Chữ ký số công cộng đã được sử dụng rộng rãi tại Việt Nam. Tuy nhiên, không phải doanh nghiệp nào cũng nắm rõ quy định về loại phương tiện bảo mật này. Nhằm cung cấp thông tin cho quý khách, ECA sẽ tóm tắt những quy định đáng chú ý về chữ ký số công cộng  tại Nghị định 130/2018/NĐ-CP.

Nghị định hướng dẫn thi hành luật giao dịch điện tử và chữ ký số.

1. Giới thiệu Nghị định 130/2018/NĐ-CP

Nghị định 130/2018/NĐ-CP được ban hành ngày 27/9/2018 bởi Thủ tướng Chính phủ, có hiệu lực thi hành từ ngày 15/11/2018.

Nghị định nhằm quy định chi tiết một số điều của Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số, tạo cơ sở pháp lý cho ứng dụng chữ ký số tại Việt Nam.

So với các văn bản trước đó, Nghị định bổ sung quy định chi tiết hơn về các loại chữ ký số, tiêu chuẩn kỹ thuật và an ninh cho mỗi loại chữ ký.

Đồng thời quy định rõ hơn trách nhiệm của bên cung cấp dịch vụ chứng thực chữ ký số và quyền, nghĩa vụ của người dùng chữ ký số.

Mục đích cuối cùng là thúc đẩy giao dịch điện tử và ứng dụng chữ ký số trong các hoạt động kinh tế - xã hội.

2. Quy định về chữ ký số công cộng

Quy định về chữ ký số công cộng.

2.1 Nội dung trên chứng thư số

Chứng thư số có vai trò như một căn cước công dân của chủ thể chữ ký số trên môi trường điện tử. Cụ thể về những nội dung có trên chứng thư số được quy định tại Điều 5, Nghị định 130/2018/NĐ-CP như sau: 

- Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số.

- Tên của thuê bao.

- Số hiệu chứng thư số.

- Thời hạn có hiệu lực của chứng thư số.

- Khóa công khai của thuê bao.

- Chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số.

- Các hạn chế về mục đích, phạm vi sử dụng của chứng thư số.

- Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký số.

- Thuật toán mật mã.

- Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông.

Chứng thư số được cấp bởi các tổ chức chứng thực chữ ký số khi có yêu cầu đăng ký dịch vụ từ các cá nhân, doanh nghiệp, tổ chức. Chứng thư số được hiển thị công khai và bất cứ ai cũng có thể tra cứu thông tin về chứng thư thông qua chữ ký số đã ký.

2.2 Yêu cầu kỹ thuật đảm bảo an toàn chữ ký số

Chữ ký số được coi là an toàn và bảo mật khi đảm bảo những yêu cầu cụ thể được quy định tại Điều 9, Nghị định 130/2018/NĐ-CP như sau:

(1) Chữ ký số được tạo ra trong thời gian chứng thư số có hiệu lực và kiểm tra được bằng khóa công khai ghi trên chứng thư số đó.

(2) Chữ ký số được tạo ra bằng việc sử dụng khóa bí mật tương ứng với khóa công khai ghi trên chứng thư số do một trong các tổ chức sau đây cấp:

• Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia;
• Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ;
• Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng;
• Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng của các cơ quan, tổ chức được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số chuyên dùng được quy định tại Điều 40 của Nghị định này.

(3) Khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký.

2.3 Giá trị pháp lý của chữ ký số

Chữ ký số mang tính đại diện pháp luật cho chủ thể. Cụ thể giá trị pháp lý của chữ ký số được quy định tại Điều 8, Nghị định 130/2018/NĐ-CP:

“1. Trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bằng chữ ký số và chữ ký số đó được đảm bảo an toàn theo quy định tại Điều 9 Nghị định này.

2. Trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bởi chữ ký số cơ quan, tổ chức và chữ ký số đó được đảm bảo an toàn theo quy định tại Điều 9 Nghị định này.

3. Chữ ký số và chứng thư số nước ngoài được cấp giấy phép sử dụng tại Việt Nam theo quy định tại Chương V Nghị định này có giá trị pháp lý và hiệu lực như chữ ký số và chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng của Việt Nam cấp.”

Vậy, giá trị pháp lý của một chữ ký số được đảm bảo khi đáp ứng những yêu cầu về an toàn theo quy định tại Điều 9. Với chữ ký số và chứng thư số nước ngoài thì cần thêm yếu tố được cấp giấy phép sử dụng tại Việt Nam để đảm bảo giá trị pháp lý.

3. Quy định về tổ chức chứng thực chữ ký số công cộng

Chữ ký số là loại dịch vụ đặc biệt, do đó tổ chức chữ ký số công cộng cần đáp ứng những điều kiện để được cấp phép và duy trì hoạt động, đồng thời thực hiện đầy đủ nghĩa vụ với các bên liên quan.

3.1 Những hoạt động của tổ chức chứng thực chữ ký số công cộng

Tổ chức chứng thực chữ ký số công cộng được cấp phép kinh doanh dịch vụ chữ ký số bởi Bộ TT&TT. 

Những hoạt động được triển khai bởi tổ chức chứng thực chữ ký số công cộng bao gồm có:

• Tạo khóa và phân phối khóa cho thuê bao.
• Cấp chứng thư số và gia hạn chứng thư.
• Thay đổi cặp khóa cho thuê bao.
• Tạm dừng, phục hồi chứng thư số.
• Thu hồi chứng thư số.
• Dịch vụ cấp dấu thời gian.

3.1 Điều kiện kinh doanh dịch vụ chứng thực chữ ký số.

Điều kiện kinh doanh chữ ký số công cộng.

Theo Nghị định 130/2018/NĐ-CP, một tổ chức được phép cung cấp dịch vụ chứng thực chữ ký số công cộng khi đáp ứng được những điều kiện dưới đây:

• Có đủ điều kiện về tổ chức, cơ sở vật chất, trang thiết bị kỹ thuật, con người để cung cấp dịch vụ.
• Có phương án bảo mật, quy trình vận hành đảm bảo an toàn thông tin theo tiêu chuẩn quốc tế.
• Có đủ năng lực tài chính để khắc phục hậu quả do sai sót trong cung cấp dịch vụ.
• Có đội ngũ nhân viên đủ trình độ chuyên môn, có năng lực thực hiện các chức năng của dịch vụ chứng thực.
• Được cơ quan quản lý Nhà nước có thẩm quyền cấp giấy phép hoạt động dịch vụ chứng thực chữ ký số.

Chữ ký số là một loại dịch vụ đặc biệt liên quan tới bảo mật và an toàn dữ liệu, do đó chỉ những doanh nghiệp đáp ứng các tiêu chuẩn do Bộ Thông tin và Truyền thông đưa ra mới có thể kinh doanh dịch vụ này.

3.2 Quy trình cấp, thu hồi, hủy chứng chỉ chữ ký số.

Theo Nghị định 130/2018/NĐ-CP, quy trình cấp, thu hồi, hủy chứng chỉ chữ ký số do cơ quan chứng thực thực hiện và các đơn vị trung gian là nhà cung cấp dịch vụ chữ ký số công cộng.

(1) Để được cấp chứng chỉ:

- Người dùng nộp đơn, cung cấp thông tin xác thực danh tính. 

- Cơ quan chứng thực xác minh thông tin và tiến hành cấp chứng chỉ.

(2) Việc thu hồi chứng chỉ được thực hiện khi người dùng hoặc cơ quan chứng thực yêu cầu. Ngoài ra khi chứng chỉ đã thu hồi sẽ được cập nhật vào danh sách bị thu hồi. 

(3) Quy trình hủy chứng chỉ diễn ra tương tự với quy trình thu hồi khi có yêu cầu từ người sử dụng hoặc khi chứng chỉ hết hạn, bị mất, hư hỏng. Sau đó chứng chỉ sẽ được cập nhật lên danh sách đã hủy.

3.3 Nghĩa vụ của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng

Mục 3 của nghị định nói về nghĩa vụ của các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đối với thuê bao và cơ quan quản lý nhà nước về chữ ký số và dịch vụ chứng thực chữ ký số. Dưới đây là các điểm chính của mục này:

Đối với thuê bao:

- Đảm bảo việc sử dụng dịch vụ liên tục và không bị gián đoạn trong thời gian chứng thư số còn hiệu lực, cũng như kiểm tra trạng thái của chứng thư số của thuê bao liên tục.

- Giải quyết các rủi ro và đền bù trong trường hợp lỗi của tổ chức cung cấp dịch vụ.

- Bảo vệ thông tin riêng tư, thông tin cá nhân và thiết bị lưu trữ chứng thư số của thuê bao theo quy định về an toàn thông tin và các pháp luật liên quan khác.

- Tiếp nhận thông tin từ thuê bao về việc sử dụng chứng thư số 24/7.

- Liên quan đến quản lý khóa, thông báo và áp dụng biện pháp ngăn chặn khi phát hiện dấu hiệu khóa bí mật bị lộ hoặc không còn toàn vẹn, và khuyến cáo thay đổi cặp khóa khi cần thiết.

- Trong trường hợp tạm dừng cấp chứng thư số mới, tổ chức cung cấp dịch vụ phải duy trì hệ thống cơ sở dữ liệu liên quan đến chứng thư số đã cấp.

- Khi giấy phép bị thu hồi, tổ chức cung cấp dịch vụ phải thông báo ngay cho thuê bao về việc ngừng cung cấp dịch vụ và thông tin về tổ chức tiếp nhận cơ sở dữ liệu để đảm bảo quyền lợi của thuê bao.

- Xây dựng hợp đồng mẫu với thuê bao, bao gồm các nội dung về phạm vi sử dụng, bảo mật, chi phí, và các thông tin khác liên quan đến việc cấp và sử dụng chứng thư số.

Đối với cơ quan quản lý nhà nước về chữ ký số và dịch vụ chứng thực chữ ký số:

- Công bố và duy trì thông tin quy chế chứng thực và chứng thư số của mình.

- Cập nhật thông tin liên quan trong vòng 24 giờ khi có thay đổi.

- Cung cấp trực tuyến thông tin về số lượng chứng thư số đang có hiệu lực, bị tạm dừng, bị thu hồi để phục vụ công tác quản lý nhà nước về dịch vụ chứng thực chữ ký số.

- Lưu trữ thông tin liên quan ít nhất 5 năm, kể từ khi giấy phép bị tạm đình chỉ hoặc thu hồi.

- Nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư số theo quy định.

- Báo cáo định kỳ và đột xuất theo quy định của Bộ Thông tin và Truyền thông và yêu cầu của các cơ quan nhà nước có thẩm quyền.

Như vậy, Nghị định 130 về chữ ký số đã tạo hành lang pháp lý cho chữ ký số công cộng và giao dịch điện tử tại Việt Nam. Nếu quý khách đang có nhu cầu về dịch vụ chứng thực chữ ký số công cộng, vui lòng liên hệ ECA để nhận tư vấn 24/7 qua hotline: 1900.4767 hoặc 1900.4768.