第一章 一般规定

  第二章 电子文件及电子签名

  第一节 一般原则

  第二节 电子文件的传输

  第三章 认证业务

  第一节 证书

  第二节 认可

  第三节 经营业务

  第四章 最后及过渡规定

  立法会根据《澳门特别行政区基本法》第七十一条(一)项,制定本法律。

  第一章 一般规定

  第一条 标的及范围

  一、本法律订定电子文件及电子签名的法律制度。

  二、本法律的规定并不影响法律、规章或协议中关于强制使用纸张或以其它特别形式或方式提交、组成、传输或储存文件的规定的适用,尤其当涉及下列者时:

  (一)公证及登记行为;

  (二)诉讼行为;

  (三)就人身法律关系作出凭证的行为;

  (四)有关开考及竞投程序的行为;

  (五)要求签署人亲身到场或当场认定签名的情况。

  第二条 定义

  为适用本法律,下列用语的含义为:

  (一)“电子文件”,是指为再现或显示人、物或事实而将相关的数据作电子处理的结果;

  (二)“电子签名”,是指与一电子文件相结合或逻辑上与该文件相关联,并可作为识别作成人身份的方法的一组电子数据;

  (三)“高级电子签名”,是指一种电子签名形式,该签名与持有人间明显存在关联,可凭此辨识持有人的身份;该签名是透过仅由持有人本人可控制的资料所产生并与所签署的电子文件相结合,经签署后,对该文件所作的任何随后改动均可被察觉;

  (四)“合格电子签名”,是指建立于合格证书的一种高级电子签名形式,该签名是透过用于产生签名的安全设备产生,并可按照国际认可的标准有效防止签名被冒用;

  (五)“持有人”,是指持有产生签名所需数据,并以个人或以其所代表的自然人、法人或实体的名义,使用该等数据的自然人;

  (六)“产生签名所需数据”,是指用以产生电子签名的一组独有数据,如密码或密码匙;

  (七)“核实签名所需数据”,是指用以核实电子签名的一组数据,如密码或密码匙;

  (八)“证书”,是指将某一特定电子签名与其持有人联系,并订明签名的有效性条件的电子文件;

  (九)“认证实体”,是指发出电子签名证书及提供其它相关服务的实体;

  (十)“生效时间记录”,是指以电子形式表现的,电子文件与某一特定日期及时间之间的可靠关联;

  (十一)“电子地址”,是指用于接收或储存电子文件的信息系统的认别资料。

  第二章 电子文件及电子签名

  第一节 一般原则

  第三条 电子文件的法律效力

  一、对以电子载体提交的文件,不得因其形式而否认其法律效力。

  二、如电子文件的内容能如书面意思表示般显示且可完整呈现,即符合对书面形式所要求的法定要件。

  第四条 电子文件的证明力

  一、如电子文件能如书面意思表示般显示,且已签署合格电子签名,则对其作成人所作的意思表示有完全证明力,但不影响就文书的虚假提出争辩及作出证明。

  二、无法如书面意思表示般显示但已签署合格电子签名的电子文件,具机械复制品的证明力。

  三、未签署合格电子签名的电子文件的证明力,按法律的一般规定审定,但有效协议另有规定者除外。

  四、对已签署合格电子签名的电子文件,如其证书已中止、废止或失效,又或该签名未按证书所载条件签署,则适用上款的规定。

  第五条 合格电子签名

  一、签署合格电子签名,等同于手写签署并推定如下事实:

  (一)签署合格电子签名者为持有人,并根据证书所载资格及权力行事;

  (二)为签署电子文件而签署合格电子签名;

  (三)经签署合格电子签名的电子文件的内容未受察觉不到的改动。

  二、以合格电子签名作出的签署,可替代以持有人或其所代表的人的印章、图章、标记或可资认别的其它符号所作签署。

  第二节 电子文件的传输

  第六条 发出及接收

  一、以信息媒体发送的电子文件,于收件人接收前,视为仍在发件人手中。

  二、以信息媒体传输的电子文件,一旦进入由利害关系人协商确定或由收件人指定的电子地址,即视为收件人已接收文件,但不影响第八条第二款的适用。

  三、在无协商或收件人未指定电子地址的情况下,于收件人取阅文件之时,即视为已接收该文件。

  四、除另有规定或协议,又或证书另有指定外,以信息媒体传输的电子文件推定为:

  (一)在发件人的住所发送;如发件人为企业主,则在其企业的所在地点发送;

  (二)在收件人的住所接收;如收件人为企业主,则在其企业的所在地点接收。

  第七条 挂号

  一、以确保对方能有效接收文件的信息系统传输经签署合格电子签名的电子文件,等同于以邮政挂号方式寄出。

  二、在上款所指情况下,如发件人收到由收件人发送的、附有合格电子签名的确认接收文件,则视为文件以附收件回执的邮政挂号方式寄出。

  第八条 接收确认

  一、接收的确认可于电子文件发送前或发送时,由发件人向收件人要求或与之协商。

  二、接收的确认,按所要求或所协商的条款及条件为之,如无该等条款及条件,则由收件人以任何方式作出确认通知。

  三、如未按上款的规定就接收作出确认,文件视为未发送。

  第三章 认证业务

  第一节 证书

  第九条 合格证书

  一、由获认可的认证实体发出的、包含下列内容的证书,视为合格证书:

  (一)指明其为合格证书;

  (二)发出证书的认证实体的身份资料、高级电子签名及该实体的住所;

  (三)证书持有人姓名及为明确识别其身份所需的其它资料;如持有人以代理人身份行事,则须包含被代理人的身份资料及赋予其代理资格的文件的提述;

  (四)核实签名所需数据;

  (五)证书有效期的起止日;

  (六)证书识别码;

  (七)关于证书使用限制的说明;如设有证书的有效交易限额,亦须载明;

  (八)根据第二十八条第三款的规定,认证实体的责任限制。

  二、应利害关系人的请求,尚可于合格证书或补充证书内加入关于代理权的数据,以及关于证书持有人的特定资格的资料,但该资格对于证书的指定用途须属重要者。

  三、为适用《刑法典》第二百四十五条的规定,上款所指合格证书及补充证书,均视为具特别价值的文件。

  第十条 合格证书的发出

  一、拟使用合格电子签名者,应生成或取得产生签名所需数据及核实签名所需数据,以及取得由经适当认可的认证实体所发出的合格证书。

  二、发出合格证书时,认证实体应:

  (一)核实申请人的身份;如申请人以代理人身份行事,则尚须核实其代理权;

  (二)按证书的指定用途核实持有人的特定资格;

  (三)以书面完整及清晰地将认证程序、进入该程序所需的技术要件,以及使用签名的条款及条件通知申请人;

  (四)向申请人提供正确及安全使用签名所需的资料,尤其关于签署、核实签名程序及持有人与认证实体的义务等资料;

  (五)在由认证实体生成产生签名所需数据的情况下,保证该等数据得以保密,且在任何情况下,均须拒绝获悉该等数据的内容、同意将之储存、保留、再现或提供任何关于该等数据的资料。

  三、获被代理人明示许可后,方可发出认定持有人为代理人的合格证书。

  第十一条 持有人的义务

  一、合格电子签名持有人应采取适当措施对产生签名所需数据予以保密,并避免损害第三人。

  二、如怀疑上款所指数据失密,持有人应请求中止证书的效力;如确认失密,应请求废止之。

  三、如有其它合理原因须中止或废止证书,持有人亦应按下条的规定请求之。

  四、本条所定义务,经作出必要配合后,适用于证书所载被代理人。

  第十二条 合格证书的中止及废止

  一、在下列情况下,合格证书予以中止:

  (一)应证书持有人或证书所载被代理人的请求;

  (二)有充分理由相信产生签名所需数据的保密无保证;

  (三)有充分理由相信发出证书所据资料虚假或不正确,又或证书所载资料已不符实。

  二、在上款(二)项所指情况下,仅于证实中止原因并不符实时,方可解除中止。

  三、在下列情况下,合格证书予以废止:

  (一)应证书持有人或证书所载被代理人的请求;

  (二)确认产生签名所需数据的保密无保证;

  (三)确认发出证书所据资料虚假或不正确,又或证书所载资料已不符实;

  (四)认证实体终止业务而未按第二十九条的规定将其文件移转予其它认证实体;

  (五)认证实体知悉证书持有人或证书所载被代理人已死亡、处于禁治产、准禁治产情况或已消灭;

  (六)认可当局基于具法律依据的原因而发出命令。

  四、中止及废止证书须说明理由并实时登录于第二十二条所指信息纪录内,且须实时将中止及废止的原因与登录日期及时间通知证书持有人。

  五、证书的中止及废止于纪录内所登录的日期及时间开始产生效力,且仅于公众可知情时方可用以对抗第三人,但证明第三人早已知情者除外。

  第十三条 外地所发证书

  一、住所设于外地的认证实体所发证书,如符合以下任一情况,等同设于澳门特别行政区的认证实体所发的合格证书:

  (一)证书符合第九条第一款所定要件,并由设于澳门特别行政区的获认可的认证实体保证;

  (二)根据国际法文书或地区协议,证书或认证实体在澳门特别行政区获确认。

  二、如属上款(一)项所指情况,澳门特别行政区的认证实体须对外地所发证书负上如同本身发出合格证书的责任。

  三、认可当局应透过认为适当的公布途径,将所有的由外地认证实体发出而获澳门特别行政区确认的证书的资料公开,并将之提供予利害关系人。

  第二节 认可

  第十四条 认可的强制性

  为从事发出合格证书的业务,认证实体须预先取得认可当局的认可,但不影响第三十条的适用。

  第十五条 认可的要件

  一、符合下列要件的认证实体,方可获认可:

  (一)配备的技术及人力资源,符合经营认证业务所需的安全及效力标准;

  (二)具备经营认证业务所需的适当资格及诚信的保证;

  (三)于澳门特别行政区设置经营认证业务所需设备;

  (四)按照行政命令的规定订立有效的保险合同,以承保由认证业务所生的民事责任。

  二、如为私人实体,尚须符合下列要件:

  (一)为在澳门特别行政区依法设立的公司,其所营事业须包括经营认证业务;

  (二)具备最少$5,000,000.00(澳门币伍佰万元)已缴的公司资本。

  三、为适用第一款(二)项的规定,如管理认证实体、进行认证行为或处理认证文件的人属下列状况,即显示其缺乏经营认证业务所需的适当资格及诚信:

  (一)因盗窃、滥用信任、抢劫、诈骗、签发空头支票、勒索、背信、滥用担保卡或信用卡、暴利、伪造、犯罪集团、贿赂、贪污、公务上的侵占或虚假声明而被判罪者;

  (二)经宣告破产或无偿还能力的人,又或被裁定为导致其所控制或其为行政管理机关的成员、领导人或经理的公司破产的责任人;

  (三)被宣告为严重或屡次违反规范经营认证业务的本法律的规定的责任人。

  第十六条 认可当局

  一、对认证实体进行认可及监察,属认可当局的职权。

  二、认可当局在执行认可及监察工作时,可请求警察及司法当局,以及任何其它公共当局及部门提供必要合作或协助。

  三、认可当局由行政长官指定。

  第十七条 认可的申请

  一、认证实体有关认可的申请须向认可当局提出,并应附同下列资料:

  (一)能反映申请人的组织结构的文件,其中须载明主要负责人的身份资料及履历;

  (二)拟提供服务的种类的详细计划,尤其须说明所配备的物力和技术资源,该等资源的特征及所在地,以及相关的保安计划;

  (三)申请人所采用的认证作业准则,其中须包括管理证书的一切重要事宜,尤其关于证书的发出、使用、中止、废止及失效的条件、规则及程序等;

  (四)关于外部安全审计员的说明;

  (五)财经计划,其中须载明所采用的收费表,以及首三年的业务说明;

  (六)承保由认证业务所生的民事责任的有效保险合同的证明文件;

  (七)申请人认为对审核其申请属重要的其它资料。

  二、如为公司,申请尚应附同下列文件:

  (一)最新的商业登记证明;

  (二)公司的行政管理机关及监察机关成员名单;

  (三)公司资本已缴证明文件。

  第十八条 审核及决定

  一、为审核申请,认可当局如认为有需要可要求申请人提供补充资料及进行调查、询问及检查。

  二、就认可的申请所作决定,应自接受申请起一百二十日内作出。

  三、认可当局可于认可时附加所需条件,以确保适用于所申请认证业务经营方面的法律及规章的规定获得遵守。

  四、有关认可须公布于《澳门特别行政区公报》。

  第十九条 拒绝认可

  一、在下列情况下,将拒绝认可:

  (一)申请卷宗内的资料不正确或虚假;

  (二)认可当局认为未符合法律规定的要件。

  二、如申请卷宗有缺陷,认可当局在拒绝认可前,须通知申请人在适当时间内予以弥补。

  三、对拒绝认可的决定,可向行政法院提出上诉。

  第二十条 认可的失效及废止

  一、如申请人自有关决定于《澳门特别行政区公报》公布之日起六个月内未开始业务,又或认证实体消灭,则认可失效。

  二、如公共部门或实体获赋予的认证职能以及用于认证业务的系统及设备转移予另一公共部门或实体,则其消灭不导致认可失效。

  三、在下列情况下,认可将被废止,且不妨碍法律规定的其它处罚及倘有的民事或刑事责任:

  (一)藉虚假声明或其它不法途径取得认可;

  (二)认证实体于经营认证业务或其它业务时,作出损害或危及公众对认证的信心的不法行为;

  (三)认证实体在内部行政、组织或监察方面发生严重不当事情;

  (四)因任何原因不再符合关于认证实体行政或监察机关正常运作的法律要件及章程要件;

  (五)因任何原因不再符合认可的要件。

  四、非因认证实体的意愿而终止认证业务者,认可亦被废止。

  五、如属第三款(四)及(五)项所指情况,废止的决定作出前,应通知利害关系人于合理期限内使情况回复正常。

  六、认可当局应适当公布废止的决定,另须于《澳门特别行政区公报》公布及于八日内通知利害关系人。

  七、如认证实体消灭或认可被废止,认可当局应:

  (一)促使将认可失效或被废止的实体的文件移转到另一获认可的认证实体;

  (二)促使将认可失效或被废止的实体所发证书废止;如该等证书的数据未能移转,则于原应由该实体保存该等数据的期间内保存之。

  第三节 经营业务

  第二十一条 义务

  获认可的认证实体在经营业务时,须切实履行本法律所定义务,尤其是:

  (一)使用能保证程序的技术安全的系统及产品;

  (二)采取适当措施遏止证书所载数据被伪造或更改;

  (三)遵守适用法例就处理个人资料所定的安全规则;

  (四)提供能保证及时并安全地废止、中止合格证书或使之失效,且可随时查询下条第一款所指信息纪录的服务;

  (五)提供能保证证书的发出、中止及废止的日期及时间可获确定的服务。

  第二十二条 纪录及保存

  一、获认可的认证实体应为已发出、已中止、已废止或已失效的合格证书组织及保持一信息纪录并不断更新,该纪录应可防止未经许可的更改,以及可供任何人尤其透过信息媒体查询。

  二、合格证书及其相关资料,应自证书失效或废止起保存最少十五年。

  三、认证实体应采用可靠的系统保存证书,以便:

  (一)数据的输入及修改仅可由获许可的人进行;

  (二)公众仅于获证书持有人同意后,方可对证书进行查询;

  (三)证书所载资料的真实性可予核实;

  (四)任何可影响系统安全要件的技术改动均可被实时察觉。

  第二十三条 生效时间记录

  一、获认可的认证实体应配备电子文件生效时间记录系统;该系统可用于向公众提供服务。

  二、生效时间记录系统由认可当局核准,该当局尤应核实测定日期及时间的方法的安全性、可靠性及适当性。

  三、获认可的实体所发出的生效时间记录声明中的日期及时间,当事人可用以互相对抗及可用以对抗第三人。

  第二十四条 个人资料的保护

  一、获认可的认证实体仅可要求及收集经营业务所需的个人资料,并直接从利害关系人或从经其许可的第三人取得。

  二、获认可的认证实体所收集的个人资料,不得用于与认证无关的其它用途上,但法律或利害关系人明示同意可作他用者除外。

  第二十五条 认证作业准则

  一、获认可的认证实体于确保适当公开其认证作业准则前,尤其透过信息媒体将之适当公开前,不得开始发出合格证书业务。

  二、认证作业准则应符合国际认可的标准,亦须符合本法律的规定。

  三、认证作业准则及其修改,应提交认可当局核准。

  第二十六条 外部安全审计员

  一、获认可的认证实体应配备一名被公认为卓越及合资格的外部安全审计员。

  二、审计员负责定期检查和评估用于认证业务的设备及系统,以及发表意见、作出建议及提议,以确保该等设备及系统的效率、可靠性及安全性。

  三、审计员应最迟于每年三月三十一日向认可当局提交一份年度报告,其中须载明对监察用于认证业务的设备及系统的效率、可靠性及安全性属重要的一切资料。

  第二十七条 监察

  一、认可当局可检查用作认证业务的场所,以及在该等场所检查文件、物品、设备及操作程序。

  二、获认可的认证实体应将第十七条所指数据的任何修改,以及任何导致或可能导致业务终止的情况,尽快通知认可当局。

  三、除遵守上款的规定外,获认可的认证实体应向认可当局提供所要求的、与认证业务有关的一切资料。

  四、向获认可的认证实体提供审计服务的人或实体,应将执行职务时所发现的违法行为,以及可影响用于认证业务的设备及系统的效率、可靠性及安全性的情况通知认可当局。

  第二十八条 民事责任

  一、获认可的认证实体对于在经营认证业务时不履行其义务而引致的一切损害负民事责任,但证明非因故意行事或行事有过失而引致者除外。

  二、免除及限制上款所定责任的协议,均属无效。

  三、对于因滥用签名而引致的损害,获认可的认证实体无须负责,但该实体须将签名的使用限制载明于证书内,其应易于被第三人所阅读。

  第二十九条 自愿终止业务

  一、拟自愿终止业务的获认可的认证实体,应最少提前三个月,将终止业务的意图通知认可当局并通知由该实体发给合格证书且有关证书仍有效的持有人。

  二、除上款所指通知外,尚应指定获移转合格证书及管理证书所需文件的获认可的认证实体。

  三、如因任何理由不能移转,终止业务的实体须废止其所发合格证书,并将有关文件交由认可当局保管。

  四、自愿终止认证业务导致认可终止,但不妨碍终止业务的实体对于因不遵守以上各款的规定而引致的损失所应负的民事责任。

  第四章 最后及过渡规定

  第三十条 豁免认可

  一、公共部门或实体可藉提出具充分理由的申请而获行政长官以批示豁免认可。

  二、拟获豁免认可的公共部门或实体,在提出申请时应说明具备适合从事认证业务的条件。

  三、豁免认可的批示须公布于《澳门特别行政区公报》。

  四、按第一款的规定获豁免认可的公共部门及实体,等同于获认可的认证实体,而本法律的有关规定经作出必要配合后,予以适用。

  第三十一条 公共部门及实体的电子文件

  一、公共部门及实体可按本法律的规定发出及接收附有合格电子签名的电子文件。

  二、在按上款的规定发出的文件中,应列明利害关系部门或实体及签名持有人的资料,以便于认别及证明所任职务或官职。

  三、公共部门及实体在取得监督实体的核准后,可就以电子途径接收的文件所应遵守的要件,订定规章性规定,且不影响为统一程序而由上级订定的指示及指令的适用。

  第三十二条 担保

  一、如不具备适用第十五条第一款(四)项的条件,认证实体获认可前,须向澳门特别行政区提供担保。

  二、担保可以现金寄存、银行担保或保证保险的方式提供,其金额不得低于$3,000,000.00(澳门币叁佰万元)。

  第三十三条 处罚制度

  一、违反或不遵守本法律关于认证业务的规定,构成行政违法行为,且不影响其它法定后果及倘有的民事或刑事责任。

  二、适用于因违反或不遵守本法律的规定而引致的在电子签名认证业务范围内的行政违法行为的处罚制度,由行政法规订定。

  第三十四条 废止

  废止十月二十五日第64/99/M号法令。

  第三十五条 生效

  本法律自公布后三十日起生效。

  二零零五年七月二十日通过。

  立法会主席 曹其真

  二零零五年七月二十七日签署。

  命令公布。

  行政长官 何厚铧