A-Z Quy định về chữ ký số cá nhân [Cập nhật 2025]

Khi giao dịch điện tử ngày càng phổ biến, việc nắm vững các quy định về chữ ký số cá nhân trở nên vô cùng cần thiết. Đây là nền tảng pháp lý giúp bạn sử dụng công cụ này một cách an toàn và hiệu quả. Bài viết này sẽ hệ thống hóa các quy định quan trọng nhất, giúp bạn tự tin hơn khi tham gia vào môi trường số.

Nội dung bài viết

1. Khung pháp lý cốt lõi về quy định chữ ký số cá nhân

Các quy định về chữ ký số cá nhân tại Việt Nam được xây dựng dựa trên một hệ thống văn bản pháp luật chặt chẽ, trong đó quan trọng nhất là:

Luật Giao dịch điện tử 2023: Đây là văn bản có giá trị pháp lý cao nhất, được xem là "luật gốc" điều chỉnh toàn bộ các hoạt động trên môi trường số, đặt nền móng cho việc công nhận và sử dụng chữ ký số.
Nghị định 130/2018/NĐ-CP: Nếu Luật Giao dịch điện tử đặt ra các nguyên tắc chung thì Nghị định 130 là văn bản hướng dẫn chi tiết, quy định cụ thể mọi khía cạnh: từ các điều kiện kỹ thuật để một chữ ký số được xem là an toàn, quy trình cấp và quản lý chứng thư số, đến việc làm rõ quyền và nghĩa vụ của người sử dụng (thuê bao) và trách nhiệm của các tổ chức cung cấp dịch vụ chứng thực (CA).

*Luật Giao dịch điện tử 2023 và Nghị định 130/2018/NĐ-CP là khung pháp lý cốt lõi về quy định chữ ký số cá nhân*

2. Quy định về giá trị pháp lý của chữ ký số cá nhân

Đây là nội dung quan trọng và là nền tảng pháp lý mà mọi người dùng cần nắm rõ để hiểu được quyền lực của chữ ký số.

Nguyên tắc cốt lõi: Tương đương chữ ký tay và tính chống chối bỏ

Điều 24, Luật Giao dịch điện tử 2023 khẳng định, chữ ký số cá nhân an toàn có giá trị pháp lý tương đương với chữ ký tay của người đó. Điều này có nghĩa là một văn bản, hợp đồng điện tử khi được ký bằng chữ ký số cá nhân sẽ có giá trị ràng buộc và là bằng chứng pháp lý vững chắc, giống hệt như khi bạn ký tay trên văn bản giấy.
Quan trọng hơn, chữ ký số còn mang tính chống chối bỏ (non-repudiation). Một khi bạn đã ký, bạn không thể phủ nhận hành vi ký của mình, vì hệ thống kỹ thuật đã xác thực danh tính và hành động của bạn một cách duy nhất.

Các điều kiện bắt buộc để chữ ký số được công nhận: Để một chữ ký số có đầy đủ giá trị pháp lý, Nghị định 130 yêu cầu phải đồng thời thỏa mãn các điều kiện sau:

Được tạo ra trong thời gian chứng thư số còn hiệu lực: Chứng thư số có thời hạn sử dụng. Nếu bạn ký bằng một chứng thư số đã hết hạn, chữ ký đó sẽ không có giá trị pháp lý. Việc này tương tự như việc bạn sử dụng một giấy tờ tùy thân đã hết hạn để thực hiện giao dịch.
Được tạo ra bằng khóa bí mật tương ứng với khóa công khai trên chứng thư số: Đây là nguyên tắc của công nghệ mã hóa bất đối xứng. Mỗi chữ ký số được tạo ra từ một cặp khóa duy nhất: khóa bí mật (chỉ bạn có) và khóa công khai (được công bố). Chữ ký chỉ có thể được xác thực bằng đúng khóa công khai tương ứng, đảm bảo chỉ có bạn mới tạo ra được chữ ký đó.
Khóa bí mật phải hoàn toàn thuộc sự kiểm soát của người ký tại thời điểm ký: Đây là điều kiện mang tính quyết định về mặt trách nhiệm pháp lý. Pháp luật mặc định rằng chỉ có bạn mới kiểm soát được khóa bí mật của mình (thông qua USB Token, SIM hoặc ứng dụng SmartCA). Do đó, mọi hành vi ký từ khóa bí mật đó đều được coi là do chính bạn thực hiện.
Nội dung và danh tính người ký được gắn duy nhất với nhau: Khi bạn ký tên, một "dấu vân tay số" (hàm băm) của tài liệu sẽ được tạo ra và mã hóa bằng khóa bí mật của bạn. Bất kỳ sự thay đổi nào trên tài liệu, dù là nhỏ nhất (thêm một dấu phẩy) cũng sẽ làm thay đổi "dấu vân tay số" này, khiến chữ ký trở nên không hợp lệ. Điều này đảm bảo tính toàn vẹn của tài liệu và gắn chặt danh tính của bạn với phiên bản tài liệu tại thời điểm ký.

*Chữ ký số cá nhân tương đương chữ ký tay và có tính chống chối bỏ*

3. Quy định về chứng thư số cá nhân

Nếu chữ ký số là hành động ký, thì chứng thư số chính là công cụ để xác thực hành động đó, là tấm thẻ định danh của bạn trong thế giới số.

Chứng thư số giống như "Căn cước công dân" của bạn trên môi trường số. Đây là một chứng thư điện tử do các Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng (như VNPT-CA) cấp, nhằm thực hiện hai nhiệm vụ cốt lõi:

Xác thực danh tính: Chứng thư số xác nhận bạn chính là bạn, dựa trên các thông tin cá nhân đã được xác minh.
Gắn kết danh tính với khóa công khai: Vai trò quan trọng nhất của chứng thư số là tạo ra một liên kết không thể tách rời giữa danh tính của bạn và khóa công khai của bạn. Điều này cho phép bất kỳ ai cũng có thể dùng chứng thư số để xác minh rằng chữ ký điện tử được tạo ra từ khóa bí mật tương ứng thực sự thuộc về bạn.

Nội dung bắt buộc của một Chứng thư số cá nhân: Theo Nghị định số 23/2025/NĐ-CP, một chứng thư số cá nhân phải chứa đầy đủ các thông tin sau để đảm bảo tính minh bạch và tin cậy:

Tên của Tổ chức cung cấp dịch vụ chứng thực: Cho biết đơn vị nào đã cấp và chịu trách nhiệm về chứng thư này (ví dụ: VNPT-CA).
Tên của thuê bao: Tên đầy đủ của cá nhân sở hữu chứng thư số.
Số hiệu chứng thư số (Serial Number): Là một mã số duy nhất do tổ chức chứng thực cấp để quản lý và phân biệt các chứng thư số với nhau.
Thời hạn có hiệu lực: Ghi rõ ngày bắt đầu và ngày kết thúc hiệu lực của chứng thư số.
Khóa công khai của thuê bao: Là thành phần kỹ thuật dùng để xác minh chữ ký số được tạo bởi khóa bí mật tương ứng.
Chữ ký số của tổ chức chứng thực: Đây là yếu tố bảo chứng cho toàn bộ thông tin trên chứng thư, xác nhận rằng chứng thư này là hợp lệ và do đúng tổ chức có thẩm quyền cấp.

Thời hạn hiệu lực và việc gia hạn: Chứng thư số cá nhân có thời hạn sử dụng nhất định (thường là 1, 2 hoặc 3 năm). Việc giới hạn thời gian này là một biện pháp an ninh cần thiết, giúp cập nhật các công nghệ mã hóa mới và đảm bảo thông tin của người dùng luôn chính xác. Khi chứng thư số sắp hết hạn, bạn cần liên hệ với nhà cung cấp để thực hiện thủ tục gia hạn và tiếp tục sử dụng dịch vụ mà không bị gián đoạn.

Chứng thư số cá nhân bao gồm tên của Tổ chức cung cấp dịch vụ chứng thực — *Chứng thư số cá nhân phải bao gồm tên của Tổ chức cung cấp dịch vụ chứng thực*

4. Quyền và Nghĩa vụ của người ký (Thuê bao)

Pháp luật quy định rất rõ ràng về quyền lợi và trách nhiệm của người sử dụng chữ ký số (thuê bao) để đảm bảo một môi trường giao dịch an toàn và minh bạch. Các quy định này được nêu chi tiết tại Điều 76 và Điều 77 của Nghị định 130/2018/NĐ-CP.

Quyền của người ký (Điều 76, Nghị định 130/2018/NĐ-CP):

Yêu cầu tạm dừng, thu hồi chứng thư số: Bạn có toàn quyền yêu cầu tổ chức cung cấp dịch vụ (CA) tạm dừng, thu hồi chứng thư số của mình trong các trường hợp khẩn cấp như làm mất thiết bị chứa khóa bí mật (USB Token, điện thoại có SmartCA) hoặc khi nghi ngờ khóa bí mật đã bị lộ.
Tiếp cận thông tin: Bạn có quyền nhận đầy đủ thông tin liên quan đến chứng thư số của mình từ cơ sở dữ liệu của CA.
Yêu cầu thay đổi thông tin: Trong trường hợp thông tin trên chứng thư số không còn chính xác, bạn có quyền yêu cầu CA thay đổi, cập nhật lại các nội dung này.

Nghĩa vụ của người ký (Điều 77, Nghị định 130/2018/NĐ-CP): Đây là phần trách nhiệm pháp lý quan trọng mà người dùng phải tuyệt đối tuân thủ:

Cung cấp thông tin chính xác: Bạn có nghĩa vụ cung cấp đầy đủ và chính xác các thông tin liên quan đến danh tính của mình cho CA. Mọi sự gian dối trong quá trình này đều là vi phạm pháp luật.
Bảo quản an toàn khóa bí mật: Đây là nghĩa vụ cốt lõi và quan trọng nhất. Bạn phải quản lý và bảo vệ khóa bí mật của mình một cách an toàn, không được chia sẻ hay giao thiết bị chứa khóa bí mật cho bất kỳ ai khác. Mọi giao dịch phát sinh từ việc sử dụng khóa bí mật của bạn đều được coi là do bạn thực hiện và bạn phải chịu hoàn toàn trách nhiệm.
Thông báo kịp thời: Bạn phải có trách nhiệm thông báo ngay lập tức cho CA khi phát hiện chứng thư số đã hết hạn, sai sót, hoặc khi có bất kỳ dấu hiệu nào cho thấy khóa bí mật đã bị lộ, bị đánh cắp hoặc bị sử dụng trái phép, để CA có biện pháp xử lý kịp thời.

Pháp luật quy định về quyền lợi và trách nhiệm của người sử dụng — *Pháp luật quy định rất rõ ràng về quyền lợi và trách nhiệm của người sử dụng chữ ký số*

5. Quy định về việc sử dụng và lưu trữ khóa bí mật

Đây là quy định mang tính sống còn, quyết định đến sự an toàn và trách nhiệm pháp lý của người ký. Toàn bộ giá trị của chữ ký số được xây dựng trên nguyên tắc bảo mật tuyệt đối của khóa bí mật.

Nguyên tắc kiểm soát duy nhất và bất khả xâm phạm:

Điều 9 của Nghị định 130/2018/NĐ-CP quy định một trong những điều kiện để chữ ký số được xem là an toàn là "Khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký".
Để cụ thể hóa, Điều 77 của Nghị định 130/2018/NĐ-CP nêu rõ nghĩa vụ của người ký là phải "Quản lý và bảo đảm bí mật khóa bí mật của mình" và tuyệt đối "không chia sẻ, chuyển giao hoặc ủy quyền cho người khác sử dụng khóa bí mật của mình". Điều này có nghĩa là bạn không được phép cho bất kỳ ai, kể cả người thân tín hay cấp dưới, sử dụng thiết bị chứa khóa bí mật (USB Token, điện thoại) để ký thay. Hành vi này là vi phạm pháp luật và tiềm ẩn rủi ro cực kỳ lớn.

Hậu quả pháp lý khi vi phạm:

Do nguyên tắc kiểm soát duy nhất, pháp luật mặc định rằng mọi thông điệp dữ liệu được ký bằng khóa bí mật của bạn đều được xem là do chính bạn ký. Việc này dẫn đến hậu quả pháp lý trực tiếp: bạn phải chịu toàn bộ trách nhiệm đối với nội dung và các nghĩa vụ phát sinh từ văn bản điện tử đã ký.

Ví dụ. nếu một giám đốc giao USB Token cho nhân viên ký một hợp đồng gây thiệt hại cho công ty, về mặt pháp lý, chính vị giám đốc đó là người ký và phải chịu trách nhiệm hoàn toàn trước pháp luật và công ty, chứ không phải người nhân viên. Bạn không thể lấy lý do "đã cho người khác mượn" để chối bỏ trách nhiệm của mình.

Giá trị của chữ ký số được xây dựng bảo mật tuyệt đối — *Toàn bộ giá trị của chữ ký số được xây dựng trên nguyên tắc bảo mật tuyệt đối của khóa bí mật*

6. Các hành vi bị nghiêm cấm về chữ ký số cá nhân

Để đảm bảo tính toàn vẹn và an toàn cho hệ thống giao dịch điện tử, pháp luật quy định rất nghiêm khắc các hành vi bị cấm. Cụ thể, Điều 7 của Nghị định 130/2018/NĐ-CP nêu rõ các hành vi sau:

Trộm cắp, gian lận, mạo danh, sử dụng trái phép khóa bí mật và chữ ký số của người khác: Đây là hành vi nghiêm trọng nhất, tương đương với việc giả mạo chữ ký tay và con dấu để thực hiện các giao dịch lừa đảo, chiếm đoạt tài sản.
Làm giả hoặc chấp nhận chứng thư số, chữ ký số giả: Hành vi tạo ra hoặc cố ý sử dụng các chứng thư số, chữ ký số không do các tổ chức có thẩm quyền cấp là bất hợp pháp và sẽ bị xử lý.
Cung cấp thông tin không trung thực: Việc cung cấp thông tin sai sự thật cho các tổ chức cung cấp dịch vụ chứng thực chữ ký số để được cấp chứng thư số là hành vi gian lận, làm ảnh hưởng đến tính chính xác của hệ thống.
Cản trở hoạt động hợp pháp của dịch vụ chứng thực chữ ký số: Mọi hành vi cố ý tấn công, phá hoại hoặc gây rối làm ảnh hưởng đến hoạt động của các nhà cung cấp dịch vụ đều bị nghiêm cấm.
Sử dụng chứng thư số đã hết hiệu lực, bị tạm dừng hoặc thu hồi: Việc cố ý sử dụng một chứng thư số không còn giá trị để thực hiện giao dịch là hành vi gian lận, vì chữ ký được tạo ra sẽ không có giá trị pháp lý.

Để đảm bảo tính toàn vẹn và an toàPháp luật quy định các hành vi bị cấm về chữ ký số cá nhân — *Để đảm bảo tính toàn vẹn và an toàn cho hệ thống giao dịch điện tử, pháp luật quy định rất nghiêm khắc các hành vi bị cấm về chữ ký số cá nhân*

Lựa chọn nhà cung cấp uy tín: Giải pháp VNPT SmartCA

Việc tuân thủ các quy định pháp luật bắt đầu ngay từ bước lựa chọn một nhà cung cấp dịch vụ uy tín và một giải pháp công nghệ an toàn. VNPT SmartCA - dịch vụ chữ ký số từ xa của Tập đoàn VNPT, là một lựa chọn hàng đầu, đáp ứng đầy đủ các tiêu chuẩn khắt khe nhất.

Đảm bảo nguyên tắc "Kiểm soát duy nhất": Khác với USB Token truyền thống, VNPT SmartCA là chữ ký số từ xa (Remote Signing). Khóa bí mật được lưu trữ an toàn trên hệ thống hạ tầng đạt chuẩn của VNPT, nhưng việc kích hoạt ký vẫn hoàn toàn nằm trong tay bạn. Mỗi lần ký, bạn phải xác thực qua ứng dụng trên chính điện thoại di động của mình (bằng mã PIN, vân tay hoặc FaceID). Điều này đảm bảo chỉ có bạn mới có thể thực hiện việc ký, tuân thủ tuyệt đối quy định "khóa bí mật thuộc sự kiểm soát duy nhất của người ký".
An toàn và bảo mật vượt trội: VNPT SmartCA tuân thủ các tiêu chuẩn an toàn khắt khe của châu Âu (eIDAS), "chìa khóa" ký số của bạn được bảo vệ trong "két sắt số" HSM đạt chứng chỉ EAL4+, đảm bảo mức độ tin cậy và bảo mật cao nhất cho mọi giao dịch.
Kích hoạt dễ dàng trên VNeID: Tận dụng nền tảng định danh điện tử VNeID, công dân có thể tự kích hoạt chữ ký số cá nhân VNPT SmartCA chỉ trong 1 phút ngay trên ứng dụng.
Tiện lợi và linh hoạt: Vì không cần USB Token, bạn có thể ký tài liệu mọi lúc, mọi nơi chỉ với chiếc điện thoại thông minh của mình, mang lại sự linh hoạt tối đa trong công việc.
Ưu đãi miễn phí 1 năm cho Dịch vụ công: Để khuyến khích người dân làm quen và sử dụng các tiện ích của công dân số, VNPT dành tặng ưu đãi đặc biệt: miễn phí hoàn toàn 1 năm sử dụng chữ ký số (gói PS0) trên các Cổng Dịch vụ công. Chính sách này giúp người dân thoải mái thực hiện các thủ tục hành chính trực tuyến mà không phải lo lắng về chi phí ban đầu.

Tìm hiểu chi tiết tại: https://smartca.vnpt.vn/

*VNPT SmartCA - dịch vụ chữ ký số từ xa của Tập đoàn VNPT, là lựa chọn hàng đầu, đáp ứng đầy đủ các tiêu chuẩn khắt khe nhất*

Quy định về chữ ký số cá nhân được ban hành nhằm thiết lập một khuôn khổ an toàn và pháp lý cho người dùng. Do đó, việc tuân thủ nghiêm túc các quy định này, đặc biệt là nghĩa vụ bảo mật khóa bí mật và tiêu chí lựa chọn nhà cung cấp uy tín, chính là cách tốt nhất để bạn tự bảo vệ và đảm bảo giá trị pháp lý cho mọi giao dịch điện tử của mình.

Để nhận tư vấn chi tiết về lộ trình triển khai giải pháp chữ ký số VNPT SmartCA, vui lòng liên hệ: