ประเทศไทยมีกฎหมายหลายฉบับที่เกี่ยวข้องกับ “ไซเบอร์”: พ.ร.บ.ความมั่นคงไซเบอร์คุ้มครองโครงสร้างพื้นฐานสำคัญ; พ.ร.บ.คอมพิวเตอร์ควบคุมการเข้าถึงโดยไม่ได้รับอนุญาตและข้อมูลเท็จ; และพระราชกฤษฎีกาป้องกันอาชญากรรมทางเทคโนโลยีที่ประกาศใช้ในปี 2566 เสริมความแข็งแกร่งในการรับมือการฉ้อโกงออนไลน์ บทความนี้จะวิเคราะห์ทั้งสามฉบับตามบทบัญญัติของกฎหมาย
← ตอนที่ 4: กฎหมายอีคอมเมิร์ซไทย
ส่วนที่ 1: พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
วัตถุประสงค์และวันที่มีผลบังคับใช้
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มีผลบังคับใช้เมื่อวันที่ 27 พฤษภาคม 2562 วัตถุประสงค์หลักคือการรักษาความปลอดภัยไซเบอร์สเปซของไทยและคุ้มครอง โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII)
หน่วยงานกำกับดูแล: NCSA (สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ) โดยมี NCO (คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ) กำหนดนโยบาย
นิยาม CII และภาคส่วนที่ได้รับการกำหนด
มาตรา 3 กำหนดนิยาม CII ว่าเป็น “ระบบสารสนเทศและเครือข่ายการสื่อสารที่จำเป็นต่อความมั่นคงของชาติ บริการสาธารณะ และความต่อเนื่องทางเศรษฐกิจ”
NCO กำหนดผู้ประกอบการ CII ผ่านราชกิจจานุเบกษา ปัจจุบันมีแปดภาคส่วนที่ได้รับการกำหนด:
| ภาคส่วน | ตัวอย่างผู้ประกอบการ |
|---|---|
| ความมั่นคงของชาติ | หน่วยงานกลาโหม หน่วยงานข่าวกรอง |
| บริการสาธารณะ | ระบบประปา การจัดการขยะ ระบบ IT ของรัฐบาล |
| การเงินและการธนาคาร | ธนาคาร บริษัทหลักทรัพย์ บริษัทประกัน |
| เทคโนโลยีสารสนเทศและการสื่อสาร | ISP ศูนย์ข้อมูล ผู้ให้บริการคลาวด์ (จะเพิ่มตามร่างแก้ไข) |
| โทรคมนาคม | บริษัทโทรศัพท์ สถานีโทรทัศน์ |
| การขนส่ง | สนามบิน ท่าเรือ ทางรถไฟ |
| พลังงาน | บริษัทไฟฟ้า บริษัทน้ำมันและก๊าซ |
| สาธารณสุข | โรงพยาบาล สถาบันการแพทย์ |
ภาระหน้าที่ของผู้ประกอบการ CII
① การปฏิบัติตามมาตรฐานความปลอดภัย: ผู้ประกอบการ CII ต้องรักษาระบบที่สอดคล้องกับมาตรฐานความมั่นคงปลอดภัยไซเบอร์แห่งชาติที่ NCSA กำหนด
② การประเมินความเสี่ยงและการตรวจสอบเป็นประจำ: ต้องดำเนินการประเมินความเสี่ยงอย่างน้อยปีละครั้งและรายงานผลต่อ NCSA
③ ภาระหน้าที่รายงานเหตุการณ์: เมื่อตระหนักถึงเหตุการณ์ความปลอดภัย ต้องรายงานต่อ NCSA ภายใน 72 ชั่วโมง ซึ่งเกิดขึ้นพร้อมกับภาระหน้าที่แจ้งการละเมิดข้อมูล 72 ชั่วโมงของ PDPA
④ แผนความต่อเนื่องทางธุรกิจและแผนตอบสนองต่อเหตุการณ์: การรักษา BCP และแผนตอบสนองต่อเหตุการณ์เป็นสิ่งบังคับ
ระบบระดับภัยคุกคามสามระดับและอำนาจหน่วยงาน
| ระดับ | คำอธิบาย | อำนาจหน่วยงาน |
|---|---|---|
| ไม่วิกฤต | เหตุการณ์ไซเบอร์ทั่วไป | การสอบสวนและรวบรวมข้อมูล |
| วิกฤต | เหตุการณ์ที่ส่งผลต่อ CII | อำนาจสอบสวนกว้างขวาง คำสั่งต่อผู้ประกอบการ CII |
| ภาวะวิกฤต | ผลกระทบร้ายแรงต่อความมั่นคงของชาติหรือเศรษฐกิจ | คำสั่งฉุกเฉิน การเข้าถึงระบบ |
ร่างแก้ไขเดือนกรกฎาคม 2568 — ขยายไปยังคลาวด์และศูนย์ข้อมูล
ประเด็นหลักของร่างแก้ไขเดือนกรกฎาคม 2568:
- ผู้ให้บริการคลาวด์และผู้ประกอบการศูนย์ข้อมูล จะถูกเพิ่มเป็นหน่วยงาน CII ที่ได้รับการกำหนด
- พิจารณา ข้อกำหนด Data Localization (จำกัดการจัดเก็บข้อมูลบางประเภทในต่างประเทศ)
ส่วนที่ 2: พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 / แก้ไขเพิ่มเติม พ.ศ. 2560
ความผิดหลักและบทลงโทษ
มาตรา 5: การเข้าถึงโดยไม่ได้รับอนุญาต โทษ: จำคุกสูงสุด 6 เดือน หรือปรับสูงสุด 10,000 บาท (หรือทั้งจำทั้งปรับ)
มาตรา 9: การแก้ไข ลบ หรือทำลายข้อมูลคอมพิวเตอร์ โทษ: จำคุกสูงสุด 5 ปี หรือปรับสูงสุด 100,000 บาท (หรือทั้งจำทั้งปรับ)
มาตรา 14: การเผยแพร่ข้อมูลเท็จ (บทบัญญัติที่เป็นที่ถกเถียง) ห้ามนำเข้าข้อมูลคอมพิวเตอร์เท็จที่ “ก่อให้เกิดความตื่นตระหนกแก่ประชาชน หรือเป็นภยันตรายต่อความมั่นคงสาธารณะ” โทษ: จำคุกสูงสุด 5 ปี หรือปรับสูงสุด 100,000 บาท (หรือทั้งจำทั้งปรับ)
มาตรา 12: การโจมตีระบบการเงิน/โครงสร้างพื้นฐานสำคัญ โทษ: จำคุกสูงสุด 10 ปี หรือปรับสูงสุด 200,000 บาท
ภาระหน้าที่ของผู้ให้บริการ
การเก็บรักษาข้อมูลจราจร (มาตรา 26): ISP และผู้ประกอบการแพลตฟอร์มต้องเก็บรักษาข้อมูลจราจรของผู้ใช้ อย่างน้อย 90 วัน สูงสุด 2 ปี
ภาระหน้าที่แจ้งและลบ: เมื่อได้รับคำสั่งศาล ผู้ให้บริการต้องลบหรือบล็อกเนื้อหาที่ระบุ ไม่ปฏิบัติตาม: จำคุกสูงสุด 5 ปี หรือปรับสูงสุด 100,000 บาท
ส่วนที่ 3: พระราชกฤษฎีกามาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 / แก้ไขเพิ่มเติม พ.ศ. 2568
วัตถุประสงค์
พระราชกฤษฎีกาปี 2566 กำหนดภาระหน้าที่การป้องกันที่เข้มแข็งสำหรับสถาบันการเงินและแพลตฟอร์ม SNS เพื่อรับมือกับการฉ้อโกงออนไลน์ที่เพิ่มขึ้นอย่างรวดเร็ว
ภาระหน้าที่ของสถาบันการเงิน
การรายงานธุรกรรมฉ้อโกง: รายงานต่อหน่วยงาน ภายใน 24 ชั่วโมง นับแต่ทราบธุรกรรมที่ต้องสงสัย
ความร่วมมือในการอายัด/ระงับ: ภาระหน้าที่ร่วมมือกับคำสั่งอายัดบัญชีหรือระงับธุรกรรมจากหน่วยงาน
กฎระเบียบบัญชีนอมินี (Mule Account)
การทำให้เป็นความผิดทางอาญา: การซื้อขายและการใช้บัญชีในชื่อบุคคลอื่น (บัญชีนอมินี) ถือเป็นความผิดทางอาญา โทษ: จำคุกสูงสุด 3 ปี + ปรับสูงสุด 300,000 บาท
ภาระหน้าที่ของแพลตฟอร์ม SNS
ภาระหน้าที่ลบเนื้อหาภายใน 24 ชั่วโมง: แพลตฟอร์ม SNS ที่ได้รับคำขอจากรัฐบาลให้ลบเนื้อหาการฉ้อโกงหรือฟิชชิงต้อง ลบภายใน 24 ชั่วโมง การไม่ปฏิบัติตามอาจทำให้ผู้บริหารแพลตฟอร์มมีความรับผิดทางอาญาส่วนตัว
ประกาศฉบับร่างมกราคม 2569 — การยืนยันตัวตนผู้ใช้บังคับ: ประกาศฉบับร่างที่เผยแพร่ในเดือนมกราคม 2569 จะกำหนดให้แพลตฟอร์ม SNS ดำเนินการยืนยันตัวตน (KYC) สำหรับผู้ใช้ในไทย
บทความที่เกี่ยวข้อง
- การปฏิรูปกฎหมายคุกคามทางเพศของไทย (ธันวาคม 2568)
- ← ตอนที่ 4: กฎหมายอีคอมเมิร์ซไทย
- ตอนที่ 6 (ตอนสุดท้าย): ลายเซ็นอิเล็กทรอนิกส์ กฎระเบียบคริปโต + สรุปซีรีส์ →
ตอนถัดไป
ตอนที่ 6 — ตอนสุดท้าย (27 มีนาคม 2569): พ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์ของไทย (ความถูกต้องตามกฎหมายของลายเซ็นอิเล็กทรอนิกส์และสัญญา) กฎระเบียบสินทรัพย์ดิจิทัล (คริปโต, ICO, สเตเบิลคอยน์) และรายการตรวจสอบการปฏิบัติตามกฎหมายดิจิทัลสรุปซีรีส์
บทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลทั่วไปเกี่ยวกับระบบกฎหมายของประเทศไทย และไม่ถือเป็นคำแนะนำทางกฎหมายภายใต้กฎหมายไทย สำหรับกรณีเฉพาะ กรุณาปรึกษาผู้เชี่ยวชาญที่มีใบอนุญาตทนายความไทย สำนักงานของเราทำงานร่วมกับทนายความไทยของ JTJB International Lawyers