AI·규제

พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์: ภาระการปฏิบัติตามและความทับซ้อนกับ PDPA

2026-07-05 · 1분 읽기 · MeshLaw ห้องข่าว

การเปลี่ยนผ่านสู่เศรษฐกิจดิจิทัลทำให้ความมั่นคงปลอดภัยไซเบอร์กลายเป็นวาระสำคัญระดับชาติ ประเทศไทยได้วางกรอบกฎหมายรองรับผ่านพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 (Cybersecurity Act) ซึ่งประกาศใช้พร้อมกับ PDPA และเป็นส่วนหนึ่งของชุดกฎหมายดิจิทัลที่ปรับปรุงกรอบการกำกับดูแลพื้นที่ไซเบอร์ของประเทศ กฎหมายฉบับนี้มุ่งคุ้มครองโครงสร้างพื้นฐานสำคัญของประเทศจากภัยคุกคามทางไซเบอร์ และวางกลไกการรับมือเหตุการณ์ในระดับชาติ ทีมกฎหมายและทีมความมั่นคงสารสนเทศขององค์กรจำเป็นต้องเข้าใจภาระหน้าที่ภายใต้กฎหมายนี้ โดยเฉพาะจุดที่ทับซ้อนกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

โครงสร้างการกำกับดูแล

กฎหมายกำหนดโครงสร้างสถาบันหลายระดับเพื่อบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ของประเทศ ประกอบด้วยคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (National Cyber Security Committee) ทำหน้าที่กำหนดนโยบายและแผนระดับชาติ คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ที่ดูแลการปฏิบัติเชิงปฏิบัติการ และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช. หรือ NCSA) ที่ทำหน้าที่เป็นหน่วยงานหลักในการประสานงาน เฝ้าระวัง และตอบสนองต่อภัยคุกคาม โครงสร้างนี้สะท้อนแนวทางการกำกับดูแลแบบรวมศูนย์ที่ให้รัฐมีบทบาทเชิงรุกในการปกป้องพื้นที่ไซเบอร์

หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII)

หัวใจของกฎหมายอยู่ที่แนวคิด "โครงสร้างพื้นฐานสำคัญทางสารสนเทศ" (Critical Information Infrastructure หรือ CII) ซึ่งหมายถึงระบบคอมพิวเตอร์ที่หากถูกกระทบจะส่งผลร้ายแรงต่อความมั่นคงหรือบริการสาธารณะที่จำเป็น กฎหมายระบุภาคส่วนที่อาจถูกกำหนดเป็น CII ได้แก่

  • ด้านความมั่นคงของรัฐ
  • ด้านบริการภาครัฐที่สำคัญ
  • ด้านการเงินการธนาคาร
  • ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม
  • ด้านการขนส่งและโลจิสติกส์
  • ด้านพลังงานและสาธารณูปโภค
  • ด้านสาธารณสุข

องค์กรที่ถูกกำหนดให้เป็นหน่วยงาน CII ต้องแบกรับภาระการปฏิบัติตามกฎหมายที่เข้มข้นกว่าหน่วยงานทั่วไปอย่างมีนัยสำคัญ ประเด็นสำคัญคือหน่วยงาน CII ไม่ได้จำกัดเฉพาะภาครัฐ แต่รวมถึงองค์กรเอกชนที่ดำเนินการในภาคส่วนวิกฤตเหล่านี้ด้วย

ภาระการปฏิบัติตามของหน่วยงาน CII

หน่วยงานที่ถูกกำหนดเป็น CII มีหน้าที่ตามกฎหมายหลายประการที่ต้องดำเนินการอย่างต่อเนื่อง

  • จัดทำและปฏิบัติตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านความมั่นคงปลอดภัยไซเบอร์ที่หน่วยงานกำกับกำหนด
  • ประเมินความเสี่ยงและตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์เป็นระยะ รวมถึงการตรวจประเมินโดยผู้ตรวจสอบอิสระ
  • แจ้งเหตุภัยคุกคามทางไซเบอร์ต่อ NCSA เมื่อเกิดหรือคาดว่าจะเกิดภัยคุกคาม
  • แต่งตั้งผู้รับผิดชอบและจัดให้มีกลไกรับมือเหตุการณ์
  • ให้ความร่วมมือกับหน่วยงานกำกับในการป้องกันและรับมือภัยคุกคาม

การจำแนกระดับภัยคุกคามและอำนาจรัฐ

กฎหมายจำแนกภัยคุกคามทางไซเบอร์ออกเป็นสามระดับ คือระดับไม่ร้ายแรง ระดับร้ายแรง และระดับวิกฤต โดยแต่ละระดับให้อำนาจเจ้าหน้าที่รัฐแตกต่างกัน ในระดับที่รุนแรงขึ้น เจ้าหน้าที่อาจมีอำนาจเข้าตรวจสอบระบบ เข้าถึงข้อมูล หรือดำเนินมาตรการเพื่อยับยั้งภัยคุกคาม อำนาจในลักษณะนี้เคยเป็นประเด็นถกเถียงในแง่ผลกระทบต่อสิทธิเสรีภาพและความเป็นส่วนตัว จึงมีการกำหนดกลไกถ่วงดุล เช่น การขออนุญาตจากศาลในมาตรการที่กระทบสิทธิอย่างมีนัยสำคัญในกรณีที่ไม่ใช่ภัยระดับวิกฤตที่ต้องดำเนินการเร่งด่วน องค์กรจึงควรเข้าใจขอบเขตอำนาจเหล่านี้เพื่อเตรียมกระบวนการรองรับการร้องขอจากรัฐอย่างถูกต้อง

ความทับซ้อนกับ PDPA

จุดที่ทีมกฎหมายต้องให้ความสำคัญมากที่สุดคือความสัมพันธ์ระหว่างกฎหมายไซเบอร์กับ PDPA เพราะเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์จำนวนมากเกี่ยวข้องกับข้อมูลส่วนบุคคลโดยตรง ประเด็นทับซ้อนที่สำคัญ ได้แก่

  • การแจ้งเหตุที่แตกต่างกัน เมื่อเกิดเหตุที่เป็นทั้งภัยคุกคามไซเบอร์และการละเมิดข้อมูลส่วนบุคคล องค์กรอาจต้องแจ้งทั้ง NCSA ตามกฎหมายไซเบอร์และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงตาม PDPA ซึ่งมีวัตถุประสงค์และกรอบเวลาต่างกัน
  • มาตรการรักษาความปลอดภัย PDPA กำหนดให้ผู้ควบคุมข้อมูลต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ซึ่งกรอบมาตรฐานด้านไซเบอร์สามารถใช้เป็นแนวทางในการปฏิบัติได้ ทำให้ทั้งสองกฎหมายเสริมกัน
  • การเข้าถึงข้อมูลโดยรัฐ อำนาจการเข้าถึงข้อมูลตามกฎหมายไซเบอร์ต้องพิจารณาควบคู่กับหลักการคุ้มครองข้อมูลส่วนบุคคล องค์กรต้องมีนโยบายที่ชัดเจนในการตอบสนองคำร้องขอโดยรักษาสมดุลระหว่างการปฏิบัติตามกฎหมายและการคุ้มครองสิทธิของเจ้าของข้อมูล

แนวทางการเตรียมความพร้อมสำหรับองค์กร

การปฏิบัติตามกฎหมายไซเบอร์และ PDPA อย่างมีประสิทธิภาพควรใช้แนวทางบูรณาการมากกว่าการแยกจัดการเป็นโครงการเอกเทศ องค์กรควรดำเนินการดังนี้

  • ประเมินว่าองค์กรเข้าข่ายเป็นหน่วยงาน CII หรืออยู่ในห่วงโซ่อุปทานของหน่วยงาน CII หรือไม่ เพราะภาระหน้าที่แตกต่างกันอย่างมาก
  • จัดทำแผนตอบสนองเหตุการณ์แบบครบวงจรที่ครอบคลุมทั้งการแจ้งเหตุไซเบอร์และการแจ้งเหตุละเมิดข้อมูล พร้อมกำหนดผู้รับผิดชอบและช่องทางการรายงานที่ชัดเจน
  • ปรับกรอบธรรมาภิบาลให้ DPO ตาม PDPA และผู้รับผิดชอบด้านความมั่นคงปลอดภัยไซเบอร์ทำงานประสานกัน
  • ทบทวนสัญญากับผู้ให้บริการภายนอกให้ครอบคลุมพันธะด้านความมั่นคงปลอดภัยและการแจ้งเหตุ
  • ฝึกซ้อมการรับมือเหตุการณ์เป็นระยะเพื่อทดสอบความพร้อมในทางปฏิบัติ

โดยสรุป กฎหมายการรักษาความมั่นคงปลอดภัยไซเบอร์และ PDPA เป็นสองเสาหลักของกรอบการกำกับดิจิทัลของไทยที่ทำงานสอดประสานกัน องค์กรที่มองภาพรวมและออกแบบระบบธรรมาภิบาลข้อมูลและความมั่นคงปลอดภัยแบบบูรณาการจะสามารถปฏิบัติตามกฎหมายได้อย่างมีประสิทธิภาพ ลดความซ้ำซ้อน และพร้อมรับมือกับภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็ว

법률 업무에 AI, 신중하게 도입하세요

MeshLaw는 변호사를 위한 AI 사건관리 도구입니다. 환각 없이, 검증 가능하게.

MeshLaw 살펴보기 →

← 전체 브리핑 보기

변호사를 위한 AI 사건관리 — MeshLaw 무료로 써보기 →