Các văn bản pháp luật có liên quan đến nội dung bài viết:
Luật số 51/2005/QH11 của Quốc hội: Luật giao dịch điện tử (Luật GDĐT)
Nghị định số 130/2018/NĐ-CP của Chính phủ – Quy định chi tiết thi hành Luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số
I. Khái niệm
Xem bài ‘Giải thích từ ngữ liên quan đến chữ ký số‘
II. Chữ ký số và chứng thư số
Điều 5. Nội dung của chứng thư số
Chứng thư số do Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng của cơ quan, tổ chức cấp phải bao gồm các nội dung sau:
1. Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
2. Tên của thuê bao.
3. Số hiệu chứng thư số.
4. Thời hạn có hiệu lực của chứng thư số.
5. Khóa công khai của thuê bao.
6. Chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
7. Các hạn chế về mục đích, phạm vi sử dụng của chứng thư số.
8. Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
9. Thuật toán mật mã.
10. Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông.
Điều 6. Chứng thư số của cơ quan, tổ chức và người có thẩm quyền của cơ quan, tổ chức
1. Tất cả các cơ quan, tổ chức và chức danh nhà nước, người có thẩm quyền của cơ quan, tổ chức theo quy định của pháp luật về quản lý và sử dụng con dấu đều có quyền được cấp chứng thư số có giá trị như quy định tại khoản 2 Điều 8 Nghị định này.
2. Chứng thư số cấp cho chức danh nhà nước, người có thẩm quyền của cơ quan, tổ chức phải nêu rõ chức danh và tên cơ quan, tổ chức của người đó.
3. Việc cấp chứng thư số cho cơ quan, tổ chức và chức danh nhà nước, người có thẩm quyền của cơ quan, tổ chức phải căn cứ vào các tài liệu sau:
a) Văn bản của cơ quan, tổ chức đề nghị cấp chứng thư số cho cơ quan, tổ chức, người có thẩm quyền hoặc chức danh nhà nước;
b) Bản sao hợp lệ quyết định thành lập, quyết định quy định chức năng, nhiệm vụ, quyền hạn hoặc văn bản xác nhận chức danh của người có thẩm quyền của cơ quan, tổ chức hoặc chức danh nhà nước đó.
Điều 7. Sử dụng chữ ký số và chứng thư số của cơ quan, tổ chức và người có thẩm quyền của cơ quan, tổ chức
1. Chữ ký số của đối tượng được cấp chứng thư số theo quy định tại Điều 6 Nghị định này chỉ được sử dụng để thực hiện các giao dịch theo đúng thẩm quyền của cơ quan, tổ chức và chức danh được cấp chứng thư số.
2. Việc ký thay, ký thừa lệnh theo quy định của pháp luật thực hiện bởi người có thẩm quyền sử dụng chữ ký số của mình, được hiểu căn cứ vào chức danh của người ký ghi trên chứng thư số.
Điều 8. Giá trị pháp lý của chữ ký số
1. Trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bằng chữ ký số và chữ ký số đó được đảm bảo an toàn theo quy định tại Điều 9 Nghị định này.
2. Trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bởi chữ ký số cơ quan, tổ chức và chữ ký số đó được đảm bảo an toàn theo quy định tại Điều 9 Nghị định này.
3. Chữ ký số và chứng thư số nước ngoài được cấp giấy phép sử dụng tại Việt Nam theo quy định tại Chương V Nghị định này có giá trị pháp lý và hiệu lực như chữ ký số và chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng của Việt Nam cấp.
Điều 9. Điều kiện đảm bảo an toàn cho chữ ký số
Chữ ký số được xem là chữ ký điện tử an toàn khi đáp ứng các điều kiện sau:
1. Chữ ký số được tạo ra trong thời gian chứng thư số có hiệu lực và kiểm tra được bằng khóa công khai ghi trên chứng thư số đó.
2. Chữ ký số được tạo ra bằng việc sử dụng khóa bí mật tương ứng với khóa công khai ghi trên chứng thư số do một trong các tổ chức sau đây cấp:
a) Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia;
b) Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ;
c) Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng;
d) Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng của các cơ quan, tổ chức được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số chuyên dùng được quy định tại Điều 40 của Nghị định này.
3. Khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký.
Điều 10. Quy định về định dạng chứng thư số
Khi cấp chứng thư số, các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng và các tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng của cơ quan, tổ chức được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số chuyên dùng phải tuân thủ quy định về định dạng chứng thư số theo quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia.
III. Kiểm tra pháp lý đối với chữ ký điện tử
Khi một chữ ký điện tử trên hợp đồng hay văn bản bị nghi ngờ thì chữ ký đó phải vượt qua một số kiểm tra trước khi có thể xử tại tòa án. Các điều kiện này có thể thay đổi tùy theo quy định của pháp luật, thậm chí trong một số trường hợp văn bản không có chữ ký (telex, fax…).
Tại một số nước, các bước yêu cầu cho chữ ký điện tử bao gồm:
– Cung cấp thông tin cho người yêu cầu về tính pháp lý của chữ ký điện tử; các yêu cầu về phần cứng, phần mềm; các lựa chọn ký và chi phí (nếu có);
– Xác thực các bên để nhận diện rủi ro kinh doanh và yêu cầu;
– Đưa toàn bộ văn bản ra xem xét (các bên có thể phải điền số liệu);
– Yêu cầu các bên xác nhận sự tự nguyện ký vào văn bản;
– Đảm bảo các văn bản được xem xét không bị thay đổi từ khi ký;
– Cung cấp cho các bên các văn bản gốc pháp lý để lưu giữ.
Vấn đề quan trọng cần được xem xét là sự giả mạo (giả mạo chữ ký và giả mạo sự chấp nhận). Tòa án phải giả định rằng sự giả mạo là không thể thực hiện. Tuy nhiên, đối với chữ ký điện tử thì việc làm giả là không quá khó khăn.
Thông thường, các doanh nghiệp thường phải dựa trên các phương tiện khác để kiểm tra chữ ký điện tử chẳng hạn như gọi điện trực tiếp cho người ký trước khi giao dịch, dựa trên các quan hệ truyền thống hay không dựa hoàn toàn vào các văn bản dưới dạng điện tử. Đây là các thông lệ trong kinh doanh nên được áp dụng trong bất kỳ môi trường nào vì sự giả mạo cũng là một vấn đề thường xảy ra trong môi trường kinh doanh truyền thống. Chữ ký điện tử cũng như chữ ký truyền thống đều không đủ khả năng ngăn chặn hoàn toàn việc làm giả.
IV. Kết luận
Một chữ ký điện tử sẽ là một chữ ký số nếu nó sử dụng một phương pháp mã hóa nào đó để đảm bảo tính toàn vẹn và tính xác thực. Ví dụ như một bản dự thảo hợp đồng soạn bởi bên bán hàng gửi bằng email tới người mua sau khi được ký (điện tử).
Một điều cần lưu ý là cơ chế của chữ ký điện tử khác hoàn toàn với các cơ chế sửa lỗi (như giá trị kiểm tra – checksum…). Các cơ chế kiểm tra không đảm bảo rằng văn bản đã bị thay đổi hay chưa.
Hiện nay, các tiêu chuẩn được sử dụng phổ biến cho chữ ký điện tử là OpenPGP, được hỗ trợ bởi PGP và GnuPG, và các tiêu chuẩn S/MIME (có trong Microsoft Outlook). Tất cả các mô hình về chữ ký điện tử đều giả định rằng người nhận có khả năng có được khóa công khai của chính người gửi và có khả năng kiểm tra tính toàn vẹn của văn bản nhận được. Ở đây không yêu cầu giữa 2 bên phải có một kênh thông tin an toàn. Một văn bản được ký có thể được mã hóa khi gửi nhưng điều này không bắt buộc. Việc đảm bảo tính bí mật và tính toàn vẹn của dữ liệu có thể được tiến hành độc lập.
Con người đã sử dụng các hợp đồng dưới dạng điện tử từ hơn 100 năm nay với việc sử dụng mã Morse và điện tín. Vào năm 1889, tòa án tối cao bang New Hampshire (Hoa kỳ) đã phê chuẩn tính hiệu lực của chữ ký điện tử. Tuy nhiên, chỉ với những phát triển của khoa học kỹ thuật gần đây thì chữ ký điện tử mới đi vào cuộc sống một cách rộng rãi. Vào thập niên 1980, các công ty và một số cá nhân bắt đầu sử dụng máy fax để truyền đi các tài liệu quan trọng. Mặc dù chữ ký trên các tài liệu này vẫn thể hiện trên giấy nhưng quá trình truyền và nhận chúng hoàn toàn dựa trên tín hiệu điện tử.
Hiện nay, chữ ký điện tử có thể bao hàm các cam kết gửi bằng email, nhập các số định dạng cá nhân (PIN) vào các máy ATM, ký bằng bút điện tử với thiết bị màn hình cảm ứng tại các quầy tính tiền, chấp nhận các điều khoản người dùng khi cài đặt phần mềm máy tính, ký các hợp đồng điện tử online…
Các ví dụ về chữ ký điện tử nêu ở trên chưa phải là chữ ký số bởi vì chúng thiếu các đảm bảo mật mã học về nhận dạng người tạo ra và thiếu các kiểm tra tính toàn vẹn của dữ liệu. Các chữ ký này có tính chất pháp lý được gắn với văn bản trong một số trường hợp cụ thể.
Như vậy, ta có thể thấy rằng hai khái niệm “Chữ ký số” (digital signature) và “Chữ ký điện tử” (electronic signature) không hoàn toàn có cùng nghĩa. Chữ ký số chỉ là một tập con của chữ ký điện tử (chữ ký điện tử bao hàm chữ ký số).
Dựa theo bài viết của Th.S Lê Văn Năng – Giám đốc Trung tâm Tin học – Cục Văn thư và Lưu trữ Nhà nước
Nguồn: https://luutru.gov.vn