ISO / GMP / อย.

Computer Crime Act 2017: คู่มือ พ.ร.บ.คอมพิวเตอร์ สำหรับ SME ไทย 2026

พ.ร.บ.คอมพิวเตอร์ 2560 (Computer Crime Act) คือกฎหมายไทยที่ทุก SME ต้องรู้ บทความนี้สรุปเนื้อหาสำคัญ บทลงโทษ ตัวอย่างคดี และแนวทางปฏิบัติเพื่อ compliance

AF
ADS FIT Team
·9 นาที
Share:
🛡️

# Computer Crime Act 2017: คู่มือ พ.ร.บ.คอมพิวเตอร์ สำหรับ SME ไทย 2026

ในยุคที่ทุกธุรกิจต้องอยู่กับโลกออนไลน์ ทั้งโซเชียล มีเดีย เว็บไซต์ ระบบ CRM ระบบ ERP คลาวด์ และ AI พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ คือกฎหมายที่ผู้ประกอบการ SME ไทยทุกคนต้องเข้าใจ เพราะมีผลกับการดำเนินงานในวงกว้าง ตั้งแต่การแชร์รีวิวลูกค้า การส่งอีเมล marketing การเก็บ log จนถึงการเก็บ chat ของพนักงาน

พ.ร.บ.ฉบับเดิมประกาศใช้ในปี 2550 และฉบับแก้ไข (ฉบับที่ 2) ในปี 2560 ทำให้นิยาม "ความผิด" และบทลงโทษหลายอย่างเข้มข้นขึ้นมาก หลายคดีในไทยถูกใช้กฎหมายนี้ดำเนินการกับ SME, อินฟลูเอนเซอร์ และ admin เพจ ทำให้ทุกองค์กรควรมีระบบ compliance ที่ชัดเจน

บทความนี้จะสรุปสาระสำคัญ มาตราหลัก โทษ ตัวอย่างคดี และแนวทางปฏิบัติที่ SME ควรนำไปใช้ทันที โดยเรียบเรียงในรูปแบบที่อ่านเข้าใจง่าย ไม่ใช่ภาษากฎหมายแห้ง

> หมายเหตุ: บทความนี้เป็นข้อมูลเชิงการศึกษา ไม่ใช่คำปรึกษาทางกฎหมาย หากมีคดีหรือข้อสงสัยเฉพาะ ควรปรึกษาทนายความที่ได้รับใบอนุญาต

พ.ร.บ.คอมพิวเตอร์ คืออะไร? ทำไมต้องสนใจ

พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ คือกฎหมายไทยที่ออกมาเพื่อจัดการกับอาชญากรรมทาง cyber ครอบคลุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต การปลอมแปลง การโพสต์ข้อมูลผิด การแพร่ malware ไปจนถึงการใช้คอมพิวเตอร์ในการกระทำผิดอื่น

สำหรับ SME สิ่งที่ต้องเข้าใจคือ ตัวเราอาจตกอยู่ในฐานะทั้ง ผู้เสียหาย (เมื่อโดนแฮ็ก โดน defame) และ ผู้กระทำผิด (เมื่อโพสต์ข้อความที่อาจเข้าข่าย หรือเก็บ log ไม่ครบ) จึงควรเตรียมตัวทั้งสองด้าน

มาตราสำคัญที่ SME ต้องรู้

| มาตรา | สาระสำคัญ | โทษสูงสุด |

|------|----------|-----------|

| ม.5 | เข้าถึงระบบโดยไม่ได้รับอนุญาต | จำคุก 6 เดือน / ปรับ 10,000 บาท |

| ม.7 | เข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ | จำคุก 2 ปี / ปรับ 40,000 บาท |

| ม.8 | ดักรับข้อมูลที่ส่งระหว่างเครื่อง | จำคุก 3 ปี / ปรับ 60,000 บาท |

| ม.9 | แก้ไข/เปลี่ยนแปลงข้อมูลผู้อื่น | จำคุก 5 ปี / ปรับ 100,000 บาท |

| ม.10 | รบกวน ทำให้ระบบไม่ทำงาน (DDoS) | จำคุก 5 ปี / ปรับ 100,000 บาท |

| ม.11 | ส่ง spam / รบกวน email | ปรับสูงสุด 200,000 บาท |

| ม.14 | นำเข้าข้อมูลเท็จ ทำให้เสียหาย | จำคุก 5 ปี / ปรับ 100,000 บาท |

| ม.16 | ตัดต่อภาพให้ผู้อื่นเสียชื่อเสียง | จำคุก 3 ปี / ปรับ 200,000 บาท |

| ม.26 | ผู้ให้บริการต้องเก็บ log ไม่น้อยกว่า 90 วัน | ปรับสูงสุด 500,000 บาท |

มาตรา 14 และ 16: ที่ SME ต้องระวังที่สุด

มาตรา 14 และ 16 คือสองมาตราที่ SME มักถูกดำเนินคดีบ่อยที่สุด เพราะเกี่ยวกับการ "โพสต์" หรือ "แชร์" ข้อมูล

มาตรา 14 ครอบคลุมการนำเข้าข้อมูลที่บิดเบือน ปลอม เท็จ ที่อาจก่อให้เกิดความเสียหายต่อผู้อื่น ความมั่นคง หรือความสงบเรียบร้อย ตัวอย่างที่ SME ต้องระวังคือ การโพสต์เปรียบเทียบสินค้าคู่แข่งแบบโจมตี การกล่าวอ้างคุณสมบัติสินค้าเกินจริง การแชร์ fake news แม้จะเป็นเพจส่วนตัว

มาตรา 16 ครอบคลุมการนำเข้าภาพ ตัดต่อ ดัดแปลง ที่ทำให้ผู้อื่นเสียชื่อเสียง ตัวอย่างที่ SME ต้องระวังคือ การใช้ meme ที่มีหน้าคนจริงโดยไม่ได้รับอนุญาต การตัดต่อภาพคู่แข่งเพื่อล้อเลียน

หน้าที่ของ "ผู้ให้บริการ" (Service Provider)

หาก SME เป็น "ผู้ให้บริการ" ตามนิยามของกฎหมาย เช่น เปิดเว็บไซต์ที่มีระบบ comment, มีระบบ chat, ทำ marketplace, ให้บริการ Wi-Fi ภายในร้าน จะมีหน้าที่เพิ่มเติมตามมาตรา 26

หน้าที่หลักคือต้องเก็บ Computer Traffic Log ไว้ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลเข้าสู่ระบบ ข้อมูลที่ต้องเก็บประกอบด้วย IP address ของผู้ใช้ เวลาที่เข้าใช้ ประเภทบริการที่ใช้ การ login/logout และข้อมูลที่จำเป็นต้องระบุตัวตนของผู้ใช้บริการ

หากไม่เก็บหรือเก็บไม่ครบ มีโทษปรับสูงสุด 500,000 บาท ซึ่ง SME หลายแห่งไม่รู้และไม่ได้เตรียมระบบไว้

ตัวอย่างคดีที่ SME มักโดน

มีหลายกรณีที่เกิดขึ้นกับธุรกิจ SME ในไทยที่สามารถนำมาเป็นบทเรียน

กรณี Influencer รีวิวสินค้าแบบเปรียบเทียบ มีอินฟลูเอนเซอร์รีวิวเครื่องสำอางและเปรียบเทียบกับแบรนด์คู่แข่งในเชิงลบ ถูกฟ้องตามมาตรา 14 และ 16 พร้อมข้อหาหมิ่นประมาท

กรณีร้านอาหารโพสต์ภาพลูกค้า ร้านอาหารโพสต์ภาพลูกค้าที่หนีบิลในเพจ พร้อมเปิดเผยใบหน้า ถูกฟ้องตามมาตรา 14 และ PDPA

กรณี admin เพจแชร์ข่าวลือ admin ของเพจธุรกิจแชร์ข่าวเรื่องคู่แข่งโดยไม่ได้ตรวจสอบที่มา ถูกร้องเรียนและฟ้องตามมาตรา 14

ตารางเปรียบเทียบ พ.ร.บ.คอมฯ vs PDPA

| ประเด็น | พ.ร.บ.คอมพิวเตอร์ | PDPA |

|---------|------------------|------|

| ขอบเขต | การกระทำผิดผ่านคอมพิวเตอร์ | การเก็บ/ใช้/เปิดเผยข้อมูลส่วนบุคคล |

| ผู้ดูแลกฎหมาย | สำนักงานตำรวจ + ดีอีเอส | สคส. (PDPC) |

| โทษสูงสุด | จำคุกและปรับ | ปรับ 5 ล้านบาท + คดีแพ่ง |

| ใช้กับ SME | ทุกธุรกิจที่มี IT | ทุกธุรกิจที่เก็บข้อมูลคน |

| Log ที่ต้องเก็บ | 90 วัน (ม.26) | ตามนโยบาย DPA |

ในทางปฏิบัติ SME ต้องปฏิบัติตามทั้งสองกฎหมายควบคู่กัน

How-to: 7 ขั้นตอน Compliance พ.ร.บ.คอมฯ สำหรับ SME

ขั้นที่ 1: แต่งตั้งผู้รับผิดชอบ มีคนหรือทีมที่ดูแล cyber compliance ชัดเจน อาจรวมกับ DPO (Data Protection Officer) ของ PDPA

ขั้นที่ 2: ทำ Asset Inventory ทำรายการระบบคอมพิวเตอร์ทั้งหมดของบริษัท เซิร์ฟเวอร์ คลาวด์ Wi-Fi เพจ social ระบบ ERP/CRM ระบุว่าใครเป็นผู้รับผิดชอบ

ขั้นที่ 3: ตั้งระบบเก็บ Log ติดตั้งระบบ centralized logging เช่น Graylog, Wazuh, ELK Stack หรือบริการ SIEM ที่เก็บ log ครบถ้วน 90 วันขึ้นไป

ขั้นที่ 4: เขียนนโยบาย Acceptable Use เขียน policy บอกพนักงานชัดเจนว่าทำอะไรได้/ไม่ได้บนระบบบริษัท

ขั้นที่ 5: อบรมพนักงานเรื่องโพสต์ social SME หลายแห่งโดนเพราะแอดมินเพจไม่รู้กฎหมาย ควรจัด training ปีละครั้ง

ขั้นที่ 6: ตั้งกระบวนการ Incident Response เตรียม flow การรับมือเมื่อโดนแฮ็ก หรือมีการรายงานข้อมูลรั่ว

ขั้นที่ 7: Review ปีละครั้ง ทบทวน policy + log retention + training อย่างน้อยปีละครั้ง

เครื่องมือและเทคโนโลยีที่แนะนำ

SME ที่ใช้ Laravel หรือ Next.js สามารถใช้เครื่องมือ open-source หลายตัวเพื่อช่วย compliance

สำหรับการเก็บ Log แนะนำ Wazuh (open-source SIEM) หรือ Graylog ทำงานร่วมกับ syslog ของ server ได้ดี เก็บ log แบบ centralized และมี dashboard ค้นหา

สำหรับ Web Application ใช้ Laravel Telescope หรือ Sentry เก็บ request log ทุก endpoint ครบถ้วน รวม IP, user, timestamp

สำหรับ Authentication ใช้ Laravel Sanctum หรือ NextAuth.js เก็บ session log พร้อม IP และ user agent

สำหรับ Server ตั้งค่า rsyslog หรือ journald ส่งเข้า Wazuh/Graylog เก็บ traffic log ของ Nginx/Apache

สรุป + Call to Action

พ.ร.บ.คอมพิวเตอร์ 2560 ไม่ใช่กฎหมายที่จะหายไปไหน ตรงข้าม รัฐกำลังทำให้ระบบ enforcement เข้มขึ้นเรื่อย ๆ ทั้งในด้าน digital evidence และความร่วมมือระหว่าง สคส., ดีอีเอส และตำรวจ SME ที่เตรียมตัวก่อนจะได้เปรียบทั้งด้านความเสี่ยงและความน่าเชื่อถือต่อลูกค้า

Key takeaways:

  • มาตรา 14, 16 = ระวังการโพสต์/แชร์ข้อมูล
  • มาตรา 26 = ต้องเก็บ log ไม่น้อยกว่า 90 วัน
  • ต้องทำควบคู่กับ PDPA
  • เริ่มจาก asset inventory + log retention + training

    • หากต้องการคำปรึกษาในการสร้างระบบ Compliance สำหรับ พ.ร.บ.คอมฯ + PDPA ทีม ADS FIT พร้อมช่วยออกแบบสถาปัตยกรรมระบบและ Logging Pipeline บน Laravel/Next.js ที่ตรงกับกฎหมายไทย ติดต่อเราเพื่อรับ assessment ฟรี หรืออ่านบทความ Compliance อื่น ๆ เพิ่มเติมได้ที่บล็อกของเรา

    Tags

    #พ.ร.บ.คอมพิวเตอร์#Computer Crime Act#Cyber Law#Compliance#PDPA

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที