ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2564
ข้อมูลเบื้องต้น
- ให้ยกเลิกประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๕๐
- ประกาศนี้ออกเมื่อวันที่ 13 สิงหาคม 2564 และให้บังคับใช้วันถัดจากวันประกาศ
ผู้ให้บริการที่เกี่ยวข้อง
- ผู้ประกอบกิจการโทรคมนาคมและการกระจายภาพและเสียง (Telecommunication and Broadcast Carrier)
- ผู้ให้บริการโทรศัพท์พื้นฐาน (Fixed Line Service Provider)
- ผู้ให้บริการโทรศัพท์เคลื่อนที่ (Mobile Service Provider)
- ผู้ให้บริการบริการโทรศัพท์ติดต่อกันผ่านระบบอินเทอร์เน็ต
- ผู้ให้บริการวงจรเช่า (Leased Circuit Service Provider) เช่น Leased Line, Fiber Optic, ADSL เว้นแต่ ให้บริการเพียง Physical Media หรือ Cabling อย่างเดียวเท่านั้น
- ผู้ให้บริการดาวเทียม (Satellite Service Provider)
- ผู้ให้บริการ VOIP (Voice over IP)
- ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider)
- ผู้ให้บริการอินเทอร์เน็ต (Internet Service Provider)
- ผู้ประกอบการซึ่งให้บริการในการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ในห้องพัก ห้องเช่า โรงแรม หรือร้านอาหารและเครื่องดื่ม
- ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์สําหรับองค์กร เช่น หน่วยงาน ราชการ บริษัท หรือสถาบันการศึกษา
- ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่าง ๆ (Hosting Service Provider)
- ผู้ให้บริการเช่าระบบคอมพิวเตอร์ (Web Hosting), การให้บริการเช่า Web Server
- ผู้ให้บริการแลกเปลี่ยนแฟ้มข้อมูล (File Server หรือ File Sharing)
- ผู้ให้บริการเข้าถึงจดหมายอิเล็กทรอนิกส์ (Mail Server Service Provider)
- ผู้ให้บริการศูนย์รับฝากข้อมูลทางอินเทอร์เน็ต (Internet Data Center)
- ผู้ให้บริการร้านอินเทอร์เน็ต
- ผู้ให้บริการร้านอินเทอร์เน็ต (Internet Café)
- ผู้ให้บริการร้านเกมออนไลน์ (Game Online)
- ผู้ให้บริการประเภทเกมส์หรือสันทนาการประเภท Virtual Reality หรือ e-Sport
- ผู้ให้บริการโปรแกรมคอมพิวเตอร์ ซอฟต์แวร์ เทคโนโลยีปัญญาประดิษฐ์ แอพพลิเคชัน ที่ทําให้บุคคลทั่วไป สามารถติดต่อสื่อสารข้อมูลถึงกันได้ (Online Application Store)
- App Store
- Google Play
- Chatbot
- Clubhouse
- Telegram
- ผู้ให้บริการอื่นในลักษณะเดียวกัน
- ผู้ให้บริการสื่อสังคมออนไลน์รวมถึงผู้ให้บริการในฐานะสื่อกลางในการรับส่งข้อมูลผ่านระบบเครือข่ายคอมพิวเตอร์ ไม่ว่าจะมีระบบบอกรับสมาชิกหรือไม่ก็ตาม (Social Media)
- Facebook
- Youtube
- Instagram
- Linkedin
- Line
- MSN Messenger
- Whatsapp
- ผู้ให้บริการอื่นในลักษณะเดียวกัน
- ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชันต่าง ๆ (Content and Application Service Provider)
- ผู้ให้บริการเว็บบอร์ด (Web board) หรือผู้ให้บริการบล็อค (Blog)
- ผู้ให้บริการการทําธุรกรรมทางการเงินทางอินเทอร์เน็ต (Internet Banking) และ ผู้ให้บริการชําระเงินทางอิเล็กทรอนิกส์ (Electronic Payment Service Provider)
- ผู้ให้บริการเว็บเซอร์วิส (Web Services)
- ผู้ให้บริการพาณิชย์อิเล็กทรอนิกส์ (e-Commerce) หรือ ธุรกรรมทางอิเล็กทรอนิกส์ (e-Transactions)
- ผู้ให้บริการเก็บพักข้อมูลในรูปแบบชั่วคราวหรือถาวรโดยมีระบบที่บริหารจัดการข้อมูลบนอินเทอร์เน็ต คลาวด์ (Cloud Computing Service Provider) ซึ่งได้ให้บริการโดยตรงกับ ผู้ใช้บริการหรือผู้ใช้งาน (End User)
- ผู้ให้บริการโครงสร้างพื้นฐานหลัก (Infrastructure as a Service: IaaS)
- ผู้ให้บริการแพลตฟอร์ม (Platform as a Service: PaaS)
- ผู้ให้บริการซอฟต์แวร์ (Software as a Service: SaaS)
- ผู้ให้บริการระบบจัดเก็บข้อมูล (Data Storage as a Service: DSaaS)
- ผู้ให้บริการระบบ CDN (Caching Delivery Network)
- ผู้ให้บริการดิจิทัล (Digital Service Provider) ที่ใช้เครือข่ายคอมพิวเตอร์ หรือระบบคอมพิวเตอร์เป็นส่วนหนึ่งของการให้บริการ
- ผู้ให้บริการด้านการเงิน (Finance)
- ผู้ให้บริการด้านสาธารณสุข/สุขภาพ (Health)
- ผู้ให้บริการด้านไลฟ์สไตล์ (Lifestyle)
- ผู้ให้บริการด้านอสังหาริมทรัพย์ (Property/Urban)
- ผู้ให้บริการด้านอาหารและการเกษตร (Food/Agriculture)
- ผู้ให้บริการด้านการท่องเที่ยว (Travel)
- ผู้ให้บริการด้านอุตสาหกรรม (Industry)
- ผู้ให้บริการด้านประกันภัย
- ผู้ให้บริการด้านการศึกษา (Education)
- ผู้ให้บริการด้านเพลง ศิลปะ และนันทนาการ (Music, Art, and Recreation)
- ผู้ให้บริการด้านการจําหน่ายสินค้าและให้บริการทั้งประเภท B2B C2C B2C G2C และอื่น ๆ
มาตรฐานทั่วไปในการจัดเก็บข้อมูล
- ข้อมูลบันทึกเหตุการณ์การเข้าใช้งานในระบบคอมพิวเตอร์ (Event Logging)
- ข้อมูลที่สามารถระบุตัวตนของผู้ใช้บริการ (ID of Users)
- รายละเอียดของการใช้ข้อมูลของผู้ใช้บริการ (Activities of the system)
- วัน เวลา และรายละเอียดเหตุการณ์สําคัญ เช่น การล็อคอินเข้าออกระบบคอมพิวเตอร์ (Log-on and Log-off)
- ข้อมูลที่สามารถระบุหมายเลขของเครือข่ายคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ (System ID) สถานที่ในการเข้าออกระบบคอมพิวเตอร์ (Location) และอุปกรณ์ที่ใช้เชื่อมต่อคอมพิวเตอร์ให้คอมพิวเตอร์สามารถเข้าถึงระบบคอมพิวเตอร์ได้ (Device recognition)
- บันทึกการเข้าถึงและการพยายามเข้าถึงระบบคอมพิวเตอร์ทั้งเข้าถึงได้และถูกปฏิเสธการเข้าถึง (Records of attempts to access the system successfully as well as rejected ones)
- บันทึกรายละเอียดข้อมูลที่มีการเข้าถึงแหล่งข้อมูล (Successful and unsuccessful data records and other attempts to access resources)
- รายละเอียด ประเภทของแอพพลิเคชัน และการใช้งานในระบบคอมพิวเตอร์ (The application and use of systems utilities)
- แฟ้มข้อมูลและประเภทของข้อมูลคอมพิวเตอร์ที่ถูกเข้าถึงในระบบคอมพิวเตอร์ (Accessed files and access kinds)
- ตําแหน่งที่อยู่ของระบบเครือข่ายคอมพิวเตอร์ (Network Addresses) และโปรโตคอลหลักที่ใช้ (Protocols)
- รายละเอียดมาตรการการป้องกันภัยคุกคามทางไซเบอร์ เช่น รายละเอียดการใช้โปรแกรมป้องกันไวรัสคอมพิวเตอร์ ระบบเฝ้าระวังภัยคุกคามทางไซเบอร์ที่ทําให้ระบบทํางาน และถูกระงับการใช้งาน (protective mechanisms such as anti-virus and intrusion detection systems are activated and deactivated as required)
- รายละเอียดธุรกรรมที่ทําผ่านแอพพลิเคชันต่าง ๆ โดยผู้ใช้บริการ (Transaction records done in applications by users)
- ระบบรักษาความปลอดภัยของข้อมูลจราจรทางคอมพิวเตอร์ (Protection of Log Information)
- รายละเอียดการเข้าถึงข้อมูลจราจรทางคอมพิวเตอร์ของผู้ดูแลระบบคอมพิวเตอร์ และผู้บริหารจัดการระบบคอมพิวเตอร์ (Log Information Administration and Operation)
- การตั้งค่าระบบเวลาให้เชื่อมต่อกับอุปกรณ์คอมพิวเตอร์และระบบคอมพิวเตอร์ ให้เป็นระบบสากล (Clock Synchronization)
- ข้อยกเว้น หากระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ หรือซอฟแวร์ดังกล่าว ไม่สามารถดําเนินการเก็บข้อมูลจราจรทางคอมพิวเตอร์ได้โดยครบถ้วน ให้ผู้ให้บริการติดต่อพนักงานเจ้าหน้าที่เพื่อพิจารณายกเว้นการปฏิบัติตามหลักเกณฑ์ข้างต้นได้ตามความจําเป็น
ข้อมูลที่ต้องจัดเก็บเพิ่มเติมในแต่ละผู้ให้บริการ
- ผู้ประกอบกิจการโทรคมนาคมและการกระจายภาพและเสียง (Telecommunication and Broadcast Carrier)
- ข้อมูลที่สามารถระบุและติดตามถึง แหล่งกําเนิด ต้นทาง ปลายทาง และทางสายที่ผ่านของการติดต่อสื่อสารของระบบคอมพิวเตอร์
- ข้อมูลที่สามารถระบุวันที่ เวลา และ ระยะเวลาของการติดต่อสื่อสารของระบบคอมพิวเตอร์
- ข้อมูลซึ่งสามารถระบุที่ตั้งในการใช้โทรศัพท์มือถือ หรืออุปกรณ์ติดต่อสื่อสารแบบไร้สาย (Mobile Communication Equipment) โดยต้องเก็บไว้ในรูปแบบ Centralized Log Server
- ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider) และผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่าง ๆ (Hosting Service Provider)
- ข้อมูลอินเทอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย
- ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการจดหมายอิเล็กทรอนิกส (e-mail servers)
- ข้อมูลอินเทอร์เน็ตจากการโอนแฟ้มข้อมูลบนเครื่องให้บริการ
- ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการเว็บ
- ชนิดของข้อมูลบนเครือข่าย คอมพิวเตอร์ขนาดใหญ่ (Usenet)
- ข้อมูลที่เกิดจากการโต้ตอบกันบนเครือข่ายอินเทอร์เน็ต เช่น Internet Relay Chat (IRC) หรือ Instance Messaging (IM)
- ผู้ให้บริการร้านอินเทอร์เน็ต
- ข้อมูลที่สามารถระบุตัวบุคคล ที่เข้ามาใช้ระบบอินเตอร์เน็ตของผู้ให้บริการ
- เวลาของการเข้าใช้ และเลิกใช้บริการ
- หมายเลขเครื่องที่ใช้ IP Address (Internet Protocol address)
- ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชันต่าง ๆ (Content and Application Service Provider) และ Cloud Computing Service Provider
- ข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการ (Content Service Provider)
- ชนิดของข้อมูลบนเครือข่ายคอมพิวเตอร์ของผู้ให้บริการคลาวด์ (Cloud Computing Service Provider)
- ชนิดของข้อมูลบนเครือข่ายคอมพิวเตอร์ของผู้ให้บริการดิจิทัล (Digital Service Provider)
มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
ผู้ให้บริการต้องจัดให้มี มาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งาน ข้อมูลในระบบการพิสูจน์และยืนยันตัวตน (access control) ดังต่อไปนี้
- ควบคุมการเข้าถึงข้อมูล และอุปกรณ์ที่ใช้ในการจัดเก็บและประมวลผลข้อมูล
- กําหนดสิทธิในการเข้าถึงข้อมูล
- บริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management)
- กําหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
- สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลในระบบได้
การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์
ผู้ให้บริการต้องใช้วิธีการที่มั่นคงปลอดภัย ดังต่อไปนี้
- เก็บในสื่อ (Media) ที่สามารถรักษาความครบถ้วนถูกต้องแท้จริง (Integrity) และระบุตัวบุคคล (Identification) ที่เข้าถึงสื่อได้
- มีระบบการเก็บรักษาความลับของข้อมูล และกําหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เช่น การเก็บไว้ใน Centralized Log Server หรือการทํา Data Archiving หรือทํา Data Hashing
- จัดให้มีผู้มีหน้าที่ประสานงานและให้ข้อมูลกับเจ้าหน้าที่พนักงานเพื่อให้การส่งมอบข้อมูลนั้นเป็นไปด้วยความรวดเร็ว
- การเก็บข้อมูลต้องสามารถระบุของผู้ใช้บริการเป็นรายบุคคลได้จริง (Identification and Authentication) เช่น Proxy Server, Network Address Translation (NAT), บริการ Free Internet หรือ Wi-Fi Hotspot
- กรณีผู้ให้บริการมีการว่าจ้างบุคคลภายนอกที่ไม่ใช่ผู้ให้บริการในการเก็บรักษาข้อมูลแทน ผู้ให้บริการยังคงมีหน้าที่ที่ต้องเก็บรักษา ทําสําเนาข้อมูล และครอบครองสำเนาข้อมูลนั้น ๆ
ระยะเวลาในการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์
- กรณี ทั่วไป ผู้ให้บริการเก็บรักษาข้อมูลไว้ไม่น้อยกว่า 90 วัน
- กรณี มีการกระทําความผิดหรือพื่อประโยชน์ในการรวบรวมหลักฐานเกี่ยวกับการกระทําความผิดที่เกี่ยวข้องกับความมั่นคง แห่งราชอาณาจักร การก่อการร้าย องค์กรอาชญากรรมข้ามชาติ หรือความสงบเรียบร้อยของประชาชน ให้เจ้าหน้าที่พนักงานมีคําสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ของผู้ใช้บริการเป็นกรณีพิเศษ เฉพาะรายอีกคราวละไม่เกิน 6 เดือนต่อเนื่องกัน แต่ต้องไม่เกิน 2 ปี
- กรณี ผู้ให้บริการร้านอินเทอร์เน็ต ให้เก็บข้อมูลตามที่กําหนดไว้ภายใน 1 ปี
- กรณี ผู้ให้บริการดิจิทัล (Digital Service Provider) ให้เก็บข้อมูลตามที่กําหนดไว้ภายใน 180 วัน