หน้าที่ของร้านกาแฟ ต้องเก็บข้อมูลผู้ใช้เน็ต ฝ่าฝืนปรับสูงสุด 500,000

 

ตามที่พุฒิพงษ์ ปุณณกัตน์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ให้สัมภาษณ์ต่อสื่อมวลชนเมื่อวันที่ 8 ตุลาคม 2562 อ้างอำนาจตาม พ.ร.บ.คอมพิวเตอร์ฯ ขอให้ฝากร้านค้า ร้านกาแฟต่างๆ ที่เปิดให้ผู้ใช้บริการ ต่อสัญญาณอินเตอร์เน็ตภายในร้าน จัดเก็บข้อมูลการจราจรทางอินเตอร์เน็ตของผู้ลงทะเบียนใช้ไวไฟของร้านเป็นเวลา 90 วัน
สิ่งที่พุฒิพงษ์ กล่าวต่อสื่อมวลชน ไม่ใช่มาตรการใหม่ที่เพิ่งคิดค้นขึ้นมาเป็นครั้งแรก แต่เป็นหน้าที่ของ "ผู้ให้บริการ" ที่มีอยู่แล้วตั้งแต่การประกาศใช้พ.ร.บ.คอมพิวเตอร์ฯ เมื่อปี 2550 ซึ่งบทบาทในการเก็บข้อมูลของร้านค้า ร้านกาแฟ เพื่อให้เจ้าหน้าที่ตำรวจเอาไปใช้ดำเนินคดีอาจจะยังมีไม่มากในช่วงที่ผ่านมา เมื่อเทียบกับการใช้ข้อมูลจากผู้ให้บริการเครือข่ายอินเทอร์เน็ต อีกทั้ง ร้านค้า หรือร้านกาแฟ จำนวนมากก็อาจจะยังไม่ได้เก็บข้อมูลให้ครบถ้วนตามที่กฎหมายเขียนไว้ แนวคิดที่พุฒิพงษ์ประกาศต่อสาธารณะครั้งนี้จึงเป็นเสมือนการเร่งรัดบังคับใช้กฎหมายที่มีอยู่ให้เกิดผลได้จริง
"ผู้ให้บริการ" ความหมายกว้าง กินความธุรกิจทุกประเภท ทุกขนาด
ตามพ.ร.บ.คอมพิวเตอร์ฯ ที่ใช้อยู่ตั้งแต่ปี 2550 กำหนดความหมายของคำว่า "ผู้ให้บริการ" ไว้อย่างกว้างขวาง ไม่ได้จำกัดเฉพาะผู้ให้บริการเครือข่ายรายใหญ่อย่าง True 3BB TOT ที่พอจะนึกถึงกันได้เท่านั้น แต่ยังกินความถึงบุคคลแทบทุกประเภทที่เกี่ยวข้องกับการเดินทางของสัญญาณอินเทอร์เน็ตตั้งแต่ผู้ให้บริการไปจนถึงมือของผู้ใช้งาน ดังนี้
           “ผู้ให้บริการ” หมายความว่า
           (1) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือในนามหรือเพื่อประโยชน์ของบุคคลอื่น
           (2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น"
นอกจากนี้ยังมีประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ชื่อเดิม) เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ.2550 ซึ่งแจกแจงประเภทของผู้ให้บริการให้ชัดเจนขึ้นไปอีก โดยข้อ 5. กำหนดให้ผู้ให้บริการที่มีหน้าที่เก็บข้อมูล รวมถึง ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider) ซึ่งแจกแจงไว้ในภาคผนวก ก.
และในภาคผนวก ก. แยกประเภทผู้ให้บริการออกเป็น 4 ประเภท ได้แก่ ก.ผู้ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและเสียง (Telecommunication and Broadast Carrier) ข.ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Acess Service Provider) ค. ผู้ให้บริการเช่าระบบคอมพิวเตอร์ เพื่อให้บริการโปรแกรมประยุกต์ต่างๆ (Hosting Service Provider) ง. ผู้ให้บริการร้านอินเทอร์เน็ต และยังรวมถึงผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชั่นต่างๆ หรือผู้ดูแลเนื้อหา (Content and Application Service Provider) ด้วย
สำหรับผู้ให้บริการประเภท ข. Access Service Provider ในภาคผนวกให้ตัวอย่างไว้ชัดเจน ได้แก่ 
            1. ผู้ให้บริการอินเทอร์เน็ต (Internet Service Procider) ทั้งมีสายและไร้สาย 
            2. ผู้ประกอบการซึ่งให้บริการในการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ในห้องพัก ห้องเช่า โรงแรม หรือร้านอาหารและเครื่องดื่ม
            3. ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์สำหรับองค์กร เช่น หน่วยงานราชการ บริษัท หรือสถาบันการศึกษา
ประกาศกระทรวงเทคโนโลยีฉบับนี้ กำหนดความหมายและให้ตัวอย่างของ "ผู้ให้บริการ" ที่มีหน้าที่ตามพ.ร.บ.คอมพิวเตอร์ฯ ไว้หลากหลายและกว้างขวาง โดยมุ่งให้ครอบคลุมบุคคลทุกประเภทที่เกี่ยวข้องในการเดินทางของข้อมูล ไม่ได้เจาะจงเฉพาะผู้ให้บริการรายใหญ่เท่านั้น ซึ่งร้านอาหาร และร้านกาแฟ ก็อยู่ในการยกตัวอย่างตามภาคผนวก ก. อย่างชัดเจนแล้ว จึงไม่ใช่ประเด็นที่จะต้องถกเถียงกันอีกว่า พ.ร.บ.คอมพิวเตอร์ฯ จะตีความครอบคลุมไปถึงร้านอาหาร ร้านกาแฟต่างๆ ได้หรือไม่
แต่สิ่งที่ต้องคำนึงถึง คือ ผู้ประกอบการแต่ละรายมีเงินลงทุนไม่เท่ากัน และมีขนาดของกิจการไม่เท่ากัน การที่กฎหมายกำหนดนิยามกว้างและบังคับให้ทุกคนมีหน้าที่เหมือนกันหมดโดยไม่คำนึงถึงขนาดของกิจการ มีความเสี่ยงสูงที่จะสร้างภาระเกินจำเป็นจนกระทบต่อธุรกิจของผู้ประกอบการรายเล็กได้
ต้องเก็บข้อมูลไว้อย่างน้อย 90 วัน ตำรวจมาขอข้อมูลได้ ไม่ต้องมีหมายศาล
พ.ร.บ.คอมพิวเตอร์ฯ มาตราที่เกี่ยวข้องกับหน้าที่ของผู้ให้บริการในการเก็บข้อมูล คือ มาตรา 26 ซึ่งกำหนดว่า
            "มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินสองปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้
           ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลง
           ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา
           ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท"
มาตรา 26 สั่งว่า ผู้ให้บริการมีหน้าที่เก็บข้อมูลจราจรทางคอมพิวเตอร์ไม่น้อยกว่า 90 วัน นับตั้งแต่เมื่อมีข้อมูลเข้าสู่ระบบคอมพิวเตอร์ ถ้าหากเป็นกรณีที่เจ้าหน้าที่ต้องการข้อมูลจากผู้ให้บริการรายใด แต่อาจจะยังไม่มีรายละเอียดที่เกี่ยวข้องมากเพียงพอ ก็อาจจะสั่งให้ผู้ให้บริการเก็บข้อมูลของผู้ใช้งานเฉพาะรายไว้นานกว่า 90 วันก็ได้ แต่ไม่เกินสองปี ซึ่งระยะเวลาการเก็บข้อมูลนี้ถูกขยายออกตามการแก้ไขเพิ่มเติมเมื่อปี 2560 จากเดิมที่เจ้าหน้าที่สามารถขอให้เก็บข้อมูลนานขึ้นได้ไม่เกินหนึ่งปี เท่ากับเป็นการเพิ่มภาระให้ผู้ให้บริการมากขึ้น
มาตรา 26 มีผลกระทบต่อผู้ให้บริการอย่างมาก เพราะเรียกร้องให้ผู้ให้บริการทุกระดับ ไม่ว่าจะเป็นผู้ประกอบการขนาดเล็ก ไปจนถึงขนาดใหญ่มีหน้าที่เก็บข้อมูลผู้ใช้งานในระยะเวลาเท่ากัน หากไม่ปฏิบัติตามจะมีโทษปรับสูงสุดถึง 500,000 บาท หน้าที่ตามาตรา 26 นี้เองที่ทำให้ลูกค้าของโรงแรมขนาดใหญ่ หรือร้านกาแฟที่เป็นธุรกิจขนาดใหญ่ เมื่อต้องการเชื่อมต่ออินเทอร์เน็ตจะต้อง "ลงทะเบียน" และใส่รหัสผู้ใช้ด้วยวิธีการอย่างใดอย่างหนึ่งตามที่ผู้ให้บริการกำหนด เพื่อจะเข้าสู่ระบบการจัดเก็บข้อมูลการใช้งานที่ผู้ให้บริการนั้นๆ จัดทำขึ้น ซึ่งระบบลักษณะนี้ถือว่า เป็นภาระอย่างมากสำหรับผู้ให้บริการธุรกิจขนาดเล็ก ที่ต้องใช้เงินลงทุนเพื่อจัดทำระบบขึ้นมาสำหรับการเก็บข้อมูลให้ได้เทียบเท่ากับธุรกิจขนาดใหญ่
เมื่อผู้ให้บริการเก็บรักษาข้อมูลไว้แล้วตามมาตรา 26 และเจ้าหน้าที่ต้องการเข้าถึงข้อมูล ก็สามารถขอข้อมูลได้ตามมาตรา 18 (2) (3)
           "มาตรา 18 ภายใต้บังคับมาตรา 19 เพื่อประโยชน์ในการสืบสวนและสอบสวนในกรณีที่มีเหตุอันควรเชื่อได้ว่ามีการกระทำความผิดตามพระราชบัญญัตินี้ หรือในกรณีที่มีการร้องขอตามวรรคสองให้พนักงานเจ้าหน้าที่มีอำนาจอย่างหนึ่งอย่างใด ดังต่อไปนี้ เฉพาะที่จำเป็นเพื่อประโยชน์ในการใช้เป็นหลักฐานเกี่ยวกับการกระทำความผิดและหาตัวผู้กระทำความผิด
           (2) เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ให้บริการเกี่ยวกับการติดต่อสื่อสารผ่านระบบคอมพิวเตอร์หรือจากบุคคลอื่นที่เกี่ยวข้อง
           (3) สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บตามมาตรา 26 หรือที่อยู่ในความครอบครองหรือควบคุมของผู้ให้บริการให้แก่พนักงานเจ้าหน้าที่หรือให้เก็บข้อมูลดังกล่าวไว้ก่อน"
เมื่อเจ้าหน้าที่ต้องการสืบสวนหาตัวผู้กระทำความผิด เจ้าหน้าที่ก็สามารถอาศัยอำนาจตามมาตรา 18 (2) (3) ทำหนังสือไปยังผู้ให้บริการทุกคนที่น่าจะมีข้อมูลที่เป็นประโยชน์ ให้ส่งมอบข้อมูลให้ เมื่อผู้ให้บริการได้รับการร้องขอข้อมูลมาภายในระยะเวลาที่ต้องเก็บข้อมูลไว้ ก็มีหน้าที่จัดส่งให้ หากไม่ยอมส่งข้อมูลให้จะมีโทษ ตามมาตรา 27 ปรับไม่เกิน 200,000 บาท และปรับเป็นรายวันอีกไม่เกินวันละ 5,000 บาทจนกว่าจะปฏิบัติให้ถูกต้อง
การขอให้ส่งข้อมูลให้นั้น ไม่ใช่อำนาจที่ตำรวจทั่วไปทุกคนสามารถทำได้ แต่ต้องเป็น "พนักงานเจ้าหน้าที่" ผู้ผ่านการอบรมมาเป็นการเฉพาะ และได้รับการแต่งตั้งแล้วตามพ.ร.บ.คอมพิวเตอร์ฯ ให้ปฏิบัติหน้าที่เหล่านี้ได้ ซึ่งในทางปฏิบัติเมื่อตำรวจจากสถานีตำรวจท้องที่ต่างๆ ต้องการข้อมูลจราจรคอมพิวเตอร์ ก็จะส่งเรื่องมายังส่วนกลาง เช่น ที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโยโลยี (ปอท.) เพื่อให้พนักงานเจ้าหน้าที่ที่มีอำนาจติดต่อขอข้อมูลไปยังผู้ให้บริการ โดยขั้นตอนเหล่านี้พนักงานเจ้าหน้าที่สามารถออกหนังสือได้เอง โดยไม่ต้องขออนุมัติจากศาล
เก็บข้อมูลการติดต่อของ "เครื่อง" ไม่ได้เก็บลึกถึงเนื้อหา ว่า "คุยอะไร"
มาตรา 26 สั่งผู้ให้บริการทุกประเภท ต้องเก็บ "ข้อมูลจราจรทางคอมพิวเตอร์" หรือ Log File ซึ่งมีความหมายเฉพาะตามที่กำหนดไว้ในมาตรา 3 ว่า
            “ข้อมูลจราจรทางคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่นๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น
จะเห็นว่า ความหมายของข้อมูลจราจรทางคอมพิวเตอร์ที่ผู้ให้บริการต้องเก็บนั้น เน้นที่ข้อมูลเกี่ยวกับการใช้งานเชื่อมต่อข้อมูลระหว่างคอมพิวเตอร์ด้วยกัน ซึ่งเป็นข้อมูลที่ระบบสามารถบันทึกได้ไม่ยาก แต่ไม่ได้บังคับให้เก็บข้อมูลจนถึงขนาดที่ต้องระบุได้ว่า "ใคร" กำลัง "คุยอะไร" ซึ่งเป็นข้อมูลที่ระบบอาจจะไม่สามารถจัดเก็บได้ง่าย ตัวอย่างเช่น หากนาย A ขอยืมคอมพิวเตอร์ของนาย B ต่ออินเทอร์เน็ตของร้านกาแฟและเข้าไปอ่านข้อมูลที่เว็บไซต์แห่งหนึ่ง ร้านกาแฟก็จะบันทึกข้อมูลได้ว่า คอมพิวเตอร์เครื่องของนาย B เข้าไปที่เว็บไซต์แห่งนั้น แต่ไม่สามารถบันทึกไปถึงว่า เว็บไซต์แห่งนั้นมีเนื้อหาว่าอะไร และขณะเข้าไปดูเว็บไซต์นั้นๆ จริงๆ แล้วเป็นนาย A ที่กำลังใช้งานอยู่ เป็นต้น
ในประกาศ เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ยังมีภาคผนวก ข. ที่กำหนดหน้าที่ของผู้ให้บริการแต่ละประเภท ให้เก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ในทางเทคนิคของการใช้งานแต่ละประเภทแตกต่างกัน ตัวอย่างเช่น 
ผู้ให้บริการประเภท Access Service Provider อย่างร้านกาแฟ จะต้องเก็บข้อมูลของผู้ใช้บริการจากการส่งอีเมล์ ได้แก่ หมายเลขของข้อความที่ระบุในอีเมล์ (Message ID) อีเมล์ของผู้ส่งและผู้รับ สถานะว่า ส่งสำเร็จหรือไม่ หมายเลข IP Address ของคอมพิวเตอร์ที่เชื่อมต่อ วันและเวลาของการเชื่อมต่อ หมายเลข IP Address ของผู้ให้บริการอีเมล์ ฯลฯ ส่วนชื่อของผู้ใช้บริการจะเป็นข้อมูลที่ต้องเก็บในกรณีที่มีข้อมูลนี้เท่านั้น ไม่ได้บังคับให้ต้องเก็บทุกครั้ง
ผู้ให้บริการประเภท Access Service Provider อย่างร้านกาแฟ จะต้องเก็บข้อมูลของผู้ใช้บริการจากการโต้ตอบกันบนเครือข่ายอินเทอร์เน็ต เช่น Chat หรือ Instance Messaging โดยเก็บข้อมูลเกี่ยวกับวัน เวลา และชื่อเครื่องบนเครือข่ายและหมายเลขเครื่องของผู้ให้บริการเก็บข้อมูล โดยภาคผนวก ข. ก็ไม่ได้กำหนดให้ผู้ให้บริการต้องเก็บข้อมูลละเอียดถึง “ข้อความ” ที่มีการคุยกันผ่านทางออนไลน์
แต่ถ้าเป็นผู้ให้บริการร้านอินเทอร์เน็ต ในภาคผนวก ข. สั่งให้ต้องเก็บข้อมูลที่สามารถระบุตัวบุคคลผู้ใช้งานได้ รวมทั้งเวลาการเข้าใช้บริการและเลิกใช้บริการ จึงทำให้เมื่อลูกค้าไปใช้งานร้านอินเทอร์เน็ตจะต้องให้ข้อมูลบัตรประชาชนกับเจ้าของร้านด้วย