ในคดีอาญา กฎหมายกำหนดให้โจทก์ต้องนำสืบพยานหลักฐานถึงขนาดที่ศาลเชื่อว่าจำเลยเป็นผู้กระทำผิดโดย “ปราศจากข้อสงสัย” หากโจทก์นำสืบไม่ได้ตามมาตรฐานที่กฎหมายกำหนด ศาลจะยกฟ้อง และพิพากษาว่าจำเลยไม่ได้กระทำความผิดตามที่โจทก์กล่าวหา[1] ดังนั้น การรวบรวมพยานหลักฐานของพนักงานสอบสวนจึงเป็นสิ่งสำคัญ เพราะพยานหลักฐานใดที่ได้มาโดยไม่ถูกต้องตามกระบวนการของกฎหมายย่อมไม่สามารถนำมาพิจารณาในชั้นศาลได้
สำหรับคดีที่เกี่ยวข้องกับอาชญากรรมทางคอมพิวเตอร์ พยานหลักฐานที่ผู้เสียหายมีเมื่อนำคดีมาแจ้งความ สามารถแบ่งออกเป็น 3 รูปแบบ[2] คือ 1. คดีที่รู้ตัวผู้กระทำความผิดชัดเจน 2. คดีที่พอจะมีหลักฐานให้ตามสืบได้บ้างว่าผู้กระทำความผิดเป็นใคร 3. คดีที่ไม่รู้ตัวผู้กระทำความผิดเลย ผู้เสียหายทราบแต่เพียงว่าตนถูกละเมิดสิทธิ ซึ่งจำนวนและคุณภาพของพยานหลักฐานที่ผู้เสียหายมีนั้นจะส่งผลต่อการรวบรวมพยานหลักฐานของพนักงานสอบสวนด้วย
การสืบหาพยานหลักฐานอิเล็กทรอนิกส์
อาชญากรรมทางคอมพิวเตอร์นั้นผู้กระทำผิดมักจะปฏิบัติการผ่านทางแพลตฟอร์ม (platform) บนเครือข่ายอินเทอร์เน็ต เช่น Social Network หรือ E-mail ซึ่งกระบวนการสืบหาผู้กระทำความผิดเกี่ยวกับอาชญากรรมทางคอมพิวเตอร์สามารถกระทำได้หลายวิธี ทั้งการสืบจาก IP Address หรือตรวจสอบจากข้อมูลจราจรทางคอมพิวเตอร์ (Traffics data) เพื่อให้ทราบว่าต้นทางที่ส่งมาจากสถานที่ใด รวมถึงกระบวนการที่มีความซับซ้อนอย่างเช่น กระบวนการสร้างค่า Hash ด้วย
เมื่อเกิดการกระทำความผิดขึ้นผู้เสียหายส่วนใหญ่มักจะนำหลักฐานที่เป็นเพียงรูปภาพที่เกิดจากการ Capture ผ่านหน้าจอคอมพิวเตอร์หรือโทรศัพท์ของตนเองมาเป็นหลักฐานในการแจ้งความ ดำเนินคดี[3] ซึ่งภาพเหล่านั้นเป็นสิ่งที่นำมาใช้ในการสืบหาผู้กระทำผิดได้ยาก หรือแทบจะระบุตัวผู้กระทำความผิดไม่ได้เลย จึงต้องมีการนำเอารายละเอียดที่เก็บอยู่ใน log file เพื่อจะนำเอาหมายเลขไอพี (IP Address) มาใช้ในการตรวจหาตัวผู้กระทำความผิด ซึ่งพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (แก้ไขเพิ่มเติม) 2560 นั้น ได้กำหนดขั้นตอนของการเก็บพยานหลักฐานดิจิตอลไว้ โดยกำหนดให้เฉพาะเจ้าหน้าที่ที่ได้รับแต่งตั้งขึ้นโดยอาศัยอำนาจตามพระราชบัญญัติฯ นี้เท่านั้นที่สามารถเรียกข้อมูลจราจรทางคอมพิวเตอร์ (Traffic Data) จากผู้ให้บริการอินเทอร์เน็ตที่เกี่ยวข้องได้[4] โดยข้อมูลที่ได้จากผู้ให้บริการนั้นถือเป็นพยานหลักฐานทางดิจิทัล (Digital Evidence) ที่สำคัญอย่างหนึ่ง นอกจากนี้ พยานหลักฐานดังกล่าวจะต้องมีกระบวนการเก็บข้อมูลที่เรียกว่า Digital Forensics หรือ การพิสูจน์หลักฐานจากทางดิจิทัล[5] เพื่อป้องกันการปนเปื้อนของพยานหลักฐานด้วย ซึ่งการเก็บพยานหลักฐานดิจิทัลมีอยู่ 3 กระบวนการ ดังนี้
ก. การรวบรวมวัตถุพยานจากผู้เสียหาย
การรวบรวมวัตถุพยานอยู่ที่ต้นทาง คือ ผู้เสียหาย โดยผู้เสียหายจะเป็นคนรวบรวมวัตถุพยาน อย่างเช่น แชทที่มีการพูดคุยกัน รูปภาพที่ส่งมา account ปลอมที่ผู้เสียหายโดนหลอก ซึ่งไม่ว่าจะเป็นการรวบรวมเองของผู้เสียหายหรือจะเป็นการนำเครื่องคอมพิวเตอร์หรือเครื่องโทรศัพท์ดังกล่าวมาให้เจ้าหน้าที่เป็นคนรวบรวมตรวจสอบก็ได้[6] ในส่วนนี้จะเป็นการเริ่มต้นของกระบวนการหาตัวผู้กระทำความผิด กรณีที่ account ของผู้กระทำความผิดยังไม่ถูกปิดหรือถูกบล๊อคไป ก็ยังสามารถที่จะติดต่อพูดคุยกันต่อไปได้ แต่บางกรณีที่ผู้เสียหายไม่สามารถติดต่อกับผู้กระทำความผิดได้แล้วนั้น ก็จะเป็นการยากที่จะติดตามตัวผู้กระทำความผิด
ข. การรวบรวมพยานหลักฐานจากผู้ให้บริการอินเทอร์เน็ต
ในระหว่างการพูดคุยกันผ่านแพลตฟอร์ม อย่างเช่น Facebook เจ้าของแพลตฟอร์มหรือผู้ให้บริการอินเทอร์เน็ตต้องทำการเก็บ log file หรือข้อมูลจราจรทางคอมพิวเตอร์ (Traffic Data) เอาไว้ ตามที่พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (แก้ไขเพิ่มเติม) 2560 กำหนดไว้ คือ ให้ผู้ให้บริการอินเทอร์เน็ต (Internet Service Providers : ISP)[7] จะต้องเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน[8] เพื่อให้เกิดความสะดวกรวดเร็วต่อการตรวจสอบของเจ้าหน้าที่หากมีการพบผู้กระทำผิดในภายหลัง โดยข้อมูลจราจรที่อาศัยอำนาจตามพระราชบัญญัติฉบับนี้สามารถใช้เป็นพยานหลักฐานในชั้นศาลได้[9] ซึ่งข้อมูลจราจรทางคอมพิวเตอร์ที่จะได้จากผู้ให้บริการอินเทอร์เน็ตนั้นจะแสดงรายละเอียดของไอพี (IP Address) ว่ามีไอพีใดบ้างที่ติดต่อสื่อสารกันอยู่ในขณะนั้น มีเวลาเริ่มต้นและสิ้นสุดอย่างไร หรือแสดงเบอร์โทรศัพท์ที่ใช้ในการติดต่อสื่อสาร เหล่านี้เป็นสิ่งที่เจ้าพนักงานหรือพนักงานสอบสวนสามารถแจ้งให้ผู้ให้บริการหมายเลขโทรศัพท์ดังกล่าวนั้นทำการตรวจสอบให้ว่าเบอร์ดังกล่าวได้ลงทะเบียนไว้ในชื่อของใคร อาศัยอยู่ที่ไหน จนนำไปสู่การติดตามตัวผู้กระทำความผิดได้ แต่ในกรณีที่เป็นการพูดคุยผ่านแชทจะเป็นกรณีที่ไม่สามารถติดตามตัวได้ง่ายนัก เพราะสุดท้ายแล้วผู้เสียหายจะทราบเพียงว่าบุคคลที่เข้ามาคุยด้วยนั้นเป็น account ที่ถูกปลอมขึ้นมา ตัวจริงของบุคคลนั้นอาจจะไม่รู้จักหรือไม่เคยพูดคุยกับผู้เสียหายเลย ซึ่งกรณีดังกล่าวนี้หากทางผู้ให้บริการอินเทอร์เน็ตให้ความร่วมมือ เจ้าหน้าที่ก็จะสามารถตรวจสอบได้ถึงต้นตอหรือสามารถระบุได้ถึงที่อยู่ของผู้กระทำความผิดได้[10]
กระบวนการติดตามจากไอพี (IP Address) นี้เป็นสิ่งที่ต้องใช้เจ้าหน้าที่ที่มีความรู้ ความเชี่ยวชาญทางด้านคอมพิวเตอร์เป็นอย่างมาก และยังต้องเป็นเจ้าหน้าที่ที่ได้รับการแต่งตั้งตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (แก้ไขเพิ่มเติม) 2560 ด้วย[11] จึงจะมีอำนาจในการติดตามและรวบรวมพยานหลักฐาน เพราะกระบวนการเก็บรวบรวมและตรวจสอบหลักฐานทางดิจิทัลสามารถนำไปใช้เป็นพยานหลักฐานในชั้นศาลได้ การรวบรวมพยานหลักฐานจึงต้องมีการปฏิบัติตามขั้นตอน และต้องคุ้มครองพยานหลักฐานไว้อย่างดีที่สุด เพื่อป้องกันการปนเปื้อนของพยานหลักฐานนั้น
เมื่อได้ไอพี (IP Address) จากผู้ให้บริการอินเทอร์เน็ตหรือผู้ให้บริการที่เกี่ยวข้องแล้ว ขั้นตอนต่อไปที่เจ้าหน้าที่จะสามารถตรวจสอบได้ว่าใครเป็นเจ้าของไอพี (IP Address) หรือตำแหน่งที่ตั้งของผู้เป็นเจ้าของไอพีนั้น ซึ่งหมายเลขไอพี (IP Address) จะมีอยู่ 4 ชุด แต่ละชุดจะมีเครื่องหมายจุดขั้นระหว่างชุด (xxx.xxx.xxx.xxx) [12] ซึ่งไอพี (IP Address) ของเครื่องคอมพิวเตอร์แต่ละเครื่องจะมีค่าไม่ซ้ำกัน โดยสิ่งที่ตัวเลขทั้ง 4 ชุดนี้สามารถบ่งบอกได้ คือ เครื่องคอมพิวเตอร์นั้นอยู่ในเครือข่าย (network) ไหน เป็นเครื่องคอมพิวเตอร์เครื่องใดหรือของผู้ใดที่อยู่ในเครือข่าย (network) นั้น เพราะใน 1 เครือข่ายสามารถมีเครื่องคอมพิวเตอร์ที่ใช้งานอยู่ร่วมกันได้หลายร้อยเครื่อง และหมายเลขไอพี (IP Address) นี้ยังทำให้ทราบได้ถึงตำแหน่งที่ตั้งของเครื่องคอมพิวเตอร์เครื่องนั้นด้วย ซึ่งเมื่อนำเอาหมายเลขดังกล่าวนั้นไปตรวจสอบ โดยอาจเป็นการตรวจสอบกับเว็บไซต์ที่ให้บริการในการตรวจสอบก็ได้ หรือใช้โปรแกรมสำหรับตรวจสอบ เป็นต้น และเมื่อใส่หมายเลขไอพี (IP Address) ลงไปในช่องที่ต้องการตรวจสอบแล้วจะปรากฎผลลัพธ์ออกมา เป็นชื่อของเครือข่ายหรือชื่อเจ้าของอินเทอร์เน็ตที่ใช้งานอยู่ รวมถึงชื่อประเทศ จังหวัด ชื่อเมือง ละติจูด ลองติจูด[13] เช่น OrgName : Yahoo.Inc , ISP : Advances Info Service Public Company Limited (AIS) , Country : Thailand และ City Name : Chiang Mai เป็นต้น
แต่ก็ยังมีกรณีที่ผู้กระทำความผิดใช้งาน VPN (Virtual Private Network) เพื่อปกปิดหมายเลขไอพี (IP Address) ไว้ หากเจอกรณีดังกล่าวนี้ก็จะก่อให้เกิดความยุ่งยากในการค้นหาตัวผู้กระทำความผิดเพิ่มมากขึ้น เพราะการใช้เครือข่ายอินเทอร์เน็ตผ่าน VPN นี้ จะทำให้ผู้ใช้บริการอินเทอร์เน็ตสามารถเชื่อมต่ออินเทอร์เน็ตกับเครือข่ายอินเทอร์เน็ตในประเทศใดก็ได้ เช่น ผู้กระทำความผิดอาศัยอยู่ที่ประเทศมาเลเซีย แต่ได้เชื่อมต่อบริการ VPN ให้เครือข่ายเน็ตเวิร์คของตนไปอยู่ที่ประเทศออสเตรเลีย ดังนั้นกระบวนการตรวจสอบจากไอพี (IP Address) ของผู้กระทำความผิดก็จะไม่แสดงว่าผู้กระทำความผิดอยู่ที่ประเทศมาเลเซีย แต่จะแสดงผลลัพธ์ว่าผู้กระทำความผิดอยู่ที่ประเทศออสเตรเลีย เป็นต้น หากเกิดกรณีดังกล่าวข้างต้นนี้ ก็จะทำให้ไม่สามารถตามตัวผู้กระทำความผิดได้เลย (ยกเว้นในประเทศที่มีการพัฒนาของเทคโนโลยีไปในขั้นสูงแล้วเท่านั้น)
ค. การรวบรวมพยานหลักฐานจากผู้กระทำความผิด
มักเป็นวัตถุพยานปลายทาง กล่าวคือ เป็นข้อมูลของผู้กระทำผิด ไม่ว่าจะเป็นโทรศัพท์มือถือ เครื่องคอมพิวเตอร์ รูปภาพ หรือไฟล์ข้อมูลอื่นๆ ที่ใช้ในการแอบอ้าง หรือปลอมผ่าน Account บนอินเทอร์เน็ต ซึ่งในขั้นตอนนี้ขึ้นอยู่กับว่าเจ้าหน้าที่จะสามารถจับกุมและยึดอุปกรณ์ในการกระทำความผิดได้หรือไม่[14] ด้วยเหตุที่ตัวผู้กระทำความผิดส่วนมากมักเป็นคนต่างชาติ และมีการเดินทางไปมาหลายพื้นที่ ไม่มีที่อยู่เป็นหลักเป็นแหล่ง หรือมีการหลอกลวงให้บุคคลอื่นเป็นผู้กระทำความผิดแทนตนเอง ทำให้การจับกุมตัวผู้กระทำผิดเป็นสิ่งที่ทำได้ยาก นอกเสียจากว่าบุคคลนั้นจะอยู่ในประเทศไทยในระยะเวลาหนึ่ง และเป็นผู้ที่ลงมือกระทำความผิดเอง โดยไม่ได้ใช้ให้บุคคลอื่นเป็นผู้กระทำแทน จึงจะมีโอกาสในการจับตัวได้ค่อนข้างสูง
ในกระบวนการนี้ เมื่อจับตัวผู้กระทำผิดพร้อมทั้งอุปกรณ์หรือเครื่องมือที่ใช้ในการกระทำความผิดได้แล้วนั้น เจ้าหน้าที่พิสูจน์หลักฐานจะต้องทำการตรวจสอบว่าเป็นผู้กระทำผิดที่จับตัวมานั้นเป็นผู้กระทำความผิดที่แท้จริงหรือไม่ ซึ่งในขั้นตอนนี้จะเป็นการตรวจสอบที่ต้องใช้เทคนิค และความรู้ความเชี่ยวชาญด้านคอมพิวเตอร์เป็นอย่างมาก กล่าวคือ กระบวนการตรวจสอบโดยการสร้างค่า Hash หรือการหาค่าตัวเลขเพื่อนำมายืนยันตัวผู้กระทำความผิด กระบวนการนี้จะต้องอาศัยรูปภาพ หรือไฟล์หลักฐานต่าง ๆ จากผู้เสียหาย ไม่ว่าจะเป็นข้อความต่าง ๆ ที่แชทคุยกัน ไฟล์รูปภาค หรือวีดีโอที่ได้ทำการพูดคุยกับผู้กระทำความผิดมาเปรียบเทียบ เพื่อยืนยันตัวผู้กระทำความผิดโดยปราศจากข้อสงสัย
กระบวนการสร้างค่า Hash ที่ใช้ในการตรวจพิสูจน์พยานหลักฐานดิจิทัลนี้ เป็นการคำนวณทางคณิตศาสตร์ที่ดำเนินการกับไฟล์ต่าง ๆ เช่น รูปภาพ เอกสาร หรือเนื้อหาในฮาร์ดไดรฟ์ โดยค่า Hash นี้เปรียบเสมือนลายพิมพ์นิ้วมือที่ผู้กระทำความผิดได้ทิ้งไว้ในประวัติการใช้เครื่องคอมพิวเตอร์หรืออุปกรณ์อิเล็กทรอนิกส์นั้น โดยไฟล์หรือข้อมูลต่าง ๆ ที่เป็นหลักฐานดิจิทัลจะถูกระบุลักษณะเฉพาะตามที่ปรากฏอยู่ในเวลาที่ถูกสร้างค่า Hash ขึ้น ซึ่งค่า Hash นี้จะมีความคล้ายคลึงกับหมายเลขไอพี (IP Address) ที่จะมีความเฉพาะเจาะจงและจะไม่มีความซ้ำซ้อนกันอย่างเด็ดขาด[15] การดำเนินการสร้างค่า Hash จะเป็นการนำเอกสารหรือไฟล์ที่ต้องการไปผ่านกระบวนวิธีการ Hash Function ซึ่งกระบวนการนี้จะไม่สนใจว่าไฟล์นามสกุลอะไร ชื่อไฟล์อะไร มีความยาวมากหรือน้อย ขนาดของไฟล์เท่าไหร่ โดยเครื่องมือที่นิยมใช้กันมากที่สุดในประเทศไทยคือ ค่า Hash จาก Message Digest 5 (MD5) และ Secure Hash Algorithm 1 (SHA1) เมื่อไฟล์ได้ผ่านกระบวนการ Hash Function เรียบร้อยแล้ว จะได้ผลลัพธ์เป็นค่า Hash Value ออกมา ซึ่งจะเป็นชุดข้อมูลตัวเลขที่มนุษย์ไม่สามารถทำความเข้าใจได้ โดยชุดข้อมูลดังกล่าวจะเป็นเครื่องมือชี้ชัดที่สำคัญของพยานหลักฐานดิจิทัลที่นำมาตรวจสอบ เพราะจะสามารถนำค่า Hash ที่ได้ไปเปรียบเทียบกับพยานหลักฐานที่ผู้กระทำความผิดมี หากชุดตัวเลขที่ได้จากผู้เสียหายและผู้กระทำความผิดตรงกัน หรือมีค่าที่แมตช์ (Match) กัน ก็จะสามารถอนุมานหรือยืนยันได้ว่าผู้กระทำความผิดนั้นเป็นผู้กระทำที่แท้จริง
ตัวอย่าง กรณีหลักฐานที่ผู้เสียหายเก็บรวบรวมมา เป็นรูปภาพที่ผู้กระทำความผิดส่งมา และผู้เสียหายได้ทำการเซฟ (save) รูปภาพดังกล่าวไว้ ทางเจ้าหน้าที่ก็จะทำการสร้างค่า Hash ผ่านกระบวนการที่เรียกว่า Hash Function จากรูปภาพที่ผู้เสียหายนำมา ซึ่งค่าที่ออกมาจะเป็นค่า Hash Value ที่จะนำมาใช้เปรียบเทียบกับหลักฐานที่ได้จากการจับกุมตัวผู้กระทำความผิดได้พร้อมทั้งเครื่องคอมพิวเตอร์ อุปกรณ์โทรศัพท์มือถือ หรืออุปกรณ์ต่าง ๆ ที่เกี่ยวข้อง และเมื่อพบว่ามีรูปภาพที่มีลักษณะเดียวกันกับไฟล์ที่ผู้เสียหายได้รับ เจ้าหน้าที่ก็จะนำรูปภาพดังกล่าวมาเข้าสู่กระบวนการ Hash อีกครั้งเพื่อให้ได้ค่า Hash Value ออกมา หลังจากนั้นหากปรากฎค่า Hash ที่ตรงกันก็สามารถยืนบันได้ว่าเป็นผู้กระทำความผิดจริง
อย่างไรก็ตามการสร้างค่า Hash ก็มีข้อจำกัดเช่นกัน กล่าวคือ เจ้าหน้าที่พิสูจน์หลักฐานจะต้องมีข้อมูลจากฝ่ายผู้กระทำความผิดมายืนยันด้วย เนื่องจาก หากมีเพียงแต่ค่า Hash ของฝ่ายผู้เสียหายเพียงฝ่ายเดียวจะไม่สามารถนำค่า Hash ที่สร้างขึ้นไปเปรียบเทียบได้ จึงทำให้เกิดการสร้างพยานหลักฐานเพียงฝ่ายเดียวและไม่สามารถนำไปสู่การจับตัวผู้กระทำความผิดได้ และในบางกรณีข้อมูลดิจิทัลมักจะถูกการบีบอัดไฟล์ เนื่องจากมีการส่งต่อข้อมูลผ่านแพลตฟอร์ม (platform) ต่าง ๆ ซึ่งทำให้ขนาดของไฟล์ถูกเปลี่ยนแปลงไปด้วย ทำให้ค่า Hash Value ที่ได้อาจจะมีความคลาดเคลื่อนหรือไม่ตรงกันทั้งหมด (ไม่สามารถได้ค่าที่ตรงกัน 100% ได้) ซึ่งกระบวนการดังกล่าวนี้ต้องอาศัยความรู้ ความเชี่ยวชาญ และประสบการณ์จากเจ้าหน้าที่ในการพิสูจน์หลักฐานประกอบด้วย
[1] อุดม รัฐอมฤต, (2558), คำอธิบายกฎหมายลักษณะพยานหลักฐาน (พิมพ์ครั้งที่ 6 แก้ไขเพิ่มเติม), กรุงเทพฯ : โครงการตำราและเอกสารประกอบการสอน คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์, หน้า 214.
[2] พนักงานสอบสวน, (2562), สถานีตำรวจแห่งหนึ่งในจังหวัดเชียงใหม่, (30 เมษายน 2562), สัมภาษณ์.
[3] นักวิทยาศาสตร์ (สบ1), (2562), ศูนย์พิสูจน์หลักฐาน 5, (11 เมษายน 2562), สัมภาษณ์.
[4] พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (แก้ไขเพิ่มเติม) 2560 ในมาตรา 18
มาตรา 18 ภายใต้บังคับมาตรา 19 เพื่อประโยชน์ในการสืบสวนและสอบสวนในกรณีที่มีเหตุอันควรเชื่อได้ว่าการกระทำความผิดตามพระราชบัญญัตินี้ หรือในกรณีที่มีการร้องขอตามวรรคสองให้พนักงานเจ้าหน้าที่มีอำนาจอย่างหนึ่งอย่างใด ดังต่อไป เฉพาะที่จำเป็นเพื่อประโยชน์ในการใช้เป็นหลักฐานเกี่ยวกับการกระทำความผิดและหาตัวผู้กระทำความผิด
(2) เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ให้บริการเกี่ยวกับการติดต่อสื่อสารผ่านระบบคอมพิวเตอร์หรือจากบุคคลอื่นที่เกี่ยวข้อง
[5] Digital Forensics หรือ การพิสูจน์หลักฐานจากทางดิจิทัล หมายถึง การเก็บรวบรวมและการจัดเตรียมข้อมูลที่เกี่ยวข้องจากคอมพิวเตอร์ เพื่อใช้ในการดำเนินคดีทางกฎหมาย ซึ่งกระบวนการนี้รวมถึงการกู้คืนไฟล์ หรือไฟล์ข้อมูลที่ต้องใช้วิธีการทางเทคนิคทางคอมพิวเตอร์ด้วย อ้างอิงจาก ETDA และ ThaiCERT, (2556), Digital Forensics, (20 มิถุนายน 2562), สืบค้นจาก https://www.thaicert.or.th/papers/general/2013 /pa2013ge012.html
[6] นักวิทยาศาสตร์ (สบ1), (2562), ศูนย์พิสูจน์หลักฐาน 5, (11 เมษายน 2562), สัมภาษณ์.
[7] พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่2) 2560 มาตรา 3
มาตรา 3 ผู้ให้บริการ หมายความว่า
(1) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือในนามหรือเพื่อประโยชน์ของบุคคลอื่น
(2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น
[8] พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่2) 2560 มาตรา 26
มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็น พนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินสองปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้
ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มบริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลง
ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร เมื่อใด ให้เป็นไปตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา
ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรนี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท
[9] พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่2) 2560 มาตรา 25
มาตรา 25 ข้อมูล ข้อมูลคอมพิวเตอร์หรือข้อมูลจราจรทางคอมพิวเตอร์ที่พนักงานเจ้าหน้าที่ได้มาตราพระราชบัญญัตินี้หรือที่พนักงานสอบสวนได้ตามมาตรา 18 วรรคสอง ให้อ้างและรับฟังเป็นพยานหลักฐานตามบทบัญญัติแห่งประมวลกฎหมายวิธีพิจารณาความอาญาหรือกฎหมายอื่นอันว่าด้วยการสืบพยานได้ แต่ต้องเป็นชนิดที่มิได้เกิดขึ้นจากการจูงใจ มีคำสั่งสัญญา ขู่เข็ญ หลอกลวง หรือโดยมิชอบประการอื่น
[10] นักวิทยาศาสตร์ (สบ1), (2562), ศูนย์พิสูจน์หลักฐาน 5, (11 เมษายน 2562), สัมภาษณ์.
[11] พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่2) 2560 มาตรา 28
มาตรา 28 การแต่งตั้งพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้ ให้รัฐมนตรีแต่งตั้งจากผู้มีความรู้และความชำนาญเกี่ยวกับระบบคอมพิวเตอร์และมีคุณสมบัติตามที่รัฐมนตรีกำหนด
ผู้ที่ได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้ อาจได้รับค่าตอบแทนพิเศษตามที่รัฐมนตรีกำหนดโดยได้รับความเห็นชอบจากกระทรวงการคลัง
ในการกำหนดให้ได้รับค่าตอบแทนพิเศษต้องคำนึงภาระหน้าที่ ความรู้ความเชี่ยวชาญ ความขาดแคลนในการหาผู้มาปฏิบัติหน้าที่หรือมีการสูญเสียผู้ปฏิบัติงานออกจากระบบราชการเป็นจำนวนมากคุณภาพของงานและการดำรงตนอยู่ในความยุติธรรมโดยเปรียบเทียบค่าตอบแทนของผู้ปฏิบัติงานอื่นในกระบวนการยุติธรรม
[12] Mindphp, (4 ธันวาคม2560), IP Address คืออะไร, (20 มิถุนายน 2562), สืบค้นจาก Mindphp: https://mindphp.com/%E0%B8%84%E0%B8%B9%E0%B9%88%E0%B8%A1%E0%B8%B7%E0%B8%AD/73-%E0%B8%84%E0%B8%B7%E0%B8%AD%E0%B8%AD%E0%B8%B0%E0%B9%84%E0% B8%A3/2071-ip-address-%E0%B8%84%E0%B8%B7%E0%B8%AD%E0%B8%AD%E0%B8% B0%E0%B9%84%E0%B8%A3.html
[13] เว็บไซต์ที่ให้บริการในการตรวจสอบ IP Address : https://checkip.thaiware.com/
[14] นักวิทยาศาสตร์ (สบ1), (2562), ศูนย์พิสูจน์หลักฐาน 5, (11 เมษายน 2562), สัมภาษณ์.
[15] แลร์รี อี. แดเนียล, ลาร์ส อี แดนเนียล, สุนีย์ สกาวรัตน์ (ผู้แปล), (2559), การตรวจพิสูจน์หลักฐานดิจิทัลสำหรับผู้ประกอบวิชาชีพกฎหมาย: เข้าใจพยานหลักฐานดิจิทัลจากขั้นตอนหมายถึงห้องพิจารณาคดี. บทที่ 26 ค่า Hash: มาตรฐานการพิสูจน์ยืนยัน, กรุงเทพฯ: มูลนิธิเพื่ออินเทอร์เน็ตและวัฒนธรรมพลเมือง, หน้า 322.
ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)