Công nhận các loại chữ ký điện tử khác theo pháp luật Việt Nam và một số quốc gia

14/04/2025 08:58  
Bài viết tập trung làm rõ tính pháp lý của việc công nhận các loại chữ ký điện tử khác theo pháp luật Việt Nam, đồng thời tham khảo quy định về phân loại chữ ký điện tử theo pháp luật của Mỹ và Singapore. Từ đó, bài viết đưa ra một số đề xuất nhằm hoàn thiện quy định pháp luật Việt Nam về chữ ký điện tử.

1. Quy định về chữ ký điện tử tại Việt Nam

Pháp luật Việt Nam định nghĩa chữ ký điện tử như sau: “Chữ ký điện tử là chữ ký được tạo lập dưới dạng dữ liệu điện tử gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu để xác nhận chủ thể ký và khẳng định sự chấp thuận của chủ thể đó đối với thông điệp dữ liệu”.

Theo Điều 22 của Luật Giao dịch điện tử 2023, chữ ký điện tử được phân loại thành ba loại dựa trên phạm vi sử dụng:

(i) Chữ ký điện tử chuyên dùng: Là chữ ký điện tử do cơ quan, tổ chức tạo lập và sử dụng riêng cho hoạt động của cơ quan, tổ chức đó, phù hợp với chức năng, nhiệm vụ.

Ví dụ: Bệnh viện có thể sử dụng chữ ký điện tử chuyên dùng để ký các hồ sơ bệnh án điện tử nội bộ

(ii) Chữ ký số công cộng: Là chữ ký số được sử dụng trong hoạt động công cộng và được bảo đảm bởi chứng thư chữ ký số công cộng. Cụm “hoạt động công cộng” không được định nghĩa cụ thể trong luật, tuy nhiên có thể hiểu là hoạt động diễn ra tại nơi công cộng (không thuộc sở hữu riêng), có sự tham gia của đông đảo người dân, nhằm phục vụ lợi ích chung của cộng đồng

Ví dụ: Một cá nhân sử dụng chữ ký số công cộng để ký hợp đồng mua bán trực tuyến với một công ty thương mại điện tử, liên quan đến hành vi quảng bá sản phẩm vì thế đây được xem là một loại hoạt động công cộng.

(iii) Chữ ký số chuyên dùng công vụ: Là chữ ký số được sử dụng trong hoạt động công vụ và được bảo đảm bởi chứng thư chữ ký số chuyên dùng công vụ.

Ví dụ: Cơ quan chính phủ sử dụng chữ ký số chuyên dùng công vụ để ký các văn bản hành chính hoặc quyết định chính thức, vì việc ban hành các văn bản và quyết định trên là nhân danh nhà nước thực hiện, là nhiệm vụ của họ được quy định trong những văn bản pháp luật có liên quan.

Để được xem là chữ ký điện tử chuyên dùng, có 4 yêu cầu mà chữ ký điện tử cần phải đáp ứng đó là:

(i) Xác nhận chủ thể ký và khẳng định sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu;

(ii)  Dữ liệu tạo chữ ký điện tử chuyên dùng chỉ gắn duy nhất với nội dung của thông điệp dữ liệu được chấp thuận;

(iii) Dữ liệu tạo chữ ký điện tử chuyên dùng chỉ thuộc sự kiểm soát của chủ thể ký tại thời điểm ký;

(iv) Hiệu lực của chữ ký điện tử chuyên dùng có thể được kiểm tra theo điều kiện do các bên tham gia thỏa thuận.

Như vậy, các loại chữ ký điện tử được đăng ký thông qua tổ chức cung cấp dịch vụ như FPT, VNPT,... sẽ có khả năng thỏa mãn những điều kiện luật định, tuy nhiên những loại chữ ký như Clickwrap (Nhấn vào ô xác nhận), chữ ký hình ảnh,... sẽ không thể thỏa mãn một số điều kiện như số (i) vì không có bằng chứng pháp lý xác nhận chủ thể ký hay số (ii) vì việc nhấn nút xác nhận có thể tái thực hiện nhiều lần…

Mặc dù pháp luật quy định “Chữ ký điện tử không bị phủ nhận giá trị pháp lý chỉ vì được thể hiện dưới dạng chữ ký điện tử”, tuy nhiên, để chữ ký điện tử có “giá trị pháp lý tương đương chữ ký của cá nhân trong văn bản giấy” thì cần phải được chứng nhận bảo đảm an toàn; bằng cách thỏa mãn các điều kiện đã liệt kê và trải qua quá trình để được “Bộ Thông tin và Truyền thông” cấp chứng nhận. Việc quy định các quy trình thủ tục như trên khiến các loại chữ ký khác như Clickwrap (Nhấn vào ô xác nhận), chữ ký hình ảnh,... khó có thể được công nhận giá trị pháp lý khi so sánh với pháp luật các quốc gia khác.

2. Quy định về phân loại chữ ký điện tử theo pháp luật các quốc gia

2.1. Tại Mỹ

Hệ thống pháp luật Hoa Kỳ về chữ ký điện tử được xây dựng trên nền tảng nguyên tắc trung lập công nghệ và tự do thỏa thuận, thể hiện qua hai văn bản trụ cột là Đạo luật ESIGN (2000) và Luật Thống nhất về Giao dịch Điện tử (UETA, 1999). Quốc gia này đã thành công thiết lập được môi trường giao dịch điện tử an toàn, minh bạch và hiệu quả, trong đó các nguyên tắc về bảo mật, tính toàn vẹn và xác thực của dữ liệu được ưu tiên hàng đầu-điều này tương đồng với những thách thức mà pháp luật Việt Nam đang cố gắng khắc phục trong quá trình hoàn thiện khung pháp lý giao dịch số.

Phạm vi điều chỉnh được phân định rõ thông qua nguyên tắc ưu tiên áp dụng luật liên bang. Cụ thể, ESIGN chi phối các giao dịch thương mại xuyên tiểu bang (§102(a)(1)), trong khi UETA đóng vai trò hỗ trợ và làm rõ chủ yếu tại các vụ việc phạm vi tiểu bang. Ví dụ, một hợp đồng lao động ký điện tử giữa công ty tại California và nhân viên ở Texas sẽ tuân thủ ESIGN, trong khi giao dịch nội bộ tại New York thường sẽ áp dụng New York E-Sign Act và UETA.

Để được phép giao dịch tại Mỹ, có 5 điều kiện mà chữ ký điện tử cần thỏa mãn:

(i) Ý định ký: Người ký phải cho biết rõ ý định ký của họ, chẳng hạn như bằng cách nhấp vào nút "Ký", nhập tên của họ hoặc sử dụng bút cảm ứng kỹ thuật số.

(ii) Đồng ý tiến hành kinh doanh điện tử: Tất cả các bên phải đồng ý sử dụng chữ ký điện tử, với các doanh nghiệp ghi lại sự đồng ý của họ thông qua việc tiết lộ rõ ràng.

(iii) Ghi công: Mỗi chữ ký phải được liên kết duy nhất với người ký, sử dụng các mã định danh như địa chỉ email hoặc địa chỉ IP.

(iv) Liên kết với hồ sơ: Chữ ký phải được gắn với tài liệu tương ứng, thường thông qua các phương pháp mật mã để rõ ràng và bảo mật.

(v) Lưu giữ hồ sơ: Hồ sơ điện tử phải được lưu trữ an toàn và có thể truy cập để tham khảo hoặc sao chép sau này nhằm đáp ứng nhu cầu pháp lý hoặc tuân thủ pháp luật.

Có hai điểm đáng lưu ý trong pháp luật Mỹ. Thứ nhất, họ có thêm quy định về lưu trữ hồ sơ để phục vụ cho việc chứng minh ý định ký tại Tòa án. Thứ hai, thay vì quy định rõ ràng các phân loại chữ ký điện tử như Việt Nam với các điều kiện khác nhau thì Mỹ chọn cách chỉ quy định một bộ điều kiện duy nhất để chữ ký điện tử có giá trị pháp lý. Cách tiếp cận này tạo ra mô hình không phân tầng và dễ tiếp cận.

Thứ ba và cũng là quan trọng nhất, pháp luật Mỹ không đặt nặng vấn đề “Chữ ký điện tử an toàn” như pháp luật Việt Nam, và nghĩa vụ chứng minh thuộc về các bên trong tranh chấp, thay vì quy định phải được “Bộ Thông tin và Truyền thông” cấp giấy chứng nhận để có thể được xem là an toàn. Quy định như trên mang tính chất linh hoạt, khẳng định việc cho phép ứng dụng đa dạng phương thức ký như đã quy định trong Mục 2(8) Đạo luật UETA. “Metadata” (như thời gian, địa chỉ IP) cũng có thể được sử dụng để chứng minh tính an toàn và toàn vẹn.

Án lệ “J.B.B. Investment Partners, Ltd. v. Fair” là một trường hợp tiêu biểu trong việc xác định hiệu lực pháp lý của giao dịch được thực hiện qua email. Trong vụ án này, Tòa án California đã xem xét một chuỗi email trao đổi giữa các bên liên quan đến việc đàm phán và chấp thuận các điều khoản giải quyết tranh chấp. Mặc dù giao dịch không được thực hiện qua hình thức ký tay truyền thống, nhưng qua các email trao đổi, một bên đã thể hiện rõ ý định cam kết khi kết thúc bằng việc ghi tên, điều này được tòa án hiểu là đủ để hình thành một loại chữ ký điện tử, khiến thỏa thuận có hiệu lực pháp lý. Có thể thấy, pháp luật Mỹ chú trọng vào vấn đề ý định giao dịch giữa các bên, hơn là hình thức của chữ ký điện tử.

2.2. Tại Singapore

Singapore sở hữu hệ thống pháp lý hiện đại, với sự sửa đổi năm 2021 thì Đạo luật Giao dịch điện tử (Electronic Transactions Act - ETA) đã củng cố nền tảng pháp luật cho các giao dịch điện tử nói chung cũng như chữ ký điện tử theo nguyên tắc trung lập công nghệ, cùng với việc kết hợp hiệu quả giữa chữ ký điện tử và hệ thống nhận dạng số (ví dụ: SingPass) đã tạo nên một môi trường giao dịch điện tử an toàn và tiện lợi. Việt Nam cũng đang áp dụng chữ ký điện tử nhưng sự tích hợp giữa chữ ký và hệ thống nhận dạng để thực hiện mục tiêu số hóa (ví dụ: hệ thống số CMND/CCCD điện tử hay nhận diện sinh trắc học) vẫn còn hạn chế.

ETA được xây dựng dựa trên bốn nguyên tắc cơ bản:

(i) “Tuân thủ và kết hợp các tiêu chuẩn quốc tế.

(ii) Tính linh hoạt khi áp dụng công nghệ.

(iii) Tránh quá mức điều chỉnh đối với người dân.

(iv) Tính dự đoán được và minh bạch”.

ETA phân biệt rõ ràng các loại chữ ký điện tử thông thường, chữ ký điện tử an toàn và chữ ký số. Một chữ ký điện tử được công nhận miễn là có phương pháp phù hợp và đáng tin cậy để xác định danh tính người ký và "ý định của họ đối với thông tin có trong bản ghi điện tử".

Khoản 1 Điều 18 ETA quy định một chữ ký điện tử được xem là chữ ký điện tử an toàn tại Singapore nếu có thể xác minh các yếu tố này tại thời điểm chữ ký điện tử được tạo ra:

(1) gắn duy nhất với người sử dụng nó.

(2) Có thể dùng để xác định người sử dụng.

(3) được tạo ra/sử dụng dưới sự kiểm soát duy nhất của người sử dụng.

(4) Gắn kết với hồ sơ điện tử tương ứng, khi hồ sơ điện tử này thay đổi sẽ làm vô hiệu chữ ký điện tử.

Đáng chú ý chính là việc Singapore trao quyền cho các bên áp dụng thủ tục xác minh “tùy nghi” giúp đảm bảo tiêu chí tự do thỏa thuận, đề cao vai trò của các bên trong quan hệ dân sự và giúp các loại chữ ký điện tử khác như clickwrap, tên đánh máy cuối email,... có thể được các bên dễ dàng chứng minh theo tiêu chí chữ ký điện tử an toàn. Singapore cũng quy định miễn trừ áp dụng các điều khoản tại phần 4 luật này với các vấn đề như “di chúc, thừa kế”...

Thêm vào đó, Dịch vụ “Sign with SingPass” cũng được ban hành và quản lý dưới Đạo luật Giao dịch Điện tử (Electronic Transactions Act) của Singapore. Các chữ ký điện tử tạo ra bằng “Sign with SingPass” được coi là Chữ Ký Điện Tử An Toàn sau khi được chứng nhận bởi “Cơ quan Chứng nhận Quốc gia, Assurity Trusted Solutions Pte. Ltd” (tương tự như cách cấp chứng thư chữ ký điện tử các loại của Việt Nam).

Dịch vụ này là một phần của dự án National Digital Identity (NDI) của Singapore, nhằm tạo ra một hệ sinh thái số liền mạch và an toàn cho người dân và doanh nghiệp. Việc cung cấp nhiều phương pháp cấp chứng nhận an toàn, cũng như tích hợp toàn diện giữa chữ ký số và hệ thống nhận dạng tạo ra bước tiến lớn và tiện nghi cho quá trình chuyển đổi số của quốc gia này.

2.3. Đề xuất chỉnh sửa phân loại chữ ký điện tử tại Việt Nam

Như vậy, một số điểm chưa hoàn thiện trong pháp luật Việt Nam như sau:

(1) Quy định mỗi 3 hình thức chữ ký điện tử, chưa tính đến các hình thức chữ ký điện tử hiện hành khác.

(2) Phải thông qua việc viết đơn, cùng với các quy trình thủ tục để chữ ký điện tử có thể được xác nhận an toàn.

(3) Pháp luật quy định tập trung vào bảo mật đối với chữ ký số, chưa quan tâm đến các loại chữ ký điện tử khác.

(4) Hệ thống VNeID chưa có chức năng đăng ký/ chứng nhận chữ ký điện tử.

Tham khảo pháp luật Hoa Kỳ, Việt Nam cần tập trung vào các khía cạnh:

(1) Áp dụng nguyên tắc trung lập công nghệ để mở rộng phương thức ký (Clickwrap, chữ ký Gmail,...) thay vì quy định phạm vi áp dụng cho từng loại chữ ký điện tử.

(2) Tham khảo cơ chế lưu trữ bảo mật theo pháp luật Hoa Kỳ và Singapore, chẳng hạn như Mục §12 Đạo luật UETA, sẽ nâng cao tính toàn vẹn của hồ sơ chữ ký điện tử tại Việt Nam.

(3) Trao quyền chứng minh chữ ký điện tử an toàn cho các bên đương sự song song với quy định phải thực hiện đăng ký với Bộ Thông tin và Truyền thông để mở rộng các lựa chọn, thích ứng với sự phát triển xã hội

(4) Tích hợp việc chứng nhận chữ ký điện tử an toàn vào hệ thống VNeID thay vì mỗi chữ ký số như hiện nay.

NGUYỄN THỊ KIM HỒNG (Thẩm phán TAND tỉnh Gia Lai) - NGUYỄN HÀO KHANG (SV Trường Đại học Luật TP. HCM)

Ảnh minh hoạ - Nguồn: Internet.