Dịch vụ tin cậy – loại hình kinh doanh mới – những vấn đề cần lưu ý đối với doanh nghiệp

Với mục đích tạo sự tương đồng với sự phát triển của nền công nghiệp 4.0, kinh tế số, để phù hợp với điều ước quốc tế liên quan đến thương mại tự do mà Việt Nam là thành viên để tạo thuận lợi thúc đẩy sự phát triển cũng như bảo vệ quyền và lợi ích hợp pháp cho các đối tượng tham gia vào hoạt động giao dịch điện tử, lần đầu tiên pháp luật Việt Nam công nhận một ngành, nghề kinh doanh mới.

Hệ thống pháp luật hiện hành chưa giải thích cụ thể về khái niệm dịch vụ tin cậy. Theo từ điển Việt Nam, tin cậy là tin tưởng tới mức hoàn toàn trông cậy vào.

Trong bối cảnh chuyển đổi số hiện nay, đặc biệt do ảnh hưởng của đại dịch Covid-19, nhu cầu giao dịch điện tử đã bùng phát mạnh mẽ trong tất cả các lĩnh vực hành chính, dân sự, kinh tế và xã hội. Môi trường, công nghệ và phương thức giao dịch cũng có nhiều thay đổi, với sự xuất hiện ngày càng nhiều các nền tảng số làm môi trường cho các giao dịch điện tử trực tuyến, sự phát triển đột phá của các công nghệ số như trí tuệ nhân tạo, dữ liệu lớn, chuỗi khối đã tạo ra những quan hệ xã hội mới mà Luật Giao dịch điện tử năm 2005 chưa quy định. Cuộc Cách mạng công nghiệp 4.0 đang diễn ra với công cuộc chuyển đổi số, phát triển Chính phủ số, kinh tế số và xã hội số đặt ra nhiều thách thức về chính sách và mô hình quản lý giao dịch điện tử.

Trong các hoạt động giao dịch điện tử hiện nay, dịch vụ tin cậy đang là yếu tố quan trọng và xuyên suốt quá trình thực hiện giao dịch điện tử. Nhà cung cấp dịch vụ tin cậy trong các hoạt động ký số, chứng thực chữ ký số, gắn nhãn thời gian…là đối tượng được ủy thác bởi người sử dụng để thực hiện các hoạt động khởi tạo, xác nhận và tính hiệu lực của chữ ký điện tử, nhãn thời gian… Tuy nhiên, dịch vụ tin cậy và nhà cung cấp dịch vụ tin cậy chưa được quy định cụ thể tại Luật Giao dịch điện tử (2005), cũng như chưa có các quy định về đánh giá, quản lý đối với các chủ thể này. Đây là mắt xích yếu trong các hành lang pháp lý điều chỉnh các giao dịch điện tử, có thể ảnh hưởng tới việc đảm bảo giá trị pháp lý của giao dịch điện tử.

Việc bổ sung quy định về dịch vụ tin cậy tại Luật Giao dịch điện tử năm 2023, chính là bước ngoặt trong việc hoàn thiện hành lang pháp lý quy định các vấn đề về yêu cầu cơ bản, yêu cầu quản lý nhà nước đối với dịch vụ tin cậy và nhà cung cấp dịch vụ tin cậy để đảm bảo tính hợp pháp, an toàn trong quá trình thực hiện các giao dịch điện tử. Đây là cơ sở quan trọng để thiết lập mối ràng buộc pháp lý giữa người sử dụng và người cung cấp dịch vụ quan trọng của giao dịch điện tử. Các quy định này cũng có vai trò là cơ sở cho việc thực hiện chức năng quản lý nhà nước đối với các dịch vụ tin cậy và nhà cung cấp dịch vụ tin cậy. Bổ sung các quy định này là yếu tố quan trong trong việc đảm bảo đầy đủ giá trị pháp lý và tính chính xác, an toàn của các giao dịch điện tử.

Luật Giao dịch điện tử năm 2023 (được Quốc hội thông qua ngày 22 tháng 6 năm 2023), tại Điều 28 đã ghi nhận về ngành nghề kinh doanh này, như sau:

“Điều 28. Dịch vụ tin cậy

1. Dịch vụ tin cậy bao gồm:

a) Dịch vụ dấu thời gian;

b) Dịch vụ chứng thực thông điệp dữ liệu;

c) Dịch vụ chứng thực chữ ký số công cộng.

2. Dịch vụ tin cậy là ngành, nghề đầu tư kinh doanh có điều kiện.

…..”

1. Các loại hình cung cấp dịch vụ tin cậy

Luật Giao dịch điện tử năm 2023 đã quy định rõ dịch vụ tin cậy gồm 3 loại dịch vụ, đó là: dịch vụ cấp dấu thời gian, dịch vụ chứng thực thông điệp dữ liệu và dịch vụ chứng thực chữ ký số công cộng.

1.1. Dịch vụ dấu thời gian

Dịch vụ dấu thời gian là dịch vụ để gắn thông tin về thời gian vào thông điệp dữ liệu. Dấu thời gian được tạo ra dưới dạng chữ ký số. Thời gian được gắn vào thông điệp dữ liệu là thời gian mà tổ chức cung cấp dịch vụ cấp dấu thời gian nhận được thông điệp dữ liệu đó và được chứng thực bởi tổ chức cung cấp dịch vụ cấp dấu thời gian. Thông tin về ngày, tháng, năm và thời gian được gắn vào thông điệp dữ liệu chính là thời điểm mà tổ chức cung cấp dịch vụ cấp dấu thời gian tiếp nhận thông điệp đó và sau đó chứng thực nó. Điều này đảm bảo rằng thông tin thời gian bên trong dữ liệu là chính xác và không thể thay đổi sau khi đã được đánh dấu.

Nguồn thời gian của doanh nghiệp, tổ chức cung cấp dịch vụ cấp dấu thời gian phải theo quy định của pháp luật về nguồn thời gian chuẩn quốc gia. Điều này đảm bảo tính nhất quán và đáng tin cậy của thời gian được sử dụng trong quá trình cấp dấu thời gian và chứng thực dữ liệu.

Dịch vụ cấp dấu thời gian đóng vai trò quan trọng trong việc bổ sung giá trị gia tăng cho thông điệp dữ liệu. Nó giúp gắn kết thông tin về ngày, tháng, năm và thời gian vào các tài liệu, tin nhắn, hoặc dữ liệu truyền tải.

Dấu thời gian được ứng dụng rộng rãi trong các ngành nghề sáng tạo nhạy cảm về thời gian như bản quyền sáng chế, bản quyền tác giả, giao dịch ngân hàng, hợp đồng mua bán…. nhằm chứng minh mốc thời gian tài liệu được ký kết hay thời gian tài liệu có hiệu lực là chính xác, độc lập và không thể chối bỏ.

Để đảm bảo tính hiệu quả và đáng tin cậy của dịch vụ này, các tổ chức này phải tuân thủ các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng đối với việc cấp dấu thời gian. Việc áp dụng dấu thời gian giúp doanh nghiệp, tổ chức chống giả mạo trong giao dịch điện tử

1.2. Dịch vụ chứng thực thông điệp dữ liệu gồm: Dịch vụ lưu trữ và xác nhận tính toàn vẹn của thông điệp dữ liệu; Dịch vụ gửi, nhận thông điệp dữ liệu bảo đảm.

Hệ thống thông tin là hệ thống được tạo lập để gửi, nhận, lưu trữ, hiển thị hoặc thực hiện các xử lý khác đối với thông điệp dữ liệu. Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự. Thông điệp dữ liệu là thông tin được tạo ra, được gửi đi, được nhận và được lưu trữ bằng phương tiện điện tử.

Thông tin trong thông điệp dữ liệu không bị phủ nhận giá trị pháp lý chỉ vì thông tin đó được thể hiện dưới dạng thông điệp dữ liệu. Tính toàn vẹn dữ liệu là yếu tố thành công của chuyển đổi số, tính toàn vẹn của dữ liệu rất quan trọng vì mọi quyết định kinh doanh quan trọng đều dựa trên dữ liệu của tổ chức, doanh nghiệp. Tính toàn vẹn dữ liệu có ba thành phần: tính nhất quán, độ chính xác và tính đầy đủ của thông tin. Một trong những chức năng quan trọng nhất của tính toàn vẹn dữ liệu là kiểm tra xem dữ liệu có bị thay đổi so với yêu cầu ban đầu không. Kẻ tấn công có thể thêm phần mềm độc hại hoặc làm gián đoạn quá trình truyền dữ liệu. Lỗi có thể xảy ra do sự cố kết nối mạng hoặc lỗi của con người.

Trong thời đại bùng nổ công nghệ thông tin như hiện nay, dữ liệu doanh nghiệp trên không gian mạng trở thành một kho lưu trữ khổng lồ mà nếu chúng ta không có biện pháp bảo vệ tương xứng, đúng cách thì sẽ tạo ra điều kiện thuận lợi để tội phạm hay các phần tử xấu lợi dụng thực hiện các hành vi vi phạm pháp luật tiềm ẩn nguy cơ mất an ninh thông tin. Việc bảo vệ tính toàn vẹn dữ liệu của doanh nghiệp rất quan trọng, nó ảnh hưởng đến sự bảo mật thông tin của doanh nghiệp.  Việc bảo mật dữ liệu có ý nghĩa hết sức quan trọng bởi nếu dữ liệu bị đánh cắp có thể gây ra những tổn thất tài chính nghiêm trọng, nguy cơ bị tống tiền, lừa đảo, chiếm đoạt tài sản, bôi nhọ, xâm phạm danh dự, nhân phẩm,..., gây hậu quả cả về vật chất và tinh thần, ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của các cơ quan, tổ chức, doanh nghiệp và mỗi cá nhân.

Để đảm bảo tính toàn vẹn, an toàn tuyệt đối trong việc lưu trữ, gửi, nhận thông tin dữ liệu, các doanh nghiệp, tổ chức cung cấp dịch vụ tin cậy cần phải nhận thức đầy đủ tầm quan trọng của việc bảo mật thông tin dữ liệu khách hàng, để cung cấp dịch vụ chất lượng nhất, uy tín nhất.

1.3. Dịch vụ chứng thực chữ ký số công cộng

Đây là dịch vụ chứng thực chữ ký số trong hoạt động công cộng. Chứng thư chữ ký số công cộng được cung cấp bởi tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng theo quy định của Luật Giao dịch điện tử. Dịch vụ chứng thực chữ ký số công cộng là loại hình dịch vụ không thể thiếu đối với cá nhân, tổ chức, doanh nghiệp khi sử dụng chữ ký số.

Dịch vụ chứng thực chữ ký số công cộng là loại hình chứng thực chữ ký số cung cấp bởi một tổ chức được cấp phép chứng thực chữ ký số công cộng. Mục đích chứng thực là để xác minh tính chính xác và hợp pháp của cá nhân khi sử dụng chữ ký số. Sử dụng dịch vụ chứng thực chữ ký số công cộng sẽ đem lại những lợi ích như: Văn bản giao dịch được xác thực rõ ràng, nội dung toàn vẹn, đảm bảo tính pháp lý, trách nhiệm và tính bảo mật cao; Khả năng ứng dụng thực tế cao; Tiết kiệm thời gian và chi phí vận hành; Dễ dàng cài đặt và sử dụng.

Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng là tổ chức cung cấp dịch vụ chứng thực chữ ký số cho cơ quan, tổ chức, cá nhân sử dụng trong các hoạt động công cộng. Hoạt động cung cấp dịch vụ chứng thực chữ ký số của các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng là hoạt động kinh doanh có điều kiện theo quy định của pháp luật.

2. Điều kiện kinh doanh dịch vụ tin cậy

Bên cạnh việc quy định về các loại hình dịch vụ tin cậy, các doanh nghiệp, tổ chức cung cấp dịch vụ tin cậy cần lưu ý, dịch vụ tin cậy là ngành, nghề đầu tư kinh doanh có điều kiện, điều này đã được quy định rõ tại Luật Giao dịch điện tử năm 2023.

Theo Luật Đầu tư năm 2020, ngành, nghề đầu tư kinh doanh có điều kiện là ngành, nghề mà việc thực hiện hoạt động đầu tư kinh doanh trong ngành, nghề đó phải đáp ứng điều kiện cần thiết vì lý do quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, đạo đức xã hội, sức khỏe của cộng đồng.

Để đồng bộ với quy định của pháp luật đầu tư, Luật Giao dịch điện tử năm 2023 cũng đã quy định rõ tổ chức cung cấp dịch vụ tin cậy phải có giấy phép kinh doanh dịch vụ do Bộ Thông tin và Truyền thông cấp, trừ dịch vụ chứng thực hợp đồng điện tử trong thương mại. Tổ chức được quyền đăng ký một hoặc các dịch vụ về dấu thời gian, chứng thực thông điệp dữ liệu, chứng thực chữ ký số công cộng.  Luật quy định thời hạn của giấy phép kinh doanh dịch vụ tin cậy là 10 năm.

Ngoài ra, tổ chức cung cấp dịch vụ chứng thực hợp đồng điện tử trong thương mại phải đáp ứng điều kiện hoạt động cung cấp dịch vụ chứng thực hợp đồng điện tử theo quy định của pháp luật về thương mại điện tử và điều kiện kinh doanh dịch vụ tin cậy.

2.1. Là doanh nghiệp được thành lập và hoạt động hợp pháp trên lãnh thổ Việt Nam

Điều kiện này áp dụng với doanh nghiệp, tổ chức cung cấp dịch vụ tin cậy cũng tương tự như đối với các ngành nghề kinh doanh có điều kiện khác, đó là điều kiện tiên quyết, cơ bản mà mỗi doanh nghiệp, tổ chức khi thực hiện các hoạt động kinh doanh trên lãnh thổ Việt Nam đều phải thực hiện.

Các doanh nghiệp, tổ chức cung cấp dịch vụ tin cậy cần thực hiện hoạt động đầu tư kinh doanh tại Việt Nam theo quy định của pháp luật về đầu tư.

2.2. Đáp ứng điều kiện tài chính, nhân lực quản lý và kỹ thuật phù hợp với từng loại dịch vụ tin cậy

Doanh nghiệp, tổ chức cung cấp dịch vụ tin cậy cần lưu ý vấn đề ký quỹ không kỳ hạn tại một ngân hàng thương mại hoạt động tại Việt Nam để giải quyết các rủi ro và các khoản đền bù có thể xảy ra trong quá trình cung cấp dịch vụ do lỗi của tổ chức cung cấp dịch vụ tin cậy thanh toán chi phí tiếp nhận và duy trì cơ sở dữ liệu trong trường hợp bị thu hồi giấy chứng nhận.

Doanh nghiệp, tổ chức cung cấp dịch vụ phải có đội ngũ nhân sự chịu trách nhiệm: quản trị hệ thống; vận hành hệ thống; bảo đảm an toàn thông tin của hệ thống giao dịch điện tử; Nhân sự của doanh nghiệp, tổ chức cung cấp dịch vụ có bằng đại học trở lên, chuyên ngành công nghệ thông tin, an toàn thông tin hoặc điện tử viễn thông và không có tiền án, tiền sự.

Với tính chất đặc thù của ngành nghề đầu tư kinh doanh này mà các yêu cầu về điều kiện tài chính, nhân lực quản lý và kỹ thuật sẽ đòi hỏi chặt chẽ, khắt khe hơn, vì đây chính là cơ sở để tạo niềm tin của khách hàng.

2.3. Hệ thống thông tin cung cấp dịch vụ tin cậy đáp ứng yêu cầu bảo đảm an toàn thông tin mạng tối thiểu cấp độ 3 theo quy định của pháp luật về an toàn thông tin mạng.

An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoạt trái phép, với mục đích đảm bảo tính nguyên vẹn, bảo mật và khả dụng của thông tin. Để bảo đảm an toàn thông tin mạng, doanh nghiệp, tổ chức cung cấp dịch vụ cần thực hiện các biện pháp như: phân loại và mã hóa thông tin, xây dựng quy định sử dụng và truy cập thông tin, bảo vệ hệ thống thông tin, ngăn chặn xung đột thông tin trên mạng. Doanh nghiệp, tổ chức cung cấp dịch vụ phải đảm bảo cung cấp được các biện pháp kỹ thuật tối thiểu để bảo vệ thông tin khỏi bị xâm hại đến mức độ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia.

2.4. Có phương án kỹ thuật phục vụ hoạt động cung cấp dịch vụ phù hợp với từng loại dịch vụ tin cậy

Doanh nghiệp, tổ chức cung cấp dịch vụ tin cậy cần đảm bảo về quy trình đăng ký sử dụng dịch vụ; các biểu mẫu, hợp đồng mẫu và chi phí liên quan đến việc sử dụng dịch vụ; trách nhiệm của các bên liên quan; cần có phương án kỹ thuật đáp ứng các yêu cầu bảo đảm an toàn hệ thống thông tin, sự tuân thủ các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng; cần thuyết minh hệ thống kỹ thuật cung cấp dịch vụ theo quy định của pháp luật về an toàn thông tin mạng; phải có phương án lưu trữ, bảo quản đầy đủ, chi tiết theo thời gian đối với các hồ sơ, thông tin, dữ liệu liên quan đến cung cấp dịch vụ; đề xuất phương án số hóa hồ sơ đăng ký và các giấy tờ liên quan đến hoạt động cung cấp dịch vụ; thiết lập phương án kiểm soát ra vào trụ sở, quyền truy nhập hệ thống, quyền ra vào nơi đặt thiết bị phục vụ việc cung cấp dịch vụ; đảm bảo phương án dự phòng bảo đảm duy trì hoạt động an toàn, liên tục và khắc phục kịp thời khi có sự cố xảy ra; hệ thống thông tin cung cấp dịch vụ đặt tại Việt Nam; nơi đặt máy móc, thiết bị phù hợp với yêu cầu của pháp luật về phòng, chống cháy, nổ; phải có phương án báo cáo trực tuyến phục vụ công tác quản lý nhà nước về dịch vụ.

2.5. Có phương án sẵn sàng kết nối kỹ thuật phục vụ giám sát, kiểm tra, báo cáo số liệu bằng phương tiện điện tử đáp ứng yêu cầu quản lý nhà nước về dịch vụ tin cậy.

Để hạn chế tình trạng các doanh nghiệp, tổ chức cung cấp dịch vụ tin cậy sử dụng thông tin khách hàng vào những mục đích không phù hợp, thậm chí sử dụng vào mục đích đe dọa đến an toàn bảo mật thông tin, làm lộ bí mật kinh doanh,…, việc kiểm tra, giám sát của cơ quan quản lý nhà nước là rất cần thiết. Để phục vụ hoạt động quản lý nhà nước, doanh nghiệp, tổ chức cung cấp dịch vụ cần phải xây dựng kế hoạch, phương án để chủ động, sẵn sàng kết nối với các phần mềm quản lý của nhà nước. Doanh nghiệp, tổ chức cung cấp dịch vụ cần thiết lập hệ thống quản lý của riêng mình, bố trí kinh phí để đầu tư, trang bị các thiết bị máy móc kỹ thuật tương thích với các phần mềm quản lý của nhà nước.

Việc làm này sẽ giúp doanh nghiệp, tổ chức cung cấp dịch vụ tạo tính minh bạch trong quá trình kinh doanh phục vụ khách hàng, tạo niềm tin bền vững cho khách hàng.

Ngoài ra, khi các doanh ngiệp, tổ chức cung cấp dịch vụ tin cậy còn phải thực hiện các nghĩa vụ sau: Công bố công khai quy trình đăng ký sử dụng dịch vụ, biểu mẫu và chi phí liên quan. Bảo đảm kênh tiếp nhận thông tin và cung cấp dịch vụ liên tục 24 giờ trong ngày và 07 ngày trong tuần. Thực hiện chế độ lưu trữ hồ sơ, tài liệu và kết nối, cung cấp thông tin, số liệu báo cáo bằng phương tiện điện tử theo quy định của pháp luật. Bảo đảm trang thiết bị trong hệ thống thông tin được cấp mã quản lý, sẵn sàng kết nối kỹ thuật phục vụ công tác quản lý nhà nước về dịch vụ tin cậy. Thực hiện biện pháp nghiệp vụ, tạm dừng, chấm dứt cung cấp dịch vụ hoặc biện pháp nghiệp vụ khác theo yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật. Thực hiện trách nhiệm của chủ quản hệ thống thông tin phục vụ cung cấp dịch vụ tin cậy đáp ứng yêu cầu bảo đảm an toàn thông tin mạng tối thiểu cấp độ 3 theo quy định của pháp luật về an toàn thông tin mạng. Định kỳ hằng năm, báo cáo về hoạt động cung cấp dịch vụ tin cậy theo quy định của cơ quan có thẩm quyền. Nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số theo quy định của pháp luật về phí và lệ phí.

Đối với dịch vụ chứng thực chữ ký số công cộng, doanh nghiệp, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng còn phải thực hiện các hoạt động sau đây: Phát hành chứng thư chữ ký số công cộng để xác nhận và duy trì trạng thái hiệu lực chứng thư chữ ký số công cộng của chủ thể ký thông điệp dữ liệu; Thu hồi chứng thư chữ ký số công cộng; Kiểm tra hiệu lực chữ ký số công cộng và duy trì trạng thái hiệu lực của chứng thư chữ ký số công cộng; không sử dụng rào cản kỹ thuật, công nghệ để hạn chế việc kiểm tra hiệu lực chữ kỹ số công cộng; Cung cấp thông tin cần thiết để chứng thực chữ ký số công cộng; Liên thông với tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia để bảo đảm cho việc kiểm tra hiệu lực chữ ký số công cộng. Chứng thư chữ ký số công cộng, chữ ký số công cộng phải đáp ứng quy chuẩn kỹ thuật, yêu cầu kỹ thuật đối với chữ ký số và dịch vụ chứng thực chữ ký số theo quy định của pháp luật.

Đây là một ngành nghề kinh doanh có điều kiện hoàn toàn mới ở Việt Nam, hiện tại mới chỉ được quy định tại Luật Giao dịch điện tử năm 2023, luật này sẽ có hiệu lực thi hành ngày 01 tháng 7 năm 2024. Nhiều nội dung về điều kiện kinh doanh dịch vụ tin cậy, hoạt động của tổ chức cung cấp dịch vụ tin cậy; quy trình, thủ tục, hồ sơ cấp, gia hạn, thay đổi, cấp lại, tạm đình chỉ, thu hồi giấy phép kinh doanh dịch vụ tin cậy; dịch vụ chứng thực chữ ký số công cộng sẽ được quy định chi tiết tại các Nghị định hướng dẫn của Chính phủ, trong thời gian chờ Luật và các Nghị định hướng dẫn thi hành, các doanh nghiệp, tổ chức cung cấp dịch vụ tin cậy cần chủ động chuẩn bị đầy đủ các điều kiện cần thiết, chủ động cập nhật các quy định của pháp luật để có thể sẵn sàng triển khai hoạt động kinh doanh của doanh nghiệp, tổ chức.

                                                                                                           Trương Hiển

Văn Bản Pháp Quy