![](https://vietjack.me/assets/images/loading.gif)
Chương VIII Nghị định 130/2018/NĐ-CP: Quyền và nghĩa vụ của thuê bao, người ký, người nhận, tổ chức, cá nhân phát triển ứng dụng, cung cấp giải pháp chữ ký số
Số hiệu: | 130/2018/NĐ-CP | Loại văn bản: | Nghị định |
Nơi ban hành: | Chính phủ | Người ký: | Nguyễn Xuân Phúc |
Ngày ban hành: | 27/09/2018 | Ngày hiệu lực: | 15/11/2018 |
Ngày công báo: | 10/10/2018 | Số công báo: | Từ số 967 đến số 968 |
Lĩnh vực: | Thuế - Phí - Lệ Phí, Công nghệ thông tin | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Quy định mới về cấp phép cung cấp dịch vụ chứng thực chữ ký số
Ngày 27/9/2018, Chính phủ ban hành Nghị định 130/2018/NĐ-CP hướng dẫn Luật Giao dịch điện tử về chữ ký số (CKS) và dịch vụ chứng thực chữ ký số.
Theo đó, một số quy định mới về điều kiện cấp giấy phép cung cấp dịch vụ chứng thực CKS công cộng, gồm:
- Nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư số đầy đủ (đối với trường hợp cấp lại giấy phép);
- Nhân sự quản trị hệ thống, vận hành hệ thống và cấp chứng thư số, bảo đảm an toàn thông tin hệ thống phải có bằng đại học trở lên, chuyên ngành an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông.
Ngoài ra, các tổ chức cung cấp dịch vụ chức thực CKS đang hoạt động hợp pháp, trong vòng 02 năm kể từ ngày 15/11/2018, phải đáp ứng các điều kiện cung cấp dịch vụ theo quy định tại Nghị định này.
Nghị định 130/2018/NĐ-CP có hiệu lực thi hành từ ngày 15/11/2018, thay thế các văn bản:
- Nghị định 26/2007/NĐ-CP ngày 15/02/2007;
- Nghị định 106/2011/NĐ-CP ngày 23/11/2011;
- Nghị định 170/2013/NĐ-CP ngày 13/11/2013.
Văn bản tiếng việt
Văn bản tiếng anh
1. Có quyền yêu cầu tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cung cấp bằng văn bản những thông tin quy định tại khoản 8 Điều 32 Nghị định này.
2. Có quyền yêu cầu tổ chức cung cấp dịch vụ chứng thực chữ ký số của mình tạm dừng, thu hồi chứng thư số đã cấp và tự chịu trách nhiệm về yêu cầu đó.
3. Cung cấp thông tin theo quy định một cách trung thực, chính xác cho tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
4. Trường hợp tự tạo cặp khóa cho mình, thuê bao phải đảm bảo thiết bị tạo cặp khóa sử dụng đúng quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng. Quy định này không áp dụng cho trường hợp thuê bao thuê thiết bị tạo cặp khóa của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
5. Lưu trữ và sử dụng khóa bí mật của mình một cách an toàn, bí mật trong suốt thời gian chứng thư số của mình có hiệu lực và bị tạm dừng.
6. Thông báo trong thời gian 24 giờ cho tổ chức cung cấp dịch vụ chứng thực chữ ký số của mình nếu phát hiện thấy dấu hiệu khóa bí mật của mình đã bị lộ, bị đánh cắp hoặc sử dụng trái phép để có các biện pháp xử lý.
7. Khi đã đồng ý để tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng công khai chứng thư số của mình theo quy định tại khoản 3 Điều 25 Nghị định này hoặc khi đã cung cấp chứng thư số đó cho người khác với mục đích để giao dịch, thuê bao được coi là đã cam kết với người nhận rằng thuê bao là người nắm giữ hợp pháp khóa bí mật tương ứng với khóa công khai trên chứng thư số đó và những thông tin trên chứng thư số liên quan đến thuê bao là đúng sự thật, đồng thời phải thực hiện các nghĩa vụ xuất phát từ chứng thư số đó.
8. Chịu trách nhiệm trước pháp luật nếu vi phạm quy định tại các khoản 3, 4, 5, 6 và 7 Điều này và các quy định của pháp luật khác có liên quan.
Điều 76. Quyền và nghĩa vụ của thuê bao sử dụng dịch vụ chứng thực chữ ký số chuyên dùng của cơ quan, tổ chức1. Sử dụng dịch vụ theo đúng phạm vi được quy định tại quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số của mình.
2. Lưu trữ và sử dụng khóa bí mật của mình một cách an toàn, bí mật trong suốt thời gian chứng thư số của mình có hiệu lực và bị tạm dừng.
3. Thông báo trong thời gian 24 giờ cho tổ chức cung cấp dịch vụ chứng thực chữ ký số của mình nếu phát hiện thấy dấu hiệu khóa bí mật của mình đã bị lộ, bị đánh cắp hoặc sử dụng trái phép để có các biện pháp xử lý kịp thời.
Điều 77. Quyền và nghĩa vụ của thuê bao sử dụng chứng thư số nước ngoài được cấp giấy phép sử dụng tại Việt Nam1. Có quyền và nghĩa vụ như thuê bao sử dụng dịch vụ chứng thực chữ ký số công cộng theo phạm vi, mục đích được quy định trong giấy phép sử dụng chứng thư số nước ngoài tại Việt Nam.
2. Thông báo trong thời gian 24 giờ cho tổ chức cung cấp dịch vụ chứng thực chữ ký số của mình và Bộ Thông tin và Truyền thông nếu phát hiện thấy dấu hiệu khóa bí mật của mình đã bị lộ, bị đánh cắp hoặc sử dụng trái phép để có các biện pháp xử lý kịp thời.
Điều 78. Nghĩa vụ của người ký trước khi thực hiện ký sốTrước khi ký số, người ký phải thực hiện quy trình kiểm tra trạng thái chứng thư số như sau:
1. Kiểm trang trạng thái chứng thư số của mình trên hệ thống kỹ thuật của tổ chức cung cấp dịch vụ chứng thực chữ ký số đã cấp chứng thư số đó.
2. Trong trường hợp người ký sử dụng chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp: Kiểm tra trạng thái chứng thư số của tổ chức cung cấp dịch vụ chứng thực chữ ký số cho mình trên hệ thống kỹ thuật của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia.
3. Trường hợp kết quả kiểm tra tại các khoản 1 và 2 điều này đồng thời có hiệu lực, người ký thực hiện ký số. Trường hợp kết quả kiểm tra tại khoản 1 hoặc khoản 2 Điều này là không có hiệu lực, người ký không thực hiện ký số.
Điều 79. Nghĩa vụ kiểm tra hiệu lực chứng thư số, chữ ký số khi nhận thông điệp dữ liệu được ký số1. Trước khi chấp nhận chữ ký số của người ký, người nhận phải kiểm tra các thông tin sau:
a) Trạng thái chứng thư số, phạm vi sử dụng, giới hạn trách nhiệm và các thông tin trên chứng thư số của người ký;
b) Chữ ký số phải được tạo bởi khóa bí mật tương ứng với khóa công khai trên chứng thư số của người ký;
c) Đối với chữ ký số được tạo ra bởi chứng thư số nước ngoài được cấp giấy phép sử dụng tại Việt Nam, người nhận phải kiểm tra hiệu lực chứng thư số trên cả hệ thống của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia và hệ thống của tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài cấp chứng thư số đó.
2. Người nhận phải thực hiện quy trình kiểm tra như sau:
a) Kiểm tra trạng thái chứng thư số tại thời điểm thực hiện ký số, phạm vi sử dụng, giới hạn trách nhiệm và các thông tin trên chứng thư số đó theo quy định tại Điều 5 Nghị định này trên hệ thống kỹ thuật của tổ chức cung cấp dịch vụ chứng thực chữ ký số đã cấp chứng thư số đó;
b) Trong trường hợp người ký sử dụng chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp: Kiểm tra trạng thái chứng thư số của tổ chức cung cấp dịch vụ chứng thực chữ ký số đã cấp chứng thư số đó tại thời điểm thực hiện ký số trên hệ thống kỹ thuật của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia;
c) Chữ ký số trên thông điệp dữ liệu chỉ có hiệu lực khi kết quả kiểm tra tại các khoản 1 và 2 Điều này đồng thời có hiệu lực.
3. Người nhận phải chịu trách nhiệm trong các trường hợp sau:
a) Không tuân thủ các quy định tại các khoản 1 và 2 Điều này;
b) Đã biết hoặc được thông báo về sự không còn tin cậy của chứng thư số và khóa bí mật của người ký.
Điều 80. Trách nhiệm của tổ chức, cá nhân phát triển ứng dụng sử dụng chữ ký số1. Đáp ứng các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số đang có hiệu lực.
2. Đảm bảo trung lập về công nghệ, không sử dụng các rào cản kỹ thuật để hạn chế việc sử dụng chữ ký số của một hoặc một số tổ chức cung cấp dịch vụ chứng thực chữ ký số.
3. Cập nhật chứng thư số của các tổ chức cung cấp dịch vụ chứng thực chữ ký số trong các ứng dụng theo yêu cầu của tổ chức này hoặc yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật để đảm bảo kết quả xác thực là chính xác.
4. Đáp ứng đúng các quy trình kiểm tra trạng thái chứng thư số được quy định tại Điều 78 và khoản 2 Điều 79 Nghị định này.
Điều 81. Trách nhiệm của tổ chức, cá nhân cung cấp giải pháp chữ ký số1. Cung cấp giải pháp đáp ứng các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số đang có hiệu lực.
2. Khuyến khích cung cấp các giải pháp tuân theo các tiêu chuẩn chữ ký số phổ biến và tiên tiến trên thế giới.
Chapter VIII
RIGHTS AND OBLIGATIONS OF SUBSCRIBERS, SIGNERS, RECIPIENTS, DIGITAL SIGNATURE DEVELOPERS AND PROVIDERS
Article 75. Rights and obligations of subscribers of public authentication of digital signatures
1. Having the right to request the public certification authorities to provide in writing the information specified in clause 8 of Article 32 of this Decree.
2. Having the right to request their public certification authorities to suspend, revoke digital certificates issued and take responsibility for that requirement.
3. Provide truthful and accurate information as prescribed for public certification authorities.
4. In case of self-creating key pairs by their own, subscribers must ensure that devices to create key pairs must be used according to the correct technical regulations and applicable mandatory standards. This provision does not apply to cases where the subscribers lease equipment to create key pairs of public certification authorities.
5. Store and use their private keys safely, secretly during the valid and suspended period of their digital certificates.
6. Within 24 hours notify their public certification authorities, if detecting signs that their private keys are exposed, stolen, or used illegally to take measures to handle.
7. Upon agreeing to let the public certification authorities disclose their digital certificates as prescribed in clause 3 of Article 25 of this Decree or upon provided the digital certificates to other persons with the purpose for the transaction, the subscribers are deemed to have committed with recipients that subscribers are the one who hold lawfully private keys corresponding public keys on such digital certificates and the information on the digital certificates related to subscribers are true, and must comply with the obligations derived from such digital certificates.
8. Take legal liability if they violate Clause 3, 4, 5, 6 and 7 of this Article and relevant laws.
Article 76. Rights and obligations of subscribers of specialized certification authorities of agencies and organizations
1. Use services within the scope prescribed in the authentication regulation of the certification authority.
2. Store and use their private keys safely, secretly during the valid and suspended period of their digital certificates.
3. Within 24 hours notify their public certification authorities, if detecting signs that their private keys are exposed, stolen, or used illegally to take measures to handle.
Article 77. Rights and obligations of subscribers of foreign digital certificates permitted in Vietnam
1. Having rights and obligations similar to subscribers of public certification authorities according to scope, purposes prescribed in the license to use foreign digital certificates in Vietnam.
2. Within 24 hours notify their certification authorities and the Ministry of Information and Communications, if detecting signs that their private keys are exposed, stolen, or used illegally to take measures to handle.
Article 78. Obligations of signer before using digital signatures
Before digitally signing, the signer shall follow the procedures for digital certificate status inspection as follows:
1. Check their digital certificate's status in the technical system of the certification authority.
2. If the signer uses digital certificate issued by the public certification authority: Check status of the digital certificate of such public certification authority in the technical system of Root Certification Authority.
3. If the checking results specified in Clauses 1 and 2 of this Article are valid, the signer shall use digital signatures. If the checking results specified in Clauses 1 and 2 of this Article are invalid, the signer shall not use digital signatures.
Article 79. Obligations to check validity of digital certificates, digital signatures when receiving digitally signed data message
1. Before accepting the signer's digital signature, the recipient must check the following information:
a) Digital certificate’s status, scope of use, liability limitation and information on the digital certificate;
b) The digital signature must be created by the private key corresponding to public key on the signer's digital certificate;
c) Regarding digital signatures created by foreign digital certificate licensed to be used in Vietnam, recipients must check validity of digital certificate in the system of Root Certification Authority and system of foreign certification authorities.
2. Recipients must carry out checking process as follows:
a) Check the digital certificate’s status at the time of using digital signature, scope of use, liability limitations and information on the digital certificate as prescribed in Article 5 of this Decree in the technical system of the certification authority;
b) If the signer uses digital certificate issued by the public certification authority: Check status of the digital certificate of such public certification authority at the issuing time in the technical system of Root Certification Authority;
c) The digital signature in the data message is only valid if the checking results in Clauses 1 and 2 of this Article are also valid.
3. The recipient must take over liability in following cases:
a) Failure to comply with the provisions of clauses 1 and 2 of this Article;
b) Knew or informed of the unreliability of digital certificate and the signer's private key.
Article 80. Responsibilities of digital signature application developers
1. Having technical standards and mandatory standards on digital signatures and authentication of digital signatures in force.
2. Ensure technological neutrality and not use technical barriers to restrict the use of digital signatures of one or several certification authorities.
3. Update digital certificates of certification authorities in applications at their request or the requests of competent authorities as per the law to ensure the authentication result is correct.
4. Comply with process to check digital certificate’s status as prescribed in Article 78 and Clause 2 Article 79 of this Decree.
Article 81. Responsibilities of digital signature solution providers
1. Provide solutions meeting technical standards and mandatory standards on digital signatures and authentication of digital signatures in force.
2. Provide solutions in compliance with popular and advanced digital signature standards worldwide.
Tình trạng hiệu lực: Còn hiệu lực