Hiệp hội Ngân hàng kiến nghị Thủ tướng một số nội dung về chữ ký điện tử và dịch vụ tin cậy

Hiệp hội Ngân hàng Việt Nam (VNBA) vừa có văn bản số 436/HHNH-PLNV ngày 5/9/2024 gửi Thủ tướng Chính phủ về việc góp ý Dự thảo Nghị định quy định về chữ ký điện tử và dịch vụ tin cậy.

Theo đó, căn cứ báo cáo và dự thảo Nghị định quy định về chữ ký điện tử và dịch vụ tin cậy Bộ Thông tin và Truyền thông đang trình lấy ý kiến các thành viên Chính phủ, về vấn đề này Hiệp hội Ngân hàng kính trình Thủ tướng như sau: 

Tại cuộc họp ngày 18/07/2024 về dự thảo Nghị định quy định về chữ ký điện tử và dịch vụ tin cậy, Phó Thủ tướng Chính phủ Trần Lưu Quang có ý kiến chỉ đạo như sau:“Giao Bộ Thông tin và Truyền thông chủ trì, phối hợp với Ngân hàng Nhà nước Việt Nam, Văn phòng Chính phủ và các cơ quan, tổ chức có liên quan thống nhất nội dung dự thảo Nghị định với mục tiêu tạo thuận lợi, an toàn cho người dân, doanh nghiệp; có lộ trình triển khai hợp lý, theo xu thế chung và phù hợp với tình hình thực tiễn, tránh tạo ra cơ chế để hình thành lợi ích nhóm. Yêu cầu nội dung dự thảo Nghị định phải rõ ràng, minh bạch, tuân thủ các quy định hiện hành và tránh hiểu theo nhiều cách khác nhau; cắt giảm thủ tục hành chính, chi phí cho người dân, doanh nghiệp; có cơ chế, chính sách khuyến khích sử dụng các dịch vụ an toàn, tin cậy và đồng bộ, trước mắt đề cao sự lựa chọn cho các chủ thể, đối tượng tham gia giao dịch điện tử”.

Quá trình triển khai thực hiện kết luận của Phó Thủ tướng Trần Lưu Quang, Bộ Thông tin và Truyền thông đã gửi văn bản đến các Tổ chức tín dụng yêu cầu báo cáo kết quả thực hiện các giao dịch trên môi trường điện tử theo Luật Giao dịch điện tử 2005 và Nghị định 130/2018/NĐ-CP của Chính phủ, theo đó đã tổng hợp báo cáo Thủ tướng, Phó Thủ tướng tại báo cáo số 146/BC-BTTTT ngày 14/8/2024 và trình dự thảo Nghị định quy định về chữ ký điện tử và dịch vụ tin cậy với nội dung không thay đổi tại khoản 2 Điều 9, đồng thời bổ sung khoản 6 Điều 46 so với dự thảo cũ, quan điểm này, Hiệp hội Ngân hàng nhận thấy:

Thứ nhất, tính pháp lý không đồng bộ khi có chủ thể tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn lại được sử dụng để giao dịch 2 chiều (Ngân hàng Nhà nước và các Tổ chức tín dụng trong thanh toán liên ngân hàng) trong khi các chủ thể khác không được phép?

Tại Khoản 1 Điều 22 Luật Giao dịch điện tử 2023 quy định chữ ký điện tử bao gồm: chữ ký điện tử chuyên dùng, chữ ký số công cộng và chữ ký số chuyên dùng công vụ. Cho dù là chữ ký điện tử chuyên dùng hay chữ ký số công cộng đều không bị phủ nhận giá trị pháp lý (Khoản 1 Điều 23). Hơn nữa, chữ ký điện tử chuyên dùng bảo đảm an toàn hoặc chữ ký số có giá trị pháp lý tương đương chữ ký của cá nhân đó trong văn bản giấy (Khoản 2 Điều 23). Vậy tại sao dự thảo Nghị định chỉ cho phép sử dụng 1 chiều đối với chữ ký điện tử chuyên dùng bảo đảm an toàn do đơn vị và tổ chức tạo lập trừ Ngân hàng Nhà nước? Như vậy có tạo điều kiện cho người dân và doanh nghiệp được quyền lựa chọn khi tham gia các giao dịch trên môi trường điện tử theo kết luận của Phó Thủ tướng Trần Lưu Quang?

Hơn nữa cơ sở pháp lý nào trong Luật Giao dịch điện tử chỉ cho phép Ngân hàng Nhà nước và các Tổ chức tín dụng được sử dụng thanh toán liên ngân hàng bằng chữ ký điện tử chuyên dùng bảo đảm an toàn (giao dịch 2 chiều).

Thứ hai, Chữ ký điện tử chuyên dùng phải đáp ứng tiêu chí nêu tại Khoản 2 Điều 22 và chữ ký điện tử chuyên dùng bảo đảm an toàn phải được Bộ Thông tin và Truyền thông cấp giấy chứng nhận (Khoản 2 Điều 25), cơ quan tạo lập chữ ký điện tử chuyên dùng không được kinh doanh chữ ký điện tử …(Khoản 1 Điều 25). Vậy tại sao không cho phép tổ chức (có điều kiện về tài chính đầu tư công nghệ đáp ứng tiêu chuẩn được Bộ Thông tin và Truyền thông cấp phép) tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn để giao dịch với khách hàng không thu phí và giao dịch trong nội bộ cơ quan tạo lập? Như vậy sẽ tiết giảm được chi phí (mua chữ ký số và trả thuê bao hàng năm) cho người dân và doanh nghiệp khi giao dịch với chính tổ chức đó.

Chữ ký này có bảo đảm an toàn không khi phải tuân thủ hàng loạt các qui định và được chính Bộ Thông tin và Truyền thông cấp giấy chứng nhận? Nội dung này rất cần Bộ Thông tin và Truyền thông phải chứng minh làm rõ vì nó ảnh hưởng đến quyền lựa chọn của doanh nghiệp và người dân?

Thứ ba, khi xây dựng Luật Giao dịch điện tử 2023, Chính phủ đã đánh giá kết quả thực hiện Luật Giao dịch điện tử 2005 và những hạn chế cần phải sửa đổi cho phù hợp với thực tiễn. Tuy nhiên những đánh giá đó không thấy đề cập đến nguyên nhân tại sao các chủ thể tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn không tạo lập và sử dụng khi giao dịch trên môi trường điện tử? Những bất cập về chữ ký này là gì? Kể cả khi có Nghị định 130/2018/NĐ-CP song các tổ chức nói chung và các Tổ chức tín dụng nói riêng không sử dụng? Nguyên nhân gì mà các Tổ chức tín dụng chủ yếu sử dụng hình thức xác thực mã OTP, Token OTP, sinh trắc học… để giao dịch trên môi trường điện tử.  

Luật Giao dịch điện tử 2005 và Nghị định 130/2018/NĐ-CP (đã được sửa đổi, bổ sung) quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số có quy định về tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng của cơ quan, tổ chức. Theo đó, về mặt pháp lý, Tổ chức tín dụng có thể trở thành tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng cho khách hàng của mình song phải đáp ứng: (i) Giấy chứng nhận đăng ký hoạt động của tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng và (ii) Giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số chuyên dùng do Bộ Thông tin và Truyền thông cấp (các Điều 39, 40 và 41 của Nghị định 130/2018/NĐ-CP). Bởi vậy đến nay cũng chỉ có 04 tổ chức được cấp chứng nhận đăng ký hoạt động cung cấp dịch vụ chứng thực chữ ký số chuyên dùng và cũng chỉ được cấp chứng nhận lần đầu nhưng chưa được cấp chứng nhận lại.

Nguyên nhân chính là khi Tổ chức tín dụng khởi tạo chữ ký điện tử chuyên dùng bảo đảm an toàn phải làm các thủ tục rất phức tạp bởi theo Nghị định 130 thì ngân hàng được cấp chữ ký số chuyên dùng để giao dịch nhân danh chính mình (ngân hàng) giao kết với bên ngoài hoặc dùng nội bộ chứ không cấp cho khách hàng sử dụng để giao dịch với chính ngân hàng, chính vì vậy trên thực tiễn các ngân hàng sử dụng chữ ký số công cộng hoặc chữ ký điện tử khác theo qui định tại Luật giao dịch điện tử 2005 để giao dịch với khách hàng hiện hữu không dùng chữ ký điện tử chuyên dùng theo Nghị định 130.

Thứ tư, đối với SWIFT, để được sử dụng tại Việt Nam theo Luật Giao dịch điện tử 2023, SWIFT phải hoàn tất thủ tục công nhận tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài theo Điều 26 Luật Giao dịch điện tử 2023. Đến nay, Đơn vị chủ quản của SWIFT chưa có kế hoạch thực hiện thủ tục xin công nhận này tại Việt Nam. Các Tổ chức tín dụng không thể ngừng sử dụng SWIFT, tuy nhiên, việc tiếp tục sử dụng SWIFT dẫn đến việc các Tổ chức tín dụng phải chịu rủi ro pháp lý. Nếu Dự thảo Nghị định giữ nguyên dẫn đến sau khi Nghị định ban hành sẽ rất vướng mắc và rủi ro lớn về pháp lý cho các Tổ chức tín dụng cũng như ảnh hưởng nghiêm trọng đến hoạt động thanh toán quốc tế.

Thứ năm, Dự thảo bổ sung Khoản 6 Điều 46 yêu cầu chủ quản hệ thống thông tin phục vụ giao dịch điện tử có trách nhiệm rà soát, nâng cấp hệ thống để đảm bảo cho tổ chức, cá nhân được lựa chọn chữ ký số để thực hiện các giao dịch điện tử. Tuy nhiên, Dự thảo chưa đưa ra lộ trình chuyển tiếp cụ thể để đơn vị chủ quản hệ thống có thời gian chuẩn bị nâng cấp hệ thống theo yêu cầu của Khoản 6 Điều 46. Việc xây dựng, chỉnh sửa hệ thống, đặc biệt đối với các công ty, ngân hàng đa quốc gia sử dụng hệ thống toàn cầu để tích hợp chữ ký số cần rất nhiều thời gian. Thời gian dự kiến sơ bộ để hoàn thành cập nhật hệ thống ít nhất là 3- 5 năm.

Từ những lý do trên, Hiệp hội Ngân hàng kiến nghị Thủ tướng Chính phủ xem xét một số nội dung trước khi ban hành Nghị định:

1. Cho phép người dân và doanh nghiệp có quyền lựa chọn quyết định việc mua hay không mua chữ ký số để thực hiện các loại giao dịch;

2. Các đơn vị tổ chức nói chung và các Tổ chức tín dụng nói riêng, nếu đơn vị nào đáp ứng được các điều kiện quy định Chữ ký điện tử chuyên dùng bảo đảm an toàn theo quy định của Bộ Thông tin và Truyền thông thì được cung cấp dịch vụ này (không thu phí) khi giao dịch trên môi trường điện tử;

3. Xem xét lại Khoản 6 Điều 46 Dự thảo có cần thiết bổ sung? Nếu bổ sung thì cần qui định rõ lộ trình chuyển tiếp với thời gian tối thiểu từ 3-5 năm để các đơn vị tổ chức có đủ thời gian chuẩn bị nâng cấp hệ thống.

VNBA