 |
Presidência da República
Secretaria-GeralSecretaria de Assuntos Parlamentares |
| |
Presidência da República
Secretaria-GeralSecretaria de Assuntos Parlamentares |
PROJETO DE LEI 7316/2002
Disciplina o uso de assinaturas
eletrônicas e a prestação de serviços de certificação.
O CONGRESSO NACIONAL decreta:
Art. 1o O uso de assinaturas eletrônicas
e a prestação de serviços de certificação
rege-se por esta Lei.
Art. 2o Para os fins desta Lei, entende-se por:
I assinatura eletrônica, o conjunto de dados
sob forma eletrônica, ligados ou logicamente associados a outros
dados eletrônicos, utilizado como meio de comprovação
de autoria;
II assinatura eletrônica avançada, a assinatura
eletrônica que:
a) esteja associada inequivocamente
ao seu titular, permitindo a sua identificação;
b) seja produzida por dispositivo
seguro de criação de assinatura;
c) esteja baseada em certificado
qualificado válido à época de sua aposição;
e
d) esteja vinculada ao documento eletrônico
a que diz respeito, de tal modo que qualquer alteração subseqüente
no conteúdo desse seja plenamente detectável;
III chave de criação de assinatura, o
conjunto único de dados eletrônicos, tal como chaves criptográficas
privadas, utilizado pelo seu titular para a criação de uma
assinatura eletrônica;
IV chave de verificação de assinatura,
o conjunto de dados eletrônicos, tal como chaves criptográficas
públicas, utilizado para verificar uma assinatura eletrônica;
V dispositivo seguro de criação de assinaturas,
o dispositivo físico (hardware) e lógico (software) destinado
a viabilizar o uso da chave de criação de assinatura que,
na forma do regulamento:
a) assegure a confidencialidade
dessa;
b) inviabilize a dedução
dessa a partir de outros dados;
c) permita
ao legítimo titular dessa protegê-la de modo eficaz contra
o seu uso por terceiros;
d) proteja a assinatura
eletrônica contra falsificações; e
e) não
modifique o documento eletrônico a ser assinado, nem impeça
a sua apresentação ao titular antes do processo de assinatura;
VI certificado, o atestado eletrônico que vincula
uma chave de verificação de assinatura a uma pessoa, identificando-a;
VII certificado qualificado, o certificado emitido
por prestador de serviços de certificação credenciado
que contenha, ao menos:
a) o seu número
de série;
b) o nome do seu titular
e a sua respectiva chave de verificação de assinatura;
c) a
identificação e a assinatura eletrônica avançada
do prestador de serviços de certificação que o emitiu;
d) a data de início
e de fim do prazo de validade do certificado;
e) as restrições
ao âmbito de utilização do certificado, se for o caso;
e
f) outros elementos
definidos em regulamento e nas normas complementares a esta Lei;
VIII prestador de serviços de certificação,
a pessoa jurídica que emite certificados ou presta outros serviços
relacionados com assinaturas eletrônicas;
IX prestador de serviços de certificação
credenciado, o prestador de serviço de certificação
titular de certificado emitido na forma do art. 5o, § 1o;
X componentes de aplicação de assinatura,
os produtos físicos (hardware) e lógicos (software) que:
a) vinculem ao documento eletrônico
processo de produção ou verificação de assinaturas
eletrônicas; ou
b) verifiquem assinaturas eletrônicas
ou confiram certificados, disponibilizando os resultados; e
XI componentes técnicos para serviços
de certificação, os produtos físicos (hardware) e
lógicos (software) que:
a) gerem chaves de assinatura, transferindo-as
para um dispositivo seguro de criação de assinatura; ou
b) mantenham certificados disponíveis
ao público para verificação e, caso necessário,
obtenção por rede de computadores.
Parágrafo único. É condição
para emissão de certificados qualificados, a identificação
e o cadastramento de seu titular mediante a sua presença física.
Art. 3o Observado o disposto nesta Lei, a prestação
de serviços de certificação não se sujeita
à prévia autorização pelo Poder Público.
Art. 4o As assinaturas eletrônicas avançadas
têm o mesmo valor jurídico e probante da assinatura manuscrita.
§ 1o As declarações constantes
dos documentos em forma eletrônica que contenham assinatura eletrônica
avançada presumem-se verdadeiras em relação ao seu
titular.
§ 2o Os atos que exijam forma especial, bem
como aqueles sujeitos aos serviços de que trata a Lei no 8.935,
de 18 de novembro de 1994, quando formalizados em meio eletrônico,
deverão ser, sob pena de nulidade, assinados mediante a aposição
de assinatura eletrônica avançada.
§ 3o Não serão negados efeitos
jurídicos à assinatura eletrônica, nem será
excluída como meio de prova, em virtude de se apresentar em forma
eletrônica, de não estar baseada num certificado qualificado
ou de não ter sido gerada através de dispositivo seguro de
criação de assinaturas, desde que admitida pelas partes como
válida ou aceita pela pessoa a quem foi oposta.
Art. 5o Mediante requerimento a ser encaminhado
à Autoridade Certificadora Raiz AC Raiz da Infra-Estrutura de
Chaves Públicas Brasileira ICP-Brasil, o prestador de serviços
de certificação poderá ser credenciado, desde que,
na forma do regulamento:
I comprove o cumprimento das diretrizes e normas técnicas,
bem como das regras operacionais e práticas de certificação
editadas pelo Comitê Gestor e pela AC Raiz da ICP-Brasil na forma
da Medida Provisória no 2.200-2, de 24 de agosto de 2001;
II mantenha contrato de seguro em vigor para cobertura
total da responsabilidade civil decorrente da atividade de certificação;
III disponha de profissionais que comprovadamente tenham
o conhecimento, a experiência e a qualificação necessários
ao exercício da atividade;
IV garanta a confidencialidade da chave de criação
de assinatura de modo que o seu uso, conhecimento e controle sejam exclusivos
do seu titular;
V demonstre possuir mecanismos e procedimentos adequados
a impedir a falsificação ou deturpação de certificados;
VI utilize sistema seguro de armazenamento de certificados
de modo que:
a) apenas as pessoas autorizadas
possam introduzir-lhe dados e alterações;
b) a autenticidade das
informações possa ser verificada; e
c) os
certificados possam ser conferidos pelo público apenas quando consentido
pelo seu titular;
VII possua sistemas de proteção de dados
adequados para impedir o uso indevido de informações e documentos
fornecidos pelo titular para emissão do certificado;
VIII suas instalações operacionais e
seus recursos de segurança física e lógica sejam compatíveis
com a atividade de certificação e estejam localizados no
território nacional;
IX assegure que seus órgãos de registro
realizam a identificação e o cadastramento dos usuários
somente mediante a presença física desses, bem como mantenham
os documentos por eles fornecidos pelo período de tempo necessário;
X implemente práticas eficazes de informação
do usuário, inclusive sobre os efeitos jurídicos produzidos
pelo certificado emitido e as medidas necessárias para proteção
e segurança da chave de criação de assinatura;
XI garanta o funcionamento de diretório rápido
e seguro e de serviço de revogação de certificados
seguro e imediato;
XII assegure com precisão a possibilidade de
verificação da data e hora de emissão ou revogação
de cada certificado;
XIII utilize componentes de aplicação
de assinatura e componentes técnicos para serviços de certificação
que atendam os requisitos definidos nos arts. 12 e 13 desta Lei, e tenham
sido previamente testados e aprovados; e
XIV utilize sistemas e produtos seguros que estejam
protegidos contra modificações e garantam a segurança
técnica e criptográfica dos processos para os quais estejam
previstos;
§ 1o O credenciamento importa necessariamente
na emissão do certificado do prestador de serviços de certificação
pela AC Raiz da ICP-Brasil ou por prestadora de serviços de certificação
credenciada na forma deste artigo.
§ 2o O credenciamento poderá ser limitado
no tempo e a determinados tipos de certificados.
§ 3o Somente os certificados contemplados
pelo ato de credenciamento poderão constituir certificados qualificados,
observado o disposto no art. 2o, VII, desta Lei.
§ 4o A inobservância de qualquer dos
requisitos previstos neste artigo implicará o cancelamento do ato
de credenciamento e a imediata revogação do respectivo certificado,
sem prejuízo das demais sanções cabíveis.
Art. 6o O disposto no art. 5o aplica-se, no que
couber, ao credenciamento de provedores de serviços de certificação
de data e hora, bem como de outros serviços e aplicações
de suporte.
Art. 7o O credenciamento de um prestador de serviços
de certificação importa na atribuição do selo
de qualidade da ICP-Brasil.
§ 1o É de uso exclusivo dos prestadores
de serviços de certificação certificados na forma
do § 1o do art. 5o a designação Prestador de
Serviços de Certificação Credenciado.
§ 2o O certificado emitido por prestador de
serviços de certificação credenciado na forma do art.
5o conterá a informação de que é um certificado
qualificado, sendo vedado o emprego dessa expressão para designar
quaisquer outros certificados.
§ 3o Os certificados qualificados emitidos
na forma desta Lei constituem documentos oficiais de identificação
em meio eletrônico.
§ 4o As aplicações e demais
programas que admitirem o uso de certificado digital de um determinado
tipo contemplado pela ICP-Brasil devem aceitar qualquer certificado de
mesmo tipo, ou com requisitos de segurança mais rigorosos, emitido
por qualquer prestador de serviço de certificação
credenciado na forma do art. 5o.
Art. 8o Os prestadores de serviços de certificação
informarão seus usuários das medidas necessárias para
a manutenção da segurança de assinaturas eletrônicas
e sua verificação de modo confiável.
§ 1o Será fornecido, na forma do caput,
documento informativo ao usuário que confirmará que o leu
e tomou ciência de seu conteúdo, por meio de termo formalizado
em papel devidamente assinado.
§ 2o Os prestadores de serviços de
certificação informarão aos usuários que uma
assinatura eletrônica avançada, nos termos desta Lei, produz
os efeitos descritos no art. 4o.
§ 3o O par de chaves de assinatura será
gerado sempre pelo próprio titular, e sua chave de criação
de assinatura será de seu exclusivo controle, uso e conhecimento.
Art. 9o Deve o prestador de serviços de
certificação revogar um certificado:
I mediante solicitação do seu titular
ou representante constituído;
II caso o certificado tenha sido emitido com base em
dados falsos;
III caso o prestador de serviços de certificação
tenha encerrado suas atividades sem que fossem prosseguidas por um outro
prestador de serviços de certificação;
IV por determinação da AC Raiz da ICP-Brasil,
caso o prestador de serviços de certificação seja
credenciado na forma do art. 5o; ou
V em outros casos definidos em regulamento e nas normas
complementares a esta Lei.
Art. 10. O prestador de serviço de certificação
responde:
I diretamente, pelos danos a que der causa; e
II solidariamente, pelos danos que derem causa os prestadores
de serviços de certificação por ele diretamente certificados,
bem como os órgãos de registro e os prestadores de serviços
de suporte a ele vinculados.
Parágrafo único. Se constar do certificado
qualificado restrições ao uso da assinatura eletrônica
avançada, na forma do art. 2o, VII, e, os danos causados são
indenizáveis dentro dos limites dessas restrições.
Art. 11. A intenção do prestador de serviços
de certificação de encerrar suas atividades será comunicada,
com, no mínimo, dois meses de antecedência, indicando o prestador
que o sucederá ou o momento em que serão revogados os certificados:
I às pessoas a quem tenha emitido certificados
que estejam em vigor; e
II à AC Raiz da ICP-Brasil, caso seja credenciado.
§ 1o A comunicação prevista
no caput será imediata, nas hipóteses de falência ou
liquidação extrajudicial.
§ 2o O prestador de serviços de certificação
transferirá, se for o caso, a documentação relativa
aos certificados digitais emitidos ao prestador que os tenha assumido.
§ 3o Caso os certificados qualificados não
tenham sido assumidos por outro prestador de serviços de certificação
credenciado, os documentos de que trata o parágrafo anterior serão
repassados à AC Raiz da ICP-Brasil.
Art. 12. A assinatura de documentos eletrônicos,
decorrente de certificados qualificados, exige componentes de aplicação
de assinatura que claramente indiquem a produção de uma assinatura
eletrônica, e permita a identificação do documento
a que a assinatura se refere.
Parágrafo único. Para conferir o documento
assinado, os componentes de aplicação de assinatura, na forma
do regulamento, devem demonstrar:
I a que documento a assinatura se refere;
II se o documento não foi modificado;
III a que titular de certificado está vinculado
o documento; e
IV o conteúdo do certificado em que está
baseada a assinatura.
Art. 13. Os componentes técnicos para serviços
de certificação conterão, na forma do regulamento,
mecanismos que:
I assegurem que as chaves de criação
de assinatura produzidas e transferidas a dispositivo seguro de criação
de assinatura sejam únicas e sigilosas; e
II protejam os certificados que estejam disponíveis
para verificação e obtenção na rede de alterações,
cópias ou obtenções (download) não autorizadas.
Art. 14. Fica assegurado ao certificado emitido
no exterior os mesmos efeitos do certificado de que trata o inciso VI do
art. 2o.
Parágrafo único. Tratados, acordos
ou atos internacionais poderão atribuir aos certificados emitidos
no exterior os mesmos efeitos do certificado de que trata o inciso VII
do art. 2o, observado o princípio da reciprocidade.
Art. 15. A infração de qualquer dispositivo
desta Lei sujeita o responsável, sem prejuízo de outras sanções,
à multa variável de cinqüenta mil reais a um milhão
de reais, segundo o regulamento.
§ 1o Cabe à AC Raiz da ICP-Brasil executar
a fiscalização e auditoria dos prestadores de serviços
de certificação credenciados, autuá-los, aplicar as
penalidades de advertência, por escrito, e ainda as multas e medidas
administrativas cabíveis, notificando os infratores e arrecadando
as multas que aplicar.
§ 2o Regulamento disporá sobre:
I as medidas administrativas cabíveis, especialmente
sobre revogação compulsória de certificados, cessação
e suspensão dos serviços de certificação; e
II o poder de supervisão da AC Raiz da ICP-Brasil
em relação aos demais prestadores de serviços de certificação,
a ser exercido na forma deste artigo.
§ 3o Aplica-se, no que couber, à prestação
de serviços de certificação a legislação
de defesa do consumidor.
Art. 16. O Poder Executivo disporá, ainda,
sobre o uso de certificados digitais na emissão de passaportes,
de documentos de identidade, de carteiras de habilitação
de condutores de veículos, de certificados de registros de veículos
e em outras aplicações, bem como sobre a emissão de
certificados de atributos.
Art. 17. As referências normativas a Autoridades
Certificadoras AC passam a ser entendidas como prestadores de serviços
de certificação credenciados, exceto no caso da AC Raiz da
ICP-Brasil.
Art. 18. O disposto no § 2o do art. 4o não
dispensa a manutenção, em papel ou microfilme, dos livros
de registros públicos ou das fichas que os substituam, na forma
da legislação vigente, em especial do art. 22 da Lei no 6.015,
de 31 de dezembro de 1973.
Art. 19. Ficam mantidas as competências do
Comitê Gestor da ICP-Brasil e da AC Raiz da ICP-Brasil, na forma
da Medida Provisória no 2.200-2, de 24 de agosto de 2001, salvo
disposição regulamentar em contrário.
Parágrafo único. Os certificados
emitidos até a edição desta Lei permanecem válidos,
na forma da Medida Provisória no 2.200-2, de 24 de agosto de 2001.
Art. 20. Esta Lei entra em vigor na data de sua
publicação.
Brasília,