L E G E
privind identificarea electronică şi serviciile de încredere
nr. 124 din 19.05.2022
Monitorul Oficial nr.170-176/317 din 10.06.2022
* * *
C U P R I N S
Capitolul I
DISPOZIŢII GENERALE
Articolul 1. Scopul legii şi domeniul de aplicare
Articolul 2. Noţiuni principale
Articolul 3. Recunoaşterea reciprocă
Capitolul II
IDENTIFICAREA ELECTRONICĂ ŞI SERVICIILE DE ÎNCREDERE
Secţiunea 1
Generalităţi privind identificarea electronică şi serviciile de încredere
Articolul 4. Accesibilitatea pentru persoanele cu necesităţi speciale
Articolul 5. Identificarea persoanelor în cadrul sistemelor informaţionale
Articolul 6. Prestatorul de servicii de încredere
Articolul 7. Cererea de acreditare
Articolul 8. Acreditarea prestatorului serviciilor de încredere
Articolul 9. Activitatea prestatorului de servicii de încredere
Articolul 10. Obligaţiile prestatorului de servicii de încredere
Articolul 11. Cererea de certificare a cheii publice
Articolul 12. Examinarea cererii de certificare a cheii publice
Articolul 13. Certificatul cheii publice
Articolul 14. Cheia privată şi cheia publică
Articolul 15. Termenul de valabilitate şi termenul de păstrare a certificatului cheii publice
Articolul 16. Suspendarea valabilităţii şi revocarea certificatului cheii publice
Articolul 17. Obligaţiile titularului certificatului cheii publice
Articolul 18. Registrul certificatelor cheilor publice
Secţiunea a 2-a
Semnătura electronică şi sigiliul electronic
Articolul 19. Principiile utilizării semnăturii electronice şi a sigiliului electronic
Articolul 20. Tipuri de semnături electronice şi de sigilii electronice
Articolul 21. Regimul juridic de utilizare a semnăturii electronice şi a sigiliului electronic
Articolul 22. Limitele utilizării unor tipuri de semnături sau de sigilii electronice
Articolul 23. Cerinţe pentru semnăturile electronice avansate şi sigiliile electronice avansate
Articolul 24. Cerinţe pentru semnăturile electronice calificate şi sigiliile electronice calificate
Articolul 25. Cerinţe pentru certificatele calificate pentru semnături electronice sau pentru sigilii electronice
Articolul 26. Crearea semnăturii electronice sau a sigiliului electronic
Articolul 27. Cerinţe pentru dispozitivele de creare a semnăturilor electronice sau a sigiliilor electronice
Articolul 28. Verificarea autenticităţii semnăturii electronice sau a sigiliului electronic
Articolul 29. Cerinţe pentru validarea semnăturii electronice calificate şi a sigiliului electronic calificat
Secţiunea a 3-a
Mărcile temporale electronice
Articolul 30. Efectul juridic al mărcilor temporale electronice
Articolul 31. Cerinţe pentru mărcile temporale electronice
Secţiunea a 4-a
Serviciul de distribuţie electronică înregistrată şi autentificare a unei pagini web
Articolul 32. Efectul juridic al unui serviciu de distribuţie electronică înregistrată
Articolul 33. Cerinţe pentru serviciile de distribuţie electronică înregistrată calificate
Articolul 34. Cerinţe pentru certificatele calificate pentru autentificarea unei pagini web
Capitolul III
SUPRAVEGHEREA ŞI CONTROLUL
Articolul 35. Organul de supraveghere şi control
Articolul 36. Controlul în domeniul serviciilor de încredere
Articolul 37. Suspendarea şi reluarea valabilităţii acreditării
Articolul 38. Retragerea acreditării
Articolul 39. Asigurarea securităţii cibernetice de către prestatorii de servicii de încredere
Capitolul IV
REGIMUL JURIDIC AL DOCUMENTULUI ELECTRONIC
ŞI CIRCULAŢIA ELECTRONICĂ A DOCUMENTELOR
Articolul 40. Regimul juridic de utilizare a documentului electronic
Articolul 41. Domeniile şi scopul utilizării documentului electronic
Articolul 42. Cerinţele faţă de documentul electronic
Articolul 43. Autenticitatea documentului electronic
Articolul 44. Organizarea circulaţiei electronice a documentelor
Articolul 45. Intermediarul în circulaţia electronică a documentelor
Articolul 46. Crearea documentului electronic
Articolul 47. Expedierea şi recepţionarea documentului electronic
Articolul 48. Momentul expedierii şi al recepţionării documentului electronic
Articolul 49. Evidenţa documentelor electronice
Articolul 50. Păstrarea documentelor electronice
Articolul 51. Protecţia documentului electronic
Capitolul V
PROTECŢIA DATELOR CU CARACTER PERSONAL.
RĂSPUNDEREA JURIDICĂ
Articolul 52. Protecţia datelor cu caracter personal
Articolul 53. Răspunderea persoanelor fizice şi juridice care cad sub incidenţa prezentei legi
Articolul 54. Răspunderea prestatorului de servicii de încredere şi sarcina probei
Articolul 55. Răspunderea titularului certificatului cheii publice
Capitolul VI
DISPOZIŢII FINALE ŞI TRANZITORII
Articolul 56. Dispoziţii finale
Articolul 57. Dispoziţii tranzitorii
Parlamentul adoptă prezenta lege organică.
Prezenta lege transpune parţial Regulamentul (UE) nr.910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, publicat în Jurnalul Oficial al Uniunii Europene L 257 din 28 august 2014.
Capitolul I
DISPOZIŢII GENERALE
Articolul 1. Scopul legii şi domeniul de aplicare
(1) Prezenta lege are drept scop asigurarea funcţionării la un nivel adecvat a pieţei naţionale în domeniul securităţii mijloacelor de identificare electronică şi a serviciilor de încredere, precum şi stabileşte cadrul normativ de bază pentru utilizarea semnăturilor electronice, sigiliilor electronice, mărcilor temporale electronice, documentelor electronice, serviciilor de distribuţie electronică înregistrate şi serviciilor de certificare pentru autentificarea paginilor web.
(2) Prezenta lege nu limitează modul de utilizare a documentelor.
Articolul 2. Noţiuni principale
În sensul prezentei legi, următoarele noţiuni semnifică:
autentificare – proces electronic care permite confirmarea identificării electronice a persoanelor fizice şi/sau juridice sau a originii şi integrităţii anumitor date în formă electronică;
arhiva electronică securizată – depozit structurat de documente electronice, care asigură confidenţialitatea, nonrepudierea şi integritatea acestora şi care garantează valoarea probantă în timp a documentelor electronice;
certificatul cheii publice – document electronic care conţine cheia publică, căruia i-a fost aplicată semnătura electronică sau sigiliul electronic al prestatorului serviciilor de încredere, care permite identificarea titularului certificatului cheii publice şi care atestă apartenenţa cheii respective acestui titular;
certificat calificat al cheii publice – certificat al cheii publice care întruneşte cerinţele prevăzute la art.13 şi care este eliberat de un prestator de servicii de încredere ce întruneşte cerinţele prevăzute la art.8;
certificat pentru semnătură electronică – atestare electronică care face legătura între datele de validare a semnăturii electronice şi o persoană fizică şi care confirmă cel puţin numele persoanei respective;
certificat pentru sigiliu electronic – atestare electronică care face legătura între datele de validare a sigiliului electronic şi o persoană juridică şi care confirmă denumirea persoanei respective;
certificat calificat pentru semnătură electronică – certificat pentru semnătură electronică emis de un prestator de servicii de încredere calificat şi care întruneşte cerinţele prevăzute la art.25;
certificat calificat pentru sigiliu electronic – certificat pentru sigiliu electronic emis de un prestator de servicii de încredere calificat şi care întruneşte cerinţele prevăzute la art.25;
creatorul sigiliului electronic – persoană juridică care creează sigiliul electronic;
certificat pentru autentificarea paginii web – atestare electronică care face posibilă autentificarea unei pagini web şi face legătura între pagina web respectivă şi persoana fizică sau juridică căreia i-a fost emis certificatul;
certificat calificat pentru autentificarea paginii web – certificat pentru autentificarea unei pagini web emis de un prestator de servicii de încredere calificat şi care întruneşte cerinţele prevăzute la art.34;
cheie publică – consecutivitate digitală unică, formată prin intermediul dispozitivului de creare a semnăturilor electronice sau a sigiliilor electronice, care corespunde cheii private interdependente şi este destinată utilizării pentru verificarea autenticităţii semnăturii electronice;
cheie privată – consecutivitate digitală unică, formată prin intermediul dispozitivului de creare a semnăturilor electronice sau a sigiliilor electronice, care este destinată utilizării pentru crearea semnăturilor electronice sau a sigiliilor electronice;
date de identificare personală – set de date care permite stabilirea identităţii unei persoane fizice sau a datelor de identificare ale unei persoane juridice ori a identităţii persoanei fizice care reprezintă o persoană juridică;
date de creare a semnăturilor electronice sau a sigiliilor electronice – date unice care sunt utilizate de semnatar sau de creatorul sigiliului electronic pentru a crea o semnătură electronică sau un sigiliu electronic;
date de validare – date care sunt utilizate pentru a valida o semnătură electronică sau un sigiliu electronic;
date de verificare a semnăturii electronice sau a sigiliilor electronice – date care sunt utilizate în scopul verificării unei semnături electronice sau unui sigiliu electronic;
dispozitiv de creare a semnăturilor electronice sau a sigiliilor electronice – software sau hardware configurat, utilizate pentru crearea semnăturilor electronice sau a sigiliilor electronice;
dispozitiv de creare a semnăturilor electronice sau sigiliilor electronice calificate – dispozitiv de creare a semnăturilor electronice sau a sigiliilor electronice care întruneşte cerinţele prevăzute la art.27;
dispozitiv de verificare a semnăturilor electronice sau a sigiliilor electronice – software sau hardware configurat, utilizate pentru punerea în aplicare a datelor de verificare a semnăturilor electronice sau a sigiliilor electronice;
document electronic – conţinut în formă electronică, în special sub formă de text ori de înregistrare sonoră, vizuală sau audiovizuală, căruia i-a fost aplicată semnătura electronică sau sigiliul electronic;
identificare electronică – proces de utilizare a datelor de identificare ale persoanelor în formă electronică, reprezentând în mod unic fie o persoană fizică sau juridică, fie o persoană fizică care reprezintă o persoană juridică;
intermediar în circulaţia electronică a documentelor – întreprinzător individual sau persoană juridică care, din numele semnatarului ori creatorului sigiliului electronic şi/sau al destinatarului documentului electronic, organizează şi administrează sistemul de circulaţie electronică a documentelor şi/sau prestează servicii legate de circulaţia electronică a documentelor;
mijloace de identificare electronică – elemente, materiale şi/sau imateriale, care conţin date de identificare personală şi care sunt utilizate în scopul autentificării în cadrul unui serviciu accesibil în regim online;
marcă temporală electronică – date în formă electronică care leagă alte date în formă electronică de un anumit moment, stabilind dovezi că datele din urmă au existat la momentul respectiv;
marcă temporală electronică calificată – marcă temporală electronică care întruneşte cerinţele prevăzute la art.31;
prestator de servicii de încredere – întreprinzător individual sau persoană juridică care prestează unul sau mai multe servicii de încredere ca prestator de servicii de încredere calificat sau prestator de servicii de încredere necalificat;
prestator de servicii de încredere calificat – prestator de servicii de încredere care prestează unul sau mai multe servicii de încredere calificate şi care deţine statut de prestator de servicii de încredere calificat, acordat de către organul de supraveghere şi control;
produs – hardware şi/sau software ori componente specifice ale acestora, destinate utilizării pentru prestarea serviciilor de încredere;
semnătură electronică – date în formă electronică care sunt ataşate la alte date în formă electronică sau sunt logic asociate cu alte date în formă electronică şi care sunt utilizate ca metodă de autentificare;
semnătură electronică avansată – semnătură electronică care întruneşte cerinţele stabilite la art.23;
semnătură electronică calificată – semnătură electronică avansată care este creată prin intermediul unui dispozitiv de creare a semnăturilor electronice calificate şi care se bazează pe un certificat calificat pentru semnături electronice;
semnatar – persoană fizică care creează o semnătură electronică;
serviciu de încredere – serviciu electronic, prestat, de regulă, în schimbul unei remuneraţii, care constă în una sau mai multe din următoarele activităţi:
a) crearea, verificarea şi validarea semnăturilor electronice, a sigiliilor electronice sau a mărcilor temporale electronice, a serviciilor de distribuţie electronică înregistrată şi a certificatelor aferente serviciilor respective;
b) crearea, verificarea şi validarea certificatelor pentru autentificarea unei pagini web;
c) păstrarea semnăturilor electronice, a sigiliilor electronice sau a certificatelor aferente serviciilor respective;
serviciu de încredere calificat – serviciu de încredere care întruneşte cerinţele aplicabile, prevăzute de prezenta lege;
sigiliu electronic – date în formă electronică ataşate la alte date în formă electronică sau asociate logic cu alte date în formă electronică pentru asigurarea originii şi integrităţii acestora din urmă;
sigiliu electronic avansat – sigiliu electronic care întruneşte cerinţele prevăzute la art.23;
sigiliu electronic calificat – sigiliu electronic avansat care este creat prin intermediul dispozitivului de creare a sigiliilor electronice calificate şi care se bazează pe un certificat calificat al sigiliilor electronice;
serviciu de distribuţie electronică înregistrată – serviciu care permite transmiterea de date între părţi terţe prin mijloace electronice şi furnizează dovezi referitoare la manipularea datelor transmise, inclusiv referitoare la transmiterea şi recepţionarea datelor, şi care protejează datele transmise împotriva riscului de pierdere, furt, deteriorare sau orice modificare neautorizată;
serviciu de distribuţie electronică înregistrată calificat – serviciu de distribuţie electronică înregistrată care întruneşte cerinţele prevăzute la art.33;
titularul certificatului cheii publice – persoană fizică sau juridică ori persoană fizică ce reprezintă persoana juridică, care utilizează serviciile de încredere;
organ de supraveghere şi control – autoritate administrativă centrală abilitată prin prezenta lege cu atribuţii de supraveghere şi control în domeniul identificării electronice şi serviciilor de încredere;
validare – proces prin care se verifică şi se confirmă dacă o semnătură electronică sau un sigiliu electronic este validă/valid.
Articolul 3. Recunoaşterea reciprocă
(1) Recunoaşterea certificatelor cheilor publice peste hotarele Republicii Moldova este reglementată de tratatele internaţionale la care Republica Moldova este parte. În cazul în care tratatele internaţionale la care Republica Moldova este parte stabilesc alte norme decât cele prevăzute de prezenta lege, se aplică normele tratatelor internaţionale.
(2) Certificatul cheii publice eliberat de către un prestator de servicii de încredere cu domiciliul sau cu sediul într-un alt stat este recunoscut ca fiind echivalent, din punctul de vedere al efectelor juridice, cu certificatul cheii publice eliberat de un prestator de servicii de încredere cu domiciliul sau cu sediul în Republica Moldova dacă este întrunită una dintre următoarele condiţii:
a) prestatorul de servicii de încredere cu domiciliul sau cu sediul în alt stat a fost acreditat în cadrul regimului de acreditare în conformitate cu prevederile prezentei legi;
b) un prestator de servicii de încredere calificat cu domiciliul sau cu sediul în Republica Moldova garantează recunoaşterea certificatului respectiv;
c) certificatul cheii publice sau prestatorul de servicii de încredere care l-a eliberat este recunoscut prin aplicarea unui acord bilateral sau multilateral între Republica Moldova şi alte state sau organizaţii internaţionale, pe bază de reciprocitate.
(3) Serviciile de încredere şi documentul electronic nu pot fi considerate lipsite de putere juridică doar în baza faptului că certificatul cheii publice a fost eliberat în corespundere cu normele altui stat, dacă acesta a fost recunoscut în condiţiile indicate la alin.(2).
(4) Prin derogare de la prevederile alin.(1) şi (2), certificatul calificat al cheii publice eliberat de un prestator de servicii de încredere dintr-un stat membru al Uniunii Europene este recunoscut ca fiind echivalent, din punctul de vedere al efectelor juridice, cu certificatul cheii publice eliberat de un prestator de servicii de încredere cu domiciliul sau cu sediul în Republica Moldova.
(5) Modul de recunoaştere a unui certificat calificat al cheii publice eliberat de un prestator de servicii de încredere dintr-un stat membru al Uniunii Europene este stabilit de Guvern.
(6) Dispozitivul de verificare a semnăturilor electronice sau a sigiliilor electronice, utilizat pentru verificarea semnăturii electronice sau a sigiliului electronic în sensul alin.(4), trebuie să dispună de confirmarea corespunderii cu cerinţele prevăzute de prezenta lege, eliberată de către organul de supraveghere şi control.
Capitolul II
IDENTIFICAREA ELECTRONICĂ ŞI SERVICIILE DE ÎNCREDERE
Secţiunea 1
Generalităţi privind identificarea electronică
şi serviciile de încredere
Articolul 4. Accesibilitatea pentru persoanele cu necesităţi speciale
După posibilitate, serviciile de încredere prestate şi produsele destinate utilizatorului final utilizate pentru prestarea serviciilor respective sunt accesibile persoanelor cu necesităţi speciale.
Articolul 5. Identificarea persoanelor în cadrul sistemelor informaţionale
(1) Identificarea persoanelor în cadrul sistemelor informaţionale nu poate fi limitată de datele de identitate sau alte date de identificare a acestora.
(2) În cazul în care se solicită identificarea utilizând serviciile de încredere calificate, se utilizează serviciile de încredere calificate prevăzute de prezenta lege.
Articolul 6. Prestatorul de servicii de încredere
(1) Prestatorii de servicii de încredere pot fi calificaţi sau necalificaţi.
(2) Prestatorii de servicii de încredere sunt organizaţi ierarhic. În vârful organizării ierarhice se situează prestatorul de servicii de încredere de nivel superior.
(3) Prestatorii de servicii de încredere necalificaţi îşi stabilesc individual organizarea ierarhică.
(4) Organizarea şi desfăşurarea activităţii prestatorilor de servicii de încredere calificaţi, inclusiv ierarhia acestora, sunt stabilite de Guvern, în conformitate cu prevederile prezentei legi.
(5) Evidenţa prestatorilor de servicii de încredere calificaţi se ţine de către organul de supraveghere şi control în cadrul Registrului de evidenţă a prestatorilor de servicii de încredere calificaţi, care se actualizează permanent şi la care accesul este public.
(6) Introducerea în Registrul de evidenţă a prestatorilor de servicii de încredere calificaţi se efectuează de către organul de supraveghere şi control la data acreditării prestatorilor respectivi.
Articolul 7. Cererea de acreditare
În scopul acreditării, prestatorul de servicii de încredere prezintă următoarele acte:
a) cererea de acreditare, conform modelului aprobat de către organul de supraveghere şi control;
b) garanţia bancară sau poliţa de asigurare în sumă de 300000 de lei;
c) regulamentul de funcţionare a prestatorului de servicii de încredere;
d) copia de pe ordinul de numire a angajaţilor în cadrul prestatorului de servicii de încredere şi a persoanelor împuternicite să semneze certificatele cheilor publice, precum şi copiile de pe actele de identitate ale acestora;
e) copiile de pe documentele care certifică studiile şi calificările persoanelor cu funcţii de răspundere implicate în prestarea serviciilor de certificare;
f) planul schematic al încăperilor şi ordinea de acces în încăperile cu regim special;
g) actul ce reglementează modul de păstrare a copiilor de rezervă ale registrului certificatelor cheilor publice;
h) ordinea de sincronizare cu timpul universal coordonat (UTC).
Articolul 8. Acreditarea prestatorului serviciilor de încredere
(1) Prestatorul serviciilor de încredere obţine statutul de prestator de servicii de încredere calificat în urma procedurii de acreditare.
(2) Prestatorii de servicii de încredere calificaţi se supun procedurii de acreditare în conformitate cu prevederile prezentei legi.
(3) Acreditarea prestatorului de servicii de încredere se efectuează de către organul de supraveghere şi control, în baza cererii depuse. Acreditarea prestatorului de servicii de încredere este gratuită şi se acordă pentru un termen de 5 ani, dacă în cererea de acreditare nu este indicat un termen mai mic.
(4) Organul de supraveghere şi control, în baza documentelor prezentate, în termen de 30 de zile, ia decizia privind acreditarea prestatorului de servicii de încredere sau privind refuzul acreditării.
(5) Prestatorul de servicii de încredere se consideră calificat din ziua emiterii certificatului de acreditare.
(6) Procedura şi cerinţele detaliate privind modul de solicitare, acordare, suspendare şi retragere a certificatului de acreditare a prestatorului de servicii de încredere calificat se stabilesc de Guvern.
(7) Modul de solicitare, acordare, suspendare şi retragere a certificatului de acreditare a prestatorului de servicii de încredere calificat se stabileşte de Legea nr.160/2011 privind reglementarea prin autorizare a activităţii de întreprinzător – în partea în care nu este reglementat de prezenta lege.
(8) Informaţia despre prestatorii de servicii de încredere calificaţi, precum şi despre cei cărora le-a fost retrasă acreditarea se publică de către organul de supraveghere şi control pe pagina web oficială a acestuia.
(9) Prestatorii de servicii de încredere calificaţi sunt obligaţi, pe parcursul întregului termen de acreditare, să asigure respectarea cerinţelor în conformitate cu care au fost acreditaţi. În cazul apariţiei circumstanţelor care fac imposibilă asigurarea respectării cerinţelor respective, prestatorul de servicii de încredere calificat notifică organul de supraveghere şi control despre aceasta în decurs de 24 de ore.
(10) Prestatorii de servicii de încredere necalificaţi sunt obligaţi să comunice organului de supraveghere şi control, în termen de 10 zile, modificarea procedurilor de securitate şi/sau de certificare, cu indicarea datei şi orei la care modificarea a intrat sau va intra în vigoare.
(11) Prestatorul de servicii de încredere calificat de nivel superior nu este supus acreditării în conformitate cu prevederile prezentei legi.
Articolul 9. Activitatea prestatorului de servicii de încredere
(1) Prestatorul de servicii de încredere:
a) creează şi eliberează certificatele cheilor publice;
b) suspendă valabilitatea şi revocă certificatele cheilor publice, restabileşte valabilitatea certificatelor cheilor publice suspendate;
c) ţine registrul certificatelor cheilor publice, asigură actualizarea acestuia şi accesul public la registru;
d) prestează, în bază de contract, servicii de încredere.
(2) Activitatea prestatorului de servicii de încredere reprezintă o activitate în domeniul protecţiei criptografice şi tehnice a informaţiei şi este supusă licenţierii în conformitate cu legislaţia în domeniul reglementării prin licenţiere a activităţii de întreprinzător.
Articolul 10. Obligaţiile prestatorului de servicii de încredere
(1) Prestatorul de servicii de încredere este obligat:
a) să verifice autenticitatea datelor indicate în cererea de certificare a cheii publice în baza documentelor ce confirmă datele respective;
b) să asigure corespunderea informaţiilor din certificatul cheii publice cu informaţiile prezentate de către titularul certificatului cheii publice;
c) să introducă certificatul cheii publice în registrul certificatelor cheilor publice nu mai târziu de data şi ora la care începe să curgă termenul de valabilitate a certificatului respectiv;
d) să asigure accesul la registrul certificatelor cheilor publice, cu respectarea prevederilor art.52;
e) să suspende valabilitatea sau să revoce certificatul cheii publice în cazurile prevăzute de lege şi să introducă menţiunea respectivă în registrul certificatelor cheilor publice în termenele stabilite;
f) să acopere prejudiciile aduse entităţilor sau persoanelor fizice, care se încred, în mod rezonabil, în datele conţinute în certificatul cheii publice eliberat de către prestatorul de servicii de încredere, prin faptul că a omis să înregistreze revocarea certificatului;
g) să înştiinţeze titularul certificatului cheii publice despre faptele care au devenit cunoscute prestatorului de servicii de încredere şi care fac imposibilă utilizarea în continuare a cheii private, precum şi despre revocarea certificatului cheii publice;
h) să prezinte informaţiile necesare pentru autentificarea serviciilor de încredere.
(2) Suplimentar obligaţiilor stipulate la alin.(1), prestatorul de servicii de încredere calificat este obligat:
1) să certifice, în modul stabilit de legislaţie, cheia sa publică destinată certificării cheilor publice;
2) să informeze organul de supraveghere şi control cu privire la modificările survenite în prestarea serviciilor de încredere calificate şi cu privire la intenţia de a-şi înceta activitatea respectivă;
3) să utilizeze sisteme sigure pentru stocarea datelor care îi sunt furnizate, într-o formă care poate fi verificată, astfel încât:
a) acestea să fie disponibile publicului pentru cercetări numai în cazul în care a fost obţinut consimţământul persoanei la care se referă datele;
b) numai persoanele autorizate să poată introduce şi/sau modifica datele stocate;
c) autenticitatea datelor să poată fi controlată;
4) să verifice, prin mijloace corespunzătoare şi în conformitate cu legislaţia, identitatea şi, după caz, atributele specifice ale persoanei fizice sau juridice căreia i se emite sau i s-a emis un certificat calificat. Informaţiile menţionate sunt verificate de prestatorul de servicii de încredere calificat, fie direct, fie prin intermediul unei părţi terţe:
a) de către persoana fizică sau de către un reprezentant autorizat al persoanei juridice, în persoană; sau
b) de la distanţă, utilizând mijloace de identificare electronică pentru care, înainte de eliberarea certificatului calificat, a fost asigurată prezenţa fizică a persoanei fizice sau a unui reprezentant autorizat al persoanei juridice; sau
c) prin intermediul unui certificat al cheii publice, al unei semnături electronice calificate sau al unui sigiliu electronic calificat; sau
d) prin utilizarea altor metode de identificare recunoscute la nivel naţional, care oferă un nivel de asigurare echivalent, din perspectiva fiabilităţii, cu prezenţa fizică. Metodele alternative de identificare de la distanţă a persoanei sunt stabilite de către Guvern;
5) să ia măsuri adecvate împotriva falsificării şi furtului de date;
6) să înregistreze, pe o perioadă stabilită, în conformitate cu art.13, toate informaţiile pertinente referitoare la un certificat calificat al cheii publice, în special pentru a putea furniza dovezi privind certificarea în justiţie. Înregistrările pot fi efectuate prin mijloace electronice;
7) înainte să stabilească o relaţie contractuală cu o persoană care solicită un certificat în sprijinul serviciului său de încredere, să informeze persoana respectivă, prin mijloace de comunicaţie fiabile, cu privire la termenele şi condiţiile exacte de utilizare a certificatului, inclusiv cu privire la limitele impuse utilizării acestui certificat, la existenţa unui sistem de acreditare şi la procedurile de contestare şi soluţionare a litigiilor. Informaţiile transmise în formă electronică trebuie furnizate ca text, într-un limbaj accesibil. Elementele pertinente ale informaţiilor trebuie puse, la cerere, şi la dispoziţia părţilor terţe care beneficiază de certificat al cheii publice;
8) să solicite eliberarea duplicatului certificatului de acreditare în cazul pierderii sau deteriorării acestuia;
9) să înregistreze şi să menţină accesibile pentru o perioadă de 15 ani, inclusiv după încetarea activităţii, toate informaţiile relevante referitoare la datele emise şi primite, în special în scopul furnizării probelor în procedurile judiciare şi în scopul asigurării continuităţii serviciului. Înregistrările respective pot fi efectuate în format electronic.
[Art.10 completat prin Legea nr.37 din 29.02.2024, în vigoare 22.04.2024]
Articolul 11. Cererea de certificare a cheii publice
(1) Cererea de certificare a cheii publice se depune de către:
a) persoana fizică;
b) persoana juridică prin reprezentantul său.
(2) Cererea de certificare a cheii publice se depune în formă electronică sau pe suport de hârtie.
(3) Cererea de certificare în formă electronică:
a) se transmite prestatorului de servicii de încredere sub formă de document electronic semnat cu semnătură electronică calificată ori căruia i s-a aplicat sigiliul electronic; sau
b) se completează şi se înregistrează de către prestatorul de servicii de încredere, ca urmare a identificării de la distanţă a solicitantului prin intermediul soluţiilor puse la dispoziţie de prestatorul de servicii de încredere.
(4) Cererea de certificare a cheii publice conţine:
a) datele de identificare ale solicitantului;
b) alte date ale solicitantului, în funcţie de scopul pentru care se eliberează certificatul cheii publice, precum şi informaţiile necesare pentru comunicarea cu acesta.
[Art.11 în redacţia Legii nr.37 din 29.02.2024, în vigoare 22.04.2024]
Articolul 12. Examinarea cererii de certificare a cheii publice
(1) Cererea de certificare a cheii publice este examinată de către prestatorul de servicii de încredere în termen de 5 zile lucrătoare de la data înregistrării cererii, dacă părţile nu stabilesc altfel.
(2) În baza deciziei de certificare a cheii publice, prestatorul de servicii de încredere creează şi eliberează certificatul cheii publice.
(21) În cazul cererilor depuse în conformitate cu art.11 alin.(3), prestatorul de servicii de încredere este în drept să implementeze soluţii de automatizare a procesului de examinare a cererii şi de emitere a deciziei de certificare a cheii publice.
(3) Decizia privind refuzul certificării cheii publice este luată de prestatorul de servicii de încredere în cazul:
a) depunerii cererii de certificare a cheii publice cu încălcarea prevederilor art.11;
b) încălcării drepturilor unor terţi în procesul de întocmire sau de depunere a cererii de certificare a cheii publice;
c) prezentării în cererea de certificare a cheii publice a unor informaţii care nu sunt veridice.
(4) Decizia privind refuzul certificării cheii publice poate fi contestată în instanţa de judecată în modul stabilit.
(5) Decizia privind refuzul certificării cheii publice nu-l privează pe solicitant de dreptul de a depune o nouă cerere după înlăturarea tuturor încălcărilor admise.
[Art.12 completat prin Legea nr.37 din 29.02.2024, în vigoare 22.04.2024]
Articolul 13. Certificatul cheii publice
(1) La crearea certificatului cheii publice, prestatorul de servicii de încredere este obligat să verifice unicitatea cheii publice.
(2) Certificatul cheii publice trebuie să conţină:
a) numărul unic de înregistrare a certificatului cheii publice;
b) datele de identificare ale prestatorului de servicii de încredere care a eliberat certificatul cheii publice;
c) datele de identificare şi alte date ale titularului certificatului cheii publice, în funcţie de scopul pentru care se eliberează certificatul, precum şi informaţiile necesare pentru comunicarea cu acesta;
d) cheia publică;
e) data şi ora la care începe să curgă termenul de valabilitate a certificatului cheii publice şi data şi ora la care acest termen încetează;
f) date despre algoritmul criptografic utilizat;
g) restricţiile privind utilizarea certificatului cheii publice şi/sau limitele valorii operaţiunilor în care acesta poate fi utilizat, dacă acestea se aplică;
h) alte informaţii prevăzute de legislaţie.
(3) Certificatul calificat al cheii publice se emite de către prestatorul de servicii de încredere calificat şi, suplimentar, trebuie să conţină:
a) menţiunea despre faptul că certificatul este eliberat ca certificat calificat al cheii publice;
b) datele de verificare a semnăturii electronice sau a sigiliului electronic care corespund datelor de creare a semnăturii electronice sau a sigiliului electronic, controlate de titularul certificatului cheii publice, în cazul în care certificatul este eliberat pentru semnături electronice sau sigilii electronice.
(4) În cazul serviciilor de încredere necalificate, structura certificatului cheii publice se stabileşte de către prestatorul de servicii de încredere, în conformitate cu prevederile prezentei legi. În cazul serviciilor de încredere calificate, structura certificatului cheii publice se stabileşte de către organul de supraveghere şi control, în conformitate cu prevederile prezentei legi.
(5) Certificatului cheii publice i se aplică semnătura electronică sau sigiliul electronic al prestatorului de servicii de încredere corespunzătoare tipului certificatului solicitat.
(6) În cazurile stabilite de legislaţie sau prin acordul părţilor, prestatorul de servicii de încredere creează certificatul cheii publice şi în formă de document pe suport de hârtie, în două exemplare. Certificatul cheii publice în formă de document pe suport de hârtie este semnat cu semnăturile olografe ale titularului certificatului cheii publice şi ale persoanei împuternicite a prestatorului de servicii de încredere. Un exemplar al certificatului cheii publice se transmite titularului, iar celălalt se păstrează la prestatorul de servicii de încredere.
(7) Prestatorul de servicii de încredere, de comun acord cu titularul certificatului cheii publice, poate indica în certificatul cheii publice cazurile în care certificatul respectiv poate fi utilizat, precum şi restricţiile cu privire la utilizarea acestuia.
(8) La cererea titularului certificatului cheii publice, prestatorul de servicii de încredere poate indica în certificatul cheii publice şi alte informaţii decât cele specificate la alin.(2) şi (3), cu condiţia că aceasta nu contravine legislaţiei şi nu pune în pericol securitatea naţională sau ordinea publică, precum şi numai după verificarea prealabilă a exactităţii informaţiilor respective.
(9) Prestatorul de servicii de încredere introduce certificatul cheii publice în registrul certificatelor cheilor publice nu mai târziu de data şi ora la care începe să curgă termenul de valabilitate a certificatului.
Articolul 14. Cheia privată şi cheia publică
(1) Cheia privată şi cheia publică utilizate la crearea serviciilor de încredere se creează de către persoana fizică sau juridică. Acestea pot fi create de persoane terţe, prin acordul expres al persoanei respective, cu condiţia asigurării imposibilităţii de copiere a acestor chei.
(2) Cheia privată şi cheia publică interdependente se creează concomitent.
(3) Persoana fizică sau juridică poate fi titular al unui număr nelimitat de chei private şi chei publice.
(4) Cheia privată este utilizată exclusiv de către titular, într-un mod ce exclude accesul la aceasta al altei persoane.
(5) Cheia publică este certificată de către prestatorul de servicii de încredere şi este accesibilă tuturor.
Articolul 15. Termenul de valabilitate şi termenul de păstrare a certificatului cheii publice
(1) Termenul de valabilitate a certificatului cheii publice al prestatorului de servicii de încredere de nivel superior este de 20 de ani, iar termenul de valabilitate a certificatului cheii publice al prestatorului de servicii de încredere de nivelul II – 10 ani. Termenul de valabilitate a certificatului cheii publice al utilizatorului se stabileşte de către prestatorul de servicii de încredere, dar nu poate fi mai mare de 5 ani, în funcţie de capacităţile mijloacelor tehnice de creare a semnăturii electronice.
(2) Prestatorul de servicii de încredere este obligat să păstreze certificatul cheii publice cel puţin 15 ani de la data revocării sau expirării certificatului respectiv.
Articolul 16. Suspendarea valabilităţii şi revocarea certificatului cheii publice
(1) Prestatorul de servicii de încredere suspendă valabilitatea certificatului cheii publice la cererea titularului certificatului cheii publice.
(2) Prestatorul de servicii de încredere revocă certificatul cheii publice:
a) la cererea titularului certificatului cheii publice;
b) la cererea conducătorului persoanei juridice în care activează titularul certificatului cheii publice, în cazul certificatelor eliberate titularilor acestora pentru reprezentarea persoanei juridice;
c) la depistarea unor informaţii neveridice în cererea de certificare a cheii publice sau în certificatul cheii publice;
d) la încălcarea confidenţialităţii cheii private (compromiterea cheii private);
e) la expirarea termenului pentru care a fost suspendată valabilitatea certificatului cheii publice şi în lipsa unei cereri din partea titularului certificatului cheii publice privind restabilirea valabilităţii acestuia;
f) la modificarea informaţiei cuprinse în certificatul cheii publice;
g) în cazul decesului titularului certificatului cheii publice sau al instituirii unei măsuri de ocrotire judiciare (ocrotire provizorie, curatelă sau tutelă) în privinţa titularului;
h) la solicitarea organului de supraveghere şi control, în cazul încălcării prezentei legi.
(3) În cazul în care prestatorul de servicii de încredere primeşte informaţii care impun revocarea certificatului cheii publice, acesta este obligat, în termen de 3 ore de lucru, să introducă menţiunile respective în registrul certificatelor cheilor publice.
(4) Prestatorul de servicii de încredere este obligat să înştiinţeze titularul certificatului cheii publice despre motivele revocării certificatului acestuia, cu excepţia cazului în care procedura de revocare a fost iniţiată de către titular.
Articolul 17. Obligaţiile titularului certificatului cheii publice
Titularul certificatului cheii publice este obligat:
1) să asigure condiţiile necesare pentru excluderea accesului altei persoane la cheia sa privată;
2) să nu utilizeze cheia privată pentru serviciile de încredere dacă are motive să presupună că este compromisă confidenţialitatea cheii private;
3) să solicite imediat suspendarea valabilităţii certificatului cheii publice sau revocarea acestuia în cazul în care:
a) a pierdut cheia privată;
b) are motive să presupună că a fost compromisă confidenţialitatea cheii private;
c) informaţiile cuprinse în certificatul cheii publice nu sunt veridice;
4) să înştiinţeze, în decurs de 24 de ore, prestatorul de servicii de încredere despre modificarea informaţiilor cuprinse în certificatul cheii publice;
5) să îndeplinească alte obligaţii prevăzute de prezenta lege şi de acordul încheiat cu prestatorul de servicii de încredere.
Articolul 18. Registrul certificatelor cheilor publice
(1) Prestatorul de servicii de încredere este obligat să ţină registrul certificatelor cheilor publice.
(2) Registrul certificatelor cheilor publice conţine:
a) certificatele valabile ale cheilor publice;
b) certificatele revocate şi suspendate ale cheilor publice;
c) data şi ora eliberării certificatelor cheilor publice;
d) data şi ora revocării certificatelor cheilor publice;
e) alte informaţii în conformitate cu actele normative în domeniul serviciilor de încredere.
(3) În scopul verificării autenticităţii serviciilor de încredere, prestatorul de servicii de încredere este obligat să asigure accesul gratuit la registrul certificatelor cheilor publice, inclusiv în regim de timp real.
Secţiunea a 2-a
Semnătura electronică şi sigiliul electronic
Articolul 19. Principiile utilizării semnăturii electronice şi a sigiliului electronic
Principiile utilizării semnăturii electronice şi a sigiliului electronic sunt:
a) libertatea alegerii şi utilizării oricărui tip de semnătură electronică sau de sigiliu electronic, dacă actele normative sau acordul părţilor nu prevăd utilizarea unui tip concret de semnătură electronică sau de sigiliu electronic, în corespundere cu obiectivele de utilizare a acestora;
b) posibilitatea alegerii oricăror tehnologii şi/sau mijloace tehnice care permit utilizarea tipurilor concrete de semnături electronice sau de sigilii electronice, în conformitate cu prevederile prezentei legi;
c) neadmiterea invocării lipsei de putere juridică a semnăturii electronice ori a sigiliului electronic şi/sau a documentului electronic pe care acestea sunt aplicate doar în baza faptului că semnătura electronică sau sigiliul electronic a fost creat prin intermediul dispozitivului de creare a semnăturilor electronice sau a sigiliilor electronice şi/sau al produsului.
Articolul 20. Tipuri de semnături electronice şi de sigilii electronice
Semnăturile electronice şi sigiliile electronice, ale căror principii şi mecanisme de utilizare se reglementează de prezenta lege, sunt:
a) de tip avansat;
b) de tip calificat.
Articolul 21. Regimul juridic de utilizare a semnăturii electronice şi a sigiliului electronic
(1) Semnătura electronică şi sigiliul electronic, indiferent de gradul de protecţie de care dispun, produc efecte juridice şi sunt acceptate ca probe, inclusiv în cadrul procedurilor judiciare, chiar dacă:
a) se prezintă în formă electronică; sau
b) nu se bazează pe un certificat eliberat de un prestator de servicii de încredere; sau
c) nu se bazează pe un certificat calificat al cheii publice; sau
d) nu sunt create prin intermediul dispozitivului de creare a semnăturilor electronice sau a sigiliilor electronice.
(2) Semnătura electronică calificată are aceeaşi valoare juridică ca şi semnătura olografă.
(3) Semnătura electronică calificată şi sigiliul electronic calificat beneficiază de prezumţia integrităţii datelor şi a corectitudinii originii datelor respective la care se referă semnătura electronică calificată sau sigiliul electronic calificat.
(4) Modalitatea în care se asigură gradul de protecţie a semnăturii electronice calificate pentru echivalarea acesteia cu semnătura olografă aplicată pe hârtie se stabileşte de organul de supraveghere şi control, conform art.35 alin.(2).
(5) Modalitatea de aplicare a semnăturilor electronice şi a sigiliilor electronice de către angajaţii persoanelor juridice de drept public se stabileşte de Guvern. Persoanele juridice de drept privat stabilesc individual modalitatea de aplicare a semnăturilor electronice şi a sigiliilor electronice de către reprezentanţii acestora.
(6) Semnătura electronică şi sigiliul electronic nu constituie mijloace de criptare a informaţiei.
Articolul 22. Limitele utilizării unor tipuri de semnături sau de sigilii electronice
(1) Nu se admite utilizarea semnăturii electronice avansate şi a sigiliului electronic avansat pentru:
a) aplicarea pe documente electronice ce conţin informaţie atribuită la secret de stat;
b) aplicarea pe documentele electronice în raporturile juridice ale persoanelor juridice de drept public cu persoanele fizice şi cu persoanele juridice de drept privat.
(2) Prin derogare de la prevederile alin.(1) lit.a), se admite semnarea documentelor electronice ce conţin informaţii atribuite la secret de stat cu semnătura electronică avansată de către persoanele ale căror identitate şi calitate constituie secret de stat, în condiţiile Legii nr.245/2008 cu privire la secretul de stat, din cadrul Serviciului de Informaţii şi Securitate, al Centrului Naţional Anticorupţie şi al Ministerului Afacerilor Interne, la circulaţia electronică a documentelor din cadrul acestora.
Articolul 23. Cerinţe pentru semnăturile electronice avansate şi sigiliile electronice avansate
Semnăturile electronice avansate şi sigiliile electronice avansate întrunesc cumulativ următoarele cerinţe:
a) fac trimitere exclusiv la titular;
b) permit identificarea titularului;
c) sunt create utilizând date de creare a semnăturilor electronice sau utilizând date de creare a sigiliilor electronice, pe care semnatarul sau, respectiv, creatorul sigiliului electronic le poate utiliza cu un nivel sporit de încredere, exclusiv sub controlul acestuia;
d) sunt legate de datele la care se raportează, astfel încât orice modificare ulterioară a acestor date poate fi detectată.
Articolul 24. Cerinţe pentru semnăturile electronice calificate şi sigiliile electronice calificate
Semnăturile electronice calificate şi sigiliile electronice calificate întrunesc toate cerinţele semnăturilor electronice sau, respectiv, a sigiliilor electronice avansate, precum şi, suplimentar:
a) se bazează pe un certificat calificat al cheii publice emis de un prestator de servicii de încredere calificat;
b) se creează prin intermediul dispozitivului de creare a semnăturilor electronice sau a sigiliilor electronice şi se verifică cu ajutorul dispozitivului de verificare a semnăturilor electronice sau a sigiliilor electronice şi/sau al produsului, care dispun de confirmarea corespunderii cu cerinţele prevăzute de prezenta lege.
Articolul 25. Cerinţe pentru certificatele calificate pentru semnături electronice sau pentru sigilii electronice
(1) Certificatele calificate pentru semnături electronice sau pentru sigilii electronice conţin:
a) menţiunea, într-o formă pasibilă de prelucrare automată, că certificatul a fost emis ca certificat calificat pentru semnături electronice sau pentru sigilii electronice;
b) datele de identificare ale prestatorului de servicii de încredere calificat care emite certificatele calificate;
c) datele de identificare şi alte date ale semnatarului sau ale creatorului sigiliului electronic;
d) datele de validare a semnăturilor electronice sau a sigiliilor electronice care corespund datelor de creare a acestora;
e) data şi ora la care începe să curgă termenul de valabilitate a certificatului şi data şi ora la care acest termen încetează;
f) numărul unic de înregistrare a certificatului;
g) date de verificare a certificatului calificat pentru semnătura electronică sau sigiliul electronic care corespund datelor de creare a acestora.
(2) Suplimentar cerinţelor de la alin.(1), certificatele calificate pentru semnături electronice sau pentru sigilii electronice conţin:
a) semnătura electronică calificată sau sigiliul electronic calificat al prestatorului de servicii de încredere calificat emitent; sau
b) semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere calificat emitent cu domiciliul sau cu sediul într-un alt stat – în cazul certificatelor calificate pentru semnături electronice sau pentru sigilii electronice recunoscute conform art.3; sau
c) semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere de nivel superior – în cazul certificatelor calificate pentru semnături electronice sau pentru sigilii electronice ale prestatorilor de servicii de încredere acreditaţi.
Articolul 26. Crearea semnăturii electronice sau a sigiliului electronic
(1) Crearea semnăturii electronice sau a sigiliului electronic se efectuează prin intermediul dispozitivului de creare a semnăturilor electronice sau a sigiliilor electronice şi/sau al produsului, cu utilizarea datelor de creare a semnăturii electronice sau a sigiliului electronic.
(2) Generarea sau gestionarea datelor de creare a semnăturilor electronice calificate sau a sigiliilor electronice calificate, în numele semnatarului sau creatorului sigiliului electronic, pot fi realizate numai de către un prestator de servicii de încredere calificat, cu acordul titularului certificatului cheii publice.
Articolul 27. Cerinţe pentru dispozitivele de creare a semnăturilor electronice sau a sigiliilor electronice
(1) Dispozitivele de creare a semnăturilor electronice sau a sigiliilor electronice avansate sau calificate trebuie să asigure, prin intermediul mijloacelor tehnice şi procedurilor corespunzătoare, că cel puţin:
a) datele de creare a semnăturii electronice sau a sigiliului electronic nu pot apărea decât o singură dată, iar confidenţialitatea acestora este asigurată în conformitate cu prezenta lege;
b) datele de creare a semnăturii electronice sau a sigiliului electronic nu pot fi deduse prin calcul, iar semnătura electronică sau sigiliul electronic sunt protejate împotriva posibilelor falsificări prin mijloacele tehnice disponibile la data respectivă;
c) datele de creare a semnăturii electronice sau a sigiliului electronic sunt protejate în mod fiabil de semnatarul sau de creatorul sigiliului electronic împotriva utilizării de alte persoane;
d) oferă posibilitatea afişării conţinutului documentului electronic pe care se aplică semnătura electronică sau sigiliul electronic ori face referinţa irevocabilă la documentul respectiv;
e) semnătura electronică sau sigiliul electronic este creat numai după confirmarea de către semnatar sau de către creatorul sigiliului electronic a operaţiunii de creare a semnăturii electronice sau a sigiliului electronic;
f) confirmă în mod univoc crearea semnăturii electronice sau a sigiliului electronic.
(2) Generarea sau gestionarea datelor de creare a semnăturilor electronice sau a sigiliului electronic, în numele semnatarului ori al creatorului sigiliului electronic, pot fi realizate numai de către un prestator de servicii de încredere calificat.
(3) Dispozitivele de creare a semnăturilor electronice sau a sigiliilor electronice avansate ori calificate nu trebuie să modifice datele cărora li se aplică semnătura electronică sau sigiliul electronic avansat sau calificat, ori să împiedice prezentarea datelor respective semnatarului sau creatorului sigiliului electronic înainte de semnare ori de aplicare a sigiliului electronic.
Articolul 28. Verificarea autenticităţii semnăturii electronice sau a sigiliului electronic
(1) Verificarea autenticităţii semnăturii electronice sau a sigiliului electronic se efectuează prin intermediul dispozitivului de verificare a semnăturilor electronice sau a sigiliilor electronice şi/sau al produsului, cu utilizarea datelor de verificare a semnăturii electronice sau a sigiliului electronic.
(2) La verificarea semnăturii electronice avansate sau a sigiliului electronic avansat, precum şi a semnăturii electronice calificate sau a sigiliului electronic calificat, dispozitivul de verificare a semnăturilor electronice sau a sigiliilor electronice şi/sau produsul trebuie:
a) să ofere posibilitatea afişării conţinutului documentului electronic sau să facă referinţă irevocabilă la documentul respectiv;
b) să afişeze faptul modificării documentului electronic;
c) să facă referinţă la semnatar sau la creatorul sigiliului electronic.
(3) La verificarea semnăturii electronice avansate sau a sigiliului electronic avansat, precum şi a semnăturii electronice calificate sau a sigiliului electronic calificat trebuie să se garanteze, cu o siguranţă suficientă, că:
a) datele de verificare a semnăturii electronice sau a sigiliului electronic corespund datelor afişate persoanei care verifică semnătura electronică sau sigiliul electronic;
b) semnătura electronică sau sigiliul electronic este verificat cu certitudine, iar rezultatul verificării şi identitatea semnatarului sau a creatorului sigiliului electronic sunt afişate corect;
c) autenticitatea şi valabilitatea certificatului cheii publice solicitat în momentul verificării semnăturii electronice sau a sigiliului electronic sunt verificate cu certitudine;
d) conţinutul certificatului cheii publice este redat clar;
e) modificările care pot influenţa securitatea semnăturii electronice sau a sigiliului electronic pot fi detectate.
Articolul 29. Cerinţe pentru validarea semnăturii electronice calificate şi a sigiliului electronic calificat
Procesul de validare a semnăturii electronice calificate sau a sigiliului electronic calificat confirmă validitatea acestora cu următoarele condiţii:
a) certificatul care stă la baza semnăturii electronice sau a sigiliului electronic a fost, la momentul semnării sau aplicării sigiliului, un certificat calificat pentru semnătura electronică sau pentru sigiliu electronic, în conformitate cu art.25;
b) certificatul calificat a fost emis de un prestator de servicii de încredere calificat şi a fost valabil în momentul aplicării semnăturii electronice sau a sigiliului electronic;
c) datele de validare a semnăturilor electronice sau a sigiliilor electronice corespund datelor furnizate de titularul certificatului cheii publice;
d) setul unic de date care reprezintă semnatarul sau creatorul sigiliului electronic în certificat este furnizat corect titularului certificatului cheii publice;
e) utilizarea pseudonimului este indicată clar titularului certificatului cheii publice – în cazul în care la momentul semnării s-a folosit un pseudonim;
f) semnătura electronică sau sigiliul electronic a fost creat printr-un dispozitiv de creare a semnăturilor electronice sau a sigiliilor electronice calificate;
g) integritatea datelor cărora le-a fost aplicată semnătura electronică sau sigiliul electronic nu a fost compromisă;
h) cerinţele prevăzute la art.24 erau întrunite la momentul semnării.
Secţiunea a 3-a
Mărcile temporale electronice
Articolul 30. Efectul juridic al mărcilor temporale electronice
(1) Unei mărci temporale electronice nu i se refuză efectul juridic şi posibilitatea de a fi acceptată ca probă în procedurile judiciare doar din motiv că aceasta are formă electronică sau că nu întruneşte cerinţele pentru marca temporală electronică calificată.
(2) O marcă temporală electronică calificată beneficiază de prezumţia corectitudinii datei şi orei pe care le indică şi de prezumţia integrităţii datelor la care se raportează data şi ora pe care le indică.
Articolul 31. Cerinţe pentru mărcile temporale electronice
(1) Cerinţele pentru mărcile temporale electronice avansate sunt stabilite de către prestatorii de servicii de încredere.
(2) O marcă temporală electronică calificată se eliberează de către prestatorul de servicii de încredere calificat şi întruneşte următoarele cerinţe:
a) asigură o legătură între dată şi oră şi alte date, astfel încât să excludă în mod rezonabil posibilitatea ca datele să fie modificate fără ca acest lucru să fie detectat;
b) se bazează pe o sursă de timp exactă, legată de ora universală coordonată;
c) acesteia îi este aplicată semnătura electronică calificată sau sigiliul electronic calificat al prestatorului de servicii de încredere calificat ori semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere calificat emitent cu domiciliul sau cu sediul într-un alt stat – în cazul mărcilor temporale recunoscute conform art.3.
Secţiunea a 4-a
Serviciul de distribuţie electronică înregistrată
şi autentificare a unei pagini web
Articolul 32. Efectul juridic al unui serviciu de distribuţie electronică înregistrată
(1) Datelor transmise şi primite prin utilizarea unui serviciu de distribuţie electronică înregistrată nu li se refuză efectul juridic şi posibilitatea de a fi acceptate ca probă în procedurile judiciare doar din motivul că acestea au formă electronică sau că nu întrunesc cerinţele pentru serviciul de distribuţie electronică înregistrată calificat.
(2) Datele transmise şi primite prin utilizarea unui serviciu de distribuţie electronică înregistrată calificat beneficiază de prezumţia integrităţii datelor, a trimiterii datelor respective de către expeditorul identificat şi a primirii acestora de către destinatarul identificat, precum şi a exactităţii datei şi orei trimiterii şi primirii datelor indicate de serviciul de distribuţie electronică înregistrată.
Articolul 33. Cerinţe pentru serviciile de distribuţie electronică înregistrată calificate
Serviciile de distribuţie electronică înregistrată calificate întrunesc următoarele cerinţe:
a) sunt prestate de unul sau mai mulţi prestatori de servicii de încredere calificaţi;
b) asigură identificarea expeditorului;
c) asigură identificarea destinatarului înainte de furnizarea datelor;
d) trimiterea şi primirea datelor sunt securizate printr-o semnătură electronică sau un sigiliu electronic al prestatorului de servicii de încredere calificat, astfel încât să se excludă posibilitatea că datele să fie modificate fără ca acest lucru să fie detectat;
e) modificarea datelor necesare în scopul de a transmite sau primi datele este clar indicată expeditorului şi destinatarului datelor;
f) data şi ora transmiterii, ale primirii şi ale modificărilor datelor sunt indicate prin mărci temporale electronice calificate.
Articolul 34. Cerinţe pentru certificatele calificate pentru autentificarea unei pagini web
Certificatele calificate pentru autentificarea unei pagini web trebuie să conţină:
a) menţiunea, într-o formă pasibilă de prelucrare automată, că certificatul a fost emis ca certificat calificat pentru autentificarea unei pagini web;
b) datele de identificare ale prestatorului de servicii de încredere calificat care emite certificatele calificate;
c) datele de identificare şi alte date ale titularului certificatului cheii publice, precum şi informaţiile necesare pentru comunicarea cu acesta;
d) data şi ora la care începe să curgă termenul de valabilitate a certificatului şi data şi ora la care acest termen încetează;
e) numele domeniului (domeniilor) gestionat(e) de titularul certificatului cheii publice căruia i s-a emis certificatul;
f) numărul unic de înregistrare a certificatului;
g) semnătura electronică calificată sau sigiliul electronic calificat al prestatorului de servicii de încredere calificat emitent ori semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere calificat emitent cu domiciliul sau cu sediul într-un alt stat – în cazul certificatelor calificate pentru autentificarea unei pagini web recunoscute conform art.3;
h) datele de verificare a certificatului calificat pentru autentificarea unei pagini web care corespund datelor de creare a acestuia.
Capitolul III
SUPRAVEGHEREA ŞI CONTROLUL
Articolul 35. Organul de supraveghere şi control
(1) Organul de supraveghere şi control este Serviciul de Informaţii şi Securitate al Republicii Moldova.
(2) Organul de supraveghere şi control are următoarele atribuţii:
a) este responsabil de elaborarea şi promovarea politicii de stat şi de exercitarea controlului în domeniul serviciilor de încredere;
b) efectuează acreditarea prestatorilor de servicii de încredere şi retrage statutul respectiv;
c) exercită funcţia prestatorului de servicii de încredere calificat de nivel superior pentru prestatorii de servicii de încredere calificaţi;
d) asigură ţinerea, actualizarea şi accesul public la datele Registrului de evidenţă a prestatorilor de servicii de încredere;
e) menţine şi publică, în mod securizat, liste sigure, cărora le este aplicată semnătura electronică sau sigiliul electronic al organului de supraveghere şi control, care includ informaţii referitoare la prestatorii de servicii de încredere calificaţi şi informaţii referitoare la serviciile de încredere calificate prestate de aceştia, într-o formă pasibilă de prelucrare automată;
f) elaborează şi aprobă, prin acte normative, cerinţele în domeniul serviciilor de încredere;
g) supraveghează şi controlează respectarea cerinţelor cu privire la prestarea serviciilor de încredere;
h) participă la elaborarea şi aprobarea reglementărilor tehnice şi a standardelor în domeniul serviciilor de încredere;
i) acordă, la solicitare, asistenţă metodică şi practică la utilizarea serviciilor de încredere;
j) supraveghează prestatorii de servicii de încredere calificaţi privind calitatea şi securitatea serviciilor de încredere calificate pe care le prestează, precum şi privind îndeplinirea cerinţelor stabilite de prezenta lege;
k) suspendă sau retrage acreditarea prestatorului de servicii de încredere, în cazul în care acesta nu întruneşte cerinţele în domeniul serviciilor de încredere;
l) cooperează cu autoritatea naţională pentru protecţia datelor cu caracter personal, în special prin informarea acesteia, fără întârzieri nejustificate, cu privire la rezultatele controalelor prestatorilor de servicii de încredere calificaţi, în cazul în care se presupune că normele de protecţie a datelor cu caracter personal au fost încălcate;
m) solicită prestatorilor de servicii de încredere să remedieze încălcările cerinţelor prevăzute de prezenta lege;
n) realizează colaborarea internaţională în domeniul serviciilor de încredere.
(3) Autoritatea sau instituţia publică responsabilă de prestarea serviciului de sursă unică de sincronizare cu timpul universal coordonat (UTC) este stabilită de Guvern.
Articolul 36. Controlul în domeniul serviciilor de încredere
(1) Controlul privind respectarea cerinţelor stabilite de prezenta lege cu privire la prestarea serviciilor de încredere şi la acreditare sau prelungirea termenului acreditării este efectuat de către organul de supraveghere şi control.
(2) Controlul se efectuează de către Comisia de control în domeniul serviciilor de încredere (în continuare – Comisie), în baza regulamentului aprobat de organul de supraveghere şi control.
(3) Comisia se instituie în cadrul organului de supraveghere şi control, în baza ordinului privind efectuarea controlului, emis de conducătorul organului respectiv.
(4) Componenţa nominală a Comisiei se stabileşte pentru fiecare caz în parte.
(5) Comisia este în drept:
a) să beneficieze de acces liber la materialele documentare, pe suport de hârtie şi în formă electronică, necesare pentru desfăşurarea activităţilor ce ţin de prestarea serviciilor de încredere, precum şi la sistemele de distribuţie de aplicaţii software, la aplicaţiile software şi la mijloacele hardware instalate;
b) să obţină informaţii complete despre condiţiile şi modul de exploatare a mijloacelor software şi hardware;
c) să obţină de la persoanele responsabile şi de la personalul prestatorului de servicii de încredere informaţiile privind prestarea serviciilor de încredere ce ţin de obiectul controlului;
d) să beneficieze de acces, în decursul zilei lucrătoare (în perioada efectuării controlului), în încăperile prestatorului de servicii de încredere.
(6) Comisia nu are dreptul să efectueze controlul fără prezentarea ordinului privind efectuarea controlului şi fără prezentarea actelor de identitate ale membrilor Comisiei.
(7) La efectuarea controlului privind respectarea cerinţelor prevăzute de prezenta lege, Comisia ţine cont de:
a) legalitatea şi respectarea competenţei stabilite de lege;
b) neadmiterea aplicării sancţiunilor care nu sunt stabilite de lege;
c) tratarea dubiilor, apărute la aplicarea legislaţiei, în favoarea prestatorului de servicii de încredere;
d) efectuarea controlului pe cheltuiala statului;
e) prescrierea recomandărilor pentru înlăturarea încălcărilor constatate în urma controlului;
f) dreptul prestatorului de servicii de încredere de a contesta acţiunile organului de supraveghere şi control, inclusiv în instanţa judecătorească.
(8) Controalele planificate privind respectarea de către prestatorul de servicii de încredere calificat a cerinţelor şi obligaţiilor prevăzute de prezenta lege se efectuează de către organul de supraveghere şi control cel mult o dată în decursul anului calendaristic, cu cooptarea, după caz, a reprezentanţilor instituţiilor cu funcţii de reglementare şi de control, conform competenţei.
(9) Planurile controalelor, elaborate de organul de supraveghere şi control şi aprobate în modul stabilit, se coordonează, în privinţa termenelor de efectuare, cu conducerea prestatorului de servicii de încredere cu cel puţin 5 zile lucrătoare înainte de demararea controalelor respective.
(10) Controalele inopinate se efectuează la decizia organului de supraveghere şi control numai în temeiul:
a) depistării şi confirmării, de către organul supraveghere şi control, a încălcărilor prezentei legi; şi/sau
b) recepţionării cererilor şi reclamaţiilor argumentate, adresate în formă scrisă organului de supraveghere şi control, referitoare la încălcările sau la îndeplinirea necorespunzătoare a obligaţiilor prevăzute de prezenta lege de către prestatorul de servicii de încredere.
(11) Prestatorul de servicii de încredere este informat despre efectuarea controlului inopinat în ziua demarării controlului.
(12) Controalele repetate se efectuează numai în scopul verificării executării prescripţiei privind înlăturarea încălcărilor prezentei legi, indicate în actul de control precedent (planificat sau inopinat). Controlul repetat se consideră parte componentă a controlului precedent.
(13) Controlul se efectuează strict în termenele stabilite în ordinul privind efectuarea controlului.
(14) Termenul de efectuare a controlului planificat şi a controlului inopinat nu poate depăşi 10 zile lucrătoare, iar a celui repetat – 5 zile lucrătoare. În cazul controalelor inopinate, termenul de 10 zile poate fi prelungit cu încă 10 zile de către conducătorul organului de supraveghere şi control în baza unei decizii motivate, adusă la cunoştinţa prestatorului de servicii de încredere supus controlului, care poate fi contestată de către prestatorul de servicii de încredere.
(15) La efectuarea controlului privind respectarea cerinţelor şi obligaţiilor prevăzute de prezenta lege, prestatorul de servicii de încredere prezintă informaţia şi documentele relevante scopului controlului şi nu împiedică efectuarea acestuia.
(16) În baza rezultatelor controlului se întocmeşte un act în 2 exemplare, unul dintre care se expediază/înmânează, în termen de cel mult 5 zile lucrătoare după încheierea controlului, prestatorului de servicii de încredere, iar cel de-al doilea se păstrează la organul de supraveghere şi control. În cazul în care prestatorul de servicii de încredere nu este de acord cu rezultatele controlului efectuat, în termen de 10 zile lucrătoare de la data primirii actului de control, acesta poate prezenta în scris argumentele privind dezacordul, anexând documentele relevante.
(17) În cazul în care se depistează încălcări ale cerinţelor prevăzute de prezenta lege, organul de supraveghere şi control emite, în baza actului de control, prescripţia privind înlăturarea acestor încălcări, ce cuprinde recomandările privind modul de remediere a tuturor încălcărilor constatate, precum şi avertizarea despre posibila suspendare sau retragere a acreditării dacă acestea nu vor fi înlăturate în termenul stabilit.
(18) Termenul pentru înlăturarea încălcărilor constatate constituie 15 zile lucrătoare, calculat din ziua următoare celei în care a fost primită prescripţia expediată/înmânată împreună cu actul de control.
(19) Dacă în termenul stabilit prestatorul de servicii de încredere nu a înlăturat toate încălcările constatate, la solicitarea oficială a acestuia, termenul pentru înlăturarea încălcărilor este prelungit cu termenul solicitat de prestatorul de servicii de încredere, dar care nu poate depăşi 20 de zile lucrătoare.
(20) Prestatorul de servicii de încredere calificat care a primit prescripţia privind înlăturarea încălcărilor cerinţelor şi obligaţiilor prevăzute de prezenta lege este obligat, în termenul indicat în prescripţie, să comunice organului de supraveghere şi control informaţia privind înlăturarea încălcărilor.
(21) Informaţiile despre rezultatele efectuării controlului se publică de către organul de supraveghere şi control pe pagina web oficială a acestuia.
(22) Prestatorul de servicii de încredere are dreptul să depună la organul de supraveghere şi control reclamaţii în scris privind încălcările prevederilor prezentei legi admise de Comisie sau să conteste acţiunile acesteia în instanţa de judecată.
Articolul 37. Suspendarea şi reluarea valabilităţii acreditării
(1) Acreditarea este suspendată în conformitate cu legislaţia în domeniul reglementării activităţii de întreprinzător.
(2) Drept temei pentru realizarea acţiunilor prevăzute de lege pentru suspendarea acreditării servesc:
a) cererea prestatorului de servicii de încredere calificat privind suspendarea acreditării;
b) încălcarea de către prestatorul de servicii de încredere a cerinţelor şi obligaţiilor stabilite de prezenta lege;
c) depistarea unor date neautentice în documentele prezentate organului de supraveghere şi control;
d) nevalabilitatea garanţiei bancare sau a poliţei de asigurare;
e) nerespectarea de către prestatorul de servicii de încredere a prescripţiei privind înlăturarea încălcărilor prevăzute de prezenta lege, constatate în urma controlului efectuat de Comisie.
(3) Decizia privind suspendarea acreditării se aduce la cunoştinţa prestatorului de servicii de încredere calificat în termen de 3 zile lucrătoare de la data luării acesteia. Termenul de suspendare a acreditării nu poate depăşi 2 luni.
(4) Prestatorul de servicii de încredere calificat este obligat să înştiinţeze în scris organul de supraveghere şi control despre înlăturarea circumstanţelor care au dus la suspendarea acreditării.
(5) Decizia privind reluarea valabilităţii acreditării se ia de către organul de supraveghere şi control în temeiul hotărârii instanţei de judecată care a emis hotărârea de suspendare a acreditării sau în temeiul hotărârii instanţei de judecată ierarhic superioare, în termen de 3 zile lucrătoare de la data primirii înştiinţării. Decizia se aduce la cunoştinţa prestatorului de servicii de încredere în termen de 3 zile lucrătoare de la data luării acesteia.
(6) Termenul de valabilitate a acreditării nu se prelungeşte pe perioada de suspendare a acesteia.
Articolul 38. Retragerea acreditării
(1) Acreditarea este retrasă în conformitate cu legislaţia în domeniul reglementării activităţii de întreprinzător.
(2) Drept temei pentru realizarea acţiunilor prevăzute de lege în vederea retragerii acreditării servesc:
a) cererea prestatorului de servicii de încredere calificat privind încetarea activităţii, depusă cu 30 de zile înainte de încetarea planificată;
b) decizia cu privire la anularea înregistrării de stat a întreprinzătorului individual sau a persoanei juridice în cadrul căreia activează prestatorul de servicii de încredere;
c) constatarea transmiterii certificatului de acreditare sau a copiei de pe acesta altei persoane în scopul desfăşurării genului de activitate acreditat;
d) neînlăturarea, în termenul stabilit, a circumstanţelor care au dus la suspendarea acreditării;
e) nerespectarea repetată a prescripţiilor privind înlăturarea încălcărilor cerinţelor stabilite de prezenta lege.
(3) Menţiunea referitoare la data şi numărul deciziei privind retragerea acreditării se introduce în Registrul de evidenţă a prestatorilor de servicii de încredere nu mai târziu de ziua lucrătoare imediat următoare zilei luării deciziei.
(4) Toate certificatele cheilor publice emise de către prestatorul de servicii de încredere calificat care şi-a încetat activitatea se revocă şi se transmit spre păstrare altui prestator de servicii de încredere calificat, în modul stabilit de organul de supraveghere şi control, pe contul prestatorului de servicii de încredere care şi-a încetat activitatea.
(5) Prestatorul de servicii de încredere calificat este obligat, în decurs de 10 zile lucrătoare de la data luării deciziei de retragere a acreditării, să depună la organul de supraveghere şi control certificatul de acreditare retras.
Articolul 39. Asigurarea securităţii cibernetice de către prestatorii de servicii de încredere
(1) În scopul asigurării securităţii reţelelor şi a sistemelor informatice utilizate la prestarea serviciilor de încredere, prestatorii de servicii de încredere îndeplinesc obligaţiile privind asigurarea securităţii cibernetice prevăzute de Legea nr.48/2023 privind securitatea cibernetică.
(2) Supravegherea şi controlul de stat al respectării obligaţiilor menţionate la alin.(1) din prezentul articol sunt exercitate de către autoritatea competentă la nivel naţional în domeniul securităţii cibernetice în conformitate cu Legea nr.48/2023 privind securitatea cibernetică.
(3) În exercitarea supravegherii şi controlului de stat al respectării de către prestatorii de servicii de încredere a prevederilor Legii nr.48/2023 privind securitatea cibernetică, autoritatea competentă la nivel naţional în domeniul securităţii cibernetice, desemnată în temeiul legii respective, informează, în termen de 5 zile, organul de supraveghere şi control despre încălcările constatate şi, după caz, despre sancţiunile aplicate.
[Art.39 în redacţia Legii nr.58 din 21.03.2024, în vigoare 01.01.2025]
Capitolul IV
REGIMUL JURIDIC AL DOCUMENTULUI ELECTRONIC
ŞI CIRCULAŢIA ELECTRONICĂ A DOCUMENTELOR
Articolul 40. Regimul juridic de utilizare a documentului electronic
(1) Documentul electronic semnat cu semnătură electronică calificată este asimilat, după efectele acestuia, cu documentul similar pe suport de hârtie, semnat cu semnătură olografă.
(2) Documentul electronic semnat cu alt tip de semnătură electronică decât cea calificată este asimilat, după efectele sale, cu documentul similar pe suport de hârtie, semnat cu semnătură olografă, doar în cazurile stabilite expres de actele normative sau de acordul părţilor privind aplicarea semnăturilor sau sigiliilor electronice, cu respectarea condiţiilor stipulate la art.43 alin.(1).
(3) Actele normative sau acordul părţilor privind aplicarea semnăturilor electronice care stabilesc cazurile de recunoaştere a documentelor electronice, semnate cu alt tip de semnătură electronică decât cea calificată, asimilate, după efectele lor, cu documente similare pe suport de hârtie, semnate cu semnătură olografă, trebuie să prevadă modalitatea de verificare a semnăturii electronice, precum şi obligaţiile părţilor privind confidenţialitatea şi răspunderea materială.
(4) În cazul în care, conform legislaţiei, se cere ca documentul să fie perfectat sau prezentat pe suport de hârtie şi semnat cu semnătură olografă, documentul electronic se consideră corespunzător cerinţelor respective.
(5) În cazul în care, conform legislaţiei, se cere ca documentul pe suport de hârtie să fie autentificat cu ştampilă, documentul electronic se consideră a fi corespunzător cerinţei respective.
(6) Pe mai multe documente electronice legate între acestea (set de documente electronice) se aplică o singură semnătură electronică sau un singur sigiliu electronic.
(7) Modul de utilizare a documentelor electronice în cadrul procedurilor judiciare este reglementat de legislaţia procesuală.
(8) Documentul electronic este echivalat, după valoarea probantă a acestuia, cu probele scrise sau mijloacele materiale de probă şi nu poate fi respins în calitate de probă doar pentru motivul că are formă electronică.
(9) În cazul în care legislaţia prevede înregistrarea de stat a documentului, documentul electronic se supune înregistrării.
(10) Toate exemplarele identice ale documentului electronic sunt considerate originale şi produc aceleaşi efecte juridice.
(11) În cazul în care o persoană creează un document electronic şi un document pe suport de hârtie semnat cu semnătură olografă, identice după conţinut, ambele se consideră documente de sine stătătoare şi originale.
(12) Copia de pe documentul electronic se consideră reprezentarea (redarea) acestuia pe suport de hârtie, într-o formă perceptibilă. Copia de pe documentul electronic se autentifică în modul prevăzut de legislaţie pentru autentificarea copiilor de pe documentele pe suport de hârtie şi conţine menţiunea despre faptul că este copie de pe documentul electronic.
Articolul 41. Domeniile şi scopul utilizării documentului electronic
(1) Documentul electronic poate fi utilizat de către persoanele fizice şi juridice în toate domeniile de activitate în care este posibilă utilizarea mijloacelor software şi hardware care permit crearea, prelucrarea, expedierea, recepţionarea, păstrarea, modificarea şi/sau nimicirea informaţiei în formă electronică.
(2) Documentul electronic poate fi utilizat în scopul expedierii informaţiei, ţinerii corespondenţei, întocmirii actelor juridice, precum şi în calitate de document care reflectă fapte economice.
Articolul 42. Cerinţele faţă de documentul electronic
Documentul electronic trebuie să corespundă următoarelor cerinţe principale:
a) să fie creat, prelucrat, expediat, recepţionat, păstrat, modificat şi/sau nimicit cu ajutorul mijloacelor software şi/sau hardware;
b) să conţină, pentru confirmarea autenticităţii acestuia, una sau mai multe semnături electronice sau sigilii electronice care corespund condiţiilor şi cerinţelor stabilite de prezenta lege;
c) să fie creat şi utilizat prin metode şi într-o formă ce ar permite identificarea semnatarului sau creatorului sigiliului electronic;
d) să fie afişat într-o formă perceptibilă;
e) să permită utilizarea repetată a acestuia.
Articolul 43. Autenticitatea documentului electronic
(1) Documentul electronic este considerat autentic dacă întruneşte cumulativ următoarele condiţii:
a) semnătura electronică sau sigiliul electronic este aplicat de persoana abilitată, în modul stabilit, să semneze cu semnătură olografă documentul echivalent pe suport de hârtie;
b) pe documentul electronic este aplicată semnătura electronică autentică sau sigiliul electronic autentic al semnatarului sau al creatorului sigiliului electronic indicat în document.
(2) Verificarea autenticităţii documentului electronic se efectuează prin verificarea, cu ajutorul dispozitivelor de verificare a semnăturilor electronice sau a sigiliilor electronice şi/sau al produsului, a autenticităţii semnăturii electronice sau a sigiliului electronic.
Articolul 44. Organizarea circulaţiei electronice a documentelor
(1) Circulaţia electronică a documentelor este organizată conform prevederilor prezentei legi şi regulilor stabilite de către proprietarul sistemului de circulaţie electronică a documentelor, precum şi conform contractelor încheiate între subiecţii circulaţiei electronice a documentelor.
(2) Circulaţia electronică a documentelor poate include:
a) crearea şi prelucrarea documentelor electronice cu aplicarea semnăturii electronice sau a sigiliului electronic;
b) expedierea şi recepţionarea documentelor electronice;
c) verificarea autenticităţii documentelor electronice;
d) confirmarea recepţionării documentelor electronice;
e) evidenţa documentelor electronice;
f) păstrarea, modificarea şi/sau nimicirea documentelor electronice;
g) crearea exemplarelor suplimentare ale documentelor electronice;
h) crearea şi autentificarea copiilor pe suport de hârtie de pe documentele electronice;
i) aplicarea mărcii temporale electronice.
(3) Modul de creare, prelucrare, expediere, recepţionare, păstrare, modificare şi/sau nimicire a documentelor electronice pentru sistemele de circulaţie electronică a documentelor persoanelor juridice de drept public se stabileşte de Guvern, iar pentru sistemele de circulaţie electronică a documentelor persoanelor juridice de drept privat – de către proprietarii acestora.
Articolul 45. Intermediarul în circulaţia electronică a documentelor
(1) La organizarea şi efectuarea circulaţiei electronice a documentelor pot participa intermediari în condiţiile prezentei legi şi în conformitate cu regulile stabilite de proprietarul sistemului de circulaţie electronică a documentelor.
(2) Intermediarul în circulaţia electronică a documentelor este obligat:
a) să dispună de mijloace software şi/sau hardware ce asigură fiabilitatea şi securitatea sistemelor informaţionale utilizate;
b) să dispună de personal cu competenţă şi experienţă în domeniul tehnologiei informaţiei şi/sau al securităţii informaţionale;
c) să asigure condiţiile necesare pentru stabilirea exactă a timpului şi a sursei de expediere a documentului electronic, precum şi a timpului recepţionării şi a adresei electronice a destinatarului;
d) să asigure protecţia şi păstrarea documentelor electronice;
e) să păstreze documentele electronice conform contractului cu utilizatorii sistemului de circulaţie electronică a documentelor.
Articolul 46. Crearea documentului electronic
(1) Documentul electronic include informaţia, care constituie conţinutul documentului electronic, şi semnătura electronică sau sigiliul electronic al semnatarului ori al creatorului sigiliului electronic.
(2) Crearea documentului electronic se finalizează prin aplicarea semnăturii electronice sau a sigiliului electronic de către semnatar sau de către creatorul sigiliului electronic şi, după caz, prin aplicarea mărcii temporale electronice.
Articolul 47. Expedierea şi recepţionarea documentului electronic
(1) Documentul electronic poate fi expediat şi recepţionat cu ajutorul sistemelor informaţionale şi de comunicaţii electronice şi/sau al purtătorilor materiali.
(2) Documentul electronic se expediază într-un mod ce permite păstrarea şi utilizarea acestuia de către destinatar.
(3) În cazul în care semnatarul sau creatorul sigiliului electronic şi destinatarul documentului electronic nu au convenit altfel, documentul electronic se consideră expediat dacă:
a) este expediat de către semnatar sau creatorul sigiliului electronic ori de către un intermediar în circulaţia electronică a documentelor, care acţionează în numele semnatarului sau al creatorul sigiliului electronic, sau prin sistemul informaţional utilizat de către semnatar sau creatorul sigiliului electronic;
b) este adresat în mod corespunzător sau este direcţionat în sistemul informaţional indicat de destinatar;
c) este redat într-o formă ce permite prelucrarea acestuia în sistemul informaţional indicat de destinatar;
d) intră într-un sistem informaţional ce nu este controlat de către semnatar sau de către creatorul sigiliului electronic ori de către intermediarul în circulaţia electronică a documentelor care expediază documentul electronic în numele semnatarului sau al creatorului sigiliului electronic.
(4) În cazul în care semnatarul şi destinatarul documentului electronic nu au convenit altfel, documentul electronic se consideră recepţionat de către destinatar dacă acesta:
a) intră în sistemul informaţional din care destinatarul poate să extragă documentele electronice;
b) intră în sistemul informaţional indicat de destinatar într-o formă accesibilă pentru utilizare în sistemul respectiv.
(5) Documentul electronic se consideră neexpediat în cazul în care destinatarul ştia sau trebuia să ştie că:
a) persoana indicată în documentul electronic ca semnatar nu este semnatarul acestuia;
b) semnatarul nu este iniţiatorul expedierii documentului electronic;
c) documentul electronic este recepţionat de către destinatar cu modificări sau fără semnătură electronică.
(6) Documentul electronic nu se consideră recepţionat dacă persoana care l-a recepţionat nu este destinatarul preconizat al acestuia.
Articolul 48. Momentul expedierii şi al recepţionării documentului electronic
(1) Dacă semnatarul sau creatorul sigiliului electronic şi destinatarul documentului electronic nu au convenit altfel, moment al expedierii documentului electronic se consideră momentul intrării acestuia în sistemul informaţional care nu este controlat de către semnatar sau creatorul sigiliului electronic ori de către intermediarul în circulaţia electronică a documentelor care expediază documentul electronic în numele semnatarului sau al creatorului sigiliului electronic.
(2) Dacă semnatarul sau creatorul sigiliului electronic şi destinatarul documentului electronic nu au convenit altfel, momentul recepţionării documentului electronic se consideră momentul intrării acestuia în sistemul informaţional indicat de destinatar. În cazul în care destinatarul documentului electronic nu a indicat sistemul informaţional respectiv, documentul electronic se consideră recepţionat din momentul intrării acestuia în sistemul informaţional al destinatarului, iar în cazul în care destinatarul nu dispune de un asemenea sistem – din momentul extragerii de către destinatar a documentului electronic din sistemul informaţional prin care a fost transmis.
(3) Momentul expedierii documentului electronic în sistemele informaţionale poate fi confirmat, în caz de necesitate, prin aplicarea mărcii temporale electronice pe documentul electronic respectiv.
(4) Dacă semnatarul sau creatorul sigiliului electronic şi destinatarul documentului electronic au convenit asupra confirmării recepţionării documentului electronic, momentul recepţionării acestuia se consideră momentul expedierii de către destinatar a confirmării privind recepţionarea, cu aplicarea mărcii temporale electronice, după caz.
Articolul 49. Evidenţa documentelor electronice
(1) Evidenţa documentelor electronice ale persoanelor fizice şi/sau juridice se efectuează în conformitate cu legislaţia cu privire la registre.
(2) Ţinerea registrelor electronice cuprinde procedurile tehnologice şi de program de completare şi administrare a acestora, precum şi mijloacele de păstrare a documentelor electronice.
Articolul 50. Păstrarea documentelor electronice
(1) Subiecţii circulaţiei electronice a documentelor sunt obligaţi să păstreze originalele documentelor electronice într-un mod ce permite verificarea autenticităţii acestora.
(2) Termenul de păstrare a documentelor electronice este identic cu termenul prevăzut de legislaţie pentru păstrarea documentelor echivalente pe suport de hârtie.
(3) Subiecţii circulaţiei electronice a documentelor pot asigura păstrarea acestora utilizând serviciile intermediarului în circulaţia electronică a documentelor, cu condiţia respectării prevederilor prezentei legi.
(4) Pentru păstrarea în arhivă a documentelor electronice se utilizează arhiva electronică. Guvernul stabileşte categoriile de documente electronice pentru păstrarea cărora se utilizează arhiva electronică securizată.
Articolul 51. Protecţia documentului electronic
(1) Documentul electronic beneficiază de aceeaşi protecţie juridică ca şi documentul similar pe suport de hârtie.
(2) Informaţia care constituie conţinutul documentului electronic este utilizată şi protejată, conform legislaţiei, în funcţie de statutul şi gradul de protecţie a acesteia.
(3) Crearea, prelucrarea, expedierea, recepţionarea, păstrarea, modificarea şi/sau nimicirea documentului electronic trebuie să corespundă cerinţelor de securitate stabilite de Guvern pentru sistemele de circulaţie electronică a documentelor persoanelor juridice de drept public. Cerinţele de securitate pentru sistemele de circulaţie electronică a documentelor persoanelor juridice de drept privat sunt stabilite de către proprietarii acestora.
(4) În procesul de creare, prelucrare, expediere, recepţionare, păstrare, modificare şi/sau nimicire a documentului electronic se impune păstrarea informaţiei care permite stabilirea originii, apartenenţei şi destinaţiei documentului electronic, precum şi a datei şi orei creării, expedierii şi recepţionării acestuia.
Capitolul V
PROTECŢIA DATELOR CU CARACTER PERSONAL.
RĂSPUNDEREA JURIDICĂ
Articolul 52. Protecţia datelor cu caracter personal
Prestatorii de servicii de încredere asigură respectarea legislaţiei în domeniul protecţiei datelor cu caracter personal în procesul de prestare a serviciilor de încredere.
Articolul 53. Răspunderea persoanelor fizice şi juridice care cad sub incidenţa prezentei legi
(1) Persoanele fizice şi juridice poartă răspundere juridică, conform legislaţiei, pentru neîndeplinirea prevederilor prezentei legi.
(2) Intermediarul în circulaţia electronică a documentelor poartă răspundere juridică, conform legislaţiei, pentru neîndeplinirea sau îndeplinirea defectuoasă a obligaţiilor prevăzute de prezenta lege, pentru calitatea necorespunzătoare a serviciilor prestate, precum şi pentru prejudiciul cauzat de acţiunile şi/sau inacţiunile sale.
(3) Litigiile apărute în cadrul circulaţiei electronice a documentelor, precum şi cele legate de utilizarea documentelor electronice şi a serviciilor de încredere se soluţionează de către subiecţii circulaţiei electronice a documentelor în conformitate cu legislaţia şi contractele încheiate.
Articolul 54. Răspunderea prestatorului de servicii de încredere şi sarcina probei
(1) Prestatorul de servicii de încredere poartă răspundere civilă pentru prejudiciul cauzat ca urmare a neîndeplinirii cerinţelor prevăzute de prezenta lege, cu excepţia cazurilor în care prestatorul de servicii de încredere aduce probe pertinente că nu a putut împiedica cauzarea prejudiciului.
(2) Sarcina de a proba intenţia sau neglijenţa unui prestator de servicii de încredere necalificat revine persoanei fizice sau juridice care pretinde despăgubiri pentru prejudiciul cauzat.
(3) Intenţia sau neglijenţa prestatorului de servicii de încredere calificat se prezumă până la proba contrară.
(4) Prestatorii de servicii de încredere nu poartă răspundere pentru prejudiciile rezultate din utilizarea serviciilor care depăşesc restricţiile stabilite în cazul în care prestatorii informează clienţii prealabil şi în mod corespunzător cu privire la restricţiile privind utilizarea serviciilor pe care le prestează.
Articolul 55. Răspunderea titularului certificatului cheii publice
Titularul certificatului cheii publice poartă răspundere civilă pentru prejudiciul cauzat de:
a) neîndeplinirea sau îndeplinirea defectuoasă a obligaţiilor prevăzute de prezenta lege;
b) utilizarea serviciilor de încredere, inclusiv în perioada de la solicitarea suspendării valabilităţii sau revocării certificatului cheii publice până la înscrierea, în termenul stabilit, a menţiunii respective în registrul certificatelor cheilor publice, cu excepţia cazurilor în care titularul certificatului aduce probe pertinente că documentul electronic a fost semnat de o altă persoană.
Capitolul VI
DISPOZIŢII FINALE ŞI TRANZITORII
Articolul 56. Dispoziţii finale
(1) Prezenta lege intră în vigoare peste 6 luni de la data publicării în Monitorul Oficial al Republicii Moldova.
(2) La data intrării în vigoare a prezentei legi se abrogă Legea nr.91/2014 privind semnătura electronică şi documentul electronic.
(3) Guvernul, în termen de 6 luni de la data publicării prezentei legi:
a) va prezenta propuneri Parlamentului privind aducerea legislaţiei în vigoare în concordanţă cu prezenta lege;
b) va aduce actele sale normative în concordanţă cu prezenta lege;
c) va elabora şi va adopta actele normative necesare pentru implementarea prezentei legi.
Articolul 57. Dispoziţii tranzitorii
(1) Certificatele cheilor publice eliberate în baza Legii nr.91/2014 privind semnătura electronică şi documentul electronic rămân valabile până la expirarea termenului de valabilitate a acestora.
(2) În termen de 12 luni de la data intrării în vigoare a prezentei legi, prestatorii de servicii de certificare a cheilor publice acreditaţi în baza Legii nr.91/2014 privind semnătura electronică şi documentul electronic sunt obligaţi să treacă procedura de acreditare în conformitate cu prevederile prezentei legi.
(3) În cazul în care prestatorii de servicii de certificare a cheilor publice acreditaţi în baza Legii nr.91/2014 privind semnătura electronică şi documentul electronic nu trec procedura de acreditare în conformitate cu prevederile prezentei legi în termenul stabilit la alin.(2) din prezentul articol, acestora li se retrage certificatul de acreditare.
| PREŞEDINTELE PARLAMENTULUI | Igor GROSU
|
| Nr.24. Chişinău, 19 mai 2022. |
