Compliance

การปฏิบัติตามกฎหมายและข้อบังคับ (Compliance)

รวบรวมรายละเอียดของกฎหมาย ข้อบังคับ และมาตรฐานต่างๆ ที่เกี่ยวข้องกับระบบไอซีที อินเทอร์เน็ต และเศรษฐกิจดิจทัล

กฎหมายที่เกี่ยวข้องกับไอทีโดยรัฐบาลไทย

ความรู้เบื้องต้นเกี่ยวกับกฎหมายไทย หน่วยงานที่ดูแล ฯลฯ
กฎหมายต่างๆ ที่เกี่ยวข้อง

กฎหมายและระเบียบข้อบังคับของต่างประเทศ

GPDR (General Data Protection Regulation) โดยสหภาพยุโรป

มาตรฐานสากลต่างๆ ที่เกี่ยวข้อง
- ISO/IEC
- RFC

กฏหมายเบื้องต้น

ความรู้เบื้องต้นเกี่ยวกับกฎหมาย
ดรรชนี-กฎหมายไอที

การใช้เครื่องบันทึกเงินสดต้องจดทะเบียนก่อน
eMeeting
eSignature
มาตรฐานและข้อบังคับเกี่ยวกับ EV
e-Signature กับ มาตราที่เกี่ยวข้อง
Cybersecurity

คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

กฏหมายเบื้องต้น

ความรู้เบื้องต้นเกี่ยวกับกฎหมาย

ลำดับศักดิ์ (hierarchy) ของกฎหมายไทย

รัฐธรรมนูญ - constitution
พระราชบัญญัติ (พ.ร.บ.) - act
พระราชกำหนด (พ.ร.ก.) - emergency decree
ประมวลกฎหมาย (ป.) - code
พระราชกฤษฎีกา (พ.ร.ฎ.) - royal decree
กฎกระทรวง - ministerial regulation
ระเบียบ / ข้อบังคับ / ประกาศ / คำสั่ง

กฏหมายเบื้องต้น

ดรรชนี-กฎหมายไอที

กฎหมายไอทีของไทย มี 4 ด้านใหญ่ๆ คือ

ที่เกี่ยวกับการทำธุรกรรม
ที่เกี่ยวกับสิทธิ์
- ลิขสิทธิ์
- การคุ้มครองข้อมูลส่วนบุคคล
- การกระทำความผิดเกี่ยวกับคอมพิวเตอร์
ที่เกี่ยวกับการพัฒนาโครงสร้างพื้นฐานของประเทศ
- การสื่อสารโทรคมนาคม
ที่เกี่ยวกับการปฏิบัติงานของรัฐ
- ข้อมูลข่าวสารของทางราชการ

หมายเหตุ: ลิงค์ของกฎหมายทุกฉบับให้อ้างอิงเว็บไซต์ของราชกิจจานุเบกษาเป็นหลัก ส่วนเอกสารที่เกี่ยวข้องให้ใช้ลิงค์ที่เป็นทางการของหน่วยงานที่ออกเอกสาร
รายละเอียดเพิ่มเติมดูได้จาก
- สำนักกฎหมาย, ETDA. กฎหมายดิจิทัล. พิมพ์ครั้งที่ 3 (กันยายน 2563).

1. กฎหมายที่เกี่ยวข้องกับการทำธุรกรรม

ชื่อกฎหมาย	BY	หมายเหตุ
พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (ฉบับอัพเดท) (Eng) ฉบับที่ 2 พ.ศ. 2551 (eff. 14 ก.พ. 2551) ฉบับที่ 3 พ.ศ. 2562 (Eng) ฉบับที่ 4 พ.ศ. 2562 (Eng)		ฉบับที่ 4 เพิ่มบทนิยาม authentication, digital identity
พรฎ. กำหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิให้นำกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549 PDF(TH)
พรฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553
พรฎ. ว่าด้วยการควบคุมดูแลธุรกิจบริการการชำระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2551
(รวมกฎหมายที่เกี่ยวข้องกับธุรกรรมทางอิเล็กทรอนิกส์ รวบรวมโดย ธนาคารแห่งประเทศไทย)
พรบ. ระบบการชำระเงิน พ.ศ. 2560		นิยามต่างๆ (การหักบัญชี,การชำระดุล, บัตรอิเล็กทรอนิกส์,เงินอิเล็กทรอนิกส์ ฯลฯ) ระบบการชำระเงินภายใต้การกำกับ, บริการการชำระเงินภายใต้การกำกับ, การกำกับดูแล การตรวจสอบ ฯลฯ บทกำหนดโทษ
พรฎ. กำหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ ที่ยกเว้นมิให้นำกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549
ข้อเสนอแนะมาตรฐานด้าน ICT ที่จำเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์ แนวทางการลงลายมือชื่ออิเล็กทรอนิกส์ (ขมธอ. 23-2563)	ETDA
แนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย ภาพรวมและอภิธานศัพท์ (ขมธอ. 18-2561) การลงทะเบียนและพิสูจน์ตัวตน (ขมธอ. 19-2561) การยืนยันตัวตน (ขมธอ. 20-2561)	ETDA

2. กฎหมายที่เกี่ยวข้องกับสิทธิ์

ชื่อกฎหมาย	BY	หมายเหตุ
พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 (ฉบับแก้ไขเพิ่มเติม)

3. กฎหมายที่เกี่ยวกับการพัฒนาโครงสร้างพื้นฐานของประเทศ

ชื่อกฎหมาย	BY	หมายเหตุ
พ.ร.บ. การพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม พ.ศ. 2560

4. กฎหมายที่เกี่ยวข้องกับการปฏิบัติงานของรัฐ

ชื่อกฎหมาย	BY	หมายเหตุ
พรก. ว่าด้วยการประชุมผ่านสื่ออิเล็กทรอนิกส์ พ.ศ. 2563 (eff. 19 เม.ย. 2563)
(ประกาศ) มาตรฐานการรักษาความมั่นคงปลอดภัยของการประชุมผ่านสื่ออิเล็กทรอนิกส์ พ.ศ. 2563	MDES
พ.ร.บ. การบริหารงานและให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562
ข้อเสนอแนะการจัดการระบบสารบรรณอิเล็กทรอนิกส์และการประชุมผ่านสื่ออิเล็กทรอนิกส์ตามแนวทางการปฏิบัติงานนอกสถานที่ตั้งของหน่วยงานของรัฐ	ETDA
ประกาศเรื่อง หลักเกณฑ์และวิธีการในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553	คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์

รายชื่อหน่วยงานที่เกี่ยวข้องกับกฎหมายด้านไอที
- กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES)
- สำนักงานพัฒนารัฐบาลดิจิทัล (DGA) (เดิมชื่อสำนักงานรัฐบาลอิเล็กทรอนิกส์ - สรอ.)
- สำนักงานส่งเสริมเศรษฐกิจดิจิทัล (DEPA)
- สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ - สพธอ. (ETDA)

การใช้เครื่องบันทึกเงินสดต้องจดทะเบียนก่อน

เครื่องบันทึกเงินสด (Cash Register)

เป็นส่วนหนึ่งของระบบ Point Of Sale (บางคนจึงเรียกเหมารวมว่าเครื่อง POS) ศัพท์ทางการที่ประมวลรัษฎากรใช้คือ เครื่องบันทึกการเก็บเงินปัจจุบันเครื่องบันทึกเงินสดทำหน้าที่ได้หลายอย่าง แต่หน้าที่หนึ่งที่เป็นเหตุผลให้ต้องนำเครื่องนี้ไปจดทะเบียนคือ ความสามารถในการออกใบกำกับภาษี ถ้าผู้ประกอบการมีหน้าที่ยื่นภาษีมูลค่าเพิ่มหรือได้จดทะเบียนภาษีมูลค่าเพิ่มไว้ การใช้เครื่องบันทึกเงินสดจะต้องได้รับการอนุมัติจากอธิบดีกรมสรรพากรโดยกรอกแบบ ภ.พ.06 (ดูระบบยื่น ภ.พ.06 ออนไลน์) (ดูประมวลรัษฎากร มาตรา 86/6)

ทางกรมสรรพากรจะออกเลขรหัสประจำเครื่องมาให้เพื่อระบุในเอกสารใบกำกับภาษีหรือรายงานอื่นๆ และมีเจ้าหน้าที่เข้ามาติดแถบสติกเกอร์ที่เครื่องบันทึกเงินสด
การเคลื่อนย้าย ทำลาย ขายต่อ เครื่องบันทึกเงินสดต้องยื่น ภ.พ.1 ให้กรมสรรพากรทราบล่วงหน้าอย่างน้อย 7 วันก่อนดำเนินการ

เพื่อส่งเสริมและสนับสนุนระบบภาษีอิเล็กทรอนิกส์ ครม.ได้มีมติออกมาตรการภาษี โดยบริษัทและห้างหุ้นส่วนิติบุคคลสามารถนำค่าใช้จ่ายที่เกิดขึ้นจากการลงทุนเกี่ยวกับการส่งเสริม e-Payment ไปหักค่าใช้จ่ายในปีภาษี 2562 ได้ถึง 2 เท่าของรายจ่ายจริง

แหล่งข้อมูลเพิ่มเติม
- [กฎหมายที่เกี่ยวข้องกับการอนุมัติใช้เครื่องบันทึกการเก็บเงิน]
- [จริงเหรอ? จะใช้เครื่อง POS คิดเงินได้ต้องจดทะเบียนกับกรมสรรพากรก่อน]

eMeeting

แต่เดิมเรามีกฎหมายที่เกี่ยวข้องกับการประชุมแบบอิเล็กทรอนิกส์อยู่ 2 ฉบับคือ ประกาศของ คสช. ฉบับที่ 74/2557 (ที่กำหนดว่าผู้เข้าร่วมประชุมอย่างน้อย 1 ใน 3 ต้องอยู่ในสถานที่เดียวกันและทุกคนต้องอยู่ในราชอาณาจักร) และมาตรฐานความปลอดภัยในการประชุมแบบเล็กทรอนิกส์ พ.ศ. 2557 โดยกระทรวง ICT ในสมัยนั้น (นิยามว่า eMeeting ต้องมีองค์ประกอบอะไรบ้าง) ในช่วงที่เกิดการระบาดของ COVID-19 จึงต้องออกกฎหมายเพื่อปลดล็อกข้อจำกัดต่างๆ

กฎหมายเกี่ยวกับการประชุมแบบ eMeeting

พรก. ว่าด้วยการประชุมผ่านสื่ออิเล็กทรอนิกส์ พ.ศ. 2563 (ดาวน์โหลด)
- หนังสือเชิญประชุมและเอกสารประกอบการประชุม อยู่ในรูปแบบอิเล็กทรอนิกส์ได้
- ผู้ร่วมประชุมต้องแสดงตนก่อนร่วมการประชุม, ต้องลงคะแนนได้, ต้องมีการบันทึกภาพและเสียง (ยกเว้นประชุมลับ), ต้องเก็บข้อมูลจราจรอิเล็กทรอนิกส์
- ถ้าทำทุกอย่างถูกต้อง การประชุมแบบ eMeeting ถือว่าชอบด้วยกฎหมาย ใช้เป็นพยานหลักฐานได้
- กฎหมายนี้ไม่บังคับใช้กับ การประชุม สส. สว. และรัฐสภา, การจัดำคำพิพากษา/คำสั่งของศาล, การประชุมจัดซื้อจัดจ้างของหน่วยงานราชการ รัฐวิสาหกิจ องค์การมหาชน
ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่องมาตรฐานการรักษาความปลอดภัยของการประชุมผ่านสื่ออิเล็กทรอนิกส์ พ.ศ. 2563 (ดาวน์โหลด)
- eMeeting ต้องมีองค์ประกอบ 7 อย่างคือ (1) การแสดงตัวตนของผู้ร่วมประชุม (2) การสื่อสาร 2 ทางด้วยภาพและ/หรือเสียง (3) การเข้าถึงเอกสารการปรชุม (4) การลงคะแนน (5) การจัดเก็บหลักฐานที่เกี่ยวกับการประชุม (6) การจัดเก็บข้อมูลจราจรอิเล็กทรอนิกส์ (7) การแจ้งเหตุขัดข้องระหว่างการประชุม
แนวทางปฏิบัติโดย ETDA ว่าด้วยการลงคะแนนทางอิเล็กทรอนิกส์ในการประชุม (Electronic Voting in Meetings) version 1.0 2021-01-20
มาตรฐานการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของระบบควบคุมการประชุม (ver 1.1) โดย ETDA

หน่วยงานที่เกี่ยวข้อง
- สภาดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งประเทศไทย (DCT) - ผลักดันกฎหมาย
- กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES)
- สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA)

ระบบประชุมระบบไหนที่รองรับ eMeeting อย่างถูกต้อง

ในช่วงแรก ETDA ใช้วิธีให้เจ้าของระบบ eMeeting หรือผู้จัดจำหน่าย (เช่น MS Team, Zoom) ทำการตรวจประเมินตัวเองว่ามีคุณสมบัติครบตามที่กฎหมายกำหนดหรือไม่ ต่อมา ETDA ได้เปิดบริการให้การรับรองความสอดคล้องของระบบ (ดูรายชื่อผู้ผ่านการรับรอง)

eSignature

ลายมือชื่ออิเล็กทรอนิกส์ได้แก่ อัขระ เสียงหรือสัญลักษณ์ในรูปแบบอิเล็กทรอนิกส์ซึ่งใช้ในข้อมูลเพื่อแสดงว่าบุคคลนั้นเป็นเจ้าของลายมือชื่อและแสดงความยอมรับข้อความในข้อมูลนั้น

การคลิกยอมรับ (เช่น กดปุ่ม “I accept” ในสัญญาข้อตกลง)
การพิมพ์ชื่อท้ายอีเมล
การสแกนภาพลายมือชื่อโดยแนบไปกับเอกสาร
การใช้ปากกาหรือนิ้วเขียนลงมือชื่อบนจอแล้วบันทึกไว้
digital signature คือลายเซ็นอิเล็กทรอนิกส์ที่ใช้วิธีเข้ารหัสแบบ public key infrastructure (PKI)

กฎหมายเกี่ยวกับ eSignature

พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (ดาวน์โหลด)
พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ แก้ไขเพิ่มเติม ฉบับที่ 2 พ.ศ. 2551
- มาตรา 7 รองรับสถานะทางกฎหมายของข้อมูลอิเล็กทรอนิกส์
- มาตรา 26 e-signature ที่เชื่อถือได้
พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ แก้ไขเพิ่มเติม ฉบับที่ 3 พ.ศ. 2562
- มาตรา 9 รองรับ e-signature แบบทั่วไป
ขมธอ. 23-2563: ข้อเสนอแนะฯ ว่าด้วยแนวทางการลงลายมือชื่ออิเล็กทรอนิกส์ version 1.0 โดย ETDA (ไฟล์ฉบับเต็ม, ไฟล์ presentation)

หน่วยงานที่เกี่ยวข้อง
- สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA)

มาตรฐานและข้อบังคับเกี่ยวกับ EV

มาตรฐานและข้อบังคับในต่างประเทศ/นานาชาติ


Open Charge Alliance (OCA)	หน่วยงานกำหนดมาตรฐาน
Open Charge Point Protocol (OCPP)	มาตรฐานโดย OCA
ISO 15118	an international standard for bi-directional digital communications between electric vehicles and the charging station
OpenADR 2.0
V2G (Vehicle to Grid) communication
OSCP – Open Smart Charging Protocol
SAE J1772 Combo	SAE Electric Vehicle and Plug in Hybrid Electric Vehicle Conductive Charge Couple

มาตรฐานและข้อบังคับในไทย


สถาบันยานยนต์	(หน่วยงาน)
คณะกรรมการนโยบายยานยนต์ไฟฟ้าแห่งชาติ	(หน่วยงาน)
การขออนุญาตประกอบกิจการ สถานีอัดประจุไฟฟ้าเพื่อจำหน่าย (คู่มือแนะนำการขอประกอบกิจการสถานีอัดประจุไฟฟ้าเพื่อจำหน่าย(ยานยนต์ไฟฟ้า))	การออกใบอนุญาตตามมาตรา 47 พ.ร.บ. การประกอบกิจการพลังงานฯ สถานีอัดประจุไฟฟ้ามีขนาดการจำหน่ายไฟฟ้า ซึ่งมีการติดตั้งหม้อแปลง ไฟฟ้าหรือเครื่องแปลงกระแสไฟฟ้า (Grid-Connected Inverter) (แล้วแต่กรณี) ที่มีขนาดรวมตั้งแต่ 1,000 kVA ขึ้นไป สถานีอัดประจุไฟฟ้ามีขนาดการจำหน่ายไฟฟ้าซึ่งมีการติดตั้งหม้อแปลง ไฟฟ้า หรือ เครื่องแปลงกระแสไฟฟ้า (Grid – Connected Inverter) (แล้วแต่กรณี) ที่มีขนาดรวมต่ำกว่า 1,000kVA การออกใบอนุญาตตามมาตรา 48 พ.ร.บ. การประกอบกิจการพลังงานฯ การจัดตั้งสถานีอัดประจุไฟฟ้า ไม่มีลักษณะเป็นโรงงาน ตามกฎหมายว่าด้วยโรงงานจึงไม่เข้าข่ายต้องขอรับใบอนุญาตประกอบกิจการโรงงาน (ร.ง.4) การจัดตั้งสถานีอัดประจุไฟฟ้า ไม่มีลักษณะการผลิตไฟฟ้า เนื่องจากเป็นการรับไฟฟ้ามาแปลงกระแส เพื่อจำหน่ายให้กับ ยานยนต์ไฟฟ้า จึงไม่เข้าข่ายต้องขอรับใบอนุญาตให้ผลิตพลังงานควบคุม (พค.8) กรณีการจัดตั้งสถานีอัดประจุไฟฟ้า มีการปลูกสร้างสิ่งก่อสร้าง อาคาร เข้าข่ายต้องขอรับใบอนุญาตตามกฎหมายว่าด้วยการควบคุม อาคาร โดยผู้ขอรับใบอนุญาตจะต้องยื่นขอรับใบอนุญาตกับสำนักงาน กกพ. ทั้งนี้กรณีที่มี การต่อเติมหรือดัดแปลงสถานีบริการน้ำมันหรือก๊าซ เพื่อติดตั้งแท่นอัดประจุไฟฟ้า ผู้ขอรับใบอนุญาตจะต้องยื่นขอรับใบอนุญาตตามกฎหมายว่าด้วยการควบคุมอาคารกับหน่วยงาน ท้องถิ่นนั้น ๆ ซึ่งเป็นไปตามที่กำหนดใน MOU ระหว่าง กกพ. กับกระทรวงมหาดไทย หรือ กฎหมายที่เกี่ยวข้อง
IEC 62196-3:2014 Ed 1.0	ข้อกําหนดเกี่ยวกับขนาดเชิงมิติและรูปแบบของเต้าเสียบและเต้ารับแบบกระแสตรง และแบบรวมกระแสสลับ/กระแสตรง
มอก. 2749 เล่ม 3-2559	เล่ม 3: ข้อกําหนด ความเข้ากันได้เชิงมิติและการ สับเปลี่ยนได้สําหรับขาเสียบ และท่อหน้าสัมผัสของ เต้าไฟฟ้ากระแสตรง และกระแสสลับ/กระแสตรง รับมาตรฐาน IEC 62196-3:2014 Ed 1.0 มาใช้โดยวิธี พิมพ์ซ้ํา (reprint) ในระดับดัดแปร (modify)
IEC 61851-24:2014 Ed 1.0	มาตรฐาน Digital Communication ระหว่างสถานีอัดประจุไฟฟ้า กระแสตรงกับยานยนต์ไฟฟ้า เพื่อควบคุมการอัดประจุไฟฟ้ากระแสตรง Mode1: AC <16A, <250Vac (1Phase) , <480Vac(3Phase) Mode2: AC <32A, <250Vac(1Phase) , <480Vac(3Phase), ground wire Circuit Breaker Control Pilot Function Residual Current Device: RCD In-cable Control Box: ICCB Mode3: AC EVSE (Mode2 no ICCB) Mode4: DC EVSE (Mode3) IEC 61851-23 และ IEC 61851-24
ISO 15118-1:2013 Ed 1.0 ISO 15118-2:2014 Ed 1.0 ISO 15118-3:2015 Ed 1.0	Vehicle to grid communication interface -- Part 1: General information and use-case definition Vehicle-to-Grid Communication Interface -- Part 2: Network and application protocol requirements Vehicle to grid communication interface -- Part 3: Physical and data link layer requirements

คำศัพท์

คำศัพท์	ความหมาย
Charge point operator
e-mobility service provider
demand response (DR)
distributed energy resources (DER)
charge detail record (CDR)
Conductive Charging	การอัดประจุไฟฟ้าผ่านตัวนํา
Inductive Charging	การอัดประจุไฟฟ้าแบบเหนี่ยวนํา(ไร้สาย)
Battery Swapping Stations, BSS	สถานีสับเปลี่ยนแบตเตอรี่สําหรับยานยนต์ไฟฟ้า

แหล่งข้อมูล:
- elexave charger business
- elexaev BackEN

e-Signature กับ มาตราที่เกี่ยวข้อง

เงื่อนไขที่ทำให้ e-Signature มีผลทางกฎหมาย

สามารถระบุตัวตนของผู้ลงนามได้
มีการแสดงเจตนาอย่างชัดเจน ว่าต้องการลงนาม
มีความน่าเชื่อถือ หรือใช้ระบบที่เชื่อถือได้ เช่น Digital Signature

มาตราต่างๆที่เกี่ยวข้อง

มาตรา 9
ลายมือชื่ออิเล็กทรอนิกส์ หมายความว่า
“อักษร อักขระ ตัวเลข เสียง หรือสัญลักษณ์อื่นใดที่สร้างขึ้นให้อยู่ในรูปแบบอิเล็กทรอนิกส์ ซึ่งนำมาใช้ประกอบกับข้อมูลอิเล็กทรอนิกส์ โดยมีวัตถุประสงค์เพื่อระบุตัวบุคคลผู้เป็นเจ้าของลายมือชื่ออิเล็กทรอนิกส์ที่เกี่ยวข้องกับข้อมูลอิเล็กทรอนิกส์นั้น และเพื่อแสดงว่าบุคคลดังกล่าวยอมรับข้อความในข้อมูลอิเล็กทรอนิกส์นั้น”

มาตรา 26
ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ หมายถึง ลายมือชื่ออิเล็กทรอนิกส์ที่มีลักษณะดังต่อไปนี้
(1) ข้อมูลที่ใช้สร้างลายมือชื่ออิเล็กทรอนิกส์เชื่อมโยงไปยังเจ้าของลายมือชื่อโดยไม่เชื่อมโยงไปยังบุคคลอื่น
(2) ข้อมูลที่ใช้สร้างลายมือชื่ออิเล็กทรอนิกส์อยู่ภายใต้การควบคุมของเจ้าของลายมือชื่อโดยไม่มีการควบคุมของบุคคลอื่น
(3) สามารถตรวจพบการเปลี่ยนแปลงใด ๆ ที่เกิดแก่ลายมือชื่ออิเล็กทรอนิกส์นับแต่เวลาที่ได้สร้างขึ้นได้
(4) ในกรณีที่กฎหมายกำหนดให้การลงลายมือชื่อเป็นไปเพื่อรับรองความครบถ้วนและไม่มีการเปลี่ยนแปลงของข้อความ สามารถตรวจพบการเปลี่ยนแปลงของข้อความได้ นับแต่เวลาที่ลงลายมือชื่ออิเล็กทรอนิกส์

มาตรา 28
ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ตามมาตรา 26 ซึ่งมีการใช้ใบรับรองอิเล็กทรอนิกส์ที่ออกโดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ที่ได้รับการรับรองตามที่คณะกรรมการประกาศกำหนด ให้ถือว่ามีความน่าเชื่อถือตามกฎหมาย และมีผลใช้บังคับเช่นเดียวกับลายมือชื่อที่ลงในเอกสารกระดาษ

ความแตากต่างของมาตรา 9,26 และ 28

มาตรา	ประเภทลายมือชื่อ	ลักษณะสำคัญ	ความน่าเชื่อถือ	ตัวอย่าง
มาตรา 9	ลายมือชื่ออิเล็กทรอนิกส์ทั่วไป	ใช้วิธีใดก็ได้ที่สามารถระบุตัวตนและแสดงเจตนาได้	พอใช้ (ขึ้นกับบริบท)	พิมพ์ชื่อท้ายอีเมล, คลิก “ยอมรับ”
มาตรา 26	ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้	ใช้เทคโนโลยีที่สามารถตรวจสอบความถูกต้องและการเปลี่ยนแปลงได้ เช่น Digital Signature (PKI)	สูง	ลายเซ็นดิจิทัลที่เข้ารหัส
มาตรา 28	ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ + ใบรับรอง	เป็นไปตามมาตรา 26 และมีใบรับรองจาก CA (Certification Authority)	สูงมาก	ลายเซ็นดิจิทัลที่มีใบรับรองจาก ETDA หรือ CA อื่น

อธิบายเพิ่มเติม

มาตรา 9: เป็นพื้นฐานที่สุด เปิดกว้างให้ใช้วิธีใดก็ได้ที่สามารถพิสูจน์ตัวตนและเจตนาได้ เช่น การพิมพ์ชื่อ, การคลิกปุ่มยอมรับ ฯลฯ แต่หากเกิดข้อพิพาท ผู้ใช้ต้องพิสูจน์ว่าเป็นผู้ลงนามจริง
มาตรา 26: เพิ่มระดับความน่าเชื่อถือ โดยใช้เทคโนโลยีที่สามารถตรวจสอบความถูกต้องของลายเซ็นและข้อความ เช่น Digital Signature ที่ใช้ Public Key Infrastructure (PKI)
มาตรา 28: เป็นระดับสูงสุด โดยต้องมีใบรับรองจากผู้ให้บริการที่ได้รับการรับรอง (CA) เพื่อยืนยันตัวตนของผู้ลงนาม ทำให้มีน้ำหนักทางกฎหมายสูงสุด และเหมาะกับเอกสารสำคัญ เช่น สัญญาทางธุรกิจหรือเอกสารทางการเงิน

มาตรา 9,26 และ 28 ใบบริบทของบริษัท

มาตรา 9 ในบริบทของบริษัทนั้น เหมาะกับ ธุรกรรมภายในองค์กร หรือ ธุรกรรมที่มีความเสี่ยงต่ำ ซึ่งไม่จำเป็นต้องใช้ลายมือชื่อที่มีความน่าเชื่อถือสูงแบบมาตรา 26 หรือ 28

ตัวอย่างการใช้มาตรา 9 ในบริษัท

กรณีใช้งาน	รายละเอียด
การอนุมัติเอกสารภายใน	เช่น ผู้จัดการคลิก “อนุมัติ” บนระบบ ERP หรือ Workflow ที่มีการล็อกอิน
การตอบอีเมลเพื่อยืนยันคำสั่งซื้อ	เช่น ฝ่ายขายตอบกลับอีเมลลูกค้าพร้อมพิมพ์ชื่อท้ายอีเมล
การเซ็นรับของผ่านแท็บเล็ต	เช่น พนักงานคลังสินค้าเซ็นชื่อด้วย stylus บนหน้าจอ
การยอมรับเงื่อนไขการใช้งานระบบ	เช่น พนักงานใหม่คลิก “ยอมรับ” ข้อกำหนดในระบบ HR
การแนบรูปลายเซ็นในเอกสาร PDF	เช่น การแนบลายเซ็นสแกนในใบเสนอราคา

ข้อควรระวัง

หากเกิดข้อพิพาท ภาระการพิสูจน์จะอยู่ที่บริษัท ว่าผู้ลงนามเป็นผู้มีอำนาจจริง
ควรมี ระบบยืนยันตัวตน เช่น การล็อกอิน หรือบันทึก log เพื่อเพิ่มความน่าเชื่อถือ
ไม่เหมาะกับเอกสารที่มีมูลค่าสูง เช่น สัญญาทางการเงิน หรือเอกสารภายนอกที่ต้องใช้ในศาล

มาตรา 26 ในบริบทของบริษัท หมายถึงการใช้ ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ ซึ่งมีความปลอดภัยสูง และสามารถตรวจสอบความถูกต้องของผู้ลงนามและเนื้อหาของเอกสารได้ โดยมักใช้ในธุรกรรมที่มีความสำคัญหรือมีมูลค่าสูง

ตัวอย่างการใช้มาตรา 26 ในบริษัท

กรณีใช้งาน	รายละเอียด
การลงนามในสัญญาทางธุรกิจ	เช่น สัญญาซื้อขาย, สัญญาร่วมทุน, MOU ที่ลงนามผ่านระบบ Digital Signature ที่ใช้ PKI
การอนุมัติใบสั่งซื้อ (PO) หรือใบสั่งขาย (SO)	โดยผู้มีอำนาจลงนามผ่านระบบที่มีการยืนยันตัวตนแบบ 2FA และใช้กุญแจเข้ารหัส
การออกใบกำกับภาษีอิเล็กทรอนิกส์ (e-Tax Invoice)	ใช้ Digital Signature ที่มีการเข้ารหัสและสามารถตรวจสอบย้อนกลับได้
การลงนามในเอกสาร HR ที่มีผลผูกพัน	เช่น สัญญาจ้างงาน, หนังสือแต่งตั้ง, การยินยอมตาม PDPA
การอนุมัติเอกสารทางการเงิน	เช่น งบการเงิน, รายงานภาษี, เอกสารที่ต้องยื่นต่อหน่วยงานรัฐ

ในบริบทของบริษัท มาตรา 28 ของ พ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 หมายถึงการใช้ ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ ซึ่งมีการรับรองโดย ใบรับรองอิเล็กทรอนิกส์ (Digital Certificate) จาก ผู้ให้บริการที่ได้รับการรับรอง (CA) ตามที่คณะกรรมการกำหนด โดยมีผลทางกฎหมายเทียบเท่ากับลายเซ็นบนเอกสารกระดาษ

ตัวอย่างการใช้มาตรา 28 ในบริษัท

กรณีใช้งาน	รายละเอียด
การลงนามในสัญญาระหว่างบริษัท	เช่น สัญญาซื้อขาย, สัญญาร่วมทุน, MOU ที่ต้องการความน่าเชื่อถือสูง
การออกเอกสารภาษีอิเล็กทรอนิกส์ (e-Tax Invoice)	ต้องใช้ลายเซ็นดิจิทัลที่มีใบรับรองจาก CA ที่ได้รับการรับรองโดย ETDA
การยื่นเอกสารต่อหน่วยงานรัฐ	เช่น การยื่นงบการเงิน, การขออนุญาต, การลงนามในเอกสารราชการ
การลงนามข้ามองค์กรหรือข้ามประเทศ	เพื่อให้เอกสารมีผลผูกพันและได้รับการยอมรับในระดับสากล
การใช้ในระบบ e-Procurement หรือ e-Bidding	เพื่อยืนยันตัวตนของผู้เสนอราคาและป้องกันการปลอมแปลงเอกสาร

เปรียบเทียบระหว่าง มาตรา 26 กับ มาตรา 28

หัวข้อ	มาตรา 26	มาตรา 28
ประเภทลายมือชื่อ	ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้	ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ + ใบรับรอง
เทคโนโลยีที่ใช้	ใช้เทคโนโลยีที่ตรวจสอบความถูกต้องได้ เช่น Digital Signature (PKI)	ใช้ Digital Signature (PKI) พร้อมใบรับรองจาก CA
การยืนยันตัวตน	ผู้ใช้ควบคุมกุญแจส่วนตัวเอง	มีการตรวจสอบตัวตนโดย หน่วยงานออกใบรับรอง (CA)
ความน่าเชื่อถือทางกฎหมาย	สูง	สูงสุด (ได้รับข้อสันนิษฐานทางกฎหมายเต็มรูปแบบ)
เหมาะกับ	เอกสารภายในองค์กร, ธุรกรรมทั่วไป	เอกสารสำคัญ เช่น สัญญาระหว่างบริษัท, เอกสารภาษี, เอกสารที่ต้องใช้ในศาล

สรุปความแตกต่างระหว่าง มาตรา 26 และ มาตรา 28

มาตรา 26: ใช้เทคโนโลยีที่ปลอดภัย เช่น Digital Signature แต่ยังไม่ต้องมีใบรับรองจากหน่วยงานภายนอก
มาตรา 28: เป็นการ “อัปเกรด” จากมาตรา 26 โดยต้องมี ใบรับรองอิเล็กทรอนิกส์ (Digital Certificate) จาก CA (Certification Authority) ที่น่าเชื่อถือ เช่น ETDA หรือผู้ให้บริการที่ได้รับการรับรอง

Cybersecurity

กฎหมาย, ระเบียบ, มาตรฐาน ที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์

Cybersecurity

คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ - สกมช. (National Cyber Security Agency - NCSA)

ประกาศฯ เรื่อง หลักเกณฑ์ ลักษณะหน่วยงานที่มีภารกิจหรือให้บริการเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และการมอบหมายการควบคุมและกำกับดูแล พ.ศ. 2568 (PDF)
ประกาศฯ เรื่อง มาตรฐานการกำหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ให้แก่ข้อมูลหรือระบบสารสนเทศ พ.ศ. 2566 (PDF)
ประกาศฯ เรื่อง มาตรฐานขั้นต่ำของข้อมูลหรือระบบสารสนเทศ พ.ศ. 2566 (PDF)
ประกาศฯ เรื่อง มาตรฐานและแนวทางส่งเสริมพัฒนาระบบการให้บริการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2566 (PDF)
ระเบียบฯ ว่าด้วยการมอบอำนาจให้ปฏิบัติการแทนคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2565 (PDF)
ประกาศฯ เรื่อง การจัดตั้ง หน้าที่และอำนาจของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ พ.ศ. 2564 (PDF)
ประกาศฯ เรื่อง การจัดตั้ง หน้าที่และอำนาจของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ พ.ศ. 2564 (PDF)
ประกาศฯ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ พ.ศ. 2564 (PDF)
ประกาศฯ เรื่อง ลักษณะภัยคุกคามทางไซเบอร์ มาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภัยคุกคามทางไซเบอร์แต่ละระดับ พ.ศ. 2564 (PDF)
ประกาศฯ เรื่อง การกำหนดระดับความรู้ความชำนาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อแต่งตั้งเป็นพนักงานเจ้าหน้าที่ พ.ศ. 2564 (PDF)
แนวปฏิบัติการใช้ปัญญาประดิษฐ์อย่างมั่นคงปลอดภัย (AI Security Guidelines) ต.ค. 2568 (Download)