Sẽ hướng dẫn cụ thể các điểm chưa rõ trong Nghị định 130/2018 về chữ ký số

Tại Hội nghị “Chào mừng Ngày Pháp luật Việt Nam 9/11 và trao đổi về kiến nghị của các doanh nghiệp TT&TT đối với các văn bản quy phạm pháp luật chuyên ngành” do Bộ TT&TT tổ chức chiều 7/11 ở Hà Nội, ông Ngô Tuấn Anh, Chủ nhiệm Câu lạc bộ Chữ ký số và giao dịch điện tử thuộc Hiệp hội An toàn thông tin đã phản ánh về hai yêu cầu có vẻ trái ngược nhau trong Nghị định số 130/2018.

Toàn cảnh hội nghị dưới sự chủ trì của Thứ trưởng Bộ TT&TT Nguyễn Minh Hồng.

Theo ông Ngô Tuấn Anh, Nghị định 130/2018/NĐ-CP quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số sẽ có hiệu lực từ ngày 15/11/2018. Tuy nhiên, vẫn còn nhiều vấn đề đang tồn tại, ảnh hưởng đến khả năng hoạt động của các doanh nghiệp cung cấp dịch vụ chữ ký số công cộng.

Cụ thể, Điều 78 - Nghĩa vụ của người ký trước khi thực hiện ký số đã quy định: “Trong trường hợp người ký sử dụng chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp: Kiểm tra trạng thái chứng thư số của tổ chức cung cấp dịch vụ chứng thực chữ ký số cho mình trên hệ thống kỹ thuật của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia”.

Hiểu một cách nôm na là 1 người A gửi dữ liệu cho người B và sử dụng chữ ký số thì người A khi ký phải kiểm tra chữ ký số của mình trên hệ thống của Trung tâm Chứng thực điện tử quốc gia.

Ông Ngô Tuấn Anh nêu kiến nghị với lãnh đạo Bộ TT&TT.

“Quy định nêu trên có một số bất hợp lý. Thực tế, về kỹ thuật và thông lệ quốc tế chỉ quy định quyền được kiểm tra, còn trong Nghị định số 130 lại quy về phần nghĩa vụ”, ông Ngô Tuấn Anh nhận định, đồng thời phân tích: Hiện nay, với các hệ thống như ngân hàng, chứng khoán…, khi một người thực hiện giao dịch trực tuyến sử dụng chữ ký số, thông thường hệ thống của ngân hàng, chứng khoán… sẽ phải gửi trả lại xác nhận là đã tiếp nhận giao dịch, rồi sẽ ký số bằng chữ ký số của mình lên đó. Các hệ thống lõi của ngân hàng, chứng khoán… có yêu cầu bảo mật cao, sẽ không bao giờ kết nối lên Internet. Nhưng theo quy định ở Điều 78 nêu trên thì giờ họ cũng phải kết nối trực tiếp lên hệ thống của Trung tâm Chứng thực điện tử quốc gia để có thể kiểm tra trạng thái chữ ký số.

Các CA cũng là các đơn vị sử dụng chứng thư số do Trung tâm Chứng thực điện tử quốc gia cấp, mỗi khi cấp phát chữ ký số cho khách hàng cũng phải kiểm tra theo quy định trong Điều 78, nghĩa là cũng phải kết nối Internet với hệ thống của Trung tâm Chứng thực điện tử quốc gia. Nhưng cũng trong Nghị định số 130 lại có quy định rằng hệ thống của các CA phải cách ly với hệ thống Internet.

“Như vậy cùng trong một nghị định có một nội dung yêu cầu chúng tôi phải kết nối Internet để kiểm tra trạng thái chữ ký số nhưng lại có nội dung khác yêu cầu chúng tôi phải hạn chế kết nối Internet. Vô hình chung thì kiểu gì chúng tôi cũng sai, không sai ở nội dung này thì cũng sai ở nội dung kia. Chúng tôi đã có văn bản gửi lãnh đạo Bộ TT&TT và có 2 buổi làm việc với Trung tâm Chứng thực điện tử quốc gia nhưng đến nay vẫn đề vẫn chưa được giải quyết. Ngày 15/11 tới, Nghị định số 130 sẽ có hiệu lực, nếu những vướng mắc vẫn tồn tại thì sẽ rất khó khăn cho các CA trong quá trình triển khai”, Chủ nhiệm Câu lạc bộ Chữ ký số và giao dịch điện tử bày tỏ.

Ghi nhận kiến nghị về Điều 78 Nghị định số 130, đại diện Trung tâm Chứng thực điện tử Quốc gia giải thích: Có 3 đối tượng chịu sự điều chỉnh của Nghị định số 130 gồm: người dùng cuối, CA, người dùng là các tổ chức thuế, ngân hàng… 3 đối tượng có quá trình sử dụng đặc thù riêng. Mục tiêu, mong muốn của cơ quan soạn thảo là nâng cao ý thức của người sử dụng trước khi dùng chữ ký số khi giao dịch điện tử. Giải pháp đối với kiến nghị của doanh nghiệp nêu ra là Trung tâm sẽ tham mưu Bộ TT&TT ban hành văn bản hướng dẫn thực thi liên quan Điều 78.

Đại diện Vụ Pháp chế cũng chia sẻ: Các quy định pháp luật phải nhìn dưới góc độ bảo vệ cho số đông những người ký số. Các thuê bao khi ký phải kiểm tra trạng thái chứng thư số xem còn hiệu lực không. Những người sử dụng nhiều lần mỗi ngày thì trong đầu sẽ nhớ chứng thư số của mình có giá trị đến thời điểm nào, nhưng những người không sử dụng thường xuyên thì cần kiểm tra để đảm bảo chữ ký số không hết hiệu lực. Bộ TT&TT sẽ ban hành thông tư hướng dẫn biện pháp kỹ thuật để thuận tiện cho các đối tượng gồm cả thuê bao cũng như các CA. Ví dụ, sẽ yêu cầu CA khi thiết kế chữ ký số đảm bảo có phần mềm nhúng để khi ký số thì kiểm tra luôn được giá trị chứng thư số.

Tuy nhiên, những giải đáp nêu trên chưa thể khiến các doanh nghiệp giảm bớt nỗi lo. “Luật Giao dịch điện tử ở Điều 25, Điều 26 đã quy định người nhận tài liệu có ký số là người có trách nhiệm kiểm tra giá trị và thời hạn của chữ ký số. Mặt khác, trong 10 năm làm lĩnh vực này, tôi không thấy xảy ra rủi ro nào liên quan đến việc người ký không kiểm tra chữ ký của mình. Kể cả dự báo tương lai cũng không thấy có sở cứ nào để phải đưa nội dung này vào Nghị định số 130”, ông Ngô Tuấn Anh nói.

Được biết, trong một buổi họp mới đây với Trung tâm Chứng thực điện tử quốc gia, đại diện Tổng Công ty Giải pháp doanh nghiệp Viettel cũng có ý kiến rằng: Văn bản này là nghị định, theo chủ trương của Chính phủ thì thông tư chỉ quy định biểu mẫu để triển khai, không mang tính hướng dẫn nữa. Liệu một thông tư hướng dẫn có giải quyết được vấn đề đã nêu rõ trong nghị định hay không? Mặt khác, giả sử bây giờ nói điều này có thể hiểu cách A, cách B, nhưng sau này cơ quan nhà nước vận dụng nội dung đã quy định rõ trong nghị định rồi yêu cầu phải tuân thủ, khi đó sẽ rủi ro cho doanh nghiệp.

Tại Hội nghị, Thứ trưởng Bộ TT&TT Nguyễn Minh Hồng nhấn mạnh: “Cần sớm có giải pháp để tạo thuận lợi cho hoạt động của doanh nghiệp". Thứ trưởng cũng yêu cầu Vụ Pháp chế báo cáo Bộ trưởng và lãnh đạo Bộ để chỉ đạo các giải pháp cụ thể xử lý vướng mắc cho doanh nghiệp.

Bên cạnh nội dung liên quan đến Nghị định số 130, Câu lạc bộ Chữ ký số và giao dịch điện tử còn kiến nghị với Bộ TT&TT một số nội dung khác như có nội dung trong Nghị định số 130 mâu thuẫn với Luật Phí và lệ phí, chưa quản lý được việc cung cấp, sử dụng chứng thư số nước ngoài… Những nội dung này đã được đại diện các cơ quan, đơn vị thuộc Bộ TT&TT giải đáp cụ thể.