Skip Ribbon Commands
Skip to main content
Thứ bảy, ngày 02/03/2024

Lấy ý kiến nhân dân về dự thảo văn bản quy phạm pháp luật "Dự thảo Nghị định quy định về chữ ký điện tử và dịch vụ tin cậy"

Các ý kiến đóng góp

 

CHÍNH PHỦ
 
 

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
Số:          /         /NĐ-CP
 
Hà Nội, ngày         tháng     năm   
        

DỰ THẢO 01

24.01.2024

 

 
 
NGHỊ ĐỊNH
Quy định về chữ ký điện tử và dịch vụ tin cậy
 

Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019 
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Luật Phí và lệ phí ngày 25 tháng 11 năm 2015;
Theo đề nghị của Bộ trưởng Bộ Thông tin và Truyền thông;
Chính phủ ban hành Nghị định quy định về chữ ký điện tử và dịch vụ tin cậy.
 
 
Chương I
 
NHỮNG QUY ĐỊNH CHUNG
 
 
Điều 1. Phạm vi điều chỉnh
Nghị định này quy định về việc quản lý, cung cấp và sử dụng chữ ký điện tử, chữ ký điện tử chuyên dùng, chữ ký số, dấu thời gian và dịch vụ tin cậy.
Điều 2. Đối tượng áp dụng
Nghị định này áp dụng đối với cơ quan, tổ chức, cá nhân tham gia trực tiếp hoặc có liên quan đến việc quản lý, cung cấp và sử dụng chữ ký điện tử, chữ ký điện tử chuyên dùng, chữ ký số, dấu thời gian và dịch vụ tin cậy.
Điều 3. Giải thích từ ngữ
Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:
1. “Khóa” là một chuỗi các số nhị phân (0 và 1) dùng trong các hệ thống mật mã.
2. “Ký số” là việc đưa khóa bí mật vào một chương trình phần mềm để tự động tạo và gắn chữ ký số vào thông điệp dữ liệu.
3. “Chứng thư chữ ký số có hiệu lực” là chứng thư chữ ký số chưa hết hạn, không bị tạm dừng hoặc bị thu hồi.
4. “Chứng thư chữ ký số công cộng” là chứng thư chữ ký số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp.
5. "Thuê bao" là cơ quan, tổ chức, cá nhân được cấp chứng thư chữ ký số, chấp nhận chứng thư chữ ký số và giữ khóa bí mật tương ứng với khóa công khai ghi trên chứng thư chữ ký số được cấp đó.
6. “Người ký” là thuê bao dùng khóa bí mật của mình để ký số vào một thông điệp dữ liệu dưới tên của mình.
7. “Người nhận” là tổ chức, cá nhân nhận được thông điệp dữ liệu được ký số bởi người ký, sử dụng chứng thư chữ ký số của người ký đó để kiểm tra chữ ký số trong thông điệp dữ liệu nhận được.
8. “Ứng dụng sử dụng chữ ký số” là các ứng dụng công nghệ thông tin cho phép tích hợp và sử dụng chữ ký số để xác thực.
9. “Quy chế chứng thực” là quy chế của các tổ chức cung cấp dịch vụ tin cậy về quy trình, thủ tục cấp, quản lý chứng thư chữ ký số, sử dụng dịch vụ tin cậy của thuê bao và mối quan hệ giữa tổ chức cung cấp dịch vụ tin cậy với thuê bao và các tổ chức liên quan.
10. “Phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số” là phí để duy trì hệ thống thông tin phục vụ việc kiểm tra trạng thái chứng thư chữ ký số của các tổ chức cung cấp dịch vụ tin cậy. 
Chương II
CHỮ KÝ ĐIỆN TỬ 
Mục 1
CHỮ KÝ ĐIỆN TỬ VÀ CHỨNG THƯ CHỮ KÝ ĐIỆN TỬ
Điều 4. Chữ ký điện tử
Chữ ký điện tử là chữ ký được tạo lập dưới dạng dữ liệu điện tử gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu để xác nhận chủ thể ký và khẳng định sự chấp thuận của chủ thể đó đối với thông điệp dữ liệu.
Điều 5. Chứng thư chữ ký điện tử
1. Chứng thư chữ ký điện tử là thông điệp dữ liệu nhằm xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.
2. Chứng thư chữ ký điện tử đối với chữ ký số được gọi là chứng thư chữ ký số, bao gồm:
a) Chứng thư chữ ký số gốc của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, bao gồm: chứng thư chữ ký số cho dịch vụ cấp dấu thời gian, dịch vụ chứng thực thông điệp dữ liệu, dịch vụ chứng thực chữ ký số công cộng;
b) Chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy;
c) Chứng thư chứng thư chữ ký số công cộng;
d) Các chứng thư chữ ký số khác theo quy định của Bộ Thông tin và Truyền thông.
3. Bộ Thông tin và Truyền thông quy định về các trường thông tin trong chứng thư chữ ký số.
Điều 6. Nội dung của chứng thư chữ ký điện tử
Nội dung của chứng thư chữ ký điện tử, bao gồm:
1. Thông tin về tổ chức cấp chứng thư chữ ký điện tử.
2. Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thư chữ ký điện tử.
c) Số hiệu của chứng thư chữ ký điện tử.
d) Thời hạn có hiệu lực của chứng thư chữ ký điện tử.
đ) Dữ liệu để kiểm tra chữ ký điện tử của người được cấp chứng thư chữ ký điện tử.
e) Chữ ký điện tử của tổ chức cấp chứng thư chữ ký điện tử.
g) Các hạn chế về mục đích, phạm vi sử dụng của chứng thư chữ ký điện tử.
h) Các hạn chế về trách nhiệm pháp lý của tổ chức cấp chứng thư chữ ký điện tử.
i) Các nội dung khác theo quy định của Bộ Thông tin và Truyền thông.
Điều 7. Nội dung của chứng thư chữ ký số
1. Nội dung của chứng thư chữ ký số gốc của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia:
a) Tên của tổ chức cấp chứng thư chữ ký số.
b) Số hiệu chứng thư chữ ký số.
c) Thời hạn có hiệu lực của chứng thư chữ ký số.
d) Khóa công khai của thuê bao.
đ) Chữ ký số của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.
e) Các hạn chế về mục đích, phạm vi sử dụng của chứng thư chữ ký số.
g) Các hạn chế về trách nhiệm pháp lý của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.
h) Thuật toán khóa không đối xứng.
i) Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông.
2. Nội dung của chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy, bao gồm:
a) Tên của tổ chức cấp chứng thư chữ ký số.
b) Tên của thuê bao.
c) Số hiệu chứng thư chữ ký số.
d) Thời hạn có hiệu lực của chứng thư chữ ký số.
đ) Khóa công khai của thuê bao.
e) Chữ ký số của tổ chức cấp chứng thư chữ ký số.
g) Các hạn chế về mục đích, phạm vi sử dụng của chứng thư chữ ký số.
h) Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ tin cậy.
i) Thuật toán khóa không đối xứng.
k) Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông.
3. Nội dung của chứng thư chữ ký số công cộng, bao gồm:
a) Tên của tổ chức cấp chứng thư chữ ký số.
b) Tên của thuê bao.
c) Số hiệu chứng thư chữ ký số.
d) Thời hạn có hiệu lực của chứng thư chữ ký số.
đ) Khóa công khai của thuê bao.
e) Chữ ký số của tổ chức cấp chứng thư chữ ký số.
g) Các hạn chế về mục đích, phạm vi sử dụng của chứng thư chữ ký số.
h) Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ tin cậy.
i) Thuật toán khóa không đối xứng.
k) Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông.
Điều 8. Định dạng chứng thư chữ ký điện tử, chứng thư chữ ký số
Khi cấp chứng thư chữ ký điện tử, chứng thư chữ ký số, các cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng, các tổ chức cung cấp dịch vụ tin cậy phải tuân thủ quy định về định dạng chứng thư chữ ký điện tử, định dạng chứng thư chữ ký số theo quy định của Bộ Thông tin và Truyền thông. 
Mục 2
CHỮ KÝ ĐIỆN TỬ CHUYÊN DÙNG
Điều 9. Chữ ký điện tử chuyên dùng
Chữ ký điện tử chuyên dùng là chữ ký điện tử do cơ quan, tổ chức tạo lập, sử dụng riêng cho hoạt động của cơ quan, tổ chức đó phù hợp với chức năng, nhiệm vụ và đáp ứng đủ các yêu cầu quy định tại khoản 2 Điều 22 Luật Giao dịch điện tử.
Điều 10. Chữ ký điện tử chuyên dùng bảo đảm an toàn
Chữ ký điện tử chuyên dùng bảo đảm an toàn là chữ ký điện tử chuyên dùng được Bộ Thông tin và Truyền thông cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn.
Điều 11. Điều kiện cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
1. Cơ quan, tổ chức phải có nhân sự chịu trách nhiệm: Quản trị hệ thống; vận hành hệ thống và cấp chứng thư chữ ký điện tử (nếu có); đảm bảo an toàn thông tin của hệ thống. Các nhân sự này phải có bằng đại học trở lên, chuyên ngành an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông.
2. Điều kiện kỹ thuật:
a) Thiết lập hệ thống kỹ thuật bảo đảm các yêu cầu sau:
- Lưu trữ đầy đủ, chính xác và cập nhật thông tin của thuê bao;
- Lưu trữ đầy đủ, chính xác, cập nhật danh sách các chứng thư chữ ký điện tử có hiệu lực, đang tạm dừng và đã hết hiệu lực và cho phép và hướng dẫn người sử dụng Internet truy nhập trực tuyến 24 giờ trong ngày và 7 ngày trong tuần;
- Có tính năng cảnh báo, ngăn chặn và phát hiện truy nhập bất hợp pháp trên môi trường mạng;
- Được thiết kế theo xu hướng giảm thiểu tối đa sự tiếp xúc trực tiếp với môi trường Internet;
- Hệ thống thông tin tạo lập chữ ký điện tử chuyên dùng đáp ứng yêu cầu bảo đảm an toàn thông tin mạng tối thiểu cấp độ 3 theo quy định của pháp luật về an toàn thông tin mạng;
b) Có phương án kỹ thuật đáp ứng các yêu cầu đảm bảo an toàn hệ thống thông tin và các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký điện tử;
c) Có các phương án kiểm soát sự ra vào trụ sở, quyền truy nhập hệ thống, quyền ra vào nơi đặt thiết bị;
d) Có các phương án dự phòng đảm bảo duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra;
đ) Có phương án cung cấp trực tuyến thông tin thuê bao cho Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước;
e) Toàn bộ hệ thống thiết bị sử dụng để cung cấp dịch vụ đặt tại Việt Nam;
g) Có trụ sở, nơi đặt máy móc, thiết bị phù hợp với yêu cầu của pháp luật về phòng, chống cháy, nổ; có khả năng chống chịu lũ, lụt, động đất, nhiễu điện từ, sự xâm nhập bất hợp pháp của con người.
Điều 12. Hồ sơ đề nghị cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
1. Đơn đề nghị cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn theo Mẫu số 01 tại Phụ lục kèm theo Nghị định này.
2. Quyết định thành lập và điều lệ hoạt động của tổ chức.
3. Hồ sơ nhân sự gồm: Sơ yếu lý lịch, bằng cấp, chứng chỉ của đội ngũ nhân sự đáp ứng các quy định tại khoản 1 Điều 11 Nghị định này.
4. Phương án kỹ thuật nhằm đảm bảo quy định tại khoản 2 Điều 11 Nghị định này.
5. Quy chế tạo lập, sử dụng chữ ký điện tử chuyên dùng theo mẫu của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.
6. Đối với cơ quan, tổ chức được cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn có nhu cầu tiếp tục chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn, trước khi giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số chuyên dùng hết hạn tối thiểu 45 ngày, cơ quan, tổ chức nộp hồ sơ đề nghị cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn do hết hạn. Hồ sơ đề nghị bao gồm:
a) Đơn đề nghị cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn do hết hạn, theo Mẫu số 01 tại Phụ lục kèm theo Nghị định này;
b) Những thông tin về việc thay đổi nhân sự, kỹ thuật của cơ quan, tổ chức liên quan đến điều kiện cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn theo quy định tại khoản 1 Điều 11 Nghị định này.
Điều 13. Quy trình, thủ tục cấp, tạm đình chỉ, thu hồi và thay đổi nội dung chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
1. Cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
a) Trong thời hạn 60 ngày làm việc kể từ ngày nhận được hồ sơ đề nghị cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn hợp lệ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với các bộ, ngành có liên quan thẩm tra hồ sơ, kiểm tra thực tế và cấp giấy chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn cho tổ chức trong trường hợp tổ chức đáp ứng đủ các điều kiện quy định tại Điều 11 Nghị định này. Mẫu giấy chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn quy định theo Mẫu số 03 tại Phụ lục kèm theo Nghị định này.
Trường hợp tổ chức không đáp ứng đủ các điều kiện theo quy định, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do;
b) Chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn của cơ quan, tổ chức có thời hạn tối đa là 05 năm.
2. Tạm đình chỉ chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
Cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng bị tạm đình chỉ chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn không quá 6 tháng khi thuộc một trong các trường hợp sau:
a) Hệ thống kỹ thuật không được kiểm định định kỳ;
b) Không đáp ứng được một trong các điều kiện cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn quy định tại Điều 11 Nghị định này.
3. Khôi phục chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
Trong thời gian bị tạm đình chỉ chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn, nếu cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng khắc phục được lý do bị tạm đình chỉ, Bộ Thông tin và Truyền thông sẽ thu hồi quyết định tạm đình chỉ chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn.
4. Thu hồi chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
Cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng bị thu hồi chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn khi không khắc phục được các điều kiện tạm đình chỉ quy định tại khoản 2 Điều này sau thời hạn tạm dừng ấn định bởi cơ quan nhà nước.
5. Thay đổi nội dung chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
Thay đổi nội dung chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn được thực hiện khi cơ quan, tổ chức được cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn thay đổi một trong các thông tin sau: địa chỉ trụ sở, phạm vi và đối tượng sử dụng chữ ký điện tử chuyên dùng, tiêu chuẩn kỹ thuật áp dụng.
Để thay đổi nội dung chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn, cơ quan, tổ chức nộp hồ sơ đề nghị thay đổi tại Bộ Thông tin và Truyền thông, hồ sơ bao gồm: Đơn đề nghị thay đổi nội dung chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn theo Mẫu số 02 tại Phụ lục kèm theo Nghị định này và các văn bản, tài liệu liên quan, là cơ sở cho việc đề nghị thay đổi.
Trong thời hạn 15 ngày làm việc kể từ ngày nhận được hồ sơ hợp lệ, Bộ Thông tin và Truyền thông thẩm tra, cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn với các nội dung đã thay đổi; trường hợp từ chối cấp, phải thông báo bằng văn bản và nêu rõ lý do.
Thời hạn của chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn là thời hạn còn lại của giấy chứng nhận đã được cấp.
Điều 14. Quyền và nghĩa vụ của cơ quan, tổ chức tạo lập, sử dụng chữ ký điện tử chuyên dùng, chữ ký điện tử chuyên dùng bảo đảm an toàn
1. Tạo lập, sử dụng chữ ký điện tử chuyên dùng, chữ ký điện tử chuyên dùng bảo đảm an toàn theo đúng đối tượng và hoạt động của cơ quan, tổ chức.
2. Quy định việc tạo lập, sử dụng chữ ký điện tử chuyên dùng, chữ ký điện tử chuyên dùng bảo đảm an toàn.
3. Kết nối đến Cổng kết nối dịch vụ chứng thực chữ ký số và Hệ thống kết nối các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng theo hướng dẫn của bộ Thông tin và Truyền thông.
4. Hệ thống kỹ thuật phải được đánh giá, kiểm định định kỳ 02 năm.
5. Báo cáo định kỳ và đột xuất theo quy định của Bộ Thông tin và Truyền thông và yêu cầu của các cơ quan nhà nước có thẩm quyền.
Điều 15. Quyền và nghĩa vụ của cơ quan, tổ chức tạo lập, sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn
1. Tạo lập, sử dụng chữ ký điện tử chuyên dùng theo đúng phạm vi được quy định tại quy chế chứng thực của cơ quan, tổ chức.
2. Lưu trữ thông tin cơ quan, tổ chức, cá nhân tạo lập và sử dụng chữ ký điện tử chuyên dùng. 
Mục 3
CHỮ KÝ SỐ
Điều 16. Chữ ký số
Chữ ký số là chữ ký điện tử sử dụng thuật toán khóa không đối xứng, gồm khóa bí mật và khóa công khai, trong đó khóa bí mật được dùng để ký số và khóa công khai được dùng để kiểm tra chữ ký số. Chữ ký số bảo đảm tính xác thực, tính toàn vẹn và tính chống chối bỏ nhưng không bảo đảm tính bí mật của thông điệp dữ liệu.
Điều 17. Chữ ký số công cộng
Chữ ký số công cộng là chữ ký số được sử dụng trong hoạt động công cộng và được bảo đảm bởi chứng thư chữ ký số công cộng và đáp ứng đủ các yêu cầu quy định tại khoản 3 Điều 22 Luật Giao dịch điện tử.
Điều 18. Chứng thư chữ ký số của cơ quan, tổ chức và người có thẩm quyền của cơ quan, tổ chức
1. Tất cả các cơ quan, tổ chức, người có thẩm quyền của cơ quan, tổ chức theo quy định của pháp luật về quản lý và sử dụng con dấu đều có quyền được cấp chứng thư chữ ký số.
2. Chứng thư chữ ký số cấp cho người có thẩm quyền của cơ quan, tổ chức phải nêu rõ chức danh và tên cơ quan, tổ chức của người đó.
3. Việc cấp chứng thư chữ ký số cho cơ quan, tổ chức, người có thẩm quyền của cơ quan, tổ chức phải căn cứ vào các tài liệu sau:
a) Văn bản của cơ quan, tổ chức đề nghị cấp chứng thư chữ ký số cho cơ quan, tổ chức, người có thẩm quyền;
b) Bản sao hợp lệ quyết định thành lập, quyết định quy định chức năng, nhiệm vụ, quyền hạn hoặc văn bản xác nhận chức danh của người có thẩm quyền của cơ quan, tổ chức.
Điều 19. Sử dụng chữ ký số và chứng thư chữ ký số của cơ quan, tổ chức và người có thẩm quyền của cơ quan, tổ chức
1. Chữ ký số của đối tượng được cấp chứng thư chữ ký số theo quy định tại Điều 6 Nghị định này chỉ được sử dụng để thực hiện các giao dịch theo đúng thẩm quyền của cơ quan, tổ chức và chức danh được cấp chứng thư chữ ký số.
2. Việc ký thay, ký thừa lệnh theo quy định của pháp luật thực hiện bởi người có thẩm quyền sử dụng chữ ký số của mình, được hiểu căn cứ vào chức danh của người ký ghi trên chứng thư chữ ký số.
Điều 20. Nghĩa vụ của người ký trước khi thực hiện ký số
Trước khi ký số, người ký phải thực hiện quy trình kiểm tra trạng thái chứng thư chữ ký số như sau:
1. Kiểm trang trạng thái chứng thư chữ ký số của mình trên hệ thống kỹ thuật của tổ chức cung cấp dịch vụ chứng thực chữ ký số đã cấp chứng thư chữ ký số đó.
2. Trong trường hợp người ký sử dụng chứng thư chữ ký số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp: Kiểm tra trạng thái chứng thư chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số cho mình trên hệ thống kỹ thuật của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.
3. Trường hợp kết quả kiểm tra tại các khoản 1 và 2 điều này đồng thời có hiệu lực, người ký thực hiện ký số. Trường hợp kết quả kiểm tra tại khoản 1 hoặc khoản 2 Điều này là không có hiệu lực, người ký không thực hiện ký số.
Điều 21. Nghĩa vụ kiểm tra hiệu lực chứng thư chữ ký số, chữ ký số khi nhận thông điệp dữ liệu được ký số
1. Trước khi chấp nhận chữ ký số của người ký, người nhận phải kiểm tra các thông tin sau:
a) Trạng thái chứng thư chữ ký số, phạm vi sử dụng, giới hạn trách nhiệm và các thông tin trên chứng thư chữ ký số của người ký;
b) Chữ ký số phải được tạo bởi khóa bí mật tương ứng với khóa công khai trên chứng thư chữ ký số của người ký;
c) Đối với chữ ký số được tạo ra bởi chứng thư chữ ký số nước ngoài được cấp giấy phép sử dụng tại Việt Nam, người nhận phải kiểm tra hiệu lực chứng thư chữ ký số trên cả hệ thống của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia và hệ thống của tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài cấp chứng thư chữ ký số đó.
2. Người nhận phải thực hiện quy trình kiểm tra như sau:
a) Kiểm tra trạng thái chứng thư chữ ký số tại thời điểm thực hiện ký số, phạm vi sử dụng, giới hạn trách nhiệm và các thông tin trên chứng thư chữ ký số đó theo quy định tại Điều 7 Nghị định này trên hệ thống kỹ thuật của tổ chức cung cấp dịch vụ chứng thực chữ ký số đã cấp chứng thư chữ ký số đó;
b) Trong trường hợp người ký sử dụng chứng thư chữ ký số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp: Kiểm tra trạng thái chứng thư chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số đã cấp chứng thư chữ ký số đó tại thời điểm thực hiện ký số trên hệ thống kỹ thuật của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;
c) Chữ ký số trên thông điệp dữ liệu chỉ có hiệu lực khi kết quả kiểm tra tại các khoản 1 và 2 Điều này đồng thời có hiệu lực.
3. Người nhận phải chịu trách nhiệm trong các trường hợp sau:
a) Không tuân thủ các quy định tại các khoản 1 và 2 Điều này;
b) Đã biết hoặc được thông báo về sự không còn tin cậy của chứng thư chữ ký số và khóa bí mật của người ký.
Điều 22. Trách nhiệm của tổ chức, cá nhân phát triển ứng dụng sử dụng chữ ký số
1. Đáp ứng các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số đang có hiệu lực.
2. Đảm bảo trung lập về công nghệ, không sử dụng các rào cản kỹ thuật để hạn chế việc sử dụng chữ ký số của một hoặc một số tổ chức cung cấp dịch vụ chứng thực chữ ký số.
3. Cập nhật chứng thư chữ ký số của các tổ chức cung cấp dịch vụ chứng thực chữ ký số trong các ứng dụng theo yêu cầu của tổ chức này hoặc yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật để đảm bảo kết quả xác thực là chính xác.
4. Đáp ứng đúng các quy trình kiểm tra trạng thái chứng thư chữ ký số được quy định tại Điều 20 và khoản 2 Điều 21 Nghị định này.
Điều 23. Trách nhiệm của tổ chức, cá nhân cung cấp giải pháp chữ ký số
1. Cung cấp giải pháp đáp ứng các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số đang có hiệu lực.
2. Khuyến khích cung cấp các giải pháp tuân theo các tiêu chuẩn chữ ký số phổ biến và tiên tiến trên thế giới. 
Mục 4
DẤU THỜI GIAN
Điều 24. Dấu thời gian
1. Dấu thời gian là dữ liệu điện tử được cung cấp bởi tổ chức cung cấp dịch vụ tin cậy về dịch cụ cấp dấu thời gian để gắn với thông điệp dữ liệu để chứng minh sự tồn tại của thông điệp dữ liệu đó ở một thời điểm cụ thể.
2. Dấu thời gian được tạo ra dưới dạng chữ ký số.
Điều 25. Nghĩa vụ khi áp dụng dấu thời gian, kiểm tra dấu thời gian của thông điệp dữ liệu và phát triển ứng dụng dấu thời gian
1. Trước khi chấp nhận dấu thời gian, người nhận phải kiểm tra dấu thời gian được gắn với thông điệp dữ liệu và các thông tin liên quan về dấu thời gian phải được cấp bởi tổ chức cung cấp dịch vụ tin cậy về dấu thời gian hợp lệ.
2. Người nhận sử dụng công cụ phần mềm kiểm tra và quy trình kiểm tra đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật về dấu thời gian.
3. Người nhận phải chịu trách nhiệm trong các trường hợp sau:
a) Không tuân thủ các quy định tại các khoản 1 và 2 Điều này;
b) Đã biết hoặc được thông báo về sự không còn tin cậy của tổ chức cung cấp dịch vụ tin cậy về dấu thời gian.
4. Trách nhiệm của tổ chức, cá nhân phát triển ứng dụng dấu thời gian
a) Đáp ứng các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về dấu thời gian và dịch vụ cấp dấu thời gian đang có hiệu lực.
b) Đảm bảo trung lập về công nghệ, không sử dụng các rào cản kỹ thuật để hạn chế việc sử dụng dấu thời gian của một hoặc một số tổ chức cung cấp dịch vụ cấp dấu thời gian. 
 

 

Chương III
DỊCH VỤ TIN CẬY
Mục 1
KINH DOANH DỊCH VỤ TIN CẬY
Điều 26. Dịch vụ tin cậy
1. Dịch vụ tin cậy bao gồm:
a) Dịch vụ cấp dấu thời gian;
b) Dịch vụ chứng thực thông điệp dữ liệu;
c) Dịch vụ chứng thực chữ ký số công cộng.
2. Dịch vụ cấp dấu thời gian là dịch vụ để gắn thông tin về thời gian vào thông điệp dữ liệu.
3. Dịch vụ chứng thực thông điệp dữ liệu là dịch vụ của bên thứ ba xác nhận, lưu trữ và bảo đảm tính toàn vẹn của thông điệp dữ liệu do các bên khởi tạo trong quá trình thực hiện giao dịch điện tử. Dịch vụ chứng thực thông điệp dữ liệu bao gồm:
a) Dịch vụ lưu trữ và xác nhận tính toàn vẹn của thông điệp dữ liệu;
b) Dịch vụ gửi, nhận thông điệp dữ liệu bảo đảm.
4. Dịch vụ chứng thực chữ ký số công cộng là dịch vụ do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cung cấp để xác thực chủ thể ký số trên thông điệp dữ liệu, bảo đảm tính chống chối bỏ của chủ thể ký với thông điệp dữ liệu và bảo đảm tính toàn vẹn của thông điệp dữ liệu được ký. Dịch vụ chứng thực chữ ký số công cộng gồm:
a) Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên USB Token/HSM/Smart Card;
b) Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên thiết bị di động;
c) Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số từ xa.
Điều 27. Điều kiện kinh doanh
1. Doanh nghiệp được quyền đăng ký một hoặc các dịch vụ tin cậy. Khi đăng ký tất các các dịch vụ phải đáp ứng đủ các điều kiện.
Doanh nghiệp được cấp Giấy phép kinh doanh dịch vụ tin cậy khi đáp ứng đủ các Điều kiện quy định tại khoản 1 Điều 29 Luật Giao dịch điện tử và các Điều kiện tại Nghị định này.
2. Đối với dịch vụ chứng thực chữ ký số công cộng cần đáp ứng điều kiện quy định tại khoản 1 Điều này. Trong đó, chi tiết các điều kiện tại điểm b, d, đ khoản 1 Điều 29 Luật Giao dịch điện tử như sau:
a) Điều kiện tài chính:
- Ký quỹ tại một ngân hàng thương mại hoạt động tại Việt Nam tối thiểu 10 (mười) tỷ đồng để giải quyết các rủi ro và các khoản đền bù có thể xảy ra trong quá trình cung cấp dịch vụ do lỗi của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng và thanh toán chi phí tiếp nhận và duy trì cơ sở dữ liệu của doanh nghiệp trong trường hợp bị thu hồi giấy phép;
- Nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số đầy đủ (đối trường hợp doanh nghiệp đã được cấp giấy phép).
b) Điều kiện nhân lực quản lý và kỹ thuật
- Có tối thiểu 20 nhân sự trình độ đại học các ngành đào tạo về công nghệ thông tin và gần đào tạo về công nghệ thông tin; trong đó, có tối thiểu 05 nhân viên kỹ thuật đảm bảo có kinh nghiệm thực tiễn về quản trị mạng, bảo mật hệ thống trao đổi dữ liệu điện tử, quản trị cơ sở dữ liệu, am hiểu pháp luật về chữ ký số.
- Doanh nghiệp phải có nhân sự chịu trách nhiệm: Quản trị hệ thống, vận hành hệ thống và cấp chứng thư chữ ký số, bảo đảm an toàn thông tin của hệ thống.
- Có đội ngũ nhân viên kỹ thuật, thường xuyên trực 24 giờ trong ngày để duy trì hoạt động của hệ thống và hỗ trợ người sử dụng dịch vụ chứng thực chữ ký số công cộng.
c) Điều kiện kỹ thuật:
- Thiết lập hệ thống thiết bị kỹ thuật đảm bảo các yêu cầu sau:
+ Lưu trữ đầy đủ, chính xác và cập nhật thông tin của thuê bao phục vụ việc cấp chứng thư chữ ký số trong suốt thời gian chứng thư chữ ký số có hiệu lực;
+ Lưu trữ đầy đủ, chính xác, cập nhật danh sách các chứng thư chữ ký số có hiệu lực, đang tạm dừng và đã hết hiệu lực và cho phép và hướng dẫn người sử dụng Internet truy nhập trực tuyến 24 giờ trong ngày và 7 ngày trong tuần;
+ Đảm bảo tạo cặp khóa chỉ cho phép mỗi cặp khóa được tạo ra ngẫu nhiên và đúng một lần duy nhất; có tính năng đảm bảo khóa bí mật không bị phát hiện khi có khóa công khai tương ứng;
+ Có tính năng cảnh báo, ngăn chặn và phát hiện truy nhập bất hợp pháp trên môi trường mạng;
+ Được thiết kế theo xu hướng giảm thiểu tối đa sự tiếp xúc trực tiếp với môi trường Internet và độc lập với các hệ thống khác không phục vụ cho dịch vụ tin cậy;
+ Hệ thống phân phối khóa cho thuê bao phải đảm bảo sự toàn vẹn và bảo mật của cặp khóa. Trong trường hợp phân phối khóa thông qua môi trường mạng máy tính thì hệ thống phân phối khóa phải sử dụng các giao thức bảo mật đảm bảo không lộ thông tin trên đường truyền.
- Có phương án kỹ thuật đáp ứng các yêu cầu đảm bảo an toàn hệ thống thông tin và các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số đang có hiệu lực;
- Có các phương án kiểm soát sự ra vào trụ sở, quyền truy nhập hệ thống, quyền ra vào nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ ký số;
- Có các phương án dự phòng đảm bảo duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra, các quy trình thực hiện sao lưu dữ liệu, sao lưu trực tuyến dữ liệu, khôi phục dữ liệu, có khả năng phục hồi dữ liệu chậm nhất là 08 giờ, kể từ thời điểm hệ thống gặp sự cố; Trung tâm dự phòng cách xa trung tâm dữ liệu chính tối thiểu 20km và sẵn sàng hoạt động khi hệ thống chính gặp sự cố;
- Có phương án cung cấp trực tuyến thông tin thuê bao cho Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước về dịch vụ chứng thực chữ ký số; Có phương án liên thông với tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia để bảo đảm cho việc kiểm tra hiệu lực chữ ký số công cộng.
- Toàn bộ hệ thống thiết bị sử dụng để cung cấp dịch vụ đặt tại Việt Nam; bảo đảm trang thiết bị trong hệ thống phải được gắn mã quản lý và đăng ký trên Cổng Thông tin điện tử của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.
- Có trụ sở, nơi đặt máy móc, thiết bị phù hợp với yêu cầu của pháp luật về phòng, chống cháy, nổ; có khả năng chống chịu lũ, lụt, động đất, nhiễu điện từ, sự xâm nhập bất hợp pháp của con người;
- Có quy chế chứng thực theo mẫu quy định tại quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.
3. Đối với dịch vụ cấp dấu thời gian cần đáp ứng điều kiện quy định tại khoản 1 Điều này. Trong đó, chi tiết các điều kiện tại điểm b, d, đ khoản 1 Điều 29 Luật Giao dịch điện tử như sau:
a) Điều kiện tài chính
- Ký quỹ tại một ngân hàng thương mại hoạt động tại Việt Nam tối thiểu 05 (năm) tỷ đồng để giải quyết các rủi ro và các khoản đền bù có thể xảy ra trong quá trình cung cấp dịch vụ do lỗi của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng và thanh toán chi phí tiếp nhận và duy trì cơ sở dữ liệu của doanh nghiệp trong trường hợp bị thu hồi giấy phép;
b) Điều kiện nhân lực quản lý và kỹ thuật
- Có tối thiểu 10 nhân sự trình độ đại học các ngành đào tạo về công nghệ thông tin và gần đào tạo về công nghệ thông tin; trong đó, có tối thiểu 05 nhân viên kỹ thuật đảm bảo có kinh nghiệm thực tiễn về quản trị hệ thống, quản trị mạng, quản trị cơ sở dữ liệu, bảo mật hệ thống trao đổi dữ liệu điện tử, am hiểu hạ tầng khoá công khai và pháp luật về dịch vụ tin cậy.
- Doanh nghiệp phải có nhân sự chịu trách nhiệm: Quản trị hệ thống, vận hành hệ thống, kiểm toán viên hệ thống, bảo đảm an toàn thông tin của hệ thống.
- Có đội ngũ nhân viên kỹ thuật, thường xuyên trực 24 giờ trong ngày để duy trì hoạt động của hệ thống và hỗ trợ người sử dụng dịch vụ cấp dấu thời gian.
c) Điều kiện kỹ thuật
- Thiết lập hệ thống thiết bị kỹ thuật đảm bảo các yêu cầu sau:
+ Lưu trữ đầy đủ, chính xác và cập nhật thông tin của thuê bao phục vụ việc cung cấp dịch vụ trong suốt thời gian chứng thư chữ ký số có hiệu lực;
+ Đảm bảo tạo cặp khóa chỉ cho phép mỗi cặp khóa được tạo ra ngẫu nhiên và đúng một lần duy nhất; có tính năng đảm bảo khóa bí mật không bị phát hiện khi có khóa công khai tương ứng;
+ Có tính năng cảnh báo, ngăn chặn và phát hiện truy nhập bất hợp pháp trên môi trường mạng;
+ Được thiết kế theo xu hướng giảm thiểu tối đa sự tiếp xúc trực tiếp với môi trường Internet và độc lập với các hệ thống khác không phục vụ cho dịch vụ tin cậy;
- Có phương án kỹ thuật đáp ứng các yêu cầu đảm bảo an toàn hệ thống thông tin và các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về dịch vụ dấu thời gian đang có hiệu lực;
- Có các phương án kiểm soát sự ra vào trụ sở, quyền truy nhập hệ thống, quyền ra vào nơi đặt thiết bị phục vụ việc cung cấp dịch vụ dấu thời gian;
- Có các phương án dự phòng đảm bảo duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra, các quy trình thực hiện sao lưu dữ liệu, sao lưu trực tuyến dữ liệu, khôi phục dữ liệu, có khả năng phục hồi dữ liệu chậm nhất là 08 giờ, kể từ thời điểm hệ thống gặp sự cố; Trung tâm dự phòng cách xa trung tâm dữ liệu chính tối thiểu 20km và sẵn sàng hoạt động khi hệ thống chính gặp sự cố;
- Có phương án cung cấp trực tuyến thông tin thuê bao cho Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước về dịch vụ chứng thực chữ ký số; Có phương án liên thông với tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia để cung cấp sự kiện giao dịch (event log).
- Toàn bộ hệ thống thiết bị sử dụng để cung cấp dịch vụ đặt tại Việt Nam; bảo đảm trang thiết bị trong hệ thống phải được gắn mã quản lý và đăng ký trên Cổng Thông tin điện tử của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.
- Có trụ sở, nơi đặt máy móc, thiết bị phù hợp với yêu cầu của pháp luật về phòng, chống cháy, nổ; có khả năng chống chịu lũ, lụt, động đất, nhiễu điện từ, sự xâm nhập bất hợp pháp của con người;
- Có quy chế chứng thực theo mẫu quy định tại quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;
- Có nguồn thời gian theo quy định của pháp luật về nguồn thời gian chuẩn quốc gia.
4. Đối với dịch vụ chứng thực thông điệp dữ liệu cần đáp ứng điều kiện quy định tại khoản 1 Điều này. Trong đó, chi tiết các điều kiện tại điểm b, d, đ khoản 1 Điều 29 Luật Giao dịch điện tử như sau:
a) Điều kiện tài chính
- Ký quỹ tại một ngân hàng thương mại hoạt động tại Việt Nam tối thiểu 10 (mười) tỷ đồng để giải quyết các rủi ro và các khoản đền bù có thể xảy ra trong quá trình cung cấp dịch vụ do lỗi của tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu và thanh toán chi phí tiếp nhận và duy trì cơ sở dữ liệu của doanh nghiệp trong trường hợp bị thu hồi giấy phép;
b) Điều kiện nhân lực quản lý và kỹ thuật
- Có tối thiểu 22 nhân sự trình độ đại học các ngành đào tạo về công nghệ thông tin và gần đào tạo về công nghệ thông tin; trong đó, có tối thiểu 05 nhân viên kỹ thuật đảm bảo có kinh nghiệm thực tiễn về quản trị hệ thống, quản trị mạng, quản trị cơ sở dữ liệu, bảo mật hệ thống trao đổi dữ liệu điện tử, am hiểu hạ tầng khoá công khai và pháp luật về dịch vụ tin cậy.
- Doanh nghiệp phải có nhân sự chịu trách nhiệm: Quản trị hệ thống, vận hành hệ thống, kiểm toán viên hệ thống, bảo đảm an toàn thông tin của hệ thống.
- Có đội ngũ nhân viên kỹ thuật, thường xuyên trực 24 giờ trong ngày để duy trì hoạt động của hệ thống và hỗ trợ người sử dụng dịch vụ.
c) Điều kiện kỹ thuật
- Thiết lập hệ thống thiết bị kỹ thuật đảm bảo các yêu cầu sau:
+ Lưu trữ đầy đủ, chính xác và cập nhật thông tin của thuê bao phục vụ việc cung cấp dịch vụ trong suốt thời gian chứng thư chữ ký số có hiệu lực;
+ Đảm bảo tạo cặp khóa chỉ cho phép mỗi cặp khóa được tạo ra ngẫu nhiên và đúng một lần duy nhất; có tính năng đảm bảo khóa bí mật không bị phát hiện khi có khóa công khai tương ứng;
+ Có tính năng cảnh báo, ngăn chặn và phát hiện truy nhập bất hợp pháp trên môi trường mạng;
+ Được thiết kế theo xu hướng giảm thiểu tối đa sự tiếp xúc trực tiếp với môi trường Internet và độc lập với các hệ thống khác không phục vụ cho dịch vụ tin cậy;
- Có phương án kỹ thuật đáp ứng các yêu cầu đảm bảo an toàn hệ thống thông tin và các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về dịch vụ dấu thời gian đang có hiệu lực;
- Có các phương án kiểm soát sự ra vào trụ sở, quyền truy nhập hệ thống, quyền ra vào nơi đặt thiết bị phục vụ việc cung cấp dịch vụ dấu thời gian;
- Có các phương án dự phòng đảm bảo duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra, các quy trình thực hiện sao lưu dữ liệu, sao lưu trực tuyến dữ liệu, khôi phục dữ liệu, có khả năng phục hồi dữ liệu chậm nhất là 08 giờ, kể từ thời điểm hệ thống gặp sự cố; Trung tâm dự phòng cách xa trung tâm dữ liệu chính tối thiểu 20 km và sẵn sàng hoạt động khi hệ thống chính gặp sự cố;
- Có phương án cung cấp trực tuyến thông tin thuê bao cho Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước về dịch vụ chứng thực chữ ký số; Có phương án liên thông với tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia để cung cấp sự kiện giao dịch (event log).
- Toàn bộ hệ thống thiết bị sử dụng để cung cấp dịch vụ đặt tại Việt Nam; bảo đảm trang thiết bị trong hệ thống phải được gắn mã quản lý và đăng ký trên Cổng Thông tin điện tử của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.- Có trụ sở, nơi đặt máy móc, thiết bị phù hợp với yêu cầu của pháp luật về phòng, chống cháy, nổ; có khả năng chống chịu lũ, lụt, động đất, nhiễu điện từ, sự xâm nhập bất hợp pháp của con người;
- Có quy chế chứng thực theo mẫu quy định tại quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;
- Có nguồn thời gian theo quy định của pháp luật về nguồn thời gian chuẩn quốc gia.
Mục 2
QUY TRÌNH THỦ TỤC CUNG CẤP DỊCH VỤ TIN CẬY
 Điều 28. Quy trình thủ tục cấp giấy phép, cấp chứng thư chữ ký số
1. Doanh nghiệp đề nghị cấp Giấy phép kinh doanh dịch vụ tin cậy chuẩn bị hồ sơ; nộp trực tiếp tại Bộ Thông tin và Truyền thông hoặc gửi qua đường bưu điện hoặc qua hệ thống dịch vụ công trực tuyến nếu đủ điều kiện áp dụng. Hồ sơ đề nghị cấp giấy phép bao gồm:
a) Đơn đề nghị cấp Giấy phép kinh doanh dịch vụ tin cậy theo Mẫu số 04 tại Phụ lục kèm theo Nghị định này, trong đó nêu rõ loại hình dịch vụ tin cậy sẽ kinh doanh;
b) Bản sao Giấy chứng nhận đăng ký doanh nghiệp, Giấy chứng nhận đăng ký đầu tư hoặc giấy tờ khác có giá trị tương đương;
c) Giấy xác nhận ký quỹ của một ngân hàng thương mại hoạt động tại Việt Nam. Giấy xác nhận này phải bao gồm, nhưng không giới hạn, điều khoản cam kết thanh toán vô điều kiện và không hủy ngang cho Bên nhận ký quỹ bất cứ khoản tiền nào trong giới hạn của khoản tiền ký quỹ để giải quyết các rủi ro và các khoản đền bù có thể xảy ra trong quá trình cung cấp dịch vụ do lỗi của tổ chức cung cấp dịch vụ tin cậy và thanh toán chi phí tiếp nhận và duy trì cơ sở dữ liệu của doanh nghiệp trong trường hợp bị thu hồi giấy phép.
d) Có hệ thống trang thiết bị, cơ sở vật chất và phương án kỹ thuật phù hợp phù hợp với phương án kinh doanh dịch vụ tin cậy;
đ) Bản sao văn bằng hoặc chứng chỉ chuyên môn của đội ngũ nhân lực quản lý và kỹ thuật.
2. Trong thời hạn 30 ngày kể từ ngày nhận được hồ sơ đề nghị cấp Giấy phép, nếu hồ sơ chưa đầy đủ và hợp lệ, Bộ Thông tin và Truyền thông thông báo bằng văn bản yêu cầu bổ sung, sửa đổi hồ sơ. Thời hạn bổ sung, sửa đổi hồ sơ của doanh nghiệp tối đa là 06 tháng kể từ ngày ra thông báo. Trường hợp doanh nghiệp không bổ sung, sửa đổi hồ sơ theo đúng thời hạn quy định, Bộ Thông tin và Truyền thông từ chối xem xét cấp Giấy phép.
Tổng thời gian để tổ chức, cá nhân bổ sung, sửa đổi hồ sơ tối đa là 12 tháng kể từ ngày Bộ Thông tin và Truyền thông thông báo lần đầu. Quá thời hạn trên, tổ chức, cá nhân không hoàn thiện hồ sơ, tài liệu, Thông tin và Truyền thông có quyền từ chối xem xét cấp Giấy phép.
3. Trong thời hạn 90 ngày, kể từ ngày nhận được hồ sơ cấp phép hợp lệ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Công an, Ban Cơ yếu Chính phủ và các bộ, ngành có liên quan thẩm tra hồ sơ và cấp giấy phép cho doanh nghiệp trong trường hợp doanh nghiệp đáp ứng đủ các điều kiện cấp phép tại Điều 24 Nghị định này. Mẫu giấy phép kinh doanh dịch vụ tin cậy quy định theo Mẫu số 06 tại Phụ lục kèm theo Nghị định này.
Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do.
4. Sau khi được cấp phép, doanh nghiệp hoàn thiện hồ sơ cấp chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy bao gồm:
a) Đơn đề nghị Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia cấp chứng thư chữ ký số theo Mẫu số 08 tại Phụ lục kèm theo Nghị định này;
b) Danh sách hồ sơ nhân sự;
c) Hồ sơ hệ thống kỹ thuật;
c) Các giấy tờ khác theo quy định trong quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.
5. Trong thời hạn 30 ngày làm việc, kể từ ngày nhận được hồ sơ đề nghị cấp chứng thư chữ ký số hợp lệ, Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia thực hiện thẩm tra hồ sơ, gồm các nội dung sau:
a) Kiểm tra hệ thống kỹ thuật thực tế của tổ chức cung cấp dịch vụ tin cậy để đảm bảo hệ thống kỹ thuật thực tế theo đúng hồ sơ cấp giấy phép;
b) Kiểm tra đánh giá vận hành thực tế của tổ chức cung cấp dịch vụ tin cậy;
c) Đối với dịch vụ chứng thực chữ ký số công cộng, chứng kiến việc tạo cặp khóa bí mật và khóa công khai của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng để đảm bảo cặp khóa được tạo ra là an toàn theo quy định.
6. Trường hợp đáp ứng điều kiện cấp chứng thư chữ ký số, tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia cấp chứng thư chữ ký số. Trường hợp không đáp ứng đủ điều kiện, Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia có văn bản từ chối cấp chứng thư chữ ký số và nêu rõ lý do.
7. Chứng thư chữ ký số cấp cho các tổ chức cung cấp dịch vụ tin cậy có thời hạn không quá 05 năm.
Điều 29. Thay đổi nội dung giấy phép, cấp lại giấy phép và gia hạn giấy phép
1. Thay đổi nội dung giấy phép được thực hiện trong trường hợp doanh nghiệp thay đổi một trong các thông tin sau: địa chỉ trụ sở, tên giao dịch.
Doanh nghiệp nộp hồ sơ đề nghị thay đổi nội dung giấy phép tại Bộ Thông tin và Truyền thông. Hồ sơ đề nghị thay đổi nội dung giấy phép gồm: Đơn đề nghị thay đổi nội dung giấy phép theo Mẫu số 05 tại Phụ lục kèm theo Nghị định này, báo cáo mô tả chi tiết nội dung đề nghị thay đổi và các tài liệu liên quan.
Trong thời hạn 15 ngày làm việc kể từ ngày nhận đủ hồ sơ hợp lệ, Bộ Thông tin và Truyền thông thẩm tra, cấp giấy phép cho doanh nghiệp với các nội dung thay đổi; trường hợp từ chối cấp, phải thông báo bằng văn bản và nêu rõ lý do.
Thời hạn của giấy phép thay đổi là thời hạn còn lại của giấy phép đã được cấp.
2. Trường hợp giấy phép bị mất, bị hủy hoại, bị hư hỏng hoặc bị tiêu hủy dưới mọi hình thức, doanh nghiệp gửi đơn đề nghị cấp lại giấy phép theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này, trong đó nêu rõ lý do tới Bộ Thông tin và Truyền thông. Trong thời hạn 07 ngày làm việc kể từ ngày nhận được đơn đề nghị, Bộ Thông tin và Truyền thông xem xét và cấp lại giấy phép cho doanh nghiệp.
          3. Tối thiểu 60 ngày trước ngày hết hạn của giấy phép, doanh nghiệp không bị xử lý vi phạm hành chính trong lĩnh vực giao dịch điện tử trong thời hạn 24 tháng tính đến thời điểm nộp hồ sơ đề nghị gia hạn hoạt động có mong muốn tiếp tục cung cấp dịch vụ phải nộp 01 bộ hồ sơ đề nghị gia hạn giấy phép đến Bộ Thông tin và Truyền thông. Hồ sơ đề nghị gia hạn giấy phép gồm:
a) Đơn đề nghị gia hạn giấy phép cung cấp dịch vụ tin cậy của doanh nghiệp do giấy phép cũ hết hạn theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này;
b) Giấy xác nhận ký quỹ của một ngân hàng thương mại hoạt động tại Việt Nam theo quy định tại Điều 27 Nghị định này;
c) Những thông tin về việc thay đổi nhân sự, kỹ thuật của doanh nghiệp liên quan đến điều kiện cấp phép theo quy định tại Điều 27 Nghị định này (nếu có).
Trong thời hạn 30 ngày kể từ ngày nhận đủ hồ sơ hợp lệ, Bộ Thông tin và Truyền thông cấp Giấy phép điều chỉnh theo Mẫu 06 ban hành kèm theo Nghị định này. Trường hợp từ chối chấp thuận, Bộ Thông tin và Truyền thông có văn bản giải thích rõ lý do.
Thời hạn gia hạn giấy phép không quá 01 năm.
Điều 30. Tạm đình chỉ giấy phép và chứng thư số
1. Tổ chức cung cấp dịch vụ tin cậy bị tạm đình chỉ giấy phép không quá 6 tháng khi thuộc một trong các trường hợp sau:
a) Cung cấp dịch vụ sai với nội dung ghi trên giấy phép;
b) Không đáp ứng được một trong các điều kiện cấp phép quy định tại Điều 27 Nghị định này trong quá trình hoạt động cung cấp dịch vụ;
c) Không nộp đầy đủ phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số trong 06 tháng.
d) Khi phát hiện các sai sót trong hệ thống cung cấp dịch vụ của mình có thể làm ảnh hưởng đến quyền lợi của thuê bao và người nhận.
2. Đối với các trường hợp quy định tại các khoản 1 Điều này thủ tục tạm đình chỉ giấy phép của doanh nghiệp được thực hiện như sau:
Trường hợp phát hiện doanh nghiệp thuộc các trường hợp tại khoản 1 Điều này. Bộ Thông tin và Truyền thông tổ chức làm việc với doanh nghiệp và lập biên bản làm việc.
Trong vòng 07 ngày làm việc, Bộ Thông tin và Truyền thông xem xét, ban hành quyết định tạm đình chỉ.
3. Trong thời gian bị tạm đình chỉ giấy phép, nếu tổ chức cung cấp dịch vụ tin cậy khắc phục được lý do bị tạm đình chỉ, Bộ Thông tin và Truyền thông sẽ cho phép doanh nghiệp được tiếp tục cung cấp dịch vụ.
 
Điều 31. Thu hồi giấy phép
1. Tổ chức cung cấp dịch vụ tin cậy bị thu hồi giấy phép khi xảy ra một trong các trường hợp sau:
a) Hồ sơ đề nghị cấp giấy phép kinh doanh dịch vụ tin cậy có thông tin gian lận để có đủ điều kiện được cấp giấy phép;
b) Không triển khai cung cấp dịch vụ trong thời hạn 12 tháng, kể từ ngày được cấp phép, trừ trường hợp có sự kiện bất khả kháng hoặc trở ngại khách quan; Đối với trường hợp bất khả kháng hoặc trở ngại khách quan, doanh nghiệp phải báo cáo bằng văn bản và được Bộ Thông tin và Truyền thông chấp thuận bằng văn bản về việc gia hạn thời gian chính thức hoạt động;
c) Doanh nghiệp không muốn tiếp tục cung cấp dịch vụ.
d) Sau khi Tòa án quyết định tuyên bố doanh nghiệp phá sản;
đ) Bị sáp nhập, hợp nhất, giải thể, chấm dứt hoạt động;
e) Hoạt động không đúng với nội dung tại giấy phép thành lập và hoạt động;
g) Không nộp đầy đủ phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số trong 12 tháng;
h) Không khắc phục được các điều kiện tạm đình chỉ quy định tại khoản 1 Điều 30 Nghị định này sau thời hạn tạm dừng ấn định bởi cơ quan nhà nước;
2. Đối với các trường hợp quy định tại các điểm a, d, e, g, h thủ tục thu hồi Giấy phép kinh doanh dịch vụ tin cậy của doanh nghiệp được thực hiện như sau:
a) Trong thời hạn 20 ngày kể từ ngày ký biên bản xác định các hành vi vi phạm (đối với trường hợp quy định tại các điểm a, e, g, h khoản 1 Điều này) hoặc nhận được thông báo về việc doanh nghiệp Bộ Thông tin và Truyền thông có công văn yêu cầu doanh nghiệp kinh doanh dịch vụ tin cậy thực hiện các nội dung sau: Dừng ngay việc giao kết các hợp đồng, không được ký mới, ký gia hạn các hợp đồng khác có liên quan đến hoạt động kinh doanh dịch vụ tin cậy; Thực hiện chuyển giao cơ sở dữ liệu, hồ sơ có liên quan đến hoạt động cung cấp dịch vụ.
b) Tổ chức cung cấp dịch vụ tin cậy bị thu hồi giấy phép có trách nhiệm thỏa thuận để bàn giao các cơ sở dữ liệu, hồ sơ có liên quan đến hoạt động cung cấp dịch vụ và đảm bảo quyền lợi sử dụng dịch vụ của các thuê bao cho tổ chức cung cấp dịch vụ tin cậy khác đang hoạt động trong thời hạn không quá 30 ngày, kể từ ngày nhận được công văn thu hồi giấy phép.
Trong trường hợp không thỏa thuận được với các tổ chức khác về việc bàn giao các cơ sở dữ liệu, hồ sơ có liên quan đến hoạt động cung cấp dịch vụ và đảm bảo việc sử dụng dịch vụ của các thuê bao, Bộ Thông tin và Truyền thông chỉ định một hoặc một số tổ chức cung cấp dịch vụ tin cậy thực hiện điều này. Tổ chức tiếp nhận thực hiện tiếp quyền và nghĩa vụ đối với các thuê bao và người nhận theo hợp đồng đã ký giữa thuê bao và tổ chức bị thu hồi giấy phép.
Trong thời hạn 06 tháng kể từ ngày nhận được công văn của Bộ Thông tin và Truyền thông, doanh nghiệp kinh doanh dịch vụ tin cậy phải hoàn thành việc cơ sở dữ liệu, hồ sơ có liên quan đến hoạt động cung cấp dịch vụ.
c) Trong thời hạn 20 ngày sau khi nhận được đầy đủ báo cáo của doanh nghiệp kinh doanh dịch vụ tin cậy về việc hoàn thành chuyển giao cơ sở dữ liệu, hồ sơ có liên quan đến hoạt động cung cấp dịch vụ, Bộ Thông tin và Truyền thông có quyết định thu hồi Giấy phép kinh doanh dịch vụ tin cậy của doanh nghiệp;
3. Đối với trường hợp quy định tại điểm b khoản 1 Điều này, thủ tục thu hồi Giấy phép kinh doanh dịch vụ tin cậy được thực hiện như sau:
Trong thời hạn 20 ngày kể từ ngày hết thời hạn theo quy định tại điểm b khoản 1 Điều này, Bộ Thông tin và Truyền thông ra quyết định thu hồi Giấy phép kinh doanh dịch vụ tin cậy;
4. Đối với các trường hợp bị sáp nhập, hợp nhất quy định tại điểm đ khoản 1 Điều này, Bộ Thông tin và Truyền thông ra quyết định thu hồi Giấy phép kinh doanh dịch vụ tin cậy của doanh nghiệp tham gia bị sáp nhập, hợp nhất đồng thời với việc cấp Giấy phép kinh doanh dịch vụ tin cậy cho doanh nghiệp hình thành sau sáp nhập, hợp nhất.
5. Đối với trường hợp không muốn tiếp tục cung cấp dịch vụ quy định tại điểm c khoản 1 Điều này và tự nguyện giải thể, chấm dứt hoạt động quy định tại điểm đ khoản 1 Điều này, trong thời hạn 14 ngày sau khi nhận được đầy đủ báo cáo của doanh nghiệp về việc hoàn thành chuyển giao cơ sở dữ liệu, hồ sơ có liên quan đến hoạt động cung cấp dịch vụ. Bộ Thông tin và Truyền thông ra quyết định thu hồi Giấy phép.
6. Chi phí tiếp nhận, duy trì cơ sở dữ liệu, hồ sơ liên quan và đảm bảo việc sử dụng dịch vụ của thuê bao được lấy từ tiền ký quỹ tại ngân hàng của tổ chức cung cấp dịch vụ tin cậy bị thu hồi giấy phép.
Ngân hàng Nhà nước Việt Nam chủ trì phối hợp Bộ Thông tin và Truyền thông hướng dẫn các tổ chức tín dụng tuân thủ các quy định về xác nhận, quản lý tiền ký quỹ của doanh nghiệp cung cấp dịch vụ tin cậy theo quy định của Nghị định này.
7. Sau thời hạn 03 năm kể từ ngày bị thu hồi giấy phép trừ việc thu hồi quy định tại điểm c khoản 1 Điều này, tổ chức cung cấp dịch vụ tin cậy được quyền đề nghị cấp lại giấy phép. Điều kiện và thủ tục cấp lại thực hiện theo các quy định như trường hợp cấp mới.
8. Quyết định thu hồi giấy phép kinh doanh dịch vụ tin cậy của doanh nghiệp được Bộ Thông tin và Truyền thông công bố trên Cổng thông tin điện tử của Bộ Thông tin và Truyền thông.
 
Điều 32. Các biện pháp bảo đảm trong trường hợp tạm đình chỉ và thu hồi giấy phép
1. Doanh nghiệp kinh doanh dịch vụ tin cậy chuyển giao cơ sở dữ liệu, hồ sơ có liên quan đến hoạt động cung cấp dịch vụ tin cậy (sau đây gọi tắt là doanh nghiệp chuyển giao) phải nộp Bộ Thông tin và Truyền thông 01 bộ hồ sơ bao gồm các tài liệu sau:
a) Đơn đề nghị chuyển giao theo Mẫu số 07 tại Phụ lục kèm theo Nghị định này;
b) Kế hoạch chuyển giao gồm các nội dung sau: Tên và địa chỉ của doanh nghiệp kinh doanh dịch vụ tin cậy nhận chuyển giao (sau đây gọi tắt là doanh nghiệp nhận chuyển giao); số lượng hợp đồng được chuyển giao; Phương thức chuyển giao và trách nhiệm liên quan tới các hợp đồng được chuyển giao; Thời gian dự kiến thực hiện việc chuyển giao.
c) Hợp đồng chuyển giao bao gồm các nội dung chủ yếu sau: Đối tượng của việc chuyển giao; Quyền và nghĩa vụ của các bên tham gia chuyển giao; Thời gian dự kiến thực hiện việc chuyển giao; Phương thức giải quyết tranh chấp.
d) Cam kết của doanh nghiệp nhận chuyển giao về việc bảo đảm quyền lợi của khách hàng theo hợp đồng cung cấp dịch vụ được chuyển giao sau khi việc chuyển giao có hiệu lực.
2. Trong thời hạn 30 ngày kể từ ngày nhận đủ hồ sơ đề nghị chuyển giao, Bộ Thông tin và Truyền thông có văn bản chấp thuận. Trường hợp từ chối chấp thuận, Bộ Thông tin và Truyền thông có văn bản giải thích rõ lý do.
3. Trong thời hạn 30 ngày kể từ ngày Bộ Thông tin và Truyền thông chấp thuận việc chuyển giao chuyển giao toàn bộ cơ sở dữ liệu, hồ sơ có liên quan đến hoạt động cung cấp dịch vụ tin cậy, doanh nghiệp chuyển giao phải công bố về việc chuyển giao như sau:
a) Công bố trên trang thông tin điện tử của doanh nghiệp về việc chuyển giao các nội dung chủ yếu sau: Tên và địa chỉ của doanh nghiệp chuyển giao và doanh nghiệp nhận chuyển giao; số lượng hợp đồng bảo hiểm được chuyển giao; Thời gian dự kiến thực hiện việc chuyển giao; Địa chỉ giải quyết các khiếu nại, thắc mắc của thuê bao liên quan đến việc chuyển giao.
b) Gửi thông báo kèm theo tóm tắt kế hoạch chuyển giao cho từng thuê bao. Thông báo gửi cho thuê bao phải nêu rõ trong thời hạn 15 ngày kể từ ngày nhận được thông báo, thuê bao được phép chấm dứt hợp đồng nếu không đồng ý với kế hoạch chuyển giao và ngày kế hoạch chuyển giao chính thức có hiệu lực.
c) Gửi văn bản thỏa thuận cho thuê bao về việc các nghĩa vụ theo hợp đồng cung cấp dịch vụ trong trường hợp chuyển giao cơ sở dữ liệu, hồ sơ có liên quan đến hoạt động cung cấp dịch vụ tin cậy theo yêu cầu của Bộ Thông tin và Truyền thông.
4. Kể từ ngày ký Hợp đồng chuyển giao danh mục hợp đồng bảo hiểm, doanh nghiệp chuyển giao không được tiếp tục ký kết hợp đồng bảo hiểm mới thuộc nghiệp vụ bảo hiểm chuyển giao.
5. Trong thời hạn 60 ngày kể từ ngày Bộ Thông tin và Truyền thông phê chuẩn kế hoạch chuyển giao, doanh nghiệp chuyển giao chuyển cho doanh nghiệp nhận chuyển giao: Toàn bộ cơ sở dữ liệu và các hợp đồng cung cấp dịch vụ đang có hiệu lực thuộc kế hoạch chuyển giao đã được Bộ Thông tin và Truyền thông phê chuẩn.
6. Doanh nghiệp nhận chuyển giao có trách nhiệm phối hợp với doanh nghiệp chuyển giao trong việc xây dựng kế hoạch chuyển giao và thỏa thuận ngày có hiệu lực của kế hoạch chuyển giao.
7. Kể từ ngày nhận chuyển giao, doanh nghiệp nhận chuyển giao có trách nhiệm thực hiện các nghĩa vụ của hợp đồng được chuyển giao theo đúng các điều khoản đã ký kết giữa doanh nghiệp chuyển giao và thuê bao. Doanh nghiệp nhận chuyển giao có quyền tiếp nhận tiền ký quỹ để thực hiện nghĩa vụ theo hợp đồng được chuyển giao.
 
Điều 33. Các trường hợp thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy
Các trường hợp thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy:
1. Cơ quan, tổ chức đổi tên mà thông tin không phù hợp với thông tin trong chứng thư chữ ký số;
2. Theo yêu cầu bằng văn bản của Tổ chức cung cấp dịch vụ tin cậy trong các trường hợp: Khóa bí mật bị lộ hoặc nghi bị lộ; thiết bị lưu khóa bí mật bị thất lạc hoặc các trường hợp mất an toàn khác; thiết bị lưu khóa bí mật bị hỏng;
3. Theo yêu cầu bằng văn bản từ cơ quan tiến hành tố tụng, cơ quan công an hoặc cơ quan có thẩm quyền.
 
Điều 34. Thẩm quyền đề nghị thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy
Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia thực hiện thu hồi chứng thư chữ ký số khi nhận được văn bản đề nghị thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy hoặc yêu cầu bằng văn bản từ cơ quan tiến hành tố tụng, cơ quan công an, cơ quan có thẩm quyền.
Điều 35. Việc thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy
1. Hồ sơ thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy gồm một trong những văn bản sau:
a) Văn bản đề nghị thu hồi chứng thư số của tổ chức cung cấp dịch vụ tin cậy;
b) Văn bản đề nghị thu hồi chứng thư số của cơ quan tiến hành tố tụng, cơ quan công an.
2. Trình tự, thủ tục thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy:
Trong thời hạn 01 ngày làm việc, kể từ khi nhận được đề nghị thu hồi chứng thư chữ ký số, Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia phải thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy và công bố chứng thư số bị thu hồi trên trang thông tin điện tử của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.
Mục 3
HOẠT ĐỘNG DỊCH VỤ TIN CẬY
Điều 36. Dịch vụ cấp dấu thời gian
Dịch vụ cấp dấu thời gian do Tổ chức cung cấp dịch vụ tin cậy bao gồm:
1. Gắn thời gian vào thông điệp dữ liệu; thời gian được gắn vào thông điệp dữ liệu là ngày, tháng, năm và thời gian mà tổ chức cung cấp dịch vụ cấp dấu thời gian nhận được thông điệp dữ liệu đó;
2. Cung cấp thông tin cần thiết để giúp chứng thực thông điệp dữ liệu đó của thuê bao đã gắn ngày, tháng, năm và thời gian trên thông điệp dữ liệu;
3. Tạo tài khoản hoặc hỗ trợ tạo tài khoản bao gồm các thông tin xác định chủ thể thuê bao;
4. Cấp, gia hạn, tạm dừng, phục hồi và thu hồi tài khoản của thuê bao;
5. Duy trì trực tuyến cơ sở dữ liệu về tài khoản của thuê bao.
Điều 37. Dịch vụ chứng thực thông điệp dữ liệu
1. Dịch vụ chứng thực thông điệp dữ liệu gồm:
a) Dịch vụ lưu trữ và xác nhận tính toàn vẹn của thông điệp dữ liệu;
b) Dịch vụ gửi, nhận thông điệp dữ liệu bảo đảm.
2. Dịch vụ lưu trữ và xác nhận tính toàn vẹn của thông điệp dữ liệu, bao gồm các hoạt động sau:
a) Lưu trữ dữ liệu nhận dạng người dùng;
b) Lưu trữ dữ liệu xác thực người dùng;
c) Lưu trữ dữ liệu về bằng chứng danh tính người gửi đã được xác minh;
d) Lưu trữ nhật ký hoạt động gửi nhận thông điệp dữ liệu, xác minh danh tính của người gửi và người nhận và xác nhận tính toàn vẹn của thông điệp dữ liệu;
đ) Lưu trữ bằng chứng xác minh danh tính của người nhận trước khi gửi/chuyển giao nội dung người dùng;
e) Chứng thực phương tiện để chứng minh rằng nội dung người dùng không bị sửa đổi trong quá trình truyền tải;
g) Cung cấp thông tin tham chiếu đến hoặc bản liệt kê toàn bộ nội dung người dùng đã gửi;
h) Cung cấp Mã thông báo có dấu thời gian tương ứng với ngày và giờ gửi, ký gửi, bàn giao và sửa đổi nội dung người dùng.
3. Dịch vụ gửi, nhận thông điệp dữ liệu bảo đảm, bao gồm các hoạt động sau:
a) Xác thực/Chứng thực người gửi;
b) Xác thực/Chứng thực được người nhận trước khi gửi dữ liệu;
c) Việc gửi và nhận dữ liệu được bảo mật bằng chữ ký số của nhà cung cấp dịch vụ tin cậy đủ điều kiện;
d) Thông báo cho người gửi và người nhận dữ liệu về bất kỳ thay đổi nào của dữ liệu cần thiết cho mục đích gửi hoặc nhận dữ liệu;
đ) Gắn dấu thời gian gửi, nhận thông điệp dữ liệu.
Điều 38. Dịch vụ chứng thực chữ ký số công cộng
Dịch vụ chứng thực chữ ký số công cộng do Tổ chức cung cấp dịch vụ tin cậy bao gồm các hoạt động sau:
1. Tạo cặp khóa hoặc hỗ trợ tạo cặp khóa bao gồm khóa công khai và khóa bí mật cho thuê bao.
2. Cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư chữ ký số của thuê bao.
3. Thay đổi nội dung thông tin của chứng thư chữ ký số.
4. Khôi phục thiết bị lưu khóa bí mật.
5. Công bố và duy trì trực tuyến cơ sở dữ liệu về chứng thư chữ ký số.
6. Cung cấp thông tin cần thiết để giúp chứng thực chữ ký số của thuê bao đã ký số trên thông điệp dữ liệu.
 
Điều 39. Trách nhiệm của tổ chức cung cấp dịch vụ tin cậy
1. Tổ chức cung cấp dịch vụ tin cậy có trách nhiệm thực hiện theo quy định tại Điều 30 Luật Giao dịch điện tử.
2. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thực hiện trách nhiệm đối với thuê bao như sau:
a) Đảm bảo việc sử dụng dịch vụ của thuê bao là liên tục, không bị gián đoạn trong suốt thời gian hiệu lực của chứng thư chữ ký số và việc kiểm tra trạng thái chứng thư chữ ký số của thuê bao là liên tục.
b) Giải quyết các rủi ro và các khoản đền bù xảy ra cho thuê bao và người nhận trong trường hợp lỗi được xác định của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
c) Trong trường hợp bị đình chỉ: tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm duy trì hệ thống cơ sở dữ liệu liên quan đến chứng thư chữ ký số đã cấp.
d) Khi bị thu hồi giấy phép, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải thông báo ngay cho thuê bao về việc ngừng cung cấp dịch vụ của mình và thông tin về tổ chức tiếp nhận cơ sở dữ liệu của mình để đảm bảo quyền lợi sử dụng dịch vụ của thuê bao.
đ) Xây dựng hợp đồng mẫu với thuê bao trong đó bao gồm các nội dung tối thiểu sau:
- Số hợp đồng;
- Thời điểm (ngày, tháng, năm) lập hợp đồng;
- Các nội dung về quyền và nghĩa vụ của các bên;
- Thỏa thuận về việc cấp chứng thư chữ ký số: Phạm vi, giới hạn sử dụng, mức độ bảo mật, chi phí liên quan đến việc cấp và sử dụng chứng thư chữ ký số và những thông tin khác có khả năng ảnh hưởng đến quyền lợi của thuê bao;
- Yêu cầu đảm bảo sự an toàn trong lưu trữ và sử dụng khóa bí mật;
- Việc thực hiện các biện pháp đảm bảo an toàn, bảo mật trong sử dụng dịch vụ và trường hợp mất chứng thư chữ ký số;
- Phương thức tiếp nhận đề nghị khiếu nại; thời hạn xử lý đề nghị khiếu nại và việc xử lý kết quả khiếu nại;
- Các trường hợp bất khả kháng.
Mục 4
HOẠT ĐỘNG CUNG CẤP DỊCH VỤ CHỮ KÝ SỐ CÔNG CỘNG
 
Điều 40. Đối tượng đề nghị cấp chứng thư chữ ký số công cộng
1. Cá nhân đề nghị cấp chứng thư chữ ký số công cộng bao gồm:
a) Người từ đủ 18 tuổi trở lên có năng lực hành vi dân sự đầy đủ theo quy định của pháp luật Việt Nam;
b) Người từ đủ 15 tuổi đến chưa đủ 18 tuổi không bị mất hoặc hạn chế năng lực hành vi dân sự;
2. Tổ chức được thành lập, hoạt động hợp pháp theo quy định của pháp luật Việt Nam bao gồm: tổ chức là pháp nhân, doanh nghiệp tư nhân, hộ kinh doanh và các tổ chức khác theo quy định của pháp luật.
Điều 41. Hồ sơ cấp chứng thư chữ ký số công cộng
1. Hồ sơ cấp chứng thư chữ ký số công cộng tại Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, bao gồm:
a) Giấy đề nghị cấp chứng thư chữ ký số công cộng theo mẫu của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
b) Giấy tờ kèm theo bao gồm:
- Đối với cá nhân: Các giấy tờ tùy thân bao gồm thẻ căn cước hoặc giấy chứng minh nhân dân hoặc hộ chiếu còn thời hạn; thị thực nhập cảnh còn thời hạn hoặc giấy tờ chứng minh được miễn thị thực nhập cảnh (đối với cá nhân là người nước ngoài);
- Đối với tổ chức: Quyết định thành lập hoặc quyết định quy định về chức năng, nhiệm vụ, quyền hạn, cơ cấu tổ chức hoặc giấy chứng nhận đăng ký doanh nghiệp hoặc giấy chứng nhận đầu tư; chứng minh nhân dân hoặc thẻ căn cước hoặc hộ chiếu của người đại diện theo pháp luật.
2. Cá nhân, tổ chức có quyền lựa chọn nộp bản sao từ sổ gốc, bản sao có chứng thực hoặc bản sao điện tử hoặc nộp bản sao trình kèm bản chính để đối chiếu hoặc sử dụng tài khoản định danh điện tử mức độ 2 theo quy định của pháp luật về định danh và xác thực điện tử.
Đối với trường hợp xuất trình bản chính để đối chiếu, Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải xác nhận vào bản sao và chịu trách nhiệm về tính chính xác của bản sao so với bản chính. Việc hợp pháp hóa lãnh sự đối với các giấy tờ do cơ quan có thẩm quyền của nước ngoài cấp thực hiện theo quy định của pháp luật. Trường hợp giấy tờ trong hồ sơ là bản sao điện tử, Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải có giải pháp, công nghệ để thu thập, kiểm tra và đối chiếu, đảm bảo bản sao điện tử có nội dung đầy đủ, chính xác và khớp đúng so với bản chính theo quy định của pháp luật.
Điều 42. Trình tự, thủ tục đề nghị cấp chứng thư chữ ký số công cộng
1. Khi có nhu cầu đề nghị cấp chứng thư chữ ký số công cộng, khách hàng lập một (01) bộ hồ sơ theo quy định tại Điều 41 Nghị định này nộp trực tiếp hoặc gửi qua đường bưu chính hoặc phương tiện điện tử đến tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng nơi đề nghị cấp chứng thư chữ ký số.
2. Khi nhận được hồ sơ đề nghị của khách hàng, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải kiểm tra, đối chiếu các giấy tờ trong hồ sơ đề nghị cấp và xử lý:
a) Nếu các giấy tờ tại hồ sơ đề nghị cấp chứng thư chữ ký số đã đầy đủ, hợp pháp, hợp lệ và các yếu tố kê khai tại giấy đề nghị cấp hoàn toàn khớp đúng với các giấy tờ trong hồ sơ đề nghị cấp chứng thư chữ ký số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thực hiện cấp chứng thư chữ ký số cho khách hàng cho khách hàng theo quy định tại khoản 3 Điều này;
b) Nếu các giấy tờ trong hồ sơ đề nghị cấp chứng thư chữ ký số chưa đầy đủ, hợp pháp, hợp lệ hoặc các yếu tố kê khai tại giấy đề nghị chứng thư chữ ký số chưa khớp đúng với các giấy tờ trong hồ sơ chứng thư chữ ký số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thông báo cho khách hàng để hoàn thiện hồ sơ;
c) Trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng từ chối cấp chứng thư chữ ký số thì phải thông báo cho khách hàng biết.
3. Sau khi hoàn thành việc kiểm tra, đối chiếu, xác minh thông tin nhận biết khách hàng, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tiến hành giao kết thỏa thuận cấp chứng thư chữ ký số công cộng và sử dụng dịch vụ chứng thực chữ ký số công cộng với khách hàng.
4. Thủ tục cấp chứng thư chữ ký số của cá nhân, tổ chức theo quy định tại Điều 43 Nghị định này; Đối với cấp chứng thư chữ ký số của cá nhân, tổ chức bằng phương thức điện tử được thực hiện theo quy định tại Điều 44 Nghị định này.
5. Việc cấp chứng thư chữ ký số cho khách hàng mà tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đã thiết lập mối quan hệ và hoàn thành việc nhận biết, xác minh thông tin nhận biết khách hàng do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đó quyết định nhưng phải đảm bảo có hoặc thu thập được đầy đủ thông tin, giấy tờ trong hồ sơ đề nghị cấp chứng thư chữ ký số theo quy định tại Điều 41 Nghị định này.
Điều 43. Cấp chứng thư chữ ký số công cộng cho thuê bao
1. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp chứng thư chữ ký số công cộng cho thuê bao sau khi kiểm tra được các nội dung sau đây:
a) Thông tin trong hồ sơ đề nghị cấp chứng thư chữ ký số công cộng của thuê bao là chính xác;
b) Khóa công khai trên chứng thư chữ ký số công cộng sẽ được cấp là duy nhất và cùng cặp với khóa bí mật của tổ chức, cá nhân đề nghị cấp chứng thư chữ ký số công cộng.
2. Chứng thư chữ ký số công cộng chỉ được cấp cho người đề nghị cấp và phải có đầy đủ những thông tin được quy định tại Điều 41 Nghị định này.
3. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng chỉ được công bố chứng thư chữ ký số công cộng đã cấp cho thuê bao trên cơ sở dữ liệu về chứng thư chữ ký số công cộng của mình sau khi có xác nhận của thuê bao về tính chính xác của thông tin trên chứng thư chữ ký số đó; thời hạn để công bố chậm nhất là 24 giờ sau khi đã có xác nhận của thuê bao; trừ trường hợp có thỏa thuận khác.
4. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải đảm bảo an toàn trong suốt quá trình tạo và chuyển giao chứng thư chữ ký số cho thuê bao.
Điều 44. Cấp chứng thư chữ ký số công cộng bằng phương thức điện tử
1. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thực hiện cấp chứng thư chữ ký số công cộng bằng phương thức điện tử phải xây dựng, ban hành, công khai quy trình, thủ tục cấp chứng thư chữ ký số bằng phương thức điện tử phù hợp với quy định tại Điều này, pháp luật về giao dịch điện tử, các quy định pháp luật liên quan về an toàn thông tin, an ninh mạng, bảo vệ dữ liệu cá nhân, bao gồm tối thiểu các bước như sau:
a) Thu thập thông tin về hồ sơ đề nghị cấp chứng thư chữ ký số công cộng theo quy định tại khoản 1 Điều 41 Nghị định này;
b) Thực hiện kiểm tra, đối chiếu và xác minh thông tin nhận biết khách hàng;
c) Cảnh báo cho khách hàng về các hành vi không được thực hiện trong quá trình cấp và sử dụng chứng thư chữ ký số bằng phương thức điện tử;
d) Cung cấp cho khách hàng nội dung thỏa thuận cấp và sử dụng dịch vụ chứng thực chữ ký số công cộng theo quy định tại điểm đ khoản 2 Điều 39 Nghị định này và thực hiện giao kết thỏa thuận cấp chứng thư chữ ký số công cộng và sử dụng dịch vụ chứng thực chữ ký số công cộng với khách hàng.
2. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng được quyết định biện pháp, hình thức, công nghệ để nhận biết và xác minh khách hàng phục vụ việc cấp chứng thư chữ ký số công cộng bằng phương thức điện tử; chịu trách nhiệm về rủi ro phát sinh (nếu có) và phải đáp ứng các yêu cầu tối thiểu sau:
a) Có giải pháp, công nghệ để thu thập, kiểm tra, đối chiếu, đảm bảo sự khớp đúng giữa thông tin nhận biết khách hàng, dữ liệu sinh trắc học của khách hàng (là các yếu tố, đặc điểm sinh học gắn liền với khách hàng thực hiện định danh, khó làm giả, có tỷ lệ trùng nhau thấp như vân tay, khuôn mặt, mống mắt, giọng nói và các yếu tố sinh trắc học khác) với các thông tin, yếu tố sinh trắc học tương ứng trên giấy tờ tùy thân của khách hàng quy định tại điểm b khoản 1 Điều 41 Nghị định này hoặc với dữ liệu định danh cá nhân được xác thực bởi cơ quan nhà nước có thẩm quyền hoặc bởi tổ chức tín dụng khác hoặc bởi tổ chức được cung ứng dịch vụ xác thực điện tử;
b) Có biện pháp kỹ thuật để xác nhận việc khách hàng đã được định danh đồng ý với các nội dung tại thỏa thuận cấp chứng thư chữ ký số công cộng và sử dụng dịch vụ chứng thực chữ ký số công cộng;
c) Xây dựng quy trình quản lý, kiểm soát, đánh giá rủi ro, trong đó có biện pháp ngăn chặn các hành vi mạo danh, can thiệp, chỉnh sửa, làm sai lệch việc xác minh thông tin nhận biết khách hàng trước, trong và sau khi cấp chứng thư chữ ký số cho khách hàng; Trường hợp phát hiện có rủi ro, sai lệch hoặc có dấu hiệu bất thường giữa các thông tin nhận biết khách hàng với các yếu tố sinh trắc học của khách hàng hoặc phát hiện giao dịch đáng ngờ trong quá trình ký số, Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải kịp thời từ chối hoặc tạm ngưng, tạm khóa hoặc phong tỏa chứng thư chữ ký số và tiến hành xác minh lại thông tin nhận biết khách hàng. Quy trình quản lý, kiểm soát rủi ro phải thường xuyên được rà soát, hoàn thiện dựa trên những thông tin, dữ liệu cập nhật trong quá trình cung ứng dịch vụ;
d) Lưu trữ, bảo quản đầy đủ, chi tiết theo thời gian đối với các thông tin, dữ liệu nhận biết khách hàng trong quá trình khách hàng cấp chứng thư chữ ký số công cộng và sử dụng dịch vụ chứng thực chữ ký số công cộng, như: thông tin nhận biết khách hàng; các yếu tố sinh trắc học của khách hàng; âm thanh, hình ảnh, bản ghi hình, ghi âm; số điện thoại thực hiện giao dịch; nhật ký giao dịch. Các thông tin, dữ liệu phải được lưu trữ an toàn, bảo mật, được sao lưu dự phòng, đảm bảo tính đầy đủ, toàn vẹn của dữ liệu để phục vụ cho công tác kiểm tra, đối chiếu, giải quyết tra soát, khiếu nại, tranh chấp và cung cấp thông tin khi có yêu cầu từ cơ quan quản lý nhà nước có thẩm quyền. Thời gian lưu trữ thực hiện theo quy định của pháp luật về lưu trữ, bảo vệ thông tin cá nhân.
4. Việc cấp chứng thư chữ ký số công cộng bằng phương thức điện tử quy định tại Điều này không áp dụng đối với đề nghị cấp chứng thư chữ ký số công cộng thông qua người đại diện theo pháp luật của cá nhân.
 
Điều 45. Tạo khóa, phân phối và quản lý khóa cho thuê bao
1. Tổ chức, cá nhân đề nghị cấp chứng thư chữ ký số có thể tự tạo cặp khóa hoặc yêu cầu bằng văn bản tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tạo cặp khóa cho mình.
2. Trường hợp tổ chức, cá nhân đề nghị cấp chứng thư chữ ký số tự tạo cặp khóa, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cần đảm bảo chắc chắn rằng tổ chức, cá nhân đó đã sử dụng thiết bị theo đúng tiêu chuẩn quy định để tạo ra và lưu trữ cặp khóa.
3. Trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tạo cặp khóa, tổ chức đó phải đảm bảo sử dụng các phương thức an toàn để chuyển giao khóa bí mật đến tổ chức, cá nhân đề nghị cấp chứng thư chữ ký số và chỉ được lưu bản sao của khóa bí mật khi tổ chức, cá nhân đề nghị cấp chứng thư chữ ký số có yêu cầu bằng văn bản.
4. Trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số từ xa, tổ chức đó được lưu khóa bí mật của tổ chức, cá nhân đề nghị cấp chứng thư chữ ký số và phải đảm bảo sử dụng các phương thức an toàn để lưu trữ.
5. Liên quan đến hoạt động quản lý khóa, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm sau:
a) Thông báo ngay cho thuê bao, đồng thời áp dụng những biện pháp ngăn chặn và khắc phục kịp thời trong trường hợp phát hiện thấy dấu hiệu khóa bí mật của thuê bao đã bị lộ, không còn toàn vẹn hoặc bất cứ sự sai sót nào khác có nguy cơ ảnh hưởng xấu đến quyền lợi của thuê bao;
b) Khuyến cáo cho thuê bao việc thay đổi cặp khóa khi cần thiết nhằm đảm bảo tính tin cậy và an toàn cao nhất cho cặp khóa.
Điều 46. Gia hạn chứng thư chữ ký số cho thuê bao
1. Ít nhất là 30 ngày trước ngày hết hạn của chứng thư chữ ký số, thuê bao có quyền yêu cầu gia hạn chứng thư chữ ký số.
2. Khi nhận được yêu cầu gia hạn của thuê bao, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có nghĩa vụ hoàn thành các thủ tục gia hạn chứng thư chữ ký số trước khi hết hiệu lực.
3. Trường hợp thay đổi khóa công khai trên chứng thư chữ ký số được gia hạn, thuê bao phải yêu cầu rõ; việc tạo khóa, phân phối khóa và công bố chứng thư chữ ký số được gia hạn thực hiện theo các quy định tại các Điều 43, 44 và 45 Nghị định này.
 
Điều 47. Thay đổi cặp khóa cho thuê bao
Trong trường hợp thuê bao có nhu cầu thay đổi cặp khóa, thuê bao phải có đơn đề nghị thay đổi cặp khóa. Việc tạo khóa, phân phối khóa và công bố chứng thư chữ ký số với khóa công khai mới thực hiện theo các quy định tại các Điều 43, 44 và 45 Nghị định này.
 
Điều 48. Tạm dừng, phục hồi chứng thư chữ ký số của thuê bao
1. Chứng thư chữ ký số của thuê bao bị tạm dừng trong các trường hợp sau đây:
a) Khi thuê bao yêu cầu bằng văn bản và yêu cầu này đã được tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng xác minh là chính xác;
b) Khi tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có căn cứ để khẳng định rằng chứng thư chữ ký số được cấp không tuân theo các quy định tại Nghị định này; hoặc khi phát hiện có rủi ro, sai lệch hoặc có dấu hiệu bất thường giữa các thông tin nhận biết khách hàng với các yếu tố sinh trắc học của khách hàng hoặc phát hiện giao dịch đáng ngờ trong quá trình ký số hoặc khi phát hiện ra bất cứ sai sót nào có ảnh hưởng đến quyền lợi của thuê bao và người nhận;
c) Khi thuê bao là tổ chức tạm ngừng toàn bộ hoạt động kinh doanh;
d) Khi có yêu cầu của cơ quan tiến hành tố tụng, cơ quan công an hoặc Bộ Thông tin và Truyền thông;
đ) Theo điều kiện tạm dừng chứng thư chữ ký số đã được quy định trong hợp đồng giữa thuê bao và tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
2. Khi có căn cứ tạm dừng chứng thư chữ ký số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải tiến hành tạm dừng, đồng thời, thông báo ngay cho thuê bao và công bố trên cơ sở dữ liệu về chứng thư chữ ký số việc tạm dừng, thời gian bắt đầu và kết thúc việc tạm dừng.
3. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải phục hồi chứng thư chữ ký số khi không còn căn cứ để tạm dừng chứng thư chữ ký số hoặc thời hạn tạm dừng theo yêu cầu đã hết hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.
 
Điều 49. Thu hồi chứng thư chữ ký số của thuê bao
1. Chứng thư chữ ký số của thuê bao bị thu hồi trong những trường hợp sau đây:
a) Khi thuê bao yêu cầu bằng văn bản và yêu cầu này đã được tổ chức cung cấp dịch vụ chứng thực chữ ký số của mình xác minh là chính xác;
b) Khi thuê bao là cá nhân đã chết hoặc mất tích theo tuyên bố của tòa án hoặc thuê bao là tổ chức giải thể hoặc phá sản theo quy định của pháp luật;
c) Khi có yêu cầu của cơ quan tiến hành tố tụng, cơ quan công an hoặc Bộ Thông tin và Truyền thông;
d) Theo điều kiện thu hồi chứng thư chữ ký số đã được quy định trong hợp đồng giữa thuê bao và tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
2. Khi có căn cứ thu hồi chứng thư chữ ký số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải thu hồi chứng thư chữ ký số, đồng thời, thông báo ngay cho thuê bao và công bố trên cơ sở dữ liệu về chứng thư chữ ký số việc thu hồi.
Điều 50. Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng
1. Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng được xây dựng theo mẫu quy định trong quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.
2. Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải được công khai theo quy định tại khoản 1 Điều 51 Nghị định này.
3. Khi có sự thay đổi thông tin trong quy chế chứng thực, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải thông báo bằng văn bản đến Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia và phải được sự đồng ý bằng văn bản của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia đối với các nội dung thay đổi.
Điều 51. Cung cấp thông tin
1. Công bố thông tin:
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải công khai và duy trì thông tin 24 giờ trong ngày và 7 ngày trong tuần trên trang tin điện tử của mình những thông tin sau:
a) Quy chế chứng thực và chứng thư chữ ký số của mình;
b) Danh sách chứng thư chữ ký số có hiệu lực, bị tạm dừng, bị thu hồi của thuê bao;
c) Những thông tin cần thiết khác theo quy định của pháp luật.
2. Cập nhật thông tin:
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải cập nhật các thông tin quy định tại khoản 1 Điều này trong vòng 24 giờ khi có thay đổi.
3. Cung cấp thông tin:
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải cung cấp trực tuyến theo thời gian thực cho Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia thông tin về số lượng chứng thư chữ ký số đang có hiệu lực, bị tạm dừng, bị thu hồi để phục vụ công tác quản lý nhà nước về dịch vụ chứng thực chữ ký số.
4. Lưu trữ thông tin:
Lưu trữ toàn bộ thông tin liên quan đến việc tạm đình chỉ hoặc thu hồi giấy phép và các cơ sở dữ liệu về thuê bao, chứng thư chữ ký số trong thời gian ít nhất 05 năm, kể từ khi giấy phép bị tạm đình chỉ hoặc thu hồi.
Điều 52. Kết nối đến cổng kết nối dịch vụ chứng thực chữ ký số công cộng
1. Các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng và tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng công vụ có trách nhiệm kết nối đến cổng kết nối dịch vụ chứng thực chữ ký số công cộng/tin cậy
2. Các hệ thống thông tin cung cấp dịch vụ trực tuyến sử dụng chữ ký số để chứng thực thông điệp dữ liệu, chứng thực dấu thời gian có trách nhiệm tích hợp với Cổng kết nối dịch vụ chứng thực chữ ký số cộng cộng/tin cậy để giúp cho tổ chức, cá nhân thực hiện ký số thuận tiện, dễ dàng và đảm bảo an toàn khi sử dụng các dịch vụ trực tuyến được cung cấp trên môi trường mạng.
3. Bộ Thông tin và Truyền thông ban hành yêu cầu kỹ thuật, hướng dẫn chi tiết để thực hiện kết nối với cổng kết nối dịch vụ chứng thực chữ ký số công cộng.
Điều 53. Quyền và trách nhiệm của thuê bao sử dụng dịch vụ chứng thực chữ ký số công cộng
1. Có quyền yêu cầu tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cung cấp bằng văn bản những thông tin quy định tại Điều 51 Nghị định này.
2. Có quyền yêu cầu tổ chức cung cấp dịch vụ chứng thực chữ ký số của mình tạm dừng, thu hồi chứng thư chữ ký số đã cấp và tự chịu trách nhiệm về yêu cầu đó.
3. Cung cấp thông tin theo quy định một cách trung thực, chính xác cho tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
4. Trường hợp tự tạo cặp khóa cho mình, thuê bao phải đảm bảo thiết bị tạo cặp khóa sử dụng đúng quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng. Quy định này không áp dụng cho trường hợp thuê bao thuê thiết bị tạo cặp khóa của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
5. Lưu trữ và sử dụng khóa bí mật của mình một cách an toàn, bí mật trong suốt thời gian chứng thư chữ ký số của mình có hiệu lực và bị tạm dừng.
6. Thông báo trong thời gian 24 giờ cho tổ chức cung cấp dịch vụ chứng thực chữ ký số của mình nếu phát hiện thấy dấu hiệu khóa bí mật của mình đã bị lộ, bị đánh cắp hoặc sử dụng trái phép để có các biện pháp xử lý.
7. Khi đã đồng ý để tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng công khai chứng thư chữ ký số của mình theo quy định tại khoản 3 Điều 43 Nghị định này hoặc khi đã cung cấp chứng thư chữ ký số đó cho người khác với mục đích để giao dịch, thuê bao được coi là đã cam kết với người nhận rằng thuê bao là người nắm giữ hợp pháp khóa bí mật tương ứng với khóa công khai trên chứng thư chữ ký số đó và những thông tin trên chứng thư chữ ký số liên quan đến thuê bao là đúng sự thật, đồng thời phải thực hiện các nghĩa vụ xuất phát từ chứng thư chữ ký số đó.
8. Chịu trách nhiệm trước pháp luật nếu vi phạm quy định tại các khoản 3, 4, 5, 6 và 7 Điều này và các quy định của pháp luật khác có liên quan.
 
 
Chương IV
 
LIÊN THÔNG VỚI TỔ CHỨC CUNG CẤP DỊCH VỤ
CHỨNG THỰC ĐIỆN TỬ QUỐC GIA
 
Mục 1
 
TỔ CHỨC CUNG CẤP DỊCH VỤ
 
CHỨNG THỰC ĐIỆN TỬ QUỐC GIA
  Điều 54. Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia
 
1. Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia là đơn vị sự nghiệp công lập trực thuộc Bộ Thông tin và Truyền thông, cung cấp dịch vụ chứng thực chữ ký số cho các tổ chức cung cấp dịch vụ tin cậy, các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chuyên dùng được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký điện tử chuyên dùng và các cơ quan, tổ chức, cá nhân sử dụng chữ ký số, chứng thư chữ ký số nước ngoài được công nhận sử dụng tại Việt Nam. Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia là duy nhất.
2. Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia có nhiệm vụ, quyền hạn sau:
a) Xây dựng, quản lý, duy trì, vận hành hệ thống kỹ thuật để thực hiện các chức năng quy định tại khoản 1 Điều này;
b) Tự cấp chứng thư số cho mình;
c) Nghiên cứu, trình cấp có thẩm quyền xây dựng, ban hành văn bản về việc quản lý, cung cấp dịch vụ chứng thực chữ ký số cho các tổ chức cung cấp dịch vụ tin cậy, tổ chức được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số chuyên dùng và các cơ quan, tổ chức, cá nhân sử dụng chữ ký số, chứng thư số nước ngoài được công nhận sử dụng tại Việt Nam;
d) Công bố và cập nhật trên trang thông tin điện tử danh sách các tổ chức cung cấp dịch vụ tin cậy, các tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn, các chứng thư số nước ngoài được cấp giấy phép sử dụng tại Việt Nam và chứng thư số nước ngoài được chấp nhận trong giao dịch quốc tế;
đ) Triển khai các hoạt động để dịch vụ tin cậy, chứng thực chữ ký số của Việt Nam có thể được công nhận ở các quốc gia và các tổ chức quốc tế khác.
 
Điều 55. Hoạt động cung cấp dịch vụ của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia
Việc cấp chứng thư chữ ký số và dịch vụ chứng thực chữ ký số cho các tổ chức cung cấp dịch vụ tin cậy được quy định tại Chương III Nghị định này:
1. Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia đóng vai trò và có quyền, nghĩa vụ như tổ chức cung cấp dịch vụ tin cậy theo quy định tại Chương III Nghị định này. Các tổ chức cung cấp dịch vụ tin cậy đóng vai trò và có quyền, nghĩa vụ như thuê bao theo quy định tại Chương III Nghị định này.
2. Ngoài việc tuân thủ các quy định tại khoản 1 Điều này, Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, tổ chức cung cấp dịch vụ tin cậy phải tuân thủ các quy định sau:
a) Cặp khóa quy định tại Điều 45 Nghị định này do Tổ chức cung cấp dịch vụ chứng thực chữ ký số tự tạo trên hệ thống của mình;
b) Nội dung cần kiểm tra trước khi cấp chứng thư số quy định tại khoản 1 Điều 43 Nghị định này, bổ sung kiểm tra việc tuân thủ các điều kiện hoạt động quy định tại Điều 27 Nghị định này;
c) Thông tin công khai quy định tại khoản 1 Điều 51 Nghị định này được công bố trên trang tin điện tử của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia hoặc tổ chức cung cấp dịch vụ tin cậy;
d) Các tổ chức cung cấp dịch vụ chứng thực chữ ký số sử dụng chứng thư số do Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia cấp phải nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số theo Luật phí và lệ phí.
 
Điều 56. Quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia
1. Quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia do Bộ Thông tin và Truyền thông ban hành nhằm hướng dẫn các quy trình, thủ tục cung cấp dịch vụ tin cậy, trong đó bao gồm các nội dung sau:
a) Hợp đồng mẫu giữa các tổ chức cung cấp dịch vụ tin cậy và thuê bao;
b) Quy chế chứng thực mẫu của tổ chức cung cấp dịch vụ tin cậy và Quy chế tạo lập, sử dụng chữ ký điện tử chuyên dùng có giấy chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn.
2. Các tổ chức cung cấp dịch vụ chứng thực chữ ký số có trách nhiệm thực hiện các quy định tại quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.
 
Mục 2
 
LIÊN THÔNG VỚI TỔ CHỨC CUNG CẤP DỊCH VỤ CHỨNG THỰC ĐIỆN TỬ QUỐC GIA 
 

 

Điều 57. Liên thông với tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm bảo đảm điều kiện hạ tầng phục vụ kết nối, liên thông với Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia bao gồm:
a) Hệ thống thông tin và hạ tầng kết nối, liên thông mạng phù hợp để bảo đảm cho việc kiểm tra hiệu lực chữ ký số công cộng;
b) Công cụ, biện pháp để bảo vệ dữ liệu và xác thực dữ liệu trong quá trình kết nối liên thông;
c) Các điều kiện kỹ thuật khác phục vụ kết nối, cung cấp thông tin để chứng thực chữ ký số công cộng và kiểm tra hiệu lực chữ ký số.
 

 

Điều 58. Liên thông với tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng công vụ
Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng công vụ có trách nhiệm bảo đảm điều kiện hạ tầng phục vụ kết nối, liên thông với tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia bao gồm:
a) Hệ thống thông tin và hạ tầng kết nối, liên thông mạng phù hợp để bảo đảm cho việc kiểm tra hiệu lực chữ ký số công vụ;
b) Công cụ, biện pháp để bảo vệ dữ liệu và xác thực dữ liệu trong quá trình kết nối liên thông;
c) Các điều kiện kỹ thuật khác phục vụ kết nối, cung cấp thông tin để chứng thực chữ ký số công vụ và kiểm tra hiệu lực chữ ký số.
 

 

Điều 59. Liên thông với tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài được công nhận
Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài được công nhận theo Điều 26 Luật Giao dịch điện tử có trách nhiệm bảo đảm điều kiện hạ tầng phục vụ kết nối, liên thông với tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia bao gồm:
a) Hệ thống thông tin và hạ tầng kết nối, liên thông mạng phù hợp để bảo đảm cho việc kiểm tra hiệu lực chữ ký điện tử;
b) Công cụ, biện pháp để bảo vệ dữ liệu và xác thực dữ liệu trong quá trình kết nối liên thông;
c) Các điều kiện kỹ thuật khác phục vụ kết nối, cung cấp thông tin để chứng thực chữ ký số công vụ và kiểm tra hiệu lực chữ ký điện tử. 
 

 

 

Chương V
ĐIỀU KHOẢN THI HÀNH
Điều 60. Hiệu lực thi hành
1. Nghị định này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2024.
2. Nghị định số 130/2018/NĐ-CP ngày 27 tháng 9 năm 2018 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số hết hiệu lực kể từ ngày nghị định này có hiệu lực thi hành, trừ trường hợp quy định chuyển tiếp tại Điều 62 của Nghị định này.
Điều 61. Quy định chuyển tiếp
Đối với giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng đã được cấp trước ngày Nghị định này có hiệu lực thi hành và đến ngày Nghị định này có hiệu lực thi hành vẫn còn hiệu lực thì việc cấp chứng thư số theo giấy phép được thực hiện theo quy định tại Nghị định số 130/2018/NĐ-CP ngày 27 tháng 9 năm 2018 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số. Trường hợp giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng còn thời hạn dưới 05 năm, thời hạn của chứng thư số cấp cho tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng là thời hạn còn lại của giấy phép.
Điều 62. Trách nhiệm thi hành
Bộ trưởng, Thủ trưởng cơ quan ngang Bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các cấp và các cơ quan, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Nghị định này./.
 
Nơi nhận:
- Ban Bí thư Trung ương Đảng;
- Thủ tướng, các Phó Thủ tướng Chính phủ;
- Các Bộ, cơ quan ngang Bộ, cơ quan thuộc CP;
- HĐND, UBND các tỉnh, TP trực thuộc TW;
- Văn phòng Trung ương và các Ban của Đảng;
- Văn phòng Tổng Bí thư;
- Văn phòng Chủ tịch nước;
- Hội đồng Dân tộc và các Ủy ban của Quốc hội;
- Văn phòng Quốc hội;
- Tòa án nhân dân tối cao;
- Viện kiểm sát nhân dân tối cao;
- Ủy ban Giám sát tài chính Quốc gia;
- Kiểm toán nhà nước;
- Ngân hàng Chính sách xã hội;
- Ngân hàng Phát triển Việt Nam;
- Ủy ban Trung ương Mặt trận Tổ quốc Việt Nam;
- Cơ quan Trung ương của các đoàn thể;
- VPCP: BTCN, các PCN, Trợ lý TTgCP, cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc, Công báo;
- Lưu: VT,…
TM. CHÍNH PHỦ
THỦ TƯỚNG

 
 
 
 
 
Phạm Minh Chính