ช่วงนี้ "ผู้ให้บริการอินเทอร์เน็ต" คนไหนไม่สนใจ หรือไม่ตามประเด็นร้อนเกี่ยวกับ "ประกาศ/กฎกระทรวง" จัดเก็บ Log file ที่กระทรวงไอซีทีซุ่มเงียบเชียบคิดเขียน หวังประกาศมาตรการเฉียบออกมาเนียน ๆ บังคับเข่นคอผู้ประกอบการ คงเชยพิลึก
พระราชบัญญัติว่าด้วยการกระทำความผิดที่เกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ฉบับนี้ จะว่าไปก็เปรียบเสมือน "กฎหมายสูงสุด หรือ ธรรมนูญการปกครองของพลเมืองออนไลน์" ที่จะคอยกำหนดภาระหน้าที่ และความรับผิดชอบต่าง ๆ ให้กับมหาชนคนเล่นเน็ท ดังนั้น ใครใช้คอมพิวเตอร์ และอินเทอร์เน็ต แต่ไม่สนใจกฎหมายตัวนี้เลย ก็จะไม่ต่างกับกรณีที่"คนไทยไม่ยอมสนใจศึกษาสิทธิ และหน้าที่ของตัวในรัฐธรรมนูญ" สุดท้ายก็โดนทหารออกมายึดอำนาจ ออกประกาศกดหัวทุก ๆ 10 ปี นั่นแหละ
หลังจากร่าง ลบ ตบ เฉือน กันมาหลายปี เมื่อไม่นานมานี้มันก็โดนรัฐบาลหลังการรัฐประหาร ทั้งผลักทั้งดันออกมาจนได้ ถ้าจำไม่ผิดประกาศในราชกิจ ฯ วันที่ 18 มิถุนายน 2550 แล้วนับจากนั้นอีก 30 วันก็เป็นอันเริ่มใช้บังคับ กฎหมายฉบับนี้ (รวมทั้งประกาศที่กำลังจะออก) มีเรื่องทางเทคนิค, ประเด็นภาระหน้าที่ของผู้ประกอบการ และ ช่องทางที่เปิดโอกาส ให้เกิดการใช้อำนาจแบบสามานย์ ประกอบอยู่เป็นจำนวนมาก แต่...
(เท่าที่ทราบ และพอสืบค้นข้อมูลมาได้) มีกลุ่มผู้เชี่ยวชาญ ผู้ประกอบการ ผู้ให้บริการ ทีมเทคนิคร่วมกันร่าง (จริงๆ) อยู่เพียงไม่กี่คน เมื่อเทียบกับจำนวนผู้ประกอบการ และผู้เกี่ยวข้องภาคอื่น ๆ ที่ต้องได้รับผลกระทบจากกฎหมายฉบับนี้
หากจะกล่าวเรื่องทั้งหมด (ทั้งฉบับ) กันโดยพิสดาร (มีสักกี่คนกันหรือครับ ที่รู้ว่า การร่างครั้งสุดท้ายด้วยเวลาเพียงไม่กี่เดือน กฎหมายฉบับนี้มีฐานความผิด กับ อำนาจใหม่เพิ่มให้เจ้าหน้าที่รัฐฉวยใช้ ตั้งสองสามมาตรา) คงต้องรอบล็อกตอนอื่น (ตามโอกาส) ครั้งนี้ขอจับประเด็น ผลกระทบต่อ "ผู้ให้บริการอินเทอร์เน็ต" ซึ่งก็คงจะยาวหลายวาแล้ว (หลายคนรีบจิ้มหนีไป)
ผู้ให้บริการ ทั้งหลายครับ ในเบื้องต้นก่อน มาตราในพรบ. ฯ ที่กำลังจะเกี่ยวพันกับตัวท่าน คือ มาตราเหล่านี้
มาตรา 3 [...]
“ข้อมูลจราจรทางคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบ คอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกําเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น
“ผู้ให้บริการ” หมายความว่า
(1) ผู้ให้บริการแก่บุคคลอื่น ในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกัน โดย ประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือในนาม หรือเพื่อประโยชน์ของบุคคลอื่น
(2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น
มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจําเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการ ผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้
ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จําเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการ นับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลง
ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรี ประกาศในราชกิจจานุเบกษา
ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท
และขอชี้ให้เห็นปัญหาโดยสังเขปเป็นประเด็น ๆ ไปดังนี้
1. Content Service Provider และประเภทข้อมูลที่ต้องจัดเก็บตามร่าง ฯ ประกาศ
1.1 บังคับผู้ให้บริการผิดประเภท และ/หรือ กำหนดให้จัดเก็บข้อมูลในลักษณะซ้ำซ้อน
ตามหัวข้อผมขอกล่าวถึง ผู้ให้บริการอินเทอร์เน็ตประเภทที่ใกล้ตัว (ผมและน่าจะท่านผู้อ่านอีกหลายคนด้วย) ที่สุด เป็นหลัก กล่าวคือ Content Service Provider ซึ่งถูกระบุไว้ในตัวประกาศ และ ภาคผนวก ก. ว่า เป็นกลุ่มผู้ให้บริการกลุ่มที่ 2 แห่งพระราชบัญญัติ ฯ "มาตรา 3 ผู้ให้บริการหมายถึง [...] (2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น" โดยในร่าง ฯ ประกาศของไอซีที กำหนดรายละเอียดเอาไว้ว่า
เขียนให้ง่ายหน่อย (หรือเปล่า?) ก็คือ ผู้ให้บริการกลุ่มนี้ หมายถึง ผู้ผลิตเนื้อหาประเภทต่าง ๆ ป้อนเข้าสู่บริการบนอินเทอร์เน็ต รวมทั้งให้บริการ เครื่องมือ สร้าง เก็บรักษาเนื้อหา รวมทั้งดูแลระบบ และการจัดเก็บข้อมูลดังกล่าว ให้กับบุคคลอื่น ๆ ด้วย คุ้น ๆ หรือเปล่าว่า มันก็หมายถึง บรรดาเจ้าของ รวมทั้งผู้เปิดให้บริการโพส หรือเขียนข้อมูล ตามเว็บไซท์ประเภทต่าง ๆ (ราชการ, บันเทิง, พาณิชย์ ฯลฯ), เว็บบอร์ด รวมทั้งเว็บบล็อก นั่นเอง อาทิเช่น พวกผมในฐานะเจ้าของ BioLawCom, สสส. ในฐานะผู้ให้บริการบล็อก GotoKnow , คุณ Lew และ คุณ mk ในฐานะผู้ดูแลข้อมูล และ บริการใน Blognone , คุณแชมป์ ในฐานะเจ้าของ และผู้ให้บริการไดอารี่ exteen, คุณวันฉัตร เจ้าของบอร์ดพันธ์ทิพย์, กลุ่มประชาไท ในฐานะเจ้าของเว็บข่าวประชาไท , คนขายของออนไลน์ทำนองเดียวกับ ebay รวมไปถึง บรรดาผู้เขียนบล็อกเพียว ๆ ที่ใช้บริการเครื่องมือ และพื้นที่จากผู้ให้บริการทั้งในและต่างประเทศ อย่าง ลูกค้าบล็อกเกอร์ หรือ บล็อกแกงค์ เป็นต้น
เนื่องจากในปัจจุบัน ด้วยรูปแบบบริการหลากหลายที่เกิดขึ้น ด้วยระบบการสื่อสารแบบ "สองทาง" ผู้ให้บริการประเภทนี้ ไม่ได้เป็นบุคคลเพียงกลุ่มเดียวอีกต่อไปครับ ที่จะต้องคอยผลิตเนื้อหา ป้อนสู่สายตา "ผู้ใช้ หรือผู้เล่นบริการอินเทอร์เน็ต" คนอื่น ๆ บริการจำนวนมาก หรือเกือบทั้งหมดที่โลดแล่นอยู่บนเครือข่าย ฯ ล้วนขับเคลื่อน มีชีวิตชีวาด้วยการเปิดโอกาสให้ผู้คนเข้าไปมี ส่วนร่วมในการนำเสนอ ข้อเขียน, บทความ, บันทึกประจำวัน, แสดงความคิดเห็น, แชร์ข้อมูล, โพสรูปภาพ, ส่งไฟล์เสียง หรือ กระทั่งการทำธุรกิจ ธุรกรรม ด้วยการ เสนอขาย เสนอซื้อ หรือทำสัญญาระหว่างกัน
ดังนั้น Content Provider จึงกลายเป็น ผู้ให้บริการกลุ่มหนึ่ง ที่มีโอกาส (ที่แตกต่างกันไป) หรือสามารถรับรู้ข้อมูลบางประเภท ของพลเน็ทผู้ใช้บริการของตัวได้ อาทิ ใครบ้างที่ล็อกอินเข้าสู่หน้าเว็บไซท์ หรือบริการที่เปิดไว้ ล็อกมาเวลาอะไร โพสอะไร หรือ ล็อกเอาท์ออกไปแล้วเมื่อไหร่กัน ด้วยเหตุนี้ ไอซีที จึงจับผู้ให้บริการกลุ่มนี้มาทำหน้าที่เก็บรักษาข้อมูลบางประเภท ด้วย โดยบรรดาข้อมูล ฯ ที่ไอซีที(อยาก)กำหนดให้ Content Provider ต้องเก็บรักษาไว้ บรรจุอยู่ในประกาศ (ภาคผนวก ข.) ก็ได้แก่
จริงอยู่ที่ว่า Content Provider ในบางระดับ สามารถรับรู้ สอบถาม ขอข้อมูล Log File (ข้อ ก 2) จากผู้ให้บริการ Server หรือ ผู้บริการ Host (ซึ่งเป็นกลุ่มผู้ให้บริการที่รับรู้ และจัดเก็บข้อมูลประเภทนี้ไว้เป็นปกติอยู่แล้ว) ได้โดยตรง รวมทั้ง Content Provider บางรายยังสามารถจัดหาโปรแกรมพิเศษเพื่อจัดเก็บข้อมูลเช่นนี้ไว้ด้วยตนเอง ก็ยังได้ แต่ คำถามแรก ก็คือ ผู้ให้บริการประเภทใดกันแน่ที่ควรเป็นผู้เก็บ Log file ดังกล่าว ?
หากได้ลองโหลด ภาคผนวก ข. ซึ่งกำหนดประเภทข้อมูลที่ทุก ๆ ฝ่ายต้องจัดเก็บ มาอ่านโดยละเอียด ท่านอาจต้องตกใจก็ได้ครับ เมื่อพบว่า ไม่ว่าจะเป็น Access (บริการเข้าถึงเครือข่าย), Host (บริการพื้นที่) หรือ Content Provider ล้วนแล้วแต่มีหน้าที่ต้องจัดเก็บ User ID (ข้อ ก 1) และ Log file (ข้อ ก 2) ซึ่งข้อมูลบางส่วนเป็นประเภท และชุดเดียวกัน ทั้งสิ้น ดังนั้น คำถามที่สอง ก็คือ ทำไมไอซีทีจึงกำหนดประกาศ ในลักษณะเหวี่ยงแหให้ผู้ให้บริการทุกประเภท ต้องจัดเก็บข้อมูลประเภทเดียวกัน ซ้ำกัน ?
จากการสืบค้นข้อมูลพอสังเขป ผมพบว่า โดยปกติแล้วผู้ให้บริการที่มักมีมีระบบการจัดเก็บ Log file การเข้าออก หรือใช้บริการในเครือข่าย เพื่อประโยชน์ต่อการตรวจสอบบริการของตนเอง ก็คือ กลุ่ม Host Service Provider เช่นนี้แล้ว เหตุใดไอซีทีจึงไม่กำหนดให้ผู้ให้บริการกลุ่มนี้เป็นผู้เก็บรักษา ซึ่งถือเป็นการ เพิ่มภาระหน้าที่ที่สมเหตุสมผลกว่า การกำหนดให้ผู้ให้บริการปลายทางอย่าง Content Provider ต้องมาร่วมจัดเก็บอีกชั้นหนึ่ง
อย่างไรก็ตาม ในความเป็นจริง ผู้ให้บริการ Content หลายรายเช่าใช่ Host จากต่างประเทศ ดังนั้น การกำหนดให้ Content Provider ลักษณะนี้ต้องจัดเก็บด้วย เพื่อแบ่งเบาภาระของฝ่ายรัฐ ก็คงพอสมเหตุสมผลอยู่ แต่ก็ควรเป็นลักษณะข้อยกเว้นที่มีหลักเกณฑ์ชัดเจน ที่จะกำหนดให้ผู้ให้บริการกลุ่มนี้ ต้องหาวิธีบันทึก จัดเก็บ หรือร้องขอ Log File จาก Host ต่างประเทศ ในส่วนบริการของตัวด้วย (ถ้าทำได้) มากกว่าเป็นการกำหนดไว้ให้เก็บโดยทั่วไปแบบที่เป็นอยุ่
สรุปในประเด็นปัญหานี้ได้ว่า ตารางที่อยู่ในภาคผนวก ข. ของไอซีทีนี้ มีลักษณะของการเร่งรีบออกจนเกินไป (หวังให้ทันใช้พร้อมกับพรบ ฯ ซึ่งก็ไม่ทราบว่าจะกำหนดไว้สั้น ๆ แค่ 30 วันทำไม ?) จึงน่าจะขาดการวิเคราะห์ วิจัย หรือศึกษาให้ลึกซึ้งว่า ผู้ให้บริการประเภทใดกันแน่ที่เหมาะสมต่อการจัดเก็บข้อมูลประเภทใด
1.2 การพยายามทำลายหลักการ Anonymous กับประโยชน์ และความจำเป็นที่ต้องจัดเก็บข้อมูลบางประเภท
ก่อนจะกล่าวถึงประเด็นนี้ ขอยกประกาศ ข้อ 8 มาเพิ่มเติมอีกสักข้อนะครับ คือ
จากประกาศ และภาคผนวก ข. ที่ยกมา จะเห็นได้ว่า ไอซีที มีความพยายามอย่างมาก ที่จะกำหนดให้ ผู้ให้บริการทั้งหลาย ทำลายหลักการ Anonymous ทั้งนี้ เพราะการบังคับว่า ผู้ให้บริการ Content ต้องจัดเก็บ User ID ตามตาราง ข้อ ก 1) หรือ การที่ผู้ให้บริการที่ใช้บริการของบุคคลที่สาม ต้องหาวิธีการระบุ และยืนยันตัวบุคคลให้ได้ ตามประกาศ ข้อ 8 (5) ย่อมเท่ากับว่า เขาเหล่านี้ (เจ้าของเว็บ เจ้าของบอร์ด บล็อกเกอร์ ฯลฯ) ต้องกำหนดให้ผู้ประสงค์แลกเปลี่ยนความคิดเห็น หรือใช้บริการสมัครเป็นสมาชิก และกรอกข้อมูลกับเขาก่อนเสมอ คำถามก็คือ ข้อกำหนดเช่นนี้ ถือได้หรือไม่ว่า ไอซีที พยายามบังคับให้ผู้ให้บริการทุกราย ทำลายธรรมชาติแห่งการใช้อินเทอร์เน็ต และประสงค์จะเปลือยเปล่าพลเมืองของตนให้ล่อนจ้อน ทุกท่วงท่า ?
การเรียกร้องให้ต้องเกิดการสมัครสมาชิก (ที่บุคคลเดียวกันสามารถสมัครได้หลายครั้ง) หรือการเรียกร้องให้เก็บข้อมูลบางอย่าง อาทิ ชื่อ สกุล รวมทั้งเลขหมายบัตรต่าง ๆ (ข้อ ก 4) หากมีการปลอมแปลงเกิดขึ้นตั้งแต่แรก ฝ่ายรัฐจะสามารถตรวจเช็คความจริงแท้ได้หรือไม่ ? หรือภาระหน้าที่ในการต้องพิสูจน์ความจริงแท้ของข้อมูลเหล่านี้ ตกอยู่ที่ใคร ? (ดูเหมือนว่า ข้อ 8 (4) ภาระนี้จะถูกผลักให้ผู้ให้บริการ ด้วย !) ที่สุดแล้ว การเก็บข้อมูลเหล่านี้ จะนำไปใช้ประโยชน์ได้จริงหรือไม่ หรือกลับจะสร้างความซับซ้อนของการสืบค้นตัว มากขึ้น เพราะต้องประสบปัญหาการปลอมแปลงข้อมูล หรือการสวมตัวบุคคล ฯลฯ...
และกรณีนี้ ผมยังไม่ได้กล่าวประเด็นว่า "แท้จริงแล้ว ไอซีที จะบังคับให้ผู้ให้บริการเก็บข้อมูลตามตารางข้อ ก 4 ได้หรือไม่ ?" เลยนะครับ และกำลังจะกล่าวถึงดังต่อไปนี้
1.3 ขัด หรือแย้งกับ พระราชบัญญัติว่าด้วยการกระทำความผิดที่เกี่ยวกับคอมพิวเตอร์
ประเด็นหลักที่กำลังเป็นข้อถกเถียงหนักอยู่ตอนนี้ เห็นจะเป็น ข้อมูลตาม ข้อ ก 4) ที่ไอซีทีจับยัดเข้ามาด้วยในตารางนี่เอง
เพราะ คำถามก็คือ ข้อมูลต่าง ๆ ตามที่อยู่ใน 4) อาทิ ชื่อ สกุล รหัสประจำตัวประชาชน เลขบัญชีธนาคาร เลขหมายบัตรเครดิต และอื่น ๆ ทำนองเดียวกัน ไอซีที สามารถกำหนดบังคับให้ Content Provider จัดเก็บได้หรือไม่ และมันเกี่ยวข้อง อย่างไรกับ "ข้อมูลจราจรทางคอมพิวเตอร์" ?
การที่พระราชบัญญัติ ฯ มาตรา 26 วรรคแรก บัญญัติชัดเจนว่า "ข้อมูลที่ต้องจัดเก็บ คือ ข้อมูลจราจรทางคอมพิวเตอร์" นั่นย่อมหมายความว่า กฎหมายฉบับนี้ ประสงค์ให้ผู้ให้บริการเก็บ เฉพาะข้อมูล ที่โดยสภาพ เป็นขอมูลที่เกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ แสดงถึง แหล่งกําเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสาร "ของระบบคอมพิวเตอร่" เท่านั้น
มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจําเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการ ผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้
ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จําเป็นเพื่อให้ สามารถระบุตัวผู้ใช้บริการ นับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม้น้อยกว่าเก้าสิบวัน นับตั้งแต่การใช้บริการสิ้นสุดลง
ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรี ประกาศในราชกิจจานุเบกษา
ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท
ศัพท์บัญญัติดังกล่าว (ข้อมูลจราจรทางคอมพิวเตอร์) ในทางกฎหมายแล้ว ไม่ว่าท่านจะตีความโดยตรง, เทียบเคียง หรือแม้แต่ตีแบบขยายความแล้ว ก็ไม่สามารถครอบคลุมไปถึงบรรดา ข้อมูลส่วนบุคคล ซึ่งถูกบรรจุอยู่ใน 4) ได้เลย ทั้งนี้เพราะ โดยปกติทั่วไป ผู้ขอใช้บริการจากผู้ให้บริการ Content Provider ไม่มีความจำเป็น ต้องแจ้ง หรืออาศัยเลขบัตรเหล่านั้นเลย ก็สามารถเข้าใช้บริการต่าง ๆ ได้ เลขหมายเหล่านี้ ไม่ใช่ส่วนหนึ่ง ของ "การจราจร ที่ประกอบสร้างกันขึ้นมา ในระบบคอมพิวเตอร์ หรือระบบการติดต่อสื่อสารทางอินเทอร์เน็ต" (การร้องขอ ข้อมูลต่าง ๆ ดังกล่าว อาจเกิดขึ้นได้บ้าง ก็ต่อเมื่อ ทั้งสองฝ่าย (ผู้ให้ และผู้ใช้) ยินยอมให้ข้อมูลแก่กัน โดยมีวัตถุประสงค์พิเศษเพื่อการอย่างใดอย่างหนึ่ง เช่น โอนชำระเงินในการขายสินค้า เป็นต้น)
แม้พรบ. ฯ ฉบับนี้จะให้อำนาจแก่ ฝ่ายผู้บริหาร หรือผู้บังคับใช้กฎหมาย (ในที่นี้ คือ กระทรวงไอซีที) ในการกำหนดรายละเอียด เกี่ยวกับการจัดเก็บข้อมูล (มาตรา 26 วรรค 3) แต่ก็หาได้มีความประสงค์ให้ ไอซีที ลุกขึ้นมา กำหนดเอาเองตามใจชอบว่า ไอ้นั่น ไอ้นี่ คือ สิ่งที่ฉันประสงค์ให้เธอเก็บ หรือ ไอ้นั่น ไอ้นี่ คือ ข้อมูลจราจรทางคอมพิวเตอร์ในความต้องการของฉัน ทั้ง ๆ ที่ในความเป็นจริง มันเป็น ข้อมูลส่วนบุคคล ที่ไม่ได้เกี่ยวพันทั้งโดยนิตินัย และพฤตินัย กับระบบคอมพิวเตอร์ หรือการจราจรใด ๆ ในทางคอมพิวเตอร์เลย
หากปล่อยให้ไอซีที ซึ่งเป็นเพียงหน่วยงานผู้บังคับใช้กฎหมาย กำหนดเช่นนั้นได้ ย่อมเท่ากับว่า "ฝ่ายบริหารมีอำนาจในการออกกฎหมาย เหนือกว่าฝ่ายนิติบัญญัติ" เพราะสามารถกำหนดเอาเองตามใจ ว่าฉันอยากได้อะไร โดยไม่ได้คำนึงถึงกรอบหรือขอบเขตที่ถูกกำหนดไว้แล้วใน "คำนิยาม" แห่งฝ่ายนิติบัญญัติ องค์กรหลักผู้มีอำนาจในการออกกฎหมาย เลย
(นี่ยังไม่ได้กล่าวเลยว่า ณ วันนี้ วันที่ประเทศไทยยังไม่มี กฎหมายคุ้มครองข้อมูลส่วนบุคคล การใช้บังคับกฎหมายยังมีช่องโหว่ การบังคับให้พลเมือง จำต้องมอบข้อมูลส่วนตัวให้ใครต่อใครไปเก็บรักษาไว้ หากเกิดอะไรขึ้นกับข้อมูลเหล่านั้น รัฐคิดจะรับผิดชอบอะไรหรือไม่ ? หรือ ถ้าคิด จะรับผิดชอบไหวหรือเปล่า ?)
เขียนมาถึงตรงนี้ อาจมีคน(ไอซีที) แย้งผมว่า ยังไงเสีย ผู้ให้บริการก็ต้องมีหน้าที่ เก็บอะไรสักอย่างเพื่อให้สามารถระบุตัวผู้ใช้บริการ อยู่ดีนะ ตาม วรรค 2 ของมาตรา 26 แห่ง พรบ. ฯ
แต่ผม และคนไอทีแถวนี้ คงต้องแย้งกลับว่า ผู้บัญญัติกฎหมายเขาไม่ได้ให้อำนาจไอซีทีในการระบุว่า ในวรรค 2 สิ่งที่เก็บหมายถึงอะไรบ้างนะครับ เพราะ วรรค 3 ที่ให้อำนาจไอซีทีในการออกประกาศ บัญญัติหมายเฉพาะ "ความในวรรค 1" ดังนั้น สิ่งทั้งหลายทั้งปวงที่ไอซีที มีสิทธิกำหนดในประกาศ จึงต้องอยู่ในขอบเขตของคำว่า "ข้อมูลจราจรทางคอมพิวเตอร์" วรรคหนึ่งเท่านั้น และต้องไม่มีลักษณะขัด หรือแย้งกับนิยามดังกล่าวด้วย...
มีใครบางคนตะโกนบอกอีกว่า "นายนี่ มันพวกตีความตามตัวอักษร" แต่...ไม่ล่ะครับ ผมไม่รับข้อกล่าวหานี้ เพราะ ต่อให้ผมตีความตามเจตนารมณ์ ที่ว่า กฎหมายประสงค์ให้ "ผู้ให้บริการ" เป็นเพียง "ผู้ช่วยเหลือ หรือให้การสนับสนุน" เจ้าหน้าที่ในการสืบสวน สอบสวนเท่านั้น ไม่ใช่กำหนดให้ต้องมาเป็น "คนค้นหา หรือระบุให้จงได้ ชนิดจริงแน่ว่าใครเป็นใครอย่างชัดเจน (ซึ่งยุ่งยากมาก และเป็นไปแทบไม่ได้ เพราะ มีการอำพรางตัวอีกหลากหลายรูปแบบ) โดยที่เจ้าหน้าที่ไม่ต้องสืบต่อ" ประกอบกับเจตนารมณ์ของผู้ร่างพรบ. ฯ เอง ที่เคยประกาศอยู่เสมอว่า จะพยายามไม่สร้างภาระอันหนักหนาเกินไปให้ประชาชน และผู้ประกอบการ แล้วก็ตาม
„การต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็น" วรรคสอง ในทางปฏิบัติ ในทางเทคนิค ในสายตาของวิญญูชนผู้ใช้เทคโนโลยีเป็น รวมทั้ง ในสายตาของรัฐ ที่คำนึงถึงความเจริญก้าวหน้าในทางเทคโนโลยีและการเข้าถึงข้อมูลของประชาชน ในสายตาของรัฐที่เคารพข้อมูลส่วนบุคคลของพลเมือง ย่อมหมายถึง การเก็บ "อัตลักษณ์ทางไอที" ซึ่งสามารถระบุตัวตนทางคอมพิวเตอร์ของผู้ใช้บริการได้ในระดับจำเป็น เท่านั้นนะครับ ไม่ใช่ให้ใครต่อใครมาคอยหาช่องกำหนดประกาศให้เกินเลย โดยมีนัยยะทางการเมือง การปิดปาก และการเช็คบิลแอบแฝง
กล่าวโดยสรุปสำหรับเรื่องนี้ เพื่อให้ทั้งคนที่เป็น นักกฎหมาย, ไม่ใช่นักกฎหมาย, คนไอที และไม่ใช่ไอที เข้าใจได้ว่า ข้อมูลทั้งหลายแหล่ที่ถูกจับยัดเข้ามาใน 4) แห่ง ภาคผนวก ข. ของไอซีทีฉบับนี้ เป็น เรื่องเกินขอบเขต มีลักษณะ "ขัด หรือแย้ง" กับนิยาม "ข้อมูลจราจรทางคอมพิวเตอร์" ที่ถูกบัญญัติไว้แล้วในพระราชบัญญัติว่าด้วยการกระทำความผิดที่เกี่ยวกับ คอมพิวเตอร์ พ.ศ 2550 ซึ่งถือเป็นกฎหมายแม่ ที่ให้อำนาจไอซีทีในการออกประกาศ (กฎหมายลูก) ครับ
เช่นนี้ ถ้าภาคผนวก ข 3 ก. 4) ถูกประกาศออกมา ก็ไม่อาจใช้บังคับกับประชาชน หรือผู้ให้บริการใด ๆ ได้
อย่างไรก็ตาม ดังแอบพูดถึงไปบ้างว่า แม้ ข้อมูลส่วนบุคคลกลุ่มนี้ จะไม่เกี่ยวกับ ข้อมูลจราจรทางคอมพิวเตอร์ เลย แต่ก็อาจเกิดกรณีจัดเก็บกันได้ หรือจำเป็นที่ผู้ให้บริการต้องเก็บอยู่เหมือนกัน สำหรับการให้บริการบางอย่าง เพื่อยืนยันตัวตนผู้ใช้บริการ และเพื่อรักษาผลประโยชน์ของผู้ให้บริการเอง เช่น การซื้อขายสินค้า การชำระเงิน หรือทำสัญญาอย่างหนึ่งอย่างใด เป็นต้น แต่ก็ย่อมขึ้นอยู่กับผู้ให้บริการ ในบริการลักษณะนั้นเองว่า เขายินดีจะเก็บรักษาไว้ให้ถึง 90 วัน หรือไม่
ดังนั้น เรื่องนี้ จึงน่าจะเป็นเรื่องของ "ความสมัครใจ" ที่จะจัดเก็บหรือไม่ ของฝั่งผู้ให้บริการ แต่ละราย แต่ละประเภท และแต่ละขอบเขตการให้บริการ มากกว่า ที่กระทรวงไอซีทีจะมาบังคับขู่เข็ญให้ต้องเก็บด้วยโทษทางอาญา
2. ผู้ให้บริการที่ต้องจัดเก็บข้อมูล ประเภทอื่น ๆ
ซึ่งเรารู้จักกันบ้าง ไม่รู้จักบ้าง อาทิ กลุ่มผู้ประกอบกิจการโทรคมนาคม (ผู้ให้บริการโทรศัพท์พื้นฐาน, โทรศัพท์เคลื่อนที่, ADSL, ดาวทียม ฯลฯ), กลุ่มผู้บริการเข้าถึงเครือข่ายอินเทอร์เน็ต (บริษัทเอกชนบริการ Access, โรงเรียน, สถาบันการศึกษา, อินเทอร์เน็ตคาเฟ่ หรือองค์กรรัฐอื่นๆ ฯลฯ) และ กลุ่มผู้บริการพื้นที่ Host หรือ Server ประเภทต่าง ๆ (ให้เช่าระบบคอมฯ, Server อีเมล์, Server แชร์ไฟล์ ฯลฯ) ที่ต้องได้รับผลกระทบจากพรบ. ฯ และประกาศไอซีที เช่นกัน เหล่านี้ โดยส่วนตัว ผมไม่มีอะไรจะเขียนถึงมาก (เพราะไม่รู้ว่าใครเป็นใคร และออกจะเป็นเรื่องในรายละเอียด)
หากท่านอยากรู้รายละเอียด แนะนำให้ ลองศึกษาได้จากร่าง ฯ ประกาศ และ ภาคผนวก ก (ตั้งแต่หน้า 126-132) แล้วก็พิจารณาให้ดี ๆ นะครับว่า ในทางเทคนิค และลักษณะการให้บริการของท่านนั้น "ท่านควรจัดอยู่ในผู้ให้บริการประเภทไหน" หรือ ไอซีที จัดกลุ่มไว้ถูกต้องแล้วหรือไม่ เพราะจะเกี่ยวพันกับ "ประเภทข้อมูล" ที่ท่านมีหน้าที่ต้องจัดเก็บ และโปรดอย่าลืมนะครับว่า บุคคล หรือนิติบุคคลคนหนึ่ง สามารถเป็นผู้ประกอบการได้หลายประเภท ยกตัวอย่างกรณี สสส. GotoKnow เอง ในขณะที่มือข้างหนึ่งเป็น Content Provider แต่เนื่องจากมี Host ให้บริการคนอื่นอยู่ด้วย จึงต้องถือว่าเขาเป็น Host Service Provider ด้วยอีกฐานะหนึ่ง
สำหรับ "ประเภทข้อมูล" (ภาคผนวก ข. ตั้งแต่หน้า 133-135) ที่ต้องจัดเก็บ นอกเหนือจากที่มีลักษณะการจัดเก็บข้อมูลซ้ำซ้อนกับ Content Provider ดังที่พูดถึงไปแล้ว มีอีกบางจุดเท่านั้น ที่ชวนตั้งข้อสังเกตกับไอซีทีว่า มันไม่น่าจะเกี่ยวกับ "ข้อมูลจราจรทางคอมพิวเตอร์" เช่นกัน กล่าวคือ
:- ภาคผนวก ข ข้อ 1 ข. ที่ว่า กลุ่มผู้ประกอบกิจการโทรคมนาคม ต้องเก็บ "ข้อมูลที่สามารถระบุปลายทางของการติดต่อสื่อสารของระบบคอมพิวเตอร์" และหนึ่งในนั้นคือ "จำนวนโทรศัพท์ที่ใช้" ???? เกี่ยวอะไรด้วย (แม้ผู้ประกอบการบางรายจะรู้ก็เถอะ)
:- ภาคผนวก ข ข้อ 1 จ. ที่ว่า กลุ่มผู้ประกอบกิจการโทรคมนาคมต้องเก็บ "ข้อมูลที่สามารถระบุถึงอุปกรณ์ที่ใช้ในการติดต่อสื่อสาร" (2) „ข้อมูลที่สามารถระบุตัวผู้รับโทรศัพท์ระหว่างประเทศปลายทาง" ??? ก็น่าสงสัยว่า เกี่ยวกับการระบุอุปกรณ์ ?
3. ประเด็นอื่น ๆ ที่อยากให้ทำความเข้าใจ และต่อรองกับภาครัฐให้ดี ๆ
อาทิ ภาระค่าใช้จ่ายต่าง ๆ ในการจัดเก็บข้อมูล ฯ ควรเป็นของใครบ้าง ?, "การกำหนดมาตรฐานการจัดเก็บ" รวมทั้งการพัฒนาโปรแกรม หรือเครื่องมือในการจัดเก็บ ฯลฯ หากยังพอจำกันได้ ก่อนที่พระราชบัญญัติ ฯ จะประกาศใช้ ในงานสัมมนาหลายต่อหลายครั้ง มีคนพยายามพูดถึงประเด็นเรื่องภาระค่าใช้จ่ายในเรื่องนี้มาแล้ว ว่าควรเป็นของใคร หรือช่วยแบ่งเบากันอย่างไร
สำหรับผู้ให้บริการรายใหญ่ การจัดเก็บข้อมูลต่าง ๆ เหล่านี้ ในระยะเวลาที่นานถึง 90 วัน ไม่ใช่เรื่องเล็ก ๆ เลยนะครับ ผมแอบสืบทราบมาว่า สสส. ผู้ให้บริการเว็บบล็อก GotoKnow ปัจจุบัน ต้องใช้พื้นที่ในการเก็บ Log file โดยเฉลี่ยประมาณ 1 GB/วัน เช่นนี้ การต้องเก็บไว้เป็นระยะเวลาอย่างน้อย 90 วัน นั่นหมายถึง เค้าต้องใช้ทั้งพื้นที่ บุคลากร เครื่องมือ และค่าใช้จ่าย เพิ่มขึ้นมหาศาลขนาดไหน ?
ดังนั้นประเด็นเหล่านี้ ควรหรือไม่ที่ ฝ่ายรัฐต้องแสดงความรับผิดชอบ และความจริงใจในการปฏิบัติหน้าที่ของตัวเอง ในการต้องเป็นองค์กรเสาหลักปฏิบัติการ "ป้องกัน และปราบปรามการกระทำความผิด" ด้วยการช่วยแบ่งเบาภาระจากภาคเอกชน ในรายที่อาจเกินกำลังจริง ๆ อาทิเช่น จัดตั้ง Server ขนาดใหญ่ของรัฐ สำหรับช่วยเก็บข้อมูล Log file จากเอกชนบางราย ด้วยการกำหนด Limit ทำนองว่า หากบริษัทใด หรือผู้ให้บริการรายใดต้องใช้พื้นที่ในการจัดเก็บเกินกี่ GB ต่อวัน สามารถโอนถ่าย หรือฝาก Log File หรือ ข้อมูลจราจรทางคอมพิวเตอร์เหล่านั้นมายังภาครัฐได้ ซึ่งนั่น ย่อมไม่ใช่แค่เพียงแบ่งเบาภาระทางฝั่งผู้ประกอบการเท่านั้น แต่ยังช่วยแบ่งเบาภาระให้กับเจ้าหน้าที่รัฐ ที่ไม่ต้องคอยแต่ร้องขอข้อมูลจากผู้ประกอบการ เพียงอย่างเดียว เพราะตนมีข้อมูลจำนวนหนึ่งเก็บไว้สืบสวนได้อยู่แล้ว อีกทั้งยังเป็นหลักประกันด้วยว่า "ข้อมูล" ดังกล่าวจะไม่ถูกแก้ไขเปลี่ยนแปลง (ด้วยเหตุผลใด ๆ ก็ตาม จากผู้ประกอบการ) ก่อนจะถึงมือเจ้าพนักงานรัฐ
นอกจากนี้ในประเด็น การวิจัย หรือการสนับสนุนการวิจัยและพัฒนาโปรแกรม ในการเก็บรักษาข้อมูลที่มีประสิทธิภาพ ให้ได้มาตรฐานเดียวกัน เพื่อสนับสนุน หรือแจกจ่ายให้กับผู้บริการรายย่อย ก็ควรหรือไม่ที่รัฐจะต้องยื่นมือเข้ามาช่วย
อนึ่ง การแก้ปัญหาอาชญากรรมรูปแบบใหม่นี้ ไม่อาจเป็นไปอย่างเต็มประสิทธิภาพได้เลยครับ ถ้ารัฐเอาแต่ใช้มาตรการ "บังคับ" แต่เพียงอย่างเดียว เพราะด้วยจำนวน และประเภทของ ผู้ประกอบการ และผู้ให้บริการที่นับวันจะยิ่งมากมายมหาศาล ท่านจะไม่สามารถตรวจสอบได้ทั้งหมดเลยว่า ใครทำตามบังคับ และใครไม่ทำตามบังคับบ้าง หลายประเทศจึงใช้มาตรการ "ให้ผลประโยชน์" บางประการเป็นตัวล่อ ควบคู่ไปด้วย อาทิ การลดภาษี, การให้เงินบางส่วนเพื่อสนับสนุนกิจการ หรือผลประโยชน์ในรูปแบบอื่น ๆ ที่เกี่ยวกับการสอดส่องเป็นหูเป็นตา ซึ่งดูเหมือนว่า หลายต่อหลายครั้งจะได้ผลที่น่าพอใจกว่ามาก
จริงอยู่ การผลักภาระหน้าที่ในการ ป้องกัน และปราบปรามอาชญากรรม เพื่อความสงบสุขของบ้านเมืองทั้งหมดไปไว้ที่ "หน่วยงานรัฐ" หรือฝากความหวังไว้กับเจ้าหน้าที่รัฐเพียงอย่างเดียว เป็นเรื่องไม่ถูกต้อง จริงอยู่ ทุกคนเป็นส่วนหนึ่งของรัฐ ใครบางคนบอกผมว่า แท้จริงแล้วพวกเรานั่นแหละก็คือ "รัฐ" ดังนั้นเมื่อรัฐเกิดปัญหา เราก็ควรช่วยกันแก้ปัญหา
แต่...ท่านทั้งหลายจะยอมรับ "การผลักภาระกองโต" ด้วยอาการ ไม่ยอมรับผิดชอบใด ๆ หรือรับผิดชอบต่ำกว่าที่ควรจะเป็น โดยไม่อินังขังขอบกับสิทธิเสรีภาพของประชาชนในการเข้าถึงข้อมูล การแสดงความคิดเห็น รวมทั้งพัฒนาการทางเทคโนโลยีด้านนี้ จากฝ่ายรัฐ (ผู้มีเงินเดือนเป็นภาษีของท่าน) ได้ฉะนั้นหรือ ?
โดยส่วนตัว ผมไม่อยากให้บรรดา "ผู้ให้บริการอินเทอร์เน็ต" และประชาชนที่ต้องรับผลกระทบจากกฎหมาย และประกาศฉบับนี้ ตื่นเต้น หรือตื่นตูม จนไม่เป็นอันทำอะไรไปก่อนครับ แต่อยากให้ลองศึกษา "ภาระหน้าที่ของท่านในตัวประกาศ" ให้ดี ประเมินว่า ในทางปฏิบัติท่านทำได้หรือไม่ , ข้อมูลต่าง ๆ ที่กำหนดไว้ อยู่ในขอบเขตการบริการของท่านหรือไม่ ที่สำคัญ ท่านคิดว่า มันอยู่ในกรอบของคำว่า "ข้อมูลจราจรทางคอมพิวเตอร์" หรือไม่
สำหรับปัญหาอื่น ๆ ในแง่ที่ว่า รัฐจะนำข้อมูลไปสืบได้จริงหรือเปล่า ? กรณีคนใช้บริการ Server หรือ บริการจากต่างประเทศล่ะ รัฐจะเอามาจากที่ไหน ? รัฐสั่งให้เขาเก็บได้หรือไม่ อย่างไร ? เขาจะเก็บให้รัฐไทยหรือ ? อันนี้เป็นหน้าที่ของภาครัฐ ซึ่ง(โดยสถานภาพแล้ว) มีศักยภาพมากกว่าเรา ที่เขาจะต้องคิดเตรียมการ และหาทาง เตรียมความพร้อม รวมทั้งประสานงานกับต่างประเทศ (ซึ่งถือเป็นประเด็นสำคัญมากในการต่อสู้กับอาชญากรรมไร้พรมแดนประเภทนี้) ฝ่ายเรา ในเบื้องต้นก็ควรศึกษาภาระหน้าที่ให้กระจ่างชัด และทำได้จริงก่อนจะดีกว่า
เอาเข้าจริง ถ้าถามผม ผมก็ต้องบอกว่า ธรรมนูญปกครองพลเมืองออนไลน์ ฉบับนี้ (รวมทั้งกฎหมายลูกตัวอื่น ๆ) เป็นสิ่งจำเป็นต้องมี (สักที) นะครับ ในยุคสมัยที่อะไร ๆ มันก็ทำร้าย ทำลายกันง่ายดายไปเสียหมดในโลกเสมือน และชาวบ้านชาวเมืองอื่นเขาก็มีใช้กันจนเก่าไปหมดแล้ว แต่ผมก็ไม่ปราถนาเลยที่จะเห็นมันกลายเป็น "ความชั่วร้ายที่จำเป็น" ในสายตาพลเมืองทั้งหลาย
อย่างไรก็ตาม ผมไม่ใช่นักอุดมการณ์คุณธรรมจ๋า ที่จะหลับหูหลับตาลุกขึ้นเรียกร้อง หรือถามหา "สำนึก ความดี ความสามัคคี สมานฉันท์" จากผู้คนในสังคมทั้งชาติได้หรอก สำหรับผม คุณก็แค่ลองถามตัวเองเท่านั้นว่า วันนี้ คุณพร้อมที่จะมีภาระหน้าที่ ช่วยกันสอดส่องดูแลสังคมไซเบอร์สังคมนี้ พร้อม ๆ ไปกับการทำหน้าที่ของฝ่ายรัฐ (ภายใต้การตรวจสอบได้จากประชาชน) แล้วหรือไม่ ? หรือ คิดแต่ว่า ถ้าออกกฎอะไรมา ชั้นก็จะย้ายหนี ย้ายหนี
"ท่านอยากเป็นส่วนหนึ่งของการแก้ปัญหา หรือว่า อยากเป็นได้แค่ส่วนหนึ่งของปัญหา"
อ่านแล้วสนใจใคร่ถาม แนวทางปฏิบัติงานของผู้ใช้บังคับกฎหมายตัวนี้ (กระทรวงไอซีที) รวมทั้งฟังแนะแนว เพื่อเตรียมความพร้อม
"การบังคับใช้กฎหมาย : พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550“
เข้าไปดูรายละเอียดที่นี่ http://www.mict.go.th
หมายเหตุ : 1. สำหรับระยะเวลาในการเก็บรักษาข้อมูล กล่าวคือ ต่ำสุด 90 วัน ตามที่บัญญัติไว้ ในพระราชบัญญัติ ฯ นี้ เป็นระยะเวลาที่หลายฝ่าย รวมทั้งในระดับสากลเอง เห็นว่าเหมาะสมนะครับ เพราะแม้ใน ข้อตกลงว่าด้วยอาชญากรรมทางอินเทอร์เน็ต (Convention on Cybercrime 2004 Titel 2 Artkel 16) แห่งคณะมนตรียุโรป อันเป็นข้อตกลงระหว่างประเทศในเรื่องนี้ชิ้นแรกของโลก ซึ่งมีประเทศร่วมลงนามจำนวนมาก เอง ก็ใช้ตัวเลขนี้ เพื่อให้ประเทศสมาชิกผู้ลงนามพิจารณาบัญญัติเป็นกฎหมายภายในของตัวเอง เช่นกัน นัยว่า เป็นระยะเวลาขั้นต่ำกำลังดี ที่จะให้โอกาสเจ้าหน้าที่รัฐ สามารถสืบสวนหาพยานหลักฐาน และสืบสาวไปถึงตัวผู้กระทำความผิดได้ (แต่...เพื่อให้เจ้าหน้าที่สืบหา นะครับ ไม่ใช่ให้ ผู้ให้บริการสืบ หรือเก็บข้อมูลให้ โดยไม่ต้องสืบหาอะไรอีกแล้ว...จำตรงนี้ไว้ดี ๆ)
2. กลัวจะลืมกันไปเสียก่อน เพราะยังมีอีกมาตราหนึ่งนะครับ ที่ "ผู้ให้บริการ" ควรต้องศึกษา และเตรียมตัวเตรียมใจไว้ด้วย คือ
มาตรา 15 ผู้ให้บริการผู้ใดจงใจสนับสนุน หรือ ยินยอมให้มีการกระทําความผิดตามมาตรา 14 ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษเช่นเดียวกับผู้กระทําความผิดตาม มาตรา 14
มาตรา 14 ผู้ใดกระทําความผิดที่ระบุไว้ดังต่อไปนี้ ต้องระวางโทษจําคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจําทั้งปรับ
(1) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน
(2) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อัน เป็น เท็จ โดยประการที่น่าจะเกิด ความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน
(3) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ อันเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา
(4) นําเข้าสู่ระบบคอมพิวเตอร์ซึ่ง ข้อมูลคอมพิวเตอร์ใด ๆ ที่มีลักษณะอันลามก และข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
(5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์โดยรู้อยู่แล้วว่าเป็นข้อมูลคอมพิวเตอร์ตาม (1) (2) (3) หรือ (4)
โปรดศึกษา และเตรียมรับมือไว้
