发布文号: 第5/2005號法律
立法會根據《澳門特別行政區基本法》第七十一條(一)項,制定本法律。 |
|
第一章 |
第一條 |
|
二、本法律的規定並不影響法律、規章或協定中關於強制使用紙張或以其他特別形式或方式提交、組成、傳輸或儲存文件的規定的適用,尤其當涉及下列者時: |
(一)公證及登記行為; |
(二)訴訟行為; |
(三)就人身法律關係作出憑證的行為; |
(四)有關開考及競投程序的行為; |
(五)要求簽署人親身到場或當場認定簽名的情況。 |
|
第二條 |
|
為適用本法律,下列用語的含義為: |
(一)“電子文件”,是指為再現或顯示人、物或事實而將相關的數據作電子處理的結果; |
(二)“電子簽名”,是指與一電子文件相結合或邏輯上與該文件相關聯,並可作為識別作成人身份的方法的一組電子數據; |
(三)“高級電子簽名”,是指一種電子簽名形式,該簽名與持有人間明顯存在關聯,可憑此辨識持有人的身份;該簽名是透過僅由持有人本人可控制的資料所產生並與所簽署的電子文件相結合,經簽署後,對該文件所作的任何隨後改動均可被察覺; |
(四)“合格電子簽名”,是指建立於合格證書的一種高級電子簽名形式,該簽名是透過用於產生簽名的安全設備產生,並可按照國際認可的標準有效防止簽名被冒用; |
(五)“持有人”,是指持有產生簽名所需數據,並以個人或以其所代表的自然人、法人或實體的名義,使用該等數據的自然人; |
(六)“產生簽名所需數據”,是指用以產生電子簽名的一組獨有數據,如密碼或密碼匙; |
(七)“核實簽名所需數據”,是指用以核實電子簽名的一組數據,如密碼或密碼匙; |
(八)“證書”,是指將某一特定電子簽名與其持有人聯繫,並訂明簽名的有效性條件的電子文件; |
(九)“認證實體”,是指發出電子簽名證書及提供其他相關服務的實體; |
(十)“生效時間記錄”,是指以電子形式表現的,電子文件與某一特定日期及時間之間的可靠關聯; |
(十一)“電子地址”,是指用於接收或儲存電子文件的資訊系統的認別資料。 |
|
第二章 |
第一節 |
第三條 |
|
一、對以電子載體提交的文件,不得因其形式而否認其法律效力。 |
二、如電子文件的內容能如書面意思表示般顯示且可完整呈現,即符合對書面形式所要求的法定要件。 |
|
第四條 |
|
一、如電子文件能如書面意思表示般顯示,且已簽署合格電子簽名,則對其作成人所作的意思表示有完全證明力,但不影響就文書的虛假提出爭辯及作出證明。 |
二、無法如書面意思表示般顯示但已簽署合格電子簽名的電子文件,具機械複製品的證明力。 |
三、未簽署合格電子簽名的電子文件的證明力,按法律的一般規定審定,但有效協定另有規定者除外。 |
四、對已簽署合格電子簽名的電子文件,如其證書已中止、廢止或失效,又或該簽名未按證書所載條件簽署,則適用上款的規定。 |
|
第五條 |
|
一、簽署合格電子簽名,等同於手寫簽署並推定如下事實: |
(一)簽署合格電子簽名者為持有人,並根據證書所載資格及權力行事; |
(二)為簽署電子文件而簽署合格電子簽名; |
(三)經簽署合格電子簽名的電子文件的內容未受察覺不到的改動。 |
二、以合格電子簽名作出的簽署,可替代以持有人或其所代表的人的印章、圖章、標記或可資認別的其他符號所作簽署。 |
|
第二節 |
第六條 |
|
一、以資訊媒體發送的電子文件,於收件人接收前,視為仍在發件人手中。 |
二、以資訊媒體傳輸的電子文件,一旦進入由利害關係人協商確定或由收件人指定的電子地址,即視為收件人已接收文件,但不影響第八條第二款的適用。 |
三、在無協商或收件人未指定電子地址的情況下,於收件人取閱文件之時,即視為已接收該文件。 |
四、除另有規定或協定,又或證書另有指定外,以資訊媒體傳輸的電子文件推定為: |
(一)在發件人的住所發送;如發件人為企業主,則在其企 業的所在地點發送; |
(二)在收件人的住所接收;如收件人為企業主,則在其企 業的所在地點接收。 |
|
第七條 |
|
一、以確保對方能有效接收文件的資訊系統傳輸經簽署合格電子簽名的電子文件,等同於以郵政掛號方式寄出。 |
二、在上款所指情況下,如發件人收到由收件人發送的、附有合格電子簽名的確認接收文件,則視為文件以附收件回執的郵政掛號方式寄出。 |
|
第八條 |
|
一、接收的確認可於電子文件發送前或發送時,由發件人向收件人要求或與之協商。 |
二、接收的確認,按所要求或所協商的條款及條件為之,如無該等條款及條件,則由收件人以任何方式作出確認通知。 |
三、如未按上款的規定就接收作出確認,文件視為未發送。 |
|
第三章 |
第一節 |
第九條 |
|
一、由獲認可的認證實體發出的、包含下列內容的證書,視為合格證書: |
(一)指明其為合格證書; |
(二)發出證書的認證實體的身份資料、高級電子簽名及該實體的住所; |
(三)證書持有人姓名及為明確識別其身份所需的其他資料;如持有人以代理人身份行事,則須包含被代理人的身份資料及賦予其代理資格的文件的提述; |
(四)核實簽名所需數據; |
(五)證書有效期的起止日; |
(六)證書識別碼; |
(七)關於證書使用限制的說明;如設有證書的有效交易限額,亦須載明; |
(八)根據第二十八條第三款的規定,認證實體的責任限制。 |
二、應利害關係人的請求,尚可於合格證書或補充證書內加入關於代理權的資料,以及關於證書持有人的特定資格的資料,但該資格對於證書的指定用途須屬重要者。 |
三、為適用《刑法典》第二百四十五條的規定,上款所指合格證書及補充證書,均視為具特別價值的文件。 |
|
第十條 |
|
一、擬使用合格電子簽名者,應生成或取得產生簽名所需數據及核實簽名所需數據,以及取得由經適當認可的認證實體所發出的合格證書。 |
二、發出合格證書時,認證實體應: |
(一)核實申請人的身份;如申請人以代理人身份行事,則尚須核實其代理權; |
(二)按證書的指定用途核實持有人的特定資格; |
(三)以書面完整及清晰地將認證程序、進入該程序所需的技術要件,以及使用簽名的條款及條件通知申請人; |
(四)向申請人提供正確及安全使用簽名所需的資料,尤其關於簽署、核實簽名程序及持有人與認證實體的義務等資料; |
(五)在由認證實體生成產生簽名所需數據的情況下,保證該等數據得以保密,且在任何情況下,均須拒絕獲悉該等數據的內容、同意將之儲存、保留、再現或提供任何關於該等數據的資料。 |
三、獲被代理人明示許可後,方可發出認定持有人為代理人的合格證書。 |
|
第十一條 |
|
一、合格電子簽名持有人應採取適當措施對產生簽名所需數據予以保密,並避免損害第三人。 |
二、如懷疑上款所指數據失密,持有人應請求中止證書的效力;如確認失密,應請求廢止之。 |
三、如有其他合理原因須中止或廢止證書,持有人亦應按下條的規定請求之。 |
四、本條所定義務,經作出必要配合後,適用於證書所載被代理人。 |
|
第十二條 |
|
一、在下列情況下,合格證書予以中止: |
(一)應證書持有人或證書所載被代理人的請求; |
(二)有充分理由相信產生簽名所需數據的保密無保證; |
(三)有充分理由相信發出證書所據資料虛假或不正確,又或證書所載資料已不符實。 |
二、在上款(二)項所指情況下,僅於證實中止原因並不符實時,方可解除中止。 |
三、在下列情況下,合格證書予以廢止: |
(一)應證書持有人或證書所載被代理人的請求; |
(二)確認產生簽名所需數據的保密無保證; |
(三)確認發出證書所據資料虛假或不正確,又或證書所載資料已不符實; |
(四)認證實體終止業務而未按第二十九條的規定將其文件移轉予其他認證實體; |
(五)認證實體知悉證書持有人或證書所載被代理人已死亡、處於禁治產、準禁治產情況或已消滅; |
(六)認可當局基於具法律依據的原因而發出命令。 |
四、中止及廢止證書須說明理由並即時登錄於第二十二條所指資訊紀錄內,且須即時將中止及廢止的原因與登錄日期及時間通知證書持有人。 |
五、證書的中止及廢止於紀錄內所登錄的日期及時間開始產生效力,且僅於公眾可知情時方可用以對抗第三人,但證明第三人早已知情者除外。 |
|
第十三條 |
|
一、住所設於外地的認證實體所發證書,如符合以下任一情況,等同設於澳門特別行政區的認證實體所發的合格證書: |
(一)證書符合第九條第一款所定要件,並由設於澳門特別行政區的獲認可的認證實體保證; |
(二)根據國際法文書或地區協議,證書或認證實體在澳門特別行政區獲確認。 |
二、如屬上款(一)項所指情況,澳門特別行政區的認證實體須對外地所發證書負上如同本身發出合格證書的責任。 |
三、認可當局應透過認為適當的公佈途徑,將所有的由外地認證實體發出而獲澳門特別行政區確認的證書的資料公開,並將之提供予利害關係人。 |
|
第二節 |
第十四條 |
|
為從事發出合格證書的業務,認證實體須預先取得認可當局的認可,但不影響第三十條的適用。 |
|
第十五條 |
|
一、符合下列要件的認證實體,方可獲認可: |
(一)配備的技術及人力資源,符合經營認證業務所需的安全及效力標準; |
(二)具備經營認證業務所需的適當資格及誠信的保證; |
(三)於澳門特別行政區設置經營認證業務所需設備; |
(四)按照行政命令的規定訂立有效的保險合同,以承保由認證業務所生的民事責任。 |
二、如為私人實體,尚須符合下列要件: |
(一)為在澳門特別行政區依法設立的公司,其所營事業須包括經營認證業務; |
(二)具備最少$5,000,000.00(澳門幣伍佰萬元)已繳的公司資本。 |
三、為適用第一款(二)項的規定,如管理認證實體、進行認證行為或處理認證文件的人屬下列狀況,即顯示其缺乏經營認證業務所需的適當資格及誠信: |
(一)因盜竊、濫用信任、搶劫、詐騙、簽發空頭支票、勒索、背信、濫用擔保卡或信用卡、暴利、偽造、犯罪集團、賄賂、貪污、公務上的侵占或虛假聲明而被判罪者; |
(二)經宣告破產或無償還能力的人,又或被裁定為導致其所控制或其為行政管理機關的成員、領導人或經理的公司破產的責任人; |
(三)被宣告為嚴重或屢次違反規範經營認證業務的本法律的規定的責任人。 |
|
第十六條 |
|
一、對認證實體進行認可及監察,屬認可當局的職權。 |
二、認可當局在執行認可及監察工作時,可請求警察及司法當局,以及任何其他公共當局及部門提供必要合作或協助。 |
三、認可當局由行政長官指定。 |
|
第十七條 |
|
一、認證實體有關認可的申請須向認可當局提出,並應附同下列資料: |
(一)能反映申請人的組織結構的文件,其中須載明主要負責人的身份資料及履歷; |
(二)擬提供服務的種類的詳細計劃,尤其須說明所配備的物力和技術資源,該等資源的特徵及所在地,以及相關的保安計劃; |
(三)申請人所採用的認證作業準則,其中須包括管理證書的一切重要事宜,尤其關於證書的發出、使用、中止、廢止及失效的條件、規則及程序等; |
(四)關於外部安全審計員的說明; |
(五)財經計劃,其中須載明所採用的收費表,以及首三年的業務說明; |
(六)承保由認證業務所生的民事責任的有效保險合同的證明文件; |
(七)申請人認為對審核其申請屬重要的其他資料。 |
二、如為公司,申請尚應附同下列文件: |
(一)最新的商業登記證明; |
(二)公司的行政管理機關及監察機關成員名單; |
(三)公司資本已繳證明文件。 |
|
第十八條 |
|
一、為審核申請,認可當局如認為有需要可要求申請人提供補充資料及進行調查、詢問及檢查。 |
二、就認可的申請所作決定,應自接受申請起一百二十日內作出。 |
三、認可當局可於認可時附加所需條件,以確保適用於所申請認證業務經營方面的法律及規章的規定獲得遵守。 |
四、有關認可須公佈於《澳門特別行政區公報》。 |
|
第十九條 |
|
一、在下列情況下,將拒絕認可: |
(一)申請卷宗內的資料不正確或虛假; |
(二)認可當局認為未符合法律規定的要件。 |
二、如申請卷宗有缺陷,認可當局在拒絕認可前,須通知申請人在適當時間內予以彌補。 |
三、對拒絕認可的決定,可向行政法院提出上訴。 |
|
第二十條 |
|
一、如申請人自有關決定於《澳門特別行政區公報》公佈之日起六個月內未開始業務,又或認證實體消滅,則認可失效。 |
二、如公共部門或實體獲賦予的認證職能以及用於認證業務的系統及設備轉移予另一公共部門或實體,則其消滅不導致認可失效。 |
(一)藉虛假聲明或其他不法途徑取得認可; |
(二)認證實體於經營認證業務或其他業務時,作出損害或危及公眾對認證的信心的不法行為; |
(三)認證實體在內部行政、組織或監察方面發生嚴重不當情事; |
(四)因任何原因不再符合關於認證實體行政或監察機關正常運作的法律要件及章程要件; |
(五)因任何原因不再符合認可的要件。 |
四、非因認證實體的意願而終止認證業務者,認可亦被廢止。 |
五、如屬第三款(四)及(五)項所指情況,廢止的決定作出前,應通知利害關係人於合理期限內使情況回復正常。 |
六、認可當局應適當公佈廢止的決定,另須於《澳門特別行政區公報》公佈及於八日內通知利害關係人。 |
七、如認證實體消滅或認可被廢止,認可當局應: |
(一)促使將認可失效或被廢止的實體的文件移轉到另一獲認可的認證實體; |
(二)促使將認可失效或被廢止的實體所發證書廢止;如該等證書的資料未能移轉,則於原應由該實體保存該等資料的期間內保存之。 |
|
第三節 |
第二十一條 |
|
獲認可的認證實體在經營業務時,須切實履行本法律所定義務,尤其是: |
(一)使用能保證程序的技術安全的系統及產品; |
(二)採取適當措施遏止證書所載數據被偽造或更改; |
(三)遵守適用法例就處理個人資料所定的安全規則; |
(四)提供能保證及時並安全地廢止、中止合格證書或使之失效,且可隨時查詢下條第一款所指資訊紀錄的服務; |
(五)提供能保證證書的發出、中止及廢止的日期及時間可獲確定的服務。 |
|
第二十二條 |
|
一、獲認可的認證實體應為已發出、已中止、已廢止或已失效的合格證書組織及保持一資訊紀錄並不斷更新,該紀錄應可防止未經許可的更改,以及可供任何人尤其透過資訊媒體查詢。 |
二、合格證書及其相關資料,應自證書失效或廢止起保存最少十五年。 |
三、認證實體應採用可靠的系統保存證書,以便: |
(一)數據的輸入及修改僅可由獲許可的人進行; |
(二)公眾僅於獲證書持有人同意後,方可對證書進行查詢; |
(三)證書所載資料的真實性可予核實; |
(四)任何可影響系統安全要件的技術改動均可被即時察覺。 |
|
第二十三條 |
|
一、獲認可的認證實體應配備電子文件生效時間記錄系統;該系統可用於向公眾提供服務。 |
二、生效時間記錄系統由認可當局核准,該當局尤應核實測定日期及時間的方法的安全性、可靠性及適當性。 |
三、獲認可的實體所發出的生效時間記錄聲明中的日期及時間,當事人可用以互相對抗及可用以對抗第三人。 |
|
第二十四條 |
|
一、獲認可的認證實體僅可要求及收集經營業務所需的個人資料,並直接從利害關係人或從經其許可的第三人取得。 |
二、獲認可的認證實體所收集的個人資料,不得用於與認證無關的其他用途上,但法律或利害關係人明示同意可作他用者除外。 |
|
第二十五條 |
一、獲認可的認證實體於確保適當公開其認證作業準則前,尤其透過資訊媒體將之適當公開前,不得開始發出合格證書業務。 |
二、認證作業準則應符合國際認可的標準,亦須符合本法律的規定。 |
三、認證作業準則及其修改,應提交認可當局核准。 |
|
第二十六條 |
|
一、獲認可的認證實體應配備一名被公認為卓越及合資格的外部安全審計員。 |
二、審計員負責定期檢查和評估用於認證業務的設備及系統,以及發表意見、作出建議及提議,以確保該等設備及系統的效率、可靠性及安全性。 |
三、審計員應最遲於每年三月三十一日向認可當局提交一份年度報告,其中須載明對監察用於認證業務的設備及系統的效率、可靠性及安全性屬重要的一切資料。 |
|
第二十七條 |
|
一、認可當局可檢查用作認證業務的場所,以及在該等場所檢查文件、物品、設備及操作程序。 |
二、獲認可的認證實體應將第十七條所指資料的任何修改,以及任何導致或可能導致業務終止的情況,儘快通知認可當局。 |
三、除遵守上款的規定外,獲認可的認證實體應向認可當局提供所要求的、與認證業務有關的一切資料。 |
四、向獲認可的認證實體提供審計服務的人或實體,應將執行職務時所發現的違法行為,以及可影響用於認證業務的設備及系統的效率、可靠性及安全性的情況通知認可當局。 |
|
第二十八條 |
|
一、獲認可的認證實體對於在經營認證業務時不履行其義務而引致的一切損害負民事責任,但證明非因故意行事或行事有過失而引致者除外。 |
二、免除及限制上款所定責任的協議,均屬無效。 |
三、對於因濫用簽名而引致的損害,獲認可的認證實體無須負責,但該實體須將簽名的使用限制載明於證書內,其應易於被第三人所閱讀。 |
|
第二十九條 |
|
一、擬自願終止業務的獲認可的認證實體,應最少提前三個月,將終止業務的意圖通知認可當局並通知由該實體發給合格證書且有關證書仍有效的持有人。 |
二、除上款所指通知外,尚應指定獲移轉合格證書及管理證書所需文件的獲認可的認證實體。 |
三、如因任何理由不能移轉,終止業務的實體須廢止其所發合格證書,並將有關文件交由認可當局保管。 |
四、自願終止認證業務導致認可終止,但不妨礙終止業務的實體對於因不遵守以上各款的規定而引致的損失所應負的民事責任。 |
|
第四章 |
第三十條 |
|
一、公共部門或實體可藉提出具充分理由的申請而獲行政長官以批示豁免認可。 |
二、擬獲豁免認可的公共部門或實體,在提出申請時應說明具備適合從事認證業務的條件。 |
三、豁免認可的批示須公佈於《澳門特別行政區公報》。 |
四、按第一款的規定獲豁免認可的公共部門及實體,等同於獲認可的認證實體,而本法律的有關規定經作出必要配合後,予以適用。 |
|
第三十一條 |
|
一、公共部門及實體可按本法律的規定發出及接收附有合格電子簽名的電子文件。 |
二、在按上款的規定發出的文件中,應列明利害關係部門或實體及簽名持有人的資料,以便於認別及證明所任職務或官職。 |
三、公共部門及實體在取得監督實體的核准後,可就以電子途徑接收的文件所應遵守的要件,訂定規章性規定,且不影響為統一程序而由上級訂定的指示及指令的適用。 |
|
第三十二條 |
|
一、如不具備適用第十五條第一款(四)項的條件,認證實體獲認可前,須向澳門特別行政區提供擔保。 |
二、擔保可以現金寄存、銀行擔保或保證保險的方式提供,其金額不得低於$3,000,000.00(澳門幣叁佰萬元)。 |
|
第三十三條 |
|
二、適用於因違反或不遵守本法律的規定而引致的在電子簽名認證業務範圍內的行政違法行為的處罰制度,由行政法規訂定。 |
|
第三十四條 |
|
廢止十月二十五日第64/99/M號法令。 |
|
第三十五條 |
|
本法律自公佈後三十日起生效。 |
|
二零零五年七月二十日通過。 |
立法會主席 曹其真 |
二零零五年七月二十七日簽署。 |
命令公佈。 |
行政長官 何厚鏵 |
附:葡文版本
A Assembleia Legislativa decreta, nos termos da alínea 1) do artigo 71.º da Lei Básica da Região Administrativa Especial de Macau, para valer como lei, o seguinte: |
|
Capítulo I |
Artigo 1.º |
|
1. O presente diploma estabelece o regime jurídico dos documentos e assinaturas electrónicas. |
2. O disposto no presente diploma não prejudica a aplicação das normas legais, regulamentares ou convencionais que obriguem à utilização de documentos em suporte de papel ou outras formas ou modos especiais de os apresentar, formular, transmitir ou arquivar, designadamente quando estejam em causa: |
1) Actos notariais e de registo; |
2) Actos processuais; |
3) Actos que titulam relações jurídicas pessoais; |
4) Actos relativos a procedimentos concursais; |
5) Situações em que seja exigida a presença física do signatário ou o reconhecimento presencial de assinatura. |
|
Artigo 2.º |
|
Para efeitos do presente diploma, entende-se por: |
1) «Documento electrónico», resultado de um processamento electrónico de dados com o fim de reproduzir ou representar uma pessoa, coisa ou facto; |
2) «Assinatura electrónica», conjunto de dados sob forma electrónica que, ligados ou logicamente associados a um documento electrónico, podem ser utilizados como método de dar a conhecer a autoria do mesmo; |
3) «Assinatura electrónica avançada», modalidade de assinatura electrónica que está inequivocamente associada à pessoa do seu titular, permitindo a sua identificação, é criada com meios que este pode manter sob seu controlo exclusivo e está de tal forma ligada ao documento ao qual foi aposta que qualquer alteração posterior do mesmo é detectável; |
4) «Assinatura electrónica qualificada», modalidade de assinatura electrónica avançada baseada num certificado qualificado e criada mediante um dispositivo seguro de criação de assinaturas, susceptível de garantir eficazmente, de acordo com padrões internacionalmente reconhecidos, a protecção da assinatura contra utilizações fraudulentas; |
5) «Titular», pessoa singular que detém os dados necessários à criação de assinaturas e os utiliza em seu próprio nome, ou em nome da pessoa singular ou colectiva ou entidade que representa; |
6) «Dados de criação de assinaturas», conjunto único de dados, como códigos ou chaves criptográficas, usado para a criação de uma assinatura electrónica; |
7) «Dados de verificação de assinaturas», conjunto de dados, como códigos ou chaves criptográficas, usado para verificar a assinatura electrónica; |
8) «Certificado», documento electrónico que liga uma determinada assinatura electrónica ao seu titular e estabelece os termos de validade da mesma; |
9) «Entidade certificadora», entidade que emite certificados e presta outros serviços relacionados com assinaturas electrónicas; |
10) «Validação cronológica», associação credível, sob forma electrónica, entre um documento electrónico e uma determinada data e hora; |
11) «Endereço electrónico», identificação de um sistema informático adequado para receber e arquivar documentos electrónicos. |
|
Capítulo II |
Secção I |
Artigo 3.º |
|
1. Ao documento que se apresente em suporte electrónico não podem, por esse facto, ser negados efeitos jurídicos. |
2. O documento electrónico satisfaz o requisito legal de forma escrita quando o seu conteúdo seja susceptível de representação como declaração escrita e a sua integridade possa ser demonstrada. |
|
Artigo 4.º |
|
1. O documento electrónico susceptível de representação como declaração escrita, ao qual tenha sido aposta uma assinatura electrónica qualificada, faz prova plena das declarações atribuídas ao seu autor, sem prejuízo da arguição e prova da falsidade do documento. |
2. Quando não seja susceptível de representação como declaração escrita, o documento electrónico ao qual tenha sido aposta uma assinatura electrónica qualificada tem a força probatória das reproduções mecânicas. |
3. O valor probatório de documento electrónico a que não tenha sido aposta uma assinatura electrónica qualificada é apreciado nos termos gerais de direito, salvo existência de válida convenção em sentido diverso. |
4. Ao documento electrónico a que seja aposta uma assinatura electrónica qualificada cujo certificado esteja suspenso, revogado ou caducado, ou que não respeite as condições dele constantes, aplica-se o disposto no número anterior. |
|
Artigo 5.º |
|
1. A aposição de uma assinatura electrónica qualificada equivale à assinatura autógrafa e cria a presunção de que: |
1) A pessoa que apôs a assinatura é o titular e actua na qualidade e com os poderes constantes do certificado; |
2) A assinatura foi aposta com a intenção de assinar o documento electrónico; |
3) O conteúdo do documento electrónico não sofreu alteração que não seja detectada desde que lhe foi aposta a assinatura. |
2. A aposição de assinatura electrónica qualificada substitui a aposição de selos, carimbos, marcas ou outros sinais identificadores do titular ou de quem ele represente. |
|
Secção II |
Artigo 6.º |
|
1. Os documentos electrónicos enviados por meios informáticos consideram-se em poder do remetente até à recepção pelo destinatário. |
2. Sem prejuízo do disposto no n.º 2 do artigo 8.º, os documentos electrónicos transmitidos por meios informáticos consideram-se recebidos pelo destinatário no momento em que entram no endereço electrónico definido por acordo dos interessados ou indicado pelo destinatário. |
3. Na falta de acordo ou de indicação pelo destinatário, a recepção verifica-se no momento em que o destinatário acede ao documento. |
4. Salvo disposição ou convenção em contrário, ou quando do certificado resulte indicação diversa, presume-se que os documentos electrónicos transmitidos por meios informáticos: |
1) São enviados do domicílio do remetente ou, tratando-se de empresário, do lugar em que se situa a sua empresa; |
2) São recebidos no domicílio do destinatário ou, tratando-se de empresário, no lugar em que se situa a sua empresa. |
|
Artigo 7.º |
|
1. A transmissão do documento electrónico, ao qual seja aposta uma assinatura electrónica qualificada, através de um sistema informático que assegure a efectiva recepção equivale à remessa por via postal registada. |
2. Nas circunstâncias previstas no número anterior, considera-se que o documento foi remetido por via postal registada com aviso de recepção se a recepção for confirmada pelo destinatário por documento com a assinatura electrónica qualificada dirigido ao remetente e por este recebido. |
|
Artigo 8.º |
|
1. O remetente pode exigir ou acordar com o destinatário, antes ou no momento da expedição de um documento electrónico, a confirmação da sua recepção. |
2. A confirmação da recepção é efectuada nos termos e condições exigidos ou acordados ou, na sua falta, através de qualquer comunicação do destinatário nesse sentido. |
3. Quando a confirmação da recepção não seja efectuada de acordo com o disposto no número anterior, o documento considera-se não enviado. |
|
Capítulo III |
Secção I |
Artigo 9.º |
|
1. O certificado emitido por uma entidade certificadora credenciada considera-se qualificado quando contenha: |
1) A indicação de que é emitido como certificado qualificado; |
2) A identificação e a assinatura electrónica avançada da entidade certificadora que o emite, bem como a localização da respectiva sede; |
3) O nome e outros elementos necessários para uma identificação inequívoca do titular e, quando o mesmo actue como representante, a identificação do representado e a menção do documento ou documentos que o habilitem a actuar como tal; |
4) Os dados de verificação da assinatura; |
5) As datas de início e termo do prazo de validade do certificado; |
6) O código de identidade do certificado; |
7) A indicação de o uso do certificado ser ou não restrito a determinados tipos de utilização, bem como eventuais limites do valor das transacções para as quais o certificado é válido; |
8) As limitações da responsabilidade da entidade certificadora, nos termos do n.º 3 do artigo 28.° |
2. A solicitação do interessado, podem ainda ser incluídas no certificado qualificado ou em certificado complementar informações relativas aos poderes de representação, bem como a eventual referência a uma qualidade específica do titular, desde que a mesma seja relevante em função da utilização a que o certificado se destine. |
3. Os certificados qualificados, bem como os certificados complementares referidos no número anterior, consideram-se documentos de especial valor, para efeitos do disposto no artigo 245.º do Código Penal. |
|
Artigo 10.º |
|
1. Quem pretenda utilizar uma assinatura electrónica qualificada deve gerar ou obter os dados de criação e verificação de assinatura, bem como obter o respectivo certificado qualificado, emitido por entidade certificadora devidamente credenciada. |
2. Na emissão de certificados qualificados, a entidade certificadora deve: |
1) Verificar a identidade do requerente e, quando o mesmo actue como representante, os poderes de representação; |
2) Verificar as qualidades específicas do titular, em função da utilização a que o certificado estiver destinado; |
3) Informar o requerente, por forma escrita, de modo completo e claro, sobre o processo de certificação e os requisitos técnicos necessários para ter acesso ao mesmo, bem como sobre os termos e condições de utilização da assinatura; |
4) Fornecer ao requerente as informações necessárias para a utilização correcta e segura da assinatura, nomeadamente as respeitantes ao procedimento de aposição e verificação da mesma e as relativas às obrigações do titular e da entidade certificadora; |
5) Garantir a confidencialidade dos dados de criação da assinatura, nos casos em que é a entidade certificadora que os gera, e, em qualquer caso, abster-se de tomar conhecimento do seu conteúdo, aceitar o seu depósito, conservá-los, reproduzi-los ou prestar quaisquer informações sobre os mesmos. |
3. A emissão de certificados qualificados que identifiquem o titular como representante só pode ser feita mediante autorização expressa do representado para o efeito. |
|
Artigo 11.º |
|
1. O titular de uma assinatura electrónica qualificada deve actuar com a diligência adequada a preservar a confidencialidade dos dados necessários à sua criação e a evitar danos a terceiros. |
2. Em caso de dúvida quanto à perda de confidencialidade dos dados referido no número anterior, o titular deve pedir a suspensão do certificado e, se a perda for confirmada, a sua revogação. |
3. O titular deve ainda pedir a suspensão ou a revogação do certificado sempre que se verifiquem outros motivos que o justifiquem, nos termos do artigo seguinte. |
4. As obrigações previstas no presente artigo aplicam-se, com as necessárias adaptações, a quem no certificado conste como representado. |
|
Artigo 12.º |
|
1. Os certificados qualificados são suspensos: |
1) A pedido do titular ou de quem no certificado conste como representado; |
2) Quando existam fundadas razões para crer que a confidencialidade dos dados de criação de assinatura não está assegurada; |
3) Quando existam fundadas razões para crer que o certificado foi emitido com base em informações falsas ou inexactas ou que as informações nele contidas deixaram de estar conformes com a realidade. |
2. Nos casos a que se refere a alínea 2) do número anterior, a suspensão só pode ser levantada quando se verifique que o motivo que a justificou não corresponde à realidade. |
3. Os certificados qualificados são revogados: |
1) A pedido do titular ou de quem no certificado conste como representado; |
2) Quando se confirme que a confidencialidade dos dados de criação de assinatura não está assegurada; |
3) Quando se confirme que o certificado foi emitido com base em informações falsas ou inexactas ou que as informações nele contidas deixaram de estar conformes com a realidade; |
4) Quando a entidade certificadora cesse a actividade sem que a sua documentação seja transmitida para outra entidade certificadora, nos termos do artigo 29.º; |
5) Quando a entidade certificadora tomar conhecimento do falecimento, interdição, inabilitação ou extinção do titular ou da pessoa que no certificado conste como representado; |
6) Por ordem da autoridade credenciadora, ocorrendo motivo legalmente fundado. |
4. A suspensão e a revogação são fundamentadas e prontamente inscritas no registo informático a que se refere o artigo 22.º, sendo o titular de imediato informado sobre o respectivo motivo e a data e hora da sua inscrição no registo. |
5. A suspensão e a revogação dos certificados produzem efeitos na data e hora em que são inscritos no registo, mas só são oponíveis a terceiros a partir do momento em que se tornem acessíveis ao público, salvo se se provar que já eram do seu conhecimento. |
|
Artigo 13.º |
|
1. Os certificados emitidos por entidades certificadoras sediadas no exterior são equiparados aos certificados qualificados emitidos por entidade certificadora estabelecida na Região Administrativa Especial de Macau, adiante abreviadamente designada por RAEM, desde que se verifique alguma das seguintes circunstâncias: |
1) O certificado preencha os requisitos previstos no n.º 1 do artigo 9.º e seja garantido por entidade certificadora credenciada na RAEM; |
2) O certificado ou a entidade certificadora sejam reconhecidos na RAEM em virtude de instrumento de direito internacional ou de acordo regional. |
2. Nos casos a que se refere a alínea 1) do número anterior, a entidade certificadora da RAEM é responsável pelo certificado emitido no exterior nos mesmos termos em que o é pelos certificados qualificados que emite. |
3. A autoridade credenciadora deve divulgar pelos meios de publicidade que considerar adequados, bem como facultar aos interessados, as informações de que dispuser acerca dos certificados emitidos por entidades certificadoras sediadas no exterior que sejam reconhecidos na RAEM. |
|
Secção II |
Artigo 14.º |
|
Sem prejuízo do disposto no artigo 30.º, a actividade de emissão de certificados qualificados depende de credenciação prévia da entidade certificadora junto da autoridade credenciadora. |
|
Artigo 15.º |
|
1. Só podem ser credenciadas as entidades certificadoras que preencham os seguintes requisitos: |
1) Disponham de recursos técnicos e humanos que satisfaçam padrões de segurança e de eficácia adequados ao exercício da actividade de certificação; |
2) Dêem garantias de idoneidade e integridade no exercício da actividade de certificação; |
3) Tenham os equipamentos necessários ao exercício da actividade de certificação instalados na RAEM; |
4) Disponham de contrato de seguro válido para cobertura adequada da responsabilidade civil emergente da actividade de certificação, nos termos a definir em ordem executiva. |
2. Tratando-se de entidades privadas, é ainda exigido o preenchimento dos seguintes requisitos: |
1) Serem sociedades comerciais regularmente constituídas na RAEM, cujo objecto social inclua o exercício da actividade de certificação; |
2) Estarem dotadas de capital social, integralmente realizado, no valor mínimo de $ 5 000 000,00 (cinco milhões de patacas). |
3. Para os efeitos do disposto na alínea 2) do n.º 1, é indiciador da falta de idoneidade e integridade no exercício da actividade de certificação o facto de as pessoas que detêm a gestão da entidade certificadora ou com acesso aos actos e instrumentos de certificação: |
1) Terem sido condenadas por crimes de furto, abuso de confiança, roubo, burla, emissão de cheque sem provisão, extorsão, infidelidade, abuso de cartão de garantia ou de crédito, usura, falsificação, associação criminosa, suborno, corrupção, peculato ou falsas declarações; |
2) Terem sido declaradas falidas ou insolventes ou julgadas responsáveis pela falência de sociedades cujo domínio hajam assegurado ou de que tenham sido administradores, directores ou gerentes; |
3) Terem sido declaradas responsáveis pela violação das disposições da presente lei que regem a actividade de certificação, quando a gravidade ou reiteração das infracções cometidas o justifique. |
|
Artigo 16.º |
|
1. A credenciação e fiscalização das entidades certificadoras é da competência de uma autoridade credenciadora. |
2. No exercício da actividade de credenciação e fiscalização, a autoridade credenciadora pode solicitar às autoridades policiais e judiciárias e a quaisquer outras autoridades e serviços públicos toda a colaboração ou auxílio que julgue necessários. |
3. A autoridade credenciadora é designada pelo Chefe do Executivo. |
|
Artigo 17.º |
|
1. O pedido de credenciação de entidade certificadora é instruído junto da autoridade credenciadora, com os seguintes elementos: |
1) Documento que reflicta a estrutura organizatória do requerente, incluindo a identificação dos seus principais responsáveis e um resumo dos respectivos currículos; |
2) Proposta detalhada relativa ao tipo de serviços a prestar, da qual conste, designadamente, a descrição dos recursos materiais e técnicos disponíveis, com menção das suas características e localização, bem como o respectivo plano de segurança; |
3) Declaração de práticas de certificação a adoptar pelo requerente, contendo todos os aspectos relevantes para a gestão dos certificados, designadamente as condições, regras e procedimentos respeitantes à sua emissão, uso, suspensão, revogação e caducidade; |
4) Indicação do auditor externo de segurança; |
5) Plano económico-financeiro que inclua as tarifas a adoptar e uma descrição das actividades previstas para os primeiros três anos; |
6) Documento comprovativo da existência de contrato de seguro válido para cobertura adequada da responsabilidade civil emergente da actividade de certificação; |
7) Quaisquer outros elementos que o requerente considere relevantes para apreciação do seu pedido. |
2. Tratando-se de sociedade comercial, o pedido deve ainda ser acompanhado de: |
1) Certidão de registo comercial, devidamente actualizado; |
2) Relação dos membros dos órgãos de administração e de fiscalização da sociedade; |
3) Documento comprovativo da realização integral do capital social. |
|
Artigo 18.º |
|
1. A autoridade credenciadora pode solicitar aos requerentes informações complementares e proceder às averiguações, inquirições e inspecções que entenda necessárias para a apreciação do pedido. |
2. A decisão sobre o pedido de credenciação deve ser proferida no prazo de cento e vinte dias a contar da sua recepção. |
3. A autoridade credenciadora pode incluir na credenciação condições adicionais que sejam necessárias para assegurar o cumprimento das disposições legais e regulamentares aplicáveis ao exercício da actividade certificadora requerida. |
4. A credenciação é publicada no Boletim Oficial da RAEM. |
|
Artigo 19.º |
|
1. A credenciação é recusada sempre que: |
1) A instrução do pedido contenha inexactidões ou falsidades; |
2) A autoridade credenciadora não considere demonstrado o preenchimento dos requisitos previstos na lei. |
2. Se o pedido estiver deficientemente instruído, a autoridade credenciadora, antes de recusar a credenciação, notifica o requerente para, em tempo útil, suprir a deficiência. |
3. Da decisão de recusa da credenciação cabe recurso para o Tribunal Administrativo. |
|
Artigo 20.º |
|
1. A credenciação caduca se os requerentes não iniciarem a actividade no prazo de seis meses a contar da data da publicação da decisão no Boletim Oficial da RAEM e ainda no caso de extinção da entidade certificadora. |
2. Tratando-se de serviço ou entidade pública, a extinção não implica a caducidade da credenciação quando as funções de certificação que lhe estavam cometidas, bem como os sistemas e equipamentos utilizados na actividade de certificação, sejam atribuídos a outro serviço ou entidade pública. |
3. Sem prejuízo de outras sanções legalmente previstas e da responsabilidade civil ou criminal que ao caso couber, a credenciação é revogada quando: |
1) Tiver sido obtida por meio de falsas declarações ou outros expedientes ilícitos; |
2) No exercício da actividade de certificação ou de outra que a entidade certificadora também exerça, forem praticados actos ilícitos que lesem ou ponham em perigo a confiança do público na certificação; |
3) Ocorrerem irregularidades graves na administração, organização ou fiscalização interna da entidade; |
4) Por qualquer motivo deixarem de estar preenchidos os requisitos legais e estatutários do normal funcionamento dos órgãos de administração ou de fiscalização da entidade certificadora; |
5) Por qualquer motivo deixarem de estar preenchidos os requisitos de credenciação. |
4. A credenciação é igualmente revogada quando ocorrer a cessação da actividade de certificação por motivo alheio à vontade da entidade certificadora. |
5. Nos casos a que se referem as alíneas 4) e 5) do n.º 3, a decisão de revogação deve ser precedida de notificação ao interessado para, em prazo razoável, regularizar a situação. |
6. A autoridade credenciadora deve dar publicidade adequada à decisão de revogação, sem prejuízo da sua publicação no Boletim Oficial da RAEM e da notificação ao interessado no prazo de oito dias. |
7. Em caso de extinção da entidade certificadora ou de revogação da credenciação, a autoridade credenciadora deve: |
1) Promover a transmissão da documentação da entidade cuja credenciação tenha caducado ou sido revogada para outra entidade certificadora credenciada; |
2) Promover a revogação dos certificados emitidos pela entidade cuja credenciação tenha caducado ou sido revogada e conservar os elementos de tais certificados pelo prazo em que essa entidade o deveria fazer, se tal transmissão não for possível. |
|
Secção III |
Artigo 21.º |
|
No exercício da sua actividade, as entidades certificadoras credenciadas estão obrigadas ao escrupuloso cumprimento dos deveres previstos na presente lei e, em especial, a: |
1) Utilizar sistemas e produtos que garantam a segurança técnica dos processos a que se destinam; |
2) Adoptar medidas adequadas para impedir a falsificação ou alteração dos dados constantes dos certificados; |
3) Cumprir as regras de segurança para tratamento de dados pessoais estabelecidas na legislação aplicável; |
4) Assegurar o funcionamento de um serviço que garanta, de forma pronta e segura, a revogação, suspensão ou caducidade dos certificados qualificados, e permita a consulta, a qualquer momento, do registo informático referido no n.º 1 do artigo seguinte; |
5) Assegurar o funcionamento de um serviço que garanta que a data e hora da emissão, suspensão e revogação dos certificados possam ser determinadas. |
|
Artigo 22.º |
|
1. As entidades certificadoras credenciadas devem organizar e manter, permanentemente actualizado, um registo informático dos certificados qualificados emitidos, suspensos, revogados ou caducados, o qual deve ser protegido contra alterações não autorizadas e estar acessível a qualquer pessoa para consulta, designadamente por meios informáticos. |
2. Os certificados qualificados, bem como as informações a eles respeitantes, devem ser conservados por um prazo não inferior a quinze anos a contar da sua caducidade ou revogação. |
3. As entidades certificadoras devem utilizar sistemas fiáveis de conservação dos certificados, de tal forma que: |
1) A inserção de dados e alterações só possa ser feita por pessoas autorizadas; |
2) Os certificados só possam ser consultados pelo público nos casos em que tenha sido obtido o consentimento do titular; |
3) A autenticidade das informações contidas nos certificados possa ser verificada; |
4) Quaisquer alterações de carácter técnico susceptíveis de afectar os requisitos de segurança do sistema possam ser imediatamente detectáveis. |
|
Artigo 23.º |
|
1. As entidades certificadoras credenciadas devem estar dotadas de um sistema de validação cronológica de documentos electrónicos, podendo o mesmo ser utilizado para a prestação de serviços ao público. |
2. O sistema de validação cronológica é aprovado pela autoridade credenciadora, a qual deve verificar, em particular, a segurança, fiabilidade e idoneidade do método de aferição da data e hora. |
3. A data e hora constantes de declaração de validação cronológica emitida por entidade credenciada são oponíveis entre as partes e perante terceiros. |
|
Artigo 24.º |
|
1. As entidades certificadoras credenciadas só podem exigir e coligir os dados pessoais necessários ao exercício das suas actividades e obtê-los directamente das pessoas interessadas ou de terceiros junto dos quais essas pessoas autorizem a sua colecta. |
2. Os dados pessoais coligidos por entidade certificadora credenciada não podem ser utilizados para outra finalidade que não seja a de certificação, salvo se outro uso for expressamente consentido por lei ou pelo interessado. |
|
Artigo 25.º |
|
1. Nenhuma entidade certificadora credenciada pode iniciar a actividade de emissão de certificados qualificados sem antes assegurar adequada publicidade à declaração de práticas de certificação, designadamente por meios informáticos. |
2. A declaração de práticas de certificação deve obedecer a padrões internacionalmente reconhecidos, sem prejuízo da sua conformidade com as disposições da presente lei. |
3. A declaração de práticas de certificação e as respectivas alterações devem ser submetidas à aprovação da autoridade credenciadora. |
|
Artigo 26.º |
|
1. As entidades certificadoras credenciadas devem ter um auditor externo de segurança de reconhecido mérito e idoneidade. |
2. Ao auditor incumbe verificar e avaliar regularmente os equipamentos e sistemas utilizados na actividade de certificação, bem como emitir pareceres, sugestões e recomendações, com vista a assegurar a eficiência, fiabilidade e segurança dos mesmos. |
3. O auditor deve submeter à autoridade credenciadora, até 31 de Março de cada ano, um relatório anual de onde constem todos os dados relevantes para a fiscalização da eficiência, fiabilidade e segurança dos equipamentos e sistemas utilizados na actividade de certificação. |
|
Artigo 27.º |
|
1. A autoridade credenciadora pode proceder à inspecção dos estabelecimentos utilizados na actividade de certificação e ao exame, no local, de documentos, objectos, equipamentos e procedimentos operacionais. |
2. As entidades certificadoras credenciadas devem comunicar à autoridade credenciadora, no mais breve prazo possível, quaisquer alterações aos elementos referidos no artigo 17.º, bem como todas as situações que determinem ou possam vir a determinar a cessação da respectiva actividade. |
3. Sem prejuízo do disposto no número anterior, as entidades certificadoras credenciadas devem fornecer à autoridade credenciadora todas as informações relacionadas com a actividade de certificação que esta lhes solicite. |
4. As pessoas ou entidades que prestem serviços de auditoria às entidades certificadoras credenciadas devem comunicar à autoridade credenciadora as infracções que detectem no exercício das suas funções, bem como a ocorrência de situações que possam pôr em causa a eficiência, fiabilidade e segurança dos equipamentos e sistemas utilizados na actividade de certificação. |
|
Artigo 28.º |
|
1. A entidade certificadora credenciada é civilmente responsável por todos os danos resultantes do incumprimento dos deveres que lhe incumbem no exercício da actividade de certificação, excepto se provar que não actuou de forma dolosa ou negligente. |
2. São nulas as convenções de exoneração e limitação da responsabilidade prevista no número anterior. |
3. A entidade certificadora credenciada não é responsável pelos danos resultantes do uso abusivo da assinatura, desde que as limitações à utilização da mesma constem do respectivo certificado e sejam facilmente identificáveis por terceiros. |
|
Artigo 29.º |
|
1. A entidade certificadora credenciada que pretenda cessar voluntariamente a sua actividade deve, com a antecedência mínima de três meses, comunicar essa intenção à autoridade credenciadora e às pessoas a quem tenha emitido certificados qualificados que permaneçam em vigor. |
2. Com a comunicação a que se refere o número anterior deve igualmente ser indicada a entidade certificadora credenciada para a qual são transmitidos os certificados qualificados e a demais documentação necessária à respectiva gestão. |
3. Se, por qualquer razão, não for possível a transmissão, a entidade cessante procede à revogação dos certificados qualificados por ela emitidos e coloca a documentação à guarda da autoridade credenciadora. |
4. A cessação voluntária da actividade de certificação implica a extinção da credenciação, sem prejuízo da responsabilidade civil da entidade cessante pelos prejuízos causados em virtude do não cumprimento do disposto nos números anteriores. |
|
CAPÍTULO IV |
Artigo 30.º |
|
1. Os serviços ou entidades públicas podem, mediante pedido fundamentado, ser dispensados de credenciação, por despacho do Chefe do Executivo. |
2. Com o pedido, os serviços ou entidades que pretendam obter a dispensa de credenciação devem demonstrar que dispõem de condições adequadas para o exercício da actividade de certificação. |
3. O despacho de dispensa de credenciação é publicado no Boletim Oficial da RAEM. |
4. Os serviços e entidades dispensados de credenciação ao abrigo do disposto no n.º 1 são equiparados às entidades cer-tificadoras credenciadas, sendo-lhes aplicáveis, com as devidas adaptações, as disposições da presente lei. |
|
Artigo 31.º |
|
1. Os serviços e entidades públicas podem emitir e receber documentos electrónicos com assinatura electrónica qualificada, em conformidade com as normas da presente lei. |
2. Nos documentos emitidos ao abrigo do disposto no número anterior devem ser indicados os dados relativos ao serviço ou entidade interessada e ao titular da assinatura, de forma a torná-los facilmente identificáveis e a comprovar a função ou cargo desempenhado. |
3. Os serviços e entidades públicas podem, mediante aprovação da tutela, emitir normas regulamentares relativas aos requisitos a que devem obedecer os documentos que recebam por via electrónica, sem prejuízo das instruções e directivas que sejam superiormente definidas com vista à uniformização de procedimentos. |
|
Artigo 32.º |
|
1. Enquanto não estiverem reunidas as condições para a aplicação do disposto na alínea 4) do n.º 1 do artigo 15.º, a credenciação das entidades certificadoras é precedida de prestação de caução a favor da RAEM. |
2. A caução pode ser prestada mediante depósito em dinheiro, garantia bancária ou seguro-caução, e não pode ser de valor inferior a $ 3 000 000,00 (três milhões de patacas). |
|
Artigo 33.º |
|
1. Sem prejuízo de outras consequências legalmente previstas e da responsabilidade civil e criminal que ao caso couber, a violação ou incumprimento das disposições da presente lei relativas à actividade de certificação constitui infracção administrativa. |
2. O regime sancionatório aplicável às infracções administrativas cometidas no âmbito da actividade de certificação de assinaturas electrónicas, por violação ou incumprimento das disposições constantes da presente lei, é estabelecido em regulamento administrativo. |
|
Artigo 34.º |
|
É revogado o Decreto-Lei n.º 64/99/M, de 25 de Outubro. |
|
Artigo 35.º |
|
A presente lei entra em vigor 30 dias após a data da sua publicação. |
|
Aprovada em 20 de Julho de 2005. |
A Presidente da Assembleia Legislativa, Susana Chou. |
Assinada em 27 de Julho de 2005. |
Publique-se. |
O Chefe do Executivo, Ho Hau Wah. |