Legea nr. 455/2001 privind semnatura electronică

Legea nr. 455/2001 privind semnatura electronică
EMITENT: PARLAMENT
Publicat în M.O. nr. 429 din 31 iulie 2001

Parlamentul României adopta prezenta lege.

Capitolul 1 - Dispoziţii generale
Secţiunea 1 - Principii generale

Art. 1 - Prezenta lege stabileşte regimul juridic al semnăturii electronice şi al înscrisurilor în forma electronică, precum şi condiţiile furnizarii de servicii de certificare a semnaturilor electronice.

Art. 2 - Prezenta lege se completează cu dispoziţiile legale privind încheierea, validitatea şi efectele actelor juridice.

Art. 3 - Nici o dispoziţie a prezentei legi nu poate fi interpretată în sensul limitării autonomiei de voinţa şi a libertăţii contractuale a părţilor.

Secţiunea a 2-a - Definiţii

Art. 4 - În înţelesul prezentei legi:
1. date în forma electronică sunt reprezentari ale informatiei într-o formă conventionala adecvată creării, prelucrării, trimiterii, primirii sau stocării acesteia prin mijloace electronice;
2. înscris în forma electronică reprezintă o colectie de date în forma electronică între care exista relaţii logice şi functionale şi care redau litere, cifre sau orice alte caractere cu semnificaţie inteligibila, destinate a fi citite prin intermediul unui program informatic sau al altui procedeu similar;
3. semnatura electronică reprezintă date în forma electronică, care sunt ataşate sau logic asociate cu alte date în forma electronică şi care servesc ca metoda de identificare;
4. semnatura electronică extinsă reprezintă acea semnatura electronică care îndeplineşte cumulativ următoarele condiţii:
a) este legată în mod unic de semnatar;
b) asigura identificarea semnatarului;
c) este creata prin mijloace controlate exclusiv de semnatar;
d) este legată de datele în forma electronică, la care se raportează în asa fel încât orice modificare ulterioară a acestora este identificabila;
5. semnatar reprezintă o persoană care deţine un dispozitiv de creare a semnăturii electronice şi care acţionează fie en nume propriu, fie ca reprezentant al unui terţ;
6. date de creare a semnăturii electronice reprezintă orice date în forma electronică cu caracter de unicitate, cum ar fi coduri sau chei criptografice private, care sunt folosite de semnatar pentru crearea unei semnături electronice;
7. dispozitiv de creare a semnăturii electronice reprezintă software şi/sau hardware configurate, utilizat pentru a implementa datele de creare a semnăturii electronice;
8. dispozitiv securizat de creare a semnăturii electronice reprezintă acel dispozitiv de creare a semnăturii electronice care îndeplineşte cumulativ următoarele condiţii:
a) datele de creare a semnăturii, utilizate pentru generarea acesteia, să poată aparea numai o singură dată şi confidenţialitatea acestora să poată fi asigurata;
b) datele de creare a semnăturii, utilizate pentru generarea acesteia, sa nu poată fi deduse;
c) semnatura să fie protejata împotriva falsificării prin mijloacele tehnice disponibile la momentul generarii acesteia;
d) datele de creare a semnăturii să poată fi protejate în mod efectiv de către semnatar împotriva utilizării acestora de către persoane neautorizate;
e) sa nu modifice datele în forma electronică, care trebuie să fie semnate, şi nici sa nu împiedice ca acestea să fie prezentate semnatarului înainte de finalizarea procesului de semnare;
9. date de verificare a semnăturii electronice reprezintă date în forma electronică, cum ar fi coduri sau chei criptografice publice, care sunt utilizate în scopul verificării unei semnături electronice;
10. dispozitiv de verificare a semnăturii electronice reprezintă software şi/sau hardware configurate, utilizat pentru a implementa datele de verificare a semnăturii electronice;
11. certificat reprezintă o colectie de date în forma electronică ce atesta legătură dintre datele de verificare a semnăturii electronice şi o persoană, confirmand identitatea acelei persoane;
12. certificat calificat reprezintă un certificat care satisface condiţiile prevăzute la art. 18 şi care este eliberat de un furnizor de servicii de certificare ce satisface condiţiile prevăzute la art. 20;
13. furnizor de servicii de certificare reprezintă orice persoană, română sau străină, care eliberează certificate sau care prestează alte servicii legate de semnatura electronică;
14. furnizor de servicii de certificare calificată este acel furnizor de servicii de certificare care eliberează certificate calificate;
15. produs asociat semnăturii electronice reprezintă software sau hardware, destinat a fi utilizat de un furnizor de servicii de certificare pentru prestarea serviciilor legate de semnatura electronică sau destinat a fi utilizat pentru crearea ori verificarea semnăturii electronice.

Capitolul 2 - Regimul juridic al înscrisurilor în forma electronică

Art. 5 - Înscrisul în forma electronică, căruia i s-a incorporat, atasat sau i s-a asociat logic o semnatura electronică extinsă, bazată pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv şi generata cu ajutorul unui dispozitiv securizat de creare a semnăturii electronice, este asimilat, în ceea ce priveşte condiţiile şi efectele sale, cu înscrisul sub semnatura privată.

Art. 6 - Înscrisul în forma electronică, căruia i s-a incorporat, atasat sau i s-a asociat logic o semnatura electronică, recunoscut de către cel căruia i se opune, are acelaşi efect ca actul autentic între cei care l-au subscris şi între cei care le reprezintă drepturile.

Art. 7 - În cazurile în care, potrivit legii, forma scrisă este cerută ca o condiţie de proba sau de validitate a unui act juridic, un înscris în forma electronică îndeplineşte aceasta cerinţa dacă i s-a incorporat, atasat sau i s-a asociat logic o semnatura electronică extinsă, bazată pe un certificat calificat şi generata prin intermediul unui dispozitiv securizat de creare a semnăturii.

Art. 8 - (1) În cazul în care una dintre părţi nu recunoaşte înscrisul sau semnatura, instanţa va dispune întotdeauna ca verificarea să se facă prin expertiza tehnica de specialitate.
(2) În acest scop, expertul sau specialistul este dator să solicite certificate calificate, precum şi orice alte documente necesare, potrivit legii, pentru identificarea autorului înscrisului, a semnatarului ori a titularului de certificat.

Art. 9 - (1) Partea care invoca înaintea instanţei o semnatura electronică extinsă trebuie să probeze ca aceasta îndeplineşte condiţiile prevăzute la art. 4 pct. 4.
(2) Semnatura electronică extinsă, bazată pe un certificat calificat eliberat de un furnizor de servicii de certificare acreditat, este prezumată a îndeplini condiţiile prevăzute la art. 4 pct. 4.

Art. 10 - (1) Partea care invoca înaintea instanţei un certificat calificat trebuie să probeze ca furnizorul de servicii de certificare care a eliberat respectivul certificat îndeplineşte condiţiile prevăzute la art. 20.
(2) Furnizorul de servicii de certificare acreditat este prezumat a îndeplini condiţiile prevăzute la art. 20.

Art. 11 - (1) Partea care invoca înaintea instanţei un mecanism securizat de creare a semnăturii trebuie să probeze ca acesta îndeplineşte condiţiile prevăzute la art. 4 pct. 8.
(2) Dispozitivul securizat de generare a semnăturii, omologat în sensul prezentei legi, este prezumat a îndeplini condiţiile prevăzute la art. 4 pct. 8.

Capitolul 3 - Furnizarea serviciilor de certificare
Secţiunea 1 - Dispoziţii comune

Art. 12 - (1) Furnizarea serviciilor de certificare nu este supusă nici unei autorizari prealabile şi se desfăşoară în concordanta cu principiile concurentei libere şi loiale, cu respectarea actelor normative în vigoare.
(2) Furnizarea serviciilor de certificare de către furnizorii stabiliţi în statele membre ale Uniunii Europene se face în condiţiile prevăzute în Acordul european instituind o asociere între România, pe de o parte, Comunitatile Europene şi statele membre ale acestora, pe de altă parte.

Art. 13 - (1) Cu 30 de zile înainte de începerea activităţilor legate de certificarea semnaturilor electronice persoanele care intenţionează sa furnizeze servicii de certificare au obligaţia de a notifica autoritatea de reglementare şi supraveghere specializată în domeniu cu privire la data începerii acestor activităţi.
(2) O dată cu efectuarea notificării prevăzute la alin. (1) furnizorii de servicii de certificare au obligaţia de a comunică autorităţii de reglementare şi supraveghere specializate în domeniu toate informaţiile referitoare la procedurile de securitate şi de certificare utilizate, precum şi orice alte informaţii cerute de autoritatea de reglementare şi supraveghere specializată în domeniu.
(3) Furnizorii de servicii de certificare au obligaţia de a comunică autorităţii de reglementare şi supraveghere specializate în domeniu, cu cel puţin 10 zile înainte, orice intenţie de modificare a procedurilor de securitate şi de certificare, cu precizarea datei şi orei la care modificarea intră în vigoare, precum şi obligaţia de a confirma în termen de 24 de ore modificarea efectuată.
(4) În cazurile de urgenta, în care securitatea serviciilor de certificare este afectată, furnizorii pot efectua modificări ale procedurilor de securitate şi de certificare, urmând sa comunice, în termen de 24 de ore, autorităţii de reglementare şi supraveghere specializate în domeniu modificările efectuate şi justificarea deciziei luate.
(5) Furnizorii de servicii de certificare sunt obligaţi să respecte, pe parcursul desfăşurării activităţii, procedurile de securitate şi de certificare declarate, potrivit alin. (2), (3) şi (4).

Art. 14 - (1) Furnizorul de servicii de certificare va asigura accesul la toate informaţiile necesare utilizării corecte şi în condiţii de siguranţă a serviciilor sale. Informaţiile respective vor fi furnizate anterior naşterii oricărui raport contractual cu persoana care solicită un certificat sau, după caz, la cererea unui terţ care se prevalează de un asemenea certificat.
(2) Informaţiile prevăzute la alin. (1) vor fi formulate în scris, într-un limbaj accesibil, şi vor fi transmise prin mijloace electronice, în condiţii care să permită stocarea şi reproducerea lor.
(3) Informaţiile prevăzute la alin. (1) vor face referire cel puţin la:
a) procedura ce trebuie urmată în scopul creării şi verificării semnăturii electronice;
b) tarifele percepute;
c) modalităţile şi condiţiile concrete de utilizare a certificatelor, inclusiv limitele impuse utilizării acestora, cu condiţia ca aceste limite să poată fi cunoscute de terţi;
d) obligaţiile care incumba, potrivit prezentei legi, titularului certificatului şi furnizorului de servicii de certificare;
e) existenta unei acreditari, dacă este cazul;
f) condiţiile contractuale de eliberare a certificatului, inclusiv eventualele limitări ale răspunderii furnizorului de servicii de certificare;
g) căile de soluţionare a litigiilor;
h) orice alte informaţii stabilite de autoritatea de reglementare şi supraveghere specializată în domeniu.
(4) Furnizorul de servicii de certificare va transmite solicitantului un exemplar al certificatului.
(5) Din momentul acceptării certificatului de către solicitant, furnizorul de servicii de certificare va înscrie certificatul în registrul prevăzut la art. 17.

Art. 15 - (1) Persoanele fizice care prestează, conform legii, în nume propriu servicii de certificare, precum şi personalul angajat al furnizorului de servicii de certificare, persoana fizica sau juridică, sunt obligate sa păstreze secretul informaţiilor încredinţate în cadrul activităţii lor profesionale, cu excepţia celor în legătură cu care titularul certificatului accepta să fie publicate sau comunicate terţilor.
(2) Încălcarea obligaţiei prevăzute la alin. (1) constituie infracţiune de divulgare a secretului profesional, prevăzută şi sancţionată de art. 196 din Codul penal.
(3) Nu constituie divulgare a secretului profesional comunicarea de informaţii către o autoritate publică, atunci când aceasta acţionează în exercitarea şi în limitele competentelor sale legale.
(4) Obligaţia prevăzută la alin. (1) incumba şi personalului autorităţii de reglementare şi supraveghere specializate în domeniu, precum şi persoanelor împuternicite de aceasta.

Art. 16 - (1) Autoritatea de reglementare şi supraveghere specializată în domeniu şi furnizorii de servicii de certificare au obligaţia să respecte dispoziţiile legale privitoare la prelucrarea datelor cu caracter personal.
(2) Furnizorii de servicii de certificare nu pot colecta date cu caracter personal decât de la persoana care solicită un certificat sau, cu consimţământul expres al acesteia, de la terţi. Colectarea se face doar în măsura în care aceste informaţii sunt necesare în vederea eliberării şi conservării certificatului. Datele pot fi colectate şi utilizate în alte scopuri doar cu consimţământul expres al persoanei care solicită certificatul.
(3) Atunci când se utilizează un pseudonim, identitatea reală a titularului nu poate fi divulgată de către furnizorul de servicii de certificare decât cu consimţământul titularului sau în cazurile prevăzute la art. 15 alin. (3).

Art. 17 - (1) Furnizorii de servicii de certificare au obligaţia de a crea şi de a menţine un registru electronic de evidenta a certificatelor eliberate.
(2) Registrul electronic de evidenta a certificatelor eliberate trebuie să facă menţiune despre:
a) data şi ora exactă la care certificatul a fost eliberat;
b) data şi ora exactă la care expira certificatul;
c) dacă este cazul, data şi ora exactă la care certificatul a fost suspendat sau revocat, inclusiv cauzele care au condus la suspendare sau la revocare.
(3) Registrul electronic de evidenta a certificatelor eliberate trebuie să fie disponibil permanent pentru consultare, inclusiv în regim on-line.

Secţiunea a 2-a - Furnizarea serviciilor de certificare calificată

Art. 18 - (1) Certificatul calificat va cuprinde următoarele menţiuni:
a) indicarea faptului ca certificatul a fost eliberat cu titlu de certificat calificat;
b) datele de identificare a furnizorului de servicii de certificare, precum şi cetăţenia acestuia, în cazul persoanelor fizice, respectiv naţionalitatea acestuia, în cazul persoanelor juridice;
c) numele semnatarului sau pseudonimul acestuia, identificat ca atare, precum şi alte atribute specifice ale semnatarului, dacă sunt relevante, în funcţie de scopul pentru care este eliberat certificatul calificat;
d) codul personal de identificare a semnatarului;
e) datele de verificare a semnăturii, care corespund datelor de creare a semnăturii aflate sub controlul exclusiv al semnatarului;
f) indicarea inceputului şi sfarsitului perioadei de valabilitate a certificatului calificat;
g) codul de identificare a certificatului calificat;
h) semnatura electronică extinsă a furnizorului de servicii de certificare care eliberează certificatul calificat;
i) dacă este cazul, limitele utilizării certificatului calificat sau limitele valorice ale operaţiunilor pentru care acesta poate fi utilizat;
j) orice alte informaţii stabilite de autoritatea de reglementare şi supraveghere specializată în domeniu.
(2) Fiecărui semnatar i se va atribui de către furnizorul de servicii de certificare un cod personal care să asigure identificarea unica a semnatarului.
(3) Generarea codului personal de identificare şi a codului de identificare a certificatului calificat se va face pe baza reglementărilor stabilite de autoritatea de reglementare şi supraveghere specializată în domeniu.
(4) La solicitarea titularului furnizorul de servicii de certificare va putea înscrie în certificatul calificat şi alte informaţii decât cele menţionate la alin. (1), cu condiţia ca acestea sa nu fie contrare legii, bunelor moravuri sau ordinii publice, şi numai după o prealabilă verificare a exactitatii acestor informaţii.
(5) Certificatul calificat va indica în mod expres faptul ca este utilizat un pseudonim, atunci când titularul se identifica printr-un pseudonim.

Art. 19 - (1) La eliberarea certificatelor calificate furnizorii de servicii de certificare au obligaţia de a verifica identitatea solicitanţilor exclusiv pe baza actelor de identitate.
(2) La eliberarea fiecărui certificat calificat furnizorii au obligaţia sa emita doua copii de pe acesta, pe suport de hârtie, dintre care un exemplar este pus la dispoziţie titularului, iar celălalt este păstrat de către furnizori o perioadă de 10 ani.

Art. 20 - În vederea emiterii certificatelor calificate furnizorii de servicii de certificare trebuie să îndeplinească următoarele condiţii:
a) sa dispună de mijloace financiare şi de resurse materiale, tehnice şi umane corespunzătoare pentru garantarea securităţii, fiabilitatii şi continuităţii serviciilor de certificare oferite;
b) să asigure operarea rapida şi sigura a înregistrării informaţiilor prevăzute la art. 17, în special operarea rapida şi sigura a unui serviciu de suspendare şi revocare a certificatelor calificate;
c) să asigure posibilitatea de a se determina cu precizie data şi ora exactă a eliberării, a suspendării sau a revocării unui certificat calificat;
d) sa verifice, cu mijloace corespunzătoare şi conforme dispoziţiilor legale, identitatea şi, dacă este cazul, atributele specifice ale persoanei căreia îi este eliberat certificatul calificat;
e) sa folosească personal cu cunoştinţe de specialitate, experienta şi calificare, necesare pentru furnizarea serviciilor respective, şi, în special, competenţa în domeniul gestiunii, cunoştinţe de specialitate în domeniul tehnologiei semnăturii electronice şi o practica suficienta în ceea ce priveşte procedurile de securitate corespunzătoare; de asemenea, să aplice procedurile administrative şi de gestiune adecvate şi care corespund standardelor recunoscute;
f) sa utilizeze produse asociate semnăturii electronice, cu un înalt grad de fiabilitate, care sunt protejate împotriva modificărilor şi care asigura securitatea tehnica şi criptografica a desfăşurării activităţilor de certificare a semnăturii electronice;
g) sa adopte măsuri împotriva falsificării certificatelor şi sa garanteze confidenţialitatea în cursul procesului de generare a datelor de creare a semnaturilor, în cazul în care furnizorii de servicii de certificare generează astfel de date;
h) sa păstreze toate informaţiile cu privire la un certificat calificat pentru o perioadă de minimum 10 ani de la data încetării valabilităţii certificatului, în special pentru a putea face dovada certificării în cadrul unui eventual litigiu;
i) sa nu stocheze, sa nu reproduca şi sa nu dezvaluie terţilor datele de creare a semnăturii, cu excepţia cazului în care semnatarul solicita aceasta;
j) sa utilizeze sisteme fiabile pentru stocarea certificatelor calificate, astfel încât: numai persoanele autorizate să poată introduce şi modifica informaţiile din certificate; exactitatea informatiei să poată fi verificata; certificatele să poată fi consultate de terţi doar în cazul în care exista acordul titularului acestora; orice modificare tehnica, care ar putea pune în pericol aceste condiţii de securitate, să poată fi identificata de persoanele autorizate;
k) orice alte condiţii stabilite de autoritatea de reglementare şi supraveghere specializată în domeniu.

Art. 21 - Furnizorii de servicii de certificare calificată sunt obligaţi sa folosească numai dispozitive securizate de creare a semnăturii electronice.

Art. 22 - (1) Furnizorul de servicii de certificare calificată trebuie să dispună de resurse financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfăşurării activităţilor legate de certificarea semnaturilor electronice.
(2) Asigurarea se realizează fie prin subscrierea unei poliţe de asigurare la o societate de asigurări, fie prin intermediul unei scrisori de garanţie din partea unei instituţii financiare de specialitate, fie printr-o alta modalitate stabilită prin decizie a autorităţii de reglementare şi supraveghere specializate în domeniu.
(3) Suma asigurata şi suma acoperită prin scrisoarea de garanţie sunt stabilite de autoritatea de reglementare şi supraveghere specializată în domeniu.

Secţiunea a 3-a - Suspendarea şi încetarea valabilităţii certificatelor

Art. 23 - (1) Orice furnizor de servicii de certificare are obligaţia de a suspenda certificatul în termen de 24 de ore din momentul în care a luat cunoştinţa sau trebuia şi putea sa ia cunoştinţa despre apariţia oricăruia dintre următoarele cazuri:
a) la cererea semnatarului, după o prealabilă verificare a identităţii acestuia;
b) în cazul în care o hotărâre judecătorească dispune suspendarea;
c) în cazul în care informaţiile conţinute în certificat nu mai corespund realităţii, dacă nu se impune revocarea certificatului;
d) în orice alte situaţii care constituie cazuri de suspendare a certificatelor eliberate, potrivit procedurilor de securitate şi de certificare declarate de furnizor în baza art. 13.
(2) Orice furnizor de servicii de certificare are obligaţia de a revoca certificatul în termen de 24 de ore din momentul în care a luat cunoştinţa sau trebuia şi putea sa ia cunoştinţa despre apariţia oricăruia dintre următoarele cazuri:
a) la cererea semnatarului, după o prealabilă verificare a identităţii acestuia;
b) la decesul sau punerea sub interdicţie a semnatarului;
c) în cazul în care o hotărâre judecătorească irevocabilă dispune revocarea;
d) dacă se dovedeşte în mod neîndoielnic ca certificatul a fost emis în baza unor informaţii eronate sau false;
e) în cazul în care informaţiile esenţiale conţinute în certificat nu mai corespund realităţii;
f) atunci când confidenţialitatea datelor de creare a semnăturii a fost incalcata;
g) în cazul în care certificatul a fost utilizat în mod fraudulos;
h) în orice alte situaţii care constituie cazuri de revocare a certificatelor eliberate, potrivit procedurilor de securitate şi de certificare declarate de furnizor în baza art. 13.
(3) Furnizorul de servicii de certificare îl va informa de urgenta pe titular despre suspendarea sau revocarea certificatului, împreună cu motivele care au stat la baza deciziei sale.
(4) Furnizorul de servicii de certificare va înscrie menţiunea de suspendare sau de revocare a certificatului în registrul electronic de evidenta a certificatelor eliberate prevăzut la art. 17, în termen de 24 de ore din momentul în care a luat cunoştinţa sau trebuia şi putea sa ia cunoştinţa despre adoptarea deciziei respective.
(5) Suspendarea sau revocarea va deveni opozabilă terţilor de la data înscrierii sale în registrul electronic de evidenta a certificatelor.

Art. 24 - (1) În cazul în care furnizorul de servicii de certificare intenţionează sa înceteze activităţile legate de certificarea semnaturilor electronice sau afla ca va fi în imposibilitate de a continua aceste activităţi, el va informa, cu cel puţin 30 de zile înainte de încetare, autoritatea de reglementare şi supraveghere specializată în domeniu despre intenţia sa, respectiv despre existenta şi natura împrejurării care justifica imposibilitatea de continuare a activităţilor.
(2) Furnizorului de servicii de certificare îi revine obligaţia ca, în situaţia în care se afla în imposibilitate de a continua activităţile legate de certificarea semnaturilor electronice şi nu a putut prevedea aceasta situaţie cu cel puţin 30 de zile înainte ca încetarea activităţilor să se producă, sa informeze autoritatea de reglementare şi supraveghere specializată în domeniu, în termen de 24 de ore din momentul în care a luat cunoştinţa sau trebuia şi putea sa ia cunoştinţa despre imposibilitatea continuării activităţilor. Informarea trebuie să se refere la existenta şi natura împrejurării care justifica imposibilitatea de continuare a activităţilor.
(3) Furnizorul de servicii de certificare poate transfera, în tot sau în parte, activităţile sale unui alt furnizor de servicii de certificare. Transferul va opera potrivit următoarelor condiţii:
a) furnizorul de servicii de certificare va înştiinţa fiecare titular de certificate neexpirate, cu cel puţin 30 de zile înainte, despre intenţia sa de transferare a activităţilor legate de certificarea semnaturilor electronice către un alt furnizor de servicii de certificare;
b) furnizorul de servicii de certificare va menţiona identitatea furnizorului de servicii de certificare căruia intenţionează sa îi transfere activităţile sale;
c) furnizorul de servicii de certificare va face cunoscute fiecărui titular de certificat posibilitatea de a refuza acest transfer, precum şi termenul şi condiţiile în care refuzul poate fi exercitat; în lipsa unei acceptări exprese a titularului, în termenul precizat de furnizorul de servicii de certificare, certificatul va fi revocat de către acesta din urma.
(4) Furnizorul de servicii de certificare, aflat în unul dintre cazurile prevăzute la alin. (1) şi (2), ale cărui activităţi nu sunt preluate de un alt furnizor de servicii de certificare, va revoca certificatele în termen de 30 de zile de la data înştiinţării titularilor de certificate şi va lua măsurile necesare pentru asigurarea conservării arhivelor sale, precum şi pentru asigurarea prelucrării datelor personale, în condiţiile legii.
(5) Sunt considerate cazuri de imposibilitate de continuare a activităţilor legate de certificarea semnaturilor electronice, în înţelesul prezentului articol, dizolvarea sau lichidarea, voluntara ori judiciară, falimentul, precum şi orice alta cauza de încetare a activităţii, cu excepţia aplicării sancţiunilor prevăzute la art. 33 alin. (2) şi (3).

Capitolul 4 - Monitorizare şi control
Secţiunea 1 - Autoritatea de reglementare şi supraveghere

Art. 25 - Responsabilitatea aplicării dispoziţiilor prezentei legi şi a reglementărilor legate de aceasta revine autorităţii de reglementare şi supraveghere specializate în domeniu.

Art. 26 - (1) În termen de cel mult 18 luni de la data publicării legii în Monitorul Oficial al României, Partea I, se va înfiinţa autoritatea publică specializată, cu atribuţii de reglementare şi de supraveghere în domeniu, în sensul prezentei legi.
(2) Până la înfiinţarea autorităţii menţionate la alin. (1) atribuţiile acesteia, în sensul prezentei legi, revin Ministerului Comunicaţiilor şi Tehnologiei Informatiei.

Art. 27 - Ministerul Comunicaţiilor şi Tehnologiei Informatiei poate delega, în tot sau în parte, atribuţiile sale de supraveghere, în sensul prezentei legi, unei alte autorităţi publice aflate în coordonare.

Art. 28 - (1) La data intrării în vigoare a prezentei legi se înfiinţează Registrul furnizorilor de servicii de certificare, denumit în continuare Registru, care se constituie şi se actualizează de către autoritatea de reglementare şi supraveghere specializată în domeniu. De la data infiintarii autorităţii publice specializate prevăzute la art. 26 Registrul va fi preluat şi actualizat de aceasta autoritate.
(2) Registrul constituie evidenta oficială:
a) a furnizorilor de servicii de certificare care au sediul în România;
b) a furnizorilor de servicii de certificare cu sediul sau domiciliul în alt stat, ale căror certificate calificate sunt recunoscute conform art. 40.
(3) Registrul are rolul de a asigura, prin efectuarea înregistrărilor prevăzute de prezenta lege, stocarea datelor de identificare şi a unor informaţii legate de activitatea furnizorilor de servicii de certificare, precum şi informarea publicului cu privire la datele şi informaţiile stocate.
(4) Conţinutul şi structura Registrului se stabilesc, prin reglementări, de către autoritatea de reglementare şi supraveghere specializată în domeniu.

Art. 29 - (1) Înregistrarea în Registrul prevăzut la art. 28 a datelor de identificare şi a informaţiilor necesare cu privire la activitatea furnizorilor de servicii de certificare menţionaţi la art. 28 alin. (2) se efectuează pe bază de cerere individuală, care trebuie introdusă la autoritatea de reglementare şi supraveghere specializată în domeniu, cel mai târziu la data începerii activităţii furnizorului.
(2) Conţinutul obligatoriu al cererii prevăzute la alin. (1) şi documentaţia necesară se stabilesc prin reglementări de către autoritatea de reglementare şi supraveghere specializată în domeniu.

Art. 30 - (1) Registrul este public şi se actualizează permanent.
(2) Condiţiile ţinerii Registrului, accesul efectiv la informaţiile pe care le conţine, informaţiile care pot fi oferite solicitanţilor şi modul de actualizare a acestuia se stabilesc prin normele tehnice şi metodologice emise de autoritatea de reglementare şi supraveghere specializată în domeniu.

Secţiunea a 2-a - Supravegherea activităţii furnizorilor de servicii de certificare

Art. 31 - (1) Autoritatea de reglementare şi supraveghere specializată în domeniu va putea, din oficiu sau la solicitarea oricărei persoane interesate, sa verifice sau sa dispună verificarea conformitatii activităţilor unui furnizor de servicii de certificare cu dispoziţiile prezentei legi sau cu reglementări emise de către autoritatea de reglementare şi supraveghere specializată în domeniu.
(2) Atribuţiile de control ce revin autorităţii de reglementare şi supraveghere specializate în domeniu, potrivit alin. (1), sunt exercitate de personalul anume împuternicit în acest sens.
(3) În vederea exercitării controlului, personalul cu atribuţii de control este autorizat:
a) să aibă acces liber, permanent, în orice loc în care se afla echipamentele necesare furnizarii de servicii de certificare, în condiţiile legii;
b) să solicite orice document sau informaţie necesară în vederea realizării controlului;
c) sa verifice punerea în aplicare a oricăror proceduri de securitate sau de certificare utilizate de furnizorul de servicii de certificare supus controlului;
d) sa sigileze orice echipamente necesare furnizarii de servicii de certificare sau sa retina orice document ce are legătură cu aceasta activitate, pe o perioadă care nu poate depăşi 15 zile, dacă această măsură se impune;
e) sa ia orice alte asemenea măsuri, în limitele legii.
(4) Personalul cu atribuţii de control este obligat:
a) sa nu dezvaluie datele de care a luat cunoştinţa cu ocazia exercitării atribuţiilor sale;
b) sa păstreze confidenţialitatea surselor de informaţii în legătură cu sesizările sau plângerile primite.

Art. 32 - (1) Furnizorii de servicii de certificare au obligaţia de a facilita exercitarea atribuţiilor de control de către personalul anume împuternicit în acest sens.
(2) În cazul neîndeplinirii obligaţiei prevăzute la alin. (1), în afară de aplicarea sancţiunii prevăzute la art. 44 lit. c), autoritatea de reglementare şi supraveghere specializată în domeniu va putea sa suspende activitatea furnizorului până la data la care acesta va coopera cu personalul de control.

Art. 33 - (1) Dacă în urma controlului efectuat se constata nerespectarea dispoziţiilor prezentei legi şi a reglementărilor emise de autoritatea de reglementare şi supraveghere specializată în domeniu, aceasta va solicita furnizorului de servicii de certificare să se conformeze, în termenul pe care îl va stabili, dispoziţiilor legale. În acest caz, autoritatea de reglementare şi supraveghere specializată în domeniu poate dispune suspendarea activităţii furnizorului.
(2) Neîndeplinirea în termenul stabilit a obligaţiei de conformare prevăzute la alin. (1) constituie motiv pentru autoritatea de reglementare şi supraveghere specializată în domeniu de a dispune încetarea activităţii furnizorului de servicii de certificare şi radierea acestuia din Registru.
(3) În cazul în care se constata o încălcare grava a dispoziţiilor legale, autoritatea de reglementare şi supraveghere specializată în domeniu poate dispune direct şi imediat încetarea activităţii furnizorului de servicii de certificare şi radierea acestuia din Registru.

Art. 34 - (1) În cazul în care dispune încetarea activităţii unui furnizor de servicii de certificare, autoritatea de reglementare şi supraveghere specializată în domeniu va asigura fie revocarea certificatelor furnizorului de servicii de certificare şi ale semnatarilor, fie preluarea activităţii sau cel puţin a registrului electronic de evidenta a certificatelor eliberate şi a serviciului de revocare a acestora de către un alt furnizor de servicii de certificare, cu acordul acestuia.
(2) Semnatarii vor fi informati imediat de autoritatea de reglementare şi supraveghere specializată în domeniu despre încetarea activităţii furnizorului, precum şi despre revocarea certificatelor sau preluarea acestora de către un alt furnizor.
(3) Dacă activitatea furnizorului de servicii de certificare nu este preluată de către un alt furnizor, furnizorul de servicii de certificare este obligat să asigure revocarea tuturor certificatelor eliberate de el. Autoritatea de reglementare şi supraveghere specializată în domeniu va revoca certificatele, pe cheltuiala furnizorului, dacă acesta nu îşi îndeplineşte obligaţia.
(4) Autoritatea de reglementare şi supraveghere specializată în domeniu va prelua şi va menţine arhivele şi registrul electronic de evidenta a certificatelor eliberate de furnizorul de servicii de certificare a cărui activitate nu a fost preluată de către un alt furnizor.

Art. 35 - (1) Radierea furnizorilor de servicii de certificare din Registru se efectuează pe baza comunicării făcute de către furnizor autorităţii de reglementare şi supraveghere specializate în domeniu cu cel puţin 30 de zile înainte de data încetării activităţii sale.
(2) Radierea se poate efectua şi din oficiu de către autoritatea de reglementare şi supraveghere specializată în domeniu, în situaţia în care aceasta constata pe orice alta cale ca furnizorul şi-a încetat activitatea.

Secţiunea a 3-a - Acreditarea voluntara

Art. 36 - (1) În scopul asigurării unui grad sporit de securitate a operaţiunilor şi al protejării corespunzătoare a drepturilor şi intereselor legitime ale beneficiarilor de servicii de certificare, furnizorii de servicii de certificare care doresc să îşi desfăşoare activitatea ca furnizori acreditaţi pot solicita obţinerea unei acreditari din partea autorităţii de reglementare şi supraveghere specializate în domeniu.
(2) Condiţiile şi procedura acordării, suspendării şi retragerii deciziei de acreditare, conţinutul acestei decizii, durata ei de valabilitate, precum şi efectele suspendării şi ale retragerii deciziei se stabilesc de autoritatea de reglementare şi supraveghere specializată în domeniu, prin reglementări, cu respectarea principiilor obiectivitatii, transparenţei, proportionalitatii şi tratamentului nediscriminatoriu.

Art. 37 - (1) Furnizorii de servicii de certificare acreditaţi în condiţiile prezentei legi au dreptul de a folosi o menţiune distinctiva care să se refere la aceasta calitate în toate activităţile pe care le desfăşoară, legate de certificarea semnaturilor.
(2) Furnizorii de servicii de certificare acreditaţi în condiţiile prezentei legi sunt obligaţi să solicite efectuarea unei menţiuni în acest sens în Registru.

Secţiunea a 4-a - Omologarea

Art. 38 - (1) Conformitatea dispozitivelor securizate de creare a semnăturii electronice cu prevederile prezentei legi se verifica de către agenţii de omologare, persoane juridice de drept public sau de drept privat, agreate de autoritatea de reglementare şi supraveghere specializată în domeniu, în condiţiile stabilite prin reglementări emise de aceasta.
(2) În urma îndeplinirii procedurii de verificare se emite certificatul de omologare a dispozitivului securizat de creare a semnăturii electronice. Certificatul poate fi retras în cazul în care agenţia de omologare constata ca dispozitivul securizat de creare a semnăturii electronice nu mai îndeplineşte una dintre condiţiile prevăzute în prezenta lege.
(3) Condiţiile şi procedura de agreare a agentiilor de omologare se stabilesc prin reglementări de către autoritatea de reglementare şi supraveghere specializată în domeniu.
(3) Condiţiile şi procedura de agreare a agentiilor de omologare se stabilesc prin reglementări de către autoritatea de reglementare şi supraveghere specializată în domeniu.

Art. 39 - (1) Autoritatea de reglementare şi supraveghere specializată în domeniu veghează la respectarea, de către agenţiile de omologare, a prevederilor prezentei legi, a reglementărilor emise, precum şi a dispoziţiilor cuprinse în decizia de agreare.
(2) Prevederile art. 31-32 se aplică în mod corespunzător controlului exercitat de autoritatea de reglementare şi supraveghere specializată în domeniu asupra activităţii agentiilor de omologare.

Capitolul 5 - Recunoaşterea certificatelor eliberate de furnizorii de servicii de certificare străini

Art. 40 - Certificatul calificat eliberat de către un furnizor de servicii de certificare cu domiciliul sau cu sediul într-un alt stat este recunoscut ca fiind echivalent din punct de vedere al efectelor juridice cu certificatul calificat eliberat de un furnizor de servicii de certificare cu domiciliul sau cu sediul în România, dacă:
a) furnizorul de servicii de certificare cu domiciliul sau sediul în alt stat a fost acreditat în cadrul regimului de acreditare, în condiţiile prevăzute de prezenta lege;
b) un furnizor de servicii de certificare acreditat, cu domiciliul sau cu sediul în România, garantează certificatul;
c) certificatul sau furnizorul de servicii de certificare care l-a eliberat este recunoscut prin aplicarea unui acord bilateral sau multilateral între România şi alte state sau organizaţii internaţionale, pe bază de reciprocitate.

Capitolul 6 - Răspunderea furnizorilor de servicii de certificare

Art. 41 - Furnizorul de servicii de certificare, care eliberează certificate prezentate ca fiind calificate sau care garantează asemenea certificate, este răspunzător pentru prejudiciul adus oricărei persoane care îşi întemeiază conduita pe efectele juridice ale respectivelor certificate:
a) în ceea ce priveşte exactitatea, în momentul eliberării certificatului, a tuturor informaţiilor pe care le conţine;
b) în ceea ce priveşte asigurarea ca, în momentul eliberării certificatului, semnatarul identificat în cuprinsul acestuia detinea datele de generare a semnăturii corespunzătoare datelor de verificare a semnăturii menţionate în respectivul certificat;
c) în ceea ce priveşte asigurarea ca datele de generare a semnăturii corespund datelor de verificare a semnăturii, în cazul în care furnizorul de servicii de certificare le generează pe amândouă;
d) în ceea ce priveşte suspendarea sau revocarea certificatului, în cazurile şi cu respectarea condiţiilor prevăzute la art. 24 alin. (1) şi (2);
e) în privinta îndeplinirii tuturor obligaţiilor prevăzute la art. 13-17 şi la art. 19-22, cu excepţia cazurilor în care furnizorul de servicii de certificare probează ca, deşi a depus diligenta necesară, nu a putut împiedica producerea prejudiciului.

Art. 42 - (1) Furnizorul de servicii de certificare poate să indice în cuprinsul unui certificat calificat restrictii ale utilizării acestuia, precum şi limite ale valorii operaţiunilor pentru care acesta poate fi utilizat, cu condiţia ca respectivele restrictii să poată fi cunoscute de terţi.
(2) Furnizorul de servicii de certificare nu va fi răspunzător pentru prejudiciile rezultând din utilizarea unui certificat calificat cu încălcarea restrictiilor prevăzute în cuprinsul acestuia.

Capitolul 7 - Obligaţiile titularilor de certificate

Art. 43 - Titularii de certificate sunt obligaţi să solicite, de îndată, revocarea certificatelor, în cazul în care:
a) au pierdut datele de creare a semnăturii electronice;
b) au motive sa creadă ca datele de creare a semnăturii electronice au ajuns la cunoştinţa unui terţ neautorizat;
c) informaţiile esenţiale cuprinse în certificat nu mai corespund realităţii.

Capitolul 8 - Contravenţii şi sancţiuni

Art. 44 - Constituie contravenţie, dacă, potrivit legii, nu constituie infracţiune, şi se sancţionează cu amendă de la 5.000.000 lei la 100.000.000 lei fapta furnizorului de servicii de certificare care:
a) omite să efectueze notificarea prevăzută la art. 13 alin. (1);
b) omite sa informeze autoritatea de reglementare şi supraveghere specializată în domeniu asupra procedurilor de securitate şi de certificare utilizate, în condiţiile şi cu respectarea termenelor prevăzute la art. 13;
c) nu îşi îndeplineşte obligaţia de a facilita exercitarea atribuţiilor de control de către personalul autorităţii de reglementare şi supraveghere specializate în domeniu, anume împuternicit în acest sens;
d) realizează transferul activităţilor legate de certificarea semnaturilor electronice cu nerespectarea prevederilor art. 24 alin. (3).

Art. 45 - Constituie contravenţie, dacă, potrivit legii, nu constituie infracţiune, şi se sancţionează cu amendă de la 10.000.000 lei la 250.000.000 lei fapta furnizorului de servicii de certificare care:
a) nu furnizează persoanelor menţionate la art. 14 alin. (1), în condiţiile prevăzute la art. 14 alin. (1) şi (2), informaţiile obligatorii prevăzute la art. 14 alin. (3) ori nu furnizează toate aceste informaţii sau furnizează informaţii inexacte;
b) încalcă obligaţiile privitoare la prelucrarea datelor cu caracter personal prevăzute la art. 16;
c) omite să efectueze înregistrările obligatorii, potrivit legii, în registrul electronic de evidenta a certificatelor eliberate, prevăzut la art. 17, sau le efectuează cu nerespectarea termenului prevăzut la art. 14 alin. (5), art. 23 alin. (1) sau (2) ori înregistrează menţiuni inexacte;
d) eliberează certificate prezentate titularilor ca fiind calificate, care nu conţin toate menţiunile obligatorii prevăzute la art. 18;
e) eliberează certificate calificate care conţin informaţii inexacte, informaţii care sunt contrare legii, bunelor moravuri sau ordinii publice, ori informaţii a căror exactitate nu a fost verificata în condiţiile prevăzute la art. 18 alin. (4);
f) eliberează certificate calificate fără a verifica identitatea solicitantului, în condiţiile prevăzute la art. 19;
g) omite sa ia măsuri de natura sa garanteze confidenţialitatea în cursul procesului de generare a datelor de creare a semnaturilor, în cazul în care furnizorul de servicii de certificare generează astfel de date;
h) nu păstrează toate informaţiile cu privire la un certificat calificat o perioadă de minimum 5 ani de la data încetării valabilităţii certificatului;
i) stocheaza, reproduce sau dezvaluie terţilor datele de creare a semnăturii electronice, cu excepţia cazului în care semnatarul solicita aceasta, în cazul în care furnizorul eliberează certificate calificate;
j) stocheaza certificatele calificate într-o formă care nu respecta condiţiile prevăzute la art. 20 lit. j);
k) utilizează dispozitive de creare a semnăturii electronice, care nu îndeplinesc condiţiile prevăzute la art. 4 pct. 8, în cazul în care furnizorul de servicii de certificare eliberează certificate calificate;
l) în cazul în care intenţionează sa înceteze activităţile legate de certificarea semnaturilor electronice sau în oricare dintre situaţiile prevăzute la art. 24 alin. (5), când afla ca va fi în imposibilitate de a continua aceste activităţi, nu informează cu cel puţin 30 de zile înainte de încetarea activităţilor autoritatea de reglementare şi supraveghere specializată în domeniu despre intenţia sa, respectiv despre existenta şi natura împrejurării care justifica imposibilitatea de continuare a activităţilor;
m) în oricare dintre situaţiile prevăzute la art. 24 alin. (5), când se afla în imposibilitate de a continua activităţile legate de certificarea semnaturilor electronice şi nu a putut prevedea aceasta situaţie cu cel puţin 30 de zile înainte ca încetarea activităţilor să se producă, nu a informat autoritatea de reglementare şi supraveghere specializată în domeniu în termenul prevăzut la art. 24 alin. (2) despre existenta şi natura împrejurării care justifica imposibilitatea de continuare a activităţilor;
n) aflându-se în unul dintre cazurile prevăzute la art. 24 alin. (1) şi (2), omite sa ia măsurile necesare pentru asigurarea conservării arhivelor sale sau pentru asigurarea prelucrării datelor cu caracter personal în condiţiile legii;
o) nu suspenda sau nu revoca certificatele eliberate, în cazurile în care suspendarea sau revocarea este obligatorie, sau le revoca cu nerespectarea termenului legal;
p) continua sa desfăşoare activităţi legate de certificarea semnaturilor electronice în situaţia în care autoritatea de reglementare şi supraveghere specializată în domeniu a dispus suspendarea sau încetarea activităţii furnizorului de servicii de certificare;
q) eliberează certificate sau desfăşoară alte activităţi legate de certificarea semnaturilor electronice, folosindu-se fără a avea dreptul de calitatea de furnizor de servicii de certificare acreditat, prin prezentarea unei menţiuni distinctive care să se refere la aceasta calitate sau prin orice alte mijloace;
r) omite să solicite, în termenul prevăzut la art. 29 alin. (1), înregistrarea în Registru a datelor şi informaţiilor menţionate la art. 29.

Art. 46 - Încălcarea de către agenţia de omologare a obligaţiei de a facilita exercitarea atribuţiilor de control de către personalul autorităţii de reglementare şi supraveghere specializate în domeniu, anume împuternicit în acest sens, constituie contravenţie şi se sancţionează cu amendă de la 15.000.000 lei la 250.000.000 lei.

Art. 47 - Constatarea contravenţiilor şi aplicarea sancţiunilor prevăzute în cadrul prezentului capitol sunt de competenţa personalului cu atribuţii de control din cadrul autorităţii de reglementare şi supraveghere specializate în domeniu.

Art. 48 - Contravenţiilor prevăzute în prezentul capitol le sunt aplicabile prevederile Legii nr. 32/1968 privind stabilirea şi sancţionarea contravenţiilor.

Capitolul 9 - Dispoziţii finale

Art. 49 - (1) Nivelul tarifelor percepute de agenţiile de omologare pentru prestarea serviciilor de omologare a dispozitivelor securizate de creare a semnăturii electronice, precum şi pentru serviciile accesorii se stabileşte în mod liber, cu respectarea prevederilor Legii concurentei nr. 21/1996.
(2) Agenţiile menţionate la alin. (1) pot percepe tarife cu niveluri diferite pentru zone geografice diferite sau pentru serviciile prestate în regim de urgenta, pentru înscrierile on-line, potrivit propriilor strategii comerciale, cu respectarea dispoziţiilor legale.
(3) Sunt interzise agentiilor de omologare şi imputernicitilor acestora publicarea de tabele comparative privind nivelul tarifelor şi adoptarea oricăror măsuri al căror scop este sa limiteze reclama privind nivelul tarifelor încasate de alte agenţii pentru serviciile prestate.

Art. 50 - (1) Agenţiile de omologare sunt supuse prevederilor Legii concurentei nr. 21/1996 în ceea ce priveşte stabilirea tarifelor percepute pentru serviciile prestate, precum şi în privinta actelor sau faptelor care au sau pot avea ca efect restrangerea concurentei pe piaţa serviciilor respective.
(2) Agenţiile de omologare sunt, de asemenea, supuse prevederilor Legii nr. 11/1991 privind combaterea concurentei neloiale, cu modificările ulterioare.

Art. 51 - Cuantumul amenzilor prevăzute de prezenta lege va fi actualizat prin hotărâre a Guvernului, în funcţie de evoluţia indicelui de inflaţie.

Art. 52 - În termen de 3 luni de la data publicării prezentei legi în Monitorul Oficial al României, Partea I, autoritatea de reglementare şi supraveghere specializată în domeniu va elabora norme tehnice şi metodologice de aplicare a acesteia.


Art. 53 - Prezenta lege va intra în vigoare la data publicării ei în Monitorul Oficial al României, Partea I, şi se pune în aplicare la 3 luni de la data intrării în vigoare.

Această lege a fost adoptată de Senat în şedinţa din 26 iunie 2001, cu respectarea prevederilor art. 74 alin. (1) din Constituţia României.
PREŞEDINTELE SENATULUI
DORU IOAN TARACILA

Această lege a fost adoptată de Camera Deputaţilor în şedinţa din 28 iunie 2001, cu respectarea prevederilor art. 74 alin. (1) din Constituţia României.
PREŞEDINTELE CAMEREI DEPUTAŢILOR
VALER DORNEANU

Bucureşti, 18 iulie 2001.
Nr. 455.