法律人 LawPlayer logo

資料由法律人 LawPlayer整理提供·กฎหมายไทย / LawPlayer จากสำนักงานคณะกรรมการกฤษฎีกา

adminRule

ประกาศคณะกรรมการพัฒนารัฐบาลดิจิทัล เรื่อง มาตรฐานและหลักเกณฑ์การจัดทำกระบวนการและการดำเนินงานทางดิจิทัลว่าด้วยเรื่องการใช้ดิจิทัลไอดีสำหรับบริการภาครัฐสำหรับบุคคลธรรมดาที่มีสัญชาติไทย

เลขที่
วันที่ประกาศ
จำนวนมาตรา
7
มาตรา อารัมภบท

ประกาศคณะกรรมการพัฒนารัฐบาลดิจิทัล

เรื่อง มาตรฐานและหลักเกณฑ์การจัดทํากระบวนการและการดําเนินงานทางดิจิทัล

ว่าด้วยเรื่องการใช้ดิจิทัลไอดีสําหรับบริการภาครัฐ สําหรับบุคคลธรรมดาที่มีสัญชาติไทย

ตามพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 มีวัตถุประสงค์เพื่อให้การบริหารงานภาครัฐและการจัดทําบริการสาธารณะเป็นไปด้วยความสะดวกรวดเร็ว มีประสิทธิภาพ และตอบสนองต่อการให้บริการและการอํานวยความสะดวกแก่ประชาชนให้หน่วยงานของรัฐจัดให้มีการบริหารงานและการจัดทําบริการสาธารณะในรูปแบบและช่องทางดิจิทัลโดยมีการบริหารจัดการและการบูรณาการข้อมูลภาครัฐและการทํางานให้มีความสอดคล้องกันและเชื่อมโยงเข้าด้วยกันอย่างมั่นคงปลอดภัยและมีธรรมาภิบาล ประกอบกับให้เป็นตามพระราชบัญญัติว่าด้วยธุรกรรมอิเล็กทรอนิกส์ พ.ศ. 2544 และที่แก้ไขเพิ่มเติม เพื่อส่งเสริมการทาธุรกรรมทางอิเล็กทรอนิกส์ให้มีความน่าเชื่อถือ และมีผลทางกฎหมายเช่นเดียวกับการทาธุรกรรมโดยวิธีการทั่วไปที่เคยปฏิบัติ รวมทั้งให้หน่วยงานต่าง ๆ เกิดการพัฒนาทางเทคโนโลยีและส่งเสริมการใช้ธุรกรรมอิเล็กทรอนิกส์ให้สอดคล้องตามมาตรฐานที่กําหนด

เพื่อให้การบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัลเป็นไปตามวัตถุประสงค์ดังกล่าวข้างต้น โดยที่พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 มาตรา 12 (2) กําหนดให้หน่วยงานของรัฐจัดทํากระบวนการหรือการดําเนินงานทางดิจิทัลเพื่อการบริหารราชการแผ่นดินและการให้บริการประชาชน กระบวนการหรือการดําเนินงานทางดิจิทัลนั้นต้องทํางานร่วมกันได้ตามมาตรฐาน ข้อกําหนด และหลักเกณฑ์ที่คณะกรรมการพัฒนารัฐบาลดิจิทัลกําหนดเพื่อให้มีความสอดคล้องและเชื่อมโยงระหว่างหน่วยงานของรัฐแห่งอื่นได้ ประกอบมาตรา 12 (4) จัดให้มีระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล และตามพระราชบัญญัติว่าด้วยธุรกรรมอิเล็กทรอนิกส์ (ฉบับที่ 4) พ.ศ. 2562 หมวด 3/1 ระบบการพิสูจน์และการยืนยันตัวตนทางดิจิทัล เพื่อกํากับดูแลการพิสูจน์และยืนยันตัวตนทางดิจิทัลให้มีความน่าเชื่อถือและปลอดภัย จึงจําเป็นต้องกําหนดมาตรฐานและหลักเกณฑ์การจัดทํากระบวนการและการดําเนินงานทางดิจิทัลว่าด้วยเรื่องการใช้ดิจิทัลไอดีสําหรับบริการภาครัฐ สําหรับบุคคลธรรมดาที่มีสัญชาติไทย

อาศัยอํานาจตามความในมาตรา 4 และมาตรา 7 (3) (9) มาตรา 12 (2) (4) แห่งพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 คณะกรรมการพัฒนารัฐบาลดิจิทัล ในคราวการประชุมครั้งที่ 2/2564 วันที่ 13 เดือนพฤษภาคม พ.ศ. 2564 จึงมีมติให้ออกประกาศไว้ ดังต่อไปนี้

มาตรา ข้อ ๑

ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศคณะกรรมการพัฒนารัฐบาลดิจิทัล เรื่อง มาตรฐานและหลักเกณฑ์การจัดทํากระบวนการและการดําเนินงานทางดิจิทัลว่าด้วยเรื่องการใช้ดิจิทัลไอดีสําหรับบริการภาครัฐ สําหรับบุคคลธรรมดาที่มีสัญชาติไทย”

มาตรา ข้อ ๒

ข้อ ๒ ในประกาศนี้

“บริการภาครัฐ” หมายความว่า การดําเนินการอย่างหนึ่งอย่างใดที่หน่วยงานของรัฐจัดทําหรือจัดให้มีขึ้นหรือที่มอบอํานาจให้เอกชนดําเนินการแทนเพื่ออํานวยความสะดวกหรือตอบสนองความต้องการของประชาชน

“ไอเดนทิตี” (identity หรือ ID) หมายความว่า คุณลักษณะ หรือชุดของคุณลักษณะที่ใช้ระบุตัวบุคคลในบริบทที่กําหนด

“ดิจิทัลไอดี” (digital identity หรือ digital ID) หมายความว่า คุณลักษณะ หรือชุดของคุณลักษณะที่ถูกรวบรวมและบันทึกในรูปแบบดิจิทัล ซึ่งสามารถใช้ระบุตัวบุคคลในบริบทที่กําหนดและสามารถใช้ทาธุรกรรมอิเล็กทรอนิกส์

“ผู้พิสูจน์และยืนยันตัวตน” (identity provider) หมายความว่า บุคคลหรือหน่วยงานที่น่าเชื่อถือซึ่งทําหน้าที่

(1) รับลงทะเบียนและพิสูจน์ตัวตน และ

(2) บริหารจัดการสิ่งที่ใช้รับรองตัวตน ซึ่งเชื่อมโยงไอเดนทิตีเข้ากับสิ่งที่ใช้ยืนยันตัวตนของผู้ใช้บริการ

โดยผู้พิสูจน์และยืนยันตัวตนอาจบริหารจัดการสิ่งที่ใช้รับรองตัวตนเพื่อใช้ภายในองค์กรหรือใช้ภายนอกองค์กรก็ได้

“ผู้ให้บริการภาครัฐ” (relying party) หมายความว่า หน่วยงานของรัฐที่ให้บริการภาครัฐหรืออนุญาตให้เข้าถึงข้อมูลหรือระบบบริการภาครัฐ โดยอาศัยสิ่งที่ใช้ยืนยันตัวตนและผลการยืนยันตัวตนหรือสิ่งที่ใช้รับรองตัวตนจากผู้พิสูจน์และยืนยันตัวตน

“แหล่งให้ข้อมูลที่น่าเชื่อถือ” (authoritative source) หมายความว่า หน่วยงานที่มีความน่าเชื่อถือและสามารถเข้าถึงหรือมีข้อมูลที่ถูกต้อง ซึ่งทําหน้าที่

(1) ตรวจสอบข้อมูลหรือสถานะของหลักฐานแสดงตนของผู้ใช้บริการตามการร้องขอจากผู้พิสูจน์และยืนยันตัวตน หรือ

(2) อนุญาตให้ผู้ให้บริการภาครัฐเข้าถึงข้อมูลที่น่าเชื่อถือหรือข้อมูลส่วนบุคคลซึ่งได้รับความยินยอมจากผู้ใช้บริการ

“ผู้สมัครใช้บริการ” (applicant) หมายความว่า บุคคลที่สมัครใช้บริการพิสูจน์และยืนยันตัวตนกับผู้พิสูจน์และยืนยันตัวตน

“ผู้ใช้บริการ” (subscriber) หมายความว่า ผู้สมัครใช้บริการที่ผ่านการลงทะเบียนและพิสูจน์ตัวตนกับผู้พิสูจน์และยืนยันตัวตน และได้รับสิ่งที่ใช้ยืนยันตัวตนสําหรับใช้ยืนยันตัวตนกับผู้พิสูจน์และยืนยันตัวตน

“การลงทะเบียน” (enrolment) หมายความว่า กระบวนการที่ผู้สมัครใช้บริการลงทะเบียนเป็นผู้ใช้บริการของผู้พิสูจน์และยืนยันตัวตน

“การพิสูจน์ตัวตน” (identity proofing) หมายความว่า กระบวนการที่ผู้พิสูจน์และยืนยันตัวตนรวบรวมข้อมูลตรวจสอบหลักฐานแสดงตน และตรวจสอบตัวตนของผู้สมัครใช้บริการ

“การยืนยันตัวตน” (authentication) หมายความว่า กระบวนการที่ผู้ใช้บริการยืนยันตัวตนกับผู้พิสูจน์และยืนยันตัวตนว่าเป็นเจ้าของไอเดนทิตีที่กล่าวอ้างด้วยการใช้สิ่งที่ใช้ยืนยันตัวตน

“สิ่งที่ใช้ยืนยันตัวตน” (authenticator) หมายความว่า สิ่งที่ผู้ใช้บริการครอบครองเพื่อใช้ในการยืนยันตัวตนโดยสิ่งที่ใช้ยืนยันตัวตนจะมีปัจจัยของการยืนยันตัวตนอย่างน้อยหนึ่งปัจจัย

“สิ่งที่ใช้รับรองตัวตน” (credential) หมายความว่า เอกสาร วัตถุ หรือกลุ่มข้อมูลที่เชื่อมโยงไอเดนทิตีเข้ากับสิ่งที่ใช้ยืนยันตัวตน

“คุณลักษณะ” (attribute) หมายความว่า ลักษณะหรือคุณสมบัติที่ใช้ระบุตัวบุคคล

บททั่วไป

มาตรา ข้อ ๓

ข้อ ๓ เพื่อให้การพิสูจน์และยืนยันตัวตนทางดิจิทัล มีความน่าเชื่อถือ พร้อมใช้ ตรวจสอบได้และเป็นไปตามที่กฎหมายกําหนด โดยพิจารณาถึงการคุ้มครองข้อมูลส่วนบุคคลเป็นสําคัญ ให้ผู้พิสูจน์และยืนยันตัวตน ผู้ให้บริการภาครัฐ และแหล่งให้ข้อมูลที่น่าเชื่อถือ ดําเนินการ ดังต่อไปนี้

(1) จัดให้มีมาตรการหรือระบบรักษาความมั่นคงปลอดภัยให้เป็นไปตามกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยสารสนเทศ

(2) จัดให้มีข้อตกลงในการดําเนินการและปฏิบัติตามข้อตกลงนั้น

(3) ให้ความสําคัญและบริหารความเสี่ยงให้เหมาะสมกับระดับความเสี่ยงของบริการภาครัฐโดยพิจารณาถึงผลกระทบที่อาจเกิดขึ้น เพื่อกําหนดวิธีการบรรเทาความเสียหายที่อาจเกิดขึ้นผู้พิสูจน์และยืนยันตัวตน ผู้ให้บริการภาครัฐ และแหล่งให้ข้อมูลที่น่าเชื่อถือที่เป็นหน่วยงานของรัฐ ให้จัดทําธรรมาภิบาลข้อมูลภาครัฐและดําเนินการให้เป็นไปตามธรรมาภิบาลข้อมูลภาครัฐที่เกี่ยวข้องกับกระบวนการพิสูจน์และยืนยันตัวตนทางดิจิทัลสําหรับบริการภาครัฐด้วย

การพิสูจน์และยืนยันตัวตนทางดิจิทัล

มาตรา ข้อ ๔

ข้อ ๔ ให้ผู้พิสูจน์และยืนยันตัวตนดําเนินการ ดังต่อไปนี้

(1) กําหนดรูปแบบของการพิสูจน์และยืนยันตัวตนทางดิจิทัล และจัดสรรบุคลากร ระบบเทคโนโลยีที่จําเป็น ให้สอดคล้องกับระดับความน่าเชื่อถือ

(2) กําหนดนโยบายและกระบวนการปฏิบัติงานภายในที่เกี่ยวข้องกับการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ชัดเจนเป็นลายลักษณ์อักษร โดยต้องทบทวน สื่อสาร ทําความเข้าใจ สร้างความตระหนักให้กับเจ้าหน้าที่ที่ได้รับการฝึกอบรมหรือบุคลากรที่เกี่ยวข้องให้เห็นถึงความสําคัญ และปฏิบัติตามนโยบายและกระบวนการปฏิบัติงานภายในหรือหน่วยงานกํากับดูแลที่เกี่ยวข้อง รวมถึงต้องสื่อสารทําความเข้าใจและให้ความรู้กับผู้ใช้บริการด้วย

(3) กรณีที่ผู้พิสูจน์และยืนยันตัวตนเป็นหน่วยงานของรัฐให้ดําเนินการตามข้อกําหนดการพิสูจน์และยืนยันตัวตนทางดิจิทัลตามมาตรฐานและหลักเกณฑ์นี้ หากผู้พิสูจน์และยืนยันตัวตนเป็นหน่วยงานของเอกชนให้ดําเนินการตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์

(4) จัดให้มีการขอความยินยอมของผู้สมัครใช้บริการ โดยต้องแจ้งวัตถุประสงค์ของการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลด้วย

(5) จัดให้มีการแสดงตนและรวบรวมข้อมูลเพื่อระบุตัวตนที่จําเป็นจากผู้สมัครใช้บริการเพื่อแยกแยะว่าไอเดนทิตีของผู้สมัครใช้บริการมีเพียงหนึ่งเดียว และมีความเฉพาะเจาะจงภายในบริบทของผู้ใช้บริการทั้งหมดที่ผู้พิสูจน์และยืนยันตัวตนดูแล

(6) ตรวจสอบหลักฐานแสดงตนของผู้สมัครใช้บริการ เพื่อตรวจสอบความแท้จริงสถานะการใช้งาน และความถูกต้องของหลักฐานแสดงตน และตรวจสอบข้อมูลในหลักฐานแสดงตนว่าเป็นของบุคคลที่มีตัวตนอยู่จริง

(7) ตรวจสอบตัวบุคคลของผู้สมัครใช้บริการที่แสดงหลักฐานแสดงตนว่าเป็นเจ้าของไอเดนทิตีที่กล่าวอ้างจริง โดยอาจตรวจสอบช่องทางติดต่อว่าเป็นเจ้าของช่องทางที่ใช้ในการติดต่อ และสามารถติดต่อหรือส่งข้อมูลไปยังผู้สมัครใช้บริการผ่านช่องทางดังกล่าวได้จริง

(8) เก็บรักษาข้อมูลและหลักฐานแสดงตน รวมถึงภาพและเสียง (ถ้ามี) และการบันทึกเหตุการณ์และรายละเอียดการทาธุรกรรมเกี่ยวกับการพิสูจน์และยืนยันตัวตนทางดิจิทัล โดยระยะเวลาการเก็บรักษาและการบันทึกดังกล่าวให้เป็นไปตามกฎหมาย ข้อบังคับ หรือแนวนโยบายที่เกี่ยวข้อง

(9) ดําเนินการตามหลักเกณฑ์ วิธีการ และเงื่อนไขที่กําหนดตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์

(10) ประกาศข้อกําหนดให้ผู้ที่เกี่ยวข้องในกระบวนการพิสูจน์และยืนยันตัวตนทางดิจิทัลทราบโดยทั่วกัน

มาตรา ข้อ ๕

ข้อ ๕ ให้ผู้ให้บริการภาครัฐดําเนินการ ดังต่อไปนี้

(1) กําหนดความต้องการและระบบของหน่วยงานที่ต้องการใช้ดิจิทัลไอดี

(2) ประเมินความเสี่ยงเพื่อพิจารณาถึงผลกระทบ ระดับความรุนแรง และความสูญเสียที่อาจเกิดขึ้นได้หากการพิสูจน์หรือยืนยันตัวตนผิดพลาด

(3) นาผลการจัดระดับความเสี่ยงเทียบกับระดับความน่าเชื่อถือทั้งระดับความน่าเชื่อถือของไอเดนทิตีและระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตน

(4) เลือกรูปแบบ และวิธีการลงทะเบียน การพิสูจน์ตัวตนและยืนยันตัวตนทางดิจิทัล รวมถึงกําหนดเงื่อนไขให้สอดคล้องตามข้อกําหนดในแต่ละระดับความน่าเชื่อถือตามกลุ่มให้บริการภาครัฐและแจ้งให้ทราบล่วงหน้า

มาตรา ข้อ ๖

ข้อ ๖ ให้แหล่งให้ข้อมูลที่น่าเชื่อถือตรวจสอบข้อมูลหรือสถานะของหลักฐานแสดงตนของผู้สมัครใช้บริการตามการร้องขอจากผู้พิสูจน์และยืนยันตัวตน และส่งผลการตรวจสอบข้อมูลกลับไปยังผู้พิสูจน์และยืนยันตัวตน

บทเฉพาะกาล

มาตรา ข้อ ๗

ข้อ ๗ ในระยะเริ่มแรกมิให้นามาตรฐานและหลักเกณฑ์ตามประกาศนี้มาใช้บังคับกับผู้พิสูจน์และยืนยันตัวตน ผู้ให้บริการภาครัฐ และแหล่งให้ข้อมูลที่น่าเชื่อถือ จนกว่าจะพ้นกําหนดสองปีนับแต่วันที่ประกาศนี้มีผลใช้บังคับ

ผู้มีอํานาจลงนาม - ประกาศ ณ วันที่ 16 กันยายน พ.ศ. 2564

ดอน ปรมัตถ์วินัย

รองนายกรัฐมนตรี

ประธานกรรมการพัฒนารัฐบาลดิจิทัล

7 มาตรา

อ้างอิงกฎหมายนี้

ประกาศคณะกรรมการพัฒนารัฐบาลดิจิทัล เรื่อง มาตรฐานและหลักเกณฑ์การจัดทำกระบวนการและการดำเนินงานทางดิจิทัลว่าด้วยเรื่องการใช้ดิจิทัลไอดีสำหรับบริการภาครัฐสำหรับบุคคลธรรมดาที่มีสัญชาติไทย (Office of the Council of State). Retrieved via LawPlayer, https://lawplayer.com/th/act/pythainlp_3873950426cba33d

ที่มา: ระบบกลางกฎหมาย law.go.th (สำนักงานคณะกรรมการกฤษฎีกา).

Thai official texts excluded from copyright (Copyright Act B.E. 2537 s.7);開放資料層 CC BY 署名

本頁資料來源:สำนักงานคณะกรรมการกฤษฎีกา (OCS)·整理提供:法律人 LawPlayer· lawplayer.com