ร่างพ.ร.บ.Digital ID: การพิสูจน์ตัวตนแบบดิจิทัล

ร่างพ.ร.บ.Digital ID: การพิสูจน์ตัวตนแบบดิจิทัล

กระบวนการในการรู้จักและพิสูจน์ตัวตนลูกค้า (Know Your Customer : KYC) เป็นขั้นตอนสำคัญของธุรกิจในการตรวจสอบความถูกต้องของบุคคลก่อนให้บริการ

จะดีอย่างไรหากการทำ KYC สามารถทำได้ในรูปแบบดิจิทัล กล่าวคือ ผู้ใช้บริการไม่จำเป็นต้องใช้เอกสารหลักฐานมากมายเพื่อขอเข้ารับบริการ โดยหากผู้ใช้บริการได้เคยทำ KYC ไว้กับผู้ให้บริการรายหนึ่งแล้ว สามารถนำมาใช้กับผู้ให้บริการอีกรายได้ในลักษณะ Sharing

นอกจากนี้ สำหรับผู้ให้บริการยังสามารถตรวจสอบความถูกต้องของข้อมูลจากแหล่งข้อมูลที่น่าเชื่อถืออันเป็นการลดข้อผิดพลาดในรูปแบบ human errors และลดความเสี่ยงในการปลอมแปลงเอกสาร ด้วยเหตุดังกล่าว จึงเป็นที่มาของร่างพระราชบัญญัติการพิสูจน์และยืนยันตัวตนทางดิจิทัล พ.ศ. .... (ร่าง พ.ร.บ. Digital ID) โดยผู้เขียนจะนำเสนอในประเด็นที่น่าสนใจ ดังนี้

แนวคิดของร่าง พ.ร.บ. Digital ID

ร่าง พ.ร.บ. Digital ID ต้องการอำนวยความสะดวกในการทำนิติกรรมสัญญารูปแบบต่าง ๆ โดยอาศัยกลไกการพิสูจน์หรือยืนยันตัวตนในลักษณะ Sharing ผ่านการทำงานของระบบตัวกลางซึ่งเปรียบเสมือนถนนเส้นหลัก (Digital Platform) ที่เชื่อมต่อระหว่างผู้ให้บริการหรือหน่วยงานต่างๆ ทั้งภาครัฐและเอกชนไว้ด้วยกัน

Digital Platform เชื่อมต่อบุคคลต่าง ๆ อย่างไร?

ตัวอย่างเช่น นาย ก. ต้องการเปิดบัญชีกับธนาคาร A โดยนาย ก. เคยทำ KYC และมีบัญชีเงินฝากกับธนาคาร B ไว้แล้ว ในขั้นตอนการเปิดบัญชีกับธนาคาร B นาย ก. ได้ลงทะเบียนและให้ข้อมูลอัตลักษณ์/คุณลักษณะไว้กับธนาคาร B

จากข้อเท็จจริงนี้ ธนาคาร B จะทำหน้าที่เป็น IdP (หรือ Identity Provider คือ ผู้ให้บริการการยืนยันตัวตน โดยมีหน้าที่รับลงทะเบียนให้ผู้ขอใช้บริการ ซึ่ง IdP หรือ ธนาคาร B ตามตัวอย่าง จะต้องเก็บชุดข้อมูลลงทะเบียนของนาย ก. ไว้ เพื่อประโยชน์ในการทำ KYC ในครั้งต่อ ๆ ไปของนาย ก. กับผู้ให้บริการรายอื่น)

ดังนั้น ในการเปิดบัญชีกับธนาคาร A นาย ก. สามารถเลือกใช้ข้อมูลอัตลักษณ์/คุณลักษณะที่ได้ให้กับธนาคาร B ไว้แล้วได้ ซึ่งหากเทียบแล้วคล้ายกับการลงทะเบียนหรือ Login ในบาง Application ที่เว็บมาสเตอร์มีการสร้างระบบสมาชิกโดยให้มีปุ่ม Login with Facebook ซึ่งกรณีนี้ระบบก็จะไปดึงข้อมูลที่เราได้ให้กับ Facebook มา แต่ในกรณีของ Digital platform เป็นเพียงระบบยืนยันตัวตน โดยให้ IdP ยืนยันตัวตนให้ RP และไม่มีการดึงข้อมูลส่วนบุคคลของผู้ใช้บริการมา

ในทางปฏิบัติ ธนาคาร A จะทำหน้าที่เป็น RP (หรือ Relying party) และติดต่อไปยังธนาคาร B โดยธนาคาร B จะทำการยืนยันตัวตนกับนาย ก. ผ่านช่องทางที่ได้ตกลงกันไว้ (Authenticator) และเมื่อธนาคาร B ได้ตรวจสอบแล้วว่าเป็นนาย ก. จริง จะส่งคำยืนยันไปยังธนาคาร A หรือ พูดง่าย ๆ ว่า ธนาคาร A ในฐานะ RP ได้ relying on ข้อมูลที่นาย ก. ได้ให้ไว้กับธนาคาร B

ดังนั้น การเปิดบัญชีของนาย ก. กับธนาคาร A จึงไม่ต้องทำ KYC ซ้ำอีกครั้ง โดย Digital Platform มีหน้าที่ในการเชื่อมต่อธนาคาร A, B และ นาย ก เข้าด้วยกัน

ใน Digital Platform มีภาครัฐด้วยหรือไม่ และกรณีเอกสารที่ออกโดยราชการ ?

หน่วยงานภาครัฐหรือหน่วยงานผู้ให้ข้อมูลที่น่าเชื่อถือ (Authoritative Source: AS) เช่น กรมการปกครอง สามารถให้บริการประชาชนผ่าน Platform ได้เช่นกัน  กล่าวคือ กรณีนาย ก. ข้างต้น หากธนาคารต้องการสำเนาบัตรประชาชนในการทำธุรกรรม 

นาย ก. ไม่จำเป็นต้องนำเอกสารสำเนาบัตรประชาชนและเซ็นสำเนาถูกต้องอย่างเช่นในอดีต โดยในขั้นตอนการขอเข้ารับบริการ คล้ายกับตัวอย่าง Facebook ข้างต้น นาย ก. สามารถเลือกยืนยันความถูกต้องของสำเนาบัตรประชาชนได้ โดยเลือกให้ กรมการปกครอง เป็น AS ในการตรวจสอบเอกสารราชการดังกล่าวได้

แนวคิดนี้ย่อมช่วยให้การพิสูจน์ตัวตนของบุคคลได้รับการยืนยันจากแหล่งข้อมูลที่น่าเชื่อถืออย่างแท้จริง อันเป็นการลดความเสี่ยงจากปัญหาในการปลอมแปลงเอกสาร และลดขั้นตอนในการตรวจสอบข้อมูลของผู้ให้บริการ

อย่างไรก็ดี เพื่อให้การพิสูจน์ตัวตนมีความปลอดภัย การส่งข้อมูลของ AS จะส่งตรงให้กับ RP (ในกรณีนี้คือธนาคาร) โดยไม่ผ่าน Platform จะมีเพียงการให้ความยินยอม (Consent) ของผู้ใช้บริการเท่านั้นที่จะทำผ่าน Platform

เฉพาะสถาบันการเงินเท่านั้นที่ได้ประโยชน์?

ไม่จำกัดเฉพาะสถาบันการเงิน การพิสูจน์ยืนยันตัวตนผ่าน Digital Platform จะมีประโยชน์กับอุตสาหกรรมอื่น ๆ ที่ต้องการพิสูจน์ยืนยันตัวบุคคลเพื่อการทำนิติกรรมสัญญา เช่น หากผู้ป่วยได้เข้ารักษาที่โรงพยาบาลแห่งหนึ่งโดยโรงพยาบาลดังกล่าวได้มีข้อมูลสุขภาพของผู้ป่วยเก็บไว้ และต่อมา ผู้ป่วยรายนั้นเข้าใช้บริการอีกโรงพยาบาลหนึ่ง (RP) ผู้ป่วยสามารถเลือกให้โรงพยาบาลรายหลัง Relying on ข้อมูลสุขภาพที่ได้ให้ไว้แล้วกับโรงพยาบาลแรกได้ 

ผู้ให้บริการที่ไม่มีระบบจัดการข้อมูลที่เพียงพอในการเชื่อมต่อกับ Platform จะทำอย่างไร?

ร่าง พ.ร.บ. Digital ID ได้กำหนดให้มีกลไกของผู้ให้บริการระบบทำการแทน หรือ Proxy ซึ่งทำหน้าที่ให้บริการ Server เพื่อเชื่อมต่อผู้ให้บริการรายเล็กหรือไม่มีระบบอิเลกทรอนิกส์ที่ดีพอในการเชื่อมต่อเข้ากับ Digital Platform

ความปลอดภัยของข้อมูลมีมากน้อยเพียงใด?

หลักการที่สำคัญของ ร่าง พ.ร.บ. Digital ID คือ Digital Platform เป็นระบบที่ไม่มีการเก็บข้อมูลไว้ที่ใดที่หนึ่ง แต่เป็นเพียงตัวกลางในการเชื่อมผู้เล่นแต่ละรายในกระบวนการพิสูจน์และยืนยันตัวตนเข้าไว้ด้วยกัน กล่าวคือ Platform จะใช้เทคโนโลยีที่เรียกว่า Distributed Ledger Technology (DLT) ซึ่งเป็นการทำงานในรูปแบบการกระจายข้อมูล โดยปราศจากคนกลางที่ทำหน้าที่เป็นผู้เก็บข้อมูล ดังนั้น ข้อมูลส่วนบุคคลของผู้ใช้บริการจึงยังคงได้รับความคุ้มครองตามมาตรฐานของกฎหมาย

ท้ายที่สุด ร่าง พ.ร.บ. Digital ID ถือว่าเป็นเรื่องใหม่ของประเทศไทย แต่จะมีบทบาทสำคัญในกระบวนการทำนิติกรรมสัญญาต่าง ๆ ในอนาคต ปัจจุบันกระทรวงการคลังได้อยู่ในขั้นตอนเสนอร่างดังกล่าว จึงเปิดรับฟังความคิดเห็นของประชาชน โดยสามารถอ่านรายละเอียดและร่วมแสดงความคิดเห็นได้ทางเว็ปไซต์ของสำนักงานเศรษฐกิจการคลัง (เว็บไซต์ :http://bit.ly/2KIQLQT) 

[บทความนี้เป็นความเห็นส่วนตัวของผู้เขียน]