Nghĩa vụ của nhà cung cấp dịch vụ ký điện tử ở Pháp

Giới thiệu

Triển khai giải pháp ký điện tử ở Pháp không phải là việc tình cờ. Phía sau mỗi chữ ký điều lệ hoặc nâng cao ẩn chứa hàng chục nghĩa vụ pháp lý áp dụng cho nhà cung cấp dịch vụ tin cậy (PSCo). Quy định eIDAS, RGPD, bộ tiêu chuẩn bảo mật chung, các tiêu chuẩn ETSI… khung pháp lý vừa dày đặc vừa phát triển liên tục. Đối với các doanh nghiệp sử dụng dịch vụ, việc hiểu rõ những nghĩa vụ pháp lý của nhà cung cấp ký điện tử ở Pháp eIDAS RGPD là rất cần thiết để lựa chọn đối tác tuân thủ và tránh mọi rủi ro pháp lý. Bài viết này chi tiết từng phần, toàn bộ các yêu cầu áp dụng cho các PSCo hoạt động trên lãnh thổ Pháp.

---

Tình trạng nhà cung cấp dịch vụ tin cậy được xác định

PSCo theo nghĩa của eIDAS là gì?

Quy định eIDAS số 910/2014 phân biệt hai loại nhà cung cấp: các nhà cung cấp dịch vụ tin cậy không được xác định và các nhà cung cấp được xác định (PSCQ). Những người đầu tiên có thể cung cấp dịch vụ ký điện tử đơn giản hoặc nâng cao mà không cần kiểm toán bên thứ ba bắt buộc. Những người thứ hai — chỉ được phép cấp chữ ký điều lệ theo nghĩa của điều khoản 3(15) của eIDAS — phải đáp ứng những yêu cầu nghiêm ngặt hơn đáng kể.

Ở Pháp, Cơ quan An ninh Quốc gia Hệ thống Thông tin (ANSSI) thực hiện vai trò là cơ quan giám sát (« Supervisory Body ») quy định tại điều 17 của eIDAS. Nó công bố và duy trì danh sách tin cậy Pháp (TSL — Trust Service List), có thể truy cập trên trang web chính thức của nó, liệt kê các nhà cung cấp được xác định và các dịch vụ của họ.

Thủ tục xác định: kiểm toán và tuân thủ

Để đạt được tình trạng được xác định, một PSCo phải:

• Yêu cầu các dịch vụ của nó được kiểm toán bởi một cơ quan đánh giá sự tuân thủ (CAB — Conformity Assessment Body) được công nhân bởi COFRAC theo tiêu chuẩn EN ISO/IEC 17065.

• Gửi báo cáo kiểm toán cho ANSSI, nơi sẽ xác định việc cấp tình trạng được xác định. Tình trạng này được đánh giá lại ít nhất mỗi 24 tháng (điều 20 §1 eIDAS).

• Thông báo cho ANSSI bất kỳ thay đổi đáng kể nào trong các dịch vụ của nó trong vòng 3 tháng trước khi dự kiến thực hiện thay đổi (điều 21 eIDAS).

Việc không tuân thủ các bước này sẽ phơi bày nhà cung cấp với nguy cơ bị xóa khỏi TSL và mất các quyền lợi pháp lý gắn với chữ ký được xác định. Đối với các doanh nghiệp khách hàng, sử dụng một PSCo không có trong danh sách TSL tương đương với việc không được hưởng bất kỳ giả định pháp lý nào về độ tin cậy.

> Để tìm hiểu thêm về các mức độ ký khác nhau và hiệu lực pháp lý của chúng, vui lòng xem tài liệu của chúng tôi.

---

Các nghĩa vụ kỹ thuật và bảo mật áp dụng cho PSCo

Tuân thủ các tiêu chuẩn ETSI

Các nhà cung cấp được xác định phải tuân thủ một bộ tiêu chuẩn châu Âu do Viện Tiêu chuẩn Viễn thông Châu Âu (ETSI) công bố. Những tiêu chuẩn chính là:

• ETSI EN 319 401: yêu cầu bảo mật chung áp dụng cho tất cả các PSCo.

• ETSI EN 319 411-1 và 411-2: chính sách và thực hành của các cơ quan cấp chứng chỉ cấp chứng chỉ ký điều lệ.

• ETSI EN 319 132: định dạng chữ ký điện tử nâng cao (XAdES cho XML, PAdES cho PDF, CAdES cho CMS).

• ETSI EN 319 122: định dạng CAdES cho các chữ ký được xác định.

• ETSI TS 119 431: yêu cầu cho các dịch vụ tạo chữ ký từ xa (QSCD từ xa).

Những tiêu chuẩn này không phải tùy chọn: Quy định eIDAS (Phụ lục II, III và IV) tham khảo rõ ràng chúng để xác định các yêu cầu tối thiểu của chứng chỉ được xác định và các thiết bị tạo chữ ký.

Quản lý các thiết bị tạo chữ ký được bảo mật (QSCD)

Một trong những trụ cột của chữ ký được xác định là sử dụng một thiết bị tạo chữ ký được bảo mật (QSCD — Qualified Signature Creation Device) tuân thủ Phụ lục II của eIDAS. Nhà cung cấp phải đảm bảo rằng:

• Khóa riêng của người ký không thể được tạo, lưu trữ hoặc sao chép bên ngoài QSCD.

• Tạo khóa diễn ra độc quyền trong một môi trường được chứng nhận (chứng nhận Common Criteria EAL 4+ hoặc tương đương).

• Xác thực người ký trước bất kỳ hành động ký nào dựa trên ít nhất hai yếu tố xác thực.

Trong bối cảnh ký từ xa — ngày càng phổ biến hơn trong các môi trường SaaS — những yêu cầu này áp dụng cho máy chủ HSM (Hardware Security Module) lưu trữ các khóa. ANSSI đã công bố các hồ sơ bảo vệ cụ thể (PP-0075, PP-0076) xác định các tiêu chí bảo mật cần đạt được.

Chính sách liên tục và thông báo sự cố

Điều 19 của eIDAS yêu cầu mỗi nhà cung cấp dịch vụ tin cậy (được xác định hay không) phải:

• Thông báo cho cơ quan giám sát (ANSSI) và, nếu có, cơ quan bảo vệ dữ liệu (CNIL), trong vòng 24 giờ sau khi phát hiện sự vi phạm bảo mật có khả năng ảnh hưởng đến độ tin cậy của dịch vụ.

• Duy trì kế hoạch tiếp tục hoạt động được ghi chép và kiểm tra thường xuyên.

• Có một chính sách bảo mật thông tin chính thức, bao gồm đặc biệt là quản lý rủi ro, quản lý sự cố và chính sách sao lưu.

Những yêu cầu này trùng lặp một phần với những yêu cầu của Chỉ thị NIS2 (2022/2555/UE), được chuyển đổi thành luật Pháp bởi Luật số 2023-703 ngày 1 tháng 8 năm 2023, phân loại các PSCo có quy mô đáng kể trong số các thực thể quan trọng hoặc thiết yếu phải tuân thủ các nghĩa vụ an toàn mạng tăng cường.

> Khám phá cách các phải tích hợp các ràng buộc này vào quy trình tài liệu của họ.

---

Các nghĩa vụ RGPD cụ thể cho PSCo

PSCo, người chịu trách nhiệm xử lý hay bên xử lý nhân danh?

Tư cách RGPD của nhà cung cấp tùy thuộc vào bản chất của dịch vụ cung cấp:

• Khi PSCo cấp trực tiếp chứng chỉ được xác định nhân danh người ký và xác định mục đích xử lý dữ liệu cá nhân (danh tính, dữ liệu sinh trắc học xác thực), nó hoạt động với tư cách là người chịu trách nhiệm xử lý theo nghĩa của điều 4(7) RGPD.

• Khi nó tích hợp API của nó vào nền tảng của khách hàng B2B và xử lý dữ liệu cá nhân chỉ theo hướng dẫn của khách hàng này, nó mang tư cách bên xử lý nhân danh (điều 4(8) RGPD) và phải bắt buộc ký một DPA (Data Processing Agreement) tuân thủ điều 28 RGPD.

Trong thực tế, hầu hết các PSCo SaaS tích lũy cả hai tư cách: người chịu trách nhiệm quản lý cơ sở hạ tầng xác thực của riêng họ, bên xử lý nhân danh cho dữ liệu xử lý của tài liệu và siêu dữ liệu của những người ký.

Các nghĩa vụ cụ thể liên quan đến dữ liệu sinh trắc học và danh tính

Việc xác định và xác thực người ký — bước bắt buộc để cấp chứng chỉ được xác định — thường liên quan đến xử lý dữ liệu nhạy cảm: quét chứng minh nhân dân, video selfie, dữ liệu sinh trắc học nhận dạng khuôn mặt. Những dữ liệu này cấu thành dữ liệu cá nhân phải tuân thủ RGPD, hoặc thậm chí dữ liệu sinh trắc học trong phạm vi điều 9 RGPD (danh mục đặc biệt).

Các nghĩa vụ của PSCo bao gồm:

• Cơ sở pháp lý: sự đồng ý rõ ràng (điều 9§2a) hoặc, trong một số trường hợp, nghĩa vụ pháp lý (điều 9§2b) để xử lý dữ liệu sinh trắc học.

• Thời gian lưu trữ hạn chế: theo hướng dẫn của CNIL, dữ liệu xác định phải được lưu giữ trong thời gian thực sự cần thiết, thường được căn chỉnh theo thời gian hiệu lực của chứng chỉ + thời gian pháp lý chứng minh (thường là 10 năm đối với các hành động với chữ ký cá nhân, điều 2224 Bộ Luật Dân sự).

• Phân tích tác động (AIPD) bắt buộc (điều 35 RGPD) mỗi khi xử lý có khả năng gây ra rủi ro cao — điều này luôn đúng với sinh trắc học.

• Sổ đăng ký các hình thức xử lý (điều 30 RGPD) được cập nhật và ghi chép từng danh mục xử lý.

Chuyển giao dữ liệu quốc tế

Nhiều PSCo lưu trữ toàn bộ hoặc một phần cơ sở hạ tầng của họ bên ngoài Khu vực Kinh tế Châu Âu (EEE). Trong trường hợp này, những bảo đảm thích hợp yêu cầu bởi Chương V RGPD được áp dụng: quyết định tính đầy đủ, điều khoản hợp đồng tiêu chuẩn (SCCs) của Ủy ban Châu Âu hoặc quy tắc ràng buộc công ty (BCR). Bản phán quyết Schrems II (CJEU, C-311/18, 16 tháng 7 năm 2020) nhắc lại rằng chuyển giao sang Hoa Kỳ yêu cầu phân tích rủi ro quốc gia trước.

> Để hiểu tác động của những quy tắc này đối với tổ chức của bạn, vui lòng xem tài liệu của chúng tôi.

---

Các nghĩa vụ minh bạch và thông tin cho người dùng

Chính sách chứng nhận (PC) và Tuyên bố thực hành chứng nhận (DPC)

Mỗi PSCo cấp chứng chỉ đều phải công bố Chính sách Chứng nhận (PC) và Tuyên bố Thực hành Chứng nhận (DPC), tuân thủ tiêu chuẩn ETSI EN 319 411. Những tài liệu này, có thể truy cập tự do, chi tiết:

• Các quy trình xác định và đăng ký những người ký.

• Các biện pháp bảo mật vật lý và hợp lý được triển khai.

• Điều kiện thu hồi chứng chỉ và các thời gian liên quan.

• Trách nhiệm và giới hạn bảo hành của PSCo.

Sự vắng mặt hoặc không đầy đủ của những tài liệu này cấu thành sự không tuân thủ có thể được phát hiện trong quá trình kiểm toán xác định lại bởi cơ quan được công nhân.

Thông tin trước hợp đồng và hợp đồng cho khách hàng

Ngoài những nghĩa vụ thuần túy kỹ thuật, điều 13 RGPD yêu cầu PSCo cung cấp cho mỗi người mà dữ liệu được thu thập thông tin rõ ràng và có thể tiếp cận về:

• Danh tính của người chịu trách nhiệm xử lý và tọa độ của DPO (bắt buộc đối với các PSCo xử lý dữ liệu nhạy cảm quy mô lớn, điều 37 RGPD).

• Mục đích và cơ sở pháp lý của từng hình thức xử lý.

• Quyền của các cá nhân (truy cập, sửa đổi, xóa, chuyển dữ liệu, phản đối).

• Những người nhận dữ liệu có thể (bên xử lý nhân danh, cơ quan chính phủ).

Những thông tin này phải xuất hiện trong chính sách bảo mật của dịch vụ, trong Điều khoản Sử dụng và, nếu có, trong DPA ký với các khách hàng chuyên nghiệp.

Dấu thời gian được xác định và hỗ trợ kiểm toán

Để đảm bảo giá trị chứng minh dài hạn của các chữ ký, các PSCo sérieux thường liên kết một dấu thời gian điện tử được xác định (điều 42 eIDAS) với mỗi hành động được ký. Dấu thời gian này cấu thành bằng chứng được giả định pháp lý về sự tồn tại của dữ liệu vào ngày được chỉ định. Lưu giữ hỗ trợ kiểm toán (nhật ký xác định, dấu vân tay tài liệu, dữ liệu chữ ký) là một nghĩa vụ thực tế để cho phép bất kỳ xác minh tư pháp nào trong tương lai.

> So sánh các giải pháp trên thị trường theo những tiêu chí này trong .

---

eIDAS 2.0: những nghĩa vụ mới sắp tới 2026-2027

Quy định eIDAS 2.0 (EU) 2024/1183

Công bố trên Tạp chí Chính thức của EU ngày 30 tháng 4 năm 2024, quy định (EU) 2024/1183 gọi là "eIDAS 2.0" tăng cường đáng kể các nghĩa vụ của PSCo xung quanh ba trục:

• Ví điện tử Nhân dân Châu Âu (EUDI Wallet): các Quốc gia thành viên phải cung cấp một ví danh tính kỹ thuật số được chứng nhận vào lúc 2 tháng 11 năm 2026. Các PSCo phải tích hợp dịch vụ của họ với ví này để cung cấp chữ ký được xác định thông qua danh tính eIDAS 2.0.

• Quản lý các chứng chỉ thuộc tính: eIDAS 2.0 giới thiệu các chứng chỉ thuộc tính được xác định (QEAAs), được cấp bởi các nhà cung cấp chứng nhận được xác định. Các quy trình kiểm toán và xác định mới sẽ áp dụng.

• Tăng cường giám sát: các cơ quan giám sát quốc gia (ANSSI cho Pháp) thấy quyền hạn của họ được mở rộng, đặc biệt là khả năng tiến hành các cuộc kiểm tra đột xuất và áp dụng các biện pháp khắc phục bắt buộc trong các thời hạn rút gọn.

Hàm ý thực tế cho các nhà cung cấp hiện tại

Các PSCo đã được xác định theo eIDAS 1.0 phải tuân thủ một cách tiến hộ trước các thời hạn được Ủy ban quy định trong các hành động thực thi (được công bố hoặc đang được công bố). Các điều chỉnh chính liên quan đến:

• Thiết kế lại cơ sở hạ tầng xác định để hỗ trợ EUDI Wallet như một phương tiện xác thực.

• Cập nhật PC/DPC để tích hợp các loại chứng chỉ và chứng nhận mới.

• Tăng cường yêu cầu bảo mật của các QSCD từ xa, với các hồ sơ bảo vệ mới sắp tới.

Đối với các doanh nghiệp khách hàng, điều này có nghĩa là xác minh ngay bây giờ rằng nhà cung cấp của họ có một lộ trình tuân thủ eIDAS 2.0 được ghi chép và có thể xác minh.

Khung pháp lý áp dụng cho các nghĩa vụ của nhà cung cấp ký điện tử

Chuỗi tiêu chuẩn áp dụng cho các nhà cung cấp ký điện tử hoạt động ở Pháp được tổ chức trên nhiều mức phân cấp bổ sung lẫn nhau.

Bộ Luật Dân sự Pháp — Các điều 1366 và 1367

Điều 1366 của Bộ Luật Dân sự công nhận tài liệu điện tử như một phương thức chứng minh tương đương với tài liệu giấy, với điều kiện " danh tính của người phát ra có thể được xác định đúng cách và nó được lập dựng và lưu giữ trong những điều kiện có tính chất đảm bảo toàn vẹn của nó". Điều 1367 làm rõ rằng chữ ký điện tử "bao gồm việc sử dụng một quy trình đáng tin cậy để xác định đảm bảo liên kết của nó với hành động mà nó liên kết". Giả định về độ tin cậy được hưởng bởi các chữ ký được xác định theo nghĩa của eIDAS, đảo ngược gánh nặng chứng minh có lợi cho người ký.

Quy định eIDAS n° 910/2014/UE

Quy định này, áp dụng trực tiếp ở tất cả các Quốc gia thành viên, thiết lập khung pháp lý cho các dịch vụ tin cậy. Điều 26 xác định các điều kiện chữ ký điện tử nâng cao; điều 28 các yêu cầu của chứng chỉ được xác định; Phụ lục I chi tiết nội dung bắt buộc của những chứng chỉ này. Các PSCo được xác định được hưởng giả định tuân thủ các yêu cầu kỹ thuật và pháp lý của quy định (điều 19§2), đây là một lợi thế lớn trong trường hợp tranh chấp.

Quy định eIDAS 2.0 — (EU) 2024/1183

Công bố ngày 30 tháng 4 năm 2024, quy định sửa đổi này giới thiệu các danh mục dịch vụ tin cậy mới (chứng nhận thuộc tính được xác định, dịch vụ lưu trữ được xác định) và tăng cường các nghĩa vụ giám sát. Nó hủy bỏ và thay thế một phần quy định 910/2014, với khả năng áp dụng tiến hộ theo các hành động thực thi của Ủy ban Châu Âu.

RGPD — Quy định (EU) 2016/679

RGPD áp dụng cho bất kỳ xử lý dữ liệu cá nhân nào được thực hiện trong khuôn khổ của dịch vụ ký điện tử. Các điều 5 (nguyên tắc hợp pháp), 6 (cơ sở pháp lý), 9 (dữ liệu nhạy cảm), 13-14 (thông tin), 28 (bên xử lý nhân danh), 32 (bảo mật), 33-34 (thông báo vi phạm), 35 (AIPD) và 37 (DPO) cấu thành những quy định áp dụng thường xuyên nhất. CNIL là cơ quan kiểm soát có thẩm quyền ở Pháp và có thể áp dụng tiền phạt lên tới 20 triệu euro hoặc 4% doanh thu toàn cầu hàng năm (điều 83§5 RGPD).

Chỉ thị NIS2 — (EU) 2022/2555

Chuyển đổi thành luật Pháp bởi Luật số 2023-703 ngày 1 tháng 8 năm 2023, NIS2 phân loại các PSCo đáng kể trong số các thực thể quan trọng hoặc thiết yếu phải tuân thủ các nghĩa vụ quản lý rủi ro mạng và thông báo sự cố cho ANSSI trong 24 giờ (cảnh báo sớm) sau đó 72 giờ (thông báo hoàn chỉnh).

Tiêu chuẩn ETSI

Tất cả các tiêu chuẩn EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 và TS 119 431 cấu thành tham chiếu kỹ thuật bắt buộc để kiểm toán xác định. Việc không tuân thủ chúng dẫn đến không thể có được hoặc duy trì tình trạng được xác định.

Rủi ro pháp lý trong trường hợp không tuân thủ

Một nhà cung cấp không tuân thủ sẽ phơi bày với: xóa khỏi danh sách TSL Pháp, trách nhiệm hợp đồng và ngoài hợp đồng, các xử phạt quản lý CNIL, tiền phạt NIS2 có thể đạt tới 10 triệu euro hoặc 2% doanh thu toàn cầu cho các thực thể quan trọng và 20 triệu hoặc 4% doanh thu cho các thực thể thiết yếu, cũng như các hành động pháp lý của những khách hàng đã chịu thiệt hại do chữ ký không hợp lệ pháp lý.

Kịch bản sử dụng: cách các doanh nghiệp xác minh sự tuân thủ của PSCo

Kịch bản 1 — Một tập đoàn công nghiệp quản lý 3 000 hợp đồng nhà cung cấp mỗi năm

Một tập đoàn công nghiệp quy mô trung bình (ETI), hoạt động trong sản xuất thiết bị cơ khí, dạo các hợp đồng nhà cung cấp toàn bộ thông qua nền tảng SaaS ký điện tử. Trong quá trình kiểm tra nội bộ được kích hoạt sau sự phát triển quy định, ban giám đốc pháp lý phát hiện rằng nhà cung cấp được chọn — ban đầu được lựa chọn dựa trên tiêu chí giá — không được tham chiếu trên TSL Pháp, cũng không phải trên bất kỳ TSL châu Âu nào. Các chữ ký được