ศึกษาความเป็นไปได้ในการนำข้อมูลสารสนเทศจากการให้บริการอินเทอร์เน็ตมาวิเคราะห์และประมวลผลเพื่อใช้ในการกำกับดูแล

Abstract

โครงการจ้างที่ปรึกษาเพื่อศึกษาความเป็นไปได้ในการนำข้อมูลสารสนเทศจากการให้บริการอินเทอร์เน็ตมาวิเคราะห์และประมวลผลเพื่อใช้ในการกำกับดแล มีวัตถุประสงค์ 1. เพื่อศึกษาความเป็นไปได้ในการนำข้อมูลสารสนเทศจากการให้บริการอินเทอร์เน็ตมาวิเคราะห์ และประมวลผลเพื่อใช้ในการกำกับดูแล 2. เพื่อทราบถึงความเหมาะสมของการจัดให้มีระบบจัดเก็บข้อมูลสารสนเทศจากการให้บริการอินเทอร์เน็ตในรูปแบบของศูนย์ข้อมูล (Data Center) ที่มีมาตรฐาน เพื่อรองรับภารกิจในการจัดเตรียมความพร้อมด้านข้อมูลซึ่งต้องสามารถนำส่งตามกฎหมาย 3. เพื่อทราบว่าข้อมูลสารสนเทศที่เกิดจากการให้บริการอินเทอร์เน็ต มีรายละเอียดใดบ้างเหมาะสมจะนำมาใช้ในการกำกับดูแลให้บริการอินเทอร์เน็ตต่อไป โดยที่ปรึกษามีการแบ่งการศึกษาออกเป็น 3 ส่วน ดังนี้ 1. ความพร้อมทางด้านกฎหมาย (Legal Availability) 2. ความพร้อมทางด้านเทคนิค (Technical Availability) 3. ความพร้อมทางด้านกระบวนการ (Process Availability) โดยมีรายละเอียดดังต่อไปนี้ ความพร้อมทางด้านกฎหมาย (Legal Availability) ทางที่ปรึกษามีการศึกษาโดยสามารถสรุปว่า ในปัจจุบันคณะกรรมการ กสทช. และสำนักงาน กสทช. มีอำนาจในการเรียกข้อมูลจากผู้ประกอบกิจการเพื่อมาใช้ในการดำเนินภารกิจในการกำกับการประกอบกิจการได้ และต้องเพื่อวัตถุประสงค์ในการกำกับดูแลกิจการโทรคมนาคมเท่านั้น ซึ่งทางด้านที่ปรึกษาได้ทำการพิจารณาข้อกฎหมายเพื่อให้ครอบคลุมทุกลักษณะที่จะเกิดข้อพิพาทได้โดยแบ่งออกเป็นการพิจารณาทางกฎหมาย 6 หัวข้อดังนี้ 1. ข้อพิจารณาทางกฎหมายเกี่ยวกับอำนาจของคณะกรรมการ กสทช. และสำนักงาน กสทช. ในการจัดเก็บข้อมูลสารสนเทศจากการใช้บริการอินเทอร์เน็ต สรุปว่าควรแก้ไขในมาตรา 32/1 การเรียกให้ผู้รับใบอนุญาตส่งข้อมูลสารสนเทศจากการใช้บริการอินเทอร์เน็ตตามมาตรา 27 (22/1) จะกระทำได้ก็แต่เพื่อประโยชน์สาธารณะ ดังต่อไปนี้ 1.1 เพื่อประโยชน์ในกระบวนการยุติธรรม 1.2 เพื่อประโยชน์ด้านการสาธารณสุข 1.3 เพื่อประโยชน์ด้านการผังเมืองหรือการบริหารจัดการเมือง 1.4 เพื่อประโยชน์อื่นตามที่กำหนดไวในพระราชกฤษฏีกา 2. ข้อพิจารณาทางกฎหมายเกี่ยวกับระยะเวลาในการจัดเก็บข้อมูล ทางที่ปรึกษาเสนอให้แก้ไขบทบัญญัติในกฎหมาย 2 ฉบับ คือพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และประกาศ กสทช. เรื่องคุ้มครองข้อมูลส่วนบุคคล เพื่อขยายเวลาในการจัดเก็บไม่น้อยกว่า 20 ปี 3. ข้อพิจารณาทางกฎหมายเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล สรุปว่าสามารถดำเนินการได้ตามข้อยกเว้นข้อที่ 23 แห่ง GDPR แต่ต้องกระทำด้วยความจำเป็นและได้สัดส่วนโดยมีการออกกฎเกณฑ์อย่างเหมาะสม กสทช. อีกทั้งกฎหมายมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หาก กสทช. ต้องมีการดำเนินการเก็บและใช้ข้อมูลจราจรคอมพิวเตอร์ที่ระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม เพื่อให้ไม่จัดว่าเป็นข้อมูลส่วนบุคคล แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ซึ่งการเก็บ การใช้ ข้อมูลส่วนบุคคลดังกล่าว จะสามารถนำข้อมูลมาใช้ได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูล 4. ข้อพิจารณาทางกฎหมายเกี่ยวกับการเปิดเผยข้อมูล ได้ข้อสรุปว่า ควรแก้ไขเพิ่มเติมพระราชบัญญัติองค์กรจัดสรรคลื่นความถี่ฯ มาตรา 31/2 เพื่อประโยชน์สาธารณะ ตามมาตรา 31/1 แล้ว ในการเปิดเผยข้อมูลสารสนเทศจาการใช้บริการอินเทอร์เน็ตต่อหน่วยงานอื่นของรัฐ ในกรณที่ไม่เกี่ยวข้องกับการดำเนินการตามกระบวนการยุติธรรม ให้ กสทช. ดำเนินการเพื่อปกปิดตัวผู้ใช้บริการแต่ละรายเพื่อคุ้มครองสิทธิความเป็นส่วนตัวของบุคคลผู้เป็นเจ้าของข้อมูล 5. ข้อพิจารณาเกี่ยวกับผู้มีหน้าที่ในการจัดเก็บข้อมูล สามารถแบ่งออกได้เป็น 3 รูปแบบ ดังนี้ 5.1 แนวทางให้สำนักงาน กสทช. เป็นผู้จัดการเก็บข้อมูลด้วยตนเอง 5.2 แนวทางกำหนดให้ผู้ให้บริการเป็น ผู้จัดเก็บข้อมูล 5.3 แนวทางการให้หน่วยงานของรัฐอื่นเป็นผู้จัดเก็บข้อมูล 6. ข้อพิจารณาด้านความพร้อมในด้านรูปแบบการจัดเก็บข้อมูล ได้ข้อสรุปว่า กสทช. จำเป็นต้องกำหนดแบบมาตรฐานในการจัดเก็บข้อมูล โดยการประกาศเพื่อให้มีสภาพบังคับทางกฎหมายเพื่อให้ครอบคลุมลักษณะของการเก็บข้อมูลที่แตกต่างกันของแต่ละผู้ประกอบกิจการให้บริการอินเทอร์เน็ต ความพร้อมทางด้านเทคนิค (Technical Availability) ทางที่ปรึกษามีการศึกษาโดยสามารถแบ่งออกได้เป็น 3 ข้อดังต่อไปนี้ 1. ความเป็นไปได้ด้านโครงสร้างข้อมูลที่จัดเก็บ ทางที่ปรึกษากำหนดโครงสร้างออกเป็น 3 ส่วน ดังนี้ 1.1 ข้อมูลการลงทะเบียนของผู้ใช้บริการ (Registration) 1.2 ข้อมูลการเข้าใช้ของผู้ใช้บริการ (Authentication) 1.3 ข้อมูลการเข้าใช้งานผ่านเครือข่าย (Access) 2. ความเป็นไปได้ด้านการนำส่งข้อมูล ทางที่ปรึกษาเห็นว่า สำนักงาน กสทช. ควรจัดทำโปรแกรมกลางสำหรับแปลงข้อมูลและเข้ารหัสข้อมูล เพื่อให้การจัดเตรียมข้อมูลเป็นไปในทางเดียวกันรวมถึงลดภาระการจัดเตรียมของผู้ให้บริการ ทั้งนี้เนื่องจากข้อมูลที่จัดส่งมีขนาดใหญ่ รูปแบบการจัดส่งจึงควรเป็นการเชื่อมต่อในรูปแบบ batch processing โดยมีการกำหนดเวลาประมวลผลและส่งข้อมูลผ่านช่องทางที่มีการเข้ารหัส รวมถึงมีการกำหนดความเร็วสูงสุดระหว่างการส่งผ่านข้อมูล เพื่อไม่ให้เกิดปัญหาด้านคุณภาพการให้บริการของผู้ให้บริการเอง 3. ความเป็นไปได้ด้านการรักษาความปลอดภัยของข้อมูล ทางที่ปรึกษาเห็นว่ามีประเด็นที่คำนึงถึงดังต่อไปนี้ 1. การเตรียมข้อมูลของผู้ให้บริการจะมีความสำคัญเพราะมีข้อมูลส่วนตัวของผู้ใช้บริการที่ควรต้องให้ความสำคัญและปกปิดเป็นความลับ 2. การนำส่งข้อมูลจะต้องมีมาตรฐานความปลอดภัยของข้อมูลระหว่างการนำส่ง 3. การเก็บรักษาข้อมูลในศูนย์ข้อมูล จะต้องการออกแบบตามมาตรฐานของ Data Center ในระดับ Tier 3 ซึ่งที่ปรึกษาเห็นว่ามีความเหมาะสมในระยะเริ่มต้นโครงการ ความพร้อมทางด้านกระบวนการ (Process Availability) ทางที่ปรึกษามีการศึกษาโดยสามารถแบ่งออกได้เป็น 3 ข้อดังต่อไปนี้ ความคุ้มค่าในการลงทุน ทางที่ปรึกษาพิจารณาจาก 2 ประเด็น คือ 1.1 ความสำคัญในกระบวนการการจัดเก็บข้อมูล 1.2 การนำข้อมูลจัดเก็บไปต่อยอดในการใช้พัฒนาประเทศในด้านต่าง ๆ ในอนาคต 2. แนวทางเลือกจากที่ปรึกษา มีดังนี้ 2.1 การพัฒนาดาต้าเซ็นเตอร์โดย กสทช. โดยใช้เงินทุนจากการจัดสรรงบประมาณประจำปีของ กสทช. และ/หรือเงินทุนจากกองทุนวิจัยและพัฒนากิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม เพื่อประโยชน์สาธารณะ (กทปส.) ที่มีรายรับตามมาตรา53 2.2 การพัฒนาดาตาเซ็นเตอร์โดย กสทช. ร่วมลงทุนกับเอกชน ( Public Private Partnership: PPP) ซึ่งต้องมีการดำเนินการตามพระราชบัญญัติการให้เอกชนร่วมลงทุนในกิจการของรัฐ พ.ศ. 2556 2.3 การพัฒนาดาตาเซ็นเตอร์โดยให้เอกชนเป็นผู้ลงทุนเองทั้งหมด โดยภาคเอกชนจะเป็นผู้ลงทุนพัฒนาดาต้าเซ็นเตอร์และรับผิดชอบข้อมลทั้งหมดภายใต้มาตรฐานและกฎหมายที่ภาครัฐกำหนดขึ้น 2.4 การพัฒนาดาต้าเซ็นเตอร์โดยการจัดตั้งหน่วยงานใหม่โดยใช้งบประมาณประจำปี การจัดตั้งหน่วยงานเฉพาะขึ้นเพื่อกิจการดาต้าเซ็นเตอร์ ซึ่งมีความรับผิดชอบตั้งแต่การพัฒนาก่อสร้าง การดำเนินการ และการซ่อมบำรุง รวมถึงการอัพเกรด (upgrade) อุปกรณ์ต่าง ๆ ภายในดาตาเซ็นเตอร์ 3. นอกจากนี้ทางที่ปรึกษาได้วิเคราะห์ความคุ้มค่าในการลงทุนและนำแนวคิดต่าง ๆ เข้ามาใช้ในการวิเคราะห์ เช่น ความคิดความเสมอภาคทางอินเทอร์เน็ต (Net Neutrality) และแนวความคิดความไม่เสมอภาคทางอินเทอร์เน็ต The consultant has been employed conduct a feasibility study about employing the mobile phone usage related information for the governance purposes. The objectives of this study are 1. To conduct a feasibility study to employ the internet log data for NBTC’s governance purposes. 2. To acquire knowledge about the specifications, processes, formats and standards required for the information storage system to be prepared in the data center in accordance with the law. 3. Finally, NBTC Office can acknowledge the details and forms of the information retrieved from the internet log and its suitability for further supervising purposed. The project consultant divided this study into 3 parts which are 1. Legal Availability 2.Technical Availability 3.Process Availability. All 3 parts have details: Legal Availability The consultant conducted a study which can be concluded that, at the present, NBTC has limited authority to retrieve the data from business operators for the purpose of supervision of such business. The domain of NBTC’s power is limited to the supervision of telecommunication business only. The consultant has carefully considered the law to cover all disputes that may happen by dividing the legal considerations into 6 topics as follows: 1. Legal Considerations Related to the Authority of the NBTC in Retaining the Data Retrieved from Internet Service Providers “Section 32/1 Licensees shall be requested to submit the data obtained from internet services under Section 27 (22/1) for the following public benefits only: (1) For the benefit of judicial process. (2) For the benefit of public health. (3) For the benefit of urban planning or urban management. (4) For other benefits stipulated in the Royal Decree. 2. Legal Considerations Regarding Data Retention Period. For this reason, it is recommended that the legal provisions in 2 laws, which are Computer Crime Act, B.E 2550 (2007) and NBTC’s Notification Re: Personal Data Protection, to extend the retention period of at least 20 years. 3. Legal Consideration Regarding Personal Data Protection Standards. It allowed to do so under the exemption no. 23 of GDPR provided that such retention shall be performed necessarily and supported by issuance of appropriate. Moreover, according to the standards of personal data protection under Personal Data Protection Act, B.E. 2562 (2019), if NBTC collects and use identifiable computer traffic data, either directly or indirectly, such data shall be deemed as “Personal Data” under Section 6 of Personal Data Protection Act, B.E.2562 (2019), stating that “Personal Data” means any data regarding a person which can be used to identify such person, either directly or indirectly, excluding the data of the dead. NBTC can collect and use such Personal Data without consent from data. 4. Legal Considerations Regarding Data Disclosure “Section 31/2 For the public benefits under Section 31/1, in disclosing data from inter services to other government agencies which is not related to judicial process, NBTC shall anonymize the data of each service user to protect privacy of the data owner” 5. Legal Considerations Regarding Data Retention in Charge Person. It can be divided into 3 patterns, which are. (1) Office of the NBTC retains data by itself. (2) Service providers retain the data. (3) Other government agencies retain the data. 6. Legal Considerations Regarding Preparedness of Data to be Retained. It can be concluded that the standards of data retention shall be issued for legal which causes to cover the different data retention of each entrepreneur providing internet services. Technical Availability The consultant divided this part into 3 feasibilities, as follows: 1. Feasibility of Attributes of the Retained Data. (1) Data of registration of service users. (2) Authentication data. (3) Access data 2. Feasibility of Data Transmission Process. Office of the NBTC should setup the central system to convert and encrypt the data. This is to ensure consistency of data preparation and lessen service providers’ burden. Since the data to be transmitted is fairly big, it should be transmitted through batch processing with fixed time of processing and transmission through encrypted channels as well as determining maximum speed of data transmission to prevent any problems regarding the quality of service providers’ service. 3. Feasibility of Data Security Standards. (1) Service providers’ data preparation. (2) Data transmission: should have standard of data security during transmission. (3) Data retention at the Data Center: design in accordance with the standards of the Data Center at tier 3 level which is deemed appropriate at the initial stage by the consultant. Process Availability It can divided into 3 parts, as follows: 1. Investment Worthiness. This part can be considered from 2 points: (1) Importance in data retention process (2) Retained data can be used for further development of the country in various aspects in the future 2. Consultant’s Recommendations. Alternative 1: Data Center is developed by NBTC, funding from NBTC’s annual budget and/or from the Broadcasting and Telecommunications Research and Development Fund for the Public Interest (BTFP), which has the income under Section 53. Alternative 2: Data Center is developed and financed by a co-investment between the NBTC and other private investors (Public Private Partnership: PPP), conducted under Private Investments in State Undertakings Act, B.E. 2556 (2013). Alternative 3: Data enter is developed by sole investment of private sector. For this choice, the private sector shall invest in Data Center development and be responsible fully for all data under the standards and laws determined by the government. Alternative 4: Data Center is developed by a newly established agency, funding by the NBTC’s annual budget. This choice proposes establishment of a specific agency to be in charge of Data Center business. This agency shall be responsible for development of the construction, operation and maintenance, as well as device upgrades in the Data Center. 3. In addition, the consultant made an analysis in terms of investment worthiness and applied various concepts into the analysis such as the concept of Net Neutrality the idea of Net Non-neutrality.