Chứng thực chữ ký ĐT: Mô hình nào cho VN?
Cơ quan xác thực chữ ký điện tử (Certificate Authority) đóng vai trò như một "người trung gian" hỗ trợ các bên trong giao dịch điện tử với mục tiêu đảm bảo tính an toàn pháp lý của chữ ký điện tử mà các bên sử dụng. Đơn giản bởi không phải bất kỳ khi nào một bên giao dịch cũng tin tưởng hoàn toàn vào chữ ký điện tử của bên kia: Cái gì chứng minh đó chính là chữ ký điện tử của bên kia mà không phải là một chữ ký điện tử giả mạo? Điều gì đảm bảo rằng bên kia không phủ nhận chữ ký điện tử đó khi không muốn bị ràng buộc vào giao dịch mặc dù đúng là trước đó chính anh ta đã "ký" chữ ký điện tử đó?
Hiện tại, trong quá trình soạn thảo Luật GDĐT, chưa có ý kiến thống nhất về mô hình CA, tập trung vào hai điểm chủ yếu:
(i) Tổ chức cá nhân có thể làm dịch vụ xác thực chữ ký điện tử này không hay chỉ cơ quan Nhà nước thực hiện việc này?
(ii) CA tiến hành dịch vụ xác thực đối với chữ ký điện tử trong tất cả các lĩnh vực hay mỗi lĩnh vực cần một loại CA chuyên ngành riêng?
Về vấn đề thứ nhất, chúng tôi cho rằng có lẽ nên cho phép tổ chức, cá nhân làm CA vì lý do:
- CA thực chất là một loại dịch vụ chứ không phải là một hoạt động hành chính (bản thân chữ ký tay truyền thống cũng không phải là đối tượng quản lý của Nhà nước). Vì thế không có lý do gì để Nhà nước độc quyền hoạt động này;
- CA có liên quan đến tính xác thực của chữ ký điện tử và do đó có ảnh hưởng quan trọng đến độ tin cậy và an toàn pháp lý của giao dịch điện tử liên quan. Tuy nhiên, để đảm bảo yêu cầu này, tốt nhất Nhà nước nên có hình thức quản lý khác (ví dụ quản lý bằng giấy phép, bằng các điều kiện kinh doanh, bằng qui chế nghề nghiệp,...) thay vì đóng cửa hoàn toàn lĩnh vực đối với tổ chức, cá nhân;
- Thực chất CA là một hình thức kinh doanh dịch vụ. Theo chủ trương mở rộng hơn nữa quyền tự do kinh doanh hiện nay, có lẽ sẽ là không hợp lý nếu Nhà nước ngăn cản các tổ chức, cá nhân thực hiện kinh doanh trong lĩnh vực này.
[u]Về vấn đề thứ hai: Việc lựa chọn mô hình cơ quan xác thực (CA) nào cần cân nhắc kỹ lưỡng bởi mỗi mô hình có điểm mạnh và yếu khác nhau:
(i) Hệ thống CA duy nhất (Mô hình 1):
Ưu điểm: Tạo sự thống nhất trong vấn đề CA (mọi chữ ký có CA đều có giá trị pháp lý như chữ ký thông thường trong mọi lĩnh vực);
Nhược điểm: Có thể không đáp ứng được yêu cầu về độ an toàn của một số lĩnh vực đặc biệt (thuế, tài chính ngân hàng...)
(ii) Hệ thống CA song song (chung và chuyên ngành) (Mô hình 2):
Ưu điểm: Có khả năng đáp ứng nhu cầu riêng về độ an toàn của mỗi lĩnh vực chuyên ngành;
Nhược điểm: Nguy cơ gây ra độc quyền về CA trong từng ngành (mỗi ngành chỉ chấp nhận CA của ngành mình mà không thừa nhận CA chung); khó khăn cho chủ thể tiến hành GDĐT (ví dụ: những giao dịch có liên quan cùng lúc đến 2 hay nhiều lĩnh vực)
Chúng tôi cho rằng Mô hình 1 có lẽ là phù hợp hơn vì lý do:
- Đây là mô hình thuận tiện cho người sử dụng, khuyến khích họ tiến hành giao dịch điện tử; đồng thời mô hình cũng giản tiện hơn cho việc quản lý của Nhà nước đối với CA;
- Yếu điểm của mô hình này có thể khắc phục được bằng cách: Các chủ thể có yêu cầu cao về độ an toàn của chữ ký điện tử có thể đặt thêm điều kiện đối với chữ ký điện tử ngoài yêu cầu về CA (Chữ ký điện tử được Ngân hàng A chấp nhận = Chữ ký điện tử có CA + điều kiện a,b,c...) (Điều này hoàn toàn phù hợp với qui tắc về quyền tự do thoả thuận của chủ thể tiến hành giao dịch);
Hiện tại, trong quá trình soạn thảo Luật GDĐT, chưa có ý kiến thống nhất về mô hình CA, tập trung vào hai điểm chủ yếu:
(i) Tổ chức cá nhân có thể làm dịch vụ xác thực chữ ký điện tử này không hay chỉ cơ quan Nhà nước thực hiện việc này?
(ii) CA tiến hành dịch vụ xác thực đối với chữ ký điện tử trong tất cả các lĩnh vực hay mỗi lĩnh vực cần một loại CA chuyên ngành riêng?
Về vấn đề thứ nhất, chúng tôi cho rằng có lẽ nên cho phép tổ chức, cá nhân làm CA vì lý do:
- CA thực chất là một loại dịch vụ chứ không phải là một hoạt động hành chính (bản thân chữ ký tay truyền thống cũng không phải là đối tượng quản lý của Nhà nước). Vì thế không có lý do gì để Nhà nước độc quyền hoạt động này;
- CA có liên quan đến tính xác thực của chữ ký điện tử và do đó có ảnh hưởng quan trọng đến độ tin cậy và an toàn pháp lý của giao dịch điện tử liên quan. Tuy nhiên, để đảm bảo yêu cầu này, tốt nhất Nhà nước nên có hình thức quản lý khác (ví dụ quản lý bằng giấy phép, bằng các điều kiện kinh doanh, bằng qui chế nghề nghiệp,...) thay vì đóng cửa hoàn toàn lĩnh vực đối với tổ chức, cá nhân;
- Thực chất CA là một hình thức kinh doanh dịch vụ. Theo chủ trương mở rộng hơn nữa quyền tự do kinh doanh hiện nay, có lẽ sẽ là không hợp lý nếu Nhà nước ngăn cản các tổ chức, cá nhân thực hiện kinh doanh trong lĩnh vực này.
[u]Về vấn đề thứ hai: Việc lựa chọn mô hình cơ quan xác thực (CA) nào cần cân nhắc kỹ lưỡng bởi mỗi mô hình có điểm mạnh và yếu khác nhau:
(i) Hệ thống CA duy nhất (Mô hình 1):
Ưu điểm: Tạo sự thống nhất trong vấn đề CA (mọi chữ ký có CA đều có giá trị pháp lý như chữ ký thông thường trong mọi lĩnh vực);
Nhược điểm: Có thể không đáp ứng được yêu cầu về độ an toàn của một số lĩnh vực đặc biệt (thuế, tài chính ngân hàng...)
(ii) Hệ thống CA song song (chung và chuyên ngành) (Mô hình 2):
Ưu điểm: Có khả năng đáp ứng nhu cầu riêng về độ an toàn của mỗi lĩnh vực chuyên ngành;
Nhược điểm: Nguy cơ gây ra độc quyền về CA trong từng ngành (mỗi ngành chỉ chấp nhận CA của ngành mình mà không thừa nhận CA chung); khó khăn cho chủ thể tiến hành GDĐT (ví dụ: những giao dịch có liên quan cùng lúc đến 2 hay nhiều lĩnh vực)
Chúng tôi cho rằng Mô hình 1 có lẽ là phù hợp hơn vì lý do:
- Đây là mô hình thuận tiện cho người sử dụng, khuyến khích họ tiến hành giao dịch điện tử; đồng thời mô hình cũng giản tiện hơn cho việc quản lý của Nhà nước đối với CA;
- Yếu điểm của mô hình này có thể khắc phục được bằng cách: Các chủ thể có yêu cầu cao về độ an toàn của chữ ký điện tử có thể đặt thêm điều kiện đối với chữ ký điện tử ngoài yêu cầu về CA (Chữ ký điện tử được Ngân hàng A chấp nhận = Chữ ký điện tử có CA + điều kiện a,b,c...) (Điều này hoàn toàn phù hợp với qui tắc về quyền tự do thoả thuận của chủ thể tiến hành giao dịch);