IV. CHỮ KÝ ĐIỆN TỬ VÀ CHỨNG THỰC CHỮ KÝ ĐIỆN TỬ
2. Điều kiện để hợp pháp hóa chữ ký số
Điều 24 Luật GDĐT 2005 có quy định:
+ Trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu chữ ký điện tử được sử dụng để ký thông điệp dữ liệu đó đáp ứng các điều kiện sau đây:
Phương pháp tạo chữ ký điện tử cho phép xác minh được người ký và chứng tỏ được sự chấp thuận của người ký đối với nội dung thông điệp dữ liệu;
Phương pháp đó là đủ tin cậy và phù hợp với mục đích mà theo đó thông điệp dữ liệu được tạo ra và gửi đi.
+ Trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan, tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bởi chữ ký điện tử của cơ quan, tổ chức đáp ứng các điều kiện quy định tại Khoản 1 Điều 22 của Luật này và chữ ký điện tử đó có chứng thực.
- Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng một quy trình kiểm tra an toàn do các bên giao dịch thỏa thuận và đáp ứng được các điều kiện sau (Khoản 1 Điều 22 Luật GDĐT 2005):
+ Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dụng;
+ Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký;
+ Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện;
+ Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện.
Ngoài ra, chữ ký điện tử đã được tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực được xem là bảo đảm các điều kiện an toàn quy định tại khoản 1 Điều 22 Luật GDĐT 2005 và sẽ được hợp pháp hóa giống với các chữ ký hợp đồng bình thường.
Theo Điều 8 Nghị định số 130/2018/NĐ-CP thì
- Trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bằng chữ ký số và chữ ký số đó được đảm bảo an toàn theo quy định tại Điều 9 Nghị định này.
- Trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bởi chữ ký số cơ quan, tổ chức và chữ ký số đó được đảm bảo an toàn theo quy định tại Điều 9 Nghị định này.
- Chữ ký số và chứng thư số nước ngoài được cấp giấy phép sử dụng tại Việt Nam theo quy định tại Chương V Nghị định này có giá trị pháp lý và hiệu lực như chữ ký số và chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng của Việt Nam cấp.
2.2. Quy trình tạo lập chữ ký điện tử
Chữ ký điện tử cần bắt buộc sử dụng một mã hoá khoá công cộng (public key).
Nếu muốn tạo chữ ký điện tử thì cần thiết thêm cả mã hoá khoá cá nhân (private key). Bạn dùng khoá cá nhân để ký – chỉ là 1 dạng mã – sau đó chỉ cung cấp
khoá công cộng cho người cần công nhận chữ ký đó (chẳng hạn như ngân hàng, nơi bạn vay tiền). Khoá cá nhân và công cộng với quan hệ tương ứng sở hữu nhau, nhưng chỉ trên bình diện toán học, bởi vậy mã khoá công cộng với thể công nhận được chữ ký đó mà không cần cần biết khoá cá nhân. Trên thực tại, không thể dựa vào khoá công cùng mà đoán ra khoá cá nhân.
Chữ ký điện tử được tạo ra bằng bí quyết ứng dụng thuật toán băm một chiều trên văn bản yêu cầu ký điện tử để tạo ra văn bản phân tách, sau đó dùng khóa bí hiểm (private key) để mã hóa tạo ra chữ ký số đính kèm có văn bản gốc để gửi đi. Khi nhận, văn bản được tách ra làm 2 phần, phần văn bản gốc được tính toán lại bằng thuật toán fingerprint để so sánh sở hữu fingerprint cũ được phục hồi từ việc sử dụng khóa công khai (public key) để giải mã.
Việt Nam đã ban hành Luật GDĐT ngày 29/11/2005; Nghị định 130/2018/NĐ-CP quy định chi tiết thi hành Luật GDĐT về chữ ký số và dịch vụ chứng nhận chữ ký số. Theo đó, lúc tiến hành giao dịch điện tử trong hoạt động công cộng, người sử dụng là cá nhân, cơ quan, công ty cần dùng chữ ký số công cộng do đơn vị chế tạo dịch vụ chứng nhận chữ ký số công cộng cấp, ngày nay toàn bộ hầu hết những doanh nghiệp đều bắt buộc kê khai thuế qua mạng.
Việc giải quyết thủ tục kê khai thuế cho cá nhân, công ty – tổ chức - cá nhân vào mỗi cuối tháng thường gây quá chuyên chở cho cơ thuế quan, gây phiền hà cho người nộp thuế. Chính do đó, để thực hành những giao dịch điện tử như nộp giấy tờ thuế, dùng hóa đơn điện tử… một bí quyết đơn thuần và lợi ích hơn, tổ chức – cá nhân buộc phải dùng với chữ ký điện tử.
2.3. Nghĩa vụ của người ký chữ ký điện tử và bên chấp nhận chữ ký điện tử
2.3.1. Nghĩa vụ của người ký chữ ký điện tử Theo quy định tại Điều 25 Luật GDĐT 2005:
- Người ký chữ ký điện tử hoặc người đại diện hợp pháp của người đó là người kiểm soát hệ chương trình ký điện tử và sử dụng thiết bị đó để xác nhận ý chí của mình đối với thông điệp dữ liệu được ký.
- Người ký chữ ký điện tử có các nghĩa vụ sau đây:
+ Có các biện pháp để tránh việc sử dụng không hợp pháp dữ liệu tạo chữ ký điện tử của mình;
+ Khi phát hiện chữ ký điện tử có thể không còn thuộc sự kiểm soát của mình, phải kịp thời sử dụng các phương tiện thích hợp để thông báo cho các bên chấp nhận chữ ký điện tử và cho tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử trong trường hợp chữ ký điện tử đó có chứng thực;
+ Áp dụng các biện pháp cần thiết để bảo đảm tính chính xác và toàn vẹn của mọi thông tin trong chứng thư điện tử trong trường hợp chứng thư điện tử được dùng để chứng thực chữ ký điện tử.
- Người ký chữ ký điện tử phải chịu trách nhiệm trước pháp luật về hậu quả do không tuân thủ các quy định của pháp luật về nghĩa vụ của người ký chữ ký điện tử đã nêu trên.
2.3.2. Nghĩa vụ của bên chấp nhận chữ ký điện tử Theo quy định tại Điều 26 Luật GDĐT 2005:
- Bên chấp nhận chữ ký điện tử là bên đã thực hiện những nội dung trong thông điệp dữ liệu nhận được trên cơ sở tin vào chữ ký điện tử, chứng thư điện tử của bên gửi.
- Bên chấp nhận chữ ký điện tử có các nghĩa vụ sau đây:
+ Tiến hành các biện pháp cần thiết để kiểm chứng mức độ tin cậy của một chữ ký điện tử trước khi chấp nhận chữ ký điện tử đó;
+ Tiến hành các biện pháp cần thiết để xác minh giá trị pháp lý của chứng thư điện tử và các hạn chế liên quan tới chứng thư điện tử trong trường hợp sử dụng chứng thư điện tử để chứng thực chữ ký điện tử.
- Bên chấp nhận chữ ký điện tử phải chịu trách nhiệm trước pháp luật về hậu quả do không tuân thủ quy định của pháp luật về nghĩa vụ của bên chấp nhận chữ ký điện tử đã nêu trên.
*Kiểm tra pháp lý đối với chữ ký điện tử:
Khi một chữ ký điện tử trên hợp đồng hay văn bản bị nghi ngờ thì chữ ký đó phải vượt qua một số kiểm tra trước khi có thể xử tại tòa án. Các điều kiện này có thể thay đổi tùy theo quy định của pháp luật, thậm chí trong một số trường hợp văn bản không có chữ ký (telex, fax...).
So sánh với một số nước, tại Hao Kỳ, các bước yêu cầu cho chữ ký điện tử bao gồm:
- Cung cấp thông tin cho người yêu cầu về tính pháp lý của chữ ký điện tử; các yêu cầu về phần cứng, phần mềm; các lựa chọn ký và chi phí (nếu có);
- Xác thực các bên để nhận diện rủi ro kinh doanh và yêu cầu;
- Đưa toàn bộ văn bản ra xem xét (các bên có thể phải điền số liệu);
- Yêu cầu các bên xác nhận sự tự nguyện ký vào văn bản;
- Đảm bảo các văn bản được xem xét không bị thay đổi từ khi ký;
- Cung cấp cho các bên các văn bản gốc pháp lý để lưu giữ.
Vấn đề quan trọng cần được xem xét ở đây là sự giả mạo (giả mạo chữ ký và giả mạo sự chấp nhận). Tòa án phải giả định rằng sự giả mạo là không thể thực hiện. Tuy nhiên, đối với chữ ký điện tử thì việc làm giả là không quá khó khăn.
Thông thường, các doanh nghiệp thường phải dựa trên các phương tiện khác để kiểm tra chữ ký điện tử chẳng hạn như gọi điện trực tiếp cho người ký trước khi giao dịch, dựa trên các quan hệ truyền thống hay không dựa hoàn toàn vào các văn bản dưới dạng điện tử. Đây là các thông lệ trong kinh doanh nên được áp dụng trong bất kỳ môi trường nào vì sự giả mạo cũng là một vấn đề thường xảy ra trong môi trường kinh doanh truyền thống. Chữ ký điện tử cũng như chữ ký truyền thống đều không đủ khả năng ngăn chặn hoàn toàn việc làm giả.