Chữ ký điện tử ở Trung Quốc: Cách thức hoạt động, tại sao nó hợp pháp và các tiêu chuẩn để triển khai tốt

Trong mười năm qua, nền kinh tế Trung Quốc đã số hóa với tốc độ đáng kinh ngạc, và việc ký kết hợp đồng điện tử cũng theo đó mà phát triển. Từ việc tuyển dụng nhân viên, mua sắm nhà cung cấp đến các nghiệp vụ ngân hàng, nhập viện, dịch vụ chính phủ, chữ ký điện tử (thường được viết tắt là "e-signature") đã trở thành phương thức chủ đạo để đạt được thỏa thuận. Tuy nhiên, nhiều độc giả quốc tế vẫn có chung một câu hỏi: "Ở Trung Quốc, chữ ký điện tử có giá trị pháp lý không? Thế nào mới được coi là chữ ký điện tử "tin cậy"? Các nền tảng của Trung Quốc xử lý quy trình ký kết, lưu trữ tài liệu và cung cấp bằng chứng cho tòa án như thế nào? Doanh nghiệp nên dự trù ngân sách ra sao?"

Bài viết này trả lời những câu hỏi đó. Nó giải thích cơ sở pháp lý của chữ ký điện tử ở Trung Quốc, trình bày một quy trình chữ ký điện tử điển hình của Trung Quốc, thảo luận về các tùy chọn lưu trữ và triển khai (SaaS, đám mây riêng, triển khai tại chỗ), đánh giá các mô hình định giá phổ biến và cung cấp danh sách kiểm tra tuân thủ và các vụ án thực tế tại tòa án. Trong suốt quá trình, tôi sẽ kết nối các hướng dẫn, quy trình và thuật ngữ chi tiết được sử dụng bởi các nhà cung cấp hàng đầu của Trung Quốc.

1) Cơ sở pháp lý: Tại sao chữ ký điện tử được coi là "văn bản" và tương đương với chữ ký viết tay

Hệ thống pháp luật của Trung Quốc công nhận rõ ràng và minh bạch hợp đồng điện tử và chữ ký điện tử.

Từ góc độ pháp lý:

• Thông điệp dữ liệu có thể đáp ứng "hình thức văn bản" Điều 469 của "Bộ luật Dân sự" quy định rằng khi hợp đồng cần được ký kết bằng văn bản, nó có thể được đáp ứng thông qua thông điệp dữ liệu - chẳng hạn như EDI hoặc email - miễn là nội dung của nó có thể được trình bày một cách hữu hình và có thể được kiểm tra. Nói cách khác, "hình thức văn bản" được luật pháp Trung Quốc công nhận có thể là hình thức điện tử.
• Chữ ký điện tử "tin cậy" có hiệu lực pháp lý tương đương với chữ ký viết tay hoặc con dấu của công ty. Điều 13 và 14 của "Luật Chữ ký điện tử" quy định khi nào chữ ký điện tử được coi là tin cậy (tức là thuộc sở hữu riêng của người ký, dưới sự kiểm soát của người ký tại thời điểm ký và mọi thay đổi đối với chữ ký hoặc thông điệp dữ liệu có thể được phát hiện). Chữ ký điện tử tin cậy có hiệu lực pháp lý tương đương với chữ ký viết tay hoặc con dấu. Luật cũng quy định rõ một số trường hợp ngoại lệ (ví dụ: một số vấn đề liên quan đến nhận dạng cá nhân) không áp dụng chữ ký điện tử.
• Tòa án Trung Quốc chấp nhận bằng chứng điện tử được hỗ trợ bởi các biện pháp kỹ thuật được công nhận. Các quy tắc tư pháp và thực tiễn của tòa án nhấn mạnh tính xác thực của dữ liệu điện tử. Khi một bên có thể chứng minh tính xác thực của nó thông qua các phương tiện như chữ ký điện tử, dấu thời gian tin cậy và xác minh băm, tòa án sẽ chấp nhận và áp dụng loại bằng chứng này.

Những quy tắc cốt lõi này - việc "Bộ luật Dân sự" công nhận thông điệp dữ liệu là "văn bản", tiêu chuẩn pháp định về chữ ký điện tử tin cậy và việc tòa án chấp nhận bằng chứng điện tử được chứng thực - tạo thành cơ sở pháp lý cho chữ ký điện tử ở Trung Quốc.

2) Quy trình chữ ký điện tử cấp Trung Quốc trông như thế nào (từ đầu đến cuối)

Một đặc điểm của việc triển khai chữ ký điện tử trưởng thành của Trung Quốc là chúng không chỉ coi việc ký kết là một cú nhấp chuột đơn giản. Thay vào đó, chúng điều phối một quy trình ký kết hoàn chỉnh, được thiết kế để đáp ứng các tiêu chuẩn tin cậy nêu trên và tạo ra một dấu vết kiểm toán có thể biện hộ. Một quy trình điển hình trên một nền tảng chính thống như sau:

1. Đăng ký và đăng nhập: Người khởi tạo (cá nhân hoặc doanh nghiệp) tạo một tài khoản và đăng nhập vào nền tảng để bắt đầu quy trình.
2. Xác thực danh tính thực (Xác thực danh tính thực)
   • Đối với cá nhân, việc xác minh thường được thực hiện bằng cách kết hợp nhận dạng khuôn mặt và xác minh "ba yếu tố" của nhà khai thác (tên, số CMND, số điện thoại di động). Sau khi xác minh thành công, người dùng sẽ nhận được chứng chỉ kỹ thuật số cá nhân và hồ sơ chữ ký điện tử, được sử dụng để liên kết danh tính và ý chí.
   • Đối với doanh nghiệp, nền tảng trước tiên xác minh danh tính của người điều hành, sau đó xác minh thông tin công ty (ví dụ: giấy phép kinh doanh) và hoàn tất xác minh danh tính doanh nghiệp thông qua chuyển khoản ngân hàng nhỏ hoặc thư ủy quyền pháp nhân, v.v.
3. Đăng ký con dấu (Yêu cầu con dấu): Các doanh nghiệp Trung Quốc không chỉ sử dụng chữ ký mà còn sử dụng con dấu (ví dụ: con dấu của công ty) khi ký kết. Các nền tảng chữ ký điện tử hàng đầu cho phép các doanh nghiệp tạo con dấu điện tử tuân thủ, được kiểm soát và liên kết với các thực thể đã được xác minh, đồng thời được lưu trữ và sử dụng theo kiểm soát kỹ thuật và quyền hạn.
4. Chuẩn bị hợp đồng: Người dùng có thể tải lên tài liệu hoặc tạo hợp đồng từ mẫu; sau đó điền vào các trường cố định (chẳng hạn như tên các bên, ngày tháng, số tiền) và đặt các trường chữ ký/con dấu. Các mẫu được sử dụng rộng rãi vì các điều khoản tiêu chuẩn hóa và giảm thiểu lỗi soạn thảo giữa các đơn vị kinh doanh.
5. Xác thực ý chí: Trước khi ký kết, nền tảng hiển thị đầy đủ hợp đồng cho người ký (bảo vệ quyền được biết của người ký) và xác nhận ý định thông qua một yếu tố xác thực nào đó (thường là nhận dạng khuôn mặt, mã xác minh SMS, mật khẩu hoặc UKey, tùy thuộc vào cấu hình). Bước này tạo ra một sự kiện có thể xác minh, chứng minh rằng người ký hiểu và đồng ý với nội dung tài liệu tại thời điểm này.
6. Áp dụng chữ ký và con dấu; chuyển đến bên kia: Người khởi tạo ký/đóng dấu, nền tảng gửi hợp đồng cho bên kia và bên kia lặp lại các bước xác minh danh tính và ý định, đồng thời áp dụng lại chữ ký/con dấu của họ. Sau đó, hệ thống trả lại tệp đã khóa cuối cùng cho tất cả các bên và không gian làm việc quản lý hợp đồng của người khởi tạo.
7. Tạo bằng chứng và (trong nhiều trường hợp) neo chuỗi khối: Nền tảng hiện đại tạo ra gói bằng chứng hoàn chỉnh - điểm dữ liệu danh tính, chi tiết chứng chỉ, sự kiện ký kết và dữ liệu IP/thời gian, băm hợp đồng và dấu thời gian đáng tin cậy - để bất kỳ thay đổi nào đối với nội dung hoặc chữ ký sau này đều có thể được phát hiện. Một số nhà cung cấp cũng đưa dòng thời gian ký kết lên chuỗi để tăng cường tính toàn vẹn và khả năng truy xuất nguồn gốc.

3) Năm điều kiện hợp pháp mà nền tảng Trung Quốc nhấn mạnh

Luật quy định các thuộc tính của chữ ký điện tử tin cậy. Nền tảng chuyển đổi các thuộc tính này thành các bước cụ thể để các doanh nghiệp tuân theo. Như các nhà cung cấp hàng đầu đã tóm tắt, năm điều kiện sau đây phải được đáp ứng trong quy trình ký kết:

1. Xác thực danh tính thực trước khi ký kết, để ngăn chặn việc mạo danh hoặc ký thay, và liên kết chữ ký với thể nhân hoặc pháp nhân.
2. Trình bày đầy đủ hợp đồng, để đảm bảo quyền được biết của người ký; hệ thống phải hiển thị thỏa thuận đầy đủ trước khi đồng ý.
3. Xác thực ý định tại thời điểm ký kết (ví dụ: mật khẩu một lần SMS, xác minh khuôn mặt), để chứng minh rằng người ký kiểm soát dữ liệu chữ ký tại thời điểm này và hành vi ký kết là tự nguyện.
4. Người ký có thể truy cập và truy xuất các tài liệu đã ký bất kỳ lúc nào, hỗ trợ yêu cầu về khả năng truy xuất của "hình thức văn bản" trong "Bộ luật Dân sự".
5. Tên người ký trong hợp đồng phải khớp với danh tính được liên kết trong chứng chỉ kỹ thuật số (nếu không khớp, có thể ảnh hưởng đến hiệu lực).

Năm yếu tố này ánh xạ trực tiếp đến thử nghiệm độ tin cậy của Điều 13 của "Luật Chữ ký điện tử" và yêu cầu "hữu hình và có thể truy xuất" của thông điệp dữ liệu trong "Bộ luật Dân sự". Chúng cùng nhau giải thích tại sao một quy trình chữ ký điện tử tốt không chỉ là một tính năng tiện lợi - nó là một cơ chế đáp ứng các tiêu chuẩn pháp lý.

4) Tùy chọn triển khai và lưu trữ: SaaS, đám mây riêng hay triển khai tại chỗ

Do nhu cầu quản trị dữ liệu khác nhau tùy theo ngành và quy mô công ty, các nhà cung cấp Trung Quốc cung cấp nhiều mô hình triển khai:

• SaaS (đám mây công cộng): Theo mặc định, hợp đồng được lưu trữ trên đám mây của nhà cung cấp, đảm bảo tính bảo mật và khả dụng thông qua nhiều lớp bảo vệ (giám sát, quyền hạn, mã hóa, che dữ liệu). Mô hình này hiệu quả về chi phí, khởi động nhanh chóng và thường cung cấp các tính năng phân tích hợp đồng AI giá trị gia tăng.
• "Đám mây riêng" trên đám mây công cộng (đôi khi được triển khai trên đám mây hoặc máy chủ cục bộ do khách hàng chỉ định): Mô hình này được sử dụng để đáp ứng chính sách "dữ liệu không được rời khỏi địa phương", giữ các tệp hợp đồng gốc trong môi trường của khách hàng, trong khi đám mây công cộng của nhà cung cấp tiếp tục cung cấp các dịch vụ chữ ký, xác thực và quyền hạn. So với việc triển khai hoàn toàn tại chỗ, mô hình này giảm gánh nặng triển khai và vận hành.

• Triển khai tại chỗ: Các tệp hợp đồng được lưu trữ trong mạng nội bộ của khách hàng. Lựa chọn này tối đa hóa quyền kiểm soát lưu trú dữ liệu, nhưng chi phí cao hơn, chu kỳ giao hàng dài hơn và yêu cầu bảo trì và cập nhật lâu dài phức tạp hơn.

Đối với nhiều tổ chức, con đường trung gian của đám mây riêng mang lại sự cân bằng tốt - vừa đáp ứng yêu cầu "không rò rỉ", vừa duy trì quyền truy cập vào các tính năng SaaS không ngừng được cải thiện (chẳng hạn như kiểm tra xác thực danh tính mới, trích xuất điều khoản AI). Đối với các ngành được quản lý chặt chẽ yêu cầu hoạt động ngoại tuyến nghiêm ngặt, vẫn có thể chọn triển khai hoàn toàn tại chỗ.

5) Mô hình định giá phổ biến ở Trung Quốc

Các nhà cung cấp Trung Quốc thường định giá theo ba trục sau:

1. Tính phí theo tài liệu (hoặc "lưu lượng"), chiết khấu theo cấp bậc - mua càng nhiều, giá mỗi hợp đồng càng thấp. Như eSignglobal, công ty số 1 Trung Quốc, đã công khai tiết lộ, các gói doanh nghiệp có thể bao gồm 100 hợp đồng với giá 650 nhân dân tệ (≈ 6,5 nhân dân tệ mỗi hợp đồng) hoặc 500 hợp đồng với giá 3000 nhân dân tệ (≈ 6 nhân dân tệ mỗi hợp đồng). Các gói cá nhân có thể là 8 nhân dân tệ mỗi hợp đồng hoặc 75 nhân dân tệ cho 10 hợp đồng. Giá cụ thể sẽ khác nhau tùy thuộc vào hoạt động và thời gian, nhưng logic định giá là nhất quán.
2. Phí phiên bản hoặc gói (thường tính theo năm) cho các tính năng nâng cao - tích hợp API, quản lý hợp đồng thông minh, kiểm soát quản trị viên/quyền hạn cấp doanh nghiệp, phân tích hoặc tính năng AI - thường được đóng gói dưới dạng "phiên bản cơ bản", "phiên bản chuyên nghiệp" hoặc "phiên bản nâng cao".
3. Phí dự án hỗn hợp/cục bộ, dành cho các doanh nghiệp hoặc tổ chức lớn, bao gồm triển khai nền tảng, lưu lượng, vận hành và bảo trì, và đôi khi bao gồm phát triển tính năng tùy chỉnh; vì sự khác biệt về nhu cầu là rất lớn, nên phạm vi rất rộng.

Cấu trúc ba phần này hiện là tiêu chuẩn trong thị trường chữ ký điện tử của Trung Quốc. Người giữ ngân sách nên dự đoán tổng chi phí sở hữu dựa trên (a) khối lượng giao dịch, (b) độ sâu tích hợp (có cần API hay không) và (c) giới hạn lưu trú dữ liệu.

6) Bằng chứng và tranh chấp: Tòa án cần gì

Nếu xảy ra tranh chấp, bên khẳng định hợp đồng điện tử có hiệu lực pháp lý phải chuẩn bị chứng minh độ tin cậy. Trong thực tiễn của Trung Quốc, tòa án mong muốn thấy hai gói bằng chứng chính từ các nền tảng chữ ký điện tử có uy tín:

• Trình độ và chứng nhận của chính nền tảng: Chẳng hạn như giấy phép kinh doanh, chứng nhận sản phẩm mật mã thương mại, chứng nhận hệ thống thông tin phân loại áp dụng, chứng nhận bảo vệ đa cấp an ninh công cộng, giấy phép bán sản phẩm an ninh hệ thống thông tin, giấy phép hoạt động với tư cách là nhà cung cấp dịch vụ chứng thực điện tử (bao gồm phê duyệt sử dụng mật mã dựa trên chứng chỉ kỹ thuật số).
• "Báo cáo bằng chứng" kỹ thuật, chứng minh tính xác thực và không bị thay đổi của tài liệu điện tử: Nhật ký quy trình ký kết, hồ sơ xác thực danh tính, thông tin chứng chỉ kỹ thuật số, hồ sơ xác thực ý định, dấu thời gian đáng tin cậy và các điểm dữ liệu khác kết nối nội dung đã ký với những người và thời điểm cụ thể.

Những tài liệu này phù hợp với thực tiễn tư pháp: Tính xác thực có thể được chứng minh thông qua các biện pháp kỹ thuật được công nhận - chữ ký điện tử, dấu thời gian tin cậy và xác minh băm - và một khi được thiết lập, dữ liệu điện tử sẽ được hưởng hiệu lực bằng chứng.