ข้อมูลส่วนบุคคลของผู้ใช้สื่อออนไลน์และแพลตฟอร์มดิจิทัลอื่นๆ ในประเทศไทยถูกรุกคืบไม่แพ้การใช้มาตรการปราบปรามผู้ชุมนุมที่รวมตัวบนท้องถนนเพื่อขับไล่รัฐบาล โดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ประกาศหลักเกณฑ์ฉบับใหม่ขยายขอบเขตการเก็บข้อมูลจราจรทางคอมพิวเตอร์ หรือ "ข้อมูลหลังบ้าน" เพิ่มเติม นอกจากผู้ให้บริการอินเทอร์เน็ตโดยทั่วไปแล้ว ทางแพลตฟอร์มดิจิทัลอื่นๆ อีกหลายรายต้องเริ่มเก็บข้อมูลดังกล่าวของผู้ใช้งานด้วย
ราชกิจจานุเบกษาประกาศ "หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๖๔" ของดีอีเอส มีผลใช้บังคับตั้งแต่ 14 ส.ค. 2564 เป็นต้นมา ครอบคลุมผู้ให้บริการดิจิทัลเพิ่มเติมจากที่เคยระบุไว้ในหลักเกณฑ์เดิมในปี 2550 ทำให้ผู้ให้บริการพื้นที่เก็บข้อมูลแบบคลาวด์ สื่อสังคมออนไลน์-แอปพลิเคชันต่างๆ ทั้งเฟซบุ๊ก ยูทูบ อินสตาแกรม คลับเฮาส์ เทเลแกรม ไลน์ วอตซ์แอป เอ็มเอสเอ็นแมสเซนเจอร์ เกมออนไลน์ หรือเครือข่ายอีสปอร์ต และอื่นๆ อีกจำนวนหนึ่ง "มีหน้าที่" ต้องเก็บข้อมูลตามที่ประกาศของดีอีเอสระบุไว้
กรณีทั่วไป VS กรณีจำเป็น เปิดช่องเก็บข้อมูลจราจร "เป็นพิเศษเฉพาะราย"
กรณีทั่วไป ผู้ให้บริการที่เกี่ยวข้องกับสื่อดิจิทัลตามประกาศของดีอีเอส ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นถูกนำเข้าสู่ระบบคอมพิวเตอร์ และผู้ให้บริการต่างๆ มีหน้าที่เริ่มเก็บรักษาข้อมูลดังกล่าวภายใน 180 วันจนถึง 1 ปี นับตั้งแต่วันที่ประกาศนี้มีผล
ในประกาศระบุถึง 'กรณีจำเป็น' ไว้ด้วย โดยระบุว่า ผู้มีหน้าที่เกี่ยวข้องหรือเจ้าพนักงานตามกฎหมายฯ สามารถมีคำสั่งให้ผู้บริการสื่อออนไลน์หรือแพลตฟอร์มดิจิทัลต่างๆ เก็บข้อมูลจราจรทางคอมพิวเตอร์ของผู้ใช้บริการ "เป็นกรณีพิเศษเฉพาะราย" ต่อจากระยะเวลาเดิม 90 วัน ได้อีกคราวละไม่เกิน 6 เดือนติดต่อกัน แต่ต้องไม่เกิน 2 ปี
การเก็บข้อมูลจราจรทางคอมพิวเตอร์ของผู้ใช้งานสื่อออนไลน์และแพลตฟอร์มดิจิทัลต่างๆ เป็นกรณีพิเศษ สามารถกระทำได้จากหลายเงื่อนไข รวมถึง "เพื่อประโยชน์ในการรวบรวมข้อเท็จจริงและหลักฐานเกี่ยวกับการกระทำความผิดที่เกี่ยวข้องกับความมั่นคงแห่งราชอาณาจักร การก่อการร้าย องค์กรอาชญากรรมข้ามชาติ หรือความสงบเรียบร้อยของประชาชน"
เก็บข้อมูลอะไรบ้าง?
หลักเกณฑ์ใหม่ของดีอีเอสระบุว่า การเก็บข้อมูลจราจร ต้องสามารถระบุรายละเอียดต่างๆ ได้ดังต่อไปนี้
1. รายละเอียดผู้ใช้บริการรายบุคคล (Identification and Authentication) เช่น ลักษณะการใช้บริการ Proxy Server, Network Address Translation (NAT) หรือ Proxy Cache หรือ Cache Engine หรือบริการ Free Internet หรือ Wi-Fi Hotspot เป็นต้น โดยต้องสามารถระบุตัวตนของผู้ใช้บริการเป็นรายบุคคลได้จริง
2. ข้อมูลที่สามารถระบุตัวตนของผู้ใช้บริการ, วันเวลาและรายละเอียดเหตุการณ์สำคัญที่เกี่ยวข้องกับกิจกรรมของผู้ใช้งาน, ข้อมูลที่สามารถระบุหมายเลขของเครือข่ายคอมพิวเตอร์ระบบคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ (System ID) รวมถึงสถานที่ในการเข้าออกระบบคอมพิวเตอร์ (Location) และอุปกรณ์ที่ใช้เชื่อมต่อคอมพิวเตอร์
3. รายละเอียด ประเภทของแอปพลิเคชัน และการใช้งานในระบบคอมพิวเตอร์, แฟ้มข้อมูลและประเภทของข้อมูลคอมพิวเตอร์ที่ถูกเข้าถึงในระบบคอมพิวเตอร์, ตำแหน่งที่อยู่ของระบบเครือข่ายคอมพิวเตอร์ และโปรโตคอลหลักที่ใช้ เป็นต้น
ต่างประเทศก็เก็บข้อมูล แต่ก็คำนึงถึง "ความเป็นส่วนตัว" เช่นกัน
ข้อมูลจากบริษัทเอกชนไทยที่ให้คำปรึกษทางธุรกิจ DTC Internetworking ระบุวว่า สหภาพยุโรป (EU) มีกฎหมายระบุให้เก็บข้อมูลจราจรทางคอมพิวเตอร์เช่นกัน แต่ขณะเดียวกันก็คุ้มครองความปลอดภัยของข้อมูลส่วนบุคคลด้วย โดยระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) ระบุให้ผู้บริการสื่อสังคมออนไลน์และแพลตฟอร์มดิจิทัลต่างๆ ที่เก็บข้อมูลนี้ มีหน้าที่ต้องชี้แจงหรือแจ้งให้ผู้ใช้งานทราบตั้งแต่เริ่มใช้บริการว่าจะมีการเก็บข้อมูลส่วนบุคคลประเภทใดบ้าง และจะนำไปใช้ในแง่ใด
กฎระเบียบดังกล่าวมีบทลงโทษผู้ที่ทำให้ข้อมูลส่วนบุคคลของผู้ใช้งานรั่วไหลไปยังบุคคลที่ 3 และกำหนดระยะเวลาเก็บข้อมูลเพื่อการเข้าถึงย้อนหลังได้ไม่เกิน 30 วัน ซึ่งผู้ให้บริการอินเทอร์เน็ต สื่อสังคมออนไลน์ หรือแพลตฟอร์มดิจิทัลที่มีบริการเกี่ยวเนื่องกับประเทศหรือพลเมืองของอียู จะต้องปฏิบัติตามเงื่อนไขดังกล่าวด้วย
ส่วนหลักเกณฑ์ใหม่ของดีอีเอสระบุว่า ผู้ให้บริการที่เกี่ยวข้องในประเทศไทยต้องมีระบบจัดเก็บข้อมูลที่รักษาความลับของผู้ใช้บริการเช่นกัน แต่ถ้าข้อมูลของผู้ใช้บริการถูกพิจารณาว่าเข้าข่ายกระทบต่อความมั่นคง การก่อการร้าย อาชญากรรมข้ามชาติ รวมถึงความสงบเรียบร้อยของประชาชน ก็ต้องให้ความร่วมมือกับผู้มีอำนาจหน้าที่และเจ้าพนักงานที่ต้องปฏิบัติตามกฎหมายที่เกี่ยวข้อง
ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๖๔
โดยที่เป็นการสมควรปรับปรุงหลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการให้มีความเหมาะสมกับสภาวะเศรษฐกิจ สังคม และเทคโนโลยีในปัจจุบัน อาศัยอำนาจตามความในมาตรา ๔ วรรคหนึ่ง แห่งพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ และมาตรา ๒๖ วรรคสาม แห่งพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมออกประกาศไว้ ดังต่อไปนี้
ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่องหลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2564”
ข้อ ๒ ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป
ข้อ ๓ ให้ยกเลิกประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๕๐
ข้อ ๔ ในประกาศนี้
“ผู้ให้บริการ” หมายความว่า
(๑) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือในนาม หรือเพื่อประโยชน์ของบุคคลอื่น
(๒) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น “ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล” หมายความว่า ระบบการลงทะเบียนทางเครือข่ายอินเทอร์เน็ตหรือเครือข่ายทางอิเล็กทรอนิกส์ที่เชื่อมโยงข้อมูลระหว่างบุคคลใดๆ หรือข้อมูลระหว่างผู้ใช้บริการ ผู้ให้บริการ บุคคลต่างๆ หรือหน่วยงานของรัฐ ในระบบคอมพิวเตอร์และเครือข่ายอิเล็กทรอนิกส์หรืออินเทอร์เน็ต เพื่อประโยชน์ในการพิสูจน์ยืนยันตัวตนและการกระทำใดๆ ที่เกี่ยวเนื่องกับการพิสูจน์และยืนยันตัวตนโดยต้องอยู่ภายใต้กรอบของเทคโนโลยีที่สอดคล้องและเป็นไปตามหลักเกณฑ์ เงื่อนไข และมาตรฐานขั้นต่ำในเรื่องระดับความน่าเชื่อถือของระบบและสื่อที่ใช้ในการยืนยันตัวตนที่ประกาศฉบับนี้กำหนด หรือตามที่รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมประกาศทั้งหมด
“การพิสูจน์และยืนยันตัวตน” หมายความว่า กระบวนการพิสูจน์และยืนยันความถูกต้องของตัวบุคคล ไม่ว่าจะโดยตัวบุคคลนั้นเองหรือที่เกิดจากข้อมูลคอมพิวเตอร์ที่ประมวลผลโดยระบบคอมพิวเตอร์หรือปัญญาประดิษฐ์
“สื่อสังคมออนไลน์ (Social Media)” หมายความว่า สื่อหรือช่องทางในการติดต่อสื่อสารหรือแลกเปลี่ยนข้อมูลระหว่างบุคคลโดยใช้เทคโนโลยีสารสนเทศ หรือเครือข่ายอินเทอร์เน็ต (Internet Intermediary) ที่เน้นการสร้างหรือเผยแพร่เนื้อหาระหว่างผู้ใช้งานด้วยกัน (Creation and Exchange of User-generated Content) หรือสนับสนุนการสื่อสารสองทาง หรือการนำเสนอและเผยแพร่เนื้อหาในวงกว้างได้ด้วยตนเอง ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ โปรแกรมคอมพิวเตอร์ ซอฟต์แวร์
แอพพลิเคชัน กระดานข่าว เครือข่ายสังคมออนไลน์ สื่อส าหรับการเผยแพร่และแลกเปลี่ยนเนื้อหาที่เป็นข้อมูลคอมพิวเตอร์ ข้อมูลอิเล็กทรอนิกส์ ภาพนิ่ง เสียง วีดิทัศน์ หรือแฟ้มข้อมูล หรือให้บริการเนื้อที่เก็บข้อมูล บนอินเทอร์เน็ต บล็อก (blogs) เว็บไซต์สำหรับการสร้างและแก้ไขเนื้อหาร่วมกัน เกมออนไลน์หรือโลกเสมือนที่มีผู้ใช้งานหลายคน หรือสื่ออิเล็กทรอนิกส์หรือสื่อออนไลน์อื่นในลักษณะเดียวกันหรือคล้ายคลึงกันที่เปิดให้ใช้งาน เพื่อเป็นช่องทางสื่อสารระหว่างบุคคล ระหว่างกลุ่มบุคคล
หรือกับสาธารณะ
ข้อ ๕ ผู้ให้บริการประเภทดังต่อไปนี้มีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์
(๑) ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น ทั้งนี้ โดยผ่านทางระบบคอมพิวเตอร์ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือในนามของบุคคลอื่น หรือเพื่อประโยชน์ของบุคคลอื่น สามารถจำแนกได้ ดังนี้
ก. ผู้ประกอบกิจการโทรคมนาคมและการกระจายภาพและเสียง (Telecommunication and Broadcast Carrier) ประกอบด้วยผู้ให้บริการตามที่กำหนดในภาคผนวก ก. แนบท้ายประกาศนี้
ข. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider) ประกอบด้วยผู้ให้บริการตามที่ก าหนดในภาคผนวก ก. แนบท้ายประกาศนี้
ค. ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือให้เช่าบริการโปรแกรมประยุกต์ต่างๆ (Host Service Provider) ประกอบด้วยผู้ให้บริการตามที่กำหนดในภาคผนวก ก. แนบท้ายประกาศนี้
ง. ผู้ให้บริการร้านอินเทอร์เน็ต ประกอบด้วยผู้ให้บริการตามที่กำหนดในภาคผนวก ก.แนบท้ายประกาศนี้
จ. ผู้ให้บริการโปรแกรมคอมพิวเตอร์ ซอฟต์แวร์ เทคโนโลยีปัญญาประดิษฐ์แอพพลิเคชันที่ท าให้บุคคลสามารถติดต่อสื่อสารข้อมูลระหว่างกันได้ (Online Application Store) ประกอบด้วยผู้ให้บริการตามที่กำหนดในภาคผนวก ก. แนบท้ายประกาศนี้
ฉ. ผู้ให้บริการสื่อสังคมออนไลน์ รวมถึงผู้ให้บริการในฐานะสื่อกลางในการรับส่งข้อมูลผ่านระบบเครือข่ายคอมพิวเตอร์ ไม่ว่าจะมีระบบสมาชิกหรือไม่ก็ตาม ประกอบด้วยผู้ให้บริการตามที่กำหนดในภาคผนวก ก. แนบท้ายประกาศนี้
(๒) ผู้ให้บริการในการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น สามารถจำแนกได้ ดังนี้
ก. ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชั่นต่าง ๆ (Content and Application Service Provider) ประกอบด้วยผู้ให้บริการตามที่ก าหนดในภาคผนวก ก. แนบท้ายประกาศนี้
ข. ผู้ให้บริการเก็บหรือพักข้อมูลทั้งในรูปแบบชั่วคราวหรือถาวร โดยมีระบบที่บริหารจัดการข้อมูลด้วยอินเทอร์เน็ต อาทิเช่น ระบบคลาวด์ (Cloud Computing Service Provider) ซึ่งได้ให้บริการโดยตรงกับผู้ใช้งาน (End User) ประกอบด้วยผู้ให้บริการตามที่กำหนดในภาคผนวก ก. แนบท้ายประกาศนี้
ค. ผู้ให้บริการดิจิทัล (Digital Service Provider) ประกอบด้วยผู้ให้บริการตามที่กำหนดในภาคผนวก ก. แนบท้ายประกาศนี้
ข้อ ๖ ข้อมูลจราจรทางคอมพิวเตอร์ที่ผู้ให้บริการมีหน้าที่เก็บรักษาให้เป็นไปตามที่กำหนดในภาคผนวก ข. แนบท้ายประกาศนี้
ข้อ ๗ ผู้ให้บริการแต่ละประเภทตามที่ก าหนดในข้อ ๕ มีหน้าที่เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ดังนี้
(๑) ผู้ให้บริการตามข้อ ๕ (๑) ก.มีหน้าที่เก็บข้อมูลจราจรทางคอมพิวเตอร์ตามที่กำหนด ในภาคผนวก ข.
(๒) ผู้ให้บริการตามข้อ ๕ (๑) ข.มีหน้าที่เก็บข้อมูลจราจรทางคอมพิวเตอร์ตามที่กำหนดในภาคผนวก ข. ตามประเภท ชนิดและหน้าที่การให้บริการ
(๓) ผู้ให้บริการตามข้อ ๕ (๑) ค.มีหน้าที่เก็บข้อมูลจราจรทางคอมพิวเตอร์ตามที่กำหนดในภาคผนวก ข. ตามประเภท ชนิดและหน้าที่การให้บริการ
(๔) ผู้ให้บริการตามข้อ ๕ (๑) ง.มีหน้าที่เก็บข้อมูลจราจรทางคอมพิวเตอร์ตามที่กำหนดในภาคผนวก ข.
(๕) ผู้ให้บริการตามข้อ ๕ (๑) จ.มีหน้าที่เก็บข้อมูลจราจรทางคอมพิวเตอร์ตามที่กำหนดในภาคผนวก ข.
(๖) ผู้ให้บริการตามข้อ ๕ (๑) ฉ.มีหน้าที่เก็บข้อมูลจราจรทางคอมพิวเตอร์ตามที่กำหนดในภาคผนวก ข.
(๗) ผู้ให้บริการตามข้อ ๕ (๒) มีหน้าที่เก็บข้อมูลจราจรทางคอมพิวเตอร์ตามที่กำหนดในภาคผนวก ข.
ข้อ ๘ ผู้ให้บริการต้องจัดให้มีระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลสำหรับผู้ใช้บริการทุกคนโดยใช้เทคโนโลยีที่สอดคล้องกับเงื่อนไขและมาตรฐานขั้นต่ำในระดับความน่าเชื่อถือและสื่ออิเล็กทรอนิกส์ที่ใช้ยืนยันตัวตนตามที่สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์กำหนดในหมวด ๓/๑ เรื่องระบบการพิสูจน์ยืนยันตัวตนทางดิจิทัลของพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๔๔ หรือตามหลักเกณฑ์อื่นที่มีมาตรฐานสอดคล้องและไม่ต่ำกว่าที่กำหนดในประกาศฉบับนี้หรือตามที่รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมประกาศกำหนด
ทั้งนี้ เพื่อป้องกันระบบความน่าเชื่อถือของข้อมูลให้ถูกต้องและไม่ให้ถูกแก้ไขเปลี่ยนแปลง รวมถึงเพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ ผู้ให้บริการต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลในระบบการพิสูจน์และยืนยันตัวตนซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งาน
ข้อมูลในระบบการพิสูจน์และยืนยันตัวตน (access control) โดยอย่างน้อย ต้องประกอบด้วยการดำเนินการ ดังต่อไปนี้
(๑) การควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลในระบบ การพิสูจน์และยืนยันตัวตนโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
(๒) การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลในระบบการพิสูจน์และยืนยันตัวตน
(๓) การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลในระบบการพิสูจน์และยืนยันตัวตนเฉพาะผู้ที่ได้รับอนุญาตแล้ว
(๔) การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลในระบบการพิสูจน์และยืนยันตัวตนโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลในระบบการพิสูจน์และยืนยันตัวตน
(๕) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบหรือถ่ายโอนข้อมูลในระบบการพิสูจน์และยืนยันตัวตนให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลในระบบการพิสูจน์และยืนยันตัวตน
ข้อ ๙ การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ผู้ให้บริการต้องใช้วิธีการที่มั่นคงปลอดภัย ดังต่อไปนี้
(๑) เก็บในสื่อ (Media) หรืออุปกรณ์คอมพิวเตอร์หรือระบบคอมพิวเตอร์ ที่สามารถรักษาความครบถ้วนถูกต้องแท้จริง
(Integrity) และระบุตัวบุคคล (Identification) ที่เข้าถึงสื่อดังกล่าวได้
(๒) มีระบบการเก็บรักษาความลับของข้อมูลที่จัดเก็บ และก าหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อถือของข้อมูล และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้ เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือทำ Data Hashing เป็นต้น เว้นแต่ผู้มีหน้าที่เกี่ยวข้องที่เจ้าของหรือผู้บริหารองค์กรกำหนดให้สามารถเข้าถึงข้อมูลดังกล่าวได้ เช่น ผู้ตรวจสอบระบบสารสนเทศขององค์กร (IT Auditor) หรือบุคคลที่องค์กรมอบหมาย เป็นต้น รวมทั้งพนักงานเจ้าหน้าที่ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
(๓) จัดให้มีผู้มีหน้าที่ประสานงานและให้ข้อมูลกับพนักงานเจ้าหน้าที่ซึ่งได้รับการแต่งตั้งตามพระราชบัญญัติว่าด้วยการกระท าความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และที่แก้ไขเพิ่มเติมเพื่อให้การส่งมอบข้อมูลนั้น เป็นไปด้วยความรวดเร็ว
(๔) ในการเก็บข้อมูลจราจรนั้น ต้องสามารถระบุรายละเอียดผู้ใช้บริการเป็นรายบุคคลได้ (Identification and Authentication) เช่น ลักษณะการใช้บริการ Proxy Server, Network Address Translation (NAT) หรือ Proxy Cache หรือ Cache Engine หรือบริการ Free Internet หรือ Wi-Fi Hotspot เป็นต้น ต้องสามารถระบุตัวตนของผู้ใช้บริการเป็นรายบุคคลได้จริง
ข้อ ๑๐ ในกรณีที่ผู้ให้บริการมีข้อตกลง สัญญา หรือมีการว่าจ้างบุคคลภายนอกที่ไม่ใช่ผู้ให้บริการให้ทำหน้าที่หรือเกี่ยวข้องกับการเก็บรักษาข้อมูลจราจรคอมพิวเตอร์แทนหน้าที่ของตนเองที่ต้องดำเนินการตามประกาศฉบับนี้ ผู้ให้บริการยังคงมีหน้าที่ตามกฎหมายที่ต้องเก็บรักษา ทำสำเนาข้อมูลจราจรคอมพิวเตอร์ และครอบครองไว้ซึ่งข้อมูลำเนาที่เกี่ยวข้องกับข้อมูลจราจรคอมพิวเตอร์ซึ่งสามารถระบุตัวตนได้ และส่งมอบให้พนักงานเจ้าหน้าที่ทันทีเมื่อพนักงานเจ้าหน้าที่ร้องขอ โดยข้อมูลจราจร
คอมพิวเตอร์ดังกล่าวต้องมีระบบการพิสูจน์และยืนยันตัวตน (Identification and Authentication)ที่เชื่อถือได้ตามที่ประกาศฉบับนี้กำหนด
ข้อ ๑๑ เพื่อให้ข้อมูลจราจรทางคอมพิวเตอร์มีความถูกต้องและนำมาใช้ประโยชน์ได้จริงผู้ให้บริการต้องตั้งนาฬิกาของอุปกรณ์บริการทุกชนิดให้ตรงกับเวลาอ้างอิงสากล (Stratum 0) ให้ตรงกับอุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้อง (Clock Synchronization) และมาตรฐานการเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ต้องเป็นไปตามมาตรฐานสากลตามที่กำหนดไว้ในภาคผนวกท้ายประกาศฉบับนี้
ข้อ ๑๒ ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ตามกำหนดระยะเวลา ดังต่อไปนี้
(๑) กรณีทั่วไป ให้ผู้ให้บริการเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์
(๒) กรณีจำเป็นเมื่อมีเหตุอันควรเชื่อได้ว่ามีการกระทำความผิดตามพระราชบัญญัตินี้ หรือเพื่อประโยชน์ในการรวบรวมข้อเท็จจริงและหลักฐานเกี่ยวกับการกระทำความผิดที่เกี่ยวข้องกับความมั่นคงแห่งราชอาณาจักร การก่อการร้าย องค์กรอาชญากรรมข้ามชาติ หรือความสงบเรียบร้อยของประชาชนซึ่งได้ใช้ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์หรืออุปกรณ์ที่ใช้เก็บข้อมูลคอมพิวเตอร์เป็นองค์ประกอบหรือเป็นส่วนหนึ่งในการกระทำความผิด หรือมีข้อมูลคอมพิวเตอร์ที่เกี่ยวข้องกับการกระทำความผิด ไม่ว่าข้อเท็จจริงในเหตุแห่งความจำเป็นดังกล่าวปรากฏต่อพนักงานเจ้าหน้าที่นั้นเอง หรือเมื่อได้รับการร้องขอ
จากเจ้าหน้าที่ผู้รับผิดชอบในการสืบสวนหรือสอบสวน ก่อนครบกำหนดเวลาตาม (๑) ให้พนักงานเจ้าหน้าที่มีคำสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ของผู้ใช้บริการเป็นกรณีพิเศษ เฉพาะรายต่อไปอีกคราวละไม่เกินหกเดือนต่อเนื่องกัน แต่ต้องไม่เกินสองปี
ข้อ ๑๓ ผู้ให้บริการมีหน้าที่เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์นับแต่วันที่ประกาศฉบับนี้มีผลใช้บังคับ ทั้งนี้
(๑) ผู้ให้บริการตามข้อ ๕ (๑) ง. ให้เก็บข้อมูลจราจรทางคอมพิวเตอร์ตามที่กำหนดไว้ภายในหนึ่งปีนับแต่วันที่ประกาศฉบับนี้มีผลใช้บังคับ
(๒) ผู้ให้บริการตามข้อ ๕ (๒) ค. ให้เก็บข้อมูลจราจรทางคอมพิวเตอร์ตามที่กำหนดไว้ภายในหนึ่งร้อยแปดสิบวันนับแต่วันที่ประกาศฉบับนี้มีผลใช้บังคับ
ข้อ ๑๔ เพื่อให้การดำเนินการตามประกาศฉบับนี้เป็นไปโดยเรียบร้อย และมีประสิทธิภาพกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมอาจกำหนดแนวทางการบริหารจัดการหรือแนวทางปฏิบัติเพื่อให้การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์มีความน่าเชื่อถือและมีความปลอดภัยต่อข้อมูลจราจรทางคอมพิวเตอร์
ประกาศ ณ วันที่ 13 สิงหาคม พ.ศ. ๒๕๖๔
ชัยวุฒิ ธนาคมานุสรณ์
รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
ภาคผนวก ก
แนบท้ายประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ
พ.ศ. ๒๕๖๔
๑. ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ไม่ว่าจะเป็นการให้บริการในนามของตนเองหรือในนามหรือเพื่อประโยชน์ของบุคคลอื่น ตามข้อ ๕ (๑)
จำแนกได้ ๖ ประเภท ดังนี้
ประเภท/รายละเอียดตัวอย่างรูปแบบของผู้ให้บริการ
ก. ผู้ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและเสียง (Telecommunication and Broadcast Carrier)
๑) ผู้ให้บริการโทรศัพท์พื้นฐาน (Fixed Line Service Provider)
๒) ผู้ให้บริการโทรศัพท์เคลื่อนที่ (Mobile Service Provider)
๓) ผู้ให้บริการโทรคมนาคมที่ให้บริการโทรศัพท์ติดต่อกันผ่านระบบอินเทอร์เน็ตและเครือข่ายคอมพิวเตอร์
๔) ผู้ให้บริการวงจรเช่า (Leased Circuit Service Provider) เช่น ผู้ให้บริการ Leased Line, ผู้ให้บริการสายเช่า Fiber Optic, ผู้ให้บริการ ADSL (Asymmetric Digital Subscriber Line), ผู้ให้บริการ Frame Relay, ผู้ให้บริการ ATM (Asynchronous Transfer Mode), ผู้ให้บริการ MPLS (Multi Protocol Label Switching) เป็นต้น เว้นแต่ผู้ให้บริการนั้น ให้บริการแต่เพียง Physical Media หรือสายสัญญาณอย่างเดียว (Cabling) เท่านั้น (เช่น ผู้ให้บริการ Dark Fiber, ผู้ให้บริการสายใยแก้วนำแสง ซึ่งอาจไม่มีสัญญาน Internet หรือไม่มีIP Traffic)
๕) ผู้ให้บริการดาวเทียม (Satellite Service Provider)
๖) ผู้ให้บริการ VOIP (Voice over IP)
ข. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider)
๑) ผู้ให้บริการอินเทอร์เน็ต (Internet Service Provider) ทั้งมีสายและไร้สาย
๒) ผู้ประกอบการซึ่งให้บริการในการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ในห้องพัก ห้องเช่า โรงแรม หรือร้านอาหารและเครื่องดื่ม ในแต่ละกลุ่ม อย่างหนึ่งอย่างใด
๓) ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ส าหรับองค์กร เช่น หน่วยงานราชการ บริษัท หรือสถาบันการศึกษา
ค. ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่าง ๆ (Hosting Service Provider)
๑) ผู้ให้บริการเช่าระบบคอมพิวเตอร์ (Web Hosting), การให้บริการเช่า Web Server
๒) ผู้ให้บริการแลกเปลี่ยนแฟ้มข้อมูล (File Server หรือ File Sharing)
๓) ผู้ให้บริการเข้าถึงจดหมายอิเล็กทรอนิกส์ (Mail Server Service Provider) หรือบริการเข้าถึงข้อความอิเล็กทรอนิกส์ที่ติดต่อสื่อสารกันผ่านระบบคอมพิวเตอร์
๔) ผู้ให้บริการศูนย์รับฝากข้อมูลทางอินเทอร์เน็ต (Internet Data Center)
ง. ผู้ให้บริการร้านอินเทอร์เน็ต
๑) ผู้ให้บริการร้านอินเทอร์เน็ต (Internet Café)
๒) ผู้ให้บริการร้านเกมออนไลน์ (Game Online)
๓) ผู้ให้บริการประเภทเกมส์หรือสันทนาการประเภท Virtual Reality หรือ e-Sport
จ. ผู้ให้บริการโปรแกรมคอมพิวเตอร์ ซอฟต์แวร์ เทคโนโลยีปัญญาประดิษฐ์ แอพพลิเคชัน ที่ทำให้บุคคลทั่วไปสามารถติดต่อสื่อสารข้อมูลถึงกันได้ (Online Application Store)
๑) App Store
๒) Google Play
๓) Chatbot
๔) Clubhouse
๕) Telegram
๖) ผู้ให้บริการอื่นที่ให้บริการโดยลักษณะการให้การติดต่อสื่อสารในลักษณะทำนองเดียวกัน ฯลฯ
ฉ. ผู้ให้บริการสื่อสังคมออนไลน์ รวมถึงผู้ให้บริการในฐานะสื่อกลางในการรับส่งข้อมูลผ่านระบบเครือข่ายคอมพิวเตอร์
ไม่ว่าจะมีระบบบอกรับสมาชิกหรือไม่ก็ตาม
๑) Facebook
๒) Youtube
๓) Instagram
๔) Linkedin
๕) Line
๖) MSN Messenger
๗) Whatsapp
๘)ผู้ให้บริการอื่นที่ให้บริการโดยลักษณะการให้การติดต่อสื่อสารในลักษณะทำนองเดียวกัน ฯลฯ
๒. ผู้ให้บริการในการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลตามข้อ ๕ (๒) ประกอบด้วย ผู้ให้บริการ ดังภาคผนวก ก แนบท้ายประกาศนี้
ประเภท/ รายละเอียดตัวอย่างรูปแบบของผู้ให้บริการ
ก. ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชันต่าง ๆ (Content and Application Service Provider)
๑) ผู้ให้บริการเว็บบอร์ด (Web board) หรือผู้ให้บริการบล็อค (Blog)
๒) ผู้ให้บริการการทำธุรกรรมทางการเงินทางอินเทอร์เน็ต (Internet Banking) และให้บริการชำระเงินทางอิเล็กทรอนิกส์ (Electronic Payment Service Provider)
๓) ผู้ให้บริการเว็บเซอร์วิส (Web Services)
๔) ผู้ให้บริการพาณิชย์อิเล็กทรอนิกส์ (e-Commerce) หรือ ธุรกรรมทางอิเล็กทรอนิกส์ (e-Transactions)
ข. ผู้ให้บริการเก็บพักข้อมูลในรูปแบบชั่วคราวหรือถาวรโดยมีระบบที่บริหารจัดการข้อมูลบนอินเทอร์เน็ต คลาวด์ (Cloud Computing Service Provider) ซึ่งได้ให้ บริการโดยตรงกับผู้ใช้บริการหรือผู้ใช้งาน (End User)
๑) ผู้ให้บริการโครงสร้างพื้นฐานหลัก (Infrastructure as a Service: IaaS)
๒) ผู้ให้บริการแพลตฟอร์ม (Platform as a Service : PaaS)
๓) ผู้ให้บริการซอฟต์แวร์ (Software as a Service : SaaS)
๔) ผู้ให้บริการระบบจัดเก็บข้อมูล (Data Storage as a Service (DSaaS)
๕) ผู้ให้บริการระบบ CDN (Caching Delivery Network)
ค. ผู้ให้บริการดิจิทัล (Digital Service Provider) ที่ใช้เครือข่ายคอมพิวเตอร์หรือระบบคอมพิวเตอร์เป็นส่วนหนึ่งของการให้บริการ
๑) ผู้ให้บริการด้านการเงิน (Finance)
๒) ผู้ให้บริการด้านสาธารณสุข/สุขภาพ (Health)
๓) ผู้ให้บริการด้านไลฟ์สไตล์ (Lifestyle)
๔) ผู้ให้บริการด้านอสังหาริมทรัพย์(Property/Urban)
๕) ผู้ให้บริการด้านอาหารและการเกษตร (Food/Agriculture)
๖) ผู้ให้บริการด้านการท่องเที่ยว (Travel)
๗) ผู้ให้บริการด้านอุตสาหกรรม (Industry)
๘) ผู้ให้บริการด้านประกันภัย
๙) ผู้ให้บริการด้านการศึกษา (Education)
๑๐) ผู้ให้บริการด้านเพลง ศิลปะ และนันทนาการ (Music, Art and Recreation)
๑๑) ผู้ให้บริการด้านการจ าหน่ายสินค้าและให้บริการอื่นๆ ที่ใช้ระบบคอมพิวเตอร์ เครือข่ายคอมพิวเตอร์ ในการให้บริการทั้งประเภท B2B C2C B2C G2C และอื่น ๆ
ดูรายละเอียดภาคผนวก ข. ที่ เว็บไซต์ราชกิจจานุเบกษา