http://www.chainat.go.th/sub1/rid12/Report/ICT_law2550.pdfศึกษาภาระรับผิดชอบของ 'ผู้ให้บริการ' ก่อน พรบ.คอมฯ บังคับใช้
๒๕ มีนาคม ๒๕๕๐
... การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ หรือ Traffic data คงยังเป็นความวิตกกังวลของ “ผู้ให้บริการ” หลายราย เนื่องจากในร่าง พรบ.ว่าด้วยการกระทำความผิดเกี่ย ...
การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ หรือ Traffic data คงยังเป็นความวิตกกังวลของ “ผู้ให้บริการ” หลายราย เนื่องจากในร่าง พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับ คอมพิวเตอร์ พ.ศ. ... . มาตรา 24 ได้ระบุว่า “ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้ไม่น้อยกว่าสามสิบวันนับ แต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินสามสิบวัน แต่ไม่เกินเก้าสิบวันเป็นกรณีพิเศษเฉพาะราย และเฉพาะคราวก็ได้ ... .”
แต่ด้วยความคลุมเครือของ “ผู้ให้บริการ” ที่ยังไม่สามารถระบุได้ว่าตีความถึงใครบ้าง และมีข้อมูลที่จำเป็นมากน้อยเพียงใด อันเกี่ยวพันถึงภาระต้นทุนที่จะเพิ่มขึ้น ทำให้ผู้ที่เกี่ยวข้องต้องกลับมาทำการบ้าน และหาทางออกว่า ณ จุดใด จึงจะทำให้กฎหมายฉบับนี้ เกิดประโยชน์สูงสุด สามารถจัดการกับการกระทำผิดทางคอมพิวเตอร์ได้ พร้อมกับก็ไม่กระทบต่อผู้ประกอบธุรกิจที่มีอยู่เป็นจำนวนไม่น้อยมากเกินไป
มรกต กุลธรรมโยธิน นายกสมาคมผู้ให้บริการอินเทอร์เน็ต ให้ทรรศนะว่า ในการเก็บข้อมูลจราจรทางคอมพิวเตอร์หรือ Traffic Data นั้น ถ้าอ้างอิงตาม EU Forum on Cybercrime Discussion Paper for Expert’s Meeting on Retention of Traffic Data 6 พ.ย. 2544 จะจัดได้ 7 กลุ่ม คือ
1. ข้อมูลอินเทอร์เน็ตบนเครื่องคอมพิวเตอร์ส่วนบุคคล (PCs) เช่น อีเมล์, ชื่อ และรหัสผ่าน เป็นต้น
2. ข้อมูลอินเทอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย (Network Access System: NAS หรือ dial up services) ได้แก่ Access log คือ ข้อมูลที่มีการบันทึกเมื่อมีการเข้าถึงเครื่องให้บริการ โดยมีการระบุถึงตัวตน และสิทธิในการเข้าถึงเครือข่าย รวมถึง วัน-เวลา, ชื่อผู้ใช้ (User ID), IP Address และหมายเลขสายที่เรียกเข้า (Caller ID)
3. ข้อมูลในกลุ่มของผู้ให้บริการอีเมล์ (E-mail Servers)ได้แก่ SMTP log คือข้อมูล log ที่บันทึกไว้เมื่อเข้าถึงเครื่องให้บริการ, ชื่ออี-เมล์ทั้งของผู้ส่ง และผู้รับ, วัน-เวลา, IP Address, หมายเลขสมาชิก ฯลฯ
4. ข้อมูลทางอินเทอร์เน็ตที่เกิดจากการโดนถ่ายข้อมูล (FTP Servers) ได้แก่ ข้อมูล log ที่มีการบันทึกเมื่อมีการเข้าถึง FTP Servers (FTP log), วัน-เวลา, หมายเลข IP ของไอเอสพีที่เครื่องผู้เข้าใช้เชื่อมต่ออยู่ในขณะนั้น (IP Source address), หมายเลขสมาชิก (User ID), ตำแหน่ง และชื่อไฟล์ที่อยู่บนเครื่อง FTP (Path and filename of data object upload or download) ฯลฯ
5. ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการเว็บ (Web Servers) ได้แก่ ข้อมูล log ที่บันทึกเมื่อมีการเข้าถึง เว็บเซิร์ฟเวอร์ (HTTP log), วัน-เวลา, หมายเลข IP, รูปแบบคำสั่งในการเข้ามาใช้ (Operation), เส้นทางในการเรียกดูข้อมูล (Path of the operation), รหัสที่เครื่องให้บริการตอบสนองออกไป (Response codes)
6. ข้อมูลบนเครือข่ายคอมพิวเตอร์ขนาดใหญ่ (Usenet) ได้แก่ ข้อมูล log ที่บันทึกเมื่อมีการเข้าถึงเครือข่าย Usenet (NNTP log), วัน-เวลา, ชื่อเครื่อง (Host name), หมายเลข port ในการใช้งาน (Protocol process ID), หมายเลขลำดับข้อความที่ได้ถูกส่งไปแล้ว (Posted message ID) และ จุดประสงค์พื้นฐานในการใช้งานของผู้เข้าใช้บริการ แต่ไม่รวมถึงเนื้อหา (Basic client activity, but not the content)
7. ข้อมูลที่เกิดจากการแลกเปลี่ยนข้อมูลบนเครือข่ายอินเทอร์เน็ต (Internet Relay Chat) ได้แก่ ข้อมูล log เมื่อมีการเข้าถึงเครือข่าย (IRC log), วัน-เวลา, ช่วงเวลาที่มีตัวตนบนเครือข่าย (Duration of session), ชื่อที่ใช้ในเครือข่าย (Nickname used during IRC connection) และชื่อเครือข่ายหรือหมายเลข IP (Hostname and/or IP Address)
พร้อมกันนี้ นายกสมาคมผู้ให้บริการอินเทอร์เน็ต มองว่า สำหรับการเก็บข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการอินเทอร์เน็ตในประเทศไทยนั้น เชื่อว่าการจัดเก็บในส่วนของ login ว่าเข้าระบบในเวลาใด ใช้หมายเลข IP ใด และข้อมูลในการให้บริการอี-เมล์ น่าจะเพียงพอ จึงควรมีการระบุให้ชัดเจนว่าข้อมูลที่จะจัดเก็บตาม พรบ. ฉบับนี้ ควรมีอะไรบ้าง และกำหนดความรับผิดชอบของผู้ให้บริการให้เข้ากับบริการนั้นๆ เพื่อจะได้ไม่เป็นภาระที่มากเกินไป แต่ในมุมของผู้ให้บริการ มองว่าคำนิยามของ “ผู้ให้บริการ” ในร่าง พรบ.ดังกล่าวยังไม่ค่อยชัดเจน เพราะในความเป็นจริงผู้ให้บริการมีความหลากหลายพอสมควร
ด้าน ภูมิจิต ยอง ตัวแทนจากชมรมผู้ประกอบการโฮสติ้ง สมาคมผู้ดูแลเว็บไทย ได้เสนอเอกสารสรุปการประชุมของชมรมฯ ต่อเวทีเสวนารับฟังความคิดเห็นร่าง พรบ.ฉบับนี้ ในหัวข้อ “Traffic Data ภาระหรือความจำเป็นในการจัดเก็บของผู้ให้บริการ…ใครคือผู้ให้บริการ” วันที่ 25 ก.พ. ที่ผ่านมา
โดยกลุ่มผู้ให้บริการโฮสติ้งเห็นว่า log ที่ควรเก็บ มี 4 ประเภท คือ
1. Web server access log file ได้แก่ IP, เวลา, URI ชื่อเว็บไซต์ที่เรียกเข้ามาบนเครื่องนั้น เป็นต้น
2. Server access log file ได้แก่ IP, เวลา และ login
3. SMTP log file ได้แก่ Remote IP และ Local IP ที่เป็นผู้สั่งให้ส่งอีเมล์ เวลาที่ส่ง และอีเมล์ ID 4. FTP log file ได้แก่ IP เวลา login และชื่อของ Upload file แต่ในการคำนวณ log file นั้นทำได้ยากเนื่องจากเว็บมีหลายขนาด
ตัวแทนจากชมรมผู้ประกอบการโฮสติ้ง ได้ยกตัวอย่างเว็บไซต์ของชมรม คือ
www.thaihosttalk.com ซึ่งเป็นเว็บชนาดกลางถึงขนาดเล็ก ว่ามี web server log ประมาณ 20 MB ต่อวัน, access log และ ftp log ขนาดค่อนข้างเล็กไม่เกิน 2 MB ต่อวัน ส่วน SMTP log ขึ้นอยู่กับว่ามีการส่งเมล์หรือโดนสแปมรบกวนมากหรือไม่ แต่น่าจะไม่เกิน 2 MB เช่นกัน รวมแล้วราวๆ 25 MB ต่อเว็บไซต์ต่อวัน หากมี100 เว็บไซต์ต่อเซิร์ฟเวอร์ ก็จะอยู่ที่ 2500 MB ต่อวัน เก็บ 30 วัน คิดเป็นจำนวน 75 GB
ทั้งนี้ ค่าใช้จ่ายในการรับผิดชอบเกี่ยวกับ log file มากหรือน้อยขึ้นอยู่กับจำนวนลูกค้า แต่ถ้ากฎหมายออกมาจริง ผู้ประกอบการก็ต้องการการสนับสนุนจากภาครัฐทั้งด้านค่าอุปกรณ์ที่ต้องติดตั้งเพิ่มเติม และการลดหย่อนภาษีบ้าง ส่วนระยะเวลาเตรียมตัว อาจต้องใช้เวลาราว 3 เดือน นอกจากนี้ ยังมีข้อสงสัยเกี่ยวกับ ความเสมอภาคว่า จะบังคับใช้ต่อผู้ใช้บริการโฮสติ้งต่างประเทศ โดยตรง และบุคคลธรรมดาที่ทำธุรกิจโฮสติ้งเฉพาะกลุ่ม เช่น กลุ่มนักศึกษาที่เช่าเครื่อง และเฉลี่ยค่าใช้จ่ายกันเองอย่างไร
พ.ต.อ.ญาณพล ยั่งยืน ผู้บัญชาการสำนักคดีเทคโนโลยีสารสนเทศ กรมสอบสวนคดีพิเศษ หรือ ดีเอสไอ เสริมว่า ตนเห็นด้วยกับการแบ่งประเภทของผู้ให้บริการให้ชัดเจนว่าเป็นใครบ้าง และมีขอบข่ายการจัดเก็บข้อมูลมากน้อยเพียงใด เพื่อให้เกิดความชัดเจน และไม่เป็นภาระต่อผู้ให้บริการ โดยอาจกำหนดลงในกฎกระทรวง เช่น แบ่งเป็นผู้ให้บริการอินเทอร์เน็ต หรือ ไอเอสพี ผู้ให้บริการภายในองค์กรทั้งภาครัฐ และเอกชน อินเทอร์เน็ตคาเฟ่ ผู้ให้บริการโฮสติ้ง และกลุ่มเว็บไซต์ เป็นต้น
อย่างไรก็ตาม ผู้บัญชาการสำนักคดีเทคโนโลยีสารสนเทศ ดีเอสไอ ให้มุมมองว่า “ผมมองว่าเราซีเรียสเกินไปหรือเปล่า บางทีอาจเป็นเพราะว่าเห็นข้อมูลจาก EU Forum แล้วคิดว่าต้องเก็บเยอะ เอาเป็นว่าขอให้ดูมาว่าตนให้บริการอะไร ถ้าไม่ได้ให้บริการอี-เมล์ก็ไม่ต้องเก็บ mail log นอกจากนี้ ในทางปฏิบัติงานของเจ้าหน้าที่ตำรวจก็หวังเพียงให้ช่วยเก็บเลขไอพีกับวันเวลาที่ใช้บริการ และอาจรวมถึงชื่อผู้เข้าใช้ (username) เท่านี้ ก็พอใจแล้ว”
พ.ต.ท.นิเวศน์ อาภาวศิน รองผู้กำกับงานอำนวยการศูนย์ตรวจสอบ และวิเคราะห์การกระทำผิดทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ เสริมว่า เบื้องต้นคงต้องมาหารือกันว่าผู้ให้บริการ แต่ละกลุ่มจะสามารถให้ความร่วมมือมากน้อยเพียงใดในการเก็บข้อมูลที่จะช่วยเป็นเบาะแส เช่น ร้านอินเทอร์เน็ตคาเฟ่ อาจมีรูปแบบต่างออกไป คืออาจใช้เว็บแคมติดที่หน้าร้าน เพื่อจับตำแหน่งหรือหน้าผู้ใช้บริการ แม้ว่าไม่เห็นผลชัด แต่ก็ดีกว่าไม่มี และพอใช้เป็นร่องรอยได้บ้าง
“สำหรับตำรวจอยากให้เน้นการเก็บข้อมูลที่สามารถระบุตัวตนของผู้ใช้บริการได้ เพราะปัจจุบันมักเก็บข้อมูลไว้ แต่ไม่สามารถใช้เป็นเบาะแสตามตัวคนร้ายได้ จะเก็บแบบใดไม่สำคัญ สำคัญที่การนำมาใช้ได้จริง ประกอบกับความรวดเร็วด้วย อย่างในต่างประเทศเจ้าหน้าที่สามารถอีเมล์ขอความร่วมมือจากผู้ให้บริการก่อนการทำหนังสือเป็นลายลักษณ์อักษร และเมื่อได้รับหนังสือจากทางการ ผู้ให้บริการก็สามารถให้ข้อมูลได้ทันที ช่วยให้การทำงานเร็วขึ้น ไม่ใช่รอจนหนังสือมาแล้วค่อยไปจัดทำข้อมูล” รองผู้กำกับงานอำนวยการศูนย์ตรวจสอบ และวิเคราะห์การกระทำผิดทางเทคโนโลยี กล่าว
พ.ต.ท.นิเวศน์ เพิ่มเติมด้วยว่า สิ่งที่หนักใจอีกประการหนึ่งคือ ประเด็นเรื่องการปกป้องสิทธิ กฎหมายหลายฉบับให้ความสำคัญกับจุดนี้ แต่มักถูกตีความ เพื่อปกป้องสิทธิให้ผู้กระทำความผิด อย่างที่ตอนนี้ ผู้ให้บริการบางรายไม่ยอมให้ข้อมูล อ้างว่าเป็นสิทธิส่วนบุคคลของลูกค้า จึงต้องสร้างความเข้าใจให้ตรงกัน และชัดเจนก่อนว่าการปกป้องสิทธินั้นต้องเป็นไป เพื่อปกป้องผู้บริสุทธิ์
กฎหมายฉบับนี้ เป็นอีกหนึ่งความหวังในการสร้างสังคมไซเบอร์ที่สงบสุข และปลอดภัย ดังนั้น ในช่วงโค้งสุดท้ายก่อนที่กฎหมายจะคลอดจึงเป็นโอกาสดีในการช่วยกันอุดช่องโหว่ และเสริมจุดแข็งต่างๆ ผ่านเวทีเสวนา และช่องทางแสดงความคิดเห็นต่างๆ อาทิ
http://wiki.nectec.or.th เพื่อเตรียมความพร้อม และผลักดันให้เครื่องมือชิ้นนี้ ทำหน้าที่ได้เต็มความสามารถ เกิดประโยชน์ต่อทุกฝ่ายสมดังเจตนาที่ตั้งไว้อย่างแท้จริง
ที่มา : หนังสือพิมพ์ไทยรัฐ วันที่ 8 มีนาคม 2550
หัวข้อ: ศึกษาภาระรับผิดชอบของ 'ผู้ให้บริการ' ต่อ พรบ.คอมฯ บังคับใ้ช้วันนี้แล้ว (อ่าน 5443 ครั้ง)