2015.10.27 17:32
เมื่อวันอาทิตย์ ที่ 25 ต.ค.ที่ผ่านมา เครือข่ายพลเมืองเน็ต ร่วมกับโครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน และศูนย์ทนายความเพื่อสิทธิมนุษยชน จัดบรรยายสาธารณะว่าด้วยหลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล ครั้งที่ 3 ในหัวข้อ “พยานหลักฐานอิเล็กทรอนิกส์ในรัฐ” ณ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์
วิทยากรในการบรรยายครั้งนี้ ได้แก่ พ.ต.ท.สันติพัฒน์ พรหมะจุล จากกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.) และพ.ต.ท.หญิง จีรบูรณ์ บำเพ็ญนรกิจ จากสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
การตรวจพิสูจน์พยานหลักฐานดิจิทัลของ ปอท.
พ.ต.ท.สันติพัฒน์ พรหมะจุล จากกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.) กล่าวถึงการปฏิบัติงานตรวจและพิสูจน์พยานหลักฐานดิจิทัลของ ปอท. ว่า
- ในการตรวจยึดพยานหลักฐานดิจิทัลกรณีที่เป็นเครื่องคอมพิวเตอร์ หากเครื่องเปิดอยู่เจ้าหน้าที่จะถ่ายภาพหน้าจอเก็บไว้ ส่วนกรณีที่ต้องการเก็บข้อมูลที่ใช้ในการประมวลผล (volatile data หรือ volatile memory ซึ่งเป็นข้อมูลที่สามารถสูญหายไปทันทีที่ปิดเครื่องคอมพิวเตอร์ อาทิ ข้อมูลที่บันทึกในแรม) เจ้าหน้าที่ต้องใส่ซอฟต์แวร์เข้าไปในคอมพิวเตอร์ของผู้ต้องสงสัย แต่หากผู้ต้องสงสัยไม่ยอมเนื่องจากกลัวว่าอุปกรณ์ที่บรรจุซอฟต์แวร์จะนำข้อมูลอื่นเข้าไปในคอมพิวเตอร์ของตน เจ้าหน้าที่ก็จะไม่ทำ เพราะผู้ต้องสงสัยอาจหยิบยกการกระทำดังกล่าวมาเป็นข้อต่อสู้ในศาลได้
- ในกรณีที่พบพยานหลักฐานปรากฎบนหน้าจอ เจ้าหน้าที่จะถ่ายภาพหน้าจอแล้วพิมพ์ออกมาเมื่อให้ผู้ต้องสงสัยเซ็นชื่อรับรอง
- ในการตรวจยึดสมาร์ตโฟนและแท็บเล็ตที่มีรหัสป้องกัน เจ้าหน้าที่จะปลดรหัสโดยถามรหัสจากเจ้าของอุปกรณ์ โดย พ.ร.บ.คอมพิวเตอร์ 2550 ได้ให้อำนาจเจ้าหน้าที่ในการสั่งให้ผู้ต้องสงสัยบอกรหัสผ่าน แต่ในการปฏิบัติงานที่ผ่านมา พนักงานเจ้าหน้าที่ยังไม่เคยใช้อำนาจตามข้อกฎหมายดังกล่าว แต่จะใช้วิธีการกดดัน พูดเกลี้ยกล่อม หรือวิธีการอื่นร่วมด้วยในการทำให้ผู้ต้องสงสัยยอมบอกรหัสผ่าน
- เมื่อปลดรหัสได้แล้ว เจ้าหน้าที่จะปรับอุปกรณ์ให้เป็นโหมดการบิน (flight mode) เพื่อป้องกันไม่ให้อุปกรณ์ติดต่อกับเครือข่ายคอมพิวเตอร์ เพื่อไม่ให้เกิดการเปลี่ยนแปลงในพยานหลักฐานดิจิทัล จากนั้นจะบรรจุอุปกรณ์ลงในถุงฟาราเดย์ (Faraday Bag) ซึ่งเป็นถุงที่ป้องกันคลื่นแม่เหล็กไฟฟ้า แต่เนื่องจากถุงดังกล่าวมีราคาแพง บางครั้งเจ้าหน้าที่จึงห่ออุปกรณ์ด้วยกระดาษตะกั่วหรือแผ่นฟอยล์หลายชั้น พ.ต.ท.สันติพัฒน์ยอมรับว่า บางครั้งการห่อดาษตะกั่วหรือแผ่นฟอยล์ก็ไม่สามารถรักษาสภาพพยานหลักฐานดิจิทัลไม่ให้เปลี่ยนแปลงได้ดีเหมือนถุงฟาราเดย์ ในการยึดพยานหลักฐานนี้ เจ้าหน้าที่จะยึดสายสัญญาณที่แปลงไฟฟ้าของเครื่องมาด้วย
- เมื่อยึดอุปกรณ์ดิจิทัลมาจากผู้ต้องสงสัยได้แล้ว สิ่งที่เจ้าหน้าที่ตรวจพิสูจน์พยานหลักฐานดิจิทัลจะทำคือการทำสำเนาข้อมูล และยืนยันความถูกต้องของต้นฉบับและสำเนาด้วยการเปรียบเทียบค่าแฮช (hash) ซึ่งค่าแฮชเป็นตัวทำให้มั่นใจว่าจะไม่มีการ “ยัดยา” หรือการที่เจ้าหน้าที่แอบใส่ข้อมูลผิดกฎหมายลงไปในอุปกรณ์ของผู้ต้องสงสัย อย่างไรก็ตาม ที่ผ่านมายังไม่มีคดีใดที่ศาลขอให้มีการเปรียบเทียบค่าแฮชระหว่างต้นฉบับและสำเนา
พ.ต.ท.สันติพัฒน์กล่าวต่อว่า ในการรวบรวมพยานหลักฐานในสถานที่เกิดเหตุ นอกจากหลักฐานดิจิทัลแล้ว พยานหลักฐานอื่นเช่น ลายนิ้วมือบนเครื่องคอมพิวเตอร์โน้ตบุ๊กก็เป็นสิ่งที่ไม่ควรมองข้าม
ส่วนข้อมูลการกระทำผิดที่อยู่ในคลาวด์ (cloud) นั้น บ่อยครั้งที่เจ้าหน้าที่ไม่พบข้อมูลการกระทำผิดในอุปกรณ์ผู้ต้องสงสัย เพราะข้อมูลเหล่านั้นอยู่ในคลาวด์ นอกจากนี้ ผู้เผยแพร่ภาพลามกเด็กยังมักใช้วิธีเผยแพร่ภาพเหล่านี้ด้วยวิธีการแจกบัญชีผู้ใช้ (account) เพื่อให้คนอื่นเข้าไปดูได้ การทำแบบนี้เป็นการยากต่อการสืบสวนของเจ้าหน้าที่ เนื่องจากเจ้าหน้าที่ไม่สามารถทราบได้ว่าใครเป็นผู้อัปโหลดข้อมูลเข้าไปในคลาวด์ และหลายครั้ง เมื่อมีผู้กระทำผิดคนหนึ่งถูกจับ คนอื่นๆ ที่ใช้ชื่อบัญชีเดียวกันก็จะเข้าไปลบข้อมูลบนคลาวด์ออก
พ.ต.ท.สันติพัฒน์กล่าวถึงความท้าทายในการทำงานของเจ้าหน้าที่ว่า คือการพิสูจน์ว่าผู้ใดเป็นผู้ใช้อุปกรณ์ซึ่งเป็นอุปกรณ์ที่ใช้กระทำความผิด ยังมีความท้าทายจากการที่ผู้กระทำผิดเก็บข้อมูลการกระทำผิดไว้บนคลาวด์ มีอุปสรรคจากการเข้ารหัสอุปกรณ์ และความท้าทายจากการปฏิบัติงานให้ทันกับเวลา โดยพ.ร.บ.คอมพิวเตอร์ 2550 ที่บังคับให้ผู้ให้บริการต้องเก็บข้อมูลของผู้ใช้ไว้ 90 วันนั้น ในบางครั้งเจ้าหน้าที่ก็ไม่สามารถปฏิบัติงานได้ทันกับระยะเวลาดังกล่าว
ขอข้อมูลจากเฟซบุ๊ก กูเกิล – ไม่ง่าย ใช้เทคนิคจดทะเบียนเป็นบริษัทการตลาด
พ.ต.ท.สันติพัฒน์กล่าวถึงการขอข้อมูลจากผู้ให้บริการ เพื่อจะนำมาเป็นพยานหลักฐานดิจิทัลว่า ผู้ให้บริการในไทยส่วนใหญ่จะให้ความร่วมมือกับเจ้าหน้าที่ แต่สำหรับผู้ให้บริการในต่างประเทศ เช่น เฟซบุ๊ก กูเกิล ในคดีที่ผิดกฎหมายในประเทศไทยแต่ไม่ผิดกฎหมายในต่างประเทศ ผู้ให้บริการก็จะไม่ยินยอมส่งข้อมูลมาให้ ไม่ว่าเจ้าหน้าที่จะอ้างเรื่องความมั่นคงของชาติก็ตาม เนื่องจากบริษัทเหล่านี้ห่วงเรื่องข้อมูลส่วนบุคคลของลูกค้า อีกทั้งยังต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศตน
อย่างไรก็ตาม พ.ต.ท.สันติพัฒน์กล่าวว่า ที่ผ่านมา หากเจ้าหน้าที่ขอข้อมูลไปยังบริษัทไมโครซอฟต์ ไมโครซอฟต์ได้ให้ความร่วมมือค่อนข้างดี ต่างจากเฟซบุ๊กและกูเกิล เนื่องจากบริษัทลูกของเฟซบุ๊กและกูเกิลที่ตั้งอยู่ในประเทศไทยใช้เทคนิคจดทะเบียนเป็นบริษัทด้านการตลาด ไม่ได้จดทะเบียนเป็นผู้ให้บริการอินเทอร์เน็ต กฎหมายไทยจึงไม่สามารถบังคับให้ 2 บริษัทนี้เปิดเผยข้อมูลของผู้ใช้บริการกับเจ้าหน้าที่
พ.ต.ท.สันติพัฒน์กล่าวต่อว่า แต่หากเป็นคดีที่เกี่ยวข้องกับภาพลามกเด็ก หรือการก่อการร้าย ผู้ให้บริการต่างประเทศจะยินดีให้ข้อมูล แต่ต้องผ่านขั้นตอนต่างๆ ซึ่งกินระยะเวลาพอสมควร
เนื่องจากการส่งมอบข้อมูลตามวิธีการปกตินั้นใช้เวลานาน อีกวิธีหนึ่งที่เจ้าหน้าที่ใช้คือการขอผ่านองค์การตำรวจอาชญากรรมระหว่างประเทศ (International Criminal Police Organization – INTERPOL) หรือหากรู้จักกับตำรวจในต่างประเทศอยู่แล้ว ก็อาจใช้วิธีขอข้อมูลกับตำรวจในต่างประเทศโดยตรง อย่างไรก็ตาม ข้อมูลที่ได้จาก 2 ช่องทางนี้จะไม่สามารถนำมาใช้เป็นพยานหลักฐานในชั้นศาลได้ เพียงแต่นำมาเป็นข้อมูลเบื้องต้นเพื่อใช้ในการสอบสวนเท่านั้น
ในตอนท้าย พ.ต.ท.สันติพัฒน์ได้ตอบคำถามผู้เข้าร่วมฟังบรรยาย โดยระบุว่า ในการขอหมายค้นพยานหลักฐานดิจิทัลจากศาล หากเป็นคดีที่อยู่ก้ำกึ่งระหว่างการกระทำผิดทางคอมพิวเตอร์และความผิดทางอาญา ปอท.มักขอหมายค้นโดยอาศัยกฎหมายประมวลวิธีพิจารณาความอาญา เนื่องจาก พ.ร.บ.คอมพิวเตอร์ 2550 กำหนดให้เก็บพยานหลักฐานไว้ได้เพียง 2 สัปดาห์เท่านั้น แต่กฎหมายประมวลวิธีพิจารณาความอาญาไม่ได้กำหนดระยะเวลาในการเก็บพยานหลักฐาน
สุดท้าย ผู้เข้าร่วมที่เป็นทนายถามว่า บางครั้งทนายจำเลยก็อยากได้พยานหลักฐานดิจิทัล เช่น คลิปวิดีโอ ที่อยู่ในอุปกรณ์อิเล็กทรอนิกส์ที่เจ้าหน้าที่ยึดไปเช่นกัน ทนายจำเลยจะมีวิธีการเข้าถึงพยานหลักฐานนั้นได้อย่างไร ผู้เข้าร่วมท่านหนึ่งซึ่งเป็นเจ้าหน้าที่อัยการให้ความเห็นในเรื่องนี้ว่า ตามกฎหมาย ทนายสามารถร้องขอทั้งในชั้นสอบสวน ชั้นอัยการ และชั้นศาล ให้มีการตรวจพิสูจน์พยานหลักฐานดิจิทัลที่จะยืนยันความบริสุทธิ์ของจำเลยได้ อย่างไรก็ตาม กิตติพงษ์ ปิยะวรรณโณ ผู้เชี่ยวชาญด้านเทคนิคซึ่งเป็นผู้เข้าร่วมการบรรยายได้แลกเปลี่ยนในประเด็นนี้ว่า ในบางครั้งการทำสำเนาข้อมูลดิจิทัลจำเป็นต้องแกะอุปกรณ์ออก ทำให้พยานหลักฐานดิจิทัลที่ทนายจำเลยต้องการไม่อาจตรวจค้นซ้ำได้อีก
การตรวจพิสูจน์พยานหลักฐานดิจิทัลของสพธอ.
ทางด้าน พ.ต.ท.หญิง จีรบูรณ์ บำเพ็ญนรกิจ จากสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) กล่าวถึงศูนย์ตรวจพิสูจน์พยานหลักฐานดิจิทัลของ สพธอ. ว่า ศูนย์ฯ เน้นให้บริการตรวจและพิสูจน์พยานหลักฐานดิจิทัลแก่หน่วยงานภาครัฐเป็นหลัก โดยทำงานเหมือนเป็นผู้ช่วยพนักงานสอบสวน และที่ผ่านมา เจ้าหน้าที่ของศูนย์ก็ถูกร้องขอให้ไปเป็นพยานผู้เชี่ยวชาญในคดีที่เกี่ยวข้องกับพยานหลักฐานดิจิทัลด้วย
คดีส่วนใหญ่ในปี 2558 ที่ศูนย์ฯ ทำหน้าที่ตรวจพิสูจน์พยานหลักฐานดิจิทัลคือคดีอาชญากรรม ตามมาด้วยคดีละเมิดลิขสิทธิ์ คดีเจาะระบบและมัลแวร์ รวมถึงมีคดีที่เกี่ยวกับการฉ้อโกงและความผิดอื่นๆ
พ.ต.ท.หญิง จีรบูรณ์กล่าวว่า ศูนย์ฯ มีห้องปฏิบัติการร่วม (joint lab) ซึ่งเป็นที่ที่เจ้าพนักงานผู้บังคับใช้กฎหมายกับเจ้าหน้าที่ทางเทคนิคมาทำงานร่วมกัน โดยเจ้าพนักงานสอบสวนจะบอกเจ้าหน้าที่ว่าข้อมูลที่ต้องการคือข้อมูลอะไรบ้าง ที่ผ่านมาพบปัญหาว่า เจ้าพนักงานสอบสวนไม่สามารถกำหนดขอบเขตสิ่งที่ต้องการให้ตรวจพิสูจน์ได้ไม่ชัดเจน อาจเป็นเพราะเจ้าพนักงานสอบสวนยังไม่คุ้นเคยกับพยานหลักฐานดิจิทัล
ส่วนปัญหาอื่นที่พบในการตรวจพิสูจน์หลักฐานดิจิทัลได้แก่ การขาดความร่วมมือในการประสานงานระหว่างหน่วยงานที่เกี่ยวข้อง ในกรณีที่เจ้าหน้าที่ตรวจพิสูจน์ต้องการข้อมูลเพิ่มเติม ปัญหาเรื่องความซับซ้อนของเทคโนโลยีและปริมาณข้อมูลที่ต้องวิเคราะห์ ซึ่งหากข้อมูลมีปริมาณมาก การทำสำเนาก็จะใช้เวลานานตามไปด้วย โดยอาจใช้เวลานานกว่า 10 ชั่วโมงขึ้นไป
มาตรฐานกลาง
นอกจากนี้ อีกปัญหาหนึ่งของกระบวนการตรวจพิสูจน์พยานหลักฐานดิจิทัลของไทยในปัจจุบันคือ การขาดมาตรฐานกลางในการตรวจพิสูจน์ ซึ่งขณะนี้ สพธอ.ได้ร่างมาตรฐานกลางที่ชื่อ “Standard Operation Procedure (SOP)” ขึ้นมา โดยอยู่ในระหว่างให้หน่วยงานที่เกี่ยวข้องทดลองใช้และเสนอแนะ หน่วยงานดังกล่าวมีอาทิ สำนักงานตำรวจแห่งชาติ สำนักงานนิติวิทยาศาสตร์ สำนักงานอัยการ กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.)
พ.ต.ท.หญิง จีรบูรณ์กล่าวว่า มาตรฐาน SOP อ้างอิงมาจากมาตรฐานสากลการตรวจพิสูจน์พยานหลักฐานดิจิทัลที่ใช้กันอยู่ ทั้งมาตรฐาน ACPO Good Practice Guide for Digital Evidence, มาตรฐาน ISO/IEC 27037 และมาตรฐาน SWGDE Best Practices for Computer Forensics โดยครอบคลุมเนื้อหาทั้งหลักการเกี่ยวกับพยานหลักฐานดิจิทัล การปฏิบัติการในสถานที่เกิดเหตุ ในห้องปฏิบัติการ การบันทึกขั้นตอนการปฏิบัติการและการทำรายงาน รวมทั้งคุณสมบัติของเจ้าหน้าที่
โดยมาตรฐาน SOP ไม่ได้เป็นกฎหมายที่จะมีผลบังคับให้ผู้ตรวจพิสูจน์พยานหลักฐานต้องปฏิบัติตาม แต่เป็นเพียงมาตรฐานหรือแนวทางในการปฏิบัติงานเท่านั้น
ส่วนกฎหมายที่เจ้าหน้าที่ปฎิบัติงานในสถานที่เกิดเหตุต้องรู้ตามมาตรฐาน SOP ก็ได้แก่ พ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 กฎหมายลักษณะอาญา กฎหมายประมวลวิธีพิจารณาความอาญา และประมวลกฎหมายอาญา
ทั้งนี้ พนักงานเจ้าหน้าที่ตามพ.ร.บ.คอมพิวเตอร์ 2550 ต้องผ่านการอบรมหลักสูตร “การพิสูจน์หลักฐานทางคอมพิวเตอร์” (computer forensics) โดยใช้เวลาอบรม 1 เดือน ส่วนเจ้าหน้าที่ตรวจพิสูจน์พยานหลักฐานดิจิทัลของ สพธอ.ไม่ได้เป็น “พนักงานเจ้าหน้าที่” ตาม พ.ร.บ.คอมพิวเตอร์ 2550 แต่ทำหน้าที่เป็นผู้ช่วยทางเทคนิคแก่พนักงานเจ้าหน้าที่
พ.ต.ท.หญิง จีรบูรณ์กล่าวเพิ่มเติมในช่วงถาม-ตอบหลังการบรรยายถึงมาตรฐาน SOP โดยระบุว่า คาดว่ามาตรฐานดังกล่าวจะเริ่มใช้ได้ต้นปี 2556
ต่อคำถามที่ว่า เนื่องจากมาตรฐาน SOP ไม่ได้เป็นกฎหมายหรือมีสภาพบังคับ จะให้กระบวนการยุติธรรมหรือศาลยอมรับมาตรฐานนี้ได้อย่างไรนั้น หนึ่งในผู้เข้าร่วมซึ่งเป็นพนักงานอัยการแสดงความเห็นว่า เจ้าหน้าที่ต้องสามารถอธิบายให้ศาลเห็นว่า มาตรฐานนี้สามารถช่วยในเรื่องการพิสูจน์และยืนยัน (authentication) ได้
“โปรแกรมบรรยายสาธารณะว่าด้วยหลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานดิจิทัล” ยังมีอีก 3 ครั้ง ดูรายละเอียด
Tags: ACPO Good Practice Guide for Digital Evidence, cloud, Computer-related Crime Act, digital forensics, Electronic Transactions Development Agency, International Criminal Police Organization, ISO/IEC 27037, Standard Operation Procedure, SWGDE Best Practices for Computer Forensics, Technology Crime Suppression Division, volatile data, volatile memory