ข้อมูลคนไทยรั่วไหลง่าย ต้นตอปัญหาสแกมเมอร์

การหลอกลวงของสแกมเมอร์มีทั้ง ชักชวนให้ลงทุน ปลอมเป็นเจ้าหน้าที่ตำรวจ เป็นผู้มีอำนาจเจ้าหน้าที่รัฐ เช่น ตำรวจ เจ้าหน้าที่ไฟฟ้า ประปา และการหลอกให้รัก ส่วนหนึ่งมาจากสแกมเมอร์ที่ใช้ AI ปลอมแปลงบุคคล สร้าง AI Deepfake ขึ้นมา ซึ่งเหตุที่คนร้ายมีความน่าเชื่อถือ เพราะการเข้าถึงข้อมูลส่วนบุคคล

AI Deepfake คือการสร้างเนื้อหาภาพ เสียง และการเคลื่อนไหว ที่เสมือนเรื่องจริงจนยากที่จะแยกออกว่า ชุดข้อมูลนี้คือมนุษย์ หรือเป็นเทคโนโลยี ที่ AI เป็นผู้สร้างสรรค์ขึ้นมา เพราะ AI สามารถเรียนรู้จากข้อมูลต่าง ๆ ทั้งการให้แสงเงา การกระพริบตา การยิ้ม เลียนแบบทุกอย่าง ก่อนสร้างภาพเสียงสังเคราะห์เป็นคน ๆ นั้นออกมา  ภัยจากแก๊งสแกมเมอร์จึงทวีความรุนแรงแบบก้าวกระโดด

แม้ว่ามิจฉาชีพประเภทที่ส่ง SMS หลอกให้คนกดเข้าไปแล้วติดตั้งแอปพลิเคชันเพื่อควบคุมการปลดล็อกโทรศัพท์และโอนเงิน จะถูกปราบปรามและลดลงแล้ว แต่รูปแบบของมิจฉาชีพได้พัฒนารูปแบบการหลอกลวงรูปแบบใหม่ขึ้นมาโดยใช้ AI Deepfake

ในงานสัมมนาทางวิชาการ “สแกมเมอร์ยุค AI กฎหมายไทยพร้อมรับมือแค่ไหน?” วันที่ 28 พ.ย. 68 ที่มหาวิทยาลัยธรรมศาสตร์ ได้เสนอให้กระบวนการยุติธรรมทางไซเบอร์จะต้องพัฒนาทั้ง 3 เสาหลัก ทั้งฝ่ายกฎหมาย ฝ่ายปราบปราม และฝ่ายกำกับดูแล เพื่อชี้ให้เห็นช่องโหว่และมาตรการรับมือ

การปราบปรามสแกมเมอร์ กฎหมายไทยได้เกรด B แต่ภาคปฏิบัติได้เกรด F

ไพบูลย์ อมรภิญโญเกียรติ คณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ เริ่มต้นด้วยการชี้ตรง ๆ ว่า ปัญหาของไทยไม่ใช่การขาดกฎหมาย แต่คือ ‘การบังคับใช้’ ที่อ่อนแอ และ ความหละหลวมภายในองค์กร ต่อให้กฎหมายจะพัฒนาเร็วแค่ไหน แต่การบังคับใช้ยังตามไม่ทัน

ตัวบทกฎหมายไทย ไม่ว่าจะเป็น พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ พ.ศ. 2560 เมื่อมีโซเชียลมีเดีย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ออก เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2564 ที่ได้ครอบคลุมไปถึงแพลคฟอร์มใหม่ ๆ รวมถึง โซเชียลมีเดีย ได้รับการพัฒนามาอย่างรวดเร็วและอยู่ในระดับที่ใช้ได้ (B-Grade) อยู่ในเกณฑ์เดียวกับสากล เช่น Cyber Resilience Act ของสหภาพยุโรป

อย่างไรก็ตาม เมื่อเทียบกับวิวัฒนาการของ AI และการปฏิบัติจริง ต้องยอมรับว่าการบังคับใช้อยู่ในเกณฑ์ที่น่าเป็นห่วง และตามความเร็วของอาชญากรรมไม่ทัน

นอกจากนี้ ประเด็นที่น่าตกใจที่สุดคือ การรั่วไหลของข้อมูลส่วนบุคคล (Data Breach) ซึ่งเป็น “น้ำหล่อเลี้ยง” หลักของแก๊งสแกมเมอร์ มักเกิดจากความหละหลวมภายในของหน่วยงานภาครัฐและเอกชนที่ละเลยมาตรการรักษาความปลอดภัย เช่น การใช้ Flash Drive เสียบในระบบ Server

“ปัญหาใหญ่ก็คือ ข้อมูลหน่วยงานภาครัฐรั่วไหลอยู่ประมาณ 90 % ซึ่งทำให้แก๊งสแกมเมอร์มีความน่าเชื่อถือ เพราะข้อมูลที่พวกเขาได้ มาจากหน่วยงานภาครัฐจริง ๆ และทั้ง ๆ ที่หน่วยงานต่าง ๆ มีมาตรฐาน ISO 27001 แล้วแท้ ๆ ซึ่งเป็นมาตรฐานสากลที่กำหนดข้อกำหนดสำหรับ ระบบการจัดการความมั่นคงปลอดภัยของข้อมูล ” ไพบูลย์ เปิดเผย

ความยากลำบากของเจ้าหน้าที่คือการขอข้อมูลจราจรคอมพิวเตอร์ (Traffic Data) จาก Social Media หรือผู้ให้บริการมือถือข้ามชาติ ซึ่งมักจะปฏิเสธโดยอ้างว่าข้อมูลถูกเก็บอยู่ต่างประเทศ ทำให้การระบุตัวตนผู้กระทำผิดเป็นไปได้ยาก

“แม้กฎหมายไทยจะกำหนดให้ต้องมีการจัดเก็บข้อมูลผู้ใช้งานและยืนยันตัวตนแล้ว แต่ในทางปฏิบัติ ผู้ให้บริการก็มักจะตอบปฏิเสธเจ้าหน้าที่ว่า ‘ไม่สามารถระบุตัวตนได้’ เสมอ”

โดยเฉพาะเอกชนที่เกิดข้อมูลส่วนบุคคลรั่วไหลมักมาจากโซเชียลมีเดีย แต่อำนาจของรัฐไทยไม่สามารถบังคับบริษัทต่างชาติได้ในการนำสืบ หรือขอข้อมูลพยานหลักฐาน ดังนั้นในการดำเนินคดีให้มีประสิทธิภาพ บริษัทโซเชียลมีเดียวเหล่านี้เช่น Tiktok Facebook Instagram หรือ  X  ต้องตั้งตัวแทนในประเทศไทยเพื่อให้เกิดความรับผิดรับชอบ เพราะที่ผ่านมาบริษัทผู้ให้บริการต่าง ๆ ไม่ได้ให้ความร่วมมือ

“ในปี 2564 มีประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2564 เพราะว่าทุกอย่างที่มีการกระทําความผิด หรือทํา นิติกรรมสัญญา ทั้งทางแพ่งและทางอาญา ต้องมีการ Log-in เข้าสู่ระบบ ดังนั้น Traffic Data หรือข้อมูลจราจรทางคอมพิวเตอร์ จึงเป็นจุดที่สําคัญมาก ซึ่งขยายความไปถึงผู้ให้บริการต่าง ๆ ทั้งแพลตฟอร์มใหม่ ๆ ทุกประเภท รวมถึงตัว App Store ออนไลน์ต่าง ๆ รวมถึงปัญญาประดิษฐ์ และ social media ด้วย

กฎหมายนี้ มีข้อบังคับว่า ต้องให้ข้อมูลพนักงานเจ้าหน้าที่ แต่ผู้ให้บริการมักไม่ให้ อ้างว่าข้อมูลจัดเก็บอยู่ต่างประเทศ แม้ว่ากฎหมายนี้จะระบุว่า ข้อมูลต่างๆ  ถ้าเป็นผู้ให้บริการต่างประเทศ จะต้องจัดเก็บสําเนาไว้ในประเทศ อย่างน้อย 90 วัน ถ้าไม่เก็บสําเนา มีโทษปรับไม่เกิน 500,000 บาท อย่างไรก็ตาม เมื่อเจ้าหน้าที่ขอข้อมูลจากผู้ให้บริการต่างๆ ก็ยังไม่ได้ข้อมูลอยู่ดี”

นอกจากนี้กระบวนการทางกฎหมายยังมีปัญหาอีกประการคือ ยังคงให้ความสำคัญกับพยานบุคคลพยานวัตถุ แต่ยังไม่ให้ความสำคัญและไม่มีความรู้เกี่ยวกับพยานหลักฐานว่าด้วยอิเล็กทรอนิกส์ แม้แต่ทนายความ อัยการ ก็ไม่มีความรู้มากนักในการนำสืบ รวมทั้งผู้พิพากษา ในยุคที่ AI สามารถสร้างหลักฐานได้ ดังนั้นจะต้องมีหน่วยงานหรือผู้ชำนาญการพิเศษในการกลั่นกรองหลักฐาน

วิกฤตบัญชีม้าที่ตำรวจไทยวิ่งไล่ไม่ทัน

ในมิติของการปฏิบัติการปราบปรามนั้น ชิษณุพงศ์ ไหวดี ผู้กำกับการ 3 กองบังคับการปราบปรามอาชญากรรมทางเทคโนโลยี กล่าวถึงปัญหาในมุมปฏิบัติการว่ามีอยู่ 2 เรื่องใหญ่คือ บัญชีม้า (mule account)  และ การขอข้อมูลข้ามประเทศ

โดยยอมรับว่า บัญชีม้าคือหัวใจที่ทำให้การทำงานล่าช้าเพราะเมื่อเงินถูกโอนเข้าบัญชีม้าแล้ว จะถูกโอนต่อไปยังบัญชีอื่น ๆ อย่างรวดเร็ว การติดตามเส้นทางการเงินจึงเป็นไปอย่างยากลำบาก เมื่อตำรวจขอหมายศาล มักอายัดได้แค่บัญชีสุดท้ายที่เหลือเงินอยู่น้อยนิด

นอกจากบัญชีม้าที่เจ้าหน้าที่ตามไม่ทันแล้ว ยังมีอีกปัญหาที่เจ้าหน้าที่ยังไม่สามารถแก้ไขได้ คือการขอข้อมูลข้ามประเทศที่ยังใช้เวลานานเกินไป เป็นอุปสรรคสำคัญของเจ้าหน้าที่ในการปราบปรามสแกมเมอร์

จากการสืบสวนพบว่า AI สแกมเมอร์รายล้อมประเทศไทย มากกว่า 80 เปอร์เซนต์ของสแกมเมอร์ตั้งอยู่ที่กัมพูชา บางส่วนตั้งอยู่ที่ คิงส์โรมัน ซึ่งเป็นเขตเศรษฐกิจพิเศษสามเหลี่ยมทองคำในประเทศลาว  รวมถึงตั้งที่แม่สอด ชายแดนไทย-เมียนมา คนร้ายกลุ่มนี้ใช้ภาษาจีนเป็นหลักในการสื่อสาร ปฏิบัติการคล้ายโรงงาน มีแผนก และระบบงานที่ชัดเจน

และในการติดต่อขอข้อมูลจากแพลตฟอร์มโซเชียลมีเดียในต่างประเทศใช้เวลานานมาก บางกรณีเกิน 6 เดือน ทำให้หลักฐานดิจิทัลหายไปหมดก่อนที่กระบวนการทางกฎหมายจะเริ่มต้นได้จริง ดังนั้นการแก้ไขปัญหาปราบปรามสแกมเมอร์ไม่เพียงแต่เป็นวาระแห่งชาติ แต่เป็นวาะระระหว่างชาติ ที่ต้องสร้างความร่วมมือกับต่างประเทศด้วย

“ในหลายคดี ทางตำรวจได้ขอความร่วมมือโดยตรง ไปยังผู้ให้บริการต่างประเทศ ซึ่งผู้ให้บริการต่างประเทศ บางรายก็ให้ความร่วมมือ แต่บางรายก็ปฏิเสธ

ในส่วนของเส้นทางการเงิน  ทางตำรวจต้องมีหมายไปยังสถาบันการเงิน กว่าจะขอหมายได้ ก็ใช้ระยะเวลานาน แต่ พ.ร.ก.ปราบปรามอาชญากรรมทางเทคโนโลย ช่วยลดขั้นตอน ในการขอข้อมูล จากสถาบันการเงินได้ แต่ปัญหาหลักๆ คือ ในปัจจุบันมีสกุลเงินดิจิทัล เข้ามามีบทบาทในการกระทําความผิด ซึ่งทางตำรวจต้องอาศัยการขอหมาย ซึ่งการขอหมายไปยังหน่วยงานแลกเปลี่ยนต่างประเทศยังเป็นปัญหา เพราะยังต้องอาศัย MLAT (Mutual Legal Assistance Treaty)”

MLAT คือ สนธิสัญญาความช่วยเหลือทางกฎหมายร่วมกัน) ซึ่งเป็นข้อตกลงระหว่างประเทศเพื่อช่วยกันรวบรวมและแลกเปลี่ยนข้อมูลในการสืบสวนคดีอาญา เมื่อผู้ต้องสงสัยหรือพยานอยู่ในต่างประเทศ ข้อตกลงนี้ทำให้หน่วยงานในประเทศหนึ่งสามารถร้องขอให้หน่วยงานของอีกประเทศหนึ่งดำเนินการให้ความช่วยเหลือ เช่น การสอบสวนพยานหรือการขอหลักฐานต่าง ๆ เพื่อใช้ในการดำเนินคดี

นอกจากนี้ ชิษณุพงศ์ ไหวดี ยังเผยอีกอุปสรรคปัญหาที่ทำให้การจัดการกับสเเกมเมอร์ยากลำบากคือ คือ การรวบรวมพยานหลักฐาน เพราะการรับฟังพยานหลักฐานอิเล็กทรอนิกส์ ซึ่งยังไม่มีในประมวลกฎหมายวิธีพิจารณาความอาญา ซึ่งถ้ามีจะลดขั้นตอน ติดตามผู้กระทําความผิด หรือรวบรวมพยานหลักฐานได้ง่ายขึ้น

พ.ร.ก.ไซเบอร์ฉุกเฉิน อาวุธใหม่ในการตอบโต้

สมประสงค์ โหรชัยยะ ผู้ชำนาญการอาวุโส สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) หรือ ETDA เสนอให้ปรับปรุงประมวลกฎหมายวิธีพิจารณาความอาญา ซึ่งปัจจุบันยังมีแนวคิดแบบอนาล็อกอยู่ จำเป็นต้องมีการปฏิรูปเพื่อให้สอดรับกับการมีอยู่ของข้อมูลอิเล็กทรอนิกส์

ถือว่า พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (พ.ร.ก.ไซเบอร์ฉุกเฉิน) ฉบับที่ 2 พ.ศ. 2568 คือเครื่องมือใหม่ที่ออกแบบมาเพื่อแก้ปัญหาเฉพาะหน้า ซึ่งสาระสำคัญมีดังนี้

• ธนาคารต้องเป็นด่านหน้า ในการรับแจ้งเหตุและดำเนินการอายัดบัญชีม้าได้ทันที โดยไม่ต้องรอหมายศาลในทุกขั้นตอน ช่วยลดช่องว่างของเวลาที่อาชญากรใช้ในการโอนเงินออกนอกประเทศ
• ธนาคารมีหน้าที่ป้องกันและตรวจสอบบัญชีที่น่าสงสัยอย่างเข้มงวด หากเกิดความเสียหายจากการละเลยของธนาคาร อาจถูกพิจารณาความผิดตามกฎหมายอื่นได้ เช่น กฎหมายควบคุมข้อมูลส่วนบุคคล
• สำหรับผู้ที่เปิดหรือโฆษณาชวนเชื่อให้คนอื่นเปิดบัญชีม้ามีบทลงโทษที่รุนแรงขึ้นทั้งทางแพ่งและอาญา เพื่อสกัดวงจรอาชญากรรมตั้งแต่ต้นทาง
• ผู้ให้บริการอื่นที่เกี่ยวข้องหรือสื่อสังคมออนไลน์มีส่วนรับผิดชอบในความเสียหายที่เกิดขึ้นกับผู้เสียหายที่ถูกหลอกลวงจากอาชญากรรมทางเทคโนโลยี
• กสทช. หรือผู้ให้บริการโทรศัพท์มือถือ มีหน้าที่สั่งระงับการให้บริการเลขหมายชั่วคราว เมื่อได้รับข้อมูลว่าเกี่ยวข้องกับการกระทำความผิด

เอาชนะสแกมเมอร์ต้องเริ่มที่ “วินัยข้อมูล”

อย่างไรก็ตามการปราบปรามแกมเมอร์ยุค AI ไม่ใช่การพึ่งพากฎหมายใหม่เพียงอย่างเดียว แต่คือการต่อสู้กับ ความหละหลวมภายในภาครัฐ ที่ทำให้ข้อมูลประชาชนไทยรั่วไหล

เพราะแม้ว่า พ.ร.ก.ไซเบอร์ฉุกเฉินจะเข้ามาเป็นเครื่องมือที่รวดเร็วในการหยุดยั้งปลายทาง (อายัดบัญชี) แต่ตราบใดที่ข้อมูลส่วนบุคคลยังคงรั่วไหลจากหน่วยงานต่าง ๆ และผู้ให้บริการแพลตฟอร์มต่างชาติยังคงให้ความร่วมมืออย่างไม่เต็มใจ

ภารกิจที่สำคัญที่สุดของกระบวนการยุติธรรมในการรับมือและปราบปรามสแกมเมอร์ยุค AI จึงไม่ใช่แค่การเขียนกฎหมายใหม่ แต่คือ การลงมือบังคับใช้กฎหมายเก่าอย่างจริงจัง และการปลูกฝังวินัยข้อมูลในทุกระดับองค์กร เพื่อตัด “น้ำเลี้ยง” ที่สำคัญที่สุดของแก๊งสแกมเมอร์ สมประสงค์ ยืนยันว่า

 “ข้อมูลเหล่านี้เปรียบเสมือนน้ำหล่อเลี้ยงองค์กรสแกมเมอร์ หากหน่วยงานรัฐสามารถบังคับใช้กฎหมายอย่างจริงจัง ควบคุมไม่ให้ข้อมูลรั่วไหลออกไป สแกมเมอร์ก็จะทำงานลำบากมากขึ้น เพราะข้อมูลคือหัวใจของพวกเขา”

เนื้อหาที่เกี่ยวข้อง

• เร่งคืนเงินของกลาง เยียวยาเหยื่อออนไลน์กว่า 3 พันล้าน
• ขยายคุมเข้มบัญชีม้า ให้แบงก์ร่วมรับผิดชอบ
• ช่องโหว่กระบวนการยุติธรรม เปิดช่องอาชญากรรมออนไลน์