การลงลายมือชื่ออิเล็กทรอนิกส์ เข้าใจหลักการความปลอดภัยเพื่อยกระดับการทำงานที่มีประสิทธิภาพ
เทคโนโลยีในยุคปัจจุบันมีส่วนช่วยในการอำนวยความสะดวกในการทำงาน ไม่ว่าจะเป็นการทำธุรกรรมที่เร็ว ง่าย และสะดวก เพราะมีระบบรองรับการทำธุรกรรมอิเล็กทรอนิกส์เข้ามาอำนวยความสะดวกหลากหลายรูปแบบ โดยเฉพาะการลงลายมือชื่ออิเล็กทรอนิกส์ (e-Signature) ที่เกิดขึ้นเพื่อรองรับการระบุตัวตนแบบดิจิทัลได้เลย ไม่ต้องไปสำนักงานเพื่อเซ็นสำเนายืนยันตัวตนให้เสียเวลาอีกต่อไป ดังนั้นไม่ว่าคุณจะอยู่ที่ไหน หรือจะ work from home ในยุคโควิด-19 ก็สามารถทำธุรกรรมแบบไม่ต้องกังวลอีกต่อไป
e-Signature คืออะไร
หากตอบแบบง่ายๆ ก็คือการนำเอาคำว่า Electronic มารวมกับ Signature กลายเป็นการลงลายมือชื่อที่ยืนยันตัวตนแบบอิเล็กทรอนิกส์ ไม่ได้จำกัดเพียงแค่ลายมือชื่อเท่านั้น จะเป็นตัวอักษร อักขระ ตัวเลข หรือสัญลักษณ์ก็ได้ สาระสำคัญคือต้องทำหน้าที่ระบุตัวตนบุคคลที่เป็นเจ้าของลายมือชื่อและเจ้าของลายมือชื่อจะต้องยอมรับข้อความในข้อมูลอิเล็กทรอนิกส์ เช่น การเซ็นข้อตกลงในการสมัครสินเชื่อ เป็นต้น
ข้อดีของ e-Signature ที่เหนือกว่าการเซ็นด้วยปากกาแบบดั้งเดิมก็คือ มันสามารถเซ็นที่ไหนก็ได้ ไม่ต้องพึ่งพากระดาษปากกา ไม่ต้องเดินทางไปทำธุรกรรมถึงสำนักงาน หรือใช้บริการเมสเซนเจอร์ส่งเอกสารกลับไป-กลับมา แถมยังเป็นมิตรต่อสิ่งแวดล้อมเพราะลดการใช้ทรัพยากร และที่สำคัญ ในปัจจุบัน e-Signature นั้นมีผลผูกพันตามกฎหมายอีกด้วย
e-Signature ในระดับโลก
ตัวอย่างการยืนยันตัวตนที่ได้มาตรฐานและมีความปลอดภัยสูงที่สุดในโลกแห่งหนึ่งก็คือ สหภาพยุโรป พวกเขามีการตั้ง electronic IDentification, Authentication and trust Services (eIDAS บริการระบุตัวตน ยืนยันตัวตน และความไว้วางใจ) เพื่อมุ่งเน้นการกำกับดูแลบริการระบุตัวตนและความไว้วางใจทางอิเล็กทรอนิกส์ สำหรับธุรกรรมการตลาดของสหภาพยุโรป
eIDAS ถือว่าเป็นที่ยอมรับในหลายๆ ประเทศทั่วโลก เนื่องจากมีความปลอดภัย ทำงานอย่างมีประสิทธิภาพ รวมไปถึงเป็นกรอบความร่วมมือที่ไม่ว่าอยู่ที่ไหนในยุโรป ก็จะได้รับมาตรฐานที่ดีแบบนี้เหมือนกัน นั่นหมายความว่าไม่ใช่แค่มาตรฐานเฉพาะในประเทศ แต่มันคือการสร้างมาตรฐานร่วมกันระหว่างประเทศ หรืออาจจะระดับโลกเลยทีเดียว
eIDAS ได้บัญญัติขึ้นภายใต้กฎระเบียบแห่งสหภาพยุโรป 910/2014 มาแทนที่กฎระเบียบ eSignature ที่ 1999/93/EC เริ่มประกาศใช้ตั้งแต่วันที่ 30 มิถุนายน ค.ศ. 2016 โดยข้อบังคับ eIDAS จะช่วยเพิ่มความปลอดภัยของการทำธุรกิจและประโยชน์อื่นๆ ลดความซ้ำซ้อนของการจัดการด้านธุรกรรมอิเล็กทรอนิกส์ และด้วยการออกผลิตภัณฑ์ให้บริการที่หลากหลายที่รองรับองค์กรทุกรูปแบบ ไม่ว่าบริษัทเล็ก หรือบริษัทขนาดใหญ่ก็สามารถใช้งานได้ ทำให้ธุรกิจมีประสิทธิภาพมากยิ่งขึ้น รวมไปถึงสามารถลดต้นทุนที่ไม่จำเป็น อีกทั้งยังสร้างความมั่นใจในความปลอดภัยสำหรับการทำธุรกรรมอิเล็กทรอนิกส์อีกด้วย ซึ่งเมื่อการทำธุรกิจมีความปลอดภัย ก็จะส่งผลต่อภาพลักษณ์ที่ดีในการทำการค้าในตลาดยุโรป
e-Signature ที่ขับเคลื่อนประเทศด้วยดิจิทัล
นอกเหนือจากด้านธุรกิจ ประเทศในทวีปยุโรปได้มีการพัฒนาด้าน Digital ID ที่เป็นการพิสูจน์และยืนยันตัวตน อย่างประเทศเอสโตเนีย ประเทศที่มีความก้าวหน้าด้านเศรษฐกิจดิจิทัลและสังคมข้อมูลสูงเป็นอันดับต้นๆ ของโลก พวกเขาค่อยๆ เริ่มการปฏิวัติอิเล็กทรอนิกส์ (e-Revolution) มาอย่างต่อเนื่องเป็นเวลากว่า 20 ปี ประชาชนในประเทศสามารถใช้บริการของภาครัฐแบบดิจิทัลและออนไลน์ถึง 99% ที่นี่สามารถให้บริการ e-Banking, e-Tax, e-Health Records, e-School, e-Prescription, m-Parking, e-Police หรือแม้กระทั่งการเลือกตั้งแบบดิจิทัล (i-Voting) ก็สามารถทำได้ผ่านรูปแบบดิจิทัล
e-Signature ในประเทศไทย
ประเทศไทยได้มีการออกพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (ฉบับแก้ไขเพิ่มเติม) โดยนิยามความหมายของการลงลายมือชื่ออิเล็กทรอนิกส์ว่า “อักษร อักขระ ตัวเลข เสียงหรือสัญลักษณ์อื่นใด ที่สร้างขึ้นให้อยู่ในรูปแบบอิเล็กทรอนิกส์ซึ่งนำมาใช้ประกอบกับข้อมูลอิเล็กทรอนิกส์ เพื่อแสดงความสัมพันธ์ระหว่างบุคคลกับข้อมูลอิเล็กทรอนิกส์ โดยมีวัตถุประสงค์เพื่อระบุตัวบุคคล ผู้เป็นเจ้าของลายมือชื่ออิเล็กทรอนิกส์ที่เกี่ยวข้องกับข้อมูลอิเล็กทรอนิกส์นั้น และเพื่อแสดงว่า บุคคลดังกล่าวยอมรับข้อความในข้อมูลอิเล็กทรอนิกส์นั้น”
รูปแบบลายมือชื่อที่จะมีผลทางกฎหมาย ในมาตราที่ 9 ได้อธิบายถึงผลทางกฎหมายเมื่อทำการลงลายมือชื่อดังนี้
- สามารถระบุตัวคนได้ว่าใครเป็นใคร
- สามารถระบุเจตนาของการเซ็นเอกสารได้ เช่นการลงลายมือชื่อเพื่อเปิดบัญชีธนาคาร หรือการลงลายมือชื่อเพื่อยอมรับข้อตกลง เป็นต้น
- จะต้องเป็นการลงลายมือชื่อด้วยวิธีการที่น่าเชื่อถือ
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) เป็นหน่วยงานในการส่งเสริม สนับสนุน และพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (e-Transactions) หรือ ธุรกรรมออนไลน์ ได้ให้แนวทางการลงลายมือชื่ออิเล็กทรอนิกส์ใน ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศ และ การสื่อสารที่จำเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์ โดยจำแนกประเภทของลายมือชื่ออิเล็กทรอนิกส์ 3 ประเภทคือ
- ลายมือชื่ออิเล็กทรอนิกส์ทั่วไป เป็นอักขระ ตัวเลข เสียง หรือสัญลักษณ์ที่สร้างขึ้นในรูปแบบอิเล็กทรอนิกส์ ที่มีลักษณะตามมาตราที่ 9 แห่งกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ลายมือชื่อประเภทระบบนี้ถือว่าเป็นระบบที่ใช้กันแพร่หลายทั่วไปและจำนวนมากที่สุด ซึ่งหลายครั้งมีปัญหาในเรื่องการปลอมแปลงได้ง่าย ยกตัวอย่างเช่น การเซ็นชื่อในใบลาของบริษัท การเซ็นรับทราบท้ายเอกสารทั่วไป ถ่ายรูปสำเนาแล้วเซ็นชื่อ ก็ถือว่าเป็นการลงลายมือชื่ออิเล็กทรอนิกส์ประเภทนี้
ไม่ใช่แค่ลายมือ แต่รวมไปถึงทุกอย่าง
ลายมือชื่ออิเล็กทรอนิกส์ทั่วไป ไม่ได้มีแค่การเขียนลายมือเพื่อลงชื่อยืนยันตัวตนเท่านั้น การพิมพ์ชื่อไว้ท้ายอีเมล, การคลิกหรือตอบยอมรับในข้อตกลง ก็ถือเป็นการลงลายมือชื่ออิเล็กทรอนิกส์แล้ว
- ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ เป็นลายมือชื่ออิเล็กทรอนิกส์ที่มีลักษณะตามข้อกำหนดในมาตรา 26 แห่งกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ มีความซับซ้อนกว่า
ลายมือชื่ออิเล็กทรอนิกส์ทั่วไป
ที่มีส่วนประกอบเพิ่มเติมบางประการเพื่อส่งเสริมความถูกต้องสมบูรณ์และความปลอดภัยของเอกสาร ซึ่งสิ่งที่เพิ่มมานั้นได้แก่ ต้องสามารถใช้ระบุผู้ลงนามได้ มีการเชื่อมโยงกับผู้ลงนามอย่างเฉพาะเจาะจง สร้างขึ้นโดยใช้ข้อมูลที่ผู้ลงนามสามารถใช้ภายใต้การควบคุมแต่เพียงผู้เดียวและมีการเก็บรักษาไว้เป็นความลับในระดับสูงหรือมีต้นขั้วของลายเซ็นที่ปลายทางเก็บเอาไว้เทียบเคียง และที่สำคัญมีการเชื่อมโยงกับข้อมูลที่ลงนามในลักษณะที่สามารถตรวจจับได้หากมีการเปลี่ยนแปลงในภายหลัง เช่น การเซ็นกำกับออนไลน์ในธุรกรรมทางการเงิน ที่ทางธนาคารย่อมมีลายเซ็นของเราไว้เพื่อเทียบเคียง เป็นต้น
จากนิยามนี้ ลายมือชื่อดิจิทัล (Digital Signature) ก็ถือว่าเป็นลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ เพราะเป็นลายมือชื่อที่ได้จากกระบวนการการเข้ารหัสที่มีความปลอดภัยในการยืนยันตัวตน และสามารถตรวจสอบการเปลี่ยนแปลงของข้อความและลายมือชื่ออิเล็กทรอนิกส์ได้ เช่น ลายมือชื่อดิจิทัลที่อาศัยโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure: PKI)
ลายมือชื่อดิจิทัล มักจะใช้ในการลงลายมือชื่อที่ต้องการความมั่นคงปลอดภัยและมีความน่าเชื่อถือ สามารถตรวจสอบได้ว่าใครเป็นคนลงนามและตรวจสอบได้ว่ามีการแก้ไขเอกสารลงนามย้อนหลังหรือไม่ ยกตัวอย่างเช่นกรมสรรพากร ที่ผู้เสียภาษีที่ต้องการยื่นเอกสารยันยันตัวตน จะต้องทำการลงลายมือชื่อผ่านโปรแกรม RD Digital Sign เพื่อขออนุมัติการลงทะเบียน
- ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ซึ่งใช้ใบรับรองที่ออกโดยผู้ให้บริการออกใบรับรอง
ประเภทนี้จะเป็นประเภทที่มีความปลอดภัยสูงสุด สร้างขึ้นโดยใช้อุปกรณ์สร้างลายเซ็นอิเล็กทรอนิกส์และต้องมีใบรับรองลายเซ็นอิเล็กทรอนิกส์ (CA : Certificate Authority) เหมาะสำหรับการใช้ในธุรกิจที่มีความเสี่ยงสูง ความมั่นคง และมีความสำคัญต่อการตัดสินใจ โดยอาศัยอุปกรณ์สร้างลายเซ็นที่ปลอดภัย (SSCD) สามารถใช้งานได้ในพื้นที่ (เช่น โทเค็น USB สมาร์ทการ์ด ฯลฯ) หรือสามารถสร้างจากระยะไกลผ่านผู้ให้บริการ SSCD ก็ได้ ซึ่งลายเซ็นดังกล่าวจะต้องมีใบรับรองจากผู้ให้บริการแห่งรัฐหรือเอกชนตามที่กำหนดในมาตรา 28 แห่งกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งปัจจุบันมีผู้ให้บริการออกใบรับรองไม่ว่าจะเป็นทั้งภาครัฐและเอกชน ทำให้เราสามารถใช้บริการได้อย่างสะดวกขึ้น
ตัวอย่างการใช้ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อได้ซึ่งใช้ใบรับรองที่ออกโดยผู้ให้บริการออกใบรับรอง
แอปพลิเคชัน หมอพร้อม ที่เป็นแอปพลิเคชันให้บริการข้อมูลเกี่ยวกับโรคโควิด-19 จัดทำขึ้นโดยกระทรวงสาธารณสุข ซึ่งจะมีทั้งข้อมูลการฉีดวัคซีน รวมไปถึงสามารถขอเอกสารรับรองทางการแพทย์แบบดิจิทัล (MOPH Certificate) ได้อีกด้วย
เอกสารรับรองทางการแพทย์แบบดิจิทัล (MOPH Certificate) จะมีความปลอดภัยเพราะสามารถยืนยันตัวบุคคลด้วย Digital Certificate ที่ได้รับการรับรองจาก NRCA (ETDA) ละ WebTrust ซึ่งถือเป็นลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อได้ เนื่องจากครบองค์ประกอบ คือมีการพิสูจน์ตัวตนที่น่าเชื่อถือเหมาะสมกับความเสี่ยงของธุรกรรมหรือที่ระดับ IAL2 ขึ้นไป มีการยืนยันตัวตนที่ระดับ AAL2 และใช้ลายมือชื่อดิจิทัลที่ได้รับใบรับรองที่ออกโดย CA ในการลงลายมือชื่อต่อข้อความที่แสดงเจตนา ทำให้การยืนยันผลตรวจมีความรวดเร็ว และไม่ต้องให้ผู้รับการตรวจต้องเดินทางไปรับเอกสารให้เสี่ยงต่อการแพร่เชื่ออีกด้วย
ปัจจุบันการลงลายมือชื่ออิเล็กทรอนิกส์ในการทำธุรกรรมต่างๆ ไม่ใช่เรื่องที่ไกลตัวอีกต่อไป ในแต่ละวัน เราเจอกับการยืนยันตัวตนแบบดิจิทัลจนเป็นเรื่องธรรมดา ไม่ว่าจะเป็นการดำเนินการทางเอกสารกับภาครัฐ หรือการทำธุรกรรมกับเอกชน การเปิดบัญชีธนาคาร เซ็นรับพัสดุ การยื่นแบบภาษีกับกรมสรรพากร รวมไปถึงงานสารบัญที่สามารถอ่านเอกสารและเซ็นชื่อได้จากที่บ้านผ่านสมาร์ทโฟน ทั้งหมดนี้คือความก้าวหน้าที่ควรศึกษา เพื่ออำนวยความสะดวกในการดำเนินการต่างๆ และภาคธุรกิจควรพัฒนาเพื่อขยายศักยภาพในการทำงาน ร่นระยะเวลาการทำธุรกรรมที่เสียเวลาในอดีต และถ้าหากเลือกใช้อย่างถูกวิธีก็จะได้รับความปลอดภัยสูงสุดอีกด้วย
อ้างอิง
https://www.etda.or.th/th/newsevents/pr-news/Electronic-Signature-Guideline-News.aspx
https://standard.etda.or.th/wp-content/uploads/2020/06/20200529-ER-E-Signature-Guideline-V08-36F.pdf
https://digital-strategy.ec.europa.eu/en/policies/discover-eidas
https://e-estonia.com/facts-and-figures/
https://standard.etda.or.th/wp-content/uploads/2020/06/20200529-ER-E-Signature-Guideline-V08-36F.pdf
https://www.forbes.com/advisor/business/electronic-signature/
https://r8way.moph.go.th/r8wayadmin/page/uploads_file/20220127022608.pdf