Digital Service
- 29 ก.ย. 61
-
5393
-
Digital ID ในบริบทประเทศไทย
ที่มา - ที่ไป
Digital ID (การพิสูจน์และยืนยันตัวตนทางดิจิทัล) โครงสร้างพื้นฐานสำคัญที่จะเชื่อมต่อการยืนยันตัวตนจากทุกภาคส่วนเข้ามาไว้ด้วยกัน ที่ผ่านมาการให้บริการของภาครัฐแก่ประชาชนและภาคธุรกิจ หรือการให้บริการของภาคธุรกิจแก่ประชาชน ประกอบด้วยขั้นตอนการพิสูจน์และยืนยันตัวตนที่มีความซ้ำซ้อน มีความสิ้นเปลืองทั้งเวลาและทรัพยากร เกิดภาระต่อผู้แสดงตนและผู้มีหน้าที่ในการตรวจสอบความถูกต้องและยืนยันตัวตน การพิสูจน์ตัวตนมักจะให้ผู้ทำธุรกรรมต้องไปแสดงตนต่อผู้ให้บริการ เช่น ธนาคารพาณิชย์ พร้อมทั้งส่งเอกสารหลักฐานในการพิสูจน์และยืนยันตัวตน จึงก่อให้เกิดความไม่สะดวกและเกิดภาระต่อผู้ใช้บริการ
รัฐบาลได้ตระหนักถึงความสำคัญของการนำเทคโนโลยีดิจิทัลที่มีพัฒนาการก้าวหน้าอย่างรวดเร็ว มาประยุกต์ใช้กับการให้บริการประชาชนและภาคธุรกิจอย่างมีประสิทธิภาพ จึงมีการวางโครงสร้างพื้นฐานสำคัญในเรื่อง National Digital ID Platform (ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล) ซึ่งจะช่วยอำนวยความสะดวกให้การประกอบธุรกิจและการทำธุรกรรมต่างๆ ในยุคดิจิทัลและ Thailand 4.0 มีความรวดเร็วและมั่นคงปลอดภัยตามมาตรฐานสากล รวมถึงสอดคล้องกับนโยบายโครงการ Doing Business Portal (ระบบอำนวยความสะดวกในการประกอบธุรกิจแบบครบวงจร) ที่ต้องการยกระดับ Ease of Doing Business Ranking ของประเทศ
ดำเนินการอย่างไร
รัฐบาลโดยความร่วมมือของกระทรวงการคลังกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ดำเนินการพัฒนาระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล ดังนี้
1. แต่งตั้งคณะกรรมการพัฒนาระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล และคณะทำงานที่เกี่ยวข้อง จำนวน 3 คณะ ดังนี้
- คณะทำงานจัดทำคุณสมบัติทางเทคนิคของระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลทำหน้าที่ในการศึกษาแนวทางการพัฒนาระบบและกำหนดคุณลักษณะเฉพาะของระบบ พร้อมทั้งออกแบบสถาปัตยกรรมเทคโนโลยีสารสนเทศและกระบวนการให้สอดคล้องกับมาตรฐานสากล โดยไม่เฉพาะเจาะจงเทคโนโลยี
- คณะทำงานด้านกฎหมายที่เกี่ยวข้องกับการพิสูจน์และยืนยันตัวตนทางดิจิทัล ทำหน้าที่ ในการศึกษาแนวทางการกำกับดูแลการพิสูจน์และยืนยันตัวตนทางอิเล็กทรอนิกส์ พร้อมทั้งกำหนดวิธีการ และรูปแบบการกำกับดูแล การประเมินความเสี่ยง การทำสัญญาและกำหนดผลผูกพันทางกฎหมาย และการคุ้มครองข้อมูลส่วนบุคคล โดยคณะทำงานนี้ได้ดำเนินการยกร่างพระราชบัญญัติการพิสูจน์และยืนยันตัวตนทางดิจิทัล พ.ศ. ....
- คณะทำงานนำร่องการใช้ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล ทำหน้าที่ในการพัฒนาและนำร่องการใช้ระบบ เพื่อสนับสนุน Ease of Doing Business พร้อมทั้งจัดทำข้อเสนอแนะมาตรฐาน และแนวปฏิบัติสำหรับหน่วยงานที่เกี่ยวข้องในการใช้งานระบบสำหรับบริการภาครัฐ โดยมีโครงการนำร่อง เช่น โครงการกู้ยืมเงินเพื่อการศึกษา การยื่นภาษีกรมสรรพากร การเปิดบัญชีสมาชิกสมาคมธนาคารไทย รวมถึงการประกันภัย
2. จัดตั้งบริษัท National Digital ID (NDID) ซึ่งเป็นความร่วมมือกันระหว่างธนาคารพาณิชย์ภายใต้สมาคมธนาคารไทย บริษัท ข้อมูลเครดิตแห่งชาติ จำกัด สมาคมบริษัทหลักทรัพย์ไทย สมาคมประกันชีวิตไทย สมาคมประกันวินาศภัยไทย และสมาคมการค้าผู้ให้บริการชำระเงินอิเล็กทรอนิกส์ไทย โดยจะดำเนินการให้บริการเชื่อมโยงฐานข้อมูลเกี่ยวกับการพิสูจน์และยืนยันตัวตนทางดิจิทัลกับหน่วยงานต่างๆ ที่เกี่ยวข้อง เช่น กรมการปกครอง กรมพัฒนาธุรกิจการค้า ภาคเอกชน
ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลจะเป็นระบบกลางที่รองรับการยืนยันตัวตน ผ่านทางอิเล็กทรอนิกส์ โดยใช้ข้อมูลจากบุคคลที่ 3 (Third Party) ในการพิสูจน์และยืนยันตัวตน ทั้งนี้ การเปิดเผยข้อมูลส่วนบุคคลจะต้องได้รับความยินยอม (Consent) จากเจ้าของข้อมูลก่อน จึงสามารถนำข้อมูลนั้นไปใช้ได้
ธนาคารแห่งประเทศไทย (ธปท.) มีหนังสืออนุญาตให้ธนาคารพาณิชย์ที่มีความพร้อมในด้านระบบงาน บุคลากร และการบริหารความเสี่ยงด้านต่างๆ (ความเสี่ยงด้านเทคโนโลยี ความเสี่ยงด้านปฏิบัติการ และความเสี่ยงด้านกลยุทธ์) สามารถให้บริการยืนยันตัวตนของลูกค้าหรือให้ข้อมูลในรูปแบบดิจิทัลได้แล้ว เมื่อวันที่ 4 กันยายน 2561 โดยขอให้ธนาคารถือปฏิบัติตามเงื่อนไขที่ ธปท. กำหนด
3. สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) ได้รับมอบหมายจากคณะกรรมการพัฒนาระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล ให้พัฒนาส่วนเชื่อมต่อกับ Doing Business Portal ที่ดำเนินการโดยสำนักงานคณะกรรมการพัฒนาระบบราชการและสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) โดยใช้มาตรฐาน Open ID Connect ซึ่งเป็นมาตรฐานสากลที่มีความปลอดภัย เพื่อทำให้ e-Service ของหน่วยงานภาครัฐสามารถแชร์ ID จากหน่วยงานอื่นๆ ได้ และจะทำการเชื่อมต่อกับระบบของบริษัท NDID ผ่าน Federation Proxy เพื่อร่วมให้บริการเป็นระบบเดียวกัน
นอกจากนี้ สพธอ. ได้มีการจัดทำ (ร่าง) ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศและการสื่อสารที่จำเป็นต่อการทำธุรกรรมทางอิเล็กทรอนิกส์ว่าด้วยการยืนยันตัวตนทางอิเล็กทรอนิกส์ เพื่อให้หน่วยงานกำกับดูแล เช่น ธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ สำนักงานป้องกันและปราบปรามการฟอกเงิน สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ ใช้อ้างอิงในการกำหนดระดับความน่าเชื่อถือของการพิสูจน์และยืนยันตัวตนกับหน่วยงานที่อยู่ภายใต้การกำกับดูแล เช่น ธนาคาร บริษัทหลักทรัพย์ บริษัทประกันภัย ผู้ให้บริการมือถือ โดยมีระดับความน่าเชื่อถือที่สอดคล้องกับมาตรฐาน NIST SP 800-63-3 ของสหรัฐอเมริกา ดังนี้
- Identity Assurance Level (IAL) หรือระดับความน่าเชื่อถือของอัตลักษณ์ บ่งบอกถึงระดับความเข้มงวดในกระบวนการพิสูจน์ตัวตนของผู้ขอใช้บริการ จะแบ่งออกเป็นระดับย่อย 7 ระดับ
- Authenticator Assurance Level (AAL) หรือระดับความน่าเชื่อถือของการยืนยันตัวตน บ่งบอกถึงระดับความเข้มงวดในกระบวนการยืนยันตัวตนของผู้ใช้บริการ ซึ่งได้ลงทะเบียนกับผู้พิสูจน์และยืนยันตัวตน (Identity Provider : IdP) ไว้แล้ว จะแบ่งออกเป็นระดับย่อย 4 ระดับ
ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลคาดว่าจะสามารถให้บริการยืนยันตัวตนเต็มรูปแบบ และเชื่อมโยงฐานข้อมูลเต็มรูปแบบได้ในปลายปี 2562
ว่าด้วยเรื่องกฎหมาย
กระทรวงการคลังได้เสนอ (ร่าง) พระราชบัญญัติการพิสูจน์และยืนยันตัวตนทางดิจิทัล พ.ศ. .... ต่อคณะรัฐมนตรี ซึ่งคณะรัฐมนตรีมีมติเห็นชอบในหลักการของ (ร่าง) พระราชบัญญัติฯ เมื่อวันที่ 11 กันยายน 2561
สาระสำคัญของ (ร่าง) พระราชบัญญัติฯ สรุปได้ ดังนี้
- กำหนดคำนิยาม “พิสูจน์และยืนยันตัวตน” หมายความว่า การระบุตัวตน การแสดงตน การพิสูจน์ตัวตน การแสดงหลักฐานใดๆ และการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับผู้ขอใช้บริการและการยืนยันตัวตนของผู้ขอใช้บริการ ทั้งนี้ ให้หมายความรวมถึงการแสดงเจตนา การให้ความยินยอม การทำนิติกรรมสัญญาใดๆ หรือการลงลายมือชื่ออิเล็กทรอนิกส์ โดยให้เป็นไปตามความประสงค์หรือเจตนาของผู้ใช้บริการ และ “ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล” หมายความว่า ระบบและเครือข่ายกลางในการเชื่อมโยงข้อมูลระหว่างสมาชิก หน่วยงาน และบุคคลที่เกี่ยวข้อง ซึ่งพัฒนาและบริหารจัดการ โดยบริษัทผู้ให้บริการระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล
- กำหนดให้มี “คณะกรรมการกำกับดูแลการพิสูจน์และยืนยันตัวตนทางดิจิทัล” โดยมีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นรองประธานกรรมการ และกรรมการอื่นอีกจำนวนสิบสองคน ซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้ทรงคุณวุฒิ และให้ผู้อำนวยการสำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เป็นกรรมการและเลขานุการ ทั้งนี้ ให้สำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์รับผิดชอบงานธุรการของคณะกรรมการ
- กำหนดให้คณะกรรมการมีอำนาจและหน้าที่ในการกำกับดูแลโครงข่ายระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลเป็นการทั่วไป อำนาจและหน้าที่ดังกล่าวให้รวมถึงการออกประกาศหรือคำสั่งเพื่อปฏิบัติการให้เป็นไปตามพระราชบัญญัตินี้ การออกประกาศกำหนดหลักเกณฑ์ วิธีการ และเงื่อนไขเกี่ยวกับบริษัทผู้ให้บริการระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล รวมถึงการกำหนดค่าธรรมเนียมและค่าดำเนินการอื่นใดที่เกี่ยวข้องกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล การสั่งให้บริษัทผู้ให้บริการยื่นรายงานเกี่ยวกับการดำเนินกิจการของบริษัทเป็นการทั่วไปหรือเป็นการเฉพาะ โดยมีรายการและระยะเวลาตามที่คณะกรรมการกำหนด การพิจารณาวินิจฉัยคำอุทธรณ์ตามพระราชบัญญัตินี้ การแต่งตั้งคณะอนุกรรมการเพื่อกำกับดูแลการใช้บริการระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลของธุรกิจในแต่ละภาคอุตสาหกรรม และปฏิบัติการอื่นใดตามที่มีกฎหมายหรือมติคณะรัฐมนตรีกำหนดให้เป็นอำนาจและหน้าที่ของคณะกรรมการ
- กำหนดให้การให้บริการระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลจะกระทำได้ต่อเมื่อได้จัดตั้งในรูปบริษัทและได้รับใบอนุญาตจากรัฐมนตรี
- กำหนดให้บริษัทผู้ให้บริการและผู้ให้บริการระบบทำการแทน ดำเนินการเข้ารหัส (Encryption) หรือดำเนินการอื่นใดเพื่อประโยชน์ในการรักษาความลับและความปลอดภัยของข้อมูลในโครงข่ายระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล โดยต้องมีมาตรฐานการเข้ารหัสหรือการดำเนินการอื่นใดตามที่คณะกรรมการกำหนดเป็นอย่างน้อย
- กำหนดให้บริษัทผู้ให้บริการ ผู้ให้บริการระบบทำการแทนหรือสมาชิกผู้ใดจงใจหรือประมาทเลินเล่อเปิดเผยข้อมูลที่ไม่ถูกต้องให้แก่ผู้อื่น หรือเปิดเผยข้อมูลที่ถูกต้อง แต่มิใช่เป็นไปตามวัตถุประสงค์ที่กำหนดไว้ในพระราชบัญญัตินี้ จนเป็นเหตุให้เกิดความเสียหายแก่สมาชิก ผู้ใช้บริการ หรือเจ้าของข้อมูล บริษัท ผู้ให้บริการระบบทำการแทนหรือสมาชิกผู้เปิดเผย แล้วแต่กรณี ต้องรับผิดชดใช้ค่าสินไหมทดแทนเพื่อการนั้น
- กำหนดให้บริษัทผู้ให้บริการระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล ผู้ให้บริการระบบทำการแทนหรือผู้ใดไม่ปฏิบัติตามคำสั่ง ประกาศ หลักเกณฑ์หรือเงื่อนไขที่คณะกรรมการหรือคณะอนุกรรมการกำหนด ต้องระวางโทษปรับไม่เกินสามแสนบาท และปรับอีกไม่เกินวันละหนึ่งหมื่นบาทตลอดเวลาที่ยังฝ่าฝืนอยู่ หรือจนกว่าจะได้ปฏิบัติให้ถูกต้อง
ขณะนี้อยู่ระหว่างการตรวจพิจารณาของสำนักงานคณะกรรมการกฤษฎีกา จากนั้นจะส่งให้คณะกรรมการประสานงานสภานิติบัญญัติแห่งชาติพิจารณา ก่อนเสนอสภานิติบัญญัติแห่งชาติต่อไป
ไม่ใช่เรื่องไกลตัว
การนำ Digital ID มาใช้ในการทำธุรกรรมทางอิเล็กทรอนิกส์จะก่อให้เกิดประโยชน์แก่ทุกภาคส่วน Digital ID ที่นำมาใช้นอกจากเลขบัตรประชาชน 13 หลัก อาจจะเป็นการสแกนลายนิ้วมือ การสแกนม่านตา การล็อกอินผ่านอินเทอร์เน็ตด้วย Facebook หรือ Mobile Banking ซึ่งไม่ได้มีการกำหนดว่าต้องใช้วิธีการใดวิธีการหนึ่งโดยเฉพาะ
Digital ID ไม่ใช่เรื่องไกลตัวอีกต่อไป ทุกภาคส่วนจึงควรมีการปรับตัวเพื่อรองรับบริบทนี้
ภาครัฐ >> ปรับรูปแบบบริการ เพื่ออำนวยความสะดวกให้แก่ประชาชนและภาคธุรกิจ
>> ทบทวน/ปรับปรุงกฎหมายที่เกี่ยวข้อง เพื่อรองรับเทคโนโลยีที่เปลี่ยนแปลง
ภาคธุรกิจ >> ปรับรูปแบบบริการ เพื่อสร้างความสามารถในการแข่งขัน
ประชาชน >>ศึกษาทำความเข้าใจเกี่ยวกับรูปแบบบริการหรือการทำธุรกรรมต่างๆ เพื่อให้รู้เท่าทันเทคโนโลยีที่เปลี่ยนแปลง
เอกสารอ้างอิง:
- https://www.digitalid.or.th
- https://www.facebook.com/NationalDigitalID
- https://www.etda.or.th
- https://www.thaigov.go.th/uploads/document/74/2018/09/docx/final 11.9.61.docx
ผู้เขียน: กลุ่มงานนโยบายฯ