำเนินงานในอนาคต เช่น การลงลายมือชื่ออิเล็กทรอนิกส์ในเอกสารต่าง ๆ
พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ประกาศในราชกิจจานุเบกษาเมื่อ ๑๘ มิย. ๕๐ บังคับใช้ ๑๘ กรกฎาคม ๒๕๕๐ ประกอบด้วยสองหมวด ๓๐ มาตรา หมวดที่ ๑ ความผิดเกี่ยวกับคอมพิวเตอร์ มี ๑๓ มาตรา หมวดที่ ๒ พนักงานเจ้าหน้าที่ มี ๑๓ มาตรา
คอมพิวเตอร์ กับ การใช้ในทางที่ผิด คอมพิวเตอร์เป็นเครื่องมือที่สำคัญที่ช่วยให้เราปฏิบัติงาน, ช่วยเราคิด, ช่วยเราเขียน, และ เป็นเครื่องมือสำหรับนันทนาการ แต่คอมพิวเตอร์ก็เหมือนเครื่องมืออันมีประโยชน์อื่น ๆ คืออาจมีผู้นำไปใช้ในทางไม่ถูกไม่ควรได้ เช่น นำไปใช้แพร่ภาพอนาจาร, ก่อกวนทำร้ายผู้ใช้คอมพิวเตอร์อื่น ๆ, หลอกลวง, ก่อการร้าย, ฯลฯ การป้องกัน, ปราบปราม, จับกุม, และ ดำเนินคดีแก่ผู้ที่ใช้คอมพิวเตอร์ในทางที่ทำให้เกิดความเสียหายแก่ผู้อื่นจึงเป็นเรื่องจำเป็น
ตัวอย่างอาชญากรรมคอมพิวเตอร์ทั่วไป การฉ้อโกงผ่านระบบซื้อขายอิเล็กทรอนิกส์ การเจาะเข้าสู่ระบบคอมพิวเตอร์เพื่อโจรกรรมข้อมูล, โปรแกรม, และการแก้ไขข้อมูลของผู้อื่น การส่งข้อความและภาพลามกอนาจาร การใช้คอมพิวเตอร์ในการล่อลวง-ปัจจุบันเป็นข่าวเสมอ การสร้างภาพตัดต่ออันทำให้เกิดความเสียหายแก่ผู้อื่น การละเมิดสิทธิส่วนบุคคลของผู้อื่น ทำให้คอมพิวเตอร์ผู้อื่นเสียหาย
เจตนารมณ์ของกฎหมาย เพื่อกำหนด… ฐานความผิดและบทลงโทษ อำนาจหน้าที่ของพนักงานเจ้าหน้าที่ หน้าที่ของผู้ให้บริการ
หมวดที่ ๑ มาตรา ๕ ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะ และ มาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งหมื่นบาท หรือทั้งจำทั้งปรับ มาตรา ๖ ผู้ใดล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะ ถ้านำมาตรการดังกล่าวนั้นไปเปิดเผยโดยมิชอบในประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
หมวดที่ ๑ มาตรา ๗ ผู้ใดเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะ และ มาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินสองปีหรือปรับไม่เกินสี่หมื่นบาท หรือทั้งจำทั้งปรับ มาตรา ๘ ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ซึ่งข้อมูล คอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้ ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ
หมวดที่ ๑ มาตรา ๙ ผู้ใดทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือ เพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ มาตรา ๑๐ ผู้ใดกระทำด้วยประการใดโดยมิชอบ เพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือ รบกวนจนไม่สามารถทำงานตามปกติได้ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
หมวดที่ ๑ มาตรา ๑๑ ผู้ใดส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่นโดยปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข ต้องระวางโทษปรับไม่เกินหนึ่งแสนบาท มาตรา ๑๒ เพิ่มโทษหากกระทำความผิดตามมาตรา ๙ หรือ ๑๐ และก่อให้เกิดความเสียหายแก่ประชาชน หรือ ต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของประเทศ จนถึงกับทำให้มีผู้เสียชีวิต ฯลฯ
หมวดที่ ๑ มาตรา ๑๓ ผู้ใดจำหน่ายหรือเผยแพร่ชุดคำสั่งที่จัดทำขึ้นโดยเฉพาะเพื่อนำไปใช้เป็นเครื่องมือในการกระทำความผิดตามมาตรา ๕ ถึง ๑๑ ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
หมวดที่ ๑ มาตรา ๑๔ ผู้ใดกระทำความผิดที่ระบุต่อไปนี้ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ นำข้อมูลคอมพิวเตอร์ปลอมหรือเป็นเท็จเข้าสู่ระบบ และเกิดความเสียหายแก่ผู้อื่นหรือประชาชน นำข้อมูลคอมพิวเตอร์เท็จเข้าสู่ระบบ และเกิดความเสียหายต่อความมั่นคงของประเทศ หรือทำให้ประชาชนตื่นตระหนก นำข้อมูลคอมพิวเตอร์ใด ๆ เข้าสู่ระบบ และเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักร หรือความผิดเกี่ยวกับการก่อการร้าย นำข้อมูลคอมพิวเตอร์ลามกเข้าสู่ระบบและประชาชนเข้าถึงได้ เผยแพร่ข้อมูลข้างต้น
หมวดที่ ๑ มาตรา ๑๕ ผู้ให้บริการผู้ใดจงใจสนับสนุนหรือยินยอมให้มีการกระทำผิดตามมาตรา ๑๔ ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษเช่นเดียวกับผู้กระทำความผิดตามมาตรา ๑๔
หมวดที่ ๑ มาตรา ๑๖ ผู้ใดนำเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจเข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และ ภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติม หรือ ดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ทั้งนี้ โดยประการที่น่าจะทำให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกินสามปี หรือ ปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ (หากทำโดยสุจริต ผู้กระทำไม่มีความผิด, เป็นความผิดที่ยอมความกันได้)
มาตราที่ ๑๗ ผู้ใดกระทำความผิดตามพระราชบัญญัตินี้นอกราชอาณาจักรและ หมวดที่ ๑ มาตราที่ ๑๗ ผู้ใดกระทำความผิดตามพระราชบัญญัตินี้นอกราชอาณาจักรและ ผู้กระทำความผิดนั้นเป็นคนไทย และรัฐบาลแห่งประเทศที่ความผิดได้เกิดขึ้นหรือผู้เสียหายได้ร้องขอให้ลงโทษ หรือ ผู้กระทำความผิดนั้นเป็นคนต่างด้าว และรัฐบาลไทยหรือคนไทยเป็นผู้เสียหายและผู้เสียหายได้ร้องขอให้ลงโทษ จะต้องรับโทษภายในราชอาณาจักร
การเจาะเข้าสู่ระบบโดยแฮกเกอร์ ความเป็นมาของการเจาะระบบในยุค1960s ในช่วงแรก ๆ นั้นแฮกเกอร์เป็นนักโปรแกรมที่มีความสามารถสูง ระบบปฏิบัติการและเกมคอมพิวเตอร์แรก ๆ นั้นเขียนโดยบรรดาแฮกเกอร์ ในช่วงแรกคำว่าแฮคกิงมีความหมายในทางที่ดี แสดงความเก่งกาจน่าชื่นชม ต่อมาแฮกเกอร์มักจะเป็นนักศึกษาและนักเรียน
การเจาะเข้าสู่ระบบโดยแฮกเกอร์ แฮกเกอร์ในยุคอินเทอร์เน็ต เริ่มมาราวสิบกว่าปีแล้ว เมื่อมีการใช้อินเทอร์เน็ตอย่างกว้างขวางทั้งทางด้านการศึกษา, ธุรกิจ และ ตามบ้านเรือน ทำให้บรรดาอาชญากรเริ่มสนใจ อาชญากรรมช่วงแรกคือการปล่อยไวรัสและหนอน คอมพิวเตอร์ที่ไม่มีการป้องกันที่ดีอาจมีคนแอบใช้เพื่อก่อความเดือดร้อนแก่ผู้อื่น, รวมทั้งการใช้ในการหลอกลวง, และการทำให้ระบบเครือข่ายเสียหาย แฮกเกอร์ยุคนี้ไม่จำเป็นต้องเก่ง เพราะอาจใช้โปรแกรมที่คนอื่นเขียนไว้ไปสร้างความเดือดร้อน
หมายถึงการใช้ประสบการณในการเจาะระบบเพื่อสนับสนุนงานการเมือง คำใหม่ - Hacktivism หมายถึงการใช้ประสบการณในการเจาะระบบเพื่อสนับสนุนงานการเมือง การเจาะระบบแบบนี้อาจเป็นกิจกรรมการสร้างปัญหาที่ร้ายแรง บางคนถือว่า hactivism เป็นการต่อต้านสังคมในรูปแบบใหมของยุคปัจจุบัน บางคนถือว่า hactivism เป็นการปฏิเสธสิทธิในการแสดงความเห็นของบุคคลอื่น และ ละเมิดสิทธิในทรัพย์สินทางปัญญาของผู้อื่น
กฎหมายป้องกันใน สรอ. Computer Fraud and Abuse Act (CFAA, 1986) It is a crime to access, alter, damage, or destroy information on a computer without authorization. Computers protected under this law include: government computers, financial systems, medical systems, interstate commerce, and any computer on the Internet.
กฎหมายป้องกันใน สรอ. The Law (cont’d) USA Patriot Act (USAPA, 2001) Amends the CFAA. Allows for recovery of losses due to responding to a hacker attack, assessing damages, and restoring systems. Higher penalties can be levied against anyone hacking into computers belonging to criminal justice system or the military. The government can monitor online activity without a court order.
การจับกุมแฮกเกอร์ Hacking จำเป็นต้องใช้เจ้าหน้าที่ที่มีความรู้ความชำนาญ, ตรวจพบว่ามีการเจาะระบบ และ ดำเนินการสอบสวนจับกุม การสืบสวนสอบสวนต้องใช้เครื่องมือเช่น : สายสืบ, บันทึกข้อมูลการใช้กระดานข่าว, จดหมายอิเล็กทรอนิกส์ เครื่องมือสำหรับกู้ข้อมูลที่ถูกลบทิ้งแล้ว เครื่องมือสำหรับถอดรหัส บันทึกข้อมูลจราจร หรือ การใช้คอมพิวเตอร์ผ่านระบบเครือข่าย และ ผู้ให้บริการเครือข่าย วิชาการสำคัญเรียกว่า Computer Forensics
ปัญหาแง่คิดทางกฎหมาย เจตนา ศาลควรลงโทษผู้ที่กระทำความผิดที่ไม่ต้องการสร้างความเสียหายหรือก่อให้เกิดอันตรายแตกต่างไปจากผู้กระทำความผิดที่เป็นอาชญากรและมีเจตนาสร้างความเสียหายจริงหรือไม่? อายุ ผู้กระทำความผิดที่อายุน้อยควรได้รับโทษแตกต่างจากผู้ที่มีอายุมากกว่าหรือไม่ ความเสียหายที่เกิดขึ้น การลงโทษหนักเบาควรขึ้นกับความรุนแรงของความเสียหายที่เกิดขึ้นหรือไม่
ปัญหาแง่คิดทางกฎหมาย การทำผิดนอกประเทศ หรือ โดยคนต่างด้าว จะมีวิธีการดำเนินการอย่างไร การบล็อกเว็บโดยหน่วยงาน จะทำได้หรือไม่ การตรวจสอบเว็บของพนักงาน
เหตุใดเราจึงถูกเจาะระบบได้ ความมั่นคง คอมพิวเตอร์ของหน่วยงานส่วนใหญ่มีจุดอ่อนด้านการรักษาความมั่นคง: ขาดการตระหนักถึงปัญหา ทำให้ไม่มีการป้องกัน การป้องกันไม่พอเพียงเพราะขาดงบประมาณ ไม่มีระเบียบปฏิบัติที่รัดกุม ไม่ได้แนะนำและให้ความรู้แก่พนักงาน สาเหตุของจุดอ่อน ธรรมชาติของอินเทอร์เน็ตกับเว็บ ธรรมชาติของคนที่ต้องการละเมิดกฎ ความซับซ้อนของระบบคอมพิวเตอร์
การป้องกันการเจาะระบบ พยายามให้ความรู้และความเข้าใจแก่พนักงานทุกคน ออกแบบระบบให้มีการเตือนและป้องกัน ใช้ระบบและเครื่องมือป้องกัน ติดตามข่าวสารการแพร่โปรแกรมไวรัสที่มีหน่วยงานสาธารณะคอยตรวจสอบ กำหนดให้มีการแจ้งปัญหาที่น่าสงสัยว่าจะเป็นไวรัส หรือ มีการบุกรุก
ความครอบคลุมของกฎหมายไทย เท่าที่พิจารณาจากมาตราต่าง ๆ และจากการเจาะระบบของแฮกเกอร์ เชื่อว่า พรบ. ฉบับนี้ ครอบคลุมการกระทำผิดด้านนี้ค่อนข้างดีแล้ว
อาชญากรรมออนไลน์ การประมูลซื้อขายสินค้าทางอินเทอร์เน็ต ปัจจุบันการซื้อขายสินค้าแบบออนไลน์ได้รับความนิยมมาก ปัญหา ผู้ขายไม่ส่งสินค้าให้ ผู้ขายส่งสินค้าที่ด้อยคุณภาพมาให้ ราคาสูงเกินสมควรเพราะมีการแข่งขัน มีการขายสินค้าผิดกฎหมาย วิธีการแก้ไข ให้คำแนะนำแก่ผู้สนใจซื้อสินค้าแบบออนไลน์ อ่านข้อมูลของผู้ขายอย่างละเอียด ซื้อขายผ่านบุคคลที่สาม
การฉ้อโกง, หลอกลวง และ การบ่อนทำลาย ตัวการที่ทำให้เกิดการฉ้อโกง บัตรเครดิต ใบเสร็จรับเงินถูกขโมย, เอกสารรายงานการเงิน, บัตร การดักรับข้อมูลออนไลน์ หรือ ระบบความมั่นคงของการพาณิชย์อิเล็กทรอนิกส์ที่มีจุดอ่อน เจ้าของบัตรเลินเล่อ ATM การขโมยหมายเลขบัตรและ PINs. ข้อมูลวงใน การปลอมบัตร ATM ระบบโทรคมนาคม การขโมย PINs ผ่านระบบสื่อสาร. การใช้โทรศัพท์หลอกลวง Phising
ความครอบคลุมของกฎหมายไทย ยังไม่แน่ใจในเรื่องเหล่านี้ เพราะมีการฉ้อโกงที่ลึกซึ้งมากขึ้นทุกวัน การฟ้องร้องอาจต้องใช้กฎหมายอื่นเข้ามาประกอบ
ความเกี่ยวข้องกับองค์กร หน่วยงานหลายแห่งมีส่วนเกี่ยวข้องโดยตรง จึงต้องปฏิบัติตามกฎหมาย หน่วยงานที่มีอินเทอร์เน็ตให้ใช้ มีฐานะเป็นผู้ให้บริการด้วย ดังนั้นจึงต้องจัดเก็บข้อมูลจราจรคอมพิวเตอร์เอาไว้ให้ตรวจสอบ ต้องสร้างความเข้าใจแก่บุคลากรเพื่อไม่ให้ทำผิดกฎหมาย ต้องดูแลอย่าให้เกิดการกระทำผิดกฎหมาย ต้องมีระบบตรวจสอบความมั่นคงด้วย
องค์ประกอบสำคัญของความมั่นคง ความมั่นคงทางการบริหารและขององค์กร ความมั่นคงปลอดภัยของบุคลากร ความมั่นคงทางกายภาพ ความมั่นคงของระบบสื่อสาร ความมั่นคงของฮาร์ดแวร์และซอฟต์แวร์ ความมั่นคงของการปฏิบัติการ การวางแผนฉุกเฉิน
พรบ. ข้อมูลส่วนบุคคล หลายประเทศมีพรบ. คุ้มครองข้อมูลส่วนบุคคลเพื่อป้องกันไม่ให้อาชญากรนำข้อมูลไปใช้... นำหมายเลขบัตรเครดิตไปใช้ นำชื่อและเลขที่อยู่ไปปลอมแปลงเพื่อหาประโยชน์ นำชื่อและเลขที่อยู่ไปส่งจดหมายโฆษณา นำข้อมูลไปใช้ในการแบล็กเมล์ นำข้อมูลไปใช้เพื่อการใส่ความ หรือปั้นพยานเท็จ ฯลฯ ในที่นี้จะเสนอแต่หลักการเท่านั้น
ความเป็นมาของ พรบ. ข้อมูลส่วนบุคคล มีระบุไว้ใน พรบ. ข้อมูลข่าวสารของราชการว่าจะต้องมีการจัดเก็บและคุ้มครอง ต่อมาเนคเทคได้ผลักดันให้มี พรบ. ข้อมูลส่วนบุคคลโดยให้เนคเทคเป็นสำนักงานดำเนินการ รองนายกฯ ดร.วิษณุ เห็นว่าควรให้ สขร. รับผิดชอบงานนี้เพราะเป็นงานที่คล้ายกับที่ดำเนินการอยู่แล้ว ขณะนี้ พรบ. นี้ผ่าน ครม. แล้วและรอเข้าสภา
หลักการความเป็นส่วนตัว เป็นสิทธิสำคัญของมนุษย์แต่ละคนโดยไม่เลือกเชื้อชาติ, ศาสนา, เพศ และ อายุ และผู้อื่นรวมถึงแม้แต่รัฐก็ไม่พึงละเมิดสิทธิด้านนี้ อาจแยกออกเป็นสี่ด้านคือ... ความเป็นส่วนตัวทางด้านข้อมูล ความเป็นส่วนตัวในชีวิตและร่างกาย ความเป็นส่วนตัวในการติดต่อสื่อสาร ความเป็นส่วนตัวในเคหสถาน
การจัดเก็บข้อมูลส่วนบุคคล โดยทั่วไปแล้วมีจุดมุ่งหมายเพื่อให้บริการ หรือเพื่อดำเนินการทางนิติกรรม หรือ ธุรกรรม กับผู้ที่เป็นเจ้าของข้อมูล ปกติแล้วเจ้าของข้อมูลยินดีให้ข้อมูลด้วยความเข้าใจว่าข้อมูลที่บริษัทหรือหน่วยงานจัดเก็บไว้นั้นก็เพื่อใช้ในกิจกรรมที่ตนเองไปเกี่ยวข้อง ปัญหาผู้จัดเก็บอาจนำข้อมูลไปใช้ทางด้านอื่นที่เจ้าของข้อมูลไม่ต้องการให้ทำ หรือหากวิธีการจัดเก็บไม่ดีก็อาจมีผู้ลักลอบนำข้อมูลไปใช้ประโยชน์ในทางมิชอบ
หลักเกณฑ์ทั่วไป หน่วยงานต้องเก็บรวบรวมข้อมูลส่วนบุคคลด้วยความเป็นธรรมและชอบด้วยกฎหมาย นำข้อมูลไปใช้เพื่อวัตถุประสงค์ของการรวบรวมเท่านั้น เก็บเท่าที่จำเป็นต้องใช้ ไม่มากกว่านั้น จัดเก็บครบถ้วนและเป็นปัจจุบัน เจ้าของข้อมูลสามารถเข้าตรวจสอบข้อมูลได้ มีการรักษาความปลอดภัยในทุกขั้นตอน ทำลายหลังจากหมดความต้องการในการใช้แล้ว
กฎหมายอื่น ๆ ที่ต้องสนใจ ยังมีกฎหมายอื่น ๆ อีกที่ CIO ต้องสนใจศึกษา ผู้เกี่ยวข้องกับการรักษาพยาบาลต้องศึกษาแนวทางการจัดเก็บและเปิดเผยเวชระเบียน ผู้เกี่ยวข้องกับการทำเว็บรับการร้องเรียน ต้องศึกษาว่าการร้องเรียนนั้นเป็นเรื่องบริสุทธิ์ใจหรือไม่ (ผู้ร้องเรียนประสบเหตุเอง, ให้รายละเอียดเกี่ยวกับกรณีที่เป็นปัญหาเท่านั้น ไม่ขยายความไปเรื่องอื่น, เป็นเรื่องที่เชื่อว่าเป็นจริง)
สรุป เมื่อไอซีทีมีความก้าวหน้ามากขึ้น หน่วยงานก็จะประสบปัญหาต่าง ๆ ในการใช้ไอซีทีเป็นเครื่องมือในการปฏิบัติงานมากขึ้น CIO ต้องติดตามศึกษากฎหมายที่เกี่ยวข้องเพื่อดูแลให้การปฏิบัติงานทั้งหลายถูกต้องตามกฎหมายและไม่มีผู้ใดทำผิดทั้งโดยการจงใจ หรือ ด้วยความไม่เข้าใจ
ประวัติผู้บรรยาย ดร. ครรชิต มาลัยวงศ์ ได้รับพระมหากรุณาธิคุณ โปรดเกล้าฯ ให้เป็นราชบัณฑิตสาขาวิชาคอมพิวเตอร์ สำนักวิทยาศาสตร์ ราชบัณฑิตยสถาน ในปี 2539 จบปริญญาตรี,โท,และเอก วิศวกรรมโครงสร้าง กรรมการบริหาร สทอภ., กรรมการสภาวิจัยฯ, กรรมการคณะกรรมการข้อมูลข่าวสารของราชการ อุปนายกสภา ม.ศรีปทุม, กรรมการสภา ม. รังสิต, ม. เอเชียน, นอร์ทเชียงใหม่ Visiting Professor มหาวิทยาลัยวาเซดะ ประเทศญี่ปุ่น อาจารย์หลักสูตร CMMI มหาวิทยาลัยคาร์เนกีเมลลอน สรอ. อดีต Chairman Computer Science Division ของ AIT, คณบดีบัณฑิตวิทยาลัยระบบสารสนเทศ ABAC รองผอ. เนคเทค, รองผอ. และ CIO สวทช. ผู้พัฒนาหลักสูตรฝึกอบรม CIO ตั้งแต่รุ่นแรก Fulbright Visiting Scholar มหาวิทยาลัยแคลิฟอร์เนียเบอร์กเลย์