Đề tài nghiên cứu khoa học cấp Trường: Pháp luật Việt Nam về bảo đảm an toàn thông tin trong giao dịch điện tử (Phần 2)

Hai là, chủ thể thực hiện việc áp dụng các biện pháp bảo đảm an toàn thông tin trong giao dịch điện với các bên tham gia bên ngoài!" Đây thường là hoạt động của các chủ thể cung cấp công

tin: Để bảo đảm thông tin trong quá trình lưu thông và truyền tỉn trên mạng thường dùng các kỹ thuật an toàn thông tin như mã hóa, giấu tin, thủy vẫn số, chữ ký só, Bảo đảm hệ thống bằng tường lửa (firewall): Tường lửa có thê là hệ thống phần cứng phần mềm hoặc kết hợp cả hai Nếu là phần cứng thì sử dụng bộ bộ định tuyển (router) Bộ định tuyến có các tính năng bảo đảm an toàn thông tin cao cấp, trong đó

có khả năng kiểm soát dia chi IP (IP Address 6 1a so d6 dia chi hoá đẻ định nghĩa các tram (host) trong lién mang) Quy trinh kiểm soát cho phép định ra những địa chỉ IP có thể kết nối với mạng của tỏ chức, cá nhân và ngược lại Tính chất chung của các tường lửa là phân biệt địa chỉ IP hay từ chối việc truy nhập không hợp pháp căn cứ trên địa chỉ nguồn Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet

và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet)

và mạng Internet Cụ thể là: Cho phép hoặc cắm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet) Cho phép hoặc cảm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet)

Hai là, các biện pháp bảo đảm tính toàn vẹn an toàn thông tin trong giao dịch điện tử

Biện pháp loại bỏ, ngăn chặn nguy cơ mắt thông tin

Cung cấp những hướng dẫn, những quy tắc, và những quy trình để thiết lập một môi trường thông tin an toàn Các chính sách của hệ thống có tác dụng tốt nhất khi người dùng được tham gia vào xây dựng chủng, làm cho họ biết rõ được tầm quan trọng của an toàn Đào tạo và cho người dùng tham gia vào uỷ ban chính sách an toàn

là 2 cách dé bảo đảm rằng người dùng cảm thấy chính bản thân họ là những nhân tố trong việc xây dựng hệ thống an toàn mạnh Một ưu điểm của việc gắn người dùng theo cách này là nếu người dùng hiểu được bản chất của các mối đe doạ về an toàn, họ

sẽ không làm trải các nỗ lực bảo đảm an toàn Một chính sách của một tổ chức có thể tập trung vào một số vấn dé sau: Đào tạo cho người dùng về các kỹ thuật an toàn; Đào tạo cho người dùng về các phần mềm phá hoại; Yêu cầu người dùng phải quét các thiết

bị lưu trữ bằng các phần mềm quét virus trước khi sử dụng chúng; Thiết lập các chính sách quy định những phương tiện nào từ bên ngoài có thể mang được vào hệ thống và cách sử dụng chúng như thế nào; Thiết lập các chính sách để ngăn chặn người dùng tự

chặn người dùng tải về các tệp và yêu cầu người dùng phải quét virus đối với các tệp này; Tạo một vùng riêng để người dùng cách ly các tệp có nguồn gốc không rõ ràng dé quét chúng trước khi sử dụng; Xây dựng chính sách giới hạn quyền để kiểm soát truy cập vào hệ thống; Thường xuyên sao lưu tài nguyên thông tin quan trọng với hệ thống

dự phòng Sao lưu dự phòng hệ thống là việc quan trọng để bảo đảm hệ thống do lỗi đĩa, mất mát dữ liệu hay do phần mềm phá hoại Nếu ta sao lưu dữ liệu mà sau đó hệ thống bị nhiễm một mã độc phá hoại các hay xoá các tệp, thì ta có thể khôi phục lại được các tệp đó hay toàn bộ hệ thống

Biện pháp nhận diện các dạng tấn công lỗ hồng bảo đảm an toàn thông tin Một số hệ điều hành mới thường có những lỗ hồng bảo đảm an toàn thông tin truy nhập internet hoặc các lỗi làm cho hệ thống bị các xung đột không mong muốn, làm cho các lệnh không hoạt động bình thường và nhiều vấn đề khác

Hiện nay nhiều kẻ xấu hay lợi dụng những lỗ hổng bảo đảm an toàn thông tin để tấn công vào các hệ thống để phá hoại hoặc lấy cắp thông tin vì vậy người dùng nên thưởng xuyên cải đặt các bản cập nhật (updates) bảo đảm hệ thống của mình Việc cải đặt các bản cập nhật và các bản vá lỗi (patches) là cách rất hiệu quả để chống lại các tấn công trên một hệ điều hành

Ba là, các biện pháp bảo đảm tính sẵn sàng an toàn thông tin trong giao dịch điện tử

Để đảm bảo được đặc tính sẵn sàng được truyền tải của thông tin trong giao dịch điện tử, một số biện pháp được đặt ra bao gồm:

Biện pháp bảo đảm thông tin được lưu thông bằng công cụ vật lý: Các thiết bị và biện pháp phòng chống các nguy cơ gây mắt an toàn thông tin về khía cạnh vật lý như: Thiết bị lưu điện, lặp đặt hệ thông điều hòa nhiệt độ và độ âm Luôn sẵn sàng các thiết

bị chữa cháy nô, không đặt các hóa chat gan thệ thống Thường xuyên sao lưu dữ liệu

Sử dụng các chỉnh sách vận hành hệ thống đúng quy trình, an toàn và bảo đảm an toàn thông tin

Biện pháp bảo đảm chủ động ứng phó, giải quyết mọi nguy cơ bị tấn công bởi các phần mềm độc hại: Nhận diện phan mém độc hại và luôn cập nhật tính năng mới của phần mềm, thiết bi đang dùng Sử dụng tài khoản không phải là quản trị bất cứ khi nào

ảnh trong email; Sử dụng phần mềm diệt virus hoặc sử dụng các công cụ quét phần mềm phá hoại là một cách hiệu quả để bảo đảm hệ điều hành Mặc dù chúng có thể quét hệ thống đề phát hiện virus, sâu mạng và trojan horse, nhưng chúng thường được gọi là công cụ quét virus

Ý nghĩa phân loại: Căn cứ phân loại cách thức thực hiện các biện pháp bảo đảm

an toàn thông tin trong giao dich điện tử nhằm có góc nhìn tổng quan về phương thức bảo đảm dựa vào đặc điểm của giao dịch điện tử gồm tính bí mật, tính sẵn sàng và tính toàn vẹn đề từ đó nắm rõ hơn về mặt lí luận à củng có thông tin cho các chương sau Thứ ba, căn cứ vào chủ thể thực hiện các biện pháp báo đảm an toàn thông tin trong giao dịch điện tứ

Chủ thẻ thực hiện việc áp dụng các biện pháp bảo đảm an toàn thông tin có thể chia làm hai nội dung chính đó là chủ thể đảm bảo an toàn thông tin trong giao dịch điện tử nội bộ và chủ thể đảm bảo an toàn thông tin trong giao dịch điện tử với các bên tham gia bên ngoài:

Một là, chủ thể thực hiện việc áp dụng các biện pháp bảo đảm an toàn thông tin trong giao dịch điện tử nội bộ tệ

Đây là trường hợp chủ thể tham gia giao dịch điện tử thực hiện các biện pháp bảo đảm an toàn thông tin trong giao dịch điện tử Mục tiêu của công tác này nhằm quản lý bảo mật và an toàn thông tin nội bộ bên trong tổ chức của chính chủ thể tham gia giao dịch hoặc bảo đảm an toàn thông tin giao dịch điện tử của chính chủ thể là cá nhân tham gia giao dịch điện tử Đối với trường hợp chủ thể tham gia giao dịch là tổ chức, pháp nhân để thực hiện tốt công tác tô chức nội bộ, tổ chức cần thực hiện những công việc như sau: Lãnh đạo tổ chức phải chủ động hỗ trợ đảm bảo bảo mật và an toàn thông tin bằng các định hưởng rõ ràng, các cam kết, các nhiệm vụ rõ ràng và nhận thức

rõ trách nhiệm của mình

Cần có sự phối hợp thực hiện biện pháp bảo đảm an toàn thông tin trong giao dịch điện tử Các hoạt động này cần được phối hợp bởi các đại diện của các bộ phận trong tổ chức với vai trò và nhiệm vụ cụ thể của mỗi bộ phận Các bộ phận phải hoạt

4 Xem: Nguyễn Văn Thượng, “Tăng cường bảo mật và an toàn thông tin dịch vụ tô chức điện tử tại tổ chức thương mại cô phân xăng dâu petrolimex", Luận văn thạc sĩ, Trường Đại học Ngoại thương, 2015

bảo an toàn thông tin cần được xác định một cách rõ ràng Việc phân bổ trách nhiệm cần phù hợp với chính sách bảo mật và phải được xác định cụ thể cần được xác định rõ ràng Cần có quy trình cấp phép cho các phương tiện xử lý thông tin Quy trình cấp phép này phải được xác định rõ và triển khai Những phương tiện mới cần có sự cấp phép sử dụng và mục đích sử dụng từ ban quản lý Khi cần thiết thi cần kiểm tra cả phần cứng và phần mềm nhằm đảm bảo rằng chúng đều tương thích với các thành phần khác của hệ thống Các thỏa thuận về bảo đảm hoặc không tiết lộ cần thập trung vào các yêu cầu nhằm bảo vệ thông tin mật với các điều khoản có khả năng thực thi về mặt pháp lý Việc soát xét định kỳ và tại các thời điểm xảy ra thay đổi nhằm hoàn thiện để đáp ứng được các thỏa thuận này Cần có liên lạc với những cơ quan, tổ chức

và các nhóm chuyên gia cũng như các diễn đàn và hiệp hội về bảo đảm an toàn thông tin Tổ chức cần xác định rõ khi nào và ai là người sẽ liên hệ với các đơn vị trên cũng như cách thức bảo cáo các sự cố về bảo đảm an toàn thông tin đã xác định một cách kịp thời nếu có nghỉ ngờ đã có sự vi phạm pháp luật

Đối với cá nhân chủ thể tham gia giao dịch điện tử cần có hiểu biết đầy đủ về quyền và nghĩa vụ của mình khi tham gia giao dịch, đặc biệt cần phải có kiến thức về việc sử dụng các phương tiện điện tử, nhận diện được dâu hiệu của hành vi xâm phạm

an toàn thông tin trong giao dịch điện tử

Hai là, chủ thể thực hiện việc áp dụng các biện pháp bảo đảm an toàn thông tin trong giao dịch điện với các bên tham gia bên ngoài!"

Đây thường là hoạt động của các chủ thể cung cấp công cụ hỗ trợ giao dịch điện

tử được xác lập, thực hiện, chấm dứt, cụ thể:

Hoạt động áp dụng biện pháp bảo đảm an toàn thông tin trong giao dịch điện tử của chủ thể quản lý hệ thống thông tin

Hoạt động áp dụng các biện pháp bảo đảm an toàn thông tin trong giao dịch điện

tử của chủ thể cung cấp internet

Hoạt động áp dụng các biện pháp bảo đảm an toàn thông tin trong giao dịch điện

tử của chủ thể cung cấp dịch vụ trung gian

tử của chủ thể cung cấp dịch vụ tin cậy

Điểm chung trong quá trình thực hiện các biện pháp bảo đảm an toàn thông tin trong giao dịch điện tử của chủ thể không tham gia giao dịch điện tử là phải duy trì đảm bảo an toàn đối với thông tin và các phương tiện xử lý thông tin của tổ chức được truy cập, xử lý, truyền tai hoặc quan lý bởi các bên tham gia bên ngoài tổ chức Bất kỳ chủ thể nào liên quan đến quá trình khởi tạo, truyền đưa, lưu trữ thông tin trong giao dịch điện tử đều phải có năng lực bảo đảm an toàn thông tin trong giao dịch điện tử liên quan đến nhiệm vụ của mình

Ý nghĩa của việc phân loại: Mỗi chủ thê có vị trí và vai trò khác nhau trong việc bảo đảm an toàn thông tin trong giao dịch điện tử Chủ thể có quyền tiếp cận, xử lý thông tin trong giao dịch điện tử cần đảm bảo thực hiện đúng giới hạn quyền, nghĩa vụ của mình Chủ thể không có quyên tiếp cận, xử lý thông tin giao dịch điện tử cần đảm bảo thực hiện nghĩa vụ tôn trọng tuyệt đối quyền đối với thông tin trong giao dịch của các chủ thể tham gia giao dịch, thông tin của chủ thẻ khác được sử dụng trong giao dịch điện tử

Thứ tư, các biện pháp khắc phục hậu quả do hành vì xâm phạm thông tin trong giao dịch điện tử gây ra

Thông thường đây là những biện pháp kỹ thuật, pháp lý buộc chủ thề thực hiện hành vi xâm phạm an toàn thông tin trong giao dịch điện tử phải khôi phục lại tình trạng ban đầu, khắc phục hậu quả xấu do hành vi vi phạm gây ra Trường hợp không thể khôi phục lại tình trạng ban đầu thì phải bồi thường thiệt hại Pháp luật các quốc gia trong đó có Việt Nam có các quy định về định danh chủ thể phải chịu trách nhiệm bồi thường thiệt hại và có quy định định lượng các loại thiệt hại được bồi thường Việc

áp dụng biện pháp khắc phục hậu quả xấu do hành vi xâm phạm an toàn thông tin trong giao dịch điện tử gây ra phụ thuộc vào loại hành vi xâm phạm, chủ thể thực hiện hành vi và hậu quả tiêu cực do hành vi xâm phạm an toàn thông tin trong giao dịch điện tử gây ra

1.5 Khái niệm và đặc điểm pháp luật về bảo đảm an toàn thông tin trong giao dịch điện tử

Thứ nhất, khái niệm về pháp luật bảo đảm an toàn thông tin trong giao dịch điện tử

sự có tính bắt buộc do Nhà nước ban hành và bảo đảm thực hiện bằng sức mạnh cưỡng chế ”''° Pháp luật là công cụ điều chỉnh các quan hệ xã hội nhằm đảm bảo các quan hệ này được vận hành và bảo đảm lợi ích của các bên chủ thể tham gia, lợi ích của nhà nước, lợi ích của cộng đồng Theo quan điểm của trường phái pháp luật tự nhiên, pháp luật là những quy tắc tất yếu hình thành một cách tự nhiên trong đời sống của con người, xuất phát từ bản chất của con người với tư cách là một bộ phận của giới

! Theo quan điểm của trường pháp pháp luật thực định, pháp luật là những

tự nhiên

quy tắc do nhà nước ban hành và bảo đảm thực hiện đẻ điều chỉnh các quan hệ xã hội nhằm thiết lập trật tự xã hội Đó là những quy phạm cụ thể, hiện hữu, xác định, thể hiện rõ ràng, chúng được ban hành để điều chỉnh các quan hệ xã hội trong một phạm

vi không gian xác định'”, Cách hiểu chung hiện nay về pháp luật: “Pháp ludt la hệ thống quy tắc xử sự chung do nhà nước đặt ra hoặc thừa nhận và đảm bảo thực hiện

để điều chỉnh các quan hệ xã hội theo mục đích, định hướng của nhà nước!??", Giao dịch điện tử ngày càng khẳng định vai trò quan trọng, là công cụ hữu hiệu cho các cá nhân, tổ chức, thậm chí là cơ quan nhà nước trong quá trình chuyền đổi số, trong thời đại công nghệ 4.0 ngày nay Qua hoạt động giao dịch bằng các phương tiện điện tử, các chủ thể tham gia giao dịch có thể thoải mái giao kết hợp đồng, trao đổi thông tin, đữ liệu, chuyển tiền, và vô vàn hoạt động khác bất kề thời gian ngày hay đêm, bất kể phạm vi không gian trong nhà hay ngoài đường, trong nước hay nước ngoài mà không cần phải gặp mặt trực tiếp Thông tin trong các giao dịch điện tử thường là những thông tin quan trọng, có tính chất cơ mật (như là thông điệp giữa các

cơ quan chính phủ, hợp đồng kinh tế giữa các doanh nghiệp), nội bộ (ví dụ thông tin giữa các cơ quan trong một tỏ chức và các chỉ nhánh của công ty), hoặc là riêng tư (ví

dụ lương, hồ sơ bệnh án) Vì vậy, cần phải có các phương pháp bảo đảm sự chính xác

và toàn vẹn của thông tin, và sự tin cậy của những người tham gia vào các giao dịch điện tử Tuy nhiên, với các thủ đoạn tỉnh vi, nguy cơ bị ăn cắp thông tin qua mạng

%6 Viện Ngôn ngữ, Từ Điển Tiếng Việt phố thông, NXB Phương Đông, 2002, tr.700

!# Nguyễn Minh Đoan, Nguyễn Văn Năm (chủ biên), Giáo Trinh Lý Luận Chung về Nhà nước và Pháp luật,

TCP/IP Đây là giao thức cho phép các thông tin được gửi từ máy tính này tới máy tính khác thông qua một loạt các máy trung gian hoặc các mạng riêng biệt Chính điều này dẫn đến nguy cơ mất an toàn thông tin trong giao dịch như bị nghe trộm, bị mạo danh, bị giả mạo, bị chối cãi nguồn gốc

Pháp luật về bảo đảm an toàn thông tin trong giao dịch điện tử là hệ thống quy tắc xử sự chung do nhà nước đặt ra hoặc thừa nhận và quyền, trách nhiệm của cơ quan,

tổ chức, cá nhân trong việc bảo đảm an toàn thông tin; biện pháp theo các tiêu chuẩn

kỹ thuật nhằm mục đích tránh truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép thông tin của giao dịch điện tử theo mục đích, định hưởng nhằm bảo đảm an toàn giao dịch điện tử thỏa mãn tính bí mật, tính sẵn sàng và tính toàn vẹn Pháp luật của nhiều quốc gia trên thế giới đều quy định các biện pháp cần thiết để bảo đảm an toàn thông tin giao dịch điện tử trong quá trình các chủ thể tham gia giao dịch, các biện pháp được đặt ra đều hướng tới một mục đích chung, đó là an toàn và hiệu quả Tuy nhiên đối với mỗi quốc gia khác nhau do trình độ phát triển không đồng đều, vấn để bảo đảm an toàn thông tin cho giao dịch điện tử được nhìn nhận khác nhau Điều đó phản ánh sự tương quan giữa điều kiện phát triển kinh tế với van dé bao dam

an toàn thông tin trong giao dịch điện tử

Trong những năm gần đây, tội phạm tin học tăng cả về phạm vi và mức độ chuyên nghiệp Ban đầu là lay cắp mật khẩu thẻ tín dụng để mua sách và phần mềm qua mạng, tiếp đến là làm thẻ tín dụng giả đề lấy cắp tiền từ máy ATM, thiết lập các mạng máy tính giả để gửi thư rác, thư quảng cáo hay tấn công từ chói dịch vụ, thậm chí ngang nhiên hơn nữa là đe dọa tấn công, tống tiền hay bảo kê các website thương mại điện tử Chính vì vậy, các giao dịch điện tử ngày càng cần đến các biện pháp bảo đảm cao hơn đề đáp ứng nhu cầu của người dùng khi truy cập ứng dụng đơn giản, thuận tiện, nhanh chóng và an toàn Bảo đảm an toàn thông tin trong giao dịch điện tử luôn được đặt ra trong quá trình hoạt động của các giao dịch điện tử, nó chính là sự đảm bảo cần thiết nhất cho tính hiệu quả của giao dịch điện tử Xuất phát từ đặc điểm này của giao dịch điện tử, các biện pháp quan trọng và cốt lõi nhằm đảm bảo an toàn cho giao dịch điện tử đã được luật hóa thành các quy định

thể các quy phạm pháp luật điều chính các quan hệ xã hội phát sinh giữa các chủ thể trong quá trình áp dụng các biện pháp đảm tính bảo mật, toàn vẹn và tính chính xác của thông tin giao dịch điện tử”

Pháp luật bảo đảm an toàn thông tin trong giao dịch điện tử là một bộ phận quan trọng của hệ thông pháp luật mỗi quốc gia trong đó có Việt Nam Các quy phạm pháp luật điều chỉnh hoạt động bảo đảm an toàn thông tin trong giao dịch điện tử được xây dựng nhằm đảm bảo quyền của chủ thể thông tin được bảo vệ Việc bảo vệ thông tin giao dịch điện tử cũng chính là đảm bảo quyền dân sự của chủ thẻ thông tin, chủ thể

đữ liệu Do đó, nội dung của pháp luật bảo đảm an toàn thông tin trong giao dịch điện

tử cần đảm bảo bao quát các quyền năng của chủ thẻ thông tin đối với thông tin của mình và các thông tin khác mà mình có quyền khai thác trong quá trình xác lập, thực hiện, châm dứt giao dịch điện tử

Thứ hai, đặc điểm về cấu trúc và nội dung pháp luật bảo đảm an toàn thông tin trong giao dịch điện tử

Về nội dung: Như vậy pháp luật về bảo đảm an toàn thông tin giao dịch điện tử bao gồm tổng thể các quy phạm pháp luật về các công cụ do chính Nhà nước ban hành hoặc thừa nhận Tắt cả những quy phạm pháp luật nhằm điều chỉnh trực tiếp các quan

hệ trong quá trình giao kết, thực hiện và chấm dứt giao dịch điện tử Theo đó pháp luật

về bảo đảm an toàn thông tin giao dịch điện tử là những quy định về nguyên tắc chung,

về quyền và nghĩa vụ pháp lý cần thiết cho các bên tham gia vào quan hệ có liên quan đến bảo đảm an toàn thông tin trong giao dịch điện tử, quy định về an toàn thông tin, bảo đảm an toàn, dịch vụ tin cậy Những quy định trong pháp luật về bảo đảm an toàn thông tin trong giao dịch điện tử phải là cơ sở pháp lý rõ ràng, chuẩn mực định hướng cho nhận thức và hành vi của các chủ thể khi tham gia vào giao dịch điện tử Những quy định này phải được ghi nhận thống nhất, có cơ sở gốc rễ từ Hiến pháp, Luật An ninh mạng, Luật An toàn thông tin mạng, Luật Bí mật Nhà nước Pháp luật

về bảo đảm an toàn thông tin trong giao dịch điện tử không thể đứng riêng lẻ biệt lập cần có sự đồng nhất trong chính các quy định với nhau cũng như giữa các văn bản có chứa đựng yếu tó liên quan với nhau

thông tin tron giao dịch điện tử sẽ trực tiếp điều chỉnh với đối tượng là những quan hệ

xã hội trong lĩnh vực thương mại điện tử trong đời sống xã hội mà cụ thể đó là các quan hệ xã hội phát sinh trong quá trình giao dịch thông qua các phương tiện điện tử

Về phương pháp điêu chỉnh: Tuy thuộc vào tính chất của giao dịch điện tử được xác lập trong trong từng lĩnh vực, pháp luật về bảo đảm an toàn thông tin trong giao dịch điện tử sẽ sử dụng các phương pháp điều chỉnh tương ứng Ví đụ: Các quan hệ xã hội liên quan đến giao kết, thanh toán, sao lưu thông điệp dữ liệu Do các lĩnh vực ứng dụng phương tiện điện tử rất phong phú và có thê xuất hiện trong bất cứ lĩnh vực nào

mà chủ thể tham gia nên phương pháp điều chỉnh sẽ phụ thuộc vào từng lĩnh vực tương ứng

Từ đó, ta có thể nhận định, cấu trúc của pháp luật bảo đảm an toàn thông tin trong giao dịch điện tử là hệ thống các văn bản pháp luật quy định về các biện pháp nhằm duy trì sự ôn định trong các hoạt động giao dịch điện tử hoặc đưa ra những biện pháp nhằm hạn ché, xử lý rủi ro trong quá trình hoạt động của giao dịch điện tử

Nội dung chương 1 của Báo cáo tổng quan đã khái quát được các vấn đề lý luận

cơ bản về bảo đảm an toàn thông tin trong giao dịch điện tử Cụ thể:

Thứ nhất, xây dựng khái niệm và các dấu hiện nhận diện giao dịch điện tử, phân loại giao dịch điện tử

Thứ hai, xây dựng khái niệm và nhận diện các thông tin về giao dịch điện tử Thứ ba, xây dựng và nhận diện hoạt động bảo đảm an toàn thông tin trong giao dịch điện tử thông qua việc nghiên cứu các yếu tố: Chủ thể thực hiện hoạt động bảo đảm an toàn thông tin, biện pháp bảo đảm an toàn thông tin và mục đích bảo đảm an toàn thông tin

Thứ tư, nghiên cứu và hình thành các nhận định khoa học về pháp luật bảo đảm

an toàn thông tin trong giao dịch điện tử

Mục đích của việc xây dựng khung lý thuyết về pháp luật bảo đảm an toàn thông tin trong giao dịch điện tử nhằm xây dựng mô hình lý tưởng cho việc bảo đảm an toàn thông tin, bảo đảm tính bảo mật, tính toàn vẹn, tính kết nối của thông tin giao dịch điện tử cũng chính là bảo đảm quyền dân sự của các chủ thể có liên quan

1 Dinh Lé Tuan Anh, “Ung dung và bảo đảm an toàn thông tin chữ ký số trong thương mại điện tử”, Phan Trung Huy hướng dẫn, Luận văn Thạc sĩ, Trường Đại học Bách Khoa, 2009

2 Bùi Thị Kim Duyên, “Tìm hiểu các giải pháp xác thực, bảo đảm an toàn thông tin văn bản trong giao dịch điện tử và đề xuất giải pháp để xác thực, bảo đảm an toàn thông tin tài liệu trong giao dịch điện tử cho Bộ Giao thông vận tai”, Dé án tốt nghiệp, Trường Đại học Quản lý và Công nghệ Hải Phòng, 2009

§ Nguyễn Việt Hà, “Pháp luật Việt Nam về bảo đảm an toàn thong tin thông tin cá nhân của người tiêu dùng trong thwong mai dién nr’, Luan van Thac sĩ Luật học, Khoa Luật Đai học Quốc gia Hà Nội, 2016

4 Trần Thị Thu Phương, “Thông tin cá nhân được bảo vệ theo pháp luật của một số quốc gia và gợi ý tham khảo cho Việt Nam”, Tạp chí Luật học số 08/2020

5 Đỗ Giang Nam, “Nhận diện khía cạnh pháp lý của “hợp đồng thông mình ” dưới góc nhìn của pháp luật hợp đồng Việt Nam”, Tạp chí Luật học, số 8/2021

6 PGS.TS Nguyễn Việt Khôi (chủ biên),

7 Bạch Việt Quý, “Hệ mật khóa công khai và an ninh giao dịch điện tử,

an toàn thư tín điện tử, Luận văn thạc sĩ kỹ thuật, Trường Đại học Bách Khoa,

2018

§ Nguyễn Ngọc Quyên, “Pháp luật về bảo vệ người tiêu dùng trong giao dịch điện tử ở Việt Nam”, Luận văn thạc sĩ luật học, Trường Đại học Luật Hà Nội, 2012

9 Đào Duy Tấn, “Hệ (hồng mật khóa công khai và an ninh trong giao dịch điện tử”, Trường Đại học Bách khoa, 2018

10.Đào Duy Tuấn, “Hệ thống mật khóa công khai và an ninh trong giao dịch điện tử”, Nguyễn Linh Giang hướng dẫn, Luận văn thạc sĩ, Trường Đại học Bách Khoa, 2018

12.Ha Thi Tran, “Quy trinh giao kết hợp đồng điện nr”, 2020, Link truy cap: https://econtract.efy.com.vn/hddt/quy-trinh-giao-ket-hop- dong-dien-tu.html#/

13.The Work Programme on Electronic Commerce "The term ‘electronic commerce’ is understood to mean the production distribution marketing sale or delivery of goods and services by electronic means", WTO, 1998

CHUYEN DE 2 QUY DINH PHAP LUAT VA THUC TIEN THUC HIEN PHAP LUAT VE BAO DAM AN TOAN THONG TIN TRONG GIAO DICH DIEN TU’

Lê Thị Giang Hoàng Thị Lan Phương Nguyễn Phan Diệu Linh Nguyễn Thị Phương Thu Nguyễn Nhật Huy Trần Thanh Ngọc

Lê Trọng Minh Dẫn nhập chuyên đề 2:

Nội dung Văn kiện Đại hội Đảng lần thứ XIII xác định đến năm 2025 kinh tế số của Việt Nam phải đạt tỷ trọng 20% GDP, đến năm 2030 kinh tế số chiếm khoảng 30% GDP Đề đạt mục tiêu trên, Văn kiện cũng nhấn mạnh yêu cầu cải thiện môi trường kinh doanh trên nền tảng ứng dụng các thành tựu của khoa học công nghệ Trong đó cần tập trung hoàn thiện thẻ chế, chính sách pháp luật nói chung trong đó có pháp luật về bảo đảm an toàn thông tin giao dịch điện tử nói riêng phù hợp với cơ chế thị trường và thông lệ quốc tế đẻ phát triển kinh tế số, xã hội số Từ định hướng đó, một số quy định pháp luật quốc tế đã luật hóa những nội dung về kinh tế số để đảm bảo một hành lang, cơ sở pháp lý vững chắc và thống nhất cho triển khai và thực hiện chương trình nghị sự về kinh tế số trong đó có pháp luật về bảo đảm an toàn thông tin giao dịch điện tử Đặc biệt trong một số trường hợp bảo đảm vấn đề an ninh mạng, bảo đảm an toàn thông tin dữ liệu người dùng, thông tin cá nhân, bảo đảm an toàn thông tin giao địch được giao kết thực hiện thông qua các phương tiện điện tử được đặc biệt quan tâm

Nhìn chung pháp luật Việt Nam đã hình thành cơ bản khung pháp lý về bảo đảm

an toàn thông tin giao dịch điện tử Cụ thể:

Phần quy định chung về bảo đảm an toàn thông tin giao dịch điện tử được quy định trong BLDS năm 2015, Luật Giao dịch điện tử năm 2005, Luật viễn thông năm

2009, Luật an ninh mạng 2018, Luật An toàn thông tin mạng năm 2015

quy định về bảo đảm an toàn thông tin thông tin nói chung và bảo đảm an toàn thông tin giao dịch điện tử nói riêng trong quy định của văn bản chuyên nganh Vi du: Trong lĩnh vực lao động: Bộ luật Lao động năm 2019 có quy định về nghĩa vụ bảo đảm an toàn thông tin đối với người lao động và người sử dụng lao động; Lĩnh vực thương mại: Hoạt động bảo đảm an toàn thông tin nội dung bí mật kinh doanh mà các bên trao đổi trong hợp đồng thương mại cũng được quy định cụ thé

2.1 Thực trạng pháp luật Việt Nam về bảo đảm an toàn thong tin trong giao dịch điện tử

Pháp luật Việt Nam về giao dịch điện tử nói chung và bảo đảm an toàn thông tin trong giao dịch điện tử nói riêng được quy định trong các văn bản như: Bộ luật dân sự năm 2015, Luật Thương mại năm 2005, Luật An ninh mạng năm 2018, Luật An toàn thông tin mạng năm 2015, Luật Bảo vệ bí mật Nhà nước năm 2018, Luật Tiêu chuẩn,

kỹ thuật số năm 2006, Luật Công nghệ thông tin năm 2006, Luật Bảo vệ quyền lợi người tiêu dùng, Luật Giao địch điện tử Các văn bản pháp luật trên đều chú trọng vấn đề bảo đảm an toàn thông tin trong giao dịch điện tử Luật GDĐT 2005 bao gồm:

§ Chương (Quy định chung, Thông điệp đữ liệu, Chữ ký điện tử và chứng thực chữ ký điện tử, Giao kết và thực hiện hợp dong điện tử, GDĐT của co quan nhà nước, Án ninh, an toàn, bảo vệ, bảo mật trong GDĐT, Giải quyết tranh chấp và xử lý vỉ phạm, Điều khoản thì hành), và 54 điều mang tính chất luật khung, nguyên tắc đối với các vấn đề kỹ thuật của giao dịch trên môi trường điện tử Để triển khai thi hành Luật GDĐT ngay khi có hiệu lực pháp lý, Chính phủ, các cơ quan, tổ chức đã khẩn trương tiến hành công tác tổ chức, triển khai nhằm đưa Luật vào cuộc sống Nhằm hướng dẫn thi hành Luật GDĐT 2005, Chính phủ và các bộ, ngành đã ban hành 113 văn bản hướng dẫn thi hành Luật, bao gồm: 27 Nghị định” và 57 Thông tư và 29 Quyết định các cấp hướng dẫn thi hành Luật GDĐT 2005””' Năm 2023, Quốc Hội Việt Nam thông qua Luật Giao dịch điện tử sửa đổi năm 2023 và Luật Bảo vệ quyền lợi người tiêu dùng năm 2023, hai văn bản này sẽ bắt đầu có hiệu lực từ ngày 01 thang 07 năm

2024 Nội dung văn bản pháp luật này đã có các quy định về: Định danh chủ thê chịu trách nhiệm; quy định biện pháp bảo đảm an toàn thông tin; quy định chế tài áp dụng đối với hành vi xâm phạm an toàn thông tin; quy dịnh về trách nhiệm phối hợp giữa các bên chủ thể có liên quan đến quá trình xác lập, thực hiện giao dịch điện tử, cụ thể:

thông tin trong giao dịch điện tử

Thứ nhất, quy định về nghĩa vụ tôn trọng thông tin giao dịch điện tử trong Hiến pháp năm 2013

Hiến pháp năm 2013 quy định về quyền bảo vệ thông tin cá nhân nói riêng và

ˆ, Hiến pháp năm 2013 đã mở rộng chủ quyền riêng tư là quyền công dân Việt Nam

thể của quyền bảo vệ thông tin cá nhân là “mọi người” mà không chỉ giới hạn là công dân Việt Nam như các bản Hiến pháp trước đây Như vậy, quy định về bảo vệ thông tin cá nhân sẽ bao gồm cả thông tin của những người không phải là công dân Việt Nam nhưng có hoạt động trên lãnh thổ Việt Nam trong đó có hoạt động xác lập, thực hiện, chấm dứt giao dịch điện tử Theo Điều 21, Hiến pháp năm 2013 quy định: Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ đanh dự, uy tín của mình Thông tin về đời sóng riêng tư, bí mật

cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác

Thứ hai, quy định về chủ thể đảm bảo an toàn thông tin trong giao dịch điện tử tại các văn bản luật quy định về an toàn, an ninh mạng, an toàn thông tin mạng nói chung Bên cạnh việc quy định quyền, nghĩa vụ, trách nhiệm của chủ thể quản lý, cập nhật thông tin trong giao dịch điện tử, một số luật có quy định về nghĩa vụ của chủ thé thông tin, dữ liệu, cụ thể: Luật công nghệ thông tin năm 2006 quy dinh: “16 chitc, cá nhân không được trích dẫn nội dung thông tin số của tổ chức, cá nhân khác trong trường hợp chủ sở hữu thông tin số đã có cảnh báo hoặc pháp luật quy định việc trích dẫn thông tin là không được phép” (khoản 4, Điều 15); Luật an toàn thông tin mạng năm 2015 quy định: Luật an toàn thông tin mạng năm 2015 quy định: 7ổ chức, cá nhân không được xâm phạm an toàn thông tin mạng của tổ chức, cá nhân khác (Điều 4) Quy định này nghiêm cấm hành vi xâm phạm an toàn thông tin của các chủ thể trong đó có cả hoạt động xâm phạm an toàn thông tin giao dịch điện tử Cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp

#2 Xem các quy định tại Điều 11 Hiến pháp năm 1946, Điều 71 và Điều 73 Hiến pháp năm 1992

chức, cá nhân tham gia hoạt động an toàn thông tin mạng có trách nhiệm phối hợp với cơ quan nhà nước có thâm quyền và tô chức, cá nhân khác trong việc bảo đảm an toàn thông tin mạng; Cơ quan, tổ chức, cá nhân sử dụng dịch vụ trên mạng có trách nhiệm thông báo kịp thời cho doanh nghiệp cung cấp dịch vụ hoặc bộ phận chuyên trách ứng cứu sự cố khi phát hiện các hành vi phá hoại hoặc sự cố an toàn thông tin mạng (Điều 15) Luật Bảo vệ quyền lợi người tiêu dùng năm 2010, đặc biệt là Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 quy định về bảo vệ thông tin của người tiêu dùng tại Điều 15, theo đó mọi chủ thể kinh doanh tự mình hoặc uỷ quyền hoặc thuê bên thứ ba xử lý thông tin của người tiêu dùng thì phải đảm bảo an toàn thông tin của người tiêu dùng

Thứ ba, quy định trong Luật Giao dịch điện tử năm 2005 và trong Luật Giao dịch

điện tử sửa đổi năm 2023

Luật giao dịch điện tử năm 2005 quy định: Cơ quan, t6 chức, cá nhân không được sử dụng, cung cấp hoặc tiết lộ thong tin về bí mật đời tư hoặc thông tin của cơ quan, tổ chức, cá nhân khác mà mình tiếp cận hoặc kiểm soát được trong giao dịch điện tử nếu không được sự đồng ý của họ, trừ trường hợp pháp luật có quy định khác (Điều 46) Khoản I Điều 5 Luật Giao dịch điện tử năm 2023 quy định: “ Cơ quan, tổ chức, cá nhân phải tuân thủ quy định của pháp luật về giao dịch điện tử, pháp luật về

an toàn thông tin mạng, pháp luật về an ninh mạng và quy định khác của pháp luật có liên quan khi thực hiện giao dịch điện tử”

Nhìn chung, theo quy định của pháp luật Việt Nam, các chủ thể sau có trách nhiệm bảo đảm an toàn thông tin trong giao dịch điện tử:

Một là, chủ thể tham gia giao dịch điện tử phải bảo đảm an toàn thông tin giao dịch điện tử mà mình tham gia (thông thường có thể là người khởi tạo và người nhận thông điệp đữ liệu)

Chương 6 Luật Giao dịch điện tử năm 2005 quy định về an ninh, an toàn, bảo vệ, bảo mật trong giao dịch điện tử Theo đó các chủ thể có quyền lựa chọn các biện pháp bảo đảm an nỉnh, an toàn phù hợp với quy định pháp luật khi và có quyền lựa chọn các

mạng, pháp luật về an ninh mạng và quy định khác của pháp luật có liên quan khi thực hiện giao dịch điện tử Quy định mới này cho thay Điều 5, Luật Giao dịch điện tử năm

2023 đã chỉ dẫn cụ thể các khung pháp ly đảm bảo an toàn thông tin mạng và an ninh mạng trong giao dịch điện tử mà các chủ thể phải tuân theo khi “thực hiện giao dịch điện tử” Quy định này của Luật Giao dịch điện tử năm 2023 cơ bản đã tương thích với quy định về nguyên tắc cơ bản được quy định tại điều 3, BLDS năm 2015 trong việc các bên tham gia giao dịch thiện chí, trung thực

Hai là, chủ thể cung cáp nên tang, hạ tầng cho giao dịch điện tử

Chủ thể cung cấp nền tảng, hạ tầng cho giao dịch điện tử là chủ thê có hoạt động tiến hành xử lý thông tin giao dịch điện tử, cụ thể là thông tin người tiêu dùng Do đó, chủ thể này cũng có trách nhiệm phải đảm bảo an toàn thông tin người tiêu dùng, thông tin giao dịch điện tử (Điều 15, Luật Bảo vệ quyền lợi người tiêu dùng) Bên cạnh quy định của Luật Bảo vệ quyền lợi người tiêu dùng, các quy định của Luật An ninh mạng, Luật An toàn thông tin mạng cũng đã có quy định bắt buộc các bên chủ thể có liên quan đến giao dịch điện tử phải đảm bảo an toàn thông tin giao dịch điện tử

Luật Giao dịch điện tử năm 2023 quy định tách nhiệm của Chủ quản hệ thống thông tin có trách nhiệm phải đảm bảo an toàn thông tin Theo quy định của khoản 5, điều 3 Luật An toàn thông tin mạng năm 2015: “Chủ quản hệ thống thông tin là cơ quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thông thông tin " Điều 47 Luật Giao dịch điện tử năm 2023 quy định về trách nhiệm của chủ quản

hệ thống thông tin phục vụ giao dịch điện tử, theo đó “Chi quản hệ thống thông tin phục vụ giao dịch điện tử” có trách nhiệm: (1) Tuân thủ quy định pháp luật về an toàn thông tin mạng, an ninh mạng, bảo vệ thông tin cá nhân, bảo vệ dữ liệu cá nhân và quy định khác của pháp luật có liên quan; (2) Cung cấp thông tin bằng phương tiện điện tử theo quy định của pháp luật nhằm phục vụ công tác đo lường, thống kê, giám sát, thanh tra, kiểm tra, báo cáo theo yêu cầu của cơ quan quản lý nhà nước về giao dịch điện tử; chia sẻ dữ liệu phục vụ quản lý nhà nước về giao dịch điện tử; (3) Giám sát an toàn hệ thống thông tin phục vụ giao dịch điện tử của mình theo quy định của pháp luật về an toàn thông tin mạng

16% ngoài trách nhiệm của một chủ quản hệ thống thông tin phục vụ giao dịch điện

tử còn phải: (1) Công bố công khai, phổ biến cơ chế phản ánh vướng mắc và xứ |ý vướng mắc phát sinh trong giao dịch điện tủ; (2) Công bỗ công khai, phô biến cơ chế phản ánh và xử lý nội dung vi phạm pháp luật Việt Nam trên nền tảng số trung gian từ nguồn phản ánh được đánh giá là tin cậy; (3) Định kỳ hằng năm, báo cáo theo hướng dẫn của Bộ Thông tin và Truyền thông về vụ việc đã xảy ra hoặc vụ việc có dấu hiệu, nguy cơ lợi dụng hệ thống thông tin để thực hiện hành vi vỉ phạm pháp luật Việt Nam

Đối với “Chủ quản nên tảng số trung gian quy mô rất lớn phục vụ giao dịch điện tử” có trách nhiệm: (1) Công bố công khai nguyên tắc chung, thông số hoặc tiêu chí được sử dụng để đưa ra khuyến nghị hiển thị nội dung, hiển thị quảng cáo cho người

sử dụng và cho phép người sử dụng lựa chọn phương án không sử dụng khuyến nghị hiển thị nội dung, hiển thị quảng cáo dựa trên phân tích dữ liệu về người sử dụng; (2) Cho phép người sử dụng tháo gỡ cài đặt bất kỳ ứng dụng nào được cài đặt sẵn mà không ảnh hưởng đến các tính năng kỹ thuật cơ bản đề hệ thống vận hành bình thường; (3) Công bó công khai và phô biến bộ quy tắc ứng xử áp dụng đối với các bên liên quan tham gia sử dụng hệ thống;

Luật Giao dịch điện tử năm 2023 quy định Chính phủ sẽ có văn bản quy định chỉ tiết trách nhiệm của chủ quản nền tảng số trung gian phù hợp với quy mô, số lượng người sử dụng tại Việt Nam hoặc số lượng truy cập từ người sử dụng tại Việt Nam Tuy nhiên, Luật Giao dịch điện tử mới ra đời, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 cũng đang chờ có hiệu lực vào ngày 01 tháng 07 năm 2023 và cũng có quy

Â% « định hướng dẫn cụ thể về chủ thể vận hành “nền tảng số”, “nền tảng số trung gian”

Do đó, trong thời gian tới khi xây dựng Nghị định india dẫn thi hành cần làm rõ khái niệm nền tảng số, nền tảng số trung gian, nền tảng số lớn ”“để định danh chính xác chủ thể tham gia quản lý nền tảng và trách nhiệm pháp lý có liên quan

?? Theo khoản 17, điều 3 Luật Giao dịch điện tử năm 2023: “Người trưng gian là cơ quan, tổ chức, cá nhân đại

phục vụ giao dịch điện tử (chủ thể cung cấp dịch vụ chứng thực chữ lý số, chủ thể cung cap dich vu tin cậy )

“Người trung gian” là thuật ngữ chỉ những chủ thề đóng vai trò hỗ trợ trong cung cấp dịch vụ phục vụ giao dịch điện tử Luật GDĐT năm 2005 đã định nghĩa “người trung gian” nhưng chưa có quy định cụ thể về điều kiện, quyền và trách nhiệm của

2, Theo báo cáo của

“Người trung gian phục vụ giao dịch điện tử và các bên liên quan

Bộ thông tin và truyền thông, tại Việt Nam hiện nay nhiều ngành đang quản lý người trung gian như là các đơn vị cung cấp dịch vụ giao dịch điện tử trung gian Ví dụ như: Lĩnh vực bảo hiểm có I-VAN; tài chính có T-VAN, đại lý hải quan, chứng khoán Các tổ chức trung gian này được quy định hoạt động tại pháp luật chuyên ngành, cụ thể: Thông tư 19/2021/TT-BTC quy định điều kiện về chủ thể, tài chính, nhân sự, kỹ thuật dé doanh nghiệp cung cấp dịch vụ T-VAN đảm bảo chất lượng dịch vụ thuế điện

tử cung cấp cho người nộp thuế, đảm bảo các yêu cầu kết nối với với Cổng thông tin của Tổng cục Thuế và đảm bảo an toàn, bảo mật thông tin trên môi trường mạng Luật Đầu tư năm 2014 quy định về một số ngành nghề kinh doanh có điều kiện hoặc là các điều kiện cung cấp dịch vụ giữa cơ quan nhà nước với người dân, doanh nghiệp Mỗi lĩnh vực chuyên ngành có yêu cầu khác nhau về điều kiện hoạt động của tổ chức trung gian cung cấp dịch vụ liên quan đến giao dịch điện tử trong chuyên ngành đó Điều này dẫn tới việc quy định thiếu thống nhất trong điều kiện, quyền hạn và trách nhiệm của các tô chức trung gian Từ đó gây khó khăn trong bảo đảm tính thống nhất trong quản lý giao dịch an toàn, tin cậy và bảo vệ quyền và lợi ích hợp pháp của người sử dụng dịch vụ”, Luật Giao dịch điện tử năm 2023 được ban hành, quy định về điều

207

kiện kinh doanh dịch vụ tin cậy tại điều 29””, chủ thể cung cấp dịch vụ tin cậy có

#*% Xem khoản 9, điều 4, Luật Giao dịch điện tử năm 2005: *Người trưng gian là cơ quan, tổ chức, cá nhân đại điện cho cơ quan, tô chức, cá nhân khác thực hiện việc gửi, nhận hoặc lưu trữ một thông điệp đữ liệu hoặc cung điệp dữ liệu không phải là người khởi tạo thông điệp dữ liệu

? Bộ TTTT, tr.29

?” Điều 29 Điều kiện kinh doanh dịch vụ tin cậy

1 Điều kiện kinh doanh dịch vụ tin cậy bao gồm: -

a) Là doanh nghiệp được thành lập và hoạt động hợp pháp trên lãnh thô Việt Nam;

b) Đáp ứng điêu kiện tài chính, nhân lực quản lý và kỹ thuật phù hợp với từng loại dịch vụ tin cậy quy định tại khoản 1 Điều 2§ của Luật này;

e) Hệ thống thông tin cung cấp dich vụ tin cậy đáp ứng yêu cầu bảo đảm an toàn thông tin mạng tối thiểu cấp độ

3 theo quy định của pháp luật về an toàn thông tin mang;

đ) Có phương án kỳ thuật phục vụ hoạt động cung câp dịch vụ phù hợp với từng loại dịch vụ tin cậy quy định tại khoản 1 Điều 28 của Luật này;

cấp dịch vụ tin cậy đáp ứng yêu cầu bảo đảm an toàn thông tin mạng tối thiểu cấp độ

3 theo quy định của pháp luật về an toàn thông tin mạng” (Khoản 6, Điều 30, Luật Giao dịch điện tử năm 2023)

Nhìn chung, pháp luật Việt Nam đã có quy định về chủ thể thực hiện việc bảo đảm an toàn thông tin trong giao dịch điện tử nhưng tản mạn tại các văn bản pháp luật khác nhau với tên gọi khác nhau dẫn đến khó khăn trong việc áp dụng Ví dụ: Đối với việc bảo đảm an toàn thông tin của chủ thể tham gia giao dịch điện tử: Luật Giao dịch điện tử năm 2005 quy định chủ thể khởi tạo thông điệp dữ liệu điện tử và chủ thể tiếp nhận; Luật Bảo vệ quyền lợi người tiêu dùng quy định người tiêu dùng; Luật An toàn thông tin mạng quy định chủ thê sở hữu thông tin Đối với chủ thể cung cấp nền tảng như chủ thể quản lý sàn thường mại điện tử: Luật Giao dịch điện tử năm 2023 quy định chủ thể quản lý hệ thống thông tin; Nghị định số 13 quy định chủ thẻ xử lý dữ liệu, chủ thể kiểm soát và xử lý dữ liệu Sự phong phú trong việc đặt tên gọi có thể đến từ đối tượng điều chỉnh và phạm vi điều chỉnh của các văn bản khác nhau Tuy nhiên, thực tế này lại khiến cho hoạt động thực hiện pháp luật rất khó thực hiện do nội dung phức tạp và không phải cá nhân, tổ chức nào cũng có thê hiểu và định danh được các chủ thê có liên quan

Bên cạnh đó, Luật Giao dịch điện tử mới chỉ dừng lại ở việc quy định chủ thể tham gia “(hực hiện giao dịch điện tử” (Điều 1, 2, Luật Giao dịch điện tử năm 2023) mới phải có trách nhiệm bảo đảm an toàn thông tin trong giao dịch điện tử mà bỏ qua nhóm chủ thể tham gia xác lập/ giao kết giao dịch điện tử “người trung gian” Thực tế cho thấy chủ thẻ xác lập giao dịch điện tử có thể không đồng thời là chủ thẻ trực tiếp thực hiện giao dịch, ví dụ: uỷ quyền, giao dịch điện tử vì lợi ích của người thứ ba Luật Giao dịch điện tử năm 2023 cũng điều chỉnh nội dung liên quan đến giao kết hợp đồng điện tử Do đó, pháp luật Việt Nam trong thời gian tới cần cân nhắc mở rộng phạm vi chủ thể có nghĩa vụ bảo đảm an toàn thông tin trong giao dịch điện tử bao gồm cả chủ thể thực hiện giao dịch điện tử và các chủ thể khác có liên quan, bao gồm

và không loại trừ chủ thể tham gia xác lập giao dịch điện tử

dịch điện tử được đảm bảo an toàn

Thứ nhất, pháp luật Việt Nam chưa có quy định cụ thé về thông tin trong giao dịch điện tử

Bảo đảm an toàn thông tin trong giao dịch điện tử thực chất là đảm bảo an toàn đối với thông tin được thể hiện thông điệp điện tử và các thông tin khác có liên quan đến giao dịch điện tử Pháp luật Việt Nam chưa có quy định cụ thé vé thông tin trong giao dịch điện tử được bảo đảm an toàn Luật Giao dịch điện tử năm 2005, đặc biệt Luật Giao dịch điện tử năm 2023 mới chỉ có quy định về phương tiện điện tử, thông điệp dữ liệu, dữ liệu chủ, thông tin mạng, hệ thống thông tin phục vụ giao dịch điện tử, thông tin trong thông điệp dữ liệu (Điều 8), hệ thống thông tin phục vụ chuyển giao chứng thư điện tử (Điểm c, Khoản 1, Điều 20, Luật Giao dịch điện tử năm 2023); hệ thống thông tin phục vụ lưu trữ, xử lý chứng thư điện tử (Khoản 2, Điều 21, Luật Giao dịch điện tử năm 2023); thông tin cần thiết để chứng thực chữ ký số chuyên dùng (Điểm d, Khoản 2, Điều 24), “/hông tin định danh day du” chủ thê tham gia giao dịch (Điểm c, Khoản 1, Điều 26); hệ thống thông tin cung cấp dịch vụ tin cậy (Điểm c, Khoản 1, Điều 29); thông tin được chuyền giao qua kênh tiếp nhận thông tin và cung cấp dich vụ liên tục của tổ chức cung cấp dịch vụ tin cậy (Khoản 2, Điều 30), hệ thống thông tin tự động (Khoản 2, Điều 34), thông tin về dữ liệu chủ của cơ sở dữ liệu quốc gia (Điểm d, Khoản 3, Điều 40), nguồn thông tin được xây dựng và cập nhật vào cơ sở

dữ liệu quốc gia (Điểm d, Khoản 3, Điều 40), thông tin dùng chung của Bộ, ngành, địa phương (Điểm a, Khoản 4, Điều 40), thông tin đã được khai thác qua hình thức kết nói (Điều 42), thông tin liên quan đến bí mật nhà nước (Khoản 2, Điều 42) Luật An toàn thông tin mạng năm 2015 cũng không có quy định cụ thể về thông tin mạng mà chỉ có định nghĩa về an toàn thông tin mạng mà chỉ có quy định về phân loại thông tin cần được bảo đảm an toàn (Điều 9) Tuy nhiên Luật này quy định việc phân loại thông tin mạng do “cơ quan tô chức sở hữu thông tin phân loại theo thuộc tính bí mật để có biện pháp bảo vệ phù hợp” Đồng thời “Cơ quan, tổ chức sử dụng thong tin đã phân loại và chưa phân loại trong hoạt động thuộc lĩnh vực của mình phải có trách nhiệm xây dựng quy định, thủ tục để xử lý thông tin; xác định nội dung và phương pháp ghỉ truy nhập được phép vào thông tin đã được phân loại”

2018 mới có hoạt động phân loại bí mật nhà nước Luật Giao dịch điện tử mới chỉ có quy định chung chung về thông tin trong giao dịch điện tử và có các quy định cụ thể

về thông điệp dữ liệu Thực trạng này dẫn tới, hoạt động bảo đảm an toàn thông tin trong giao dịch điện tử không phân loại được mức độ, yêu cầu điều kiện đối với từng trường hợp bảo đảm an toàn thông tin giao dịch điện tử

Trong thời gian tới, Nghị định hướng dẫn Luật Giao dịch điện tử cần bỗ sung quy định hướng dẫn, phân loại thông tin trong giao dịch điện tử, phân loại hệ thống thông tin phục vụ giao dịch điện tử và các cấp độ an toàn hệ thống thông tin cho từng trường hợp, tương ứng với Điều 21, Luật An toàn thông tin mạng năm 2015 hoặc xây dựng điều khoản chuyển tiếp áp dụng điều luật này

Thứ hai, quy định về thông điệp đữ liệu trong giao dịch điện tử

Một là, dau hiệu nhận diện thông điệp dữ liệu: Theo quy định của khoàn 4, điều

3, Luật Giao dịch điện tử năm 2023, “/hông điệp đữ liệu” là “thông tin được tạo ra, được gửi, được nhận, được lưu trữ bằng phương tiện điện tử” Theo quy định của Điều 7, Luật Giao dịch điện tử năm 2023: “Thông điệp dữ liệu được thể hiện dưới hình thức văn bản điện tử, tài liệu điện tử, chứng thư điện tử, chứng từ điện tử, hợp dong điện tử, thu điện tứ, điện tín, điện báo, ƒax và hình thức trao đổi dữ liệu điện tử khác theo quy định của pháp luật ”

Hai là, quy định về hình thức thể hiện của thông điệp dữ liệu

Quy định này của Luật Giao dịch điện tử năm 2023 hoàn toàn phù hợp với quy định về hình thức của giao dịch đân sự tại điều 119, BLDS năm 2015; quy định về xác định chứng cứ được quy định tại khoản 3, điều 95 BLTTDS năm 2015; quy định về văn bản điều tử tại Nghị định số 30/2020/ ND — CP ngay 05 thang 03 nam 2020 quy định về công tác văn thư

Ba là, quy định về giá trị pháp lý của thông điệp

Quy định này của Luật Giao dịch điện tử năm 2023 được xây dựng phù hợp với Khoản 4, Điều 19, Luật Kế toán theo đó: Chứng từ điện tử phải có chữ ký điện tử Chữ

ký trên chứng từ điện tử có giá trị như chứng từ bằng giấy; Phù hợp với quy định tại điều 4, Nghị định số 45/2020/ NÐ — CP; Diéu 15 về nguyên tắc thừa nhận giá trị pháp

định tại Nghị định số 166/2016/ NÐ — CP quy định về giao dịch điện tử trong lĩnh vực bảo hiểm y tế và bảo hiểm thất nghiệp

Bốn là, quy định về khởi tạo, gửi, nhận thông điệp dữ liệu

Luật Giao dịch điện tử năm 2005 quy định về thời điểm, địa điểm gửi nhận thông điệp dữ liệu tại điều 17 Quy định này được được điều chỉnh theo hướng mới tại Luật Giao dịch điện tử năm 2023 cho phù hợp với quy định về thời điểm giao kết hợ đồng

và hiệu lực của hợp đồng tại các điều 400 và 401, BLDS năm 2015

Điều 13, Nghị định 85/2021/NĐ-CP ngày 25 tháng 9 năm 2021 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 52/2013/NĐ-CP ngày 16 tháng 5 năm

2013 của Chính phủ về thương mại điện tử, có hiệu lực kể từ ngày 01 tháng 01 năm 2022: “Hợp đồng được giao kết từ sự tương tác giữa một hệ thống thông tin tự động với một người hoặc giữa các hệ thong thông tin tự động với nhau không bị phủ nhận giá trị pháp lý chỉ vì không có sự kiểm tra hay can thiệp của con người vào từng hành động cụ thể do các hệ thống thông tỉn tự động thực hiện hay hợp đồng được giao kết ° Năm là, quy định về lưu trữ thông điệp dữ liệu

Pháp luật Việt Nam quy định về hình thức bảo quản, lưu trữ chứng từ điện tử tại điều 19 Nghị định sé 35/2007/ ND — CP theo dé chứng từ điện tử được bảo quản, lưu trữ bằng phương tiện điện tử Chủ thể có liên quan được quyền lựa chọn và áp dụng hình thức bảo quản, lưu trữ chứng từ điện tử phù hợp với đặc thù hoạt động và khả năng ứng dụng công nghệ của mình Nghị định só 30/2020/ NÐ - CP quy định về công tác văn thư quy định hồ sơ điện tử cần được lưu trữ trên hệ thống

Nhìn chung, pháp luật Việt Nam hiện hành chưa có quy định cụ thé thé nào là thông tin trong giao dịch điện tử nhưng lại có quy định về trách nhiệm bảo đảm an toàn thông tin Thực trạng này dẫn đến quá trình thực hiện pháp luật về bảo đảm an toàn thông tin trong giao dịch điện tử khó xác định đối tượng, phạm vi thực hiện việc bảo đảm an toàn thông tin Thực tế cho thấy những thông tin liên quan đến giao dịch điện tử nhưng không phải là thông điệp điện tử như: thông tin về bên vận chuyền tài sản, thông tin về bên thứ ba cung cấp dịch vụ trung gian thanh toán có được coi là thông tin trong giao dịch điện tử và các bên chủ thể có trách nhiệm phải đảm bảo an toàn không? Trong thời gian tới khi xây dựng Nghị định hướng dẫn Luật Giao dịch điện tử, Chính phủ Việt

được đảm bảo an toàn; phân loại và quy định các mức độ đảm bảo an toàn tương ứng với chức năng, vai trò của thông tin đối với giao dịch điện tử

2.2.4 Quy định pháp luật Việt Nam hiện hành về các biện pháp bảo đảm an toàn thông tin trong giao dịch điện tử

Thứ nhất, quy định pháp luật Việt Nam hiện hành về công nhận tiêu chuẩn, quy chuẩn đảm bảo an toàn thông tin trong giao dịch điện tử

Quy định của Luật GDĐT năm 2005 về công nhận tiêu chuẩn, quy chuẩn trong giao dịch điện tử được hướng dẫn trong nhiều văn bản hướng đã được ban hành tương ứng với từng lĩnh vực cục thể, ví dụ như: Trong lĩnh vực thông tin và truyền thông, Bộ TTTT đã ban hành Thông tư số 16/2019/TT-BTTTT ngày 05/12/2019 quy định Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo

mô hình ký số trên thiết bị di động và ký số từ xa; Thông tư số 39/2017/TT-BTTTT ngày 15/12/2017 ban hành Danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước; Thông tư số 06/2015/TT-BTTTT ngày 23/3/2018 quy định Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số Các văn bản này là cơ sở để triển khai ứng dụng chữ ký số, dịch vụ chứng thực chữ ký số tại các bộ, ngành và địa phương trong cả nước Ví dụ: Trong lĩnh vực ngân hàng, Ngân hàng Nhà nước Việt Nam ban hành các tiêu chuẩn cơ sở đối với phương tiện thanh toán, phương thức thanh toán không dùng tiền mặt Cụ thể là các tiêu chuẩn cơ sở: các yêu cầu kỹ thuật thẻ thanh toán nội địa công nghệ chip tiếp xúc

và không tiếp xúc tại Việt Nam; đặc tả kỹ thuật QR code hiền thị từ phí đơn vị chấp nhận thanh toán tại Việt Nam; quy chuẩn trao đổi dữ liệu IBPS; biểu mẫu, báo cáo điện tử được quy chuẩn theo từng nghiệp vụ bao cdo”

Thứ hai, quy định về giá trị pháp lý của chữ ký điện tử

Mặc dù Luật Giao dịch điện tử năm 2005 đã quy định về giá trị pháp lý của chữ

ký điện tử chưa thực sự phù hợp với thực tiễn, cụ thể: Khoản 1 Điều 24 Luật GDĐT năm 2005 quy định về giá trị pháp lý của chữ ký điện tử, khi chữ ký điện tử được sử dụng để ký TĐDL đó đáp ứng 2 điều kiện: (¡) Phương pháp tạo chữ ký điện tử cho phép xác mình được người ký và chứng tỏ được sự chấp thuận của người ký đối với

đó TĐDL được tạo ra và gửi đi Quy định tại Khoản 1 Điều 24 hiện nay chỉ phù hợp với chữ ký số: “Phương pháp tạo chữ ký điện tử cho phép xác mình được người ký và chứng tỏ được sự chấp thuận của người ký đối với nội dung TĐDL ” Mặt khác, pháp luật không quy định thé nào là “phương pháp đủ tin cậy và phù hợp với mục đích mà theo đó TDDL được tạo ra và gửi ẩi ”

Bên cạnh đó, Luật giao dịch điện tử năm 2005 cũng đã có quy định và công nhận giá trị pháp lý của chữ ký điện tử khác ngoài chữ ký số: Khoản 1 Điều 21 Luật GDĐT năm 2005 quy định: “Chữ ký điện tử được tạo lập dưới dạng từ, chữ, SỐ, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gan liền hoặc kết hợp một cách lô gíc với thông điệp đữ liệu, có khả năng xác nhận người ký TDDL và xác nhận

sự chấp thuận của người đó đối với nội dung TĐDL được ký” Như vậy, chữ ký điện

tử có thể có nhiều hình thức như chữ ký số, nhận dạng chữ viết tay, nhận dạng sinh trắc hoc (van tay, mong mắt, khuôn mặt, v.v ), nhận dạng giọng nói, v.v Khoản 3 Điều

24 Luật GDĐT năm 2005 quy định “Chính phú quy định cụ thể việc quản lý và sử dụng chữ ký điện tử của cơ quan, tổ chức” Tuy nhiên, cho đến thời điểm này, Chính phủ mới chỉ ban hành các quy định về chữ ký số tại Nghị định số 130/2018/NĐ-CP ngày 27/9/2018 quy định chỉ tiết thi hành Luật GDĐT về chữ ký số và dịch vụ chứng thực chữ ký số chưa ban hành quy định cho các loại chữ ký điện tử khác Theo Báo cáo Tổng kết thi hành Luật GDĐT năm 2005 của Bộ Thông tin và truyền thông của một số đơn vị, chỉ phí cho các giải pháp chữ ký số khá cao đối với nhu cầu sử dụng của khách hàng cá nhân và là một khoản đầu tư lớn đối với các cơ quan, tổ chức Vì vậy, việc triển khai chữ ký số hiện nay còn hạn chế Việc áp dụng các hình thức xác thực khác (sinh ¿rắc học, token, OTP, v.v.) khá phô biến nhưng thiếu căn cứ pháp lý, giá trị pháp lý khi xảy ra tranh chấp Khoảng trồng trong quy định về chữ ký điện tử gây nên sự hiểu lầm, coi chữ ký điện tử chính là chữ ký số; dẫn đến các văn bản quy định, hướng dẫn về áp dụng chữ ký điện tử, chữ ký số sử dụng không đúng khái niệm; hiểu lầm chỉ có chữ ký số có đủ giá trị pháp lý, dẫn đến hạn chế sự phát triển của GDĐT

Về kinh nghiệm quốc tế, năm 2014, Nghị viện châu Âu và Hội đồng Liên minh châu Âu đã thông qua Quy định về định danh điện tử và dịch vụ tin cậy cho giao dịch điện tử trong thị trường nội khối (eIDAs).Theo đó e[DAs quy định chữ ký điện tử có 3 cấp độ:

hàng có thể quét (scan) chữ ký tay của mình lên văn bản hoặc tích chọn vào ô xác nhận đồng ý Tuy nhiên chữ ký điện tử cấp độ này không chứng minh được TĐDL sau khi

ký có bị thay đồi, chỉnh sửa hay không và không xác minh được định danh người ký

Để có thể sử dụng loại chữ ký này trong ký kết giao dịch dân sự, công ty cung cấp dịch

vụ cần kết hợp thêm nhiều thông tin nữa như thiết bị di động, OTP của khách hàng trong thời điểm ký

Hai là, cấp độ cao cấp (Advanced): là chữ ký điện tử duy nhất gắn liền với người

ký tại thời điểm ký, có khả năng định danh người ký và phát hiện được các thay đổi đối với TĐDL sau khi ký Chữ ký điện tử loại này là chữ ký số

Ba là, cấp độ đảm bảo (Qualifìed): là chữ ký điện tử đảm bảo (chữ ký só) được chứng thực bởi tổ chức được cấp phép đủ điều kiện chứng thực

Do vậy, Luật GDĐT năm 2023 đã được ban hành theo hướng được kế thừa, sửa đổi quy định cụ thê, rõ ràng hơn trong các cấp độ chữ ký điện tử, giá trị pháp lý theo từng cấp độ và các trường hợp sử dụng để chữ ký điện tử có tính ứng dụng cao, phù hợp với nhu cầu đa dạng của các GDĐT””

Thứ ba, quy định vé dich vu tin cdy va nha cung cap địch vụ tin cậy Dịch vụ tin cậy đóng vai trò quan trọng trong việc bảo đảm niềm tin của các cơ quan, tổ chức đối với GDĐT Luật GDĐT năm 2005 quy định về dịch vụ chứng thực chữ ký điện tử là ngành, nghề kinh doanh có điều kiện, hiện tồn tại một số vướng mắc trong công tác triển khai, quản lý rất cần sửa đổi, bổ sung Hơn nữa, ngoài chữ ký điện

tử cần nghiên cứu, bố sung các loại hình dịch vụ tin cậy mới (cáp đấu thời gian - time stamps) va dich vụ xác thực thông điệp dữ liệu để đáp ứng nhu cầu ứng dụng GDĐT trong thực tiễn, phù hợp xu thé phat trién

Về kinh nghiệm Châu Âu, eIDAS?'” cho phép công dân, doanh nghiệp và chính quyền sử dụng các dịch vụ định danh và tin cậy điện tử để truy cập dịch vụ trực tuyến hoặc quản lý GDĐT Dịch vụ tin cậy bao gồm: “(1) tao lap, xác minh và xác nhận chữ

ký điện tử, con dấu điện tử hoặc tem thời gian điện tử, dịch vụ giao hàng bảo đảm điện

tử và chứng chỉ liên quan đến các dịch vụ đó hoặc (2) việc tạo lập, xác minh và xác

hoặc chứng chỉ liên quan đến các dịch vụ đó” Dịch vụ tỉn cậy đạt tiêu chuẩn (qualified trust services) là dịch vụ tin cậy đáp ứng yêu cầu quy định trong eIDAs”” Thứ ba, quy định về hệ thong thông tin phục vụ giao dịch điện tử

Quy định về hệ thống thông tin và các công cụ bảo vệ hệ thống thông tin của Luật

An toàn thông tin mạng năm 2015 và các văn bản hướng dẫn có liên quan Bên cạnh đó, trước khi Luật Giao dịch điện tử năm 2023 được ban hành, Luật An toàn thông tin mạng cũng đã có quy định về hệ thống thông tin, theo đó: Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đồi thông tin trên mạng Đề bảo vệ hệ thống thông tin, Luật An toàn thông tin mạng đã phân loại cấp độ an toàn hệ thống thông tin dựa vào việc xác định cấp độ an toàn thông tin của hệ thống theoc ấp độ tăng dan tir 1 đến 5 đề áp dụng các biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ (điều 21); quy định về trách nhiệm của chủ quản hệ thống thông tin bao gồm: nhiệm vụ bảo vệ hệ thống thông tin (Điều 22); biện pháp bảo vệ hệ thống thông tin (điều 23); giám sát an toàn hệ thống thông tin (Điều 24)

Luật Giao dịch điện tử năm 2023 quy định về hệ thống thông tin phục vụ giao dịch điện tử tại chương VI trong đó:

Một là, về hệ thống thông tin phục vụ giao dịch điện tử

Điều 45 Luật Giao dịch điện tử năm 2023 quy định Hệ thống thông tin phục vụ giao dịch điện tử là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập với chức năng, tính năng chính để phục vụ giao dịch điện tử, bảo đảm xác thực, tin cậy trong giao dịch điện tử Hệ thống thông tin phục vụ giao dịch điện tử được phân loại theo chủ quản hệ thông thông tin; chức năng, tinh năng của hệ thông thông tin phục vụ giao dịch điện tử; quy mô, số lượng người sử dụng tại Việt Nam hoặc số lượng truy cập hằng tháng từ người sử dụng tại Việt Nam

Hệ thống thông tin phục vụ giao dịch điện tử được phân loại theo chủ quản hệ thống thông tin, chức năng, tính năng bao gồm:

(3)Nền tảng số phục vụ giao dịch điện tử là hệ thống thông tin tạo môi trường điện tử cho phép các bên thực hiện giao dịch hoặc cung cấp, sử dụng sản phẩm, dịch

vụ hoặc sử dụng để phát triển sản phẩm, dich vu

2! B6 Thông tin truyền thông, tldd, tr.36

nền tảng số độc lập với các bên thực hiện giao dịch

Tuy nhiên, Luật Giao dịch điện tử năm 2023 mới được ban hành chưa có văn bản hướng dẫn cụ thể quy định về hệ thống thông tin phục vụ giao dịch điện tử Do đó, chưa có quy định cụ thể về việc khai thác hệ thống thông tin này Điều 47 Luật Giao dịch điện tử quy định về trách nhiệm của chủ quản hệ thống thông tin phục vụ giao dịch điện tử, chủ quản nền tảng số trung gian quy mô lớn và quy mô rất lớn phục vụ giao dịch điện tử trong việc bảo đảm an toàn thông tin mạng; cung cấp thông tin phục

vụ công tác kiểm tra, giám sát an toàn hệ thống

Thứ tư, quy định về tài khoản giao dịch điện tử

Pháp luật Việt Nam hiện hành đã có quy định về định danh điện tử trong Nghị định số 59/2022/ NÐ - CP ngày 05 thang 09 năm 2022 quy định về định danh và xác định điện tử Trong đó quy định về danh tính điện tử: thông tin của một cá nhân hoặc một tổ chức trong hệ thống định danh và xác thực điện tử cho phép xác định duy nhất

cá nhân hoặc tổ chức đó trên môi trường điện tử và “chủ thể danh tính điện tử” là tổ chức, cá nhân được xác định gắn với danh tính điện tử Theo quy định tại khoản 4, điều 3, Nghị định này Cơ quan quản lý định danh và xác thực điện tử - quản lý hoạt động đăng ký, đối soát, tạp lâ[j và gắn danh tính điện tử với chủ thể danh tính điện tử là: Cục Cảnh sát quản lý và trật tự xã hội Bộ Công an Hệ thống định danh và xác thực điện tử là hệ thống thông thông tin do Bộ Công an xây dựng, quản lý đề thực hiện đăng ký, tạo lập, quản lý tài khoản định danh điện tử và thực hiện xác thực điện tử

“Tài khoản định danh điện tử” là tập hợp gồm tên đăng nhập, mật khâu hoặc hình thức xác thực khác được tạo lập bởi cơ quan quản lý định danh và xác thực điện tử”, Luật Giao dịch điện tử năm 2023 quy định về “Tài khoản giao dịch điện tử” tại

Điều 46, theo đó:

Một là, chủ thể cấp và quản lý, sử dụng tài khoản giao dịch điện tử: Tài khoản giao dịch điện tử do chủ quản hệ thống thông tin phục vụ giao dịch điện tử cấp và được quản lý, sử dụng theo quy định của Luật Giao dịch điện tử năm 2023

được sử dụng để thực hiện giao dịch điện tử, nhằm lưu trữ lịch sử giao dịch và bảo đảm chính xác trình tự giao dịch của chủ tài khoản, có giá trị chứng minh lịch sử giao dịch của các bên tham gia Theo đó: Lịch sử giao dịch của tài khoản giao dịch điện tử có giá trị pháp lý để chứng minh giao dịch khi đáp ứng đủ các yêu cầu sau đây: (¡) Hệ thống thông tin phục vụ giao dịch điện tử phải bảo đảm an toàn theo quy định của pháp luật về

an toàn thông tin mang; (ii) Gan duy nhất với một cơ quan, tỗ chức hoặc cá nhân là chủ tài khoản giao dịch điện tử: (ii) Bảo đảm chính xác thời gian giao dịch từ nguồn thời gian theo quy định của pháp luật về nguồn thời gian chuẩn quốc gia

Ba là, tính bắt buộc của việc sử dụng tài khoản giao dịch điện tử: Cơ quan, tổ chức, cá nhân có quyền lựa chọn sử dụng tài khoản giao dịch điện tử phù hợp với nhu cầu, trừ trường hợp pháp luật có quy định khác

Bên cạnh đó, Điều 29, Luật Doanh nghiệp năm 2020 cũng đã có quy định về mã

số doanh nghiệp, theo đó: Mã số doanh nghiệp là dãy số duge tao boi “Hé thống thông tin quốc gia về đăng ký doanh nghiệp”, được cấp cho doanh nghiệp khi thành lập và được ghi trên Giấy chứng nhận đăng ký doanh nghiệp Mỗi doanh nghiệp có một mã

số duy nhất và không được sử dụng lại để cấp cho doanh nghiệp khác Mã số doanh nghiệp được dùng đề thực hiện nghĩa vụ về thuế, thủ tục hành chính và quyền, nghĩa

vụ khác Luật An ninh mạng năm 2018 quy định về tài khoan sé: “/a thong tin ding để chứng thực, xác thực, phân quyền sử dụng các ứng dụng, dich vụ trên không gian mạng” (Khoản 11, Điều 2),

2.2.5 Quy định pháp luật Việt Nam hiện hành về chế tài áp dụng cho các hành vì xâm phạm an toàn thông tỉn trong giao dịch điện tử

Thứ: nhất, quy định về chế tài hành chính áp dụng đối với chủ thể vi phạm pháp luật về bảo đảm an toàn thông tin trong giao dịch điện tử

Một là, chế tài hành chính áp dụng với các chủ thể của giao dịch điện tử Pháp luật Việt Nam đã có một số quy định liên quan tới vi phạm pháp luật về bảo đảm an toàn thông tin trong giao dịch điện tử được xác lập với từng lĩnh vực, ví dụ: Đối với giao dịch điện tử được xác lập trong lĩnh vực thương mại: về bảo vệ thông tin

?3 Link văn ban: _https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Luat-an-ninh-mang-2018- 351416.aspx

tiêu dùng mà không được sự đồng ý trước của chủ thể thông tin; thiết lập cơ chế mặc định buộc người tiêu dùng phải đồng ý với việc thông tin cá nhân của mình bị chia sẻ, tiết lộ hoặc sử dụng cho mục đích quảng cáo và các mục đích thương mại khác; sử dụng thông tin cá nhân của người tiêu dùng không đúng với mục đích và phạm vi đã thông báo thì Nghị định số 98/2020/NĐ-CP quy định phạt tiền từ 01 triệu đồng đến

30 triệu đồng đối với cá nhân, từ 02 triệu đồng đến 60 triệu đồng đối với tô chức Ngoài bị áp dụng hình thức phạt tiền, tùy vào hành vi vi phạm mà tổ chức, cá nhân vi phạm còn có thể bị áp dụng các hình thức xử phạt bổ sung và biện pháp khắc phục hậu quả theo quy định Hay: đối với giao dịch điện tử được xác lập trong lĩnh vực tài chính

— ngân hàng: Vi phạm hành chính về bảo mật thông tin khách hàng trong hoạt động ngân hàng được cụ thê hóa tại Nghị định số 88/2019/NĐ-CP Nghị định này đã quy định thâm quyền xử phạt cho từng chức danh từ Điều 53 đến Điều 56 Theo quy định của pháp luật hiện hành, hành vi vi phạm nghĩa vụ bảo mật thông tin khách hàng của

tổ chức tín dụng có thể dẫn đến những thiệt hại ở những mức độ khác nhau cho khách hàng Đối với các hành vi vi phạm nghĩa vụ bảo mật thông tin khách hàng mà chưa đến mức phải truy cứu trách nhiệm hình sự, hiện nay được quy định tại Nghị định số 88/2019/NĐ-CP Ví dụ: Tùy thuộc vào tính chất, mức độ vi phạm, người vi phạm sẽ bị phạt tiền từ 30.000.000 đồng đến 100.000.000 đồng đối với hành vi lấy cắp, thông đồng để lấy cắp thông tin thẻ của khách hàng Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với hành vi cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài không đúng quy định của pháp luật; làm lộ, sử dụng thông tin khách hàng của tổ chức tín dụng, chỉ nhánh ngân hàng nước ngoài không đúng mục đích theo quy định của pháp luật Nghị định số 98/2020/NĐ-CP ngày 26/8/2020 của Chính phủ về quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyên lợi người tiêu dùng (với quan điểm chủ thê tham gia giao dịch điện tử có thé xem là người tiêu dùng trong lĩnh vực điện tử) thì tại Điều 46 quy định hành vi vi phạm về bảo vệ thông tin của người tiêu dùng sẽ bị phạt tiền từ 10.000.000 đến 20.000.000 đồng.?'

Bên cạnh các quy định xử phạt vi phạm hành chính với chính các bên chủ thể tham gia giao dịch điện tử, pháp luật Việt Nam cũng đã có quy định áp dụng với các chủ thê khác không tham gia giao dịch điện tử nhưng có hành vi xâm phạm an toàn thông tin giao dịch điện tử trái pháp luật Ví dụ: Nghị định 15/2020/NĐ-CP về xử phạt hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử có nhiều quy định về hành vi vi phạm và chế tài xử phạt Theo đó, có các quy định cụ thê có liên quan trực tiếp như Điều 84 (Vi phạm quy định

về thụ thập, sử dụng thông tin cá nhân), Điều 85 (Vi phạm quy định về cập nhật, sửa đổi, huỷ bỏ thông tin cá nhân), Điều 86 (Vi pham quy dinh về bảo đảm an toàn thông tin cá nhân trên mạng) và Điều §7 (Vi phạm quy định về biện pháp giám sát an toàn, bảo vệ hệ thống thông tin) Các chế tài có thể được áp dụng bao gồm phạt tiền từ 10 triệu đồng đến 70 triệu đồng và khắc phục hậu quả Điều 53 Nghị định 15/2020/NĐ-

CP, cu thé mic phat vi phạm lên tới 500.000.000 đồng đối với cá nhân chủ thể vi phạm quy định về chất lượng mạng và dịch vụ viễn thông

Thứ: hai, quy định về chế tài hình sự áp dụng đối với chủ thể vi phạm pháp luật

về bảo đảm an toàn thông tin trong giao dịch điện tử

Một là, đối với chủ thể tham gia giao dịch điện tử

Về hình sự, Bộ Luật hình sự năm 2015 sửa đổi bổ sung năm 2017 quy định tội danh “Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác” với mức án phạt tiền hoặc phạt tù cao nhất tới 5 năm Đặc biệt, Bộ Luật tố tụng hình sự 2015 (Điều 12) còn quy định rằng: “Không ai được xâm phạm trái pháp luật chỗ ở, đời sống riêng tư, bí mật cá nhân, bí mật gia đình, an toàn và bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác của cá nhân Việc khám xét chỗ 6; khám xét, tạm giữ

và thu giữ thư tín, điện thoại, điện tín, dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác phải được thực hiện theo quy định của Bộ luật này ”

Hai là, đối với các chủ thể không tham gia giao dịch

Như đã đề cập các chủ thể này có thể là chủ thể ngoài tầm ảnh hưởng của giao dịch, nếu xâm phạm và có hành vi vi phạm pháp luật về bảo mật giao dịch điện tử có

hanh-chinh-trong-b: t-thong-tin-khach-hang-hi y-va-h hoan-thien.htm, ngày truy cap: 15-03-2022

dụng máy tính, thiết bị số, mạng máy tính, mạng viễn thông gây tốn hại tính bảo mật, tính toàn vẹn và tính khả dụng của hệ thống máy tính là nhóm tội phạm sử dụng công nghệ cao thuần tuý xâm phạm trật tự an toàn thông tin, các tội phạm sử dụng công nghệ cao thuộc loại này bao gồm: Tội sản xuất, mua bán, trao đổi hoặc tặng cho công

cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật (Điều 285); tội phát tán chương trình tin học gây hại cho hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử; (Điều 286); tội cản trở hoặc gây rồi loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử (Điều 287); tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác (Điều 289) Tội phạm sử dụng máy tính, thiết bị số, mạng máy tính, mạng viễn thông làm công cụ, phương tiện phạm tội gồm các tội phạm “truyền thống” nhưng được thực hiện với thủ đoạn mới, tức sử dụng công nghệ thông tin để thực hiện tội phạm

Thứ: ba, quy định về chế tài dân sự áp dụng đối với chủ thể vỉ phạm pháp luật

về bảo đảm an toàn thông tin trong giao dịch điện tử

Một là, chế tài áp dụng với chủ thể vi phạm là chủ thể tham gia giao dịch điện tử Trách nhiệm dân sự chỉ đặt ra khi bên có nghĩa vụ vi phạm nghĩa vụ Cụ thể ở đây, việc các bên không thực hiện đúng nghĩa vụ về bảo mật thông tin chủ thể tham gia, thời gian, địa điểm thực hiện nghĩa vụ, đối tượng, phương thức, nội dung của giao dịch điện tử đều bị coi là vi phạm nghĩa vụ và phải chịu trách nhiệm dân sự Trách nhiệm dân sự có thể là trách nhiệm tiếp tục phải thực hiện nghĩa vụ hoặc trách nhiệm bồi thường thiệt hại Đó là các chế tài phạt hợp đồng (nếu có thoả thuận giữa chủ thê tham gia và bên thu thập, xử lý thông điệp dữ liệu hoặc giữa các bên chủ thể tham gia với nhau) và bồi thường thiệt hại (trong trường hợp có hoặc không có hợp đồng, thoả thuận giữa hai bên) Pháp luật quy định tại các Điều luật từ 351 đến 360 của Bộ Luật Dân sự năm 2015

Thỏa thuận phạt vi phạm trong hợp đồng là một trong những điều khoản rất thông dụng trong không chỉ các hợp đồng thương mại mà còn trong các giao dịch dân sự, đặc biệt còn là điều khoản đặc biệt quan trọng đối với một số hợp đồng mà có tính chất khó chứng minh thiệt hại thực tế và trực tiếp như hợp đồng điện tử cũng như các giao dịch

nhiệm bồi thường thiệt hại, phạt vi phạm hợp đồng không chỉ có tính chất là biện pháp khắc phục hậu quả thông thường mà còn là một chế tài răn đe, nhắc nhở nhằm đảm bảo các bên phải thực hiện đúng nghĩa vụ đã cam kết trong giao dịch điện tử

Hai là, chế tài áp dụng đối với chủ thể không tham gia giao dịch điện tử Đối với loại chủ thể này, chế tài dân sự điều chỉnh sẽ giống với chủ thề tham gia vào giao dịch điện tử liên quan tới các hợp đồng viễn thông hoặc hoặc hợp đồng cung cấp mạng với nhà cung ứng viễn thông

Như vậy, có thê thấy quy định về các chế tài trong dân sự, hành chính, hình sự đã

có các quy định liên quan tới vấn đề bảo mật giao dịch điện tử cụ thê là thông tin của chủ thể tham gia, đối tượng, thanh toán, Phạm vi điều chỉnh của các chế tài rộng rãi trong các lĩnh vực trong đời sống như thương mại, tài chính, ngân hàng, Tuy nhiên,

hệ thống pháp luật hiện nay chưa quy định cụ thê về các giai đoạn và chế tài các chủ thê khác nhau trong mối quan hệ bảo mật giao dịch điện tử, mức xử lý vi phạm hành chính

về hành vi cung cấp, tiết lộ thông tin liên quan giao dịch điện tử còn chồng chéo, chưa thống nhất giữa các văn bản quy phạm pháp luật có liên quan Các văn bản pháp luật liên quan còn thiếu những quy định cụ thể về hành vi vi phạm nghĩa vụ bảo mật giao dịch điện tử cũng như chế tài xử lý Điều này đã khiến cho việc xử lý các hành vi vi phạm pháp luật về bảo mật còn nhiều khó khăn Mức xử phạt đối với các hành vi vi phạm nghĩa vụ bảo mật trong hoạt động ngân hàng, thương mại, còn nhẹ so với thông

lệ của nhiều quốc gia trên thế giới và cũng chưa đáp ứng được yêu cầu đấu tranh phòng, chống vi phạm pháp luật trong các lĩnh vực trong đời sống (thường là các vi phạm rất khó phát hiện, xử lý) Việc phân cấp thẩm quyền xử phạt đối với các vi phạm về bảo mật giao dịch điện tử cũng chưa được hướng dẫn rõ ràng, cụ thé Pháp luật Việt Nam cũng chưa có quy định cụ thể về trách nhiệm bồi thường thiệt hại của chủ thể quản lý hệ thống, chủ thể trung gian trong việc đề mắt an toàn thông tin giao dịch điện tử 2.2.6 Ouy định pháp luật Việt Nam hiện hành về trách nhiệm phối hợp đảm bảo an toàn thông tin trong giao dịch điện tử của các chủ thể có liên quan Pháp luật Việt Nam hiện hành bước đầu đã có quy định về các chủ thể có liên quan, quy trình phối hợp xử lý nhằm đảm bảo an toàn thông tin hoặc ngăn chặn, hạn chế khắc phục thiệt hại khi thông tin trong giao dịch điện tử bị xâm phạm Theo quy định của Điều 15, Luật An toàn thông tin mạng:

tin mạng có trách nhiệm phối hợp với cơ quan nhà nước có thâm quyền và tổ chức, cá nhân khác trong việc bảo đảm an toàn thông tin mạng

Đối với chủ thể sử đựng dịch vụ trên mạng có trách nhiệm thông báo kịp thời cho doanh nghiệp cung cấp dịch vụ hoặc bộ phận chuyên trách ứng cứu sự cố khi phát hiện các hành vi phá hoại hoặc sự cố an toàn thông tin mạng

Hiện nay, pháp luật Việt Nam đang có rất nhiều quy định liên quan đến cơ quan nhà nước chuyên trách thực hiện nhiệm vụ bảo vệ thông tin mạng, an ninh mạng, bảo

vệ dữ liệu cá nhân, bảo vệ quyền lợi người tiêu dùng Cụ thể:

Cơ quan nhà nước chuyên trách bảo vệ an toàn thông tin mạng: Trong bối cảnh chuyển đổi số mạnh mẽ hiện nay, an toàn thông tin mạng trở thành một vấn đề quan trọng, không chỉ ảnh hưởng đến các tổ chức, doanh nghiệp mà còn tác động lớn đến an ninh quốc gia và quyền lợi cá nhân Đề đối phó với các mối đe dọa về an ninh mạng ngày càng phức tạp, pháp luật Việt Nam đã đề ra các quy định cụ thể về trách nhiệm của các cơ quan bảo vệ an toàn thông tin mạng, bao gồm Bộ Thông tin và Truyền thông, Bộ Công an, và các cơ quan khác có liên quan Luật An toàn thông tin mạng năm 2015 tại Điều 5 quy định về trách nhiệm của cơ quan nhà nước trong việc bảo đảm an toàn thông tin mạng Theo đó, Nhà nước bồ trí kinh phí để bảo đảm an toàn thông tin mạng của cơ quan nhà nước và an toàn thông tin mạng cho hệ thống thông tin quan trong quốc gia Bên cạnh đó, Bộ Thông tin và Truyền thông chịu trách nhiệm quản lý nhà nước về an toàn thông tin mạng, bao gồm việc xây dựng và ban hành các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng, tổ chức giám sát, phát hiện

và xử lý các hành vi vi phạm pháp luật về an toàn thông tin mạng, Điều 26 quy định

“Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và

bộ, ngành có liên quan xây dựng Danh mục hệ thống thông tin quan trọng quốc gia trình Thủ tướng Chính phủ ban hành”

Luật An ninh mạng năm 2018 tại Điều 4 quy định về nguyên tắc bảo vệ an ninh mạng, đặt dưới sự lãnh đạo của Đảng Cộng sản Việt Nam, sự quản lý thống nhất của Nhà nước; huy động sức mạnh tông hợp của hệ thống chính trị và toàn dân tộc; phát

trách nhiệm phối hợp với các cơ quan, tô chức trong và ngoài nước để bảo đảm an ninh mạng

Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ

có những quy định về trách nhiệm của các cơ quan nhà nước trong việc xây dựng và thực hiện các biện pháp bảo đảm an toàn thông tin mạng Các cơ quan này phải thiết lập và duy trì hệ thống quản lý an toàn thông tin, định kỳ kiểm tra, đánh giá và cải tiền

hệ thống để đảm bảo an toàn thông tin mạng Bên cạnh đó, nghị định cũng quy định về trách nhiệm của các cơ quan nhà nước trong việc bảo vệ dữ liệu cá nhân và thông tin mật Các cơ quan này phải thực hiện các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu cá nhân, thông tin mật và ngăn chặn các hành vi xâm phạm

Cơ quan nhà nước chuyên trách bảo vệ đữ liệu cá nhân: Trong bối cảnh phát triển mạnh mẽ của công nghệ thông tin và chuyển đổi số, bảo vệ dữ liệu cá nhân trở thành một yêu cầu cấp thiết để đảm bảo quyên riêng tư và an toàn của mỗi cá nhân Để đáp ứng yêu cầu này, pháp luật Việt Nam đã có những quy định cụ thể về trách nhiệm của các cơ quan nhà nước chuyên trách trong việc bảo vệ dữ liệu cá nhân

Bộ Thông tin và Truyền thông chịu trách nhiệm quản lý nhà nước về an toàn thông tin mạng Nhiệm vụ của Bộ bao gồm việc xây dựng các tiêu chuẩn và quy chuẩn

kỹ thuật, tổ chức giám sát, phát hiện và xử lý các hành vi vi phạm pháp luật về an toàn thông tin mạng và bảo vệ dữ liệu cá nhân Bộ cũng phối hợp với các bộ, ngành có liên quan xây dựng Danh mục hệ thống thông tin quan trọng quốc gia trình Thủ tướng Chính phủ ban hành Bộ Công an có trách nhiệm thực hiện các biện pháp ngăn chặn, phát hiện và xử lý các hành vi vi phạm an ninh mạng, bảo vệ dữ liệu cá nhân Bộ cũng phối hợp với các cơ quan, tổ chức trong và ngoài nước đề bảo đảm an ninh mạng, bao gồm cả việc bảo vệ dữ liệu cá nhân Điều này bao gồm việc tiến hành các hoạt động điều tra, truy vết và xử lý các hành vi xâm phạm dữ liệu cá nhân Các cơ quan nhà nước khác cũng có trách nhiệm trong việc bảo vệ dữ liệu cá nhân Họ phải thiết lập và duy trì hệ thống quản lý an toàn thông tin, đảm bảo an toàn thông tin mạng cho các hệ thống thông tin quan trọng mà họ quản lý Ngoài ra, các cơ quan này phải thực hiện các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu cá nhân và ngăn chặn các hành vi xâm phạm Luật Giao dịch điện tử năm 2023 và các văn bản hướng dẫn cũng có vai trò

và môi trường hỗ trợ cho sự phát triển của thương mại điện tử tại Việt Nam

Cơ quan nhà nước chuyên trách bảo vệ quyên lợi người tiêu đừng: Bảo vệ quyền lợi người tiêu dùng là một nhiệm vụ quan trọng của các cơ quan nhà nước, nhằm đảm bảo sự công bằng và minh bạch trong các giao dịch thương mại Trong bối cảnh phát triển mạnh

mẽ của kinh tế số và thương mại điện tử, việc bảo vệ quyền lợi người tiêu dùng càng trở nên cấp thiết Pháp luật Việt Nam đã quy định rõ trách nhiệm của các cơ quan nhà nước chuyên trách trong việc bảo vệ quyền lợi người tiêu dùng, nhằm đảm bảo sự an toàn, bảo mật thông tin cá nhân và quyền lợi chính đáng của người tiêu dùng

Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 và sửa đổi năm 2023 là nền tảng pháp lý quan trọng quy định về trách nhiệm của các cơ quan nhà nước trong việc bảo vệ quyền lợi người tiêu dùng Cụ thể, Điều 6 của Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 quy định: "Người tiêu dùng được bảo đảm an toàn bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan nhà nước có thẩm quyên yêu cầu" Luật Bảo vệ quyền lợi người tiêu dùng năm 2023,

có hiệu lực từ ngày 01 tháng 07 năm 2024, quy định chỉ tiết hơn về trách nhiệm của các tổ chức, cá nhân kinh doanh trong việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng, và phải đảm bảo an toàn, an ninh thông tin của người tiêu dùng theo quy định của Luật này và các quy định khác của pháp luật có liên quan

Luật An toàn thông tin mạng năm 2015 cũng quy định các biện pháp bảo vệ thông tin cá nhân của người tiêu dùng Điều 19 của luật này quy định rằng các tô chức,

cá nhân xử lý thông tin cá nhân phải áp dụng các biện pháp quản lý kỹ thuật phù hợp

để bảo vệ thông tin cá nhân do mình thu thập, lưu trữ, và tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn thông tin mạng

Nghị định số 98/2020/NĐ-CP ngày 26/8/2020 của Chính phủ về quy định xử phạt

vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cắm và bảo vệ quyền lợi người tiêu dùng cũng quy định cụ thể về các hành vi vi phạm bảo vệ thông tin của người tiêu dùng và mức phạt tương ứng Điều 46 của Nghị định quy định hành vi vi phạm về bảo vệ thông tin của người tiêu dùng sẽ bị phạt tiền từ

dựng, ban hành và hướng dẫn thực hiện các chính sách, quy định pháp luật về bảo vệ quyền lợi người tiêu dùng; tổ chức các hoạt động tuyên truyền, phổ biến pháp luật; và tiến hành thanh tra, kiểm tra, xử lý các vi phạm pháp luật về bảo vệ quyền lợi người tiêu dùng Cục Quản lý cạnh tranh và Bảo vệ quyền lợi người tiêu dùng trực thuộc Bộ Công Thương có nhiệm vụ thực hiện các biện pháp bảo vệ quyền lợi người tiêu dùng, bao gồm tiếp nhận và giải quyết khiếu nại của người tiêu dùng; thanh tra, kiểm tra và

xử lý các hành vi vi phạm pháp luật về bảo vệ quyền lợi người tiêu dùng; và tổ chức các hoạt động hỗ trợ người tiêu dùng, như tư vấn pháp lý, hỗ trợ giải quyết tranh chấp Trách nhiệm của các cơ quan nhà nước chuyên trách bảo vệ quyền lợi người tiêu dùng

là một phần quan trọng trong hệ thống pháp luật Việt Nam Các quy định pháp luật hiện hành đã xác định rõ ràng trách nhiệm của các cơ quan này trong việc bảo vệ quyền lợi người tiêu dùng, đảm bảo an toàn thông tin cá nhân và quyền lợi chính đáng của người tiêu dùng Việc thực hiện đầy đủ và hiệu quả các trách nhiệm này sẽ góp phần quan trọng vào việc xây dựng các giao dịch minh bạch, công bằng và an toàn cho người tiêu dùng

Trong hoạt động đảm bảo an toàn thông tin trong giao dịch điện tử sẽ có nhiều trường hợp khó phân định được phạm vi, nhiệm vụ, quyền hạn và cơ quan chuyên trách hỗ trợ bảo vệ Do đó, trong tương lai, Nghị định hướng dẫn Luật Giao dịch điện

tử năm 2023 cần có quy định cụ thẻ về nội dung này

2.3 Thực tiễn thực hiện pháp luật bảo đảm an toàn thông tin trong giao dịch điện tử tại Việt Nam

2.3.1 Tổng quan tình hình thực hiện pháp luật bảo đảm an toàn thông tin trong giao dịch điện tử tại Việt Nam

Luật GDĐT năm 2005 và các văn bản hướng dẫn đã có vai trò rất tích cực trong việc tạo dựng hành lang pháp lý cũng như môi trường hỗ trợ cho sự phát triển của TMĐT tại Việt Nam TMĐT của nước ta bắt đầu hình thành giai đoạn 2006 - 2013 Thanh toán điện tử có nhiều tiền bộ từ năm 2007 Giai đoạn 2013 đến nay, TMĐT phát triển khởi sắc, trở thành phương thức hoạt động hiệu quả của doanh nghiệp và người dân Các mô hình hoạt động của TMĐT đã hình thành rõ nét TMĐT không chỉ hiện diện trên nền tảng web mà còn hiện diện trên nền tảng di động thông qua các ứng dụng được cài đặt trên thiết bị di động Hoạt động TMĐT trên các sàn giao dịch TMĐT và mạng xã hội trở nên phổ biến

điện tử đã góp phân phát triển thị trường thương mại điện tử tại Việt Nam Theo Báo cáo của Bộ Thông tin và truyền thông quy mô thị trường TMĐT bán lẻ (B2C) tăng từ 2,2 tỷ USD năm 2013 lên 10 tỷ USD vào năm 2019 Với mức tăng trưởng ồn định 30%/năm, doanh thu bán lẻ trực tuyến năm 2020 du tinh sé dat 12 ty USD (giai đoạn năm 2012-2013) doanh thu TMĐT B2C chỉ xấp xỉ 2 tỷ USD Với tốc

độ tăng trưởng này, Việt Nam đang là một trong những thị trường TMĐT phát triển năng động nhất trong khu vực Đông Nam Á Tỷ lệ người dùng Internet tham gia mua sắm trực tuyến năm 2019 đạt gần 67% Các kênh mua sắm trực tuyến bao gồm website TMDT (68%), diễn đàn/mạng xã hội (57), ứng dụng di động (4/4) Giai đoạn 2013

- 2019, tỷ lệ doanh nghiệp có website đạt trung bình 43%, tỷ lệ doanh nghiệp tham gia sàn giao dịch TMĐT đạt trung bình 12% Năm 2017, 39% doanh nghiệp nhận đơn đặt hàng qua website TMĐT, 41% doanh nghiệp sử dụng website TMĐT đề đặt hàng.”'Š Báo cáo cũng cho thay xu hướng sử dụng giao dịch điện tử gia tăng tại Việt Nam,

cụ thể: Số doanh nghiệp sử dụng chữ ký điện tử tăng từ 31% năm 2013 lên 60% năm

2019 Năm 2019, 28% doanh nghiệp được khảo sát sử dụng hợp đồng điện tử với nhà cung cấp hoặc khách hàng Đặc biệt đối với các doanh nghiệp hoạt động trong lĩnh vực xuất nhập khẩu, khảo sát cho thấy 85,1% doanh nghiệp tham gia khảo sát chọn phương thức đàm phán hợp đồng qua email và gửi bưu điện/fax để ký đóng dấu 79,7% doanh nghiệp chọn phương thức gặp gỡ trực tiếp để đàm phán giao kết hợp đồng Doanh nghiệp đang dần tiếp cận với hình thức giao kết hợp đồng bằng phương tiện điện tử mà đơn giản nhất là giao kết hợp đồng qua email Trong khi đó giao dịch được giao kết theo phương thức truyền thông (gặp gỡ trực tiếp để đàm phán và ký hợp đông) chiêm

tỷ lệ cao nhất về cả số lượng giao dịch và tổng giá trị giao dịch (26,8% rên tổng số lượng giao dịch và 49,7% trên tổng giá trị giao dịch) Đứng thứ hai là phương thức kết hợp giữa truyền thống và điện tử (42,5% và 41,1) Theo kết quả khảo sát đã được thực hiện: 59% doanh nghiệp tham gia khảo sát trả lời đã từng có tranh chấp với đối tác về HĐĐT Những tranh chấp này chủ yếu liên quan đến các nhóm vấn đề: Giao hàng chậm với thời điểm đã cam kết trong hợp đồng (60), hàng hóa dịch vụ không đúng với hợp đồng đã ký (33,3), khách hàng không thực hiện thanh toán theo thỏa thuận (33,3)?/

tương đối hiệu quả

Triển khai thực thi Luật GDĐT năm 2005 và Nghị định số 26/2007/NĐ-CP ngày 15/2/2007 của Chính phủ chỉ tiết thi hành Luật GDĐT về chữ ký số và dịch vụ chứng thực chữ ký số, Bộ TTTT thành lập Trung tâm Chứng thực chữ ký số quốc gia trực thuộc Cục Ứng dụng CNTTT?” Sau 7 năm thực hiện, nhằm tăng cường việc thực thi mức độ đảm bảo an toàn cho các hình thức GDĐT, Thủ tướng Chính phủ ban hành Quyết định số 1592/QĐ-TTg ngày 09/9/2014 thành lập Trung tâm Chứng thực điện tử quốc gia (NEAC) trực thuộc Bộ TTTT NEAC được thành lập trên cơ sở tổ chức lại Trung tâm Chứng thực chữ ký số quốc gia, có chức năng khai thác hạ tầng an toàn thông tin phục vụ hoạt động GDĐT, bao gồm dịch vụ chứng thực chữ ký số và xác thực điện tử Bên cạnh đó, Cục Chứng thực số và Bảo mật thông tin được thành lập theo Nghị định số 09/2014/NĐ-CP ngày 27/01/2014 của Chính phủ, là đơn vị trực thuộc Ban Cơ yếu Chính phủ Cục có chức năng quản lý và sử dụng dịch vụ chứng thực chữ ký số chuyên dùng

Theo Báo cáo của Bộ Thông tin và truyền thông tính đến thời điểm 31/5/2020, có

15 tổ chức cung cấp dịch vụ chứng thực chữ ký số (CA) công cộng được cấp phép tăng 20% số lượng CA công cộng được cấp phép so với cùng kỳ năm 2019 Lĩnh vực thuế, hải quan điện tử và bảo hiểm xã hội điện tử tiếp tục duy trì mức độ ứng dụng chữ

ký số dé bảo dảm phục vụ các hoạt động của tô chức, doanh nghiệp

Số lượng tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng”'Š là 04 tổ chức chuyên dùng và 01 tô chức chuyên dùng an toàn hoạt động So với cùng thời điểm năm 2019, số lượng Tổ chức chuyên dùng tăng 25% so với cùng thời điểm năm

2019 Số lượng chứng thư số chuyên dùng Chính phủ đang hoạt động là 223.306, đã tăng 43,29% so với cùng kỳ năm 2019 Việc sử dụng chữ ký số chuyên dùng cho văn bản điện tử bảo đảm an toàn cho việc trao đổi văn bản điện tử giữa các cơ quan nhà nước, tạo môi trường làm việc hiện đại, tiết kiệm thời gian và chi phí, nâng cao hiệu quả công việc, tăng tính công khai, minh bạch trong quan lý điều hành, góp phần tích cực trong việc cải cách hành chính và phát triển chính phủ điện tử Tỷ lệ văn bản điện

tử áp dụng chữ ký số trên tổng số văn bản chuyền qua mạng của các cơ quan, tổ chức

?!” Quyết định số 891/QĐ-BTTTT ngày 13/6/2008

?!3 GA chuyên dùng

thống kiểm tra trạng thái chứng thư số 1.679.854.000 đồng, tăng 64% so với cùng kỳ năm 2019 (1.023.568.000 đông)”””

Thứ ba, hoạt động đảm bảo an toàn thông tỉ" mạng

Sau gần 17 năm triển khai Luật GDĐT, tình hình bảo đảm an toàn, an ninh mạng tại Việt Nam đã có nhiều chuyền biến tích cực Mạng lưới đơn vị chuyên trách, chuyên gia an toàn, an ninh mạng đã được hình thành Mạng lưới có sự tham gia của gần 200

cơ quan, tổ chức tại Việt Nam, trong đó có 22 bộ, cơ quan ngang bộ, 08 cơ quan thuộc Chính phủ, 63 Sở TTTT các tỉnh, thành phó, 17 tập đoàn, tổng công ty nhà nước, 45 ngân hàng và các tổ chức tài chính, 30 doanh nghiệp cung cấp dịch vụ viễn thông, Internet (/SPs) và 08 doanh nghiệp, tổ chức khác trong xã hội Mạng lưới đặt dưới sự điều phối chung, thống nhất của Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), Cuc An toàn thông tin Việt Nam có những chuyên gia hàng đầu thế giới về an toàn, an ninh mang dang làm ở trong nước và nước ngoài (Microsoft, Google, Facebook, v.v.) Trong danh sách 100 chuyên gia an toàn, an ninh mạng toàn cầu được Microsoft vinh danh có 04 chuyên gia người Việt Liên minh xử lý mã độc

và phòng, chống tấn công mạng với nòng cốt là Cục An toàn thông tin, Hiệp hội An toàn thông tin Việt Nam và 05 doanh nghiệp lớn (ieel, VNPT, FPT, BKAV, CMC) được hình thành nhằm đây mạnh hợp tác toàn diện giữa cơ quan nhà nước, Hiệp hội và doanh nghiệp Hệ thống kỹ thuật quy mô quốc gia đã được triển khai tại Cục ATTT,

Bộ TTTT để phục vụ công tác bảo đảm an toàn, an ninh mạng Tiêu biểu là Hệ thống theo đõi, phát hiện xu hướng thông tin trên không gian mạng, Hệ thống điều phối, xử

lý nguồn phát tán thông tin vi phạm pháp luật, Hệ thống theo dõi, thống kê tình hình lây nhiễm mã độc, Hệ thống chia sẻ và giám sát an toàn thông tin phục vụ chính phủ điện tử, Hệ thong Chia sẻ và Giám sát an toàn thông tin phục vụ chính phủ điện tử Trong bảng xếp hạng quốc tế về an toàn, an ninh mạng toàn cầu do ITU đánh giá, Việt Nam vươn lên mạnh mẽ, từ thứ hạng 100 năm 2017 lên thứ hạng 50 năm 2019 Trong bảng xếp hạng do Kaspersky công bố, Việt Nam cũng được đánh giá là có số lượng

mã độc di động thấp thứ 2 Đông Nam Á, chỉ sau Singapore??9

Thứ tu, hoạt động cung cấp dịch vụ chứng thực chữ ký số