๑๓ มาตรา ๓๑ ใบรับรองหรือลายมอื ช่ืออิเล็กทรอนกิ สใหถือวามผี ลทางกฎหมายโดยไมตอง คำนึงถงึ (๑) สถานท่ีออกใบรับรองหรอื สถานท่สี รางหรือใชล ายมอื ชอ่ื อเิ ล็กทรอนิกส หรือ (๒) สถานทที่ ำการงานของผอู อกใบรบั รองหรือเจา ของลายมือชือ่ อเิ ล็กทรอนกิ ส ใบรับรองที่ออกในตางประเทศใหมีผลตามกฎหมายในประเทศเชนเดียวกับใบรับรอง ท่อี อกในประเทศ หากการออกใบรับรองดังกลา วไดใชร ะบบทเ่ี ชื่อถือไดไมน อยกวาระบบท่ีเช่ือถือ ไดต ามพระราชบัญญตั ินี้ ลายมือชื่ออิเล็กทรอนิกสที่สรางหรือใชในตางประเทศใหถือวามีผลตามกฎหมายใน ประเทศ เชนเดียวกับลายมือชื่ออิเล็กทรอนิกสที่สรางหรือใชในประเทศ หากการสรางหรือใช ลายมือชื่ออิเล็กทรอนิกสดังกลาวไดใชระบบที่เชื่อถือไดไมนอยกวาระบบที่เชื่อถือไดตาม พระราชบัญญัตินี้ ในการพิจารณาวาใบรับรองหรือลายมือชื่ออิเล็กทรอนิกสใดมีความเชื่อถือไดตามวรรคสอง หรือวรรคสาม ใหค ำนงึ ถงึ มาตรฐานระหวางประเทศและปจจยั อน่ื ๆ ท่เี กย่ี วของประกอบดวย หมวด ๓ ธรุ กิจบรกิ ารเกย่ี วกับธรุ กรรมทางอเิ ลก็ ทรอนกิ ส มาตรา ๓๒๒๐ บุคคลยอ มมีสทิ ธิประกอบธรุ กจิ บริการเกยี่ วกบั ธุรกรรมทางอิเลก็ ทรอนิกส แตในกรณีที่จำเปนเพื่อรักษาความมั่นคงทางการเงินและการพาณิชย หรือเพื่อประโยชนใน การเสริมสรางความนาเชื่อถือและยอมรับในระบบขอมูลอิเล็กทรอนิกส หรือเพื่อปองกัน ความเสียหายตอสาธารณชน ใหมีการตราพระราชกฤษฎีกากำหนดใหการประกอบธุรกิจบริการ เกี่ยวกับธุรกรรมทางอิเล็กทรอนิกสใดเปนกิจการที่ตองแจงใหทราบ ตองขึ้นทะเบียน หรือ ตอ งไดรบั ใบอนญุ าตกอ น แลว แตกรณี ในการกำหนดใหกรณีใดตองแจงใหทราบ ตองขึ้นทะเบียน หรือตองไดรับใบอนุญาต ตามวรรคหนึ่ง ใหกำหนดโดยพิจารณาจากผลกระทบที่อาจเกิดขึ้นจากการประกอบธุรกิจนั้น ประกอบกับความเหมาะสมในการควบคุมดูแลและการปองกันความเสียหายตามระดับ ความรุนแรงของผลกระทบทอ่ี าจเกดิ ข้นึ จากการประกอบธุรกิจดังกลาว ในการนี้ จะกำหนดใหหนวยงานของรัฐแหงหนึ่งแหงใดเปนผูรับผิดชอบใน การควบคุมดูแลในพระราชกฤษฎีกาที่ออกตามวรรคหนึ่งก็ได หากไมมีการกำหนดใหหนวยงาน ของรฐั แหง ใดเปนผูรับผดิ ชอบในการควบคมุ ดูแล ใหส ำนกั งานเปน ผรู ับผิดชอบในการควบคุมดูแล การประกอบธุรกิจบริการเก่ยี วกับธุรกรรมทางอิเล็กทรอนิกสตามพระราชกฤษฎีกาดงั กลาว ท้ังน้ี ใหหนวยงานของรัฐซึ่งเปนผูรับผิดชอบในการควบคุมดูแลตามพระราชกฤษฎีกาหรือสำนักงาน แลว แตกรณี แตงตัง้ พนกั งานเจาหนา ท่ีเพื่อปฏิบัตกิ ารใหเปนไปตามพระราชกฤษฎกี าดว ย ๒๐ มาตรา ๓๒ แกไ ขเพ่ิมเติมโดยพระราชบัญญตั ิวาดว ยธุรกรรมทางอิเลก็ ทรอนิกส (ฉบบั ที่ ๓) พ.ศ. ๒๕๖๒ 42 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์
๑๔ กอ นเสนอใหตราพระราชกฤษฎีกาตามวรรคหนึ่ง ตอ งจดั ใหมีการรับฟงความคิดเห็นของ ประชาชนตามความเหมาะสม และนำขอมลู ทีไ่ ดร ับมาประกอบการพจิ ารณา มาตรา ๓๓๒๑ ในกรณีที่มีพระราชกฤษฎีกากำหนดใหการประกอบธุรกิจบริการเก่ียวกับ ธรุ กรรมทางอิเล็กทรอนกิ สใดเปนกิจการทตี่ องแจงใหทราบ ผูทปี่ ระสงคจะประกอบธุรกิจดังกลาว ตองแจงตอพนักงานเจาหนาที่กอนเริ่มประกอบธุรกิจนั้น ตามหลักเกณฑ วิธีการ และเงื่อนไข ทก่ี ำหนดในพระราชกฤษฎกี า เมื่อพนักงานเจาหนาที่ไดรับแจง ใหออกใบรับแจงเพื่อเปนหลักฐานการแจงในวันท่ี รับแจงนั้นและใหผูแจงประกอบธุรกิจนั้นไดตั้งแตวันที่ไดรับใบรับแจงดังกลาว แตถาพนักงาน เจาหนาที่ตรวจพบในภายหลังวาการแจงไมถูกตองหรือไมครบถวน ใหมีอำนาจส่ังผูแจงแกไขให ถูกตองหรือครบถวนและนำผลการแกไขมาแสดงตอพนักงานเจาหนาที่ภายในระยะเวลา ท่กี ำหนด ในกรณีที่ผูประกอบธุรกิจไมแกไขหรือไมปฏิบัติตามคำสั่งของพนักงานเจาหนาที่ภายใน ระยะเวลาที่กำหนด ใหพนักงานเจาหนาที่สัง่ ใหผูนั้นหยดุ การใหบรกิ ารในสว นที่เกี่ยวกบั ธุรกรรม ทางอิเล็กทรอนิกสในการประกอบธุรกิจนั้นนับแตวันที่ครบกำหนดระยะเวลาตามวรรคสอง จนกวา จะแกไ ขใหถ ูกตอ งและครบถว นตามคำสงั่ ของพนักงานเจา หนาที่ ในการประกอบธุรกจิ ผูแ จง ตองปฏบิ ัติตามหลกั เกณฑท่ีกำหนดในพระราชกฤษฎีกาและ ตามประกาศที่คณะกรรมการกำหนด หลักเกณฑตามพระราชกฤษฎีกาดังกลาวใหกำหนดเรื่อง การชดใชหรอื เยยี วยาผูไดรบั ความเสียหายจากการประกอบธุรกจิ ไวดวย ถาผูแจงไมปฏิบัติตามหลักเกณฑการประกอบธุรกิจตามวรรคสี่ ใหพนักงานเจาหนาที่ มีคำสั่งหามมิใหผูน ้ันใหบริการในสวนที่เก่ียวกับธุรกรรมทางอิเล็กทรอนิกสในการประกอบธุรกิจนั้น จนกวา จะไดป ฏิบัตใิ หถ กู ตอ งครบถว นตามหลักเกณฑท ่ีกำหนดดงั กลาว ในกรณที ี่ผูแจงไมแกไขตามวรรคสามหรือไมปฏิบัตติ ามวรรคหาภายในระยะเวลาเกาสิบวัน นบั แตว ันที่หยุดหรือถกู หา มการใหบริการ ใหพ นักงานเจาหนา ท่ถี อนการรบั แจงของผนู ั้นออกจาก สารบบการรบั แจงและแจง เปน หนงั สอื ใหผ นู ้นั ทราบโดยเรว็ มาตรา ๓๓/๑๒๒ ในกรณีทีพ่ ระราชกฤษฎีกากำหนดใหการประกอบธุรกิจบริการเก่ียวกับ ธุรกรรมทางอิเล็กทรอนิกสใดเปน กจิ การทต่ี องขึ้นทะเบยี น ผูท ีป่ ระสงคจ ะประกอบธุรกิจดังกลาว ตองขอขึ้นทะเบียนตอ พนักงานเจาหนาท่ีกอนเริ่มประกอบธุรกจิ นั้น ตามหลักเกณฑ วิธีการ และ เงื่อนไขท่ีกำหนดในพระราชกฤษฎีกา เมื่อพนักงานเจาหนาที่ไดรับคำขอขึ้นทะเบียนแลว ใหออกใบรับการขอขึ้นทะเบียนเพื่อ เปนหลักฐานการขอขึ้นทะเบียนในวันที่ยื่นคำขอนั้น และหากพนักงานเจาหนาที่ตรวจสอบ เอกสารและหลักฐานการขึ้นทะเบียนแลวเห็นวาครบถวนและถูกตองตามที่กำหนดใน พระราชกฤษฎีกา ใหรบั ขึ้นทะเบยี นและแจง เปนหนังสือใหผขู อขน้ึ ทะเบียนทราบภายในสามสิบวัน ๒๑ มาตรา ๓๓ แกไขเพ่มิ เตมิ โดยพระราชบญั ญตั ิวาดว ยธุรกรรมทางอเิ ลก็ ทรอนกิ ส (ฉบับท่ี ๓) พ.ศ. ๒๕๖๒ 43 ๒๒ มาตรา ๓๓/๑ เพิม่ โดยพระราชบญั ญัตวิ า ดว ยธรุ กรรมทางอิเล็กทรอนกิ ส (ฉบับท่ี ๓) พ.ศ. ๒๕๖๒ ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์
๑๕ นับแตวันที่ไดรับคำขอขึ้นทะเบียนดังกลาว และใหผูขึ้นทะเบียนประกอบธุรกิจนั้นไดตั้งแตวันที่ ไดร บั ขนึ้ ทะเบยี น หากพนักงานเจาหนาที่ไมสามารถตรวจสอบใหแลวเสร็จไดภายในระยะเวลาตามวรรคสอง ใหผูขอขึ้นทะเบียนประกอบธุรกิจไปพลางกอนได นับแตวันถัดจากวันที่ครบกำหนดระยะเวลา ดงั กลาว ในกรณีที่พนักงานเจาหนาที่ตรวจสอบกอนการรับขึ้นทะเบียนตามวรรคสอง หรือตรวจ พบหลังจากที่ผูนั้นไดประกอบธุรกิจดังกลาวแลว วาเอกสารและหลักฐานการขึ้นทะเบียนของ ผูขอขึ้นทะเบียนไมครบถวนหรือไมถูกตอง ใหแจงเปนหนังสือแกผูขอขึ้นทะเบียนหรือ ผูขึ้นทะเบียนแลวแตกรณี เพื่อแกไขใหถูกตองและครบถวนภายในระยะเวลาที่กำหนด ในการน้ี ถาผูขอขึ้นทะเบียนหรือผูขึ้นทะเบียนไมแกไขใหถูกตองและครบถวน หรือไมดำเนินการจนพน กำหนดระยะเวลาที่พนักงานเจาหนาที่กำหนดโดยไมมีเหตุอันสมควร ใหสิทธิในการประกอบ ธุรกิจของผูขอขึ้นทะเบียนตามวรรคสามเปนอันระงับและใหถือวาคำขอขึ้นทะเบียนนั้นตกไป หรือใหมคี ำสัง่ เพกิ ถอนการขึน้ ทะเบยี นของผูป ระกอบธรุ กจิ นั้น แลว แตกรณี ในการประกอบธุรกิจ ผูขึ้นทะเบียนตองปฏิบัติตามหลักเกณฑที่กำหนดใน พระราชกฤษฎีกาและตามประกาศที่คณะกรรมการกำหนด หลักเกณฑตามพระราชกฤษฎีกา ดงั กลาวใหก ำหนดเรื่องการชดใชห รือเยยี วยาผูไ ดร บั ความเสยี หายจากการประกอบธรุ กจิ ไวดวย ถาผูขึ้นทะเบียนฝาฝนหรือไมปฏิบัติตามหลักเกณฑการประกอบธุรกิจตามวรรคหา ใหคณะกรรมการพิจารณามีคำสั่งปรับผูนั้นไมเกินหนึ่งลานบาท โดยคำนึงถึงความรายแรง แหงพฤติกรรมที่กระทำผิด หลักเกณฑในการพิจารณากำหนดคาปรับใหเปนไปตามที่ คณะกรรมการกำหนด และในกรณที ีเ่ ห็นสมควรคณะกรรมการอาจมีคำสง่ั ใหผ นู น้ั ดำเนนิ การใด ๆ เพอื่ แกไ ขใหถ กู ตองหรอื เหมาะสมได ถาผูถูกปรับตามวรรคหกไมชำระคาปรับ ใหคณะกรรมการมีอำนาจฟองคดีตอศาล ที่มีเขตอำนาจในการพิจารณาคดีอาญาเพื่อบังคับชำระคาปรับ ในการนี้ ถาศาลพิพากษาให ชำระคาปรับ หากผูนั้นไมชำระคาปรับภายในสามสิบวันนับแตวันที่ศาลมีคำพิพากษา ใหยึด ทรพั ยสินของผนู ้นั เพือ่ ชดใชแทนคา ปรบั แตมใิ หน ำมาตรการกักขังแทนคา ปรับมาใชแ กผนู ัน้ ในกรณีที่ผูกระทำผิดตามวรรคหกไมดำเนินการแกไขตามคำสั่งของคณะกรรมการ หรือ ฝาฝนหรือไมปฏิบัติตามหลักเกณฑการประกอบธุรกิจตามวรรคหาซ้ำอีกภายในระยะเวลาหน่ึงป นับแตว ันที่คณะกรรมการมคี ำสัง่ ปรบั คร้ังแรก คณะกรรมการอาจมีคำสงั่ เพิกถอนการขน้ึ ทะเบียน ของผูข้นึ ทะเบยี นนั้น ใหพ นกั งานเจาหนาทแี่ จง คำสั่งดังกลา วใหผูนัน้ ทราบโดยเรว็ มาตรา ๓๔๒๓ ในกรณีที่พระราชกฤษฎีกากำหนดใหการประกอบธุรกิจบริการเกี่ยวกับ ธุรกรรมทางอิเล็กทรอนิกสใดเปนกิจการที่ตองไดรับใบอนุญาต ใหผูที่ประสงคจะประกอบธุรกิจ ดงั กลาวย่นื คำขอรบั ใบอนญุ าตตอ พนักงานเจาหนาที่ตามท่ีกำหนดในพระราชกฤษฎีกา ๒๓ มาตรา ๓๔ แกไ ขเพ่ิมเติมโดยพระราชบัญญตั ิวา ดว ยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบับที่ ๓) พ.ศ. ๒๕๖๒ 44 สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์
๑๖ คุณสมบัติของผูขอรับใบอนุญาต หลักเกณฑและวิธีการขออนุญาต การออกใบอนุญาต การตออายใุ บอนุญาต การคืนใบอนญุ าต และการสง่ั พกั ใชหรือเพิกถอนใบอนุญาต ใหเปนไปตาม หลักเกณฑ วธิ กี าร และเงือ่ นไขที่กำหนดในพระราชกฤษฎกี า ในการประกอบธุรกิจ ผูไดรับใบอนุญาตตองปฏิบัติตามหลักเกณฑที่กำหนดใน พระราชกฤษฎีกา ประกาศที่คณะกรรมการกำหนด หรือเงื่อนไขในใบอนุญาต หลักเกณฑ ตามพระราชกฤษฎีกาดังกลาวใหกำหนดเรื่องการชดใชหรือเยียวยาผูไดรับความเสียหายจาก การประกอบธุรกจิ ไวด ว ย ในกรณีที่ผูไดรับใบอนุญาตฝาฝนหรือไมปฏิบัติตามหลักเกณฑการประกอบธุรกิจ ตามวรรคสาม ใหค ณะกรรมการพจิ ารณามีคำสั่งปรับผูนน้ั ไมเกนิ สองลานบาท และใหนำความใน มาตรา ๓๓/๑ วรรคหกและวรรคเจ็ด มาใชบ งั คับโดยอนุโลม ในกรณีที่ผูกระทำผิดตามวรรคสี่ไมดำเนินการแกไขตามคำสั่งของคณะกรรมการ หรือ ฝา ฝนหรือไมปฏิบัติตามหลักเกณฑการประกอบธรุ กิจตามวรรคสามซำ้ อีกภายในระยะเวลาหน่ึงป นับแตวันที่คณะกรรมการมีคำสั่งปรับครั้งแรก คณะกรรมการอาจมีคำสั่งเพิกถอนใบอนุญาต ของผไู ดรบั ใบอนุญาตนนั้ ใหพ นักงานเจา หนาที่แจง คำสัง่ ดงั กลา วใหผ นู ั้นทราบโดยเร็ว มาตรา ๓๔/๑๒๔ เพื่อประโยชนในการควบคุมดูแลการประกอบธุรกิจบริการเกี่ยวกับ ธุรกรรมทางอิเล็กทรอนิกสตามหมวดนี้ ใหคณะกรรมการ สำนักงานหรือหนวยงานของรัฐซึ่งเปน ผรู ับผดิ ชอบในการควบคมุ ดูแลตามมาตรา ๓๒ วรรคสาม ประกาศกำหนดรายละเอียดเพมิ่ เติมใน เรื่องที่กำหนดไวในพระราชกฤษฎีกาตามมาตรา ๓๒ ได โดยไมขัดหรือแยงกับพระราชกฤษฎีกา ดงั กลา ว มาตรา ๓๔/๒๒๕ เพื่อประโยชนในการควบคุมดูแลและกำกับการประกอบธุรกิจบริการ เกี่ยวกับธุรกรรมทางอิเล็กทรอนิกสใหเปนไปตามพระราชบัญญัตินี้หรือตามพระราชกฤษฎีกา ตามมาตรา ๓๒ ใหพนักงานเจาหนาที่ของหนวยงานของรัฐหรือสำนักงานที่มีหนาที่ควบคุมดูแล การประกอบธรุ กิจบรกิ ารเกีย่ วกับธุรกรรมทางอิเลก็ ทรอนิกสนัน้ มีหนา ที่และอำนาจ ดังตอไปนี้ (๑) มีหนังสือแจงใหผูใหบริการหรือเจาหนาที่ของผูใหบริการ หรือบุคคลใดมาใหขอมูล หรอื สงเอกสารหรือหลกั ฐานใด ๆ เกีย่ วกับการประกอบธุรกิจการใหบ ริการนน้ั (๒) ตรวจสอบและรวบรวมขอเท็จจริงเพื่อรายงานตอคณะกรรมการ ในกรณีท่ี ผูใหบริการไดกระทำความผิดหรือทำใหเกิดความเสียหายเพราะเหตุฝาฝนหรือไมปฏิบัติตาม พระราชบัญญัตินี้หรือตามพระราชกฤษฎีกา ประกาศของคณะกรรมการ หรือเงื่อนไขใน ใบอนุญาต (๓) เขาไปในสถานที่ของผูใหบริการในระหวา งเวลาพระอาทิตยขึ้นจนถึงพระอาทิตยตก หรือในเวลาทำการของสถานที่นั้น เพื่อตรวจสอบและรวบรวมขอเท็จจริง และยึดหรืออายัด ๒๔ มาตรา ๓๔/๑ เพ่มิ โดยพระราชบญั ญตั วิ า ดวยธรุ กรรมทางอเิ ล็กทรอนกิ ส (ฉบับท่ี ๓) พ.ศ. ๒๕๖๒ 45 ๒๕ มาตรา ๓๔/๒ เพมิ่ โดยพระราชบญั ญตั วิ า ดวยธรุ กรรมทางอิเลก็ ทรอนกิ ส (ฉบบั ที่ ๓) พ.ศ. ๒๕๖๒ สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์
๑๗ เอกสารและหลักฐาน รวมถึงสิ่งอื่นใดที่เกี่ยวกับการใหบริการที่สงสัยวามีไวเพื่อใชหรือไดใช ในการกระทำความผดิ ในการปฏบิ ัตหิ นา ที่ของพนักงานเจา หนา ทตี่ ามมาตรานี้ ใหแ สดงบัตรประจำตัวพนักงาน เจาหนาที่ที่หนวยงานของรัฐหรือสำนักงานที่มีหนาที่ควบคุมดูแลออกให และใหผูที่เกี่ยวของ อำนวยความสะดวกตามสมควร หมวด ๓/๑ ระบบการพสิ จู นแ ละยนื ยนั ตัวตนทางดิจิทัล๒๖ มาตรา ๓๔/๓๒๗ การพิสูจนและยืนยันตัวตนของบุคคลอาจกระทำผานระบบการพิสูจน และยืนยนั ตัวตนทางดิจิทัลได ผูใดประสงคจะอาศัยการพิสูจนและยืนยันตัวตนของบุคคลอ่ืนผานระบบการพิสูจนและ ยืนยันตัวตนทางดิจิทัลอาจแจงเงื่อนไขเกี่ยวกับความนาเชื่อถือของการพิสูจนและยืนยันตัวตน ทางดจิ ิทลั ทีต่ อ งใชใ หบ ุคคลอนื่ นั้นทราบเปนการลวงหนา และเม่อื ไดม ีการพิสูจนแ ละยืนยันตัวตน ทางดจิ ิทลั ตามเง่ือนไขดังกลาวแลว ใหส ันนิษฐานวาบุคคลที่ไดรับการพสิ ูจนและยืนยันตัวตนเปน บุคคลนัน้ จริง เงื่อนไขเกี่ยวกับความนาเชื่อถือของการพิสูจนและยืนยันตัวตนทางดิจิทัลตามวรรคสอง ตองมีมาตรฐานไมต่ำกวาที่คณะกรรมการหรือคณะกรรมการตามมาตรา ๓๔/๔ วรรคสอง แลวแตกรณี ประกาศกำหนด โดยมีหลักประกันการเขาถึงและการใชประโยชนของประชาชน โดยสะดวกและไมเ ลอื กปฏบิ ตั ิ มาตรา ๓๔/๔๒๘ ในกรณีที่จำเปนเพื่อรักษาความมั่นคงทางการเงินและการพาณิชย หรือเพื่อประโยชนในการเสริมสรางความนาเชื่อถือและยอมรับในระบบการพิสูจนและยืนยันตัวตน ทางดิจทิ ลั หรือเพอื่ ปอ งกันความเสียหายแกสาธารณชน ใหมกี ารตราพระราชกฤษฎีกากำหนดให การประกอบธรุ กจิ บริการเกีย่ วกับระบบการพิสจู นแ ละยนื ยนั ตัวตนทางดิจทิ ัลใดเปนการประกอบ ธุรกิจบริการเกี่ยวกับธุรกรรมทางอิเลก็ ทรอนิกสที่ตองไดรับใบอนุญาตกอน และใหนำบทบัญญตั ิ ในหมวด ๓ ธรุ กจิ บริการเก่ียวกบั ธุรกรรมทางอิเลก็ ทรอนิกส มาใชบงั คบั โดยอนุโลม พระราชกฤษฎีกาตามวรรคหนึง่ อาจกำหนดใหมกี ารจัดต้ังคณะกรรมการข้ึนมาคณะหน่ึง เพื่อทำหนาที่ประกาศกำหนดหลักเกณฑที่ผูประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจนและ ยืนยันตัวตนทางดิจิทัลจะตองปฏิบัติ และใหมีอำนาจพิจารณามีคำสั่งและดำเนินการอื่นใดตาม ๒๖ หมวด ๓/๑ ระบบการพสิ ูจนและยืนยันตวั ตนทางดิจิทลั มาตรา ๓๔/๓ และมาตรา ๓๔/๔ เพ่ิมโดยพระราชบัญญัติ วาดว ยธุรกรรมทางอิเล็กทรอนิกส (ฉบบั ที่ ๔) พ.ศ. ๒๕๖๒ ๒๗ มาตรา ๓๔/๓ เพิม่ โดยพระราชบญั ญตั วิ า ดว ยธรุ กรรมทางอิเล็กทรอนกิ ส (ฉบบั ที่ ๔) พ.ศ. ๒๕๖๒ ๒๘ มาตรา ๓๔/๔ เพ่ิมโดยพระราชบญั ญัตวิ า ดว ยธุรกรรมทางอเิ ล็กทรอนกิ ส (ฉบับที่ ๔) พ.ศ. ๒๕๖๒ 46 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
๑๘ มาตรา ๓๔ ในกรณีที่ผูไดรับใบอนุญาตฝาฝนหรือปฏิบัติไมถูกตองตามหลักเกณฑการประกอบ ธรุ กิจกไ็ ด หมวด ๔ ธรุ กรรมทางอเิ ล็กทรอนกิ สภาครัฐ มาตรา ๓๕ คำขอ การอนุญาต การจดทะเบียน คำสั่งทางปกครอง การชำระเงิน การประกาศหรือการดำเนินการใด ๆ ตามกฎหมายกับหนวยงานของรัฐหรือโดยหนวยงานของรัฐ ถาไดกระทำในรูปของขอมูลอิเล็กทรอนิกสตามหลักเกณฑและวิธีการที่กำหนดโดย พระราชกฤษฎีกา ใหนำพระราชบัญญัตินี้มาใชบังคับและใหถือวามีผลโดยชอบดวยกฎหมาย เชนเดียวกับการดำเนินการตามหลักเกณฑและวิธีการที่กฎหมายในเรื่องนั้นกำหนด ทั้งนี้ ในพระราชกฤษฎีกาอาจกำหนดใหบุคคลที่เกี่ยวของตองกระทำหรืองดเวนกระทำการใด ๆ หรือ ใหห นวยงานของรฐั ออกระเบียบเพือ่ กำหนดรายละเอียดในบางกรณดี ว ยก็ได ในการออกพระราชกฤษฎีกาตามวรรคหนึ่ง พระราชกฤษฎีกาดังกลาวอาจกำหนดให ผปู ระกอบธรุ กจิ บรกิ ารเกย่ี วกบั ธรุ กรรมทางอิเล็กทรอนิกสต องแจงใหทราบ ตองขนึ้ ทะเบียน หรือ ตอ งไดรบั ใบอนญุ าต แลวแตกรณี กอนประกอบกจิ การก็ได ในกรณีนี้ ใหนำบทบญั ญตั ิในหมวด ๓ และบทกำหนดโทษท่เี กยี่ วของมาใชบ งั คับโดยอนุโลม เมื่อไดมีการตราพระราชกฤษฎีกาตามวรรคหนึ่งแลว ศาลหรือองคกรตามรัฐธรรมนูญ อาจพิจารณานำหลักเกณฑในเรื่องใดที่กำหนดไวตามพระราชกฤษฎีกาดังกลาวมาใชบังคับแก การดำเนินการในสวนที่เกี่ยวกับกระบวนพิจารณาพิพากษาคดีของศาลหรือในการวินิจฉัยชี้ขาด ขอพิพาทแลวแตกรณี เพื่อใหเปนไปตามความเหมาะสมกับหนาที่และอำนาจของตนตาม กฎหมายได รวมถึงการกำหนดหลักเกณฑเพิ่มเตมิ ดวย ทั้งนี้ โดยประกาศในราชกจิ จานุเบกษา๒๙ หมวด ๕ คณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส มาตรา ๓๖๓๐ ใหมีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสคณะหนึ่ง ประกอบดวย ประธานกรรมการซึ่งคณะรัฐมนตรีแตงตั้งจากผูทรงคุณวุฒิ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจ และสังคมเปนรองประธานกรรมการ และกรรมการผูทรงคุณวุฒิอื่นซึ่งคณะรัฐมนตรีแตงต้ัง จำนวนแปดคน ใหผูอำนวยการเปนกรรมการและเลขานุการ และแตงตั้งพนักงานของสำนักงานเปน ผูช ว ยเลขานกุ ารไดตามความจำเปนแตไ มเกนิ สองคน ๒๙ มาตรา ๓๕ วรรคสาม เพ่ิมโดยพระราชบญั ญตั วิ าดว ยธรุ กรรมทางอิเลก็ ทรอนิกส (ฉบับที่ ๓) พ.ศ. ๒๕๖๒ ๓๐ มาตรา ๓๖ แกไขเพ่มิ เติมโดยพระราชบญั ญัติวา ดว ยธุรกรรมทางอเิ ล็กทรอนิกส (ฉบบั ท่ี ๓) พ.ศ. ๒๕๖๒ ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 47
๑๙ ประธานกรรมการและกรรมการผูทรงคุณวุฒิตามวรรคหนึ่ง ตองเปนบุคคลที่มีความรู ความเชี่ยวชาญ และความสามารถเปนที่ประจักษดานการเงิน ดานการพาณิชยอิเล็กทรอนิกส ดานนิติศาสตร ดานวิทยาการคอมพิวเตอร ดานวิทยาศาสตรหรือวิศวกรรมศาสตร ดานสังคมศาสตร หรือดานอื่นใดที่เปนประโยชนตอการดำเนินงานของคณะกรรมการ ทั้งนี้ กรรมการผูทรงคุณวุฒิตองประกอบดวยบุคคลซึ่งมิใชขาราชการหรือผูปฏิบัติงานในหนวยงาน ของรัฐที่มีตำแหนงหรือเงินเดือนประจำรวมเปนกรรมการผูทรงคุณวุฒิดวยไมนอยกวากึ่งหน่ึง ของจำนวนกรรมการผูทรงคุณวฒุ ิทงั้ หมด หลักเกณฑและวิธีการไดมาซึ่งประธานกรรมการและกรรมการผูทรงคุณวุฒิ ใหเปนไป ตามระเบียบทีร่ ฐั มนตรกี ำหนด มาตรา ๓๗๓๑ ใหคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสมีหนาที่และอำนาจ ดังตอ ไปนี้ (๑) พิจารณาใหความเห็นชอบแผนยุทธศาสตรเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส ทส่ี ำนกั งานเสนอตามมาตรา ๔๓ วรรคสอง (๒) สงเสริมและสนับสนุนหนวยงานของรัฐ เอกชน และประชาชนใหดำเนินกิจกรรม ตามแผนยุทธศาสตรต าม (๑) (๓) กำหนดมาตรฐานดานเทคโนโลยีดิจิทัลในสวนที่เกี่ยวของกับธุรกรรม ทางอเิ ลก็ ทรอนิกส (๔) กำกับและติดตามการดำเนินงานตามแผนยุทธศาสตรตาม (๑) เพื่อรวบรวมขอมูล และปญหาเกย่ี วกับการทำธรุ กรรมทางอเิ ลก็ ทรอนิกสที่สงผลกระทบตอ การดำเนนิ การและพัฒนา ทางเทคโนโลยีดจิ ิทัลเพื่อเสนอตอคณะกรรมการดจิ ิทัลเพอื่ เศรษฐกจิ และสงั คมแหงชาติ (๕) เสนอแนะตอคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแหงชาติและ คณะรัฐมนตรีในการจัดใหมีหรือปรับปรุงกฎหมายที่เกี่ยวของกับการพัฒนาธุรกรรม ทางอิเล็กทรอนิกส และการคุมครองทรัพยสินทางปญญาเกี่ยวกับการทำธุรกรรม ทางอิเล็กทรอนกิ ส (๖) เสนอแนะหรือใหคำปรึกษาตอรัฐมนตรีในการตราพระราชกฤษฎีกาตาม พระราชบญั ญตั ิน้ี (๗) ออกระเบียบหรือประกาศเพื่อใหเปนไปตามพระราชบัญญัตินี้ หรือเพื่อประโยชน ในการสง เสริมและสนบั สนุนการทำธรุ กรรมทางอเิ ล็กทรอนิกส (๘) กำกับดูแลการประกอบธุรกิจบริการเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกสตาม พระราชบญั ญตั ินี้ (๙) ปฏิบัตกิ ารอ่ืนใดเพ่ือใหเปน ไปตามพระราชบัญญตั ิน้ี หรือกฎหมายอน่ื ๓๑ มาตรา ๓๗ แกไ ขเพม่ิ เตมิ โดยพระราชบัญญตั วิ าดว ยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบบั ท่ี ๓) พ.ศ. ๒๕๖๒ 48 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์
๒๐ ในการปฏิบัติเพื่อใหเปนไปตามหนาที่และอำนาจตามวรรคหนึ่ง ใหคณะกรรมการ มีหนังสือเรียกหนวยงานของรัฐหรือบุคคลใดมาชี้แจง ใหขอเท็จจริง หรือมาใหถอยคำหรือ สงเอกสารหลกั ฐานที่เกี่ยวขอ งเพ่อื ประกอบการดำเนนิ งานได ในการปฏิบัติการตามพระราชบัญญัตินี้ใหคณะกรรมการเปนเจาพนักงานตาม ประมวลกฎหมายอาญา มาตรา ๓๘๓๒ ประธานกรรมการและกรรมการผทู รงคณุ วฒุ ิมีวาระการดำรงตำแหนงส่ีป เมื่อครบกำหนดวาระตามวรรคหนึ่ง หากยังมิไดมีการแตงตั้งประธานกรรมการและ กรรมการผทู รงคณุ วุฒิข้ึนใหม ใหประธานกรรมการและกรรมการผทู รงคณุ วฒุ ิซึ่งพน จากตำแหนง ตามวาระนั้นอยูในตำแหนงเพื่อปฏิบัติหนาที่ตอไปจนกวาประธานกรรมการและ กรรมการผูทรงคุณวุฒิซึ่งไดรับแตงตั้งใหมเขารับหนาที่ แตตองไมเกินเกาสิบวันนับแตวันที่ ประธานกรรมการและกรรมการผทู รงคุณวฒุ ิพน จากตำแหนง ตามวาระนั้น มาตรา ๓๙๓๓ นอกจากการพนจากตำแหนง ตามวาระตามมาตรา ๓๘ ประธานกรรมการ และกรรมการผูท รงคุณวุฒิพน จากตำแหนง เมือ่ (๑) ตาย (๒) ลาออก (๓) คณะรัฐมนตรีใหออกเพราะมีความประพฤติเสื่อมเสีย บกพรองหรือไมสุจริต ตอ หนา ทีห่ รอื หยอ นความสามารถ (๔) เปนคนไรความสามารถหรือคนเสมือนไรค วามสามารถ (๕) ไดรับโทษจำคุกโดยตองคำพิพากษาถึงที่สดุ ใหจำคุก เวนแตเปนโทษสำหรับความผิด ท่ไี ดกระทำโดยประมาทหรอื ความผดิ ลหโุ ทษ มาตรา ๔๐๓๔ ในกรณีที่ประธานกรรมการหรือกรรมการผูทรงคุณวุฒิพนจากตำแหนง กอนวาระ ใหคณะกรรมการประกอบดวยกรรมการเทาที่เหลืออยู และใหดำเนินการแตงตั้ง ประธานกรรมการหรือกรรมการผูทรงคุณวุฒิแทนตำแหนงที่วางภายในหกสิบวันนับแตวันที่ ตำแหนงวางลง เวนแตวาระของกรรมการเหลือไมถึงเกาสิบวัน และใหผูที่ไดรับแตงตั้งใหดำรง ตำแหนงแทนอยูใ นตำแหนงเทากับวาระทเี่ หลอื อยขู องผซู ึ่งตนแทน มาตรา ๔๑ การประชุมของคณะกรรมการตองมีกรรมการมาประชุมไมนอยกวากึง่ หน่ึง ของจำนวนกรรมการทง้ั หมดจงึ เปน องคป ระชุม ถาประธานกรรมการไมมาประชุมหรือไมอาจปฏิบัติหนาที่ได ใหคณะกรรมการเลือก กรรมการคนหน่ึงทำหนาทปี่ ระธานในท่ีประชุม การวินิจฉัยชี้ขาดของที่ประชุมใหถือเสียงขางมาก กรรมการคนหนึ่งใหมีเสียงหน่ึง ในการลงคะแนน ถาคะแนนเสยี งเทากันใหป ระธานออกเสียงเพ่มิ ขนึ้ อีกเสยี งหนง่ึ เปน เสยี งชี้ขาด ๓๒ มาตรา ๓๘ แกไขเพ่ิมเติมโดยพระราชบญั ญตั ิวา ดว ยธรุ กรรมทางอเิ ล็กทรอนิกส (ฉบับที่ ๓) พ.ศ. ๒๕๖๒ ๓๓ มาตรา ๓๙ แกไขเพ่มิ เตมิ โดยพระราชบัญญตั วิ า ดว ยธุรกรรมทางอเิ ลก็ ทรอนกิ ส (ฉบบั ที่ ๓) พ.ศ. ๒๕๖๒ ๓๔ มาตรา ๔๐ แกไ ขเพม่ิ เติมโดยพระราชบัญญัตวิ าดว ยธรุ กรรมทางอเิ ล็กทรอนกิ ส (ฉบบั ท่ี ๓) พ.ศ. ๒๕๖๒ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 49
๒๑ การประชุมของคณะกรรมการอาจกระทำโดยวิธีการทางอิเล็กทรอนิกสตามที่ คณะกรรมการกำหนดกไ็ ด๓๕ มาตรา ๔๒ คณะกรรมการมีอำนาจแตงตั้งคณะอนุกรรมการเพื่อพิจารณาหรือ ปฏบิ ัตกิ ารอยา งหน่ึงอยางใดแทนคณะกรรมการก็ได ใหน ำความในมาตรา ๔๑ มาใชบ ังคบั แกการประชุมของคณะอนุกรรมการโดยอนโุ ลม มาตรา ๔๒/๑๓๖ ใหคณะกรรมการไดรับเบี้ยประชุมและประโยชนตอบแทนอื่นตาม หลกั เกณฑท คี่ ณะรัฐมนตรกี ำหนด คณะอนุกรรมการที่คณะกรรมการแตงตั้งตามมาตรา ๔๒ ใหไดรับเบี้ยประชุมและ ประโยชนตอบแทนอนื่ ตามหลกั เกณฑท ่ีคณะกรรมการกำหนด มาตรา ๔๓๓๗ ใหสำนักงานทำหนา ทเี่ ปนหนว ยงานธุรการของคณะกรรมการ ใหสำนักงานจัดทำแผนยุทธศาสตรเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส เพื่อเสนอ คณะกรรมการใหความเห็นชอบตามมาตรา ๓๗ (๑) และจัดสงใหหนวยงานที่เกี่ยวของ เพื่อดำเนินการตอ ไป มาตรา ๔๓/๑๓๘ แผนยุทธศาสตรที่สำนักงานตองจัดทำตามมาตรา ๔๓ วรรคสอง ตองสอดคลองกับนโยบายและแผนระดับชาติวาดวยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม ตามกฎหมายวาดวยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม โดยอยางนอยตองกำหนดเรื่อง ดงั ตอ ไปนี้ (๑) กลไกและมาตรการดานการพัฒนาโครงสรางพื้นฐานทางเทคโนโลยีดิจิทัล เพื่อรองรับการทำธุรกรรมทางอิเล็กทรอนิกส พาณิชยอิเล็กทรอนิกส และธุรกิจบริการเกี่ยวกับ ธรุ กรรมทางอเิ ล็กทรอนกิ สแ ละธรุ กรรมทางอิเลก็ ทรอนิกสภ าครัฐ (๒) มาตรการการสงเสริมและสนับสนุนการใหมีระบบการบริการในการทำธุรกรรม ทางอิเล็กทรอนิกส พาณิชยอิเล็กทรอนิกส และการใหบริการธุรกรรมทางอิเล็กทรอนิกส โดยใช เทคโนโลยีดิจทิ ัล เพื่อสนับสนุนการพัฒนาประเทศในดา นตา ง ๆ (๓) กระบวนการสงเสริมใหเกิดการพัฒนามาตรฐานและกฎเกณฑการใชงาน ทางเทคโนโลยีดิจิทัล เพื่อใหการทำงานของระบบมีการเชื่อมโยงกันอยางมีความมั่นคงปลอดภัย พรอมใชงาน และมคี วามนาเชอ่ื ถือในการใหบรกิ าร (๔) แนวทางและมาตรการเกี่ยวกับการสงเสริมการผลิตและพฒั นาบุคลากรดา นธุรกรรม ทางอิเล็กทรอนิกส พาณิชยอิเล็กทรอนิกส และธุรกิจบริการเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส และธุรกรรมทางอเิ ล็กทรอนกิ สภาครฐั รวมทัง้ การประยุกตก ารใชง านเทคโนโลยีดิจิทลั ท่เี กย่ี วขอ ง ๓๕ มาตรา ๔๑ วรรคส่ี เพิม่ โดยพระราชบญั ญตั ิวาดว ยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบับที่ ๓) พ.ศ. ๒๕๖๒ ๓๖ มาตรา ๔๒/๑ เพิม่ โดยพระราชบญั ญัตวิ าดว ยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบบั ที่ ๒) พ.ศ. ๒๕๕๑ ๓๗ มาตรา ๔๓ แกไ ขเพิ่มเติมโดยพระราชบญั ญัตวิ าดว ยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบับที่ ๓) พ.ศ. ๒๕๖๒ ๓๘ มาตรา ๔๓/๑ เพิ่มโดยพระราชบญั ญตั วิ า ดวยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบบั ท่ี ๓) พ.ศ. ๒๕๖๒ 50 สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์
๒๒ (๕) แนวทางการสงเสริมและสนับสนุนการศึกษา คนควา และวิจัยเทคโนโลยีดิจิทัล ดานธุรกรรมทางอิเล็กทรอนิกส พาณิชยอิเล็กทรอนิกส และการใหบริการธุรกรรม ทางอิเล็กทรอนิกส รวมทั้งสงเสริมใหมีการเผยแพรความรูใหแกประชาชนเพื่อใชประโยชนจาก เทคโนโลยีดังกลา ว หมวด ๖ บทกำหนดโทษ มาตรา ๔๔๓๙ ผูใดประกอบธุรกิจบริการเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกสโดยไมแจง ตอพนักงานเจาหนาที่ตามที่กำหนดในพระราชกฤษฎีกาตามมาตรา ๓๓ วรรคหนึ่ง โดยฝาฝน คำสั่งของพนักงานเจาหนาที่ใหหยุดการใหบริการหรือคำสั่งหามมิใหใหบริการในสวนที่เกี่ยวกับ ธุรกรรมทางอิเล็กทรอนิกสในการประกอบธุรกิจตามมาตรา ๓๓ วรรคสาม หรือตามมาตรา ๓๓ วรรคหา แลวแตกรณี หรือประกอบธุรกิจบริการเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส ภายหลังจากพนักงานเจาหนาที่ถอนการรับแจงตามมาตรา ๓๓ วรรคหก ตองระวางโทษจำคุก ไมเ กนิ หน่งึ ป หรอื ปรบั ไมเ กนิ หน่งึ แสนบาท หรือทง้ั จำทัง้ ปรับ มาตรา ๔๔/๑๔๐ ผใู ดประกอบธุรกจิ บรกิ ารเก่ยี วกับธรุ กรรมทางอิเล็กทรอนิกส โดยไมข ้นึ ทะเบียนตอพนักงานเจาหนาที่ตามที่กำหนดในพระราชกฤษฎีกาตามมาตรา ๓๓/๑ วรรคหน่ึง หรือประกอบธุรกจิ บริการเกย่ี วกับธรุ กรรมทางอเิ ล็กทรอนิกสภ ายหลังจากมีคำสั่งเพิกถอนการขึ้น ทะเบยี นตามมาตรา ๓๓/๑ วรรคสี่ หรอื วรรคแปด แลวแตกรณี ตอ งระวางโทษจำคุกไมเ กินสองป หรอื ปรบั ไมเกินสองแสนบาท หรือท้ังจำท้งั ปรับ มาตรา ๔๕๔๑ ผใู ดประกอบธุรกิจบริการเกย่ี วกบั ธรุ กรรมทางอิเล็กทรอนิกส โดยไมไดรับ ใบอนุญาตตามมาตรา ๓๔ หรือประกอบธุรกิจบริการเก่ียวกับธุรกรรมทางอิเล็กทรอนิกส ในระหวางท่มี คี ำส่ังพักใชใบอนุญาตหรือภายหลังจากมีคำส่งั เพิกถอนใบอนุญาตของคณะกรรมการ ตองระวางโทษจำคุกไมเกินสามป หรอื ปรบั ไมเ กินสามแสนบาท หรอื ทัง้ จำท้ังปรับ มาตรา ๔๕/๑๔๒ ผูใดประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจนและยืนยันตัวตน ทางดิจิทัลโดยไมไดรับใบอนุญาตตามมาตรา ๓๔/๔ หรือประกอบธุรกิจบริการเกี่ยวกับระบบ การพิสูจนและยืนยันตัวตนทางดิจิทัลในระหวางที่มีคำสั่งพักใชใบอนุญาตหรือภายหลังจากมี คำสั่งเพิกถอนใบอนุญาตของคณะกรรมการหรือคณะกรรมการตามมาตรา ๓๔/๔ วรรคสอง ตอ งระวางโทษจำคกุ ไมเ กินสามป หรอื ปรบั ไมเ กินสามแสนบาท หรอื ทัง้ จำท้งั ปรับ ๓๙ มาตรา ๔๔ แกไขเพิ่มเติมโดยพระราชบัญญตั ิวาดว ยธุรกรรมทางอเิ ล็กทรอนิกส (ฉบับที่ ๓) พ.ศ. ๒๕๖๒ 51 ๔๐ มาตรา ๔๔/๑ เพิม่ โดยพระราชบญั ญัตวิ า ดวยธรุ กรรมทางอิเล็กทรอนกิ ส (ฉบับท่ี ๓) พ.ศ. ๒๕๖๒ ๔๑ มาตรา ๔๕ แกไ ขเพิม่ เตมิ โดยพระราชบญั ญัตวิ าดว ยธรุ กรรมทางอิเล็กทรอนกิ ส (ฉบบั ที่ ๓) พ.ศ. ๒๕๖๒ ๔๒ มาตรา ๔๕/๑ เพิม่ โดยพระราชบญั ญัตวิ าดวยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบบั ท่ี ๔) พ.ศ. ๒๕๖๒ สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์
๒๓ มาตรา ๔๖๔๓ ในกรณีที่ผูกระทำความผิดเปนนิติบุคคล ถาการกระทำความผิดของ นิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการ หรือผูจัดการ หรือบุคคลใด ซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลน้ัน หรือในกรณีที่บุคคลดังกลาวมหี นาที่ตองสัง่ การ หรอื กระทำการและละเวนไมสั่งการหรือไมกระทำการจนเปน เหตุใหนิตบิ ุคคลน้ันกระทำความผิด ผูน้นั ตองรับโทษตามทบ่ี ญั ญัติไวสำหรับความผดิ นัน้ ๆ ดว ย ผูร ับสนองพระบรมราชโองการ พันตำรวจโท ทักษิณ ชินวัตร นายกรฐั มนตรี ๔๓ มาตรา ๔๖ แกไขเพิ่มเติมโดยพระราชบัญญัติแกไขเพิ่มเติมบทบัญญัติแหงกฎหมายที่เกี่ยวกับความรับผิด ในทางอาญาของผูแทนนติ บิ ุคคล พ.ศ. ๒๕๖๐ 52 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์
๒๔ หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับน้ี คอื โดยที่การทำธุรกรรมในปจจุบัน มีแนวโนมที่จะปรับเปลี่ยนวิธีการในการติดตอสื่อสารที่อาศัยการพัฒนาการเทคโนโลยี ทางอิเล็กทรอนิกสซึ่งมีความสะดวก รวดเร็วและมีประสิทธิภาพ แตเนื่องจากการทำธุรกรรม ทางอิเล็กทรอนิกสดังกลาวมีความแตกตางจากวิธีการทำธุรกรรมซึ่งมีกฎหมายรองรับอยูใน ปจจุบันเปนอยางมาก อันสงผลใหตองมีการรองรับสถานะทางกฎหมายของขอมูล ทางอิเล็กทรอนิกสใหเสมอกับการทำเปนหนังสอื หรือหลักฐานเปนหนังสือ การรับรองวิธีการสง และรับขอมูลอิเล็กทรอนิกส การใชลายมือชื่ออิเล็กทรอนิกส ตลอดจนการรับฟงพยานหลักฐาน ที่เปนขอมูลอิเล็กทรอนิกส เพื่อเปนการสงเสริมการทำธุรกรรมทางอิเล็กทรอนิกสใหนาเชื่อถือ และมีผลในทางกฎหมายเชนเดียวกับการทำธุรกรรมโดยวิธีการทั่วไปที่เคยปฏิบัติอยูเดิม ควรกำหนดใหมีคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ สทำหนาที่วางนโยบายกำหนดหลักเกณฑ เพ่ือสงเสริมการทำธุรกรรมทางอิเล็กทรอนิกส ติดตามดูแลการประกอบธุรกิจเกี่ยวกับธุรกรรม ทางอิเล็กทรอนิกส รวมทั้งมีหนาที่ในการสงเสริมการพัฒนาการทางเทคโนโลยีเพื่อติดตาม ความกา วหนา ของเทคโนโลยี ซ่ึงมกี ารเปลยี่ นแปลงและพฒั นาศักยภาพตลอดเวลาใหมีมาตรฐาน นา เชอื่ ถอื ตลอดจนเสนอแนะแนวทางแกไ ขปญ หาและอุปสรรคท่ีเก่ยี วของ อนั จะเปนการสง เสริม การใชธุรกรรมทางอิเล็กทรอนิกสทั้งภายในประเทศและระหวางประเทศ ดวยการมีกฎหมาย รองรบั ในลักษณะทเี่ ปนเอกรูป และสอดคลอ งกบั มาตรฐานท่นี านาประเทศยอมรบั จงึ จำเปนตอง ตราพระราชบญั ญตั นิ ้ี *พระราชกฤษฎีกาแกไขบทบัญญัติใหสอดคลองกับการโอนอำนาจหนาที่ของสวนราชการ ใหเ ปนไปตามพระราชบญั ญตั ปิ รับปรุงกระทรวง ทบวง กรม พ.ศ. ๒๕๔๕ พ.ศ. ๒๕๔๕๔๔ มาตรา ๑๐๒ ในพระราชบญั ญตั วิ า ดว ยธุรกรรมทางอิเลก็ ทรอนิกส พ.ศ. ๒๕๔๔ ใหแ กไข คำวา “รัฐมนตรวี า การกระทรวงวทิ ยาศาสตร เทคโนโลยแี ละสง่ิ แวดลอม” เปน “รัฐมนตรีวาการ กระทรวงเทคโนโลยสี ารสนเทศและการสอ่ื สาร” หมายเหตุ : เหตผุ ลในการประกาศใชพระราชกฤษฎกี าฉบบั นี้ คือ โดยท่พี ระราชบัญญัตปิ รับปรุง กระทรวง ทบวง กรม พ.ศ. ๒๕๔๕ ไดบ ญั ญัตใิ หจดั ต้ังสวนราชการขึ้นใหมโ ดยมภี ารกจิ ใหม ซึ่งได มีการตราพระราชกฤษฎีกาโอนกิจการบริหารและอำนาจหนาที่ของสวนราชการใหเปนไปตาม พระราชบัญญัติปรับปรุงกระทรวง ทบวง กรม นั้นแลว และเนื่องจากพระราชบัญญัติดังกลา วได บัญญัติใหโอนอำนาจหนาที่ของสวนราชการ รัฐมนตรีผูดำรงตำแหนงหรือผูซึ่งปฏิบัติหนาที่ใน สวนราชการเดิมมาเปนของสว นราชการใหม โดยใหมกี ารแกไ ขบทบัญญัติตาง ๆ ใหส อดคลองกับ อำนาจหนาที่ที่โอนไปดวย ฉะนั้น เพื่ออนุวัติใหเปนไปตามหลักการที่ปรากฏในพระราชบัญญัติ และพระราชกฤษฎีกาดังกลาว จึงสมควรแกไขบทบัญญัติของกฎหมายใหสอดคลองกับการโอน สวนราชการ เพื่อใหผูเกี่ยวของมีความชัดเจนในการใชกฎหมายโดยไมตองไปคนหาในกฎหมาย ๔๔ ราชกิจจานเุ บกษา เลม ๑๑๙/ตอนที่ ๑๐๒ ก/หนา ๖๖/๘ ตุลาคม ๒๕๔๕ ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 53
๒๕ โอนอำนาจหนาที่วาตามกฎหมายใดไดมีการโอนภารกิจของสวนราชการหรือผูรับผิดชอบตาม กฎหมายน้ันไปเปนของหนวยงานใดหรือผูใดแลว โดยแกไขบทบัญญัติของกฎหมายใหมี การเปลีย่ นชือ่ สว นราชการ รฐั มนตรผี ูดำรงตำแหนงหรือผูซง่ึ ปฏิบัตหิ นาทขี่ องสวนราชการใหตรง กับการโอนอำนาจหนาที่ และเพิ่มผูแทนสวนราชการในคณะกรรมการใหตรงตามภารกิจที่มี การตัดโอนจากสว นราชการเดิมมาเปน ของสวนราชการใหมรวมทง้ั ตดั สวนราชการเดิมท่ีมีการยุบ เลกิ แลว ซ่ึงเปนการแกไขใหต รงตามพระราชบัญญัติและพระราชกฤษฎีกาดังกลาว จงึ จำเปนตอง ตราพระราชกฤษฎีกาน้ี พระราชบญั ญตั ิวาดว ยธรุ กรรมทางอเิ ล็กทรอนิกส (ฉบบั ที่ ๒) พ.ศ. ๒๕๕๑๔๕ มาตรา ๒ พระราชบัญญัติน้ีใหใชบ ังคับตง้ั แตว ันถัดจากวันประกาศในราชกิจจานุเบกษา เปนตนไป มาตรา ๑๑ ในระหวางที่จัดตั้งสำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส ตามมาตรา ๔๓ แหง พระราชบัญญัตวิ าดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ซ่ึงแกไขเพ่ิมเติม โดยพระราชบัญญัตินี้ยังไมแลวเสร็จ ใหสำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและ การสื่อสารรับผิดชอบทำหนาที่หนวยงานธุรการของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส ไปพลางกอ น ใหปลัดกระทรวงเทคโนโลยีสารสนเทศและการส่ือสารแตงตั้งขาราชการซ่ึงดำรงตำแหนง ไมต่ำกวาระดับแปดหรือเทียบเทาในสังกัดสำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและ การส่อื สาร ทำหนา ทีเ่ ปนหัวหนาสำนกั งานคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกสไปพลางกอน จนกวาการจดั ตั้งสำนกั งานคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกสจ ะแลวเสรจ็ เพื่อประโยชนในการปฏิบัติงานตามวรรคหนึ่ง รัฐมนตรีวาการกระทรวงเทคโนโลยี สารสนเทศและการสื่อสารจะสั่งใหขาราชการในสังกัดกระทรวงเทคโนโลยีสารสนเทศและ การสอื่ สารมาปฏบิ ัตงิ านชัว่ คราวในสำนักงานปลัดกระทรวงเทคโนโลยสี ารสนเทศและการสื่อสาร ตามความจำเปน กไ็ ด มาตรา ๑๒ ใหนายกรัฐมนตรีและรัฐมนตรีวาการกระทรวงเทคโนโลยีสารสนเทศและ การส่อื สารรักษาการตามพระราชบญั ญตั นิ ี้ หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับนี้ คือ เนื่องจากปจจุบันกฎหมาย วาดวยธุรกรรมทางอิเล็กทรอนิกสยังไมมีบทบัญญัติรองรับในเรื่องตราประทับอิเล็กทรอนิกส ซึ่งเปนสิ่งที่สามารถระบุถึงตัวผูทำธุรกรรมทางอิเล็กทรอนิกสไดเชนเดียวกับลายมือช่ือ อเิ ลก็ ทรอนกิ ส ทำใหเปนอปุ สรรคตอการทำธุรกรรมทางอิเล็กทรอนิกสท ่ีตองมีการประทับตราใน หนังสือเปนสำคัญ รวมทั้งยังไมมีบทบัญญัติที่กำหนดใหสามารถนำเอกสารซึ่งเปนสิ่งพิมพออก ๔๕ ราชกิจจานเุ บกษา เลม ๑๒๕/ตอนท่ี ๓๓ ก/หนา ๘๑/๑๓ กมุ ภาพันธ ๒๕๕๑ 54 สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์
๒๖ ของขอมูลอิเล็กทรอนิกสมาใชแทนตนฉบับหรือใหเปนพยานหลักฐานในศาลได และโดยที่ไดมี การปรับปรุงโครงสรางระบบราชการตามพระราชบัญญัติปรับปรุง กระทรวง ทบวง กรม พ.ศ. ๒๕๔๕ และกำหนดใหกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเปนหนวยงานที่มีอำนาจหนาที่ เกี่ยวกับการวางแผน สงเสริม พัฒนา และดำเนินกิจการเกี่ยวกับเทคโนโลยีสารสนเทศและ การสื่อสาร ประกอบกับปจจุบันธุรกรรมทางอิเล็กทรอนิกสไดมีการใชอยางแพรหลาย จำเปนที่ จะตองมีหนวยงานธุรการเพื่อทำหนาที่กำกับดูแลเพื่อใหเปนไปตามกฎหมายวาดวยธุรกรรม ทางอิเล็กทรอนิกสและเปนฝายเลขานุการของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส โดยสมควรจัดตั้งสำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส สังกัดกระทรวงเทคโนโลยี สารสนเทศและการสื่อสารขึ้นทำหนาท่ีแทนศูนยเทคโนโลยีอิเล็กทรอนิกสและคอมพิวเตอร แหงชาติ อันจะเปนการสงเสริมความเชื่อมั่นในการทำธุรกรรมทางอิเล็กทรอนิกส และเสริมสรา ง ศักยภาพการแขงขนั ในเวทีการคา ระหวางประเทศ สมควรแกไขเพ่ิมเติมกฎหมายวาดวยธรุ กรรม ทางอเิ ล็กทรอนิกสเพ่ือใหสอดคลองกบั หลักการดงั กลา ว จงึ จำเปน ตองตราพระราชบญั ญัตนิ ี้ พระราชบัญญัติแกไขเพิ่มเติมบทบัญญัติแหงกฎหมายที่เกี่ยวกับความรับผิดในทางอาญา ของผแู ทนนิตบิ คุ คล พ.ศ. ๒๕๖๐๔๖ มาตรา ๒ พระราชบัญญตั ิน้ีใหใชบ งั คับตั้งแตว ันถัดจากวันประกาศในราชกิจจานุเบกษา เปนตนไป หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับนี้ คือ โดยที่ศาลรัฐธรรมนูญไดมี คำวนิ จิ ฉยั วา พระราชบญั ญัตขิ ายตรงและตลาดแบบตรง พ.ศ. ๒๕๔๕ มาตรา ๕๔ เฉพาะในสวนที่ สันนิษฐานใหกรรมการผูจัดการ ผูจัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของ นิติบุคคลนั้น ตองรับโทษทางอาญารวมกับการกระทำความผิดของนิติบุคคล โดยไมปรากฏวา มีการกระทำหรือเจตนาประการใดอันเกี่ยวกับการกระทำความผิดของนิติบุคคลนั้น ขัดหรือแยง ตอรัฐธรรมนูญแหง ราชอาณาจกั รไทย พทุ ธศักราช ๒๕๕๐ มาตรา ๓๙ วรรคสอง เปนอันใชบ ังคบั ไมไดตามรัฐธรรมนูญแหงราชอาณาจักรไทย พุทธศักราช ๒๕๕๐ มาตรา ๖ และตอมา ศาลรัฐธรรมนูญไดมีคำวินิจฉัยในลักษณะดังกลาวทำนองเดียวกัน คือ พระราชบัญญัติลิขสิทธ์ิ พ.ศ. ๒๕๓๗ มาตรา ๗๔ พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. ๒๕๔๔ มาตรา ๗๘ พระราชบัญญัติสถานบริการ พ.ศ. ๒๕๐๙ มาตรา ๒๘/๔ และพระราชบัญญัติปุย พ.ศ. ๒๕๑๘ มาตรา ๗๒/๕ ขดั หรือแยงตอรัฐธรรมนูญแหง ราชอาณาจักรไทย พทุ ธศกั ราช ๒๕๕๐ มาตรา ๓๙ วรรคสอง เปนอันใชบังคับไมไดตามรัฐธรรมนูญแหงราชอาณาจักรไทย พุทธศักราช ๒๕๕๐ มาตรา ๖ ดังนั้น เพื่อแกไขบทบัญญัติของกฎหมายดังกลาวและกฎหมายอื่นที่มีบทบัญญัติ ในลักษณะเดียวกนั มใิ หข ัดหรอื แยงตอรฐั ธรรมนญู จงึ จำเปนตองตราพระราชบญั ญัติน้ี ๔๖ ราชกิจจานเุ บกษา เลม ๑๓๔/ตอนที่ ๑๘ ก/หนา ๑/๑๑ กมุ ภาพันธ ๒๕๖๐ 55 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์
๒๗ พระราชบัญญัตวิ าดวยธุรกรรมทางอิเล็กทรอนกิ ส (ฉบบั ท่ี ๓) พ.ศ. ๒๕๖๒๔๗ มาตรา ๒ พระราชบัญญตั นิ ้ีใหใ ชบังคบั ตงั้ แตวนั ถัดจากวนั ประกาศในราชกจิ จานเุ บกษา เปน ตน ไป มาตรา ๒๕ ใหคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ สซ่ึงดำรงตำแหนงอยูในวันกอน วันที่พระราชบัญญัตินี้ใชบังคับ คงอยูในตำแหนงตอไป จนกวาจะมีการแตงตั้งคณะกรรมการ ธุรกรรมทางอิเล็กทรอนิกสตามพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ซ่ึงแกไขเพ่มิ เตมิ โดยพระราชบัญญัติน้ี มาตรา ๒๖ บรรดาการใด ๆ ที่คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสตาม พระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ไดดำเนินการไวกอนวันที่ พระราชบัญญัตินี้ใชบังคับและยังมีผลใชบังคับอยู ใหยังคงใชบังคับไดตอไป และเมื่อไดมี การแตงตั้งคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสตามพระราชบัญญัติวาดวยธุรกรรม ทางอเิ ล็กทรอนกิ ส พ.ศ. ๒๕๔๔ ซ่งึ แกไขเพิ่มเตมิ โดยพระราชบัญญตั นิ ี้ แลว การนน้ั ยังดำเนนิ การ ไมแลวเสร็จ ใหการดำเนินการตอไปเปนไปตามที่คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสน้ัน กำหนด มาตรา ๒๗ ใหนายกรฐั มนตรีและรัฐมนตรวี า การกระทรวงดิจทิ ัลเพ่ือเศรษฐกิจและสังคม รักษาการตามพระราชบญั ญตั นิ ้ี หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับนี้ คือ โดยที่ปจจุบันกฎหมายวาดวย ธุรกรรมทางอิเล็กทรอนิกสมีขอจำกัดหรืออุปสรรคบางประการในการบังคับใชกฎหมาย ประกอบกับ การทำสัญญาในรูปแบบของธุรกรรมทางอิเล็กทรอนิกสมีแนวโนมที่จะเกิดขึ้นระหวางคูสัญญา ทีอ่ ยคู นละประเทศเปน จำนวนมาก เพอ่ื ใหกฎหมายวาดวยธุรกรรมทางอิเล็กทรอนิกสเปนไปตาม มาตรฐานสากล รวมทง้ั ปรับปรงุ กลไกในการกำกบั ดูแลการประกอบธุรกจิ บริการเกยี่ วกับธุรกรรม ทางอิเล็กทรอนิกสใหชัดเจนและสอดคลองกับการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม จงึ จำเปน ตอ งตราพระราชบญั ญตั ิน้ี พระราชบญั ญตั วิ าดวยธรุ กรรมทางอเิ ลก็ ทรอนิกส (ฉบบั ที่ ๔) พ.ศ. ๒๕๖๒๔๘ มาตรา ๒ พระราชบญั ญัตนิ ้ีใหใชบ ังคับตั้งแตวันถดั จากวันประกาศในราชกิจจานุเบกษา เปนตน ไป มาตรา ๗ ผูประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจนและยืนยันตัวตนทางดิจิทัล ซึ่งประกอบธุรกิจอยูในวันกอนที่พระราชบัญญัตินี้ใชบังคับ ใหดำเนินกิจการตอไปได และเมื่อมีการตราพระราชกฤษฎีกาตามมาตรา ๓๔/๔ แหงพระราชบัญญัติวาดวยธุรกรรม ๔๗ ราชกจิ จานเุ บกษา เลม ๑๓๖/ตอนที่ ๔๙ ก/หนา ๑๒/๑๔ เมษายน ๒๕๖๒ ๔๘ ราชกจิ จานเุ บกษา เลม ๑๓๖/ตอนที่ ๖๗ ก/หนา ๒๐๓/๒๒ พฤษภาคม ๒๕๖๒ 56 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
๒๘ ทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ซ่ึงแกไ ขเพ่ิมเตมิ โดยพระราชบัญญัตินี้ กำหนดใหเ ปนธุรกิจบริการ เกี่ยวกับธุรกรรมทางอิเล็กทรอนิกสที่ตองไดรับใบอนุญาต ใหผูประกอบธุรกิจบริการเกี่ยวกับ ระบบการพิสูจนและยืนยันตวั ตนทางดจิ ิทัลน้ันยน่ื คำขอรบั ใบอนุญาตภายในเกาสิบวันนับแตวันที่ พระราชกฤษฎีกามีผลใชบังคับ และเมื่อไดยื่นคำขอรับใบอนุญาตแลว ใหดำเนินกิจการตอไป จนกวา จะมคี ำส่งั ไมอ นญุ าต มาตรา ๘ บรรดาระเบียบที่ออกตามพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ที่ใชบังคับอยูใ นวันกอนวันที่พระราชบญั ญัตินีใ้ ชบังคบั ใหยังคงใชบังคับตอ ไปเพียง เทาทีไ่ มขัดหรือแยงกับพระราชบัญญัติน้ี จนกวาจะมรี ะเบียบตามพระราชบัญญัติวาดวยธุรกรรม ทางอิเลก็ ทรอนิกส พ.ศ. ๒๕๔๔ ซึง่ แกไ ขเพิ่มเตมิ โดยพระราชบญั ญัตนิ ใ้ี ชบ งั คับ มาตรา ๙ ใหรัฐมนตรีวาการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมรักษาการ ตามพระราชบัญญัตินี้ หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับนี้ คือ โดยที่การยืนยันตัวตนของ บุคคลเปนขั้นตอนสำคัญในการทำธุรกรรมในระบบเศรษฐกิจ แตที่ผานมาผูที่ประสงคจะ ขอรับบริการจากผูประกอบการหรือหนวยงานใด ๆ จะตองทำการพิสูจนและยืนยันตัวตนโดย การแสดงตนตอผูใหบริการพรอมกับตองสงเอกสารหลักฐาน ซึ่งเปนภาระตอผูใชบริการและ ผูใหบริการ สมควรกำหนดใหบุคคลสามารถพิสูจนและยืนยันตัวตนผานระบบการพิสูจนและ ยืนยันตัวตนทางดิจิทัลได โดยมีกลไกการควบคุมดูแลผูประกอบธุรกิจบริการที่เกี่ยวของ เพื่อให ระบบดังกลาวมคี วามนา เชือ่ ถอื และปลอดภัย จงึ จำเปนตอ งตราพระราชบัญญัติน้ี ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 57
58 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
ประกาศคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกส เร่อื ง แนวทางการจัดทาํ แนวนโยบาย (Certificate Policy) และแนวปฏิบตั ิ (Certification Practice Statement) ของผูใหบรกิ ารออกใบรับรองอเิ ล็กทรอนกิ ส (Certification Authority) พ.ศ. ๒๕๕๒ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 59
ช่อื กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เร่ือง แนวทางการจัดทําแนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผูใหบริการออกใบรับรองอิเล็กทรอนิกส (Certification Authority) พ.ศ. ๒๕๕๒ ประกาศในราชกิจจานเุ บกษา เลม ๑๒๖ / ตอนพเิ ศษ ๑๘๐ ง / หนา ๒๗ / วนั ท่ี ๑๖ ธนั วาคม ๒๕๕๒ เริม่ บังคบั ใช วนั ที่ ๑๗ ธันวาคม ๒๕๕๒ 60 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์
เลม ๑๒๖ ตอนพเิ ศษ ๑๘๐ ง หนา ๒๗ ๑๖ ธนั วาคม ๒๕๕๒ ราชกิจจานุเบกษา ประกาศคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส เร่ือง แนวทางการจดั ทาํ แนวนโยบาย (Certificate Policy) และ แนวปฏิบัติ (Certification Practice Statement) ของผูใ หบรกิ ารออกใบรบั รองอิเล็กทรอนิกส (Certification Authority) พ.ศ. ๒๕๕๒ เพือ่ ใหการใหบริการของผูใหบ รกิ ารออกใบรบั รองอเิ ลก็ ทรอนกิ สมคี วามนาเชอื่ ถือ ตลอดจน มมี าตรฐานเปนท่ยี อมรบั ในระดบั สากล คณะกรรมการธรุ กรรมทางอิเลก็ ทรอนิกส จึงเห็นควรกําหนด แนวทางในการจัดทาํ แนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผูใหบริการออกใบรับรองอิเล็กทรอนิกส (Certification Authority) อาศยั อํานาจตามความในมาตรา ๒๘ (๖) มาตรา ๒๙ (๗) และมาตรา ๓๗ (๔) แหงพระราชบัญญัติ วาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสจึงออก ประกาศไว ดังตอไปนี้ ขอ ๑ ใหผูใหบริการออกใบรับรองอิเล็กทรอนิกส (Certification Authority) จัดทาํ แนวนโยบาย (Certificate Policy) และแนวปฏบิ ตั ิ (Certification Practice Statement) ตามแนวทาง การจัดทาํ แนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผูใ หบรกิ ารออกใบรบั รองอเิ ล็กทรอนกิ ส (Certification Authority) ทายประกาศน้ี ขอ ๒ ประกาศนใ้ี หใ ชบ งั คบั ตงั้ แตว นั ถัดจากวนั ประกาศในราชกจิ จานเุ บกษาเปนตนไป ประกาศ ณ วนั ที่ ๘ ตลุ าคม พ.ศ. ๒๕๕๒ รอยตรีหญงิ ระนองรักษ สุวรรณฉวี รัฐมนตรวี า การกระทรวงเทคโนโลยสี ารสนเทศและการสอื่ สาร ประธานกรรมการธรุ กรรมทางอิเล็กทรอนกิ ส สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 61
แนวทางการจัดทําแนวนโยบาย (Certificate Policy) และ แนวปฏิบัติ (Certification Practice Statement) ของผูใหบ ริการออกใบรับรองอิเลก็ ทรอนกิ ส (Certification Authority) ๑. บทนํา ในการนําใบรับรองอิเล็กทรอนิกส (Electronic Certificate) ท่ีออกโดยผูใหบริการ ออกใบรับรองอเิ ลก็ ทรอนิกส (Certification Authority) เพอ่ื ใหผ ูใชบริการสามารถนําไปใชในการรับรอง ตัวบุคคลผูถือใบรับรองสําหรับใชในการสรางลายมือชื่อดิจิทัล (Digital Signature) อันเปนลายมือช่ือ อเิ ลก็ ทรอนิกสท ่เี ชอ่ื ถือไดประเภทหนึ่ง หรือสําหรับการรับรองความมีตัวตนของนิติบุคคล หรือรับรอง เครื่องใหบริการหรือเซิรฟเวอร (Server) หรือเอนทิตี (Entity) อ่ืนใดก็ตาม ดวยการประยุกตใช เทคโนโลยีโครงสรางพ้ืนฐานกุญแจสาธารณะ (Public Key Infrastructure หรือเทคโนโลยี PKI) น้ัน ความนาเชือ่ ถือของผูใหบริการออกใบรับรองอิเล็กทรอนิกส นับวามีสวนสําคัญยิ่งตอการใชบริการและ กอใหเกิดผลผูกพันทางกฎหมายในธุรกรรมตางๆ ท่ีทําขึ้นโดยมีการนําใบรับรองอิเล็กทรอนิกสไปใช ยืนยันหรือรับรองตัวบุคคล นิติบุคคล เคร่ืองใหบริการหรือเซิรฟเวอร หรือเอนทิตีใดก็ตาม ในการทํา ธรุ กรรมแตล ะครงั้ เพื่อใหการใหบริการของผูใหบริการออกใบรับรองอิเล็กทรอนิกส มีความนาเช่ือถือ หนวยงานท่ีช่ือวา Internet Engineering Task Force หรือ IETF ซึ่งทําการพัฒนาสถาปตยกรรมทาง อินเทอรเน็ต (Internet Architecture) จึงไดกําหนดกรอบหรือแนวทางในการทําแนวนโยบายและ แนวปฏิบัติของผูใหบริการออกใบรับรองอิเล็กทรอนิกสขึ้น เรียกวา Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 3647) อันเปน มาตรฐานที่ไดรับการยอมรับในระดับสากล จึงไดนํามาใชเปนแนวทางในการจัดทําประกาศฉบับน้ี สาํ หรบั ใชป ฏิบัติในการจัดทําแนวนโยบายและแนวปฏิบัติของผูใหบริการออกใบรับรองอิเล็กทรอนิกส ในประเทศไทย เพื่อใหสอดคลอ งตามมาตรฐานสากล ๒. คํานิยาม (Definition) และคํายอ (Acronym) ในสวนนี้แสดงถงึ คาํ นยิ ามและคํายอ เพอื่ ใหค วามหมายกับคําท่ีถูกใชในเอกสารนี้อยางเขาใจได ถูกตองตรงกัน คาํ /คํายอ คาํ นยิ าม RFC “The Internet Request For Comments” เปนชุดเอกสารท่ีเขียนเพ่ือนิยามหรือ บรรยายตามความเปนจริงปจจุบันและแนะนําแนวปฏิบัติเกี่ยวกับเกณฑวิธี (Protocol) และนโยบายของอินเทอรเ น็ต เปน ตน 62 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์
-๒- คํา/คาํ ยอ คาํ นิยาม บุคคล บุคคลธรรมดา หรือนิตบิ คุ คล เอนทติ ี บุคคลและรวมถึงเคร่ืองใหบริการ (Server) หรือเว็บไซต หรือหนวยปฏิบัติงาน (Operating Unit/Site) หรอื เคร่ืองมืออื่นใด (Device) ที่อยภู ายใตการควบคุมของ Certificate บคุ คล Revocation List รายการเพิกถอนใบรับรองอิเล็กทรอนิกส คือ รายการใบรับรองอิเล็กทรอนิกส (CRL) ทถ่ี ูกเพิกถอนการใชง าน Online Certificate เกณฑวิธี (Protocol) สําหรับตรวจสอบสถานะของการเพิกถอนใบรับรอง หรือ Status Protocol วันเวลาท่เี รมิ่ ตนและสิน้ สุดการใชใบรบั รอง (OCSP) Object Identifier คาสัมพันธซึ่งบงบอกถึงขอมูลสารสนเทศของวัตถุ (Information Object) ใดๆ (OID) โดยเปน คา ท่ีสามารถบง ชีไ้ ดถ งึ ความเปน หนึง่ เดียวของ Object นนั้ ๆ กญุ แจสาธารณะ กญุ แจทใี่ ชในการตรวจสอบลายมือชื่อดจิ ทิ ลั และสามารถนําไปใชในการเขารหัส Public Key ลับขอมูลอิเล็กทรอนิกส เพ่ือมิใหสามารถเขาใจความหมายของขอมูล อเิ ลก็ ทรอนกิ สท ี่มีการเขารหัสลับนั้นได เพ่ือประโยชนในการรักษาความลับของ กญุ แจสว นตวั ขอมลู อเิ ลก็ ทรอนิกสนน้ั Private Key กญุ แจท่ใี ชใ นการสรางลายมือช่ือดิจิทัล และสามารถนําไปใชในการถอดรหัสลับ เมื่อมีการเขารหสั ลับขอมูลอิเล็กทรอนิกส เพ่ือใหสามารถเขาใจความหมายของ คกู ุญแจ ขอ มลู อเิ ลก็ ทรอนกิ สท่มี ีการเขา รหัสลบั น้ันได Key Pair กุญแจสวนตัวและกุญแจสาธารณะในระบบการเขารหัสลับแบบอสมมาตรท่ีได สรางข้ึนโดยวิธีการท่ีทําใหกุญแจสวนตัวมีความสัมพันธในทางคณิตศาสตรกับ กุญแจสาธารณะในลักษณะท่ีสามารถใชกุญแจสาธารณะตรวจสอบไดวา ลายมอื ชอื่ ดจิ ิทัลไดสรางข้ึนโดยใชกญุ แจสวนตวั นัน้ หรือไม และสามารถนํากุญแจ สาธารณะไปใชในการเขารหัสลับขอมูลอิเล็กทรอนิกส ทําใหไมสามารถเขาใจ ความหมายของขอมูลอิเล็กทรอนิกสไดเพ่ือประโยชนในการรักษาความลับของ ขอมูลอิเลก็ ทรอนิกส เวนแตบ คุ คลทถ่ี ือกญุ แจสวนตัวซึ่งสามารถนาํ กุญแจสวนตัว ของตนใชในการถอดรหัสลับของขอมูลอิเล็กทรอนิกส เพื่อใหเจาของกุญแจ สว นตวั สามารถอา นหรือเขาใจความหมายของขอ มูลอเิ ล็กทรอนกิ สน ้ันได ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 63
-๓- คาํ /คาํ ยอ คํานยิ าม ผซู งึ่ ทาํ หนา ทีร่ บั ลงทะเบียนเม่ือมีการยื่นคําขอใชบริการ แจงเพิกถอนใบรับรอง เจาหนา ท่ีรบั อิเล็กทรอนิกส หรือตออายุใบรับรองอิเล็กทรอนิกส โดยทําการตรวจสอบและ ลงทะเบยี น ยืนยนั ความถูกตอ งของขอมลู ที่ผใู ชบริการใหไว Registration Authority (RA) หมายถึง การท่ีขอมูลสูญหาย ถูกทําลาย ถูกแกไข ถูกเปดเผยโดยมิชอบ หรือ ถูกลวงรูโดยไมสอดคลองกับวัตถุประสงคของการเก็บรักษาขอมูลนั้น รวมทั้ง พฤตกิ ารณท ี่ กรณีท่ีมเี หตุอันควรสงสัยวาจะมพี ฤตกิ ารณด ังกลาว กระทบตอความ มน่ั คงปลอดภัย ของขอ มูล (Compromise) ๓. หวั ขอทตี่ อ งกําหนดไวใ นแนวนโยบาย และ แนวปฏบิ ตั ิ บทที่ ๑ บทนาํ (Introduction) บทท่ี ๒ ความรบั ผดิ ชอบในการเผยแพรข อ มูลและการเกบ็ รกั ษาขอมูล (Publication and Repository Responsibilities) บทที่ ๓ การระบุและการยืนยนั ตวั บุคคล (Identification and Authentication) บทท่ี ๔ ขอ กําหนดเกย่ี วกบั การดําเนนิ การตลอดอายขุ องใบรบั รองอิเล็กทรอนกิ ส (Certificate Life-Cycle Operation Requirements) บทท่ี ๕ การควบคมุ ความมั่นคงปลอดภยั ของเครื่องมอื อุปกรณ การบรหิ ารจดั การ และ การดาํ เนนิ งาน (Facility, Management, and Operational Controls) บทที่ ๖ การควบคุมความมนั่ คงปลอดภยั ดานเทคนคิ (Technical Security Controls) บทท่ี ๗ การกําหนดรปู แบบของใบรับรองอิเล็กทรอนิกส รายการเพกิ ถอน และสถานะของ ใบรบั รองอิเลก็ ทรอนกิ ส (Certificate, CRL, and OCSP Profiles) บทที่ ๘ การตรวจสอบการปฏบิ ัติตามกฎขอ บังคบั ตา งๆ และการประเมนิ ความเส่ยี งอน่ื ๆ (Compliance Audit and Other Assessment) บทท่ี ๙ ขอกาํ หนดอน่ื ๆ และประเดน็ กฎหมาย (Other Business and Legal Matters) 64 สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์
-๔- ๔. เนื้อหาท่ีตอ งกาํ หนดไวในแนวนโยบาย และแนวปฏบิ ตั ิ บทที่ ๑ บทนํา (Introduction) เนื้อหาในบทนี้ จะกลาวถึงประเภทของบุคคลหรือเอนทิตีท่ีเก่ียวของและการนําแนวนโยบาย หรือแนวปฏบิ ัตไิ ปใชง าน ๑. ขอมลู เบื้องตนทวั่ ไป (Overview) สาระสําคญั ของเน้อื หาในขอนี้ คือ การกลาวถึงแนวนโยบายและแนวปฏิบัติ โดยท่ัวๆ ไป และ การนําแนวนโยบายและแนวปฏิบัติที่จัดทําข้ึนไปปรับใชเมื่อมีการประยุกตใช PKI เชน กรณีท่ีมีการ กําหนดระดับความนาเชือ่ ถอื ของใบรับรองอเิ ลก็ ทรอนกิ สท แี่ ตกตา งกัน ใบรบั รองซงึ่ แตกตา งกันนัน้ อาจมี ความซับซอนหรอื อาจมกี ารกําหนดขอบเขตการใช PKI ที่แตกตางกัน ดังนั้น การแสดงขอมูลเก่ียวกับ โครงสรา งของ PKI จงึ มีประโยชนตอการทาํ ความเขา ใจเน้ือหาในสวนนี้ ๒. ช่ือเอกสาร (Document Name and Identification) เนือ้ หาในสว นน้จี ะกําหนดเกยี่ วกบั “ชือ่ ” สําหรบั ใชเ รียกแนวนโยบายและแนวปฏิบัติ หรือเรียก สงิ่ หนึง่ สิง่ ใด (Other Identifier) ทง้ั น้ี รวมถงึ การเรียกชือ่ เอกสารหรือสิ่งที่ระบุถงึ เชน วานน้ั ในทางเทคนิค ดว ย กลาวคอื จําเปนตอ งมีการจดทะเบียนเลข OID ซ่ึงมีชื่อเรียกอยางเปนทางการวา “ASN.1 Object Identifier ” ในทางปฏิบัติการกําหนดเลข OID ของแนวนโยบายและแนวปฏิบัติ หรือสิ่งหนึ่งส่ิงใดน้ัน ก็เพือ่ ใหส ามารถตรวจสอบไดวาแนวนโยบายและแนวปฏิบัติ หรือส่ิงอ่ืนท่ีถูกระบุถึงและกํากับดวยเลข OID น้ัน มีอยูจริง เนื่องจากเลข OID จะเปนตัวเลขซึ่งมีความสัมพันธหรือเชื่อมโยงถึง Information Object ใดๆ ลักษณะการกาํ หนดเลข OID จะมีการจัดเรียงลําดับตัวเลขกันและคั่นตัวเลขดวยจุด โดยมี หนว ยงานรบั จดทะเบยี นเลข OID จํานวนหลายหนว ยงานดวยกัน ไดแก American National Standard Institute (ANSI) สหรัฐอเมรกิ า, ISO เปนตน ๓. บคุ คลทเี่ ก่ียวของ (PKI Participants) เนื้อหาในบทนี้ควรจะกําหนดลักษณะ (Identity) ประเภทของบุคคลหรือเอนทิตี (Entity) ท่ีเกย่ี วของ รวมท้ังกําหนดบทบาทและหนา ท่ีของบุคคลหรือเอนทิตเี หลา น้นั ดว ย ๓.๑ ผใู หบ รกิ ารออกใบรับรองอิเลก็ ทรอนิกส (Certification Authority) คือ ผูใหบริการออกใบรับรองอเิ ลก็ ทรอนิกส ซงึ่ สรา งและออกใบรบั รองอิเลก็ ทรอนิกสเ พอื่ รับรอง กุญแจสาธารณะใหกบั ผใู ชบ ริการ ๓.๒ เจาหนาท่ีรับลงทะเบียน (Registration Authority) คอื บุคคลหรือเอนทติ ี ทท่ี าํ หนา ทใี่ นการตรวจสอบตวั บคุ คลผูสมัครขอใชบริการ ทั้งในข้ันตอน ที่มีการะบตุ ัวบคุ คลผูสมัครขอใชบริการ (Identification) วาผูสมัครขอใชบริการเปนใคร หรือเอนทิตีใด และขั้นตอนการยืนยันหรือพิสูจนตัวบุคคล (Authentication) วา ผูสมัครขอใชบริการหรือเอนทีตีอ่ืนใด ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 65
-๕- เปนบุคคลหรือเอนทิตีนั้นจริง นอกจากน้ันผูใหบริการออกใบรับรองอิเล็กทรอนิกส หรือเจาหนาที่รับ ลงทะเบียน จะทําหนาท่ีทํานองเดียวกันในการเพิกถอนใบรับรอง หรือตออายุใบรับรอง โดยทําการ ตรวจสอบและยืนยันความถูกตองของขอมูลท่ีผูสมัครขอใชบริการไดใหไวในขั้นตอนตางๆ หลังจาก ตรวจสอบความถูกตอ งของขอ มูลผูสมัครขอใชบ รกิ ารเรียบรอยแลว จึงแจงใหผูใหบริการออกใบรับรอง อิเล็กทรอนิกส ออกใบรับรองใหกับผูสมัครขอใชบริการตอไป ท้ังนี้เจาหนาท่ีรับลงทะเบียน อาจเปน บุคลากรของผูใหบริการออกใบรับรองอเิ ลก็ ทรอนกิ ส หรอื อาจเปนบคุ ลากรของผสู มคั รขอใชบริการ หรือ อาจเปนหนว ยงานหรือเอนทติ อี นื่ ท่ไี ดท ําขอ ตกลงกับเจา หนา ทรี่ บั ลงทะเบียน เพอ่ื ทาํ หนาทด่ี ังกลาว ๓.๓ ผูใชบ ริการ (Subscriber) คอื บคุ คล หรอื เอนทติ ใี ดๆ ทไี่ ดรบั ใบรับรองจากผูใ หบ รกิ ารออกใบรับรองอเิ ล็กทรอนกิ ส ๓.๔ คูกรณที ่เี ก่ียวของ (Relying Party) คอื บุคคล หรอื เอนทิตีอื่นใดทเี่ ชือ่ ถอื ลายมือชื่อดิจิทัล อนั เปน ลายมอื ช่อื อเิ ล็กทรอนกิ สช นดิ หน่ึง หรือเชื่อถือใบรับรองอิเล็กทรอนิกส ดังนั้น คูกรณีที่เกี่ยวของอาจเปนผูใชบริการจากผูใหบริการออก ใบรับรองอิเล็กทรอนิกส หรืออาจไมใชผูใชบริการจากผูใหบริการออกใบรับรองอิเล็กทรอนิกสก็ได แตเ ปนผซู ึ่งกระทาํ การหรืองดเวนกระทําการใดๆ เพราะเช่ือถือใบรับรองอิเล็กทรอนิกสหรือลายมือช่ือ ดิจิทลั โดยการใชก ญุ แจสาธารณะทีอ่ ยใู นใบรับรองนนั้ ในการตรวจสอบตวั ตนทีแ่ ทจ รงิ ของผูขอใชบริการ ซ่ึงเปน เจาของลายมือชอ่ื ดิจิทัลและมีช่อื ปรากฏอยูในใบรับรองอิเลก็ ทรอนกิ ส ๓.๕ บคุ คลซง่ึ เก่ยี วของอน่ื ๆ (Other Participants) คอื บุคคล หรอื เอนทิตีอ่ืน นอกจากท่ีกลาวถึงขางตน เชน ผูใหบริการในการเก็บรักษาขอมูล (Providers of Repository Services) หรือผูไดรับการวาจางโดยการ Outsource ใหเปนผูใหบริการ ออกใบรับรองอเิ ล็กทรอนกิ ส เปนตน ๓.๖ การใชใ บรบั รองอเิ ล็กทรอนิกส (Certificate Usage) เน้ือหาในสวนน้ีควรกําหนดเกี่ยวกับลักษณะหรือประเภทของใบรับรองอิเล็กทรอนิกสที่มีการ นําไปใชในทางปฏิบัติ เชน ใบรับรองอิเล็กทรอนิกสเพื่อรับรองตัวบุคคล ใบรับรองอิเล็กทรอนิกสเพ่ือ รับรองตัวนิติบุคคล ใบรับรองอิเล็กทรอนิกสเพื่อรับรองเว็บไซต ใบรับรองอิเล็กทรอนิกสเพ่ือรับรอง เครื่องใหบริการหรือเซิรฟเวอร ใบรับรองอิเล็กทรอนิกสเพ่ือใชกับจดหมายอิเล็กทรอนิกสหรืออีเมล ใบรับรองอเิ ล็กทรอนกิ สส าํ หรบั ใชก ับสัญญาหรือการทําขอ ตกลง เปน ตน ทั้งนี้ ในกรณีท่ีมีขอจํากัดการใชงาน หรือกรณีที่มีการจัดระดับความนาเช่ือถือของใบรับรอง อิเล็กทรอนิกส ก็ควรระบุไวใหชัดเจนดวย และหากลักษณะการใชงานหรือชนิดของใบรับรอง อิเล็กทรอนิกสมีความแตกตางกันจนจําเปนตองจัดทําแนวนโยบายหรือแนวปฏิบัติสําหรับการใชงาน แตละลกั ษณะหรอื ตามชนดิ ของใบรบั รอง ก็จาํ เปน ตองใหขอมลู ในเรื่องดังกลา วเอาไวช ดั เจนดว ยเชน กัน 66 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์
-๖- ๓.๗ การบรหิ ารจัดการเก่ียวกับแนวนโยบายและแนวปฏบิ ตั ิ (Policy Administration) เน้ือหาในสวนนี้ควรกลาวถึงชื่อ ท่ีอยูของหนวยงานท่ียกราง จดทะเบียน ดูแลและปรับปรุง เอกสารแนวนโยบายและแนวปฏิบัติ นอกจากน้ันยังรวมถึง ชื่อ ที่อยูของจดหมายอิเล็กทรอนิกส หมายเลขโทรศัพท หมายเลขโทรสารของผูที่สามารถติดตอได ทั้งนี้ โดยอาจกําหนดเปนตําแหนง ท่ีรับผดิ ชอบในการตอบขอ ซกั ถามหรือติดตอกับผูใชบ ริการของผูใหบ รกิ ารออกใบรบั รองอิเลก็ ทรอนกิ ส กไ็ ด นอกจากนั้น เพื่อสรางความนาเช่ือถือใหกับการใหบริการของผูใหบริการออกใบรับรอง อิเล็กทรอนิกสเอง ในกรณีที่ผูใหบริการออกใบรับรองอิเล็กทรอนิกส ไดจัดทําแนวนโยบายและ แนวปฏิบัติ ตามแนวทางที่คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสประกาศกําหนดแลว ควรระบุถึง คณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส และที่อยูของหนวยงานธุรการของคณะกรรมการไวใ นขอน้ีดวย ๓.๘ คาํ นิยามและคํายอ (Definitions and Acronyms) โดยทีใ่ นการจดั ทาํ แนวนโยบายและแนวปฏิบัติ จาํ เปน ตองมีการกลาวถงึ คาํ ศพั ท และคาํ ยอเปน จาํ นวนมาก ดังนนั้ ในบทนี้จึงควรมกี ารใหความหมายของคาํ ศัพทห รือคาํ ยอเหลา น้ันไวดว ย เชน การให ความหมายของคําวาผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาท่ีรับลงทะเบียนผูใชบริการ แนวนโยบายและแนวปฏิบัติ ลายมือชื่อดิจิทัล ใบรับรองอิเล็กทรอนิกส คูกุญแจ กุญแจสวนตัว กุญแจ สาธารณะ เอนทติ ี เปน ตน เพอื่ เปน ขอ มูลใหก บั ผใู ชบ ริการตอไป บทท่ี ๒ ความรบั ผดิ ชอบในการเผยแพรขอมลู และการเกบ็ รักษาขอ มูล (Publication and Repository Responsibilities) สําหรับเนื้อหาในสวนน้ี ควรจะตองระบุเก่ียวกับบุคคลซ่ึงทําหนาท่ีในการเก็บรักษาขอมูล (Repository) ในการใหบริการของผูใหบริการออกใบรับรองอิเล็กทรอนิกส ไมวาผูใหบริการออก ใบรับรองอิเล็กทรอนิกสจะทําหนาที่ดังกลาวนั้นเอง หรือเปนการใชบริการจากผูใหบริการรายอ่ืน และความรับผิดชอบของบุคคลหรือหนวยงานทท่ี ําหนาท่ใี นการเผยแพรข อ มลู เกี่ยวกบั แนวนโยบาย และ แนวปฏิบัติ รวมทั้งเนื้อหาท่ีจะมีการเผยแพร เชน การควบคุมมาตรการในการรักษาความมั่นคง ปลอดภัย (Security Controls) การรักษาความลับทางการคา (Trade Secret) สําหรับขอมูลสําคัญที่มี ความออ นไหว เปนตน นอกจากนั้น ควรใหขอมูลเก่ียวกับความถ่ีหรือความบอยในการเผยแพรขอมูล การควบคุม การเขาถึงขอมูลที่มีการเผยแพรนั้น (Access Control) รวมท้ังแนวนโยบายและแนวปฏิบัติใบรับรอง อเิ ล็กทรอนกิ ส หรือสถานะของใบรับรองอเิ ลก็ ทรอนกิ ส รวมทั้งการเพกิ ถอนใบรับรองอิเลก็ ทรอนิกส บทที่ ๓ การระบุและการยนื ยนั ตัวบคุ คล ((Identification and Authentication (I&A)) สําหรับเน้ือหาในบทนี้ควรใหขอมูลเก่ียวกับขั้นตอนในการยืนยันหรือพิสูจนตัวบุคคล หรือ เอนทติ ีของผสู มคั รขอใชบรกิ ารกบั ผูใหบรกิ ารออกใบรบั รองอิเล็กทรอนกิ ส หรือเจาหนาท่ีรับลงทะเบียน กอ นทจ่ี ะมกี ารออกใบรบั รองอิเล็กทรอนิกส รวมท้ังกําหนดขั้นตอนในการยืนยันหรือพิสูจนบุคคลของ สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 67
-๗- ผูใหบริการออกใบรับรองอิเล็กทรอนิกส หรือเจาหนาท่ีรับลงทะเบียน หรือเอนทิตีท่ีเก่ียวของกับการ ใหบริการหรือรวมใหบริการกับผูใหบริการออกใบรับรองอิเล็กทรอนิกส นอกจากนั้น อาจใหขอมูล เกี่ยวกับการออกใบรับรองอิเล็กทรอนิกสใหม การตออายุใบรับรองอิเล็กทรอนิกส หรือการเพิกถอน ใบรับรองอิเล็กทรอนิกสไปพรอมกันดวย อยางไรก็ตาม เนื้อหาที่พึงกําหนดไวในบทน้ีนอกจาก ท่กี ลาวถงึ ขางตน มดี ังตอ ไปนี้ ๑. การกําหนดรูปแบบของช่ือ (Naming) สําหรับการกําหนดรูปแบบของช่ือท่ีใช (Naming Convention) เพ่ือระบุถึงผูใชบริการนั้น ควรกําหนด ดงั นี้ ๑.๑ รปู แบบของช่ือ เชน X.500 Distinguished Name หรอื RFC 822 Names สาํ หรับจดหมาย อิเลก็ ทรอนิกสหรอื อเี มล (e-mail) และ X.400 สาํ หรบั ช่ือ ๑.๒ ช่ือนัน้ จะมคี วามหมายหรอื ไมม ีกไ็ ด ๑.๓ การกําหนดช่ือของผูใชบริการในกรณีท่ีมีการใชช่ือนิรนามหรือนามแฝงหรือปดบังช่ือ ทีแ่ ทจรงิ (Anonymous or Pseudonymous) ๑.๔ กฎในการแปลงช่อื ในรปู แบบตางๆ เชน มาตรฐาน X.500 และ RFC 822 เปน ตน ๑.๕ ช่ือนั้นจะตองมลี ักษณะเฉพาะ (Unique Name) ๒. ความสมบูรณใ นการระบุตวั บุคคล (Initial Identity Validation) ขอมูลในสวนนี้ ควรจะกําหนดเก่ียวกับวิธีการระบุตัวบุคคล (Identification) และยืนยันหรือ พิสูจนตัวบุคคล (Authentication) เมื่อแรกเร่ิมลงทะเบียนกับผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจา หนาที่รับลงทะเบียน ผใู ชบ ริการ หรือคกู รณีท่ีเก่ยี วขอ งอนื่ ๆ ท้งั น้ี โดย ๒.๑ การยืนยันหรือพิสูจนความสัมพันธของกุญแจสวนตัวกับกุญแจสาธารณะท่ีถือหรือ ครอบครองอยูโดยผูใชบริการ เชน การใชในการพิสูจนลายมือชื่อดิจิทัลที่ปรากฏใน ใบรับรองอิเล็กทรอนิกสดวยการใชลายมือชื่อดิจิทัลในการสง Certificate Request Message มายงั ผใู หบ ริการออกใบรบั รองอิเลก็ ทรอนิกส เปน ตน ๒.๒ การยืนยันหรือพิสูจนเงื่อนไขสําหรับการตรวจสอบความมีอยูขององคกรหรือหนวยงาน เชน การตรวจสอบจากหนงั สอื รับรองของบรษิ ัทหรอื นิติบุคคลทีอ่ อกโดยกรมพัฒนาธุรกิจ การคา กระทรวงพาณิชย เปน ตน ๒.๓ การยนื ยนั หรือพสิ ูจนเ งือ่ นไขสําหรับการตรวจสอบขอมูลของบุคคลซึ่งกระทําการในนาม ขององคกรหรือหนวยงาน เชน การตรวจสอบจากหนังสอื มอบอํานาจ เปน ตน 68 สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์
-๘- ๓. การระบุและยืนยันหรือพิสูจนตัวบคุ คลเม่ือมีการขอออกกญุ แจใหม (Identification and Authentication for Re-key Requests) สําหรับขั้นตอนนี้ จะครอบคลุมท้ังในขั้นตอนทีใ่ บรับรองอิเลก็ ทรอนกิ สห มดอายลุ งและกรณีมีการ เพิกถอนการใชใบรับรองอิเล็กทรอนิกส ดังนั้น จึงควรจะเปนขั้นตอนที่มีรูปแบบการทํางานทํานอง เดยี วกนั กับการระบุและยืนยันหรือพสิ ูจนต ัวบคุ คลเหมอื นกับขั้นตอนแรกท่ีไดม ีการขอใชบรกิ าร ๔. การระบุและยืนยันหรือพสิ จู นต ัวบคุ คลเม่อื มีการขอเพกิ ถอนใบรบั รองอิเลก็ ทรอนิกส (Identification and Authentication for Revocation Requests) เพ่ือระบุประเภทของบคุ คลทสี่ ามารถทาํ การรอ งขอเพิกถอนใบรบั รองอิเล็กทรอนกิ สและขั้นตอน ในการยืนยนั หรือพิสจู นข อ มูลท่แี สดงตวั ตนของบคุ คลดงั กลาวรวมทัง้ สิทธิของบคุ คลนน้ั บทท่ี ๔ ขอกาํ หนดเกีย่ วกบั การดาํ เนินการตลอดอายุของใบรบั รองอเิ ล็กทรอนิกส (Certificate Life-Cycle Operation Requirements) ขอมูลในสวนน้ีใชในการระบุขอกําหนดในการดําเนินการเกี่ยวกับใบรับรองอิเล็กทรอนิกส สําหรับผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาที่รับลงทะเบียน ผูใชบริการ และบุคคล ท่เี กยี่ วขอ งอนื่ ๆ ใหสอดคลอ งกบั บทบาทและหนา ทข่ี องตน ๑. การยื่นคาํ ขอใบรบั รองอิเลก็ ทรอนิกส (Certificate Application) สวนนีค้ วรระบุขอ กําหนดเกยี่ วกบั การสมคั รขอใบรบั รองอิเลก็ ทรอนิกสด ังตอ ไปน้ี ๑.๑ บุคคลท่ีสามารถสมัครขอใบรับรองอิเล็กทรอนิกสได เชน ผูท่ีจะมีชื่อในใบรับรอง อิเล็กทรอนกิ ส (Certificate Subject) หรือ RA เปน ตน ๑.๒ กระบวนการย่ืนคําขอใบรับรองอิเล็กทรอนิกส และภาระหนาท่ีท่ีเกี่ยวของ ตัวอยางของ กระบวนการย่นื ขอใบรบั รองอเิ ล็กทรอนิกส อาจเปนดังตอไปนี้ (๑) ผูสงคําขอใบรับรองสรา งคกู ุญแจและสงคําขอใบรับรองอิเล็กทรอนิกสใหเจาหนาท่ีรับ ลงทะเบียน โดยผูสงคําขอใบรับรองตองใหขอมูลที่ครบถวนและถูกตองตามระเบียบ การขอใบรบั รองอเิ ลก็ ทรอนกิ สข องผใู หบ ริการออกใบรับรองอิเล็กทรอนิกส (๒) เจาหนา ทรี่ ับลงทะเบียนตรวจคาํ ขอ และลงลายมอื ชอ่ื กํากับคําขอท่ีผานการตรวจสอบ แลวไปใหผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาที่รับลงทะเบียน และ ผูใ หบรกิ ารออกใบรบั รองอิเลก็ ทรอนิกส ตองกําหนดหลักการและวิธกี ารขอใบรับรอง อเิ ล็กทรอนิกส ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 69
-๙- ๒. การพิจารณาคําขอใบรับรองอิเล็กทรอนิกส (Certificate Application Processing) เนื้อหาสว นนี้ควรใหข อ มูลเกีย่ วกับกระบวนการพิจารณาคําขอใบรับรองอิเล็กทรอนิกส ตัวอยาง กระบวนการ เชน ๒.๑ ผูใหบริการออกใบรับรองอิเลก็ ทรอนกิ สแ ละเจา หนา ที่รับลงทะเบียนจะดําเนินการตรวจสอบ ความถกู ตอ งของผสู มัคร เพ่อื การระบุและยนื ยนั ตวั บุคคล ๒.๒ ผูใ หบ รกิ ารออกใบรบั รองอเิ ลก็ ทรอนิกสและเจาหนาท่ีรับลงทะเบียนจะพิจารณาวาจะอนุมัติ หรือไมอนมุ ัตกิ ารสมัครขอใชบรกิ ารใบรับรองอิเล็กทรอนิกส ๒.๓ การกาํ หนดระยะเวลาท่ีผใู หบ รกิ ารออกใบรับรองอิเล็กทรอนกิ ส และเจา หนาที่รับลงทะเบียน ใชในการพิจารณาการยน่ื คาํ ขอใบรับรองอิเล็กทรอนิกส ๓. การออกใบรับรองอเิ ลก็ ทรอนกิ ส (Certificate Issuance) เนื้อหาสวนนีค้ วรใหขอ มูลเก่ียวกบั กระบวนการออกใบรับรองอิเลก็ ทรอนกิ สในประเด็นตา งๆ ดังตอไปนี้ ๓.๑ ขอปฏิบัติของผูใหบริการออกใบรับรองอิเล็กทรอนิกส ในการออกใบรับรองอิเล็กทรอนิกส เชน การตรวจลายมือชื่อและอํานาจกระทําการของ เจาหนาท่ีรับลงทะเบียน ตลอดจน การสรางใบรบั รองอิเลก็ ทรอนกิ ส ๓.๒ วิธีการแจงผลการออกใบรับรองอิเล็กทรอนิกสแกผูใชบริการ เชน การแจงทางจดหมาย อเิ ลก็ ทรอนิกส ๔. การยอมรับใบรบั รองอเิ ลก็ ทรอนิกส (Certificate Acceptance) ๔.๑ ขอ ปฏบิ ัตขิ องผสู มคั รขอใบรบั รองอเิ ล็กทรอนกิ สท ถ่ี ือเปนการยอมรับใบรบั รองอิเล็กทรอนิกส เชน ผูสมัครขอใบรับรองอิเล็กทรอนิกสยอมรับใบรับรองอิเล็กทรอนิกสที่ผูใหบริการออก ใบรับรองอเิ ลก็ ทรอนกิ ส ออกใหใ นกรณที ่ี (๑) ผใู หบ รกิ ารออกใบรบั รองอิเลก็ ทรอนกิ ส มไิ ดร บั การแจง การใดๆ จากผสู มคั รขอใบรบั รอง อเิ ลก็ ทรอนิกสภ ายในเวลาที่กําหนด (๒) ผูใชบริการลงลายมือชื่อกํากับขอความแจงการยอมรับหรือไมยอมรับใบรับรอง อิเลก็ ทรอนกิ ส ๔.๒ การเผยแพรใบรบั รองอิเลก็ ทรอนิกสท ไี่ ดย อมรับโดยผูสมัครขอใบรับรองอิเล็กทรอนิกสแลว ซง่ึ อาจเผยแพรโ ดยผา นทาง X.500 Directory หรอื LDAP repository ๔.๓ การแจงใหบุคคลอ่ืนทราบถึงใบรับรองอิเล็กทรอนิกสท่ีไดออกใหผูสมัครขอใบรับรอง อิเลก็ ทรอนกิ ส เชน ผูใหบ รกิ ารออกใบรับรองอิเล็กทรอนิกส อาจสงใบรับรองอิเล็กทรอนิกส ทอี่ อกใหผสู มัครขอใบรบั รองอิเลก็ ทรอนกิ ส แกเ จา หนาท่รี บั ลงทะเบยี น เปนตน 70 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
-๑๐- ๕. การใชค ูกญุ แจ และใบรับรองอิเล็กทรอนกิ ส (Key Pair and Certificate Usage) ๕.๑ ความรับผิดชอบของผูใชบริการในการใชคูกุญแจและใบรับรองอิเล็กทรอนิกส เชน ผใู ชบ ริการจะตอ งใชกญุ แจสว นตัว (Private Key) และใบรบั รองอเิ ล็กทรอนิกสตามนโยบาย ที่กําหนดในแนวนโยบาย และสัญญาระหวางผูใหบริการออกใบรับรองอิเล็กทรอนิกสกับ ผูใชบริการ โดยผูใชบริการสามารถใชกุญแจสวนตัวหลังจากท่ีผูใชบริการไดยอมรับ ใบรับรองอิเล็กทรอนิกสน้ันแลว และไมสามารถใชงานกุญแจสวนตัวและใบรับรอง อิเล็กทรอนกิ สไดหลงั จากใบรับรองอเิ ลก็ ทรอนิกสด ังกลาวหมดอายลุ งหรอื ถูกเพกิ ถอน ๕.๒ ความรับผิดชอบของคูกรณีที่เกี่ยวของในการใชกุญแจสาธารณะ หรือใบรับรอง อิเลก็ ทรอนกิ สข องผใู ชบ ริการ เชน คูก รณที เ่ี ก่ียวของจะตอ งใชใบรบั รองอิเล็กทรอนิกสตาม นโยบายท่ีกําหนดในแนวนโยบาย และตองตรวจสอบสถานะของใบรับรองอิเล็กทรอนิกส ตามวธิ ีท่ีระบุใน แนวนโยบายภายใตเงือ่ นไขเกีย่ วกับคูกรณที ี่เกี่ยวขอ ง ๖. การตออายุใบรบั รองอเิ ล็กทรอนิกส (Certificate Renewal) การตอ อายุใบรับรองอเิ ล็กทรอนกิ ส หมายถงึ การออกใบรบั รองอิเลก็ ทรอนิกสใหมใหผูใชบริการ โดยไมมีการเปล่ียนแปลงกุญแจสาธารณะของผูใชบริการ หรือขอมูลอ่ืนใดท่ีปรากฏในใบรับรอง อเิ ลก็ ทรอนกิ ส การตออายใุ บรบั รองอิเลก็ ทรอนิกสควรคํานึงถึงประเด็นตางๆ ดังตอไปน้ี ๖.๑ กรณีตางๆ ทีอ่ นญุ าตใหมีการตออายุใบรับรองอิเล็กทรอนิกส เชน ใบรับรองอิเล็กทรอนิกส หมดอายุแตนโยบายอนุญาตใหใชคูกุญแจเดิมตอไปได ใหสามารถตออายุใบรับรอง อิเลก็ ทรอนกิ สได ๖.๒ บุคคลท่ีสามารถขอตออายุใบรับรองอิเล็กทรอนิกสได เชน ผูใหบริการออกใบรับรอง อิเล็กทรอนิกส อาจอนุญาตใหเจาหนาท่ีรับลงทะเบียน ขอตออายุแทนผูใชบริการได หรือ ผูใหบริการออกใบรับรองอิเล็กทรอนิกส อาจตออายุใบรับรองอิเล็กทรอนิกสใหผูใชบริการ โดยอตั โนมตั เิ มอื่ ใบรับรองดงั กลาวหมดอายลุ ง ๖.๓ ควรมีการระบุกระบวนการในการขอตออายุใบรับรองอิเล็กทรอนิกสท่ีชัดเจน เชน การใช รหสั ผาน (Password) ในการยนื ยนั ตวั บุคคลอกี ครั้งกอนการตอ อายใุ บรับรองอิเลก็ ทรอนิกส ๖.๔ ควรมีวิธกี ารแจง วา ไดตออายใุ บรบั รองอเิ ลก็ ทรอนิกสใหผ ูใ ชบ ริการแลว ๖.๕ ควรระบุวิธีการยอมรับใบรับรองอิเล็กทรอนิกสที่ผูใหบริการออกใบรับรองอิเล็กทรอนิกส ตออายใุ หแ กผ ูใชบ ริการใบรบั รองอเิ ล็กทรอนิกส ๖.๖ ควรอธิบายเกี่ยวกับการเผยแพรใ บรบั รองอเิ ลก็ ทรอนกิ สต ลอดจนวธิ กี ารแจงบคุ คลทเ่ี ก่ยี วขอ ง ใหทราบถงึ การตอ อายใุ บรบั รองอเิ ลก็ ทรอนิกส ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 71
-๑๑- ๗. การรบั รองคกู ุญแจใหม (Certificate Re-key) เนือ้ หาสว นนีค้ วรใหขอมลู เก่ียวกับการสรางคูก ญุ แจใหม รวมถงึ การออกใบรับรองอเิ ล็กทรอนกิ ส ใหมเพื่อรองรบั คูก ญุ แจใหม โดยผใู ชบรกิ ารหรือบคุ คลอื่น ๗.๑ กรณตี า งๆ ที่ผูใหบริการออกใบรับรองอิเล็กทรอนิกสสามารถหรือตองสรางคูกุญแจ และ ออกใบรับรองอเิ ล็กทรอนกิ สเพอื่ รองรับคูก ญุ แจใหมน้ี เชน กรณขี องการเพิกถอนใบรับรอง อเิ ล็กทรอนกิ ส หรือการหมดอายุการใชง านของคกู ญุ แจ ๗.๒ การกําหนดใหบคุ คลใดสามารถขอใบรบั รองอเิ ล็กทรอนิกสเพอื่ รองรับคูกญุ แจใหม ๗.๓ ควรมีวิธกี ารแจง การออกใบรบั รองอเิ ลก็ ทรอนกิ สใ หมใ หผ ใู ชบรกิ ารทราบ ๗.๔ ควรระบุวธิ ีการยอมรับใบรับรองอิเล็กทรอนิกสท ่ีผใู หบ รกิ ารออกใบรับรองอิเลก็ ทรอนิกส เพ่ือรองรบั คกู ุญแจใหม ๗.๕ ควรอธิบายเกี่ยวกับการเผยแพรใ บรับรองอิเล็กทรอนกิ สต ลอดจนวธิ กี ารแจงบุคคล ท่เี ก่ยี วขอ งใหทราบถงึ การออกใบรบั รองอิเลก็ ทรอนิกสเพ่ือรองรับคูก ุญแจใหม ๘. การแกไขเปล่ียนแปลงใบรบั รองอเิ ล็กทรอนกิ ส (Certificate Modification) เนอื้ หาสวนนคี้ วรใหข อ มลู เกยี่ วกบั การออกใบรบั รองอิเล็กทรอนกิ สใ หมอันเนือ่ งมาจากการแกไข เปลย่ี นแปลงขอ มลู ในใบรบั รองอิเลก็ ทรอนกิ สท่ีไมใชก ุญแจสาธารณะของผูใชบรกิ าร เชน ๘.๑ กรณตี างๆ ท่ผี ูใหบรกิ ารออกใบรับรองอิเล็กทรอนิกสอนุญาตใหผูใชบริการสามารถแกไข เปลี่ยนแปลงขอมูลในใบรับรองอิเล็กทรอนิกสได เชน การเปล่ียนช่ือ การเปล่ียนแปลง Distinguished Name และการเปลย่ี นบทบาทภาระหนา ท่ใี นทท่ี ํางาน ๘.๒ การกําหนดใหบุคคลใดสามารถขอแกไขเปล่ียนแปลงใบรับรองอิเล็กทรอนิกสได เชน ผใู ชบรกิ าร เจา หนาทีฝ่ ายบุคคล หรือเจาหนาทร่ี ับลงทะเบยี น เปน ตน ๘.๓ ควรมีวธิ ีการแจงการออกใบรับรองอเิ ลก็ ทรอนกิ สใ หมใหผใู ชบริการทราบ ๘.๔ ควรระบุวธิ กี ารยอมรบั ใบรบั รองอิเล็กทรอนกิ สท ี่ผูใหบรกิ ารออกใหใ หม ๘.๕ ควรอธิบายเก่ียวกับการเผยแพรใบรับรองอิเล็กทรอนิกสตลอดจนวิธีการแจงบุคคล ทีเ่ กี่ยวขอ งใหท ราบถงึ การออกใบรบั รองอเิ ล็กทรอนิกสใ หม ๙. การเพิกถอนและพักใชใบรับรองอิเลก็ ทรอนิกส (Certificate Revocation and Suspension) เน้ือหาสว นนค้ี วรใหข อ มูลเกยี่ วกบั การเพกิ ถอนและการพกั ใชใบรบั รองอิเล็กทรอนกิ ส ๙.๑ กรณีตางๆผูใหบริการออกใบรับรองอิเล็กทรอนิกส ใหมีการพักใชหรือเพิกถอนใบรับรอง อเิ ลก็ ทรอนกิ ส เชน การเลิกจางงานผูใชบริการ การสูญหายของอุปกรณเขารหัสลับ หรือ มีเหตอุ ันควรสงสยั วา มีการลว งรูกญุ แจสวนตวั โดยมิชอบ เปนตน 72 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์
-๑๒- ๙.๒ การกําหนดใหบุคคลใดสามารถขอเพิกถอนและพักใชใบรับรองอิเล็กทรอนิกสของ ผูใ ชบ ริการได เชน ผใู ชบรกิ าร และเจา หนาทีร่ บั ลงทะเบยี น เปน ตน ๙.๓ ควรมีการระบุกระบวนการขอเพิกถอนและพักใชใบรับรองอิเล็กทรอนิกส เชน การกําหนดใหเ จาหนา ที่รบั ลงทะเบยี น หรือผูใชบรกิ ารตองลงลายมือช่ือกํากับคําขอเพิกถอน ใบรบั รองอิเล็กทรอนิกส เปน ตน ๙.๔ ควรมีการกําหนดระยะเวลาทผ่ี ูใชบ รกิ ารสามารถขอเพิกถอนใบรับรองอเิ ลก็ ทรอนิกสได ๙.๕ ควรมีการกําหนดวิธีการที่คูกรณีที่เก่ียวของสามารถตรวจสอบสถานะของใบรับรอง อิเล็กทรอนกิ สไ ด ๙.๖ ในกรณีท่ีมีการใช Certificate Revocation List (CRL) ในการเผยแพรใบรับรอง อิเล็กทรอนิกสท่ีไดเพิกถอนและพักใช ควรมีการกําหนดความถี่ของการเผยแพรขอมูล ดังกลาว ระยะเวลาระหวางการสราง CRL และเวลาที่เผยแพร CRL ใหสาธารณะทราบ และถามีการใหบ รกิ ารตรวจสอบสถานะของใบรับรองอเิ ลก็ ทรอนกิ สแ บบออนไลน ก็ควรแจง ใหสาธารณะทราบถึงวิธกี ารใชง าน เงอื่ นไข และขอกําหนดทีเ่ กยี่ วขอ งดวย ๙.๗ ควรกาํ หนดระยะเวลาการพักใชใบรบั รองอเิ ลก็ ทรอนกิ ส ๑๐. บริการตรวจสอบสถานะของใบรบั รองอิเล็กทรอนกิ ส (Certificate Status Services) ขอมูลสวนนี้กลาวถึงบริการตรวจสอบสถานะของใบรับรองอิเล็กทรอนิกสสําหรับคูกรณี ท่เี กี่ยวขอ ง และควรมปี ระเดน็ ดังตอ ไปน้ี ๑๐.๑ ลกั ษณะของบรกิ ารตรวจสอบสถานะของใบรับรองอเิ ลก็ ทรอนิกส และสภาพพรอมใชงาน ของระบบบริการ รวมถึงนโยบายรองรับกรณีทร่ี ะบบไมสามารถใหบ ริการได ๑๐.๒ ลักษณะของบรกิ ารอ่นื ที่เกี่ยวของ ๑๑. การเลกิ ใชบ ริการใบรบั รองอเิ ลก็ ทรอนกิ ส (End of Subscription) ขอ มูลสว นนีก้ ลาวถงึ ขั้นตอนทผี่ ใู ชบรกิ ารปฏิบัติในการเลิกใชใบรับรองอิเล็กทรอนิกสซ่ึงอาจมี สาเหตุมาจากการหมดอายุของใบรับรองอิเล็กทรอนิกส หรือการเลิกใหบริการโดยผูใหบริการ ออกใบรับรองอเิ ลก็ ทรอนกิ ส ๑๒. การเกบ็ รักษาและการกูคืนกุญแจ (Key Escrow and Recovery) ผใู หบรกิ ารออกใบรับรองอิเล็กทรอนิกสควรระบุนโยบายเกี่ยวกับการเก็บรักษาและการกูคืน กุญแจสว นตัว และการปอ งกัน Session Key (Session Key Encapsulation) สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 73
-๑๓- บทที่ ๕ การควบคุมความมั่นคงปลอดภัยของเครื่องมืออุปกรณ การบริหารจัดการ และ การดาํ เนนิ งาน (Facility, Management, and Operational Controls) สาํ หรบั เนือ้ หาในบทนจ้ี ะครอบคลุมการควบคุมและการรกั ษาความม่ันคงปลอดภัยทางกายภาพ สําหรับกรณีท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกสตองใชในการสรางกุญแจ (Key Generation) การยนื ยันตวั บุคคล (Subject Authentication) การออกใบรับรองอิเล็กทรอนิกส (Certificate Issuance) การเพกิ ถอนใบรบั รองอเิ ลก็ ทรอนิกส (Certificate Revocation) การตรวจสอบระบบและเกบ็ รักษาขอมูล (Auditing and Archiving) ใหม น่ั คงปลอดภัย ดังน้ัน จึงควรมีการกําหนดวิธีการในการรักษาความม่ันคงปลอดภัยของบุคคลที่เก่ียวของ เพอื่ สรางความเช่ือมน่ั ในการใชง านใบรบั รองอิเล็กทรอนิกส และปอ งกนั มใิ หม ีการบกุ รุก หรือเขา ถงึ ระบบ หรือลวงรูขอมูลในระบบการใหบริการของผูใหบริการออกใบรับรองอิเล็กทรอนิกส รวมท้ังปองกัน มใิ หเกิดความผดิ พลาดในขอมลู ท่ีใชใ นการสรางใบรับรองอเิ ลก็ ทรอนิกส หรือรายการเพิกถอนใบรับรอง อเิ ลก็ ทรอนกิ สก รณที ีม่ ีการลว งรูก ญุ แจสวนตวั ของผใู หบรกิ ารออกใบรับรองอเิ ลก็ ทรอนกิ สโดยมชิ อบ ท้ังน้ี ความม่ันคงปลอดภัยทางกายภาพ (Physical Security Controls) น้ัน ครอบคลุมในเร่ือง ดังตอไปน้ี ๑. สถานทต่ี ั้งหรือการกอ สรา งสาํ นักงานในการใหบรกิ าร (Site Location and Construction) เน้ือหาในสวนนี้ควรมีการกําหนดพื้นที่ท่ีมีการรักษาความม่ันคงปลอดภัยเปนพิเศษ (High Security Zone) หรือการใชหองและตูนิรภัย การติดต้ังระบบโทรทัศนวงจรปด และระบบตรวจจับ การบุกรกุ ทางกายภาพ เปนตน ๒. การเขาถงึ ทางกายภาพ (Physical Access) ควรกําหนดเก่ียวกับการเขาออกระหวางพื้นที่สํานักงานกับพ้ืนที่ที่มีการรักษาความม่ันคง ปลอดภัยเปนพิเศษ การเคล่ือนยายจากพ้ืนท่ีหนึ่งไปยังอีกพ้ืนท่ีหน่ึง ใหมีการปองกันการเขาถึงทาง กายภาพ เชน การพสิ ูจนตวั บุคคลกอ นอนญุ าตใหเขา ถงึ ระบบใหบ รกิ ารได อาจทาํ ไดโ ดยการใชบ ัตรแถบ แมเ หล็ก และการตรวจสอบลายนิ้วมอื เปน ตน นอกจากน้ี ยงั ควรมกี ารคํานึงถึงการบริหารจัดการระบบ ไฟฟา และระบบปรบั อากาศ การปองกันภยั จากน้ํา การจัดเกบ็ Backup Media ไวในสถานท่อี น่ื ท่ีไดรับ การปอ งกนั การเขาถึง ปอ งกนั ภยั จากไฟและน้ํา ๓. การควบคุมความมัน่ คงปลอดภยั ดา นกายภาพ (Physical Security Controls) ผูใหบริการออกใบรับรองอิเล็กทรอนิกสควรบรรยายวิธีการควบคุมดานกายภาพของสถานท่ี ประกอบการในหัวขอดังตอ ไปนี้ ๓.๑ สถานท่ีตง้ั ของผูใ หบ ริการออกใบรับรองอเิ ลก็ ทรอนิกส และการจัดแบงพ้ืนท่ีตามระดับของ ความมัน่ คงปลอดภัยทต่ี องการ ๓.๒ การควบคุมการเขาถึงพ้ืนทีท่ ตี่ อ งการระดับความม่นั คงปลอดภัยที่ตา งกนั 74 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์
-๑๔- ๓.๓ การดแู ลเรอื่ งพลังงานไฟฟา การไหลเวียนของนํ้า การควบคุมสภาพอากาศ อุณหภูมิและ ความชื้นสัมพัทธ การปองกันการเกดิ อัคคภี ยั เพอื่ ปองกันการหยุดชะงักของการใหบริการ จากเหตุเหลาน้ี ๓.๔ การเก็บรักษาส่ือที่ใชเก็บขอมูลของผูใหบริการออกใบรับรองอิเล็กทรอนิกสใหมั่นคง ปลอดภัย ตลอดจนการกําหนดใหมีการสํารองขอมูลนอกสถานท่ีประกอบการเพ่ือปองกัน การสูญเสยี หรอื สูญหายของขอมลู ๔. การควบคมุ กระบวนการตางๆ ในการดาํ เนนิ การ (Procedural Controls) ผูใ หบ รกิ ารออกใบรับรองอิเล็กทรอนิกสควรมีการจัดบทบาทและหนาท่ีของบุคลากรในองคกร ใหเหมาะสม และกําหนดนโยบายเกย่ี วกบั การทาํ งานของบคุ ลากรในแตละบทบาท เชน วิธีการระบุและ ยืนยันตัวบุคคล หรือวิธีการเขาถึงขอมูลสําคัญโดยบุคคลในบทบาทตางๆ โดยการแบงแยกหนาที่ ซ่งึ ไมอนญุ าตใหบ ุคคลหน่งึ รับหนา ทใ่ี นหลายบทบาทดวยเหตุผลดา นความมน่ั คงปลอดภัยของขอ มลู ๕. การกูคืนระบบอันเกิดจากพฤติการณที่กระทบตอความมั่นคงปลอดภัยของขอมูลและ ภยั พิบัติอันเกดิ แกระบบ (Compromise and Disaster Recovery) ผูใหบริการออกใบรบั รองอิเล็กทรอนิกสควรมีนโยบายในการกูคืนระบบอันเกิดจากพฤติการณ ท่ีกระทบตอความมั่นคงปลอดภัยของขอมูลและภัยพิบัติอันเกิดแกระบบ เชน ขอมูลถูกทําลาย อนั เน่ืองมาจากอุบัติเหตุหรือสาเหตุอืน่ ใด เพ่อื ใหก ารใหบ รกิ ารไมห ยุดชะงกั ๖. การเลิกกจิ การของผูใหบ ริการออกใบรบั รองอเิ ลก็ ทรอนกิ สแ ละเจาหนา ท่ีรับลงทะเบียน (CA or RA Termination) ในกรณีท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกสหรือเจาหนาท่ีรับลงทะเบียนเลิกกิจการ จะตองมีการแจงใหบุคคลท่ีเกี่ยวของทราบ รวมถึงผูที่รับผิดชอบขอมูลของผูใหบริการออกใบรับรอง อิเลก็ ทรอนิกสแ ละเจา หนา ทรี่ ับลงทะเบียนเพอ่ื ใหเกดิ ผลกระทบตอ ผูใชบรกิ ารนอ ยทสี่ ุด บทท่ี ๖ การควบคมุ ความมน่ั คงปลอดภยั ดา นเทคนคิ (Technical Security Controls) สําหรบั เนือ้ หาในสวนน้เี ปนการกาํ หนดมาตรการดา นการรักษาความมั่นคงปลอดภัยของกุญแจ และขอ มูลสําหรับอนญุ าตใหใ ชกญุ แจ เชน PIN และ Password และประเด็นตา งๆ ทีเ่ กย่ี วกับการบรหิ าร จัดการกุญแจ ๑. การสรา งและตดิ ต้งั คูกญุ แจ (Key Pair Generation and Installation) การสรางและการตดิ ตั้งคกู ญุ แจมปี ระเดน็ ทต่ี อ งพิจารณาและกําหนดเปนนโยบาย ดังตอไปน้ี ๑.๑ ใครเปนผสู รา งคกู ญุ แจใหผ ใู ชบ ริการ และสรา งโดยซอฟตแ วรห รอื ฮารด แวร ๑.๒ วิธีการทผ่ี ูใชบรกิ ารจะไดรบั กญุ แจสว นตวั ของตนแบบม่นั คงปลอดภยั เปนไปไดอ ยางไรบาง สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 75
-๑๕- ๑.๓ วธิ กี ารท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกสจะไดรับกุญแจสาธารณะของผูใชบริการ แบบม่นั คงปลอดภัยเปน ไปไดอ ยา งไรบา ง ๑.๔ คูกรณที เี่ กี่ยวของจะไดรบั กญุ แจสาธารณะของผูใหบ รกิ ารออกใบรับรองอเิ ลก็ ทรอนิกสแบบ มัน่ คงปลอดภัยเปนไปไดอ ยา งไรบาง ๑.๕ ความยาวของคกู ุญแจเปนเทาใด เชน กุญแจอาจมคี วามยาว 1,024 บติ RSA และ 1,024 บิต DSA ๑.๖ ใครเปนผูที่กําหนดพารามิเตอรของกุญแจสาธารณะ และมีการตรวจสอบคุณภาพของ พารามเิ ตอรร ะหวา งการสรา งกุญแจหรอื ไม ๑.๗ วัตถปุ ระสงคท่ีอาจจะนําคกู ญุ แจไปใช หรอื วตั ถปุ ระสงคทค่ี วรจํากดั การใชคูกุญแจคืออะไร สาํ หรบั ใบรับรองตาม X.509 น้นั วัตถุประสงคเหลานี้ควรจะสอดคลองกับการใชงานกุญแจ ตามมาตรฐาน X.509 เวอรช ่ัน 3 ๒. การปองกนั กุญแจสว นตัว (Private Key Protection) และการจัดการควบคมุ ช้ินสว น สําหรบั การเขา รหัสลับ (Cryptographic Module Engineering Control) ในสวนนี้ควรกําหนดวิธีการปอ งกันกุญแจสวนตัวและการใชงานช้ินสวนสําหรับการเขารหัสลับ ของผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาท่ีรับลงทะเบียน ผูใชบริการ และผูใหบริการเก็บ ขอมูล โดยคํานึงถึงความม่ันคงปลอดภัยและความเสียหายอันเกิดจากการเก็บรักษากุญแจสวนตัว การสาํ รองกญุ แจสว นตวั และการบันทกึ ถาวรกุญแจสวนตัว ทั้งน้ี ใหพ จิ ารณาคําถาม ดังตอ ไปนี้ ๒.๑ ถามีการใชงานช้ินสวนสําหรับการเขารหัสลับ (อาจเปนซอฟตแวร ฮารดแวร และ หรือ เฟรมแวร) ควรจะอา งอิงตามมาตรฐานใด ๒.๒ จําเปนตองมีการควบคุมการเขาถึงกุญแจสวนตัว โดยผูมีสิทธิมากกวา ๑ คนหรือไม (แบบ m out of n) ๒.๓ มนี โยบายในการเก็บรกั ษากุญแจสว นตัวหรือไม (Key Escrow) ๒.๔ มนี โยบายในการสาํ รองกญุ แจสว นตวั หรอื ไม (Private Key Backup) ๒.๕ มนี โยบายในการบันทกึ ถาวรกญุ แจสวนตัวหรอื ไม (Private Key Archival) ๒.๖ ในกรณใี ดบา งทจ่ี ะมกี ารถา ยโอนกญุ แจสวนตวั เขาไปในหรอื ออกจากช้นิ สว นสาํ หรบั เขา รหสั ลบั ๒.๗ การจดั เกบ็ กุญแจสวนตัวในชิ้นสวนสําหรับเขารหัสลับ (Private Key Storage in Cryptographic Module) จะทําดวยวิธีใด เชน เก็บในรูปแบบขอมูลธรรมดาที่อานเขาใจได (Plaintext) รูปแบบของขอมูลทีม่ ีการเขารหสั ลับ (Encrypted) หรอื การแยกกญุ แจ (Split Key) เปนตน ๒.๘ ใครเปนผทู ม่ี ีสทิ ธใิ นการใชง านกุญแจสว นตวั ดวยวิธีอยา งไร ๒.๙ ใครเปน ผูมสี ิทธใิ นการยกเลิกการใชง านกุญแจสว นตัว ดวยวธิ ีอยางไร ๒.๑๐ ใครมสี ทิ ธิทาํ ลายกุญแจสว นตวั ดว ยวธิ ีอยางไร 76 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
-๑๖- ๒.๑๑ รายละเอียดความสามารถของชิ้นสวนสําหรับเขารหัสลับ เปนอยางไร (อาจอางถึง มาตรฐานทเ่ี กีย่ วขอ ง เชน FIPS 140-1 ๓. รายละเอยี ดอน่ื เกี่ยวกบั การจัดการและบรหิ ารคกู ุญแจ (Other Aspects of Key Pair Management) ในสวนนี้ควรกําหนดวิธีการในการจัดการและบริหารคูกุญแจของผูใหบริการออกใบรับรอง อิเล็กทรอนิกส เจาหนาท่ีรับลงทะเบียน ผูใชบริการ และผูใหบริการเก็บขอมูล โดยพิจารณาคําถาม ดังตอ ไปน้ี ๓.๑ ควรมีการเก็บบันทึกถาวรของกุญแจสาธารณะ (Public Key Archival) หรือไม ถามีใคร จะเปนผูทําหนาท่ีเก็บบันทึกถาวร และการควบคุมความม่ันคงปลอดภัยของระบบเก็บ บนั ทกึ ถาวร ทงั้ ในเร่ืองความจาํ เปนในการปกปองซอฟตแวร และฮารดแวรท่ีเก่ียวของกับ การใชงานกญุ แจสาธารณะอยตู ลอดเวลา ๓.๒ ระยะเวลาใชง านของใบรบั รองอเิ ลก็ ทรอนกิ ส และคูก ญุ แจของผูใชบ รกิ ารเปน เทาใด ๔. ขอมูลทใี่ ชใ นการติดตัง้ ใบรับรองของผูใชบริการ (Activation Data) เนอ้ื หาในสวนน้คี วรกําหนดวิธกี ารปอ งกันขอมูลท่ีจําเปนตองใชในการติดต้ังใบรับรองของผูใช บรกิ าร (Activation Data) ซ่ึงอาจหมายถึง รหัสอางอิง (Reference Code) และรหัสติดต้ัง (Installation Code) เพ่ือใชในการยนื ยันตวั ผูใชบ รกิ ารในขั้นตอนการติดตงั้ ใบรับรอง ซึ่งเปน ขอมูลที่ผูใชบริการไดรับ จากผใู หบ ริการออกใบรับรองอเิ ล็กทรอนกิ สโ ดยตรงหรือจากเจา หนา ทร่ี ับลงทะเบียน ๕. การควบคมุ ความมั่นคงปลอดภัยของระบบคอมพิวเตอร (Computer Security Controls) เนอ้ื หาในสวนนีค้ วรอธบิ ายการควบคุมความมน่ั คงปลอดภัยของระบบคอมพิวเตอร เพื่อใหเกิด ความนาเชอ่ื ถือของระบบผใู หบรกิ ารออกใบรบั รองอิเล็กทรอนิกส โดยมีการควบคุมการเขาถึง (Access Control) มีการตรวจสอบ (Audit) ระบบของผูใหบรกิ ารออกใบรบั รองอิเลก็ ทรอนิกส การยืนยันตัวบุคคล (Identification และ Authentication) การทดสอบระบบความม่ันคงปลอดภัย (Security testing) และ ทดสอบการบุกรุกระบบ (Penetration Testing) โดยท่ีระบบการควบคุมความม่ันคงปลอดภัยน้ันตอง ไดร ับการประเมินตามมาตรฐานสากล เชน The Trusted System Evaluation Criteria (TCSEC) ๖. การควบคมุ ทางเทคนคิ ของระบบใหบรกิ าร (Life Cycle Technical Controls) เน้อื หาในสวนนี้ควรจะกลาวถึงการควบคุมการพัฒนาระบบและการควบคุมการบริหารจัดการ ดานความม่ันคงปลอดภัย การควบคุมการพัฒนาระบบนั้นรวมความถึงความมั่นคงปลอดภัยของ สภาพแวดลอ มในการพฒั นาระบบ บุคลากรทพ่ี ัฒนาระบบ และการออกแบบระบบ เปนตน การควบคุมการบริหารจัดการดานความม่ันคงปลอดภัย หมายความถึง การใชเครื่องมือ อุปกรณ (Tools) และกระบวนการ (procedure) เพื่อใหเกิดความม่ันใจดานความม่ันคงปลอดภัยของ ระบบปฏบิ ตั กิ าร (Operational Systems) และระบบเครอื ขาย (Networks) สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 77
-๑๗- ๗. การควบคมุ ความม่นั คงปลอดภัยทางเครอื ขา ย (Network Security Controls) เน้ือหาในสวนน้ีระบุการควบคุมความม่ันคงปลอดภัยทางเครือขายของระบบผูใหบริการออก ใบรับรองอิเล็กทรอนิกส โดยปองกันมิใหเขาถึงระบบไดโดยมิชอบดวยกลไกของอุปกรณรักษาความ ม่ันคงปลอดภัยหลายสวนหลายลําดับช้ัน ไดแก อุปกรณเลือกเสนทาง (Router) ตัวปองกันการบุกรุก (Firewall) ระบบตรวจสอบผูบ กุ รกุ (Intrusion Detection System: IDS) ๘. ขอกาํ หนดสาํ หรับการประทับเวลาในบนั ทกึ ตางๆ (Time-stamping) หากกาํ หนดใหมีการประทับเวลาในบันทกึ ตางๆ ควรระบไุ วในสวนน้ี และกลาวถึงแหลง ที่มาของ เวลาและความนาเชอื่ ถือประกอบดว ย บทท่ี ๗ การกําหนดรปู แบบของใบรบั รองอเิ ล็กทรอนิกส รายการเพกิ ถอน และสถานะของ ใบรบั รองอเิ ลก็ ทรอนกิ ส (Certificate, CRL, and OCSP Profiles) ๑. รูปแบบของใบรบั รองอิเลก็ ทรอนิกส (Certificate Profile) เนือ้ หาในสว นน้กี ําหนดรายละเอียดเกีย่ วกับประเด็นดงั ตอไปนี้ (อา งองิ ตาม IETF RFC 3280) ๑.๑ เวอรช่ันของใบรบั รองอิเลก็ ทรอนกิ สท ่สี นบั สนุน ๑.๒ ขอมูลใน Certificate Extensions และความสําคัญ (Criticality) ของขอมูลดังกลาว OID ของข้ันตอนวธิ ีการเขา รหัสลับ (Cryptographic Algorithm Object Identifiers) ๑.๓ รูปแบบช่ือของผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาท่ีรับลงทะเบียน และ ผูใชบรกิ าร ๑.๔ OID ของแนวนโยบายทเี่ กีย่ วของ ๒. รปู แบบรายการเพกิ ถอนใบรบั รอง (Certification Revocation List Profile) ๒.๑ เนือ้ หาในสว นนก้ี ําหนดรายละเอียดเก่ยี วกับประเด็นดงั ตอไปนี้ (อางอิงตาม IETF RFC 3280) เวอรช ่นั ของรายการเพิกถอนใบรบั รองทสี่ นับสนุน และ ๒.๒ รายการเพิกถอนใบรับรอง และขอมูลใน CRL Entry Extensions และความสําคัญของ ขอมูลดงั กลา ว (Criticality) ๓. รปู แบบโปรโตคอล OCSP (OCSP Profile) ในสว นนี้แสดงถึงเนอื้ หาและรปู แบบของขอ มลู ทีใ่ ชในการตรวจสอบสถานะของใบรับรองโดย ใชโ ปรโตคอล OCSP (Online Certificate Status Protocol) รวมทง้ั ขอ มูลอน่ื ๆ เชน เวอรช่นั ของ OCSP และขอ มลู เพ่มิ เติมทีส่ ามารถระบุลงไปใน OCSP (อางอิงตาม IETF RFC 2560) 78 สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
-๑๘- บทที่ ๘ การตรวจสอบการปฏิบัติตามกฎขอบังคับตางๆ และการประเมินความเส่ียงอื่นๆ (Compliance Audit and Other Assessment) สําหรับเน้ือหาในสวนน้ีจะตองกําหนดเกี่ยวกับรายการท่ีตองมีการประเมินความเสี่ยง หรือ ระเบยี บวธิ ี (Methodology) ท่ใี ชในการประเมินความเสย่ี ง เชน การประเมนิ ความเสย่ี งตามแนวทางของ WebTrust เปน ตน นอกจากนั้น ก็อาจกําหนดความถี่ของการตรวจสอบหรือประเมินความเส่ียง ทั้งน้ี ในการ ประเมินน้ัน ก็ตอ งประเมินตามแนวนโยบายและแนวปฏิบัติ และประเมินท้ังกอนมีการใหบริการ เม่ือมี การใหบริการ และการตรวจสอบกรณีมีความเปนไปไดท่ีจะมีการลวงรูโดยมิชอบอันเปนการกระทบ ถึงความมนั่ คงปลอดภัย ทั้งน้ี จําเปนตองระบุคุณสมบัติของบุคลากรที่ทําหนาที่ตรวจสอบและประเมินความเสี่ยง การดาํ เนินการเก่ียวกบั ผลการประเมนิ เชน การระงับการดาํ เนนิ การชวั่ คราว หรอื การเพกิ ถอนใบรบั รอง ทีอ่ อก เปนตน บทที่ ๙ ขอ กาํ หนดอนื่ ๆ และประเดน็ กฎหมาย (Other Business and Legal Matters) สําหรับเน้ือหาในสวนนี้ จะกําหนดเก่ียวกับการจัดเก็บคาธรรมเนียม (Fees) ความรับผิดชอบ ทางการเงิน (Financial Responsibility) ทั้งในสวนที่เก่ียวกับการดําเนินการหรือกรณีมีการเรียกรอง คา เสยี หายจากการใหบ ริการเกิดข้นึ รวมทัง้ ประเดน็ ขอกฎหมายตา งๆ อยางไรก็ตาม ในการจัดทําแนวนโยบายและแนวปฏิบัติ นั้น หากผูใหบริการออกใบรับรอง อิเล็กทรอนิกส ตองการใหเอกสารฉบับดังกลาวถือเปนสัญญาฉบับหน่ึงหรือเปนสวนหน่ึงของสัญญา ในการใหบริการ ก็อาจจําเปนตองพิจารณาเพิ่มเติมเนื้อหาเก่ียวกับขอจํากัดความรับผิด (Limitation of Liability) ไวในแนวนโยบายหรือแนวปฏิบัติ ดวย แตหากไมประสงคใหแนวนโยบายและแนวปฏิบัติ เปนสัญญาหรอื สว นหนง่ึ ของสญั ญาในการใหบริการ กอ็ าจจําเปน ตองมีการจดั ทําสญั ญาในการใหบ ริการ ผูใชบรกิ าร หรือคูกรณที ่เี กย่ี วขอ งซ่งึ มีขอความกําหนดเก่ียวกับขอจํากัดความรับผิดของบุคคลดังกลาว ในการใหบ รกิ ารเอาไวดวย ๑. คาธรรมเนยี ม (Fees) สําหรบั คาธรรมเนียมในการใหบ รกิ ารนน้ั อาจกาํ หนดใหผ ใู หบ ริการออกใบรบั รองอเิ ล็กทรอนิกส ซง่ึ ใหบ รกิ ารออกใบรบั รองอิเล็กทรอนิกส ผูใหบ ริการเกบ็ รักษาขอ มูล หรือผูใหบริการในฐานะเจาหนาท่ี รับลงทะเบียน จัดเก็บคาธรรมเนียมไดจากกรณีที่มีการออกใบรับรองอิเล็กทรอนิกส หรือตออายุ ใบรับรองดังกลาว (Certificate Issuance or Renewal Fees) คาธรรมเนียมในการเขาถึงใบรับรอง (Certificate Access Fees) การเขาถึงขอมูลเกี่ยวกับการเพิกถอนหรือสถานะลาสุดของใบรับรอง อิเล็กทรอนิกส คาธรรมเนียมสําหรับบริการอื่นๆ เชน การเขาถึงแนวนโยบายหรือแนวปฏิบัติ ท้ังนี้ ผูใหบรกิ ารออกใบรับรองอเิ ลก็ ทรอนกิ ส อาจจัดทํานโยบายในการคืนคาธรรมเนียม (Refund Policy) ไวดว ย สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 79
-๑๙- ๒. ความรับผิดชอบทางการเงิน (Financial Responsibility) เน้ือหาในสว นน้คี วรกําหนดขึน้ เกยี่ วกับความรบั ผดิ ในการดาํ เนินการที่เกิดข้ึน (Operational PKI Responsibilities) การรักษาสถานะของผูใหบ รกิ ารใหสามารถชาํ ระหนี้และจา ยคาเสียหายในกรณีท่ีตอง รับผิดได (to Remain Solvent and Pay Damages) ทั้งน้ี อาจมีการเพิ่มเติมเนื้อหาท่ีเกี่ยวกับวงเงิน ประกันความเสียหายท่ีคุมครองความรับผิดท่ีเกิดขึ้น (Insurance Coverage for Liabilities) และความ รับผิดในอนาคต (Contingencies) สินทรัพยท่ีปรากฏในงบดุล (Assets on The Balance Sheet) หนังสือค้ําประกัน (Surety Bond) เล็ตเตอร ออฟ เครดิต (Letter of Credit) คาสินไหมทดแทน (Indemnity) และอาจใหค วามคมุ ครองเพิม่ เติมดวยการกําหนดเกย่ี วกบั การประกันภัย (Insurance) หรือ การใหค ํารับรอง (Warranty) ๓. การรกั ษาความลับของขอ มลู ทางธุรกิจ (Confidentiality of Business Information) ดว ยขอมูลบางประเภทเปนความลับทางธุรกิจที่จําเปนตองเก็บไวเปนความลับ เชน แผนทาง ธรุ กจิ (Business Plan) ขอมลู การขาย (Sales Information) ความลับทางการคา (Trade Secrets) และ ขอมูลท่ีไดจากบุคคลท่ีสามภายใตขอตกลงไมเปดเผยความลับ (Nondisclosure Agreement) จึงจาํ เปนตอ งกําหนดขอบเขตในการรกั ษาความลับ ขอมูลที่อยูนอกเหนือจากขอตกลงวาดวยการรักษา ความลับ และความรับผิดของบุคคลที่เก่ียวของซ่ึงไดรับขอมูลลับนั้น ทั้งน้ี อาจตองมีกลไกทําใหเกิด ความเชื่อม่ันวาจะมีการปกปองมิใหเกิดพฤติการณที่กระทบตอความมั่นคงปลอดภัยของขอมูล (Compromise) ๔. นโยบายในการรกั ษาความเปนสว นตัวหรือขอมลู สว นบคุ คล (Privacy of Personal Information) ในการใหบริการของผูใหบรกิ ารออกใบรบั รองอเิ ล็กทรอนกิ ส เจา หนาท่รี ับลงทะเบยี น หรือบคุ คล อ่นื ๆ ซงึ่ ใหบริการที่เกยี่ วขอ งน้ัน จาํ เปน ตอ งใหความสําคัญสําหรับการรักษาความเปนสวนตัวหรือเก็บ ขอมลู สวนบุคคลของผูใชบ ริการไวเปนความลับ จะเปดเผยไดเพียงขอมูลบางอยางเทาน้ัน เชน ขอมูล ท่ีตอ งเผยแพรโดยการบนั ทึกไวใ นใบรบั รองอิเลก็ ทรอนกิ ส ไดแก ชื่อ ชอ่ื สกลุ ของผูใชบรกิ าร เปน ตน ดงั นน้ั การดําเนินการเก่ียวกับขอมูลสวนบุคคลจึงตองดําเนินการตามกฎหมายวาดวยการน้ัน หรอื กรณที ีย่ ังไมมีการใชบังคับกฎหมายเชนวานั้น ก็อาจจําเปนตองดําเนินการตามหลักเกณฑในการ ใหความคมุ ครองในเรอ่ื งดงั กลาวตามมาตรฐานสากล เชน ตามแนวทางของ OECD Guidelines ดวยเหตุน้ี ในการดําเนินการใดๆ เกี่ยวกับขอมูลสวนบุคคล จึงควรไดรับความยินยอมจาก ผูใชบริการ กอนจะมีการเปดเผยขอมูลสวนบุคคลดังกลาว ทั้งน้ี จะตองกําหนดขอยกเวนกรณี ที่จําเปนตองมีการเปดเผยขอมูลสวนบุคคลในกรณีที่ตองดําเนินการตามกฎหมายฉบับตางๆ หรือ เมื่อมีคําสัง่ ศาล หรือเมื่อมีคาํ สั่งทางปกครอง เปนตน ไวด ว ย ๕. ทรพั ยส นิ ทางปญญา (Intellectual Property Rights) ใหกําหนดเรื่องทรัพยสินทางปญญา อันไดแก ลิขสิทธ์ิ สิทธิบัตร เครื่องหมายการคา หรือ ความลับทางการคาซึ่งบุคคลท่ีเกี่ยวของอาจมีหรือใชสิทธิเรียกรองตามท่ีกําหนดไวในแนวนโยบาย 80 สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
-๒๐- แนวปฏิบตั ิ ใบรบั รองอิเล็กทรอนกิ ส ชอื่ กุญแจ หรอื ภายใตก ารอนญุ าตหรอื ที่กําหนดไวในขอตกลงใดๆ กับบุคคลทเ่ี กย่ี วขอ ง ๖. คาํ รบั รอง (Representations and Warranties) ในสวนน้จี ะกาํ หนดใหบคุ คลท่ีเก่ียวของทําคํารับรองในเรื่องตางๆ ท่ีกําหนดไวในแนวนโยบาย หรือแนวปฏิบัติ เชน การกําหนดใหผ ูใหบ รกิ ารออกใบรบั รองอเิ ลก็ ทรอนิกส ตองใหการรับรองวา ขอมูล หรอื ขอเท็จจริงทบ่ี ันทกึ ไวในใบรับรองอิเล็กทรอนิกสน น้ั ถกู ตอง ตามท่ีไดมกี ารกาํ หนดใหแ นวปฏิบตั ิเปน ขอตกลงในการใหบริการ รวมทั้งกรณีมีการกําหนดใหมีการใหคํารับรองท่ีกําหนดไวในสัญญาหรือ ขอตกลงอ่ืนๆ เชน ขอตกลงในการใหบริการกับผูใชบริการ (Subscriber Agreement) และขอตกลง ในการใหบริการกบั คกู รณที เี่ กี่ยวขอ ง (Relying Party Agreement) ๗. การปฏเิ สธความรับผิดตามคาํ รับรอง (Disclaimers of Warranties) ในเนือ้ หาของแนวนโยบายหรือแนวปฏิบัติน้ัน ใหมีการกําหนดเกี่ยวกับการปฏิเสธความรับผิด ตามคาํ รับรองหรอื กาํ หนดเน้ือหาเกยี่ วกับเร่อื งดงั กลาวไวในสัญญาในการใหบรกิ ารฉบับตาง ๆ ๘. ขอ จาํ กัดความรับผดิ (Limitations of Liability) ในการใหบริการน้นั อาจมีการกําหนดเกี่ยวกับขอจํากัดความรับผดิ ไวดวยกไ็ ด โดยอาจพิจารณา จากลกั ษณะของการจํากัดความรับผิด และจํานวนเงินคาเสียหายที่จํากัดความรับผิด เชน คาเสียหาย อันเน่ืองมาจากการผิดสัญญา (Incidental Damages) คาเสียหายจากการสูญเสียกําไรในอนาคต (Consequential Damages) ๙. คาสนิ ไหมทดแทน (Indemnities) สําหรับการชดใชคาสินไหมทดแทนน้ัน อาจมีการกําหนดใหคูสัญญาฝายใดตองรับผิด ทั้งนี้ โดยอาจมกี ารกาํ หนดไวใ นแนวนโยบาย แนวปฏบิ ัติ หรอื สญั ญา หรอื ขอ ตกลงตางๆ เชน การกําหนดให ผูใชบริการตอ งรับผิดในการชดใชคาสนิ ไหมทดแทนกรณีท่ผี ใู ชบริการไดแ ถลงขอมลู หรอื ขอเท็จจริงของ ตนท่ีตองบันทึกไวในใบรับรองอิเล็กทรอนิกสเปนเท็จหรือไมตรงกับความจริง หรือกรณีที่คูกรณี ท่ีเก่ียวของตองรับผิดชดใชคาสินไหมทดแทนท่ีเกิดข้ึนกับผูใหบริการออกใบรับรองอิเล็กทรอนิกส ในกรณีที่ไมต รวจสอบการเพกิ ถอนใบรบั รองอิเลก็ ทรอนกิ ส สาํ หรบั ในบทที่ ๙ นี้ นอกจากหวั ขอขางตน แลว อาจมกี ารกาํ หนดเน้ือหาเกย่ี วกับการเลิกสัญญา การติดตอส่ือสารระหวางผูใหบริการและผูใชบริการ การแกไขปรับปรุงแนวนโยบาย หรือแนวปฏิบัติ การระงบั ขอพิพาท กฎหมายท่ีใชบังคับ รวมท้ังเนื้อหาอื่นๆ ท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกส ประสงคจ ะกําหนดเพ่มิ เติมไดอ กี ดว ย เอกสารอา งอิง Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 3647) สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 81
82 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
ประกาศคณะกรรมการธุรกรรมทางอเิ ล็กทรอนิกส เรื่อง หลักเกณฑและวธิ ีการในการจัดทําหรอื แปลงเอกสาร และขอ ความใหอ ยใู นรปู ของขอมลู อเิ ลก็ ทรอนกิ ส พ.ศ. ๒๕๕๓ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 83
ช่อื กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง หลักเกณฑและวิธีการในการจัดทําหรือ แปลงเอกสารและขอ ความใหอ ยใู นรูปของขอมูลอเิ ลก็ ทรอนิกส พ.ศ. ๒๕๕๓ ประกาศในราชกจิ จานเุ บกษา เลม ๑๒๗ / ตอนพเิ ศษ ๑๒๔ ง / หนา ๔๗ / วนั ที่ ๒๖ ตลุ าคม ๒๕๕๓ เรม่ิ บงั คับใช วนั ที่ ๒๗ ตุลาคม ๒๕๕๓ 84 สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
เลม ๑๒๗ ตอนพเิ ศษ ๑๒๔ ง หนา ๔๗ ๒๖ ตลุ าคม ๒๕๕๓ ราชกิจจานุเบกษา ประกาศคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกส เร่อื ง หลักเกณฑแ ละวธิ กี ารในการจดั ทําหรอื แปลงเอกสารและขอ ความใหอ ยใู นรปู ของ ขอมูลอเิ ล็กทรอนิกส พ.ศ. ๒๕๕๓ โดยที่พัฒนาการทางเทคโนโลยีในปจจุบันทําใหรูปแบบและวิธีการในการติดตอส่ือสาร การรับสงเอกสารและขอมูล ตลอดจนการทําธุรกรรมปรับเปลี่ยนไปเปนรูปแบบของธุรกรรม ทางอเิ ลก็ ทรอนิกสมากข้ึน รวมถงึ เอกสารหรือขอ ความท่ไี ดม ีการจัดทําหรือแปลงใหอยูในรูปของขอมูล อิเล็กทรอนิกสในภายหลัง และโดยท่ีกฎหมายวาดวยธุรกรรมทางอิเล็กทรอนิกสกําหนดใหการจัดทํา หรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกสเปนไปตามหลักเกณฑและวิธีการ ที่คณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ สก ําหนด อาศัยอํานาจตามความในมาตรา ๑๒/๑ วรรคสอง แหงพระราชบัญญัติวาดวยธุรกรรม ทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ซง่ึ แกไขเพิ่มเติมโดยพระราชบญั ญัตวิ า ดวยธรุ กรรมทางอิเล็กทรอนิกส (ฉบับที่ ๒) พ.ศ. ๒๕๕๑ คณะกรรมการธุรกรรมทางอิเล็กทรอนกิ สจ งึ ออกประกาศไว ดังตอ ไปนี้ ขอ ๑ ประกาศน้ีเรียกวา “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง หลักเกณฑ และวธิ กี ารในการจดั ทําหรือแปลงเอกสารและขอ ความใหอยใู นรูปของขอมลู อิเลก็ ทรอนิกส พ.ศ. ๒๕๕๓” ขอ ๒ ในประกาศน้ี “การจดั ทาํ หรือแปลงเอกสารและขอความใหอ ยใู นรูปของขอมลู อเิ ลก็ ทรอนิกส” หมายความวา การจัดทาํ หรือแปลงเอกสารและขอ ความตามประกาศคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนิกสฉบับนี้ “ผูจดั ทาํ หรอื แปลง” หมายความวา บุคคลผจู ดั ทําหรือแปลงเอกสารและขอความใหอยูในรูปของ ขอมูลอิเล็กทรอนิกส และใหหมายความรวมถึง บุคคลผูจัดทําหรือแปลงขอความเสียง หรือวีดิทัศน ใหอยูในรูปของขอมลู อเิ ลก็ ทรอนกิ ส “เอกสาร” หมายความวา กระดาษหรือวัตถุอ่นื ใดซึ่งไดท ําใหปรากฏความหมายดวยตัวอักษร ตัวเลข ผัง หรือแผนแบบอยางอน่ื จะเปนโดยวธิ ีพิมพ ถายภาพหรือวธิ อี ่ืนอนั เปนหลกั ฐานแหง ความหมายนนั้ “เมตาดาตา” (Metadata) หมายความวา ขอ มลู ท่ีใชกาํ กับและอธบิ ายขอ มูลอ่ืน ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 85
เลม ๑๒๗ ตอนพิเศษ ๑๒๔ ง หนา ๔๘ ๒๖ ตุลาคม ๒๕๕๓ ราชกิจจานเุ บกษา ขอ ๓ การจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส ใหเ ปนไปตามหลกั เกณฑและวิธีการดังตอ ไปนี้ (๑) ขอมูลอิเล็กทรอนิกสท่ีจัดทําหรือแปลงตองมีความหมายหรือรูปแบบเหมือนกับเอกสาร และขอความเดิมซึ่งนํามาจัดทําหรือแปลงใหอยูในรูปของขอมูลอิเล็กทรอนิกส โดยผูจัดทําหรือแปลง จะตองตรวจสอบและรับรองวาขอมูลอิเล็กทรอนิกสน้ัน มีความหมายหรือรูปแบบเหมือนกับเอกสาร และขอ ความเดมิ (๒) ขอมูลอิเล็กทรอนิกสตองจัดทําหรือแปลงข้ึนดวยวิธีการท่ีเชื่อถือไดในการระบุตัวตน ผูจดั ทําหรอื แปลงทรี่ ับผิดชอบในการจัดทาํ หรือแปลงนั้น (๓) ขอมูลอิเลก็ ทรอนิกสตองจดั ทําหรอื แปลงโดยมีเทคโนโลยีและมาตรการปองกันมิใหมีการ เปลี่ยนแปลงหรือแกไขเกิดขึ้นกับขอมูลน้ัน เวนแตการรับรองหรือบันทึกเพิ่มเติม ซึ่งไมมีผลตอ ความหมายของขอมูลอเิ ลก็ ทรอนิกส รายละเอียดของวิธีการในการจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูล อิเล็กทรอนิกสใ หเปน ไปตามทีก่ ําหนดไวในขอ ๔ ถงึ ขอ ๙ ขอ ๔ การจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส ใหมกี ระบวนการในการจดั ทําหรอื แปลงเอกสารและขอความอยา งนอย ดังน้ี (๑) กระบวนการจัดทําหรือแปลงเอกสารและขอความใหเปนขอมูลอิเล็กทรอนิกสดวยวิธีการ ทางอิเล็กทรอนิกส (๒) กระบวนการตรวจสอบและรับรองวาขอมูลอิเล็กทรอนิกสที่จัดทําหรือแปลงนั้น มีความหมายเหมอื นกับเอกสารและขอ ความเดมิ (๓) กระบวนการบันทึกหลักฐานการดําเนินงานการจัดทําหรือแปลงเอกสารและขอความ ใหอ ยูในรูปของขอมูลอิเล็กทรอนิกส (๔) กระบวนการบนั ทกึ เมตาดาตาในรูปแบบอเิ ลก็ ทรอนกิ สทเี่ ปนขอความบรรยายสาระสําคัญ ของเอกสารและขอ ความ ซ่งึ ตองครอบคลุมใหสามารถสืบคนเอกสารและขอความนั้นไดถกู ตอง 86 สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
เลม ๑๒๗ ตอนพิเศษ ๑๒๔ ง หนา ๔๙ ๒๖ ตลุ าคม ๒๕๕๓ ราชกิจจานุเบกษา ขอ ๕ การจัดทําหรือแปลงเอกสารและขอความดวยวิธีการทางอิเล็กทรอนิกส ใหมี ผูร บั ผดิ ชอบดาํ เนนิ งานในการจัดทําหรือแปลงในเรื่องของวธิ ีการดังกลา วอยางนอยดังตอ ไปนี้ (๑) จดั ทาํ หรือแปลงเอกสารและขอ ความใหอยใู นรูปของขอมูลอิเลก็ ทรอนกิ ส (๒) ตรวจสอบและรับรองความถูกตองและครบถวนของขอมูลอิเล็กทรอนิกสท่ีไดจากการ จัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส วาขอมูลอิเล็กทรอนิกส มคี วามหมายหรอื รูปแบบเหมอื นกับเอกสารและขอ ความเดมิ (๓) ตรวจสอบกระบวนการจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูล อิเลก็ ทรอนกิ สใหเปน ไปตามทก่ี ําหนดไว (๔) ตรวจสอบและรับรองความถูกตองและครบถวนของเมตาดาตา ตามขอ ๔ (๔) ขอ ๖ การจัดทําหรือแปลงเอกสารและขอความดวยวิธีการทางอิเล็กทรอนิกส ใหมีการ กําหนดมาตรการเกีย่ วกับการรักษาความมนั่ คงปลอดภยั ของขอมลู อเิ ล็กทรอนิกส ซ่ึงเปนวิธีการที่เช่ือถือได อยางนอ ยตองครอบคลมุ หัวขอ ตอไปนี้ (๑) การระบตุ ัวตน (Identification) (๒) การยนื ยนั ตัวตน (Authentication) (๓) อนญุ าตเฉพาะผูมสี ทิ ธเิ ขา ถึง (Authorization) (๔) ความรับผิดชอบตอ ผลของการกระทํา (Accountability) ทั้งนี้ เพื่อใหสามารถยืนยันไดวา ขอมูลอิเล็กทรอนิกสท่ีมีการจัดทําหรือแปลงไดดําเนินการ โดยผูมีสิทธิในการเขาถึงเทาน้ัน ผูมีสิทธิในการเขาถึงดังกลาวใหหมายความรวมถึงผูรับผิดชอบ ดาํ เนนิ งานจดั ทําหรือแปลงและผทู ม่ี สี ิทธิตรวจสอบตามขอ ๕ ดว ย ซึ่งจะเปน บคุ คลเดียวกนั หรือไมกไ็ ด ขอ ๗ การจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกสน้ัน ใหข อมลู อิเลก็ ทรอนิกสมคี วามละเอยี ดและความชดั เจนของเอกสารและขอ ความเดิม ขอ ๘ ใหผูจัดทําหรือแปลง มีหนาท่ีรักษาและดํารงสภาพของระบบการจัดทําหรือแปลง เอกสารไวใหสมบูรณเพื่อใหมีการกํากบั ดแู ลหรอื การตรวจสอบไดตลอดเวลาจากคณะกรรมการธุรกรรม ท า ง อิ เ ล็ ก ท ร อ นิ ก ส ห รื อ ห น ว ย ง า น อ่ื น ท่ี ค ณ ะ ก ร ร ม ก า ร ธุ ร ก ร ร ม ท า ง อิ เ ล็ ก ท ร อ นิ ก ส ม อ บ ห ม า ย หรือหนว ยงานที่กาํ หนดไวเปนอยา งอืน่ ในประกาศฉบับนี้ สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 87
เลม ๑๒๗ ตอนพิเศษ ๑๒๔ ง หนา ๕๐ ๒๖ ตุลาคม ๒๕๕๓ ราชกิจจานเุ บกษา ขอ ๙ การดําเนนิ การตามขอ ๔ ถึง ขอ ๘ ใหผ ูจ ดั ทาํ หรอื แปลง จัดทาํ วิธีปฏิบัติที่สอดคลองกับ ลกั ษณะงานองคก รและประเภทของการทําธุรกรรมอยา งเหมาะสม โดยใหใชขอกําหนดวิธีปฏิบัติท่ัวไป หรือตามขอกําหนดวิธีปฏิบัติเฉพาะธุรกรรมบางประเภท ในการจัดทําหรือแปลงเอกสารและขอความ ใหอยูในรูปของขอมูลอิเล็กทรอนิกสตามขอกําหนดแนบทายประกาศนี้เปนมาตรฐานข้ันต่ําในการ ดาํ เนินงานแลว แตกรณี ขอ ๑๐ ประกาศนีใ้ หใ ชบงั คับตง้ั แตวันถดั จากวนั ประกาศในราชกจิ จานุเบกษาเปนตนไป ประกาศ ณ วนั ที่ ๓๐ กนั ยายน พ.ศ. ๒๕๕๓ จุติ ไกรฤกษ รฐั มนตรวี าการกระทรวงเทคโนโลยสี ารสนเทศและการส่อื สาร ประธานกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส 88 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์
ขอกําหนดแนบทายประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรอื่ ง หลกั เกณฑแ ละวิธกี ารในการจดั ทําหรอื แปลงเอกสารและขอความ ใหอยใู นรปู ของขอ มูลอิเล็กทรอนกิ ส พ.ศ. ๒๕๕๓ ฉบับที่ ๑ วา ดวยขอ กาํ หนดวิธีปฏิบตั ใิ นการจัดทําหรอื แปลงเอกสารและขอความ ใหอ ยูในรปู ของขอ มลู อิเล็กทรอนกิ ส ------------------------------- หมวด ๑ บททั่วไป ขอ ๑ ในการจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส ใหผูจัดทําหรือแปลงปฏิบัติตามขอกําหนดน้ีเปนมาตรฐานขั้นต่ํา เวนแตมาตรฐานข้ันต่ําในบางเร่ืองน้ัน จะมไิ ดถูกนาํ มาใช หมวด ๒ วิธจี ดั ทําหรอื แปลงเอกสารและขอความ ขอ ๒ ผูจัดทําหรือแปลงตองตรวจสอบเอกสารและขอความท่ีจะนําไปจัดทําหรือแปลงใหเปน ขอมูลอิเล็กทรอนิกส โดยพิจารณาความครบถวนของขอความทั้งหมด จํานวนหนา การจัดเรียงลําดับ เนื้อหา รูปแบบของการนาํ เสนอเอกสารและขอความ และตองบันทึกแหลงที่มาของเอกสารและขอความ นั้น ในกรณีท่ีเอกสารหรือขอความท่ีจัดทําหรือแปลงนั้นเปนเอกสารตนฉบับ หรือสําเนา ก็ใหบันทึกและ แสดงโดยชดั แจง ถงึ ลกั ษณะเอกสารหรือขอ ความนั้นดว ยวาเปนตน ฉบับหรือสําเนา ขอ ๓ มาตรฐานขน้ั ตา่ํ สําหรับความละเอยี ดของภาพ (Resolution) คือ (๑) ภาพลายเสน หรอื ภาพขาวดาํ อยา งนอย 150 จุดตอนว้ิ (dot per inch หรือ dpi) (๒) ภาพสีเทา อยา งนอย 200 จดุ ตอนิ้ว (๓) ภาพสี อยางนอย 300 จุดตอ นิว้ (๔) ภาพสําหรับงานเวบ็ อยา งเดียว อยางนอ ย 72 จดุ ตอ น้ิว ขอ ๔ มาตรฐานข้ันตา่ํ สําหรบั ความละเอยี ดของสี (Bit Depth) คือ (๑) ภาพขาว-ดาํ มคี าความละเอียดของสีเทา กบั 1 บติ (bit) (๒) ภาพสเี ทา (grayscale) มีคา ความละเอยี ดของสีเทา กับ 8 บติ (๓) ภาพสี มีคาความละเอยี ดของสีเทากับ 24 บิต ขอ ๕ มาตรฐานขั้นตํ่าสําหรับการแปลงสัญญาณอนาล็อกเปนสัญญานดิจิทัล ในกรณีท่ีขอความ เปนเสียงตองมีอัตราสุมขอมูลสัญญาณเสียงขั้นต่ําท่ี 44.1 กิโลเฮิรตซ (kHz) และจํานวนของขอมูล สัญญาณเสยี งทีส่ ุมขัน้ ตํา่ ท่ี 16 บิต ขอ ๖ มาตรฐานขั้นต่ําสําหรับการแปลงสัญญาณอนาล็อกเปนสัญญานดิจิทัล ในกรณีที่ขอความ เปนวดี ิทัศน ตองมมี าตรฐานขนั้ ตาํ่ ดงั นี้ ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 89
-๒- (๑) อัตราการสุมขอมูลตัวอยางความสวาง5ของแสง (Luminance) มีมาตรฐานข้ันต่ําท่ี 13.5 เมกกะเฮริ ตซ (MHz) (๒) จํานวนขอมูลตัวอยางความสวางของแสง มีมาตรฐานข้ันตํ่าท่ี 8 บิตตอจุดภาพ (bits per pixel: bpp) (๓) จาํ นวนขอมลู ตวั อยางความเขมของสี (Chrominance) มีมาตรฐานข้ันต่ําท่ี 4 บิตตอจุดภาพ (bits per pixel: bpp) (๔) คาความสวางของแสง (Luminance Resolution) เทากับ 720 จุดตอภาพ (pixel) x 485 เสน (active line) (๕) คาความละเอียดของสี (Chrominance Resolution) เทากับ 360 จุดตอภาพ (pixel) x 485 เสน (active line) ขอ ๗ ผูจัดทําหรือแปลงตองต้ังชื่อไฟลขอมูลอิเล็กทรอนิกสที่มีความหมายสื่อถึงเนื้อหาของ ขอ มูลเพ่ือสามารถสบื คน ได ช่อื ไฟลด งั กลาวจะตองไมซา้ํ กนั ขอ ๘ เมื่อดําเนินการแลว ผูจัดทําหรือแปลงตองตรวจทานความถูกตอง ครบถวน ของขอมูล อิเล็กทรอนกิ สทไี่ ดจ ัดทาํ หรอื แปลงดว ย หมวด ๓ การตรวจสอบและรบั รอง ขอ ๙ ผจู ัดทําหรอื แปลงตองจดั ใหมีการตรวจสอบและการรับรองคุณภาพกระบวนการจัดทําหรือ แปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส และการตรวจสอบและรับรองคุณภาพ ขอมูลอเิ ล็กทรอนกิ ส และจัดใหมีการรายงานการตรวจสอบและรบั รองคณุ ภาพ เพ่ือใชในการยืนยันระบบ การจัดการของตน ขอ ๑๐ การตรวจสอบและรับรองคุณภาพตอ งครอบคลมุ ถึงเรอ่ื ง ดังตอไปนี้ (๑) คุณภาพของเคร่อื งมือและอปุ กรณท่ีใชใ นการดําเนนิ การ (๒) ข้นั ตอนการดําเนนิ การ (๓) คณุ ภาพและความถกู ตอ งของขอมลู อเิ ล็กทรอนกิ สท ผ่ี านการจดั ทําหรอื แปลง (๔) คณุ ภาพและความถูกตอ งของขอมูลอิเล็กทรอนิกสท ่ีใชในการระบุตวั ตนของผูจ ัดทาํ หรอื แปลง ขอ ๑๑ ในกรณีการดําเนินการสําหรับขอมูลอิเล็กทรอนิกสที่มีปริมาณมาก หรือการรวมขอมูล จํานวนมากเปนชุดเดยี ว การตรวจสอบและรบั รองอาจใชก ารสุมตัวอยางในเชิงสถติ ิ เพ่ือตรวจสอบได หมวด ๔ การบันทกึ ขอ ๑๒ ผูจัดทําหรือแปลงตองจัดใหมีการบันทึกการดําเนินการไวเปนหลักฐาน โดยตองบันทึก รายการ ดงั ตอไปน้ี (๑) ชื่อหรอื รายการขอมลู อิเล็กทรอนกิ สทจ่ี ัดทาํ หรือแปลง (๒) ช่ือผจู ดั ทาํ หรอื แปลง 90 สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์
-๓- (๓) โปรแกรมและรปู แบบทีใ่ ชใ นการจัดทาํ หรือแปลง (๔) วนั เดอื น ป และเวลาที่จัดทําหรือแปลง (๕) หลักฐานการตรวจสอบและรับรองคุณภาพและความถูกตองของขอมูลอิเล็กทรอนิกส วามีความหมายเหมือนกบั เอกสารและขอความเดมิ ขอ ๑๓ ผูจัดทําหรือแปลงตองจัดใหมีการบันทึกเมตาดาตา (Metadata) ที่แสดงสาระสําคัญ อันเปนคุณลักษณะเฉพาะและรายละเอียดของขอมูลอิเล็กทรอนิกสน้ันๆ โดยจะตองประกอบดวย สวนประกอบสําคัญของขอมูลอิเล็กทรอนิกส ไดแก เนื้อหา (เชน ชื่อเรื่อง หัวเร่ือง ตนฉบับ/แหลงที่มา ขอบเขต) บริบท (เชน ทรัพยสินทางปญญาหรือสิทธิในงานนั้น ผูสรางสรรคผลงาน ผูมีสวนรวม ในผลงาน) และโครงสรา ง (เชน วนั เดอื น ป ที่สรา งผลงาน ประเภทของเน้ือหา รูปแบบของการนําเสนอ ผลงาน ตัวบงช้ีหรือตัวระบุถึงทรัพยากร) ซ่ึงจะชวยใหสามารถสืบคนเอกสารและขอความไดอยาง ถกู ตอ งและมปี ระสทิ ธภิ าพ หมวด ๕ ผูร บั ผดิ ชอบ ขอ ๑๔ ใหผ จู ดั ทาํ หรอื แปลงกําหนดตวั บคุ คลผรู บั ผิดชอบในเรอ่ื งดงั ตอ ไปนี้ ใหช ัดเจน (๑) ผูจดั ทําหรือแปลงเอกสารและขอ ความใหอยใู นรูปของขอมลู อเิ ล็กทรอนิกส (๒) ผูตรวจสอบคณุ ภาพของขอ มลู อิเลก็ ทรอนกิ สท ี่ผา นการจดั ทาํ หรอื แปลง (๓) ผูตรวจสอบและรับรองกระบวนการจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของ ขอ มลู อเิ ล็กทรอนกิ ส ตามขอ ๙ (๔) ผตู รวจสอบและรับรองความถูกตองและครบถวนของเมตาดาตา ตามขอ ๑๓ หมวด ๖ ความมั่นคงปลอดภัย ขอ ๑๕ ใหผูจัดทําหรือแปลงตองกําหนดมาตรการรักษาความม่ันคงปลอดภัยของขอมูล อิเล็กทรอนิกส ดวยวิธีการท่ีเช่ือถือได โดยใหครอบคลุมมาตรการเก่ียวกับการรักษาความม่ันคง ปลอดภยั ของขอ มลู อิเลก็ ทรอนกิ ส อยา งนอ ยตอ งครอบคลมุ หัวขอ ตอ ไปน้ี (๑) การลงทะเบียนผูใชงาน (user registration) โดยตองกําหนดใหมีข้ันตอนการปฏิบัติ สําหรับการลงทะเบียนผูใชงานเพ่ือแสดงตัวตนเพื่อรับการอนุญาตใหเขาถึงขอมูลอิเล็กทรอนิกส และ การตัดออกจากทะเบยี นของผใู ชง านเมื่อมกี ารยกเลิกเพิกถอนการอนญุ าตดังกลา ว (๒) การบริหารจัดการสิทธิของผูใชงาน (user management) โดยตองจัดใหมีการควบคุม และจาํ กดั สทิ ธิเพื่อเขา ถึงและใชงานขอมูลอเิ ล็กทรอนกิ สแตล ะชนดิ ตามความเหมาะสม (๓) การบริหารจัดการรหัสผานสําหรับผูใชงาน (user password management) โดยตอง จัดใหมกี ระบวนการบริหารจดั การรหัสผานสาํ หรบั ผใู ชงานอยางรัดกมุ (๔) การทบทวนสิทธิการเขาถึงของผูใชงาน (review of user access rights) โดยตองจัดให มกี ระบวนการทบทวนสทิ ธิการเขาถงึ ของผใู ชง านขอมลู อเิ ล็กทรอนิกสตามระยะเวลาทก่ี าํ หนดไว สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 91
Search
Read the Text Version
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181
- 182
- 183
- 184
- 185
- 186
- 187
- 188
- 189
- 190
- 191
- 192
- 193
- 194
- 195
- 196
- 197
- 198
- 199
- 200
- 201
- 202
- 203
- 204
- 205
- 206
- 207
- 208
- 209
- 210
- 211
- 212
- 213
- 214
- 215
- 216
- 217
- 218
- 219
- 220
- 221
- 222
- 223
- 224
- 225
- 226
- 227
- 228
- 229
- 230
- 231
- 232
- 233
- 234
- 235
- 236
- 237
- 238
- 239
- 240
- 241
- 242
- 243
- 244
- 245
- 246
- 247
- 248
- 249
- 250
- 251
- 252
- 253
- 254
- 255
- 256
- 257
- 258
- 259
- 260
- 261
- 262
- 263
- 264
- 265
- 266
- 267
- 268
- 269
- 270
- 271
- 272
- 273
- 274
- 275
- 276
- 277
- 278
- 279
- 280
- 281
- 282
- 283
- 284
- 285
- 286
- 287
- 288
- 289
- 290
- 291
- 292
- 293
- 294
- 295
- 296
- 297
- 298
- 299
- 300
- 301
- 302
- 303
- 304
- 305
- 306
- 307
- 308
- 309
- 310
- 311
- 312
- 313
- 314
- 315
- 316
- 317
- 318
- 319
- 320
- 321
- 322
- 323
- 324
- 325
- 326
- 327
- 328
- 329
- 330
- 331
- 332
- 333
- 334
- 335
- 336
- 337
- 338
- 339
- 340
- 341
- 342
- 343
- 344
- 345
- 346
- 347
- 348
- 349
- 350
- 351
- 352
- 353
- 354
- 355
- 356
- 357
- 358
- 359
- 360
- 361
- 362
- 363
- 364
- 365
- 366
- 367
- 368
- 369
- 370
- 371
- 372
- 373
- 374
- 375
- 376
- 377
- 378
- 379
- 380
- 381
- 382
- 383
- 384
- 385
- 386
- 387
- 388
- 389
- 390
- 391
- 392
- 393
- 394
- 395
- 396
- 397
- 398
- 399
- 400
- 401
- 402
- 403
- 404
- 405
- 406
- 407
- 408
- 409
- 410
- 411
- 412
- 413
- 414
- 415
- 416
- 417
- 418
- 419
- 420
- 421
- 422
- 423
- 424
- 425
- 426
- 427
- 428
- 429
- 430
- 431
- 432
- 433
- 434
- 435
- 436
- 437
- 438
- 439
- 440
- 441
- 442
- 443
- 444
- 445
- 446
- 447
- 448
- 449
- 450
- 451
- 452
- 453
- 454
- 455
- 456
- 457
- 458
- 459
- 460
- 461
- 462
- 463
- 464
- 465
- 466
- 467
- 468
- 469
- 470
- 471
- 472
- 473
- 474
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 474
Pages: