3. Đánh giá tổng quan tình hình nghiên cứu của các công trình nghiên cứu liên
2.2.1. Thực trạng pháp luật về chữ ký điện tử
Chữ ký và các hình thức thể hiện ý chí khác trong các giao dịch luôn đóng vai trò quan trọng trong thương mại nói chung và thương mại điện tử nói riêng. Việc thiết lập một quy chế pháp lý cụ thể về vấn đề này là hết sức quan trọng đối với quá trình xây dựng pháp luật về thương mại điện tử. Cũng giống như chữ ký tay và các hình thức thể hiện ý chí khác thì ý nghĩa của chữ ký điện tử chính là tính xác thực của nó. Tính xác thực của chữ ký điện tử được thể hiện dưới hai phương diện, đó là xác định chủ thể ký kết và thể hiện ý chí chấp thuận của chủ thể ký kết với nội dung của tài liệu. Chính vì vậy, trong các văn bản quy định về chữ ký điện tử thì tất cả các nước luôn đưa ra một định nghĩa thể hiện được tính xác thực của chữ ký điện tử đối với thông điệp dữ liệu.
2.2.1.1. Quy định về nhận diện chữ ký điện tử
Hiện nay, ở Việt Nam vẫn chưa có luật riêng cho chữ ký điện tử nói chung và chữ ký số nói riêng. Tất cả các vấn đề pháp lý liên quan đến chữ ký điện tử ở Việt Nam hiện nay được quy định trong Luật Giao dịch điện tử năm 2005 và Nghị định quy định chi tiết thi hành Luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số79.
Theo quy định của luật giao dịch điện tử của Việt Nam, chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký80. Bên cạnh việc quy định về chữ ký điện tử, pháp luật Việt Nam cũng có những quy định cụ thể về chữ ký số (một loại chữ ký điện tử được sử dụng phổ biến hiện nay). Chữ ký số là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng81. Cũng giống như pháp luật Việt Nam, trong văn bản pháp luật của Liên hợp quốc và các quốc gia đều có các quy định để nhận diện chữ ký điện tử hoặc chữ ký số: Theo luật mẫu về Chữ ký điện tử của Liên hợp quốc, chữ ký điện tử là dữ liệu dưới dạng điện tử, gắn liền hoặc liên kết một cách logic với một thông điệp dữ liệu, có thể được sử dụng để xác định người ký liên quan đến thông điệp dữ liệu và để chỉ ra sự chấp nhận của người ký đối với các thông tin trong thông điệp dữ liệu đó82. Theo luật Chữ ký số của Malaysia, chữ ký số là chữ ký điện tử sử dụng kỹ thuật mật mã phi đối xứng làm biến đổi một thông điệp theo cách mà người nhận được thông điệp83. Trong đó, hệ thống mật mã phi đối xứng nghĩa là một thuật toán hoặc một loạt các thuật toán để cung cấp một cặp khoá an toàn. Theo luật Giao dịch điện tử của
79 Nghị định số 130/2018/NĐ-CP của Chính phủ.
80 Điều 21 Luật số 51/2005/QH11 về Giao dịch điện tử của Việt Nam.
81 Khoản 6 Điều 3 Nghị định số 130/2018/NĐ-CP ngày 27/9/2018 của Chính phủ.
82 Article 2 of the Model Law on Electronic Signatures 2001 of Uncitral.
Myanmar, chữ ký điện tử là bất kỳ biểu tượng hoặc ký hiệu nào được hình thành bởi công nghệ điện tử hoặc bất kỳ công nghệ tương tự nào khác để xác thực nguồn gốc của thông điệp dữ liệu và sự chấp thuận của người ký đối với thông tin trong thông điệp dữ liệu đó84. Theo luật Thương mại điện tử của Philippine, chữ ký điện tử dùng để chỉ bất kỳ ký hiệu đặc trưng, âm thanh gắn liền hoặc có liên quan đến thông điệp dữ liệu nhằm xác định người ký và sự chấp thuận của người ký đối với thông tin trong thông điệp dữ liệu85. Theo luật Giao dịch điện tử của Singapore, chữ ký điện tử là bất kỳ một chữ, ký tự, con số hoặc biểu tượng nào dưới dạng số được gắn hoặc liên kết một cách logic với một hồ sơ điện tử với mục đích xác thực hoặc chấp nhận nội dung của hồ sơ điện tử86. Bên cạnh việc quy định về chữ ký điện tử thì pháp luật Singapore còn có quy định về chữ ký số, chữ ký số là một loại chữ ký điện tử bao gồm việc sử dụng hệ thống mật mã phi đối xứng biến đổi một thông điệp dữ liệu. Trong đó, dệ thống mật mã phi đối xứng là hệ thống có khả năng tạo một cặp khoá an toàn, bao gồm một khoá bí mật để tạo chữ ký số và một khoá công khai để kiểm tra chữ ký số. Theo luật chữ ký điện tử của Trung Quốc, chữ ký điện tử là dữ liệu điện tử chứa đựng trong thông điệp dữ liệu hoặc đính kèm với thông điệp dữ liệu và được sử dụng để nhận biết người ký và biểu thị sự tán thành của người ký với nội dung của thông điệp dữ liệu87. Như vậy, theo quy định của Trung Quốc thì chữ ký điện tử chính là các dữ liệu điện tử chứa đựng trong thông điệp dữ liệu hoặc đính kèm với thông điệp dữ liệu. Mặc dù trong Luật không quy định một cách trực tiếp thế nào là dữ liệu điện tử nhưng căn cứ vào các điều khoản khác trong Luật thì dữ liệu điện tử có thể được hiểu là thông điệp dữ liệu. Theo Chỉ thị của Liên minh châu Âu, chữ ký điện tử là dữ liệu điện tử được gắn hoặc kết hợp logic với thông điệp dữ liệu và là phương pháp chứng thực88. Bên cạnh việc quy định về chữ ký điện tử, Chỉ thị của
84 Article 2 of the Electronic Transactions Law 2004 of Myanmar.
85 Clause e Section 5 of the Electronic Commerce Act 2000 of Philippines.
86 Section 2 of the Electronic Transactions Act 2010 of Singapore.
87 Article 2 of the Electronic Signature Law 2004 of China.
liên minh Châu Âu còn đề cập đến chữ ký điện tử tiên tiến, theo đó chữ ký điện tử tiên tiến là chữ ký điện tử đáp ứng các yêu cầu: duy nhất kết nối với người ký, có khả năng xác định người ký, chịu sự kiểm soát duy nhất của người ký, bất kỳ sự thay đổi nào sau khi ký đều có thể phát hiện. Theo luật Chữ ký điện tử của Hoa Kỳ, chữ ký điện tử có thể là âm thanh, biểu tượng hoặc quá trình được tạo bởi phương tiện điện tử, đính kèm hoặc kết hợp logic với một thông điệp dữ liệu và thực hiện thông qua người ký89. Quy định của pháp luật Hàn Quốc: Theo luật Chữ ký điện tử, chữ ký điện tử nghĩa là dữ liệu dưới dạng điện tử được gắn hoặc kết hợp một cách logíc với tài liệu điện tử, nó có thể được sử dụng để xác định mối quan hệ của bên ký kết với tài liệu điện tử và bày tỏ sự chấp thuận của bên ký kết với thông tin trong tài liệu điện tử90 và theo luật Chữ ký số, chữ ký số là thông tin dưới dạng số được gắn hoặc kết hợp một cách logíc với thông điệp điện tử nhằm nhận dạng người ký và xác thực thông điệp điện tử được ký bởi người ký đó91. Nhìn chung, khi đưa ra khái niệm chữ ký điện tử, chữ ký số thì pháp luật các nước đều cho rằng chữ ký điện tử, chữ ký số đều được tồn tại dưới dạng: từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác được hình thành bằng phương tiện điện tử. Trong đó, giữa chữ ký điện tử và chữ ký số có sự khác nhau ở việc mã hóa (tối thiểu 1024 bit).
Tóm lại, nếu so sánh quy định về nhận diện chữ ký điện tử theo quy định của pháp luật Việt Nam với quy định của pháp luật một số nước thì khái niệm về chữ ký điện tử của Việt Nam đã rõ ràng, cụ thể nhưng lại không rườm rà. Chẳng hạn, trong Luật Chữ ký điện tử của Trung Quốc chỉ quy định chung chung là: “chữ ký điện tử là dữ liệu điện tử”, mặt khác trong luật lại không đưa ra định nghĩa thế nào là dữ liệu điện tử. Trong luật Chữ ký số của Malaysia lại quy định: “chữ ký số là sử dụng kỹthuật mật mã phi đối xứng để làm biến đổi một thông điệp”, cách quy định như vậy vừa phức tạp lại vừa không đáp ứng được sự phát triển nhanh chóng của khoa học kỹ thuật. Mặc dù vậy, khái niệm chữ ký điện tử mà pháp luật Việt Nam đưa ra đã đáp
89 Section 106 of the Electronic Signature 2000 of the USA. 90 Article 2 of the Electronic Signature Act 2001 of Korea.
ứng được yêu cầu của một chữ ký điện tử là xác định được người ký và xác nhận sự chấp thuận của người ký đối với nội dung của thông điệp dữ liệu.
2.2.1.2. Điều kiện bảo đảm an toàn cho chữ ký điện tử
Hiện nay, pháp luật của các nước đều thừa nhận chữ ký điện tử có giá trị như chữ ký tay, thậm chí là chữ ký tay và đóng dấu. Chữ ký điện tử có ý nghĩa xác thực
ý chí của các bên trong một giao dịch trong thương mại điện tử. Sự an toàn và tính xác thực của chữ ký điện tử sẽ là nền tảng tạo niềm tin cho các bên trong quan hệ giao dịch. Mặt khác, khả năng xảy ra rủi ro và gian lận trong thương mại điện tử cao hơn rất nhiều so với thương mại truyền thống. Chính vì vậy, bên cạnh việc thừa nhận giá trị pháp lý cửa chữ ký điện tử thì pháp luật của các nước cũng đưa ra các quy định của pháp luật nhằm bảo đảm an toàn cho chữ ký điện tử.
Điều kiện bảo đảm an toàn cho chữ ký điện tử đã được luật Giao dịch điện tử của Việt Nam quy định tương đối chặt chẽ, theo đó chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng một quy trình kiểm tra an toàn do các bên giao dịch thoả thuận và đáp ứng được các điều kiện như: (1) Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dụng; (2) Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký; (3) Mọi sự
thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện; (4) Mọi sự thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện92.
Chính ý nghĩa của chữ ký điện tử trong các giao dịch thương mại điện tử, nên trong các văn bản quy định về chữ ký thì bất kỳ nước nào cũng có điều khoản quy định về điều kiện bảo đảm an toàn cho chữ ký, mặc dù cách thức quy định của mỗi nước có khác nhau: Theo luật mẫu về Chữ ký điện tử của Liên hợp quốc, một chữ ký điện tử được coi là đáng tin cậy nếu dữ liệu tạo chữ ký chỉ có mối liên hệ với người ký, dữ liệu tạo chữ ký chỉ chịu sự kiểm soát của người ký, bất kỳ sự thay đổi nào sau khi ký đều có thể bị phát hiện93. Theo Chỉ thị của Liên minh châu Âu, chữ ký bảo
92 Điều 22 Luật số 51/2005/QH11 của Quốc hội.
đảm an toàn được gọi là chữ ký điện tử tiên tiến94. Theo luật Chữ ký điện tử của Trung Quốc đã quy định một cách trực tiếp các điều kiện đòi hỏi chữ ký điện tử phải thoả mãn thì mới được coi là chữ ký điện tử đáng tin cậy: (1) Dữ liệu tạo ra chữ ký điện tử dùng để ký chữ ký điện tử là thuộc quyền riêng của người ký chữ ký điện tử; (2) Khi ký, dữ liệu tạo ra chữ ký điện tử chỉ được người ký chữ ký điện tử kiểm soát; (3) Bất kỳ sự sửa đổi nào của chữ ký điện tử sau khi đã ký, đều có thể bị phát hiện; (4) Bất cứ sự sửa đổi nào của nội dung và hình thức của thông điệp dữ liệu sau khi đã ký, đều có thể bị phát hiện95. Mặc dù trong Luật Chữ ký điện tử của Trung Quốc đã quy định rất rõ ràng các điều đảm bảo khả năng tin cậy của một chữ ký điện tử. Nhưng bên cạnh đó, Luật cũng có quy định cho phép các bên có quyền thoả thuận với nhau các điều kiện bảo đảm khả năng tin cậy của chữ ký điện tử phù hợp với hoàn cảnh của các bên96. Khác hẳn với Trung Quốc, Malaysia không quy định một cách trực tiếp các điều kiện đảm bảo an toàn đòi hỏi chữ ký số phải thoả mãn mà chỉ quy định một cách gián tiếp thông qua chứng chỉ số. Chữ ký số an toàn là chữ ký số được thẩm định bởi chứng chỉ số có giá trị pháp luật97. Như vậy, theo quy định của luật Chữ ký số của Malaysia thì dùng chứng chỉ số hợp pháp có thể xác định được chữ ký số an toàn. Ngoài ra, để bảo đảm an toàn hơn nữa cho chữ ký số thì luật Chữ ký số của Malaysia còn quy định một rằng buộc đối với cơ quan chứng thực đó là cơ quan chứng thực chỉ được phép sử dụng sơ đồ chữ ký số đã được phê duyệt. Căn cứ vào các quy định của Malaysia, có thể thấy rằng cách quy định về điều kiện bảo đảm an toàn cho chữ ký số của Malaysia là tương đối chặt chẽ và có hệ thống. Theo luật Giao dịch điện tử của Singapore điều kiện bảo đảm an toàn với chữ ký điện tử là cần thông qua một thủ tục an toàn xác định hoặc một thủ tục an toàn hợp lý trong thương mại mà hai bên giao dịch thoả thuận sử dụng mà có thể thẩm định được rằng một chữ ký
94 Article 2 of the Directive 1999/93/EC
95 Article 13 of the Electronic Signature Law 2004 of China.
96 Phí Mạnh Cường (2008), Một số vấn đề pháp lý về chữ kí điện tử theo quy định của pháp luật Trung Quốc, Tạp chí Quản lý nhà nước số 146 (3/2008). ISSN 0868-2828.
điện tử, tại thời điểm được tạo ra là duy nhất với người sử dụng nó, có khả năng nhận dạng người ký, được tạo ra theo phương thức mà chỉ có người sử dụng nó kiểm soát phương thức đó, liên kết với hồ sơ điện tử theo cách mà nếu hồ sơ bị thay đổi thì chữ ký điện tử sẽ bị mất giá trị, thì chữ ký đó được coi là chữ ký an toàn98. Hàn Quốc quy định về điều kiện an toàn riêng rẽ cho chữ ký điện tử và chữ ký số. Tuy nhiên các quy định này lại có rất nhiều điểm tương đồng với nhau mặc dù chúng được quy định ở hai luật khác nhau: (1) Chữ ký điện tử được công nhận nghĩa là chữ ký điện tử dựa trên cơ sở chứng chỉ số được công nhận và phù hợp với các điều kiện: Dữ liệu tạo ra chữ ký điện tử chỉ có mối liên hệ với người đăng ký mà không có mối liên hệ với người khác; Dữ liệu tạo ra chữ ký điện tử chịu sự kiểm soát của người ký vào thời điểm ký và không bị người khác kiểm soát; Bất kỳ sự thay đổi nào của chữ ký điện tử sau thời điểm ký đều bị phát hiện; Bất kỳ sự thay đổi nào của tài liệu điện tử sau thời điểm ký đều bị phát hiện99. (2) Chữ ký số được chứng thực nghĩa là chữ ký số phải thoả mãn các yêu cầu và là cơ sở vững chắc cho việc chứng thực: Chỉ có người đăng ký mới nắm giữ