เล่มที่ 134 ตอนที่ 27 ก 18 มิถุนายน 2550 Thailand ICT Related Law Latest Update พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ 2550 Computer Crime Law เล่มที่ 134 ตอนที่ 27 ก 18 มิถุนายน 2550

เจตนารมณ์ของร่างกฎหมาย เพื่อกำหนด..... ฐานความผิดและบทลงโทษ อำนาจหน้าที่ของพนักงานเจ้าหน้าที่ หน้าที่ของผู้ให้บริการ

Confidentiality ความลับ Integrity ความครบถ้วน การกระทำความผิดซึ่งกระทบต่อ หลักพื้นฐานด้านความมั่นคงปลอดภัย ของระบบสารสนเทศ (Information Security) หลัก C.I.A Confidentiality ความลับ Integrity ความครบถ้วน Availability สภาพพร้อมใช้งาน

รูปแบบการกระทำความผิด ตัวอย่าง รูปแบบการกระทำความผิด ตัวอย่างผลกระทบต่อ ความมั่นคงปลอดภัย (Information Security) & ความเสียหาย ฐานความผิด สปายแวร์ (Spyware) สนิฟเฟอร์ (Sniffer) - การสอดแนมข้อมูลส่วนตัว - การแอบดักฟัง packet มาตรา ๕ เข้าถึงระบบคอมพิวเตอร์ มาตรา ๖ เปิดเผยมาตรการป้องกันระบบ มาตรา ๗ เข้าถึงข้อมูลคอมพิวเตอร์ มาตรา ๘ ดักรับข้อมูลคอมพิวเตอร์ การใช้ชุดคำสั่งในทางมิชอบ (Malicious Code) เช่น Viruses, Worms, Trojan Horses - การตั้งเวลาให้โปรแกรมทำลายข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ - การทำให้ระบบคอมพิวเตอร์ทำงานผิดปกติไปจากเดิม หรือหยุดทำงาน (Denial of Service) มาตรา ๙ รบกวน/ทำลาย ข้อมูลคอมพิวเตอร์ มาตรา ๑๐ รบกวน/ทำลาย ระบบคอมพิวเตอร์ สแปม (Spamming) รบกวนการใช้ระบบคอมพิวเตอร์ตามปกติ อาจถึงขั้นทำให้เป็น Zombie มาตรา ๑๐/๑ การทำสแปม การกระทำความผิดข้างต้น - ผลกระทบต่อความมั่นคงปลอดภัยของประเทศ หรือทางเศรษฐกิจ ความปลอดภัยสาธารณะ การบริการสาธารณะ อาจเกิดสงครามข้อมูลข่าวสาร (Information Warfare) มาตรา ๑๑ เหตุฉกรรจ์ อันเกิดจากการกระทำข้างต้น

รูปแบบการกระทำความผิด ตัวอย่าง รูปแบบการกระทำความผิด ตัวอย่างผลกระทบต่อ ความมั่นคงปลอดภัย (Information Security) & ความเสียหาย ฐานความผิด สปายแวร์ (Spyware) สนิฟเฟอร์ (Sniffer) - การสอดแนมข้อมูลส่วนตัว - การแอบดักฟัง packet มาตรา ๑๒ การจำหน่ายหรือเผยแพร่ชุดคำสั่งไม่พึงประสงค์ การใช้ชุดคำสั่งในทางมิชอบ (Malicious Code) เช่น Viruses, Worms, Trojan Horses - การตั้งเวลาให้โปรแกรมทำลายข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ - การทำให้ระบบคอมพิวเตอร์ทำงานผิดปกติไปจากเดิม หรือหยุดทำงาน (Denial of Service) มาตรา ๑๓ การนำเข้าสู่ระบบคอมพิวเตอร์ ซึ่งข้อมูลคอมพิวเตอร์ปลอม, เท็จ หรือไม่เหมาะสม หรือการส่งต่อข้อมูล (forward) นั้น การโพสต์หรือนำเข้าข้อมูลคอมพิวเตอร์ ตามมาตรา ๒๔ ความเสียหายกับบุคคลอื่น มาตรา ๑๔ ความรับผิดฐานสนับสนุนการกระทำความผิดของผู้ให้บริการ การตัดต่อภาพ ผู้ถูกกระทำถูกดูหมิ่น ถูกเกลียดชัง หรือ อับอาย มาตรา ๑๕ การตัดต่อภาพ เป็นเหตุให้ถูก ดูหมิ่น ถูกเกลียดชัง หรืออับอาย

โครงสร้างของร่างกฎหมาย มาตรา ๑ ชื่อกฎหมาย มาตรา ๒ วันบังคับใช้กฎหมาย มาตรา ๓ คำนิยาม มาตรา ๔ ผู้รักษาการ หมวด ๑ ความผิดเกี่ยวกับคอมพิวเตอร์ มาตรา ๕ ถึงมาตรา ๑๕ (ส่วนแรก : กระทำต่อคอมพิวเตอร์/ข้อมูลคอมพิวเตอร์ อันกระทบต่อความลับ ความครบถ้วน และสภาพพร้อมใช้งานของระบบคอมพิวเตอร์และข้อมูลคอมพิวเตอร์) (ส่วนที่สอง : ใช้คอมพิวเตอร์/ข้อมูลคอมพิวเตอร์กระทำความผิดอื่น) หมวด ๒ พนักงานเจ้าหน้าที่ มาตรา ๑๖ ถึงมาตรา ๒๗

ฐานความผิด โทษจำคุก โทษปรับ มาตรา ๕ เข้าถึงคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๖ เดือน ไม่เกิน ๑๐,๐๐๐ บาท มาตรา ๖ ล่วงรู้มาตรการป้องกัน ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท มาตรา ๗ เข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๒ ปี ไม่เกิน ๔๐,๐๐๐ บาท มาตรา ๘ การดักข้อมูลคอมพิวเตอร์ ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท มาตรา ๙ การรบกวนข้อมูลคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์ มาตรา ๑๐/๑ สแปมเมล์ ไม่มี มาตรา ๑๑ การกระทำต่อความมั่นคง (๑) ก่อความเสียหายแก่ข้อมูลคอมพิวเตอร์ (๒) กระทบต่อความมั่นคงปลอดภัยของประเทศ/เศรษฐกิจ วรรคท้าย เป็นเหตุให้ผู้อื่นถึงแก่ชีวิต ไม่เกิน ๑๐ ปี ๓ ปี ถึง ๑๕ ปี ๑๐ ปี ถึง ๒๐ ปี + ไม่เกิน ๒๐๐,๐๐๐ บาท ๖๐,๐๐๐-๓๐๐,๐๐๐ บาท มาตรา ๑๒ การจำหน่าย/เผยแพร่ชุดคำสั่ง มาตรา ๑๓ การเผยแพร่เนื้อหาอันไม่เหมาะสม มาตรา ๑๔ ความรับผิดของ ISP มาตรา ๑๕ การตัดต่อภาพผู้อื่น ถ้าสุจริต ไม่มีความผิด

กำหนดอำนาจหน้าที่ของพนักงานเจ้าหน้าที่และหน้าที่ของผู้ให้บริการ มาตรา ๑๖ อำนาจของพนักงานเจ้าหน้าที่ มาตรา ๑๗ ข้อจำกัดการใช้อำนาจของพนักงานเจ้าหน้าที่ มาตรา ๑๗/๑ การใช้อำนาจในการ block เว็บไซต์ที่มีเนื้อหากระทบต่อ ความมั่นคงหรือขัดต่อความสงบเรียบร้อย มาตรา ๑๙ การเผยแพร่/จำหน่ายชุดคำสั่งไม่พึงประสงค์ มาตรา ๒๐ ห้ามมิให้พนักงานเผยแพร่ข้อมูลที่ได้มาตามมาตรา ๑๖ มาตรา ๒๑ พนักงานเจ้าหน้าที่ประมาทเป็นเหตุให้ผู้อื่นล่วงรู้ข้อมูล มาตรา ๒๒ ความรับผิดของผู้ล่วงรู้ข้อมูลของผู้ใช้บริการที่พนักงาน เจ้าหน้าที่ได้มาตามมาตรา ๑๖ มาตรา ๒๓ ห้ามมิให้รับฟังพยานหลักฐานที่ได้มาโดยมิชอบ มาตรา ๒๔ ถึง ๒๕ หน้าที่ผู้ให้บริการในการเก็บข้อมูลจราจรทาง คอมพิวเตอร์ ความรับผิด หากไม่ปฏิบัติตามหน้าที่ มาตรา ๒๖ การแต่งตั้งพนักงานเจ้าหน้าที่ มาตรา ๒๖/๑ การรับคำร้องทุกข์กล่าวโทษ จับ ควบคุม ค้น & การกำหนดระเบียบ/แนวทางและวิธีปฏิบัติ มาตรา ๒๗ การปฏิบัติหน้าที่ของพนักงานเจ้าหน้าที่

เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ACIS Professional Center Co., Ltd. Revision 1.1

“ผู้ให้บริการ” หมายความว่า (๑) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือเพื่อประโยชน์ของบุคคลอื่น (๒) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น

ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ต (๑) Telecommunication and Broadcast Carrier เริ่มภายใน 30 วัน Internet Service Provider เริ่มภายใน 180 วัน Access SPเริ่มภายใน 1ปี Host Service Provider เริ่มภายใน 1ปี Internet Café /ผู้ให้บริการร้านเกมออนไลน์ เริ่มภายใน 1ปี

2)ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider) ผู้ให้บริการเครือข่ายสาธารณะ (Public network service provider) ทั้งมีสายและไร้สาย ISP ผู้ประกอบการซึ่งให้บริการในการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ในห้องพัก ห้องเช่า โรงแรม หรือร้านอาหารและเครื่องดื่ม ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์สำหรับองค์กร เช่น หน่วยงานราชการ บริษัทหรือ สถาบันการศึกษา

3)Hosting Service Provider ผู้ให้บริการเช่าระบบคอมพิวเตอร์ (Web hosting) (ตัวอย่าง การให้บริการเช่า Web server ผู้ให้บริการแลกเปลี่ยนแฟ้มข้อมูล (File server หรือ File sharing) ผู้ให้บริการการเข้าถึงจดหมายอิเล็กทรอนิกส์ (Mail Server Service Provider) ผู้ให้บริการศูนย์รับฝากข้อมูลทางอินเทอร์เน็ต (Internet Data Center)

ผู้ให้บริการในการเก็บรักษาข้อมูลคอมพิวเตอร์ (๒) ผู้ให้บริการ Web board หรือผู้ให้บริการ blog ผู้ให้บริการ Internet Banking และผู้ให้บริการElectronic payment service provider ผู้ให้บริการ Web services ผู้ให้บริการพาณิชย์อิเล็กทรอนิกส์ (e-Commerce) หรือธุรกรรมทางอิเล็กทรอนิกส์ (e-Transactions)

ข้อมูลจราจรทางคอมพิวเตอร์ แหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่นๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น

วิธีการ เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์โดยการใช้วิธีการที่มั่นคงปลอดภัย Media Integrity และระบุตัวบุคคล (Identification) ที่เข้าถึงสื่อดังกล่าวได้ ไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้ได้ เช่น Centralized Log Server , Data Hashing มีผู้มีหน้าที่ประสานงานและให้ข้อมูลกับพนักงานเจ้าหน้าที่ Authentication บน Proxy Server, (NAT) หรือบริการ free internet หรือ บริการ 1222 ผู้ให้บริการซึ่งเป็นบุคคลที่สาม

การเทียบเวลา ผู้ให้บริการต้องดำเนินการเทียบเวลาประเทศไทยให้ตรงกับเครื่องให้บริการเวลา (Time Server) ที่เปิดให้บริการสาธารณะโดยใช้ Network Time Protocol (NTP)

Who should keep what? Telco and Broadcast Carrier Log Host & Access Service Provider Log Log ร้านInternet Café/เกมออนไลน์ Content Service Provider Log