กฎหมายทเกยวของกบความมนคงปลอดภยทางคอมพวเตอร

โดยณฐวรรธน สขวงศตระกล

ผชวยผอานวยการ สานกกฎหมายสานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการ

มหาชน)

วนพธท ๓๐ เมษายน ๒๕๕๗ กรมวทยาศาสตรการแพทย

• ผกระทาความผดอยตรงไหนกไดในโลก• ความเสยหายกระทบถงคนจานวนมาก & รวดเรว• ใชเทคโนโลยทซบซอนในการกระทาความผด• ยากตอการตรวจพบรองรอยการกระทาผด• ยากตอการจบกมและนาผกระทาผดมาลงโทษ• สามารถรเรมการกระทาความผดครงใหมไดโดยรวดเรว

ลกษณะของภยคกคามดานสารสนเทศ

2

3

• เพมความมนใจในการทาธรกรรมออนไลน โดยการสรางความเทาเทยมกบการทาในรปแบบกระดาษ

• ยนยนตวบคคล (Authentication)• เพมระบบความมนคงปลอดภย (Security)• เอาผดผกออาชญากรรมทางคอมพวเตอร• คมครองขอมลสวนบคคล

กฎหมายเทคโนโลยสารสนเทศ

สงเสรม/เชงรก

เชน พรบ.ธรกรรมทางอเลกทรอนก

ส &

ควบคม/เชงรบ

เชน พรบ.การกระทาความผด

เกยวกบคอมพวเตอร, รางพรบ.ขอมลสวน

บคคล

บทบาทของกฎหมายตอเทคโนโลยสารสนเทศ

• พ.ร.บ.วาดวยธรกรรมทางอเลกทรอนกส

• พ.ร.ฎ.วธการแบบปลอดภยฯ

• พ.ร.ฎ.กาหนดหลกเกณฑและวธการในการทาธรกรรมภาครฐฯ

• พ.ร.ฎ.การควบคมดแลธรกจบรการ e-payment

ดานการยกระดบ

ความเชอมน

• รฐธรรมนญแหงราชอาณาจกรไทย

• กฎหมายอาญา

• กฎหมายขอมลขาวสารราชการ

• กฎหมายคมครองเดก

• กฎหมายองคการจดสรรคลนความถและกากบ

• กฎหมายคมครองขอมลเครดต

• ประกาศ กทช เรอง มาตรการคมครองสทธของผใชบรการโทรคมนาคม

• พ.ร.บ.วาดวยธรกรรมทางอเลกทรอนกส

• (ราง) พ.ร.บ.คมครองขอมลสวนบคคล พ.ศ. ....

ดานการคมครอง

ขอมลสวนบคคล

• ประมวลกฎหมายอาญา

• กฎหมายดานความมนคง

• พ.ร.บ.วาดวยการกระทาความผดเกยวกบคอมพวเตอร

ดานการปราบปรามการละเมด

C.I.A.

กฎหมายทเกยวกบการรกษาความมนคงปลอดภยไซเบอร

เจตนารมณเพอรองรบผลทางกฎหมายของธรกรรมตางๆ ใน

รปขอมลอเลกทรอนกส, กากบดแลการประกอบธรกจบรการเกยวกบ

ธรกรรมฯ ทสาคญ

กฎหมายวาดวยธรกรรมทางอเลกทรอนกส

Model Law on Electronic Commerce

Model Law on Electronic Signatureกฎหมาย

แมแบบ

รองรบผลทางกฎหมาย / รองรบการเปนพยานหลกฐาน / บงคบใชควบคกบกฎหมายอน

พระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 และ ฉบบท 2 พ.ศ. 2551

กลไก/มาตการสงเสรมความนาเช อถอ

หลกการ/สาระสาคญของกฎหมาย

66

ความมนคงปลอดภยสารสนเทศ (Security) / มาตรฐานเทคโนโลย (Standard) /

ธรกจบรการดานธรกรรมทางอเลกทรอนกส / เผยแพรพฒนาความรความเขาใจ

ธรกรรมทางแพง

และพาณชย

การดาเนนงา

น / ใหบรการภาครฐ

เอกสารอเลกทรอนกส

ลายมอชอ/ตราประทบ

อเลกทรอนกส

การแปลงเอกสาร

การทาสงพมพออก

การแสดงเจตนาดวย

วธทางอเลกทรอนกส

กฎหมายวาดวยธรกรรมทางอเลกทรอนกส

รบรองผลทางกฎหมาย

การแสดงเจตนาดวย

วธทางอเลกทรอนกส / การรบสงขอมลอเลกทรอนกส ม.๑๓ - ๒๔

เอกสารอเลกทรอนกส

ม. ๘

ลายมอชอ/ตราประทบ

อเลกทรอนกสม.๙, ม. ๒๖

หลกการสาคญของกฎหมาย

มาตรา 25

“วธการแบบปลอดภยในการทาธรกรรมทาง

อเลกทรอนกส”มาตรา 35

“ธรกรรมภาครฐ”

ม. 25 ทงหนวยงานภาครฐและเอกชน

เพอยกระดบความมนคงปลอดภย &

ความนาเชอถอ

ม. 35 เฉพาะหนวยงานภาครฐ

และเปนขอกาหนดขนตา

พ.ร.ฎ. วาดวยวธการแบบปลอดภยในการทาธรกรรมทางอเลกทรอนกส พ.ศ. 2553

มาตรา 6

มาตรา 7

ประกาศ คธอ. เรอง ประเภทของธรกรรมทางอเลกทรอนกส และหลกเกณฑการประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบปลอดภย พ.ศ. 2555 (ตามมาตรา 6 วรรคหนง)

ประกาศ คธอ. เรอง มาตรฐานการรกษาความมนคงปลอดภยของระบบสารสนเทศตามวธการแบบปลอดภย พ.ศ. 2555 (ตามมาตรา 7)

(ราง) ประกาศ คธอ. เรอง รายชอหนวยงานตามวธการแบบปลอดภย พ.ศ. .... (ตามมาตรา 6 วรรคสอง)

วธการแบบปลอดภยม 3 ระดบ(ม. 4)

1. ระดบเครงครด

2. ระดบกลาง3. ระดบพนฐา

น

วธการแบบปลอดภยทง 3 ระดบ ใชสาหรบธรกรรมทางอเลกทรอนกส ดงน1.ทมผลกระทบตอความมนคงหรอความสงบ

เรยบรอยของประเทศ/ตอสาธารณชน2.ของหนวยงานหรอองคกร หรอสวนงานของ

หนวยงานหรอองคกรทเปนโครงสรางพนฐานสาคญของประเทศ (Critical Infrastructure)

ISO/IEC 27001:2005

“โครงสรางพนฐานสาคญของประเทศ” (critical infrastructure) หนวยงาน/องคกร/สวนงานหนงสวนงานใดของ

หนวยงานหรอองคกร ธรกรรมทางอเลกทรอนกสของหนวยงาน/องคกร/สวนงานของหนวยงานหรอองคกร มผลเกยวเนองสาคญตอความมนคงหรอความสงบเรยบรอยของประเทศ หรอตอสาธารณชน

ม. 25 แหง พ.ร.บ. ธรกรรมฯ

การประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบมนคงปลอดภย

พ.ร.ฎ. วาดวยวธการแบบปลอดภยในการทาธรกรรมทางอเลกทรอนกส พ.ศ. 2553การประเมนระดบ

ผลกระทบทเกดขนใน 1 วน

Security Basicผลกระทบระดบ

ตา

Security Mediumผลกระทบระดบกลาง

Security High Level

ผลกระทบระดบสง(1) ผลกระทบดานมลคา

ความเสยหายทางการเงน

(2) ผลกระทบตอจานวนผใชบรการหรอผมสวนไดเสยทอาจไดรบอนตรายตอชวต รางกายหรออนามย(3) ผลกระทบตอจานวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความเสยหายอนใดนอกจาก (2)(4) ผลกระทบดานความมนคงของรฐ

ไมมผใชบรการไดรบผลกระทบตอชวต รางกาย หรออนามย

ไมมผลกระทบตอความมนคงของรฐ

- มผลกระทบตอความมนคงของรฐ

หากมผลกระทบระดบกลางอยางนอย 2 ดานขนไปใหใชวธการแบบปลอดภยใน

หากมผลกระทบระดบสงเพยง 1 ดานตองใชวธการแบบมนคงปลอดภยในระดบ

มาตรา ๓๕ พระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส

คาขอ การอนญาต การจดทะเบยน คาสงทางปกครอง การชาระเงน การประกาศ หรอการดาเนนการใด ๆ ตามกฎหมายกบหนวยงานของรฐหรอโดยหนวยงานของรฐ ถาไดกระทาในรปของขอมลอเลกทรอนกส ตามหลกเกณฑและวธการทกาหนดโดยพระราชกฤษฎกา ใหนาพระราชบญญตนมาใชบงคบและใหถอวามผลโดยชอบดวยกฎหมายเชนเดยวกบการดาเนนการตามหลกเกณฑและวธการทกฎหมายในเรองนนกาหนด ทงน ในพระราชกฤษฎกาอาจกาหนดใหบคคลทเกยวของตองกระทาหรองดเวนกระทาการใด ๆ หรอใหหนวยงานของรฐออกระเบยบเพอกาหนดรายละเอยดในบางกรณดวยกได ในการออกพระราชกฤษฎกาตามวรรคหนง พระราชกฤษฎกาดงกลาวอาจกาหนดใหผประกอบธรกจ

พระราชกฤษฎกากาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกส

ภาครฐ พ.ศ. ๒๕๔๙(บงคบใชตงแตวนท ๑๐ มกราคม

๒๕๕๐)

มาตรา ๓การดาเนนการใดๆ เกยวกบเอกสารในรปของขอมลอเลกทรอนกส

มาตรา ๕การจดใหมแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ (Security Policy)

มาตรา ๖ การจดทาแนวนโยบายคมครองขอมลสวนบคคล (privacy policy)

ประกาศ คธอ. เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของ

ประกาศ คธอ. เรอง แนวนโยบายและแนวปฏบตในการคมครองขอมลสวนบคคลของ

มาตรา ๗แนวนโยบายและแนวปฏบตตามมาตรา ๕และ ๖ ตองไดรบความเหนชอบจากคณะกรรมการฯ

มาตรา ๘คณะกรรมการฯ จดทาแนวนโยบายและแนวปฏบตใหเปนตวอยางกบหนวยงานภาครฐ

ม. ๓๕ แหง พ.ร.บ. ธรกรรมทางอเลกทรอนกส พ.ศ. ๒๕๔๔

พ.ร.ฎ.กาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙

หนวยงานของรฐ

ตาม ม. ๔

พ.ร.บ. ธรกรรมฯ

ภยคกคามทสงผลตอขอมลสวนบคคล

ขนตอนการดาเนนการจดสงนโยบายและแนวปฏบตฯ

การประเมนตนเอง (Checklist)

สนง.คกก.ธรกรรมทางอเลกทรอนกส พจารณา

คณะอนกรรมการความมนคงปลอดภยพจารณาให

คณะกรรมการธรกรรมทางอเลกทรอนกสพจารณา

๑๒

๓๔

องคประกอบของเอกสารนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดาน

สารสนเทศ

มาตรฐานขนตาในนโยบายและแนวปฏบตฯ

• การควบคมเขาถง

• การจดใหมระบบสารสนเทศและระบบสารองของสารสนเทศทอยในสภาพพรอมใช

• การตรวจสอบและประเมนความเสยงอยางสมาเสมอ

เอกสารทครอบคลมเนอหาอยางนอย ๕

ประเภท

• ประกาศนโยบายและแนวปฏบตดาน security

• ขนตอนปฏบตในการรกษาความมนคงปลอดภยทมลกษณะเฉพาะเจาะจงและสามารถปฏบตไดจรง

• แผนสารองระบบสารสนเทศ

• แผนเตรยมความพรอมกรณฉกเฉน

• คาสงแตงตงบคลากรทรบผดชอบตามนโยบายในดานตางๆ เชน ผรบผดชอบตอนโยบายฯ ผรบผดชอบตอแผนสารอง เปนตน

ประกาศ คธอ. เรอง

แนวนโยบายและ

แนวปฏบตในการรกษาความมนคง

ปลอดภยดาน

สารสนเท

1. การเขาถงหรอควบคมการใชงานสารสนเทศ2. การจดใหมระบบสารสนเทศและระบบสารองของสารสนเทศซงอยในสภาพพรอมใชงาน และจดทาแผนเตรยมพรอมกรณฉกเฉน3. การตรวจสอบและประเมนความเสยงดานสารสนเทศอยางสมาเสมอ

นโยบาย

(Policy)

ขอปฏบต(Practi

ce)

SECURITY

1.การเขาถงและควบคมการใชงานสารสนเทศ (access control)

2.การใชงานตามภารกจเพอควบคมการเขาถงสารสนเทศ (business requirements for access control)

3.การบรหารจดการการเขาถงของผใชงาน (user access management)

4.หนาทความรบผดชอบของผใชงาน (user responsibilities)

5.ควบคมการเขาถงเครอขาย (network access control)

6.การควบคมการเขาถงระบบปฏบตการ (operating system access control)

7.การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (application and

ประกาศ คธอ. เรอง

แนวนโยบายและ

แนวปฏบตในการ

คมครองขอมลสวน

บคคลของ

หนวยงา

นโยบาย

(Policy)ขอ

ปฏบต(Practic

e)

สอดคลองกนและตองคานงถงหลกเกณฑ 8

ประการ ดงน

1.การเกบรวบรวมขอมลสวนบคคลอยางจากด (Collection Limitation Principle)

2. คณภาพของขอมลสวนบคคล (Data Quality Principle)3.การระบวตถประสงคในการเกบรวบรวม (Purpose

Specification Principle)4.ขอจากดในการนาขอมลสวนบคคลไปใช (Use

Limitation Principle)5.การรกษาความมนคงปลอดภย (Security Safeguards

Principle)6.การเปดเผยเกยวกบการดาเนนการ แนวปฏบต และ

นโยบายทเกยวกบขอมลสวนบคคล (Openness

สอดคลองกบ

OECDPrivacy

กฎหมายวาดวยการกระทาความผดเกยวกบคอมพวเตอร

19

รปแบบกฎหมาย

กระทาความผดตอคอมพวเตอร

Computer Crime / Cybercrime

Computer Related Crime

ใชคอมพวเตอรเปนเครองมอในการกระทา

ความผด

ความผดเกยวกบคอมพวเตอร

กระทาตอคอมพวเตอร

ใชคอมพวเตอรกระทาความผด

พนกงานเจาหนาท

พนกงานเจาหนาท

อานาจหนาท (ม.18) : (1) มหนงสอ/เรยกเพอใหถอยคา/เอกสาร (2) เรยกขอมลจราจร (3) สงใหสงมอบขอมลทอยในครอบครอง (4) ทาสาเนาขอมล (5) สงใหสงมอบขอมล/อป กรณ (6) ตรวจสอบ/เขาถง (7) ถอดรหสลบ (8) ยด/อายดระบบ

ขอจากด/การตรวจสอบการใชอานาจ (ม.19) : ยนคารองตอศาลในการใชอานาจตาม ม.18 (4)-(8), สงสาเนาบนทกรายละเอยดใหแกศาลภายใน 48 ชม., ยด/อายดหามเกน 30 วน ขอขยายไดอก 60 วน (ม.18(8))

การ block เวบไซต พนกงานเจาหนาทโดยความเหนชอบของรมว.ทก.ยนคารองตอศาล

กระทาความผดนอกราชอาณาจกร ตองรบโทษ

ภายในราชอาณาจกร

ผใหบรการ

ม.26 เกบขอมลจราจร 90 วน ไมเกน 1 ปม.27: ไมปฏบตตามคาสงพนกงานเจาหนาทหรอคาสงศาล ระวางโทษปรบ

พ.ร.บ.วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550

ม.11 Spam mail

ม.14 การปลอมแปลงขอมลคอมพวเตอร/เผยแพรเนอหาอนไมเหมาะสม

ม.15 ความรบผดของผใหบรการ

ม.16 การเผยแพรภาพจากการตดตอ/ดดแปลง

ม.5 การเขาถงระบบคอมฯ

ม.6 การลวงรมาตรการการปองกนการเขาถง

ม.7 การเขาถงขอมลคอมฯ

ม.8 การดกรบขอมลคอมฯ

ม.9 การรบกวนขอมลคอมฯ

ม.10 การรบกวนระบบคอมฯ

ม.13 การจาหนาย/ เผยแพรชดคาสงเพอ

การรกษาความลบ

(confidentiality)

การรกษาความครบถวน

(integrity)

การรกษาสภาพพรอมใชงาน (availability) หลก C.I.A.

พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550

กาหนดมาตรการในการปองกนและปราบปรามการกระทาความผด

เกยวกบคอมพวเตอร

ปญหาและอปสรรคในการบงคบ

ใชกฎหมาย

Computer Crime or

Computer Related Crimeการบงคบใชทผดไปจาก

เจตนารมณการละเมดสทธเสรภาพของประชาชน

กบกระบวนการตรวจสอบ และการคานอานาจของภาครฐ

ภาระหนาทและความรบผดของตวกลาง

ความพยายามในการปรบปรงกฎหมาย

เพอสรางสมดลระหวางสทธ เสรภาพ

การดแลความมนคงของประเทศ

และ การคมครองบคคลผสจรต

รปแบบและฐานความผดทางอาชญากรรมทางคอมพวเตอร

ตวอยางรปแบบการกระทาความผด

ตวอยางผลกระทบตอความมนคงปลอดภย

(Information Security) & ความเสยหาย

ฐานความผด

เจาะระบบ (hack)สปายแวร (Spyware)สนฟเฟอร (Sniffer)

- การสอดแนมขอมลสวนตว - การแอบดกฟง packet

ม. ๕ เขาถงระบบคอมพวเตอรม. ๖ เปดเผยมาตรการปองกนระบบม. ๗ เขาถงขอมลคอมพวเตอรม. ๘ ดกรบขอมลคอมพวเตอร

การใชชดคาสงในทางมชอบ (Malicious Code) เชน Viruses, Worms, Trojan Horses

- การตงเวลาใหโปรแกรมทาลายขอมลคอมพวเตอรหรอระบบคอมพวเตอร- การทาใหระบบคอมพวเตอรทางานผดปกตไปจากเดม หรอหยดทางาน (Denial of Service)

ม. ๙ รบกวน/ทาลายขอมลคอมพวเตอรม. ๑๐ รบกวน/ทาลายระบบคอมพวเตอร

สแปม (Spamming)

-รบกวนการใชระบบคอมพวเตอรตามปกตอาจถงขนทาใหเปน Zombie

ม. ๑๑ การทาสแปม

การกระทาความผดขางตน

- ผลกระทบตอความมนคงปลอดภยของประเทศ หรอทางเศรษฐกจ / ความป ส /

ม. ๑๒ เหตฉกรรจ

ความผดเกยวกบเนอหา

มาตรา ๑๔ ผใดกระทาความผดทระบไวดงตอไปน ตองระวางโทษจาคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ(๑) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรปลอมไมวาทงหมดหรอบางสวน หรอขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกผอนหรอประชาชน(๒) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายตอความมนคงของประเทศหรอกอใหเกดความตนตระหนกแกประชาชน(๓) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกรหรอความผดเกยวกบการกอการรายตามประมวลกฎหมายอาญา (๔) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ ทมลกษณะอนลามก และขอมลคอมพวเตอรนนประชาชนทวไปอาจเขาถงได

24

อานาจของพนกงานเจาหนาท

• การระงบการปดกนเวบไซต (มาตรา ๒๐)เปนการทาใหแพรหลายซงขอมลคอมพวเตอรทอาจ

กระทบกระเทอนตอความมนคงแหงราชอาณาจกรตามทกาหนดไวในภาค ๒ ลกษณะท ๑ หรอลกษณะ ๑/๑ แหงประมวลกฎหมายอาญา หรอทมลกษณะขดตอความสงบเรยบรอย หรอศลธรรมอนดของประชาชน พนกงานเจาหนาทโดยไดรบความเหนชอบจากรฐมนตรอาจยนคารอง พรอมแสดงพยานหลกฐานตอศาลทมเขตอานาจขอใหมคาสงใหระงบการทาใหแพรหลายซงขอมลคอมพวเตอรนนได • การเกบขอมลจราจรทางคอมพวเตอร (มาตรา ๒๖)

ผใหบรการตองมการจดเกบขอมลจราจรทางคอมพวเตอรอยางนอย ๙๐ วน

25

ผเสยหายรองทกข

สงเรองใหรองขอใหชวยสบสวนเกบหลกฐาน

กระบวนการรองทกขในปจจบน

ตารวจพนกงานเจาหนาท

ตาม พ.ร.บ.

ปอท.

รบแจง

- รบเรองรองทกข

- รบโอน- รบคารองขอ

สรปสานวนทาความเหนโดยพนกงานตารวจ

สอบสวนและรวบรวม

พยานหลกฐาน

ขอความรวมม

อ

คดซบซอน

รบเรองรองทกข

26

Q & A

27

กระทรวงเทคโนโลยสารสนเทศและการสอสาร ศนยราชการเฉลมพระเกยรต ๘๐ พรรษา อาคารรฐประศาสนภกด (อาคารบ) ชน ๗ ถนนแจงวฒนะ หลกส กรงเทพฯ

สานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)Electronic Transactions Development Agency (Public Organization)