Hoàn thiện pháp luật Việt Nam về chữ ký số

Tóm tắt: Chữ ký số là một phương thức xác nhận nhanh chóng, an toàn và được pháp luật thừa nhận về giá trị pháp lý. Nhưng việc sử sụng chữ ký số ở Việt Nam vẫn còn gặp một số trở ngại nhất định. Trong phạm vi bài viết này, tác giả tập trung phân tích khái niệm chữ ký số, một số quy định pháp luật về chữ ký số, thực tiễn áp dụng các quy định này, bất cập và đưa ra một số kiến nghị hoàn thiện.

Abstract: Digital signature is a fast, secure method and which is legally recognized. But the use of   digital signatures in Vietnam still faces certain obstacles. Within the scope of this article, the author   focuses on analyzing the concept of digital signature, some legal provisions on digital signature, practical application of these regulations, inadequacies, and makes some recommendations for improvement.

1. Khái niệm chữ ký số

Về bản chất, chữ ký số là một thông điệp dữ liệu, là một dạng của chữ ký điện tử nhưng có độ an toàn cao và được sử dụng rộng rãi. Công thức để sinh ra chữ ký số phụ thuộc vào 03 yếu tố đầu vào là văn bản điện tử cần ký, khóa bí mật, phần mềm ký số. Chữ ký số dựa trên lý thuyết về mật mã và các thuật toán mã hóa bất đối xứng. Việc thừa nhận chữ ký số thuộc sở hữu của cơ quan, cá nhân nào đó phải được một tổ chức cung cấp dịch vụ chứng thực và tổ chức này phải được thừa nhận về tính pháp lý và kỹ thuật.

Khái niệm chữ ký số được quy định trong pháp luật các nước cũng rất đa dạng. Theo Ủy ban Liên Hợp Quốc về Luật Thương mại quốc tế (UNCITRAL), chữ ký số là tên gọi cho các ứng dụng công nghệ sử dụng tính bất đối xứng mật mã, còn được gọi là hệ thống mã hóa khóa công khai, để bảo đảm tính xác thực của thông điệp điện tử và bảo đảm tính toàn vẹn của nội dung tin nhắn. Cụ thể, theo hướng dẫn ban hành Luật mẫu về Chữ ký điện tử năm 2001 (UNCITRAL Model Law on Electronic), thì chữ ký số được tạo và xác minh bằng cách sử dụng mật mã, một nhánh của toán học ứng dụng liên quan đến việc biến đổi các thông điệp thành dạng có vẻ khó hiểu và trở lại dạng ban đầu. Chữ ký số sử dụng cái được gọi là “mật mã khóa công khai”, thường dựa trên việc sử dụng các hàm thuật toán để tạo ra hai “khóa” khác nhau nhưng có liên quan đến toán học (tức là các số lớn được tạo ra bằng cách sử dụng một loạt các công thức toán học áp dụng cho các số nguyên tố).

Quy định của pháp luật Việt Nam hiện hành về chữ ký số phù hợp với các quy định của Luật mẫu về chữ ký điện tử năm 2001 của Ủy ban Liên Hợp Quốc về Luật Thương mại quốc tế. Khoản 6 Điều 3 Nghị định số 130/2018/NĐ-CP ngày 27/9/2018 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số (Nghị định số 130/2018/NĐ-CP) quy định: “Chữ ký số là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng, theo đó, người có được thông điệp dữ liệu ban đầu và khóa công khai của người ký có thể xác định: a. Được chính xác việc biến đổi nêu trên được tạo ra bằng đúng khóa bí mật tương ứng với khóa công khai trong cùng một cặp khóa; b. Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi thực hiện việc biến đổi nêu trên.

Như vậy, chữ ký số đầu tiên được xác định là một dạng của chữ ký điện tử, là tập hợp con của chữ ký điện tử. Chữ ký số được sử dụng với phương thức kỹ thuật là việc biến đổi dữ liệu và tạo khóa công khai để bảo vệ sự toàn vẹn và bảo mật đối với dữ liệu ban đầu.

2. Giá trị pháp lý của chữ ký số và dịch vụ chứng thực chữ ký số

Theo Điều 8 Nghị định số 130/2018/NĐ-CP thì giá trị pháp lý của chữ ký số được quy định như sau:

Một là, trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bằng chữ ký số và chữ ký số đó được bảo đảm an toàn theo quy định tại Điều 9 Nghị định số 130/2018/NĐ-CP.

Hai là, trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bởi chữ ký số cơ quan, tổ chức và chữ ký số đó được bảo đảm an toàn theo quy định tại Điều 9 Nghị định số 130/2018/NĐ-CP.

Ba là, chữ ký số và chứng thư số nước ngoài được cấp giấy phép sử dụng tại Việt Nam có giá trị pháp lý và hiệu lực như chữ ký số và chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng của Việt Nam cấp.

Theo đó, nếu văn bản chỉ yêu cầu có chữ ký thì tương ứng thông điệp dữ liệu cũng cần chữ ký điện tử, bảo đảm có thể xác minh được người ký, ý chí xác lập giao dịch của người ký. Còn đối với văn bản cần đóng dấu của doanh nghiệp thì thông điệp dữ liệu được truyền đi cần được ký bằng chữ điện tử của doanh nghiệp đáp ứng các điều kiện an toàn tại Điều 22 Luật Giao dịch điện tử năm 2005 và phải được chứng thực[1]. Luật Giao dịch điện tử năm 2005 không đề cập đến khái niệm chữ ký số, hay giá trị pháp lý của chữ ký số mà chỉ quy định về chữ ký điện tử. Chữ ký số là một dạng của chữ ký điện tử, là tập hợp con của chữ ký điện tử.

Khoản 2 Điều 22 Luật Giao dịch điện tử năm 2005 quy định: “Chữ ký điện tử đã được tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực được xem là bảo đảm các điều kiện an toàn quy định tại khoản 1 Điều này”, tuy nhiên hiện nay chỉ có chữ ký số được chứng thực bởi tổ chức cung cấp dịch vụ chứng thực chữ ký số và đáp ứng yêu cầu về các điều kiện an toàn khác của chữ ký điện tử. Do đó, có thể gọi chữ ký số là chữ ký điện tử an toàn và đối với các văn bản cần đóng dấu thì tương ứng các thông điệp dữ liệu cần được ký số để bảo đảm giá trị pháp lý theo quy định của pháp luật.

Theo Điều 9 Nghị định số 52/2013/NĐ-CP ngày 16/5/2013 của Chính phủ về thương mại điện tử, thì chứng từ điện tử trong giao dịch thương mại có giá trị như bản gốc được quy định như sau:

Một là, chứng từ điện tử trong giao dịch thương mại có giá trị pháp lý như bản gốc nếu đáp ứng cả hai điều kiện sau: Có sự bảo đảm đủ tin cậy về tính toàn vẹn của thông tin chứa trong chứng từ điện tử từ thời điểm thông tin được khởi tạo lần đầu tiên dưới dạng chứng từ điện tử; thông tin chứa trong chứng từ điện tử có thể truy cập, sử dụng được dưới dạng hoàn chỉnh khi cần thiết.

Hai là, tiêu chí đánh giá tính toàn vẹn là thông tin còn đầy đủ và chưa bị thay đổi, ngoài những thay đổi về hình thức phát sinh trong quá trình trao đổi, lưu trữ hoặc hiển thị chứng từ điện tử.

Ba là, tiêu chí về sự bảo đảm đủ tin cậy là khi một trong những biện pháp sau được áp dụng trên cơ sở thỏa thuận giữa các bên trao đổi và sử dụng chứng từ điện tử: (i) Ký chứng từ điện tử bằng chữ ký số do tổ chức cung cấp dịch vụ chứng thực chữ ký số hợp pháp cấp; (ii) Lưu trữ chứng từ điện tử tại hệ thống của một tổ chức cung cấp dịch vụ chứng thực hợp đồng điện tử đã được cấp phép mà các bên thỏa thuận lựa chọn; (iii) Có sự bảo đảm từ phía thương nhân, tổ chức cung cấp hạ tầng cho việc khởi tạo, gửi và lưu trữ chứng từ điện tử về tính toàn vẹn của thông tin chứa trong chứng từ điện tử trong quá trình gửi và lưu trữ trên hệ thống; (iv) Biện pháp khác mà các bên thống nhất lựa chọn.

Theo đó, các dữ liệu nếu được ký số do tổ chức cung cấp dịch vụ chứng thực chữ ký số hợp pháp cấp thì sẽ có giá trị pháp lý như bản gốc.

Chữ ký số đóng vai trò quan trọng trong việc xác nhận giá trị pháp lý cho các dữ liệu điện tử, giá trị pháp lý của chữ ký số được quy định rõ ràng trong các văn bản pháp luật. Nhưng để bảo đảm giá trị pháp lý thì chữ ký số cần đáp ứng những điều kiện an toàn theo quy định tại Điều 9 Nghị định số 130/2018/NĐ-CP.

Cơ quan giữ vai trò quan trọng nhất trong việc sử dụng chữ ký số chính là các tổ chức cung cấp dịch vụ chứng thực chữ ký số. Các tổ chức này có nhiệm vụ tạo ra cặp khóa công khai và bí mật và cấp chứng thư số cho các thuê bao (là tổ chức và cá nhân đăng ký sử dụng dịch vụ).

Theo khoản 2 Điều 4 Luật Giao dịch điện tử năm 2005, thì chứng thực chữ ký điện tử là việc xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử. Theo đó, cơ quan chứng thực chữ ký điện tử sẽ cấp chứng thư điện tử nhằm xác nhận hay chứng thực chữ ký điện tử cơ quan, tổ chức hoặc cá nhân. Đồng thời, với việc cấp chứng thư điện tử, cơ quan chứng thực chữ ký điện tử có nhiệm vụ cung cấp chương trình ký điện tử cho các thuê bao để họ sử dụng khi muốn ký vào các văn bản điện tử.

Còn theo Điều 4 Nghị định số 130/2018/NĐ-CP, thì dịch vụ chứng thực chữ ký số là một loại hình dịch vụ chứng thực chữ ký điện tử do tổ chức cung cấp dịch vụ chứng thực chữ ký số cung cấp cho thuê bao để xác thực việc thuê bao là người đã ký số trên thông điệp dữ liệu.

3. Thực tiễn áp dụng, bất cập và hướng hoàn thiện một số quy định pháp luật về chữ ký số

3.1. Về khái niệm chữ ký số

Luật Giao dịch điện tử năm 2005 chỉ đề cập đến các quy định về chữ ký điện tử mà không có quy định về chữ ký số. Nhưng đến Nghị định số 26/2007/NĐ-CP ngày 15/02/2007 của Chính phủ (hiện tại được thay thế bằng Nghị định số 130/2018/NĐ-CP) thì lại quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số. Mặc dù về mặt kỹ thuật, chữ ký số là một dạng của chữ ký điện tử. Chữ ký số là thuật ngữ chỉ một loại chữ ký điện tử sử dụng kỹ thuật đặc biệt - kỹ thuật mã hóa, trong đó đòi hỏi phải ứng dụng mã khóa công cộng với khóa dài tối thiểu tới 1024, 2048 bit để “ký” trên tập tin điện tử.

Vấn đề đặt ra là, khi chủ thể thực hiện giao dịch thương mại điện tử sử dụng chữ ký điện tử (về mặt kỹ thuật chưa sử dụng chế độ mã hóa 1024 bit) thì có cần tuân thủ đầy đủ các quy định của pháp luật về chữ ký số không, nếu phát sinh rủi ro thì xác định trách nhiệm pháp lý như thế nào?... Theo chúng tôi, vấn đề này là rủi ro pháp lý khi chưa có sự thống nhất về mặt thuật ngữ trong các quy định của pháp luật Việt Nam về chữ ký điện tử. Do đó, pháp luật Việt Nam cần thống nhất sử dụng thuật ngữ “chữ ký số” thay cho thuật ngữ “chữ ký điện tử” để tránh những rủi ro pháp lý không cần thiết và vấn đề này hoàn toàn phù hợp với xu thế hiện nay của lĩnh vực công nghệ thông tin.

Chữ ký điện tử có thể có nhiều hình thức như chữ ký số, nhận dạng chữ viết tay, nhận dạng sinh trắc học (vân tay, mống mắt, khuôn mặt...), nhận dạng giọng nói... Khoản 3 Điều 24 Luật Giao dịch điện tử năm 2005 quy định: Chính phủ quy định cụ thể việc quản lý và sử dụng chữ ký điện tử của cơ quan, tổ chức. Tuy nhiên, cho đến thời điểm này, Chính phủ mới chỉ ban hành các quy định về chữ ký số tại Nghị định số 130/2018/NĐ-CP, chưa ban hành quy định cho các loại chữ ký điện tử khác. Theo ý kiến của một số đơn vị triển khai Luật Giao dịch điện tử năm 2005, chi phí cho các giải pháp chữ ký số khá cao đối với nhu cầu sử dụng của khách hàng cá nhân và là một khoản đầu tư lớn đối với các cơ quan tổ chức. Vì vậy, việc triển khai chữ ký số hiện nay còn hạn chế. Việc áp dụng các hình thức xác thực khác (sinh trắc học, token, OTP…) thiếu căn cứ pháp lý, giá trị pháp lý khi xảy ra tranh chấp. Khoảng trống trong quy định về chữ ký điện tử sẽ gây nên sự hiểu lầm, coi chữ ký điện tử chính là chữ ký số; dẫn đến các văn bản quy định, hướng dẫn về áp dụng chữ ký điện tử, chữ ký số sử dụng không đúng khái niệm; hiểu lầm chỉ có chữ ký số có đủ giá trị pháp lý, dẫn đến hạn chế sự phát triển của giao dịch điện tử.

Chúng tôi cho rằng, cần bảo đảm tách bạch giữa hai khái niệm chữ ký điện tử và chữ ký số, tạo sự thống nhất trong các quy định của Luật Giao dịch điện tử năm 2005 và các nghị định hướng dẫn, giúp dễ hiểu, dễ tiếp cận đối với các quy định. Vì vậy, cần sửa đổi quy định của Luật Giao dịch điện tử năm 2005 theo hướng bổ sung khái niệm chữ ký số vào Điều 4; sửa đổi các cấp độ chữ ký điện tử, giá trị pháp lý theo từng cấp độ và các trường hợp sử dụng để chữ ký điện tử có tính ứng dụng cao, phù hợp với nhu cầu đa dạng của các giao dịch điện tử.

3.2. Về giá trị pháp lý của chữ ký số và thông điệp dữ liệu được ký số

Thứ nhất, cần có quy định để thống nhất việc sử dụng các dữ liệu điện tử được ký số với các quy định về việc công chứng, chứng thực. Thông điệp dữ liệu được ký số bảo đảm các điều kiện an toàn theo quy định có giá trị pháp lý như bản gốc. Tuy nhiên, hiện nay chưa có quy định cụ thể về “bản gốc”, “bản sao”, giá trị pháp lý của bản sao thông điệp dữ liệu được ký số.

Thông điệp dữ liệu được ký số được lưu trữ, gửi đi bằng phương tiện điện tử. Có thể hiểu, bản gốc thông điệp dữ liệu được ký số là bản được khởi tạo và lưu trữ trên thiết bị khởi tạo. Còn bản sao của thông điệp dữ liệu này là bản được sao chép, gửi đi. Đối với dữ liệu điện tử thông thường thì vấn đề đặt ra là cần bảo đảm tính toàn vẹn của dữ liệu được gửi đi, không bị thay đổi so với bản gốc ban đầu. Còn đối với dữ liệu điện tử được ký số thì vấn đề toàn vẹn dữ liệu sẽ được giải quyết nhờ chức năng xác thực đáng tin cậy của chữ ký số. Do đó, đối với dữ liệu được ký số thì không có sự phân biệt về bản gốc hay bản sao, vì về bản chất chỉ cần sử dụng một bản và cho dù có sao chép ra nhiều bản thì các bản này cũng như nhau không có sự thay đổi hay khác biệt. Do đó, việc cấp bản sao từ bản gốc hay chứng thực bản sao từ bản chính sẽ không có ý nghĩa đối với văn bản ký số.

Theo đó, cần bổ sung quy định về bản gốc, bản sao, giá trị pháp lý của bản sao dữ liệu điện tử để giúp các dữ liệu điện tử được ký số có cơ sở rõ ràng hơn trong việc sử dụng, tránh những trở ngại không cần thiết vì những quy định áp dụng cho văn bản giấy và chữ ký truyền thống.

Đối với chữ ký truyền thống, có thể được chứng thực thông qua một cơ quan, tổ chức có thẩm quyền để xác định đúng người ký chữ ký và bảo đảm năng lực của người ký[2]. Còn với chữ ký số, có thể được chứng thực bởi tổ chức cung cấp dịch vụ chứng thực chữ ký số. Vậy khi chữ ký số bảo đảm các điều kiện an toàn theo quy định và được chứng thực bởi tổ chức cung cấp dịch vụ chứng thực chữ ký số hợp pháp thì có giá trị pháp lý tương đương với chữ ký được chứng thực theo phương thức truyền thống hay không. Vấn đề này tuy chưa có quy định cụ thể, nhưng có thể hiểu việc chứng thực chữ ký truyền thống theo quy định tại Nghị định số 23/2015/NĐ-CP ngày 16/02/2015 của Chính phủ quy định về cấp bản sao từ sổ gốc, chứng thực bản sao từ bản chính, chứng thực chữ ký và chứng thực hợp đồng, giao dịch (Nghị định số 23/2015/NĐ-CP) sẽ có độ tin cậy cao hơn so với việc chứng thực chữ ký số. Bởi vì, việc chứng thực chữ ký theo Nghị định số 23/2015/NĐ-CP có thể xác nhận chính xác chủ thể ký chữ ký và năng lực của chủ thể đó tại thời điểm ký. Còn việc sử dụng chữ ký số sẽ khó xác định được chính xác chủ thể sử dụng chữ ký số nếu như người nắm giữ chữ ký số làm mất thiết bị, mật mã ký số hoặc giao lại cho người khác. Đồng thời, cũng khó xác định được năng lực của chủ thể ký số vào thời điểm ký. Mặc dù vậy, so với các phương thức xác thực để bảo đảm sự toàn vẹn cho dữ liệu điện tử thì chữ ký số là phương pháp khá an toàn và được thừa nhận về mặt pháp lý.

Văn bản công chứng sẽ có giá trị làm chứng cứ không cần chứng minh. Các bên tham gia giao dịch cần công chứng hợp đồng, văn bản phải thông qua một bên tổ chức hành nghề công chứng. Người yêu cầu công chứng đồng ý toàn bộ nội dung trong dự thảo hợp đồng, giao dịch thì ký vào từng trang của hợp đồng, giao dịch[3]. Còn việc công chứng các hợp đồng, văn bản điện tử sẽ được thực hiện như thế nào hiện nay Luật Công chứng năm 2014 chưa có quy định cụ thể. Do đó, cần nghiên cứu xây dựng quy định về công chứng điện tử cho các giao dịch điện tử được ký số để bảo đảm việc sử dụng chữ ký số thích ứng được với các quy định đối với văn bản truyền thống. Đối với trường hợp công chứng trực tuyến, công chứng viên và các bên tham gia giao dịch sử dụng các công cụ như điện thoại thông minh, máy tính và sử dụng các ứng dụng họp trực tuyến, thông qua hội nghị trực tuyến (video-conference) và nhận văn bản công chứng trực tuyến, thay vì phải trực tiếp đến tổ chức hành nghề công chứng. Thêm vào đó, cũng cần bổ sung quy định về thừa nhận giá trị pháp lý đối với bản công chứng điện tử và xây dựng quy trình cho việc công chứng điện tử.

Thứ hai, cần bổ sung quy định về chuyển đổi tài liệu điện tử sang tài liệu giấy và ngược lại. Văn bản điện tử được ký số được quy định có thể có giá trị như bản gốc, bản giấy nhưng Luật Giao dịch điện tử năm 2005 chưa quy định về chuyển đổi tài liệu điện tử sang tài liệu giấy và ngược lại nên gây khó khăn trong quá trình sử dụng văn bản ký số và số hóa các văn bản giấy. Xuất phát từ nhu cầu thực tiễn, ngành tài chính, bảo hiểm đã quy định việc chuyển đổi chứng từ điện tử sang chứng từ giấy và ngược lại tại Nghị định số 165/2018/NĐ-CP ngày 24/12/2018 của Chính phủ về giao dịch điện tử trong hoạt động tài chính và Nghị định số 166/2016/NĐ-CP ngày 24/12/2016 của Chính phủ quy định về giao dịch điện tử trong lĩnh vực bảo hiểm xã hội, bảo hiểm y tế và bảo hiểm thất nghiệp. Do đó, có thể tham khảo quy định này bổ sung quy định về việc chuyển đổi dữ liệu điện tử sang bản giấy và ngược lại.

3.3. Về dịch vụ chứng thực chữ ký số

Việc sử dụng chữ ký số không chỉ có các bên tham gia giao dịch, mà còn cần một bên trung gian thứ ba là bên cung cấp dịch vụ chữ ký số và chứng thực chữ ký số. Vì người ký số là một thuê bao của tổ chức cung cấp dịch vụ chứng thực nên vai trò trung gian bảo đảm an toàn cho việc sử dụng chữ ký số vào các hoạt động giao dịch thương mại phụ thuộc rất lớn vào tổ chức cung cấp dịch vụ này. Đặc biệt là trong việc bảo mật thông tin và toàn vẹn dữ liệu, khi có một bên thứ ba làm trung gian sẽ xảy ra một số trường hợp như bên trung gian này không bảo đảm đầy đủ điều kiện cấp phép hay không bảo đảm việc bảo mật thông tin.

Ví dụ: Tháng 6/2019, Công ty cổ phần MISA được Bộ Thông tin và Truyền thông cấp phép để cung cấp chữ ký số trên USB Token, còn chữ ký số di động và từ xa theo quy định phải được thẩm định kỹ thuật, sau đó mới được phép triển khai. Tính đến nay, dịch vụ MISA-CA đã cung cấp 2.583 chứng thư số theo mô hình chữ ký số từ xa. Tuy nhiên, dịch vụ của Công ty này chưa đáp ứng đủ yêu cầu theo quy định đã cung cấp ra thị trường. Do đó, Công ty cổ phần MISA bị Trung tâm Chứng thực điện tử quốc gia (NEAC), Bộ Thông tin và Truyền thông yêu cầu tạm dừng cung cấp dịch vụ chứng thực chữ ký số từ xa.

Vụ việc này đã cho thấy những lỗ hổng lớn về tính tuân thủ tiêu chuẩn kỹ thuật, hành lang pháp lý hiện hành đối với các nhà cung cấp dịch vụ chứng thực chữ ký số. Công ty cổ phần MISA đã triển khai cung cấp dịch vụ ký số từ xa ra thị trường, cung cấp cho hàng nghìn khách hàng trước ngày 01/4/2020 - thời điểm Thông tư số 16/2019/TT-BTTTT ngày 05/12/2019 của Bộ Thông tin và Truyền thông quy định danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa (Thông tư số 16/2019/TT-BTTTT) chính thức có hiệu lực và khi chưa trình hồ sơ kỹ thuật đầy đủ tuân thủ pháp lý để NEAC thẩm định.

Dịch vụ chứng thực chữ ký số công cộng là ngành nghề kinh doanh có điều kiện được quy định tại Nghị định số 130/2018/NĐ-CP. Ngày 07/5/2020, NEAC cũng đã ban hành Công văn số 190/NEAC-TĐPC về hướng dẫn chi tiết triển khai việc áp dụng các tiêu chuẩn bắt buộc quy định tại Thông tư số 16/2019/TT-BTTTT, yêu cầu các cơ quan chứng thực (CA) báo cáo sự thay đổi tính năng kỹ thuật và nộp hồ sơ đề nghị cấp chứng thư số cho dịch vụ ký số trên thiết bị di động, ký số từ xa. Việc một số đơn vị cố tình làm trái quy định đã gióng lên một hồi chuông cảnh báo về sự tuân thủ pháp lý của các doanh nghiệp này. Đồng thời, trong công tác quản lý, kiểm tra và rà soát hoạt động cung cấp dịch vụ chứng thực chữ ký số tại Việt Nam cũng cần phải siết chặt hơn nữa.

Hiện nay, trên thị trường, đa số các CA công cộng đều cung cấp dịch vụ chứng thực chữ ký số sử dụng USB Token, nhưng tình trạng cấp chứng thư số khi chưa có đủ hồ sơ, giấy tờ nộp kèm của cá nhân, tổ chức theo quy định cũng là một thực tế đáng báo động. Rà soát mới đây nhất của Bộ Thông tin và Truyền thông trong công tác kiểm tra định kỳ với những CA công cộng lớn cho thấy, có số lượng không nhỏ các hồ sơ, giấy tờ nộp kèm không đầy đủ theo quy định của Nghị định số 130/2018/NĐ-CP. Chứng thư số của thuê bao có thể coi thay con dấu đỏ của tổ chức, như chứng minh thư điện tử của người dùng, đại diện cho chủ sở hữu trong những giao dịch điện tử, ký số tài liệu điện tử với giá trị pháp lý như bản giấy có dấu đỏ và chữ ký “tươi”. Việc các doanh nghiệp lỏng lẻo trong quản lý, cấp phát chứng thư số, quản lý thiết bị lưu khóa như hiện nay sẽ dẫn đến những hậu quả nghiêm trọng khi không xác minh, định danh chính xác đối tượng sở hữu chứng thư số, tiếp tay cho những đối tượng lừa đảo, làm giả giấy tờ, gây khó khăn trong việc tra cứu trách nhiệm khi xảy ra tranh chấp trong giao dịch điện tử.

Do đó, cần tăng cường kiểm tra, rà soát thật kỹ về điều kiện cấp phép hoạt động cho các tổ chức cung cấp dịch vụ chứng thực chữ ký số, tăng cường chất lượng dịch vụ chữ ký số, bảo đảm độ tin cậy và an toàn thông tin cho hoạt động này. Đồng thời, cần quy định việc quản lý, giám sát và đánh giá chất lượng dịch vụ chứng thực chữ ký số của cơ quan nhà nước đối với tổ chức cung cấp dịch vụ chứng thực chữ ký số. Cần quy định cụ thể trách nhiệm của Bộ Thông tin và Truyền thông trong công tác kiểm tra, rà soát việc tuân thủ pháp luật về chữ ký số của các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng. Đồng thời, quy định thời hạn đánh giá định kỳ chất lượng dịch vụ chứng thực chữ ký số nếu không bảo đảm chất lượng theo quy định thì có thể buộc ngưng hoạt động.

 

[1]. Điều 22 Luật Giao dịch điện tử năm 2005 về điều kiện bảo đảm an toàn cho chữ ký điện tử quy định:

“1. Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng một quy trình kiểm tra an toàn do các bên giao dịch thỏa thuận và đáp ứng được các điều kiện sau đây:

a) Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dụng;

b) Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký;

c) Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện;

d) Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện.

2. Chữ ký điện tử đã được tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực được xem là bảo đảm các điều kiện an toàn quy định tại khoản 1 Điều này”.

[2]. Khoản 2 Điều 24 Nghị định số 23/2015/NĐ-CP ngày 16/02/2015 của Chính phủ quy định về cấp bản sao từ sổ gốc, chứng thực bản sao từ bản chính, chứng thực chữ ký và chứng thực hợp đồng, giao dịch: “Tại thời điểm chứng thực, người yêu cầu chứng thực minh mẫn, nhận thức và làm chủ được hành vi của mình”.

[3]. Khoản 8 Điều 40 Luật Công chứng năm 2014.