Dự thảo Luật Định danh và Xác thực điện tử: Quy định và Hướng dẫn chi tiết

QUỐC HỘI —— Luật số:            /           /QH16   DỰ THẢO

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ————————— Hà Nội, ngày      tháng      năm 2026

 

 

LUẬT

ĐỊNH DANH VÀ XÁC THỰC ĐIỆN TỬ

 

Căn cứ Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam;

Quốc hội ban hành Luật Định danh và Xác thực điện tử.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Luật này quy định về hoạt động định danh và xác thực điện tử, bao gồm: đối tượng và mô hình định danh điện tử; danh tính điện tử; xác thực điện tử; dữ liệu định danh điện tử; hệ thống và nền tảng định danh và xác thực điện tử quốc gia; dịch vụ định danh và xác thực điện tử; quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân; quản lý nhà nước.

Điều 2. Đối tượng áp dụng

1. Cơ quan, tổ chức, cá nhân Việt Nam.

2. Tổ chức, cá nhân nước ngoài cư trú, hoạt động trên lãnh thổ Việt Nam.

3. Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động định danh và xác thực điện tử tại Việt Nam.

Điều 3. Giải thích từ ngữ

Trong Luật này, các từ ngữ dưới đây được hiểu như sau:

1. Danh tính điện tử là thông tin của một cá nhân, tổ chức, cơ quan hoặc đối tượng khác trong hệ thống định danh và xác thực điện tử, cho phép xác định duy nhất đối tượng đó trên môi trường điện tử.

2. Định danh điện tử là hoạt động xác lập và gắn cho một đối tượng một mã định danh duy nhất cùng tập hợp thông tin cho phép phân biệt đối tượng đó với mọi đối tượng khác trên môi trường điện tử.

3. Mã định danh là chuỗi ký tự duy nhất gắn với một đối tượng xác định, không trùng lặp, không cấp lại.

4. Mức độ bảo đảm của danh tính điện tử là cấp độ tin cậy về tính chính xác và toàn vẹn của thông tin định danh, xác định trên cơ sở phương thức thu thập, xác minh thông tin và công nghệ sử dụng trong quá trình định danh điện tử, được phân thành ba mức.

5. Xác thực danh tính điện tử là quá trình xác nhận rằng một đối tượng cụ thể đang thực sự tham gia vào một giao dịch hoặc thủ tục nhất định, tại một thời điểm và ngữ cảnh xác định.

6. Yếu tố xác thực điện tử là thông tin, dữ liệu hoặc đặc tính được sử dụng để xác minh danh tính điện tử của đối tượng, bao gồm một hoặc nhiều nhóm yếu tố:

a) Nhóm yếu tố tri thức là thông tin hoặc dữ liệu chỉ đối tượng hoặc chủ thể có thẩm quyền nắm giữ;

b) Nhóm yếu tố sở hữu là phương tiện, thiết bị hoặc vật mang dữ liệu mà chủ thể đang kiểm soát và có khả năng chứng minh quyền kiểm soát tại thời điểm xác thực;

c) Nhóm yếu tố đặc trưng là đặc điểm tự nhiên, vật lý hoặc kỹ thuật số gắn liền không thể tách rời với đối tượng.

7. Phương thức xác thực điện tử là quy trình kỹ thuật xác định trình tự trao đổi và kiểm chứng thông tin trong hoạt động xác thực, nhằm chứng minh đối tượng đang sở hữu và kiểm soát một hoặc nhiều yếu tố xác thực hợp lệ.

8. Mức độ xác thực điện tử là cấp độ bảo đảm về độ tin cậy của kết quả xác thực, phản ánh khả năng khẳng định chính xác đối tượng tham gia giao dịch đúng là đối tượng được định danh, xác định trên cơ sở loại, số lượng yếu tố và phương thức xác thực điện tử.

9. Chứng thư điện tử xác nhận thông tin là thông điệp dữ liệu xác nhận tính chính xác của một hoặc một số thuộc tính gắn với chủ thể hoặc đối tượng được định danh, được ký số bởi cơ quan, tổ chức hoặc cá nhân có thẩm quyền xác nhận thuộc tính đó và có thể kiểm chứng độc lập.

10. Phương tiện xác thực điện tử là thiết bị, phần mềm hoặc vật mang dữ liệu do chủ thể nắm giữ, có chức năng tạo ra, lưu trữ hoặc truyền dẫn yếu tố xác thực, bao gồm cả phương tiện có khả năng lưu trữ và xuất trình chứng thư điện tử xác nhận thông tin.

11. Hệ thống định danh và xác thực điện tử quốc gia là nền tảng số quốc gia gồm Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử, Nền tảng định danh và xác thực điện tử, Ứng dụng định danh quốc gia, Giao diện lập trình ứng dụng mở và các thành phần khác theo quy định của Chính phủ.

12. Nền tảng định danh và xác thực điện tử là thành phần của Hệ thống định danh và xác thực điện tử quốc gia, có chức năng trao đổi, kết nối và tích hợp thông tin định danh điện tử giữa Hệ thống định danh và xác thực điện tử quốc gia với hệ thống thông tin của cơ quan, tổ chức, cá nhân.

13. Bên cấp chứng thư điện tử xác nhận thông tin là cơ quan nhà nước, tổ chức hoặc cá nhân có thẩm quyền xác minh và xác nhận tính chính xác của một hoặc nhiều thuộc tính của chủ thể hoặc đối tượng được định danh, thực hiện ký số để tạo lập chứng thư điện tử xác nhận thông tin và duy trì cơ chế kiểm tra hiệu lực. Việc xác định thẩm quyền xác minh và xác nhận dữ liệu thực hiện theo quy định của pháp luật về dữ liệu và pháp luật chuyên ngành có liên quan.

14. Bên kiểm chứng là cơ quan, tổ chức hoặc cá nhân tiếp nhận và kiểm tra tính hợp lệ của chứng thư điện tử xác nhận thông tin được chủ thể xuất trình trong giao dịch hoặc thủ tục pháp lý.

15. Bên sử dụng dịch vụ xác thực điện tử là cơ quan nhà nước, tổ chức hoặc cá nhân có nhu cầu xác minh danh tính điện tử của đối tượng trong giao dịch hoặc thủ tục pháp lý, có quyền yêu cầu và sử dụng kết quả xác thực trong phạm vi mục đích đã xác định.

16. Chủ thể danh tính điện tử là cơ quan, tổ chức, cá nhân được xác định gắn với danh tính điện tử của cơ quan, tổ chức, cá nhân đó; hoặc là cơ quan, tổ chức, cá nhân sở hữu, quản lý các đối tượng khác được định danh điện tử theo quy định của Luật này.

17. Tổ chức cung cấp dịch vụ định danh và xác thực điện tử là tổ chức đáp ứng điều kiện theo quy định của Luật này để cung cấp dịch vụ định danh điện tử, dịch vụ xác thực điện tử.

18. Truy vết danh tính điện tử là việc xác thực điện tử một đối tượng và các đối tượng, chủ thể được liên kết danh tính điện tử với đối tượng đó theo trình tự thời gian, từ khi tạo lập danh tính đến thời điểm có yêu cầu truy vết, nhằm xác lập lịch sử về nguồn gốc, biến động và quan hệ liên kết của đối tượng.

Điều 4. Nguyên tắc định danh và xác thực điện tử

1. Bảo đảm chủ quyền quốc gia, bao gồm chủ quyền công nghệ và chủ quyền dữ liệu.

2. Tuân thủ Hiến pháp, pháp luật; bảo đảm quyền con người, quyền công dân, quyền về đời sống riêng tư và bảo vệ dữ liệu cá nhân.

3. Bảo đảm mỗi đối tượng có một danh tính điện tử duy nhất, chính xác, đầy đủ, cập nhật kịp thời. Không thu thập lại dữ liệu đã có trong cơ sở dữ liệu quốc gia, chuyên ngành.

4. Thu thập, xử lý dữ liệu phải có mục đích hợp pháp, giới hạn phạm vi cần thiết, tuân thủ pháp luật về bảo vệ dữ liệu cá nhân.

5. Bảo đảm an ninh, an toàn thông tin ở mức cao nhất; phòng chống giả mạo, gian lận danh tính; bảo vệ bí mật nhà nước.

6. Bảo đảm kết nối, liên thông có kiểm soát; tương thích với tiêu chuẩn quốc gia và thông lệ quốc tế.

7. Bảo đảm chất lượng dịch vụ với chi phí thấp nhất cho tổ chức, cá nhân trên cơ sở thỏa mãn các yêu cầu về chủ quyền, an ninh, an toàn và chất lượng.

8. Bảo đảm công khai, minh bạch, đơn giản, thuận tiện.

9. Tham gia định danh điện tử là tự nguyện, trừ trường hợp pháp luật chuyên ngành quy định bắt buộc.

10. Bảo đảm trách nhiệm giải trình của cơ quan, tổ chức thực hiện hoạt động định danh và xác thực điện tử; phải ghi nhận, lưu vết và chịu trách nhiệm về kết quả xử lý; bảo đảm khả năng truy vết, kiểm tra và giám sát độc lập đối với toàn bộ quá trình định danh và xác thực điện tử.

Điều 5. Nguyên tắc áp dụng Luật

1. Trường hợp luật khác ban hành trước ngày Luật Định danh và Xác thực điện tử có hiệu lực thi hành có quy định các hoạt động liên quan về định danh và xác thực điện tử mà không trái với nguyên tắc của Luật này thì thực hiện theo quy định của luật đó.

2. Trường hợp luật khác ban hành sau ngày Luật Định danh và Xác thực điện tử có hiệu lực thi hành có quy định khác với quy định của Luật Định danh và Xác thực điện tử thì phải xác định cụ thể nội dung thực hiện hoặc không thực hiện theo quy định của Luật này và nội dung thực hiện theo quy định của luật khác đó.

Điều 6. Các hành vi bị nghiêm cấm

1. Giả mạo, chiếm đoạt, mua bán, cho thuê, cho mượn danh tính điện tử.

2. Thu thập, sử dụng, tiết lộ, chia sẻ trái phép dữ liệu định danh điện tử.

3. Can thiệp, phá hoại, làm gián đoạn Hệ thống định danh và xác thực điện tử quốc gia.

4. Lợi dụng định danh và xác thực điện tử để vi phạm pháp luật.

5. Cung cấp dịch vụ khi chưa đáp ứng điều kiện theo quy định của Luật này.

6. Sử dụng sinh trắc giả, hình ảnh giả tạo bằng công nghệ hoặc gian lận công nghệ khác để giả mạo danh tính.

7. Cản trở quyền kiểm soát dữ liệu của chủ thể định danh điện tử.

8. Truy cập trái phép, sao chép, thay đổi, phá hoại dữ liệu trong Hệ thống định danh và xác thực điện tử quốc gia.

9. Chuyển giao quyền quản trị, vận hành Hệ thống định danh và xác thực điện tử quốc gia, Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử hoặc dữ liệu trong Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử cho tổ chức, cá nhân nước ngoài, trừ trường hợp thực hiện điều ước quốc tế.

10. Tạo lập danh tính điện tử sai lệch cho tài sản, liên kết sai thông tin chủ thể sở hữu hoặc quản lý tài sản nhằm mục đích gian lận giao dịch, che giấu nguồn gốc tài sản hoặc trốn tránh nghĩa vụ pháp lý.

Chương II

ĐỊNH DANH VÀ DANH TÍNH ĐIỆN TỬ

Điều 7. Đối tượng định danh điện tử

1. Cơ quan, tổ chức, cá nhân.

2. Các đối tượng tồn tại dưới dạng vật chất: sản phẩm, hàng hóa, thiết bị và các loại tài sản, vật chất khác.

3. Các đối tượng tồn tại dưới dạng phi vật chất:

a) Dữ liệu và tài nguyên số: cơ sở dữ liệu, tệp dữ liệu, hình ảnh, video, các dữ liệu và tài nguyên số khác;

b) Tên miền, địa chỉ mạng, ứng dụng, phần mềm và các dịch vụ số;

c) Quyền tài sản và quyền sở hữu trí tuệ: quyền tác giả, quyền liên quan; sáng chế, nhãn hiệu, kiểu dáng công nghiệp; các quyền tài sản khác theo quy định pháp luật;

d) Tài sản số theo quy định của pháp luật về công nghiệp công nghệ số;

đ) Di sản văn hóa phi vật thể;

e) Các đối tượng phi vật chất khác theo quy định pháp luật.

4. Hoạt động, sự kiện, giao dịch, hành vi, tương tác giữa các đối tượng.

5. Địa điểm và không gian.

6. Chính phủ quy định chi tiết danh mục các đối tượng và Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ quản lý.

Điều 8. Mô hình thực hiện hoạt động định danh điện tử

1. Cơ quan nhà nước trong phạm vi chức năng, nhiệm vụ, quyền hạn của mình thực hiện hoạt động định danh điện tử đối với các đối tượng sau:

a) Đối tượng theo quy định tại khoản 1 và khoản 5 Điều 7 của Luật này;

b) Đối tượng mà thông tin định danh thuộc phân loại dữ liệu cốt lõi hoặc dữ liệu quan trọng theo quy định của Luật Dữ liệu;

c) Đối tượng được cơ quan có thẩm quyền chứng nhận quyền sở hữu hoặc sử dụng; đối tượng là sản phẩm hàng hóa có mức độ rủi ro cao theo quy định pháp luật về chất lượng, sản phẩm hàng hóa và đối tượng khác theo quy định của Chính phủ;

d) Đối tượng thuộc bí mật nhà nước do cơ quan quản lý bí mật nhà nước quyết định việc thực hiện định danh.

2. Tổ chức, doanh nghiệp đủ điều kiện được cấp giấy chứng nhận thực hiện hoạt động định danh điện tử đối với các đối tượng không thuộc khoản 1 Điều này theo mô hình gồm:

a) Nhà nước đầu tư, thiết lập hệ thống, nền tảng và cơ sở hạ tầng; tổ chức, doanh nghiệp thực hiện quản trị và tổ chức triển khai hoạt động định danh điện tử trên nền tảng đó;

b) Tổ chức, doanh nghiệp đáp ứng điều kiện theo quy định của Luật này thực hiện toàn bộ hoạt động định danh và xác thực điện tử.

Điều 9. Hoạt động định danh điện tử

1. Hoạt động định danh điện tử bao gồm các giai đoạn trong vòng đời danh tính điện tử:

a) Đăng ký định danh điện tử;

b) Thu thập, tạo lập, kiểm tra, đối soát và chuẩn hóa thông tin;

c) Cấp mã định danh điện tử;

d) Lưu trữ, cập nhật thông tin về danh tính điện tử;

đ) Khai thác và sử dụng danh tính điện tử;

e) Tạm dừng hiệu lực danh tính điện tử;

g) Chấm dứt hiệu lực của danh tính điện tử;

h) Liên kết danh tính điện tử.

2. Hoạt động định danh điện tử đối với đối tượng quy định tại khoản 1 Điều 7 của Luật này phải bảo đảm danh tính điện tử có khả năng xác định duy nhất chủ thể, tương thích với thông tin nhân thân và thông tin pháp lý do cơ quan nhà nước có thẩm quyền xác lập và không được chuyển nhượng.

3. Hoạt động định danh điện tử đối với đối tượng quy định tại khoản 2, 3 và 5 Điều 7 của Luật này phải bảo đảm danh tính điện tử của đối tượng có khả năng liên kết với danh tính điện tử của chủ thể sở hữu hoặc quản lý hợp pháp. Việc liên kết bắt buộc được thực hiện khi đối tượng tham gia giao dịch hoặc thủ tục pháp lý theo quy định tại Điều 19 của Luật này.

4. Hoạt động định danh điện tử đối với đối tượng quy định tại khoản 4 Điều 7 của Luật này phải bảo đảm danh tính điện tử có khả năng liên kết với danh tính điện tử của tất cả các bên tham gia, bao gồm thông tin về thời gian, địa điểm và ngữ cảnh xảy ra.

Điều 10. Đăng ký định danh điện tử

1. Đăng ký định danh điện tử là quá trình gửi yêu cầu đăng ký và cung cấp thông tin đăng ký định danh điện tử của chủ thể danh tính điện tử với cơ quan, tổ chức thực hiện hoạt động định danh điện tử.

2. Hình thức, phương thức thực hiện việc đăng ký định danh điện tử:

a) Trực tuyến thông qua phần mềm, ứng dụng;

b) Trực tiếp tại các địa điểm do cơ quan, tổ chức thực hiện hoạt động định danh điện tử hướng dẫn.

3. Cơ quan, tổ chức thực hiện hoạt động định danh điện tử có thể cung cấp một hoặc cả hai phương thức quy định tại điểm a, điểm b khoản 2 Điều này.

4. Cơ quan, tổ chức thực hiện hoạt động định danh điện tử phải công khai điều kiện, trình tự, thủ tục, hình thức, phương thức thực hiện việc đăng ký định danh điện tử trên trang thông tin điện tử quốc gia về định danh và xác thực điện tử hoặc trên ứng dụng định danh quốc gia.

Điều 11. Thu thập, kiểm tra, đối soát và chuẩn hóa thông tin về đối tượng

1. Nguồn thu thập, cập nhật, điều chỉnh thông tin:

a) Cơ sở dữ liệu quốc gia và cơ sở dữ liệu chuyên ngành;

b) Thông tin do chủ thể danh tính điện tử cung cấp;

c) Thu thập trực tiếp đặc điểm tự nhiên, cấu tạo thành phần, đặc tính về đối tượng.

2. Xử lý, chuẩn hóa thông tin:

a) Kiểm tra, đối chiếu và xác minh đảm bảo chính xác thông tin được thu thập, cập nhật, điều chỉnh tại khoản 1 Điều này;

b) Chuẩn hóa định dạng dữ liệu;

c) Tìm kiếm, lọc trùng dữ liệu;

d) Xác minh mối quan hệ sở hữu, quản lý của chủ thể danh tính điện tử với đối tượng được định danh điện tử;

đ) Các hoạt động xử lý, chuẩn hóa dữ liệu khác theo quy định pháp luật về dữ liệu, an ninh mạng.

3. Cơ quan, tổ chức thực hiện hoạt động định danh điện tử chịu trách nhiệm bảo đảm tính chính xác của các thông tin được thu thập, xử lý, chuẩn hóa.

4. Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân cấp tỉnh ban hành hướng dẫn chi tiết về thu thập, xử lý, chuẩn hóa thông tin về định danh điện tử đối với các đối tượng thuộc phạm vi mình quản lý.

Điều 12. Cấp mã định danh

1. Mã định danh bao gồm:

a) Mã định danh quốc gia được cấp cho đối tượng tại khoản 1 Điều 8 Luật này thông qua hệ thống định danh và xác thực điện tử quốc gia thống nhất sử dụng trong phạm vi toàn quốc và liên thông quốc tế. Mỗi đối tượng được cấp 01 mã định danh quốc gia;

b) Mã định danh tự chủ được cấp cho đối tượng tại khoản 2 Điều 8 Luật này thông qua hệ thống định danh và xác thực điện tử do tổ chức cung cấp dịch vụ định danh và xác thực điện tử quản lý, vận hành. Mỗi đối tượng được cấp 01 mã định danh tự chủ do một tổ chức cung cấp dịch vụ định danh điện tử cấp. 

2. Đối với đối tượng định danh quy định tại khoản 2, 3 và 5 Điều 7 của Luật này, mã định danh của đối tượng được định danh phải có khả năng liên kết với mã định danh của chủ thể sở hữu hoặc quản lý hợp pháp.

3. Mỗi đối tượng chỉ được cấp một mã định danh quốc gia hoặc mã định danh tự chủ. Việc cấp mã định danh phải bảo đảm nguyên tắc duy nhất, không trùng lặp theo quy định tại khoản 3 Điều 3 của Luật này.

4. Cấu trúc mã định danh:

a) Bộ Công an chủ trì, phối hợp với Bộ, cơ quan ngang Bộ quy định chi tiết về cấu trúc mã định danh quốc gia, bảo đảm phù hợp với đặc thù lĩnh vực do các Bộ, cơ quan ngang Bộ quản lý;

b) Tổ chức cung cấp dịch vụ định danh quy định về cấu trúc mã định danh tự chủ và công bố trên trang thông tin về định danh và xác thực điện tử.

Điều 13. Phân loại danh tính điện tử

1. Danh tính điện tử quốc gia là danh tính điện tử của đối tượng được cấp mã định danh quốc gia.

2. Danh tính điện tử tự chủ là danh tính điện tử của các đối tượng được cấp mã định danh tự chủ. Tổ chức thực hiện hoạt động định danh điện tử quy định chi tiết về các trường thông tin trong danh tính điện tử của các đối tượng được cấp mã định danh tự chủ.

3. Danh tính điện tử tự chủ phải được đồng bộ với Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử tại các thời điểm sau:

a) Khi tạo lập danh tính điện tử;

b) Khi có thay đổi thông tin danh tính điện tử;

c) Khi tạm dừng, chấm dứt hiệu lực danh tính điện tử.

4. Thủ tướng Chính phủ ban hành Khung danh tính điện tử quốc gia.

Điều 14. Lưu trữ thông tin về danh tính điện tử

1. Danh tính điện tử quốc gia được lưu trữ tập trung tại Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử;

2. Danh tính điện tử tự chủ được lưu trữ theo phương án do tổ chức cung cấp dịch vụ định danh điện tử quyết định.

3. Việc lưu trữ danh tính điện tử đảm bảo các nguyên tắc sau:

a) Thông tin danh tính điện tử phải được lưu trữ đầy đủ, nhất quán, không bị thay đổi trái phép trong suốt quá trình quản lý, sử dụng;

b) Có phương án sao lưu, phục hồi và dự phòng theo quy định của pháp luật;

c) Cơ quan, tổ chức thực hiện hoạt động định danh điện tử cung cấp danh tính điện tử tự chủ tại khoản 2 Điều này phải cung cấp phương thức để chủ thể danh tính điện tử lưu trữ, kiểm soát, chia sẻ, xác thực danh tính điện tử độc lập sau khi thực hiện hoạt động định danh điện tử mà không phụ thuộc vào cơ sở dữ liệu tập trung;

d) Mọi thay đổi đối với thông tin danh tính điện tử phải được ghi nhận đầy đủ kèm dấu thời gian, mã định danh của cơ quan, tổ chức, cá nhân thực hiện thay đổi và lý do thay đổi.

4. Thời gian lưu trữ danh tính điện tử được quy định như sau:

a) Đối với danh tính điện tử quốc gia được lưu trữ vĩnh viễn trong cơ sở dữ liệu quốc gia về định danh và xác thực điện tử;

b) Đối với danh tính điện tử tự chủ: thời gian lưu trữ tối thiểu 05 năm, trừ trường hợp trường hợp pháp luật khác có yêu cầu phải xóa dữ liệu.

Điều 15. Cập nhật thông tin về danh tính điện tử

1. Thông tin về danh tính điện tử quốc gia được tự động đồng bộ, cập nhật từ các Cơ sở dữ liệu quốc gia, Cơ sở dữ liệu chuyên ngành và các cơ sở dữ liệu khác ngay khi có thay đổi.

2. Cơ quan, tổ chức thực hiện hoạt động định danh điện tử có trách nhiệm rà soát, cập nhật thông tin về danh tính điện tử bảo đảm chính xác, kịp thời theo quy định pháp luật về dữ liệu.

3. Đối với danh tính điện tử của đối tượng quy định tại khoản 2, 3 và 5 Điều 7 của Luật này, thông tin về thay đổi chủ sở hữu, tình trạng pháp lý phải được cập nhật đồng bộ vào danh tính điện tử của đối tượng.

Điều 16. Khai thác danh tính điện tử dựa trên mức độ bảo đảm và giá trị sử dụng

1. Danh tính điện tử được đảm bảo khi được thu thập, kiểm tra, đối chiếu với cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành hoặc dữ liệu do chủ thể danh tính điện tử cung cấp; việc xác minh danh tính được thực hiện thông qua kiểm tra, đối chiếu yếu tố đặc điểm nhận dạng hoặc yếu tố kỹ thuật đặc trưng gắn liền với đối tượng được định danh điện tử.

2. Giá trị sử dụng của danh tính điện tử:

a) Đối với đối tượng quy định tại khoản 1 Điều 7 của Luật này: danh tính điện tử có giá trị pháp lý tương đương việc cung cấp thông tin hoặc sử dụng, xuất trình giấy tờ, tài liệu có chứa thông tin đó trong thực hiện thủ tục hành chính, dịch vụ công, các giao dịch và hoạt động khác.

b) Đối với đối tượng quy định tại khoản 2 và khoản 3 Điều 7 của Luật này: danh tính điện tử có giá trị cung cấp thông tin về đối tượng được định danh tương đương việc xuất trình các giấy tờ, tài liệu chứng minh quyền sở hữu, quyền quản lý hợp pháp của chủ thể danh tính điện tử đối với đối tượng đó;

c) Đối với đối tượng quy định tại khoản 4 Điều 7 của Luật này: danh tính điện tử có giá trị cung cấp thông tin ghi nhận về danh tính điện tử của các đối tượng và sự kiện, hoạt động, giao dịch, hành vi, tương tác giữa các đối tượng tại thời gian, địa điểm được xác định;

d) Đối với đối tượng quy định tại khoản 5 Điều 7 của Luật này: danh tính điện tử có giá trị xác định, định vị và phân biệt địa điểm, không gian được định danh trên môi trường điện tử.

3. Danh tính điện tử quốc gia được khai thác và sử dụng như sau:

a) Cơ quan, tổ chức, cá nhân khai thác, sử dụng danh tính điện tử của mình và các đối tượng thuộc sở hữu của mình thông qua việc truy cập ứng dụng định danh quốc gia;

b) Hệ thống thông tin của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội, tổ chức cung cấp dịch vụ công kết nối với Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử để khai thác thông tin về danh tính điện tử phục vụ giải quyết thủ tục hành chính, dịch vụ công trên môi trường điện tử và các hoạt động quản lý nhà nước khác theo chức năng, nhiệm vụ được giao qua nền tảng định danh và xác thực điện tử.

4. Danh tính điện tử tự chủ được khai thác và sử dụng như sau:

a) Các cơ quan, tổ chức thực hiện khai thác danh tính điện tử, tài khoản định danh điện tử qua tổ chức cung cấp dịch vụ định danh và xác thực điện tử trong trường hợp chủ thể có thỏa thuận với tổ chức cung cấp dịch vụ định danh điện tử về việc lưu trữ và khai thác danh tính điện tử tự chủ tại hệ thống của tổ chức này;

b) Chủ thể của danh tính tự chủ có quyền quyết định việc khai thác, sử dụng thông tin về danh tính điện tử của mình và các đối tượng mình sở hữu, quản lý.

5. Chính phủ quy định chi tiết Điều này.

Điều 17. Tạm dừng hiệu lực danh tính điện tử

1. Danh tính điện tử bị tạm dừng hiệu lực trong các trường hợp sau:

a) Chủ thể danh tính điện tử yêu cầu tạm dừng;

b) Cơ quan, tổ chức thực hiện hoạt động định danh điện tử phát hiện thông tin danh tính điện tử bị chỉnh sửa, sử dụng trái phép;

c) Cơ quan tiến hành tố tụng, cơ quan khác có thẩm quyền yêu cầu theo quy định của pháp luật;

2. Trong thời gian tạm dừng hiệu lực, danh tính điện tử không có giá trị sử dụng trong các giao dịch điện tử cho đến khi được khôi phục theo quy định.

3. Việc khôi phục hiệu lực danh tính điện tử được thực hiện khi lý do tạm dừng không còn tồn tại hoặc đã được khắc phục. Chủ thể danh tính điện tử được thông báo về việc tạm dừng, lý do tạm dừng và phương thức khôi phục danh tính điện tử của các đối tượng mình quản lý, sở hữu.

4. Chính phủ quy định chi tiết về thẩm quyền, trình tự, thủ tục tạm dừng và khôi phục hiệu lực danh tính điện tử.

Điều 18. Chấm dứt hiệu lực của danh tính điện tử

1. Các trường hợp chấm dứt hiệu lực của danh tính điện tử:

a) Chủ thể danh tính điện tử yêu cầu;

b) Cá nhân được định danh điện tử chết;

c) Tổ chức, doanh nghiệp được định danh điện tử chấm dứt hoạt động, giải thể hoặc phá sản theo quy định của pháp luật;

d) Đối với danh tính điện tử của đối tượng quy định tại khoản 2, 3 và 4 Điều 7 của Luật này, chấm dứt khi đối tượng không còn tồn tại;

đ) Cơ quan tiến hành tố tụng, cơ quan khác có thẩm quyền yêu cầu theo quy định của pháp luật;

2. Dữ liệu về danh tính điện tử của các đối tượng sau khi chấm dứt được lưu trữ tối thiểu 05 năm từ thời điểm chấm dứt, trừ trường hợp pháp luật chuyên ngành có quy định khác.

3. Chính phủ quy định chi tiết điều này.

Điều 19. Liên kết danh tính điện tử

1. Liên kết danh tính điện tử là liên kết thông tin mã định danh của đối tượng này với danh tính điện tử của đối tượng khác, tạo thành quan hệ liên kết có thể xác minh được.

2. Các đối tượng quy định tại khoản 2, 3 và 4 Điều 7 của Luật này bắt buộc phải liên kết danh tính điện tử với danh tính của tất cả cá nhân, tổ chức có quyền sở hữu hoặc quản lý hợp pháp đối tượng đó.

3. Các hoạt động, sự kiện, giao dịch, hành vi, tương tác quy định tại khoản 5 Điều 7 của Luật này bắt buộc phải liên kết danh tính điện tử với danh tính điện tử của tất cả các đối tượng tham gia và gắn dấu thời gian xác nhận thời điểm, địa điểm xảy ra.

4. Danh tính điện tử của đối tượng sau khi bị chấm dứt theo quy định tại Điều 18 của Luật này, nếu được sử dụng, tạo lập ra đối tượng khác thì tiếp tục được liên kết danh tính điện tử với đối tượng mới, bảo đảm truy vết được lịch sử danh tính điện tử.

Chương III

XÁC THỰC ĐIỆN TỬ

Điều 20. Đối tượng xác thực điện tử

Mọi đối tượng đã được định danh điện tử theo quy định của Luật này đều là đối tượng xác thực điện tử.

Điều 21. Mô hình thực hiện hoạt động xác thực điện tử

Mô hình thực hiện hoạt động xác thực điện tử bao gồm:

1. Mô hình xác thực tập trung: bên sử dụng dịch vụ xác thực điện tử thông qua cơ quan, tổ chức thực hiện hoạt động định danh điện tử để yêu cầu xác thực điện tử.

2. Mô hình xác thực trung gian: bên sử dụng dịch vụ xác thực điện tử thông qua tổ chức cung cấp dịch vụ xác thực điện tử để yêu cầu xác thực điện tử.

3. Mô hình xác thực tự chủ: bên sử dụng dịch vụ xác thực điện tử trực tiếp kiểm chứng thông qua thông tin có thể kiểm chứng độc lập do chủ thể danh tính điện tử cung cấp mà không cần kết nối đến hệ thống của cơ quan, tổ chức thực hiện hoạt động định danh điện tử tại thời điểm xác thực.

Điều 22. Hoạt động xác thực điện tử

1. Hoạt động xác thực điện tử đối với danh tính điện tử quốc gia theo quy định tại khoản 1 Điều 13 Luật này bao gồm các giai đoạn:

a) Tiếp nhận yêu cầu và xác định đối tượng xác thực theo quy định tại Điều 23 của Luật này;

b) Xác định mức độ xác thực và lựa chọn phương tiện xác thực theo quy định tại Điều 24 và Điều 25 của Luật này;

c) Thu thập yếu tố xác thực theo quy định tại khoản 3 Điều 25 của Luật này;

d) Kiểm tra phương tiện xác thực theo quy định tại Điều 26 của Luật này;

đ) Ghi nhận và lưu trữ kết quả xác thực theo quy định tại Điều 27 của Luật này;

e) Sử dụng kết quả xác thực theo quy định tại Điều 28 của Luật này.

2. Hoạt động xác thực điện tử đối với danh tính điện tử tự chủ theo quy định tại khoản 2 Điều 13 Luật này do bên sử dụng dịch vụ xác thực điện tử thực hiện, bao gồm các giai đoạn:

a) Xác định mức độ xác thực và lựa chọn phương tiện xác thực theo quy định tại Điều 24 và Điều 25 của Luật này;

b) Kiểm tra phương tiện xác thực theo quy định tại Điều 26 của Luật này;

c) Ghi nhận và lưu trữ kết quả xác thực theo quy định tại Điều 27 của Luật này;

d) Sử dụng kết quả xác thực theo quy định tại Điều 28 của Luật này.

3. Trường hợp giao dịch yêu cầu xác thực thêm thông tin ngoài kết quả xác thực danh tính điện tử, chủ thể danh tính điện tử được xuất trình chứng thư điện tử xác nhận thông tin theo quy định tại Điều 29 của Luật này cho bên sử dụng dịch vụ xác thực điện tử để xác thực thông tin.

4. Việc xác thực danh tính điện tử của đối tượng quy định tại khoản 2, 3, 4 và 5 Điều 7 của Luật này phải bao gồm xác thực đồng thời thông tin liên kết với danh tính điện tử của chủ thể sở hữu hoặc quản lý hợp pháp và tất cả các bên tham gia liên quan đến đối tượng đó.

5. Chính phủ quy định chi tiết Điều này.

Điều 23. Tiếp nhận yêu cầu và xác định đối tượng xác thực

1. Thông tin của một yêu cầu xác thực trong trường hợp xác thực điện tử theo mô hình tại khoản 1, khoản 2 Điều 21 Luật này phải bao gồm:

a) Mã định danh của đối tượng cần xác thực;

b) Mục đích xác thực;

c) Thông tin trong danh tính điện tử cần xác thực;

d) Mức độ xác thực;

đ) Lĩnh vực áp dụng.

2. Bên sử dụng dịch vụ xác thực xác định loại đối tượng cần xác thực theo quy định tại Điều 20 của Luật này. Tổ chức cung cấp dịch vụ định danh và xác thực điện tử có trách nhiệm tiếp nhận yêu cầu và cung cấp kết quả xác thực theo thỏa thuận cung cấp dịch vụ.

3. Tổ chức cung cấp dịch vụ định danh và xác thực điện tử chỉ được thu thập thông tin tối thiểu và kiểm tra yếu tố xác thực thông qua phương tiện xác thực tối thiểu cần thiết cho mục đích giao dịch cụ thể, không được yêu cầu vượt quá phạm vi cần thiết.

Điều 24. Xác định mức độ xác thực điện tử

1. Mức độ xác thực điện tử bao gồm:

a) Mức độ 1: sử dụng một yếu tố xác thực;

b) Mức độ 2: sử dụng hai yếu tố xác thực thuộc nhóm yếu tố tri thức và yếu tố sở hữu;

c) Mức độ 3: sử dụng tối thiểu hai yếu tố xác thực, trong đó có ít nhất một yếu tố thuộc nhóm yếu tố đặc trưng.

2. Bên sử dụng dịch vụ xác thực quyết định lựa chọn mức độ xác thực phù hợp với tính chất giao dịch.

3. Chính phủ quy định chi tiết tiêu chí kỹ thuật, yêu cầu về phương thức xác thực điện tử, quy trình xác thực cho từng mức độ và danh mục giao dịch bắt buộc áp dụng mức độ xác thực tối thiểu.

Điều 25. Lựa chọn phương tiện xác thực điện tử

1. Phương tiện xác thực điện tử phải tương ứng với mức độ xác thực theo quy định tại Điều 24 và phù hợp với mô hình xác thực quy định tại Điều 21 của Luật này. Việc sử dụng phương tiện xác thực được quy định như sau:

a) Đối với mô hình xác thực tập trung: phương tiện xác thực phải có khả năng thiết lập kết nối trực tuyến với Hệ thống của cơ quan, tổ chức thực hiện hoạt động định danh điện tử để đối chiếu, xác nhận yếu tố xác thực tại thời điểm giao dịch;

b) Mô hình xác thực trung gian: phương tiện xác thực hỗ trợ lưu trữ và chuyển tiếp các thông tin xác thực, kết quả xác thực đã được cơ quan, tổ chức thực hiện hoạt động xác thực điện tử xác nhận;

c) Mô hình xác thực tự chủ: phương tiện xác thực do chủ thể danh tính điện tử trực tiếp kiểm soát, cho phép cung cấp thông tin cho bên sử dụng dịch vụ xác thực điện tử có thể kiểm chứng độc lập, mà không cần kết nối đến hệ thống của cơ quan, tổ chức thực hiện hoạt động định danh và xác thực điện tử.

2. Phương tiện xác thực điện tử phải đáp ứng các yêu cầu sau:

a) Đảm bảo quyền kiểm soát, quản lý danh tính điện tử của chủ thể trước khi sử dụng;

b) Được quản lý trong suốt thời gian có hiệu lực của danh tính điện tử, có cơ chế vô hiệu hóa khi phương tiện bị mất, bị xâm phạm hoặc theo yêu cầu của chủ thể danh tính điện tử;

c) Đảm bảo tính bảo mật, chống sao chép và giả mạo yếu tố xác thực.

3. Việc thu thập và sử dụng yếu tố xác thực thông qua phương tiện xác thực phải tuân thủ các nguyên tắc:

a) Chỉ thu thập các yếu tố cần thiết để phục vụ mức độ xác thực yêu cầu của giao dịch;

b) Phải được sự đồng ý của chủ thể danh tính điện tử, trừ trường hợp pháp luật có quy định khác;

c) Thời gian lưu trữ các yếu tố xác thực trên hệ thống của bên sử dụng dịch vụ không vượt quá thời gian cần thiết để thực hiện việc đối chiếu, xác thực.

4. Chính phủ quy định chi tiết danh mục phương tiện xác thực điện tử theo từng mức xác thực, tiêu chuẩn kỹ thuật tối thiểu, quy trình quản lý vòng đời, quy trình thu thập và thời hạn lưu trữ tạm thời yếu tố xác thực đối với từng loại phương tiện.

Điều 26. Kiểm tra phương tiện xác thực điện tử

1. Việc kiểm tra phương tiện xác thực điện tử được thực hiện theo phương thức tương ứng với mô hình xác thực điện tử, bảo đảm tính toàn vẹn và khả năng chống chối bỏ:

a) Đối với mô hình xác thực tập trung và trung gian: tổ chức cung cấp dịch vụ xác thực điện tử thực hiện kiểm tra phương tiện xác thực;

b) Đối với mô hình xác thực tự chủ: bên sử dụng dịch vụ xác thực điện tử thực hiện kiểm tra phương tiện xác thực.

2. Quá trình xác minh phương tiện xác thực phải đảm bảo:

a) Bảo đảm phương tiện xác thực còn hiệu lực;

b) Xác định đúng chủ thể sở hữu hoặc kiểm soát hợp pháp phương tiện xác thực;

c) Bảo đảm phương tiện, dữ liệu xác thực không bị giả mạo, sao chép hoặc can thiệp trái phép;

d) Bảo đảm khả năng kiểm tra, đối soát và truy vết phục vụ việc xác minh lại khi cần thiết.

Điều 27. Ghi nhận và lưu trữ kết quả xác thực

1. Kết quả xác thực điện tử phải thể hiện rõ mức độ xác thực đạt được theo yêu cầu của bên sử dụng dịch vụ xác thực điện tử.

Trường hợp xác thực không thành công, cơ quan, tổ chức cung cấp dịch vụ xác thực điện tử trong mô hình xác thực tập trung và trung gian hoặc bên sử dụng dịch vụ xác thực điện tử trong mô hình xác thực tự chủ phải thông báo lý do và cung cấp phương thức khắc phục hoặc khiếu nại; không được từ chối quyền tiếp cận dịch vụ chỉ dựa trên một lần xác thực không thành công mà không có cơ chế xem xét lại.

2. Mọi hoạt động xác thực phải được ghi nhận đầy đủ vào nhật ký xác thực và lưu trữ như sau:

a) Đối với mô hình xác thực tập trung và trung gian: lưu trữ tại hệ thống của tổ chức cung cấp dịch vụ xác thực và đồng bộ về Hệ thống định danh và xác thực điện tử quốc gia;

b) Đối với mô hình xác thực tự chủ: lưu trữ tại hệ thống của bên sử dụng dịch vụ xác thực điện tử và đồng bộ nhật ký xác thực về Hệ thống định danh và xác thực điện tử quốc gia trong thời hạn không quá 24 giờ kể từ thời điểm xác thực, để bảo đảm khả năng truy vết theo quy định tại Điều 30 của Luật này. Việc đồng bộ nhật ký không bao gồm dữ liệu nội dung giao dịch.

3. Dữ liệu về kết quả xác thực phải được lưu trữ tối thiểu 05 năm từ thời điểm xác thực, trừ trường hợp pháp luật chuyên ngành quy định thời hạn cụ thể khác. Tính toàn vẹn dữ liệu xác thực được bảo đảm bằng các phương thức theo pháp luật về giao dịch điện tử và pháp luật chuyên ngành khác.

4. Dữ liệu về kết quả xác thực từ Hệ thống định danh và xác thực điện tử quốc gia, hệ thống của tổ chức cung cấp dịch vụ định danh và xác thực điện tử trong mô hình xác thực tập trung và trung gian và hệ thống của bên sử dụng dịch vụ xác thực điện tử trong mô hình xác thực tự chủ được sử dụng làm nguồn chứng cứ theo quy định của pháp luật về tố tụng.

5. Tổ chức cung cấp dịch vụ xác thực điện tử trong mô hình xác thực tập trung và trung gian và bên sử dụng dịch vụ xác thực điện tử trong mô hình xác thực tự chủ không được cung cấp, chia sẻ kết quả xác thực điện tử cho tổ chức, cá nhân khác ngoài chủ thể và bên sử dụng dịch vụ xác thực, trừ trường hợp pháp luật quy định.

6. Chính phủ quy định chi tiết điều này.

Điều 28. Sử dụng kết quả xác thực điện tử

1. Kết quả xác thực điện tử được sử dụng theo các cách thức như sau:

a) Tổ chức cung cấp dịch vụ xác thực điện tử cung cấp kết quả xác thực điện tử cho bên sử dụng dịch vụ xác thực điện tử để thực hiện giao dịch điện tử hoặc thủ tục pháp lý;

b) Tổ chức cung cấp dịch vụ xác thực điện tử cung cấp kết quả xác thực điện tử cho bên thứ ba theo yêu cầu của chủ thể danh tính điện tử;

c) Bên sử dụng dịch vụ xác thực điện tử trực tiếp thu thập, sử dụng kết quả xác thực điện tử do mình thực hiện đối với danh tính điện tử tự chủ.

2. Bên sử dụng dịch vụ xác thực sử dụng kết quả xác thực để nhận biết và xác định đối tượng tham gia giao dịch theo quy định tại khoản 1 Điều 23 và thỏa thuận với chủ thể danh tính điện tử; không được sử dụng kết quả xác thực vào mục đích khác, trừ trường hợp pháp luật quy định.

3. Kết quả xác thực điện tử chỉ có giá trị trong phạm vi giao dịch đã được xác thực và không được sử dụng thay thế việc xác thực điện tử đối với giao dịch khác.

Điều 29. Chứng thư điện tử xác nhận thông tin

1. Chứng thư điện tử xác nhận thông tin là công cụ xác minh bổ sung, được chủ thể cung cấp sau khi hoàn thành xác thực danh tính điện tử theo quy định tại Điều 27 của Luật này, nhằm chứng minh các thuộc tính, điều kiện, quyền hoặc thông tin liên quan của mình hoặc đối tượng do mình quản lý. Chứng thư điện tử xác nhận thông tin không thay thế nghĩa vụ xác thực danh tính điện tử theo quy định của Luật này.

2. Chứng thư điện tử xác nhận thông tin phải bảo đảm có thể kiểm chứng độc lập bằng phương thức mật mã mà không cần liên hệ trực tiếp với bên cấp chứng thư điện tử xác nhận thông tin tại thời điểm kiểm chứng. Tính toàn vẹn của chứng thư được bảo đảm theo pháp luật về giao dịch điện tử; tính chính xác của thông tin được xác nhận theo quy định của pháp luật về dữ liệu.

3. Bên cấp chứng thư điện tử xác nhận thông tin là chủ quản dữ liệu. Bên cấp chứng thư điện tử xác nhận thông tin có trách nhiệm:

a) Bảo đảm tính chính xác của thông tin được xác nhận tại thời điểm cấp theo quy định của pháp luật về dữ liệu;

b) Duy trì cơ chế để bên kiểm chứng xác minh hiệu lực của chứng thư điện tử xác nhận thông tin mà không cần liên hệ trực tiếp với bên cấp chứng thư điện tử xác nhận thông tin;

c) Vô hiệu hóa chứng thư điện tử xác nhận thông tin kịp thời khi thông tin được xác nhận không còn chính xác.

4. Chủ thể danh tính điện tử có các quyền sau đối với chứng thư điện tử xác nhận thông tin:

a) Lưu trữ và quản lý chứng thư điện tử xác nhận thông tin trên phương tiện điện tử cá nhân;

b) Tự quyết định phạm vi, đối tượng và thời hạn chia sẻ chứng thư điện tử xác nhận thông tin;

c) Lựa chọn và cung cấp thông tin từ chứng thư điện tử xác nhận thông tin phù hợp với yêu cầu cụ thể của giao dịch, bao gồm quyền chỉ xác nhận một điều kiện cụ thể mà không tiết lộ dữ liệu gốc khi giao dịch không yêu cầu dữ liệu đó;

d) Kết hợp nhiều chứng thư điện tử xác nhận thông tin từ các bên cấp chứng thư điện tử xác nhận thông tin khác nhau trong một lần cung cấp.

5. Bên kiểm chứng chỉ được yêu cầu và sử dụng thông tin trong phạm vi mục đích giao dịch cụ thể; không được yêu cầu vượt quá thông tin cần thiết; không được từ chối giao dịch với chủ thể chỉ vì chủ thể thực hiện quyền trình bày có chọn lọc.

6. Chứng thư điện tử xác nhận thông tin do cơ quan nhà nước hoặc tổ chức đủ điều kiện theo Chương V của Luật này cấp có giá trị pháp lý tương đương với giấy tờ tương ứng trong phạm vi pháp luật quy định. Chứng thư do tổ chức, cá nhân khác cấp có giá trị theo thỏa thuận của các bên.

7. Chính phủ quy định chi tiết điều kiện, trình tự cấp, gia hạn vô hiệu hóa chứng thư điện tử xác nhận thông tin; phương thức lựa chọn và cung cấp thông tin; tiêu chuẩn kỹ thuật và giao thức bảo đảm an toàn; trách nhiệm cụ thể của bên cấp chứng thư điện tử xác nhận thông tin và bên kiểm chứng; danh mục lĩnh vực bắt buộc chấp nhận chứng thư điện tử xác nhận thông tin.

Điều 30. Xác thực và truy vết danh tính điện tử

1. Việc truy vết danh tính điện tử của đối tượng là một chuỗi xác thực điện tử đối tượng đó và các đối tượng được liên kết danh tính điện tử gắn với đối tượng đó từ khi tạo ra đến thời điểm có yêu cầu truy vết danh tính điện tử.

2. Trường hợp không xác định được thời điểm tạo ra đối tượng thì việc xác thực nguồn gốc được thực hiện từ thời điểm sớm nhất có thể xác định được. Kết quả phải ghi rõ giới hạn thời gian truy vết được và lý do không xác định được thời điểm ban đầu.

3. Chính phủ quy định chi tiết về truy vết danh tính điện tử. Việc quản lý hoạt động truy xuất nguồn gốc hàng hóa trong từng lĩnh vực thực hiện theo quy định của pháp luật chuyên ngành.

Chương IV

HỆ THỐNG VÀ NỀN TẢNG ĐỊNH DANH VÀ XÁC THỰC

 ĐIỆN TỬ QUỐC GIA

Điều 31. Hệ thống định danh và xác thực điện tử quốc gia

1. Hệ thống định danh và xác thực điện tử quốc gia, sau đây gọi là Hệ thống, bao gồm:

a) Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử;

b) Nền tảng định danh và xác thực điện tử;

c) Ứng dụng định danh quốc gia;

d) Giao diện lập trình ứng dụng mở;

đ) Các thành phần phần mềm, hệ thống nghiệp vụ liên quan khác.

2. Hệ thống phải bảo đảm sử dụng công nghệ lõi do Việt Nam làm chủ hoặc đáp ứng yêu cầu về chủ quyền công nghệ theo quy định của Chính phủ; kết nối với Cơ sở dữ liệu quốc gia về dân cư và các cơ sở dữ liệu quốc gia, chuyên ngành khác theo quy định của Luật Dữ liệu.

3. Nhà nước thống nhất quản lý Hệ thống. Chính phủ quy định cơ quan chủ quản, phân công trách nhiệm quản lý, vận hành từng thành phần và tiêu chuẩn, quy chuẩn kỹ thuật tương thích.

4. Chính phủ quy định chi tiết Điều này.

Điều 32. Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử

1. Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử là cơ sở dữ liệu chuyên ngành được xây dựng và quản lý tập trung, thống nhất, đáp ứng các yêu cầu sau:

a) Tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật về dữ liệu và công nghệ thông tin có liên quan;

b) Bảo đảm an ninh, an toàn thông tin, bảo vệ dữ liệu cá nhân; thuận lợi cho việc thu thập, cập nhật, điều chỉnh, khai thác, sử dụng;

c) Bảo đảm hoạt động ổn định, liên tục; kết nối, chia sẻ với các cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành và hệ thống thông tin khác;

d) Bảo đảm quyền khai thác dữ liệu của cơ quan, tổ chức, cá nhân theo quy định của pháp luật;

đ) Phân biệt dữ liệu tại nguồn và dữ liệu được tổng hợp, làm giàu; ghi nhận lịch sử thay đổi kèm dấu thời gian theo quy định của pháp luật về giao dịch điện tử;

e) Dữ liệu trong Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử phải được lưu trữ tại Việt Nam.

2. Các hành vi bị nghiêm cấm đối với Hệ thống và Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử thực hiện theo quy định tại Điều 6 của Luật này.

Điều 33. Thu thập, cập nhật, đồng bộ vào Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử

1. Dữ liệu được thu thập, cập nhật, đồng bộ vào Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử, bao gồm mã định danh và thông tin danh tính của đối tượng được định danh.

2. Tổ chức, cá nhân thực hiện định danh theo mô hình quy định tại khoản 2 Điều 8 của Luật này có trách nhiệm đồng bộ về Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử mã định danh và thông tin về danh tính điện tử trong các trường hợp sau:

a) Khi tạo lập danh tính điện tử;

b) Khi có thay đổi thông tin danh tính điện tử;

c) Khi tạm dừng, chấm dứt hiệu lực danh tính điện tử.

3. Cơ quan quản lý cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành cung cấp, đồng bộ dữ liệu cho Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử để cập nhật thông tin về danh tính điện tử khi có thay đổi.

4. Chính phủ quy định chi tiết điều này.

Điều 34. Khai thác và sử dụng dữ liệu định danh điện tử quốc gia

1. Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử được xây dựng phục vụ khai thác, sử dụng chung, đáp ứng:

a) Hoạt động của cơ quan Đảng, Nhà nước, Ủy ban Mặt trận Tổ quốc Việt Nam và các tổ chức chính trị - xã hội;

b) Thực hiện thủ tục hành chính, dịch vụ công, chỉ đạo điều hành của Chính phủ;

c) Phòng, chống gian lận, tội phạm danh tính và bảo đảm an ninh trật tự;

d) Nhu cầu khai thác, sử dụng hợp pháp của tổ chức, cá nhân.

2. Dữ liệu trong Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử có giá trị khai thác và sử dụng như dữ liệu gốc.

3. Đối tượng khai thác và sử dụng dữ liệu trong Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử, bao gồm:

a) Cơ quan Đảng, Nhà nước, Ủy ban Mặt trận Tổ quốc Việt Nam và các tổ chức chính trị - xã hội được khai thác thông tin thuộc phạm vi chức năng, nhiệm vụ, quyền hạn được giao;

b) Chủ thể định danh điện tử được khai thác, sử dụng thông tin của chính mình trong Cơ sở dữ liệu quốc gia về định danh và xác thực điện tử;

c) Tổ chức, cá nhân không thuộc quy định tại điểm a và điểm b khoản này được khai thác, sử dụng thông tin theo các hình thức: khai thác dữ liệu mở theo quy định của pháp luật; khai thác thông tin danh tính điện tử và các thông tin khác khi có sự đồng ý của cơ quan quản lý danh điện và xác thực điện tử và chủ thể danh tính điện tử.

4. Chính phủ quy định chi tiết Điều này.

Điều 35. Phí khai thác và sử dụng dữ liệu định danh điện tử quốc gia

1. Cơ quan Đảng, Nhà nước, Ủy ban Mặt trận Tổ quốc Việt Nam và các tổ chức chính trị - xã hội khai thác, sử dụng thông tin trong Cơ sở dữ liệu dữ liệu quốc gia về định danh và xác thực điện tử phục vụ chức năng, nhiệm vụ được giao; chủ thể danh tính điện tử khai thác thông tin của mình không phải thanh toán chi phí.

2. Tổ chức, cá nhân không thuộc quy định tại khoản 1 Điều này khai thác, sử dụng thông tin trong Cơ sở dữ liệu dữ liệu quốc gia về định danh và xác thực điện tử phải nộp phí theo quy định của pháp luật về phí và lệ phí.

3. Chính phủ quy định chi tiết điều này.

Điều 36. Nền tảng định danh và xác thực điện tử

1. Nền tảng định danh và xác thực điện tử phải bảo đảm các yêu cầu sau:

a) Tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật quốc gia về dữ liệu, công nghệ thông tin, an ninh mạng và an toàn thông tin mạng;

b) Bảo đảm khả năng kết nối, liên thông với Cơ sở dữ liệu tổng hợp quốc gia, Nền tảng chia sẻ, điều phối dữ liệu, Nền tảng tích hợp, chia sẻ dữ liệu quốc gia và các cơ sở dữ liệu, hệ thống thông tin có liên quan theo quy định của Luật Dữ liệu;

c) Hoạt động ổn định, liên tục; có phương án dự phòng, sao lưu, khôi phục và ứng phó sự cố;

d) Bảo đảm an ninh, an toàn thông tin ở mức cao nhất; bảo vệ dữ liệu cá nhân, bí mật nhà nước, bí mật kinh doanh theo quy định của pháp luật;

đ) Sử dụng công nghệ lõi do Việt Nam làm chủ hoặc đáp ứng yêu cầu về chủ quyền công nghệ theo quy định của Chính phủ.

2. Tổ chức cung cấp dịch vụ định danh và xác thực điện tử, cơ quan nhà nước, tổ chức, doanh nghiệp tham gia kết nối với Nền tảng định danh và xác thực điện tử có trách nhiệm tuân thủ tiêu chuẩn kỹ thuật, quy trình nghiệp vụ và yêu cầu bảo đảm an ninh, an toàn thông tin do cơ quan có thẩm quyền quy định.

3. Chính phủ quy định chi tiết Điều này.

Điều 37. Ứng dụng định danh quốc gia

1. Ứng dụng định danh quốc gia có các chức năng cơ bản sau đây:

a) Truy cập và quản lý dữ liệu của cơ quan, tổ chức, cá nhân;

b) Cấp chữ ký số và phương thức xác thực khác phục vụ dịch vụ công, chuyển đổi số;

c) Cung cấp dịch vụ công;

d) Tích hợp nền tảng thanh toán quốc gia phục vụ an sinh xã hội;

đ) Thiết lập kênh giao tiếp số giữa Nhà nước và công dân;

e) Ghi nhận mức độ tham gia chuyển đổi số của cơ quan, tổ chức, cá nhân.

2. Ứng dụng định danh quốc gia phải bảo đảm các yêu cầu sau:

a) Tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật quốc gia về dữ liệu, công nghệ thông tin, an ninh mạng và an toàn thông tin mạng;

b) Hoạt động ổn định, liên tục; hỗ trợ đa nền tảng và thân thiện với người dùng;

c) Tích hợp thống nhất với Nền tảng định danh và xác thực điện tử và các thành phần khác của Hệ thống định danh và xác thực điện tử quốc gia;

d) Bảo đảm an ninh, an toàn thông tin; bảo vệ dữ liệu cá nhân của chủ thể danh tính điện tử;

đ) Bảo đảm khả năng tiếp cận của các nhóm người dùng khác nhau, bao gồm người cao tuổi, người khuyết tật và người ở khu vực có điều kiện hạ tầng hạn chế.

3. Chính phủ quy định chi tiết Điều này.

Chương V

DỊCH VỤ ĐỊNH DANH VÀ XÁC THỰC ĐIỆN TỬ

Điều 38. Sản phẩm, dịch vụ định danh và xác thực điện tử

1. Sản phẩm, dịch vụ định danh và xác thực điện tử bao gồm:

a) Dịch vụ định danh điện tử;

b) Dịch vụ xác thực điện tử;

c) Sản phẩm, dịch vụ khác liên quan đến định danh và xác thực điện tử theo quy định của Chính phủ.

2. Tổ chức, cá nhân cung cấp sản phẩm, dịch vụ định danh và xác thực điện tử phải đáp ứng điều kiện theo quy định của Luật này; bảo đảm chất lượng, an toàn, bảo mật và liên tục; tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật quốc gia và các nguyên tắc quy định tại Điều 4 của Luật này.

3. Nhà nước khuyến khích và tạo điều kiện thuận lợi để tổ chức, cá nhân tham gia cung cấp sản phẩm, dịch vụ định danh và xác thực điện tử, có các chính sách ưu đãi đối với các tổ chức cung cấp sản phẩm, dịch vụ định danh và xác thực điện tử.

4. Chính phủ quy định chi tiết Điều này.

Điều 39. Dịch vụ định danh điện tử

1. Dịch vụ định danh điện tử là dịch vụ thực hiện hoạt động định danh điện tử theo quy định tại Chương II của Luật này, do tổ chức có đầy đủ điều kiện được nêu tại khoản 2 Điều này cung cấp.

2. Tổ chức cung cấp dịch vụ định danh điện tử phải đáp ứng các điều kiện sau đây:

a) Là tổ chức được thành lập hợp pháp tại Việt Nam, có tư cách pháp nhân và năng lực tài chính bảo đảm duy trì hoạt động liên tục;

b) Có hệ thống kỹ thuật, hạ tầng công nghệ thông tin đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật quốc gia về định danh điện tử; bảo đảm an toàn thông tin mạng ở mức độ tương xứng với loại dịch vụ cung cấp theo quy định của pháp luật về an toàn thông tin mạng;

c) Có nhân sự chuyên trách đáp ứng yêu cầu về chuyên môn kỹ thuật trong lĩnh vực định danh điện tử, bảo vệ dữ liệu cá nhân và an toàn thông tin theo quy định của pháp luật về dữ liệu và an toàn thông tin mạng;

d) Có quy trình nghiệp vụ xác minh thông tin, cấp và quản lý danh tính điện tử bảo đảm tính chính xác, toàn vẹn và khả năng truy vết theo quy định của Luật này, pháp luật về giao dịch điện tử và dữ liệu;

đ) Có cơ chế bảo vệ dữ liệu người dùng, ứng phó sự cố và phương án duy trì hoạt động liên tục theo quy định của pháp luật về bảo vệ dữ liệu cá nhân và an toàn thông tin mạng;

e) Kết nối kỹ thuật với Hệ thống định danh và xác thực điện tử quốc gia theo quy định tại Điều 35 của Luật này.

3. Tổ chức cung cấp dịch vụ định danh điện tử theo quy định tại Điều này phải thực hiện thông báo cho Bộ Công an về các đối tượng thực hiện định danh, trường thông tin trong danh tính điện tử được cấp, hệ thống và phương án thực hiện định danh điện tử trước khi cung cấp dịch vụ.

4. Chính phủ quy định chi tiết Điều này.

Điều 40. Dịch vụ xác thực điện tử

1. Dịch vụ xác thực điện tử là dịch vụ thực hiện hoạt động xác thực điện tử theo quy định tại Chương III của Luật này, do tổ chức có đầy đủ điều kiện được nêu tại khoản 2 Điều này cung cấp.

2. Tổ chức cung cấp dịch vụ xác thực điện tử phải đáp ứng các điều kiện sau đây:

a) Là tổ chức được thành lập hợp pháp tại Việt Nam, có tư cách pháp nhân và năng lực tài chính bảo đảm duy trì hoạt động liên tục;

b) Có hệ thống kỹ thuật, hạ tầng công nghệ thông tin đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật quốc gia về xác thực điện tử; bảo đảm khả năng xử lý yêu cầu xác thực liên tục, ổn định và an toàn thông tin mạng ở mức độ tương xứng với loại dịch vụ cung cấp theo quy định của pháp luật về an toàn thông tin mạng;

c) Có nhân sự chuyên trách đáp ứng yêu cầu về chuyên môn kỹ thuật trong lĩnh vực xác thực điện tử, bảo vệ dữ liệu cá nhân và an toàn thông tin theo quy định của pháp luật về dữ liệu và an toàn thông tin mạng;

d) Có quy trình nghiệp vụ tiếp nhận yêu cầu, kiểm tra yếu tố xác thực và cung cấp kết quả xác thực bảo đảm tính chính xác, toàn vẹn, không thể phủ nhận và khả năng truy vết theo quy định của Luật này, pháp luật về giao dịch điện tử và dữ liệu;

đ) Có cơ chế bảo vệ dữ liệu người dùng, ứng phó sự cố và phương án duy trì hoạt động liên tục theo quy định của pháp luật về bảo vệ dữ liệu cá nhân và an toàn thông tin mạng;

e) Kết nối kỹ thuật với Hệ thống định danh và xác thực điện tử quốc gia theo quy định tại Điều 35 của Luật này đối với trường hợp cung cấp dịch vụ xác thực theo mô hình quy định tại điểm a khoản 1 Điều 21 của Luật này.

3. Chính phủ quy định chi tiết Điều này.

Điều 41. Điều kiện cung cấp dịch vụ xuyên biên giới

1. Tổ chức nước ngoài cung cấp dịch vụ định danh và xác thực điện tử tại Việt Nam phải đáp ứng các điều kiện sau:

a) Tuân thủ pháp luật Việt Nam về định danh và xác thực điện tử, an toàn thông tin mạng và bảo vệ dữ liệu cá nhân;

b) Đáp ứng đủ điều kiện theo quy định tại Điều 39 hoặc Điều 40 của Luật này;

c) Thiết lập chi nhánh hoặc văn phòng đại diện tại Việt Nam;

d) Lưu trữ dữ liệu người dùng tại Việt Nam theo quy định của pháp luật về dữ liệu và an ninh mạng.

2. Cơ quan nhà nước có thẩm quyền có quyền hạn chế, đình chỉ hoặc ngăn chặn hoạt động cung cấp dịch vụ xuyên biên giới khi tổ chức nước ngoài vi phạm quy định của pháp luật Việt Nam.

3. Chính phủ quy định chi tiết Điều này.

Điều 42. Cơ chế thử nghiệm có kiểm soát

1. Nhà nước khuyến khích tổ chức thử nghiệm dịch vụ, mô hình và công nghệ mới trong lĩnh vực định danh và xác thực điện tử trong môi trường kiểm soát với phạm vi người dùng, thời hạn và điều kiện giới hạn và phải thông báo được sự đồng ý của cơ quan quản lý định danh và xác thực điện tử.

2. Tổ chức tham gia thử nghiệm không phải đáp ứng đầy đủ điều kiện quy định tại Điều 40 và Điều 41 của Luật này trong thời gian thử nghiệm nhưng phải bảo đảm quyền của chủ thể danh tính điện tử khi tham gia thử nghiệm và tuân thủ nguyên tắc quy định tại Điều 4 của Luật này.

3. Tổ chức hoàn thành thử nghiệm được triển khai chính thức khi đảm bảo các điều kiện theo quy định tại Điều 40 hoặc Điều 41 của Luật này.

4. Chính phủ quy định chi tiết Điều này.

Chương VI

LIÊN THÔNG VÀ HỢP TÁC QUỐC TẾ

Điều 43. Công nhận danh tính điện tử và kết quả xác thực nước ngoài

1. Danh tính điện tử do cơ quan, tổ chức nước ngoài xác lập và kết quả xác thực điện tử do tổ chức nước ngoài cung cấp được xem xét công nhận có giá trị pháp lý tại Việt Nam khi đáp ứng các điều kiện về mức độ xác thực và tính tương thích về tiêu chuẩn kỹ thuật theo quy định của pháp luật Việt Nam.

2. Thẩm quyền công nhận:

a) Cơ quan nhà nước có thẩm quyền của Việt Nam công nhận đối với danh tính điện tử và kết quả xác thực điện tử do cơ quan nhà nước nước ngoài cấp;

b) Bên sử dụng dịch vụ xác thực điện tử tại Việt Nam quyết định việc công nhận đối với danh tính điện tử và kết quả xác thực điện tử do tổ chức không thuộc cơ quan nhà nước nước ngoài cung cấp.

3. Việc công nhận lẫn nhau được thực hiện trên cơ sở điều ước quốc tế mà Việt Nam là thành viên hoặc thỏa thuận quốc tế theo quy định của pháp luật.

4. Chính phủ quy định chi tiết Điều này.

Điều 44. Giao dịch xuyên biên giới và hợp tác quốc tế

1. Danh tính điện tử và kết quả xác thực đã được công nhận theo quy định tại Điều 45 của Luật này được sử dụng trong giao dịch xuyên biên giới. Các bên tham gia giao dịch phải tuân thủ pháp luật Việt Nam, bao gồm quy định về phòng, chống rửa tiền, tài trợ khủng bố và tài trợ phổ biến vũ khí hủy diệt hàng loạt.

2. Nhà nước khuyến khích và tạo điều kiện hợp tác quốc tế trong lĩnh vực định danh và xác thực điện tử, bao gồm phát triển, chuyển giao công nghệ; xây dựng tiêu chuẩn chung; đào tạo, trao đổi kinh nghiệm.

3. Chính phủ phân công cơ quan chủ trì và cơ chế phối hợp trong hoạt động hợp tác quốc tế, bảo đảm tuân thủ các quy định của pháp luật về an ninh mạng và an toàn thông tin mạng.

Chương VII

QUYỀN, NGHĨA VỤ VÀ TRÁCH NHIỆM

Điều 45 Trách nhiệm của cơ quan nhà nước

1. Cơ quan nhà nước có thẩm quyền trong lĩnh vực định danh và xác thực điện tử có trách nhiệm:

a) Xây dựng, ban hành và tổ chức thực hiện các văn bản quy phạm pháp luật, tiêu chuẩn, quy chuẩn kỹ thuật về định danh và xác thực điện tử trong phạm vi chức năng, nhiệm vụ được giao;

b) Đầu tư, xây dựng, quản lý và vận hành hạ tầng công nghệ thông tin phục vụ hoạt động định danh và xác thực điện tử bảo đảm hoạt động liên tục, an toàn, hiệu quả;

c) Thanh tra, kiểm tra, giám sát việc tuân thủ pháp luật về định danh và xác thực điện tử; xử lý vi phạm theo thẩm quyền;

d) Bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân trong hoạt động định danh và xác thực điện tử;

đ) Hợp tác quốc tế trong lĩnh vực định danh và xác thực điện tử theo quy định của pháp luật.

2. Cơ quan nhà nước không được sử dụng dữ liệu danh tính điện tử vượt quá phạm vi chức năng, nhiệm vụ được giao; không được tiết lộ thông tin danh tính điện tử của tổ chức, cá nhân trái quy định của pháp luật.

3. Chính phủ phân công cụ thể trách nhiệm của từng bộ, cơ quan ngang bộ trong quản lý nhà nước về định danh và xác thực điện tử.

Điều 46. Trách nhiệm của tổ chức cung cấp dịch vụ định danh và xác thực điện tử

1. Tổ chức cung cấp dịch vụ định danh và xác thực điện tử có trách nhiệm sau:

a) Bảo đảm chất lượng, tính liên tục và an toàn của dịch vụ; bảo vệ dữ liệu người dùng;

b) Không thu thập, xử lý dữ liệu danh tính ngoài phạm vi dịch vụ được phép và mục đích đã thông báo với người dùng;

c) Lưu trữ nhật ký xác thực, báo cáo định kỳ và cung cấp thông tin cho cơ quan nhà nước có thẩm quyền theo quy định;

d) Thông báo kịp thời cho cơ quan nhà nước có thẩm quyền và người dùng bị ảnh hưởng khi xảy ra sự cố ảnh hưởng đến tính toàn vẹn, bảo mật dữ liệu danh tính hoặc kết quả xác thực;

đ) Khi chấm dứt hoặc tạm ngừng cung cấp dịch vụ, phải thông báo trước cho người dùng và cơ quan nhà nước có thẩm quyền, bảo đảm người dùng có đủ thời gian và điều kiện chuyển sang dịch vụ thay thế hoặc khôi phục quyền kiểm soát dữ liệu danh tính;

e) Tuân thủ quy định của pháp luật về an toàn thông tin mạng, an ninh mạng, giao dịch điện tử và bảo vệ dữ liệu cá nhân.

f) Chịu trách nhiệm trước pháp luật về việc cung cấp dịch vụ định danh điện tử, xác thực điện tử của mình; bồi thường thiệt hại cho bên sử dụng dịch vụ, chủ thể danh tính điện tử theo quy định của pháp luật dân sự.

2. Chính phủ quy định chi tiết Điều này.

Điều 47. Quyền và nghĩa vụ của chủ thể danh tính điện tử

1. Quyền của chủ thể danh tính điện tử

a) Được đăng ký, cấp, quản lý và sử dụng danh tính điện tử theo quy định của pháp luật;

b) Được bảo đảm an toàn, bảo mật thông tin danh tính điện tử và dữ liệu cá nhân trong quá trình tạo lập, xác thực và sử dụng danh tính điện tử;

c) Kiểm soát việc sử dụng danh tính điện tử của mình; quyết định phạm vi, đối tượng và thời hạn chia sẻ thông tin danh tính để thực hiện giao dịch điện tử, thủ tục hành chính, dịch vụ công và các giao dịch hợp pháp khác;

d) Được yêu cầu cập nhật, chỉnh sửa thông tin danh tính điện tử khi có sai sót hoặc thay đổi theo quy định;

đ) Được thông báo kịp thời khi dữ liệu danh tính điện tử của mình bị xâm phạm;

e) Khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại khi quyền lợi bị xâm phạm theo quy định của pháp luật.

2. Chủ thể danh tính điện tử có các nghĩa vụ sau:

a) Cung cấp thông tin trung thực, chính xác, đầy đủ trong quá trình đăng ký và sử dụng danh tính điện tử; cập nhật kịp thời khi có thay đổi;

b) Bảo vệ thông tin danh tính điện tử, phương tiện xác thực;

c) Thông báo ngay cho tổ chức cung cấp dịch vụ xác thực điện tử khi mất kiểm soát phương tiện xác thực hoặc phát hiện có người sử dụng trái phép danh tính điện tử của mình hoặc lý do khác có thể gây mất an toàn sử dụng dịch vụ.

Điều 48. Hệ thống trí tuệ nhân tạo trong hoạt động định danh và xác thực

1. Tổ chức cung cấp dịch vụ định danh và xác thực điện tử có sử dụng trí tuệ nhân tạo phải triển khai và duy trì biện pháp kỹ thuật phòng chống giả mạo sinh trắc học và hình ảnh giả tạo bằng công nghệ đáp ứng tiêu chuẩn do cơ quan nhà nước có thẩm quyền quy định. Các biện pháp này phải được cập nhật phù hợp với sự phát triển của các phương thức tấn công mới.

2. Hệ thống trí tuệ nhân tạo sử dụng trong hoạt động định danh và xác thực điện tử phải đáp ứng các yêu cầu sau:

a) Được kiểm thử, đánh giá độc lập về độ chính xác, độ tin cậy, độ thiên lệch và khả năng chống tấn công đối kháng trước khi đưa vào sử dụng;

b) Có cơ chế giám sát liên tục, phát hiện và xử lý kịp thời các sai lệch, sự cố trong quá trình vận hành;

c) Bảo đảm tính minh bạch, có thể giải thích được kết quả; lưu trữ đầy đủ nhật ký quyết định để phục vụ kiểm tra, đối soát và truy vết khi có khiếu nại;

d) Tuân thủ quy định pháp luật về trí tuệ nhân tạo và pháp luật chuyên ngành có liên quan.

3. Khi xảy ra sự cố tấn công giả mạo bằng trí tuệ nhân tạo dẫn đến xác thực sai danh tính, tổ chức cung cấp dịch vụ phải thông báo ngay cho cơ quan quản lý nhà nước có thẩm quyền và chủ thể bị ảnh hưởng theo quy định về ứng phó sự cố an toàn thông tin mạng.

4. Tổ chức, cá nhân quản lý hệ thống trí tuệ nhân tạo chịu trách nhiệm về tính chính xác kỹ thuật của hệ thống theo cam kết dịch vụ. Tổ chức, cá nhân sử dụng kết quả định danh và xác thực từ hệ thống trí tuệ nhân tạo chịu trách nhiệm cuối cùng về quyết định của mình trên cơ sở kết quả đó.

5. Chính phủ quy định chi tiết Điều này.

Chương VIII

ĐIỀU KHOẢN THI HÀNH

Điều 49. Sửa đổi, bổ sung một số luật có liên quan

Bổ sung một số khoản vào Điều 22 và Điều 23 Luật Giao dịch điện tử số 20/2023/QH15 theo hướng công nhận dịch vụ chữ ký số công cộng do Nhà nước cung cấp trên ứng dụng định danh quốc gia, cụ thể:

a) Bổ sung điểm d vào sau điểm c khoản 1 Điều 22 Luật Giao dịch điện tử số 20/2023/QH15 như sau:

"d) Chữ ký điện tử định danh quốc gia là chữ ký điện tử được tạo lập thông qua việc xác thực danh tính điện tử của cá nhân, tổ chức bằng ứng dụng định danh quốc gia theo quy định của pháp luật về định danh và xác thực điện tử".

b) Bổ sung khoản 5 vào sau khoản 4 Điều 23 Luật Giao dịch điện tử số 20/2023/QH15:

"5. Chữ ký điện tử định danh quốc gia quy định tại điểm d khoản 1 Điều 22 của Luật này có giá trị pháp lý tương đương chữ ký số trong các giao dịch điện tử với cơ quan nhà nước và các giao dịch dân sự, kinh tế khác".

Điều 50. Điều khoản chuyển tiếp

1. Danh tính điện tử, tài khoản định danh điện tử đã được cấp trước ngày Luật này có hiệu lực tiếp tục có giá trị sử dụng.

2. Tổ chức đang cung cấp dịch vụ định danh và xác thực điện tử trước ngày Luật này có hiệu lực phải đáp ứng các điều kiện quy định tại Luật này trong thời hạn 18 tháng kể từ ngày Luật có hiệu lực. Hết thời hạn mà không đáp ứng thì phải dừng  cung cấp dịch vụ.

3. Hệ thống định danh, xác thực điện tử và truy xuất nguồn gốc do cơ quan nhà nước có thẩm quyền xây dựng, vận hành trước ngày Luật này có hiệu lực tiếp tục hoạt động và điều chỉnh để đáp ứng các quy định của Luật này trong thời hạn 18 tháng kể từ ngày Luật có hiệu lực.

Điều 51. Hiệu lực thi hành

Luật này có hiệu lực thi hành từ ngày    tháng    năm    

Luật này đã được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XVI, kỳ họp thứ ... thông qua ngày    tháng    năm 2026./.

CHỦ TỊCH QUỐC HỘI