การอนุญาตให้ธนาคารพาณิชย์ให้บริการยืนยันตัวตนลูกค้าหรือการให้ข้อมูล

เรื่อง การอนุญาตให้ธนาคารพาณิชย์ให้บริการยืนยันตัวตนลูกค้าหรือการให้ข้อมูล ในรูปแบบดิจิทัล

เลขที่ ธปท.ฝกก.ว.2053/2561

วันที่ออกหนังสือเวียน 4 กันยายน 2561

วันที่มีผลบังคับใช้          -
วันที่สิ้นสุดผลบังคับใช้       -

สถาบันผู้เกี่ยวข้อง

1.ธนาคารพาณิชย์จดทะเบียนในประเทศ

2.ธนาคารพาณิชย์ที่จดทะเบียนในต่างประเทศ

วัตถุประสงค์/หลักการ/เหตุผล

สาระสำคัญ

เพื่อเป็นการสนับสนุนโครงการการพิสูจน์และยืนตัวตนทางดิจิทัล (National Digital ID : NDID) ซึ่งเป็นระบบกลางในการยืนยันตัวตนทางดิจิทัลของประเทศ ธปท. จึงเห็นควรขยายขอบเขตให้ ธพ. ทำหน้าที่ในการยืนยันตัวตนของลูกค้าหรือให้ข้อมูลในรูปแบบดิจิทัลได้ โดยอนุญาติให้ ธพ. ที่มีความพร้อมในด้านระบบงาน บุคลากร และการบริหารความเสี่ยงด้านต่าง ๆ (ความเสี่ยงด้านเทคโนโลยี ความเสี่ยงด้านปฏิบัติการ และความเสี่ยงด้านกลยุทธ์) สามารถให้บริการดังกลาวได้เป็นการทั่วไป โดยกำหนดเงื่อนไข ดังนี้ 1. ธนาคารต้องได้รับความยินยอมจากลูกค้าผู้เป็นเจ้าของข้อมูล ตามหลักเกณฑ์การขอความยินยอม (Consent) ที่สอดคล้องกับกฎหมายและประกาศที่เกี่ยวข้อง ดังนี้

1.1 ไม่บังคับ และให้โอกาสเจ้าของข้อมูลเลือกที่จะเปิดเผยข้อมูล (Freely given)

1.2 ต้องระบุวัตถุประสงค์ ขอบเขตการนำข้อมูลไปใช้อย่างชัดเจน และเจาะจง (Specific)

1.3 แจ้งให้ทราบถึงสิทธิของลูกค้า (Informed) โดยเฉพาะ สิทธิในการเข้าถึงข้อมูล (Right to access) สิทธิในการแก้ไขข้อมูล (Right to rectification) สิทธิไม่อนุญาตให้นำข้อมูลไปประมวลผล (Right to restrict data processing) สิทธิในการลบหรือยกเลิกการให้ข้อมูล (Right to be forgotten)

1.4 ข้อความที่ระบุในการขอความยินยอมต้องไม่คลุมเครือ (Unambiguous) 2. การนำเทคโนโลยีมาใช้เพื่อให้บริการแก่พันธมิตรทางธุรกิจของธนาคาร ขอให้ธนาคารพัฒนาหรือใช้เทคโนโลยีที่เหมาะสม เพื่อให้สามารถเชื่อมโยงกับผู้ให้บริการรายอื่นในโครงการ NDID ได้อนาคต ทั้งนี้ เมื่อโครงการ NDID เริ่มโครงการ ขอให้ธนาคารเข้าร่วมโครงการดังกล่าวด้วย 3. ธนาคารต้องไม่กำหนดเงื่อนไขใด ๆ ทั้งทางตรงและทางอ้อม ในรูปแบบของสัญญาหรือเทคโนโลยีที่ใช้ อันอาจเป็นการจำกัดสิทธิในการเลือกใช้บริการของลูกค้าและพันธมิตรทางธุรกิจของธนาคารเอง 4. ธนาคารต้องมีระบบการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management and Cyber Security) โดยมีกระบวนการประเมินและติดตามความพร้อมใช้งานของระบบและการเชื่อมโยงที่เกี่ยวข้อง เพื่อให้มั่นใจว่าสามารถรองรับการใช้บริการผ่านช่องทางของธนาคารที่มีอยู่อย่างต่อเนื่อง รวมถึงจัดให้มีมาตรการป้องกันและเฝ้าระวังให้มีความมั่นคงปลอดภัย โดยควรมีการประเมินช่องโหว่และทบทวนระบบงานให้ทันสมัยอย่างเป็นประจำ และให้มีการติดตามดูแลเพื่อให้มั่นใจว่าพันธมิตรทางธุรกิจของธนาคารมีการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศและข้อมูลส่วนบุคคลของลูกค้าอย่างเหมาะสมและเป็นไปตามมาตรฐานที่ดีตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้อง

ที่มา: ธนาคารแห่งประเทศไทย

แท็ก ธนาคารพาณิชย์ ข้อมูล ธปท.