Digital ID ในบริบทประเทศไทย

ที่มา - ที่ไป
Digital ID (การพิสูจน์และยืนยันตัวตนทางดิจิทัล) โครงสร้างพื้นฐานสำคัญที่จะเชื่อมต่อการยืนยันตัวตนจากทุกภาคส่วนเข้ามาไว้ด้วยกัน ที่ผ่านมาการให้บริการของภาครัฐแก่ประชาชนและภาคธุรกิจ หรือการให้บริการของภาคธุรกิจแก่ประชาชน ประกอบด้วยขั้นตอนการพิสูจน์และยืนยันตัวตนที่มีความซ้ำซ้อน มีความสิ้นเปลืองทั้งเวลาและทรัพยากร เกิดภาระต่อผู้แสดงตนและผู้มีหน้าที่ในการตรวจสอบความถูกต้องและยืนยันตัวตน การพิสูจน์ตัวตนมักจะให้ผู้ทำธุรกรรมต้องไปแสดงตนต่อผู้ให้บริการ เช่น ธนาคารพาณิชย์ พร้อมทั้งส่งเอกสารหลักฐานในการพิสูจน์และยืนยันตัวตน จึงก่อให้เกิดความไม่สะดวกและเกิดภาระต่อผู้ใช้บริการ

รัฐบาลได้ตระหนักถึงความสำคัญของการนำเทคโนโลยีดิจิทัลที่มีพัฒนาการก้าวหน้าอย่างรวดเร็ว มาประยุกต์ใช้กับการให้บริการประชาชนและภาคธุรกิจอย่างมีประสิทธิภาพ จึงมีการวางโครงสร้างพื้นฐานสำคัญในเรื่อง National Digital ID Platform (ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล) ซึ่งจะช่วยอำนวยความสะดวกให้การประกอบธุรกิจและการทำธุรกรรมต่างๆ ในยุคดิจิทัลและ Thailand 4.0 มีความรวดเร็วและมั่นคงปลอดภัยตามมาตรฐานสากล รวมถึงสอดคล้องกับนโยบายโครงการ Doing Business Portal (ระบบอำนวยความสะดวกในการประกอบธุรกิจแบบครบวงจร) ที่ต้องการยกระดับ Ease of Doing Business Ranking ของประเทศ

ดำเนินการอย่างไร
รัฐบาลโดยความร่วมมือของกระทรวงการคลังกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ดำเนินการพัฒนาระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล ดังนี้

1. แต่งตั้งคณะกรรมการพัฒนาระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล และคณะทำงานที่เกี่ยวข้อง จำนวน 3 คณะ ดังนี้

1. คณะทำงานจัดทำคุณสมบัติทางเทคนิคของระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลทำหน้าที่ในการศึกษาแนวทางการพัฒนาระบบและกำหนดคุณลักษณะเฉพาะของระบบ พร้อมทั้งออกแบบสถาปัตยกรรมเทคโนโลยีสารสนเทศและกระบวนการให้สอดคล้องกับมาตรฐานสากล โดยไม่เฉพาะเจาะจงเทคโนโลยี
2. คณะทำงานด้านกฎหมายที่เกี่ยวข้องกับการพิสูจน์และยืนยันตัวตนทางดิจิทัล ทำหน้าที่ ในการศึกษาแนวทางการกำกับดูแลการพิสูจน์และยืนยันตัวตนทางอิเล็กทรอนิกส์ พร้อมทั้งกำหนดวิธีการ และรูปแบบการกำกับดูแล การประเมินความเสี่ยง การทำสัญญาและกำหนดผลผูกพันทางกฎหมาย และการคุ้มครองข้อมูลส่วนบุคคล โดยคณะทำงานนี้ได้ดำเนินการยกร่างพระราชบัญญัติการพิสูจน์และยืนยันตัวตนทางดิจิทัล พ.ศ. ....
3. คณะทำงานนำร่องการใช้ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล ทำหน้าที่ในการพัฒนาและนำร่องการใช้ระบบ เพื่อสนับสนุน Ease of Doing Business พร้อมทั้งจัดทำข้อเสนอแนะมาตรฐาน และแนวปฏิบัติสำหรับหน่วยงานที่เกี่ยวข้องในการใช้งานระบบสำหรับบริการภาครัฐ โดยมีโครงการนำร่อง เช่น โครงการกู้ยืมเงินเพื่อการศึกษา การยื่นภาษีกรมสรรพากร การเปิดบัญชีสมาชิกสมาคมธนาคารไทย รวมถึงการประกันภัย

2. จัดตั้งบริษัท National Digital ID (NDID) ซึ่งเป็นความร่วมมือกันระหว่างธนาคารพาณิชย์ภายใต้สมาคมธนาคารไทย บริษัท ข้อมูลเครดิตแห่งชาติ จำกัด สมาคมบริษัทหลักทรัพย์ไทย สมาคมประกันชีวิตไทย สมาคมประกันวินาศภัยไทย และสมาคมการค้าผู้ให้บริการชำระเงินอิเล็กทรอนิกส์ไทย โดยจะดำเนินการให้บริการเชื่อมโยงฐานข้อมูลเกี่ยวกับการพิสูจน์และยืนยันตัวตนทางดิจิทัลกับหน่วยงานต่างๆ ที่เกี่ยวข้อง เช่น กรมการปกครอง กรมพัฒนาธุรกิจการค้า ภาคเอกชน

ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลจะเป็นระบบกลางที่รองรับการยืนยันตัวตน ผ่านทางอิเล็กทรอนิกส์ โดยใช้ข้อมูลจากบุคคลที่ 3 (Third Party) ในการพิสูจน์และยืนยันตัวตน ทั้งนี้ การเปิดเผยข้อมูลส่วนบุคคลจะต้องได้รับความยินยอม (Consent) จากเจ้าของข้อมูลก่อน จึงสามารถนำข้อมูลนั้นไปใช้ได้

ธนาคารแห่งประเทศไทย (ธปท.) มีหนังสืออนุญาตให้ธนาคารพาณิชย์ที่มีความพร้อมในด้านระบบงาน บุคลากร และการบริหารความเสี่ยงด้านต่างๆ (ความเสี่ยงด้านเทคโนโลยี ความเสี่ยงด้านปฏิบัติการ และความเสี่ยงด้านกลยุทธ์) สามารถให้บริการยืนยันตัวตนของลูกค้าหรือให้ข้อมูลในรูปแบบดิจิทัลได้แล้ว เมื่อวันที่ 4 กันยายน 2561 โดยขอให้ธนาคารถือปฏิบัติตามเงื่อนไขที่ ธปท. กำหนด

3. สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) ได้รับมอบหมายจากคณะกรรมการพัฒนาระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล ให้พัฒนาส่วนเชื่อมต่อกับ Doing Business Portal ที่ดำเนินการโดยสำนักงานคณะกรรมการพัฒนาระบบราชการและสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) โดยใช้มาตรฐาน Open ID Connect ซึ่งเป็นมาตรฐานสากลที่มีความปลอดภัย เพื่อทำให้ e-Service ของหน่วยงานภาครัฐสามารถแชร์ ID จากหน่วยงานอื่นๆ ได้ และจะทำการเชื่อมต่อกับระบบของบริษัท NDID ผ่าน Federation Proxy เพื่อร่วมให้บริการเป็นระบบเดียวกัน

นอกจากนี้ สพธอ. ได้มีการจัดทำ (ร่าง) ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศและการสื่อสารที่จำเป็นต่อการทำธุรกรรมทางอิเล็กทรอนิกส์ว่าด้วยการยืนยันตัวตนทางอิเล็กทรอนิกส์ เพื่อให้หน่วยงานกำกับดูแล เช่น ธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ สำนักงานป้องกันและปราบปรามการฟอกเงิน สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ ใช้อ้างอิงในการกำหนดระดับความน่าเชื่อถือของการพิสูจน์และยืนยันตัวตนกับหน่วยงานที่อยู่ภายใต้การกำกับดูแล เช่น ธนาคาร บริษัทหลักทรัพย์ บริษัทประกันภัย ผู้ให้บริการมือถือ โดยมีระดับความน่าเชื่อถือที่สอดคล้องกับมาตรฐาน NIST SP 800-63-3 ของสหรัฐอเมริกา ดังนี้

1. Identity Assurance Level (IAL) หรือระดับความน่าเชื่อถือของอัตลักษณ์ บ่งบอกถึงระดับความเข้มงวดในกระบวนการพิสูจน์ตัวตนของผู้ขอใช้บริการ จะแบ่งออกเป็นระดับย่อย 7 ระดับ
2. Authenticator Assurance Level (AAL) หรือระดับความน่าเชื่อถือของการยืนยันตัวตน บ่งบอกถึงระดับความเข้มงวดในกระบวนการยืนยันตัวตนของผู้ใช้บริการ ซึ่งได้ลงทะเบียนกับผู้พิสูจน์และยืนยันตัวตน (Identity Provider : IdP) ไว้แล้ว จะแบ่งออกเป็นระดับย่อย 4 ระดับ

ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลคาดว่าจะสามารถให้บริการยืนยันตัวตนเต็มรูปแบบ และเชื่อมโยงฐานข้อมูลเต็มรูปแบบได้ในปลายปี 2562

ว่าด้วยเรื่องกฎหมาย
กระทรวงการคลังได้เสนอ (ร่าง) พระราชบัญญัติการพิสูจน์และยืนยันตัวตนทางดิจิทัล พ.ศ. .... ต่อคณะรัฐมนตรี ซึ่งคณะรัฐมนตรีมีมติเห็นชอบในหลักการของ (ร่าง) พระราชบัญญัติฯ เมื่อวันที่ 11 กันยายน 2561

สาระสำคัญของ (ร่าง) พระราชบัญญัติฯ สรุปได้ ดังนี้

1. กำหนดคำนิยาม “พิสูจน์และยืนยันตัวตน” หมายความว่า การระบุตัวตน การแสดงตน การพิสูจน์ตัวตน การแสดงหลักฐานใดๆ และการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับผู้ขอใช้บริการและการยืนยันตัวตนของผู้ขอใช้บริการ ทั้งนี้ ให้หมายความรวมถึงการแสดงเจตนา การให้ความยินยอม การทำนิติกรรมสัญญาใดๆ หรือการลงลายมือชื่ออิเล็กทรอนิกส์ โดยให้เป็นไปตามความประสงค์หรือเจตนาของผู้ใช้บริการ และ “ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล” หมายความว่า ระบบและเครือข่ายกลางในการเชื่อมโยงข้อมูลระหว่างสมาชิก หน่วยงาน และบุคคลที่เกี่ยวข้อง ซึ่งพัฒนาและบริหารจัดการ โดยบริษัทผู้ให้บริการระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล
2. กำหนดให้มี “คณะกรรมการกำกับดูแลการพิสูจน์และยืนยันตัวตนทางดิจิทัล” โดยมีรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นรองประธานกรรมการ และกรรมการอื่นอีกจำนวนสิบสองคน ซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้ทรงคุณวุฒิ และให้ผู้อำนวยการสำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เป็นกรรมการและเลขานุการ ทั้งนี้ ให้สำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์รับผิดชอบงานธุรการของคณะกรรมการ
3. กำหนดให้คณะกรรมการมีอำนาจและหน้าที่ในการกำกับดูแลโครงข่ายระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลเป็นการทั่วไป อำนาจและหน้าที่ดังกล่าวให้รวมถึงการออกประกาศหรือคำสั่งเพื่อปฏิบัติการให้เป็นไปตามพระราชบัญญัตินี้ การออกประกาศกำหนดหลักเกณฑ์ วิธีการ และเงื่อนไขเกี่ยวกับบริษัทผู้ให้บริการระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล รวมถึงการกำหนดค่าธรรมเนียมและค่าดำเนินการอื่นใดที่เกี่ยวข้องกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล การสั่งให้บริษัทผู้ให้บริการยื่นรายงานเกี่ยวกับการดำเนินกิจการของบริษัทเป็นการทั่วไปหรือเป็นการเฉพาะ โดยมีรายการและระยะเวลาตามที่คณะกรรมการกำหนด การพิจารณาวินิจฉัยคำอุทธรณ์ตามพระราชบัญญัตินี้ การแต่งตั้งคณะอนุกรรมการเพื่อกำกับดูแลการใช้บริการระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลของธุรกิจในแต่ละภาคอุตสาหกรรม และปฏิบัติการอื่นใดตามที่มีกฎหมายหรือมติคณะรัฐมนตรีกำหนดให้เป็นอำนาจและหน้าที่ของคณะกรรมการ
4. กำหนดให้การให้บริการระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลจะกระทำได้ต่อเมื่อได้จัดตั้งในรูปบริษัทและได้รับใบอนุญาตจากรัฐมนตรี
5. กำหนดให้บริษัทผู้ให้บริการและผู้ให้บริการระบบทำการแทน ดำเนินการเข้ารหัส (Encryption) หรือดำเนินการอื่นใดเพื่อประโยชน์ในการรักษาความลับและความปลอดภัยของข้อมูลในโครงข่ายระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล โดยต้องมีมาตรฐานการเข้ารหัสหรือการดำเนินการอื่นใดตามที่คณะกรรมการกำหนดเป็นอย่างน้อย
6. กำหนดให้บริษัทผู้ให้บริการ ผู้ให้บริการระบบทำการแทนหรือสมาชิกผู้ใดจงใจหรือประมาทเลินเล่อเปิดเผยข้อมูลที่ไม่ถูกต้องให้แก่ผู้อื่น หรือเปิดเผยข้อมูลที่ถูกต้อง แต่มิใช่เป็นไปตามวัตถุประสงค์ที่กำหนดไว้ในพระราชบัญญัตินี้ จนเป็นเหตุให้เกิดความเสียหายแก่สมาชิก ผู้ใช้บริการ หรือเจ้าของข้อมูล บริษัท ผู้ให้บริการระบบทำการแทนหรือสมาชิกผู้เปิดเผย แล้วแต่กรณี ต้องรับผิดชดใช้ค่าสินไหมทดแทนเพื่อการนั้น
7. กำหนดให้บริษัทผู้ให้บริการระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล ผู้ให้บริการระบบทำการแทนหรือผู้ใดไม่ปฏิบัติตามคำสั่ง ประกาศ หลักเกณฑ์หรือเงื่อนไขที่คณะกรรมการหรือคณะอนุกรรมการกำหนด ต้องระวางโทษปรับไม่เกินสามแสนบาท และปรับอีกไม่เกินวันละหนึ่งหมื่นบาทตลอดเวลาที่ยังฝ่าฝืนอยู่ หรือจนกว่าจะได้ปฏิบัติให้ถูกต้อง

ขณะนี้อยู่ระหว่างการตรวจพิจารณาของสำนักงานคณะกรรมการกฤษฎีกา จากนั้นจะส่งให้คณะกรรมการประสานงานสภานิติบัญญัติแห่งชาติพิจารณา ก่อนเสนอสภานิติบัญญัติแห่งชาติต่อไป

ไม่ใช่เรื่องไกลตัว
การนำ Digital ID มาใช้ในการทำธุรกรรมทางอิเล็กทรอนิกส์จะก่อให้เกิดประโยชน์แก่ทุกภาคส่วน Digital ID ที่นำมาใช้นอกจากเลขบัตรประชาชน 13 หลัก อาจจะเป็นการสแกนลายนิ้วมือ การสแกนม่านตา การล็อกอินผ่านอินเทอร์เน็ตด้วย Facebook หรือ Mobile Banking ซึ่งไม่ได้มีการกำหนดว่าต้องใช้วิธีการใดวิธีการหนึ่งโดยเฉพาะ

        Digital ID ไม่ใช่เรื่องไกลตัวอีกต่อไป ทุกภาคส่วนจึงควรมีการปรับตัวเพื่อรองรับบริบทนี้

        ภาครัฐ >> ปรับรูปแบบบริการ เพื่ออำนวยความสะดวกให้แก่ประชาชนและภาคธุรกิจ

        >> ทบทวน/ปรับปรุงกฎหมายที่เกี่ยวข้อง เพื่อรองรับเทคโนโลยีที่เปลี่ยนแปลง

        ภาคธุรกิจ >> ปรับรูปแบบบริการ เพื่อสร้างความสามารถในการแข่งขัน

        ประชาชน >>ศึกษาทำความเข้าใจเกี่ยวกับรูปแบบบริการหรือการทำธุรกรรมต่างๆ เพื่อให้รู้เท่าทันเทคโนโลยีที่เปลี่ยนแปลง

เอกสารอ้างอิง:

1. https://www.digitalid.or.th
2. https://www.facebook.com/NationalDigitalID
3. https://www.etda.or.th
4. https://www.thaigov.go.th/uploads/document/74/2018/09/docx/final 11.9.61.docx

ผู้เขียน: กลุ่มงานนโยบายฯ