มหันตภัยในโลกยุคใหม่
ทุกวันนี้เรามักจะได้ยินข่าวการก่ออาชญากรรมทางคอมพิวเตอร์ โดยเฉพาะอย่างยิ่งอาชญากรรมทางอินเทอร์เน็ตกันบ่อยครั้งขึ้น เช่น เมื่อไม่นานมานี้ได้มีข่าวที่ส่งผลกระทบต่อความมั่นใจของผู้ใช้บริการธนาคารพาณิชย์แห่งหนึ่ง ซึ่งตามข่าวที่เกิดขึ้นได้มีผู้ไม่หวังดีส่งอีเมลโดยแอบอ้างว่ามาจากธนาคารพาณิชย์แห่งนั้นและส่งออกไปยังผู้รับเพื่อขอให้ผู้รับแก้ไขข้อมูลส่วนตัวโดยมีวัตถุประสงค์เพื่อการคุ้มครองประโยชน์ของลูกค้าเอง หรือจะเป็นกรณีที่คนต่างชาติคนหนึ่งได้ส่งอีเมลไปยังห้างขายส่งสินค้าชื่อดังของประเทศอังกฤษ ที่ประเทศอังกฤษ เนื้อหาใจความในอีเมลมีว่าหากห้างดังกล่าวไม่ทำการโอนเงินมาให้ผู้นั้นตามที่ร้องขอ ผู้นั้นจะทำการปลอมปนสารพิษเข้าไปกับอาหารที่วางจำหน่ายในห้างดังกล่าว ภายหลังการตรวจสอบปรากฎว่าอีเมลนั้นถูกส่งออกไปจากประเทศไทย จากร้านที่ให้บริการอินเทอร์เน็ต ที่ตั้งอยู่บนถนนนานา เป็นต้น
พฤติการณ์เช่นนี้เป็นผลพวงที่สืบเนื่องมาจากความก้าวหน้าทางเทคโนโลยีสารสนเทศที่ได้พัฒนาและเติบโตขึ้นอย่างรวดเร็ว ไม่ว่าจะเป็นเครือข่ายอินเทอร์เน็ตหรืออุปกรณ์คอมพิวเตอร์ ส่งผลให้วัฒนธรรมการใช้ชีวิตของมนุษย์เราเปลี่ยนแปลงไป โดยผู้คนหันมาใช้อินเทอร์เน็ตเพื่ออำนวยความสะดวกในการดำรงชีวิตประจำวันกันมากขึ้น ซึ่งในแง่หนึ่งก็ส่งผลดีและให้คุณประโยชน์หลายประการแก่ผู้ใช้ แต่ในความสะดวกสบายนั้นก็มีภัยอันตรายแฝงมาด้วยเช่นกัน ซึ่งหากจะพูดว่าอินเทอร์เน็ตเปรียบเสมือนการย่อโลกหรือเป็นโลกไร้พรมแดนก็ไม่เป็นการพูดที่เกินความจริง เพราะไม่ว่าเราจะอยู่ที่ใดในโลกเพียงสามารถเชื่อมต่อเครือข่ายอินเทอร์เน็ตได้ เราก็สามารถติดต่อสื่อสารกับผู้คนอีกฟากหนึ่งของโลกได้ นอกจากนี้ยังสามารถใช้อินเทอร์เน็ตเป็นทางผ่านเพื่ออำนวยความสะดวกขั้นพื้นฐาน เช่น การค้นหาข้อมูล การอ่านหนังสือพิมพ์ การดูหนังฟังเพลง การซื้อขายของ การพูดคุยแลกเปลี่ยนความเห็น หรือแม้กระทั่งการทำธุรกรรมทางการเงิน ราวกับว่าเป็นสังคมอีกสังคมหนึ่งเลยทีเดียวก็ว่าได้ ซึ่งปัจจุบันได้พัฒนาไปถึงขั้นที่ผู้คนสามารถเชื่อมต่อเครือข่ายอินเทอร์เน็ตได้จากโทรศัพท์มือถือ เมื่อปริมาณการใช้งานผ่านเครือข่ายอินเทอร์เน็ตมีรูปแบบหลากหลายและมีปริมาณมากขึ้นเช่นนี้ อีกทางหนึ่งก็เป็นการสร้างโอกาสให้คนอีกกลุ่มหนึ่งอาศัยเป็นช่องทางในการกระทำความผิดอันก่อให้เกิดความเสียหายแก่ผู้อื่น ซึ่งความผิดที่กระทำผ่านเครือข่ายอินเทอร์เน็ตเหล่านี้ถือได้ว่าเป็นอาชญากรรมทางอิเล็กทรอนิกส์ หรือ “E-crime”
จึงเห็นได้ว่าเพราะความเจริญก้าวหน้าทางเทคโนโลยีนี้เอง ทำให้อาชญากรรมทางอิเล็กทรอนิกส์สามารถเกิดขึ้นได้ ณ เวลาและสถานที่ใดๆในโลกก็ได้โดยอาจเป็นการกระทำความผิดจากระยะไกลซึ่งผู้กระทำไม่ต้องอยู่ในสถานที่เกิดเหตุเหมือนอาชญากรรมรูปแบบเดิม หรืออาจเป็นการกระทำความผิดข้ามประเทศก็ได้ เช่น ผู้กระทำความผิดอยู่ในประเทศไทย และได้ใช้โปรแกรมคอมพิวเตอร์สั่งทำลายระบบคอมพิวเตอร์ที่อยู่ในประเทศอื่น
อาชญากรรมทางอิเล็กทรอนิกส์
อาชญากรรมทางอิเล็กทรอนิกส์หรือ E-crime นั้นเกิดขึ้นมาในเวลาที่ไล่เลี่ยกับ e-mail, e-commerce1 , e-zines2 , e-tailer3 และ e-government4 อาชญากรรมทางอิเล็กทรอนิกส์หรือ E-crime หมายถึง การกระทำความผิดโดยมีคอมพิวเตอร์เป็นวัตถุแห่งการกระทำความผิด เป็นเครื่องมือที่ใช้ในการกระทำความผิด หรือเมื่อมีการกระทำความผิดและมีการนำคอมพิวเตอร์เข้าไปเป็นส่วนประกอบที่เกี่ยวข้องกับการกระทำความผิดไม่ว่าจะเป็นการเกี่ยวข้องในลักษณะใดก็ตาม และไม่จำกัดอยู่เฉพาะทางอินเทอร์เน็ตเท่านั้นแต่ยังรวมถึง การใช้อุปกรณ์อิเล็กทรอนิกส์อื่นๆในการกระทำความผิดซึ่งรวมถึงโทรศัพท์มือถือด้วย
E-crime นั้นเกิดขึ้นได้หลากหลายรูปแบบ เช่น การขโมยข้อมูลจากคอมพิวเตอร์ (Hacking into other computer systems), การก่อให้เกิดความเสียหายทางคอมพิวเตอร์ (Launching a denial of service attack-DOS or distributing viruses which bringing down computer systems) เช่น การส่งไวรัสเข้าไปทำลายระบบคอมพิวเตอร์ของผู้อื่น, การกระทำใดๆทางอินเทอร์เน็ตที่ก่อให้เกิดความหวาดกลัว (Cyber Stalking), การฉ้อโกงทางคอมพิวเตอร์ (Phishing) เป็นการกระทำในรูปแบบของการส่ง e-mail ออกไปเพื่อหลอกลวงผู้อื่นให้หลงเชื่อว่าเป็น อีเมล จากหน่วยงานหรือองค์กรซึ่งเชื่อถือได้ เพื่อขอข้อมูลส่วนตัวของผู้นั้น รูปแบบนี้จะเป็นกระทำในลักษณะส่ง อีเมล ออกไปในปริมาณที่มากเช่น spam เพื่อหวังให้มีผู้เคราะห์ร้ายหลงเชื่อและมีความเป็นไปได้สูงถึงขนาดที่ว่าในอินเทอร์เน็ตจะมีผู้ที่ได้รับ Phishing e-mail 1 ล้านคน จาก ต้นฉบับเพียง 1 ฉบับเท่านั้น และอีกอันหนึ่งคือ การโจรกรรมหลักฐานการยืนยันตัวตนของบุคคลอื่น (Identity Theft) ซึ่งกำลังเป็นภัยใกล้ตัวที่มีแนวโน้มจะทวีความรุนแรงขึ้นเรื่อยๆในประเทศไทย และเมื่อไม่นานมานี้ประเทศไทยได้ตรากฎหมายใหม่ออกมาเพื่อลงโทษผู้ที่กระทำความผิดในลักษณะนี้ ดังจะกล่าวถึงรายละเอียดของกฎหมายที่ว่านี้ต่อไป
อาชญากรรมทางอิเล็กทรอนิกส์ในปัจจุบันส่วนใหญ่กระทำไปเพื่อผลประโยชน์ทางตัวเงินเป็นหลัก ไม่ว่าจะเป็นการโจรกรรมเลขประจำตัว ข้อมูลประจำตัวและใช้ข้อมูลเหล่านั้นเพื่อให้ได้มาซึ่งผลประโยชน์และส่งผลร้ายแก่เจ้าของข้อมูลที่แท้จริง อาจจะเป็นการปลอมแปลงบัตรเครดิต การใช้ข้อมูลและบัตรเครดิตสั่งซื้อของผ่านทางอินเตอร์เน็ต หรือการล่อหลอกให้ผู้อื่นส่งข้อมูลส่วนตัวมาให้ การล่อหลอกนี้จะกระทำโดยการส่งอีเมลไปเพื่อให้ผู้รับเข้าใจว่าเป็นอีเมลจากหน่วยงานหรือองค์กรหนึ่งองค์กรใดที่น่าเชื่อถือในสังคม โดยส่วนใหญ่แล้วจะอ้างว่าเป็นธนาคารพาณิชย์ หรือสถาบันทางการเงิน
ตัวอย่าง Phishing e-mail จากผู้ไม่หวังดีที่แอบอ้างว่าเป็นอีเมลจากธนาคารพาณิชย์ เพื่อล่อหลอกให้ผู้ได้รับอีเมลหลงเชื่อแล้วส่งข้อมูลส่วนตัวกลับไปให้
จากข้อความข้างบน จะเห็นได้ว่ามีการพยายามสร้างความน่าเชื่อถือ โดยพิจารณาจากรูปลักษณ์แล้วได้ประการหนึ่ง กับข้อความที่ปรากฎซึ่งพอสรุปใจความสำคัญได้ว่า ขณะนี้ทางธนาคารพบความผิดปกติเกี่ยวกับข้อมูลส่วนตัวของท่าน ส่งผลให้ประสบปัญหาในการจัดส่งเอกสารของทางธนาคาร ปัญหาที่เกิดขึ้นอาจเป็นผลสืบเนื่องมาจากการที่ท่านได้ทำการเปลี่ยนแปลงข้อมูลส่วนตัวของท่านเอง การกรอกข้อมูลที่ไม่ถูกต้องขณะเข้าทำธุรกรรมผ่านทางเว็บไซด์ของทางธนาคาร หรือจากปัญหาความคลาดเคลื่อนของข้อมูลที่เกิดจากการเชื่อมต่ออินเตอร์เน็ตล้มเหลวขณะทำธุรกรรม ในการนี้จึงขอความร่วมมือในการตรวจสอบแก้ไขข้อมูลของท่านให้ถูกต้อง ครบถ้วน และหากผู้รับอีเมลหลงเชื่อดำเนินการตามนั้น ก็เป็นการเปิดโอกาสให้ผู้ไม่หวังดีนำข้อมูลนั้นไปใช้เพื่อก่อให้เกิดความเสียหาย จึงควรที่เราจะต้องศึกษาและหาวิธีป้องกันตนเองให้พ้นจากภัยทางอิเล็กทรอนิกส์ ดังกล่าว
การโจรกรรมหลักฐานการยืนยันตัวตนของบุคคลอื่น (Identity Theft)
Identity Theft ถือเป็นการกระทำความผิดทางอาญาประเภทหนึ่ง ที่เกิดจากการที่ผู้กระทำผิด กระทำการโดยมิชอบเพื่อให้ได้มาหรือใช้ข้อมูลส่วนตัวของบุคคลอื่นโดยฉ้อฉล เพื่อที่จะให้ได้มาซึ่งผลประโยชน์ทางการเงิน สิ่งของหรือบริการต่างๆ ทั้งนี้ ข้อมูลส่วนตัวของบุคคลอื่นที่นำไปใช้โดยฉ้อฉลและปราศจากการได้รับอนุญาตนี้ อาจเป็นการนำเอารายละเอียดของ ชื่อ นามสกุล วันเดือนปีเกิด หมายเลขบัตรประจำคัวประชาชน หมายเลขบัตรเครดิต หรือรายละเอียดเกี่ยวกับเลขบัญชีในธนาคาร อย่างไรก็ดีข้อมูลเหล่านี้อาจไม่ได้นำไปใช้เพื่อผลประโยชน์ทางการเงิน สิ่งของหรือบริการต่างๆโดยตรง แต่อาจนำไปใช้เพื่อให้ได้มาซึ่งเอกสารที่ทางราชการออกให้เพื่อนำเอกสารเหล่านี้ไปใช้โดยฉ้อฉลต่อไป เช่น การนำข้อมูลเหล่านั้นไปขอบัตรประชาชน ใบอนุญาตขับรถ หรือแม้กระทั่งการทำหนังสือเดินทางและขอ วีซ่า ออกไปยังประเทศอื่นๆ
Identity Theft อาจกระทำได้หลายวิธี เช่น ในกรณีลักทรัพย์ธรรมดาที่มีการขโมยเอาหลักฐานนั้นไปและนำไปใช้ต่อ ไม่ว่าจะเป็นการขโมยในรูปแบบปกติหรือการขโมยจดหมายที่ส่งมาทางไปรษณีย์ หรือกรณีที่มีการเก็บเอาเอกสารสำคัญ เช่นเอกสารทางการเงินที่มีเลขบัญชีหรือเลขบัตรเครดิต สำเนาทะเบียนบ้าน หรือสำเนาบัตรประชาชน จากการทิ้งขยะโดยที่ไม่มีการทำลายเอกสารนั้น หรือ การโทรศัพท์ไปหาเจ้าของข้อมูลและทำให้หลงเชื่อว่าผู้กระทำผิดโทรมาจากหน่วยงานของรัฐหรือจากธนาคารที่ผู้กระทำผิดมีบัญชีอยู่ ทำให้เจ้าของข้อมูลบอกรายละเอียดข้อมูลที่ไม่ควรเปิดเผยให้แก่บุคคลอื่นได้ทราบ หรือในปัจจุบันที่เริ่มมีการกระทำธุรกรรมผ่านระบบคอมพิวเตอร์ และมีบุคคลบางกลุ่มที่มีความเชี่ยวชาญทางด้านคอมพิวเตอร์ Hack เข้าไปในระบบและเข้าไปเอาข้อมูลส่วนตัวในระบบคอมพิวเตอร์และอินเทอร์เน็ตของบุคคลอื่นโดยไม่มีอำนาจ เนื่องจากเทคโนโลยีมีการพัฒนาเร็วขึ้นและมีการทำธุรกรรมทางอินเทอร์เน็ตเกิดขึ้นมากมาย ไม่ว่าจะเป็นการใช้ผ่าน Online banking หรือการซื้อขายของผ่านอินเทอร์เน็ตโดยการใส่ข้อมูลบัตรเครดิตและรายละเอียดส่วนตัวลงไปในการซื้อขาย ซึ่งบุคคลที่เข้าไปเอาข้อมูลนี้ไม่มีอำนาจในการที่จะเข้าไปในข้อมูลเหล่านั้น หรือหากมีอำนาจที่จะเข้าไปในข้อมูลเหล่านั้นก็จะนำข้อมูลนั้นไปใช้โดยไม่ได้รับอนุญาตจากเจ้าของไม่ได้ หรืออาจเป็นการที่เจ้าของข้อมูลให้ข้อมูลของตนเองโดยการชักนำจาก อีเมล์ ประเภท Spam ที่สัญญาจะให้สิ่งตอบแทน หากมีการส่งข้อมูลตอบกลับไปยืนยันว่าตนเป็นบุคคลที่ได้รับอีเมล์และควรได้รับสิ่งตอบแทนนั้น โดยคิดว่ามาจากหน่วยงานที่เชื่อถือได้ และไม่ทราบว่าเป็นการส่ง อีเมลมาถามข้อมูลจากผู้กระทำผิด
กฎหมายใหม่ในประเทศไทย
การคุ้มครองการกระทำที่เกี่ยวกับ Identity Theft ผ่านระบบคอมพิวเตอร์ในประเทศไทยในปัจจุบันนั้นได้มีการบัญญัติไว้ในพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.25505 ที่ได้กำหนดให้การเข้าถึงระบบ คอมพิวเตอร์และข้อมูลของบุคคลอื่นโดยมิชอบ เป็นการกระทำความผิด และมีโทษปรับและจำคุก เนื่องจากถือว่าการกระทำดังกล่าวเป็นการกระทำที่กระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ โดยเป็นการกระทำความผิดที่กระทบต่อการรักษาความลับ (Confidentiality) ความครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของระบบคอมพิวเตอร์6 จึงควรได้รับความคุ้มครอง โดยได้บัญญัติถึงฐานความผิดที่เกี่ยวข้องกับการเข้าไปเอาซึ่งข้อมูลของบุคคลอื่นผ่านระบบคอมพิวเตอร์ 4 มาตรา ดังนี้
1. การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ
มาตรา 5 “ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งหมื่นบาท หรือทั้งจำทั้งปรับ”
มาตรานี้กำหนดให้บุคคลที่เข้าถึงข้อมูลของบุคคลอื่นผ่านระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตนโดยมิชอบ ต้องรับผิด ซึ่งระบบคอมพิวเตอร์ หมายความถึง อุปกรณ์หรือชุดอุปกรณ์ของคอมพิวเตอร์ที่เชื่อมการทำงานเข้าด้วยกัน โดยได้มีการกำหนดคำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใดและแนวทางปฏิบัติงานให้อุปกรณ์ หรือชุดอุปกรณ์ทำหน้าที่ประมวลผลข้อมูลโดยอัตโนมัติ7
การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ อาจเกิดได้หลายกรณี เช่นกรณีที่มีการกำหนดรหัสผ่านเพื่อป้องกันมิให้บุคคลอื่นใช้เครื่องคอมพิวเตอร์ และผู้กระทำผิดได้รหัสผ่านนั้นมาไม่ว่าด้วยวิธีการใดก็ตาม และนำรหัสนั้นไปใช้เอาข้อมูลของบุคคลอื่น หรือกรณีการใช้โปรแกรมคอมพิวเตอร์ประเภทสปายแวร์ (Spyware) ไม่ว่าจะผ่านไปทางอินเทอร์เน็ต (Internet) ระบบ LAN (Local Area Network) หรือการติดต่อสื่อสารแบบไร้สาย (Wireless Communication) และเข้าไปขโมยข้อมูลรหัสผ่านส่วนบุคคลของผู้อื่น เพื่อใช้บุกรุกเข้าไปในระบบคอมพิวเตอร์ของผู้นั้น ผ่านช่องโหว่ของระบบดังกล่าว โดยไม่ได้รับอนุญาตซึ่งการเข้าถึงข้อมูลเหล่านี้ไม่จำเป็นว่าจะต้องเป็นการเข้าถึงข้อมูลทั้งหมดในระบบคอมพิวเตอร์นั้น เพียงบางส่วนก็เพียงพอแล้ว ทั้งนี้การเข้าไปในระบบคอมพิวเตอร์นี้ ต้องเป็นการเข้าไปโดยไม่มีอำนาจ หากเป็นกรณีเข้าไปโดยมีอำนาจ เช่น webmaster เข้าไปดูแลระบบภายใต้อำนาจที่ตนมีอยู่ก็ไม่ถือว่ามีการกระทำผิดตามมาตรานี้ แต่หากเข้าไปดูแลในส่วนที่อยู่นอกขอบเขตอำนาจของตน ก็ย่อมต้องรับผิดตามมาตรานี้
2. การเข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ
มาตรา 7 “ผู้ใดเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินสองปี หรือปรับไม่เกินสี่หมื่นบาท หรือทั้งจำทั้งปรับ”
การเข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ เป็นการกระทำใดๆในมาตราที่กล่าวไว้ข้างต้น เพื่อให้เข้าถึงข้อมูล ข้อความ คำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใด บรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้ และให้หมายความรวมถึงข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ด้วย8 ทั้งนี้เป็นการเข้าถึงข้อมูลที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ไม่ว่าการเข้าถึงนั้นจะกระทำโดยวิธีใดๆก็ตาม ดังที่อธิบายไว้ในมาตรา 5 ข้างต้นโดยไม่ได้รับอนุญาต บุคคลผู้กระทำการฝ่าฝืนตามพระราชบัญญัตินี้ต้องรับผิด
3. การดักรับข้อมูลคอมพิวเตอร์โดยมิชอบ
มาตรา 8 “ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์ เพื่อดักรับไว้ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้ ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ”
มาตรานี้ใช้บังคับในกรณีที่บุคคลใดบุคคลหนึ่งใช้วิธีการทางอิเล็กทรอนิกส์ ในการดักรับเอาข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ โดยมิชอบ ซึ่งอาจเกิดได้จากการใช้อุปกรณ์ในการบันทึกข้อมูลที่เชื่อมต่อกับเทคโนโลยีอินเทอร์เน็ต หรือการใช้ผ่านระบบ LAN หรือ Dial Up หรือการใช้ผ่านเทคโนโลยีระบบไร้สาย ประเภท Wireless LAN หรือ GPRS เป็นต้น ตัวอย่างของการดักรับไว้ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ในระหว่างการส่ง เช่นการที่ผู้กระทำผิดใช้ สนิฟเฟอร์ (sniffer) แอบดักเอา packet ซึ่งเป็นชุดของข้อมูลที่เล็กที่สุดที่อยู่ระหว่างการส่งไปให้ผู้รับ9
โดยเมื่อพิจารณาต่อไปถึงชนิดของข้อมูลคอมพิวเตอร์ที่จะได้รับความคุ้มครอง ต้องเป็นข้อมูลคอมพิวเตอร์ที่มิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้ ดังนั้นข้อเท็จจริงจึงควรเป็นว่าข้อมูลคอมพิวเตอร์นี้ควรเป็นข้อมูลที่ประสงค์จะส่งให้รับรู้เฉพาะบุคคลที่ต้องการเท่านั้นโดยไม่จำเพาะเจาะจงว่าต้องเป็นข้อมูลลับหรือไม่ และต้องไม่ได้เป็นข้อมูลที่ต้องการให้บุคคลอื่นหรือประชาชนทั่วไปล่วงรู้หรือนำข้อมูลนั้นไปใช้ประโยชน์ โดยไม่ได้รับอนุญาตจากทั้งผู้ส่งและผู้รับ เนื่องจากมาตรา 8 มีวัตถุประสงค์เพื่อให้ความคุ้มครองสิทธิความเป็นส่วนตัวแก่ผู้ใช้ระบบคอมพิวเตอร์ ไม่ให้บุคคลอื่นเข้ามาล่วงรู้ถึงข้อมูลตนโดยมิชอบ
4. ความผิดอื่นและความผิดเกี่ยวกับผู้ให้บริการระบบคอมพิวเตอร์
มาตรา 14 “ผู้ใดกระทำความผิดที่ระบุไว้ดังต่อไปนี้ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
(1) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน
.....
(5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์โดยรู้อยู่แล้วว่าเป็นข้อมูลคอมพิวเตอร์ ตาม (1) (2) (3) หรือ (4)”
มาตรา 15 “ผู้ให้บริการผู้ใดจงใจสนับสนุนหรือยินยอมให้มีการกระทำความผิดตามมาตรา 14 ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษเช่นเดียวกับผู้กระทำความผิดตามมาตรา 14”
เมื่อพิจารณาจากมาตรา 14 ดังกล่าวข้างต้น จะถือเป็นความผิดตามมาตรานี้ก็ต่อเมื่อผู้กระทำผิดได้นำเอา ข้อมูลคอมพิวเตอร์ปลอมที่เป็นข้อมูลที่ผู้กระทำผิดมีเจตนาพิเศษให้ผู้อื่นหลงเข้าใจว่าเป็นข้อมูลที่แท้จริง ไม่ว่าจะเป็นการต่อเติม ตัดทอน แก้ไขข้อความทั้งหมดหรือบางส่วน10 หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ ที่ทำให้เข้าใจว่าข้อมูลเหล่านั้นเป็นความจริง เข้าสู่ระบบคอมพิวเตอร์ ทั้งนี้การกระทำที่อ้างถึงข้างต้น ต้องเป็นการกระทำที่น่าจะก่อให้เกิดความเสียหายแก่บุคคลอื่นหรือประชาชนทั่วไปด้วย เช่นผู้กระทำผิดส่งข้อมูลเข้าไปในคอมพิวเตอร์ ผ่านอีเมล์ว่าธนาคารมีปัญหาในเรื่องข้อมูลส่วนตัวของบุคคลหนึ่งว่าไม่ตรงกับฐานข้อมูลที่ธนาคารมี ให้ผู้ได้รับข้อมูลนั้นยืนยันข้อมูลส่งกลับไปทางอีเมล์เช่นนี้ หากผู้ได้รับข้อมูลหลงเชื่อและเกิดความเสียหายจากการนี้ ผู้ส่งอีเมล์ก็ต้องรับผิดตามมาตรานี้ และหากมีผู้ใดการเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์ที่รู้อยู่แล้วว่าผิดตามมาตรา 14(1) นี้ก็ต้องรับผิดด้วย
พระราชบัญญัตินี้ยังได้กำหนดให้ “ผู้ให้บริการ” ต้องร่วมรับผิด ซึ่งจะเป็นผู้ให้บริการก็ต่อเมื่อ ผู้นั้นให้บริการแก่บุคคลอื่น ในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือในนามหรือเพื่อประโยชน์ของบุคคลอื่น หรือ เป็นผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น และต้องเป็นการจงใจสนับสนุนหรือยินยอมโดยรู้ว่ามีการกระทำดังกล่าวข้างต้นและยังปล่อยให้มีการกระทำนั้นเกิดขึ้นในระบบคอมพิวเตอร์ที่ตนเองควบคุมอยู่
ปัญหาในปัจจุบันและทิศทางในอนาคต
ปัจจุบันปัญหาเรื่อง Identity Theft ในประเทศไทยยังอาจพบเห็นได้ไม่มากนัก แต่ในอนาคตอาจจะมีการนำคดีที่เกี่ยวข้องมาขึ้นสู่ศาลเพิ่มมากขึ้น เนื่องจากระบบคอมพิวเตอร์ และการส่งรับข้อมูลไม่ว่าโดยระบบผ่านสาย หรือไร้สายได้เข้ามามีบทบาทในชีวิตประจำวันของคนทั่วไปมากขึ้น อีกทั้งระบบการสื่อสารปัจจุบันก็สามารถต่ออินเทอร์เน็ต ส่งข้อมูลผ่านโทรศัพท์มือถือ ซึ่งข้อมูลเหล่านี้อาจมีทั้งข้อมูลส่วนตัว และที่ไม่ใช่ข้อมูลส่วนตัว อีกทั้งผู้ส่งและผู้รับคงไม่ได้มีความประสงค์ที่จะให้บุคคลอื่นได้รับรู้ถึงข้อมูลที่ตนส่งและรับนั้นเสมอไป โดยเฉพาะข้อมูลส่วนตัวที่หากผู้กระทำผิดได้ไป อาจนำไปก่อให้เกิดความเสียหายทั้งชื่อเสียงและทรัพย์สิน การที่มีพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ถึงแม้จะไม่ได้มีการบัญญัติชัดแจ้งถึงการคุ้มครองที่เกี่ยวข้องกับ Identity Theft โดยตรง แต่ก็สามารถถือได้ว่าเป็นการให้ความคุ้มครองเบื้องต้น และต่อไปอาจมีการพิจารณาแก้ไขเพิ่มเติมในเรื่อง Identity Theft ให้มีการคุ้มครองความเป็นส่วนตัวของบุคคลมากขึ้น และลงโทษผู้กระทำความผิดได้อย่างทันท่วงที เนื่องจากการพัฒนาทางเทคโนโลยีในปัจจุบันและอนาคตเติบโตอย่างรวดเร็ว ในขณะเดียวกันอาชญากรทางคอมพิวเตอร์ก็มีการพัฒนาเคียงคู่ไปกับเทคโนโลยีเหล่านั้น กฎหมายจึงมีการต้องปรับปรุงอย่างรวดเร็วให้สอดคล้องกับสภาวะแวดล้อม และในขณะเดียวกันก็ต้องให้ “ทัน” กับอาชญากรทางคอมพิวเตอร์ด้วย
สราวุธ เบญจกุล
รองเลขาธิการสำนักงานศาลยุติธรรม
โฆษกสำนักงานศาลยุติธรรม
..........................................
ทุกวันนี้เรามักจะได้ยินข่าวการก่ออาชญากรรมทางคอมพิวเตอร์ โดยเฉพาะอย่างยิ่งอาชญากรรมทางอินเทอร์เน็ตกันบ่อยครั้งขึ้น เช่น เมื่อไม่นานมานี้ได้มีข่าวที่ส่งผลกระทบต่อความมั่นใจของผู้ใช้บริการธนาคารพาณิชย์แห่งหนึ่ง ซึ่งตามข่าวที่เกิดขึ้นได้มีผู้ไม่หวังดีส่งอีเมลโดยแอบอ้างว่ามาจากธนาคารพาณิชย์แห่งนั้นและส่งออกไปยังผู้รับเพื่อขอให้ผู้รับแก้ไขข้อมูลส่วนตัวโดยมีวัตถุประสงค์เพื่อการคุ้มครองประโยชน์ของลูกค้าเอง หรือจะเป็นกรณีที่คนต่างชาติคนหนึ่งได้ส่งอีเมลไปยังห้างขายส่งสินค้าชื่อดังของประเทศอังกฤษ ที่ประเทศอังกฤษ เนื้อหาใจความในอีเมลมีว่าหากห้างดังกล่าวไม่ทำการโอนเงินมาให้ผู้นั้นตามที่ร้องขอ ผู้นั้นจะทำการปลอมปนสารพิษเข้าไปกับอาหารที่วางจำหน่ายในห้างดังกล่าว ภายหลังการตรวจสอบปรากฎว่าอีเมลนั้นถูกส่งออกไปจากประเทศไทย จากร้านที่ให้บริการอินเทอร์เน็ต ที่ตั้งอยู่บนถนนนานา เป็นต้น
พฤติการณ์เช่นนี้เป็นผลพวงที่สืบเนื่องมาจากความก้าวหน้าทางเทคโนโลยีสารสนเทศที่ได้พัฒนาและเติบโตขึ้นอย่างรวดเร็ว ไม่ว่าจะเป็นเครือข่ายอินเทอร์เน็ตหรืออุปกรณ์คอมพิวเตอร์ ส่งผลให้วัฒนธรรมการใช้ชีวิตของมนุษย์เราเปลี่ยนแปลงไป โดยผู้คนหันมาใช้อินเทอร์เน็ตเพื่ออำนวยความสะดวกในการดำรงชีวิตประจำวันกันมากขึ้น ซึ่งในแง่หนึ่งก็ส่งผลดีและให้คุณประโยชน์หลายประการแก่ผู้ใช้ แต่ในความสะดวกสบายนั้นก็มีภัยอันตรายแฝงมาด้วยเช่นกัน ซึ่งหากจะพูดว่าอินเทอร์เน็ตเปรียบเสมือนการย่อโลกหรือเป็นโลกไร้พรมแดนก็ไม่เป็นการพูดที่เกินความจริง เพราะไม่ว่าเราจะอยู่ที่ใดในโลกเพียงสามารถเชื่อมต่อเครือข่ายอินเทอร์เน็ตได้ เราก็สามารถติดต่อสื่อสารกับผู้คนอีกฟากหนึ่งของโลกได้ นอกจากนี้ยังสามารถใช้อินเทอร์เน็ตเป็นทางผ่านเพื่ออำนวยความสะดวกขั้นพื้นฐาน เช่น การค้นหาข้อมูล การอ่านหนังสือพิมพ์ การดูหนังฟังเพลง การซื้อขายของ การพูดคุยแลกเปลี่ยนความเห็น หรือแม้กระทั่งการทำธุรกรรมทางการเงิน ราวกับว่าเป็นสังคมอีกสังคมหนึ่งเลยทีเดียวก็ว่าได้ ซึ่งปัจจุบันได้พัฒนาไปถึงขั้นที่ผู้คนสามารถเชื่อมต่อเครือข่ายอินเทอร์เน็ตได้จากโทรศัพท์มือถือ เมื่อปริมาณการใช้งานผ่านเครือข่ายอินเทอร์เน็ตมีรูปแบบหลากหลายและมีปริมาณมากขึ้นเช่นนี้ อีกทางหนึ่งก็เป็นการสร้างโอกาสให้คนอีกกลุ่มหนึ่งอาศัยเป็นช่องทางในการกระทำความผิดอันก่อให้เกิดความเสียหายแก่ผู้อื่น ซึ่งความผิดที่กระทำผ่านเครือข่ายอินเทอร์เน็ตเหล่านี้ถือได้ว่าเป็นอาชญากรรมทางอิเล็กทรอนิกส์ หรือ “E-crime”
จึงเห็นได้ว่าเพราะความเจริญก้าวหน้าทางเทคโนโลยีนี้เอง ทำให้อาชญากรรมทางอิเล็กทรอนิกส์สามารถเกิดขึ้นได้ ณ เวลาและสถานที่ใดๆในโลกก็ได้โดยอาจเป็นการกระทำความผิดจากระยะไกลซึ่งผู้กระทำไม่ต้องอยู่ในสถานที่เกิดเหตุเหมือนอาชญากรรมรูปแบบเดิม หรืออาจเป็นการกระทำความผิดข้ามประเทศก็ได้ เช่น ผู้กระทำความผิดอยู่ในประเทศไทย และได้ใช้โปรแกรมคอมพิวเตอร์สั่งทำลายระบบคอมพิวเตอร์ที่อยู่ในประเทศอื่น
อาชญากรรมทางอิเล็กทรอนิกส์
อาชญากรรมทางอิเล็กทรอนิกส์หรือ E-crime นั้นเกิดขึ้นมาในเวลาที่ไล่เลี่ยกับ e-mail, e-commerce1 , e-zines2 , e-tailer3 และ e-government4 อาชญากรรมทางอิเล็กทรอนิกส์หรือ E-crime หมายถึง การกระทำความผิดโดยมีคอมพิวเตอร์เป็นวัตถุแห่งการกระทำความผิด เป็นเครื่องมือที่ใช้ในการกระทำความผิด หรือเมื่อมีการกระทำความผิดและมีการนำคอมพิวเตอร์เข้าไปเป็นส่วนประกอบที่เกี่ยวข้องกับการกระทำความผิดไม่ว่าจะเป็นการเกี่ยวข้องในลักษณะใดก็ตาม และไม่จำกัดอยู่เฉพาะทางอินเทอร์เน็ตเท่านั้นแต่ยังรวมถึง การใช้อุปกรณ์อิเล็กทรอนิกส์อื่นๆในการกระทำความผิดซึ่งรวมถึงโทรศัพท์มือถือด้วย
E-crime นั้นเกิดขึ้นได้หลากหลายรูปแบบ เช่น การขโมยข้อมูลจากคอมพิวเตอร์ (Hacking into other computer systems), การก่อให้เกิดความเสียหายทางคอมพิวเตอร์ (Launching a denial of service attack-DOS or distributing viruses which bringing down computer systems) เช่น การส่งไวรัสเข้าไปทำลายระบบคอมพิวเตอร์ของผู้อื่น, การกระทำใดๆทางอินเทอร์เน็ตที่ก่อให้เกิดความหวาดกลัว (Cyber Stalking), การฉ้อโกงทางคอมพิวเตอร์ (Phishing) เป็นการกระทำในรูปแบบของการส่ง e-mail ออกไปเพื่อหลอกลวงผู้อื่นให้หลงเชื่อว่าเป็น อีเมล จากหน่วยงานหรือองค์กรซึ่งเชื่อถือได้ เพื่อขอข้อมูลส่วนตัวของผู้นั้น รูปแบบนี้จะเป็นกระทำในลักษณะส่ง อีเมล ออกไปในปริมาณที่มากเช่น spam เพื่อหวังให้มีผู้เคราะห์ร้ายหลงเชื่อและมีความเป็นไปได้สูงถึงขนาดที่ว่าในอินเทอร์เน็ตจะมีผู้ที่ได้รับ Phishing e-mail 1 ล้านคน จาก ต้นฉบับเพียง 1 ฉบับเท่านั้น และอีกอันหนึ่งคือ การโจรกรรมหลักฐานการยืนยันตัวตนของบุคคลอื่น (Identity Theft) ซึ่งกำลังเป็นภัยใกล้ตัวที่มีแนวโน้มจะทวีความรุนแรงขึ้นเรื่อยๆในประเทศไทย และเมื่อไม่นานมานี้ประเทศไทยได้ตรากฎหมายใหม่ออกมาเพื่อลงโทษผู้ที่กระทำความผิดในลักษณะนี้ ดังจะกล่าวถึงรายละเอียดของกฎหมายที่ว่านี้ต่อไป
อาชญากรรมทางอิเล็กทรอนิกส์ในปัจจุบันส่วนใหญ่กระทำไปเพื่อผลประโยชน์ทางตัวเงินเป็นหลัก ไม่ว่าจะเป็นการโจรกรรมเลขประจำตัว ข้อมูลประจำตัวและใช้ข้อมูลเหล่านั้นเพื่อให้ได้มาซึ่งผลประโยชน์และส่งผลร้ายแก่เจ้าของข้อมูลที่แท้จริง อาจจะเป็นการปลอมแปลงบัตรเครดิต การใช้ข้อมูลและบัตรเครดิตสั่งซื้อของผ่านทางอินเตอร์เน็ต หรือการล่อหลอกให้ผู้อื่นส่งข้อมูลส่วนตัวมาให้ การล่อหลอกนี้จะกระทำโดยการส่งอีเมลไปเพื่อให้ผู้รับเข้าใจว่าเป็นอีเมลจากหน่วยงานหรือองค์กรหนึ่งองค์กรใดที่น่าเชื่อถือในสังคม โดยส่วนใหญ่แล้วจะอ้างว่าเป็นธนาคารพาณิชย์ หรือสถาบันทางการเงิน
ตัวอย่าง Phishing e-mail จากผู้ไม่หวังดีที่แอบอ้างว่าเป็นอีเมลจากธนาคารพาณิชย์ เพื่อล่อหลอกให้ผู้ได้รับอีเมลหลงเชื่อแล้วส่งข้อมูลส่วนตัวกลับไปให้
จากข้อความข้างบน จะเห็นได้ว่ามีการพยายามสร้างความน่าเชื่อถือ โดยพิจารณาจากรูปลักษณ์แล้วได้ประการหนึ่ง กับข้อความที่ปรากฎซึ่งพอสรุปใจความสำคัญได้ว่า ขณะนี้ทางธนาคารพบความผิดปกติเกี่ยวกับข้อมูลส่วนตัวของท่าน ส่งผลให้ประสบปัญหาในการจัดส่งเอกสารของทางธนาคาร ปัญหาที่เกิดขึ้นอาจเป็นผลสืบเนื่องมาจากการที่ท่านได้ทำการเปลี่ยนแปลงข้อมูลส่วนตัวของท่านเอง การกรอกข้อมูลที่ไม่ถูกต้องขณะเข้าทำธุรกรรมผ่านทางเว็บไซด์ของทางธนาคาร หรือจากปัญหาความคลาดเคลื่อนของข้อมูลที่เกิดจากการเชื่อมต่ออินเตอร์เน็ตล้มเหลวขณะทำธุรกรรม ในการนี้จึงขอความร่วมมือในการตรวจสอบแก้ไขข้อมูลของท่านให้ถูกต้อง ครบถ้วน และหากผู้รับอีเมลหลงเชื่อดำเนินการตามนั้น ก็เป็นการเปิดโอกาสให้ผู้ไม่หวังดีนำข้อมูลนั้นไปใช้เพื่อก่อให้เกิดความเสียหาย จึงควรที่เราจะต้องศึกษาและหาวิธีป้องกันตนเองให้พ้นจากภัยทางอิเล็กทรอนิกส์ ดังกล่าว
การโจรกรรมหลักฐานการยืนยันตัวตนของบุคคลอื่น (Identity Theft)
Identity Theft ถือเป็นการกระทำความผิดทางอาญาประเภทหนึ่ง ที่เกิดจากการที่ผู้กระทำผิด กระทำการโดยมิชอบเพื่อให้ได้มาหรือใช้ข้อมูลส่วนตัวของบุคคลอื่นโดยฉ้อฉล เพื่อที่จะให้ได้มาซึ่งผลประโยชน์ทางการเงิน สิ่งของหรือบริการต่างๆ ทั้งนี้ ข้อมูลส่วนตัวของบุคคลอื่นที่นำไปใช้โดยฉ้อฉลและปราศจากการได้รับอนุญาตนี้ อาจเป็นการนำเอารายละเอียดของ ชื่อ นามสกุล วันเดือนปีเกิด หมายเลขบัตรประจำคัวประชาชน หมายเลขบัตรเครดิต หรือรายละเอียดเกี่ยวกับเลขบัญชีในธนาคาร อย่างไรก็ดีข้อมูลเหล่านี้อาจไม่ได้นำไปใช้เพื่อผลประโยชน์ทางการเงิน สิ่งของหรือบริการต่างๆโดยตรง แต่อาจนำไปใช้เพื่อให้ได้มาซึ่งเอกสารที่ทางราชการออกให้เพื่อนำเอกสารเหล่านี้ไปใช้โดยฉ้อฉลต่อไป เช่น การนำข้อมูลเหล่านั้นไปขอบัตรประชาชน ใบอนุญาตขับรถ หรือแม้กระทั่งการทำหนังสือเดินทางและขอ วีซ่า ออกไปยังประเทศอื่นๆ
Identity Theft อาจกระทำได้หลายวิธี เช่น ในกรณีลักทรัพย์ธรรมดาที่มีการขโมยเอาหลักฐานนั้นไปและนำไปใช้ต่อ ไม่ว่าจะเป็นการขโมยในรูปแบบปกติหรือการขโมยจดหมายที่ส่งมาทางไปรษณีย์ หรือกรณีที่มีการเก็บเอาเอกสารสำคัญ เช่นเอกสารทางการเงินที่มีเลขบัญชีหรือเลขบัตรเครดิต สำเนาทะเบียนบ้าน หรือสำเนาบัตรประชาชน จากการทิ้งขยะโดยที่ไม่มีการทำลายเอกสารนั้น หรือ การโทรศัพท์ไปหาเจ้าของข้อมูลและทำให้หลงเชื่อว่าผู้กระทำผิดโทรมาจากหน่วยงานของรัฐหรือจากธนาคารที่ผู้กระทำผิดมีบัญชีอยู่ ทำให้เจ้าของข้อมูลบอกรายละเอียดข้อมูลที่ไม่ควรเปิดเผยให้แก่บุคคลอื่นได้ทราบ หรือในปัจจุบันที่เริ่มมีการกระทำธุรกรรมผ่านระบบคอมพิวเตอร์ และมีบุคคลบางกลุ่มที่มีความเชี่ยวชาญทางด้านคอมพิวเตอร์ Hack เข้าไปในระบบและเข้าไปเอาข้อมูลส่วนตัวในระบบคอมพิวเตอร์และอินเทอร์เน็ตของบุคคลอื่นโดยไม่มีอำนาจ เนื่องจากเทคโนโลยีมีการพัฒนาเร็วขึ้นและมีการทำธุรกรรมทางอินเทอร์เน็ตเกิดขึ้นมากมาย ไม่ว่าจะเป็นการใช้ผ่าน Online banking หรือการซื้อขายของผ่านอินเทอร์เน็ตโดยการใส่ข้อมูลบัตรเครดิตและรายละเอียดส่วนตัวลงไปในการซื้อขาย ซึ่งบุคคลที่เข้าไปเอาข้อมูลนี้ไม่มีอำนาจในการที่จะเข้าไปในข้อมูลเหล่านั้น หรือหากมีอำนาจที่จะเข้าไปในข้อมูลเหล่านั้นก็จะนำข้อมูลนั้นไปใช้โดยไม่ได้รับอนุญาตจากเจ้าของไม่ได้ หรืออาจเป็นการที่เจ้าของข้อมูลให้ข้อมูลของตนเองโดยการชักนำจาก อีเมล์ ประเภท Spam ที่สัญญาจะให้สิ่งตอบแทน หากมีการส่งข้อมูลตอบกลับไปยืนยันว่าตนเป็นบุคคลที่ได้รับอีเมล์และควรได้รับสิ่งตอบแทนนั้น โดยคิดว่ามาจากหน่วยงานที่เชื่อถือได้ และไม่ทราบว่าเป็นการส่ง อีเมลมาถามข้อมูลจากผู้กระทำผิด
กฎหมายใหม่ในประเทศไทย
การคุ้มครองการกระทำที่เกี่ยวกับ Identity Theft ผ่านระบบคอมพิวเตอร์ในประเทศไทยในปัจจุบันนั้นได้มีการบัญญัติไว้ในพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.25505 ที่ได้กำหนดให้การเข้าถึงระบบ คอมพิวเตอร์และข้อมูลของบุคคลอื่นโดยมิชอบ เป็นการกระทำความผิด และมีโทษปรับและจำคุก เนื่องจากถือว่าการกระทำดังกล่าวเป็นการกระทำที่กระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ โดยเป็นการกระทำความผิดที่กระทบต่อการรักษาความลับ (Confidentiality) ความครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของระบบคอมพิวเตอร์6 จึงควรได้รับความคุ้มครอง โดยได้บัญญัติถึงฐานความผิดที่เกี่ยวข้องกับการเข้าไปเอาซึ่งข้อมูลของบุคคลอื่นผ่านระบบคอมพิวเตอร์ 4 มาตรา ดังนี้
1. การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ
มาตรา 5 “ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งหมื่นบาท หรือทั้งจำทั้งปรับ”
มาตรานี้กำหนดให้บุคคลที่เข้าถึงข้อมูลของบุคคลอื่นผ่านระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตนโดยมิชอบ ต้องรับผิด ซึ่งระบบคอมพิวเตอร์ หมายความถึง อุปกรณ์หรือชุดอุปกรณ์ของคอมพิวเตอร์ที่เชื่อมการทำงานเข้าด้วยกัน โดยได้มีการกำหนดคำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใดและแนวทางปฏิบัติงานให้อุปกรณ์ หรือชุดอุปกรณ์ทำหน้าที่ประมวลผลข้อมูลโดยอัตโนมัติ7
การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ อาจเกิดได้หลายกรณี เช่นกรณีที่มีการกำหนดรหัสผ่านเพื่อป้องกันมิให้บุคคลอื่นใช้เครื่องคอมพิวเตอร์ และผู้กระทำผิดได้รหัสผ่านนั้นมาไม่ว่าด้วยวิธีการใดก็ตาม และนำรหัสนั้นไปใช้เอาข้อมูลของบุคคลอื่น หรือกรณีการใช้โปรแกรมคอมพิวเตอร์ประเภทสปายแวร์ (Spyware) ไม่ว่าจะผ่านไปทางอินเทอร์เน็ต (Internet) ระบบ LAN (Local Area Network) หรือการติดต่อสื่อสารแบบไร้สาย (Wireless Communication) และเข้าไปขโมยข้อมูลรหัสผ่านส่วนบุคคลของผู้อื่น เพื่อใช้บุกรุกเข้าไปในระบบคอมพิวเตอร์ของผู้นั้น ผ่านช่องโหว่ของระบบดังกล่าว โดยไม่ได้รับอนุญาตซึ่งการเข้าถึงข้อมูลเหล่านี้ไม่จำเป็นว่าจะต้องเป็นการเข้าถึงข้อมูลทั้งหมดในระบบคอมพิวเตอร์นั้น เพียงบางส่วนก็เพียงพอแล้ว ทั้งนี้การเข้าไปในระบบคอมพิวเตอร์นี้ ต้องเป็นการเข้าไปโดยไม่มีอำนาจ หากเป็นกรณีเข้าไปโดยมีอำนาจ เช่น webmaster เข้าไปดูแลระบบภายใต้อำนาจที่ตนมีอยู่ก็ไม่ถือว่ามีการกระทำผิดตามมาตรานี้ แต่หากเข้าไปดูแลในส่วนที่อยู่นอกขอบเขตอำนาจของตน ก็ย่อมต้องรับผิดตามมาตรานี้
2. การเข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ
มาตรา 7 “ผู้ใดเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินสองปี หรือปรับไม่เกินสี่หมื่นบาท หรือทั้งจำทั้งปรับ”
การเข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ เป็นการกระทำใดๆในมาตราที่กล่าวไว้ข้างต้น เพื่อให้เข้าถึงข้อมูล ข้อความ คำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใด บรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้ และให้หมายความรวมถึงข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ด้วย8 ทั้งนี้เป็นการเข้าถึงข้อมูลที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ไม่ว่าการเข้าถึงนั้นจะกระทำโดยวิธีใดๆก็ตาม ดังที่อธิบายไว้ในมาตรา 5 ข้างต้นโดยไม่ได้รับอนุญาต บุคคลผู้กระทำการฝ่าฝืนตามพระราชบัญญัตินี้ต้องรับผิด
3. การดักรับข้อมูลคอมพิวเตอร์โดยมิชอบ
มาตรา 8 “ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์ เพื่อดักรับไว้ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้ ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ”
มาตรานี้ใช้บังคับในกรณีที่บุคคลใดบุคคลหนึ่งใช้วิธีการทางอิเล็กทรอนิกส์ ในการดักรับเอาข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ โดยมิชอบ ซึ่งอาจเกิดได้จากการใช้อุปกรณ์ในการบันทึกข้อมูลที่เชื่อมต่อกับเทคโนโลยีอินเทอร์เน็ต หรือการใช้ผ่านระบบ LAN หรือ Dial Up หรือการใช้ผ่านเทคโนโลยีระบบไร้สาย ประเภท Wireless LAN หรือ GPRS เป็นต้น ตัวอย่างของการดักรับไว้ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ในระหว่างการส่ง เช่นการที่ผู้กระทำผิดใช้ สนิฟเฟอร์ (sniffer) แอบดักเอา packet ซึ่งเป็นชุดของข้อมูลที่เล็กที่สุดที่อยู่ระหว่างการส่งไปให้ผู้รับ9
โดยเมื่อพิจารณาต่อไปถึงชนิดของข้อมูลคอมพิวเตอร์ที่จะได้รับความคุ้มครอง ต้องเป็นข้อมูลคอมพิวเตอร์ที่มิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้ ดังนั้นข้อเท็จจริงจึงควรเป็นว่าข้อมูลคอมพิวเตอร์นี้ควรเป็นข้อมูลที่ประสงค์จะส่งให้รับรู้เฉพาะบุคคลที่ต้องการเท่านั้นโดยไม่จำเพาะเจาะจงว่าต้องเป็นข้อมูลลับหรือไม่ และต้องไม่ได้เป็นข้อมูลที่ต้องการให้บุคคลอื่นหรือประชาชนทั่วไปล่วงรู้หรือนำข้อมูลนั้นไปใช้ประโยชน์ โดยไม่ได้รับอนุญาตจากทั้งผู้ส่งและผู้รับ เนื่องจากมาตรา 8 มีวัตถุประสงค์เพื่อให้ความคุ้มครองสิทธิความเป็นส่วนตัวแก่ผู้ใช้ระบบคอมพิวเตอร์ ไม่ให้บุคคลอื่นเข้ามาล่วงรู้ถึงข้อมูลตนโดยมิชอบ
4. ความผิดอื่นและความผิดเกี่ยวกับผู้ให้บริการระบบคอมพิวเตอร์
มาตรา 14 “ผู้ใดกระทำความผิดที่ระบุไว้ดังต่อไปนี้ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
(1) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน
.....
(5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์โดยรู้อยู่แล้วว่าเป็นข้อมูลคอมพิวเตอร์ ตาม (1) (2) (3) หรือ (4)”
มาตรา 15 “ผู้ให้บริการผู้ใดจงใจสนับสนุนหรือยินยอมให้มีการกระทำความผิดตามมาตรา 14 ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษเช่นเดียวกับผู้กระทำความผิดตามมาตรา 14”
เมื่อพิจารณาจากมาตรา 14 ดังกล่าวข้างต้น จะถือเป็นความผิดตามมาตรานี้ก็ต่อเมื่อผู้กระทำผิดได้นำเอา ข้อมูลคอมพิวเตอร์ปลอมที่เป็นข้อมูลที่ผู้กระทำผิดมีเจตนาพิเศษให้ผู้อื่นหลงเข้าใจว่าเป็นข้อมูลที่แท้จริง ไม่ว่าจะเป็นการต่อเติม ตัดทอน แก้ไขข้อความทั้งหมดหรือบางส่วน10 หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ ที่ทำให้เข้าใจว่าข้อมูลเหล่านั้นเป็นความจริง เข้าสู่ระบบคอมพิวเตอร์ ทั้งนี้การกระทำที่อ้างถึงข้างต้น ต้องเป็นการกระทำที่น่าจะก่อให้เกิดความเสียหายแก่บุคคลอื่นหรือประชาชนทั่วไปด้วย เช่นผู้กระทำผิดส่งข้อมูลเข้าไปในคอมพิวเตอร์ ผ่านอีเมล์ว่าธนาคารมีปัญหาในเรื่องข้อมูลส่วนตัวของบุคคลหนึ่งว่าไม่ตรงกับฐานข้อมูลที่ธนาคารมี ให้ผู้ได้รับข้อมูลนั้นยืนยันข้อมูลส่งกลับไปทางอีเมล์เช่นนี้ หากผู้ได้รับข้อมูลหลงเชื่อและเกิดความเสียหายจากการนี้ ผู้ส่งอีเมล์ก็ต้องรับผิดตามมาตรานี้ และหากมีผู้ใดการเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์ที่รู้อยู่แล้วว่าผิดตามมาตรา 14(1) นี้ก็ต้องรับผิดด้วย
พระราชบัญญัตินี้ยังได้กำหนดให้ “ผู้ให้บริการ” ต้องร่วมรับผิด ซึ่งจะเป็นผู้ให้บริการก็ต่อเมื่อ ผู้นั้นให้บริการแก่บุคคลอื่น ในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือในนามหรือเพื่อประโยชน์ของบุคคลอื่น หรือ เป็นผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น และต้องเป็นการจงใจสนับสนุนหรือยินยอมโดยรู้ว่ามีการกระทำดังกล่าวข้างต้นและยังปล่อยให้มีการกระทำนั้นเกิดขึ้นในระบบคอมพิวเตอร์ที่ตนเองควบคุมอยู่
ปัญหาในปัจจุบันและทิศทางในอนาคต
ปัจจุบันปัญหาเรื่อง Identity Theft ในประเทศไทยยังอาจพบเห็นได้ไม่มากนัก แต่ในอนาคตอาจจะมีการนำคดีที่เกี่ยวข้องมาขึ้นสู่ศาลเพิ่มมากขึ้น เนื่องจากระบบคอมพิวเตอร์ และการส่งรับข้อมูลไม่ว่าโดยระบบผ่านสาย หรือไร้สายได้เข้ามามีบทบาทในชีวิตประจำวันของคนทั่วไปมากขึ้น อีกทั้งระบบการสื่อสารปัจจุบันก็สามารถต่ออินเทอร์เน็ต ส่งข้อมูลผ่านโทรศัพท์มือถือ ซึ่งข้อมูลเหล่านี้อาจมีทั้งข้อมูลส่วนตัว และที่ไม่ใช่ข้อมูลส่วนตัว อีกทั้งผู้ส่งและผู้รับคงไม่ได้มีความประสงค์ที่จะให้บุคคลอื่นได้รับรู้ถึงข้อมูลที่ตนส่งและรับนั้นเสมอไป โดยเฉพาะข้อมูลส่วนตัวที่หากผู้กระทำผิดได้ไป อาจนำไปก่อให้เกิดความเสียหายทั้งชื่อเสียงและทรัพย์สิน การที่มีพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ถึงแม้จะไม่ได้มีการบัญญัติชัดแจ้งถึงการคุ้มครองที่เกี่ยวข้องกับ Identity Theft โดยตรง แต่ก็สามารถถือได้ว่าเป็นการให้ความคุ้มครองเบื้องต้น และต่อไปอาจมีการพิจารณาแก้ไขเพิ่มเติมในเรื่อง Identity Theft ให้มีการคุ้มครองความเป็นส่วนตัวของบุคคลมากขึ้น และลงโทษผู้กระทำความผิดได้อย่างทันท่วงที เนื่องจากการพัฒนาทางเทคโนโลยีในปัจจุบันและอนาคตเติบโตอย่างรวดเร็ว ในขณะเดียวกันอาชญากรทางคอมพิวเตอร์ก็มีการพัฒนาเคียงคู่ไปกับเทคโนโลยีเหล่านั้น กฎหมายจึงมีการต้องปรับปรุงอย่างรวดเร็วให้สอดคล้องกับสภาวะแวดล้อม และในขณะเดียวกันก็ต้องให้ “ทัน” กับอาชญากรทางคอมพิวเตอร์ด้วย
สราวุธ เบญจกุล
รองเลขาธิการสำนักงานศาลยุติธรรม
โฆษกสำนักงานศาลยุติธรรม
..........................................
1 การทำธุรกรรมต่างๆบนอินเทอร์เน็ต
2 นิตยสารทางอินเตอร์เน็ต
3 ร้านค้าทางอินเทอร์เน็ต เช่น Amazon.com เป็นต้น
4 การใช้เทคโนโลยีสารสนเทศ ในการแลกเปลี่ยนข้อมูลและให้บริการแก่ประชาชน และภาคธุรกิจ
5 พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ประกาศในราชกิจจานุเบกษา เล่ม 124 ตอนที่ 27 ก วันที่ 18 มิถุนายน พ.ศ. 2550 มีผลบังคับใช้ในวันที่ 18 กรกฎาคม พ.ศ. 2550
6 บันทึกสรุปสาระสำคัญร่างพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. .... คณะกรรมการวิสามัญพิจารณาร่างพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. .... สภานิติบัญญัติแห่งชาติ.
7 มาตรา 3 แห่ง พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
8 มาตรา 3 แห่ง พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
9 บันทึกสรุปสาระสำคัญร่างพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. .... คณะกรรมการวิสามัญพิจารณาร่างพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. .... สภานิติบัญญัติแห่งชาติ.
10 เทียบเคียงจาก หนังสือคำอธิบายประมวลกฎหมายอาญา ภาค 2 ตอน 1 โดยศาสตราจารย์จิตติ ติงศภัทิย์ พ.ศ. 2536, มาตรา 264 แห่งประมวลกฎหมายอาญา ว่าด้วยความผิดเกี่ยวกับการปลอมเอกสาร