หลักเกณฑ์การเก็บ Log จากประกาศกระทรวงปี 2550 vs ปี 2564

จากประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ปี 2564 ซึ่งเพิ่งประกาศใช้เมื่อวันที่ 13 สิงหาคม 2564  ที่ผ่านมา และให้ยกเลิกประกาศกระทรวงเดิมที่ประกาศใช้เมื่อปี 2550 นั้นประกาศฉบับใหม่มีข้อใดแตกต่างจากฉบับเดิมบ้างเรามาไล่เรียงกันครับ

ขอเริ่มด้วยประกาศฉบับเต็มทั้ง 2 ฉบับซึ่งสามารถดูได้จาก

• หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ปี 2550
• หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ปี 2564

ข้อแตกต่างที่เห็นได้ชัดเจนจากประกาศกระทรวงทั้ง 2 ฉบับ

1. เพิ่มประเภทของผู้ให้บริการแก่บุคคลทั่วไปในการเข้าใช้งานอินเตอร์เน็ตอีก 2 ประเภท คือ
   1. ผู้ให้บริการโปรแกรมคอมพิวเตอร์ หรือเรียกกันทั่วไปว่า Online App Store
   2. ผู้ให้บริการสื่อสังคมออนไลน์

   ซึ่งได้มีการยกตัวอย่างเพิ่มเติมสำหรับผู้ให้บริการประเภทต่างๆ มาประกอบ(ภาคผนวก ก) ทำให้เข้าใจได้ง่ายขึ้นมาก ไม่ต้องเดาเอาเองว่ากิจการของเราควรอยู่ในกลุ่มประเภทผู้ให้บริการแบบใด

2. เพิ่มประเภทของผู้ให้บริการในการเก็บรักษาข้อมูลคอมพิวเตอร์อีก 2 ประเภท คือ
   1. ผู้ให้บริการเก็บหรือพักข้อมูล เช่นผู้ให้บริการระบบ Cloud ต่างๆ
   2. ผู้ให้บริการดิจิทัล (Digital Service Provider)

   แต่ในข้อ 2 นี้ยกตัวอย่างแต่ประเภทกิจการ ไม่ได้ยกตัวอย่างชื่อกิจการแบบเฉพาะเจาะจง ซึ่งก็อาจะทำให้เข้าใจได้ยากอยู่เหมือนเดิม

3. เพิ่มข้อกำหนดเรื่องการพิสูจน์และยืนยันตัวตนของผู้ใช้งานและการควบคุมการเข้าถึงข้อมูล ซึ่งจะครอบคลุมทั้งด้านเทคนิคและนโยบาย คือเป็นข้อกำหนดใหม่ที่ไม่ได้ระบุแบบเฉพาะเจาะจงแบบของฉบับเดิม แต่ก็ถือว่าการควบคุมการเข้าถึงข้อมูลนั้นเป็นนโยบายที่ควรมีอยู่แล้วในบริษัท หรือกิจการส่วนใหญ่ ซึ่งมักจะจำกัดการเข้าถึงข้อมูลของบุคคลหรือพนักงานที่ไม่ได้เกี่ยวข้องกับงานนั้นๆ อยู่แล้ว แต่อาจจะมีพิเศษที่เรื่องของการยืนยันตัวตนของผู้ใช้บริการทุกคน ซึ่งอาจจะต้องทำเพิ่มเติม
4. ในกรณีที่ผู้ให้บริการว่าจ้างให้บุคคลอื่นเก็บข้อมูลแทนตนนั้น จะปัดความรับผิดชอบไปเลยไม่ได้ แต่จะยังจำเป็นต้องขอสำเนาจากผู้รับจ้างมาเก็บไว้เองด้วย และต้องพร้อมส่งมอบเมื่อเจ้าพนักงานร้องขอ ซึ่งข้อนี้ก็ต้องมาดูกันว่าจะเพิ่มภาระให้ผู้ประกอบการในการจัดการกับข้อมูลที่สำเนามามากน้อยแค่ไหน

จุดที่น่าสนใจอีกอย่างคือ ภาคผนวก ข ที่มีรายละเอียดเพิ่มขึ้นมากและบอกให้ทราบว่าประเภทของผู้ให้บริการใดต้องเก็บข้อมูลอะไรบ้าง แต่หากประเภทกิจการใดไม่สามารถเก็บข้อมูลได้ครบถ้วนเนื่องจากข้อจำกัดของการให้บริการ หรือซอร์ฟแวร์ไม่สามารถดำเนินการได้ ให้ผู้ให้บริการดังกล่าวติดต่อพนักงานเจ้าหน้าที่เพื่อพิจารณายกเว้นการปฏิบัติตามหลักเกณฑ์ข้างต้นได้ตามความจำเป็น

นอกจากนี้ยังระบุไว้ชัดเจนเลยว่า ผู้ประกอบการร้านอาหาร หรือจำหน่ายสินค้า ที่การให้บริการอินเตอร์เน็ตเป็นเพียงการส่งเสริมการขาย ก็ไม่จำเป็นต้องจัดเก็บข้อมูลครบถ้วนมากมายตามข้อกำหนดทั้งหมด อาจจะใช้เพียงกล้องวงจรปิด จัดทำบันทึกรายละเอียดเอกสาร บันทึกการเข้าใช้งาน หรือวิธีการอื่นใดที่สามารถระบุตัวตนของผู้มาใช้บริการของตนแทนก็ได้ ซึ่งถือเป็นการให้ความชัดเจนกับผู้ประกอบการรายเล็กๆ ที่ก่อนหน้านี้มีข้อท้วงติงมากมายในเรื่องของการลงทุนเพิ่มเติมเพื่อให้เป็นไปตามพรบ. คอมพิวเตอร์

กล่าวโดยสรุปคือ ประกาศกระทรวงฉบับใหม่นี้เป็นการให้ความชัดเจนในหลายๆ เรื่องข้างต้น และอัพเดตข้อกำหนดให้ทันสมัย พร้อมรับมือกับกิจการใหม่ๆ เช่น Social Network หรือ Cloud มากขึ้นนั่นเอง ส่วนวิธีการหรือข้อมูลที่ต้องจัดเก็บนั้นไม่ค่อยแตกต่างจากของเดิมมากนัก