พรบ.คอมพิวเตอร์ ฉบับที่2/2560

พรบ.คอมพิวเตอร์ ฉบับ2/2560

เพื่อให้การใช้งานคอมพิวเตอร์ คอมพิวเตอร์ที่ว่านี้ก็เป็นได้ทั้งคอมพิวเตอร์ตั้งโต๊ะ คอมพิวเตอร์โน้ตบุ๊ค สมาร์ตโฟน รวมถึงระบบต่างๆ ที่ถูกควบคุมด้วยระบบคอมพิวเตอร์ด้วยเป็นไปอย่างถูกกฎหมาย เราจะสรุปสาระ พระราชบัญญัติว่าด้วย การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ.2560 แบบง่ายๆ ดังนี้

1. การฝากร้านใน Facebook IG ถือเป็นสแปม ปรับ 200,000 บาท

2. ส่ง SMS มาโฆษณา โดยไม่รับความยินยอม ต้องมีทางเลือกให้ผู้รับสามารถปฏิเสธข้อมูลนั้นได้ ไม่เช่นนั้นถือเป็นสแปม ปรับ 200,000 บาท

3. ส่ง E-Mail ขายของ ถือเป็นสแปม ปรับ 200,000 บาท

4. กด Like ได้ไม่ผิด พ.ร.บ. ยกเว้นการกด Like เรื่องเกี่ยวกับสถาบัน เสี่ยงเข้าข่ายความผิดมาตรา 112 หรือมีความผิดร่วม

5. กด Share ถือเป็นการเผยแพร่ หากข้อมูลที่ Share นั้นมีผลกระทบต่อผู้อื่น อาจเข้าข่ายความผิดตาม พ.ร.บ.โดยเฉพาะที่กระทบต่อบุคคลที่ 3

6. พบข้อมูลผิดกฎหมายอยู่ในระบบคอมพิวเตอร์ของเรา แต่ไม่ใช่สิ่งที่เจ้าของคอมพิวเตอร์กระทำเอง สามารถแจ้งไปยังหน่วยงานที่รับผิดชอบได้ หากแจ้งแล้วลบข้อมูลออกเจ้าของก็จะไม่มีความผิดตามกฎหมาย เช่น ความเห็นในเว็บไซต์ต่างๆ รวมไปถึง Facebook ที่ให้แสดงความคิดเห็น หากพบว่าการแสดงความเห็นผิดกฎหมาย เมื่อแจ้งไปที่หน่วยงานที่รับผิดชอบเพื่อลบได้ทันที เจ้าของระบบเว็บไซต์จะไม่มีความผิด

7. ฉะนั้น Admin ที่เปิดให้มีการแสดงความเห็น เมื่อพบข้อความที่ผิด พ.ร.บ. เมื่อลบออกจากพื้นที่ที่ตนดูแล จะถือเป็นผู้พ้นผิด แต่หากไม่ยอมลบออก จะมีโทษจำคุกไม่เกิน 5 ปี ปรับไม่เกิน 100,000 บาท หรือทั้งจำทั้งปรับ

8. การ Post สิ่งลามกอนาจาร ที่ทำให้เกิดการเผยแพร่สู่ประชาชนได้ จำคุกไม่เกิน 5 ปี ปรับไม่เกิน 100,000 บาท

9. การ Post เกี่ยวกับเด็ก เยาวชน ต้องปิดบังใบหน้า ยกเว้นเมื่อเป็นการเชิดชู ชื่นชมอย่างให้เกียรติ

10. การให้ข้อมูลเกี่ยวกับผู้เสียชีวิต ต้องไม่ทำให้เกิดความเสื่อมเสียเชื่อเสียง หรือถูกดูหมิ่นเกลียดชัง ญาติสามารถฟ้องร้องได้ตามกฎหมาย มีโทษจำคุกไม่เกิน 3 ปี ปรับไม่เกิน 200,000 บาท

11. การ Post ด่าว่าผู้อื่น มีกฎหมายอาญาอยู่แล้ว ไม่มีข้อมูลจริง หรือถูกตัดต่อ ผู้ถูกกล่าวหา เอาผิดผู้ Post ได้ โทษจำคุกไม่เกิน 3 ปี ปรับไม่เกิน 200,000 บาท

12. ไม่ทำการละเมิดลิขสิทธิ์ผู้ใด ไม่ว่าข้อความ เพลง รูปภาพ หรือวิดีโอ

13. ส่งรูปภาพแชร์ของผู้อื่น เช่น สวัสดี อวยพร ไม่ผิด ถ้าไม่เอาภาพไปใช้ในเชิงพาณิชย์ หารายได้

พรบ.คอมพิวเตอร์

ความสำคัญของพรบ.คอมพิวเตอร์

พรบ.คอมพิวเตอร์ก็คือกฎหมายที่บังคับใช้กับการกระทำที่เกี่ยวข้องกับการใช้งานอินเตอร์เน็ตหรือกิจกรรมที่เกิดขึ้นในโลกออนไลน์ทั้งหลาย เนื่องด้วยปัจจุบันมีข้อมูลข่าวสารต่าง ๆ มากมายอยู่ในอินเตอร์เน็ตที่ผ่านการนำเข้าและการเรียกดูจากอุปกรณ์อิเล็กทรอนิกส์ ไม่ว่าจะเป็นคอมพิวเตอร์ แล็ปท็อป แท็บเลต และสมาร์ทโฟนจำนวนมาก ซึ่งข้อมูลข่าวสารที่ปรากฏในโลกออนไลน์เหล่านั้นมีทั้งข้อมูลที่เป็นความจริง รวมถึงข้อมูลที่เป็นเท็จ อีกทั้งยังมีการกระทำซึ่งเป็นเจตนาของการนำเข้าข้อมูลที่บิดเบือน ปลอมแปลง ไปจนถึงการทำลายระบบเพื่อสร้างความเสียหายให้กับตัวบุคคลและส่วนรวม พรบ.คอมพิวเตอร์จึงเป็นกฎหมายที่มีความสำคัญในการบังคับใช้ หากมีการกระทำความผิดเกิดขึ้น พรบ.ฉบับนี้จะช่วยให้ผู้กระทำผิดได้รับการลงโทษตามกฎหมายได้

ความแตกต่างของพรบ.คอมพิวเตอร์ฉบับปี 2550 และ ปี 2560

พรบ.คอมพิวเตอร์ที่ใช้อยู่ในปัจจุบันไม่ใช่พรบ.ฉบับแรกที่ถูกประกาศใช้ แต่เป็นฉบับที่ 2 ซึ่งได้มีการแก้ไขเพิ่มเติมมาจากฉบับแรก โดยเน้นเรื่องของบทลงโทษ ได้แก่ การนำเข้าข้อมูลอันเป็นเท็จที่ก่อให้เกิดความเสียหายต่อความมั่นคงของประเทศและประชาชน จากที่พรบ.ฉบับเดิม กำหนดโทษจำคุกตั้งแต่ 3-15 ปี และปรับตั้งแต่ 6 หมื่นบาทแต่ไม่เกิน 2 แสนบาท เปลี่ยนเป็นต้องระวางโทษจำคุกตั้งแต่ 1-7 ปี และปรับตั้งแต่ 2 หมื่น – 1.4 แสนบาท รวมถึงการกระทำที่ก่อให้เกิดความแก่ประชาชน พรบ. ปี 2560 ก็ได้กำหนดระวางโทษจำคุกไม่เกิน 10 ปี และปรับไม่เกิน 2 แสนบาท ในประเด็นของผู้ให้บริการที่ไม่ลบเนื้อหาที่ผิดกฎหมาย ซึ่งระบุไว้ในพรบ.ฉบับเดิม ที่ผู้ให้บริการจะได้รับโทษก็ต่อเมื่อมีเจตนาที่จะสนับสนุนหรือยินยอมเท่านั้น แต่ในพรบ.ฉบับใหม่จะมีการระบุความรับผิดชอบก็ต่อเมื่อผู้ให้บริการร่วมมือหรือรู้เห็นเป็นใจเท่านั้น หากผู้ให้บริการได้รับการแจ้งเตือนแล้วลบข้อมูลเหล่านั้นทิ้งก็จะไม่ต้องรับโทษแต่อย่างใด ส่วนการส่งข้อความในลักษณะของ Spam mail ในพรบ. ปี 2560 ก็ได้มีการเพิ่มโทษจากโทษปรับไม่เกิน 1 แสนบาท เป็นโทษปรับไม่เกิน 2 แสนบาทด้วย นอกจากนี้พรบ.คอมพิวเตอร์ ปี 2560 ยังได้มีการเพิ่มการกระทำที่ก่อความเสียหายให้แก่ระบบคอมพิวเตอร์ให้มีโทษจำคุกไม่เกิน 2 ปีและปรับไม่เกิน 2 แสนบาท รวมถึงการกระทำที่ก่อให้เกิดความเสียหายต่อระบบความมั่นคง ที่แต่เดิมไม่มีโทษเฉพาะ พรบ.ฉบับใหม่ได้มีการกำหนดโทษจำคุกตั้งแต่ 1-10 ปี และปรับตั้งแต่ 2 หมื่น – 2 แสนบาท ใครที่ยังไม่รู้ว่าพรบ.คอมพิวเตอร์มีการแก้ไขและปรับปรุงเพิ่มเติมจากฉบับแรกและได้มีการประกาศใช้เรียบร้อยแล้ว ต้องทำการอัพเดทความรู้โดยด่วน เพราะหากพลาดพลั้งทำอะไรลงไปในโลกออนไลน์โดยไม่ได้ไตร่ตรองล่วงหน้า อาจจะเข้าข่ายการกระทำความผิดตามพรบ.คอมพิวเตอร์ก็เป็นได้

PDPA คือ อะไร ?

PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมถึงการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) คือกฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์และข้อมูลส่วนตัวอื่น ๆ โดยที่เจ้าของข้อมูลไม่ยินยอม ที่มักพบได้มากในรูปแบบการโทรมาโฆษณา หรือล่อลวง

โดยกฎหมายนี้ได้เริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้

องค์ประกอบสำคัญของ PDPA

บุคคลที่ต้องปฎิบัติตามกฎหมาย PDPA ประกอบด้วย เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) โดยผู้ควบคุมข้อมูลส่วนบุคคลนั้นเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ ยกตัวอย่างเช่น เว็บไซต์ขายของออนไลน์ ตัวผู้จัดทำเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย

คำถามที่มักพบบ่อย : ข้อมูลเก่าที่เคยเก็บไว้ก่อนที่ พ.ร.บ.

นี้จะบังคับใช้ ต้องทำอย่างไร?

ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ ก่อนหน้าที่ PDPA จะบังคับใช้ใน วันที่ 1 มิถุนายน 2565 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องทำอย่างไรบ้าง ตามมาตรา ๙๕ ใน พ.ร.บ.ได้ระบุไว้ว่า “ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดวิธีการยกเลิกความยินยอม และเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวมรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย ”

การส่ง หรือ โอนข้อมูลส่วนบุคคลไปยังต่างประเทศก็สำคัญ

ผู้ควบคุมข้อมูลส่วนบุคคล จะส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ต้องตรวจสอบว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลนั้น มีมาตรฐานการคุ้มครองข้อมูล ส่วนบุคคลที่เพียงพอหรือไม่ ยกเว้นว่าจะเป็นไปเพื่อเป็นไปตามกฎหมาย, ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล, จำเป็นเพื่อปฏิบัติตามสัญญา, ป้องกันอันตรายที่จะเกิดต่อเจ้าของข้อมูลที่ไม่สามารถให้ยินยอมในขณะนั้นได้ หรือเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

เมื่อ PDPA บังคับใช้แล้วแต่ไม่ได้ปฏิบัติตาม จะมีบทลงโทษอะไรบ้าง ? ถ้าไม่ปฏิบัติตาม PDPA บทลงโทษของผู้ที่ไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีถึง 3 ประเภท ได้แก่

โทษทางแพ่ง โทษทางแพ่งกำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง ตัวอย่าง หากศาลตัดสินว่าให้ผู้ควบคุมข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคล เป็นจำนวน 1 แสนบาท ศาลอาจมีคำสั่งกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง เท่ากับว่าจะต้องจ่ายเป็นค่าปรับทั้งหมด เป็นจำนวนเงิน 3 แสนบาท

โทษทางอาญา โทษทางอาญาจะมีทั้งโทษจำคุกและโทษปรับ โดยมี โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data) ส่วนกรณีหากผู้กระทำความผิด คือ บริษัท(นิติบุคคล) ก็อาจจะสงสัยว่าใครจะเป็นผู้ถูกจำคุก เพราะบริษัทติดคุกไม่ได้ ในส่วนตรงนี้ก็อาจจะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน

โทษทางปกครอง โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย

สรุปใจความสำคัญของ PDPA

จะเห็นได้ว่า PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีหัวใจสำคัญก็เพื่อต้องการรักษาสิทธิที่พึงมีแก่เจ้าของข้อมูล ว่าข้อมูล ส่วนตัวของเราจะปลอดภัย นำไปใช้อย่างถูกต้องเหมาะสมตามความต้องการและยินยอมของเจ้าของข้อมูลอย่างแท้จริง อย่างไรก็ตามผู้เป็นเจ้าของข้อมูลก็ควรพิจารณาอย่างรอบคอบเช่นกันว่าการให้ข้อมูลส่วนบุคคลในแต่ละครั้ง เป็นไปเพื่อวัตถุประสงค์อะไร? ข้อมูลที่ให้ไปมีเพียงพอกับวัตถุประสงค์นั้นแล้วหรือยัง? หากมองว่ามีการให้ข้อมูลส่วนบุคคลนั้นไม่เกี่ยวข้องกับวัตถุประสงค์ของการขอข้อมูล เราก็สามารถปฏิเสธการให้ข้อมูลนั้นได้ เพื่อเป็นการป้องกันการนำข้อมูลไปใช้ในทางที่ผิดหรือหาผลประโยชน์จากข้อมูลส่วนบุคคลของเราก็เป็นได้ สำหรับในส่วนผู้เก็บข้อมูลนั้น นับว่าได้รับผลกระทบโดยตรงเป็นอย่างมากกับ PDPA ที่จะต้องปฏิบัติตาม ผู้ควบคุมข้อมูลส่วนบุคคลจึงต้องมีการกำหนดนโยบายความปลอดภัยของข้อมูลส่วนบุคคลภายในองค์กรและให้ความรู้แก่บุคคลากรในองค์กร, รู้ขอบเขตการเก็บรวบรวม การใช้ การเผยแพร่ข้อมูลส่วนบุคคล, มีระบบการจัดเก็บข้อมูลส่วนบุคคลที่ปลอดภัย, มีการจำกัดการเข้าถึงข้อมูลส่วนบุคคล, มีการบันทึกกิจกรรมการใช้ข้อมูลส่วนบุคคล สิ่งเหล่านี้ล้วนจำเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลจะต้องปฏิบัติตามเพื่อให้สอดคล้องกับ PDPA ต่อไป มาถึงตรงนี้ผู้อ่านก็พอจะทราบแล้วว่า PDPA คืออะไร และเกี่ยวข้องกับเราอย่างไร