Kho lưu trữ số: định nghĩa hoàn chỉnh 2026

Phi giấy hóa các tài liệu đã trở thành một yêu cầu chiến lược cho các doanh nghiệp Pháp và châu Âu. Tuy nhiên, một sự nhầm lẫn dai dẳng làm mơ hồ các thực hành: sự khác biệt giữa kho lưu trữ số, lưu trữ điện tử và lưu trữ trực tuyến đơn giản. Nếu không được phân biệt rõ ràng, các khái niệm này sẽ phơi bày các tổ chức trước những rủi ro pháp lý nghiêm trọng và mất giá trị chứng minh của tài liệu. Bài viết này cung cấp một định nghĩa chặt chẽ về kho lưu trữ số điện tử, giải thích các cơ chế kỹ thuật, chi tiết sự khác biệt cơ bản của nó với lưu trữ pháp lý, và xác định những tình huống mà việc triển khai trở nên không thể thiếu.

Kho lưu trữ số: định nghĩa chính xác và các thách thức

Kho lưu trữ số là gì?

Một kho lưu trữ số (hoặc kho lưu trữ điện tử) là một không gian lưu trữ trực tuyến được bảo vệ đảm bảo tính bảo mật, tính toàn vẹn, tính khả dụng và tính truy xuất của các tài liệu được lưu trữ trong đó. Khác với một thư mục đám mây được chia sẻ đơn giản hoặc GED (quản lý tài liệu điện tử), kho lưu trữ số dựa trên các cơ chế mã hóa nâng cao chứng thực, tại bất kỳ thời điểm nào, rằng tài liệu chưa bị thay đổi kể từ khi gửi.

Trong luật Pháp, khái niệm này được thành lập bởi luật số 2016-1321 ngày 7 tháng 10 năm 2016 về Cộng hòa Số (gọi là luật Lemaire), định nghĩa kho lưu trữ số là một dịch vụ cho phép "nhận, lưu trữ, gửi và trả lại dữ liệu số một cách an toàn". Luật này đã giới thiệu một chế độ chứng chỉ bắt buộc cho các nhà cung cấp dịch vụ muốn tuyên bố là kho lưu trữ số, được quản lý bởi tiêu chuẩn NF Z42-020 do AFNOR công bố.

Ba thuộc tính cơ bản phân biệt kho lưu trữ số với lưu trữ đơn giản:

• Tính toàn vẹn được đảm bảo: mỗi tài liệu được niêm phong bằng dấu thời gian đủ điều kiện và dấu vân tay mã hóa (hash SHA-256 hoặc cao hơn), làm cho bất kỳ sửa đổi nào đều có thể phát hiện được.

• Tính bảo mật được tăng cường: nhà cung cấp dịch vụ áp dụng nguyên tắc phân chia nghiêm ngặt; không thể truy cập dữ liệu nào mà không có xác thực của chủ sở hữu kho.

• Giá trị chứng minh: các tài liệu được lưu trữ trong một kho lưu trữ được chứng chỉ có thể được chấp nhận làm bằng chứng trước các tòa án Pháp và châu Âu, tuân thủ Bài 1366 của Bộ luật Dân sự.

Kho lưu trữ số so với lưu trữ đám mây cổ điển: những khác biệt quan trọng

Lưu trữ đám mây cổ điển (Google Drive, Dropbox, OneDrive) cung cấp khả năng sẵn sàng và tiện lợi, nhưng không đảm bảo bất kỳ đảm bảo pháp lý nào về tính toàn vẹn. Quản trị viên của dịch vụ có thể về mặt kỹ thuật sửa đổi, xóa hoặc truy cập các tệp mà không thông báo cho người dùng. Các điều khoản dịch vụ của các nền tảng này rõ ràng loại trừ bất kỳ giá trị chứng minh nào.

Kho lưu trữ số, ngược lại, áp dụng hợp đồng và kỹ thuật cho nhà cung cấp:

• Không thể sửa đổi tài liệu sau khi gửi (bất biến).

• Ghi lại toàn bộ mỗi lần truy cập (kiểm toán).

• Trả lại các tài liệu ở định dạng gốc, không bị thay đổi.

• Liên tục dịch vụ và bền vững dữ liệu trong những khoảng thời gian dài (10, 30 năm hoặc hơn).

Sự khác biệt này là quyết định trong trường hợp tranh chấp: một tài liệu từ một kho lưu trữ được chứng chỉ hưởng lợi từ giả định về độ tin cậy mà một tệp được trích xuất từ lưu trữ đám mây tiêu chuẩn không có.

Kho lưu trữ số và lưu trữ pháp lý: những khác biệt nào?

Lưu trữ điện tử pháp lý: một khuôn khổ hạn chế hơn

Lưu trữ điện tử pháp lý (hoặc lưu trữ có giá trị chứng minh) chỉ tập hợp các quy trình, kỹ thuật và tổ chức cho phép bảo tồn các tài liệu số sao cho giữ lại giá trị pháp lý của chúng trong dài hạn. Nó được điều chỉnh tại Pháp bởi tiêu chuẩn NF Z42-013 và, đối với các kho lưu trữ công cộng, bởi tham chiếu chung để quản lý các kho lưu trữ (RG2A) của DINUM.

Khác với kho lưu trữ số tập trung vào người dùng (chủ sở hữu gửi và tham khảo các tài liệu của riêng họ), lưu trữ pháp lý liên quan đến quản trị tài liệu có cấu trúc: kế hoạch phân loại, thời hạn bảo tồn theo quy định, thủ tục gửi, loại bỏ được kiểm soát và khả năng xuất trong các định dạng bền vững (PDF/A, XML, v.v.).

Các doanh nghiệp phải tuân thủ các nghĩa vụ bảo tồn pháp lý — bảng lương (50 năm), hợp đồng thương mại (5 năm), tài liệu kế toán (10 năm) — phải phân biệt rõ:

• Kho lưu trữ số để quản lý hàng ngày và cung cấp tài liệu cho các cộng tác viên hoặc đối tác.

• Hệ thống lưu trữ điện tử (SAE) để bảo tồn dài hạn với quản lý các chu kỳ sống tài liệu.

Tính bổ sung giữa kho lưu trữ và chữ ký điện tử

Kho lưu trữ số phát huy hết sức mạnh khi được kết hợp với giải pháp chữ ký điện tử tuân thủ eIDAS. Một tài liệu được ký điện tử và ngay lập tức lưu trữ trong một kho lưu trữ được chứng chỉ tích lũy hai đảm bảo thiết yếu:

• Tính xác thực: chữ ký đủ điều kiện hoặc nâng cao chứng thực danh tính của người ký và sự đồng ý của họ tại thời điểm ký.

• Tính toàn vẹn theo thời gian: kho lưu trữ bảo tồn tài liệu được ký ở trạng thái gốc, với dấu cap dấu thời gian của nó, độc lập với sự phát triển của các định dạng và công nghệ.

Sự kết hợp này đặc biệt quan trọng đối với các hợp đồng dài hạn (bản cho thuê thương mại, hợp đồng lao động không thời hạn, hành động chuyển nhượng) nơi bằng chứng có thể cần được trình bày nhiều năm sau khi ký. Để tìm hiểu sâu hơn các nghĩa vụ phát sinh từ quy định eIDAS 2.0, hướng dẫn chuyên dụng của chúng tôi chi tiết các mức chữ ký và tác động pháp lý tương ứng.

Các tiêu chí chứng chỉ kho lưu trữ số

Tiêu chuẩn NF Z42-020: tiêu chuẩn tham chiếu

Do AFNOR công bố, tiêu chuẩn NF Z42-020 xác định các yêu cầu tối thiểu để một dịch vụ có thể tuyên bố tên "kho lưu trữ số" theo nghĩa của luật Cộng hòa Số. Nó bao gồm:

• Các yêu cầu chức năng: gửi, tham khảo, tải xuống, chia sẻ an toàn và hủy bỏ kiểm soát tài liệu.

• Các yêu cầu bảo mật: mã hóa dữ liệu đang vận chuyển (TLS 1.3 tối thiểu) và tại chỗ (AES-256), quản lý khóa mã hóa, xác thực mạnh (MFA).

• Các yêu cầu tổ chức: chính sách bảo mật được ghi lại, kế hoạch liên tục hoạt động, kiểm toán thường xuyên bởi bên thứ ba độc lập.

• Các yêu cầu về khả năng di động: chủ sở hữu có thể phục hồi tất cả dữ liệu của mình bất kỳ lúc nào, ở các định dạng mở và có thể tương tác.

Kể từ năm 2023, chứng chỉ AFNOR cho kho lưu trữ số đang dần được căn chỉnh với các yêu cầu của sơ đồ chứng chỉ an ninh mạng châu Âu (EUCS) do ENISA phát triển, điều này tạo điều kiện cho việc công nhận lẫn nhau các chứng chỉ trong Liên minh châu Âu.

Những chỉ báo để xác minh trước khi chọn nhà cung cấp

Trước sự nhân rộng các lời đề nghị tuyên bố "kho lưu trữ số" mà không có chứng chỉ thực sự, các doanh nghiệp phải kiểm tra một cách có hệ thống:

• Chứng chỉ NF Z42-020 được phát hành bởi một cơ quan được COFRAC công nhận.

• Vị trí của dữ liệu: lưu trữ trên máy chủ trong Liên minh châu Âu (yêu cầu RGPD và khuyến cáo ANSSI).

• Điều kiện SecNumCloud của ANSSI để sử dụng nhạy cảm (dữ liệu sức khỏe, dữ liệu tài chính).

• SLA (Thỏa thuận Mức Dịch vụ) đảm bảo tính khả dụng tối thiểu 99,9% và thời gian trả lại dưới 24 giờ.

• Phương thức hoàn nguyên trong trường hợp thay đổi nhà cung cấp: định dạng xuất, thời gian cung cấp, chi phí có thể phát sinh.

Đối với các doanh nghiệp đánh giá nhiều giải pháp trên thị trường, so sánh các giải pháp chữ ký điện tử của Certyneo tích hợp phân tích các tính năng lưu trữ được cung cấp bởi các diễn viên chính trên thị trường.

Triển khai hoạt động trong doanh nghiệp

Tích hợp vào các quy trình tài liệu hiện có

Tích hợp kho lưu trữ số không chỉ giảm xuống triển khai kỹ thuật: nó đòi hỏi một sửa đổi các quy trình tài liệu hiện có. Các bước được khuyến cáo bởi các công ty tư vấn chuyên về chuyển đổi số là như sau:

• Bản đồ tài liệu: xác định các loại tài liệu có giá trị chứng minh cao (hợp đồng, bảng lương, ủy quyền SEPA, biên bản họp, tài liệu nhân sự).

• Định nghĩa các thời hạn bảo tồn: căn chỉnh các thông số của kho lưu trữ với các nghĩa vụ pháp lý theo ngành.

• Đào tạo người dùng: thành công của việc chấp nhận dựa trên sự đơn giản sử dụng; một giao diện trực quan và các quy trình công việc tự động làm giảm các lỗi gửi.

• Kết nối với các công cụ hiện có: qua API REST hoặc đầu nối gốc với GED, ERP hoặc SIRH của doanh nghiệp.

Các giải pháp chữ ký điện tử cho doanh nghiệp hiện tích hợp thường xuyên một mô-đun kho lưu trữ, cho phép một chuỗi tài liệu từ đầu đến cuối: tạo, ký, lưu trữ và trả lại trong một môi trường thống nhất.

Kho lưu trữ số và quản lý tài nguyên con người

Sector nhân sự là một trong những trường hợp ứng dụng trưởng thành nhất của kho lưu trữ số. Kể từ sắc lệnh số 2017-1387 ngày 22 tháng 9 năm 2017 và sắc lệnh ứng dụng của nó, việc cung cấp bảng lương điện tử là pháp lý hợp lệ với điều kiện là nhân viên có quyền truy cập lâu dài vào các tài liệu của mình trong một không gian an toàn.

Cụ thể, điều này có nghĩa là nhà tuyển dụng phải đảm bảo:

• Cung cấp bảng lương trong một kho lưu trữ số được chứng chỉ (không phải một không gian đám mây đơn giản).

• Sẵn có tài liệu trong 50 năm hoặc cho đến khi nhân viên 75 tuổi.

• Khả năng cho nhân viên phục hồi tài liệu của họ trong trường hợp rời khỏi công ty.

Các đội nhân sự triển khai một giải pháp chữ ký điện tử dành riêng cho nhân sự kết hợp với một kho lưu trữ được chứng chỉ giảm đáng kể rủi ro tranh chấp prud'homal liên quan đến mất tích hoặc tranh cãi tài liệu.

Các lĩnh vực có yêu cầu quy định mạnh

Một số lĩnh vực phải chịu các nghĩa vụ lưu trữ gia tăng làm cho kho lưu trữ số được chứng chỉ gần như bắt buộc:

• Sector sức khỏe: việc bảo tồn dữ liệu sức khỏe được quản lý bởi khung HDS (Nhà cung cấp Lưu trữ Dữ liệu Sức khỏe); kho lưu trữ phải được lưu trữ bởi một nhà điều hành được chứng chỉ HDS. Các giải pháp dành riêng cho chữ ký điện tử trong lĩnh vực sức khỏe tích hợp những ràng buộc này.

• Sector pháp lý: các văn phòng luật sư và hộp học bảo tồn các hành động có giá trị chứng minh phải được đảm bảo trong nhiều thập kỷ. Chữ ký điện tử cho các văn phòng pháp lý tự nhiên dựa vào các kho lưu trữ được chứng chỉ.

• Sector bất động sản: ủy quyền, thỏa thuận bán, bản cho thuê — tất cả đều là tài liệu có giá trị chứng minh cao trong những khoảng thời gian dài. Chữ ký điện tử trong bất động sản tận dụng đầy đủ các kho lưu trữ số.

Khuôn khổ pháp lý áp dụng cho kho lưu trữ số

Các văn bản sáng lập trong luật Pháp

Chế độ pháp lý của kho lưu trữ số dựa trên một số lớp pháp lệ và quy định cần phải làm chủ:

Luật số 2016-1321 ngày 7 tháng 10 năm 2016 (luật Cộng hòa Số): văn bản đầu tiên thành lập pháp lý kho lưu trữ số, nó đưa ra một định nghĩa và áp dụng một chế độ chứng chỉ cho các nhà cung cấp. Bài 65 của nó cung cấp rằng bất kỳ dịch vụ nào tuyên bố tên gọi này phải được chứng chỉ bởi một cơ quan công nhận.

Bộ luật Dân sự, Bài 1366 và 1367: Bài 1366 đặt ra nguyên tắc tương đương giữa văn bản điện tử và văn bản giấy, với điều kiện là "người gửi có thể được xác định đúng cách và nó được thành lập và bảo tồn theo những cách để đảm bảo tính toàn vẹn của nó". Bài 1367 làm rõ các điều kiện hợp lệ của chữ ký điện tử. Hai quy định này tạo thành nền tảng của giá trị chứng minh của các tài liệu được lưu trữ trong một kho lưu trữ được chứng chỉ.

Quy định eIDAS số 910/2014: áp dụng trực tiếp ở tất cả các nước thành viên EU, quy định này thiết lập khuôn khổ tin cậy cho các giao dịch điện tử. Nó xác định các mức chữ ký (đơn giản, nâng cao, đủ điều kiện) và công nhận các dịch vụ tin cậy đủ điều kiện, trong đó một số kho lưu trữ điện tử đủ điều kiện (QES). Quy định eIDAS 2.0 (sửa đổi đang được chấp nhận tại thời điểm viết) tăng cường các quy định này và giới thiệu ví tiền điện tử danh tính số châu Âu (EUDIW), có khả năng tương tác với các kho lưu trữ số.

Các nghĩa vụ RGPD và bảo mật dữ liệu

Quy định RGPD số 2016/679: các tài liệu được lưu trữ trong một kho lưu trữ số thường xuyên chứa dữ liệu cá nhân. Người chịu trách nhiệm xử lý phải đảm bảo rằng nhà cung cấp dịch vụ kho lưu trữ cung cấp các đảm bảo đầy đủ (bài 28 RGPD), đặc biệt là thông qua DPA (Thỏa thuận Xử lý Dữ liệu) tuân thủ. Các thời hạn bảo tồn phải được biện minh bằng một cơ sở pháp lý và được ghi lại trong sổ đăng ký xử lý.

Chỉ thị NIS2 (2022/2555/UE): được chuyển tiếp vào luật Pháp bởi luật số 2024-449 ngày 21 tháng 5 năm 2024, chỉ thị NIS2 áp đặt các nhà khai thác dịch vụ thiết yếu và các thực thể quan trọng các yêu cầu được tăng cường về quản lý rủi ro mạng. Các nhà cung cấp dịch vụ kho lưu trữ số phục vụ các lĩnh vực quan trọng (sức khỏe, tài chính, cơ sở hạ tầng) có thể nằm trong phạm vi áp dụng của nó.

Các tiêu chuẩn kỹ thuật áp dụng

• NF Z42-020 (AFNOR): khung tham chiếu chứng chỉ cụ thể cho kho lưu trữ số ở Pháp.

• NF Z42-013 (AFNOR): đặc tính chức năng và kỹ thuật của các hệ thống lưu trữ điện tử.

• ETSI EN 319 132: tiêu chuẩn châu Âu cho các định dạng chữ ký điện tử nâng cao (XAdES, CAdES, PAdES) được sử dụng trong bối cảnh kho lưu trữ.

• ISO 14721 (OAIS): mô hình tham chiếu quốc tế cho lưu trữ số dài hạn, áp dụng cho các kho lưu trữ có mục đích lưu trữ bền vững.

Không tuân thủ các nghĩa vụ này phơi bày các doanh nghiệp trước các hình phạt hành chính (phạt CNIL lên tới 4% doanh thu toàn cầu cho các vi phạm RGPD), nhưng cũng không có giá trị chứng minh của tài liệu trong trường hợp tranh chấp, với các hậu quả có thể là ferocious trên các tranh chấp thương mại hoặc prud'homal.

Các kịch bản sử dụng cụ thể của kho lưu trữ số

Kịch bản 1: một văn phòng luật sư chuyên về luật kinh doanh

Một văn phòng luật sư gồm khoảng mười hai cộng tác viên xử lý mỗi năm hàng trăm hành động và thư tín có giá trị pháp lý: hợp đồng chuyển nhượng, pact cổ đông, ghi chép thỏa thuận, ủy quyền đại diện. Trước khi triển khai một kho lưu trữ số được chứng chỉ NF Z42-020, các tài liệu được ký được lưu trữ trong một chia sẻ mạng nội bộ mà không có dấu thời gian hoặc kiểm tra tính toàn vẹn. Khi có một tranh chấp về ngày ký chính xác của một ghi chép, văn phòng không thể trình bày bằng chứng không thể bác bỏ.

Sau khi triển khai một kho lưu trữ được chứng chỉ kết hợp với giải pháp chữ ký điện tử đủ điều kiện, mỗi hành động được tự động lưu trữ với dấu thời gian đủ điều kiện tại thời điểm ký. Các kiểm toán truy cập được ghi lại và có thể xuất. Kết quả: thời gian sản xuất tài liệu trong trường hợp thủ tục đã được giảm 70%, và văn phòng đã có thể làm cho bằng chứng số được chấp nhận trước một số tòa án thương mại mà không có sự tranh cãi của bên đối phương.

Kịch bản 2: một SME công nghiệp quản lý một khối lượng cao của hợp đồng nhà cung cấp

Một SME công nghiệp làm việc khoảng 150 người và quản lý hơn 300 hợp đồng nhà cung cấp hoạt động mỗi năm phải đối mặt với một vấn đề kép: tìm lại nhanh một hợp đồng trong trường hợp tranh chấp và chứng minh rằng các điều khoản hợp đồng không được sửa đổi sau khi ký. Các hợp đồng được ký trên