Tìm kiếm

Chương 3 Luật Giao dịch điện tử 2005: Chữ ký điện tử và chứng thực chữ ký điện tử

Chương 3
Chữ ký điện tử và chứng thực chữ ký điện tử
Mục 1.GIÁ TRỊ PHÁP LÝ CỦA CHỮ KÝ ĐIỆN TỬ
Điều 21. Chữ ký điện tử

1. Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký.

2. Chữ ký điện tử được xem là bảo đảm an toàn nếu chữ ký điện tử đó đáp ứng các điều kiện quy định tại khoản 1 Điều 22 của Luật này.

3. Chữ ký điện tử có thể được chứng thực bởi một tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

Điều 22. Điều kiện để bảo đảm an toàn cho chữ ký điện tử

1. Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng một quy trình kiểm tra an toàn do các bên giao dịch thỏa thuận và đáp ứng được các điều kiện sau đây:

a) Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dụng;

b) Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký;

c) Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện;

d) Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện.

2. Chữ ký điện tử đã được tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực được xem là bảo đảm các điều kiện an toàn quy định tại khoản 1 Điều này.

Điều 23. Nguyên tắc sử dụng chữ ký điện tử

1. Trừ trường hợp pháp luật có quy định khác, các bên tham gia giao dịch điện tử có quyền thỏa thuận:

a) Sử dụng hoặc không sử dụng chữ ký điện tử để ký thông điệp dữ liệu trong quá trình giao dịch;

b) Sử dụng hoặc không sử dụng chữ ký điện tử có chứng thực;

c) Lựa chọn tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử trong trường hợp thỏa thuận sử dụng chữ ký điện tử có chứng thực.

2. Chữ ký điện tử của cơ quan nhà nước phải được chứng thực bởi tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử do cơ quan nhà nước có thẩm quyền quy định.

Điều 24. Giá trị pháp lý của chữ ký điện tử

1. Trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu chữ ký điện tử được sử dụng để ký thông điệp dữ liệu đó đáp ứng các điều kiện sau đây:

a) Phương pháp tạo chữ ký điện tử cho phép xác minh được người ký và chứng tỏ được sự chấp thuận của người ký đối với nội dung thông điệp dữ liệu;

b) Phương pháp đó là đủ tin cậy và phù hợp với mục đích mà theo đó thông điệp dữ liệu được tạo ra và gửi đi.

2. Trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan, tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bởi chữ ký điện tử của cơ quan, tổ chức đáp ứng các điều kiện quy định tại khoản 1 Điều 22 của Luật này và chữ ký điện tử đó có chứng thực.

3. Chính phủ quy định cụ thể việc quản lý và sử dụng chữ ký điện tử của cơ quan, tổ chức.

Điều 25. Nghĩa vụ của người ký chữ ký điện tử

1. Người ký chữ ký điện tử hoặc người đại diện hợp pháp của người đó là người kiểm soát hệ chương trình ký điện tử và sử dụng thiết bị đó để xác nhận ý chí của mình đối với thông điệp dữ liệu được ký.

2. Người ký chữ ký điện tử có các nghĩa vụ sau đây:

a) Có các biện pháp để tránh việc sử dụng không hợp pháp dữ liệu tạo chữ ký điện tử của mình;

b) Khi phát hiện chữ ký điện tử có thể không còn thuộc sự kiểm soát của mình, phải kịp thời sử dụng các phương tiện thích hợp để thông báo cho các bên chấp nhận chữ ký điện tử và cho tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử trong trường hợp chữ ký điện tử đó có chứng thực;

c) áp dụng các biện pháp cần thiết để bảo đảm tính chính xác và toàn vẹn của mọi thông tin trong chứng thư điện tử trong trường hợp chứng thư điện tử được dùng để chứng thực chữ ký điện tử.

3. Người ký chữ ký điện tử phải chịu trách nhiệm trước pháp luật về hậu quả do không tuân thủ quy định tại khoản 2 Điều này.

Điều 26. Nghĩa vụ của bên chấp nhận chữ ký điện tử

1. Bên chấp nhận chữ ký điện tử là bên đã thực hiện những nội dung trong thông điệp dữ liệu nhận được trên cơ sở tin vào chữ ký điện tử, chứng thư điện tử của bên gửi.

2. Bên chấp nhận chữ ký điện tử có các nghĩa vụ sau đây:

a) Tiến hành các biện pháp cần thiết để kiểm chứng mức độ tin cậy của một chữ ký điện tử trước khi chấp nhận chữ ký điện tử đó;

b) Tiến hành các biện pháp cần thiết để xác minh giá trị pháp lý của chứng thư điện tử và các hạn chế liên quan tới chứng thư điện tử trong trường hợp sử dụng chứng thư điện tử để chứng thực chữ ký điện tử.

3. Bên chấp nhận chữ ký điện tử phải chịu trách nhiệm trước pháp luật về hậu quả do không tuân thủ quy định tại khoản 2 Điều này.

Điều 27. Thừa nhận chữ ký điện tử và chứng thư điện tử nước ngoài

1. Nhà nước công nhận giá trị pháp lý của chữ ký điện tử và chứng thư điện tử nước ngoài nếu chữ ký điện tử hoặc chứng thư điện tử đó có độ tin cậy tương đương với độ tin cậy của chữ ký điện tử và chứng thư điện tử theo quy định của pháp luật. Việc xác định mức độ tin cậy của chữ ký điện tử và chứng thư điện tử nước ngoài phải căn cứ vào các tiêu chuẩn quốc tế đã được thừa nhận, điều ước quốc tế mà Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên và các yếu tố có liên quan khác.

2. Chính phủ quy định cụ thể về việc thừa nhận chữ ký điện tử và chứng thư điện tử nước ngoài.

Mục 2. DỊCH VỤ CHỨNG THỰC CHỮ KÝ ĐIỆN TỬ
Điều 28. Hoạt động dịch vụ chứng thực chữ ký điện tử

1. Cấp, gia hạn, tạm đình chỉ, phục hồi, thu hồi chứng thư điện tử.

2. Cung cấp thông tin cần thiết để giúp chứng thực chữ ký điện tử của người ký thông điệp dữ liệu.

3. Cung cấp các dịch vụ khác liên quan đến chữ ký điện tử và chứng thực chữ ký điện tử theo quy định của pháp luật.

Điều 29. Nội dung của chứng thư điện tử

1. Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

2. Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thư điện tử.

3. Số hiệu của chứng thư điện tử.

4. Thời hạn có hiệu lực của chứng thư điện tử.

5. Dữ liệu để kiểm tra chữ ký điện tử của người được cấp chứng thư điện tử.

6. Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

7. Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử.

8. Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

9. Các nội dung khác theo quy định của Chính phủ.

Điều 30. Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử

1. Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử bao gồm tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử công cộng và tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chuyên dùng được phép thực hiện các hoạt động chứng thực chữ ký điện tử theo quy định của pháp luật.

2. Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử công cộng là tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử cho cơ quan, tổ chức, cá nhân sử dụng trong các hoạt động công cộng. Hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử công cộng là hoạt động kinh doanh có điều kiện theo quy định của pháp luật.

3. Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chuyên dùng là tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử cho cơ quan, tổ chức, cá nhân sử dụng trong các hoạt động chuyên ngành hoặc lĩnh vực. Hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử chuyên dùng phải được đăng ký với cơ quan quản lý nhà nước về dịch vụ chứng thực chữ ký điện tử.

4. Chính phủ quy định cụ thể việc thành lập, tổ chức, đăng ký kinh doanh, hoạt động và việc công nhận lẫn nhau của các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử quy định tại khoản 2 và khoản 3 Điều này.

Điều 31. Quyền và nghĩa vụ của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử

1. Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử có các quyền và nghĩa vụ sau đây:

a) Thực hiện các hoạt động dịch vụ chứng thực chữ ký điện tử quy định tại Điều 28 của Luật này;

b) Tuân thủ quy định của pháp luật về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử;

c) Sử dụng hệ thống thiết bị kỹ thuật, quy trình và nguồn lực tin cậy để thực hiện công việc của mình;

d) Bảo đảm tính chính xác và sự toàn vẹn của các nội dung cơ bản trong chứng thư điện tử do mình cấp;

đ) Công khai thông tin về chứng thư điện tử đã cấp, gia hạn, tạm đình chỉ, phục hồi hoặc bị thu hồi;

e) Cung cấp phương tiện thích hợp cho phép các bên chấp nhận chữ ký điện tử và các cơ quan quản lý nhà nước có thẩm quyền có thể dựa vào chứng thư điện tử để xác định chính xác nguồn gốc của thông điệp dữ liệu và chữ ký điện tử;

g) Thông báo cho các bên liên quan trong trường hợp xảy ra sự cố ảnh hưởng đến việc chứng thực chữ ký điện tử;

h) Thông báo công khai và thông báo cho những người được cấp chứng thư điện tử, cho cơ quan quản lý có liên quan trong thời hạn chín mươi ngày trước khi tạm dừng hoặc chấm dứt hoạt động;

i) Lưu trữ các thông tin có liên quan đến chứng thư điện tử do mình cấp trong thời hạn ít nhất là năm năm, kể từ khi chứng thư điện tử hết hiệu lực;

k) Các quyền và nghĩa vụ khác theo quy định của pháp luật.

2. Chính phủ quy định chi tiết các quyền và nghĩa vụ của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử quy định tại khoản 1 Điều này.

Mục 3. QUẢN LÝ DỊCH VỤ CHỨNG THỰC CHỮ KÝ ĐIỆN TỬ
Điều 32. Các điều kiện để được cung cấp dịch vụ chứng thực chữ ký điện tử

1. Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phải có đủ các điều kiện sau đây:

a) Có đủ nhân viên kỹ thuật chuyên nghiệp và nhân viên quản lý phù hợp với việc cung cấp dịch vụ chứng thực chữ ký điện tử;

b) Có đủ phương tiện và thiết bị kỹ thuật phù hợp với tiêu chuẩn an ninh, an toàn quốc gia;

c) Đăng ký hoạt động với cơ quan quản lý nhà nước về hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử.

2. Chính phủ quy định cụ thể về các nội dung sau đây:

a) Trình tự, thủ tục đăng ký hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử;

b) Tiêu chuẩn kỹ thuật, quy trình, nhân lực và các điều kiện cần thiết khác đối với hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử;

c) Nội dung và hình thức của chứng thư điện tử;

d) Thủ tục cấp, gia hạn, tạm đình chỉ, phục hồi và thu hồi chứng thư điện tử;

đ) Chế độ lưu trữ và công khai các thông tin liên quan đến chứng thư điện tử do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử cấp;

e) Điều kiện, thủ tục để tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài có thể được cung cấp dịch vụ chứng thực chữ ký điện tử tại Việt Nam;

g) Các nội dung cần thiết khác đối với hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử.

Chapter III

E-SIGNATURES AND CERTIFICATION OF E-SIGNATURES

Section 1. LEGAL VALIDITY OF E-SIGNATURES

Article 21. E-signatures

1. An e-signature is established in the form of words, letters, numerals, symbols, sounds or other forms by electronic means, logically attached or associated with a data message and capable of certifying the person who has signed the data message as well as the approval of such person to the content of the signed data message.

2. An e-signature shall be considered secured if it satisfies the conditions stipulated in Clause 1, Article 22 of this Law.

3. E-signatures may be certified by e-signature certification service providing organizations.

Article 22. Conditions to ensure security of e-signatures

1. An e-signature is considered secured if it is verified by a security verifying process agreed upon by transacting parties and satisfying the following conditions:

a) E-signature creation data are attached only to the signatory in the context that such data are used;

b) E-signature creation data are under the control of only the signatory at the time of signing;

c) All changes to the e-signature after the time of signing are detectable;

d) All changes to the contents of the data message after the time of signing are detectable.

2. E-signatures certified by e-signature certification service-providing organizations shall be considered having satisfied the security conditions mentioned in Clause 1 of this Article.

Article 23. Principles of using e-signatures

1. Unless otherwise provided for by law, the parties to a transaction have rights to reach agreement:

a) To use or not to use e-signatures to sign data message in the transaction process;

b) To use or not to use the certified e-signature;

c) To select an e-signature certification service-providing organization in cases where there is an agreement on the use of the certified e-signature.

2. E-signatures of state agencies must certified by e-signature certification service providing organizations defined by competent state agencies.

Article 24. Legal validity of e-signatures

1. Where the law requires a document to be signed, such requirement with respect to a data message shall be considered having been met if an e-signature used for signing such data message satisfies the following conditions:

a) The method of creating the e-signature permits of identifying the signatory and indicating his/her approval of the contents of the data message;

b) Such method is sufficiently reliable and appropriate to the purpose for which the data message was originated and sent.

2. Where the law requires a document to be stamped with seal of the concerned agency or organization, such requirement with respect to a data message shall be considered having been met if the data message has an e-signature of the agency or organization that satisfies the conditions stipulated in Clause 1, Article 22 of this Law and the e-signature is certified.

3. The Government shall specify the management and use of e-signatures by agencies and organizations.

Article 25. Obligations of the signatory of an e-signature

1. A signatory of an e-signature or his/her legal representative is the person who controls the electronic signing program and uses such equipment to certify his/her will regarding the signed data message.

2. A signatory of an e-signature shall have the following obligations:

a) To take measures to avoid unauthorized use of his/her e-signature-creating data;

b) To promptly use appropriate means to notify parties that accept the e-signature and the e-signature certification service-providing organization in case the e-signature is certified, when discovering that the e-signature may no longer be under his/her control;

c) To apply necessary measures to ensure the accuracy and integrity of information included in the e-certificate in case such certificate is used to certify the e-signature.

3. A signatory shall take responsibility before law for all consequences of his/her failure to comply with the provisions of Clause 2 of this Article.

Article 26. Obligations of the party accepting e-signatures

1. A party accepting e-signatures is the one that has implemented the contents in the received data messages based on the reliability of such e-signatures and e-certificates of the sender.

2. A party accepting e-signatures shall have the following obligations:

a) To take necessary measures to verify the reliability of an e-signature before accepting it;

b) To take necessary measures to verify legal validity of an e-certificate and limitations with respect to the e-certificate in case such e-certificate is used to certify an e-signature.

3. The party accepting e-signatures shall take responsibility before law for consequences of non-compliance with the provisions of Clause 2 of this Article.

Article 27. Recognition of foreign e-signatures and e-certificates

1. The Government recognizes the legal validity of foreign e-signatures and e-certificates if such e-signatures or e-certificates have the same level of reliability as those provided for by law. The determination of the reliability of foreign e-signatures and e-certificates must be based on recognized international standards, on treaties to which the Socialist Republic of Vietnam is a contracting party and on other relevant factors.

2. The Government shall specify the recognition of foreign e-signatures and e-certificates.

Section 2. E-SIGNATURE CERTIFICATION SERVICES

Article 28. E-signature certification service activities

1. Issuing, extending, suspending, restoring and revoking e-certificates.

2. Providing necessary information to assist the certification of e-signatures of persons who sign data messages.

3. Providing other services related to e-signatures and e-signature certification in accordance with the provisions of law.

Article 29. Contents of an e-certificate

1. Information on the e-signature certification service-providing organization.

2. Information on the agency, organization or individual to whom the e-certificate is issued.

3. The identification number of the e-certificate.

4. The valid term of the e-certificate.

5. The data for examining the e-signature of the person who is granted the e-certificate.

6. The e-signature of e-signature certification service-providing organization.

7. Limitations on the purpose or scope of using the e-certificate.

8. Limitations on legal liabilities of the e-signature certification service-providing organization.

9. Other contents as provided for by the Government.

Article 30. E-signature certification service-providing organizations

1. E-signature certification service-providing organizations include public e-signature certification service-providing organizations and specialized e-signature certification service-providing organizations which are authorized to carry out e-signature certification activities in accordance with the provisions of law.

2. A public e-signature certification service-providing organization is an organization providing e-signature certifications services to agencies, organizations or individuals for use in public activities. Activities of providing public e-signature certification services are conditional business activities as provided for by law.

3. A specialized e-signature certification service-providing organization is an organization providing e-signature certification services to agencies, organizations or individuals for use in specialized activities or domains. Activities of providing specialized e-signature certification services must be registered with state management bodies in charge of e-signature certification services.

4. The Government shall specify the establishment, organization, business registration, operation and mutual recognition of e-signature certification service-providing organizations defined in Clauses 2 and 3 of this Article.

Article 31. Rights and obligations of e-signature certification service-providing organizations

1. E-signature certification service-providing organizations shall have the following rights and obligations:

a) To carry out the e-signature certification service activities specified in Article 28 of this Law;

b) To comply with the provisions of law on e-signature certification service-providing organizations;

c) To use reliable technical equipment systems, processes and resources to perform their tasks;

d) To guarantee the accuracy and integrity of fundamental contents of e-certificates they have issued;

e) To publicize information on e-certificates, which have been issued, extended, suspended, restored or revoked;

f) To provide appropriate facilities to enable the e-signature-accepting parties and competent state agencies to rely on e-certificates to ascertain the origin of data messages and e-signatures;

g) To notify the relevant parties of incidents which affect the certification of e-signatures.

h) To publicize and notify the e-certificate grantees, and relevant management agencies of the suspension or termination of their operation within 90 days prior thereto.

i) To archive information related to e-certificates they have issued for at least five years after such e-certificates become invalid.

j) Other rights and obligations as provided for by law.

2. The Government shall specify the rights and obligations of e-signature certification service-providing organizations defined in Clause 1 of this Article.

Section 3. MANAGEMENT OF E-SIGNATURE CERTIFICANON SERVICES

Article 32. Conditions for providing e-signature certification services

1. E-signature certification service-providing organizations must fully meet the following conditions:

a) Having adequate professional technical and managerial staff to provide e-signature certification services.

b) Having adequate technical means and equipment suitable to national security and safety standards;

c) Registering the provision of e-signature certification services with the state management bodies.

2. The Government shall specify the following contents:

a) Order and procedures for registration of e-signature certification service-providing activities.

b) Technical standards, processes, human resources and other conditions necessary for e-signature certification service-providing activities.

c) Contents and forms of e-certificates.

d) Procedures for issuance, extension, suspension, restoration and revocation of e-certificates.

e) Regulations on storage and disclosure of information related to e-certificates issued by e-certification service-providing organizations.

f) Conditions and procedures for foreign e-signature certification service-providing organizations to provide e-signature certification services in Vietnam.

g) Other contents necessary for e-signature certification service-providing activities.

1 15 lượt xem
Trang trước
Chia sẻ
Trang sau