เช็คชื่อ! ใครบ้างต้องเตรียมตัวรับประกาศฯ ดีอีเอส “เก็บข้อมูลระบุตัวตน”

โดยเฉพาะประเด็นไฮไลท์ที่พูดถึง “การระบุและยืนยันตัวตน” ของทุกคนที่เข้ามาทำกิจกรรรมต่างๆ บนพื้นที่โซเชียล/ออนไลน์ และตีความไปถึงเรื่องข้อมูลส่วนบุคคลผู้ใช้งาน โดยโยงกับสถานการณ์ทางการเมืองปัจจุบัน ซึ่งทำให้อาจกล่าวได้ว่า ประกาศฯ ฉบับนี้ซึ่งภาษาทั่วไปของชาวเน็ตเรียกว่า การเก็บ Log Files คงเทียบได้กับสึนามิสำหรับเหล่าอวตาร์ในโลกโซเชียล เพราะเป็นการ “แก้เกม” ที่ถูกทางแล้ว สำหรับรัฐบาลที่ถูกโจมตีอย่างหนักหน่วงบนทะเลคลั่งที่ชื่อว่า “โลกโซเชียล”

ที่น่าสนใจก็คือ ประกาศฯ ฉบับนี้เป็น “ผลงาน” การปรับปรุงกฎหมายลำดับรองตาม พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่ปรับปรุงใหม่เมื่อปี 2560 ที่ใช้เวลาทำคลอด “อย่างรวดเร็ว” ภายในไม่ถึง 3 เดือน หลังมีการส่งสัญญาณจากนายกรัฐมนตรี ลงมาตามลำดับขั้นจนถึงกระทรวงดิจิทัลฯ ซึ่งเป็นเจ้าภาพโดยตรงของกฎหมายดิจิทัลต่างๆ อีกทั้งยังค่อนข้าง “ไล่ทัน” สื่อรูปแบบใหม่ๆ ในโลกดิจิทัล

ย้อนไทม์ไลน์ 3 เดือนทำคลอด

ไล่ดูไทม์ไลน์ย้อนหลังไปเมื่อวันที่ 18 พ.ค. 64 พล.อ.ประยุทธ์ จันทร์โอชา ได้มีคำสั่งแต่งตั้งคณะกรรมการป้องกันปราบปรามและแก้ไขปัญหาการเผยแพร่ข้อมูลเท็จทางสื่อสังคมออนไลน์ มอบหมายให้ รมว.ดีอีเอส เป็นประธาน โดยมีวัตถุประสงค์สำคัญ 3 ข้อ คือ

1.เพื่อเพิ่มประสิทธิภาพของการทำงานของทุกหน่วยงานที่เกี่ยวข้อง ให้รวดเร็ว ทันต่อสถานการณ์ และลดความเสียหายและผลกระทบทางลบที่เกิดขึ้นให้ได้มากที่สุด  2. เพื่อระดมและบูรณาการสรรพกำลังทรัพยากร (ความเชี่ยวชาญ เครื่องมืออุปกรณ์) และการทำงาน ป้องกันปราบปรามและแก้ไขปัญหาการเผยแพร่ข้อมูลเท็จทางสื่อสังคมออนไลน์ ซึ่งเป็นปัญหาและส่งผลกระทบต่อ สังคม เศรษฐกิจ และความมั่นคง  

และ 3. เพื่อให้การขับเคลื่อนเรื่องข่าวปลอม / ข้อมูลเท็จทางสื่อสังคมออนไลน์ ของทุกหน่วยงานที่เกี่ยวข้องมีทิศทางและแนวทางการทำงานที่ชัดเจน มีการดำเนินงานอย่างเป็นองค์รวมทั้งในด้านการส่งเสริมป้องกัน การป้องปราม และการปราบปรามบังคับใช้กฎหมาย รวมทั้งให้มีการจัดทำแก้ไขเพิ่มเติมกฎหมายและกฎระเบียบที่เกี่ยวข้องเพื่อเพิ่มประสิทธิภาพการดำเนินงาน โดยอาจนำมาตรการทางปกครอง มาตรการทางภาษี และมาตรการทางสังคม มาใช้มากขึ้นด้วย

จากนั้นแค่ 2 วันต่อมา รมว.ดีอีเอส ก็เรียกประชุมคณะกรรมการฯ ครั้งที่ 1 ทันที โดยหนึ่งในวาระสำคัญ คือ เพื่อรับทราบความคืบหน้าการดำเนินงานของคณะทำงานปรับปรุงกฎหมายลำดับรองตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตออร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม คณะทำงานชุดนี้แต่งตั้งขึ้นตามคำสั่งกระทรวงฯ ที่ 7/2564 ลงวันที่ 5 มีนาคม 2564 ภารกิจหลักคือ เพื่อปรับปรุงประกาศกระทรวงฯ เรื่อง หลักเกณฑ์การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Log files) ของผู้ให้บริการ พ.ศ. 2550 ซึ่งเป็นกฎหมายลำดับรอง ตาม พ.ร.บ.คอมพิวเตอร์ฯ ที่ใช้บังคับมานานกว่า 10 ปี โดยในการประชุม รมว. กำหนดกรอบเวลาไว้ชัดเจนสำหรับร่างประกาศฯ ที่สมบูรณ์ จากนั้นได้นำเสนอและผ่านการพิจารณาในที่ประชุม ครม. เมื่อวันที่ 3 ส.ค. 64 และประกาศในราชกิจจาฯ วันที่ 13 ส.ค. 64

มีอะไรใหม่ในประกาศ Log Files ปี 64

วานนี้ (23 ส.ค. 64) ผู้บริหารของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) นำโดยนางสาวอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดิจิทัลฯ จึงได้เชิญภาคส่วนที่เกี่ยวข้องทั้งผู้ให้บริการมือถือทุกค่าย ผู้ให้บริการอินเทอร์เน็ต (ไอเอสพี) รักษาการรองเลขาฯ กสทช. มาร่วมทำความเข้าใจเกี่ยวกับกฎหมายฉบับปรับปรุงล่าสุดนี้ ตลอดจนเปิดเวทีให้สื่อมวลชนสอบถามทุกข้อสงสัยผ่านการประชุมทางออนไลน์ พร้อมฉายภาพ “ความใหม่” ของเนื้อหาในกฎหมายที่ปรับปรุงล่าสุดนี้

“สาระสำคัญที่ทำการปรับปรุงไปก็มี 2 ส่วนหลักๆ คือ 1.การกำหนดประเภทผู้ให้บริการที่มีหน้าที่ต้องเก็บ Log โดยระบุให้ชัดเจนและครอบคลุมเพิ่มเติมจากกฎหมายเดิมที่ใช้มาแล้วถึง 14 ปี 2.การกำหนดหน้าที่ของผู้ให้บริการเพิ่มขึ้นจากเดิม ให้มีระบบที่ใช้พิสูจน์และยืนยันตัวตนผู้ใช้บริการ (User id) ที่มั่นคงปลอดภัยจากการถูกเข้าถึงโดยไม่ได้รับอนุญาต ซึ่งในข้อนี้เป็นมาตรฐานสากลที่ใช้กันทั่วโลกอยู่แล้ว รวมถึงยุโรป สหรัฐ และสิงคโปร์”

โดยกำหนดระยะเวลาในการเก็บรักษาข้อมูลฯ  90 วัน - 2 ปี และกำหนดหน้าที่ของผู้ให้บริการในกรณีที่ผู้ให้บริการมีข้อตกลง สัญญา หรือมีการว่าจ้างบุคคลภายนอกที่ไม่ใช่ผู้ให้บริการให้ทำหน้าที่หรือเกี่ยวข้องกับการเก็บรักษาข้อมูลจราจรคอมพิวเตอร์แทน โดยจะถือว่าเป็น Data Controller และให้ผู้บริการยังคงมีหน้าที่ตามกฎหมาย และส่งมอบให้พนักงานเจ้าหน้าที่ทันทีเมื่อพนักงานเจ้าหน้าที่ร้องขอ

แก้โจทย์พิสูจน์ “ตัวตน” บนโซเชียล

รมว.ดีอีเอส เคยพูดถึงประกาศฯ ฉบับนี้ไว้ว่า “หนึ่งในเป้าหมายการปรับปรุงกฎหมายให้ทันสมัย ก็คือ เพื่อให้สามารถพิสูจน์และยืนยันตัวตนของผู้ใช้งานทั้งในโซเชียลมีเดีย และดิจิทัลแพลตฟอร์มต่าง อีกทั้งเป็นครั้งแรกที่มีการระบุชัดเจนเกี่ยวกับบริการดิจิทัล (Digital Service) ไว้ในกฎหมายด้านนี้ของไทย กำหนดรายละเอียดกลุ่ม/ประเภทผู้ให้บริการครอบคลุมทุก Tier เพื่อปิดช่องโหว่ในการหลีกเลี่ยงความรับผิดตามกฎหมาย กำหนดให้มีการลงทะเบียนผู้รับบริการ เพิ่มหน้าที่ผู้ให้บริการที่ต้องปฏิบัติตาม เพื่อให้มั่นใจว่าจะไม่ได้รับคำปฏิเสธหรือบ่ายเบี่ยงการให้ข้อมูล เมื่อเจ้าหน้าที่ดำเนินการร้องขอตามกฎหมาย”

ขณะที่ ปลัดดีอีเอส กล่าวย้ำอีกครั้งผ่านการพบปะสื่อทางออนไลน์ว่า “การหลอกลวงในยุคปัจจุบันเยอะมาก การนำเสนอของที่ไม่ได้มาตรฐาน ไม่ได้ อย. การหมิ่นประมาท หรือแม้กระทั่งการพนันออนไลน์ การกระทำความผิดที่ใช้คอมพิวเตอร์ หรืออินเทอร์เน็ตในการกระทำความผิดมีเยอะมากจริงๆ ดังนั้นการปรับปรุงกฎหมายครั้งนี้ ประโยชน์จะตกอยู่กับประชาชนและผู้บริโภคจริงๆ ทำให้เรามีความมั่นใจว่า เมื่อมีการกระทำความผิด ก็จะสามารถสืบหาตัวตนผู้กระทำความผิดมาลงโทษได้”

อีกทั้ง ชี้แจงความเข้าใจที่คลาดเคลื่อนในข้อที่ระบุเกี่ยวกับร้านค้า/ร้านอาหารที่ให้บริการอินเทอร์เน็ต เป็นบริการเสริมสำหรับลูกค้า ตามประกาศฯ ฉบับนี้ไม่ได้บังคับว่าต้องติดตั้ง “ซีซีทีวี” เพื่อระบุตัวลูกค้า เพียงแต่ระบุไว้เป็นหนึ่งในวิธีการทางเลือก เพื่อปกป้องคุ้มครองผู้ประกอบการ กรณีมีลูกค้าใช้สัญญาณฟรีไวไฟของร้าน ไปทำเรื่องผิดกฎหมายผ่านคอมพิวเตอร์หรือมือถือ

“สำหรับผู้ให้บริการที่มีเพิ่มขึ้นอย่างกิจการประเภทร้านค้า/สถานที่ ที่ให้บริการอินเทอร์เน็ตเป็นบริการเสริม มีฟรีไวไฟ ต้องมีวิธีการที่จะทำให้รู้ตัวตนได้ ที่เราเขียนไว้ในกฎหมายก็เพื่อช่วยเมื่อเกิดเหตุการณ์มีผู้เข้าไปนั่งเล่นเน็ตผ่านฟรีไวไฟ แล้วไปแฮกข้อมูล หรือมีการกระทำที่ผิดกฎหมาย ถ้าร้านค้านั้นๆ ไม่รู้ตัวตนผู้ใช้งาน ก็จะมีความผิด เราจึงอยากให้มีระบบที่ระบุตัวตนได้ ไม่ได้บอกว่าต้องติด CCTV ตามข่าว ในประกาศฯ ที่ออกมาเรามีให้เลือก ก ข ค ว่าจะติด CCTV ซึ่งก็ต้องมีการลงทุน หรือใช้วิธีจดชื่อ/เบอร์โทร/หรือเลข 13 หลัก เพื่อขอรับรหัสต่อเชื่อมไวไฟ หรือวิธีการอื่นใด มีหลายวิธีที่เลือกทำได้ ที่เรากำหนดไว้ก็เพื่อปกป้องผู้ประกอบการร้านนั้นๆ เอง และในกลุ่มนี้เราก็ให้เวลา 1 ปี เพราะส่วนใหญ่เป็นผู้ประกอบการรายเล็กๆ” ปลัดกระทรวงดิจิทัลฯ ย้ำ

“เช็คชื่อ” ใครบ้างต้องเก็บ Log Files ลูกค้า

ในประกาศฯ ฉบับนี้ จัดแบ่งผู้ให้บริการที่อยู่ภายใต้การบังคับใช้ออกเป็น 2 กลุ่ม ได้แก่ กลุ่มแรก “ผู้ให้บริการแก่บุคคลทั่วไป” ในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกัน โดยผ่านทางระบบคอมพิวเตอร์ ไม่ว่าจะให้บริการในนามของตนเองหรือในนามหรือเพื่อประโยชน์ของบุคคลอื่น ครอบคลุม 6 ประเภท ดังนี้

1.ผู้ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและเสียง ได้แก่ ผู้ให้บริการโทรศัพท์พื้นฐาน ผู้ให้บริการโทรศัพท์มือถือ ผู้ให้บริการโทรศัพท์ผ่านอินเทอร์เน็ต/เครือข่ายคอมพิวเตอร์ ผู้ให้บริการวงจรเช่า (ยกเว้นกรณีไม่มีสัญญาณอินเทอร์เน็ต หรือ IP Traffic) ผู้ให้บริการดาวเทียม (Satellite Service Provider) และผู้ให้บริการ VOIP (Voice over IP)

2.ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider) ได้แก่ ไอเอสพี โรงแรม ห้องพัก หรือร้านอาหาร/เครื่องดื่มที่ให้บริการอินเทอร์เน็ต  และผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์สำหรับองค์กร

3. ผู้ให้บริการเช่าระบบคอมพ์/แอปพลิเคชั่น  ได้แก่ เว็บโฮสติ้ง/เว็บเซิร์ฟเวอร์  บริการแลกเปลี่ยนไฟล์ข้อมูล บริการเข้าถึงจดหมายอิเล็กทรอนิกส์/ข้อความอิเล็กทรอนิกส์ และผู้ให้บริการ Internet Data Center

4. ผู้ให้บริการร้านอินเทอร์เน็ต ครอบคลุมทั้ง เน็ตคาเฟ่ ร้านเกมออนไลน์ บริการสันทนาการ Virtual Reality หรือ e-Sport

5. ผู้ให้บริการแอปสโตร์บนออนไลน์  ได้แก่ App Store, Google Play, Chatbot, Clubhouse, Telegram และผู้ให้บริการอื่นที่ให้บริการในลักษณะเดียวกัน ฯลฯ 

และ 6. ผู้ให้บริการ Social Media รวมถึงผู้ให้บริการในฐานะสื่อกลางไม่ว่าจะมีระบบบอกรับสมาชิกหรือไม่ก็ตาม  ได้แก่ Facebook, Youtube, Instagram, Linkedin, Line, MSN Messenger, Whatsapp และผู้ให้บริการอื่นที่ให้บริการในลักษณะเดียวกัน ฯลฯ

สำหรับ “ผู้ให้บริการ” กลุ่มที่สองที่อยู่ภายใต้ประกาศฯ นี้ ประกอบด้วย 1.ผู้ให้บริการแอป/คอนเทนต์ เช่น ผู้ให้บริการเว็บบอร์ด (Web board) /ผู้ให้บริการบล็อก (Blog) ผู้ให้บริการ  Internet Banking /e-Payment ผู้ให้บริการเว็บเซอร์วิส (Web Services) และผู้ให้บริการ e-Commerce / e-Transactions

2.ผู้ให้บริการเก็บพักข้อมูลบนคลาวด์ ได้แก่ ผู้ให้บริการโครงสร้างพื้นฐานหลัก (Infrastructure as a Service: IaaS) ผู้ให้บริการแพลตฟอร์ม (Platform as a Service : PaaS)ผู้ให้บริการซอฟต์แวร์ (Software as a Service : SaaS) ผู้ให้บริการระบบจัดเก็บข้อมูล (Data Storage as a Service (DSaaS) และผู้ให้บริการระบบ CDN (Caching Delivery Network)

และ 3. ผู้ให้บริการดิจิทัล (Digital Service Provider) ครอบคลุม 11 เซคเตอร์ต่อไปนี้ ผู้ให้บริการด้านการเงิน สาธารณสุข/สุขภาพ  ไลฟ์สไตล์  อสังหาริมทรัพย์ อาหารและการเกษตร  ท่องเที่ยว อุตสาหกรรม ประกันภัย การศึกษา ด้านเพลง/ศิลปะและนันทนาการ การจำหน่ายสินค้า/บริการผ่านระบบคอมพิวเตอร์ทั้งแบบ B2C, C2C, G2C และอื่นๆ

“บริการดิจิทัลที่ระบุไว้นี้ ยังรวมถึงการให้บริการภาครัฐที่มีถึงประชาชนก็เข้าข่ายหมด ถ้ายังไม่เคยมีการลงทะเบียนก็ให้เวลาปรับตัว 180 วัน”