Hoàn thiện quy định pháp luật Việt Nam về chữ ký điện tử

Trong doanh nghiệp, chữ ký tay của người đại diện pháp luật của doanh nghiệp phải được đăng ký và thông báo tới cơ quan quản lý nhà nước có thẩm quyền. Vấn đề chữ ký đã được sự quan tâm của rất nhiều các tổ chức chuyên môn về công nghệ kỹ thuật cũng như các cơ quan lập pháp. Nhiều nước đã thừa nhận chữ ký điện tử và quy định thành một đạo luật riêng biệt hoặc là bổ sung các điều khoản quy định về loại hình chữ ký mới. Chữ ký điện tử là sự kết hợp giữa khóa mã riêng và dữ liệu cần mã hóa bằng công nghệ số. Với sự ra đời của chữ ký điện tử (hay còn gọi là chữ ký kỹ thuật số), một cách thức mới để các bên ký kết ra đời.

1. Quy định của pháp luật hiện hành về chữ ký điện tử

Thứ nhất, quy định chung về chữ ký trong giao dịch điện tử

Chữ ký điện tử được đã được quy định trong Luật Giao dịch điện tử năm 2005. Theo khoản 1 Điều 21 của Luật thì “chữ ký điện tử là chữ ký được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký”… Ngoài ra, chữ ký điện tử còn đươc quy định ở nhiều văn bản khác, như: Nghị định số 130/2018/NĐ-CP ngày 27/9/2018 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số; Thông tư số 06/2015/TT-BTTTT ngày 23/3/2015 của Bộ trưởng Bộ Thông tin và Truyền thông quy định danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số; Thông tư số 16/2019/TT-BTTTT ngày 15/12/2019 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa; Thông tư số 22/2020/TT-BTTTT ngày 07/9/2020 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về yêu cầu kỹ thuật đối với phần mềm ký số, phần mềm kiểm tra chữ ký số…

Chữ ký số cho phép người nhận thông điệp dữ liệu biết được người ký thông qua sự can thiệp của người thứ ba đáng tin cậy, được biết đến như người làm chứng. Theo quy định của các văn bản trên: Người ký thông điệp gửi một cặp khóa lệch, một khóa riêng được giữ kín giữa người ký thư và người làm chứng và một khóa chung cho phép người nhận chứng thư có thể kiểm tra qua người làm chứng để biết rằng chữ ký đó của đúng người có chìa khóa riêng đó. Người làm chứng tạo và ký một chứng chỉ bằng số. Chứng chỉ này được kết nối giữa người ký và cặp khóa của người đó vì vậy người ký không thể phủ nhận chữ ký của mình. Chữ ký số được xem là chữ ký điện tử an toàn khi đáp ứng các điều kiện sau[1]: (i) Chữ ký số được tạo ra trong thời gian chứng thư số có hiệu lực và kiểm tra được bằng khóa công khai ghi trên chứng thư số có hiệu lực đó; (ii) Chữ ký số được tạo ra bằng việc sử dụng khóa bí mật tương ứng với khóa công khai ghi trên chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng được cấp giấy chứng nhận đủ điều kiện bảo đảm an toàn cho chữ ký số hoặc tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài được công nhận tại Việt Nam cấp; (iii) Khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký; (iv) Khóa bí mật và nội dung thông điệp dữ liệu chỉ gắn duy nhất với người ký khi người đó ký số thông điệp dữ liệu.

Thứ hai, quy định về việc sử dụng chữ ký số trong giao dịch điện tử

Theo khoản 3 Điều 26 Luật Doanh nghiệp năm 2020, tổ chức, cá nhân có quyền lựa chọn sử dụng chữ ký số theo quy định của pháp luật về giao dịch điện tử hoặc sử dụng tài khoản đăng ký kinh doanh để đăng ký doanh nghiệp qua mạng thông tin điện tử. Tuy nhiên, trong một số trường hợp đặc biệt, doanh nghiệp phải sử dụng chữ ký số, cụ thể:

Chữ ký điện tử theo quy định của pháp luật của người bán; ngày, tháng, năm lập và gửi hóa đơn. Chữ ký điện tử theo quy định của pháp luật của người mua trong trường hợp người mua là đơn vị kế toán (điểm e khoản 1 Điều 6 Thông tư số 32/2011/TT-BTC ngày 14/3/2011 của Bộ trưởng Bộ Tài chính hướng dẫn về khởi tạo, phát hành và sử dụng hoá đơn điện tử bán hàng hóa, cung ứng dịch vụ).

Hóa đơn điện tử khi mua bán hàng hóa, cung cấp dịch vụ, khi sử dụng hóa đơn điện tử phải có phần chữ ký số (khoản 2 Điều 3 Nghị định số 119/2018/NĐ-CP ngày 12/9/2018 của Chính phủ quy định về hóa đơn điện tử khi bán hàng hóa, cung cấp dịch vụ).

Người nộp thuế thực hiện hoạt động kinh doanh tại địa bàn có cơ sở hạ tầng về công nghệ thông tin phải thực hiện kê khai, nộp thuế, giao dịch với cơ quan quản lý thuế thông qua phương tiện điện tử theo quy định của pháp luật (khoản 10 Điều 17 Luật Quản lý thuế năm 2019).

Chữ ký số đang được tận dụng tối đa và mang lại rất nhiều lợi ích cho doanh nghiệp như: Thủ tục nhanh gọn, không cần trực tiếp ký tay; tiết kiệm thời gian, giảm chi phí nhân công, di chuyển, doanh nghiệp không cần gặp gỡ nhau, giảm thiểu trở ngại về khoảng cách địa lý; bảo đảm tính chính xác, bảo mật dữ liệu….

2. Những hạn chế trong quy định của pháp luật hiện hành về bảo mật giao dịch điện tử

Pháp luật về bảo mật giao dịch điện tử ở Việt Nam cho tới nay còn một số điểm hạn chế cơ bản như sau:

Thứ nhất, thiếu các định nghĩa về “chữ ký điện tử”, “chữ ký số”, “chữ ký quét” và “chữ ký hình ảnh” ngoài ra, chưa có sự phân biệt giữa chữ ký điện tử và chữ ký số từ đó gây sự nhầm lẫn trong cách áp dụng và sử dụng của người dùng và chưa có hướng dẫn thỏa mãn điều kiện về tính pháp lý của chữ ký điện tử. Bên cạnh đó, chưa có quy định về định danh, xác thực điện tử để bảo mật một cách hiệu quả hơn từ đó dẫn đến việc khó phân định trách nhiệm các bên khi xảy ra các sự cố liên quan đến xác thực và định danh điện tử, gây ảnh hưởng tới tính pháp lý và sự tin tưởng của các bên khi tham gia giao dịch điện tử hoặc khi có tranh chấp xảy ra, thiếu chứng cứ Tòa án giải quyết; chưa có quy định rõ ràng về nội dung an toàn, an ninh, bảo vệ và các phương pháp bảo mật giao dịch điện tử trong Luật mà mới dừng lại ở quy định “quyền lựa chọn các biện pháp bảo mật phù hợp với quy định của pháp luật”.

Thứ hai, các quy định hiện hành mới tập trung điều chỉnh việc bảo mật thông qua phương pháp ký số trong giao dịch điện tử, chưa có quy định cụ thể về các hình thức chữ ký điện tử khác hoặc các hình thức kỹ thuật kết hợp nhằm xác thực người thực hiện giao dịch trên. Điều này tạo ra sự thiếu thống nhất với pháp luật quốc tế trong điều chỉnh pháp luật, không phù hợp với thực tiễn khi công nghệ phát triển phù hợp tiêu chuẩn ký số thế giới, RootCA, Trust List Quốc tế. Tội phạm công nghệ cao càng ngày càng chuyên nghiệp khiến giá trị thông tin bị đặt vào tình trạng không an toàn bảo mật, chưa tạo được hành lang pháp lý chắc chắn bảo vệ người tham giao dịch trên phương tiện điện tử trong nền kinh tế số hiện nay.

Thứ ba, theo quy định Luật Giao dịch điện tử năm 2005 có hai mức độ chữ ký điện tử cơ bản và chữ ký điện tử bảo đảm an toàn, nhưng lại chưa có quy định rõ ràng về trường hợp sử dụng các mức độ chữ ký điện tử. Điều này dẫn đến việc ứng dụng chữ ký điện tử trong thực tế còn chưa khả thi như mong muốn và không phân chia cấp độ đồng bộ với quy định tiêu chuẩn chữ ký điện tử nâng cao.

Thứ tư, pháp luật về chữ ký điện tử chưa bắt kịp được với thực tiễn sử dụng chữ ký số như chứng thư số bị hết hạn hoặc thu hồi sẽ bị vô hiệu hóa chữ ký số trên tài liệu. Ký số thông thường sẽ không thể xác thực được chữ ký số hết hạn hoăc bị thu hồi trong tương lai, từ đó hợp đồng điện tử coi như vô hiệu dẫn tới không có bằng chứng giao dịch, giá trị pháp lý và không tuân thủ pháp luật.

Thứ năm, các văn bản pháp luật về giao dịch điện tử chưa dự liệu tới những tình huống thực tế trong việc trình độ khoa học phát triển, chưa có sự phối hợp với các luật liên quan như Luật An toàn thông tin, Luật An ninh mạng. Bên cạnh đó, với số lượng lớn văn bản quy phạm pháp luật liên quan tới chữ ký số gồm các nghị định và thông tư từ chung tới cụ thể các ngành tạo sự thiếu thống nhất, chồng chéo trong khâu quản lý...

3. Một số đề xuất hoàn thiện quy định pháp luật về chữ ký điện tử

Trước mắt, để bảo đảm hiệu lực, hiệu quả điều chỉnh của pháp luật về bảo mật giao dịch điện tử ở Việt Nam, rất cần khắc phục những điểm hạn chế nêu trên. Cụ thể:

Một là, bổ sung Điều 4 Luật Giao dịch điện tử năm 2005 các định nghĩa về “chữ ký điện tử”, “chữ ký số”, “chữ ký quét”, “chữ ký hình ảnh”, “chữ ký điện tử an toàn” nhằm hướng pháp luật điều chỉnh rộng rãi, phong phú các dạng chữ ký điện tử, căn cứ để cơ quan có thẩm quyền xem xét về tính hợp pháp của các hình thức đó.

- Chữ ký số: Các bên sử dụng nền tảng, thiết bị chuyên dụng do nhà cung cấp dịch vụ chứng thực chữ ký số cung cấp để tạo chữ ký số. Sau đó, chữ ký số đó được đính kèm theo phương thức điện tử với hợp đồng cần được ký kết. Trên thực tế, chữ ký số ít được sử dụng trong việc ký kết các hợp đồng lớn và phức tạp mà chủ yếu được sử dụng khi bên ký kết nộp tờ khai hải quan, tờ khai bảo hiểm xã hội, nộp thuế qua mạng, xuất hóa đơn điện tử hoặc khi tổ chức, cá nhân thực hiện các giao dịch điện tử qua hệ thống ngân hàng trực tuyến.

- Chữ ký quét: Hợp đồng được in bởi người ký từ tệp dữ liệu và người ký của mỗi bên ký vào bản cứng của hợp đồng đó bằng mực ướt. Sau đó, hợp đồng với các chữ ký trên đó được chuyển thành dạng điện tử (ví dụ như bằng cách quét) và bản sao quét của hợp đồng đã ký (là tệp dữ liệu điện tử) được gửi đến bên đối tác qua email. Chữ ký quét được sử dụng thường xuyên trong các hợp đồng có nhiều bên và các bên đó không có mặt ở cùng một nơi để ký cùng một bản sao của hợp đồng. Chữ ký quét đặc biệt phổ biến trong các hợp đồng liên quan đến giao dịch xuyên biên giới và có một hoặc nhiều bên ký kết là người nước ngoài.

- Chữ ký hình ảnh: Một bên ký kết chèn hình ảnh chữ ký của mình vào ô chữ ký của tệp dữ liệu điện tử của hợp đồng; sau đó, tệp dữ liệu điện tử của hợp đồng (cùng với chữ ký hình ảnh trên đó) được gửi đến bên đối tác qua email. Chữ ký ảnh thường được sử dụng trong các hợp đồng không có giá trị lớn nhưng được ký kết thường xuyên và khi người ký không có mặt tại địa điểm có thể in và ký hợp đồng bằng chữ ký mực ướt[2].

- Chữ ký điện tử an toàn: Sửa đổi thành 03 mức độ an toàn (basic, advanced, qualified) thay thế 2 mức chữ ký điện tử cơ bản, chữ điện tử bảo đảm an toàn tại Điều 21, 22 Luật Giao dịch điện tử năm 2005.

Hai là, bổ sung quy định bắt buộc về tiêu chuẩn áp dụng đối với chữ ký điện tử và trong các văn bản quy phạm pháp luật. Bổ sung quy định áp dụng bắt buộc đối với TrustCA Timestamp, đây là công nghệ có giá trị cao nhất về chống gian lận, giả mạo trong giao dịch điện tử, bảo đảm tính pháp lý khi lưu trữ tài liệu điện tử lâu dài, xác thực tài liệu dài hạn, tin cậy cả sau khi chứng thư số hết hạn, giúp thay thế hoàn toàn bản giấy, không phải in ấn, thay thế kho lưu trữ giấy bằng kho lưu trữ điện tử. Việc áp dụng ký số đóng dấu thời gian, ký số theo tiêu chuẩn chữ ký số lâu dài LTV/LTANS giúp xác thực tài liệu điện tử mà không phụ thuộc vào thời hạn chứng thư số, các lệnh thu hồi chứng thư số, bảo đảm tuân thủ đầy đủ quy định về lưu trữ tài liệu điện tử lâu dài có xác thực theo quy định pháp luật của Việt Nam và quốc tế[3].

Ba là, yêu cầu áp dụng bắt buộc xác thực đa yếu tố (Multi-Factor Authentication) là phương thức xác thực dựa trên nhiều yếu tố xác thực kết hợp. Với xác thực đa yếu tố, có thể tăng mức độ an toàn, bảo mật nhờ việc kiểm chứng nhiều yếu tố xác thực. Mức độ an toàn bảo mật sẽ càng cao khi số yếu tố xác thực càng nhiều. Khi số yếu tố xác thực lớn thì hệ thống càng phức tạp, kéo theo chi phí đầu tư và duy trì vận hành tốn kém, đồng thời lại bất tiện cho người sử dụng. Do vậy, trên thực tế để cân bằng giữa an toàn, bảo mật và tính tiện dụng, người ta thường áp dụng xác thực hai yếu tố (Two-Factor Authentication - 2FA). Với hệ thống giao dịch điện tử ở thời điểm hiện tại đang sử dụng xác thực đơn vị qua yếu tố những gì thực thể biết sử dụng username và password. Vì vậy, để áp dụng mô hình xác thực hai yếu tố (2FA) cho người dùng tác giả sử dụng phương pháp xác thực dựa trên phương pháp “thực thể biết gì” sử dụng tên đăng nhập (username) và mật khẩu (password) kết hợp với một phương pháp xác thực dựa vào “thực thể thừa hưởng gì" hoặc “thực thể sở hữu gì”. Xét các yếu tố xác thực trong bài toán thực tế của giao dịch điện tử[4].

Bốn là, nghiên cứu sửa đổi, bổ sung Luật Giao dịch điện tử trên cơ sở kế thừa một số quy định về bảo mật đã có trong Luật Giao dịch điện tử năm 2005, Luật An toàn thông tin mạng năm 2015, Luật An ninh mạng năm 2018 nhất là việc quy định đầy đủ hơn các phương pháp và trách nhiệm trong việc bảo đảm an toàn, bảo mật giao dịch điện tử, quy định về việc xác thực điện tử, quy định rõ hơn trách nhiệm của các chủ thể tham gia vào quá trình cung cấp và sử dụng chữ ký điện tử, cùng các biện pháp chế tài nghiêm khắc, trách nhiệm quản lý nhà nước về bảo mật giao dịch điện tử để xử lý nhiều bất cập trong thực tiễn góp phần duy trì niềm tin của người dân về an ninh, an toàn, bảo mật giao dịch điện tử khi tham gia vào nền kinh tế số. Luật Giao dịch điện tử sửa đổi, bổ sung cũng cần quy định có tính hợp tác quốc tế trong việc bảo bảo mật như áp dụng các tiêu chuẩn của các nước và hệ thống luật liên quan.

Năm là, tăng cường quản lý nhà nước về bảo mật giao dịch điện tử, quy định rõ ràng cơ quan có chức năng quản lý nhà nước về giao dịch điện tử, bên cạnh đó, giao cho cơ quan này đầy đủ quyền hạn và công cụ quản lý cần thiết nhằm kịp thời phát hiện và xử lý nghiêm minh các hành vi vi phạm trong phạm vi của giao dịch điện tử hướng tới Chính phủ số.