Sự khác biệt giữa chữ ký số và chữ ký điện tử vào năm 2026

Giới thiệu

Trong các giao dịch chuyên nghiệp hàng ngày, các thuật ngữ "chữ ký điện tử" và "chữ ký số" thường được sử dụng thay thế cho nhau. Tuy nhiên, chúng chỉ định các hiện thực khác nhau về mặt kỹ thuật và pháp lý. Nhầm lẫn hai khái niệm này có thể dẫn đến những hậu quả nghiêm trọng đối với giá trị chứng cứ của tài liệu, sự tuân thủ quy định của tổ chức bạn và an toàn của các giao dịch hợp đồng. Bài viết này giải thích một cách chuyên sâu và dựa trên sự kiện, sự khác biệt giữa chữ ký số và chữ ký điện tử, dựa vào khung eIDAS 2.0, các tiêu chuẩn ETSI và thực tiễn B2B châu Âu. Bạn sẽ biết chính xác giải pháp nào để chọn theo tình huống của mình vào năm 2026.

---

Định nghĩa cơ bản: hai khái niệm không nên nhầm lẫn

Chữ ký điện tử: khái niệm pháp lý rộng

Chữ ký điện tử trước hết là một khái niệm pháp lý, được định nghĩa bởi quy định của Châu Âu eIDAS (n° 910/2014) tại điều 3, khoản 10, như là "dữ liệu dưới dạng điện tử, được gắn kèm hoặc liên kết logic với dữ liệu khác dưới dạng điện tử và mà người ký sử dụng để ký". Định nghĩa này có ý định rộng bao gồm một số lượng lớn các quy trình: một cú nhấp chuột đơn giản trên "Tôi chấp nhận", một hình ảnh quét của chữ ký viết tay, mã OTP nhận được qua SMS hoặc thậm chí chữ ký mã hóa nâng cao.

Quy định eIDAS phân biệt ba mức chữ ký điện tử:

• Chữ ký điện tử đơn giản (SES): mức tối thiểu, không có yêu cầu kỹ thuật mạnh.
• Chữ ký điện tử nâng cao (SEA): được liên kết một cách duy nhất với người ký, có khả năng xác định tác giả, được tạo bằng dữ liệu dưới sự kiểm soát độc quyền của nó, và phát hiện bất kỳ sửa đổi nào sau này của tài liệu.
• Chữ ký điện tử đủ điều kiện (SEQ): mức cao nhất, dựa trên chứng chỉ đủ điều kiện do nhà cung cấp dịch vụ tin cậy (PSCo) cấp, được liệt kê trong danh sách tin cậy châu Âu (Trusted List).

Ở Pháp, Bộ luật Dân sự tại các điều 1366 và 1367 xác định giá trị pháp lý của chữ ký điện tử, miễn là nó "bao gồm việc sử dụng một quy trình xác định đáng tin cậy đảm bảo liên kết của nó với hành động mà nó gắn kèm".

Chữ ký số: khái niệm kỹ thuật chính xác

Chữ ký số (digital signature trong tiếng Anh) chỉ định, trong khi đó, một cơ chế mã hóa cụ thể. Nó dựa trên nguyên tắc của mã hóa bất đối xứng, còn được gọi là mã hóa khóa công khai (PKI – Public Key Infrastructure). Cụ thể, người ký có một cặp khóa:

• Khóa riêng tư, bí mật, được lưu giữ trong một thiết bị an toàn (thẻ thông minh, token HSM hoặc cloud HSM).
• Khóa công khai, có thể chia sẻ, được liên kết với chứng chỉ số do Cơ quan Cấp chứng chỉ (AC) được công nhân cấp.

Khi ký, một thuật toán băm (thường là SHA-256 hoặc SHA-3) tạo ra một dấu hiệu duy nhất của tài liệu. Dấu hiệu này sau đó được mã hóa với khóa riêng tư của người ký: đây là chữ ký số thích hợp. Bất kỳ người nhận nào cũng có thể xác minh chữ ký này bằng cách giải mã dấu hiệu bằng khóa công khai và so sánh nó với dấu hiệu được tính toán lại của tài liệu nhận được. Nếu hai dấu hiệu khớp, tính toàn vẹn và tính xác thực của tài liệu được chứng minh về mặt toán học.

Các tiêu chuẩn kỹ thuật điều chỉnh chữ ký số bao gồm đặc biệt:

• PKCS#7 / CMS (Cryptographic Message Syntax)
• XAdES, CAdES, PAdES (định dạng chữ ký được xác định bởi ETSI, đặc biệt ETSI EN 319 132 cho XAdES)
• RSA-2048, ECDSA P-256 như các thuật toán phổ biến

---

Mối quan hệ giữa hai khái niệm: sự bao gồm, không phải sự đối lập

Chữ ký số là tập con của chữ ký điện tử

Một lỗi thường gặp là đối lập hai khái niệm như thể chúng cạnh tranh với nhau. Trên thực tế, chữ ký số là một hình thức đặc biệt của chữ ký điện tử — hình thức mạnh nhất về mặt kỹ thuật. Mọi chữ ký số đều là chữ ký điện tử, nhưng điều ngược lại không đúng.

Sơ đồ sau đây minh họa sự bao gồm này:

> Chữ ký điện tử (khái niệm pháp lý rộng) > └── Chữ ký điện tử đơn giản (ví dụ: hộp kiểm, hình ảnh quét) > └── Chữ ký điện tử nâng cao (ví dụ: OTP + dấu thời gian) > └── Chữ ký điện tử đủ điều kiện ↔ luôn dựa trên chữ ký số PKI

Điểm này rất quan trọng: chữ ký điện tử đủ điều kiện theo eIDAS phải dựa trên thiết bị tạo chữ ký đủ điều kiện (QSCD) và chứng chỉ đủ điều kiện — nói cách khác, nó nhất thiết phải dựa trên mã hóa bất đối xứng, tức là chữ ký số.

Tại sao sự nhầm lẫn này lại phổ biến?

Một số yếu tố làm tăng sự nhầm lẫn:

1. Dịch thuật không chính xác: trong tiếng Anh, digital signature và electronic signature là hai thuật ngữ khác nhau, nhưng trong tiếng Pháp, "numérique" và "électronique" thường được sử dụng như từ đồng nghĩa trong ngôn ngữ hàng ngày.
2. Marketing của các nhà soạn thảo: nhiều nhà cung cấp nói về "chữ ký số" để chỉ các giải pháp chỉ dựa trên mức độ đơn giản hoặc nâng cao, tạo ra sự mơ hồ thương mại.
3. Sự phát triển công nghệ: các giao diện người dùng hiện đại che giấu sự phức tạp mã hóa cơ bản, làm cho sự phân biệt kém rõ ràng hơn đối với những người không phải kỹ thuật viên.

Để tìm hiểu thêm về các mức độ tuân thủ, hãy tham khảo hướng dẫn toàn diện về chữ ký điện tử và so sánh các giải pháp chữ ký điện tử có sẵn trên thị trường châu Âu.

---

So sánh kỹ thuật và pháp lý: bảng tóm tắt

Tiêu chí phân biệt

| Tiêu chí | Chữ ký điện tử (đơn giản) | Chữ ký số / SEQ | |---|---|---| | Cơ sở | Pháp lý (eIDAS, Bộ luật Dân sự) | Mã hóa (PKI, X.509) | | Công nghệ | Biến (OTP, hình ảnh, cú nhấp chuột) | Mã hóa bất đối xứng | | Chứng chỉ được yêu cầu | Không | Có (đủ điều kiện hoặc nâng cao) | | Giá trị chứng cứ | Hạn chế đến mạnh tùy theo mức độ | Tối đa (dự định pháp luật SEQ) | | Tiêu chuẩn kỹ thuật | — | ETSI EN 319 132 (XAdES), PAdES | | Thu hồi có thể | Không | Có (CRL, OCSP) | | Dấu thời gian đủ điều kiện | Tùy chọn | Được khuyến nghị / bắt buộc SEQ |

Những gì chữ ký số cung cấp thêm

Chữ ký số cung cấp bốn bảo đảm mà chữ ký điện tử đơn giản không thể đảm bảo:

• Tính xác thực: chứng minh toán học về danh tính của người ký thông qua chứng chỉ của họ.
• Tính toàn vẹn: bất kỳ sửa đổi nào của tài liệu sau khi ký đều có thể phát hiện ngay lập tức.
• Không từ chối: người ký không thể từ chối đã ký, miễn là khóa riêng tư của họ dưới sự kiểm soát độc quyền của họ.
• Dấu thời gian: kết hợp với dịch vụ dấu thời gian đủ điều kiện (TSA), nó xác định ngày ký một cách không thể tranh cãi.

Những tính chất này làm cho chữ ký số trở thành nền tảng không thể thiếu của chữ ký điện tử đủ điều kiện, mức duy nhất có dự định pháp luật về độ tin cậy trong tất cả các Thành viên của Liên minh Châu Âu theo điều 25 của quy định eIDAS.

Để hiểu chi tiết khung pháp lý eIDAS 2.0 có hiệu lực từ năm 2024, hãy tham khảo hướng dẫn chuyên dụng về quy định eIDAS 2.0.

---

Mức độ nào để chọn cho tổ chức của bạn vào năm 2026?

Phân tích theo loại hành động

Lựa chọn giữa chữ ký điện tử đơn giản, nâng cao hay đủ điều kiện (dựa trên chữ ký số) phụ thuộc trực tiếp vào tính chất pháp lý của hành động, rủi ro liên quan và yêu cầu ngành:

• Chữ ký đơn giản: báo giá, lệnh mua nội bộ, biên nhận, biểu mẫu nhân sự không nhạy cảm. Rủi ro thấp, giá trị chứng cứ đủ trong bối cảnh kiện tụng thông thường.
• Chữ ký nâng cao: hợp đồng thương mại, NDA, quy ước dịch vụ, hợp đồng cho thuê thương mại. Mức độ được khuyến nghị cho đa số các ứng dụng B2B theo hướng dẫn từ ANSSI và ENISA.
• Chữ ký đủ điều kiện (số PKI): hành động công chứng, hợp đồng mua sắm công trên ngưỡng châu Âu (chỉ thị 2014/24/UE), hành động dân sự được số hóa, một số hành động ngân hàng được quy định. Bắt buộc trong một số ngành được quy định.

Tác động của cải cách eIDAS 2.0 đối với thực tiễn

Quy định eIDAS 2.0 (quy định UE 2024/1183, được công bố trong JOUE vào ngày 30 tháng 4 năm 2024) giới thiệu Ví Nhận dạng Kỹ thuật số Châu Âu (EUDI Wallet), có kế hoạch triển khai vào năm 2026. Ví này sẽ cho phép công dân và chuyên gia châu Âu sử dụng các phương tiện xác định đủ điều kiện để ký điện tử, đồng thời tăng cường đáng kể khả năng tiếp cận của chữ ký đủ điều kiện dựa trên mã hóa. Các công ty áp dụng ngay bây giờ các giải pháp tương thích PKI sẽ chuẩn bị cơ sở hạ tầng của mình cho sự phát triển này.

Trang chữ ký điện tử trong doanh nghiệp của chúng tôi chi tiết hóa các chiến lược triển khai phù hợp với các quy mô tổ chức khác nhau.

---

Tiêu chí lựa chọn giải pháp chữ ký vào năm 2026

Câu hỏi kỹ thuật để hỏi nhà cung cấp của bạn

Khi đánh giá nền tảng chữ ký, các đội IT và pháp lý phải xác minh các điểm sau:

1. Nhà cung cấp có được phê duyệt eIDAS không? Kiểm tra sự có mặt của họ trong Danh sách tin cậy châu Âu (có thể truy cập thông qua Ủy ban châu Âu).
2. Những định dạng chữ ký nào được hỗ trợ? PAdES (PDF), XAdES (XML), CAdES (CMS) — ba định dạng chuẩn hóa bởi ETSI.
3. Việc lưu trữ khóa riêng tư có tuân thủ QSCD không? (ví dụ: HSM được chứng nhận Common Criteria EAL 4+ hoặc FIPS 140-2 Level 3)
4. Có tích hợp dấu thời gian đủ điều kiện không? Không thể thiếu để bảo tồn dài hạn (LTV – Long Term Validation).
5. Giải pháp có hỗ trợ các quy trình làm việc ký nhiều người với ủy quyền, thứ tự ký và lưu trữ chứng cứ không?

Khả năng tương thích và lưu trữ dài hạn

Một khía cạnh thường bị bỏ qua là tính bền vững của giá trị chứng cứ. Chữ ký số dựa trên các thuật toán mã hóa phát triển: SHA-1 đã lỗi thời từ năm 2017, RSA-1024 từ năm 2015. Một giải pháp nghiêm túc phải triển khai xác thực dài hạn (LTV) theo ETSI EN 319 102-1, bao gồm các bằng chứng xác thực (trạng thái thu hồi, chuỗi chứng chỉ, dấu thời gian) được nhúng trực tiếp vào tệp đã ký tại thời điểm ký, đảm bảo khả năng xác minh của nó trong 10, 20 hoặc 30 năm.

Certyneo tích hợp sẵn các định dạng LTV-PAdES và lưu trữ chứng cứ tuân thủ eIDAS. So sánh các tính năng có sẵn trên trang giá của chúng tôi hoặc ước tính lợi nhuận đầu tư của bạn bằng máy tính ROI chữ ký điện tử.

Khung pháp lý áp dụng cho chữ ký điện tử và số

Văn bản sáng lập châu Âu

Nền tảng pháp lý của chữ ký điện tử ở châu Âu dựa chủ yếu trên quy định eIDAS n° 910/2014 (Electronic Identification, Authentication and Trust Services), trực tiếp áp dụng trong 27 Thành viên từ ngày 1 tháng 7 năm 2016. Điều 25 của nó đặt ra nguyên tắc thiết yếu: "Chữ ký điện tử đủ điều kiện có tác dụng pháp lý tương đương với chữ ký viết tay." Các điều 26 đến 32 định nghĩa các yêu cầu kỹ thuật của các mức nâng cao và đủ điều kiện.

Quy định eIDAS 2.0 (UE 2024/1183) hiện đại hóa khung này bằng cách giới thiệu ví nhận dạng kỹ thuật số châu Âu (EUDI Wallet), bằng cách mở rộng phạm vi của các dịch vụ tin cậy đủ điều kiện và bằng cách tăng cường yêu cầu an ninh mạng cho các nhà cung cấp PSCo.

Pháp luật Pháp

Trong luật nội bộ, các điều 1366 và 1367 của Bộ luật Dân sự (từ sắc lệnh n° 2016-131 ngày 10 tháng 2 năm 2016) xác định giá trị pháp lý của chữ ký điện tử. Điều 1367 được làm rõ là nó "bao gồm việc sử dụng một quy trình xác định đáng tin cậy đảm bảo liên kết của nó với hành động mà nó gắn kèm". Dự định về độ tin cậy được hưởng lợi từ chữ ký điện tử đủ điều kiện theo eIDAS theo sắc lệnh n° 2017-1416 ngày 28 tháng 9 năm 2017.

Tiêu chuẩn kỹ thuật ETSI

Triển khai kỹ thuật được điều chỉnh bởi các tiêu chuẩn của Viện Tiêu chuẩn Viễn thông Châu Âu (ETSI):

• ETSI EN 319 132-1: định dạng XAdES cho các tài liệu XML
• ETSI EN 319 122-1: định dạng CAdES cho dữ liệu nhị phân
• ETSI EN 319 162-1: định dạng PAdES cho các tài liệu PDF
• ETSI EN 319 102-1: thủ tục tạo và xác thực
• ETSI EN 319 401: yêu cầu chung cho PSCo

An niệm mạng và bảo vệ dữ liệu

Quản lý các khóa mã hóa và chứng chỉ số liên quan đến xử lý dữ liệu nhận dạng, được quy định bởi RGPD n° 2016/679. Những người chịu trách nhiệm xử lý phải đặc biệt đảm bảo tối thiểu hóa dữ liệu được thu thập trong các quy trình xác định (điều 5), triển khai các biện pháp bảo vệ thích hợp (điều 32) và, nếu cần, thực hiện phân tích tác động (DPIA) theo điều 35 đối với các quá trình xử lý rủi ro cao.

Chỉ thị NIS2 (UE 2022/2555), được chuyển vào pháp luật Pháp bởi luật n° 2024-449 ngày 21 tháng 5 năm 2024, áp đặt các yêu cầu an niên mạng tăng cường đối với các thực thể cốt yếu và quan trọng, bao gồm các nhà cung cấp dịch vụ tin cậy đủ điều kiện. Các yêu cầu này bao gồm quản lý rủi ro, thông báo sự cố và bảo vệ chuỗi cung ứng phần mềm.

Rủi ro pháp lý trong trường hợp không tuân thủ

Sử dụng chữ ký điện tử đơn giản cho một hành động yêu cầu chữ ký đủ điều kiện khiến tổ chức phải đối mặt với một số rủi ro: vô hiệu hành động, không chấp nhận bằng chứng trong trường hợp kiện tụng, cam kết trách nhiệm hợp đồng của nhà cung cấp và, trong một số ngành được quy định (y tế, tài chính, mua sắm công), các hình phạt hành chính có thể lên đến hàng triệu euro.

Kịch bản sử dụng: chữ ký số và điện tử trong thực tiễn

Kịch bản 1 — Một văn phòng luật sư chuyên kinh doanh gồm 15 nhân viên

Một văn phòng chuyên về pháp luật hợp đồng và sáp nhập-mua lại xử lý trung bình 300 hành động mỗi tháng, bao gồm các hành động chuyển nhượng phần vốn góp, các quy ước bảo đảm tài sản và nợ (GAP) và các giao thức giải quyết tranh chấp. Trong lịch sử, mỗi hành động cần gửi theo đường bưu điện hoặc họp vật lý để ký, tạo ra độ trễ trung bình 5 đến 8 ngày làm việc mỗi tệp.

Bằng cách triển khai giải pháp chữ ký điện tử nâng cao (SEA) cho các hợp đồng thương mại thông thường và chữ ký điện tử đủ điều kiện (SEQ, dựa trên chữ ký số PKI) cho các hành động có stakes cao, văn phòng đã giảm độ trễ ký trung bình xuống dưới 4 giờ. Theo các tiêu chuẩn ngành được công bố bởi Hội đồng Quốc gia Luật sư (2024), các văn phòng đã số hóa các quy trình ký của họ sẽ chứng kiến sự giảm 60 đến 75% thời gian hợp đồng hóa và tiết kiệm 8 đến 12 € mỗi hành động (chi phí bưu điện, in ấn, lưu trữ giấy). Dấu vết kiểm tra tích hợp vào nền tảng cũng đã tăng cường an niêm chứng cứ trong một tranh chấp, dữ liệu meta chữ ký (IP, dấu thời gian đủ điều kiện, danh tính được chứng nhận) đã được trình bày là bằng chứng có thể chấp nhận được.

Kịch bản 2 — Một ETI công nghiệp quản lý 400 hợp đồng nhà cung cấp mỗi năm

Một doanh nghiệp vừa và vừa của ngành sản xuất, với các địa điểm nằm rải rác ở bốn quốc gia châu Âu, cần phải ký hợp đồng-khung và các sửa đổi cho nhà cung cấp có trụ sở tại Đức, Ba Lan và Tây Ban Nha. Sự đa dạng của các luật tư pháp quốc gia và khối lượng hợp đồng cao làm cho quản lý thủ công đặc biệt tốn kém và rủi ro.

Bằng cách áp dụng nền tảng chữ ký điện tử nâng cao tuân thủ eIDAS — được công nhận trên toàn bộ các Thành viên nhờ nguyên tắc công nhận lẫn nhau của điều 25 eIDAS — công ty đã có thể thống nhất quy trình hợp đồng hóa của mình. Việc sử dụng mã hóa bất đối xứng (chữ ký số) cho các hợp đồng chiến lược đảm bảo tính toàn vẹn của tài liệu trên toàn bộ vòng đời. Các nghiên cứu ngành (báo cáo IDC European Trust Services, 2025) cho biết rằng các ETI công nghiệp sử dụng chữ ký điện tử nâng cao hoặc đủ điều kiện giảm chi phí quản lý hợp đồng 40 đến 55% và giảm ba lần rủi ro tranh chấp liên quan đến tranh chấp ký.

Kịch bản 3 — Một nhóm bệnh viện khoảng 600 giường

Trong lĩnh vực y tế, ký các