Fri Jun 23 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

ประกาศสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ที่ ธพส. 1/2566 เรื่อง หลักเกณฑ์ในการควบคุมดูแลการประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต

ประกาศสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ที่ ธพส. 1/2566 เรื่อง หลักเกณฑ์ในการควบคุมดูแลการประกอบธุรกิจบริการ เกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต เพื่อให้การควบคุมดูแลการประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตน ทางดิจิทัลที่ต้องได้รับใบอนุญาตสามารถให้บริการได้อย่างมีประสิทธิภาพ มีความมั่นคงปลอดภัย และสามารถให้บริการได้อย่างต่อเนื่อง รวมทั้งควบคุมดูแลผู้ประกอบธุรกิจบริการให้มีความน่าเชื่อถือ และมีการคุ้มครองผู้ใช้บริการอย่างเหมาะสม สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ โดยความเห็นชอบของคณะกรรมการธุรกรรม ทางอิเล็กทรอนิกส์ จึงได้กาหนดหลักเกณฑ์การควบคุมดูแลการประกอบธุรกิจบริการเกี่ยวกั บระบบพิสูจน์ และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต เพื่อให้ผู้ประกอบธุรกิจบริการต้องถือปฏิบัติ อาศัยอานาจตามความในมาตรา 19 มาตรา 21 มาตรา 23 มาตรา 24 และมาตรา 25 แห่งพระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการเกี่ยวกับระบบการพิสูจน์แ ละยืนยันตัวตน ทางดิจิทัลที่ต้องได้รับใบอนุญาต พ.ศ. 2565 ผู้อานวยการสานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ จึงออกประกาศไว้ ดังต่อไปนี้ ข้อ 1 ประกาศนี้เรียกว่า “ ประกาศสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง หลักเกณฑ์ในการควบคุมดูแลการประกอบธุรกิจบ ริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล ที่ต้องได้รับใบอนุญาต ” ข้อ 2 ลักษณะการให้บริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่มีลักษณะ เป็นบริการที่ต้องได้รับใบอนุญาต ตามมาตรา 7 แห่งพระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการ เกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต พ.ศ. 2565 มีรายละเอียด ปรากฏตามข้อกำหนดแนบท้ายประกาศ ข้อ 3 ในประกาศฉบับนี้และข้อกำหนดแนบท้ายประกาศ ให้ใช้คำนิยามตามที่กำหนด ดังนี้ “ ผู้รับใบอนุญาต ” หมายความว่า บุคคลที่ได้รับใบอนุญาตให้ประกอบธุรกิจบริการเกี่ยวกับ ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลตามกฎหมายว่าด้วยการควบคุมดูแลธุรกิจบริการเกี่ยวกับ ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต “ ผู้ใช้บริการ ” หมายควา มว่า ผู้ขอใช้บริการพิสูจน์ตัวตน บริการออกและบริหารจัดการสิ่งที่ใช้ ยืนยันตัวตน บริการยืนยันตัวตน หรือบริการแลกเปลี่ยนข้อมูลเพื่อการพิสูจน์และยืนยันตัวตนทางดิจิทัล เช่น ประชาชน นิติบุคคลที่มาขอใช้บริการ ทั้งนี้ ขึ้นอยู่กับลักษณะการให้บริการของผู้รั บใบอนุญาตแต่ละราย ้ หนา 91 ่ เลม 140 ตอนพิเศษ 149 ง ราชกิจจานุเบกษา 23 มิถุนายน 2566

“ ระบบการให้บริการ ” หมายความว่า ระบบและเทคโนโลยีที่ใช้สำหรับการประกอบธุรกิจบริการ เกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่มีลักษณะเป็นบริการที่ต้องได้รับใบอนุญาต และหมายรวมถึงระบบงานที่เกี่ยวข้องกับการประกอบธุรกิจบริการดังกล่าวด้วย “ บุคคลภายนอก ” หมายความว่า บุคคลหรือนิติบุคคลภายนอก ซึ่งเป็นผู้ให้บริการ ด้านเทคโนโลยีสารสนเทศ หรือเป็นผู้ที่มีการเชื่อมต่อกับระบบเทคโนโลยีสารสนเทศของผู้รับใบอนุญาต หรือเป็นผู้ที่สา มารถเข้าถึงข้อมูลที่สำคัญของผู้รับใบอนุญาตหรือข้อมูลของผู้ใช้บริการของระบบ การให้บริการ รวมถึงผู้รับดาเนินการแทนผู้รับใบอนุญาต ทั้งนี้ บุคคลภายนอกไม่ครอบคลุมถึงผู้ใช้บริการ ซึ่งเป็นผู้ใช้งานระบบการให้บริการของผู้รับใบอนุญาต “ ผู้รับดาเนินการแทน ” หมายควา มว่า บุคคลภายนอกซึ่งเป็นบุคคลธรรมดาหรือนิติบุคคล ที่มีการทาสัญญาหรือข้อตกลงร่วมกับผู้รับใบอนุญาตในการดาเนินการแทนผู้รับใบอนุญาตสาหรับการให้บริการ เกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล เช่น ตัวแทนในการเก็บรวบรวมข้อมูลผู้ใช้บริการ ซึ่งอาจมีการ เชื่อมต่อระบบงานด้านเทคโนโลยีสารสนเทศกับผู้รับใบอนุญาตด้วย “ สำนักงาน ” หมายความว่า สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ “ คณะกรรมการ ” หมายความว่า คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ข้อ 4 การประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่มีลักษณะ เป็นบริการที่ต้องได้รับใบอนุญาตต้องปฏิบัติตามหลักเกณฑ์การควบคุมดูแลการประกอบธุรกิจบริการ ในเรื่อง ดังต่อไปนี้ (1) หลักเกณฑ์การบริหารและจัดการความเสี่ยงในการประกอบธุรกิจบริการเ กี่ยวกับระบบ การพิสูจน์และยืนยันตัวตนทางดิจิทัล (2) หลักเกณฑ์การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของระบบการให้บริการ (3) หลักเกณฑ์การควบคุมดูแลและป้องกันการทุจริตหรือการฉ้อโกงจากการใช้งานระบบ (4) หลักเกณฑ์เกี่ยวกับมาตรฐานการให้บริการ (5) หลักเก ณฑ์ตามลักษณะของการให้บริการ (6) หลักเกณฑ์การเปิดเผยข้อมูลที่สำคัญเกี่ยวกับการให้บริการ การคุ้มครองผู้ใช้บริการ และมาตรการบรรเทาความเสียหายและการชดใช้หรือเยียวยาผู้ได้รับความเสียหายจากการประกอบธุรกิจ (7) หลักเกณฑ์การใช้บริการจากผู้รับดาเนินการแทน ตามข้อ กำหนดแนบท้ายประกาศ ข้อ 5 ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ 22 มิถุนายน พ.ศ. 2566 เป็นต้นไป ประกาศ ณ วันที่ 26 พฤษภาคม พ.ศ. 256 6 ชัยชนะ มิตรพันธ์ ผู้อำนวยการ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ้ หนา 92 ่ เลม 140 ตอนพิเศษ 149 ง ราชกิจจานุเบกษา 23 มิถุนายน 2566

ข้อก ําหนดแนบท้ํายประกําศ สพธอ. ที่ 1/2566 ฉบับที่ 1 ลักษณะ กํารให้บริกําร เกี่ยวกับระบบกํารพิสูจน์และยืนยันตัวตนทํางดิจิทัล ที่มีลักษณะเป็นบริกําร ที่ต้องได้รับใบอนุญําต ----------------------------------- 1 . บริกํารพิสูจน์ตัวตน บริการพิสูจน์ตัวตน เป็นบริการเกี่ยวกับกระบวนการอันเป็นสาระสำคัญในการพิสูจน์ตัวตน ซึ่ง ครอบคลุมกระบวนการ หลัก 3 กระบวนการ ดังนี้ 1.1 กระบวนการรวบรวมข้อมูลเกี่ยวกับอัตลักษณ์ของบุคคล เช่น การรวบรวมข้อมูลจากบัตรประชาชน การถ่ายภาพใบหน้า 1.2 กระบวนการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ของบุคคลว่ามีความถูกต้อง แท้จริง และความ เป็นปัจจุบันของข้อมูลเกี่ยวกับอัตลักษณ์ เช่น การตรวจสอบรูปถ่ายของหลักฐานแสดงตน การตรวจสอบ ลักษณะทางกายภาพของหลักฐานแสดงตนโดย เจ้าหน้าที่ การตรวจสอบข้อมูลบนหลักฐานแสดงตนและ ตรวจสอบสถานะของหลักฐานแสดงตน 1.3 กระบวนการตรวจสอบความเชื่อมโยงระหว่างบุค ค ลกับข้อมูลเกี่ยวกับอัตลักษณ์ดังกล่าวเพื่อให้ มั่นใจว่าอัตลักษณ์ที่กล่าวอ้างเป็นอัตลักษณ์ของบุคคลนั้นจริงตามระดับความน่าเชื่อถือที่นามาใ ช้ในการพิสูจน์ ตัวตน เช่น การเปรียบเทียบภาพใบหน้าของบุคคลกับภาพใบหน้าบนหลักฐานแสดงตน 2 . บริกํารออกและบริหํารจัดกํารสิ่งที่ใช้ยืนยันตัวตน บริการออกและบริหารจัดการสิ่งที่ใช้ยืนยันตัวตน ครอบคลุมกระบวนการ หลัก ดังนี้ 2.1 กระบวนการออกหรือลงทะเบียนชนิดของสิ่งที่ใช้ในการยืนยันตัวตน เช่น รหัสจดจา อุปกรณ์ OTP อุปกรณ์เข้ารหัสลับ 2.2 กระบวนการบริหารจัดการสิ่งที่ใช้ยืนยันตัวตนซึ่งประกอบด้วยกระบวนการสำคัญ ดังนี้ 2.2.1 การเชื่อมโยงสิ่งที่ใช้ยืนยันตัวตนโดยสร้างความเชื่อมโยงระหว่างอัตลักษณ์ของบุคคล ที่ผ่านการพิสูจน์ตัวตนเข้ากับสิ่งที่ใช้ยืนยันตัวตนเพื่อให้บุคคลดังกล่าวใช้ในการยืนยัน ตัวตน 2.2.2 การดาเนินการในกรณีสิ่งที่ใช้ยืนยันตัวตนสูญหาย ถูกขโมย หรือเสียหาย รวมถึงการ ออกสิ่ งที่ใช้ยืนยันตัวตนทดแทนอันเดิม ( replacement ) 2.2.3 การดาเนินการในกรณีสิ่งที่ใช้ยืนยันตัวตนหมดอายุการใ ช้ งาน และการออกสิ่งที่ใช้ ยืนยันตัวตนอันใหม่ ( renewal ) 2.2.4 การดำ เนิ นการในกรณี ที่ ต้ องมี การเพิ กถอน ( revocation ) หรื อยุ ติ การใช้งาน ( termination ) ของสิ่งที่ใช้ยืนยันตัวตน 3 . บริกํารยืนยันตัวตน บริการยืนยันตัวตน เป็นกระบวนการยืนยันอัตลักษณ์ของบุคคลที่ผ่านการพิสูจน์ตัวตนด้วยการตรวจสอบ สิ่งที่ใช้ยืนยันตัวตนของบุคคลนั้น

2 - 4 . บริกํารแลกเปลี่ยนข้อมูลเพื่อกํารพิสูจน์และยืนยันตัวตนทํางดิจิทัล บริการแลกเปลี่ยนข้อมูลเพื่อการพิสูจน์และยืนยันตัวตนทางดิจิทัล เป็นการให้บริการเพื่อการเชื่อมต่อ หรือเชื่อมโยงระหว่างผู้ รับใบอนุญาต กับผู้ประสงค์จะอาศัยการพิสูจน์และยืนยันตัวตน หรือผู้ที่เกี่ยวข้อง เพื่อแลกเปลี่ยนข้อมูลเกี่ยวกับการพิสูจน์และยืนยันตัวตนทางดิจิทั ล โดยมี การ แจ้งให้ผู้เชื่อมต่อทราบเกี่ยวกับ เงื่อนไขระดับความน่าเชื่อถือของการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่สามารถเชื่อมต่อกับระบบ การให้บริการ และ การบริหารจัดการ การเชื่อมต่อ ในระบบ การ ให้บริการ เช่น การกาหนด โพรโ ท คอ ล และ เงื่อนไขในการเชื่อมต่อกับระบบการให้บริการ แต่ ทั้งนี้ ไม่รวมถึง ผู้ทาหน้าที่ เป็นสื่อกลางในการเชื่อมต่อเพื่อรับส่งข้อมูลระหว่างผู้ใช้บริการกับระบบ การให้บริการของผู้รับใบอนุญาต ซึ่งไม่สามารถเข้าถึงข้อมูล สำหรับการพิสูจน์และยืนยันตัวตนในระบบ การให้บริการ ได้

ข้อก ําหนดแนบท้ํายประกําศ สพธอ. ที่ 1 / 2566 ฉบับที่ 2 หลักเกณฑ์กํารบริหําร และ จัดกํารควํามเสี่ยง ในกํารประกอบ ธุรกิจบริกําร เกี่ยวกับ ระบบกํารพิสูจน์และยืนยันตัวตนทํางดิจิทัล ----------------------------------- ข้อ 1 ผู้รับใบอนุญาต ต้อง จัดให้มี นโยบาย และมาตร การบริหาร จัดการ ความเสี่ยง ซึ่งครอบคลุม ความเสี่ยง ที่ เกี่ยวข้องกับ การประกอบ ธุรกิจ บริการ เกี่ยวกับ ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล เพื่อประเมินฐาน ะ และผลการดาเนินงาน โดย คานึงถึง ผลกระทบจากความเสี่ยงของการให้บริการ เพื่อกำหนดมาตรการและแผนการบรรเทาผลกระทบที่อาจจะเกิดขึ้น อย่างทันท่วงที ข้อ 2 ผู้รับใบอนุญาตต้องเข้าใจและตระหนักถึงความเสี่ยงสำหรับ การประกอบ ธุรกิจ บริการ เกี่ยวกับ ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ส่งผลกระทบต่อผู้ที่เกี่ยวข้อง รวม ถึง บทบาทหน้าที่และ ความรับผิดชอบในการกากับดูแลความเสี่ยงให้สอดรับกับระดับความเสี่ยงที่ยอมรับได้ ซึ่งอย่างน้อย ต้องครอบคลุมกระบวนการในการบริหาร จัดการ ความเสี่ยง ดังนี้ 2 . 1 การระบุความเสี่ยง ที่เกี่ยวข้องกับธุรกิจบริการ เกี่ยวกับ ระบบการพิสูจน์และยืนยัน ตัว ตน ทางดิจิทัล ( r isk identification ) ตามลักษณะ การให้ บริการ 2 . 2 กำรประเมินความเสี่ยง ( r isk assessment ) ซึ่งครอบคลุมการประเมิน ความเสี่ยงตั้งต้น และ การตรวจสอบความสามารถในการบริหารจัดการความเสี่ยง 2 . 3 การวัดผลความเสี่ยงกับเกณฑ์ การ ประเมินความเสี่ยง ( r isk evaluation ) 2 . 4 การลดความเสี่ยงหลังจากการประเมิน ความเสี่ยง เพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ( r isk treatment ) 2 . 5 การติดตามและรายงานผลความเสี่ยงอย่างต่อเนื่ อง ( r isk monitoring and reporting ) ข้อ 3 ในการ ระบุ ความเสี่ยง ที่เกี่ยวข้องกับ การประกอบ ธุรกิจบริการ เกี่ยวกับ ระบบการพิสูจน์และยืนยัน ตัวตนทางดิจิทัล ต้องดำเนินการให้ครอบคลุม ความเสี่ยง 5 ด้าน ได้แก่ 3 . 1 ความเสี่ยงด้านกลยุทธ์ ( s trategic r isk ) หมายถึง ความเสี่ยง ของการสูญเสียที่เกิดขึ้นจาก การตัดสินใจทางธุรกิจที่ไม่พึงประสงค์ การตัดสินใจทางธุรกิจที่ไม่ดี หรือการไม่ตอบสนองต่อ การเปลี่ยนแปลงในอุตสาหกรรมและสภาพแวดล้อมในการดาเนินงาน ทั้งนี้ ความเสี่ยงด้าน กลยุทธ์ สาหรับผู้ประกอบธุรกิ จ บริการเกี่ยวกับ ระบบ การ พิสูจน์และยืนยัน ตัว ตนทางดิจิทัล มีความคล้ายคลึงกับความเสี่ยงขององค์กรทั่วไป โดยมีปัจจัยที่ต้องคานึงถึง เช่น นโยบาย แผ น กลยุทธ์ และการจัดสรรงบประมาณ อิทธิพลในการตัดสินใจเชิงกลยุทธ์ การบริหาร ความเสี่ยงในระดับองค์กร 3 . 2 ความเสี่ยงด้านการปฏิบัติ การ ( o perational r isk ) หมายถึง ความเสี่ยง ที่จะเกิดความเสียหาย ต่าง ๆ อั น เนื่ อง มาจาก ความไม่เพียงพอหรือความบกพร่องของกระบวนการควบคุมภายใน บุคลากร และระบบงาน หรือจากเหตุการณ์ภายนอก เช่น ความ เสี่ ยงจากการฉ้อโกงโดยบุคคล ภายใน และ บุคคลภายนอก ความเสี่ยง จากการขัดข้องหรือหยุดชะงักของระบบงาน ความเสี่ยง จาก แนวปฏิบัติเกี่ยวกับ ผู้ใช้บริการ การให้บริการและดำเนินธุรกิจ 3 . 3 ความเสี่ยงด้าน เทคโนโลยีสารสนเทศ ( i nformation t echnology r isk ) หมายถึง ความเสี่ยง ของผลลัพธ์ที่ไม่พึงประสงค์ ความเสียหาย การสูญเสีย การละเมิด ความล้มเหลวหรือ

2 - การหยุดชะงักใด ๆ ที่อาจเกิดขึ้นจากการใช้หรือการพึ่งพาฮาร์ดแวร์คอมพิวเตอร์ ซอฟต์แวร์ อุปกรณ์ ระบบ แอปพลิเคชัน และเครือข่าย ความเสี่ยงนี้มักเกี่ยวข้องกับข้อบกพร่องของระบบ ข้อผิดพลาดในการประมวลผล ข้อบกพร่องของซอฟต์แวร์ ข้อผิดพลาดในการทำงาน ความล้มเหลวของฮาร์ดแวร์ ความล้มเหลวของระบบ ความไม่เพียงพอของความจุ ช่องโหว่ขอ ง เครือข่าย จุดอ่อนในการควบคุม ข้อบกพร่องด้านความปลอดภัย การโจมตีที่เป็นอันตราย เหตุการณ์การ เจาะระบบ โดยทั่วไปความเสี่ยงด้านเทคโนโลยี สารสนเทศ สาหรับ การ ประกอบ ธุรกิจบริการเกี่ยวกับ ระบบ การพิสูจน์และยืนยัน ตัว ต นทางดิจิทัล เช่น ภัยคุกคามทางไซเบอร์ การรั่วไหล ของข้อมูล รวมถึงข้อมูลอ่อนไหวซึ่งมักเป็นองค์ประกอบสาคัญใน การประกอบ ธุรกิจ บริการ เกี่ยวกับระบบการ พิสูจน์และยืนยัน ตัว ตนทางดิจิทัล 3 . 4 ความเสี่ยงด้านชื่อเสียงขององค์กร ( r eputation r isk ) หมายถึง ความเสี่ยงที่ทาให้ การ ประกอบ ธุรกิจบริการเกี่ยวกับ ระบบการ พิสูจน์และยืนยัน ตัว ตนทางดิจิทัล ได้รับผลกระทบทางลบจาก สังคม ส่งผลให้สูญเสียชื่อเสียงและความน่าเชื่อถือในการ ให้บริการ เช่น การเปิดเผยข้อมูล ส่วนบุคคลโดยไม่ได้ตั้งใจ 3 . 5 ความเสี่ยงด้านการปฏิบัติตามหลักเกณฑ์ ( c ompliance r isk ) หมาย ถึง ความเสี่ยงที่เกิดจาก การที่ ผู้รับใบอนุญาต ไม่สามารถปฏิบัติงาน สอดคล้อง ตามที่กฎหมาย กฎระเบียบหรือมาตรฐาน ที่เกี่ยวข้องกับการ ประกอบธุรกิจ บริการ เกี่ยวกับ ระบบการพิสูจน์และยืนยัน ตัว ตนทางดิจิทัล กาหนด ทั้งนี้รวมถึงมาตรฐานสากลที่กฎหมายหรือกฎระเบียบอ้างถึงด้วย เช่น การ ไม่ ปฏิบัติตาม กฎหมาย ว่าด้วยการควบคุมดูแลธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทาง ดิจิทัล ที่ต้องได้รับใบอนุญาต ข้อ 4 ผู้รับใบอนุญาตต้อง ดาเนินการให้สอดคล้อง ตามแนวทางการบริหารจัดการความเสี่ยง สำหรับธุรกิจบริการ เกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล ของสำนักงาน พร้อมจัดส่งผลการประเมินต่อ สานักงานตามรูปแบบ และระยะเวลา ที่ สานักงาน กาหนด โดย ผู้บริหารระดับสูง คณะกรรมการ หรือ บุคลากรที่ได้รับมอบหมาย รับรองผลการประเมินตนเองก่อนนำส่งต่อสำนักงาน ข้อ 5 ผู้รั บใบอนุญาตต้องจัดให้มีกา รทบทวน นโยบายและมาตรการบริหารจัดการความเสี่ยง อย่างน้อยปีละ หนึ่งครั้ง และ เมื่อมีการเปลี่ยนแปลงอย่างมีนัยสาคัญที่อาจส่งผลกระทบต่อ การ ประกอบธุรกิจ บริการ เกี่ยวกับ ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล