16310ebook

คำถามท้ายบทที่ 8

ส่วนท่ี 1 เปน็ คำถามปรนัย
คำสง่ั จงกากบาท (X) คำตอบทีถ่ ูกตอ้ ง

1. คุณสมบตั ทิ ่ีสำคัญของเงินมกี ข่ี อ้

ก. 1 ข้อ ข. 2 ขอ้ ค. 3 ขอ้ ง. 4 ข้อ

2. เงนิ มีก่ลี กั ษณะ

ก. 1 ลกั ษณะ ข. 2 ลักษณะ ค. 3 ลักษณะ ง. 4 ลกั ษณะ

3. เมอื่ เปรียบเทยี บมูลคา่ ของเงินกับวสั ดทุ ีใ่ ช้สรา้ งเงินแลว้ พบวา่

ก. มูลคา่ สูงกว่า ข. วัสดุสูงกว่า ค. เท่ากนั ง. ไม่มีการเปรยี บเทยี บ

4. ขอ้ ใดไม่ใชร่ ปู แบบการชำระเงนิ

ก. เงนิ สด ข. โอน ค. บัตรเครดติ ง. ผ่านกระเป๋าเงิน

5. ระบบโอนเงินของประเทศไทย คอื ข้อใด

ก. Bank of Thailand Automated Height-value Telling Network

ข. Bank of Thailand Automated Height-value Transfer Network

ค. Bank of Thailand Automated High-value Telling Network

ง. Bank of Thailand Automated High-value Transfer Network

6. ระบบชำระเงินข้อใดมีผใู้ หบ้ ริการทางการเงนิ เข้ามาเก่ยี วข้อง

ก. ชำระตามใบแจ้งหนี้

ข. ชำระแบบเก็บเงนิ ปลายทาง

ค. ชำระกอ่ นส่งสนิ คา้

ง. ชำระด้วยการหักบญั ชี

7. ข้อใดไมใ่ ชเ่ ทคโนโลยีเงินดจิ ิทลั

ก. ดจิ ทิ ลั หยวน ข. บิตคอยด์ ค.ลบิ ร้า ง. อินทนนท์

8. ขอ้ ใดเป็นเงินท่แี ข็งแกรง่ ไมผ่ นั ผวนมีการใชง้ านได้จรงิ

ก. ดิจิทลั หยวน ข. บิตคอยด์ ค.ลบิ รา้ ง. อนิ ทนนท์

9. ข้อใดคอื ชื่อระบบชำระเงนิ

ก. ไลน์ ข. วีแซต ค. อาลีบาบา ง. ทรมู ันน่ี

10. กฏหมายภาษที ีเ่ กีย่ วขอ้ งกบั ระบบพาณชิ ยอ์ เิ ล็กทรอนิกส์ คอื

ก. ภาษีมลู คา่ เพมิ่

ข. ภาษีเงนิ ได้นิติบุคคล

ค. ภาษธี รุ กิจเฉพาะ

ง. ภาษอี เิ ล็กทรอนกิ ส์

241

สว่ นที่ 2 เปน็ คำถามอัตนยั
คำส่ัง จงตอบคำถามตอ่ ไปนใี้ ห้ถูกต้อง
1. เงินคอื อะไร มปี ระโยชนอ์ ะไรกับระบบ/พ้นื ที่เศรษฐกิจ

2. การโอนเงินผา่ นระบบอิเลก็ ทรอนิกส์ใชร้ ูปแบบใด มกี ่ีวธิ ที ่ใี ชแ้ ละมลี กั ษณะการทำงานอยา่ งไร

3. อธิบายการชำระเงินของลูกค้าที่ปรากฏในวิธีการชำระเงินที่ได้กล่าวมาข้างต้นว่า ตำแหน่งที่เกิดขึ้นและ
ความเสี่ยงตา่ ง ๆ เปน็ อยา่ งไรบ้าง

4. จงบอกลักษณะภาษี ข้อจำกดั ตลอดจนการยื่นภาษีของผปู้ ระกอบการด้านพาณิชย์อิเล็กทรอนิกส์

242

ใบงานปฏบิ ตั ิ

กิจกรรมที่ 1 ให้ผู้เรียนแบ่งเป็นกลุ่มกลุ่มล่ะไม่เกิน 5 คนทำการศึกษาเว็บไซต์พาณิชย์อิเล็กทรอนิกส์
ที่เป็นของคนไทยจำนวนไมน่ อ้ ยกวา่ 3 เว็บไซต์ และเว็บไซต์พาณิชย์อิเลก็ ทรอนิกส์ของต่างประเทศไม่น้อยกวา่
2 เว็บไซต์ จากนั้นอภปิ รายความเหมอื นกนั และความแตกตา่ งกันของวิธกี ารชำระเงินของทั้งห้าเว็บไซต์ จุดแข็ง
จุดอ่อน ของการเลือกวิธีการชำระเงินของแต่ละเว็บไซต์ จากนั้นนำเสนอหน้าชั้นเรียนเพื่อเป็นการแลกเปลี่ยน
เรยี นรู้

กิจกรรมที่ 2 จากข้อมูลของเงินอิเล็กทรอนิกส์ บิตคอยด์ ลิบร้าและดิจิทัลหยวน จงสร้างตาราง
เปรียบเทียบ ประกอบด้วย หัวข้อที่เปรียบเทียบ สิ่งที่เงินอิเล็กทรอนิกส์แต่ละแบบมี/ไม่มี ให้ใช้เครื่องหมายถกู
แสดงว่า มี เมื่อไม่มีใช้เครื่องหมายขีดกลาง ดังตัวอย่างด้านล่าง เมื่อทำเสร็จให้นำเสนอเพื่อให้เกิดการ
เปรยี บเทยี บแลกเปล่ยี นกบั กลมุ่ อืน่ พรอ้ มให้คำอธบิ ายต่อผู้สอบถาม

หวั ข้อ บติ คอยด์ ลบิ รา้ ดิจทิ ัลหยวน

1. ประเทศที่เป็นเจ้าของ -- ✓
2. มกี ารใชง้ านแลว้
3. ✓- ✓
4.
5.
6.
7.
8.
9.
10.

243

บทที่ 9

มาตรฐานความปลอดภัยของการทำธุรกรรมทางอเิ ลก็ ทรอนกิ ส์
(Security Standard for E-Commerce Transaction)

จดุ ประสงค์การเรียนรู้
1. รู้และเขา้ ใจมาตรการการรักษาความปลอดภยั ของขอ้ มูลในการทำธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์
2. เขา้ ใจและอธบิ ายมาตรฐานการทำธุรกรรมทางอิเล็กทรอนิกส์ได้
3. เข้าใจและอธบิ ายถงึ ภัยคุกคามในการทำธุรกรรมอเิ ลก็ ทรอนกิ ส์ได้
4. บอกถงึ วิธีการใชเ้ ทคนคิ ดจิ ิทัลซิกเนเจอร์การรกั ษาความปลอดภัยของการทำธุรกรรมทางอิเล็กทรอนกิ สไ์ ด้
5. บอกถงึ วธิ กี ารใช้โพรโตคอลเฮชทที ีพีเอสในการรกั ษาความปลอดภัยของการทำธรุ กรรมทางอิเลก็ ทรอนิกสไ์ ด้
6. บอกถงึ วิธีการใชเ้ ทคนิคโอทีพีในการรกั ษาความปลอดภัยของการทำธุรกรรมทางอเิ ลก็ ทรอนกิ ส์ได้
7. บอกถงึ วธิ ีการใช้นโยบายในการควบคุมความปลอดภยั ของการทำธุรกรรมทางอเิ ลก็ ทรอนิกส์ได้

244

การใช้คอมพวิ เตอร์เทคโนโลยีอยา่ งเช่นอินเทอรเ์ น็ตมีการเจริญเตบิ โตอย่างรวดเร็ว ไม่ว่าจะเป็นการใช้
อินเทอร์เน็ตส่วนบุคคลหรือการใช้อินเทอร์เน็ตเพื่อการติดต่อสื่อสารทางธุรกิจก็ตาม นำไปสู่ความต้องการใน
การสร้างความปลอดภัยและความเป็นส่วนตัวของการใช้ช่องทางการสื่อสาร ดังนั้น ความปลอดภัยและความ
เป็นส่วนตัวจึงเป็นสิ่งสำคัญและจำเป็นอย่างยิ่ง ถ้าการสื่อสารส่วนบุคคลยังคงดำเนินอยู่และการพาณิชย์
อิเลก็ ทรอนิกสม์ ีการเจริญเตบิ โตอย่างต่อเนื่องในโลกไซเบอร์ในปจั จุบนั ความต้องการความปลอดภยั และความ
เป็นส่วนตัว จึงเป็นที่มาของการสร้างโปรโตคอลที่มีความปลอดภัยและได้มีการกำหนดมาตรฐานความ
ปลอดภัย เพื่อใช้ในการควบคุมสื่อสารความปลอดภัยให้เป็นมาตรฐานเดียวกัน ในบทเรียนนี้จะได้กล่าวถึงการ
ใช้โพรโตคอลแบบต่าง ๆ ว่ามีแบบใดบ้างที่มีความปลอดภัยและมีมาตรฐานความปลอดภัยที่เป็นไปตาม
ข้อกำหนดตามที่ได้กำหนดไวใ้ นมาตรฐานความปลอดภยั ตอ่ ไป

การประกอบธุรกิจในปัจจุบันอยู่ในรูปแบบระบบพาณิชย์อิเล็กทรอนิกส์ (Electronic Commerce)
เป็นการซื้อขายสินค้าผ่านทางอินเทอร์เน็ตหรือบางทีก็เรียกว่า การซื้อขายสินค้าทางออนไลน์ โดยที่ระบบ
พาณิชย์อิเล็กทรอนิกส์นี้ ต้องอนุญาตให้ลูกค้าหรือผู้บริโภคสามารถเข้าถึงอินเทอร์เน็ตได้ นอกจากนี้ ผู้บริโภค
ยังต้องใช้อินเทอร์เน็ตในการค้นหาข้อมูลเพื่อเปรียบเทียบข้อมูลต่าง ๆ ของสินค้าหรือบริการต่าง ๆ ได้แก่
ราคา ขนาด รุ่น คุณภาพสินค้า ประเภทการบริการ การจองที่พัก การจองเที่ยวบิน เป็นต้น ทั้งนี้ก็เพ่ือ
นำเอาข้อมูลเหล่านี้ไปประกอบการตัดสินใจในการซื้อสินค้าหรือใช้บริการ ที่กล่าวมาข้างต้นนี้ เรียกว่า
“การทำธุรกรรมทางอิเล็กทรอนิกส์” ซึ่งเป็นการทำธุรกรรมทางอิเล็กทรอนิกส์ที่ไร้ขอบเขตในเรื่องเวลาและ
สถานที่เพราะสามารถทำธุรกรรมทางอิเล็กทรอนิกส์ได้ทุกเวลาและทุกหนทุกแห่งบนโลกใบนี้ได้อย่างรวดเร็ว
และยังเข้าถึงกลุ่มผู้บริโภคได้ตรงเป้าหมายอีกด้วย นั่นคือ จำนวนผู้ที่เข้ามาทำธุรกรรมทางอิเล็กทรอนิกส์จะมี
จำนวนเพิ่มขึ้นเรื่อย ๆ ในอนาคตเป็นประเด็นแรก ส่วนประเด็นที่สอง คือ การเพิ่มขึ้นของจำนวนเว็บไซต์
โดยเฉพาะเว็บไซต์ที่มีการซื้อขายสินค้าและบริการผ่านทางอินเทอร์เน็ต ก็จะต้องมีการชำระเงินค่าสินค้าหรือ
บริการทางออนไลน์ ทั้งสองประเด็นนับว่าเป็นประเด็นสำคัญที่ได้ถูกนำมาพิจารณาเกี่ยวกับการกำหนด
มาตรการในการรักษาข้อมูลและควบคุมข้อมูลในการทำธุรกรรมของผู้บริโภค เพื่อสร้างความมั่นใจและความ
น่าเชือ่ ถือใหก้ บั ผู้บรโิ ภคในการทำธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์

จากท้ังสองประเด็นดังกลา่ ว ทำให้ตอ้ งมีระบบการรกั ษาความปลอดภยั เพ่ือตอ้ งการรักษาความลับของ
ข้อมูลและป้องกันการปลอมแปลงข้อมูลในขณะที่ทำธุรกรรมทางอิเล็กทรอนิกส์ในการทำธุรกรรม
อิเล็กทรอนิกส์หากไม่มีความปลอดภัยของข้อมูลแล้ว อาจทำให้ลูกค้าหรือผู้บริโภคขาดความเชื่อมั่นและความ
เชื่อถือในการทำธุรกรรมอิเล็กทรอนิกส์ โดยเฉพาะข้อมูลสำคัญอย่างเช่น การซื้อสินค้าบนอินเทอร์เน็ตของ
ลูกคา้ ตอ้ งมกี ารชำระเงนิ ผ่านทางระบบการส่ังซือ้ ซึง่ ขอ้ มูลการชำระเงนิ ค่าสนิ คา้ ของลูกค้านับวา่ มีความสำคัญ
เป็นอย่างมาก โดยเฉพาะการชำระเงินด้วยบัตรเครดิต ซึ่งต้องมีการป้อนเลขที่บนบัตรเครดิต และรหัสผ่าน
ต่าง ๆ ซึ่งหากไม่มีระบบรักษาความปลอดภัยใหก้ ับข้อมูลเหล่านี้ที่ดีพอ ข้อมูลของลูกค้าอาจถูกผู้ไม่หวังดีขโมย
(hacked) ข้อมูลไปได้ ดังนั้นการกำหนดมาตรการในการรักษาความปลอดภัยของข้อมูล จึงมาจากภัยคุกคาม
ต่าง ๆ เช่น มีการขโมยข้อมูล ความต้องการในการยืนยันตัวตนของผู้ทำธุรกรรม การสำเนาเอกสารหรือ
ดัดแปลงเอกสารบนอิเล็กทรอนิกส์ทำได้ง่าย ทำให้ต้องมีการกำหนดสิทธิ์ให้กับผู้ใช้บางคนที่สามารถเข้าถึง
ข้อมูลได้และปัญหาที่สำคัญอีกอย่างหนึ่ง คือ การออกกฎหมายเกี่ยวกับการซื้อขายผ่านทางอิเล็กทรอนิกส์

245

โดยเฉพาะ ซึ่งยังไม่มีกฎหมายรองรับเกี่ยวกับการใช้ลายเซ็นอิเล็กทรอนิกส์สำหรับการทำธุรกรรม การซื้อขาย

ผา่ นทางอิเลก็ ทรอนกิ ส์หรือแมก้ ระทง่ั การทำนิตกิ รรมในประเทศไทย

1. มาตรการการรักษาความปลอดภัยของขอ้ มูลในการทำธรุ กรรมทางอิเลก็ ทรอนิกส์

มาตรการรักษาความปลอดภัยของข้อมูล (Information security) หลักที่ใช้ในการทำธุรกรรมทาง
อิเล็กทรอนกิ ส์ มดี งั น้ี

1.1 การรกั ษาความลับ (Confidentiality)
การรักษาความลับ หมายถึง ข้อมูลของบุคคลใดบุคคลหนึ่งที่สามารถมองเห็นได้เฉพาะบุคคลที่เป็น
เจ้าของข้อมูลและบุคคลใด ๆ ที่เจ้าของข้อมูลอนุญาตให้เข้าถึงข้อมูลได้เท่านั้น ตัวอย่าง ธนาคารมีการปกป้อง
ข้อมูลของเจ้าของบัญชีเงินฝากไว้เป็นความลับ โดยธนาคารได้กำหนดให้เจ้าของบัญชีต้องป้อน PIN number
ท่มี เี พยี งเจา้ ของบญั ชเี ทา่ น้นั ท่รี ู้ หลงั จากปอ้ น PIN number ผา่ นแลว้ เจ้าของบัญชีก็สามารถดยู อดเงินหรือทำ
ธุรกรรมบนเครื่องเอทีเอ็มได้ และบุคคลใดก็ตามที่ทำธุรกรรมแทนเจ้าของบัญชี ก็ต้องระบุตัวตนว่าเป็นคนทำ
ธุรกรรมในบัญชเี ช่นกัน
1.2 การรกั ษาความถูกตอ้ งของข้อมูล (Integrity)
ความถูกต้องของข้อมูล หมายถึง การทำให้แน่ใจว่าข้อมูลที่จัดเก็บในระบบฐานข้อมูลนั้นไม่สามารถ
เปลี่ยนแปลงหรือลบออกโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล ข้อมูลที่เก็บนั้นเป็นไปตามความคาดหวังของ
เจ้าของข้อมูลและเจ้าของข้อมูล สามารถรู้ถึงว่ามีข้อมูลอะไรที่เปลี่ยนแปลง ตัวอย่าง ธนาคารมีมาตรการ
ป้องกัน ไม่ให้พนักงานธนาคารหรือบุคคลอื่นเข้ามาเปลี่ยนแปลงยอดเงินของเจ้าของบัญชีเงินฝากโดยไม่ได้รับ
อนุญาตจากเจ้าของบัญชีเงินฝาก ธนาคารหลายแห่งปกป้องความถูกต้องของข้อมูลของเจ้าของบัญชีเงินฝาก
โดยให้เจ้าของบัญชีเงินฝากสามารถตั้งค่าการแจ้งเตือนเมื่อเงินในบัญชีเงินฝากถูกถอนออกจากบัญชี เมื่อมีใคร
จะทำการถอนเงินจากบัญชีเงินฝาก การแจ้งเตือนเหล่านี้จะถูกส่งไปยังโทรศพั ท์หรอื อีเมลของเจ้าของบัญชีเงิน
ฝากทันที ดงั นนั้ เจา้ ของบญั ชเี งนิ ฝากจะรู้ไดท้ ันทีว่าบัญชีมปี ญั หา
1.3 การมคี วามพรอ้ มในการใชง้ าน (Availability)
ความพร้อมในการใช้งาน หมายถึง การทำให้มั่นใจได้ว่าเจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง
ได้เมื่อต้องการ มันไม่เป็นการดีเลยถ้าเจ้าของบัญชีเงินฝากไม่สามารถบอกได้ว่ามีเงินคงเหลือในบัญชี
เงินฝากของตัวเองอยู่เท่าไรหรือมีเงินในบัญชีเงินฝากมากน้อยแค่ไหน หรือมีธุรกรรมใดเกิดขึ้น ธนาคารได้
จัดการข้อมูลให้กับเจ้าของข้อมูลพร้อมใช้งานในหลาย ๆ ด้าน เช่น การธนาคารออนไลน์ (Online banking)
สอบถามยอดดุลเอทีเอ็ม (ATM balance inquiries) และใบแจ้งยอดเงินรายเดือนที่ส่งถึงเจ้าของบัญชีทุก
สน้ิ เดือน (Bank statement)
1.4 การป้องกนั การปฏเิ สธความรบั ผดิ ชอบ (Non-reputation)

เป็นการป้องกนั การปฏเิ สธว่าไมไ่ ด้มกี ารสง่ หรือรบั ขอ้ มลู จากฝ่ายต่าง ๆ ทเ่ี ก่ยี วข้อง ภายใต้แนวคิดทว่ี า่
เจ้าของข้อมูลเท่านั้นที่มีสิทธิ์ในข้อมูลนั้นและบุคคลอื่นที่ไม่ใช่เจ้าของข้อมูลนี้ต้องได้รับอนุญาตจากเจ้าของ
ข้อมูลก่อนเท่านั้น จึงจะสามารถเข้าถึงและใช้ข้อมูลนี้ได้ การที่ต้องการความแน่ใจจึงจำเป็นต้องรู้ถึงการเข้าถึง
ข้อมูลนี้เมื่อใดและอย่างไร แนวคิดนี้เรียกว่า “การปฏิเสธอย่างไม่เป็นทางการ (Non-reputation)” ตัวอย่าง
หากมีบุคคลใดบางคนได้มีการเข้าถึงข้อมูลยอดเงินคงเหลือในธนาคารของเจ้าของบัญชีเงินฝากธนาคาร ทาง
ธนาคารจะต้องรู้ว่าใครเป็นคนที่เข้าถึงข้อมูลบัญชีเงินฝากธนาคารและเมื่อไหร่ที่เข้าถึง และวิธีที่ทางธนาคาร
ได้รับและบุคคลท่ีเข้าถึงข้อมูลของเจ้าของบัญชีเงินฝากธนาคารจะไม่สามารถปฏิเสธได้ โดยทางธนาคารใชก้ าร
ติดกล้องรักษาความปลอดภัยในสถานที่ต่าง ๆ เพื่อตรวจสอบบุคคลที่เข้าถึงบัญชีของเจ้าของบัญชีเงินฝาก

246

ธนาคาร รวมถงึ กระบวนการตรวจสอบทีช่ ว่ ยใหแ้ นใ่ จว่ายอดเงินคงเหลอื และประวัตกิ ารทำธรุ กรรมของเจ้าของ
บญั ชีเงนิ ฝากธนาคารถกู ต้องตลอดเวลา

2. มาตรฐานการทำธรุ กรรมทางอเิ ลก็ ทรอนิกส์ (Electronic Transaction Standards)

พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ (2553) ได้ตรา
พระราชกฤษฎีกาใน “มาตรา 3 ไว้ว่า “วิธีการแบบปลอดภัย” หมายความว่า วิธีการแบบปลอดภัยในการทำ
ธุรกรรมทางอิเล็กทรอนิกสและคำว่า “ทรัพย์สินสารสนเทศ” หมายความว่า (1) ระบบเครือข่ายคอมพิวเตอร์
ระบบคอมพิวเตอร ระบบงานคอมพิวเตอรและระบบสารสนเทศ (2) ตัวเครื่องคอมพิวเตอร์อุปกรณ์
คอมพิวเตอร์เครื่องบันทึกข้อมูลและอุปกรณ์อื่นใด (3) ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส และ
ข้อมูลคอมพิวเตอร์ ซึ่งในบทเรียนนี้ทรัพยสินสารสนเทศจะเน้นไปที่ทรัพยสินสารสนเทศประเภทข้อมูล
สารสนเทศ ข้อมูลอเิ ล็กทรอนกิ ส์และข้อมูลคอมพิวเตอร์เทา่ น้นั

นอกจากนี้แล้ว ในมาตรา 3 ของพระราชกฤษฎีกายังได้ได้จำแนกความม่ันคงความปลอดภัย ออกเป็น
“ความมั่นคงปลอดภัยของระบบสารสนเทศ” (information security) หมายความว่า การป้องกันทรัพย์สิน
สารสนเทศจากการเขา้ ถึง ใช้ เปิดเผย ขัดขวาง เปลี่ยนแปลงแกไข ทำให้สูญหาย ทำให้เสียหาย ถูกทำลายหรอื
ล่วงรูโดยมิชอบ “ความมั่นคงปลอดภัยด้านบริหารจัดการ” (administrative security) หมายถึง การกระทำ
ในระดับบริหารโดยการจัดให้มีนโยบาย มาตรการ หลักเกณฑ์ หรือกระบวนการใด ๆ เพื่อนำมาใช้
ในกระบวนการคัดเลือก การพัฒนา การนำไปใช้ หรือการบำรุงรักษาทรัพย์สินสารสนเทศ ให้มีความมั่นคง
ปลอดภัย “ความมั่นคงปลอดภัยด้านกายภาพ” (physical security) หมายความว่า การจัดให้มีนโยบาย
มาตรการ หลักเกณฑ์หรือกระบวนการใด ๆ เพื่อนำมาใช้ในการป้องกันทรัพย์สินสารสนเทศ สิ่งปลูกสร้างหรือ
ทรพั ย์สนิ อืน่ ใดจากการคกุ คามของบุคคล ภยั ธรรมชาติ อุบตั ิภัยหรือภยั ทางกายภาพอ่นื ” และมาตรา ๔ วิธกี าร
แบบปลอดภยั แบง่ ออกเปน็ 3 ระดบั คือ ระดับเคร่งครดั ระดับกลางและระดบั พ้ืนฐาน

ส่วนคอมพิวเตอร์แห่งชาติ (เนคเทค) (2550) ได้อธิบายถึงระบบบริหารจัดการความมั่นคงปลอดภัย
สำหรับสารสนเทศไว้ว่า แนวทางที่ใช้เป็นมาตรฐานในการดำเนินการทางธุรกิจต่าง ๆ รวมทั้งความเสี่ยง
ท่เี กย่ี วขอ้ ง คอื ใชก้ ระบวนการการวางแผน (Plan) การลงมอื ปฏบิ ตั ิ (Do) การตรวจสอบและทบทวน (Check)
และการแก้ไขปรับปรุง (Act) หรือเรียกย่อ ๆ ว่า “กระบวนการ PDCA” โดยที่การวางแผน (P) ได้แก่ กำหนด
ขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัย กำหนดนโยบายความมั่นคงปลอดภัย กำหนด
วิธีการประเมินความเสี่ยง การวิเคราะห์และการประเมินความเสี่ยง เลือกวัตถุประสงค์และมาตรการ
ทางด้านความมั่นคงปลอดภัย การขออนุมัติเพื่อลงมือปฏิบัติและจัดทำเอกสาร SoA (Statement of
Applicability) การลงมือปฏิบัติ (D) ได้แก่ จัดทำแผนการจัดการความเสี่ยง ลงมือปฏิบัติตามแผน
การจัดการความเสี่ยง ลงมือปฏิบัติตามมาตรการที่ได้กำหนดไว้ กำหนดวิธีการวัดความสัมฤทธิผล จัดทำและ
ลงมือปฏิบัติตามแผน บริหารทรัพยากรสำหรับระบบบริหารจัดการความมั่นคงปลอดภัย การตรวจสอบและ
ทบทวน (C) เป็นการตรวจติดตามโดยคอยเฝ้าระวังและทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยของ
องค์กร ได้แก่ ลงมือปฏิบัติตามขั้นตอนและมาตรการอื่น ๆ สำหรับการเฝ้าระวังและทบทวน ดำเนินการ
ทบทวนความสัมฤทธิผลและวัดความสัมฤทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยอย่างสม่ำเสมอ
ทบทวนผลการประเมินความเสี่ยง ตรวจสอบและดำเนินการทบทวนระบบบริหารจัดการความมั่นคงปลอดภัย
ปรับปรุงแผนด้านความมั่นคงแลอดภัย และบันทึกการดำเนินการและการแก้ไขปรับปรุง (A) ได้แก่ ปรับปรุง
ระบบบริหารจัดการความมั่นคงปลอดภัย ดังนั้น กระบวนการ PDCA จึงเป็นวิธีที่มีกระบวนที่ชัดเจนสามารถ
นำไปประยุกตใ์ ชก้ บั ระบบบรหิ ารจัดการความม่ันคงปลอดภยั ได้อยา่ งมปี ระสิทธภิ าพ

247

หากอ้างอิงตามขอ้ กำหนดหลกั ของมาตรฐาน ISO/IEC 27001-Information security Management
Systems (ISMS) เป็นมาตรฐานด้านความปลอดภัยของข้อมูลเป็นส่วนหน่ึงของมาตรฐาน ISO/IEC 27000:
2008 ซึ่งเป็นเวอร์ชันล่าสุดที่เผยแพร่ ในปี 2013 ได้มีการปรับปรุงเล็กน้อย ISO/IEC 27000 : 2018 เป็น
มาตรฐานในการจัดการด้านความมั่นคงปลอดภัยของข้อมูล นำไปปรับใช้กับธุรกิจขนาดกลางและขนาดย่อม
และธุรกิจขนาดเล็ก รวมไปถึงองค์กรทั้งภาครัฐและภาคเอกชน โดยที่มาตรฐานฉบับใหม่ คือ มาตรฐาน
ISO/IEC 27001 ได้มกี ารประกาศใชเ้ มอ่ื เดือนกุมภาพนั ธ์ 2561

มาตรฐาน ISO/IEC 27001-ISMS มี 4 ขั้นตอน เช่นเดียวกันกับ PDCA เมื่อนำมาตรฐาน ISO/IEC
2701-ISMS เปรยี บเทียบกับ PDCA ไดด้ ังตารางที่ 1

ตารางที่ 1 การเปรียบเทยี บระหวา่ งมาตรฐาน ISO/IEC 27001-ISMS และมาตรฐาน PDCA

มาตรฐาน ISO/IEC 27001-ISMS มาตรฐาน PDCA
Establish the ISMS Plan
Implement and operate the ISMS Do
Monitor and review the ISMS Check
Maintain and Improve the ISMS Act

3. ภยั คุกคามในการทำธุรกรรมอิเลก็ ทรอนิกส์

ภัยคุกคามในการทำธุรกรรมอิเล็กทรอนิกส์เกิดขึ้นจากการใช้อินเทอร์เน็ต ภัยคุกคามอีคอมเมิร์ซ
การทำธุรกรรมในบางรายอาจเกิดโดยอุบัติเหตุ บางรายก็มีจุดประสงค์และมีบางส่วนที่เกิดจากภัยคุกคาม
ความปลอดภัย เช่น ระบบชำระเงินทางอิเล็กทรอนิกส์ ข้อมูลบัตรเครดิต การฉ้อโกงบัตรเครดิต/เดบิต เป็นตน้
ตัวอย่างการชำระเงินทางอิเล็กทรอนิกส์ซึ่งมีความสะดวก การดำเนินการรวดเร็ว สามารถชำระเงินได้
ทั้งบนคอมพิวเตอร์ โทรศัพท์เคลื่อนที่ (โทรศัพท์มือถือ) หรือชำระเงินผ่านทางเทคโนโลยีเครือข่ายต่าง ๆ
และได้กลายเป็นส่วนหนึ่งของชีวิตประจำวันไปแล้ว ข้อดีของการชำระเงินทางอิเล็กทรอนิกส์ คือ ใช้งานง่าย
ช่วยลดค่าใช้จ่ายด้านเอกสาร ค่าธรรมเนียมการโอนเงินและลดการจ่ายค่าจ้างพนักงานให้บริการ
ซึ่งไม่จำเป็นต้องจ้างพนักงาน เพราะระบบชำระเงินทางอิเล็กทรอนิกส์จะทำงานอั ตโนมัติอย่างต่อเนื่อง
ตั้งแต่เริ่มต้นจนเสร็จสิ้นกระบวนการทำงาน โดยไม่มีการประมวลด้วยมือเข้าไปแทรกการทำงานของระบบ
และข้อเสีย คือ มีความเสี่ยงจากภัยคุกคามด้านความปลอดภัยของเครือข่าย ได้แก่ Denial of Service,
Unauthorized access, Theft and fraud เป็นต้น Denial of Service (DoS) เป็นการโจมตีหรือความ
พยายามที่จะทำให้เครื่องหรือเครือข่ายของผู้ใช้ที่เป็นเป้าหมายไม่สามารถใช้บรกิ ารได้ เช่น ขัดขวางหรือชะลอ
บริการของแมข่ ่ายทเี่ ชือ่ มโยงกับอนิ เทอรเ์ นต็ อยา่ งชัว่ คราวหรือถาวร เปน็ ต้น Unauthorized access เป็นการ
เข้าถึงระบบโดยไม่ได้รับอนุญาตเพื่อโจรกรรมข้อมูล เช่น การละเมิดสิทธิ์ในการใช้คอมพิวเตอร์หรือระบบ
เครือข่ายคอมพิวเตอร์ ตัวอย่าง การเจาะระบบ (hacking) และการเดารหัสผ่านแบบถึก (Brute force)
เป็นต้น Theft and fraud เป็นการการโจรกรรมและการปลอมแปลงข้อมูล ตัวอย่าง Theft เป็นการท่ีคนร้าย
สวมรอยเป็นเจ้าของข้อมูล (ข้อมูลของบุคคลอื่น) แล้วขโมยหรือแอบนำเอาข้อมูลส่วนตัวของบุคคลอื่นไปทำ
ธุรกรรมการเงนิ กับธนาคารด้วยการเปิดบญั ชีธนาคารใหม่ ส่วน Fraud เป็นการฉ้อโกง การโกหกหรือการทุจริต
เพื่อหลอกลวงหรือหลอกล่อบุคคลหรือองค์กรอื่นในการแสวงหาผลประโยชน์อันมิชอบด้วยกฎหมายสำหรับ
ตนเองหรอื ผู้อนื่

248

การรักษาความปลอดภัยการทำธุรกรรมทางอิเลก็ ทรอนกิ ส์ (Secure Electronic Transaction: SET)
เป็นมาตรฐานโปรโตคอลเพื่อการสื่อสารสำหรับใช้ในการรักษาความปลอดภัยในขณะทำธุรกรรมทาง
อิเล็กทรอนิกส์ เช่น การชำระเงินด้วยบัตรเครดิตผ่านเครือข่ายอินเทอร์เน็ต SET ไม่ได้เป็นระบบการชำระเงิน
แต่เป็นชุดของโปรโตคอลที่มีความปลอดภัยและมีรูปแบบที่ช่วยให้ผูใ้ ช้สามารถชำระเงินด้วยบัตรเครดิตภายใต้
โครงสร้างพื้นฐานที่มีอยู่บนเครอื ข่ายแบบเปิดไดอ้ ย่างปลอดภัย อย่างไรก็ตาม SET ได้รับความล้มเหลว เพราะ
ไม่ได้รับความสนใจจากภาคธุรกิจเลย จนกระทั่ง VISA ได้เข้ามาส่งเสริมรูปแบบการรักษาความปลอดภัย
3 มิติ ทำให้การทำธุรกรรมทางอิเล็กทรอนิกส์บนอินเทอร์เน็ตมีความปลอดภัยมากขึ้น นอกจากนี้แล้ว SET
ยังได้รับการสนับสนุนจาก Master card, Visa, Microsoft, Netscape และอื่น ๆ ในการใช้ SET ผู้ใช้จะได้รบั
กระเป๋าสตางค์อิเล็กทรอนิกส์ (ซึ่งก็คือ ใบรับรองดิจิทัล) โดยที่ในการดำเนินธุรกรรมทางอิเล็กทรอนิกส์จะถู ก
ควบคุมและถูกตรวจสอบทั้งใบรับรองดิจิทัลและลายเซ็นดิจิทัลของผู้ใช้ว่าเป็นเจ้าของบัตรตัวจริงหรือไม่
ส่วนข้อมูลส่วนบุคคลทั้งของผู้ซื้อและผู้ขาย ทางธนาคารมีเก็บรักษาข้อมูลไว้เป็นความลับ บุคคลอื่นที่ไม่ใช่
เจ้าของขอ้ มูลตวั จรงิ ไมส่ ามารถละเมดิ สิทธเิ์ ข้ามาดูหรอื แก้ไขข้อมูลนี้ได้

มาตรฐานโปรโตคอลที่ใชใ้ นการทำธุรกรรมทางอิเลก็ ทรอนิกส์ ทีจ่ ะกลา่ วถึงในบทเรียนน้ี มดี งั นี้
- Digital Signature
- Protocol https
- OTP (One Time Password)
- Data Privacy Policy

4. Digital Signature

ในการลงลายมือชื่อเพื่อการทำธุรกรรมทางอิเล็กทรอนิกส์นัน้ มี 2 วิธีหลัก คือ Electronic signature
และ Digital Signature ซง่ึ มีความหมายและข้อแตกต่างกัน ดงั น้ี

พระราชบัญญัติ ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๔๔ ตราพระราชบัญญัติตาม “หมวด 2
มาตรา 2 “ลายมอื ชื่ออเิ ล็กทรอนกิ ส์ (Electronic signature)” หมายความวา่ อกั ษร อกั ขระ ตวั เลข เสียงหรือ
สัญลกั ษณ์อ่นื ใดทสี่ รา้ งข้นึ ให้อยู่ในรปู แบบอิเลก็ ทรอนกิ ส์ ซ่งึ นำมาใช้ประกอบกับขอ้ มลู อิเล็กทรอนิกส์เพอ่ื แสดง
ความสัมพันธ์ระหว่างบุคคลกับข้อมูลอิเล็กทรอนิกส์ โดยมีวัตถุประสงค์เพื่อระบุตัวบุคคลผู้เป็นเจ้าของลายมือ
ชื่ออิเล็กทรอนิกส์ที่เกี่ยวข้องกับข้อมูลอิเล็กทรอนิกส์นั้น และเพื่อแสดงว่าบุคคลดังกล่าวยอมรับข้อความใน
ข้อมูลอิเล็กทรอนิกสน์ ั้น” ตัวอย่างของการใช้สัญลักษณ์หรือลายเซ็นที่อยู่ในรูปแบบอิเล็กทรอนิกส์โดยบุคคลที่
ใช้ในการยืนยันการลงลายมือชื่อนั้น ตัวอย่างเช่น รูปภาพลายเซ็นที่ต้องเซ็นด้วยหมึกปากกาลงบนกระดาษ
จากน้นั จึงสแกนเข้าสู่ระบบคอมพวิ เตอร์ การใช้นว้ิ มือ (stylus) ดว้ ยการวาดรปู ลายเซ็นบนหน้าจอคอมพิวเตอร์
การลงลายเซ็นที่แนบท้ายอีเมล การพิมพ์ชื่อด้วยคีย์บอร์ด รูปภาพลายนิ้วมือ การคลิก “ I Agree” ใน
Electronic form ตา่ ง ๆ เปน็ ต้น ดังภาพท่ี 1

ภาพท่ี 1 สญั ลกั ษณ์ หรือลายเซน็ ท่ีอยูใ่ นรูปแบบอเิ ล็กทรอนกิ ส์ท่นี ิยมใชก้ นั
ที่มา : https://www.signinghub.com/electronic-signatures

249

Digital Signature หรือ Digital Signature Standard (DSS) หรือเรียกว่า “ลายเซ็นดิจิทัล”ซึ่ง
ต่อไปนี้จะเรียกว่า “ลายเซ็นดิจิทัล” พัฒนาโดย the United States National Security Agency (NSA)
และในปี 1994 the National Institute of Standards and Technology (NIST) ได้นำไปใช้ ปี 2013 เม่ือ
DSS ได้ถูกประกาศใช้ภายใต้ Federal Information Processing Standard (FIPS) 186 โดยทุกหน่วยงาน
และเอเจนซี่ต่าง ๆ ในประเทศสหรัฐอเมริกาได้นำเอาลายเซ็นดิจิทัลไปใช้ในการป้องกันสารสนเทศที่ยังไม่ผ่าน
การกลั่นกรอง DSS ได้ถูกนำไปใช้กับ the digital signature algorithm (DSA) ในการผลิตลายเซ็นดิจิทัล
ออกมา พรอ้ มกับกำหนด public keys (คยี ส์ าธารณะ) และ private keys (คยี ์ส่วนตัว)

ลายเซ็นดิจิทัล คือ การระบุตัวตนของบุคคลด้วยลายเซ็นดิจิทัล ซึ่งปกติแล้วการลงนามจะลงนามด้วย
ลายมือด้วยหมึกลงบนกระดาษ เพื่อการยืนยันของตัวบุคคลนั้น โดยลายเซ็นนั้นต้องได้ถูกรับรองตามกฎหมาย
แต่ลายเซ็นดจิ ิทัลน้นั เปน็ การนำเอาภาพ (image) ลายเซน็ ทถ่ี กู สรา้ งข้ึนใหใ้ กลเ้ คยี งกบั การเซ็นชอ่ื แบบเดิมหรือ
ลายเซ็นเดิมนั่นเอง ในการตรวจสอบลายเซ็นดิจิทัล จึงต้องมีการยืนยันว่าลายเซ็นนั้นเป็นของบุคคลที่เป็น
เจา้ ของลายเซ็นจริง ๆ โดยการตรวจสอบดว้ ยคียส์ ว่ นตัว (private key) ของบุคคลน้นั เอง

4.1 หลกั การของลายเซน็ ดิจทิ ัล
ลายเซ็นดิจิทัลได้มีการเตรียมพร้อม signed data (ข้อมูลที่อยู่ในรูปแบบของภาพลายเซ็น) เพ่ือ
นำมาใช้ในการตรวจสอบกับลายเซ็นดิจิทัล โดยใช้คีย์สาธารณะ (public key) ในการตรวจสอบลายเซ็นดิจิทัล
หรือสามารถใช้ hashing function ในการผลติ (generate) ลายเซ็นดิจทิ ลั ก็ได้เช่นเดยี วกนั ดงั น้ัน ทั้งสองวิธีมี
กระบวนการที่คล้ายคลึงกัน คือ ถูกนำมาใช้เพื่อสร้างและตรวจสอบลายเซ็นดิจิทัลสำหรับทั้งข้อมูลที่จัดเก็บ
และข้อมูลทีส่งผ่าน เนื่องจากเขียนลายเซ็นดิจิทัลของบุคคลใดบุคคลหนึ่งจะไม่เหมือนกันในแต่ละครั้ง ทั้งนี้
ขึ้นอยู่กับว่าเอกสารที่ลงลายเซ็นดิจิทัลนั้นคืออะไร ตัวอย่างเช่น ลายเซ็นดิจิทัลในทำธุรกรรมกับธนาคารกับ
ลายเซ็นดิจิทัลที่ใช้กับการสั่งซื้อสินค้าออนไลน์อาจใช้ลายเซ็นดิจิทัลที่แตกต่างกัน หรือแม้แต่ก ารลงลายเซ็น
ดิจิทัลในเอกสารเดียวกัน หากเซ็นหลาย ๆ ครั้ง ยังอาจมีความแตกต่างกันของลายเซ็นดิจิทัลได้ สิ่งหนึ่งที่
เปล่ียนแปลงเลยและใชใ้ นการยืนยันตวั บคุ คลได้ คือ ใบรบั รอง ดิจิทัล (Digital Certificate)

250

ผ้สู ่ง ขอ้ ความตน้ ฉบับ
Hashing
ข้อความตน้ ฉบบั
Message digest A เข้ารหัส (Encrypt)
Private Key ของผสู้ ่ง

ผปู้ ระกอบการรับรอง Digital
(Certificate Authority: CA) Signature

Public key ของผู้ส่ง อินเทอรเ์ นต็

Digital - ข้อความต้นฉบับ
Signature - Digital Signature
- Public key ของผสู้ ง่
Public Key ของผู้สง่ ผรู้ ับ

ถอดรหัส (decrypt) ขอ้ ความต้นฉบบั
Message digest A
Hashing
Message digest B

เปรียบเทยี บ
ตรงกัน เทยี บ ไมต่ รงกนั

เป็นขอ้ มูลจากผู้ส่งจรงิ เปน็ ลายเซน็ จริง ไมใช่ข้อมูลจากผสู้ ง่ เปน็ ลายเซ็นปลอม

ภาพท่ี 2 ระบบการทำงานของลายเซน็ ดจิ ทิ ลั
ทม่ี า : ดดั แปลงจาก: http://edi2.dft.go.th/download/digital_signature.pdf

251

ในภาพที่ 2 แสดงขั้นตอนของระบบการทำงานของลายเซ็นดิจิทัล เริ่มจากผู้ส่งได้ส่งข้อความต้นฉบบั
ออกไป โดยที่ข้อความต้นฉบับจะถูกแยกออกเป็นสองเส้นทาง เส้นทางที่หนึ่งจะเอาข้อความต้นฉบับไปทำ
hashing จะได้ message digest A ออกมา จากนั้นนำ message digest A ไปเข้ารหัส (encrypt) ด้วย
private key ของผสู้ ง่ แลว้ จะได้ Digital signature ออกมา ส่วนเสน้ ทางทส่ี องให้ส่งข้อความตน้ ฉบับทไี่ มถ่ ูกทำ
hashing พร้อมกับ Digital signature และ private key ของผู้ส่งจะถูกส่งผ่านทางอินเทอร์เน็ตไปให้ผู้รับ
จากนั้นใช้ public key ของผู้ส่งไปถอดรหัส (decrypt) Digital signature ซึ่งจะได้ message digest A
ออกมา แล้วให้เอาข้อความต้นฉบับไปทำ hashing แล้วจะได้ message digest B ออกมา จากนั้นให้ระหว่าง
message digest A และ message digest B ถ้าผลการเปรยี บเทียบ message digest A เทา่ กบั message
digest B ก็สรุปว่า ข้อความต้นฉบับนั้นส่งมาจากผู้ส่งตัวจริงและเป็นลายเซ็นจริง แต่ถ้าผลการเปรียบเทียบ
ไม่ตรงกันก็สรปุ ไดว้ า่ เปน็ ลายเซน็ ปลอม ข้อความทสี่ ่งมานนั้ ไม่ได้มาจากผู้สง่ จรงิ

Hashing หรือ Hashing Function คือ การเปลี่ยนแปลงข้อมูลหรือข้อความ (Message) ที่มีความ
ยาวที่ไม่คงที่หรือแปรผันได้ (variable length input) ให้เป็นข้อมูลหรือข้อความที่มีความยาวคงที่ (Fixed
length input) ที่เรยี กวา่ Message Digest

5. Digital Certificate

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ) ได้ให้คำอธิบายความหมายของคำศัพท์คำว่า
“Digital Certificate” คือ ใบรบั รองทม่ี ีขอ้ มลู บ่งบอกถึงบคุ คลหรือหน่วยงานใด ๆ ว่าเป็นเจา้ ของ Public key
หนึ่ง ๆ ซึ่งข้อมูลดังกล่าวได้รับการรับรองโดยหน่วยงานผู้ออกใบรับรองที่เรียกว่า Certificate authority
ข้อมูลที่สำคัญภายในใบรับรองประกอบด้วย ชื่อหน่วยงานผู้ออกใบรับรอง ชื่อบุคคลหรือหน่วยงานที่ได้รับการ
รับรอง วันหมดอายุของใบรับรอง Public key และ Digital signature ที่เซ็นกำกับใบรับรอง Digital
Certificate สามารถนำไปใช้ในการทำธุรกรรมทางอิเล็กทรอนิกส์ระหว่างผู้อื่นอย่างมั่นคง ปลอดภัย ด้วยการ
ใช้ Public key จาก Digital Certificate ในการถอดรหัสลับข้อมูล ผู้ใช้สามารถตรวจสอบข้อมูลว่ามาจาก
บุคคลที่ได้รับการรับรองจริง การเข้ารหัสและลายมือชื่อในการทำธุรกรรม สามารถรักษาความลับและความ
ถูกต้องของข้อมูลได้ และสร้างความน่าเชื่อถือมากขึ้นด้วยการออกใบรับรองอิเล็กทรอนิกส์ ( Digital
Certificate) ซึ่งออกโดยองค์กรกลางที่เรียกว่า องค์กรรับรองความถูกต้อง (Certificate Authority – CA) คือ
ผู้ประกอบกิจการออกใบรับรองอิเล็กทรอนิกส์เป็นที่เชื่อถือได้ ซึ่งเปรียบเสมือนบัตรประจำตัวที่ใช้ในการระบุ
ตัวบุคคล ตัวอย่างของผู้ให้บริการออกใบรับรอง เช่น Verisign, Entrust, Globalsign เป็นต้น ตัวอย่างของ
Digital Certificate ดังภาพที่ 3

ภาพท่ี 3 Digital Certificate
ทีม่ า : https://rath.asia/2017/02/https-and-related-technology-explained/

252

Digital Certificate แบ่งออกเปน็ 2 ประเภท คือ
5.1 Personal Certificate เป็นใบรับรองอิเล็กทรอนิกส์ที่ออกให้กับบุคคลธรรมดาหรือนิติบุคคล

เพื่อใช้ในการยืนยันว่าบุคคลที่ติดต่อหรือทำธุรกรรมด้วยนั้นมีตัวตนจริง ใบรับรองอิเล็กทรอนิกส์ใช้สำหรับการ
รับและส่งอีเมลทีป่ ลอดภยั โดยอเี มลน้ตี อ้ งมกี ารลงลายมือช่อื ดจิ ิทัล และ/หรือการเข้ารหัสขอ้ มลู (Encryption)
ท้งั นสี้ ามารถใชง้ านผ่านทางโปรแกรม e-mail Client ของ Outlook Express หรอื Microsoft Outlook

5.2 Web Server Certificate หรอื ใบรบั รองอิเล็กทรอนิกสส์ ำหรับเครอื่ งแม่ขา่ ย (Web Server)
เป็นใบรับรองที่ออกให้กับเครื่องคอมพิวเตอร์ที่ทำหน้าที่เป็นเครื่องแม่ข่าย (Web Server) ดังนั้นจึงต้องมีการ
ติดตั้งใบรับรองรองอิเล็กทรอนิกส์ เพื่อให้สามารถใช้งานมีการเชื่อมต่อแบบปลอดภัย ที่เรียกว่า SSL (Secure
Socket Layer) อีกทั้งยังรวมถึงการรับรอง Domain Name และเจ้าของ DomainName ด้วย ทำให้การทำ
ธรุ กรรมผา่ นเว็บไซตเ์ กิดความความเช่ือม่ันในการเผยแพร่ข้อมูลแกบ่ ุคคลทัว่ ไปหรือการทำธรุ กรรม และมีความ
ไว้วางใจซึ่งกันและกัน การออกใบรับรองอาจจะออกมาในรูปแบบของแผ่น CD, USB Token หรือ Smart
card ซง่ึ สามารถนำไปตดิ ตั้งทีเ่ ครือ่ งแม่ขา่ ย Web Server ใด ๆ

ตารางที่ 2 แสดงรายละเอียดของการออกใบรับรองในรูปแบบ CD, USB Token และ Smart card

รูปแบบ CD USB Smart
(File) Token card
มรี หสั ผา่ น เพอ่ื ป้องกันการตดิ ตง้ั และใช้งาน
มีรหัสผา่ น (Pin code) √√×
ติดต้งั ใบรับรองฯ ( Digital Certificate) ในเครื่องคอมพิวเตอร์ ××√
มคี วามปลอดภยั สงู √××
ไม่จำเปน็ ต้องมีเครอ่ื งอ่าน (Reader) ×√√
รูปแบบ Digital File ตามมาตรฐาน PKCS#12 √×√
ขอ้ มูลกญุ แจคูใ่ นตัว USB Token/Smart card ตามมาตรฐาน PKCS#11 √××
สามารถ Export ขอ้ มลู กญุ แจส่วนตัวออกจากไฟล์/USB/Cardได้ ×√√
√××

6. คุณสมบตั ิของกุญแจส่วนตวั (Private key) และกุญแจสาธารณะ (Public key)

6.1 นำข้อมูลเข้ารหัสด้วยกุญแจส่วนตัว (Private key) จะต้องใช้กุญแจสาธารณะในการถอดรหัส
ข้อมูลเพื่อเป็นการยืนยันว่าข้อมูลนี้ส่งมาจากผู้ส่งจริง ตัวอย่าง มุนินทร์เข้ารหัสข้อมูลด้วยกุญแจส่วนตัวของ
มุนินท์เอง เมื่อส่งข้อมูลให้เจนภพ ถ้าเจนภพใช้กุญแจสาธารณะของมุนินทร์แล้วอ่านข้อมูลได้แสดงว่าถูกต้อง
แต่ถา้ ใชก้ ุญแจสาธารณะของนพนภามาถอดรหัส กจ็ ะไดข้ ้อมูลที่อ่านไม่ออกหรอื ไม่ถกู ตอ้ ง

6.2 นำข้อมูลเข้ารหัสด้วยกุญแจสาธารณะ (Public key) จะต้องใช้กุญแจส่วนตัวในการถอดรหัส
ข้อมูล เพื่อต้องการให้ผู้รับสามารถถอดรหัสข้อมูลได้เท่านั้น ผู้อื่นได้ข้อมูลไปก็จะไม่สามารถถอดรหัสได้ เช่น
มุนินทร์เข้ารหสั ข้อมูลด้วยกุญแจสาธารณะของเจนภพ ข้อมูลนีจ้ ะถูกถอดรหัสได้เฉพาะเจนภพเท่านัน้ โดยการ
ใชก้ ุญแจส่วนตวั ของเจนภพในการถอด ถา้ นพนภาได้ขอ้ มลู นี้ไปก็จะถอดรหัสข้อมลู ทถ่ี ูกตอ้ งไมไ่ ด้

253

7. Protocol https

Protocol คือ ข้อกำหนดมาตรฐานหรือข้อตกลงที่ใช้ในการสื่อสารระหว่างคอมพิวเตอร์หรืออาจเรียก
ได้ว่าเป็นภาษาที่ใช้ในการสื่อสารระหว่างคอมพิวเตอร์ด้วยกันก็ได้ โปรโตคอลช่วยให้ระบบคอมพิวเตอร์สอง
ระบบที่แตกต่างกันสามารถสื่อสารกันเข้าใจกันได้ ข้อตกลงในที่นี้ คือ การกำหนดวิธีการรับและส่งข้อมูล
การกำหนดสัญญาณเริ่มสง่ ขอ้ มูล สัญญาณสนิ้ สุด กำหนดวิธีการตรวจสอบข้อผิดพลาดของการสง่ และรับข้อมูล
การแสดงผลข้อมูลเม่ือสง่ และรับกนั ระหวา่ งเคร่อื งสองเครอื่ ง เป็นต้น

http (Hypertext Transfer Protocol) คอื โปรโตคอล (Protocol) ท่ีใช้ในการสื่อสารหรอื แลกเปล่ยี น
ข้อมูลกันระหว่าง Web Server และ Web Client (Browser) ใช้ URL (Uniform Resource Locator) ใน
การเข้าถึงเว็บไซต์ (Web Site) จะขึ้นต้นด้วย http:// แล้วตามด้วยชื่อของเว็บไซต์ การส่งข้อมูลเป็นแบบ
Clear text ไม่มีการเข้ารหัสข้อมูลในระหว่างการส่งข้อมูล (None-Encryption) จึงทำให้สามารถถูกดักจับได้
และอ่านข้อมูลนั้นรู้เรื่องทำงานที่ port 80 (Standard) ดังนั้น http จึงได้ถูกพัฒนามาเป็น https โดยได้เพ่ิม
ความปลอดภัยเข้าไปดว้ ย

https (Hypertext Transfer Protocol Secure) เป็นส่วนเสริมของ Hypertext Transfer Protocol
(http) และถูกพัฒนาโดย Netscape โดยที่ https จัดว่าเป็นโปรโตคอลหนึ่งที่ถูกนำมาใช้ในการสื่อสารที่มี
ความปลอดภัยผ่านทางเครือข่ายคอมพิวเตอร์และบนอินเทอร์เน็ต การสื่อสารโดยใช้ https จะถูกเข้ารหัสโดย
ใช้ Transport Layer Security (TLS) หรือก่อนหน้านี้ Secure Sockets Layer (SSL) รุ่นก่อน โปรโตคอลจึง
มักเรียกว่า http ผ่าน TLS หรือ http ผ่าน SSL นอกจากนี้ https ยังทำหน้าที่ในการตรวจสอบถูกต้องของ
การมีสิทธิ์ของผู้ใช้ในการเข้าถึงข้อมูล ช่วยปกป้องการยืนยันระบุตัวตน (Authentication) ในระหว่างมีการ
โอนหรือแลกเปลี่ยนข้อมูล และยังช่วยป้องกันการโจมตจี ากบุคคลท่ีสาม (Hacker) ในขณะที่มีการเข้ารหัสการ
สื่อสารระหว่างผู้ส่งข้อความ (Message) และผู้รับข้อความ ป้องกันการดักฟงั และการแก้ไขการสื่อสาร เป็นตน้
ปี 2561 เป็นต้นมา https ได้ถูกใช้โดยผู้ใช้เว็บมากกว่า http เพราะ https มีความปลอดภัยมากกว่า http
https ช่วยป้องกันความถูกต้องของ webpage ของเว็บไซต์ทุกประเภทและปกป้องความเป็นส่วนตัวระหว่าง
มกี ารสอื่ สารกนั การใช้ https ส่วนใหญจ่ ะใชส้ ำหรับการทำธรุ กรรมการชำระเงินบน World Wide Web และ
อเี มล

Secure Sockets Layer (SSL) เป็นเทคโนโลยีรักษาความปลอดภัยในการเข้าถึงข้อมูลระหว่าง
ผู้ใช้งานอินเทอร์เน็ตและเซิร์ฟเวอร์ ด้วยการเข้ารหัสข้อมูลเพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูล
บนเครือข่ายอินเทอร์เน็ตระหว่างเครื่องเซิร์ฟเวอร์กับเว็บเบราว์เซอร์ การใช้งานใช้วิธีการเรียกใช้งานโดยเรียก
ผ่านโปรโตคอล https SSL ถือเป็นมาตรฐานความปลอดภัยที่ได้รับความนิยมและใช้เพื่อป้องกันการถูกดักจับ
ขอ้ มูล (Sniffer) บนโครงข่ายอินเทอร์เน็ต ปัจจบุ นั SSL ได้มกี ารพัฒนาเป็นขึ้นมาเป็น TLS (Transport Layer
Security)

Secure Sockets Layer certificate (SSL certificate) คือ ใบรับรองอิเล็กทรอนิกส์ซึ่งอยู่ในรูปของ
ไฟล์ข้อมูลขนาดเล็กที่ผูกไว้กับ Private Key ของเครื่องเซิร์ฟเวอร์ SSL certificate จะถูกใช้ในการยืนยัน
ตัวตนและความถูกต้องในการส่งข้อมูลระหว่างเครื่องเซิร์ฟเวอร์กับเว็บเบราว์เซอร์ที่ใช้งาน มีการเข้ารหัสและ
ถอดรหัสผ่านเทคโนโลยี SSL/TLS หากข้อมูลถูกดักจับไปได้ระหว่างการส่งข้อมูล ข้อมูลก็ยังมีความปลอดภัย
เพราะแฮกเกอร์จะไม่สามารถถอดรหัสข้อมูลไปได้ เพราะข้อมูลแฮกเกอรฺที่ได้ไปนั้นจะอยู่ในรูปแบบที่ไม่
สามารถอ่านออกมาได้ จำเปน็ ตอ้ งมีคยี ์สำหรับใชถ้ อดรหัสที่ตรงกันเท่านน้ั จงึ จะสามารถถอดรหัสได้

254

7.1 https ทำงานอยา่ งไร
https คือ http ที่ทำงานบน SSL/TLS โดยมี SSL/TLS ขั้นกลางระหว่าง Application Layer และ
Transport Layer ดังภาพท่ี 4

Application Layer Handshake Layer
SSL/TLS Layer SSL/TLS Layer
Record Layer
Transport Layer
Network Layer
Data Link Layer
Physical Link Layer

ภาพท่ี 4 Secure Sockets Layer/ Transport Layer Security

https ใช้ในการส่งข้อมูลที่ได้มีการเข้ารหัส (Encrypt) แล้ว จะได้ผลออกมาเป็น digital signature
ซึ่งถูกส่งผ่านเครือข่ายคอมพิวเตอร์ (Network layer) (ดูภาพที่ 2 ประกอบ) เมื่อข้อมูลถูกส่งไปถึงผู้รับ ผู้รับก็
จะตอ้ งถอดรหัส (Decrypt) โดยอาศยั SSL certification หรือใบรับรองอิเลก็ ทรอนกิ ส์ (digital certification)
ซึ่งเทคโนโลยีนี้ถูกเรียกว่า Digital signature นั่นเอง ภายหลังจากที่ทำ SSL handshake แล้ว ข้อมูลที่ถูกส่ง
ด้วย https ระหว่างเว็บเบราว์เซอร์และเว็บเซิร์ฟเวอร์ จะถูกเข้ารหัสด้วย SSL/TLS โดยอัตโนมัติ ทำให้ข้อมูล
ไม่รั่วไหลระหว่างการส่งข้อมูล นอกจากนี้ยังทำให้ข้อมูลที่ส่งจากต้นทางไปยังปลายทางนั้นมีความปลอดภัย
และเว็บไซต์ก็มีความน่าเชื่อถือมากขึ้น ในขณะเดียวกัน https ยังช่วยทำให้ SEO (Search Engine
Optimization) คือ การทำให้อันดับของเว็บไซต์ติดอยู่ในอันดับต้น ๆ อาจทำได้โดยการปรับแต่งเว็บไซต์หรือ
อาจมกี ารเพมิ่ ลงิ กท์ ม่ี คี ุณภาพมายงั เว็บไซตแ์ ละยงั ปอ้ งกันการถกู โจมตจี ากผทู้ ไ่ี มป่ ระสงคด์ ี

8. One Time Password (OTP)

One Time Password (OTP) หรือนยิ มเรียกสั้น ๆ วา่ “OTP” เป็นรหสั ผ่าน (Password) ทใ่ี ชใ้ นการ
Log-In เข้าสู่ระบบต่าง ๆ ได้แก่ E-Mail Server, File Server, VPN, Active Directory, Radius เป็นต้น
โดยที่รหัสผ่านนี้สามารถใช้ได้เพียงครั้งเดียวเท่านั้น ซึ่งรหัสผ่านนี้จะมีการ Random ทุกนาทีเพื่อเปลี่ยน
รหัสผ่านใหม่ไม่ให้ซ้ำเดิม ทั้งนี้ OTP จะช่วยเพิ่มระดับความปลอดภัยของการ Log In เมื่อเปรียบเทียบกับการ
ใช้รหัสผ่านแบบเดิม ซึ่งกำหนดรหัสผ่านเป็นแบบตายตัว (Fix Password) นอกจากนี้แล้ว ระบบ One-Time
Password (OTP) ยังมีอีกหลายรูปแบบที่สามารถนำไปปรับใช้ได้กับอุปกรณ์ Hardware, Software, E-mail,
SMS และ Web แต่ที่ได้รับความนิยมมากจะเป็นการใช้บนอุปกรณ์พกพาหรือ Token เพื่อสร้างรหัสผ่านและ
ส่งรหสั ผ่านไปยังโทรศัพทม์ อื ถือที่ไดม้ ีการลงทะเบียนไว้แล้ว เรยี กว่า Mobile Password

255

One Time Password คือ ชุดรหัสผ่านที่ใช้ได้เพียงครั้งเดียวกับระบบการชำระเงิน OTP เป็นสตริง
ตัวเลขหรือตัวอักษรและตัวเลขที่สร้างขึ้นโดยอัตโนมัติที่รับรองความถูกต้องของผู้ใช้สำหรับธุรกรรมเดียวหรือ
เซสชัน (Session) การเข้าสู่ระบบ ถกู สร้างขนึ้ เพื่อความปลอดภัยในการทำธุรกรรมทางอินเทอรเ์ นต็ OTP ซึ่งมี
ความปลอดภัยมากกว่ารหัสผ่านแบบคงที่โดยเฉพาะอย่างยิ่งรหัสผ่านที่ผู้ใช้สร้างขึ้นเองอาจถูกนำกลับมาใช้ซ้ำ
ในหลาย ๆ บัญชีได้ OTP สามารถแทนที่ข้อมูลการเข้าสู่ระบบการตรวจสอบความถูกต้องหรืออาจใช้เพิ่มเติม
เพื่อเพิ่มความปลอดภัยอีกชั้น โดยใช้เป็นตัวเลขจำนวน 6 หลัก ที่เรียกว่า PIN number ที่ระบบจะส่งไปยัง
SMS โทรศัพท์มือถือของผู้ที่จะชำระเงินเพื่อใช้ตรวจสอบและยืนยันการเป็นเจ้าของบัญชีก่อนการเข้าถึงและ
เปลย่ี นแปลงขอ้ มลู ส่วนตัวต่าง ๆ รหสั ผ่านชุดน้จี ะเปลยี่ นแปลงทุก ๆ 30 หรอื 60 วินาที หากเกินเวลาดังกล่าว
แล้วจะไม่สามารถนำรหัสผ่านนั้นกลับมาใช้ได้อีก ต้องดำเนินการเพือ่ ขอ OTP ใหม่ ทั้งนี้ OTP จึงเป็นส่วนหนึง่
ของระบบที่ช่วยลดความเสีย่ งในการทำธุรกรรมทางอนิ เทอรเ์ นต็ ไดอ้ ยา่ งมีประสทิ ธภิ าพ

วิธีรับรหัสผา่ นครง้ั เดยี ว
เมื่อผู้ใช้ที่ไม่ได้รับการพิสจู น์ตวั ตนพยายามเขา้ ถึงระบบหรือทำธุรกรรมบนอุปกรณ์ เช่น โทรศัพท์มือถือ
หรืออินเทอร์เน็ต ผู้จัดการระบบ (authentication manager) จะทำการตรวจสอบความถูกต้องบนเซิร์ฟเวอร์
เครือข่าย โดยจะสร้างหมายเลขหรือข้อมูลลับ คือ OTP หรือรหัสผ่านแบบใช้ครั้งเดียวหลายบริษัทใช้ Short
Message Service (SMS) เพื่อใช้ส่งรหัสผ่านชั่วคราว OTP ผ่านทาง SMS สำหรับการรับรองความถูกต้อง ผู้ใช้
จะต้องป้อน username และ password เพื่อเข้าสู่ระบบเครือข่ายและเว็บแอปพลิเคชัน จึงสามารถที่รับ
รหัสผ่านชัว่ คราว OTP น้ันได้ จากนัน้ จงึ ใชร้ หสั ผ่านช่ัวคราวเพ่อื เข้าถึงบัญชหี รอื ระบบตอ่ ไป วิธกี ารรับรหัส OTP
มหี ลายวธิ ี ตัวอยา่ งเชน่

ภาพท่ี 5 OTP Generator application

จากภาพที่ 5 แสดง OTP Generator ซึ่งเป็นแอปพลิเคชันซอฟต์แวร์ เช่น แอปพลิเคชัน WebOS
ที่สร้างรหัสผ่านแบบใช้ครั้งเดียวที่ได้มาตรฐาน RFC 2289 รองรับอัลกอริธึมการแยกย่อยข้อความ MD4 และ
MD5 ตัวอย่าง การใช้บัตรเครดิตที่ออกโดยธนาคารให้กับเจ้าของบัญชี โดยบัญชีนั้นต้องเป็นบัญชีออนไลน์

256

ซึ่งต้องมีการรับรองความถูกตอ้ งด้วย Certificate Authority (CA) Technologies ดังนั้น เจ้าของบัญชีจึงต้อง
ลงทะเบียนเพิ่มสำหรับ CA นี้ หลังจากนั้นเจ้าของบัญชีจะได้รับลิงก์ (Link) สำหรับดาวน์โหลดบัญชีธนาคาร
ไปยังอุปกรณ์ (เช่น โทรศัพท์มือถือ) พร้อมทั้งรหัสผู้ใช้และรหัสเปิดใช้งาน เจ้าของบัญชีสามารถเรียกใช้
แอปพลิเคชัน CA Mobile OTP บนอุปกรณ์และป้อนข้อมูลส่วนบุคคลที่อาจได้รับจากธนาคาร เพื่อเปิดใช้งาน
ในการรับรองความถูกต้อง OTP กับธนาคารนี้ จากนั้นเจ้าของบัญชีเลือก PIN ส่วนบุคคลที่จะใช้ในการสร้าง
OTP สำหรับบัญชีนี้ OTP สามารถสร้างข้ึนไดโ้ ดยไมต่ ้องเช่ือมต่อกบั เครอื ข่ายมือถือ ทำใหเ้ จา้ ของบญั ชสี ามารถ
ตรวจสอบสิทธิ์ได้ทุกที่ทกุ เวลาโดยใช้รหัสผ่านแบบครั้งเดียวท่ีสร้างขึ้นบนอุปกรณ์นี้ เมื่อเจ้าของบัญชีได้รับการ
รับรองความถูกต้องกับบัญชีออนไลน์ เจ้าของบัญชีต้องป้อนรหัสผ่าน (personal PIN) ผ่านแอปพลิเคชัน CA
Mobile OTP จากนั้นเจ้าของบัญชีจะได้รับ OTP ที่ปรากฏบนหน้าจอ จากนั้นเจ้าของบัญชีต้องป้อน OTP
ลงในพรอมท์แอปพลิเคชันเพื่อตรวจสอบธุรกรรมการชำระเงินอิเล็กทรอนิกส์หรือเพื่อเข้าสู่ (login) บัญชีของ
เจ้าของบัญชีต่อไป นอกจากนั้นวิธีการรับรหัส OTP ยังสามารถรับรหัสผ่านนี้ ผ่านทาง e-mail address และ
OTP Emergency Token ได้อกี ด้วย

9. Data Privacy Policy

ปัจจุบันอัตราการเจริญเติบโตของพาณิชย์อิเล็กทรอนิกส์ในประเทศไทยเพิ่มสูงขึ้นมากตามการ
คาดการณ์ของ Forrester แต่แนวโน้มของการทำพาณิชย์อิเล็กทรอนิกส์ของประชาชนยังไม่เป็นที่แพร่หลาย
หรือเป็นที่นิยมเท่าที่ควร ก็เพราะว่าประชาชนยังขาดความเชื่อมั่นในการซื้อสินค้าผ่าน ทางอิเล็กทรอนิกส์
อันมาจากสาเหตุของความกังวลใจในเรื่องของการรักษาความเป็นส่วนตัวและข้อมูลส่วนบุคคล เนื่องจาก
ศักยภาพของเทคโนโลยีสามารถเก็บรวบรวมข้อมูลบุคคลและติดตามเฝ้าดูพฤติกรรมของลูกค้าที่เข้าใช้บริการ
เว็บไซต์ แต่ก็มีปัญหาในกรณีที่ลูกค้าที่มาใช้บริการเว็บไซต์ไม่ยินยอมหรือยินยอมในการให้นำข้อมูลไปใช้ได้
ซ่ึงบางทกี พ็ บวา่ มีการใชข้ อ้ มลู เกนิ ขอบเขตทไ่ี ดร้ ับความยนิ ยอม กรณีเชน่ นี้ ทำให้ลกู คา้ ไมม่ ีความม่นั ใจและขาด
ความน่าเชื่อถือในการเข้ามาทำธุรกรรมซื้อขายสินค้าผ่านทางเว็บไซต์ และอีกทั้งยังกลัวการสูญเสียความเป็น
ส่วนตวั และการถูกนำข้อมลู ส่วนบุคคลไปใช้ทางทผ่ี ิดหรือไม่ได้ให้ความยินยอมไว้ ฉะน้ัน การแก้ปัญหาของผู้ทำ
ธุรกิจ คือ การสร้างความเชื่อมัน่ ให้กับลูกค้าหรือผู้บริโภคในเรื่องของข้อมูลที่มีความเป็นสว่ นตัวและข้อมูลส่วน
บุคคลที่เก็บอยู่ในระบบการค้าขายทางออนไลน์ วิธีการหน่ึงที่ถูกนำมาใช้กับเว็บไซต์ของธุรกิจ คือ การนำเอา
Privacy Policy หรอื Data Privacy Policy มาใชก้ ับเว็บไซต์

9.1 Privacy Policy
ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (2548) ได้ให้คำนิยามของคำว่า “Privacy
Policy (นโยบายความเป็นส่วนตัว) คือ สิ่งที่ผู้ทำธุรกิจผ่านทางเว็บไซต์บอกแก่ลูกค้าที่เข้ามาใช้บริการเว็บไซต์
ให้ได้ทราบถึงแนวทางปฏิบัติของตนในการเก็บรวบรวม การใช้และการให้ความคุ้มครองข้อมูลส่วนบุคคลของ
ลูกค้า ซึ่งลูกค้าที่เช้ามาใช้บริการเว็บไซต์ก็จะใช้ Privacy Policy ในการพิจารณาว่าจะให้หรือไม่ให้ข้อมูลส่วน
บุคคลของลูกค้าของตนแก่เว็บไซต์” สำหรับการจัดทำ Privacy Policy ของเว็บไซต์ในประเทศไทย ทางศูนย์
เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติไดทำการสำรวจการจัดทำ Privacy Policy ของเว็บไซต์
ณ เดือนพฤศจิกายน 2546 พบว่ามีเพียงร้อยละ 8.1 หรือมีจำนวน 59 เว็บไซตจากจำนวน 730 เว็บไซต์
เทา่ น้ัน ท่มี ี Privacy Policy

257

ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (2548) ได้กำหนดขั้นตอนเบื้องต้นของการ
จัดทำ Privacy Policy โดยแบงออกเปน็ 5 ข้ันตอน ดังน้ี

9.1.1 สำรวจแนวปฏบิ ัตติ ่อขอ้ มูลสว่ นบุคคลท่เี ปน็ อยู่
9.1.2 สำรวจว่าแนวปฏิบัติต่อข้อมูลส่วนบุคคลเป็นธรรมและเหมาะสมต่อลูกค้าผู้เข้ามาใช้
บริการหรือไม
9.1.3 สำรวจข้อกำหนดเกี่ยวกับการใช้เครื่องหมายรับรอง (กรณีที่มีการสมคั รใช้เครื่องหมาย
รบั รอง)
9.1.4 กำหนดสาระสำคญั ทค่ี วรต้องมีใน Privacy Policy
9.1.5 เผยแพร Privacy Policy ผา่ นทางเว็บไซต์

ดังนั้น เจ้าของเว็บไซต์ทั้งหลายในประเทศไทยจึงควรต้องปรับเปลี่ยนแนวปฏิบัติต่อข้อมูลส่วนบุคคล
ให้มีความเหมาะสมและเป็นธรรมต่อผู้เข้ามาใช้บริการเว็บไซต์ในต่างประเทศ ตัวอย่างเช่น ประเทศ
สหรัฐอเมริกา แคนาดา และในกลุ่มประเทศสหภาพยุโรป (European Union) ได้มีการยอมรับกันเกี่ยวกับ
แนวปฏิบัติต่อข้อมูลส่วนบุคคลที่มีความเหมาะสมและเป็นธรรมต่อผู้เข้ามาใช้บริการเว็บไซต์ ตั้งแต่ ปี ค.ศ.
1973 (พ.ศ. 2516) จนถงึ ปจั จุบนั ซง่ึ แนวปฏบิ ัตติ อ่ ข้อมูลสว่ น (NCAS) ประกอบดว้ ย

- Notice (การแจ้งให้ทราบ) ผู้ประกอบธุรกิจผ่านทางเว็บไซต์จะต้องมีการแจ้งให้ลูกค้าที่เข้ามาใช้
บริการได้ทราบถึงแนวทางการปฏิบัติต่อข้อมูลส่วนบุคคลเสียก่อนที่จะมีการเก็บรวบรวมข้อมูลส่วนบุคคลของ
ลูกคา้

- Choice (การให้ทางเลือก) ในกรณีที่ผู้ประกอบธุรกิจผ่านทางเว็บไซต์ หากต้องการใช้ข้อมูลเพื่อ
วัตถุประสงค์อย่างอื่นที่แตกต่างไปจากวัตถุประสงค์ที่เก็บรวบรวมมา ผู้ประกอบธุรกิจผ่านทางเว็บไซต์ ต้องมี
แนวการจัดทำ Privacy Policy ทางเว็บไซต์และต้องให้ลูกค้ามีสิทธิเลือกได้ว่าจะยอมให้ใช้หรือไม่ยอมให้ใช้
ข้อมูลสว่ นบุคคล และถ้าจะยอมให้ใช้ข้อมลู ได้นั้นจะต้องมีเงอ่ื นไขหรอื ขอบเขตการให้ใชข้ ้อมลู อย่างไร

- Access (การยอมให้เข้าถึง) ผู้ประกอบธุรกิจผ่านทางเว็บไซตต้องยอมให้ลูกค้าสามารถตรวจดแู ละ
โตแยง้ เก่ยี วกบั ความถูกต้องสมบูรณของขอ้ มูลส่วนบคุ คลเก่ยี วกบั ลกู คา้ คนดังกล่าว

- Security (การรักษาความปลอดภัย) ผู้ประกอบธุรกิจผ่านทางเว็บไซตจะต้องใช้วิธีการที่เหมาะสม
เพ่อื ใหข้ ้อมลู ทเ่ี ก็บรวบรวมมาจากลกู ค้ามีความครบถว้ นถกู ต้องและไมถูกนำไปใชโ้ ดยมิชอบ

9.2 กำหนดสาระสำคัญทค่ี วรต้องมีใน Privacy Policy

การกำหนดสาระสำคัญที่ควรต้องมีใน Privacy Policy ก็ขึ้นอยู่กับว่าแต่ละเว็บไซต์ต้องการดำเนินการ
อะไรบ้างเกี่ยวกับข้อมูลส่วนบุคคล ดังนั้น จากผลการสำรวจของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์
แหง่ ชาติ สรุปได้วา่ สาระสำคัญท่คี วรต้องมกี ารกำหนดไว้ใน Privacy Policy มีดังต่อไปน้ี

9.2.1 ชื่อ Privacy Policy เป็นสิ่งแรกที่ต้องบอกให้ผู้ใช้บริการได้รู้ก่อนเรื่องอื่น ๆ ว่า
Privacy Policy นี้เป็นของเว็บไซต์ไหน ตัวอย่าง เว็บไซต์ www.yahoo.com ได้กำหนดชื่อ Privacy Policy
วา่ “yahoo! Privacy Policy” เปน็ ตน้

9.2.2 วันที่มีการปรับปรุง Privacy Policy ล่าสุด ตัวอย่าง เว็บไซต์ www.yahoo.com ได้
เปิดใช้เว็บไซต์มาตั้งแต่วันที่ 15 มกราคม 2546 เมื่อมีการปรับปรุงก็ให้ระบุว่า ได้ปรับปรุงล่าสุดเมื่อวันที่ 25
มกราคม 2557 เปน็ ต้น

258

9.2.3 กรณีได้รับเครื่องหมายรับรอง เป็นวิธีการอย่างหนึ่งในการสร้างความน่าเชื่อถือให้กับ
ผู้ใช้บริการเว็บไซต์ว่าผู้ประกอบธุรกจิ ผ่านทางเว็บไซต์มีแนวปฏิบัตทิ ่ีดีต่อข้อมูลส่วนบคุ คล ในกรณีท่ีเว็บไซต์ใด
มกี ารใช้เครอ่ื งหมายรบั รองนนั้ กต็ อ้ งระบุขอ้ ความตามขอ้ กำหนดของผใู้ ห้บรกิ ารเคร่ืองหมายรบั รอง

9.2.4 ขอบเขตการใช้บังคับ Privacy Policy เจาของเว็บไซต์ต้องบอกว่าข้อมูลส่วนบุคคล
และการดำเนินการของบุคคลใดบา้ งทีจ่ ะตกอยใู่ นบังคับของ Privacy Policy

9.2.5 การแจ้งให้ทราบถึงการเปลี่ยนแปลง Privacy Policy เจาของเว็บไซต์ต้องระบุไวใน
Privacy Policy ให้ผู้เขา้ มาใช้บริการเวบ็ ไซต์ทั้งหลายไดทราบว่าหากจะมกี ารเปลยี่ นแปลง Privacy Policy จะ
ใช้วิธีการใดที่จะแจ้งให้ผู้ใช้บริการทราบ เจาของเว็บไซต์ควรจะไดรับความยินยอมจากผู้ใช้บริการแนวการ
จดั ทำ Privacy Policy เวบ็ ไซต์ซงึ่ เปน็ เจาของข้อมลู สว่ นบคุ คลเสยี ก่อน ดงั ภาพท่ี 6

ภาพที่ 6 ตัวอย่างเครือ่ งหมายรบั รอง

จากภาพที่ 6 แสดงตัวอย่างเครื่องหมายรับรอง Privacy Policy ของ TRUSTe และ BBBOn สำหรับ
TRUSTe ถือเป็นหน่วยงานแรกที่ให้บริการเครื่องหมายรับรอง Privacy Policy และมีเว็บไซต์จำนวน 1,200
เว็บไซต์ ที่ใช้เครื่องหมายรับรองของ TRUSTe ส่วน BBBOnline ปัจจุบัน มีเว็บไซต์ที่ใช้เครื่องหมายรับรอง
ประมาณ 648 เวบ็ ไซต์

เว็บไซตท์ ีจ่ ะขอใชเ้ คร่ืองหมายรบั รอง Privacy Policy จะตอ้ งเปิดเผยรายการข้อมูลอยา่ งน้อย ดังน้ี
- ข้อมลู สว่ นบคุ คลท่ีมีการเก็บรวบรวม
- ช่อื องคก์ รหรือหนว่ ยงานท่เี กบ็ รวบรวม
- ลกั ษณะการใชข้ ้อมูลส่วนบคุ คล
- บุคคลภายนอกทเ่ี ข้ามาใชข้ อ้ มูลร่วมดว้ ย
- ทางเลือกของลูกค้าที่เข้ามาใช้บริการเกี่ยวกับการเก็บรวบรวมการใช้หรือเปิดเผยข้อมูลส่วน

บุคคล
- ประเภทของวิธีการรักษาความปลอดภัยที่ใช้เพื่อป้องกันการสูญหาย การใช้ในทางที่ผิดหรือ

การแกไขเปลี่ยนแปลงข้อมลู ส่วนบคุ คลโดยปราศจากอำนาจ
- วธิ ีการท่ผี ู้ใชบ้ รกิ ารเว็บไซต์จะเขา้ ถึง แกไขหรือปรบั ปรงุ ข้อมลู สว่ นบคุ คลเกี่ยวกบั ตน

ในเดือนพฤศจิกายน 2546 ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (เนคเทค)
ได้ดำเนินการสำรวจเว็บไซต์ที่จดทะเบียนในประเทศไทย (เว็บไซต์ที่ลงท้ายด้วย .th) รวมทั้งเว็บไซต์ที่ไม่ได้
มีการจดทะเบียนในประเทศไทยแต่มีการดำเนินงานในประเทศไทยเกี่ยวกับการจัดทำ Privacy Policy ของ
เว็บไซต์ต่าง ๆ เหล่านั้น เพื่อดูว่าเว็บไซต์เหล่านี้มีการสร้างความน่าเชื่อถือให้เว็บไซต์ของตนหรือไม่ โดยแบ่ง
ประเภทของเว็บไซตท์ ที่ ำการสำรวจออกเปน็ 8 กลุ่ม รวมทง้ั สน้ิ 730 เว็บไซต์ โดยมรี ายละเอยี ดดังตอ่ ไปน้ี

259

1. กลมุ่ อตุ สาหกรรมการทอ่ งเท่ยี ว 100 เวบ็ ไซต์
2. กลมุ่ ธรุ กจิ การใหบ้ ริการบนเว็บไซต์ 39 เวบ็ ไซต์
3. กลุ่มธรุ กจิ การใหบ้ ริการความปลอดภัยและบริการทีเ่ กี่ยวข้อง 52 เว็บไซต์
4. กลุ่มบรษิ ทั มหาชนในตลาดหลกั ทรัพย์ 187 เว็บไซต์
5. กลุ่มผใู้ หบ้ ริการเชือ่ มต่ออนิ เทอร์เนต็ 24 เว็บไซต์
6. กลุ่มสถาบนั การศึกษา 105 เว็บไซต์
7. กลุม่ สถาบันการเงนิ 68 เวบ็ ไซต์
8. กลมุ่ หน่วยงานของรัฐและรัฐวสิ าหกิจ 155 เว็บไซต์

ผลสำรวจการประกาศใช้ Privacy Policy ในเว็บไซต์รวม 730 เว็บไซต์ และได้สรุป Privacy Policy
ในแต่ละกลุ่มเวบ็ ไซต์ ดงั ภาพที่ 7

ภาพที่ 7 การจดั ทำ Privacy Policy ในแต่ละกลมุ่ เว็บไซต์
ทม่ี า : https://thainetizen.org/wp-content/uploads/2009/09/etc-privacy-policy.pdf

260

10. กรณศี ึกษา

สมมติว่าให้นักศึกษาเป็นเจ้าของธุรกิจออนไลน์ขายสินค้าชนิดหนึ่ง โดยที่กิจการนี้ได้ดำเนินการมา
2 ปีแล้ว แต่ยังไม่เคยจัดทำ Privacy Policy ให้กับลูกค้าที่เข้ามาสั่งซื้อสินค้าบนเว็บไซต์นี้ในฐานะที่นักศึกษา
เป็นเจ้าของธุรกิจออนไลน์นี้ จึงมีความต้องการที่จะจัดทำ Privacy Policy ให้กับลูกค้า เพื่อให้ลูกค้า
มีความเชื่อมั่นในข้อมูลส่วนบุคคลของลูกค้าที่เก็บบนเว็บไซต์ แต่ก็มีปัญหาว่าจะเชียนอย่างไร ดังนั้น
ให้นักศึกษาศึกษาการเขียน Privacy Policy จากตัวอย่างข้างล่างนี้ แล้วให้นักศึกษาเขียนรายละเอียดทั้งหมด
เกี่ยวกับนโยบายการจัดเก็บข้อมูล ให้ตั้งชือ่ นโยบายเองและให้เลอื ก 1 เว็บไซต์เป็นกรณีศกึ ษาสำหรบั การเขยี น
Privacy Policy

ตวั อยา่ ง

นโยบายคุ้มครองความเป็นส่วนตวั ของ (ชอื่ หนว่ ยงาน/Web site)

Privacy Policy of (Organization/ Website)

จัดทำเมือ่ วันท่…ี ………………..

(หนว่ ยงาน/เว็บไซต)์ ได้จดั ทำนโยบายค้มุ ครองความเป็นสว่ นตัวฉบับน้ขี ึน้ เพื่อคุ้มข้อมูลส่วน
บุคคลของผู้ใช้บริการทุกท่าน ((Personal Information) ที่ติดต่อเข้ามายังเว็บไซต์ของ(หน่วยงาน/
เวบ็ ไซต)์ ดงั นfี้ ormation) ท่ตี ิดตอ่ เข้ามายัง

การเกบ็ รวบรวมข้อมูลสว่ นบคุ คล

1. เพื่อความสะดวกในการให้บริการแก่ผู้ใช้บริการทุกท่านที่แวะมายังเว็บไซต์ (ของ
หน่วยงาน) ทางเว็บไซต์จึงได้จัดเก็บรวบรวมข้อมูลส่วนบุคคลของท่านไว้ เช่น อีเมล์แอดเดรส (Email
Address) ชื่อ (Name) ที่อยู่หรือที่ทำงาน (Home or Work Address) เขตไปรษณีย์ (ZIP Code)
หรอื หมายเลขโทรศัพท์ (Telephone Number) เป็นต้น

2. ในกรณีที่ท่านสมัคร (Sign Up) เพื่อสมัครสมาชิกหรือเพื่อใช้บริการอย่างใดอย่างหน่ึง
(หน่วยงาน/Web site) จะเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเพิ่มเติมได้แก่ เพศ (Sex) อายุ
(Gender) สิ่งที่โปรดปราน/ความชอบ (Preferences/Favorites) ความสนใจ (Interests) หรือ
หมายเลขบตั รเครดติ (Credit Card Number) และท่อี ย่ใู นการแจ้งค่าใช้จา่ ย (Billing Address)

3. นอกจากนั้น เพื่อสำรวจความนิยมในการใช้บริการ อันจะเป็นประโยชน์ในการนำสถิติไป
ใช้ในการปรับปรุงคุณภาพในการให้บริการ (หน่วยงาน/Web site) จึงจำเป็นต้องจัดเก็บรวบรวม
ข้อมูลของท่านบางอย่างเพิ่มเติมด้วย ได้แก่ หมายเลขไอพี (IP Address) ชนิดของโปรแกรมค้น
ผ่าน (Browser Type) โดเมนเนม (Domain Name) บนั ทึกหนา้ เว็บ (web page) ของเว็บไซตท์ ี่ผู้ใช้
เยี่ยมชม เวลาที่เยี่ยมชมเว็บไซต์ (Access Times) และเว็บไซต์ที่ผู้ใช้บริการเข้าถึงก่อนหน้าน้ัน
(Referring Website Addresses)

261

4. (หน่วยงาน/เว็บไซต์) ขอแนะนำให้ท่านตรวจสอบนโยบายความเป็นส่วนตัวของเว็บไซต์
อื่นที่เชื่อมโยงจากเว็บไซต์น้ี เพื่อจะได้ทราบและเข้าใจว่าเว็บไซต์ ดังกล่าวเก็บรวบรวม ใช้ หรือ
ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของท่านอย่างไร ทั้งนี้ (หน่วยงาน/เว็บไซต์) ไม่สามารถรับรอง
ข้อความ หรือรับรองการดำเนินการตามที่ได้มีการประกาศไว้ในเว็บไซต์ดังกล่าวได้ และไม่ขอ
รับผิดชอบใด ๆ หากเว็บไซต์เหล่านั้นไม่ได้ปฏิบัติการหรือดำเนินการใด ๆ ตามนโยบายความเป็น
ส่วนตวั ทเ่ี วบ็ ไซต์ดังกลา่ วไดป้ ระกาศไว้

การใชข้ ้อมูลส่วนบุคคล

1. (หน่วยงาน/เว็บไซต์) จะใช้ข้อมูลส่วนบุคคลของท่านเพียงเท่าที่จำเป็นเช่น ชื่อและที่อยู่
เพอ่ื ใชใ้ นการติดต่อ ใหบ้ ริการ ประชาสมั พันธ์หรอื ใหข้ ้อมลู ขา่ วสารตา่ ง ๆ รวมทั้งสำรวจความคิดเห็น
ของท่านในกิจการหรือกิจกรรมของ (หนว่ ยงาน/เว็บไซต)์ เทา่ นนั้

2. (หน่วยงาน/เว็บไซต์) ขอรับรองว่าจะไม่นำข้อมูลส่วนบุคคลของท่านที่ (หน่วยงาน
/Web site) ได้เก็บรวบรวมไว้ ไปขายหรือเผยแพร่ให้กับบุคคลภายนอกโดยเด็ดขาด เว้นแต่จะได้รับ
อนุญาตจากทา่ นเทา่ นน้ั

3. ในกรณีที่ (หน่วยงาน/เว็บไซต์) ได้ว่าจ้างหน่วยงานอื่นเพื่อให้ดำเนินการเกี่ยวกับข้อมูล
ส่วนบุคคลของท่าน เช่น การจัดส่งพัสดุไปรษณีย์ การวิเคราะห์เชิงสถิติในกิจการหรือกิจกรรมของ
(หน่วยงาน/เว็บไซต์) เป็นต้น (หน่วยงาน/เว็บไซต์) จะกำหนดให้หน่วยงานที่ได้ว่าจ้างให้ดำเนินการ
ดังกล่าว เก็บรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคลของท่าน และกำหนดข้อห้าม
มิให้มีการนำข้อมูลส่วนบุคคลดังกล่าวไปใช้นอกเหนือจากกิจกรรมหรือกิจการของ (หน่วยงาน/
เว็บไซต์) สิทธิในการควบคุมข้อมูลส่วนบุคคลของท่านเพ่ือประโยชน์ในการรักษาความเป็นส่วนตัว
ของท่าน ๆ มีสิทธิเลือกที่จะให้มีการใช้หรือแชร์ข้อมูลส่วนบุคคลของท่าน หรืออาจเลือกที่จะไม่รับ
ข้อมูลหรือสื่อทางการตลาดใด ๆ จาก (หน่วยงาน/เว็บไซต์) ก็ได้ โดยเพียงแต่ท่านกรอกความจำนง
ดงั กลา่ วเพื่อแจง้ ให้ (หน่วยงาน/เวบ็ ไซต์) ทราบในหน้าเวบ็ http://............................

ปลอดภัยสำหรบั ข้อมูลสว่ นบุคคล

เพื่อประโยชน์ในการรักษาความลับและความปลอดภัยสำหรับข้อมูลส่วนบุคคลของท่าน
(หน่วยงาน/เว็บไซต์) จึงได้กำหนดระเบียบภายในหน่วยงานเพื่อกำหนดสิทธิในการเข้าถึงหรือใช้
ข้อมูลส่วนบุคคลของท่านและเพื่อรักษาความลับและความปลอดภัยของข้อมูลบางอย่างที่มี
ความสำคัญอย่างยิ่ง เช่น หมายเลขบัตรเครดิต เป็นต้น (หน่วยงาน/เว็บไซต์) จึงได้จัดให้มีช่องทาง
การสื่อสารแบบปลอดภยั สำหรับข้อมูลดังกล่าวด้วยการเข้ารหสั ลับขอ้ มูลดงั กล่าว เชน่ จัดให้มีการใช้
Secure Socket Layer (SSL) protocol เปน็ ตน้

262

การใช้คุกกี้ (Cookies)

“คุกกี้” คือ ข้อมูลที่ (หน่วยงาน/เว็บไซต์) ส่งไปยังโปรแกรมค้นผ่านเว็บไซต์ (Web
browser) ของผู้ใช้บริการและเมื่อมีการติดตั้งข้อมูลดังกล่าวไว้ในระบบของท่านแล้ว หากมีการใช้
“คกุ ก้ี” ก็จะทำใหเ้ ว็บไซต์ (ของหน่วยงาน) สามารถบันทึกหรือจดจำข้อมูลของผู้ใชบ้ รกิ ารไว้ จนกวา่
ผู้ใช้บริการจะออกจากโปรแกรมคน้ ผ่านเวบ็ ไซต์หรือจนกว่าผู้ใชบ้ รกิ ารจะทำการลบ “คุกกี้” นั้นเสยี
หรือไม่อนุญาตให้ “คกุ ก”ี้ นนั้ ทำงานอกี ต่อไป

หากท่านเลือกใช้ “คุกกี้” แล้ว ท่านจะได้รับความสะดวกสบายในการท่องเว็บไซต์มากข้ึน
เพราะ “คุกกี้” จะช่วยจดจำเว็บไซต์ที่ท่านแวะ หรือเยี่ยมชม หรือท่อง ทั้งนี้ (หน่วยงาน/เว็บไซต์)
จะนำขอ้ มูลท่ี “คุกก”้ี ได้บันทกึ หรือเกบ็ รวบรวมไว้ ไปใช้ในการวิเคราะห์เชิงสถิตหิ รือในกิจกรรมอืน่
ของ (หน่วยงาน/เวบ็ ไซต์) เพ่ือปรับปรงุ คุณภาพการให้บรกิ ารของ (หนว่ ยงาน/เว็บไซต)์ ต่อไป

การปรบั ปรงุ นโยบายความเป็นส่วนตวั

(หน่วยงาน/เว็บไซต์) อาจทำการปรับปรุงหรือแก้ไขนโยบายความเป็นส่วนตัวโดยไม่ได้แจ้ง
ให้ท่านทราบล่วงหน้า ทั้งนี้ เพื่อความเหมาะสมและมีประสิทธิภาพในการให้บริการ ดังน้ัน
(หน่วยงาน/เว็บไซต์) จึงขอแนะนำให้ผู้ใช้บริการอ่านนโยบายความเป็นส่วนตัวทุกครั้งที่แวะชมหรือ
เยยี่ มชม หรอื มกี ารใชบ้ รกิ ารจากเวบ็ ไซต์ (ของหนว่ ยงาน)

ตามนโยบายความเปน็ ส่วนตวั และการตดิ ตอ่ กบั (หนว่ ยงาน/เวบ็ ไซต์)

ในกรณีที่ท่านมีข้อสงสัย ข้อเสนอแนะหรือข้อติชมใด ๆ เกี่ยวกับนโยบายความเป็นส่วนตัว
หรือการปฏิบัติตามนโยบายความเป็นส่วนตัวฉบับนี้ (หน่วยงาน/เว็บไซต์) ยินดีที่จะตอบข้อสงสัย
รับฟังข้อเสนอแนะและคำติชมทั้งหลาย อันจะเป็นประโยชน์ต่อการปรับปรุงการให้ บริการของ
(หน่วยงาน/เว็บไซต์) ต่อไป โดยท่านสามารถติดต่อกับ (หน่วยงาน/เว็บไซต์) ตามที่อยู่ที่ปรากฏ
ข้างลา่ งนี้

(หน่วยงาน/เว็บไซต)์ ) ...................................…
ทอ่ี ยู่ .................................................................
โทรศัพท์ ...........................................................
โทรสาร ........................................................….
Email .........................................................……

ทมี่ า : https://thainetizen.org/wp-content/uploads/2009/09/etc-privacy-policy.pdf

263

11. บทสรุป

มาตรการรักษาความปลอดภัยของข้อมูลที่ใช้ในการทำธุรกรรมทางอิเล็กทรอนิกส์ ได้แก่ การรักษา
ความลับ การรักษาความถูกต้องของข้อมูล การมีความพร้อมในการใช้งานและการป้องกันการปฏิเสธความ
รับผิดชอบ ส่วนระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศใช้กระบวนการการวางแผน การ
ลงมือปฏิบัติ การตรวจสอบและทบทวน และการแก้ไขปรับปรุง ด้านภัยคุกคามในการทำธุรกรรม
อิเล็กทรอนิกส์เกิดขึ้นจากการใช้อินเทอร์เน็ต ภัยคุกคามอีคอมเมิร์ซ การทำธุรกรรมในบางรายอาจเกิดโดย
อุบัติเหตุ Protocol คือ ข้อกำหนดมาตรฐานหรือข้อตกลงที่ใช้ในการสื่อสารระหว่างคอมพิวเตอร์ สำหรับ
มาตรฐานโปรโตคอลที่ใช้ในการทำธุรกรรมทางอิเล็กทรอนิกส์ ได้แก่ Digital Signature, Protocol https,
One Time Password และ Data Provacy Policy

264

เอกสารอ้างอิง

Information Security: Infosec [คน้ พบเมือ่ 20 พฤษภาคม 2562]
https://searchsecurity.techtarget.com/definition/information-security-infosec

Information Security: Basic Principles [ค้นพบเมอื่ 16 พฤษภาคม 2562]
https://study.com/academy/lesson/information-security-basic-principles.htm

Digital Signature [ค้นพบเม่ือ 4 พฤษภาคม 2562]
http://edi2.dft.go.th/download/digital_signature.pdf

สำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส์ [ค้นพบเม่อื 24 พฤษภาคม 2562]
http://www.etcommission.go.th/standard.html

พระราชกฤษฎีกา ว่าดว้ ยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอเิ ล็กทรอนิกส (2553) [ค้นพบเม่อื 25
พฤษภาคม 2562] file:///E:/หนงั สอื /เอกสารเสรมิ /d63da8abe1f110e 366ce86fa 48d
58b0f.pdf

มาตรฐานการรกั ษาความม่นั คงปลอดภัยในการประกอบธุรกรรมทางอเิ ลก็ ทรอนิกส์ เวอร์ชั่น 2.5 (2550)
หนว่ ยปฏิบัติการใช้เทคโนโลยอี เิ ลก็ ทรอนิกสแ์ ละนวัติกรรมเพอ่ื ความมั่นคงของประเทศภายใต้ ศูนย์
เทคโนโลยอี เิ ลก็ ทรอนิกสแ์ ละคอมพิวเตอรแ์ หง่ ชาติ (เนคเทค) [คน้ พบเมอ่ื 25 พฤษภาคม 2562]
file:///E:/หนังสือ/เอกสารเสริม/20090206-e-comm-security-s

ประกาศคณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส์ เรื่อง มาตรฐานการรกั ษาความมั่นคง ปลอดภัยของระบบ
สารสนเทศตามวิธีการแบบปลอดภยั พ.ศ. ๒๕๕๕ [คน้ พบเมื่อ 25 พฤษภาคม 2562] file:///E:/
หนังสือ/เอกสารเสรมิ /25fce1612cda45a21837184c031d901c.pdf

Security threat to e-commerce [คน้ พบเม่ือ 10 พฤษภาคม 2562]
https://www.javatpoint.com/security-threat-to-e-commerce

Wikipedia: Secure Electronic Transaction [คน้ พบเมอื่ 26 พฤษภาคม 2562]
https://en.wikipedia.org/wiki/Secure_Electronic_Transaction

ISO/IEC 27001[ค้นพบเมือ่ 26 พฤษภาคม 2562] https://en.wikipedia.org/wiki/ISO/IEC_27001
Digital Signature Standard (DSS); [ค้นพบเมอ่ื 5 พฤษภาคม 2562] file:///E:/หนังสือ/เอกสารเสรมิ -

Eng/NIST.FIPS.186-4.pdf
พระราชบญั ญตั ิ ว่าดว้ ยธุรกรรมทางอเิ ลก็ ทรอนิกส์ พ.ศ. ๒๕๔ [ค้นพบเมื่อ 26 พฤษภาคม 2562]

https://www.etda.or.th/files/1/files/26.pdf
สำนกั งานพฒั นาธุรกรรมทางอิเล็กทรอนิกส์ [ค้นพบเม่ือ 26 พฤษภาคม 2562]

https://www.etda.or.th/background-and-mission.html
พจนานุกรมคำศพั ทค์ อมพิวเตอร[์ ค้นพบเมอื่ 28 พฤษภาคม 2562]

https://dictionary.sanook.com/search/dict-computer/protocol
Wikipedia [คน้ พบเมอื่ 28 พฤษภาคม 2562] https://en.wikipedia.org/wiki/HTTPS

265

Hypertext Transfer Protocol [ค้นพบเม่ือ 28 พฤษภาคม 2562]
https://na5cent.blogspot.com/2012/04/https.html

Hypertext Transfer Protocol [ค้นพบเมอ่ื 28 พฤษภาคม 2562] https://saixiii.com/http-https/
Secure Socket Layer [คน้ พบเมอื่ 28 พฤษภาคม 2562] https://www.ireallyhost.com/kb/ssl/364
Secure Socket Layer [ค้นพบเมอ่ื 28 พฤษภาคม 2562] https://ssl.in.th/tools/about-ssl/
OTP Generator application [ค้นพบเม่อื 28 พฤษภาคม 2562] https://otp-generator.soft112.com/
OTP Generator application [ค้นพบเม่ือ 28 พฤษภาคม 2562] https://itunes.apple.com/th/app/ca-

mobile-otp/id632906380?l=th&mt=8
Personal Data Protection Policy [ค้นพบเมอ่ื 28 พฤษภาคม 2562]

https://www.iberdrola.com/wcorp/gc/prod/en_US/corporativos/docs/personal_data_
protection_policy.pdf
Thailand Data Protection Guidelines 1.0 แนวปฏบิ ัติเกย่ี วกับการคุ้มครองข้อมูลส่วนบุคคล [ค้นพบเมือ่
28 พฤษภาคม 2562] file:///C:/Users/admin/AppData/Local/Microsoft/
Windows/INetCache/IE/NRLNI308/792.pdf
แนวการจัดทำ “Privacy Policy” [คน้ พบเม่ือ 28 พฤษภาคม 2562] https://thainetizen.org/docs/etc-
privacy-policy/
ข้อแตกตา่ งระหว่างการลงนามเอกสารด้วย Electronic Signature กับ Digital Signature
[คน้ พบเมื่อ 18 พฤษภาคม 2563 https://sysadmin.psu.ac.th/2016/01/14/electronic-and-
digital-signature/

266

คำถามทา้ ยบทท่ี 9

สว่ นที่ 1 เปน็ คำถามปรนยั
คำสง่ั จงกากบาท (X) คำตอบทถ่ี ูกต้อง

1. มาตรการการรักษาความปลอดภัยของข้อมูลในการทำธรุ กรรมทางอิเล็กทรอนกิ ส์ คอื ข้อใด

ก. การรักษาความลับและการรกั ษาความถูกตอ้ งของข้อมลู

ข. การรกั ษาความถูกต้องของข้อมลู และการปอ้ งกนั การปฏเิ สธความรับผิดชอบ

ค. การมคี วามพรอ้ มในการใชง้ านและการรกั ษาความลับ

ง. ถูกต้องทุกขอ้

2. ขอ้ ใดทใี่ ห้หมายความ คำว่า “ทรัพย์สินสารสนเทศ” ไมถ่ กู ตอ้ ง

ก. ตัวเครอ่ื งคอมพิวเตอร์อปุ กรณค์ อมพิวเตอร์ ข. ข้อมลู อเิ ล็กทรอนิกส์

ค. ระบบเครือข่ายคอมพวิ เตอร์ ง. ไมม่ ีข้อท่ีถกู ตอ้ ง

3. การป้องกนั ทรัพย์สนิ สารสนเทศจากการเขา้ ถงึ ใช้ เปดิ เผย ขัดขวาง เปลยี่ นแปลงแกไข ทำให้สญู หาย ทำให้

เสียหาย ถกู ทำลายหรอื ลว่ งรูโดยมิชอบ คือข้อใด

ก. ความม่นั คงปลอดภยั ของระบบสารสนเทศ ข. ความมัน่ คงปลอดภยั ดา้ นบรหิ ารจดั การ

ค. ความมนั่ คงปลอดภัยดา้ นกายภาพ ง. ความม่ันคงปลอดภยั ดา้ นตรรกะ

4. กระบวนการ PDCA คือขอ้ ใด

ก. Product Do Check Act ข. Product Data Check Activate

ค. Plan Do Check Act ง. Plan Data Check Activate

5. มาตรฐาน ISO/IEC 2701-ISMS และมาตรฐาน PDCA ในขอ้ ใดทส่ี อดคล้องกัน

ก. Monitor and review the ISMS และ Act

ข. Implement and operate the ISMS และ Do

ค. Establish the ISMS และ Check

ง. Maintain and Improve the ISMS และ Plan

6. SET ย่อมาจากคำเต็มในขอ้ ใด

ก. Secure Electric Transition ข. Safety Electronic Transition

ค. Secure Electronic Transaction ง. Safety Electric Transaction

7. Digital signature คือข้อใด

ก. การระบตุ วั ตนของบุคคลด้วยลายเซ็นดจิ ทิ ลั ข. ถกู พัฒนาโดย NSA และ NIST

ค. การป้องกนั สารสนเทศทยี่ งั ไมผ่ า่ นการกลัน่ กรอง ง. ถกู ต้องทุกขอ้

8. Digital Certificate คอื ขอ้ ใด

ก. การระบตุ วั ตนของบุคคลด้วยลายเซน็ ดจิ ิทัล

ข. ใบรับรองท่มี ขี ้อมูลบ่งบอกถึงบุคคลหรือหนว่ ยงานใด ๆ วา่ เปน็ เจ้าของ Public key หนง่ึ

ค. การแปลงรหัสข้อมลู

ง. การถอดรหสั ข้อมลู

267

9. โปรโตคอลในข้อใดท่ีถูกนำมาใช้ในการส่อื สารท่ีมคี วามปลอดภัยผ่านทางเครอื ขา่ ยคอมพิวเตอร์และบน

อินเทอรเ์ นต็

ก. https ข. http ค. Html ง. ftp:

10. One Time Password (OTP) หมายถงึ ข้อใด

ก. รหัสผา่ นที่ใช้ ในการ Log-In เข้าส่รู ะบบตา่ ง ๆ

ข. ช่วยเพม่ิ ระดบั ความปลอดภัยของการ Log In

ค. รหสั ผ่านท่ใี ชไ้ ดเ้ พียงคร้ังเดยี วภายในเวลาไมเ่ กนิ 30-60 วนิ าที

ง. ถกู ต้องทกุ ข้อ

สว่ นท่ี 2 เปน็ คำถามอัตนยั
คำสงั่ จงตอบคำถามต่อไปน้ใี หถ้ ูกตอ้ ง
1. ใหอ้ ธบิ ายโดยสงั เขปเกยี่ วกบั Digital signature และ Digital Certificate คืออะไร แตกตา่ งกนั อยา่ งไร

2. มาตรฐานการทำธุรกรรมทางอเิ ล็กทรอนกิ สม์ อี ะไรบ้าง ใหอ้ ธบิ ายมาให้เขา้ ใจ

3. จงยกตวั อย่างภัยคุกคามในการทำธรุ กรรมอิเล็กทรอนิกส์ พร้อมทง้ั อธบิ ายมาให้เข้าใจ

268

4. จงอธิบายถึงคุณสมบัติของกุญแจส่วนตัว (Private key) และกุญแจสาธารณะ (Public key) เป็นอย่างไร
และมคี วามสำคัญอย่างไรเก่ยี วกบั ระบบการทำงานของลายเซ็นดจิ ทิ ลั ในภาพท่ี 1

5. Data Privacy Policy คืออะไร มีความสำคัญและความจำเป็นอย่างไรในการทำธุรกรรมซื้อขายสินค้า
ออนไลน์ อธิบายโดยสงั เขปมาให้เขา้ ใจ

ใบงานปฏิบตั ิ
เรอ่ื ง มาตรฐานความปลอดภัยของการทำธุรกรรมทางอเิ ลก็ ทรอนิกส์

คำสั่ง ให้นักศึกษาจับกลุม่ ๆ ละ 3-4 คน จากนั้นให้นักศึกษาปรึกษากนั ภายในกลุ่มว่าจะทำกิจกรรมเรื่องอะไร
โดยมหี ัวขอ้ ใหเ้ ลอื ก ดงั ตอ่ ไปน้ี
1. ระบบการทำงานของลายเซ็นดิจิทัล
2. ข้ันตอนการทำงานของ Digital Certificate
3. ขั้นตอนการทำงานของ Protocol https และ Secure Sockets Layer (SSL)
กิจกรรมนี้ ให้นักศกึ ษาช่วยกันไปคน้ ควา้ จากอินเทอรเ์ น็ตและใหศ้ ึกษาโดยละเอียดเกี่ยวกับการทำงาน

ของมนั วา่ มีขัน้ ตอนอะไรบ้าง ให้อธบิ ายโดยละเอียดดว้ ยว่าแตล่ ะข้ันตอนน้ันทำงานอยา่ งไร เสรจ็ แลว้ จดั ทำสรุป
เปน็ รายงาน เข้าเล่มใหเ้ รียบร้อย ให้เวลา 1 สัปดาหใ์ นการทำกจิ กรรมน้ี

269

บทที่ 10

กฎหมายเกี่ยวกับการพาณชิ ยอ์ เิ ลก็ ทรอนกิ ส์
(Law on Electronic Commerce)

จุดประสงคก์ ารเรยี นรู้
1. ศกึ ษาความรู้ทว่ั ไปเกยี่ วกบั กฎหมายธรุ กรรมอิเลก็ ทรอนิกส์
2. ศกึ ษาความรู้ทว่ั ไปเก่ียวกบั กฎหมายอาชญากรรมทางอิเลก็ ทรอนกิ ส์
3. ศกี ษาความร้ทู ว่ั ไปเก่ียวกบั กฎหมายการค้มุ ครองขอ้ มลู สว่ นบคุ คล

270

ตั้งแต่มีการนำคอมพิวเตอร์ออกมาใช้ในงานธุรกิจกันอย่างแพร่หลาย คอมพิวเตอร์นอกจากจะมีผลดี
ทำให้เกิดความสะดวกสบายในการทำงานแล้วนั้น การใช้คอมพิวเตอร์อย่างเกินขอบเขตยังก่อให้เกิดผลเสียกับ
ผู้อื่นทั้งที่เจตนาและไม่เจตนา ซึ่งอาจทำความเสียหายในด้านต่าง ๆ เช่น ทางด้านทรัพย์สิน ความเป็นเจ้าของ
สิ่งประดิษฐ์หรือคิดค้นผลงานที่ไม่สามารถจับต้องได้ การละเมิดความเป็นส่วนตัว ความเสื่อมเสียชื่อเสียง
เกียรติยศ สาเหตดุ งั กลา่ วน้ันเปน็ ผลจากการเผยแพร่ข้อมูลทางคอมพิวเตอร์ การเขา้ ไปเอาข้อมูลของผู้อ่ืนมาใช้
ซึ่งไม่มีการขออนุญาตผู้เป็นเจ้าของข้อมูล โดยทางรัฐบาลได้ออกกฎหมายเกี่ยวกับคอมพิวเตอร์ออกมาเพื่อ
กำหนดกฎระเบียบสำหรับผู้ใช้งานในการใช้งานระบบคอมพิวเตอร์ได้อย่างถูกต้อง อีกทั้งได้กำหนดกฎระเบียบ
ในการใชค้ อมพิวเตอร์ท่เี กย่ี วข้องกับธรุ กจิ ซงึ่ ประกอบด้วยกฎหมายที่เกย่ี วข้องกับการพาณิชย์อเิ ล็กทรอนกิ ส์

1. ความสำคญั ของกฎหมายพาณิชยอ์ เิ ล็กทรอนกิ ส์

ความเจริญรุ่งเรืองของเทคโนโลยีคอมพิวเตอร์และเทคโนโลยีการสื่อสาร อีกทั้งการพัฒนาของ
สารสนเทศทำให้การสื่อสารออนไลน์มีความสะดวกรวดเร็วขึ้น จึงมีการทำธุรกิจในระบบอินเทอร์เน็ตขึ้น
เป็นที่มาของพาณิชย์อิเล็กทรอนิกส์หรือเรียกว่า อีคอมเมิร์ซ (e-commerce) การทำธุรกรรมต่าง ๆ เช่น
การเสนอขายสินค้า การตกลงทำสัญญาซื้อขายและการชำระเงินสามารถทำได้อย่างง่ายดายผ่านทาง
คอมพิวเตอร์แบบออนไลน์ ซึ่งอีคอมเมิร์ซนี้ได้มีการใช้ในต่างประเทศเป็นเวลานานก่อนที่จะมาเป็นที่นิยม
ในไทย ซึ่งในแต่ละประเทศมีกฎหมายพาณิชย์อิเล็กทรอนิกส์ เพื่อกำกับดูแลการพาณิชย์อิเล็กทรอนิกส์ของ
ตนเอง ดังนั้นประเทศไทยจึงต้องมีกฎหมายพาณิชย์อิเล็กทรอนิกส์เพื่อคุ้มครองพาณิชย์อิเล็กทรอนิกส์ของ
ตนเอง เพื่อให้เป็นสากลในการติดต่อค้าขายกับต่างประเทศ รวมถึงสร้างความมั่นใจให้กับต่างประเทศที่สนใจ
และเขา้ มาลงทนุ ในประเทศไทย

กฎหมายพาณชิ ยอ์ ิเลก็ ทรอนกิ ส์
กฎหมายเกี่ยวกับการพาณิชย์อิเล็กทรอนิกส์ของประเทศไทยประกอบด้วย มี 6 ฉบับ ประกอบด้วย
กฎหมายธุรกรรมอิเล็กทรอนิกส์ กฎหมายลายมือชื่อทางอิเล็กทรอนิกส์ กฎหมายอาชญากรรมทาง
อิเล็กทรอนิกส์ กฎหมายการโอนเงินทางอิเล็กทรอนิกส์ กฎหมายการคุ้มครองข้อมูลส่วนบุคคลและกฎหมาย
ลำดับรองของรัฐธรรมนญู ตามมาตรา 78 เก่ยี วกบั การจัดการโครงสรา้ งพื้นฐานสารสนเทศให้ทวั่ ถึงเท่าเทยี มกนั
จากที่กล่าวมาข้างต้นถึงกฎหมายเกี่ยวกับการพาณิชย์อิเล็กทรอนิกส์ 6 ฉบับ ในบทนี้จะให้นักศึกษา
ศกึ ษาเกย่ี วกบั กฎหมายเกีย่ วข้องกบั การพาณชิ ย์อเิ ล็กทรอนิกส์ท่ีควรรจู้ กั ประกอบด้วย
- กฎหมายธุรกรรมอเิ ล็กทรอนกิ ส์
- กฎหมายอาชญากรรมทางอเิ ล็กทรอนกิ ส์
- กฎหมายการค้มุ ครองข้อมูลส่วนบุคคล

2. กฎหมายธุรกรรมอเิ ลก็ ทรอนกิ ส์ (Electronic Transactions Law)

การทำธุรกรรมในรูปแบบอิเล็กทรอนิกส์ไม่ว่าจะเป็นการติดต่อสื่อสารกันบนเครือข่ายโดยวิธีทาง
อิเล็กทรอนิกส์ การแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์หรือวิธีการทางอิเล็กทรอนิกส์อื่น ๆ แทนการใช้
กระดาษนั้น โดยนำวิธีดังกล่าวมาใช้ส่งผลต้องมีการรับรองสถานะทางกฎหมายของข้อมู ลอิเล็กทรอนิกส์
ดังเหมือนทำหลักฐานเป็นกระดาษหรือหนังสือรับรอง รวมถึงการรับฟังพยานหลักฐานที่เป็นข้อมูล

271

อิเล็กทรอนิกส์ โดยมีผลผูกพันทางกฎหมาย ใช้เป็นพยานหลักฐานในการดำเนินคดีได้ กฎหมายธุรกรรม
อิเล็กทรอนิกสไ์ ดอ้ อกพระราชบัญญตั มิ าดังน้ี

“พระราชบญั ญัติวา่ ด้วยธุรกรรมทางอเิ ล็กทรอนกิ ส์ พ.ศ. 2544 แก้ไขเพ่มิ เติม (ฉบับที่ 2) พ.ศ. 2551
ประกอบด้วย

ประกาศคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนิกส์ เรื่อง แนวทางการจัดทำแนวนโยบาย (Certificate
Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
(Certification Authority) พ.ศ. 2552

ประกาศคณะกรรมการธุรกรรมทางอเิ ล็กทรอนกิ ส์ เรื่อง หลักเกณฑ์และวธิ ีการในการจัดทำหรือแปลง
เอกสารและข้อความใหอ้ ยใู่ นรปู ของข้อมลู อิเล็กทรอนิกส์ พ.ศ. 2553

ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส์ เรื่อง การรบั รองสงิ่ พมิ พอ์ อก พ.ศ. 2555
ประกาศคณะกรรมการธุรกรรมทางอเิ ล็กทรอนกิ ส์ เรื่อง หน่วยงานรับรองสิ่งพิมพ์ออก พ.ศ. 2555”

สำนกั งานคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส์
สำนกั งานปลดั กระทรวงดิจทิ ัลเพอ่ื เศรษฐกิจและสังคม
ทมี่ า : http://www.etcommission.go.th/law.html

พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฉบับแรกมีผลบังคับใช้เมื่อวันที่ 2 ธันวาคม พ.ศ.
2544 ต่อมาได้มีพระราชกฤษฎีกาแก้ไขบทบัญญัติปรับปรุงกระทรวง ทบวง กรม ในปี พ. ศ. 2545 โดยให้
จัดตั้งกระทรวงขึ้นมาใหม่เป็น กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารและโอนอำนาจหน้าที่ของส่วน
ราชการให้ไปอยู่กับกระทรวงใหม่ ต่อมาได้แก้ไขเพิ่มเติมและออกพระราชบัญญัติว่าด้วยธุรกรรมทาง
อเิ ล็กทรอนิกส์ ฉบบั ที่ 2 เมอ่ื วนั ที่ 13 กุมภาพนั ธ์ พ.ศ. 2551 ซง่ึ เน้อื หาสาระท่ีสำคัญ คือ

ใหก้ ารรับรองสถานะของการทำธุรกรรมทางอเิ ล็กทรอนิกสใ์ ห้มีผลตามกฏหมายเหมือนการทำธรุ กรรม
ด้วยเอกสารเป็นหนังสือหรือหลักฐานเป็นหนังสือ มีการรับรองการรับและส่งข้อมูลโดยอิเล็กทรอนิกส์ การใช้
ลายมอื ชอื่ อเิ ล็กทรอนกิ ส์ รวมท้งั การรบั ฟงั พยานหลกั ฐานท่ีเปน็ ขอ้ มลู ทางอเิ ล็กทรอนิกส์

รัฐบาลได้กำหนดพระราชกฤษฎีกาว่าด้วย การควบคุมดูแลธุรกิจบริการการชำระเงินทาง
อิเลก็ ทรอนกิ ส์ หรอื e-Payment โดยมธี นาคารแหง่ ประเทศไทยเป็นผรู้ ับผดิ ชอบดูแล โดยมีรายละเอียดในการ
บังคับใช้ทเี่ ก่ยี วกบั ผใู้ หบ้ ริการชำระเงนิ โดยทางอเิ ล็กทรอนกิ ส์ แบง่ เปน็ 3 ประเภทบัญชี ดังนี้
บญั ชี ก: ธุรกจิ บริการทต่ี อ้ งแจ้งใหท้ ราบก่อนใหบ้ รกิ าร

การให้บริการเงินอิเล็กทรอนิกส์ที่ใช้ซื้อสินค้าหรือรับบริการเฉพาะอย่างตามรายการที่กำหนดไว้
ล่วงหน้าจากผู้ให้บริการเพียงรายเดียว ทั้งนี้ เว้นแต่การให้บริการเงินอิเล็กทรอนิกส์ที่ใช้จำกัดเพื่ออำนวยความ
สะดวกแก่ผ้บู รโิ ภคโดยมิได้แสวงหากำไรจากการออกบตั ร ตามที่ ธปท. ประกาศกำหนดโดยความเห็นชอบของ
คณะกรรมการ
บญั ชี ข: ธรุ กจิ บรกิ ารท่ีตอ้ งขอขึน้ ทะเบยี นกอ่ นใหบ้ รกิ าร

(๑) การใหบ้ รกิ ารเครือข่ายบตั รเครดิต
(๒) การให้บริการเครือขา่ ยอดี ซี ี
(๓) การใหบ้ ริการสวิตช์ชิง่ ในการชำระเงนิ ระบบหนงึ่ ระบบใด
(๔) การให้บริการเงินอิเล็กทรอนิกส์ที่ใช้ซื้อสินค้า และหรือรับบริการเฉพาะอย่างตามรายการท่ี
กำหนดไวด้ ิจิทัลเพอ่ื เศรษฐกิจและสังคม

272

บญั ชี ค: ธุรกจิ บรกิ ารท่ีต้องได้รบั อนญุ าตก่อนให้บรกิ าร
(๑) การใหบ้ รกิ ารหกั บัญชี
(๒) การใหบ้ รกิ ารชำระดุล
(๓) การให้บรกิ ารชำระเงินทางอเิ ลก็ ทรอนกิ สผ์ า่ นอุปกรณ์อยา่ งหนึ่งอยา่ งใดหรือผา่ นทางเครือข่าย
(๔) การให้บรกิ ารสวติ ชช์ งิ่ ในการชำระเงินหลายระบบ
(๕) การให้บรกิ ารรับชำระเงินแทน
(๖) การใหบ้ รกิ ารเงินอเิ ล็กทรอนิกสท์ ใี่ ชซ้ ื้อสนิ คา้ และหรอื รับบรกิ ารเฉพาะอย่างตามรายการที่
กำหนดไวล้ ว่ งหนา้ จากผูใ้ หบ้ ริการหลายราย โดยไม่จำกดั สถานทแี่ ละไม่อย่ภู ายใต้ระบบการจัด
จำหน่ายและการให้บริการเดียว กนั ”

ที่มา : http://www.etcommission.go.th/law.html. สำนกั งานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนิกส์
สำนักงานปลดั กระทรวงดิจิทัลเพ่อื เศรษฐกจิ และสังคม

การประกาศใชก้ ฎหมายนี้ มีผลมาจากปัจจุบนั มเี ทคโนโลยีอิเลก็ ทรอนกิ ส์ท่กี ้าวหน้ามาก โดยธรุ กิจการ
ให้บริการเกี่ยวกับการชำระเงินโดยอิเล็กทรอนิกส์เป็นธุรกิจที่ต้องใช้เทคโนโลยีที่มีความซับซ้อนและ
หลากหลาย ซึ่งมีธุรกิจที่มีมูลค่ารวมทางเศรษฐกิจจำนวนมากและมีการเพิ่มขึ้นอย่างรวดเร็ว โดยมีผู้ให้บริการ
การชำระเงินทางอิเล็กทรอนิกส์ในขณะน้ี มิได้มีเพียงสถาบันการเงินเท่านั้น แต่ยังรวมถึงผู้ให้บริการที่มิได้มี
กฎหมายใดควบคมุ ดูแล จงึ ส่งผลกระทบตอ่ ความมั่นคงทางการเงิน ความน่าเชอ่ื ถอื และยอมรับในระบบข้อมูล
ทางอิเล็กทรอนิกส์ และอาจก่อให้เกิดความเสียหาย กฎหมายที่เกี่ยวข้องกับธุรกิจบริการเกี่ยวกับการชำระเงิน
ทางอิเล็กทรอนิกส์ช่วยก่อให้เกิดประสิทธิภาพในการควบคุมดูแลและเป็นมาตรการที่สำคัญหนึ่ง เพื่อส่งเสริม
การใช้บรกิ ารการชำระเงนิ ทางอิเล็กทรอนกิ สม์ ากขึน้

ซึ่งผู้ให้บริการชำระเงินทางอิเล็กทรอนิกส์ต้องขึ้นทะเบียนกับทางภาครัฐ ถ้าไม่ขึ้นทะเบียนถือว่ามี
ความผิดตามกฎหมายและผู้ให้บริการชำระเงินทางอิเล็กทรอนิกส์ต้องถูกควบคุมโดยธนาคารแห่งประเทศไทย
ประกอบกับมีร่างพระราชกฤษฎีกาอีกหนึ่งฉบับ คือ พระราชกฤษฎีกาว่าด้วยการกำกับดูแลธุรกิจบริการ
เกี่ยวกับบริการการออกใบรับรองอิเล็กทรอนิกส์ หรือ “Digital Certificate” ซึ่งหมายความถึงผู้ให้บริการทำ
ตวั เปน็ “CA” หรือ “Certificate Authority”

ลกั ษณะของธุรกจิ ทจี่ ำเปน็ ต้องกำกับดูแล
1. ธุรกจิ บริการที่เกยี่ วขอ้ งกบั ความมัน่ คงทางการเงนิ และการพาณิชย์
2. ธุรกิจบรกิ ารทเ่ี สรมิ สรา้ งความเช่ือถือและยอมรบั ในระบบขอ้ มูลอเิ ล็กทรอนิกส์

รูปแบบของการกำกับดูแลธรุ กจิ บรกิ ารเกย่ี วกับธุรกรรมทางอิเลก็ ทรอนกิ ส์ เปน็ 2 ประเภท คอื
1. ธุรกิจบริการทต่ี อ้ งข้ึนทะเบียน
2. ธุรกิจบริการท่ีตอ้ งได้รับใบอนญุ าต

สำนกั งานคณะกรรมการธุรกรรมทางอเิ ล็กทรอนกิ ส์
สำนักงานปลัดกระทรวงดิจิทัลเพ่อื เศรษฐกจิ และสังคม
ทมี่ า : http://www.etcommission.go.th/law.html

273

3. กฎหมายอาชญากรรมทางอิเล็กทรอนกิ ส์ (Computer Crime Law)

การกระทำความผิดทางคอมพิวเตอร์ คือ การกระทำการที่ถือว่าเป็นความผิดตามกฎหมายและเป็น
การกระทำผ่านหรือโดยอาศัยคอมพิวเตอร์ในการกระทำความผิดซึ่งมีวัตถุประสงค์มุ่งต่อระบบคอมพิวเตอร์
ข้อมูลของคอมพิวเตอร์หรือบุคคล เพื่อก่อให้เกิดความเสียหายแก่ผู้อื่นหรือประชาชน จะมีความผิดตาม
กฎหมายวา่ ด้วยการกระทำความผดิ เกี่ยวกบั คอมพวิ เตอร์ พ.ศ. 2550 และแก้ไขเพมิ่ เติม (ฉบับท่ี 2) พ.ศ. 2560

อาชญากรรมคอมพิวเตอร์ (Computer Crime) หมายถึง การละเมิดกฎหมายอาญา โดยอาศัย
คอมพิวเตอร์เปน็ เป้าหมายหรือใช้วิธีการทางคอมพวิ เตอร์ มกี ารกระทำความผิดหลายลกั ษณะ เชน่ การยักยอก
การโกง เป็นต้น จะได้พจิ ารณาในระยะละเอยี ดต่อไป (Conklin, 2004: 137-138)

ลักษณะของการกระทำผิดหรือการก่อให้เกิดภัยอันตรายหรือความเสียหายอันเนื่องมาจากการก่อ
อาชญากรรมทางคอมพวิ เตอร์ แบง่ ออกเป็น 3 ลักษณะ คอื

1. การกระทำต่อระบบคอมพวิ เตอร์ (Computer System)
2. การกระทำตอ่ ระบบขอ้ มลู (Information System)
3. การกระทำตอ่ ระบบเครอื ข่ายซง่ึ ใช้ในการตดิ ต่อส่ือสาร (Computer Network)

4. ความหมายของคำทเี่ กย่ี วข้องกบั คอมพิวเตอร์

4.1 ระบบคอมพิวเตอร์ หมายถงึ อุปกรณอ์ ิเลก็ ทรอนิกสห์ รือชดุ อปุ กรณ์อเิ ลก็ ทรอนิกส์ท่ีออกแบบมา
ให้สามารถทำงานได้โดยอัตโนมัติ โดยมีการติดตั้งโปรแกรมให้ทำหน้าที่ในการควบคุมระบบและการ
ประมวลผลข้อมูลโดย ดังนั้นระบบคอมพิวเตอร์จึงประกอบด้วยสองส่วนหลัก คือ ฮาร์ดแวร์ ( Hardware)
ได้แก่ส่วนที่มองเห็นและจับต้องได้ เช่น ตัวเครื่องคอมพิวเตอร์ (CPU) จอแสดงผล (Display) และแป้นพิมพ์
(Keyboard) เป็นต้น ส่วนที่สอง ได้แก่ ซอฟต์แวร์ (Software) เป็นโปรแกรมที่พัฒนาขึ้นเพื่อควบคุมการ
ทำงานของคอมพิวเตอร์และประมวลผลข้อมูลดิจิทัล (Digital Data) นอกจากนั้นระบบคอมพิวเตอร์ยัง
ประกอบด้วยอปุ กรณร์ อบข้าง (Peripheral) ตา่ ง ๆ เชน่ ระบบการสื่อสารข้อมลู เคร่อื งพมิ พ์ เปน็ ต้น

ระบบคอมพิวเตอร์อาจหมายถึง อุปกรณ์เพียงเครื่องเดียวหรือเครื่องคอมพิวเตอร์หลายเครื่อง
ท่ีเชอ่ื มต่อกนั เปน็ กล่มุ ผ่านระบบเครือขา่ ย ทำงานร่วมกันโดยใช้ข้อมูลหรอื โปรแกรมรว่ มกัน

4.2 ระบบข้อมูล หมายถึง กระบวนการทำงานของคอมพิวเตอร์หรือระบบคอมพิวเตอร์ในการสร้าง
ส่ง รับ เก็บรักษาหรือประมวลผลข้อมูล เช่น วิธีการแลกเปลี่ยนข้อมูลอิเล็กทรอนิกส์ จดหมายอิเล็กทรอนิกส์
โทรเลข โทรพิมพ์ โทรสาร เป็นต้น การก่ออาชญากรรมทางคอมพิวเตอร์โดยการคุกคามหรือก่อให้เกิดความ
เสียหายต่อข้อมูล นอกจากข้อมูลอิเล็กทรอนิกส์ในความหมายดังกล่าวแล้ว ยังรวมถึงการกระทำต่อข้ อมูล
ซึ่งไม่ได้สื่อความหมายถึงเรื่องราวใด ๆ เกี่ยวกับข้อความแต่อย่างใด ตัวอย่างเช่น ข้อมูลที่เป็นรหัสผ่าน หรือ
ลายมือชื่ออิเล็กทรอนิกส์ เป็นต้น ข้อมูลจะมีลักษณะหลากหลาย แล้วแต่การสร้างและวัตถุประสงค์ของการใช้
งาน แต่ข้อมูลที่กล่าวถึงทั้งหมดนี้ ต้องมีลักษณะที่สำคัญร่วมกันประการหนึ่งคือ ต้องเป็น “ข้อมูลดิจิทัล
(Digital Data)” เท่านั้น ข้อมูลอีกรูปแบบหนึ่งที่มีความสำคัญอย่างมากต่อการรวบรวมพยานหลักฐาน
อันสำคัญยิ่งต่อการสืบสวนสอบสวนในคดีอาญา คือ ข้อมูลจราจร (Traffic Data) ซึ่งเป็นข้อมูลที่บันทึกวงจร
การติดต่อสื่อสาร ตั้งแต่ต้นทางถึงปลายทาง ทำให้ทราบถึงจำนวนปริมาณข้อมูลที่ส่งผ่านระบบคอมพิวเตอร์
ในแต่ละช่วงเวลาสำหรับข้อมูลต้นทางนั้น ได้แก่ หมายเลขโทรศัพท์ เลขที่อยู่ไอพี ( Internet Protocol
Address) หรือ IP Address

274

4.3 ระบบเครือข่าย หมายถึง การเชื่อมต่อเส้นทางการสื่อสารระหว่างคอมพิวเตอร์หรือระบบ
คอมพิวเตอร์เข้าด้วยกันเป็นทอด ๆ ซึ่งอาจเป็นระบบเครือข่ายแบบปิด คือ ให้บริการเชื่อมต่อเฉพาะสมาชิก
เท่านั้นหรือระบบเครือข่ายแบบเปิด หมายถึง การเปิดกว้างให้ผูใ้ ดก็ไดใ้ ช้บริการในการเชื่อมต่อระบบเครอื ข่าย
หรือการติดต่อสื่อสาร เช่น อนิ เทอร์เน็ต เป็นตน้

4.4 การเจาะระบบ หมายถึง การเข้าไปในเครือข่ายคอมพิวเตอร์โดยไม่ได้รับอนุญาต
(Unauthorized Access) และเมื่อเขา้ ไปแลว้ ก็ทำการสำรวจ ทิ้งขอ้ ความ เปดิ โปรแกรม ลบ แกไ้ ขเปลีย่ นแปลง
หรือขโมยข้อมูล การถูกลักลอบเจาะระบบอาจส่งผลให้ความลับทางการค้า ข้อมูลที่สำคัญหรือแม้แต่เงินของ
หน่วยงานต้องถูกขโมยไป การกระทำดังกล่าวอาจทำจากคู่แข่งทางการค้า อาชญากรหรือผู้ที่ไม่หวังดีและ
อาจจะทำจากในหน่วยงานของตนเองหรือจากส่วนอื่น ๆ ที่อยู่ห่างไกลออกไปหรือจากนอกประเทศโดยใช้
เครือข่ายการสื่อสารสาธารณะหรือโทรศัพท์ นักเจาะระบบอาจได้รหัสการเข้าสู่เครือข่ายโดยการดักข้อมูลทาง
สายโทรศัพท์หรือใชเ้ ครื่องมอื สื่อสารนำไปตดิ กับเครื่องคอมพิวเตอร์หรือใช้เคร่ืองจับการแผ่รังสีจากการส่งผ่าน
ข้อมูลที่ไม่มีการป้องกันการส่งข้อมูล (Unshielded Data Transmission) เพื่อจะได้มาซึ่งรหัสผ่าน
(Password)

5. ไวรัสคอมพวิ เตอร์

คือ โปรแกรมที่มีความสามารถในการแก้ไขดัดแปลงโปรแกรมอื่น เพื่อที่จะทำให้โปรแกรมนั้น ๆ

สามารถเป็นที่อยู่ของมันได้และสามารถทำให้มันทำงานได้ต่อไปเรื่อย ๆ เมื่อมีการเรียกใช้โปรแกรมที่ติดเชื้อ

ไวรัสนั้น ปี ค.ศ.1983 เมื่อนาย Fred Cohen นักศึกษาปริญญาเอกด้านวิศวกรรมไฟฟ้า ที่มหาวิทยาลัยเซาท์

เทอร์นแคลิฟอร์เนีย ได้คิดค้นโปรแกรมคอมพิวเตอร์ซึ่งสามารถทำลายล้างโปรแกรมคอมพิวเตอร์ด้วยกัน

เปรียบเสมือนเชื้อไวรัสที่แพร่กระจายเข้าสู่ตัวคนและเรียกโปรแกรมว่า Computer Virus ไวรัสคอมพิวเตอร์

มีหลายชนิดที่มนุษย์สามารถคิดค้นได้ อาทิเช่น Worm, Trojan Horse, Logic Bomb, Chameleons,

Pakistani, Macintosh, Scores, Peace, Lehigh, Keypress, Dark Avenger, Stoned, Michelangelo หรอื

แม้แตไ่ วรัสท่ใี ช้ชื่อไทย เช่น ลาวดวงเดือน เปน็ ต้น

อาชญากรรมในอนิ เทอรเ์ นต็ แบ่งไดเ้ ป็น 4 กลุม่
1. กลุ่มแรกเป็นพวกเจาะข้อมูล (Hacker) ซึ่งเมื่อเจาะผ่านการป้องกันได้แล้วก็สามารถทำได้หลาย
อยา่ ง ตัง้ แต่การนำขอ้ มูลไปใชป้ ระโยชน์จนถงึ การบอ่ นทำลาย
2. กลุ่มที่สองเป็นการบ่อนทำลาย (Sabotage) จงใจจะทำลายโดยใช้หนอน (Worm) หรือไวรัส เพื่อ
โจมตีระบบปฏบิ ัตกิ ารหรอื ลบหรอื เปล่ียนแปลงข้อมลู
3. กลุ่มที่สาม ได้แก่ การติดตามเหยื่อ (Stalking) เช่น โดยการอาศัยอีเมล หรือห้องสนทนา (Chat-
Room) เพื่อติดตามผู้ที่จะเป็นเหยือ่ เป้าหมาย กลุ่มโรคจิตท่ีชอบเด็กอาจจะตามไปจับตวั เด็กนัน้ หรือส่งข้อมูลท่ี
ทำร้ายความรู้สกึ หรอื คกุ คาม
4. กลมุ่ ทีส่ ี่ ไดแ้ ก่ ผทู้ อี่ าศยั อินเทอร์เน็ตขายของเถ่อื นหรือของไมไ่ ด้มาตรฐาน
การก่ออาชญากรรมทางคอมพิวเตอร์ โดยมากแล้วการกระทำความผิดทางคอมพิวเตอร์นั้นมักจะเป็น
คุกคามความเป็นส่วนตัวหรือลักลอบเข้าไปในระบบคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต หรือโดยไม่มี
อำนาจให้กระทำการ การกระทำดังกลา่ วนั้นเป็นการกระทำอันเทยี บเคียงไดก้ ับการบุกรกุ ในทางกายภาพ และ
ในปัจจุบันมักมีพัฒนาการด้านโปรแกรมคอมพิวเตอร์ในรูปแบบต่าง ๆ โดยกำหนดคำสั่งให้กระทำการใด ๆ
ใหเ้ กดิ ความเสยี หายขึ้นได้ เชน่

275

“Virus Computer เป็นโปรแกรมที่มุ่งทำลายข้อมูลในระบบคอมพิวเตอร์ซึ่งแฝงมากับข้อมูลผ่านการ
ดาวน์โหลดหรือใช้ข้อมูลร่วมกัน สามารถติดต่อแพร่กระจายจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งได้ง่ายและ
รวดเร็วเร็ว ผลของการติดไวรัสขั้นเบาทำให้ข้อมูลเสียหายหนักขึ้นมาหน่อยทำให้ระบบปฏิบัติการ (OS) ใช้
ไมไ่ ด”้

“Trojan Horse เป็นไวรัสชนิดหนึ่ง เป็นโปรแกรมที่สามารถแฝงตัวอยู่กับโปรแกรมการทำงาน
ทั่ว ๆ ไป ไวรัสชนิดนี้มีวัตถุประสงค์เพื่อล้วงความลับในเครื่องคอมพิวเตอร์ เช่น การลักลอบขโมยข้อมูล
เป็นตน้ ”

“Bomb โปรแกรมท่กี ำหนดให้ทำงานภายใต้เงอื่ นไขท่ีกำหนดขึ้นเหมือนกบั การระเบิดของระเบดิ เวลา
เช่น Time Bomb ซึ่งเป็นโปรแกรมที่มีการตั้งเวลาให้ทำงานตามที่กำหนดเวลาไว้ หรือ Logic Bomb ซึ่งเป็น
โปรแกรมท่ีกำหนดเงอื่ นไขให้ทำงานเม่อื มเี หตุการณห์ รือเงอ่ื นไขใด ๆ เกิดข้ึน”

“Rabbit เป็นไวรัสที่ใช้ก่อกวน โดยโปรแกรมจะถูกกำหนดให้สร้างตัวมันเองซ้ำ ๆ เพื่อให้มีขนาดใหญ่
ขึ้น และไปใช้งานหน่วยความจำทำให้หน่วยความจำเต็ม โปรแกรมอื่นไม่สามารถใช้งานได้ ทำให้ระบบช้าหรือ
ลม่ ไปในทส่ี ุด”

“Sniffer โปรแกรมเลก็ ๆ ทีส่ ร้างข้นึ เพ่ือลกั ลอบดกั ขอ้ มูลท่สี ง่ ผ่านระบบเครือข่าย ซงึ่ ถูกส่งั ใหบ้ นั ทกึ
การ Log On ซงึ่ จะทำให้ทราบรหสั ผ่าน (Password) ของบคุ คลซ่ึงสง่ หรือโอนขอ้ มลู ผ่านระบบ
เครือข่าย
โดยจะนำไปเกบ็ ไวใ้ นแฟ้มลับทส่ี รา้ งขึน้ กรณีน่าจะเทียบได้กบั การดักฟัง”
“Spoofing เทคนิคการเข้าสู่เครื่องคอมพิวเตอร์ที่อยู่ระยะทางไกล โดยการปลอมแปลงที่อยู่
อินเทอร์เน็ต (Internet Address) ของเครื่องที่เข้าได้ง่าย เพื่อค้นหาจุดที่ใช้ในระบบรักษาความปลอดภัย
ภายในและลกั ลอบเขา้ ไปในคอมพวิ เตอร”์
“The Hole in the Web เป็นข้อบกพร่องใน world wide web เนื่องจากโปรแกรมที่ใช้ในการ
ปฏบิ ัตกิ ารของ Website จะมหี ลุมหรอื ชอ่ งว่างทผ่ี บู้ ุกรกุ สามารถทำทกุ อย่างท่ีเจ้าของ Website สามารถทำได้”

นอกจากนอี้ าจแบง่ ประเภทของอาชญากรรมคอมพวิ เตอร์ตามกระบวนการไดด้ ังนี้
5.1 การก่ออาชญากรรมคอมพวิ เตอรใ์ นข้ันของกระบวนการนำเขา้ (Input Process) ดังนี้

- การสับเปลี่ยน Disk ในท่นี ี้หมายความรวม Disk ทุกชนดิ
- การทำลายข้อมูล ทุกชนิดท่ใี ชร้ ว่ มกับคอมพิวเตอร์โดยมิชอบ
- การป้อนข้อมูลเท็จ ในกรณีที่เป็นผู้มีอำนาจหรือผู้ที่ไม่มีอำนาจเข้าถึงข้อมูล แต่ได้กระทำการสิ่งไม่
ชอบในขณะท่ตี นเองอาจเข้าถงึ ขอ้ มลู ได้
- การลกั ขอ้ มูลขา่ วสาร (Computer Espionage) ไมว่ า่ โดยการกระทำด้วยวธิ กี ารอยา่ งใด ๆ
- การลักใช้บริการหรือเข้าไปใช้โดยไม่มีอำนาจ (Unauthorized Access) อาจกระทำโดยการเจาะ
ระบบเข้าไปหรือใช้วิธีการอยา่ งใด ๆ เพื่อใหไ้ ด้มาซึ่งรหัสผ่าน (Password) เพื่อให้ตนเองเขา้ ไปใชบ้ รกิ ารไดโ้ ดย
ไมต่ อ้ งลงทะเบียนเสียคา่ ใชจ้ า่ ย
5.2 ส่วนกระบวนการ (Data Processing) ดงั น้ี

- การทำลายข้อมูลและระบบโดยใชไ้ วรสั (Computer Sabotage)
- การทำลายข้อมลู และโปรแกรม (Damage to Data and Program)
- การเปลีย่ นแปลงขอ้ มลู และโปรแกรม (Alteration of Data and Program)

276

5.3 สว่ นกระบวนการนำออก (Output Process) ดงั น้ี
- การขโมยขยะ (Swaging) คือ ข้อมูลที่ไม่ใช้แล้วแต่ยังไม่ได้ทำลายขยะที่ถูกขโมยไป อาจทำให้
เจ้าของตอ้ งเสียหาย ทั้งเจ้าของอาจจะยงั มไิ ด้มเี จตนาสละการครอบครองกไ็ ด้
- การขโมย Printout คือ การขโมยงานหรือข้อมูลที่ Print ออกมาแล้วเพราะเป็นการขโมยเอกสาร
อนั มคี า่

6. การกำหนดความผดิ และบทกำหนดโทษ

การเริ่มกฎหมายอาชญากรรมคอมพิวเตอร์ตอนแรก พัฒนาขึ้นโดยคำนึงถึงการกระทำผิดต่อระบบ
คอมพวิ เตอร์ เขา้ ถงึ ขอ้ มูล และระบบเครือข่าย มี 3 อยา่ ง คือ

1) การเขา้ ถงึ โดยไม่มีอำนาจ (Unauthorised Access)
2) การใชค้ อมพิวเตอรโ์ ดยมิชอบ (Computer Misuse)
3) ความผดิ เก่ยี วข้องกับคอมพิวเตอร์ (Computer Related Crime)

ความผดิ แต่ละฐานท่ีกำหนดขึ้นดงั ที่สรปุ ไวข้ ้างต้น มีวตั ถุประสงค์ในการใหค้ วามคมุ้ ครองที่แตกต่างกัน
ความผิดฐานเข้าถึงโดยไม่มีอำนาจหรือโดยฝ่าฝืนกฎหมายและการใช้คอมพิวเตอร์ในทางมิชอบ ถือเป็นการ
กระทำที่คุกคามหรือเป็นภัยต่อความปลอดภัย (Security) ของระบบคอมพิวเตอร์และระบบข้อมูล เมื่อระบบ
ไม่มีความปลอดภัย จะส่งผลกระทบต่อความครบถ้วน (Integrity) การรักษาความลับ (Confidential) และ
เสถยี รภาพในการใชง้ าน (Availability) ของระบบข้อมลู และระบบคอมพิวเตอร์ มกี ารกระทำดงั นี้

การเข้าถึงโดยไมม่ ีอำนาจ เช่น การเจาะระบบ (Hacking or Cracking) หรือการบุกรุกทางคอมพิวเตอร์
(Computer Trespass) เพื่อทำลายระบบคอมพิวเตอร์หรือเพื่อเปลี่ยนแปลงแก้ไขข้อมูล หรือเพื่อเข้าถึงข้อมูล
ทีเ่ กบ็ รกั ษาไว้เปน็ ความลับ เชน่ รหัสลบั (Passwords) หรือความลับทางการค้า (Secret Trade) เปน็ ตน้

การลักลอบดักข้อมูล โดยการลักลอบดกั ข้อมูลโดยวธิ ีการทางเทคนิค (Technical Means) เพื่อลักลอบ
ดักฟัง ตรวจสอบหรือติดตามเนื้อหาสาระของข่าวสารที่สื่อสารถึงกันระหว่างบุคคล หรือกรณีเป็นการกระทำอัน
เป็นการลอ่ ลวงหรือจัดหาข้อมลู ดังกล่าวใหก้ บั บคุ คลอ่นื รวมทั้งการแอบบันทึกข้อมลู ท่สี ่อื สารถงึ กันด้วย

ความผิดฐานรบกวนระบบ เช่น การรบกวนทั้งระบบข้อมูลและระบบคอมพิวเตอร์ โดยมุ่งลงโทษ
ผู้กระทำความผดิ ทีจ่ งใจกอ่ ใหเ้ กิดความเสียหายต่อขอ้ มูลและระบบคอมพิวเตอร์หรอื การปอ้ นโปรแกรมที่ทำให้
ระบบปฏิเสธการทำงาน ซ่งึ เป็นท่ีนยิ มกนั มากหรอื การทำใหร้ ะบบทำงานช้าลง

การใช้อุปกรณ์ในทางมิชอบ เช่น การส่งข้อมูลที่ได้รับเพื่อให้ผู้อื่นอีกทอดหนึ่ง (Forward) หรือการ
เชือ่ มโยงฐานขอ้ มูลเขา้ ด้วยกัน (Hyperlinks)

การกระทำความผิดทางคอมพิวเตอร์ คือ การกระทำการที่ถือว่าเป็นความผิดตามกฎหมาย และเป็น
การกระทำผ่านหรือโดยอาศัยคอมพิวเตอร์ในการกระทำความผิด ซึ่งมีวัตถุประสงค์มุ่งต่อระบบคอมพิวเตอร์
ข้อมูลของคอมพิวเตอร์หรือบุคคล เพื่อก่อให้เกิดความเสียหายแก่ผู้อื่นหรือประชาชน จะมีความผิดตาม
พระราชบัญญัติว่าดว้ ยการกระทำผิดเก่ียวกบั คอมพิวเตอร์ พ.ศ.2550 และแก้ไขเพ่ิมเตมิ (ฉบับท่ี 2) พ.ศ. 2560
โดยมีหน่วยงานที่เกี่ยวข้องและรับผิดชอบ คือ สำนักงานพัฒนธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (บก.ปอท.) ศูนย์
ประสานงานการรักษาความปลอดภัยคอมพวิ เตอร์ประเทศไทย (ThaiCERT)

277

บคุ คลท่ีถอื วา่ เป็นอาชญากรทางคอมพวิ เตอร์ แบ่งประเภทของอาชญากรทางคอมพิวเตอร์ไว้ดงั น้ี
1. พวกมือใหม่ (Novices) หรือมือสมัครเล่น อยากทดสอบความรู้และส่วนมากจะไม่ใช่อาชญากร
มอี าชีพเป็นหลักแหล่ง
2. นักเจาะข้อมูล (Hacker) เป็นผู้ที่ชอบเข้าระบบคอมพิวเตอร์ที่ไม่ใช่ของตนเอง ชอบทดสอบ
ความสามารถเขา้ ระบบเครอื ขา่ ยทตี่ นเองไมม่ สี ว่ นเก่ียวขอ้ ง
3. อาชญากรท่ไี มต่ อ้ งใชเ้ ทคโนโลยี เชน่ การขโมยบัตร ATM ทไ่ี ม่ใช่ของตนเอง
4. อาชญากรมืออาชีพ เป็นอาชญากรโดยอาชีพ เช่น การใช้ความรู้ทางเทคโนโลยีการจารกรรมข้อมลู
ของคนหรอื องค์กรนำไปขาย เป็นตน้
5. พวกหัวรุนแรงคลั่งอุดมการณ์ เป็นพวกก่ออาชญากรรมทางคอมพิวเตอร์ เพื่อตามการเมือง
เศรษฐกจิ ศาสนา หรอื สทิ ธิมนษุ ย์ชน เปน็ ตน้

ผ้กู ระทำความผดิ ทางคอมพิวเตอร์มีลกั ษณะพเิ ศษดงั ต่อไปน้ี
1. สว่ นใหญ่มกั มอี ายนุ อ้ ย
2. ส่วนใหญเ่ ป็นผทู้ ี่มีวชิ าชีพ
3. ลักษณะส่วนตวั เช่น มีแรงจูงใจและความทะยานอยากสูงในการทีจ่ ะเอาชนะและฉลาดไมใ่ ชอ่ าชญา
กรโดยอาชพี กลัวทจ่ี ะถูกจบั ได้ กลวั ครอบครัว เพือ่ นและเพื่อนรว่ มงานจะรู้ถึงการกระทำความผิดของตน

7. ประเภทของอาชญากรรมคอมพิวเตอร์

อาชญากรรมคอมพิวเตอร์มีอยู่หลายประเภท ในที่นี้จะขอใช้ของ Peter Grabosky ชาวออสเตรเลีย
ไดแ้ บ่งประเภทไวด้ ังน้ี (Grabosky. 2000)

7.1 Theft of Information Services เป็นการโจรกรรมบริการข้อมูล โดยการบริการข้อมูล
ทางไกลเป็นสิ่งที่ง่ายต่อการขโมย แรงจูงใจที่ทำให้เกิดการขโมยเกิดจากความประสงค์ร้ายหรือขโมยเพื่อความ
อยู่รอดของชีวิต หรือขโมยเพื่อการทำธุรกิจที่ผิดกฎหมาย การทำการขโมยข้อมูลทางคอมพิวเตอร์อาจทำโดย
การบันทึกขอ้ มลู จากโทรศพั ท์มือถือ การเข้าถึงแผงวงจรไฟฟ้าของโทรศัพท์ โดยปราศจากอำนาจหนา้ ท่ี

7.2 Communication in Furtherance of Criminal Conspiracies เป็นการสมรู้ร่วมคิดใน
การประกอบอาชญากรรมโดยการติดต่อสื่อสาร โดยระบบข้อมูลปัจจุบันมีวิธีการอย่างชัดเจนที่จะทำให้
ผู้กระทำความผิดสามารถติดต่อสื่อสารกันได้อย่างมีประสิทธิผล เพื่อการวางแผนและการกระทำกิจกรรมได้
ตามที่ต้องการ มีหลักฐานการใช้ระบบข้อมูลเพื่อการค้ายาเสพติด การพนัน โสเภณี การฟอกเงิน การทำลามก
อนาจารต่อเด็ก ตลอดทั้งการค้าอาวุธ ซึ่งทำได้รวดเร็วและความสะดวกในการใช้ข้อมูล จนทำให้บุคคลกระทำ
กจิ รว่ มกนั เพอ่ื วางแผนประกอบอาชญากรรมไดง้ า่ ย

7.3 Information Piracy/Counterfeiting/Forgery เป็นการสื่อสารเพื่อความก้าวหน้าของ
แผนการทางอาญา หมายถึง การปล้นข้อมูล/การปลอมผลิตภัณฑ์/การปลอมเอกสาร ซึ่งเกี่ยวกับการละเมิด
ลิขสิทธิ์ทางด้านอุตสาหกรรม เหตุผลที่ทำเพราะสามารถทำได้รวดเร็วและความแน่นอนในการลอกเลียนแบบ
ผลงานได้รับการส่งเสริมได้อย่างมีประสิทธิภาพจากเทคโนโลยีสมัยใหม่ โดยผ่านเครือข่ายข่าวสารข้อมูล การ
ละเมิดลขิ สิทธิอ์ าจจะเกิดขนึ้ อย่างรวดเรว็ และงา่ ยดาย ใครๆ ก็อาจจะทำได้โดยการใช้อินเทอร์เนต็

278

7.4 Dissemination of Offensive Materials เป็นการเผยแพร่วัสดุที่ไม่เหมาะสม หมายถึง
การกระจายขอ้ มลู อันเป็นท่นี ่ารังเกยี จ ซง่ึ ข้อมูลอนั เป็นท่ีนา่ รงั เกยี จมีอย่มู ากมายในระบบคอมพิวเตอร์ ข้อมูลท่ี
มีมากดงั กลา่ วน้ี อาจประกอบดว้ ยขอ้ มูลท่ีเปดิ เผยในเรื่องเพศ การโฆษณาชวนเชื่อในเร่ืองการแบง่ แยกเชื้อชาติ
การสอนให้ทำอุปกรณ์ในการวางเพลิงและวัตถุระเบิด โดยระบบข้อมูลสามารถทำการคุกคาม ขู่เข็ญ และ
ล่วงละเมิดด้วยการสื่อสาร ตัวอย่างเช่น นักศึกษาคนหนึ่งได้สร้างเรื่องประเภททารุณกรรมทางเพศ และใช้ชอ่ื
เพอ่ื นของเขาให้เป็นผูต้ กเป็นเหยอื่ ในทส่ี ดุ กถ็ ูกจบั ได้พรอ้ มข้อมูลในการข่กู รรโชก

7.5 Electronic Money Laundering เป็นการฟอกเงินทางอิเล็กทรอนิกส์ ซึ่งปัจจุบันการโอนเงิน
ทางอิเล็กทรอนิกส์ได้ช่วยให้มีการซ่อนเร้นในเรื่องของการประกอบอาชญากรรม อีกทั้งความเจริญทาง
เทคโนโลยีได้มีส่วนช่วยเป็นอย่างมากต่อการซ่อนเร้นแหล่งรายได้ที่ไม่ถูกต้อง ไม่เพียงแต่สถาบันการเงิน
ขนาดใหญ่เท่านั้นที่สามารถรับการโอนเงินจำนวนมากผ่านเข้ามาด้วยความรวดเร็วทางคอมพิวเตอร์ และยังมี
พัฒนาการของสถาบันการเงินนอกระบบที่สามารถทำให้ธนาคารกลางอนุญาตให้ธนาคารนอกระบบเป็น
ตัวกลางในการฝากเงินท่ีผิดกฎหมายได้

7.6 Electronic Vandalism and Terrorism เป็นการก่อการร้าย การแสดงพฤติกรรมที่ไม่ดี
และเป็นการก่อการร้ายทางอิเล็กทรอนิกส์ สังคมต้องพึงพาข้อมูลและระบบข่าวสารอันซับซ้อน การทำให้เกิด
ความเสียหายหรือการเข้าไปแทรกแซงในระบบดังกล่าวอาจจะก่อให้เกิดผลเสียได้ โดยการด้วยความอยากรู้
การแกแ้ ค้นหรือความโลภ ผ้ทู ำการแทรกแซงทางอเิ ลก็ ทรอนิกส์จะทำใหเ้ กดิ ความไม่สะดวกในการทำงาน และ
ผ้ทู ีก่ ระทำการเชน่ น้ันยอ่ มมศี ักยภาพเพียงพอทจี่ ะกอ่ ความเดือดร้อนไดอ้ ยา่ งกวา้ งขวาง

7.7 Sales and Investment Fraud เป็นการโกงทางด้านการขายและการลงทุน โดยการใช้
โทรศัพท์เพื่อหลอกขายของ หลอกให้มีการทำบุญหรือการทาบทามให้มีการลงทุนโดยการหลอกลอง ซึ่งการ
กระทำดังกล่าวทำให้เกิดกิจกรรมทางด้านการค้าและมีการเพิ่มขึ้น บวกกับความเจริญทางเทคโนโลยีด้านการ
ติดต่อสือ่ สาร ก่อใหเ้ กดิ ความเสี่ยงต่อการโกงทางด้านการขายมากย่ิงขึ้น พัฒนาการทางด้านการตลาดผ่านทาง
อิเล็กทรอนิกส์ ก่อให้เกิดโอกาสใหม่ ๆ สำหรับผู้ขาดธรรมะและเป็นการค้าที่เสี่ยงสำหรับบุคคลที่ขาดความรู้
ความเข้าใจ

7.8 Illegal Interception of Information เป็นการสกดั กนั้ ข้อมลู ท่ผี ิดกฎหมายการขดั ขวางที่ผดิ
กฎหมายในเรื่องของการส่งข้อมูล มีการพัฒนาการส่งข้อมูลทำให้เกิดโอกาสใหม่ ๆ ในการดักฟังทาง
อิเล็กทรอนิกส์ มีกิจกรรมหลายอย่างที่สามารถดักฟังได้นับตั้งแต่การตรวจสอบความไม่ซื่อสัตย์ของคู่ครอง
จนกระทั่งการดักฟังข้อมูลในทางการเมืองและทางอุตสาหกรรม กล่าวได้ว่าพัฒนาการทางเทคโนโลยี
ไดก้ ่อใหเ้ กดิ ความออ่ นแอขึ้นจนยากแกก่ ารป้องกัน สญั ญาณทเี่ กิดจากการใช้คอมพิวเตอร์ อาจจะถกู ขดั ขวางได้
ตามทีโ่ อกาสจะอำนวย

7.9 Electronic Funds Transfer Fraud เป็นการโกงการโอนเงินทางอิเล็กทรอนิกส์ มีการขยาย
แนวทางในการโอนเงินทางอิเล็กทรอนิกส์ ก่อให้เกิดความเสี่ยงต่อการถูกขัดขวาง และมีทำผิดไปจากความ
ประสงค์ของผู้ประกอบการ การโอนเงินของครอบครัวระหว่างบัญชีเงินฝากธนาคาร แม้กระทั่งการโอนเงิน
ในการซื้อขายก็อาจจะก่อให้เกิดความเสี่ยงต่อการถูกขโมยและการโกง ด้วยพัฒนาการอย่างกว้างขวางที่มีการ
ใชเ้ งินทางอิเลก็ ทรอนิกส์ โดยอาศยั อินเทอรเ์ น็ตจะกอ่ ใหเ้ กิดโอกาสมากตอ่ การประกอบอาชญากรรม

อาชญากรรมคอมพิวเตอร์มีการพัฒนาขึ้นมาก โดยอาศัยความเจริญก้าวหน้าทางด้านเทคโนโลยี
ทีเ่ พม่ิ ขน้ึ อย่างรวดเร็ว จะเหน็ ได้จาก

1. เกิดแบบแผนใหมข่ ึ้นมาอย่างรวดเรว็ ทุก ๆ วัน
2. ยากแก่การเสาะหาขอ้ เท็จจรงิ โดยอาศยั ช่องทางในการบงั คบั ใช้กฎหมายแบบเก่า

279

3. มีความจำเป็นในการควบคุมของภาครัฐ ที่จำเป็นต้องพัฒนาความรู้ และความชำนาญทางเทคนิค
เพือ่ ให้สามารถตอ่ สู้กบผู้กระทำความผิดได้

อาชญากรรมคอมพิวเตอร์เป็นสิ่งที่ยากแก่การแก้ไขทางที่ดีที่สุด คือ ต้องทำให้ยากต่อการก่อความผิด
โดยส่ิงทส่ี ำคัญ คือ ต้องกวดขันในเร่อื งระบบการรกั ษาความปลอดภยั ทางคอมพิวเตอร์

เป็นที่ยอมรับกันมานานแล้วว่าระบบงานยุติธรรมทางอาญาเป็นระบบที่ไม่สมบูรณ์ ในการควบคุม
สังคม การที่จะป้องกันอาชญากรรมให้บรรลุผล คือ ให้อาชญากรรมอยู่ในระดับที่ไม่เป็นอันตรายต่อสังคม
จำเป็นต้องอาศัยความร่วมมือในการแก้ไขปัญหาอาชญากรรมทางคอมพิวเตอร์ ระบบงานยุติธรรมทางอาญาก็
จำเปน็ จะตอ้ งรว่ มมือกับสถาบันทางสงั คมดว้ ยเชน่ กัน

การแกไ้ ขปญั หาอาชญากรรมคอมพิวเตอร์
หลักการสำคัญในการแก้ไขปัญหาอาชญากรรมทางคอมพิวเตอร์ของ Peter Grabosky (Grabosky,
2000: 39-43) ได้เสนอแนวทางไวด้ ังต่อไปน้ี
1. เนน้ การปอ้ งกัน เป็นสง่ิ ทเ่ี หมาะอยา่ งยงิ่ ต่อการแก้ไขปญั หาอาชญากรรมทางคอมพิวเตอร์ เปรียบได้
กบั การล้อมคอกกอ่ นววั หาย หรอื การไม่ปล่อยให้ข้อมูลรว่ั ไหลไปยังบุคคลที่ไมเ่ กีย่ วข้องหรอื ไม่มีอำนาจ
2. การช่วยตัวเองนับเป็นแนวทางแรกในการป้องกัน ขั้นตอนแรกในการป้องกันอาชญากรรมทาง
คอมพิวเตอร์ คือ ผู้ที่อาจจะต้องตกเป็นเหยื่อจะต้องตระหนักรู้ถึงภัยที่จะเกิดขึ้นแก่ตนเอง บุคคลหรือสถาบัน
ต่าง ๆ จะต้องตระหนักถึงผลที่เกิดจากอาชญากรรมทางคอมพิวเตอร์ และจะต้องกำหนดวิธีการพื้นฐานในการ
ป้องกันไว้ให้ดี ภาคธุรกิจซึ่งจะได้รับผลตอบแทนสูงทางด้านการค้าคอมพิวเตอร์ จะต้องพัฒนาระบบการใช้
จ่ายเงินทกี่ อ่ ให้เกิดความปลอดภยั สงิ่ หนึ่งทเี่ ป็นขอ้ พจิ ารณาในเบอ้ื งตน้ คอื การเลอื กบคุ คลเขา้ ทำงาน ไดม้ กี าร
สำรวจหลายครั้งในภาคธุรกิจ พบว่า บุคคลที่ทำงานในองค์กรมักเป็นผู้คุกคามต่อข่าวสารข้อมูลมา กกว่า
บคุ คลภายนอกหรอื พนกั งานทอี่ อกจากงานไปแล้วเป็นกล่มุ เส่ยี งเหมอื นกนั
3. การให้ความช่วยเหลือจากภาคเอกชนและชุมชนในการป้องกันและสืบสวนอาชญากรรมทาง
คอมพิวเตอร์ เนื่องจากพลังทางด้านการตลาดเป็นตัวกำหนดที่มีอิทธิพลสูงต่อการดำเนินการเพื่อควบคุม
อาชญากรรมทางคอมพิวเตอร์ การค้าขายทางอิเล็กทรอนิกส์เป็นสิ่งที่ทำเงินได้มหาศาล พวกพ่อค้าจึงต้อง
พฒั นากระบวนการในการรกั ษาความปลอดภยั เป็นการยากทรี่ บั บาลจะเข้ามาช่วยเหลือกได้ทนั ถว่ งที บางส่วน
ของภาคเอกชนมีผลตอบแทนในทางการค้ามากพอที่จะนำเงินมาใช้เพื่อดำเนินการป้องกันอาชญาก รรมทาง
คอมพวิ เตอร์ไดด้ ้วยตนเอง
“ข้อมูลที่ไม่ถึงประสงค์ที่ผ่านเข้ามาในคอมพิวเตอร์นั้นเป็นสิ่งที่จะเกิดโทษมากกว่าให้ประโยชน์แก่
เยาวชน เรื่องนี้พ่อแม่หรือครูบาอาจารย์จะต้องป้องกันมิให้เยาวชนเข้าถึงข้อมูลดังกล่าว อนึ่ง หากพ่อแม่
ครบู าอาจารยห์ รอื บคุ คลทว่ั ไปเกิดความสงสัยเกี่ยวกบั การกระทำท่ีผิดกฎหมายเกดิ ขึ้นในอินเทอร์เน็ต ก็สมควร
ที่จะรายงานให้เจา้ หนา้ ท่ีเกี่ยวข้องได้ทราบให้ทันท่วงที”
4. การส่งเสริมความสามารถของฝ่ายบังคับใช้กฎหมาย ความเจริญก้าวหน้าของเทคโนโลยีทำหน้าท่ี
บงั คบั ใช้กฎหมายจำเปน็ จะตอ้ งกา้ วให้ทนั กับความเจริญ จึงต้องมกี ารฝึกอบรมเจา้ หน้าท่ีให้มคี วามรู้ความเข้าใจ
ต่อเทคนิคใหม่ ๆ ทั้งนี้ด้วยเหตุที่ว่าพวกอาชญากรได้ใช้เทคนิคใหม่ ๆ ในการละเมิดกฎหมาย เจ้าหน้าที่ฝ่าย
บังคับใช้กฎหมายอาจจะต้องร่วมมือกับภาคเอกชน เพื่อฝึกฝนตนเองให้ทันกับความก้าวหน้าของเทคโนโลยี
สมัยใหม่ การใช้กลยุทธใ์ นการสืบสวนสอบสวนแบบเดมิ ไม่อาจจะไล่ทันพวกอาชญากรทใ่ี ชเ้ ทคนิคสมัยใหม่ได้
5. ความจำเป็นท่ีจะต้องร่วมมือกับตา่ งชาติ เพราะอาชญากรรมคอมพิวเตอรท์ ีเ่ กดิ ขน้ึ ในระดับระหว่าง
ประเทศกำลังมีอัตราการเกิดเพิ่มมากขึ้น จึงต้องอาศัยการพัฒนาและความร่วมมือระหว่างประเทศในทาง
ปฏิบัติ เพื่อให้เกิดผลในความร่วมมือระหว่างประเทศเป็นสิ่งที่ไม่ง่าย เพราะอาจเกิดปัญหาความแตกต่างใน

280

เรื่องนโยบาย เช่น รัฐบาลหนึ่งอาจจะของหลักฐานการกระทำความผิดของประชาชนของตนในต่างประเทศ
หรืออาจจะขอให้ส่งผู้ร้ายข้ามแดนเข้ามาดำเนินคดีในประเทศที่บุคคลที่กระทำผิดอาศัยอยู่ก็ได้ การส่งผู้ร้าย
ข้ามแดนต้องทำเปน็ สญั ญาระหว่างสองประเทศ

ตารางสรุปบทลงโทษในกระทำความผดิ ทางคอมพวิ เตอร์ตามพระราชบัญญัติวา่ ด้วยการกระทำผดิ เกี่ยวกบั

คอมพิวเตอร์ พ.ศ. 2550 และท่ปี รับปรงุ แก้ไข พ.ศ. 2560

มาตรา การกระทำ โทษ

มาตรา 5-8 เข้าถึงระบบบน/ เข้าถึงขอ้ มลู คอมพวิ เตอร์ จำคุกไม่เกิน 6 เดือน/ปรับไม่เกิน 10,000 บาท/

ข้อมลู ของผอู้ ื่นโดยมิชอบ ทั้งจำท้ังปรบั

เขา้ ถงึ ขอ้ มูลคอมพิวเตอร์ จำคุกไม่เกิน 2 ปี/ปรับไม่เกิน 40,000 บาท/ท้ั

งจำทั้งปรับ

ล่วงรู้มาตรการป้องกันการเข้าถึง จำคุกไม่เกิน 1 ปี/ปรับไม่เกิน 20,000 บาท/

ระบบคอมพิวเตอรแ์ ละนำไป ทง้ั จําทัง้ ปรบั

ดักรบั ขอ้ มูลคอมพวิ เตอร์ จำคุกไม่เกิน 2 ปี/ปรับไม่เกิน 40,000 บาท/

ทั้งจำทั้งปรับ

มาตรา 9-10 แกไ้ ข ดดั แปลง/ - ปรับไม่เกิน ทำให้เสียหาย ทำลาย จำคุกไม่เกิน 5 ปี/ปรับไม่เกิน 100,000 บาท/ทั้งจำ

ทำใหข้ อ้ มลู เสียหาย แก้ไข เปลี่ยนแปลง เพิ่มเติม ข้อมูล ทั้งปรับ

ของ ผูอ้ ืน่ โดยมิชอบ กรณเี ป็นการกระทำต่อระบบหรือข้อมูลคอมพิวเตอร์

- ทำให้ระบบคอมพิวเตอร์ของ ผู้อื่น ตามมาตรา 12 จำคุกไม่เกิน 3-15 ปี และปรับ

ไม่สามารถทำงานได้ตามปกติ 60,000-300,000 บาท

- ถ้าเป็นเหตุให้เกิดอันตรายแก่บุคคลอื่น จำคุก

ไม่เกิน 10 ปี และ ปรบั 200,000 บาท

- ถ้าเป็นเหตุให้บุคคลอื่นถึงแก่ ความตาย จำคุก

ไมเ่ กิน 5-20 ปี และปรับ 100,000-200,000 บาท

มาตรา 11 ส่งข้อมูลหรืออเี มล ส่งโดยปกปิดหรือปลอมแปลง ปรบั ไมเ่ กนิ 100,000 บาท

ก่อกวนผูอ้ ่ืน แหล่งท่ีมา

ส่งโดยไม่เปิดโอกาสให้ปฏิเสธการ จำคุกไม่เกิน 2 ปี/ปรับไม่เกิน 40,000 บาท/ทั้งจำ

ตอบรับได้โดยง่าย ทงั้ ปรบั

มาตรา 12 เข้าถึงระบบ/ - เข้าถงึ ระบบหรือข้อมูลคอมพิวเตอร์ - กรณีไม่มีความเสียหาย จำคุก 1-7 ปี และปรับ

ข้อมูลด้านความมั่นคงโดย - ล่วงรู้มาตรการการป้องกันการ 20,000-40,000 บาท

มิชอบ เข้าถึงระบบคอมพิวเตอร์และ นำไป - กรณีเกิดความเสียหาย จำคุก 1-10 ปี และปรับ

เปิดเผย 20,000-200,000 บาท

- กรณีเป็นเหตุให้ผู้อื่นถึงแก่ความตาย จำคุก

5-20 ปี และปรบั 100,000-400,000 บาท

281

มาตรา การกระทำ โทษ

มาตรา 13 จำหนา่ ยหรอื กรณที ำเพ่อื เป็นเครอ่ื งมือในการ จำคุกไมเ่ กิน 1 ปี/ปรับไม่เกิน 20,000 บาท/ท้ังจำ

เผยแพรช่ ดุ คำสั่งเพื่อนำไปใช้ กระทำความผิดทางคอมพวิ เตอร์ ทง้ั ปรับ หากมีผู้นำไปใชก้ ระทำความผิด

กระทำความผดิ ตามมาตรา 5-11 ผ้จู ำหน่าย/เผยแพร่ต้องรับผดิ ดว้ ย (เมอื่ มสี ว่ นรู้

เหน็ ) หากมผี ู้นำไปใช้กระทำความผดิ หรือตอ้ งรับ

ผิดตามมาตรา 12 ผู้ จำหน่ายหรือเผยแพร่จะต้อง

รับผดิ ทางอาญาดว้ ย (เม่ือมสี ่วนรู้เห็น)

มาตรา 14 นำข้อมูลที่ผิด - ขอ้ มลู ปลอม/ทุจริต/หลอกลวง - กรณีการกระทำนั้นส่งผลถึงประชาชน จำคุก

พ.ร.บ. เขา้ สรู่ ะบบคอมพิวเตอร์ - ขอ้ มูลเทจ็ ไม่เกิน 5 ปีปรับไม่เกิน 100,000 บาท/ทั้งจำ

- ข้อมูลความผิดเกี่ยวกับความ ทั้งปรบั

ม่ันคงปลอดภยั ฯลฯ (มาตรา 12) - กรณีการกระทำนั้นส่งผลต่อ บุคคลใดบุคคลหนึ่ง

- ข้อมูลความผิดเกี่ยวกับความ จำคุกไม่เกิน3 ปี ปรับไม่เกิน 600,000 บาท/ทั้งจำ

มั่นคง/ก่อการร้าย ทง้ั ปรบั (ยอมความได้)

- ขอ้ มูลลามก ประชาชนเขา้ ถึงได้

- เผยแพร่/ส่งตอ่ ขอ้ มลู โดยรอู้ ยู่แล้ว

ว่าผิด

มาตรา 15 ให้ความร่วมมือ ผู้ให้บริการท่ี ใหค้ วามรว่ มมือ ยนิ ยอม ต้องระวางโทษเช่นเดียวกับผู้ กระทำผิด (หากผู้

ยนิ ยอม รูเ้ หน็ เป็นใจ รู้เห็นเป็นใจให้มีการ กระทําผิด ให้บริการพิสูจน์ได้ว่าตนได้ปฏิบัติตามขั้นตอนการ

ตามมาตรา 14 ต่อระบบคอมพิวเตอร์ แจ้งเตือนแล้ว ไมต่ ้องรบั โทษ)

ของคน

มาตรา 16 ตัดต่อ เติม ตัดต่อ เติม ดัดแปลงภาพผู้อื่น/ จำคกุ ไมเ่ กนิ 3 ปี และปรบั ไมเ่ กนิ 200,000 บาท

ดัดแปลงภาพ ผู้ตาย นำเข้าสู่ระบบคอมพิวเตอร์ที่ - ศาลอาจสั่งให้ทำลายข้อมูล/เผยแพรค่ ำพิพากษา/

ประชาชนทั่วไปเข้าถงึ ได้ ดำเนินการ อื่นเพื่อบรรเทาความเสียหายที่เกิดจาก

- ทำให้เสียชือ่ เสยี ง ถกู ดุหมน่ิ การกระทำ

- ทำให้ถูกเกลียดชัง ได้รับความ - ผู้ที่ครอบครองข้อมูลคอมพิวเตอร์ที่ศาลสั่งให้

อับอาย ทำลาย แต่ไม่ทำลายตามคำสั่ง ต้องรับโทษกึ่งหน่ึง

(รวมถึงการกระทำความผิดตาม มาตรา 14 ดว้ ย)

ท่มี า : ศนู ยเ์ ทคโนโลยีสารสนเทศและการสือ่ สาร สำนักงานปลดั กระทรวงคมนาคม

8. พระราชบญั ญัตวิ า่ ด้วยการกระทำความผดิ เกย่ี วกบั คอมพวิ เตอร์ พ.ศ. 2560

มสี าระสำคัญดงั นี้

1. การฝากร้านใน Facebook, IG ถอื เป็นสแปม ปรบั 200,000 บาท
2. ส่ง SMS โฆษณา โดยไมร่ ับความยนิ ยอมใหผ้ ู้รบั สามารถปฏเิ สธขอ้ มูลนั้นได้ ไม่เช่นน้นั ถือเป็นสแปม
ปรบั 200,000 บาท
3. ส่ง Email ขายของถือเป็นสแปม ปรบั 200,000 บาท
4. กด Like ได้ไมผ่ ดิ พ.ร.บ.คอมพ์ฯ ยกเวน้ การกดไลค์ เปน็ เร่ืองเก่ยี วกับสถาบัน เสยี่ งเข้าข่ายความผดิ
มาตรา 112 หรือมคี วามผิดรว่ ม
5. กด Share ถือเป็นการเผยแพร่ หากข้อมูลที่แชร์มีผลกระทบต่อผู้อื่น อาจเข้าข่ายความผิดตาม
พ.ร.บ. คอมฯ โดยเฉพาะท่กี ระทบตอ่ บุคคลท่ี 3

282

6. พบข้อมูลผิดกฎหมายอยู่ในระบบคอมพิวเตอร์ของเรา แต่ไม่ใช่สิ่งที่เจ้าของคอมพิวเตอร์กระทำเอง
สามารถแจ้งไปยังหน่วยงานที่รับผิดชอบได้ หากแจ้งแล้วลบข้อมูลออกเจ้าของก็จะไม่มีความผิดตามกฎหมาย
เช่น ความเห็นในเว็บไซต์ต่าง ๆ รวมไปถึงเฟซบุ๊ก ที่ให้แสดงความคิดเห็น หากทบว่าการแสดงความเห็นผิด
กฎหมาย เม่ือแจง้ ไปท่ีหนว่ ยงานทร่ี ับผดิ ชอบเพ่ือลบไดท้ ันที เจา้ ของระบบเว็บไซต์จะไม่มคี วามผดิ

7. สำหรับแอดมินเพจที่เปิดให้มีการแสดงความเห็น เมื่อพบข้อความท่ีผิด พ.ร.บ.คอมฯ เมื่อลบออก
จากพืน้ ที่ที่ตนดูแลแล้ว จะถอื เปน็ ผ้พู น้ ผดิ

8. ไม่โพสตส์ ่ิงลามกอนาจารท่ีทำให้เกดิ การเผยแพรส่ ู่ประชาชนได้
9. การโพสเกี่ยวกับเด็ก เยาวชน ตอ้ งปดิ บงั ใบหนา้ ยกเวน้ เม่อื เป็นการเชดิ ชู ชื่นชม อยา่ งให้เกียรติ
10. การให้ข้อมูลเกี่ยวกับผู้เสียชีวิต ต้องไม่ทำให้เกิดความเสื่อมเสียเชื่อเสียงหรือถูกดูหมิ่น เกลียดชัง
ญาติ สามารถฟ้องร้องไดต้ ามกฎหมาย
11. การโพสต์ต่ำว่าผู้อื่น มีกฎหมายอาญาอยู่แล้ว ไม่มีข้อมูลจริงหรือถูกตัดต่อ ผู้ถูกกล่าวหาเอาผิดผู้
โพสตไ์ ด้ และมีโทษจำคกุ ไมเ่ กนิ 3 ปี ปรบั ไม่เกนิ 200,000 บาท
12. ไม่ทำการละเมิดลขิ สิทธิ์ผใู้ ด ไม่ว่าข้อความ เพลง รปู ภาพหรือวดิ โี อ
13. สง่ รูปภาพแชรข์ องผู้อ่ืน เชน่ สวัสดี อวยพร ไมผ่ ดิ ถา้ ไม่เอาภาพไปใช้ในเชงิ พาณิชย์ หารายได้

ท่ีมา : https://www.marketingoops.com/news/viral-update/computer-law/ 8 พฤษภาคม 2562

9. กฏหมายการคมุ้ ครองขอ้ มลู สว่ นบคุ คล (Date Protection Law)

ระบบคอมพิวเตอร์มีข้อมูลส่วนบุคคลจะสามารถถูกเก็บรวบรวมไว้ได้ง่าย และส่งกระจายได้อย่าง
รวดเร็วหรือการทําธุรกรรมผ่านคอมพิวเตอร์จะเกิดการบันทึกข้อมูลส่วนบุคคลใหม่เกี่ยวกับพฤติกรรมของแต่
ละบุคคล และสามารถเก็บรายละเอียดได้ทุกขั้นตอน วัตถุประสงค์ของกฎหมายกฎหมายการคุ้มครองข้อมูล
ส่วนบุคคลนี้ เพื่อการคุ้มครองความเป็นส่วนตัว (Privacy) จากการคุกคามของบุคคลอื่นที่ฉวยโอกาสนําเอา
ข้อมลู สว่ นตัวของบคุ คลไปใชใ้ นทางท่ีมิพงึ ประสงค์

ปัจจุบันแทบทุกบริการในอินเทอร์เน็ตนั้นมีการเก็บข้อมูลส่วนตัวทั้งนั้น ทั้งแบบผู้ใช้ตั้งใจใ ห้ข้อมูล
อย่างการสมัครใช้บริการต่าง ๆ ที่ต้องมีการใหข้ ้อมูลอีเมลหรือท่ีอยูเ่ พื่อจดั ส่งสนิ ค้าหรือแบบที่ผู้ใช้ไมไ่ ด้ต้งั ใจให้
ข้อมูล เช่น การจัดเก็บ Cookie บันทึกการเข้าเว็บของผู้ใช้หรืออย่างที่ facebook นำข้อมูลการคลิก
การกดไลคต์ า่ ง ๆ ไปวิเคราะห์หาลักษณะ (Profiling) ของผู้ใช้ เพอ่ื นำเสนอโฆษณาท่เี หมาะสม

มีการล่วงละเมิดสิทธิและข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญหรือความ
เสียหายให้แก่เจ้าของขอ้ มูล มาแล้วหลายต่อหลายราย ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเกบ็
รวบรวม การใช้และการเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิด ทำได้โดยง่าย สะดวกและรวดเร็ว
หลายคนโดนละเมิดโดยที่ไม่ร้ตู ัว

จุฬาลงกรณ์มหาวิทยาลัยได้จัดเวทีเสวนาเกี่ยวกับกฎหมายการคุ้มครองข้อมูลส่วนบุคคล โดยให้
หมายถึง “กฎหมายที่มีวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ประโยชน์ด้านอื่น ๆ เพ่ือ
ป้องกันและแก้ไขปัญหาการล่วงละเมิดสิทธิและข้อมูลส่วนบุคคลที่หลายคนกังวล โดยกำหนดหลักเกณฑ์และ
มาตรการกำกับดูแลการเก็บรวบรวม การใช้และเปิดเผยข้อมูลส่วนบุคคลให้เป็นมาตรฐานสากล เพื่อคุ้มครอง
ไม่ให้มกี ารก่อความเดอื ดรอ้ นรำคาญ หรือสร้างความเสียหายใหแ้ กเ่ จ้าของขอ้ มลู สว่ นบุคคล จงึ มคี ณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคลขึ้นมา เพื่อช่วยดูแลด้านต่าง ๆ ให้ข้อมูลไม่รั่วไหลไปสู่ภาคส่วนอื่น ๆ และถูกเก็บไว้

283

เป็นความลับ โดยร่างกฎหมายฉบับนี้ได้นำหลักการของสหภาพยุโรปมาใช้ด้วย เพื่อให้เป็นไปตาม
มาตรฐานสากลให้ได้มากที่สุด โดยหลังจากประกาศราชกิจจานุเบกษาแล้ว ประชาชนก็จะได้รับการคุ้มครอง
ทม่ี ากข้นึ ตามไปด้วย”

9.1 สาระสำคญั ของกฎหมายการค้มุ ครองขอ้ มูลส่วนบคุ คล มีดังน้ี
9.1.1 กำหนดความหมายข้อมูลสว่ นบคุ คลใหช้ ดั เจนได้วา่ คือ ขอ้ มูลระบตุ วั บคุ คลนั้นได้
9.1.2 กำหนดการใช้สิทธิเจ้าของข้อมูล ผ้ทู ี่สามารถเข้าถึง แกไ้ ข ระงับการใช้ และการทำลาย

ขอ้ มูลสว่ นตวั ของตน สามารถบอกถึงทมี่ าของข้อมูล
9.1.3 เมื่อเกิดข้อมูลรั่วไหลของส่วนบุคคลโดยวิธีใดก็ตาม ผู้รับผิดชอบต้องรีบแจ้งเจ้าของ

ขอ้ มลู ใหร้ ับทราบ และคณะกรรมการคมุ้ ครองข้อมูลสว่ นบุคคลเพ่ือดำเนนิ มาตรการเยียวยา
พระราชบญั ญตั ิ ว่าดว้ ยการกระทำความผิดเกย่ี วกับคอมพิวเตอร์ พ.ศ. 2550 มีบทบัญญัตทิ ่ีมี

ลักษณะคุ้มครองสิทธิส่วนบุคคลอยู่ในมาตรา 14 และ 16 เป็นการนำเข้าข้อมูลคอมพิวเตอร์ที่ปลอม เป็นเท็จ
หรือลามก ทำให้เกิดความเสียหายกับผู้อื่น ซึ่งมาตรา 14 (1) และ (4) ได้กำหนดว่าหากมีการนำเข้าข้อมูล
ปลอม ข้อมูลเท็จ ข้อมูลลามก ไม่ว่าทั้งหมดหรือบางส่วน โดยอาจเกิดความเสียหายแก่ผู้อื่นและ
ข้อมูลคอมพิวเตอร์นั้นประชาชนท่ัวไปอาจเขา้ ถงึ ได้ โดยกำหนดผู้ใหบ้ ริการ คือ ผู้ให้บริการอนิ เทอร์เน็ตต้องรบั
ผิดเสมือนเป็นผทู้ ำความผิดเอง ถ้าเป็นผู้สนับสนนุ หรือยนิ ยอมให้มีการเผยแพรข่ อ้ ความท่ีเป็นความผิดในระบบ
คอมพวิ เตอรท์ อี่ ยู่ในความควบคุมของตนถือว่าเป็นการจงใจสนับสนุนหรอื ยนิ ยอมใหม้ กี ารทำความผดิ

ส่วนมาตรา 16 เป็นการตกแต่งข้อมูลคอมพิวเตอร์ที่เป็นภาพของบุคคล หมายถึง การนำเข้า
ระบบคอมพิวเตอร์ โดยข้อมูลที่เป็นภาพของผู้อื่นและภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติมหรือ
ดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด โดยหวังทำให้ผู้อื่นเสียชื่อเสียง ถูกดูหมิ่น เกลียดชัง
หรือได้รับความอับอาย มาตรานี้จะเป็นลักษณะเดียวกับความผิดฐานดูหมิ่นหรือหมิ่นประมาทตามประมวล
กฎหมายอาญาดว้ ย

10. กรณศี กึ ษาท่ี 1 โจรไฮเทค ภยั ที่มาพรอ้ มธนาคารออนไลน์

โดย...ทีมขา่ วการเงนิ โพสต์ทเู ดย์
สองเหตุการณ์ที่ธนาคารกสิกรไทยและธนาคารออมสินเจอปัญหาการถูกโจรกรรมทางการเงิน ทั้งสอง

กรณีต่างกันท่ีกรณีธนาคารกสิกรไทยหัวขโมยอาศัยช่องโหว่ของการปกปิดข้อมูลของลูกค้า การปฏิบัติงาน
ธนาคาร และการออกซิมโทรศัพท์ใหม่ของผู้ให้บริการโทรศัพท์มือถือ โยนเงินออกจากบัญชีลูกค้า ส่วนกรณี
ของธนาคารออมสินโจรไฮเทคใช้วิธีการติดตั้งอุปกรณ์ปล่อยไวรัสเข้าเครื่องเอทีเอ็มขโมยเงินจากธนาคาร
อย่างไรก็ตาม ไม่ว่าจะสร้างความเสียหายกับลูกค้าหรือกับธนาคารนั้น ก็ถือว่าเป็นอาชญากรรมทางการเงิน
ที่น่าเป็นห่วงทั้งสิ้น เพราะมีพัฒนาการวิธีขโมยเงินที่แยบยลขึ้นเรื่อย ๆ ตามเทคโนโลยีที่เปลี่ยนแปลงไป
การโจมตีของแฮกเกอร์ เพื่อสร้างความเสียหายต่อธุรกรรมการเงินทางไซเบอร์ถูกแบ่งออกเป็น 2 ส่วน คือ
การโจมตีที่ระบบฮาร์ดแวร์และซอฟต์แวร์ของธนาคารกับการโจมตีช่องโหว่ที่เกิดขึ้นจากความระมัดระวังไม่ดี
พอของลูกค้าและแหล่งข่าวจากชมรมไอที สมาคมธนาคารไทย เปิดเผยว่า ธนาคารแต่ละแห่งทุ่มงบประมาณ
ในการดูแลระบบของธนาคารละหลายร้อยล้านบาท มีการเจาะแฮกเกอร์ต่างชาติเจาะระบบของธนาคารเพื่อดู

284

ว่ามีช่องโหว่อะไร หากพบก็จะแจ้งธนาคารให้ปิดช่องโหว่ทันที ซึ่งจะต้องทำตลอดเวลาเนื่องจากโจรไฮเทค
ก็พฒั นาโปรแกรมมัลแวรท์ ม่ี ีความรายกาจมากขึน้ อยา่ งไม่หยุดย้งั

ทม่ี า : https://www.posttoday.com/politic/report/451123
ทีมขา่ วการเงิน โพสต์ ท์ เู ดย์ วันท่ี 28 ส.ค. 2559

11. กรณีศึกษาท่ี 2 ลว้ งข้อมูล บรติ ิช แอร์เวย:์ สง่ิ ทีค่ ณุ ตอ้ งทำ

สายการบินบริติช แอร์เวย์ ของอังกฤษ ลงโฆษณาทางหนังสือพิมพ์ ขอโทษลูกค้าที่ระบบรักษาความ
ปลอดภัยของทางบริษัทถูกเจาะเข้าถึง ทำให้ข้อมูลส่วนบุคคลและข้อมูลการเงินของลูกค้าทั่วไหล มีธุรกรรมท่ี
ไดร้ บั ผลกระทบราว 380,000 กรณี

ไซมอน รีด ผู้สื่อข่าวธุรกิจ รวบรวมรายละเอียดเหตุการณ์ที่เกิดขึ้นและสิ่งที่ผู้โดยสารต้องทำกรณี
พบว่า ข้อมลู ของตวั เองอยใู่ นกลมุ่ ที่ถูกขโมยไปดว้ ย

ข้อมลู อะไรบา้ งท่ถี กู ขโมย?
บริติช แอรเ์ วย์ ระบุวา่ แฮก็ เกอร์ ได้ขโมยรายช่อื อีเมลและขอ้ มูลบตั รเครดิต ซ่ึงรวมถึงเลขบัตรเครดิต

วันหมดอายุและรหัสซีวีวี (Card Vetrification Value – CVV) 3 ตัว ด้านหลังบัตรไป บริติชแอร์เวย์ยืนยันว่า
ไม่ได้เก็บข้อมูลตัวเลขซีวีวีไว้ การเก็บรักษาข้อมูลนี้ถือเป็นเรื่องต้องห้ามตามมาตรฐานสากลที่กำหนดโดย
สภามาตรฐาน ด้านความมั่นคงปลอดภัยของการใช้บัตรชำระเงิน (FCI Security Standards Council)
เพราะบริติช แอร์เวย์ ระบุว่านักล้วงข้อมูลได้รหัส 3 ตัวด้านหลังบัตรไปด้วย ผู้เชี่ยวชาญด้านความปลอดภัย
ข้อมูลคาดว่ารายละเอียดของบัตรนั้นถูกดึงไปก่อนแล้ว แทนที่จะถูกนำออกโปจากฐานข้อมูลของ
บริติช แอร์เวย์

แฮ็กเกอร์จะทำอะไรกับขอ้ มลู เหล่านี้?
เมื่อมิจฉาชีพได้ข้อมูลส่วนบุคคลของคุณไป พวกเขาอาจใช้มันเพื่อเข้าไปยังบัญชีธนาคารของคุณหรือ

เปิดบัญชีใหม่ในชื่อของคุณได้ หรือใช้ข้อมูลนั้นไปซื้อสินค้าและพวกเขาอาจขายข้อมูลของคุณให้แก่มิจฉาชีพ
รายอืน่ ได้เช่นกนั

เราต้องทำอะไร?
ถ้าคุณถูกล้วงข้อมูลไปก็ควรเปลี่ยนรหัสผ่านออนไลน์ของคุณ ตรวจสอบบัญชีธนาคารและบัตรเครดิต

จับตามองว่าธุรกรรมที่น่าสงสัยเกิดขึ้นหรือไม่ ให้ระวังอีเมลหรือโทรศัพท์ที่ติดต่อมาขอข้อมูลเพิ่มเติม เพื่อช่วย
จัดการกับปัญหาการละเมิดข้อมูล เหล่ามิจฉาชีพมักจะแสร้งเป็นตำรวจหรือเจ้าหน้าที่ธนาคาร หรือในกรณีน้ี
อาจหลอกวา่ เปน็ เจา้ หนา้ ทีจ่ ากบรติ ิช แอรเ์ วย์

ตั๋ว ท่จี องไว้ได้รบั ผลกระทบหรอื ไม?่
บริติช แอร์เวย์ บอกว่าการล้วงข้อมูลครั้งนี้ไม่ได้ส่งผลกระทบต่อการสำรองที่นั่งและไต้ติดต่อผู้ที่ได้รับ

ผลกระทบทุกคนแล้ว เพื่อแจ้งให้ทราบถึงปัญหาที่เกิดขึ้นกับข้อมูลของลูกค้า แต่เที่ยวบินที่จองไว้ยังคงไม่มี
อะไรเปลย่ี นแปลง

285

หากเสียหายจะมีการชดเชยให้หรือไม่?
ถา้ คณุ ไต้รับความเสยี หายทางการเงนิ หรือเผชญิ กบั ปัญหาอนื่ ใด ทางสายการบินรบั ปากวา่ จะชดเชยให้

บรติ ิช แอร์เวย์ อาจถกู ปรับ
สิ่งที่เกิดขึน้ นีอ้ าจส่งผลให้บริตชิ แอร์เวย์ ถูกสำนักงานคณะกรรมการข้อมูลขา่ วสารปรับไดแ้ ละขณะนี้

สำนกั งานฯ กำลงั พิจารณารายละเอยี ดว่ามีการละเมิดใด ๆ เกดิ ข้นึ หรือไมข่ ณะทเี่ รเซล อัลติเกียรี ผู้อำนวยการ
ทั่วไปสมาคมการตลาดขายตรงบอกว่า เพราะ บริติช แอร์เวย์ มีหน้าที่ต้องสร้างความมั่นใจว่าข้อมูลลูกค้า
จะต้องมีความปลอดภัย

แผลใหม่
นี่ไม่ใช่ครั้งแรกที่ บริติช แอร์เวย์ ประสบปัญหาในเรื่องชื่อเสียงเพราะเมื่อเดือนมิถุนายนที่ผ่านมา

ข้อขัดข้องที่เกิดขึ้นกับระบบไอที ส่งผลให้ต้องยกเลิกเที่ยวบินหลายสิบเที่ยวที่ท่าอากาศยานฮีทโธรว์และหน่ึง
เดือนก่อนหน้านั้น ผู้โดยสารของ บริติช แอร์เวย์ กว่า 2,000 คน ถูกยกเลิกตั๋วเพราะราคาค่าตั๋วท่ีซื้อมานั้น
ถูกเกินไป เมื่อเดือนพฤษภาคมปีที่แล้วก็เกิดข้อขัดข้องกับระบบไอทีอีก ทำให้ต้องยกเลิกเที่ยวบินทั้งที่
ทา่ อากาศยานฮีพโธรวร์และแกทวีค

ไซมอน คาลเตอร์ บรรณาธิการข่าวท่องเที่ยวของ นสท. ติ อินดิเพนเดนท์ บอกกับบีบีชีว่าสิ่งที่เกิดขึ้น
ไม่ได้ชี้ให้เห็นว่าระบบข้อมูลข่าวสารของ บริติช แอร์เวย์ ดีไปกว่าสายการบินอื่น อย่างไรก็ดีเขาไม่คิดว่าบริติช
แอร์เวย์ จะได้รับผลกระทบในระยะยาวจากเรื่องนี้ เพราะบริติช แอร์เวย์เป็นสายการบินที่มั่นคง และมีประวัติ
ด้านความปลอดภัยที่ดี กรณีท่ีเกิดล่าสุดนี้อาจเป็นเรื่องที่สร้างความอับอายและอาจต้องใช้เงินหลายสิบล้าน
ปอนดใ์ นการกู้หนา้ แต่ก็เป็นเพยี ง "แผลใหม่” ท่ีไมม่ ีอะไรนา่ เปน็ หว่ งมากนกั

ทมี่ า : www.bbc.com/thai/international-45447453
7 กนั ยายน 2018

12. กรณศี กึ ษาท่ี 3 รวบหนมุ่ วัย 19 แฮก็ ชมิ ช้อปใช้ โดนข้อหาหนัก

กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับเทคโนโลยี (บก.ปอท.) เมื่อวันที่ 29 ตุลาคม
นายพุทธิพงษ์ ปุณณกันต์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) พร้อมด้วย พล.ต .ต.
ไพบูลย์ น้อยหุ่น ผู้บังคับการปราบปรามการกระทำความผิดเกี่ยวกับเทคโนโลยี (ผบก.ปอท.) พ.ต.อ.วัชรพันธ์
ศิริพากษ์ ผกก.1 บก.ปอท. และนายผยง ศรีวณิช กรรมการผู้จัดการใหญ่ธนาคารกรุงไทย แถลงผลการจับคุม
นายธรี ณฐั มหัทธโนบน อายุ 19 ปี ตามหมายจบั ศาลอาญากรงุ เทพใต้ ฐานกระทำการใดโดยมชิ อบ เพ่อื ให้การ
ทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวางหรือรบกวน จนไม่สามารถทำงานได้ตามปกติ
ซึ่งเป็นความผดิ ตาม พระราชบัญญัติ (พ.ร.บ.) ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพวิ เตอร์พร้อมของกลาง
คอมพิวเตอร์ประกอบเอง คอมพิวเตอร์โน้ตบุ๊ก คอมพิวเตอร์ขนาดจิ๋ว อย่างละ 1 เครื่อง โทรศัพท์มือถือ 7
เครอื่ ง อุปกรณ์จดั เก็บข้อมูล 2 กัน (เอ็กซเ์ ทอรน์ ลั ฮาร์คดิสก์) และของกลางอ่นื ๆ รวม 17 รายการ

ส่วนการจับกุมครั้งนี้ สืบเนื่องมาจากมีผู้เข้ามาก่อกวนระบบลงทะเบียน “ชิมชอปใช้” จนทำให้ระบบ
ล่าช้าและลงทะเบียนไม่ได้ ทางเจ้าหน้าที่ตำรวจ บก.ปอท. สืบสวนจนรู้ตัวผู้กระทำผิดก่อนจะขอศาลออก
หมายจับ และติดตามไปจับกุมตัวได้ที่จังหวัดปัตตานี เมื่อวันที่ 28 ต.ค.ที่ผ่านมา โดยแจ้งข้อหากระทำผิดตาม

286

มาตรา 10 ของ พ.ร.บ.คอมพิวเตอร์ฯ พ.ศ.2560 “ผู้ใดกระทำด้วยประการใดโดยมิชอบเพื่อให้การทำงานของ
ระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวางหรือรบกวน จนไม่สามารถทำงานตามปกติได้ มีโทษจำคุก
ไม่เกนิ 5 ปี ปรบั สงู สดุ 100,000 บาท หรอื ทัง้ จำท้งั ปรับ” และมาตรา 13 เผยแพรช่ ุดคำส่งั ทจี่ ัดทำขึ้นโดยเฉพาะ
เพื่อนำไปใช้เป็นเครือ่ งมือในการกระทำความผดิ อตั ราโทษจาคกุ ไม่เกนิ 1 ปี ปรบั ไม่เกิน 20,000 บาท

นายพุทธิพงษ์เปิดเผยว่า หลังจากประสานสำนักงานตำรวจแห่งชาติให้สืบสวนจับกุมผู้ก่อเหตุ โดยใช้
เวลาเพียง 2 วัน สามารถจับกุมผู้ต้องหาได้ จากการสอบสวนพบว่าไม่ได้ทำเป็นครั้งแรก แต่เคยทำตั้งแต่ใน
โครงการเฟสแรกแลว้ ซง่ึ ในคร้ังนน้ั ใชโ้ ปรแกรมอัตโนมัตหิ รือบอท เขา้ ไปก่อกวนระบบจำนวนไม่มาก คล้ายเป็น
การทดลองชุดคำสั่งจึงไม่ส่งผลกระทบมากนัก ส่วนวิธีการที่ใช้ก่อเหตุเริ่มจากการสร้างชุดคำสั่งนำไปโพสต์ใน
เฟซบุ๊กส่วนตัวเพื่อเชิญชวนให้คนนำไปใช้งาน จากนั้นในวันเกิดเหตุจะแฝงบอทไปกับคนที่นำชุดคำสั่งดังกล่าว
ไปใช้ เพื่อเข้าไปในระบบพร้อม ๆ กัน มีเป้าหมายเพื่อเข้าไปจองพื้นที่ลงทะเบียน ซึ่งหากทำสำเร็จก็อาจถูก
นำไปใช้ทำประโยชน์ทางธุรกิจ เช่น ต่อรองผู้เสียหาย ขายพื้นที่จับจองในระบบหรือหักเปอร์เซ็นต์ส่วนต่าง
ซง่ึ นอกจากกรณีน้ีแล้ว ยังพบมอี ยา่ งน้อยอีก 2 เวบ็ ไซต์ทม่ี ีพฤตกิ ารณ์ใกล้เคยี งกันดว้ ย

ด้าน พล.ต.ต.ไพบูลย์กล่าวว่า จากการสอบสวนพบว่าผู้ต้องหาลงมือเพียงคนเดียว ไม่พบคนสั่งการอยู่
เบื้องหลังและไม่พบว่ามีเจตนาจะพังระบบ คล้ายต้องการทำไปเพื่อทดลองวิชา ส่วนเหตุที่เกิดขึ้นหลังจากนี้จะ
ขยายผลต่อไปว่าจะต้องดำเนินคดีกับประชาชนที่นำชุดคำสั่งดังกล่าวไปใช้งานหรือไม่ ซึ่งต้องรอตรวจสอบ
ข้อมูลที่หลงเหลือในอุปกรณ์คอมพิวเตอร์และตรวจสอบไปยังเครื่องเซิร์ฟเวอร์ท่ีอยู่ในต่างประเทศด้วย ทั้งนี้ยัง
พบว่า ผ้ตู อ้ งหาเคยก่อเหตุเกีย่ วกับการใชร้ ะบบคอมพวิ เตอร์ในทางทผ่ี ดิ อีกหลายคดี มหี ลกั ฐานเป็นซมิ โทรศัพท์
นบั พันชน้ิ ซึ่งอย่รู ะหวา่ งการขยายผลคำเนินคดที างกฎหมายต่อไป

ผู้สื่อข่าวรายงานว่า หลังเข้าไปตรวจสอบเฟซบุ๊กชื่อบัญชี “ธีรณัฐ มหัทธโนบน” ซึ่งเป็นของผู้ต้องหา
รายนี้ พบว่าในช่วงการลงทะเบียนชิมช้อปใช้เฟสแรก มีการโพสต์เมื่อ 2 ต.ค. เวลา 02.02 น. ว่า “ชิมช้อปใช้
ไม่ติดรอคิว 100% ครับ https://www.understop.com/simshopsai.html มือถือเก่าอาจจะค้างนิดนึง
ถ้าไม่ได้ก็ลองใหม่นะครับ” ต่อมาวันที่ 4 ต.ค. เวลา 13.05 น. ได้โพสต์ข้อความว่า “คนเข้าชิมช้อปใช้ผ่านลิงก์
ผมกัน 28,000 คน” จากนั้นได้โพสต์วันที่ 24 ต.ค. ซึ่งเป็นวันแรกที่เปิดให้ลงทะเบียนชิมช้อปใช้เฟสสองว่า
“หยุดถล่มเชิร์ฟผมเถอะนะครับ” พร้อมภาพที่ระบุว่ามีผู้ใช้งานขณะนี้ 50,065 คน ซึ่งเข้าผ่านลิงก์
https:/www.undestop.com/simshopsai.html

ท่มี า : https://www.thaipost.net/main/detail/49152
30 ตลุ าคม พ.ศ. 2562

13. กรณีศึกษาที่ 4 “จุรินทร์” ส่งทนายดำเนินคดีอัจฉริยะ ปมไลฟ์สดเปิดโปงขบวนการมอบ
หน้ากาก

เมื่อเวลา 10.30 น. วันที่ 10 เม.ย. 63 ที่ บก.ปอท. นายสุริยะ อรุณรุ่ง พร้อมทีมทนายได้รับมอบ
อำนาจจาก นายจุรินทร์ ลักษณวิศิษฏ์ รองนายกรัฐมนตรี และรมว.กระทรวงพาณิชย์ เดินทางเข้าพบ พ.ต.อ.
ศีริวฒั น์ ตพี อ รอง ผบก.ปอท. ในฐานะโฆษก บก.ปอท. ดำเนนิ คดี นายอจั ฉรยิ ะ เร่ืองรัตนพงศ์ ประธานชมรม
ชว่ ยเหลอื เหย่อื อาชญากรรม หลังไลฟเ์ ฟซบุก๊ พาดพงิ นายจุรินทร์ ทำให้ประชาชนเขา้ ใจผิดเรอื่ งหนา้ กากอนามัย
ข้อหาการกระทำความผิตตาม พ.ร.บ.คอมพิวเตอร์ฯ มาตรา 14 (2) โทษจำคุกไม่เกิน 5 ปี ปรับไม่เกิน 1 แสน
บาท หรือทั้งจำทั้งปรับและข้อหาหมิ่นประมาทด้วยการโฆษณา ด้วยการกระจายภาพ กระจายเสียง

287

ตามประมวลกฎหมายอาญา มาตรา 326 และ 328 ซึ่งมีโทษจำคุกไม่เกิน 2 ปี ปรับไม่เกิน 2 แสนบาท หรือ
ท้งั จำทัง้ ปรับ

นายสุริยะ เผยว่า นายอัจฉริยะ มีพฤติกรรมในการนำข้อมูลอันเป็นเท็จเข้าสู่ระบบคอม พิวเตอร์
ผ่านเฟซบุ๊กของชมรมช่วยเหลือเหยื่ออาชญากรรม และเผยแพร่ข้อความดังกล่าวให้แพร่หลายสู่ประชาชน
เปน็ ขอ้ ความอันเปน็ เทจ็ บิดเบือน ยุยง ปลุกปัน่ ใสค่ วาม ฉวยโอกาส สร้างกระแสดว้ ยถอ้ ยคำอนั เป็นเทจ็ โดยมี
เจตนาทำลายความน่าเชื่อถือของ นายจุรินทร์ ลักษณวิศิษฏ์ รมว.กระทรวงพาณิชย์ อันเป็นการนำเอาความ
เท็จมาใส่ความนายจุรินทร์ต่อสาธารณะ ก่อให้เกิดความเสียหายทั้งส่วนตัวและการบริหารราชการแผ่นดิน
การกระทำดังกล่าวจึงเข้าข่ายความผิดต่อพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
พ.ศ. 2550 และความผิดฐานหม่นื ประมาทตามประมวลกฎหมายอาญา
ทม่ี า : https://www.thairath.co.th/news/crime/1817261
ไทยรฐั ออนไลน์ 10 เม.ย. 2563

14. บทสรุป

กฎหมายการพาณิชย์อิเล็กทรอนิกส์ เกี่ยวข้องกับกฎหมายธุรกรรมพาณิชย์อิเล็กทรอนิกส์
กฎหมายคุ้มครองข้อมูล กฎหมายอาชญากรรมทางคอมพิวเตอร์ กฎหมายการแลกเปลี่ยนข้อมูลทาง
อิเล็กทรอนิกส์ กฎหมายลายมือชื่อทางอิเล็กทรอนิกส์ กฎหมายการโอนเงินทางอิเล็กทรอนิกส์ กฎหมาย
โทรคมนาคม กฎหมายที่เกี่ยวเนื่องกับอินเทอร์เน็ต กฎหมายพัฒนาเทคโนโลยีและอุตสาหกรรมอิเล็กทรอนกิ ส์
และคอมพิวเตอรแ์ ละกฎหมายทรัพย์สินทางปญั ญา

กฎหมายพาณิชย์อิเล็กทรอนิกส์ มีเพื่อดำเนินมาตรการที่จะเร่งรัดให้มีการคุ้มครองทรัพย์สินทาง
ปัญญาอย่างเป็นรูปธรรม ทั้งในระยะสั้น เช่น การกำกับดูแลให้เกิดความถูกต้องตามกฎหมายลิขสิทธิ์และ
ในระยะยาว เช่น การให้การศึกษากับเยาวชนในคณุ ค่าของทรัพยส์ ินทางปญั ญา เปน็ ต้น

288

เอกสารอ้างองิ

บุญญรตั น์ โชคบันดาลชัย. กฎหมาย สอ่ื สาร มวลชน: การคุ้มครองสิทธสิ ่วนบคุ คล และชอ่ื เสียง เกียรติคณุ ,
พษิ ณุโลก: สำนักพิมพม์ หาวิทยาลันนเรศวร, 2558.

ราชกจิ จานเุ บกษา “พระราชบัญญตั วิ ่าด้วยการกระทำผดิ เก่ยี วกับคอมพิวเตอร์ พ.ศ. 2550”
ราชกิจจานุเบกษา “พระราชบญั ญตั วิ า่ ด้วยการกระทำผดิ เก่ียวกบั คอมพิวเตอร์ พ.ศ. 2560”
อนุ ิษา เลิศโตมรสกลุ และอัณณพ ชบู ำรงุ . อาชญากรรมและอาชญาวทิ ยา, กรงุ เทพฯ: ศูนย์หนงั สือ

จุฬาลงกรณ์มหาวทิ ยาลยั , 2561.
https://www.bbc.com/thai/international-45447453. โจรไฮเทค ภัยทม่ี าพร้อมธนาคารออนไลน์,

วันท่ี 7 กันยายน 2018.
https://www.etda.or.th/content/preparing-to-open-dpkc.html. ศนู ยค์ วามรูเ้ ก่ียวกบั ข้อมูลส่วน

บคุ คล สำนกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ (สพธอ.)
http://www.etcommission.go.th/law.html. สำนกั งานคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนิกส์

สำนักงานปลัดกระทรวงดจิ ทิ ัลเพอ่ื เศรษฐกจิ และสังคม.
http://[email protected]. ศูนยเ์ ทคโนโลยีสารสนเทสและการส่อื สาร สำนกั งาน

ปลดั กระทรวงคมนาคม.
https://www.marketingoops.com/news/viral-update/computer-law. สรปุ 13 ขอ้ สาระสำคญั

จำงา่ ย ๆ พ.ร.บ.คอมพ์ 60 มผี ลบังคับใชแ้ ลว้ , สบื คน้ วนั ที่ 8 พฤษภาคม 2562
https://www.posttoday.com/politic/report/451123. ทีมขา่ วการเงิน โพสต์ ์ทูเดย์

วนั ที่ 28 สิงหาคม 2559.
https://www.thaipost.net/main/detail/49152. ไทยโพสต์ วนั ที่ 30 ตลุ าคม พ.ศ. 2562.
https://www.thairath.co.th/news/crime/1817261. ไทยรัฐออนไลน์ วนั ท่ี 10 เมษายน 2563.
Conklin, John E. Criminology. Boston: Pearson, 2004.
Grabosky, peter. “Crime in Cyberspace”. Resource Material Series. No. 55, Fuchu: UNAFEI,

2000.
Presdee, Mike. “Cyber Crime”. In McLaughlin, Eugene and, John Muncie. The Sage

Dictionary of Criminology. London: Sage, 2001.

289

คำถามท้ายบทท่ี 10

ส่วนที่ 1 เปน็ คำถามปรนยั
คำสั่ง จงกากบาท (X) คำตอบทถ่ี ูกตอ้ ง

1. ธุรกจิ ใดทีไ่ ม่ใชธ่ ุรกจิ บริการทต่ี ้องได้รบั อนญุ าตกอ่ นให้บรกิ าร

ก. การใหบ้ ริการรบั ชำระเงินแทน ข. การใหบ้ ริการหกั บัญชี

ค. การให้บริการเครือข่ายบัตรเครดิต ง. การใหบ้ ริการรบั ชำระเงินแทน

2. ขอ้ ใดเป็นอาชญากรรมในอินเทอร์เนต็

ก. Hacker ข. Stalking

ค. Sabotage ง. ถกู ทกุ ข้อ

3. โปรแกรมท่กี ำหนดใหท้ ำงานโดยแฝงอย่กู ับโปรแกรมทำงานทว่ั ไป หมายถึงข้อใด

ก. Bomb ข. Sniffer

ค. spoofing ง. Trojan Horse

4. ข้อใดเปน็ อาชญากรรมคอมพิวเตอร์ ส่วนกระบวนการนำออก

ก. Computer Espionage ข. Sewaging

ค. Computer Sabotage ง. Alteration of Data and program

5. การกระทำความผิดทางคอมพวิ เตอร์ มีความผดิ ตามพระราชบญั ญัติวา่ ดว้ ยการกระทำผิดเกีย่ วกบั

คอมพวิ เตอร์ พ.ศ.2550 และแก้ไขเพ่ิมเติม (ฉบบั ที่ 2) พ.ศ. 2560 มีหน่วยงานทเี่ กี่ยวขอ้ งและรบั ผิดชอบ

ก. สำนักงานพฒั นธุรกรรมทางอิเลก็ ทรอนิกส์ (องคก์ ารมหาชน)

ข. กองบงั คบั การปราบปรามการกระทำความผิดเก่ยี วกับอาชญากรรมทางเทคโนโลยี

ค. ศูนยป์ ระสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย

ง. ถูกทุกข้อ

6. ข้อใดเปน็ การกระทำอาชญากรรมคอมพวิ เตอรโ์ ดยวิธี Logic Bomb

ก. ลกั ลอบดักฟงั สัญญาณการสื่อสารโดยเจตนา

ข. สัง่ ให้โปรแกรมทำตามเง่อื นไขโดยตดิ ตามความเคล่ือนไหวของระบบและทำการทำลายหรอื แกไ้ ข

ขอ้ มลู

ค. แกล้งทำเปน็ เจา้ พนกั งานของธนาคารและแจง้ ให้เหยอื่ แกไ้ ขข้อมลู

ง. ลักลอบตง้ั เครื่องดักสญั ญาณไว้ใกล้กับเครอ่ื งคอมพิวเตอรเ์ พ่ือรับข้อมลู

คำตอบต่อไปน้ีใช้ตอบคำถามข้อ 7 ถึงข้อ 9

ก. ปรบั ไมเ่ กนิ 100,000 บาท

ข. ทำใหเ้ สียชอ่ื เสียง ถูกดหู มน่ิ
ค. กรณีเป็นเหตใุ ห้ผู้อน่ื ถงึ แกค่ วามตาย จำคุก 5-20 ปี และปรับ 100,000-400,000 บาท

ง. ลว่ งรู้มาตราการการปอ้ งกันการเข้าถงึ ระบบคอมพิวเตอร์และนำไปเปิดเผย

290