Humberger Menu

วิเคราะห์ประกาศ พ.ร.บ.คอมฯ ล่าสุด เมื่อดีอีเอสอยากรู้จักคนใช้คลับเฮาส์

คุณสามารถอ่านได้อีก

5

บทความ

Register

or

Login

creator
กองบรรณาธิการ
LineCopy

LATEST

+
‘ราชวงศ์และการสมรสเท่าเทียม’ ความก้าวหน้าทางเพศอีกขั้นของเนเธอร์แลนด์
Summary
  • ประกาศข้อ 9 (4) ระบุว่า “ในการเก็บข้อมูลจราจรนั้น ต้องสามารถระบุรายละเอียดผู้ใช้บริการเป็นรายบุคคลได้” (Identification and Authentication)
  • ในการแบ่งประเภทผู้ให้บริการแบบต่างๆ ตามเอกสารในภาคผนวก ก ได้เติมรายละเอียดตัวอย่างผู้ให้บริการ รวมถึง Clubhouse และ Telegram
  • กรณีที่ร้านอาหารหรือบริการใดๆ มีอินเทอร์เน็ตให้ลูกค้าใช้งาน จะต้องติดตั้งกล้องวงจรปิด หรือทำบันทึกรายละเอียดใดๆ ที่จะทำให้สามารถระบุตัวตนลูกค้าได้

วันที่ 13 สิงหาคม 2564 ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ลงนามในประกาศเรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2564 ในราชกิจจานุเบกษา โดยอาศัยอำนาจตาม พ.ร.บ.คอมพิวเตอร์ฯ

ใจความของประกาศเน้นที่บทบาทของ ‘ผู้ให้บริการ’ ที่ต้องเก็บรักษาข้อมูลคอมพิวเตอร์ โดยเน้นเป้าหมายที่การเก็บข้อมูลเพื่อให้สามารถ ‘พิสูจน์และยืนยันตัวตน’ ของบุคคลได้

ไทยรัฐพลัส สัมภาษณ์ ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง อาจารย์ประจำคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย เพื่อแสดงความเห็นต่อเรื่องนี้


ผู้ให้บริการระบบคอมพิวเตอร์ ต้องระบุตัวตนผู้ใช้?

ตามประกาศข้อ 8 ระบุว่า “ผู้ให้บริการต้องจัดให้มีระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลสำหรับผู้ใช้บริการทุกคน โดยใช้เทคโนโลยีที่สอดคล้องกับเงื่อนไขและมาตรฐานขั้นต่ำในระดับความน่าเชื่อถือและสื่ออิเล็กทรอนิกส์ที่ใช้ยืนยันตัวตนตามที่สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์กำหนดในหมวด 3/1 เรื่องระบบการพิสูจน์ยืนยันตัวตนทางดิจิทัลของพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544”

และประกาศข้อ 9 (4) ระบุว่า "ในการเก็บข้อมูลจราจรนั้น ต้องสามารถระบุรายละเอียดผู้ใช้บริการเป็นรายบุคคลได้ (Identification and Authentication) เช่น ลักษณะการใช้บริการ Proxy Server, Network Address Translation (NAT) หรือ Proxy Cache หรือ Cache Engine หรือบริการ Free Internet หรือ Wi-Fi Hotspot เป็นต้น ต้องสามารถระบุตัวตนของผู้ใช้บริการเป็นรายบุคคลได้จริง"


เนื้อหาส่วนนี้ ยังไม่เป็นที่แน่ชัดว่า ในทางปฏิบัติจะทำอย่างไร หากคอมพิวเตอร์นั้นมีการเข้ารหัสข้อมูล (encrypt) เพื่อความปลอดภัยของผู้ใช้ จะถือว่าเป็นข้อมูลที่สามารถระบุตัวตนได้หรือไม่ เรื่องนี้ ผศ.ดร.ปิยะบุตร มองว่า กรณีที่ข้อมูลมีการเข้ารหัสเพื่อความปลอดภัยของผู้ใช้แล้ว ก็ไม่ควรต้องถอดรหัส

“อะไรที่มัน encrypt อยู่แล้วก็คงต้อง encrypt ต่อไป เพราะไม่ได้มีตรงไหนที่เขียนว่าต้องให้ decrypt ข้อมูลที่มี มันมาอย่างไรก็ส่งไปอย่างนั้น”


จ้องเก็บข้อมูล Clubhouse - Telegram 

ในการแบ่งประเภทผู้ให้บริการแบบต่างๆ ตามเอกสารในภาคผนวก ก. ได้เติมรายละเอียดตัวอย่างผู้ให้บริการว่า กรณีผู้ให้บริการโปรแกรมคอมพิวเตอร์ ซอฟต์แวร์ เทคโนโลยีปัญญาประดิษฐ์ แอปพลิเคชัน ที่ทำให้บุคคลทั่วไปสามารถติดต่อสื่อสารข้อมูลถึงกันได้ ให้รวมถึง Clubhouse และ Telegram และผู้ให้บริการอื่นๆ ที่ให้บริการในลักษณะการให้การติดต่อสื่อสารในลักษณะทำนองเดียวกัน

การเพิ่มหมวดผู้ให้บริการที่ยกตัวอย่างรายชื่อแอปพลิเคชันใหม่ๆ อย่าง Clubhouse และ Telegram เข้ามา ผศ.ดร.ปิยะบุตร มองว่า ในทางปฏิบัติ หลักเกณฑ์ข้อนี้อาจจะไม่ได้ออกมาเพื่อบังคับผู้ให้บริการต่างชาติ แต่ใช้บังคับผู้ให้บริการอินเทอร์เน็ตของไทย ซึ่งอาจจะเกิดปัญหาในอนาคตได้ 

ผศ.ดร.ปิยะบุตร กล่าวว่า กฎเกณฑ์ต่างๆ ที่ออกมานั้น เจ้าหน้าที่รัฐมีความชัดเจนในการใช้อำนาจ และเป็นไปตาม due process (กระบวนการที่ถูกต้องตามกฎหมาย) เช่น หากมีกรณีใดที่ทำให้ต้องขอข้อมูลจาก Clubhouse หรือ Telegram เจ้าหน้าที่ตำรวจต้องดำเนินการตามขั้นตอน โดยประสานขอข้อมูลไปที่แอปพลิเคชันเหล่านี้โดยตรง แต่ก็เชื่อว่าในทางปฏิบัติ เจ้าหน้าที่มักจะข้ามขั้นตอน ไปขอข้อมูลที่ผู้ให้บริการอินเทอร์เน็ตในประเทศเพื่อขอข้อมูลผู้ใช้ที่เข้าใช้บริการแอปพลิเคชันต่างๆ มากกว่า ซึ่งข้ามขั้นตอนของ due process หรือกระบวนการที่ถูกต้องตามกฎหมาย และรายละเอียดส่วนนี้ ในประกาศที่ออกเมื่อ 13 สิงหาคม ไม่ได้เขียนเอาไว้

“มันจะมีแบบฟอร์มที่เรียกว่า government request ถ้าเจ้าหน้าที่รัฐร้องขอข้อมูลคอมพิวเตอร์ก็ต้องเขียนฟอร์มให้ชัดเจนว่ากำลังทำอะไรอยู่ สมมติต้องการข้อมูลของ Clubhouse ก็ต้องไปที่ต้นทางก่อน ก็คือ Clubhouse แล้วถูกปฏิเสธ ก็ค่อยขยับไปอีกขั้น คือไปแจ้งต่อศาลว่าเพราะต้นทางไม่ให้ความร่วมมือ จึงจะต้องไปขอข้อมูลที่ผู้ให้บริการอินเทอร์เน็ต (ISP) มันต้องมีสเตปแบบนี้ แต่ที่เป็นอยู่นี้ หน่วยงานมักจะไม่ได้บอกว่ากำลังทำอะไร แต่บอกแค่ว่า ส่งข้อมูลมาให้หน่อย”

“ที่น่าเป็นห่วงก็คือคนที่จะถูกเรียกข้อมูลตามประกาศฉบับนี้ มันถึงเวลาที่เขาต้องจริงจังกับเรื่องนี้ และตำรวจจะต้องกรอกแบบฟอร์มที่บอกได้ชัดเจนว่ากำลังทำอะไรอยู่ ใช้อำนาจตามมาตราไหน ต้องมีเคสจริงๆ ที่กำลังทำอยู่ ไม่ใช่แค่เอามาดูเล่นหรือสงสัยเล็กน้อยก็เอามาดู อันนี้เรื่องใหญ่”

“แต่ถ้าพูดใน Clubhouse แล้วแสดงความเห็น มันจะไม่เป็นความผิดตาม พ.ร.บ.คอมพิวเตอร์ฯ นะ (หัวเราะ)” ผศ.ดร.ปิยะบุตรย้ำ

ผศ.ดร.ปิยะบุตรเสริมเรื่องนี้ว่า ข้อมูลคอมพิวเตอร์มีสองระดับ คือ ข้อมูลระดับ ‘เนื้อหา’ กับ ‘ท่อส่งเนื้อหา’ ตามหลักการแล้ว ตัวเนื้อหาไม่ใช่ข้อมูลคอมพิวเตอร์ตาม พ.ร.บ.คอมพิวเตอร์ฯ ยกตัวอย่าง หากเป็นจดหมาย พ.ร.บ.คอมพิวเตอร์ฯ จะไม่แตะเนื้อหาข้างในจดหมาย แต่เน้นที่การจ่าหน้าซองและการส่งจดหมาย

นอกจากแอปพลิเคชั่นต่างๆ แล้ว ประกาศฉบับยังยังขยายความประเภทผู้ให้บริการ โดยระบุว่า ผู้ให้บริการตามข้อ 5 (1) ง. ซึ่งหมายถึง ผู้ให้บริการร้านอินเทอร์เน็ต ร้านเกมออนไลน์ และร้านอีสปอร์ต ให้จัดเก็บข้อมูลภายใน 1 ปี สำหรับผู้ให้บริการตาม ข้อ 5 (2) ค. ซึ่งหมายถึง ผู้ให้บริการด้านดิจิทัล ด้านการเงิน สาธารณสุข สุขภาพ ไลฟ์สไตล์ อสังหาริมทรัพย์ อาหาร การเกษตร ท่องเที่ยว อุตสาหกรรม ประกันภัย การศึกษา เพลง ศิลปะ นันทนาการ และการจำหน่ายสินค้าและบริการอื่นๆ ให้เก็บข้อมูลภายใน 180 วัน หลังประกาศฉบับนี้ประกาศในราชกิจจานุเบกษา


ติดกล้องวงจรปิด ส่องคนใช้เน็ตฟรี

ในภาคผนวก ข. ระบุถึงกรณีที่หากผู้ประกอบการเป็นร้านอาหารหรือบริการใดๆ ที่มีบริการอินเทอร์เน็ตด้วย จะต้องติดตั้งกล้องวงจรปิดเพื่อบันทึกตัวตนของลูกค้า หรือทำบันทึกรายละเอียดใดๆ ที่จะทำให้สามารถระบุตัวตนลูกค้าที่เข้ามาใช้อินเทอร์เน็ตในสถานประกอบการของตนได้

ทั้งนี้ ถือเป็นครั้งแรก ที่ประกาศภายใต้ พ.ร.บ.คอมพิวเตอร์ฯ กำหนดวิธีการระบุตัวตนด้วยวิธีการที่นอกเหนือไปจากการเก็บข้อมูลตามระบบที่มีอยู่

ประเด็นนี้ยังเกี่ยวข้องกับกฎหมายการคุ้มครองข้อมูลส่วนบุคคล ที่กำหนดว่า การเก็บข้อมูลต่างๆ ต้องระบุเหตุผลของการนำข้อมูลไปใช้เท่าที่จำเป็นและเฉพาะกรณีด้วย ผศ.ดร.ปิยะบุตรเห็นว่า ในทางหลักการ การเก็บข้อมูลควรทำเท่าที่จำเป็น มากกว่าไปกำหนดเป็นการทั่วไป 




อ้างอิง:


Share article
  • Line
  • link
creator
Author
กองบรรณาธิการ
กองบรรณาธิการไทยรัฐพลัส

Follow