จากสัมมนาเรื่องพ.ร.บ. ความผิดคอมฯ 13 ก.ค.

นายไพบูลย์ อมรภิญโญเกียรติ (อ.นิติศาสตร์ จุฬา)

• เป็นก.ม.นี้ที่พิทักษ์สิทธิของประชาชน
• นามแฝง ทุกอย่างยังทำได้เหมือนเดิม
• ตรงกันข้าม นายจ้างเข้าดูอีเมลของลูกค้าผิดก.ม.นี้ (unauthorized access to data)
• หน่วยงานรัฐก็ดูอีเมล/monitor ท่านไม่ได้ ผิดก.ม.นี้
• เรื่อง log ข้อมูลที่มีอยู่ในปัจจุบันก็พอ ที่ต้องทำเป็นก.ม.เพราะไปขอ ISP ก็บอกไม่มี ขอบริษัท Mobile Carrier ก็ไม่มี ทำให้ตามจับคนร้ายไม่ได้
• ดักอีเมล เปลี่ยนแปลงอีเมล ผิด
• forward mail รูปโป๊ผิด เช่นเดียวกับสิ่งอื่นที่ผิดก.ม.หมาย เพราะถือเป็นการเผยแพร่
• ผู้ให้บริการจงใจ/สนับสนุน การกระทำผิดของผู้ใช้บริการเท่านั้นถึงจะผิด (ก.ม.อาญาเจตนาเท่านั้นถึงจะผิด)
• ก.ม.นี้ทำให้เอาผิดการกระทำที่อยู่ต่างประเทศแต่ส่งผลมายังประเทศไทยได้ (เช่น YouTube ที่ไม่ยอมลบคลิป)
• SPAM 100,000 บาท/ฉบับ

พันตำรวจโทนิเวศน์ อาภาวศิน (รองผู้กำกับการ ศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี ตำรวจ forensic)

• ตามข้อมูลจาก zone-h.org เว็บไซต์โดเมน th นั้น โดน defaced ไปแล้วถึง 3674 เว็บไซต์ ซึ่งส่วนใหญ่คือ ac.th และ go.th

Q&A

• มือถือก็จัดเป็นระบบคอมพิวเตอร์
• ลิ้งค์ไป porn ก็เป็นความผิด (เผยแพร่) (เพราะฉะนั้นคิดได้ว่า ลิงค์ไปอื่นๆที่ผิดก.ม.ก็น่าจะผิด)
• ชี้ช่องโหว่(vulnerability)ไม่ผิดก.ม.
• ต่อไป ICT จะประกาศว่า malware ตัวไหนผิดก.ม.บ้าง โดยอันไหนมีประโยชน์ก็จะอนุญาติให้เผยแพร่ได้
• ใช้ nmap ไม่ผิดก.ม.
• traffic data ต้องเก็บถึงขนาดไหน ประกาศกระทรวง
• ข้อมูลบันทึกถึงตัวบุคคล ก็ useraname หรือ IP address เพียงพอ (ตำรวจจะนำไปสืบต่อจาก ISP เอง)
• Extranet ก็ต้องเก็บ log
• เรื่อง log (traffic data) ยืดเวลาบังคับเก็บให้ 150 วัน นับจากวันที่ 18 นี้
• ร้านเน็ทคาเฟ่จะเก็บข้อมูลของผู้มาใช้อย่างไร ถ้าเป็นเด็กอายุต่ำกว่า 15 ปี? => เก็บเบอร์โทรศัพท์โดยเช็คเบอร์โดยโทรมิสส์คอล หรือ ติดกล้องวงจรปิด หรือ ใช้เว็บแคมถ่ายรูปหน้าขึ้นมา
• ผู้ให้บริการที่ไม่ได้ทำผิดไม่ต้องกลัว ก.ม.ไม่ได้ให้อำนาจรัฐเรียกตรวจถ้าไม่มีผู้เสียหาย
• เมลลูกโซ่ผิดไหม? ผิดถ้าเนื้อหาผิด
• anonymous post ทำได้ตามปกติ ไม่ต้องล็อกอินก็ได้ แต่ผู้ให้บริการต้องเก็บไอพี(และตรวจเช็คเนื้อหา?) มีเรื่องตำรวจจะไปตรวจสอบกับ ISP เอง แต่มีก็สมัครสมาชิกใช้จะดีกว่า เก็บฟรีอีเมลเป็นตัวระบุถูกใช้ก็ยังได้เพราะยังอาจจะขอความร่วมมือระหว่างประเทศได้
• สแปมเมลผิดก.ม.ก็ต้องเมื่อปกปิดแหล่งที่มาเท่านั้น แต่ไม่ปกปิดก็ผิดก.ม.อาญาอื่นได้ถ้าก่อนความรำคาญ
• การตรวจเช็คว่าพนักงานบริษัทส่งข้อมูลของบริษัทออกไปภายนอกองค์กรหรือไม่ ผิดไหม? => ผิด (ผิดหลายบท เอาบทหนักสุด) เว้นแต่จะระบุไว้ในสัญญาว่าจ้าง
• ในกรณีข้างต้นแนะนำให้ว่านายจ้างทำข้อตกลงเหล่านี้กับลูกจ้าง

1. ห้ามเอาข้อมูลส่วนตัวไว้ในระบบคอมพิวเตอร์ของบริษัท
2. ห้ามเอาข้อมูลบริษัทออกเผยแพร่
3. บริษัทมีสิทธิในการ monitor

• ต่อไปจะปิด(ชั่วคราว) ISP ต้องมีหมายศาล
• ทำอย่างไรว่าย้าย data ลงเทปแล้วไม่มีการแก้ไขเนื้อหาจากต้นฉบับ? => ให้ทำ hashing เช่น MD5 หลังเกิดเหตุทันที เพื่อให้เชื่อถือได้ว่าไม่มีการแก้ไข
• มีสื่อลามกในเครื่องผิดไหม? => ไม่ผิด กลัวคุกไม่พอขัง (ว่างั้น -_-") ผิดเมื่อทำการค้าเท่านั้น (คงหมายถึงเผยแพร่ด้วย)
• พ.ร.บ.นี้ไม่ย้อนหลัง
• ให้บริการอะไรก็เก็บ log ของบริการนั้น เช่น FTP ก็ enable FTP log ซะ
• ในกรณีให้บริการ web server ต้องเก็บ access log ไหม? => ไม่จำเป็น แต่แน่ะนำให้ทำเพื่อตัวเอง เพราะเวลาโดนแฮ็คจะได้มีข้อมูลที่เกี่ยวกับคนร้าย
• แค่พยายาม hack ผิดไหม? => ผิด
• outsource ให้บริษัทอื่น แล้วบริษัทอื่นกระทำผิด ผิดไหม? => ผิด ต้องรับผิดชอบทั้งสองบริษัท
• ตั้งแต่ 18 นี้ ICT จะบล็อกเว็บไม่ได้แล้ว ต้องขอหมายศาล
• มีปัญหาเป็นผู้เสียหาย ให้ร้องทุกข์กับสถานีตำรวจ ไม่ใช่ ICT
• มาตรา 16 เท่านั้นที่ยอมความได้ นอกนั้นอาญาแผ่นดิน
• ผู้ให้บริการจะผิดเมื่อแจ้งแล้วไม่ลบเท่านั้น

ปล. ชอบแบบที่เป็นอยู่ ไม่เรียบเรียงแล้วครับ