(电子商务研究中心讯)马来西亚1997年数字签名法案
法案第562号
简称及生效
1.本法案也可被称为1997年数字签名法案,根据部长在公报之上通告之生效日起生效,部长也可就法案之不同部分通过不同之生效日。
解释
2.(1)除非法案文本另有规定,在本法案中:
“接受证书”指:
(a)当知道或被通告证书之内容时,表明了对证书内容的同意;或
(b)在向国家特许的认证机构申请证书后,没有用撤消通知向特许认证机构通知撤回申请,并且,假如特许认证机构基于申请随后颁发证书,收到特许认证签署的书面回复;
“不对称加密系统”意指一种或一组提供安全密码组的算法;
“获授权官员”意指获第75条授权的官员;
“证书”意指一种基于计算机技术而产生的记录,其:
(a)识别颁发证书的授权机构;
(b)标明用户的姓名并识别用户;
(c)包含用户的公共密码(公钥);
(d)由认证机构进行数字签名;
“认证机构”指颁发证书之人;
“认证机构披露之材料记录”指第3(5)条下的监控人保存的、向公众公开或可在线获得的、包含有关许认证机构的的材料记录;
“认证业贯例公示”指认证机构对在颁发证书中遵循的一般惯例,或颁发特别证书中所遵循的惯例的公开宣告;
“认证”指给予足够的反馈机会,承担通知的义务,通过证书向某人表明所有的重要事实;
“确认”指通过严格的询问和调查来加以确定;
“监控人”指第3条所任命的认证机构监控人;
“相应”指密码,意指属于同一密码组;
“数字签名”指使用不对称加密系统将讯文转换,以致得到讯文首部及签名者公共密码的人即可准确地确定:
(a)是否该讯文转换是使用与签名者公共密码相应的私人密码创制的;
(b)该讯文自转换后是否又被他人篡改过;
“伪造签名”指:
(a)未经私人密码(私钥)合法持有人的授权而创制数字签名;
(b)创制一个认证证书标列为用户人的签名,但该人并不存在或并不拥有与证书中标明的公共密码相应的私人密码;
“持有私人密码”指能够使用私人密码;
“为(特定目的)而插入(标记)”指为了识别被插入(标记)的讯文且表明该讯文将被插入的意图,而使某一段讯文成为另一段讯文的一个部分;
“颁发证书”指认证机构制作证书并将列于证书之上的内容通知用户的行为;
“密码组”指不对称加密系统(在该加密系统中,公共密码可用以确认使用私人密码签署的数字签名)中的私人密码及与之相应的公共密码;
“特许认证机构”指经由监控人颁发特别许可证,且该许可证生效的认证机构;
“讯文”指信息的数字表示方式;
“通知”指在某种特定的场合下向他人传递信息的最合理方式,向他人传达某一事实;
“人”指能够在法律上或事实上签名的自然人或一群人、法人或非法人;
“规定”指本法规或根据本法规制定的其他任何规章中作出的规定;
“私人密码(私钥)”指密码组中用以生成数字签名的密码;
“公共密码(公钥)”指密码组中用以确认数字签名的密码;
“发布”指记录或存档于信息库中;
“合格的认证机构”指满足第5条要求的认证机构;
“收件人”指接收或持有数字签名并处于信赖该签名的地位;
“经认可的日期/时间标记服务”指在第70条中提及的监控人所认可的日期/时间标记服务;
“经认可的信息库”指在第68条中提及的监控人所认可的,信息库;
“建议信赖的上限”指第60条中提及的,证书中推荐可信赖的最高金钱数额;
“信息库”指一种存放和查询证书及其他与数字签名有关的信息的系统;
“撤消证书”指使某证书自某时以后永久失效;
“合法持有私人密码”指能够使用私人密码:
(a)其中私钥持有人或持有人之代理人不曾有违反本法案规定而向他人泄露私人密码的情形;
(b)私钥持有人并非通过盗窃、欺骗、窃听或其他非法方式获得私人密码的;
“用户”指某人:
(a)被列人证书之中;
(b)接受证书;和
(c)持有与证书之中的公共密码相应的私人密码;
“中止证书”指使证书自某时之后暂停生效;
“本法案”包括根据本法案制定的任何规章规则;
“时间标记”指:
(a)在讯文、数字签名或证书后付上一个数字签写的标记,该标记至少应表明付注标记的日期、时间及其身份;
(b)以此方式所付之标记;
“交易证书”指一个为证明某特定交易的有效的证书,该证书包含一个或几个数字签名;
“可信赖系统”指计算机硬件或软件:
(a)具有免受他人侵入或滥用的合理安全性;
(b)在取得的方便性方面、在系统的可信赖性方面以及纠错能力方面都达到合理的水平;
(c)适合于完成它们预定的功能;
“有效证书”指一证书:
(a)由特许的认证机构所发放;
(b)被列于其上的用户所接受;
(c)未被撤消或中止;
(d)未过有效期;
一个交易证书只有在与其上之数字签名相结合时才是有效之证书;
“确认一数字签名”指使用一个给定的数字签名、讯文和公共密码来准确地确定:
(a)数字签名是由与公共密码相对应的私人密码所创制的;
(b)自从数字签名签署后,该讯文未曾作任何篡改;
“书写”或“书面”包括任何手写、打印、印刷、电子形式存储或传送、或其他以某种能够保存信息的方式来记录或固定信息的方法。
(2)根据本法案的精神,为了撤消一个证书,应在该证书上标注撤消标记,或是将该证书归人到撤消证书档案中去。
(3)证书之撤消并不意味着该证书被毁坏或模糊不清。
监控人的任命
3.(1)为了实现本法的宗旨,特别是为了监督和控制认证机构的活动,部长将任命一位监控人,以监控认证机构。
(2)监控人可以行使、放弃和履行本法所赋予的权力、义务和职责。
(3)如果监控人认为出于行使或履行本法授予的部分或全部权力或义务(第4(4)条所授予监控人的权力除外)所需,在与部长磋商之后,可以任命数名行政官员和公务员。
(4)监控人和监控人根据第(3)款所任命的行政官员和公务员在行使本法所赋予的权力时,应遵照部长制定的总方针和指示行事。
(5)监控人应建立一个公众可利用的数据库。该数据库中包含了认证机构为了获得政府机构特许而披露的信息记录,这些信息记录包括所有根据本法案制定的法规所要求的材料细节。
(6)监控人应在至少一个被认可的信息库中公布数据库的内容。
认证机构必须获得特许
4.(1)没有人可以作为认证机构开展业务或进行运营,或主张他自己可以进行认证业务的运营,除非该人持有根据本法发放的有效许可证。
(2)触犯前述第(1)款规定的违法行为人,一旦被定罪后,将被处以不超过50万林吉特的罚款,或不超过10年以上的监禁,或两者并罚。在违法行为处于继续状态的情形下,违法行为持续期限内,每日应加罚不超过5000林吉特的罚款。
(3)收到根据本法案提出的申请后,部长可以赦免:
(a)某人在某组织中执行认证机构的功能,该组织中证书和密码组只发放给组织内部成员使用;
(b)根据本条的要求,部长认为合适的一个人或某一类人。
(4)部长可将其根据第(3)款享有的权力委托监控人行使,该权力由监控人以部长的名义代表部长行使。
(5)第(4)款下的委托授权决不意味着排除部长本人可随时再行使该委托的权力。
(6)第Ⅳ部分[1]第8章所规定的责任限制不适用于受豁免的认证机构,第V部分[2]受豁免的认证机构签发的证书所认证的数字签名。
认证机构的资格要求
5.(1)部长可以根据本法案制定规章,规定认证机构的资格
[1]第27—61条。
[2]第62-67条。要求。
(2)部长可以随时变更或修改第(1)款中规定的资格要求,只要该资格要求的修改变动不适用于持有许可证的认证机构。该许可证依据本法案有效颁发且仍在许可期限内的。
特许认证机构之职能
6.(1)特许认证机构的职能是根据用户申请,在意图使用证书证明的用户的身份情况满足特许认证机构的要求,且按规定缴付有关费用后颁发证书。
(2)在发放任何本法案之下的证书前,认证机构应该采取所有的合理步骤,查清那些意图使用证书进行证明的用户之正确身份。
(3)特许认证机构在发放任何本法案之下的证书时,应先使证书发放申请经依据1959年公证法案合法建立的公证机关的公证。
许可证的申请
7.(1)发放本法案下许可证的申请应以监控者可能规定的格式,书面向监控者提出。
(2)第(1)款下的申请应同时附带可能要求附带的文件和信息。收到申请之后作出决定之前,监控人可以书面或口头要求申请人提供监控人认为为决定许可证申请人是否合格而必须的文件和信息。
(3)在根据第(2)款要求须提交附加文件或信息的情况下,而申请人未在要求所给定的期限内或监控人允许的延展期内提交的,该申请将被认为撤回而停止审查。但对申请人提出的新的申请,不应区别对待。
许可证的发放与拒绝
8.(1)申请严格依照第7条的要求提出,而且根据要求也附加了被要求须附加的文件和信息,监控人将审查申请。监控人对认证机构合适的被许可人资格感到满意的情形下,在申请人缴纳相关费用后,即可发放附或不附条件的许可证。反之,则拒绝发放许可证。
(2)根据第(1)款所发放的许可证,应注明许可证的期限和许可证的编号。
(3)在给予被许可人合理的听证机会后,监控人可以随时变更许可证下的条件和期限。
(4)在监控人拒绝发放许可证的场合,应立即书面通知申请人。
许可证的撤消
9.(1)监控人可以撤回根据第8条发放的许可证,假如其确有理由相信:
(a)特许认证机构不能履行根据本法案应当承担的义务;
(b)特许认证机构已经违反了许可证下的任何条件、本法案的任何条款或其他有关成文法,而不管这类违法行为是否被刑事起诉;
(c)不管是在许可证的申请或许可后的任何时间内,提供错误的、误导的或不准确的信息,或者由特许认证机构.或者代特许认证机构作出上述性质的文件或陈述,或者由特许认证机构的董事、控制者或经理或将要占据这类职位的人作出的上述性质的文件或陈述;
(d)特许认证机构以一种歧视对待公共利益或国民经济的方式开展业务;
(e)特许认证机构资不抵债;
(f)对特许认证机构进行清算的命令或通过了自行清算的决议;
(g)特许认证机构或其处于管理地位或执行地位的行政官员被判处犯有不诚实、欺诈或道德败坏之类的罪行;
(h)特许认证机构或其董事、控制者或管理者被判处犯有本法案之下的任何罪名;
(i)特许认证机构不再具有认证机构的资格。
(2)撤消许可证之前,监控者应该书面通知特许认证机构其撤消的意图,并要求特许认证机构在指定的期限以前提供认证机构认为不应撤消该证书的原因。
(1)一旦监控人决定撤消许可证,应立即书面通知认证机构其决定。
(2)具有下列之情形,证书的撤消将生效:
(a)对该撤消决定不提起申诉的,从撤消通知送达特许认证机构之日起满14天的;
(b)对该撤消决定提起申诉的,部长再次确认该撤消决定的。
(5)在对撤消证书决定提起申诉的场合,该证书被撤消的认证机构在部长对申诉进行处理之前或取消该撤消决定之前不得发放任何许可证。但是本款中的任何规定都不得排除认证机构在该期限内向其用户履行其应当承担的其他义务。
(6)触犯第(5)款的规定的违法行为人一经定罪后,将被处以不超过50万林吉特的罚款,或不超过10年的监禁,或两者并罚。
(7)在许可证之撤消已经生效的场合,监控者应尽快地将该决定在其为有关认证机构建立的认证机构披露材料记录中公布,并在至少一份全国性的国家语言和英语日报上连续刊登3日以上。
(8)不能对此类撤消进行通告和公布的,或通告公布迟延的,不管怎样也不影响其撤消决定的法律效力。
申诉
10.(1)任何对下列情形不服的人,均可提起申诉:
(a)第8条中监控人对认证机构拒绝颁发许可证,或第17条中的拒绝延展许可证;
(b)对第9条中的许可证之撤消,在向该人送达拒绝颁发许可证或撤消许可证决定之日起14日内,可以书面向部长进行申诉。
(2)部长根据本条作出的决定为终局性的裁决。
许可证的放弃
11.(1)特许认证机构可以放弃其许可证,但应书面通知监控人,并交还证书。
(2)许可证之放弃自监控人收到证书及前款通知之时起生效,如果该通知中另定有放弃时间的,自该时间起生效。
(3)特许认证机构应在不晚于第(2)款所提到的日期起的14日内,在有关认证机构的认证机构披露材料记录中公布,并在至少一份全国性的国家语言和英语日报上连续刊登3日以上。
许可证撒消、放弃或有效期限届满的后果
12.(1)在第9条中许可证的撤消或第11条中许可证的放弃已经生效的情形下,或许可证的有效期已经届满的情形下,特许认证机构应立即停止与所颁发的许可证有关的任何业务的开展与运营。
(2)部长可以根据监控人的建议,书面通知特许认证机构,授权其为清算其业务目的,在授权的期限内继续开展其业务,而不必考虑第(1)款的规定。
(3)许可证的有效期已经届满的特许认证机构,只要有证据证明该特许认证机构已向监控人申请许可证延期且该申请悬而未决,则该特许认证机构有权如同许可证有效期未曾届满一样开展业务,而不必考虑第(1)款的规定。
(4)违犯前述第(1)项规定的行为人,一旦被定罪后,将被处以不超过50万林吉特的罚款,或不超过10年以上的监禁,或两者并罚。在违法行为处于继续状态的情形下,违法行为持续期限内,每日应加罚不超过5000林吉特的罚款。
(5)在不损害第33条监控人之权力的情形下,第9条中许可证的撤消或第11条中许可证的放弃或有效期限的届满都不影响认证机构颁发证书在撤消、放弃或期满前之有效性与法律后果。
(6)为达到第(5)款的目的,监控人应任命另一特许认证机构接管其许可证被撤消、放弃或有效期届满的认证机构发放的证书。该证书只要符合被任命之认证机构的要求,即可被看作是该特许认证机构发放的证书。
(7)第(6)条不排除任命的特许认证机构在发放认证证书方面或者是对原未到期证书换发新证中,根据且仅根据监控人的事前书面许可须增加费用方面,要求用户遵循其要求。
(8)在监控人任命一特许认证机构接管第(6)款中认证机构所颁发证书的场合下,被接管的认证机构应将其收取费用中的一部分支付给任命接管的特许认证机构。其支付比例由监控人决定。
许可证欠缺的法律后果
13.(1)第8章和第Ⅳ部分责任限制的规定不适用于未经许可的认证机构。
(2)第V部分不适用于不能够用特许认证机构发放的证书来认证的数字签名。
(3)在任何其他场合,除非当事人间由合同作出明确的相反规定;否则,本法案对许可证的发放要求对任何数字签名的效力、可执行性及合法性不产生任何影响。
许可证的返还
14.(1)在第9条下许可证的撤消决定已经生效的情形下,或许可证的有效期已经届满而未曾在指定期限内提交延期申请或申请根据第17条被拒绝的情形下,特许认证机构应在14日内将许可证书返还监控人。
(2)触犯前述第(1)款规定的违法行为人,一旦被定罪后,将被处以不超过50万林吉特的罚款,或不超过10年以上的监禁,或两者并罚。在违法行为处于继续状态的情形下,违法行为持续期限内,每日应加罚不超过5000林吉特的罚款。法院可没收证书,将其交还监控人。
限制性许可证
15.(1)监控人可以根据以下的具体限制,将许可证书进行分类:
(a)颁发优质证书的数量;
(b)特许认证机构推荐接受的对认证证书累积最大的可信赖上限;
(c)是否仅在某公司或组织内部发放的认证证书。
(2)监控人可以根据不同的分类范围发放限制性许可证。
(3)特许认证机构超出其许可证中的限制发放证书将构成违法行为。
(4)在特许认证机构超出其许可证中的限制发放证书的情形下,第Ⅳ部分第8章中有关责任限制的规定不适用于与该证书有关的特许认证机构。
(5)第(3)或(4)款不影响已经发放的证书的法律效力。
“认证机构”称法使用的限制
16.除非监控人的书面同意,否则,除特需认证机构外,其他机构不可以使用“认证机构”或“特许认证机构”,或在其他语言中的派生使用。也不可以使用任何可能被解释为该业务的开展和运营,或使人认为与该业务有关,或暗示某人从事某业务,或具有上述效果的表述(以任何文件标题、信件、文章、通知、广告或其他方式)的任何其他语言中的表达形式。
许可证有效期的延长
17.(1)特许认证机构应在许可证期满前最晚30天(但不超过60天)的时间内,以监控人规定使用的表格,向监控人申请延长许可证的有效期;申请同时应附带监控人要求附带的其他文件及信息。
(2)监控机构一旦接受该申请,申请人应支付有关费用。
(3)如果特许认证机构不打算延长其许可证的有效期,则特许认证机构应在不晚于许可证期满前30天的时间内,在有关认证机构情况的信息库中公布其打算放弃证书的意图,并至少在一份全国性的官方语言及英语日报上至少连续公告3天以上。
(4)在一视同仁的前提下,对于为满足第(1)款要求的申请,监控认可以拒绝延长许可证的效力。
许可证的遗失
18.(1)在特许认证机构遗失许可证的情形下,应立即将遗失的情况书面通知监控人。
(2)特许认证机构应尽快向监控人申请新的证书。申请时应附带监控人要求附带的文件和信息,并缴付有关费用。
对其他证书的认许
19.(1)对于马来西亚境外其他国家的政府机构授权或特许的认证机构,只要满足有关要求,监控认可以以公报的形式承认其在马来西亚境内具有同样的效力。
(2)第(1)款中的政府机构授权或许可的情形下:
(9)该国政府机构授权或许可认证机构,在其发放的认证证书中注明其推荐证书信赖方对证书信赖的最大限度(如果有的话),则在马来西亚境内该推荐形式同样有效;
(b)第V部分将适用于外国政府机构特许或授权之认证机构发放的证书,就如同适用于马来西亚境内的特许认证机构一样。
运营情况的监督
20.(1)对于特许认证机构,应每年进行一次检查,以评价其遵守本法案的情况。
(2)年度检查应由具有计算机方面专业知识、获得执照公开职业的会计师,或信誉良好的、从事计算机安全工作的专业人员进行。
(3)审查人员的资格条件及审查的工作程序应由本法案的实施细则予以详细规定。
(4)监控人应在其提供并维持的有关特许认证机构信息的信息库里向公众公布审查的日期和结果。
对运营清况进行监督的免除
21.(1)监控认可以赦免某些人接受第20条的拘束,只要:
(a)特许认证机构书面申请赦免;
(b)最近一段时间内的特许认证机构运营情况的审查表明(假如有的话),该认证机构完全地、实实在在地遵循本法案;
(c)特许认证机构宣誓或提供证据证明下列关于认证机构的情况有一项或一项以上是真实的:
(i)在过去一年的时间内,其发放的证书不超过6份;所有证书加起来所推荐信赖人可信赖数量的最高限度不超过25000林吉特;
(ii)在过去一年的时间内,其所发放的全部证书的有效期总和不超过30天;所有证书加起来所推荐信赖人可信赖数量的最高限度不超过25 000林吉特;
(iii)其所发放的所有优质证书加起来推荐信赖人可信赖数量的最高限度不超过25000林吉特。
(2)在特许认证机构根据第(1)(c)款作出的声明中有对重要事实进行虚假陈述的情况下,特许认证机构应该被认定为未能通过第20条的运营情况的审查条件。
(3)当一个认证机构获得第(1)款下的赦免时,监控人应在其提供并维持的有关特许认证机构信息的信息库里向公众声明该认证机构获得第20条适用的豁免。
特许认证机构的活动
22.(1)特许认证机构只能实施许可证书中列明的各项活动。
(2)特许认证机构应遵循本法案及根据本法案制定的其他规章开展其业务。
许可证陈列
23.特许认证机构将其许可证陈放于其营业地中显眼的地方。
对呈报营业中有关信息与细节的要求
24.(1)特许认证机构应向监控人提供监控人所要求提供的,能反映其整个业务运作的信息及细节,包括:财务说明书、经审计的平衡表和利润损失报表。
(2)违犯前述第(1)款规定的行为人,一旦被定罪后,将被处以不超过10万林吉特的罚款,或不超过2年以上的监禁,或两者并罚。在违法行为处于继续状态的情形下,违法行为持续期限内,每日应加罚不超过2000林吉特的罚款。
有关信息变更的通知
25.(1)在其提交的文件中有任何改变或变动,或其董事或首席执行官进行变动以前,特许认证机构应该将此类将要变动的事项的细节以书面形式向监控人提供。
(2)如果特许认证机构向监控人提供的与许可证有关的信息或文件有所变动,该认证机构应该立即通知监控人。
关于宣传的要求
26.特许认证机构在进行与认证业务有关的广告宣传或公布有关信息时(无论是以新闻报道或小手册的形式),应该在其中包含以下信息:
(a)许可证的编号;
(b)其开展的业务的名称,以及该业务开展的地点;
(c)任何监控人认为提供此项服务所必须的的其他细节。
安全可靠的系统的使用
27.(1)特许认证机构应仅为出于以下目的而使用全可靠的系统:
(a)为发放、中止、撤消认证证书而使用;
(b)为公布或通知认证证书的发放、中止或撤消;
(c)为生成私人密码(私钥)而使用(不管出于为其自己或是为用户生成)。
(2)用户只能为生成私人密码(私钥)而使用上述系统。
应查询而进行信息披露
28.(1)应根据本法案作出的任何查询,特许认证机构应公布所有重要的认证行业惯例声明,以及与其发放的认证证书的可靠性,和其提供此项服务的能力相关的重要事实材料。
(2)特许认证机构可以要求该查询人提供相对明确的书面询问书,并由其签名;同时只有在交纳规定的费用后认证机构才会对前款中的查询提供相关材料。
向用户发放证书的前提
29.(1)只有在下述条件得到满足的情形下,特许认证机构才能向用户发放认证证书:
(a)特许认证机构已经受到由潜在用户签署的证书发放请求;
(b)特许认证机构已经确信:
(i)潜在用户就是将要发放的证书中所指明的人;
(ii)如果潜在用户是通过一个或几个代理人行为,该用户正式授权代理人掌管用户的私人密码(私钥)并请求发放列明相应公共密码(公钥)的证书;
(iii)在将要发放的证书里包含的信息是准确无误的;
(iv)潜在用户合法持有与证书中列明的与公共密码相对应的私人密码;
(v)潜在用户所持有的私人密码能够生成数字签名;
(vi)证书中列明的公共密码能够确认潜在用户使用其持有的私人密码所签附的数字签名。
(3)前款中的要求任何人都不能拒绝或放弃,包括特许认证机构、用户。
已签发并被接受的证书的公布
30.(1)如果用户接受发放的许可证书,则特许认证机构应在被认可的信息库中公开该证书的签名副本;除非用户与特许认证机构之间另有约定,否则应将特许认证机构与用户的名称都在证书上标明。
(2)如果用户不接受该证书,则特许认证机构不能公布;或如果已经公布的,应该将其撤回。
允许采用更为严格的要求
31.在符合本法案的前提下,第29和30条不排除特许认证机构出于遵守标准、认证行业惯例、安全计划或合同条件而作出更为严格的要求。
对错误发放证书的中止或撤消
32.(1)在认证证书发放后,特许认证机构发现该证书的发放并不符合第29和30条规定的条件,则认证机构应该立即将其撤消。
(2)特许认证机构可以中止某一证书生效,以便在该期限内调查确认是否具有第(1)款中的应撤消的情形;该中止期的的时间应该合理,最长不超过48小时。
(3)特许认证机构根据本条撤消或中止证书,应立即通知用户。
依命令而撤消或中止证书
33.(1)监控人认为有下列情形时,可以要求特许认证机构中止或撤消其发放的证书:
(a)证书的发放有未遵守第29和30条规定的情形;
(b)该不遵守第29和30条的情形使该证书的合理信赖相对方面临极大的风险。
(2)在作出前款决定时,监控人应给予特许认证机构和用户一个合理的解释机会。
(3)在认为出现紧急情况需要立即采取补救措施的场合,监控人在与部长取得联系后,可以不理会第(1),(2)款的规定,立即中止该证书的效力,但最长不应越过48今小时。
对用户的担保
34.(1)特许认证机构因发放许可证而向证书上列明的用户人承担下述担保义务:
(a)就认证机构所知的,证书上包含的信息均是真实可靠的;
(b)该证书满足本法案的所有要求;
(c)特许认证机构在发放证书时,没有超过(其证书推荐信赖人)信赖的数量上限。
(2)对于前款的担保义务,特许认证机构不得拒绝或限制。
对用户人的持续义务
35.除非用户人与特许认证机构另有约定外,特许认证机构因发放证书而应向用户保证:
(a)如有第5与6章的情形,应立即中止或撤消证书;
(b)一旦证书发放以后,如特许认证机构知悉任何严重影响证书有效性或可靠性的事件,应在合理时间内通知用户。
通过证书发放作出的宣示
36.特许认证机构因发放认证证书,‘而向所有合理信赖证书内所包含信息的人确保:
(a)证书中包含的、被列为经认证机构确认的信息,是准确无误的;
(b)所有能够预见到对证书的可靠性有重要意义的信息都在证书中列举出来;
(c)用户已经接受证书;
(d)特许认证机构遵从所有调整证书发放的准据法行事。
通过证书发放作出的宣示
37.通过公布认证证书的方式,特许认证机构向在其中公开证书的信息库及所有合理信赖包含在证书内信息的相对人确认,其已向用户发放证书。
用户接受证书暗含的宣示
38,接受特许认证机构发放的证书,证书中所列出的用户会使所有合理信赖包含在证书内信息的相对方确信:
(a)用户合法持有与证书中列出的公共密码相应的私人密码;
(b)用户人向特许认证机构作出的与证书内列举的信息有重要关系的所有陈述都是真实可信的;
(c)用户人向特许认证机构作出的所有重要陈述,或在证书中作出的、而特许认证机构在颁发证书时未能确认的所有重要陈述都是真实可信的。
用户代理人的宣示
39.为了使本人能成为用户而代为其请求发放证书的行为,意味着请求人以自己的名誉和利益向所有合理信赖该证书中包含信息的人确保,他已经:
(a)获得所有的合法授权,为本人请求发放证书;
(b)有权以本人名义签发数字签名;如果该授权有任何限制的话,保证该数字签名不会超出本人的授权范围。
不得放弃适用或予以补偿的限制
40.如果对本章放弃适用、通过合同限制适用或企图获得同类效果的补偿安排,将产生对证书的合理信赖相对方进行误述责任的任何限制,则该放弃适用、限制适用及补偿安排都没有效力。
用户对特许认证机构的补偿
41.(1)接受证书后,用户向特许认证机构承担补偿其在颁发证书或公布证书中所遭受的任何损失或损害的义务,只要该证书的颁发是基于对以下情形的信赖:
(a)用户对重大事实的错误陈述;
(b)未能披露重要事实,只要该陈述或未作披露是出于下述原因:意图欺骗特许认证机构或证书之相对方,或有过失。
(2)在特许认证机构应用户的一个或多个代理人的请求颁发;证书的场合,由该代理人本人向特许认证机构承担本条下的补偿责任,正如在代理委托合同中,其以个人利益向用户承担责任一样。
(3)本条中所提供的所有补偿安排,是不能够拒绝适用或以合同限制其适用范围。
对收到信息准确性的确认
42.在收到用户提交的对证书发放至关重要的信息时,特许认证机构可以要求用户以宣誓或确认书的形式确认相关信息的准确性。
用户安全保管私人密码的义务
43.一旦接受特许认证机构签发的认证证书,证书中指明的用户则应承担合理注意义务,保管私人密码,防止将其披露给任何未经授权创制用户数字签名的人。
私人密码的所有权
44.私人密码是用户合法持有的个人财产。
如果持有用户之私人密码特许认证机构应负忠信义务
45.如果特许认证机构持有与其颁发证书中公共密码相应的私人密码,则该机构应如证书中指定的用户的信托人一般持有私人密码;除非用户以明确的书面形式特许认证机构使用私人密码和以书面形式允许认证机构以其他条件持有私人密码外,如果没有用户事先的书面同意,认证机构不得使用该私人密码。
颁发证书的特许认证机构对认证证书效力的中止
46.(1)除非特许认证机构另有约定,在出现下列情形时,对于非交易证书,发放该证书的特许认证机构应当中止该证书的效力,但其期限最长不能超过48个小时:
(a)根据证书中指明的用户本人的请求,或任何处于可能知悉用户私人密码的安全性可能受损的地位的人(如其代理人、相关企业、雇员或直系家属)的请求;
(b)根据监控人据第33条作出的命令。
(2)特许认证机构应采取合理的措施查验请求中止的人的身份,或是否具有代理权。
监控人命令或法院裁决中止证书
47.(1)除非证书另有规定或证书是交易证书的情形外,监控人或法院可以中止特许认证机构颁发的认证证书,中止期限为48个小时,只要:
(a)中止的决定是根据证书中指明的用户本人的请求作出的,或根据作为其代理人、相关企业、雇员或直系家属的请求作出的;且
(b)请求人提出证据表明无法从发放证书的特许认证机构取得中止证书效力的决定。
(2)监控人或法院可以要求请求中止的人提供证据,这些证据包括:经宣誓的声明或其身份和授权的确认书,无法取得联系的认证机构的有关情况,以及该认证机构拒绝中止证书的有关证据。
(3)监控人或其他法律执行机关可以对监控人或法院作出的中止决定进行调查,以防止请求中止人可能有的不当行为。
中止的通知
48.(1)一旦特许认证机构中止某一证书,应立即在该证书中指定的信息库中发布其签名的中止通知书。
(2)该证书指定一个或以上信息库时,该认证机构应立即在该证书中指定的所有信息库中发布其签名的中止通知书。
(3)在该证书指定的信息库都不存在或拒绝接受公告的情形下,或没有第68条下获得认可的信息库,则特许认证机构仍应在一个被认可的信息库中公布中止通知。
(4)在监控人命令或法院裁定中止的情形下,只要请求中止的人事先支付信息库规定对公布中止通知应收取的费用,则法院或监控人可以代认证机构发布本条规定的通知。
应请求而中止的终结
49.下列情形,特许认证机构可以终结应请求而作出的中止决定:
(a)在被中止的证书上指定的用户请求终结中止决定时,只要认证机构确信请求终结中止决定的人就是请求中止主下书的用户或其代理人;或
(b)特许认证机构发现并确信对中止的请求是由未经用户授权的人作出的.
通过合同约定的替代性程序
50.(1)用户和特许认证机构可以通过合同约定限制或排除认证机构应请求而中止证书效力,也可以约定认证机构应请求而中止证书效力的替代程序。
(2)在合同限制或排除适用当无法从证书的发放机构取得中止决定而向法院请求中止证书效力时,该限制或排除的约定只有在证书上明确标明后才有效力。
证书中止的错误请求或未经授权请求的禁止
51.任何人都无权向特许认证机构虚假陈述其身份或其代理权,请求中止证书效力。
证书中止的后果
52.本章的任何规定都不解除用户在证书中止期间根据第43条所承担的安全保管私人密码的义务。
53.(1)在证书是非交易证书的情形下,有下列情形,特许认证机构应撤消其发放的证书:
(a)收到证书中指明的用户的撤消请求;和
(b)确信请求撤消的人就是用户或用户授权请求撤消的代理人。
(2)特许认证机构应对撤消请求进行确认,并在收到用户的书面撤消请求,以及能合理充分证明请求撤消人或其代理人的身份的证明材料后一个工作日,撤消证书。
用户人之死亡而撤消
54.有下列情形,特许认证机构可以撤消其发放的证书:
(a)收到经有关机关证明的用户人死亡证明的副本,或通过其他证据确信用户人死亡;或
(b)收到有关用户人解散的文件,或通过其他证据确信用户人已经解散或不复存在。
对不可靠证书的撤消
55.(1)当某一证书是不可靠的或正在变得不可靠,则不管用户人是否同意撤消,也不管用户人与特许认证机构之间的合同中否有相反的规定,特许认证机构都可以撤消一个或几个证书。
(2)在错误撤消的情形下,第(1)款不能阻碍用户人向特许认证机构寻求损害赔偿或其他救济。
撤消的通知
56.(1)一旦特许认证机构撤消某一证书,应立即在该证书中指定的信息库中发布其签名的撤消通知书。
(2)该证书指定一个或以上信息库时,该认证机构应立即在该证书中指定的所有信息库中发布其签名的撤消通知书。
(3)在该证书指定的信息库都不存在或拒绝接受公告的情形下,或没有第68条下获得认可的信息库,则特许认证机构仍应在一个被认可的信息库中公布撤消通知。
用户人请求撤消的后果
57.在用户人请求撤消证书的情形下,用户人不在需要第3章中的认证服务了,因此也没有继续承担第43条所要求的安全保管私人密码的义务,只要:
(1)只要该撤消的通知已根据第56条的规定予以公布;
(2)在用户人向发放证书的特许认证机构提交书面撤消申请、足以合理确认该请求的相关信息并支付有关费用后经过两个营业日;
两者之中以时间在先者为准。
特许认证机构通知的效果
58.一旦作出第56条要求下的通知后,特许认证机构应解除其基于发放被撤消证书所承担的担保义务,也不再承担第35条及第36条所要求的与被撤消证书有关的确认义务。
证书期限的届满
59.(1)证书的有效期限应当在证书中明确确定。
(2)从发放之日起算,证书的有效期为不超过3年的任何时司。
(3)在证书期满后,用户人和认证机构都停止本法案下的证明活动,特许认证机构也解除其继续承担基于过期证书而产生的一切义务。
(4)证书的期满不影响特许认证机构与用户人承担的因过期证书而产生的、与过期证书有关的义务和责任。
推荐接受的可信赖之上限
60.(1)特许认证机构在向用户人颁发证书时,应在证书中明确其推荐接受的、可以信赖的最高限度。
(2)特许认证机构认为合适的话,可以在不同的证书中确定不同的信赖上限。
特许认证机构的责任限制
61.除非特许认证机构放弃适用本条规定,否则特许认证机构:
(a)在出现假冒或错误的数字签名的情形下,特许认证机构是根据本法案的要求行事,则对因信赖假冒用户人的或错误的数字签名所造成的任何损失,认证机构不承担任何赔偿责任;
(b)在下述任一情形下,对超过认证机构在证书中明确规定的,推荐接受的可信赖数量上限之任何部分,不承担赔偿责任:
(i)因信赖特许认证机构要求进行确认的、证书中的任何事实部分的误述而产生的损失;或
(ii)在发放证书中,未能遵循第29和30条的要求行事;和
(c)也不对下面的情形负责:
(i)警戒性或惩罚性的损害赔偿;或
(ii)对人身伤害或精神痛苦的赔偿。
对签名要求的满足
62.(1)在法律规范要求进行签名,或缺乏签名即需要承担某种责任时,在下述场合,该规则的要求也可得到满足(即,也可将数字签名认定为签名):
(a)经参照列明在特许认证机构发放的有效证书中的公共密码,该数字签名得到确认;
(b)该数字签名是签名人出于签署讯文的目的而附加的;
(c)签名接收方不知晓、也未被通知签名人具有下列情形:
(i)违背用户人应当承担的义务;或
(ii)数字签名是使用非法持有的私人密码附署的。
(2)不管是否有其他成文法作出相反的规定,在下述场合,该规则的要求也可得到满足(即,也可将数字签名认定为签名):
(a)根据本法案使用数字签名签署的文件,应该具有与手写签名、附盖指纹或任何其他标记同等的法律拘束力;和(b)根据本法案生成的数字签名应该被认定为具有法律拘束力的签名。
(3)本法案并不排除任何现行法律规定的、与签名具有同等效果的任何标记的效力。
不可靠的数字签名
63.(1)除非法律另有规定或合同另有约定外,如果信赖根据当时情形认为是不合理的数字签名,则数字签名的接受方应承担数字签名假冒的风险。
(2)在接受方根据本条决定不信赖数字签名的情形下,接受方应立即通知签名方其不打算信赖数字签名的决定,以及作出该决定的理由。
数字签名的文件应被认定为书面文件
64.(1)某一讯文只要具有下列情形,则应像书面文书一样有效,并可执行:
(a)使用数字签名签署,该数字签名与整个讯文保持完整一致性;
(b)该数字签名得到在认证证书上列明的公共密码的确认,
该认证证书应该:
(i)是由特许认证机构发放的;和
(ii)在数字签名生成时是有效力的。
(2)本法案并不排除根据其他现行法认为具有书面效果的讯文、文件或记录的效力。
数字签名的文件应被认定为是原件文本
65.如有明显的证据表明签名人只欲签署惟一一份讯文原本,则在该情形下,此文本为有效的可执行的讯文;否则,数字签署讯文的副本将如原本一样具有效力,并可以执行。
数字签名的认证
66.不管数字签名是否附有公开认可文字,或是签名人在特许认证机构面前当场作出的,只要该数字签名是:
(a)能被认证证书所证明的;和
(b)在该证书的有效期内附具的,
则认证机构发放的认证证书,应该被看成是数字签名经证书中列明的公共密码得到确认这一情形的认同。
争议审理中的推定
67.在审理涉及数字签名的争议时,法院应推定:
(a)某一认证证书是由特许认证机构数字签署的,且
(i)在经认可的信息库中予以公布;或
(ii)从发放的特许认证机构处或证书上列明的用户人处可以查询到;该证书由特许认证机构数字签署,由其上列明的用户人予以接受;
(b)在有效证书上列明由发证的特许认证机构确认的信息是准确无误的;
(c)由列明在特许认证机构发放的有效证书中的公共密码予以确认的数字签名是:
(i)列明在该证书中的用户人签署的数字签名;
(ii)该数字签名是由用户人出于签署该讯文的目的而出具的;和
(iii)数字签名的接受方不知悉也未被通知该签名人:
(A)已经违反其作为用户人应承担的义务;或
(B)使用非法持有的私人密码附具数字签名;和
(d)该数字签名是在使用安全可靠系统中被认可的日期/时间认录服务,对其进行时间记录以前生成的。
对信息库的认可
68.(1)在认定请求被认可的信息库满足了根据本法案制定的规章中所规定的要求后,监控人可以认可一个或多个信息库。
(2)对信息库认可的程序应该在根据本法案制定的规章中予以确定。
(3)监控人应以其决定的形式和方式公布被认可的信息库的名单。
信息库的责任
69.(1)不论信息库如何否认或信息库是否与特许认证机构之间或用户人之间有相反的合同约定,只要信息库收到公开发布关于中止或撤消证书决定的请求后,经过一个以上的营业日仍未公布,则对合理信赖该被中止或撤消证书中公共密码所确认的数字签名的人,承担损害赔偿责任。
(2)除非自愿放弃,否则认可的信息库或其所有人、经营人将:
(a)除已收到中止或撤消的公告通知而经过一个营业日仍未能公布这一情形外,不对未能公布证书中止或撤消承担赔偿责任;
(b)对第(1)款中,超过证书中明定的推荐信赖数量上限的部分承担赔偿责任;
(c)对第(1)款中的下面情形不承担赔偿责任:
(i)惩罚性或警戒性的赔偿;或
(ii)身体伤害与精神痛苦的赔偿;
(d)对认证机构在证书中的误述不承担赔偿责任;
(e)对准确报道或记录特许认证机构、法院或监控人根据本法案的要求或允许公布的信息不承担赔偿责任,此类信息包括证书撤消或中止的信息;
(f)对报道认证机构、认证证书或用户人有关的信息不承担责任。只要该信息是根据本法案要求或允许作出的,或监控人在履行许可和法定义务时命令公布的。
对日期/时间记录服务的认可
70.(1)在认定请求被认可的日期/时间记录服务满足了根据本法案制定的规中所规定的要求后,监控人可以认可一个或多个日期/时间记录服务系统。
(2)对日期/时间记录服务认可的程序应该在根据本法案制定的规章中予以确定。
(3)监控人应以其决定的形式和方式公布被认可的日期/时间记录服务系统的名单。
对危险活动的禁止
71.(1)任何认证机构(不管有没有取得许可证),都不能以一种可能对认证机构用户人、认证机构证书之合理信赖人或信息库产生不合理风险的方式运营。
(2)对于认证机构(不管有没有取得许可证)引起第(1)款禁止的风险的行为,监控人可以在一个或几个信息库中公布简要声明,以提醒用户人、数字签名的信赖人以及信息库予以留意。
(3)在声明书中提及的制造或引起风险的认证机构可以提交简要的辩解书表示异议。
(4)收到第(3)款下的异议书后,监控人应将异议书连同监控人的声明一并公布。立即通知有异议的认证机构,并给予其解释的机会。
(5)经过听证以后,监控人认为发布警告声明的证据不充分,应该撤消警告声明。
(6)经过听证以后,监控人认为发布警告声明的理由不再存在了,应该撤消警告声明。
(7)经过听证以后,监控人认为发布警告声明的理由依然存在,监控人可以继续或修改发出警告声明,并采取进一步的法律措施,消除或降低第(1)款中禁止的风险。
(8)监控人应根据具体情形,在一个或多个信息库中公布第(5),(6)或(7)款中的决定。
保密的义务
72.(1)除非出于本法的目的外,根据本法案接触到任何记录、名册、登记簿、通信、信息、文件或其他材料的人,都不得向他人披露。
(2)触犯前述第(1)款规定的违法行为人,一旦被定罪后,将被处以不超过1万林吉特的罚款,或不超过2年以上的监禁,或两者并罚。
虚假信息
73.在作出声明、签署回执、为申请证书而提交材料、或其他根据本法要求而提交信息的人,对提交的材料在细节方面有任何不真实、不准确或误导的情形,属于触犯法律的行为,一旦被定罪后,将被处以不超过5万林吉特的罚款,或不超过10年以上的监禁,或两者并罚。
法人实体的违法行为
74.(1)在法人实体实施了触犯本法的违法行为时,对任何在法人实体实施违法行为时,是该法人实体的董事、经理、秘书或其他类似的行政人员,或被认定为任何类似居于此类职位所为的行为,或在某种方式某种程度上负责或辅助法人实体事务的管理工作的人:
(a)在对法人实体提起的诉讼中,承担连带共同责任;和
(b)在法人的行为被认定为犯罪的情况下,他也将被认定为有罪,除非在该职位中他的作用和其他具体情况,他能够证明:
(i)他并不知道、不同意、也没纵容实施此犯罪行为;和
(ii)他已经采取了所有合理的预防措施,履行了谨慎的注意义务防止此类犯罪行为的发生。
(2)在任何人根据本法案对其违法、疏忽、过失或违约行为将受到惩罚或制裁的情形下,则对其雇佣人、代理人或代理人的雇佣人的此类行为,他也应该承担同样的责任,只要该违法、疏忽、过失或违约行为是:
(a)由其雇佣人在从事雇佣工作的过程中作出的;
(b)由其代理人以其名义作出的;或
(c)由其代理人的雇佣人受雇从事该代理工作或以该代理人的名义作出的。
经授权的官员
75.(1)部长可以授权任何公共事务官员或监控人中的官员行使执行本法案的权力。
(2)任何此类官员都将被看作是刑法典中公务人员含义中的公务人员。
(3)在行使执行本法案的的权力时,被授权的官员应根据要求向被执行人显示,其是经部长授权行为的。
进行调查的权力
76.(1)监控人对认证机构是否遵守本法案行为的重要事实材料可以进行调查。
(2)出于第(1)款的目的,为了进一步调查,监控人可以向认证机构发出行政命令,以确保本法案的遵照执行。
(3)进一步,在违反本法案的违法犯罪案件中,任何被授权从事调查工作的官员,可以行使全部或一部分在对案件人可实行逮捕的案件中,刑事诉讼法赋予警察进行调查所享有的特殊权力。
持搜查令状而进行的搜查
77.(1)如果根据呈报的书面宣誓情报及查询后有合理理由相信,在某一建筑物中有正在或已经从事违反本法的行为,地方法官可以签发令状,授权督察以上级别的警官、或任何其他经授权的官员,在任何合理的时间内,不管是白天还是晚上,也不管有没有其他人的协助,进入该建筑物(如果必要的话,可以使用武力),搜查并提取下列证据:
(a)任何名册、账本或其他文件,包括计算机机读数据,该数据含有或有合理理由怀疑其中含有与违法行为有关的信息;
(b)任何显示或暗示该人是特许认证机构的广告牌、卡片、信函、手册、宣传单、通知或其他纹章;和
(c)其他任何有合理理由相信可以用以证明犯罪行为的的文件及物品。
(2)从事第(1)款中搜查行为的警官或经授权的官员在执行搜查过程中,认为是为调查违法犯罪行为所必须的合理的话,可以搜查在该建筑物中或之上的任何人。
(3)警官或经授权的官员在搜查第(2)款中提及的人时,为调查的目的,可以查封、扣押或取得该人身上发现的任何名册、账本、文件、计算机机读数据、卡片、信函、宣传单、手册、通知、纹章或其他物品。
(4)对于妇女,应由女性执法人员进行搜查。
(5)由于物品的自然属性、尺寸或数量等原因,致使不可能移走的,搜查人员应采取各种措施,将名册、账本、文件、计算机机读数据、卡片、信函、宣传单、手册、通知、纹章或其他物品封存在该建筑物中或发现其的容器中。
(6)任何未经合法授权的人窜改、破损或毁坏第(5)款中提及的封条,或转移封存的名册、账本、文件、计算机机读数据、卡片、信函、宣传单、手册、通知、纹章或其他物品,或企图从事上述行为的,都是违法行为。
无证搜查
78.督察以上级别的警官在第77条提及的任何场合下,如果有合理理由相信,申请搜查令将贻误时机,产生不利影响,或者致使有关违法犯罪行为的证据将有可能被窜改、转移、损害或灭失的情形,则该警官可以立即进入该建筑物,如同已获得第77条搜查令状的授权一般,以完全充分的方式行使该条赋予的全部权力,进行调查取证。
提取计算机机读数据
79.(1)进行第77和78条搜查的警官以及经授权进行第77条搜查的官员,可以提取有关的计算机机读数据,而不管其是否存储在计算机里面。
(2)为了达到本条的目的,“提取”的意思指,向其提供必要的口令、加密密码、解密密码、软硬件以及使其能够理解计算机机读数据的一切取得有关数据的措施及方便条件。
扣押物清单
80.(1)除了第(2)款规定的情形外,在进行搜查的执法人员扣押第77和78条下的名册、账本、文件、计算机机读数据、卡片、信函、宣传单、手册、通知、纹章或其他物品时,应制作扣押物清单,并将其签名的清单副本交给被搜查建筑物的屋主、或其在建筑物中的代理人或仆人。
(2)当该建筑物无人居住的时候,则执行搜查的官员可以采用任何方式,将扣押物清单张贴在该建筑物的显著位置。
阻碍授权官员
81.任何人阻止、妨碍、殴打、或干涉授权官员根据本法履行其职责的行为,都是违法犯罪行为。
附带权力
82.为实施本法案,经授权的官员有下列权力:
(a)要求特许认证机构出示其所保管的记录、账册、计算机机读数据和文件,并可查看、检查和复制该类材料;
(b)对于任何有可能违反本法的行为人或违反本法的案件中的牵涉人,要求其出示身份证件;
(c)为确认本法案被遵守执行而进行必要的调查查询。
普遍适用的处罚措施
83.(1)对于实施了触犯本法案的违法行为人,而本法案没有规定具体处罚措施的,行为人一旦被定罪后,将被处以不超过2万林吉特的罚款,或不超过4年以上的监禁,或两者并罚。在违法行为处于继续状态的情形下,违法行为持续期限内,每日应加罚不超过2000林吉特的罚款。
(2)根据本条的精神,“本法案”不包括根据本法制定的具体规章规则。
对程序费用的补偿
84.当监控人发现认证机构有违反本法的行为时,可以命令认证机构支付监控人在追究、审理该行为及执行裁决过程中所花费的费用。
搜查中造成的损害或花费的费用不能得到补偿
85.法院诉讼程序进行中,为行使或可认定为行使本法授予的搜查有关的名册、账本、文件、计算机机读数据、卡片、信函、宣传单、手册、通知、纹章或其他物品的权力,对所花费的费用、造成的损害,没有人可以获得补偿,或得到其他救济措施,除非该搜查行为是没有任何合理理由而作出的。
追诉的提起与实行
86.(1)没有公诉人的书面同意,不得提起对违反本法的的违法行为的诉讼,或进行与之相关的诉讼。
(2)监控人中的行政官员,经公诉人的正式授权,可以对违反本法的违法犯罪行为进行追诉。
对违法犯罪行为的审判管辖
87.不管其他成文法有何相反的规定,地方高等法院对违反本法的行为都有审判管辖权,并可对任何违法犯罪行为进行处罚。
对有关行政官员的保护
88.任何法院都不能对以下人员提起法律诉讼、采取法律措施、进行法律追究:
(a)从事或代为从事或牵涉任何实施本法或受命实施本法的行为的监控人或任何根据本法正式授权的官员;和
(b)任何从事或代为从事或牵涉到根据监控人或本法正式授权的官员发布的命令、指令、指示而作出行为的人,或认定为是该人作出行为的人,只要该行为是本着诚信原则行事,并有合理理由相信该行为是为达到其前述目的所必须的。
豁免的权力
89.(1)部长可以通过在政府公报上发布命令的形式,豁免某人或某一类人适用本法案除第4条以外的其他一部分或全部条款。
(2)部长对第(1)款下的豁免,可以附加其认为适当的期限和条件。
对放弃或限制适用本法的限制
90.除非本法有明确规定,否则任何人都不得放弃适用本法,或通过合同限制适用本法。
规章规则
91.(1)部长可以为下述某一或全部目的制定规章或规则:
(a)规定认证机构的资格要求;
(b)规定申请本法之下的许可证或认证证书的方式,申请人应提交的具体材料,许可及认证的方式以及相关费用,许可证和认证证书的条件和附加的限制及其形式;
(c)规范特许认证机构的运作;
(d)规定认证机构披露的记录中信息的内容、形式及来源方面的要求,此类信息的更新和及时性要求,以及其他与认证机构记录披露有关的其他作法和政策;
(e)规定认证行业惯例的声明的形式;
(f)规定审查人的资格要求及审查程序;
(g)规定信息库的资格要求及对信息库认可的程序;
(h)规定对日期/时间记录服务及认可日期/时间服务的程序;
(i)规定创制数字签名软件的审查程序,数字签名应用标准审查的程序,认证行业的惯例和关于前述软件及标准的报告的公布程序;
(j)规定为实施本法目的需用的各种表格;
(k)规定根据本法所应交纳的费用,以及收取和分配的方式。
(2)规定其他本法案或其正常管理中涉及到的事项,或本法案完全有效施行或完全有效的管理中所必须的事项。
(3)前款中指定的规则可以规定,任何违反该规则的行为为违法犯罪行为,并可规定处以不超过1万林吉特的罚款,或不超过2年以上的监禁,或两者并罚。
保留与过渡安排
92.(1)在本法案生效前就已开展认证业务或类似业务的认证机构,应在本法生效后3个月内,取得本法规定的许可证书。
(2)在第(1)款中提到的认证机构如果不能在第(1)款中规定的时间内取得许可证书,将被认定为未取得许可的认证机构,本法的有关条款将对其及其发放的证书适用。
(3)在第(1)款中提到的认证机构如果根据本法在第(1)款中规定的时间内取得许可证书,其在本法生效前颁发的所有证书,除与本法不一致的外,其余的都将被认定为是根据本法所颁发的,并产生相应的法律效力。(编选:中国电子商务研究中心)
