พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550, 2560

งานนำเสนอเรื่อง: "พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550, 2560"— ใบสำเนางานนำเสนอ:

1 พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550, 2560
เอกสารประกอบ พรบ ว่าด้วยการกระทำความผิด 2550, 2560 ประกาศหลักเกณฑ์การเก็บข้อมูลจราจร

2 Fire, Natural disasters
What are the cause of IT-related losses? การจารกรรม หรือการสอดแนมข้อมูลด้วยวิธีการทางเทคโนโลยีที่ซับซ้อน Espionage Virus Hackers Vandalism Fire, Natural disasters  การทำลายทรัพย์สิน Dec 14, 2001 Overview of IT Fraud, Thaweesak Koanantakool National Electronics and Computer Technology Center.

3 กับความมั่นคงปลอดภัยของสารสนเทศ
จริยธรรม & กฏระเบียบ กับความมั่นคงปลอดภัยของสารสนเทศ จริยธรรม (Ethics) หมายถึง แบบแผนความประพฤติหรือความมีสามัญสำนึกต่อสังคมในทางที่ดี โดยไม่มีกฎเกณฑ์ตายตัว ขึ้นอยู่กับกลุ่มสังคมหรือการยอมรับในสังคมนั้นๆเป็นหลัก เพื่อรักษาและส่งเสริมเกียรติคุณ ชื่อเสียงของสมาชิกในองค์กร หรือในสังคมนั้น อาจเขียนเป็นลายลักษณ์อักษรหรือไม่ก็ได้ โดยทั่วไปจริยธรรมจะเกี่ยวข้องกับการคิดและตัดสินใจได้ว่าสิ่งใดควร – ไม่ควร ดี – ไม่ดี ถูก -ผิด จริยธรรมกับกฎระเบียบ การควบคุมให้คนมีจริยธรรมที่ดี อาจใช้ข้อบังคับ กฎระเบียบของสังคมมาเป็นส่วนสนับสนุน ซึ่งจะต้องประกาศเป็น “นโยบาย” เผยแพร่ให้พนักงานทุกคนลงลายมือชื่อรับทราบ เพื่อใช้เป็นบทบัญญัติในการกำกับดูแลองค์กร เพราะในนโยบาย มีการกำหนดบทลงโทษ การตัดสินโทษ และการอนุโลมไว้ด้วย

4 ความแตกต่างระหว่างกฏหมายและจริยธรรม
หัวข้อ จริยธรรม กฏหมาย หลักการพื้นฐาน ไม่มีหลักการตายตัว ขึ้นอยู่กับจิตสำนึกของบุคคลในสังคม หรือองค์กรนั้น ๆ มีหลักการและกฏเกณฑ์ตายตัว เปลี่ยนแปลงยาก มีความซับซ้อน ผู้ตัดสินความผิด บุคคลผู้กระทำ และบุคคลผู้อยู่รอบตัวผู้กระทำ ภายในสังคมหรือองค์กรนั้น การตัดสินเป็นไปตามกระบวนการที่หน่วยงานภาครัฐภายใต้การบริหารงานของรัฐบาลเป็นผู้กำหนด บทลงโทษ การวิพากษ์วิจารณ์ หรือถูกรังเกียจจากผู้คนในสังคม ปรับ หรือจำคุก หรือทั้งจำทั้งปรับ การบังคับใช้ ขึ้นอยู่กับองค์กร หรือสังคมนั้น ขึ้นอยู่กับข้อกฎหมาย ระยะเวลาการตัดสิน ไม่ช้า เพราะไม่ซับซ้อนเท่าการตัดสินทางกฏหมาย ใช้ระยะเวลานานกว่า เพราะมีความซับซ้อนในการสืบพยาน และหาหลักฐาน

5 บทบัญญัติด้านจริยธรรมในวิชาชีพ IT
ประเด็นด้านจริยธรรม มักเกิดความขัดแย้งอยู่บ่อยครั้ง ในหลายวิชาชีพจึงได้กำหนด จรรยาบรรณ (Code of Conduct หรือ Code of Ethic) ขึ้นมาเป็นหลักปฏิบัติไว้อย่างชัดเจนภายใต้ใบประกอบวิชาชีพ เพื่อให้คงไว้ซึ่งเกียรติยศ ชื่อเสียง และฐานะของสมาชิกในวิชาชีพเดียวกัน เช่นวิชาชีพแพทย์ พยาบาล วิศวกร นักกฎหมาย นักบัญชี เป็นต้น วิชาชีพ IT ยังไม่มีใบประกอบวิชาชีพเหมือนอาชีพอื่น ดังนั้นจรรยาบรรณที่กำหนดขึ้นโดยหลากหลายสถาบันจึงมีลักษณะเป็นเพียง “บทบัญญัติ” ในการใช้งานคอมพิวเตอร์ ไม่สามารถนำมาใช้เป็นเกณฑ์ในการลงโทษได้ จึงเป็นเหตุให้ความขัดแย้งในกรณีพิพาทต่าง ๆ เกิดขึ้นบ่อยครั้ง จนในที่สุดต้องตราขึ้นมาเป็นกฎหมาย เพราะการกระทำความผิดถึงแม้ว่าจะเกิดภายในองค์กร แต่ก็มีหลายกรณีที่ส่งผลกระทบออกมาถึงภายนอกองค์กรให้ได้ความเดือดร้อนไปด้วย

6 หน่วยงานที่กำกับเรื่องความมั่นคงปลอดภัยด้าน IT
CERT CC (Computer Emergency Response Team Coordination Center) ( CERT CC เป็นศูย์นย์ประสานงานรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ เป็นหน่วยงานที่ทำการศึกษาถึงช่องโหว่ของความมั่นคงปลอดภัยทาง IT พัฒนาความรู้และหลักสูตรฝึกอบรมด้านความปลอดภัย และให้บริการข้อมูลภัยคุกคามชนิดใหม่ ๆพร้อมกับวิธีการแก้ไขและป้องกันภัยคุกคาม ประเทศไทยมีหน่วยงานลักษณะเดียวกับ CERT ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต: Thai CERT) จัดตั้งขึ้นในปี พ.ศ (ชื่อเดิม ศูนย์ประสานงานรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย) ( ภายใต้ความควบคุมของ “ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ” (NECTEC) สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ

7 Thailand Computer Emergency Response Team : ThaiCERT
จัดตั้งขึ้นโดยมีวัตถุประสงค์ในการบริการตอบสนองต่อเหตุการณ์ต่าง ๆ ที่อาจกระทบต่อความมั่นคงของระบบคอมพิวเตอร์และระบบเครือข่ายของประเทศไทย เพื่อรับมือกับปัญหาฉุกเฉินด้านความมั่นคงคอมพิวเตอร์ ให้บริการเผยแพร่ความรู้ด้านการรักษาความปลอดภัยของคอมพิวเตอร์และเครือข่าย รายงานภัยคุกคามต่อความมั่นคงชนิดใหม่ วิธีการแก้ไขและป้องกัน และเป็นศูนย์กลางคอยให้ความช่วยเหลือ และให้คำปรึกษาแก่ผู้ใช้บริการทั่วไป ปัจจุบัน Thai CERT ได้เข้าร่วมเป็นสมาชิก “ศูย์นย์ประสานงานรักษาความมั่นคงปลอดภัยในภาคพื้นเอเซียแปซิฟิก” (Asia Pacific Computer Emergency Response Team : APCERT) และ FIRST (Forum of Incident Response and Security Team) เพื่อก้าวไปสู่ในระดับสากลมากยิ่งขึ้น

8 บริการของ ThaiCERT การประสานงานเพื่อตอบสนองและจัดการกับเหตุการณ์ด้านความมั่นคงปลอดภัยคอมพิวเตอร์ (Incident Coordination) ไทยเซิร์ตมีภาระหน้าที่ในการรับแจ้งเหตุและประสานงานกับหน่วยงานต่างๆ ภายในประเทศไทยกับหน่วยงาน CERT ในต่างประเทศ เพื่อตอบสนองและจัดการต่อเหตุการณ์ด้านความมั่นคงปลอดภัยคอมพิวเตอร์ รวมถึงการให้การสนับสนุนข้อมูลต่างๆ ที่จำเป็นต่อหน่วยงานเพื่อดำเนินการแก้ไขเหตุการณ์ที่ได้รับแจ้ง โดยเมื่อได้รับแจ้งเหตุฯ เจ้าหน้าที่จะดำเนินการตรวจสอบและวิเคราะห์เหตุ เพื่อประสานงานไปยังหน่วยงานที่เกี่ยวข้องภายใน 6 ชั่วโมงหลังได้รับแจ้งเหตุ บริการตรวจพิสูจน์พยานหลักฐานดิจิทัล (Digital Forensics) ศูนย์ดิจิทัลฟอเรนสิกส์ของไทยเซิร์ตมีภาระหน้าที่ในการให้บริการตรวจวิเคราะห์และรายงานผลการตรวจพิสูจน์พยานหลักฐานดิจิทัลที่สอดคล้องกับมาตรฐานสากลและรองรับการก้าว ไปสู่ e-Court ในอนาคต เพื่อให้เจ้าหน้าที่รักษากฎหมายสามารถนำรายงานผลการตรวจพิสูจน์ฯ ไปใช้อ้างอิงในศาลได้อย่างมั่นใจ โดยให้บริการตรวจพิสูจน์พยานหลักฐานทั้งประเภทคอมพิวเตอร์และโทรศัพท์มือถือ รวมถึงการให้การสนับสนุนเจ้าหน้าที่ในการเก็บรวบรวมพยานหลักฐานจากสถานที่เกิดเหตุ

9 Information Systems Security Association :ISSA
เป็นองค์กรไม่แสวงหากำไร จัดตั้งขึ้นเพื่อเป็นศูนย์รวมการแลกเปลี่ยนความรู้และการพัฒนาความั่นคงปลอดภัยทางไซเบอร์แบบมืออาชีพในระดับนานาชาติ จัดการประชุมวิชาการ เผยแพร่บทความ เปิดโอกาสให้มีการประสานความร่วมมือเพื่อส่งเสริมความรู้ ทักษะในทางปฏิบัติ ให้กับสมาชิก และจัดการด้านความเสี่ยงด้านเทคโนโลยีและปกป้องสารสนเทศและโครงสร้างพื้นฐานที่สำคัญ (The Information Systems Security Association (ISSA)® is a not-for-profit, international organization of information security professionals and practitioners. It provides educational forums, publications, and peer interaction opportunities that enhance the knowledge, skill, and managing technology risk and protecting critical information and infrastructure.)

10 International Information Systems Certification Consortium, Inc.
(ISC) 2 เป็นองค์กรไม่แสวงหากำไร ทำหน้าที่สร้างความเชื่อมั่น และให้การรับรองบุคคลากรด้านความมั่นคงปลอดภัยสารสนเทศ โดย (ISC)2 จัดการเนื้อหาความรู้ด้านความมั่นคงปลอดภัยและการดูแลระบบ จัดทำข้อสอบประเมินผู้ประกอบวิชาชีพในด้านความมั่นคงปลอดภัยสารสนเทศ ให้ใบรับรอง Information Systems Security Professional (CISSP) certification แก่ผู้ผ่านการทดสอบ (ISC)² is an international nonprofit membership association focused on inspiring a safe and secure cyber world. Best known for the acclaimed Certified Information Systems Security Professional (CISSP) certification, (ISC)² offers a portfolio of credentials that are part of a programmatic approach to security. The (ISC)2 membership, over 123,000 strong, is made up of certified cyber, information, software and infrastructure security professionals who are making a difference and helping to advance the industry. The vision of (ISC)2 is supported by our commitment to educate and reach the general public through our charitable. 

11 จรรยาบรรณ (ISC) 2 จรรยาบรรณที่ (ISC)2 กำหนดไว้เป็นข้อเตือนใจผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยที่ได้รับใบรับรอง Information Systems Security Professional (CISSP) certification มี 4 ข้อหลัก ดังนี้ ปกป้องสังคม เครือข่าย และโครงสร้างพื้นฐาน ปฏิบัติงานด้วยความซื่อสัตย์ สุจริต ยุติธรรม รับผิดชอบต่อหน้าที่อย่างถูกต้องตามกฏหมาย ให้บริการอย่างเต็มกำลัง ด้วยความอุตสาหะ ส่งเสริมความก้าวหน้าแปกป้องชื่อเสียงเกียรติยศของวิชาชีพ

12 มาตรการป้องกันปราบปรามอาชญากรรมทางคอมพิวเตอร์และความร่วมมือระหว่างประเทศ
มาตรการป้องกันและปราบปรามอาชญากรรมทางคอมพิวเตอร์ 1.1 มาตรการทางเทคโนโลยี โดยการติดตั้งเทคโนโลยีเพื่อตรวจจับการบุกรุก (Intrusion Detection) หรือการติดตั้ง Firewall รวมทั้งการตรวจสอบเพื่อประเมินความเสี่ยงและการให้การรับรองความมั่นคงปลอดภัย (Analysis Risk and Security Certification) 1.2 มาตรการด้านกฎหมาย การตรากฎหมายเป็นวิธีการที่รัฐบาลมักใช้ในการป้องกันการก่ออาชญากรรมคอมพิวเตอร์ โดยกำหนดว่าการกระทำใดเป็นความผิดและมีโทษทางอาญา ปัจจุบันประเทศไทยมีกฎหมายที่เกี่ยวข้องหลายฉบับ ดังนี้ พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ ซึ่งมีสาระสำคัญของการกำหนดฐานความผิดและบทลงโทษเกี่ยวกับการกระทำที่เป็นอาชญากรรมทางคอมพิวเตอร์ รวมทั้งการให้อำนาจแก่เจ้าพนักงานเพื่อใช้ในการปราบปรามการกระทำความผิด

13 พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ พ.ศ กำหนดมาตรการและการดาเนินการที่กาหนดขึ้นในร่าง พรบ ฉบับนี้ เพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศให้สามารถปกป้อง หรือรับมือกับสถานการณ์ด้านภัยคุกคามทางไซเบอร์ที่ส่งผลกระทบหรืออาจก่อให้เกิดความเสี่ยงต่อการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยปกติของดาวเทียม อันกระทบต่อความมั่นคงของชาติซึ่งรวมถึงความมั่นคงทางการทหาร ความสงบเรียบร้อยภายในประเทศ และความมั่นคงทางเศรษฐกิจ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๕๐ เพราะข้อมูลจราจรทางคอมพิวเตอร์นับเป็นพยานหลักฐานสำ คัญในการดำ เนินคดีอันเป็นประโยชน์อย่างยิ่งต่อการสืบสวน สอบสวน เพื่อนำตัวผู้กระทำความผิดมาลงโทษ จึงกำหนดให้ผู้ให้บริการมีหน้าที่ในการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ดังกล่าว กฎหมายอื่น ๆ ได้แก พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ มาตรา 74 กำหนดฐานความผิดเกี่ยวกับการดักรับไว้ หรือใช้ประโยชน์ หรือเปิดเผยข้อความข่าวสาร หรือข้อมูลอื่นใดที่มีการสื่อสารทางโทรคมนาคมโดยไม่ชอบด้วยกฎหมาย

14 1.3 มาตรการด้านความร่วมมือระหว่างหน่วยงานต่าง ๆ ที่เกี่ยวข้องทั้งภาครัฐและเอกชน
หน่วยงานเหล่านี้ทำหน้าที่คอยให้ความช่วยเหลือและให้ข้อมูลทางวิชาการเกี่ยวกับการตรวจสอบและการรักษาความมั่นคงสารสนเทศและเครือข่าย ให้คำปรึกษาถึงวิธีการการรับมือกับภัยคุกคาม พร้อมทั้งชี้แจงแนวทางการแก้ไข ได้แก่ (Thai Computer Emergency Response Team : ThaiCERT ) 1.4 มาตรการทางสังคม สังคมปัจจุบันเผชิญปัญหากับการใช้คอมพิวเตอร์และอินเทอร์เน็ตในการเผยแพร่เนื้อหาอันไม่เหมาะสม สื่อลามกอนาจาร ข้อความหมิ่นประมาท การชักจูงล่อลวง ส่งผลกระทบต่อเด็กและเยาวชนไทย ดังนั้น จึงมีหลายหน่วยงานทั้งรัฐและเอกชนรณรงค์ในการป้องกันเด็กและเยาวชนจากผลกระทบนั้น เช่น คณะกรรมาธิการกิจการเด็กและเยาวชน คณะกรรมการเทคโนโลยีสารสนเทศและการสื่อสารแห่งชาติ

15 2. ความร่วมมือระหว่างประเทศ
เนื่องจากลักษณะการก่ออาชญากรรมทางคอมพิวเตอร์อาจมีความเกี่ยวข้องกับหลายประเทศ เช่นบุคคลในประเทศหนึ่งอาจเข้าถึงหรือเจาะระบบคอมพิวเตอร์ที่ตั้งอยู่ในอีกประเทศหนึ่งผ่านทางเครือข่ายอินเทอร์เน็ต หรือใช้คอมพิวเตอร์ที่ตั้งอยู่ในประเทศที่สามเป็นทางผ่านในการกระทำดังกล่าว หรือเผยแพร่มัลแวร์ในประเทศหนึ่งแต่ส่งผลกระทบต่อระบบคอมพิวเตอร์ทั่วโลกได้ เป็นต้น ดังนั้น การป้องกันหรือแก้ไขปัญหาอาชญากรรมทางคอมพิวเตอร์จึงไม่อาจจำกัดเฉพาะอาณาเขตประเทศใดประเทศหนึ่งอีกต่อไป จึงทำให้นานาประเทศรวมทั้งองค์กรระหว่างประเทศร่วมกันหาแนวทางป้องกันอาชญากรรมทางคอมพิวเตอร์ ทั้งที่อยู่ในรูปแบบของการจัดทำอนุสัญญา หรือกรอบความร่วมมือระหว่างประเทศ ดังต่อไปนี้

16 2.1 องค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (Organization for Economic Cooperation and Development : OECD) เป็นองค์กรระหว่างประเทศลำดับแรกที่ได้ริเริ่มพัฒนามาตรการที่เกี่ยวข้องกับอาชญากรรมทางคอมพิวเตอร์ ตั้งแต่ปี 1983 นอกจากมาตรการด้านกฎหมายแล้ว OECD ยังพัฒนา “แนวปฏิบัติเพื่อการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศและเครือข่าย” ในปี 1992 เพื่อมุ่งสู่วัฒนธรรมด้านความมั่นคง โดยเน้นแนวปฏิบัติ 9 ข้อ คือ การสร้างความตื่นตัว (Awareness), การมีส่วนรับผิดชอบ (Responsibility), การสนองตอบต่อปัญหาอย่างทันท่วงที (Response), การมีจริยธรรม (Ethics), การเคารพหลักประชาธิปไตย (Democracy) และหลักสิทธิเสรีภาพในการติดต่อสื่อสาร สิทธิ์ในความเป็นส่วนตัว, การประเมินความเสี่ยง (Risk assessment), การออกแบบด้านความปลอดภัยและการนำไปปฏิบัติ (Security design and implementation), หลักการประเมินซ้ำ (Reassessment) เพื่อทบทวนและประเมินการรักษาความปลอดภัยของระบบสารสนเทศและเครือข่ายอยู่เสมอ เพื่อปรับเปลี่ยนนโยบาย/วิธีปฏิบัติให้สอดรับกับการเปลี่ยนแปลงรูปแบบของภัยคุกคาม และช่องโหว่ อยู่ตลอดเวลา

17 2.2 คณะมนตรีแห่งยุโรป (Council of Europe)
คณะมนตรีแห่งยุโรป ได้จัดตั้งคณะกรรมาธิการผู้เชี่ยวชาญด้านอาชญากรรมทางคอมพิวเตอร์ ในปี 1985 ให้จัดทำแนวทางและข้อเสนอแนะในการบัญญัติกฎหมาย จนกระทั่งแล้วเสร็จในปี 1989 เพื่อใช้เป็นกรอบในการพิจารณาทบทวนกฎหมายภายในของประเทศสมาชิกในยุโรป โดยให้ครอบคลุมอย่างน้อย 12 ฐานความผิด ได้แก่ การฉ้อฉลทางคอมพิวเตอร์, การปลอมแปลงทางคอมพิวเตอร์ , การทำลายข้อมูลคอมพิวเตอร์ หรือโปรแกรมคอมพิวเตอร์ , การจารกรรมทางคอมพิวเตอร์ , การใช้คอมพิวเตอร์ หรือระบบคอมพิวเตอร์ โดยมิชอบ, การเปลี่ยนแปลงข้อมูลคอมพิวเตอร์หรือโปรแกรมคอมพิวเตอร์, การรบกวนการทำงานของคอมพิวเตอร์ หรือระบบโทรคมนาคม, การเข้าถึงโดยมิชอบ, การดักข้อมูลโดยมิชอบ, การทำซ้ำโปรแกรมคอมพิวเตอร์ โดยมิชอบ, การทำซ้ำลายพิมพ์วงจรโดยมิชอบ, และการใช้โปรแกรมคอมพิวเตอร์ ที่ได้รับการคุ้มครองโดยมิชอบ นอกจากคณะมนตรีแห่งยุโรป ได้กำหนดมาตรการให้ประเทศสมาชิกรายงานเกี่ยวกับการพัฒนากฎหมายในส่วนที่เกี่ยวข้องกับอาชญากรรมทางคอมพิวเตอร์ ต่อคณะกรรมาธิการด้านปัญหาอาชญากรรม

18 2.3 สหภาพยุโรป (European Union)
สหภาพยุโรปได้ริเริ่มดำเนินการเกี่ยวกับอาชญากรรมทางคอมพิวเตอร์อย่างจริงจังในปี 1998 และนำเสนอผลการศึกษาเกี่ยวกับอาชญากรรมทางคอมพิวเตอร์ (Legal Aspects of Computer-Related Crime in the Information Society -COMCRIME study) ต่อคณะมนตรีแห่งยุโรป (Council of Europe) ในปี 2000 สหภาพยุโรป ได้จัดทำแผน eEurope Action ขึ้น ซึ่งส่วนหนึ่งของแผนได้ระบุวิธีดำเนินการเพื่อส่งเสริมให้เครือข่ายโทรคมนาคมมีความปลอดภัย และส่งเสริมความร่วมมือในการแก้ไขปัญหาอาชญากรรมทางคอมพิวเตอร์

19 2.4 กลุ่มประเทศอุตสาหกรรมชั้นนำ 8 ประเทศ (G8)
ปี 1997, G8 ได้จัดตั้งคณะอนุกรรมการด้านอาชญากรรมที่ใช้เทคโนโลยีขั้นสูง (G8 Subgroup on High-tech Crime) ซึ่งต่อมาคณะอนุกรรมการชุดดังกล่าวได้จัดทำหลักการ (Principle) ด้านอาชญากรรมทางคอมพิวเตอร์ที่ประเทศต่างๆ ควรนำไปปฏิบัติจำนวน 10 ข้อ อาทิ ควรมีระบบกฎหมายที่ทำให้สามารถเก็บรักษาข้อมูลและเข้าถึงข้อมูลเพื่อทำการสอบสวนได้ ควรมีความร่วมมือระหว่างประเทศเพื่อการแลกเปลี่ยนข้อมูลข่าวสารและสามารถรวบรวมพยานหลักฐานได้อย่างทันท่วงที ควรพัฒนาให้มีมาตรฐานในการสืบค้นพยานพยานหลักฐานที่อยู่ในรูปข้อมูลอิเล็กทรอนิกส์ ต่อมาได้มีการจัดตั้งเครือข่ายความร่วมมือด้านอาชญากรรมทางคอมพิวเตอร์ 24 ชั่วโมง(High-tech Crime 24-Hour Point-of-Contact Network) ขึ้นภายในกลุ่มประเทศสมาชิก G8 ก่อน และได้เพิ่มจำนวนเป็นกว่า 30 ประเทศในปัจจุบัน ประเทศที่จะเข้าร่วมเป็นสมาชิกในเครือข่ายจะต้องมีคุณสมบัติ 2 ประการคือ มีหน่วยงานที่มีเจ้าหน้าที่ซึ่งมีความรู้ความเชี่ยวชาญด้านการสอบสวนเกี่ยวกับคอมพิวเตอร์และพยานหลักฐานทางอิเล็กทรอนิกส์ และสามารถปฏิบัติหน้าที่ตลอดเวลา

20 2.5 ความร่วมมือทางเศรษฐกิจในเอเชียแปซิฟิก
(Asia-Pacific Economic Cooperation : APEC) กลุ่มความร่วมมือทางเศรษฐกิจในเอเชียแปซิฟิกหรือ APEC ได้เริ่มให้ความสำคัญกับปัญหาอาชญากรรมทางคอมพิวเตอร์อย่างจริงจังตั้งแต่ปี 2001 อันเป็นผลสืบเนื่องจากการผลักดันของสหรัฐอเมริกาที่ต้องการให้ประเทศต่างๆ ให้ความสำคัญกับปัญหาการก่อการร้ายมากยิ่งขึ้นภายหลังเหตุการณ์ก่อการร้ายเมื่อวันที่ 11 กันยายน ค.ศ. 2001 ในเดือนพฤษภาคม 2002 ได้มีการประกาศปฏิญญา เซี่ยงไฮ้ (Shanghai Declaration) ซึ่งประกอบด้วยแถลงการณ์ด้านการรักษาความมั่นคงของโครงสร้างพื้นฐานสารสนเทศและการสื่อสาร (Statement on the Security of Information and Communications Infrastructures) ที่ได้รับความเห็นชอบจากสมาชิก APEC ในการดำเนินการต่อการก่ออาชญากรรมทางคอมพิวเตอร์เข้าไว้ด้วย ประกอบด้วย 6 ประเด็นสำคัญ ดังนี้

21 (1) การพัฒนากฎหมาย (Legal developments) : สมาชิกเอเปคควรบัญญัติกฎหมายอาชญากรรมทางคอมพิวเตอร์หรือให้ความช่วยเหลือแก่สมาชิกอื่นในการบัญญัติกฎหมายภายในที่มีเนื้อหาสอดคล้องกับ Convention on Cybercrime (2) การให้ข้อมูลและประสานความร่วมมือ (Information sharing and cooperation) : เอเปคจะให้ความช่วยเหลือสมาชิกในการพัฒนาและจัดตั้งสถาบันด้านการรักษาความมั่นคงทางเครือข่ายในลักษณะ CERTs โดยความร่วมมือจากทั้งภาครัฐและเอกชน รวมทั้งส่งเสริมให้สมาชิกเอเปคเข้าร่วมเป็นสมาชิกของเครือข่าย High-tech Crime 24/7 Point-of-Contact Network ซึ่งริเริ่มโดยกลุ่มประเทศ G8 ด้วย (3) การจัดทำแนวปฏิบัติด้านเทคนิคและความมั่นคง (Security and technical guidelines) : เสนอให้มีการพัฒนามาตรฐานและแนวปฏิบัติด้านการรักษาความมั่นคง รวมทั้งเสนอให้มีการสำรวจกฎหมายภายในที่เกี่ยวข้องอาทิการเข้ารหัส การใช้เทคโนโลยี PKI เป็นต้น (4) การสร้างความตื่นตัวให้กับประชาชน (Public awareness) : สนับสนุนให้ประเทศสมาชิกสร้างความตื่นตัวด้านการรักษาความมั่นคงแก่ประชาชนและภาคอุตสาหกรรม โดยอาศัยแนวทางขององค์การระหว่างเทศอื่นที่ได้จัดทำไว้แล้ว อาทิ แนวปฏิบัติด้านการรักษาความมั่นคงของระบบสารสนเทศและเครือข่ายของ OECD

22 (5) การฝึกอบรมและให้ความรู้ (Training and Education) : เสนอให้มีการจัดการฝึกอบรมเพื่อให้ความรู้ทางเทคนิคการรักษาความมั่นคงและเทคนิคการสืบหาร่องรอยการกระทำความผิด (forensic) และส่งเสริมเสริมให้มีการเรียนการสอนด้านเทคโนโลยีการรักษาความมั่นคง รวมถึงการสอบวัดมาตรฐานบุคลากรที่ทำงานในด้านการรักษาความมั่นคง (6) การรักษาความมั่นคงในการสื่อสารแบบไร้สาย (Wireless security) : เนื่องจากปัจจุบันบันมีการเชื่อมต่อกับระบบเครือข่ายผ่านอุปกรณ์สื่อสารแบบไรัสายเพิ่มมากขึ้น จึงจำเป็นที่จะต้องให้ความสนใจต่อการรักษาความปลอดภัยต่อการติดต่อสื่อสารแบบไร้สายนี้ด้วย โดยได้มีการเสนอให้มีการศึกษาถึงประเด็นต่างๆ ที่เกี่ยวข้องกับการรักษาความมั่นคงในการติดต่อสื่อสารแบบไร้สายนี้เพิ่มมากขึ้น

23 2.4 องค์การสหประชาชาติ (United Nations)
(1) ควรมีกฎหมายและวิธีปฏิบัติที่ทำให้มั่นใจได้ว่าจะสามารถลงโทษผู้ที่ใช้เทคโนโลยีสารสนเทศในการกระทำความผิดทางอาญาได้ (2) ควรมีความร่วมมือกันในด้านการสอบสวนและการฟ้องร้องคดีอาชญากรรมทางคอมพิวเตอร์ในกลุ่มประเทศที่เกี่ยวข้องกับการกระทำความผิด (3) ควรมีการแลกเปลี่ยนข้อมูลกันระหว่างประเทศที่ประสบปัญหาจากการใช้เทคโนโลยีสารสนเทศในทางมิชอบ (4) ควรมีการฝึกอบรมและจัดให้มีอุปกรณ์ที่เพียงพอแก่บุคลากรที่เกี่ยวข้องกับการบังคับใช้กฎหมายในจัดการกับปัญหาการก่ออาชญากรรมโดยใช้เทคโนโลยีสารสนเทศ (5) ควรมีระบบกฎหมายที่สามารถให้ความคุ้มครองความลับ (Confidentiality) ความถูกต้องแท้จริง (Integrity) และความพร้อมใช้หรือความสามารถในการทำงาน (Availability) ของข้อมูลคอมพิวเตอร์และระบบคอมพิวเตอร์จากการทำให้เสียหายโดยมิชอบ และมั่นใจได้ว่าจะสามารถลงโทษผู้กระทำความผิดในทางอาญาได้

24 2.4 องค์การสหประชาชาติ (United Nations) (ต่อ ……)
(6) ควรมีระบบกฎหมายที่อนุญาตให้มีการเก็บรักษา (preservation) และสามารถสามารถเข้าถึงข้อมูลอิเล็กทรอนิกส์ (data message หรือ electronic data) ที่เกี่ยวข้องในการสอบสวนคดีอาชญากรรมทางคอมพิวเตอร์ได้ (7) ควรมีหลักเกณฑ์ด้านความร่วมมือระหว่างประเทศ เพื่อให้มั่นใจได้ว่าจะมีการสอบสวนการกระทำความผิดที่ใช้เทคโนโลยีสารสนเทศได้อย่างรวดเร็ว ตลอดจนสามารถรวบรวมและแลกเปลี่ยนพยานหลักฐานระหว่างกันได้อย่างทันท่วงที (8) ควรสร้างความตื่นตัว (awareness) ถึงความจำเป็นในการป้องกัน และการจัดการกับปัญหาการก่ออาชญากรรมโดยใช้เทคโนโลยีสารสนเทศให้แก่ประชาชนโดยทั่วไป (9) ควรมีการออกแบบเทคโนโลยีสารสนเทศที่ใช้สำหรับช่วยป้องกันและติดตามร่องร่อยผู้กระทำความผิด รวมไปถึงการรวบรวมพยานหลักฐานต่างๆ (10) ในการดำเนินการเพื่อต่อต้านการก่ออาชญากรรมโดยใช้เทคโนโลยีสารสนเทศนั้น จะต้องมีการพัฒนามาตรการที่จะสร้างความ สมดุลระหว่างการปกป้องสิทธิเสรีภาพและความเป็นส่วนตัวของประชาชนควบคู่ไปกับการใช้อำนาจรัฐในการรับมือกับปัญหาอาชญากรรม

25 พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550
กฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์เกิดจากการที่คณะรัฐมนตรีได้มีมติรับหลักการแห่งร่างพระราชบัญญัติว่าด้วยอาชญากรรมทางคอมพิวเตอร์ พ.ศ ตามที่กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเสนอ โดยศึกษาจากกฎหมายของหลายประเทศทั่วโลก อย่างเช่น อนุสัญญาว่าด้วยอาชญากรรมทางคอมพิวเตอร์ (Convention on Cyber-crime) ของคณะมนตรีแห่งยุโรป (The Council of Europe) Computer Fraud and Abuse Act 1986 ของสหรัฐอเมริกา Computer Misuse Act 1990 ของอังกฤษ และส่งให้สำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณา ปรับปรุงให้สอดคล้องกับสภาวการณ์ของสังคมและวัฒนธรรมไทย ก่อนที่จะเสนอต่อรัฐสภาพิจารณาให้ประกาศใช้เป็นกฎหมายต่อไป

26 พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550
การพัฒนา พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เริ่มยกร่างกฎหมาย พ.ศ. 2545 ผ่านความเห็นชอบจากสภานิติบัญญัติแห่งชาติ เมื่อวันพุธที่ 9 พฤษภาคม 2550 รัชกาลที่ 9 ทรงลงพระปรมาภิไธยและประกาศในพระราชกิจจานุเบกษาเมื่อวันที่ 18 มิถุนายน พ.ศ มีผลบังคับใช้จริงในวันที่ 18 กรกฎาคม  ในการตรวจสอบผู้กระทำความผิดตามพระราชบัญญัติ ตามประกาศกระทรวงฯ วันที่ 23 สิงหาคม 2551

27 บันทึกข้อตกลงประสานความร่วมมือระหว่างหน่วยงาน
วัตถุประสงค์ เพื่อให้เกิดการประสานระหว่างหน่วยงานที่เกี่ยวข้องกับการใช้อำนาจตาม พ.ร.บ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ เป็นไปอย่างมีประสิทธิภาพ หน่วยงาน ประกอบด้วย 6 หน่วยงาน ได้แก่ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (กระทรวงICT ปัจจุบันเปลี่ยนชื่อเป็น กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม), กระทรวงวิทยาศาสตร์และเทคโนโลยี (เนคเทค), กระทรวงยุติธรรม (กรมสอบสวนคดีพิเศษ), สำนักงานตำรวจแห่งชาติ, สำนักงานข่าวกรองแห่งชาติ, และกองบัญชาการทหารสูงสุด พนักงานเจ้าหน้าที่ พนักงานเจ้าหน้าที่ตาม พ.ร.บ. / DSI / เจ้าพนักงานตำรวจ ความร่วมมือ ตั้งคณะกรรมการโดยมีหัวหน้าแต่ละหน่วยงานเป็นกรรมการ เพื่อ วางมาตรการประสานงานระหว่างหน่วยงาน วางแนวปฏิบัติ ร้องทุกข์กล่าวโทษ สืบสวนสอบสวน การดำเนินคดี การร้องทุกข์ การกล่าวโทษ และการสืบสวนสอบสวน การจับกุม ควบคุม ค้น สืบสวนสอบสวน และการทำสำนวนสอบสวนและดำเนินคดีต่อผู้กระทำความผิด การสนับสนุนเครื่องมือ อุปกรณ์ และกำลังพล การฝึกอบรมเพิ่มศักยภาพพนักงานเจ้าหน้าที่ การออกระเบียบตามบันทึกข้อตกลงประสานความร่วมมือระหว่างหน่วยงาน

28 หลักการของกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ 2550
พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ ได้กำหนดความผิดเกี่ยวกับคอมพิวเตอร์ เพื่อคุ้มครองความปลอดภัยของข้อมูลคอมพิวเตอร์ (Computer Data) และระบบคอมพิวเตอร์ (Computer System) โดยมีบทบัญญัติในการ รักษาความลับ (Confidentiality) ความสมบูรณ์ครบถ้วน (Integrity) ความพร้อมในการทำงาน (Availability) ของข้อมูลคอมพิวเตอร์และระบบคอมพิวเตอร์ นอกจากนั้นยังเอาผิดกับการเผยแพร่ข้อมูลที่ไม่เหมาะสมในระบบคอมพิวเตอร์ รวมทั้งกำหนดอำนาจหน้าที่ของพนักงานเจ้าหน้าที่ในการปฏิบัติหน้าที่ตามร่างพระราชบัญญัตินี้ C.I.A

29 พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550, 2560
สภาพปัญหาของการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ผู้กระทำความผิดอยู่ตรงไหนก็ได้ในโลก ความเสียหายกระทบถึงคนจำนวนมาก และ รวดเร็ว เทคโนโลยีที่ใช้ในการกระทำความผิดมีตวามซับซ้อน ยากต่อการตรวจพบร่องรอยการกระทำผิด ยากต่อการจับกุมและนำผู้กระทำผิดมาลงโทษ เจตนารมณ์ของ พ.ร.บ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ กำหนดฐานความผิดและบทลงโทษ กำหนดอำนาจหน้าที่ของเจ้าหน้าที่ กำหนดหน้าที่ของผู้ให้บริการ

30 ตามพระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550
ความหมายของ “ระบบคอมพิวเตอร์” “ข้อมูลคอมพิวเตอร์” และ “ข้อมูลจราจรทางคอมพิวเตอร์” ตามพระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550          “ระบบคอมพิวเตอร์” ในพระราชบัญญัตินี้ หมายความว่า อุปกรณ์หรือชุดอุปกรณ์ที่เชื่อมการทำงานเข้าด้วยกัน โดยได้มีการกำหนดชุดคำสั่งและแนวทางปฏิบัติงานให้อุปกรณ์หรือชุดอุปกรณ์ทำหน้าที่ประมวลผลข้อมูลโดยอัตโนมัติ จากความหมายของคำว่า “ระบบคอมพิวเตอร์” ข้างต้น ระบบคอมพิวเตอร์จึงได้แก่ฮาร์ดแวร์และซอฟต์แวร์ที่พัฒนาขึ้นเพื่อประมวลผลข้อมูลดิจิทัล (digital data) อันประกอบด้วยเครื่องคอมพิวเตอร์ และอุปกรณ์รอบข้าง (peripheral) ต่างๆ ในการรับเข้าหรือป้อนข้อมูล (input) นำออกหรือแสดงผลข้อมูล (output) และบันทึกหรือเก็บข้อมูล (store and record) ดังนั้น ระบบคอมพิวเตอร์จึงอาจเป็นอุปกรณ์เพียงเครื่องเดียว หรือหลายเครื่องอันมีลักษณะเป็นชุดเชื่อมต่อกันโดยอาจผ่านระบบเครือข่าย และมีลักษณะการทำงานโดยอัตโนมัติตามโปรแกรมที่กำหนดไว้ และไม่มีการแทรกแซงโดยตรงจากมนุษย์ ส่วนโปรแกรมคอมพิวเตอร์จะหมายถึงชุดคำสั่งที่ทำหน้าที่สั่งการให้คอมพิวเตอร์ทำงาน

31          “ข้อมูลคอมพิวเตอร์” หมายความว่า ข้อมูล ข้อความ หรือชุดคำสั่ง บรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้         ข้อมูลคอมพิวเตอร์ ไม่ใช่เฉพาะตัวอักขระ หรือข้อความที่สื่อความหมาย อ่านเข้าใจได้ที่หน้าจอภาพ (monitor) เท่านั้น แต่เป็นข้อมูลดิจิทัลที่อยู่ในระบบคอมพิวเตอร์ และอยู่ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้          “ข้อมูลจราจรทางคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่นๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น         ข้อมูลจราจรทางคอมพิวเตอร์ (traffic data) เป็นข้อมูลคอมพิวเตอร์ที่แสดงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรือข้อมูลอื่นที่เกี่ยวกับการติดต่อสื่อสาร ข้อมูลจราจรทางคอมพิวเตอร์จะมีความสำคัญต่อการปฏิบัติหน้าที่ของพนักงานเจ้าหน้าที่ในการสืบสวนสอบสวนหาตัวผู้กระทำความผิด เป็นช่องทางในการสืบเสาะหาร่องรอยของการกระทำผิดได้

32 พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550
พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ ประกอบด้วย 2 หมวดหลัก : หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์ : ประกอบด้วย มาตรา 5 – มาตรา 17 กำหนดฐานความผิดเกี่ยวกับคอมพิวเตอร์ ได้แก่ การเข้าถึงระบบคอมพิวเตอร์หรือข้อมูลคอมพิวเตอร์อันเป็นความผิด การลักลอบดักข้อมูล การทำให้ข้อมูลคอมพิวเตอร์เสียหาย การรบกวนระบบคอมพิวเตอร์ การจำหน่ายหรือเผยแพร่ชุดคำสั่งที่ใช้เป็นเครื่องมือในการกระทำความผิด และการเผยแพร่ข้อมูลที่ไม่เหมาะสมในระบบคอมพิวเตอร์ หมวด 2 พนักงานเจ้าหน้าที่ : ประกอบด้วย มาตรา 18 – มาตรา 30 กำหนดอำนาจหน้าที่ของพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้ กำหนดวิธีปฏิบัติหน้าที่ของพนักงานเจ้าหน้าที่ การรับฟังพยานหลักฐานของศาล และบทบัญญัติอันเป็นความผิดเกี่ยวกับพนักงานเจ้าหน้าที่

33 หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์
พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550 หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์ ความผิดเกี่ยวกับคอมพิวเตอร์ เป็นการเข้าถึงระบบคอมพิวเตอร์หรือข้อมูลคอมพิวเตอร์อันเป็นความผิด การลักลอบดักข้อมูล การทำให้ข้อมูลคอมพิวเตอร์เสียหาย การรบกวนระบบคอมพิวเตอร์ การจำหน่ายหรือเผยแพร่ชุดคำสั่งที่ใช้เป็นเครื่องมือในการกระทำความผิด และการเผยแพร่ข้อมูลที่ไม่เหมาะสมในระบบคอมพิวเตอร์ พร้อมทั้งระบุถึงการกระทำความผิดตามพระราชบัญญัตินี้นอกราชอาณาจักร สามารถวิเคราะห์รายละเอียดแต่ละมาตรา ได้ดังนี้ หมวด 1 ประกอบด้วย มาตรา 5 – มาตรา 17 ดังการวิเคราะห์เป็นรายมาตราดังต่อไปนี้

34 การเข้าถึงระบบคอมพิวเตอร์หรือข้อมูลคอมพิวเตอร์อันเป็นความผิด (มาตรา 5 – มาตรา 7)
        การเข้าถึง (access) ระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน เป็นความผิดตามมาตรา ๕ หากเป็นการเข้าถึงข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะ และมาตรการนั้นมิได้มีไว้สำหรับตน เป็นความผิดตามมาตรา ๗ และถ้าผู้ที่ล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะ นำมาตรการดังกล่าวไปเปิดเผยโดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น เป็นความผิดตามมาตรา ๖         ในการประชุมของคณะกรรมการกฤษฎีกา นักวิชาการ-ผู้เชี่ยวชาญทางคอมพิวเตอร์ท่านหนึ่งได้เปรียบเทียบความผิดข้างต้นไว้น่าฟังว่า หากเปรียบระบบคอมพิวเตอร์เป็นบ้านหลังหนึ่ง การเข้าถึงระบบคอมพิวเตอร์อันเป็นความผิดตามมาตรา ๕ นั้น ก็เสมือนกับการบุกรุกเข้าไปในบ้านของผู้อื่น การเข้าถึงข้อมูลคอมพิวเตอร์อันเป็นความผิดตามมาตรา ๗ ก็เสมือนว่าผู้บุกรุกนั้นนอกจากจะเข้าไปในบ้านหลังนั้นได้แล้ว ยังได้เข้าไปรื้อค้นเอกสารในตู้เก็บเอกสารในนั้นด้วย ส่วนความผิดตามมาตรา ๖ นั้น เสมือนเป็นการนำกุญแจผีที่ไขเข้าไปในบ้านได้ แจกจ่ายให้กับบุคคลอื่นนั่นเอง

35 การเข้าถึงนี้ อาจเป็นการเข้าถึงโดยผู้กระทำผิดรู้หรือได้รหัสผ่านของข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์มาโดยมิชอบ แล้วทำการเข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์นั้น หรืออาจเป็นการเข้าถึงผ่านระบบเครือข่าย ผู้กระทำผิดอาจเป็นผู้มีความรู้ด้านคอมพิวเตอร์ดีพอที่จะเจาะมาตรการป้องกันการเข้าถึงข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์นั้นได้ สังเกตว่ากฎหมายฉบับนี้เอาผิดกับนักเลงคอมพิวเตอร์ตั้งแต่พยายามเจาะ (hacking or cracking) เข้าไปในระบบของผู้อื่นเลยทีเดียว ไม่คำนึงว่าเข้าไปโดยประสงค์อย่างไร เพียงแต่เข้าถึงระบบคอมพิวเตอร์หรือข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงไว้ ก็เป็นความผิดสำเร็จทันที         บางกรณีการกระทำความผิดฐานเข้าถึงข้อมูลคอมพิวเตอร์ตามมาตรา ๗ อาจไม่จำต้องกระทำผิดฐานเข้าถึงระบบคอมพิวเตอร์ตามมาตรา ๕ ก่อนก็ได้ เช่น การเอาแผ่นบันทึกข้อมูลของผู้อื่นที่มีการตั้งรหัสผ่านไว้ไปเปิดอ่านในระบบคอมพิวเตอร์ของตนเอง        

36 การลักลอบดักรับข้อมูล (มาตรา 8)
การลักลอบดักรับข้อมูล (มาตรา 8)   การกระทำด้วยวิธีการทางอิเล็กทรอนิกส์ เพื่อดักรับ(interception)ไว้ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้นั้น เป็นความผิดตามมาตรา ๘ การกระทำความผิดตามมาตรานี้เป็นการละเมิดสิทธิความเป็นส่วนตัวในการติดต่อสื่อสาร (The Right of Privacy of Data Communication) ของบุคคล มาตรานี้บัญญัติขึ้นเพื่อเอาผิดกับการลักลอบเข้าไปดักรับข้อมูลคอมพิวเตอร์ของผู้อื่น โดยผู้กระทำอาจจะต้องการทราบรหัสผ่าน (Password) ของผู้อื่น หรือเพื่อฉวยโอกาสละเมิดข้อมูลส่วนบุคคล (Private Data) เพื่อประโยชน์ทางธุรกิจหรือข้อมูลความลับทางการค้าใดๆ เช่น การใช้โปรแกรมจำพวก Spy wear, Sniffer, Trojan horse ในการลักลอบดูพฤติกรรมการใช้คอมพิวเตอร์ของผู้อื่น หรือลอบเก็บรหัสผ่านที่กดบนแป้นพิมพ์คอมพิวเตอร์ เป็นต้น         หากข้อมูลคอมพิวเตอร์นั้น เป็นข้อมูลที่มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้ (Public Transmission) เช่น เป็นข้อมูลที่เผยแพร่ทั่วไปในเว็บต่างๆ การดักรับซึ่งข้อมูลเหล่านี้ไม่เป็นความผิด ข้อยกเว้นความผิดอีกประการหนึ่งก็คือ การดักรับข้อมูลคอมพิวเตอร์ตามคำสั่งเฉพาะของเจ้าของข้อมูลคอมพิวเตอร์ อาจเป็นการว่าจ้างให้มีการตรวจสอบข้อมูลคอมพิวเตอร์ใดๆ ก่อนที่จะส่งให้กับเจ้าของข้อมูล เพื่อป้องกันความเสียหายจากไวรัสคอมพิวเตอร์ที่ติดมากับข้อมูลคอมพิวเตอร์นั้น หรือเพื่อวัตถุประสงค์อย่างอื่นตามที่ตกลงกันไว้ก็ได้

37 การทำให้ข้อมูลคอมพิวเตอร์เสียหาย (มาตรา 9)
การทำให้ข้อมูลคอมพิวเตอร์เสียหาย (มาตรา 9)         การกระทำโดยมิชอบ ทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลงหรือเพิ่มเติมไม่ว่าทั้งหมดหรือแต่บางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่น เป็นความผิดตามมาตรา ๙         บทบัญญัติมาตรานี้มีวัตถุประสงค์เพื่อคุ้มครองความครบถ้วนถูกต้อง (integrity) ของข้อมูลคอมพิวเตอร์ การทำงานโดยใช้ข้อมูลที่ไม่ถูกต้องครบถ้วนนั้นย่อมทำให้การประมวลผลได้ผลลัพธ์ที่ผิดพลาด ความผิดตามมาตรานี้ นอกจากจะทำความเสียหายต่อข้อมูลในแง่ของการทำให้ข้อมูลนั้นสื่อความหมายผิดพลาดแล้ว ยังครอบคลุมถึงการทำให้โปรแกรมคอมพิวเตอร์เสียหาย รวมทั้งอาจมีผลทำให้ระบบคอมพิวเตอร์ได้รับความเสียหายด้วย         ระดับความเสียหายของการกระทำความผิดจึงอาจมากน้อยต่างกัน ขึ้นอยู่กับระดับความสำคัญของระบบคอมพิวเตอร์ที่เป้าหมายในการกระทำผิด (the target of crime) กฎหมายได้คำนึงถึงความแตกต่างในเรื่องนี้จึงได้กำหนดให้การกระทำความผิดตามมาตรานี้ ต้องเป็นการกระทำโดยมิชอบ หากเป็นการกระทำโดยสุจริต กระทำไปโดยมิได้มีเจตนาร้าย เช่น การแก้ไขข้อมูลคอมพิวเตอร์ที่เป็นประวัติของคนไข้ให้ถูกต้องตรงตามความเป็นจริง โดยไม่มีความเสียหายเกิดขึ้น ตรงข้ามกลับเป็นคุณแก่ผู้ป่วย ถือว่ามิใช่การกระทำโดยมิชอบ จึงไม่เป็นความผิดตามมาตรานี้ หรือถ้าการกระทำความผิดตามมาตรานี้ เป็นเหตุให้เกิดความเสียหายแต่เพียงเล็กน้อย กฎหมายก็บัญญัติไว้ให้เป็นความผิดอันยอมความได้ เพื่อให้ผู้เสียหายตัดสินใจว่าจะดำเนินคดีต่อผู้กระทำความผิดหรือไม่         อย่างไรก็ตาม หากการกระทำดังกล่าวเป็นการกระทำต่อระบบคอมพิวเตอร์ที่มีความสำคัญหรือทำให้เกิดความเสียหายร้ายแรง ผู้กระทำต้องระวางโทษหนักขึ้นตามมาตรา ๑๑ และไม่ใช่ความผิดอันยอมความได้

38 การรบกวนการทำงานของระบบคอมพิวเตอร์ (มาตรา 10 - มาตรา12 )
        การกระทำด้วยประการใดๆ อันเป็นการทำให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทำงานตามปกติได้ เป็นความผิดตามมาตรา ๑๐ มาตรานี้เป็นบทบัญญัติที่ต้องการที่จะคุ้มครองเสถียรภาพหรือความพร้อมในการใช้งานของระบบคอมพิวเตอร์ ให้สามารถทำงานได้ตามปกติ ตัวอย่างของการกระทำความผิดตามมาตรานี้ เช่น การส่งข้อมูลเข้าไปในระบบคอมพิวเตอร์ใดเป็นปริมาณมหาศาลเพื่อให้ระบบคอมพิวเตอร์นั้นทำงานไม่ได้ หรือทำงานไม่ได้ตามปกติ         การกระทำความผิดตามมาตรานี้หากเป็นการกระทำต่อระบบคอมพิวเตอร์ที่มีความสำคัญหรือทำให้เกิดความเสียหายอย่างร้ายแรง ผู้กระทำต้องระวางโทษหนักขึ้นตามมาตรา ๑๑ ด้วย ถ้าการกระทำความผิดตามมาตรา ๙ หรือ มาตรา ๑๐ ก่อให้เกิดความเสียหายแก่ประชาชน ต่อข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์ ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะ หรือเป็นการกระทำต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีไว้เพื่อประโยชน์สาธารณะ เป็นเหตุให้ผู้อื่นถึงแก่ความตาย ต้องระวางโทษหนักขึ้นทั้ง มาตรา ๙, มาตรา ๑๐, มาตรา ๑๑ และ มาตรา ๑๒ ด้วย

39 การจำหน่ายหรือเผยแพร่ชุดคำสั่งที่ใช้เป็นเครื่องมือในการกระทำความผิด (มาตรา 13)
        มาตรา ๑๓ บัญญัติให้การจำหน่ายหรือเผยแพร่ชุดคำสั่งที่จัดทำขึ้นเพื่อใช้เป็นเครื่องมือในการกระทำความผิด ตามมาตรา ๕ ถึงมาตรา ๑๐ เป็นความผิดต้องระวางโทษตามมาตรา ๑๓         ชุดคำสั่งตามมาตรานี้ อาจเป็นโปรแกรมคอมพิวเตอร์ที่ใช้ในการกระทำความผิด เช่น ไวรัสคอมพิวเตอร์ สังเกตว่า การจำหน่ายหรือเผยแพร่ชุดคำสั่งที่จะเป็นความผิดนั้น ต้องเป็นชุดคำสั่งที่จัดทำขึ้นเฉพาะเพื่อใช้เป็นเครื่องมือในการกระทำความผิด (a tool in the commission of crime) เช่น การจำหน่ายโปรแกรมคอมพิวเตอร์ที่มีไว้สำหรับดักรับข้อมูลคอมพิวเตอร์ของผู้อื่น หรือจำหน่ายโปรแกรมคอมพิวเตอร์ที่ทำขึ้นเพื่อใช้ในการเจาะระบบคอมพิวเตอร์ของผู้อื่น หากเป็นโปรแกรมในการทำงานทั่วไป แต่ผู้กระทำความผิดนำโปรแกรมนั้นมาใช้ในการกระทำความผิดเอง ผู้จำหน่ายหรือเผยแพร่โปรแกรมก็ไม่มีความผิดตามมาตรานี้

40 การนำข้อมูลคอมพิวเตอร์ที่ไม่เหมาะสมเข้าสู่ระบบคอมพิวเตอร์ (มาตราที่ 14 - มาตรา 16)
        ความผิดในการนำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ที่ไม่เหมาะสมนั้น กฎหมายบัญญัติไว้ในมาตรา ๑๔ ถึง มาตรา ๑๖ โดยมาตรา ๑๔ บัญญัติถึงการนำข้อมูลคอมพิวเตอร์ที่ไม่เหมาะสมต่างๆเข้าสู่ระบบคอมพิวเตอร์ (๑) ข้อมูลคอมพิวเตอร์ปลอม ไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน (๒)   นำเข้าสู่ระบบคอมพิวเตอร์ ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศ หรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน (๓)   นำเข้าสู่ระบบคอมพิวเตอร์ ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ อันเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักร หรือความผิดเกี่ยวกับการก่อการร้าย ตามประมวลกฎหมายอาญา (๔)   นำเข้าสู่ระบบคอมพิวเตอร์ ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ ที่มีลักษณะอันลามก และข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้ (๕)   เผยแพร่ หรือส่งต่อ ซึ่งข้อมูลคอมพิวเตอร์ โดยรู้อยู่แล้วว่าเป็นข้อมูลคอมพิวเตอร์ตาม (๑) (๒) (๓) หรือ (๔)       

41         ตัวอย่างของการกระทำความผิดตามมาตรา ๑๔ นี้ที่เกิดขึ้นบ่อยคือ การโพสต์ (post) ข้อความเพื่อหลอกลวงผู้อื่นผ่านทางเว็บบอร์ดในอินเทอร์เน็ต หรือการทำเว็บไซต์ลามกอนาจาร เป็นต้น         จากบทบัญญัติมาตรา ๑๔ ที่เอาผิดกับการนำข้อมูลอันไม่เหมาะสมเข้าสู่ระบบคอมพิวเตอร์ ดังนั้น ระบบคอมพิวเตอร์จึงเป็นเสมือนพื้นที่ในการกระทำความผิด กฎหมายจึงได้กำหนดให้ผู้ให้บริการซึ่งเปรียบเป็นเจ้าของพื้นที่ดังกล่าวมีหน้าที่จัดการลบข้อมูลคอมพิวเตอร์ที่ไม่เหมาะสมนั้นออกจากพื้นที่ให้บริการของตนในทันทีที่รู้ถึงการกระทำความผิดตามมาตรา ๑๔ โดยหากผู้ให้บริการรู้แล้ว และยังไม่จัดการลบเสียในทันทีหรือในโอกาสแรกที่สามารถลบได้ ก็ต้องรับโทษตามมาตรา ๑๕

42 มาตรา ๑๖ บัญญัติไว้ เพื่อเอาผิดกับผู้ที่นำเข้าข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น อันเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ ดัดแปลง โดยประการที่น่าจะทำให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ถ้าการกระทำนั้น เป็นการนำเข้าข้อมูลคอมพิวเตอร์โดยสุจริต ผู้กระทำไม่มีความผิด หรือเป็นความผิดเป็นความผิดอันยอมความได้ ถ้าผู้เสียหายในความผิดตามวรรคหนึ่งตายเสียก่อนร้องทุกข์ ให้บิดา มารดา คู่สมรส หรือบุตรของผู้เสียหายร้องทุกข์ได้ และให้ถือว่าเป็นผู้เสียหาย

43 ความแตกต่างระหว่างมาตรา ๑๔ กับ มาตรา ๑๖
ความผิดตามมาตรา ๑๔ นี้คล้ายกับจะเป็นการหมิ่นประมาททางระบบคอมพิวเตอร์ แต่ก็ไม่ถึงกับทับทาบกันในทุกองค์ประกอบความผิดตามมาตรา ๑๖ เสียทีเดียว บทบัญญัติทั้งสองมาตราดังกล่าวมีความแตกต่างกันอยู่หลายประการ กล่าวคือ ความผิดฐานหมิ่นประมาทตามประมวลกฎหมายอาญา ต้องมีการใส่ความผู้อื่นต่อบุคคลที่สาม แต่ความผิดตามมาตรา ๑๖ เป็นการนำข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น ที่เกิดจากการสร้างขึ้น ตัดต่อ เติมหรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือด้วยวิธีอื่นใดเข้าสู่ระบบคอมพิวเตอร์ โดยประการที่น่าจะทำให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง การกระทำดังกล่าวอาจไม่เป็นการใส่ความใดๆ ต่อบุคคลที่สามก็ได้ ดังนั้น หากการกระทำการใด ๆ ทำให้ผู้อื่นนั้นได้รับความอับอายก็เป็นความผิดตามมาตรา ๑๖ แล้ว ตัวอย่างของการกระทำความผิดตามมาตรานี้ เช่น การนำภาพใบหน้าของดารา นักแสดง หรือบุคคลที่มีชื่อเสียงมาตัดต่อกับภาพเปลือยของคนอื่น ทำให้ดารา นักแสดง หรือบุคคลนั้น เสียชื่อเสียง หรือได้รับความอับอาย

44 ผู้กระทำความผิดอยู่นอกราชอาณาจักร (มาตราที่ 17)
มาตรา ๑๗ บัญญัติไว้ หากผู้กระทำความผิดตามพระราชบัญญัตินี้อยู่นอกราชอาณาจักร และ (๑)   ผู้กระทำความผิดนั้นเป็นคนไทย และรัฐบาลแห่งประเทศที่ความผิดได้เกิดขึ้นหรือผู้เสียหายได้ร้องขอให้ลงโทษ หรือ (๒)   ผู้กระทำความผิดนั้นเป็นคนต่างด้าว และรัฐบาลไทยหรือคนไทยเป็นผู้เสียหายและผู้เสียหายได้ร้องขอให้ลงโทษ จะต้องรับโทษภายในราชอาณาจักร

45 รูปแบบการกระทำความผิด
ตัวอย่างรูปแบบการกระทำความผิด ตัวอย่างผลกระทบต่อความมั่นคงปลอดภัย & ความเสียหาย ฐานความผิด สปายแวร์ (Spyware) สนิฟเฟอร์ (Sniffer) การสอดแนมข้อมูลส่วนตัว การแอบดักฟัง packet มาตรา 5 เข้าถึงระบบคอมพิวเตอร์ มาตรา 6 เปิดเผยมาตรการป้องกันระบบ มาตรา 7 เข้าถึงข้อมูลคอมพิวเตอร์ มาตรา 8 ดักรับข้อมูลคอมพิวเตอร์ การใช้ชุดคำสั่งในทางมิชอบ (Malicious Code) เช่น Viruses, Worms, Trojan Horses การตั้งเวลาให้โปรแกรมทำลายข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ การทำให้ระบบคอมพิวเตอร์ทำงานผิดปกติไปจากเดิ หรือหยุดทำงาน (Denial of Service) มาตรา 9 รบกวน ทำลาย ข้อมูลคอมพิวเตอร์ มาตรา 10 รบกวน ทำลาย ระบบคอมพิวเตอร์ สแปมมิ่ง (Spamming) - รบกวนการใช้ระบบคอมพิวเตอร์ตามปกติด้วยการส่ง Spam Mails มาตรา 11 การทำแสปม

46 รูปแบบการกระทำความผิด
ตัวอย่างรูปแบบการกระทำความผิด ตัวอย่างผลกระทบต่อความมั่นคงปลอดภัย & ความเสียหาย ฐานความผิด ถ้าการกระทำความผิดตามมาตรา ๙ หรือมาตรา ๑๐ ผลกระทบต่อความมั่นคงปลอดภัยของประเทศ หรือทางเศรษฐกิจ ความปลอดภัยสาธารณะ การบริการสาธารณะ มาตรา 12 เหตุฉกรรจ์ อันเกิดจากการกระทำข้างต้น ถ้าการกระทำความผิดตาม๑๒ (๒) เป็นเหตุให้ผู้อื่นถึงแก่ความตาย ต้องระวางโทษจำคุกตั้งแต่สิบปีถึงยี่สิบปี โปรแกรมเจาะระบบ (Hacking Tools) - นำไปใช้เจาะระบบคอมพิวเตอร์เพื่อก่ออาชญากรรมรูปแบบต่าง ๆ มาตรา 13 การจำหน่ายหรือเผยแพร่ชุดคำสั่งไม่พึงประสงค์ การโพสต์กระทู้เท็จในเว็บบอร์ด ส่งผลกระทบต่อระบบเศรษฐกิจ ก่อให้เกิดความตื่นตระหนกกับสังคม ก่อให้เกิดความเสื่อมเสียต่อสถาบันพระมหากษัตริย์ ก่อให้เกิดภาพอันลามก มีการส่งต่อข้อมูลที่เป็นความผิดข้างต้น มาตรา 14 การนำเข้าสู่ระบบคอมพิวเตอร์ ซึ่งข้อมูลคอมพิวเตอร์ปลอม, เท็จ หรือไม่เหมาะสม หรือการส่งต่อข้อมูล (forward) นั้น

47 รูปแบบการกระทำความผิด
ตัวอย่างรูปแบบการกระทำความผิด ตัวอย่างผลกระทบต่อความมั่นคงปลอดภัย & ความเสียหาย ฐานความผิด การโพสต์หรือนำเข้าข้อมูลคอมพิวเตอร์ ตามมาตรา 14 เป็นเครื่องมือหรือแพร่กระจายความเสียหายต่อบุคคลอื่น มาตรา 15 ความรับผิดฐานสนับสนุนการกระทำความผิดของผู้ให้บริการ การตัดต่อภาพ ผู้ถูกกระทำถูกดูหมิ่น ถูกเกลียดชัง หรืออับอาย มาตรา 16 การตัดต่อภาพ เป็นเหตุให้ถูกดูหมิ่น ถูกเกลียดชัง หรืออับอาย

48 หมวดที่ 1 สรุปความผิดเกี่ยวกับคอมพิวเตอร์
ฐานความผิดและบทลงโทษสำหรับการกระทำโดยมิชอบ มาตรา ๕ การเข้าถึงระบบคอมพิวเตอร์ มาตรา ๖ การล่วงรู้มาตรการป้องกันการเข้าถึงและนำไปเปิดเผย มาตรา ๗ การเข้าถึงข้อมูลคอมพิวเตอร์ มาตรา ๘ การดักข้อมูลคอมพิวเตอร์โดยมิชอบ มาตรา ๙ การรบกวนข้อมูลคอมพิวเตอร์ มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์ มาตรา ๑๑ แสปมเมล์ มาตรา ๑๒ การกระทำความผิดต่อความมั่นคง มาตรา ๑๓ การจำหน่าย/เผยแพร่ชุดคำสั่งเพื่อใช้กระทำความผิด มาตรา ๑๔ การปลอมแปลงข้อมูลคอมพิวเตอร์/เผยแพร่เนื้อหาอันไม่เหมาะสม มาตรา ๑๕ ความรับผิดชอบของผู้ให้บริการ มาตรา ๑๖ การเผยแพร่ภาพจากการตัดต่อ/ดัดแปลง รวม ๑๒ มาตรา และเพิ่มเติมอีก ๑ มาตรา คือมาตรา ๑๗ อันเกี่ยวกับการกระทำผิดนอกราชอาณาจักร และลงโทษในราชอาณาจักร

49 หมวดที่ 2 พนักงานเจ้าหน้าที่
กำหนดอำนาจหน้าที่ของพนักงานเจ้าหน้าที่และหน้าที่ของผู้ให้บริการ มาตรา ๑๘ อำนาจของพนักงานเจ้าหน้าที่ มาตรา ๑๙ การตรวจสอบการใช้อำนาจของพนักงานเจ้าหน้าที่ มาตรา ๒๐ การใช้อำนาจในการ block เว็บไซต์ที่มีเนื้อหากระทบต่อความมั่นคง หรือขัดต่อความสงบเรียบร้อย มาตรา ๒๑ การห้ามเผยแพร่/จำหน่าย ชุดคำสั่งไม่พึงประสงค์ มาตรา ๒๒ ห้ามมิให้พนักงานเจ้าหน้าที่ เผยแพร่ข้อมูลที่ได้ตามมาตรา ๑๘ มาตรา ๒๓ พนักงานเจ้าหน้าที่ประมาทเป็นเหตุให้ผู้อื่นล่วงรู้ข้อมูล มาตรา ๒๔ ความรับผิดชอบของผู้ล่วงรู้ข้อมูลของผู้ใช้บริการที่พนักงาน เจ้าหน้าที่ได้มาตามมาตรา ๑๘ และนำไปเปิดเผย มาตรา ๒๕ ห้ามมิให้รับฟังพยานหลักฐานที่ได้มาโดยมิชอบ มาตรา ๒๖ – ๒๗ หน้าที่ผู้ให้บริการในการเก็บข้อมูลจราจรทางคอมพิวเตอร์และความ รับผิดชอบ หากไม่ปฏิบัติตามหน้าที่ มาตรา ๒๘ การแต่งตั้งพนักงานเจ้าหน้าที่ มาตรา ๒๙ การรับคำร้องทุกข์กล่าวโทษ จับ ควบคุม ค้น & การกำหนดระเบียบ/ แนวทางและวิธีปฏิบัติ มาตรา ๓๐ การปฏิบัติหน้าที่ของพนักงานเจ้าหน้าที่ รวมทั้งสิ้น 13 มาตรา

50 การตรากฎกระทรวง & ประกาศ/ระเบียบ
กฏกระทรวงกำหนดหนังสือยึดหรืออายัติระบบคอมพิวเตอร์ (มาตรา ๑๙) ประกาศห้ามจำหน่ายหรือเผยแพร่ชุดคำสั่งไม่พึงประสงค์ (มาตรา ๒๑) ประกาศหลักเกณฑ์การเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ของผู้ให้บริการ (มาตรา ๒๖) ประกาศว่าด้วยหลักเกณฑ์เกี่ยวกับคุณสมบัติพนักงานเจ้าหน้าที่ (มาตรา ๒๘) ระเบียบเกี่ยวกับแนวทางและวิธีปฏิบัติในการจับ ควบคุม ค้น การทำสำเนาสอบสวนและดำเนินคดี (มาตรา ๒๙)

51 ประกาศหลักเกณฑ์การเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ของผู้ให้บริการ
วัตถุประสงค์ ออกภายใต้มาตรา ๒๖ ข้อมูลจราจรทางคอมพิวเตอร์เป็นพยานหลักฐานสำคัญต่อการนำตัวผู้กระทำผิดมาลงโทษ ประเภทผู้ให้บริการ แบ่งเป็น 2 ประเภทใหญ่ ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น แบ่งออกเป็น ผู้ประกอบกิจการโทรคมนาคม (Telecommunication Carrier) ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider) ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือให้เช่าบริการโปรแกรมประยุกต์ต่างๆ (Host Service Provider) ผู้ให้บริการในการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลตาม 1. ข้างต้น เช่น ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอปพลิเคชั่นต่าง ๆ (Content Service Provider)

52 ประกาศหลักเกณฑ์การเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ของผู้ให้บริการ (ต่อ)
ข้อมูลที่ต้องเก็บ เก็บข้อมูลจราจรที่สามารถระบุผู้ใช้บริการเป็นรายบุคคลได้ รูปแบบการเก็บ ต้องเก็บในสื่อที่รักษา Integrity/Confidentiality/Identification บทเฉพาะกาล เริ่มเก็บ 30 วัน/90 วัน/1 ปี นับจากวันประกาศในราชกิจจานุเบกษา

53 ประกาศว่าด้วยหลักเกณฑ์เกี่ยวกับคุณสมบัติพนักงานเจ้าหน้าที่
วัตถุประสงค์ ออกภายใต้มาตรา ๒๘ เพื่อให้การแต่งตั้งพนักงานเจ้าหน้าที่มีความชัดเจนและมีการปฏิบัติหน้าที่เป็นไปอย่างมีประสิทธิภาพ พนักงานเจ้าหน้าที่ หมายความว่า ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติตามพระราชบัญญัติว่าด้วยการกระทำความทางคอมพิวเตอร์ พ.ศ แบ่งเป็น พนักงานเจ้าหน้าที่ซึ่งรับผิดชอบงานด้านกฎหมายและการปราบปราม คุณวุฒิ – ปริญญาโท เอกสาขานิติศาสตร์/เนติบัณฑิต/หรือ ปริญญาตรีนิติศาสตร์ หรือรัฐศาสตร์ และเคยเป็นพนักงานสอบสวน 2. พนักงานเจ้าหน้าที่ซึ่งรับผิดชอบงานด้านเทคนิค คุณวุฒิ – วิศวกรรมศาสตร์ วิทยาศาสตร์ วิทยาการคอมพิวเตอร์ เทคโนโลยีสารสนเทศ สถิติศาสตร์ หรือ สาขาที่เกี่ยวข้อง

54 ประกาศว่าด้วยหลักเกณฑ์เกี่ยวกับคุณสมบัติพนักงานเจ้าหน้าที่ (ต่อ)
ข้อยกเว้นจากคุณวุฒิสองข้อข้างต้น คุณวุฒิ ผ่านการอบรมหลักสูตร Cyber Security Management ได้แก่ CISSP (Certified Information Systems Security Professional) , CompTIA Security+, CISM, CISA ผ่านการอบรม Computer forensics

55 Vendor-neutral Certification ทางด้าน IT Security
Vendor-neutral certification หมายถึง certification ประเภทที่ไม่ยึดติดหรือมีเนื้อหาของข้อสอบที่เกี่ยวกับเทคโนโลยีของบริษัทใดเพียงบริษัทเดียว เนื้อหาของ cert ประเภทนี้จะเป็นลักษณะที่เน้นทางด้านวิชาการ ภาพรวมหรือ concept โดยสามารถนำความรู้เหล่านี้ไปประยุกต์ใช้กับเทคโนโลยีของบริษัทไอทีต่างๆ ได้ ซึ่ง cert ทางด้าน IT Security มักจะเป็นแบบ vendor-neutral เพราะว่าการรักษาความปลอดภัยของระบบไอทีนั้น เป็นส่วนหนึ่งของทุกๆ เทคโนโลยีภายในองค์กร ไม่ว่าจะเป็น software หรือ hardware ก็ตาม และผู้ที่ทำงานด้าน IT Security ก็ควรที่จะมีความรู้ในหลายๆ ด้าน ไม่ว่าจะเป็นด้าน OS (เช่น Windows และ Linux) หรือ Networking (เช่น Firewall, IDS/IPS และ Anti-Spam) เพื่อที่จะสามารถวางแผนการป้องกันระบบไอทีจากการถูกโจมตีหรือถูกแฮกให้ได้มีประสิทธิภาพในทุกๆ ด้าน ดังนั้น เนื้อหาของข้อสอบด้าน IT Security มักจะเป็นการผสมผสานกันขององค์ความรู้ไอทีของหลายๆ ค่ายเข้ามาไว้ด้วยกัน

56 Vendor-neutral Certification ทางด้าน IT Security (ต่อ)
2. Certified Information Systems Auditor (CISA) Certified Information Security Manager (CISM) CISA และ CISM เป็น cert ระดับใหญ่ขึ้นมา เป็นของค่าย ISACA กลุ่มเป้าหมายของผู้สอบแบ่งออกเป็นสองประเภท สำหรับ CISA เป็นวุฒิบัตรสำหรับผู้ที่ประกอบวิชาชีพด้านการตรวจสอบ ควบคุม และรับรองระบบการรักษาความปลอดภัยของระบบสารสนเทศ จะเหมาะกับคนที่ต้องทำงานเกี่ยวกับการตรวจสอบความปลอดภัยของระบบไอที (หรือที่เรียกว่าเป็น IT auditor) ส่วน CISM นั่นจะเหมาะกับคนที่เป็นผู้จัดการ (manager) หรือผู้บริหารที่คอยดูแลภาพรวมของความปลอดภัยของระบบไอทีภายในองค์กร ประเทศไทย ผู้สอบให้ความสนใจ CISA มากกว่า CISM เพราะว่าน่าจะใช้ประโยชน์และได้ความรู้มากกว่า ทั้งในเชิงวิชาการและเทคนิค และถ้ามีตำแหน่งงานที่ค่อนข้างสูงอยู่แล้ว หรือเป็นหัวหน้าทีมที่คอยดูแลการทำงานของผู้ปฏิบัติ ก็อาจเลือกสอบ CISM แทน

57 Vendor-neutral Certification ทางด้าน IT Security (ต่อ)
3. CISSP (Certified Information Systems Security Professional) ของค่าย (ISC)2 CISSP เป็น Cert ที่ใหญ่กว่า CISA (หลายคนก็มักจะสอบให้ได้ CISA แล้วก็ไปต่อด้วยการสอบ CISSP) กลุ่มเป้าหมายของ CISSP ก็จะเป็นคนทำงานในระดับ senior (ประสบการณ์ทำงานด้าน IT Security ตั้งแต่ 5 ปีขึ้นไป) ถ้ามีประสบการณ์ทำงานไม่ครบ 5 ปี ก็สามารถไปสอบ CISSP ได้ เพียงแต่ว่าพอสอบผ่านแล้ว จะยังไม่สามารถรับใบ Cert ของจริงได้ จนกว่าจะมีประสบการณ์ครบ 5 ปี ส่วนอีกทางเลือกหนึ่งสำหรับคนที่มีประสบการณ์ไม่ถึง 5 ปี สามารถสอบ SSCP (Systems Security Certified Practitioner) แทน ซึ่งเป็น Certificate ตัวน้องของ CISSP เพราะ SSCP มีความเข้มข้นแค่ประมาณ 50% ของ CISSP

58 CISSP หรือ Certified Information Systems Security Professional
CISSP หรือ Certified Information Systems Security Professional เป็นcert ของค่าย  International Information Systems Security Certification Consortium หรือ (ISC)² ซึ่งเป็น cert ที่ไม่ขึ้นกับกับvendor (vendor-neutral certification) เป็นที่ยอมรับกันอย่างกว้างขวาง ในวงการ Information Security ทั่วโลก ในแง่ของความรู้ และความยากในการสอบ เพราะด้วยเนื้อหาที่ต้องเข้าใจมีเป็นจำนวนมาก และผู้เข้าสอบต้องมีประสบการณ์ทางด้าน IT Security อย่างน้อย 5 ปี ถึงจะได้รับใบรับรองนี้ ซึ่งเนื้อหาจะเป็นภาพรวมๆทั้งหมดของ IT Sec ที่จำเป็นต้องรู้ แต่อาจจะไม่ได้ลงลึกในรายละเอียด (A mile wide and two inches deep) ทั่วโลกมีคนถือ certใบนี้ทั้งหมดประมาณ คน และประเทศไทยเรามี 174 คน (ข้อมูล 1 June 2015) ในขณะที่มาเลเซียมี 261 คน สิงคโปร์มี 1,311 คน (

59 Computer Forensics Computer Forensics คือ เป็นศาสตร์ทางด้านการสืบสวนที่เกี่ยวกับคอมพิวเตอร์ การเก็บหลักฐาน, การค้นหา, วิเคราะห์ และการนำเสนอหลักฐานทางดิจิทัลที่อยู่ในอุปกรณ์คอมพิวเตอร์และอิเล็กทรอนิกส์ เช่น ไฟล์ที่อยู่ในคอมพิวเตอร์,อุปกรณ์อิเล็กทรอนิกส์, โทรศัพท์มือถือ รวมถึงหลักฐานดิจิทัลที่ถูกสร้างจากระบบคอมพิวเตอร์ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถนำไปใช้ระบุผู้กระทำผิดจนถึงเป็นหลักฐานในการดำเนินคดีได้ ตามวิธีการ Computer Forensics หลักสำคัญคือหลักฐานทางดิจิทัลนั้น จะต้องใช้วิธีการที่ไม่มีการเปลี่ยนแปลงใดๆทั้งสิ้นแก่พยานหลักฐานดิจิทัล ต้นฉบับเดิม ดังนั้นผู้ที่ทำงานด้าน Computer Forensicsจะต้องรู้กระบวนการที่ถูกต้องและใช้เครื่องมือที่มีความน่าเชื่อถือเพื่อความสมบูรณ์และถูกต้องของพยานหลักฐาน สิ่งที่ได้จาก Computer Forensic - บ่งชี้ผู้ต้องสงสัยว่าเป็นผู้กระทำผิด - บ่งชี้ผู้สมคบคิดกับผู้กระทำผิด - บ่งชี้ websites ที่ผู้กระทำผิดเข้าไปใช้ - อีเมลที่มีการส่งและรับ - ไฟล์ที่ได้ถูกลบทิ้งและไฟล์ที่ซ่อนอยู่ - ข้อมูลส่วนบุคคล เช่น ข้อมูลด้านการเงิน, ที่อยู่ ฯลฯ - ความสามารถและความสนใจของของบุคคลนั้นๆ - พยานหลักฐาน การประกอบอาชญากรรมอื่นๆ

60 เหตุผลในการประกาศใช้พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560
เหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ โดยที่พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ มีบทบัญญัติบางประการที่ไม่เหมาะสมต่อการป้องกันและปราบปรามการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ในปัจจุบัน ซึ่งมีรูปแบบการกระทำความผิดที่มีความซับซ้อนมากขึ้นตามพัฒนาการทางเทคโนโลยีซึ่งเปลี่ยนแปลงอย่างรวดเร็วและโดยที่มีการจัดตั้งกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมซึ่งมีภารกิจในการกำหนดมาตรฐานและมาตรการในการรักษาความมั่นคงปลอดภัยไซเบอร์ รวมทั้งการเฝ้าระวังและติดตามสถานการณ์ด้านความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศและการสื่อสารของประเทศสมควรปรับปรุงบทบัญญัติในส่วนที่เกี่ยวกับผู้รักษาการตามกฎหมาย กำหนดฐานความผิดขึ้นใหม่ และแก้ไขเพิ่มเติมฐานความผิดเดิม รวมทั้งบทกำหนดโทษของความผิดดังกล่าว การปรับปรุงกระบวนการและหลักเกณฑ์ ในการระงับการทำให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ ตลอดจนกำหนดให้มีคณะกรรมการเปรียบเทียบ ซึ่งมีอำนาจเปรียบเทียบความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และแก้ไขเพิ่มเติมอำนาจหน้าที่ของพนักงานเจ้าหน้าที่ให้เหมาะสมยิ่งขึ้น จึงจำเป็นต้องตราพระราชบัญญัตินี้

61 ที่เกี่ยวกับความมั่นคงของประเทศ
หลักการใหม่ใน พระราชบัญญัติว่าด้วย การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 หัวข้อ พ.ร.บ. 2550 พ.ร.บ. 2560 ความผิดฐานส่งสแปมโดยปกปิดแหล่งที่มา ส่งสแปมถ้าไม่เปิดช่องทางให้บอกเลิก เพิ่มโทษปรับเป็น 200,000 บาท เพิ่มโทษปรับเป็นสองเท่า หากไม่เปิดช่องทางให้บอกเลิกได้ ความผิดต่อระบบความมั่นคง ไม่มีโทษเฉพาะ เพิ่มโทษการเจาะระบบ การทำลายระบบ ที่เกี่ยวกับความมั่นคงของประเทศ การนำเข้าข้อมูลเท็จตามมาตรา 14(1) เปิดช่องทางให้ตีความเอาผิดกับการหมิ่นประมาทออนไลน์ มุ่งเอาผิดการกระทำต่อทรัพย์สินชัดเจนขึ้น แต่ยังเปิดช่องทางให้ตีความเอาผิดกับการหมิ่นประมาทได้อยู่

62 หลักการใหม่ใน พระราชบัญญัติว่าด้วย การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560
หัวข้อ พ.ร.บ. 2550 พ.ร.บ. 2560 การนำเข้าข้อมูลเท็จที่กระทบต่อความมั่นคง เอาผิดกับการนำเข้าข้อมูลที่น่าจะ เสียหายต่อความมั่นึงของประเทศ ก่อให้เกิดความตื่นตระหนกแก่ประชาชน 1) เสียหายต่อความมั่นคงของประเทศ 2) เสียหายต่อความปลอดภัยสาธารณะ 3) เสียหายต่อความมั่นคงทางเศรษฐกิจ 4) ก่อให้เกิดความตื่นตระหนกแก่ประชาชน ผู้ให้บริการที่ไม่ลบเนื้อหาผิดกฎหมาย รับผิดต่อเมื่อจงใจสนับสนุนหรือยินยอม รับผิดต่อเมื่อให้ความร่วมมือ ยินยอม หรือรู้เห็นเป็นใจ ถ้าได้รับการแจ้งเตือนแล้วลบออก ไม่ต้องรับโทษ

63 หลักการใหม่ใน พระราชบัญญัติว่าด้วย การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560
หัวข้อ พ.ร.บ. 2550 พ.ร.บ. 2560 การเผยแพร่ภาพตัดต่อ ผิดเฉพาะภาพคนที่ยังมีชีวิต ภาพคนตาย ก็เอาผิดได้ ให้ทำลายภาพตัดต่อ ไม่ได้เขียนไว้ ให้ยึดและทำลายภาพตัดต่อได้ เนื้อหาที่จะถูก Block เป็นความผิดต่อความมั่นคงของประเทศ เป็นความผิดเกี่ยวกับการก่อการร้าย ขัดต่อความสงบเรียบร้อย หรือศีลธรรมอันดี เป็นความผิดตาม พ.ร.บ.คอมพิวเตอร์ฯ ทุกประเภท เป็นความผิดต่อกฎหมายอื่นที่ขัดต่อความสงบเรียบร้อยหรือศิลธรรมอันดี และเจ้าหน้าที่ตามกฎหมายนั้นร้องขอ ไม่เป็นความผิดกฎหมายแต่ขัดต่อความสงบเรียบร้อยหรือศิลธรรมอันดี และคณะกรรมการกลั่นกรองมีมติเอกฉันท์

64 หลักการใหม่ใน พระราชบัญญัติว่าด้วย การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560
หัวข้อ พ.ร.บ. 2550 พ.ร.บ. 2560 คณะกรรมการตามกฎหมายนี้ ไม่มี มีคณะกรรมการ 2 ชุด คณะกรรมการเปรียบเทียบปรับ สำหรับความผิดที่มีแต่โทษปรับ หรือโทษจำคุกไม่เกิน 2 ปี คณะกรรมการกลั่นกรองข้อมูลคอมพิวเตอร์ที่ไม่ผิดกฎหมายแต่ให้บล็อคได้ ผู้ให้บริการมีหน้าที่เก็บข้อมูลการใช้งาน เก็บไว้ไม่น้อยกว่า 90 วัน กรณีจำป็น สั่งให้เก็บเพิ่มเติมได้ไม่เกิน 1 ปี สั่งให้เก็บเพิ่มเติมได้ไม่เกิน 2 ปี เงินพิเศษสำหรับเจ้าพนักงาน มีเงินเพิ่มสำหรับผู้ดำรงตำแหน่งที่มีเหตุพิเศษ