กฏหมายดิจิทัล Digital_Law_2020

๑๓ มาตรา ๓๑ ใบรับรองหรือลายมอื ช่ืออิเล็กทรอนกิ สใหถือวามผี ลทางกฎหมายโดยไมตอง คำนึงถงึ (๑) สถานท่ีออกใบรับรองหรอื สถานท่สี รางหรือใชล ายมอื ชอ่ื อเิ ล็กทรอนิกส หรือ (๒) สถานทที่ ำการงานของผอู อกใบรบั รองหรือเจา ของลายมือชือ่ อเิ ล็กทรอนกิ ส ใบรับรองที่ออกในตางประเทศใหมีผลตามกฎหมายในประเทศเชนเดียวกับใบรับรอง ท่อี อกในประเทศ หากการออกใบรับรองดังกลา วไดใชร ะบบทเ่ี ชื่อถือไดไมน อยกวาระบบท่ีเช่ือถือ ไดต ามพระราชบัญญตั ินี้ ลายมือชื่ออิเล็กทรอนิกสที่สรางหรือใชในตางประเทศใหถือวามีผลตามกฎหมายใน ประเทศ เชนเดียวกับลายมือชื่ออิเล็กทรอนิกสที่สรางหรือใชในประเทศ หากการสรางหรือใช ลายมือชื่ออิเล็กทรอนิกสดังกลาวไดใชระบบที่เชื่อถือไดไมนอยกวาระบบที่เชื่อถือไดตาม พระราชบัญญัตินี้ ในการพิจารณาวาใบรับรองหรือลายมือชื่ออิเล็กทรอนิกสใดมีความเชื่อถือไดตามวรรคสอง หรือวรรคสาม ใหค ำนงึ ถงึ มาตรฐานระหวางประเทศและปจจยั อน่ื ๆ ท่เี กย่ี วของประกอบดวย หมวด ๓ ธรุ กิจบรกิ ารเกย่ี วกับธรุ กรรมทางอเิ ลก็ ทรอนกิ ส  มาตรา ๓๒๒๐ บุคคลยอ มมีสทิ ธิประกอบธรุ กจิ บริการเกยี่ วกบั ธุรกรรมทางอิเลก็ ทรอนิกส แตในกรณีที่จำเปนเพื่อรักษาความมั่นคงทางการเงินและการพาณิชย หรือเพื่อประโยชนใน การเสริมสรางความนาเชื่อถือและยอมรับในระบบขอมูลอิเล็กทรอนิกส หรือเพื่อปองกัน ความเสียหายตอสาธารณชน ใหมีการตราพระราชกฤษฎีกากำหนดใหการประกอบธุรกิจบริการ เกี่ยวกับธุรกรรมทางอิเล็กทรอนิกสใดเปนกิจการที่ตองแจงใหทราบ ตองขึ้นทะเบียน หรือ ตอ งไดรบั ใบอนญุ าตกอ น แลว แตกรณี ในการกำหนดใหกรณีใดตองแจงใหทราบ ตองขึ้นทะเบียน หรือตองไดรับใบอนุญาต ตามวรรคหนึ่ง ใหกำหนดโดยพิจารณาจากผลกระทบที่อาจเกิดขึ้นจากการประกอบธุรกิจนั้น ประกอบกับความเหมาะสมในการควบคุมดูแลและการปองกันความเสียหายตามระดับ ความรุนแรงของผลกระทบทอ่ี าจเกดิ ข้นึ จากการประกอบธุรกิจดังกลาว ในการนี้ จะกำหนดใหหนวยงานของรัฐแหงหนึ่งแหงใดเปนผูรับผิดชอบใน การควบคุมดูแลในพระราชกฤษฎีกาที่ออกตามวรรคหนึ่งก็ได หากไมมีการกำหนดใหหนวยงาน ของรฐั แหง ใดเปนผูรับผดิ ชอบในการควบคมุ ดูแล ใหส ำนกั งานเปน ผรู ับผิดชอบในการควบคุมดูแล การประกอบธุรกิจบริการเก่ยี วกับธุรกรรมทางอิเล็กทรอนิกสตามพระราชกฤษฎีกาดงั กลาว ท้ังน้ี ใหหนวยงานของรัฐซึ่งเปนผูรับผิดชอบในการควบคุมดูแลตามพระราชกฤษฎีกาหรือสำนักงาน แลว แตกรณี แตงตัง้ พนกั งานเจาหนา ท่ีเพื่อปฏิบัตกิ ารใหเปนไปตามพระราชกฤษฎกี าดว ย ๒๐ มาตรา ๓๒ แกไ ขเพ่ิมเติมโดยพระราชบัญญตั ิวาดว ยธุรกรรมทางอิเลก็ ทรอนิกส (ฉบบั ที่ ๓) พ.ศ. ๒๕๖๒ 42 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์

๑๔ กอ นเสนอใหตราพระราชกฤษฎีกาตามวรรคหนึ่ง ตอ งจดั ใหมีการรับฟงความคิดเห็นของ ประชาชนตามความเหมาะสม และนำขอมลู ทีไ่ ดร ับมาประกอบการพจิ ารณา มาตรา ๓๓๒๑ ในกรณีที่มีพระราชกฤษฎีกากำหนดใหการประกอบธุรกิจบริการเก่ียวกับ ธรุ กรรมทางอิเล็กทรอนกิ สใดเปนกิจการทตี่ องแจงใหทราบ ผูทปี่ ระสงคจะประกอบธุรกิจดังกลาว ตองแจงตอพนักงานเจาหนาที่กอนเริ่มประกอบธุรกิจนั้น ตามหลักเกณฑ วิธีการ และเงื่อนไข ทก่ี ำหนดในพระราชกฤษฎกี า เมื่อพนักงานเจาหนาที่ไดรับแจง ใหออกใบรับแจงเพื่อเปนหลักฐานการแจงในวันท่ี รับแจงนั้นและใหผูแจงประกอบธุรกิจนั้นไดตั้งแตวันที่ไดรับใบรับแจงดังกลาว แตถาพนักงาน เจาหนาที่ตรวจพบในภายหลังวาการแจงไมถูกตองหรือไมครบถวน ใหมีอำนาจส่ังผูแจงแกไขให ถูกตองหรือครบถวนและนำผลการแกไขมาแสดงตอพนักงานเจาหนาที่ภายในระยะเวลา ท่กี ำหนด ในกรณีที่ผูประกอบธุรกิจไมแกไขหรือไมปฏิบัติตามคำสั่งของพนักงานเจาหนาที่ภายใน ระยะเวลาที่กำหนด ใหพนักงานเจาหนาที่สัง่ ใหผูนั้นหยดุ การใหบรกิ ารในสว นที่เกี่ยวกบั ธุรกรรม ทางอิเล็กทรอนิกสในการประกอบธุรกิจนั้นนับแตวันที่ครบกำหนดระยะเวลาตามวรรคสอง จนกวา จะแกไ ขใหถ ูกตอ งและครบถว นตามคำสงั่ ของพนักงานเจา หนาที่ ในการประกอบธุรกจิ ผูแ จง ตองปฏบิ ัติตามหลกั เกณฑท่ีกำหนดในพระราชกฤษฎีกาและ ตามประกาศที่คณะกรรมการกำหนด หลักเกณฑตามพระราชกฤษฎีกาดังกลาวใหกำหนดเรื่อง การชดใชหรอื เยยี วยาผูไดรบั ความเสียหายจากการประกอบธุรกจิ ไวดวย ถาผูแจงไมปฏิบัติตามหลักเกณฑการประกอบธุรกิจตามวรรคสี่ ใหพนักงานเจาหนาที่ มีคำสั่งหามมิใหผูน ้ันใหบริการในสวนที่เก่ียวกับธุรกรรมทางอิเล็กทรอนิกสในการประกอบธุรกิจนั้น จนกวา จะไดป ฏิบัตใิ หถ กู ตอ งครบถว นตามหลักเกณฑท ่ีกำหนดดงั กลาว ในกรณที ี่ผูแจงไมแกไขตามวรรคสามหรือไมปฏิบัตติ ามวรรคหาภายในระยะเวลาเกาสิบวัน นบั แตว ันที่หยุดหรือถกู หา มการใหบริการ ใหพ นักงานเจาหนา ท่ถี อนการรบั แจงของผนู ั้นออกจาก สารบบการรบั แจงและแจง เปน หนงั สอื ใหผ นู ้นั ทราบโดยเรว็ มาตรา ๓๓/๑๒๒ ในกรณีทีพ่ ระราชกฤษฎีกากำหนดใหการประกอบธุรกิจบริการเก่ียวกับ ธุรกรรมทางอิเล็กทรอนิกสใดเปน กจิ การทต่ี องขึ้นทะเบยี น ผูท ีป่ ระสงคจ ะประกอบธุรกิจดังกลาว ตองขอขึ้นทะเบียนตอ พนักงานเจาหนาท่ีกอนเริ่มประกอบธุรกจิ นั้น ตามหลักเกณฑ วิธีการ และ เงื่อนไขท่ีกำหนดในพระราชกฤษฎีกา เมื่อพนักงานเจาหนาที่ไดรับคำขอขึ้นทะเบียนแลว ใหออกใบรับการขอขึ้นทะเบียนเพื่อ เปนหลักฐานการขอขึ้นทะเบียนในวันที่ยื่นคำขอนั้น และหากพนักงานเจาหนาที่ตรวจสอบ เอกสารและหลักฐานการขึ้นทะเบียนแลวเห็นวาครบถวนและถูกตองตามที่กำหนดใน พระราชกฤษฎีกา ใหรบั ขึ้นทะเบยี นและแจง เปนหนังสือใหผขู อขน้ึ ทะเบียนทราบภายในสามสิบวัน ๒๑ มาตรา ๓๓ แกไขเพ่มิ เตมิ โดยพระราชบญั ญตั ิวาดว ยธุรกรรมทางอเิ ลก็ ทรอนกิ ส (ฉบับท่ี ๓) พ.ศ. ๒๕๖๒ 43 ๒๒ มาตรา ๓๓/๑ เพิม่ โดยพระราชบญั ญัตวิ า ดว ยธรุ กรรมทางอิเล็กทรอนกิ ส (ฉบับท่ี ๓) พ.ศ. ๒๕๖๒ ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์

๑๕ นับแตวันที่ไดรับคำขอขึ้นทะเบียนดังกลาว และใหผูขึ้นทะเบียนประกอบธุรกิจนั้นไดตั้งแตวันที่ ไดร บั ขนึ้ ทะเบยี น หากพนักงานเจาหนาที่ไมสามารถตรวจสอบใหแลวเสร็จไดภายในระยะเวลาตามวรรคสอง ใหผูขอขึ้นทะเบียนประกอบธุรกิจไปพลางกอนได นับแตวันถัดจากวันที่ครบกำหนดระยะเวลา ดงั กลาว ในกรณีที่พนักงานเจาหนาที่ตรวจสอบกอนการรับขึ้นทะเบียนตามวรรคสอง หรือตรวจ พบหลังจากที่ผูนั้นไดประกอบธุรกิจดังกลาวแลว วาเอกสารและหลักฐานการขึ้นทะเบียนของ ผูขอขึ้นทะเบียนไมครบถวนหรือไมถูกตอง ใหแจงเปนหนังสือแกผูขอขึ้นทะเบียนหรือ ผูขึ้นทะเบียนแลวแตกรณี เพื่อแกไขใหถูกตองและครบถวนภายในระยะเวลาที่กำหนด ในการน้ี ถาผูขอขึ้นทะเบียนหรือผูขึ้นทะเบียนไมแกไขใหถูกตองและครบถวน หรือไมดำเนินการจนพน กำหนดระยะเวลาที่พนักงานเจาหนาที่กำหนดโดยไมมีเหตุอันสมควร ใหสิทธิในการประกอบ ธุรกิจของผูขอขึ้นทะเบียนตามวรรคสามเปนอันระงับและใหถือวาคำขอขึ้นทะเบียนนั้นตกไป หรือใหมคี ำสัง่ เพกิ ถอนการขึน้ ทะเบยี นของผูป ระกอบธรุ กจิ นั้น แลว แตกรณี ในการประกอบธุรกิจ ผูขึ้นทะเบียนตองปฏิบัติตามหลักเกณฑที่กำหนดใน พระราชกฤษฎีกาและตามประกาศที่คณะกรรมการกำหนด หลักเกณฑตามพระราชกฤษฎีกา ดงั กลาวใหก ำหนดเรื่องการชดใชห รือเยยี วยาผูไ ดร บั ความเสยี หายจากการประกอบธรุ กจิ ไวดวย ถาผูขึ้นทะเบียนฝาฝนหรือไมปฏิบัติตามหลักเกณฑการประกอบธุรกิจตามวรรคหา ใหคณะกรรมการพิจารณามีคำสั่งปรับผูนั้นไมเกินหนึ่งลานบาท โดยคำนึงถึงความรายแรง แหงพฤติกรรมที่กระทำผิด หลักเกณฑในการพิจารณากำหนดคาปรับใหเปนไปตามที่ คณะกรรมการกำหนด และในกรณที ีเ่ ห็นสมควรคณะกรรมการอาจมีคำสง่ั ใหผ นู น้ั ดำเนนิ การใด ๆ เพอื่ แกไ ขใหถ กู ตองหรอื เหมาะสมได ถาผูถูกปรับตามวรรคหกไมชำระคาปรับ ใหคณะกรรมการมีอำนาจฟองคดีตอศาล ที่มีเขตอำนาจในการพิจารณาคดีอาญาเพื่อบังคับชำระคาปรับ ในการนี้ ถาศาลพิพากษาให ชำระคาปรับ หากผูนั้นไมชำระคาปรับภายในสามสิบวันนับแตวันที่ศาลมีคำพิพากษา ใหยึด ทรพั ยสินของผนู ้นั เพือ่ ชดใชแทนคา ปรบั แตมใิ หน ำมาตรการกักขังแทนคา ปรับมาใชแ กผนู ัน้ ในกรณีที่ผูกระทำผิดตามวรรคหกไมดำเนินการแกไขตามคำสั่งของคณะกรรมการ หรือ ฝาฝนหรือไมปฏิบัติตามหลักเกณฑการประกอบธุรกิจตามวรรคหาซ้ำอีกภายในระยะเวลาหน่ึงป นับแตว ันที่คณะกรรมการมคี ำสัง่ ปรบั คร้ังแรก คณะกรรมการอาจมีคำสงั่ เพิกถอนการขน้ึ ทะเบียน ของผูข้นึ ทะเบยี นนั้น ใหพ นกั งานเจาหนาทแี่ จง คำสั่งดังกลา วใหผูนัน้ ทราบโดยเรว็ มาตรา ๓๔๒๓ ในกรณีที่พระราชกฤษฎีกากำหนดใหการประกอบธุรกิจบริการเกี่ยวกับ ธุรกรรมทางอิเล็กทรอนิกสใดเปนกิจการที่ตองไดรับใบอนุญาต ใหผูที่ประสงคจะประกอบธุรกิจ ดงั กลาวย่นื คำขอรบั ใบอนญุ าตตอ พนักงานเจาหนาที่ตามท่ีกำหนดในพระราชกฤษฎีกา ๒๓ มาตรา ๓๔ แกไ ขเพ่ิมเติมโดยพระราชบัญญตั ิวา ดว ยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบับที่ ๓) พ.ศ. ๒๕๖๒ 44 สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์

๑๖ คุณสมบัติของผูขอรับใบอนุญาต หลักเกณฑและวิธีการขออนุญาต การออกใบอนุญาต การตออายใุ บอนุญาต การคืนใบอนญุ าต และการสง่ั พกั ใชหรือเพิกถอนใบอนุญาต ใหเปนไปตาม หลักเกณฑ วธิ กี าร และเงือ่ นไขที่กำหนดในพระราชกฤษฎกี า ในการประกอบธุรกิจ ผูไดรับใบอนุญาตตองปฏิบัติตามหลักเกณฑที่กำหนดใน พระราชกฤษฎีกา ประกาศที่คณะกรรมการกำหนด หรือเงื่อนไขในใบอนุญาต หลักเกณฑ ตามพระราชกฤษฎีกาดังกลาวใหกำหนดเรื่องการชดใชหรือเยียวยาผูไดรับความเสียหายจาก การประกอบธุรกจิ ไวด ว ย ในกรณีที่ผูไดรับใบอนุญาตฝาฝนหรือไมปฏิบัติตามหลักเกณฑการประกอบธุรกิจ ตามวรรคสาม ใหค ณะกรรมการพจิ ารณามีคำสั่งปรับผูนน้ั ไมเกนิ สองลานบาท และใหนำความใน มาตรา ๓๓/๑ วรรคหกและวรรคเจ็ด มาใชบ งั คับโดยอนุโลม ในกรณีที่ผูกระทำผิดตามวรรคสี่ไมดำเนินการแกไขตามคำสั่งของคณะกรรมการ หรือ ฝา ฝนหรือไมปฏิบัติตามหลักเกณฑการประกอบธรุ กิจตามวรรคสามซำ้ อีกภายในระยะเวลาหน่ึงป นับแตวันที่คณะกรรมการมีคำสั่งปรับครั้งแรก คณะกรรมการอาจมีคำสั่งเพิกถอนใบอนุญาต ของผไู ดรบั ใบอนุญาตนนั้ ใหพ นักงานเจา หนาที่แจง คำสัง่ ดงั กลา วใหผ นู ั้นทราบโดยเร็ว มาตรา ๓๔/๑๒๔ เพื่อประโยชนในการควบคุมดูแลการประกอบธุรกิจบริการเกี่ยวกับ ธุรกรรมทางอิเล็กทรอนิกสตามหมวดนี้ ใหคณะกรรมการ สำนักงานหรือหนวยงานของรัฐซึ่งเปน ผรู ับผดิ ชอบในการควบคมุ ดูแลตามมาตรา ๓๒ วรรคสาม ประกาศกำหนดรายละเอียดเพมิ่ เติมใน เรื่องที่กำหนดไวในพระราชกฤษฎีกาตามมาตรา ๓๒ ได โดยไมขัดหรือแยงกับพระราชกฤษฎีกา ดงั กลา ว มาตรา ๓๔/๒๒๕ เพื่อประโยชนในการควบคุมดูแลและกำกับการประกอบธุรกิจบริการ เกี่ยวกับธุรกรรมทางอิเล็กทรอนิกสใหเปนไปตามพระราชบัญญัตินี้หรือตามพระราชกฤษฎีกา ตามมาตรา ๓๒ ใหพนักงานเจาหนาที่ของหนวยงานของรัฐหรือสำนักงานที่มีหนาที่ควบคุมดูแล การประกอบธรุ กิจบรกิ ารเกีย่ วกับธุรกรรมทางอิเลก็ ทรอนิกสนัน้ มีหนา ที่และอำนาจ ดังตอไปนี้ (๑) มีหนังสือแจงใหผูใหบริการหรือเจาหนาที่ของผูใหบริการ หรือบุคคลใดมาใหขอมูล หรอื สงเอกสารหรือหลกั ฐานใด ๆ เกีย่ วกับการประกอบธุรกิจการใหบ ริการนน้ั (๒) ตรวจสอบและรวบรวมขอเท็จจริงเพื่อรายงานตอคณะกรรมการ ในกรณีท่ี ผูใหบริการไดกระทำความผิดหรือทำใหเกิดความเสียหายเพราะเหตุฝาฝนหรือไมปฏิบัติตาม พระราชบัญญัตินี้หรือตามพระราชกฤษฎีกา ประกาศของคณะกรรมการ หรือเงื่อนไขใน ใบอนุญาต (๓) เขาไปในสถานที่ของผูใหบริการในระหวา งเวลาพระอาทิตยขึ้นจนถึงพระอาทิตยตก หรือในเวลาทำการของสถานที่นั้น เพื่อตรวจสอบและรวบรวมขอเท็จจริง และยึดหรืออายัด ๒๔ มาตรา ๓๔/๑ เพ่มิ โดยพระราชบญั ญตั วิ า ดวยธรุ กรรมทางอเิ ล็กทรอนกิ ส (ฉบับท่ี ๓) พ.ศ. ๒๕๖๒ 45 ๒๕ มาตรา ๓๔/๒ เพมิ่ โดยพระราชบญั ญตั วิ า ดวยธรุ กรรมทางอิเลก็ ทรอนกิ ส (ฉบบั ที่ ๓) พ.ศ. ๒๕๖๒ สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์

๑๗ เอกสารและหลักฐาน รวมถึงสิ่งอื่นใดที่เกี่ยวกับการใหบริการที่สงสัยวามีไวเพื่อใชหรือไดใช ในการกระทำความผดิ ในการปฏบิ ัตหิ นา ที่ของพนักงานเจา หนา ทตี่ ามมาตรานี้ ใหแ สดงบัตรประจำตัวพนักงาน เจาหนาที่ที่หนวยงานของรัฐหรือสำนักงานที่มีหนาที่ควบคุมดูแลออกให และใหผูที่เกี่ยวของ อำนวยความสะดวกตามสมควร หมวด ๓/๑ ระบบการพสิ จู นแ ละยนื ยนั ตัวตนทางดิจิทัล๒๖  มาตรา ๓๔/๓๒๗ การพิสูจนและยืนยันตัวตนของบุคคลอาจกระทำผานระบบการพิสูจน และยืนยนั ตัวตนทางดิจิทัลได ผูใดประสงคจะอาศัยการพิสูจนและยืนยันตัวตนของบุคคลอ่ืนผานระบบการพิสูจนและ ยืนยันตัวตนทางดิจิทัลอาจแจงเงื่อนไขเกี่ยวกับความนาเชื่อถือของการพิสูจนและยืนยันตัวตน ทางดจิ ิทลั ทีต่ อ งใชใ หบ ุคคลอนื่ นั้นทราบเปนการลวงหนา และเม่อื ไดม ีการพิสูจนแ ละยืนยันตัวตน ทางดจิ ิทลั ตามเง่ือนไขดังกลาวแลว ใหส ันนิษฐานวาบุคคลที่ไดรับการพสิ ูจนและยืนยันตัวตนเปน บุคคลนัน้ จริง เงื่อนไขเกี่ยวกับความนาเชื่อถือของการพิสูจนและยืนยันตัวตนทางดิจิทัลตามวรรคสอง ตองมีมาตรฐานไมต่ำกวาที่คณะกรรมการหรือคณะกรรมการตามมาตรา ๓๔/๔ วรรคสอง แลวแตกรณี ประกาศกำหนด โดยมีหลักประกันการเขาถึงและการใชประโยชนของประชาชน โดยสะดวกและไมเ ลอื กปฏบิ ตั ิ มาตรา ๓๔/๔๒๘ ในกรณีที่จำเปนเพื่อรักษาความมั่นคงทางการเงินและการพาณิชย หรือเพื่อประโยชนในการเสริมสรางความนาเชื่อถือและยอมรับในระบบการพิสูจนและยืนยันตัวตน ทางดิจทิ ลั หรือเพอื่ ปอ งกันความเสียหายแกสาธารณชน ใหมกี ารตราพระราชกฤษฎีกากำหนดให การประกอบธรุ กจิ บริการเกีย่ วกับระบบการพิสจู นแ ละยนื ยนั ตัวตนทางดิจทิ ัลใดเปนการประกอบ ธุรกิจบริการเกี่ยวกับธุรกรรมทางอิเลก็ ทรอนิกสที่ตองไดรับใบอนุญาตกอน และใหนำบทบัญญตั ิ ในหมวด ๓ ธรุ กจิ บริการเก่ียวกบั ธุรกรรมทางอิเลก็ ทรอนิกส มาใชบงั คบั โดยอนุโลม พระราชกฤษฎีกาตามวรรคหนึง่ อาจกำหนดใหมกี ารจัดต้ังคณะกรรมการข้ึนมาคณะหน่ึง เพื่อทำหนาที่ประกาศกำหนดหลักเกณฑที่ผูประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจนและ ยืนยันตัวตนทางดิจิทัลจะตองปฏิบัติ และใหมีอำนาจพิจารณามีคำสั่งและดำเนินการอื่นใดตาม ๒๖ หมวด ๓/๑ ระบบการพสิ ูจนและยืนยันตวั ตนทางดิจิทลั มาตรา ๓๔/๓ และมาตรา ๓๔/๔ เพ่ิมโดยพระราชบัญญัติ วาดว ยธุรกรรมทางอิเล็กทรอนิกส (ฉบบั ที่ ๔) พ.ศ. ๒๕๖๒ ๒๗ มาตรา ๓๔/๓ เพิม่ โดยพระราชบญั ญตั วิ า ดว ยธรุ กรรมทางอิเล็กทรอนกิ ส (ฉบบั ที่ ๔) พ.ศ. ๒๕๖๒ ๒๘ มาตรา ๓๔/๔ เพ่ิมโดยพระราชบญั ญัตวิ า ดว ยธุรกรรมทางอเิ ล็กทรอนกิ ส (ฉบับที่ ๔) พ.ศ. ๒๕๖๒ 46 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์

๑๘ มาตรา ๓๔ ในกรณีที่ผูไดรับใบอนุญาตฝาฝนหรือปฏิบัติไมถูกตองตามหลักเกณฑการประกอบ ธรุ กิจกไ็ ด หมวด ๔ ธรุ กรรมทางอเิ ล็กทรอนกิ สภาครัฐ  มาตรา ๓๕ คำขอ การอนุญาต การจดทะเบียน คำสั่งทางปกครอง การชำระเงิน การประกาศหรือการดำเนินการใด ๆ ตามกฎหมายกับหนวยงานของรัฐหรือโดยหนวยงานของรัฐ ถาไดกระทำในรูปของขอมูลอิเล็กทรอนิกสตามหลักเกณฑและวิธีการที่กำหนดโดย พระราชกฤษฎีกา ใหนำพระราชบัญญัตินี้มาใชบังคับและใหถือวามีผลโดยชอบดวยกฎหมาย เชนเดียวกับการดำเนินการตามหลักเกณฑและวิธีการที่กฎหมายในเรื่องนั้นกำหนด ทั้งนี้ ในพระราชกฤษฎีกาอาจกำหนดใหบุคคลที่เกี่ยวของตองกระทำหรืองดเวนกระทำการใด ๆ หรือ ใหห นวยงานของรฐั ออกระเบียบเพือ่ กำหนดรายละเอียดในบางกรณดี ว ยก็ได ในการออกพระราชกฤษฎีกาตามวรรคหนึ่ง พระราชกฤษฎีกาดังกลาวอาจกำหนดให ผปู ระกอบธรุ กจิ บรกิ ารเกย่ี วกบั ธรุ กรรมทางอิเล็กทรอนิกสต องแจงใหทราบ ตองขนึ้ ทะเบียน หรือ ตอ งไดรบั ใบอนญุ าต แลวแตกรณี กอนประกอบกจิ การก็ได ในกรณีนี้ ใหนำบทบญั ญตั ิในหมวด ๓ และบทกำหนดโทษท่เี กยี่ วของมาใชบ งั คับโดยอนุโลม เมื่อไดมีการตราพระราชกฤษฎีกาตามวรรคหนึ่งแลว ศาลหรือองคกรตามรัฐธรรมนูญ อาจพิจารณานำหลักเกณฑในเรื่องใดที่กำหนดไวตามพระราชกฤษฎีกาดังกลาวมาใชบังคับแก การดำเนินการในสวนที่เกี่ยวกับกระบวนพิจารณาพิพากษาคดีของศาลหรือในการวินิจฉัยชี้ขาด ขอพิพาทแลวแตกรณี เพื่อใหเปนไปตามความเหมาะสมกับหนาที่และอำนาจของตนตาม กฎหมายได รวมถึงการกำหนดหลักเกณฑเพิ่มเตมิ ดวย ทั้งนี้ โดยประกาศในราชกจิ จานุเบกษา๒๙ หมวด ๕ คณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส  มาตรา ๓๖๓๐ ใหมีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสคณะหนึ่ง ประกอบดวย ประธานกรรมการซึ่งคณะรัฐมนตรีแตงตั้งจากผูทรงคุณวุฒิ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจ และสังคมเปนรองประธานกรรมการ และกรรมการผูทรงคุณวุฒิอื่นซึ่งคณะรัฐมนตรีแตงต้ัง จำนวนแปดคน ใหผูอำนวยการเปนกรรมการและเลขานุการ และแตงตั้งพนักงานของสำนักงานเปน ผูช ว ยเลขานกุ ารไดตามความจำเปนแตไ มเกนิ สองคน ๒๙ มาตรา ๓๕ วรรคสาม เพ่ิมโดยพระราชบญั ญตั วิ าดว ยธรุ กรรมทางอิเลก็ ทรอนิกส (ฉบับที่ ๓) พ.ศ. ๒๕๖๒ ๓๐ มาตรา ๓๖ แกไขเพ่มิ เติมโดยพระราชบญั ญัติวา ดว ยธุรกรรมทางอเิ ล็กทรอนิกส (ฉบบั ท่ี ๓) พ.ศ. ๒๕๖๒ ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 47

๑๙ ประธานกรรมการและกรรมการผูทรงคุณวุฒิตามวรรคหนึ่ง ตองเปนบุคคลที่มีความรู ความเชี่ยวชาญ และความสามารถเปนที่ประจักษดานการเงิน ดานการพาณิชยอิเล็กทรอนิกส ดานนิติศาสตร ดานวิทยาการคอมพิวเตอร ดานวิทยาศาสตรหรือวิศวกรรมศาสตร ดานสังคมศาสตร หรือดานอื่นใดที่เปนประโยชนตอการดำเนินงานของคณะกรรมการ ทั้งนี้ กรรมการผูทรงคุณวุฒิตองประกอบดวยบุคคลซึ่งมิใชขาราชการหรือผูปฏิบัติงานในหนวยงาน ของรัฐที่มีตำแหนงหรือเงินเดือนประจำรวมเปนกรรมการผูทรงคุณวุฒิดวยไมนอยกวากึ่งหน่ึง ของจำนวนกรรมการผูทรงคุณวฒุ ิทงั้ หมด หลักเกณฑและวิธีการไดมาซึ่งประธานกรรมการและกรรมการผูทรงคุณวุฒิ ใหเปนไป ตามระเบียบทีร่ ฐั มนตรกี ำหนด มาตรา ๓๗๓๑ ใหคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสมีหนาที่และอำนาจ ดังตอ ไปนี้ (๑) พิจารณาใหความเห็นชอบแผนยุทธศาสตรเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส ทส่ี ำนกั งานเสนอตามมาตรา ๔๓ วรรคสอง (๒) สงเสริมและสนับสนุนหนวยงานของรัฐ เอกชน และประชาชนใหดำเนินกิจกรรม ตามแผนยุทธศาสตรต าม (๑) (๓) กำหนดมาตรฐานดานเทคโนโลยีดิจิทัลในสวนที่เกี่ยวของกับธุรกรรม ทางอเิ ลก็ ทรอนิกส (๔) กำกับและติดตามการดำเนินงานตามแผนยุทธศาสตรตาม (๑) เพื่อรวบรวมขอมูล และปญหาเกย่ี วกับการทำธรุ กรรมทางอเิ ลก็ ทรอนิกสที่สงผลกระทบตอ การดำเนนิ การและพัฒนา ทางเทคโนโลยีดจิ ิทัลเพื่อเสนอตอคณะกรรมการดจิ ิทัลเพอื่ เศรษฐกจิ และสงั คมแหงชาติ (๕) เสนอแนะตอคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแหงชาติและ คณะรัฐมนตรีในการจัดใหมีหรือปรับปรุงกฎหมายที่เกี่ยวของกับการพัฒนาธุรกรรม ทางอิเล็กทรอนิกส และการคุมครองทรัพยสินทางปญญาเกี่ยวกับการทำธุรกรรม ทางอิเล็กทรอนกิ ส (๖) เสนอแนะหรือใหคำปรึกษาตอรัฐมนตรีในการตราพระราชกฤษฎีกาตาม พระราชบญั ญตั ิน้ี (๗) ออกระเบียบหรือประกาศเพื่อใหเปนไปตามพระราชบัญญัตินี้ หรือเพื่อประโยชน ในการสง เสริมและสนบั สนุนการทำธรุ กรรมทางอเิ ล็กทรอนิกส (๘) กำกับดูแลการประกอบธุรกิจบริการเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกสตาม พระราชบญั ญตั ินี้ (๙) ปฏิบัตกิ ารอ่ืนใดเพ่ือใหเปน ไปตามพระราชบัญญตั ิน้ี หรือกฎหมายอน่ื ๓๑ มาตรา ๓๗ แกไ ขเพม่ิ เตมิ โดยพระราชบัญญตั วิ าดว ยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบบั ท่ี ๓) พ.ศ. ๒๕๖๒ 48 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์

๒๐ ในการปฏิบัติเพื่อใหเปนไปตามหนาที่และอำนาจตามวรรคหนึ่ง ใหคณะกรรมการ มีหนังสือเรียกหนวยงานของรัฐหรือบุคคลใดมาชี้แจง ใหขอเท็จจริง หรือมาใหถอยคำหรือ สงเอกสารหลกั ฐานที่เกี่ยวขอ งเพ่อื ประกอบการดำเนนิ งานได ในการปฏิบัติการตามพระราชบัญญัตินี้ใหคณะกรรมการเปนเจาพนักงานตาม ประมวลกฎหมายอาญา มาตรา ๓๘๓๒ ประธานกรรมการและกรรมการผทู รงคณุ วฒุ ิมีวาระการดำรงตำแหนงส่ีป เมื่อครบกำหนดวาระตามวรรคหนึ่ง หากยังมิไดมีการแตงตั้งประธานกรรมการและ กรรมการผทู รงคณุ วุฒิข้ึนใหม ใหประธานกรรมการและกรรมการผทู รงคณุ วฒุ ิซึ่งพน จากตำแหนง ตามวาระนั้นอยูในตำแหนงเพื่อปฏิบัติหนาที่ตอไปจนกวาประธานกรรมการและ กรรมการผูทรงคุณวุฒิซึ่งไดรับแตงตั้งใหมเขารับหนาที่ แตตองไมเกินเกาสิบวันนับแตวันที่ ประธานกรรมการและกรรมการผทู รงคุณวฒุ ิพน จากตำแหนง ตามวาระนั้น มาตรา ๓๙๓๓ นอกจากการพนจากตำแหนง ตามวาระตามมาตรา ๓๘ ประธานกรรมการ และกรรมการผูท รงคุณวุฒิพน จากตำแหนง เมือ่ (๑) ตาย (๒) ลาออก (๓) คณะรัฐมนตรีใหออกเพราะมีความประพฤติเสื่อมเสีย บกพรองหรือไมสุจริต ตอ หนา ทีห่ รอื หยอ นความสามารถ (๔) เปนคนไรความสามารถหรือคนเสมือนไรค วามสามารถ (๕) ไดรับโทษจำคุกโดยตองคำพิพากษาถึงที่สดุ ใหจำคุก เวนแตเปนโทษสำหรับความผิด ท่ไี ดกระทำโดยประมาทหรอื ความผดิ ลหโุ ทษ มาตรา ๔๐๓๔ ในกรณีที่ประธานกรรมการหรือกรรมการผูทรงคุณวุฒิพนจากตำแหนง กอนวาระ ใหคณะกรรมการประกอบดวยกรรมการเทาที่เหลืออยู และใหดำเนินการแตงตั้ง ประธานกรรมการหรือกรรมการผูทรงคุณวุฒิแทนตำแหนงที่วางภายในหกสิบวันนับแตวันที่ ตำแหนงวางลง เวนแตวาระของกรรมการเหลือไมถึงเกาสิบวัน และใหผูที่ไดรับแตงตั้งใหดำรง ตำแหนงแทนอยูใ นตำแหนงเทากับวาระทเี่ หลอื อยขู องผซู ึ่งตนแทน มาตรา ๔๑ การประชุมของคณะกรรมการตองมีกรรมการมาประชุมไมนอยกวากึง่ หน่ึง ของจำนวนกรรมการทง้ั หมดจงึ เปน องคป ระชุม ถาประธานกรรมการไมมาประชุมหรือไมอาจปฏิบัติหนาที่ได ใหคณะกรรมการเลือก กรรมการคนหน่ึงทำหนาทปี่ ระธานในท่ีประชุม การวินิจฉัยชี้ขาดของที่ประชุมใหถือเสียงขางมาก กรรมการคนหนึ่งใหมีเสียงหน่ึง ในการลงคะแนน ถาคะแนนเสยี งเทากันใหป ระธานออกเสียงเพ่มิ ขนึ้ อีกเสยี งหนง่ึ เปน เสยี งชี้ขาด ๓๒ มาตรา ๓๘ แกไขเพ่ิมเติมโดยพระราชบญั ญตั ิวา ดว ยธรุ กรรมทางอเิ ล็กทรอนิกส (ฉบับที่ ๓) พ.ศ. ๒๕๖๒ ๓๓ มาตรา ๓๙ แกไขเพ่มิ เตมิ โดยพระราชบัญญตั วิ า ดว ยธุรกรรมทางอเิ ลก็ ทรอนกิ ส (ฉบบั ที่ ๓) พ.ศ. ๒๕๖๒ ๓๔ มาตรา ๔๐ แกไ ขเพม่ิ เติมโดยพระราชบัญญัตวิ าดว ยธรุ กรรมทางอเิ ล็กทรอนกิ ส (ฉบบั ท่ี ๓) พ.ศ. ๒๕๖๒ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 49

๒๑ การประชุมของคณะกรรมการอาจกระทำโดยวิธีการทางอิเล็กทรอนิกสตามที่ คณะกรรมการกำหนดกไ็ ด๓๕ มาตรา ๔๒ คณะกรรมการมีอำนาจแตงตั้งคณะอนุกรรมการเพื่อพิจารณาหรือ ปฏบิ ัตกิ ารอยา งหน่ึงอยางใดแทนคณะกรรมการก็ได ใหน ำความในมาตรา ๔๑ มาใชบ ังคบั แกการประชุมของคณะอนุกรรมการโดยอนโุ ลม มาตรา ๔๒/๑๓๖ ใหคณะกรรมการไดรับเบี้ยประชุมและประโยชนตอบแทนอื่นตาม หลกั เกณฑท คี่ ณะรัฐมนตรกี ำหนด คณะอนุกรรมการที่คณะกรรมการแตงตั้งตามมาตรา ๔๒ ใหไดรับเบี้ยประชุมและ ประโยชนตอบแทนอนื่ ตามหลกั เกณฑท ่ีคณะกรรมการกำหนด มาตรา ๔๓๓๗ ใหสำนักงานทำหนา ทเี่ ปนหนว ยงานธุรการของคณะกรรมการ ใหสำนักงานจัดทำแผนยุทธศาสตรเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส เพื่อเสนอ คณะกรรมการใหความเห็นชอบตามมาตรา ๓๗ (๑) และจัดสงใหหนวยงานที่เกี่ยวของ เพื่อดำเนินการตอ ไป มาตรา ๔๓/๑๓๘ แผนยุทธศาสตรที่สำนักงานตองจัดทำตามมาตรา ๔๓ วรรคสอง ตองสอดคลองกับนโยบายและแผนระดับชาติวาดวยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม ตามกฎหมายวาดวยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม โดยอยางนอยตองกำหนดเรื่อง ดงั ตอ ไปนี้ (๑) กลไกและมาตรการดานการพัฒนาโครงสรางพื้นฐานทางเทคโนโลยีดิจิทัล เพื่อรองรับการทำธุรกรรมทางอิเล็กทรอนิกส พาณิชยอิเล็กทรอนิกส และธุรกิจบริการเกี่ยวกับ ธรุ กรรมทางอเิ ล็กทรอนกิ สแ ละธรุ กรรมทางอิเลก็ ทรอนิกสภ าครัฐ (๒) มาตรการการสงเสริมและสนับสนุนการใหมีระบบการบริการในการทำธุรกรรม ทางอิเล็กทรอนิกส พาณิชยอิเล็กทรอนิกส และการใหบริการธุรกรรมทางอิเล็กทรอนิกส โดยใช เทคโนโลยีดิจทิ ัล เพื่อสนับสนุนการพัฒนาประเทศในดา นตา ง ๆ (๓) กระบวนการสงเสริมใหเกิดการพัฒนามาตรฐานและกฎเกณฑการใชงาน ทางเทคโนโลยีดิจิทัล เพื่อใหการทำงานของระบบมีการเชื่อมโยงกันอยางมีความมั่นคงปลอดภัย พรอมใชงาน และมคี วามนาเชอ่ื ถือในการใหบรกิ าร (๔) แนวทางและมาตรการเกี่ยวกับการสงเสริมการผลิตและพฒั นาบุคลากรดา นธุรกรรม ทางอิเล็กทรอนิกส พาณิชยอิเล็กทรอนิกส และธุรกิจบริการเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส และธุรกรรมทางอเิ ล็กทรอนกิ สภาครฐั รวมทัง้ การประยุกตก ารใชง านเทคโนโลยีดิจิทลั ท่เี กย่ี วขอ ง ๓๕ มาตรา ๔๑ วรรคส่ี เพิม่ โดยพระราชบญั ญตั ิวาดว ยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบับที่ ๓) พ.ศ. ๒๕๖๒ ๓๖ มาตรา ๔๒/๑ เพิม่ โดยพระราชบญั ญัตวิ าดว ยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบบั ที่ ๒) พ.ศ. ๒๕๕๑ ๓๗ มาตรา ๔๓ แกไ ขเพิ่มเติมโดยพระราชบญั ญัตวิ าดว ยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบับที่ ๓) พ.ศ. ๒๕๖๒ ๓๘ มาตรา ๔๓/๑ เพิ่มโดยพระราชบญั ญตั วิ า ดวยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบบั ท่ี ๓) พ.ศ. ๒๕๖๒ 50 สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์

๒๒ (๕) แนวทางการสงเสริมและสนับสนุนการศึกษา คนควา และวิจัยเทคโนโลยีดิจิทัล ดานธุรกรรมทางอิเล็กทรอนิกส พาณิชยอิเล็กทรอนิกส และการใหบริการธุรกรรม ทางอิเล็กทรอนิกส รวมทั้งสงเสริมใหมีการเผยแพรความรูใหแกประชาชนเพื่อใชประโยชนจาก เทคโนโลยีดังกลา ว หมวด ๖ บทกำหนดโทษ  มาตรา ๔๔๓๙ ผูใดประกอบธุรกิจบริการเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกสโดยไมแจง ตอพนักงานเจาหนาที่ตามที่กำหนดในพระราชกฤษฎีกาตามมาตรา ๓๓ วรรคหนึ่ง โดยฝาฝน คำสั่งของพนักงานเจาหนาที่ใหหยุดการใหบริการหรือคำสั่งหามมิใหใหบริการในสวนที่เกี่ยวกับ ธุรกรรมทางอิเล็กทรอนิกสในการประกอบธุรกิจตามมาตรา ๓๓ วรรคสาม หรือตามมาตรา ๓๓ วรรคหา แลวแตกรณี หรือประกอบธุรกิจบริการเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส ภายหลังจากพนักงานเจาหนาที่ถอนการรับแจงตามมาตรา ๓๓ วรรคหก ตองระวางโทษจำคุก ไมเ กนิ หน่งึ ป หรอื ปรบั ไมเ กนิ หน่งึ แสนบาท หรือทง้ั จำทัง้ ปรับ มาตรา ๔๔/๑๔๐ ผใู ดประกอบธุรกจิ บรกิ ารเก่ยี วกับธรุ กรรมทางอิเล็กทรอนิกส โดยไมข ้นึ ทะเบียนตอพนักงานเจาหนาที่ตามที่กำหนดในพระราชกฤษฎีกาตามมาตรา ๓๓/๑ วรรคหน่ึง หรือประกอบธุรกจิ บริการเกย่ี วกับธรุ กรรมทางอเิ ล็กทรอนิกสภ ายหลังจากมีคำสั่งเพิกถอนการขึ้น ทะเบยี นตามมาตรา ๓๓/๑ วรรคสี่ หรอื วรรคแปด แลวแตกรณี ตอ งระวางโทษจำคุกไมเ กินสองป หรอื ปรบั ไมเกินสองแสนบาท หรือท้ังจำท้งั ปรับ มาตรา ๔๕๔๑ ผใู ดประกอบธุรกิจบริการเกย่ี วกบั ธรุ กรรมทางอิเล็กทรอนิกส โดยไมไดรับ ใบอนุญาตตามมาตรา ๓๔ หรือประกอบธุรกิจบริการเก่ียวกับธุรกรรมทางอิเล็กทรอนิกส ในระหวางท่มี คี ำส่ังพักใชใบอนุญาตหรือภายหลังจากมีคำส่งั เพิกถอนใบอนุญาตของคณะกรรมการ ตองระวางโทษจำคุกไมเกินสามป หรอื ปรบั ไมเ กินสามแสนบาท หรอื ทัง้ จำท้ังปรับ มาตรา ๔๕/๑๔๒ ผูใดประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจนและยืนยันตัวตน ทางดิจิทัลโดยไมไดรับใบอนุญาตตามมาตรา ๓๔/๔ หรือประกอบธุรกิจบริการเกี่ยวกับระบบ การพิสูจนและยืนยันตัวตนทางดิจิทัลในระหวางที่มีคำสั่งพักใชใบอนุญาตหรือภายหลังจากมี คำสั่งเพิกถอนใบอนุญาตของคณะกรรมการหรือคณะกรรมการตามมาตรา ๓๔/๔ วรรคสอง ตอ งระวางโทษจำคกุ ไมเ กินสามป หรอื ปรบั ไมเ กินสามแสนบาท หรอื ทัง้ จำท้งั ปรับ ๓๙ มาตรา ๔๔ แกไขเพิ่มเติมโดยพระราชบัญญตั ิวาดว ยธุรกรรมทางอเิ ล็กทรอนิกส (ฉบับที่ ๓) พ.ศ. ๒๕๖๒ 51 ๔๐ มาตรา ๔๔/๑ เพิม่ โดยพระราชบญั ญัตวิ า ดวยธรุ กรรมทางอิเล็กทรอนกิ ส (ฉบับท่ี ๓) พ.ศ. ๒๕๖๒ ๔๑ มาตรา ๔๕ แกไ ขเพิม่ เตมิ โดยพระราชบญั ญัตวิ าดว ยธรุ กรรมทางอิเล็กทรอนกิ ส (ฉบบั ที่ ๓) พ.ศ. ๒๕๖๒ ๔๒ มาตรา ๔๕/๑ เพิม่ โดยพระราชบญั ญัตวิ าดวยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส (ฉบบั ท่ี ๔) พ.ศ. ๒๕๖๒ สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์

๒๓ มาตรา ๔๖๔๓ ในกรณีที่ผูกระทำความผิดเปนนิติบุคคล ถาการกระทำความผิดของ นิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการ หรือผูจัดการ หรือบุคคลใด ซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลน้ัน หรือในกรณีที่บุคคลดังกลาวมหี นาที่ตองสัง่ การ หรอื กระทำการและละเวนไมสั่งการหรือไมกระทำการจนเปน เหตุใหนิตบิ ุคคลน้ันกระทำความผิด ผูน้นั ตองรับโทษตามทบ่ี ญั ญัติไวสำหรับความผดิ นัน้ ๆ ดว ย ผูร ับสนองพระบรมราชโองการ พันตำรวจโท ทักษิณ ชินวัตร นายกรฐั มนตรี ๔๓ มาตรา ๔๖ แกไขเพิ่มเติมโดยพระราชบัญญัติแกไขเพิ่มเติมบทบัญญัติแหงกฎหมายที่เกี่ยวกับความรับผิด ในทางอาญาของผูแทนนติ บิ ุคคล พ.ศ. ๒๕๖๐ 52 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์

๒๔ หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับน้ี คอื โดยที่การทำธุรกรรมในปจจุบัน มีแนวโนมที่จะปรับเปลี่ยนวิธีการในการติดตอสื่อสารที่อาศัยการพัฒนาการเทคโนโลยี ทางอิเล็กทรอนิกสซึ่งมีความสะดวก รวดเร็วและมีประสิทธิภาพ แตเนื่องจากการทำธุรกรรม ทางอิเล็กทรอนิกสดังกลาวมีความแตกตางจากวิธีการทำธุรกรรมซึ่งมีกฎหมายรองรับอยูใน ปจจุบันเปนอยางมาก อันสงผลใหตองมีการรองรับสถานะทางกฎหมายของขอมูล ทางอิเล็กทรอนิกสใหเสมอกับการทำเปนหนังสอื หรือหลักฐานเปนหนังสือ การรับรองวิธีการสง และรับขอมูลอิเล็กทรอนิกส การใชลายมือชื่ออิเล็กทรอนิกส ตลอดจนการรับฟงพยานหลักฐาน ที่เปนขอมูลอิเล็กทรอนิกส เพื่อเปนการสงเสริมการทำธุรกรรมทางอิเล็กทรอนิกสใหนาเชื่อถือ และมีผลในทางกฎหมายเชนเดียวกับการทำธุรกรรมโดยวิธีการทั่วไปที่เคยปฏิบัติอยูเดิม ควรกำหนดใหมีคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ สทำหนาที่วางนโยบายกำหนดหลักเกณฑ เพ่ือสงเสริมการทำธุรกรรมทางอิเล็กทรอนิกส ติดตามดูแลการประกอบธุรกิจเกี่ยวกับธุรกรรม ทางอิเล็กทรอนิกส รวมทั้งมีหนาที่ในการสงเสริมการพัฒนาการทางเทคโนโลยีเพื่อติดตาม ความกา วหนา ของเทคโนโลยี ซ่ึงมกี ารเปลยี่ นแปลงและพฒั นาศักยภาพตลอดเวลาใหมีมาตรฐาน นา เชอื่ ถอื ตลอดจนเสนอแนะแนวทางแกไ ขปญ หาและอุปสรรคท่ีเก่ยี วของ อนั จะเปนการสง เสริม การใชธุรกรรมทางอิเล็กทรอนิกสทั้งภายในประเทศและระหวางประเทศ ดวยการมีกฎหมาย รองรบั ในลักษณะทเี่ ปนเอกรูป และสอดคลอ งกบั มาตรฐานท่นี านาประเทศยอมรบั จงึ จำเปนตอง ตราพระราชบญั ญตั นิ ้ี *พระราชกฤษฎีกาแกไขบทบัญญัติใหสอดคลองกับการโอนอำนาจหนาที่ของสวนราชการ ใหเ ปนไปตามพระราชบญั ญตั ปิ รับปรุงกระทรวง ทบวง กรม พ.ศ. ๒๕๔๕ พ.ศ. ๒๕๔๕๔๔ มาตรา ๑๐๒ ในพระราชบญั ญตั วิ า ดว ยธุรกรรมทางอิเลก็ ทรอนิกส พ.ศ. ๒๕๔๔ ใหแ กไข คำวา “รัฐมนตรวี า การกระทรวงวทิ ยาศาสตร เทคโนโลยแี ละสง่ิ แวดลอม” เปน “รัฐมนตรีวาการ กระทรวงเทคโนโลยสี ารสนเทศและการสอ่ื สาร” หมายเหตุ : เหตผุ ลในการประกาศใชพระราชกฤษฎกี าฉบบั นี้ คือ โดยท่พี ระราชบัญญัตปิ รับปรุง กระทรวง ทบวง กรม พ.ศ. ๒๕๔๕ ไดบ ญั ญัตใิ หจดั ต้ังสวนราชการขึ้นใหมโ ดยมภี ารกจิ ใหม ซึ่งได มีการตราพระราชกฤษฎีกาโอนกิจการบริหารและอำนาจหนาที่ของสวนราชการใหเปนไปตาม พระราชบัญญัติปรับปรุงกระทรวง ทบวง กรม นั้นแลว และเนื่องจากพระราชบัญญัติดังกลา วได บัญญัติใหโอนอำนาจหนาที่ของสวนราชการ รัฐมนตรีผูดำรงตำแหนงหรือผูซึ่งปฏิบัติหนาที่ใน สวนราชการเดิมมาเปนของสว นราชการใหม โดยใหมกี ารแกไ ขบทบัญญัติตาง ๆ ใหส อดคลองกับ อำนาจหนาที่ที่โอนไปดวย ฉะนั้น เพื่ออนุวัติใหเปนไปตามหลักการที่ปรากฏในพระราชบัญญัติ และพระราชกฤษฎีกาดังกลาว จึงสมควรแกไขบทบัญญัติของกฎหมายใหสอดคลองกับการโอน สวนราชการ เพื่อใหผูเกี่ยวของมีความชัดเจนในการใชกฎหมายโดยไมตองไปคนหาในกฎหมาย ๔๔ ราชกิจจานเุ บกษา เลม ๑๑๙/ตอนที่ ๑๐๒ ก/หนา ๖๖/๘ ตุลาคม ๒๕๔๕ ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 53

๒๕ โอนอำนาจหนาที่วาตามกฎหมายใดไดมีการโอนภารกิจของสวนราชการหรือผูรับผิดชอบตาม กฎหมายน้ันไปเปนของหนวยงานใดหรือผูใดแลว โดยแกไขบทบัญญัติของกฎหมายใหมี การเปลีย่ นชือ่ สว นราชการ รฐั มนตรผี ูดำรงตำแหนงหรือผูซง่ึ ปฏิบัตหิ นาทขี่ องสวนราชการใหตรง กับการโอนอำนาจหนาที่ และเพิ่มผูแทนสวนราชการในคณะกรรมการใหตรงตามภารกิจที่มี การตัดโอนจากสว นราชการเดิมมาเปน ของสวนราชการใหมรวมทง้ั ตดั สวนราชการเดิมท่ีมีการยุบ เลกิ แลว ซ่ึงเปนการแกไขใหต รงตามพระราชบัญญัติและพระราชกฤษฎีกาดังกลาว จงึ จำเปนตอง ตราพระราชกฤษฎีกาน้ี พระราชบญั ญตั ิวาดว ยธรุ กรรมทางอเิ ล็กทรอนิกส (ฉบบั ที่ ๒) พ.ศ. ๒๕๕๑๔๕ มาตรา ๒ พระราชบัญญัติน้ีใหใชบ ังคับตง้ั แตว ันถัดจากวันประกาศในราชกิจจานุเบกษา เปนตนไป มาตรา ๑๑ ในระหวางที่จัดตั้งสำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส ตามมาตรา ๔๓ แหง พระราชบัญญัตวิ าดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ซ่ึงแกไขเพ่ิมเติม โดยพระราชบัญญัตินี้ยังไมแลวเสร็จ ใหสำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและ การสื่อสารรับผิดชอบทำหนาที่หนวยงานธุรการของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส ไปพลางกอ น ใหปลัดกระทรวงเทคโนโลยีสารสนเทศและการส่ือสารแตงตั้งขาราชการซ่ึงดำรงตำแหนง ไมต่ำกวาระดับแปดหรือเทียบเทาในสังกัดสำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและ การส่อื สาร ทำหนา ทีเ่ ปนหัวหนาสำนกั งานคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกสไปพลางกอน จนกวาการจดั ตั้งสำนกั งานคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกสจ ะแลวเสรจ็ เพื่อประโยชนในการปฏิบัติงานตามวรรคหนึ่ง รัฐมนตรีวาการกระทรวงเทคโนโลยี สารสนเทศและการสื่อสารจะสั่งใหขาราชการในสังกัดกระทรวงเทคโนโลยีสารสนเทศและ การสอื่ สารมาปฏบิ ัตงิ านชัว่ คราวในสำนักงานปลัดกระทรวงเทคโนโลยสี ารสนเทศและการสื่อสาร ตามความจำเปน กไ็ ด มาตรา ๑๒ ใหนายกรัฐมนตรีและรัฐมนตรีวาการกระทรวงเทคโนโลยีสารสนเทศและ การส่อื สารรักษาการตามพระราชบญั ญตั นิ ี้ หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับนี้ คือ เนื่องจากปจจุบันกฎหมาย วาดวยธุรกรรมทางอิเล็กทรอนิกสยังไมมีบทบัญญัติรองรับในเรื่องตราประทับอิเล็กทรอนิกส ซึ่งเปนสิ่งที่สามารถระบุถึงตัวผูทำธุรกรรมทางอิเล็กทรอนิกสไดเชนเดียวกับลายมือช่ือ อเิ ลก็ ทรอนกิ ส ทำใหเปนอปุ สรรคตอการทำธุรกรรมทางอิเล็กทรอนิกสท ่ีตองมีการประทับตราใน หนังสือเปนสำคัญ รวมทั้งยังไมมีบทบัญญัติที่กำหนดใหสามารถนำเอกสารซึ่งเปนสิ่งพิมพออก ๔๕ ราชกิจจานเุ บกษา เลม ๑๒๕/ตอนท่ี ๓๓ ก/หนา ๘๑/๑๓ กมุ ภาพันธ ๒๕๕๑ 54 สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์

๒๖ ของขอมูลอิเล็กทรอนิกสมาใชแทนตนฉบับหรือใหเปนพยานหลักฐานในศาลได และโดยที่ไดมี การปรับปรุงโครงสรางระบบราชการตามพระราชบัญญัติปรับปรุง กระทรวง ทบวง กรม พ.ศ. ๒๕๔๕ และกำหนดใหกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเปนหนวยงานที่มีอำนาจหนาที่ เกี่ยวกับการวางแผน สงเสริม พัฒนา และดำเนินกิจการเกี่ยวกับเทคโนโลยีสารสนเทศและ การสื่อสาร ประกอบกับปจจุบันธุรกรรมทางอิเล็กทรอนิกสไดมีการใชอยางแพรหลาย จำเปนที่ จะตองมีหนวยงานธุรการเพื่อทำหนาที่กำกับดูแลเพื่อใหเปนไปตามกฎหมายวาดวยธุรกรรม ทางอิเล็กทรอนิกสและเปนฝายเลขานุการของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส โดยสมควรจัดตั้งสำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส สังกัดกระทรวงเทคโนโลยี สารสนเทศและการสื่อสารขึ้นทำหนาท่ีแทนศูนยเทคโนโลยีอิเล็กทรอนิกสและคอมพิวเตอร แหงชาติ อันจะเปนการสงเสริมความเชื่อมั่นในการทำธุรกรรมทางอิเล็กทรอนิกส และเสริมสรา ง ศักยภาพการแขงขนั ในเวทีการคา ระหวางประเทศ สมควรแกไขเพ่ิมเติมกฎหมายวาดวยธรุ กรรม ทางอเิ ล็กทรอนิกสเพ่ือใหสอดคลองกบั หลักการดงั กลา ว จงึ จำเปน ตองตราพระราชบญั ญัตนิ ี้ พระราชบัญญัติแกไขเพิ่มเติมบทบัญญัติแหงกฎหมายที่เกี่ยวกับความรับผิดในทางอาญา ของผแู ทนนิตบิ คุ คล พ.ศ. ๒๕๖๐๔๖ มาตรา ๒ พระราชบัญญตั ิน้ีใหใชบ งั คับตั้งแตว ันถัดจากวันประกาศในราชกิจจานุเบกษา เปนตนไป หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับนี้ คือ โดยที่ศาลรัฐธรรมนูญไดมี คำวนิ จิ ฉยั วา พระราชบญั ญัตขิ ายตรงและตลาดแบบตรง พ.ศ. ๒๕๔๕ มาตรา ๕๔ เฉพาะในสวนที่ สันนิษฐานใหกรรมการผูจัดการ ผูจัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของ นิติบุคคลนั้น ตองรับโทษทางอาญารวมกับการกระทำความผิดของนิติบุคคล โดยไมปรากฏวา มีการกระทำหรือเจตนาประการใดอันเกี่ยวกับการกระทำความผิดของนิติบุคคลนั้น ขัดหรือแยง ตอรัฐธรรมนูญแหง ราชอาณาจกั รไทย พทุ ธศักราช ๒๕๕๐ มาตรา ๓๙ วรรคสอง เปนอันใชบ ังคบั ไมไดตามรัฐธรรมนูญแหงราชอาณาจักรไทย พุทธศักราช ๒๕๕๐ มาตรา ๖ และตอมา ศาลรัฐธรรมนูญไดมีคำวินิจฉัยในลักษณะดังกลาวทำนองเดียวกัน คือ พระราชบัญญัติลิขสิทธ์ิ พ.ศ. ๒๕๓๗ มาตรา ๗๔ พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. ๒๕๔๔ มาตรา ๗๘ พระราชบัญญัติสถานบริการ พ.ศ. ๒๕๐๙ มาตรา ๒๘/๔ และพระราชบัญญัติปุย พ.ศ. ๒๕๑๘ มาตรา ๗๒/๕ ขดั หรือแยงตอรัฐธรรมนูญแหง ราชอาณาจักรไทย พทุ ธศกั ราช ๒๕๕๐ มาตรา ๓๙ วรรคสอง เปนอันใชบังคับไมไดตามรัฐธรรมนูญแหงราชอาณาจักรไทย พุทธศักราช ๒๕๕๐ มาตรา ๖ ดังนั้น เพื่อแกไขบทบัญญัติของกฎหมายดังกลาวและกฎหมายอื่นที่มีบทบัญญัติ ในลักษณะเดียวกนั มใิ หข ัดหรอื แยงตอรฐั ธรรมนญู จงึ จำเปนตองตราพระราชบญั ญัติน้ี ๔๖ ราชกิจจานเุ บกษา เลม ๑๓๔/ตอนที่ ๑๘ ก/หนา ๑/๑๑ กมุ ภาพันธ ๒๕๖๐ 55 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์

๒๗ พระราชบัญญัตวิ าดวยธุรกรรมทางอิเล็กทรอนกิ ส (ฉบบั ท่ี ๓) พ.ศ. ๒๕๖๒๔๗ มาตรา ๒ พระราชบัญญตั นิ ้ีใหใ ชบังคบั ตงั้ แตวนั ถัดจากวนั ประกาศในราชกจิ จานเุ บกษา เปน ตน ไป มาตรา ๒๕ ใหคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ สซ่ึงดำรงตำแหนงอยูในวันกอน วันที่พระราชบัญญัตินี้ใชบังคับ คงอยูในตำแหนงตอไป จนกวาจะมีการแตงตั้งคณะกรรมการ ธุรกรรมทางอิเล็กทรอนิกสตามพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ซ่ึงแกไขเพ่มิ เตมิ โดยพระราชบัญญัติน้ี มาตรา ๒๖ บรรดาการใด ๆ ที่คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสตาม พระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ไดดำเนินการไวกอนวันที่ พระราชบัญญัตินี้ใชบังคับและยังมีผลใชบังคับอยู ใหยังคงใชบังคับไดตอไป และเมื่อไดมี การแตงตั้งคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสตามพระราชบัญญัติวาดวยธุรกรรม ทางอเิ ล็กทรอนกิ ส พ.ศ. ๒๕๔๔ ซ่งึ แกไขเพิ่มเตมิ โดยพระราชบัญญตั นิ ี้ แลว การนน้ั ยังดำเนนิ การ ไมแลวเสร็จ ใหการดำเนินการตอไปเปนไปตามที่คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสน้ัน กำหนด มาตรา ๒๗ ใหนายกรฐั มนตรีและรัฐมนตรวี า การกระทรวงดิจทิ ัลเพ่ือเศรษฐกิจและสังคม รักษาการตามพระราชบญั ญตั นิ ้ี หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับนี้ คือ โดยที่ปจจุบันกฎหมายวาดวย ธุรกรรมทางอิเล็กทรอนิกสมีขอจำกัดหรืออุปสรรคบางประการในการบังคับใชกฎหมาย ประกอบกับ การทำสัญญาในรูปแบบของธุรกรรมทางอิเล็กทรอนิกสมีแนวโนมที่จะเกิดขึ้นระหวางคูสัญญา ทีอ่ ยคู นละประเทศเปน จำนวนมาก เพอ่ื ใหกฎหมายวาดวยธุรกรรมทางอิเล็กทรอนิกสเปนไปตาม มาตรฐานสากล รวมทง้ั ปรับปรงุ กลไกในการกำกบั ดูแลการประกอบธุรกจิ บริการเกยี่ วกับธุรกรรม ทางอิเล็กทรอนิกสใหชัดเจนและสอดคลองกับการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม จงึ จำเปน ตอ งตราพระราชบญั ญตั ิน้ี พระราชบญั ญตั วิ าดวยธรุ กรรมทางอเิ ลก็ ทรอนิกส (ฉบบั ที่ ๔) พ.ศ. ๒๕๖๒๔๘ มาตรา ๒ พระราชบญั ญัตนิ ้ีใหใชบ ังคับตั้งแตวันถดั จากวันประกาศในราชกิจจานุเบกษา เปนตน ไป มาตรา ๗ ผูประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจนและยืนยันตัวตนทางดิจิทัล ซึ่งประกอบธุรกิจอยูในวันกอนที่พระราชบัญญัตินี้ใชบังคับ ใหดำเนินกิจการตอไปได และเมื่อมีการตราพระราชกฤษฎีกาตามมาตรา ๓๔/๔ แหงพระราชบัญญัติวาดวยธุรกรรม ๔๗ ราชกจิ จานเุ บกษา เลม ๑๓๖/ตอนที่ ๔๙ ก/หนา ๑๒/๑๔ เมษายน ๒๕๖๒ ๔๘ ราชกจิ จานเุ บกษา เลม ๑๓๖/ตอนที่ ๖๗ ก/หนา ๒๐๓/๒๒ พฤษภาคม ๒๕๖๒ 56 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์

๒๘ ทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ซ่ึงแกไ ขเพ่ิมเตมิ โดยพระราชบัญญัตินี้ กำหนดใหเ ปนธุรกิจบริการ เกี่ยวกับธุรกรรมทางอิเล็กทรอนิกสที่ตองไดรับใบอนุญาต ใหผูประกอบธุรกิจบริการเกี่ยวกับ ระบบการพิสูจนและยืนยันตวั ตนทางดจิ ิทัลน้ันยน่ื คำขอรบั ใบอนุญาตภายในเกาสิบวันนับแตวันที่ พระราชกฤษฎีกามีผลใชบังคับ และเมื่อไดยื่นคำขอรับใบอนุญาตแลว ใหดำเนินกิจการตอไป จนกวา จะมคี ำส่งั ไมอ นญุ าต มาตรา ๘ บรรดาระเบียบที่ออกตามพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ที่ใชบังคับอยูใ นวันกอนวันที่พระราชบญั ญัตินีใ้ ชบังคบั ใหยังคงใชบังคับตอ ไปเพียง เทาทีไ่ มขัดหรือแยงกับพระราชบัญญัติน้ี จนกวาจะมรี ะเบียบตามพระราชบัญญัติวาดวยธุรกรรม ทางอิเลก็ ทรอนิกส พ.ศ. ๒๕๔๔ ซึง่ แกไ ขเพิ่มเตมิ โดยพระราชบญั ญัตนิ ใ้ี ชบ งั คับ มาตรา ๙ ใหรัฐมนตรีวาการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมรักษาการ ตามพระราชบัญญัตินี้ หมายเหตุ : เหตุผลในการประกาศใชพระราชบัญญัติฉบับนี้ คือ โดยที่การยืนยันตัวตนของ บุคคลเปนขั้นตอนสำคัญในการทำธุรกรรมในระบบเศรษฐกิจ แตที่ผานมาผูที่ประสงคจะ ขอรับบริการจากผูประกอบการหรือหนวยงานใด ๆ จะตองทำการพิสูจนและยืนยันตัวตนโดย การแสดงตนตอผูใหบริการพรอมกับตองสงเอกสารหลักฐาน ซึ่งเปนภาระตอผูใชบริการและ ผูใหบริการ สมควรกำหนดใหบุคคลสามารถพิสูจนและยืนยันตัวตนผานระบบการพิสูจนและ ยืนยันตัวตนทางดิจิทัลได โดยมีกลไกการควบคุมดูแลผูประกอบธุรกิจบริการที่เกี่ยวของ เพื่อให ระบบดังกลาวมคี วามนา เชือ่ ถอื และปลอดภัย จงึ จำเปนตอ งตราพระราชบัญญัติน้ี ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 57

58 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์

ประกาศคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกส เร่อื ง แนวทางการจัดทาํ แนวนโยบาย (Certificate Policy) และแนวปฏิบตั ิ (Certification Practice Statement) ของผูใหบรกิ ารออกใบรับรองอเิ ล็กทรอนกิ ส (Certification Authority) พ.ศ. ๒๕๕๒ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 59

ช่อื กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เร่ือง แนวทางการจัดทําแนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผูใหบริการออกใบรับรองอิเล็กทรอนิกส (Certification Authority) พ.ศ. ๒๕๕๒ ประกาศในราชกิจจานเุ บกษา เลม ๑๒๖ / ตอนพเิ ศษ ๑๘๐ ง / หนา ๒๗ / วนั ท่ี ๑๖ ธนั วาคม ๒๕๕๒ เริม่ บังคบั ใช วนั ที่ ๑๗ ธันวาคม ๒๕๕๒ 60 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์

เลม ๑๒๖ ตอนพเิ ศษ ๑๘๐ ง หนา ๒๗ ๑๖ ธนั วาคม ๒๕๕๒ ราชกิจจานุเบกษา ประกาศคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส เร่ือง แนวทางการจดั ทาํ แนวนโยบาย (Certificate Policy) และ แนวปฏิบัติ (Certification Practice Statement) ของผูใ หบรกิ ารออกใบรบั รองอิเล็กทรอนิกส (Certification Authority) พ.ศ. ๒๕๕๒ เพือ่ ใหการใหบริการของผูใหบ รกิ ารออกใบรบั รองอเิ ลก็ ทรอนกิ สมคี วามนาเชอื่ ถือ ตลอดจน มมี าตรฐานเปนท่ยี อมรบั ในระดบั สากล คณะกรรมการธรุ กรรมทางอิเลก็ ทรอนิกส จึงเห็นควรกําหนด แนวทางในการจัดทาํ แนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผูใหบริการออกใบรับรองอิเล็กทรอนิกส (Certification Authority) อาศยั อํานาจตามความในมาตรา ๒๘ (๖) มาตรา ๒๙ (๗) และมาตรา ๓๗ (๔) แหงพระราชบัญญัติ วาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสจึงออก ประกาศไว ดังตอไปนี้ ขอ ๑ ใหผูใหบริการออกใบรับรองอิเล็กทรอนิกส (Certification Authority) จัดทาํ แนวนโยบาย (Certificate Policy) และแนวปฏบิ ตั ิ (Certification Practice Statement) ตามแนวทาง การจัดทาํ แนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผูใ หบรกิ ารออกใบรบั รองอเิ ล็กทรอนกิ ส (Certification Authority) ทายประกาศน้ี ขอ ๒ ประกาศนใ้ี หใ ชบ งั คบั ตงั้ แตว นั ถัดจากวนั ประกาศในราชกจิ จานเุ บกษาเปนตนไป ประกาศ ณ วนั ที่ ๘ ตลุ าคม พ.ศ. ๒๕๕๒ รอยตรีหญงิ ระนองรักษ สุวรรณฉวี รัฐมนตรวี า การกระทรวงเทคโนโลยสี ารสนเทศและการสอื่ สาร ประธานกรรมการธรุ กรรมทางอิเล็กทรอนกิ ส สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 61

แนวทางการจัดทําแนวนโยบาย (Certificate Policy) และ แนวปฏิบัติ (Certification Practice Statement) ของผูใหบ ริการออกใบรับรองอิเลก็ ทรอนกิ ส (Certification Authority) ๑. บทนํา ในการนําใบรับรองอิเล็กทรอนิกส (Electronic Certificate) ท่ีออกโดยผูใหบริการ ออกใบรับรองอเิ ลก็ ทรอนิกส (Certification Authority) เพอ่ื ใหผ ูใชบริการสามารถนําไปใชในการรับรอง ตัวบุคคลผูถือใบรับรองสําหรับใชในการสรางลายมือชื่อดิจิทัล (Digital Signature) อันเปนลายมือช่ือ อเิ ลก็ ทรอนิกสท ่เี ชอ่ื ถือไดประเภทหนึ่ง หรือสําหรับการรับรองความมีตัวตนของนิติบุคคล หรือรับรอง เครื่องใหบริการหรือเซิรฟเวอร (Server) หรือเอนทิตี (Entity) อ่ืนใดก็ตาม ดวยการประยุกตใช เทคโนโลยีโครงสรางพ้ืนฐานกุญแจสาธารณะ (Public Key Infrastructure หรือเทคโนโลยี PKI) น้ัน ความนาเชือ่ ถือของผูใหบริการออกใบรับรองอิเล็กทรอนิกส นับวามีสวนสําคัญยิ่งตอการใชบริการและ กอใหเกิดผลผูกพันทางกฎหมายในธุรกรรมตางๆ ท่ีทําขึ้นโดยมีการนําใบรับรองอิเล็กทรอนิกสไปใช ยืนยันหรือรับรองตัวบุคคล นิติบุคคล เคร่ืองใหบริการหรือเซิรฟเวอร หรือเอนทิตีใดก็ตาม ในการทํา ธรุ กรรมแตล ะครงั้ เพื่อใหการใหบริการของผูใหบริการออกใบรับรองอิเล็กทรอนิกส มีความนาเช่ือถือ หนวยงานท่ีช่ือวา Internet Engineering Task Force หรือ IETF ซึ่งทําการพัฒนาสถาปตยกรรมทาง อินเทอรเน็ต (Internet Architecture) จึงไดกําหนดกรอบหรือแนวทางในการทําแนวนโยบายและ แนวปฏิบัติของผูใหบริการออกใบรับรองอิเล็กทรอนิกสขึ้น เรียกวา Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 3647) อันเปน มาตรฐานที่ไดรับการยอมรับในระดับสากล จึงไดนํามาใชเปนแนวทางในการจัดทําประกาศฉบับน้ี สาํ หรบั ใชป ฏิบัติในการจัดทําแนวนโยบายและแนวปฏิบัติของผูใหบริการออกใบรับรองอิเล็กทรอนิกส ในประเทศไทย เพื่อใหสอดคลอ งตามมาตรฐานสากล ๒. คํานิยาม (Definition) และคํายอ (Acronym) ในสวนนี้แสดงถงึ คาํ นยิ ามและคํายอ เพอื่ ใหค วามหมายกับคําท่ีถูกใชในเอกสารนี้อยางเขาใจได ถูกตองตรงกัน คาํ /คํายอ คาํ นยิ าม RFC “The Internet Request For Comments” เปนชุดเอกสารท่ีเขียนเพ่ือนิยามหรือ บรรยายตามความเปนจริงปจจุบันและแนะนําแนวปฏิบัติเกี่ยวกับเกณฑวิธี (Protocol) และนโยบายของอินเทอรเ น็ต เปน ตน 62 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์

-๒- คํา/คาํ ยอ คาํ นิยาม บุคคล บุคคลธรรมดา หรือนิตบิ คุ คล เอนทติ ี บุคคลและรวมถึงเคร่ืองใหบริการ (Server) หรือเว็บไซต หรือหนวยปฏิบัติงาน (Operating Unit/Site) หรอื เคร่ืองมืออื่นใด (Device) ที่อยภู ายใตการควบคุมของ Certificate บคุ คล Revocation List รายการเพิกถอนใบรับรองอิเล็กทรอนิกส คือ รายการใบรับรองอิเล็กทรอนิกส (CRL) ทถ่ี ูกเพิกถอนการใชง าน Online Certificate เกณฑวิธี (Protocol) สําหรับตรวจสอบสถานะของการเพิกถอนใบรับรอง หรือ Status Protocol วันเวลาท่เี รมิ่ ตนและสิน้ สุดการใชใบรบั รอง (OCSP) Object Identifier คาสัมพันธซึ่งบงบอกถึงขอมูลสารสนเทศของวัตถุ (Information Object) ใดๆ (OID) โดยเปน คา ท่ีสามารถบง ชีไ้ ดถ งึ ความเปน หนึง่ เดียวของ Object นนั้ ๆ กญุ แจสาธารณะ กญุ แจทใี่ ชในการตรวจสอบลายมือชื่อดจิ ทิ ลั และสามารถนําไปใชในการเขารหัส Public Key ลับขอมูลอิเล็กทรอนิกส เพ่ือมิใหสามารถเขาใจความหมายของขอมูล อเิ ลก็ ทรอนกิ สท ี่มีการเขารหัสลับนั้นได เพ่ือประโยชนในการรักษาความลับของ กญุ แจสว นตวั ขอมลู อเิ ลก็ ทรอนิกสนน้ั Private Key กญุ แจท่ใี ชใ นการสรางลายมือช่ือดิจิทัล และสามารถนําไปใชในการถอดรหัสลับ เมื่อมีการเขารหสั ลับขอมูลอิเล็กทรอนิกส เพ่ือใหสามารถเขาใจความหมายของ คกู ุญแจ ขอ มลู อเิ ลก็ ทรอนกิ สท่มี ีการเขา รหัสลบั น้ันได Key Pair กุญแจสวนตัวและกุญแจสาธารณะในระบบการเขารหัสลับแบบอสมมาตรท่ีได สรางข้ึนโดยวิธีการท่ีทําใหกุญแจสวนตัวมีความสัมพันธในทางคณิตศาสตรกับ กุญแจสาธารณะในลักษณะท่ีสามารถใชกุญแจสาธารณะตรวจสอบไดวา ลายมอื ชอื่ ดจิ ิทัลไดสรางข้ึนโดยใชกญุ แจสวนตวั นัน้ หรือไม และสามารถนํากุญแจ สาธารณะไปใชในการเขารหัสลับขอมูลอิเล็กทรอนิกส ทําใหไมสามารถเขาใจ ความหมายของขอมูลอิเล็กทรอนิกสไดเพ่ือประโยชนในการรักษาความลับของ ขอมูลอิเลก็ ทรอนิกส เวนแตบ คุ คลทถ่ี ือกญุ แจสวนตัวซึ่งสามารถนาํ กุญแจสวนตัว ของตนใชในการถอดรหัสลับของขอมูลอิเล็กทรอนิกส เพื่อใหเจาของกุญแจ สว นตวั สามารถอา นหรือเขาใจความหมายของขอ มูลอเิ ล็กทรอนกิ สน ้ันได ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 63

-๓- คาํ /คาํ ยอ คํานยิ าม ผซู งึ่ ทาํ หนา ทีร่ บั ลงทะเบียนเม่ือมีการยื่นคําขอใชบริการ แจงเพิกถอนใบรับรอง เจาหนา ท่ีรบั อิเล็กทรอนิกส หรือตออายุใบรับรองอิเล็กทรอนิกส โดยทําการตรวจสอบและ ลงทะเบยี น ยืนยนั ความถูกตอ งของขอมลู ที่ผใู ชบริการใหไว Registration Authority (RA) หมายถึง การท่ีขอมูลสูญหาย ถูกทําลาย ถูกแกไข ถูกเปดเผยโดยมิชอบ หรือ ถูกลวงรูโดยไมสอดคลองกับวัตถุประสงคของการเก็บรักษาขอมูลนั้น รวมทั้ง พฤตกิ ารณท ี่ กรณีท่ีมเี หตุอันควรสงสัยวาจะมพี ฤตกิ ารณด ังกลาว กระทบตอความ มน่ั คงปลอดภัย ของขอ มูล (Compromise) ๓. หวั ขอทตี่ อ งกําหนดไวใ นแนวนโยบาย และ แนวปฏบิ ตั ิ บทที่ ๑ บทนาํ (Introduction) บทท่ี ๒ ความรบั ผดิ ชอบในการเผยแพรข อ มูลและการเกบ็ รกั ษาขอมูล (Publication and Repository Responsibilities) บทที่ ๓ การระบุและการยืนยนั ตวั บุคคล (Identification and Authentication) บทท่ี ๔ ขอ กําหนดเกย่ี วกบั การดําเนนิ การตลอดอายขุ องใบรบั รองอิเล็กทรอนกิ ส (Certificate Life-Cycle Operation Requirements) บทท่ี ๕ การควบคมุ ความมั่นคงปลอดภยั ของเครื่องมอื อุปกรณ การบรหิ ารจดั การ และ การดาํ เนนิ งาน (Facility, Management, and Operational Controls) บทที่ ๖ การควบคุมความมนั่ คงปลอดภยั ดานเทคนคิ (Technical Security Controls) บทท่ี ๗ การกําหนดรปู แบบของใบรับรองอิเล็กทรอนิกส รายการเพกิ ถอน และสถานะของ ใบรบั รองอิเลก็ ทรอนกิ ส (Certificate, CRL, and OCSP Profiles) บทที่ ๘ การตรวจสอบการปฏบิ ัติตามกฎขอ บังคบั ตา งๆ และการประเมนิ ความเส่ยี งอน่ื ๆ (Compliance Audit and Other Assessment) บทท่ี ๙ ขอกาํ หนดอน่ื ๆ และประเดน็ กฎหมาย (Other Business and Legal Matters) 64 สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์

-๔- ๔. เนื้อหาท่ีตอ งกาํ หนดไวในแนวนโยบาย และแนวปฏบิ ตั ิ บทที่ ๑ บทนํา (Introduction) เนื้อหาในบทนี้ จะกลาวถึงประเภทของบุคคลหรือเอนทิตีท่ีเก่ียวของและการนําแนวนโยบาย หรือแนวปฏบิ ัตไิ ปใชง าน ๑. ขอมลู เบื้องตนทวั่ ไป (Overview) สาระสําคญั ของเน้อื หาในขอนี้ คือ การกลาวถึงแนวนโยบายและแนวปฏิบัติ โดยท่ัวๆ ไป และ การนําแนวนโยบายและแนวปฏิบัติที่จัดทําข้ึนไปปรับใชเมื่อมีการประยุกตใช PKI เชน กรณีท่ีมีการ กําหนดระดับความนาเชือ่ ถอื ของใบรับรองอเิ ลก็ ทรอนกิ สท แี่ ตกตา งกัน ใบรบั รองซงึ่ แตกตา งกันนัน้ อาจมี ความซับซอนหรอื อาจมกี ารกําหนดขอบเขตการใช PKI ที่แตกตางกัน ดังนั้น การแสดงขอมูลเก่ียวกับ โครงสรา งของ PKI จงึ มีประโยชนตอการทาํ ความเขา ใจเน้ือหาในสวนนี้ ๒. ช่ือเอกสาร (Document Name and Identification) เนือ้ หาในสว นน้จี ะกําหนดเกยี่ วกบั “ชือ่ ” สําหรบั ใชเ รียกแนวนโยบายและแนวปฏิบัติ หรือเรียก สงิ่ หนึง่ สิง่ ใด (Other Identifier) ทง้ั น้ี รวมถงึ การเรียกชือ่ เอกสารหรือสิ่งที่ระบุถงึ เชน วานน้ั ในทางเทคนิค ดว ย กลาวคอื จําเปนตอ งมีการจดทะเบียนเลข OID ซ่ึงมีชื่อเรียกอยางเปนทางการวา “ASN.1 Object Identifier ” ในทางปฏิบัติการกําหนดเลข OID ของแนวนโยบายและแนวปฏิบัติ หรือสิ่งหนึ่งส่ิงใดน้ัน ก็เพือ่ ใหส ามารถตรวจสอบไดวาแนวนโยบายและแนวปฏิบัติ หรือส่ิงอ่ืนท่ีถูกระบุถึงและกํากับดวยเลข OID น้ัน มีอยูจริง เนื่องจากเลข OID จะเปนตัวเลขซึ่งมีความสัมพันธหรือเชื่อมโยงถึง Information Object ใดๆ ลักษณะการกาํ หนดเลข OID จะมีการจัดเรียงลําดับตัวเลขกันและคั่นตัวเลขดวยจุด โดยมี หนว ยงานรบั จดทะเบยี นเลข OID จํานวนหลายหนว ยงานดวยกัน ไดแก American National Standard Institute (ANSI) สหรัฐอเมรกิ า, ISO เปนตน ๓. บคุ คลทเี่ ก่ียวของ (PKI Participants) เนื้อหาในบทนี้ควรจะกําหนดลักษณะ (Identity) ประเภทของบุคคลหรือเอนทิตี (Entity) ท่ีเกย่ี วของ รวมท้ังกําหนดบทบาทและหนา ท่ีของบุคคลหรือเอนทิตเี หลา น้นั ดว ย ๓.๑ ผใู หบ รกิ ารออกใบรับรองอิเลก็ ทรอนิกส (Certification Authority) คือ ผูใหบริการออกใบรับรองอเิ ลก็ ทรอนิกส ซงึ่ สรา งและออกใบรบั รองอิเลก็ ทรอนิกสเ พอื่ รับรอง กุญแจสาธารณะใหกบั ผใู ชบ ริการ ๓.๒ เจาหนาท่ีรับลงทะเบียน (Registration Authority) คอื บุคคลหรือเอนทติ ี ทท่ี าํ หนา ทใี่ นการตรวจสอบตวั บคุ คลผูสมัครขอใชบริการ ทั้งในข้ันตอน ที่มีการะบตุ ัวบคุ คลผูสมัครขอใชบริการ (Identification) วาผูสมัครขอใชบริการเปนใคร หรือเอนทิตีใด และขั้นตอนการยืนยันหรือพิสูจนตัวบุคคล (Authentication) วา ผูสมัครขอใชบริการหรือเอนทีตีอ่ืนใด ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 65

-๕- เปนบุคคลหรือเอนทิตีนั้นจริง นอกจากน้ันผูใหบริการออกใบรับรองอิเล็กทรอนิกส หรือเจาหนาที่รับ ลงทะเบียน จะทําหนาท่ีทํานองเดียวกันในการเพิกถอนใบรับรอง หรือตออายุใบรับรอง โดยทําการ ตรวจสอบและยืนยันความถูกตองของขอมูลท่ีผูสมัครขอใชบริการไดใหไวในขั้นตอนตางๆ หลังจาก ตรวจสอบความถูกตอ งของขอ มูลผูสมัครขอใชบ รกิ ารเรียบรอยแลว จึงแจงใหผูใหบริการออกใบรับรอง อิเล็กทรอนิกส ออกใบรับรองใหกับผูสมัครขอใชบริการตอไป ท้ังนี้เจาหนาท่ีรับลงทะเบียน อาจเปน บุคลากรของผูใหบริการออกใบรับรองอเิ ลก็ ทรอนกิ ส หรอื อาจเปนบคุ ลากรของผสู มคั รขอใชบริการ หรือ อาจเปนหนว ยงานหรือเอนทติ อี นื่ ท่ไี ดท ําขอ ตกลงกับเจา หนา ทรี่ บั ลงทะเบียน เพอ่ื ทาํ หนาทด่ี ังกลาว ๓.๓ ผูใชบ ริการ (Subscriber) คอื บคุ คล หรอื เอนทติ ใี ดๆ ทไี่ ดรบั ใบรับรองจากผูใ หบ รกิ ารออกใบรับรองอเิ ล็กทรอนกิ ส ๓.๔ คูกรณที ่เี ก่ียวของ (Relying Party) คอื บุคคล หรอื เอนทิตีอื่นใดทเี่ ชือ่ ถอื ลายมือชื่อดิจิทัล อนั เปน ลายมอื ช่อื อเิ ล็กทรอนกิ สช นดิ หน่ึง หรือเชื่อถือใบรับรองอิเล็กทรอนิกส ดังนั้น คูกรณีที่เกี่ยวของอาจเปนผูใชบริการจากผูใหบริการออก ใบรับรองอิเล็กทรอนิกส หรืออาจไมใชผูใชบริการจากผูใหบริการออกใบรับรองอิเล็กทรอนิกสก็ได แตเ ปนผซู ึ่งกระทาํ การหรืองดเวนกระทําการใดๆ เพราะเช่ือถือใบรับรองอิเล็กทรอนิกสหรือลายมือช่ือ ดิจิทลั โดยการใชก ญุ แจสาธารณะทีอ่ ยใู นใบรับรองนนั้ ในการตรวจสอบตวั ตนทีแ่ ทจ รงิ ของผูขอใชบริการ ซ่ึงเปน เจาของลายมือชอ่ื ดิจิทัลและมีช่อื ปรากฏอยูในใบรับรองอิเลก็ ทรอนกิ ส ๓.๕ บคุ คลซง่ึ เก่ยี วของอน่ื ๆ (Other Participants) คอื บุคคล หรอื เอนทิตีอ่ืน นอกจากท่ีกลาวถึงขางตน เชน ผูใหบริการในการเก็บรักษาขอมูล (Providers of Repository Services) หรือผูไดรับการวาจางโดยการ Outsource ใหเปนผูใหบริการ ออกใบรับรองอเิ ล็กทรอนกิ ส เปนตน ๓.๖ การใชใ บรบั รองอเิ ล็กทรอนิกส (Certificate Usage) เน้ือหาในสวนน้ีควรกําหนดเกี่ยวกับลักษณะหรือประเภทของใบรับรองอิเล็กทรอนิกสที่มีการ นําไปใชในทางปฏิบัติ เชน ใบรับรองอิเล็กทรอนิกสเพื่อรับรองตัวบุคคล ใบรับรองอิเล็กทรอนิกสเพ่ือ รับรองตัวนิติบุคคล ใบรับรองอิเล็กทรอนิกสเพื่อรับรองเว็บไซต ใบรับรองอิเล็กทรอนิกสเพ่ือรับรอง เครื่องใหบริการหรือเซิรฟเวอร ใบรับรองอิเล็กทรอนิกสเพ่ือใชกับจดหมายอิเล็กทรอนิกสหรืออีเมล ใบรับรองอเิ ล็กทรอนกิ สส าํ หรบั ใชก ับสัญญาหรือการทําขอ ตกลง เปน ตน ทั้งนี้ ในกรณีท่ีมีขอจํากัดการใชงาน หรือกรณีที่มีการจัดระดับความนาเช่ือถือของใบรับรอง อิเล็กทรอนิกส ก็ควรระบุไวใหชัดเจนดวย และหากลักษณะการใชงานหรือชนิดของใบรับรอง อิเล็กทรอนิกสมีความแตกตางกันจนจําเปนตองจัดทําแนวนโยบายหรือแนวปฏิบัติสําหรับการใชงาน แตละลกั ษณะหรอื ตามชนดิ ของใบรบั รอง ก็จาํ เปน ตองใหขอมลู ในเรื่องดังกลา วเอาไวช ดั เจนดว ยเชน กัน 66 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์

-๖- ๓.๗ การบรหิ ารจัดการเก่ียวกับแนวนโยบายและแนวปฏบิ ตั ิ (Policy Administration) เน้ือหาในสวนนี้ควรกลาวถึงชื่อ ท่ีอยูของหนวยงานท่ียกราง จดทะเบียน ดูแลและปรับปรุง เอกสารแนวนโยบายและแนวปฏิบัติ นอกจากน้ันยังรวมถึง ชื่อ ที่อยูของจดหมายอิเล็กทรอนิกส หมายเลขโทรศัพท หมายเลขโทรสารของผูที่สามารถติดตอได ทั้งนี้ โดยอาจกําหนดเปนตําแหนง ท่ีรับผดิ ชอบในการตอบขอ ซกั ถามหรือติดตอกับผูใชบ ริการของผูใหบ รกิ ารออกใบรบั รองอิเลก็ ทรอนกิ ส กไ็ ด นอกจากนั้น เพื่อสรางความนาเช่ือถือใหกับการใหบริการของผูใหบริการออกใบรับรอง อิเล็กทรอนิกสเอง ในกรณีที่ผูใหบริการออกใบรับรองอิเล็กทรอนิกส ไดจัดทําแนวนโยบายและ แนวปฏิบัติ ตามแนวทางที่คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสประกาศกําหนดแลว ควรระบุถึง คณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส และที่อยูของหนวยงานธุรการของคณะกรรมการไวใ นขอน้ีดวย ๓.๘ คาํ นิยามและคํายอ (Definitions and Acronyms) โดยทีใ่ นการจดั ทาํ แนวนโยบายและแนวปฏิบัติ จาํ เปน ตองมีการกลาวถงึ คาํ ศพั ท และคาํ ยอเปน จาํ นวนมาก ดังนนั้ ในบทนี้จึงควรมกี ารใหความหมายของคาํ ศัพทห รือคาํ ยอเหลา น้ันไวดว ย เชน การให ความหมายของคําวาผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาท่ีรับลงทะเบียนผูใชบริการ แนวนโยบายและแนวปฏิบัติ ลายมือชื่อดิจิทัล ใบรับรองอิเล็กทรอนิกส คูกุญแจ กุญแจสวนตัว กุญแจ สาธารณะ เอนทติ ี เปน ตน เพอื่ เปน ขอ มูลใหก บั ผใู ชบ ริการตอไป บทท่ี ๒ ความรบั ผดิ ชอบในการเผยแพรขอมลู และการเกบ็ รักษาขอ มูล (Publication and Repository Responsibilities) สําหรับเนื้อหาในสวนน้ี ควรจะตองระบุเก่ียวกับบุคคลซ่ึงทําหนาท่ีในการเก็บรักษาขอมูล (Repository) ในการใหบริการของผูใหบริการออกใบรับรองอิเล็กทรอนิกส ไมวาผูใหบริการออก ใบรับรองอิเล็กทรอนิกสจะทําหนาที่ดังกลาวนั้นเอง หรือเปนการใชบริการจากผูใหบริการรายอ่ืน และความรับผิดชอบของบุคคลหรือหนวยงานทท่ี ําหนาท่ใี นการเผยแพรข อ มลู เกี่ยวกบั แนวนโยบาย และ แนวปฏิบัติ รวมทั้งเนื้อหาท่ีจะมีการเผยแพร เชน การควบคุมมาตรการในการรักษาความมั่นคง ปลอดภัย (Security Controls) การรักษาความลับทางการคา (Trade Secret) สําหรับขอมูลสําคัญที่มี ความออ นไหว เปนตน นอกจากนั้น ควรใหขอมูลเก่ียวกับความถ่ีหรือความบอยในการเผยแพรขอมูล การควบคุม การเขาถึงขอมูลที่มีการเผยแพรนั้น (Access Control) รวมท้ังแนวนโยบายและแนวปฏิบัติใบรับรอง อเิ ล็กทรอนกิ ส หรือสถานะของใบรับรองอเิ ลก็ ทรอนกิ ส รวมทั้งการเพกิ ถอนใบรับรองอิเลก็ ทรอนิกส บทที่ ๓ การระบุและการยนื ยนั ตัวบคุ คล ((Identification and Authentication (I&A)) สําหรับเน้ือหาในบทนี้ควรใหขอมูลเก่ียวกับขั้นตอนในการยืนยันหรือพิสูจนตัวบุคคล หรือ เอนทติ ีของผสู มคั รขอใชบรกิ ารกบั ผูใหบรกิ ารออกใบรบั รองอิเล็กทรอนกิ ส หรือเจาหนาท่ีรับลงทะเบียน กอ นทจ่ี ะมกี ารออกใบรบั รองอิเล็กทรอนิกส รวมท้ังกําหนดขั้นตอนในการยืนยันหรือพิสูจนบุคคลของ สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 67

-๗- ผูใหบริการออกใบรับรองอิเล็กทรอนิกส หรือเจาหนาท่ีรับลงทะเบียน หรือเอนทิตีท่ีเก่ียวของกับการ ใหบริการหรือรวมใหบริการกับผูใหบริการออกใบรับรองอิเล็กทรอนิกส นอกจากนั้น อาจใหขอมูล เกี่ยวกับการออกใบรับรองอิเล็กทรอนิกสใหม การตออายุใบรับรองอิเล็กทรอนิกส หรือการเพิกถอน ใบรับรองอิเล็กทรอนิกสไปพรอมกันดวย อยางไรก็ตาม เนื้อหาที่พึงกําหนดไวในบทน้ีนอกจาก ท่กี ลาวถงึ ขางตน มดี ังตอ ไปนี้ ๑. การกําหนดรูปแบบของช่ือ (Naming) สําหรับการกําหนดรูปแบบของช่ือท่ีใช (Naming Convention) เพ่ือระบุถึงผูใชบริการนั้น ควรกําหนด ดงั นี้ ๑.๑ รปู แบบของช่ือ เชน X.500 Distinguished Name หรอื RFC 822 Names สาํ หรับจดหมาย อิเลก็ ทรอนิกสหรอื อเี มล (e-mail) และ X.400 สาํ หรบั ช่ือ ๑.๒ ช่ือนัน้ จะมคี วามหมายหรอื ไมม ีกไ็ ด ๑.๓ การกําหนดช่ือของผูใชบริการในกรณีท่ีมีการใชช่ือนิรนามหรือนามแฝงหรือปดบังช่ือ ทีแ่ ทจรงิ (Anonymous or Pseudonymous) ๑.๔ กฎในการแปลงช่อื ในรปู แบบตางๆ เชน มาตรฐาน X.500 และ RFC 822 เปน ตน ๑.๕ ช่ือนั้นจะตองมลี ักษณะเฉพาะ (Unique Name) ๒. ความสมบูรณใ นการระบุตวั บุคคล (Initial Identity Validation) ขอมูลในสวนนี้ ควรจะกําหนดเก่ียวกับวิธีการระบุตัวบุคคล (Identification) และยืนยันหรือ พิสูจนตัวบุคคล (Authentication) เมื่อแรกเร่ิมลงทะเบียนกับผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจา หนาที่รับลงทะเบียน ผใู ชบ ริการ หรือคกู รณีท่ีเก่ยี วขอ งอนื่ ๆ ท้งั น้ี โดย ๒.๑ การยืนยันหรือพิสูจนความสัมพันธของกุญแจสวนตัวกับกุญแจสาธารณะท่ีถือหรือ ครอบครองอยูโดยผูใชบริการ เชน การใชในการพิสูจนลายมือชื่อดิจิทัลที่ปรากฏใน ใบรับรองอิเล็กทรอนิกสดวยการใชลายมือชื่อดิจิทัลในการสง Certificate Request Message มายงั ผใู หบ ริการออกใบรบั รองอิเลก็ ทรอนิกส เปน ตน ๒.๒ การยืนยันหรือพิสูจนเงื่อนไขสําหรับการตรวจสอบความมีอยูขององคกรหรือหนวยงาน เชน การตรวจสอบจากหนงั สอื รับรองของบรษิ ัทหรอื นิติบุคคลทีอ่ อกโดยกรมพัฒนาธุรกิจ การคา กระทรวงพาณิชย เปน ตน ๒.๓ การยนื ยนั หรือพสิ ูจนเ งือ่ นไขสําหรับการตรวจสอบขอมูลของบุคคลซึ่งกระทําการในนาม ขององคกรหรือหนวยงาน เชน การตรวจสอบจากหนังสอื มอบอํานาจ เปน ตน 68 สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์

-๘- ๓. การระบุและยืนยันหรือพิสูจนตัวบคุ คลเม่ือมีการขอออกกญุ แจใหม (Identification and Authentication for Re-key Requests) สําหรับขั้นตอนนี้ จะครอบคลุมท้ังในขั้นตอนทีใ่ บรับรองอิเลก็ ทรอนกิ สห มดอายลุ งและกรณีมีการ เพิกถอนการใชใบรับรองอิเล็กทรอนิกส ดังนั้น จึงควรจะเปนขั้นตอนที่มีรูปแบบการทํางานทํานอง เดยี วกนั กับการระบุและยืนยันหรือพสิ ูจนต ัวบคุ คลเหมอื นกับขั้นตอนแรกท่ีไดม ีการขอใชบรกิ าร ๔. การระบุและยืนยันหรือพสิ จู นต ัวบคุ คลเม่อื มีการขอเพกิ ถอนใบรบั รองอิเลก็ ทรอนิกส (Identification and Authentication for Revocation Requests) เพ่ือระบุประเภทของบคุ คลทสี่ ามารถทาํ การรอ งขอเพิกถอนใบรบั รองอิเล็กทรอนกิ สและขั้นตอน ในการยืนยนั หรือพิสจู นข อ มูลท่แี สดงตวั ตนของบคุ คลดงั กลาวรวมทัง้ สิทธิของบคุ คลนน้ั บทท่ี ๔ ขอกาํ หนดเกีย่ วกบั การดาํ เนินการตลอดอายุของใบรบั รองอเิ ล็กทรอนิกส (Certificate Life-Cycle Operation Requirements) ขอมูลในสวนน้ีใชในการระบุขอกําหนดในการดําเนินการเกี่ยวกับใบรับรองอิเล็กทรอนิกส สําหรับผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาที่รับลงทะเบียน ผูใชบริการ และบุคคล ท่เี กยี่ วขอ งอนื่ ๆ ใหสอดคลอ งกบั บทบาทและหนา ทข่ี องตน ๑. การยื่นคาํ ขอใบรบั รองอิเลก็ ทรอนิกส (Certificate Application) สวนนีค้ วรระบุขอ กําหนดเกยี่ วกบั การสมคั รขอใบรบั รองอิเลก็ ทรอนิกสด ังตอ ไปน้ี ๑.๑ บุคคลท่ีสามารถสมัครขอใบรับรองอิเล็กทรอนิกสได เชน ผูท่ีจะมีชื่อในใบรับรอง อิเล็กทรอนกิ ส (Certificate Subject) หรือ RA เปน ตน ๑.๒ กระบวนการย่ืนคําขอใบรับรองอิเล็กทรอนิกส และภาระหนาท่ีท่ีเกี่ยวของ ตัวอยางของ กระบวนการย่นื ขอใบรบั รองอเิ ล็กทรอนิกส อาจเปนดังตอไปนี้ (๑) ผูสงคําขอใบรับรองสรา งคกู ุญแจและสงคําขอใบรับรองอิเล็กทรอนิกสใหเจาหนาท่ีรับ ลงทะเบียน โดยผูสงคําขอใบรับรองตองใหขอมูลที่ครบถวนและถูกตองตามระเบียบ การขอใบรบั รองอเิ ลก็ ทรอนกิ สข องผใู หบ ริการออกใบรับรองอิเล็กทรอนิกส (๒) เจาหนา ทรี่ ับลงทะเบียนตรวจคาํ ขอ และลงลายมอื ชอ่ื กํากับคําขอท่ีผานการตรวจสอบ แลวไปใหผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาที่รับลงทะเบียน และ ผูใ หบรกิ ารออกใบรบั รองอิเลก็ ทรอนิกส ตองกําหนดหลักการและวิธกี ารขอใบรับรอง อเิ ล็กทรอนิกส ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 69

-๙- ๒. การพิจารณาคําขอใบรับรองอิเล็กทรอนิกส (Certificate Application Processing) เนื้อหาสว นนี้ควรใหข อ มูลเกีย่ วกับกระบวนการพิจารณาคําขอใบรับรองอิเล็กทรอนิกส ตัวอยาง กระบวนการ เชน ๒.๑ ผูใหบริการออกใบรับรองอิเลก็ ทรอนกิ สแ ละเจา หนา ที่รับลงทะเบียนจะดําเนินการตรวจสอบ ความถกู ตอ งของผสู มัคร เพ่อื การระบุและยนื ยนั ตวั บุคคล ๒.๒ ผูใ หบ รกิ ารออกใบรบั รองอเิ ลก็ ทรอนิกสและเจาหนาท่ีรับลงทะเบียนจะพิจารณาวาจะอนุมัติ หรือไมอนมุ ัตกิ ารสมัครขอใชบรกิ ารใบรับรองอิเล็กทรอนิกส ๒.๓ การกาํ หนดระยะเวลาท่ีผใู หบ รกิ ารออกใบรับรองอิเล็กทรอนกิ ส และเจา หนาที่รับลงทะเบียน ใชในการพิจารณาการยน่ื คาํ ขอใบรับรองอิเล็กทรอนิกส ๓. การออกใบรับรองอเิ ลก็ ทรอนกิ ส (Certificate Issuance) เนื้อหาสวนนีค้ วรใหขอ มูลเก่ียวกบั กระบวนการออกใบรับรองอิเลก็ ทรอนกิ สในประเด็นตา งๆ ดังตอไปนี้ ๓.๑ ขอปฏิบัติของผูใหบริการออกใบรับรองอิเล็กทรอนิกส ในการออกใบรับรองอิเล็กทรอนิกส เชน การตรวจลายมือชื่อและอํานาจกระทําการของ เจาหนาท่ีรับลงทะเบียน ตลอดจน การสรางใบรบั รองอิเลก็ ทรอนกิ ส ๓.๒ วิธีการแจงผลการออกใบรับรองอิเล็กทรอนิกสแกผูใชบริการ เชน การแจงทางจดหมาย อเิ ลก็ ทรอนิกส ๔. การยอมรับใบรบั รองอเิ ลก็ ทรอนิกส (Certificate Acceptance) ๔.๑ ขอ ปฏบิ ัตขิ องผสู มคั รขอใบรบั รองอเิ ล็กทรอนกิ สท ถ่ี ือเปนการยอมรับใบรบั รองอิเล็กทรอนิกส เชน ผูสมัครขอใบรับรองอิเล็กทรอนิกสยอมรับใบรับรองอิเล็กทรอนิกสที่ผูใหบริการออก ใบรับรองอเิ ลก็ ทรอนกิ ส ออกใหใ นกรณที ่ี (๑) ผใู หบ รกิ ารออกใบรบั รองอิเลก็ ทรอนกิ ส มไิ ดร บั การแจง การใดๆ จากผสู มคั รขอใบรบั รอง อเิ ลก็ ทรอนิกสภ ายในเวลาที่กําหนด (๒) ผูใชบริการลงลายมือชื่อกํากับขอความแจงการยอมรับหรือไมยอมรับใบรับรอง อิเลก็ ทรอนกิ ส ๔.๒ การเผยแพรใบรบั รองอิเลก็ ทรอนิกสท ไี่ ดย อมรับโดยผูสมัครขอใบรับรองอิเล็กทรอนิกสแลว ซง่ึ อาจเผยแพรโ ดยผา นทาง X.500 Directory หรอื LDAP repository ๔.๓ การแจงใหบุคคลอ่ืนทราบถึงใบรับรองอิเล็กทรอนิกสท่ีไดออกใหผูสมัครขอใบรับรอง อิเลก็ ทรอนกิ ส เชน ผูใหบ รกิ ารออกใบรับรองอิเล็กทรอนิกส อาจสงใบรับรองอิเล็กทรอนิกส ทอี่ อกใหผสู มัครขอใบรบั รองอิเลก็ ทรอนกิ ส แกเ จา หนาท่รี บั ลงทะเบยี น เปนตน 70 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์

-๑๐- ๕. การใชค ูกญุ แจ และใบรับรองอิเล็กทรอนกิ ส (Key Pair and Certificate Usage) ๕.๑ ความรับผิดชอบของผูใชบริการในการใชคูกุญแจและใบรับรองอิเล็กทรอนิกส เชน ผใู ชบ ริการจะตอ งใชกญุ แจสว นตัว (Private Key) และใบรบั รองอเิ ล็กทรอนิกสตามนโยบาย ที่กําหนดในแนวนโยบาย และสัญญาระหวางผูใหบริการออกใบรับรองอิเล็กทรอนิกสกับ ผูใชบริการ โดยผูใชบริการสามารถใชกุญแจสวนตัวหลังจากท่ีผูใชบริการไดยอมรับ ใบรับรองอิเล็กทรอนิกสน้ันแลว และไมสามารถใชงานกุญแจสวนตัวและใบรับรอง อิเล็กทรอนกิ สไดหลงั จากใบรับรองอเิ ลก็ ทรอนิกสด ังกลาวหมดอายลุ งหรอื ถูกเพกิ ถอน ๕.๒ ความรับผิดชอบของคูกรณีที่เกี่ยวของในการใชกุญแจสาธารณะ หรือใบรับรอง อิเลก็ ทรอนกิ สข องผใู ชบ ริการ เชน คูก รณที เ่ี ก่ียวของจะตอ งใชใบรบั รองอิเล็กทรอนิกสตาม นโยบายท่ีกําหนดในแนวนโยบาย และตองตรวจสอบสถานะของใบรับรองอิเล็กทรอนิกส ตามวธิ ีท่ีระบุใน แนวนโยบายภายใตเงือ่ นไขเกีย่ วกับคูกรณที ี่เกี่ยวขอ ง ๖. การตออายุใบรบั รองอเิ ล็กทรอนิกส (Certificate Renewal) การตอ อายุใบรับรองอเิ ล็กทรอนกิ ส หมายถงึ การออกใบรบั รองอิเลก็ ทรอนิกสใหมใหผูใชบริการ โดยไมมีการเปล่ียนแปลงกุญแจสาธารณะของผูใชบริการ หรือขอมูลอ่ืนใดท่ีปรากฏในใบรับรอง อเิ ลก็ ทรอนกิ ส การตออายใุ บรบั รองอิเลก็ ทรอนิกสควรคํานึงถึงประเด็นตางๆ ดังตอไปน้ี ๖.๑ กรณีตางๆ ทีอ่ นญุ าตใหมีการตออายุใบรับรองอิเล็กทรอนิกส เชน ใบรับรองอิเล็กทรอนิกส หมดอายุแตนโยบายอนุญาตใหใชคูกุญแจเดิมตอไปได ใหสามารถตออายุใบรับรอง อิเลก็ ทรอนกิ สได ๖.๒ บุคคลท่ีสามารถขอตออายุใบรับรองอิเล็กทรอนิกสได เชน ผูใหบริการออกใบรับรอง อิเล็กทรอนิกส อาจอนุญาตใหเจาหนาท่ีรับลงทะเบียน ขอตออายุแทนผูใชบริการได หรือ ผูใหบริการออกใบรับรองอิเล็กทรอนิกส อาจตออายุใบรับรองอิเล็กทรอนิกสใหผูใชบริการ โดยอตั โนมตั เิ มอื่ ใบรับรองดงั กลาวหมดอายลุ ง ๖.๓ ควรมีการระบุกระบวนการในการขอตออายุใบรับรองอิเล็กทรอนิกสท่ีชัดเจน เชน การใช รหสั ผาน (Password) ในการยนื ยนั ตวั บุคคลอกี ครั้งกอนการตอ อายใุ บรับรองอิเลก็ ทรอนิกส ๖.๔ ควรมีวิธกี ารแจง วา ไดตออายใุ บรบั รองอเิ ลก็ ทรอนิกสใหผ ูใ ชบ ริการแลว ๖.๕ ควรระบุวิธีการยอมรับใบรับรองอิเล็กทรอนิกสที่ผูใหบริการออกใบรับรองอิเล็กทรอนิกส ตออายใุ หแ กผ ูใชบ ริการใบรบั รองอเิ ล็กทรอนิกส ๖.๖ ควรอธิบายเกี่ยวกับการเผยแพรใ บรบั รองอเิ ลก็ ทรอนกิ สต ลอดจนวธิ กี ารแจงบคุ คลทเ่ี ก่ยี วขอ ง ใหทราบถงึ การตอ อายใุ บรบั รองอเิ ลก็ ทรอนิกส ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 71

-๑๑- ๗. การรบั รองคกู ุญแจใหม (Certificate Re-key) เนือ้ หาสว นนีค้ วรใหขอมลู เก่ียวกับการสรางคูก ญุ แจใหม รวมถงึ การออกใบรับรองอเิ ล็กทรอนกิ ส ใหมเพื่อรองรบั คูก ญุ แจใหม โดยผใู ชบรกิ ารหรือบคุ คลอื่น ๗.๑ กรณตี า งๆ ที่ผูใหบริการออกใบรับรองอิเล็กทรอนิกสสามารถหรือตองสรางคูกุญแจ และ ออกใบรับรองอเิ ล็กทรอนกิ สเพอื่ รองรับคูก ญุ แจใหมน้ี เชน กรณขี องการเพิกถอนใบรับรอง อเิ ล็กทรอนกิ ส หรือการหมดอายุการใชง านของคกู ญุ แจ ๗.๒ การกําหนดใหบคุ คลใดสามารถขอใบรบั รองอเิ ล็กทรอนิกสเพอื่ รองรับคูกญุ แจใหม ๗.๓ ควรมีวิธกี ารแจง การออกใบรบั รองอเิ ลก็ ทรอนกิ สใ หมใ หผ ใู ชบรกิ ารทราบ ๗.๔ ควรระบุวธิ ีการยอมรับใบรับรองอิเล็กทรอนิกสท ่ีผใู หบ รกิ ารออกใบรับรองอิเลก็ ทรอนิกส เพ่ือรองรบั คกู ุญแจใหม ๗.๕ ควรอธิบายเกี่ยวกับการเผยแพรใ บรับรองอิเล็กทรอนกิ สต ลอดจนวธิ กี ารแจงบุคคล ท่เี ก่ยี วขอ งใหทราบถงึ การออกใบรบั รองอิเลก็ ทรอนิกสเพ่ือรองรับคูก ุญแจใหม ๘. การแกไขเปล่ียนแปลงใบรบั รองอเิ ล็กทรอนกิ ส (Certificate Modification) เนอื้ หาสวนนคี้ วรใหข อ มลู เกยี่ วกบั การออกใบรบั รองอิเล็กทรอนกิ สใ หมอันเนือ่ งมาจากการแกไข เปลย่ี นแปลงขอ มลู ในใบรบั รองอิเลก็ ทรอนกิ สท่ีไมใชก ุญแจสาธารณะของผูใชบรกิ าร เชน ๘.๑ กรณตี างๆ ท่ผี ูใหบรกิ ารออกใบรับรองอิเล็กทรอนิกสอนุญาตใหผูใชบริการสามารถแกไข เปลี่ยนแปลงขอมูลในใบรับรองอิเล็กทรอนิกสได เชน การเปล่ียนช่ือ การเปล่ียนแปลง Distinguished Name และการเปลย่ี นบทบาทภาระหนา ท่ใี นทท่ี ํางาน ๘.๒ การกําหนดใหบุคคลใดสามารถขอแกไขเปล่ียนแปลงใบรับรองอิเล็กทรอนิกสได เชน ผใู ชบรกิ าร เจา หนาทีฝ่ ายบุคคล หรือเจาหนาทร่ี ับลงทะเบยี น เปน ตน ๘.๓ ควรมีวธิ ีการแจงการออกใบรับรองอเิ ลก็ ทรอนกิ สใ หมใหผใู ชบริการทราบ ๘.๔ ควรระบุวธิ กี ารยอมรบั ใบรบั รองอิเล็กทรอนกิ สท ี่ผูใหบรกิ ารออกใหใ หม ๘.๕ ควรอธิบายเก่ียวกับการเผยแพรใบรับรองอิเล็กทรอนิกสตลอดจนวิธีการแจงบุคคล ทีเ่ กี่ยวขอ งใหท ราบถงึ การออกใบรบั รองอเิ ล็กทรอนิกสใ หม ๙. การเพิกถอนและพักใชใบรับรองอิเลก็ ทรอนิกส (Certificate Revocation and Suspension) เน้ือหาสว นนค้ี วรใหข อ มูลเกยี่ วกบั การเพกิ ถอนและการพกั ใชใบรบั รองอิเล็กทรอนกิ ส ๙.๑ กรณีตางๆผูใหบริการออกใบรับรองอิเล็กทรอนิกส ใหมีการพักใชหรือเพิกถอนใบรับรอง อเิ ลก็ ทรอนกิ ส เชน การเลิกจางงานผูใชบริการ การสูญหายของอุปกรณเขารหัสลับ หรือ มีเหตอุ ันควรสงสยั วา มีการลว งรูกญุ แจสวนตวั โดยมิชอบ เปนตน 72 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์

-๑๒- ๙.๒ การกําหนดใหบุคคลใดสามารถขอเพิกถอนและพักใชใบรับรองอิเล็กทรอนิกสของ ผูใ ชบ ริการได เชน ผใู ชบรกิ าร และเจา หนาทีร่ บั ลงทะเบยี น เปน ตน ๙.๓ ควรมีการระบุกระบวนการขอเพิกถอนและพักใชใบรับรองอิเล็กทรอนิกส เชน การกําหนดใหเ จาหนา ที่รบั ลงทะเบยี น หรือผูใชบรกิ ารตองลงลายมือช่ือกํากับคําขอเพิกถอน ใบรบั รองอิเล็กทรอนิกส เปน ตน ๙.๔ ควรมีการกําหนดระยะเวลาทผ่ี ูใชบ รกิ ารสามารถขอเพิกถอนใบรับรองอเิ ลก็ ทรอนิกสได ๙.๕ ควรมีการกําหนดวิธีการที่คูกรณีที่เก่ียวของสามารถตรวจสอบสถานะของใบรับรอง อิเล็กทรอนกิ สไ ด ๙.๖ ในกรณีท่ีมีการใช Certificate Revocation List (CRL) ในการเผยแพรใบรับรอง อิเล็กทรอนิกสท่ีไดเพิกถอนและพักใช ควรมีการกําหนดความถี่ของการเผยแพรขอมูล ดังกลาว ระยะเวลาระหวางการสราง CRL และเวลาที่เผยแพร CRL ใหสาธารณะทราบ และถามีการใหบ รกิ ารตรวจสอบสถานะของใบรับรองอเิ ลก็ ทรอนกิ สแ บบออนไลน ก็ควรแจง ใหสาธารณะทราบถึงวิธกี ารใชง าน เงอื่ นไข และขอกําหนดทีเ่ กยี่ วขอ งดวย ๙.๗ ควรกาํ หนดระยะเวลาการพักใชใบรบั รองอเิ ลก็ ทรอนกิ ส ๑๐. บริการตรวจสอบสถานะของใบรบั รองอิเล็กทรอนกิ ส (Certificate Status Services) ขอมูลสวนนี้กลาวถึงบริการตรวจสอบสถานะของใบรับรองอิเล็กทรอนิกสสําหรับคูกรณี ท่เี กี่ยวขอ ง และควรมปี ระเดน็ ดังตอ ไปน้ี ๑๐.๑ ลกั ษณะของบรกิ ารตรวจสอบสถานะของใบรับรองอเิ ลก็ ทรอนิกส และสภาพพรอมใชงาน ของระบบบริการ รวมถึงนโยบายรองรับกรณีทร่ี ะบบไมสามารถใหบ ริการได ๑๐.๒ ลักษณะของบรกิ ารอ่นื ที่เกี่ยวของ ๑๑. การเลกิ ใชบ ริการใบรบั รองอเิ ลก็ ทรอนกิ ส (End of Subscription) ขอ มูลสว นนีก้ ลาวถงึ ขั้นตอนทผี่ ใู ชบรกิ ารปฏิบัติในการเลิกใชใบรับรองอิเล็กทรอนิกสซ่ึงอาจมี สาเหตุมาจากการหมดอายุของใบรับรองอิเล็กทรอนิกส หรือการเลิกใหบริการโดยผูใหบริการ ออกใบรับรองอเิ ลก็ ทรอนกิ ส ๑๒. การเกบ็ รักษาและการกูคืนกุญแจ (Key Escrow and Recovery) ผใู หบรกิ ารออกใบรับรองอิเล็กทรอนิกสควรระบุนโยบายเกี่ยวกับการเก็บรักษาและการกูคืน กุญแจสว นตัว และการปอ งกัน Session Key (Session Key Encapsulation) สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 73

-๑๓- บทที่ ๕ การควบคุมความมั่นคงปลอดภัยของเครื่องมืออุปกรณ การบริหารจัดการ และ การดาํ เนนิ งาน (Facility, Management, and Operational Controls) สาํ หรบั เนือ้ หาในบทนจ้ี ะครอบคลุมการควบคุมและการรกั ษาความม่ันคงปลอดภัยทางกายภาพ สําหรับกรณีท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกสตองใชในการสรางกุญแจ (Key Generation) การยนื ยันตวั บุคคล (Subject Authentication) การออกใบรับรองอิเล็กทรอนิกส (Certificate Issuance) การเพกิ ถอนใบรบั รองอเิ ลก็ ทรอนิกส (Certificate Revocation) การตรวจสอบระบบและเกบ็ รักษาขอมูล (Auditing and Archiving) ใหม น่ั คงปลอดภัย ดังน้ัน จึงควรมีการกําหนดวิธีการในการรักษาความม่ันคงปลอดภัยของบุคคลที่เก่ียวของ เพอื่ สรางความเช่ือมน่ั ในการใชง านใบรบั รองอิเล็กทรอนิกส และปอ งกนั มใิ หม ีการบกุ รุก หรือเขา ถงึ ระบบ หรือลวงรูขอมูลในระบบการใหบริการของผูใหบริการออกใบรับรองอิเล็กทรอนิกส รวมท้ังปองกัน มใิ หเกิดความผดิ พลาดในขอมลู ท่ีใชใ นการสรางใบรับรองอเิ ลก็ ทรอนิกส หรือรายการเพิกถอนใบรับรอง อเิ ลก็ ทรอนกิ สก รณที ีม่ ีการลว งรูก ญุ แจสวนตวั ของผใู หบรกิ ารออกใบรับรองอเิ ลก็ ทรอนกิ สโดยมชิ อบ ท้ังน้ี ความม่ันคงปลอดภัยทางกายภาพ (Physical Security Controls) น้ัน ครอบคลุมในเร่ือง ดังตอไปน้ี ๑. สถานทต่ี ั้งหรือการกอ สรา งสาํ นักงานในการใหบรกิ าร (Site Location and Construction) เน้ือหาในสวนนี้ควรมีการกําหนดพื้นที่ท่ีมีการรักษาความม่ันคงปลอดภัยเปนพิเศษ (High Security Zone) หรือการใชหองและตูนิรภัย การติดต้ังระบบโทรทัศนวงจรปด และระบบตรวจจับ การบุกรกุ ทางกายภาพ เปนตน ๒. การเขาถงึ ทางกายภาพ (Physical Access) ควรกําหนดเก่ียวกับการเขาออกระหวางพื้นที่สํานักงานกับพ้ืนที่ที่มีการรักษาความม่ันคง ปลอดภัยเปนพิเศษ การเคล่ือนยายจากพ้ืนท่ีหนึ่งไปยังอีกพ้ืนท่ีหน่ึง ใหมีการปองกันการเขาถึงทาง กายภาพ เชน การพสิ ูจนตวั บุคคลกอ นอนญุ าตใหเขา ถงึ ระบบใหบ รกิ ารได อาจทาํ ไดโ ดยการใชบ ัตรแถบ แมเ หล็ก และการตรวจสอบลายนิ้วมอื เปน ตน นอกจากน้ี ยงั ควรมกี ารคํานึงถึงการบริหารจัดการระบบ ไฟฟา และระบบปรบั อากาศ การปองกันภยั จากน้ํา การจัดเกบ็ Backup Media ไวในสถานท่อี น่ื ท่ีไดรับ การปอ งกนั การเขาถึง ปอ งกนั ภยั จากไฟและน้ํา ๓. การควบคุมความมัน่ คงปลอดภยั ดา นกายภาพ (Physical Security Controls) ผูใหบริการออกใบรับรองอิเล็กทรอนิกสควรบรรยายวิธีการควบคุมดานกายภาพของสถานท่ี ประกอบการในหัวขอดังตอ ไปนี้ ๓.๑ สถานท่ีตง้ั ของผูใ หบ ริการออกใบรับรองอเิ ลก็ ทรอนิกส และการจัดแบงพ้ืนท่ีตามระดับของ ความมัน่ คงปลอดภัยทต่ี องการ ๓.๒ การควบคุมการเขาถึงพ้ืนทีท่ ตี่ อ งการระดับความม่นั คงปลอดภัยที่ตา งกนั 74 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์

-๑๔- ๓.๓ การดแู ลเรอื่ งพลังงานไฟฟา การไหลเวียนของนํ้า การควบคุมสภาพอากาศ อุณหภูมิและ ความชื้นสัมพัทธ การปองกันการเกดิ อัคคภี ยั เพอื่ ปองกันการหยุดชะงักของการใหบริการ จากเหตุเหลาน้ี ๓.๔ การเก็บรักษาส่ือที่ใชเก็บขอมูลของผูใหบริการออกใบรับรองอิเล็กทรอนิกสใหมั่นคง ปลอดภัย ตลอดจนการกําหนดใหมีการสํารองขอมูลนอกสถานท่ีประกอบการเพ่ือปองกัน การสูญเสยี หรอื สูญหายของขอมลู ๔. การควบคมุ กระบวนการตางๆ ในการดาํ เนนิ การ (Procedural Controls) ผูใ หบ รกิ ารออกใบรับรองอิเล็กทรอนิกสควรมีการจัดบทบาทและหนาท่ีของบุคลากรในองคกร ใหเหมาะสม และกําหนดนโยบายเกย่ี วกบั การทาํ งานของบคุ ลากรในแตละบทบาท เชน วิธีการระบุและ ยืนยันตัวบุคคล หรือวิธีการเขาถึงขอมูลสําคัญโดยบุคคลในบทบาทตางๆ โดยการแบงแยกหนาที่ ซ่งึ ไมอนญุ าตใหบ ุคคลหน่งึ รับหนา ทใ่ี นหลายบทบาทดวยเหตุผลดา นความมน่ั คงปลอดภัยของขอ มลู ๕. การกูคืนระบบอันเกิดจากพฤติการณที่กระทบตอความมั่นคงปลอดภัยของขอมูลและ ภยั พิบัติอันเกดิ แกระบบ (Compromise and Disaster Recovery) ผูใหบริการออกใบรบั รองอิเล็กทรอนิกสควรมีนโยบายในการกูคืนระบบอันเกิดจากพฤติการณ ท่ีกระทบตอความมั่นคงปลอดภัยของขอมูลและภัยพิบัติอันเกิดแกระบบ เชน ขอมูลถูกทําลาย อนั เน่ืองมาจากอุบัติเหตุหรือสาเหตุอืน่ ใด เพ่อื ใหก ารใหบ รกิ ารไมห ยุดชะงกั ๖. การเลิกกจิ การของผูใหบ ริการออกใบรบั รองอเิ ลก็ ทรอนกิ สแ ละเจาหนา ท่ีรับลงทะเบียน (CA or RA Termination) ในกรณีท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกสหรือเจาหนาท่ีรับลงทะเบียนเลิกกิจการ จะตองมีการแจงใหบุคคลท่ีเกี่ยวของทราบ รวมถึงผูที่รับผิดชอบขอมูลของผูใหบริการออกใบรับรอง อิเลก็ ทรอนิกสแ ละเจา หนา ทรี่ ับลงทะเบียนเพอ่ื ใหเกดิ ผลกระทบตอ ผูใชบรกิ ารนอ ยทสี่ ุด บทท่ี ๖ การควบคมุ ความมน่ั คงปลอดภยั ดา นเทคนคิ (Technical Security Controls) สําหรบั เนือ้ หาในสวนน้เี ปนการกาํ หนดมาตรการดา นการรักษาความมั่นคงปลอดภัยของกุญแจ และขอ มูลสําหรับอนญุ าตใหใ ชกญุ แจ เชน PIN และ Password และประเด็นตา งๆ ทีเ่ กย่ี วกับการบรหิ าร จัดการกุญแจ ๑. การสรา งและตดิ ต้งั คูกญุ แจ (Key Pair Generation and Installation) การสรางและการตดิ ตั้งคกู ญุ แจมปี ระเดน็ ทต่ี อ งพิจารณาและกําหนดเปนนโยบาย ดังตอไปน้ี ๑.๑ ใครเปนผสู รา งคกู ญุ แจใหผ ใู ชบ ริการ และสรา งโดยซอฟตแ วรห รอื ฮารด แวร ๑.๒ วิธีการทผ่ี ูใชบรกิ ารจะไดรบั กญุ แจสว นตวั ของตนแบบม่นั คงปลอดภยั เปนไปไดอ ยางไรบาง สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 75

-๑๕- ๑.๓ วธิ กี ารท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกสจะไดรับกุญแจสาธารณะของผูใชบริการ แบบม่นั คงปลอดภัยเปน ไปไดอ ยา งไรบา ง ๑.๔ คูกรณที เี่ กี่ยวของจะไดรบั กญุ แจสาธารณะของผูใหบ รกิ ารออกใบรับรองอเิ ลก็ ทรอนิกสแบบ มัน่ คงปลอดภัยเปนไปไดอ ยา งไรบาง ๑.๕ ความยาวของคกู ุญแจเปนเทาใด เชน กุญแจอาจมคี วามยาว 1,024 บติ RSA และ 1,024 บิต DSA ๑.๖ ใครเปนผูที่กําหนดพารามิเตอรของกุญแจสาธารณะ และมีการตรวจสอบคุณภาพของ พารามเิ ตอรร ะหวา งการสรา งกุญแจหรอื ไม ๑.๗ วัตถปุ ระสงคท่ีอาจจะนําคกู ญุ แจไปใช หรอื วตั ถปุ ระสงคทค่ี วรจํากดั การใชคูกุญแจคืออะไร สาํ หรบั ใบรับรองตาม X.509 น้นั วัตถุประสงคเหลานี้ควรจะสอดคลองกับการใชงานกุญแจ ตามมาตรฐาน X.509 เวอรช ่ัน 3 ๒. การปองกนั กุญแจสว นตัว (Private Key Protection) และการจัดการควบคมุ ช้ินสว น สําหรบั การเขา รหัสลับ (Cryptographic Module Engineering Control) ในสวนนี้ควรกําหนดวิธีการปอ งกันกุญแจสวนตัวและการใชงานช้ินสวนสําหรับการเขารหัสลับ ของผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาท่ีรับลงทะเบียน ผูใชบริการ และผูใหบริการเก็บ ขอมูล โดยคํานึงถึงความม่ันคงปลอดภัยและความเสียหายอันเกิดจากการเก็บรักษากุญแจสวนตัว การสาํ รองกญุ แจสว นตวั และการบันทกึ ถาวรกุญแจสวนตัว ทั้งน้ี ใหพ จิ ารณาคําถาม ดังตอ ไปนี้ ๒.๑ ถามีการใชงานช้ินสวนสําหรับการเขารหัสลับ (อาจเปนซอฟตแวร ฮารดแวร และ หรือ เฟรมแวร) ควรจะอา งอิงตามมาตรฐานใด ๒.๒ จําเปนตองมีการควบคุมการเขาถึงกุญแจสวนตัว โดยผูมีสิทธิมากกวา ๑ คนหรือไม (แบบ m out of n) ๒.๓ มนี โยบายในการเก็บรกั ษากุญแจสว นตัวหรือไม (Key Escrow) ๒.๔ มนี โยบายในการสาํ รองกญุ แจสว นตวั หรอื ไม (Private Key Backup) ๒.๕ มนี โยบายในการบันทกึ ถาวรกญุ แจสวนตัวหรอื ไม (Private Key Archival) ๒.๖ ในกรณใี ดบา งทจ่ี ะมกี ารถา ยโอนกญุ แจสวนตวั เขาไปในหรอื ออกจากช้นิ สว นสาํ หรบั เขา รหสั ลบั ๒.๗ การจดั เกบ็ กุญแจสวนตัวในชิ้นสวนสําหรับเขารหัสลับ (Private Key Storage in Cryptographic Module) จะทําดวยวิธีใด เชน เก็บในรูปแบบขอมูลธรรมดาที่อานเขาใจได (Plaintext) รูปแบบของขอมูลทีม่ ีการเขารหสั ลับ (Encrypted) หรอื การแยกกญุ แจ (Split Key) เปนตน ๒.๘ ใครเปนผทู ม่ี ีสทิ ธใิ นการใชง านกุญแจสว นตวั ดวยวิธีอยา งไร ๒.๙ ใครเปน ผูมสี ิทธใิ นการยกเลิกการใชง านกุญแจสว นตัว ดวยวธิ ีอยางไร ๒.๑๐ ใครมสี ทิ ธิทาํ ลายกุญแจสว นตวั ดว ยวธิ ีอยางไร 76 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์

-๑๖- ๒.๑๑ รายละเอียดความสามารถของชิ้นสวนสําหรับเขารหัสลับ เปนอยางไร (อาจอางถึง มาตรฐานทเ่ี กีย่ วขอ ง เชน FIPS 140-1 ๓. รายละเอยี ดอน่ื เกี่ยวกบั การจัดการและบรหิ ารคกู ุญแจ (Other Aspects of Key Pair Management) ในสวนนี้ควรกําหนดวิธีการในการจัดการและบริหารคูกุญแจของผูใหบริการออกใบรับรอง อิเล็กทรอนิกส เจาหนาท่ีรับลงทะเบียน ผูใชบริการ และผูใหบริการเก็บขอมูล โดยพิจารณาคําถาม ดังตอ ไปน้ี ๓.๑ ควรมีการเก็บบันทึกถาวรของกุญแจสาธารณะ (Public Key Archival) หรือไม ถามีใคร จะเปนผูทําหนาท่ีเก็บบันทึกถาวร และการควบคุมความม่ันคงปลอดภัยของระบบเก็บ บนั ทกึ ถาวร ทงั้ ในเร่ืองความจาํ เปนในการปกปองซอฟตแวร และฮารดแวรท่ีเก่ียวของกับ การใชงานกญุ แจสาธารณะอยตู ลอดเวลา ๓.๒ ระยะเวลาใชง านของใบรบั รองอเิ ลก็ ทรอนกิ ส และคูก ญุ แจของผูใชบ รกิ ารเปน เทาใด ๔. ขอมูลทใี่ ชใ นการติดตัง้ ใบรับรองของผูใชบริการ (Activation Data) เนอ้ื หาในสวนน้คี วรกําหนดวิธกี ารปอ งกันขอมูลท่ีจําเปนตองใชในการติดต้ังใบรับรองของผูใช บรกิ าร (Activation Data) ซ่ึงอาจหมายถึง รหัสอางอิง (Reference Code) และรหัสติดต้ัง (Installation Code) เพ่ือใชในการยนื ยันตวั ผูใชบ รกิ ารในขั้นตอนการติดตงั้ ใบรับรอง ซึ่งเปน ขอมูลที่ผูใชบริการไดรับ จากผใู หบ ริการออกใบรับรองอเิ ล็กทรอนกิ สโ ดยตรงหรือจากเจา หนา ทร่ี ับลงทะเบียน ๕. การควบคมุ ความมั่นคงปลอดภัยของระบบคอมพิวเตอร (Computer Security Controls) เนอ้ื หาในสวนนีค้ วรอธบิ ายการควบคุมความมน่ั คงปลอดภัยของระบบคอมพิวเตอร เพื่อใหเกิด ความนาเชอ่ื ถือของระบบผใู หบรกิ ารออกใบรบั รองอิเล็กทรอนิกส โดยมีการควบคุมการเขาถึง (Access Control) มีการตรวจสอบ (Audit) ระบบของผูใหบรกิ ารออกใบรบั รองอิเลก็ ทรอนิกส การยืนยันตัวบุคคล (Identification และ Authentication) การทดสอบระบบความม่ันคงปลอดภัย (Security testing) และ ทดสอบการบุกรุกระบบ (Penetration Testing) โดยท่ีระบบการควบคุมความม่ันคงปลอดภัยน้ันตอง ไดร ับการประเมินตามมาตรฐานสากล เชน The Trusted System Evaluation Criteria (TCSEC) ๖. การควบคมุ ทางเทคนคิ ของระบบใหบรกิ าร (Life Cycle Technical Controls) เน้อื หาในสวนนี้ควรจะกลาวถึงการควบคุมการพัฒนาระบบและการควบคุมการบริหารจัดการ ดานความม่ันคงปลอดภัย การควบคุมการพัฒนาระบบนั้นรวมความถึงความมั่นคงปลอดภัยของ สภาพแวดลอ มในการพฒั นาระบบ บุคลากรทพ่ี ัฒนาระบบ และการออกแบบระบบ เปนตน การควบคุมการบริหารจัดการดานความม่ันคงปลอดภัย หมายความถึง การใชเครื่องมือ อุปกรณ (Tools) และกระบวนการ (procedure) เพื่อใหเกิดความม่ันใจดานความม่ันคงปลอดภัยของ ระบบปฏบิ ตั กิ าร (Operational Systems) และระบบเครอื ขาย (Networks) สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 77

-๑๗- ๗. การควบคมุ ความม่นั คงปลอดภัยทางเครอื ขา ย (Network Security Controls) เน้ือหาในสวนน้ีระบุการควบคุมความม่ันคงปลอดภัยทางเครือขายของระบบผูใหบริการออก ใบรับรองอิเล็กทรอนิกส โดยปองกันมิใหเขาถึงระบบไดโดยมิชอบดวยกลไกของอุปกรณรักษาความ ม่ันคงปลอดภัยหลายสวนหลายลําดับช้ัน ไดแก อุปกรณเลือกเสนทาง (Router) ตัวปองกันการบุกรุก (Firewall) ระบบตรวจสอบผูบ กุ รกุ (Intrusion Detection System: IDS) ๘. ขอกาํ หนดสาํ หรับการประทับเวลาในบนั ทกึ ตางๆ (Time-stamping) หากกาํ หนดใหมีการประทับเวลาในบันทกึ ตางๆ ควรระบไุ วในสวนน้ี และกลาวถึงแหลง ที่มาของ เวลาและความนาเชอื่ ถือประกอบดว ย บทท่ี ๗ การกําหนดรปู แบบของใบรบั รองอเิ ล็กทรอนิกส รายการเพกิ ถอน และสถานะของ ใบรบั รองอเิ ลก็ ทรอนกิ ส (Certificate, CRL, and OCSP Profiles) ๑. รูปแบบของใบรบั รองอิเลก็ ทรอนิกส (Certificate Profile) เนือ้ หาในสว นน้กี ําหนดรายละเอียดเกีย่ วกับประเด็นดงั ตอไปนี้ (อา งองิ ตาม IETF RFC 3280) ๑.๑ เวอรช่ันของใบรบั รองอิเลก็ ทรอนกิ สท ่สี นบั สนุน ๑.๒ ขอมูลใน Certificate Extensions และความสําคัญ (Criticality) ของขอมูลดังกลาว OID ของข้ันตอนวธิ ีการเขา รหัสลับ (Cryptographic Algorithm Object Identifiers) ๑.๓ รูปแบบช่ือของผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาท่ีรับลงทะเบียน และ ผูใชบรกิ าร ๑.๔ OID ของแนวนโยบายทเี่ กีย่ วของ ๒. รปู แบบรายการเพกิ ถอนใบรบั รอง (Certification Revocation List Profile) ๒.๑ เนือ้ หาในสว นนก้ี ําหนดรายละเอียดเก่ยี วกับประเด็นดงั ตอไปนี้ (อางอิงตาม IETF RFC 3280) เวอรช ่นั ของรายการเพิกถอนใบรบั รองทสี่ นับสนุน และ ๒.๒ รายการเพิกถอนใบรับรอง และขอมูลใน CRL Entry Extensions และความสําคัญของ ขอมูลดงั กลา ว (Criticality) ๓. รปู แบบโปรโตคอล OCSP (OCSP Profile) ในสว นนี้แสดงถึงเนอื้ หาและรปู แบบของขอ มลู ทีใ่ ชในการตรวจสอบสถานะของใบรับรองโดย ใชโ ปรโตคอล OCSP (Online Certificate Status Protocol) รวมทง้ั ขอ มูลอน่ื ๆ เชน เวอรช่นั ของ OCSP และขอ มลู เพ่มิ เติมทีส่ ามารถระบุลงไปใน OCSP (อางอิงตาม IETF RFC 2560) 78 สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์

-๑๘- บทที่ ๘ การตรวจสอบการปฏิบัติตามกฎขอบังคับตางๆ และการประเมินความเส่ียงอื่นๆ (Compliance Audit and Other Assessment) สําหรับเน้ือหาในสวนน้ีจะตองกําหนดเกี่ยวกับรายการท่ีตองมีการประเมินความเสี่ยง หรือ ระเบยี บวธิ ี (Methodology) ท่ใี ชในการประเมินความเสย่ี ง เชน การประเมนิ ความเสย่ี งตามแนวทางของ WebTrust เปน ตน นอกจากนั้น ก็อาจกําหนดความถี่ของการตรวจสอบหรือประเมินความเส่ียง ทั้งน้ี ในการ ประเมินน้ัน ก็ตอ งประเมินตามแนวนโยบายและแนวปฏิบัติ และประเมินท้ังกอนมีการใหบริการ เม่ือมี การใหบริการ และการตรวจสอบกรณีมีความเปนไปไดท่ีจะมีการลวงรูโดยมิชอบอันเปนการกระทบ ถึงความมนั่ คงปลอดภัย ทั้งน้ี จําเปนตองระบุคุณสมบัติของบุคลากรที่ทําหนาที่ตรวจสอบและประเมินความเสี่ยง การดาํ เนินการเก่ียวกบั ผลการประเมนิ เชน การระงับการดาํ เนนิ การชวั่ คราว หรอื การเพกิ ถอนใบรบั รอง ทีอ่ อก เปนตน บทที่ ๙ ขอ กาํ หนดอนื่ ๆ และประเดน็ กฎหมาย (Other Business and Legal Matters) สําหรับเน้ือหาในสวนนี้ จะกําหนดเก่ียวกับการจัดเก็บคาธรรมเนียม (Fees) ความรับผิดชอบ ทางการเงิน (Financial Responsibility) ทั้งในสวนที่เก่ียวกับการดําเนินการหรือกรณีมีการเรียกรอง คา เสยี หายจากการใหบ ริการเกิดข้นึ รวมทัง้ ประเดน็ ขอกฎหมายตา งๆ อยางไรก็ตาม ในการจัดทําแนวนโยบายและแนวปฏิบัติ นั้น หากผูใหบริการออกใบรับรอง อิเล็กทรอนิกส ตองการใหเอกสารฉบับดังกลาวถือเปนสัญญาฉบับหน่ึงหรือเปนสวนหน่ึงของสัญญา ในการใหบริการ ก็อาจจําเปนตองพิจารณาเพิ่มเติมเนื้อหาเก่ียวกับขอจํากัดความรับผิด (Limitation of Liability) ไวในแนวนโยบายหรือแนวปฏิบัติ ดวย แตหากไมประสงคใหแนวนโยบายและแนวปฏิบัติ เปนสัญญาหรอื สว นหนง่ึ ของสญั ญาในการใหบริการ กอ็ าจจําเปน ตองมีการจดั ทําสญั ญาในการใหบ ริการ ผูใชบรกิ าร หรือคูกรณที ่เี กย่ี วขอ งซ่งึ มีขอความกําหนดเก่ียวกับขอจํากัดความรับผิดของบุคคลดังกลาว ในการใหบ รกิ ารเอาไวดวย ๑. คาธรรมเนยี ม (Fees) สําหรบั คาธรรมเนียมในการใหบ รกิ ารนน้ั อาจกาํ หนดใหผ ใู หบ ริการออกใบรบั รองอเิ ล็กทรอนิกส ซง่ึ ใหบ รกิ ารออกใบรบั รองอิเล็กทรอนิกส ผูใหบ ริการเกบ็ รักษาขอ มูล หรือผูใหบริการในฐานะเจาหนาท่ี รับลงทะเบียน จัดเก็บคาธรรมเนียมไดจากกรณีที่มีการออกใบรับรองอิเล็กทรอนิกส หรือตออายุ ใบรับรองดังกลาว (Certificate Issuance or Renewal Fees) คาธรรมเนียมในการเขาถึงใบรับรอง (Certificate Access Fees) การเขาถึงขอมูลเกี่ยวกับการเพิกถอนหรือสถานะลาสุดของใบรับรอง อิเล็กทรอนิกส คาธรรมเนียมสําหรับบริการอื่นๆ เชน การเขาถึงแนวนโยบายหรือแนวปฏิบัติ ท้ังนี้ ผูใหบรกิ ารออกใบรับรองอเิ ลก็ ทรอนกิ ส อาจจัดทํานโยบายในการคืนคาธรรมเนียม (Refund Policy) ไวดว ย สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 79

-๑๙- ๒. ความรับผิดชอบทางการเงิน (Financial Responsibility) เน้ือหาในสว นน้คี วรกําหนดขึน้ เกยี่ วกับความรบั ผดิ ในการดาํ เนินการที่เกิดข้ึน (Operational PKI Responsibilities) การรักษาสถานะของผูใหบ รกิ ารใหสามารถชาํ ระหนี้และจา ยคาเสียหายในกรณีท่ีตอง รับผิดได (to Remain Solvent and Pay Damages) ทั้งน้ี อาจมีการเพิ่มเติมเนื้อหาท่ีเกี่ยวกับวงเงิน ประกันความเสียหายท่ีคุมครองความรับผิดท่ีเกิดขึ้น (Insurance Coverage for Liabilities) และความ รับผิดในอนาคต (Contingencies) สินทรัพยท่ีปรากฏในงบดุล (Assets on The Balance Sheet) หนังสือค้ําประกัน (Surety Bond) เล็ตเตอร ออฟ เครดิต (Letter of Credit) คาสินไหมทดแทน (Indemnity) และอาจใหค วามคมุ ครองเพิม่ เติมดวยการกําหนดเกย่ี วกบั การประกันภัย (Insurance) หรือ การใหค ํารับรอง (Warranty) ๓. การรกั ษาความลับของขอ มลู ทางธุรกิจ (Confidentiality of Business Information) ดว ยขอมูลบางประเภทเปนความลับทางธุรกิจที่จําเปนตองเก็บไวเปนความลับ เชน แผนทาง ธรุ กจิ (Business Plan) ขอมลู การขาย (Sales Information) ความลับทางการคา (Trade Secrets) และ ขอมูลท่ีไดจากบุคคลท่ีสามภายใตขอตกลงไมเปดเผยความลับ (Nondisclosure Agreement) จึงจาํ เปนตอ งกําหนดขอบเขตในการรกั ษาความลับ ขอมูลที่อยูนอกเหนือจากขอตกลงวาดวยการรักษา ความลับ และความรับผิดของบุคคลที่เก่ียวของซ่ึงไดรับขอมูลลับนั้น ทั้งน้ี อาจตองมีกลไกทําใหเกิด ความเชื่อม่ันวาจะมีการปกปองมิใหเกิดพฤติการณที่กระทบตอความมั่นคงปลอดภัยของขอมูล (Compromise) ๔. นโยบายในการรกั ษาความเปนสว นตัวหรือขอมลู สว นบคุ คล (Privacy of Personal Information) ในการใหบริการของผูใหบรกิ ารออกใบรบั รองอเิ ล็กทรอนกิ ส เจา หนาท่รี ับลงทะเบยี น หรือบคุ คล อ่นื ๆ ซงึ่ ใหบริการที่เกยี่ วขอ งน้ัน จาํ เปน ตอ งใหความสําคัญสําหรับการรักษาความเปนสวนตัวหรือเก็บ ขอมลู สวนบุคคลของผูใชบ ริการไวเปนความลับ จะเปดเผยไดเพียงขอมูลบางอยางเทาน้ัน เชน ขอมูล ท่ีตอ งเผยแพรโดยการบนั ทึกไวใ นใบรบั รองอิเลก็ ทรอนกิ ส ไดแก ชื่อ ชอ่ื สกลุ ของผูใชบรกิ าร เปน ตน ดงั นน้ั การดําเนินการเก่ียวกับขอมูลสวนบุคคลจึงตองดําเนินการตามกฎหมายวาดวยการน้ัน หรอื กรณที ีย่ ังไมมีการใชบังคับกฎหมายเชนวานั้น ก็อาจจําเปนตองดําเนินการตามหลักเกณฑในการ ใหความคมุ ครองในเรอ่ื งดงั กลาวตามมาตรฐานสากล เชน ตามแนวทางของ OECD Guidelines ดวยเหตุน้ี ในการดําเนินการใดๆ เกี่ยวกับขอมูลสวนบุคคล จึงควรไดรับความยินยอมจาก ผูใชบริการ กอนจะมีการเปดเผยขอมูลสวนบุคคลดังกลาว ทั้งน้ี จะตองกําหนดขอยกเวนกรณี ที่จําเปนตองมีการเปดเผยขอมูลสวนบุคคลในกรณีที่ตองดําเนินการตามกฎหมายฉบับตางๆ หรือ เมื่อมีคําสัง่ ศาล หรือเมื่อมีคาํ สั่งทางปกครอง เปนตน ไวด ว ย ๕. ทรพั ยส นิ ทางปญญา (Intellectual Property Rights) ใหกําหนดเรื่องทรัพยสินทางปญญา อันไดแก ลิขสิทธ์ิ สิทธิบัตร เครื่องหมายการคา หรือ ความลับทางการคาซึ่งบุคคลท่ีเกี่ยวของอาจมีหรือใชสิทธิเรียกรองตามท่ีกําหนดไวในแนวนโยบาย 80 สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์

-๒๐- แนวปฏิบตั ิ ใบรบั รองอิเล็กทรอนกิ ส ชอื่ กุญแจ หรอื ภายใตก ารอนญุ าตหรอื ที่กําหนดไวในขอตกลงใดๆ กับบุคคลทเ่ี กย่ี วขอ ง ๖. คาํ รบั รอง (Representations and Warranties) ในสวนน้จี ะกาํ หนดใหบคุ คลท่ีเก่ียวของทําคํารับรองในเรื่องตางๆ ท่ีกําหนดไวในแนวนโยบาย หรือแนวปฏิบัติ เชน การกําหนดใหผ ูใหบ รกิ ารออกใบรบั รองอเิ ลก็ ทรอนิกส ตองใหการรับรองวา ขอมูล หรอื ขอเท็จจริงทบ่ี ันทกึ ไวในใบรับรองอิเล็กทรอนิกสน น้ั ถกู ตอง ตามท่ีไดมกี ารกาํ หนดใหแ นวปฏิบตั ิเปน ขอตกลงในการใหบริการ รวมทั้งกรณีมีการกําหนดใหมีการใหคํารับรองท่ีกําหนดไวในสัญญาหรือ ขอตกลงอ่ืนๆ เชน ขอตกลงในการใหบริการกับผูใชบริการ (Subscriber Agreement) และขอตกลง ในการใหบริการกบั คกู รณที เี่ กี่ยวขอ ง (Relying Party Agreement) ๗. การปฏเิ สธความรับผิดตามคาํ รับรอง (Disclaimers of Warranties) ในเนือ้ หาของแนวนโยบายหรือแนวปฏิบัติน้ัน ใหมีการกําหนดเกี่ยวกับการปฏิเสธความรับผิด ตามคาํ รับรองหรอื กาํ หนดเน้ือหาเกยี่ วกับเร่อื งดงั กลาวไวในสัญญาในการใหบรกิ ารฉบับตาง ๆ ๘. ขอ จาํ กัดความรับผดิ (Limitations of Liability) ในการใหบริการน้นั อาจมีการกําหนดเกี่ยวกับขอจํากัดความรับผดิ ไวดวยกไ็ ด โดยอาจพิจารณา จากลกั ษณะของการจํากัดความรับผิด และจํานวนเงินคาเสียหายที่จํากัดความรับผิด เชน คาเสียหาย อันเน่ืองมาจากการผิดสัญญา (Incidental Damages) คาเสียหายจากการสูญเสียกําไรในอนาคต (Consequential Damages) ๙. คาสนิ ไหมทดแทน (Indemnities) สําหรับการชดใชคาสินไหมทดแทนน้ัน อาจมีการกําหนดใหคูสัญญาฝายใดตองรับผิด ทั้งนี้ โดยอาจมกี ารกาํ หนดไวใ นแนวนโยบาย แนวปฏบิ ัติ หรอื สญั ญา หรอื ขอ ตกลงตางๆ เชน การกําหนดให ผูใชบริการตอ งรับผิดในการชดใชคาสนิ ไหมทดแทนกรณีท่ผี ใู ชบริการไดแ ถลงขอมลู หรอื ขอเท็จจริงของ ตนท่ีตองบันทึกไวในใบรับรองอิเล็กทรอนิกสเปนเท็จหรือไมตรงกับความจริง หรือกรณีที่คูกรณี ท่ีเก่ียวของตองรับผิดชดใชคาสินไหมทดแทนท่ีเกิดข้ึนกับผูใหบริการออกใบรับรองอิเล็กทรอนิกส ในกรณีที่ไมต รวจสอบการเพกิ ถอนใบรบั รองอิเลก็ ทรอนกิ ส สาํ หรบั ในบทที่ ๙ นี้ นอกจากหวั ขอขางตน แลว อาจมกี ารกาํ หนดเน้ือหาเกย่ี วกับการเลิกสัญญา การติดตอส่ือสารระหวางผูใหบริการและผูใชบริการ การแกไขปรับปรุงแนวนโยบาย หรือแนวปฏิบัติ การระงบั ขอพิพาท กฎหมายท่ีใชบังคับ รวมท้ังเนื้อหาอื่นๆ ท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกส ประสงคจ ะกําหนดเพ่มิ เติมไดอ กี ดว ย เอกสารอา งอิง Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 3647) สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 81

82 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์

ประกาศคณะกรรมการธุรกรรมทางอเิ ล็กทรอนิกส เรื่อง หลักเกณฑและวธิ ีการในการจัดทําหรอื แปลงเอกสาร และขอ ความใหอ ยใู นรปู ของขอมลู อเิ ลก็ ทรอนกิ ส พ.ศ. ๒๕๕๓ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 83

ช่อื กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง หลักเกณฑและวิธีการในการจัดทําหรือ แปลงเอกสารและขอ ความใหอ ยใู นรูปของขอมูลอเิ ลก็ ทรอนิกส พ.ศ. ๒๕๕๓ ประกาศในราชกจิ จานเุ บกษา เลม ๑๒๗ / ตอนพเิ ศษ ๑๒๔ ง / หนา ๔๗ / วนั ที่ ๒๖ ตลุ าคม ๒๕๕๓ เรม่ิ บงั คับใช วนั ที่ ๒๗ ตุลาคม ๒๕๕๓ 84 สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์

เลม ๑๒๗ ตอนพเิ ศษ ๑๒๔ ง หนา ๔๗ ๒๖ ตลุ าคม ๒๕๕๓ ราชกิจจานุเบกษา ประกาศคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกส เร่อื ง หลักเกณฑแ ละวธิ กี ารในการจดั ทําหรอื แปลงเอกสารและขอ ความใหอ ยใู นรปู ของ ขอมูลอเิ ล็กทรอนิกส พ.ศ. ๒๕๕๓ โดยที่พัฒนาการทางเทคโนโลยีในปจจุบันทําใหรูปแบบและวิธีการในการติดตอส่ือสาร การรับสงเอกสารและขอมูล ตลอดจนการทําธุรกรรมปรับเปลี่ยนไปเปนรูปแบบของธุรกรรม ทางอเิ ลก็ ทรอนิกสมากข้ึน รวมถงึ เอกสารหรือขอ ความท่ไี ดม ีการจัดทําหรือแปลงใหอยูในรูปของขอมูล อิเล็กทรอนิกสในภายหลัง และโดยท่ีกฎหมายวาดวยธุรกรรมทางอิเล็กทรอนิกสกําหนดใหการจัดทํา หรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกสเปนไปตามหลักเกณฑและวิธีการ ที่คณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ สก ําหนด อาศัยอํานาจตามความในมาตรา ๑๒/๑ วรรคสอง แหงพระราชบัญญัติวาดวยธุรกรรม ทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ ซง่ึ แกไขเพิ่มเติมโดยพระราชบญั ญัตวิ า ดวยธรุ กรรมทางอิเล็กทรอนิกส (ฉบับที่ ๒) พ.ศ. ๒๕๕๑ คณะกรรมการธุรกรรมทางอิเล็กทรอนกิ สจ งึ ออกประกาศไว ดังตอ ไปนี้ ขอ ๑ ประกาศน้ีเรียกวา “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง หลักเกณฑ และวธิ กี ารในการจดั ทําหรือแปลงเอกสารและขอ ความใหอยใู นรูปของขอมลู อิเลก็ ทรอนิกส พ.ศ. ๒๕๕๓” ขอ ๒ ในประกาศน้ี “การจดั ทาํ หรือแปลงเอกสารและขอความใหอ ยใู นรูปของขอมลู อเิ ลก็ ทรอนิกส” หมายความวา การจัดทาํ หรือแปลงเอกสารและขอ ความตามประกาศคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนิกสฉบับนี้ “ผูจดั ทาํ หรอื แปลง” หมายความวา บุคคลผจู ดั ทําหรือแปลงเอกสารและขอความใหอยูในรูปของ ขอมูลอิเล็กทรอนิกส และใหหมายความรวมถึง บุคคลผูจัดทําหรือแปลงขอความเสียง หรือวีดิทัศน ใหอยูในรูปของขอมลู อเิ ลก็ ทรอนกิ ส “เอกสาร” หมายความวา กระดาษหรือวัตถุอ่นื ใดซึ่งไดท ําใหปรากฏความหมายดวยตัวอักษร ตัวเลข ผัง หรือแผนแบบอยางอน่ื จะเปนโดยวธิ ีพิมพ ถายภาพหรือวธิ อี ่ืนอนั เปนหลกั ฐานแหง ความหมายนนั้ “เมตาดาตา” (Metadata) หมายความวา ขอ มลู ท่ีใชกาํ กับและอธบิ ายขอ มูลอ่ืน ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 85

เลม ๑๒๗ ตอนพิเศษ ๑๒๔ ง หนา ๔๘ ๒๖ ตุลาคม ๒๕๕๓ ราชกิจจานเุ บกษา ขอ ๓ การจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส ใหเ ปนไปตามหลกั เกณฑและวิธีการดังตอ ไปนี้ (๑) ขอมูลอิเล็กทรอนิกสท่ีจัดทําหรือแปลงตองมีความหมายหรือรูปแบบเหมือนกับเอกสาร และขอความเดิมซึ่งนํามาจัดทําหรือแปลงใหอยูในรูปของขอมูลอิเล็กทรอนิกส โดยผูจัดทําหรือแปลง จะตองตรวจสอบและรับรองวาขอมูลอิเล็กทรอนิกสน้ัน มีความหมายหรือรูปแบบเหมือนกับเอกสาร และขอ ความเดมิ (๒) ขอมูลอิเล็กทรอนิกสตองจัดทําหรือแปลงข้ึนดวยวิธีการท่ีเชื่อถือไดในการระบุตัวตน ผูจดั ทําหรอื แปลงทรี่ ับผิดชอบในการจัดทาํ หรือแปลงนั้น (๓) ขอมูลอิเลก็ ทรอนิกสตองจดั ทําหรอื แปลงโดยมีเทคโนโลยีและมาตรการปองกันมิใหมีการ เปลี่ยนแปลงหรือแกไขเกิดขึ้นกับขอมูลน้ัน เวนแตการรับรองหรือบันทึกเพิ่มเติม ซึ่งไมมีผลตอ ความหมายของขอมูลอเิ ลก็ ทรอนิกส รายละเอียดของวิธีการในการจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูล อิเล็กทรอนิกสใ หเปน ไปตามทีก่ ําหนดไวในขอ ๔ ถงึ ขอ ๙ ขอ ๔ การจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส ใหมกี ระบวนการในการจดั ทําหรอื แปลงเอกสารและขอความอยา งนอย ดังน้ี (๑) กระบวนการจัดทําหรือแปลงเอกสารและขอความใหเปนขอมูลอิเล็กทรอนิกสดวยวิธีการ ทางอิเล็กทรอนิกส (๒) กระบวนการตรวจสอบและรับรองวาขอมูลอิเล็กทรอนิกสที่จัดทําหรือแปลงนั้น มีความหมายเหมอื นกับเอกสารและขอ ความเดมิ (๓) กระบวนการบันทึกหลักฐานการดําเนินงานการจัดทําหรือแปลงเอกสารและขอความ ใหอ ยูในรูปของขอมูลอิเล็กทรอนิกส (๔) กระบวนการบนั ทกึ เมตาดาตาในรูปแบบอเิ ลก็ ทรอนกิ สทเี่ ปนขอความบรรยายสาระสําคัญ ของเอกสารและขอ ความ ซ่งึ ตองครอบคลุมใหสามารถสืบคนเอกสารและขอความนั้นไดถกู ตอง 86 สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์

เลม ๑๒๗ ตอนพิเศษ ๑๒๔ ง หนา ๔๙ ๒๖ ตลุ าคม ๒๕๕๓ ราชกิจจานุเบกษา ขอ ๕ การจัดทําหรือแปลงเอกสารและขอความดวยวิธีการทางอิเล็กทรอนิกส ใหมี ผูร บั ผดิ ชอบดาํ เนนิ งานในการจัดทําหรือแปลงในเรื่องของวธิ ีการดังกลา วอยางนอยดังตอ ไปนี้ (๑) จดั ทาํ หรือแปลงเอกสารและขอ ความใหอยใู นรูปของขอมูลอิเลก็ ทรอนกิ ส (๒) ตรวจสอบและรับรองความถูกตองและครบถวนของขอมูลอิเล็กทรอนิกสท่ีไดจากการ จัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส วาขอมูลอิเล็กทรอนิกส มคี วามหมายหรอื รูปแบบเหมอื นกับเอกสารและขอ ความเดมิ (๓) ตรวจสอบกระบวนการจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูล อิเลก็ ทรอนกิ สใหเปน ไปตามทก่ี ําหนดไว (๔) ตรวจสอบและรับรองความถูกตองและครบถวนของเมตาดาตา ตามขอ ๔ (๔) ขอ ๖ การจัดทําหรือแปลงเอกสารและขอความดวยวิธีการทางอิเล็กทรอนิกส ใหมีการ กําหนดมาตรการเกีย่ วกับการรักษาความมนั่ คงปลอดภยั ของขอมลู อเิ ล็กทรอนิกส ซ่ึงเปนวิธีการที่เช่ือถือได อยางนอ ยตองครอบคลมุ หัวขอ ตอไปนี้ (๑) การระบตุ ัวตน (Identification) (๒) การยนื ยนั ตัวตน (Authentication) (๓) อนญุ าตเฉพาะผูมสี ทิ ธเิ ขา ถึง (Authorization) (๔) ความรับผิดชอบตอ ผลของการกระทํา (Accountability) ทั้งนี้ เพื่อใหสามารถยืนยันไดวา ขอมูลอิเล็กทรอนิกสท่ีมีการจัดทําหรือแปลงไดดําเนินการ โดยผูมีสิทธิในการเขาถึงเทาน้ัน ผูมีสิทธิในการเขาถึงดังกลาวใหหมายความรวมถึงผูรับผิดชอบ ดาํ เนนิ งานจดั ทําหรือแปลงและผทู ม่ี สี ิทธิตรวจสอบตามขอ ๕ ดว ย ซึ่งจะเปน บคุ คลเดียวกนั หรือไมกไ็ ด ขอ ๗ การจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกสน้ัน ใหข อมลู อิเลก็ ทรอนิกสมคี วามละเอยี ดและความชดั เจนของเอกสารและขอ ความเดิม ขอ ๘ ใหผูจัดทําหรือแปลง มีหนาท่ีรักษาและดํารงสภาพของระบบการจัดทําหรือแปลง เอกสารไวใหสมบูรณเพื่อใหมีการกํากบั ดแู ลหรอื การตรวจสอบไดตลอดเวลาจากคณะกรรมการธุรกรรม ท า ง อิ เ ล็ ก ท ร อ นิ ก ส ห รื อ ห น ว ย ง า น อ่ื น ท่ี ค ณ ะ ก ร ร ม ก า ร ธุ ร ก ร ร ม ท า ง อิ เ ล็ ก ท ร อ นิ ก ส ม อ บ ห ม า ย หรือหนว ยงานที่กาํ หนดไวเปนอยา งอืน่ ในประกาศฉบับนี้ สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 87

เลม ๑๒๗ ตอนพิเศษ ๑๒๔ ง หนา ๕๐ ๒๖ ตุลาคม ๒๕๕๓ ราชกิจจานเุ บกษา ขอ ๙ การดําเนนิ การตามขอ ๔ ถึง ขอ ๘ ใหผ ูจ ดั ทาํ หรอื แปลง จัดทาํ วิธีปฏิบัติที่สอดคลองกับ ลกั ษณะงานองคก รและประเภทของการทําธุรกรรมอยา งเหมาะสม โดยใหใชขอกําหนดวิธีปฏิบัติท่ัวไป หรือตามขอกําหนดวิธีปฏิบัติเฉพาะธุรกรรมบางประเภท ในการจัดทําหรือแปลงเอกสารและขอความ ใหอยูในรูปของขอมูลอิเล็กทรอนิกสตามขอกําหนดแนบทายประกาศนี้เปนมาตรฐานข้ันต่ําในการ ดาํ เนินงานแลว แตกรณี ขอ ๑๐ ประกาศนีใ้ หใ ชบงั คับตง้ั แตวันถดั จากวนั ประกาศในราชกจิ จานุเบกษาเปนตนไป ประกาศ ณ วนั ที่ ๓๐ กนั ยายน พ.ศ. ๒๕๕๓ จุติ ไกรฤกษ รฐั มนตรวี าการกระทรวงเทคโนโลยสี ารสนเทศและการส่อื สาร ประธานกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส 88 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์

ขอกําหนดแนบทายประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรอื่ ง หลกั เกณฑแ ละวิธกี ารในการจดั ทําหรอื แปลงเอกสารและขอความ ใหอยใู นรปู ของขอ มูลอิเล็กทรอนกิ ส พ.ศ. ๒๕๕๓ ฉบับที่ ๑ วา ดวยขอ กาํ หนดวิธีปฏิบตั ใิ นการจัดทําหรอื แปลงเอกสารและขอความ ใหอ ยูในรปู ของขอ มลู อิเล็กทรอนกิ ส ------------------------------- หมวด ๑ บททั่วไป ขอ ๑ ในการจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส ใหผูจัดทําหรือแปลงปฏิบัติตามขอกําหนดน้ีเปนมาตรฐานขั้นต่ํา เวนแตมาตรฐานข้ันต่ําในบางเร่ืองน้ัน จะมไิ ดถูกนาํ มาใช หมวด ๒ วิธจี ดั ทําหรอื แปลงเอกสารและขอความ ขอ ๒ ผูจัดทําหรือแปลงตองตรวจสอบเอกสารและขอความท่ีจะนําไปจัดทําหรือแปลงใหเปน ขอมูลอิเล็กทรอนิกส โดยพิจารณาความครบถวนของขอความทั้งหมด จํานวนหนา การจัดเรียงลําดับ เนื้อหา รูปแบบของการนาํ เสนอเอกสารและขอความ และตองบันทึกแหลงที่มาของเอกสารและขอความ นั้น ในกรณีท่ีเอกสารหรือขอความท่ีจัดทําหรือแปลงนั้นเปนเอกสารตนฉบับ หรือสําเนา ก็ใหบันทึกและ แสดงโดยชดั แจง ถงึ ลกั ษณะเอกสารหรือขอ ความนั้นดว ยวาเปนตน ฉบับหรือสําเนา ขอ ๓ มาตรฐานขน้ั ตา่ํ สําหรับความละเอยี ดของภาพ (Resolution) คือ (๑) ภาพลายเสน หรอื ภาพขาวดาํ อยา งนอย 150 จุดตอนว้ิ (dot per inch หรือ dpi) (๒) ภาพสีเทา อยา งนอย 200 จดุ ตอนิ้ว (๓) ภาพสี อยางนอย 300 จุดตอ นิว้ (๔) ภาพสําหรับงานเวบ็ อยา งเดียว อยางนอ ย 72 จดุ ตอ น้ิว ขอ ๔ มาตรฐานข้ันตา่ํ สําหรบั ความละเอยี ดของสี (Bit Depth) คือ (๑) ภาพขาว-ดาํ มคี าความละเอียดของสีเทา กบั 1 บติ (bit) (๒) ภาพสเี ทา (grayscale) มีคา ความละเอยี ดของสีเทา กับ 8 บติ (๓) ภาพสี มีคาความละเอยี ดของสีเทากับ 24 บิต ขอ ๕ มาตรฐานขั้นตํ่าสําหรับการแปลงสัญญาณอนาล็อกเปนสัญญานดิจิทัล ในกรณีท่ีขอความ เปนเสียงตองมีอัตราสุมขอมูลสัญญาณเสียงขั้นต่ําท่ี 44.1 กิโลเฮิรตซ (kHz) และจํานวนของขอมูล สัญญาณเสยี งทีส่ ุมขัน้ ตํา่ ท่ี 16 บิต ขอ ๖ มาตรฐานขั้นต่ําสําหรับการแปลงสัญญาณอนาล็อกเปนสัญญานดิจิทัล ในกรณีที่ขอความ เปนวดี ิทัศน ตองมมี าตรฐานขนั้ ตาํ่ ดงั นี้ ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 89

-๒- (๑) อัตราการสุมขอมูลตัวอยางความสวาง5ของแสง (Luminance) มีมาตรฐานข้ันต่ําท่ี 13.5 เมกกะเฮริ ตซ (MHz) (๒) จํานวนขอมูลตัวอยางความสวางของแสง มีมาตรฐานข้ันตํ่าท่ี 8 บิตตอจุดภาพ (bits per pixel: bpp) (๓) จาํ นวนขอมลู ตวั อยางความเขมของสี (Chrominance) มีมาตรฐานข้ันต่ําท่ี 4 บิตตอจุดภาพ (bits per pixel: bpp) (๔) คาความสวางของแสง (Luminance Resolution) เทากับ 720 จุดตอภาพ (pixel) x 485 เสน (active line) (๕) คาความละเอียดของสี (Chrominance Resolution) เทากับ 360 จุดตอภาพ (pixel) x 485 เสน (active line) ขอ ๗ ผูจัดทําหรือแปลงตองต้ังชื่อไฟลขอมูลอิเล็กทรอนิกสที่มีความหมายสื่อถึงเนื้อหาของ ขอ มูลเพ่ือสามารถสบื คน ได ช่อื ไฟลด งั กลาวจะตองไมซา้ํ กนั ขอ ๘ เมื่อดําเนินการแลว ผูจัดทําหรือแปลงตองตรวจทานความถูกตอง ครบถวน ของขอมูล อิเล็กทรอนกิ สทไี่ ดจ ัดทาํ หรอื แปลงดว ย หมวด ๓ การตรวจสอบและรบั รอง ขอ ๙ ผจู ัดทําหรอื แปลงตองจดั ใหมีการตรวจสอบและการรับรองคุณภาพกระบวนการจัดทําหรือ แปลงเอกสารและขอความใหอยูในรูปของขอมูลอิเล็กทรอนิกส และการตรวจสอบและรับรองคุณภาพ ขอมูลอเิ ล็กทรอนกิ ส และจัดใหมีการรายงานการตรวจสอบและรบั รองคณุ ภาพ เพ่ือใชในการยืนยันระบบ การจัดการของตน ขอ ๑๐ การตรวจสอบและรับรองคุณภาพตอ งครอบคลมุ ถึงเรอ่ื ง ดังตอไปนี้ (๑) คุณภาพของเคร่อื งมือและอปุ กรณท่ีใชใ นการดําเนนิ การ (๒) ข้นั ตอนการดําเนนิ การ (๓) คณุ ภาพและความถกู ตอ งของขอมลู อเิ ล็กทรอนกิ สท ผ่ี านการจดั ทําหรอื แปลง (๔) คณุ ภาพและความถูกตอ งของขอมูลอิเล็กทรอนิกสท ่ีใชในการระบุตวั ตนของผูจ ัดทาํ หรอื แปลง ขอ ๑๑ ในกรณีการดําเนินการสําหรับขอมูลอิเล็กทรอนิกสที่มีปริมาณมาก หรือการรวมขอมูล จํานวนมากเปนชุดเดยี ว การตรวจสอบและรบั รองอาจใชก ารสุมตัวอยางในเชิงสถติ ิ เพ่ือตรวจสอบได หมวด ๔ การบันทกึ ขอ ๑๒ ผูจัดทําหรือแปลงตองจัดใหมีการบันทึกการดําเนินการไวเปนหลักฐาน โดยตองบันทึก รายการ ดงั ตอไปน้ี (๑) ชื่อหรอื รายการขอมลู อิเล็กทรอนกิ สทจ่ี ัดทาํ หรือแปลง (๒) ช่ือผจู ดั ทาํ หรอื แปลง 90 สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์

-๓- (๓) โปรแกรมและรปู แบบทีใ่ ชใ นการจัดทาํ หรือแปลง (๔) วนั เดอื น ป และเวลาที่จัดทําหรือแปลง (๕) หลักฐานการตรวจสอบและรับรองคุณภาพและความถูกตองของขอมูลอิเล็กทรอนิกส วามีความหมายเหมือนกบั เอกสารและขอความเดมิ ขอ ๑๓ ผูจัดทําหรือแปลงตองจัดใหมีการบันทึกเมตาดาตา (Metadata) ที่แสดงสาระสําคัญ อันเปนคุณลักษณะเฉพาะและรายละเอียดของขอมูลอิเล็กทรอนิกสน้ันๆ โดยจะตองประกอบดวย สวนประกอบสําคัญของขอมูลอิเล็กทรอนิกส ไดแก เนื้อหา (เชน ชื่อเรื่อง หัวเร่ือง ตนฉบับ/แหลงที่มา ขอบเขต) บริบท (เชน ทรัพยสินทางปญญาหรือสิทธิในงานนั้น ผูสรางสรรคผลงาน ผูมีสวนรวม ในผลงาน) และโครงสรา ง (เชน วนั เดอื น ป ที่สรา งผลงาน ประเภทของเน้ือหา รูปแบบของการนําเสนอ ผลงาน ตัวบงช้ีหรือตัวระบุถึงทรัพยากร) ซ่ึงจะชวยใหสามารถสืบคนเอกสารและขอความไดอยาง ถกู ตอ งและมปี ระสทิ ธภิ าพ หมวด ๕ ผูร บั ผดิ ชอบ ขอ ๑๔ ใหผ จู ดั ทาํ หรอื แปลงกําหนดตวั บคุ คลผรู บั ผิดชอบในเรอ่ื งดงั ตอ ไปนี้ ใหช ัดเจน (๑) ผูจดั ทําหรือแปลงเอกสารและขอ ความใหอยใู นรูปของขอมลู อเิ ล็กทรอนิกส (๒) ผูตรวจสอบคณุ ภาพของขอ มลู อิเลก็ ทรอนกิ สท ี่ผา นการจดั ทาํ หรอื แปลง (๓) ผูตรวจสอบและรับรองกระบวนการจัดทําหรือแปลงเอกสารและขอความใหอยูในรูปของ ขอ มลู อเิ ล็กทรอนกิ ส ตามขอ ๙ (๔) ผตู รวจสอบและรับรองความถูกตองและครบถวนของเมตาดาตา ตามขอ ๑๓ หมวด ๖ ความมั่นคงปลอดภัย ขอ ๑๕ ใหผูจัดทําหรือแปลงตองกําหนดมาตรการรักษาความม่ันคงปลอดภัยของขอมูล อิเล็กทรอนิกส ดวยวิธีการท่ีเช่ือถือได โดยใหครอบคลุมมาตรการเก่ียวกับการรักษาความม่ันคง ปลอดภยั ของขอ มลู อิเลก็ ทรอนกิ ส อยา งนอ ยตอ งครอบคลมุ หัวขอ ตอ ไปน้ี (๑) การลงทะเบียนผูใชงาน (user registration) โดยตองกําหนดใหมีข้ันตอนการปฏิบัติ สําหรับการลงทะเบียนผูใชงานเพ่ือแสดงตัวตนเพื่อรับการอนุญาตใหเขาถึงขอมูลอิเล็กทรอนิกส และ การตัดออกจากทะเบยี นของผใู ชง านเมื่อมกี ารยกเลิกเพิกถอนการอนญุ าตดังกลา ว (๒) การบริหารจัดการสิทธิของผูใชงาน (user management) โดยตองจัดใหมีการควบคุม และจาํ กดั สทิ ธิเพื่อเขา ถึงและใชงานขอมูลอเิ ล็กทรอนกิ สแตล ะชนดิ ตามความเหมาะสม (๓) การบริหารจัดการรหัสผานสําหรับผูใชงาน (user password management) โดยตอง จัดใหมกี ระบวนการบริหารจดั การรหัสผานสาํ หรบั ผใู ชงานอยางรัดกมุ (๔) การทบทวนสิทธิการเขาถึงของผูใชงาน (review of user access rights) โดยตองจัดให มกี ระบวนการทบทวนสทิ ธิการเขาถงึ ของผใู ชง านขอมลู อเิ ล็กทรอนิกสตามระยะเวลาทก่ี าํ หนดไว สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 91