德国电子签名法

 电子签名法(Gesetz zur digitalen Signatur) 联邦法律公报 (Bundesgesetzblatt) 1997 I 1872 注释: 这部电子签名法是为信息通讯服务的法案第3条款而制定的(Informations- und Kommunikationsdienstegesetz), 联邦法律公报1997 I 1870. 目录 § 1 立法的目的和范围 § 2 定义 § 3主管当局 § 4认证中心的许可 § 5 发放证书 § 6 通告要求 § 7 证书内容 § 8 证书失效 § 9 时间戳 § 10 存档 § 11 经营的停止 § 12 数据保护 § 13 义务的监控与执行 § 14 技术成分 § 15 其他国家发放的证书 § 16 具有法律效力的法令 § 1 立法的目的和范围 (1) 本法案颁布的目的是建立一个电子签名被认为是安全的一众环境，并且可以可靠地查明伪造电子签名或者操纵电子签名。 (2) 依照本法案，其他电子签名程序的应用也是可以选用的，这些程序的应用可以不受法律条款的约束。 § 2 定义 (1) 在本法案里“电子签名” 指的是签署在电子数据上的一个印章，该印章由私人密钥产生，在相关公共密钥提供密钥确认的帮助下确定密钥的所有者和确保数据的完整性，该公共密钥是由认证中心或本法案第3章规定的机构提供的。 (2) 在本法案里“认证中心” 指的是证明公共密钥被分配给自然人依照本法案第四条拥有许可证的自然人或法人。 (3) 在本法案里“认证” 指的是包含数字签名和将相关公共密钥分配给一个自然人的数字认证（签名密钥认证）或是独立的包含更深入的信息和清晰地参照一个特别签名密钥的数字认证。（特征证书） (4) 在本法案里“时间戳” 指的是载有电子签名的电子声明，该电子声明是由认证中心发布的用以证明该电子数据是在一个特定的时间点出现的。 § 3主管当局 依照电信法案第66章，主管当局有义务进行许可证的批准，发放用以签署证明的证书，监督遵守本法案和遵守本法案第16章规定具有法律效力的法令。 § 4 认证中心的许可 (1) 认证中心的经营需要有主管当局颁发的许可证。许可证应在申请后被授予。 (2) 在以下几种情况下主管当局可以拒绝发放许可证：事实证明申请者没有经营一家认证中心所必须的可靠性；申请者不具备经营一家认证中心必备的专业知识；或者有原因可以使我们相信，如果开始经营，则有其它需求不能被满足，其中其它需求是本法案以及本法案第16章规定具有法律效力的法令所陈列出的并且与认证中心的经营相关的需求。 (3) 任何人作为一家认证中心的经营者保证遵守适用于经营这样机构的法律规定可被视为拥有必须的可靠性。当从认证中心经营的人具有必要的知识、经验、技能可视为具备必须的专业知识。与认证中心的经营相关的其它需求在以下情况可以被视为满足：主管当局以措施安全概念的方式被及时通知，这些措施确保遵守本法案以及本法案第16章规定具有法律效力的法令的安全需求，并且这些措施的实施始终是被检验过且被主管当局认可的团体证实过。 (4)许可证中应该在必要的地方增加附属条款以保证认证机构的要求与本法案以及本法案第16张规定的具有法律效力的法令保持一致。 (5) 主管当局负责发放用于在证明书上签字的密钥证书。因此适用于认证中心发放证明书的规定将适用于主管当局。主管当局应当保存其发放的所有证书以便于可以在任何时候为任何人通过公开的电讯途径来确认和修改证书。改条款同时也将应用于认证中心的地址和电话号码信息、主管当局发放的证书的失效、停止或禁止经营一家认证中心以及许可证的收回。 (6) 与本法案以及本法案第16章规定具有法律效力的法令相一致的任何公共服务须支付成本（费用和支出）。 § 5 发放证书 (1) 认证中心应当确定申请证书的人的可靠身份。应当确保公开密钥被分发给已经用密钥证书和其他任何特征证书鉴明身份的人，该密钥证书可以被保存查证，并且在密钥所有者同意的条件下可以在任何时候为任何人通过公开的电讯途径修改证书。 (2) 在申请者的要求下，认证中心应在密钥证书或者特征证书里包含以下信息：申请者同意第三方作为其代理的信息，进入该专业范围的许可信息或者其他类型的许可信息且有可靠的证据表明该许可经授权代表或授权许可的第三方的同意。 (3) 在申请者的要求下，认证中心可在证书中为申请者使用一个假名而不使用申请者的真实姓名。 (4) 认证中心应采取措施防止未被发现的伪造或操纵数据出现在证书内。应采取措施保证私人密钥的机密。认证中心不允许存储私人密钥。 (5) 认证中心应保证使用可靠的员工从事认证工作。因为依照本法案第14章所陈列的条款规定密钥的准备和证书的发行需要使用技术手段。依照本法案第5章第1条的第2款，这一点同样应用于核实证书的技术手段。 § 6 通告要求 认证中心应向申请者通告本法案第5章第1条提及的确保电子签名安全及其可靠的被核实的必要措施。应向申请者通告用来满足本法案第14章第1条和第2条所规定的需求，向申请者通告有私人密钥产生的电子签名的分配情况。应警告申请人，在已存在的电子签名的安全性随时间减少之前，载有电子签名的数据可能需要再次签名。 § 7 证书内容 (1) 密钥证书应该包含以下信息： 1.密钥所有者的姓名，为防止可能出现的混淆而附加的额外信息，或者密钥所有者独一无二的假名，同样需要清晰的标记出， 2. 分配的公开密钥， 3. 密钥所有者的公共密钥和认证中心的公开密钥所使用的运算法则的名字， 4. 证书的序列号 5. 证书有效期的起止日期 6. 认证中心的名字，和 7. 关于密钥的使用是否在类型和范围方面限制了特定的使用者的说明。 (2) 授权第三方代表的信息和进入本专业的许可信息或者其他类型的许可信息可能同时包括在密钥证书和特征证书里。 (3) 进一步的信息不需包括在密钥证书里除非有相关方面的同意。 § 8 证书失效 (1) 认证中心的证书在以下情况下失效：当密钥的所有者或者他的代表这样证实：该证书是通过对本法案第7章的错误陈述而获得；当认证中心停止运营且另一家认证中心不继续开展它的活动；或者依照本法案第13章第5条第二款，主管当局宣布证书失效。证书的失效应该标明其是何时开始生效的。失效是不能追溯的。 (2) 当证书包含第三方代表的信息，这个第三方可能也会要求证书的失效。 (3) 依照本法案第4章第5条，当一家认证中心停止运营或者许可证被收回时，主管当局应当宣布它发布的相应证书也同时失效。 § 9 时间戳 根据要求，认证中心应该在电子数据上附加一个时间戳。本法案第5章第5条的第一二款应当在作了必要的修正之后加以应用。 § 10 存档 认证中心应为遵守本法案以及本法案第16章规定的具有法律效力的法令的安全措施和证书的发放建立文档以确保数据的完整性，以便数据可以在任何时间被查证。 § 11 停止经营 (1) 认证中心停止经营需要在可能的最早的时间通知主管当局，并且应当保证本认证中心停止经营被另一家认证中心接管后证书继续有效或者让证书失效。 (2) 依照本法案第10章，停止经营的认证中心需要将文档移交给接管证书的认证中心或者移交给主管当局。 (3) 停止经营的认证中心应及时给主管当局递交破产陈述书或者机构重组程序的陈述书。 § 12 数据保护 (1) 认证中心只能直接从相关方或是为了验证的目的而要求的相关方收集个人信息。只有在争得相关方的同意后才允许从第三方收集信息。如果在本法案或者其他法律规定允许的范围内或者在第三方同意的条件下，收集的信息也只能用于实现除了第一款所规定的其他目的。 (2) 密钥所有者使用假名时，按照要求，认证中心有义务告诉主管团体关于密钥所有者身份的信息，这些信息用于：犯罪起诉和行政犯罪，将危险转移至公共安全或社会治安，推卸联邦或国家机构的法定责任，保护宪法、联邦情报局[Bundesnachrichtendienst]、军事反情报局[Militärischer Abschirmdienst]或者海关刑事局[Zollkriminalamt]。这样的假名揭发应当存档。当假名的揭发不会干涉到密钥所有者推卸法定责任时，或者告诉密钥所有者假名被揭发对其有十分重要的影响时，要求揭发假名的机构应当在假名揭发时马上通知密钥所有者。 (3) 根据附属条款的规定——当没有出现违反数据保护规定的迹象时也可以实施查证活动，联邦数据保护法案第38章适用于本法案。 § 13 义务的监控与执行 (1) 主管当局可以采取措施监控认证中心确保其遵守本法案和有法律效力的法令。特别地，可以禁止采用不正当的技术手段和暂时全部或者部分停止认证中心的运营。依照本法案第4章，可以责令该拥有许可证而没有被监控团体停止从事认证活动。 (2) 依照上面第1条第一款，为了实施监控，认证中心应允许主管当局在正常营业时间进入生产场所和事务所；应当按照要求提供检查所需的相关书籍、记录、支持文件、证件和其他文档；应当透漏相关信息和提供所有必须的支持。依照行政犯罪法案，任何有义务提供信息的人可能会拒绝回答一些问题，因为这些问题可能使他们自己或者按照民事程序守则中383章1.1至1.3条所规定的与他们有血缘关系的人易于卷入诉讼。任何有义务回答质问的人应该被告知有这个权利。 (3) 如果在本法案或者有法律效力的法令下出现不履行义务的情况，或者如果有原因拒发许可证，当上述13章第1条的第2款中的措施不可能成功时，主管当局应当收回其授权的许可认证。 (4) 如果发生许可证的撤销或收回或者停止运营认证中心，主管当局应当确保将原认证中心的工作转移给另一家认证中心或者结束与密钥所有者的合同。这一点也同样适用于提出破产陈述书或者机构重组程序的陈述书，并且停止被许可的活动。 (5) 认证中心发布的证书的有效性在认证中心许可证被撤销或收回后仍然不受影响。当有事实证明证书被伪造，或者不能充分的防止被伪造，或者用于密钥的技术成手段存在电子签名被伪造或签字数据被操纵后不能被查明的安全缺陷，主管当局可以宣布证书失效。 § 14 技术手段 (1) 生产和存储密钥以及生产和核实电子签名需要有技术手段保证安全，它可以可靠的揭露伪造的电子签名和被操纵的电子信息，可以防止在没有被批准的情况下就使用私人密钥。 (2) 具备安全措施的技术手段用来呈现签名的数据，这些数据在数字签名产生以前就被清晰的标明，它也可以验证用于签名的数据。查证被签署的数据需要有安全措施的技术手段，它可以保证被签署数据的完整性，保证应用电子签名的电子数据和拥有电子签名的密钥所有者被确认一致。 (3) 与本法案第5章第1条第二款相一致，使得密钥证书得以保存以便查证和修改的技术手段需要采取安全措施以防止证书清单发生未经授权的变更或修改。 (4) 依照本法案上述第14条第1至3款，技术成分应当被充分的检验满足当前的工程标准，满足被主管当局认可的团体证实的要求。 (5) 依照本法案上述第14章第1至3条，与欧盟其他成员国或者其他参加欧洲经济区协议的国家生效的规章和要求相一致的技术手段，如果被合法地生产和投放市场且具有相同的安全等级即可视为满足了技术安全条件。依照上面的第一款，在正当的场合，在主管当局要求下须提供满足需求的证据。依照上面第14章的1至3条，需要主管当局认可的团体出具证明说明这些证据满足了技术安全需求。在下面这个条件下，欧盟其他成员国或者其他参加欧洲经济区协议国家许可的团体出具的证明也可以被接受：该团体的检验报告所基于的技术需求、检验和检验程序等同于被主管当局认可团体的技术要求、检验和检验程序。 § 15 其他国家发放的证书 (1) 欧洲联盟的其他成员国或者其他参加欧洲经济区协议的国家鉴定的公共密钥所核实的电子签名只要有相同的安全等级即可视为等同于本法案中的电子签名。 (2) 上面一段的规定也适用于其他的缔结了相关的超国家或者政府间协议的国家。 § 16 具有法律效力的法令 具有法律效力的法令授权联邦政府发布执行本法案第3至15章所需要的关于以下内容的法律规定： 1. 关于授予、撤销、收回许可证和停止认证中心运营的程序的进一步详细规定，依照本法案第4章第6条的收费服务和费用水平规定， 2. 认证中心义务的进一步详细规定， 3. 密钥证书的有效期， 4. 监控认证中心的进一步详细规定， 5. 适用于技术手段及其检验的详细需求和对符合需求的证实， 6. 需要附加一个新的电子签名的时期及相关程序。 [*]1983年3月28日的议会决议83/189/EEC为在技术标准与技术规则领域的信息条款制定了有关程序，这些程序被欧洲议会94/10/EC决议和1994年3月23日的议会决议(OJ No L 100, p 30)最后修订，目前该决议中的要求一直被有效地遵守。