Zakon o digitalnem podpisu

Elektronsko podpisovanje mag. Janez Toplišek

Zakon o digitalnem podpisu (država Utah, ZDA)
Avtor prevoda: © mag. Janez Toplišek, maj 1996

Digitalno podpisovanje se je med mnogimi možnimi načini podpisovanja elektronskih sporočil uveljavilo kot eden najzanesljivejših načinov, kako zagotoviti pristnost elektronskih sporočil. Poleg te naloge - na papirju jo opravlja (manj zanesljivo) lastnoročni podpis - digitalni podpis zmore še več: prejemnik namreč ne more zatajiti, da je sporočilo prejel; registrirani digitalni podpis ima moč overjenega podpisa; lahko pa opravlja tudi druge naloge, ki si jih pri lastnoročnem podpisu ne moremo predstavljati.
Nasprotniki temu zakonu očitajo, da določa eno samo tehnologijo podpisovanja in da digitalno podpisovanje po tem zakonu terja obsežno pravno in tehnološko infrastrukturo, kar bi bilo negospodarno. Njegovi zagovorniki pojasnjujejo, da zakon ne posega v uveljavljena pravila o podpisovanju in da ne izključuje nobenega drugačnega načina podpisovanja elektronskih sporočil.
Zakon države Utah uvaja nove organizacijske in pravne prijeme; ti so neposredno ali posredno zelo zanimivi, saj zagotavljajo pravno zadostnost elektronskih sporočil. Največja vrednost pravno urejenega digitalnega podpisovanja pa je v tem, da zagotavlja vnaprejšnjo dokazno moč podpisa: dvom o podpisu mora dokazovati tisti, ki mu ne verjame. Tako je tudi pri lastnoročnem podpisu.
Bralec bo dojel vsebino zakona celoviteje, če bo prebral prispevek: J. Toplišek, Elektronski podpis. Zaradi omejenega prostora uradnih komentarjev k posameznim členom nismo prevajali. Kogar snov podrobneje zanima, naj si komentarje vsekakor ogleda. To velja tudi za izvedbene predpise k temu zakonu. Da bo spremljanje angleških obravnav digitalnega podpisovanja lažje, smo v členu 46-3-103, ki razlaga pojme, poleg slovenskih ohranili tudi izvirne ameriške pojme.

VIR: Besedilo zakona je prevedeno s soglasjem koordinatorja za digitalno podpisovanje v Ministrstvu za trgovino države Utah, ZDA, g. Georga Danielsona, e-pošta 4.3.1996, brsec.infoemail.state.ut.us. Zakon je prvi te vrste na svetu in velja od 1.5.1995; spremenili in dopolnili so ga 2.2.1996.

Zakon o digitalnem podpisu

Utah Digital Signature Act, Utah Code Annotated, Title 46, Chapter 3 (1996)

1. del: Skrajšani naslov, tolmačenje in definicije

46-3-101 Skrajšani naslov

Ta predpis bo navajan kot Zakon o digitalnem podpisu (Utah).

46-3-102 Namen in razlaga

Ta predpis naj se razlaga skladno s tem, kar je v danih okoliščinah gospodarsko razumno, in zaradi uveljavljanja teh namenov:
(1) spodbujati poslovanje s pomočjo zanesljivih elektronskih sporočil;
(2) zmanjšati možnosti za ponarejanje digitalnih podpisov in goljufij pri elektronskem poslovanju;
(3) pravno uveljaviti splošni pomen ustreznih standardov, kot je standard X.509 Mednarodne telekomunikacijske zveze (prej: Mednarodni telegrafski in telefonski posvetovalni komite ali CCITT); in
(4) uvesti, v sodelovanju z drugimi državami, enotna pravila glede zagotavljanja pristnosti in zanesljivosti elektronskih sporočil.

46-3-103 Razlage pojmov

Èe ni izrecno drugače nakazano, imajo za potrebe tega predpisa posamezni pojmi takšen pomen:
(1) "Sprejeti certifikat" (Accept a certificate) pomeni:
(a) strinjati se s certifikatom na podlagi dejstva, da je imetniku njegova vsebina znana oz. je z njo seznanjen;
ali
(b) zaprositi pooblaščenega izdajatelja za certifikat, ne da bi vložnik vlogo preklical ali razveljavil, če izdajatelj izda certifikat skladno z vlogo.

(2) "Asimetrično šifriranje" (Asymmetric cryptosystem) pomeni algoritem ali zaporedje algoritmov, ki zagotovijo zanesljiv par ključev.

(3) "Certifikat" (Certificate) pomeni računalniški zapis, ki:
(a) identificira izdajatelja certifikata;
(b) imenuje ali identificira naročnika;
(c) vsebuje naročnikov javni ključ; in
(d) ga je digitalno podpisal izdajatelj certifikata.

(4) "Izdajatelj certifikatov" (Certification authority) pomeni osebo, ki izda certifikat.

(5) "Registrski zapis izdajatelja certifikatov" (Certification authority disclosure record) pomeni sprotno, javno dostopen zapis registracije o izdajatelju certifikatov, ki ga hrani oddelek (op.: oddelek na ministrstvu, pristojen za registracijo firm - gl. tč. 11 teh razlag). Registrski zapis vsebuje podatke, ki jih določajo pravila oddelka, skladno s Sekcijo 46-3-104.

(6) "Splošni pogoji za izdajanje certifikatov" (Certification practice statement) pomenijo izjavo o splošnih postopkih in načinu dela pri izdajanju certifikatov.

(7) "Certificirati" (Certify) pomeni izjavo izdajatelja certifikata o materialnih dejstvih glede certifikata.

(8) "Preveriti" (Confirm) pomeni prepričati se na podlagi ustrezne poizvedbe in raziskave.

(9) "Ustrezati" (Correspond) pomeni v povezavi s ključema, da oba pripadata istemu paru.

(10) "Digitalni podpis" (Digital signature) pomeni pretvorbo sporočila z uporabo asimetričnega šifriranja tako, da lahko oseba, ki ima začetno sporočilo in podpisnikov javni ključ, natančno ugotovi:
(a) ali je bila pretvorba narejena z zasebnim ključem, ki ustreza podpisnikovemu javnemu ključu; in
(b) ali je bilo sporočilo po pretvorbi spremenjeno.

(11) "Oddelek" (Division) pomeni Oddelek za korporacije in trgovinsko pravo v Ministrstvu za trgovino države Utah.

(12) "Ponarediti digitalni podpis" (Forge a digital signature) pomeni:
(a) digitalno podpisati brez pooblastila upravičenega imetnika zasebnega ključa; ali
(b) narediti digitalni podpis, preverljiv s certifikatom, ki navaja kot naročnika osebo, ki:
(i) ne obstaja; ali
(ii) nima zasebnega ključa, ustrezajočega javnemu ključu, ki je naveden v certifikatu.

(13) "Imeti zasebni ključ" (Hold a private key) pomeni, da je oseba zmožna uporabiti zasebni ključ.

(14) "Vključiti s sklicevanjem" (Incorporate by reference) pomeni, da se eno sporočilo zajame v drugem, tako da je jasno označeno vključeno sporočilo in jasno izražen namen, da naj bo vključeno.

(15) "Izdati certifikat" (Issue a certificate) pomeni vsa dejanja izdajatelja v zvezi z izdelavo certifikata in obveščanjem naročnika o vsebini njegovega certifikata.

(16) "Par ključev" (Key pair) pomeni zasebni ključ in njegov ustrezajoči javni ključ pri asimetričnem šifriranju; z javnim ključem preverijo digitalni podpis, narejen z zasebnim ključem.

(17) "Pooblaščeni izdajatelj certifikatov" (Licensed certification authority) je izdajatelj, ki mu je veljavno pooblastilo za delovanje izdal oddelek.

(18) "Sporočilo" (Message) pomeni digitalno predstavljeno informacijo.

(19) "Obvestiti" (Notify) pomeni sporočiti neko dejstvo drugi osebi na tak način, da je možno razumno pričakovati, da bo druga oseba za informacijo zvedela.

(20) "Izvedbeno osebje" (Operative personnel) pomeni eno ali več fizičnih oseb, ki delujejo kot izdajatelji certifikatov ali njihovi zastopniki ali so zaposleni pri izdajatelju oz. so z njim pogodbeno povezani in:
(a) imajo vodstvene ali upravljalske odgovornosti za izdajatelja; ali
(b) so neposredno zadolženi za izdajanje certifikatov, izdelavo zasebnih ključev ali za upravljanje z izdajateljevo računalniško opremo.

(21) "Oseba" (Person) pomeni človeka ali organizacijo, ki je pravno ali dejansko zmožna podpisati listino.

(22) "Zasebni ključ" (Private key) pomeni enega v paru ključev, ki se uporablja za digitalno podpisovanje.

(23) "Javni ključ" (Public key) pomeni enega v paru ključev, ki se uporablja za preverjanje digitalnega podpisa.

(24) "Objaviti" (Publish) pomeni vnesti v register podpisov ali se registrirati v njem.

(25)"Priznana pravica do plačila" (Qualified right to payment) pomeni, da je pristojno sodišče v civilni pravdi zaradi kršitve tega predpisa zoper izdajatelja certifikata določilo odškodnino.

(26) "Prejemnik" (Recipient) je oseba, ki prejme ali že ima digitalni podpis, na katerega se lahko zanese.

(27) "Priznan register podpisov" (Recognized repository) pomeni register podpisov, ki ga priznava oddelek, skladno s Sekcijo 46-3-501.

(28) "Priporočena omejitev jamčevanja" (Recommended reliance limit) pomeni višino denarnega zneska, ki se priporoča za jamčevanje pri posameznem certifikatu, skladno s Sekcijo 46-3-309(1).

(29) "Register podpisov" (Repository) je sistem za shranjevanje in pregledovanje certifikatov in drugih pomembnih informacij o digitalnih podpisih.

(30) "Preklicati certifikat" (Revoke a certificate) pomeni trajno preklicati certifikat, od določenega časa dalje. Preklic se izvede z vpisom ali z vključitvijo v zbirko preklicanih certifikatov in ne zajema primerov, če so certifikati uničeni ali postanejo nečitljivi.

(31) "Upravičeno imeti zasebni ključ" (Rightfully hold a private key) pomeni biti zmožen uporabiti zasebni ključ:
(a) ki ga imetnik ali njegov zastopnik nista razkrila tretji osebi s kršitvijo Podsekcije 46-3-305(1); in
(b) ki ga imetnik ni pridobil s tatvino, prevaro, prisluškovanjem ali na kak drug nezakonit način.

(32) "Podpisnik" (Signer) je oseba, ki sporočilo digitalno podpiše.

(33) "Naročnik" (Subscriber) je oseba, ki:
(a) je navedena v certifikatu;
(b) sprejema certifikat; in
(c) ima zasebni ključ, ki ustreza javnemu ključu, navedenemu v certifikatu.

(34) (a)"Ustrezno jamstvo" (Suitable guaranty) pomeni garancijo, ki jo izda zavarovalnica, pooblaščena za delo v tej državi s strani Ministrstva za zavarovalništvo države Utah, ali nepreklicni akreditiv, ki ga je izdala finančna ustanova, pooblaščena za poslovanje v tej državi s strani Ministrstva za finančne ustanove; jamstvo mora v vsakem primeru v celoti izpolnjevati tele zahteve:
(i) je plačljivo oddelku v korist oseb, ki so pridobile pravice do plačila zoper pooblaščenega izdajatelja certifikatov, ki je naročnik garancije oz. zavezanec iz akreditiva;
(ii) glasiti se mora na znesek, ki ga je določil oddelek, skladno s Sekcijo 46-3-104;
(iii) navajati mora, da je izdano zaradi registracije po tem predpisu;
(iv) določa rok veljavnosti, ki ne sme biti krajši od časa, za katerega naj velja pooblastilo za delovanje izdajatelja certifikatov; in
(v) ima obliko, določeno s pravili oddelka.

(b) Dopustna je tudi garancija, ki navaja skupni letni znesek jamčevanja, do katerega izdajatelj jamči.

(c) Finančna ustanova, ki deluje kot izdajatelj certifikatov, lahko zadosti zahtevam te podsekcije na podlagi premoženja ali kapitala - do višine posojilnega limita, ki ga določa Naslov 7 Zakona o finančnih ustanovah.

(35) "Zadržati certifikat" (Suspend a certificate) pomeni od določenega časa dalje začasno razveljaviti certifikat.

(36) "Èasovno žigosanje" (Time-stamp) pomeni:
(a) dodati ali priključiti k sporočilu, digitalnemu podpisu ali certifikatu digitalno podpisan zapis, ki kaže najmanj datum in čas, ko je bil zapis dodan/priključen, in ki razkriva osebo, ki je zapis izvedla; ali
(b) sam dodan/priključen zapis.

(37) "Certifikat za določen posel" (Transactional certificate) pomeni certifikat, ki se nanaša na digitalne podpise v določenem poslu (prenosu) ali v določenem številu poslov.

(38) "Verodostojen sistem" (Trustworthy system) pomeni računalniške naprave in programe, ki:
(a) so razumno varni pred vdorom in zlorabo;
(b) zagotavljajo razumno raven dosegljivosti, zanesljivosti in dobro delovanje; in
(c) so razumno opremljeni za opravljanje svojega namena.

(39) (a) "Veljaven certifikat" (Valid certificate) je certifikat, ki:
(i) ga je izdal pooblaščen izdajatelj;
(ii) ga je sprejel v certifikatu navedeni naročnik;
(iii) ni bil preklican ali zadržan; in
(iv) mu ni potekel rok veljavnosti.

(b) Certifikat za določen posel je veljaven le glede digitalnih podpisov, na katere se nanaša.

(40) "Potrditi digitalni podpis" (Verify a digital signature) pomeni, v povezavi z danim digitalnim podpisom, sporočilom in javnim ključem, zanesljivo ugotoviti, da:
(a) je bil digitalni podpis narejen z zasebnim ključem, ki ustreza javnemu ključu;
(b) sporočilo od trenutka, ko je bil narejen digitalni podpis, ni bilo spremenjeno.

46-3-104 Vloga oddelka

(1) Oddelek bo tudi izdajatelj certifikatov; le-ta jih lahko izdaja, zadrži in preklicuje na način, ki je predpisan za pooblaščene izdajatelje v 3. delu tega poglavja.

(2) Oddelek bo vzdrževal javno dostopno zbirko registrskih zapisov izdajateljev certifikatov. Oddelek bo objavil vsebino zbirke v vsaj enem pooblaščenem registru podpisov.

(3) Skladno z Naslovom 63, Poglavje 46a, upravnega predpisa (Utah Administrative Rulemaking Act) bo oddelek izdelal podrobnejša pravila, ki jih zahteva ta predpis in njegovo izvajanje, vključno:

(a) pravila o pooblaščenih izdajateljih certifikatov, njihovem delovanju in o prenehanju dela;
(b) določil bo višino zadostnega jamčevanja;
(c) za pregledovanje programske opreme, ki se uporablja za izdelavo digitalnih podpisov, in objavljanje poročil o programski opremi;
(d) določa razumne zahteve glede oblike certifikatov, ki jih izdajajo pooblaščeni izdajatelji, skladno s splošno sprejetimi standardi za certifikate digitalnih podpisov;
(e) opredeli razumne zahteve za hrambo zapisov pri izdajateljih certifikatov;
(f) opredeli razumne zahteve glede vsebine, oblike in virov informacij v registrskem zapisu izdajatelja, obnavljanja in časovne veljavnosti teh informacij in drugih postopkov ter načel glede registrskih zapisov izdajateljev; in
(g) opredeli obliko za splošne pogoje poslovanja izdajateljev.

2.del: Izdajanje pooblastil in urejanje dela izdajateljev certifikatov

46-3-201 Dajanje pooblastil in pogoji za izdajatelje certifikatov

(1) Za to, da se pooblastilo pridobi in ohrani, mora izdajatelj certifikatov:
(a) biti podpisnik certifikata, objavljenega v priznanem registru podpisov;
(b) zaposlovati kot izvedbeno osebje le tiste osebe, ki niso bile obsojene zaradi kaznivih dejanj v zvezi z goljufijo, lažno izjavo ali prevaro;
(c) zaposlovati kot izvedbeno osebje le tiste osebe, ki so izpričale znanje in sposobnost v zadevah tega predpisa;
(d) predložiti oddelku ustrezno garancijo, razen če je izdajatelj guverner, ministrstvo ali vladni oddelek, državni tožilec, sodni svet, mesto, občina ali parlament ali njegovi uradi - pod pogojem, da:
(i) vsak od zgoraj imenovanih državnih organov deluje prek imenovanih uradnih oseb, ki so po pravilniku, poslovniku ali statutu pristojne opravljati naloge izdajatelja certifikatov; in
(ii) je eden od zgoraj imenovanih državnih organov podpisnik vseh certifikatov, ki jih izda izdajatelj;

(e) imeti možnost uporabljati verodostojen sistem, vključno z zanesljivim načinom, s katerim se nadzira uporaba lastnega zasebnega ključa;
(f) predložiti oddelku dokaz, da ima skladno s pravili oddelka razumno zadostna obratna sredstva, ki mu omogočajo opravljati posle izdajatelja certifikatov;
(g) imeti urad v Utahu ali registriranega zastopnika za opravljanje dejavnosti v Utahu; in
(h) ustrezati vsem drugim zahtevam za pridobitev pooblastila, skladno s pravili oddelka.

(2) Oddelek bo izdal pooblastilo izdajatelju, ki:
(a) izpolnjuje pogoje iz Podsekcije (1);
(b) pisno zaprosi oddelek za pridobitev pooblastila; in
(c) plača zahtevano pristopnino.

(3) (a) Oddelek lahko izdana pooblastila razvršča in izdaja glede na določene omejitve, kot so: največje število odprtih certifikatov, skupna največja priporočena meja jamčevanja v izdanih certifikatih, ali izdajanje certifikatov zgolj znotraj posamezne firme ali organizacije.
(b) Izdajatelj certifikatov deluje ko nepooblaščen izdajatelj, če pri izdaji certifikata prekorači meje jamčevanja iz pooblastila.

(4) (a) Oddelek sme razveljaviti ali začasno zadržati pooblastilo izdajatelju, ki ne izpolnjuje zahtev iz tega predpisa ali ne izpolnjuje več zahtev iz Podsekcije (1).

(b) Dejanja oddelka iz te podsekcije se vodijo po Zakonu o upravnem postopku (postopek iz Naslova 63, Poglavje 46b).

(5) Oddelek lahko skladno s pravili odobri izdajati pooblastila ali dovoljenja za izdajatelje certifikatov drugim državnim organom, pod pogojem, da so njihove zahteve glede pooblastil ali dovoljenj v bistvu podobne predpisu te države. Èe je izdajanje pooblastil priznano drugim državnim organom, potem:

(a) četrti del tega predpisa, ki se nanaša na domneve in pravne učinke, velja tudi glede certifikatov izdajateljev, katerim je pooblastilo ali dovoljenje izdal tak državni organ, in sicer na enak način, kot velja to za pooblaščene izdajatelje certifikatov v tej državi; in

(b) omejitve jamčevanja po Sekciji 46-3-309 veljajo tudi za izdajatelje, ki jih je pooblastil ali jim je izdal dovoljenje tak državni organ, in sicer na enak način, kot to velja za pooblaščene izdajatelje certifikatov v tej državi.

(6) Èe se pogodbenika ne dogovorita drugače, potem zahteve glede izdajanja pooblastil iz te sekcije ne vplivajo na učinek, pravno moč ali veljavnost katerega koli drugega digitalnega podpisa. Èetrti del tega predpisa se ne uporablja za digitalni podpis, ki ga ni možno preveriti s certifikatom pooblaščenega izdajatelja. Za nepooblaščene izdajatelje se tudi ne uporabljajo meje jamčevanja iz Sekcije 46-3-309.

46-3-202 Nadzor in spremljanje dela izdajateljev

(1) Revizor, ki ima izkušnje na področju računalniške varnosti, ali pooblaščeni strokovnjak za računalniško varnost bo najmanj enkrat letno nadziral delovanje vseh pooblaščenih izdajateljev. Preverjal bo, ali delujejo skladno z določbami tega predpisa. Oddelek lahko skladno s pravili določi podrobnejše zahteve za revizorje.

(2) (a) Revizor na podlagi zbranih revizijskih informacij uvrsti pooblaščenega izdajatelja - glede na to, ali izpolnjuje zahteve - v eno od teh skupin:

(i) polna skladnost: videti je, da izdajatelj certifikatov izpolnjuje vse ustrezne zakonske in druge zahteve;

(ii) vsebinska skladnost: videti je, da izdajatelj certifikatov na splošno izpolnjuje vse ustrezne zakonske in druge zahteve; najden je bil le eden ali več primerov, ko le-te niso bile neizpolnjene ali iz pregledanega vzorca ni bilo možno ugotoviti, da izpolnjuje zahteve, vendar je vse to verjetno nebistveno;

(iii) delna skladnost: videti je, da izdajatelj izpolnjuje nekatere zakonske in druge zahteve, a je bilo ugotovljeno, da ne izpolnjuje vseh zahtev ali ne more izkazati izpolnjevanja enega ali več pomembnih jamstev; ali

(iv) neskladnost: izdajatelj izpolnjuje le nekatere ali celo nobenih zakonskih in drugih zahtev, nima ustreznih zapisov, ki bi izkazovali, da izpolnjuje več zahtev, ali je zavrnil, da bi jih predložil revizorju.

(b) Revizor poroča oddelku o datumu pregleda izdajatelja certifikatov in o rezultatu njegove uvrstitve.

(3) (a) Oddelek lahko izvzame pooblaščenega izdajatelja certifikatov glede zahtev Podsekcije (1):

(i) če to izdajatelj certifikatov zahteva pisno;

(ii) če je predhodni pregled pri izdajatelju pokazal, da je njegovo poslovanje popolnoma skladno z zahtevami predpisov; in

(iii) če izdajatelj certifikatov pod prisego ali s potrdilom izjavi, da je resnično eno ali več naslednjih dejstev:

(A) izdajatelj je v preteklem letu izdal manj kot šest certifikatov in skupna višina priporočenih jamstev zanje ni presegla 10.000 $;

(B) skupni čas veljavnosti vseh izdanih certifikatov v preteklem letu je manjši kot 30 dni in skupna višina priporočenih jamstev zanje ni presegla 10.000 $; ali

(b) Èe izdajateljeva izjava v zvezi s Podsekcijo (3)(a) navaja napačna materialna dejstva, se šteje, kot da izdajatelj certifikatov ni izpolnil zahtev nadzora, predpisanih v tej podsekciji.

(c) Èe je bil izdajatelj certifikatov skladno s to podsekcijo izvzet pri nazoru, oddelek v v registrskem zapisu izdajatelja objavi, da je bil le-ta izvzet glede zahtevanega nadzora.

46-3-203 Zagotavljanje zahtev za izdajatelje certifikatov

(1) Oddelek sme preverjati dejavnost pooblaščenega izdajatelja certifikatov glede njegove skladnosti s tem predpisom in sme v zvezi s tem ustrezno ukrepati.

(2) Kot predvideva Sekcija 46-3-201, sme oddelek omejiti izdajateljevo pooblastilo, če le-ta ne deluje skladno z odredbo oddelka, lahko pa tudi začasno zadrži ali razveljavi izdajateljevo pooblastilo.

(3) Katera koli oseba, ki zavestno ali namenoma prekrši odredbo oddelka, izdano po tej sekciji ali po Sekciji 46-3-204, bo kaznovana s civilno kaznijo do 5.000 $ za posamezno kršitev ali 90% priporočene višine jamčevanja za zadevne certifikate - kar je manj.

(4) Oddelek lahko naloži izdajatelju certifikatov, ki krši ta predpis, plačilo stroškov, ki jih je imel oddelek ob preverjanju in uveljavljanju odredbe.

(5) Skladno z Naslovom 63, Poglavje 46b Zakona o upravnem postopku:

(a) bo oddelek opravljal svoje pristojnosti iz te sekcije po upravnem postopku;

(b) pooblaščeni izdajatelj ima možnost zahtevati sodni nadzor nad oddelkovimi ukrepi iz te sekcije; in

(c) če oddelek predlaga sodno posredovanje, kot je predvideno v Sekciji 46-3-204, da bi dosegel izvršitev svojih odredb, lahko zahteva pokritje stroškov uveljavljanja, kot je predvideno v Podsekciji 63-46(b)-19(1)(d)(iii).

46-3-204 Tvegane dejavnosti izdajatelja certifikatov niso dovoljene

(1) Ne glede na to ali je izdajatelj certifikatov pooblaščen ali ne, svojega poslovanja ne sme opravljati na način, ki bi lahko povzročil nerazumno tveganje izgube njegovim naročnikom, osebam, ki se zanašajo na izdane certifikate ali registru podpisov.

(2) (a) Oddelek lahko v enem ali več priznanih registrih podpisov objavi kratka obvestila z nasveti naročnikom, osebam, ki se na digitalne podpise zanašajo, in registrom podpisov, in sicer nasvete v zvezi s katerimi koli dejavnostmi pooblaščenih ali nepooblaščenih izdajateljev certifikatov, znanimi oddelku, ki bi pomenile nedovoljeno tveganje glede na Podsekcijo (1).

(b) V obvestilu imenovani izdajatelj certifikatov, ki naj bi povzročal tveganje, lahko ugovarja objavi s kratkim pisnim ugovorom. Po prejemu takšnega ugovora bo oddelek:

(i) objavil pisni ugovor skupaj z izjavo oddelka;

(ii) objavil, da je razpisana obravnava, na kateri se bodo ugotavljala dejstva in odločitve o zadevi; in

(iii) nemudoma obvestil o tem ugovarjajočega izdajatelja ter določil obravnavo, kot je predpisano v Naslovu 64, Poglavje 46b Zakona o upravnem postopku.

(A) odstopil od izjave, če bi bila njena objava po tej sekciji neutemeljena;

(B) preklical izjavo, če njena objava ni več utemeljena;

(D) ukrepal kako drugače, da bi odpravil ali zmanjšal nedovoljeno tveganje po Podsekciji (1).

(ii) Oddelek bo svojo odločitev objavil v enem ali več priznanih registrih podpisov.

(3) Kot predvideva Naslov 63, Poglavje 46b Zakona o upravnem postopku, sme oddelek izdajati odredbe in predlagati sodno varstvo ali drugo civilno varstvo, da bi preprečil ali ustavil izdajatelja pri kršenju te sekcije - ne glede na to, ali je izdajatelj certifikatov pooblaščen. Ta sekcija ne daje pravice ukrepati drugi osebi, razen oddelku.

3. del: Obveznosti izdajateljev certifikatov in naročnikov

46-3-301 Splošne zahteve za izdajatelje certifikatov

(1) Pooblaščeni izdajatelj certifikatov ali naročnik morata uporabljati le verodostojen sistem:

(a) za izdajanje, začasno zadržanje ali preklic certifikata;

(b) za objavljanje ali obveščanje o izdaji, začasnem zadržanju ali preklicu certifikata; in

(2) Pooblaščeni izdajatelj certifikatov bo razkril gradiva o splošnih pogojih poslovanja in druga gradiva o dejstvih, ki se nanašajo na zanesljivost izdanega certifikata ali na opravljanje njegove dejavnosti. Izdajatelj sme zahtevati kot pogoj za razkritje iz te podsekcije podpisano, pisno in razumno podrobno vlogo znane osebe ter plačilo razumnega nadomestila.

46-3-302 Izdaja certifikata

(1) Pooblaščeni izdajatelj sme naročniku izdati certifikat, ko so izpolnjeni tile pogoji:

(a) izdajatelj od bodočega podpisnika prejme zahtevek za izdajo; in

(b) izdajatelj ugotovi:

(i) da je bodoči podpisnik oseba, ki naj bi bila navedena v izdanem certifikatu;

(ii) če bodoči podpisnik deluje preko enega ali več zastopnikov: da je pooblastil zastopnika ali zastopnike za skrbništvo nad naročnikovim podpisom in za zahtevek za izdajo certifikata ter navedel ustrezni javni ključ;

(iii) da je informacija v certifikatu, ki naj bo izdan, točna, s tem da je upoštevana potrebno vestnost;

(iv) da je bodoči podpisnik upravičen imetnik zasebnega ključa, ustrezajočega javnemu ključu, ki naj bo omenjen v certifikatu;

(v) da bodoči podpisnik ima zasebni ključ, ki je primeren za digitalno podpisovanje; in

(vi) da je javni ključ, ki naj bi bil omenjen v certifikatu, možno uporabiti za preverjanje digitalnega podpisa, narejenega z zasebnim ključem, ki ga ima bodoči podpisnik.

(2) (a) Èe naročnik sprejme izdani certifikat, izdajatelj objavi podpisano kopijo certifikata v priznanem registru podpisov, za katerega se sporazumeta izdajatelj in v certifikatu imenovani naročnik, razen če pogodba med njima ne predvideva drugače.

(b) Èe naročnik ne sprejme certifikata, pooblaščeni izdajatelj certifikata ne objavi oz. njegovo objavo prekliče, če je že bil objavljen.

(3) Ničesar v tej sekciji ne izključuje tega, da pooblaščeni izdajatelj certifikata ne bi deloval v skladu s standardi, splošnimi pogoji poslovanja, varnostnimi načrti ali s strožjimi pogodbenimi določili, ki bi bili sicer skladni s tem predpisom.

(4) (a) Pooblaščeni izdajatelj, ki je izdal certifikat:

(i) bo preklical certifikat takoj, ko bo ugotovil, da ni bil izdan v skladu s to sekcijo; ali

(ii) lahko zadrži izdani certifikat za razumno obdobje, vendar ne dlje kot 48 ur, če je to potrebno zato, da se raziščejo razlogov za preklic po Podsekciji (i).

(b) Izdajatelj bo s preklicem ali začasnim zadržanjem nemudoma seznanil naročnika.

(5) (a) Oddelek sme pooblaščenemu izdajatelju odrediti, da začasno zadrži ali prekliče izdani certifikat. Pred tem mora primerno obvestiti izdajatelja in naročnika ter jima omogočiti obravnavo po Zakonu o upravnem postopku (Naslov 63, Poglavje 46b). Oddelek ravna tako, če ugotovi:

(i) da izdani certifikat ni vsebinsko skladen s to sekcijo, in

(ii) da neskladnost pomeni znatno tveganje za osebe, ki se razumno zanašajo na certifikat.

(b) Oddelek sme certifikat zadržati za razumno obdobje, vendar ne dlje kot 48 ur, če ugotovi, da ga je treba nujno preklicati - skladno z Naslovom 63, Poglavje 46b Zakona o upravnem postopku.

46-3-303 Garancija in obveznosti izdajatelja certifikata po njegovi izdaji

(1) (a) Pooblaščeni izdajatelj z izdajo certifikata jamči naročniku, navedenemu v certifikatu:

(i) da certifikat ne vsebuje informacij, za katere bi izdajatelj vedel, da so neresnične;

(ii) da je certifikat v skladu z materialnimi določbami tega predpisa, in

(iii) da izdajatelju ni poteklo pooblastilo za izdajanje certifikatov.

(b) Izdajatelj certifikata se ne more odreči jamčevanju po tej Podsekciji, niti ga ne more omejiti.

(2) Èe se naročnik in izdajatelj certifikata ne dogovorita drugače, bo izdajatelj:

(a) nemudoma ukrepal in začasno zadržal ali preklical certifikat, skladno s Sekcijama 46-3-306 in 46-3-307, in

(b) v razumnem času obvestil naročnika o dejstvih, ki so znana izdajatelju in ki pomembno vplivajo na veljavnost ali zanesljivost izdanega certifikata.

(3) Z izdajo certifikata pooblaščeni izdajatelj potrjuje vsakomur, ki se razumno zanaša na informacije, vsebovane v certifikatu:

(a) daso informacije v certifikatu, ki so navedene kot preverjene s strani izdajatelja, točne;

(b) da so vse predvidljive informacije glede zanesljivosti certifikata navedene v certifikatu ali pa se le-ta nanje sklicuje;

(d) da je pooblaščeni izdajatelj upošteval vse ustrezne predpise te države, ki urejajo izdajanje certifikatov.

(4) S tem da pooblaščeni izdajatelj certifikat objavi, potrjuje registru podpisov, v katerem je certifikat objavljen, in vsem, ki se razumno zanašajo na informacije iz certifikata, da ga je izdal naročniku.

46-3-304 Navajanje podatkov in naročnikove obveznosti po sprejemu certifikata

(1) S sprejemom certifikata, ki ga je izdal pooblaščeni izdajatelj, naročnik, naveden v certifikatu, potrjuje vsem, ki se razumno zanašajo na informacije v certifikatu:

(a) da je naročnik zakoniti nosilec zasebnega ključa, ki ustreza javnemu ključu, omenjenemu v certifikatu;

(b) da so vse naročnikove navedbe izdajatelju in gradiva v zvezi z informacijami, ki so omenjene v certifikatu, resnične;

(c) da so vse naročnikove navedbe izdajatelju ali tiste, omenjene v certifikatu, ki jih izdajatelj certifikata ni preveril, resnične.

(2) Zastopnik, ki s pooblastilom zastopanega zahteva izdajo certifikata in pri tem navede zastopanega kot podpisnika, potrjuje:

(a) da ima vsa potrebna zakonita pooblastila za vlogo, s katero zahteva izdajo certifikata za zastopanega kot podpisnika, in

(b) da je pooblaščen digitalno podpisati za naročnika in da, če je to pooblastilo kakor koli omejeno, obstajajo ustrezna varovala, ki preprečujejo, da bi z digitalnim podpisom prekoračil meje svojega pooblastila.

(3) Nihče se ne more odreči uporabi te sekcije ali jo pogodbeno omejiti, niti se ne sme zavarovati zoper njene učinke, če odrekanje, omejitev ali zavarovanje škode zmanjšuje odgovornost za napačno navajanje podatkov glede oseb, ki se razumno zanašajo na certifikat.

(4) (a) S sprejemom certifikata se naročnik obveže, da bo izdajatelju povrnil kakršno koli izgubo ali škodo, ki bi z izdajo ali objavo certifikata nastala zaradi zanašanja na naročnikove napačne/krive podatke, ali zato, ker bi naročnik prikrival materialna dejstva in bi z navajanjem ali prikrivanjem nameraval prevarati izdajatelja certifikata ali osebo, ki se zanaša na certifikat, ali če je bilo to storjeno iz malomarnosti.

(b) Èe izdajatelj izdaja certifikat na zahtevo naročnikovega zastopnika, je zastopnik osebno in neposredno odgovoren za škodo, ki bi jo po Podsekciji (a) utrpel izdajatelj, enako kot naročnik. Povrnitve škode iz Podsekcije (a) ni mogoče zavarovati ali je pogodbeno omejiti glede obsega, vendar pogodba sme predvideti dodatne dovoljene pogoje glede povrnitve škode.

(5) Ko izdajatelj pridobiva naročnikove informacije za izdajo certifikata, sme od njega zahtevati, da pod prisego ali s potrdilom in pod kazensko odgovornostjo jamči za točnost ali resničnost informacij in da ne gre za krivo izjavo.

46-3-305 Nadzor nad zasebnim ključem

(1) S sprejemom certifikata, ki ga izda pooblaščeni izdajatelj, v certifikatu navedeni naročnik prevzema dolžnost, da bo z razumno skrbnostjo ohranil nadzor nad zasebnim ključem in preprečil njegovo razkritje drugi osebi, ki ni pooblaščena narediti naročnikovega digitalnega podpisa.

(2) Zasebni ključ je osebna, zakonita naročnikova last.

(3) Èe zasebni ključ, ki ustreza v certifikatu navedenemu javnemu ključu, hrani izdajatelj, ga hrani kot zaupnik naročnika, navedenega v certifikatu, in ga sme uporabiti le z naročnikovo vnaprejšnjo pisno odobritvijo; razen če ga naročnik izrecno ne prepusti izdajatelju in mu ga izrecno dovoli hraniti skladno z drugačnimi pogoji.

64-3-306 Začasno zadržanje certifikata -- Kazenska odgovornost

(1) (a) Èe se izdajatelj certifikata in naročnik ne dogovorita drugače, sme pooblaščeni izdajatelj izdani certifikat - razen tistega za določeni posel - začasno zadržati, vendar za največ 48 ur:
(i) na podlagi zahteve v certifikatu imenovanega naročnika ali osebe, ki zaradi svojega položaja lahko ve za ogroženo varnost naročnikovega zasebnega ključa, kot npr. zastopnik, poslovni družabnik, zaposleni ali član naročnikove ožje družine, ali
(ii) po odredbi oddelka, skladno s Podsekcijo 46-3-302(5).

(b) Izdajatelj certifikata ni dolžan preveriti istovetnosti ali zastopništva osebe, ki zahteva začasno zadržanje po Podsekciji (1)(a)(i).

(2) (a) Èe certifikat ne predvideva drugače ali gre za certifikat za določen posel, sme oddelek, sodni ali okrožni uradnik začasno zadržati certifikat pooblaščenega izdajatelja za 48 ur, in sicer:
(i) če zahteva zadržanje oseba, ki se identificira kot v certifikatu imenovani naročnik ali njegov zastopnik, poslovni družabnik, zaposleni ali član njegove ožje družine, in
(ii) če zahtevajoči navede, da izdajatelj certifikata ni dosegljiv.

(b) Oddelek, sodni ali okrožni uradnik sme:
(i) zahtevati, da oseba, ki zahteva zadržanje po Podsekciji (2)(a), predloži dokaze, vključno izjavo pod prisego ali potrdilo glede informacij, opisanih v Podsekciji (2)(a); in
(ii) po lastni oceni certifikat začasno zadržati ali zadržanje zavrniti.

(c) Oddelek ter državni ali okrožni tožilec smejo raziskati začasna zadržanja, ki jih opravijo oddelek, sodni ali okrožni uradnik, če gre za možne nepravilnosti oseb, ki so zahtevale začasno zadržanje po Podsekciji (2)(a).

(3) (a) Takoj zatem, ko pooblaščeni izdajatelj začasno zadrži certifikat, mora le-ta objaviti podpisano obvestilo o začasnem zadržanju, in sicer v registrih podpisov, ki so v certifikatu navedeni za objavo zadržanja. Èe v certifikatu navedenega registra ni več ali ali le-ta zavrne objavo obvestila ali pa ni več priznan po Sekciji 46-3-501, pooblaščeni izdajatelj obvestilo objavi v katerem koli priznanem registru podpisov.

(b) Èe certifikat zadrži oddelek, sodni ali okrožni uradnik, potem le-ti objavijo obvestilo po Podsekciji (3)(a) namesto pooblaščenega izdajatelja, s tem da oseba, ki zahteva zadržanje, vnaprej plača morebitne stroške, ki jih za objavo zadržanja zahteva register podpisov.

(4) Izdajatelj sme prekiniti zahtevano zadržanje certifikata le:
(a) če prekinitev zahteva v zadržanem certifikatu imenovani naročnik in izdajatelj preveri, da to zahteva naročnik ali njegov zastopnik, ki je pooblaščen zahtevati prekinitev zadržanja certifikata, ali
(b) če izdajatelj ugotovi in potrdi, da je bil dan zahtevek za začasno zadržanje certifikata brez pooblastila naročnika, če ta podsekcija ne zahteva od izdajatelja, da mora zahtevek za zadržanje preveriti.

(5) Pogodba med naročnikom in pooblaščenim izdajateljem lahko omeji ali izključi možnost začasnega zadržanja s strani izdajatelja ali lahko predvidi kaj drugega glede prekinitve zahtevanega zadržanja. Èe pogodba omejuje ali izključuje zadržanje, ki bi ga zahteval oddelek, sodni ali okrožni uradnik - kadar je izdajatelj nedosegljiv, takšna omejitev ali izključitev velja le, če je izrecno navedena v certifikatu.

(6) Oseba ne sme izdajatelju certifikata vede ali namenoma lažno predstavljati svoje istovetnosti ali pooblastila za zahtevano zadržanje certifikata. Kršitev te podsekcije je prekršek razreda B.

(7) Medtem ko je certifikat začasno zadržan, je naročnik odvezan dolžnosti glede varnega ravnanja po Podsekciji 46-3-305(1).

46-3-307 Preklic certifikata

(1) Pooblaščeni izdajatelj bo preklical izdani certifikat, če ni certifikat za en posel:
(a) ko bo prejel zahtevek za preklic od naročnika, imenovanega v certifikatu; in
(b) ko bo ugotovil, da je oseba, ki zahteva preklic, resnični naročnik ali njegov zastopnik, ki ima pooblastilo zahtevati preklic.

(2) Pooblaščeni izdajatelj bo preveril zahtevek za preklic certifikata in ga izvedel v roku enega delovnega dne po prejemu naročnikove pisne zahteve in ko bo imel zadostne dokaze glede prave istovetnosti in morebitnega pooblastila osebe, ki zahteva preklic.

(3) Pooblaščeni izdajatelj bo preklical izdani certifikat:
(a) ko bo prejel overjeno kopijo potrdila o naročnikovi smrti, ali po tem, ko bo na drug zanesljiv način ugotovil, da je naročnik mrtev; ali
(b) na podlagi predloženih listin v zvezi z likvidacijo naročnika, ali če bo na drug zanesljiv način ugotovil, da je bil naročnik ukinjen ali je prenehal obstajati.

(4) Pooblaščeni izdajatelj sme preklicati enega ali več izdanih certifikatov, če so nezanesljivi ali takšni postajajo, ne glede na to, ali se naročnik s preklicem strinja.

(5) Takoj po preklicu certifikata pooblaščeni izdajatelj objavi podpisano obvestilo o preklicu v katerem koli od registrov podpisov, ki so v certifikatu navedeni za objavljanje obvestil o preklicu. Èe noben od registrov, navedenih v certifikatu, ne obstaja več, ali zavrnejo sprejem objave, ali niso več priznani skladno s Sekcijo 46-3-501, pooblaščeni izdajatelj objavi obvestilo v katerem koli priznanem registru podpisov.

(6) Glede na certifikat, katerega preklic je zahteval, naročnik preneha zagotavljati informacije, kot je predvideno v Sekciji 46-3-304, in ni več dolžan zagotavljati varne hrambe zasebnega ključa, kot zahteva sekcija 46-3-305, začenši s trenutkom, ko:
(a) je skladno s Podsekcijo (5) objavljeno obvestilo o preklicu; ali
(b) dva delovna dneva po tem, ko je naročnik pisno zahteval preklic in je izdajatelju dostavil razumno zadostne informacije za preveritev zahteve ter plačal morebitno pogodbeno predvideno pristojbino.

(7) Na podlagi obvestila o preklicu, skladno s Podsekcijo (5), je pooblaščeni izdajatelj odvezan svojega jamčevanja, ki izhaja iz izdaje preklicanega certifikata, in preneha glede na preklicani certifikat preverjati informacije, kot predvideva Sekcija 46-3-303.

46-3-308 Potek veljavnosti certifikata

Certifikat vsebuje datum, ko poteče njegova veljavnost. Ko certifikat preneha veljati, naročnik in izdajatelj ne preverjata več informacij iz certifikata, kot določa ta predpis, in izdajatelj je odvezan svojih dolžnosti v zvezi z izdajo tega certifikata.

46-3-309 Priporočene omejitve zanesljivosti in jamčevanja

(1) Z omejitvijo priporočene zanesljivosti izdajatelj in naročnik priporočata, da se druge osebe zanašajo na certifikat le do zneska tveganja, ki ne presega priporočene meje zanesljivosti.

(2) Èe se pooblaščeni izdajatelj odpove uporabi te podsekcije:

(a) ne jamči za izgubo, ki bi nastala iz zanašanja na lažen ali ponarejen naročnikov digitalni podpis, če je izdajatelj glede takšnega digitalnega podpisa storil vse, kar predpisujejo materialne določbe tega predpisa;

(b) ne jamči za znesek nad višino, navedeno v certifikatu, ki pomeni njegovo priporočeno omejitev zanesljivosti zaradi katere od teh škod:
(i) izgube zaradi zanašanja na netočne podatke v certifikatu, ki jih je pooblaščeni izdajatelj dolžan preverjati; ali
(ii) izdaje certifikata v nasprotju z določbami Sekcije 46-3-302;

(c) je odgovoren le za neposredno, dejansko škodo, nastalo zaradi zanašanja na certifikat, ki pa ne zajema:
(i) eksemplarične (kaznovalne) odškodnine;
(ii) škode zaradi izgubljenega dobička, prihrankov ali priložnosti; ali
(iii) neimovinske škode (bolečine, trpljenje).

46-3-310 Vnovčenje ustrezne garancije

(1) (a) Ne glede na morebiten pridržek v ustrezni garanciji:
(i) če je garancija obveznica, lahko oseba zahteva povrnitev polnega zneska priznanega plačila od principala, imenovanega v obveznici, ali, če je več kot eno priznano plačilo v času veljavnosti obveznice, sorazmeren del, vse do skupne višine jamčevanja, ki je enako znesku obveznice; ali
(ii) če je garancija akreditivno pismo, lahko oseba zahteva povrnitev v breme stranke, navedene v akreditivu, pri izdajatelju - finančni ustanovi, in sicer polni znesek priznanega plačila, ali, če je več kot eno priznano plačilo v času veljavnosti akreditiva, sorazmeren del, vse do skupne višine jamčevanja izdajatelja akreditiva, ki je enaka znesku akreditiva.

(b) Terjalec sme zahtevati povrnitev postopoma iz iste ustrezne garancije, s tem da skupno jamčevanje iz garancije vsem terjalcem priznanih plačil v času veljavnosti garancije ne more preseči zneska garancije.

(2) Dodatno k povrnitvi zneska priznanega plačila sme terjalec iz uveljavljane garancije do njenega izčrpanja uveljavljati tudi razumne stroške odvetnika in sodne stroške, ki jih je imel pri vnovčevanju svoje terjatve, s tem da skupno jamčevanje iz garancije vsem terjalcem priznanih plačil oz. povrnitve odvetniških in sodnih stroškov v času trajanja garancije, ne presega zneska ustrezne garancije.

(3) Da bi uveljavil priznano pravico do plačila iz poroštva ali zoper izdajatelja ustrezne garancije, mora terjalec vložiti pisno zahtevo pri oddelku; navesti mora ime in naslov terjalca, terjani znesek, pravni naslov za pridobljeno pravico do plačila in druge podatke, ki jih zahteva oddelek.

(4) Povrnitev priznanega plačila iz uveljavljanja ustrezne garancije je dopustna le:
(a) če so bistveni deli zahtevka skladni s Podsekcijo (3); in
(b) če je zahtevek vložen v roku dveh let po kršitvi tega predpisa, ki je podlaga za zahtevek.

4. del: Učinek digitalnega podpisa

46-3-401 Priznanje pravno zadostnega podpisa

(1) Kadar pravno pravilo zahteva podpis ali predvideva določene posledice, če podpisa ni, digitalni podpis izpolnjuje tele zahteve:
(a) če je tak digitalni podpis preverjen v povezavi z javnim ključem, navedenim v veljavnem certifikatu, ki ga je izdal pooblaščeni izdajatelj;
(b) če je tak digitalni podpis naredil podpisnik z namenom, da bi podpisal sporočilo; in
(c) če prejemnik ne ve ali ni obveščen, da podpisnik:

(i) krši svoje obveznosti kot naročnik podpisa; ali
(ii) ni zakoniti imetnik zasebnega ključa, ki je bil uporabljen za digitalno podpisovanje.

(2) Nobena določba tega predpisa ne izključuje kakšnega drugega znaka, da bi le-ta veljal kot pravno veljaven podpis, vključujoč določbe Enotnega trgovinskega zakonika, Podsekcija 70A-1-201(39).

(3) Ta sekcija ne omejuje pristojnosti Državne davčne komisije, da predpiše obliko davčnih napovedi ali drugih listin, ki se vlagajo pri tej komisiji.

46-3-402 Nezanesljivi digitalni podpisi

Èe predpis ali pogodba ne predvideva drugače, prejemnik digitalnega podpisa prevzema tveganje, da je digitalni podpis ponarejen, če digitalni podpis v danih okoliščinah ni razumno zanesljiv. Èe prejemnik meni, da se skladno s to sekcijo ne more zanesti na digitalni podpis, mora podpisnika o tem nemudoma obvestiti.

46-3-403 Digitalno podpisana listina se šteje kot pisna

(1) Sporočilo je veljavno, pravno zadostno in učinkovito, kot če bi bilo zapisano na papirju:
(a) če je v celoti povezano z digitalnim podpisom, in
(b) če je digitalni podpis preverjen z javnim ključem, navedenim v certifikatu, ki:

(i) ga je izdal pooblaščeni izdajatelj; in
(ii) je bil veljaven v času digitalnega podpisovanja.

(2) Nobena določba tega predpisa ne izključuje katerega koli sporočila, listine ali zapisa, da bi se štel kot zapisan ali pisen, po kakšnem drugem uporabljenem državnem predpisu.

46-3-404 Digitalno podpisani izvirniki

Dvojnik digitalno podpisanega sporočila je enako učinkovit, veljaven in pravno zadosten kot izvirnik sporočila, razen če ni očitno, da je podpisnik določil, da je digitalno podpisano sporočilo enkraten izvirnik; v tem primeru se le-ta šteje kot veljavno, učinkovito in pravno zadostno sporočilo.

46-3-405 Certifikat kot overitev podpisa

Èe predpis ali pogodba ne določata drugače, izdani certifikat pooblaščenega izdajatelja pomeni overitev digitalnega podpisa, preverjenega z javnim ključem, navedenim v certifikatu, ne glede na to, ali je ob digitalnem podpisu izrecno zapisano, da gre za overitev, in ali je bil podpisnik v trenutku digitalnega podpisovanja fizično prisoten pred izdajateljem certifikata, če je takšen digitalni podpis:

(1) možno preveriti s certifikatom, in
(2) je bil narejen v času veljavnosti certifikata.

46-3-406 Domneve pri razsojanju sporov

Pri razsojanju spora o digitalnem podpisu bo sodišče te države domnevalo:

(1) da je certifikat, ki ga je digitalno podpisal pooblaščeni izdajatelj in objavil v priznanem registru podpisov ali ga dal na razpolago (sam ali v certifikatu navedeni naročnik), izdal digitalno podpisani pooblaščeni izdajatelj in da ga je sprejel navedeni naročnik;

(2) da so točne informacije, naštete v veljavnem certifikatu, kot jih opredeljuje Sekcija 46-3-103 in jih je preveril pooblaščeni izdajatelj certifikata;

(3) če je digitalni podpis preverjen s pomočjo javnega ključa, navedenega v veljavnem certifikatu, ki ga je izdal pooblaščeni izdajatelj:

(a) da digitalni podpis izvira od naročnika, navedenega v certifikatu;

(b) da je podpisnik izvedel digitalni podpis z namenom, da bi podpisal sporočilo, in

(i) da je podpisnik kršil svoje obveznosti kot naročnik, ali
(ii) da ima podpisnik nezakonito zasebni ključ, ki ga je uporabil za izvedbo digitalnega podpisa, in

(4) da je bil digitalni podpis narejen, preden ga je neprizadeta oseba časovno žigosala z verodostojnim sistemom.

5. del: Registri podpisov

46-3-501 Priznavanje registrov podpisov

(1) Register lahko s pisno vlogo zahteva, da ga oddelek prizna; oddelku mora predložiti dokazila, da izpolnjuje zahteve iz Podsekcije (2). Oddelek bo ugotovil, če bo vlogi ugodil ali ne, upoštevajoč določbe Naslova 63, Poglavje 46b Zakona o upravnem postopku.

(2) Oddelek bo priznal register, ko bo ugotovil, da le-ta:
(a) deluje pod vodstvom pooblaščenega izdajatelja certifikatov;
(b) ima podatkovno zbirko, ki zajema:

(i) v registru objavljene certifikate;

(ii) obvestila o začasno zadržanih ali preklicanih certifikatih, ki jih objavljajo pooblaščeni izdajatelji certifikatov ali druge osebe, ki opravljajo to skladno s Sekcijama 46-3-306 in 46-3-307;

(iii) registrske zapise o pooblaščenih izdajateljih certifikatov;

(iv) vse odredbe ali priporočila, ki jih oddelek objavlja pri urejanju poslovanja izdajateljev certifikatov; in

(v) druge informacije, ki jih s pravili določa oddelek;
(c) uporablja verodostojen sistem;
(d) ne vsebuje večjega števila informacij, za katere bi oddelek ugotovil, da so očitno ali verjetno neresnične, nenatančne ali niso razumno zanesljive;
(e) vsebuje objavljene certifikate izdajateljev, katerih splošne pogoje poslovanja oddelek oceni kot vsebinsko podobne ali bolj obvezujoče glede izdajateljev certifikatov, kot so pogoji v tej državi;
(f) vzdržuje arhiv certifikatov, ki so bili začasno zadržani ali preklicani ali jim je potekla veljavnost v zadnjih treh letih; in
(g) ustreza drugim predpisanim zahtevam oddelka.

(3) Oddelek lahko prekine priznanje registra, če le-ta oddelku pisno najavi prenehanje dela najmanj 30 dni pred prenehanjem.

(4) Oddelek sme prekiniti priznanje registru:

(a) če je potekel rok veljavnosti priznanja, ali
(b) če le-ta ugotovi, da register ne izpolnjuje več zahtev za priznavanje, kakor jih zahtevajo ta sekcija ali pravila oddelka - skladno s postopkovnimi določbami Zakona o upravnem postopku (Naslov 63, Poglavje 46b).

46-3-502 Odgovornost registrov podpisov

(1) Register je odgovoren za škodo osebi, ki se je razumno zanašala na digitalni podpis, preverjen z javnim ključem, navedenim v začasno zadržanem ali preklicanem certifikatu - ne glede na morebitne pridržke registra ali nasprotne pogodbene določbe med registrom, izdajateljem certifikatov ali naročnikom:
(a) če je bila škoda povzročena več kot en delovni dan po tem, ko je register prejel zahtevo za javno objavo zadržanja ali preklica certifikata, in
(b) če register ni objavil obvestila o zadržanju ali preklicu, oseba pa se je zanašala na digitalni podpis.

(2) Èe se temu ni odrekel, priznani register podpisov ali lastnik ali upravljalec registra:

(a) ni odgovoren:

(i) zaradi neobjavljenega obvestila o zadržanem ali preklicanem certifikatu, razen če je register to obvestilo prejel in je potekel en delovni dan po prejemu obvestila;
(ii) za kakršnokoli škodo po Podsekciji (1), ki presega v certifikatu navedeni znesek kot omejitev priporočene zanesljivosti;
(iii) zaradi napačnih navedb v certifikatu, ki ga objavi pooblaščeni izdajatelj;
(iv) zaradi natančnega zapisovanja ali dajanja informacij, ki jih je objavil pooblaščeni izdajatelj certifikatov, oddelek, sodni ali okrožni uradnik, kot predvideva ta predpis, vključno informacij o začasnem zadržanju ali preklicu certifikata, ali
(v) zaradi dajanja informacij o izdajatelju certifikatov, o certifikatu ali naročniku, če je takšna informacija objavljena skladno s tem predpisom ali po pravilih oddelka, ali je objavljena po nalogu oddelka, da bi se izvajale njegove dolžnosti pri pooblaščanju in urejanju zadev po tem predpisu, in

(b) je odgovoren po Podsekciji (1) le za neposredno dejansko škodo, ki pa ne zajema:
(i) eksemplarične (kaznovalne) odškodnine;
(ii) škode zaradi izgubljenega dobička, prihrankov ali priložnosti, ali
(iii) neimovinske škode (bolečine, trpljenje).

Na vrh

Na prvo domačo stran Pravna informatika Elektronsko poslovanje Elektronski pravni viri Poklicno / osebno