3.1 ประเภทการลงลายมือชื่อที่มีความน่าเชื่อถือ
การลงลายมือชื่อมีวัตถุประสงค์เพื่อระบุตัวบุคคลผู้เป็นเจ้าของลายมือชื่อที่เกี่ยวข้องกับข้อมูลนั้นและแสดงเจตนาของเจ้าของลายมือชื่อเกี่ยวกับข้อความที่ตนเองลงลายมือชื่อ เช่น ยอมรับเงื่อนไขตามข้อความที่ปรากฏในข้อตกลง หรือรับรองความถูกต้องของข้อความที่ตนเองให้ไว้ เป็นต้น
และเพื่อให้ผู้ลงลายมือชื่ออิเล็กทรอนิกส์มีแนวทางในการลงลายมือชื่ออิเล็กทรอนิกส์และสามารถเลือกใช้วิธีการได้อย่างเหมาะสมกับการทำธุรกรรมทางอิเล็กทรอนิกส์ จึงมีการกำหนด ข้อเสนอแนะมาตรฐานฯ ว่าด้วยแนวทางการลงลายมือชื่ออิเล็กทรอนิกส์ (ขมธอ. 23-2563) ขึ้นมาโดยมีการแบ่งประเภทของลายมือชื่ออิเล็กทรอนิกส์ออกเป็น 3 ประเภท อธิบายได้ดังนี้
ประเภทของลายมือชื่ออิเล็กทรอนิกส์ ตามข้อเสนอแนะมาตรฐานฯ แบ่งออกเป็น 3 ประเภทหลัก ดังนี้
| 1. การลงลายมือชื่ออิเล็กทรอนิกส์ทั่วไป |
- การพิมพ์ชื่อไว้ท้ายเนื้อหาของข้อความ
- การใช้ปากกาแบบอิเล็กทรอนิกส์ (Stylus) ลงลายมือชื่อ
- การกรอกรหัส OTP เพื่อลงลายมือชื่อ
- การสแกนภาพ/อัปโหลดรูปภาพของ
ลายมือชื่อ
- การทำเครื่องหมายหรือกดปุ่มยืนยัน
เพื่อลงลายมือชื่อ
|
พ.ร.บ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 มาตรา 9
|
| 2. การลงลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ |
- ลายมือชื่อดิจิทัลที่อาศัยโครงสร้างพื้นฐานกุญแจสาธารณะ (PKI)*
|
พ.ร.บ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 มาตรา 26
|
| 3. การลงลายมือชื่ออิเล็กทรอนิกส์เชื่อถือได้ซึ่งใช้ใบรับรองที่ออกโดยผู้ให้บริการออกใบรับรอง (CA : Certificate Authority) |
- ลายมือชื่อดิจิทัลที่อาศัยโครงสร้างพื้นฐานกุญแจสาธารณะ (PKI)* และใช้ ใบรับรองที่ออกโดยผู้ให้บริการออกใบรับรอง
|
พ.ร.บ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 มาตรา 26 และ 28
|
*โครงสร้างพื้นฐานกุญแจสาธารณะ (PKI) เป็นเทคโนโลยีที่อาศัยระบบรหัสแบบกุญแจสาธารณะ (Public Key Cryptography) ที่ประกอบด้วยกุญแจส่วนตัว (Private key) และกุญแจสาธารณะ (Public key) ซึ่งโครงสร้างดังกล่าวใช้ในการพิสูจน์ตัวจริง (Authentication) รวมทั้งการรักษาความลับของข้อมูล (Data Confidentiality) ความครบถ้วนของข้อมูล (Data Integrity) และการห้ามปฏิเสธความรับผิด (Non-repudiation)
โครงสร้างพื้นฐานกุญแจสาธารณะประกอบด้วยผู้ให้บริการออกใบรับรอง (Certification Authority - CA) เจ้าหน้าที่รับลงทะเบียน (Registration Authority - RA) ระบบบริการไดเรกทอรี (Directory service) และผู้ขอใช้บริการ (Subscriber) อ่านเพิ่มเติม
การลงลายมือชื่อที่มีความน่าเชื่อถือ
เพื่อให้เป็นลายมือชื่ออิเล็กทรอนิกส์ที่มั่นคงปลอดภัยและเชื่อถือได้จะต้องมีคุณสมบัติดังต่อไปนี้
คุณสมบัติของลายมือชื่ออิเล็กทรอนิกส์ที่มั่นคงปลอดภัยและเชื่อถือได้
ลายมือชื่ออิเล็กทรอนิกส์ประเภทที่ 3 ลายมือชื่ออิเล็กทรอนิกส์เชื่อถือได้ซึ่งใช้ใบรับรองที่ออกโดยผู้ให้บริการออกใบรับรอง (CA : Certificate Authority) มีคุณสมบัติตรงตามที่กำหนดไว้ในข้างต้นซึ่งเป็นข้อกำหนดในมาตรา 26 และอาศัยใบรับรองที่ออก โดยผู้ให้บริการออกใบรับรอง เพื่อสนับสนุนลายมือชื่ออิเล็กทรอนิกส์ตามที่กำหนดในมาตรา 28 แห่งกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ จึงมีใช้การลงลายมือชื่ออิเล็กทรอนิกส์ประเภทนี้ในการจัดทำหนังสือรับรองหรือเอกสารอิเล็กทรอนิกส์
การบรรเทาความเสี่ยงของลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ซึ่งใช้ใบรับรองที่ออกโดยผู้ให้บริการออกใบรับรอง (CA : Certificate Authority)
มีการบริหารจัดการคู่กุญแจและข้อมูลใบรับรองในโครงสร้างพื้นฐานกุญแจสาธารณะ (PKI) อย่างเหมาะสม เพื่อให้มั่นใจได้ว่า ลายมือชื่อดิจิทัลสามารถยืนยันตัวเจ้าของลายมือชื่อและตรวจพบการเปลี่ยนแปลงของข้อความและลายมือชื่ออิเล็กทรอนิกส์ได้ ซึ่งจะช่วยจัดการความเสี่ยงหรือผลกระทบที่เป็นไปได้จากภัยคุกคามหรือเหตุการณ์ที่ลายมือชื่ออิเล็กทรอนิกส์จะไม่เป็นที่ยอมรับ เช่น การปลอมตัวเป็นผู้อื่น การปฏิเสธความรับผิด เป็นต้น
3.2 ข้อแนะนำการเลือกรูปแบบใบรับรองอิเล็กทรอนิกส์
ในการใช้งานใบรับรองอิเล็กทรอนิกส์ จำเป็นต้องมีการเลือกรูปแบบให้เหมาะสมกับการนำไปใช้งานของหน่วยงานหรือองค์กรนั้น ๆ ซึ่งรูปแบบของใบรับรองอิเล็กทรอนิกส์สามารถแบ่งได้ 2 ประเภท ดังนี้
การเลือกรูปแบบใบรับรองอิเล็กทรอนิกส์
|
1. นิติบุคคล
ใบรับรองอิเล็กทรอนิกส์ที่ออกให้กับนิติบุคคล ทั้งหน่วยงานภาครัฐ หรือเอกชน เพื่อใช้ในการรับรองธุรกรรมที่เกิดขึ้นว่า มาจากนิติบุคคลของท่านอย่างน่าเชื่อถือ
|
เหมาะสำหรับกรณี
- หน่วยงานออกเอกสารอิเล็กทรอนิกส์ที่กฎหมายไม่ได้ระบุว่าต้องลงนามโดยใช้นามของบุคคล
|
ข้อดี
- บริหารจัดการง่าย สามารถลงนามที่ระบบจัดการเว็บไซต์ (Service Backend) ของหน่วยงานได้เลย
ข้อควรพิจารณา
- อาจจะต้องปรับแก้กฎระเบียบที่เกี่ยวกับการมอบอำนาจให้บุคคลใดบุคคลหนึ่ง ใช้ลายมือชื่ออิเล็กทรอนิกส์ในนามขององค์กร
- ระบบจัดการเว็บไซต์ (Service Backend) ของหน่วยงานต้องมีการจัดเก็บไว้ชัดเจน ครบถ้วน สามารถตรวจสอบย้อนกลับได้
|
|
2. เจ้าหน้าที่นิติบุคคล
ใบรับรองอิเล็กทรอนิกส์ที่ออกให้กับเจ้าหน้าที่ของนิติบุคคล ทั้งหน่วยงานภาครัฐ หรือเอกชน เพื่อใช้ในการรับรองธุรกรรมที่เกิดขึ้นว่ามาจากเจ้าหน้าที่ของนิติบุคคลของท่านอย่างน่าเชื่อถือ
|
เหมาะสำหรับกรณี
- หน่วยงานออกเอกสารอิเล็กทรอนิกส์ที่กฎหมายระบุไว้ชัดเจนว่า ให้บุคคลใดเป็นผู้ลงนามเท่านั้น
|
ข้อดี
- ระบุผู้รับผิดชอบได้ชัดเจนในตัวไฟล์เอกสารอิเล็กทรอนิกส์
- สอดคล้องกับวิธีปฏิบัติปกติในการลงนามของหน่วยงาน
ข้อควรพิจารณา
- มีความยุ่งยากในการบริหารจัดการ เช่น การร้องขอ และติดตั้งใบรับรองอิเล็กทรอนิกส์ การฝึกอบรมผู้ใช้งาน เนื่องจากต้องจัดเตรียมผ่านหลายๆอุปกรณ์ เป็นต้น
|
3.3 ขั้นตอนการจัดหาใบรับรองอิเล็กทรอนิกส์
การจัดหาใบรับรองอิเล็กทรอนิกส์ แบ่งรูปแบบการจัดหาได้เป็น 2 รูปแบบ ได้แก่ หน่วยงานจัดหากับผู้ให้บริการใบรับรองอิเล็กทรอนิกส์โดยตรง หรือจัดหาผ่าน ETDA ซึ่งขั้นตอนขึ้นอยู่กับรูปแบบการจัดหา และผู้ให้บริการฯ ที่เลือกใช้
รูปแบบการจัดหาใบรับรองอิเล็กทรอนิกส์
|
1. หน่วยงานจัดหากับผู้ให้บริการโดยตรง
ขอใบรับรองอิเล็กทรอนิกส์เองผ่านผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
|
เหมาะสำหรับกรณี
- หน่วยงานที่ต้องการเลือกใช้บริการกับผู้ให้บริการใบรับรองอิเล็กทรอนิกส์
|
ข้อดี
- สามารถเลือกผู้ให้บริการออกใบรับรองได้เหมาะสมกับความต้องการของผู้ใช้บริการได้อย่างอิสระ
ข้อควรพิจารณา
- มีค่าใช้จ่ายสำหรับการออกใบรับรองอิเล็กทรอนิกส์
|
|
2. จัดหาผ่าน ETDA
ขอรับการสนับสนุนใบรับรองอิเล็กทรอนิกส์ผ่าน ETDA
|
เหมาะสำหรับกรณี
- หน่วยงานที่มีข้อจำกัดด้านงบประมาณแต่ต้องการนำร่องการลงลายมือชื่อดิจิทัล
- หน่วยงานที่มีความต้องการใช้งานใบรับรองอิเล็กทรอนิกส์จำนวนไม่มาก
- หน่วยงานที่ไม่กำหนดว่าจะต้องใช้บริการกับผู้ให้บริการใบรับรองอิเล็กทรอนิกส์ใด
|
ข้อดี
- ETDA ช่วยจัดหาใบรับรองอิเล็กทรอนิกส์ ตั้งแต่ ก.ค. 2567 จนกว่าจะสิ้นสุดงบประมาณที่จัดสรรไว้
ข้อควรพิจารณา
- มีปริมาณใบรับรองอิเล็กทรอนิกส์ที่แจกจ่ายจำกัดให้แต่ละหน่วยงานตามที่ ETDA พิจารณา
|
สามารถอ่านเพิ่มเติมเกี่ยวกับ e-Licensing Transformation ได้ที่