กฎหมายที่เกี่ยวข้องกับความ...
Post on 08-Mar-2020
3 Views
Preview:
TRANSCRIPT
กฎหมายทเกยวของกบความมนคงปลอดภยทางคอมพวเตอร
โดยณฐวรรธน สขวงศตระกล
ผชวยผอานวยการ สานกกฎหมายสานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการ
มหาชน)
วนพธท ๓๐ เมษายน ๒๕๕๗ กรมวทยาศาสตรการแพทย
• ผกระทาความผดอยตรงไหนกไดในโลก• ความเสยหายกระทบถงคนจานวนมาก & รวดเรว• ใชเทคโนโลยทซบซอนในการกระทาความผด• ยากตอการตรวจพบรองรอยการกระทาผด• ยากตอการจบกมและนาผกระทาผดมาลงโทษ• สามารถรเรมการกระทาความผดครงใหมไดโดยรวดเรว
ลกษณะของภยคกคามดานสารสนเทศ
2
3
• เพมความมนใจในการทาธรกรรมออนไลน โดยการสรางความเทาเทยมกบการทาในรปแบบกระดาษ
• ยนยนตวบคคล (Authentication)• เพมระบบความมนคงปลอดภย (Security)• เอาผดผกออาชญากรรมทางคอมพวเตอร• คมครองขอมลสวนบคคล
กฎหมายเทคโนโลยสารสนเทศ
สงเสรม/เชงรก
เชน พรบ.ธรกรรมทางอเลกทรอนก
ส &
ควบคม/เชงรบ
เชน พรบ.การกระทาความผด
เกยวกบคอมพวเตอร, รางพรบ.ขอมลสวน
บคคล
บทบาทของกฎหมายตอเทคโนโลยสารสนเทศ
• พ.ร.บ.วาดวยธรกรรมทางอเลกทรอนกส
• พ.ร.ฎ.วธการแบบปลอดภยฯ
• พ.ร.ฎ.กาหนดหลกเกณฑและวธการในการทาธรกรรมภาครฐฯ
• พ.ร.ฎ.การควบคมดแลธรกจบรการ e-payment
ดานการยกระดบ
ความเชอมน
• รฐธรรมนญแหงราชอาณาจกรไทย
• กฎหมายอาญา
• กฎหมายขอมลขาวสารราชการ
• กฎหมายคมครองเดก
• กฎหมายองคการจดสรรคลนความถและกากบ
• กฎหมายคมครองขอมลเครดต
• ประกาศ กทช เรอง มาตรการคมครองสทธของผใชบรการโทรคมนาคม
• พ.ร.บ.วาดวยธรกรรมทางอเลกทรอนกส
• (ราง) พ.ร.บ.คมครองขอมลสวนบคคล พ.ศ. ....
ดานการคมครอง
ขอมลสวนบคคล
• ประมวลกฎหมายอาญา
• กฎหมายดานความมนคง
• พ.ร.บ.วาดวยการกระทาความผดเกยวกบคอมพวเตอร
ดานการปราบปรามการละเมด
C.I.A.
กฎหมายทเกยวกบการรกษาความมนคงปลอดภยไซเบอร
เจตนารมณเพอรองรบผลทางกฎหมายของธรกรรมตางๆ ใน
รปขอมลอเลกทรอนกส, กากบดแลการประกอบธรกจบรการเกยวกบ
ธรกรรมฯ ทสาคญ
กฎหมายวาดวยธรกรรมทางอเลกทรอนกส
Model Law on Electronic Commerce
Model Law on Electronic Signatureกฎหมาย
แมแบบ
รองรบผลทางกฎหมาย / รองรบการเปนพยานหลกฐาน / บงคบใชควบคกบกฎหมายอน
พระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 และ ฉบบท 2 พ.ศ. 2551
กลไก/มาตการสงเสรมความนาเช อถอ
หลกการ/สาระสาคญของกฎหมาย
66
ความมนคงปลอดภยสารสนเทศ (Security) / มาตรฐานเทคโนโลย (Standard) /
ธรกจบรการดานธรกรรมทางอเลกทรอนกส / เผยแพรพฒนาความรความเขาใจ
ธรกรรมทางแพง
และพาณชย
การดาเนนงา
น / ใหบรการภาครฐ
เอกสารอเลกทรอนกส
ลายมอชอ/ตราประทบ
อเลกทรอนกส
การแปลงเอกสาร
การทาสงพมพออก
การแสดงเจตนาดวย
วธทางอเลกทรอนกส
กฎหมายวาดวยธรกรรมทางอเลกทรอนกส
รบรองผลทางกฎหมาย
การแสดงเจตนาดวย
วธทางอเลกทรอนกส / การรบสงขอมลอเลกทรอนกส ม.๑๓ - ๒๔
เอกสารอเลกทรอนกส
ม. ๘
ลายมอชอ/ตราประทบ
อเลกทรอนกสม.๙, ม. ๒๖
หลกการสาคญของกฎหมาย
มาตรา 25
“วธการแบบปลอดภยในการทาธรกรรมทาง
อเลกทรอนกส”มาตรา 35
“ธรกรรมภาครฐ”
ม. 25 ทงหนวยงานภาครฐและเอกชน
เพอยกระดบความมนคงปลอดภย &
ความนาเชอถอ
ม. 35 เฉพาะหนวยงานภาครฐ
และเปนขอกาหนดขนตา
พ.ร.ฎ. วาดวยวธการแบบปลอดภยในการทาธรกรรมทางอเลกทรอนกส พ.ศ. 2553
มาตรา 6
มาตรา 7
ประกาศ คธอ. เรอง ประเภทของธรกรรมทางอเลกทรอนกส และหลกเกณฑการประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบปลอดภย พ.ศ. 2555 (ตามมาตรา 6 วรรคหนง)
ประกาศ คธอ. เรอง มาตรฐานการรกษาความมนคงปลอดภยของระบบสารสนเทศตามวธการแบบปลอดภย พ.ศ. 2555 (ตามมาตรา 7)
(ราง) ประกาศ คธอ. เรอง รายชอหนวยงานตามวธการแบบปลอดภย พ.ศ. .... (ตามมาตรา 6 วรรคสอง)
วธการแบบปลอดภยม 3 ระดบ(ม. 4)
1. ระดบเครงครด
2. ระดบกลาง3. ระดบพนฐา
น
วธการแบบปลอดภยทง 3 ระดบ ใชสาหรบธรกรรมทางอเลกทรอนกส ดงน1.ทมผลกระทบตอความมนคงหรอความสงบ
เรยบรอยของประเทศ/ตอสาธารณชน2.ของหนวยงานหรอองคกร หรอสวนงานของ
หนวยงานหรอองคกรทเปนโครงสรางพนฐานสาคญของประเทศ (Critical Infrastructure)
ISO/IEC 27001:2005
“โครงสรางพนฐานสาคญของประเทศ” (critical infrastructure) หนวยงาน/องคกร/สวนงานหนงสวนงานใดของ
หนวยงานหรอองคกร ธรกรรมทางอเลกทรอนกสของหนวยงาน/องคกร/สวนงานของหนวยงานหรอองคกร มผลเกยวเนองสาคญตอความมนคงหรอความสงบเรยบรอยของประเทศ หรอตอสาธารณชน
ม. 25 แหง พ.ร.บ. ธรกรรมฯ
การประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบมนคงปลอดภย
พ.ร.ฎ. วาดวยวธการแบบปลอดภยในการทาธรกรรมทางอเลกทรอนกส พ.ศ. 2553การประเมนระดบ
ผลกระทบทเกดขนใน 1 วน
Security Basicผลกระทบระดบ
ตา
Security Mediumผลกระทบระดบกลาง
Security High Level
ผลกระทบระดบสง(1) ผลกระทบดานมลคา
ความเสยหายทางการเงน
(2) ผลกระทบตอจานวนผใชบรการหรอผมสวนไดเสยทอาจไดรบอนตรายตอชวต รางกายหรออนามย(3) ผลกระทบตอจานวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความเสยหายอนใดนอกจาก (2)(4) ผลกระทบดานความมนคงของรฐ
ไมมผใชบรการไดรบผลกระทบตอชวต รางกาย หรออนามย
ไมมผลกระทบตอความมนคงของรฐ
- มผลกระทบตอความมนคงของรฐ
หากมผลกระทบระดบกลางอยางนอย 2 ดานขนไปใหใชวธการแบบปลอดภยใน
หากมผลกระทบระดบสงเพยง 1 ดานตองใชวธการแบบมนคงปลอดภยในระดบ
มาตรา ๓๕ พระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส
คาขอ การอนญาต การจดทะเบยน คาสงทางปกครอง การชาระเงน การประกาศ หรอการดาเนนการใด ๆ ตามกฎหมายกบหนวยงานของรฐหรอโดยหนวยงานของรฐ ถาไดกระทาในรปของขอมลอเลกทรอนกส ตามหลกเกณฑและวธการทกาหนดโดยพระราชกฤษฎกา ใหนาพระราชบญญตนมาใชบงคบและใหถอวามผลโดยชอบดวยกฎหมายเชนเดยวกบการดาเนนการตามหลกเกณฑและวธการทกฎหมายในเรองนนกาหนด ทงน ในพระราชกฤษฎกาอาจกาหนดใหบคคลทเกยวของตองกระทาหรองดเวนกระทาการใด ๆ หรอใหหนวยงานของรฐออกระเบยบเพอกาหนดรายละเอยดในบางกรณดวยกได ในการออกพระราชกฤษฎกาตามวรรคหนง พระราชกฤษฎกาดงกลาวอาจกาหนดใหผประกอบธรกจ
พระราชกฤษฎกากาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกส
ภาครฐ พ.ศ. ๒๕๔๙(บงคบใชตงแตวนท ๑๐ มกราคม
๒๕๕๐)
มาตรา ๓การดาเนนการใดๆ เกยวกบเอกสารในรปของขอมลอเลกทรอนกส
มาตรา ๕การจดใหมแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ (Security Policy)
มาตรา ๖ การจดทาแนวนโยบายคมครองขอมลสวนบคคล (privacy policy)
ประกาศ คธอ. เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของ
ประกาศ คธอ. เรอง แนวนโยบายและแนวปฏบตในการคมครองขอมลสวนบคคลของ
มาตรา ๗แนวนโยบายและแนวปฏบตตามมาตรา ๕และ ๖ ตองไดรบความเหนชอบจากคณะกรรมการฯ
มาตรา ๘คณะกรรมการฯ จดทาแนวนโยบายและแนวปฏบตใหเปนตวอยางกบหนวยงานภาครฐ
ม. ๓๕ แหง พ.ร.บ. ธรกรรมทางอเลกทรอนกส พ.ศ. ๒๕๔๔
พ.ร.ฎ.กาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙
หนวยงานของรฐ
ตาม ม. ๔
พ.ร.บ. ธรกรรมฯ
ภยคกคามทสงผลตอขอมลสวนบคคล
ขนตอนการดาเนนการจดสงนโยบายและแนวปฏบตฯ
การประเมนตนเอง (Checklist)
สนง.คกก.ธรกรรมทางอเลกทรอนกส พจารณา
คณะอนกรรมการความมนคงปลอดภยพจารณาให
คณะกรรมการธรกรรมทางอเลกทรอนกสพจารณา
๑๒
๓๔
องคประกอบของเอกสารนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดาน
สารสนเทศ
มาตรฐานขนตาในนโยบายและแนวปฏบตฯ
• การควบคมเขาถง
• การจดใหมระบบสารสนเทศและระบบสารองของสารสนเทศทอยในสภาพพรอมใช
• การตรวจสอบและประเมนความเสยงอยางสมาเสมอ
เอกสารทครอบคลมเนอหาอยางนอย ๕
ประเภท
• ประกาศนโยบายและแนวปฏบตดาน security
• ขนตอนปฏบตในการรกษาความมนคงปลอดภยทมลกษณะเฉพาะเจาะจงและสามารถปฏบตไดจรง
• แผนสารองระบบสารสนเทศ
• แผนเตรยมความพรอมกรณฉกเฉน
• คาสงแตงตงบคลากรทรบผดชอบตามนโยบายในดานตางๆ เชน ผรบผดชอบตอนโยบายฯ ผรบผดชอบตอแผนสารอง เปนตน
ประกาศ คธอ. เรอง
แนวนโยบายและ
แนวปฏบตในการรกษาความมนคง
ปลอดภยดาน
สารสนเท
1. การเขาถงหรอควบคมการใชงานสารสนเทศ2. การจดใหมระบบสารสนเทศและระบบสารองของสารสนเทศซงอยในสภาพพรอมใชงาน และจดทาแผนเตรยมพรอมกรณฉกเฉน3. การตรวจสอบและประเมนความเสยงดานสารสนเทศอยางสมาเสมอ
นโยบาย
(Policy)
ขอปฏบต(Practi
ce)
SECURITY
1.การเขาถงและควบคมการใชงานสารสนเทศ (access control)
2.การใชงานตามภารกจเพอควบคมการเขาถงสารสนเทศ (business requirements for access control)
3.การบรหารจดการการเขาถงของผใชงาน (user access management)
4.หนาทความรบผดชอบของผใชงาน (user responsibilities)
5.ควบคมการเขาถงเครอขาย (network access control)
6.การควบคมการเขาถงระบบปฏบตการ (operating system access control)
7.การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (application and
ประกาศ คธอ. เรอง
แนวนโยบายและ
แนวปฏบตในการ
คมครองขอมลสวน
บคคลของ
หนวยงา
นโยบาย
(Policy)ขอ
ปฏบต(Practic
e)
สอดคลองกนและตองคานงถงหลกเกณฑ 8
ประการ ดงน
1.การเกบรวบรวมขอมลสวนบคคลอยางจากด (Collection Limitation Principle)
2. คณภาพของขอมลสวนบคคล (Data Quality Principle)3.การระบวตถประสงคในการเกบรวบรวม (Purpose
Specification Principle)4.ขอจากดในการนาขอมลสวนบคคลไปใช (Use
Limitation Principle)5.การรกษาความมนคงปลอดภย (Security Safeguards
Principle)6.การเปดเผยเกยวกบการดาเนนการ แนวปฏบต และ
นโยบายทเกยวกบขอมลสวนบคคล (Openness
สอดคลองกบ
OECDPrivacy
กฎหมายวาดวยการกระทาความผดเกยวกบคอมพวเตอร
19
รปแบบกฎหมาย
กระทาความผดตอคอมพวเตอร
Computer Crime / Cybercrime
Computer Related Crime
ใชคอมพวเตอรเปนเครองมอในการกระทา
ความผด
ความผดเกยวกบคอมพวเตอร
กระทาตอคอมพวเตอร
ใชคอมพวเตอรกระทาความผด
พนกงานเจาหนาท
พนกงานเจาหนาท
อานาจหนาท (ม.18) : (1) มหนงสอ/เรยกเพอใหถอยคา/เอกสาร (2) เรยกขอมลจราจร (3) สงใหสงมอบขอมลทอยในครอบครอง (4) ทาสาเนาขอมล (5) สงใหสงมอบขอมล/อป กรณ (6) ตรวจสอบ/เขาถง (7) ถอดรหสลบ (8) ยด/อายดระบบ
ขอจากด/การตรวจสอบการใชอานาจ (ม.19) : ยนคารองตอศาลในการใชอานาจตาม ม.18 (4)-(8), สงสาเนาบนทกรายละเอยดใหแกศาลภายใน 48 ชม., ยด/อายดหามเกน 30 วน ขอขยายไดอก 60 วน (ม.18(8))
การ block เวบไซต พนกงานเจาหนาทโดยความเหนชอบของรมว.ทก.ยนคารองตอศาล
กระทาความผดนอกราชอาณาจกร ตองรบโทษ
ภายในราชอาณาจกร
ผใหบรการ
ม.26 เกบขอมลจราจร 90 วน ไมเกน 1 ปม.27: ไมปฏบตตามคาสงพนกงานเจาหนาทหรอคาสงศาล ระวางโทษปรบ
พ.ร.บ.วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550
ม.11 Spam mail
ม.14 การปลอมแปลงขอมลคอมพวเตอร/เผยแพรเนอหาอนไมเหมาะสม
ม.15 ความรบผดของผใหบรการ
ม.16 การเผยแพรภาพจากการตดตอ/ดดแปลง
ม.5 การเขาถงระบบคอมฯ
ม.6 การลวงรมาตรการการปองกนการเขาถง
ม.7 การเขาถงขอมลคอมฯ
ม.8 การดกรบขอมลคอมฯ
ม.9 การรบกวนขอมลคอมฯ
ม.10 การรบกวนระบบคอมฯ
ม.13 การจาหนาย/ เผยแพรชดคาสงเพอ
การรกษาความลบ
(confidentiality)
การรกษาความครบถวน
(integrity)
การรกษาสภาพพรอมใชงาน (availability) หลก C.I.A.
พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550
กาหนดมาตรการในการปองกนและปราบปรามการกระทาความผด
เกยวกบคอมพวเตอร
ปญหาและอปสรรคในการบงคบ
ใชกฎหมาย
Computer Crime or
Computer Related Crimeการบงคบใชทผดไปจาก
เจตนารมณการละเมดสทธเสรภาพของประชาชน
กบกระบวนการตรวจสอบ และการคานอานาจของภาครฐ
ภาระหนาทและความรบผดของตวกลาง
ความพยายามในการปรบปรงกฎหมาย
เพอสรางสมดลระหวางสทธ เสรภาพ
การดแลความมนคงของประเทศ
และ การคมครองบคคลผสจรต
รปแบบและฐานความผดทางอาชญากรรมทางคอมพวเตอร
ตวอยางรปแบบการกระทาความผด
ตวอยางผลกระทบตอความมนคงปลอดภย
(Information Security) & ความเสยหาย
ฐานความผด
เจาะระบบ (hack)สปายแวร (Spyware)สนฟเฟอร (Sniffer)
- การสอดแนมขอมลสวนตว - การแอบดกฟง packet
ม. ๕ เขาถงระบบคอมพวเตอรม. ๖ เปดเผยมาตรการปองกนระบบม. ๗ เขาถงขอมลคอมพวเตอรม. ๘ ดกรบขอมลคอมพวเตอร
การใชชดคาสงในทางมชอบ (Malicious Code) เชน Viruses, Worms, Trojan Horses
- การตงเวลาใหโปรแกรมทาลายขอมลคอมพวเตอรหรอระบบคอมพวเตอร- การทาใหระบบคอมพวเตอรทางานผดปกตไปจากเดม หรอหยดทางาน (Denial of Service)
ม. ๙ รบกวน/ทาลายขอมลคอมพวเตอรม. ๑๐ รบกวน/ทาลายระบบคอมพวเตอร
สแปม (Spamming)
-รบกวนการใชระบบคอมพวเตอรตามปกตอาจถงขนทาใหเปน Zombie
ม. ๑๑ การทาสแปม
การกระทาความผดขางตน
- ผลกระทบตอความมนคงปลอดภยของประเทศ หรอทางเศรษฐกจ / ความป ส /
ม. ๑๒ เหตฉกรรจ
ความผดเกยวกบเนอหา
มาตรา ๑๔ ผใดกระทาความผดทระบไวดงตอไปน ตองระวางโทษจาคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ(๑) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรปลอมไมวาทงหมดหรอบางสวน หรอขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกผอนหรอประชาชน(๒) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายตอความมนคงของประเทศหรอกอใหเกดความตนตระหนกแกประชาชน(๓) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกรหรอความผดเกยวกบการกอการรายตามประมวลกฎหมายอาญา (๔) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ ทมลกษณะอนลามก และขอมลคอมพวเตอรนนประชาชนทวไปอาจเขาถงได
24
อานาจของพนกงานเจาหนาท
• การระงบการปดกนเวบไซต (มาตรา ๒๐)เปนการทาใหแพรหลายซงขอมลคอมพวเตอรทอาจ
กระทบกระเทอนตอความมนคงแหงราชอาณาจกรตามทกาหนดไวในภาค ๒ ลกษณะท ๑ หรอลกษณะ ๑/๑ แหงประมวลกฎหมายอาญา หรอทมลกษณะขดตอความสงบเรยบรอย หรอศลธรรมอนดของประชาชน พนกงานเจาหนาทโดยไดรบความเหนชอบจากรฐมนตรอาจยนคารอง พรอมแสดงพยานหลกฐานตอศาลทมเขตอานาจขอใหมคาสงใหระงบการทาใหแพรหลายซงขอมลคอมพวเตอรนนได • การเกบขอมลจราจรทางคอมพวเตอร (มาตรา ๒๖)
ผใหบรการตองมการจดเกบขอมลจราจรทางคอมพวเตอรอยางนอย ๙๐ วน
25
ผเสยหายรองทกข
สงเรองใหรองขอใหชวยสบสวนเกบหลกฐาน
กระบวนการรองทกขในปจจบน
ตารวจพนกงานเจาหนาท
ตาม พ.ร.บ.
ปอท.
รบแจง
- รบเรองรองทกข
- รบโอน- รบคารองขอ
สรปสานวนทาความเหนโดยพนกงานตารวจ
สอบสวนและรวบรวม
พยานหลกฐาน
ขอความรวมม
อ
คดซบซอน
รบเรองรองทกข
26
Q & A
27
กระทรวงเทคโนโลยสารสนเทศและการสอสาร ศนยราชการเฉลมพระเกยรต ๘๐ พรรษา อาคารรฐประศาสนภกด (อาคารบ) ชน ๗ ถนนแจงวฒนะ หลกส กรงเทพฯ
สานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)Electronic Transactions Development Agency (Public Organization)
top related