นโยบายและเงื่อนไขการใช้บริการระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล

บริษัท เนชั่นแนลดิจิทัลไอดี จำกัด หรือ National Digital ID Co., Ltd. (NDID) เป็นบริษัทที่มีผู้ร่วมทุนหลากหลาย ซึ่งประกอบไปด้วย ธนาคารพาณิชย์ไทย (ทั้งรัฐและเอกชน) บริษัทหลักทรัพย์ บริษัทจัดการกองทุน บริษัทประกันชีวิต บริษัทประกันวินาศภัย บริษัทผู้ให้บริการชำระเงินทางอิเล็กทรอนิกส์ ตลาดหลักทรัพย์แห่งประเทศไทย บริษัทไปรษณีย์ไทย เป็นต้น ปัจจุบัน มีผู้ร่วมทุนใน NDID อยู่ประมาณมากกว่า 60 บริษัท ซึ่งผู้ร่วมทุนเหล่านั้นล้วนเป็นบริษัทและองค์กรที่มีความน่าเชื่อถือสูงและส่วนใหญ่อยู่ภายใต้การกำกับดูแลของหน่วยงานที่มีอำนาจตามกฎหมาย เช่น ธนาคารแห่งประเทศไทย (ธปท.) สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) สำนักงานคณะกรรมการกำกับและส่งเสริมธุรกิจประกันภัย (คปภ.) และสำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) เป็นต้น ดังนั้น NDID จึงมีนโยบายการทำงานในด้านต่างๆ ให้เทียบเท่ากับบริษัทและองค์กรที่มีการกำกับดูแลที่ดีดังกล่าวข้างต้น อาทิเช่น งานทางด้านระบบการรักษาความปลอดภัยทางด้าน IT งานทางด้านนโยบายการรักษาข้อมูลส่วนบุคคล เป็นต้น

เนื่องด้วยความไว้วางใจของลูกค้าที่มีต่อระบบจัดการของ NDID ที่ให้บริการต่อลูกค้าในปัจจุบัน NDID จึงให้ความสำคัญและตระหนักถึงความรับผิดชอบในการดำเนินการด้านต่างๆ เพื่อให้สอดคล้องและเป็นไปตามกฎหมายที่เกี่ยวข้อง โดยเฉพาะพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 4) พ.ศ. 2562 และพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2562 เป็นต้น

1.นิยาม

  1. “ลูกค้า” หมายถึง บุคคลทั่วไปที่ใช้บริการกับสมาชิก
  2. “สมาชิก” นิติบุคคลใดๆที่มีนิติสัมพันธ์ กับ NDID มี 3 ประเภท
    1. ผู้ให้ข้อมูลที่น่าเชื่อถือ (“Authoritative Source” หรือ “AS”) หมายถึง นิติบุคคลหรือหน่วยงานที่มีข้อมูลส่วนบุคคลที่น่าเชื่อถือของผู้ขอใช้บริการ
    2. ผู้พิสูจน์และยืนยันตัวตน (“Identity Provider” หรือ “IdP”) หมายถึง นิติบุคคลหรือหน่วยงานซึ่งมีหน้าที่พิสูจน์และยืนยันตัวตนของผู้ขอใช้บริการ
    3. ผู้ให้บริการ (“Relying Party” หรือ “RP”) หมายถึง นิติบุคคลหรือหน่วยงานซึ่งเป็นผู้ให้บริการที่จำเป็นต้องมีการพิสูจน์และยืนยันตัวตนของผู้ขอใช้บริการก่อนการให้บริการ
  3. “NDID” หมายถึง บริษัท เนชั่นแนลดิจิทัลไอดี จำกัด หรือ National Digital ID Co., Ltd. (NDID)
  4. “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

2. รายละเอียดทั่วไป

นโยบายและเงื่อนไขการใช้บริการนี้มีขึ้นเพื่อการชี้แจงรายละเอียดรูปแบบการบริการ การเชื่อมต่อระหว่างสมาชิก เทคโนโลยีที่ใช้ และวิธีการรับส่งข้อมูล ของสมาชิกบน NDID Platform โดยท่านรับทราบว่า NDID อาจดำเนินการปรับปรุงหรือแก้ไข รูปแบบดังกล่าว เพื่อให้สอดคล้องกับแนวทางการให้บริการและหลักเกณฑ์ของกฎหมายที่มีการเปลี่ยนแปลงไป โดยอาจไม่ได้แจ้งหรือบอกกล่าวให้ท่านทราบล่วงหน้า ดังนั้น ท่านจึงควรติดตามนโยบายดังกล่าวที่กำหนดไว้นี้อยู่เสมอ อย่างไรก็ดี NDID จะเผยแพร่การเปลี่ยนแปลงในหน้าเว็บไซต์นี้

3. รูปแบบการให้บริการ การเชื่อมต่อระหว่างสมาชิก เทคโนโลยีที่ใช้ และวิธีการรับส่งข้อมูล

สิ่งที่อ้างอิง

3.1) ขั้นตอนสำคัญก่อนการใช้บริการ

3.1.1 การพิสูจน์ตัวตัน (Identity Proofing) และการเชื่อมโยงสิ่งที่ใช้ยืนยันตัวตน (Authenticators or Credentials)

3.1.1.1) ลูกค้ามาเปิดบัญชีที่ธนาคาร และเจ้าหน้าที่ธนาคารขอหลักฐานเพิ่มเติม (Identity Evidence) เช่น บัตรประชาชน

3.1.1.2) เจ้าหน้าที่ธนาคารให้ลูกค้า กรอกแบบฟอร์มการเปิดบัญชี ใช้เครื่องอ่านบัตรประชาชน พร้อมถ่ายรูป จากนั้นระบบของธนาคารมีการตรวจสอบสถานะบัตรประชาชน ตรวจสอบคุณสมบัติต่างๆตามเกณฑ์กฎหมายที่เกี่ยวข้องและ ใช้ระบบเปรียบเทียบรูปภาพ (Facial Recognition or FR) ด้วยระบบเทคโนโลยีสารสนเทศ ขั้นตอนดังกล่าวเป็นไปตามกฎเกณฑ์และมาตรฐานที่กำหนดโดย ธนาคารแห่งประเทศไทย และ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ. หรือ ETDA) ซึ่งหมายถึงการทำ KYC ที่ระดับ Identity Assurance Level (IAL 2.3)

อนึ่งระหว่างการถ่ายรูปเก็บและทำการเปรียบเทียบภาพ (FR) ธนาคารจะจัดให้ลูกค้ายินยอมและรับทราบการทำ FR ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Biometrics & Terms &Condition Consents) ตลอดจนถึงรับทราบเงื่อนไขและข้อกำหนดการใช้บริการต่างๆ อาทิเช่น การเปิดบัญชี การเปิดบริการ Mobile Banking การเปิดบัตร ATM และรวมถึงการใช้งาน NDID Platform (Accept NDID Terms & Conditions) กรณีที่ลูกค้าไม่ยินยอมให้ทำ FR ธนาคารจะแจ้งผลกระทบที่เกิดขึ้นให้รับทราบเช่น ไม่สามารถทำธุรกรรมที่ผ่าน NDID Platform ได้ เป็นต้น

3.1.1.3) เจ้าหน้าที่จะออกสิ่งที่ใช้ยืนยันตัวตน (Authenticator) ในกรณีนี้ขอยกตัวอย่างเป็น Mobile Banking ซึ่งต้องลงทะเบียนให้กับลูกค้าเป็นรายๆ พร้อมกับตั้งรหัส (PIN)

3.1.1.4) ลูกค้าสามารถใช้ Mobile Banking ใช้ในการยืนยันตัวตนผ่านระบบ NDID Platform ได้

รูปแบบการให้บริการ NDID Platform Model

จากแผนภาพดังกล่าว เริ่มต้นจาก

1) ลูกค้าของ RP ประสงค์จะเปิดใช้บริการใหม่ บนระบบของ RP โดยปฏิบัติตามขั้นตอนของระบบ RP ที่ออกแบบมาและผ่านการตรวจสอบรับรองจาก NDID แล้ว ก่อนการให้บริการ

2) ลูกค้าเลือก IdP จากบนระบบ RP เพื่อทำการยืนยันตัวตน

3) ระบบ RP ทำการร้องขอไปยัง IdP ที่ลูกค้าเลือกในขั้นตอนที่ 2 ผ่าน NDID Platform (Blockchain)

4) IdP ส่งคำร้องขอยืนยันตัวตนไปยัง

1. Mobile Banking ที่ลงทะเบียนไว้ สำหรับลูกค้าแต่ละราย หลังจากนั้น

2. ลูกค้าเข้าสู่ระบบ IdP ด้วย PIN หรือ Security ตามที่ IdP กำหนดไว้ และอาจจะ (ขึ้นกับ RP ร้องขอ)

3. ถ่ายรูปตนเอง (Selfie) เพื่อทำการเปรียบเทียบกับภาพตนเองตอนที่ทำการพิสูจน์ตัวตนครั้งแรกที่จุดบริการ IdP

5) RP ได้รับสถานะของการยืนยันตัวตน และส่งคำร้องขอข้อมูลไปยัง AS ต่อมา AS ทำการตรวจสอบสถานการณ์ยืนยันตัวตนบนระบบ NDID Platform

6) AS ส่งข้อมูลกลับไปยัง RP นอก NDID Platform (การส่งข้อมูลนี้ออกแบบระบบ และมีการเข้ารหัสข้อมูลแบบ PKI โดย NDID)

7) RP ให้ลูกค้ากรอกข้อมูลเพิ่มเติม ตรวจสอบความถูกต้องอีกครั้ง และเปิดบริการให้กับลูกค้าได้เลย

จุดสำคัญสำหรับระบบ NDID Platform

1) NDID platform เป็นระบบ Distributed Ledger (Blockchain)

2) NDID platform ทำการเชื่อมโยงระหว่างสมาชิก หลักการออกแบบเน้น Security and Data Privacy by design ไม่มีข้อมูลส่วนบุคคลใดๆ ที่เขียนลงบน NDID Platform

3) ข้อมูลที่ส่งผ่าน NDID platform และบันทึกเป็นเพียงแค่ #Timestamp เป็นการร้องขอจาก รหัสสมาชิกใด ไปยัง รหัสสมาชิกใคร วัน เวลา ใด ด้วยรหัสบริการอะไร ชุดข้อมูลระดับความเสี่ยงในการพิสูจน์และยืนยันตัวตน (IAL, AAL) บวกกับ ชุดข้อมูล (request parameters) ที่มีรหัสสุ่ม (salt and randomized) และผ่านขบวนแฮชและการเข้ารหัส (Hash – SHA-256, AES-256 & Distributed PKI)

ทั้งนี้ ชุดข้อมูล (request parameters) นั้นสามารถเป็นข้อมูลใดๆก็ได้ ที่ตกลงกันระหว่างผู้รับ ผู้ส่ง และ NDID เช่น ข้อความยินยอม สัญญา รายละเอียดต่างๆ ที่เกี่ยวข้อง ที่อาจมีข้อมูลส่วนบุคคล แต่เมื่อใส่ Salt+Randomized และ Hash จะไม่สามารถคำนวณย้อนกลับตามหลักการทางคณิตศาสตร์ ไม่สามารถระบุข้อมูลตั้งต้นได้ ซึ่งตามกฎการคุ้มครองข้อมูลส่วนบุคคล (GDPR) ไม่ถือเป็นข้อมูลส่วนบุคคล

4) ข้อมูลส่วนบุคคลที่ส่งระหว่างสมาชิก จะส่งผ่านนอก NDID Platform ระหว่างผู้รับและผู้ส่งเท่านั้น ด้วยมาตรฐานและความปลอดภัยตามที่ NDID ออกแบบให้ (Distributed PKI)

5) ด้วยเทคโนโลยี Blockchain ข้อมูล #Timestamp จะปรากฏอยู่บนทุก nodes ของสมาชิก และไม่สามารถลบออกได้

โดยสรุป

ด้วยหลักการการบริการของ NDID ที่ออกแบบมาเป็นอย่างดีแบบ Data Security and Privacy by Design เป็นบริการที่มีความปลอดภัยสูงด้วยการใช้เทคโนโลยีแฮชและการเข้ารหัสในการรับส่งข้อมูล (Hash – SHA-256, AES-256 & Distributed PKI) และระบบไม่มีการรวมศูนย์เก็บข้อมูล ไม่มีข้อมูลส่วนบุคคลบนระบบ ข้อมูลยังคงอยู่กับหน่วยงานที่ดูแลข้อมูลและให้บริการลูกค้า หรือสมาชิก ระบบถูกออกแบบภายใต้แนวคิด Decentralized ด้วยเทคโนโลยี Blockchain ซึ่งผู้ดูแลระบบคือ NDID จะไม่สามารถเข้าใจได้ว่าข้อมูลที่ปรากฏในระบบนี้คือข้อมูลของลูกค้าใดๆ ดังนั้นโดยระบบการให้บริการแล้วทางสมาชิกและลูกค้าของสมาชิกจึงมั่นใจได้ถึงความปลอดภัยของข้อมูลที่ผ่าน NDID

ลักษณะธุรกรรมของ NDID จะไม่มีการติดต่อโดยตรงกับลูกค้า NDID มีนิติสัมพันธ์กับสมาชิกเท่านั้นรวมถึงการเชื่อมโยงระบบเข้าด้วยกัน ลูกค้าจะติดต่อผ่านสมาชิกของ NDID โดยตรงไม่ว่าจะเป็น Relying Party (RP), Identity Provider (IdP), หรือ Authoritative Source (AS) ดังนั้น NDID จึงไม่ได้เก็บข้อมูลส่วนบุคคลใดๆ ไว้เลย และจึงไม่มีนโยบายใดๆ เช่น การส่ง SMS หรือ อีเมล์ เพื่อขอข้อมูลส่วนบุคคลจากใคร

4. ข้อสงสัยเกี่ยวกับข้อมูลส่วนบุคคล

4.1 หากท่านเชื่อว่า NDID เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้า หรือมีข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้บน NDID Platform ท่านสามารถติดต่อ NDID การติดต่อเรื่องนโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อ NDID จะได้ทำการตรวจสอบต่อไป

4.2 NDID จะพยายามอย่างเต็มที่ตามความสามารถของระบบงานที่เกี่ยวข้องเพื่ออำนวยความสะดวกและดำเนินการตามคำร้องขอของท่าน เว้นแต่จะปรากฏข้อเท็จจริงว่า การดำเนินการตามคำร้องขอนั้นเสี่ยงต่อการละเมิดนโยบายความเป็นส่วนตัวของผู้ใช้งานรายอื่น หรือเป็นการขัดต่อกฎหมาย หรือนโยบายความปลอดภัยของระบบ หรือกรณีที่เป็นการพ้นวิสัยในทางปฏิบัติตามคำร้องขอ

หมายเหตุ : ในกรณีที่มีการร้องขอให้ลบข้อมูลส่วนบุคคลของท่านจากระบบนั้น NDID จะใช้ความพยายามอย่างเต็มที่เพื่อดำเนินการลบข้อมูลของท่านออกจากระบบด้วยเทคโนโลยีและความสามารถของระบบงานในปัจจุบัน อย่างไรก็ดีข้อมูลดังกล่าวอาจจะยังคงได้รับการบันทึกหรือทำสำเนาไว้ที่เซิร์ฟเวอร์ (Server) ทั้งในและต่างประเทศ หรือระบบสำรอง (Backup System) ของ NDID เพื่อเป็นการสำรองข้อมูลในกรณีที่เกิดความผิดพลาด บกพร่อง หรือเกิดจากความขัดข้องของระบบ หรือในกรณีที่เกิดจากการการกระทำใด ๆ ที่มีจุดประสงค์มุ่งร้ายต่อบุคคลหรือซอฟต์แวร์อื่น ตลอดจนเพื่อเก็บเป็นพยานหลักฐาน หรือเพื่อปฏิบัติตามหน้าที่ตามกฎหมายที่ใช้บังคับ