⚖️

กฎหมายคอมพิวเตอร์และ PDPA

1. พ.ร.บ.คอมพิวเตอร์ฯ ฉบับที่ 2 พ.ศ. 2560

พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 ปรับปรุงจากปี 2550 เพื่อให้ทันสมัยขึ้น

มาตรา	การกระทำความผิด	โทษจำคุก (สูงสุด)	โทษปรับ (สูงสุด)
ม.5	เข้าถึงระบบคอมพิวเตอร์โดยมิชอบ (Hacking)	6 เดือน	10,000 บาท
ม.6	ล่วงรู้มาตรการป้องกันการเข้าถึงและนำไปเปิดเผย	1 ปี	20,000 บาท
ม.7	เข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ	2 ปี	40,000 บาท
ม.8	ดักรับข้อมูลคอมพิวเตอร์ (Sniffing)	3 ปี	60,000 บาท
ม.9	แก้ไข ดัดแปลง หรือทำลายข้อมูล (Data Tampering)	5 ปี	100,000 บาท
ม.10	รบกวนระบบจนทำงานไม่ได้ (DDoS/System Interference)	5 ปี	100,000 บาท
ม.11	ส่งข้อมูลรบกวน (Spam Mail) โดยไม่เปิดโอกาสให้เลิกรับ	-	200,000 บาท

🎯 จุดออกสอบบ่อย: จำง่ายๆ: เข้าถึงระบบ(6/1) -> เข้าถึงข้อมูล(2/4) -> ดักข้อมูล(3/6) -> แก้ไข/รบกวน(5/10) -> สแปม(ปรับ2แสน)

2. การนำเข้าข้อมูลอันเป็นเท็จ (มาตรา 14)

มาตรา 14 เป็นมาตราที่สำคัญและมีการฟ้องร้องบ่อยที่สุด มีโทษจำคุกไม่เกิน 5 ปี ปรับไม่เกิน 100,000 บาท

14(1): ทุจริต/หลอกลวง นำเข้าข้อมูลปลอม/เท็จ ทำให้ผู้อื่นเสียหาย (เช่น Phishing)
14(2): ข้อมูลเท็จที่น่าจะเกิดความเสียหายต่อความมั่นคง/สาธารณะ/เศรษฐกิจ
14(3): ข้อมูลที่เป็นความผิดเกี่ยวกับความมั่นคง/ก่อการร้าย
14(4): ข้อมูลลามกที่ประชาชนเข้าถึงได้
14(5): เผยแพร่หรือส่งต่อข้อมูลตาม (1)-(4) (การแชร์ก็ผิด!)

⚠️ ข้อควรระวัง: ระวัง! การกด Share ข้อมูลปลอมหรือข้อมูลผิดกฎหมาย มีความผิดเท่ากับคนโพสต์ต้นฉบับ (ม.14(5))

3. ภาระหน้าที่ของผู้ให้บริการ (มาตรา 26)

ผู้ให้บริการ (ISP, ร้านเน็ต, องค์กรที่มีพนักงานใช้อินเทอร์เน็ต) ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ (Log File)

ต้องเก็บ Log File ไว้อย่างน้อย 90 วัน (พนักงานเจ้าหน้าที่สั่งให้เก็บเพิ่มได้แต่ไม่เกิน 2 ปี)
ต้องระบุตัวตนผู้ใช้บริการได้ (Authentication)
ไม่เก็บ Log หรือเก็บไม่ครบ มีโทษปรับไม่เกิน 500,000 บาท

4. พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) พ.ศ. 2562

Personal Data Protection Act (PDPA) บังคับใช้เพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล

🎯 จุดออกสอบบ่อย: ข้อมูลส่วนบุคคล = ข้อมูลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม (แต่ไม่รวมข้อมูลของผู้ที่เสียชีวิตแล้ว)

คำศัพท์สำคัญ	ความหมาย	หน้าที่
Data Subject	เจ้าของข้อมูลส่วนบุคคล	มีสิทธิต่างๆ ตามกฎหมาย
Data Controller	ผู้ควบคุมข้อมูลส่วนบุคคล	ตัดสินใจเกี่ยวกับการเก็บ/ใช้ข้อมูล (รับผิดชอบหลัก)
Data Processor	ผู้ประมวลผลข้อมูลส่วนบุคคล	ทำตามคำสั่งของ Controller (เช่น Cloud Provider)
DPO	เจ้าหน้าที่คุ้มครองข้อมูล	ให้คำแนะนำและตรวจสอบการดำเนินงาน

5. สิทธิของเจ้าของข้อมูล (Data Subject Rights)

เจ้าของข้อมูลมีสิทธิตามกฎหมายที่องค์กรต้องรองรับ

1. สิทธิขอเข้าถึงและรับสำเนาข้อมูล (Right of Access)
2. สิทธิขอแก้ไขข้อมูลให้ถูกต้อง (Right to Rectification)
3. สิทธิขอเบอลบหรือทำลายข้อมูล (Right to be Forgotten)
4. สิทธิขอระงับการใช้ข้อมูล (Right to Restrict Processing)
5. สิทธิคัดค้านการเก็บรวบรวม/ใช้/เปิดเผย (Right to Object)
6. สิทธิขอโอนย้ายข้อมูล (Right to Data Portability)
7. สิทธิถอนความยินยอม (Right to Withdraw Consent)

6. ฐานการประมวลผลข้อมูล (Lawful Basis)

การเก็บข้อมูลต้องมีฐานทางกฎหมายรองรับ ไม่จำเป็นต้องขอ Consent เสมอไป ถ้าเข้าข่ายฐานอื่น

ฐานกฎหมาย	คำอธิบาย	ตัวอย่าง
Consent	ความยินยอม	ขอเก็บข้อมูลเพื่อส่งโปรโมชั่นการตลาด
Contract	สัญญา	เก็บที่อยู่เพื่อส่งสินค้าตามสัญญาซื้อขาย
Legal Obligation	หน้าที่ตามกฎหมาย	ส่งข้อมูลภาษีให้สรรพากร, เก็บ Log ตาม พ.ร.บ.คอมฯ
Vital Interest	ป้องกันอันตรายต่อชีวิต	เปิดเผยประวัติแพ้ยาเมื่อผู้ป่วยหมดสติ
Legitimate Interest	ประโยชน์โดยชอบด้วยกฎหมาย	กล้องวงจรปิดเพื่อความปลอดภัย (ต้องไม่ละเมิดสิทธิเกินควร)

⚠️ ข้อควรระวัง: Consent ต้องขอแยกส่วนชัดเจน, ไม่บังคับ, ถอนเมื่อไหร่ก็ได้

7. บทลงโทษ PDPA

โทษทางแพ่ง: จ่ายค่าสินไหมทดแทนตามจริง + ค่าสินไหมเพื่อการลงโทษ (ไม่เกิน 2 เท่าของค่าเสียหายจริง)
โทษทางอาญา: กรณีใช้ข้อมูลโดยทุจริต หรือเปิดเผยข้อมูล Sensitive ให้ผู้อื่นเสียหาย (จำคุกสูงสุด 1 ปี หรือปรับสูงสุด 1 ล้านบาท)
โทษทางปกครอง: ปรับสูงสุด 5 ล้านบาท (เช่น ไม่ขอ Consent, ไม่แจ้งวัตถุประสงค์)

8. พื้นฐานพยานหลักฐานดิจิทัล (Digital Forensics Basics)

การเก็บรวบรวมพยานหลักฐานทางคอมพิวเตอร์เพื่อใช้ในชั้นศาล:

หลักการสำคัญ: ห้ามเปลี่ยนแปลงข้อมูลต้นฉบับเด็ดขาด (Touch nothing, change nothing)
Chain of Custody (ห่วงโซ่การคุ้มครองพยานหลักฐาน): ต้องบันทึกทุกขั้นตอนว่าใครจับต้องหลักฐานบ้าง เมื่อไหร่ อย่างไร
Order of Volatility (ลำดับความอ่อนไหว): เก็บข้อมูลที่หายง่ายก่อนเสมอ (CPU Cache > RAM > HDD > Backup Tape)
Imaging/hashing: การทำสำเนาแบบ Bit-by-bit และคำนวณ Hash เพื่อยืนยันว่าสำเนาตรงกับต้นฉบับ 100%

9. กรณีศึกษาการกระทำความผิด (Case Studies)

กรณีตัวอย่าง	ความผิดมาตราไหน	บทลงโทษ
โพสต์ด่าเพื่อนใน Framebook	หมิ่นประมาท (กฎหมายอาญา) ไม่ใช่ พ.ร.บ.คอมฯ!	จำคุก/ปรับ ตาม ป.อาญา
ตัดต่อภาพดาราโป๊เปลือยลง Twitter	ม.16 (ตัดต่อภาพ), ม.14(4) (ลามก)	จำคุกไม่เกิน 3 ปี ปรับ 2 แสน (ม.16)
แฮกเว็บราชการเปลี่ยนหน้าแรก (Defacement)	ม.5 (เข้าถึง), ม.9 (แก้ไขข้อมูล)	จำคุก 5 ปี ปรับ 1 แสน (ม.9 หนักสุด)
ขายของออนไลน์แล้วโกงไม่ส่งของ	ม.14(1) (ฉ้อโกงประชาชน)	จำคุกไม่เกิน 5 ปี ปรับ 1 แสน
ส่ง SMS เงินกู้เถื่อนเข้ามือถือทุกวัน	ม.11 (Spam)	ปรับไม่เกิน 200,000 บาท

🎯 จุดออกสอบบ่อย: จำ: หมิ่นประมาทส่วนตัวใช้กฎหมายอาญาปกติ แต่ถ้าด่าแล้วตัดต่อภาพด้วยจะโดน พ.ร.บ.คอมฯ ม.16

10. พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

กฎหมายที่ออกมาเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์:

🎯 จุดออกสอบบ่อย: CII (Critical Information Infrastructure): โครงสร้างพื้นฐานสำคัญทางสารสนเทศ 8 ด้านที่ห้ามล่ม (เช่น การเงิน/ธนาคาร, พลังงาน, สาธารณสุข, ความมั่นคง, ขนส่ง)

ระดับภัยคุกคาม	คำอธิบาย	อำนาจเจ้าหน้าที่
ไม่ร้ายแรง	ระบบช้าลงไม่มาก/แก้ไขเองได้	สั่งให้แก้ไข/ตรวจสอบ
ร้ายแรง	CII เสียหาย/บริการสาธารณะหยุดชะงัก	ยึด/อายัดคอมฯ, เจาะระบบเพื่อหาพยานหลักฐาน (ต้องขอศาล)
วิกฤติ	กระทบต่อชีวิต/ความมั่นคงของรัฐ/ล้มเหลวทั่วประเทศ	ทำได้ทันทีไม่ต้องรอหมายศาล (นายกฯ/กมช. เป็นผู้สั่งการ)

11. พ.ร.บ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์

กฎหมายที่รับรองว่า 'เอกสารอิเล็กทรอนิกส์' มีผลทางกฎหมายเท่ากับกระดาษ:

หลักการ: ห้ามปฏิเสธผลทางกฎหมายเพียงเพราะอยู่ในรูปข้อมูลอิเล็กทรอนิกส์
ลายมือชื่ออิเล็กทรอนิกส์ (Digital Signature): คือข้อมูลที่แนบไปกับข้อความเพื่อระบุตัวตนและยืนยันว่าข้อความไม่ถูกแก้ไข
มาตรา 9: ลายมือชื่ออิเล็กทรอนิกส์เชื่อถือได้ ถ้าใช้วิธีการที่สามารถระบุตัวเจ้าของได้และเจ้าของควบคุมการใช้งานได้
e-Timestamp: การประทับรับรองเวลาเพื่อยืนยันว่าเอกสารนี้มีอยู่จริง ณ เวลานั้นๆ

12. กฎหมายลิขสิทธิ์ดิจิทัล (Copyright Act)

การคุ้มครองงานสร้างสรรค์ในยุคดิจิทัล:

การกระทำ	ผิด/ไม่ผิด	คำอธิบาย
Load เพลงมาฟังเองเฉยๆ	ไม่ผิด (ในทางปฏิบัติ)	ถือเป็น Private Use (แต่ถ้าแชร์ต่อคือผิด)
Crack Software	ผิด	ละเมิดมาตรการทางเทคโนโลยี (Circumvention)
Embed YouTube ใน Blog	ไม่ผิด	เจ้าของคลิปได้ยอดวิว (แต่ห้ามดูดไฟล์มาแปะเอง)
เอาภาพบนเน็ตมาขาย	ผิดเต็มๆ	ละเมิดลิขสิทธิ์เพื่อการค้า
Fair Use (การใช้งานที่เป็นธรรม)	ข้อยกเว้น	ใช้เพื่อการศึกษา, วิจารณ์, ข่าว โดยรับรู้ความเป็นเจ้าของและไม่กระทบรายได้เจ้าของ

13. จริยธรรมทางคอมพิวเตอร์ (Computer Ethics)

บัญญัติ 10 ประการของผู้ใช้อินเทอร์เน็ต (Ten Commandments of Computer Ethics):

1. ไม่ใช้คอมฯ ทำร้ายผู้อื่น
2. ไม่รบกวนการทำงานของผู้อื่น
3. ไม่เปิดดูไฟล์ของผู้อื่น
4. ไม่ใช้คอมฯ โจรกรรมข้อมูล
5. ไม่ใช้คอมฯ สร้างหลักฐานเท็จ
6. ไม่คัดลอกโปรแกรมที่มีลิขสิทธิ์
7. ไม่ละเมิดการใช้ทรัพยากรคอมฯ
8. ไม่นำผลงานคนอื่นมาแอบอ้าง
9. คำนึงถึงผลกระทบต่อสังคม
10. ใช้คอมฯ ด้วยความเคารพกฎกติกา

14. หน่วยงานที่เกี่ยวข้องด้านดิจิทัล

ตัวย่อ	ชื่อเต็ม	หน้าที่
ETDA	สนง.พัฒนาธุรกรรมทางอิเล็กทรอนิกส์	ดูแลมาตรฐาน e-Commerce, e-Document
ThaiCERT	Thailand Computer Emergency Response Team	ประสานงานและแจ้งเตือนภัยคุกคามไซเบอร์
TB-CERT	Thailand Banking Sector CERT	ดูแลความปลอดภัยไซเบอร์ภาคการธนาคาร
DSI	กรมสอบสวนคดีพิเศษ	ทำคดีคอมพิวเตอร์ที่มีความเสียหายสูง/ซับซ้อน
TCSD / บก.ปอท.	กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี	ตำรวจไซเบอร์ (แจ้งความที่นี่)

15. กฎหมายระหว่างประเทศ (GDPR vs PDPA)

GDPR (General Data Protection Regulation) ของยุโรป เป็นต้นแบบของ PDPA ไทย:

หัวข้อ	GDPR (EU)	PDPA (Thai)
ขอบเขต	บังคับใช้กับข้อมูลพลเมือง EU ทั่วโลก	บังคับใช้กับข้อมูลคนไทย/ในไทย
ค่าปรับสูงสุด	20 ล้านยูโร หรือ 4% ของยอดขายทั่วโลก	5 ล้านบาท (ปกครอง) / 1 ล้านบาท (อาญา)
ความเข้มข้น	สูงมาก (เข้มงวดสุดๆ)	สูง (ยืดหยุ่นกว่าเล็กน้อยในช่วงแรก)

16. Freedom of Speech vs Hate Speech

เส้นแบ่งบางๆ ระหว่างเสรีภาพกับการกระทำผิดกฎหมาย:

Freedom of Speech: วิจารณ์โดยสุจริต ติชมด้วยความเป็นธรรม (ไม่ผิด)
Hate Speech: การใช้ถ้อยคำรุนแรง สร้างความเกลียดชัง ยุยงปลุกปั่น (อาจผิด ม.14(2) หรือ ม.14(3) พ.ร.บ.คอมฯ หรือ หมิ่นประมาท)
Cyberbullying: การกลั่นแกล้งบนโลกออนไลน์ (ยังไม่มีกฎหมายเฉพาะ แต่ผิดกฎหมายอาญา/แพ่งได้)