พ.ร.บ.คอมฯ จะมีผลบังคับใช้ ในวันที่ 23 สิงหาคม 2551 นี้

[เทพมังกร]

ผู้ให้บริการรายใดไม่เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ไม่ว่าจะเป็น
ร้านอินเทอร์เน็ต, ร้านอาหาร, โรงแรม, บริษัทห้างร้าน และ โรงเรียน
เสี่ยงต่อการถูกตรวจค้นและมีโทษปรับสูงสุดถึง 500,000 บาทตามกฎหมาย

มาตรา ๒๖ ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบ คอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการ ผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบ วันแต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้

ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้อง เก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลง ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา

ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท




ข้อมูลสำคัญจาก
ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๕๐

"ผู้ให้บริการ" หมายความว่า
(๑) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเองหรือเพื่อประโยชน์ของบุคคลอื่น

(๒) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น

"ข้อมูลจราจรทางคอมพิวเตอร์" หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบ คอมพิวเตอร์นั้น

"ระบบคอมพิวเตอร์" หมายความว่า อุปกรณ์หรือชุดอุปกรณ์ที่เชื่อมการทำงานเข้าด้วยกันโดยได้มีการกำหนด คำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใด และแนวทางปฏิบัติงานให้อุปกรณ์หรือชุดอุปกรณ์ทำหน้าที่ประมวลผลข้อมูลโดยอัตโนมัติ
"ผู้ใช้บริการ" หมายความว่า ผู้ใช้บริการของผู้ให้บริการไม่ว่าต้องเสียค่าใช้บริการหรือไม่ก็ตาม


ข้อ ๘ การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ผู้ให้บริการต้องใช้วิธีการที่มั่นคงปลอดภัย ดังต่อไปนี้

(๑) เก็บในสื่อ (Media) ที่สามารถรักษาความครบถ้วนถูกต้องแท้จริง (Integrity) และระบุตัวบุคคล (Identification) ที่เข้าถึงสื่อดัง กล่าวได้

(๒) มีระบบการเก็บรักษาความลับของข้อมูลที่จัดเก็บ และกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อ ถือของข้อมูล และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้

เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือทำ Data Hashing เป็นต้น เว้นแต่ ผู้มีหน้าที่เกี่ยวข้องที่เจ้าของหรือผู้บริหารองค์กร กำหนดให้สามารถเข้า ถึงข้อมูลดังกล่าวได้
เช่น ผู้ตรวจสอบระบบสารสนเทศขององค์กร (IT Auditor) หรือบุคคลที่องค์กรมอบหมาย เป็นต้น รวมทั้ง พนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้

(๓) จัดให้มีผู้มีหน้าที่ประสานงานและให้ข้อมูลกับพนักงานเจ้าหน้าที่ ซึ่งได้รับการแต่งตั้งตามพระราชบัญญัติว่าด้วยการกระทำ ความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ เพื่อให้การส่งมอบข้อมูลนั้น เป็นไปด้วยความรวดเร็ว

(๔) ในการเก็บข้อมูลจราจรนั้น ต้องสามารถระบุรายละเอียดผู้ใช้บริการเป็นรายบุคคลได้(Identification and Authentication) เช่น ลักษณะการใช้บริการ Proxy Server, Network AddressTranslation (NAT) หรือ Proxy Cache หรือ Cache Engine หรือบริการ Free Internet หรือ บริการ 1222 หรือ Wi-Fi Hotspot ต้องสามารถระบุตัวตนของผู้ใช้บริการเป็นรายบุคคลได้จริง

(๕) ในกรณีที่ผู้ให้บริการประเภทหนึ่งประเภทใด ในข้อ ๑ ถึงข้อ ๔ ข้างต้น ได้ให้บริการในนามตนเอง แต่บริการดังกล่าวเป็น บริการที่ใช้ระบบของผู้ให้บริการซึ่งเป็นบุคคลที่สาม เป็นเหตุให้ผู้ให้บริการในข้อ ๑ ถึงข้อ ๔ ไม่สามารถรู้ได้ว่า ผู้ใช้บริการที่เข้า มาในระบบนั้นเป็นใคร ผู้ให้บริการ เช่นว่านั้นต้องดำเนินการให้มี วิธีการระบุและยืนยันตัวบุคคล (Identification and Authentication)ของผู้ใช้บริการผ่านบริการของตนเองด้วย ข้อ ๙ เพื่อให้ข้อมูลจราจรมีความถูกต้องและนำมาใช้ประโยชน์ได้จริง

ผู้ให้บริการต้องตั้งนาฬิกาของอุปกรณ์บริการทุกชนิดให้ตรงกับเวลาอ้างอิงสากล (Stratum 0) โดยผิดพลาดไม่เกิน ๑๐ มิลลิวินาที


สำหรับผู้ให้บริการที่ต้องการโปรแกรมจัดการเก็บรักษาข้อมุลจราจรทางคอมพิวเตอร์ ไปโหลดได้ฟรีที่

โค้ด เลือก ขยาย

http://www.plawan.com/

[kritx]

พ.ร.บ นี้มีไว้เพื่อให้ฮาร์ดดิสเต็มใช่ป่าวครับนี้ หรือว่ามีไว้ให้ admin เจ้าของร้านเน๊ตทำงานหนักเพิ่มขึ้นไปอีก หรือว่ามีไว้สำหรับป้องกันแฮกเกอร์ที่แฮกกระทรวง ICT แล้วตามจับไม่ได้(เห็นบอกว่าจะจับได้จนปานนี้ ข่าวเงียบหาย ) 
ที่จับไม่ได้สาเหตุมาจาก
1. เขาไม่ได้โอนเงินเข้าบัญชีตัวเอง เหมือนตอนที่จับคนแฮก บริษัทมือถือแห่งหนึ่ง
2. ก็เลยต้องการเก็บข้อมูลว่าไอพีเข้ามาระบบราชการ แล้วก็เส้นทางจราจรของข้อมูล เผื่อว่าจะสาวถึงตัวคนทำได้
3. ถ้าเกิดแฮกเกอร์เจาะไปที่เครื่อง window ของเกาหลี แล้ว remote ไปที่ ตุรกี แล้วก็ใส่ proxy หรือ sock 5 ของ สหรัฐ จากนั้นเจาะเข้ามาที่ กระทรวงใดกระทรวงหนึ่งในไทย จะตามจับได้ไหมนี้

[HARRY]

ชอบทำอะไรให้มันลำบาก เซ็ง กะ กฏหมายใหม่

[EixQzUnG]

โค้ด เลือก ขยาย

ผู้ให้บริการต้องตั้งนาฬิกาของอุปกรณ์บริการทุกชนิดให้ตรงกับเวลาอ้างอิงสากล (Stratum 0) โดยผิดพลาดไม่เกิน ๑๐ มิลลิวินาที

งี้ไปจับ ร้านเน็ทได้ดิ เวลา ช้าไป 1 วิ เจอไปละ 500k 

[oooki]

คงดักได้แต่พวก script junkie ครับ มืออาชีพน่าจะป้องกันตัวเองได้ไม่ยาก เหอ ๆ

โชคดีที่เครื่องที่ดูแลอยู่ให้บริการแค่เว็บ เลยไม่ต้องปรับตัวมาก แค่เก็บ log ไว้นาน ๆ กับตั้งนาฬิกาให้ตรงก็พอ 

[ThaNaButS]

อย่างงี้ เราก้อไปนั่งแฮกที่ข้างร้านแกแฟที่มีไวเลสได้อะดิ ไม่มีกล้อง

[Moha]

(๒) มีระบบการเก็บรักษาความลับของข้อมูลที่จัดเก็บ และกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อ ถือของข้อมูล และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้

อ่านแล้วก็อึ้งๆ มึน ๆ งงๆ กับ กฎหมายเช่นกัน ทางปฎิบัติ บางครั้ง มันไม่เหมือนกัน เพราะ หลายๆ เว็บ ทำด้วยตัวคนเดียว ไม่มีลูกน้อง เจ้าของและผู้ดูแลระบบก็คนเดียว กัน ส่วนเว็บบริษัท อื่นๆ ก็อาจต้องคิดถึงในส่วนของข้อมูลความลับบริษัทอีก

แต่ละบริษัท มีวิธีการวาง code ต่างกัน O/s ต่างกัน ทำไม ไม่ฟันธรงไปเลยว่า ต้องการ fields ไหน column ไหน type เท่าไหร่ จะได้ มาตรฐานเดียวกันซ่ะเลย

แต่ถ้าโดน ก็ ให้การในชั้นศาลอย่างเดียวดีกว่าครับ