เมื่อช่วงสัปดาห์ที่ผ่านมา มีประกาศสำคัญ 2 ฉบับที่เนื้อหาเกี่ยวข้องโดยตรงกับวิถีชีวิตประจำวันของคนในยุคข้อมูลข่าวสาร โดยเฉพาะผู้ที่ใช้อินเทอร์เน็ตเป็นประจำ ทั้งคนที่ทำธุรกรรมทางอินเทอร์เน็ต ใช้อินเทอร์เน็ตติดต่อราชการ รวมถึงประกาศทั้งสองฉบับนี้ย่อมเกี่ยวข้องต่อสิทธิพื้นฐานของคนเล่นอินเทอร์เน็ตทั่วไปไม่ทางตรงก็ทางอ้อม
ประกาศทั้ง 2 ฉบับที่ว่านี้ ฉบับหนึ่งคือ ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง หลักเกณฑ์และวิธีการในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553 อีกฉบับคือ ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานรัฐ พ.ศ. 2553
การแปลงข้อมูลให้เป็นอิเล็กทรอนิกส์
หลักเกณฑ์และวิธีการในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553 ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 26 ต.ค. 53
ประเด็นสำคัญ คือ การแปลงเอกสารและข้อความให้อยู่ในรูปของอิเล็กทรอนิกส์ จะต้องทำให้มีความหมายหรือรูปแบบเหมือนกับเอกสารและข้อความเดิม ด้วยวิธีการที่เชื่อถือได้ในการระบุตัวผู้แปลงที่รับผิดชอบในการแปลงนั้น และต้องมีมาตรการป้องกันมิให้มีการเปลี่ยนแปลงแก้ไข แต่มีข้อยกเว้นสำหรับการบันทึกเพิ่มเติมที่ไม่มีผลต่อความหมายของข้อมูลอิเล็กทรอนิกส์
โดยกำหนดมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลอิเล็กทรอนิกส์ว่าจะเชื่อถือได้ต่อเมื่อครอบคลุมหัวข้อต่อไปนี้
1. การระบุตัวตน (Identification)
2. การยืนยันตัวตน (Authentication)
3. อนุญาตเฉพาะผู้มีสิทธิเข้าถึง (Authorization)
4. ความรับผิดชอบต่อผลของการกระทำ (Accountability)
ในประกาศฉบับนี้มีข้อกำหนดแนบท้าย ซึ่งระบุถึงมาตรฐานขั้นต่ำ ซึ่งนอกจากความครบถ้วน (จำนวนหน้า การจัดเรียงลำดับ) ยังกำหนดมาตรฐานขั้นต่ำดังนี้
มาตรฐานขั้นต่ำเรื่องความละเอียดภาพ (Resolution)
– ภาพลายเส้นหรือภาพขาวดำ อย่างน้อย 150 จุดต่อนิ้ว (dpi)
– ภาพสีเทา อย่างน้อย 200 จุดต่อนิ้ว
– ภาพสี อย่างน้อย 300 จุดต่อนิ้ว
– ภาพสำหรับงานเว็บอย่างเดียว อย่างน้อย 72 จุดต่อนิ้ว
มาตรฐานขั้นต่ำเรื่องความละเอียดของสี (Bit Depth)
– ภาพขาวดำ ค่าความละเอียดของสีเท่ากับ 1 บิต
– ภาพสีเทา (Grayscale) ค่าความละเอียดของสีเท่ากับ 8 บิต
– ภาพสี ค่าความละเอียดของสีเท่ากับ 24 บิต
มาตรฐานขั้นต่ำสำหรับการแปลงสัญญาณอนาล็อกเป็นดิจิทัล กรณีเป็นเสียง มีอัตราสุ่มข้อมูลสัญญาณเสียงขั้นต่ำที่ 44.1 กิโลเฮิร์ตซ และจำนวนข้อมูลสัญญาณเสียงที่สุ่มขั้นต่ำที่ 16 บิต
ในกรณีข้อความเป็นวิดีทัศน์ มีมาตรฐานขั้นต่ำดังนี้
– อัตราการสุ่มข้อมูลตัวอย่างความสว่าง 5 ของแสง (Luminance) มีมาตรฐานขั้นต่ำที่ 13.5 เมกะเฮิร์ตซ
– จำนวนข้อมูลตัวอย่างความสว่างของแสง มีมาตรฐานขั้นต่ำที่ 8 บิตต่อจุดภาพ (dpp)
– จำนวนข้อมูลตัวอย่างความเข้มของสี (Chrominance) มีมาตรฐานขั้นต่ำที่ 4 บิตต่อจุดภาพ
– ค่าความสว่างของแสง (Luminance Resolution) เท่ากับ 720 จุดต่อภาพ (pixel) x 485 เส้น (active line)
– ค่าความละเอียดของสี (Chrominance Resolution) เท่ากับ 360 จุดต่อภาพ (pixel) x 485 เส้น (active line)
ในหมวดที่ว่าด้วยการตรวจสอบและรับรองนั้น ในประกาศพูดอย่างกว้างๆ ว่า ให้จัดให้มีการรายงานการตรวจสอบและรับรองคุณภาพ โดยพิจารณาจากคุณภาพของเครื่องมือและอุปกรณ์ที่ใช้ ขั้นตอนการดำเนินการ คุณภาพและความถูกต้องของข้อมูล และคุณภาพและความถูกต้องที่ใช้ในการระบุตัวผู้แปลง และให้มีการบันทึกเมตาดาตา (Metadata) ซึ่งระบุลักษณะเฉพาะของข้อมูลนั้นๆ (เช่น ชื่อเรื่อง แหล่งที่มา ทรัพย์สินทางปัญญาในงานนั้น วันเดือนปีที่สร้าง)
ทั้งนี้ ให้ผู้จัดทำกำหนดมาตรการการรักษาความมั่นคงปลอดภัย โดยกำหนดให้มีการลงทะเบียนผู้ใช้งาน (user registration) การบริหารจัดการสิทธิ (user management) การบริหารจัดการรหัสผ่าน (user password management) การทบทวนสิทธิการเข้าถึงของผู้ใช้งาน (review of user access rights) การใช้รหัสผ่าน (password use) และการป้องกันอุปกรณ์ขณะที่ไม่มีผู้ใช้งาน
ยังมีข้อกำหนดแนบท้ายฉบับที่สอง ที่กล่าวถึงแนวปฏิบัติสำหรับระบบการหักบัญชีเช็คด้วยภาพเช็ค และระบบการจัดเก็บภาพเช็คเป็นการเฉพาะด้วย
ประกาศฉบับนี้มีเนื้อหาที่ต่อเนื่องมาจากมาตรา 10-12 ของพ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิสก์ พ.ศ. 2544 ซึ่งในมาตรา 11 ระบุว่า ห้ามมิให้ปฏิเสธการรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐานในกระบวนการพิจารณาตามกฎหมายทั้งในคดีแพ่ง คดีอาญา หรือคดีอื่นใด เพียงเพราะว่าเป็นข้อมูลอิเล็กทรอนิกส์
อย่างไรก็ดี ก่อนหน้านี้เคยมีการชี้ให้เห็นถึงความคลุมเครือว่า การเก็บภาพหน้าจอไม่น่าจะสามารถใช้เป็นหลักฐานได้ โดย Lew จากเว็บไซต์ Blognone เคยเขียนบล็อกเรื่อง “Screenshot ไม่ใช่หลักฐาน” เพราะสามารถดัดแปลงข้อมูลได้อย่างง่ายดายและแนบเนียน ซึ่งจากประกาศฉบับนี้ ดูเหมือนกลไกการตรวจสอบและชั่งน้ำหนักจะไปให้ความสำคัญกับเรื่องที่ว่า ใครเป็นผู้แปลงหรือบันทึกข้อมูล สามารถยืนยันตัวบุคคลนั้นได้หรือไหม และผู้นั้นมีความรับผิดชอบต่อผลการกระทำนั้นๆ
นอกจากนี้ ผู้แปลงหรือบันทึกข้อมูลยังมีหน้าที่กำหนดบุคคลที่มีหน้าที่ตรวจสอบคุณภาพและรับรองกระบวนการจัดทำด้วย (หมวด 5 ในกำหนดแนบท้ายฉบับที่ 1) ซึ่งในประกาศนี้ไม่ได้ระบุนิยามความหมายของคำว่า “ผู้ตรวจสอบ” เอาไว้ด้วยเช่นกัน
คุ้มครองข้อมูลบุคคลของหน่วยงานรัฐ ภายใต้เครื่องหมาย Trust Mark
แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานรัฐ พ.ศ. 2553 ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 1 พ.ย. 2553
ใจความของกฎหมาย มีอยู่ว่า ให้หน่วยงานรัฐที่รวบรวม จัดเก็บ ใช้ เผยแพร่ หรือดำเนินการอื่นใดเกี่ยวกับข้อมูลของผู้ใช้บริการธุรกรรมทางอิเล็กทรอนิกส์ มีนโยบายคุ้มครองข้อมูลส่วนบุคคล หน่วยงานรัฐต้องระบุถึงเจตนารมณ์ของการรวบรวมข้อมูล ห้ามเปิดเผยโดยไม่ตรงวัตถุประสงค์ของการจัดเก็บ เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นกรณีที่กฎหมายกำหนด
โดยหน่วยงานรัฐ ต้องทำข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล โดยแสดงรายการเบื้องต้นว่า ชื่อนโยบายการคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นของหน่วยงานใด รายละเอียดเงื่อนไขเป็นอย่างไร มีการระบุถึงการใช้คุ้กกี้ (Cookies) เชื่อมโยงกับข้อมูลส่วนบุคคล และให้สิทธิที่จะไม่รับการต่อเชื่อมคุ้กกี้ได้
ประกาศฉบับนี้กำหนดด้วยว่า ให้หน่วยงานของรัฐที่มีเว็บไซต์จัดเก็บ Log files ที่จะบอกว่าหมายเลยไอพีใดเข้าออกเว็บไซต์เมื่อใด และบอกถึงเบราว์เซอร์ที่ใช้
ทั้งนี้ให้ผู้ใช้บริการมีสิทธิเลือกว่าจะให้จัดเก็บหรือไม่ ให้นำไปใช้หรือไม่ และให้เปิดเผยข้อมูลหรือไม่ โดยเว็บไซต์ของหน่วยงานรัฐจะต้องถามก่อนที่ผู้ใช้บริการจะเข้าถึงเว็บไซต์นั้นๆ
นอกจากนี้ ยังมีมาตรฐานที่กำหนดด้วยเครื่องหมายทรัสต์มาร์ค (Trust Mark) ซึ่งเป็นเครื่องหมายรับรองว่าหน่วยงานรัฐดังกล่าว มีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลของประชาชนในการทำธุรกรรมทางอิเล็กทรอนิกส์
เชื่อว่าประกาศฉบับนี้ มีผลต่อเว็บไซต์ของภาครัฐแทบทุกแห่ง ที่นับจากนี้คงต้องเร่งปรับระบบของตนและทำการจัดซื้อจัดจ้างเพื่อปฏิบัติให้ตรงตามที่ประกาศกำหนดไว้
ไฟล์แนบ