ประกาศ DES มอบภาระให้ภาคธุรกิจเก็บข้อมูลผู้ใช้เน็ต ให้รัฐมีหลักฐานหาตัวผู้กระทำความผิด

13 สิงหาคม 2564 ราชกิจจานุเบกษาเผยแพร่ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2564 (ประกาศ การเก็บข้อมูลฯ) ซึ่งเป็นประกาศที่ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมออกโดยอาศัยอำนาจตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550  (พ.ร.บ.คอมพิวเตอร์ฯ) โดยประกาศดังกล่าวมีผลใช้บังคับตั้งแต่ 14 สิงหาคม 2564 เป็นต้นไป 

ประกาศ การเก็บข้อมูลฯ กำหนดหน้าที่ “ผู้ให้บริการ” อินเทอร์เน็ต ต้องเก็บรักษา “ข้อมูลจราจรทางคอมพิวเตอร์” เอาไว้โดยหลัก 90 วัน แต่ถ้าเป็นกรณีพิเศษ เพื่อรวบรวมพยานหลักฐาน เจ้าหน้าที่สามารถสั่งขยายระยะเวลาเก็บรักษาข้อมูลได้ครั้งละหกเดือน แต่ทั้งหมดต้องไม่เกินสองปี ถึงแม้ประกาศฉบับนี้จะไม่ได้บอกเหตุผลตรงๆ ของการออกประกาศ แต่จากเนื้อหาของประกาศและจากภาคผนวกแนบท้ายของประกาศ สะท้อนให้เห็นว่า เหตุผลในการออกประกาศดังกล่าว เพื่อกำหนดมาตรฐานการเก็บรักษาข้อมูลสำหรับผู้ให้บริการโดยเฉพาะภาคเอกชนและส่งเสริมธุรกรรมทางอิเล็กทรอนิกส์ให้มีความน่าเชื่อถือ แต่เหตุผลที่สำคัญยิ่งกว่านั้น คือ การรวบรวมพยานหลักฐานอิเล็กทรอนิกส์ที่เกี่ยวข้องกับอาชญากรรมคอมพิวเตอร์ และการกระทำความผิดฐานต่างๆ ที่เกิดขึ้นบนโลกออนไลน์ 

ประกาศ การเก็บข้อมูลฯ กำหนดประเภทผู้ให้บริการสองประเภท คือ (1) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันผ่านทางระบบคอมพิวเตอร์ (2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น ผู้ให้บริการทั้งสองประเภทมีหน้าที่ต้องเก็บรักษา “ข้อมูลจราจรทางคอมพิวเตอร์”  ซึ่งหมายถึง ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ที่แสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่นๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์

ผู้ให้บริการที่แบ่งออกเป็นกลุ่มใหญ่สองประเภท ก็สามารถจำแนกแยกย่อยออกเป็นผู้ประกอบการหรือผู้ให้บริการอีกหลายประเภท อีกทั้งในภาคผนวกแนบท้ายประกาศ ยังกำหนด “ตัวอย่าง” ของผู้ให้บริการแต่ละประเภทด้วย ซึ่งผู้ประกอบการหรือผู้ให้บริการแต่ละประเภทก็จะมีข้อมูลจราจรทางคอมพิวเตอร์ที่ต้องเก็บรักษาต่างกันไปตามประเภทของกิจการหรือการบริการ โดยมีรายละเอียดที่สำคัญ ดังนี้

กลุ่มแรก ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่นโดยผ่านทางระบบคอมพิวเตอร์ ได้แก่

ก. ผู้ประกอบกิจการโทรคมนาคมและการกระจายภาพและเสียง ตัวอย่างเช่น ผู้ให้บริการโทรศัพท์พื้นฐาน (โทรศัพท์บ้าน), ผู้ให้บริการโทรศัพท์เคลื่อนที่ ซึ่งข้อมูลจราจรทางคอมพิวเตอร์ที่ผู้ให้บริการกลุ่มนี้จะต้องเก็บรักษา ได้แก่ 1) ข้อมูลที่สามารถระบุและติดตามถึงแหล่งกำเนิด ต้นทาง ปลายทาง และทางสายที่ผ่านของการติดต่อสื่อสารของระบบคอมพิวเตอร์ เช่น หมายเลขโทรศัพท์ หรือ หมายเลขไอพีแอดเดรส (IP Address) ชื่อ ที่อยู่ของผู้ใช้บริการหรือผู้ใช้งานที่ลงทะเบียน 2) ข้อมูลที่สามารถระบุวันที่ เวลา และระยะเวลาของการติดต่อสื่อสารของระบบคอมพิวเตอร์ 3) ข้อมูลซึ่งสามารถระบุที่ตั้งในการใช้โทรศัพท์มือถือ หรืออุปกรณ์ติดต่อสื่อสารแบบไร้สาย

ข. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ตัวอย่างเช่น ผู้ให้บริการอินเทอร์เน็ตทั้งมีสายและไร้สาย, ผู้ประกอบการซึ่งให้บริการในการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ในห้องพักห้องเช่า โรงแรม หรือร้านอาหารและเครื่องดื่ม, ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์สำหรับองค์กร

ค. ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือให้เช่าบริการโปรแกรมประยุกต์ ตัวอย่างเช่น ผู้ให้บริการเช่าระบบคอมพิวเตอร์, ผู้ให้บริการแลกเปลี่ยนแฟ้มข้อมูล (File Sharing), ผู้ให้บริการอีเมลล์

ผู้ให้บริการ ข. และ ค. มีข้อมูลจราจรทางคอมพิวเตอร์ที่ต้องเก็บรักษา คือ 1) ข้อมูลอินเทอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย เช่น ข้อมูลเกี่ยวกับวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ, ข้อมูลเกี่ยวกับชื่อที่ระบุตัวตนผู้ใช้ (User ID) 2) ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการจดหมายอิเล็กทรอนิกส์ (e-mail servers) 3) ข้อมูลอินเทอร์เน็ตจากการโอนแฟ้มข้อมูลบนเครื่องให้บริการโอนแฟ้มข้อมูล 4) ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการเว็บ 5) ชนิดของข้อมูลบนเครือข่ายคอมพิวเตอร์ขนาดใหญ่ (Usenet) 6) ข้อมูลที่เกิดจากการโต้ตอบกันบนเครือข่ายอินเทอร์เน็ต เช่น Internet Relay Chat (IRC) หรือ Instance Messaging (IM) เป็นต้น

ง. ผู้ให้บริการร้านอินเทอร์เน็ต ซึ่งรวมถึงร้านเกมออนไลน์ และผู้ให้บริการเกมส์ประเภท Virtual Reality หรือ e-Sport โดยผู้ให้บริการประเภทนี้ จะต้องเก็บรักษาข้อมูลที่สามารถระบุตัวบุคคล ที่เข้ามาใช้ระบบอินเตอร์เน็ตของผู้ให้บริการเวลาของการเข้าใช้-เลิกใช้บริการ และหมายเลขเครื่องที่ใช้ IP Address ด้วย

จ. ผู้ให้บริการโปรแกรมคอมพิวเตอร์ ซอฟต์แวร์ เทคโนโลยีปัญญาประดิษฐ์แอพพลิเคชันที่ทำให้บุคคลสามารถติดต่อสื่อสารข้อมูลระหว่างกันได้ (Online Application Store) ตัวอย่างเช่น App Store, Google Play, Clubhouse, Telegram

ฉ. ผู้ให้บริการสื่อสังคมออนไลน์ (Social Media) รวมถึงผู้ให้บริการในฐานะสื่อกลางในการรับส่งข้อมูลผ่านระบบเครือข่ายคอมพิวเตอร์ ตัวอย่างเช่น Facebook, Youtube, Instagram, Line

โดยผู้ให้บริการ จ. และ ฉ. จะต้องเก็บข้อมูล บันทึกเหตุการณ์การเข้าใช้งานในระบบคอมพิวเตอร์ โดยมีรายละเอียดข้อมูลจราจรทางคอมพิวเตอร์ที่ต้องบันทึก ดังนี้

(1) ข้อมูลที่สามารถระบุตัวตนของผู้ใช้บริการ (ID of Users)

(2) รายละเอียดของการใช้ข้อมูลของผู้ใช้บริการในระบบคอมพิวเตอร์ (Activities of the system)

(3) วัน เวลา และรายละเอียดเหตุการณ์สำคัญที่เกี่ยวข้องกับกิจกรรมของผู้ใช้งาน หรือผู้ใช้บริการ เช่น การล็อคอินเข้าออกระบบคอมพิวเตอร์ (Log-on and Log-off)

(4) ข้อมูลที่สามารถระบุหมายเลขของเครือข่ายคอมพิวเตอร์ระบบคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ (System ID) สถานที่ในการเข้าออกระบบคอมพิวเตอร์ และอุปกรณ์ที่ใช้เชื่อมต่อ

(5) รายละเอียดบันทึกการเข้าถึงและการพยายามเข้าถึงระบบคอมพิวเตอร์ทั้งในส่วนที่เข้าถึงระบบคอมพิวเตอร์ได้และส่วนที่ระบบคอมพิวเตอร์ปฏิเสธการเข้าถึง

(6) บันทึกรายละเอียดข้อมูลคอมพิวเตอร์ที่มีการเข้าถึงแหล่งข้อมูล (Successful and unsuccessful data records and other attempts to access resources)

(7) รายละเอียด ประเภทของแอพพลิเคชัน และการใช้งานในระบบคอมพิวเตอร์

(8) แฟ้มข้อมูลและประเภทของข้อมูลคอมพิวเตอร์ที่ถูกเข้าถึงในระบบคอมพิวเตอร์ (Accessed files and access kinds)

(9) ตำแหน่งที่อยู่ของระบบเครือข่ายคอมพิวเตอร์ (Network Addresses) และโปรโตคอลหลักที่ใช้

(10) รายละเอียดมาตรการการป้องกันภัยคุกคามทางไซเบอร์ เช่น รายละเอียดการใช้โปรแกรมป้องกันไวรัสคอมพิวเตอร์ ระบบเฝ้าระวังภัยคุกคามทางไซเบอร์ที่ทำให้ระบบทำงาน และถูกระงับการใช้งาน

(11) รายละเอียดธุรกรรมที่ทำผ่านแอพพลิเคชันต่างๆ โดยผู้ใช้บริการ

ก. ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชั่น ตัวอย่างเช่น ผู้ให้บริการเว็บบอร์ดหรือบล็อค, ผู้ให้บริการการทำธุรกรรมทางการเงินทางอินเทอร์เน็ต, และผู้ให้บริการชำระเงินทางอิเล็กทรอนิกส์, ผู้ให้บริการเว็บเซอร์วิส, ผู้ให้บริการพาณิชย์อิเล็กทรอนิกส์ (e-Commerce) หรือ ธุรกรรมทางอิเล็กทรอนิกส์ (e-Transactions)

ข. ผู้ให้บริการเก็บหรือพักข้อมูลทั้งในรูปแบบชั่วคราวหรือถาวร โดยมีระบบที่บริหารจัดการข้อมูลด้วยอินเทอร์เน็ต อาทิเช่น ระบบคลาวด์ (Cloud Computing Service Provider) ซึ่งได้ให้บริการโดยตรงกับผู้ใช้งาน (End User)

ค. ผู้ให้บริการดิจิทัลที่ใช้เครือข่ายคอมพิวเตอร์หรือระบบคอมพิวเตอร์เป็นส่วนหนึ่งของการให้บริการ ตัวอย่างเช่น ผู้ให้บริการด้านการเงิน ด้านสาธารณสุข/สุขภาพ ด้านอสังหาริมทรัพย์ ด้านการท่องเที่ยว

สำหรับข้อมูลจราจรคอมพิวเตอร์ที่ผู้ให้บริการในกลุ่มที่สอง ทั้ง ก. ข. และ ค. จะต้องเก็บรักษา ได้แก่ 1) ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์ เช่น ข้อมูลรหัสประจำตัวผู้ใช้หรือข้อมูลที่สามารถระบุตัวผู้ใช้บริการได้ หรือเลขประจำตัว (User ID) ของผู้ขายสินค้าหรือบริการ หรือ เลขประจำตัวผู้ใช้บริการ (User ID) และที่อยู่อีเมลล์ของผู้ใช้บริการ, บันทึกข้อมูลการเข้าใช้บริการ 2) ชนิดของข้อมูลบนเครือข่ายคอมพิวเตอร์ของผู้ให้บริการคลาวด์ เช่น ข้อมูลเกี่ยวกับชื่อที่ระบุตัวตนผู้ใช้ (User ID), ข้อมูลหมายเลขชุดอินเทอร์เน็ตที่ถูกกำหนดให้โดยระบบผู้ให้บริการ (Assigned IP Address) 3) ชนิดของข้อมูลบนเครือข่ายคอมพิวเตอร์ของผู้ให้บริการดิจิทัล เช่น ข้อมูลที่เกิดจากการโต้ตอบกันบนเครือข่ายอินเทอร์เน็ต เช่น Internet Relay Chat (IRC) หรือ Instance Messaging (IM) เป็นต้น

ผู้ให้บริการมีหน้าที่เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์นับแต่วันที่ประกาศ การเก็บข้อมูลจราจรทางคอมพิวเตอร์ฯ มีผลใช้บังคับ กล่าวคือ ตั้งแต่ 14 สิงหาคม 2564 แต่มีอยู่สองกรณีที่กฎหมายกำหนดกรอบเวลาไว้ผ่อนคลายขึ้นเพื่อให้ผู้ให้บริการมีเวลาเตรียมตัว

กรณีแรก ผู้ให้บริการร้านอินเทอร์เน็ต ให้เก็บข้อมูลจราจรทางคอมพิวเตอร์ตามที่กำหนดไว้ภายในหนึ่งปีนับแต่ 14 สิงหาคม 2564

กรณีที่สอง ผู้ให้บริการดิจิทัลที่ใช้เครือข่ายคอมพิวเตอร์หรือระบบคอมพิวเตอร์เป็นส่วนหนึ่งของการให้บริการ ให้เก็บข้อมูลจราจรทางคอมพิวเตอร์ตามที่กำหนดไว้ภายใน 180 วันนับแต่ 14 สิงหาคม 2564

ประกาศ การเก็บข้อมูลจราจรทางคอมพิวเตอร์ฯ กำหนดว่าระยะเวลาที่ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้ดังนี้

(1) กรณีทั่วไป ให้ผู้ให้บริการเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์

(2) กรณีพิเศษ เจ้าหน้าสามารถออกคำสั่งให้ผู้ให้บริการเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ของผู้ใช้บริการเป็นกรณีพิเศษเฉพาะรายต่อไปอีกคราวละไม่เกินหกเดือนต่อเนื่องกัน แต่ต้องไม่เกินสองปี ถ้าหาก

๐ มีการกระทำความผิดตามพ.ร.บ.คอมพิวเตอร์ฯ หรือความผิดอื่นๆ ไม่ว่าจะเป็น ความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักร ก่อการร้าย องค์กรอาชญากรรมข้ามชาติ ที่ใช้ข้อมูล/ระบบคอมพิวเตอร์ หรืออุปกรณ์ที่ใช้เก็บข้อมูลคอมพิวเตอร์สำหรับกระทำความผิดหรือเป็นส่วนหนึ่งในการกระทำความผิด หรือมีข้อมูลคอมพิวเตอร์ที่เกี่ยวข้องกับการกระทำความผิด และเจ้าหน้าที่ต้องรวบรวมข้อเท็จจริงหลักฐานเกี่ยวกับการกระทำความผิด

๐ ผู้ให้บริการได้รับคำร้องขอจากเจ้าหน้าที่ผู้รับผิดชอบในการสืบสวนหรือสอบสวน ก่อนครบกำหนดเวลา 90 วันตามกรณีทั่วไป

ทั้งนี้ การกำหนดระยะเวลาในการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์เป็นส่วนต่อขยายที่กำหนดรายละเอียดของมาตรา 26 พ.ร.บ.คอมพิวเตอร์ฯ ถ้าหากผู้ให้บริการไม่ได้เก็บข้อมูลจราจรทางคอมพิวเตอร์ตามรายละเอียดในประกาศ การเก็บข้อมูลจราจรทางคอมพิวเตอร์ฯ มีโทษปรับไม่เกิน 500,000 บาท

ประกาศ การเก็บข้อมูลฯ กำหนดว่าผู้ให้บริการมีหน้าที่ต้องจัดระบบ “หลังบ้าน” เพื่อเก็บข้อมูลจราจรทางคอมพิวเตอร์อย่างปลอดภัย เช่น การกำหนดชั้นความลับในการเข้าถึงข้อมูล กำหนดตัวบุคคลที่สามารถเข้าถึงข้อมูลนั้นได้ ซึ่งต้องรวมพนักงานเจ้าหน้าที่ตามพ.ร.บ.คอมพิวเตอร์ฯ ด้วย

นอกจากนี้ ผู้ให้บริการยังมีภาระต้องจัดให้มีผู้มีหน้าที่ประสานงานและให้ข้อมูลกับพนักงานเจ้าหน้าที่ซึ่งได้รับการแต่งตั้งตามพ.ร.บ.คอมพิวเตอร์ฯ เพราะพ.ร.บ.คอมพิวเตอร์ฯ มาตรา 18 (3) กำหนดว่าเจ้าหน้าที่สามารถสั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการหรือข้อมูลที่อยู่ในความครอบครองหรือควบคุมของผู้ให้บริการให้แก่พนักงานเจ้าหน้าที่ หรือสั่งให้เก็บข้อมูลดังกล่าวไว้ก่อนก็ได้ เพื่อประโยชน์ในการสืบสวนและสอบสวนการกระทำความผิดพ.ร.บ.คอมพิวเตอร์ฯ กรณีที่มีการกระทำความผิดอาญาในกฎหมายอื่นซึ่งได้ใช้ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์หรืออุปกรณ์ที่ใช้เก็บข้อมูลคอมพิวเตอร์เป็นองค์ประกอบหรือเป็นส่วนหนึ่งในการกระทำความผิด พนักงานสอบสวนตามประมวลกฎหมายวิธีพิจารณาความอาญาอาจร้องขอให้พนักงานเจ้าหน้าที่ตามพ.ร.บ.คอมพิวเตอร์ฯ ดำเนินการดังกล่าวได้