2016-09-27 10:46:28

ETDA เปิดเวทีประชาคมรับความเห็น ก่อนออก 3 Recommendation ด้านมาตรฐาน

หน่วยงานรัฐ-เอกชน ร่วมให้ข้อคิดเห็นและรับฟังคับคั่ง ETDA ยัน พร้อมนำข้อมูลที่ได้รับทั้งหมด ไปปรับปรุงมาตรฐานการจัดทำใบรับรอง ใบอนุญาต และเอกสารอิเล็กทรอนิกส์ให้มีประสิทธิภาพ ถูกต้อง ครบถ้วน และสมบูรณ์มากยิ่งขึ้น

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงไอซีที โดย สำนักมาตรฐาน เปิดบ้านเชิญหน่วยงานและผู้สนใจร่วม Town-hall Meeting เพื่อรับฟังความคิดเห็นต่อร่างข้อเสนอแนะมาตรฐานที่เกี่ยวกับการจัดทำเอกสารอิเล็กทรอนิกส์ เมื่อบ่ายวันพฤหัสบดีที่ 1 กันยายน 2559 ที่ผ่านมา ณ ห้อง Open Forum ของ ETDA โดยมี วรรณวิทย์ อาขุบุตร รองผู้อำนวยการ ETDA และรักษาการผู้อำนวยการสำนักมาตรฐาน ETDA ธิติกร ตระกูลศิริศักดิ์ รองผู้อำนวยการและรักษาการผู้อำนวยการสำนักโครงสร้างพื้นฐานสารสนเทศ ETDA เป็นวิทยากรหลัก พร้อมด้วย สันต์ทศน์ สุริยันต์ และ ดร.เกียรติชัย ตรีรัตนาพิทักษ์ ผู้ชำนาญการอาวุโส สำนักโครงการพิเศษ ETDA ร่วมดำเนินรายการ

(ร่าง) ข้อมาตรฐานด้านเทคโนโลยีสารสนเทศและการสื่อสารที่จำเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์ของ ETDA (ETDA Recommendation) ที่นำเสนอในวันนี้ ได้แก่ (ร่าง) ข้อเสนอแนะฯ ว่าด้วยการจัดทำหนังสือรับรองในรูปแบบอิเล็กทรอนิกส์ (Page-Based Electronic Certificate Format) (ร่าง) ข้อเสนอแนะฯ ว่าด้วยการจำแนกประเภทและระบุหมายเลขไอดีของบริการภาครัฐ (Classification and Identification of Government Services) และ (ร่าง) ข้อเสนอแนะฯ ว่าด้วยการใช้ข้อความ XML สำหรับการแลกเปลี่ยนข้อมูลอิเล็กทรอนิกส์ระหว่างหน่วยงาน (Using XML Message for Electronic Document Exchange)

วรรณวิทย์ กล่าวว่า TFA (Trade Facilitation Agreement) จะมีสภาพบังคับใช้เมื่อครบ 120 ประเทศ ปัจจุบันใช้ไปแล้ว 91 ประเทศ หากครบ 120 ประเทศเมื่อใด จะมีสภาพการใช้งานโดยไม่มีข้อโต้แย้ง ซึ่งหน่วยงานต่าง ๆ ควรศึกษาถึงผลกระทบต่อหน่วยงานว่ามีอะไรบ้าง หากพบว่าหน่วยงานของตนเองมี Electronic Certificate หรือหนังสือรับรองอิเล็กทรอนิกส์นับร้อยรายการที่ต้องออก ก็ควรต้องออกให้ได้ในรูปแบบอิเล็กทรอนิกส์

ธิติกร เสริมว่า การลงลายมือชื่ออิเล็กทรอนิกส์ตาม ETDA Recommendation นี้อ้างอิงตามมาตรา 26 ของ พ.ร.บ.ว่าด้วยธุรกรรมอิเล็กทรอนิกส์ฯ ซึ่งเป็นมาตรการพื้นฐานในการตรวจสอบ Electronic Certificate ว่าออกโดยหน่วยงานที่มีอำนาจจริงและไม่ถูกเปลี่ยนแปลงแก้ไข ทั้งนี้หากหน่วยงานต้องการเพิ่มมาตรการในการตรวจสอบที่นอกเหนือจากการลงลายมือชื่ออิเล็กทรอนิกส์ก็ย่อมสามารถทำได้ตามความต้องการ แต่ต้องอยู่ภายใต้ข้อกำหนดของมาตรฐาน ISO 19005-3:2012 ซึ่งเป็นมาตรฐานของไฟล์เอกสาร PDF/A เช่น การใส่ลายน้ำ การแทรกข้อความขนาดเล็ก (Microtext)

ในส่วนของการกำหนดหมายเลขไอดีเพื่อใช้สำหรับบริการของภาครัฐ โดยปกติคอมพิวเตอร์จะไม่สามารถเข้าใจได้ว่าเอกสารฉบับนั้น ๆ คือเอกสารอะไร มีที่มาอย่างไร ใครเป็นเจ้าของ เหมือนสายตาของมนุษย์ ดังนั้นจึงมีความจำเป็นต้องกำหนดหมายเลขไอดีเข้าไปในเอกสารเพื่อให้คอมพิวเตอร์เข้าใจได้ว่า เอกสารฉบับนี้คือเอกสารอะไร ถูกจัดทำขึ้นเพื่อวัตถุประสงค์หรือบริการใด เนื้อหามีข้อมูลใดบ้าง และใครเป็นเจ้าของ ดังนั้น ETDA Recommendation จะช่วยให้คอมพิวเตอร์ปลายทางสามารถแยกแยะ รวมถึงตรวจสอบข้อมูลได้อย่างถูกต้องและเป็นเวอร์ชันล่าสุด

ส่วน ETDA Recommendation ว่าด้วยการแลกเปลี่ยนข้อมูล XML นั้น หากหน่วยงานต้องการแลกเปลี่ยนข้อมูลระหว่างกัน ควรกำหนดมาตรฐานการแลกเปลี่ยนแบบเดียวกันเพื่อให้สามารถระบบสามารถพูดคุยในรูปแบบเดียวกันได้ ซึ่งหมายถึง XML Schema ควรเป็นอย่างไร หากจะมีการลงลายมือชื่ออิเล็กทรอนิกส์ใน XML จะส่งในรูปแบบอย่างไร และเมื่อจะแลกเปลี่ยนข้อมูลควรใช้รูปแบบอย่างไร ซึ่งควรสอดคล้องตามมาตรฐานสากล

สำหรับในช่วงรับฟังความคิดเห็น มีหลายประเด็นที่น่าสนใจ เช่น

“ขั้นตอนและค่าใช้จ่าย”

ธิติกร ชี้แจงว่า ในส่วนของการออกใบอนุญาต ต้องมีการดำเนินการสร้าง PDF ซึ่งจริง ๆ แล้วข้อมูลนั้นอยู่ในคอมพิวเตอร์ทั้งหมด อยู่ที่ว่าต้องสร้างเป็น PDF และลงลายมือชื่ออย่างไร โดยมีค่าใช้จ่ายในส่วนของ Software License ประมาณหลักแสนต่อหนึ่งเซิร์ฟเวอร์ ส่วนการออกหมายเลขไอดีนั้น ETDA สามารถออกให้ได้โดยไม่มีค่าใช้จ่าย นอกจากนี้ ETDA ยังจัดให้มีระบบศูนย์กลางในการค้นหาข้อมูลไอดีของแต่ละหน่วยงานที่ขึ้นทะเบียนไว้ด้วย วรรณวิทย์ เสริมว่า การสร้าง Electronic Certificate ตามที่ ETDA แนะนำนี้ไม่ผูกติดกับซอฟต์แวร์รายใดรายหนึ่ง เนื่องจาก PDF/A เป็นมาตรฐานกลางที่ซอฟต์แวร์รายใดก็สามารถสร้างได้ หรือแม้แต่ Open Source Software ก็สามารถทำได้ สิ่งสำคัญคือมาตรฐานกลางที่ทำให้ทุกฝ่ายสามารถแลกเปลี่ยน และส่งข้อมูลระหว่างกันได้ สำหรับค่าใช้จ่าย (cost) หลักนั้น อยู่ที่ความเข้าใจในธุรกิจตนว่า ข้อมูล (data) ของตนนั้นคืออะไร ข้อมูลที่มีอยู่พร้อมที่จะนำไปเชื่อมต่อกับหน่วยงานอื่นได้หรือไม่ จะแลกเปลี่ยนข้อมูลกับหน่วยงานอื่นด้วยมาตรฐานอะไรสามารถตอบวัตถุประสงค์ได้หรือไม่ เหล่านี้จะทำให้เข้าใจค่าใช้จ่ายหลักได้อย่างแท้จริง

“การตรวจสอบลายมือชื่อของบุคคล ในกรณีที่ Certificate หมดอายุหรือถูกเพิกถอน รวมถึงกรณีที่มีการเปลี่ยนแปลงผู้มีอำนาจลงนามในภายหลัง”

ธิติกร กล่าวว่า วิธีการตรวจสอบว่าลายมือชื่ออิเล็กทรอนิกส์ที่ลงนามนั้นมีผลผูกพันเจ้าของลายมือชื่ออิเล็กทรอนิกส์หรือไม่ ให้ใช้หลักคิดเดียวกันกับการตรวจสอบลายมือชื่อแบบปกติ คือ ให้พิจารณา ณ วันที่ลงลายมือชื่ออิเล็กทรอนิกส์นั้น หาก ณ วันที่ลงลายมือชื่ออิเล็กทรอนิกส์เจ้าของลายมือชื่อยังคงมีอำนาจในการลงนาม อีกทั้ง Certificate ที่ใช้ในการตรวจสอบลายมือชื่ออิเล็กทรอนิกส์ยังไม่หมดอายุหรือถูกเพิกถอน แม้ในภายหลังจะมีเหตุดังที่กล่าวมาก็ไม่ทำให้เจ้าของลายมือชื่อปฏิเสธความมีผลผูกพันได้

“ธนาคารที่ทำเอกสารแทนลูกค้าเพื่อส่งหน่วยราชการ สามารถลงลายมือชื่ออิเล็กทรอนิกส์แทนลูกค้าและส่งเอกสารไปหาหน่วยงานนั้น ๆ โดยตรงได้หรือไม่”

วรรณวิทย์ กล่าวว่า โดยหลักนั้นทำไม่ได้ เนื่องจากการใช้กุญแจส่วนตัว (Private Key) เพื่อลงลายมือชื่ออิเล็กทรอนิกส์จะต้องอยู่ภายใต้การควบคุมของเจ้าของลายมือชื่อเท่านั้น ในกรณีดังกล่าวควรนำหลักการมอบอำนาจมาใช้

“ความแตกต่างของกรมธรรม์ต้นฉบับ-คู่ฉบับ ระหว่างกระดาษกับอิเล็กทรอนิกส์”

ธิติกร กล่าวว่า โดยปกติกรมธรรม์ที่เป็นกระดาษจะทำเป็น 2 ชุด ทั้งที่เป็นต้นฉบับและคู่ฉบับ แต่หากทำเป็นอิเล็กทรอนิกส์แล้ว ไม่จำเป็นต้องทำเป็น 2 ชุด เนื่องจากในมุมมองตนการทำสำเนาเอกสารอิเล็กทรอนิกส์ไม่ว่าจะทำสำเนากี่ครั้งเอกสารอิเล็กทรอนิกส์นั้นก็ยังคงเป็นไฟล์เดิม คือมีสถานะเป็นต้นฉบับเหมือนกันทั้งหมด ซึ่งจุดนี้เป็นจุดที่แตกต่างจากการทำสำเนาเอกสารกระดาษ ดังนั้นจึงมองว่าการเก็บไฟล์เดียวก็เพียงพอ และหากคู่สัญญาทำกรมธรรม์ของตนหาย ทางบริษัทก็สามารถส่งไฟล์เดิมไปให้ได้ อีกทั้งการทำ Time Stamping หรือการประทับรับรองเวลาเอกสารจะช่วยยืนยันได้ว่ากรมธรรม์ดังกล่าวมีอยู่จริง ณ วันเวลาที่ประทับรับรอง และหากมีการแก้ไขภายหลังจากลงนามครั้งสุดท้ายก็สามารถตรวจสอบได้

“หน่วยงานที่ต้องการใช้ OID ต้องมีการเตรียมสิ่งใดบ้างเพื่อให้มีหมายเลข OID ของหน่วยงาน”

ณัฐฑพัฒน์ โรจนศุภมิตร นักวิเคราะห์ธุรกิจ สำนักมาตรฐาน ETDA กล่าวว่า โครงสร้างของ OID ในกิ่งของประเทศไทยนั้นทางกระทรวงไอซีทีเป็นผู้ดูแลอยู่ และทาง ETDA จะส่งข้อมูลให้กระทรวงฯ ทุกปีเพื่อรายงานต่อ ISO-ITU และดำเนินการเผยแพร่ที่ส่วนกลางต่อไป โดยกิ่งภายใต้ ETDA นั้น ETDA ได้จัดให้มีระบบสำหรับลงทะเบียนกับ ETDA ซึ่งจะมีการแสดงเฉพาะกิ่งภายใต้กิ่ง ETDA เท่านั้น โดยปัจจุบันได้มีการใช้งานแล้วตัวอย่างเช่น  มาตรฐาน NPMS ที่มีการนำ OID ไปใช้ในการอ้างอิงถึง Object นั้น ๆ

ธิติกร เพิ่มเติมว่า ตัวโครงสร้างของ OID มีจุดในแต่ละระดับที่กำหนดไว้ให้ภาครัฐ ตั้งแต่เลข 1000-9999 และได้กำหนดไว้ให้สำหรับเอกสารเป็นเลขหลักตั้งแต่ 10,000 ขึ้นไป ซึ่งจะอยู่ใน ETDA Recommendation ฉบับถัดไป

ณัฐฑพัฒน์ เสริมว่า ETDA Recommendation มีการระบุขั้นตอนการสมัครและมีการประกาศที่หน้าเว็บไซต์ เช่น ต้องมีหนังสือขอใช้งานที่มีอำนาจเซ็นตามหน่วยงานและมากรอกแบบฟอร์มที่หน้าเว็บ ซึ่งทาง ETDA จะส่งหมายเลข OID กลับไปให้ ซึ่งหน่วยงานที่ได้รับหมายเลข OID แล้วสามารถบริหารจัดการ OID ได้ด้วยตนเอง ทั้งนี้โครงสร้างที่ ETDA เสนอแนะนี้ก็เพื่อที่จะให้ทุกหน่วยงานมีโครงสร้างของกิ่งในแต่ละชั้นที่เหมือนกัน

ทาง ETDA Open Forum ขอขอบคุณผู้เข้าร่วมพูดคุยครั้งนี้ โดยหัวข้อการพูดคุยครั้งต่อไปจะเป็นประเด็นใด สามารถติดตามรายละเอียดได้ที่ www.etda.or.th และ http://ictlawcenter.etda.or.th

ข่าวที่เกี่ยวข้อง

ICT LAW CENTER  ขอเชิญร่วมทำแบบประเมินความพึงพอใจในการเข้าถึงข้อมูล ของ สพธอ.

    * ท่านมีความพึงพอใจในช่องทางการเข้าถึงข้อมูลเกี่ยวกับร่างกฎหมาย/คู่มือ/แนวปฏิบัติ ที่ สพธอ. จัดเตรียมไว้ มากน้อยเพียงใด