Bước tới nội dung

Luật Giao dịch điện tử nước Cộng hòa xã hội chủ nghĩa Việt Nam 2023/Chương III

Văn thư lưu trữ mở Wikisource

Chương III
CHỮ KÝ ĐIỆN TỬ VÀ DỊCH VỤ TIN CẬY

Mục 1
CHỮ KÝ ĐIỆN TỬ

Điều 22. Chữ ký điện tử

1. Chữ ký điện tử được phân loại theo phạm vi sử dụng bao gồm:

a) Chữ ký điện tử chuyên dùng là chữ ký điện tử do cơ quan, tổ chức tạo lập, sử dụng riêng cho hoạt động của cơ quan, tổ chức đó phù hợp với chức năng, nhiệm vụ;

b) Chữ ký số công cộng là chữ ký số được sử dụng trong hoạt động công cộng và được bảo đảm bởi chứng thư chữ ký số công cộng;

c) Chữ ký số chuyên dùng công vụ là chữ ký số được sử dụng trong hoạt động công vụ và được bảo đảm bởi chứng thư chữ ký số chuyên dùng công vụ.

2. Chữ ký điện tử chuyên dùng phải đáp ứng đủ các yêu cầu sau đây:

a) Xác nhận chủ thể ký và khẳng định sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu;

b) Dữ liệu tạo chữ ký điện tử chuyên dùng chỉ gắn duy nhất với nội dung của thông điệp dữ liệu được chấp thuận;

c) Dữ liệu tạo chữ ký điện tử chuyên dùng chỉ thuộc sự kiểm soát của chủ thể ký tại thời điểm ký;

d) Hiệu lực của chữ ký điện tử chuyên dùng có thể được kiểm tra theo điều kiện do các bên tham gia thỏa thuận.

3. Chữ ký số là chữ ký điện tử đáp ứng đủ các yêu cầu sau đây:

a) Xác nhận chủ thể ký và khẳng định sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu;

b) Dữ liệu tạo chữ ký số chỉ gắn duy nhất với nội dung của thông điệp dữ liệu được chấp thuận;

c) Dữ liệu tạo chữ ký số chỉ thuộc sự kiểm soát của chủ thể ký tại thời điểm ký;

d) Mọi thay đổi đối với thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện;

đ) Phải được bảo đảm bởi chứng thư chữ ký số. Trường hợp chữ ký số chuyên dùng công vụ phải được bảo đảm bởi chứng thư chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng công vụ. Trường hợp chữ ký số công cộng phải được bảo đảm bởi chứng thư chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng;

e) Phương tiện tạo chữ ký số phải bảo đảm dữ liệu tạo chữ ký số không bị tiết lộ, thu thập, sử dụng cho mục đích giả mạo chữ ký; bảo đảm dữ liệu được dùng để tạo chữ ký số chỉ có thể sử dụng một lần duy nhất; không làm thay đổi dữ liệu cần ký.

4. Việc sử dụng các hình thức xác nhận khác bằng phương tiện điện tử để thể hiện sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu mà không phải là chữ ký điện tử thực hiện theo quy định khác của pháp luật có liên quan.

Điều 23. Giá trị pháp lý của chữ ký điện tử

1. Chữ ký điện tử không bị phủ nhận giá trị pháp lý chỉ vì được thể hiện dưới dạng chữ ký điện tử.

2. Chữ ký điện tử chuyên dùng bảo đảm an toàn hoặc chữ ký số có giá trị pháp lý tương đương chữ ký của cá nhân đó trong văn bản giấy.

3. Trường hợp pháp luật quy định văn bản phải được cơ quan, tổ chức xác nhận thì yêu cầu đó được xem là đáp ứng đối với một thông điệp dữ liệu nếu thông điệp dữ liệu đó được ký bằng chữ ký điện tử chuyên dùng bảo đảm an toàn hoặc chữ ký số của cơ quan, tổ chức đó.

Điều 24. Dịch vụ chứng thực chữ ký số chuyên dùng công vụ

1. Dịch vụ chứng thực chữ ký số chuyên dùng công vụ là dịch vụ chứng thực chữ ký số trong hoạt động công vụ.

2. Chứng thư chữ ký số chuyên dùng công vụ được quản lý, cung cấp bởi tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng công vụ theo quy định của pháp luật về giao dịch điện tử và pháp luật về cơ yếu.

3. Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng công vụ thực hiện các hoạt động sau đây:

a) Phát hành chứng thư chữ ký số chuyên dùng công vụ để xác nhận và duy trì trạng thái hiệu lực chứng thư chữ ký số chuyên dùng công vụ của chủ thể ký thông điệp dữ liệu;

b) Thu hồi chứng thư chữ ký số chuyên dùng công vụ;

c) Kiểm tra hiệu lực chữ ký số chuyên dùng công vụ và duy trì trạng thái hiệu lực của chứng thư chữ ký số chuyên dùng công vụ; không sử dụng rào cản kỹ thuật, công nghệ để hạn chế việc kiểm tra hiệu lực chữ ký số chuyên dùng công vụ;

d) Cung cấp thông tin cần thiết để chứng thực chữ ký số chuyên dùng công vụ;

đ) Liên thông với tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia để bảo đảm cho việc kiểm tra hiệu lực chữ ký số chuyên dùng công vụ;

e) Cấp dấu thời gian trong hoạt động công vụ.

4. Chứng thư chữ ký số chuyên dùng công vụ, chữ ký số chuyên dùng công vụ phải đáp ứng quy chuẩn kỹ thuật, yêu cầu kỹ thuật đối với chữ ký số và dịch vụ chứng thực chữ ký số theo quy định của pháp luật.

5. Chính phủ quy định chi tiết Điều này.

Điều 25. Sử dụng chữ ký điện tử chuyên dùng, chữ ký điện tử chuyên dùng bảo đảm an toàn

1. Cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng không được kinh doanh dịch vụ về chữ ký điện tử chuyên dùng.

2. Chữ ký điện tử chuyên dùng bảo đảm an toàn là chữ ký điện tử chuyên dùng được Bộ Thông tin và Truyền thông cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn.

3. Trường hợp cơ quan, tổ chức sử dụng chữ ký điện tử chuyên dùng để giao dịch với tổ chức, cá nhân khác hoặc có nhu cầu công nhận chữ ký điện tử chuyên dùng bảo đảm an toàn thì đăng ký với Bộ Thông tin và Truyền thông để được cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn.

4. Chính phủ quy định chi tiết Điều này.

Điều 26. Công nhận tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài; công nhận chữ ký điện tử, chứng thư chữ ký điện tử nước ngoài

1. Điều kiện công nhận tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài tại Việt Nam bao gồm:

a) Thành lập và hoạt động hợp pháp tại quốc gia đăng ký hoạt động; có báo cáo kiểm toán kỹ thuật của hệ thống cung cấp dịch vụ chứng thực chữ ký điện tử từ tổ chức kiểm toán hoạt động hợp pháp tại quốc gia đăng ký hoạt động;

b) Chữ ký điện tử nước ngoài, chứng thư chữ ký điện tử nước ngoài do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài cung cấp phải phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật về chữ ký điện tử, chứng thư chữ ký điện tử theo quy định của pháp luật Việt Nam hoặc tiêu chuẩn quốc tế đã được thừa nhận hoặc điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên;

c) Chứng thư chữ ký điện tử nước ngoài do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài cung cấp hình thành dựa trên thông tin định danh đầy đủ đã được xác thực của tổ chức, cá nhân nước ngoài;

d) Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài phải cập nhật trạng thái của chứng thư chữ ký điện tử nước ngoài vào hệ thống chứng thực dịch vụ tin cậy của cơ quan có thẩm quyền của Việt Nam;

đ) Có văn phòng đại diện tại Việt Nam.

2. Điều kiện công nhận chữ ký điện tử nước ngoài, chứng thư chữ ký điện tử nước ngoài tại Việt Nam bao gồm:

a) Chữ ký điện tử nước ngoài, chứng thư chữ ký điện tử nước ngoài phải phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật về chữ ký điện tử, chứng thư chữ ký điện tử theo quy định của pháp luật Việt Nam hoặc tiêu chuẩn quốc tế đã được thừa nhận hoặc điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên;

b) Chứng thư chữ ký điện tử nước ngoài hình thành dựa trên thông tin định danh đầy đủ đã được xác thực của tổ chức, cá nhân nước ngoài.

3. Đối tượng sử dụng chữ ký điện tử nước ngoài, chứng thư chữ ký điện tử nước ngoài được công nhận theo quy định tại khoản 2 Điều này là tổ chức, cá nhân nước ngoài; tổ chức, cá nhân Việt Nam có nhu cầu giao dịch điện tử với tổ chức, cá nhân nước ngoài mà chữ ký điện tử, chứng thư chữ ký điện tử của tổ chức cung cấp dịch vụ trong nước chưa được công nhận tại nước đó.

4. Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết việc công nhận tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài tại Việt Nam; công nhận chữ ký điện tử nước ngoài, chứng thư chữ ký điện tử nước ngoài tại Việt Nam.

Điều 27. Chữ ký điện tử nước ngoài, chứng thư chữ ký điện tử nước ngoài được chấp nhận trong giao dịch quốc tế

1. Chữ ký điện tử nước ngoài, chứng thư chữ ký điện tử nước ngoài được chấp nhận trong giao dịch quốc tế là chữ ký điện tử nước ngoài, chứng thư chữ ký điện tử nước ngoài của tổ chức, cá nhân nước ngoài không hiện diện tại Việt Nam, có hiệu lực trên thông điệp dữ liệu gửi đến tổ chức, cá nhân Việt Nam.

2. Tổ chức, cá nhân lựa chọn và chịu trách nhiệm về việc chấp nhận chữ ký điện tử nước ngoài, chứng thư chữ ký điện tử nước ngoài trên thông điệp dữ liệu trong giao dịch quốc tế.

Mục 2
DỊCH VỤ TIN CẬY

Điều 28. Dịch vụ tin cậy

1. Dịch vụ tin cậy bao gồm:

a) Dịch vụ cấp dấu thời gian;

b) Dịch vụ chứng thực thông điệp dữ liệu;

c) Dịch vụ chứng thực chữ ký số công cộng.

2. Dịch vụ tin cậy là ngành, nghề đầu tư kinh doanh có điều kiện.

3. Tổ chức cung cấp dịch vụ tin cậy phải có giấy phép kinh doanh dịch vụ do Bộ Thông tin và Truyền thông cấp, trừ dịch vụ chứng thực hợp đồng điện tử trong thương mại. Tổ chức được quyền đăng ký một hoặc các dịch vụ quy định tại khoản 1 Điều này. Thời hạn của giấy phép kinh doanh dịch vụ tin cậy là 10 năm.

Tổ chức cung cấp dịch vụ chứng thực hợp đồng điện tử trong thương mại phải đáp ứng điều kiện hoạt động cung cấp dịch vụ chứng thực hợp đồng điện tử theo quy định của pháp luật về thương mại điện tử và điều kiện kinh doanh dịch vụ tin cậy theo quy định tại Điều 29 của Luật này.

4. Chính phủ quy định chi tiết hoạt động của tổ chức cung cấp dịch vụ tin cậy; quy trình, thủ tục, hồ sơ cấp, gia hạn, thay đổi, cấp lại, tạm đình chỉ, thu hồi giấy phép kinh doanh dịch vụ tin cậy và các nội dung khác quy định tại Điều này.

Điều 29. Điều kiện kinh doanh dịch vụ tin cậy

1. Điều kiện kinh doanh dịch vụ tin cậy bao gồm:

a) Là doanh nghiệp được thành lập và hoạt động hợp pháp trên lãnh thổ Việt Nam;

b) Đáp ứng điều kiện tài chính, nhân lực quản lý và kỹ thuật phù hợp với từng loại dịch vụ tin cậy quy định tại khoản 1 Điều 28 của Luật này;

c) Hệ thống thông tin cung cấp dịch vụ tin cậy đáp ứng yêu cầu bảo đảm an toàn thông tin mạng tối thiểu cấp độ 3 theo quy định của pháp luật về an toàn thông tin mạng;

d) Có phương án kỹ thuật phục vụ hoạt động cung cấp dịch vụ phù hợp với từng loại dịch vụ tin cậy quy định tại khoản 1 Điều 28 của Luật này;

đ) Có phương án sẵn sàng kết nối kỹ thuật phục vụ giám sát, kiểm tra, báo cáo số liệu bằng phương tiện điện tử đáp ứng yêu cầu quản lý nhà nước về dịch vụ tin cậy.

2. Chính phủ quy định chi tiết khoản 1 Điều này.

Điều 30. Trách nhiệm của tổ chức cung cấp dịch vụ tin cậy

1. Công bố công khai quy trình đăng ký sử dụng dịch vụ, biểu mẫu và chi phí liên quan.

2. Bảo đảm kênh tiếp nhận thông tin và cung cấp dịch vụ liên tục 24 giờ trong ngày và 07 ngày trong tuần.

3. Thực hiện chế độ lưu trữ hồ sơ, tài liệu và kết nối, cung cấp thông tin, số liệu báo cáo bằng phương tiện điện tử theo quy định của pháp luật.

4. Bảo đảm trang thiết bị trong hệ thống thông tin được cấp mã quản lý, sẵn sàng kết nối kỹ thuật phục vụ công tác quản lý nhà nước về dịch vụ tin cậy.

5. Thực hiện biện pháp nghiệp vụ, tạm dừng, chấm dứt cung cấp dịch vụ hoặc biện pháp nghiệp vụ khác theo yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật.

6. Thực hiện trách nhiệm của chủ quản hệ thống thông tin phục vụ cung cấp dịch vụ tin cậy đáp ứng yêu cầu bảo đảm an toàn thông tin mạng tối thiểu cấp độ 3 theo quy định của pháp luật về an toàn thông tin mạng.

7. Định kỳ hằng năm, báo cáo về hoạt động cung cấp dịch vụ tin cậy theo quy định của cơ quan có thẩm quyền.

8. Nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số theo quy định của pháp luật về phí và lệ phí.

Điều 31. Dịch vụ cấp dấu thời gian

1. Dịch vụ cấp dấu thời gian là dịch vụ để gắn thông tin về thời gian vào thông điệp dữ liệu.

2. Dấu thời gian được tạo ra dưới dạng chữ ký số.

3. Thời gian được gắn vào thông điệp dữ liệu là thời gian mà tổ chức cung cấp dịch vụ cấp dấu thời gian nhận được thông điệp dữ liệu đó và được chứng thực bởi tổ chức cung cấp dịch vụ cấp dấu thời gian.

4. Nguồn thời gian của tổ chức cung cấp dịch vụ cấp dấu thời gian phải theo quy định của pháp luật về nguồn thời gian chuẩn quốc gia.

Điều 32. Dịch vụ chứng thực thông điệp dữ liệu

Dịch vụ chứng thực thông điệp dữ liệu bao gồm:

1. Dịch vụ lưu trữ và xác nhận tính toàn vẹn của thông điệp dữ liệu;

2. Dịch vụ gửi, nhận thông điệp dữ liệu bảo đảm.

Điều 33. Dịch vụ chứng thực chữ ký số công cộng

1. Dịch vụ chứng thực chữ ký số công cộng là dịch vụ chứng thực chữ ký số trong hoạt động công cộng.

2. Chứng thư chữ ký số công cộng được cung cấp bởi tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng theo quy định của Luật này.

3. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thực hiện các hoạt động sau đây:

a) Phát hành chứng thư chữ ký số công cộng để xác nhận và duy trì trạng thái hiệu lực chứng thư chữ ký số công cộng của chủ thể ký thông điệp dữ liệu;

b) Thu hồi chứng thư chữ ký số công cộng;

c) Kiểm tra hiệu lực chữ ký số công cộng và duy trì trạng thái hiệu lực của chứng thư chữ ký số công cộng; không sử dụng rào cản kỹ thuật, công nghệ để hạn chế việc kiểm tra hiệu lực chữ ký số công cộng;

d) Cung cấp thông tin cần thiết để chứng thực chữ ký số công cộng;

đ) Liên thông với tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia để bảo đảm cho việc kiểm tra hiệu lực chữ ký số công cộng.

4. Chứng thư chữ ký số công cộng, chữ ký số công cộng phải đáp ứng quy chuẩn kỹ thuật, yêu cầu kỹ thuật đối với chữ ký số và dịch vụ chứng thực chữ ký số theo quy định của pháp luật.

5. Chính phủ quy định chi tiết Điều này.