Thursday, March 31, 2016

DIGITAL FORENSICS: วิธีใช้หลักฐานอิเล็กทรอนิกส์หาตัวผู้กระทำผิด

DIGITAL FORENSICS: วิธีใช้หลักฐานอิเล็กทรอนิกส์หาตัวผู้กระทำผิดออนไลน์


โดย ilaw-freedom เมื่อ 27 มีนาคม 2016

การระบุตัวผู้กระทำผิดบนอินเทอร์เน็ต เพียงแค่หมายเลข IP Address ศาลฎีกาชี้ว่ายังไม่เพียงพอลงโทษจำเลยได้ ต้องอาศัยหลักฐานอีกหลายอย่างประกอบกัน แม้ปัจจุบันยังมีข้อจำกัดอยู่ไม่น้อยที่จะทำให้ได้หลักฐานมา แต่หากเจ้าหน้าที่รัฐใช้อำนาจให้ถูกต้องตามขั้นตอน อำนาจตามกฎหมายปัจจุบันก็ยังเพียงพอให้ทำอะไรได้อีกมาก โดยไม่จำเป็นต้องออกกฎหมายใหม่มาเพิ่มอำนาจ 
การกระทำความผิดบนโลกออนไลน์ที่เพิ่มขึ้นเป็นเงาตามตัวในยุคสมัยที่ข้อมูลปริมาณมหาศาลไหลเวียนกันบนโลกออนไลน์ ทำให้ตำรวจ, กระทรวงไอซีที และหน่วยงานความมั่นคง ฯลฯ ต้องแบกรับภาระช่วยกันหาตัวผู้กระทำความผิดเพื่อนำมาดำเนินคดีในชั้นศาล 
ในทางหนึ่งการระบุตัวตนผู้กระทำความผิดบนโลกออนไลน์อาจจะดูเป็นเรื่องยากเพราะตัวตนบนอินเทอร์เน็ตสามารถซ่อนเร้นหรือปลอมแปลงได้ง่าย เช่น การสร้างเฟซบุ๊กโดยใช้รูปและชื่อของคนอื่น หรือ การสมัครใช้อีเมล์ด้วยชื่อและประวัติปลอม แต่ในอีกทางหนึ่งการสื่อสารบนอินเทอร์เน็ตต้องส่งผ่านตัวกลาง และผู้ให้บริการมีหน้าที่ตามกฎหมายที่จะต้องเก็บข้อมูลของผู้ใช้งานเอาไว้ ร่องรอยการกระทำความผิดทางเทคนิคจึงหาได้ไม่ยากจนเกินไป ซึ่งอาจจะง่ายกว่าการตามจับอาชญากรบนโลกจริงที่ทำเสร็จแล้ววิ่งหนีไปอย่างไร้ร่องรอยด้วยซ้ำ
จากการสังเกตการณ์การดำเนินคดีเกี่ยวกับการแสดงความคิดเห็นบนโลกออนไลน์มาตั้งแต่ปี 2553 ไอลอว์พอจะสรุปลักษณะของพยานหลักฐานทางอิเล็กทรอนิกส์ที่ใช้พิสูจน์ตัวตนของผู้กระทำความผิดบนโลกออนไลน์ได้ ดังนี้

1. ภาพแสดงการกระทำความผิดที่เชื่อถือ

ผู้ที่อ้างว่าพบเห็นการกระทำความผิดบนโลกออนไลน์ ไม่ว่าจะเป็นเจ้าหน้าที่รัฐหรือประชาชนทั่วไป อย่างน้อยต้องเก็บหลักฐานเกี่ยวกับการกระทำที่พบเห็นเอาไว้ เช่น หากมีข้อความผิดกฎหมายบนเฟซบุ๊กก็ต้องมีภาพบนหน้าเฟซบุ๊กที่ปรากฏข้อความนั้นๆ ประกอบกับชื่อบัญชีที่โพสต์ข้อความ หากมีการส่งสแปมมาทางอีเมล์ก็ต้องมีอีเมล์นั้นๆ เก็บเอาไว้ เป็นต้น ซึ่งระหว่างการพิจารณาคดีในชั้นศาลภาพเหล่านี้จะต้องพิมพ์ออกมาใส่กระดาษเพื่อยื่นต่อศาล ในทางปฏิบัติไม่ค่อยพบเห็นกรณีที่ศาลเปิดดูการกระทำความผิดจากเครื่องคอมพิวเตอร์
ส่วนใหญ่แล้วผู้ที่เก็บหลักฐานมักใช้วิธีการถ่ายภาพหน้าจอ หรือการกด Capture ภาพ หรือกดปุ่ม Print Screen แล้วบันทึกเป็นไฟล์ภาพเอาไว้ในเครื่อง และพิมพ์ออกมาเมื่อจะยื่นต่อศาล ซึ่งที่ผ่านมาศาลก็รับฟังพยานหลักฐานที่เป็นภาพถ่ายจากหน้าจอคอมพิวเตอร์ แต่การเก็บหลักฐานด้วยวิธีนี้ยังมีข้ออ่อนอยู่มาก เนื่องจากเมื่อบันทึกไว้ในเครื่องคอมพิวเตอร์เป็นลักษณะไฟล์ภาพแล้ว ย่อมถูกแก้ไขเปลี่ยนแปลงได้ง่ายโดยโปรแกรมตัดต่อภาพทั่วไป หลักฐานที่ผ่านการบันทึกเป็นไฟล์ภาพอาจถูกฝ่ายตรงข้ามคัดค้านเรื่องความน่าเชื่อถือได้ 
เพื่อป้องกันข้อโต้แย้งเรื่องความน่าเชื่อถือของหลักฐาน ควรใช้วิธีสั่งพิมพ์จากหน้าเว็บบราวเซอร์โดยตรงและพิมพ์ทันทีที่พบเห็น วิธีนี้เว็บบราวเซอร์จะพิมพ์ภาพที่ปรากฏบนหน้าจอคอมพิวเตอร์ออกมาพร้อมกับวันที่, จำนวนหน้าที่พิมพ์ และ ที่อยู่ของหน้าเว็บ (URL) ที่มีการกระทำความผิดปรากฎด้วย แม้หลักฐานที่เกิดจากการเก็บวิธีนี้จะยังสามารถถูกปลอมแปลงได้อยู่ แต่ก็ยังมีความน่าเชื่อถือกว่าการบันทึกเป็นไฟล์ภาพ ซึ่งหากเจ้าหน้าที่คนที่สั่งพิมพ์ลงลายมือชื่อและวันที่กำกับไว้ ก็จะทำให้หลักฐานมีความน่าเชื่อถือมากขึ้น 

2. หมายเลข IP Address ที่เกี่ยวข้องกับการกระทำความผิด

หมายเลข IP Address เป็นหมายเลขที่ผู้ให้บริการอินเทอร์เน็ต หรือ Internet Service Provider (ISP) จัดสรรให้กับผู้ใช้บริการ ลักษณะเป็นเลขหนึ่งชุด คั่นด้วยจุด เช่น 152.208.132.201 ทำหน้าที่คล้ายเป็น "เลขที่บ้าน" สำหรับการส่งข้อมูลติดต่อระหว่างกัน โดยทุกครั้งที่มีการส่งข้อมูลเข้าไปบนโลกออนไลน์หรือเปิดหน้าเว็บไซต์เพื่อรับข้อมูล หมายเลข IP Address จะทำหน้าที่เป็นตัวกำหนดว่าข้อมูลต้องเดินทางจากที่ไหนไปยังที่ไหน
ในยุคหนึ่งเว็บไซต์หลายแห่งกำหนดให้การโพสต์ข้อความทุกครั้งต้องปรากฏหมายเลข IP Address ของผู้ใช้งานด้วย การหาตัวผู้กระทำความผิดจึงสามารถสืบสวนต่อจากหมายเลข IP Address ที่ปรากฏอยู่ได้เลย แม้ในยุคหลังๆ ผู้ให้บริการเว็บไซต์ไม่นิยมตั้งค่าให้หมายเลข IP Address ของผู้ใช้ปรากฏต่อสาธารณะแล้ว แต่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ฯ พ.ศ. 2550 (พ.ร.บ.คอมพิวเตอร์ฯ) มาตรา 26 ยังกำหนดหน้าที่ให้ผู้ให้บริการต้องจัดเก็บข้อมูลหมายเลข IP Address ของผู้ใช้เอาไว้อย่างน้อย 90 วัน ซึ่งเจ้าพนักงานตามพ.ร.บ.คอมพิวเตอร์ฯ มีอำนาจตามมาตรา 18 ที่จะขอให้ผู้ให้บริการส่งข้อมูลหมายเลข IP Address ที่เกี่ยวกับการกระทำความผิดมาให้ได้

3. ข้อมูลสถานที่กระทำความผิด เทียบกับหมายเลข IP Address 

เมื่อได้หมายเลข IP Address ที่เกี่ยวข้องกับการกระทำความผิดมาแล้ว เจ้าพนักงานจะนำหมายเลข IP Address ไปตรวจสอบกับ ISP ว่า หมายเลข IP Address ใด ติดต่อ ส่งหรือรับข้อมูลกับหมายเลข IP Address ใด เมื่อวันที่และเวลาเท่าใด และ ISP ก็จะมีข้อมูลชื่อและที่อยู่ของลูกค้าจากการจดทะเบียนการขอใช้บริการอินเทอร์เน็ต
ISP จะสามารถบอกข้อมูลได้ว่า หมายเลข IP Address ที่เกี่ยวข้องกับการกระทำความผิด เป็นของผู้ที่จดทะเบียนด้วยชื่ออะไร มีที่อยู่ที่ใด และในระหว่างวันที่และเวลาที่มีการกระทำความผิดหมายเลข IP Address นี้ได้ติดต่อส่งข้อมูลไปยังเว็บไซต์ที่มีการกระทำความผิดเกิดขึ้นหรือไม่ 
แต่ข้อมูลที่ได้จากหมายเลข IP Address นั้น อาจจะไม่เพียงพอระบุถึงตัวผู้กระทำความผิดที่แท้จริงได้ เพราะในทางเทคนิคที่หมายเลข IP Address อาจถูกปลอมแปลงได้ นอกจากนี้ผู้ที่ใช้ชื่อจดทะเบียนขอใช้บริการอินเทอร์เน็ต(เจ้าของIP Address) ก็อาจไม่ใช่ผู้ที่ใช้อินเทอร์เน็ตกระทำความผิด เช่น ในบ้านหลังหนึ่ง คุณพ่อใช้ชื่อและที่อยู่ตัวเองจดทะเบียนขอใช้บริการอินเทอร์เน็ตกับ ISP แต่ในบ้านหลังนี้ก็มีคุณแม่ และลูกอีก 3 คน ที่ใช้งานอินเทอร์เน็ตจากผู้ให้บริการรายเดียวกัน การใช้งานอินเทอร์เน็ตของสมาชิกในครอบครัวทุกคน จะถูกบันทึกโดย ISP ว่ามาจากหมายเลข IP Address หมายเลขเดียวกันโดยไม่แยกตามคนที่ใช้งานอยู่จริงๆ ข้อมูลจากหมายเลข IP Address เพียงอย่างเดียวอาจจะระบุถึงสถานที่ที่เกี่ยวข้องกับการกระทำความผิดได้ แต่ยังไม่สามารถระบุตัวผู้กระทำความผิดได้อย่างชัดเจน
เคยมีคดีที่นพวรรณ ตกเป็นจำเลยฐานโพสต์ข้อความหมิ่นประมาทพระมหากษัตริย์ฯ ซึ่ง IP Address ถูกใช้เป็นหลักฐานสำคัญในการชี้ตัวผู้กระทำความผิด แม้หมายเลข IP Address ที่ใช้โพสต์ข้อความจะจดทะเบียนด้วยชื่อของนพวรรณ และระบุที่อยู่ที่บ้านของนพวรรณ แต่เมื่อข้อเท็จจริงปรากฎว่าที่อยู่บ้านของนพวรรณเป็นโรงงาน มีพนักงานหลายคน มีคอมพิวเตอร์หลายเครื่อง ซึ่งทุกคนสามารถเข้าใช้งานอินเทอร์เน็ตเพื่อโพสต์ข้อความได้ ศาลฎีกาจึงพิพากษาให้ยกฟ้อง เพราะหลักฐานของโจทก์ยังไม่เพียงพอที่จะระบุได้ชัดจนไม่มีข้อสงสัยว่าจำเลยเป็นผู้โพสต์ข้อความ

4. การตรวจสอบร่องรอยการใช้งานเครื่องคอมพิวเตอร์

เมื่อเจ้าหน้าที่ทราบข้อมูลที่อยู่ของหมายเลข IP Address ที่เกี่ยวข้องกับการกระทำความผิดแล้ว สิ่งที่เจ้าหน้าที่มักจะทำ คือ การขอหมายค้น หมายยึดและตรวจสอบเครื่องคอมพิวเตอร์จากศาล และไปยังที่อยู่ที่ได้จดทะเบียนไว้ เพื่อค้น, ยึด และตรวจสอบอุปกรณ์คอมพิวเตอร์หาร่องรอยการใช้งานคอมพิวเตอร์เพื่อกระทำความผิด
การตรวจสอบเครื่องคอมพิวเตอร์ อาจทำเพื่อค้นหาร่องรอยเกี่ยวกับการกระทำความผิด อย่างน้อยสี่ลักษณะ
1) Cache file คือ ไฟล์ที่บราวเซอร์ทำสำเนาข้อมูลบางส่วนของหน้าเว็บไซต์ที่เปิดเข้าใช้งานมาเก็บไว้ในเครื่องโดยอัตโนมัติ เพื่อให้การเปิดเข้าใช้งานครั้งต่อไปโหลดหน้าเว็บไซต์ได้รวดเร็วขึ้น 
2) Cookie คือ ไฟล์เกี่ยวกับการใช้งานเว็บไซต์ที่เว็บไซต์นั้นๆ สั่งให้เก็บไว้ในคอมพิวเตอร์ เพื่อให้ระบบจดจำผู้ใช้งานได้สำหรับการเข้าใช้งานครั้งต่อไป
3) History คือ ประวัติการเข้าใช้งานเว็บไซต์ที่เว็บบราวเซอร์ส่วนใหญ่บันทึกเอาไว้โดยอัตโนมัติว่า ผู้ใช้งานเปิดเว็บไซต์หน้าใด เมื่อวันที่และเวลาใดบ้าง 
4) ไฟล์ที่ใช้กระทำความผิดโดยตรง เช่น หากความผิดเกี่ยวข้องกับการโพสต์ภาพลามกอนาจาร ก็ต้องตรวจสอบว่ามีภาพนั้นๆ อยู่ในเครื่องคอมพิวเตอร์ที่ถูกยึดมาหรือไม่
วิธีการตรวจสอบเครื่องคอมพิวเตอร์ที่ได้มาตรฐาน คือ เจ้าหน้าที่ไม่สามารถตรวจค้น Harddisk ต้นฉบับโดยตรงได้ แต่ต้องทำสำเนา Harddisk ต้นฉบับที่จะตรวจสอบออกมาสองชุดก่อน เมื่อทำสำเนาสองชุดแล้ว ตัว Harddisk ต้นฉบับต้องปิดผนึกและนำไปเก็บไว้ สำเนาชุดหนึ่งนำไปเก็บไว้ส่วนกลาง และสำเนาอีกชุดหนึ่งนำไปตรวจสอบ เพื่อให้แน่ใจว่าจะไม่มีการเปลี่ยนแปลงข้อมูลลงไปใน Harddisk ต้นฉบับโดยมิชอบ ส่วนวิธีการตรวจนั้นเจ้าหน้าที่ของไทยจะใช้โปรแกรม encase ทำหน้าที่เข้าไปตรวจสอบหาข้อมูลทุกประเภทที่อยู่ในเครื่องคอมพิวเตอร์นั้นๆ แม้กระทั่งไฟล์ที่ถูกลบไปแล้วก็ยังมีโอกาสตรวจพบ
หากตรวจพบ Cache file, Cookies หรือ History ที่เกี่ยวข้องก็อาจแสดงได้ว่าผู้ใช้งานคอมพิวเตอร์เครื่องนั้นๆ เคยเข้าไปยังหน้าเว็บไซต์ที่เกี่ยวข้องกับการกระทำความผิด แต่ยังไม่สามารถบอกได้ว่าผู้ใช้งานคอมพิวเตอร์เครื่องนั้นๆ เป็นผู้กระทำความผิดหรือไม่ หากตรวจพบไฟล์ที่ใช้กระทำความผิดโดยตรง ก็พอจะแสดงได้ว่าคอมพิวเตอร์เครื่องนั้นน่าจะเกี่ยวข้องกับการกระทำความผิด แต่ก็ยังไม่สามารถบอกได้อย่างชัดเจนว่าเจ้าของคอมพิวเตอร์เครื่องนั้นๆ เป็นผู้กระทำความผิดหรือไม่ เพราะอาจมีผู้อื่นมาใช้เครื่องคอมพิวเตอร์เครื่องนั้นกระทำความผิดก็ได้

5. ตรวจหา DNA บนเครื่องคอมพิวเตอร์

เนื่องจากหลักฐานทั้งข้อมูลจากหมายเลข IP Address และร่องรอยการใช้งานเครื่องคอมพิวเตอร์ ยังไม่ชัดเจนเพียงพอที่จะระบุตัวผู้กระทำความผิด เพราะยังไม่สามารถระบุได้ว่าใครเป็นผู้ใช้งานเครื่องคอมพิวเตอร์นั้นๆ ในวันเวลากระทำความผิด การสืบสวนคดีพ.ร.บ.คอมพิวเตอร์ฯ ในช่วงปี 2557-2558 จึงมีการพัฒนาไปถึงการตรวจหาลายนิ้วมือ และ DNA ที่ปรากฏอยู่บนเครื่องคอมพิวเตอร์ด้วย ว่าตรงกับของผู้ต้องสงสัยหรือไม่ และมีลายนิ้วมือหรือ DNA ของบุคคลอื่นปรากฏอยู่ด้วยหรือไม่ ซึ่งจนถึงปัจจุบันยังไม่มีคำพิพากษาวางแนวทางว่าศาลรับฟังและให้น้ำหนักกับลายนิ้วมือและ DNA มากเพียงใด
จากที่กล่าวมาทั้งหมด ดูเหมือนว่าการหาหลักฐานทางอิเล็กทรอนิกส์เพื่อระบุตัวผู้กระทำความผิดในโลกออนไลน์จะไม่ใช่เรื่องง่ายเพราะในทางเทคนิคอาจมีวิธีการหลบเลี่ยงได้หลายรูปแบบ แต่หากเจ้าหน้าที่มีความรู้ความสามารถระดับหนึ่งก็ไม่ใช่เรื่องยากจนเกินไป ทั้งพ.ร.บ.คอมพิวเตอร์ฯ ฉบับปัจจุบันก็กำหนดหน้าที่ของผู้ให้บริการในการเก็บข้อมูล และให้อำนาจเจ้าหน้าที่เข้าถึงข้อมูลไว้ตามสมควรแล้ว หากเจ้าหน้าที่ดำเนินการสืบสวนด้วยอำนาจตามกฎหมายอย่างรวดเร็วก็มีโอกาสไม่น้อยที่จะจับกุมผู้กระทำความผิดที่แท้จริงได้ 
ผู้ให้บริการในต่างแดนยังไม่ร่วมมือ รัฐไทยหาเครื่องมือใหม่ๆ มาเพิ่ม
การบังคับใช้กฎหมายกับการกระทำบนโลกออนไลน์มีอุปสรรคอยู่บ้าง เพราะกฎหมายเป็นเครื่องมือที่ใช้กันภายในอาณาเขตของแต่ละประเทศเท่านั้น จึงมักมีกรณีที่ผู้ให้บริการเว็บไซต์หรือ ISP ที่อยู่ต่างประเทศปฏิเสธที่จะให้ข้อมูลกับทางการไทยในการสืบสวนการกระทำตามข้อหาที่กฎหมายของประเทศตัวเองไม่ได้ระบุให้เป็นความผิด อย่างเช่น ความผิดฐานหมิ่นประมาทพระมหากษัตริย์ฯ ตามประมวลกฎหมายอาญามาตรา 112 เป็นความผิดที่มีในประเทศไทย แต่ไม่มีในประเทศที่ไม่มีพระมหากษัตริย์
ผู้ให้บริการรายใหญ่อย่าง กูเกิ้ล และเฟซบุ๊ก ซึ่งมีสำนักงานใหญ่อยู่ที่สหรัฐอเมริกา มักจะปฏิเสธที่จะให้ข้อมูลเมื่อทางการไทยขอทราบหมายเลข IP Address ของผู้ที่โพสต์เนื้อหาซึ่งอาจเข้าข่ายเป็นการหมิ่นประมาทพระมหากษัตริย์ฯ เพราะผู้ให้บริการเหล่านี้ไม่มีหน้าที่ต้องเก็บข้อมูลหรือส่งมอบข้อมูล ตามพ.ร.บ.คอมพิวเตอร์ฯ ของไทย ทำให้คดีหมิ่นประมาทพระมหากษัตริย์ฯ อีกจำนวนมากที่มีการร้องเรียนเข้ามาคั่งค้างอยู่เพราะหาตัวผู้กระทำความผิดไม่ได้ 
นอกจากนี้หากเป็นกรณีที่เจ้าของเว็บไซต์เปิดเว็บไซต์ขึ้นมาเพื่อกระทำความผิดเอง เช่น เว็บไซต์ปลอมเพื่อหลอกลวงผู้ใช้ประเภท Phishing เว็บไซต์ลามกอนาจาร เมื่อเจ้าหน้าที่รัฐติดต่อประสานงานขอหมายเลข IP Address ของผู้ที่นำเข้าข้อความไปยังเจ้าของเว็บไซต์ ก็อาจไม่ได้รับความร่วมมือ  
เพื่อแก้ไขความยากลำบากในการเข้าถึงหลักฐาน ทางการไทยจึงเสนอเครื่องมือที่จะเพิ่มอำนาจให้กับเจ้าหน้าที่ในการหาตัวผู้กระทำความผิดบนโลกออนไลน์ เช่น การเสนอร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ ซึ่งกำหนดให้เจ้าหน้าที่มีอำนาจสั่งผู้ให้บริการให้ทำอะไรก็ได้ รวมทั้งให้เจ้าหน้าที่ดักรับข้อมูลการสื่อสารของประชาชนได้โดยไม่มีต้องขอหมายศาลก่อน หรือการเสนอระบบ Single Gateway เพื่อให้รัฐเป็นผู้ควบคุมเส้นทางของข้อมูลบนอินเทอร์เน็ตแต่เพียงรายเดียว เป็นต้น
กฎหมายปัจจุบันให้เจ้าหน้าที่มีอำนาจมากอยู่แล้ว แต่อยู่ใต้การตรวจสอบโดยศาล
แม้ว่าเครื่องมือใหม่อย่าง Single Gateway หรือร่างพ.ร.บ.ความมั่นคงไซเบอร์ฯ จะยังไม่มีผลบังคับใช้ และเจ้าหน้าที่ดูจะมีปัญหาในการเข้าถึงหลักฐานซึ่งระบุตัวตนผู้กระทำความผิดอยู่บ้าง แต่เจ้าหน้าที่ไทยก็มีช่องทางในการหาหลักฐานระบุตัวตนด้วยวิธีอื่น เช่น การส่งลิงก์ไปยังเป้าหมายที่ต้องสงสัย เมื่อบุคคลเป้าหมายคลิกลิงก์ที่ส่งไปก็จะได้รับหมายเลข IP Address ของผู้ใช้งานส่งกลับมา ซึ่งเคยเห็นการใช้วิธีนี้ในคดีหุ้นตกของคธา หรือวิธีการดั้งเดิม อย่างการปลอมตัวเข้าไปหลอกถามข้อมูล ซึ่งเคยเห็นการใช้วิธีนี้ในคดีของธารา หรือ คดีของ "จักราวุธ" เป็นต้น
ในทางกฎหมาย เจ้าหน้าที่รัฐก็มีอำนาจตามพ.ร.บ.คอมพิวเตอร์ฯ มาตรา 18(6) ในการตรวจสอบและเข้าถึงข้อมูลการจราจรทางคอมพิวเตอร์ ซึ่งรวมถึงหมายเลข IP Address เพื่อสืบสวนหาตัวผู้กระทำความผิดได้ด้วยตัวเอง โดยไม่ต้องขอข้อมูลจากผู้ให้บริการ และยังมีอำนาจตามมาตรา 18(7) (8) ที่จะถอดรหัสลับหรือยึดระบบคอมพิวเตอร์ได้เท่าที่จำเป็น เพียงแต่จะต้องขออนุญาตศาลตามมาตรา 19 พร้อมทั้งต้องระบุเหตุอันควรเชื่อถึงการกระทำความผิด เหตุผลที่ต้องใช้อำนาจ รายละเอียดอุปกรณ์ที่จะใช้ตรวจสอบ รวมทั้งต้องรายงานผลการตรวจสอบต่อศาลภายใน 48 ชั่วโมง 
นอกจากนี้ หากคดีทางคอมพิวเตอร์คดีใดถูกประกาศให้อยู่ในอำนาจของกรมสอบสวนคดีพิเศษ (ดีเอสไอ) เจ้าหน้าที่ก็จะมีอำนาจตามมาตรา 25 ของพ.ร.บ.การสอบสวนคดีพิเศษ พ.ศ.2547 ที่จะได้มาซึ่งข้อมูลที่ส่งผ่านสื่ออิเล็กทรอนิกส์ หรือการดักรับเนื้อหาข้อความที่ส่งหากันทางอินเทอร์เน็ตคล้ายการดักฟังโทรศัพท์อีกด้วย โดยจะต้องขออนุญาตจากอธิบดีผู้พิพากษาศาลอาญาโดยตรง
จะเห็นได้ว่า กฎหมายปัจจุบันก็เขียนให้อำนาจของเจ้าหน้าที่ไว้กว้างขวางเพียงพอสำหรับการสืบสวนหาตัวผู้กระทำความผิดได้แทบทุกรูปแบบอยู่แล้ว เพียงแต่ขั้นตอนตามกฎหมายต้องมีระบบตรวรจสอบถ่วงดุลโดยศาลที่รัดกุม เจ้าหน้าที่ที่จะใช้อำนาจเหล่านี้จึงมีภาระหน้าที่เพิ่มขึ้นต้องเขียนคำร้องและเขียนรายงานชี้แจงต่อศาล จะใช้อำนาจเข้าถึงข้อมูลของประชาชนโดยไม่มีเหตุผลตามสมควรไม่ได้ และจะใช้อำนาจเกินกว่าที่จำเป็นเพื่อการหาตัวผู้กระทำความผิดในคดีนั้นๆ ไม่ได้
การสืบสวนหาหลักฐานทางอิเล็กทรอนิกส์เพื่อระบุตัวผู้กระทำความผิดทางคอมพิวเตอร์เป็นเรื่องที่ซับซ้อน ต้องอาศัยเจ้าหน้าที่ที่มีความเชี่ยวชาญ รวมทั้งต้องอาศัยอุปกรณ์ที่มีประสิทธิภาพ และทันสมัยพอสำหรับเทคโนโลยีที่เปลี่ยนแปลงอยู่ตลอดเวลา 
แม้ในปัจจุบันหลายกรณีจะไม่สามารถหาตัวผู้กระทำความผิดมาลงโทษแต่แทนที่จะใช้วิธีออกกฎหมายซึ่งเพิ่มอำนาจให้กับเจ้าหน้าที่รัฐเกินสมควรและอาจกระทบต่อเสรีภาพประชาชน เพื่อการเข้าถึงหลักฐานทางการไทยน่าจะลงทุนกับการพัฒนากำลังเจ้าหน้าที่ ทั้งในด้านปริมาณและศักยภาพ รวมทั้งการจัดซื้ออุปกรณ์ทางเทคนิคที่ทันสมัยอยู่เสมอ ซึ่งแนวทางนี้นอกจากจะให้ผลลัพธ์ที่ยั่งยืนกว่าการออกกฎหมายใหม่ๆ และยังมีความชอบธรรมกว่าเพราะไม่ต้องเสี่ยงต่อการละเมิดสิทธิเสรีภาพของประชาชนจนเกินสมควรด้วย

ที่มา: https://bit.ly/2LFMNNq

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud #พยานหลักฐานดิจิทัล