การจัดเก็บ LOG ตาม พรบ.คอมพิวเตอร์

หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550
การกำหนดประเภทของผู้ให้บริการซึ่งมีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ แบ่งได้ ดังนี้

1. ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น ทั้งนี้ โดยผ่านทางระบบคอมพิวเตอร์ ไม่ว่าจะเป็นการให้บริการในนามของตนเองหรือเพื่อประโยชน์ของบุคคลอื่น

สามารถจำแนกได้ 3 ประเภท ดังนี้

ผู้ประกอบกิจการโทรคมนาคมและการกระจายภาพและเสียง (Telecommunication and Broadcast Carrier)
ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider)
ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือให้เช่าบริการโปรแกรมประยุกต์ต่างๆ (Host Service Provider)
ผู้ให้บริการร้านอินเทอร์เน็ต (Internet Café หรือเกมออนไลน์)

2. ผู้ให้บริการในการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลตาม (๑) เช่น ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชั่นต่างๆ (Content Service Provider)
ให้ผู้ให้บริการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์โดยการใช้วิธีการที่มั่นคงปลอดภัย

ด้วยวิธีการดังต่อไปนี้

ให้เก็บในสื่อ (Media) ที่สามารถรักษาความครบถ้วน (Integrity) และระบุตัวบุคคล (Identification) ที่เข้าถึงสื่อดังกล่าวได้ และจะต้องมีการจัดเก็บ Log อย่างน้อย 90 วัน

ในการเก็บข้อมูลตามข้อ ๗ ข้างต้น ต้องมีระบบในการเก็บรักษาความลับของข้อมูลที่จัดเก็บ และกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้ได้ เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือ ทำ Data Hashing เป็นต้น เพื่อรักษาความน่าเชื่อถือของข้อมูล ทั้งนี้ เว้นแต่ผู้มีหน้าที่ซึ่งเกี่ยวข้องที่เจ้าของหรือผู้บริหารองค์กร กำหนดไว้ให้สามารถเข้าถึงได้ เช่น ผู้ตรวจสอบระบบสารสนเทศขององค์กร (IT Auditor) หรือบุคคลที่องค์กรมอบหมาย เป็นต้น รวมทั้งพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้

ในการดำเนินการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์นั้น ให้ผู้ให้บริการต้องจัดให้มีผู้มีหน้าที่ประสานงานและให้ข้อมูลกับพนักงานเจ้าหน้าที่ซึ่งได้รับการแต่งตั้งตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ เพื่อให้การส่งมอบข้อมูลนั้น เป็นไปด้วยความรวดเร็ว

ในการเก็บข้อมูลจราจรที่จัดเก็บนั้น ต้องสามารถระบุรายละเอียดผู้ใช้บริการเป็นรายบุคคลได้ (Accountability) เช่น ลักษณะการใช้บริการ Proxy Server, Network Address Translation (NAT) หรือ Proxy Cache หรือ Cache engine หรือบริการ free internet เช่น บริการ 1222 ต้องสามารถระบุตัวตนของผู้ใช้บริการเป็นรายบุคคลได้จริง โดยไม่ให้มีการใช้ชื่อผู้ใช้บริการร่วมกัน (Shared User ID)

ในกรณีที่มีผู้ให้บริการประเภทหนึ่งประเภทใด ในข้อ ๑ ถึงข้อ ๔ ข้างต้น ได้ให้บริการในนามตนเอง แต่บริการดังกล่าวนั้นเป็นบริการที่ได้ใช้ระบบของผู้ให้บริการซึ่งเป็นบุคคลที่สาม เป็นเหตุให้ผู้ให้บริการในข้อ ๑ ถึงข้อ ๔ ไม่สามารถรู้ได้ว่า ผู้ใช้บริการที่เข้ามาในระบบนั้นเป็นใคร ให้ผู้ให้บริการเช่นว่านั้น ดำเนินการให้มีวิธีการระบุและยืนยันตัวบุคคล (Identification and Authentication) ของผู้ใช้บริการผ่านบริการของตนเองด้วย

ผู้ให้บริการต้องดำเนินการเทียบเวลาประเทศไทยให้ตรงกับเครื่อง Time Server ที่เปิดให้บริการสาธารณะโดยใช้ Network Time Protocol (NTP)