เกริ่นนำ
ลายมือชื่อดิจิทัลและลายมือชื่ออิเล็กทรอนิกส์ เรื่องเดียวกันมั้ย? ต้องเซ็นยังไง? (www.etda.or.th)
ลายมือชื่อดิจิทัลและลายมือชื่ออิเล็กทรอนิกส์ เรื่องเดียวกันมั้ย? ต้องเซ็นยังไง? - สพธอ. (etda.or.th)
30 เม.ย 64
การลงลายมือชื่อทางอิเล็กทรอนิกส์มีผลทางกฎหมายมานานแล้ว ผู้ประกอบการสามารถออกใบกำกับภาษี แบบไม่ต้องใช้กระดาษเลย ที่เรียกว่า e-Tax Invoice โดยใช้ลายมือชื่อดิจิทัล การพิมพ์ชื่อในอีเมล ไม่ว่าจะเป็นชื่อและนามสกุล ชื่อ ชื่อย่อ หรือชื่อเล่น ต่อท้ายข้อความของอีเมล ก็ถือเป็นการลงลายมือชื่ออิเล็กทรอนิกส์ ไปจนถึงการพิมพ์ข้อความสั่งซื้อของทางแช็ต ที่เรามีการล็อกอินผ่าน username และ password ที่เป็นของเรา นั่นแปลว่า มีการลงลายมือชื่อของเราผ่านทางอิเล็กทรอนิกส์ ว่าเราตกลงซื้อสินค้าแล้ว
2 คำสำคัญข้างต้น คือ "ลายมือชื่ออิเล็กทรอนิกส์" และ "ลายมือชื่อดิจิทัล" เราจะรู้ได้อย่างไร ว่ามันเหมือนกันไหม ถ้าไม่เหมือนกันแล้ว มันต่างกันอย่างไร มาค่อย ๆ ทำความเข้าใจกัน
ลายมือชื่ออิเล็กทรอนิกส์ ตามกฎหมายธุรกรรมทางอิเล็กทรอนิกส์
เริ่มต้นที่ ลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature หรือ e-Signature) ซึ่งไม่ได้หมายถึงแค่ การเซ็นชื่อลงบนอุปกรณ์อิเล็กทรอนิกส์เท่านั้น พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ ที่ รองรับการลงลายมือชื่ออิเล็กทรอนิกส์ให้มีผลทางกฎหมาย เช่นเดียวกับการลงลายมือชื่อบนเอกสารกระดาษ ได้นิยามความหมายของ ลายมือชื่ออิเล็กทรอนิกส์ ไว้ว่าคือ
อักษร อักขระ ตัวเลข เสียงหรือสัญลักษณ์อื่นใด ที่สร้างขึ้นให้อยู่ในรูปแบบอิเล็กทรอนิกส์ซึ่งนำมาใช้ประกอบกับข้อมูลอิเล็กทรอนิกส์ เพื่อแสดงความสัมพันธ์ระหว่างบุคคลกับข้อมูลอิเล็กทรอนิกส์ โดยมีวัตถุประสงค์เพื่อระบุตัวบุคคล ผู้เป็นเจ้าของลายมือชื่ออิเล็กทรอนิกส์ที่เกี่ยวข้องกับข้อมูลอิเล็กทรอนิกส์นั้น และเพื่อแสดงว่า บุคคลดังกล่าวยอมรับข้อความในข้อมูลอิเล็กทรอนิกส์นั้น
ดังนั้น ในการลงลายมือชื่ออิเล็กทรอนิสก์ ที่กฎหมายรองรับ อย่างน้อยต้อง
(1) ระบุเจ้าของลายมือชื่อได้ว่าเป็นของใคร หมายถึง สิ่งที่นิยามไว้ ไม่ว่าจะเป็น ตัวอักษร ตัวหนังสือ ตัวเลข หรือ สัญลักษณ์อื่นใด ที่สร้างขึ้นให้อยู่ในรูปแบบอิเล็กทรอนิกส์ ที่สามารถระบุตัวเราได้
(2) ระบุเจตนาของเจ้าของลายมือชื่อต่อข้อความที่ลงนาม เช่นเดียวกับกระดาษ เราคงไม่เซ็นชื่อไว้บนกระดาษเปล่า ๆ โดยไม่รู้ว่าเซ็นเพื่ออะไร ดังนั้นการลงลายมือชื่ออิเล็กทรอนิกส์ ก็ต้องใช้เพื่อประกอบกับข้อความในข้อมูลอิเล็กทรอนิกส์ด้วยเพื่อแสดงว่า เราลายมือชื่อด้วยเจตนาอะไร
(3) ใช้วิธีการที่เชื่อถือได้ โดยจะดูจากวิธีการว่ามั่นคงปลอดภัยหรือไม่ มีลักษณะและขนาดเป็นอย่างไร ระบบการสื่อสารรัดกุมแค่ไหน ซึ่งกฎหมายต้องเขียนกว้าง ๆ เพื่อให้รองรับนวัตกรรมที่อาจจะมีการคิดค้นขึ้นมาอีกในอนาคต
ดังนั้นลายมือชื่ออิเล็กทรอนิกส์จึงสามารถเป็นการเซ็นชื่อบน Tablet การพิมพ์ชื่อตอนท้ายของอีเมล การกดปุ่มยอมรับข้อตกลงหรือเงื่อนไขต่าง ๆ การใช้ Username-Password หรืออื่น ๆ ได้ทั้งหมด เพราะกฎหมายไม่ได้จำกัดกรอบหรือประเภทเทคโนโลยีไว้ แต่ได้ให้คุณสมบัติในการพิจารณาเอาไว้ ถ้าครบองค์ประกอบทั้ง 3 ข้อก็ถือเป็นลายมือชื่ออิเล็กทรอนิกส์ได้ และอยู่ภายใต้มาตรา 9 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ ซึ่งจำง่าย ๆ เป็นลายมือชื่ออิเล็กทรอนิกส์แบบทั่วไป
ตัวอย่างการแสดงเจตนาของเจ้าของลายมือชื่อ เช่น เมื่อเราใช้บัญชีออนไลน์ของเรา ที่มีการกรอกข้อมูล รวมถึงชื่อ และสร้าง Password เพื่อเข้าใช้งาน นั่นคือสิ่งที่ใช้ระบุตัวเรา และเรานำบัญชีนี้ไปทำธุรกรรมบางอย่างทางออนไลน์ เช่น การทำสัญญาที่มีคำถามว่า "คุณตกลงทำสัญญาตามข้อความข้างต้น หรือไม่" คำถามนี้ จะช่วยยืนยันว่า ได้ลงนามทำสัญญาในฐานะคู่สัญญา เมื่อเรากด "ยอมรับ" หรือ YES
การกด "ยอมรับ" หรือ YES เป็นการเจตนาในการยอมรับการดำเนินการต่อตามที่ข้อความถามมา ควบคู่กับ ระบบที่ต้องมีวิธีการที่เชื่อถือได้ ซึ่งเป็นหน้าที่ของคนออกแบบระบบที่ต้องเก็บข้อมูลได้อย่างครบถ้วน
นอกจากลายมือชื่ออิเล็กทรอนิกส์ ตามมาตรา 9 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ ยังมี มาตรา 26 ซึ่งให้ถือว่า ลายมือชื่อที่มีลักษณะดังต่อไปนี้ให้ถือว่าเป็นลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้
(1) ข้อมูลสำหรับใช้สร้างลายมือชื่ออิเล็กทรอนิกส์นั้น เชื่อมโยงไปยังเจ้าของลายมือชื่อได้
(2) ข้อมูลที่ใช้สร้างลายมือชื่อ อยู่ภายใต้การควบคุมของเจ้าของลายมือชื่อ
(3) สามารถตรวจพบการเปลี่ยนแปลงใด ๆ ที่เกิดแก่ลายมือชื่อ/ข้อความ นับแต่เวลาที่ได้สร้างขึ้น
แล้วอะไรบ้าง คือ ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้
ลายมือชื่อดิจิทัล ตัวอย่างหนึ่งของลายมือชื่ออิเล็กทรอนิกส์ตามมาตรา 26
ลายมือชื่อดิจิทัล (Digital Signature) คือ ลายมือชื่อที่ได้จากกระบวนการเข้ารหัสลับ (Encrypt) ซึ่งช่วยให้สามารถยืนยันตัวเจ้าของลายมือชื่อและตรวจพบการเปลี่ยนแปลงของข้อความและลายมือชื่อได้ รวมถึงการทำให้เจ้าของลายมือชื่อไม่สามารถปฏิเสธความรับผิดจากข้อความที่ตนเองได้แสดงเจตนาในการลงลายมือชื่อได้
ดังนั้น ลายมือชื่อดิจิทัล จึงเป็นตัวอย่างหนึ่งของลายมือชื่ออิเล็กทรอนิกส์ตามมาตรา 26 หรือลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้
หากจะให้เข้าใจง่าย ๆ ก็คือ ลายมือชื่อดิจิทัล คือตัวอย่างหนึ่งของลายมือชื่ออิเล็กทรอนิกส์ ที่เอาการเข้ารหัสหรือเทคโนโลยีมาช่วยตรวจสอบการเปลี่ยนแปลงได้นั่นเอง การใช้ลายมือชื่อดิจิทัล จึงเหมาะสำหรับเอกสารประเภทที่กฎหมายต้องการความรัดกุมและมั่นคงปลอดภัยเพิ่มขึ้น เพื่อคุ้มครองเจ้าของลายมือชื่อและคนที่ต้องเอาลายมือชื่อนี้ไปใช้ต่อ ว่าสามารถเชื่อถือได้
มาตรฐาน e-Signature
ในการเพิ่มความเข้าใจเรื่องการใช้ลายมือชื่ออิเล็กทรอนิกส์ ETDA ได้จัดทำ ข้อเสนอแนะมาตรฐานฯ ว่าด้วยแนวทางการลงลายมือชื่ออิเล็กทรอนิกส์ฯ โดยแบ่งออกเป็น 3 ประเภท คือ
(1) ลายมือชื่ออิเล็กทรอนิกส์ ประเภทที่ 1 ถือเป็นแบบทั่วไป (ตามมาตรา 9 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ) ให้ถือว่าลงลายมือชื่อแล้ว ถ้า
- สามารถระบุเจ้าของลายมือชื่อ
- แสดงเจตนาของเจ้าของลายมือชื่อ
-ใช้วิธีการที่เชื่อถือได้ที่
1) ใช้วิธีการที่มั่นคงและรัดกุม
2) เป็นลักษณะ ประเภท หรือขนาดของธุรกรรมที่ทำ ฯลฯ
3) ความรัดกุมของระบบติดต่อสื่อสาร หรือใช้วิธีการอื่นใดหรือเอามาประกอบกับพยานหลักฐานเพื่อระบุเจ้าของลายมือชื่อ และแสดงเจตนาของเจ้าของลายมือชื่อ
(2) ลายมือชื่ออิเล็กทรอนิกส์ ประเภทที่ 2 ที่ให้บริการกันในกลุ่ม (ตามมาตรา 26 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ) ให้ถือว่าเป็นลายมือชื่อที่เชื่อถือได้ ตัวอย่างหนึ่งของลายมือชื่อประเภทนี้ คือ ลายมือชื่อดิจิทัล ที่ให้บริการกันในกลุ่ม นั่นเอง โดย
- เข้ารหัสลับ (Encrypt) ที่สามารถตรวจสอบการเปลี่ยนแปลงของลายมือชื่อและข้อความอิเล็กทรอนิกส์ได้
- ขณะลงนาม เจ้าของข้อมูลเป็นผู้ควบคุมการลงนามของตัวเอง โดยไม่โดนคนอื่นมาสวมรอยหรือบังคับให้ทำ
(3) ลายมือชื่ออิเล็กทรอนิกส์ ประเภทที่ 3 ที่ให้บริการโดยผู้ให้บริการออกใบรับรอง (ตามมาตรา 26 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ) คือการใช้ลายมือชื่อ ประเภทที่ 2 และอาศัยใบรับรองที่ออกโดยผู้ให้บริการออกใบรับรอง เพื่อสนับสนุนลายมือชื่ออิเล็กทรอนิกส ตามที่กำหนดในมาตรา 28 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ) ดังนั้นจึงสามารถตรวจสอบความเปลี่ยนแปลงนี้ได้โดยมีผู้ให้บริการเป็นตัวกลาง ตัวอย่างหนึ่งของลายมือชื่อประเภทนี้ คือ ลายมือชื่อดิจิทัล ที่ให้บริการโดยผู้ให้บริการออกใบรับรอง นั่นเอง โดย
- เข้ารหัสลับ (Encrypt) ที่สามารถตรวจสอบการเปลี่ยนแปลงของลายมือชื่อและข้อความอิเล็กทรอนิกส์ได้
- ขณะลงนาม เจ้าของข้อมูลเป็นผู้ควบคุมการลงนามของตัวเอง โดยไม่โดนคนอื่นมาสวมรอยหรือบังคับให้ทำ
- มีตัวกลางเป็นผู้ให้บริการออกใบรับรอง
ความแตกต่างของลายมือชื่ออิเล็กทรอนิกส์ ประเภทที่ 2 และ 3 คือ ประเภทที่ 2 คนในกลุ่มเลือกวิธีการลงลายมือชื่อมาพิจารณาว่า มีคุณสมบัติครบตามกฎหมายที่กำหนดไหม ถ้ามีคุณสมบัติครบถ้วนก็สามารถนำมาใช้กันในกลุ่มได้เลย เหมือนเวลาเราตกลงกันว่าเราจะใช้ลายมือชื่อรูปแบบนี้นะ แล้วก็ยอมรับกันใช้ภายในกลุ่ม
ส่วน ประเภทที่ 3 คือการหาคนกลางที่ได้รับการรับรองมาแล้ว มาเป็นคนช่วยดูลายมือชื่อให้ว่าการลงลายมือชื่อนี้เป็นของเจ้าของแน่ ๆ และสามารถบอกได้ด้วยว่าลงลายมือชื่อไปตอนไหน ซึ่งหากเป็นการใช้ ลายมือชื่อดิจิทัล สามารถขอรับบริการของบริษัทไทยดิจิทัล ไอดี หรือ บริษัทอินเตอร์เน็ตประเทศไทย ซึ่งได้รับการรับรองจาก ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (NATIONAL ROOT CERTIFICATION AUTHORITY OF THAILAND) หรือ NRCA
สรุปก็คือ ลายมือชื่ออิเล็กทรอนิกส์ ประเภทที่ 2 และ 3 ต่างกันที่ประเภทที่ 2 เราจะตกลงลายมือชื่อกันในกลุ่มและใช้เทคโนโลยียืนยันว่าลายมือชื่อของเราไม่มีการเปลี่ยนแปลง ส่วนประเภทที่ 3 เราจะมีคนกลางที่ได้ใบรับรองเป็นคนยืนยันตัวให้ว่าการลงชื่อของเรานั้นคือเรา มีคุณสมบัติครบถ้วน และไม่มีการเปลี่ยนแปลงที่ผิดไปจากเจตนาของเรา ซึ่งตัวอย่างหนึ่งของลายมือชื่อทั้ง 2 ประเภทนี้ คือ ลายมือชื่อดิจิทัลนั่นเอง
ETDA ประกาศมาตรฐานลายมือชื่ออิเล็กทรอนิกส์ สร้างเกณฑ์การใช้ที่เหมาะสม ลดเสี่ยงธุรกรรมออนไลน์ (www.etda.or.th)
ETDA ประกาศมาตรฐานลายมือชื่ออิเล็กทรอนิกส์ สร้างเกณฑ์การใช้ที่เหมาะสม ลดเสี่ยงธุรกรรมออนไลน์ - สพธอ.
8 มิ.ย. 63
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม มุ่งมั่นในการยกระดับความเชื่อมั่นในการธุรกรรมออนไลน์อย่างต่อเนื่อง เพื่อให้เป็นกลไกสำคัญในการขับเคลื่อนเศรษฐกิจและยกระดับคุณภาพชีวิตของประชาชนยุคดิจิทัล โดยเฉพาะช่วงวิกฤติ COVID-19 ที่ผ่านมา ได้เป็นแรงผลักดันสำคัญให้หน่วยงานต่าง ๆ ทั้งภาครัฐและภาคเอกชน ตระหนักถึงการปรับเปลี่ยนองค์กรสู่ดิจิทัล และการลงลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature หรือ e-Signature) ก็เป็นองค์ประกอบสำคัญในการพิสูจน์และยืนยันตัวตนของผู้ลงนามในเอกสารอิเล็กทรอนิกส์ที่ส่งผ่านออนไลน์
เพื่อเป็นการเสริมการบังคับใช้กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งรองรับการลงลายมือชื่ออิเล็กทรอนิกส์ให้มีผลทางกฎหมาย เช่นเดียวกับการลงลายมือชื่อบนเอกสารกระดาษ และรองรับหลักความเป็นกลางทางเทคโนโลยี (Technology Neutrality) ที่สามารถเลือกใช้เทคโนโลยีใดก็ได้ในการลงลายมือชื่ออิเล็กทรอนิกส์ ETDA ในฐานะหน่วยงานหลักในการพัฒนา ส่งเสริม และสนับสนุนการทำธุรกรรมออนไลน์ของประเทศ ได้จัดทำ “ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศและการสื่อสารที่จำเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์ ว่าด้วยแนวทางการลงลายมือชื่ออิเล็กทรอนิกส์ (ETDA Recommendation on ICT Standard for Electronic Transactions: Electronic Signature Guideline) เลขที่ ขมธอ. 23-2563” ซึ่งได้ประกาศใช้อย่างเป็นทางการเมื่อวันที่ 29 พฤษภาคม 2563 ที่ผ่านมา เพื่อเป็นแนวทางและมาตรฐานให้กับหน่วยงานภาครัฐและเอกชน ในการเลือกใช้วิธีการลงลายมือชื่ออิเล็กทรอนิกส์ให้เหมาะสมกับการทำธุรกรรมออนไลน์ โดยข้อเสนอแนะมาตรฐานนี้ได้มีการรับฟังความคิดเห็นตั้งแต่ปี 2562 ที่ผ่านมา เพื่อปรับปรุงให้ข้อเสนอแนะมาตรฐานนี้มีความสมบูรณ์ครบถ้วน
ลายมือชื่ออิเล็กทรอนิกส์ ตามนิยามของกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์และข้อเสนอแนะมาตรฐานนี้ หมายถึง อักษร อักขระ ตัวเลข เสียง หรือสัญลักษณ์อื่นใดที่สร้างขึ้นให้อยู่ในรูปแบบอิเล็กทรอนิกส์ซึ่งนำมาใช้ประกอบกับข้อมูลอิเล็กทรอนิกส์ เพื่อแสดงความสัมพันธ์ระหว่างบุคคลกับข้อมูลอิเล็กทรอนิกส์ โดยมีวัตถุประสงค์เพื่อระบุตัวบุคคลผู้เป็นเจ้าของลายมือชื่ออิเล็กทรอนิกส์ที่เกี่ยวข้องกับข้อมูลอิเล็กทรอนิกส์นั้น และเพื่อแสดงว่าบุคคลดังกล่าวยอมรับข้อความในข้อมูลอิเล็กทรอนิกส์นั้น
แนวทางการลงลายมือชื่ออิเล็กทรอนิกส์ตามข้อเสนอแนะมาตรฐานนี้ มีเนื้อหาครอบคลุม ภาพรวมของลายมือชื่ออิเล็กทรอนิกส์ ที่หัวใจสำคัญของการลงลายมือชื่อ คือ การทำให้เกิดหลักฐานที่สามารถระบุตัวเจ้าของลายมือชื่อและแสดงเจตนาของเจ้าของลายมือชื่อเกี่ยวกับข้อความที่ตนได้ลงลายมือชื่อนั้น ๆ ในการทำธุรกรรมทางออนไลน์ เช่น การอนุมัติ เห็นชอบ หรือยอมรับข้อความ การรับรองหรือยืนยันความถูกต้อง การตอบแจ้งการเข้าถึงหรือการรับข้อความ และการเป็นพยานให้กับการลงลายชื่อของผู้อื่น
นอกจากนี้ ยังระบุถึงประเภทของลายมือชื่ออิเล็กทรอนิกส์ ที่แบ่งออกเป็น 3 ประเภท ได้แก่ ลายมือชื่ออิเล็กทรอนิกส์ทั่วไป ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ และลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ซึ่งใช้ใบรับรองที่ออกโดยผู้ให้บริการออกใบรับรองหรือ CA ซึ่งลายมือชื่อแต่ละประเภทจะมีระดับความน่าเชื่อถือที่แตกต่างกัน พร้อมทั้งยังได้อธิบายถึงองค์ประกอบที่เป็นปัจจัยสำคัญของลายมือชื่ออิเล็กทรอนิกส์ทุกประเภท ได้แก่ องค์ประกอบในเรื่องการพิสูจน์และยืนยันตัวตน เจตนาในการลงลายมือชื่อ และการรักษาความครบถ้วนของข้อมูล ทั้งยังแนะนำการเลือกใช้ลายมือชื่อในแต่ละประเภทให้มีความน่าเชื่อถือ เหมาะสม รวมถึงข้อคำนึงในการวิเคราะห์และบรรเทาความเสี่ยงจากภัยคุกคามหรือเหตุการณ์ที่ลายมือชื่อจะไม่เป็นที่ยอมรับ
ทั้งนี้ ผู้ที่สนใจสามารถอ่านและดาวน์โหลดรายละเอียดเกี่ยวกับ ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศและการสื่อสารที่จำเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์ ว่าด้วยแนวทางการลงลายมือชื่ออิเล็กทรอนิกส์ (ETDA Recommendation on ICT Standard for Electronic Transactions: Electronic Signature Guideline) เลขที่ ขมธอ. 23-2563 ได้ที่ Link: https://standard.etda.or.th/?p=11755
อย่างไรก็ตาม ข้อเสนอแนะมาตรฐานฉบับนี้ เป็นคำแนะนำในการปฏิบัติเพื่อให้สอดคล้องตามบทบัญญัติแห่งกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ ที่อาจยังมีข้อกำหนดเกี่ยวกับการลงลายมือชื่ออิเล็กทรอนิกส์ตามกฎหมายอื่น ๆ ที่กำหนดไว้เป็นการเฉพาะ ดังนั้น ผู้ใช้งานลายมือชื่ออิเล็กทรอนิกส์ควรศึกษากฎหมายอื่น ๆ ที่เกี่ยวข้องประกอบกันไปด้วย