More Related Content Similar to A4: Kasetsart University | FinTech and Contracts (2020) (17) More from Kullarat Phongsathaporn (20) A4: Kasetsart University | FinTech and Contracts (2020)3. FinTech Legal Framework
Tech
(Tech-related laws)
• พระราชบัญญัติสานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2562
• พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (ฉบับแก้ไขเพิ่มเติม)
o ข้อเสนอแนะมาตรฐานฯ ว่าด้วยแนวทางการลงลายมือชื่ออิเล็กทรอนิกส์
เลขที่ ขมธอ. 23-2563
• พระราชบัญญัติการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม พ.ศ. 2560
• พระราชบัญญัติสภาดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งประเทศไทยพ.ศ. 2562
• พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562
• พระราชบัญญัติว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์พ.ศ. 2550(ฉบับ
แก้ไขเพิ่มเติม)
• พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์พ.ศ. 2562
• พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
General
• Intellectual Property (IP)
• Tax
• Competition law
Fin
(Financial-related laws)
• licensing and regulatory
o FIBA, SEC Act, Derivative
Act, Exchange Control Act,
PSA, Insurance law, Digital
asset law, etc.
• AML/CTPF
• exchange control
• consumer protection
• credit data
© 2020 Baker & McKenzie Ltd.
© 2020 Baker & McKenzie Ltd.
5. Deposit & Financing
Amended consumer finance law
Personal loan / info-based
Nano-finance / info-based
Digital Lending
P2P Lending
Alternative Fundraising / Investments
Digital token offering
Equity Crowdfunding
Debt Crowdfunding
Capital Markets
Digital asset
Fund management advisor (draft)
Custodian requirement (draft)
Technology in KYC process
Tech
PDPA
Digital ID
E-Signature
guideline
Payments & Remittance
KYC for e-money
FX Wallet
New FinTech Regulations in Thailand 2020
New Fintech Regulations
in Thailand 2020
© 2020 Baker & McKenzie Ltd.
7. © 2018 Baker & McKenzie Ltd.
Electronic transactions - Contract considerations
7
1) The legal effect of an acceptance in entering into an agreement made via electronic
means is recognized under Electronic Transaction Act.
2) Is it necessary to include a provision showing the following:
• Parties’ intention to create electronic transactions, communicate through this
electronic means and use e-signature
• What action is equivalent to accepting the terms and conditions
3) Authentication method and safety
4) Automatic electronic data exchange systems (AEDES) in order to facilitate automated
electronic transactions
5) Invitation to make an offer
11. Data privacy law in Thailand
The Personal Data Protection Act was approved and endorsed by the National Legislative
Assembly on 28 February 2019 ("PDPA"). The PDPAwas published in the Government Gazette on
27 May 2019 and came into effect on 28 May 2019. Before the initial effective date of the PDPA,
the Royal Decree was issued to exempt the applicability of the key provisions under the PDPA until
31 May 2021, if such entity falls under prescribed list of exempted business.
As a result of this Royal Decree, the new effective date of the PDPAwould be 1 June 2021. This list
of government organizations and the private sectors include commercial business, and
communications, computer and digital business.
• definitions
• extraterritorial applicability
• data subject notification requirements
• consent requirements, consent of minors
• restrictions and exemptions for the collection, use,
disclosure, and cross-border transfer of personal data
• explicit consent requirements for sensitive data and
exemptions related thereto
• data subjects' rights
• security measures, data breach and its
notification, records of processing activities
• data protection officers (DPO)
• exemptions from cross-border transfer
requirements for transfers within
the same business group
There are several key points under the PDPA that businesses should be aware of:
12. © 2018 Baker & McKenzie Ltd.
AML / CTF – Contract considerations
12
1) Who are financial institutions or reporting entities under AML Act
and CTF Act?
2) Specific provisions:
• Should mention the legal obligation to comply with AML/CTF laws
• require cooperation in sending information
• consent to disclosure due to legal/regulatory requirements?
• may terminate relationship if legally required
3) Reliance on third parties? Liabilities?
13. © 2018 Baker & McKenzie Ltd.
Reporting Entities
13
“Reporting entities" include (i) "financial institutions" as defined under Section 3 of the
AML Act , and (ii) businesses prescribed under Section 16 of the AML Act.
"Financial institutions" includes:
(1) Commercial banks, finance companies, and credit foncier companies under the laws on financial institution
businesses and specialized financial institutions established under a specific law;
(2) Securities companies under the laws on securities and exchange;
(3) (repealed)
(4) Life insurance companies under the laws on life insurance, and non-life insurance companies under the
laws on non-life insurance;
(5) Co-operatives under the laws on co-operatives which have an operating capital exceeding THB 2,000,000
with a business purpose of carrying out activities involving cash deposit, lending, mortgage and pledge of
assets, or procurement of cash or assets in any way;
(6) Juristic persons carrying out financial activities as prescribed in the Ministerial Regulations;
(7) Payment systems operator that are regulated under payment laws; and
(8) Payment service providers that are regulated under payment laws, excluding business professions relating
to credit card under Section 16 (8).
14. © 2018 Baker & McKenzie Ltd.
Reporting Entities
14
“Business professions” under Section 16 of the AML Act includes:
(1) Professions relating to proceeding, advising, counseling in transactions involving investments or capital movements
under the laws on securities and exchange who are not financial institutions under Section 13 of this Act;
(2) Professions relating to trading of jewelry, gemstones, gold, or accessories with jewelry, gemstones, or gold.
(3) Professions relating to trading or hire-purchase of cars;
(4) Professions relating to brokerage or agency for the selling and buying of immovable properties;
(5) Professions relating to trading of antiques under the laws on auction sale and trading of antiques;
(6) Professions relating to personal loans under supervision that are not financial institutions under the Ministry of
Finance Notification relating to personal loan businesses under supervision or under the laws on financial institution
businesses;
(7) Professions relating to electronic money card that are not a financial institutions under the Ministry of Finance
Notification relating to electronic money card or under the laws on financial institution businesses;
(8) Professions relating to credit card that are not a financial institutions under the Ministry of Finance Notification
relating to credit card or under the laws on financial institution businesses;
(9) Professions relating to electronic payment under the laws on the supervision of electronic payment service
businesses; and
(10) Professions relating to financial business under the laws on exchange control that are not financial institutions, who
have risks based on an assessment of risk relating to money laundering and terrorist financing to be used as a channel
for money laundering or terrorist financing, as prescribed by the Ministerial Regulations.
15. © 2018 Baker & McKenzie Ltd.
Update on the draft new AML Act
15
"Financial institutions" also includes:
• Digital asset business operators and ICO portal under the Digital Asset Businesses law
• Personal loan business operators under supervision
• Nano loan business operators under supervision
• Pico loan business operators under supervision
• System or electronic network business operators for peer-to-peer lending transaction under
the Ministry of Finance Notification
• Crowdfunding business operators under the Securities and Exchange law
• Treasury center under exchange control law as specified by the Commission
• Other financial business operators or financial technology business operators, who have
risks based on an assessment of risk relating to money laundering and terrorist financing to
be used as a channel for money laundering or terrorist financing, as prescribed by the
Ministerial Regulations.
16. © 2016 Baker & McKenzie Ltd.
หน้าที่หลักของ “สถาบันการเงิน” และ “ผู้มีหน้าที่รายงาน”
AMRAC
16
การจัดให้
ลูกค้าแสดงตน
(KYC)
การตรวจสอบเพื่อ
ทราบข้อเท็จจริง
(CDD)
Customer
onboarding
การรายงาน
ธุรกรร
การเก็บรักษา
ข้อ ูล
การกาหนด
นโยบาย
AML/CTPF
การ
ฝึกอบร
Transaction
monitoring
ที่ ีจานวนเกิน
Threshold
ที่ ีเหตุอันควร
สงสัย
KYC: 5 ปี /
CDD 10ปี /
ธุรกรร 5 ปี
Pre-businessoperation During businessoperation
17. © 2016 Baker & McKenzie Ltd.
Consumer protection law – Contract considerations
17
Main regulation:
Consumer Protection Act,B.E. 2522, as amended (พ.ร.บ.คุ้มครองผู้บริโภค พ.ศ.๒๕๒๒ และ ที่แก้ไขเพิ่มเติม)
Examples of regulated contracts:
Issued by the ‘Office of the Consumer Protection Board’ (สำนักงำนคณะกรรมกำรคุ้มครองผู้บริโภค).
Certain notifications include:
• ประกำศคณะกรรมกำรว่ำด้วยสัญญำเรื่องธุรกิจกำรให้กู้ยืมเงินเพื่อผู้บริโภคของสถำบันกำรเงินเป็นธุรกิจควบคุมสัญญำ
พ.ศ. ๒๕๔๔
• ประกำศคณะกรรมกำรว่ำด้วยสัญญำเรื่องธุรกิจบัตรเครดิตเป็นธุรกิจควบคุมสัญญำ(ฉบับที่ ๔) พ.ศ. ๒๕๕๖
• ประกำศคณะกรรมกำรว่ำด้วยสัญญำเรื่องธุรกิจให้เช่ำซื้อรถยนต์และรถจักรยำนยนต์เป็นธุรกิจควบคุมสัญญำพ.ศ.๒๕๖๑
• ประกำศคณะกรรมกำรว่ำด้วยสัญญำเรื่องเช่ำซื้อเครื่องใช้ไฟฟ้ำเป็นธุรกิจควบคุมสัญญำพ.ศ.๒๕๔๔
• ประกำศคณะกรรมกำรว่ำด้วยสัญญำเรื่องธุรกิจกำรให้เช่ำอำคำรเพื่ออยู่อำศัยเป็นธุรกิจควบคุมสัญญำพ.ศ.๒๕๖๑
• ประกำศคณะกรรมกำรว่ำด้วยสัญญำเรื่องให้ธุรกิจขำยรถยนต์ใช้แล้วเป็นธุรกิจที่ควบคุมสัญญำพ.ศ.๒๕๖๒
18. © 2016 Baker & McKenzie Ltd.
IP – Contract considerations
18
1) What are the intellectual
property rights involved?
2) What are the protections?
(copyright, trademark, patent,
etc.)
3) Licenses and royalties?
4) Any registrations required?
5) Who owns the co-creation?
Who has the right to use it?
6) Use of open source software?
7) What happens after
termination?
8) Employment contract?
19. © 2016 Baker & McKenzie Ltd.
Computer crime – Contract considerations
19
1) collection of cookies
2) opt-out function vs spam
3) collection of data as required by law (e.g. traffic data)
4) take-down notice
20. © 2016 Baker & McKenzie Ltd.
Outsourcing – Contract considerations
20
• การใช้บริการจากพันธมิตรทางธุรกิจ (Banking Partner) ของสถาบันการเงิน
ประกาศธนาคารแห่งประเทศไทย ที่ สนส. 16/2563 เรื่อง หลักเกณฑ์การใช้บริการจากพันธมิตรทางธุรกิจ
(business partner) ของสถาบันการเงิน
สถำบันกำรเงินสำมำรถใช้บริกำรจำกพันธมิตรทำงธุรกิจทั้งที่เป็นนิติบุคคลและบุคคลธรรมดำเพื่อสนับสนุนกำร
ดำเนินธุรกิจของสถำบันกำรเงินได้โดยให้สถาบันการเงินพิจารณางานที่จะให้พันธมิตรทางธุรกิจดาเนินการ
ได้ตามความเหมาะสมยกเว้นงานหลักที่เกี่ยวข้องกับการตัดสินใจเชิงกลยุทธ์(strategic function)สถำบัน
กำรเงินยังต้องดำเนินกำรเองเนื่องจำกเป็นงำนที่อำจก่อให้เกิดผลกระทบต่อฐำนะหรือกำรดำเนินกำรของสถำบัน
กำรเงิน
อย่ำงไรก็ดีหำกสถำบันกำรเงินมีควำมจำเป็นต้องใช้บริกำรที่เกี่ยวข้องกับกำรตัดสินใจเชิงกลยุทธ์จำกผู้ให้บริกำรที่
เป็นบริษัทในกลุ่มธุรกิจเดียวกันเช่นกำรรวมศูนย์งำนไว้ที่บริษัทแม่หรือสำนักงำนใหญ่ในต่ำงประเทศเพื่อเพิ่ม
ประสิทธิภำพในกำรดำเนินงำนหรือเพื่อกำรบริหำรควำมเสี่ยงแบบองค์รวมสำมำรถขออนุญำตธนำคำรแห่งประเทศ
ไทยเป็นรำยกรณี
ทั้งนี้ในกำรใช้บริกำรจำกพันธมิตรทำงธุรกิจสถำบันกำรเงินจะต้องให้ควำมสำคัญกับกำรดำเนินธุรกิจอย่ำงต่อเนื่อง
กำรคุ้มครองและรับผิดชอบต่อผู้ใช้บริกำรเสมือนสถำบันกำรเงินเป็นผู้ดำเนินกำรเองรวมถึงกำรบริหำรจัดกำรควำม
เสี่ยงกำรรักษำควำมปลอดภัยในกำรทำธุรกรรมและข้อมูลของผู้ใช้บริกำร
21. © 2016 Baker & McKenzie Ltd.
Outsourcing – Contract considerations
21
• การใช้บริการจากพันธมิตรทางธุรกิจ (Banking Partner) ของสถาบันการเงิน
ประเด็นที่ควรครอบคลุมในสัญญาหรือข้อตกลงกับพันธมิตรทางธุรกิจ*
สถำบันกำรเงินต้องทำสัญญำหรือข้อตกลงกับพันธมิตรทำงธุรกิจที่จะใช้บริกำรเป็นลำยลักษณ์อักษรโดยสัญญำหรือ
ข้อตกลงดังกล่ำวควรครอบคลุมประเด็นสำคัญอย่ำงน้อยดังต่อไปนี้
(1) รำยละเอียดประเภทของกำรใช้บริกำรขอบเขตควำมรับผิดชอบ กำรบริหำรควำมเสี่ยงระบบควบคุมภำยใน
ระบบรักษำควำมปลอดภัยในกำรเก็บรักษำทรัพย์สินของสถำบันกำรเงิน
(2) ข้อตกลงกำรให้บริกำร (service level agreement) เพื่อกำหนดเป็นมำตรฐำนกำรให้บริกำรขั้นต่ำที่ต้องปฏิบัติทั้ง
ภำยใต้สถำนกำรณ์ปกติและไม่ปกติ
(3) แผนรองรับกำรดำเนินธุรกิจอย่ำงต่อเนื่อง (business continuity plan) เพื่อรองรับกรณีงำนที่ใช้บริกำรมีปัญหำ
หยุดชะงักลง และไม่สำมำรถให้บริกำรได้อย่ำงต่อเนื่อง
(4) ขั้นตอนกำรติดตำม ตรวจสอบ และประเมินประสิทธิภำพกำรปฏิบัติงำน
(5) ค่ำบริกำร (ถ้ำมี) ต้องมีควำมสมเหตุสมผลอ้ำงอิงจำกต้นทุนหรืออัตรำที่เรียกเก็บกันในตลำดทั่วไป โดยต้องไม่
เป็นกำรเอื้อประโยชน์จนเกินสมควรแก่เหตุให้แก่บุคคลหรือนิติบุคคลอื่นทั้งในและนอกกลุ่มธุรกิจ
(6) อำยุสัญญำ ข้อกำหนดและเงื่อนไขกำรยกเลิกสัญญำ ซึ่งรวมถึงสิทธิของสถำบันกำรเงินในกำรเปลี่ยนแปลง
แก้ไขและต่ออำยุสัญญำ ทั้งนี้เพื่อให้มีควำมคล่องตัวในกำรปรับปรุงกำรให้บริกำรหำกจำเป็น รวมทั้งเพื่อไม่ให้เป็น
อุปสรรคต่อกำรดำเนินงำนของสถำบันกำรเงินในอนำคต
*ประกำศธนำคำรแห่งประเทศไทย ที่สนส. 16/2563 เรื่อง หลักเกณฑ์กำรใช้บริกำรจำกพันธมิตรทำงธุรกิจ (business partner) ของสถำบันกำรเงิน
22. © 2016 Baker & McKenzie Ltd.
Outsourcing – Contract considerations
22
• การใช้บริการจากพันธมิตรทางธุรกิจ (Baking Partner) ของสถาบันการเงิน
ประเด็นที่ควรครอบคลุมในสัญญาหรือข้อตกลงกับพันธมิตรทางธุรกิจ*
สถำบันกำรเงินต้องทำสัญญำหรือข้อตกลงกับพันธมิตรทำงธุรกิจที่จะใช้บริกำรเป็นลำยลักษณ์อักษรโดยสัญญำหรือ
ข้อตกลงดังกล่ำวควรครอบคลุมประเด็นสำคัญอย่ำงน้อยดังต่อไปนี้
(7) ขอบเขตควำมรับผิดชอบในกรณีกำรให้บริกำรเกิดปัญหำขัดข้องเช่น กำรบริกำรล่ำช้ำ และ
ควำมผิดพลำดในกำรให้บริกำรเป็นต้น ตลอดจนแนวทำงแก้ไขปัญหำต่ำงๆ หรือกำรชดใช้ค่ำเสียหำยที่เกิดขึ้น
(8) กำรรักษำควำมปลอดภัยของข้อมูลกำรรักษำควำมลับ และควำมเป็นส่วนตัวของข้อมูลของ
ผู้ใช้บริกำรและข้อมูลของสถำบันกำรเงิน รวมถึงสิทธิในกำรเข้ำถึงและควำมเป็นเจ้ำของข้อมูลเช่น วิธีกำร
รับส่งข้อมูลและวิธีกำรเก็บรักษำข้อมูลเป็นต้น ตลอดจนบทลงโทษอย่ำงชัดเจน หำกมีกำรเปิดเผยข้อมูล
ของผู้ใช้บริกำรและ/หรือข้อมูลของสถำบันกำรเงิน
(9) กำรไม่ปิดกั้นหรือห้ำมให้บริกำรในลักษณะเดียวกันต่อสถำบันกำรเงินแห่งอื่น
(10) กำรปฏิบัติตำมหลักเกณฑ์ที่ธนำคำรแห่งประเทศไทยกำหนดรวมทั้งกฎหมำยและหลักเกณฑ์อื่นที่เกี่ยวข้อง
*ประกำศธนำคำรแห่งประเทศไทย ที่สนส. 16/2563 เรื่อง หลักเกณฑ์กำรใช้บริกำรจำกพันธมิตรทำงธุรกิจ (business partner) ของสถำบันกำรเงิน
23. © 2016 Baker & McKenzie Ltd.
Outsourcing – Contract considerations
23
• การใช้บริการจากพันธมิตรทางธุรกิจ (Banking Partner) ของสถาบันการเงิน
ประเด็นที่ควรครอบคลุมในสัญญาหรือข้อตกลงกับพันธมิตรทางธุรกิจ*
สถำบันกำรเงินต้องทำสัญญำหรือข้อตกลงกับพันธมิตรทำงธุรกิจที่จะใช้บริกำรเป็นลำยลักษณ์อักษร โดยสัญญำหรือ
ข้อตกลงดังกล่ำวควรครอบคลุมประเด็นสำคัญอย่ำงน้อยดังต่อไปนี้
(11) เงื่อนไขอื่น ๆ ตำมควำมจำเป็น เช่น สถำนที่ให้บริกำรกำรประกันภัยและกำรใช้บริกำร
ที่อยู่ในต่ำงประเทศเป็นต้น
(12) เงื่อนไขในกำรอนุญำตให้พันธมิตรทำงธุรกิจที่ดำเนินกำรแทนสถำบันกำรเงิน จะมอบหมำย
หรือว่ำจ้ำงผู้อื่นรับจ้ำงช่วง(subcontract) ในบำงส่วนหรือทั้งหมดของงำนที่รับว่ำจ้ำงมำจำกสถำบันกำรเงินโดยผู้ที่
รับจ้ำงช่วงนั้น ยังคงต้องถือปฏิบัติตำมหลักเกณฑ์เงื่อนไขต่ำงๆ ที่กำหนดในประกำศฉบับนี้ และ
ที่ได้ตกลงไว้กับสถำบันกำรเงินด้วย
(13) กำหนดสิทธิให้ธนำคำรแห่งประเทศไทยสถำบันกำรเงิน ผู้ตรวจสอบภำยนอกหรือหน่วยงำนของทำงกำรอื่นใน
กำรเข้ำตรวจสอบกำรดำเนินงำน ระบบกำรควบคุมภำยในต่ำงๆ รวมทั้งกำรเรียกดูข้อมูลที่เกี่ยวข้องจำกพันธมิตร
ทำงธุรกิจที่ดำเนินกำรแทนสถำบันกำรเงิน หรือผู้รับจ้ำงช่วง (ถ้ำมี)ในเรื่องที่เกี่ยวข้อกับงำนที่ให้บริกำรนั้น ๆ ทั้งนี้
หำกกำรเข้ำตรวจสอบต้องได้รับควำมยินยอมจำกหน่วยงำนที่กำกับดูแลพันธมิตรทำงธุรกิจที่ดำเนินกำรแทนสถำบัน
กำรเงินนั้น สถำบันกำรเงิน หรือพันธมิตรทำงธุรกิจที่ดำเนินกำรแทนสถำบันกำรเงินต้องดำเนินกำรให้สำมำรถเข้ำ
ตรวจสอบได้อย่ำงถูกต้อง
*ประกำศธนำคำรแห่งประเทศไทย ที่สนส. 16/2563 เรื่อง หลักเกณฑ์กำรใช้บริกำรจำกพันธมิตรทำงธุรกิจ (business partner) ของสถำบันกำรเงิน
24. © 2016 Baker & McKenzie Ltd.
IT Outsourcing – Contract considerations
24
• การใช้บริการจากผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ (IT Outsourcing) ในการ
ประกอบธุรกิจของสถาบันการเงิน
ประกาศธนาคารแห่งประเทศไทย ที่ สนส. 21/2562 เรื่อง หลักเกณฑ์การกากับดูแลความเสี่ยงด้านเทคโนโลยี
สารสนเทศ (Information Technology Risk) ของสถาบันการเงิน
การกากับดูแลความเสี่ยง
ในกรณีที่สถำบันกำรเงินใช้บริกำรงำนด้ำนเทคโนโลยีสำรสนเทศจำกบุคคลภำยนอก (ITOutsourcing) หรือ
เชื่อมต่อระบบเทคโนโลยีสำรสนเทศกับบุคคลภำยนอกหรือ กรณีที่บุคคลภำยนอกสำมำรถเข้ำถึงข้อมูล
สำคัญของสถำบันกำรเงินหรือข้อมูลของลูกค้ำที่ควบคุมดูแลโดยสถำบันกำรเงินได้เช่น
• กำรใช้บริกำรศูนย์คอมพิวเตอร์และงำนด้ำนดูแลระบบประมวลผล
• กำรใช้บริกำร cloud computing จำกผู้ให้บริกำรภำยนอก
• กำรเชื่อมต่อระบบเทคโนโลยีสำรสนเทศกับพันธมิตรทำงธุรกิจเพื่อให้บริกำรร่วมกัน
• กำรเชื่อมต่อกับผู้ให้บริกำรเครือข่ำยสำธำรณะหรือ ผู้ให้บริกำรระบบชำระเงินกลำง
สถำบันกำรเงินต้องมีกำรกำกับดูแลควำมเสี่ยงกระบวนกำรบริหำร ควำมเสี่ยงและกำรรักษำควำมมั่นคง
ปลอดภัยด้ำนเทคโนโลยีสำรสนเทศและกำรรักษำควำมปลอดภัยจำกภัยไซเบอร์สอดคล้องตำมระดับควำม
เสี่ยงและระดับควำมมีนัยสำคัญ บนพื้นฐำนที่สถำบันกำรเงินต้องรับผิดชอบต่อกำรดำเนินธุรกิจและกำร
ให้บริกำรแก่ลูกค้ำและคงไว้ซึ่งควำมน่ำเชื่อถือ ชื่อเสียงประสิทธิภำพในกำรให้บริกำรตำมหลักกำรที่กำหนด
25. © 2016 Baker & McKenzie Ltd.
IT Outsourcing – Contract considerations
25
• การใช้บริการจากผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ (IT Outsourcing) ในการ
ประกอบธุรกิจของสถาบันการเงิน
ประกาศธนาคารแห่งประเทศไทย ที่ สนส. 21/2562 เรื่อง หลักเกณฑ์การกากับดูแลความเสี่ยงด้านเทคโนโลยี
สารสนเทศ (Information Technology Risk) ของสถาบันการเงิน
การรายงาน แจ้ง หรือขออนุญาตต่อธนาคารแห่งประเทศไทย
• กำรรำยงำนโครงกำรด้ำนเทคโนโลยีสำรสนเทศที่มีนัยสำคัญ
ธนำคำรพำณิชย์ต้องจัดส่งรำยงำนโครงกำรด้ำนเทคโนโลยีสำรสนเทศที่มีนัยสำคัญประจำปี ทั้งกรณีที่
ธนำคำรพำณิชย์ดำเนินกำรเองและกรณีที่มีกำรใช้บริกำรกำรเชื่อมต่อหรือกำรเข้ำถึงข้อมูลจำก
บุคคลภำยนอกต่อธนำคำรแห่งประเทศไทยตำมที่กำหนด
• กำรแจ้งกำรนำเทคโนโลยีมำใช้หรือกำรเปลี่ยนแปลงระบบหรือเทคโนโลยีที่มีนัยสำคัญ
ธนำคำรพำณิชย์ที่นำเทคโนโลยีมำใช้หรือเปลี่ยนแปลงระบบหรือเทคโนโลยีโดยกำรนำมำใช้หรือกำร
เปลี่ยนแปลงดังกล่ำวมีนัยสำคัญตำมข้อกำหนด (criteria) ที่ธนำคำรพำณิชย์ได้กำหนดขึ้น ทั้งกรณีที่
ธนำคำรพำณิชย์ดำเนินกำรเองและกรณีที่มีกำรใช้บริกำรกำรเชื่อมต่อ หรือกำรเข้ำถึงข้อมูลจำก
บุคคลภำยนอกต้องรำยงำนกำรนำมำใช้หรือกำรเปลี่ยนแปลงดังกล่ำว ต่อธนำคำรแห่งประเทศไทย
ตำมที่กำหนดล่วงหน้ำ 15วันก่อนดำเนินกำร
26. © 2016 Baker & McKenzie Ltd.
IT Outsourcing – Contract considerations
26
• การใช้บริการจากผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ (IT Outsourcing) ในการ
ประกอบธุรกิจของสถาบันการเงิน
การจัดทาสัญญาหรือข้อตกลงการใช้บริการ การเชื่อมต่อหรือการเข้าถึงข้อมูลจากบุคคลภายนอก*
• สถำบันกำรเงินต้องจัดทำสัญญำหรือข้อตกลงกำรใช้บริกำรกำรเชื่อมต่อหรือกำรเข้ำถึงข้อมูลจำกบุคคลภำยนอกอย่ำงเป็นลำยลักษณ์อักษรและจัดเก็บ
สัญญำหรือข้อตกลงดังกล่ำวไว้ที่สถำบันกำรเงินเพื่อสำมำรถบังคับใช้ได้ตำมกฎหมำยและพร้อมสำหรับกำรตรวจสอบหรือเมื่อร้องขอโดยธนำคำรแห่ง
ประเทศไทย
• สถำบันกำรเงินต้องระบุรำยละเอียดและกำหนดเงื่อนไขที่สำคัญในสัญญำหรือข้อตกลงกับบุคคลภำยนอกอย่ำงชัดเจนโดยพิจำรณำให้ครอบคลุมตำมระดับ
ควำมเสี่ยงและควำมมีนัยสำคัญของกำรใช้บริกำรกำรเชื่อมต่อหรือกำรเข้ำถึงข้อมูลจำกบุคคลภำยนอกดังนี้
*Third Party RiskManagement Implementation Guideline แนวปฏิบัติกำรบริหำรจัดกำรควำมเสี่ยงจำกบุคคลภำยนอก
(1)ขอบเขตกำรใช้บริกำรกำรเชื่อมต่อหรือกำรเข้ำถึงข้อมูลจำกบุคคลภำยนอก
(2)บทบำทหน้ำที่และควำมรับผิดชอบของบุคคลภำยนอกและสถำบันกำรเงิน
(3)มำตรฐำนกำรปฏิบัติงำนขั้นต่ำของบุคคลภำยนอกเช่นมำตรฐำนกำรควบคุมภำยในมำตรฐำนกำรรักษำควำมลับของระบบและข้อมูล(Confidentiality)
ควำมถูกต้องเชื่อถือได้ของระบบและข้อมูล(Integrity)และควำมพร้อมใช้งำนด้ำนเทคโนโลยีสำรสนเทศ(Availability)และมำตรฐำนกำรคุ้มครองลูกค้ำของสถำบัน
กำรเงินเป็นต้น
(4)แผนฉุกเฉินด้ำนเทคโนโลยีสำรสนเทศสำหรับกำรใช้บริกำรกำรเชื่อมต่อหรือกำรเข้ำถึงข้อมูลจำกบุคคลภำยนอกควรสอดคล้องกับแผนฉุกเฉินด้ำนเทคโนโลยี
สำรสนเทศของสถำบันกำรเงิน
(5)กำรติดตำมและรำยงำนผลกำรปฏิบัติงำนของบุคคลภำยนอก(OngoingMonitoring)ซึ่งครอบคลุมถึงกำรแจ้งกำรเปลี่ยนแปลงหรือเหตุกำรณ์ที่สำคัญและรำยงำน
ปัญหำผิดปกติที่เกิดจำกกำรใช้บริกำรกำรเชื่อมต่อหรือกำรเข้ำถึงข้อมูลจำกบุคคลภำยนอก
27. © 2016 Baker & McKenzie Ltd.
IT Outsourcing – Contract considerations
27
• การใช้บริการจากผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ (IT Outsourcing) ในการ
ประกอบธุรกิจของสถาบันการเงิน
การจัดทาสัญญาหรือข้อตกลงการใช้บริการ การเชื่อมต่อหรือการเข้าถึงข้อมูลจากบุคคลภายนอก*
• สถำบันกำรเงินต้องระบุรำยละเอียดและกำหนดเงื่อนไขที่สำคัญในสัญญำหรือข้อตกลงกับบุคคลภำยนอกอย่ำงชัดเจนโดยพิจำรณำให้ครอบคลุมตำมระดับ
ควำมเสี่ยงและควำมมีนัยสำคัญของกำรใช้บริกำรกำรเชื่อมต่อหรือกำรเข้ำถึงข้อมูลจำกบุคคลภำยนอกดังนี้
*Third Party RiskManagement Implementation Guideline แนวปฏิบัติกำรบริหำรจัดกำรควำมเสี่ยงจำกบุคคลภำยนอก
(6)กำรคุ้มครองข้อมูลส่วนบุคคลทั้งข้อมูลของสถำบันกำรเงินและข้อมูลของลูกค้ำต้องกำหนดให้เป็นไปตำมกฎหมำยและกฎเกณฑ์ที่เกี่ยวข้อง
(7)กำรทำลำยข้อมูลเมื่อสิ้นสุดหรือยกเลิกกำรใช้บริกำรกำรเชื่อมต่อหรือกำรเข้ำถึงข้อมูลจำกบุคคลภำยนอกเช่นกำรกำหนดให้บุคคลภำยนอก
ต้องออกหนังสือรับรองกำรทำลำยข้อมูลของสถำบันกำรเงิน
(8)เงื่อนไขหรือสิทธิของสถำบันกำรเงินในกำรขอเปลี่ยนแปลงยุติหรือยกเลิกสัญญำหรือข้อตกลงกรณีที่เกิดกำรเปลี่ยนแปลงหรือเกิดกำรละเมิดสัญญำ
หรือข้อตกลงเช่นกำรเปลี่ยนเจ้ำของกิจกำรกำรละเมิดควำมปลอดภัยหรือกำรรักษำควำมลับและกำรที่บุคคลภำยนอกอยู่ระหว่ำงกระบวนกำร
พิทักษ์ทรัพย์/กำรชำระบัญชี/ล้มละลำยเป็นต้น
(9)แนวทำงกำรระงับข้อพิพำทและควำมรับผิดต่อควำมเสียหำย
(10)กำรระบุสิทธิในกำรเข้ำตรวจสอบโดยสถำบันกำรเงินธนำคำรแห่งประเทศไทยผู้ตรวจสอบภำยนอกที่ได้รับกำรแต่งตั้งจำกสถำบันกำรเงินหรือธปท.
ให้สำมำรถเข้ำตรวจสอบกำรดำเนินงำนและกำรควบคุมภำยในของบุคคลภำยนอกในส่วนที่เกี่ยวข้องกับกำรใช้บริกำรกำรเชื่อมต่อหรือกำรเข้ำถึงข้อมูลจำก
บุคคลภำยนอกของสถำบันกำรเงิน
28. © 2016 Baker & McKenzie Ltd.
IT Outsourcing – Contract considerations
28
• การใช้บริการจากผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ (IT Outsourcing) ในการ
ประกอบธุรกิจของสถาบันการเงิน
การจัดทาสัญญาหรือข้อตกลงการใช้บริการ การเชื่อมต่อหรือการเข้าถึงข้อมูลจากบุคคลภายนอก*
• ในกรณีเป็นกำรใช้บริกำรงำนด้ำนเทคโนโลยีสำรสนเทศจำกบุคคลภำยนอก(ITOutsourcing)ที่มีนัยสำคัญสถำบันกำรเงินควรกำหนดสิทธิของสถำบัน
กำรเงินในกำรพิจำรณำอนุมัติกรณีบุคคลภำยนอกว่ำจ้ำงผู้รับเหมำช่วง(Subcontract)และข้อกำหนดที่บุคคลภำยนอกต้องรับผิดชอบต่อผลกำรปฏิบัติงำน
ของผู้รับเหมำช่วง
• กรณีกำรใช้บริกำรกำรเชื่อมต่อหรือกำรเข้ำถึงข้อมูลจำกบุคคลภำยนอกที่ตั้งอยู่ในต่ำงประเทศสัญญำหรือข้อตกลงในกำรใช้บริกำรกำรเชื่อมต่อหรือกำรเข้ำถึง
ข้อมูลจำกบุคคลภำยนอกควรพิจำรณำถึงควำมเสี่ยงและอุปสรรคที่อำจเกิดขึ้นจำกประเทศที่บุคคลภำยนอกตั้งอยู่หรือประกอบธุรกิจ(CountryRisk)ด้วย
*Third Party RiskManagement Implementation Guideline แนวปฏิบัติกำรบริหำรจัดกำรควำมเสี่ยงจำกบุคคลภำยนอก
29. © 2016 Baker & McKenzie Ltd.
Outsourcing – Contract considerations
29
การใช้บริการจากบุคคลภายนอกของผู้ให้บริการการชาระเงินภายใต้การกากับ
• กรณีผู้ประกอบธุรกิจบริกำรกำรชำระเงินภำยใต้กำรกำกับ ให้ผู้ให้บริกำรรำยอื่นหรือบุคคลอื่น (Outsourcing) มำดำเนินกำรแทนในงำนระบบ
สำรสนเทศรวมถึงงำนที่มีผลกระทบอย่ำงมีนัยสำคัญต่อธุรกิจบริกำรกำรชำระเงินภำยใต้กำรกำกับ ผู้ประกอบธุรกิจบริกำรกำรชำระเงินภำยใต้
กำรกำกับยังคงมีควำมรับผิดชอบต่อผู้ใช้บริกำร ในกำรให้บริกำรที่ต่อเนื่องปลอดภัยน่ำเชื่อถือและควำมเสียหำยใด ๆ ที่อำจเกิดขึ้นเสมือนกับ
เป็นกำรให้บริกำรโดยผู้ประกอบธุรกิจเอง โดยผู้ประกอบธุรกิจบริกำรกำรชำระเงินภำยใต้กำรกำกับต้องดำเนินกำรดังต่อไปนี้*
• จัดให้มีกระบวนกำรบริหำรควำมเสี่ยงรวมทั้งกำรคัดเลือกติดตำมประเมินผลและตรวจสอบกำรให้บริกำรของผู้ให้บริกำรรำยอื่นหรือบุคคลอื่นอย่ำง
เหมำะสมโดยประเมินควำมเสี่ยงของกำรใช้บริกำรจำกผู้ให้บริกำรรำยอื่นหรือบุคคลอื่นอย่ำงสม่ำเสมอทั้งนี้ในกำรประเมินควำมเสี่ยงควรครอบคลุมถึง
ควำมเสี่ยงที่เกี่ยวข้องกับกำรรักษำควำมลับและกำรคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) และผลกระทบต่อระบบงำนที่สำคัญของผู้ประกอบธุรกิจ
บริกำรกำรชำระเงินภำยใต้กำรกำกับ
• จัดให้มีกำรทำสัญญำกำรใช้บริกำรซึ่งระบุสิทธิของผู้ตรวจสอบภำยในผู้ตรวจสอบภำยนอกและธปท. ในกำรเข้ำตรวจสอบกำรดำเนินงำนและกำรควบคุม
ภำยในของผู้ให้บริกำรรำยอื่นหรือบุคคลอื่นในส่วนที่เกี่ยวข้องกับกำรประกอบธุรกิจบริกำรกำรชำระเงินภำยใต้กำรกำกับนั้นได้
• จัดให้มีแผนรองรับกำรดำเนินธุรกิจอย่ำงต่อเนื่อง (Business Continuity Plan) หรือแผนฉุกเฉินด้ำนเทคโนโลยีสำรสนเทศ (Disaster Recovery Plan)
ที่ครอบคลุมถึงกำรใช้บริกำรจำกผู้ให้บริกำรรำยอื่นหรือบุคคลอื่นรวมทั้งต้องมีกำรทดสอบและทบทวนกำรปฏิบัติตำมแผนอย่ำงสม่ำเสมอเพื่อให้สำมำรถ
ปฏิบัติงำนได้จริง
• กรณีที่มีกำรเลือกใช้บริกำรจำกผู้ให้บริกำรรำยอื่นหรือบุคคลอื่นในต่ำงประเทศโดยเฉพำะในด้ำนกำรจัดเก็บข้อมูลกำรประมวลผลหรือกำรดำเนินกำรใดๆ
เกี่ยวกับข้อมูลผู้ประกอบธุรกิจบริกำรกำรชำระเงินภำยใต้กำรกำกับต้องมีกำรประเมินควำมเสี่ยงที่อำจเกิดขึ้นจำกกำรใช้บริกำรในต่ำงประเทศนั้นเช่น
ควำมเสี่ยงจำกกำรไม่สำมำรถเข้ำถึงข้อมูลอันเนื่องมำจำกกำรขัดข้องหรือกำรปิดกั้นเครือข่ำยสื่อสำรหรือระบบสื่อสำรระหว่ำงประเทศ (Information
Access Risk) และควำมเสี่ยงด้ำนกฎหมำยที่เกี่ยวข้องกับกำรปฏิบัติตำมหลักเกณฑ์ของต่ำงประเทศ (Cross-border Compliance) และจัดให้มีแผน
รองรับควำมเสี่ยงที่อำจเกิดขึ้น
*ประกำศธนำคำรแห่งประเทศไทยที่สนช. 6/2561 เรื่องหลักเกณฑ์ทั่วไปในกำรกำกับดูแลกำรประกอบธุรกิจบริกำรกำรชำระเงินภำยใต้กำรกำกับ
30. © 2016 Baker & McKenzie Ltd.
“A smart contract is an automatable and enforceable agreement. Automatable by computer, although
some parts may require human input and control. Enforceable either by legal enforcement of rights and
obligations or via tamper-proof execution of computer code.”
Clack, C., Bakshi, V. & Braine, L. (2016, revised March 2017). Smart Contract Templates: foundations, design landscape and
research directions
Why now?
Distributed Ledger Technology (DLT) now provides the ideal platform as it embeds one code into the ledger,
binding both parties, and once the code is switched on, it will self-execute automatically and neither party can
tamper with it.
What is a Smart Contract?
© 2020 Baker & McKenzie Ltd.
Smart Contract – Contract considerations
31. © 2016 Baker & McKenzie Ltd.
Clauses for automation
Blockchain
SMART CONTRACT CODE
Legal Agreement
Operational Clauses
• Have conditional logic
• Suited to automation and self-
execution
• i.e. upon occurrence of specific
time/event, an action occurs
• e.g. A clause that requires an
amount to be payable on a
payment date equal to the
number of options exercised
multiplied by a strike price
differential
Non-Operational Clauses
• Do not require conditional logic
• e.g. A clause specifying what
law should govern in the event
of any dispute
• e.g. A representation that a
party’s obligations under the
legal agreement constitute
legal, valid and binding
obligations
© 2020 Baker & McKenzie Ltd.
32. Whatis a Smart Contract?
Legal
contract
Smart legal
contract
Smart
contract
code
Legal concerns
What contractual terms
should be automated?
How should these
terms be expressed via
code?
© 2020 Baker & McKenzie Ltd.
33. Legal considerationof Smart Contract
Not all clauses are desirable for automation and self-execution
Assessment of the efficiency and operational benefits (instead of just
being effective).
Adapted from Figure 4 in "Whitepaper Smart Derivatives Contracts: From Concept to Construction" by ISDAand King & Wood Ma
llesons, October 2018.
Form a single
contract
© 2020 Baker & McKenzie Ltd.
34. E-Signature
Computer
code Traditional VS Smart
contract
Binding contract
Pseudonymous of
the parties
Forum of
adjudication
Termination of
contract ?
Governing Law
No negotiation
among parties
Automate
Jurisdiction Immutability /
Amendment
Enforceability
Legal considerationof Smart Contract
© 2020 Baker & McKenzie Ltd.
35. © 2016 Baker & McKenzie Ltd.
Legal Documentation in FinTech Businesses
35
• Terms and Conditions / Agreement with
customers
• Privacy policy
• ConfidentialityAgreement / Non-disclosure
Agreement
• Agreements with business partner /
technology providers
• SLA
• Disclaimer
• Prospectus
• Fundraising agreements
• Escrow arrangement
36. © 2016 Baker & McKenzie Ltd.
Specific regulations
36
1) Payment
2) Consumer finance
3) P2P lending
4) Equity crowdfunding
5) Debt crowdfunding
6) Digital asset
37. © 2016 Baker & McKenzie Ltd.
Example important contracts for business
37
Terms and Conditions/ Terms of Use/Terms of Service
o A set of rules and guidelines that a user must agree to in order to use a website or a
mobile app. It can also be merely a disclaimer.
o is not required by law.
What to include in a terms and conditions
Key provisions:
Guideline for using the website/mobile app
Intellectual property clause - informs users that you are the owner of contents
in the website/mobile app and that the content is protected by intellectual
property laws.
Termination clause - informs users that abusive accounts will be terminated
and banned from using the service.
Limit Liability - informs users that the owner can’t be held responsible for any
errors in the content presented, or for the information provided being accurate,
complete, or suitable for any purpose.
Contracts
38. © 2016 Baker & McKenzie Ltd.
Example important contracts for business
38
What to include in a terms and conditions (continued)
Links To Other Web Sites clause - informs users that you are not
responsible for any third party websites linked to on the website/mobile app.
The users are responsible for reading and agreeing (or disagreeing) with
the Terms and Conditions or Privacy Policies of these third parties.
Content clause - informs users that they own the rights to the content they
have createdand usually mentions that users must give you (the owner of
the website) a license so that you can share this content on your website
and to make it available to other users.
Limit What Users Can Do clause - inform users that by agreeing to use
your service, they’re also agreeing to not do certain things. You can specify
list of prohibited activities so as to cover most negative uses.
Contracts
39. © 2016 Baker & McKenzie Ltd.
Example important contracts for business
39
Privacy Policy
Privacy Policy
o A statement that discloses the ways in which a website operator gathers, uses, discloses, and maintains a user’s
data.
o should be in place if there is collection of personal data from the users.
Basic requirements
o What information you collect from users.
o What will you do with the collected personal information.
o With whom you share the collected personal information, i.e. with third-parties.
Sample provisions
o Introduction
o Scope of privacy policy
o Types of personal data to be collected
o How the data being used (how, howthe information being protected, where the data being stored and transmitted to
etc.)
o Rights of data subjects
o Consent
o Specific requirements under specific regulations (e.g. market conduct of Fis)
Contracts
40. © 2018 Baker & McKenzie Ltd.
Example important contracts for business
40
Privacy Policy Sample
Contracts
Reference: https://kasikornbank.com/th/privacy-policy
41. © 2018 Baker & McKenzie Ltd.
Example important contracts for business
41
Privacy Policy Sample
Reference:https://kasikornbank.com/th/privacy-policy
Contracts
42. © 2018 Baker & McKenzie Ltd.
Example important contracts for business
42
Privacy Policy Sample
Reference: https://kasikornbank.com/th/privacy-policy
Contracts
43. © 2018 Baker & McKenzie Ltd.
Example important contracts for business
43
Privacy Policy Sample
Reference:https://kasikornbank.com/th/privacy-policy
Contracts
44. © 2018 Baker & McKenzie Ltd.
Example important contracts for business
44
Privacy Policy Sample
Reference:https://www.scb.co.th/th/personal-banking/privacy-notice.html
Contracts
45. © 2018 Baker & McKenzie Ltd.
Example important contracts for business
45
Privacy Policy Sample
Reference:https://www.scb.co.th/th/personal-banking/privacy-notice.html
Contracts
46. © 2018 Baker & McKenzie Ltd.
Example important contracts for business
46
Privacy Policy Sample
Reference:https://www.scb.co.th/th/personal-banking/privacy-notice.html
Contracts
47. © 2018 Baker & McKenzie Ltd.
Example important contracts for business
47
Consent Sample
Contracts
48. bakermckenzie.com
Baker & McKenzie Ltd.isa member firm of Baker & McKenzieInternational,a global law firm withmember law firms
around the world. In accordance withthe commonterminology used in professional service organizations, reference to a
"partner" meansa person who is a partner, or equivalent, insuch a law firm. Similarly, reference to an "office"meansan
office of any such law firm. Thismay qualify as “Attorney Advertising” requiringnotice in some jurisdictions. Prior results
do not guarantee a similar outcome.
© 2020 Baker & McKenzie Ltd.
Kullarat Phongsathaporn
Partner
Bangkok, Thailand
Tel: +66 90 980 6605
E-mail : kullarat.phongsathaporn@bakermckenzie.com
Facebook page: fintechlaw
Facebook Page
Fintechlaw
https://www.facebook.com/FinTechLaw/