กลไกปัจจุบันตามพ.ร.บ.คอมพิวเตอร์ 2550 แบ่งประเภทและหน้าที่ในการเก็บ log file ของผู้ให้บริการแต่ละแบบ ดังนี้
(อ้างอิงจาก ภาคผนวก ก. แนบท้ายประกาศกระทรวงไอซีทีเรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจราคอมพิวเตอร์ พ.ศ. 2550)
ประเภทของผู้ให้บริการ
ผู้ให้บริการซึ่งมีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์แบ่งได้ ดังนี้
(1) ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น ทั้งนี้ โดยผ่านทางระบบคอมพิวเตอร์ ไม่ว่าจะเป็นการให้บริการในนามของตนเองหรือเพื่อประโยชน์ของบุคคลอื่น สามารถจำแนกได้ 4 ประเภท ดังนี้
ก. ผู้ประกอบกิจการโทรคมนาคมและการกระจายภาพและเสียง (Telecommunication and Broadcast Carrier)
ตัวอย่างเช่น ผู้ให้บริการโทรศัพท์พื้นฐาน (Fixed Line Service Provider) ผู้ให้บริการโทรศัพท์เคลื่อนที่ (Mobile Service Provider) ผู้ให้บริการวงจรเช่า (Leased Circuit Service Provider) ผู้ให้บริการดาวเทียม (Satellite Service Provider)
ข. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider)
ตัวอย่างเช่น ผู้ให้บริการอินเทอร์เน็ต (Internet Service Provider) ผู้ประกอบการซึ่งให้บริการในการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ในห้องพัก ห้องเช่า โรงแรม หรือร้านอาหารและเครื่องดื่ม ในองค์กรต่างๆ เช่น หน่วยงานราชการ บริษัท หรือสถาบันการศึกษา
ค. ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือให้เช่าบริการโปรแกรมประยุกต์ต่างๆ (Host Service Provider)
ตัวอย่างเช่น ผู้ให้เช่าระบบคอมพิวเตอร์ (WebHosting) การให้บริการเช่า Web Server ผู้ให้บริการแลกเปลี่ยนแฟ้มข้อมูล (File Server หรือ File Sharing) ผู้ให้บริการเข้าถึงจดหมายอิเล็กทรอนิกส์ (Mail Service Provider) ผู้ให้บริการศูนย์รับฝากข้อมูลทางอินเทอร์เน็ต (Internet Data Center)
ง. ผู้ให้บริการร้านอินเทอร์เน็ต
ตัวอย่างเช่น ผู้ให้บริการร้านอินเทอร์เน็ต (Internet Cafe) ผู้ให้บริการร้านเกมออนไลน์ (Game Online)
(2) ผู้ให้บริการในการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคล (Content Service Provider) เช่น ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชั่นต่างๆ
(Application Service Provider)
ตัวอย่างเช่น ผู้ให้บริการเว็บบอร์ด (Web board) ผู้ให้บริการบล็อก (Blog) ผู้ให้บริการการทำธุรกรรมทางการเงินทางอินเทอร์เน็ต (Internet Bangking) ผู้ให้บริการชำระเงินทางอิเล็กทรอนิกส์ (Electronic Payment Service Provider) ผู้ให้บริการเว็บเซอร์วิส (Web Services) ผู้ให้บริการพาณิชย์อิเล็กทรอนิกส์ (e-Commerce) หรือ ธุรกรรมทางอิเล็กทรอนิกส์ (e-Transactions)
ข้อมูลที่ผู้ให้บริการแต่ละประเภทต้องเก็บ
ผู้ให้บริการประเภท (1) ก.
- ข้อมูลที่สามารถระบุและติดตามถึงแหล่งกำเนิด ต้นทาง ปลายทาง และทางสายที่ผ่านของการติดต่อสื่อสาร อันได้แก่ ระบบชุมสายโทรศัพท์พื้นฐาน โทรศัพท์วิทยุมือถือ ตู้โทรศัพท์สาขา หมายเลขโทรศัพท์ เลขหมายวงจร และชื่อที่อยู่ของผู้ใข้บริการหรือผู้ใช้งานที่ลงทะเบียน
- ข้อมูลที่สามารถระบุวันที่ เวลา ระยะเวลาของการติดต่อสื่อสาร วันที่ เวลาเริ่มต้นและสิ้นสุดของการใช้งาน
- ข้อมูลที่ระบุที่ตั้งในการใช้โทรศัพท์มือถือ หรืออุปกรณ์ติดต่อสื่อสารแบบไร้สาย และต้องจัดให้มีระบบบริการตรวจสอบบุคคลผู้ใช้บริการ
ผู้ให้บริการประเภท (1) ข. และ ค.
- ข้อมูลอินเทอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย ได้แก่ ข้อมูลที่ระบุถึงตัวตนและสิทธิในการเข้าถึงเครือข่าย วันและเวลาของการเข้ามาใช้บริการ ชื่อที่ระบุตัวตนผู้ใช้ (User ID) หมายเลขชุดอินเทอร์เน็ตที่ถูกกำหนดโดยระบบผู้ให้บริการ (IP Address) และข้อมูลที่บอกหมายเลขสายที่เรียกเข้ามา
- ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการอีเมล ได้แก่ หมายเลขของข้อความในอีเมล ชื่อที่อยู่ผู้ส่งและผู้รับอีเมล และสถานะของการส่งนั้นๆ IP Address ของผู้ใช้บริการ วันเวลาของการใช้บริการ ชื่อผู้ใช้งาน (User ID) รวมถึงบันทึกการเข้าถึงอีเมลที่ผ่านโปรแกรมการจัดการจากเครื่องของสมาชิก
- ข้อมูลอินเทอร์เน็ตจากการโอนแฟ้มข้อมูลบนเครื่องให้บริการโอนแฟ้มข้อมูล ได้แก่ บันทึกการเข้าถึง วัน เวลา ชื่อผู้ใช้ ที่อยู่ทางอินเทอร์เน็ตของผู้ใช้ (IP Address) ตำแหน่งและชื่อไฟล์ที่มีการโอนถ่ายข้อมูล
- ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการเว็บ ได้แก่ บันทึกการเข้าถึง วัน เวลา ที่อยู่ทางอินเทอร์เน็ตของผู้ใช้ระบบ (IP Address) คำสั่งการใช้งาน เส้นทางในการเรียกดูข้อมูล
- ชนิดของข้อมูลบนเครือข่ายคอมพิวเตอร์ขนาดใหญ่ ได้แก่ บันทึกการเข้าถึง วัน เวลา หมายเลย port ของการใช้งาน ชื่อเครื่องให้บริการ หมายเลขข้อมูลที่ถูกส่งไปแล้ว
- ข้อมูลที่เกิดจากการโต้ตอบกันบนเครือข่ายอินเทอร์เน็ต เช่น Instance Message (IM) หรือ Internet Relay Chat ได้แก่ วัน เวลา การติดต่อของผู้ใช้บริการ ชื่อเครื่องบนเครือข่าย หมายเลขเครื่องผู้ให้บริการ
ผู้ให้บริการประเภท (1) ง.
- ข้อมูลที่สามารถระบุตัวบุคคล เวลาการเข้าใช้และเลิกบริการ หมายเลขเครื่องที่ใช้ หรือ IP Address
ผู้ให้บริการประเภท (2)
- ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์ ได้แก่ รหัสประจำตัวผู้ใช้ หรือข้อมูลที่สามารถระบุตัวผู้ใช้บริการได้ หรือ User ID และอีเมลของผู้ใช้บริการ มีบันทึกข้อมูลการใช้บริการ ในกรณีของเว็บบอร์ดหรือบล็อก มีการเก็บข้อมูลของผู้โพสต์ข้อมูล
Comments
ในฐานะที่ทำงานอยู่ในองค์กรที่ถือเป็นผู้ให้บริการ Access Service Provider ตามประกาศกระทรวง ICT ฉบับข้างต้น มีความเห็นว่า สิ่งที่ประกาศนี้บอกให้ access provider เก็บ ซึ่งเขียนอ้างอิงตาม RADIUS accounting log ที่ออกมาจากอุปกรณ์ประเภท RAS (remote-access server) นั้นเป็นการจำกัดมากเกินไป การให้บริการหลายอย่างไม่มีลักษณะ logon-logoff เช่นนั้น เช่น การใช้งานอินเตอร์เน็ตผ่านเครือข่ายแลนในออฟฟิศ ทำให้หน่วยงานต่างๆ หรือแม้กระทั่งร้านกาแฟที่ให้บริการ WiFi ฟรี ขาดหลักเกณฑ์อ้างอิง มีการตีความไปต่างๆนาๆ ว่าถ้าเช่นนั้นควรจะเก็บอะไร เก็บอย่างไรจึงจะเป็นไปตาม พรบ. เปิดช่องให้ผู้ผลิตอุปกรณ์เพื่อการเก็บข้อมูลจราจรฯ ตีความไปในทางที่ว่า ต้องเก็บอย่างละเอียด ต้องใช้อุปกรณ์ที่ตนผลิตขึ้น เพื่อให้ comply พรบ.
ซึ่งหากมองภาพกว้างๆ ผู้ผลิตอุปกรณ์ต่างๆ บางรายก็มีส่วนร่วมในกระบวนการร่าง พรบ. นี้ด้วยเช่นกัน หากไม่มองในแง่ลบ ก็อาจจะคาดหมายได้ว่า ท่านเหล่านั้นเป็นผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศ ซึ่งคงจะต้องให้ความเห็นเรื่องต่างๆเหล่านี้อยู่แล้ว
แต่การณ์กลับกลายเป็นว่า อุปกรณ์ต่างๆที่ใช้ในการเก็บ internet access log ที่เกิดจากการใช้งานของผู้ใช้งานผ่านเครือข่ายของผู้ให้บริการ (ไม่ใช่ Log ที่เกิดทางฝั่ง server ที่ให้บริการ) ที่อ้างว่าสามารถเก็บข้อมูลได้ครอบคลุมตามที่ พรบ. กำหนดนั้น มีราคาหลักแสนบาท หรืออย่างต่ำๆ ก็หลายหมื่นบาท เป็นการผลักภาระให้แก่องค์กรต่างๆ ไม้เว้นแม้แต่ร้านกาแฟ ซึ่งให้บริการโดยไม่คิดค่าใช้จ่าย ไม่มีรายได้จากการให้บริการอินเตอร์เน็ต แต่ถ้าจะเก็บ Log File ให้ได้รายละเอียดตามที่กฎหมายกำหนด กลับต้องจ่ายเงินหลายหมื่นบาท อุปกรณ์พวกนี้บางประเภทใช้หลักการเก็บ session data ซึ่งจะเกิดขึ้นทุกครั้งที่ซอฟต์แวร์ใดๆ เริ่มหรือเลิกการติดต่อกับ server ซึ่งแม้จะเป็นผู้ใช้งานเพียงรายเดียวก็จะเกิดขึ้นได้หลายครั้งใน 1 วินาที นับเป็นปริมาณข้อมูลที่มากโขอยู่
อยากให้การเก็บข้อมูลดังกล่าวควรจะวางกรอบแนวคิดคร่าวๆ แทนที่จะลงรายละเอียดโดยอิงกับระบบใดระบบหนึ่ง และให้มีความเป็นไปได้ในทางปฏิบัติ มีความชัดเจนที่จะสามารถตีความได้ง่าย และไม่สร้างภาระต้นทุนเพิ่มแก่ธุรกิจมากเกินไปนัก
จะแบ่งข้างบ้านใช้ด้วย