การสร้างมาตรฐานแก่ผู้ให้บริการออกใบรับรองลายมือชื่ออิเล็กทรอนิกส์โดยอาศัยกลไกทางกฎหมาย

Abstract

จวบจนปัจจุบันการประยุกต์ใช้เทคโนโลยีสารสนเทศของสังคมโลกกลายเป็นยุคของการสื่อสารแบบดิจิทัลและการทำธุรกรรมทางอิเล็กทรอนิกส์อย่างเต็มตัวดังนั้นการสร้างความมั่นใจแก่ผู้ใช้งานจึงนับเป็นสิ่งจำเป็นสำหรับการผลักดันและส่งเสริมการทำธุรกรรมทางอิเล็กทรอนิกส์อย่างเต็มรูปแบบการใช้ลายมือชื่ออิเล็กทรอนิกส์นับเป็นเรื่องหนึ่งที่มีความสำคัญที่ช่วยในการสร้างความเชื่อมั่นแก่ผู้ใช้งานโดยการนำเทคโนโลยีมาประยุกต์ใช้เพื่อระบุตัวบุคคลรวมถึงการยืนยันและห้ามปฏิเสธความรับผิดด้วยวิธีการใช้ลายมือชื่ออิเล็กทรอนิกส์ซึ่งเป็นการใช้งานเทคโนโลยีที่ต้องกระทำควบคู่ไปกับการใช้ใบรับรองลายมือชื่ออิเล็กทรอนิกส์เพื่อยืนยันความถูกต้องของข้อมูลและระบุตัวตนที่แน่นอนการใช้ใบรับรองนี้เองทำให้ผู้ให้บริการออกใบรับรองลายมือชื่ออิเล็กทรอนิกส์ซึ่งเป็นบุคคลที่สามเข้ามาเกี่ยวข้องและทำให้เกิดเป็นธุรกิจให้บริการประเภทหนึ่ง วิทยานิพนธ์ฉบับนี้จึงมีจุดมุ่งหมายเพื่อศึกษาประเด็นที่สำคัญในการกำหนดหลักเกณฑ์ในการควบคุมดูแลผู้ให้บริการออกใบรับรองลายมือชื่ออิเล็กทรอนิกส์ซึ่งในหลายประเด็นมีผลกระทบต่อความน่าเชื่อถือของผู้ให้บริการออกใบรับรองลายมือชื่ออิเล็กทรอนิกส์ โดยการศึกษา (ร่าง) พระราช กฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการการประกอบธุรกิจให้บริการออกใบรับรอง พ.ศ. .... และศึกษาเปรียบเทียบการกำหนดหลักเกณฑ์ควบคุมดูแลของประเทศสิงคโปร์ประเทศอินเดียประเทศเกาหลีและไต้หวันซึ่งประเทศเหล่านี้มีการควบคุมดูแลผู้ให้บริการออกใบรับรองลายมือชื่ออิเล็กทรอนิกส์ในรูปแบบที่เหมาะสม จากการศึกษา (ร่าง) พระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการการประกอบธุรกิจให้บริการออกใบรับรอง พ.ศ. .... พบว่ายังมีประเด็นที่สำคัญอีกหลายประเด็นที่ (ร่าง) พระราชกฤษฎี กาดังกล่าวยังไม่ได้บัญญัติไว้แน่ชัดซึ่งเป็นประเด็นที่สำคัญและมีผลกระทบต่อความน่าเชื่อถือของผู้ให้บริการออกใบรับรองลายมือชื่ออิเล็กทรอนิกส์อาทิเช่นกำหนดให้อำนาจคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์เป็นผู้มีอำนาจในการกำหนดทุนจดทะเบียนของผู้ให้บริการออกใบรับรองลายมือชื่ออิเล็กทรอนิกส์ซึ่งการกำหนดทุนจดทะเบียนนั้นมีความสัมพันธ์กับเรื่องของการดำเนินธุรกิจและการชดใช้ความเสียหายประกอบกับผู้ให้บริการแต่ละรายอาจมีลักษณะการให้บริการแตกต่างกันจึงต้องพิจารณาการกำหนดทุนจดทะเบียนให้เหมาะสมกับรูปแบบการประกอบธุรกิจโดยพิจารณาจากลักษณะของผู้ให้บริการประกอบการการสร้างความเชื่อมั่นให้แก่ผู้ใช้บริการด้วย การควบคุมดูแลธุรกิจบริการออกใบรับรองลายมือชื่ออิเล็กทรอนิกส์มีวัตถุประสงค์หลักเพื่อสร้างความน่าเชื่อถือให้กับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ โดยวิธีการที่รัฐเข้าไปควบคุมดูแล ขึ้นอยู่กับการบริหารจัดการของรัฐซึ่งอาจมีความแตกต่างกันไปในแต่ละประเทศ จากการศึกษาพบว่าได้มีการแบ่งออกเป็น 3 รูปแบบคือ Accredited, Licensing และ Voluntary รูปแบบ Accredited และ Licensing นั้นผู้ให้บริการออกใบรับรองต้องถูกควบคุมดูแลจากหน่วยงานควบคุมดูแลตามกฎหมายของประเทศนั้น หากแต่การควบคุมดูแลแบบ Licensing นั้นผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ต้องขออนุญาตประกอบการจากหน่วยงานของรัฐก่อน หากประกอบการโดยไม่ได้รับอนุญาตผู้ให้บริการออกใบรับรองนั้นจะถูกลงโทษตามกฎหมาย ซึ่งต่างจากแบบ Accredited ที่ผู้ให้บริการออกใบรับรองทำการขึ้นทะเบียนเพื่อเป็นขอการรับรองจากภาครัฐเท่านั้น ในขณะที่แบบ Voluntary นั้นผู้ให้บริการออกใบรับรองจะสมัครใจอยู่ภายใต้การดูแลของภาครัฐหรือไม่ก็ได้ ซึ่งการกำหนดรูปแบบในการดูแลโดยแบ่งเป็นประเภทของธุรกิจตาม (ร่าง) พระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการการประกอบธุรกิจให้บริการออกใบรับรอง พ.ศ. .... อาจเกิดความสับสนในรูปแบบของการกำกับดูแลได้ ดังนั้นสำหรับประเทศไทยเองจึงควรที่จะกำหนดรูปแบบในการกำกับดูแลให้ชัดเจน โดยในแต่ละรูปแบบก็มีข้อดีและข้อเสียแตกต่างกันไป ทั้งนี้ จึงมีความจำเป็นที่จะต้องพิจารณาจากลักษณะของผู้ประกอบการเดิมรวมถึงมุ่งส่งเสริมให้มีผู้ประกอบการรายใหม่เพิ่มมากขึ้น การบัญญัติกฎหมายเพื่อให้อำนาจหน่วยงานที่เกี่ยวข้องเป็นผู้มีอำนาจในการกำกับดูแลซึ่งจากการศึกษาพบว่าหน่วยงานที่มีอำนาจหน้าที่ในการกำกับดูแลนั้นจะทำหน้าที่ในการกำกับดูแล ทั้งในเรื่องที่เกี่ยวข้องกับคุณสมบัติการออกใบรับรองการยกเลิกเพิกถอนเป็นต้นรวมทั้งในเรื่องทางเทคนิคโดยเฉพาะอย่างยิ่งในส่วนที่เกี่ยวข้องกับรูปแบบการมอบความไว้วางใจประเทศไทยเองยังคง มีประเด็นที่ว่าคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ได้มอบหมายให้สำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ทำหน้าที่เป็นหน่วยงานที่มีอำนาจในการกำกับดูแลและให้สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ทำหน้าที่เป็นผู้ให้บริการออกใบรับรองในลำดับชั้นสูงสุดหรือที่เรียกว่า Root CA ซึ่งการกำหนดทั้งให้ผู้มีอำนาจในการกำกับดูแลมีสองหน่วยงานนั้นอาจจะทำให้เกิดความสับสนในการกำกับดูแลหรือการใช้อำนาจในการกำกับดูแลได้ผู้เขียนมีความเห็นว่าหน่วยงานที่มีอำนาจในการกำกับดูแลควรให้อำนาจหน่วยงานใดหน่วยงานหนึ่งมีอำนาจในการกำกับดูแลธุรกิจบริการออกใบรับรองลายมือชื่ออิเล็กทรอนิกส์อย่างชัดเจนเพื่อไม่ให้เกิดความซ้ำซ้อนในการใช้อำนาจกำกับดูแลซึ่งอาจก่อให้เกิดความสับสนแก่ผู้ให้บริการได้อย่างไรก็ตามในปัจจุบันแม้ว่าจะได้มีการจัดตั้ง National Root CA ภายใต้การกำกับดูแลของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ขึ้นแต่ก็ยังไม่มีกฎหมายฉบับใดรองรับการใช้อำนาจของ NRCA ซึ่งหากกำหนดให้ NRCA เป็นหน่วยงานที่มีอำนาจหน้าที่ในการกำกับดูแลจะต้องมีการปรับปรุงแก้ไขเพื่อเพิ่มเติมเนื้อหาในประเด็นนี้ผู้เขียนมีความเห็นว่าควรกำหนดให้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์เป็นผู้มีอำนาจในการวินิจฉัยประเด็นที่เกี่ยวข้องกับการใช้อำนาจของทั้งสองหน่วยงานเพื่อให้เกิดความชัดเจนในการกำกับดูแลผู้ให้บริการ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ได้มีมติกำหนดรูปแบบการมอบความไว้วางใจโดยให้ประเทศไทยใช้รูปแบบการมอบความไว้วางใจแบบลำดับขั้นหรือ Hierarchy ซึ่งจากการศึกษารูปแบบการมอบความไว้วางใจในต่างประเทศพบว่าในต่างประเทศมีรูปแบบที่นิยมใช้กันสองรูปแบบคือการมอบความไว้วางใจแบบลำดับขั้นหรือ Hierarchy และการมอบความไว้วางใจแบบมีศูนย์กลางหรือ Bridge ซึ่งทั้งสองแบบต่างก็มีข้อดีและข้อเสียที่แตกต่างกันไปอย่างไรก็ตามการกำหนดรูปแบบการมอบความไว้วางใจนั้นไม่สามารถกำหนดได้แต่เพียงมติที่ประชุมคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์เท่านั้นแต่จำเป็นจะต้องมีการกำหนดหลักเกณฑ์ที่มีความสำคัญต่าง ๆ ไว้ในกฎหมายเพื่อให้อำนาจแก่หน่วยงานที่มีอำนาจหน้าที่ในการบริหารจัดการ Root CA ให้มีอำนาจหน้าที่เฉกเช่นผู้มีอำนาจในการกำกับดูแล

Up to the present, the applications of information technology to the world completely turn to the era of digital communications and electronic transaction. Accordingly, ensuring the user is crucial for pushing and promoting the complete electronic transactions. Using electronic signature is one that is vital to help creating confidence among the users by developing technology to identify individuals, to confirm and to prohibit nonrepudiation with electronic signatures. Accordingly, technology must be coupled with using electronic signature certificates to verify the accuracy of the data and identify the exact. The use of the certificate results electronic signature certification service provider, as the third party, running for a business. This thesis aims to study important issues related to rules setting for the electronic signature certification service, which, affecting the reliability of the electronic signature certification service providers by study on the Draft of Royal Decree on the rules and procedures of the certificate authority was to determine the rules governing Singapore, India, Korea, and Taiwan. These countries have regulated the electronic signature certification service provider in the appropriate measure. According to a study of Draft Royal Decree on the rules and procedures of the certificate authority, it finds that there are no clear and important issues on draft Royal Decree. The Draft has not yet provided affecting the reliability of the electronic signature certification service, for example, the power of electronic transactions commission as an authority in the registered capital of electronic signature certification service providers which determination registered capital in relation to the issue of business and restitution. In addition, each service provider may provide different services. Therefore, registered capital must be considered to determine the appropriate forms of business based on the nature of the service provider. The primary purpose of supervising electronic signature certification service provider is to enhance more reliability to electronic certification services provider by the government intervention which vary between countries. The study found that there had been three forms of interventions Accredited, Licensing, and Voluntary. Under Licensing and Accredited models, certification service provider must be supervised by State agency by the laws of that country. Under Licensing, the certificates authority must get prior permission from State agency before running the business. If the provider is not permitted to issue the certificate, he would face legal penalty by law. This is different from traditional accredited certification service providers, which are registered from the State only. Meanwhile, Voluntary certification service providers are able to be either under the supervision. Thus the model of regulation under the Draft Royal Decree on the rules and procedures of the certificate authority might cause confusion. Regarding to Thailand, certain type of supervision must be clearly defined to regulate the business owner, which has both pro and coin Accordingly, it is necessary to consider the nature of both the existing service providers and upcoming service providers To enact the law to authorize related organizations, this study found that the Electronic Transactions Commission had authorization under the office of Electronic Transactions Commission Acts as the agency has authority to regulators and The Electronic Transactions Development Agency (Public Organization) serves as a provider of certification in the highest hierarchy, known as the Root CA. This defined the authority to supervise the two agencies that may cause confusion to control or regulatory authority. Regarding the supervising agency, the author has the opinion that the authorities should clearly designated a particular agency to supervise electronic signature certification service provider to prevent overlapping and confusion. However, although it has established the National Root CA under the supervision of Electronic Transactions Development Agency (Public Organization), there is no law supporting the authority of the NRCA. In case that NRCA is designated as the agency that is responsible to supervise, it should be revised for further elaborated on this issue. The author has an opinion that the Electronic Transactions Commission should be authorized to determine issues related to the authority between both agencies to achieve clarity on the regulatory service provider. Electronic Transaction Commission passed a resolution to form a trust by India and Korea use this form of trust or rank Hierarchy. The researches on the trust model, in foreign countries, international model are widely used in two forms. Frist, the trust rank called "Hierarchy" and second, entrust it with the center called "Bridge". There are pro and con. However, the trust model cannot be determined only by the solutions of Electronic Transaction Commission, but It should be determine by setting the crucial criteria in the legislation to empower the agency to be able to manage the Root CA as an A regulatory agency.