《马来西亚1997年数字签名法案》全文.docx
《《马来西亚1997年数字签名法案》全文.docx》由会员分享,可在线阅读,更多相关《《马来西亚1997年数字签名法案》全文.docx(26页珍藏版)》请在冰豆网上搜索。
《马来西亚1997年数字签名法案》全文
马来西亚1997年数字签名法案
法案第562号
简称及生效
1.本法案也可被称为1997年数字签名法案,根据部长在公报之上通告之生效日起生效,部长也可就法案之不同部分通过不同之生效日。
解释
2.
(1)除非法案文本另有规定,在本法案中:
“接受证书”指:
(a)当知道或被通告证书之内容时,表明了对证书内容的同意;或
(b)在向国家特许的认证机构申请证书后,没有用撤消通知向特许认证机构通知撤回申请,并且,假如特许认证机构基于申请随后颁发证书,收到特许认证签署的书面回复;
“不对称加密系统”意指一种或一组提供安全密码组的算法;
“获授权官员”意指获第75条授权的官员;
“证书”意指一种基于计算机技术而产生的记录,其:
(a)识别颁发证书的授权机构;
(b)标明用户的姓名并识别用户;
(c)包含用户的公共密码(公钥);
(d)由认证机构进行数字签名;
“认证机构”指颁发证书之人;
“认证机构披露之材料记录”指第3(5)条下的监控人保存的、向公众公开或可在线获得的、包含有关许认证机构的的材料记录;
“认证业贯例公示”指认证机构对在颁发证书中遵循的一般惯例,或颁发特别证书中所遵循的惯例的公开宣告;
“认证”指给予足够的反馈机会,承担通知的义务,通过证书向某人表明所有的重要事实;
“确认”指通过严格的询问和调查来加以确定;
“监控人”指第3条所任命的认证机构监控人;
“相应”指密码,意指属于同一密码组;
“数字签名”指使用不对称加密系统将讯文转换,以致得到讯文首部及签名者公共密码的人即可准确地确定:
(a)是否该讯文转换是使用与签名者公共密码相应的私人密码创制的;
(b)该讯文自转换后是否又被他人篡改过;
“伪造签名”指:
(a)未经私人密码(私钥)合法持有人的授权而创制数字签名;
(b)创制一个认证证书标列为用户人的签名,但该人并不存在或并不拥有与证书中标明的公共密码相应的私人密码;
“持有私人密码”指能够使用私人密码;
“为(特定目的)而插入(标记)”指为了识别被插入(标记)的讯文且表明该讯文将被插入的意图,而使某一段讯文成为另一段讯文的一个部分;
“颁发证书”指认证机构制作证书并将列于证书之上的内容通知用户的行为;
“密码组”指不对称加密系统(在该加密系统中,公共密码可用以确认使用私人密码签署的数字签名)中的私人密码及与之相应的公共密码;
“特许认证机构”指经由监控人颁发特别许可证,且该许可证生效的认证机构;
“讯文”指信息的数字表示方式;
“通知”指在某种特定的场合下向他人传递信息的最合理方式,向他人传达某一事实;
“人”指能够在法律上或事实上签名的自然人或一群人、法人或非法人;
“规定”指本法规或根据本法规制定的其他任何规章中作出的规定;
“私人密码(私钥)”指密码组中用以生成数字签名的密码;
“公共密码(公钥)”指密码组中用以确认数字签名的密码;
“发布”指记录或存档于信息库中;
“合格的认证机构”指满足第5条要求的认证机构;
“收件人”指接收或持有数字签名并处于信赖该签名的地位;
“经认可的日期/时间标记服务”指在第70条中提及的监控人所认可的日期/时间标记服务;
“经认可的信息库”指在第68条中提及的监控人所认可的,信息库;
“建议信赖的上限”指第60条中提及的,证书中推荐可信赖的最高金钱数额;
“信息库”指一种存放和查询证书及其他与数字签名有关的信息的系统;
“撤消证书”指使某证书自某时以后永久失效;
“合法持有私人密码”指能够使用私人密码:
(a)其中私钥持有人或持有人之代理人不曾有违反本法案规定而向他人泄露私人密码的情形;
(b)私钥持有人并非通过盗窃、欺骗、窃听或其他非法方式获得私人密码的;
“用户”指某人:
(a)被列人证书之中;
(b)接受证书;和
(c)持有与证书之中的公共密码相应的私人密码;
“中止证书”指使证书自某时之后暂停生效;
“本法案”包括根据本法案制定的任何规章规则;
“时间标记”指:
(a)在讯文、数字签名或证书后付上一个数字签写的标记,该标记至少应表明付注标记的日期、时间及其身份;
(b)以此方式所付之标记;
“交易证书”指一个为证明某特定交易的有效的证书,该证书包含一个或几个数字签名;
“可信赖系统”指计算机硬件或软件:
(a)具有免受他人侵入或滥用的合理安全性;
(b)在取得的方便性方面、在系统的可信赖性方面以及纠错能力方面都达到合理的水平;
(c)适合于完成它们预定的功能;
“有效证书”指一证书:
(a)由特许的认证机构所发放;
(b)被列于其上的用户所接受;
(c)未被撤消或中止;
(d)未过有效期;
一个交易证书只有在与其上之数字签名相结合时才是有效之证书;
“确认一数字签名”指使用一个给定的数字签名、讯文和公共密码来准确地确定:
(a)数字签名是由与公共密码相对应的私人密码所创制的;
(b)自从数字签名签署后,该讯文未曾作任何篡改;
“书写”或“书面”包括任何手写、打印、印刷、电子形式存储或传送、或其他以某种能够保存信息的方式来记录或固定信息的方法。
(2)根据本法案的精神,为了撤消一个证书,应在该证书上标注撤消标记,或是将该证书归人到撤消证书档案中去。
(3)证书之撤消并不意味着该证书被毁坏或模糊不清。
监控人的任命
3.
(1)为了实现本法的宗旨,特别是为了监督和控制认证机构的活动,部长将任命一位监控人,以监控认证机构。
(2)监控人可以行使、放弃和履行本法所赋予的权力、义务和职责。
(3)如果监控人认为出于行使或履行本法授予的部分或全部权力或义务(第4(4)条所授予监控人的权力除外)所需,在与部长磋商之后,可以任命数名行政官员和公务员。
(4)监控人和监控人根据第(3)款所任命的行政官员和公务员在行使本法所赋予的权力时,应遵照部长制定的总方针和指示行事。
(5)监控人应建立一个公众可利用的数据库。
该数据库中包含了认证机构为了获得政府机构特许而披露的信息记录,这些信息记录包括所有根据本法案制定的法规所要求的材料细节。
(6)监控人应在至少一个被认可的信息库中公布数据库的内容。
认证机构必须获得特许
4.
(1)没有人可以作为认证机构开展业务或进行运营,或主张他自己可以进行认证业务的运营,除非该人持有根据本法发放的有效许可证。
(2)触犯前述第
(1)款规定的违法行为人,一旦被定罪后,将被处以不超过50万林吉特的罚款,或不超过10年以上的监禁,或两者并罚。
在违法行为处于继续状态的情形下,违法行为持续期限内,每日应加罚不超过5000林吉特的罚款。
(3)收到根据本法案提出的申请后,部长可以赦免:
(a)某人在某组织中执行认证机构的功能,该组织中证书和密码组只发放给组织内部成员使用;
(b)根据本条的要求,部长认为合适的一个人或某一类人。
(4)部长可将其根据第(3)款享有的权力委托监控人行使,该权力由监控人以部长的名义代表部长行使。
(5)第(4)款下的委托授权决不意味着排除部长本人可随时再行使该委托的权力。
(6)第Ⅳ部分[1]第8章所规定的责任限制不适用于受豁免的认证机构,第V部分[2]受豁免的认证机构签发的证书所认证的数字签名。
认证机构的资格要求
5.
(1)部长可以根据本法案制定规章,规定认证机构的资格
[1]第27—61条。
[2]第62-67条。
要求。
(2)部长可以随时变更或修改第
(1)款中规定的资格要求,只要该资格要求的修改变动不适用于持有许可证的认证机构。
该许可证依据本法案有效颁发且仍在许可期限内的。
特许认证机构之职能
6.
(1)特许认证机构的职能是根据用户申请,在意图使用证书证明的用户的身份情况满足特许认证机构的要求,且按规定缴付有关费用后颁发证书。
(2)在发放任何本法案之下的证书前,认证机构应该采取所有的合理步骤,查清那些意图使用证书进行证明的用户之正确身份。
(3)特许认证机构在发放任何本法案之下的证书时,应先使证书发放申请经依据1959年公证法案合法建立的公证机关的公证。
许可证的申请
7.
(1)发放本法案下许可证的申请应以监控者可能规定的格式,书面向监控者提出。
(2)第
(1)款下的申请应同时附带可能要求附带的文件和信息。
收到申请之后作出决定之前,监控人可以书面或口头要求申请人提供监控人认为为决定许可证申请人是否合格而必须的文件和信息。
(3)在根据第
(2)款要求须提交附加文件或信息的情况下,而申请人未在要求所给定的期限内或监控人允许的延展期内提交的,该申请将被认为撤回而停止审查。
但对申请人提出的新的申请,不应区别对待。
许可证的发放与拒绝
8.
(1)申请严格依照第7条的要求提出,而且根据要求也附加了被要求须附加的文件和信息,监控人将审查申请。
监控人对认证机构合适的被许可人资格感到满意的情形下,在申请人缴纳相关费用后,即可发放附或不附条件的许可证。
反之,则拒绝发放许可证。
(2)根据第
(1)款所发放的许可证,应注明许可证的期限和许可证的编号。
(3)在给予被许可人合理的听证机会后,监控人可以随时变更许可证下的条件和期限。
(4)在监控人拒绝发放许可证的场合,应立即书面通知申请人。
许可证的撤消
9.
(1)监控人可以撤回根据第8条发放的许可证,假如其确有理由相信:
(a)特许认证机构不能履行根据本法案应当承担的义务;
(b)特许认证机构已经违反了许可证下的任何条件、本法案的任何条款或其他有关成文法,而不管这类违法行为是否被刑事起诉;
(c)不管是在许可证的申请或许可后的任何时间内,提供错误的、误导的或不准确的信息,或者由特许认证机构.或者代特许认证机构作出上述性质的文件或陈述,或者由特许认证机构的董事、控制者或经理或将要占据这类职位的人作出的上述性质的文件或陈述;
(d)特许认证机构以一种歧视对待公共利益或国民经济的方式开展业务;
(e)特许认证机构资不抵债;
(f)对特许认证机构进行清算的命令或通过了自行清算的决议;
(g)特许认证机构或其处于管理地位或执行地位的行政官员被判处犯有不诚实、欺诈或道德败坏之类的罪行;
(h)特许认证机构或其董事、控制者或管理者被判处犯有本法案之下的任何罪名;
(i)特许认证机构不再具有认证机构的资格。
(2)撤消许可证之前,监控者应该书面通知特许认证机构其撤消的意图,并要求特许认证机构在指定的期限以前提供认证机构认为不应撤消该证书的原因。
(1)一旦监控人决定撤消许可证,应立即书面通知认证机构其决定。
(2)具有下列之情形,证书的撤消将生效:
(a)对该撤消决定不提起申诉的,从撤消通知送达特许认证机构之日起满14天的;
(b)对该撤消决定提起申诉的,部长再次确认该撤消决定的。
(5)在对撤消证书决定提起申诉的场合,该证书被撤消的认证机构在部长对申诉进行处理之前或取消该撤消决定之前不得发放任何许可证。
但是本款中的任何规定都不得排除认证机构在该期限内向其用户履行其应当承担的其他义务。
(6)触犯第(5)款的规定的违法行为人一经定罪后,将被处以不超过50万林吉特的罚款,或不超过10年的监禁,或两者并罚。
(7)在许可证之撤消已经生效的场合,监控者应尽快地将该决定在其为有关认证机构建立的认证机构披露材料记录中公布,并在至少一份全国性的国家语言和英语日报上连续刊登3日以上。
(8)不能对此类撤消进行通告和公布的,或通告公布迟延的,不管怎样也不影响其撤消决定的法律效力。
申诉
10.
(1)任何对下列情形不服的人,均可提起申诉:
(a)第8条中监控人对认证机构拒绝颁发许可证,或第17条中的拒绝延展许可证;
(b)对第9条中的许可证之撤消,在向该人送达拒绝颁发许可证或撤消许可证决定之日起14日内,可以书面向部长进行申诉。
(2)部长根据本条作出的决定为终局性的裁决。
许可证的放弃
11.
(1)特许认证机构可以放弃其许可证,但应书面通知监控人,并交还证书。
(2)许可证之放弃自监控人收到证书及前款通知之时起生效,如果该通知中另定有放弃时间的,自该时间起生效。
(3)特许认证机构应在不晚于第
(2)款所提到的日期起的14日内,在有关认证机构的认证机构披露材料记录中公布,并在至少一份全国性的国家语言和英语日报上连续刊登3日以上。
许可证撒消、放弃或有效期限届满的后果
12.
(1)在第9条中许可证的撤消或第11条中许可证的放弃已经生效的情形下,或许可证的有效期已经届满的情形下,特许认证机构应立即停止与所颁发的许可证有关的任何业务的开展与运营。
(2)部长可以根据监控人的建议,书面通知特许认证机构,授权其为清算其业务目的,在授权的期限内继续开展其业务,而不必考虑第
(1)款的规定。
(3)许可证的有效期已经届满的特许认证机构,只要有证据证明该特许认证机构已向监控人申请许可证延期且该申请悬而未决,则该特许认证机构有权如同许可证有效期未曾届满一样开展业务,而不必考虑第
(1)款的规定。
(4)违犯前述第
(1)项规定的行为人,一旦被定罪后,将被处以不超过50万林吉特的罚款,或不超过10年以上的监禁,或两者并罚。
在违法行为处于继续状态的情形下,违法行为持续期限内,每日应加罚不超过5000林吉特的罚款。
(5)在不损害第33条监控人之权力的情形下,第9条中许可证的撤消或第11条中许可证的放弃或有效期限的届满都不影响认证机构颁发证书在撤消、放弃或期满前之有效性与法律后果。
(6)为达到第(5)款的目的,监控人应任命另一特许认证机构接管其许可证被撤消、放弃或有效期届满的认证机构发放的证书。
该证书只要符合被任命之认证机构的要求,即可被看作是该特许认证机构发放的证书。
(7)第(6)条不排除任命的特许认证机构在发放认证证书方面或者是对原未到期证书换发新证中,根据且仅根据监控人的事前书面许可须增加费用方面,要求用户遵循其要求。
(8)在监控人任命一特许认证机构接管第(6)款中认证机构所颁发证书的场合下,被接管的认证机构应将其收取费用中的一部分支付给任命接管的特许认证机构。
其支付比例由监控人决定。
许可证欠缺的法律后果
13.
(1)第8章和第Ⅳ部分责任限制的规定不适用于未经许可的认证机构。
(2)第V部分不适用于不能够用特许认证机构发放的证书来认证的数字签名。
(3)在任何其他场合,除非当事人间由合同作出明确的相反规定;否则,本法案对许可证的发放要求对任何数字签名的效力、可执行性及合法性不产生任何影响。
许可证的返还
14.
(1)在第9条下许可证的撤消决定已经生效的情形下,或许可证的有效期已经届满而未曾在指定期限内提交延期申请或申请根据第17条被拒绝的情形下,特许认证机构应在14日内将许可证书返还监控人。
(2)触犯前述第
(1)款规定的违法行为人,一旦被定罪后,将被处以不超过50万林吉特的罚款,或不超过10年以上的监禁,或两者并罚。
在违法行为处于继续状态的情形下,违法行为持续期限内,每日应加罚不超过5000林吉特的罚款。
法院可没收证书,将其交还监控人。
限制性许可证
15.
(1)监控人可以根据以下的具体限制,将许可证书进行分类:
(a)颁发优质证书的数量;
(b)特许认证机构推荐接受的对认证证书累积最大的可信赖上限;
(c)是否仅在某公司或组织内部发放的认证证书。
(2)监控人可以根据不同的分类范围发放限制性许可证。
(3)特许认证机构超出其许可证中的限制发放证书将构成违法行为。
(4)在特许认证机构超出其许可证中的限制发放证书的情形下,第Ⅳ部分第8章中有关责任限制的规定不适用于与该证书有关的特许认证机构。
(5)第(3)或(4)款不影响已经发放的证书的法律效力。
“认证机构”称法使用的限制
16.除非监控人的书面同意,否则,除特需认证机构外,其他机构不可以使用“认证机构”或“特许认证机构”,或在其他语言中的派生使用。
也不可以使用任何可能被解释为该业务的开展和运营,或使人认为与该业务有关,或暗示某人从事某业务,或具有上述效果的表述(以任何文件标题、信件、文章、通知、广告或其他方式)的任何其他语言中的表达形式。
许可证有效期的延长
17.
(1)特许认证机构应在许可证期满前最晚30天(但不超过60天)的时间内,以监控人规定使用的表格,向监控人申请延长许可证的有效期;申请同时应附带监控人要求附带的其他文件及信息。
(2)监控机构一旦接受该申请,申请人应支付有关费用。
(3)如果特许认证机构不打算延长其许可证的有效期,则特许认证机构应在不晚于许可证期满前30天的时间内,在有关认证机构情况的信息库中公布其打算放弃证书的意图,并至少在一份全国性的官方语言及英语日报上至少连续公告3天以上。
(4)在一视同仁的前提下,对于为满足第
(1)款要求的申请,监控认可以拒绝延长许可证的效力。
许可证的遗失
18.
(1)在特许认证机构遗失许可证的情形下,应立即将遗失的情况书面通知监控人。
(2)特许认证机构应尽快向监控人申请新的证书。
申请时应附带监控人要求附带的文件和信息,并缴付有关费用。
对其他证书的认许
19.
(1)对于马来西亚境外其他国家的政府机构授权或特许的认证机构,只要满足有关要求,监控认可以以公报的形式承认其在马来西亚境内具有同样的效力。
(2)第
(1)款中的政府机构授权或许可的情形下:
(9)该国政府机构授权或许可认证机构,在其发放的认证证书中注明其推荐证书信赖方对证书信赖的最大限度(如果有的话),则在马来西亚境内该推荐形式同样有效;
(b)第V部分将适用于外国政府机构特许或授权之认证机构发放的证书,就如同适用于马来西亚境内的特许认证机构一样。
运营情况的监督
20.
(1)对于特许认证机构,应每年进行一次检查,以评价其遵守本法案的情况。
(2)年度检查应由具有计算机方面专业知识、获得执照公开职业的会计师,或信誉良好的、从事计算机安全工作的专业人员进行。
(3)审查人员的资格条件及审查的工作程序应由本法案的实施细则予以详细规定。
(4)监控人应在其提供并维持的有关特许认证机构信息的信息库里向公众公布审查的日期和结果。
对运营清况进行监督的免除
21.
(1)监控认可以赦免某些人接受第20条的拘束,只要:
(a)特许认证机构书面申请赦免;
(b)最近一段时间内的特许认证机构运营情况的审查表明(假如有的话),该认证机构完全地、实实在在地遵循本法案;
(c)特许认证机构宣誓或提供证据证明下列关于认证机构的情况有一项或一项以上是真实的:
(i)在过去一年的时间内,其发放的证书不超过6份;所有证书加起来所推荐信赖人可信赖数量的最高限度不超过25000林吉特;
(ii)在过去一年的时间内,其所发放的全部证书的有效期总和不超过30天;所有证书加起来所推荐信赖人可信赖数量的最高限度不超过25000林吉特;
(iii)其所发放的所有优质证书加起来推荐信赖人可信赖数量的最高限度不超过25000林吉特。
(2)在特许认证机构根据第
(1)(c)款作出的声明中有对重要事实进行虚假陈述的情况下,特许认证机构应该被认定为未能通过第20条的运营情况的审查条件。
(3)当一个认证机构获得第
(1)款下的赦免时,监控人应在其提供并维持的有关特许认证机构信息的信息库里向公众声明该认证机构获得第20条适用的豁免。
特许认证机构的活动
22.
(1)特许认证机构只能实施许可证书中列明的各项活动。
(2)特许认证机构应遵循本法案及根据本法案制定的其他规章开展其业务。
许可证陈列
23.特许认证机构将其许可证陈放于其营业地中显眼的地方。
对呈报营业中有关信息与细节的要求
24.
(1)特许认证机构应向监控人提供监控人所要求提供的,能反映其整个业务运作的信息及细节,包括:
财务说明书、经审计的平衡表和利润损失报表。
(2)违犯前述第
(1)款规定的行为人,一旦被定罪后,将被处以不超过10万林吉特的罚款,或不超过2年以上的监禁,或两者并罚。
在违法行为处于继续状态的情形下,违法行为持续期限内,每日应加罚不超过2000林吉特的罚款。
有关信息变更的通知
25.
(1)在其提交的文件中有任何改变或变动,或其董事或首席执行官进行变动以前,特许认证机构应该将此类将要变动的事项的细节以书面形式向监控人提供。
(2)如果特许认证机构向监控人提供的与许可证有关的信息或文件有所变动,该认证机构应该立即通知监控人。
关于宣传的要求
26.特许认证机构在进行与认证业务有关的广告宣传或公布有关信息时(无论是以新闻报道或小手册的形式),应该在其中包含以下信息:
(a)许可证的编号;
(b)其开展的业务的名称,以及该业务开展的地点;
(c)任何监控人认为提供此项服务所必须的的其他细节。
安全可靠的系统的使用
27.
(1)特许认证机构应仅为出于以下目的而使用全可靠的系统:
(a)为发放、中止、撤消认证证书而使用;
(b)为公布或通知认证证书的发放、中止或撤消;
(c)为生成私人密码(私钥)而使用(不管出于为其自己或是为用户生成)。
(2)用户只能为生成私人密码(私钥)而使用上述系统。
应查询而进行信息披露
28.
(1)应根据本法案作出的任何查询,特许认证机构应公布所有重要的认证行业惯例声明,以及与其发放的认证证书的可靠性,和其提供此项服务的能力相关的重要事实材料。
(2)特许认证机构可以要求该查询人提供相对明确的书面询问书,并由其签名;同时只有在交纳规定的费用后认证机构才会对前款中的查询提供相关材料。
向用户发放证书的前提
29.
(1)只有在下述条件得到满足的情形下,特许认证机构才能向用户发放认证证书:
(a)特许认证机构已经受到由潜在用户签署的证书发放请求;
(b)特许认证机构已经确信:
(i)潜在用户就是将要发放的证书中所指明的人;
(ii)如果潜在用户是通过一个或几个代理人行为,该用户正式授权代理人掌管用户的私人密码(私钥)并请求发放列明相应公共密码(公钥)的证书;
(iii)在将要发放的证书里包含的信息是准确无误的;
(iv)潜在用户合法持有与证书中列明的与公共密码相对应的私人密码;
(v)潜在用户所持有的私人密码能够生成数字签名;
(vi)证书中列明的公共密码能够确认潜在用户使用其持有的私人密码所签附的数字签名。
(3)前款中的要求任何人都不能拒绝或放弃,包括特许认证机构、用户。
已签发并被接受的证书的公布
30.
(1)如果用户接受发放的许可证书,则特许认证机构应在被认可的信息库中公开该证书的签名副本;除非用户与特许认证机构之间另有约定,否则应将特许认证机构与用户的名称都在证书上标明。
(2)如果用户不接受该证书,则特许认证机构不能公布;或如果已经公布的,应该将其撤回。
允许采用更为严格的要求
31.在符合本法案的前提下,第29和30条不排除特许认证机构出于遵守标准、认证行业惯例、安全计划或合同条件而作出更为严格的要求。
对错误发放证书的中止或撤消
32.
(1)在认证证书发放后,特许认证机构发现该
升级会员 