การเตรียมความพร้อมจากผลการบังคับใช้ (ร่าง) พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. .... 1

(ร่าง) ประกาศหลักเกณฑ์การเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ของผู้ให้บริการ วัตถุประสงค์ ออกภายใต้ ม.๒๖ วรรค ๓ ข้อมูลจราจรทางคอมพิวเตอร์เป็น พยานหลักฐานสำคัญต่อการนำตัวผู้กระทำความผิดมาลงโทษ ประเภทผู้ให้บริการ แบ่งเป็น ๒ ประเภทใหญ่ (๑.) ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกัน โดยประการอื่น แบ่งออกเป็น ก. ผู้ประกอบกิจการโทรคมนาคม (Telecommunication Carrier) ข. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider) ค. ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือให้เช่าบริการโปรแกรมประยุกต์ต่างๆ (Host Service Provider) (๒.) ผู้ให้บริการในการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคล ตาม (๑) ข้างต้น เช่น ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชั่นต่างๆ (Content Service Provider) ข้อมูลที่ต้องเก็บ เก็บข้อมูลจราจรที่ สามารถระบุผู้ใช้บริการเป็นรายบุคคลได้ รูปแบบการเก็บ ต้องเก็บในสื่อที่รักษา Integrity/Confidentiality/identification บทเฉพาะกาล เริ่มเก็บ ๓๐ วัน/๙๐ วัน/๑ ปี นับจากวันประกาศในราชกิจจานุเบกษา

(ร่าง) ประกาศว่าด้วยหลักเกณฑ์เกี่ยวกับคุณสมบัติ พนักงานเจ้าหน้าที่ วัตถุประสงค์ ออกภายใต้ มาตรา ๒๘ เพื่อให้การแต่งตั้งพนักงานเจ้าหน้าที่มี ความชัดเจนและมีการปฏิบัติหน้าที่เป็นไปอย่างมีประสิทธิภาพ พนักงานเจ้าหน้าที่ หมายความว่า ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติตาม พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ.... แบ่งเป็น (๑) พนักงานเจ้าหน้าที่ซึ่งรับผิดชอบงานด้านกฎหมายและ การปราบปราม คุณวุฒิ - ป.โท,เอกสาขานิติศาสตร์/เนติบัณฑิต/ หรือ ป.ตรีนิติศาสตร์ หรือรัฐศาสตร์และเคยเป็นพนักงานสอบสวน (๒) พนักงานเจ้าหน้าที่ซึ่งรับผิดชอบงานด้านเทคนิค คุณวุฒิ - วิศวกรรมศาสตร์ วิทยาศาสตร์ วิทยาการคอมพิวเตอร์ เทคโนโลยีสารสนเทศ สถิติศาสตร์ หรือ สาขาที่เกี่ยวข้อง (๓) ข้อยกเว้นจากคุณวุฒิสองข้อข้างต้น คุณสมบัติ ๑) ผ่านการทดสอบจากรัฐมนตรี ข้อเขียน หรือ สอบปฏิบัติ ๒) ผ่านการอบรมหลักสูตร Cyber Security Management / CISSP, CompTIA Security+, CISM ๓) ผ่านการอบรม computer forensics

(ร่าง) บันทึกข้อตกลงประสานความร่วมมือระหว่างหน่วยงาน วัตถุประสงค์ เพื่อให้การประสานระหว่างหน่วยงานที่เกี่ยวข้องกับการใช้อำนาจ ตามพ.ร.บ.ฯ เป็นไปอย่างมีประสิทธิภาพ หน่วยงาน ประกอบด้วย ๗ หน่วยงาน ได้แก่ กระทรวง ICT, กระทรวงวิทยาศาสตร์และเทคโนโลยี (เนคเทค) กระทรวงยุติธรรม (กรม สอบสวนคดีพิเศษ) สำนักงานตำรวจแห่งชาติ สำนักงานข่าวกรองแห่งชาติ และ กองบัญชาการทหารสูงสุด พนักงานเจ้าหน้าที่ พนักงานเจ้าหน้าที่ตามพ.ร.บ./ DSI/ เจ้าพนักงานตำรวจ ความร่วมมือ ๑. ตั้งคณะกรรมการโดยมีหัวหน้าแต่ละหน่วยงานเป็นกรรมการ เพื่อ - วางมาตรการประสานงานระหว่างหน่วยงาน - วางแนวปฏิบัติ ร้องทุกข์กล่าวโทษ สืบสวนสอบสวน การดำเนินคดี ๒. การร้องทุกข์ การกล่าวโทษ และการสืบสวนสอบสวน ๓. การจับกุม ควบคุม ค้น สืบสวนสอบสวน และการทำสำนวนสอบสวนและ ดำเนินคดี ต่อผู้กระทำความผิด การสนับสนุนเครื่องมือ อุปกรณ์ และกำลังพล ๔. วิธีการรวบรวมพยานหลักฐานในที่เกิดเหตุและสถานที่เก็บของกลาง ๕. การฝึกอบรมเพิ่มศักยภาพพนักงานเจ้าหน้าที่ ๖. การออกระเบียบตามบันทึกข้อตกลงฯ

สภาพปัญหาของการกระทำความผิด เกี่ยวกับคอมพิวเตอร์ ผู้กระทำความผิดอยู่ตรงไหนก็ได้ในโลก ความเสียหายกระทบถึงคนจำนวนมาก & รวดเร็ว ใช้เทคโนโลยีที่ซับซ้อนในการกระทำความผิด ยากต่อการตรวจพบร่องรอยการกระทำผิด ยากต่อการจับกุมและนำผู้กระทำผิดมาลงโทษ ปัจจุบันยังไม่มีกฎหมายอาญาหรือลักษณะอาญา ฉบับใดรองรับหรือสามารถใช้ได้

๑. เจตนารมณ์ของร่างกฎหมาย เพื่อกำหนด..... ฐานความผิดและบทลงโทษ อำนาจหน้าที่ของพนักงานเจ้าหน้าที่ หน้าที่ของผู้ให้บริการ

การกระทำความผิดซึ่งกระทบต่อ หลักพื้นฐานด้านความมั่นคงปลอดภัย ของระบบสารสนเทศ (Information Security) หลัก C.I.A Confidentiality ความลับ Integrity ความครบถ้วน Availability สภาพพร้อมใช้งาน การกำหนดฐานความผิด กำหนดโดย

๒. แนวทางในการยกร่างกฎหมาย Cybercrime Convention ของ Council of Europe ๑๙ ประเทศ ๕๓ ประเทศ รวม ๑ ประเทศ สหรัฐอเมริกา ๗ ประเทศ แคนาดา เม็กซิโก สหรัฐอเมริกา ญี่ปุ่น มอนเตเนโกร คอสตาริก้า แอฟริกาใต้ ประเทศซึ่งไม่ใช่ สมาชิก Council of Europe ๑๘ ประเทศ ๔๖ ประเทศ สมาชิก ให้สัตยาบัน ร่วมลงนาม กลุ่มประเทศ Source : http://conventions.coe.int/ ข้อมูล ณ วันที่ ๗ พฤษภาคม ๒๕๕๐

๒. แนวทางในการยกร่างกฎหมาย (๒) การศึกษาเปรียบเทียบกับประเทศอื่นๆ Electronic Commerce Act 2000 (ฟิลิปปินส์) Computer Crimes Act 1997 (มาเลเซีย) Computer Misuse Act (สิงคโปร์) Unauthorized Computer Access Law 2000 (ญี่ปุ่น) Information Technology Act 2000 (อินเดีย)

๓.รูปแบบการกระทำความผิด (๑) มาตรา ๑๒ เหตุฉกรรจ์ อันเกิดจากการ กระทำข้างต้น - ผลกระทบต่อความมั่นคงปลอดภัยของ ประเทศ หรือทางเศรษฐกิจ ความปลอดภัยสาธารณะ การบริการสาธารณะ การกระทำความผิดข้างต้น มาตรา ๑๑ การทำสแปมม์ รบกวนการใช้ระบบคอมพิวเตอร์ตามปกติ อาจถึงขั้นทำให้เป็น Zombie สแปมม์ (Spamming) มาตรา ๙ รบกวน/ทำลาย ข้อมูลคอมพิวเตอร์ มาตรา ๑๐ รบกวน/ทำลาย ระบบคอมพิวเตอร์ - การตั้งเวลาให้โปรแกรมทำลาย ข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ - การทำให้ระบบคอมพิวเตอร์ทำงานผิดปกติ ไปจากเดิม หรือหยุดทำงาน (Denial of Service) การใช้ชุดคำสั่งในทางมิชอบ (Malicious Code) เช่น Viruses, Worms, Trojan Horses มาตรา ๕ เข้าถึงระบบคอมพิวเตอร์ มาตรา ๖ เปิดเผยมาตรการป้องกันระบบ มาตรา ๗ เข้าถึงข้อมูลคอมพิวเตอร์ มาตรา ๘ ดักรับข้อมูลคอมพิวเตอร์ - การสอดแนมข้อมูลส่วนตัว - การแอบดักฟัง packet สปายแวร์ (Spyware) สนิฟเฟอร์ (Sniffer) ฐานความผิด ตัวอย่างผลกระทบต่อ ความมั่นคงปลอดภัย (Information Security) & ความเสียหาย ตัวอย่าง รูปแบบการกระทำความผิด

๓. รูปแบบการกระทำความผิด (๒) มาตรา ๑๖ การตัดต่อภาพ เป็นเหตุ ให้ถูกดูหมิ่น ถูกเกลืยดชัง หรืออับ อาย ผู้ถูกกระทำถูกดูหมิ่น ถูกเกลืยดชัง หรืออับอาย การตัดต่อภาพ มาตรา ๑๕ ความรับผิดฐาน สนับสนุนการกระทำความผิดของผู้ ให้บริการ เป็นเครื่องมือหรือแพร่กระจายความ เสียหายต่อบุคคลอื่น การโพสต์หรือนำเข้า ข้อมูลคอมพิวเตอร์ ตามมาตรา ๑๔ มาตรา ๑๔ การนำเข้าสู่ระบบ คอมพิวเตอร์ ซึ่งข้อมูลคอมพิวเตอร์ ปลอม, เท็จ หรือไม่เหมาะสม หรือ การส่งต่อข้อมูล (forward) นั้น ส่งผลกระทบต่อระบบเศรษฐกิจ ก่อให้ความตื่นตระหนกกับสังคม ก่อให้เกิดความเสื่อมเสียต่อสถาบัน พระมหากษัตริย์ ก่อให้เกิดภาพอันลามก มีการส่งต่อข้อมูลที่เป็นความผิด ข้างต้น การโพสต์กระทู้เท็จในเว็บบอร์ด มาตรา ๑๓ การจำหน่ายหรือเผยแพร่ ชุดคำสั่งไม่พึงประสงค์ - นำไปใช้เจาะระบบคอมพิวเตอร์ เพื่อก่ออาชญากรรมรูปแบบต่างๆ โปรแกรมเจาะระบบ (hacking tools) ฐานความผิด ตัวอย่างผลกระทบต่อ ความมั่นคงปลอดภัย (Information Security) & ความเสียหาย ตัวอย่าง รูปแบบการกระทำความผิด

การกระทำความผิดตามมาตราต่างๆ aa การแอบเข้าถึง ข้อมูลคอมพิวเตอร์ มาตรา ๗ การดักข้อมูลคอมพิวเตอร์ มาตรา ๘ แอบเข้าไปในระบบคอมพิวเตอร์ & แอบรู้มาตรการป้องกันระบบคอมพิวเตอร์ (ขโมย password)มาตรา ๕ และ มาตรา ๖ การรบกวน/ แอบแก้ไขข้อมูล มาตรา ๙ การรบกวนระบบคอมพิวเตอร์ มาตรา ๑๐

การรุมสอบถามข้อมูลจนระบบล่ม (Denial of Service)

การเผยแพร่มาตรการป้องกัน การเข้าถึงระบบคอมพิวเตอร์ (๑)

การเผยแพร่มาตรการป้องกัน การเข้าถึงระบบคอมพิวเตอร์ (๒)

การทำ Spam Mail This is the spoofed email look like it was sent from US bank. It says that for the security reason, you need to update your account by clicking at this link lead to the faked US bank website. Actually, the content of spoofed email is variety like a citibank incident. You might remember in the last 2 months a hacker breaks into the VISA database of the Citibank. The user information is stollen. After the incident, just a couple day I saw some Citibank phishing email said you need to change your username and password immediatly. So it’s amazing that hacker can create such incredible story to make user to believe.

ฟิชชิ่ง (Phishing website/email)

การเผยแพร่ข้อมูลคอมพิวเตอร์ ที่กระทบต่อความมั่นคง การเผยแพร่ข้อมูลคอมพิวเตอร์ ที่กระทบต่อความมั่นคง

แก้ปัญหากันทุกรูปแบบ ?? You see? This picture shows some spiritual moment. Japanese engineers bring Notebook to monk and let him spell and clean up the computer virus for them. Common!!!...this is just a joke. You don’t need this, right? 21

ผลการสำรวจความเสียหาย

๔. โครงสร้างของร่างกฎหมาย มาตรา ๑ ชื่อกฎหมาย มาตรา ๒ วันบังคับใช้กฎหมาย มาตรา ๓ คำนิยาม มาตรา ๔ ผู้รักษาการ หมวด ๑ ความผิดเกี่ยวกับคอมพิวเตอร์ มาตรา ๕ ถึงมาตรา ๑๗ (ส่วนแรก : กระทำต่อคอมพิวเตอร์/ข้อมูลคอมพิวเตอร์ อันกระทบต่อความลับ ความครบถ้วน และสภาพพร้อมใช้งานของระบบคอมพิวเตอร์และข้อมูลคอมพิวเตอร์ (ส่วนที่สอง : ใช้คอมพิวเตอร์/ข้อมูลคอมพิวเตอร์กระทำความผิดอื่น) หมวด ๒ พนักงานเจ้าหน้าที่ มาตรา ๑๘ ถึงมาตรา ๓๐ 23

หมวด ๑ ความผิดเกี่ยวกับคอมพิวเตอร์ หมวด ๑ ความผิดเกี่ยวกับคอมพิวเตอร์ รวม ๑๒ มาตรา โดยเพิ่มเติมอีก ๑ มาตรา คือ มาตรา ๑๗ อันเกี่ยวกับ การกระทำผิดนอกราชอาณาจักร และลงโทษในราชอาณาจักร มาตรา ๕ การเข้าถึงระบบคอมพิวเตอร์ มาตรา ๖ การล่วงรู้มาตรการป้องกันการเข้าถึงและนำไปเปิดเผย มาตรา ๗ การเข้าถึงข้อมูลคอมพิวเตอร์ มาตรา ๘ การดักข้อมูลคอมพิวเตอร์โดยมิชอบ มาตรา ๙ การรบกวนข้อมูลคอมพิวเตอร์ มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์ มาตรา ๑๑ สแปมเมล์ (Spam Mail) มาตรา ๑๒ การกระทำความผิดต่อความมั่นคง มาตรา ๑๓ การจำหน่าย/เผยแพร่ชุดคำสั่งเพื่อใช้กระทำความผิด มาตรา ๑๔ การปลอมแปลงข้อมูลคอมพิวเตอร์/เผยแพร่เนื้อหาอันไม่เหมาะสม มาตรา ๑๕ ความรับผิดของผู้ให้บริการ มาตรา ๑๖ การเผยแพร่ภาพจากการตัดต่อ/ดัดแปลง ฐานความผิดและบทลงโทษสำหรับการกระทำโดยมิชอบ

บทกำหนดโทษ ไม่เกิน ๖๐,๐๐๐ บาท ไม่เกิน 3 ปี มาตรา ๑๖ การตัดต่อภาพผู้อื่น ถ้าสุจริต ไม่มีความผิด ไม่เกิน ๑๐๐,๐๐๐ บาท ไม่เกิน ๕ ปี มาตรา ๑๕ ความรับผิดของ ISP มาตรา ๑๔ การเผยแพร่เนื้อหาอันไม่เหมาะสม ไม่เกิน ๒๐,๐๐๐ บาท ไม่เกิน ๑ ปี มาตรา ๑๓ การจำหน่าย/เผยแพร่ชุดคำสั่ง + ไม่เกิน ๒๐๐,๐๐๐ บาท ๖๐,๐๐๐-๓๐๐,๐๐๐ บาท ไม่มี ไม่เกิน ๑๐ ปี ๓ ปี ถึง ๑๕ ปี ๑๐ ปี ถึง ๒๐ ปี มาตรา ๑๒ การกระทำต่อความมั่นคง (๑) ก่อความเสียหายแก่ข้อมูลคอมพิวเตอร์ (๒) กระทบต่อความมั่นคงปลอดภัยของประเทศ/เศรษฐกิจ วรรคท้าย เป็นเหตุให้ผู้อื่นถึงแก่ชีวิต มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์ มาตรา ๑๑ สแปมเมล์ มาตรา ๙ การรบกวนข้อมูลคอมพิวเตอร์ ไม่เกิน ๓ ปี มาตรา ๘ การดักข้อมูลคอมพิวเตอร์ ไม่เกิน ๔๐,๐๐๐ บาท ไม่เกิน ๒ ปี มาตรา ๗ เข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ มาตรา ๖ ล่วงรู้มาตรการป้องกัน ไม่เกิน ๑๐,๐๐๐ บาท ไม่เกิน ๖ เดือน มาตรา ๕ เข้าถึงคอมพิวเตอร์โดยมิชอบ โทษปรับ โทษจำคุก ฐานความผิด

หมวดที่ ๒ พนักงานเจ้าหน้าที่ รวมทั้งสิ้น ๑๓ มาตรา มาตรา ๑๘ อำนาจของพนักงานเจ้าหน้าที่ มาตรา ๑๙ การตรวจสอบการใช้อำนาจของพนักงานเจ้าหน้าที่ มาตรา ๒๐ การใช้อำนาจในการ block เว็บไซต์ที่มีเนื้อหากระทบต่อ ความมั่นคงหรือขัดต่อความสงบเรียบร้อย มาตรา ๒๑ การห้ามเผยแพร่/จำหน่ายชุดคำสั่งไม่พึงประสงค์ มาตรา ๒๒ ห้ามมิให้พนักงานเจ้าหน้าที่เผยแพร่ข้อมูลที่ได้มาตรา ๑๘ มาตรา ๒๓ พนักงานเจ้าหน้าที่ประมาทเป็นเหตุให้ผู้อื่นล่วงรู้ข้อมูล มาตรา ๒๔ ความรับผิดของผู้ล่วงรู้ข้อมูลของผู้ใช้บริการที่พนักงาน เจ้าหน้าที่ได้มาตามมาตรา ๑๘ และนำไปเปิดเผย มาตรา ๒๕ ห้ามมิให้รับฟังพยานหลักฐานที่ได้มาโดยมิชอบ มาตรา ๒๖ ถึง ๒๗ หน้าที่ผู้ให้บริการในการเก็บข้อมูลจราจรทางคอมพิวเตอร์ และความรับผิด หากไม่ปฏิบัติตามหน้าที่ มาตรา ๒๘ การแต่งตั้งพนักงานเจ้าหน้าที่ มาตรา ๒๙ การรับคำร้องทุกข์กล่าวโทษ จับ ควบคุม ค้น & การกำหนด ระเบียบ/แนวทางและวิธีปฏิบัติ มาตรา ๓๐ การปฏิบัติหน้าที่ของพนักงานเจ้าหน้าที่ กำหนดอำนาจหน้าที่ของพนักงานเจ้าหน้าที่และหน้าที่ของผู้ให้บริการ

การตรากฎกระทรวง & ประกาศ/ระเบียบ การจัดทำระเบียบเกี่ยวกับแนวทางและวิธีปฏิบัติในการจับ ควบคุม ค้น การทำสำนวนสอบสวนและดำเนินคดี (มาตรา ๒๙) ประกาศห้ามจำหน่ายหรือเผยแพร่ชุดคำสั่งไม่พึงประสงค์ (มาตรา ๒๑) การจัดทำประกาศเกี่ยวกับผู้ให้บริการและข้อมูลจราจรทางคอมพิวเตอร์ (มาตรา ๒๖) การจัดทำประกาศเกี่ยวกับการกำหนดคุณสมบัติพนักงานเจ้าหน้าที่ (มาตรา ๒๘) การจัดทำประกาศเกี่ยวกับบัตรประจำตัวพนักงานเจ้าหน้าที่ (มาตรา ๓๐) กฎกระทรวงกำหนดหนังสือยึดหรืออายัดระบบคอมพิวเตอร์ (มาตรา ๑๙)