๒๑ การประชุมของคณะกรรมการอาจกระทำโดยวิธีการทางอิเล็กทรอนิกสตามที่ คณะกรรมการกำหนดก็ได๓๕ มาตรา ๔๒ คณะกรรมการมีอำนาจแตงตั้งคณะอนุกรรมการเพื่อพิจารณาหรือ ปฏบิ ตั กิ ารอยางหนึง่ อยางใดแทนคณะกรรมการก็ได ใหนำความในมาตรา ๔๑ มาใชบ ังคบั แกการประชุมของคณะอนุกรรมการโดยอนุโลม มาตรา ๔๒/๑๓๖ ใหคณะกรรมการไดรับเบี้ยประชุมและประโยชนตอบแทนอื่นตาม หลกั เกณฑท่คี ณะรฐั มนตรกี ำหนด คณะอนุกรรมการที่คณะกรรมการแตงตั้งตามมาตรา ๔๒ ใหไดรับเบี้ยประชุมและ ประโยชนต อบแทนอ่ืนตามหลกั เกณฑท่คี ณะกรรมการกำหนด มาตรา ๔๓๓๗ ใหสำนกั งานทำหนาทเี่ ปนหนว ยงานธุรการของคณะกรรมการ ใหสำนักงานจัดทำแผนยุทธศาสตรเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส เพื่อเสนอ คณะกรรมการใหความเห็นชอบตามมาตรา ๓๗ (๑) และจัดสงใหหนวยงานที่เกี่ยวของ เพือ่ ดำเนนิ การตอ ไป มาตรา ๔๓/๑๓๘ แผนยุทธศาสตรที่สำนักงานตองจัดทำตามมาตรา ๔๓ วรรคสอง ตองสอดคลองกับนโยบายและแผนระดับชาติวาดวยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม ตามกฎหมายวาดวยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม โดยอยางนอยตองกำหนดเรื่อง ดังตอไปน้ี (๑) กลไกและมาตรการดานการพัฒนาโครงสรางพื้นฐานทางเทคโนโลยีดิจิทัล เพื่อรองรับการทำธุรกรรมทางอิเล็กทรอนิกส พาณิชยอิเล็กทรอนิกส และธุรกิจบริการเกี่ยวกับ ธุรกรรมทางอเิ ลก็ ทรอนิกสแ ละธุรกรรมทางอเิ ล็กทรอนิกสภ าครฐั (๒) มาตรการการสงเสริมและสนับสนุนการใหมีระบบการบริการในการทำธุรกรรม ทางอิเล็กทรอนิกส พาณิชยอิเล็กทรอนิกส และการใหบริการธุรกรรมทางอิเล็กทรอนิกส โดยใช เทคโนโลยีดจิ ทิ ัล เพื่อสนับสนนุ การพฒั นาประเทศในดานตาง ๆ (๓) กระบวนการสงเสริมใหเกิดการพัฒนามาตรฐานและกฎเกณฑการใชงาน ทางเทคโนโลยีดิจิทัล เพื่อใหการทำงานของระบบมีการเชื่อมโยงกันอยางมีความมั่นคงปลอดภัย พรอมใชง าน และมคี วามนาเชอ่ื ถือในการใหบรกิ าร (๔) แนวทางและมาตรการเกี่ยวกับการสงเสริมการผลิตและพฒั นาบุคลากรดา นธุรกรรม ทางอิเล็กทรอนิกส พาณิชยอิเล็กทรอนิกส และธุรกิจบริการเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส และธุรกรรมทางอเิ ลก็ ทรอนกิ สภาครฐั รวมทง้ั การประยกุ ตการใชงานเทคโนโลยีดิจทิ ัลทเ่ี กีย่ วขอ ง ๓๕ มาตรา ๔๑ วรรคส่ี เพ่มิ โดยพระราชบญั ญตั ิวา ดวยธรุ กรรมทางอิเลก็ ทรอนกิ ส (ฉบบั ที่ ๓) พ.ศ. ๒๕๖๒ 50 ๓๖ มาตรา ๔๒/๑ เพม่ิ โดยพระราชบญั ญตั วิ า ดวยธรุ กรรมทางอิเล็กทรอนกิ ส (ฉบบั ที่ ๒) พ.ศ. ๒๕๕๑ ๓๗ มาตรา ๔๓ แกไ ขเพมิ่ เตมิ โดยพระราชบญั ญัติวาดว ยธรุ กรรมทางอเิ ล็กทรอนกิ ส (ฉบับท่ี ๓) พ.ศ. ๒๕๖๒ ๓๘ มาตรา ๔๓/๑ เพ่มิ โดยพระราชบญั ญัตวิ าดวยธุรกรรมทางอิเลก็ ทรอนกิ ส (ฉบบั ท่ี ๓) พ.ศ. ๒๕๖๒ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
๒๒ (๕) แนวทางการสงเสริมและสนับสนุนการศึกษา คนควา และวิจัยเทคโนโลยีดิจิทัล ดานธุรกรรมทางอิเล็กทรอนิกส พาณิชยอิเล็กทรอนิกส และการใหบริการธุรกรรม ทางอิเล็กทรอนิกส รวมทั้งสงเสริมใหมีการเผยแพรความรูใหแกประชาชนเพื่อใชประโยชนจาก เทคโนโลยีดังกลา ว หมวด ๖ บทกำหนดโทษ มาตรา ๔๔๓๙ ผูใดประกอบธุรกิจบริการเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกสโดยไมแจง ตอพนักงานเจาหนาที่ตามที่กำหนดในพระราชกฤษฎีกาตามมาตรา ๓๓ วรรคหนึ่ง โดยฝาฝน คำสั่งของพนักงานเจาหนาที่ใหหยุดการใหบริการหรือคำสั่งหามมิใหใหบริการในสวนที่เกี่ยวกับ ธุรกรรมทางอิเล็กทรอนิกสในการประกอบธุรกิจตามมาตรา ๓๓ วรรคสาม หรือตามมาตรา ๓๓ วรรคหา แลวแตกรณี หรือประกอบธุรกิจบริการเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส ภายหลังจากพนักงานเจาหนาที่ถอนการรับแจงตามมาตรา ๓๓ วรรคหก ตองระวางโทษจำคุก ไมเ กนิ หน่งึ ป หรอื ปรบั ไมเ กนิ หน่งึ แสนบาท หรือทง้ั จำทัง้ ปรับ มาตรา ๔๔/๑๔๐ ผใู ดประกอบธุรกจิ บรกิ ารเก่ยี วกับธรุ กรรมทางอิเล็กทรอนิกส โดยไมข ้นึ ทะเบียนตอพนักงานเจาหนาที่ตามที่กำหนดในพระราชกฤษฎีกาตามมาตรา ๓๓/๑ วรรคหน่ึง หรือประกอบธุรกจิ บริการเกย่ี วกับธรุ กรรมทางอเิ ล็กทรอนิกสภ ายหลังจากมีคำสั่งเพิกถอนการขึ้น ทะเบยี นตามมาตรา ๓๓/๑ วรรคสี่ หรอื วรรคแปด แลวแตกรณี ตอ งระวางโทษจำคุกไมเ กินสองป หรอื ปรบั ไมเกินสองแสนบาท หรือท้ังจำท้งั ปรับ มาตรา ๔๕๔๑ ผใู ดประกอบธุรกิจบริการเกย่ี วกบั ธรุ กรรมทางอิเล็กทรอนิกส โดยไมไดรับ ใบอนุญาตตามมาตรา ๓๔ หรือประกอบธุรกิจบริการเก่ียวกับธุรกรรมทางอิเล็กทรอนิกส ในระหวางท่มี คี ำส่ังพักใชใบอนุญาตหรือภายหลังจากมีคำส่งั เพิกถอนใบอนุญาตของคณะกรรมการ ตองระวางโทษจำคุกไมเกินสามป หรอื ปรบั ไมเ กินสามแสนบาท หรอื ทัง้ จำท้ังปรับ มาตรา ๔๕/๑๔๒ ผูใดประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจนและยืนยันตัวตน ทางดิจิทัลโดยไมไดรับใบอนุญาตตามมาตรา ๓๔/๔ หรือประกอบธุรกิจบริการเกี่ยวกับระบบ การพิสูจนและยืนยันตัวตนทางดิจิทัลในระหวางที่มีคำสั่งพักใชใบอนุญาตหรือภายหลังจากมี คำสั่งเพิกถอนใบอนุญาตของคณะกรรมการหรือคณะกรรมการตามมาตรา ๓๔/๔ วรรคสอง ตอ งระวางโทษจำคกุ ไมเ กินสามป หรอื ปรบั ไมเ กินสามแสนบาท หรอื ทัง้ จำท้งั ปรับ ๓๙ มาตรา ๔๔ แกไขเพิ่มเติมโดยพระราชบัญญตั ิวาดว ยธุรกรรมทางอเิ ล็กทรอนิกส (ฉบับที่ ๓) พ.ศ. ๒๕๖๒ 51 ๔๐ มาตรา ๔๔/๑ เพิม่ โดยพระราชบญั ญัตวิ า ดวยธรุ กรรมทางอิเล็กทรอนกิ ส (ฉบับท่ี ๓) พ.ศ. ๒๕๖๒ ๔๑ มาตรา ๔๕ แกไ ขเพิม่ เตมิ โดยพระราชบญั ญัตวิ าดว ยธรุ กรรมทางอิเล็กทรอนกิ ส (ฉบบั ที่ ๓) พ.ศ. ๒๕๖๒ ๔๒ มาตรา ๔๕/๑ เพิม่ โดยพระราชบญั ญัตวิ าดวยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบบั ท่ี ๔) พ.ศ. ๒๕๖๒ สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์
๒๓ มาตรา ๔๖๔๓ ในกรณีที่ผูกระทำความผิดเปนนิติบุคคล ถาการกระทำความผิดของ นิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการ หรือผูจัดการ หรือบุคคลใด ซึ่งรับผิดชอบในการดำเนินงานของนิตบิ ุคคลนั้น หรือในกรณีที่บุคคลดังกลาวมหี นาท่ีตองสัง่ การ หรอื กระทำการและละเวนไมส่ังการหรือไมก ระทำการจนเปนเหตุใหน ิตบิ ุคคลน้ันกระทำความผิด ผูนัน้ ตอ งรับโทษตามทบี่ ัญญัตไิ วสำหรบั ความผดิ นัน้ ๆ ดว ย ผูรบั สนองพระบรมราชโองการ พนั ตำรวจโท ทักษณิ ชินวตั ร นายกรัฐมนตรี ๔๓ มาตรา ๔๖ แกไขเพิ่มเติมโดยพระราชบัญญัติแกไขเพิ่มเติมบทบัญญัติแหงกฎหมายที่เกี่ยวกับความรับผิด ในทางอาญาของผูแทนนิตบิ ุคคล พ.ศ. ๒๕๖๐ สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 52
๒๔ หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับน้ี คอื โดยที่การทำธุรกรรมในปจจุบัน มีแนวโนมที่จะปรับเปลี่ยนวิธีการในการติดตอสื่อสารที่อาศัยการพัฒนาการเทคโนโลยี ทางอิเล็กทรอนิกสซึ่งมีความสะดวก รวดเร็วและมีประสิทธิภาพ แตเนื่องจากการทำธุรกรรม ทางอิเล็กทรอนิกสดังกลาวมีความแตกตางจากวิธีการทำธุรกรรมซึ่งมีกฎหมายรองรับอยูใน ปจจุบันเปนอยางมาก อันสงผลใหตองมีการรองรับสถานะทางกฎหมายของขอมูล ทางอิเล็กทรอนิกสใหเสมอกับการทำเปนหนังสอื หรือหลักฐานเปนหนังสือ การรับรองวิธีการสง และรับขอมูลอิเล็กทรอนิกส การใชลายมือชื่ออิเล็กทรอนิกส ตลอดจนการรับฟงพยานหลักฐาน ที่เปนขอมูลอิเล็กทรอนิกส เพื่อเปนการสงเสริมการทำธุรกรรมทางอิเล็กทรอนิกสใหนาเชื่อถือ และมีผลในทางกฎหมายเชนเดียวกับการทำธุรกรรมโดยวิธีการทั่วไปที่เคยปฏิบัติอยูเดิม ควรกำหนดใหมีคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ สทำหนาที่วางนโยบายกำหนดหลักเกณฑ เพ่ือสงเสริมการทำธุรกรรมทางอิเล็กทรอนิกส ติดตามดูแลการประกอบธุรกิจเกี่ยวกับธุรกรรม ทางอิเล็กทรอนิกส รวมทั้งมีหนาที่ในการสงเสริมการพัฒนาการทางเทคโนโลยีเพื่อติดตาม ความกา วหนา ของเทคโนโลยี ซ่ึงมกี ารเปลยี่ นแปลงและพฒั นาศักยภาพตลอดเวลาใหมีมาตรฐาน นา เชอื่ ถอื ตลอดจนเสนอแนะแนวทางแกไ ขปญ หาและอุปสรรคท่ีเก่ยี วของ อนั จะเปนการสง เสริม การใชธุรกรรมทางอิเล็กทรอนิกสทั้งภายในประเทศและระหวางประเทศ ดวยการมีกฎหมาย รองรบั ในลักษณะทเี่ ปนเอกรูป และสอดคลอ งกบั มาตรฐานท่นี านาประเทศยอมรบั จงึ จำเปนตอง ตราพระราชบญั ญตั นิ ้ี *พระราชกฤษฎีกาแกไขบทบัญญัติใหสอดคลองกับการโอนอำนาจหนาที่ของสวนราชการ ใหเ ปนไปตามพระราชบญั ญตั ปิ รับปรุงกระทรวง ทบวง กรม พ.ศ. ๒๕๔๕ พ.ศ. ๒๕๔๕๔๔ มาตรา ๑๐๒ ในพระราชบญั ญตั วิ า ดว ยธุรกรรมทางอิเลก็ ทรอนิกส พ.ศ. ๒๕๔๔ ใหแ กไข คำวา “รัฐมนตรวี า การกระทรวงวทิ ยาศาสตร เทคโนโลยแี ละสง่ิ แวดลอม” เปน “รัฐมนตรีวาการ กระทรวงเทคโนโลยสี ารสนเทศและการสอ่ื สาร” หมายเหตุ : เหตผุ ลในการประกาศใชพระราชกฤษฎกี าฉบบั นี้ คือ โดยท่พี ระราชบัญญัตปิ รับปรุง กระทรวง ทบวง กรม พ.ศ. ๒๕๔๕ ไดบ ญั ญัตใิ หจดั ต้ังสวนราชการขึ้นใหมโ ดยมภี ารกจิ ใหม ซึ่งได มีการตราพระราชกฤษฎีกาโอนกิจการบริหารและอำนาจหนาที่ของสวนราชการใหเปนไปตาม พระราชบัญญัติปรับปรุงกระทรวง ทบวง กรม นั้นแลว และเนื่องจากพระราชบัญญัติดังกลา วได บัญญัติใหโอนอำนาจหนาที่ของสวนราชการ รัฐมนตรีผูดำรงตำแหนงหรือผูซึ่งปฏิบัติหนาที่ใน สวนราชการเดิมมาเปนของสว นราชการใหม โดยใหมกี ารแกไ ขบทบัญญัติตาง ๆ ใหส อดคลองกับ อำนาจหนาที่ที่โอนไปดวย ฉะนั้น เพื่ออนุวัติใหเปนไปตามหลักการที่ปรากฏในพระราชบัญญัติ และพระราชกฤษฎีกาดังกลาว จึงสมควรแกไขบทบัญญัติของกฎหมายใหสอดคลองกับการโอน สวนราชการ เพื่อใหผูเกี่ยวของมีความชัดเจนในการใชกฎหมายโดยไมตองไปคนหาในกฎหมาย ๔๔ ราชกิจจานเุ บกษา เลม ๑๑๙/ตอนที่ ๑๐๒ ก/หนา ๖๖/๘ ตุลาคม ๒๕๔๕ ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 53
๒๕ โอนอำนาจหนาที่วาตามกฎหมายใดไดมีการโอนภารกิจของสวนราชการหรือผูรับผิดชอบตาม กฎหมายนั้นไปเปนของหนวยงานใดหรือผูใดแลว โดยแกไขบทบัญญัติของกฎหมายใหมี การเปลีย่ นชือ่ สวนราชการ รัฐมนตรีผดู ำรงตำแหนงหรือผูซึง่ ปฏบิ ัติหนาที่ของสวนราชการใหตรง กับการโอนอำนาจหนาที่ และเพิ่มผูแทนสวนราชการในคณะกรรมการใหตรงตามภารกิจที่มี การตดั โอนจากสวนราชการเดิมมาเปนของสวนราชการใหมรวมทง้ั ตดั สวนราชการเดิมท่ีมีการยุบ เลิกแลว ซง่ึ เปนการแกไขใหต รงตามพระราชบัญญัติและพระราชกฤษฎกี าดังกลาว จึงจำเปนตอง ตราพระราชกฤษฎีกานี้ พระราชบญั ญตั วิ าดวยธุรกรรมทางอเิ ลก็ ทรอนกิ ส (ฉบับที่ ๒) พ.ศ. ๒๕๕๑๔๕ มาตรา ๒ พระราชบญั ญตั นิ ้ีใหใชบังคับต้ังแตวันถดั จากวนั ประกาศในราชกิจจานุเบกษา เปนตน ไป มาตรา ๑๑ ในระหวางที่จัดตั้งสำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส ตามมาตรา ๔๓ แหง พระราชบัญญัติวาดว ยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ซงึ่ แกไขเพ่ิมเติม โดยพระราชบัญญัตินี้ยังไมแลวเสร็จ ใหสำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและ การสื่อสารรับผิดชอบทำหนาที่หนวยงานธุรการของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส ไปพลางกอน ใหป ลดั กระทรวงเทคโนโลยีสารสนเทศและการส่อื สารแตง ตั้งขาราชการซ่ึงดำรงตำแหนง ไมต่ำกวาระดับแปดหรือเทียบเทาในสังกัดสำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและ การส่อื สาร ทำหนา ท่ีเปนหัวหนา สำนักงานคณะกรรมการธุรกรรมทางอเิ ล็กทรอนกิ สไปพลางกอน จนกวาการจดั ต้ังสำนักงานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกสจะแลว เสร็จ เพื่อประโยชนในการปฏิบัติงานตามวรรคหนึ่ง รัฐมนตรีวาการกระทรวงเทคโนโลยี สารสนเทศและการสื่อสารจะสั่งใหขาราชการในสังกัดกระทรวงเทคโนโลยีสารสนเทศและ การสอ่ื สารมาปฏบิ ัติงานช่ัวคราวในสำนักงานปลัดกระทรวงเทคโนโลยสี ารสนเทศและการส่ือสาร ตามความจำเปนก็ได มาตรา ๑๒ ใหนายกรัฐมนตรีและรัฐมนตรีวาการกระทรวงเทคโนโลยีสารสนเทศและ การส่ือสารรกั ษาการตามพระราชบญั ญตั นิ ้ี หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับนี้ คือ เนื่องจากปจจุบันกฎหมาย วาดวยธุรกรรมทางอิเล็กทรอนิกสยังไมมีบทบัญญัติรองรับในเรื่องตราประทับอิเล็กทรอนิกส ซึ่งเปนสิ่งที่สามารถระบุถึงตัวผูทำธุรกรรมทางอิเล็กทรอนิกสไดเชนเดียวกับลายมือช่ือ อิเล็กทรอนิกส ทำใหเ ปนอุปสรรคตอการทำธุรกรรมทางอิเล็กทรอนิกสท่ีตองมีการประทับตราใน หนังสือเปนสำคัญ รวมทั้งยังไมมีบทบัญญัติที่กำหนดใหสามารถนำเอกสารซึ่งเปนสิ่งพิมพออก ๔๕ ราชกิจจานเุ บกษา เลม ๑๒๕/ตอนท่ี ๓๓ ก/หนา ๘๑/๑๓ กมุ ภาพนั ธ ๒๕๕๑ 54 สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
๒๖ ของขอมูลอิเล็กทรอนิกสมาใชแทนตนฉบับหรือใหเปนพยานหลักฐานในศาลได และโดยที่ไดมี การปรับปรุงโครงสรางระบบราชการตามพระราชบัญญัติปรับปรุง กระทรวง ทบวง กรม พ.ศ. ๒๕๔๕ และกำหนดใหกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเปนหนวยงานที่มีอำนาจหนาที่ เกี่ยวกับการวางแผน สงเสริม พัฒนา และดำเนินกิจการเกี่ยวกับเทคโนโลยีสารสนเทศและ การสื่อสาร ประกอบกับปจจุบันธุรกรรมทางอิเล็กทรอนิกสไดมีการใชอยางแพรหลาย จำเปนที่ จะตองมีหนวยงานธุรการเพื่อทำหนาที่กำกับดูแลเพื่อใหเปนไปตามกฎหมายวาดวยธุรกรรม ทางอิเล็กทรอนิกสและเปนฝายเลขานุการของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส โดยสมควรจัดตั้งสำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส สังกัดกระทรวงเทคโนโลยี สารสนเทศและการสื่อสารขึ้นทำหนาท่ีแทนศูนยเทคโนโลยีอิเล็กทรอนิกสและคอมพิวเตอร แหงชาติ อันจะเปนการสงเสริมความเชื่อมั่นในการทำธุรกรรมทางอิเล็กทรอนิกส และเสริมสรา ง ศักยภาพการแขงขนั ในเวทีการคา ระหวางประเทศ สมควรแกไขเพ่ิมเติมกฎหมายวาดวยธรุ กรรม ทางอเิ ล็กทรอนิกสเพ่ือใหสอดคลองกบั หลักการดงั กลา ว จงึ จำเปน ตองตราพระราชบญั ญัตนิ ี้ พระราชบัญญัติแกไขเพิ่มเติมบทบัญญัติแหงกฎหมายที่เกี่ยวกับความรับผิดในทางอาญา ของผแู ทนนิตบิ คุ คล พ.ศ. ๒๕๖๐๔๖ มาตรา ๒ พระราชบัญญตั ิน้ีใหใชบ งั คับตั้งแตว ันถัดจากวันประกาศในราชกิจจานุเบกษา เปนตนไป หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับนี้ คือ โดยที่ศาลรัฐธรรมนูญไดมี คำวนิ จิ ฉยั วา พระราชบญั ญัตขิ ายตรงและตลาดแบบตรง พ.ศ. ๒๕๔๕ มาตรา ๕๔ เฉพาะในสวนที่ สันนิษฐานใหกรรมการผูจัดการ ผูจัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของ นิติบุคคลนั้น ตองรับโทษทางอาญารวมกับการกระทำความผิดของนิติบุคคล โดยไมปรากฏวา มีการกระทำหรือเจตนาประการใดอันเกี่ยวกับการกระทำความผิดของนิติบุคคลนั้น ขัดหรือแยง ตอรัฐธรรมนูญแหง ราชอาณาจกั รไทย พทุ ธศักราช ๒๕๕๐ มาตรา ๓๙ วรรคสอง เปนอันใชบ ังคบั ไมไดตามรัฐธรรมนูญแหงราชอาณาจักรไทย พุทธศักราช ๒๕๕๐ มาตรา ๖ และตอมา ศาลรัฐธรรมนูญไดมีคำวินิจฉัยในลักษณะดังกลาวทำนองเดียวกัน คือ พระราชบัญญัติลิขสิทธ์ิ พ.ศ. ๒๕๓๗ มาตรา ๗๔ พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. ๒๕๔๔ มาตรา ๗๘ พระราชบัญญัติสถานบริการ พ.ศ. ๒๕๐๙ มาตรา ๒๘/๔ และพระราชบัญญัติปุย พ.ศ. ๒๕๑๘ มาตรา ๗๒/๕ ขดั หรือแยงตอรัฐธรรมนูญแหง ราชอาณาจักรไทย พทุ ธศกั ราช ๒๕๕๐ มาตรา ๓๙ วรรคสอง เปนอันใชบังคับไมไดตามรัฐธรรมนูญแหงราชอาณาจักรไทย พุทธศักราช ๒๕๕๐ มาตรา ๖ ดังนั้น เพื่อแกไขบทบัญญัติของกฎหมายดังกลาวและกฎหมายอื่นที่มีบทบัญญัติ ในลักษณะเดียวกนั มใิ หข ัดหรอื แยงตอรฐั ธรรมนญู จงึ จำเปนตองตราพระราชบญั ญัติน้ี ๔๖ ราชกิจจานเุ บกษา เลม ๑๓๔/ตอนที่ ๑๘ ก/หนา ๑/๑๑ กมุ ภาพันธ ๒๕๖๐ 55 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์
๒๗ พระราชบญั ญัตวิ าดว ยธรุ กรรมทางอเิ ล็กทรอนกิ ส (ฉบับท่ี ๓) พ.ศ. ๒๕๖๒๔๗ มาตรา ๒ พระราชบัญญัตนิ ี้ใหใ ชบงั คบั ต้ังแตวันถัดจากวันประกาศในราชกจิ จานุเบกษา เปน ตนไป มาตรา ๒๕ ใหคณะกรรมการธุรกรรมทางอิเลก็ ทรอนิกสซ ่ึงดำรงตำแหนงอยูในวันกอน วันที่พระราชบัญญัตินี้ใชบังคับ คงอยูในตำแหนงตอไป จนกวาจะมีการแตงตั้งคณะกรรมการ ธุรกรรมทางอิเล็กทรอนิกสตามพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ซึ่งแกไขเพ่ิมเตมิ โดยพระราชบัญญัตินี้ มาตรา ๒๖ บรรดาการใด ๆ ที่คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสตาม พระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ไดดำเนินการไวกอนวันท่ี พระราชบัญญัตินี้ใชบังคับและยังมีผลใชบังคับอยู ใหยังคงใชบังคับไดตอไป และเมื่อไดมี การแตงตั้งคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสตามพระราชบัญญัติวาดวยธุรกรรม ทางอเิ ล็กทรอนิกส พ.ศ. ๒๕๔๔ ซงึ่ แกไ ขเพิม่ เติมโดยพระราชบญั ญัตนิ ี้ แลว การนั้นยังดำเนนิ การ ไมแลวเสร็จ ใหการดำเนินการตอไปเปนไปตามที่คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสนั้น กำหนด มาตรา ๒๗ ใหน ายกรฐั มนตรีและรัฐมนตรวี า การกระทรวงดิจิทัลเพ่ือเศรษฐกิจและสังคม รักษาการตามพระราชบญั ญัตนิ ้ี หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับนี้ คือ โดยที่ปจจุบันกฎหมายวาดวย ธุรกรรมทางอิเล็กทรอนิกสมีขอจำกัดหรืออุปสรรคบางประการในการบังคับใชกฎหมาย ประกอบกับ การทำสัญญาในรูปแบบของธุรกรรมทางอิเล็กทรอนิกสมีแนวโนมที่จะเกิดขึ้นระหวางคูสัญญา ทอ่ี ยูคนละประเทศเปน จำนวนมาก เพือ่ ใหก ฎหมายวาดว ยธุรกรรมทางอเิ ล็กทรอนิกสเปนไปตาม มาตรฐานสากล รวมทงั้ ปรบั ปรงุ กลไกในการกำกบั ดูแลการประกอบธรุ กิจบริการเก่ยี วกบั ธุรกรรม ทางอิเล็กทรอนิกสใหชัดเจนและสอดคลองกับการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม จึงจำเปน ตอ งตราพระราชบญั ญตั ิน้ี พระราชบญั ญัติวา ดวยธุรกรรมทางอิเลก็ ทรอนกิ ส (ฉบบั ท่ี ๔) พ.ศ. ๒๕๖๒๔๘ มาตรา ๒ พระราชบญั ญัตนิ ี้ใหใชบ ังคบั ตง้ั แตวันถดั จากวนั ประกาศในราชกิจจานุเบกษา เปนตนไป มาตรา ๗ ผูประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจนและยืนยันตัวตนทางดิจิทัล ซึ่งประกอบธุรกิจอยูในวันกอนที่พระราชบัญญัตินี้ใชบังคับ ใหดำเนินกิจการตอไปได และเมื่อมีการตราพระราชกฤษฎีกาตามมาตรา ๓๔/๔ แหงพระราชบัญญัติวาดวยธุรกรรม ๔๗ ราชกจิ จานเุ บกษา เลม ๑๓๖/ตอนท่ี ๔๙ ก/หนา ๑๒/๑๔ เมษายน ๒๕๖๒ ๔๘ ราชกจิ จานเุ บกษา เลม ๑๓๖/ตอนท่ี ๖๗ ก/หนา ๒๐๓/๒๒ พฤษภาคม ๒๕๖๒ สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 56
๒๘ ทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ซ่ึงแกไ ขเพ่ิมเตมิ โดยพระราชบัญญัตินี้ กำหนดใหเ ปนธุรกิจบริการ เกี่ยวกับธุรกรรมทางอิเล็กทรอนิกสที่ตองไดรับใบอนุญาต ใหผูประกอบธุรกิจบริการเกี่ยวกับ ระบบการพิสูจนและยืนยันตวั ตนทางดจิ ิทัลน้ันยน่ื คำขอรบั ใบอนุญาตภายในเกาสิบวันนับแตวันที่ พระราชกฤษฎีกามีผลใชบังคับ และเมื่อไดยื่นคำขอรับใบอนุญาตแลว ใหดำเนินกิจการตอไป จนกวา จะมคี ำส่งั ไมอ นญุ าต มาตรา ๘ บรรดาระเบียบที่ออกตามพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ที่ใชบังคับอยูใ นวันกอนวันที่พระราชบญั ญัตินีใ้ ชบังคบั ใหยังคงใชบังคับตอ ไปเพียง เทาทีไ่ มขัดหรือแยงกับพระราชบัญญัติน้ี จนกวาจะมรี ะเบียบตามพระราชบัญญัติวาดวยธุรกรรม ทางอิเลก็ ทรอนิกส พ.ศ. ๒๕๔๔ ซึง่ แกไ ขเพิ่มเตมิ โดยพระราชบญั ญัตนิ ใ้ี ชบ งั คับ มาตรา ๙ ใหรัฐมนตรีวาการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมรักษาการ ตามพระราชบัญญัตินี้ หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับนี้ คือ โดยที่การยืนยันตัวตนของ บุคคลเปนขั้นตอนสำคัญในการทำธุรกรรมในระบบเศรษฐกิจ แตที่ผานมาผูที่ประสงคจะ ขอรับบริการจากผูประกอบการหรือหนวยงานใด ๆ จะตองทำการพิสูจนและยืนยันตัวตนโดย การแสดงตนตอผูใหบริการพรอมกับตองสงเอกสารหลักฐาน ซึ่งเปนภาระตอผูใชบริการและ ผูใหบริการ สมควรกำหนดใหบุคคลสามารถพิสูจนและยืนยันตัวตนผานระบบการพิสูจนและ ยืนยันตัวตนทางดิจิทัลได โดยมีกลไกการควบคุมดูแลผูประกอบธุรกิจบริการที่เกี่ยวของ เพื่อให ระบบดังกลาวมคี วามนา เชือ่ ถอื และปลอดภัย จงึ จำเปนตอ งตราพระราชบัญญัติน้ี ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 57
ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 58
ประกาศคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกส เร่อื ง แนวทางการจัดทาํ แนวนโยบาย (Certificate Policy) และแนวปฏิบตั ิ (Certification Practice Statement) ของผูใหบรกิ ารออกใบรับรองอเิ ล็กทรอนกิ ส (Certification Authority) พ.ศ. ๒๕๕๒ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 59
ชอ่ื กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เร่ือง แนวทางการจัดทําแนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผูใหบริการออกใบรับรองอิเล็กทรอนิกส (Certification Authority) พ.ศ. ๒๕๕๒ ประกาศในราชกจิ จานุเบกษา เลม ๑๒๖ / ตอนพเิ ศษ ๑๘๐ ง / หนา ๒๗ / วนั ท่ี ๑๖ ธนั วาคม ๒๕๕๒ เรมิ่ บงั คับใช วนั ที่ ๑๗ ธันวาคม ๒๕๕๒ สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 60
เลม ๑๒๖ ตอนพเิ ศษ ๑๘๐ ง หนา ๒๗ ๑๖ ธนั วาคม ๒๕๕๒ ราชกิจจานุเบกษา ประกาศคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส เรอื่ ง แนวทางการจดั ทาํ แนวนโยบาย (Certificate Policy) และ แนวปฏบิ ัติ (Certification Practice Statement) ของผใู หบริการออกใบรบั รองอิเล็กทรอนิกส (Certification Authority) พ.ศ. ๒๕๕๒ เพื่อใหการใหบรกิ ารของผูใหบรกิ ารออกใบรบั รองอเิ ลก็ ทรอนกิ สมคี วามนาเชอื่ ถือ ตลอดจน มมี าตรฐานเปน ที่ยอมรับในระดบั สากล คณะกรรมการธรุ กรรมทางอิเลก็ ทรอนิกส จึงเห็นควรกําหนด แนวทางในการจัดทําแนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผูใ หบริการออกใบรับรองอิเล็กทรอนิกส (Certification Authority) อาศัยอํานาจตามความในมาตรา ๒๘ (๖) มาตรา ๒๙ (๗) และมาตรา ๓๗ (๔) แหงพระราชบัญญัติ วา ดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสจึงออก ประกาศไว ดังตอ ไปน้ี ขอ ๑ ใหผูใหบริการออกใบรับรองอิเล็กทรอนิกส (Certification Authority) จัดทาํ แนวนโยบาย (Certificate Policy) และแนวปฏบิ ตั ิ (Certification Practice Statement) ตามแนวทาง การจัดทาํ แนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผูใ หบ ริการออกใบรับรองอิเลก็ ทรอนกิ ส (Certification Authority) ทายประกาศนี้ ขอ ๒ ประกาศนใี้ หใ ชบงั คบั ตงั้ แตว นั ถัดจากวนั ประกาศในราชกจิ จานเุ บกษาเปนตนไป ประกาศ ณ วนั ที่ ๘ ตลุ าคม พ.ศ. ๒๕๕๒ รอยตรีหญงิ ระนองรักษ สุวรรณฉวี รัฐมนตรวี า การกระทรวงเทคโนโลยสี ารสนเทศและการสือ่ สาร ประธานกรรมการธรุ กรรมทางอิเล็กทรอนกิ ส ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 61
แนวทางการจัดทําแนวนโยบาย (Certificate Policy) และ แนวปฏบิ ัติ (Certification Practice Statement) ของผใู หบริการออกใบรับรองอเิ ล็กทรอนิกส (Certification Authority) ๑. บทนํา ในการนําใบรับรองอิเล็กทรอนิกส (Electronic Certificate) ที่ออกโดยผูใหบริการ ออกใบรบั รองอเิ ล็กทรอนิกส (Certification Authority) เพ่ือใหผใู ชบริการสามารถนําไปใชในการรับรอง ตัวบุคคลผูถือใบรับรองสําหรับใชในการสรางลายมือช่ือดิจิทัล (Digital Signature) อันเปนลายมือช่ือ อเิ ล็กทรอนกิ สท เี่ ชอื่ ถือไดประเภทหนึ่ง หรือสําหรับการรับรองความมีตัวตนของนิติบุคคล หรือรับรอง เคร่ืองใหบริการหรือเซิรฟเวอร (Server) หรือเอนทิตี (Entity) อ่ืนใดก็ตาม ดวยการประยุกตใช เทคโนโลยีโครงสรางพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure หรือเทคโนโลยี PKI) น้ัน ความนาเชือ่ ถอื ของผใู หบรกิ ารออกใบรับรองอิเล็กทรอนิกส นับวามีสวนสําคัญยิ่งตอการใชบริการและ กอใหเกิดผลผูกพันทางกฎหมายในธุรกรรมตางๆ ที่ทําข้ึนโดยมีการนําใบรับรองอิเล็กทรอนิกสไปใช ยืนยันหรือรับรองตัวบุคคล นิติบุคคล เคร่ืองใหบริการหรือเซิรฟเวอร หรือเอนทิตีใดก็ตาม ในการทํา ธุรกรรมแตล ะครั้ง เพ่ือใหการใหบริการของผูใหบริการออกใบรับรองอิเล็กทรอนิกส มีความนาเชื่อถือ หนวยงานท่ีช่ือวา Internet Engineering Task Force หรือ IETF ซ่ึงทําการพัฒนาสถาปตยกรรมทาง อินเทอรเน็ต (Internet Architecture) จึงไดกําหนดกรอบหรือแนวทางในการทําแนวนโยบายและ แนวปฏิบัติของผูใหบริการออกใบรับรองอิเล็กทรอนิกสขึ้น เรียกวา Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 3647) อันเปน มาตรฐานที่ไดรับการยอมรับในระดับสากล จึงไดนํามาใชเปนแนวทางในการจัดทําประกาศฉบับนี้ สําหรบั ใชปฏิบัติในการจัดทําแนวนโยบายและแนวปฏิบัติของผูใหบริการออกใบรับรองอิเล็กทรอนิกส ในประเทศไทย เพอ่ื ใหส อดคลองตามมาตรฐานสากล ๒. คาํ นิยาม (Definition) และคาํ ยอ (Acronym) ในสวนน้ีแสดงถึงคาํ นยิ ามและคํายอเพื่อใหค วามหมายกับคําที่ถูกใชในเอกสารนี้อยางเขาใจได ถูกตอ งตรงกัน คํา/คํายอ คาํ นิยาม RFC “The Internet Request For Comments” เปนชุดเอกสารที่เขียนเพ่ือนิยามหรือ บรรยายตามความเปนจริงปจจุบันและแนะนําแนวปฏิบัติเก่ียวกับเกณฑวิธี (Protocol) และนโยบายของอินเทอรเ นต็ เปน ตน สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 62
-๒- คํา/คาํ ยอ คํานิยาม บคุ คล บคุ คลธรรมดา หรอื นิติบุคคล เอนทติ ี บุคคลและรวมถึงเครื่องใหบริการ (Server) หรือเว็บไซต หรือหนวยปฏิบัติงาน (Operating Unit/Site) หรอื เครอ่ื งมืออ่นื ใด (Device) ทอ่ี ยภู ายใตการควบคุมของ Certificate บุคคล Revocation List รายการเพิกถอนใบรับรองอิเล็กทรอนิกส คือ รายการใบรับรองอิเล็กทรอนิกส (CRL) ทีถ่ กู เพิกถอนการใชง าน Online Certificate เกณฑวิธี (Protocol) สําหรับตรวจสอบสถานะของการเพิกถอนใบรับรอง หรือ Status Protocol วนั เวลาท่เี ร่มิ ตนและสน้ิ สดุ การใชใบรบั รอง (OCSP) Object Identifier คาสัมพันธซ่ึงบงบอกถึงขอมูลสารสนเทศของวัตถุ (Information Object) ใดๆ (OID) โดยเปน คาทีส่ ามารถบงชี้ไดถึงความเปน หน่งึ เดยี วของ Object น้นั ๆ กญุ แจสาธารณะ กญุ แจที่ใชใ นการตรวจสอบลายมอื ชอื่ ดิจทิ ัล และสามารถนําไปใชในการเขารหัส Public Key ลับขอมูลอิเล็กทรอนิกส เพ่ือมิใหสามารถเขาใจความหมายของขอมูล อิเลก็ ทรอนกิ สทม่ี กี ารเขารหัสลับนั้นได เพ่ือประโยชนในการรักษาความลับของ กุญแจสวนตัว ขอ มลู อเิ ล็กทรอนิกสน นั้ Private Key กุญแจที่ใชในการสรา งลายมือช่ือดิจิทัล และสามารถนําไปใชในการถอดรหัสลับ เมอื่ มกี ารเขา รหสั ลับขอมูลอิเล็กทรอนิกส เพื่อใหสามารถเขาใจความหมายของ คูกุญแจ ขอ มูลอเิ ล็กทรอนิกสท่ีมีการเขา รหัสลับนั้นได Key Pair กุญแจสวนตัวและกุญแจสาธารณะในระบบการเขารหัสลับแบบอสมมาตรที่ได สรางข้ึนโดยวิธีการที่ทําใหกุญแจสวนตัวมีความสัมพันธในทางคณิตศาสตรกับ กุญแจสาธารณะในลักษณะท่ีสามารถใชกุญแจสาธารณะตรวจสอบไดวา ลายมือช่ือดิจิทัลไดส รางขน้ึ โดยใชกุญแจสวนตัวน้นั หรอื ไม และสามารถนํากุญแจ สาธารณะไปใชในการเขารหัสลับขอมูลอิเล็กทรอนิกส ทําใหไมสามารถเขาใจ ความหมายของขอมูลอิเล็กทรอนิกสไดเพ่ือประโยชนในการรักษาความลับของ ขอมูลอเิ ล็กทรอนกิ ส เวน แตบุคคลทีถ่ ือกญุ แจสว นตวั ซง่ึ สามารถนาํ กุญแจสวนตัว ของตนใชในการถอดรหัสลับของขอมูลอิเล็กทรอนิกส เพ่ือใหเจาของกุญแจ สว นตวั สามารถอา นหรอื เขา ใจความหมายของขอมลู อเิ ลก็ ทรอนกิ สนั้นได สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 63
-๓- คาํ /คาํ ยอ คาํ นยิ าม ผซู ง่ึ ทําหนา ท่ีรับลงทะเบียนเมื่อมีการย่ืนคําขอใชบริการ แจงเพิกถอนใบรับรอง เจาหนาท่รี บั อิเล็กทรอนิกส หรือตออายุใบรับรองอิเล็กทรอนิกส โดยทําการตรวจสอบและ ลงทะเบียน ยนื ยนั ความถกู ตองของขอมูลทผ่ี ูใ ชบ รกิ ารใหไว Registration Authority (RA) หมายถึง การท่ีขอมูลสูญหาย ถูกทําลาย ถูกแกไข ถูกเปดเผยโดยมิชอบ หรือ ถูกลวงรูโดยไมสอดคลองกับวัตถุประสงคของการเก็บรักษาขอมูลนั้น รวมท้ัง พฤติการณท ี่ กรณที ม่ี ีเหตุอนั ควรสงสยั วา จะมพี ฤติการณด งั กลา ว กระทบตอ ความ มนั่ คงปลอดภัย ของขอ มลู (Compromise) ๓. หัวขอ ที่ตอ งกําหนดไวใ นแนวนโยบาย และ แนวปฏบิ ตั ิ บทที่ ๑ บทนาํ (Introduction) บทที่ ๒ ความรบั ผดิ ชอบในการเผยแพรขอ มลู และการเกบ็ รักษาขอมูล (Publication and Repository Responsibilities) บทท่ี ๓ การระบุและการยืนยันตวั บุคคล (Identification and Authentication) บทท่ี ๔ ขอกาํ หนดเกย่ี วกับการดําเนนิ การตลอดอายุของใบรบั รองอิเลก็ ทรอนิกส (Certificate Life-Cycle Operation Requirements) บทที่ ๕ การควบคุมความมัน่ คงปลอดภัยของเคร่อื งมืออุปกรณ การบรหิ ารจดั การ และ การดําเนินงาน (Facility, Management, and Operational Controls) บทท่ี ๖ การควบคมุ ความมั่นคงปลอดภยั ดานเทคนคิ (Technical Security Controls) บทท่ี ๗ การกําหนดรูปแบบของใบรับรองอเิ ลก็ ทรอนิกส รายการเพิกถอน และสถานะของ ใบรับรองอเิ ลก็ ทรอนิกส (Certificate, CRL, and OCSP Profiles) บทท่ี ๘ การตรวจสอบการปฏิบตั ติ ามกฎขอ บังคับตา งๆ และการประเมินความเส่ยี งอน่ื ๆ (Compliance Audit and Other Assessment) บทที่ ๙ ขอ กําหนดอ่ืนๆ และประเดน็ กฎหมาย (Other Business and Legal Matters) สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 64
-๔- ๔. เนื้อหาที่ตอ งกาํ หนดไวในแนวนโยบาย และแนวปฏบิ ัติ บทที่ ๑ บทนาํ (Introduction) เน้ือหาในบทนี้ จะกลาวถึงประเภทของบุคคลหรือเอนทิตีท่ีเก่ียวของและการนําแนวนโยบาย หรอื แนวปฏบิ ัตไิ ปใชง าน ๑. ขอ มลู เบอื้ งตน ทัว่ ไป (Overview) สาระสาํ คญั ของเนอื้ หาในขอ น้ี คือ การกลาวถึงแนวนโยบายและแนวปฏิบัติ โดยท่ัวๆ ไป และ การนําแนวนโยบายและแนวปฏิบัติที่จัดทําข้ึนไปปรับใชเม่ือมีการประยุกตใช PKI เชน กรณีท่ีมีการ กําหนดระดบั ความนา เชอ่ื ถอื ของใบรบั รองอิเลก็ ทรอนิกสทแี่ ตกตา งกัน ใบรบั รองซง่ึ แตกตา งกนั น้นั อาจมี ความซบั ซอ นหรอื อาจมกี ารกาํ หนดขอบเขตการใช PKI ท่ีแตกตางกัน ดังนั้น การแสดงขอมูลเกี่ยวกับ โครงสรา งของ PKI จึงมปี ระโยชนต อการทําความเขาใจเน้ือหาในสวนนี้ ๒. ชอ่ื เอกสาร (Document Name and Identification) เนื้อหาในสวนนจ้ี ะกําหนดเก่ยี วกับ “ชอื่ ” สําหรบั ใชเ รียกแนวนโยบายและแนวปฏิบัติ หรือเรียก สง่ิ หนง่ึ ส่ิงใด (Other Identifier) ทั้งน้ี รวมถึงการเรยี กชือ่ เอกสารหรือส่ิงทรี่ ะบถุ ึงเชนวานนั้ ในทางเทคนิค ดว ย กลาวคือ จาํ เปน ตอ งมีการจดทะเบียนเลข OID ซ่ึงมีช่ือเรียกอยางเปนทางการวา “ASN.1 Object Identifier ” ในทางปฏิบัติการกําหนดเลข OID ของแนวนโยบายและแนวปฏิบัติ หรือสิ่งหน่ึงส่ิงใดนั้น กเ็ พือ่ ใหส ามารถตรวจสอบไดวาแนวนโยบายและแนวปฏิบัติ หรือส่ิงอ่ืนท่ีถูกระบุถึงและกํากับดวยเลข OID น้ัน มีอยูจริง เน่ืองจากเลข OID จะเปนตัวเลขซ่ึงมีความสัมพันธหรือเช่ือมโยงถึง Information Object ใดๆ ลกั ษณะการกําหนดเลข OID จะมกี ารจัดเรียงลําดับตัวเลขกันและค่ันตัวเลขดวยจุด โดยมี หนวยงานรับจดทะเบียนเลข OID จํานวนหลายหนวยงานดวยกัน ไดแก American National Standard Institute (ANSI) สหรัฐอเมริกา, ISO เปน ตน ๓. บุคคลทเ่ี กย่ี วของ (PKI Participants) เน้ือหาในบทน้ีควรจะกําหนดลักษณะ (Identity) ประเภทของบุคคลหรือเอนทิตี (Entity) ทเ่ี กีย่ วขอ ง รวมทัง้ กาํ หนดบทบาทและหนา ทีข่ องบคุ คลหรอื เอนทติ ีเหลา น้นั ดว ย ๓.๑ ผใู หบ รกิ ารออกใบรับรองอเิ ล็กทรอนิกส (Certification Authority) คือ ผใู หบ รกิ ารออกใบรับรองอิเลก็ ทรอนกิ ส ซึง่ สรา งและออกใบรบั รองอิเล็กทรอนิกสเพื่อรบั รอง กญุ แจสาธารณะใหกบั ผูใชบ ริการ ๓.๒ เจาหนาทร่ี ับลงทะเบียน (Registration Authority) คือ บคุ คลหรอื เอนทติ ี ท่ีทําหนา ทใ่ี นการตรวจสอบตัวบคุ คลผูสมัครขอใชบริการ ทั้งในข้ันตอน ที่มกี าระบุตวั บุคคลผูสมัครขอใชบริการ (Identification) วาผูสมัครขอใชบริการเปนใคร หรือเอนทิตีใด และขัน้ ตอนการยืนยันหรือพิสูจนตัวบุคคล (Authentication) วา ผูสมัครขอใชบริการหรือเอนทีตีอื่นใด สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 65
-๕- เปนบุคคลหรือเอนทิตีนั้นจริง นอกจากนั้นผูใหบริการออกใบรับรองอิเล็กทรอนิกส หรือเจาหนาท่ีรับ ลงทะเบียน จะทําหนาท่ีทํานองเดียวกันในการเพิกถอนใบรับรอง หรือตออายุใบรับรอง โดยทําการ ตรวจสอบและยืนยันความถูกตองของขอมูลท่ีผูสมัครขอใชบริการไดใหไวในข้ันตอนตางๆ หลังจาก ตรวจสอบความถกู ตอ งของขอมลู ผสู มัครขอใชบ รกิ ารเรียบรอยแลว จึงแจงใหผูใหบริการออกใบรับรอง อิเล็กทรอนิกส ออกใบรับรองใหกับผูสมัครขอใชบริการตอไป ทั้งนี้เจาหนาท่ีรับลงทะเบียน อาจเปน บคุ ลากรของผูใ หบรกิ ารออกใบรบั รองอเิ ลก็ ทรอนกิ ส หรืออาจเปน บคุ ลากรของผูส มคั รขอใชบริการ หรือ อาจเปนหนว ยงานหรอื เอนทติ ีอืน่ ที่ไดท ําขอ ตกลงกับเจา หนาท่รี บั ลงทะเบียน เพือ่ ทาํ หนา ที่ดงั กลาว ๓.๓ ผูใ ชบ รกิ าร (Subscriber) คือ บุคคล หรอื เอนทิตีใดๆ ท่ีไดรับใบรับรองจากผใู หบรกิ ารออกใบรับรองอเิ ลก็ ทรอนกิ ส ๓.๔ คกู รณที ่ีเกย่ี วขอ ง (Relying Party) คือ บคุ คล หรอื เอนทติ อี ่ืนใดทเ่ี ชื่อถอื ลายมือช่อื ดจิ ทิ ัล อนั เปน ลายมอื ชือ่ อเิ ลก็ ทรอนกิ สชนดิ หน่ึง หรือเช่ือถือใบรับรองอิเล็กทรอนิกส ดังน้ัน คูกรณีท่ีเก่ียวของอาจเปนผูใชบริการจากผูใหบริการออก ใบรับรองอิเล็กทรอนิกส หรืออาจไมใชผูใชบริการจากผูใหบริการออกใบรับรองอิเล็กทรอนิกสก็ได แตเ ปน ผซู ่งึ กระทาํ การหรืองดเวนกระทําการใดๆ เพราะเชื่อถือใบรับรองอิเล็กทรอนิกสหรือลายมือชื่อ ดิจทิ ัล โดยการใชกญุ แจสาธารณะทอี่ ยใู นใบรบั รองนน้ั ในการตรวจสอบตัวตนที่แทจ ริงของผูขอใชบ ริการ ซึง่ เปนเจาของลายมอื ช่อื ดจิ ทิ ัลและมชี อื่ ปรากฏอยใู นใบรับรองอิเล็กทรอนิกส ๓.๕ บคุ คลซงึ่ เกยี่ วของอน่ื ๆ (Other Participants) คือ บคุ คล หรอื เอนทิตีอื่น นอกจากที่กลาวถึงขางตน เชน ผูใหบริการในการเก็บรักษาขอมูล (Providers of Repository Services) หรือผูไดรับการวาจางโดยการ Outsource ใหเปนผูใหบริการ ออกใบรบั รองอเิ ล็กทรอนกิ ส เปนตน ๓.๖ การใชใ บรบั รองอเิ ล็กทรอนกิ ส (Certificate Usage) เน้อื หาในสวนนคี้ วรกําหนดเก่ียวกับลักษณะหรือประเภทของใบรับรองอิเล็กทรอนิกสท่ีมีการ นําไปใชในทางปฏิบัติ เชน ใบรับรองอิเล็กทรอนิกสเพื่อรับรองตัวบุคคล ใบรับรองอิเล็กทรอนิกสเพ่ือ รับรองตัวนิติบุคคล ใบรับรองอิเล็กทรอนิกสเพื่อรับรองเว็บไซต ใบรับรองอิเล็กทรอนิกสเพ่ือรับรอง เคร่ืองใหบริการหรือเซิรฟเวอร ใบรับรองอิเล็กทรอนิกสเพื่อใชกับจดหมายอิเล็กทรอนิกสหรืออีเมล ใบรับรองอเิ ลก็ ทรอนกิ สส าํ หรบั ใชกับสัญญาหรือการทําขอตกลง เปน ตน ทั้งนี้ ในกรณีที่มีขอจํากัดการใชงาน หรือกรณีที่มีการจัดระดับความนาเช่ือถือของใบรับรอง อิเล็กทรอนิกส ก็ควรระบุไวใหชัดเจนดวย และหากลักษณะการใชงานหรือชนิดของใบรับรอง อิเล็กทรอนิกสมีความแตกตางกันจนจําเปนตองจัดทําแนวนโยบายหรือแนวปฏิบัติสําหรับการใชงาน แตล ะลักษณะหรือตามชนดิ ของใบรบั รอง ก็จาํ เปน ตอ งใหข อมลู ในเร่อื งดงั กลาวเอาไวช ดั เจนดวยเชนกนั สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 66
-๖- ๓.๗ การบรหิ ารจดั การเก่ียวกบั แนวนโยบายและแนวปฏบิ ัติ (Policy Administration) เน้ือหาในสวนนี้ควรกลาวถึงชื่อ ท่ีอยูของหนวยงานที่ยกราง จดทะเบียน ดูแลและปรับปรุง เอกสารแนวนโยบายและแนวปฏิบัติ นอกจากน้ันยังรวมถึง ชื่อ ท่ีอยูของจดหมายอิเล็กทรอนิกส หมายเลขโทรศัพท หมายเลขโทรสารของผูที่สามารถติดตอได ทั้งน้ี โดยอาจกําหนดเปนตําแหนง ทร่ี ับผดิ ชอบในการตอบขอซกั ถามหรอื ตดิ ตอกบั ผูใ ชบ ริการของผูใหบรกิ ารออกใบรบั รองอิเลก็ ทรอนกิ ส กไ็ ด นอกจากนั้น เพื่อสรางความนาเชื่อถือใหกับการใหบริการของผูใหบริการออกใบรับรอง อิเล็กทรอนิกสเอง ในกรณีท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกส ไดจัดทําแนวนโยบายและ แนวปฏิบัติ ตามแนวทางที่คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสประกาศกําหนดแลว ควรระบุถึง คณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส และที่อยขู องหนวยงานธุรการของคณะกรรมการไวในขอน้ีดว ย ๓.๘ คํานิยามและคาํ ยอ (Definitions and Acronyms) โดยทใ่ี นการจดั ทําแนวนโยบายและแนวปฏิบัติ จําเปนตองมีการกลาวถึงคําศพั ท และคํายอ เปน จาํ นวนมาก ดงั น้นั ในบทน้จี งึ ควรมกี ารใหค วามหมายของคาํ ศัพทห รือคาํ ยอ เหลา น้ันไวดวย เชน การให ความหมายของคําวาผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาท่ีรับลงทะเบียนผูใชบริการ แนวนโยบายและแนวปฏิบัติ ลายมือช่ือดิจิทัล ใบรับรองอิเล็กทรอนิกส คูกุญแจ กุญแจสวนตัว กุญแจ สาธารณะ เอนทิตี เปนตน เพ่ือเปนขอมลู ใหก บั ผใู ชบรกิ ารตอ ไป บทที่ ๒ ความรับผิดชอบในการเผยแพรขอมลู และการเกบ็ รกั ษาขอ มลู (Publication and Repository Responsibilities) สําหรับเน้ือหาในสวนนี้ ควรจะตองระบุเก่ียวกับบุคคลซ่ึงทําหนาที่ในการเก็บรักษาขอมูล (Repository) ในการใหบริการของผูใหบริการออกใบรับรองอิเล็กทรอนิกส ไมวาผูใหบริการออก ใบรับรองอิเล็กทรอนิกสจะทําหนาท่ีดังกลาวนั้นเอง หรือเปนการใชบริการจากผูใหบริการรายอื่น และความรับผดิ ชอบของบุคคลหรอื หนวยงานทท่ี าํ หนาท่ีในการเผยแพรขอมลู เกย่ี วกับแนวนโยบาย และ แนวปฏิบัติ รวมทั้งเน้ือหาที่จะมีการเผยแพร เชน การควบคุมมาตรการในการรักษาความม่ันคง ปลอดภัย (Security Controls) การรักษาความลับทางการคา (Trade Secret) สําหรับขอมูลสําคัญท่ีมี ความออ นไหว เปนตน นอกจากนั้น ควรใหขอมูลเกี่ยวกับความถ่ีหรือความบอยในการเผยแพรขอมูล การควบคุม การเขาถึงขอมูลที่มีการเผยแพรน้ัน (Access Control) รวมทั้งแนวนโยบายและแนวปฏิบัติใบรับรอง อเิ ล็กทรอนกิ ส หรือสถานะของใบรับรองอิเล็กทรอนกิ ส รวมทง้ั การเพกิ ถอนใบรับรองอิเลก็ ทรอนิกส บทท่ี ๓ การระบแุ ละการยนื ยันตัวบคุ คล ((Identification and Authentication (I&A)) สําหรับเนื้อหาในบทนี้ควรใหขอมูลเกี่ยวกับข้ันตอนในการยืนยันหรือพิสูจนตัวบุคคล หรือ เอนทิตีของผูสมคั รขอใชบ ริการกับผูใหบ ริการออกใบรบั รองอิเล็กทรอนิกส หรือเจาหนาท่ีรับลงทะเบียน กอนทจี่ ะมีการออกใบรับรองอิเล็กทรอนิกส รวมทั้งกําหนดขั้นตอนในการยืนยันหรือพิสูจนบุคคลของ สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 67
-๗- ผูใหบริการออกใบรับรองอิเล็กทรอนิกส หรือเจาหนาท่ีรับลงทะเบียน หรือเอนทิตีที่เก่ียวของกับการ ใหบริการหรือรวมใหบริการกับผูใหบริการออกใบรับรองอิเล็กทรอนิกส นอกจากน้ัน อาจใหขอมูล เก่ียวกับการออกใบรับรองอิเล็กทรอนิกสใหม การตออายุใบรับรองอิเล็กทรอนิกส หรือการเพิกถอน ใบรับรองอิเล็กทรอนิกสไปพรอมกันดวย อยางไรก็ตาม เนื้อหาที่พึงกําหนดไวในบทนี้นอกจาก ทกี่ ลา วถงึ ขางตน มดี ังตอไปน้ี ๑. การกําหนดรูปแบบของช่ือ (Naming) สําหรับการกําหนดรูปแบบของชื่อที่ใช (Naming Convention) เพื่อระบุถึงผูใชบริการน้ัน ควรกาํ หนด ดงั น้ี ๑.๑ รูปแบบของชือ่ เชน X.500 Distinguished Name หรอื RFC 822 Names สําหรบั จดหมาย อเิ ลก็ ทรอนกิ สหรืออีเมล (e-mail) และ X.400 สําหรับชอ่ื ๑.๒ ชือ่ นั้น จะมีความหมายหรอื ไมม กี ็ได ๑.๓ การกําหนดช่ือของผูใชบริการในกรณีที่มีการใชชื่อนิรนามหรือนามแฝงหรือปดบังช่ือ ท่แี ทจริง (Anonymous or Pseudonymous) ๑.๔ กฎในการแปลงช่ือในรูปแบบตางๆ เชน มาตรฐาน X.500 และ RFC 822 เปน ตน ๑.๕ ช่อื น้ันจะตองมลี ักษณะเฉพาะ (Unique Name) ๒. ความสมบรู ณในการระบุตัวบุคคล (Initial Identity Validation) ขอมูลในสวนน้ี ควรจะกําหนดเก่ียวกับวิธีการระบุตัวบุคคล (Identification) และยืนยันหรือ พิสูจนตัวบุคคล (Authentication) เม่ือแรกเริ่มลงทะเบียนกับผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจา หนาทรี่ ับลงทะเบียน ผใู ชบริการ หรอื คูกรณที ่เี กี่ยวขอ งอน่ื ๆ ทงั้ น้ี โดย ๒.๑ การยืนยันหรือพิสูจนความสัมพันธของกุญแจสวนตัวกับกุญแจสาธารณะท่ีถือหรือ ครอบครองอยูโดยผูใชบริการ เชน การใชในการพิสูจนลายมือชื่อดิจิทัลท่ีปรากฏใน ใบรับรองอิเล็กทรอนิกสดวยการใชลายมือช่ือดิจิทัลในการสง Certificate Request Message มายังผูใหบรกิ ารออกใบรบั รองอิเล็กทรอนิกส เปน ตน ๒.๒ การยืนยันหรือพิสูจนเง่ือนไขสําหรับการตรวจสอบความมีอยูขององคกรหรือหนวยงาน เชน การตรวจสอบจากหนงั สอื รบั รองของบรษิ ทั หรือนิตบิ คุ คลทีอ่ อกโดยกรมพัฒนาธุรกิจ การคา กระทรวงพาณชิ ย เปน ตน ๒.๓ การยืนยนั หรอื พสิ จู นเง่อื นไขสําหรับการตรวจสอบขอมูลของบุคคลซึ่งกระทําการในนาม ขององคกรหรอื หนวยงาน เชน การตรวจสอบจากหนงั สอื มอบอาํ นาจ เปนตน ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 68
-๘- ๓. การระบแุ ละยนื ยันหรือพสิ จู นต ัวบคุ คลเมอ่ื มกี ารขอออกกญุ แจใหม (Identification and Authentication for Re-key Requests) สําหรับขน้ั ตอนนี้ จะครอบคลุมทงั้ ในข้ันตอนท่ใี บรับรองอิเลก็ ทรอนกิ สห มดอายลุ งและกรณมี ีการ เพิกถอนการใชใบรับรองอิเล็กทรอนิกส ดังน้ัน จึงควรจะเปนขั้นตอนที่มีรูปแบบการทํางานทํานอง เดยี วกนั กับการระบแุ ละยืนยันหรอื พิสูจนตวั บคุ คลเหมือนกับขั้นตอนแรกท่ีไดม ีการขอใชบรกิ าร ๔. การระบแุ ละยนื ยันหรือพสิ จู นต ัวบุคคลเม่อื มีการขอเพกิ ถอนใบรบั รองอิเลก็ ทรอนกิ ส (Identification and Authentication for Revocation Requests) เพ่อื ระบปุ ระเภทของบคุ คลทสี่ ามารถทําการรอ งขอเพิกถอนใบรบั รองอิเล็กทรอนกิ สและข้นั ตอน ในการยนื ยันหรือพิสจู นข อมลู ทแ่ี สดงตวั ตนของบคุ คลดงั กลาวรวมทัง้ สิทธิของบคุ คลนน้ั บทท่ี ๔ ขอ กําหนดเก่ยี วกับการดําเนินการตลอดอายุของใบรบั รองอเิ ล็กทรอนิกส (Certificate Life-Cycle Operation Requirements) ขอมูลในสวนนี้ใชในการระบุขอกําหนดในการดําเนินการเกี่ยวกับใบรับรองอิเล็กทรอนิกส สําหรับผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาที่รับลงทะเบียน ผูใชบริการ และบุคคล ทเี่ ก่ยี วขอ งอืน่ ๆ ใหสอดคลองกับบทบาทและหนา ท่ขี องตน ๑. การยน่ื คําขอใบรบั รองอเิ ลก็ ทรอนกิ ส (Certificate Application) สว นนี้ควรระบุขอกําหนดเก่ยี วกับการสมัครขอใบรบั รองอิเลก็ ทรอนิกสด ังตอ ไปน้ี ๑.๑ บุคคลท่ีสามารถสมัครขอใบรับรองอิเล็กทรอนิกสได เชน ผูท่ีจะมีชื่อในใบรับรอง อิเล็กทรอนกิ ส (Certificate Subject) หรือ RA เปน ตน ๑.๒ กระบวนการยื่นคําขอใบรับรองอิเล็กทรอนิกส และภาระหนาท่ีท่ีเกี่ยวของ ตัวอยางของ กระบวนการยืน่ ขอใบรบั รองอิเลก็ ทรอนิกส อาจเปนดังตอไปนี้ (๑) ผูสงคาํ ขอใบรับรองสรางคูกุญแจและสงคําขอใบรับรองอิเล็กทรอนิกสใหเจาหนาที่รับ ลงทะเบยี น โดยผูสงคําขอใบรับรองตองใหขอมูลที่ครบถวนและถูกตองตามระเบียบ การขอใบรบั รองอิเลก็ ทรอนิกสของผใู หบ ริการออกใบรับรองอิเล็กทรอนิกส (๒) เจาหนาทร่ี บั ลงทะเบยี นตรวจคาํ ขอ และลงลายมอื ชอ่ื กํากับคําขอท่ีผานการตรวจสอบ แลวไปใหผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาที่รับลงทะเบียน และ ผใู หบ ริการออกใบรบั รองอเิ ล็กทรอนิกส ตองกําหนดหลักการและวิธกี ารขอใบรับรอง อิเล็กทรอนิกส สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 69
-๙- ๒. การพิจารณาคาํ ขอใบรับรองอเิ ลก็ ทรอนกิ ส (Certificate Application Processing) เนื้อหาสวนนคี้ วรใหข อมลู เก่ยี วกบั กระบวนการพิจารณาคําขอใบรับรองอิเล็กทรอนิกส ตัวอยาง กระบวนการ เชน ๒.๑ ผูใหบริการออกใบรบั รองอเิ ล็กทรอนกิ สและเจา หนา ที่รับลงทะเบียนจะดําเนินการตรวจสอบ ความถกู ตอ งของผสู มัคร เพือ่ การระบุและยืนยนั ตัวบคุ คล ๒.๒ ผใู หบ ริการออกใบรับรองอเิ ล็กทรอนกิ สแ ละเจาหนาท่ีรับลงทะเบียนจะพิจารณาวาจะอนุมัติ หรอื ไมอ นุมัตกิ ารสมัครขอใชบริการใบรบั รองอิเลก็ ทรอนกิ ส ๒.๓ การกาํ หนดระยะเวลาท่ีผใู หบ ริการออกใบรบั รองอเิ ล็กทรอนิกส และเจา หนาที่รับลงทะเบียน ใชในการพจิ ารณาการย่ืนคําขอใบรบั รองอเิ ล็กทรอนิกส ๓. การออกใบรับรองอิเล็กทรอนิกส (Certificate Issuance) เนื้อหาสวนนี้ควรใหข อ มลู เกย่ี วกบั กระบวนการออกใบรับรองอเิ ลก็ ทรอนิกสในประเด็นตางๆ ดงั ตอไปนี้ ๓.๑ ขอปฏิบัติของผูใหบริการออกใบรับรองอิเล็กทรอนิกส ในการออกใบรับรองอิเล็กทรอนิกส เชน การตรวจลายมือช่ือและอํานาจกระทําการของ เจาหนาท่ีรับลงทะเบียน ตลอดจน การสรางใบรบั รองอิเล็กทรอนิกส ๓.๒ วิธีการแจงผลการออกใบรับรองอิเล็กทรอนิกสแกผูใชบริการ เชน การแจงทางจดหมาย อิเลก็ ทรอนกิ ส ๔. การยอมรบั ใบรบั รองอเิ ล็กทรอนิกส (Certificate Acceptance) ๔.๑ ขอปฏบิ ัตขิ องผสู มัครขอใบรบั รองอิเล็กทรอนกิ สทถ่ี อื เปนการยอมรับใบรับรองอิเล็กทรอนิกส เชน ผูสมัครขอใบรับรองอิเล็กทรอนิกสยอมรับใบรับรองอิเล็กทรอนิกสที่ผูใหบริการออก ใบรบั รองอเิ ลก็ ทรอนิกส ออกใหในกรณีท่ี (๑) ผใู หบริการออกใบรับรองอิเลก็ ทรอนกิ ส มไิ ดร บั การแจง การใดๆ จากผสู มัครขอใบรับรอง อิเลก็ ทรอนกิ สภายในเวลาที่กําหนด (๒) ผูใชบริการลงลายมือช่ือกํากับขอความแจงการยอมรับหรือไมยอมรับใบรับรอง อเิ ล็กทรอนกิ ส ๔.๒ การเผยแพรใ บรบั รองอเิ ล็กทรอนิกสท ไ่ี ดย อมรับโดยผูสมัครขอใบรับรองอิเล็กทรอนิกสแลว ซงึ่ อาจเผยแพรโดยผา นทาง X.500 Directory หรือ LDAP repository ๔.๓ การแจงใหบุคคลอ่ืนทราบถึงใบรับรองอิเล็กทรอนิกสที่ไดออกใหผูสมัครขอใบรับรอง อิเลก็ ทรอนิกส เชน ผใู หบ รกิ ารออกใบรบั รองอิเล็กทรอนิกส อาจสงใบรับรองอิเล็กทรอนิกส ทีอ่ อกใหผ สู มัครขอใบรับรองอเิ ล็กทรอนิกส แกเ จา หนา ทร่ี ับลงทะเบียน เปน ตน สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 70
-๑๐- ๕. การใชค ูกญุ แจ และใบรับรองอเิ ล็กทรอนิกส (Key Pair and Certificate Usage) ๕.๑ ความรับผิดชอบของผูใชบริการในการใชคูกุญแจและใบรับรองอิเล็กทรอนิกส เชน ผใู ชบรกิ ารจะตอ งใชก ุญแจสว นตัว (Private Key) และใบรบั รองอเิ ล็กทรอนิกสตามนโยบาย ที่กําหนดในแนวนโยบาย และสัญญาระหวางผูใหบริการออกใบรับรองอิเล็กทรอนิกสกับ ผูใชบริการ โดยผูใชบริการสามารถใชกุญแจสวนตัวหลังจากท่ีผูใชบริการไดยอมรับ ใบรับรองอิเล็กทรอนิกสน้ันแลว และไมสามารถใชงานกุญแจสวนตัวและใบรับรอง อเิ ล็กทรอนิกสไ ดห ลังจากใบรบั รองอเิ ลก็ ทรอนิกสด ังกลา วหมดอายลุ งหรอื ถูกเพกิ ถอน ๕.๒ ความรับผิดชอบของคูกรณีที่เกี่ยวของในการใชกุญแจสาธารณะ หรือใบรับรอง อิเล็กทรอนิกสข องผูใชบ รกิ าร เชน คกู รณที ี่เกย่ี วขอ งจะตอ งใชใบรบั รองอิเล็กทรอนิกสตาม นโยบายที่กาํ หนดในแนวนโยบาย และตองตรวจสอบสถานะของใบรับรองอิเล็กทรอนิกส ตามวิธีท่ีระบุใน แนวนโยบายภายใตเงอื่ นไขเกยี่ วกบั คูกรณที ี่เกี่ยวขอ ง ๖. การตออายใุ บรับรองอเิ ลก็ ทรอนิกส (Certificate Renewal) การตอ อายุใบรับรองอิเล็กทรอนกิ ส หมายถงึ การออกใบรับรองอิเลก็ ทรอนิกสใหมใหผูใชบริการ โดยไมมีการเปลี่ยนแปลงกุญแจสาธารณะของผูใชบริการ หรือขอมูลอ่ืนใดท่ีปรากฏในใบรับรอง อิเลก็ ทรอนกิ ส การตออายใุ บรบั รองอเิ ลก็ ทรอนกิ สควรคาํ นงึ ถงึ ประเดน็ ตางๆ ดังตอไปน้ี ๖.๑ กรณตี า งๆ ที่อนุญาตใหมีการตออายุใบรับรองอิเล็กทรอนิกส เชน ใบรับรองอิเล็กทรอนิกส หมดอายุแตนโยบายอนุญาตใหใชคูกุญแจเดิมตอไปได ใหสามารถตออายุใบรับรอง อิเลก็ ทรอนกิ สได ๖.๒ บุคคลท่ีสามารถขอตออายุใบรับรองอิเล็กทรอนิกสได เชน ผูใหบริการออกใบรับรอง อิเล็กทรอนิกส อาจอนุญาตใหเจาหนาท่ีรับลงทะเบียน ขอตออายุแทนผูใชบริการได หรือ ผูใหบริการออกใบรับรองอิเล็กทรอนิกส อาจตออายุใบรับรองอิเล็กทรอนิกสใหผูใชบริการ โดยอัตโนมัติเม่ือใบรับรองดงั กลา วหมดอายลุ ง ๖.๓ ควรมีการระบุกระบวนการในการขอตออายุใบรับรองอิเล็กทรอนิกสท่ีชัดเจน เชน การใช รหัสผาน (Password) ในการยนื ยันตัวบคุ คลอีกครั้งกอนการตอ อายใุ บรับรองอิเลก็ ทรอนิกส ๖.๔ ควรมีวิธกี ารแจงวา ไดต ออายุใบรบั รองอเิ ลก็ ทรอนกิ สใ หผใู ชบริการแลว ๖.๕ ควรระบุวิธีการยอมรับใบรับรองอิเล็กทรอนิกสท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกส ตอ อายใุ หแกผใู ชบ ริการใบรับรองอเิ ลก็ ทรอนิกส ๖.๖ ควรอธบิ ายเกี่ยวกบั การเผยแพรใบรบั รองอเิ ล็กทรอนิกสต ลอดจนวธิ กี ารแจงบคุ คลทเ่ี ก่ยี วขอ ง ใหท ราบถึงการตออายใุ บรบั รองอเิ ลก็ ทรอนิกส สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 71
-๑๑- ๗. การรบั รองคกู ุญแจใหม (Certificate Re-key) เนื้อหาสวนนคี้ วรใหขอมลู เกย่ี วกับการสรางคกู ุญแจใหม รวมถงึ การออกใบรับรองอิเล็กทรอนิกส ใหมเ พ่ือรองรับคูกญุ แจใหม โดยผูใ ชบ รกิ ารหรอื บคุ คลอืน่ ๗.๑ กรณตี างๆ ที่ผูใหบริการออกใบรับรองอิเล็กทรอนิกสสามารถหรือตองสรางคูกุญแจ และ ออกใบรบั รองอเิ ลก็ ทรอนิกสเพอื่ รองรบั คูกุญแจใหมนี้ เชน กรณขี องการเพิกถอนใบรับรอง อเิ ลก็ ทรอนกิ ส หรอื การหมดอายุการใชง านของคกู ุญแจ ๗.๒ การกําหนดใหบ คุ คลใดสามารถขอใบรบั รองอเิ ล็กทรอนกิ สเ พ่ือรองรบั คกู ญุ แจใหม ๗.๓ ควรมวี ิธีการแจง การออกใบรับรองอเิ ล็กทรอนกิ สใ หมใ หผ ูใชบ ริการทราบ ๗.๔ ควรระบุวิธกี ารยอมรบั ใบรับรองอิเลก็ ทรอนิกสท ผ่ี ใู หบ ริการออกใบรบั รองอิเล็กทรอนิกส เพือ่ รองรบั คกู ุญแจใหม ๗.๕ ควรอธบิ ายเกย่ี วกบั การเผยแพรใบรับรองอเิ ลก็ ทรอนิกสต ลอดจนวิธีการแจงบุคคล ท่ีเก่ียวขอ งใหท ราบถงึ การออกใบรบั รองอิเล็กทรอนกิ สเ พื่อรองรบั คกู ุญแจใหม ๘. การแกไขเปล่ียนแปลงใบรับรองอเิ ล็กทรอนิกส (Certificate Modification) เนือ้ หาสวนนี้ควรใหข อ มูลเกยี่ วกับการออกใบรับรองอเิ ล็กทรอนกิ สใ หมอ ันเนือ่ งมาจากการแกไข เปลี่ยนแปลงขอมูลในใบรับรองอิเล็กทรอนกิ สท ีไ่ มใ ชกุญแจสาธารณะของผใู ชบริการ เชน ๘.๑ กรณตี างๆ ทผี่ ใู หบ ริการออกใบรับรองอิเล็กทรอนิกสอนุญาตใหผูใชบริการสามารถแกไข เปลี่ยนแปลงขอมูลในใบรับรองอิเล็กทรอนิกสได เชน การเปล่ียนชื่อ การเปลี่ยนแปลง Distinguished Name และการเปล่ียนบทบาทภาระหนา ที่ในท่ีทาํ งาน ๘.๒ การกําหนดใหบุคคลใดสามารถขอแกไขเปล่ียนแปลงใบรับรองอิเล็กทรอนิกสได เชน ผูใชบรกิ าร เจา หนาท่ีฝายบคุ คล หรือเจา หนา ที่รับลงทะเบียน เปน ตน ๘.๓ ควรมวี ธิ กี ารแจง การออกใบรบั รองอเิ ลก็ ทรอนิกสใหมใ หผใู ชบรกิ ารทราบ ๘.๔ ควรระบุวธิ ีการยอมรบั ใบรบั รองอิเล็กทรอนิกสทผ่ี ใู หบริการออกใหใหม ๘.๕ ควรอธิบายเก่ียวกับการเผยแพรใบรับรองอิเล็กทรอนิกสตลอดจนวิธีการแจงบุคคล ทีเ่ กยี่ วของใหท ราบถงึ การออกใบรบั รองอเิ ล็กทรอนกิ สใหม ๙. การเพิกถอนและพกั ใชใบรับรองอิเลก็ ทรอนกิ ส (Certificate Revocation and Suspension) เนอ้ื หาสว นนค้ี วรใหขอ มูลเกีย่ วกบั การเพิกถอนและการพกั ใชใบรบั รองอเิ ลก็ ทรอนิกส ๙.๑ กรณีตางๆผูใหบริการออกใบรับรองอิเล็กทรอนิกส ใหมีการพักใชหรือเพิกถอนใบรับรอง อเิ ลก็ ทรอนิกส เชน การเลิกจางงานผูใชบริการ การสูญหายของอุปกรณเขารหัสลับ หรือ มีเหตุอันควรสงสัยวา มีการลวงรูกุญแจสว นตวั โดยมิชอบ เปนตน ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 72
-๑๒- ๙.๒ การกําหนดใหบุคคลใดสามารถขอเพิกถอนและพักใชใบรับรองอิเล็กทรอนิกสของ ผูใชบริการได เชน ผใู ชบ รกิ าร และเจาหนาทรี่ ับลงทะเบยี น เปน ตน ๙.๓ ควรมีการระบุกระบวนการขอเพิกถอนและพักใชใบรับรองอิเล็กทรอนิกส เชน การกําหนดใหเจา หนา ที่รบั ลงทะเบยี น หรือผูใ ชบ ริการตองลงลายมือชื่อกํากับคําขอเพิกถอน ใบรบั รองอเิ ลก็ ทรอนิกส เปน ตน ๙.๔ ควรมีการกําหนดระยะเวลาทผี่ ูใชบรกิ ารสามารถขอเพกิ ถอนใบรับรองอเิ ล็กทรอนิกสได ๙.๕ ควรมีการกําหนดวิธีการท่ีคูกรณีที่เก่ียวของสามารถตรวจสอบสถานะของใบรับรอง อิเลก็ ทรอนกิ สได ๙.๖ ในกรณีท่ีมีการใช Certificate Revocation List (CRL) ในการเผยแพรใบรับรอง อิเล็กทรอนิกสท่ีไดเพิกถอนและพักใช ควรมีการกําหนดความถี่ของการเผยแพรขอมูล ดังกลาว ระยะเวลาระหวางการสราง CRL และเวลาท่ีเผยแพร CRL ใหสาธารณะทราบ และถามีการใหบ รกิ ารตรวจสอบสถานะของใบรับรองอเิ ลก็ ทรอนกิ สแ บบออนไลน กค็ วรแจง ใหสาธารณะทราบถึงวิธีการใชง าน เงือ่ นไข และขอ กาํ หนดที่เกี่ยวขอ งดว ย ๙.๗ ควรกาํ หนดระยะเวลาการพักใชใบรับรองอิเล็กทรอนิกส ๑๐. บริการตรวจสอบสถานะของใบรับรองอเิ ลก็ ทรอนกิ ส (Certificate Status Services) ขอมูลสวนน้ีกลาวถึงบริการตรวจสอบสถานะของใบรับรองอิเล็กทรอนิกสสําหรับคูกรณี ท่ีเกยี่ วของ และควรมีประเดน็ ดงั ตอ ไปนี้ ๑๐.๑ ลักษณะของบริการตรวจสอบสถานะของใบรับรองอิเล็กทรอนิกส และสภาพพรอมใชงาน ของระบบบริการ รวมถึงนโยบายรองรบั กรณที ี่ระบบไมส ามารถใหบ รกิ ารได ๑๐.๒ ลกั ษณะของบรกิ ารอืน่ ที่เกีย่ วของ ๑๑. การเลกิ ใชบ รกิ ารใบรบั รองอเิ ล็กทรอนกิ ส (End of Subscription) ขอ มูลสว นนี้กลาวถงึ ข้ันตอนที่ผูใชบ ริการปฏิบัติในการเลิกใชใบรับรองอิเล็กทรอนิกสซ่ึงอาจมี สาเหตุมาจากการหมดอายุของใบรับรองอิเล็กทรอนิกส หรือการเลิกใหบริการโดยผูใหบริการ ออกใบรบั รองอิเล็กทรอนิกส ๑๒. การเก็บรกั ษาและการกคู ืนกุญแจ (Key Escrow and Recovery) ผใู หบ ริการออกใบรับรองอิเล็กทรอนิกสควรระบุนโยบายเกี่ยวกับการเก็บรักษาและการกูคืน กญุ แจสว นตวั และการปองกนั Session Key (Session Key Encapsulation) สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 73
-๑๓- บทที่ ๕ การควบคุมความมั่นคงปลอดภัยของเคร่ืองมืออุปกรณ การบริหารจัดการ และ การดาํ เนินงาน (Facility, Management, and Operational Controls) สําหรับเนอื้ หาในบทน้จี ะครอบคลุมการควบคมุ และการรักษาความมั่นคงปลอดภัยทางกายภาพ สําหรับกรณีท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกสตองใชในการสรางกุญแจ (Key Generation) การยนื ยนั ตัวบุคคล (Subject Authentication) การออกใบรับรองอิเล็กทรอนิกส (Certificate Issuance) การเพกิ ถอนใบรบั รองอเิ ลก็ ทรอนิกส (Certificate Revocation) การตรวจสอบระบบและเก็บรักษาขอมูล (Auditing and Archiving) ใหม นั่ คงปลอดภัย ดังนั้น จึงควรมีการกําหนดวิธีการในการรักษาความมั่นคงปลอดภัยของบุคคลท่ีเก่ียวของ เพื่อสรางความเชื่อมนั่ ในการใชงานใบรบั รองอิเลก็ ทรอนกิ ส และปอ งกันมิใหมีการบกุ รกุ หรือเขา ถงึ ระบบ หรือลวงรูขอมูลในระบบการใหบริการของผูใหบริการออกใบรับรองอิเล็กทรอนิกส รวมทั้งปองกัน มิใหเกดิ ความผดิ พลาดในขอ มูลที่ใชในการสรา งใบรับรองอเิ ลก็ ทรอนกิ ส หรือรายการเพิกถอนใบรับรอง อิเล็กทรอนกิ สกรณีทมี่ ีการลวงรกู ญุ แจสว นตัวของผใู หบ รกิ ารออกใบรบั รองอิเลก็ ทรอนกิ สโดยมชิ อบ ทงั้ นี้ ความม่ันคงปลอดภัยทางกายภาพ (Physical Security Controls) นั้น ครอบคลุมในเร่ือง ดงั ตอ ไปนี้ ๑. สถานทต่ี ั้งหรอื การกอสรา งสาํ นักงานในการใหบรกิ าร (Site Location and Construction) เนื้อหาในสวนน้ีควรมีการกําหนดพื้นท่ีท่ีมีการรักษาความม่ันคงปลอดภัยเปนพิเศษ (High Security Zone) หรือการใชหองและตูนิรภัย การติดต้ังระบบโทรทัศนวงจรปด และระบบตรวจจับ การบกุ รุกทางกายภาพ เปน ตน ๒. การเขา ถึงทางกายภาพ (Physical Access) ควรกําหนดเกี่ยวกับการเขาออกระหวางพื้นท่ีสํานักงานกับพ้ืนท่ีท่ีมีการรักษาความม่ันคง ปลอดภัยเปนพิเศษ การเคล่ือนยายจากพ้ืนท่ีหนึ่งไปยังอีกพื้นที่หน่ึง ใหมีการปองกันการเขาถึงทาง กายภาพ เชน การพิสูจนต วั บุคคลกอนอนุญาตใหเ ขา ถงึ ระบบใหบ รกิ ารได อาจทาํ ไดโดยการใชบตั รแถบ แมเหล็ก และการตรวจสอบลายนวิ้ มือ เปนตน นอกจากนี้ ยงั ควรมีการคํานึงถึงการบริหารจัดการระบบ ไฟฟาและระบบปรับอากาศ การปอ งกันภัยจากนาํ้ การจดั เกบ็ Backup Media ไวในสถานท่อี ื่น ที่ไดรับ การปองกนั การเขาถึง ปอ งกนั ภยั จากไฟและน้ํา ๓. การควบคมุ ความมัน่ คงปลอดภยั ดานกายภาพ (Physical Security Controls) ผูใหบริการออกใบรับรองอิเล็กทรอนิกสควรบรรยายวิธีการควบคุมดานกายภาพของสถานที่ ประกอบการในหวั ขอ ดงั ตอ ไปนี้ ๓.๑ สถานท่ีตัง้ ของผใู หบ ริการออกใบรับรองอิเลก็ ทรอนกิ ส และการจัดแบงพื้นที่ตามระดับของ ความมั่นคงปลอดภัยทต่ี องการ ๓.๒ การควบคุมการเขาถงึ พื้นที่ทีต่ อ งการระดบั ความมนั่ คงปลอดภัยท่ีตา งกนั สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 74
-๑๔- ๓.๓ การดแู ลเรือ่ งพลังงานไฟฟา การไหลเวียนของนํ้า การควบคุมสภาพอากาศ อุณหภูมิและ ความช้ืนสมั พทั ธ การปอ งกนั การเกดิ อัคคภี ัย เพอ่ื ปองกันการหยุดชะงักของการใหบริการ จากเหตเุ หลาน้ี ๓.๔ การเก็บรักษาส่ือที่ใชเก็บขอมูลของผูใหบริการออกใบรับรองอิเล็กทรอนิกสใหมั่นคง ปลอดภยั ตลอดจนการกําหนดใหมีการสํารองขอมูลนอกสถานที่ประกอบการเพ่ือปองกัน การสญู เสยี หรอื สญู หายของขอมลู ๔. การควบคุมกระบวนการตางๆ ในการดําเนินการ (Procedural Controls) ผูใหบ รกิ ารออกใบรับรองอิเล็กทรอนิกสควรมีการจัดบทบาทและหนาท่ีของบุคลากรในองคกร ใหเหมาะสม และกําหนดนโยบายเกีย่ วกับการทํางานของบคุ ลากรในแตละบทบาท เชน วิธีการระบุและ ยืนยันตัวบุคคล หรือวิธีการเขาถึงขอมูลสําคัญโดยบุคคลในบทบาทตางๆ โดยการแบงแยกหนาที่ ซ่ึงไมอนุญาตใหบคุ คลหนง่ึ รับหนาทใ่ี นหลายบทบาทดวยเหตุผลดา นความมนั่ คงปลอดภยั ของขอมูล ๕. การกูคืนระบบอันเกิดจากพฤติการณท่ีกระทบตอความมั่นคงปลอดภัยของขอมูลและ ภยั พิบตั อิ นั เกดิ แกร ะบบ (Compromise and Disaster Recovery) ผูใหบรกิ ารออกใบรับรองอิเล็กทรอนิกสควรมีนโยบายในการกูคืนระบบอันเกิดจากพฤติการณ ที่กระทบตอความม่ันคงปลอดภัยของขอมูลและภัยพิบัติอันเกิดแกระบบ เชน ขอมูลถูกทําลาย อนั เนือ่ งมาจากอบุ ัตเิ หตุหรอื สาเหตอุ ่นื ใด เพ่อื ใหการใหบ ริการไมห ยดุ ชะงัก ๖. การเลกิ กิจการของผูใหบรกิ ารออกใบรบั รองอิเลก็ ทรอนิกสและเจาหนาที่รบั ลงทะเบียน (CA or RA Termination) ในกรณีท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกสหรือเจาหนาที่รับลงทะเบียนเลิกกิจการ จะตองมีการแจงใหบุคคลที่เกี่ยวของทราบ รวมถึงผูที่รับผิดชอบขอมูลของผูใหบริการออกใบรับรอง อเิ ล็กทรอนิกสและเจา หนา ทร่ี บั ลงทะเบียนเพอื่ ใหเกดิ ผลกระทบตอผใู ชบริการนอยทีส่ ดุ บทท่ี ๖ การควบคุมความมนั่ คงปลอดภัยดา นเทคนคิ (Technical Security Controls) สาํ หรบั เนอ้ื หาในสว นนีเ้ ปน การกําหนดมาตรการดา นการรักษาความม่ันคงปลอดภัยของกุญแจ และขอ มลู สําหรับอนุญาตใหใชกญุ แจ เชน PIN และ Password และประเด็นตางๆ ที่เก่ียวกบั การบริหาร จัดการกุญแจ ๑. การสรา งและตดิ ตัง้ คูก ญุ แจ (Key Pair Generation and Installation) การสรางและการติดต้ังคกู ญุ แจมปี ระเดน็ ทตี่ อ งพจิ ารณาและกาํ หนดเปน นโยบาย ดังตอ ไปนี้ ๑.๑ ใครเปน ผสู รางคกู ญุ แจใหผ ใู ชบ รกิ าร และสรา งโดยซอฟตแวรห รือฮารด แวร ๑.๒ วิธกี ารท่ผี ูใ ชบ ริการจะไดรบั กญุ แจสว นตัวของตนแบบม่นั คงปลอดภัยเปนไปไดอ ยา งไรบาง สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 75
-๑๕- ๑.๓ วิธีการท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกสจะไดรับกุญแจสาธารณะของผูใชบริการ แบบมัน่ คงปลอดภยั เปนไปไดอยางไรบาง ๑.๔ คกู รณที เี่ ก่ยี วขอ งจะไดรับกญุ แจสาธารณะของผใู หบ ริการออกใบรบั รองอิเลก็ ทรอนิกสแบบ มนั่ คงปลอดภัยเปนไปไดอ ยา งไรบา ง ๑.๕ ความยาวของคกู ุญแจเปน เทาใด เชน กญุ แจอาจมคี วามยาว 1,024 บติ RSA และ 1,024 บิต DSA ๑.๖ ใครเปนผูที่กําหนดพารามิเตอรของกุญแจสาธารณะ และมีการตรวจสอบคุณภาพของ พารามเิ ตอรระหวา งการสรางกญุ แจหรือไม ๑.๗ วตั ถปุ ระสงคท อี่ าจจะนําคกู ุญแจไปใช หรอื วัตถปุ ระสงคที่ควรจํากดั การใชคูกุญแจคืออะไร สาํ หรับใบรบั รองตาม X.509 นัน้ วัตถปุ ระสงคเหลานคี้ วรจะสอดคลองกับการใชงานกุญแจ ตามมาตรฐาน X.509 เวอรชนั่ 3 ๒. การปองกันกญุ แจสวนตวั (Private Key Protection) และการจดั การควบคมุ ชน้ิ สว น สําหรบั การเขารหสั ลับ (Cryptographic Module Engineering Control) ในสว นนี้ควรกําหนดวธิ กี ารปองกนั กุญแจสวนตัวและการใชงานชิ้นสวนสําหรับการเขารหัสลับ ของผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาที่รับลงทะเบียน ผูใชบริการ และผูใหบริการเก็บ ขอมูล โดยคํานึงถึงความมั่นคงปลอดภัยและความเสียหายอันเกิดจากการเก็บรักษากุญแจสวนตัว การสาํ รองกญุ แจสวนตวั และการบันทกึ ถาวรกญุ แจสวนตัว ท้ังน้ี ใหพิจารณาคาํ ถาม ดังตอไปน้ี ๒.๑ ถามีการใชงานช้ินสวนสําหรับการเขารหัสลับ (อาจเปนซอฟตแวร ฮารดแวร และ หรือ เฟร ม แวร) ควรจะอา งองิ ตามมาตรฐานใด ๒.๒ จําเปนตองมีการควบคุมการเขาถึงกุญแจสวนตัว โดยผูมีสิทธิมากกวา ๑ คนหรือไม (แบบ m out of n) ๒.๓ มนี โยบายในการเก็บรักษากุญแจสว นตวั หรือไม (Key Escrow) ๒.๔ มีนโยบายในการสํารองกญุ แจสวนตวั หรือไม (Private Key Backup) ๒.๕ มีนโยบายในการบนั ทึกถาวรกญุ แจสวนตัวหรือไม (Private Key Archival) ๒.๖ ในกรณใี ดบา งทจ่ี ะมีการถายโอนกุญแจสวนตัวเขาไปในหรอื ออกจากชิ้นสว นสาํ หรบั เขา รหสั ลบั ๒.๗ การจัดเก็บกุญแจสวนตัวในช้ินสวนสําหรับเขารหัสลับ (Private Key Storage in Cryptographic Module) จะทําดวยวิธีใด เชน เก็บในรูปแบบขอมูลธรรมดาที่อานเขาใจได (Plaintext) รปู แบบของขอมูลท่มี ีการเขารหัสลับ (Encrypted) หรือการแยกกุญแจ (Split Key) เปนตน ๒.๘ ใครเปน ผทู มี่ ีสทิ ธิในการใชง านกุญแจสว นตวั ดวยวธิ อี ยางไร ๒.๙ ใครเปนผมู สี ิทธใิ นการยกเลกิ การใชง านกญุ แจสวนตวั ดวยวธิ อี ยางไร ๒.๑๐ ใครมีสิทธิทําลายกุญแจสว นตวั ดวยวิธีอยา งไร ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 76
-๑๖- ๒.๑๑ รายละเอียดความสามารถของช้ินสวนสําหรับเขารหัสลับ เปนอยางไร (อาจอางถึง มาตรฐานทเ่ี กยี่ วของ เชน FIPS 140-1 ๓. รายละเอยี ดอน่ื เกย่ี วกบั การจดั การและบรหิ ารคกู ุญแจ (Other Aspects of Key Pair Management) ในสวนน้ีควรกําหนดวิธีการในการจัดการและบริหารคูกุญแจของผูใหบริการออกใบรับรอง อิเล็กทรอนิกส เจาหนาที่รับลงทะเบียน ผูใชบริการ และผูใหบริการเก็บขอมูล โดยพิจารณาคําถาม ดังตอ ไปนี้ ๓.๑ ควรมีการเก็บบันทึกถาวรของกุญแจสาธารณะ (Public Key Archival) หรือไม ถามีใคร จะเปนผูทําหนาที่เก็บบันทึกถาวร และการควบคุมความม่ันคงปลอดภัยของระบบเก็บ บนั ทกึ ถาวร ท้ังในเรอื่ งความจาํ เปนในการปกปองซอฟตแวร และฮารดแวรท่ีเก่ียวของกับ การใชงานกญุ แจสาธารณะอยตู ลอดเวลา ๓.๒ ระยะเวลาใชง านของใบรบั รองอิเลก็ ทรอนิกส และคูก ญุ แจของผูใชบ รกิ ารเปน เทาใด ๔. ขอมลู ท่ใี ชในการตดิ ต้ังใบรบั รองของผูใ ชบ รกิ าร (Activation Data) เนื้อหาในสวนนีค้ วรกําหนดวิธกี ารปอ งกันขอมูลที่จําเปนตองใชในการติดต้ังใบรับรองของผูใช บริการ (Activation Data) ซ่ึงอาจหมายถึง รหัสอางอิง (Reference Code) และรหัสติดต้ัง (Installation Code) เพอื่ ใชในการยืนยนั ตวั ผใู ชบ รกิ ารในข้ันตอนการตดิ ต้ังใบรับรอง ซึ่งเปน ขอมูลที่ผูใชบริการไดรับ จากผูใ หบรกิ ารออกใบรับรองอเิ ลก็ ทรอนิกสโ ดยตรงหรอื จากเจาหนา ที่รับลงทะเบียน ๕. การควบคุมความม่นั คงปลอดภยั ของระบบคอมพวิ เตอร (Computer Security Controls) เนื้อหาในสว นน้ีควรอธิบายการควบคุมความมั่นคงปลอดภัยของระบบคอมพิวเตอร เพ่ือใหเกิด ความนาเช่ือถอื ของระบบผูใ หบรกิ ารออกใบรบั รองอเิ ล็กทรอนิกส โดยมีการควบคุมการเขาถึง (Access Control) มีการตรวจสอบ (Audit) ระบบของผใู หบ ริการออกใบรบั รองอเิ ล็กทรอนิกส การยืนยันตัวบุคคล (Identification และ Authentication) การทดสอบระบบความม่ันคงปลอดภัย (Security testing) และ ทดสอบการบุกรุกระบบ (Penetration Testing) โดยที่ระบบการควบคุมความม่ันคงปลอดภัยนั้นตอง ไดรับการประเมินตามมาตรฐานสากล เชน The Trusted System Evaluation Criteria (TCSEC) ๖. การควบคุมทางเทคนคิ ของระบบใหบรกิ าร (Life Cycle Technical Controls) เนือ้ หาในสวนน้ีควรจะกลาวถึงการควบคุมการพัฒนาระบบและการควบคุมการบริหารจัดการ ดานความมั่นคงปลอดภัย การควบคุมการพัฒนาระบบนั้นรวมความถึงความมั่นคงปลอดภัยของ สภาพแวดลอมในการพัฒนาระบบ บคุ ลากรที่พฒั นาระบบ และการออกแบบระบบ เปนตน การควบคุมการบริหารจัดการดานความม่ันคงปลอดภัย หมายความถึง การใชเคร่ืองมือ อุปกรณ (Tools) และกระบวนการ (procedure) เพื่อใหเกิดความมั่นใจดานความม่ันคงปลอดภัยของ ระบบปฏิบตั ิการ (Operational Systems) และระบบเครือขา ย (Networks) สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 77
-๑๗- ๗. การควบคุมความมั่นคงปลอดภยั ทางเครือขาย (Network Security Controls) เนื้อหาในสวนน้ีระบุการควบคุมความมั่นคงปลอดภัยทางเครือขายของระบบผูใหบริการออก ใบรับรองอิเล็กทรอนิกส โดยปองกันมิใหเขาถึงระบบไดโดยมิชอบดวยกลไกของอุปกรณรักษาความ ม่นั คงปลอดภัยหลายสวนหลายลําดับชั้น ไดแก อุปกรณเลือกเสนทาง (Router) ตัวปองกันการบุกรุก (Firewall) ระบบตรวจสอบผบู กุ รุก (Intrusion Detection System: IDS) ๘. ขอกาํ หนดสาํ หรับการประทบั เวลาในบันทึกตา งๆ (Time-stamping) หากกําหนดใหมกี ารประทบั เวลาในบันทกึ ตา งๆ ควรระบุไวในสวนน้ี และกลาวถงึ แหลง ทม่ี าของ เวลาและความนาเชื่อถอื ประกอบดวย บทท่ี ๗ การกําหนดรปู แบบของใบรบั รองอิเลก็ ทรอนิกส รายการเพกิ ถอน และสถานะของ ใบรับรองอเิ ลก็ ทรอนิกส (Certificate, CRL, and OCSP Profiles) ๑. รูปแบบของใบรับรองอเิ ลก็ ทรอนกิ ส (Certificate Profile) เนื้อหาในสว นน้ีกาํ หนดรายละเอยี ดเกี่ยวกับประเด็นดงั ตอ ไปน้ี (อา งองิ ตาม IETF RFC 3280) ๑.๑ เวอรช่ันของใบรบั รองอิเล็กทรอนกิ สที่สนับสนุน ๑.๒ ขอมูลใน Certificate Extensions และความสําคัญ (Criticality) ของขอมูลดังกลาว OID ของข้ันตอนวิธกี ารเขารหสั ลับ (Cryptographic Algorithm Object Identifiers) ๑.๓ รูปแบบชื่อของผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาท่ีรับลงทะเบียน และ ผูใชบ ริการ ๑.๔ OID ของแนวนโยบายที่เกี่ยวขอ ง ๒. รปู แบบรายการเพิกถอนใบรบั รอง (Certification Revocation List Profile) ๒.๑ เนอ้ื หาในสวนน้กี ําหนดรายละเอียดเก่ียวกับประเด็นดังตอ ไปน้ี (อางอิงตาม IETF RFC 3280) เวอรช ั่นของรายการเพิกถอนใบรบั รองที่สนบั สนนุ และ ๒.๒ รายการเพิกถอนใบรับรอง และขอมูลใน CRL Entry Extensions และความสําคัญของ ขอมูลดงั กลาว (Criticality) ๓. รูปแบบโปรโตคอล OCSP (OCSP Profile) ในสวนนี้แสดงถงึ เนื้อหาและรปู แบบของขอมลู ทใ่ี ชในการตรวจสอบสถานะของใบรบั รองโดย ใชโปรโตคอล OCSP (Online Certificate Status Protocol) รวมท้งั ขอ มลู อนื่ ๆ เชน เวอรชนั่ ของ OCSP และขอ มลู เพ่มิ เตมิ ทสี่ ามารถระบลุ งไปใน OCSP (อางองิ ตาม IETF RFC 2560) สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 78
-๑๘- บทที่ ๘ การตรวจสอบการปฏิบัติตามกฎขอบังคับตางๆ และการประเมินความเส่ียงอ่ืนๆ (Compliance Audit and Other Assessment) สําหรับเนื้อหาในสวนน้ีจะตองกําหนดเก่ียวกับรายการท่ีตองมีการประเมินความเสี่ยง หรือ ระเบียบวิธี (Methodology) ทใ่ี ชในการประเมนิ ความเสย่ี ง เชน การประเมินความเสีย่ งตามแนวทางของ WebTrust เปนตน นอกจากน้ัน ก็อาจกําหนดความถ่ีของการตรวจสอบหรือประเมินความเสี่ยง ท้ังนี้ ในการ ประเมินนนั้ กต็ อ งประเมนิ ตามแนวนโยบายและแนวปฏิบัติ และประเมินทั้งกอนมีการใหบริการ เม่ือมี การใหบริการ และการตรวจสอบกรณีมีความเปนไปไดที่จะมีการลวงรูโดยมิชอบอันเปนการกระทบ ถงึ ความม่นั คงปลอดภยั ท้ังน้ี จําเปนตองระบุคุณสมบัติของบุคลากรที่ทําหนาที่ตรวจสอบและประเมินความเส่ียง การดําเนนิ การเก่ียวกับผลการประเมิน เชน การระงับการดาํ เนินการชว่ั คราว หรอื การเพิกถอนใบรับรอง ท่ีออก เปน ตน บทท่ี ๙ ขอกาํ หนดอน่ื ๆ และประเด็นกฎหมาย (Other Business and Legal Matters) สําหรับเน้ือหาในสวนนี้ จะกําหนดเกี่ยวกับการจัดเก็บคาธรรมเนียม (Fees) ความรับผิดชอบ ทางการเงิน (Financial Responsibility) ทั้งในสวนท่ีเก่ียวกับการดําเนินการหรือกรณีมีการเรียกรอง คา เสยี หายจากการใหบริการเกดิ ขน้ึ รวมท้งั ประเดน็ ขอกฎหมายตางๆ อยางไรก็ตาม ในการจัดทําแนวนโยบายและแนวปฏิบัติ นั้น หากผูใหบริการออกใบรับรอง อิเล็กทรอนิกส ตองการใหเอกสารฉบับดังกลาวถือเปนสัญญาฉบับหนึ่งหรือเปนสวนหนึ่งของสัญญา ในการใหบริการ ก็อาจจําเปนตองพิจารณาเพิ่มเติมเน้ือหาเก่ียวกับขอจํากัดความรับผิด (Limitation of Liability) ไวในแนวนโยบายหรือแนวปฏิบัติ ดวย แตหากไมประสงคใหแนวนโยบายและแนวปฏิบัติ เปนสัญญาหรือสวนหนึ่งของสัญญาในการใหบ รกิ าร กอ็ าจจาํ เปน ตองมกี ารจัดทาํ สัญญาในการใหบ ริการ ผใู ชบรกิ าร หรอื คูกรณที ี่เก่ยี วขอ งซง่ึ มีขอ ความกาํ หนดเก่ียวกับขอจํากัดความรับผิดของบุคคลดังกลาว ในการใหบ ริการเอาไวดวย ๑. คาธรรมเนียม (Fees) สําหรับคา ธรรมเนียมในการใหบ รกิ ารนน้ั อาจกําหนดใหผใู หบริการออกใบรับรองอิเล็กทรอนิกส ซึ่งใหบ ริการออกใบรับรองอิเล็กทรอนิกส ผูใหบ ริการเก็บรกั ษาขอมลู หรือผูใหบริการในฐานะเจาหนาที่ รับลงทะเบียน จัดเก็บคาธรรมเนียมไดจากกรณีที่มีการออกใบรับรองอิเล็กทรอนิกส หรือตออายุ ใบรับรองดังกลาว (Certificate Issuance or Renewal Fees) คาธรรมเนียมในการเขาถึงใบรับรอง (Certificate Access Fees) การเขาถึงขอมูลเกี่ยวกับการเพิกถอนหรือสถานะลาสุดของใบรับรอง อิเล็กทรอนิกส คาธรรมเนียมสําหรับบริการอ่ืนๆ เชน การเขาถึงแนวนโยบายหรือแนวปฏิบัติ ท้ังนี้ ผูใหบ ริการออกใบรบั รองอเิ ลก็ ทรอนิกส อาจจดั ทํานโยบายในการคืนคา ธรรมเนียม (Refund Policy) ไวด ว ย ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 79
-๑๙- ๒. ความรับผดิ ชอบทางการเงิน (Financial Responsibility) เน้อื หาในสว นนค้ี วรกําหนดขึน้ เกี่ยวกบั ความรบั ผิดในการดําเนินการทเี่ กดิ ขึ้น (Operational PKI Responsibilities) การรกั ษาสถานะของผใู หบริการใหส ามารถชาํ ระหน้ีและจายคาเสียหายในกรณีที่ตอง รับผิดได (to Remain Solvent and Pay Damages) ท้ังน้ี อาจมีการเพ่ิมเติมเนื้อหาท่ีเก่ียวกับวงเงิน ประกันความเสียหายที่คุมครองความรับผิดที่เกิดข้ึน (Insurance Coverage for Liabilities) และความ รับผิดในอนาคต (Contingencies) สินทรัพยท่ีปรากฏในงบดุล (Assets on The Balance Sheet) หนังสือค้ําประกัน (Surety Bond) เล็ตเตอร ออฟ เครดิต (Letter of Credit) คาสินไหมทดแทน (Indemnity) และอาจใหค วามคุมครองเพม่ิ เตมิ ดวยการกําหนดเกีย่ วกบั การประกันภัย (Insurance) หรือ การใหค าํ รบั รอง (Warranty) ๓. การรักษาความลับของขอมูลทางธรุ กจิ (Confidentiality of Business Information) ดว ยขอมูลบางประเภทเปนความลับทางธุรกิจที่จําเปนตองเก็บไวเปนความลับ เชน แผนทาง ธุรกิจ (Business Plan) ขอ มูลการขาย (Sales Information) ความลับทางการคา (Trade Secrets) และ ขอมูลที่ไดจากบุคคลที่สามภายใตขอตกลงไมเปดเผยความลับ (Nondisclosure Agreement) จงึ จําเปน ตองกาํ หนดขอบเขตในการรกั ษาความลับ ขอมูลทอี่ ยูนอกเหนือจากขอตกลงวาดวยการรักษา ความลับ และความรับผิดของบุคคลท่ีเกี่ยวของซ่ึงไดรับขอมูลลับน้ัน ทั้งน้ี อาจตองมีกลไกทําใหเกิด ความเช่ือม่ันวาจะมีการปกปองมิใหเกิดพฤติการณท่ีกระทบตอความมั่นคงปลอดภัยของขอมูล (Compromise) ๔. นโยบายในการรกั ษาความเปน สวนตวั หรือขอ มลู สว นบุคคล (Privacy of Personal Information) ในการใหบ รกิ ารของผใู หบ รกิ ารออกใบรับรองอิเลก็ ทรอนิกส เจาหนา ที่รับลงทะเบยี น หรอื บุคคล อ่ืนๆ ซ่งึ ใหบริการท่เี กี่ยวของน้นั จาํ เปน ตองใหความสําคัญสําหรับการรักษาความเปนสวนตัวหรือเก็บ ขอมูลสว นบคุ คลของผใู ชบ ริการไวเปนความลับ จะเปดเผยไดเพียงขอมูลบางอยางเทาน้ัน เชน ขอมูล ทตี่ อ งเผยแพรโดยการบนั ทึกไวในใบรบั รองอิเล็กทรอนิกส ไดแ ก ชอ่ื ช่ือสกุล ของผใู ชบริการ เปน ตน ดงั น้ัน การดําเนินการเก่ียวกับขอมูลสวนบุคคลจึงตองดําเนินการตามกฎหมายวาดวยการน้ัน หรือกรณีที่ยังไมมีการใชบังคับกฎหมายเชนวานั้น ก็อาจจําเปนตองดําเนินการตามหลักเกณฑในการ ใหค วามคมุ ครองในเรือ่ งดงั กลา วตามมาตรฐานสากล เชน ตามแนวทางของ OECD Guidelines ดวยเหตุน้ี ในการดําเนินการใดๆ เกี่ยวกับขอมูลสวนบุคคล จึงควรไดรับความยินยอมจาก ผูใชบริการ กอนจะมีการเปดเผยขอมูลสวนบุคคลดังกลาว ทั้งนี้ จะตองกําหนดขอยกเวนกรณี ที่จําเปนตองมีการเปดเผยขอมูลสวนบุคคลในกรณีที่ตองดําเนินการตามกฎหมายฉบับตางๆ หรือ เม่ือมคี ําส่งั ศาล หรือเมื่อมคี ําสง่ั ทางปกครอง เปน ตน ไวด ว ย ๕. ทรพั ยสนิ ทางปญญา (Intellectual Property Rights) ใหกําหนดเรื่องทรัพยสินทางปญญา อันไดแก ลิขสิทธิ์ สิทธิบัตร เครื่องหมายการคา หรือ ความลับทางการคาซึ่งบุคคลที่เกี่ยวของอาจมีหรือใชสิทธิเรียกรองตามที่กําหนดไวในแนวนโยบาย ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 80
-๒๐- แนวปฏบิ ัติ ใบรับรองอิเลก็ ทรอนกิ ส ช่ือ กุญแจ หรือภายใตการอนญุ าตหรอื ท่ีกําหนดไวในขอตกลงใดๆ กับบคุ คลท่ีเก่ียวของ ๖. คาํ รับรอง (Representations and Warranties) ในสวนนจี้ ะกาํ หนดใหบ คุ คลท่ีเกี่ยวของทําคํารับรองในเร่ืองตางๆ ที่กําหนดไวในแนวนโยบาย หรือแนวปฏิบตั ิ เชน การกาํ หนดใหผูใหบ รกิ ารออกใบรับรองอเิ ล็กทรอนิกส ตองใหการรับรองวา ขอมูล หรือขอเทจ็ จริงทีบ่ นั ทกึ ไวในใบรบั รองอิเล็กทรอนิกสน นั้ ถูกตอ ง ตามที่ไดม กี ารกาํ หนดใหแนวปฏบิ ตั ิเปน ขอตกลงในการใหบริการ รวมทั้งกรณีมีการกําหนดใหมีการใหคํารับรองท่ีกําหนดไวในสัญญาหรือ ขอตกลงอ่ืนๆ เชน ขอตกลงในการใหบริการกับผูใชบริการ (Subscriber Agreement) และขอตกลง ในการใหบ รกิ ารกบั คูกรณีที่เก่ียวของ (Relying Party Agreement) ๗. การปฏเิ สธความรบั ผดิ ตามคํารบั รอง (Disclaimers of Warranties) ในเนอื้ หาของแนวนโยบายหรอื แนวปฏิบัติน้ัน ใหมีการกําหนดเกี่ยวกับการปฏิเสธความรับผิด ตามคาํ รบั รองหรอื กําหนดเนือ้ หาเกีย่ วกับเร่อื งดังกลา วไวใ นสญั ญาในการใหบริการฉบบั ตาง ๆ ๘. ขอจาํ กัดความรับผดิ (Limitations of Liability) ในการใหบรกิ ารนัน้ อาจมกี ารกาํ หนดเกี่ยวกบั ขอจาํ กดั ความรับผดิ ไวด ว ยก็ได โดยอาจพิจารณา จากลกั ษณะของการจํากัดความรับผิด และจํานวนเงินคาเสียหายท่ีจํากัดความรับผิด เชน คาเสียหาย อันเน่ืองมาจากการผิดสัญญา (Incidental Damages) คาเสียหายจากการสูญเสียกําไรในอนาคต (Consequential Damages) ๙. คาสนิ ไหมทดแทน (Indemnities) สําหรับการชดใชคาสินไหมทดแทนน้ัน อาจมีการกําหนดใหคูสัญญาฝายใดตองรับผิด ท้ังนี้ โดยอาจมีการกาํ หนดไวในแนวนโยบาย แนวปฏิบัติ หรือสัญญา หรอื ขอ ตกลงตา งๆ เชน การกําหนดให ผูใชบรกิ ารตอ งรับผดิ ในการชดใชคาสินไหมทดแทนกรณที ี่ผูใชบรกิ ารไดแ ถลงขอ มูลหรอื ขอเท็จจริงของ ตนที่ตองบันทึกไวในใบรับรองอิเล็กทรอนิกสเปนเท็จหรือไมตรงกับความจริง หรือกรณีที่คูกรณี ท่ีเก่ียวของตองรับผิดชดใชคาสินไหมทดแทนท่ีเกิดข้ึนกับผูใหบริการออกใบรับรองอิเล็กทรอนิกส ในกรณที ่ีไมตรวจสอบการเพกิ ถอนใบรบั รองอเิ ล็กทรอนิกส สําหรบั ในบทท่ี ๙ น้ี นอกจากหัวขอ ขางตน แลว อาจมีการกาํ หนดเนอ้ื หาเกย่ี วกับการเลิกสัญญา การติดตอสื่อสารระหวางผูใหบริการและผูใชบริการ การแกไขปรับปรุงแนวนโยบาย หรือแนวปฏิบัติ การระงับขอพพิ าท กฎหมายท่ีใชบังคับ รวมท้ังเน้ือหาอ่ืนๆ ท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกส ประสงคจ ะกําหนดเพ่มิ เตมิ ไดอ กี ดวย เอกสารอางองิ Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 3647) ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 81
ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 82
ประกาศคณะกรรมการธุรกรรมทางอเิ ล็กทรอนิกส เรื่อง หลักเกณฑและวธิ ีการในการจัดทําหรอื แปลงเอกสาร และขอ ความใหอ ยใู นรปู ของขอมลู อเิ ลก็ ทรอนกิ ส พ.ศ. ๒๕๕๓ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 83
ชือ่ กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เร่ือง หลักเกณฑและวิธีการในการจัดทําหรือ แปลงเอกสารและขอความใหอ ยใู นรูปของขอมูลอเิ ล็กทรอนกิ ส พ.ศ. ๒๕๕๓ ประกาศในราชกิจจานุเบกษา เลม ๑๒๗ / ตอนพเิ ศษ ๑๒๔ ง / หนา ๔๗ / วนั ท่ี ๒๖ ตลุ าคม ๒๕๕๓ เร่ิมบงั คบั ใช วนั ท่ี ๒๗ ตลุ าคม ๒๕๕๓ สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 84
เลม ๑๒๗ ตอนพิเศษ ๑๒๔ ง หนา ๔๗ ๒๖ ตลุ าคม ๒๕๕๓ ราชกิจจานเุ บกษา ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เร่ือง หลักเกณฑแ ละวธิ ีการในการจัดทําหรอื แปลงเอกสารและขอความใหอยใู นรูปของ ขอมลู อิเลก็ ทรอนกิ ส พ.ศ. ๒๕๕๓ โดยที่พัฒนาการทางเทคโนโลยีในปจจุบันทําใหรูปแบบและวิธีการในการติดตอส่ือสาร การรับสงเอกสารและขอมูล ตลอดจนการทําธุรกรรมปรับเปลี่ยนไปเปนรูปแบบของธุรกรรม ทางอเิ ลก็ ทรอนกิ สม ากขน้ึ รวมถึงเอกสารหรือขอความทีไ่ ดมกี ารจัดทําหรือแปลงใหอยูในรูปของขอมูล อิเล็กทรอนิกสในภายหลัง และโดยท่ีกฎหมายวาดวยธุรกรรมทางอิเล็กทรอนิกสกําหนดใหการจัดทํา หรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกสเปนไปตามหลักเกณฑและวิธีการ ทคี่ ณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกสกําหนด อาศัยอํานาจตามความในมาตรา ๑๒/๑ วรรคสอง แหงพระราชบัญญัติวาดวยธุรกรรม ทางอเิ ลก็ ทรอนกิ ส พ.ศ. ๒๕๔๔ ซึ่งแกไ ขเพ่มิ เตมิ โดยพระราชบัญญัติวาดวยธรุ กรรมทางอเิ ล็กทรอนิกส (ฉบับที่ ๒) พ.ศ. ๒๕๕๑ คณะกรรมการธุรกรรมทางอเิ ล็กทรอนกิ สจ งึ ออกประกาศไว ดังตอ ไปน้ี ขอ ๑ ประกาศน้ีเรียกวา “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง หลักเกณฑ และวิธกี ารในการจดั ทําหรอื แปลงเอกสารและขอความใหอ ยใู นรูปของขอมูลอิเล็กทรอนกิ ส พ.ศ. ๒๕๕๓” ขอ ๒ ในประกาศนี้ “การจดั ทําหรือแปลงเอกสารและขอ ความใหอ ยูในรูปของขอมลู อเิ ล็กทรอนิกส” หมายความวา การจดั ทาํ หรือแปลงเอกสารและขอ ความตามประกาศคณะกรรมการธุรกรรมทางอเิ ล็กทรอนิกสฉ บับน้ี “ผูจัดทาํ หรอื แปลง” หมายความวา บุคคลผจู ัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของ ขอมูลอิเล็กทรอนิกส และใหหมายความรวมถึง บุคคลผูจัดทําหรือแปลงขอความเสียง หรือวีดิทัศน ใหอ ยูในรปู ของขอมูลอเิ ล็กทรอนิกส “เอกสาร” หมายความวา กระดาษหรอื วัตถุอนื่ ใดซ่ึงไดทําใหปรากฏความหมายดวยตัวอักษร ตัวเลข ผงั หรอื แผนแบบอยา งอื่นจะเปนโดยวธิ ีพมิ พ ถา ยภาพหรอื วิธอี ่นื อนั เปน หลักฐานแหงความหมายนน้ั “เมตาดาตา” (Metadata) หมายความวา ขอมลู ที่ใชก ํากบั และอธบิ ายขอมูลอ่ืน สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 85
เลม ๑๒๗ ตอนพิเศษ ๑๒๔ ง หนา ๔๘ ๒๖ ตลุ าคม ๒๕๕๓ ราชกิจจานุเบกษา ขอ ๓ การจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส ใหเปนไปตามหลกั เกณฑและวิธกี ารดงั ตอ ไปน้ี (๑) ขอมูลอิเล็กทรอนิกสท่ีจัดทําหรือแปลงตองมีความหมายหรือรูปแบบเหมือนกับเอกสาร และขอความเดิมซ่ึงนํามาจัดทําหรือแปลงใหอยูในรูปของขอมูลอิเล็กทรอนิกส โดยผูจัดทําหรือแปลง จะตองตรวจสอบและรับรองวาขอมูลอิเล็กทรอนิกสน้ัน มีความหมายหรือรูปแบบเหมือนกับเอกสาร และขอ ความเดมิ (๒) ขอมูลอิเล็กทรอนิกสตองจัดทําหรือแปลงข้ึนดวยวิธีการท่ีเช่ือถือไดในการระบุตัวตน ผูจัดทาํ หรือแปลงทร่ี บั ผดิ ชอบในการจัดทาํ หรือแปลงนัน้ (๓) ขอ มูลอเิ ลก็ ทรอนิกสตองจัดทาํ หรือแปลงโดยมีเทคโนโลยแี ละมาตรการปองกันมิใหมีการ เปลี่ยนแปลงหรือแกไขเกิดข้ึนกับขอมูลน้ัน เวนแตการรับรองหรือบันทึกเพิ่มเติม ซึ่งไมมีผลตอ ความหมายของขอ มลู อิเล็กทรอนกิ ส รายละเอียดของวิธีการในการจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูล อเิ ล็กทรอนกิ สใ หเ ปน ไปตามท่กี ําหนดไวในขอ ๔ ถึงขอ ๙ ขอ ๔ การจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส ใหมกี ระบวนการในการจดั ทาํ หรือแปลงเอกสารและขอความอยา งนอย ดงั น้ี (๑) กระบวนการจัดทําหรอื แปลงเอกสารและขอความใหเปนขอมูลอิเล็กทรอนิกสดวยวิธีการ ทางอเิ ลก็ ทรอนิกส (๒) กระบวนการตรวจสอบและรับรองวาขอมูลอิเล็กทรอนิกสท่ีจัดทําหรือแปลงนั้น มคี วามหมายเหมอื นกบั เอกสารและขอความเดิม (๓) กระบวนการบันทึกหลักฐานการดําเนินงานการจัดทําหรือแปลงเอกสารและขอความ ใหอยใู นรปู ของขอ มูลอิเลก็ ทรอนิกส (๔) กระบวนการบันทึกเมตาดาตาในรูปแบบอเิ ลก็ ทรอนกิ สทีเ่ ปนขอ ความบรรยายสาระสําคัญ ของเอกสารและขอ ความ ซ่ึงตองครอบคลมุ ใหสามารถสืบคนเอกสารและขอ ความนัน้ ไดถ ูกตอง สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 86
เลม ๑๒๗ ตอนพิเศษ ๑๒๔ ง หนา ๔๙ ๒๖ ตลุ าคม ๒๕๕๓ ราชกิจจานเุ บกษา ขอ ๕ การจัดทําหรือแปลงเอกสารและขอความดวยวิธีการทางอิเล็กทรอนิกส ใหมี ผรู ับผิดชอบดาํ เนินงานในการจดั ทําหรอื แปลงในเรอ่ื งของวธิ ีการดังกลา วอยางนอ ยดังตอไปนี้ (๑) จดั ทาํ หรอื แปลงเอกสารและขอ ความใหอ ยูใ นรูปของขอมูลอิเลก็ ทรอนิกส (๒) ตรวจสอบและรับรองความถูกตองและครบถวนของขอมูลอิเล็กทรอนิกสท่ีไดจากการ จัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส วาขอมูลอิเล็กทรอนิกส มคี วามหมายหรือรูปแบบเหมือนกับเอกสารและขอความเดมิ (๓) ตรวจสอบกระบวนการจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูล อิเล็กทรอนกิ สใ หเ ปนไปตามท่กี ําหนดไว (๔) ตรวจสอบและรบั รองความถกู ตอ งและครบถวนของเมตาดาตา ตามขอ ๔ (๔) ขอ ๖ การจัดทําหรือแปลงเอกสารและขอความดวยวิธีการทางอิเล็กทรอนิกส ใหมีการ กาํ หนดมาตรการเกยี่ วกบั การรักษาความม่นั คงปลอดภยั ของขอมลู อเิ ล็กทรอนิกส ซ่ึงเปนวิธีการท่ีเช่ือถือได อยา งนอยตอ งครอบคลุมหัวขอตอไปน้ี (๑) การระบุตวั ตน (Identification) (๒) การยืนยันตัวตน (Authentication) (๓) อนญุ าตเฉพาะผูมีสทิ ธเิ ขา ถึง (Authorization) (๔) ความรบั ผดิ ชอบตอผลของการกระทาํ (Accountability) ทั้งน้ี เพ่ือใหสามารถยืนยันไดวา ขอมูลอิเล็กทรอนิกสท่ีมีการจัดทําหรือแปลงไดดําเนินการ โดยผูมีสิทธิในการเขาถึงเทาน้ัน ผูมีสิทธิในการเขาถึงดังกลาวใหหมายความรวมถึงผูรับผิดชอบ ดาํ เนินงานจัดทําหรอื แปลงและผทู ่ีมีสทิ ธติ รวจสอบตามขอ ๕ ดว ย ซึ่งจะเปน บุคคลเดียวกันหรือไมก็ได ขอ ๗ การจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกสนั้น ใหขอ มลู อเิ ล็กทรอนกิ สมีความละเอียดและความชดั เจนของเอกสารและขอ ความเดิม ขอ ๘ ใหผูจัดทําหรือแปลง มีหนาท่ีรักษาและดํารงสภาพของระบบการจัดทําหรือแปลง เอกสารไวใ หส มบูรณเ พ่ือใหม กี ารกาํ กบั ดูแลหรือการตรวจสอบไดตลอดเวลาจากคณะกรรมการธุรกรรม ท า ง อิ เ ล็ ก ท ร อ นิ ก ส ห รื อ ห น ว ย ง า น อ่ื น ท่ี ค ณ ะ ก ร ร ม ก า ร ธุ ร ก ร ร ม ท า ง อิ เ ล็ ก ท ร อ นิ ก ส ม อ บ ห ม า ย หรือหนวยงานที่กาํ หนดไวเปนอยางอน่ื ในประกาศฉบบั นี้ ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 87
เลม ๑๒๗ ตอนพิเศษ ๑๒๔ ง หนา ๕๐ ๒๖ ตลุ าคม ๒๕๕๓ ราชกจิ จานเุ บกษา ขอ ๙ การดําเนินการตามขอ ๔ ถึง ขอ ๘ ใหผ จู ดั ทําหรือแปลง จัดทําวิธีปฏบิ ัติที่สอดคลองกับ ลักษณะงานองคกรและประเภทของการทําธุรกรรมอยา งเหมาะสม โดยใหใชขอกําหนดวิธีปฏิบัติท่ัวไป หรือตามขอกําหนดวิธีปฏิบัติเฉพาะธุรกรรมบางประเภท ในการจัดทําหรือแปลงเอกสารและขอความ ใหอยูในรูปของขอมูลอิเล็กทรอนิกสตามขอกําหนดแนบทายประกาศนี้เปนมาตรฐานข้ันตํ่าในการ ดาํ เนินงานแลว แตกรณี ขอ ๑๐ ประกาศน้ีใหใชบ งั คบั ต้ังแตวนั ถัดจากวนั ประกาศในราชกิจจานเุ บกษาเปนตน ไป ประกาศ ณ วนั ท่ี ๓๐ กนั ยายน พ.ศ. ๒๕๕๓ จตุ ิ ไกรฤกษ รัฐมนตรีวา การกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ประธานกรรมการธรุ กรรมทางอิเล็กทรอนิกส ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 88
ขอ กาํ หนดแนบทายประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรอื่ ง หลักเกณฑแ ละวธิ กี ารในการจดั ทําหรอื แปลงเอกสารและขอความ ใหอ ยใู นรปู ของขอมูลอเิ ล็กทรอนกิ ส พ.ศ. ๒๕๕๓ ฉบบั ท่ี ๑ วา ดว ยขอกําหนดวิธีปฏบิ ตั ิในการจดั ทําหรือแปลงเอกสารและขอความ ใหอ ยูใ นรูปของขอ มลู อิเล็กทรอนกิ ส ------------------------------- หมวด ๑ บทท่ัวไป ขอ ๑ ในการจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส ใหผูจัดทําหรือแปลงปฏิบัติตามขอกําหนดนี้เปนมาตรฐานข้ันต่ํา เวนแตมาตรฐานข้ันต่ําในบางเรื่องนั้น จะมิไดถกู นํามาใช หมวด ๒ วธิ ีจัดทาํ หรือแปลงเอกสารและขอความ ขอ ๒ ผูจัดทําหรือแปลงตองตรวจสอบเอกสารและขอความท่ีจะนําไปจัดทําหรือแปลงใหเปน ขอมูลอิเล็กทรอนิกส โดยพิจารณาความครบถวนของขอความทั้งหมด จํานวนหนา การจัดเรียงลําดับ เนอ้ื หา รูปแบบของการนําเสนอเอกสารและขอความ และตองบันทึกแหลงที่มาของเอกสารและขอความ นั้น ในกรณีท่ีเอกสารหรือขอความท่ีจัดทําหรือแปลงนั้นเปนเอกสารตนฉบับ หรือสําเนา ก็ใหบันทึกและ แสดงโดยชัดแจง ถงึ ลักษณะเอกสารหรือขอ ความนนั้ ดวยวาเปนตน ฉบับหรือสําเนา ขอ ๓ มาตรฐานขั้นต่ําสําหรบั ความละเอยี ดของภาพ (Resolution) คือ (๑) ภาพลายเสน หรอื ภาพขาวดาํ อยางนอ ย 150 จดุ ตอนว้ิ (dot per inch หรือ dpi) (๒) ภาพสเี ทา อยางนอย 200 จุดตอนิว้ (๓) ภาพสี อยา งนอ ย 300 จุดตอ นิ้ว (๔) ภาพสําหรบั งานเวบ็ อยางเดยี ว อยางนอ ย 72 จดุ ตอ น้ิว ขอ ๔ มาตรฐานขนั้ ตํ่าสําหรบั ความละเอียดของสี (Bit Depth) คือ (๑) ภาพขาว-ดาํ มีคา ความละเอยี ดของสเี ทา กบั 1 บติ (bit) (๒) ภาพสีเทา (grayscale) มีคาความละเอียดของสีเทา กับ 8 บติ (๓) ภาพสี มีคาความละเอียดของสเี ทา กับ 24 บิต ขอ ๕ มาตรฐานข้ันตํ่าสําหรับการแปลงสัญญาณอนาล็อกเปนสัญญานดิจิทัล ในกรณีที่ขอความ เปนเสียงตองมีอัตราสุมขอมูลสัญญาณเสียงข้ันตํ่าที่ 44.1 กิโลเฮิรตซ (kHz) และจํานวนของขอมูล สัญญาณเสยี งท่สี มุ ข้นั ต่าํ ที่ 16 บติ ขอ ๖ มาตรฐานขั้นต่ําสําหรับการแปลงสัญญาณอนาล็อกเปนสัญญานดิจิทัล ในกรณีที่ขอความ เปน วีดทิ ศั น ตอ งมีมาตรฐานข้นั ตา่ํ ดังน้ี ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 89
-๒- (๑) อัตราการสุมขอมูลตัวอยางความสวาง5ของแสง (Luminance) มีมาตรฐานข้ันตํ่าที่ 13.5 เมกกะเฮิรตซ (MHz) (๒) จํานวนขอมูลตัวอยางความสวางของแสง มีมาตรฐานข้ันต่ําที่ 8 บิตตอจุดภาพ (bits per pixel: bpp) (๓) จาํ นวนขอมูลตัวอยางความเขม ของสี (Chrominance) มีมาตรฐานข้ันตํ่าท่ี 4 บิตตอจุดภาพ (bits per pixel: bpp) (๔) คาความสวางของแสง (Luminance Resolution) เทากับ 720 จุดตอภาพ (pixel) x 485 เสน (active line) (๕) คาความละเอียดของสี (Chrominance Resolution) เทากับ 360 จุดตอภาพ (pixel) x 485 เสน (active line) ขอ ๗ ผูจัดทําหรือแปลงตองต้ังชื่อไฟลขอมูลอิเล็กทรอนิกสที่มีความหมายส่ือถึงเนื้อหาของ ขอมูลเพอ่ื สามารถสบื คน ได ชือ่ ไฟลดังกลา วจะตองไมซํา้ กัน ขอ ๘ เมื่อดําเนินการแลว ผูจัดทําหรือแปลงตองตรวจทานความถูกตอง ครบถวน ของขอมูล อิเลก็ ทรอนิกสท ่ไี ดจ ัดทําหรอื แปลงดว ย หมวด ๓ การตรวจสอบและรับรอง ขอ ๙ ผูจดั ทาํ หรอื แปลงตองจดั ใหมีการตรวจสอบและการรับรองคุณภาพกระบวนการจัดทําหรือ แปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส และการตรวจสอบและรับรองคุณภาพ ขอมูลอเิ ลก็ ทรอนิกส และจัดใหม ีการรายงานการตรวจสอบและรบั รองคุณภาพ เพื่อใชในการยืนยันระบบ การจดั การของตน ขอ ๑๐ การตรวจสอบและรบั รองคุณภาพตองครอบคลมุ ถึงเรอ่ื ง ดังตอไปน้ี (๑) คณุ ภาพของเครือ่ งมอื และอุปกรณท ีใ่ ชในการดําเนนิ การ (๒) ขนั้ ตอนการดําเนนิ การ (๓) คุณภาพและความถกู ตองของขอมลู อเิ ลก็ ทรอนกิ สท ีผ่ า นการจดั ทาํ หรือแปลง (๔) คณุ ภาพและความถกู ตอ งของขอมูลอิเล็กทรอนิกสทใี่ ชใ นการระบุตวั ตนของผจู ัดทําหรอื แปลง ขอ ๑๑ ในกรณีการดําเนินการสําหรับขอมูลอิเล็กทรอนิกสท่ีมีปริมาณมาก หรือการรวมขอมูล จํานวนมากเปน ชุดเดียว การตรวจสอบและรบั รองอาจใชก ารสมุ ตวั อยา งในเชิงสถติ ิ เพื่อตรวจสอบได หมวด ๔ การบันทกึ ขอ ๑๒ ผูจัดทําหรือแปลงตองจัดใหมีการบันทึกการดําเนินการไวเปนหลักฐาน โดยตองบันทึก รายการ ดงั ตอไปนี้ (๑) ชือ่ หรอื รายการขอ มูลอิเล็กทรอนกิ สท ีจ่ ัดทําหรือแปลง (๒) ช่อื ผจู ดั ทําหรือแปลง ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 90
-๓- (๓) โปรแกรมและรปู แบบที่ใชในการจดั ทาํ หรือแปลง (๔) วนั เดือน ป และเวลาที่จดั ทาํ หรือแปลง (๕) หลักฐานการตรวจสอบและรับรองคุณภาพและความถูกตองของขอมูลอิเล็กทรอนิกส วามีความหมายเหมือนกบั เอกสารและขอ ความเดมิ ขอ ๑๓ ผูจัดทําหรือแปลงตองจัดใหมีการบันทึกเมตาดาตา (Metadata) ที่แสดงสาระสําคัญ อันเปนคุณลักษณะเฉพาะและรายละเอียดของขอมูลอิเล็กทรอนิกสน้ันๆ โดยจะตองประกอบดวย สวนประกอบสําคัญของขอมูลอิเล็กทรอนิกส ไดแก เนื้อหา (เชน ชื่อเรื่อง หัวเร่ือง ตนฉบับ/แหลงท่ีมา ขอบเขต) บริบท (เชน ทรัพยสินทางปญญาหรือสิทธิในงานนั้น ผูสรางสรรคผลงาน ผูมีสวนรวม ในผลงาน) และโครงสรา ง (เชน วนั เดือน ป ท่สี รา งผลงาน ประเภทของเน้ือหา รูปแบบของการนําเสนอ ผลงาน ตัวบงช้ีหรือตัวระบุถึงทรัพยากร) ซ่ึงจะชวยใหสามารถสืบคนเอกสารและขอความไดอยาง ถกู ตอ งและมปี ระสทิ ธิภาพ หมวด ๕ ผูร ับผิดชอบ ขอ ๑๔ ใหผ ูจดั ทาํ หรอื แปลงกาํ หนดตวั บุคคลผรู บั ผิดชอบในเรอ่ื งดงั ตอ ไปน้ี ใหชัดเจน (๑) ผูจดั ทําหรือแปลงเอกสารและขอ ความใหอยใู นรูปของขอมลู อเิ ล็กทรอนิกส (๒) ผตู รวจสอบคุณภาพของขอมลู อิเลก็ ทรอนิกสท ี่ผา นการจดั ทาํ หรอื แปลง (๓) ผูตรวจสอบและรับรองกระบวนการจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของ ขอมูลอเิ ล็กทรอนกิ ส ตามขอ ๙ (๔) ผูตรวจสอบและรับรองความถูกตองและครบถวนของเมตาดาตา ตามขอ ๑๓ หมวด ๖ ความมั่นคงปลอดภัย ขอ ๑๕ ใหผูจัดทําหรือแปลงตองกําหนดมาตรการรักษาความม่ันคงปลอดภัยของขอมูล อิเล็กทรอนิกส ดวยวิธีการท่ีเชื่อถือได โดยใหครอบคลุมมาตรการเก่ียวกับการรักษาความม่ันคง ปลอดภยั ของขอ มลู อเิ ลก็ ทรอนิกส อยา งนอ ยตองครอบคลมุ หัวขอ ตอ ไปน้ี (๑) การลงทะเบียนผูใชงาน (user registration) โดยตองกําหนดใหมีข้ันตอนการปฏิบัติ สําหรับการลงทะเบียนผูใชงานเพ่ือแสดงตัวตนเพื่อรับการอนุญาตใหเขาถึงขอมูลอิเล็กทรอนิกส และ การตัดออกจากทะเบยี นของผใู ชงานเมื่อมกี ารยกเลกิ เพิกถอนการอนญุ าตดังกลา ว (๒) การบริหารจัดการสิทธิของผูใชงาน (user management) โดยตองจัดใหมีการควบคุม และจาํ กดั สิทธิเพื่อเขา ถงึ และใชงานขอ มลู อเิ ล็กทรอนิกสแ ตล ะชนดิ ตามความเหมาะสม (๓) การบริหารจัดการรหัสผานสําหรับผูใชงาน (user password management) โดยตอง จดั ใหมกี ระบวนการบริหารจัดการรหัสผานสาํ หรบั ผูใชงานอยางรัดกมุ (๔) การทบทวนสิทธิการเขาถึงของผูใชงาน (review of user access rights) โดยตองจัดให มกี ระบวนการทบทวนสทิ ธิการเขา ถงึ ของผใู ชง านขอ มลู อเิ ล็กทรอนิกสตามระยะเวลาท่ีกาํ หนดไว ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 91
-๔- (๕) การใชรหัสผาน (password use) โดยตองกําหนดแนวปฏิบัติท่ีดีสําหรับผูใชงานในการ กําหนดรหัสผาน การใชง านรหสั ผา น และการเปลีย่ นรหสั ผานทม่ี คี ุณภาพ (๖) การปองกันอุปกรณในขณะท่ีไมมีผูใชงานที่อุปกรณ ตองกําหนดขอปฏิบัติที่เหมาะสม เพือ่ ปองกันไมใ หผ ูไมมีสิทธิสามารถเขา ถงึ อุปกรณในขณะที่ไมม ผี ูดแู ล ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 92
ขอ กําหนดแนบทายประกาศคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนกิ ส เรอ่ื ง หลักเกณฑและวิธกี ารในการจดั ทําหรือแปลงเอกสารและขอ ความ ใหอ ยูในรูปของขอมลู อิเล็กทรอนกิ ส พ.ศ. ๒๕๕๓ ฉบับที่ ๒ วา ดว ยขอ กําหนดวธิ ปี ฏิบัตใิ นการจดั ทาํ หรอื แปลงเอกสารและขอความ ใหอ ยใู นรปู ของขอมลู อเิ ลก็ ทรอนิกส สาํ หรบั ระบบการหกั บัญชเี ช็คดวยภาพเชค็ และระบบการจดั เก็บภาพเช็ค --------------------------------------- หมวด ๑ การจดั ทําหรือแปลงเช็คตน ฉบับใหอยใู นรูปของขอมูลอิเลก็ ทรอนิกส ขอ ๑ ธนาคารผูจัดทําหรือแปลงตองตรวจสอบความสมบูรณของตัวเช็คตามกฎหมาย และ ตรวจสอบการปลอมแปลงตวั เชค็ โดยตรวจจากเนือ้ กระดาษ ขนาดของตวั เช็ค และลายนํ้ากลาง กอนที่จะ นาํ เขา ระบบการจดั ทําหรอื แปลงเช็คตน ฉบับใหอ ยูในรปู ของขอมูลอเิ ล็กทรอนกิ ส ขอ ๒ เชค็ ทจี่ ะนําเขา ระบบการจัดทําหรอื แปลงเช็คตนฉบับใหอยูในรูปของขอมูลอิเล็กทรอนิกส ตอ งเปนตนฉบับเทานนั้ ขอ ๓ ขอมูลอิเล็กทรอนิกสท่ีจะสงเขาระบบการหักบัญชีเช็คดวยภาพเช็คและระบบการจัดเก็บ ภาพเช็คใหประกอบดวยขอมูลเช็ค ภาพเช็ค และเมตาดาตา (Metadata) โดยตองมีโครงสรางและ สาระสาํ คัญของธุรกรรมครบถวนถูกตองตามระเบียบธนาคารแหงประเทศไทยวาดวยระบบการหักบัญชี เช็คดว ยภาพเช็คและระบบการจดั เกบ็ ภาพเช็ค ทั้งน้ี เมตาดาตา (Metadata) ตามวรรคหนึ่ง ตองสามารถแสดงสาระสําคัญที่เปนคุณลักษณะ และรายละเอียดตามลักษณะเฉพาะของขอมูลอิเล็กทรอนิกสนั้นๆ เชน คาแสดงผลการตรวจสอบ ความสมบูรณข องเช็คตน ฉบบั (Physical Condition Tag) คาแสดงผลการตรวจสอบภาพเชค็ (IQA Tag) ขอ ๔ ธนาคารผูจัดทําหรือแปลงตองจัดใหมีระบบการจัดทําหรือแปลงเช็คตนฉบับใหอยูในรูป ของขอมูลอิเล็กทรอนิกส เพื่อใหไดภาพเชค็ ตามมาตรฐานภาพเช็คตามระเบียบธนาคารแหงประเทศไทย วาดว ยระบบการหักบญั ชเี ช็คดวยภาพเช็คและระบบการจัดเก็บภาพเช็ค ซ่ึงอยางนอยมาตรฐานดังกลาว ตองมีรปู แบบ ระดับสี และความละเอียด ดงั นี้ ภาพที่ ๑ : ดา นหนา กาํ หนดเปน JPEG 8-bit Grayscale 100 dpi ภาพท่ี ๒ : ดานหนา กาํ หนดเปน TIFF Black & White 200 dpi ภาพที่ ๓ : ดานหลงั กาํ หนดเปน TIFF Black & White 200 dpi ขอ๕ ธนาคารผูจัดทําหรือแปลงตองบันทึกขอมูลอิเล็กทรอนิกสท่ีไดจากการจัดทําหรือแปลงไว เปนไฟลขอมูลอิเล็กทรอนิกสโดยตั้งช่ือไฟลขอมูลอิเล็กทรอนิกสใหมีความหมายสื่อถึงเนื้อหาของขอมูล มีรูปแบบและโครงสรางของช่ือท่ีชวยใหสามารถติดตามหรือสืบคนไดงาย และชื่อไฟลจะตองไมซํ้ากัน ท้ังน้ี ใหเปนไปตามระเบียบธนาคารแหงประเทศไทยวาดวยระบบการหักบัญชีเช็คดวยภาพเช็คและ ระบบการจัดเกบ็ ภาพเชค็ สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 93
-๒- หมวด ๒ การตรวจสอบและรบั รองกระบวนการจดั ทาํ หรือแปลงเช็คตนฉบบั ใหอยูใ นรูปของ ขอมูลอเิ ลก็ ทรอนิกส และการรบั รองคุณภาพขอมลู อเิ ล็กทรอนิกส ขอ ๖ ธนาคารผูจัดทําหรือแปลงตองจัดใหมีระบบการตรวจสอบและรับรองกระบวนการจัดทํา หรอื แปลงเชค็ ตนฉบบั ใหอ ยูในรูปของขอมูลอิเล็กทรอนิกส และการรบั รองคุณภาพขอมูลอเิ ลก็ ทรอนกิ ส ขอ ๗ ธนาคารผูจัดทําหรือแปลงตองตรวจสอบคุณภาพของเครื่องมือหรืออุปกรณท่ีใชใน กระบวนการจัดทําหรือแปลงเช็คตนฉบับใหอยูในรูปของขอมูลอิเล็กทรอนิกส เพื่อใหม่ันใจวาเคร่ืองมือ หรืออุปกรณดังกลาวสามารถจัดทําหรือแปลงเช็คตนฉบับใหอยูในรูปของขอมูลอิเล็กทรอนิกสไดอยางมี ประสทิ ธภิ าพสมาํ่ เสมอ ขอ ๘ ธนาคารผูจัดทําหรือแปลงตองตรวจสอบกระบวนการจัดทําหรือแปลงเช็คตนฉบับใหอยู ในรูปของขอมูลอิเล็กทรอนิกส ใหดําเนินการไปตามข้ันตอนและกระบวนการปฏิบัติท่ีไดกําหนดไวใน คูมือการทํางานที่ธนาคารผูจัดทําหรือแปลงจัดทําขึ้น โดยจัดใหมีผูตรวจสอบและรับรองอยางนอยปละ หนึ่งคร้ัง และรายงานผลการตรวจสอบและรับรองเสนอผูบริหารของธนาคารผูจัดทําหรือแปลงและ ธนาคารแหงประเทศไทย ขอ ๙ ธนาคารผูจัดทําหรือแปลงตองตรวจสอบคุณภาพเพ่ือดูวาขอมูลอิเล็กทรอนิกสที่ไดจาก การจัดทําหรือแปลงนั้น สามารถอานได และมีความคมชัด ความสวาง ขนาด รูปแบบ เปนไปตาม มาตรฐานภาพเช็คตามที่กําหนดในระเบียบธนาคารแหงประเทศไทยวาดวยระบบการหักบัญชีเช็คดวย ภาพเช็คและระบบการจดั เก็บภาพเช็ค ขอ ๑๐ ธนาคารผจู ดั ทําหรอื แปลงตองรับรองคณุ ภาพและความถกู ตอ งของขอมูลอิเล็กทรอนิกส ที่ไดจากการจัดทําหรือแปลง โดยลงลายมือชื่ออิเล็กทรอนิกสกอนสงขอมูลอิเล็กทรอนิกสที่ไดจากการ จัดทําหรือแปลงเขาระบบการหักบัญชีเช็คดวยภาพเช็คและระบบการจัดเก็บภาพเช็ค เพื่อใหสามารถ ยืนยันไดวา ขอมูลอิเล็กทรอนิกสท่ีไดจากการจัดทําหรือแปลงมีความหมายหรือรูปแบบเหมือนกับเช็ค ตนฉบับ หมวด ๓ การบันทึกหลกั ฐานการดําเนินงาน ขอ ๑๑ ธนาคารผูจัดทําหรือแปลงตองบันทึกหลักฐานการดําเนินงานจัดทําหรือแปลงเช็ค ตนฉบับใหอยูในรูปของขอมูลอิเล็กทรอนิกส เพ่ือใชอางอิงการดําเนินงานและสถานะการดําเนินงาน ที่เกิดข้ึน รวมทั้งเพื่อใชในการตรวจสอบประวัติการจัดทําหรือแปลงเช็คตนฉบับใหอยูในรูปของขอมูล อเิ ลก็ ทรอนิกส โดยอยา งนอยตอ งมกี ารบนั ทกึ หลักฐานการดาํ เนินงาน ดังตอไปนี้ (๑) ช่ือไฟลข อ มลู อิเลก็ ทรอนิกส (๒) ช่ือผูดําเนินงานในแตละขั้นตอนของระบบการจัดทําหรือแปลงเช็คตนฉบับใหอยูในรูปของ ขอมูลอิเลก็ ทรอนกิ ส (๓) วัน เดอื น ปแ ละเวลาทด่ี าํ เนนิ งานในแตละข้นั ตอนของระบบการจัดทําหรือแปลงเช็คตนฉบับ ใหอยใู นรปู ของขอมลู อิเลก็ ทรอนิกส ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 94
-๓- หมวด ๔ มาตรการเก่ียวกับการรกั ษาความม่ันคงปลอดภัยของขอมูลอเิ ล็กทรอนิกส ขอ ๑๒ ธนาคารผจู ัดทาํ หรือแปลงตองจัดใหมีมาตรการเก่ียวกับการรักษาความม่ันคงปลอดภัย ของขอ มลู อิเล็กทรอนิกสทีเ่ ชื่อถือได อยางนอยตองครอบคลุมเร่ืองดงั ตอ ไปนี้ (๑) การระบุตัวตนผูดําเนินงาน (Identification) ในแตละข้ันตอนของระบบการจัดทําหรือแปลง เชค็ ตนฉบับใหอยูในรูปของขอมูลอเิ ลก็ ทรอนกิ ส (๒) การยืนยันตัวตนผูดําเนินงาน (Authentication) ในแตละขั้นตอนของระบบการจัดทําหรือ แปลงเชค็ ตนฉบับใหอยใู นรปู ของขอมลู อเิ ลก็ ทรอนกิ ส (๓) การอนุญาตเฉพาะผูมีสิทธิเขาถึงระบบการจัดทําหรือแปลงเช็คตนฉบับใหอยูในรูปของ ขอมูลอิเล็กทรอนิกส (Authorization) รวมท้ังจัดใหมีระบบการรักษาความม่ันคงปลอดภัยทางกายภาพ เพื่อปองกันไมใหผูที่ไมมีหนาท่ีเกี่ยวของเขาถึงระบบการจัดทําหรือแปลงเช็คตนฉบับใหอยูในรูปของ ขอ มลู อิเลก็ ทรอนกิ ส (๔) ความรับผิดชอบตอผลของการกระทํา (Accountability) โดยมีการบันทึกหลักฐาน การดําเนินงานจัดทําหรือแปลงเช็คตนฉบับใหอยูในรูปของขอมูลอิเล็กทรอนิกส เพ่ือปองกันการปฏิเสธ ความรับผิด และใชในการตรวจสอบประวัติการจัดทําหรือแปลงเช็คตนฉบับใหอยูในรูปของขอมูล อเิ ล็กทรอนกิ ส ทัง้ น้ี เพือ่ ใหส ามารถยนื ยนั ไดวา ขอ มลู อิเลก็ ทรอนิกสสําหรบั ระบบการหักบัญชีเช็คดวยภาพเช็ค และระบบการจดั เก็บภาพเช็คไดม กี ารจดั ทาํ หรอื แปลงทดี่ าํ เนนิ การโดยผูม สี ทิ ธิในการเขา ถงึ เทา นัน้ หมวด ๕ เบด็ เตล็ด ขอ ๑๓ ใหธนาคารแหงประเทศไทยเปนผูดูแลการดําเนินการตามขอกําหนดวิธีปฏิบัติน้ี และ ใหจัดทาํ รายงานเสนอคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกสทราบอยา งนอยปล ะหนงึ่ ครัง้ ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 95
ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 96
ประกาศคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส เรอื่ ง การรับรองส่ิงพิมพออก พ.ศ. ๒๕๕๕ ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 97
ชือ่ กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอเิ ล็กทรอนกิ ส เรอ่ื ง การรบั รองส่งิ พมิ พอ อก พ.ศ. ๒๕๕๕ ประกาศในราชกจิ จานเุ บกษา เลม ๑๒๙ / ตอนพิเศษ ๑๘ ง / หนา ๙ / วันที่ ๑๘ มกราคม ๒๕๕๕ เริ่มบงั คบั ใช วนั ท่ี ๑๙ มกราคม ๒๕๕๕ สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 98
เล่ม ๑๒๙ ตอนพิเศษ ๑๘ ง หน้า ๙ ๑๘ มกราคม ๒๕๕๕ ราชกจิ จานเุ บกษา ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส์ เรอื่ ง การรบั รองสงิ่ พิมพ์ออก พ.ศ. ๒๕๕๕ โดยที่กฎหมายว่าด้วยธุรกรรมทางอเิ ล็กทรอนิกส์กําหนดให้มีหน่วยงานรับรองส่ิงพิมพ์ออกของ ข้อมูลอิเล็กทรอนิกส์ เพื่อให้ส่ิงพิมพ์ออกสามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทน ตน้ ฉบบั ได้ อาศยั อํานาจตามความในมาตรา ๑๐ วรรคสี่ แห่งพระราชบัญญตั วิ า่ ดว้ ยธรุ กรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๔๔ ซงึ่ แก้ไขเพมิ่ เติมโดยพระราชบัญญตั วิ ่าด้วยธุรกรรมทางอเิ ล็กทรอนิกส์ (ฉบับที่ ๒) พ.ศ. ๒๕๕๑ คณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ สจ์ งึ ออกประกาศไว้ ดังต่อไปน้ี ขอ้ ๑ ประกาศนี้เรยี กว่า “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เร่ือง การรับรอง สง่ิ พมิ พอ์ อก พ.ศ. ๒๕๕๕” ข้อ ๒ ประกาศนใ้ี หใ้ ชบ้ งั คับต้งั แต่วันถดั จากวนั ประกาศในราชกจิ จานุเบกษาเป็นตน้ ไป ขอ้ ๓ ในประกาศน้ี “สิ่งพมิ พ์ออก” หมายความว่า ส่ิงพมิ พ์ออกของข้อมูลอิเล็กทรอนิกส์ท่ีมีการนําเสนอหรือเก็บรักษา เป็นเอกสารตน้ ฉบบั “ระบบการพิมพ์ออก” หมายความว่า ระบบท่ีใช้ในการนาํ เข้าข้อมูลอิเล็กทรอนิกส์ท่ีเป็น ต้นฉบบั ของส่ิงพมิ พอ์ อก และการจัดทําส่ิงพมิ พอ์ อกสาํ หรบั ใชอ้ ้างอิงขอ้ ความของข้อมลู อเิ ลก็ ทรอนิกส์ “คณะกรรมการ” หมายความว่า คณะกรรมการธุรกรรมทางอเิ ล็กทรอนกิ ส์ “หน่วยงานรับรองสิ่งพิมพ์ออก” หมายความว่า คณะกรรมการหรือหน่วยงานที่มีอํานาจ รบั รองส่ิงพิมพอ์ อกตามทีค่ ณะกรรมการประกาศกําหนด ขอ้ ๔ การจัดทําส่ิงพิมพ์ออกในกรณีดังต่อไปนี้ ให้ถือว่าได้มีการรับรองสิ่งพิมพ์ออกโดย หนว่ ยงานรบั รองสิ่งพิมพอ์ อกและมีผลใชแ้ ทนต้นฉบับได้ (๑) เจ้าของขอ้ มลู อเิ ลก็ ทรอนกิ ส์ ผู้ควบคุมขอ้ มลู อิเล็กทรอนิกส์ หรือบุคคลภายใต้บังคับของ เจ้าของข้อมูลอิเล็กทรอนิกส์หรือผู้ควบคุมข้อมูลอิเล็กทรอนิกส์ เป็นผู้จัดทําส่ิงพิมพ์ออกจากระบบ การพมิ พอ์ อกที่อยูภ่ ายใต้การควบคุมดูแลของเจ้าของข้อมูลอิเลก็ ทรอนกิ สห์ รอื ผูค้ วบคุมข้อมลู อิเล็กทรอนิกส์ (๒) หนว่ ยงานของรฐั ที่มีอํานาจในการเก็บรักษาหรอื ควบคุมขอ้ มูลอเิ ล็กทรอนกิ ส์ของบุคคลอื่น หรือบุคคลภายใต้บังคับหน่วยงานของรัฐ เป็นผู้จัดทําส่ิงพิมพ์ออกจากระบบการพิมพ์ออกที่อยู่ภายใต้ การควบคุมดูแลของหน่วยงานของรัฐนั้น สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 99
Search
Read the Text Version
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181
- 182
- 183
- 184
- 185
- 186
- 187
- 188
- 189
- 190
- 191
- 192
- 193
- 194
- 195
- 196
- 197
- 198
- 199
- 200
- 201
- 202
- 203
- 204
- 205
- 206
- 207
- 208
- 209
- 210
- 211
- 212
- 213
- 214
- 215
- 216
- 217
- 218
- 219
- 220
- 221
- 222
- 223
- 224
- 225
- 226
- 227
- 228
- 229
- 230
- 231
- 232
- 233
- 234
- 235
- 236
- 237
- 238
- 239
- 240
- 241
- 242
- 243
- 244
- 245
- 246
- 247
- 248
- 249
- 250
- 251
- 252
- 253
- 254
- 255
- 256
- 257
- 258
- 259
- 260
- 261
- 262
- 263
- 264
- 265
- 266
- 267
- 268
- 269
- 270
- 271
- 272
- 273
- 274
- 275
- 276
- 277
- 278
- 279
- 280
- 281
- 282
- 283
- 284
- 285
- 286
- 287
- 288
- 289
- 290
- 291
- 292
- 293
- 294
- 295
- 296
- 297
- 298
- 299
- 300
- 301
- 302
- 303
- 304
- 305
- 306
- 307
- 308
- 309
- 310
- 311
- 312
- 313
- 314
- 315
- 316
- 317
- 318
- 319
- 320
- 321
- 322
- 323
- 324
- 325
- 326
- 327
- 328
- 329
- 330
- 331
- 332
- 333
- 334
- 335
- 336
- 337
- 338
- 339
- 340
- 341
- 342
- 343
- 344
- 345
- 346
- 347
- 348
- 349
- 350
- 351
- 352
- 353
- 354
- 355
- 356
- 357
- 358
- 359
- 360
- 361
- 362
- 363
- 364
- 365
- 366
- 367
- 368
- 369
- 370
- 371
- 372
- 373
- 374
- 375
- 376
- 377
- 378
- 379
- 380
- 381
- 382
- 383
- 384
- 385
- 386
- 387
- 388
- 389
- 390
- 391
- 392
- 393
- 394
- 395
- 396
- 397
- 398
- 399
- 400
- 401
- 402
- 403
- 404
- 405
- 406
- 407
- 408
- 409
- 410
- 411
- 412
- 413
- 414
- 415
- 416
- 417
- 418
- 419
- 420
- 421
- 422
- 423
- 424
- 425
- 426
- 427
- 428
- 429
- 430
- 431
- 432
- 433
- 434
- 435
- 436
- 437
- 438
- 439
- 440
- 441
- 442
- 443
- 444
- 445
- 446
- 447
- 448
- 449
- 450
- 451
- 452
- 453
- 454
- 455
- 456
- 457
- 458
- 459
- 460
- 461
- 462
- 463
- 464
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 464
Pages:
