Ở giai đoạn 'quá độ' lên chữ ký số toàn dân: Doanh nghiệp cần làm gì?

Chữ kí số đã được quy định, công nhận trong Luật Giao dịch điện tứ sửa đổi. Ảnh minh họa: DNCC

Chữ ký trong hợp đồng giấy là cơ sở để xác định người ký và sự chấp thuận của người ký đối với hợp đồng. Chỉ khi có thống nhất ý chí của các bên thể hiện qua chữ ký trong hợp đồng thì hợp đồng mới được hình thành. Ngoài ra, chữ ký còn có thể dùng làm bằng chứng cho tính toàn vẹn của văn bản (ví dụ như ký tại tất cả các trang để đảm bảo từng trang không bị sửa đổi sau khi ký). Tương đương với chữ ký trên giấy là chữ ký điện tử trên thông điệp dữ liệu. Chữ ký điện tử được thiết kế về mặt kỹ thuật và về mặt pháp lý để thực hiện được toàn bộ các chức năng của chữ ký tay.

Chức năng và độ tin cậy của chữ ký điện tử

Chữ ký điện tử được Luật GDĐT 2023 quy định “là chữ ký được tạo lập dưới dạng dữ liệu điện tử gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu để xác nhận chủ thể ký và khẳng định sự chấp thuận của chủ thể đó đối với thông điệp dữ liệu”, giống với định nghĩa tại Luật mẫu của UNCITRAL(2) về Chữ ký điện tử năm 2001.

Hướng dẫn áp dụng Luật mẫu này làm rõ rằng các công nghệ khác nhau có thể sử dụng cho chữ ký điện tử như mã hóa bất đối xứng/đối xứng, sinh trắc học (khuôn mặt, vân tay…), mã định danh cá nhân (PIN)… Dù vậy, các công nghệ vẫn phải đáp ứng điều kiện tiên quyết là có khả năng đảm bảo sự tương đương với chữ ký tay về mặt chức năng là: (1) xác nhận chủ thể ký và (2) khẳng định sự chấp thuận đối với thông điệp dữ liệu nhất định.

Tại Việt Nam, các hình thức xác nhận khác bằng phương tiện điện tử như chữ ký scan, chữ ký hình ảnh, mật khẩu sử dụng một lần (OTP), tin nhắn (SMS)… không phải là chữ ký điện tử. Tuy nhiên, hình thức này được chấp nhận trong một số trường hợp dùng cho riêng mục đích thể hiện sự chấp thuận của chủ thể ký với thông điệp dữ liệu (mà không phải xác nhận chủ thể) ví dụ như thuế, hải quan, ngân hàng… Để xác nhận được chủ thể trong tình huống này cần kết hợp thêm nhiều các thông tin định danh đã được thu thập trước đó.

Chữ ký điện tử có các mức độ tin cậy khác nhau dựa vào việc có đảm bảo về tính toàn vẹn của thông điệp dữ liệu, có được chứng thực bởi một bên độc lập không, bên chứng thực có được Nhà nước công nhận không…

Luật GDĐT 2023 của Việt Nam chỉ công nhận “chữ ký điện tử chuyên dùng bảo đảm an toàn” hoặc “chữ ký số” mới có giá trị pháp lý tương đương chữ ký cá nhân trong văn bản giấy hoặc xác nhận của cơ quan/tổ chức. Chữ ký điện tử chuyên dùng do cơ quan, tổ chức tạo lập, sử dụng riêng cho hoạt động của cơ quan, tổ chức đó phù hợp với chức năng, nhiệm vụ. Trong khi đó, chữ ký số (một loại chữ ký điện tử) cần bảo đảm tính xác thực, tính toàn vẹn và tính chống chối bỏ (nhưng không bảo đảm tính bí mật của thông điệp dữ liệu).

Cụ thể hơn, một trong các điều kiện chữ ký số phải đáp ứng là “mọi thay đổi đối với thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện”. Điều này có nghĩa là pháp luật Việt Nam cho rằng chữ ký cá nhân (khi sử dụng cho phạm vi ngoài hoạt động riêng của một cơ quan, tổ chức) có chức năng đảm bảo tính toàn vẹn của thông tin mà nó gắn liền.

Thách thức trong áp dụng chữ ký điện tử

Việc giới hạn hai loại chữ ký điện tử tương đương chữ ký tay đang khiến nhiều doanh nghiệp quan ngại về các ảnh hưởng đến hoạt động kinh doanh.

Phản ứng mạnh mẽ nhất là lĩnh vực ngân hàng khi theo Dự thảo Nghị định về chữ ký điện tử và dịch vụ tin cậy đang lấy ý kiến, khách hàng giao dịch trực tuyến trong lĩnh vực này phải sử dụng chữ ký số. Nếu bắt buộc phải sử dụng chữ ký số, với số lượng giao dịch lớn, theo Hiệp hội Ngân hàng, một ngân hàng thương mại có vốn nhà nước ước tính, khách hàng của ngân hàng này phải trả cho nhà cung cấp hàng ngàn tỉ đồng, tối thiểu mỗi người 550.000 đồng/năm. Chi phí phát sinh này còn nhiều tranh cãi, khi Câu lạc bộ Chữ ký số và giao dịch điện tử (VCDC) cho rằng cá nhân chỉ cần 60.000 đồng/năm.

Tuy nhiên, không thể phủ nhận, những chi phí về sửa đổi, tích hợp hệ thống công nghệ cũng như lưu trữ dữ liệu giao dịch cũng không hề nhỏ. Đồng thời, nếu phát sinh chi phí dù chỉ ở mức vài chục ngàn đồng/năm như VCDC nêu, các khách hàng cá nhân sẽ có tâm lý ngần ngại khi giao dịch điện tử. Sự nhạy cảm về giá này được phản ánh qua việc một số ngân hàng tăng mạnh tỷ lệ CASA nhờ vào chính sách zero-fee miễn phí giao dịch thời gian qua. Bên cạnh đó, với mong muốn giao dịch đơn giản và thuận tiện, các cá nhân sẽ ít sẵn lòng thực hiện thêm các thao tác như đăng ký cấp chữ ký số, cài đặt ứng dụng chữ ký số, kiểm tra hiệu lực và thực hiện ký số.

Rõ ràng các doanh nghiệp có lý do để lo lắng về trải nghiệm khách hàng khi áp dụng chữ ký số. Việc thuyết phục khách hàng sử dụng khi không có quy định bắt buộc rõ ràng sẽ là rất thách thức.

Lựa chọn nào cho doanh nghiệp?

Chữ ký số công cộng là chữ ký điện tử có mức tin cậy cao nhất. Mỗi cá nhân có một chữ ký số là một yếu tố cơ bản để tiến tới xã hội số. Vậy nhưng trong thời kỳ “quá độ” lên xã hội đó, doanh nghiệp cần làm gì để đảm bảo trải nghiệm cho khách hàng?

Trước hết, cần phải nắm rõ rằng Luật GDĐT 2023 không quy định mọi giao dịch của cá nhân đều phải được ký số. Luật này chỉ quy đinh về chữ ký “có giá trị pháp lý tương đương chữ ký của cá nhân đó trong văn bản giấy”.

Giao dịch dân sự và hợp đồng thương mại có thể được thể hiện bằng lời nói, văn bản hoặc hành vi cụ thể. Do không nhất thiết phải bằng văn bản, các giao dịch và hợp đồng này cũng không bắt buộc phải ký số.

Tuy nhiên, hợp đồng chỉ hình thành khi có sự thỏa thuận hay sự thống nhất ý chí giữa các chủ thể về một vấn đề xác định nào đó. Khi thiếu vắng chữ ký số cần bù đắp bằng một biện pháp khác khẳng định sự chấp thuận của chủ thể. Thương mại điện tử đến nay vẫn đang sử dụng phổ biến hợp đồng kiểu “click-wrap” – loại hợp đồng mà người sử dụng phải nhấp chuột vào ô chọn hoặc biểu tượng “Đồng ý” để chấp thuận các điều khoản.

Tại Mỹ, từ những vụ tranh chấp đầu tiên năm 1998, tòa án đã công nhận hiệu lực của hầu hết các hợp đồng dạng click-wrap(3). Việc phân tích liệu có sự chấp thuận hay không thường được tòa án đơn giản hóa thành việc đánh giá xem có bằng chứng về việc người dùng nhấp chuột vào nút chấp nhận hoặc thực hiện bước tiếp theo mà chỉ khi nhấp chuột mới làm được (ví dụ như đặt đơn hàng/tải xuống sản phẩm…).

Hạn chế đối với hợp đồng click-wrap là khó khăn trong việc xác định được chủ thể giao kết. Doanh nghiệp bán hàng không định danh được người mua, không đảm bảo hợp đồng hiệu lực về mặt chủ thể. Tuy nhiên, điều này có thể được giải quyết bằng các biện pháp xác thực như sinh trắc học, dữ liệu định danh của Chính phủ hoặc bên thứ ba thu thập (ngân hàng, doanh nghiệp viễn thông…).

Tùy vào cách thức các biện pháp này được thiết lập và áp dụng, nếu đảm bảo được sự xác nhận chủ thể và khẳng định sự chấp thuận của chủ thể đối với nội dung thỏa thuận, các bên sẽ có thể yên tâm về sự ràng buộc của bên kia vào hợp đồng. Hợp đồng mở và sử dụng tài khoản thanh toán, gửi tiền gửi có kỳ hạn hiện nay của các ngân hàng thương mại đều đang áp dụng các biện pháp này. Không thể nói vì thiếu chữ ký số mà các hợp đồng này không có hiệu lực.

Lo ngại nữa đối với hợp đồng hình thành như trên là khả năng một bên phủ nhận hợp đồng được bên kia lưu giữ và cung cấp, cho rằng nội dung đó không phản ánh chính xác những gì mình đã chấp thuận. Hay nói cách khác, tính toàn vẹn của nội dung thỏa thuận có thể không được đảm bảo. Giải pháp cho vấn đề này là cung cấp hợp đồng cho bên kia, nếu bên đó vẫn thực hiện hợp đồng không thể chối bỏ được điều khoản của hợp đồng. Hoặc sử dụng dịch vụ lưu trữ và xác nhận tính toàn vẹn của thông điệp dữ liệu của một bên thứ ba độc lập như được quy định tại điều 32 Luật GDĐT 2023.

Kinh nghiệm tại các nước và thực tiễn cho Việt Nam

Tại châu Âu, Quy định eIDAS chia chữ ký điện tử làm ba cấp độ từ thấp đến cao là: đơn giản, nâng cao, đạt chuẩn. Trong đó, chữ ký điện tử đạt chuẩn (QES) có giá trị tương đương chữ ký tay. eIDAS để mở cho các quốc gia thành viên quy định về giá trị của hai chữ ký cấp độ thấp hơn. Đồng thời, eIDAS nêu rõ một chữ ký điện tử không bị phủ nhận hiệu lực pháp lý và khả năng được dùng làm chứng cứ chỉ vì không đáp ứng được các điều kiện của chữ ký điện tử đạt chuẩn.

Theo tài liệu của Baker McKenzie(4), tại Đức, hợp đồng có thể có hiệu lực chỉ với chữ ký đơn giản hoặc nâng cao. Ở Pháp, tòa án cấp cao không yêu cầu tài liệu phải có QES mới có giá trị chứng cứ, mà yêu cầu các thẩm phán phải đánh giá liệu một quy trình ký đáng tin cậy có được áp dụng. Tương tự, tại Bỉ, giá trị của hai loại đơn giản và nâng cao cũng được để cho tòa án quyết định.

Như vậy, không nhất thiết phải dùng chữ ký có mức tin cậy cao nhất để giao kết hợp đồng. Các rủi ro của hợp đồng điện tử (như về thiếu khẳng định ý chí, về định danh chủ thể, về tính toàn vẹn…) có thể được quản lý bằng việc kết hợp các biện pháp kỹ thuật với nhau. Theo khuyến nghị Ủy ban châu Âu(5) mà các doanh nghiệp Việt Nam cũng có thể áp dụng, việc lựa chọn loại chữ ký điện tử nào phụ thuộc vào xem xét tình huống cụ thể, rủi ro pháp lý, cân đối giữa chi phí triển khai và rủi ro thiệt hại từ thách thức pháp lý.

Chữ ký số là một giải pháp “all-in-one”, mô phỏng mọi chức năng của chữ ký tay. Tuy nhiên, chữ ký số không phải là bắt buộc cho mọi giao dịch dân sự. Các chức năng của chữ ký số có thể phân tách, thực hiện bằng các giải pháp công nghệ khác nhau, phù hợp với mục tiêu của các bên giao kết trên cơ sở mức độ rủi ro của giao dịch.

(1) NEAC, Báo cáo tình hình ứng dụng và phát triển chữ ký số tại Việt Nam năm 2023, https://storage-new.neac.gov.vn/Data/2024/03/20/bc-tinh-hinh-phat-trien-2023-giao-in-chua-convert-638465237400268120.pdf
(2) Ủy ban Luật thương mại quốc tế của Liên hiệp quốc
(3) Nathan J. Davis, Presumed Assent: The Judical Acceptance of Clickwrap, https://btlj.org/data/articles2015/vol22/22_1_AR/22-berkeley-tech-l-j-0577-0598.pdf
(4) Lothar Determann, Electronic Form Over Substance: eSignature Laws Need Upgrades, https://www.bakermckenzie.com/-/media/files/people/lothar-determann/esignature-laws-hlj-2021.pdf?sc_lang=en&hash=080CFD587204E241443DB22EC39C14AE
(5) EC, eSignature – Get started, https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eSignature+-+Get+started

Thái Mạnh Cường