Hiệu quả ứng dụng chữ ký số trong hoạt động thương mại điện tử

ThS. Phạm Thanh Bình, ThS. Dương Thanh Tùng - Trường Đại học Kinh tế Kỹ thuật Công nghiệp

Sau 17 năm triển khai Luật Giao dịch điện tử 2005, với sự tiến bộ vượt bậc về công nghệ số và xu hướng hội nhập sâu rộng hơn với nền kinh tế toàn cầu, các hoạt động thương mại điện tử tại Việt Nam ngày càng đa dạng, diễn ra vượt khỏi phạm vi quy định pháp lý của Luật này. Bên cạnh đó, một số quy định của Luật cũng không phù hợp với thực tiễn, đặc biệt các quy định liên quan tới chữ ký số trong bối cảnh hoạt động thương mại điện tử đang bùng nổ trong những năm gần đây. Dựa trên các nghiên cứu, các quy định pháp lý về giao dịch điện tử của một số quốc gia phát triển trên thế giới, nhóm tác giả đưa ra một số giải pháp tăng cường hiệu quả ứng dụng chữ ký số, phù hợp với xu thế phát triển của thương mại điện tử tại Việt Nam.

Ảnh minh họa. Nguồn: Internet
Ảnh minh họa. Nguồn: Internet

Tính pháp lý của chữ ký điện tử tại một số quốc gia trên thế giới

Ngay từ cuối thập niên 1990, các cơ quan lập pháp trên khắp thế giới đã công nhận tính pháp lý của chữ ký điện tử tương tự như chữ ký viết tay, khuyến khích các doanh nghiệp áp dụng thực tiễn làm việc không giấy tờ. Năm 2020, chữ ký điện tử đã được công nhận hợp pháp tại hơn 60 quốc gia. Điển hình như các quốc gia sau:

Mỹ

Tại Mỹ, chữ ký điện tử được công nhận như chữ ký bằng giấy. Cụ thể, theo Luật Chữ kỹ điện tử (ESIGN, 2000), chữ ký điện tử có thể được công nhận như chữ ký bằng giấy. Luật ESIGN cũng yêu cầu các chữ ký này phải được tạo ra bằng cách sử dụng một quy trình xác thực đáng tin cậy. Chương trình xác thực chữ ký số của Chính phủ Mỹ (FPKI) bao gồm các quy định và tiêu chuẩn kỹ thuật về chữ ký số. Các tiêu chuẩn này được sử dụng để đảm bảo tính toàn vẹn và xác thực của các chữ ký số được sử dụng trong các giao dịch liên quan đến Chính phủ Mỹ. Bên cạnh đó, nhiều tiểu bang của Mỹ có các quy định cụ thể rõ hơn về chữ ký số. Ví dụ, bang California đã ban hành Luật Chữ ký điện tử bang California (CESL) vào năm 1999, trong đó quy định chữ ký điện tử có giá trị pháp lý tương đương với chữ ký trên giấy tờ.

Đối với quy định về bảo mật và quản lý chữ ký số, Mỹ có nhiều quy định, tiêu chuẩn liên quan đến bảo mật và quản lý chữ ký số. Ví dụ, Tiêu chuẩn An ninh Thông tin của Tổng thống (Presidential Executive Order 13636) yêu cầu các tổ chức phải áp dụng các biện pháp bảo mật và quản lý chữ ký số để bảo vệ thông tin quan trọng.

Nhật Bản

Nhật Bản là một trong những quốc gia phát triển sớm về chữ ký số, với các quy định pháp lý được ban hành từ nhiều năm trước đây. Hiện nay có một số quy định đáng lưu ý của Nhật Bản về chữ ký số như:

- Chữ ký số có giá trị pháp lý: Từ năm 2000, chữ ký số đã được Chính phủ Nhật Bản công nhận là có giá trị pháp lý như chữ ký trên giấy tờ. Điều này có nghĩa là chữ ký số có thể được sử dụng để ký kết các hợp đồng, thỏa thuận và các tài liệu khác có tính pháp lý.

- Quy định về công cụ chữ ký số: Nhật Bản có một bộ quy định chi tiết về công cụ chữ ký số, bao gồm tiêu chuẩn và các yêu cầu về bảo mật và kiểm soát. Các công cụ này phải đáp ứng các tiêu chuẩn kỹ thuật cụ thể để đảm bảo tính toàn vẹn và xác thực của chữ ký số.

- Quy định về chứng thực chữ ký số: Nhật Bản yêu cầu các nhà cung cấp dịch vụ chứng thực chữ ký số phải đáp ứng các yêu cầu cụ thể về bảo mật và kiểm soát. Các nhà cung cấp này cũng phải được đăng ký với Chính phủ và tuân thủ các quy định về bảo vệ thông tin cá nhân.

- Quy định về lưu trữ chữ ký số: Nhật Bản yêu cầu các tổ chức phải lưu trữ các chữ ký số trong một kho lưu trữ an toàn và đảm bảo tính toàn vẹn. Các tổ chức này cũng phải tuân thủ các quy định về bảo vệ thông tin cá nhân khi lưu trữ chữ ký số.

Singapore

Singapore là một trong những quốc gia đi đầu trong việc phát triển và sử dụng chữ ký số để tăng cường tính bảo mật và xác thực trong các giao dịch điện tử. Một số quy định đáng chú của Singapore về chữ ký số gồm:

- Luật Giao dịch điện tử (ETA) được thông qua năm 1998, là một trong những luật đi đầu trong lĩnh vực giao dịch điện tử và chữ ký số. Theo luật này, chữ ký số có giá trị pháp lý như chữ ký trên giấy tờ và được chấp nhận trong mọi trường hợp mà luật pháp yêu cầu. Các tiêu chuẩn này bao gồm tiêu chuẩn chữ ký số (Digital Signature Standard) và tiêu chuẩn xác thực chữ ký số (Digital Certificate Authentication).

- Quy định hướng dẫn về Luật Giao dịch điện tử Singapore (SETAR): quy định chi tiết hơn về chữ ký số và các vấn đề liên quan như xác thực người sử dụng chữ ký số, cung cấp dịch vụ chữ ký số, lưu trữ và quản lý chữ ký số... Đây là những quy định cụ thể hơn nhằm đảm bảo tính toàn vẹn và xác thực của thông tin trong các giao dịch điện tử.

Hàn Quốc

Hàn Quốc cũng là một trong những quốc gia sớm ban hành các quy định pháp luật liên quan đến chữ ký điện tử (năm 1999). Một số quy định đáng chú ý về chữ ký số của Hàn Quốc bao gồm:

- Luật Chữ ký điện tử: Luật này được ban hành vào năm 1999 và đã được sửa đổi nhiều lần để điều chỉnh các quy định liên quan đến chữ ký điện tử.

- Luật Cơ sở dữ liệu quốc gia: Luật này được ban hành vào năm 2013 và quy định về việc sử dụng chữ ký điện tử trong các giao dịch trên cơ sở dữ liệu quốc gia.

- Quy định về chữ ký điện tử trong thương mại điện tử (TMĐT): Được ban hành vào năm 2001, quy định này cung cấp hướng dẫn chi tiết về cách sử dụng chữ ký điện tử trong các giao dịch TMĐT.

- Quy định về chữ ký điện tử trong tài liệu công cộng: Được ban hành vào năm 2012, quy định này đưa ra hướng dẫn về cách sử dụng chữ ký điện tử trong các tài liệu công cộng.

- Quy định về chữ ký điện tử trong tài liệu tín dụng (tài chính – ngân hàng): Được ban hành vào năm 2012, quy định này nêu rõ việc sử dụng chữ ký điện tử trong các văn bản liên quan tới hoạt động tài chính - ngân hàng. Những quy định này nhằm tạo điều kiện cho việc sử dụng chữ ký điện tử trong các giao dịch và tài liệu chính phủ, TMĐT và các lĩnh vực khác tại Hàn Quốc. Chúng cũng đảm bảo tính toàn vẹn và pháp lý của các giao dịch điện tử.

Quy định pháp luật về chữ ký điện tử, chữ ký số và giao dịch điện tử tại Việt Nam

Để đảm bảo các giá trị pháp lý, độ tin cậy của giao dịch điện tử cần có đã có một số quy định có giá trị pháp lý của các hình thức xác thực, định danh điện tử qua việc sử dụng chữ ký điện tử và chữ ký số. Một số quy định chữ điện tử và chữ ký số tại Việt Nam gồm:

Giá trị pháp lý của chữ ký điện tử

Điều 24, Luật Giao dịch điện tử năm 2005 quy định về giá trị pháp lý của chữ ký điện tử như sau: “Trong trường hợp pháp luật quy định văn bản/hợp đồng cần có chữ ký thì chữ ký điện tử có giá trị pháp lý khi đáp ứng được các điều kiện sau: Phương pháp tạo chữ ký điện tử cho phép xác minh người ký và chứng tỏ được sự chấp thuận của người ký đối với nội dung văn bản hoặc hợp đồng; Phương pháp tạo chữ ký đủ tin cậy và phù hợp với mục đích mà theo đó thông điệp dữ liệu được tạo ra và gửi đi. Trong trường hợp pháp luật quy định văn bản và hợp đồng cần được đóng dấu của cơ quan, tổ chức thì chữ ký điện tử của cơ quan, tổ chức đó có giá trị pháp lý khi đáp ứng các điều kiện được quy định tại khoản 1, Điều 22 của Luật Giao dịch điện tử và chữ ký điện tử đó có chứng thực”. Vì vậy, chữ ký điện tử được đảm bảo về giá trị pháp lý khi sử dụng trong các giao dịch điện tử.

Quy định pháp lý của chữ ký điện tử

Hiện nay, quy định pháp lý của chữ ký điện tử được quy định tại một số văn bản như:

Luật Giao dịch điện tử năm 2005; Nghị định số 130/2018/NĐ-CP ngày 27/9/2018 của Chính phủ quy định chi tiết thi hành luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số; Nghị định số 52/2013/NĐ-CP ngày 16/5/2013 của Chính phủ về TMĐT; Bộ luật Dân sự 2015 điều chỉnh các loại giao dịch và hợp đồng.

Quy định về giá trị pháp lý của chữ ký số

Theo Điều 8, Nghị định số 130/2018/NĐ-CP, chữ ký số được coi là có giá trị pháp lý khi: Trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bằng chữ ký số và chữ ký số đó được đảm bảo an toàn theo quy định tại Điều 9 của Nghị định số 130/2018/NĐ-CP. Trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được coi là đáp ứng nếu thông điệp dữ liệu đó được ký bởi chữ ký số cơ quan, tổ chức và chữ ký số đó được đảm bảo an toàn theo quy định tại Điều 9 của Nghị định số 130/2018/NĐ-CP; Chữ ký số và chứng thư số nước ngoài được cấp giấy phép sử dụng tại Việt Nam theo quy định tại Chương V của Nghị định số 130/2018/NĐ-CP có giá trị pháp lý và hiệu lực như chữ ký số và chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng của Việt Nam cấp.

Một số hạn chế

Pháp luật về bảo mật giao dịch điện tử ở Việt Nam cho tới nay còn một số điểm hạn chế cơ bản như sau:

Thứ nhất, chưa có các quy định cụ thể về “chữ ký điện tử” (electronic signatures), “chữ ký số” (digital signatures), “chữ ký quét” (scanned signature) và “chữ ký hình ảnh” (image signature). Hiện nay, Nghị định số 26/2018/NĐ-CP đã có các quy định về chữ ký điện tử và chữ ký số, bao gồm các quy định về: Xác thực và sử dụng chữ ký điện tử và chữ ký số; Trách nhiệm của tổ chức, cá nhân khi sử dụng chữ ký điện tử và chữ ký số; Cơ chế xử lý khi xảy ra tranh chấp về chữ ký điện tử và chữ ký số; Lưu trữ, bảo vệ và xử lý thông tin liên quan đến chữ ký điện tử và chữ ký số. Tuy nhiên, lại chưa có sự phân biệt trong cách áp dụng và sử dụng chữ ký số và chữ ký điện tử của người dùng và chưa có hướng dẫn thỏa mãn điều kiện về tính pháp lý của chữ ký điện tử, từ đó gây sự nhầm lẫn. Bên cạnh đó, chưa có quy định về định danh, xác thực điện tử để bảo mật, dẫn đến việc khó phân định trách nhiệm các bên khi xảy ra các sự cố liên quan đến xác thực và định danh điện tử, gây ảnh hưởng tới tính pháp lý và sự tin tưởng của các bên khi tham gia giao dịch điện tử hoặc khi có tranh chấp xảy ra, thiếu chứng cứ Tòa án giải quyết.

Thứ hai, các quy định hiện hành điều chỉnh việc bảo mật thông qua phương pháp ký số trong giao dịch điện tử, chưa có quy định cụ thể về các hình thức chữ ký điện tử (như chữ ký quét, chữ ký hình ảnh…) khác hoặc các hình thức kỹ thuật kết hợp nhằm xác thực người thực hiện giao dịch trên (xác nhận qua tin nhắn SMS/OTP, sinh trắc học). Điều này tạo ra sự thiếu thống nhất với pháp luật quốc tế trong điều chỉnh pháp luật, không phù hợp với thực tiễn khi công nghệ phát triển phù hợp với một số tiêu chuẩn ký số quốc tế.

Thứ ba, các quy định liên quan về chữ ký điện tử chưa bắt kịp được với thực tiễn sử dụng chữ ký số trong trường hợp chứng thư số bị hết hạn hoặc thu hồi sẽ bị vô hiệu hóa chữ ký số trên tài liệu. Ký số thông thường sẽ không thể xác thực được chữ ký số hết hạn hoăc bị thu hồi trong tương lai, từ đó hợp đồng điện tử coi như vô hiệu dẫn tới không có bằng chứng giao dịch, giá trị pháp lý và không tuân thủ pháp luật. Pháp luật Việt Nam hiện mới công nhận hiệu lực của các hợp đồng được lập bằng hình thức điện tử và được ký bằng chữ ký số. Pháp luật chưa quy định rõ giá trị pháp lý của chữ ký quét cho nên hợp đồng được ký bằng chữ ký quét không đương nhiên có hiệu lực.

Thứ tư, các văn bản pháp luật về giao dịch điện tử chưa dự liệu tới những tình huống thực tế trong việc trình độ khoa học phát triển, không phù hợp với các luật liên quan như: Luật An toàn thông tin, Luật An ninh mạng. Với số lượng lớn văn bản quy phạm pháp luật liên quan tới chữ ký số gồm các nghị định và thông tư từ chung tới cụ thể các ngành tạo sự thiếu thống nhất, chồng chéo trong khâu quản lý...

Đề xuất giải pháp

Nhằm tăng cường hiệu quả ứng dụng chữ ký số, phù hợp với xu thế phát triển của TMĐT, trong thời gian tới cần triển khai một số giải pháp sau:

Về mặt pháp lý

Bổ sung Điều 4 Luật Giao dịch điện tử năm 2005 các định nghĩa về “chữ ký điện tử”, “chữ ký số”, “chữ ký quét”, “chữ ký hình ảnh”, “chữ ký điện tử an toàn” nhằm hướng pháp luật điều chỉnh đa dạng các hình thức chữ ký điện tử, căn cứ để cơ quan có thẩm quyền quy định về tính hợp pháp của các hình thức đó. Chữ ký số là chữ ký có hình thức bảo đảm cao nhất, các bên sử dụng nền tảng, thiết bị chuyên dụng do nhà cung cấp dịch vụ chứng thực chữ ký số cung cấp để tạo chữ ký số. Sau đó, chữ ký số đó được đính kèm theo phương thức điện tử với hợp đồng cần được ký kết. Chữ ký quét là chữ ký được chuyển thành dạng điện tử sau khi ký tay trên hợp đồng giấy. Các bên có thể chuyển thành hợp đồng điện tử thông qua thiết bị quét, sau đó gửi qua phương tiện điện tử và bản sao quét của hợp đồng đã ký (tệp dữ liệu điện tử) được gửi đến bên đối tác qua email hoặc qua phương tiện truyền tệp tương tự. Chữ ký hình ảnh là dạng chèn hình ảnh của chữ ký vào ô chữ ký của tệp dữ liệu điện tử của hợp đồng; sau đó, tệp dữ liệu điện tử của hợp đồng (cùng với chữ ký hình ảnh trên đó) được gửi đến bên đối tác qua email hoặc qua phương tiện truyền tệp tương tự. Các văn bản điện tử (hợp đồng điện tử) này có thể sử dụng chứng thực số để đảm bảo tính pháp lý của chữ ký hình ảnh. Chữ ký điện tử an toàn là chữ ký với 03 mức độ đảm bảo an toàn (cơ bản, advanced, qualified) thay thế 2 mức chữ ký điện tử cơ bản, chữ điện tử bảo đảm an toàn tại Điều 21, 22 Luật Giao dịch điện tử năm 2005. Ngoài ra, cần nghiên cứu sửa đổi, bổ sung Luật Giao dịch điện tử trên cơ sở kế thừa một số quy định về bảo mật và chữ ký số có trong Luật An toàn thông tin mạng năm 2015, Luật An ninh mạng năm 2018, quy định đầy đủ hơn các phương pháp và trách nhiệm trong việc bảo đảm an toàn, bảo mật giao dịch điện tử, quy định về việc xác thực điện tử, quy định rõ hơn trách nhiệm của các chủ thể tham gia vào quá trình cung cấp và sử dụng chữ ký điện tử, và các chế tài quản lý nhà nước về bảo mật giao dịch điện tử để xử lý các bất cập có thể xảy ra (thiếu bảo mật, lộ thông tin).

Về mặt kỹ thuật

Bổ sung quy định bắt buộc về tiêu chuẩn áp dụng đối với chữ ký điện tử và trong các văn bản quy phạm pháp luật. Bổ sung quy định áp dụng bắt buộc đối với chữ ký số cấp dấu thời gian (TrustCA Timestamp), đây là công nghệ có giá trị cao nhất về chống gian lận, giả mạo trong giao dịch điện tử, bảo đảm tính pháp lý khi lưu trữ tài liệu điện tử lâu dài, xác thực tài liệu dài hạn, tin cậy cả sau khi chứng thư số hết hạn, giúp thay thế hoàn toàn bản giấy, không phải in ấn, thay thế kho lưu trữ giấy bằng kho lưu trữ điện tử. Bổ sung yêu cầu áp dụng bắt buộc xác thực đa yếu tố (Multi-Factor Authentication-MFA) tăng cường bảo mật. Với xác thực MFA, có thể tăng mức độ an toàn, bảo mật nhờ việc kiểm chứng nhiều yếu tố xác thực. Mức độ an toàn bảo mật sẽ càng cao khi số yếu tố xác thực càng nhiều. Để cân bằng giữa an toàn, bảo mật và tính tiện dụng thường áp dụng xác thực tối thiểu hai yếu tố (Two-Factor Authentication - 2FA). Với hệ thống giao dịch điện tử ở thời điểm hiện tại ở Việt Nam đang sử dụng xác thực qua yếu tố như: tên truy cập và mật khẩu kết hợp với một phương pháp xác thực dựa vào thuộc tính riêng duy nhất của thực thể (mã OTP, mã sinh trắc học như vân tay, mống mắt, nhận diện gương mặt…). Các giải pháp về mặt kỹ thuật cũng đảm bảo niềm tin của người dân và doanh nghiệp về an ninh, an toàn, bảo mật giao dịch điện tử khi tham gia vào nền kinh tế số.

Tài liệu tham khảo:

  1. Luật Giao dịch điện tử năm 2005;
  2. Chính phủ (2018), Nghị định số 130/2018/NĐ-CP ngày 27/9/2018 quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số;
  3. Bộ Thông tin và Truyền thông (2015), Thông tư số 06/2015/TT-BTTTT quy định danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số;
  4. Bộ Thông tin và Truyền thông (2019), Thông tư số 16/2019/TT-BTTTT ngày 15/12/2019 quy định về danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa;
  5. Bộ Thông tin và Truyền thông (2020), Thông tư số 22/2020/TT-BTTTT ngày 07/9/2020 quy định về yêu cầu kỹ thuật đối với phần mềm ký số, phần mềm kiểm tra chữ ký số;
  6. Nguyễn Thị Long, Hoàn thiện quy định pháp luật Việt Nam về chữ ký điện tử, Tạp chí Dân chủ và pháp luật, https://tcdcpl.moj.gov.vn/qt/tintuc/Pages/xay-dung-phap-luat.aspx?ItemID=771..
 
Bài đăng trên Tạp chí Tài chính kỳ 2 tháng 4/2023