นิยามตามกฎหมายของ e-Signature
พ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์ได้กำหนดว่า “e-Signature” หรือ “ลายมือชื่ออิเล็กทรอนิกส์” หมายถึง การสร้างชุดข้อมูลอิเล็กทรอนิกส์ (ในรูปแบบตัวเลข อักษร เสียง หรือสัญลักษณ์อื่นใด) เพื่อใช้แสดงความสัมพันธ์กับบุคคลผู้เป็นเจ้าของชุดข้อมูลดังกล่าว (เจ้าของลายมือชื่อ) โดยมีวัตถุประสงค์หลัก 2 ประการคือ 1.เพื่อระบุตัวบุคคลผู้เป็นเจ้าของลายมือชื่ออิเล็กทรอนิกส์และสามารถแสดงความเชื่อมโยงไปยังชุดข้อมูลอิเล็กทรอนิกส์ และ 2.เพื่อแสดงว่าเจ้าของลายมือชื่อยอมรับข้อความในมูลอิเล็กทรอนิกส์ชุดดังกล่าวนั้น
ทั้งนี้ เจตนารมณ์ตามกฎหมายของการสร้าง e-Signature ไม่ได้ต่างไปจาก “การใช้ปากกาลงลายมือชื่อบนกระดาษในแบบเดิม” ซึ่งมีวัตถุประสงค์ในการกำหนดให้เจ้าของลายมือชื่อยืนยัน ยอมรับ หรือรับรองข้อความตามที่ปรากฏในเอกสารหรือเพื่อเป็นขั้นตอนหนึ่งที่กฎหมายในหลายเรื่อง (เช่น สัญญาเช่าอสังหาริมทรัพย์ สัญญากู้ยืมเงินเกินกว่า 2,000 บาท) กำหนดให้ต้องทำเป็นหนังสือและมีการลงลายมือชื่อคู่สัญญาไว้เพื่อเป็นหลักฐานในการฟ้องบังคับคดีในอนาคต ซึ่งหากปราศจากกลไกของกฎหมายธุรกรรมอิเล็กทรอนิกส์แล้ว การทำธุรกรรมออนไลน์ต่างๆ ที่ต้องมีการลงลายมือชื่อกำกับย่อมไม่มีผลทางกฎหมายที่สมบูรณ์
องค์ประกอบในการสร้าง e-Signature
กฎหมายไม่ได้ระบุว่าเทคโนโลยีอะไรบ้างที่จะสร้าง e-Signature ได้ แต่กฎหมายจะยอมรับก็ต่อเมื่อ e-Signature นั้นเป็นไปมาตรฐานที่กฎหมายกำหนดโดยจะต้องมีองค์ประกอบที่สำคัญ คือ
1.สามารถพิสูจน์และยืนยันตัวตนเจ้าของลายมือชื่อได้ โดยต้องแสดงความสัมพันธ์ระหว่าง “เจ้าของ e-Signature” กับ “ข้อมูลอิเล็กทรอนิกส์” ที่นำมาประกอบกันได้ ซึ่งความน่าเชื่อถือของ e-Signature ต้องพิจารณาคู่กับระดับความน่าเชื่อถือของไอเดนทิตี (IAL) ในการพิสูจน์ตัวตน และระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตน (AAL) ในกระบวนการยืนยันตัวตน
2.เจตนาในการลงลายมือชื่อ กล่าวคือ ต้องแสดงได้ว่าเจ้าของ e-Signature เป็นผู้ลงลายมือชื่อเกี่ยวกับข้อความนั้นไว้เอง โดยผู้สร้าง e-Signature อาจกำหนดรายละเอียด วัตถุประสงค์ และเหตุผลในการลงลายมือชื่อไว้ในแบบฟอร์มให้ชัดเจนเพื่อให้เจ้าของ e-Signature เข้าใจและยอมรับในการลงลายมือชื่อนั้น
3.ครบถ้วนและไม่เปลี่ยนแปลง กล่าวคือ ในกระบวนการเก็บรักษา e-Signature ผู้เก็บต้องประกันได้ว่า ข้อมูลอิเล็กทรอนิกส์ต่างๆ เกี่ยวกับ e-Signature มีความครบถ้วนเหมือนตอนแรกสร้างและไม่ถูกเปลี่ยนแปลงระหว่างทาง
ประเภทและตัวอย่างของ e-Signature อาจแบ่งได้ตามบริบทของกฎหมายใน 3 รูปแบบ
1.แบบทั่วไป หรือแบบที่กฎหมายระบุว่า “ต้องใช้วิธีการที่น่าเชื่อถือในการสร้าง” ซึ่ง “วิธีการ” สร้าง e-Signature ในแบบนี้จะมี “ความน่าเชื่อถือ” หรือไม่นั้น ก็ต้องอยู่ที่การพิสูจน์โดยพิจารณาได้จากพฤติการณ์ที่เหมาะสม เทคโนโลยีที่เลือกใช้ ประกอบกับความเสี่ยงของประเภทธุรกรรมเพื่อดูว่า “วิธีการ” ดังกล่าวมีความมั่นคงรัดกุม และเหมาะสมกับธุรกรรมประเภทนั้นหรือไม่
ตัวอย่างของ e-Signature แบบทั่วไป เช่น การตั้งรหัสเข้าใช้บริการ (รหัส ATM) การป้อนข้อมูล One Time Password (OTP) การกดปุ่ม Ok/Send เพื่อส่งหรือยอมรับข้อความ การพิมพ์ชื่อไว้ท้ายอีเมล การสแกนภาพลายมือชื่อที่เขียนด้วยมือและแนบไปกับเอกสารอิเล็กทรอนิกส์ หรือการใช้ Stylus เป็นต้น
2.แบบเชื่อถือได้ เหตุที่กฎหมายรองรับในความน่าเชื่อถือก็เพราะ
1) ข้อมูลที่ใช้สร้าง e-Signature เชื่อมโยงไปยังเจ้าของได้
2) อยู่ภายใต้การควบคุมของเจ้าของในตอนที่สร้าง
3) เจ้าของสามารถตรวจพบการเปลี่ยนแปลง/ปลอมแปลงได้
ตัวอย่าง e-Signature ประเภทนี้ เช่น Digital Signature ที่อาศัยโครงสร้างพื้นฐานกุญแจสาธารณะ (PKI) และ เทคโนโลยีเปรียบเทียบข้อมูลชีวมิติ (BiometricComparison) เป็นต้น ดังนั้นในทางปฏิบัติที่กฎหมายว่า “เชื่อถือได้” ก็เพราะ e-Signature ในแบบนี้มีการใช้ระบบหรือเทคโนโลยีที่มั่นคงและรัดกุมกว่าในกรณีแรก ประกอบกับระดับการพิสูจน์ตัวตน (IAL2 ขึ้นไป) และการยืนยันตัวตน (AAL2 ขึ้นไป) ก็อยู่ในระดับที่สูงและน่าเชื่อถือกว่าแบบทั่วไปด้วยเช่นกัน
3.แบบเชื่อถือได้และมีใบรับรอง e-Signature จากผู้ให้บริการออกใบรับรอง ซึ่งแบบที่ 3 คือ การสร้าง e-Signature โดยอาศัยเทคโนโลยี PKI ตามแบบที่ 2 เพียงแต่เพิ่มเติมโดยมีคนกลาง หรือผู้ให้บริการออกใบรับรองเป็นผู้ออก certificate เพื่อสนับสนุนความถูกต้องของ e-Signature นั้น ซึ่งข้อดีในทางกฎหมายคือคนกลางนี้เปรียบเสมือนพยานคอยรับรองในการสร้าง e-Signature ให้เจ้าของลายมือชื่อได้อีกชั้นหนึ่ง
อ้างอิงที่มา กรุงเทพธุรกิจ และ เพจ ETDA Thailand
