กฎหมายสารสนเทศหรือกฎหมายเทคโนโลยีสารสนเทศมีไว้เพื่ออะไร

เริ่มจากภาพรวมโครงสร้างลำดับของกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ดังรูปที่ 1 เริ่มจาก พระราชบัญญัติ (พ.ร.บ.) พระราชกฤษฎีกา (พ.ร.ฎ.) ไปจนถึง ประกาศหน่วยงานกำกับดูแล (คธอ. ฯลฯ) สรุปได้ว่า กฎหมายสำคัญด้านเทคโนโลยีสารสนเทศ/ความมั่นคงปลอดภัยสารสนเทศ/การคุ้มครองข้อมูลส่วนบุคคล ประกอบไปด้วยกฏหมาย 6 ประเภทใหญ่ๆดังนี้ (ดูรูปที่ 2)

1. กฎหมายธุรกรรมทางอิเล็กทรอนิกส์ (Electronic Transaction Law)
2. กฎหมายการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (Computer-related Crime Law)
3. กฎหมายระบบการชำระเงิน (Payment System Law)
4. กฎหมายดิจิทัลเพื่อเศรษฐกิจและสังคม (Digital Economy and Society)
5. กฎหมายความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Law)
6. กฎหมายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Law)
ซึ่งมีรายละเอียดดังรูปที่ 3

โดยเมื่อปลายเดือนพฤษภาคม 2562 ที่ผ่านมามีการประกาศกฏหมายใหม่สองฉบับ ได้แก่ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล จากบทความที่ผ่านมาเราได้กล่าวถึงรายละเอียดของพระราชบัญญัติทั้งสองฉบับไปแล้ว หากแต่เรายังไม่มีรายละเอียดในการเตรียมพร้อมปฏิบัติตามกฏหมายในระดับองค์กร ในบทความนี้จะขอกล่าวถึง ภาพรวมแนวทางดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ตามลำดับ

ภาพรวมแนวทางดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์
แนวทางดำเนินการความมั่นคงปลอดภัยไซเบอร์ระดับชาติ มีแนวความคิดมาจาก กรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ของสหรัฐ (NIST Cybersecurity Framework) ดังรูปที่ 4 โดยจะเห็นปรากฏอยู่ในมาตรา 13 ของ พ.ร.บ.

ดังนั้น แนวทางในการดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ ควรจะสอดคล้องกับ NIST Cybersecurity Framework ดังกล่าว ควรมี Key Activities ดังต่อไปนี้ (ดูรูปที่ 5)

 กำหนดแนวทางการกำกับดูแลด้านไซเบอร์ (Cybersecurity Governance & Cyber Resilience)
 กำหนดโครงสร้างการกำกับดูแล นโยบายด้านความมั่นคงปลอดภัยไซเบอร์ และกรอบการดำเนินงาน/กรอบมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Framework)
 กำหนดกรอบการบริหารความเสี่ยง การประเมินความเสี่ยงด้านภัยคุกคามไซเบอร์
(Cybersecurity Risk Assessment, Cybersecurity Maturity Assessment)
 กำหนดแนวทางบริหารจัดการความเสี่ยงของผู้ให้บริการ Supply Chain Risk Management
 ทดสอบด้านความมั่นคงปลอดภัย การตรวจสอบช่องโหว่และทดสอบเจาะระบบสำคัญ
 ตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Audit)
 พัฒนา วิธีปฏิบัติ ขั้นตอนปฏิบัติ คู่มือการปฏิบัติงานและการเฝ้าระวัง (ในภาวะปกติและในภาวะฉุกเฉิน)
 สร้างความตระหนักภัยคุกคามไซเบอร์ การเสริมสร้างความรู้ให้กับผู้บริหารและผู้ปฏิบัติงาน
 จัดให้มีระบบเฝ้าระวังและจัดการภัยคุกคามไซเบอร์
 พัฒนาแผนบริหารจัดการเหตุการณ์ภัยไซเบอร์ (Cybersecurity incident response plan)
 พัฒนาแผนรองรับภัยคุกคามไซเบอร์ระดับไม่ร้ายแรง ระดับร้ายแรง ระดับวิกฤติ
 กำหนดกรอบการประสานกับ Thai-CERT, TB-CERT, Sector-based CERT หน่วยงานกำกับดูแล ฯลฯ
 แจ้งรายชื่อเจ้าหน้าที่ระดับบริหารและระดับปฏิบัติการ เพื่อประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ไปยังสำนักงาน
 แจ้งรายชื่อและข้อมูลการติดต่อของเจ้าของกรรมสิทธิ์ ผู้ครอบครอง ผู้ดูแลระบบ (หลังจากมีประกาศฯ)

ภาพรวมแนวทางในการดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีแนวคิดมาจาก หลักการด้านการคุ้มครองข้อมูลส่วนบุคคล OECD Privacy Principles ทั้ง 8 ข้อ และ กฏหมาย GDPR ของสหภาพยุโรป

องค์กรควรมีการจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) มีการจัดทำแนวปฏิบัติ (ข้อปฏิบัติ) ในการคุ้มครองข้อมูลส่วนบุคคล โดยนโยบายคุ้มครองข้อมูลส่วนบุคคลขององค์กรควรสอดคล้องกับหลักการด้านการคุ้มครองข้อมูลส่วนบุคคล OECD Privacy Principles ทั้ง 8 ข้อ (ดรูปที่ 6) ได้แก่
1. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด
2. คุณภาพของข้อมูลส่วนบุคคล
3. การระบุวัตถุประสงค์ในการเก็บรวบรวม
4. ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้
5. การรักษาความมั่นคงปลอดภัย
6. การเปิดเผยเกี่ยวกับการดำเนินการแนวปฏิบัติ และนโยบายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
7. การมีส่วนร่วมของเจ้าของข้อมูล
8. ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล

การดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ควรมี Key Activities ดังต่อไปนี้ (ดูรูปที่ 7)
 กำหนดแนวทางการกำกับดูแลในการคุ้มครองข้อมูลส่วนบุคคล
 กำหนดโครงสร้างการกำกับดูแล นโยบายการคุ้มครองข้อมูลส่วนบุคคล และกรอบการดำเนินงาน
 กำหนด “ผู้ควบคุมข้อมูลส่วนบุคคล” “ตัวแทน”
 กำหนด “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (DPO Data Protection Officer)
 กำหนด “ผู้ประมวลผลข้อมูลส่วนบุคคล “ตัวแทน”
 พิจารณาข้อมูลต่าง ๆ ของธนาคาร เพื่อกำหนด “ข้อมูลส่วนบุคคล” ที่ต้องดำเนินการตามกฎหมายหรือกฎเกณฑ์ที่ประกาศบังคับใช้
 พัฒนากรอบการกำกับดูแลและบริหารจัดการข้อมูลระดับองค์กร (Data Governance, Data Management, Data Protection)
 พัฒนากรอบการบริหารความเสี่ยง การประเมินความเสี่ยง การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Privacy/Data Protection Impact Assessment, Risk Assessment)
 กำหนด Business Owner, Data Owner, Data Protection Officer
 วิพัฒนาธีปฏิบัติ ขั้นตอนปฏิบัติ คู่มือการปฏิบัติงานในการคุ้มครองข้อมูลส่วนบุคคล
 สร้างความตระหนัก การเสริมสร้างความรู้ให้กับผู้ปฏิบัติงาน
 กำหนดกรอบการประสานกับหน่วยงานกำกับดูแล หน่วยงานภาครัฐ และหน่วยงานความร่วมมืออื่นๆ

ผู้เขียนแนะนำว่า การเตรียมพร้อมกับ พ.ร.บ. ทั้งสองฉบับ ควรรีบเตรียมการตั้งแต่วันนี้ ก่อนที่หน่วยงานกำกับจะเริ่มดำเนินการตรวจสอบ หรือ ก่อนที่จะมีเหตุไม่พึงประสงค์เกิดขึ้นในองค์กรของเรา

เพราะเหตุใดจึงต้องจัดทำกฎหมายเทคโนโลยีสารสนเทศ

กฎหมายทางเทคโนโลยีสารสนเทศมีกี่ประเภท อะไรบ้าง

กฎหมายใดจัดทำเพื่อรองรับอาชญากรรมทางเทคโนโลยีสารสนเทศ

กฏหมายเทคโนโลยีสารสนเทศของประเทศไทยเริ่มใช้เมื่อใด