คณะรัฐมนตรีมีมติอนุมัติดังนี้
1. อนุมัติหลักการร่างพระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต พ.ศ. .... ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดศ.) เสนอ และให้ส่งสำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณา โดยให้พิจารณาในประเด็นตามข้อสังเกตของสำนักงานคณะกรรมการกฤษฎีกาและให้รับความเห็นของกระทรวงพาณิชย์ ธนาคารแห่งประเทศไทย และสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติไปประกอบการพิจารณาด้วย แล้วดำเนินการต่อไปได้
2. ให้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมรับความเห็นของสำนักงานสภาพัฒนาการเศรษฐกิจและสังคมแห่งชาติและสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ ไปพิจารณาดำเนินการต่อไปด้วย
ดศ. เสนอว่า
1. ด้วยบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลเป็นโครงสร้างพื้นฐานที่มีความสำคัญต่อการทำธุรกรรมทางอิเล็กทรอนิกส์ของทั้งหน่วยงานของรัฐและภาคเอกชน เนื่องจากเป็นบริการที่ช่วยลดความเสี่ยงในการทำธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งรวมถึงพาณิชย์อิเล็กทรอนิกส์หรือ e-Commerce โดยเฉพาะความเสี่ยงจากการแอบอ้างหรือปลอมแปลงตัวตนเข้ามาทำธุรกรรม อันเป็นที่มาที่ก่อนให้บริการทางออนไลน์ ซึ่งหน่วยงานรัฐ เอกชน หรือผู้ให้บริการต้องมีการพิสูจน์และยืนยันตัวตนผู้ใช้งานโดยใช้เทคโนโลยีดิจิทัลเป็นเครื่องมือทดแทนกระบวนการพิสูจน์และยืนยันตัวตนทางกายภาพ เพื่อช่วยอำนวยความสะดวก ลดขั้นตอนและปัญหาความล่าช้าในการรับบริการจากภาครัฐหรือเอกชน
2. ดังนั้น เพื่อให้บริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลเป็นเครื่องมือสร้างความเชื่อมั่นและความน่าเชื่อถือในการทำธุรกรรมทางอิเล็กทรอนิกส์ มาตรา 34/3 แห่งพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และที่แก้ไขเพิ่มเติม จึงได้รองรับให้การพิสูจน์และยืนยันตัวตนของบุคคลอาจกระทำผ่านระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลได้ และมาตรา 34/4 แห่งพระราชบัญญัติดังกล่าว ได้กำหนดให้ในกรณีที่จำเป็นเพื่อรักษาความมั่นคงทางการเงินและการพาณิชย์ หรือเพื่อประโยชน์ในการเสริมสร้างความน่าเชื่อถือและยอมรับในระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล หรือเพื่อป้องกันความเสียหายแก่สาธารณชน ให้มีการตราพระราชกฤษฎีกากำหนดให้การประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลใด เป็นธุรกิจบริการที่ต้องได้รับใบอนุญาตก่อน เพื่อให้มีการกำกับดูแลการประกอบธุรกิจบริการดังกล่าว โดยมีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ (คธอ.) ทำหน้าที่ตามกฎหมายในการกำกับดูแล และมีสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) สนับสนุนการกำกับดูแลธุรกิจบริการดังกล่าว เพื่อยกระดับให้บริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลมีความเข้มแข็ง มีมาตรฐาน มีความมั่นคงปลอดภัย และมีความน่าเชื่อถือ ตลอดจนดูแลให้การให้บริการสามารถรองรับการทำงานในมิติต่าง ๆ ทั้งด้านการเงิน สาธารณสุข หรือบริการภาครัฐ ได้อย่างครอบคลุม
3. สพธอ. ซึ่งรับผิดชอบงานเลขานุการของ คธอ. ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ จึงได้จัดทำร่างพระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต พ.ศ. .... และเปิดรับฟังความคิดเห็นจากผู้เกี่ยวข้องในภาคส่วนต่าง ๆ ทั้งหน่วยงานของรัฐ หน่วยงานหรือองค์กรกำกับดูแล และภาคเอกชนที่เกี่ยวข้อง ทั้งด้านสาธารณสุข โทรคมนาคม การเงิน หลักทรัพย์ ประกันภัย ตลอดจนผู้ให้บริการในด้านดังกล่าว รวมจำนวน 4 ครั้ง และนำข้อมูลความคิดเห็นที่ได้รับมาประกอบการพิจารณาปรับปรุงร่างพระราชกฤษฎีกาฯ ให้มีความเหมาะสมยิ่งขึ้น ก่อนนำร่างพระราชกฤษฎีกาดังกล่าวเสนอต่อ คธอ. ในการประชุมครั้งที่ 1/2563 เมื่อวันที่ 17 เมษายน 2563 โดยที่ประชุม คธอ. มีมติเห็นชอบ และให้ สพธอ. ปรับปรุงร่างพระราชกฤษฎีกาดังกล่าวตามข้อเสนอแนะของที่ประชุมก่อนเสนอต่อรัฐมนตรีว่าการกระทรวงดิจิทัล เพื่อเศรษฐกิจและสังคม เพื่อเสนอต่อคณะรัฐมนตรีต่อไป โดย สพธอ. ได้ดำเนินการปรับปรุงร่างพระราชกฤษฎีกาฯ เป็นที่เรียบร้อยแล้ว จึงได้เสนอร่างพระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ต้องได้รับใบอนุญาต พ.ศ. .... มาเพื่อดำเนินการ
สาระสำคัญของร่างพระราชกฤษฎีกา
1. กำหนดให้ผู้ประกอบธุรกิจต้องปฏิบัติตามหลักเกณฑ์และเงื่อนไขต่าง ๆ ที่กำหนดไว้ในพระราชกฤษฎีกานี้ และที่ คธอ. หรือ สพธอ. จะประกาศกำหนด รวมทั้งเงื่อนไขอื่นที่อาจกำหนดไว้ในใบอนุญาต
2. กำหนดให้ผู้ประกอบธุรกิจต้องคำนึงถึงมาตรการในการคุ้มครองข้อมูลส่วนบุคคล
3. กำหนดห้ามทำข้อตกลงหรือกระทำการอันจะเป็นการกีดกันหรือขัดขวางการให้บริการหรือก่อให้เกิดการผูกขาดในการประกอบธุรกิจ หรือทำให้เกิดความไม่สอดคล้อง หรือไม่สามารถเชื่อมโยงกันระหว่างผู้ประกอบการธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล หรือทำให้เกิดการผูกขาดในการประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล โดยไม่ได้รับความเห็นชอบจาก สพธอ.
4. กำหนดลักษณะของบริการที่ต้องได้รับใบอนุญาตในการให้บริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล ดังนี้
4.1 บริการพิสูจน์และยืนยันตัวตน (Identity Provider Service) ที่ให้บริการการพิสูจน์ตัวตน หรือการออกและบริหารจัดการสิ่งที่ใช้ยืนยันตัวตน หรือการยืนยันตัวตน
4.2 บริการแลกเปลี่ยนข้อมูลเพื่อการพิสูจน์และยืนยันตัวตนทางดิจิทัล (Digital Identity Platform Service) ที่เป็นเครือข่ายหรือระบบเพื่อการเชื่อมโยงและแลกเปลี่ยนข้อมูลเกี่ยวกับการพิสูจน์และยืนยันตัวตนทางดิจิทัล ทั้งนี้ ไม่รวมถึงบุคคลที่เป็นสื่อกลาง
5. กำหนดบริการที่ได้รับการยกเว้นไม่ต้องได้รับใบอนุญาต ดังนี้
5.1 บริการพิสูจน์และยืนยันตัวตนโดยผู้ให้บริการออกใบรับรองเพื่อสนับสนุนลายมือชื่ออิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (Certification Authority: CA)
5.2 บริการพิสูจน์และยืนยันตัวที่บุคคลใช้เพื่อประโยชน์ภายในกิจการของบุคคลนั้น โดยไม่ได้ให้บริการแก่บุคคลภายนอก
5.3 บริการพิสูจน์และยืนยันตัวตนที่ไม่ได้ทำการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ของบุคคลและตรวจสอบความเชื่อมโยงระหว่างบุคคลกับข้อมูลเกี่ยวกับอัตลักษณ์นั้น ตามระดับเงื่อนไขความน่าเชื่อถือที่ คธอ. กำหนด
5.4 บริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลอื่นใดตามที่ คธอ. ประกาศกำหนด
6. กำหนดคุณสมบัติและลักษณะต้องห้ามของนิติบุคคลหรือกรรมการของผู้ประกอบธุรกิจที่จะขอรับใบอนุญาต ขั้นตอนการขออนุญาต เอกสารประกอบการขออนุญาต ค่าธรรมเนียมในการขออนุญาต รวมทั้งกำหนดอายุใบอนุญาต 5 ปี กำหนดเกี่ยวกับการขอต่ออายุใบอนุญาต และกำหนดให้ขอรับใบแทนในกรณีที่ใบอนุญาตสูญหายหรือชำรุด
7. กำหนดหน้าที่ของผู้ประกอบธุรกิจในการรายงานเมื่อมีการเปลี่ยนแปลง หรือมีการร้องเรียนเกี่ยวกับการประกอบธุรกิจ
8. กำหนดให้ผู้ประกอบธุรกิจต้องจัดให้มีบุคลากรที่มีความรู้ความสามารถที่เหมาะสมกับการให้บริการของผู้ประกอบธุรกิจ
9. กำหนดหลักเกณฑ์ที่ผู้ประกอบธุรกิจต้องดำเนินการในระหว่างประกอบธุรกิจ เพื่อให้ระบบมีความมั่นคงปลอดภัยและมีประสิทธิภาพ เช่น สิทธิ หน้าที่ และความรับผิดของผู้ประกอบธุรกิจ มาตรการบริหารจัดการความเสี่ยงของระบบ มาตรการรักษาความมั่นคงปลอดภัยของระบบและการตรวจสอบ มาตรฐานการให้บริการ ซึ่งรวมถึงการจัดการและจัดเก็บข้อมูล การเปิดเผยข้อมูลเกี่ยวกับการให้บริการ การคุ้มครองผู้ใช้บริการ และมาตรการบรรเทาความเสียหายและการชดใช้หรือเยียวยาผู้ได้รับความเสียหายจากการประกอบธุรกิจ
10. กำหนดหลักเกณฑ์เกี่ยวกับการจัดเก็บข้อมูลและการรายงานของผู้ประกอบธุรกิจ
11. กำหนดให้กรณีที่ประสงค์จะเลิกประกอบธุรกิจ ต้องแจ้งให้ สพธอ. ทราบล่วงหน้าไม่น้อยกว่าหกสิบวันก่อนวันที่คาดว่าจะเลิกประกอบธุรกิจ
12. กำหนดหน้าที่และอำนาจในการควบคุมดูแลการประกอบธุรกิจ เช่น อำนาจของเจ้าหน้าที่ในการตรวจสอบและรวบรวมข้อเท็จจริง อำนาจของ สพธอ. ในการสั่งให้แก้ไขให้ถูกต้องหรือพักใช้ใบอนุญาตอำนาจของ คธอ.ในการสั่งปรับและการเพิกถอนใบอนุญาต
13. กำหนดหลักเกณฑ์ในการจัดการข้อมูล และการคุ้มครองผู้ใช้บริการก่อนการเลิกประกอบธุรกิจหรือการเพิกถอนใบอนุญาต รวมทั้งการรองรับผลของการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ได้จากกระทำก่อนการเลิกประกอบธุรกิจหรือการเพิกถอนใบอนุญาต
ที่มา: ที่ประชุมคณะรัฐมนตรีชุด พลเอก ประยุทธ์ จันทร์โอชา (นายกรัฐมนตรี) วันที่ 22 กันยายน 2563