GIÁ TRỊ PHÁP LÝ CỦA CHỮ KÝ SỐ
Nguyễn Huy Hoàng, Luật sư Thành viên, BROSS & Partners
Email: hoang@bross.vn
Đoàn Thanh Bình, Luật sư, BROSS & Partners
Email: binh.dt@bross.vn
Cùng với xu hướng chuyển đổi số trong hoạt động của chính phủ cũng như doanh nghiệp, chữ ký số đang ngày càng được các doanh nghiệp Việt Nam quan tâm và lựa chọn sử dụng nhằm tiết kiệm thời gian, chi phí, cũng như thực hiện hiệu quả hơn các mục tiêu kinh doanh.
Hiện tại, Việt Nam đã có khung pháp lý tương đối đầy đủ để tạo điều kiện cho việc phát triển dịch vụ chữ ký số và sử dụng chữ ký số. Bài viết này sẽ (i) giới thiệu những đặc điểm cơ bản của chữ ký số và (ii) đưa ra một số phân tích cơ bản về giá trị pháp lý của chữ ký số theo pháp luật Việt Nam.
1. Chữ ký số là gì?
Theo Nghị định 130/2018/NĐ-CP hiện hành, chữ ký số được định nghĩa là:
(1) một dạng chữ ký điện tử[1];
(2) được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng;
(3) theo đó, người có được thông điệp dữ liệu ban đầu và khóa công khai của người ký có thể xác định được chính xác:
(a) Việc biến đổi nêu trên được tạo ra bằng đúng khóa bí mật tương ứng với khóa công khai trong cùng một cặp khóa; và
(b) Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi thực hiện việc biến đổi nêu trên.
Có thể thấy, chữ ký số là sản phẩm của việc ứng dụng “công nghệ” về hệ thống mật mã không đối xứng (asymmetric encryption) hay khoá công khai (public key cryptography)[2]. Với công nghệ này, mỗi chủ thể sử dụng chữ ký số (“Người Ký”) sẽ tạo lập hoặc được cung cấp một cặp mã (là những chuỗi số nhị phân tương đối dài) phục vụ cho việc xác lập giao dịch, gồm khoá bí mật (private key) và khoá công khai (public key). Khoá bí mật sẽ được Người Ký dùng để tạo chữ ký số trên một tài liệu điện tử (gọi tắt là “ký số”), còn khoá công khai sẽ được những người liên quan dùng để kiểm tra chữ ký số trên tài liệu có đúng là của Người Ký hay không và kể từ thời điểm ký số, tài liệu đó có toàn vẹn (không bị thay đổi) hay không[3].
Về cơ bản, khoá bí mật và khoá công khai sẽ được tạo ra bằng một “công thức” toán học hay giao thức (protocol) đặc biệt, sao cho người có được khoá công khai sẽ không thể tính toán ra được khoá bí mật với trình độ của công nghệ máy tính hiện tại[4]. Mỗi khoá bí mật, về nguyên tắc, chỉ thuộc về một Người Ký duy nhất, và chỉ Người Ký đó có thể và có nghĩa vụ lưu trữ, bảo mật, và giữ an toàn khoá bí mật[5]. Trong khi đó, khoá công khai của Người Ký hoàn toàn có thể được công bố cho tất cả mọi người hay cung cấp cho bất kỳ người nào khác mà vẫn đảm bảo an toàn cho khoá bí mật.
Trên thực tế, việc sử dụng chữ ký số không thể thiếu vai trò hỗ trợ của một bên thứ ba, đó là các tổ chức cung cấp dịch vụ chứng thực chữ ký số (“Tổ Chức Chứng Thực”). Theo Điều 4 Nghị định 130/2018/NĐ-CP, dịch vụ chứng thực chữ ký số bao gồm các công việc sau:
(1) Tạo cặp khóa hoặc hỗ trợ tạo cặp khóa bao gồm khóa công khai và khóa bí mật cho thuê bao;
(2) Cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư số của thuê bao;
(3) Duy trì trực tuyến cơ sở dữ liệu về chứng thư số; và
(4) Cung cấp thông tin cần thiết để giúp chứng thực chữ ký số của thuê bao đã ký số trên thông điệp dữ liệu.
Trong đó, chứng thư số là một dạng chứng thư điện tử do Tổ Chức Chứng Thực phát hành nhằm cung cấp thông tin định danh cho khóa công khai của một cơ quan, tổ chức, cá nhân, từ đó xác nhận cơ quan, tổ chức, cá nhân là người ký chữ ký số bằng việc sử dụng khóa bí mật tương ứng[6]. Nói cách khác, bằng việc cấp cho chúng ta chứng thư số, Tổ Chức Chứng Thực sẽ xác nhận và đứng ra bảo đảm rằng một khoá công khai nào đó đã được cấp cho chủ thể nào.
|
QUY TRÌNH KÝ SỐ
Sau khi được Tổ Chức Chứng Thực cấp cặp khoá bí mật – khoá công khai, để ký số trên một tài liệu điện tử, Người Ký sẽ dùng một phần mềm máy tính (tên gọi chính thức là “ứng dụng sử dụng chữ ký số”[7]) để “chạy” một nhóm các thuật toán gọi chung là thuật toán ký số (signing algorithm). Đầu vào (input) của thuật toán ký số sẽ bao gồm (i) tài liệu điện tử cần được ký số và (ii) khoá bí mật của Người Ký[8].
Khi chạy thuật toán ký số, nội dung của tài liệu điện tử (là các ký tự, hình ảnh, v.v…) sẽ được một thuật toán gọi là “hàm băm” (hash function)[9] mã hoá/“băm nhỏ” thành một đoạn mã – gồm một số lượng ký tự nhất định, gọi là “thông điệp tóm tắt” (hash hay message digest). Điểm đặc biệt của thông điệp tóm tắt và hàm băm là chúng ta có thể chắc chắn gần như tuyệt đối rằng các thông điệp tóm tắt được hàm băm tạo ra từ 02 tài liệu khác nhau bất kỳ (dù khác biệt là hết sức nhỏ) trên thực tế sẽ không bao giờ giống nhau. Vì vậy, thông điệp tóm tắt còn được gọi là “dấu vân tay số” (digital fingerprint) của một thông điệp dữ liệu bởi tính chất độc nhất của nó[10].
|
Ala has a cat named Mruczek.
|
8fca969b64f34edc160a205cb3aa5c86
|
|
Ala has a cat named Mruczek..
|
fe634af96c21b486e189224b70018189
|
|
Ala has a cat named mruczek.
|
e478d8300e1e1cf6e1abde3d23948e43
|
Ví dụ: Cột bên trái là dữ liệu và cột bên phải thông điệp tóm tắt được tạo ra từ thông điệp dữ liệu tương ứng thông qua hàm băm. Đáng chú ý là các dữ liệu chỉ khác nhau ở 01 ký tự, song thông điệp tóm tắt của chúng lại rất khác nhau. Nguồn: Rafał Kuchta, The hash – a computer file’s digital fingerprint, https://newtech.law/en/the-hash-a-computer-files-digital-fingerprint/.
Tiếp theo, thông điệp tóm tắt của tài liệu cần được ký số tiếp tục được mã hoá bằng cách kết hợp với khoá bí mật của Người Ký theo cách thức nhất định để tạo ra một đoạn mã khác, dùng để “chèn” vào tài liệu – đoạn mã đó chính là chữ ký số, có giá trị chứng minh cho việc ký kết tài liệu của Người Ký.
Người Ký sau đó sẽ gửi một bộ tài liệu điện tử đã chèn chữ ký số cho người nhận. Để kiểm tra tính xác thực của tài liệu và chữ ký số, người nhận cũng sẽ dùng phần mềm máy tính để “chạy” một số thuật toán gọi chung là “thuật toán xác thực” (signature verifying algorithm) với đầu vào bao gồm (i) tài liệu điện tử nhận được từ Người Ký, trên đó có chèn chữ ký số, và (ii) khoá công khai của Người Ký[11]. Để đảm bảo chắc chắn khoá công khai thật sự thuộc về Người Ký, người nhận sẽ sử dụng dịch vụ chứng thư số của Tổ Chức Chứng Thực để xác minh.
Nhờ vào mối quan hệ đặc biệt về toán học giữa khoá bí mật và khoá công khai, với đầu vào là chữ ký số nhận được từ Người Ký và khoá công khai của Người Ký, thuật toán xác thực sẽ cho biết được chữ ký số đó có đúng là đã được tạo ra bằng khoá bí mật thuộc cùng một cặp với khoá công khai của Người Ký hay không. Đồng thời, thuật toán xác thực cũng sẽ giúp giải mã chữ ký số để thu được thông điệp tóm tắt/“dấu vân tay số” của tài liệu mà Người Ký đã dùng để ký số, và “chạy” hàm băm trên tài liệu mà người nhận nhận được từ Người Ký để thu được thông điệp tóm tắt của tài liệu này. Nếu hai thông điệp tóm tắt thu được là giống nhau, thì người nhận có thể chắc chắn rằng tài liệu mà mình nhận được từ Người Ký hoàn toàn giống với tài liệu mà Người Ký đã dùng để ký số và chưa bị thay đổi hay đánh tráo nội dung[12].
Tóm lại, với tài liệu đã được ký số và khoá công khai của Người Ký đã được xác minh bởi chứng thư số, thuật toán xác thực sẽ giúp ta trả lời “có” hoặc “không” với độ chắc chắn gần như tuyệt đối cho 02 câu hỏi sau: (i) Chữ ký số được chèn vào tài liệu có đúng là đã được tạo ra bằng khoá bí mật thuộc cùng một cặp với khoá công khai của Người Ký hay không; và (ii) Tài liệu đó có toàn vẹn (không bị thay đổi) sau khi được ký số hay không? Từ đó, với giả định/suy đoán rằng chỉ duy nhất Người Ký có thể tiếp cận và sử dụng được khoá bí mật, ta sẽ có cơ sở xác định về mặt pháp lý rằng Người Ký có thực hiện việc ký số trên tài liệu hay không.
|
2. Giá trị pháp lý của chữ ký số
Nhìn chung, pháp luật Việt Nam đã có các quy định tương đối đầy đủ để đảm bảo hiệu lực của giao dịch được xác lập bằng chữ ký số trong những lĩnh vực nhất định.
Bộ luật Dân sự 2015, đạo luật chung điều chỉnh về các giao dịch dân sự, quy định giao dịch dân sự thông qua phương tiện điện tử dưới hình thức thông điệp dữ liệu theo quy định của pháp luật về giao dịch điện tử được xem là giao dịch bằng văn bản, và sẽ có hiệu lực nếu đáp ứng các điều kiện có hiệu lực của giao dịch dân sự nói chung.
Luật Giao dịch Điện tử 2005, được quy định chi tiết bởi Nghị định 130/2018/NĐ-CP, đã có các quy định công nhận hiệu lực của giao dịch được ký số trong hoạt động của các cơ quan nhà nước; trong lĩnh vực dân sự, kinh doanh, thương mại và các lĩnh vực khác do pháp luật quy định; tuy nhiên, Luật này không áp dụng đối với việc cấp giấy chứng nhận quyền sử dụng đất, quyền sở hữu nhà và các bất động sản khác, văn bản về thừa kế, giấy đăng ký kết hôn, quyết định ly hôn, giấy khai sinh, giấy khai tử, hối phiếu và các giấy tờ có giá khác.
Trên cơ sở các văn bản trên, để một giao dịch được ký số trong lĩnh vực dân sự, kinh doanh, thương mại có hiệu lực (trừ các giao dịch được loại trừ như đã nêu), các điều kiện sau đây phải được đáp ứng:
(1) Các điều kiện có hiệu lực của giao dịch dân sự nói chung theo Bộ luật Dân sự 2015[13], bao gồm:
(a) Chủ thể tham gia giao dịch có đầy đủ năng lực và tự nguyện tham gia giao dịch;
(b) Nội dung và mục đích của giao dịch không vi phạm điều cấm của luật và không trái đạo đức xã hội; và
(c) Giao dịch phải được lập thành văn bản, công chứng, chứng thực nếu luật có yêu cầu. Liên quan đến điều kiện này, Điều 119.1 Bộ luật Dân sự 2015 cũng quy định giao dịch điện tử (bao gồm giao dịch được ký số) phù hợp với pháp luật về giao điện tử được xem là giao dịch bằng văn bản.
và
(2) Các điều kiện có hiệu lực đặc thù của giao dịch được ký số, bao gồm:
(a) Các bên tham gia giao dịch có thoả thuận về việc sử dụng chữ ký số để xác lập giao dịch, kể cả thoả thuận về việc sử dụng chữ ký số có chứng thực hay không chứng thực và thoả thuận về việc lựa chọn Tổ Chức Chứng Thực[14]. Theo chúng tôi, các thoả thuận trên không nhất thiết phải minh thị bằng lời hay văn bản, mà có thể là thoả thuận ngầm định bằng chính hành vi ký số vào tài liệu giao dịch của các bên;
(b) Chữ ký số được sử dụng có giá trị pháp lý[15], nghĩa là:
(i) Chữ ký số được tạo ra trong thời gian chứng thư số có hiệu lực và kiểm tra được bằng khóa công khai ghi trên chứng thư số đó;
(ii) Chữ ký số được tạo ra bằng việc sử dụng khóa bí mật tương ứng với khóa công khai ghi trên chứng thư số do một trong các Tổ Chức Chứng Thực được cấp phép[16] cấp; và
(iii) Khóa bí mật chỉ thuộc sự kiểm soát của Người Ký tại thời điểm ký.
Có thể thấy, các điều kiện có hiệu lực đặc thù của giao dịch được ký số đã phản ánh được khá toàn diện các yêu cầu kỹ thuật của chữ ký số mà chúng ta đã phân tích. Nếu doanh nghiệp sử dụng dịch vụ chứng thực chữ ký số của những Tổ Chức Chứng Thực được cấp phép và ứng dụng các công nghệ đạt tiêu chuẩn thì có thể dễ dàng xác định (i) việc ký số có được thực hiện bằng khoá bí mật của Người Ký, và (ii) mã công khai mà người nhận có được thật sự thuộc về Người Ký.
Tuy nhiên, về điều kiện “khóa bí mật chỉ thuộc sự kiểm soát của Người Ký tại thời điểm ký”, chúng tôi được hỏi rằng liệu Người Ký có thể viện lý do rằng tại thời điểm ký, khoá bí mật đã bị một người khác kiểm soát để yêu cầu Toà án tuyên bố giao dịch vô hiệu hoặc chưa được xác lập hay không? Thông thường, Tổ Chức Chứng Thực sẽ cấp thiết bị lưu trữ khoá bí mật cho Người Ký và Người Ký phải cam kết rằng chỉ người có thẩm quyền của mình có thể quản lý, kiểm soát thiết bị này. Đồng thời, khi tiến hành ký số, tài liệu sẽ được gửi đến thư điện tử của những người có thẩm quyền của các bên xem xét trước khi ký. Tổng hợp các yếu tố đó, chúng tôi cho rằng không khó để thu thập các chứng cứ liên quan (mà hầu hết sẽ được lưu trữ trên hệ thống của Tổ Chức Chứng Thực) để chứng minh cơ sở hợp lý để suy đoán rằng người có thẩm quyền của Người Ký là chủ thể duy nhất kiểm soát khoá bí mật tại thời điểm ký. Nếu Người Ký cho rằng khoá bí mật đã bị người khác chiếm đoạt và kiểm soát trái phép thì Người Ký sẽ có nghĩa vụ chứng minh. Ngoài ra, Điều 25.2(a) và 25.3 Luật Giao dịch Điện tử 2005 cũng quy định người ký chữ ký điện tử có nghĩa vụ có các biện pháp để tránh việc sử dụng không hợp pháp dữ liệu tạo chữ ký điện tử của mình và phải chịu trách nhiệm trước pháp luật về hậu quả do không tuân thủ quy định trên.
Từ những phân tích trên, chúng tôi cho rằng với việc ứng dụng hệ thống mật mã không đối xứng đạt chuẩn bởi các Tổ Chức Chứng Thực được cấp phép, chữ ký số sẽ là một giải pháp an toàn về pháp lý cho doanh nghiệp để xác lập các giao dịch điện tử, giúp tiết kiệm được thời gian và chi phí.
Trên đây là một số ý kiến của chúng tôi liên quan đến chữ ký số theo pháp luật Việt Nam. Xin lưu ý rằng bài viết này không phải là ý kiến pháp lý toàn diện cho bất kỳ trường hợp cụ thể nào. Vui lòng tham khảo ý kiến chuyên gia trong trường hợp Quý vị gặp phải các vấn đề pháp lý liên quan.
BROSS & Partners là công ty luật Việt Nam được đề xuất bởi Legal 500 Asia Pacific, Chamber Asia Pacific, AsiaLaw, IFLR1000, Benchmark Litigation, có kinh nghiệm và năng lực tư vấn và giải quyết tranh chấp liên quan đến Đầu tư, Doanh nghiệp và Thương mại, Mua bán & Sáp nhập, Lao động & Việc làm, Bất động sản & Xây dựng, Tài chính – Ngân hàng, Chứng khoán, Thị trường Vốn, và Sở hữu Trí tuệ.
Trường hợp Quý vị cần hỗ trợ, vui lòng liên hệ: hoang@bross.vn; Mobile: +84 903 556 119; WhatsApp: +84 903 556 119; Zalo: +84 903 556 119.
[1] Điều 21.1 Luật Giao dịch Điện tử 2005 quy định chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký.
[4] Tiêu biểu là giao thức RSA (Rivest–Shamir–Adleman) và giao thức DHKE (Diffie-Hellman); việc dùng khoá công khai để tính toán ra khoá bí mật tương ứng sẽ mất rất nhiều năm với trình độ của công nghệ máy tính hiện tại; theo Paar, Christof & Pelzl, Jan (2010), Understanding Cryptography – A Textbook for Students and Practitioners, Springer, 150-169, 175-179, 194-195.
[5] Điều 75.5 và 76.2 Nghị định 130/2018/NĐ-CP không quy định rõ việc lưu trữ, bảo mật, và giữ an toàn khoá bí mật là quyền hay nghĩa vụ/trách nhiệm của người sử dụng chữ ký số. Tuy nhiên, Điều 25.2(a) và 25.3 Luật Giao dịch Điện tử 2005 quy định người ký chữ ký điện tử có nghĩa vụ có các biện pháp để tránh việc sử dụng không hợp pháp dữ liệu tạo chữ ký điện tử của mình và phải chịu trách nhiệm trước pháp luật về hậu quả do không tuân thủ quy định trên.
[6] Điều 3.7 Nghị định 130/2018/NĐ-CP.
[7] Điều 3.14 Nghị định 130/2018/NĐ-CP.
[13] Điều 117 Bộ luật Dân sự 2015.
[14] Điều 5.1, 5.2, 23.1 Luật Giao dịch Điện tử 2005.
[15] Điều 8 và 9 Nghị định 130/2018/NĐ-CP. Quy định này dường như là sự cụ thể hoá Điều 24 Luật Giao dịch Điện tử 2005, theo đó:
“1. Trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu chữ ký điện tử được sử dụng để ký thông điệp dữ liệu đó đáp ứng các điều kiện sau đây:
a) Phương pháp tạo chữ ký điện tử cho phép xác minh được người ký và chứng tỏ được sự chấp thuận của người ký đối với nội dung thông điệp dữ liệu;
b) Phương pháp đó là đủ tin cậy và phù hợp với mục đích mà theo đó thông điệp dữ liệu được tạo ra và gửi đi.
2. Trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan, tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bởi chữ ký điện tử của cơ quan, tổ chức đáp ứng các điều kiện quy định tại khoản 1 Điều 22 của Luật này và chữ ký điện tử đó có chứng thực.”
[16] Bao gồm: (i) Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia; (ii) Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ; (iii) Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng; (iv) Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng của các cơ quan, tổ chức được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số chuyên dùng (Điều 9.2 Nghị định 130/2018/NĐ-CP).
.jpg)
.jpg)
