เปดรบฟงความคดเหน

ราง พ.ร.ฎ. วาดวยการควบคมดแลการประกอบธรกจบรการเกยวกบระบบการพสจนและยนยนตวตนทางดจทล พ.ศ. ....

ราง ประกาศ สพธอ. เรอง แนวทางการเขารวมโครงการทดสอบนวตกรรมเกยวกบระบบการพสจนและยนยนตวตนทางดจทล พ.ศ. ....(Digital ID Sandbox)

28 มกราคม 2563

ชองทางการรบฟงความคดเหน

www.lawamendment.go.th

www.etda.or.th(https://ictlawcenter.etda.or.th/laws)(ictlawcenter@etda.or.th)

2

เพมค านยาม

• “การพสจนและยนยนตวตน”

• “ระบบการพสจนและยนยนตวตนทางดจทล”

รองรบการพสจนและยนยนตวตนทางดจทล (เพม ม.34/3)

• ใหขอสนนษฐานทางกฎหมาย

• ใหก าหนดเงอนไขเกยวกบความนาเชอถอ

ใหมการตรา พ.ร.ฎ. (เพม ม.34/4)

• ก าหนดประเภทบรการและหลกเกณฑการใหบรการ

ก าหนดโทษ (เพม ม.45/1)

• กรณไมไดรบอนญาต หรอฝาฝนค าสงพกใชหรอเพกถอนใบอนญาต

• จ าคกไมเกน 3 ป ปรบไมเกน 300,000 บาท หรอทงจ าทงปรบ

บทเฉพาะกาล (ม.7)

• เมอมพระราชกฤษฎกาแลว ใหยนขออนญาตภายใน 90 วนนบแตวนท พ.ร.ฎ. มผลใชบงคบ

https://ictlawcenter.etda.or.th/laws

พ.ร.บ. ธรกรรมฯ (ฉบบท 4)

พ.ร.บ. วาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 4) พ.ศ. 2562

3

เสนทางของรางกฎหมาย

ครม. พจารณาเหนชอบ

หมายเหต : เปนการประมาณการท างานเบองตน อาจมการปรบเปลยนตามความเหมาะสม

ม.ค. 63เปด Hearing ทวไป

ม.ค. 63เสนอ รมว.

พ.ค. 63สง สคก. ตรวจ

ก.พ. 63เสนอ คธอ.

เม.ย. 63เสนอ ครม.

พจารณาราง พ.ร.ฎ

ราง พ.ร.ฎ. วาดวยการควบคมดแลการประกอบธรกจบรการเกยวกบระบบการพสจนและยนยนตวตนทางดจทล พ.ศ. ....

4

นยามของระบบการพสจนและยนยนตวตนทางดจทล

5

พ.ร.บ. วาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 4) พ.ศ. 2562

“ระบบการพสจนและยนยนตวตนทางดจทล” หมายความวา เครอขายทางอเลกทรอนกสทเชอมโยงขอมลระหวางบคคลใด ๆ หรอหนวยงานของรฐเพอประโยชนในการพสจนและยนยนตวตน และการท าธรกรรมอน ๆ ทเกยวเนองกบการพสจนและยนยนตวตน

“การพสจนและยนยนตวตน” หมายความวา กระบวนการพสจนและยนยนความถกตองของตวบคคล

(Draft) UNCITRAL Provisions on the Cross-border Recognition of IdM and Trust Services

“[e-]IdM” or “[electronic] identity management” means a set of processes to manage the identification, authentication [and authorization] of subjects in an online context;

Where the parties wish or are required by law to perform the identification of a subject, the use of an IdM system for this purpose has the equivalent legal effect as the application of non-electronic procedures recognized for this purpose if the IdM system uses a reliable method to verify the attributes of the subject relevant for this purpose.

กระบวนการพสจนและยนยนตวตนทางดจทล

6

การพสจนตวตน การยนยนตวตนการออกและบรหารจดการสงทใชยนยนตวตน

❑ “บรการพสจนตวตน” (Identity Proofing Service)บรการทประกอบดวยกระบวนการรวบรวมและตรวจสอบขอมลเกยวกบไอเดนทต และการตรวจสอบความเชอมโยงระหวางบคคลกบขอมลเกยวกบไอเดนทตนน

❑ “บรการสงทใชยนยนตวตน” (Authenticator Management Service)

บรการทประกอบดวยกระบวนการเชอมโยงไอเดนทตของบคคลทผานการพสจนตวตนแลวเขากบสงทใชยนยนตวตน และการบรหารจดการสงทใชยนยนตวตนนน

❑ “บรการยนยนตวตน” (Authentication Service)บรการทประกอบดวยกระบวนการตรวจสอบสงทใชยนยนตวตน เพอยนยนไอเดนทตของบคคลทใชสงทใชยนยนตวตนนน

ไอเดนทต (Identity)

สงทใชยนยนตวตน(Authenticator)

บรการลกคาทางออนไลน

การพสจนและยนยนตวตนทางดจทล ในปจจบน

7

บรการพสจนตวตน บรการยนยนตวตนบรการสงทใชยนยนตวตน บรการลกคาทางออนไลน

บรษท A เปน Identity Provider (IdP) บรษท A เปน

Relying Party (RP)

บรษท A มการพสจนและยนยนตวตนทางดจทลส าหรบลกคาของตนเอง เพอใหบรการลกคาทางออนไลน

มาตรา 5 (2) พระราชกฤษฎกาน มใหใชบงคบกบบรการเกยวกบระบบการพสจนและยนยนตวตนทางดจทลทบคคลหรอนตบคคลใชเพอประโยชนภายในกจการของบคคลหรอนตบคคลนน โดยไมไดใหบรการแกบคคลภายนอก

8

การพสจนและยนยนตวตนทางดจทล ในอนาคต

บรการพสจนตวตน บรการยนยนตวตนบรการสงทใชยนยนตวตน

บรการลกคาทางออนไลน

บรษท B เปน Identity Provider (IdP)

บรษท A เปนRelying Party (RP)

มาตรา 34/3 วรรคสองผใดประสงคจะอาศยการพสจนและยนยนตวตนของบคคลอนผานระบบการพสจนและยนยน

ตวตนทางดจทลอาจแจงเงอนไขเกยวกบความนาเชอถอของการพสจนและยนยนตวตนทางดจทลทตองใชใหบคคลอนนนทราบเปนการลวงหนา และเมอไดมการพสจนและยนยนตวตนทางดจทลตามเงอนไขดงกลาวแลว ใหสนนษฐานวาบคคลทไดรบการพสจนและยนยนตวตนเปนบคคลนนจรง

มาตรา 34/4 วรรคหนง[…] ใหมการตราพระราชกฤษฎกาก าหนดใหการประกอบธรกจบรการเกยวกบ

ระบบการพสจนและยนยนตวตนทางดจทลใดเปนการประกอบธรกจบรการเกยวกบธรกรรมทางอเลกทรอนกสทตองไดรบใบอนญาตกอน […]

บรษท A (เปน RP) อาศยการพสจนและยนยนตวตนของ บรษท B (เปน IdP)

ลกคาใชบรการทางออนไลนของบรษท A1

2

ผทเกยวของกบระบบการพสจนและยนยนตวตนทางดจทล

9

❑ “บรการแลกเปลยนขอมลเพอการพสจนและยนยนตวตนทางดจทล” (Digital Identity Platform Service)บรการเครอขายหรอระบบเพอการเชอมโยงและแลกเปลยนขอมลเกยวกบการพสจนและยนยนตวตนทางดจทล ทงน ไมรวมถงบคคลทเปนสอกลาง

“บรการสงทใชยนยนตวตน” (Authenticator Management Service)

“บรการพสจนตวตน” (Identity Proofing Service)

“บรการยนยนตวตน” (Authentication Service)

“บรการแลกเปลยนขอมลเพอการพสจนและยนยนตวตนทางดจทล” (Digital Identity Platform Service)

1

2

3

4

Digital Identity Platform

Relying Party (RP) Authoritative Source (AS)Identity Provider (IdP)

บรการเกยวกบระบบการพสจนและยนยนตวตนทางดจทลอนใดทอาจมผลกระทบตอความมนคงหรอความสงบเรยบรอยของประเทศ หรอตอสาธารณชน

5

บรการทตองขออนญาต

แลกเปลยนขอมลโดยตรง

แลกเปลยนขอมลผาน Platform

IdP ใชงาน

Platform ตนเอง

IdP เลอกใชงาน

3rd Party Platform

ระบบการพสจนและยนยนตวตนทางดจทล ในกรณทเปน Blockchain-based Platform

10

บรการพสจนตวตน

บรการยนยนตวตนMember (IdP/RP/AS)

Member (IdP/RP/AS)

Member (IdP/RP/AS)

Member (IdP/RP/AS)

Blockchain-basedDigital Identity Platform

Member (กรณทเปน IdP)

Software ทพฒนาโดย Platform

Software Software

SoftwareSoftware

idMS

IdMSIdMS

IdMS

Identity Management System (IdMS)

data data

datadata

บรการสงทใชยนยนตวตน

ประเดนเกยวกบการก ากบระบบการพสจนและยนยนตวตนทางดจทล

11

อางองจาก พ.ร.บ. วาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 4) พ.ศ. 2562มาตรา 34/4 ไดก าหนดใหมการก ากบ “ธรกจบรการเกยวกบระบบการพสจนและยนยนตวตนทางดจทล” ซงธรกจทตองถกก ากบอาจจะมบทบาทสอดคลองกบค าถาม ดงน

1. ระบบการพสจนและยนยนตวตนทางดจทลอยทไหน2. ใครเปนเจาของระบบการพสจนและยนยนตวตนทางดจทล3. ใครเปนผดแลขอมลทแลกเปลยนในระบบการพสจนและยนยนตวตนทางดจทล

ราง พ.ร.ฎ. วาดวยการควบคมดแลการประกอบธรกจบรการเกยวกบระบบการพสจนและยนยนตวตนทางดจทล พ.ศ. ....

หมวด 1 บททวไป

• หลกเกณฑและเงอนไข ทผประกอบธรกจตองปฏบต (ม.7)

• ขอสนนษฐานทางกฎหมาย (ม.8)

• กระบวนการพสจนและยนยนตวตนทางดจทลทตองม (ม.9)

• หามท าขอตกลงผกขาด (ม.10)

หมวด 2 การประกอบธรกจบรการเกยวกบระบบ

การพสจนและยนยนตวตนทางดจทล

• ประเภทบรการทตองขออนญาต (ม.11)

• Sandbox (ม.12)

• คณสมบตและลกษณะตองหามของนตบคคล/กรรมการ (ม.13 และ 14)

• เอกสาร การอนญาตและคาธรรมเนยม (ม.15 ถง 17)

• อายใบอนญาต 3 ป การตออายและกรณสญหาย/ช ารด (ม.18 และ 19)

หมวด 3 การควบคมดแลการประกอบธรกจบรการเกยวกบ

ระบบการพสจนและยนยนตวตนทางดจทล

• หลกเกณฑทตองท าในระหวางประกอบธรกจ (ม.20)

• การจดเกบขอมลและการรายงาน (ม.21 และ 22)

• การเลกการใหบรการ (ม.23)

• กรณฝาฝนและบทลงโทษ (ม.24 ถง 26)

• การคมครองประโยชนผใชบรการ และการโอนบรการเพอความตอเนอง (ม.27)

• การระงบการด าเนนการ กรณทอาจสงผลกระทบอยางมนยส าคญ (ม.28)

วนใชบงคบ เมอพน 180 วน

รฐมนตรรกษาการ รมว. DE

https://ictlawcenter.etda.or.th/de_laws

ราง พ.ร.ฎ. Digital ID

12

หมวด 1 บททวไป หลกเกณฑและเงอนไข ทผประกอบธรกจตองด าเนนการตาม (ม.7)

1. พระราชกฤษฎกาฉบบน

2. หลกเกณฑ วธการและเงอนไขท คธอ. /สนง. ประกาศก าหนด

3. เงอนไขในใบอนญาต

ขอสนนษฐานทางกฎหมาย (ม.8)

กรณท 1 (ม.34/3 วรรคสอง)

(1) อาศยการพสจนและยนยนฯ ของบคคลอนผานระบบฯ ทอยภายใตการก ากบ

(2) ไดด าเนนการตามเงอนไขความนาเชอถอ

กรณท 2

(1) พสจนและยนยนฯ ทท าภายในองคกร (ไมใชกบบคคลภายนอก)

(2) ไดด าเนนการตามเงอนไขความนาเชอถอ

(3) ไดรบการตรวจรบรองโดยหนวยตรวจรบรอง Certification Body (CB)

กระบวนการพสจนและยนยนตวตนทางดจทล (ม.9)

1. การพสจนตวตน

2. การออกและบรหารจดการสงทใชยนยนตวตน

3. การยนยนตวตน

หามท าขอตกลงผกขาด (ม.10)

13

การประกอบธรกจบรการเกยวกบระบบการพสจนและยนยนตวตนทางดจทล(ขนตอนกอนไดรบใบอนญาต)

ประเภทบรการทตองขออนญาต (ม.11+3)

“บรการพสจนตวตน” (Identity Proofing Service)

1. รวบรวมขอมลเกยวกบไอเดนทต

2. ตรวจสอบขอมลเกยวกบไอเดนทต

3. ตรวจสอบความเชอมโยงระหวางบคคลกบขอมลเกยวกบไอเดนทต

“บรการสงทใชยนยนตวตน” (Authenticator Management Service)

1. เชอมโยงไอเดนทตของบคคลทผานการพสจนตวตนแลว เขากบ Authenticator

2. บรหารจดการ Authenticator นน

“บรการยนยนตวตน” (Authentication Service)

1. ตรวจสอบ Authenticator เพอยนยนไอเดนทตของบคคลทใช Authenticator นน

“บรการแลกเปลยนขอมลเพอการพสจนและยนยนตวตนทางดจทล” (Digital Identity Platform Service)

1. ใหบรการเครอขายหรอระบบเพอการเชอมโยงและแลกเปลยนขอมล

เกยวกบการพสจนและยนยนตวตนทางดจทล (ไมรวมถงบคคลทเปนสอกลาง)

หมวด 2

14

บรการทไดรบการยกเวน (ม.5)

1. บรการออกใบรบรองเพอสนบสนนลายมอชออเลกทรอนกสตามกฎหมายวาดวยธรกรรมฯ (Certification Authority: CA)

2. บรการเกยวกบระบบการพสจนและยนยนตวตนทางดจทล(ทง 4 บรการ) ทบคคลหรอนตบคคลใชเพอประโยชนภายในกจการของบคคลหรอนตบคคลนน โดยไมไดใหบรการแกบคคลภายนอก

3. บรการพสจนตวตน (เฉพาะบรการท 1)ทไมมขอก าหนดเรองการตรวจสอบหลกฐานแสดงตนและการตรวจสอบเพอระบตวบคคล (เชน Identity Assurance Level 1)

4. บรการเกยวกบระบบการพสจนและยนยนตวตนทางดจทลทด าเนนการโดยหนวยงานของรฐ แตไมรวมถงรฐวสาหกจ

5. บรการอนๆ ท คธอ. ก าหนด15

การประกอบธรกจบรการเกยวกบระบบการพสจนและยนยนตวตนทางดจทล(ขนตอนกอนไดรบใบอนญาต)

คณสมบตและลกษณะของนตบคคล/กรรมการ (ม.13 และ 14)

• บรษทจ ากด บรษทมหาชนจ ากด หรอนตบคคลอนตามทส านกงานประกาศก าหนด

• มทนจดทะเบยนตามท สนง. ก าหนด

เอกสาร การอนญาตและคาธรรมเนยม (ม.15 ถง 17)

อายใบอนญาต 3 ป การตออายและกรณสญหาย/ช ารด (ม.18 และ 19)

หมวด 2

16

หลกเกณฑทตองท าในระหวางประกอบธรกจ (ม.20)

เพอใหระบบมความมนคงปลอดภยและมประสทธภาพ เชน

• สทธ หนาท และความรบผดของผประกอบธรกจ

• มาตรการบรหารจดการความเสยงของระบบ

• มาตรการรกษาความมนคงปลอดภยของระบบและการตรวจสอบ

• การเกบรกษาและการเปดเผยขอมลสวนบคคล

• หลกเกณฑ เงอนไข และมาตรฐานการใหบรการ

• การเปดเผยขอมลเกยวกบการใหบรการ

• การคมครองผใชบรการและมาตรการชดใชหรอเยยวยาผไดรบความเสยหายจากการประกอบธรกจ

การจดเกบขอมลและการรายงาน (ม.21 และ 22)

การเลกการใหบรการ (ม.23)

กรณฝาฝน (ม.24 ถง 26)

การคมครองประโยชนผใชบรการ และการโอนบรการเพอความตอเนอง (ม.27)

การระงบการด าเนนการ กรณทอาจสงผลกระทบอยางมนยส าคญ (ม.28)

การควบคมดแลการประกอบธรกจบรการเกยวกบระบบการพสจนและยนยนตวตนทางดจทล(ระหวางไดรบใบอนญาต และภายหลงการเลกใหบรการ)

หมวด 3

17

รางประกาศ สพธอ.

เรอง แนวทางการเขารวมโครงการทดสอบนวตกรรมเกยวกบระบบการพสจนและยนยนตวตนทางดจทล พ.ศ. .... (Digital ID Sandbox)

18

https://ictlawcenter.etda.or.th/de_laws

หลกการส าคญ สงเสรมนวตกรรม Digital ID มแนวทางคมครองผบรโภค ดแลความเสยงในระดบทยอมรบได

ลกษณะการใหบรการ• กรณท 1 เปนบรการเกยวกบระบบ Digital ID + มการน า Innovation หรอ technology มาใช + ไมมกฎระเบยบรองรบ / มความเสยงทจะขดกบกฎระเบยบ หรอ• กรณท 2 เปนบรการเกยวกบระบบ Digital ID + มการน า Innovation หรอ technology มาใช + อาจกระทบตอความมนคงทางการเงนและพาณชย /

ความนาเชอถอในระบบขอมลอเลกทรอนกส / อาจเสยหายตอสาธารณชนหรอผบรโภค

Process ผสมคร ETDA

กอนเขารวม

ระหวางเขารวม

ออกจากโครงการ

ยนใบสมคร + พรอมเอกสาร/รายละเอยด อาท• Business model / KPI / ขอบเขตการทดสอบ / ระยะเวลา

ทดสอบ / Feasibility Study/ risk ตาง ๆ / มาตรการคมครองผบรโภค (รวม Personal data protection) / แผนรองรบการออกทงกรณส าเรจและไมส าเรจ

แจงผลภายใน 60 วน นบแตเอกสารครบ (ขยายไดไมเกน 30 วน โดยแจงใหทราบลวงหนา 15 วน)

พจารณาเอกสาร (ใหยนเอกสารเพมเตม) + เรยกผสมครเขามาชแจง

เรยกใหผสมครเขาชแจง / เสนอแผนการทดสอบ

เขาชแจงรายละเอยด ตามวนเวลาทก าหนด ชแจง / เสนอแผนการทดสอบ ประกอบดวย กระบวนการ ขนตอน ผลลพธทคาดหวง แผนการรองรบการออก

แจงผล

หนาท “ผเขารวมทดสอบ”• มมาตรการคมครองผบรโภค เชน user ตองไดรบขอมลทถกตอง / ใหความ

ยนยอมในการทดสอบ / มชองทางรองเรยน และมแผนชดเชยความเสยหาย • ม Internal Audit ใหเปนไปตามขอบเขตทก าหนด• มกระบวนการบรหารความเสยง เชน IT Risk / Cyber Risk • กระบวนการดแล Personal data • จดเกบ Transaction log ทสามารถตรวจสอบไดโดยงาย • มกระบวนการตดตามความคบหนาในการทดสอบ

สามารถขอขยายระยะเวลาทดสอบได โดยระบเหตผล และระยะเวลาทขอขยาย

ขอลวงหนา 30 วน

พจารณาผลระหวางการทดสอบ

แจงผล

ขอผอนผนกฎระเบยบทเปนอปสรรคตอการทดสอบไดยนค าขอผอนผน

พจารณา + อนมต โดยท าเปนประกาศ หรอค าสงเปนการเฉพาะ

ทดสอบส าเรจ : เปนไปตามเปาหมาย ใหด าเนนการ ดงน• Report • ด าเนนการตามแผนรองรบการออก

ทดสอบไมส าเรจ: ไมเปนไปตามเปาหมาย/ ผเขาทดสอบขอออกเอง/ ETDA ใหออก ใหด าเนนการ ดงน • หยดการน าเสนอการใหบรการ• แจงใหผใชบรการทราบกอนยตการใหบรการ + ปฏบตตามแผนรองรบการออก • Report ผลการด าเนนการ

พจารณาผลการทดสอบ

แจงรบรองผลการทดสอบ (ออกใบ Cer ผานการเขารวมโครงการ)

พจารณาการออกจากสารบบภายใน 30 วน นบแตยตการทดสอบ

อนมต รายงาน

พจารณาตามความเหมาะสม

19

แบบสอบถามความคดเหนฉบบยอ

www.lawamendment.go.thwww.etda.or.th(https://ictlawcenter.etda.or.th/laws/)(ictlawcenter@etda.or.th)

แบบประเมนความพงพอใจในการเขาถงขอมลรางกฎหมาย