Cân nhắc kỹ quy định về quản lý chữ ký số chuyên dùng công vụ
Tiếp tục chương trình Kỳ họp thứ 5, sáng 30/5, Quốc hội thảo luận ở hội trường về một số nội dung còn ý kiến khác nhau của dự án Luật Giao dịch điện tử (sửa đổi).
Phân loại chữ ký điện tử theo phạm vi sử dụng
Trình bày Báo cáo tiếp thu, giải trình và chỉnh lý dự thảo Luật, Chủ nhiệm Ủy ban Khoa học, Công nghệ và Môi trường của Quốc hội Lê Quang Huy cho biết, về phạm vi điều chỉnh (Điều 1), theo Tờ trình của Chính phủ, việc mở rộng phạm vi điều chỉnh như quy định trong dự thảo Luật dựa trên cơ sở hạ tầng kỹ thuật, công nghệ… tại Việt Nam hiện đã sẵn sàng, đảm bảo an toàn, tin cậy. Các cơ quan, tổ chức, cá nhân khi tham gia giao dịch có quyền lựa chọn về công nghệ, phương tiện điện tử… để thực hiện giao dịch.
Đồng thời, ngoài các quy định về thông điệp dữ liệu, chữ ký điện tử, giao kết và thực hiện hợp đồng điện tử, dự thảo Luật đã bổ sung các quy định về dịch vụ tin cậy, chứng thư điện tử, giao dịch điện tử trong cơ quan Nhà nước… để có cơ sở pháp lý hướng dẫn giao dịch điện tử phù hợp với phạm vi điều chỉnh của Luật.
Bên cạnh đó, hệ thống pháp luật hiện hành có liên quan đã cơ bản được hoàn thiện, tạo cơ sở pháp lý cho phép các lĩnh vực đủ điều kiện có thể thực hiện giao dịch điện tử. Đồng thời, thực tiễn Việt Nam cho thấy, một số lĩnh vực loại trừ áp dụng trong phạm vi điều chỉnh của Luật Giao dịch điện tử năm 2005 hiện đã được triển khai giao dịch điện tử một phần như: đăng ký khai sinh, kết hôn đã có dịch vụ công trực tuyến tại nhiều địa phương… Các dịch vụ công trực tuyến do các bộ, ngành, địa phương cung cấp đang được tích cực triển khai theo hướng khép kín toàn bộ quá trình dịch vụ từ đầu đến cuối (toàn trình), phù hợp với xu thế chuyển đổi số đang được đẩy mạnh trong tất cả các lĩnh vực kinh tế - xã hội theo chủ trương, chính sách của Đảng và Nhà nước.
Vì vậy, Điều 1 đã được chỉnh lý như trong dự thảo Luật theo hướng: chỉ quy định việc thực hiện giao dịch bằng phương tiện điện tử, không quy định về nội dung, hình thức, điều kiện của giao dịch thuộc các lĩnh vực khác nhau, trong đó có lĩnh vực quốc phòng, an ninh. Giao dịch trong lĩnh vực nào sẽ được điều chỉnh bởi pháp luật chuyên ngành của lĩnh vực đó.
Về chữ ký điện tử (Điều 25), có ý kiến đề nghị cần làm rõ nội hàm của chữ ký số, chữ ký điện tử; đề nghị làm rõ các hình thức OTP, SMS hay sinh trắc học có phải là chữ ký điện tử không; có ý kiến đề nghị nghiên cứu bổ sung quy định nhằm tạo cơ sở pháp lý cho các biện pháp xác thực với vai trò như là chữ ký điện tử.
Chủ nhiệm Lê Quang Huy cho biết, hiện nay, các hình thức mã xác thực giao dịch qua tin nhắn điện tử (SMS), xác nhận mật khẩu dùng một lần (OTP), Token OTP, sinh trắc học, định danh người dùng bằng phương thức điện tử (eKYC)… được sử dụng tương đối phổ biến trong giao dịch điện tử. Tuy nhiên, các hình thức này chỉ được coi là chữ ký điện tử khi: kết hợp một cách logic với thông điệp dữ liệu; có khả năng xác nhận chủ thể ký thông điệp dữ liệu và xác nhận sự chấp thuận của chủ thể đó đối với nội dung thông điệp dữ liệu được ký.
Tiếp thu ý kiến đại biểu Quốc hội, dự thảo Luật đã chỉnh lý nội dung giải thích từ ngữ về “Chữ ký số”, “Chữ ký điện tử” tại Điều 3. Ngoài ra, Điều 25 dự thảo Luật đã phân loại chữ ký điện tử theo phạm vi sử dụng bao gồm: chữ ký điện tử chuyên dùng; chữ ký số công cộng và chữ ký số chuyên dùng công vụ.
Đối với ý kiến đề nghị bổ sung quy định nhằm tạo cơ sở pháp lý cho các biện pháp xác thực bằng phương tiện điện tử khác, Ủy ban Thường vụ Quốc hội thấy rằng, theo khoản 3 Điều 4 về nguyên tắc chung tiến hành giao dịch điện tử, các bên được “Tự thỏa thuận về việc lựa chọn loại công nghệ, phương tiện điện tử, chữ ký điện tử để thực hiện giao dịch điện tử”.
Thực tế theo báo cáo của các ngân hàng, khách hàng có thể sử dụng tài khoản giao dịch, mật khẩu, mã OTP,… do ngân hàng cung cấp để thực hiện giao dịch. Đây là một hình thức xác nhận sự chấp thuận của khách hàng đối với nội dung thông điệp dữ liệu (nội dung giao dịch), tuy nhiên những hình thức này không phải là chữ ký điện tử theo quy định của Luật này.
Do đó, Ủy ban Thường vụ Quốc hội đã chỉ đạo bổ sung khoản 4 Điều 25 quy định về các hình thức xác nhận khác bằng phương tiện điện tử mà không phải là chữ ký điện tử thì thực hiện theo quy định của pháp luật chuyên ngành, để phù hợp với thực tiễn triển khai.
Bổ sung quy định trách nhiệm của các nhà cung cấp
Qua thảo luận, các đại biểu đánh giá cao nội dung hoàn thiện Luật Giao dịch điện tử (sửa đổi) trình tại Kỳ họp này.
Đại biểu Nguyễn Hoàng Bảo Trân (Bình Dương) nêu rõ, dịch vụ chứng thực chữ ký số chuyên dùng công vụ là dịch vụ công quan trọng đặc thù do đối tượng sử dụng dịch vụ là công chức, viên chức nhà nước. Lĩnh vực quản lý về chữ ký số chuyên dùng công vụ và quản lý về chữ ký số chuyên dùng công cộng là 2 lĩnh vực riêng biệt, có đặc thù khác nhau về đối tượng, mục tiêu, phương thức quản lý, hạ tầng kỹ thuật. Do vậy, khi quy định đối với cơ quan quản lý Nhà nước về chữ ký số chuyên dùng công vụ cần phải cân nhắc kỹ lưỡng, không nhất thiết cứng nhắc bắt buộc phải tách bạch về quản lý Nhà nước và cung cấp dịch vụ.
Đại biểu cho biết, thực tiễn từ năm 2007 đến nay đã tồn tại 2 hệ thống chữ ký số riêng biệt là chữ ký số chuyên dùng công vụ và chữ ký số công cộng được Chính phủ giao cho 2 cơ quan quản lý. Trong đó, Bộ Quốc phòng quản lý Nhà nước về chữ ký số chuyên dùng công vụ. Bộ Thông tin và Truyền thông quản lý Nhà nước về chữ ký số chuyên dùng công cộng.
Đại biểu phân tích, chữ ký số chuyên dùng công vụ là hoạt động có tính đặc thù, trách nhiệm của cơ quan, tổ chức và cá nhân bảo lưu. Đây là thực thi công vụ của Nhà nước thực hiện nhiệm vụ chính trị không thu phí, đối tượng phục vụ là các cá nhân của các cơ quan Đảng, Nhà nước, các tổ chức chính trị, xã hội; đòi hỏi cấp độ an toàn, bảo mật cao hơn. Trong khi đó, chữ ký số chuyên dùng công cộng do Bộ Thông tin và Truyền thông quản lý và cấp phép cho các doanh nghiệp cung cấp dịch vụ cho các cá nhân, tổ chức, doanh nghiệp là hoạt động kinh doanh có điều kiện, có thu phí. Vì vậy, cấp độ an toàn thấp hơn. Nếu dự thảo quy định Bộ Thông tin và Truyền thông quản lý Nhà nước cả 2 loại chữ ký số trên thì khi có vấn đề mất an toàn xảy ra, việc xác định trách nhiệm là không rõ ràng.
Từ phân tích trên, đại biểu Nguyễn Hoàng Bảo Trân đề nghị quy định Bộ trưởng Bộ Quốc phòng thực hiện quản lý Nhà nước về giao dịch điện tử trong lĩnh vực cơ yếu, chữ ký số chuyên dùng công vụ theo quy định pháp luật về cơ yếu và giao dịch điện tử.
Đồng quan điểm, đại biểu Hoàng Hữu Chiến (An Giang) đề nghị Ban soạn thảo tiếp tục nghiên cứu để quy định cụ thể hơn thẩm quyền của Bộ Quốc phòng và vai trò, trách nhiệm của Ban Cơ yếu Chính phủ đối với việc quản lý, khai thác, cung cấp chữ ký số chuyên dùng công vụ.
Đại biểu Trần Thị Thu Phước (Kon Tum) đánh giá, việc sửa đổi, hoàn thiện Luật Giao dịch điện tử cho phù hợp trong tình hình hiện nay là nhiệm vụ cấp bách, tạo môi trường pháp lý thuận lợi để chuyển các hoạt động từ thế giới thực sang môi trường số trong tất cả các ngành, lĩnh vực, góp phần bảo vệ quyền và lợi ích hợp pháp của các bên tham gia giao dịch điện tử. Tuy nhiên, thời gian qua, các hình thức tội phạm lợi dụng giao dịch điện tử ngày càng đa dạng, tinh vi; các hành vi lừa đảo trên không gian mạng thông qua các mạng xã hội, qua các ứng dụng thanh toán điện tử, trang web giả mạo... không chỉ gây thiệt hại cho người dân, doanh nghiệp mà còn ảnh hưởng đến niềm tin của người dân đối với các giao dịch trên môi trường điện tử.
Đại biểu cho rằng, dự thảo Luật đã tiếp thu chỉnh lý, quy định rõ ràng về các biện pháp bảo đảm an toàn thông tin mạng và an ninh mạng trong giao dịch điện tử, quy định trách nhiệm của các bên tham gia trong giao dịch điện tử. Tuy nhiên, để phòng ngừa, ngăn chặn tình trạng lợi dụng giao dịch điện tử để thực hiện hành vi vi phạm pháp luật, cần bổ sung quy định trách nhiệm của các nhà cung cấp, các nền tảng trung gian trong kiểm soát và loại bỏ các nội dung vi phạm pháp luật trên nền tảng số, trách nhiệm của các cơ quan Nhà nước có liên quan trong việc giám sát, xử lý các hành vi vi phạm pháp luật trong giao dịch điện tử theo lĩnh vực, địa bàn được phân công.