แล็ปท็อป สมาร์ตโฟน บัตรเครดิต แฟลชไดรฟ์ บัตรประชาชนแบบสมาร์ตการ์ด ฯลฯ บางคนอาจจะคิดว่าพยานหลักฐานดิจิทัลเป็นอะไรที่ไม่ไกลไปกว่านี้ แต่หากเราเห็นตามที่หนังสือ “Digital Forensics for Legal Professionals: Understanding Digital Evidence From The Warrant To The Courtroom” ว่าละก็ เราก็หารู้ไม่ว่า
“ปัจจุบันธุรกรรมเกือบทุกประเภทจะถูกแปลงเป็นรูปแบบดิจิทัลในที่สุดและจะกลายมาเป็นพยานหลักฐานดิจิทัล”
“ในโลกแห่งการเชื่อมต่อกันดังปัจจุบันนี้ แทบเป็นไปไม่ได้เลยที่เราจะสามารถอยู่ ‘นอกเครือข่าย’ อย่างสมบูรณ์เพื่อที่กิจกรรมต่างๆ ของเราจะได้ไม่สร้างบันทึกอิเล็กทรอนิกส์บางรูปแบบขึ้น”
ซึ่งนั่นก็แปลว่า หากวันดีคืนดีคุณเกิดมีคดีความอะไรขึ้นมา ก็เป็นไปได้ที่คุณจะนำพยานหลักฐานดิจิทัลเหล่านั้นไปใช้กับใคร หรือจะมีใครนำพยานหลักฐานดิจิทัลมาใช้กับคุณ รวมถึงใช้เพื่อเล่นงานคุณด้วย แม้ว่าคุณไม่ได้เป็นผู้กระทำผิดใดๆ เลยก็ตาม ดังที่เคยเกิดขึ้นมาแล้วกับจำเลยที่ถูกตั้งข้อกล่าวหาว่ามีความผิดในคดีที่เกี่ยวกับ พ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 ทั้งๆ ที่หลายคดีมีความน่าเคลือบแคลงในพยานหลักฐานเหล่านั้น
เวิร์กช็อป “พยานหลักฐานดิจิทัล”
“ลักษณะเฉพาะของพยานหลักฐานดิจิทัลก็คือ พยานหลักฐานประเภทนี้เป็นสิ่งที่สามารถเปลี่ยนแปลงแก้ไขได้ง่ายมาก และก็ทำได้โดยแทบไม่มีร่องรอยเลยด้วย” อาทิตย์ สุริยะวงศ์กุล จากมูลนิธิเพื่ออินเทอร์เน็ตและวัฒนธรรมพลเมือง (เครือข่ายพลเมืองเน็ต) กล่าวถึงลักษณะเฉพาะของพยานหลักฐานดิจิทัล
เมื่อวันที่ 10-12 ก.ค.ที่ผ่านมา มูลนิธิเพื่ออินเทอร์เน็ตและวัฒนธรรมพลเมืองได้จัดอบรมเชิงปฏิบัติการหัวข้อ “พยานหลักฐานทางดิจิทัลกับ พ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550” ณ อำเภอชะอำ จังหวัดเพชรบุรี
ถ้าอย่างนี้ แปลว่าพยานหลักฐานดิจิทัลเชื่อถือไม่ได้เลยหรือเปล่า
อาทิตย์กล่าวว่า หากเรายึดตามนั้นว่าพยานหลักฐานดิจิทัลเชื่อถือไม่ได้ ในทางปฏิบัติการทำงานของเจ้าหน้าที่ก็จะยากลำบากหรือแทบจะเป็นไปไม่ได้ ดังนั้น จึงได้มีการแบ่งลำดับความน่าเชื่อถือของพยานหลักฐานดิจิทัลตาม Casey’s Certainty Scale ตั้งแต่ระดับ C0 (หลักฐานขัดแย้งกับข้อเท็จจริงที่ทราบแล้ว), C1 (หลักฐานน่าสงสัยอย่างมาก) ไปจนถึงระดับ C6 (หลักฐานทั้งหมดถูกป้องกันการแก้ไขและไม่มีข้อสงสัยใดๆ ซึ่งความแน่นอนระดับนี้ยังทำไม่ได้ในขณะนี้) นอกจากนี้ ก็ต้องใช้พยานหลักฐานประเภทอื่นมาประกอบในการพิจารณาคดีด้วย
อาทิตย์กล่าวว่า เพื่อรักษาความน่าเชื่อถือของพยานหลักฐานดิจิทัล การยึดอายัดอุปกรณ์ดิจิทัลใดๆ เพื่อนำไปสอบสวน ตามหลักแล้วจึงไม่ควรไม่นำอุปกรณ์นั้นไปตรวจทันที แต่ต้องทำสำเนาไว้ 2 ชุด สำเนาชุดแรกปิดผนึกเก็บไว้และให้คู่กรณีทั้งสองฝ่ายเซ็นรับทราบ เพื่อให้แน่ใจว่าจะไม่มีการเปลี่ยนแปลงแก้ไขเกิดขึ้น ส่วนสำเนาชุดที่สองจะถูกนำไปตรวจ ซึ่งในระหว่างการตรวจก็มีความเป็นไปได้เช่นกันที่จะมีการเปลี่ยนแปลงแก้ไขเกิดขึ้น โดยหากมีข้อพิพาทเกิดขึ้นและจำเป็นต้องตรวจใหม่ การมีสำเนาชุดแรกไว้ทำให้เราสามารถทำสำเนาจากสำเนาชุดแรกซ้ำอีกครั้งได้
อย่างไรก็ตาม เราจะแน่ใจได้อย่างไรว่าสำเนาที่ทำออกมานั้นถูกต้องตรงตามต้นฉบับทุกประการ
“ถ้าเป็นกระดาษเราสามารถดูด้วยตาได้ แต่เราไม่สามารถทำอย่างนั้นกับฮาร์ดดิสก์ได้ ดังนั้น วิธีทำคือใช้โปรแกรมคอมพิวเตอร์ไล่ตรวจ โดยเอาฮาร์ดดิสก์ที่ทำสำเนาแล้วมาตรวจทีละบิต”
อาทิตย์กล่าวว่า เมื่อตรวจเสร็จ โปรแกรมจะส่งค่า hash ออกมา วิธีดูคือดูว่าค่า hash ระหว่างอุปกรณ์ต้นฉบับและสำเนาตรงกันหรือไม่ อย่างไรก็ตาม ยังมีความไปได้อยู่ที่ค่า hash จะตรงกันแม้ว่าจะมีความเปลี่ยนแปลงเกิดขึ้นในอุปกรณ์ที่เป็นสำเนา แต่ก็ถือว่าความเป็นไปได้นั้นอยู่ในระดับต่ำมาก จนในวงการจะถือว่าค่าดังกล่าวอยู่ในระดับที่น่าเชื่อถือมาก
“ทั้งหมดนี้แสดงให้เห็นว่า อยู่ดีๆ เจ้าหน้าที่จะไม่สามารถนำอุปกรณ์อิเล็กทรอนิกส์ไปตรวจเลยได้ อย่างน้อยต้องมีตัวเลขเหล่านี้ (เช่น ค่า hash) มาแสดงให้เราเห็น” อาทิตย์กล่าว
[อนึ่ง เมื่อไม่นานมานี้ได้มีข่าวเจ้าหน้าที่ตำรวจ 2 นายนำโทรศัพท์มือถือ 5 เครื่องของ 5 นักศึกษากลุ่มขบวนการประชาธิปไตยใหม่ไปจากจุดเกิดเหตุโดยไม่ได้ปิดผนึกซอง ก่อนจะนำมาคืนในอีกประมาณ 12 นาทีถัดมา ดูรายละเอียดข่าวเพิ่มเติม]
มาตรฐานเป็นเรื่องสำคัญ
จุลศักดิ์ แก้วกาญจน์ นักวิจัยโครงการศึกษาเผยแพร่ความรู้ด้านนิติวิทยาศาสตร์คอมพิวเตอร์กล่าวถึงมาตรฐานการเก็บรวบรวมรักษาและพิสูจน์พยานหลักฐานดิจิทัลว่า ในกระบวนการยุติธรรม การเก็บรวบรวมรักษาและพิสูจน์พยานหลักฐานดังกล่าวมีอยู่ด้วยกัน 4 ขั้นตอน ได้แก่ 1.เก็บรวบรวม ซึ่งต้องทำอย่างถูกวิธีเพื่อไม่ให้มีการเปลี่ยนแปลงในพยานหลักฐานดิจิทัล 2.เก็บรักษา ซึ่งสื่อแต่ละชนิดก็มีวิธีในการเก็บรักษาต่างกัน 3. การเอาหลักฐานมาตรวจวิเคราะห์ และ 4.การนำเสนอพยานหลักฐานในชั้นศาล
จุลศักดิ์กล่าวถึงปัญหาในประเทศไทยว่า ตอนนี้ประเทศไทยยังไม่มีการกำหนดมาตรฐานการเก็บรวบรวมและพิสูจน์พยานหลักฐานดิจิทัล ทั้งในเรื่องหน่วยงานกลาง ไม่มีเครื่องมือในการตรวจพิสูจน์เพียงพอครบทุกสื่อดิจิทัล ทั้งยังไม่มีการวางมาตรฐานกลาง ขณะที่ต่างประเทศมีหน่วยงานที่ทำหน้าที่กำหนดมาตรฐานการเก็บรวบรวมและพิสูจน์พยานหลักฐานดิจิทัล ยกตัวอย่างเช่น หากเป็นมือถือสมาร์ตโฟนยี่ห้อ iPhone รุ่น 4 ก็มีกำหนดว่าต้องใช้เครื่องมือประเภทใด ยี่ห้ออะไรในการตรวจ และต้องมีวิธีการตรวจอย่างไร
พยานหลักฐานดิจิทัลต่างจากพยานหลักฐาน “ไม่ดิจิทัล” อย่างไร: ลักษณะเฉพาะของพยานหลักฐานดิจิทัล
อาทิตย์กล่าวถึงลักษณะเฉพาะของพยานหลักฐานดิจิทัล โดยยกตัวอย่างการเข้าถึงข้อมูลดิจิทัล (ซึ่งอาจกลายมาเป็นพยานหลักฐานดิจิทัล) ว่า บางครั้งเจ้าหน้าที่ไม่จำเป็นต้องเข้าไปค้นในอุปกรณ์ต้นทาง แต่สามารถเข้าถึงข้อมูลของตัวกลางได้ เนื่องจากลักษณะการส่งข้อมูลทางอินเทอร์เน็ตนั้น แท้จริงแล้วการส่งข้อมูลก็คือ “การทำสำเนาข้อมูล” จากเครื่องต้นทาง ผ่านเครื่องตัวกลางหลายๆ เครื่อง จนมาถึงเครื่องปลายทางที่เป็นผู้รับ สำเนาที่อยู่ในเครื่องตัวกลางนั้นมีระยะเวลาการเก็บไม่เท่ากัน บางเครื่องอาจเก็บสำเนาดังกล่าวไว้ไม่กี่วินาที ในขณะที่บางเครื่องเก็บไว้หลายสิบวัน เมื่อเจ้าหน้าที่ต้องการเข้าถึงข้อมูลก็อาจไม่จำเป็นต้องเข้าไปค้นในเครื่องเป้าหมายโดยตรง แต่ใช้วิธีทำหนังสือขอค้นพยานหลักฐานดิจิทัลไปที่ผู้ให้บริการอินเทอร์เน็ตก็ได้
ซึ่งถ้าเซิร์ฟเวอร์ของบริการอินเทอร์เน็ตนั้นอยู่ในประเทศไทย ผู้ให้บริการก็ต้องทำตามที่กฎหมายไทยกำหนด แต่หากเซิร์ฟเวอร์อยู่นอกเขตอำนาจศาลไทย สิ่งเดียวที่เจ้าหน้าที่รัฐทำได้ก็คือร้องขอความร่วมมือไปยังประเทศที่เซิร์ฟเวอร์นั้นตั้งอยู่ แต่ในบางกรณี เพื่อให้ได้มาซึ่งข้อมูลดิจิทัล ก็เป็นไปได้ที่เจ้าหน้าที่ไทยก็อาจดักข้อมูลนั้นไว้ระหว่างทาง ก่อนที่ข้อมูลนั้นจะถูกส่งข้ามแดนไปยังต่างประเทศก็ได้
อาทิตย์ให้ข้อสังเกตด้วยว่า เนื่องจากการสื่อสารเป็นการสื่อสาร 2 ฝั่ง นั่นก็แปลว่า นอกจากเจ้าหน้าที่จะเข้าไปค้นข้อมูลจากฝั่งผู้รับแล้ว เจ้าหน้าที่ก็สามารถเข้าไปค้นในฝั่งผู้ส่งได้เช่นกัน และหากข้อมูลนั้นเป็นข้อมูลที่เกี่ยวข้องกับการกระทำผิด การเข้าไปค้นข้อมูลจากฝั่งเดียวก็สามารถระบุตัวอีกฝั่งหนึ่งได้ด้วย
นอกจากจะให้ข้อสังเกตถึงธรรมชาติการรับส่งข้อมูลแบบดิจิทัลแล้ว อาทิตย์ยังได้ให้ข้อสังเกตถึงลักษณะเฉพาะอื่นๆ ของพยานหลักฐานดิจิทัลด้วยว่า
- วันที่และเวลาล่าสุดที่ไฟล์มีการปรับเปลี่ยนแก้ไข ซึ่งแสดงอยู่ใน “คุณสมบัติ” (property) ของไฟล์นั้น เป็นสิ่งที่สามารถเปลี่ยนแปลงแก้ไขได้
- การบันทึกเบอร์โทรศัพท์ในมือถือหรือซิมการ์ด หากเราบันทึกชื่อผู้ที่ติดต่อด้วยว่าเป็น “ร้านซักผ้า” แทนที่จะบันทึกเป็นชื่อคน ชื่อนั้นก็สามารถบ่งบอกความสัมพันธ์ของเรากับผู้ที่เราติดต่อด้วยได้
- เครื่องคอมพิวเตอร์จะบันทึกข้อมูลทั้งหมดเอาไว้ โดยที่บางครั้งผู้ใช้ก็ไม่รู้ เช่น ข้อมูลชื่อเน็ตเวิร์กที่เราเข้าไปใช้ไวไฟ (wifi) สิ่งนี้สามารถให้เบาะแสหรือบอกใบ้เป็นนัยๆ ให้กับคนที่เข้าถึงคอมพิวเตอร์เครื่องนั้นว่า เจ้าของเครื่องเคยเดินทางไปที่ใดมาบ้าง (เช่น เครือข่ายไวไฟที่ชื่อ “Narita Airport” แสดงให้เห็นว่าเจ้าของเครื่องเคยเดินทางไปที่ประเทศญี่ปุ่น)
อีกลักษณะเฉพาะหนึ่งของอุปกรณ์ดิจิทัล โดยเฉพาะคอมพิวเตอร์หรือฮาร์ดดิสก์ก็คือ เมื่อผู้ใดสามารถเข้าถึงได้แล้วก็สามารถ “เห็นได้หมดเลย” ว่าในคอมพิวเตอร์หรือฮาร์ดดิสก์เครื่องนั้นเก็บข้อมูลอะไรไว้บ้าง นี่นำมาสู่คำถามที่ว่า หากเจ้าหน้าที่มีหมายค้นการกระทำผิดหนึ่ง และเมื่อเข้าถึงเครื่องคอมพิวเตอร์ของบุคคลแล้วไปพบความผิดอื่น เจ้าหน้าที่สามารถแจ้งข้อหาอื่นพ่วงด้วยได้ไหม ผู้ร่วมอบรมบางคนเห็นว่าน่าจะสามารถทำได้ เพราะจัดว่าเป็นความผิดซึ่งหน้า และใน ป.วิอาญาก็เปิดช่องไว้ให้ศาลใช้ดุลพินิจได้ว่า แม้ว่าพยานหลักฐานนั้นจะได้มาโดยมิชอบ แต่หากพยานหลักฐานนั้นเป็นประโยชน์ต่อการอำนวยความยุติธรรมก็สามารถนำมาใช้ได้ แต่ก็มีผู้เข้าร่วมบางคนเห็นว่า การทำเช่นนี้ก็เหมือนการให้ “ตีเช็กเปล่า” เปิดช่องให้เจ้าหน้าที่อ้างความผิดอย่างหนึ่งเพื่อเข้าค้นทุกอย่างในคอมพิวเตอร์ของบุคคลได้
ทนายความจะเรียนรู้เกี่ยวกับพยานหลักฐานดิจิทัลไปทำไมกัน
จุลศักดิ์กล่าวถึงอีกปัญหาหนึ่งว่า จากสถานการณ์ที่เป็นอยู่ตอนนี้ เมื่อมีคดีความซึ่งมีเรื่องพยานหลักฐานดิจิทัลมาเกี่ยวข้อง ฝ่ายโจทก์และจำเลยมักมีอำนาจในการสู้คดีไม่เท่าเทียมกัน เพราะคดีดังกล่าวส่วนใหญ่โจทก์คือรัฐ ซึ่งมีเครื่องมือและทรัพยากรของรัฐ ในขณะที่จำเลยและทนายจำเลยอยู่ที่ตำแหน่งที่เสียเปรียบ เพราะไม่มีทั้งผู้เชี่ยวชาญและความรู้ทางเทคนิคที่จะมาใช้ต่อสู้คดี
นี่จึงเป็นเหตุผลที่ทนายฝ่ายจำเลยควรได้มีโอกาสเรียนรู้เรื่องทางเทคนิคของพยานหลักฐานดิจิทัลด้วย
ซึ่งในการอบรมครั้งนี้ ทนายความท่านหนึ่งได้แลกเปลี่ยนประสบการณ์ที่เคยทำคดีที่ต้องมีการใช้พยานหลักฐานดิจิทัลว่า ที่ผ่านมา พบว่าศาลมักไม่ค่อยได้นำสืบตัวพยานหลักฐานดิจิทัลที่นำมาใช้กล่าวอ้าง ว่ามีข้อบกพร่องอะไรไหม ผ่านการเก็บรักษาและพิสูจน์พยานหลักฐานอย่างถูกต้องหรือไม่ แต่มักจะให้น้ำหนักกับคำอธิบายหรือการตีความพยานหลักฐานนั้นๆ ของฝ่ายเจ้าหน้าที่รัฐมากกว่า และแม้ว่าทนายจำเลยจะค้านและพยายามชี้ให้เห็นจุดอ่อนของพยานหลักฐานดิจิทัลที่ฝ่ายโจทก์นำมาใช้กล่าวอ้างอย่างไร บางครั้งก็ประสบปัญหาว่าศาลไม่รับฟังคำค้าน
นอกจากนี้ ทนายความหลายคนที่ร่วมอบรมเห็นตรงกันว่า หลายคดีที่เกี่ยวข้องกับ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 แม้ทนายจะเห็นช่องโหว่หรือจุดอ่อนในพยานหลักฐานดิจิทัลที่ฝ่ายรัฐนำมาใช้อ้าง แต่ในทางปฏิบัติแล้ว บ่อยครั้งพบว่าลูกความเลือกที่จะไม่สู้คดี แต่กลับเลือกที่จะสารภาพแทนแม้ว่าจะไม่ได้กระทำผิดจริง
“เพราะเมื่อเลือกที่จะสู้คดีไปก็ไม่รู้ว่าจะต้องติดอยู่ในคุกไปนานแค่ไหน แล้วสุดท้ายจะชนะหรือไม่ ในขณะที่หากเลือกรับสารภาพ เขาก็จะรู้แน่นอนว่าต้องติดคุกกี่ปี ได้รับโทษกึ่งหนึ่ง และมีสิทธิได้รับการอภัยโทษ” ทนายท่านหนึ่งกล่าว