Dự thảo Nghị định về định danh và xác thực điện tử

NGHỊ ĐỊNH

Quy định về định danh và xác thực điện tử

Căn cứ Luật tổ chức Chính phủ ngày 19 tháng 6 năm 2015;

Căn cứ Luật giao dịch điện tử ngày 29 tháng 11 năm 2005;

Căn cứ Luật công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Theo đề nghị của Bộ trưởng Bộ Thông tin và Truyền thông;

Chính phủ ban hành Nghị định quy định về định danh và xác thực điện tử.

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Nghị định này quy định về định danh điện tử và xác thực điện tử trong các giao dịch điện tử với cơ quan nhà nước, bao gồm việc cung cấp, quản lý và sử dụng định danh điện tử, xác thực điện tử.

Điều 2. Đối tượng áp dụng

Nghị định này áp dụng đối với các cơ quan nhà nước; các cơ quan, tổ chức và cá nhân tham gia giao dịch điện tử với cơ quan nhà nước.

Khuyến khích các cơ quan, tổ chức và cá nhân tham gia giao dịch điện tử tuân thủ các quy định tại Nghị định này.

Điều 3. Giải thích từ ngữ

Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:

1. “Định danh điện tử” là một hoặc một số thông tin để xác định duy nhất một cá nhân hoặc một tổ chức trong một giao dịch điện tử.

2. “Thông tin định danh điện tử” là các thông tin phục vụ việc xác định duy nhất một cá nhân, tổ chức trong một giao dịch điện tử.

3. “Xác thực điện tử (e-Authentication)” là việc kiểm tra định danh điện tử của cá nhân hoặc tổ chức để cho phép truy cập vào các dịch vụ hoặc tài nguyên của hệ thống thông tin.

4. “Yếu tố xác thực (Authentication factor)” là thông tin được sử dụng để xác thực điện tử, bao gồm 03 loại sau đây:

- Thông tin mà đối tượng yêu cầu xác thực biết (ví dụ: mật khẩu...);

- Thông tin mà đối tượng yêu cầu xác thực có (ví dụ: SIM điện thoại di động, USB token…);

- Thông tin thuộc về đặc điểm tự nhiên (sinh trắc học) của đối tượng (ví dụ: vân tay, mống mắt, khuôn mặt, giọng nói…).

5. “Phương tiện xác thực (Authenticator)” là phương tiện có chứa yếu tố xác thực mà cá nhân hoặc tổ chức sở hữu và kiểm soát, được sử dụng để xác thực định danh của cá nhân, tổ chức đó.

6. “Tên người sử dụng (username)”

7. “Mật khẩu (password)”

8. “Mật khẩu sử dụng một lần (One-Time Password)”

9. “Xác thực dựa trên số điện thoại (Mobile-based Authentication)”

10. “Đặc điểm sinh trắc học (Biometric)”

11. “Mức độ đảm bảo về định danh (3 mức độ)”

12. “Mức độ đảm bảo về xác thực (3 mức độ)”

13. “Tổ chức cung cấp định danh điện tử (Identity Provider)” là tổ chức quản lý và cung cấp thông tin định danh điện tử, phục vụ việc xác thực điện tử các cá nhân, tổ chức.

14. “Thuê bao” là đối tượng sử dụng dịch vụ định danh và xác thực điện tử, bao gồm cá nhân và tổ chức.

15. “Tổ chức cung cấp dịch vụ định danh và xác thực điện tử” là tổ chức cung cấp dịch vụ xác thực điện tử và thông tin định danh điện tử kèm theo.

16. “Bên tin tưởng/Bên cung cấp dịch vụ” là tổ chức, cá nhân cung cấp dịch vụ trực tuyến có sử dụng dịch vụ định danh và xác thực điện tử.

17. “Xác thực đa yếu tố” là xác thực dựa trên nhiều hơn hai yếu tố xác thực riêng biệt.

18. “Chứng thư xác thực” là một đối tượng hoặc cấu trúc dữ liệu liên kết/gắn kết một định danh điện tử với một phương tiện xác thực thuộc quyền sở hữu và kiểm soát bởi thuê bao.

Điều 4. Nguyên tắc định danh điện tử và xác thực điện tử

1. Việc định danh và xác thực điện tử theo nguyên tắc lấy người dùng làm trung tâm, trên cơ sở chia sẻ thông tin định danh giữa các hệ thống khác nhau.

2. Định danh điện tử và xác thực điện tử đảm bảo tính pháp lý cho các cá nhân, tổ chức khi thực hiện các giao dịch điện tử.

3. Một cá nhân hoặc một tổ chức có thể được định danh trên nhiều hệ thống, sử dụng các phương thức xác thực điện tử khác nhau, nhưng đều xác định chính xác và duy nhất một cá nhân hoặc một tổ chức trong đời thực.

4. Việc cấp, quản lý định danh điện tử đảm bảo tính minh bạch, đảm bảo quyền riêng tư của người được định danh điện tử. Thông tin định danh điện tử của cá nhân, tổ chức được đảm bảo an toàn, bảo mật và chỉ được cung cấp cho bên thứ ba trên cơ sở có sự đồng ý của cá nhân, tổ chức đó.

Điều 5. Các hành vi cấm trong hoạt động định danh và xác thực định danh điện tử

1. Cá nhân, tổ chức không được cung cấp thông tin giả mạo, sai sự thật khi đăng ký định danh điện tử.

2. Các cá nhân, tổ chức không được cho các cá nhân, tổ chức khác sử dụng định danh điện tử của mình để thực hiện các giao dịch điện tử.

3. Các tổ chức cung cấp định danh điện tử và các tổ chức cung cấp dịch vụ định danh và xác thực điện tử không được tiết lộ, mua bán, trao đổi thông tin định danh điện tử của thuê bao sử dụng dịch vụ định danh và xác thực điện tử.

Chương II

ĐỊNH DANH ĐIỆN TỬ

Điều 6. Giá trị pháp lý của định danh điện tử

Định danh điện tử có giá trị pháp lý trong các giao dịch điện tử tương đương với việc sử dụng giấy tờ định danh cá nhân, tổ chức trong đời thực, trừ trường hợp có quy định khác tại các luật chuyên ngành.

Điều 7. Thông tin định danh điện tử

1. Thông tin định danh điện tử đối với cá nhân bao gồm: định danh điện tử (trường khóa) và các thông tin định danh của cá nhân kèm theo, cụ thể như sau:

a) Trường khóa: là một trong các thông tin sau:

- Số chứng minh nhân dân;

- Số định danh cá nhân;

- Số hộ chiếu (đối với người nước ngoài);

- Mã số bảo hiểm xã hội;

- Mã số thuế cá nhân.

b) Các thông tin định danh cá nhân kèm theo, bao gồm:

- Họ và tên;

- Ngày sinh;

- Giới tính;

- Nơi sinh hoặc Nơi đăng ký khai sinh;

- Địa chỉ thường trú.

Các thông tin khác nếu tổ chức cung cấp định danh điện tử muốn thu thập thì cần sự cho phép của cá nhân.

2. Thông tin định danh điện tử đối với tổ chức bao gồm định danh điện tử (trường khóa) và các thông tin định danh của tổ chức kèm theo, cụ thể như sau:

a) Trường khóa: là một trong các thông tin sau:

- Mã số đơn vị có quan hệ với ngân sách.

- Mã số thuế của tổ chức.

- Trong trường hợp tổ chức không có mã số đơn vị có quan hệ với ngân sách và mã số thuế của tổ chức thì có thể đề xuất sử dụng thông tin khác.

b) Các thông tin định danh tổ chức kèm theo, bao gồm:

- Tên tổ chức;

- Tên đơn vị cấp trên trực tiếp;

- Địa chỉ;

- Tên người đại diện theo pháp luật.

Điều 8. Tổ chức cung cấp định danh điện tử và thông tin định danh điện tử (IDP)

1. Các tổ chức cung cấp định danh điện tử và thông tin định danh điện tử gốc là các tổ chức tạo lập thông tin định danh gốc của người dân, doanh nghiệp và tổ chức, bao gồm:

- Bộ Công an;

- Bộ Kế hoạch và Đầu tư;

- Bộ Tài chính;

- Bảo hiểm xã hội Việt Nam.

2. Các tổ chức cung cấp thông tin định danh điện tử là các tổ chức có khả năng cung cấp trực tuyến các thông tin định danh cá nhân, tổ chức theo quy định tại Điều 7.

3. Điều kiện cung cấp thông tin định danh điện tử

Tổ chức cung cấp thông tin định danh điện tử của cá nhân, tổ chức phải được Bộ Thông tin và Truyền thông cấp chứng nhận đủ điều kiện.

Điều 9. Điều kiện cấp chứng nhận đủ điều kiện cung cấp thông tin định danh điện tử

1. Điều kiện về chủ thể

Là cơ quan, tổ chức hoặc doanh nghiệp thành lập theo pháp luật Việt Nam.

2. Điều kiện về nhân sự

Doanh nghiệp phải có nhân sự chịu trách nhiệm: Quản trị hệ thống; Vận hành hệ thống và cung cấp thông tin định danh; Bảo đảm an toàn thông tin của hệ thống.

Các nhân sự này phải có bằng đại học trở lên, chuyên ngành an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông.

3. Điều kiện về kỹ thuật

a) Hệ thống thiết bị kỹ thuật đảm bảo yêu cầu:

- Lưu trữ đầy đủ, chính xác và cập nhật thông tin định danh của cá nhân, tổ chức phục vụ việc cung cấp thông tin định danh;

- Sao lưu, bảo vệ, khôi phục (sau sự cố) thông tin, dữ liệu nói trên;

- Có tính năng giám sát, cảnh báo, phát hiện và ngăn chặn truy nhập bất hợp pháp trên môi trường mạng;

b) Có phương án kỹ thuật đáp ứng các yêu cầu đảm bảo an toàn hệ thống thông tin và các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng đối với các hệ thống thông tin đang có hiệu lực.

c) Có các phương án kiểm soát sự ra vào trụ sở, quyền truy nhập hệ thống, quyền ra vào nơi đặt thiết bị phục vụ việc cung cấp thông tin định danh.

d) Có các phương án dự phòng đảm bảo duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra.

đ) Có phương án cung cấp trực tuyến thông tin định danh đảm bảo an toàn, bảo mật thông tin.

e) Toàn bộ hệ thống thiết bị sử dụng để cung cấp dịch vụ đặt tại Việt Nam.

g) Có trụ sở, nơi đặt máy móc, thiết bị phù hợp với yêu cầu của pháp luật về phòng, chống cháy, nổ; có khả năng chống chịu lũ, lụt, động đất, nhiễu điện từ, sự xâm nhập bất hợp pháp của con người.

h) Có quy chế vận hành công bố công khai.

4. Điều kiện về quy trình thu thập thông tin định danh

Quy trình thu thập thông tin định danh công khai, đảm bảo tính chính xác của thông tin định danh theo các mức độ đảm bảo an toàn khác nhau, được quy định tại Điều 10 Nghị định này.

Điều 10. Mức độ đảm bảo an toàn thông tin định danh điện tử (Identity Assurance Level - IAL)

1. Mức độ 1 đảm bảo an toàn thông tin định danh điện tử (IAL1): là khi thông tin định danh điện tử hoàn toàn do cá nhân, tổ chức cung cấp và các thông tin này không được xác minh hay kiểm tra.

2. Mức độ 2 đảm bảo an toàn thông tin định danh điện tử (IAL2): là khi thông tin định danh điện tử được xác minh để đảm bảo đúng với thông tin của cá nhân, tổ chức trong đời thực. Việc kiểm tra có thể được thực hiện từ xa hoặc trực tiếp gặp mặt.

3. Mức độ 3 đảm bảo an toàn thông tin định danh điện tử (IAL3): là khi thông tin định danh điện tử được kiểm tra bằng việc gặp mặt trực tiếp cá nhân, tổ chức trong đời thực.

Điều 11. Hoạt động của tổ chức cung cấp định danh điện tử và thông tin định danh điện tử

1. Hoạt động của các tổ chức cung cấp định danh điện tử và thông tin định danh điện tử gốc bao gồm:

- Tạo định danh điện tử cho các cá nhân, tổ chức đảm bảo tính duy nhất của các cá nhân, tổ chức.

- Quản lý, cập nhật và duy trì cơ sở dữ liệu gốc về định danh điện tử.

2. Hoạt động của các tổ chức cung cấp thông tin định danh điện tử:

- Tạo định danh điện tử và thông tin định danh điện tử (thứ cấp) cho các cá nhân, tổ chức dựa trên định danh điện tử và thông tin định danh điện tử gốc của cá nhân, tổ chức/

- Quản lý, cập nhật và duy trì cơ sở dữ liệu về định danh điện tử và thông tin định danh điện tử của cá nhân, tổ chức.

- So sánh, đối soát, cập nhật thông tin định danh trong cơ sở dữ liệu của mình với thông tin định danh gốc (nếu có thể).

Điều 12. Trách nhiệm và nghĩa vụ của tổ chức cung cấp định danh điện tử và thông tin định danh điện tử

1. Các tổ chức cung cấp định danh điện tử và thông tin định danh điện tử có trách nhiệm tạo lập, thu thập, lưu giữ, thông tin định danh điện tử của cá nhân, tổ chức đảm bảo an toàn, bảo mật thông tin.

2. Các tổ chức cung cấp định danh điện tử và thông tin định danh điện tử chỉ được cung cấp thông tin định danh cho bên thứ ba nếu được sự đồng ý của cá nhân, tổ chức liên quan và đảm bảo việc cung cấp thông tin là an toàn.

Điều 13. Quy định về việc sử dụng định danh điện tử và thông tin định danh điện tử

1. Cá nhân, tổ chức đăng ký sử dụng định danh điện tử và thông tin định danh điện tử phải tuân thủ các quy định của tổ chức cung cấp định danh điện tử và thông tin định danh điện tử.

2. Cá nhân, tổ chức có định danh điện tử cần cập nhật mọi thông tin định danh của mình khi có sự thay đổi.

Điều 14. Trách nhiệm và nghĩa vụ của cơ quan, tổ chức, cá nhân sử dụng định danh điện tử và thông tin định danh điện tử

1. Các cơ quan, tổ chức, cá nhân sử dụng định danh điện tử và thông tin định danh điện tử có trách nhiệm bảo mật thông tin định danh của mình, đảm bảo việc sử dụng thông tin định danh của mình đúng thẩm quyền, an toàn, bảo mật thông tin.

2. Việc sử dụng định danh điện tử và thông tin định danh điện tử phải đảm bảo tuân thủ các quy định quản lý nhà nước, các thỏa thuận với người được cung cấp dịch vụ và các bên liên quan.

Điều 15. Nguyên tắc chia sẻ thông tin định danh điện tử

1. Các tổ chức cung cấp thông tin định danh điện tử có trách nhiệm chia sẻ thông tin định danh điện tử của các cá nhân, tổ chức với các cơ quan, tổ chức cung cấp dịch vụ đối với các đối tượng liên quan để tiết kiệm ngân sách và nâng cao hiệu quả khai thác, sử dụng thông tin định danh nói chung.

2. Chính phủ ban hành cơ chế đảm bảo nguồn lực cho việc chia sẻ thông tin định danh điện tử của các tổ chức cung cấp dịch vụ xác thực định danh điện tử.

3. Thông tin định danh điện tử của tổ chức, cá nhân chỉ được cung cấp đến đúng đối tượng, sử dụng đúng mục đích.

Điều 16. Yêu cầu về cập nhật cơ sở dữ liệu thông tin định danh và quan hệ với cơ sở dữ liệu quốc gia về dân cư, cơ sở dữ liệu căn cước công dân và các cơ sở dữ liệu khác

1. Thông tin định danh điện tử cá nhân, tổ chức phải được cập nhật trên cơ sở được sự cho phép của cá nhân, tổ chức có liên quan.

2. Cơ sở dữ liệu thông tin định danh điện tử của tổ chức cung cấp thông tin định danh điện tử phải được đồng bộ với thông tin tương ứng trong cơ sở dữ liệu quốc gia về dân cư, cơ sở dữ liệu quốc gia về căn cước công dân và các cơ sở dữ liệu khác có liên quan.

3. Các hoạt động chia sẻ, trao đổi, cập nhật thông tin định danh liên quan tới cơ sở dữ liệu quốc gia về dân cư, cơ sở dữ liệu căn cước công dân và các cơ sở dữ liệu khác theo nguyên tắc cá nhân, tổ chức chỉ phải cung cấp thông tin định danh của mình một lần, cho một cơ quan nhà nước có thẩm quyền (once-only) để bảo đảm thông tin luôn được cập nhật và không có xung đột thông tin.

Điều 17. Nền tảng trao đổi, chia sẻ thông tin liên quan đến định danh điện tử và thông tin định danh điện tử

1. Các tổ chức, cá nhân sử dụng thông tin định danh điện tử và dịch vụ xác thực điện tử có thể tự xây dựng giải pháp hoặc sử dụng giải pháp trao đổi, chia sẻ thông tin liên quan đến định danh điện tử và thông tin định danh điện tử của bên thứ ba.

2. Cơ quan nhà nước sử dụng thông tin định danh điện tử và dịch vụ xác thực điện tử dựa trên nền tảng kỹ thuật chung phục vụ việc trao đổi, chia sẻ định danh điện tử và thông tin định danh điện tử.

3. Hoạt động của giải pháp hoặc nền tảng trao đổi, chia sẻ thông tin liên quan đến định danh điện tử và thông tin định danh điện tử phải tuân thủ các quy định, tiêu chuẩn kỹ thuật bảo đảm hoạt động thông suốt, minh bạch và an toàn thông tin cá nhân cho các hoạt động xác thực điện tử, chia sẻ dữ liệu liên quan đến thông tin cá nhân giữa các cơ quan, tổ chức.

Chương III

XÁC THỰC ĐIỆN TỬ VÀ DỊCH VỤ ĐỊNH DANH VÀ XÁC THỰC ĐIỆN TỬ

Điều 18. Các phương thức xác thực điện tử

1. Xác thực điện tử được thực hiện dựa trên một hoặc kết hợp một số yếu tố xác thực sau đây:

a) Xác thực điện tử dựa trên thông tin đối tượng yêu cầu xác thực biết.

b) Xác thực điện tử dựa trên thông tin đối tượng yêu cầu xác thực có.

c) Xác thực điện tử dựa trên đặc điểm của đối tượng yêu cầu xác thực (sinh trắc học).

2. Các yếu tố xác thực được sử dụng trong giao dịch điện tử của các cơ quan nhà nước:

a) Tài khoản tên người sử dụng và mật khẩu (username/password);

b) Mật khẩu sử dụng một lần (One-Time Password);

c) Số điện thoại di động;

d) Chứng thư số;

đ) Đặc điểm sinh trắc học.

Điều 19. Mức độ đảm bảo an toàn xác thực điện tử (Authenticator Assurance Level - AAL)

1. Mức độ 1 đảm bảo an toàn xác thực điện tử (AAL1): là khi thuê bao kiểm soát một phương tiện xác thực đã đăng ký, sử dụng một yếu tố xác thực.

2. Mức độ 2 đảm bảo an toàn xác thực điện tử (AAL2): là khi thuê bao kiểm soát một hoặc một số phương tiện xác thực đã đăng ký, sử dụng từ hai yếu tố xác thực trở lên.

3. Mức độ 3 đảm bảo an toàn xác thực điện tử (AAL3): là khi thuê bao kiểm soát một hoặc một số phương tiện xác thực đã đăng ký, sử dụng yếu tố xác thực dựa trên phần cứng sử dụng các giao thức mật mã để chống lại sự giả mạo.

Điều 20. Điều kiện hoạt động cung cấp dịch vụ định danh và xác thực điện tử

Tổ chức cung cấp dịch vụ định danh và xác thực điện tử được cung cấp dịch vụ khi đáp ứng các điều kiện sau:

1. Có giấy chứng nhận đủ điều kiện cung cấp thông tin định danh điện tử.

2. Có giấy chứng nhận đủ điều kiện cung cấp dịch vụ xác thực điện tử.

Điều 21. Điều kiện cung cấp dịch vụ xác thực điện tử

1. Điều kiện về chủ thể

Là cơ quan, tổ chức hoặc doanh nghiệp thành lập theo pháp luật Việt Nam.

2. Điều kiện về nhân sự

Doanh nghiệp phải có nhân sự chịu trách nhiệm: Quản trị hệ thống; Vận hành hệ thống và cung cấp thông tin định danh; Bảo đảm an toàn thông tin của hệ thống.

Các nhân sự này phải có bằng đại học trở lên, chuyên ngành an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông.

3. Điều kiện về kỹ thuật

a) Hệ thống thiết bị kỹ thuật đảm bảo yêu cầu:

- Lưu trữ đầy đủ, chính xác và cập nhật thông tin của thuê bao phục vụ việc cấp chứng thư xác thực trong suốt thời gian chứng thư xác thực có hiệu lực;

- Sao lưu, bảo vệ, khôi phục (sau sự cố) thông tin, dữ liệu nói trên;

- Lưu trữ đầy đủ, chính xác, cập nhật danh sách các chứng thư xác thực có hiệu lực, đang tạm dừng và đã hết hiệu lực;

- Có tính năng giám sát, cảnh báo, phát hiện và ngăn chặn truy nhập bất hợp pháp trên môi trường mạng;

b) Có phương án kỹ thuật đáp ứng các yêu cầu đảm bảo an toàn hệ thống thông tin và các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về hệ thống thông tin đang có hiệu lực.

c) Có các phương án kiểm soát sự ra vào trụ sở, quyền truy nhập hệ thống, quyền ra vào nơi đặt thiết bị phục vụ việc cung cấp dịch vụ định danh và xác thực điện tử.

d) Có các phương án dự phòng đảm bảo duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra.

đ) Có phương án cung cấp trực tuyến thông tin thuê bao cho cơ quan nhà nước có thẩm quyền phục vụ công tác quản lý nhà nước về dịch vụ định danh và xác thực điện tử.

e) Toàn bộ hệ thống thiết bị sử dụng để cung cấp dịch vụ đặt tại Việt Nam.

g) Có trụ sở, nơi đặt máy móc, thiết bị phù hợp với yêu cầu của pháp luật về phòng, chống cháy, nổ; có khả năng chống chịu lũ, lụt, động đất, nhiễu điện từ, sự xâm nhập bất hợp pháp của con người.

h) Có quy chế vận hành được công bố trên Internet.

Bộ Thông tin và Truyền thông quy định chi tiết Điều này cho từng yếu tố xác thực quy định tại Điều 18.

Điều 22. Hồ sơ xin cấp giấy chứng nhận

1. Đơn đề nghị cấp giấy chứng nhận đủ điều kiện cung cấp dịch vụ xác thực điện tử theo mẫu.

2. Các giấy tờ, tài liệu chứng minh việc đáp ứng các điều kiện cung cấp dịch vụ xác thực điện tử.

Điều 23. Thẩm tra hồ sơ và cấp giấy chứng nhận

Trong thời hạn 50 ngày kể từ ngày nhận được hồ sơ hợp lệ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với các Bộ, ngành có liên quan thẩm tra hồ sơ và cấp giấy chứng nhận cho tổ chức trong trường hợp đáp ứng đủ các điều kiện cung cấp dịch vụ theo Điều 21.

Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do.

Điều 24. Thời hạn giấy chứng nhận

Giấy chứng nhận cấp cho tổ chức cung cấp dịch vụ định danh và xác thực điện tử có thời hạn 10 năm.

Điều 25. Hoạt động cung cấp dịch vụ định danh và xác thực điện tử

1. Đăng ký và cấp chứng thư xác thực

Tổ chức cung cấp dịch vụ định danh và xác thực điện tử cấp chứng thư xác thực cho thuê bao sau khi kiểm tra thông tin trong hồ sơ đề nghị cấp chứng thư xác thực của thuê bao, đảm bảo là chính xác với thông tin trong giấy tờ nhân thân.

2. Tạm dừng chứng thư xác thực

a) Chứng thư xác thực của thuê bao bị tạm dừng trong các trường hợp sau đây:

- Khi thuê bao yêu cầu bằng văn bản và yêu cầu này đã được tổ chức cung cấp dịch vụ định danh và xác thực điện tử xác minh là chính xác.

- Khi tổ chức cung cấp dịch vụ định danh và xác thực điện tử phát hiện ra bất cứ sai sót nào có ảnh hưởng đến quyền lợi của thuê bao.

- Khi có yêu cầu của cơ quan tiến hành tố tụng, cơ quan công an hoặc Bộ Thông tin và Truyền thông.

- Theo điều kiện tạm dừng chứng thư xác thực đã được quy định trong hợp đồng giữa thuê bao và tổ chức cung cấp dịch vụ định danh và xác thực điện tử.

b) Khi có căn cứ tạm dừng chứng thư xác thực, tổ chức cung cấp dịch vụ định danh và xác thực điện tử phải tiến hành tạm dừng, đồng thời, thông báo ngay cho thuê bao và công bố trên cơ sở dữ liệu về chứng thư xác thực việc tạm dừng, thời gian bắt đầu và kết thúc việc tạm dừng.

c) Tổ chức cung cấp dịch vụ định danh và xác thực điện tử phải phục hồi chứng thư xác thực khi không còn căn cứ để tạm dừng hoặc thời hạn tạm dừng theo yêu cầu đã hết.

3. Thu hồi chứng thư xác thực

a) Chứng thư xác thực của thuê bao bị thu hồi trong những trường hợp sau:

- Khi thuê bao yêu cầu bằng văn bản và yêu cầu này đã được tổ chức cung cấp dịch vụ định danh và xác thực điện tử xác minh là chính xác.

- Khi thuê bao là cá nhân đã chết hoặc mất tích theo tuyên bố của tòa án hoặc thuê bao là tổ chức giải thể hoặc phá sản theo quy định của pháp luật.

- Khi có yêu cầu của cơ quan tiến hành tố tụng, cơ quan công an hoặc Bộ Thông tin và Truyền thông.

- Theo điều kiện thu hồi chứng thư xác thực đã được quy định trong hợp đồng giữa thuê bao và tổ chức cung cấp dịch vụ định danh và xác thực điện tử.

b) Khi có căn cứ thu hồi chứng thư xác thực, tổ chức cung cấp dịch vụ định danh và xác thực điện tử phải thu hồi chứng thư xác thực, đồng thời, thông báo ngay cho thuê bao và công bố trên cơ sở dữ liệu về chứng thư xác thực việc thu hồi.

Điều 26. Nghĩa vụ của tổ chức cung cấp dịch vụ định danh và xác thực điện tử

1. Nghĩa vụ đối với thuê bao

a) Đảm bảo việc sử dụng dịch vụ của thuê bao là liên tục, không bị gián đoạn trong suốt thời gian hiệu lực của chứng thư xác thực.

b) Giải quyết các rủi ro và các khoản đền bù xảy ra cho thuê bao và người nhận trong trường hợp lỗi được xác định của tổ chức cung cấp dịch vụ định danh và xác thực điện tử.

c) Đảm bảo an toàn thông tin riêng, thông tin cá nhân và thiết bị lưu trữ chứng thư xác thực cho thuê bao theo quy định của pháp luật về an toàn thông tin và pháp luật khác có liên quan.

d) Đảm bảo kênh tiếp nhận thông tin hoạt động 24 giờ trong ngày và 7 ngày trong tuần từ thuê bao liên quan đến việc sử dụng chứng thư xác thực.

đ) Xây dựng hợp đồng mẫu với thuê bao.

2. Nghĩa vụ đối với cơ quan quản lý nhà nước

a) Công bố thông tin:

Tổ chức cung cấp dịch vụ định danh và xác thực điện tử phải công khai và duy trì thông tin 24 giờ trong ngày và 7 ngày trong tuần trên trang tin điện tử của mình những thông tin sau:

- Quy chế vận hành.

- Danh sách chứng thư xác thực có hiệu lực, bị tạm dừng, bị thu hồi của thuê bao.

- Những thông tin cần thiết khác theo quy định của pháp luật.

b) Cập nhật thông tin:

Tổ chức cung cấp dịch vụ định danh và xác thực điện tử phải cập nhật các thông tin quy định tại điểm a Khoản 2 Điều này trong vòng 24 giờ khi có thay đổi.

c) Cung cấp thông tin:

Tổ chức cung cấp dịch vụ định danh và xác thực điện tử phải cung cấp trực tuyến theo thời gian thực cho cơ quan quản lý nhà nước có thẩm quyền về số lượng chứng thư xác thực đang có hiệu lực, bị tạm dừng, bị thu hồi để phục vụ công tác quản lý nhà nước về dịch vụ định danh và xác thực điện tử.

d) Lưu trữ thông tin:

Lưu trữ toàn bộ thông tin liên quan đến việc tạm đình chỉ hoặc thu hồi giấy chứng nhận và các cơ sở dữ liệu về thuê bao, chứng thư xác thực trong thời gian ít nhất 05 (năm) năm, kể từ khi giấy chứng nhận bị tạm đình chỉ hoặc thu hồi.

đ) Nộp phí, lệ phí theo quy định.

e) Báo cáo định kỳ và đột xuất theo quy định của Bộ Thông tin và Truyền thông và yêu cầu của các cơ quan nhà nước có thẩm quyền.

Chương IV

SỬ DỤNG DỊCH VỤ ĐỊNH DANH VÀ XÁC THỰC ĐIỆN TỬ

Điều 27. Đăng ký sử dụng dịch vụ định danh và xác thực điện tử

Để đăng ký sử dụng dịch vụ, tổ chức, cá nhân gửi hồ sơ cấp chứng thư xác thực của thuê bao đến tổ chức cung cấp dịch vụ định danh và xác thực điện tử.

Hồ sơ bao gồm:

1. Đơn cấp chứng thư xác thực theo mẫu của tổ chức cung cấp dịch vụ định danh và xác thực điện tử.

2. Giấy tờ kèm theo bao gồm:

a) Đối với cá nhân: chứng minh nhân dân hoặc căn cước công dân hoặc hộ chiếu.

b) Đối với tổ chức: quyết định thành lập hoặc quyết định quy định về chức năng, nhiệm vụ, quyền hạn, cơ cấu tổ chức hoặc giấy chứng nhận đăng ký doanh nghiệp hoặc giấy chứng nhận đầu tư; chứng minh nhân dân, hoặc căn cước công dân hoặc  hộ chiếu của người đại diện theo pháp luật của tổ chức.

c) Các giấy tờ khác theo quy định trong quy chế hoạt động của tổ chức cung cấp dịch vụ định danh và xác thực điện tử. Cá nhân, tổ chức có quyền lựa chọn nộp bản sao từ sổ gốc, bản sao có chứng thực hoặc nộp bản sao xuất trình kèm bản chính để đối chiếu.

Điều 28. Quyền và nghĩa vụ của thuê bao sử dụng dịch vụ định danh và xác thực điện tử

1. Có quyền yêu cầu tổ chức cung cấp dịch vụ định danh và xác thực điện tử cung cấp bằng văn bản những thông tin quy định tại khoản 1 Điều 26 Nghị định này.

2. Có quyền yêu cầu tổ chức cung cấp dịch vụ định danh và xác thực điện tử của mình tạm dừng, thu hồi chứng thư xác thực đã cấp và tự chịu trách nhiệm về yêu cầu đó.

3. Cung cấp thông tin theo quy định một cách trung thực, chính xác cho tổ chức cung cấp dịch vụ định danh và xác thực điện tử.

4. Lưu trữ và sử dụng phương tiện xác thực của mình một cách an toàn, bí mật trong suốt thời gian chứng thư xác thực của mình có hiệu lực và bị tạm dừng.

5. Thông báo ngay cho tổ chức cung cấp dịch vụ định danh và xác thực điện tử của mình nếu phát hiện thấy việc sử dụng phương tiện xác thực của mình không đảm bảo an toàn để có các biện pháp xử lý.

6. Chịu trách nhiệm trước pháp luật nếu vi phạm quy định tại các khoản 3, 4, 5 Điều này và các quy định của pháp luật khác có liên quan.

Điều 29. Quyền và nghĩa vụ của bên tin tưởng/bên cung cấp dịch vụ

1. Có quyền quyết định lựa chọn mức độ đảm bảo an toàn thông tin định danh (IAL) và mức độ đảm bảo an toàn xác thực điện tử (AAL) cho việc cung cấp dịch vụ của mình.

2. Chỉ được lưu trữ thông tin định danh khi có sự đồng ý của người sử dụng. Đảm bảo tính bảo mật và tính riêng tư của thông tin định danh điện tử của các nhân, tổ chức tham gia giao dịch.

Điều 30. Mức độ đảm bảo an toàn thông tin định danh và xác thực điện tử cho các dịch vụ công trực tuyến

1. Mức độ đảm bảo an toàn thông tin định danh

Để thực hiện các dịch vụ công trực tuyến cần mức độ 3 đảm bảo an toàn thông tin định danh (IAL3).

2. Mức độ đảm bảo an toàn xác thực điện tử

Để thực hiện các dịch vụ công trực tuyến cần mức độ 2 đảm bảo an toàn xác thực điện tử trở lên.

Điều 31. Định danh và xác thực điện tử trên Cổng dịch vụ công quốc gia và Cổng dịch vụ công của các Bộ ngành, địa phương

1. Việc định danh và xác thực điện tử đối với các tổ chức, cá nhân sử dụng dịch vụ công trực tuyến được thực hiện trên Cổng dịch vụ công quốc gia.

2. Các Cổng dịch vụ công Bộ ngành, địa phương sử dụng kết quả định danh và xác thực điện tử của Cổng dịch vụ công quốc gia để cấp quyền truy cập cho các tổ chức, cá nhân đã được định danh và xác thực.

Chương V

ĐIỀU KHOẢN THI HÀNH

Điều 32. Hiệu lực thi hành

Nghị định này có hiệu lực thi hành từ ngày ... tháng ... năm 2019.

Điều 33. Điều khoản chuyển tiếp

1. Các Bộ ngành, địa phương đang cung cấp dịch vụ công trực tuyến với các phương thức định danh và xác thực điện tử chưa đáp ứng quy định tại Nghị định này, trong 01 năm kể từ ngày Nghị định này có hiệu lực phải sửa đổi, nâng cấp hệ thống để đáp ứng các quy định tại Nghị định này.

2. Các Bộ ngành, địa phương đang cung cấp dịch vụ công trực tuyến với chức năng định danh và xác thực đã đáp ứng quy định tại Nghị định này thì có thể tiếp tục sử dụng.

Các dịch vụ công trực tuyến chưa có chức năng định danh và xác thực thì phải sử dụng chức năng định danh và xác thực trên Cổng dịch vụ công quốc gia.

Điều 34. Tổ chức thực hiện và trách nhiệm thi hành

1. Bộ Thông tin và Truyền thông

- Chủ trì, phối hợp với các Bộ ngành, địa phương, tổ chức có liên quan để triển khai Nghị định này.

- Quy định chi tiết các điều kiện cung cấp dịch vụ xác thực điện tử.

- Xây dựng dự thảo tiêu chuẩn, ban hành các quy chuẩn kỹ thuật cần thiết;

- Triển khai các hệ thống, hạ tầng kỹ thuật phục vụ công tác quản lý nhà nước về định danh điện tử và xác thực điện tử;

- Cấp giấy chứng nhận đủ điều kiện cho các tổ chức cung cấp dịch vụ định danh và xác thực điện tử.

Trong giai đoạn 2019-2020: xem xét cấp giấy chứng nhận cho các tổ chức là cơ quan nhà nước, doanh nghiệp nhà nước.

Từ năm 2021 trở đi: mở rộng cho các tổ chức thuộc khu vực tư nhân.

- Đánh giá, kiểm tra, thanh tra việc cung cấp và sử dụng dịch vụ định danh điện tử, dịch vụ cung cấp thông tin định danh điện tử và dịch vụ xác thực điện tử.

2. Văn phòng Chính phủ

Quy định chi tiết việc định danh và xác thực điện tử đối với các dịch vụ công trên Cổng dịch vụ công quốc gia.

3. Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, các tỉnh, thành phố trực thuộc trung ương.

Các Bộ ngành, địa phương khi xây dựng, triển khai các ứng dụng phục vụ giao dịch điện tử của cơ quan nhà nước phải sử dụng các phương thức xác thực điện tử được quy định tại Nghị định này để đảm bảo tính pháp lý của thông tin định danh, tính hiệu quả khi sử dụng ngân sách nhà nước và chia sẻ thông tin.

4. Trách nhiệm của các tổ chức, cá nhân có liên quan./.