National Digital ID : ธุรกรรมยุค Thailand 4.0
หลายทศวรรษที่ผ่านมา การติดต่อกับหน่วยงานราชการ ทำธุรกรรมต่างๆ ผู้ทำธุรกรรมจำเป็นต้องกรอกเลข 13 หลักบนบัตรประชาชนหรือถ่ายสำเนา
พร้อมรับรองสำเนาถูกต้องเพื่อยืนยันตัวตน หากต้องติดต่อกับหน่วยงาน 10 แห่ง ก็จำต้องทำเช่นเดียวกันนี้ทั้ง 10 แห่ง ก่อให้เกิดความซ้ำซ้อน ยุ่งยาก และยังตรวจสอบได้ยาก ทำให้เกิดความล่าช้าในการดำเนินธุรกิจการปลอมแปลงเอกสาร หรือการสวมสิทธิต่างๆ เป็นต้น
รัฐบาลจึงเร่งพัฒนา Digital ID Platform เพื่อให้ประเทศไทยก้าวตามยุทธศาสตร์ Thailand 4.0 ได้อย่างมีประสิทธิภาพ ซึ่งจะช่วยเพิ่มความสะดวกในเรื่องการยืนยันตัวตนในการทำธุรกรรมต่างๆ มากขึ้น โดยออกร่างกฎหมายต่างๆ ออกมาเพื่อควบคุมดูแล อาทิ ร่าง พ.ร.บ.การพิสูจน์และยืนยันตัวตนทางดิจิทัล พ.ศ.... ร่าง พ.ร.ฎ.ว่าด้วยการควบคุมดูแลการประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล พ.ศ.... และร่างประกาศสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ เรื่องแนวทางการเข้าร่วมโครงการทดสอบนวัตกรรมเกี่ยวกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล พ.ศ.... (Digital ID Sandbox)
Digital ID หรือระบบพิสูจน์และยืนยันตัวตนทางดิจิทัล คือกระบวนการและขั้นตอนการยืนยันตัวเองผ่านทางอิเล็กทรอนิกส์ โดยเชื่อมต่อการยืนยันฯ จากทุกภาคส่วนเข้ามาไว้ด้วยกัน กล่าวคือมีการระบุอัตลักษณ์และคุณลักษณะของบุคคลด้วยช่องทางดิจิทัล (Digital Identity) ที่ทำให้รู้ได้อย่างแน่ชัดว่าเป็นบุคคลตัวจริง โดยเฉพาะกับหน่วยงานที่ยังไม่เคยมีข้อมูลหรือรู้จักผู้ใช้มาก่อนเลย โดยการทำงานของระบบนี้จะมีกระบวนการหลักๆ อยู่ 2 ขั้นตอน คือ ขั้นตอนการพิสูจน์ตัวตน (Identification) และขั้นตอนการยืนยันตัวตน (Authentication)
ขั้นตอน Identification ซึ่งเป็นการนำข้อมูลตัวตนดิจิทัลกับตัวตนบนโลกจริงมาพิสูจน์ว่าเป็นบุคคลเดียวกัน เริ่มจากผู้สมัครใช้บริการ (Entity) ต้องลงทะเบียนเป็นผู้ใช้บริการกับผู้ให้บริการด้านการเข้าถึงข้อมูล (IdProvider : IdP) ซึ่ง IdP จะพิสูจน์ตัวตนของ Entity ตามระดับความน่าเชื่อถือที่กำหนดไว้ โดยอาจตรวจสอบข้อมูลกับผู้ให้ข้อมูลที่น่าเชื่อถือ (authoritative source : AS) หากข้อมูลสมัครที่ยื่นมาตรงกับที่ IdP ยื่นขอไปยัง AS IdP จะออก “ใบรับรองพิสูจน์ตัวตน” หรือ Credential และเก็บข้อมูลของบุคคลนั้นไว้ เป็นการยืนยันอัตลักษณ์ทางดิจิทัลของบุคคลนั้นและอนุญาตให้ทำธุรกรรมทางดิจิทัลได้
โดย “ผู้สมัครใช้บริการ”(Entity) จะเปลี่ยนสถานะเป็น “ผู้ใช้บริการ” ที่สามารถเข้าถึงการยืนยันอัตลักษณ์ผ่านการยื่น Credential กับ IdProvider ที่กำหนดไว้เท่านั้น โดย Credential มีหลายรูปแบบ ตั้งแต่เป็นเอกสารอย่างบัตรประชาชน ไปจนถึงข้อมูลทางชีวภาพหรือ Biometric ก็สามารถนำมาใช้รับรองตัวตนทางดิจิทัลได้
ขั้นตอน Authentication เมื่อผู้ใช้บริการต้องการเข้าใช้บริการหรือทำธุรกรรมออนไลน์กับผู้ให้บริการ (Relying Party หรือ RP) ผู้ใช้บริการสามารถขอให้ IdP ที่ตนเองเคยพิสูจน์ตัวตนช่วยยืนยันตัวตนได้ โดยผู้ใช้บริการส่ง Credential ยืนยันตัวตนกับ IdP ว่าเป็นบุคคลเดียวกัน เมื่อ IdP ตรวจสอบเรียบร้อยแล้ว จึงส่งผลการยืนยันตัวตนซึ่งมีข้อมูลอัตลักษณ์เกี่ยวกับผู้ใช้บริการทางดิจิทัลให้กับ RP เพื่อให้ RP พิจารณาคำขอให้บริการของผู้ใช้บริการต่อไป
ทั้งนี้ สิ่งที่ใช้ยืนยันตัวตนแต่ละประเภทมีระดับความปลอดภัยจากการโจมตีโดยผู้ไม่ประสงค์ดีแตกต่างกัน จึงแบ่งสิ่งที่ใช้ยืนยันตัวตนเป็นระดับเรียกว่า “ระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตน (authenticator assurance level : AAL)” ซึ่งเป็นระดับที่บ่งบอกความน่าเชื่อถือว่าผู้ที่ยืนยันตัวตนเป็นบุคคลเดียวกับที่ได้ลงทะเบียนไว้กับ IdP
เมื่อเราต้องการใช้งานทำธุรกรรม จะต้องดำเนินกระบวนการยืนยันตัวตน (Authentication) เพื่อขอรับบริการ ผู้ใช้บริการส่ง Credential ยืนยันตัวตนกับ IdProvider ผู้ใช้บริการจะเป็นผู้เดียวที่ถือ Credential ดังนั้น จึงต้องยื่น Credential แก่ IdProvider เองเพื่อรับรองสิทธิการยืนยันอัตลักษณ์แก่ Relying Party
ตัวอย่าง กรณีบุคคลประสงค์จะเข้ารับบริการรักษาจากโรงพยาบาล นายอันดา (ผู้ใช้บริการ : Entity) เข้าไปติดต่อกับโรงพยาบาลภูเก็ต (ผู้ให้บริการ Relying Party : RP) เพื่อเข้ารับการรักษา ซึ่งนายอันดาเคยผ่านกระบวนการในการรู้จักและพิสูจน์ตัวตนลูกค้า (Know Your Customer : KYC) กับธนาคารบีและโรงพยาบาลซีมาแล้วกล่าวคือในขั้นตอนการเปิดบัญชีกับธนาคารบีและการเข้ารับการรักษากับโรงพยาบาลซี นายอันดาได้ลงทะเบียนและให้ข้อมูลอัตลักษณ์คุณลักษณะไว้กับธนาคารบีและโรงพยาบาลซีแล้ว
ในการนี้นายอันดาไม่ต้องทำ KYC กับโรงพยาบาลภูเก็ตอีก เพียงแต่โรงพยาบาลภูเก็ตต้องพึ่งพาข้อมูลจากธนาคารบีหรือโรงพยาบาลซี ซึ่งนายอันดาสามารถเลือกธนาคารบีหรือโรงพยาบาลซีทำหน้าที่เป็น Identity Provider (หรือ IdP คือผู้ให้บริการการยืนยันตัวตน) ได้
หากนายอันดาเลือกธนาคารบีเป็น IdP โรงพยาบาลภูเก็ตต้องส่งคำขอยืนยันตัวตนไปยังธนาคารบี ซึ่งธนาคารบีจะขอให้นายอันดาใส่รหัส โดยรหัสนี้ถือเป็น credential ที่ธนาคารบี (IdP) เคยออกให้กับนายอันดานั้น เมื่อนายอันดาใส่รหัสยืนยันตัวตนถูกต้องแล้ว ธนาคารบีจะส่งคำยืนยันตัวตนให้แก่โรงพยาบาลภูเก็ตเพื่อรับรองตัวตนของนายอันดา เมื่อโรงพยาบาลภูเก็ตได้รับการยืนยันตัวตนจากธนาคารบีเป็นที่เรียบร้อยแล้ว จึงพิจารณาคำขอของนายอันดาเพื่อให้สามารถเข้ารับบริการการรักษาจากโรงพยาบาลภูเก็ตได้
จึงอาจกล่าวโดยสรุปได้ว่า ในยุคที่เทคโนโลยีเข้ามามีบทบาทในการดำเนินชีวิต นำพาผู้คนสู่โลกไร้พรมแดน การทำธุรกรรมในประเทศไทยมีความหลากหลายมากขึ้น การยืนยันตัวตนด้วยช่องทางดิจิทัล (Digital Identity) จึงมีบทบาทอย่างยิ่ง โดยเฉพาะในเรื่องที่เกี่ยวกับการทำธุรกรรมทางการเงินและการติดต่อในระบบราชการ เนื่องจากไม่จำเป็นต้องเดินทางไปยังที่ทำการที่ต้องติดต่อหรือพบตัวเจ้าหน้าที่ ไม่ต้องจัดเตรียมหรือส่งเอกสารกระดาษ ไม่ต้องชำระค่าธรรมเนียมด้วยเงินสด
รวมไปถึงไม่ต้องจัดเก็บเอกสารจำนวนมาก ซึ่งก่อให้เกิดความสะดวกและรวดเร็วในการติดต่อมากยิ่งขึ้น ประชาชนควรตื่นตัวกับการเปลี่ยนแปลงที่รวดเร็วและให้ความสำคัญกับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลที่ภาครัฐกำลังให้ความสำคัญอย่างยิ่ง
โดย...
ดร.ภาณุพงศ์ เฉลิมสิน
กิตติมา เฉ้งเหา
ชลธิชา วงษ์มาเกษ
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์