(KTSG) – Giao dịch điện tử là một phần của sự phát triển công nghệ. Khi mà giới hạn của thế giới số không còn giới hạn thì bài toán thích ứng nhanh trở thành thách thức không nhỏ. Sửa đổi Luật Giao dịch điện tử cần có tầm nhìn về một môi trường giao tiếp số thực sự. Thông điệp dữ liệu, định danh và chữ ký điện tử, ba nền tảng cơ bản Khái niệm “thông điệp dữ liệu” trong Luật Giao dịch điện tử là khái niệm “lai” giữa một bên là thông điệp ngôn ngữ và một bên là dữ liệu điện tử. Khái niệm này mang hàm ý chuyển tải và biến đổi giữa ngôn ngữ truyền thống sang ngôn ngữ công nghệ thông tin. Nhưng người dùng không ai biết và cũng không quan tâm chúng được tạo ra và truyền đi như thế nào về mặt kỹ thuật. Họ chỉ biết với ngôn ngữ, thông điệp ban đầu, bao hàm ý định đầy đủ của họ về giao dịch mục tiêu cho đến khi người nhận tiếp nhận đúng điều đó, cho nên Luật Giao dịch điện tử 2005 xem sự toàn vẹn của thông điệp dữ liệu(1) là một trong những nhân tố cơ bản, nếu không muốn nói là nhân tố quan trọng nhất, để xem xét giá trị pháp lý của thông điệp dữ liệu. Ngoài thông điệp dữ liệu thì một thuật ngữ mới xuất hiện trong đề xuất dự thảo sửa đổi Luật Giao dịch điện tử là “thông điệp dữ liệu an toàn”. Thuật ngữ này được hiểu là một thông điệp dữ liệu không hoặc không còn an toàn cho tới khi nó được tạo ra tuân thủ đúng với một quy trình pháp lý và thuật toán máy tính chuyên ngành. Các điều kiện pháp lý cho phép nó an toàn mà không thể xét đến sự an toàn tuyệt đối trong tất cả thời điểm. Nghĩa là thông điệp dữ liệu nào cũng chỉ “được cho” là an toàn có giới hạn theo bối cảnh công nghệ. Và mục đích cuối cùng của quy định này là hướng đến loại trừ các dạng thông điệp dữ liệu được tạo ra từ nhiều nguồn khi không thể kiểm soát được chúng.  Thứ nhất, trước đây khi chưa có sự bùng nổ của công nghệ thông tin, nhất là sự ra đời của mạng xã hội, các nền tảng giao dịch trực tuyến, thì một trong những phương thức giao dịch thương mại được yêu thích là sử dụng các phương tiện điện tử phổ biến để tạo, truyền và truy xuất thông điệp dữ liệu như e-mail, fax, tin nhắn. Đây là được xem là giao dịch điện tử, nhưng không có cơ sở định danh pháp lý và không có yếu tố “ký” số. Các bên tạo dữ liệu thủ công và truyền dữ liệu thông qua các phương tiện điện tử. Phương thức này thuận tiện nhưng ít an toàn trong việc tạo lập, dễ mạo danh và khó chứng minh được sự thay đổi của dữ liệu do vấn đề tiếp cận hệ thống quản lý và lưu trữ từ nhà cung cấp dịch vụ đến máy chủ. Thứ hai, hiện nay nhu cầu giao dịch qua sàn hay trang web thương mại điện tử trở nên phổ biến. Với chức năng giao dịch tự động, người dùng tự do đăng ký, khởi tạo định danh giao dịch trên trang web, ứng dụng (app) rồi đăng nhập và sử dụng, nhưng điều gì xảy ra khi một người dùng định danh của người khác tạo “giùm” tài khoản rồi giao dịch. Ngược lại, các shop bán hàng trên sàn cũng thường chỉ gắn họ với một cái tên thương mại nào đó nhằm thuận tiện cho việc tương tác, thu hút khách hàng. Không phân quyền là xu hướng mà ở đó các trang web, app bán hàng được phép tạo ra hệ thống định danh riêng để phục vụ cho việc quản lý, bảo vệ luồng thông tin giao dịch, thực thi chính sách bảo mật, song những đòi hỏi của bên mua để nhận biết chủ thể làm việc, chủ thể quản lý nào đối với giao dịch của họ thiết nghĩ là nhu cầu chính đáng. Trăm nghe không bằng một thấy. Duy trì, củng cố lòng tin giữa các bên như thế nào đây nếu như hai bên không biết nhau. Thứ ba, giao dịch thông qua phần mềm, hệ thống kỹ thuật số của bên thứ ba tin cậy, chẳng hạn như các dịch vụ hợp đồng điện tử tự động hóa quy trình ký kết hợp đồng. Hiểu một cách tổng thể, đây là hình thức giao dịch điện tử toàn diện và an toàn từ khởi tạo thông điệp, ký, chứng thực, truyền và truy xuất dữ liệu của các bên trên cùng hệ thống quản lý tập trung đều cho phép thực hiện. Song song với định danh, vấn đề “chữ ký điện tử an toàn” (xác thực điện tử) cũng là một phần không thể thiếu của định danh. Theo quy định về định danh điện tử và dịch vụ tin cậy cho giao dịch điện tử trong Liên minh châu Âu (eIDAs)(2) thì mức độ an toàn của chữ ký điện tử (bao gồm chữ ký số, sinh trắc học,…) có ba cấp độ: Cấp độ đơn giản là dùng chữ ký thực tế và các định dạng sinh trắc học để quét lên văn bản ký. Cấp độ này dễ thực hiện nhất nhưng mức độ an toàn tùy thuộc vào hành vi chống giả mạo(3), làm thay đổi thông điệp dữ liệu. Cấp độ cao cấp là cấp độ định danh đúng người ký vào một thời điểm và có thể phát hiện sự thay đổi (làm giả) của thông điệp dữ liệu. Cấp độ đảm bảo. Ở cấp độ này, chữ ký điện tử được xem là hình thức chữ ký số, có chứng thực của tổ chức đủ điều kiện chứng thực (giống chữ ký số sử dụng thông qua USB token hiện nay). Mỗi cấp độ như vậy sẽ được đưa vào quy định về quy trình tạo chữ ký số với các mức độ an toàn và giá trị pháp lý khác nhau của chúng được cảnh báo khi thực hiện. Khách hàng lựa chọn và chịu trách nhiệm về sự lựa chọn phương thức ký của mình. Hợp đồng điện tử – nhiều vấn đề cần dự liệu Hợp đồng điện tử (hợp đồng đặt hàng trực tuyến) cũng dựa trên kết cấu của hợp đồng truyền thống. Tuy nhiên về mặt giao thức thực hiện, nó khó nhận biết hơn. Cơ bản là vì đề nghị giao dịch, chấp thuận đề nghị giao dịch giữa các bên đều được thực hiện trực tuyến. Nhiều khách hàng (người mua) không biết rằng khi họ bấm chọn chức năng đặt hàng, khách hàng đã gửi một thông điệp đề nghị giao kết hợp đồng. Nếu shop bán hàng phản hồi xác nhận số hiệu đơn hàng và bắt đầu một quy trình thực hiện chính thức của đơn hàng thì hợp đồng điện tử coi như được hình thành. Kéo theo đó là sự xuất hiện của hàng loạt chứng cứ điện tử được lưu giữ trên hệ thống. Theo luật hiện nay, thông điệp dữ liệu là một dạng văn bản có điều kiện từ tính toàn vẹn đến khả năng truy suất nguồn gốc hay thông điệp dữ liệu có thể kết xuất trực tiếp thành bản cứng và sử dụng. Tuy nhiên, đâu là tiêu chuẩn lưu trữ an toàn và quy định cho phép truy xuất hiệu quả thông điệp dữ liệu là điều còn mới mẻ, chưa trở thành thông lệ tại Việt Nam. Trên sàn, hiện tượng hủy đơn hàng khá phổ biến, giao dịch nhỏ về giá trị, khả năng phát sinh tranh chấp không cao, thiếu trải nghiệm tính hợp đồng, dẫn đến trách nhiệm mua bán qua loa, không quan tâm đến tâm lý, cảm xúc lẫn nhau của các bên. Theo luật, vấn đề hủy giao dịch của bên bán phức tạp hơn sau khi hợp đồng đã hình thành, trong khi bên mua được quyền hủy đơn hàng thông qua chức năng hủy trực tuyến (giống như đơn phương chấm dứt hợp đồng trên hợp đồng truyền thống). Tuy không được “ưu ái” như bên mua, nhưng thực tế bên bán vẫn có những cách để ngăn được hành vi hủy đơn của bên mua. Chẳng hạn, sau khi đặt hàng, bên bán đánh dấu chọn ngay vào mục “hàng đã đóng gói” trên app (trong khi hàng có thực sự được đóng gói hay chưa thì chỉ người bán mới biết) nhằm ngăn hành vi đổi ý, trả hàng của bên mua, và hệ thống tự động sẽ không cho phép bên mua thao tác trả hàng được nữa. Vấn đề đặt ra là, nếu ưu ái cho những “bên bán thụ động” kiểu như trên thì về lâu dài có cần thiết luật hóa những hành vi lách luật này hay không. Định dạng loại bỏ hành vi hay tái cân bằng quyền lợi giữa các bên, nghĩa là, nếu bên nào đã được lợi (như trường hợp hủy hàng của bên mua) và không có sự lựa chọn khác đi thì đổi lại bên kia được quyền sử dụng những “vũ khí” đối ứng trong thực thi hợp đồng theo nguyên tắc “có đi có lại”, xem như một hình thức phạt “ngoài hợp đồng” tương xứng. Ví dụ, ai hủy đơn hàng nhiều sẽ không còn được sử dụng phương thức trả tiền mặt khi nhận hàng. Luật khó đi sâu nhưng văn bản hướng dẫn không thể bỏ qua bộ quy tắc giao tiếp cơ bản này giữa các bên. Đây chỉ là một ví dụ, một chế tài nhỏ nhưng hơn hết đó quyền lợi của người tiêu dùng được đối xử như thế nào. Không cơ chế điều chỉnh, mỗi sàn làm theo cách riêng sẽ dễ dẫn đến sự tùy tiện. Một phương thức giao dịch điện tử, dù an toàn đến đâu đi chăng nữa cũng đều có thể bị xâm nhập bởi yếu tố công nghệ. Khi xảy ra, nó hoàn toàn có thể tạo ra một dạng sự kiện pháp lý kiểu như bất khả kháng, hoàn cảnh thay đổi (hardship) hoặc làm cho giao dịch bị vô hiệu. Do vậy giữa con người phục vụ, làm ra công nghệ và công nghệ phục vụ cho con người, ai, cái gì được xem là nhân tố tạo ra sự kiện pháp lý hay vô hiệu đó. Liệu con người và công nghệ, nhất là đối với các chủ thể đặc biệt như trí tuệ nhân tạo (AI), các đối tượng thuộc vòng tuần hoàn công nghệ với AI (con người làm ra AI, AI làm ra máy móc, máy móc phục vụ con người) sẽ đóng vai trò gì, có năng lực liên đới chịu trách nhiệm trong trường hợp này hay không là một trong những tiếp cận mới, khả thi nên được đặt ra để xem xét, làm rõ trong dự thảo Luật Giao dịch điện tử hiện nay. (*) Công ty luật Contracts-vn
RÀ SOÁT QUY ĐỊNH ĐẢM BẢO YÊU CẦU CÁCH MẠNG CÔNG NGHIỆP LẦN THỨ TƯ: LUẬT GIAO DỊCH ĐIỆN TỬ NĂM 2005 CÓ MỘT SỐ QUY ĐỊNH CHƯA PHÙ HỢP19/02/2021 Báo cáo tới các đại biểu Quốc hội tại Kỳ họp thứ 10, Quốc hội khóa XIV vừa qua, Bộ trưởng Bộ Tư pháp Lê Thành Long cho biết qua rà soát các quy định đảm bảo yêu cầu của cuộc Cách mạng công nghiệp lần thứ tư cho thấy Luật Giao dịch điện tử năm 2005 có một số quy định chưa phù hợp.
Bộ trưởng Bộ Tư pháp Lê Thành Long báo cáo một số nội dung tại Kỳ họp thứ 10 Theo Bộ trưởng cho biết, một số vấn đề thực tiễn chưa được quy định trong Luật Giao dịch điện tử năm 2005 hoặc có quy định nhưng chưa thực sự phù hợp. Cụ thể: Về giá trị pháp lý của chữ ký điện tử và việc chứng thực chữ ký điện tử: Khoản 1 Điều 24 Luật Giao dịch điện tử năm 2005 quy định trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu chữ ký điện tử được sử dụng để ký thông điệp dữ liệu đó đáp ứng 2 điều kiện: Phương pháp tạo chữ ký điện tử cho phép xác minh được người ký và chứng tỏ được sự chấp thuận của người ký đối với nội dung thông điệp dữ liệu; Phương pháp đó là đủ tin cậy và phù hợp với mục đích mà theo đó thông điệp dữ liệu được tạo ra và gửi đi. Tuy nhiên, giá trị pháp lý của chữ ký điện tử được quy định tại khoản 1, Điều 24 hiện nay đang chỉ phù hợp với chữ ký số. Mặt khác, pháp luật không quy định thế nào là “phương pháp đủ tin cậy và phù hợp với mục đích mà theo đó thông điệp dữ liệu được tạo ra và gửi đi”. Như vậy, Luật Giao dịch điện tử chưa quy định rõ ràng về giá trị pháp lý của chữ ký điện tử gây khó khăn và phát sinh nhiều cách hiểu khác nhau trong việc ký kết hợp đồng điện tử. Phương án xử lý là đề xuất sửa đổi khoản 1 Điều 24 Luật Giao dịch điện tử năm 2005 thành “Phương pháp ký chữ ký điện tử cho phép định danh được người ký và chứng tỏ được sự chấp thuận của người ký đối với nội dung thông điệp dữ liệu”. Đồng thời, bổ sung quy định hướng dẫn phương pháp tạo lập đủ tin cậy đối với chữ ký điện tử theo hướng quy định cụ thể các điều kiện chứng thực chữ ký điện tử. Về xác định trụ sở có mối quan hệ mật thiết nhất với giao dịch: Khoản 2 Điều 17 Luật Giao dịch điện tử năm 2005 quy định về địa điểm gửi thông điệp dữ liệu và khoản 2 Điều 19 quy định về địa điểm nhận thông điệp dữ liệu là trụ sở của người khởi tạo/người nhận nếu người khởi tạo/người nhận là cơ quan, tổ chức hoặc nơi cư trú thường xuyên của người khởi tạo/người nhận nếu người khởi tạo/người nhận là cá nhân. Trường hợp người khởi tạo/người nhận có nhiều trụ sở thì địa điểm nhận thông điệp dữ liệu là trụ sở có mối liên hệ mật thiết nhất với giao dịch. Tuy nhiên hiện nay chưa có quy định cụ thể xác định trụ sở có mối quan hệ mật thiết nhất với giao dịch. Phương án xử lý là bổ sung quy định trong Luật Giao dịch điện tử hướng dẫn cụ thể cách xác định trụ sở có mối quan hệ mật thiết nhất để làm cơ sở thực hiện giao dịch, giải quyết tranh chấp, xử lý vi phạm (nếu có) phát sinh trong quá trình thực thi hợp đồng điện tử. Về công nghệ xác thực điện tử khác mà không phải chữ ký số: Luật Giao dịch điện tử (khoản 1 Điều 21) chưa quy định cụ thể các công nghệ xác thực điện tử khác như mã OTP, mật khẩu/PIN hoặc dấu hiệu sinh trắc học (như vân tay, giọng nói, khuôn mặt) nếu gắn liền hoặc kết hợp một cách lôgíc với thông điệp dữ liệu trong giao dịch điện tử đã thực hiện và xác nhận sự chấp thuận của khách hàng thì có được coi là chữ ký điện tử hay không. Đây là các loại hình công nghệ xác thực điện tử được sử dụng khá phổ biến trong giao dịch điện tử, nhưng pháp luật hiện hành chưa quy định. Pháp luật hiện hành chỉ mới quy định cụ thể về loại hình chữ ký điện tử phù hợp với chữ ký số. Điều này dẫn đến sự hiểu lầm coi chữ ký điện tử là chữ ký số khiến cho việc áp dụng pháp luật về chữ ký điện tử trong thực tế không đúng, làm hạn chế sự phát triển của giao dịch điện tử. Phương án xử lý là sửa đổi, bổ sung Luật Giao dịch điện tử, trong đó, nghiên cứu quy định cụ thể, rõ ràng hơn về các cấp độ chữ ký điện tử, giá trị pháp lý theo từng cấp độ và các trường hợp sử dụng để quy định về chữ ký điện tử phù hợp hơn với sự đa dạng của các giao dịch điện tử; bổ sung các quy định liên quan đến các loại công nghệ mới được áp dụng trong việc định danh, xác thực danh tính của các bên tham gia giao dịch… Về quyền và nghĩa vụ của “người trung gian” trong giao dịch điện tử: Luật Giao dịch điện tử có đề cập đến “người trung gian” trong giao dịch điện tử nhưng không có quy định cụ thể về quyền và nghĩa vụ của “người trung gian” đối với giao dịch điện tử và đối với các bên trực tiếp tham gia giao dịch điện tử, đặc biệt là các nghĩa vụ liên quan đến bảo mật thông tin, gây khó khăn trong bảo đảm tính thống nhất trong quản lý giao dịch an toàn, tin cậy và bảo vệ khách hàng sử dụng dịch vụ. Ví dụ: trong lĩnh vực bảo hiểm có I-Van, tài chính có T-Van, đại lý hải quan, chứng khoán… Phương án xử lý là bổ sung quy định cụ thể trong Luật Giao dịch điện tử về quyền và nghĩa vụ của “người trung gian” trong giao dịch điện tử, đặc biệt là các quy định về nghĩa vụ bảo mật thông tin của “người trung gian” trong giao dịch điện tử. Về quy định hợp đồng điện tử chưa đầy đủ, còn nhiều bất cập: Một giao dịch điện tử (hợp đồng điện tử) là sự kết hợp của 3 thành tố: thông điệp dữ liệu cấu thành nên nội dung hợp đồng; định danh các bên tham gia hợp đồng và xác thực điện tử. Các quy định hiện tại của Luật Giao dịch điện tử năm 2005 chưa phản ánh đầy đủ 3 thành tố trên (chưa có định danh điện tử). Đồng thời, Luật Giao dịch điện tử năm 2005 không quy định cụ thể các vấn đề pháp lý liên quan đến các bước giao kết và ký kết hợp đồng mà chỉ quy định những vấn đề liên quan đến kỹ thuật của việc trao đổi trong giao kết và thực hiện hợp đồng điện tử. Ngoài ra, Luật Giao dịch điện tử năm 2005 và các văn bản hướng dẫn chưa quy định rõ ràng về giá trị pháp lý của chữ ký điện tử nên trong thực tế các tổ chức tín dụng vẫn gặp khó khăn (nhất là phát sinh nhiều cách hiểu khác nhau) trong việc triển khai các dịch vụ yêu cầu ký kết hợp đồng điện tử với khách hàng. Phương án xử lý là bổ sung các quy định trong Luật Giao dịch điện tử để giải quyết các vướng mắc trên. Đồng thời nghiên cứu, bổ sung các quy định về xác thực định danh điện tử theo hướng: áp dụng 03 mức độ đảm bảo đối với định danh điện tử (cơ bản, tiên tiến, cao). Ba mức độ đảm bảo này được xây dựng dựa trên tiêu chuẩn ISO/IEC 2915 và mức độ tin cậy (confidence level) được dựa trên hai yếu tố là: (i) bảo đảm danh tính (Identity assurance) tại thời điểm đăng ký và (ii) bảo đảm xác thực (Authentication assurance) - độ mạnh của các phương thức sử dụng trong thời điểm phê duyệt để bảo đảm sự an toàn, quyền lợi của các bên tham gia giao dịch. Về các loại chữ ký điện tử khác (không phải chữ ký số) chưa được văn bản pháp luật chuyên ngành quy định cụ thể và thực hiện trên thực tế: Luật Giao dịch điện tử thừa nhận giá trị pháp lý của cả chữ ký số và chữ ký điện tử, tuy nhiên, theo các văn bản quy phạm pháp luật chuyên ngành (nhất là thuế và kế toán), các cơ quan nhà nước chỉ thừa nhận giá trị pháp lý của chữ ký số (các văn bản được sử dụng làm chứng từ kế toán nếu sử dụng phương thức điện tử thì phải được ký bằng chữ ký số). Thêm vào đó, Chính phủ đã ban hành Nghị định số 130/2018/NĐ-CP ngày 27/9/2018 quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số trong khi không có văn bản quy định chi tiết về chữ ký điện tử mà không phải là chữ ký số. Điều này, tạo ra sự e ngại nhất định khi doanh nghiệp chuyển từ giao dịch hợp đồng truyền thống sang giao dịch hợp đồng điện tử (nếu không dùng chữ ký số). Theo Bộ trưởng cho biết, phương án xử lý vấn đề này là sửa đổi, bổ sung Luật Giao dịch điện tử, trong đó, quy định rõ hơn về giá trị pháp lý của các loại hình chữ ký điện tử mà không phải chữ ký số./. |
