การพิสูจน์หลักฐานดิจิทัลบนโซเชียลมีเดีย: การกู้คืนข้อความ LINE

• chat.sqlite: บรรจุข้อมูลข้อความ รูปภาพ วิดีโอ และไฟล์ที่เกี่ยวข้องกับการสนทนา


• line.sqlite: บรรจุข้อมูลผู้ติดต่อ กลุ่มสนทนา และข้อมูลโปรไฟล์ผู้ใช้งาน


• _metadata.sqlite: บรรจุข้อมูลเมตาดาต้าบางส่วน


ข้อมูลเหล่านี้มักจะถูกป้องกันด้วยกลไกการเข้ารหัสของ iOS ที่เรียกว่า Data Protection Class ซึ่งจะมีการเข้ารหัสไฟล์ในระดับฮาร์ดแวร์ ผู้สอบสวนจำเป็นต้องมีคีย์การเข้ารหัสที่ได้จากการสกัดจากอุปกรณ์ที่ปลดล็อคแล้ว (unlocked device) หรือจากไฟล์สำรองข้อมูลที่ถูกเข้ารหัส

การจัดเก็บข้อมูลบน Android

บนอุปกรณ์ Android ข้อมูล LINE จะถูกจัดเก็บอยู่ในพื้นที่จัดเก็บข้อมูลภายในของแอปพลิเคชัน ซึ่งมักจะอยู่ในเส้นทางที่คล้ายกับ /data/data/jp.naver.line.android/databases/ สำหรับไฟล์ฐานข้อมูล และ /data/data/jp.naver.line.android/files/ หรือ /data/data/jp.naver.line.android/cache/ สำหรับไฟล์สื่อและข้อมูลอื่นๆ

ไฟล์ฐานข้อมูลที่สำคัญก็ยังคงเป็น:

• line.sqlite: คล้ายกับบน iOS


• naver_line: บางเวอร์ชันอาจใช้ชื่อนี้ หรือมีไฟล์ฐานข้อมูลย่อยอื่นๆ


การเข้ารหัสข้อมูลบน Android อาจซับซ้อนกว่า เนื่องจากมีการใช้งานการเข้ารหัสทั้งในระดับไฟล์ (File-Based Encryption - FBE) และระดับอุปกรณ์ (Full Disk Encryption - FDE) ซึ่งขึ้นอยู่กับเวอร์ชันของ Android และผู้ผลิตอุปกรณ์ การเข้าถึงข้อมูลเหล่านี้โดยตรงจำเป็นต้องมีการเข้าถึงในระดับรูท (root access) หรือการสกัดข้อมูลทางกายภาพ

การจัดเก็บข้อมูลบน PC (Windows/macOS)

เมื่อใช้งาน LINE บนคอมพิวเตอร์ (PC Client) ข้อมูลบางส่วนจะถูกจัดเก็บไว้ในเครื่องเพื่อความรวดเร็วในการเข้าถึงและเพื่อสร้างไฟล์แคช

• บน Windows: ข้อมูลมักจะอยู่ที่ C:\Users\\AppData\Local\LINE\Data หรือ C:\Users\\AppData\Local\LINE\Cache


• บน macOS: ข้อมูลมักจะอยู่ที่ ~/Library/Application Support/LINE หรือ ~/Library/Caches/jp.naver.line


ข้อมูลบน PC อาจจะไม่สมบูรณ์เท่าข้อมูลบนมือถือ แต่สามารถใช้เป็นแหล่งข้อมูลเสริมได้ โดยส่วนใหญ่จะจัดเก็บไฟล์รูปภาพ วิดีโอ และประวัติการแชทบางส่วนในรูปแบบไฟล์ฐานข้อมูล SQLite หรือไฟล์แคช



เทคนิคการกู้คืนข้อมูล LINE จาก iOS



การกู้คืนข้อความ LINE จากอุปกรณ์ iOS สามารถทำได้หลายวิธี ขึ้นอยู่กับสถานะของอุปกรณ์และการเข้าถึงที่มี

การสำรองข้อมูล iTunes/iCloud

หากผู้ใช้งานมีการสำรองข้อมูลอุปกรณ์ผ่าน iTunes หรือ iCloud ผู้สอบสวนสามารถเข้าถึงไฟล์สำรองเหล่านี้ได้ ซึ่งโดยทั่วไปแล้วจะรวมถึงข้อมูลของแอปพลิเคชัน LINE ด้วย

1. การสกัดข้อมูลจากไฟล์สำรอง iTunes:
- ไฟล์สำรอง iTunes มักจะถูกจัดเก็บไว้ในคอมพิวเตอร์ของผู้ใช้ (Windows: \Users\\AppData\Roaming\Apple Computer\MobileSync\Backup\, macOS: ~/Library/Application Support/MobileSync/Backup/)
- หากไฟล์สำรองถูกเข้ารหัส (encrypted) จำเป็นต้องมีรหัสผ่านเพื่อถอดรหัส
- เมื่อถอดรหัสแล้ว สามารถใช้เครื่องมือ Forensic เฉพาะทางในการดึงและวิเคราะห์ไฟล์ฐานข้อมูล SQLite ของ LINE

2. การสกัดข้อมูลจากไฟล์สำรอง iCloud:
- การเข้าถึงข้อมูล iCloud จำเป็นต้องมี Apple ID และรหัสผ่านของผู้ใช้งาน หรือได้รับหมายศาลเพื่อขอข้อมูลจาก Apple โดยตรง
- เมื่อเข้าถึงได้แล้ว ข้อมูลสำรอง iCloud สามารถดาวน์โหลดและวิเคราะห์ได้ด้วยเครื่องมือ Forensic ที่รองรับ

การสกัดข้อมูลทางกายภาพ (Physical Acquisition)

วิธีนี้เป็นวิธีที่ซับซ้อนที่สุด แต่ให้ข้อมูลที่สมบูรณ์ที่สุด เนื่องจากเป็นการสร้างสำเนาของหน่วยความจำแฟลชของอุปกรณ์ (NAND dump) ซึ่งรวมถึงข้อมูลที่ถูกลบไปแล้วแต่อยู่ในส่วนที่ยังไม่ได้จัดสรร (unallocated space)

1. การใช้ Jailbreak หรือ Exploit: สำหรับอุปกรณ์ iOS รุ่นเก่าหรือบางรุ่นที่สามารถ Jailbreak ได้ หรือใช้ประโยชน์จากช่องโหว่ฮาร์ดแวร์อย่าง Checkm8 (สำหรับ A5-A11 Bionic chips) ผู้สอบสวนสามารถเข้าถึงระบบไฟล์ได้อย่างสมบูรณ์และทำการคัดลอกข้อมูลทั้งหมดได้
- ขั้นตอนนี้จำเป็นต้องมีความเชี่ยวชาญสูง และอาจทำให้เกิดความเสียหายกับอุปกรณ์ได้หากทำไม่ถูกต้อง
- ข้อมูลที่ได้จะเป็น Filesystem dump หรือ Full physical dump ที่สามารถวิเคราะห์ด้วยเครื่องมือ Forensic ระดับสูง

2. การวิเคราะห์ไฟล์ฐานข้อมูล SQLite: ไม่ว่าข้อมูลจะถูกสกัดมาด้วยวิธีใด เมื่อได้ไฟล์ฐานข้อมูล SQLite ของ LINE มาแล้ว สามารถใช้ SQLite Browser (DB Browser for SQLite) หรือคำสั่ง sqlite3 เพื่อเปิดและวิเคราะห์ข้อมูล
- ค้นหาตารางที่เกี่ยวข้องกับข้อความ เช่น message_texts หรือ chat_messages
- ตรวจสอบข้อมูลดิบเพื่อหาข้อความที่อาจถูกลบไปแล้วแต่ยังคงอยู่ในฐานข้อมูล (forensic artifacts) เช่น จาก WAL file (Write-Ahead Log) หรือจากการแกะรอยข้อมูลในพื้นที่ที่ไม่ได้จัดสรร



เทคนิคการกู้คืนข้อมูล LINE จาก Android



การกู้คืนข้อมูลจากอุปกรณ์ Android มีความหลากหลายเช่นกัน ขึ้นอยู่กับการเข้าถึงและการตั้งค่าความปลอดภัยของอุปกรณ์

การสำรองข้อมูลผ่าน ADB (Android Debug Bridge)

หากเปิดใช้งาน USB Debugging บนอุปกรณ์ Android ผู้สอบสวนสามารถใช้คำสั่ง adb เพื่อสร้างไฟล์สำรองข้อมูลของแอปพลิเคชัน LINE ได้

1. ตรวจสอบอุปกรณ์ที่เชื่อมต่อ:



h

    adb devices

    


คำสั่งนี้จะแสดงรายการอุปกรณ์ Android ที่เชื่อมต่อและได้รับการอนุญาตให้ Debug หากอุปกรณ์ไม่ปรากฏ ต้องตรวจสอบ Driver และการตั้งค่า USB Debugging บนโทรศัพท์

2. สร้างไฟล์สำรองข้อมูลของ LINE:



h

    adb backup -f line_backup.ab jp.naver.line.android

    


คำสั่งนี้จะสร้างไฟล์ line_backup.ab ซึ่งเป็นไฟล์สำรองข้อมูลของแอปพลิเคชัน LINE หากแอปพลิเคชันไม่ได้อนุญาตให้สำรองข้อมูล หรือถูกตั้งค่าให้ไม่สามารถสำรองข้อมูลได้ด้วยคำสั่งนี้ อาจไม่สามารถสร้างไฟล์สำรองได้

3. แตกไฟล์สำรอง .ab: ไฟล์ .ab เป็นไฟล์รูปแบบเฉพาะของ Android สามารถแตกออกได้ด้วยเครื่องมือ Android Backup Extractor (ABE) หรือเครื่องมือ Forensic อื่นๆ เพื่อให้ได้ไฟล์ .tar



h

    java -jar abe.jar unpack line_backup.ab line_backup.tar

    


เมื่อได้ไฟล์ .tar แล้ว สามารถแตกไฟล์ .tar เพื่อเข้าถึงไฟล์ข้อมูลภายในได้



h

    tar -xf line_backup.tar

    


ภายในไฟล์ที่แตกออกมา จะพบโครงสร้างไดเรกทอรีของแอปพลิเคชัน LINE รวมถึงไฟล์ฐานข้อมูล SQLite ที่อยู่ใน /apps/jp.naver.line.android/db/ หรือ /apps/jp.naver.line.android/f/

การสกัดข้อมูลทางตรรกะ (Logical Acquisition)

หากอุปกรณ์มีการรูท (rooted) ผู้สอบสวนสามารถเข้าถึงระบบไฟล์ได้อย่างสมบูรณ์และคัดลอกไฟล์ฐานข้อมูล LINE ออกมาได้โดยตรง

• ใช้คำสั่ง adb pull เพื่อดึงไฟล์ฐานข้อมูลโดยตรงจากอุปกรณ์ที่รูท




h

    adb shell

    su

    cp /data/data/jp.naver.line.android/databases/line.sqlite /sdcard/

    exit

    exit

    adb pull /sdcard/line.sqlite C:\forensics\

    


หรือสามารถใช้ dd เพื่อสร้าง Image ของพาร์ทิชันได้หากมีสิทธิ์รูท



h

    adb shell

    su

    dd if=/dev/block/by-name/userdata of=/sdcard/userdata.img

    exit

    exit

    adb pull /sdcard/userdata.img C:\forensics\

    



การสกัดข้อมูลทางกายภาพ (Physical Acquisition)

วิธีนี้ใช้สำหรับอุปกรณ์ที่ไม่สามารถเข้าถึงแบบ Logical ได้ หรือต้องการกู้คืนข้อมูลที่ถูกลบไปแล้ว โดยเกี่ยวข้องกับการเข้าถึงหน่วยความจำแฟลชของอุปกรณ์โดยตรงผ่านเทคนิคต่างๆ เช่น:

• Chip-off Forensics: ถอดชิปหน่วยความจำออกจากบอร์ดและอ่านข้อมูลโดยตรง


• JTAG/eMMC Forensics: เชื่อมต่อโดยตรงกับจุดทดสอบบนบอร์ดเพื่อเข้าถึงหน่วยความจำ


• Bootloader Exploits: ใช้ช่องโหว่ใน Bootloader เพื่อเข้าถึงหน่วยความจำ


เทคนิคเหล่านี้ต้องใช้เครื่องมือและอุปกรณ์เฉพาะทาง เช่น Cellebrite UFED, Oxygen Forensic Detective หรือ Magnet AXIOM ซึ่งมีความสามารถในการสร้าง Physical dump และวิเคราะห์ข้อมูลในระดับไฟล์และฐานข้อมูล รวมถึงการกู้คืนข้อมูลที่ถูกลบจากพื้นที่ที่ยังไม่ได้จัดสรร



การวิเคราะห์ฐานข้อมูล SQLite ของ LINE



เมื่อได้ไฟล์ฐานข้อมูล SQLite ของ LINE มาแล้ว การวิเคราะห์ข้อมูลภายในเป็นขั้นตอนสำคัญในการกู้คืนข้อความและหลักฐานอื่นๆ

1. โครงสร้างตาราง: โดยทั่วไป ไฟล์ฐานข้อมูล LINE จะมีตารางที่สำคัญดังนี้:
- messages หรือ message_texts: บรรจุข้อความที่ส่งและรับ
- contacts: ข้อมูลรายชื่อผู้ติดต่อ
- chat_rooms หรือ groups: ข้อมูลห้องสนทนาและกลุ่ม
- media_messages: อ้างอิงถึงไฟล์มีเดีย (รูปภาพ, วิดีโอ) ที่ส่งในแชท

2. การกู้คืนข้อความที่ถูกลบ: แม้ข้อความจะถูกลบจากแอปพลิเคชันแล้ว แต่อาจยังคงอยู่ในไฟล์ฐานข้อมูล SQLite เนื่องจากกลไกการทำงานของ SQLite
- Write-Ahead Log (WAL) File: SQLite ใช้ WAL mode ในการจัดการการเปลี่ยนแปลงข้อมูล ก่อนที่จะเขียนข้อมูลลงในไฟล์ฐานข้อมูลหลัก การเปลี่ยนแปลงจะถูกบันทึกในไฟล์ .wal ก่อน ข้อมูลที่ถูกลบอาจยังคงอยู่ในไฟล์ .wal ที่ยังไม่ได้ถูกรวมเข้ากับฐานข้อมูลหลัก หากฐานข้อมูลอยู่ใน WAL mode อาจจำเป็นต้องรันคำสั่ง PRAGMA wal_checkpoint(RESTART); เพื่อให้ WAL file ถูกรวมเข้ากับฐานข้อมูลหลัก หรือวิเคราะห์ WAL file โดยตรง
- Free List / Unallocated Space: เมื่อข้อมูลถูกลบ พื้นที่ที่เคยใช้เก็บข้อมูลนั้นอาจไม่ได้ถูกเขียนทับทันที แต่จะถูกทำเครื่องหมายว่าเป็น "ว่าง" (free) ข้อมูลที่ถูกลบเหล่านี้จึงอาจยังคงอยู่ในพื้นที่ว่างของไฟล์ฐานข้อมูล หรือในพื้นที่ที่ยังไม่ได้จัดสรรของหน่วยความจำแฟลช การใช้เทคนิค Data Carving สามารถช่วยกู้คืนข้อมูลเหล่านี้ได้
- SQLite Journaling: หากฐานข้อมูลไม่ได้อยู่ใน WAL mode แต่อยู่ใน Journal mode ข้อมูลที่ถูกลบอาจยังคงอยู่ในไฟล์ Journal (.journal file)

3. ตัวอย่างคำสั่ง SQL เพื่อวิเคราะห์ฐานข้อมูล:
หลังจากเปิดไฟล์ line.sqlite หรือ chat.sqlite ด้วย sqlite3 หรือ SQLite Browser แล้ว สามารถใช้คำสั่ง SQL เพื่อค้นหาข้อมูล:
- แสดงรายการตารางทั้งหมด:



l

        .tables

        


- แสดงโครงสร้างของตาราง message_texts:



l

        .schema message_texts

        


- เรียกดูข้อความ 10 รายการล่าสุด:



l

        SELECT * FROM message_texts ORDER BY created_time DESC LIMIT 10;

        


- ค้นหาข้อความที่มีคำว่า "ลับ":



l

        SELECT * FROM message_texts WHERE text LIKE '%ลับ%';

        


- แปลงเวลา Unix Epoch เป็นวันที่และเวลาที่อ่านได้: โดยปกติ created_time มักจะเป็น Unix Epoch Time (มิลลิวินาที)



l

        SELECT datetime(created_time / 1000, 'unixepoch') AS message_datetime, text FROM message_texts LIMIT 10;

        


- ตรวจสอบไฟล์มีเดียที่ถูกแนบ: อาจจะต้องเชื่อมโยงตาราง messages กับตาราง media_messages โดยใช้ message_id หรือ content_id



เครื่องมือที่ใช้ในการพิสูจน์หลักฐาน LINE



มีทั้งเครื่องมือโอเพนซอร์สและเชิงพาณิชย์ที่ช่วยในการพิสูจน์หลักฐาน LINE

Open Source Tools:

• DB Browser for SQLite (SQLite Browser): เครื่องมือ GUI ยอดนิยมสำหรับดู แก้ไข และวิเคราะห์ไฟล์ฐานข้อมูล SQLite


• sqlite3: เครื่องมือ command-line ที่มาพร้อมกับ SQLite เพื่อโต้ตอบกับฐานข้อมูลโดยตรง


• strings: เครื่องมือ Unix/Linux สำหรับแยกสตริงที่พิมพ์ได้จากไฟล์ไบนารี สามารถใช้ค้นหาข้อความจากไฟล์ Image ดิบ




h

    strings userdata.img | grep "ข้อความที่ต้องการค้นหา"

    



• grep: เครื่องมือ Unix/Linux สำหรับค้นหาข้อความในไฟล์ สามารถใช้ร่วมกับ strings ได้


• binwalk: เครื่องมือสำหรับวิเคราะห์ไฟล์ไบนารี สามารถใช้ในการ Carving ไฟล์ต่างๆ เช่น รูปภาพหรือวิดีโอจาก Image ดิบ


Commercial Tools:

• Cellebrite UFED: เป็นเครื่องมือชั้นนำในอุตสาหกรรมสำหรับการสกัดและวิเคราะห์ข้อมูลจากอุปกรณ์มือถือ รองรับการสกัดข้อมูลทั้งแบบ Logical และ Physical จากอุปกรณ์ iOS และ Android รวมถึงการวิเคราะห์แอปพลิเคชัน LINE โดยเฉพาะ


• Oxygen Forensic Detective: อีกหนึ่งชุดเครื่องมือ Forensic ที่มีประสิทธิภาพสูง สามารถสกัด ถอดรหัส และวิเคราะห์ข้อมูลจากอุปกรณ์มือถือ คอมพิวเตอร์ และบริการคลาวด์ ครอบคลุมการวิเคราะห์ข้อมูล LINE อย่างละเอียด


• Magnet AXIOM: เป็นแพลตฟอร์ม Forensic ที่ครอบคลุม สามารถรวบรวมและวิเคราะห์หลักฐานจากแหล่งข้อมูลที่หลากหลาย รวมถึงอุปกรณ์มือถือและคอมพิวเตอร์ มีความสามารถในการวิเคราะห์ข้อมูลแอปพลิเคชันต่างๆ เช่น LINE ได้อย่างมีประสิทธิภาพ




ความท้าทายในการพิสูจน์หลักฐาน LINE



แม้จะมีเทคนิคและเครื่องมือมากมาย แต่การพิสูจน์หลักฐาน LINE ยังคงมีความท้าทายหลายประการ:

• การเข้ารหัสแบบ End-to-End Encryption (E2EE): LINE มีฟีเจอร์ Letter Sealing ที่เปิดใช้งาน E2EE สำหรับการสนทนาส่วนตัวบางรูปแบบ ทำให้ยากต่อการถอดรหัสข้อความหากไม่มีคีย์ที่เหมาะสม ซึ่งคีย์มักจะอยู่บนอุปกรณ์ของผู้ใช้งานเท่านั้น


• การทำลายหลักฐาน (Anti-Forensics): ผู้ร้ายอาจใช้เทคนิค Anti-Forensics เช่น การลบข้อมูล การเข้ารหัสไฟล์ หรือการใช้แอปพลิเคชันทำลายข้อมูล เพื่อปกปิดการกระทำของตน


• ข้อมูลที่กระจัดกระจาย (Fragmentation): ข้อมูลอาจถูกจัดเก็บในหลายตำแหน่ง หรือบางส่วนอาจถูกลบและเขียนทับไปแล้ว ทำให้การกู้คืนข้อมูลที่สมบูรณ์ทำได้ยาก


• การเปลี่ยนแปลงเวอร์ชันแอปพลิเคชัน: LINE มีการอัปเดตเวอร์ชันแอปพลิเคชันอย่างสม่ำเสมอ ซึ่งอาจส่งผลให้โครงสร้างฐานข้อมูลหรือวิธีการจัดเก็บข้อมูลเปลี่ยนแปลงไป ทำให้เครื่องมือ Forensic บางตัวอาจไม่สามารถวิเคราะห์ข้อมูลจากเวอร์ชันใหม่ๆ ได้ทันที


• กฎหมายและข้อบังคับความเป็นส่วนตัว: การเข้าถึงข้อมูลส่วนตัวของผู้ใช้งานต้องเป็นไปตามกฎหมายและข้อบังคับที่เกี่ยวข้อง เช่น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ทำให้ผู้สอบสวนต้องได้รับอนุญาตตามกฎหมาย (หมายศาล) ก่อนดำเนินการ




Security Best Practices



เพื่อรักษาความสมบูรณ์ของหลักฐานดิจิทัลและปกป้องความเป็นส่วนตัวของผู้ใช้งาน มีแนวทางปฏิบัติที่ดีที่สุดดังนี้

สำหรับผู้ใช้ทั่วไป:

• เปิดใช้งานการยืนยันตัวตนแบบสองชั้น (2FA): เพื่อป้องกันการเข้าถึงบัญชี LINE โดยไม่ได้รับอนุญาต แม้รหัสผ่านจะรั่วไหล


• สำรองข้อมูลอย่างสม่ำเสมอ: เพื่อให้มีสำเนาข้อมูลที่ปลอดภัยในกรณีที่อุปกรณ์สูญหายหรือเสียหาย


• ระมัดระวังการคลิกลิงก์หรือเปิดไฟล์ที่ไม่รู้จัก: เพื่อป้องกันมัลแวร์หรือฟิชชิ่งที่อาจนำไปสู่การขโมยข้อมูล


• ตั้งรหัสผ่านที่รัดกุมและไม่ซ้ำใคร: สำหรับบัญชี LINE และบริการออนไลน์อื่นๆ เพื่อเพิ่มความปลอดภัย


• ตรวจสอบสิทธิ์การเข้าถึงแอปพลิเคชัน: จำกัดสิทธิ์การเข้าถึงไมโครโฟน กล้อง ตำแหน่งที่ตั้ง หรือที่จัดเก็บข้อมูลเท่าที่จำเป็น


• ลบข้อมูลอย่างปลอดภัยเมื่อต้องการขายหรือทิ้งอุปกรณ์: ทำการ Factory Reset หรือใช้เครื่องมือทำลายข้อมูลเพื่อป้องกันการกู้คืนข้อมูลส่วนตัว


สำหรับผู้เชี่ยวชาญด้านการพิสูจน์หลักฐานดิจิทัล:

• รักษา Chain of Custody อย่างเคร่งครัด: บันทึกทุกขั้นตอนของการเก็บรวบรวม การขนย้าย การจัดเก็บ และการวิเคราะห์หลักฐาน เพื่อยืนยันความสมบูรณ์และน่าเชื่อถือของหลักฐาน


• ใช้เครื่องมือที่ได้รับการรับรองและตรวจสอบได้: เลือกใช้เครื่องมือ Forensic ที่ได้รับการยอมรับในอุตสาหกรรมและมีการตรวจสอบความถูกต้อง (validation) อย่างสม่ำเสมอ


• ทำงานในสภาพแวดล้อมที่ควบคุมและป้องกันการเขียน (Write Blocker): เพื่อป้องกันการเปลี่ยนแปลงข้อมูลบนอุปกรณ์ต้นฉบับโดยไม่ตั้งใจ


• บันทึกขั้นตอนการทำงานอย่างละเอียด: จัดทำเอกสารทุกคำสั่ง เครื่องมือที่ใช้ ผลลัพธ์ที่ได้ และข้อสังเกตต่างๆ เพื่อให้สามารถตรวจสอบซ้ำและนำเสนอต่อศาลได้


• สร้างสำเนาหลักฐานแบบ Bit-for-Bit (Forensic Image): ก่อนที่จะเริ่มวิเคราะห์ เพื่อให้การวิเคราะห์ทั้งหมดกระทำบนสำเนา และรักษาต้นฉบับให้คงสภาพเดิม


• มีความเข้าใจในกฎหมายและนโยบายความเป็นส่วนตัว: ปฏิบัติตามกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด เช่น พ.ร.บ. คอมพิวเตอร์ และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เพื่อหลีกเลี่ยงข้อพิพาททางกฎหมาย

บทสรุป