พ.ร.บ. คอม 2560 ฉบับย่อยง่าย: 13 ข้อห้าม! ที่คนเล่นเน็ตต้องรู้ (อัปเดตล่าสุด)

เคยไหมครับ? เวลาจะโพสต์ จะแชร์ หรือจะคอมเมนต์อะไรในโลกออนไลน์แล้วรู้สึกไม่แน่ใจ “เอ๊ะ… แบบนี้จะผิด พ.ร.บ. คอมพิวเตอร์รึเปล่า?” ความกังวลนี้ไม่ใช่เรื่องแปลกเลยครับ เพราะกฎหมายนี้มีผลกับทุกคนที่ใช้อินเทอร์เน็ต

วันนี้ NONGIT.COM จะมาไขข้อข้องใจทั้งหมด สรุป พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ ให้เข้าใจง่ายๆ แบ่งตามระดับความรู้ความเข้าใจ 3 ระดับ ตั้งแต่เพื่อนช่วยเพื่อน ไปจนถึงเพื่อนร่วมอาชีพสายไอทีเลยครับ มาดูกันเลย!

เล่นเน็ตยังไงให้ปลอดภัย? สรุป 13 ข้อห้าม พ.ร.บ. คอมฯ แบบเข้าใจง่าย (สำหรับผู้ใช้ทั่วไป)

ในระดับนี้ เรามาคุยกันแบบภาษาเพื่อนๆ ไม่ต้องมีศัพท์เทคนิคให้ปวดหัว คิดซะว่าอินเทอร์เน็ตคือพื้นที่สาธารณะขนาดใหญ่ เรามาดูกันว่าอะไรที่ทำแล้วจะเหมือนการสร้างความเดือดร้อนให้คนอื่นในพื้นที่นี้บ้างครับ

สรุป 13 ข้อที่ “ห้ามทำ” เด็ดขาด:

1. ห้ามฝากร้านในโซเชียลคนอื่น: การโพสต์ขายของใน Facebook หรือ IG ของคนอื่นโดยที่เขาไม่เต็มใจ ถือเป็นการสร้างความรำคาญและเข้าข่าย “สแปม” ครับ
2. ห้ามส่งอีเมล/SMS โฆษณาไปมั่วๆ: การส่งโฆษณาไปหาคนอื่นโดยที่เขาไม่ได้ยินยอมหรือไม่มีช่องทางให้ยกเลิกง่ายๆ ก็ผิดเช่นกัน
3. ห้ามกด Like / Share เรื่องผิดกฎหมาย: การกด Like อาจไม่ผิดทันที แต่ถ้าเป็นการกด Share เรื่องที่สร้างความเสียหาย, หมิ่นประมาท, ข่าวปลอม, หรือเรื่องลามกอนาจาร ถือว่าเรามีส่วนในการเผยแพร่ข้อมูลนั้นด้วยนะครับ ต้องระวัง!
4. ห้ามโพสต์เรื่องส่วนตัวคนอื่น: การนำข้อมูลส่วนตัวของคนอื่น เช่น ชื่อ, เบอร์โทร, หรือเรื่องราวที่น่าอับอายไปโพสต์โดยไม่ได้รับอนุญาต ทำให้เขาเสียหาย ผิดเต็มๆ
5. ห้ามแอบดู/ใช้รหัสผ่านคนอื่น: การแอบ Log in เข้า Facebook, LINE, หรืออีเมลของคนอื่น แม้จะแค่เข้าไปดูก็ตาม ถือเป็นการบุกรุกครับ
6. ห้ามปล่อยข่าวปลอม (Fake News): การสร้างหรือแชร์ข่าวปลอมที่ทำให้คนอื่นตื่นตระหนก หรือส่งผลกระทบต่อความปลอดภัยสาธารณะ มีโทษร้ายแรงมาก
7. ห้ามโพสต์ภาพลามกอนาจาร: ไม่ว่าจะเป็นรูปของตัวเองหรือของคนอื่นที่เข้าถึงได้ทั่วไป ผิดกฎหมายครับ
8. ห้ามแอบดักฟัง/ดักจับข้อมูล: การใช้โปรแกรมหรือเครื่องมือเพื่อดักจับข้อมูลที่คนอื่นส่งหากันในอินเทอร์เน็ต ถือเป็นความผิด
9. ห้ามตัดต่อภาพคนอื่นให้เสียหาย: การนำภาพของคนอื่นมาตัดต่อ ดัดแปลง ทำให้เขาเสียชื่อเสียง อับอาย หรือถูกดูหมิ่นเกลียดชัง
10. ห้ามส่งไวรัส/โปรแกรมก่อกวน: การส่งโปรแกรมประสงค์ร้าย (Malware) ไปยังคอมพิวเตอร์ของคนอื่นเพื่อรบกวนการทำงานของระบบ
11. ห้ามลบ/แก้ข้อมูลคนอื่นโดยไม่ได้รับอนุญาต: การแอบเข้าไปแก้ไขหรือลบข้อมูลในระบบคอมพิวเตอร์ของคนอื่น
12. แอดมินเพจ/กลุ่มต้องรับผิดชอบ: หากคุณเป็นแอดมิน แล้วพบว่ามีลูกเพจโพสต์เนื้อหาผิดกฎหมายในพื้นที่ของคุณ จะต้องรีบลบออก หากเพิกเฉย อาจต้องรับผิดร่วมกัน
13. ห้ามคอมเมนต์ด่าทอด้วยข้อมูลเท็จ: การแสดงความคิดเห็นที่ใส่ร้ายป้ายสีผู้อื่นด้วยข้อมูลที่ไม่เป็นความจริง อาจเข้าข่ายความผิดฐานหมิ่นประมาทได้

จำง่ายๆ: ก่อนโพสต์หรือแชร์อะไร ให้คิดเสมอว่า “ถ้ามีคนทำแบบนี้กับเรา เราจะรู้สึกอย่างไร?” และ “ข้อมูลนี้เป็นเรื่องจริงหรือไม่?” แค่นี้ก็ช่วยให้เราปลอดภัยขึ้นเยอะแล้วครับ

อยากรู้ลึกกว่านี้ไหมครับ? สำหรับน้องๆ ที่เป็น IT Support หรือคนที่อยากเข้าใจ “เบื้องหลัง” และ “เหตุผล” ของข้อกฎหมายเหล่านี้ ลองอ่านต่อในส่วนถัดไปได้เลยครับ

เจาะลึก พ.ร.บ. คอมฯ 2560: สิ่งที่ IT Support และ Power User ต้องรู้

สำหรับชาวไอที การเข้าใจแค่ “อะไรทำได้/ไม่ได้” อาจไม่พอ เราต้องรู้ “ทำไม” และเกี่ยวข้องกับ “มาตรา” ไหน เพื่อให้คำแนะนำกับผู้ใช้ในองค์กรได้อย่างถูกต้องครับ

• เรื่องสแปม (มาตรา 11): ที่เราบอกว่าห้ามฝากร้านหรือส่งเมลโฆษณามั่วๆ นั่นคือความผิดฐาน “ส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่นอันมีลักษณะเป็นการก่อให้เกิดความเดือดร้อนรำคาญ” จุดสำคัญคือ “โดยไม่เปิดโอกาสให้บอกเลิกหรือปฏิเสธได้โดยง่าย” ดังนั้น หากเป็นอีเมลการตลาด จึงต้องมีลิงก์ Unsubscribe ที่ใช้งานได้จริงเสมอครับ
• หน้าที่ผู้ให้บริการในการเก็บ Log (มาตรา 26): นี่คือหัวใจสำคัญของ IT ในองค์กรเลยครับ! “ผู้ให้บริการ” (ซึ่งอาจหมายรวมถึงองค์กรของเราที่มี Server ให้บริการ) มีหน้าที่ต้องเก็บ ข้อมูลจราจรทางคอมพิวเตอร์ (Log Files) ไว้ไม่น้อยกว่า 90 วัน (และอาจขยายได้ถึง 2 ปีตามคำสั่งศาล) Log ที่ว่านี้ก็เช่น Source/Destination IP, Timestamp, User ID, ประเภทของบริการ เพื่อใช้ตรวจสอบหาผู้กระทำผิดเมื่อเกิดเหตุการณ์ขึ้น
• ความรับผิดชอบของแอดมิน (มาตรา 15): ขยายความจากข้อ 12 ของผู้ใช้ทั่วไป กฎหมายมองว่าแอดมินคือ “ผู้ให้บริการ” รูปแบบหนึ่ง หากมีข้อมูลผิดกฎหมาย (เช่น คอมเมนต์หมิ่นประมาท) ในพื้นที่ดูแลของตน แล้ว “จงใจยินยอมหรือเพิกเฉย” ไม่ลบออก ก็อาจมีความผิดร่วมด้วย ดังนั้น IT Support ต้องแนะนำให้ผู้ดูแลเพจ/เว็บขององค์กร มีกระบวนการตรวจสอบและลบเนื้อหาที่ไม่เหมาะสมเสมอ
• Hacking vs. Data Interception (มาตรา 5-8): การกระทำผิดเกี่ยวกับการเข้าถึงข้อมูลมีความแตกต่างกันเล็กน้อยครับ
  • มาตรา 5: คือการ “เข้าถึง” ระบบคอมพิวเตอร์ (Access) เช่น แอบ Log in เข้าระบบสำเร็จ
  • มาตรา 7: คือการ “เข้าถึง” ตัวข้อมูลคอมพิวเตอร์ (Data Access) เช่น Log in เข้าไปแล้ว สามารถเปิดไฟล์ข้อมูลของเขาดูได้
  • มาตรา 8: คือการ “ดักรับ” ข้อมูล (Interception) ระหว่างทาง เช่น การใช้ Wireshark ดักจับ Packet ในวง LAN

การเข้าใจความแตกต่างนี้ ช่วยให้เราระบุลักษณะของเหตุการณ์ที่เกิดขึ้นได้แม่นยำขึ้นครับ

พร้อมสำหรับขั้นต่อไปหรือยังครับ? สำหรับพี่ๆ System Admin ที่ต้องวางสถาปัตยกรรมและนโยบายของทั้งองค์กร มีประเด็นที่ต้องลงลึกด้านเทคนิคและการวางแผนมากกว่านี้อีกครับ ไปดูกันเลย

Best Practices สำหรับ SysAdmin: ทำให้องค์กร Compliance ตาม พ.ร.บ. คอมฯ

ในระดับนี้ เราจะคุยกันภาษาคนทำงานหลังบ้านครับ หน้าที่ของเราไม่ใช่แค่ซ่อม แต่คือการ “ป้องกัน” และ “เตรียมพร้อม” ทำให้องค์กรสอดคล้องกับข้อกฎหมาย (Compliance) และลดความเสี่ยงให้ได้มากที่สุด

• Log Management & Centralized Logging: การเก็บ Log ตามมาตรา 26 ไม่ใช่แค่เปิด Logging ในอุปกรณ์ทุกตัวแล้วปล่อยทิ้งไว้ Best Practice คือการทำ Centralized Logging โดยส่ง Log ทั้งหมดจาก Firewall, Server, Proxy, AD/LDAP, Wi-Fi Controller มาเก็บไว้ที่ศูนย์กลาง เช่น Syslog Server หรือระบบ SIEM (Security Information and Event Management)
  • สิ่งที่ต้องมีใน Log: Source IP, Destination IP, Timestamp (ที่ต้อง Sync ตรงกันผ่าน NTP Server), User ที่ Login, Protocol/Service ที่ใช้, URL/Domain ที่เข้าถึง
  • การป้องกัน: Log ต้องถูกป้องกันการแก้ไขหรือลบโดยไม่ได้รับอนุญาต (Write-Once) และต้องมีระบบสำรองข้อมูล Log ด้วย
• การวางแผนรับมือเหตุการณ์ (Incident Response Plan): องค์กรต้องมีแผนชัดเจนว่าเมื่อเกิดเหตุการณ์ (Incident) เช่น Data Breach หรือการบุกรุก จะต้องทำอะไรบ้าง?
  1. Preparation: เตรียมทีมและเครื่องมือให้พร้อม
  2. Identification: ตรวจจับและยืนยันเหตุการณ์ได้อย่างไร?
  3. Containment: จะจำกัดความเสียหายได้อย่างไร? (เช่น ถอดเครื่องออกจากเครือข่าย)
  4. Eradication: จะกำจัดต้นตอของปัญหาได้อย่างไร?
  5. Recovery: จะนำระบบกลับมาทำงานปกติได้อย่างไร?
  6. Lessons Learned: สรุปบทเรียนเพื่อป้องกันไม่ให้เกิดซ้ำ แผนนี้สำคัญมากในการแสดงให้เห็นว่าองค์กรไม่ได้ “เพิกเฉย” ต่อปัญหา
• กำหนดนโยบายการใช้งานที่ชัดเจน (Acceptable Use Policy – AUP): SysAdmin ควรผลักดันให้องค์กรมีนโยบาย AUP ที่ให้พนักงานทุกคนรับทราบและเซ็นยินยอม เนื้อหาควรระบุชัดเจนว่าอะไรที่ทำได้และไม่ได้บ้างในการใช้ระบบคอมพิวเตอร์ของบริษัท เช่น ห้ามโหลด BitTorrent, ห้ามเข้าเว็บผิดกฎหมาย ฯลฯ สิ่งนี้จะช่วยลดความเสี่ยงที่พนักงานจะนำภัยมาสู่องค์กร และเป็นหลักฐานว่าบริษัทมีมาตรการป้องกันแล้ว
• การเข้ารหัสข้อมูล (Data Encryption): ข้อมูลสำคัญ (Sensitive Data) ทั้งที่จัดเก็บอยู่ (Data-at-Rest) และที่กำลังส่งผ่านเครือข่าย (Data-in-Transit) ควรมีการเข้ารหัสเสมอ เพื่อป้องกันการผิดตามมาตรา 8 (ดักรับข้อมูล) หากเกิดการดักจับข้อมูลไปได้ แต่ข้อมูลถูกเข้ารหัสไว้ ก็จะไม่สามารถนำไปใช้ประโยชน์ได้

สรุปส่งท้าย

พ.ร.บ. คอมพิวเตอร์ฯ ไม่ได้มีไว้เพื่อสร้างความกลัวครับ แต่เป็นเหมือนกติกาที่ช่วยให้สังคมออนไลน์ของเราสงบสุขและปลอดภัย การทำความเข้าใจข้อกฎหมายเหล่านี้ตามบทบาทหน้าที่ของตัวเอง จะช่วยให้เราทั้งใช้งานอินเทอร์เน็ตได้อย่างสบายใจ และปกป้ององค์กรของเราจากความเสี่ยงทางกฎหมายได้อีกด้วย

หวังว่าบทความนี้จะเป็นประโยชน์กับทุกท่านนะครับ หากมีคำถามหรือข้อสงสัยเพิ่มเติม คอมเมนต์พูดคุยกันได้เลยครับ!