《數位簽章法》Digital Signatures Act

第1章 通則

§ 1. 適用範圍

本法規定使用數位簽章與數位印章之必要條件，及監督憑證服務與時間戳記服務之程序。

§ 2. 數位簽章

(1) 數位簽章係由技術及組織方式建立之資料單元，用於顯示數位簽章使用人及簽署文件之連結。

(2) 數位簽章經由使用必要資料將簽章置於一安全簽章產生器（以下稱為私密金鑰）建立，且驗證資料簽章應唯一對應安全簽章驗證裝置（以下稱為公開金鑰）。

(3) 數位簽章與使用數位簽章之系統應：

1) 能夠唯一識別簽章人；

2) 能夠判定簽章時間；

3) 連結數位簽章與資料，以防簽章後資料或內容出現未經檢測之變更。

§ 2-1. 數位印章 （Digital Seal）

(1) 數位印章係一由技術和組織方式建立之資料單元，用於驗證數位文件完整性與連結該文件與數位印章憑證持有人之關係。

(2) 數位印章係由安全簽章產生器中之私密金鑰建立，且應唯一對應公開金鑰。

(3) 數位印章與數位印章系統應：

1) 能夠以唯一識別數位印章持有人姓名；

2) 能夠判定數位印章蓋章時間；

3) 連結數位印章與資料，以防蓋章後資料或內容出現未經檢測之變更。

§ 3. 數位簽章之法律效力

(1) 如數位簽章效用不受其他法律限制且其符合本法第2條第3項規範，則該數位簽章等同手寫簽章法律效力。

(2) 如具數位簽章之資料已唯一判定公開金鑰憑證及其私密金鑰是否對應，則不需另外證明依本法第2章至第5章規定原則提供之數位簽章，是否符合本法第2條第3項規範。

(3) 如經證明在未經相應憑證持有人同意之情況下使用私密金鑰進行簽章，則該數位簽章不具本條第1項規定之效力。

(4) 如憑證持有人證明簽章在未經其同意給出之假設情況存在，則未經相應憑證持有人同意而給出數位簽章之事實可被視為已證明。

(5) 本條第3項規定之情形，如因憑證持有人之意圖或重大過失，導致私密金鑰未經憑證持有人同意而使用，憑證持有人應賠償第三人因誤認該簽章為憑證持有人提供之損害。

§ 4. 使用數位簽章及數位印章

國家與地方政府機構、公法中的法人以及履行公法功能的私法人需透過公共資料通訊網絡提供有關於與其機構與法人使用數位簽章與數位印章的可行性與程序的資訊管道。

§ 4-1. 行政程序法之適用

考慮到本法詳細規範，《行政程序法》適用本法規定之行政程序。

第2章 憑證

第1節 憑證及憑證規範

§ 5. 憑證

(1) 為了本法目的，憑證係指為發給及驗證數位簽章、數位印章而發行之文件，其中公開金鑰係唯一地連結至憑證持有人。

(1-1) 多個數位印章憑證可發給同一人。

(2) 憑證應列明：

1) 憑證編號；

2) 憑證持有人之姓名；

2-1) 憑證持有人之個人識別碼或註冊碼；

3) 憑證持有人之公開金鑰；

4) 憑證之有效期限；

5) 製發人與其註冊碼；

6) 憑證使用範圍限制之說明。

(3) 憑證製發人應確認其製發之每份憑證。

§ 6. 憑證持有人

為本法目的，數位簽章的情況下，憑證持有人為自然人；數位印章的情況下，憑證持有人為自然人或法人，憑證資料及憑證公開金鑰相連結。

第2節 申請及製發憑證

§ 7. 建立私密金鑰與公開金鑰

(1) 私密金鑰及公開金鑰由憑證申請人建立，或根據與其他參與方之協議要求，由提供憑證服務人、其他人員、或代理機構建立。

(2) 為他人建立私密金鑰及公開金鑰者，不得為自己或第三方建立私密金鑰與公開金鑰之副本。

§ 8. 申請憑證

(1) 個人取得發給及驗證數位簽章之憑證，應向憑證服務提供人提交書面申請，內容包含：

1) 憑證申請人名字和姓氏；

2) 憑證申請人個人識別碼，或者在沒有個人識別碼的情況下，憑證申請人的出生年月日；

3) 憑證申請人公開金鑰（如果存在）或給予憑證服務提供人以創造私密金鑰和公開金鑰的許可；

4) 憑證申請人聯絡方式；

5) 憑證有效期限；

6) 憑證使用範圍與限制說明；

7) 申請人要求增加到該憑證的其他資料。

(1-1) 個人取得發給及驗證數位印章之憑證，應向憑證服務提供人提交書面申請，內容包含：

1) 憑證申請人名字和姓氏；

2) 憑證申請人之個人識別碼或註冊碼，及申請人居住地；

3) 憑證申請人公開金鑰或向憑證服務提供人創造私密金鑰和公開金鑰的申請書；

4) 憑證申請人聯絡方式；

5) 憑證有效期限；

7) 申請人要求增加到該憑證的其他資料。

(2) 如本條第1、1-1項規定之申請包含憑證申請人公開金鑰，則憑證申請人應證明其擁有與該公開金鑰相對應之私密金鑰。

§ 9. 憑證製發人

為本法目的，憑證製發人係指製發憑證並對憑證資料正確性負責之個人或機構。

§ 10. 製發憑證

(1) 憑證製發人應確認憑證申請書是否符合本法，並查核申請書包含之資料正確。

(1-1) 憑證製發人有權驗證身分證明文件有效性及代表該申請人之代理權。

(2) 輸入資料至憑證製發人維護之資料庫後，憑證製發人應立即將憑證發給個人。

(3) 憑證製發人應將憑證使用條件、憑證持有人權利義務、其他憑證使用情況，通知憑證申請人。

第3節 憑證之效期、暫停與撤銷

§ 11. 憑證之效期

(1) 憑證自憑證標示有效期限起始日有效，惟在輸入憑證對應資料至憑證製發人護之資料庫中前，該憑證仍為無效。

(2) 憑證自憑證中標示有效期限屆滿或憑證撤銷時失效。

§ 12. 暫停憑證

(1) 如憑證服務提供人合理懷疑憑證遭輸入不正確資料，或未經憑證持有人同意，該憑證公開金鑰能與其私密金鑰相對應，則憑證服務提供人有權暫停該憑證。

(2) 如暫停要求來自下列情形，憑證服務提供人應暫停憑證：

1) 憑證持有人；

2) 資料保護監督主管機關或憑證登記之首長，若其合理懷疑憑證遭輸入不正確的資料，或未經憑證持有人同意，該憑證公開金鑰能與其私密金鑰相對應；

3) 法院、檢察官辦公室、審前調查機關處理刑事案件，以打擊刑事犯罪。

(3) 憑證服務提供人應於驗證暫停憑證法律效力後，迅速將暫停相關資料輸入至其維護之憑證資料庫。

(4) 憑證服務提供人應立即將憑證暫停通知憑證持有人。

(5) 憑證服務提供人應保存暫停憑證時間、理由、申請人之紀錄，及終止暫停憑證之時間。

(6) 憑證暫停期間發給之數位簽章及數位印章無效。

§ 13. 終止暫停憑證

(1) 憑證持有人、將對應資料輸入憑證製發人維護資料庫之個人或組織，得提交申請終止憑證暫停。

(2) 本法第12條第2項第3款規定情形者，啟動暫停之個人得終止暫停憑證。

(3) 憑證服務提供人應將暫停憑證之終止立即通知憑證持有人。

§ 14. 撤銷憑證

(1) 以下為撤銷憑證之依據：

1) 憑證持有人申請；

2) 未經憑證持有人同意，該憑證公開金鑰有可能與其私密金鑰相對應；

3) 憑證持有人之法律效力遭到剝奪；

4) 憑證持有人遭宣告死亡；

5) 憑證持有人死亡；

5-1) 憑證持有人註冊基於憑證持有人的公法職務遭受解散、釋放、或免職而受到刪除；

6) 憑證持有人向憑證服務提供人提交不實資料以獲得憑證；

7) 憑證服務提供人活動終止；

8) 其他法律授權情形。

(2) 憑證持有人或其他人有權利透過相應的申請要求撤銷憑證。

(3) 憑證服務提供人撤銷憑證，其在收到相應申請後或在存在本條第1項規定的其他依據之後，立即啟動撤銷程序。

§ 15. 撤銷憑證之程序

(1) 若本法第14條第1項第3至8款規定情形為撤銷憑證之理由，應於申請書後附上文件證明憑證撤銷理由。

(2) 憑證服務提供人需要驗證申請撤銷憑證的合法性與依據。

(3) 憑證將於輸入相應資料至憑證服務提供人維護之憑證資料庫後失去效力。

(4) 憑證服務提供人應保存撤銷憑證原因之證明文件，直至其終止活動。法律另有規定者，不在此限。

§ 16. 沒有法律依據下暫停或撤銷憑證之後果

因無法律依據、意圖或重大過失導致憑證暫停、撤銷之個人、機構，應賠償憑證暫停、撤銷造成之損害。

第3章 憑證服務與憑證服務提供人

§ 17. 憑證服務

(1) 憑證服務係指製發數位簽章及數位印章所需之憑證，或根據憑證驗證、暫停數位簽章及數位印章，以及暫停終止與撤銷此類憑證之程序。

(2) 提供憑證係指憑證服務提供人將憑證發給憑證申請人之行為。

§ 18. 憑證服務提供人

(1) 下列機構與個人如有註冊成為憑證服務提供人，並註冊於愛沙尼亞對應註冊機構，得作為憑證服務提供人 ：

1) 公共股份有限公司；

2) 資本額超過25,000歐元之私人股份有限公司；

3) 法律授權之公法法人；

4) 共和國政府決定之國家機構

(2) [已廢除]

§ 19. 對憑證服務提供人之要求

(1) 憑證服務提供人應遵守本法規定之要求，確保憑證服務可靠且合於依法頒布之法律規範。

(2) 憑證服務提供人應確保於輸入憑證註冊日，進行資訊系統運行年度審核，並將審核結果交予經授權之憑證註冊處理人。

(3) 憑證服務提供人不得拖欠稅款或其他款項，以防違反本法第2至4章規定原則，造成憑證服務之損害。

(4) 憑證服務提供人需確保其活動符合本法第39條規定程序。

§ 20. 憑證原則

(1) 憑證原則係指符合本法組織、技術方法描述及以其為基礎建立之規範、憑證服務提供人提供憑證之規範、及憑證服務提供人之憑證申請條件說明。

(2) 憑證服務提供人之憑證原則應規定以下內容：

1) 憑證服務提供人名稱；

2) 憑證服務提供人所在地址；

3) 憑證申請人證明私密金鑰對應於公開金鑰之程序；

4) 說明提供憑證服務之技術方法；

5) 憑證程序之程序及條款；

6) 審查憑證申請之程序；

7) 製發憑證之程序；

8) 描述憑證使用範圍與限制之機制；

9) 維護已製發憑證紀錄之程序；

10) 發布與憑證有效性相關訊息之程序；

11) 描述產生與儲存金鑰之程序，以及憑證服務提供人儲存個人金鑰規定方法；

11-1) 確認製發憑證之程序；

12) 暫停或撤銷憑證之程序；

13) 有偽造憑證服務提供人或偽造其提供服務情形時之行動計劃；

14) 暫停、終止暫停、撤銷已製發憑證之技術程序；

15) 終止提供憑證服務之程序；

16) 憑證原則中憑證服務提供人認為應提供之其他必要情形。

(3) 共和國政府決定並提供憑證服務之國家機構，其憑證原則及提供服務費用，應由國家機構負責人批准。

§ 21. 憑證服務提供人的僱傭限制

參與提供憑證服務之憑證服務提供人僱員，不得有蓄意犯罪之刑事紀錄。

§ 22. 憑證服務提供人的義務

憑證服務提供人應：

1) 公開其憑證原則並確保其在公共資料通訊網絡中的可及性 (accessibility)；

2) 確保維護資訊機密，使資訊不會因提供憑證服務時為其所知而有揭露之風險；

3) 維護其製發的憑證繼續與有效期限；

4) 24小時接受暫停憑證之申請；

5) 因應利害關係人要求，經由其代表人之數位簽章，驗證憑證中由公開金鑰與對應私密金鑰構成之數位簽章有效性；

6) 確保24小時皆能夠由公共資料通訊網絡確認憑證有效性；

7) 保存憑證相關文件直至其活動終止；

8) 確保資訊系統年度審核執行，並將審核結果交予經授權之憑證註冊處理人；

9) 公佈強制保險合約條件於公共資料通訊網絡；

10) 通知經授權憑證註冊的處理人有關提供憑證服務的公開金鑰的任何變更。

第4章 時間戳記服務與時間戳記服務提供人

§ 23. 時間戳記之定義

(1) 時間戳記係一由技術和組織方式建立之資料單元，用於證明文件在特定時間之存在。

(2) 時間戳記應與資料連結，避免取得時間戳記後無法檢測資料更動。

(3) 時間戳記服務提供人應確認時間戳記由其製發。

§ 24. 時間戳記服務

(1) 時間戳記服務係指證明數位簽章及數位印章正式時序必備之時間戳記，建立驗證已製發時間戳記之條件。

(2) 如無法確定不同時間戳記服務提供人製發之正式時序，則應視為同時製發。

(3) 時間戳記提供人應確保無法於製發時間前後加上正確時間戳記，並無法變更時間戳記順序。

§ 25. 時間戳記服務提供人

下列機構與個人，如有註冊為對應憑證服務提供人並註冊於愛沙尼亞對應註冊機構，得作為時間戳記服務提供人：

1) 公共股份有限公司；

2) 資本額超過25,000歐元之私人股份有限公司；

3) 法律授權之公法法人；

4) 共和國政府決定之國家機構。

§ 26. 時間戳記服務提供人的要求

(1) 時間戳記服務提供人應遵守本法規範，並確保時間戳記服務可靠且合於依法頒布之法律規範。

(2) 時間戳記提供人應確保於輸入憑證註冊日，進行資訊系統運行年度審核，並將審核結果交予經授權之憑證註冊處理人。

(3) 時間戳記服務提供人不得拖欠稅款或其他款項，以防違反本法第2至4章規定原則，造成時間戳記服務之損害。

(4) 時間戳記服務提供人應確保其活動符合本法第39條規定程序。

§ 27. 時間戳記原則

(1) 時間戳記原則係為製發與驗證時間戳記之描述，及時間戳記服務提供人使用之技術方法。

(2) 時間戳記服務提供人的時間戳記原則應規定以下內容：

1) 時間戳記服務提供人名稱；

2) 提供時間戳記技術方法之描述；

3) 取得與驗證時間戳記之程序；

3-1) 確認已製發時間戳記之程序；

4) 維持已製發時間戳記紀錄之程序；

5) 發布已製發時間戳記相關資訊之程序；

6) 終止提供時間戳記服務之程序；

7) 有偽造時間戳記服務提供人或偽造其服務情形時之行動計劃；

8) 時間戳記原則中時間戳記服務提供人認為應提供之其他必要情形。

§ 28. 時間戳記服務提供人之義務

時間戳記服務人應：

1) 確保符合時間戳記原則之時間戳記顯示時間正確；

2) 保存已製發時間戳記之紀錄；

3) 保存文件以驗證已製發之時間戳記；

4) [已廢除]

5) 確保公共資料通訊網絡中得取得及驗證時間戳記；

6) 確保資訊系統年度審核執行，並將審核結果交予經授權之憑證註冊處理人

7) 公布強制性保險條約之條件於公共資料通訊網絡；

8) 將使用時間戳記服務之公開金鑰的任何變更，通知經授權之憑證註冊處理人。

§ 29. 時間戳記服務提供人之僱傭限制

參與提供時間戳記服務之時間戳記服務提供人僱員，不得有蓄意犯罪之刑事紀錄。

第5章 終止提供憑證服務與時間戳記服務

§ 30. 終止提供憑證服務與時間戳記服務

(1) 提供憑證服務與時間戳記服務（以下稱為服務）之終止：

1) 由服務提供人決定；

2) 由監督主管機關對服務提供人所做之決定；

3) 由法院判決；

4) 服務提供人清算資產或服務活動終止時；

5) 由政府決議終止本法案第18條第1項第4款及第25條第4項規定由國家機構提供之服務。

(2) 提供憑證服務及時間戳記服務終止後，服務提供人應將有關文件轉移至憑證註冊庫 (register of certification)。

§ 31. 終止提供服務之通知

(1) 當決定終止提供服務時，服務提供人應立即通知經授權憑證註冊處理人或註冊主管處理人。如個人或機構通知經授權之憑證註冊處理人終止提供服務，經授權之處理人應立即通知註冊主管處理人。

(2) 當決定終止服務時，服務提供人應於至少1個月前通知服務使用人。

(3) 憑證註冊主管處理人應將任何有關終止提供服務之決定，通知資料保護監督主管機關與協調國家資訊系統主管機關。

第6章 憑證註冊庫

§ 32. 憑證註冊庫

(1) 憑證註冊庫（以下簡稱註冊庫）係一由共和國政府所建立之資料庫，用以保存憑證服務提供人及時間戳記服務提供人之紀錄。

(2) 憑證註冊主管處理人為經濟通訊部部長。

(3) 註冊庫應包含：

1) 憑證服務提供人資料庫；

2) 時間戳記服務提供人資料庫；

3) [已廢除]

4) 註冊檔案。

§ 33. 申請成為註冊庫服務提供人

(1) 個人或機構欲加入註冊庫者，應遞交下列資訊：

1) 個人或機構註冊為服務提供人之申請書，該申請書需列出個人或機構提供憑證服務或時間戳記服務時使用之公開金鑰，並經由法定代理人簽署；

2) 相同申請書之數位副本，該副本依已製發的憑證和時間戳記之驗證程序進行驗證，並包含提供憑證服務或時間戳記服務使用之私密金鑰的證明；

3) [已廢除]

4) 憑證或時間戳記原則；

5) [已廢除]

6) 資訊系統審核結果；

7) 確保不會發生積欠稅款之情事，因欠款將使服務損害本法第2至5章規定原則。

(2) 服務提供人進入註冊庫之申請應標示以下內容：

1) 服務提供人名稱；

2) 服務提供人地址；

3) 服務提供人註冊編號；

4) 代表服務提供人名稱、稱謂、個人識別號碼與聯絡方式；

5) 服務提供人電話號碼與地址；

6) 服務提供之限制。

(3) 註冊授權處理人應確認送出資料之正確性，並符合本法規範。另外，註冊授權處理人應確認申請人是否已繳納相關規費、提供服務之個人或機構是否已註冊、申請人是否有任何積欠稅款。

(4) 註冊授權處理人有權向所有中央機構、中央與地方政府資料庫調閱資料，以驗證個人或機構提交資料之正確性。

(5) 加入註冊庫前，個人或機構應確保資訊系統審核執行，並將審核結果交予註冊授權處理人。資訊系統審核所需費用，應由個人或機構承擔。

§ 34. 服務提供人之註冊

(1) 確認文件後，註冊授權處理人應於收到符合本法第33條第1、2項規定之資料及文件後，在5個工作天內決定個人或機構是否註冊為服務提供人，並將該決定通知該個人或機構。

(2) 如本條第1項規定之期限不足以確認所提交之資料及文件，註冊授權處理人得將期限延長至10個工作天。

(3) 個人或組織加入註冊庫之決定通過，並提供註冊授權處理人符合本法第39條規定保險政策之副本後，立即註冊為服務提供人。

(4) 註冊授權處理人應提供註冊庫登記之每個服務提供人非重複性註冊代碼。

(5) 註冊授權處理人應核准本法第33條第1項第1款中規定註冊服務提供人之公開金鑰。

(6) 服務終止後，應將相應申請交予註冊授權處理人。註冊處理人應於註冊庫中輸入服務終止相關資料。

§ 35. 拒絕服務提供人之註冊

(1) 如有下列情形，註冊授權處理人應拒絕服務提供人的註冊：

1) 個人或機構不符合本法規範；

2) 憑證或時間戳記原則不符合本法規範；

3) [已廢除]

4) 個人或機構提交不正確資料予註冊授權處理人；

5) 根據資訊系統審核結果，合理判斷個人或機構無法確保其服務能符合本法規範；

6) 個人或機構有欠稅、註冊或未繳納規費；

7) 法律規定之其他情況。

(2) 註冊授權處理人應透過郵寄或電子方式，通知個人或機構拒絕服務服務提供人之決定。

§ 36. 從註冊庫中刪除服務提供人

如服務提供人依本法第5章規定終止其服務，應將其自註冊庫中刪除。

§ 37. 存取註冊資料

(1) 註冊庫為公開資料。

(2) 註冊授權處理人應確保服務提供人能夠24小時存取註冊資料。

第6-1章 安全簽章產生器

§ 37-1. 安全簽章產生器的要求

(1) 安全簽章產生器為經修改之軟體或硬體（如：配備有安全晶片，用於儲存及使用私密金鑰之晶片卡）。

(2) 藉由適當技術及程序，安全簽章產生器應確保：

1) 用於建立簽章之私密金鑰實際上僅能出現1次，合理保證機密性；

2) 私密金鑰無法被當前技術破解，保護簽章不被偽造；

3) 私密金鑰能由合法簽章有效保護，防止他人使用。

(3) 安全簽章產生器不得更改需要簽章之資料，亦不得阻擋簽章前提供此類資料予簽章人。

第7章 服務提供人所有責任與保險

§ 38. 服務提供人所有責任

(1) 服務提供人對違反義務而造成之財產損害具責任。

(2) 如服務提供人以外第三人對本條第1項規定損害具責任，應共同承擔連帶責任。

§ 39. 服務提供人強制性保險

(1) 為確保本法第38條規定損害賠償，服務提供人應參與強制保險合約。

(2) 服務提供人應公開保險合約條件於公共資料通訊網絡。

第8章 承認外國憑證服務提供人製發之憑證、數位簽章與數位印章

§ 40. 外國憑證之承認

當下列條件至少符合一項時，外國憑證服務提供人製發之憑證應等同於本法規範憑證服務提供人製發之憑證：

1) 根據註冊主管處理人決定，外國憑證服務提供人合於本法規範；

2) 本法規範之憑證服務提供人為外國憑證提供人之憑證提供保證，並對憑證資料之正確性負責；

3) 外國憑證服務提供人製發之憑證由愛沙尼亞共和國簽署國際協議認可。

第9章 監督憑證服務提供人及時間戳記服務提供人

§ 41. 監督機構

(1) 經濟與通訊部應監督本法及相關法律規範之遵守情形。

(2) 註冊主管處理人應依《公開資訊法》規定程序監督註冊庫之維護。

(3) 資料庫管理與監督機構及資料保護機構，應依《公開資訊法》及《個人資料保護法》規定程序，監督註冊庫之維護及合法性。

§ 42. 執行監督

經濟與通訊部為監督符合本法與相關法律規範，有權：

1) 驗證資訊系統審核結果之正確性；

2) 進入服務提供場所，並於服務提供人代表在場時檢查有提供服務之文件；

3) 向中央機構、中央及地方政府資料庫調閱相關資料；

4) 服務提供人由於疏忽、初次違反本法或相關法律規範時，向服務提供人提出書面警告；

5) 服務提供人不回應本條第4項警告，或重複、意圖不執行本法或相關法律規範時，向服務提供人提出命令；

6) 不遵守本條第5項規定時，依《替代執行及罰款支付法》規定程序，處以最高3,200歐元罰緩；

7) 決定從註冊庫中刪除服務提供人，並將決定送交註冊授權處理人進行相應程序。

第10章 執行條款

§ 43. 執行數位簽章

(1) 政府應於本法生效時，建立並採用本法第32條第1項規定之註冊庫。

(2) 政府應於2001年3月1日前，為中央、地方政府機關、公法人之文件管理程序建立統一標準，允許於文件管理中使用數位簽章。

(3) 中央、地方政府機關、公法人應於2001年6月1日前依前項規定之文件管理程序標準，重新組織其文件管理。

(4) 經濟與通訊部長應於2000年10月1日前批准審核服務提供人資訊系統之程序。

§ 44. 批准註冊授權處理人與服務提供人的公開金鑰以及確定與其相對應私密金鑰的使用範圍

(1) 經濟與通訊部長應批准註冊授權處理人之公開金鑰，用於批准本法第33條第1項第1款規定憑證或時間戳記服務提供人之公開金鑰。部長應確定其對應私密金鑰之使用範圍。

(2) 註冊授權處理人應批准由憑證或時間戳記服務提供人為提供憑證或時間戳記服務使用之公開金鑰，並確定其對應私密金鑰之使用範圍。

§ 45. [本文省略]

§ 46. [本文省略]

§ 47. 本條文生效

本條文自2000年12月15日起生效