กรุงเทพฯ--27 ก.ย.--ที่ปรึกษากฎหมายสากล
โดยไพบูลย์ อมรภิญโญเกียรติ
บริษัท ที่ปรึกษากฎหมายสากล จำกัด
paiboona@mail.ilct.co.th
ครั้งที่แล้ว ผมได้กล่าวถึงสาระสำคัญโดยย่อของร่างกฎหมายว่าด้วยอาชญากรรมทางคอมพิวเตอร์ และได้ทิ้งท้ายไว้เป็นคำถามว่า หากเว็บไซท์ amazon.com หรือ yahoo.com โดยโจมตีจาก Hacker เช่นกรณีที่เป็นข่าวเมื่อปีที่แล้วโดย Hacker ดังกล่าวเป็นบุคคลสัญชาติไทย กฎหมายว่าด้วยอาชญากรรมทางคอมพิวเตอร์ จะสามารถนำมาใช้ดำเนินคดีกับ Hacker รายดังกล่าวได้หรือไม่ และมีปัญหาในทางปฏิบัติในการปรับใช้กฎหมายดังกล่าวอย่างไร วันนี้เราจะมาคุยกันครับ
1. ปัญหาเรื่องการได้มาซึ่งพยานหลักฐานในการกระทำความผิดของ Hacker ก่อนอื่นคงต้องทำความเข้าใจกันก่อนว่า การส่งผ่านข้อมูลระหว่างกันบนอินเตอร์นั้นเป็นอย่างไร ในปัจจุบันนี้ โดยส่วนใหญ่การเข้าสู่ระบบอินเตอร์เน็ต (login) นั้น มีอยู่ 2 วิธีคือ 1) ใช้โทรศัพท์ (ไม่ว่าจะเป็นโทรศัพท์บ้านหรือโทรศัพท์มือถือ) หมุนผ่านโมเด็ม เพื่อเข้าไปยังเครื่องคอมพิวเตอร์เซิฟเวอร์ของผู้ให้บริการอินเตอร์เน็ต (ISP) เพื่อรับและส่งข้อมูล และ 2) เข้าสู่ระบบอินเตอร์เน็ตโดยใช้ระบบเครือข่าย LAN ผ่าน Leased line ซึ่งส่วนใหญ่ผู้ใช้ระบบนี้มักจะเป็นองค์กรหรือบริษัท ซึ่งจะมีการเช่าช่องสัญญาณจากผู้ให้บริการอินเตอร์เน็ตเพื่อรับส่งข้อมูลเช่นกัน อย่างไรก็ตาม ส่วนใหญ่ผู้ใช้บริการอินเตอร์เน็ตมักนิยมเข้าสู่ระบบโดยใช้โทรศัพท์กับโมเด็มเป็นหลัก ดังนั้น ในการที่ Hacker รายหนึ่งจะเข้าไปเปลี่ยนแปลงข้อมูลในคอมพิวเตอร์หรือเว็บไซท์ต่างๆ ได้นั้น จะต้องใช้อุปกรณ์คือ 1) โทรศัพท์และโมเด็ม เพื่อเข้าสู่คอมพิวเตอร์เซิฟเวอร์ของผู้ให้บริการอินเตอร์เน็ต
2) คอมพิวเตอร์ส่วนบุคคล (PC) ของ Hacker หรือร้านอินเตอร์เน็ตคาเฟ่ที่ตนเองใช้บริการ 3) คอมพิวเตอร์เซิฟเวอร์ของผู้ให้บริการอินเตอร์เน็ต และ 4) โปรแกรมคอมพิวเตอร์ที่ใช้เจาะข้อมูลหรือไวรัสที่ใช้โจมตีระบบรักษาความปลอดภัยหรือ Firewall ของระบบคอมพิวเตอร์ของผู้เสียหาย ยกตัวอย่างเช่น หากนาย ก. ต้องการเจาะข้อมูลเข้าไปเพื่อเปลี่ยนแปลงข้อมูลของเว็บไซท์ amazon.com นาย ก. ต้องหมุนโทรศัพท์ ผ่านโมเด็มเพื่อเข้าสู่ระบบอินเตอร์เน็ตโดยผ่านคอมพิวเตอร์ของตนไปยังคอมพิวเตอร์เซิฟเวอร์ของผู้ให้บริการอินเตอร์เน็ตที่ตนเองเป็นสมาชิก และดำเนินการเปลี่ยนแปลงข้อมูลในเว็บไซท์
ดังกล่าว ดังนั้น ข้อมูลที่จะปรากฏร่องรอยของการกระทำความผิดดังกล่าวก็จะอยู่ใน (1) คอมพิวเตอร์ส่วนบุคคลของ Hacker รายนั้น (2) คอมพิวเตอร์เซิฟเวอร์ของผู้ให้บริการอินเตอร์เน็ต เนื่องจากโดยปกติหากท่านสมัครสมาชิกกับ ISP แต่ละรายแล้ว ท่านจะได้รับที่อยู่บนอินเตอร์เน็ต (IP Address) ซึ่งเครื่องคอมพิวเตอร์จะบันทึกชั่วโมงที่ท่านใช้งานและเว็บไซท์ที่ท่านเข้าไปดูทุกเว็บไซท์ เช่น นาย ก. สมัครเป็นสมาชิกของ KSC หมายเลข IP Address ของนาย ก. คือ 204.145.28.204 เมื่อนาย ก. เข้าสู่ระบบอินเตอร์เน็ต คอมพิวเตอร์ของ KSC จะบันทึกว่า "Sept 4 11:20:45 web 63ftpd (15988) connection from 204.145.28.204" หมายความว่า ในวันที่ 4 กันยายน เวลา 11 นาฬิกา 20 นาที 45 วินาที นาย ก. ซึ่งใช้ IP Address เลขที่ 204.145.28.204 ได้เข้าสู่ระบบคอมพิวเตอร์ของ KSC เพื่อใช้บริการและหากนาย ก. เข้าไปในเว็บไซท์ใดก็จะมีรายละเอียดของเว็บไซท์ปรากฏดังนี้ 204.145.28.204 - [4/Sept/2001:11:20:45
] (หมายเลข IP Address ของเว็บไซท์ที่นาย ก. login เข้าไป) (3) คอมพิวเตอร์เซิฟเวอร์ของผู้เสียหาย
จากข้อมูลดังกล่าวข้างต้นจะเห็นได้ว่า การที่จะดำเนินคดีกับ Hacker นาย ก. ได้นั้น เจ้าหน้าที่ตำรวจหรือผู้เสียหายจะต้องพิสูจน์ได้ว่า นาย ก. เจาะเข้าสู่ระบบโดยใช้โทรศัพท์เครื่องใดในการติดต่อ ข้อมูลจากเครื่องคอมพิวเตอร์ส่วนบุคคลของนาย ก. ซึ่งโดยปกติจะมีการบันทึกข้อมูลในการทำธุรกรรมแต่ละครั้งไว้ ข้อมูลทางอิเล็กทรอนิกส์ที่คอมพิวเตอร์เซิฟเวอร์ของผู้ให้บริการอินเตอร์เน็ตที่บันทึกไว้ และข้อมูลอิเล็กทรอนิกส์จากเครื่องคอมพิวเตอร์ของผู้เสียหายมาเปรียบเทียบกัน ซึ่งในปัจจุบันประเทศไทยยังไม่มีกฎหมายที่เกี่ยวข้องกับการได้มาซึ่งพยานหลักฐานดังกล่าว รวมทั้งไม่มีกฎหมายที่ให้อำนาจผู้เสียหายหรือศาลในการยึดอายัดบรรดาเอกสารอิเล็กทรอนิกส์ดังกล่าวจาก Hacker ได้
นอกจากนี้ การที่จะรวบรวมหลักฐานดังกล่าวได้นั้น ต้องอาศัยความร่วมมือจากองค์การโทรศัพท์หรือการสื่อสารแห่งประเทศไทย ผู้ให้บริการอินเตอร์เน็ต ผู้เสียหาย และเจ้าหน้าที่ที่เกี่ยวข้อง ซึ่งโดยปกติมักจะต้องเก็บความลับของลูกค้า ดังนั้น การได้มาซึ่งข้อมูลในการกระทำความผิดของ Hacker จึงเป็นไปค่อนข้างยากหากไม่มีกฎหมายให้อำนาจ
ดังนั้น เมื่อพิจารณาร่างกฎหมายอาชญากรรมทางคอมพิวเตอร์ฉบับนี้ จะไม่มีข้อกฎหมายเกี่ยวกับการได้มาซึ่งพยานหลักฐานอิเล็กทรอนิกส์ อย่างไรก็ตาม เมื่อพิจารณาหมายเหตุท้ายร่างกฎหมายฉบับนี้ ระบุไว้ว่า "ร่างพระราชบัญญัติเดิมมีการกำหนดร่างเกี่ยวกับวิธีพิจารณาความไว้แต่ได้มีการตัดหมวดดังกล่าวออกไป เพื่อพิจารณากับหน่วยงานที่เกี่ยวข้องว่าควรรวมไว้ในกฎหมายฉบับนี้หรือไม่" โดยส่วนตัวของผู้เขียนมีความเห็นในเรื่องนี้ว่า กฎหมายอาชญากรรมทางคอมพิวเตอร์เป็นกฎหมายเฉพาะหรือกฎหมายเชิงเทคนิคที่ใช้ลงโทษผู้กระทำความผิด ซึ่งแตกต่างจากความผิดตามกฎหมายอาญาทั่วไป เช่น ลักทรัพย์ หรือทำร้ายร่างกาย ดังนั้น จึงควรกำหนดวิธีการได้มาซึ่งพยานหลักฐานไว้ในร่างกฎหมายฉบับนี้ไว้โดยเฉพาะ เพื่อให้การปรับใช้ตัวบทกฎหมายมีความสอดคล้องกัน แต่หากนำวิธีการดำเนินคดีในเรื่องอาชญากรรมคอมพิวเตอร์บัญญัติเป็นกฎหมายเฉพาะหรือแก้ไขประมวลกฎหมายวิธีพิจารณาความอาญาของไทยก็อาจเกิดปัญหาในการตีความและบังคับใช้ในภายหลังได้ กฎหมายที่ผู้เขียนคิดว่าน่าจะนำมาเป็นหลักเกณฑ์ในร่างกฎหมายในเรื่องการได้มาซึ่งพยานหลักฐานอิเล็กทรอนิกส์ คือ พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 โดยเฉพาะมาตรา 38 (3) ซึ่งได้ระบุในเรื่องของการได้มาซึ่งพยานหลักฐานในการฟอกเงินไว้ต่างหากว่า "ให้อำนาจกรรมการป้องกันและปราบปรามการฟอกเงินและเจ้าหน้าที่ที่เกี่ยวข้องมีอำนาจในการเข้าไปในเคหะสถาน สถานที่ที่มีเหตุอันควรสงสัยว่ามีการซุกซ่อนหรือเก็บรักษาทรัพย์สินที่เกี่ยวกับการกระทำความผิด หรือพยานหลักฐานเกี่ยวกับการกระทำความผิด เพื่อตรวจค้นหรือเพื่อประโยชน์ในการติดตาม ตรวจสอบ หรือยึด หรืออายัดทรัพย์สินหรือพยานหลักฐาน หากเห็นว่า หากนำหมายค้นมาจะล่าช้าและหลักฐานดังกล่าวจะถูกทำลาย" โดยนำหลักดังกล่าวมาปรับใช้กับกฎหมายอาชญากรรมทางคอมพิวเตอร์ฉบับนี้ โดยระบุให้อำนาจหน่วยงาน Computer Emergency Response Team (CERT) ซึ่งปัจจุบันอยู่ในความดูแลของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ หรือ NECTEC ให้มีอำนาจในการดำเนินการตรวจค้นร่วมกับเจ้าหน้าที่ตำรวจหรือศาล เช่นเดียวกับคณะกรรมการป้องกันและปราบปรามการฟอกเงิน เพื่อป้องปรามการกระทำอาชญากรรมทางคอมพิวเตอร์เช่นเดียวกับหน่วยงาน CERT ของอเมริกา
เนื่องจากข้อจำกัดของเนื้อที่ ดังนั้น ในครั้งหน้าเราจะมาพูดกันต่อเรื่องเขตอำนาจศาลและเปรียบเทียบร่างกฎหมายฉบับนี้กับกฎหมาย The Computer Fraud and Abuse Act ของอเมริกา อย่าลืมติดตามนะครับ--จบ--
-อน-