บทความนี้เป็นบทความที่สรุปหลักเกณฑ์การจัดเก็บ Log หรือที่เรียกกันว่าการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ ซึ่งเป็นฉบับล่าสุดปี พ.ศ. 2564 มีประกาศเมื่อวันที่ 13 สิงหาคม 2564 โดยกระทรวงดิจิตอลเพื่อเศรษฐกิจและสังคม ได้ออกประกาศล่าสุดของตัวหลักเกณฑ์การจัดเก็บข้อมูลจราจรคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2564 ไว้
ข้อแตกต่าง ประกาศหลักเกณฑ์เพื่อการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ Log file ระหว่างปี 2550 กับ ปี 2564
เบื้องต้นเรามาดูกันก่อนว่าประกาศฉบับล่าสุดของปี 2564 มีข้อกำหนดอะไร ที่เป็นข้อกำหนดใหม่บ้าง และมีความแตกต่างจากประกาศปีเก่าอย่างไร ซึ่งก่อนหน้านี้มีประกาศเรื่องหลักเกณฑ์การจัดเก็บ Log ออกมาแล้วในปี 2550 ซึ่งออกประกาศมาใกล้เคียงกับตัว พ.ร.บ.คอมพิวเตอร์ พ.ศ. 2550 โดยสรุปใจความประกาศของปี 2564 มีดังต่อไปนี้
1. ตัวประกาศหลักเกณฑ์การจัดเก็บ Log พ.ศ. 2564 บอกไว้ว่าให้ยกเลิกประกาศหลักเกณฑ์การจัดเก็บ Log ปี 2550
2. มีการเพิ่มผู้ให้บริการที่จะต้องจัดเก็บ Log ตามพ.ร.บ. คอมพิวเตอร์
3. ผู้ให้บริการต้องมีระบบการพิสูจน์และยืนยันตัวตนของผู้ใช้บริการทุกคน ซึ่งจะต้องมีมาตรฐานขั้นต่ำตาม พ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 ในหมวด 3/1 เรื่องระบบการพิสูจน์ยืนยันตัวตนทางดิจิทัล
4. มีอุปกรณ์ที่ต้องจัดเก็บ Log เพิ่ม
ในบทความนี้เราก็จะมาลงรายละเอียดแต่ละข้อเลยว่าผู้ให้บริการที่เพิ่มเข้ามามีใครบ้าง แล้ว Log ที่จะต้องเก็บ มีอะไรบ้าง
ใครบ้างที่ต้องจัดเก็บ Log
ก่อนอื่นเรามาดูผู้ให้บริการที่ต้องจัดเก็บ Log ตามประกาศ 2550
1. ผู้ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและเสียง
2. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ เช่น ISP, ห้องพักม โรงแรมม หน่วยงานราชการหรือบริษัทต่าง ๆ
3. ผู้ให้บริการเช่าระบบคอมพิวเตอร์ เช่น Web Hosting, File Sharing, Mail
4. ผู้ให้บริการร้านอินเตอร์เน็ต
5. ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชัน เช่น เว็บบอร์ด, Blog, e-Commerce
ผู้ให้บริการที่ต้องจัดเก็บ log ที่เพิ่มเข้ามาในประกาศ 2564 มีทั้งหมด 4 ประเภท
1. ผู้ให้บริการโปรแกรมคอมพิวเตอร์ ทั้งซอฟต์แวร์, AI หรือจะเป็น Application Store ยกตัวอย่างเช่น App Store, Google Play Store, Clubhouse หรือผู้ให้บริการในลักษณะเดียวกัน
2. ผู้ให้บริการ Social Media เช่น Facebook, YouTube, Insagram, Line, Linkedin หรือเป็นองค์กรในลักษณะที่ให้บริการ Social Media
3. ผู้ให้บริการที่จัดเก็บข้อมูลบนระบบ Cloud เช่น IaaS, PaaS, SaaS, DSaaS, CDN
4. ผู้ให้บริการดิจิตอลที่ใช้ระบบคอมพิวเตอร์เนี่ยเป็นส่วนหนึ่งในการให้บริการ อันนี้ก็จะมีด้วยกันหลายกลุ่มประเภทธุรกิจ ยกตัวอย่างเช่น กลุ่มการเงิน, กลุ่มสุขภาพ, กลุ่มประกัน หรือจะเป็นผู้ให้บริการจำหน่ายสินค้าหรือให้บริการทั้งประเภท B2B, B2C, C2C, G2C และอื่น ๆ
อุปกรณ์ที่ต้องจัดเก็บ Log
เราจะต้องจัดเก็บ log จากอุปกรณ์อะไรบ้าง? ในส่วนประกาศข้อกำหนดเก่าจะเป็นการจัดเก็บ Log เพื่อให้สามารถระบุตัวตนผู้กระทำความผิดทางคอมพิวเตอร์ได้ ซึ่งจะต้องมี Log การใช้งานอินเทอร์เน็ตและต้องสามารถระบุได้ว่าใครเข้าออกอินเทอร์เน็ตในช่วงเวลาไหนบ้าง จาก Log ของอุปกรณ์ Firewall และจะต้องมีระบบ Authentication สำหรับระบุตัวตน ส่วนใหญ่จะใช้เป็น Windows Active Directory หรือบางที่อาจจะ Authen ผ่าน Firewall เลยก็ได้ นอกเหนือจากนั้น Web Proxy, Email Server, File Sharing Server เหล่านี้ก็จะเป็นอุปกรณ์ที่ต้องจัดเก็บ log ตามประกาศหลักเกณฑ์ ปี 2550 และในส่วนของประกาศในปี 2564 สำหรับอุปกรณ์ที่ต้องใช้จัดเก็บ Log file ที่ต้องเพิ่มเติมเข้ามามีดังต่อไปนี้
1. ถ้าใครที่เป็นกลุ่มผู้ให้บริการดิจิทัล (digital service provider) สิ่งที่ต้องเก็บเพิ่มนั่นก็คือ Log ตัวแอพพลิเคชั่น ที่ให้บริการลูกค้าขององค์กร ยกตัวอย่างเช่น ผู้ให้บริการประกัน ก็ต้องเก็บ Log ตัวแอพพลิเคชันประกัน ว่ามีใครเข้ามา login หรือใช้งานตัวแอพพลิเคชันของเราอย่างไรบ้าง ซึ่งจะต้องมีระบบพิสูจน์และยืนยันตัวตนขั้นต่ำตามมาตรฐานของ พ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544
2. เก็บ Log จาก Digital Cloud Service หลาย ๆ องค์กรเริ่มมีการเปลี่ยนเป็น Digital Transformation ซึ่งก็จะมีการนำ Digital service มาปรับใช้ในองค์กร เช่น Microsoft O365 (Exchange Mail, SharePoint, OneDrive, etc.) หรือ Google G Suite (Gmail, Google Drive) ซึ่งเราก็จะต้องเก็บ log จาก digital service ที่เราใช้บริการด้วย
สรุป
จากที่กล่าวมา เราก็จะได้รู้แล้วว่า ประกาศหลักเกณฑ์การจัดเก็บ log ตัวล่าสุด มีอะไรแตกต่างจากตัวประกาศเดิมบ้าง ทั้งการเพิ่มผู้ให้บริการที่ต้องจัดเก็บ Log เพิ่ม และมีอุปกรณ์ใดบ้างที่ต้องจัดเก็บ Log เพิ่มเติม สุดท้ายหากท่านเป็นผู้ให้บริการดิจิทัล (digital service provider) ในตัวประกาศระบุว่าจะต้องจัดเก็บ log ตามหลักเกณฑ์นี้ภายใน 180 วัน และอีกกลุ่มคือผู้ให้บริการอินเตอร์เน็ต (Internet Café) จะต้องจัดเก็บ log ให้ตามตัวประกาศตัวนี้ภายในระยะเวลา 1 ปี นับจากวันประกาศ
