153กฎหมายเทคโนโลยีสารสนเทศ

ชอ่ื กฎหมาย ประกาศธนาคารแห่งประเทศไทย ที่ สนส. ๑๑/๒๕๕๙ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไข วา่ ด้วยการควบคุมดูแลธุรกิจบริการการชาระเงินทางอิเล็กทรอนิกส์ของสถาบันการเงินเฉพาะกิจ ประกาศในราชกิจจานุเบกษา เลม่ ๑๓๓ / ตอนพิเศษ ๑๘๙ ง / หนา้ ๓๒ / วนั ท่ี ๒๕ สิงหาคม ๒๕๕๙ เรมิ่ บังคบั ใช้ วนั ท่ี ๒๕ สิงหาคม ๒๕๕๙ ส�ำ นกั งานพฒั นาธรุ กรรมทางอเิ ล็กทรอนิกส์ (องค์การมหาชน) หนา้ 278 สำ�นักงานคณะกรรมการธุรกรรมทางอิเลก็ ทรอนิกส์

เลม่ ๑๓๓ ตอนพเิ ศษ ๑๘๙ ง หน้า ๓๒ ๒๕ สิงหาคม ๒๕๕๙ ราชกิจจานุเบกษา ประกาศธนาคารแห่งประเทศไทย ท่ี สนส. ๑๑/๒๕๕๙ เร่ือง หลักเกณฑ์ วธิ ีการ และเงอื่ นไขว่าด้วยการควบคมุ ดูแลธุรกิจบริการ การชาํ ระเงนิ ทางอิเล็กทรอนกิ สข์ องสถาบันการเงนิ เฉพาะกิจ ๑. เหตุผลในการออกประกาศ เพอ่ื ประโยชน์ในการควบคุมดแู ลการประกอบธรุ กิจของผู้ให้บรกิ ารการชําระเงนิ ทางอิเล็กทรอนิกส์ ท่ีเป็นสถาบันการเงินเฉพาะกิจให้เกิดความมั่นคงทางการเงินและการพาณิชย์ เกิดความน่าเชื่อถือและยอมรับ ในระบบขอ้ มูลอิเลก็ ทรอนกิ ส์ และป้องกนั ไมใ่ ห้เกิดความเสยี หายต่อสาธารณชน ๒. อํานาจตามกฎหมาย อาศัยอํานาจตามความในมาตรา ๔ และมาตรา ๑๔ แห่งพระราชกฤษฎีกาว่าด้วยการควบคุมดูแล ธุรกิจบริการการชาํ ระเงินทางอิเล็กทรอนิกส์ของสถาบันการเงินเฉพาะกิจ พ.ศ. ๒๕๕๙ ธนาคารแห่งประเทศไทย (ธปท.) จึงได้กําหนดหลักเกณฑ์ วิธีการ และเงื่อนไขในการควบคุมดูแลธุรกิจบริการการชําระเงิน ทางอิเล็กทรอนิกส์ของสถาบนั การเงนิ เฉพาะกจิ ๓. ขอบเขตการบงั คบั ใช้ ประกาศฉบับนี้ให้ใช้บังคับกับผู้ให้บริการตามพระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการ การชาํ ระเงนิ ทางอิเล็กทรอนิกสข์ องสถาบันการเงนิ เฉพาะกิจ พ.ศ. ๒๕๕๙ ๔. เนื้อหา ๔.๑ ในประกาศฉบบั น้ี “ผู้ให้บริการ” หมายความว่า สถาบันการเงินเฉพาะกิจที่ให้บริการการชําระเงิน ทางอิเล็กทรอนิกส์ตามที่กําหนดไว้ในบัญชีท้ายพระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการ การชําระเงินทางอิเล็กทรอนกิ ส์ของสถาบันการเงินเฉพาะกิจ พ.ศ. ๒๕๕๙ ประกอบด้วยธุรกิจบริการ ท่ีตอ้ งแจ้งให้ทราบก่อนให้บรกิ าร (บัญชี ก) ธุรกิจบริการที่ต้องขอขึ้นทะเบียนก่อนให้บริการ (บัญชี ข) และธุรกิจบริการทตี่ ้องไดร้ บั อนญุ าตก่อนให้บรกิ าร (บญั ชี ค) “สถาบันการเงินเฉพาะกิจ” หมายความว่า สถาบันการเงินเฉพาะกิจตามกฎหมาย วา่ ดว้ ยธุรกจิ สถาบันการเงนิ “ธุรกิจบริการที่ต้องแจ้งให้ทราบก่อนให้บริการ” (บัญชี ก) ได้แก่ การให้บริการ เงนิ อิเล็กทรอนกิ สท์ ใ่ี ชซ้ อ้ื สนิ คา้ หรอื รบั บรกิ ารเฉพาะอยา่ งตามรายการที่กําหนดไว้ล่วงหน้า จากผู้ขายสินค้า หรือให้บริการเพียงรายเดียว ท้ังน้ี เว้นแต่การให้บริการเงินอิเล็กทรอนิกส์ท่ีใช้จํากัดเพื่ออํานวยความสะดวก แก่ผู้บริโภคโดยมิได้แสวงหากําไรจากการออกบัตร ตามที่ธนาคารแห่งประเทศไทยประกาศกําหนด โดยความเห็นชอบของคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส์ (e-Money บญั ชี ก) สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ (องคก์ ารมหาชน) หน้า 279 สำ�นกั งานคณะกรรมการธรุ กรรมทางอิเล็กทรอนกิ ส์

เล่ม ๑๓๓ ตอนพเิ ศษ ๑๘๙ ง หน้า ๓๓ ๒๕ สงิ หาคม ๒๕๕๙ ราชกจิ จานุเบกษา “ธรุ กิจบรกิ ารทต่ี อ้ งขอขึ้นทะเบียนก่อนใหบ้ ริการ” (บัญชี ข) ได้แก่ (๑) การให้บรกิ ารเครอื ขา่ ยบัตรเครดติ (Credit Card Network) (๒) การให้บริการเครือขา่ ยอดี ซี ี (EDC Network) (๓) การให้บริการสวิตช์ช่ิงในการชําระเงินระบบหน่ึงระบบใด (Transaction Switching บญั ชี ข) (๔) การให้บริการเงินอิเล็กทรอนิกส์ที่ใช้ซื้อสินค้า และหรือรับบริการเฉพาะอย่าง ตามรายการท่ีกําหนดไว้ล่วงหน้าจากผู้ขายสินค้าหรือให้บริการหลายราย ณ สถานที่ที่อยู่ภายใต้ระบบ การจดั จาํ หน่ายและการให้บริการเดียวกนั (e-Money บัญชี ข) “ธรุ กจิ บรกิ ารทต่ี ้องไดร้ บั อนญุ าตกอ่ นใหบ้ ริการ” (บญั ชี ค) ไดแ้ ก่ (๑) การใหบ้ ริการหักบญั ชี (Clearing) (๒) การให้บริการชาํ ระดุล (Settlement) (๓) การให้บริการชําระเงินทางอิเล็กทรอนิกส์ผ่านอุปกรณ์อย่างหน่ึงอย่างใด หรือผา่ นทางเครือข่าย (๔) การให้บรกิ ารสวิตชช์ งิ่ ในการชําระเงินหลายระบบ (Transaction Switching บญั ชี ค) (๕) การใหบ้ ริการรบั ชําระเงินแทน (๖) การให้บริการเงินอิเล็กทรอนิกส์ที่ใช้ซ้ือสินค้า และหรือรับบริการเฉพาะอย่าง ตามรายการที่กําหนดไว้ล่วงหน้า จากผ้ขู ายสนิ ค้าหรือให้บริการหลายราย โดยไม่จํากัดสถานท่ีและไม่อยู่ภายใต้ ระบบการจัดจาํ หนา่ ยและการให้บริการเดียวกนั (e-Money บญั ชี ค) ๔.๒ การใหบ้ ริการชําระดลุ (Settlement) ผูใ้ ห้บรกิ ารตอ้ งกาํ หนดหลักเกณฑแ์ ละเงือ่ นไขเกีย่ วกับผลสิ้นสดุ สมบูรณ์ของการโอนเงิน (Finality) ซ่ึงผู้รับสามารถใช้เงินได้ทันทีโดยปราศจากเง่ือนไขและไม่สามารถเพิกถอนได้ (Irrevocable) พร้อมทั้ง แจ้งให้ผู้ใช้บรกิ ารทราบ ๔.๓ การใหบ้ รกิ ารชาํ ระเงนิ ทางอิเลก็ ทรอนกิ สผ์ า่ นอุปกรณอ์ ยา่ งหน่ึงอย่างใดหรอื ผา่ นทางเครอื ข่าย ผู้ให้บริการต้องออกหลักฐานการชําระเงิน หรือหลักฐานอื่นใดที่มีข้อความทํานองเดียวกัน และจัดสง่ ใหผ้ ูใ้ ช้บรกิ ารตามวธิ กี ารทีต่ กลงกบั ผูใ้ ช้บริการ เมื่อผู้ให้บริการได้ออกหลักฐานการชําระเงิน หรือหลักฐานอ่ืนใดให้แก่ผู้ใช้บริการ ตามวรรคหนึ่งแล้ว ให้ถือว่าการชําระเงินของผู้ใช้บริการมีผลเสร็จส้ินสมบูรณ์ เว้นแต่การรับชําระเงินด้วยเช็ค ใหถ้ ือว่าการชําระเงินเสรจ็ สิ้นสมบรู ณ์ เมือ่ เช็คนน้ั สามารถเรียกเก็บเงินไดค้ รบถว้ น ๔.๔ การให้บริการรับชําระเงินแทน เมื่อได้รับชําระเงินแล้ว ผู้ให้บริการต้องออกหลักฐานเพ่ือแสดงว่าได้รับชําระเงิน จากผู้ใช้บริการ ในรูปของใบเสร็จรับเงิน ใบรับเงิน ใบรับฝากชําระ หรือหลักฐานอื่นใด ท่ีมีข้อความ ทํานองเดียวกนั และจัดส่งใหผ้ ูใ้ ชบ้ รกิ ารตามวธิ กี ารที่ตกลงกบั ผูใ้ ช้บรกิ าร โดยตอ้ งมรี ายละเอยี ดอย่างนอ้ ย ดังนี้ ส�ำ นักงานพัฒนาธุรกรรมทางอิเล็กทรอนกิ ส์ (องคก์ ารมหาชน) หน้า 280 ส�ำ นกั งานคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส์

เล่ม ๑๓๓ ตอนพเิ ศษ ๑๘๙ ง หนา้ ๓๔ ๒๕ สิงหาคม ๒๕๕๙ ราชกจิ จานุเบกษา ๑) ชอ่ื ผูใ้ ห้บรกิ าร และช่ือเจา้ หน้ี ๒) จํานวนเงินและรายละเอียดของสินค้าหรือบริการที่ชําระ โดยอาจระบุเป็นช่ือย่อ หรอื รหสั ก็ได้ รวมถงึ รายละเอยี ดทอ่ี ้างองิ ถงึ ผ้ใู ช้บรกิ าร ๓) วนั เดือน ปี และเวลาที่ออกหลักฐานการรับชาํ ระเงิน เมื่อผู้ใหบ้ ริการได้ออกหลกั ฐานการรับชําระเงินแล้ว ให้ถือว่าการชําระเงินของผู้ใช้บริการ มีผลเสร็จส้ินสมบูรณ์ เว้นแต่การรับชําระเงินด้วยเช็คให้ถือว่าการชําระเงินเสร็จส้ินสมบูรณ์ เมื่อเช็คนั้น สามารถเรียกเกบ็ เงินได้ครบถ้วน ๔.๕ ในกรณีท่ี ธปท. เห็นสมควร อาจกําหนดให้ผู้ให้บริการตามบัญชี ข และบัญชี ค ต้องจัดให้มีการตรวจสอบทางด้านความมั่นคงปลอดภัยโดยผู้ตรวจสอบอิสระตามรายช่ือที่คณะกรรมการ ธุรกรรมทางอเิ ล็กทรอนิกสก์ ําหนดด้วยกไ็ ด้ ๕. วนั เริ่มต้นบงั คบั ใช้ ประกาศนี้ให้ใชบ้ งั คบั นบั แตว่ นั ทีป่ ระกาศในราชกจิ จานุเบกษาเป็นตน้ ไป ประกาศ ณ วันที่ ๒๓ สิงหาคม พ.ศ. ๒๕๕๙ วริ ไท สันติประภพ ผ้วู ่าการ ธนาคารแห่งประเทศไทย สำ�นกั งานพฒั นาธรุ กรรมทางอเิ ล็กทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 281 ส�ำ นักงานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์

ประกาศธนาคารแหงประเทศไทย ที่ สนส. ๑๓/๒๕๕๙ เรอ่ื ง นโยบายและมาตรการการรกั ษาความมั่นคงปลอดภยั ทางระบบสารสนเทศในการประกอบธรุ กิจบรกิ าร การชำระเงนิ ทางอิเล็กทรอนิกสของสถาบันการเงินเฉพาะกจิ

ชื่อกฎหมาย ประกาศธนาคารแห่งประเทศไทย ท่ี สนส. ๑๓/๒๕๕๙ เรื่อง นโยบายและมาตรการ การรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศในการประกอบธุรกิจบริการการชาระเงินทาง อเิ ล็กทรอนิกส์ของสถาบันการเงนิ เฉพาะกิจ ประกาศในราชกจิ จานุเบกษา เลม่ ๑๓๓ / ตอนพเิ ศษ ๑๘๙ ง / หนา้ ๔๑ / วนั ที่ ๒๕ สิงหาคม ๒๕๕๙ เร่ิมบงั คบั ใช้ วนั ที่ ๒๕ สิงหาคม ๒๕๕๙ ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ (องค์การมหาชน) หน้า 283 ส�ำ นักงานคณะกรรมการธุรกรรมทางอเิ ล็กทรอนกิ ส์

เล่ม ๑๓๓ ตอนพเิ ศษ ๑๘๙ ง หนา้ ๔๑ ๒๕ สิงหาคม ๒๕๕๙ ราชกิจจานุเบกษา ประกาศธนาคารแหง่ ประเทศไทย ที่ สนส. ๑๓/๒๕๕๙ เร่ือง นโยบายและมาตรการการรักษาความม่ันคงปลอดภัยทางระบบสารสนเทศ ในการประกอบธุรกิจบริการการชําระเงินทางอิเล็กทรอนกิ ส์ของสถาบันการเงนิ เฉพาะกิจ ๑. เหตผุ ลในการออกประกาศ เพอ่ื ให้มมี าตรฐานในการกาํ หนดนโยบายและมาตรการการรักษาความม่ันคงปลอดภัยทางระบบ สารสนเทศในการประกอบธุรกิจของผู้ให้บริการการชําระเงินทางอิเล็กทรอนิกส์ที่เป็นสถาบันการเงินเฉพาะกิจ และใช้เป็นแนวทางกําหนดวิธีปฏิบัติในการตรวจสอบและรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ท่ีเก่ียวข้องกับการให้บริการการชําระเงินทางอิเล็กทรอนิกส์ให้มีความน่าเชื่อถือ มีความม่ันคงปลอดภัย และสามารถให้บริการไดอ้ ยา่ งต่อเนอื่ ง ๒. อํานาจตามกฎหมาย อาศัยอํานาจตามความในมาตรา ๔ และมาตรา ๗ แห่งพระราชกฤษฎีกาว่าด้วยการควบคุมดูแล ธุรกจิ บริการการชําระเงินทางอิเล็กทรอนิกส์ของสถาบันการเงินเฉพาะกิจ พ.ศ. ๒๕๕๙ ธนาคารแห่งประเทศไทย (ธปท.) จงึ ไดก้ าํ หนดหลักเกณฑ์ วิธีการ และเงื่อนไขในการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ ของสถาบันการเงนิ เฉพาะกจิ ๓. ขอบเขตการบังคบั ใช้ ประกาศฉบับนี้ให้ใช้บังคับกับผู้ให้บริการตามพระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการ การชาํ ระเงินทางอิเล็กทรอนิกส์ ของสถาบันการเงินเฉพาะกิจ พ.ศ. ๒๕๕๙ ๔. เนอ้ื หา ผู้ให้บริการตามพระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ ของสถาบันการเงินเฉพาะกิจ พ.ศ. ๒๕๕๙ ต้องถือปฏิบัติตามมาตรฐานนโยบายและมาตรการ การรักษาความมัน่ คงปลอดภัยทางระบบสารสนเทศ ดังน้ี ๔.๑ นโยบายการรกั ษาความมัน่ คงปลอดภัยทางระบบสารสนเทศ (๑) ผู้ให้บริการจะต้องจัดทํานโยบายการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ เป็นลายลักษณ์อักษร โดยได้รับการพิจารณาอนุมัติจากคณะกรรมการบริหารหรือผู้บริหารระดับสูง ของผู้ให้บริการ ท้ังน้ี ผู้ให้บริการจะต้องเผยแพร่นโยบายดังกล่าว และอบรมให้แก่บุคลากรที่เก่ียวข้อง เพื่อถือปฏิบตั ิ รวมทงั้ จัดใหม้ กี ารทบทวนหรือปรบั ปรงุ นโยบายให้เหมาะสมกับสถานการณอ์ ย่างสมํ่าเสมอ (๒) นโยบายการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศท่ีเก่ียวข้องกับการให้บริการ อยา่ งนอ้ ยตอ้ งครอบคลมุ ในเร่ืองดังต่อไปน้ี (ก) การควบคุมการเข้าถงึ และการพสิ จู น์ตวั ตนผใู้ ช้ สำ�นกั งานพัฒนาธุรกรรมทางอิเล็กทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 284 ส�ำ นกั งานคณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส์

เล่ม ๑๓๓ ตอนพิเศษ ๑๘๙ ง หน้า ๔๒ ๒๕ สิงหาคม ๒๕๕๙ ราชกจิ จานุเบกษา (ข) การรักษาความลบั ของขอ้ มูล และความถูกต้องเชื่อถือไดข้ องระบบสารสนเทศ (ค) การรกั ษาสภาพความพรอ้ มใช้งานของการใหบ้ รกิ าร (ง) การตรวจสอบความมนั่ คงปลอดภัยทางระบบสารสนเทศ ๔.๒ มาตรการการรักษาความมัน่ คงปลอดภยั ทางระบบสารสนเทศ ผู้ให้บริการจะต้องจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ ท่ีเก่ียวข้องกับการให้บริการการชําระเงินทางอิเล็กทรอนิกส์ให้สอดคล้องกับนโยบายท่ีได้กําหนดขึ้น และมาตรการดังกล่าวจะต้องเหมาะสมกับลักษณะของธุรกิจ โดยครอบคลุมถึงการควบคุมการเข้าถึง และการพิสูจน์ตัวตนผู้ใช้ การรักษาความลับของข้อมูล การรักษาความถูกต้องเช่ือถือได้ของระบบสารสนเทศ การรักษาสภาพความพร้อมใช้งานของการให้บริการ การแก้ไขปัญหาและการรายงาน รวมถึงจัดให้มี การตรวจสอบความมนั่ คงปลอดภยั ทางระบบสารสนเทศอย่างสมํ่าเสมอ อย่างน้อยปลี ะ ๑ ครั้ง ทัง้ น้ี ผู้ให้บริการจะต้องดําเนินการทบทวนหรือปรับปรุงมาตรการตามระยะเวลาท่ีกําหนด หรือเมื่อมีการเปล่ียนแปลงท่ีส่งผลกระทบกับนโยบายและมาตรการที่ได้กําหนดไว้ ตลอดจนจัดอบรม และใหค้ วามรแู้ กบ่ คุ ลากรทเ่ี กี่ยวขอ้ ง อนึ่ง ธปท. ได้จัดทําแนวปฏิบัติการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศท่ีเก่ียวข้องกับ การให้บริการการชําระเงินทางอิเล็กทรอนิกส์ของสถาบันการเงินเฉพาะกิจ (เอกสารแนบ) เพ่ือเป็นแนวทาง ในการกําหนดมาตรการการรักษาความม่ันคงปลอดภัยทางระบบสารสนเทศให้น่าเชื่อถือและให้เป็นท่ียอมรับ ของผู้ใชบ้ ริการ ทงั้ นี้ การกําหนดมาตรการการรักษาความมน่ั คงปลอดภัยของผู้ให้บริการแต่ละรายอาจแตกต่าง จากแนวปฏิบัติดังกล่าวได้ หากผู้ให้บริการเห็นว่าสามารถป้องกันความเสี่ยงทางระบบสารสนเทศได้อย่างมี ประสิทธิภาพเพียงพอ และอยใู่ นมาตรฐานที่ยอมรบั ได้ ๕. วันเร่ิมต้นใช้บงั คบั ประกาศนี้ให้ใชบ้ ังคับนับแตว่ นั ทปี่ ระกาศในราชกจิ จานุเบกษาเป็นต้นไป ประกาศ ณ วนั ที่ ๒๓ สิงหาคม พ.ศ. ๒๕๕๙ วริ ไท สันติประภพ ผ้วู ่าการ ธนาคารแห่งประเทศไทย สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ (องคก์ ารมหาชน) หน้า 285 สำ�นักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส์

แนวปฏิบตั กิ ารรักษาความมัน่ คงปลอดภยั ทางระบบสารสนเทศ ทเี่ กยี่ วข้องกบั การให้บรกิ ารการชาํ ระเงินทางอิเล็กทรอนิกส์ของสถาบันการเงนิ เฉพาะกจิ เพอื่ สนบั สนนุ ให้การประกอบธรุ กจิ ของผูใ้ หบ้ ริการการชําระเงนิ ทางอเิ ลก็ ทรอนกิ ส์ทเี่ ป็น สถาบนั การเงนิ เฉพาะกจิ เปน็ ไปอย่างมปี ระสิทธิภาพ ปลอดภัย ถูกต้อง และน่าเชื่อถอื ธนาคารแหง่ ประเทศไทย ไดจ้ ัดทาํ แนวปฏิบัติเพ่ือเปน็ แนวทางในการกําหนดมาตรการการรักษาความมั่นคงปลอดภยั ทางระบบ สารสนเทศทเ่ี ก่ียวข้องกบั การใหบ้ ริการการชําระเงินทางอเิ ล็กทรอนิกส์ แนวปฏิบัตนิ ี้เป็นเพียงกรอบแนวทาง ท่ัวไป ผ้ใู ห้บรกิ ารอาจกาํ หนดมาตรการการรกั ษาความมนั่ คงปลอดภัยทแ่ี ตกตา่ งจากแนวปฏบิ ัติฉบบั น้ีได้ หากสามารถป้องกันความเส่ียงทางระบบสารสนเทศได้อยา่ งมปี ระสทิ ธภิ าพเพียงพอ และอยู่ในมาตรฐาน ที่ยอมรับได้ นอกจากนี้ ผ้ใู หบ้ รกิ ารตอ้ งพิจารณาปรับใช้และกาํ หนดรายละเอยี ดของมาตรการการรักษา ความมน่ั คงปลอดภัยทางระบบสารสนเทศของผู้ให้บริการให้เหมาะสมกับประเภทและความซับซอ้ นของ ธรุ กจิ ตนเองด้วย สาระสาํ คญั ของแนวปฏิบตั ฉิ บับนีป้ ระกอบดว้ ย 1. การควบคุมการเขา้ ถึง และการพิสจู น์ตวั ตนผู้ใช้ ผใู้ หบ้ ริการตอ้ งคํานงึ ถงึ การกําหนดบคุ ลากรหรอื หนว่ ยงานทางเทคโนโลยสี ารสนเทศ และการแบ่งแยกหนา้ ทใี่ ห้เหมาะสม การควบคมุ การเขา้ ถงึ ระบบสารสนเทศ การพิสจู นต์ วั ตนผู้ใช้ และ การป้องกันการปฏเิ สธการรบั ผิด ดังน้ี 1.1 การกาํ หนดบคุ ลากรหรือหนว่ ยงานทางระบบสารสนเทศ และการแบง่ แยก อาํ นาจหน้าทท่ี ีเ่ หมาะสมในการบรหิ ารจัดการทางระบบสารสนเทศของผใู้ หบ้ ริการ ผู้ใหบ้ รกิ ารตอ้ งกาํ หนดหนา้ ทแ่ี ละความรับผดิ ชอบของบคุ ลากรหรอื หน่วยงาน ท่ดี แู ลเกีย่ วกบั ความม่นั คงปลอดภยั ทางระบบสารสนเทศของผใู้ ห้บริการ โดยสรา้ งความตระหนกั ให้ความรู้ และใหม้ ีการอบรม ตลอดจนจัดให้มีกระบวนการทางวินัยเพ่ือลงโทษในกรณีฝ่าฝนื หรือละเมดิ ระเบยี บ ปฏบิ ตั ิเกยี่ วกบั ความมน่ั คงปลอดภยั แนวปฏบิ ัติ (1) กําหนดหน้าท่ีความรบั ผิดชอบ และแบ่งแยกหน้าทใ่ี นการปฏิบัติงานด้านต่าง ๆ ท่เี กย่ี วกับความมน่ั คงปลอดภยั ทางระบบสารสนเทศของผใู้ หบ้ รกิ ารออกจากกนั ให้ชดั เจน ใหม้ กี ารถว่ งดลุ อาํ นาจ เพอ่ื ป้องกันความเสี่ยงในการปฏบิ ัตกิ ารทอี่ าจเกิดขึน้ (2) มีการอบรม เพิ่มเตมิ ความรู้แกบ่ ุคลากรเก่า และใหม่อย่างสม่าํ เสมอ (3) จัดใหม้ ีกระบวนการทางวินัย เพอ่ื ลงโทษบคุ ลากรทฝ่ี า่ ฝนื ละเมิดนโยบายหรอื ระเบยี บปฏบิ ัติเกีย่ วกบั ความมนั่ คงปลอดภัยทางระบบสารสนเทศของผใู้ หบ้ รกิ าร 1.2 การควบคุมการเขา้ ถงึ ระบบสารสนเทศ ผใู้ ห้บริการต้องจดั ใหม้ ขี น้ั ตอนปฏบิ ตั ิเป็นลายลักษณอ์ ักษรสําหรบั การควบคุม และ จาํ กัดสิทธิการใช้ระบบสารสนเทศที่เกีย่ วกบั การใหบ้ ริการและข้อมลู ตามความจาํ เปน็ ในการใช้งานป้องกัน การลักลอบการเขา้ ถึงระบบโดยผู้ที่ไม่มสี ทิ ธิ ทงั้ จากภายในและภายนอกองคก์ ร สำ�นักงานพัฒนาธุรกรรมทางอิเลก็ ทรอนิกส์ (องคก์ ารมหาชน) หน้า 286 ส�ำ นกั งานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส์

2 แนวปฏิบัติ (1) จัดทําทะเบียนทรัพยส์ นิ หรอื อปุ กรณร์ ะบบสารสนเทศใหถ้ กู ต้องอยูเ่ สมอ รวมถึง จัดใหม้ ีผู้รบั ผิดชอบดูแลทรัพยส์ ินเหล่านัน้ (2) มกี ฎ ระเบยี บ ในการใชร้ ะบบสารสนเทศ และทรัพยส์ ินท่เี ก่ียวข้องกบั ระบบสารสนเทศท่ีเหมาะสม (3) ต้องมกี ารควบคมุ และปอ้ งกันการเข้าถงึ สถานที่ตงั้ การควบคมุ การเขา้ ถึง อปุ กรณ์ และระบบสารสนเทศท่เี กีย่ วกบั การให้บริการ โดยกระบวนการดงั กล่าวครอบคลุมถงึ (3.1) การจดั วาง ติดตง้ั อปุ กรณท์ ่เี กี่ยวกบั การใหบ้ รกิ ารทเี่ ปน็ สัดส่วน แบง่ เขต ควบคมุ อปุ กรณส์ ําคัญ จดั ใหม้ กี ารควบคุมการเข้าออกบรเิ วณพ้ืนทค่ี วบคมุ ป้องกนั การลกั ลอบเข้าถงึ โดย ผูไ้ ม่มสี ทิ ธิ ทง้ั ภายในและภายนอกองค์กร (3.2) กาํ หนดวธิ กี ารและสิทธกิ ารเขา้ ถงึ ระบบสารสนเทศที่เกยี่ วกับ การใหบ้ รกิ าร โดยแบ่งแยกตามระดับอาํ นาจหนา้ ท่ี และจดั ให้มกี ารตรวจสอบสทิ ธใิ นการเข้าถงึ ระบบ สารสนเทศดงั กลา่ ว ทงั้ จากผใู้ ชบ้ รกิ าร และบคุ ลากรที่เก่ยี วขอ้ งก่อนอนุญาตใหเ้ ข้าใช้ระบบ โดยตอ้ ง ทบทวนและปรบั ปรุงให้เป็นปัจจบุ นั อยู่เสมอ (3.3) กาํ หนดใหม้ กี ารบนั ทกึ การเขา้ ใชร้ ะบบสารสนเทศของผูใ้ ชบ้ รกิ ารและ บุคลากรทเี่ กย่ี วขอ้ ง เพ่อื ใช้ประโยชนใ์ นการตรวจสอบตดิ ตามความผิดปกตติ ่าง ๆ ที่อาจเกดิ ขน้ึ 1.3 การตรวจสอบตวั ตน และการป้องกันการปฏิเสธการรบั ผดิ ผูใ้ หบ้ ริการต้องจดั ใหม้ กี ารระบุ ตรวจสอบ หรอื พิสูจนต์ ัวตนและตรวจสอบสิทธขิ อง ผู้ใช้ระบบโดยพจิ ารณาใช้เทคโนโลยที เ่ี หมาะสมกับระดับความเสย่ี งของประเภทธรุ กจิ ทใ่ี หบ้ ริการ เชน่ การใช้ รหสั ผา่ น (Password) เลขประจําตัว (Personal Identification Number) อปุ กรณห์ รือบัตรทเี่ กบ็ ข้อมลู ส่วนบคุ คล (Token or Smart Card) ลกั ษณะทางชีวมาตร (Biometric) เทคโนโลยีกญุ แจสาธารณะ (Public Key Infrastructure) เพอ่ื ปอ้ งกันการปฏเิ สธการรับผดิ กรณีมีข้อพพิ าทเกดิ ขึน้ แนวปฏิบัติ (1) จดั ใหม้ ีวธิ กี ารระบุ หรอื ตรวจสอบ หรอื พสิ จู นต์ ัวตนกอ่ นเขา้ ใช้ระบบสารสนเทศ ของผูใ้ ชบ้ รกิ ารและบคุ ลากรทเี่ กย่ี วขอ้ งของผู้ให้บริการ เพ่อื ให้ทราบได้วา่ การเขา้ ใช้งานน้ันมาจากผูม้ สี ทิ ธิ ในการเขา้ ถึงระบบสารสนเทศ รวมท้งั ป้องกนั ไม่ให้มีการปฏเิ สธความรับผิด หรอื ข้อโต้แย้งในการทาํ รายการ (2) มกี ารบันทกึ รายละเอียดการเข้าถึงระบบสารสนเทศไวเ้ ปน็ หลักฐานสาํ หรับ การตรวจสอบกรณเี กิดปญั หา เพอ่ื ป้องกันการปฏิเสธการรับผิด 2. การรักษาความลับของขอ้ มูล และความถกู ต้องเช่ือถือไดข้ องระบบสารสนเทศ ผูใ้ ห้บรกิ ารต้องกาํ หนดมาตรการในการรักษาความลับของข้อมลู และการรกั ษาความ ถกู ต้องเช่อื ถอื ไดข้ องระบบสารสนเทศทใ่ี ห้บริการ เช่น การควบคมุ การเปล่ยี นแปลงการปรบั ปรุงแกไ้ ข ระบบ หรืออุปกรณ์ประมวลผลสารสนเทศ และการจัดการระบบเครอื ขา่ ยทเ่ี ก่ียวกับการใหบ้ รกิ าร เพ่อื ให้ระบบสารสนเทศมีความถกู ตอ้ งอย่เู สมอ สำ�นกั งานพัฒนาธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์ (องค์การมหาชน) หน้า 287 สำ�นักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส์

3 2.1 การรกั ษาความลบั ของขอ้ มลู ผู้ใหบ้ รกิ ารตอ้ งกาํ หนดขน้ั ตอน วิธกี ารในการรับสง่ ประมวลผล และการจดั เกบ็ ข้อมลู อยา่ งเหมาะสม เพอ่ื รกั ษาความลบั ความถกู ต้องสมบูรณข์ องข้อมลู แนวปฏิบตั ิ (1) กาํ หนดช้ันความลับของขอ้ มูลตามระดับความสําคัญ รวมถงึ กาํ หนดสทิ ธิ ผู้ทส่ี ามารถเขา้ ถงึ ข้อมลู ความลับดังกลา่ ว (2) จดั ใหม้ วี ธิ กี ารรับส่ง ประมวลผล และจดั เกบ็ ขอ้ มลู ลบั ในลกั ษณะทม่ี นั่ คง ปลอดภัยตามระดบั ความสําคัญ เพื่อปอ้ งกนั การเข้าแกไ้ ขเปลย่ี นแปลงโดยผู้ทไี่ ม่มสี ิทธหิ รอื ไมไ่ ดร้ ับอนุญาต ชน้ั ความลบั (3) กาํ หนดวิธีปฏบิ ัตใิ นการจัดเก็บ ใช้งาน และทําลายขอ้ มูลแต่ละประเภท 2.2 การควบคมุ การเปลย่ี นแปลง การปรบั ปรุงแก้ไขระบบสารสนเทศหรืออปุ กรณ์ ประมวลผลสารสนเทศ ผู้ใหบ้ ริการต้องกําหนดขนั้ ตอนปฏบิ ตั อิ ย่างเป็นระบบสาํ หรบั ควบคมุ การเปลี่ยนแปลง หรือแก้ไขระบบสารสนเทศ เพือ่ ลดความเส่ียงที่จะทาํ ใหร้ ะบบท่ีใหบ้ รกิ ารเกดิ ความเสยี หายหรือทาํ งาน ผิดปกติ แนวปฏบิ ัติ (1) จดั ให้มีขั้นตอนปฏบิ ตั ิสําหรับการควบคมุ การแกไ้ ขเปลยี่ นแปลงขอ้ มูลใน กระบวนการประมวลผล การรับส่งข้อมลู การจัดเกบ็ การจัดหา การปรบั ปรุงอุปกรณ์ และการพัฒนาระบบ สารสนเทศ เช่น มีขนั้ ตอนการประเมินผลกระทบทเี่ กย่ี วข้อง การอนุมตั ิจากผมู้ อี ํานาจ ขัน้ ตอนการพฒั นา หรือปรับปรุงแกไ้ ข การทดสอบก่อนดําเนนิ การ รวมถงึ การบนั ทึกการแกไ้ ขเปลีย่ นแปลง การแจ้งใหผ้ ู้ทไี่ ดร้ บั ผลกระทบจากการเปล่ียนแปลงนนั้ ไดร้ ับทราบ และปรับปรงุ เอกสารทีเ่ กี่ยวข้อง (2) ต้องแยกระบบสาํ หรับการพัฒนา และระบบทใ่ี ชง้ านจริงออกจากกัน ซงึ่ อาจ เป็นการแยกอุปกรณ์เปน็ คนละเคร่อื ง และใช้ผูค้ วบคุมระบบแยกกนั (3) การใชบ้ รกิ ารด้านงานเทคโนโลยสี ารสนเทศจากผู้ใหบ้ ริการรายอน่ื (3.1) จัดให้มสี ัญญาดําเนินการเป็นลายลักษณ์อักษร ระบขุ อบเขต การดําเนนิ งาน หนา้ ทค่ี วามรบั ผดิ ชอบของคู่สัญญาแต่ละฝ่ายใหช้ ดั เจน (3.2) จดั ให้มกี ารบรหิ ารความเสีย่ งในการใช้บรกิ ารจากผูใ้ หบ้ รกิ ารรายอน่ื รวมทั้งการคัดเลอื ก การตดิ ตาม ประเมนิ และตรวจสอบการให้บริการอยา่ งเหมาะสม (3.3) จัดให้มกี ารรกั ษาความมน่ั คงปลอดภยั ของขอ้ มลู ซง่ึ รวมถงึ การรกั ษา ความลบั และความเปน็ ส่วนตัวของข้อมูลผ้ใู ชบ้ ริการ (3.4) ความรับผดิ ชอบตอ่ ผูใ้ ชบ้ รกิ ารในการให้บรกิ ารทีต่ อ่ เน่อื ง มนั่ คง ปลอดภัย และน่าเช่ือถือเสมอื นกับการใหบ้ รกิ ารโดยผู้ใหบ้ ริการเอง ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หนา้ 288 ส�ำ นกั งานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนกิ ส์

4 (3.5) การจดั ทาํ แผนฉกุ เฉินสําหรบั การดําเนนิ การดา้ นงานเทคโนโลยี สารสนเทศของผ้ใู หบ้ รกิ ารรายอื่นหรอื บุคคลอนื่ ใหส้ อดคลอ้ งกบั แผนฉุกเฉนิ ของผู้ใหบ้ รกิ าร (4) จดั ทาํ คู่มือต่าง ๆ ทีเ่ ก่ยี วขอ้ งกบั ระบบสารสนเทศทใี่ หบ้ ริการ อบรม และ เผยแพรใ่ หพ้ นกั งานไวใ้ ชง้ าน 2.3 การจดั การเครอื ขา่ ยทเี่ ก่ียวกับการให้บรกิ าร ผใู้ ห้บริการต้องกาํ หนดมาตรการป้องกันการเข้าถงึ ระบบท่ีใหบ้ รกิ ารทางเครือขา่ ย โดยไมไ่ ด้รับอนุญาต แนวปฏบิ ัติ (1) บริหารจัดการเครือข่ายที่เกี่ยวกับการให้บริการ เพ่ือป้องกันภัยคุกคาม ทางเครือขา่ ย หรอื ขอ้ มลู ทสี่ ่งผ่านทางเครือขา่ ย เชน่ (1.1) ต้องกาํ หนดมาตรการควบคมุ การเช่อื มต่อทางเครอื ขา่ ย การอนญุ าต การเช่ือมต่อโดยอปุ กรณ์จากภายนอก (1.2) การตรวจสอบตัวตนในการใช้งานเครอื ขา่ ย (1.3) การแบ่งแยกเครอื ข่ายตามกลุ่มบรกิ ารสารสนเทศ (1.4) ตดิ ตง้ั โปรแกรมปอ้ งกันภยั คุกคามจากภายนอก ปัจจุบนั อยู่เสมอ (2) มมี าตรการควบคมุ และปอ้ งกนั ไวรัสท่มี ปี ระสิทธิภาพและปรบั ปรงุ ให้เป็น 3. การรักษาสภาพความพรอ้ มใช้งานของการให้บรกิ าร ผใู้ หบ้ รกิ ารตอ้ งจัดให้มกี ารใหบ้ ริการทีม่ ปี ระสิทธภิ าพและมสี ภาพความพร้อมใชง้ าน ในการให้บริการตลอดเวลา สามารถรองรับการทําธรุ กรรมตามความตอ้ งการของผใู้ ช้บริการไดอ้ ย่างพอเพยี ง ตอบสนองการทําธุรกรรมไดอ้ ย่างรวดเร็วทั้งในเวลาปกติและเวลาท่มี กี ารใชบ้ ริการอยา่ งหนาแนน่ (Peak Time) รวมทั้งมกี ารสํารองข้อมลู อย่างเหมาะสม เพ่ือให้สามารถกรู้ ะบบใหก้ ลบั มาทาํ งานได้ตามปกติในกรณี ท่ีเกดิ ความเสยี หาย 3.1 การประเมิน และจดั การความเสยี่ งของระบบท่ีให้บรกิ าร ผูใ้ ห้บรกิ ารต้องมีวธิ กี ารประเมนิ ความเส่ียงของระบบทีใ่ หบ้ รกิ ารที่เหมาะสม กาํ หนดเกณฑใ์ นการยอมรบั ความเสยี่ งและระบรุ ะดบั ความเสี่ยงท่ียอมรบั ได้ รวมถงึ กําหนดวิธกี ารจดั การ ความเสย่ี งทอ่ี าจเกิดขึ้น ทง้ั น้ี ผใู้ ห้บริการตอ้ งจดั ให้มีการทบทวนความเสี่ยงอยูเ่ สมอ ใหส้ อดคลอ้ งกับ พฒั นาการทางเทคโนโลยแี ละสถานการณป์ จั จบุ นั แนวปฏบิ ัติ (1) กาํ หนดวธิ ีการประเมนิ ความเสยี่ งท่ีเปน็ รูปธรรม (2) วิเคราะหแ์ ละประเมนิ ผลกระทบทมี่ ีตอ่ ธรุ กิจทีอ่ าจเปน็ ผลจากความลม้ เหลว ของการรักษาความมนั่ คงปลอดภัย ส�ำ นกั งานพัฒนาธรุ กรรมทางอเิ ล็กทรอนกิ ส์ (องค์การมหาชน) หนา้ 289 ส�ำ นกั งานคณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส์

5 (3) กําหนดเกณฑ์ในการยอมรบั ความเสย่ี ง และระดับความเสยี่ งทย่ี อมรบั ได้ (4) ระบุและประเมินทางเลือกในการจัดการกับความเสย่ี งในการดาํ เนินการ ทีอ่ าจเกิดขน้ึ ได้ เพ่ือหลกี เลย่ี งความเส่ียงและลดความเสยี หายที่จะเกดิ ขึ้น 3.2 การติดตามตรวจสอบความผิดปกติและความลอ่ แหลมของระบบสารสนเทศ ผใู้ หบ้ ริการต้องกาํ หนดให้มีการตดิ ตาม ตรวจสอบความผิดปกติ ตลอดจนข้อมูล ขา่ วสารทีเ่ ก่ียวกับช่องโหว่ในระบบตา่ ง ๆ ทใ่ี หบ้ ริการ เพื่อประเมินความเสีย่ งและกาํ หนดมาตรการรองรบั เพอ่ื ลดความเส่ียงดังกลา่ ว แนวปฏบิ ัติ (1) ตดิ ตามตรวจสอบรายการที่ไม่ปกติ และโอกาสทีจ่ ะเกิดภัยคกุ คาม หรอื การลักลอบเขา้ ถึงระบบสารสนเทศ (2) ประเมนิ ช่องโหวข่ องระบบ (Vulnerability Assessment) จดั เตรียมแนวทาง การแกไ้ ข หรือปิดชอ่ งโหว่จากความลอ่ แหลมของระบบ โดยเฉพาะในสว่ นของระบบเครือข่ายที่เก่ียวกบั การให้บรกิ าร รวมถึงโปรแกรมระบบงานและฐานข้อมูล (3) กรณรี ะบบมคี วามเส่ยี งสงู ควรจัดใหม้ กี ารทดสอบเจาะระบบ (Penetration Test) เพื่อทดสอบประสทิ ธภิ าพของเทคโนโลยกี ารรกั ษาความมน่ั คงปลอดภยั 3.3 การแก้ไขปัญหา บนั ทกึ เหตกุ ารณ์ และการรายงาน กรณรี ะบบสารสนเทศไดร้ บั ความเสยี หาย ผใู้ ห้บรกิ ารตอ้ งมีการติดตาม บันทกึ และรายงานเหตกุ ารณ์ละเมิดความมน่ั คง ปลอดภยั ผ่านช่องทางการรายงานทกี่ าํ หนดไว้ โดยดําเนินการอย่างรวดเร็วที่สดุ เท่าทจ่ี ะทาํ ได้ รวมท้งั ใหม้ ีการเรียนรจู้ ากเหตุการณ์ทีเ่ กดิ ขนึ้ แล้ว เพื่อเตรียมการป้องกนั ทจ่ี าํ เป็นไว้ลว่ งหน้า แนวปฏบิ ัติ (1) กาํ หนดข้ันตอนการแก้ไขปัญหา ทมี งานหรอื ผู้รับผิดชอบ รวมถงึ วิธีการ รายงานปัญหาใหก้ บั ผบู้ รหิ าร และแจง้ ให้กบั ผ้เู กย่ี วข้องทราบ (2) เกบ็ รวบรวมหลกั ฐานตา่ ง ๆ ที่เปน็ ประโยชน์ (3) บันทึกเหตกุ ารณ์ หรือจดั ทาํ รายงานที่เป็นลายลักษณอ์ กั ษรเพื่อเก็บไว้ เป็นแนวทางในการแกป้ ัญหา 3.4 การสาํ รองขอ้ มลู ผใู้ หบ้ รกิ ารต้องจัดให้มกี ารสาํ รองและทดสอบขอ้ มูลท่สี ํารองเก็บไวอ้ ย่างสมาํ่ เสมอ เพ่อื รกั ษาความถูกตอ้ งสมบรู ณ์ และสภาพความพร้อมใช้งานของการให้บริการ แนวปฏิบัติ ใชง้ านได้ (1) สาํ รองขอ้ มลู ทีส่ ําคญั และขอ้ มูลอนื่ ที่จาํ เปน็ ต่อการปฏิบัติงานสํารองใหพ้ ร้อม สำ�นักงานพฒั นาธุรกรรมทางอิเล็กทรอนกิ ส์ (องค์การมหาชน) หนา้ 290 สำ�นักงานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส์

6 (2) กาํ หนดวิธีปฏิบัติ หรอื ขั้นตอนในการสาํ รองขอ้ มลู ให้ชดั เจน เช่น ขอ้ มูลที่จะ สาํ รอง ความถใี่ นการสาํ รองข้อมูล สอื่ ที่ใช้ สถานท่ีเก็บ วธิ กี ารเกบ็ รักษา และการนาํ มาใชง้ าน (3) ทดสอบขอ้ มลู ทีเ่ กบ็ สาํ รองไว้อย่างสม่าํ เสมอ และใหเ้ ปน็ ไปตามนโยบายการ สาํ รองข้อมลู ของผู้ให้บรกิ าร สารสนเทศ 3.5 การจดั ทําแผนรองรบั การดาํ เนนิ ธุรกจิ อยา่ งต่อเนื่อง หรอื แผนฉุกเฉนิ ทางระบบ ผ้ใู หบ้ รกิ ารตอ้ งจัดทําแผนสรา้ งความต่อเนื่องใหก้ ับการให้บริการการชาํ ระเงนิ ทางอิเลก็ ทรอนกิ ส์ และนําแผนมาดาํ เนินการเพื่อใหบ้ รกิ ารสามารถดําเนินต่อไปได้ตามระยะเวลาที่กาํ หนดไว้ หลงั จากทม่ี ีเหตุการณ์ท่ีทําใหบ้ ริการหยดุ ชะงัก แนวปฏิบัติ (1) วิเคราะหแ์ ละระบคุ วามเสยี่ ง และการดาํ เนนิ งานท่ีสาํ คญั ของการใหบ้ รกิ าร (2) กําหนดระยะเวลาหยดุ ดาํ เนินงานทย่ี อมรับได้ (Recovery Time Objectives) (3) จัดทาํ แผนเป็นลายลกั ษณอ์ กั ษร กําหนดขั้นตอนรายละเอียดการดําเนนิ การ เมอื่ มกี ารหยดุ ชะงกั ของการดําเนินงานทีส่ ําคัญ เพ่ือให้สามารถกลับมาดําเนินงานไดต้ ามระยะเวลาท่กี าํ หนด รายละเอยี ดของแผนอย่างน้อยประกอบด้วย ก. ชอื่ แผน ข. วตั ถุประสงค์ และขอบเขตของแผน ปฏิบตั ิงานทดแทน ค. รายละเอียดของระบบเทคโนโลยสี ารสนเทศ ทรพั ยากรท่จี าํ เปน็ สาํ หรับ และภายนอก ง. ผู้รับผดิ ชอบ ผู้มีอํานาจตดั สินใจ การตดิ ตอ่ สอื่ สารกบั ผูเ้ กีย่ วขอ้ งทั้งภายใน จ. วธิ กี ารปฏิบตั ิกรณีเกดิ ปัญหา และสถานทป่ี ฏิบัตงิ านทดแทน (4) จัดให้มกี ารฝึกอบรมแผนแก่พนกั งานและผู้มสี ว่ นเกี่ยวข้องกบั การดําเนนิ การ ตามแผนอยา่ งสมาํ่ เสมอ (5) ทดสอบและทบทวนแผนสําหรับการดาํ เนนิ งานทีส่ าํ คญั อย่างน้อยปีละ 1 ครัง้ หรอื เมอ่ื มกี ารเปลย่ี นแปลงปจั จัยทีม่ ผี ลตอ่ ความเสี่ยง 3.6 การบาํ รงุ รกั ษาอุปกรณ์ระบบสารสนเทศ ผ้ใู หบ้ รกิ ารตอ้ งกาํ หนดใหม้ ีการบาํ รงุ รกั ษาอุปกรณต์ ่าง ๆ อย่างสม่าํ เสมอ เพอื่ ให้ อปุ กรณ์ทํางานไดอ้ ยา่ งต่อเนื่อง และอย่ใู นสภาพทมี่ ีความสมบรู ณต์ อ่ การใชง้ าน แนวปฏบิ ัติ กาํ หนดให้มกี ารบํารงุ รักษาอุปกรณต์ า่ ง ๆ อย่างสมา่ํ เสมอ เพ่อื ให้อปุ กรณท์ ํางาน ได้อย่างต่อเนอื่ ง และให้อยใู่ นสภาพพร้อมใช้งานตลอดเวลา ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ (องค์การมหาชน) หนา้ 291 สำ�นกั งานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนกิ ส์

7 4. การตรวจสอบความมนั่ คงปลอดภยั ทางระบบสารสนเทศ ผู้ให้บริการจะตอ้ งจัดใหม้ กี ารตรวจสอบความม่ันคงปลอดภยั ทางระบบสารสนเทศ อยา่ งสมาํ่ เสมอ อย่างนอ้ ยปีละ 1 ครั้ง เพอื่ ให้มน่ั ใจได้ว่านโยบายและมาตรการการรกั ษาความม่ันคง ปลอดภยั ทางระบบสารสนเทศท่ีเกยี่ วขอ้ งกับการให้บรกิ ารเป็นไปอยา่ งมีประสทิ ธภิ าพม่ันคงปลอดภัย สามารถให้บรกิ ารไดอ้ ย่างต่อเนอื่ ง แนวปฏบิ ัติ (1) จดั ให้มีผตู้ รวจสอบและดําเนินการตรวจสอบความมั่นคงปลอดภัยทางระบบ สารสนเทศในเรือ่ งที่มคี วามเสีย่ งหรือมีความสําคัญต่อการให้บรกิ ารอยา่ งน้อยปลี ะ 1 คร้ัง และจัดทํารายงาน ผลการตรวจสอบเสนอผบู้ รหิ ารของผู้ใหบ้ รกิ ารเพ่ือพิจารณาระดับความเสยี่ งท่ีเป็นอยู่และกําหนดแนวทาง การปรบั ปรุง และแจ้งให้หนว่ ยงานภายในท่เี กยี่ วขอ้ งทราบเพื่อนําไปปฏบิ ัติ (2) ตดิ ตาม ตรวจสอบการใหบ้ รกิ ารการชําระเงนิ ทางอเิ ล็กทรอนิกสใ์ หเ้ ปน็ ไปตามกฎระเบียบ ขอ้ บังคับทเ่ี กี่ยวข้องทั้งหมด เพอ่ื หลกี เลีย่ งการละเมิดขอ้ กาํ หนดทางกฎหมาย ระเบียบปฏบิ ตั ิ ข้อกาํ หนดใน สัญญา และข้อกําหนดด้านความมน่ั คงปลอดภัย ฝ่ายนโยบายระบบการชําระเงนิ ธนาคารแห่งประเทศไทย สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ (องค์การมหาชน) หนา้ 292 ส�ำ นกั งานคณะกรรมการธรุ กรรมทางอิเล็กทรอนกิ ส์

พระราชบัญญตั ิ วาดว ยการกระทําความผดิ เก่ยี วกับคอมพิวเตอร พ.ศ. ๒๕๕๐ และฉบบั แกไ ขเพิ่มเติม (ฉบับที่ ๒) พ.ศ. ๒๕๖๐

ชอ่ื กฎหมาย พระราชบญั ญตั วิ ่าดว้ ยการกระทาความผิดเก่ียวกบั คอมพิวเตอร์ พ.ศ. ๒๕๕๐ ประกาศในราชกจิ จานุเบกษา เล่ม ๑๒๔ / ตอนที่ ๒๗ ก / หน้า ๔ / วันที่ ๑๘ มิถนุ ายน ๒๕๕๐ เร่ิมบังคับใช้ วันที่ ๑๘ กรกฎาคม ๒๕๕๐ ผูร้ กั ษาการ รฐั มนตรวี า่ การกระทรวงเทคโนโลยสี ารสนเทศและการสื่อสาร แก้ไขเพม่ิ เตมิ พระราชบัญญัตวิ า่ ดว้ ยการกระทาความผดิ เก่ยี วกบั คอมพวิ เตอร์ (ฉบบั ท่ี ๒) พ.ศ. ๒๕๖๐ ประกาศในราชกจิ จานเุ บกษา เลม่ ๑๓๔ / ตอนที่ ๑๐ ก / หนา้ ๒๔ / วนั ท่ี ๒๔ มกราคม ๒๕๖๐ เรมิ่ บังคับใช้ ๒๔ พฤษภาคม ๒๕๖๐ ผรู้ กั ษาการ รฐั มนตรีวา่ การกระทรวงดจิ ิทัลเพื่อเศรษฐกิจและสังคม ส�ำ นักงานพัฒนาธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 294 ส�ำ นกั งานคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส์

พระราชบัญญัติ ว่าดว้ ยการกระทาความผิดเกย่ี วกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ ภมู ิพลอดุลยเดช ป.ร. ให้ไว้ ณ วันท่ี ๑๐ มิถนุ ายน พ.ศ. ๒๕๕๐ เปน็ ปที ่ี ๖๒ ในรัชกาลปจั จุบนั พระบาทสมเด็จพระปรมินทรมหาภูมิพลอดุลยเดช มีพระบรมราชโองการโปรดเกล้าฯ ให้ประกาศว่า โดยท่ีเป็นการสมควรมีกฎหมายว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ จึงทรงพระกรุณาโปรดเกล้าฯ ให้ตราพระราชบัญญัติขึ้นไว้โดยคาแนะนาและยินยอมของ สภานิติบัญญัติแห่งชาติ ดังต่อไปน้ี มาตรา ๑ พระราชบัญญัตินี้เรียกว่า “พระราชบัญญัติว่าด้วยการกระทาความผิดเกี่ยวกับ คอมพิวเตอร์ พ.ศ. ๒๕๕๐” มาตรา ๒๑ พระราชบัญญัตินี้ให้ใช้บังคับเม่ือพ้นกาหนดสามสิบวันนับแต่วันประกาศใน ราชกิจจานเุ บกษาเป็นต้นไป มาตรา ๓ ในพระราชบญั ญัตนิ ี้ “ระบบคอมพิวเตอร์” หมายความว่า อุปกรณ์หรือชุดอุปกรณ์ของคอมพิวเตอร์ที่เชื่อมการทางาน เข้าด้วยกัน โดยได้มีการกาหนดคาส่ัง ชุดคาส่ัง หรือส่ิงอ่ืนใด และแนวทางปฏิบัติงานให้อุปกรณ์หรอื ชุดอุปกรณ์ทา หน้าทป่ี ระมวลผลขอ้ มลู โดยอตั โนมัติ “ข้อมูลคอมพิวเตอร์” หมายความว่า ข้อมูล ข้อความ คาสั่ง ชุดคาส่ัง หรือส่ิงอ่ืนใดบรรดาท่ีอยู่ ในระบบคอมพิวเตอร์ในสภาพท่ีระบบคอมพิวเตอร์อาจประมวลผลได้ และให้หมายความรวมถึงข้อมูล อเิ ล็กทรอนิกสต์ ามกฎหมายวา่ ดว้ ยธรุ กรรมทางอเิ ล็กทรอนิกสด์ ้วย “ข้อมูลจราจรทางคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบ คอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกาเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรอื อืน่ ๆ ทเี่ กยี่ วขอ้ งกับการติดตอ่ สอื่ สารของระบบคอมพวิ เตอรน์ ั้น “ผู้ให้บริการ” หมายความว่า (๑) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอ่ืน ๑ ราชกิจจานเุ บกษา เล่ม ๑๒๔/ตอนท่ี ๒๗ ก/หนา้ ๔/๑๘ มถิ นุ ายน ๒๕๕๐ สำ�นกั งานพัฒนาธรุ กรรมทางอเิ ล็กทรอนิกส์ (องคก์ ารมหาชน) หนา้ 295 สำ�นกั งานคณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส์

โดยผ่านทางระบบคอมพิวเตอร์ ทั้งน้ี ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือในนามหรือเพ่ือประโยชน์ ของบุคคลอื่น (๒) ผูใ้ ห้บรกิ ารเกบ็ รักษาขอ้ มลู คอมพิวเตอร์เพื่อประโยชนข์ องบคุ คลอื่น “ผใู้ ชบ้ รกิ าร” หมายความว่า ผ้ใู ช้บรกิ ารของผู้ใหบ้ ริการไม่วา่ ต้องเสยี ค่าใช้บริการหรือไมก่ ็ตาม “พนกั งานเจ้าหน้าท่ี” หมายความวา่ ผ้ซู ึ่งรฐั มนตรีแตง่ ตงั้ ใหป้ ฏิบตั กิ ารตามพระราชบัญญัตนิ ้ี “รฐั มนตรี” หมายความวา่ รัฐมนตรผี ้รู กั ษาการตามพระราชบญั ญตั นิ ี้ มาตรา ๔๒ ให้รัฐมนตรีวา่ การกระทรวงดจิ ิทัลเพ่ือเศรษฐกิจและสังคมรักษาการตามพระราชบญั ญัตินี้ และให้มีอานาจแต่งตั้งพนักงานเจ้าหน้าท่ีกบั ออกกฎกระทรวงและประกาศเพื่อปฏิบัตกิ ารตามพระราชบัญญัตนิ ้ี กฎกระทรวงและประกาศน้นั เม่อื ไดป้ ระกาศในราชกิจจานเุ บกษาแล้วให้ใช้บังคบั ได้ หมวด ๑ ความผิดเกย่ี วกบั คอมพิวเตอร์ มาตรา ๕ ผู้ใดเข้าถึงโดยมิชอบซ่ึงระบบคอมพิวเตอร์ท่ีมีมาตรการป้องกันการเข้าถึงโดยเฉพาะและ มาตรการน้ันมิได้มีไว้สาหรับตน ต้องระวางโทษจาคุกไม่เกินหกเดือน หรือปรับไม่เกินหน่ึงหม่ืนบาท หรือทั้งจา ทั้งปรบั มาตรา ๖ ผู้ใดล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทาขึ้นเป็นการเฉพาะ ถ้านามาตรการดังกล่าวไปเปิดเผยโดยมิชอบในประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น ต้องระวางโทษจาคุก ไมเ่ กนิ หนงึ่ ปี หรือปรับไมเ่ กนิ สองหมื่นบาท หรอื ทัง้ จาท้งั ปรับ มาตรา ๗ ผู้ใดเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและ มาตรการนั้นมิได้มีไว้สาหรับตน ต้องระวางโทษจาคุกไม่เกินสองปี หรือปรับไม่เกินสี่หมื่นบาท หรือทั้งจา ทั้งปรับ มาตรา ๘ ผู้ใดกระทาด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อ ดักรับไว้ ซึ่งข้อมูลคอมพิวเตอร์ของผู้อ่ืนท่ีอยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้ เพ่ือประโยชน์สาธารณะหรือเพ่ือให้บุคคลทั่วไปใช้ประโยชน์ได้ ต้องระวางโทษจาคุกไม่เกินสามปี หรือปรับไม่เกิน หกหมื่นบาท หรือทั้งจาท้ังปรับ มาตรา ๙ ผู้ใดทาให้เสียหาย ทาลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าท้ังหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ต้องระวางโทษจาคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือ ท้ังจาท้ังปรับ ๒ มาตรา ๔ แกไ้ ขเพ่ิมเติมโดยพระราชบญั ญัตวิ ่าดว้ ยการกระทาความผิดเก่ียวกบั คอมพิวเตอร์ (ฉบบั ท่ี ๒) พ.ศ. ๒๕๖๐ สำ�นกั งานพัฒนาธุรกรรมทางอิเลก็ ทรอนกิ ส์ (องค์การมหาชน) หนา้ 296 ส�ำ นกั งานคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส์

มาตรา ๑๐ ผู้ใดกระทาด้วยประการใดโดยมิชอบ เพ่ือให้การทางานของระบบคอมพิวเตอร์ ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทางานตามปกติได้ ต้องระวางโทษจาคุกไม่เกิน ห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจาทั้งปรับ มาตรา ๑๑ ผู้ใดส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอ่ืนโดยปกปิดหรือ ปลอมแปลงแหล่งท่ีมาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่น โดยปกตสิ ุข ต้องระวางโทษปรบั ไม่เกนิ หนง่ึ แสนบาท ผู้ใดส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอ่ืนอันมีลักษณะ เป็นการ ก่อให้เกิดความเดือดร้อนราคาญแก่ผู้รับข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์ โดยไม่เปิดโอกาส ให้ผู้รับสามารถบอกเลิกหรือแจ้งความประสงค์เพื่อปฏิเสธการตอบรับได้โดยง่าย ต้องระวางโทษปรับไม่เกิน สองแสนบาท๓ ให้รัฐมนตรีออกประกาศกาหนดลักษณะและวิธีการส่ง รวมท้ังลักษณะและปริมาณของข้อมูล คอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์ ซ่ึงไม่เป็นการก่อให้เกิดความเดือดร้อนราคาญแก่ผู้รับและ ลกั ษณะอันเป็นการบอกเลกิ หรอื แจ้งความประสงคเ์ พ่ือปฏิเสธการตอบรบั ไดโ้ ดยงา่ ย๔ มาตรา ๑๒๕ ถ้าการกระทาความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ หรือมาตรา ๑๑ เป็นการกระทาต่อข้อมลู คอมพวิ เตอรห์ รือระบบคอมพิวเตอร์ทเ่ี ก่ียวกบั การรักษาความม่ันคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศหรือโครงสร้างพ้ืนฐานอันเป็นประโยชน์ สาธารณะ ต้องระวางโทษจาคุกตั้งแตห่ น่งึ ปีถงึ เจด็ ปี และปรับตงั้ แต่สองหมน่ื บาทถึงหนึ่งแสนส่ีหมืน่ บาท ถ้าการกระทาความผิดตามวรรคหน่ึงเป็นเหตุให้เกิดความเสียหายต่อข้อมูลคอมพิวเตอร์หรือ ระบบคอมพวิ เตอร์ดังกลา่ ว ตอ้ งระวางโทษจาคุกต้งั แต่หนึง่ ปีถงึ สิบปี และปรบั ต้งั แตส่ องหมนื่ บาทถงึ สองแสนบาท ถ้าการกระทาความผิดตามมาตรา ๙ หรือมาตรา ๑๐ เป็นการกระทาต่อข้อมูลคอมพิวเตอร์หรือ ระบบคอมพิวเตอร์ตามวรรคหนึ่ง ต้องระวางโทษจาคุกต้ังแต่สามปีถึงสิบห้าปี และปรับตั้งแต่หกหม่ืนบาทถึง สามแสนบาท ถ้าการกระทาความผิดตามวรรคหนึ่งหรือวรรคสามโดยมิได้มีเจตนาฆ่า แต่เป็นเหตุให้บุคคลอื่น ถึงแก่ความตาย ต้องระวางโทษจาคุกต้ังแต่ห้าปีถึงยี่สิบปี และปรับต้ังแต่หน่ึงแสนบาทถึงสี่แสนบาท มาตรา ๑๒/๑๖ ถ้าการกระทาความผิดตามมาตรา ๙ หรือมาตรา ๑๐ เป็นเหตุให้เกิดอันตราย แก่บุคคลอื่นหรือทรัพย์สินของผู้อ่ืน ต้องระวางโทษจาคุกไม่เกินสิบปี และปรับไม่เกินสองแสนบาท ถ้าการกระทาความผิดตามมาตรา ๙ หรือมาตรา ๑๐ โดยมิได้มีเจตนาฆ่า แต่เป็นเหตุให้บุคคลอ่ืน ถงึ แกค่ วามตาย ต้องระวางโทษจาคกุ ตัง้ แตห่ า้ ปถี งึ ยส่ี ิบปี และปรบั ต้งั แต่หนึง่ แสนบาทถงึ สี่แสนบาท ๓ มาตรา ๑๑ วรรคสอง เพ่มิ โดยพระราชบัญญัติว่าดว้ ยการกระทาความผดิ เกย่ี วกับคอมพิวเตอร์ (ฉบับท่ี ๒) พ.ศ. ๒๕๖๐ ๔ มาตรา ๑๑ วรรคสาม เพม่ิ โดยพระราชบัญญตั ิวา่ ดว้ ยการกระทาความผิดเกย่ี วกับคอมพวิ เตอร์ (ฉบบั ที่ ๒) พ.ศ. ๒๕๖๐ ๕ มาตรา ๑๒ แกไ้ ขเพิม่ เตมิ โดยพระราชบญั ญัติว่าดว้ ยการกระทาความผดิ เกยี่ วกับคอมพิวเตอร์ (ฉบบั ที่ ๒) พ.ศ. ๒๕๖๐ ๖ มาตรา ๑๒/๑ เพิ่มโดยพระราชบัญญัตวิ ่าดว้ ยการกระทาความผิดเกยี่ วกับคอมพิวเตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ (องค์การมหาชน) หน้า 297 ส�ำ นกั งานคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส์

มาตรา ๑๓ ผู้ใดจาหน่ายหรือเผยแพร่ชุดคาส่ังท่ีจัดทาขึ้นโดยเฉพาะเพื่อนาไปใช้เป็นเครื่องมือ ในการกระทาความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรือมาตรา ๑๑ ตอ้ งระวางโทษจาคุกไม่เกนิ หนึง่ ปี หรอื ปรับไม่เกินสองหม่นื บาท หรอื ทั้งจาทัง้ ปรบั ผู้ใดจาหน่ายหรือเผยแพร่ชุดคาส่ังที่จัดทาข้ึนโดยเฉพาะเพ่ือนาไปใช้เป็นเคร่ืองมือใน การกระทา ความผดิ ตามมาตรา ๑๒ วรรคหนึง่ หรอื วรรคสาม ตอ้ งระวางโทษจาคุกไมเ่ กนิ สองปี หรอื ปรบั ไมเ่ กนิ สี่หม่นื บาทหรือ ทัง้ จาทั้งปรับ๗ ผู้ใดจาหน่ายหรือเผยแพร่ชุดคาสั่งท่ีจัดทาขึ้นโดยเฉพาะเพื่อนาไปใช้เป็นเครื่องมือใน การกระทา ความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรือมาตรา ๑๑ หากผู้นาไปใช้ได้ กระทาความผิดตามมาตรา ๑๒ วรรคหนึ่งหรือวรรคสาม หรือต้องรับผิดตามมาตรา ๑๒ วรรคสองหรือวรรคส่ี หรือมาตรา ๑๒/๑ ผู้จาหน่ายหรือเผยแพร่ชุดคาส่ังดังกล่าวจะต้องรับผิดทางอาญาตามความผิดที่มีกาหนดโทษ สงู ขน้ึ ดว้ ย ก็เฉพาะเมื่อตนได้ร้หู รืออาจเล็งเหน็ ได้วา่ จะเกิดผลเชน่ ท่เี กดิ ขน้ึ นนั้ ๘ ผใู้ ดจาหน่ายหรือเผยแพรช่ ุดคาสัง่ ท่ีจัดทาข้ึนโดยเฉพาะเพื่อนาไปใชเ้ ปน็ เครื่องมือในการกระทาความผิด ตามมาตรา ๑๒ วรรคหนึง่ หรือวรรคสาม หากผู้นาไปใชไ้ ด้กระทาความผดิ ตามมาตรา ๑๒ วรรคหนงึ่ หรือวรรคสาม หรือต้องรับผิดตามมาตรา ๑๒ วรรคสองหรือวรรคสี่ หรือมาตรา ๑๒/๑ ผู้จาหน่ายหรือเผยแพร่ชุดคาส่ังดังกล่าว ต้องรบั ผดิ ทางอาญาตามความผดิ ทม่ี กี าหนดโทษสงู ขนึ้ นนั้ ดว้ ย๙ ในกรณที ี่ผูจ้ าหนา่ ยหรอื เผยแพรช่ ดุ คาสง่ั ผู้ใดต้องรับผิดตามวรรคหนึ่งหรือวรรคสอง และตามวรรคสาม หรอื วรรคสี่ด้วย ให้ผูน้ ัน้ ตอ้ งรบั โทษท่มี อี ตั ราโทษสูงทีส่ ดุ แต่กระทงเดียว๑๐ มาตรา ๑๔๑๑ ผู้ใดกระทาความผิดที่ระบุไว้ดังต่อไปน้ี ต้องระวางโทษจาคุกไม่เกินห้าปีหรือปรับไม่เกิน หนึ่งแสนบาท หรือทั้งจาท้ังปรบั (๑) โดยทุจริต หรือโดยหลอกลวง นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ท่ีบิดเบือนหรือ ปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหาย แก่ประชาชน อันมิใช่การกระทาความผิดฐานหมิ่นประมาทตามประมวลกฎหมายอาญา (๒) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะ เกิดความเสียหายต่อการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความม่ันคงในทาง เศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะของประเทศ หรือก่อให้เกิด ความตื่นตระหนกแกป่ ระชาชน (๓) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ อันเป็นความผิดเกี่ยวกับความม่ันคง แหง่ ราชอาณาจกั รหรือความผิดเกีย่ วกับการกอ่ การรา้ ยตามประมวลกฎหมายอาญา ๗ มาตรา ๑๓ วรรคสอง เพมิ่ โดยพระราชบญั ญัติวา่ ดว้ ยการกระทาความผดิ เกยี่ วกบั คอมพิวเตอร์ (ฉบบั ท่ี ๒) พ.ศ. ๒๕๖๐ ๘ มาตรา ๑๓ วรรคสาม เพ่มิ โดยพระราชบัญญตั วิ ่าดว้ ยการกระทาความผิดเกยี่ วกบั คอมพวิ เตอร์ (ฉบบั ที่ ๒) พ.ศ. ๒๕๖๐ ๙ มาตรา ๑๓ วรรคส่ี เพ่มิ โดยพระราชบญั ญัติว่าด้วยการกระทาความผิดเกยี่ วกบั คอมพิวเตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ ๑๐ มาตรา ๑๓ วรรคห้า เพิ่มโดยพระราชบญั ญัติว่าด้วยการกระทาความผดิ เก่ยี วกบั คอมพิวเตอร์ (ฉบับท่ี ๒) พ.ศ. ๒๕๖๐ ๑๑ มาตรา ๑๔ แกไ้ ขเพิม่ เติมโดยพระราชบญั ญตั วิ า่ ดว้ ยการกระทาความผดิ เกี่ยวกบั คอมพิวเตอร์ (ฉบบั ที่ ๒) พ.ศ. ๒๕๖๐ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ (องค์การมหาชน) หน้า 298 ส�ำ นักงานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์

(๔) นาเขา้ สู่ระบบคอมพิวเตอรซ์ ึ่งข้อมูลคอมพิวเตอรใ์ ด ๆ ท่มี ีลกั ษณะอันลามกและข้อมลู คอมพวิ เตอร์ นั้นประชาชนทว่ั ไปอาจเขา้ ถงึ ได้ (๕) เผยแพร่หรือส่งต่อซ่ึงข้อมูลคอมพิวเตอร์โดยรู้อยู่แล้วว่าเป็นข้อมูลคอมพิวเตอร์ตาม (๑) (๒) (๓) หรือ (๔) ถ้าการกระทาความผิดตามวรรคหน่ึง (๑) มิได้กระทาต่อประชาชน แต่เป็นการกระทาต่อบุคคลใด บุคคลหนึ่ง ผู้กระทา ผู้เผยแพร่หรือส่งต่อซ่ึงข้อมูลคอมพิวเตอร์ดังกล่าวต้องระวางโทษจาคุกไม่เกินสามปีหรือ ปรบั ไม่เกนิ หกหม่ืนบาท หรอื ท้ังจาทง้ั ปรับ และใหเ้ ป็นความผดิ อันยอมความได้ มาตรา ๑๕๑๒ ผู้ให้บริการผู้ใดให้ความร่วมมือ ยินยอม หรือรู้เห็นเป็นใจให้มีการกระทาความผิด ตามมาตรา ๑๔ ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษเช่นเดียวกับผู้กระทาความผิด ตามมาตรา ๑๔ ให้รัฐมนตรีออกประกาศกาหนดข้ันตอนการแจ้งเตือน การระงับการทาให้แพร่หลาย ของข้อมลู คอมพวิ เตอร์ และการนาข้อมูลคอมพิวเตอร์นน้ั ออกจากระบบคอมพิวเตอร์ ถ้าผู้ให้บริการพิสูจน์ได้ว่าตนได้ปฏิบัติตามประกาศของรัฐมนตรีที่ออกตามวรรคสอง ผู้นั้นไม่ต้อง รบั โทษ มาตรา ๑๖๑๓ ผู้ใดนาเข้าสู่ระบบคอมพิวเตอร์ท่ีประชาชนทั่วไปอาจเข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ ท่ีปรากฏเป็นภาพของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติม หรือดัดแปลงด้วยวิธีการทาง อิเล็กทรอนิกส์หรือวิธีการอื่นใด โดยประการท่ีน่าจะทาให้ผู้อื่นน้ันเสียชื่อเสยี ง ถกู ดหู มิ่นถกู เกลียดชัง หรอื ได้รับ ความอับอาย ตอ้ งระวางโทษจาคุกไม่เกินสามปี และปรบั ไม่เกนิ สองแสนบาท ถ้าการกระทาตามวรรคหน่ึงเป็นการกระทาต่อภาพของผู้ตาย และการกระทานั้นน่าจะทาให้บิดา มารดา คู่สมรส หรือบุตรของผู้ตายเสียชื่อเสียง ถูกดูหมิ่น หรือถูกเกลียดชัง หรือได้รับความอับอาย ผู้กระทา ต้องระวางโทษดังทบ่ี ัญญตั ไิ วใ้ นวรรคหนึง่ ถ้าการกระทาตามวรรคหนึ่งหรือวรรคส อง เป็นการนาเข้าสู่ระบบคอมพิวเตอร์โดยสุจริต อันเปน็ การตชิ มดว้ ยความเปน็ ธรรม ซ่งึ บุคคลหรอื ส่ิงใดอันเป็นวสิ ยั ของประชาชนย่อมกระทา ผูก้ ระทาไม่มีความผิด ความผิดตามวรรคหนง่ึ และวรรคสองเปน็ ความผิดอนั ยอมความได้ ถา้ ผูเ้ สียหายในความผดิ ตามวรรคหนง่ึ หรือวรรคสองตายเสยี ก่อนร้องทุกข์ ใหบ้ ิดา มารดา คูส่ มรส หรอื บุตรของผูเ้ สียหายรอ้ งทกุ ขไ์ ด้ และใหถ้ ือว่าเปน็ ผู้เสยี หาย มาตรา ๑๖/๑๑๔ ในคดีความผิดตามมาตรา ๑๔ หรือมาตรา ๑๖ ซึ่งมีคาพิพากษาว่าจาเลยมีความผิด ศาลอาจส่งั ๑๒ มาตรา ๑๕ แกไ้ ขเพม่ิ เติมโดยพระราชบญั ญตั วิ า่ ด้วยการกระทาความผิดเกี่ยวกบั คอมพวิ เตอร์ (ฉบบั ท่ี ๒) พ.ศ. ๒๕๖๐ ๑๓ มาตรา ๑๖ แก้ไขเพ่มิ เตมิ โดยพระราชบญั ญัตวิ า่ ดว้ ยการกระทาความผิดเกี่ยวกบั คอมพิวเตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ ๑๔ มาตรา ๑๖/๑ เพ่ิมโดยพระราชบัญญัตวิ ่าดว้ ยการกระทาความผิดเก่ียวกับคอมพิวเตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ สำ�นักงานพัฒนาธรุ กรรมทางอเิ ล็กทรอนกิ ส์ (องคก์ ารมหาชน) หน้า 299 สำ�นกั งานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนิกส์

(๑) ให้ทาลายข้อมูลตามมาตราดงั กล่าว (๒) ให้โฆษณาหรือเผยแพร่คาพิพากษาทั้งหมดหรือแต่บางส่วนในสื่ออิเล็กทรอนิกส์วิทยุกระจายเสียง วิทยุโทรทัศน์ หนังสือพิมพ์ หรือส่ืออื่นใด ตามที่ศาลเห็นสมควร โดยให้จาเลยเป็นผู้ชาระค่าโฆษณา หรือเผยแพร่ (๓) ให้ดาเนินการอ่ืนตามท่ีศาลเห็นสมควรเพื่อบรรเทาความเสียหายที่เกิดข้ึนจากการกระทาความผดิ นัน้ มาตรา ๑๖/๒๑๕ ผู้ใดรู้ว่าข้อมูลคอมพิวเตอร์ในความครอบครองของตนเป็นข้อมูลท่ีศาลสั่งให้ทาลาย ตามมาตรา ๑๖/๑ ผู้น้ันต้องทาลายข้อมูลดังกล่าว หากฝ่าฝืนต้องระวางโทษก่ึงหนึ่งของโทษท่ีบัญญัติไว้ ในมาตรา ๑๔ หรอื มาตรา ๑๖ แลว้ แต่กรณี มาตรา ๑๗ ผใู้ ดกระทาความผิดตามพระราชบัญญตั นิ น้ี อกราชอาณาจักรและ (๑) ผู้กระทาความผิดนั้นเป็นคนไทย และรัฐบาลแห่งประเทศที่ความผิดได้เกิดข้ึนหรือผู้เสียหาย ไดร้ ้องขอใหล้ งโทษ หรอื (๒) ผู้กระทาความผิดนั้นเป็นคนต่างด้าว และรัฐบาลไทยหรือคนไทยเป็นผู้เสียหายและผู้เสียหาย ได้รอ้ งขอให้ลงโทษ จะต้องรับโทษภายในราชอาณาจกั ร มาตรา ๑๗/๑๑๖ ความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๑๑ มาตรา ๑๓ วรรคหนึ่ง มาตรา ๑๖/๒ มาตรา ๒๓ มาตรา ๒๔ และมาตรา ๒๗ ให้คณะกรรมการเปรียบเทียบท่ีรัฐมนตรีแต่งต้ังมีอานาจ เปรียบเทียบได้ ค ณ ะ ก ร ร ม ก า ร เ ป รี ย บ เ ที ย บ ท่ี รั ฐ ม น ต รี แ ต่ ง ตั้ ง ต า ม ว ร ร ค ห นึ่ ง ใ ห้ มี จ า น ว น ส า ม ค น ซึ่ ง ค น ห น่ึ ง ต้องเป็นพนักงานสอบสวนตามประมวลกฎหมายวิธีพิจารณาความอาญา เม่ือคณะกรรมการเปรียบเทียบได้ทาการเปรียบเทียบกรณีใดและผู้ต้องหาได้ชาระเงินค่าปรับ ตามคาเปรียบเทียบภายในระยะเวลาท่ีคณะกรรมการเปรียบเทียบกาหนดแล้ว ให้ถือว่าคดีน้ันเป็นอันเลิกกัน ตามประมวลกฎหมายวธิ ีพจิ ารณาความอาญา ในกรณที ี่ผูต้ อ้ งหาไม่ชาระเงินค่าปรับภายในระยะเวลาที่กาหนด ให้เร่ิมนบั อายคุ วามในการฟ้องคดีใหม่ นับต้ังแตว่ นั ทีค่ รบกาหนดระยะเวลาดังกล่าว ๑๕ มาตรา ๑๖/๒ เพิ่มโดยพระราชบัญญัตวิ ่าดว้ ยการกระทาความผิดเกย่ี วกับคอมพิวเตอร์ (ฉบบั ที่ ๒) พ.ศ. ๒๕๖๐ ๑๖ มาตรา ๑๗/๑ เพิ่มโดยพระราชบัญญัตวิ ่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบบั ที่ ๒) พ.ศ. ๒๕๖๐ สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ (องคก์ ารมหาชน) หนา้ 300 สำ�นักงานคณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส์

หมวด ๒ พนักงานเจา้ หน้าที่ มาตรา ๑๘๑๗ ภายใต้บังคับมาตรา ๑๙ เพื่อประโยชน์ในการสืบสวนและสอบสวนในกรณีที่มีเหตุ อันควรเชื่อได้ว่ามีการกระทาความผิดตามพระราชบัญญัติน้ี หรือในกรณีท่ีมีการร้องขอตามวรรคสองให้พนักงาน เจ้าหน้าท่ีมีอานาจอย่างหนึ่งอย่างใด ดังต่อไปน้ี เฉพาะที่จาเป็นเพ่ือประโยชน์ในการใช้เป็นหลักฐานเก่ียวกับ การกระทาความผดิ และหาตวั ผู้กระทาความผดิ (๑) มีหนังสือสอบถามหรือเรียกบุคคลที่เกี่ยวข้องกับการกระทาความผิดมาเพื่อให้ถ้อยคา ส่งคาชี้แจง เป็นหนงั สอื หรอื ส่งเอกสาร ขอ้ มูล หรือหลกั ฐานอน่ื ใดที่อยู่ในรปู แบบท่ีสามารถเข้าใจได้ (๒) เรยี กขอ้ มลู จราจรทางคอมพิวเตอรจ์ ากผใู้ ห้บริการเก่ยี วกับการตดิ ต่อสอ่ื สารผา่ นระบบคอมพวิ เตอร์ หรอื จากบุคคลอน่ื ท่ีเก่ียวข้อง (๓) ส่ังให้ผู้ให้บริการส่งมอบข้อมูลเก่ียวกับผู้ใช้บริการที่ต้องเก็บตามมาตรา ๒๖ หรือที่อยู่ ในความครอบครองหรือควบคมุ ของผู้ใหบ้ ริการใหแ้ ก่พนักงานเจ้าหนา้ ทหี่ รอื ให้เกบ็ ข้อมลู ดังกล่าวไว้ก่อน (๔) ทาสาเนาข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์จากระบบคอมพิวเตอร์ท่ีมีเหตุอันควร เชอ่ื ได้วา่ มกี ารกระทาความผดิ ในกรณที ี่ระบบคอมพิวเตอร์นั้นยังมิได้อยูใ่ นความครอบครองของพนักงานเจ้าหนา้ ที่ (๕) ส่ังให้บุคคลซึ่งครอบครองหรือควบคุมข้อมูลคอมพิวเตอร์ หรืออุปกรณ์ที่ใช้เก็บข้อมูลคอมพิวเตอร์ ส่งมอบข้อมูลคอมพิวเตอร์ หรืออปุ กรณด์ ังกล่าวใหแ้ กพ่ นักงานเจา้ หนา้ ที่ (๖) ตรวจสอบหรือเข้าถึงระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์หรือ อปุ กรณ์ที่ใช้เกบ็ ข้อมูลคอมพวิ เตอร์ของบุคคลใด อันเปน็ หลักฐานหรืออาจใช้เป็นหลักฐานเกี่ยวกับการกระทาความผิด หรือเพื่อสืบสวนหาตัวผู้กระทาความผิดและส่ังให้บุคคลน้ันส่งข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ ทเ่ี ก่ียวข้องเท่าทีจ่ าเป็นใหด้ ว้ ยกไ็ ด้ (๗) ถอดรหสั ลบั ของข้อมูลคอมพิวเตอร์ของบุคคลใด หรือสัง่ ใหบ้ ุคคลที่เกยี่ วขอ้ งกบั การเข้ารหสั ลับของ ข้อมลู คอมพวิ เตอร์ ทาการถอดรหัสลบั หรือใหค้ วามร่วมมือกับพนกั งานเจา้ หน้าทใ่ี นการถอดรหัสลับดงั กล่าว (๘) ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จาเป็นเฉพาะเพ่ือประโยชน์ในการทราบรายละเอียดแห่ง ความผดิ และผู้กระทาความผดิ เพ่ือประโยชน์ในการสืบสวนและสอบสวนของพนักงานสอบสวนตามประมวลกฎหมายวิธีพิ จารณา ความอาญา ในบรรดาความผิดอาญาต่อกฎหมายอื่นซ่ึงได้ใช้ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์หรืออุปกรณ์ ที่ใช้เก็บข้อมูลคอมพิวเตอร์เป็นองค์ประกอบหรือเป็นส่วนหนึ่งในการกระทาความผิดหรือมีข้อมูลคอมพิวเตอร์ ท่ีเกี่ยวข้องกับการกระทาความผิดอาญาตามกฎหมายอื่น พนักงานสอบสวนอาจร้องขอให้พนักงานเจ้าหน้าท่ี ตามวรรคหนึ่งดาเนินการตามวรรคหนึ่งก็ได้ หรือหากปรากฏข้อเท็จจริงดังกล่าวต่อพนักงานเจ้าหน้าท่ีเนื่องจาก ๑๗ มาตรา ๑๘ แกไ้ ขเพ่ิมเตมิ โดยพระราชบญั ญตั วิ า่ ดว้ ยการกระทาความผิดเก่ยี วกับคอมพวิ เตอร์ (ฉบบั ที่ ๒) พ.ศ. ๒๕๖๐ ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ (องค์การมหาชน) หนา้ 301 ส�ำ นักงานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนกิ ส์

การปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ ให้พนักงานเจ้าหน้าท่ีรีบรวบรวมข้อเท็จจริงและหลักฐานแล้วแจ้งไปยัง เจา้ หน้าทท่ี ีเ่ กยี่ วขอ้ งเพ่อื ดาเนินการตอ่ ไป ให้ผู้ได้รับการร้องขอจากพนักงานเจ้าหน้าท่ีตามวรรคหนึ่ง (๑) (๒) และ (๓) ดาเนินการตามคาร้องขอ โดยไม่ชักช้า แต่ต้องไม่เกินเจ็ดวันนับแต่วันที่ได้รับคาร้องขอ หรือภายในระยะเวลาที่พนักงานเจ้าหน้าท่ีกาหนด ซ่ึงต้องไม่น้อยกว่าเจ็ดวันและไม่เกินสิบห้าวัน เว้นแต่ในกรณีท่ีมีเหตุสมควร ต้องได้รับอนุญาตจากพนักงาน เจ้าหน้าท่ี ทั้งน้ี รัฐมนตรีอาจประกาศในราชกิจจานุเบกษากาหนดระยะเวลาท่ีต้องดาเนินการท่ีเหมาะสมกับ ประเภทของผู้ใหบ้ รกิ ารกไ็ ด้ มาตรา ๑๙๑๘ การใช้อานาจของพนักงานเจ้าหน้าที่ตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) ให้พนักงานเจ้าหน้าท่ียื่นคาร้องต่อศาลที่มีเขตอานาจเพ่ือมีคาสั่งอนุญาตให้พนักงานเจ้าหน้าท่ีดาเนินการตาม คาร้อง ทั้งนี้ คาร้องต้องระบุเหตุอันควรเชื่อได้ว่าบุคคลใดกระทาหรือกาลังจะกระทาการอย่างหนึ่งอย่างใด อันเป็นความผิด เหตุที่ต้องใช้อานาจ ลักษณะของการกระทาความผิด รายละเอียดเกี่ยวกับอุปกรณ์ท่ีใช้ ในการกระทาความผิดและผู้กระทาความผิด เท่าท่ีสามารถจะระบุได้ ประกอบคาร้องด้วย ในการพิจารณาคาร้อง ใหศ้ าลพจิ ารณาคารอ้ งดงั กล่าวโดยเรว็ เม่ือศาลมีคาส่ังอนุญาตแล้ว ก่อนดาเนินการตามคาสั่งของศาล ให้พนักงานเจ้าหน้าท่ีส่งสาเนาบันทึก เหตุอันควรเช่ือที่ทาให้ต้องใช้อานาจตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) มอบให้เจ้าของหรือผู้ครอบครอง ระบบคอมพิวเตอร์น้ันไว้เป็นหลักฐาน แต่ถ้าไม่มีเจ้าของหรือผู้ครอบครองเครื่องคอมพิวเตอร์อยู่ ณ ที่น้ัน ให้พนักงานเจา้ หนา้ ทีส่ ่งมอบสาเนาบันทกึ น้นั ให้แกเ่ จา้ ของหรือผูค้ รอบครองดงั กล่าวในทันทีที่กระทาได้ ให้พนักงานเจ้าหน้าที่ผูเ้ ปน็ หัวหน้าในการดาเนนิ การตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) ส่งสาเนาบันทึกรายละเอียดการดาเนินการและเหตุผลแห่งการดาเนินการให้ศาลที่มีเขตอานาจภายในสี่สิบแปด ชั่วโมงนบั แตเ่ วลาลงมอื ดาเนินการ เพอ่ื เป็นหลกั ฐาน การทาสาเนาข้อมูลคอมพิวเตอร์ตามมาตรา ๑๘ (๔) ให้กระทาได้เฉพาะเม่ือมีเหตุอันควรเช่ือได้ว่า มีการกระทาความผิด และตอ้ งไม่เป็นอปุ สรรคในการดาเนนิ กิจการของเจา้ ของหรือผคู้ รอบครองข้อมลู คอมพวิ เตอร์ น้ันเกนิ ความจาเปน็ การยึดหรืออายัดตามมาตรา ๑๘ (๘) นอกจากจะต้องส่งมอบสาเนาหนังสือแสดงการยึดหรืออายัด มอบให้เจ้าของหรอื ผ้คู รอบครองระบบคอมพวิ เตอร์นนั้ ไว้เป็นหลักฐานแล้ว พนักงานเจ้าหนา้ ทจ่ี ะสั่งยึดหรอื อายัดไว้ เกนิ สามสิบวนั มไิ ด้ ในกรณจี าเป็นท่ตี ้องยึดหรืออายัดไวน้ านกว่านัน้ ใหย้ ื่นคาร้องต่อศาลที่มีเขตอานาจเพื่อขอขยาย เวลายึดหรืออายัดได้ แต่ศาลจะอนุญาตให้ขยายเวลาคร้ังเดียวหรือหลายครั้งรวมกันได้อีกไม่เกินหกสิบวัน เม่ือหมดความจาเป็นท่ีจะยึดหรืออายัดหรือครบกาหนดเวลาดังกล่าวแล้วพนักงานเจ้าหน้าที่ต้องส่งคืนระบบ คอมพิวเตอรท์ ี่ยึดหรอื ถอนการอายัดโดยพลัน หนังสือแสดงการยึดหรอื อายัดตามวรรคห้าใหเ้ ปน็ ไปตามท่ีกาหนดในกฎกระทรวง ๑๘ มาตรา ๑๙ แก้ไขเพมิ่ เติมโดยพระราชบญั ญตั ิวา่ ด้วยการกระทาความผิดเกีย่ วกบั คอมพิวเตอร์ (ฉบับท่ี ๒) พ.ศ. ๒๕๖๐ ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ (องคก์ ารมหาชน) หน้า 302 สำ�นกั งานคณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส์

มาตรา ๒๐๑๙ ในกรณีที่มีการทาให้แพร่หลายซ่ึงข้อมูลคอมพิวเตอร์ ดังต่อไปนี้ พนักงานเจ้าหน้าที่ โดยได้รับความเห็นชอบจากรัฐมนตรีอาจยื่นคาร้องพร้อมแสดงพยานหลักฐานต่อศาลท่ีมีเขตอานาจขอให้มี คาสง่ั ระงับการทาให้แพร่หลายหรือลบข้อมูลคอมพิวเตอรน์ น้ั ออกจากระบบคอมพวิ เตอร์ได้ (๑) ข้อมลู คอมพวิ เตอรท์ ่เี ปน็ ความผิดตามพระราชบัญญัตินี้ (๒) ข้อมูลคอมพิวเตอร์ท่ีอาจกระทบกระเทือนต่อความมั่นคงแห่งราชอาณาจักรตามท่ีกาหนดไว้ ในภาค ๒ ลกั ษณะ ๑ หรอื ลกั ษณะ ๑/๑ แห่งประมวลกฎหมายอาญา (๓) ข้อมูลคอมพิวเตอร์ที่เป็นความผิดอาญาตามกฎหมายเก่ียวกับทรัพย์สินทางปัญญาหรือกฎหมายอื่น ซึ่งข้อมูลคอมพิวเตอร์นั้นมีลักษณะขัดต่อความสงบเรียบร้อยหรือศีลธรรมอันดีของประชาชนและเจ้าหน้าที่ ตามกฎหมายนนั้ หรือพนกั งานสอบสวนตามประมวลกฎหมายวธิ ีพจิ ารณาความอาญาได้ร้องขอ ในกรณที ม่ี ีการทาให้แพรห่ ลายซึง่ ข้อมลู คอมพวิ เตอร์ที่มลี ักษณะขดั ต่อความสงบเรยี บร้อยหรือศลี ธรรม อันดีของประชาชน รัฐมนตรีโดยความเห็นชอบของคณะกรรมการกลั่นกรองข้อมูลคอมพิวเตอร์จะมอบหมายให้ พนักงานเจ้าหน้าท่ีย่ืนคาร้องพร้อมแสดงพยานหลักฐานต่อศาลที่มีเขตอานาจขอให้มีคา ส่ังระงับการทาให้ แพร่หลายหรือลบซ่ึงข้อมูลคอมพิวเตอร์นั้นออกจากระบบคอมพิวเตอร์ได้ ท้ังนี้ ให้นาบทบัญญัติ ว่าด้วยคณะกรรมการที่มีอานาจดาเนินการพิจารณาทางปกครองตามกฎหมายว่าด้วยวิธีปฏิบัติราชการทาง ปกครองมาใชบ้ งั คบั กบั การประชุมของคณะกรรมการกล่ันกรองข้อมูลคอมพวิ เตอร์โดยอนโุ ลม ให้รัฐมนตรีแต่งตั้งคณะกรรมการกลั่นกรองข้อมูลคอมพิวเตอร์ตามวรรคสองขึ้นคณะหนึ่ง หรือ หลายคณะ แตล่ ะคณะให้มีกรรมการจานวนเกา้ คนซึ่งสามในเก้าคนต้องมาจากผ้แู ทนภาคเอกชนด้านสิทธิมนุษยชน ด้านส่ือสารมวลชน ด้านเทคโนโลยีสารสนเทศ หรือด้านอ่ืนที่เก่ียวข้อง และให้กรรมการได้รับค่าตอบแทน ตามหลักเกณฑ์ท่ีรัฐมนตรีกาหนดโดยไดร้ ับความเห็นชอบจากกระทรวงการคลัง การดาเนินการของศาลตามวรรคหน่ึงและวรรคสอง ให้นาประมวลกฎหมายวิธีพิจารณาความอาญา มาใช้บังคับโดยอนุโลม ในกรณีท่ีศาลมีคาส่ังให้ระงับการทาให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ตามวรรคหน่ึง หรือวรรคสอง พนักงานเจ้าหน้าท่ีจะทาการระงับการทาให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์น้ันเองหรือ จะสั่งให้ผู้ให้บริการระงับการทาให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์น้ันก็ได้ ท้ังน้ี ให้รัฐมนตรีประกาศกาหนด หลักเกณฑ์ ระยะเวลา และวิธีการปฏิบัติสาหรับการระงับการทาให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ ของพนักงานเจ้าหน้าท่ีหรือผู้ให้บริการให้เป็นไปในแนวทางเดียวกันโดยคานึงถึงพัฒนาการทางเทคโนโลยี ทเ่ี ปล่ยี นแปลงไป เว้นแตศ่ าลจะมคี าส่งั เปน็ อย่างอน่ื ในกรณีท่ีมีเหตุจาเป็นเร่งด่วน พนักงานเจ้าหน้าที่จะยื่นคาร้องตามวรรคหน่ึงไปก่อนท่ีจะได้รับ ความเห็นชอบจากรัฐมนตรี หรือพนักงานเจ้าหน้าที่โดยความเห็นชอบของคณะกรรมการกลั่นกรอง ข้อมูลคอมพิวเตอร์จะยื่นคาร้องตามวรรคสองไปก่อนท่ีรัฐมนตรีจะมอบหมายก็ได้ แต่ท้ังนี้ ต้องรายงานให้รัฐมนตรี ทราบโดยเร็ว ๑๙ มาตรา ๒๐ แกไ้ ขเพ่ิมเติมโดยพระราชบญั ญตั วิ ่าด้วยการกระทาความผิดเกี่ยวกบั คอมพิวเตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ สำ�นักงานพัฒนาธุรกรรมทางอเิ ล็กทรอนกิ ส์ (องค์การมหาชน) หน้า 303 ส�ำ นักงานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส์

มาตรา ๒๑ ในกรณีที่พนักงานเจ้าหน้าที่พบว่า ข้อมูลคอมพิวเตอร์ใดมีชุดคาสั่งไม่พึงประสงค์ รวมอยู่ด้วย พนักงานเจ้าหน้าที่อาจยื่นคาร้องต่อศาลที่มีเขตอานาจเพื่อขอให้มีคาสั่งห้ามจาหน่ายหรือ เผยแพร่ หรือสั่งให้เจ้าของหรือผู้ครอบครองข้อมูลคอมพิวเตอร์นั้นระงับการใช้ ทาลาย หรือแก้ไข ข้อมูลคอมพิวเตอร์นั้นได้ หรือจะกาหนดเงื่อนไขในการใช้ มีไว้ในครอบครอง หรือเผยแพร่ชุดคาสั่งไม่พึงประสงค์ ดงั กล่าวก็ได้ ชุดคาสั่งไม่พึงประสงค์ตามวรรคหน่ึงหมายถึงชุดคาสั่งท่ีมีผลทา ให้ข้อมูลคอมพิวเตอร์หรือร ะบบ คอมพิวเตอร์หรือชุดคาสั่งอ่ืนเกิดความเสียหาย ถูกทาลาย ถูกแก้ไขเปลี่ยนแปลงหรือเพิ่มเติมขัดข้องหรือ ปฏิบัติงานไม่ตรงตามคาส่ัง หรือโดยประการอ่ืนตามที่กาหนดในกฎกระทรวง เว้นแต่ เป็นชุดคาสั่งไม่พึงประสงค์ ท่ีอาจนามาใช้เพ่ือป้องกันหรือแก้ไขชุดคาส่ังดังกล่าวข้างต้น ท้ังน้ี รัฐมนตรีอาจประกาศในราชกิจจานุเบกษา กาหนดรายช่ือ ลักษณะ หรือรายละเอียดของชุดคาสั่งไม่พึงประสงค์ซึ่งอาจนามาใช้เพ่ือป้องกันหรือแก้ไขชุดคาส่ัง ไมพ่ งึ ประสงค์ก็ได๒้ ๐ มาตรา ๒๒๒๑ ห้ามมิให้พนักงานเจ้าหน้าท่ีและพนักงานสอบสวนในกรณีตามมาตรา ๑๘ วรรคสอง เปิดเผยหรือส่งมอบข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ หรือข้อมูลของผู้ใช้บริการท่ีได้มา ตามมาตรา ๑๘ ให้แก่บคุ คลใด ความในวรรคหนึ่งมิให้ใช้บังคับกับการกระทาเพ่ือประโยชน์ในการดาเนินคดีกับผู้กระทาความผิด ตามพระราชบัญญัตินี้หรือผู้กระทาความผิดตามกฎหมายอื่นในกรณีตามมาตรา ๑๘ วรรคสองหรือเพ่ือประโยชน์ ในการดาเนินคดีกับพนักงานเจ้าหน้าที่เก่ียวกับการใช้อานาจหน้าท่ีโดยมิชอบหรือกับพนักงานสอบสวนในส่วน ที่เก่ียวกับการปฏิบัติหน้าที่ตามมาตรา ๑๘ วรรคสอง โดยมิชอบหรือเป็นการกระทาตามคาสั่งหรือท่ีได้รับอนุญาต จากศาล พนักงานเจ้าหน้าที่หรือพนักงานสอบสวนผู้ใดฝ่าฝืนวรรคหนึ่งต้องระวางโทษจาคุกไม่เกินสามปีหรือ ปรับไม่เกินหกหม่ืนบาท หรือทั้งจาทั้งปรับ มาตรา ๒๓๒๒ พนักงานเจ้าหน้าที่หรือพนักงานสอบสวนในกรณีตามมาตรา ๑๘ วรรคสอง ผู้ใดกระทาโดยประมาทเป็นเหตุให้ผู้อ่ืนล่วงรู้ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ หรือข้อมูล ของผู้ใช้บริการ ท่ีได้มาตามมาตรา ๑๘ ต้องระวางโทษจาคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาทหรือท้ังจา ทง้ั ปรับ มาตรา ๒๔๒๓ ผู้ใดล่วงรู้ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ หรือข้อมูลของผู้ใช้บริการ ที่พนักงานเจ้าหน้าที่หรือพนักงานสอบสวนได้มาตามมาตรา ๑๘ และเปิดเผยข้อมูลน้ันต่อผู้หน่ึงผู้ใด ต้องระวาง โทษจาคุกไมเ่ กนิ สองปี หรอื ปรับไมเ่ กนิ สี่หมนื่ บาท หรอื ท้ังจาทั้งปรับ ๒๐ มาตรา ๒๑ วรรคสอง แก้ไขเพิม่ เตมิ โดยพระราชบญั ญัตวิ ่าดว้ ยการกระทาความผิดเกีย่ วกับคอมพวิ เตอร์ (ฉบับท่ี ๒) พ.ศ. ๒๕๖๐ ๒๑ มาตรา ๒๒ แก้ไขเพมิ่ เติมโดยพระราชบญั ญตั ิว่าดว้ ยการกระทาความผดิ เกย่ี วกบั คอมพิวเตอร์ (ฉบบั ที่ ๒) พ.ศ. ๒๕๖๐ ๒๒ มาตรา ๒๓ แก้ไขเพ่ิมเตมิ โดยพระราชบญั ญตั ิว่าด้วยการกระทาความผดิ เกี่ยวกบั คอมพวิ เตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ ๒๓ มาตรา ๒๔ แกไ้ ขเพมิ่ เติมโดยพระราชบญั ญตั วิ า่ ด้วยการกระทาความผดิ เกยี่ วกบั คอมพวิ เตอร์ (ฉบบั ท่ี ๒) พ.ศ. ๒๕๖๐ สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 304 สำ�นักงานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกส์

มาตรา ๒๕๒๔ ข้อมูล ข้อมูลคอมพวิ เตอร์ หรอื ขอ้ มลู จราจรทางคอมพิวเตอร์ท่ีพนักงานเจ้าหนา้ ทีไ่ ด้มา ตามพระราชบัญญัติน้ีหรือที่พนักงานสอบสวนได้มาตามมาตรา ๑๘ วรรคสอง ใหอ้ า้ งและรับฟังเป็นพยานหลักฐาน ตามบทบัญญัติแห่งประมวลกฎหมายวิธีพิจารณาความอาญาหรือกฎหมายอ่ืนอันว่าด้วยการสืบพยาน ได้ แต่ต้องเปน็ ชนดิ ทม่ี ไิ ดเ้ กิดขึน้ จากการจงู ใจ มีคามัน่ สญั ญา ขเู่ ข็ญ หลอกลวง หรือโดยมิชอบประการอื่น มาตรา ๒๖ ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน นบั แตว่ ันทีข่ ้อมูลน้นั เขา้ สรู่ ะบบคอมพิวเตอร์ แตใ่ นกรณจี าเป็น พนกั งานเจ้าหนา้ ทจ่ี ะสั่งใหผ้ ูใ้ ห้บริการผใู้ ดเกบ็ รักษา ขอ้ มลู จราจรทางคอมพิวเตอร์ไวเ้ กนิ เกา้ สบิ วนั แต่ไมเ่ กนิ สองปีเปน็ กรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้๒๕ ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จาเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการ นบั ต้ังแตเ่ ร่ิมใช้บรกิ ารและตอ้ งเกบ็ รกั ษาไวเ้ ป็นเวลาไมน่ อ้ ยกว่าเกา้ สิบวันนบั ต้ังแต่การใชบ้ รกิ ารสนิ้ สดุ ลง ความในวรรคหนึ่งจะใช้กบั ผู้ให้บริการประเภทใด อยา่ งไร และเม่อื ใด ให้เปน็ ไปตามท่รี ัฐมนตรปี ระกาศ ในราชกิจจานเุ บกษา ผ้ใู ห้บรกิ ารผู้ใดไม่ปฏิบตั ติ ามมาตรานี้ ต้องระวางโทษปรบั ไมเ่ กนิ ห้าแสนบาท มาตรา ๒๗ ผู้ใดไม่ปฏิบัติตามคาสั่งของศาลหรือพนักงานเจ้าหน้าท่ีที่สั่งตามมาตรา ๑๘ หรือมาตรา ๒๐ หรือไม่ปฏิบัติตามคาส่ังของศาลตามมาตรา ๒๑ ต้องระวางโทษปรับไม่เกินสองแสนบาท และปรับเป็นรายวนั อีกไมเ่ กินวนั ละห้าพันบาทจนกว่าจะปฏิบตั ิใหถ้ กู ต้อง มาตรา ๒๘ การแต่งตงั้ พนักงานเจ้าหน้าท่ีตามพระราชบัญญัตินี้ ให้รฐั มนตรีแต่งตงั้ จากผมู้ ีความรู้และ ความชานาญเกีย่ วกับระบบคอมพวิ เตอร์และมีคุณสมบัติตามท่ีรัฐมนตรกี าหนด ผู้ท่ีได้รับการแต่งต้ังเป็นพนักงานเจ้าหน้าท่ีตามพระราชบัญญัตินี้ อาจได้รับค่าตอบ แทนพิเศษ ตามท่รี ฐั มนตรีกาหนดโดยไดร้ บั ความเห็นชอบจากกระทรวงการคลัง๒๖ ในการกาหนดให้ไดร้ ับค่าตอบแทนพิเศษต้องคานึงถึงภาระหน้าท่ี ความรคู้ วามเช่ียวชาญ ความขาดแคลน ในการหาผู้มาปฏิบัติหน้าท่ีหรือมีการสูญเสียผู้ปฏิบัติงานออกจากระบบราชการเป็นจานวนมากคุณภาพของงาน และการดารงตนอยู่ในความยุติธรรมโดยเปรียบเทียบค่าตอบแทนของผู้ปฏิบัติงานอื่นในกระบวนการยุติธรรม ดว้ ย๒๗ มาตรา ๒๙ ในการปฏบิ ัติหนา้ ท่ีตามพระราชบญั ญตั นิ ้ี ให้พนกั งานเจ้าหน้าทเี่ ป็นพนกั งานฝ่ายปกครอง หรือตารวจช้นั ผใู้ หญ่ตามประมวลกฎหมายวธิ ีพิจารณาความอาญามีอานาจรับคาร้องทกุ ข์หรือรับคากล่าวโทษ และ มอี านาจในการสืบสวนสอบสวนเฉพาะความผดิ ตามพระราชบญั ญัตนิ ี้ ในการจับ ควบคุม ค้น การทาสานวนสอบสวนและดาเนินคดีผู้กระทาความผิดตามพระราชบัญญัตินี้ บรรดาทีเ่ ป็นอานาจของพนักงานฝ่ายปกครองหรือตารวจช้ันผู้ใหญ่ หรือพนกั งานสอบสวนตามประมวลกฎหมายวิธี ๒๔ มาตรา ๒๕ แกไ้ ขเพม่ิ เตมิ โดยพระราชบญั ญตั ิว่าด้วยการกระทาความผิดเกย่ี วกบั คอมพิวเตอร์ (ฉบับท่ี ๒) พ.ศ. ๒๕๖๐ ๒๕ มาตรา ๒๖ วรรคหนง่ึ แก้ไขเพ่ิมเติมโดยพระราชบญั ญัตวิ า่ ดว้ ยการกระทาความผิดเกยี่ วกบั คอมพวิ เตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ ๒๖ มาตรา ๒๘ วรรคสอง เพิ่มโดยพระราชบญั ญัติวา่ ดว้ ยการกระทาความผิดเกย่ี วกับคอมพิวเตอร์ (ฉบับท่ี ๒) พ.ศ. ๒๕๖๐ ๒๗ มาตรา ๒๘ วรรคสาม เพม่ิ โดยพระราชบญั ญตั วิ า่ ดว้ ยการกระทาความผิดเกย่ี วกบั คอมพวิ เตอร์ (ฉบบั ที่ ๒) พ.ศ. ๒๕๖๐ สำ�นักงานพัฒนาธุรกรรมทางอเิ ลก็ ทรอนกิ ส์ (องค์การมหาชน) หน้า 305 ส�ำ นกั งานคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส์

พิจารณาความอาญา ให้พนักงานเจ้าหน้าท่ีประสานงานกับพนักงานสอบสวนผู้รับผิดชอบเพ่ือดาเนินการตาม อานาจหน้าทีต่ ่อไป ให้นายกรัฐมนตรีในฐานะผู้กากับดูแลสานักงานตารวจแห่งชาติและรัฐมนตรีมีอานาจร่วมกัน กาหนดระเบียบเก่ียวกบั แนวทางและวิธีปฏบิ ัติในการดาเนนิ การตามวรรคสอง มาตรา ๓๐ ในการปฏบิ ตั ิหนา้ ที่ พนกั งานเจ้าหน้าทตี่ ้องแสดงบตั รประจาตัวต่อบคุ คลซ่ึงเกยี่ วข้อง บตั รประจาตัวของพนักงานเจ้าหน้าทใี่ ห้เป็นไปตามแบบทีร่ ฐั มนตรีประกาศในราชกจิ จานุเบกษา มาตรา ๓๑๒๘ ค่าใช้จ่ายในเรื่องดังต่อไปน้ี รวมท้ังวิธีการเบิกจ่ายให้เป็นไปตามระเบียบท่ีรัฐมนตรี กาหนดโดยได้รับความเหน็ ชอบจากกระทรวงการคลัง (๑) การสืบสวน การแสวงหาข้อมลู และรวบรวมพยานหลักฐานในคดคี วามผิดตามพระราชบญั ญัตินี้ (๒) การดาเนินการตามมาตรา ๑๘ วรรคหนงึ่ (๔) (๕) (๖) (๗) และ (๘) และมาตรา ๒๐ (๓) การดาเนินการอื่นใดอันจาเป็นแก่การป้องกันและปราบปรามการกระทาความผิดตาม พระราชบัญญตั นิ ้ี ผู้รบั สนองพระบรมราชโองการ พลเอก สรุ ยุทธ์ จลุ านนท์ นายกรัฐมนตรี ๒๘ มาตรา ๓๑ เพ่มิ โดยพระราชบัญญตั วิ ่าด้วยการกระทาความผิดเกยี่ วกบั คอมพวิ เตอร์ (ฉบบั ท่ี ๒) พ.ศ. ๒๕๖๐ ส�ำ นักงานพฒั นาธรุ กรรมทางอเิ ล็กทรอนิกส์ (องค์การมหาชน) หนา้ 306 ส�ำ นักงานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนกิ ส์

หมายเหตุ :- เหตผุ ลในการประกาศใช้พระราชบัญญัติฉบับน้ี คอื เนอื่ งจากในปัจจบุ ันระบบคอมพิวเตอร์ไดเ้ ป็นส่วน สาคัญของการประกอบกจิ การและการดารงชีวติ ของมนษุ ย์ หากมผี กู้ ระทาด้วยประการใด ๆ ใหร้ ะบบคอมพวิ เตอร์ ไม่สามารถทางานตามคาสั่งที่กาหนดไว้หรือทาให้การทางานผิดพลาดไปจากคาสั่งที่กาหนดไว้ หรือใช้วิธีการใด ๆ เข้าล่วงรู้ข้อมูล แก้ไข หรือทาลายข้อมูลของบุคคลอื่นในระบบคอมพิวเตอร์โดยมิชอบ หรือใช้ระบบคอมพิวเตอร์ เพ่ือเผยแพร่ข้อมูลคอมพิวเตอร์อันเป็นเท็จหรือมีลักษณะอันลามกอนาจาร ย่อมก่อให้เกิดความเสียหาย กระทบกระเทือนต่อเศรษฐกิจ สังคม และความมั่นคงของรัฐ รวมท้ังความสงบสุขและศีลธรรมอันดีของประชาชน สมควรกาหนดมาตรการเพ่ือปอ้ งกันและปราบปรามการกระทาดงั กล่าว จึงจาเปน็ ต้องตราพระราชบญั ญตั ิน้ี พระราชบญั ญัติว่าด้วยการกระทาความผดิ เก่ียวกบั คอมพวิ เตอร์ (ฉบบั ท่ี ๒) พ.ศ. ๒๕๖๐๒๙ มาตรา ๒ พระราชบัญญัติน้ีให้ใช้บังคับเมื่อพ้นกาหนดหนึ่งร้อยย่ีสิบวันนับแต่วันประกาศในราช กิจจานุเบกษาเป็นต้นไป มาตรา ๒๐ บรรดาระเบียบหรือประกาศท่ีออกตามพระราชบัญญัติว่าด้วยการกระทาความผิด เกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ ท่ีใช้บังคับอยู่ในวันก่อนวันที่พระราชบัญญัตินี้ใช้บังคับ ให้ยังคงใช้บังคับต่อไป เท่าทไ่ี ม่ขัดหรือแยง้ กับบทบญั ญัติแห่งพระราชบัญญตั ิวา่ ดว้ ยการกระทาความผิดเก่ียวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ ซ่ึงแก้ไขเพ่ิมเติมโดยพระราชบัญญัตินี้ จนกว่าจะมีระเบียบหรือประกาศท่ีต้องออกตามพระราชบัญญัติว่าด้วยการ กระทาความผิดเกยี่ วกบั คอมพิวเตอร์ พ.ศ. ๒๕๕๐ ซ่งึ แกไ้ ขเพมิ่ เตมิ โดยพระราชบญั ญัตนิ ้ี ใช้บงั คับ การดาเนินการออกระเบียบหรือประกาศตามวรรคหน่ึง ให้ดาเนินการให้แล้วเสร็จภายในหกสิบ วันนับแต่วันที่พระราชบัญญัติน้ีใช้บังคับ หากไม่สามารถดาเนินการได้ให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพ่ือ เศรษฐกจิ และสงั คมรายงานเหตุผลที่ไม่อาจดาเนนิ การไดต้ ่อคณะรัฐมนตรีเพ่อื ทราบ มาตรา ๒๑ ให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมรักษาการตาม พระราชบญั ญตั ินี้ หมายเหตุ :- เหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ โดยที่พระราชบัญญัติว่าด้วยการกระทา ความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ มีบทบัญญัติบางประการที่ไม่เหมาะสมต่อการป้องกันและ ปราบปรามการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ในปัจจุบัน ซึ่งมีรูปแบบการกระทาความผิดท่ีมีความซับซ้อน มากข้ึนตามพัฒนาการทางเทคโนโลยีซ่ึงเปลี่ยนแปลงอย่างรวดเร็วและโดยที่มีการจัดต้ังกระทรวงดิ จิทัลเพื่อ เศรษฐกิจและสังคมซึ่งมีภารกิจในการกาหนดมาตรฐานและมาตรการในการรักษาความมั่นคงปลอดภัยไซเบอร์ รวมทัง้ การเฝ้าระวงั และติดตามสถานการณ์ดา้ นความม่ันคงปลอดภยั ของเทคโนโลยีสารสนเทศและการส่ือสารของ ประเทศ สมควรปรับปรุงบทบัญญัติในส่วนที่เกี่ยวกับผู้รักษาการตามกฎหมาย กาหนดฐานความผิดขึ้นใหม่ และ แก้ไขเพ่ิมเติมฐานความผิดเดิม รวมท้ังบทกาหนดโทษของความผิดดังกล่าว การปรับปรุงกระบวนการและ หลักเกณฑ์ในการระงับการทาให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ ตลอดจนกาหนดให้มีคณะกรรมการ ๒๙ ราชกจิ จานุเบกษา เล่ม ๑๓๔/ตอนที่ ๑๐ ก/หนา้ ๒๔/๒๔ มกราคม ๒๕๖๐ ส�ำ นกั งานพัฒนาธุรกรรมทางอเิ ลก็ ทรอนิกส์ (องค์การมหาชน) หนา้ 307 สำ�นกั งานคณะกรรมการธุรกรรมทางอเิ ล็กทรอนกิ ส์

เปรยี บเทยี บ ซง่ึ มีอานาจเปรียบเทียบความผดิ ตามพระราชบัญญตั ิว่าดว้ ยการกระทาความผดิ เกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และแก้ไขเพิ่มเติมอานาจหน้าที่ของพนักงานเจ้าหน้าที่ให้เหมาะสมยิ่งข้ึน จึงจาเป็นต้องตรา พระราชบัญญตั นิ ้ี สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 308 ส�ำ นักงานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนกิ ส์

กฎกระทรวง กำหนดแบบหนงั สือแสดงการยดึ หรอื อายัดระบบคอมพิวเตอร พ.ศ. ๒๕๕๑

ชอ่ื กฎหมาย กฎกระทรวงกําหนดแบบหนงั สอื แสดงการยดึ หรอื อายดั ระบบคอมพวิ เตอร พ.ศ. ๒๕๕๑ ประกาศในราชกจิ จานุเบกษา เลม ๑๒๕ / ตอนที่ ๘๘ ก / หนา ๔ / วนั ท่ี ๒๕ กรกฎาคม ๒๕๕๑ เรม่ิ บงั คบั ใช วนั ที่ ๒๕ กรกฎาคม ๒๕๕๑ สาำ�นกั งานพัฒนาธุรกรรมทางอิเลก็ ทรอนิกส์ (องค์การมหาชน) หน้า 231403 สาำ�นักงานคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส์

เลม ๑๒๕ ตอนท่ี ๘๘ ก หนา ๔ ๒๕ กรกฎาคม ๒๕๕๑ ราชกิจจานเุ บกษา กฎกระทรวง กาํ หนดแบบหนังสือแสดงการยดึ หรืออายัดระบบคอมพวิ เตอร พ.ศ. ๒๕๕๑ อาศัยอาํ นาจตามความในมาตรา ๔ และมาตรา ๑๙ วรรคหก แหงพระราชบัญญัติวาดวยการ กระทาํ ความผดิ เกย่ี วกับคอมพวิ เตอร พ.ศ. ๒๕๕๐ อันเปนกฎหมายท่มี ีบทบัญญัติบางประการเก่ียวกับ การจาํ กดั สทิ ธิและเสรีภาพของบุคคล ซึ่งมาตรา ๒๙ ประกอบกับมาตรา ๓๖ และมาตรา ๔๑ ของ รฐั ธรรมนูญแหงราชอาณาจักรไทย บัญญัติใหกระทําไดโดยอาศัยอํานาจตามบทบัญญัติแหงกฎหมาย รฐั มนตรีวาการกระทรวงเทคโนโลยีสารสนเทศและการส่อื สารออกกฎกระทรวงไว ดงั ตอไปนี้ หนงั สอื แสดงการยดึ หรอื อายัดระบบคอมพิวเตอรใหเปน ไปตามแบบ ทก.ยค. ทา ยกฎกระทรวงน้ี ใหไว ณ วนั ท่ี ๒๗ มิถนุ ายน พ.ศ. ๒๕๕๑ มนั่ พธั โนทยั รฐั มนตรีวา การกระทรวงเทคโนโลยีสารสนเทศและการส่อื สาร สาำ�นักงานพัฒนาธุรกรรมทางอเิ ล็กทรอนิกส์ (องคก์ ารมหาชน) หนา้ 234114 สาำ�นกั งานคณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส์

ทก.ยค. หนังสอื แสดงการยดึ หรอื อายัดระบบคอมพวิ เตอร เขียนที่ ............................................... วนั ที่ .............................................................. ขา พเจา ............................................. ตําแหนง ....................................... เลขทบ่ี ัตรประจําตวั ............................................. พนกั งานเจาหนาที่ผซู ง่ึ รฐั มนตรีวาการกระทรวง เทคโนโลยีสารสนเทศและการส่ือสาร แตงต้ังตามพระราชบัญญัติวาดวยการกระทําความผิดเกี่ยวกับ คอมพวิ เตอร พ.ศ. ๒๕๕๐ พรอ มดว ยพนกั งานฝายปกครองหรือตาํ รวจ ดังตอ ไปน้ี (๑) ........................................................... ตาํ แหนง ......................................................... (๒) ........................................................... ตําแหนง ......................................................... ไดท าํ การยึดหรืออายัดระบบคอมพิวเตอรตามคาํ ส่งั อนุญาตใหท ําการยึดหรอื อายัดของศาล ........................ เลขที่ ............................ ลงวนั ที่ .......................... เพือ่ ประโยชนในการทราบรายละเอียดแหงความผิด และผูก ระทําความผิดตามพระราชบญั ญตั วิ าดวยการกระทําความผดิ เก่ียวกบั คอมพวิ เตอร พ.ศ. ๒๕๕๐ สถานท่ยี ึดหรืออายดั ระบบคอมพวิ เตอร บานเลขที่ .............................. หมทู ่ี ....................................... ตรอก/ซอย ..................................... ถนน ................................ ตาํ บล/แขวง ................................... อําเภอ/เขต ........................................ จังหวดั ................................................................................. ในการดาํ เนินการยดึ หรืออายัด เนอ่ื งจากปรากฏวา มีระบบคอมพวิ เตอรท่เี ช่อื วา ............... ....................................................................................................................................................... ...................................................................................................................................................... จึงไดย ึดหรืออายัดไปเพือ่ ดําเนนิ การตรวจสอบ ดังมรี ายการแสดงชื่อและจํานวนของสิ่งที่ยึดหรืออายัดไว ท้ังหมด .......... รายการ ตามบญั ชีทา ยหนังสือนี้ บรรดาระบบคอมพิวเตอรหรือหลักฐานที่ยึดหรืออายัดไปนี้ หากทานประสงค จะตรวจสอบเพอื่ ดําเนนิ กจิ การของทาน ขอใหท านตดิ ตอ ไดท ่ี ............................................................... ....................................................................................................................................................... พนกั งานเจาหนา ท่ไี ดสอบถามเจา ของหรือผคู รอบครองระบบคอมพวิ เตอรอยางสภุ าพ ไมมีการขมขู และมิไดทําใหเกิดความเสียหายหรือบุบสลายซ่ึงทรัพยสินของบุคคลท่ีเกี่ยวของ แตประการใด เจา ของหรือผูครอบครองระบบคอมพวิ เตอรไดอ า นขอความในหนงั สือฉบับน้ีและเขาใจ ขอความดังกลาวดีแลว จึงลงลายมือช่ือไวเปนหลักฐานรับรองวาถูกตองและเปนความจริงตอหนา พนักงานเจาหนาท่ีและพยานผูเขารวมยึดหรืออายัด ทั้งน้ี พนักงานเจาหนาท่ีไดมอบสําเนาหนังสือ แสดงการยดึ หรอื อายดั นใี้ หเจาของหรอื ผคู รอบครองระบบคอมพิวเตอรแลว ลงชื่อ ............................................... พนักงานเจาหนา ทีผ่ ูยึดหรืออายดั (..............................................) ลงชอ่ื ............................................... เจาของหรอื ผูครอบครอง (..............................................) ลงชอื่ ............................................... ผูนํายึดหรืออายัด (..............................................) ลงชื่อ ............................................... พยานผูเ ขารว มยดึ หรืออายัด (..............................................) ลงชอ่ื ............................................... พยานผูเ ขารว มยึดหรืออายัด (..............................................) ลงชอื่ ............................................... พนักงานเจาหนาท่ผี ูบ นั ทึก (..............................................) สาำ�นกั งานพฒั นาธุรกรรมทางอิเลก็ ทรอนกิ ส์ (องค์การมหาชน) หน้า 234125 สาำ�นักงานคณะกรรมการธุรกรรมทางอเิ ล็กทรอนิกส์

๒ ทก.ยค. บญั ชแี สดงรายละเอยี ดการยึดหรืออายัดระบบคอมพิวเตอร บัญชีลาํ ดบั ที่ ........................ ยดึ หรอื อายดั เมื่อวนั ที่ ......................... เวลา ............... ถึงเวลา ............. บา นเลขที่ ................. หมูท่ี ............ ตรอก/ซอย ............................ ถนน .......................................... ตําบล/แขวง ....................................... อาํ เภอ/เขต ................................ จงั หวดั .............................. พนกั งานเจา หนา ที่ผยู ดึ หรืออายดั .............................................. เลขท่บี ัตรประจาํ ตวั .......................... โดยมี ............................................................................................................. เปน ผนู าํ ยดึ หรืออายัด ลาํ ดบั ที่ รายการ จํานวน เจา ของ / ผูค รอบครอง หมายเหตุ และตามบญั ชรี ายละเอยี ดระบบคอมพวิ เตอรท ีย่ ึดหรอื อายดั ตอทา ยบัญชนี ้ีอีก ........................... รายการ สำา�นักงานพฒั นาธุรกรรมทางอเิ ล็กทรอนิกส์ (องค์การมหาชน) หน้า 234136 สำา�นกั งานคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส์

๓ ทก.ยค. บญั ชีรายละเอียดระบบคอมพิวเตอรท ย่ี ดึ หรอื อายัด (ตอทา ยบญั ชีแสดงรายละเอยี ดการยดึ หรอื อายดั ระบบคอมพวิ เตอร) 1. ประเภทอุปกรณคอมพวิ เตอรที่ยึดหรืออายดั มจี าํ นวนทัง้ หมด ................... เคร่ือง ไดแ ก 1.1 ชนิด ............................................................. ยหี่ อ ........................................................ รนุ (model) ...................................... หมายเลขเคร่อื ง(S/N) ............................................... Case Type: □ Mini Tower □ Mid Tower □ Full Tower □ อน่ื ๆ ............................. หรอื มีเอกลักษณะเปน □ PC Stand-alone □ Server .......................... □ Client □ Workstation □ Mainframe □ อน่ื ๆ ........................................................................... ตดิ ตง้ั อยบู ริเวณ................................................................................................................................ มี Drives ดังนี้ Floppy drive(s) ขนาด 514 นวิ้ .......... Floppy drive(s) ขนาด 312นว้ิ .......... Zip drive(s) ................. Jazz drive(s) .................................... Tape drive(s) .................................. Speakers ...................... CD-ROM drive(s) ......................... CD-ROM types .................... Parallel port(s) ........................ Serial port(s) ................................. USB port(s) ........................... Sound card/port ...................... Modem card/port ....................Video card/port ................... External SCSI card/port.................. . NIC card/port ................................................................................................................................ Monitor ......................................................................................................................................... Printer ............................................................................................................................................ อุปกรณเ พ่มิ เตมิ อน่ื ๆ ....................................................................................................................... 1.2 ชนดิ ............................................................. ยหี่ อ ........................................................ รุน (model) ...................................... หมายเลขเครอื่ ง(S/N) ............................................... Case Type: □ Mini Tower □ Mid Tower □ Full Tower □ อน่ื ๆ ............................. หรอื มเี อกลักษณะเปน □ PC Stand-alone □ Server .......................... □ Client □ Workstation □ Mainframe □ อน่ื ๆ ........................................................................... ติดตง้ั อยบู ริเวณ................................................................................................................................ มี Drives ดงั นี้ Floppy drive(s) ขนาด 514 นว้ิ .......... Floppy drive(s) ขนาด 312นิว้ .......... Zip drive(s) ................. Jazz drive(s) .................................... Tape drive(s) .................................. Speakers ...................... CD-ROM drive(s) ......................... CD-ROM types .................... Parallel port(s) ........................ Serial port(s) ................................. USB port(s) ........................... Sound card/port ...................... Modem card/port ....................Video card/port ................... External SCSI card/port.................. . NIC card/port ................................................................................................................................ Monitor ......................................................................................................................................... Printer ............................................................................................................................................ อปุ กรณเ พม่ิ เตมิ อน่ื ๆ ....................................................................................................................... ส�ำานักงานพัฒนาธรุ กรรมทางอเิ ล็กทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 234147 ส�ำานักงานคณะกรรมการธุรกรรมทางอเิ ล็กทรอนกิ ส์

๔ ทก.ยค. 1.3 ชนิด ............................................................. ย่หี อ ........................................................ รนุ (model) ...................................... หมายเลขเคร่อื ง(S/N) ............................................... Case Type: □ Mini Tower □ Mid Tower □ Full Tower □ อน่ื ๆ ............................. หรือมีเอกลักษณะเปน □ PC Stand-alone □ Server .......................... □ Client □ Workstation □ Mainframe □ อน่ื ๆ ........................................................................... ติดตง้ั อยบู ริเวณ................................................................................................................................ มี Drives ดังนี้ Floppy drive(s) ขนาด 514 นวิ้ .......... Floppy drive(s) ขนาด 312นิ้ว .......... Zip drive(s) ................. Jazz drive(s) .................................... Tape drive(s) .................................. Speakers ...................... CD-ROM drive(s) ......................... CD-ROM types .................... Parallel port(s) ........................ Serial port(s) ................................. USB port(s) ........................... Sound card/port ...................... Modem card/port ....................Video card/port ................... External SCSI card/port.................. . NIC card/port ................................................................................................................................ Monitor ......................................................................................................................................... Printer ............................................................................................................................................ อุปกรณเ พมิ่ เติมอน่ื ๆ ....................................................................................................................... 1.4 ชนดิ ............................................................. ย่ีหอ ........................................................ รนุ (model) ...................................... หมายเลขเครอ่ื ง(S/N) ............................................... Case Type: □ Mini Tower □ Mid Tower □ Full Tower □ อน่ื ๆ ............................. หรือมีเอกลักษณะเปน □ PC Stand-alone □ Server .......................... □ Client □ Workstation □ Mainframe □ อน่ื ๆ ........................................................................... ติดตง้ั อยบู รเิ วณ................................................................................................................................ มี Drives ดังนี้ Floppy drive(s) ขนาด 514 นว้ิ .......... Floppy drive(s) ขนาด 312นว้ิ .......... Zip drive(s) ................. Jazz drive(s) .................................... Tape drive(s) .................................. Speakers ...................... CD-ROM drive(s) ......................... CD-ROM types .................... Parallel port(s) ........................ Serial port(s) ................................. USB port(s) ........................... Sound card/port ...................... Modem card/port ....................Video card/port ................... External SCSI card/port.................. . NIC card/port ................................................................................................................................ Monitor ......................................................................................................................................... Printer ............................................................................................................................................ อุปกรณเ พมิ่ เติมอน่ื ๆ ....................................................................................................................... สำ�านักงานพัฒนาธรุ กรรมทางอเิ ล็กทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 231458 ส�ำานักงานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนกิ ส์

๕ ทก.ยค. 2. ............................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ................................................................................................................................................. ส�ำานกั งานพฒั นาธรุ กรรมทางอเิ ล็กทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 234196 ส�ำานักงานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส์

เลม ๑๒๕ ตอนท่ี ๘๘ ก หนา ๕ ๒๕ กรกฎาคม ๒๕๕๑ ราชกิจจานเุ บกษา หมายเหตุ :- เหตุผลในการประกาศใชกฎกระทรวงฉบับน้ี คือ โดยที่มาตรา ๑๙ วรรคหก แหง พระราชบญั ญตั วิ าดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. ๒๕๕๐ บัญญัติใหหนังสือแสดง การยดึ หรอื อายดั ระบบคอมพวิ เตอรเ ปนไปตามทีก่ าํ หนดในกฎกระทรวง จึงจําเปนตอ งออกกฎกระทรวงนี้ สาำ�นกั งานพฒั นาธุรกรรมทางอเิ ลก็ ทรอนิกส์ (องค์การมหาชน) หนา้ 231570 สำา�นักงานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกส์

ประกาศกระทรวงเทคโนโลยสี ารสนเทศและการส่ือสาร เร่อื ง หลกั เกณฑการเกบ็ รกั ษาขอมูลจราจรทางคอมพวิ เตอร ของผใู หบริการ พ.ศ. ๒๕๕๐

ชอื่ กฎหมาย ประกาศกระทรวงเทคโนโลยสี ารสนเทศและการส่อื สาร เรอ่ื ง หลกั เกณฑก ารเกบ็ รักษาขอมูล จราจรทางคอมพวิ เตอรของผูใ หบริการ พ.ศ. ๒๕๕๐ ประกาศในราชกจิ จานเุ บกษา เลม ๑๒๔ / ตอนพิเศษ ๑๐๒ ง / หนา ๕ / วนั ที่ ๒๓ สิงหาคม ๒๕๕๐ เริ่มบังคบั ใช วนั ท่ี ๒๔ สงิ หาคม ๒๕๕๐ ผูรักษาการ รัฐมนตรวี าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร สำา�นกั งานพัฒนาธุรกรรมทางอเิ ลก็ ทรอนกิ ส์ (องค์การมหาชน) หน้า 231592 สำา�นักงานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนิกส์

เลม ๑๒๔ ตอนพเิ ศษ ๑๐๒ ง หนา ๕ ๒๓ สงิ หาคม ๒๕๕๐ ราชกจิ จานุเบกษา ประกาศกระทรวงเทคโนโลยสี ารสนเทศและการสือ่ สาร เรอ่ื ง หลักเกณฑก ารเกบ็ รกั ษาขอ มูลจราจรทางคอมพิวเตอรข องผูใหบริการ พ.ศ. ๒๕๕๐ ดวยในปจจบุ นั การติดตอสอื่ สารผา นระบบคอมพวิ เตอรห รือระบบอิเล็กทรอนกิ สเ ริม่ เขาไปมีบทบาท แ ล ะ ท วี ค ว า ม สํ า คั ญ เ พิ่ ม ขึ้ น ต า ม ลํ า ดั บ ต อ ร ะ บ บ เ ศ ร ษ ฐ กิ จ แ ล ะ คุ ณ ภ า พ ชี วิ ต ข อ ง ป ร ะ ช า ช น แตในขณะเดยี วกันการกระทาํ ความผิดเก่ียวกับคอมพวิ เตอรม แี นวโนม ขยายวงกวาง และทวคี วามรุนแรง เพ่ิมมากข้ึน ขอมูลจราจรทางคอมพิวเตอรนับเปนพยานหลักฐานสําคัญในการดําเนินคดี อันเปน ประโยชนอ ยา งย่งิ ตอ การสืบสวน สอบสวน เพ่ือนําตัวผูกระทําความผิดมาลงโทษ จึงสมควรกําหนด ใหผใู หบรกิ ารมีหนาท่ีในการเกบ็ รักษาขอ มลู จราจรทางคอมพวิ เตอรดังกลา ว อาศัยอํานาจตามความในมาตรา ๒๖ วรรค ๓ แหง พระราชบัญญัตวิ าดวยการกระทําความผิด เก่ียวกับคอมพิวเตอร พ.ศ. ๒๕๕๐ ดังนั้น รัฐมนตรีวาการกระทรวงเทคโนโลยีสารสนเทศและ การสอื่ สาร จงึ ไดกาํ หนดหลกั เกณฑไว ดังตอไปน้ี ขอ ๑ ประกาศนี้เรียกวา “หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร ของผใู หบริการ พ.ศ. ๒๕๕๐” ขอ ๒ ประกาศนีใ้ หใชบ ังคบั ต้งั แตวันถดั จากวันประกาศในราชกจิ จานเุ บกษาเปนตนไป ขอ ๓ ใหรัฐมนตรีวาการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารรักษาการ ตามประกาศนี้ ขอ ๔ ในประกาศน้ี “ผูใหบ ริการ” หมายความวา (๑) ผูใหบริการแกบุคคลอ่ืนในการเขาสูอินเทอรเน็ต หรือใหสามารถติดตอถึงกัน โดยประการอ่ืน โดยผานทางระบบคอมพิวเตอร ท้ังน้ี ไมวาจะเปนการใหบริการในนามของตนเอง หรอื เพอื่ ประโยชนข องบุคคลอ่นื (๒) ผใู หบรกิ ารเกบ็ รักษาขอ มูลคอมพิวเตอรเพอ่ื ประโยชนข องบุคคลอ่ืน “ขอมูลจราจรทางคอมพิวเตอร” หมายความวา ขอมูลเกี่ยวกับการติดตอสื่อสารของระบบ คอมพิวเตอร ซึ่งแสดงถึงแหลงกําเนิด ตนทาง ปลายทาง เสนทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบรกิ าร หรืออนื่ ๆ ท่เี ก่ียวของกับการติดตอสอ่ื สารของระบบคอมพวิ เตอรน้ัน สำา�นักงานพฒั นาธรุ กรรมทางอเิ ล็กทรอนกิ ส์ (องค์การมหาชน) หนา้ 235203 สาำ�นักงานคณะกรรมการธุรกรรมทางอเิ ล็กทรอนิกส์

เลม ๑๒๔ ตอนพเิ ศษ ๑๐๒ ง หนา ๖ ๒๓ สิงหาคม ๒๕๕๐ ราชกิจจานุเบกษา “ระบบคอมพิวเตอร” หมายความวา อุปกรณหรือชุดอุปกรณท่ีเช่ือมการทํางานเขาดวยกัน โดยไดม ีการกําหนด คาํ ส่งั ชุดคาํ สงั่ หรอื ส่ิงอ่ืนใด และแนวทางปฏิบัติงานใหอุปกรณหรือชุดอุปกรณ ทําหนาทปี่ ระมวลผลขอมลู โดยอัตโนมัติ “ผใู ชบ ริการ” หมายความวา ผูใชบริการของผูใหบ รกิ ารไมว าตอ งเสียคา ใชบ ริการหรอื ไมก ็ตาม ขอ ๕ ภายใตบ งั คบั ของมาตรา ๒๖ แหง พระราชบัญญตั ิวาดว ยการกระทําความผิดเกี่ยวกับ คอมพิวเตอร พ.ศ. ๒๕๕๐ ประเภทของผูใหบริการซึ่งมีหนาท่ีตองเก็บรักษาขอมูลจราจรทาง คอมพวิ เตอรแ บง ได ดังน้ี (๑) ผูใหบริการแกบุคคลท่ัวไปในการเขาสูอินเทอรเน็ต หรือใหสามารถติดตอถึงกัน โดยประการอ่ืน ทั้งนี้ โดยผานทางระบบคอมพิวเตอร ไมวาจะเปนการใหบริการในนามของตนเอง หรอื เพ่ือประโยชนข องบุคคลอื่น สามารถจาํ แนกได ๔ ประเภท ดังน้ี ก. ผูประกอบกิจการโทรคมนาคมและการกระจายภาพและเสียง (Telecommunication and Broadcast Carrier) ประกอบดว ยผใู หบรกิ ารดังปรากฏตามภาคผนวก ก. แนบทา ยประกาศน้ี ข. ผูใหบริการการเขาถึงระบบเครือขายคอมพิวเตอร (Access Service Provider) ประกอบดวยผูใหบรกิ ารดังปรากฏตามภาคผนวก ก. แนบทายประกาศน้ี ค. ผูใหบริการเชาระบบคอมพิวเตอร หรือใหเชาบริการโปรแกรมประยุกตตาง ๆ (Host Service Provider) ประกอบดวยผูใหบริการดงั ปรากฏตามภาคผนวก ก. แนบทา ยประกาศน้ี ง. ผูใหบ รกิ ารรานอินเทอรเน็ต ดังปรากฏตามภาคผนวก ก. แนบทายประกาศนี้ (๒) ผูใหบริการในการเก็บรักษาขอมูลคอมพิวเตอรเพื่อประโยชนของบุคคลตาม (๑) (Content Service Provider) เชน ผใู หบริการขอมูลคอมพวิ เตอรผา นแอพพลิเคช่นั ตาง ๆ (Application Service Provider) ประกอบดวยผูใหบ ริการดังภาคผนวก ก. แนบทา ยประกาศนี้ ขอ ๖ ขอมูลจราจรทางคอมพิวเตอรท่ีผูใหบริการตองเก็บรักษา ปรากฏดังภาคผนวก ข. แนบทายประกาศนี้ ขอ ๗ ผใู หบ ริการมีหนา ท่ีเก็บรักษาขอมลู จราจรทางคอมพวิ เตอร ดังนี้ (๑) ผใู หบริการตามขอ ๕ (๑) ก. มหี นา ทเี่ ก็บขอมูลจราจรทางคอมพวิ เตอรตามภาคผนวก ข. ๑ (๒) ผใู หบ ริการตามขอ ๕ (๑) ข. มหี นา ทีเ่ กบ็ ขอมูลจราจรทางคอมพิวเตอรตามภาคผนวก ข. ๒ ตามประเภท ชนิดและหนาทก่ี ารใหบ รกิ าร สำา�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ (องค์การมหาชน) หน้า 235214 สาำ�นักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส์

เลม ๑๒๔ ตอนพเิ ศษ ๑๐๒ ง หนา ๗ ๒๓ สงิ หาคม ๒๕๕๐ ราชกจิ จานเุ บกษา (๓) ผใู หบรกิ ารตามขอ ๕ (๑) ค. มีหนา ท่ีเก็บขอ มลู จราจรทางคอมพิวเตอรตามภาคผนวก ข. ๒ ตามประเภท ชนิดและหนาทกี่ ารใหบ รกิ าร (๔) ผใู หบริการตามขอ ๕ (๑) ง. มีหนาท่ีเกบ็ ขอมลู จราจรทางคอมพิวเตอรตามภาคผนวก ข. ๓ (๕) ผใู หบ รกิ ารตามขอ ๕ (๒) มีหนาที่เกบ็ ขอ มูลจราจรทางคอมพวิ เตอรตามภาคผนวก ข. ๔ ท้งั น้ี ในการเกบ็ รักษาขอ มูลจราจรตามภาคผนวกตา ง ๆ ทก่ี ลาวไปขางตนนั้น ใหผูใหบริการ เก็บเพยี งเฉพาะในสว นท่ีเปน ขอมูลจราจรทีเ่ กดิ จากสว นทเี่ กี่ยวขอ งกับบริการของตนเทานั้น ขอ ๘ การเก็บรักษาขอมูลจราจรทางคอมพิวเตอร ผูใหบริการตองใชวิธีการท่ีมั่นคง ปลอดภัย ดังตอไปนี้ (๑) เกบ็ ในส่อื (Media) ท่สี ามารถรักษาความครบถวนถูกตองแทจริง (Integrity) และระบุ ตัวบคุ คล (Identification) ทเี่ ขา ถึงส่ือดังกลาวได (๒) มีระบบการเกบ็ รกั ษาความลับของขอมูลที่จัดเก็บ และกําหนดช้ันความลับในการเขาถึง ขอมูลดังกลาว เพื่อรักษาความนาเช่ือถือของขอมูล และไมใหผูดูแลระบบสามารถแกไขขอมูลท่ี เก็บรักษาไว เชน การเก็บไวใน Centralized Log Server หรือการทํา Data Archiving หรือทํา Data Hashing เปนตน เวนแต ผูมีหนาที่เก่ียวของที่เจาของหรือผูบริหารองคกร กําหนดใหสามารถเขาถึง ขอมูลดังกลาวได เชน ผูตรวจสอบระบบสารสนเทศขององคกร (IT Auditor) หรือบุคคลที่องคกร มอบหมาย เปน ตน รวมท้ังพนกั งานเจาหนา ที่ตามพระราชบัญญัตนิ ้ี (๓) จัดใหมีผูมีหนาที่ประสานงานและใหขอมูลกับพนักงานเจาหนาท่ีซ่ึงไดรับการแตงต้ัง ตามพระราชบญั ญตั ิวา ดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. ๒๕๕๐ เพื่อใหการสงมอบ ขอ มูลน้นั เปน ไปดวยความรวดเรว็ (๔) ในการเก็บขอมูลจราจรน้ัน ตองสามารถระบุรายละเอียดผูใชบริการเปนรายบุคคลได (Identification and Authentication) เชน ลักษณะการใชบริการ Proxy Server, Network Address Translation (NAT) หรือ Proxy Cache หรือ Cache Engine หรือบริการ Free Internet หรือ บริการ 1222 หรอื Wi-Fi Hotspot ตองสามารถระบุตัวตนของผใู ชบ ริการเปน รายบคุ คลไดจริง (๕) ในกรณีทีผ่ ใู หบ รกิ ารประเภทหนึ่งประเภทใด ในขอ ๑ ถึงขอ ๔ ขางตน ไดใหบริการ ในนามตนเอง แตบริการดงั กลาวเปนบริการทใ่ี ชระบบของผูใหบริการซึ่งเปนบุคคลท่ีสาม เปนเหตุให ผูใ หบ ริการในขอ ๑ ถงึ ขอ ๔ ไมส ามารถรไู ดว า ผูใ ชบริการที่เขามาในระบบน้ันเปนใคร ผูใหบริการ สาำ�นกั งานพฒั นาธุรกรรมทางอิเลก็ ทรอนิกส์ (องคก์ ารมหาชน) หน้า 235225 สาำ�นกั งานคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส์

เลม ๑๒๔ ตอนพเิ ศษ ๑๐๒ ง หนา ๘ ๒๓ สงิ หาคม ๒๕๕๐ ราชกจิ จานุเบกษา เชนวาน้ันตองดําเนินการใหมีวิธีการระบุและยืนยันตัวบุคคล (Identification and Authentication) ของผูใชบ รกิ ารผานบริการของตนเองดวย ขอ ๙ เพ่อื ใหขอ มูลจราจรมีความถูกตอ งและนาํ มาใชประโยชนไดจริงผูใหบริการตองต้ังนาฬิกา ของอปุ กรณบรกิ ารทุกชนดิ ใหต รงกบั เวลาอา งอิงสากล (Stratum 0) โดยผิดพลาดไมเกนิ ๑๐ มลิ ลวิ ินาที ขอ ๑๐ ผูใหบริการซึ่งมีหนาท่ีเก็บขอมูลจราจรทางคอมพิวเตอรตามขอ ๗ เร่ิมเก็บขอมูล ดังกลาวตามลําดบั ดงั น้ี (๑) ผใู หบริการตามขอ ๕ (๑) ก. เร่ิมเก็บขอมูลจราจรทางคอมพิวเตอรเม่ือพนสามสิบวัน นับจากวนั ประกาศในราชกจิ จานเุ บกษา (๒) ใหผ ใู หบ ริการตามขอ ๕ (๑) ข. เฉพาะผูใหบริการเครือขายสาธารณะหรือผูใหบริการ อินเทอรเ นต็ (ISP) เริม่ เก็บขอ มูลจราจรทางคอมพวิ เตอรเ ม่ือพน หนง่ึ รอยแปดสิบวันนับจากวันประกาศ ในราชกจิ จานเุ บกษา ผูใหบรกิ ารอ่นื นอกจากท่กี ลา วมาในขอ ๑๐ (๑) และขอ ๑๐ (๒) ขางตน ใหเริ่มเก็บขอมูล จราจรทางคอมพิวเตอรเม่ือพน หน่ึงปน บั จากวันประกาศในราชกิจจานุเบกษา ประกาศ ณ วนั ที่ ๒๑ สงิ หาคม พ.ศ. ๒๕๕๐ สิทธชิ ยั โภไคยอุดม รฐั มนตรวี าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร สาำ�นักงานพฒั นาธรุ กรรมทางอเิ ล็กทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 235236 สาำ�นกั งานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกส์

ส�ำานกั งานพัฒนาธุรกรรมทางอิเลก็ ทรอนกิ ส์ (องค์การมหาชน) หน้า 235247 สำ�านกั งานคณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส์

ส�ำานกั งานพัฒนาธุรกรรมทางอิเลก็ ทรอนกิ ส์ (องค์การมหาชน) หน้า 232558 สำ�านกั งานคณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส์

ส�ำานกั งานพัฒนาธุรกรรมทางอิเลก็ ทรอนกิ ส์ (องค์การมหาชน) หน้า 235269 สำ�านกั งานคณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส์

สำา�นักงานพัฒนาธุรกรรมทางอิเลก็ ทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 322670 สาำ�นักงานคณะกรรมการธุรกรรมทางอเิ ล็กทรอนิกส์