กรณีศึกษา: โจรกรรมสุดไฮเทค แฮกเกอร์เจาะระบบฐานข้อมูลบริษัทมือถือรายใหญ่ กับตัวบทกฎหมาย และบทวิเคราะห์ร่างพ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ตอนที่ 1
ช่วงนี้ประเทศไทยของเรามีเหตุการณ์สำคัญๆ เกี่ยวกับเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์เกิดขึ้นหลายเรื่อง มีทั้งข่าวดีและข่าวร้าย สำหรับข่าวดีก็คือ ทางสภานิติบัญญัติแห่งชาติ หรือสนช.ได้พิจารณาการประชุมผ่านร่าง พ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์แล้ว ในวันที่ 9 พฤษภาคม พ.ศ. 2550 ซึ่ง มีผลบังคับใช้ภายหลังประกาศใช้ในราชกิจจานุเบกษา ๓๐ วัน (ม.๒) แต่สำหรับข่าวร้ายก็คือ วันที่ 15 พฤษภาคม พ.ศ. 2550 ทางกองปราบได้แถลงการณ์จับกุม นายทวีทรัพย์ หรือ ภูมิพัฒน์ หรือโอ๋ ลลิตศศิวิมล ในฐานะแฮกเกอร์เจาะระบบข้อมูลของบริษัท แอดวานซ์อินโฟร์เซอร์วิส จำกัด (มหาชน) หรือเอไอเอส หนึ่งในบริษัทผู้ให้บริการเครือข่าย โทรศัพท์เคลื่อนที่ยักษ์ใหญ่ของประเทศไทย โดยการขโมยรหัสผ่าน แก้ไขวงเงินบัตรเติมเงิน ทำให้บริษัทเสียหายนับร้อยล้านบาท ซึ่งพบประวัติว่าเคยเจาะฐานข้อมูลของบริษัท ทรู มาแล้ว เช่นเดียวกัน
สำหรับหลายคนถือเป็นข่าวดีที่จับแฮกเกอร์ได้ แต่ข่าวร้ายคือกฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์นั้นยังไม่มีผลบังคับใช้ แม้ว่าจะผ่านการพิจารณาของสนช.แล้วก็ตาม ทางตำรวจคงต้องใช้กฎหมายเก่าในการจับกุมและสั่งฟ้องแฮกเกอร์รายนี้ไปก่อน ในขณะที่เจ้าตัวยังให้การปฏิเสธทุกข้อกล่าวหา เรื่องการเจาะระบบฐานข้อมูลบริษัทใหญ่ๆ นั้น ไม่ใช่เรื่องใหม่ หากแต่เป็นเรื่องที่เกิดขึ้นมาสองสามปีแล้ว ปัญหาใหญ่ในบ้านเราก็คือ ความตระหนักในเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ของผู้บริหาร ตลอดจนผู้ใช้งานคอมพิวเตอร์ตามสำนักงานและตามบ้านทั่วไป ยังอยู่ในระดับที่ต่ำมาก ทั้งนี้การโจมตีสมัยใหม่ของแฮกเกอร์นั้นหันมาโจมตีในลักษณะ “Targeted Attack” ที่มีเป้าหมายชัดเจน มุ่งประโยชน์ทางด้านการเงินเป็นหลัก ตลอดจนเป้าหมายของแฮกเกอร์ (เหยื่อ) ก็จะมุ่งไปที่ผู้ใช้คอมพิวเตอร์และผู้บริหารที่ไม่ค่อยมีความรู้ด้านความปลอดภัยข้อมูลเพียงพอ ด้วยวิธีการต่างๆ เช่น การใช้เทคนิค Social Engineering ในการหลอกล่อผู้ใช้คอมพิวเตอร์ด้วยการส่งอีเมล์แบบแปลกๆ โดยให้เป้าหมายลอง “Click” หรือ “Open” ไฟล์แนบ (attached file) ที่เป็นไฟล์โปรแกรมของแฮกเกอร์ในลักษณะของม้าโทรจัน (Trojan Horse) หรือสปายแวร์การหาข้อมูลอีเมล์แอดเดรสของเป้าหมายในการส่งโปรแกรมมุ่งร้าย “MalWare” นั้นก็ง่ายมาก แค่เพียงเข้ากูเกิ้ลแล้วพิมพ์ “@” ตามด้วยชื่อโดเมนเนม ก็สามารถหาอีเมล์ได้โดยง่าย เช่น “@abc.com” เป็นต้น จากนั้นแฮกเกอร์ก็จะส่งโปรแกรมมัลแวร์หลอกเข้ามาให้ผู้ใช้เปิดอีเมล์ดู ซึ่งส่วนใหญ่ไฟล์แนบจะมีนามสกุลที่ไม่น่าไว้วางใจ เช่น *.EXE, *.COM,*.SCR,*.PIF,*.HTA,*.VBS หรือแม้กระทั่ง *.ZIP บางไฟล์เป็นมัลแวร์ก็มี ดังนั้นองค์กรควรเตือนผู้ใช้งานคอมพิวเตอร์ไม่ให้หลงกลเปิดไฟล์แนบในอีเมล์ดังกล่าว
นอกจากนี้แฮกเกอร์ยังชอบใช้วิธีที่เรียกว่า “Phishing” หรือ “Pharming” ในการหลอกให้ผู้ใช้คอมพิวเตอร์หรือผู้ทำธุรกรรมออนไลน์ เช่นผู้ใช้อินเทอร์เน็ตแบงก์กิ้งหลงเชื่อว่าเป็นอีเมล์มาจากธนาคาร โดยหลอกให้ผู้ใช้เข้าไป “Login” ในหน้าเว็บไซต์ที่แฮกเกอร์ได้ทำหลอกขึ้นมา หลังจากผู้ใช้หลงกล แฮกเกอร์ก็จะได้ข้อมูล ชื่อผู้ใช้ และรหัสผ่านของผู้ใช้อย่างง่ายดาย วิธีการนี้เรียกว่า “Identity Theft” หรือการขโมยความเป็นตัวตนของเราไปใช้ในทางที่ไม่ถูกต้อง เช่น แอบดูข้อมูลส่วนตัว หรือเข้ามาโอนเงินจากบัญชีของเราไปชำระค่าสาธารณูปโภค หรือ ใช้จ่ายในการซื้อบัตรเติมเงิน เป็นต้น ขณะนี้ธนาคารในประเทศไทยโดนโจมตีแบบนี้ไปแล้วสองแห่ง แต่ได้รับการแก้ไขแล้วครับ
ดังนั้น เราต้องคอยหมั่นตรวจสอบ Bank Statement หรือ Credit Card Statement ของเราอยู่เสมอ และไม่หลงเชื่อการหลอกลวงในลักษณะนี้ง่ายๆ ดังนั้นการฝึกอบรม “Information Security Awareness Training” จึงเป็นเรื่องที่จำเป็นอย่างยิ่งยวดขององค์กร เพื่อให้ผู้ใช้คอมพิวเตอร์เกิดความตระหนักถึงภัยมืดที่กำลังเข้ามากระทบกับตนเอง ครอบครัว ตลอดจนองค์กรที่ตนทำงานอยู่ จนไปถึงผลกระทบในระดับความมั่นคงของชาติซึ่งมีความเป็นไปได้สูง หากเรายังไม่ให้ความสำคัญกับเรื่องนี้อย่างจริงจัง
การป้องกันภัยจากอินเทอร์เน็ตทั้งภัยจากแฮกเกอร์และภัยจากไวรัส หรือมัลแวร์ต่างๆ นั้นในต่างประเทศ เช่น ประเทศมาเลเซีย, สิงคโปร์, ฮ่องกง, ญี่ปุ่น และเกาหลีไต้ จากการที่ผู้เขียนได้มีโอกาสเข้าร่วมประชุมในฐานะสมาชิกของ (ISC)2 Asian Advisor Board (www.isc2.org) ครั้งล่าสุดที่ประเทศมาเลเซีย พบว่าทุกประเทศมีหน่วยงานที่ทำหน้าที่ด้านความปลอดภัยข้อมูลโดยตรง เช่น ในประเทศมาเลเซียมีหน่วยงาน CyberSecurity Malaysia (ชื่อเดิม NISER) ซึ่งมี MyCERT อยู่ภายใต้ CyberSecurity Malaysia อีกทีหนึ่ง เป็นหน่วยงานของรัฐบาลกลางภายใต้การควบคุมของกระทรวงวิทยาศาสตร์และเทคโนโลยีของมาเลเซีย ทำหน้าที่ในการประเมินความเสี่ยงให้หน่วยงานภาครัฐ โดยการจัดทำ Vulnerability Assessment ให้กับหน่วยงานภาครัฐโดยไม่คิดค่าใช้จ่าย ซึ่งในประเทศสิงคโปร์ก็มี SingCERT ภายใต้ IDA (Infocomm Development Authority) ซึ่งเป็นหน่วยงานของรัฐบาล ช่วยในการประเมินความเสี่ยง โดยการเจาะระบบของหน่วยงานรัฐด้วยกัน (Penetration Testing) โดยไม่มีค่าใช้จ่ายแต่อย่างใด และ หน่วยงานของรัฐทั้ง 2 ประเทศ ทั้ง SingCERT และ MyCERT นั้น ได้บริการเฉพาะภาครัฐโดยไม่มีค่าใช้จ่าย แต่ทั้งสองหน่วยงานจะไม่ให้บริการแก่บริษัทเอกชนทั่วไป เพราะไม่อยากให้เกิดปัญหา “Conflict of Interest” โดยไม่ไปเสนอราคาให้บริการดังกล่าวแข่งกับเอกชน โดยการประเมินความเสี่ยงของบริษัทเอกชนนั้นถือเป็นการให้บริการของบริษัทที่ปรึกษาเอกชนที่มีศักยภาพในการประเมินความเสี่ยงที่ได้มาตรฐาน จึงทำให้ไม่เกิดปัญหาระหว่างรัฐและเอกชน สำหรับประเทศไทยของเรานั้นมีเหตุการณ์การโจมตีระบบเกิดขึ้นหลายกรณีทั้งภาครัฐและเอกชนในช่วงสองสามปีที่ผ่านมา และมีแนวโน้มที่จะรุนแรงมากยิ่งขึ้น
ดังนั้นการจัดตั้งหน่วยงานของรัฐด้านความปลอดภัยกับข้อมูลโดยตรงในประเทศไทย เพื่อให้บริการแก่ภาครัฐด้านการประเมินความเสี่ยงในเบื้องต้นเป็นเรื่องสำคัญอย่างยิ่ง ในประเทศของเราซึ่งในขณะนี้ยังไม่มีหน่วยงานดังกล่าว ในส่วนของภาคเอกชน บริษัทเอกชนควรที่จะพัฒนาศักยภาพในการให้บริการด้านการประเมินความเสี่ยงระบบสารสนเทศ และ ด้านการตรวจสอบระบบสารสนเทศในมุมมองของ External Auditor ซึ่งมีความจำเป็นต้องพัฒนาคุณภาพในการบริการให้ใกล้เคียงกับบริษัทข้ามชาติ ขณะที่ราคาควรต่ำกว่า เพราะงบประมาณด้านความปลอดภัยกับข้อมูลขององค์กรในประเทศไทยนั้นถือว่าต่ำมาก เมื่อเทียบกับประเทศอื่นๆ ตลอดจน การให้ความสำคัญกับองค์ประกอบทั้ง 3 องค์ประกอบที่สำคัญคือ People, Process และ Technology หรือ PPT Concept ปัญหาใหญ่ในบ้านเราก็คือ การให้ความสำคัญกับ T หรือ Technology ในการจัดซื้อจัดสร้างอุปกรณ์ฮาร์ดแวร์และซอฟต์แวร์ต่างๆ มากเกินไป โดยลืมนึกถึง 2 P ที่เหลือ โดย P แรกก็คือ People หรือบุคลากร ซึ่งเป็นส่วนประกอบที่สำคัญที่สุด
บุคลากรหรือพนักงานที่ใช้คอมพิวเตอร์ทุกคนควรมีความเข้าใจพื้นฐานด้านความปลอดภัยข้อมูลในระดับหนึ่ง โดยผ่านการอบรม Information Security Awareness Training Course ในทุกๆ ปี โดยการอบรมไม่จำเป็นจะต้องอบรมเฉพาะพนักงานใหม่เท่านั้น แต่ควรอบรมให้ความรู้แก่ทุกคนที่มีคอมพิวเตอร์ใช้ เพื่อจะได้ไม่ตกเป็นเหยื่อภัยดังกล่าว สำหรับอีก P ที่สำคัญก็คือ “Process” หรือ “Policy” กล่าวคือกระบวนการปฏิบัติ และนโยบายที่ดี (Policy and Procedure) ก็มีส่วนสำคัญในการรักษาความปลอดภัยข้อมูลเช่นกัน โดยองค์กรอาจนำ “Best Practices” มาประยุกต์ใช้ เช่น มาตรฐาน CobiT 4.1, ISO/IEC 27001 และ มาตรฐาน ISO/ IEC 20000 (มาจากมาตรฐาน ITIL) มาประยุกต์ใช้ในองค์กร เพื่อให้ได้ตามมาตรฐานสากล ตลอดในการคำนึงถึงเรื่องของการปฏิบัติตามกฎข้อบังคับและกฎหมายต่างๆ ที่เราเรียกว่า “Regulatory Compliance”
ในกรณีของประเทศไทย เราควรศึกษา พ.ร.บ.ธุรกรรมอิเล็กทรอนิกส์ และพ.ร.บ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ที่กำลังจะประกาศใช้ในเร็ววันนี้ เพื่อเตรียมคนและองค์กรให้พร้อมรับกับข้อกำหนดกฎหมาย เช่น ในมาตรา 26 กล่าวว่า “ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า เก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่ง ให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้” องค์กรจึงควรเตรียมการให้พร้อม เช่น การจัดเตรียม Centralized Log Server ไว้เก็บข้อมูลจราจร เป็นต้น
จากการวิเคราะห์พบว่า
มาตรา 5 ถึง มาตรา 10 เป็นการนำหลักการ CIA (Confidentially, Integrity และ Availability) มาประยุกต์ใช้กับการโจมตีของผู้ไม่หวังดีในแบบต่างๆ เช่น การเจาะระบบเข้าไปแอบขโมยสำเนาข้อมูล, การแอบดูชื่อและรหัสผ่านโดยใช้โปรแกรมประเภท Sniffer หรือการโจมตีเปลี่ยนหน้าเว็บไซต์ (Web Defacement, see www.zone-h.org ) ตลอดจนการโจมตีให้เว็บไซต์ล่ม (Denial of Services) ล้วนแต่เข้าข้อกฎหมายในมาตรา 5 ถึง มาตรา 10 ทั้งสิ้น ซึ่งมีโทษทั้งจำทั้งปรับ
มาตรา 11 นั้น เกี่ยวข้องโดยตรงกับผู้ที่ชอบส่ง “SPAM Mail” ซึ่งมีโทษปรับไม่เกินหนึ่งแสนบาท
มาตรา 12 เป็นการกระทำผิดที่มีโทษในกรณีที่มีผลกระทบต่อความมั่นคงทางเศรษฐกิจของประเทศหรือบริการสาธารณะ โทษสูงสุดถึงจำคุก 15 ปี และปรับถึง 3 แสนบาท แต่ถ้าหากทำให้ผู้อื่นถึงแก่ความตาย โทษจะสูงสุดถึงจำคุก 20 ปีเลยทีเดียว
มาตรา 14 ถึง 16 นั้น ผู้ใช้คอมพิวเตอร์ ตลอดจนผู้ให้บริการตามข้อกำหนดของกฎหมาย ต้องระมัดระวังไม่ให้ข้อมูลอัน “ไม่เหมาะสม” ปรากฏอยู่บนอินเทอร์เน็ตในลักษณะการปรากฏของตัวข้อมูลเอง เช่น รูปภาพ หรือ ข้อความ ที่ถูก Upload ขึ้นไป รวมถึง Link ที่พาไปยังข้อมูลดังกล่าวด้วย เพราะฉะนั้นท่านที่ชอบ Forward Mail โดยไม่ระวังอาจเข้าข้อกฎหมายในมาตราที่ 14 ข้อ 5 ซึ่งมีโทษจำคุกไม่เกิน 5 ปี หรือ ปรับไม่เกิน 1 แสนบาท หรือ ทั้งจำทั้งปรับ
สำหรับ พ.ร.บ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ล่าสุดที่ได้รับการพิจารณาผ่านจากทางสนช.นั้นมีประเด็นสำคัญที่ต้องวิเคราะห์และทำความเข้าใจในหลายประเด็น เริ่มจากตัวบทกฎหมายซึ่งมีรายละเอียดดังนี้
ร่างพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. …
มาตรา ๕ ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกัน การเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๖ ผู้ใดล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะ ถ้านำมาตรการดังกล่าวไปเปิดเผยโดยมิชอบในประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๗ ผู้ใดเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินสองปี หรือปรับไม่เกิน สี่หมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๘ ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์
เพื่อดักรับไว้ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้ ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๙ ผู้ใดทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
มาตรา ๑๐ ผู้ใดกระทำด้วยประการใดโดยมิชอบ เพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทำงานตามปกติได้ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
มาตรา ๑๑ ผู้ใดส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่น โดยปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข ต้องระวางโทษปรับไม่เกินหนึ่งแสนบาท
มาตรา ๑๒ ถ้าการกระทำความผิดตามมาตรา ๙ หรือมาตรา ๑๐
(๑) ก่อให้เกิดความเสียหายแก่ประชาชน ไม่ว่าความเสียหายนั้นจะเกิดขึ้นในทันทีหรือในภายหลังและไม่ว่าจะเกิดขึ้นพร้อมกันหรือไม่ ต้องระวางโทษจำคุกไม่เกินสิบปี และปรับไม่เกินสองแสนบาท
(๒) เป็นการกระทำโดยประการที่น่าจะเกิดความเสียหายต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะ หรือเป็นการกระทำต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีไว้เพื่อประโยชน์สาธารณะ ต้องระวางโทษจำคุกตั้งแต่สามปีถึงสิบห้าปี และปรับตั้งแต่หกหมื่นบาทถึงสามแสนบาท
ถ้าการกระทำความผิดตาม (๒) เป็นเหตุให้ผู้อื่นถึงแก่ความตาย ต้องระวางโทษจำคุกตั้งแต่สิบปีถึงยี่สิบปี
มาตรา ๑๓ ผู้ใดจำหน่ายหรือเผยแพร่ชุดคำสั่งที่จัดทำขึ้นโดยเฉพาะเพื่อนำไปใช้เป็นเครื่องมือในการกระทำความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรือมาตรา ๑๑ ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ
มาตรา ๑๔ ผู้ใดกระทำความผิดที่ระบุไว้ดังต่อไปนี้ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
(๑) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน
(๒) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน
(๓) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ อันเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา
(๔) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ ที่มีลักษณะอันลามก และข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
(๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์โดยรู้อยู่แล้วว่าเป็นข้อมูลคอมพิวเตอร์ตาม (๑) (๒) (๓) หรือ (๔)
มาตรา ๑๕ ผู้ให้บริการผู้ใดจงใจสนับสนุนหรือยินยอมให้มีการกระทำความผิดตามมาตรา ๑๔ ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษเช่นเดียวกับผู้กระทำความผิดตามมาตรา ๑๔
มาตรา ๑๖ ผู้ใดนำเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจเข้าถึงได้
ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติมหรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ทั้งนี้ โดยประการที่น่าจะทำให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ
ถ้าการกระทำตามวรรคหนึ่ง เป็นการนำเข้าข้อมูลคอมพิวเตอร์โดยสุจริต ผู้กระทำไม่มีความผิด
ความผิดตามวรรคหนึ่งเป็นความผิดอันยอมความได้
ถ้าผู้เสียหายในความผิดตามวรรคหนึ่งตายเสียก่อนร้องทุกข์ ให้บิดา มารดา
คู่สมรส หรือบุตรของผู้เสียหายร้องทุกข์ได้ และให้ถือว่าเป็นผู้เสียหาย
มาตรา ๑๗ ผู้ใดกระทำความผิดตามพระราชบัญญัตินี้นอกราชอาณาจักรและ
(๑) ผู้กระทำความผิดนั้นเป็นคนไทย และรัฐบาลแห่งประเทศที่ความผิดได้เกิดขึ้นหรือผู้เสียหายได้ร้องขอให้ลงโทษ หรือ
(๒) ผู้กระทำความผิดนั้นเป็นคนต่างด้าว และรัฐบาลไทยหรือคนไทยเป็นผู้เสียหายและผู้เสียหายได้ร้องขอให้ลงโทษ จะต้องรับโทษภายในราชอาณาจักร
สำหรับ ตัวบทกฎหมาย และบทวิเคราะห์ในมาตรา 18 ถึง มาตรา 30 ไว้ว่ากันต่อในตอนหน้านะครับ