Nghĩa vụ của nhà cung cấp dịch vụ ký điện tử ở Pháp

Giới thiệu

Triển khai giải pháp ký điện tử ở Pháp không phải là điều có thể tức thời. Phía sau mỗi chữ ký được xác định rõ hoặc nâng cao nằm ẩn chứa hàng chục nghĩa vụ pháp lý liên quan đến nhà cung cấp dịch vụ tin tưởng (PSCo). Quy định eIDAS, RGPD, khung tham chiếu bảo mật chung, tiêu chuẩn ETSI… khung quy định vừa phức tạp vừa đang phát triển. Đối với các doanh nghiệp sử dụng, việc hiểu các nghĩa vụ pháp lý nhà cung cấp ký điện tử Pháp eIDAS RGPD là không thể thiếu để chọn đối tác tuân thủ và tránh mọi rủi ro pháp lý. Bài viết này chi tiết, từng phần, tập hợp toàn bộ các yêu cầu áp dụng cho các PSCo hoạt động trên lãnh thổ Pháp.

---

Địa vị nhà cung cấp dịch vụ tin tưởng được xác định rõ

PSCo theo eIDAS là gì?

Quy định eIDAS số 910/2014 phân biệt hai loại nhà cung cấp: các nhà cung cấp dịch vụ tin tưởng không được xác định rõ và các nhà cung cấp được xác định rõ (PSCQ). Những nhà cung cấp đầu tiên có thể cung cấp dịch vụ ký điện tử đơn giản hoặc nâng cao mà không cần có kiểm toán bên thứ ba bắt buộc. Những nhà cung cấp thứ hai — chỉ được phép cấp chữ ký được xác định rõ theo điều 3(15) của eIDAS — phải đáp ứng các yêu cầu cao hơn đáng kể.

Ở Pháp, Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) đóng vai trò là cơ quan giám sát (« Supervisory Body ») được quy định trong điều 17 của eIDAS. Nó công bố và duy trì danh sách tin tưởng Pháp (TSL — Trust Service List), có thể truy cập trên trang web chính thức của nó, liệt kê các nhà cung cấp được xác định rõ và các dịch vụ của họ.

Quy trình xác định rõ: kiểm toán và tuân thủ

Để có được địa vị được xác định rõ, PSCo phải bắt buộc:

• Kiểm toán các dịch vụ của mình bởi cơ quan đánh giá sự tuân thủ (CAB — Conformity Assessment Body) được công nhận bởi COFRAC theo tiêu chuẩn EN ISO/IEC 17065.

• Gửi báo cáo kiểm toán cho ANSSI, cơ quan này sẽ quyết định cấp địa vị được xác định rõ. Địa vị này được tái đánh giá ít nhất mỗi 24 tháng (điều 20 §1 eIDAS).

• Thông báo cho ANSSI bất kỳ thay đổi trọng yếu nào trong các dịch vụ của mình trong vòng 3 tháng trước khi thay đổi dự kiến (điều 21 eIDAS).

Không tuân thủ các bước này làm phơi bày nhà cung cấp với rủi ro bị loại khỏi TSL và mất các suy định pháp lý liên quan đến chữ ký được xác định rõ. Đối với các doanh nghiệp khách hàng, việc sử dụng PSCo không được liệt kê trên TSL tương đương với việc không hưởng bất kỳ suy định pháp lý nào về độ tin cậy.

> Để tìm hiểu thêm về các mức ký điện tử khác nhau và tác động pháp lý của chúng, hãy tham khảo hướng dẫn đầy đủ của quy định eIDAS 2.0.

---

Các nghĩa vụ kỹ thuật và bảo mật áp dụng cho PSCo

Tuân thủ tiêu chuẩn ETSI

Các nhà cung cấp được xác định rõ phải tuân thủ tập hợp các tiêu chuẩn châu Âu được công bố bởi European Telecommunications Standards Institute (ETSI). Những tiêu chuẩn chính bao gồm:

• ETSI EN 319 401: yêu cầu bảo mật chung áp dụng cho tất cả các PSCo.

• ETSI EN 319 411-1 và 411-2: chính sách và thực hành của các cơ quan cấp chứng chỉ cấp chứng chỉ ký được xác định rõ.

• ETSI EN 319 132: định dạng ký điện tử nâng cao (XAdES cho XML, PAdES cho PDF, CAdES cho CMS).

• ETSI EN 319 122: định dạng CAdES cho các chữ ký được xác định rõ.

• ETSI TS 119 431: yêu cầu cho các dịch vụ tạo chữ ký từ xa (QSCD từ xa).

Các tiêu chuẩn này không phải tùy chọn: quy định eIDAS (Phụ lục II, III và IV) tham chiếu rõ ràng đến chúng để xác định các yêu cầu tối thiểu của chứng chỉ được xác định rõ và các thiết bị tạo chữ ký.

Quản lý các thiết bị tạo chữ ký được bảo mật (QSCD)

Một trong những trụ cột của chữ ký được xác định rõ là sử dụng thiết bị tạo chữ ký được bảo mật (QSCD — Qualified Signature Creation Device) tuân thủ Phụ lục II của eIDAS. Nhà cung cấp phải đảm bảo rằng:

• Khóa riêng tư của người ký không thể được tạo, lưu trữ hoặc sao chép bên ngoài QSCD.

• Tạo khóa được thực hiện độc quyền trong môi trường được chứng nhận (chứng nhận Common Criteria EAL 4+ hoặc tương đương).

• Xác thực của người ký trước bất kỳ hành động ký nào dựa trên ít nhất hai yếu tố xác thực.

Trong bối cảnh ký từ xa — ngày càng phổ biến trong các môi trường SaaS — những yêu cầu này áp dụng cho máy chủ HSM (Hardware Security Module) lưu trữ các khóa. ANSSI đã công bố các hồ sơ bảo vệ cụ thể (PP-0075, PP-0076) xác định các tiêu chí bảo mật cần đạt được.

Chính sách liên tục và thông báo sự cố

Điều 19 của eIDAS buộc tất cả nhà cung cấp dịch vụ tin tưởng (được xác định rõ hoặc không) phải:

• Thông báo cho cơ quan giám sát (ANSSI) và, nếu cần thiết, cơ quan bảo vệ dữ liệu (CNIL), trong vòng 24 giờ sau khi phát hiện vi phạm bảo mật có khả năng có tác động đến độ tin cậy của dịch vụ.

• Duy trì kế hoạch liên tục hoạt động được ghi chép lại và kiểm tra thường xuyên.

• Có chính sách bảo mật thông tin chính thức, bao gồm đặc biệt là quản lý rủi ro, quản lý sự cố và chính sách sao lưu.

Những yêu cầu này trùng lặp một phần với yêu cầu của chỉ thị NIS2 (2022/2555/UE), được chuyển đổi thành pháp luật Pháp bằng luật số 2023-703 ngày 1 tháng 8 năm 2023, phân loại các PSCo có quy mô đáng kể trong số các thực thể quan trọng hoặc thiết yếu phải tuân thủ các yêu cầu an ninh mạng tăng cường.

> Khám phá cách ký điện tử cho các công ty luật phải tích hợp những ràng buộc này vào các quy trình tài liệu của họ.

---

Các nghĩa vụ RGPD cụ thể áp dụng cho PSCo

PSCo, người chịu trách nhiệm xử lý hay nhà xử lý con?

Tính chất RGPD của nhà cung cấp tùy thuộc vào bản chất của dịch vụ được cung cấp:

• Khi PSCo trực tiếp cấp chứng chỉ được xác định rõ cho người ký và xác định mục đích xử lý dữ liệu cá nhân (danh tính, dữ liệu sinh trắc học xác thực), nó hoạt động như một người chịu trách nhiệm xử lý theo điều 4(7) RGPD.

• Khi nó tích hợp API của mình vào nền tảng của khách hàng B2B và xử lý dữ liệu cá nhân chỉ theo hướng dẫn của khách hàng này, nó đảm nhận tư cách nhà xử lý con (điều 4(8) RGPD) và phải bắt buộc ký kết DPA (Data Processing Agreement) tuân thủ điều 28 RGPD.

Trên thực tế, hầu hết các PSCo SaaS kết hợp cả hai tư cách: người chịu trách nhiệm để quản lý cơ sở hạ tầng chứng chỉ của riêng họ, nhà xử lý con để xử lý các tài liệu và siêu dữ liệu của người ký.

Các nghĩa vụ cụ thể liên quan đến dữ liệu sinh trắc học và danh tính

Nhận dạng và xác thực người ký — bước bắt buộc để cấp chứng chỉ được xác định rõ — thường liên quan đến xử lý dữ liệu nhạy cảm: quét giấy tờ tùy thân, video selfie, dữ liệu sinh trắc học nhận dạng khuôn mặt. Những dữ liệu này tạo thành dữ liệu cá nhân tuân thủ RGPD, thậm chí là dữ liệu sinh trắc học liên quan đến điều 9 RGPD (các danh mục đặc biệt).

Các nghĩa vụ của PSCo bao gồm:

• Cơ sở pháp lý: sự đồng ý rõ ràng (điều 9§2a) hoặc, trong một số trường hợp, yêu cầu pháp luật (điều 9§2b) để xử lý dữ liệu sinh trắc học.

• Thời gian lưu giữ hạn chế: theo hướng dẫn của CNIL, dữ liệu nhận dạng phải được lưu giữ trong thời gian hoàn toàn cần thiết, thường được căn chỉnh theo thời hạn hiệu lực của chứng chỉ + thời gian pháp lý để chứng minh (thường là 10 năm đối với các hoạt động dân sự, điều 2224 Bộ luật Dân sự).

• Phân tích tác động (AIPD) bắt buộc (điều 35 RGPD) khi xử lý có khả năng gây ra rủi ro cao — điều này luôn xảy ra đối với sinh trắc học.

• Sổ đăng ký xử lý (điều 30 RGPD) được cập nhật và ghi chép từng loại xử lý.

Chuyển giao dữ liệu quốc tế

Nhiều PSCo lưu trữ toàn bộ hoặc một phần cơ sở hạ tầng của họ bên ngoài Khu vực Kinh tế châu Âu (EEE). Trong trường hợp này, các biện pháp bảo vệ thích hợp được yêu cầu bởi chương V RGPD áp dụng: quyết định sự tương xứng, điều khoản hợp đồng chuẩn (SCCs) của Ủy ban châu Âu hoặc quy tắc ràng buộc doanh nghiệp (BCR). Bản án Schrems II (CJEU, C-311/18, 16 tháng 7 năm 2020) đã nhắc lại rằng chuyển giao đến Hoa Kỳ yêu cầu phân tích rủi ro quốc gia trước đó.

> Để hiểu tác động của những quy tắc này đối với tổ chức của bạn, hãy tham khảo hướng dẫn về ký điện tử trong doanh nghiệp.

---

Các nghĩa vụ về minh bạch và cung cấp thông tin cho người dùng

Chính sách chứng chỉ (PC) và Tuyên bố về thực hành chứng chỉ (DPC)

Mỗi PSCo cấp chứng chỉ bắt buộc công bố Chính sách Chứng chỉ (PC) và Tuyên bố về Thực hành Chứng chỉ (DPC), phù hợp với tiêu chuẩn ETSI EN 319 411. Những tài liệu này, có thể truy cập tự do, chi tiết:

• Các quy trình nhận dạng và đăng ký người ký.

• Các biện pháp bảo mật vật lý và logic được triển khai.

• Các điều kiện thu hồi chứng chỉ và thời gian liên quan.

• Trách nhiệm và hạn chế bảo hành của PSCo.

Sự vắng mặt hoặc tính không hoàn chỉnh của các tài liệu này tạo thành sự không tuân thủ có khả năng được ghi nhận trong quá trình kiểm toán tái xác định bởi cơ quan được công nhận.

Thông tin tiền hợp đồng và hợp đồng cho khách hàng

Ngoài các nghĩa vụ thuần kỹ thuật, điều 13 RGPD buộc PSCo cung cấp cho mỗi người mà dữ liệu được thu thập một thông tin rõ ràng và dễ tiếp cận về:

• Danh tính của người chịu trách nhiệm xử lý và thông tin liên hệ của DPO (bắt buộc đối với các PSCo xử lý quy mô lớn dữ liệu nhạy cảm, điều 37 RGPD).

• Mục đích và cơ sở pháp lý của mỗi xử lý.

• Quyền của các cá nhân (truy cập, sửa lỗi, xóa, tính di động, phản đối).

• Các bên nhận dữ liệu tiềm năng (nhà xử lý con, cơ quan).

Những thông tin này phải xuất hiện trong chính sách bảo mật của dịch vụ, trong các điều khoản và điều kiện và, nếu cần thiết, trong DPA ký kết với các khách hàng chuyên nghiệp.

Horodatage được xác định rõ và vết kiểm tra

Để đảm bảo giá trị chứng minh trong dài hạn của các chữ ký, các PSCo lành mạnh luôn liên kết một horodatage điện tử được xác định rõ (điều 42 eIDAS) với mỗi hoạt động ký. Horodatage này tạo thành một bằng chứng được suy định về sự tồn tại của dữ liệu vào ngày được chỉ định. Bảo tồn vết kiểm tra (log xác thực, dấu vân tay tài liệu, dữ liệu chữ ký) là một nghĩa vụ thực tế để cho phép bất kỳ xác minh tư pháp nào sau này.

> So sánh các giải pháp trên thị trường theo những tiêu chí này trong bảng so sánh các giải pháp ký điện tử.

---

eIDAS 2.0: các nghĩa vụ mới trên đường chân trời 2026-2027

Quy định eIDAS 2.0 (UE) 2024/1183

Được công bố trên Tạp chí Chính thức của EU ngày 30 tháng 4 năm 2024, quy định (UE) 2024/1183 gọi là « eIDAS 2.0 » tăng cường đáng kể các nghĩa vụ của PSCo xung quanh ba trục:

• Ví Danh tính Kỹ thuật số Châu Âu (EUDI Wallet): các quốc gia thành viên phải cung cấp ví danh tính kỹ thuật số được chứng nhận vào 2 tháng 11 năm 2026. Các PSCo sẽ phải tích hợp dịch vụ của họ với ví này để cung cấp chữ ký được xác định rõ qua danh tính eIDAS 2.0.

• Quản lý chứng thực về thuộc tính: eIDAS 2.0 giới thiệu chứng thực về thuộc tính được xác định rõ (QEAAs), được cấp bởi các nhà cung cấp chứng thực được xác định rõ. Các quy trình kiểm toán và xác định rõ mới sẽ được áp dụng.

• Tăng cường giám sát: các cơ quan giám sát quốc gia (ANSSI cho Pháp) thấy quyền hạn của họ được mở rộng, đặc biệt là khả năng thực hiện kiểm toán không báo trước và áp dụng các biện pháp sửa chữa bắt buộc trong thời gian rút gọn.

Hàm ý thực tế cho các nhà cung cấp hiện tại

Các PSCo đã được xác định rõ theo eIDAS 1.0 sẽ phải thực hiện tuân thủ theo từng giai đoạn trước các thời hạn được quy định bởi các hành động thực hiện của Ủy ban (được công bố hoặc đang được công bố). Các thích ứng chính liên quan đến:

• Cải thiết lại cơ sở hạ tầng nhận dạng để hỗ trợ EUDI Wallet như một phương tiện xác thực.

• Cập nhật PC/DPC để tích hợp các loại chứng chỉ và chứng thực mới.

• Tăng cường các yêu cầu bảo mật của QSCD từ xa, với các hồ sơ bảo vệ mới sắp xuất hiện.

Đối với các doanh nghiệp khách hàng, điều này có nghĩa là xác minh ngay hôm nay rằng nhà cung cấp của họ có lộ trình tuân thủ eIDAS 2.0 được ghi chép và có thể xác minh.

Khung pháp lý áp dụng cho các nghĩa vụ của nhà cung cấp ký điện tử

Chuỗi tiêu chuẩn áp dụng cho các nhà cung cấp ký điện tử hoạt động ở Pháp được liên kết trên nhiều cấp độ phân cấp bổ sung nhau.

Bộ Luật Dân Sự Pháp — Điều 1366 và 1367

Điều 1366 của Bộ Luật Dân Sự công nhận tài liệu điện tử như một phương thức chứng minh tương đương với tài liệu giấy tờ, với điều kiện « có thể được nhận dạng đúng cách người mà nó phát xuất từ đó và nó được thiết lập và bảo tồn theo những cách đảm bảo tính toàn vẹn của nó ». Điều 1367 làm rõ rằng chữ ký điện tử « bao gồm việc sử dụng một quy trình nhận dạng độ tin cậy đảm bảo liên kết của nó với hành động mà nó được gắn kèm ». Suy định về độ tin cậy được hưởng bởi các chữ ký được xác định rõ theo eIDAS, đảo ngược gánh nặng chứng minh để ủng hộ người ký.

Quy định eIDAS n° 910/2014/UE

Quy định này, áp dụng trực tiếp ở tất cả các quốc gia thành viên, thiết lập khung pháp lý cho các dịch vụ tin tưởng. Điều 26 xác định các điều kiện của chữ ký điện tử nâng cao; điều 28 các yêu cầu của chứng chỉ được xác định rõ; Phụ lục I chi tiết nội dung bắt buộc của những chứng chỉ này. Các PSCo được xác định rõ được hưởng một suy định về sự tuân thủ các yêu cầu kỹ thuật và pháp lý của quy định (điều 19§2), điều này tạo thành một tài sản lớn trong trường hợp tranh chấp.

Quy định eIDAS 2.0 — (UE) 2024/1183

Được công bố ngày 30 tháng 4 năm 2024, quy định sửa đổi này giới thiệu các loại dịch vụ tin tưởng mới (chứng thực về thuộc tính được xác định rõ, dịch vụ lưu trữ được xác định rõ) và tăng cường các nghĩa vụ giám sát. Nó bãi bỏ và thay thế một phần quy định 910/2014, với tính áp dụng theo từng giai đoạn theo các hành động thực hiện của Ủy ban châu Âu.

RGPD — Quy định (UE) 2016/679

RGPD áp dụng cho bất kỳ xử lý dữ liệu cá nhân nào được thực hiện trong bối cảnh dịch vụ ký điện tử. Các điều 5 (nguyên tắc về tính hợp pháp), 6 (cơ sở pháp lý), 9 (dữ liệu nhạy cảm), 13-14 (thông tin), 28 (đưa ra các điều khoản phụ), 32 (bảo mật), 33-34 (thông báo vi phạm), 35 (AIPD) và 37 (DPO) tạo thành những quy định được áp dụng thường xuyên nhất. CNIL là cơ quan kiểm soát có thẩm quyền ở Pháp và có thể áp dụng tiền phạt lên đến 20 triệu euro hoặc 4% doanh thu thế giới hàng năm (điều 83§5 RGPD).

Chỉ thị NIS2 — (UE) 2022/2555

Được chuyển đổi thành pháp luật Pháp bằng luật số 2023-703 ngày 1 tháng 8 năm 2023, NIS2 phân loại các PSCo có quy mô đáng kể trong số các thực thể quan trọng hoặc thiết yếu phải tuân thủ các nghĩa vụ quản lý rủi ro mạng và thông báo sự cố cho ANSSI trong 24 giờ (cảnh báo sớm) sau đó 72 giờ (thông báo hoàn chỉnh).

Tiêu chuẩn ETSI

Tập hợp các tiêu chuẩn EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 và TS 119 431 tạo thành tham chiếu kỹ thuật bắt buộc để kiểm toán xác định rõ. Không tuân thủ chúng dẫn đến sự không thể có được hoặc duy trì địa vị được xác định rõ.

Rủi ro pháp lý trong trường hợp không tuân thủ

Nhà cung cấp không tuân thủ phơi bày nó với: bị loại khỏi TSL Pháp, tham gia trách nhiệm hợp đồng và ngoài hợp đồng, các hình phạt hành chính CNIL, tiền phạt NIS2 có thể lên tới 10 triệu euro hoặc 2% doanh thu thế giới cho các thực thể quan trọng và 20 triệu hoặc 4% doanh thu cho các thực thể thiết yếu, cũng như các vụ kiện tư pháp của khách hàng bị tổn th