Skip Ribbon Commands
Skip to main content
Thứ bảy, ngày 20/04/2024

Lấy ý kiến nhân dân về dự thảo văn bản quy phạm pháp luật "Dự thảo Nghị định quy định về chữ ký điện tử và dịch vụ tin cậy"

Các ý kiến đóng góp
Người gửi: Thúy Lê
Email:Thuyltp3012@gmail.com

 Đề nghị sửa Điểm 3, Khoản 2, Điều 11 về việc "Toàn bộ hệ thống thiết bị sử dụng để cung cấp dịch vụ đặt tại Việt Nam". Do 1 số doanh nghiệp có 100% vốn nước ngoài hoặc doanh nghiệp có đặc thù khác, sử dụng chữ ký điện tử chuyên dùng của doanh nghiệp "mẹ" tại nước ngoài, áp dụng toàn cầu. Vì vậy quy định này gây bất cập đối với các doanh nghiệp.


- 1 tháng trước

 

CHÍNH PHỦ
 
 

 

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
Số:          /         /NĐ-CP
 
Hà Nội, ngày         tháng     năm   

        

DỰ THẢO 2
27.03.2024
 
 
 
NGHỊ ĐỊNH
Quy định về chữ ký điện tử và dịch vụ tin cậy
 
Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019;
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Luật Phí và lệ phí ngày 25 tháng 11 năm 2015;
Theo đề nghị của Bộ trưởng Bộ Thông tin và Truyền thông;
Chính phủ ban hành Nghị định quy định về chữ ký điện tử và dịch vụ tin cậy. 
Chương I
NHỮNG QUY ĐỊNH CHUNG 
Điều 1. Phạm vi điều chỉnh
Nghị định này quy định về chữ ký điện tử và dịch vụ tin cậy.
Điều 2. Đối tượng áp dụng
Nghị định này áp dụng đối với cơ quan, tổ chức, cá nhân tham gia trực tiếp hoặc có liên quan đến chữ ký điện tử và dịch vụ tin cậy.
Điều 3. Giải thích từ ngữ
Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:
1. “Khóa” là một chuỗi các số nhị phân (0 và 1) dùng trong các hệ thống mật mã.
2. “Ký số” là việc đưa khóa bí mật vào một chương trình phần mềm để tự động tạo và gắn chữ ký số vào thông điệp dữ liệu.
3. “Chứng thư chữ ký số có hiệu lực” là chứng thư chữ ký số chưa hết hạn, không bị tạm dừng hoặc bị thu hồi.
4. “Chứng thư chữ ký số công cộng” là chứng thư chữ ký số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp.
5. "Thuê bao" là cơ quan, tổ chức, cá nhân sử dụng dịch vụ tin cậy có gắn với chứng thư chữ ký số hoặc thông điệp dữ liệu liên quan đến dịch vụ tin cậy.
6. “Người nhận” là tổ chức, cá nhân nhận được thông điệp dữ liệu được ký số bởi người ký số, sử dụng chứng thư chữ ký số của người ký đó để kiểm tra chữ ký số trong thông điệp dữ liệu nhận được.
7. “Ứng dụng sử dụng chữ ký số” là các ứng dụng công nghệ thông tin cho phép tích hợp và sử dụng chữ ký số để xác thực.
8. “Ứng dụng sử dụng dấu thời gian” là các ứng dụng công nghệ thông tin cho phép tích hợp và sử dụng dấu thời gian để xác thực.
9. “Quy chế chứng thực” là quy chế của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp dịch vụ tin cậy, tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn về quy trình, thủ tục cấp, quản lý chứng thư chữ ký điện tử hoặcchứng thư chữ ký số, sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn hoặc dịch vụ tin cậy.
10. “Phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số” là phí để duy trì hệ thống thông tin phục vụ việc kiểm tra trạng thái chứng thư chữ ký số của các tổ chức cung cấp dịch vụ tin cậy.
11. “Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng” là tổ chức cung cấp dịch vụ tin cậy, cung cấp dịch vụ chứng thực chữ ký số cho cơ quan, tổ chức, cá nhân sử dụng trong các hoạt động công cộng.
12. “Phương tiện lưu khóa bí mật” là phương tiện chứa khóa bí mật của thuê bao. 
Chương II
CHỮ KÝ ĐIỆN TỬ 
Mục 1
CHỮ KÝ ĐIỆN TỬ VÀ CHỨNG THƯ CHỮ KÝ ĐIỆN TỬ
Điều 4. Chữ ký điện tử
Chữ ký điện tử là chữ ký theo quy định tại khoản 11 Điều 3 Luật Giao dịch điện tử.
Điều 5. Chứng thư chữ ký điện tử
1. Chứng thư chữ ký điện tử là thông điệp dữ liệu nhằm xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.
2. Chứng thư chữ ký điện tử đối với chữ ký số được gọi là chứng thư chữ ký số, bao gồm:
a) Chứng thư chữ ký số gốc của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, bao gồm: chứng thư chữ ký số cho dịch vụ cấp dấu thời gian, dịch vụ chứng thực thông điệp dữ liệu, dịch vụ chứng thực chữ ký số công cộng;
b) Chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy, bao gồm: chứng thư chữ ký số cho dịch vụ cấp dấu thời gian, dịch vụ chứng thực thông điệp dữ liệu, dịch vụ chứng thực chữ ký số công cộng;
c) Chứng thư chữ ký số công cộng;
d) Các chứng thư chữ ký số khác theo quy định của Bộ Thông tin và Truyền thông.
Điều 6. Nội dung của chứng thư chữ ký điện tử
Nội dung của chứng thư chữ ký điện tử, bao gồm:
1. Thông tin về tổ chức tạo lập chứng thư chữ ký điện tử.
2. Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thư chữ ký điện tử; số định danh của cơ quan, tổ chức, cá nhân được cấp chứng thư chữ ký điện tử.
c) Số hiệu của chứng thư chữ ký điện tử;
d) Thời hạn có hiệu lực của chứng thư chữ ký điện tử;
đ) Dữ liệu để kiểm tra chữ ký điện tử của cơ quan, tổ chức, cá nhân được cấp chứng thư chữ ký điện tử;
e) Chữ ký điện tử của tổ chức tạo lập chứng thư chữ ký điện tử;
g) Các hạn chế về mục đích, phạm vi sử dụng của chứng thư chữ ký điện tử;
h) Các hạn chế về trách nhiệm pháp lý của tổ chức cấp chứng thư chữ ký điện tử;
i) Các nội dung khác theo quy định của Bộ Thông tin và Truyền thông.
Điều 7. Nội dung của chứng thư chữ ký số
1. Nội dung chứng thư chữ ký số gốc của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia bao gồm:
a) Tên của tổ chức cấp chứng thư chữ ký số;
b) Số hiệu chứng thư chữ ký số;
c) Thời hạn có hiệu lực của chứng thư chữ ký số;
d) Khóa công khai của thuê bao;
đ) Chữ ký số của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;
e) Các hạn chế về mục đích, phạm vi sử dụng của chứng thư chữ ký số;
g) Các hạn chế về trách nhiệm pháp lý của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;
h) Thuật toán khóa không đối xứng;
i) Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông.
2. Nội dung chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy bao gồm:
a) Tên của tổ chức cấp chứng thư chữ ký số;
b) Tên của thuê bao;
c) Số hiệu chứng thư chữ ký số;
d) Thời hạn có hiệu lực của chứng thư chữ ký số;
đ) Khóa công khai của thuê bao;
e) Chữ ký số của tổ chức cấp chứng thư chữ ký số;
g) Các hạn chế về mục đích, phạm vi sử dụng của chứng thư chữ ký số;
h) Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ tin cậy;
i) Thuật toán khóa không đối xứng;
k) Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông.
3. Nội dung của chứng thư chữ ký số công cộng bao gồm:
a) Tên của tổ chức cấp chứng thư chữ ký số;
b) Tên của thuê bao;
c) Số hiệu chứng thư chữ ký số;
d) Thời hạn có hiệu lực của chứng thư chữ ký số;
đ) Khóa công khai của thuê bao;
e) Chữ ký số của tổ chức cấp chứng thư chữ ký số;
g) Các hạn chế về mục đích, phạm vi sử dụng của chứng thư chữ ký số;
h) Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ tin cậy;
i) Thuật toán khóa không đối xứng;
k) Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông.
Điều 8. Thời hạn có hiệu lực của chứng thư chữ ký điện tử, chứng thư chữ ký số
1. Thời hạn của chứng thư chữ ký điện tử
a) Chứng thư chữ điện tử của cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn có hiệu lực là 10 năm.
b) Chứng thư chữ điện tử chuyên dùng đảm bảo an toàn của tổ chức, cá nhân có hiệu lực tối đa 03 năm.
2. Thời hạn của chứng thư chữ ký số gốc của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia có hiệu lực là 25 năm.
3. Thời hạn của chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy
a) Chứng thư chữ ký số cho dịch vụ cấp dấu thời gian có hiệu lực là 05 năm.
b) Chứng thư chữ ký số cho dịch vụ chứng thực thông điệp dữ liệu có hiệu lực là 05 năm.
c) Chứng thư chữ ký số dịch vụ chứng thực chữ ký số công cộng có hiệu lực là 10 năm.
4. Thời hạn của chứng thư chữ ký số công cộng có hiệu lực tối đa là 03 năm.
Điều 9. Định dạng chứng thư chữ ký điện tử, chứng thư chữ ký số
Khi cấp chứng thư chữ ký điện tử, chứng thư chữ ký số, các cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng, các tổ chức cung cấp dịch vụ tin cậy phải tuân thủ quy định về định dạng chứng thư chữ ký điện tử, định dạng chứng thư chữ ký số theo quy định của Bộ Thông tin và Truyền thông. 
Mục 2
CHỮ KÝ ĐIỆN TỬ CHUYÊN DÙNG BẢO ĐẢM AN TOÀN
Điều 10. Chữ ký điện tử chuyên dùng bảo đảm an toàn
1. Chữ ký điện tử chuyên dùng bảo đảm an toàn là chữ ký điện tử do cơ quan, tổ chức tạo lập, sử dụng riêng cho hoạt động của cơ quan, tổ chức đó phù hợp với chức năng, nhiệm vụ; đáp ứng đủ các yêu cầu quy định tại Điều 11 Nghị định này và được Bộ Thông tin và Truyền thông cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn.
2. Việc sử dụng chữ ký điện tử đảm bảo an toàn cho hoạt động của cơ quan, tổ chức đó bao gồm các hoạt động nội bộ và hoạt động đại diện cho tổ chức đó giao dịch với tổ chức, cá nhân khác trong phạm vi chức năng, nhiệm vụ theo quy định của pháp luật.
3. Tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn chịu trách nhiệm trước pháp luật đối với chữ ký điện tử chuyên dùng bảo đảm an toàn cấp cho cá nhân thuộc tổ chức.
Điều 11. Yêu cầu của chữ ký điện tử chuyên dùng bảo đảm an toàn
Chữ ký điện tử chuyên dùng bảo đảm an toàn phải đáp ứng các yêu cầu theo quy định tại khoản 2 Điều 22 Luật Giao dịch điện tử. Đối với yêu cầu xác nhận chủ thể ký phải được bảo đảm bởi chứng thư chữ ký điện tử theo quy định tại Điều 5 Nghị định này.
Điều 12. Cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
1. Hồ sơ cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
a) Hồ sơ cấp lần đầu
- Đơn đề nghị cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn theo Mẫu số 01 tại Phụ lục kèm theo Nghị định này;
- Bản sao hợp lệ bao gồm bản sao được cấp từ sổ gốc hoặc bản sao có chứng thực của một trong các giấy tờ sau: giấy chứng nhận đăng ký doanh nghiệp, giấy chứng nhận đăng ký đầu tư đối với nhà đầu tư nước ngoài, quyết định thành lập hoặc giấy chứng nhận, giấy phép tương đương khác được cấp trước ngày có hiệu lực của Luật đầu tư số 67/2014/QH13 và Luật doanh nghiệp số 68/2014/QH13;
- Văn bản thể hiện chức năng, nhiệm vụ của tổ chức và có đóng dấu xác nhận của tổ chức;
- Hồ sơ nhân lực quản lý và kỹ thuật, bao gồm: Lý lịch tư pháp, bằng đại học trở lên theo quy định tại khoản 3 Điều 11 của Nghị định này; bản mô tả về công việc và kinh nghiệm đã có tương ứng với vị trí nhân lực quản lý và kỹ thuật;
- Tài liệu kỹ thuật thuyết minh hệ thống kỹ thuật tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn đáp ứng quy định tại khoản 2 Điều này;
- Quy chế chứng thực theo quy định tại Điều 54 của Nghị định này.
b) Hồ sơ cấp lại bao gồm:
- Đơn đề nghị cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn do hết hạn, theo Mẫu số 01 tại Phụ lục kèm theo Nghị định này;
- Những thông tin về việc thay đổi nhân sự và hệ thống kỹ thuật tạo lập chữ ký điện tử chuyên dùng (nếu có) quy định tại khoản 2 Điều này;
- Báo cáo tình hình thực hiện cấp giấy chứng nhận kể từ ngày được cấp tới ngày đề nghị cấp mới theo mẫu số 09 tại Phụ lục ban hành kèm theo Nghị định này.
2. Hệ thống kỹ thuật tạo lập chữ ký điện tử chuyên dùng phải bảo đảm:
a) Tuân thủ tiêu chuẩn và quy chuẩn kỹ thuật bắt buộc áp dụng về chữ ký điện tử, chứng thư chữ ký điện tử, hệ thống thông tin theo quy định của Bộ Thông tin và Truyền thông;
b) Lưu trữ đầy đủ, chính xác và cập nhật thông tin của tổ chức, cá nhân được cấp chứng thư chữ ký điện tử; cập nhật danh sách các chứng thư chữ ký điện tử có hiệu lực, tạm dừng, hết hiệu lực; cho phép tổ chức, cá nhân được cấp chứng thư chữ ký điện tử truy cập, sử dụng trực tuyến 24 giờ trong ngày và 7 ngày trong tuần;
c) Được đánh giá, kiểm định hệ thống tạo lập chữ ký điện tử đảm bảo an toàn định kỳ 02 năm một lần do tổ chức kiểm định, kiểm toán kỹ thuật theo quy định của Bộ Thông tin và Truyền thông;
d) Cảnh báo, ngăn chặn và phát hiện truy nhập bất hợp pháp trên môi trường điện tử;
đ) Thành phần quản lý vòng đời chứng thư chữ ký điện tử phải được thiết kế theo xu hướng giảm thiểu tối đa sự tiếp xúc trực tiếp với môi trường điện tử;
e) Bảo đảm an toàn thông tin mạng tối thiểu cấp độ 3 và bảo vệ dữ liệu cá nhân theo quy định của pháp luật về an toàn thông tin mạng và an ninh mạng;
g) Kiểm soát sự ra vào, quyền truy nhập hệ thống, quyền ra vào nơi đặt thiết bị;
h) Cung cấp thông tin (chứng thư chữ ký điện tử, báo cáo định kỳ và đột xuất theo quy định) bằng phương tiện điện tử cho Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước;
3. Phương thức nộp hồ sơ: trực tiếp tại Bộ Thông tin và Truyền thông hoặc gửi qua đường bưu điện (địa chỉ: số 18 Nguyễn Du, Hàng Bài, Hai Bà Trưng, Hà Nội) hoặc qua hệ thống dịch vụ công trực tuyến (Cổng dịch vụ công quốc gia, www.dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ Thông tin và Truyền thông, https://dichvucong.mic.gov.vn).
Điều 13. Quy trình, thủ tục cấp, tạm đình chỉ, thu hồi và thay đổi nội dung chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
1. Cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
a) Trong thời hạn 60 ngày làm việc kể từ ngày nhận được hồ sơ đề nghị cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn hợp lệ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với các bộ, ngành có liên quan thẩm tra hồ sơ, kiểm tra thực tế và cấp giấy chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn cho tổ chức. Mẫu giấy chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn quy định theo Mẫu số 03 tại Phụ lục kèm theo Nghị định này.
Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do;
b) Chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn của cơ quan, tổ chức có thời hạn tối đa là 10 năm.
2. Tạm đình chỉ chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
Cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng bị tạm đình chỉ chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn không quá 06 tháng khi thuộc một trong các trường hợp sau:
a) Hệ thống tạo lập chữ ký điện tử đảm bảo an toàn không được đánh giá, kiểm định định kỳ 02 năm một lần bởi tổ chức kiểm định, kiểm toán kỹ thuật theo quy định của Bộ Thông tin và Truyền thông;
b) Không đáp ứng được một trong các yêu cầu đối với chữ ký điện tử chuyên dùng bảo đảm an toàn quy định tại Điều 11 của Nghị định này.
3. Khôi phục chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
Trong thời gian bị tạm đình chỉ chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn, nếu cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng khắc phục được lý do bị tạm đình chỉ, Bộ Thông tin và Truyền thông sẽ thu hồi quyết định tạm đình chỉ chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn.
4. Tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn bị thu hồi chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn khi xảy ra một trong các trường hợp sau:
a) Hồ sơ đề nghị cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn có thông tin gian lận để có đủ điều kiện được cấp giấy phép;
b) Tổ chức không muốn tiếp tục cung cấp dịch vụ;
c) Sau khi Tòa án quyết định tuyên bố doanh nghiệp phá sản;
d) Cung cấp không đúng với phạm vi và đối tượng theo chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn;
đ) Không khắc phục được các điều kiện tạm đình chỉ quy định tại khoản 2 Điều này sau thời hạn tạm dừng ấn định bởi cơ quan nhà nước.
Quyết định thu hồi chứng nhận của tổ chức được Bộ Thông tin và Truyền thông công bố trên Cổng thông tin điện tử của Bộ Thông tin và Truyền thông.
5. Thay đổi nội dung chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
Thay đổi nội dung chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn được thực hiện khi cơ quan, tổ chức được cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn thay đổi một trong các thông tin sau: địa chỉ trụ sở, phạm vi và đối tượng sử dụng chữ ký điện tử chuyên dùng, tiêu chuẩn kỹ thuật áp dụng.
Để thay đổi nội dung chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn, cơ quan, tổ chức nộp hồ sơ đề nghị thay đổi tại Bộ Thông tin và Truyền thông. Hồ sơ bao gồm: Đơn đề nghị thay đổi nội dung chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn theo Mẫu số 02 tại Phụ lục kèm theo Nghị định này và các văn bản, tài liệu liên quan, là cơ sở cho việc đề nghị thay đổi.
Trong thời hạn 15 ngày làm việc kể từ ngày nhận được hồ sơ hợp lệ, Bộ Thông tin và Truyền thông thẩm tra, cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn với các nội dung đã thay đổi; trường hợp từ chối cấp, Bộ Thông tin và Truyền thông thông báo bằng văn bản và nêu rõ lý do.
Thời hạn của chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn là thời hạn còn lại của giấy chứng nhận đã được cấp.
Mục 3
CHỮ KÝ SỐ
Điều 14. Chữ ký số
Chữ ký số là chữ ký điện tử sử dụng thuật toán khóa không đối xứng, gồm khóa bí mật và khóa công khai, trong đó khóa bí mật được dùng để ký số và khóa công khai được dùng để kiểm tra chữ ký số và đáp ứng các yêu cầu theo khoản 3 Điều 22 Luật Giao dịch điện tử.
Chữ ký số bảo đảm tính xác thực, tính toàn vẹn và tính chống chối bỏ nhưng không bảo đảm tính bí mật của thông điệp dữ liệu.
Điều 15. Chữ ký số công cộng
Chữ ký số công cộng là chữ ký số được sử dụng trong hoạt động công cộng và được bảo đảm bởi chứng thư chữ ký số công cộng và đáp ứng đủ các yêu cầu quy định tại khoản 3 Điều 22 Luật Giao dịch điện tử.
Điều 16. Chứng thư chữ ký số của cơ quan, tổ chức và người có thẩm quyền của cơ quan, tổ chức
1. Tất cả các cơ quan, tổ chức, người có thẩm quyền của cơ quan, tổ chức theo quy định của pháp luật được thành lập và hoạt động hợp pháp đều có quyền được cấp chứng thư chữ ký số.
2. Chứng thư chữ ký số cấp cho người có thẩm quyền của cơ quan, tổ chức phải nêu rõ chức danh và tên cơ quan, tổ chức của người đó.
Điều 17. Sử dụng chữ ký số và chứng thư chữ ký số của cơ quan, tổ chức và người có thẩm quyền của cơ quan, tổ chức
1. Chữ ký số của đối tượng được cấp chứng thư chữ ký số theo quy định tại Điều 16 của Nghị định này chỉ được sử dụng để thực hiện các giao dịch và các hoạt động khác theo đúng thẩm quyền của cơ quan, tổ chức và chức danh được cấp chứng thư chữ ký số.
2. Việc ký thay, ký thừa lệnh theo quy định của pháp luật thực hiện bởi người có thẩm quyền sử dụng chữ ký số của mình, được hiểu căn cứ vào chức danh của người ký số ghi trên chứng thư chữ ký số.
Điều 18. Nghĩa vụ của người ký trước khi thực hiện ký số
Trước khi ký số, người ký phải thực hiện quy trình kiểm tra trạng thái chứng thư chữ ký số như sau:
1. Kiểm trang trạng thái chứng thư chữ ký số của mình trên hệ thống kỹ thuật của tổ chức cung cấp dịch vụ chứng thực chữ ký số đã cấp chứng thư chữ ký số đó.
2. Trong trường hợp người ký sử dụng chứng thư chữ ký số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp: kiểm tra trạng thái chứng thư chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số cho mình trên hệ thống kỹ thuật của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.
3. Trường hợp kết quả kiểm tra tại các khoản 1 và 2 Điều này đồng thời có hiệu lực, người ký thực hiện ký số. Trường hợp kết quả kiểm tra tại khoản 1 hoặc khoản 2 Điều này là không có hiệu lực, người ký số không thực hiện ký số.
Điều 19. Nghĩa vụ kiểm tra hiệu lực chứng thư chữ ký số, chữ ký số khi nhận thông điệp dữ liệu được ký số
1. Trước khi chấp nhận chữ ký số của người ký số, người nhận phải kiểm tra các thông tin sau:
a) Trạng thái chứng thư chữ ký số, phạm vi sử dụng, giới hạn trách nhiệm và các thông tin trên chứng thư chữ ký số của người ký;
b) Đối với chữ ký số được tạo ra bởi chứng thư chữ ký số nước ngoài được cấp giấy phép sử dụng tại Việt Nam, người nhận phải kiểm tra hiệu lực chứng thư chữ ký số trên cả hệ thống của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia và hệ thống của tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài cấp chứng thư chữ ký số đó.
2. Người nhận phải thực hiện quy trình kiểm tra như sau:
a) Kiểm tra trạng thái chứng thư chữ ký số tại thời điểm thực hiện ký số, phạm vi sử dụng, giới hạn trách nhiệm và các thông tin trên chứng thư chữ ký số đó theo quy định tại Điều 18 Nghị định này trên hệ thống kỹ thuật của tổ chức cung cấp dịch vụ chứng thực chữ ký số đã cấp chứng thư chữ ký số đó;
b) Trong trường hợp người ký số sử dụng chứng thư chữ ký số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp: Kiểm tra trạng thái chứng thư chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số đã cấp chứng thư chữ ký số đó tại thời điểm thực hiện ký số trên hệ thống kỹ thuật của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;
c) Chữ ký số trên thông điệp dữ liệu chỉ có hiệu lực khi kết quả kiểm tra tại các khoản 1 và 2 Điều này đồng thời có hiệu lực.
3. Người nhận phải chịu trách nhiệm trong các trường hợp sau:
a) Không tuân thủ các quy định tại các khoản 1 và 2 Điều này;
b) Đã biết hoặc được thông báo về sự không còn tin cậy của chứng thư chữ ký số và khóa bí mật của người ký số.
Điều 20. Trách nhiệm của tổ chức, cá nhân phát triển ứng dụng sử dụng chữ ký số
1. Đáp ứng các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số đang có hiệu lực.
2. Đảm bảo trung lập về công nghệ, không sử dụng các rào cản kỹ thuật để hạn chế việc sử dụng chữ ký số của một hoặc một số tổ chức cung cấp dịch vụ chứng thực chữ ký số.
3. Cập nhật chứng thư chữ ký số của các tổ chức cung cấp dịch vụ chứng thực chữ ký số trong các ứng dụng theo yêu cầu của tổ chức này hoặc yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật để bảo đảm kết quả xác thực là chính xác.
4. Đáp ứng đúng các quy trình kiểm tra trạng thái chứng thư chữ ký số được quy định tại Điều 18 và khoản 2 Điều 19 của Nghị định này.
Điều 21. Trách nhiệm của tổ chức, cá nhân cung cấp giải pháp chữ ký số
1. Cung cấp giải pháp đáp ứng các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số đang có hiệu lực.
2. Khuyến khích cung cấp các giải pháp tuân theo các tiêu chuẩn chữ ký số phổ biến và tiên tiến trên thế giới.
Điều 22. Yêu cầu đối với ứng dụng ký số, kiểm tra chữ ký số
1. Ứng dụng ký số, kiểm tra chữ ký số phảituân thủ các tiêu chuẩn kỹ thuật về chữ ký số trên thông điệp dữ liệu theo quy định của Bộ Thông tin và Truyền thông.
2. Đối với ứng dụng ký số phải có chức năng sau:
a) Chức năng ký số;
b) Chức năng kiểm tra hiệu lực của chứng thư chữ ký số;
c) Chức năng lưu trữ và hủy bỏ các thông tin sau kèm theo thông điệp dữ liệu ký số;
d) Chức năng thay đổi (thêm, bớt) chứng thư chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng;
đ) Chức năng thông báo (bằng chữ/bằng ký hiệu) cho người ký số biết việc ký số vào thông điệp dữ liệu thành công hay không thành công.
3. Đối với ứng dụng kiểm tra chữ ký số phải có chức năng sau:
a) Chức năng kiểm tra tính hợp lệ của chữ ký số trên thông điệp dữ liệu;
b) Chức năng lưu trữ và hủy bỏ các thông tin sau kèm theo thông điệp dữ liệu ký số;
c) Chức năng thay đổi (thêm, bớt) chứng thư chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số;
d) Chức năng thông báo (bằng chữ/bằng ký hiệu) việc kiểm tra tính hợp lệ của chữ ký số là hợp lệ hay không hợp lệ.
4. Bộ Thông tin và Truyền thông quy định chi tiết điều này. 
 
Mục 4
DẤU THỜI GIAN
Điều 23. Dấu thời gian
Dấu thời gian là dữ liệu điện tử theo quy định tại khoản 15 Điều 3 Luật Giao dịch điện tử.
Điều 24. Nghĩa vụ khi áp dụng dấu thời gian, kiểm tra dấu thời gian của thông điệp dữ liệu và phát triển ứng dụng dấu thời gian
1. Trước khi chấp nhận dấu thời gian, người nhận phải kiểm tra dấu thời gian được gắn với thông điệp dữ liệu và các thông tin liên quan về dấu thời gian phải được cấp bởi tổ chức cung cấp dịch vụ tin cậy về dấu thời gian hợp lệ.
2. Người nhận sử dụng công cụ phần mềm kiểm tra và quy trình kiểm tra đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật về dấu thời gian hoặc kiểm tra dấu thời gian trên cả hệ thống của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia và hệ thống của tổ chức cung cấp dịch vụ tin cậy.
3. Người nhận phải chịu trách nhiệm trong các trường hợp sau:
a) Không tuân thủ các quy định tại các khoản 1 và 2 Điều này;
b) Đã biết hoặc được thông báo về sự không còn tin cậy của tổ chức cung cấp dịch vụ tin cậy về dấu thời gian.
4. Trách nhiệm của tổ chức, cá nhân phát triển ứng dụng dấu thời gian
a) Đáp ứng các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về dấu thời gian và dịch vụ cấp dấu thời gian đang có hiệu lực;
b) Đảm bảo trung lập về công nghệ, không sử dụng các rào cản kỹ thuật, công nghệ để hạn chế việc sử dụng dấu thời gian của một hoặc một số tổ chức cung cấp dịch vụ tin cậy.
 
Chương III
DỊCH VỤ TIN CẬY 
Mục 1
KINH DOANH DỊCH VỤ TIN CẬY
Điều 25. Dịch vụ tin cậy
1. Dịch vụ tin cậy bao gồm:
a) Dịch vụ cấp dấu thời gian;
b) Dịch vụ chứng thực thông điệp dữ liệu;
c) Dịch vụ chứng thực chữ ký số công cộng.
2. Dịch vụ cấp dấu thời gian là dịch vụ để gắn thông tin về thời gian vào thông điệp dữ liệu.
3. Dịch vụ chứng thực thông điệp dữ liệu là dịch vụ của bên thứ ba xác nhận, lưu trữ và bảo đảm tính toàn vẹn của thông điệp dữ liệu do các bên khởi tạo trong quá trình thực hiện giao dịch điện tử. Dịch vụ chứng thực thông điệp dữ liệu bao gồm:
a) Dịch vụ lưu trữ và xác nhận tính toàn vẹn của thông điệp dữ liệu;
b) Dịch vụ gửi, nhận thông điệp dữ liệu bảo đảm.
4. Dịch vụ chứng thực chữ ký số công cộng là dịch vụ do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cung cấp để xác thực chủ thể ký số trên thông điệp dữ liệu, bảo đảm tính chống chối bỏ của chủ thể ký với thông điệp dữ liệu và bảo đảm tính toàn vẹn của thông điệp dữ liệu được ký. Dịch vụ chứng thực chữ ký số công cộng gồm:
a) Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên USB Token/HSM/Smart Card;
b) Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên thiết bị di động;
c) Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số từ xa;
d) Dịch vụ chứng thực chữ ký số công cộng khác theo quy định của Bộ Thông tin và Truyền thông.
Điều 26. Điều kiện kinh doanh
Doanh nghiệp được quyền đăng ký một hoặc các dịch vụ tin cậy. Khi đăng ký tất cả các dịch vụ, doanh nghiệp phải đáp ứng đủ các điều kiện quy định tại khoản 1 Điều 29 Luật Giao dịch điện tử. Trong đó, các điều kiện tại điểm b, d, đ khoản 1 Điều 29 Luật Giao dịch điện tử được quy định chi tiết như sau:
1. Về điều kiện tài chính để giải quyết rủi ro và các khoản đền bù có thể xảy ra trong quá trình cung cấp dịch vụ và thanh toán chi phí tiếp nhận, duy trì cơ sở dữ liệu thông tin liên quan đến hoạt động cung cấp dịch vụ, doanh nghiệp được lựa chọn thực hiện một trong các hình thức sau:
a) Phương án thu phí trả trước từ thuê bao không được quá 01 năm (nếu có) và ký quỹ tại một ngân hàng thương mại tại Việt Nam theo số lượng thuê bao dự kiến theo các mức sau:
Số lượng thuê bao dưới 300.000 (ba trăm nghìn) phải thực hiện ký quỹ 10 (mười) tỷ đồng;
Số lượng thuê bao từ 300.000 (ba trăm nghìn) đến 1.000.000 (một triệu) phải thực hiện ký quỹ 20 (hai mươi) tỷ đồng;
Số lượng trên 1.000.000 (một triệu) phải thực hiện ký quỹ 30 (ba mươi) tỷ đồng;
b) Phương án mua bảo hiểm: doanh nghiệp phải cam kết mua bảo hiểm trách nhiệm và các thiệt hại khác đối với hoạt động cung cấp dịch vụ tin cậy theo quy định của pháp luật về bảo hiểm để bảo đảm quyền lợi của thuê bao.
2. Điều kiện nhân lực quản lý và kỹ thuật:
a) Có nhân sự chịu trách nhiệm về an ninh, quản trị hệ thống, vận hành hệ thống, giám sát và kiểm tra hệ thống; đối với dịch vụ chứng thực chữ ký số công cộng và dịch vụ chứng thực thông điệp dữ liệu phải có thêm nhân sự chịu trách nhiệm xác minh danh tính thuê bao.
b) Nhân sự chịu trách nhiệm quy định tại điểm a khoản này phải có trình độ từ đại học trở lên đối với các ngành đào tạo về công nghệ thông tin hoặc gần đào tạo về công nghệ thông tin và có kinh nghiệm thực tiễn tương ứng với ngành được đào tạo;
3. Điều kiện chung về hệ thống thiết bị kỹ thuật:
- Tuân thủ tiêu chuẩn và quy chuẩn kỹ thuật bắt buộc áp dụng về chữ ký số, chứng thư chữ ký số, dịch vụ tin cậy, hệ thống thông tin theo quy định của Bộ Thông tin và Truyền thông;
- Lưu trữ đầy đủ, chính xác và cập nhật thông tin của thuê bao; cập nhật danh sách các chứng thư chữ ký số có hiệu lực, tạm dừng, hết hiệu lực; cho phép thuê bao truy cập, sử dụng trực tuyến 24 giờ trong ngày và 7 ngày trong tuần;
- Bảo đảm tạo cặp khóa chỉ cho phép mỗi cặp khóa được tạo ra ngẫu nhiên và đúng một lần duy nhất; có tính năng bảo đảm khóa bí mật không bị phát hiện khi có khóa công khai tương ứng;
- Cảnh báo, ngăn chặn và phát hiện truy nhập bất hợp pháp trên môi trường điện tử;
- Thành phần quản lý vòng đời chứng thư chữ ký số được thiết kế theo xu hướng giảm thiểu tối đa sự tiếp xúc trực tiếp với môi trường điện tử và độc lập với các hệ thống khác không phục vụ cho dịch vụ tin cậy;
- Bảo đảm an toàn thông tin mạng tối thiểu cấp độ 3 và bảo vệ dữ liệu cá nhân theo quy định của pháp luật về an toàn thông tin mạng và an ninh mạng;
- Kiểm soát sự ra vào, quyền truy nhập hệ thống, quyền ra vào nơi đặt thiết bị;
- Có các phương án dự phòng bảo đảm duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra, các quy trình thực hiện sao lưu dữ liệu, sao lưu trực tuyến dữ liệu, khôi phục dữ liệu, có khả năng phục hồi dữ liệu chậm nhất là 08 giờ làm việc kể từ thời điểm hệ thống gặp sự cố; trung tâm dự phòng cách xa trung tâm dữ liệu chính tối thiểu 20 kilomet và sẵn sàng hoạt động khi hệ thống chính gặp sự cố;
- Toàn bộ hệ thống thiết bị sử dụng để cung cấp dịch vụ đặt tại Việt Nam;
- Có quy chế chứng thực theo quy chế chứng thực mẫu;
4. Hệ thống thiết bị kỹ thuật cung cấp dịch vụ dịch vụ chứng thực chữ ký số công cộng phải đáp ứng các điều kiện chung về hệ thống thiết bị kỹ thuật tại khoản 3 Điều này và các điều kiện sau:
a) Hệ thống phân phối khóa cho thuê bao phải bảo đảm sự toàn vẹn và bảo mật của cặp khóa. Trong trường hợp phân phối khóa thông qua môi trường mạng máy tính thì hệ thống phân phối khóa phải sử dụng các giao thức bảo mật bảo đảm không lộ thông tin trên đường truyền;
b) Cung cấp thông tin (chứng thư chữ ký số, báo cáo định kỳ và đột xuất theo quy định) bằng phương tiện điện tử cho Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước.
5. Hệ thống thiết bị kỹ thuật cung cấp dịch vụ dấu thời gian và dịch vụ chứng thực thông điệp dữ liệu phải đáp ứng các điều kiện chung về hệ thống thiết bị kỹ thuật tại khoản 3 Điều này và các điều kiện sau:
a) Tuân thủ tiêu chuẩn và quy chuẩn kỹ thuật bắt buộc áp dụng về dịch vụ dấu thời gian đang có hiệu lực;
b) Có nguồn thời gian theo quy định của pháp luật về nguồn thời gian chuẩn quốc gia;
c) Cung cấp thông tin (mã bảo đảm toàn vẹn thông điệp dữ liệu, sự kiện giao dịch (event log), báo cáo định kỳ và đột xuất theo quy định) bằng phương tiện điện tử cho Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước.
 
Mục 2

QUY TRÌNH THỦ TỤC CUNG CẤP DỊCH VỤ TIN CẬY 

Điều 27. Quy trình thủ tục cấp giấy phép, cấp chứng thư chữ ký số
1. Doanh nghiệp đề nghị cấp Giấy phép kinh doanh dịch vụ tin cậy chuẩn bị hồ sơ; nộp trực tiếp tại Bộ Thông tin và Truyền thông hoặc gửi qua đường bưu điện hoặc qua hệ thống dịch vụ công trực tuyến (Cổng dịch vụ công quốc gia, www.dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ, https://dichvucong.mic.gov.vn). Hồ sơ đề nghị cấp giấy phép bao gồm:
a) Đơn đề nghị cấp Giấy phép kinh doanh dịch vụ tin cậy theo Mẫu số 04 tại Phụ lục kèm theo Nghị định này, trong đó nêu rõ loại hình dịch vụ tin cậy sẽ kinh doanh;
b) Bản sao hợp lệ bao gồm bản sao được cấp từ sổ gốc hoặc bản sao có chứng thực của một trong các giấy tờ sau: giấy chứng nhận đăng ký doanh nghiệp, giấy chứng nhận đăng ký đầu tư đối với nhà đầu tư nước ngoài, quyết định thành lập hoặc giấy chứng nhận, giấy phép tương đương hợp lệ khác được cấp trước ngày có hiệu lực của Luật đầu tư số 67/2014/QH13 và Luật doanh nghiệp số 68/2014/QH13;
c) Văn bản chứng minh đáp ứng được các điều kiện về tài chính quy định khoản 1 Điều 26 Nghị định này;
d) Có hệ thống trang thiết bị, cơ sở vật chất và phương án kỹ thuật phù hợp phù hợp với phương án kinh doanh dịch vụ tin cậy;
đ) Hồ sơ nhân lực quản lý và kỹ thuật gồm: Lý lịch tư pháp và bản sao có chứng thực bằng đại học trở lên của đội ngũ nhân lực quản lý và kỹ thuật theo quy định tại khoản 2 Điều 26; bản mô tả về công việc và kinh nghiệm đã có tương ứng với vị trí nhân lực quản lý và kỹ thuật.
2. Trong thời hạn 30 ngày kể từ ngày nhận được hồ sơ đề nghị cấp Giấy phép, nếu hồ sơ chưa đầy đủ và hợp lệ, Bộ Thông tin và Truyền thông thông báo bằng văn bản yêu cầu bổ sung, sửa đổi hồ sơ. Thời hạn bổ sung, sửa đổi hồ sơ của doanh nghiệp tối đa là 06 tháng kể từ ngày ra thông báo. Trường hợp doanh nghiệp không bổ sung, sửa đổi hồ sơ theo đúng thời hạn quy định, Bộ Thông tin và Truyền thông từ chối xem xét cấp giấy phép.
Tổng thời gian để tổ chức, cá nhân bổ sung, sửa đổi hồ sơ tối đa là 12 tháng kể từ ngày Bộ Thông tin và Truyền thông thông báo lần đầu. Quá thời hạn trên, tổ chức, cá nhân không hoàn thiện hồ sơ, tài liệu, Thông tin và Truyền thông có quyền từ chối xem xét cấp giấy phép.
3. Trong thời hạn 10 ngày làm việc, kể từ ngày nhận được hồ sơ hợp lệ, Bộ Thông tin và Truyền thông gửi hồ sơ lấy ý kiến của Bộ Công an, Ban Cơ yếu Chính phủ và các cơ quan, tổ chức có liên quan thẩm tra hồ sơ. Trong thời gian 20 ngày làm việc kể từ ngày nhận được hồ sơ lấy ý kiến, các Bộ Công an, Ban Cơ yếu Chính phủ và các cơ quan, tổ chức có liên quan có trách nhiệm trả lời bằng văn bản.
Trong thời hạn 20 ngày làm việc kể từ ngày nhận được đầy đủ ý kiến trả lời của các Bộ và các cơ quan, tổ chức được lấy ý kiến, Bộ Thông tin và Truyền thông thẩm định và cấp giấy phép cho doanh nghiệp trong trường hợp doanh nghiệp đáp ứng đủ các điều kiện kinh doanh tại Điều 26 Nghị định này. Mẫu giấy phép kinh doanh dịch vụ tin cậy quy định theo Mẫu số 06 tại Phụ lục kèm theo Nghị định này. Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do.
4. Sau khi được cấp phép, doanh nghiệp hoàn thiện hồ sơ cấp chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy và nộp trực tiếp tại Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia hoặc gửi qua đường bưu điện hoặc qua hệ thống dịch vụ công trực tuyến (Cổng dịch vụ công quốc gia, www.dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ, https://dichvucong.mic.gov.vn). Hồ sơ đề nghị cấp chứng thư chữ ký số bao gồm:
a) Đơn đề nghị Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia cấp chứng thư chữ ký số theo Mẫu số 08 tại Phụ lục kèm theo Nghị định này;
b) Danh sách hồ sơ nhân sự;
c) Hồ sơ hệ thống kỹ thuật;
c) Các giấy tờ khác theo quy định trong quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia.
5. Trong thời hạn 30 ngày làm việc, kể từ ngày nhận được hồ sơ đề nghị cấp chứng thư chữ ký số hợp lệ, Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia thực hiện thẩm tra hồ sơ, gồm các nội dung sau:
a) Kiểm tra hệ thống kỹ thuật thực tế của tổ chức cung cấp dịch vụ tin cậy để bảo đảm hệ thống kỹ thuật thực tế theo đúng hồ sơ cấp giấy phép;
b) Kiểm tra đánh giá vận hành thực tế của tổ chức cung cấp dịch vụ tin cậy;
c) Đối với dịch vụ chứng thực chữ ký số công cộng, chứng kiến việc tạo cặp khóa bí mật và khóa công khai của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng để bảo đảm cặp khóa được tạo ra là an toàn theo quy định.
6. Trường hợp đáp ứng điều kiện cấp chứng thư chữ ký số, Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia cấp chứng thư chữ ký số. Trường hợp không đáp ứng đủ điều kiện, Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia có văn bản từ chối cấp chứng thư chữ ký số và nêu rõ lý do.
7. Chứng thư chữ ký số cấp cho các tổ chức cung cấp dịch vụ tin cậy có thời hạn không quá 05 năm.
Điều 28. Thay đổi nội dung giấy phép, cấp lại giấy phép và gia hạn giấy phép
1. Thay đổi nội dung giấy phép được thực hiện trong trường hợp doanh nghiệp thay đổi một trong các thông tin sau: địa chỉ trụ sở, tên giao dịch.
Doanh nghiệp nộp hồ sơ đề nghị thay đổi nội dung giấy phép tại Bộ Thông tin và Truyền thông hoặc gửi qua đường bưu điện hoặc qua hệ thống dịch vụ công trực tuyến (Cổng dịch vụ công quốc gia, www.dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ, https://dichvucong.mic.gov.vn). Hồ sơ đề nghị thay đổi nội dung giấy phép gồm: Đơn đề nghị thay đổi nội dung giấy phép theo Mẫu số 05 tại Phụ lục kèm theo Nghị định này, báo cáo mô tả chi tiết nội dung đề nghị thay đổi và các tài liệu liên quan.Trong thời hạn 15 ngày làm việc kể từ ngày nhận đủ hồ sơ hợp lệ, Bộ Thông tin và Truyền thông thẩm tra, cấp giấy phép cho doanh nghiệp với các nội dung thay đổi; trường hợp từ chối cấp, Bộ Thông tin và Truyền thông thông báo bằng văn bản và nêu rõ lý do.
Thời hạn của giấy phép thay đổi là thời hạn còn lại của giấy phép đã được cấp.
2. Cấp lại giấy phép được thực hiện trong trường hợp: bị mất, bị hủy hoại, bị hư hỏng hoặc bị tiêu hủy dưới mọi hình thức hoặc do giấy phép cũ hết hạn.
a) Trường hợp giấy phép bị mất, bị hủy hoại, bị hư hỏng hoặc bị tiêu hủy dưới mọi hình thức, doanh nghiệp gửi đơn đề nghị cấp lại giấy phép theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này, trong đó nêu rõ lý do tới Bộ Thông tin và Truyền thông hoặc gửi qua đường bưu điện hoặc qua hệ thống dịch vụ công trực tuyến (Cổng dịch vụ công quốc gia, www.dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ, https://dichvucong.mic.gov.vn). Trong thời hạn 07 ngày làm việc kể từ ngày nhận được đơn đề nghị, Bộ Thông tin và Truyền thông xem xét và cấp lại giấy phép cho doanh nghiệp.
b) Trường hợp doanh nghiệp có mong muốn tiếp tục cung cấp dịch vụ phải nộp hồ sơ đề nghị cấp lại giấy phép tối thiểu 90 ngày trước ngày giấy phép hết hạn đến Bộ Thông tin và Truyền thông hoặc gửi qua đường bưu điện hoặc qua hệ thống dịch vụ công trực tuyến (Cổng dịch vụ công quốc gia, www.dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ, https://dichvucong.mic.gov.vn). Hồ sơ đề nghị cấp lại giấy phép do hết hạn gồm:
a) Đơn đề nghị cấp lại giấy phép do giấy phép cũ hết hạn theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này;
b) Văn bản chứng minh đáp ứng được các điều kiện về tài chính quy định khoản 1 Điều 26 Nghị định này;
c) Những thông tin về việc thay đổi của doanh nghiệp liên quan đến điều kiện kinh doanh theo quy định tại Điều 29 Luật Giao dịch điện tử (nếu có);
d) Báo cáo tình hình thực hiện cấp giấy phép kể từ ngày được cấp tới ngày đề nghị cấp mới theo mẫu số 09 tại Phụ lục ban hành kèm theo Nghị định này.
Trong thời hạn 30 ngày kể từ ngày nhận được hồ sơ hợp lệ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Công an, Ban Cơ yếu Chính phủ và các Bộ, ngành có liên quan thẩm tra hồ sơ, kiểm tra việc doanh nghiệp đáp ứng các điều kiện kinh doanh trên thực tế, xem xét việc tuân thủ quy định trong giấy phép kinh doanh dịch vụ tin cậy và cấp lại giấy phép cho doanh nghiệp. Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do.
Giấy phép cấp lại có giá trị hiệu lực kể từ ngày hết hạn của giấy phép đề nghị cấp lại. Thời hạn của giấy phép cấp lại được xét theo quy định tại khoản 3 Điều 28 Luật Giao dịch điện tử.
3. Trường hợp doanh nghiệp giấy phép kinh doanh dịch vụ tin cậy sắp hết hạn nhưng đang trong quá trình chia, tách, hợp nhất, sát nhập hoặc đang trong quá trình hoàn thiện hồ sơ đề nghị cấp lại giấy phép.
Tối thiểu 30 ngày trước ngày hết hạn của giấy phép, doanh nghiệp không bị xử lý vi phạm hành chính trong lĩnh vực giao dịch điện tử trong thời hạn 24 tháng tính đến thời điểm nộp hồ sơ đề nghị gia hạn hoạt động có mong muốn gia hạn giấy phép kinh doanh dịch vụ tin cậy phải nộp 01 bộ hồ sơ đề nghị gia hạn giấy phép đến Bộ Thông tin và Truyền thông hoặc gửi qua đường bưu điện hoặc qua hệ thống dịch vụ công trực tuyến (Cổng dịch vụ công quốc gia, www.dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ, https://dichvucong.mic.gov.vn). Hồ sơ đề nghị gia hạn giấy phép gồm:
a) Đơn đề nghị gia hạn giấy phép cung cấp dịch vụ tin cậy của doanh nghiệp do giấy phép cũ hết hạn theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này;
b) Văn bản chứng minh đáp ứng được các điều kiện về tài chính quy định khoản 1 Điều 26 Nghị định này;
c) Báo cáo tình hình thực hiện cấp giấy phép kể từ ngày được cấp tới ngày đề nghị cấp mới theo mẫu số 09 tại Phụ lục ban hành kèm theo Nghị định này.
Trong thời hạn 30 ngày kể từ ngày nhận đủ hồ sơ hợp lệ, Bộ Thông tin và Truyền thông cấp Giấy phép điều chỉnh theo Mẫu 06 ban hành kèm theo Nghị định này. Trường hợp từ chối chấp thuận, Bộ Thông tin và Truyền thông có văn bản giải thích rõ lý do.
Giấy phép gia hạn có giá trị hiệu lực kể từ ngày hết hạn của giấy phép đề nghị được gia hạn. Thời hạn của giấy phép gia hạn không quá 01 năm.
Điều 29. Tạm đình chỉ giấy phép
1. Tổ chức cung cấp dịch vụ tin cậy bị tạm đình chỉ giấy phép không quá 6 tháng khi thuộc một trong các trường hợp sau:
a) Không đáp ứng được một trong các điều kiện kinh doanh quy định tại Điều 26 Nghị định này;
b) Không nộp đầy đủ, đúng hạn phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số trong 06 tháng;
c) Khi phát hiện các sai sót trong hệ thống cung cấp dịch vụ của mình có thể làm ảnh hưởng đến quyền lợi của thuê bao và người nhận.
2. Đối với các trường hợp quy định tại các khoản 1 Điều này thủ tục tạm đình chỉ giấy phép của doanh nghiệp được thực hiện như sau:
Trường hợp phát hiện doanh nghiệp thuộc các trường hợp tại khoản 1 Điều này. Bộ Thông tin và Truyền thông tổ chức làm việc với doanh nghiệp và lập biên bản làm việc.
Trong vòng 07 ngày làm việc, Bộ Thông tin và Truyền thông xem xét, ban hành quyết định tạm đình chỉ.
3. Trong thời gian bị tạm đình chỉ giấy phép, nếu tổ chức cung cấp dịch vụ tin cậy khắc phục được lý do bị tạm đình chỉ, Bộ Thông tin và Truyền thông sẽ cho phép doanh nghiệp được tiếp tục cung cấp dịch vụ.
Điều 30. Thu hồi giấy phép
1. Tổ chức cung cấp dịch vụ tin cậy bị thu hồi giấy phép trong các trường hợp sau đây:
a) Không muốn tiếp tục cung cấp dịch vụ;
b) Giải thể, chấm dứt hoạt động;
c) Bị Tòa án ra quyết định tuyên bố phá sản;
d) Bị sáp nhập, hợp nhất;
đ) Không triển khai cung cấp dịch vụ trong thời hạn 12 tháng, kể từ ngày được cấp phép, trừ trường hợp có sự kiện bất khả kháng hoặc trở ngại khách quan; Đối với trường hợp bất khả kháng hoặc trở ngại khách quan, doanh nghiệp phải báo cáo bằng văn bản và được Bộ Thông tin và Truyền thông chấp thuận bằng văn bản về việc gia hạn thời gian chính thức hoạt động;
e) Có hành vi giả mạo các văn bản trong hồ sơ đề nghị cấp, gia hạn, cấp lại giấy phép hoặc tẩy xóa, sửa chữa nội dung giấy phép đã được cấp;
g) Bị xử phạt vi phạm hành chính trong lĩnh vực hoạt động dịch vụ tin cậy từ 03 lần trong khoảng thời gian tối đa 36 tháng kể từ ngày bị xử phạt lần đầu tiên hoặc cố tình không chấp hành quyết định xử phạt;
h) Không nộp đầy đủ phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số trong 12 tháng;
i) Không khắc phục được các điều kiện tạm đình chỉ quy định tại khoản 1 Điều 29 Nghị định này sau thời hạn tạm dừng ấn định bởi cơ quan nhà nước.
2. Đối với các trường hợp quy định tại các điểm e, g, h, i thủ tục thu hồi Giấy phép kinh doanh dịch vụ tin cậy của doanh nghiệp được thực hiện như sau:
a) Trong thời hạn 20 ngày kể từ ngày ký biên bản xác định các hành vi vi phạm Bộ Thông tin và Truyền thông có công văn yêu cầu doanh nghiệp kinh doanh dịch vụ tin cậy thực hiện các nội dung sau: Dừng ngay việc giao kết các hợp đồng, không được ký mới, ký gia hạn các hợp đồng khác có liên quan đến hoạt động kinh doanh dịch vụ tin cậy; Thực hiện bàn giao toàn bộ thông tin thuê bao bao gồm: dữ liệu thông tin thuê bao, hồ sơ thuê bao và thông tin, dữ liệu có liên quan đến hoạt động cung cấp dịch vụ gồm:
- Đối với dịch vụ chứng thực chữ ký số công cộng: Dữ liệu chứng thư chữ ký số (Danh sách công bố chứng thư chữ ký số, toàn bộ danh sách thu hồi chứng thư chữ ký số trong thời gian cung cấp dịch vụ);
- Đối với dịch vụ Chứng thực thông điệp dữ liệu: Thông tin xác nhận người nhận, người gửi (dựa trên thông tin thuê bao đăng ký); thông tin về thời gian gửi, nhận thông điệp dữ liệu; thông điệp dữ liệu; Mã bảo đảm toàn vẹn thông điệp dữ liệu;
- Đối với dịch vụ cấp dấu thời gian: Mã bảo đảm toàn vẹn thông điệp dữ liệu để phục vụ việc xác nhận.
b) Tổ chức cung cấp dịch vụ tin cậy bị thu hồi giấy phép có trách nhiệm thỏa thuận để bàn giao thông tin thuê bao và thông tin, dữ liệu có liên quan đến hoạt động cung cấp dịch vụ và bảo đảm quyền lợi sử dụng dịch vụ của các thuê bao cho tổ chức cung cấp dịch vụ tin cậy khác đang hoạt động trong thời hạn không quá 30 ngày, kể từ ngày nhận được công văn thông báo về việc thu hồi giấy phép.
Trong trường hợp không thỏa thuận được với các tổ chức khác về việc bàn giao thông tin thuê bao và thông tin, dữ liệu có liên quan đến hoạt động cung cấp dịch vụ và bảo đảm việc sử dụng dịch vụ của các thuê bao, Bộ Thông tin và Truyền thông chỉ định một hoặc một số tổ chức cung cấp dịch vụ tin cậy thực hiện Điều này. Tổ chức tiếp nhận thực hiện tiếp quyền và nghĩa vụ đối với các thuê bao và người nhận theo hợp đồng đã ký giữa thuê bao và tổ chức bị thu hồi giấy phép.
Trong thời hạn 06 tháng kể từ ngày nhận được công văn của Bộ Thông tin và Truyền thông, doanh nghiệp kinh doanh dịch vụ tin cậy phải hoàn thành việc bàn giao thông tin thuê bao và thông tin, dữ liệu có liên quan đến hoạt động cung cấp dịch vụ.
c) Trong thời hạn 20 ngày sau khi nhận được đầy đủ báo cáo của doanh nghiệp kinh doanh dịch vụ tin cậy về việc hoàn thành bàn giao thông tin thuê bao và thông tin, dữ liệu có liên quan đến hoạt động cung cấp dịch vụ, Bộ Thông tin và Truyền thông có quyết định thu hồi Giấy phép kinh doanh dịch vụ tin cậy của doanh nghiệp.
3. Đối với trường hợp quy định tại điểm đ khoản 1 Điều này, thủ tục thu hồi Giấy phép kinh doanh dịch vụ tin cậy được thực hiện như sau:
Trong thời hạn 20 ngày kể từ ngày hết thời hạn theo quy định tại điểm đ khoản 1 Điều này, Bộ Thông tin và Truyền thông ra quyết định thu hồi Giấy phép kinh doanh dịch vụ tin cậy.
4. Đối với các trường hợp bị sáp nhập, hợp nhất quy định tại điểm d khoản 1 Điều này, Bộ Thông tin và Truyền thông ra quyết định thu hồi Giấy phép kinh doanh dịch vụ tin cậy của doanh nghiệp tham gia bị sáp nhập, hợp nhất đồng thời xem xét việc cấp Giấy phép kinh doanh dịch vụ tin cậy cho doanh nghiệp hình thành sau sáp nhập, hợp nhất trên cơ sở đánh giá đáp ứng các điều kiện kinh doanh dịch vụ tin cậy tại Điều 29 Luật Giao dịch điện tử. Thời hạn của cấp giấy phép là thời hạn còn lại của giấy phép đã được cấp.
5. Đối với trường hợp không muốn tiếp tục cung cấp dịch vụ quy định tại điểm a khoản 1 Điều này và tự nguyện giải thể, chấm dứt hoạt động quy định tại điểm b khoản 1 Điều này, trong thời hạn 14 ngày sau khi nhận được đầy đủ báo cáo của doanh nghiệp về việc hoàn thành bàn giao thông tin thuê bao và thông tin, dữ liệu có liên quan đến hoạt động cung cấp dịch vụ, Bộ Thông tin và Truyền thông ra quyết định thu hồi Giấy phép.
6. Đối với trường hợp quy định tại điểm c khoản 1 Điều này, trong thời hạn 20 ngày kể từ ngày quyết định tuyên bố phá sản doanh nghiệp của Tòa án có hiệu lực theo quy định pháp luật, Bộ Thông tin và Truyền thông ra quyết định thu hồi Giấy phép.
7. Chi phí tiếp nhận, duy trì dữ liệu, hồ sơ liên quan và bảo đảm việc sử dụng dịch vụ của thuê bao được lấy từ tiền ký quỹ tại ngân hàng hoặc bảo hiểm của tổ chức cung cấp dịch vụ tin cậy bị thu hồi giấy phép.
Ngân hàng Nhà nước Việt Nam chủ trì phối hợp Bộ Thông tin và Truyền thông hướng dẫn các tổ chức tín dụng tuân thủ các quy định về xác nhận, quản lý tiền ký quỹ của doanh nghiệp cung cấp dịch vụ tin cậy theo quy định của Nghị định này.
8. Doanh nghiệp không được cấp giấy phép trong thời hạn 03 năm, kể từ ngày bị thu hồi giấy phép vì vi phạm các nội dung quy định tại các điểm a, b, e, g, h khoản 1 Điều này.
9. Quyết định thu hồi giấy phép kinh doanh dịch vụ tin cậy của doanh nghiệp được Bộ Thông tin và Truyền thông công bố trên Cổng thông tin điện tử của Bộ Thông tin và Truyền thông.
Điều 31. Các biện pháp bảo đảm trong trường hợp tạm đình chỉ, thu hồi và không được cấp lại giấy phép
1. Doanh nghiệp kinh doanh dịch vụ tin cậy bàn giao thông tin thuê bao và thông tin, dữ liệu có liên quan đến hoạt động cung cấp dịch vụ tin cậy (sau đây gọi tắt là doanh nghiệp bàn giao) phải nộp Bộ Thông tin và Truyền thông 01 bộ hồ sơ bao gồm các tài liệu sau:
a) Đơn đề nghị bàn giao theo Mẫu số 07 tại Phụ lục kèm theo Nghị định này;
b) Kế hoạch bàn giao gồm các nội dung sau: Tên và địa chỉ của doanh nghiệp kinh doanh dịch vụ tin cậy nhận bàn giao (sau đây gọi tắt là doanh nghiệp nhận bàn giao); số lượng hợp đồng được bàn giao; thông tin thuê bao và thông tin, dữ liệu có liên quan đến hoạt động cung cấp dịch vụ; Phương thức bàn giao và trách nhiệm liên quan tới các hợp đồng được bànn giao; Thời gian dự kiến thực hiện việc bàn giao;
c) Hợp đồng bàn giao bao gồm các nội dung chủ yếu sau: Đối tượng của việc bàn giao; Quyền và nghĩa vụ của các bên tham gia bàn giao; Thời gian dự kiến thực hiện việc bàn giao; Phương thức giải quyết tranh chấp;
d) Cam kết của doanh nghiệp nhận bàn giao về việc bảo đảm quyền lợi của khách hàng theo hợp đồng cung cấp dịch vụ được bàn giao sau khi việc bàn giao có hiệu lực.
2. Trong thời hạn 30 ngày kể từ ngày nhận đủ hồ sơ đề nghị bàn giao, Bộ Thông tin và Truyền thông có văn bản chấp thuận. Trường hợp từ chối chấp thuận, Bộ Thông tin và Truyền thông có văn bản giải thích rõ lý do.
3. Trong thời hạn 30 ngày kể từ ngày Bộ Thông tin và Truyền thông chấp thuận việc bàn giao toàn bộ thông tin thuê bao và thông tin, dữ liệu có liên quan đến hoạt động cung cấp dịch vụ tin cậy, doanh nghiệp bàn giao phải công bố về việc bàn giao như sau:
a) Công bố trên trang thông tin điện tử của doanh nghiệp về việc bàn giao các nội dung chủ yếu sau: tên và địa chỉ của doanh nghiệp bàn giao và doanh nghiệp bàn giao; số lượng hợp đồng được bàn giao; thời gian dự kiến thực hiện việc bàn giao; địa chỉ giải quyết các khiếu nại, thắc mắc của thuê bao liên quan đến việc bàn giao;
b) Gửi thông báo kèm theo tóm tắt kế hoạch bàn giao cho từng thuê bao. Thông báo gửi cho thuê bao phải nêu rõ trong thời hạn 15 ngày kể từ ngày nhận được thông báo, thuê bao được phép chấm dứt hợp đồng nếu không đồng ý với kế hoạch bàn giao và ngày kế hoạch bàn giao chính thức có hiệu lực;
c) Gửi văn bản thỏa thuận cho thuê bao về việc các nghĩa vụ theo hợp đồng cung cấp dịch vụ trong trường hợp bàn giao thông tin thuê bao và thông tin, dữ liệu có liên quan đến hoạt động cung cấp dịch vụ tin cậy theo yêu cầu của Bộ Thông tin và Truyền thông.
4. Kể từ ngày ký hợp đồng bàn giao danh mục, doanh nghiệp bàn giao không được tiếp tục ký kết hợp đồng mới.
5. Trong thời hạn 60 ngày kể từ ngày Bộ Thông tin và Truyền thông phê chuẩn kế hoạch bàn giao, doanh nghiệp bàn giao chuyển cho doanh nghiệp nhận bàn giao: toàn bộ thông tin thuê bao và thông tin, dữ liệu có liên quan đến hoạt động cung cấp dịch vụ và các hợp đồng cung cấp dịch vụ đang có hiệu lực thuộc kế hoạch bàn giao đã được Bộ Thông tin và Truyền thông phê chuẩn.
6. Doanh nghiệp nhận bàn giao có trách nhiệm phối hợp với doanh nghiệp bàn giao trong việc xây dựng kế hoạch bàn giao và thỏa thuận ngày có hiệu lực của kế hoạch bàn giao.
7. Kể từ ngày nhận bàn giao, doanh nghiệp nhận bàn giao có trách nhiệm thực hiện các nghĩa vụ của hợp đồng được bàn giao theo đúng các điều khoản đã ký kết giữa doanh nghiệp bàn giao và thuê bao. Doanh nghiệp nhận bàn giao có quyền tiếp nhận tiền ký quỹ hoặc bảo hiểm để thực hiện nghĩa vụ theo hợp đồng được bàn giao.
Điều 32. Tạm dừng, thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy
1. Hệ thống kỹ thuật không được kiểm định định kỳ bởi tổ chức có thẩm quyền hoặc kết quả kiểm định không đạt, Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia thực hiện tạm dừng chứng thư chữ ký số và thông báo cho tổ chức cung cấp dịch vụ tin cậy và công bố trên cơ sở dữ liệu về chứng thư chữ ký số việc tạm dừng, thời gian bắt đầu và kết thúc việc tạm dừng.
Trong thời gian bị tạm dừng chứng thư chữ ký số, nếu tổ chức cung cấp dịch vụ tin cậy khắc phục được lý do bị tạm dừng, Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia sẽ phục hồi chứng thư chữ ký số.
2. Các trường hợp thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy:
a) Cơ quan, tổ chức đổi tên mà thông tin không phù hợp với thông tin trong chứng thư chữ ký số;
b) Theo yêu cầu bằng văn bản của Tổ chức cung cấp dịch vụ tin cậy trong các trường hợp: Khóa bí mật bị lộ hoặc nghi bị lộ; phương tiện lưu khóa bí mật bị thất lạc hoặc các trường hợp mất an toàn khác; phương tiện lưu khóa bí mật bị hỏng;
c) Trong vòng 06 tháng không khắc phục được điều kiện tạm dừng quy định khoản 1 Điều này ;
d) Theo yêu cầu bằng văn bản từ cơ quan tiến hành tố tụng, cơ quan công an, cơ quan nhà nước có thẩm quyền hoặc cơ quan có thẩm quyền;
đ) Bị thu hồi Giấy phép kinh doanh dịch vụ tin cậy.
Điều 33. Thẩm quyền đề nghị thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy
Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia thực hiện thu hồi chứng thư chữ ký số khi nhận được văn bản đề nghị thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy hoặc yêu cầu bằng văn bản từ cơ quan tiến hành tố tụng, cơ quan công an, cơ quan có thẩm quyền.
Điều 34. Việc thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy
1. Hồ sơ thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy gồm một trong những văn bản sau:
a) Văn bản đề nghị thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy;
b) Văn bản đề nghị thu hồi chứng thư chữ ký số của cơ quan tiến hành tố tụng, cơ quan công an, cơ quan nhà nước có thẩm quyền hoặc Quyết định thu hồi Giấy phép kinh doanh dịch vụ tin cậy.
2. Trình tự, thủ tục thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy:
Trong thời hạn 01 ngày làm việc, kể từ khi nhận được đề nghị thu hồi chứng thư chữ ký số, Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia phải thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy và công bố chứng thư chữ ký số bị thu hồi trên trang thông tin điện tử của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia. 
Mục 3
HOẠT ĐỘNG DỊCH VỤ TIN CẬY
 
Điều 35. Dịch vụ cấp dấu thời gian
Dịch vụ cấp dấu thời gian do Tổ chức cung cấp dịch vụ tin cậy bao gồm:
1. Gắn thời gian vào thông điệp dữ liệu; thời gian được gắn vào thông điệp dữ liệu là ngày, tháng, năm và thời gian mà tổ chức cung cấp dịch vụ cấp dấu thời gian nhận được thông điệp dữ liệu đó.
2. Cung cấp thông tin cần thiết để giúp chứng thực thông điệp dữ liệu đó của thuê bao đã gắn ngày, tháng, năm và thời gian trên thông điệp dữ liệu.
3. Thực hiện việc lưu trữ, quản lý thông tin người sử dụng dịch vụ;
4. Cấp, gia hạn, tạm dừng, phục hồi và thu hồi tài khoản của thuê bao.
5. Duy trì trực tuyến dữ liệu về thông tin người sử dụng dịch vụ, dấu thời gian đã cấp.
Điều 36. Dịch vụ chứng thực thông điệp dữ liệu
1. Dịch vụ chứng thực thông điệp dữ liệu gồm:
a) Dịch vụ lưu trữ và xác nhận tính toàn vẹn của thông điệp dữ liệu;
b) Dịch vụ gửi, nhận thông điệp dữ liệu bảo đảm.
2. Dịch vụ lưu trữ và xác nhận tính toàn vẹn của thông điệp dữ liệu, bao gồm các hoạt động sau:
a) Thực hiện việc lưu trữ, quản lý thông tin người sử dụng dịch vụ (dữ liệu nhận dạng sử dụng dịch vụ, dữ liệu xác thực sử dụng dịch vụ);
b) Lưu trữ dữ liệu về bằng chứng danh tính người gửi đã được xác minh;
c) Lưu trữ nhật ký hoạt động của dịch vụ gửi nhận đảm bảo, xác minh danh tính của người gửi và người nhận và các trao đổi thông tin hoặc dữ liệu giữa người gửi hoặc người nhận;
d) Lưu trữ bằng chứng xác minh danh tính của người nhận trước khi gửi;
đ) Chứng minh thông tin trong thông điệp dữ liệu được bảo đảm toàn vẹn trong quá trình gửi nhận;
g) Cung cấp thông tin tham chiếu đến hoặc bản liệt kê toàn bộ quá trình, nội dung gửi nhận thông điệp dữ liệuvà nội dung sửa đổi (nếu có) kèm theo dấu thời gian.
3. Dịch vụ gửi, nhận thông điệp dữ liệu bảo đảm, bao gồm các hoạt động sau:
a) Chứng thực người gửi;
b) Chứng thực được người nhận trước khi gửi dữ liệu;
c) Việc gửi và nhận dữ liệu được bảo đảm bằng chữ ký số của nhà cung cấp dịch vụ tin cậy đủ điều kiện;
d) Thông báo cho người gửi và người nhận dữ liệu về bất kỳ thay đổi nào của dữ liệu cần thiết cho mục đích gửi hoặc nhận dữ liệu;
đ) Gắn dấu thời gian gửi, nhận thông điệp dữ liệu.
Điều 37. Dịch vụ chứng thực chữ ký số công cộng
Dịch vụ chứng thực chữ ký số công cộng do Tổ chức cung cấp dịch vụ tin cậy bao gồm các hoạt động sau:
1. Tạo cặp khóa hoặc hỗ trợ tạo cặp khóa bao gồm khóa công khai và khóa bí mật cho thuê bao.
2. Cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư chữ ký số của thuê bao.
3. Thay đổi nội dung thông tin của chứng thư chữ ký số.
4. Khôi phục phương tiện lưu khóa bí mật.
5. Công bố và duy trì trực tuyến cơ sở dữ liệu về chứng thư chữ ký số.
6. Cung cấp thông tin cần thiết để giúp chứng thực chữ ký số của thuê bao đã ký số trên thông điệp dữ liệu.
Điều 38. Trách nhiệm của tổ chức cung cấp dịch vụ tin cậy
1. Tổ chức cung cấp dịch vụ tin cậy có trách nhiệm thực hiện theo quy định tại Điều 30 Luật Giao dịch điện tử ngoài ra có trách nhiệm:
a) Bảo đảm việc sử dụng dịch vụ của thuê bao là liên tục, bảo đảm thông tin cung cấp chính xác;
b) Không được tiết lộ thông tin riêng liên quan đến người sử dụng dịch vụ tin cậy, bao gồm thông tin thuê bao (tên, địa chỉ và thông tin riêng khác mà người sử dụng dịch vụ cung cấp khi giao kết hợp đồng) và thông tin về việc sử dụng dịch vụ tin cậy (vị trí thiết bị đầu cuối gửi, vị trí thiết bị đầu cuối nhận, thời điểm gửi, nhận, thời lượng liên lạc, địa chỉ Internet), trừ các trường hợp sau đây:
- Người sử dụng dịch vụ tin cậy đồng ý cung cấp thông tin theo quy định của pháp luật về bảo vệ dữ liệu cá nhân;
-  Các Tổ chức cung cấp dịch vụ tin cậy có thỏa thuận bằng văn bản về việc trao đổi, cung cấp thông tin thuê bao, thông tin về việc sử dụng dịch vụ tin cậy của người sử dụng dịch vụ để phục vụ cho việc tính giá, lập hóa đơn;
- Khi có yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật;
c) Tuân thủ các điều kiện về tài chính theo quy định tại khoản 1 Điều 26 phù hợp với số lượng thuê bao thực tế theo năm tài chính;
d) Đánh giá, kiểm định hệ thống thông tin cung cấp dịch vụ tin cậy định kỳ 02 năm một lần do tổ chức kiểm định, kiểm toán kỹ thuật theo quy định của Bộ Thông tin và Truyền thông;
đ) Trong trường hợp bị đình chỉ: tổ chức cung cấp dịch vụ tin cậy có trách nhiệm duy trì hệ thống cơ sở dữ liệu liên quan đến chứng thư chữ ký số đã cấp;
e) Khi bị thu hồi giấy phép, tổ chức cung cấp dịch vụ tin cậy phải thông báo ngay cho thuê bao về việc ngừng cung cấp dịch vụ của mình và thông tin về tổ chức tiếp nhận dữ liệu của mình để bảo đảm quyền lợi sử dụng dịch vụ của thuê bao.
2. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thực hiện trách nhiệm đối với thuê bao như sau:
a) Bảo đảm không bị gián đoạn trong suốt thời gian hiệu lực của chứng thư chữ ký số và việc kiểm tra trạng thái chứng thư chữ ký số của thuê bao là liên tục;
b) Xây dựng hợp đồng mẫu với thuê bao trong đó bao gồm các nội dung tối thiểu sau:
- Số hợp đồng;
- Thời điểm (ngày, tháng, năm) lập hợp đồng;
- Các nội dung về quyền và nghĩa vụ của các bên;
- Thỏa thuận về việc cấp chứng thư chữ ký số: Phạm vi, giới hạn sử dụng, mức độ bảo mật, chi phí liên quan đến việc cấp và sử dụng chứng thư chữ ký số và những thông tin khác có khả năng ảnh hưởng đến quyền lợi của thuê bao;
- Yêu cầu bảo đảm sự an toàn trong lưu trữ và sử dụng khóa bí mật;
- Việc thực hiện các biện pháp bảo đảm an toàn, bảo mật trong sử dụng dịch vụ và trường hợp mất chứng thư chữ ký số;
- Phương thức tiếp nhận đề nghị khiếu nại; thời hạn xử lý đề nghị khiếu nại và việc xử lý kết quả khiếu nại;
- Các trường hợp bất khả kháng theo quy định của pháp luật.
Mục 4

HOẠT ĐỘNG CUNG CẤP DỊCH VỤ CHỮ KÝ SỐ CÔNG CỘNG

Điều 39. Đối tượng đề nghị cấp chứng thư chữ ký số công cộng
1. Cá nhân đề nghị cấp chứng thư chữ ký số công cộng là người từ đủ 18 tuổi trở lên có năng lực hành vi dân sự đầy đủ theo quy định của pháp luật Việt Nam.
2. Tổ chức được thành lập, hoạt động hợp pháp theo quy định của pháp luật Việt Nam bao gồm: tổ chức là pháp nhân, doanh nghiệp tư nhân, hộ kinh doanh và các tổ chức khác theo quy định của pháp luật.
Điều 40. Hồ sơ đề nghị cấp chứng thư chữ ký số công cộng
1. Hồ sơ, tài liệu đề nghị cấp chứng thư chữ ký số công cộng, bao gồm:
a) Đơn đề nghị cấp chứng thư chữ ký số công cộng dưới dạng bản giấy hoặc điện tử theo mẫu của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng;
b) Hồ sơ, tài liệu kèm theo bao gồm:
- Đối với cá nhân: Các giấy tờ tùy thân bao gồm căn cước công dân gắn chíp hoặc căn cước hoặc tài khoản định danh điện tử mức độ 2 hoặc hộ chiếu còn thời hạn; thị thực nhập cảnh còn thời hạn hoặc giấy tờ chứng minh được miễn thị thực nhập cảnh (đối với cá nhân là người nước ngoài);
- Đối với tổ chức: Quyết định thành lập hoặc quyết định quy định về chức năng, nhiệm vụ, quyền hạn, cơ cấu tổ chức hoặc giấy chứng nhận đăng ký doanh nghiệp hoặc giấy chứng nhận đầu tư hoặc giấy chứng nhận đăng ký Hộ kinh doanh và giấy tờ tùy thân của người đại diện theo pháp luật bao gồm căn cước hoặc căn cước công dân gắn chíp hoặc tài khoản định danh điện tử mức độ 2 hoặc hộ chiếu; hoặc tài khoản định danh điện tử của tổ chức.
2. Cá nhân, tổ chức có quyền lựa chọn nộp bản sao từ sổ gốc, bản sao có chứng thực hoặc bản sao điện tử hoặc nộp bản sao trình kèm bản chính để đối chiếu hoặc sử dụng tài khoản định danh điện tử mức độ 2 theo quy định của pháp luật về định danh và xác thực điện tử.
Đối với trường hợp xuất trình bản chính để đối chiếu, Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải xác nhận vào bản sao và chịu trách nhiệm về tính chính xác của bản sao so với bản chính. Việc hợp pháp hóa lãnh sự đối với các giấy tờ do cơ quan có thẩm quyền của nước ngoài cấp thực hiện theo quy định của pháp luật. Trường hợp giấy tờ trong hồ sơ là bản sao điện tử, Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải có giải pháp, công nghệ để thu thập, kiểm tra và đối chiếu, bảo đảm bản sao điện tử có nội dung đầy đủ, chính xác và khớp đúng so với bản chính theo quy định của pháp luật.
3. Trường hợp cá nhân, người đại diện theo pháp luật của tổ chức xuất trình căn cước công dân gắn chíp, căn cước, tài khoản định danh điện tử mức độ 2 thì tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng sử dụng dữ liệu trong chíp điện tử, dữ liệu của tài khoản định danh điện tử mức độ 2, không yêu cầu cá nhân, người đại diện theo pháp luật của tổ chức nộp các hồ sơ, tài liệu theo quy định tại khoản 2 Điều này.
Điều 41. Trình tự, thủ tục đề nghị cấp chứng thư chữ ký số công cộng
1. Khi có nhu cầu đề nghị cấp chứng thư chữ ký số công cộng, khách hàng lập một (01) bộ hồ sơ theo quy định tại Điều 40 Nghị định này nộp trực tiếp hoặc gửi qua đường bưu chính hoặc phương tiện điện tử đến tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
2. Khi nhận được hồ sơ đề nghị của khách hàng, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải kiểm tra, đối chiếu các giấy tờ trong hồ sơ đề nghị cấp và xử lý:
a) Nếu các giấy tờ tại hồ sơ đề nghị cấp chứng thư chữ ký số đã đầy đủ, hợp pháp, hợp lệ và các yếu tố kê khai tại giấy đề nghị cấp hoàn toàn khớp đúng với các giấy tờ trong hồ sơ đề nghị cấp chứng thư chữ ký số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thực hiện cấp chứng thư chữ ký số cho khách hàng theo quy định tại khoản 3 Điều này;
b) Nếu các giấy tờ trong hồ sơ đề nghị cấp chứng thư chữ ký số chưa đầy đủ, hợp pháp, hợp lệ hoặc các yếu tố kê khai tại giấy đề nghị chứng thư chữ ký số chưa khớp đúng với các giấy tờ trong hồ sơ chứng thư chữ ký số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thông báo cho khách hàng để hoàn thiện hồ sơ;
c) Trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng từ chối cấp chứng thư chữ ký số thì phải thông báo cho khách hàng biết.
3. Sau khi hoàn thành việc kiểm tra, đối chiếu, xác minh thông tin nhận biết khách hàng, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tiến hành giao kết thỏa thuận cấp chứng thư chữ ký số công cộng và sử dụng dịch vụ chứng thực chữ ký số công cộng với khách hàng.
4. Thủ tục cấp chứng thư chữ ký số của cá nhân, tổ chức theo quy định tại Điều 42 của Nghị định này; đối với cấp chứng thư chữ ký số của cá nhân, tổ chức bằng phương thức điện tử được thực hiện theo quy định tại Điều 43 của Nghị định này.
5. Việc cấp chứng thư chữ ký số cho khách hàng mà tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đã thiết lập mối quan hệ và hoàn thành việc nhận biết, xác minh thông tin nhận biết khách hàng do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đó quyết định nhưng phải bảo đảm có hoặc thu thập được đầy đủ thông tin, giấy tờ trong hồ sơ đề nghị cấp chứng thư chữ ký số theo quy định tại Điều 40 của Nghị định này.
Điều 42. Cấp chứng thư chữ ký số công cộng cho thuê bao
1. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp chứng thư chữ ký số công cộng cho thuê bao sau khi kiểm tra được các nội dung sau đây:
a) Thông tin trong hồ sơ đề nghị cấp chứng thư chữ ký số công cộng của thuê bao là chính xác;
b) Khóa công khai trên chứng thư chữ ký số công cộng sẽ được cấp là duy nhất và cùng cặp với khóa bí mật của tổ chức, cá nhân đề nghị cấp chứng thư chữ ký số công cộng.
2. Chứng thư chữ ký số công cộng chỉ được cấp cho người đề nghị cấp và phải có đầy đủ những thông tin được quy định tại Điều 7 của Nghị định này.
3. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng chỉ được công bố chứng thư chữ ký số công cộng đã cấp cho thuê bao trên cơ sở dữ liệu về chứng thư chữ ký số công cộng của mình sau khi có xác nhận của thuê bao về tính chính xác của thông tin trên chứng thư chữ ký số đó; thời hạn để công bố chậm nhất là 24 giờ sau khi đã có xác nhận của thuê bao; trừ trường hợp có thỏa thuận khác.
4. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải bảo đảm an toàn trong suốt quá trình tạo và chuyển giao chứng thư chữ ký số cho thuê bao.
Điều 43. Cấp chứng thư chữ ký số công cộng bằng phương thức điện tử
1. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thực hiện cấp chứng thư chữ ký số công cộng bằng phương thức điện tử phải xây dựng, ban hành, công khai quy trình, thủ tục cấp chứng thư chữ ký số bằng phương thức điện tử phù hợp với quy định tại Điều này, pháp luật về giao dịch điện tử, các quy định pháp luật liên quan về an toàn thông tin, an ninh mạng, bảo vệ dữ liệu cá nhân, việc cấp chứng thư chữ ký số công cộng bao gồm tối thiểu các bước như sau:
a) Thu thập thông tin về hồ sơ đề nghị cấp chứng thư chữ ký số công cộng theo quy định tại khoản 1 Điều 40 của Nghị định này;
b) Thực hiện kiểm tra, đối chiếu và xác minh thông tin nhận biết khách hàng;
c) Cảnh báo cho khách hàng về các hành vi không được thực hiện trong quá trình cấp và sử dụng chứng thư chữ ký số bằng phương thức điện tử;
d) Cung cấp cho khách hàng nội dung thỏa thuận cấp và sử dụng dịch vụ chứng thực chữ ký số công cộng theo quy định tại điểm đ khoản 2 Điều 38 Nghị định này và thực hiện giao kết thỏa thuận cấp chứng thư chữ ký số công cộng và sử dụng dịch vụ chứng thực chữ ký số công cộng với khách hàng.
2. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng được quyết định biện pháp, hình thức, công nghệ để nhận biết và xác minh khách hàng phục vụ việc cấp chứng thư chữ ký số công cộng bằng phương thức điện tử; chịu trách nhiệm về rủi ro phát sinh (nếu có) và phải đáp ứng các yêu cầu tối thiểu sau:
a) Có giải pháp, công nghệ để thu thập, kiểm tra, đối chiếu, bảo đảm sự khớp đúng giữa thông tin nhận biết khách hàng, dữ liệu sinh trắc học của khách hàng (là các yếu tố, đặc điểm sinh học gắn liền với khách hàng thực hiện định danh, khó làm giả, có tỷ lệ trùng nhau thấp như vân tay, khuôn mặt, mống mắt, giọng nói và các yếu tố sinh trắc học khác) với các thông tin, yếu tố sinh trắc học tương ứng trên giấy tờ tùy thân của khách hàng quy định tại điểm b khoản 1 Điều 40 của Nghị định này hoặc với dữ liệu định danh cá nhân được xác thực bởi cơ quan nhà nước có thẩm quyền hoặc bởi tổ chức được cung ứng dịch vụ xác thực điện tử;
b) Có biện pháp kỹ thuật để xác nhận việc khách hàng đã được định danh đồng ý với các nội dung tại thỏa thuận cấp chứng thư chữ ký số công cộng và sử dụng dịch vụ chứng thực chữ ký số công cộng;
c) Xây dựng quy trình quản lý, kiểm soát, đánh giá rủi ro, trong đó có biện pháp ngăn chặn các hành vi mạo danh, can thiệp, chỉnh sửa, làm sai lệch việc xác minh thông tin nhận biết khách hàng trước, trong và sau khi cấp chứng thư chữ ký số cho khách hàng; Trường hợp phát hiện có rủi ro, sai lệch hoặc có dấu hiệu bất thường giữa các thông tin nhận biết khách hàng với các yếu tố sinh trắc học của khách hàng hoặc phát hiện giao dịch đáng ngờ trong quá trình ký số, Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải kịp thời từ chối hoặc tạm ngưng, tạm khóa hoặc phong tỏa chứng thư chữ ký số và tiến hành xác minh lại thông tin nhận biết khách hàng. Quy trình quản lý, kiểm soát rủi ro phải thường xuyên được rà soát, hoàn thiện dựa trên những thông tin, dữ liệu cập nhật trong quá trình cung ứng dịch vụ;
d) Lưu trữ, bảo quản đầy đủ, chi tiết theo thời gian đối với các thông tin, dữ liệu nhận biết khách hàng trong quá trình khách hàng cấp chứng thư chữ ký số công cộng và sử dụng dịch vụ chứng thực chữ ký số công cộng, như: thông tin nhận biết khách hàng; các yếu tố sinh trắc học của khách hàng; âm thanh, hình ảnh, bản ghi hình, ghi âm; số điện thoại thực hiện giao dịch; nhật ký giao dịch. Các thông tin, dữ liệu phải được lưu trữ an toàn, bảo mật, được sao lưu dự phòng, bảo đảm tính đầy đủ, toàn vẹn của dữ liệu để phục vụ cho công tác kiểm tra, đối chiếu, giải quyết tra soát, khiếu nại, tranh chấp và cung cấp thông tin khi có yêu cầu từ cơ quan quản lý nhà nước có thẩm quyền. Thời gian lưu trữ thực hiện theo quy định của pháp luật về lưu trữ, bảo vệ thông tin cá nhân.
3. Việc cấp chứng thư chữ ký số công cộng bằng phương thức điện tử quy định tại Điều này không áp dụng đối với đề nghị cấp chứng thư chữ ký số công cộng thông qua người đại diện theo pháp luật của cơ quan, tổ chức.
Điều 44. Tạo khóa, phân phối và quản lý khóa cho thuê bao
1. Tổ chức, cá nhân đề nghị cấp chứng thư chữ ký số có thể tự tạo cặp khóa hoặc yêu cầu bằng văn bản tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tạo cặp khóa cho mình.
2. Trường hợp tổ chức, cá nhân đề nghị cấp chứng thư chữ ký số tự tạo cặp khóa, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cần bảo đảm chắc chắn rằng tổ chức, cá nhân đó đã sử dụng thiết bị theo đúng tiêu chuẩn quy định để tạo ra và lưu trữ cặp khóa.
3. Trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tạo cặp khóa, tổ chức đó phải bảo đảm sử dụng các phương thức an toàn để chuyển giao khóa bí mật đến tổ chức, cá nhân đề nghị cấp chứng thư chữ ký số và chỉ được lưu bản sao của khóa bí mật khi tổ chức, cá nhân đề nghị cấp chứng thư chữ ký số có yêu cầu bằng văn bản.
4. Trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số từ xa, tổ chức đó được lưu khóa bí mật của tổ chức, cá nhân đề nghị cấp chứng thư chữ ký số và phải bảo đảm sử dụng các phương thức an toàn để lưu trữ.
5. Liên quan đến hoạt động quản lý khóa, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm sau:
a) Thông báo ngay cho thuê bao, đồng thời áp dụng những biện pháp ngăn chặn và khắc phục kịp thời trong trường hợp phát hiện thấy dấu hiệu khóa bí mật của thuê bao đã bị lộ, không còn toàn vẹn hoặc bất cứ sự sai sót nào khác có nguy cơ ảnh hưởng xấu đến quyền lợi của thuê bao;
b) Khuyến cáo cho thuê bao việc thay đổi cặp khóa khi cần thiết nhằm bảo đảm tính tin cậy và an toàn cao nhất cho cặp khóa.
Điều 45. Gia hạn chứng thư chữ ký số cho thuê bao
1. Trước ngày hết hạn của chứng thư chữ ký số, thuê bao có quyền yêu cầu gia hạn chứng thư chữ ký số.
2. Khi nhận được yêu cầu gia hạn của thuê bao, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có nghĩa vụ hoàn thành các thủ tục gia hạn chứng thư chữ ký số trước khi hết hiệu lực.
3. Trường hợp thay đổi khóa công khai trên chứng thư chữ ký số được gia hạn, thuê bao phải yêu cầu rõ; việc tạo khóa, phân phối khóa và công bố chứng thư chữ ký số được gia hạn thực hiện theo các quy định tại các Điều 44 và 46 Nghị định này.
Điều 46. Thay đổi cặp khóa cho thuê bao
Trong trường hợp thuê bao có nhu cầu thay đổi cặp khóa, thuê bao phải có đơn đề nghị thay đổi cặp khóa. Việc tạo khóa, phân phối khóa và công bố chứng thư chữ ký số với khóa công khai mới thực hiện theo các quy định tại các Điều 42, 43 và 44 của Nghị định này.
Điều 47. Tạm dừng, phục hồi chứng thư chữ ký số của thuê bao
1. Chứng thư chữ ký số của thuê bao bị tạm dừng trong các trường hợp sau đây:
a) Khi thuê bao yêu cầu bằng văn bản và yêu cầu này đã được tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng xác minh là chính xác;
b) Khi tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có căn cứ để khẳng định rằng chứng thư chữ ký số được cấp không tuân theo các quy định tại Nghị định này; hoặc khi phát hiện có rủi ro, sai lệch hoặc có dấu hiệu bất thường giữa các thông tin nhận biết khách hàng với các yếu tố sinh trắc học của khách hàng hoặc phát hiện giao dịch đáng ngờ trong quá trình ký số hoặc khi phát hiện ra bất cứ sai sót nào có ảnh hưởng đến quyền lợi của thuê bao và người nhận;
c) Khi thuê bao là tổ chức tạm ngừng toàn bộ hoạt động kinh doanh;
d) Khi có yêu cầu của cơ quan tiến hành tố tụng, cơ quan công an hoặc Bộ Thông tin và Truyền thông;
đ) Theo điều kiện tạm dừng chứng thư chữ ký số đã được quy định trong hợp đồng giữa thuê bao và tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
2. Khi có căn cứ tạm dừng chứng thư chữ ký số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải tiến hành tạm dừng, đồng thời, thông báo ngay cho thuê bao và công bố trên cơ sở dữ liệu về chứng thư chữ ký số việc tạm dừng, thời gian bắt đầu và kết thúc việc tạm dừng.
3. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải phục hồi chứng thư chữ ký số khi không còn căn cứ để tạm dừng chứng thư chữ ký số hoặc thời hạn tạm dừng theo yêu cầu đã hết hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.
Điều 48. Thu hồi chứng thư chữ ký số của thuê bao
1. Chứng thư chữ ký số của thuê bao bị thu hồi trong những trường hợp sau đây:
a) Khi thuê bao yêu cầu bằng văn bản và yêu cầu này đã được tổ chức cung cấp dịch vụ chứng thực chữ ký số của mình xác minh là chính xác;
b) Khi thuê bao là cá nhân đã chết hoặc mất tích theo tuyên bố của tòa án hoặc thuê bao là tổ chức giải thể hoặc phá sản theo quy định của pháp luật;
c) Khi có yêu cầu của cơ quan tiến hành tố tụng, cơ quan công an hoặc Bộ Thông tin và Truyền thông;
d) Theo điều kiện thu hồi chứng thư chữ ký số đã được quy định trong hợp đồng giữa thuê bao và tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
2. Khi có căn cứ thu hồi chứng thư chữ ký số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải thu hồi chứng thư chữ ký số, đồng thời, thông báo ngay cho thuê bao và công bố trên cơ sở dữ liệu về chứng thư chữ ký số việc thu hồi.
Điều 49. Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng
1. Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng được xây dựng theo theo quy chế chứng thực mẫu.
2. Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải được công khai theo quy định tại khoản 1 Điều 50 Nghị định này.
3. Khi có sự thay đổi thông tin trong quy chế chứng thực, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải thông báo bằng văn bản đến Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia và phải được sự đồng ý bằng văn bản của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia đối với các nội dung thay đổi.
Điều 50. Cung cấp thông tin
1. Công bố thông tin:
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải công khai và duy trì thông tin 24 giờ trong ngày và 7 ngày trong tuần trên trang thông tin điện tử của mình những thông tin sau:
a) Quy chế chứng thực và chứng thư chữ ký số của mình;
b) Danh sách chứng thư chữ ký số có hiệu lực, bị tạm dừng, bị thu hồi của thuê bao;
c) Những thông tin cần thiết khác theo quy định của pháp luật.
2. Cập nhật thông tin:
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải cập nhật các thông tin quy định tại khoản 1 Điều này trong vòng 24 giờ khi có thay đổi.
3. Cung cấp thông tin:
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải cung cấp trực tuyến theo thời gian thực cho Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia thông tin về số lượng chứng thư chữ ký số đang có hiệu lực, bị tạm dừng, bị thu hồi để phục vụ công tác quản lý nhà nước về dịch vụ chứng thực chữ ký số.
4. Lưu trữ thông tin:
Lưu trữ toàn bộ thông tin liên quan đến việc tạm đình chỉ hoặc thu hồi giấy phép và các cơ sở dữ liệu về thuê bao, chứng thư chữ ký số trong thời gian ít nhất 05 năm, kể từ khi giấy phép bị tạm đình chỉ hoặc thu hồi.
Điều 51. Kết nối đến cổng kết nối dịch vụ chứng thực chữ ký số công cộng
1. Các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng và tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng công vụ có trách nhiệm kết nối đến cổng kết nối dịch vụ chứng thực chữ ký số công cộng.
2. Các hệ thống thông tin cung cấp dịch vụ trực tuyến sử dụng chữ ký số để chứng thực thông điệp dữ liệu, chứng thực dấu thời gian có trách nhiệm tích hợp với Cổng kết nối dịch vụ chứng thực chữ ký số cộng cộng để giúp cho tổ chức, cá nhân thực hiện ký số thuận tiện, dễ dàng và bảo đảm an toàn khi sử dụng các dịch vụ trực tuyến được cung cấp trên môi trường mạng.
3. Bộ Thông tin và Truyền thông ban hành yêu cầu kỹ thuật, hướng dẫn chi tiết để thực hiện kết nối với cổng kết nối dịch vụ chứng thực chữ ký số công cộng.
Điều 52. Mã quản lý thiết bị
1. Mã quản lý thiết bị là một dãy số hoặc chữ hoặc ký hiệu được sử dụng để định danh thiết bị trong hệ thống thông tin dịch vụ tin cậy theo quy định tại khoản 2 Điều này phục vụ công tác quản lý nhà nước.
Mã quản lý bao gồm các trường thông tin: tên, cấu hình, số sê-ri của thiết bị; địa điểm đặt thiết bị và chức năng của thiết bị.
2. Các thiết bị trong hệ thống dịch vụ tin cậy phải gắn mã bao gồm: máy chủ; thiết bị lưu khóa bí mật; thiết bị lưu trữ; thiết bị mạng và bảo mật;.
3. Cấp mã quản lý
a) Phương thức thực hiện được hướng dẫn và đăng ký tự động qua hệ thống dịch vụ công trực tuyến (Cổng dịch vụ công quốc gia, www.dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ, https://dichvucong.mic.gov.vn hoặc cổng dịch vụ công của Trung tâm Chứng thực điện tử quốc gia, https://neac.gov.vn).
b) Thời điểm đăng ký và gắn mã quản lý trước khi hệ thống bắt đầu cung cấp dịch vụ tin cậy và ngay khi thay đổi bất kỳ thiết bị gắn mã.
c) Thời hạn cấp mã quản lý: trong vòng 08 giờ làm việc kể từ khi nhận được thông báo tự động hoàn tất đăng ký.
4. Tổ chức cung cấp dịch vụ tin cậy có trách nhiệm đăng ký và gắn mã được cấp tự động theo quy định tại Khoản 2 và Khoản 3 Điều này.
Điều 53. Quyền và trách nhiệm của thuê bao sử dụng dịch vụ chứng thực chữ ký số công cộng
1. Có quyền yêu cầu tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cung cấp bằng văn bản những thông tin quy định tại Điều 38 của Nghị định này.
2. Có quyền yêu cầu tổ chức cung cấp dịch vụ chứng thực chữ ký số của mình tạm dừng, thu hồi chứng thư chữ ký số đã cấp và tự chịu trách nhiệm về yêu cầu đó.
3. Cung cấp thông tin theo quy định một cách trung thực, chính xác cho tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
4. Trường hợp tự tạo cặp khóa cho mình, thuê bao phải bảo đảm thiết bị tạo cặp khóa sử dụng đúng quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng. Quy định này không áp dụng cho trường hợp thuê bao thuê thiết bị tạo cặp khóa của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
5. Lưu trữ và sử dụng khóa bí mật của mình một cách an toàn, bí mật trong suốt thời gian chứng thư chữ ký số của mình có hiệu lực và bị tạm dừng.
6. Thông báo trong thời gian 24 giờ cho tổ chức cung cấp dịch vụ chứng thực chữ ký số của mình nếu phát hiện thấy dấu hiệu khóa bí mật của mình đã bị lộ, bị đánh cắp hoặc sử dụng trái phép để có các biện pháp xử lý.
7. Khi đã đồng ý để tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng công khai chứng thư chữ ký số của mình theo quy định tại khoản 3 Điều 42 của Nghị định này hoặc khi đã cung cấp chứng thư chữ ký số đó cho người khác với mục đích để giao dịch, thuê bao được coi là đã cam kết với người nhận rằng thuê bao là người nắm giữ hợp pháp khóa bí mật tương ứng với khóa công khai trên chứng thư chữ ký số đó và những thông tin trên chứng thư chữ ký số liên quan đến thuê bao là đúng sự thật, đồng thời phải thực hiện các nghĩa vụ xuất phát từ chứng thư chữ ký số đó.
8. Chịu trách nhiệm trước pháp luật nếu vi phạm quy định tại các khoản 3, 4, 5, 6 và 7 Điều này và các quy định của pháp luật khác có liên quan.
Điều 54. Quy chế chứng thực mẫu
1. Quy chế chứng thực mẫu
a) Quy chế chứng thực mẫu bao gồm: quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia; quy chế chứng thực của tổ chức cung cấp dịch vụ tin cậy; quy chế chứng thực của tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn.
b) Nội dung quy chế chứng thực mẫu bao gồm nhưng không giới hạn về phạm vi, mục đích sử dụng, đối tượng được cấp, yêu cầu đối với vòng đời hoạt động của chứng thư chữ ký điện tử/chứng thư chữ ký số.
2. Bộ Thông tin và Truyền thông ban hành quy chế chứng thực mẫu theo quy định tại khoản 1 Điều này.
3. Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp dịch vụ tin cậy và tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn có trách nhiệm xây dựng, thực hiện quy chế chứng thực.
Điều 55. Thanh tra, kiểm tra chuyên ngành về chữ ký điện tử và dịch vụ tin cậy
Thanh tra, kiểm tra việc chấp hành pháp luật về chữ ký điện tử và dịch vụ tin cậy do cơ quan thanh tra, cơ quan quản lý chuyên ngành về chữ ký điện tử và dịch vụ tin cậy thuộc Bộ Thông tin và Truyền thông và cơ quan chuyên môn về Thông tin và Truyền thông thuộc Ủy ban nhân dân cấp tỉnh thực hiện theo quy định của pháp luật về thanh tra và quy định liên quan.
Điều 56. Trách nhiệm của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia
Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia có trách nhiệm sau:
1. Xây dựng, quản lý, duy trì, vận hành hệ thống kỹ thuật để cung cấp dịch vụ cho các tổ chức cung cấp dịch vụ tin cậy, các tổ chức tạo lập chữ ký điện tử chuyên dùng được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký điện tử chuyên dùng và các cơ quan, tổ chức, cá nhân sử dụng chữ ký số, chứng thư chữ ký số nước ngoài được công nhận sử dụng tại Việt Nam;
2. Nghiên cứu, trình cấp có thẩm quyền xây dựng, ban hành văn bản về việc quản lý, cung cấp dịch vụ tin cậy cho các tổ chức cung cấp dịch vụ tin cậy, tổ chức được cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn, tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài và các cơ quan, tổ chức, cá nhân sử dụng chữ ký điện tử, chứng thư chữ ký điện tử nước ngoài được công nhận sử dụng tại Việt Nam;
3. Công bố và cập nhật trên trang thông tin điện tử danh sách các tổ chức cung cấp dịch vụ tin cậy, các tổ chức được cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn, tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài, các chữ ký điện tử nước ngoài, chứng thư chữ ký điện tử nước ngoài được công nhận sử dụng tại Việt Nam;
4. Triển khai các hoạt động để dịch vụ tin cậy, chứng thực chữ ký số của Việt Nam có thể được công nhận ở các quốc gia và các tổ chức quốc tế khác.
5. Tự cấp chứng thư chữ ký số cho mình và cấp chứng thư chữ ký số và dịch vụ chứng thực chữ ký số cho các tổ chức cung cấp dịch vụ tin cậy được quy định tại Chương III Nghị định này:
6. Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia đóng vai trò và có quyền, nghĩa vụ như tổ chức cung cấp dịch vụ tin cậy theo quy định tại Chương III Nghị định này. Các tổ chức cung cấp dịch vụ tin cậy đóng vai trò và có quyền, nghĩa vụ như thuê bao theo quy định tại Chương III Nghị định này.
7. Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, tổ chức cung cấp dịch vụ tin cậy phải tuân thủ các quy định sau:
a) Cặp khóa quy định tại Điều 44 Nghị định này do Tổ chức cung cấp dịch vụ chứng thực chữ ký số tự tạo trên hệ thống của mình;
b) Nội dung cần kiểm tra trước khi cấp chứng thư chữ ký số quy định tại khoản 1 Điều 42 Nghị định này, bổ sung kiểm tra việc tuân thủ các điều kiện kinh doanh quy định tại Điều 26 Nghị định này;
c) Thông tin công khai quy định tại khoản 1 Điều 50 Nghị định này được công bố trên trang tin điện tử của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia hoặc tổ chức cung cấp dịch vụ tin cậy;
d) Các tổ chức cung cấp dịch vụ tin cậy sử dụng chứng thư chữ ký số do Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia cấp phải nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số theo Luật phí và lệ phí.
8. Xây dựng Quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia theo quy chế chứng thực mẫu.
Điều 57. Liên thông với tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia
1. Việc liên thông với Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng công vụ; việc cập nhật trạng thái của chứng thư chữ ký điện tử nước ngoài vào hệ thống chứng thực dịch vụ tin cậy phải đảm bảo các yêu cầu sau:
a) Hệ thống thông tin phải bảo đảm cho việc kiểm tra trạng thái chứng thư chữ ký điện tử, chứng thư chữ ký số và kiểm tra hiệu lực chữ ký số.
b) Công cụ, biện pháp để bảo vệ dữ liệu và xác thực dữ liệu trong quá trình kết nối liên thông;
c) Các điều kiện kỹ thuật phục vụ kết nối, cung cấp thông tin để kiểm tra trạng thái chứng thư chữ ký điện tử, chứng thư chữ ký số và kiểm tra hiệu lực chữ ký số.
2. Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia trực thuộc Bộ Thông tin và Truyền thông (Trung tâm Chứng thực điện tử quốc gia). 
Chương IV
ĐIỀU KHOẢN THI HÀNH
 
Điều 58. Hiệu lực thi hành
Nghị định này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2024.
Điều 59. Quy định chuyển tiếp
1. Trường hợp giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng đã được cấp trước ngày Luật Giao dịch điện tử số 20/2023/QH15 có hiệu lực thi hành và đến ngày Luật Giao dịch điện tử số 20/2023/QH15 có hiệu lực thi hành vẫn còn hiệu lực thì việc nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư số theo giấy phép đó được thực hiện theo các văn bản quy phạm pháp luật quy định chi tiết Luật Giao dịch điện tử số 51/2005/QH11 về mức thu, chế độ thu, nộp, quản lý và sử dụng phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư số.
2. Trừ trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số lựa chọn áp dụng quy định của Luật Giao dịch điện tử số 20/2023/QH15, tổ chức cung cấp dịch vụ chứng thực chữ ký số đang hoạt động hợp pháp, trong vòng 02 năm kể từ ngày Nghị định này có hiệu lực, phải có trách nhiệm rà soát, nâng cấp hệ thống thiết bị kỹ thuật và đội ngũ nhân lực quản lý và kỹ thuật đáp ứng quy định tại Nghị định này.
3. Việc cấp chứng thư số theo giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng đã được cấp trước ngày Luật Giao dịch điện tử số 20/2023/QH15 có hiệu lực thi hành và đến ngày Luật Giao dịch điện tử số 20/2023/QH15 có hiệu lực thi hành vẫn còn hiệu lực được thực hiện 01 (một) lần và phù hợp với thời hạn còn lại của giấy phép.
Điều 60. Trách nhiệm thi hành
Bộ trưởng, Thủ trưởng cơ quan ngang Bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các cấp và các cơ quan, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Nghị định này./.
 
Nơi nhận:
- Ban Bí thư Trung ương Đảng;
- Thủ tướng, các Phó Thủ tướng Chính phủ;
Các Bộ, cơ quan ngang Bộ, cơ quan thuộc CP;
- HĐND, UBND các tỉnh, TP trực thuộc TW;
- Văn phòng Trung ương và các Ban của Đảng;
- Văn phòng Tổng Bí thư;
- Văn phòng Chủ tịch nước;
- Hội đồng Dân tộc và các Ủy ban của Quốc hội;
- Văn phòng Quốc hội;
- Tòa án nhân dân tối cao;
- Viện kiểm sát nhân dân tối cao;
- Ủy ban Giám sát tài chính Quốc gia;
- Kiểm toán nhà nước;
- Ngân hàng Chính sách xã hội;
- Ngân hàng Phát triển Việt Nam;
- Ủy ban Trung ương Mặt trận Tổ quốc Việt Nam;
- Cơ quan Trung ương của các đoàn thể;
- VPCP: BTCN, các PCN, Trợ lý TTgCP, cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc, Công báo;
- Lưu: VT,…
TM. CHÍNH PHỦ
THỦ TƯỚNG

 
 
 
 
 
Phạm Minh Chính