日期 : 二零零零年五月九日 R.1
香港郵政署長作為核證機關
根據電子交易條例所作之核證作業準則
日期 : 二零零零年五月九日 R.1
前言
電子交易條例第 553 章(“條例”)列載電子核證公開密碼匙基礎建設(公匙基建)之法律架構。公開密碼匙基礎建設使商業及其他用途更容易進行電子交易。公匙基建內容繁多,包括法律責任、政策、硬體、軟件、資料庫、網絡及保安程序。
在電子交易上所用之密碼學的主要原理是,發送人及接收人雙方均使用由一組代碼構成的密碼匙把發出之訊息加密(鎖定),而接收人必須使用同一配對密碼匙把接收之訊息解密(開鎖)。為使數據傳送得以安全進行,發送人及接收人必須使用有效的加密方法。
公匙基建乃用來支援使用這種方法在香港特別行政區從事商業及其他交易。
就條例及公開密碼匙基礎建設而言,香港郵政署長乃經認可之核證機關。根據條例,香港郵政署長可透過香港郵政署官員履行核證機關之職能及提供服務。香港郵政署長已決定履行其職能,而就此文件而言,稱為香港郵政。
根據條例,香港郵政作為認可之核證機關,負責使用穩當系統來發出、收回及利用公開儲存庫公佈認可及接受之數碼證書用作在安全網上身分辨識。此等證書稱為“證書”或“電子證書”。香港郵政發出證書予個人(“個人證書”)、機構(“機構證書”)及欲以其機構擁有之伺服器名義發出證書(“伺服器證書”)。同時,香港郵政還向特定機構發出用於加密電子通訊之證書(電子核證“(保密)證書)”)。
本核證作業準則之結構如下: 第一節載有概述及聯絡資料
第二節列載有關方之責任與義務第三節列載申請及身分確認程序第四節簡略介紹運作要求
第五節介紹保安監控措施
第六節列載如何產生及監管公開/私人配對密碼匙第七節簡略介紹技術要求
第八節敘述如何管理本核證作業準則附錄甲載有詞彙表
附錄乙載有電子證書格式 附錄丙載有登記人協議原文
1. 引言
1.1 概述
x核證作業準則(“準則”)由香港郵政公佈,使公眾有所瞭解,並規定香港郵政在發出、收回及公佈證書時所採用的慣例及標準。
本準則列載參與香港郵政所用系統之人士之角色、職能、義務及潛在責任。本準則規定發出證書給與所有申請人確認身分,並介紹香港郵政之運作、程序及保安要求。
除電子核證(xx)xxx,xx郵政根據本準則發出之證書將得到倚據證書人士之倚據並用來核實數碼簽署。接受由香港郵政發出之證書之各倚據證書人士須獨立確認基於公匙基建之數碼簽署乃屬適當及充分可信,可用來認證各倚據證書人士之特定公匙基建應用程序上之參與者之身分。電子核證(保密)證書將不包括數碼簽署。
1.2 社區及適用性
1.2.1 核證機關
根據本準則,香港郵政履行核證機關之職能並承擔其義務。香港郵政乃唯一根據本準則授權發出證書之核證機關(見第 2.1.1 節)。
1.2.1.1 香港郵政所作之xx
根據本準則而發出之證書,香港郵政向根據本準則第 2.1.3 節及其他有關章節之倚據證書人士表明,香港郵政已根據本準則發出證書。透過公佈本準則所述之證書,香港郵政即向根據本準則第 2.1.3 節及其他有關章節之倚據證書人士表明,香港郵政已根據本準則發出證書予其中辨識之登記人。
1.2.1.2 生效
經香港郵政簽署之證書一經發出並由登記人接受,即表明該證書得到完全及最終承認。香港郵政將迅速於儲存庫公佈已發出之證書。
(見第 2.5 節)。
1.2.1.3 香港郵政進行分包合約之權利
香港郵政可未經任何登記人同意而將其履行本準則所要求之某些職能之義務進行分包,惟須分包商同意承諾履行該等職能,並與香港郵政達成協議,以完成該等服務。
1.2.2 最終實體
根據本核證作業準則,存在兩類最終實體,包括登記人及倚據證書人士。登記人乃已取得發
出香港郵政電子核證之個人或機構。倚據證書人士乃已接受香港郵政電子核證以用於交易之實體。接受其他登記人之香港郵政電子核證以用於交易之登記人乃為有關此證書之倚據證書人士。請倚據證書人士留意。香港郵政電子核證並無年齡限制,故未成年人可申請並領取證書。倚據證書人士不得用電子核證作為電子核證登記人之年齡證明。
1.2.2.1 登記人之保證及xx
各登記人須簽署一份協議(按本準則規定之條款),其中載有一條款,登記人據此條款同意,登記人一經接受根據本準則發出之證書,即表示其向香港郵政保證(承諾)並向所有有關方
(尤其是倚據證書人士)作出xx,在證書之有效期間,以下事實乃屬真實並將保持真實:
a) 除登記人及電子核證(保密)證書之授權用戶外,並無其他人士能取用登記人之私人密碼匙
b) 使用與登記人(個人)證書、(機構)證書、或(伺服器)證書所載之公開密碼匙相關之私人密碼匙所產生之各數碼簽署,乃登記人之數碼簽署
c) 代表登記人機構所用之電子核證(保密)證書將只限於有關交易中進行加密電子通訊,該等交易與網上付款或網上投資或在網上將任何利益授予任何個人之行> 無關或無涉;且該證書將不被用於與合約談判或簽署有關的活動
d) 本證書所載之所有資料及由登記人作出xxx屬真實
e) 證書將僅用於授權及合法用途
f) 在證書申請過程中所提供之所有資料,均並無侵犯或違反任何第三方之商標、服務標記、品牌、公司名稱、或任何其他知識產權。
1.2.3 登記人之級別
跟據本準則香港郵政僅發出證書予其申請已經承認並已以本準則附錄所載之適當形式簽署登記人協議之申請人士。四種級別證書乃根據本準則之主要登記人協議予以發出。
a) 個人證書
第一類別證書乃發出予持有香港身份證之人士。此等證書可用來從事商業經營。個人證書可發出予持有香港身分證之十八歲以下人士,惟該等人士之父母中之一人(或合法監護人)須成為有關登記人協議之一方。向未成年人發出之個人證書可載有針對倚據證書人士之特別警示,因為根據法律規定,未成年人可能不受若干合約約束。
b) 機構證書
第二類別證書乃發出予持有香港特別行政區政府頒發之有效營業執照之機構,並識別機構已決定應具有表明成員或僱員與機構關係之證書之機構成員或僱員。此等證書與個人證書之用途大致相同。
c) 伺服器證書
第三類別證書乃發出予持有香港特別行政區政府頒發之有效營業執照之機構並欲具有以
該機構擁有之伺服器名義發出之證書。
d) 保密證書
第四類證書僅發出予香港特別行政區政府之局及部門;在香港特別行政區公司註冊處註冊之公司;其存在已獲香港法律認可之香港特別行政區之法定機構及持有香港特別行政區政府簽發之有效註冊證書之機構。該證書擬供已獲登記人機構授權使用證書之該機構行政人員、成員及雇員(“授權用戶”)使用。該類證書只用于代表登記人或機構進行加密及解 密電子通訊,且僅用於與網上付款或網上投資或網上將任何經濟利益授予任何人士或人們或任何性質之實體之行> 無關 或無涉之交易;且在任何情況下,該等證書將不被用於與合約或任何受法律約束之協定之談判或簽署有關的活動。
1.2.4 證書之期限
根據本核證作業準則發出之證書有效期為一年。(見第 3.2 節證書續期)
1.2.5 在香港郵政署辦公處進行個人申請
對於所有首次申請及證書撤銷或到期後之申請,申請人須親身前往香港郵政署辦公處,呈交鑑別文件、申請表格及經簽署之登記人協議,並應回答有關上述文件之問題。就個人證書而言,此表明該等證書之所有申請人均須親身呈遞(十八歲以下申請人之父母或合法監護人除外)。就機構證書而言,擬名列證書之成員或僱員毋須親身呈遞,但其授權代表則須親身呈遞。就伺服器證書而言,此表明作出申請之機構授權代表須親身呈遞。就電子核證(保密)證書而言,此表明作出申請之機構授權代表須親身呈送。申請人親身呈遞時,將須出示身分證明。
(另見以下第 3 節)。
1.3 聯絡資料
x準則由以下機關管理:xxxxxxxx 0 x xxxxxxxxx
2. 一般規定
2.1 義務
香港郵政對登記人之義務乃由本準則及與登記人以本準則附錄C 所載形式達成之合約之條款進行定義限制。無論登記人是否亦為有關其他登記人證書之倚據證書人士,均須如此。關於非登記人倚據證書人士,本準則知會該等人士,香港郵政僅承諾採取合理技術及謹慎以避免在根據條例及準則發出、收回及公佈證書時對倚據證書人士造成若干類型之損失及損害,並就下文及所發出之證書所載之責任確定貨幣限額。
2.1.1 核證機關之義務
香港郵政負責:
a) 執行核證機關服務及運作,並根據本準則要求維護與根據本準則發出證書相關之基礎設施,
b) 維護其私人密碼匙之保安性。
2.1.2 登記人之義務
登記人負責:
a) 在獲取證書之過程中使用穩當系統安全地產生配對密碼匙
b) 適當完成申請程序並在附錄丙所載之適當表格內簽署登記人協議及履行該協議規定其應承擔之義務。
c) 完成由香港郵政發出之證書,包括按照遵循香港郵政電子核證客戶套件及所附唯讀光碟
(CD-ROM)所載關於完成證書之指示。
d) 承認其透過接受證書(其於完成證書過程中將作出)而承諾使用合理預防措施來保護其私人密碼匙之機密性(即對其保密)及完整性以防丟失、洩露或未經授權使用之義務。
e) 若> 電子核證(保密)證書,則保證:
🞟 授權用戶僅用該證書代表登記人機構進行加密電子通訊,
🞟 該等證書只用於與網上付款或網上投資或網上將任何經濟利益授予任何人士或人們或任何性質之實體之行> 無關或無涉之交易;且在任何情況下,該等證書將不被用於與合約或任何受法律約束之協定之談判或簽署有關的活動
🞟 勿試圖使用與證書相關之私人密碼匙號碼來> 生數碼簽署
🞟 授權用戶採取合理預防措施以維護私人密碼匙之安全
f) 發現其私人密碼匙之任何丟失或外洩時,立即呈報丟失或外洩(外洩乃屬違反保安,使資料遭受未經授權之進入,從而導致未經授權即對資料進行披露、更改或使用)。
g) 不時將登記人提供之證書資料之任何變動立即通知予香港郵政。
h) 將可能致使香港郵政根據以下第四節所載之理由行使權利,撤銷由該登記人負責之證書之任何事項立即通知予香港郵政。
i) 同意其透過接受證書而向香港郵政保證(承諾)並向所有倚據證書人士表明,在證書之有
效期間,以上 1.2.2.1 xxx之事實乃屬真實並將一直保持真實:
j) 在登記人明知香港郵政根據準則條款可能據以撤銷證書之任何事項的情況下,或登記人已作出撤銷申請或經香港郵政知會,香港郵政擬根據本準則之條款暫停或撤銷證書後,均不得在交易中使用證書。
k) 在明知香港郵政可能據以撤銷證書之任何事項之情況下,或登記人作出撤銷申請或經香港郵政知會擬撤銷證書時,須立即通知從事當時仍有待完成之任何交易之倚據證書人士,用於該交易的證書須予撤銷(由香港郵政或經登記人申請),並明確說明,因情形乃屬如此,故倚據證書人士不得就交易而倚據證書。
2.1.2.1 登記人之責任
各登記人承認,倘其未適當或根本未履行其上述之責任,則根據《登記人協議》及/或法律,各登記人須向香港郵政及/或法律規定之其他人士(包括倚據證書人士)就其可能因此引致或遭受之責任或損失及損害賠償損失。
2.1.3 倚據證書人士之義務
倚據香港郵政電子核證證書之倚據證書人士負責:
a) 倚據證書人士於依賴證書時如考慮過所有情況後仍真心認為倚據證書屬合理之舉,方可依賴該等證書。
b) 於倚據該等證書前,確定使用證書乃適合本準則規定之用途,尤其考慮到香港郵政向倚據證書人士承擔本準則及證書所載之謹慎職責及金錢責任乃屬有限;而且,若> 電子核證(保密)證書,還須考慮到倚據本準則所載明之規定該證書可被使用的用途有限
c) 於倚據證書前查核證書撤銷清單上證書狀態。
d) 執行所有適當證書路徑認可程序。
2.2 其他規定
香港郵政對登記人及倚據證書人士之義務
2.2.1 合理技能及謹慎
香港郵政向各登記人及各倚據證書人士承諾,在履行義務及行使作為本準則所載之核證機關之權利時,採取合理程度之技術及謹慎。香港郵政並不向登記人或倚據證書人士承擔任何絕對義務。其並不保證其根據本合約提供之服務將不被中斷或無差錯或具有較香港郵政、或香港郵政署之官員、僱員或代理機構採取合理程度之技術及謹慎而應取得者為高或與其不同之標準。
在此之含義為,倘儘管香港郵政在執行本合約及行使準則規定之權利及義務時,採取合理程度之技術及謹慎,登記人(無論作為按本準則定義之登記人或倚據證書人士)、或非登記人倚據證書人士遭受因本準則所述之公開密碼匙基礎建設系統引致之任何性質之任何責任、損失或損害,包括因合理依賴其他登記人之證書而產生之損失或損害,則各登記人均同意且各
倚據證書人士均須接受,香港郵政及香港郵政署對該等責任、損失或損害不承擔任何責任。
此即表示,例如,倘香港郵政已採取合理程度之技術及謹慎,則香港郵政及香港郵政署將對登記人或倚據證書人士因倚據香港郵政向其他登記人發出之認可證書所支援之虛假或偽造數碼簽署而對其造成之任何損失不承擔責任。
此亦表示,倘香港郵政已採取合理程度之技術及謹慎來避免及/ 或減輕其控制之以外事項之影響,則香港郵政及香港郵政署對香港郵政控制以外事項,包括(不限於)互聯網、或電訊或其他基礎設施系統之可使用情況對登記人或倚據證書人士造成之不良影響或天災、戰爭、軍事行動、國家緊急狀態、疫症、火災、洪水、地震、罷工或暴亂或其他登記人或其他第三方之疏忽或故意不當行為之不良影響均不承擔責任。
2.2.2 非商品供應
為免生疑問,登記人協議不是或根本不是任何性質之商品供應合約。據此發出之任何及所有證書均持續為香港郵政之財產並為其擁有且受其控制,證書中之權利、所有權或權益不得轉讓予登記人,登記人僅有權促致證書發出及倚據登記人協議之條款倚據此證書及其他登記人之證書。因此,登記人協議並不包括(或不會包括)明示或暗示關於證書為某一特定目的之可商售或實用性之條款或保證或任何其他適合於商品供應之條款或條件。故香港郵政在倚據證書人士可進入之公開儲存庫提供證書時,並不提供任何商品予倚據證書人士,從而並未向倚據證書人士作出關於證書之商售性或適合特定用途之保證,亦未作出任何其他如同提供貨物予倚據證書人士之xx或保證。
2.2.3 法律責任限制
2.2.3.1 限制之合理性
各登記人及倚據證書人士須承認並同意,公匙基建系統範圍及香港郵政於系統範圍內作為核證機關作用乃新且創新性經營事業,根據此系統,倘若香港郵政對登記人及倚據證書人士負法律責任,且對根據公匙基建因或與登記人協議相關或與香港郵政發出證書相關香港郵政所蒙受損害沒有加以限制,香港郵政從登記人處接受金額將比該法律責任小得多。因此,各登記人及倚據證書人士須同意香港郵政根據登記人協議及準則列明條件限制其責任是合理的。
2.2.3.2 對可追討損失種類之限制
用戶在香港郵政違反登記人協議或任何謹慎職責,特別是對登記人或倚據證書人士來說當登記人或倚據證書人士或其他人或以其他任何方式倚據或使用香港郵政根據公匙基建發出之任何證書時根據登記人協議香港郵政違反其應合理採取技術或謹慎及/或職責之條款之情況下,登記人或倚據證書人士蒙受損失及損害(無論作為根據準則或以其他任何方式定義之登記人或倚據證書人士),香港郵政概不負責關乎下述原因之任何賠償或其他補救措施:(1 )任何直接或間接利潤或收入損失、信譽或商譽損失或傷害、任何商機或契機、失去工程、或任何資料、設備或軟件丟失或沒有使用或(2 )任何間接、相應而生或附帶引起之損失或損
害,而且即使在後者情況下,香港郵政已被提前通知此類損失或損害之可能性。
2.2.3.3 限額⎯ 1,000,000 港元及 250,000 港元
除了下文所列之例外情況外,在香港郵政違反登記人協議或任何謹慎職責,特別是對登記人或倚據證書人士來說當登記人或倚據證書人士或其他人或以其他任何方式倚據或使用香港郵政根據公開密碼匙基礎建設發出之任何證書時香港郵政違反根據登記人協議、準則或法律其應合理採取技術或謹慎及/ 或職責之條款之情況下,登記人或倚據證書人士蒙受損失及損害
(無論作為根據準則或以其他任何方式定義之登記人或倚據證書人士),香港郵政對任何登記人及任何倚據證書人士(無論作為根據準則或以其他任何方式定義之登記人或倚據證書人士或以任何其他身分)所負法律責任限制於且任何情況下不得超過每份電子核證(個人)證書、電子核證(機構)證書或電子核證(伺服器)證書 1,000,000 港元,或每份電子核證(保密)證書 250,000 港元。
2.2.3.4 提出索賠時間限制
任何登記人或倚據證書人士因向香港郵政提出索賠,且該索賠源起於或以任何方式與發出、撤回或公佈任何證書相關,則應在登記人或倚據證書人士清楚存在任何有權提出此等索賠事實之日起一年內或透過行使合理努力彼等有可能清楚此等事實之日起一年內 (若更早)提出。為免生疑問,不知曉此等事實之法律重要性乃無關重要。一年期限屆滿時,此等索賠須予以放棄且絕對禁止。
2.2.3.5 香港郵政署人員
無論香港郵政署或其任何官員或僱員或其他代理人均不是登記人協議之簽約人,倚據人及倚據證書人士須向香港郵政承認,就登記人及倚據證書人士所知,香港郵政署及所有該等官員、僱員或代理人均不會自願接受或均不會接受向登記人或倚據證書人士擔負其任何人出於真誠以任何方式與香港郵政履行登記人協議或由香港郵政作為核證機關發出之任何證書相關所做任何作為或不作為相關之任何個人責任或謹慎職責;各登記人及倚據證書人士接受並將繼續接受這一點,並向香港郵政擔保不起訴或透過任何其他法律途徑對前述任何關於該人出於真誠(無論出於疏忽與否)以任何方式與香港郵政履行登記人協議或由香港郵政作為核證機關發出之任何證書相關所做任何行動或不行動尋求任何形式之追討或糾正,並承認香港郵政擁有充分法律及經濟利益以保護香港郵政署及其此等個人免受上述法律行動。
2.2.3.6 故意的不當行為、個人傷害或死亡之責任
任何因欺詐或故意的不當行為、個人傷害及死亡不在準則、任何登記人協議和香港郵政發出之證書之任何限制或除外規定或通知範圍內,並不受任何此等規定或通知之限制或被任何此等規定免除。
2.2.3.7 消費者之責任
消費者。若閣下為用戶,而訂立此合約並非以商業運作為目的,或訂約時並無表明自己為商業運作目的而訂此約,則在法律上,因香港郵政未能以合理技術及謹慎履行本合約而原本適
用的部份或全部法律責任限制條款,有可能不適用於閣下所提出之申索。
2.2.3.8 證書通知、限制及倚據限額
香港郵政發出之證書應包括下列倚據限額及/或法律責任限制通知:
“香港郵政署官員按香港郵政署長之核證作業準則所載條款及條件適用於本證書之情況下,根據電子交易條例作為核證機關發出本證書。
因此,任何人士倚據本證書前均應閱讀準則(xxxxxx.xxxxxxxxxxxx.xxx.xx )。香港特別行政區法律適用於本證書,倚據證書人士須提交因倚據本證書而引致之任何爭議或問題予香港特別行政區法庭之非專有司法管轄權。
倘閣下作為倚據證書人士不接受本證書據以發出之條款及條件,則不應倚據本證書。
香港郵政署長(經香港郵政署官員、僱員及代理人)發出本證書,但無須對倚據證書人士承擔任何責任或謹慎職責(準則中列明者除外)。
倚據證書人士倚據本證書前負責:
a. 祗有當倚據證書人士於倚據時所知之所有情況證明倚據行為乃屬合理及本著真誠時,方可倚據本證書;
b. 倚據本證書前,確定證書之使用就準則規定之用途而言乃屬適當;
c. 倚據本證書前,根據證書撤銷清單檢查本證書之狀態;
d. 履行所有適當證書認可程序。
若儘管香港郵政署長及香港郵政署、其官員、僱員或代理人已採取合理技術及謹慎,本證書仍在任何方面不準確或誤導,則香港郵政署長、香港郵政署、其官員、僱員或代理人對倚據證書人士之任何損失或損害概不承擔任何責任,在該等情況下根據條例適用於本證書之倚據限額為 0 港元。
若本證書在任何方面不準確或誤導,而該等不準確或誤導乃因香港郵政署長、香港郵政署、其官員、僱員或代理人之疏忽所導致,則香港郵政署長將就因合理倚據本證書中之該等不準確或誤導事項而造成之經證實損失向每名倚據證書人士支付高達 1,000,000 港元,或者,若本證書> 電子核證(保密)證書,向每名倚據證書人士支付高達 250,000 港元,惟該等損失不屬於及不包括(1)任何直接或間接利潤或收入損失、信譽或商譽損失或傷害、任何商機或契機、失去工程、或任何資料、設備或軟件丟失或沒有使用或(2)任何間接、相應而生或附帶引起之損失或損害,而且即使在後者情況下,香港郵政已被提前通知此類損失或損害之可能性。在該等情況下根據條例適用於本證書之倚據限額為 1,000,000 港元,或者,若
x證書> 電子核證(保密)證書,則> 250,000 港元,而在所有情形下就第(1)及(2)類損失而言倚據限額則為 0 港元。
在任何情況下,香港郵政署及其任何官員、代理人或僱員概不對倚據證書人士就本證書承擔任何謹慎職責。
提出索賠時間限制
任何倚據證書人士因向香港郵政署長提出索賠,且該索賠源起於或以任何方式與發出、撤回或公佈此證書相關,則應在倚據證書人士清楚存在任何有權提出此等索賠事實之日起一年內或透過行使合理努力彼等有可能清楚此等事實之日起一年內(若更早)提出。為免生疑問,不知曉此等事實之法律重要性乃無關重要。一年期限屆滿時,此等索賠須予以放棄且絕對禁止。
倘本證書包含任何由香港郵政署長、香港郵政署、其官員、僱員或代理人作出之故意或罔顧後果之失實xx,則本證書並不就彼等對因合理倚據本證書中之失實xx而遭受損失之倚據證書人士所應承擔之法律責任作出任何限制。本文所載之法律責任限制不適用於個人傷害或死亡之(不大可能發生的)情形。”
2.2.4 香港郵政對已接受但有缺陷之證書所承擔之責任
儘管有上述對香港郵政責任之限制,倘登記人於接受證書後發現,因證書上顯示之公開密碼匙號碼或就個人、機構和伺服器證書而言,因證書上顯示之數碼簽署出現差錯,導致公開密碼匙預期之交易無法適當完成或根本無法完成,或者,就電子核證(保密)證書而言,加密電子通信無法適當完成或根本無法完成,而該登記人將此情況立即通知予香港郵政,以便撤銷證書並(若適當)重新發出,而倘此通知已於接受證書後三個月內發出且登記人不再需要證書,則香港郵政(若證實真正出現任何此類差錯)將進行退款。倘登記人於接受後等待三個月以上方才將此類差錯通知予香港郵政,則款項不得以權利理由而祗可由香港郵政酌情予以退還。
2.2.5 登記人轉讓
登記人不可轉讓登記人協議或證書賦予彼等之權利。任何轉讓企圖均為無效。
2.2.6 香港郵政分包合約能力
香港郵政可根據本準則及登記人協議分包其所有義務之履行,而無須獲得登記人之預先同意或承認。
2.2.7 作出xx的權限
香港郵政署之任何代理人或僱員無權代表香港郵政對本準則之意義或解釋作出任何xx。
2.2.8 更改
香港郵政有權更改本準則,而無須發出預先通知。登記人協議不得作出更改、修改或變更,除非符合本準則中之更改或變更規定,或獲得香港郵政署長之明確書面同意。
2.2.9 所有權的保留
根據本準則發出之證書上所有資料之實質權利、版權及知識產權現時並且將持續歸屬於香港郵政。
2.2.10 條款衝突
倘本準則與其他規則、指引或合約發生衝突,登記人及倚據證書人士須受本準則條款約束,除非該等條款乃受法律禁止。
2.2.11 受信關係
香港郵政於任何時間均不是登記人或倚據證書人士之代理人、受託人或其他代表。登記人及倚據證書人士無權以合約或其他方式約束香港郵政接受任何義務。
2.2.12 交相核證
香港郵政在所有情形下均保留與另一家核證機關或郵政核證機關定義及確定適當理由進行交相核證之權利。
2.3 解釋及執行(管轄法律)
2.3.1 管轄法律
x準則受香港特別行政區法律規限。登記人及倚據證書人士同意,甘願受香港特別行政區法庭之非專有司法管轄權囿制。
2.3.2 可分割性、尚存、合併及通知
x本準則之任何條款被宣佈或認為非法、不可執行或無效,則應刪除其中任何冒犯性詞語,直至該等條款成為合法及可執行為止,同時應保留該等條款之本意。本準則之任何條款之不可執行性將不損害任何其他條款之可執行性。
2.3.3 爭議解決程序
香港郵政關於本準則範圍內之事宜之決定為最終決定。香港郵政將不就登記人或倚據證書人士之爭議採取任何其他爭議解決程序。
2.4 收費
每份個人證書需繳年費 150 港元。(首次登記人士,只須繳年費 50 港元)。
每份機構證書需繳年費 150 港元。(首次登記人士,只須繳年費 50 港元)(另就每份申請支付
150 港元之行政費)。
每份伺服器證書需繳年費 2,500 港元。
每份電子核證(保密)證書須繳年費 150 港元。此外,每份申請(不論登記人數目> 何)須另交行政費 150 港元。
2.5 公開發表資料及儲存庫
香港郵政維持一個儲存庫,其中包括一份已發出證書清單、最新證書撤銷清單、香港郵政公開密碼匙、本準則之一份副本及附於本準則後與電子核證證書有關之其他資料。除每週最多 2 小時之定期維修和任何緊急維修外,儲存庫基本保持每日 24 小時、每週 7 日開放。香港郵政在處理一份經認可之電子核證申請後,即時在儲存庫中公佈根據本準則發出的每份證書。
2.5.1 證書儲存庫控制
儲存庫被維持在可進行聯機瀏覽之處,並受到保護,以防未經許可之進入。
2.5.2 證書儲存庫進入要求
祗有經授權之香港郵政僱員才能進入儲存庫更新及修改內容。該等更新內容透過使用香港郵政之私人密碼匙方獲生效。
2.5.3 證書儲存庫更新週期
每份證書一經發出及第 4 節所述之任何其他適用事項一經發生,將即時對儲存庫進行更新。
2.6 遵守規定的審核
遵守規定的審核將對香港郵政的系統之發出、撤回及公佈證書,以確定其是否妥為遵守本準則,該等審核由對公匙基建擁有豐富知識之專家每 12 個月至少進行一次,並在適用情況下遵守公認會計準則。
2.7 機密性
本節中之限制適用於香港郵政及履行與香港郵政之發出、撤回及公佈證書有關之任務之任何香港郵政分包商。作為根據本準則申請電子核證證書之組成部份而提交之登記人資料,將僅用於收集資料目的並以機密方式保存(香港郵政需根據本準則履行其責任之情況除外)。未經登記人預先同意,不得將該等資料對外散佈,除非經法庭發出之傳召或命令要求,或經香港法律以其他方式要求。香港郵政尤其不得發表登記人清單或登記人資料(根據香港法律無法追溯至某個人登記人之經編輯資料除外),除非經法庭發出之傳召或命令要求,或經香港法律以其他方式要求。
3.鑑別及認證
3.1 首次登記
除申請人為機構證書的情況外,各證書申請人須親身到指明之香港郵政辦公處,並出示於 3.1.8、3.1.9 及 3.1.10 節中描述之身分證明。在申請人為機構證書情況下,毋須要求所有人親身呈遞,但該申請機構之授權代表須親身呈遞。
所有證書申請人須向香港郵政提呈一份完成並簽署的申請表及登記人協議。機構及伺服器證書申請表亦要求申請人所屬機構授權代表簽署,並要求此等授權代表及申請機構成為登記人。申請得到承認後,香港郵政即準備證書並向申請人發出通知說明如何檢索證書。
3.1.1 名稱類型
3.1.1.1 個人證書
個人證書登記人之鑑別透過證書上登記人名稱進行,該名稱組成為:
a) 登記人香港身份證上顯示之登記人姓名
b) 登記人香港身份證號碼 [經由雜湊函數方法而產生湊函值存置]
3.1.1.1.1 向十八歲以下登記人士所發個人證書
此等登記人鑑別方法同上(透過上述證書),其父母或合法監護人雖然須為登記人,但在證書中毋須列示。
3.1.1.2 機構證書
機構證書登記人之鑑別透過證書上登記人名稱進行,該名稱組成為:
a) 登記人香港身份證/護照上顯示之登記人姓名
b) 登記人機構在適當香港政府部門或登記機關登記之名稱
c) 該機構香港公司註冊/商業登記號碼
由於所有證書僅以英文發出,因此在登記(機構)證書之機構當中,凡僅以中文作> 公司名稱或僅提交公司之中文名稱的公司,其名稱將不會列示於其電子證書上。然而,登記人仍可按照xxx.xxxxxxxxxxxx.xxx.xx網站上之相關說明查找到該等機構中文名稱。
3.1.1.2.1 授權代表
雖然此等機構授權代表亦須成為機構證書登記人,但該證書並無登記此授權代表。
3.1.1.3 伺服器證書
伺服器證書申請人之鑑別透過證書上登記人名稱進行,該名稱組成為:
a) 登記人機構在適當香港政府部門或登記機關登記之名稱。
b) 該機構香港公司註冊/商業登記號碼
c) 登記人機構所擁有伺服器名稱
由於所有證書僅以英文發出,因此在登記(伺服器)證書之機構當中,凡僅以中文作> 公司名稱或僅提交公司之中文名稱的公司,其名稱將不會列示於其電子證書上。然而,登記人仍可按照xxx.xxxxxxxxxxxx.xxx.xx網站上之相關說明查找到該等機構中文名稱。
3.1.1.3.1 授權代表
雖然此等機構授權代表亦須成為伺服器證書登記人,但該證書並無登記此授權代表。
3.1.1.4 電子核證(保密)證書
電子核證(保密)證書申請人之鑒別將透過證書上登記人名稱進行,該名稱組成> :
a) 若登記人> 香港特別行政區政府之局或部門,則登記人名稱> 該局或部門之正式名稱;
b) 若登記人> 香港法律認可之法定機構,登記人名稱> 該機構在適當香港政府部門或登記機關登記之名稱;
c) 在所有其他情形下,登記人名稱> (i)登記人機構在適當香港政府部門或登記機關登記之名稱及(ii)該機構之香港公司或營業註冊號。
在所有情形下,任何個人之名稱均不會列載於證書上。
在所有情形下,證書上將列載申請表中指定之登記人機構之電子郵件位址。
由於所有證書僅以英文發出,因此在登記保密證書之機構當中,凡僅以中文作> 公司名稱或僅提交公司之中文名稱的公司,其名稱將不會列示於其電子證書上。然而,登記人仍可按照 xxx.xxxxxxxxxxxx.xxx.xx網站上之相關說明查找到該等機構中文名稱。
3.1.1.4.1 授權代表
雖然機構之授權代表亦須成> 電子核證(保密)證書之登記人,但該證書並無登記此授權代表。
3.1.2 名稱需有意義
所有名稱均須有一定意義(使用常見易懂語義學方法)以便決定登記人身分。
3.1.3 詮釋各種名稱規則
香港郵政對有關名稱問題事項之裁決乃自由酌情且具最終效力,不得上訴。
3.1. 4 名稱獨特性
把名稱之所有部份作為整體考察時,登記人名稱應無歧義和獨特性。然而,此準則並不要求名稱之某一個特別部份或成份本身具獨特性或無歧義。
3.1.5 名稱申索爭議決議程序
參見 3.1.3 一節。
3.1.6 認證及商標之作用
登記人向香港郵政保證(承諾)及向倚據證書人士申述,由其於證書申請過程中所提供之資料概無以任何方式侵犯或違反任何第三方之商標權、服務商標、商用名稱、公司名稱或任何其他知識產權。
3.1.7 證明擁有私人密碼匙之方法
登記人須產生自己的配對密碼匙,並使用穩當系統進行此等產生。所有登記人均知曉維持與證書中公開密碼匙相關之私人密碼匙之保安性乃其獨有職責。
3.1.8 機構身分認證
在接到機構證書申請時,香港郵政將根據 3.1.9 節中簡要列示之程序(認證機構身分),除掉祗有授權代表須完成下文簡要列示之親身呈遞過程,且須成為登記人並出示(1)機構董事會或類似控制機構之經合法認證或文件記錄之決議(此等決議給予授權代表權力作出申請並鑑別機構證書中之登記人)文件之原件或加蓋機構圖章之核實副本(2)受到如此鑑別之所有登記人香港身份證及護照,及授權代表本身之香港身份證及護照(3)由適當香港登記機關發出見證此機構存在之文件證明。
3.1.9 個人身分認證
各個人登記人身分之確認將透過如下運作之親身呈遞過程得以完成:
各證書申請人須親身到指定之香港郵政辦公處,並出示一份完成且簽署的申請表及登記人協議、申請人香港身份證。該香港郵政辦公處之人員將保留此等身份證之影印本一份,審核及驗證一系列申請文件,並把申請遞交香港郵政核證機關進行處理。
3.1.9.1 十八歲以下登記人個人證書認證
十八歲以下(未成年人)各申請人須親身到指定之香港郵政辦公處,並出示(1)一份妥為完成且簽署(由將要成為登記人之未成年人及其父母或監護人簽署)的申請表及登記人協議(2)該未成年人之出生證書(3)將要成為登記人之未成年人及其父母或合法監護人之香港身份證或護照之副本(4)若屬合法監護人情況,提交此監護人地位之官方文件。
3.1.10 伺服器證書
伺服器證書申請須由登記人機構之授權代表親身到指定香港郵政辦公處辦理,其須出示(1)機構董事會或類似控制機構之經合法認證或文件記錄之決議(此等決議給予授權代表權力作出申請及視何者情況而定證明擁有網功能變數名稱稱所有權)文件之原件或加蓋機構圖章之副本(2)授權代表本身之香港身份證或護照(3)由適當香港登記機關發出見證此機構存在之文件證明。
3 .1.11 保密證書
保密證書申請須由登記人機構授權代表親身前往指定香港郵政辦公處辦理,其須出示(1)列載有機構董事會或類似控制機構決議並加蓋該機構公司圖章之文件之原件或副本,表明該機構授予授權代表作出申請之權力(2)授權代表本人之香港身份證或護照及(3)由適當香港登記機關簽發證明該機構存在之證明文件。
若> 香港特別行政區政府之局或部門之申請,其授權代表須親自向香港郵政指定辦公處出示加蓋有相關局或部門圖章之便函或信函,表明任命該人士> 授權代表,其有權代表該局或部門簽署與申請有關之任何文件,有權辦理香港郵政發出證書之撤銷或續期手續。該便函或信函須由部門署長或同級官員簽字。
3.2 證書續期
就個人、機構及伺服器證書而言,證書續期請求可在數碼簽署基礎上利用當前配對密碼匙進行認證。在需要申請新證書之前,每份此等證書可續期一次。
3.2.1 個人證書
個人證書必須在申請更新時,經過面對面登記人身分認證過程。然而,一經續期,登記人須通過與首次申請類似之電子互動過程產生新配對密碼匙,並簽署完成一份新申請表及登記人協議,然後與適當費用一起提呈香港郵政。
3.2.2 機構證書
機構證書不可自動續期。若香港郵政接收到續期申請,即會根據 3.1.8 節所述“機構身分認證”之過程重新進行認證。
3.2.3 伺服器證書
伺服器證書不可自動續期。若香港郵政接收到續期申請,即會根據 3.1.10 節所述“機構身分認證”之過程重新進行認證。
3.2.4 保密證書
保密證書不可自動續期。若香港郵政收到續期申請,則會根據 3.1.11 節所述“電子核證(保密)證書認證”過程重新進行認證。
4.實施規定
4.1 證書申請
x準則下證書申請人須根據香港郵政編制之表格完成及提呈申請。申請人與香港郵政電子傳送之所有申請資料須使用由香港郵政不時訂明之安全接層或某一類似規約。
4.2 製造及發出證書
申請一經承認,香港郵政即行準備所申請之證書並通知申請人可以提取證書。申請人接受證書構成證書之最終發出。
4.3 發出、核對及接受證書
a) 香港郵政旨在申請表載明之期限內完成申請過程。 香港郵政將對各登記人身分進行認證,倘若且當此等身分得以認證後,通知登記人申請要求之證書已準備就緒有待完成,並發出確保完成證書須遵循之電子互動過程詳細資料。此步驟通常透過向登記人發出一香港郵政核證客戶套件來完成,此套件包括一 CD-ROM,個人密碼封套(包含個人密碼之封閉信封)及使用指令。
b) 在遵循完成證書之互動程序時,登記人將被給予機會核對確定證書中由登記人提供所有資料及申述均準確無誤。各登記人向香港郵政保證(承諾)其將完成此核對並妥為完成。
c) (i) 若此證書中有任何不準確或不實之處,登記人須取消此程序;
(ii) 若(且僅若)證書中無任何不準確或不實之處,登記人可根據所受指示繼續、允許並同意證書完成。透過此等繼續進程中,登記人接受本準則之證書。
透過接受證書,登記人確認證書中所包含資料正確。接受確認且為登記人同意受本準則、證書申請表及登記人協議條款之約束。
4.4 證書撤銷
4.4.1 撤銷情況
各登記人可根據本準則載明之撤銷程序任何時間以任何理由撤銷根據某一登記人協議其負責之證書。
凡登記人私人密碼匙或與某一證書之包含私人密碼匙之媒介已外洩或懷疑已外洩,各登記人須根據本準則中撤銷程序向香港郵政申請撤銷。
香港郵政可根據準則中程序撤銷某一證書,每當其:
a) 知道或有正當理由懷疑某一登記人私人密碼匙資料已外洩;
b) 知道或有正當理由懷疑某一證書之任何細節不真實或已變得不真實或該證書從其他方面為不可靠;
c) 決定某一證書沒有根據準則中程序妥為發出;
d) 決定某一登記人未能履行準則或登記人協議載明之任何責任;
e) 任何適用於本證書之規例或法律要求;
f) 知道或有正當理由相信其詳情登記在證書上之登記人或授權代表:
(i) 死亡或已死亡;
(ii) 根據破產條例(第六章)在撤銷之日前五年內是或已成為未獲解除破產的人士或已達成債務重整協議或債務償還安排或自願安排;
(iii) 已在香港或其他地方因發現該人有欺詐、舞弊或不誠實行為或違反電子交易條例已被定罪。
機構證書登記人:
i) 機構證書登記人正進行清盤或接到有司法管轄權之任何法庭所判清盤令;
ii) 根據破產條例(第六章)在擬定撤銷之日前五年內已達成債務重整協議或債務償還安排或自願安排;
iii) 機構之董事、官員或僱員在香港或其他地方因發現該人有欺詐、舞弊或不誠實行為或違反電子交易條例已被定罪者。
iv) 撤銷之日前五年內機構登記人資產之任何部份被委託於破產接收人或遺產管理人。
4.4.2 撤銷程序請求
以傳真請求為基礎,香港郵政對要求暫時撤銷之證書實行“存留”,但並不撤銷該證書。然後,登記人須向香港郵政發出其正本撤銷函,以完成撤銷過程。親身辦理或數碼簽署請求則毋須經“存留”程序而將作直接撤銷處理。香港郵政將設法在收到撤銷請求一週內向此等登記人發出撤銷通知。
撤銷證書辦公時間如下:
星期一至星期五 : 上午 9:00 至下午 5:00
星期六 : 上午 9:00 至中午 12:00
星期日及公眾假日 : 除外
如於任何工作日(週一至週六)懸掛八號或以上的熱帶氣旋警告信號或黑色暴風雨警告信號,且如在該工作日早上六時或以前信號除下,香港郵政將如常營業;如信號在早上六時至十時之間或十時正除下,香港郵政將於此工作日(週六除外)下午二時如常營業。
4.4.3 服務承諾及證書撤銷清單更新
a) 香港郵政將作出合理努力,查看在 (1) 香港郵政自登記人處收到撤銷申請或 (2) 在無此申請之情況下,香港郵政決定暫停或撤銷證書,兩個工作日內,暫停或撤銷證書及將撤銷清單予以公佈。然而,證書撤銷清單並不會於各證書撤銷後隨即在公眾目錄中公佈。祗有在下一份證書撤銷清單更新時一併公佈,證書撤銷清單介時才會顯示該證書已撤銷的狀態。證書撤銷清單每日公佈一次,並存檔七年。
為避免疑點,所有星期六、星期天、公眾假日及懸掛熱帶風暴及暴雨警報信號的工作日均不計工作日。
b) 在登記人明知香港郵政根據準則條款可能據以撤銷證書之任何事項的情況下,或登記人已作出撤銷申請或經知會香港郵政,香港郵政擬根據本準則條款暫停或撤銷證書後,登記人均不得在交易中使用證書。倘若登記人無視以上規定,仍確實在交易中使用證書,則香港郵政毋須就任何該等交易向登記人承擔責任。
d) 此外,登記人明知香港郵政任何事項的情況下撤銷證書,或登記人作出申請或經知會香港郵政擬撤銷證書時,須立即通知從事當時仍有待完成之任何交易之倚據證書人士,用於該交易的證書須予撤銷 (由香港郵政或經登記人申請) ,並明確說明,因情況形乃屬如此,故倚據證書人士不得就交易而倚據證書。若登記人未能通知倚據證書人士,則香港郵政無須就該等交易向登記人承擔責任,並無須向雖已收到通知但仍完成交易之倚據證書人士承擔責任。
除非香港郵政未能行使合理技術及謹慎且登記人未能按此等規定之要求通知倚據證書人士,否則,香港郵政無須就香港郵政作出暫停或撤銷證書(根據申請或其他原因)之決定與此資訊出現於證書撤銷清單之間之時間承擔責任。任何此等責任均僅限於本準則其他部分所規限之範疇。
4.4.4 撤銷效力
在香港郵政處理撤銷行動並把資料登記到核證機關資料庫時,撤銷即終止某一證書。
4.5 電腦保安審核程序
4.5.1 所記錄事項類型
香港郵政核證機關系統中重大保安事項透過人手或自動方式記錄到受保護的審核跟蹤文檔。這些事項包括但並不限於下列範例:
- 核證機關系統之安裝及修改
- 所有證書發放事宜
- 所有證書撤銷事宜
- 影響證書製造、發出或撤銷過程的香港郵政僱員進入權的改變
- 針對本準則之內部程序,香港郵政本身之配對密碼匙之產生
4.5.2 處理記錄之頻率
臨時審核記錄文檔由香港郵政以日為基準進行存檔及數碼簽署。
4.5.3 審核記錄之存留期間
存檔審核記錄文檔存留期為七年。
4.5.4 審核記錄之保護
審核記錄保護措施類似於香港郵政核證機關系統內其他關鍵文檔之保護措施。
4.5.5 審核記錄備存程序
審核記錄備存程序遵循類似於香港郵政核證機關操作內其他關鍵文檔之備存規定。
4.5.6 審核資料收集系統
香港郵政核證機關系統審核記錄及文檔受自動審核收集系統控制,該收集系統不能為任何應用程式、程序或其他系統程式修改。任何對審核收集系統之修改本身即成為審核事項之一。
4.5.7 事故主體向香港郵政發出通知
香港郵政擁有自動處理系統可向適當人士或系統報告關鍵審核事項。
4.5.8 脆弱性評估
脆弱性評估為香港郵政核證機關保安程序之一部份。
4.6 記錄存檔
4.6.1 存檔記錄類型
下列數據及文檔由(或代表)香港郵政存檔:
- 電腦保安審核數據
- 申請證書數據
- 所發出證書
- 所產生之證書撤銷清單
- 香港郵政與登記人之間重要通函
4.6.2 存檔存留期間
密碼匙及證書資料安全存續七年。審核跟蹤文檔由香港郵政視為適當之方式保存於網上。
4.6.3 存檔保護
由香港郵政保存之存檔媒體受到各種實體或加密措施保護避免未經授權進入。保護措施用來
保護存檔媒體免受象溫度、濕度及磁場等外部環境之危害。
4.6.4 存檔備存程序
為防備初始存檔丟失或損毀,製作並保存存檔備存副本。
4.6.5 時間戳印
存檔資料均加上存檔項目創製之時間及日期。香港郵政利用控制措施防止對自動系統時鐘未經授權擅自改動。
4.7 密碼匙變更
香港郵政電子核證根源密碼匙壽命從二零零零年一月份起為十年,密碼匙變更前會作公告。
4.8 災難復原及密碼匙資料外洩計劃
4.8.1 災難復原計劃
x主要運作基地變得不可運行,香港郵政擁有災難復原/業務恢復計劃可根據本準則提供核證機關服務。
4.8.2 密碼匙資料外洩計劃
x本準則下與發出電子證書相關之某一私人密碼匙資料已外洩,香港郵政即會通知登記人。某一香港郵政私人密碼匙資料外洩將導致此私人密碼匙下發出之證書之即時撤銷,並發出新的更換證書。
4.9 核證機關終止服務
x香港郵政停止作為核證機關行事,將即時通知登記人。根據本準則由香港郵政發出之證書將刊登在其他認可儲存庫中,直到該證書屆滿為止。
5. 實體、程序及人員保安控制
5.1 實體保安
5.1.1 選址及建造
香港郵政核證機關運作地點位於商業上合理且具備實體保安條件之地。在場地建造過程中,香港郵政採取適當措施為核證機關運作準備場地。
5.1.2 進入控制
香港郵政實施商業上合理且實體保安的控制,限制進入就提供香港郵政核證機關服務而使用的硬體及軟件(包括核證機關伺服器、工作站及任何外部加密硬體模塊或於香港郵政控制下的權標)。可使用該等硬體及軟件的人員僅限於本準則第 5.2.1 節所述之履行受信職責的人員。在任何時間都對該等進入進行控制及人手或電子監控,以防發生未經授權的侵入。
5.1.3 電力及空調
核證機關設施可獲得的電力和空調資源包括一個獨立備用發電機,以在城市電力系統發生故障時用於供電。
5.1. 4 自然災害
核證機關設施在合理可能限度內受到保護,以免受自然災害。
5.1.5 防火及保護
香港郵政已在核證機關設施備妥防火計劃及滅火系統。
5.1.6 媒體存儲
媒體存儲及處置程序已經開發及就位。
5.1.7 場外備存
見第 4.6.3、4.6.4 及 4.8.1 節。
5.1.8 印刷文件的保管
印刷文件及身分確認文件的影印本由香港郵政以安全方式保存。祗有獲授權人員方可以接觸到該等記錄。
5.2 程序控制
5.2.1 受信職責
可進入或控制可能會對證書之發出、使用或撤銷帶來重大影響的密碼運作(包括進入香港郵
政核證機關資料庫的受限制操作)的香港郵政僱員、承包商及顧問(統稱“人員”),應被視為承擔受信職責。該等人員包括但不限於系統管理人員、操作員、工程人員及獲派監督香港郵政之核證機關運作的行政人員。
5.3 人員控制
5.3.1 背景及資格
香港郵政所採納的人員及管理政策,致力合理確保其僱員的可信度及勝任程度,並使僱員以符合本準則的方式履行令人滿意的職責。
5.3.2 背景調查
香港郵政對擔任受信職責的人員進行調查(在其受聘前及受聘後視需要定期進行),以根據本準則及香港郵政的人事政策要求核實僱員的可信度及勝任程度。未能通過首次及定期調查的人員不得擔任或繼續擔任受信職責。
5.3.3 培訓要求
香港郵政人員已接受履行其職責所需要之初期培訓。香港郵政亦在必要情況下繼續提供培訓,以使其人員能及時掌握所需要的工作技能。
5.3.4 向人員提供之文件
香港郵政人員會收到綜合用戶手冊,其中詳細載明證書的製造、發出、更新,續期及撤銷程序及與其職責有關的其他軟件功能。
6. 技術保安控制
6.1 產生密碼匙及安裝
6.1.1 產生配對密碼匙
香港郵政及登記人透過一個程序產生配對密碼匙,以使除配對密碼匙獲授權用戶以外的任何人士均不能獲得私人密碼匙,除非程序被授權用戶外洩。
6.1.2 登記人公開密碼匙交付
登記人的公開密碼匙必須通過指定方法傳遞予香港郵政,以確保:
- 密碼匙於傳遞過程中未被更改
- 發送人擁有與所傳遞之公開密碼匙相符的私人密碼匙
- 公開密碼匙的發送人是申請證書中列出的人
6.1.3 公開密碼匙交付予登記人
用於核證機關數碼簽署的各香港郵政配對密碼匙的公開密碼匙可聯機獲得。香港郵政採取保護措施,以防該等密碼匙被人修改。
6.1.4 密碼匙長度
香港郵政之簽署配對密碼匙是 2048 位元 RSA。登記人配對密碼匙則是 1024 位元 RSA。
6.1.5 加密模組標準
香港郵政進行之簽署產生密碼匙、存儲及簽署操作在硬體加密模組內進行。
6.1.6 密碼匙的使用目的
香港郵政個人、機構及伺服器電子核證中使用之密碼匙可以用於數碼簽署或不可推翻性服務。香港郵政簽署之母密碼匙(用於製造或發出符合本準則的證書的密碼匙)僅用於簽署(a)證書及(b)證書撤銷清單。電子核證(保密)證書所用之密碼匙不得用於> 生數碼簽署,而僅用於進行加密電子通訊之目的。
6.2 私人密碼匙保護
6.2.1 加密模組標準
登記人製造私人密碼匙必須在加密模組內進行,其級別不下於 FIPS 140-1 第 1 級。
6.2.2 私人密碼匙單一控制
所有個人、機構及伺服器證書登記人必須保持單一私人密碼匙環境。該等證書之任何私人密碼匙不得由兩名或兩名以上人士共用。
電子核證(保密)證書登記人可將與該證書有關的私人密碼匙號碼秘密地透露給授權用戶。在該意義上,且僅在該意義上,與證書有關之私人密碼匙號碼方允許被分享。
6.2.3 私人密碼匙契據
香港郵政使用之電子核證系統並無為私人密碼匙設計全方位密碼匙契據程序。希望獲得密碼匙契據服務的人請致電 2927-7132 聯絡香港郵政電子服務部,查詢有關詳情及安排。
6.2.4 香港郵政私人密碼匙的備存
香港郵政私人密碼匙的備存須由超過一名人士執行,以啟動備存私人密碼匙。任何其他密碼匙均不被備存。
6.3 其他方面的配對密碼匙管理
香港郵政之公開密碼匙使用期,將不超過十年。所有香港郵政密碼匙的產生、密碼匙存儲及證書和撤銷清單簽署操作均於硬體加密模組內進行。
6.4 電腦保安控制
6.4.1 個體問責性
就個人及機構證書而言,各公匙基建的用戶均單一鑑別,而不共用鑑別器或使用群鑑別器。祗有證書登記人才可以使用此項服務。伺服器的登記人祗可將證書使用於一台伺服器之上。就電子核證(保密)證書而言,登記人機構及登記人機構授權代表有責任保證該證書僅> 授權用戶使用,其他任何人均不得使用之。
6.4.2 電腦保安評級
香港郵政電子核證機關符合 BS7799 評級。
6.4.3 電腦保安培訓
操控香港郵政電子核證的香港郵政僱員按商業上合理的電腦保安慣例及程序進行培訓。
6.5 生命週期技術保安控制
6.5.1 保安管理控制
用於製造或發出證書的香港郵政系統每十二個月至少測試一次,以防非法闖入或其他未獲授權進入。
6.6 網絡保安控制
香港郵政伺服器及核證機關資料庫採用防火牆保護,其配置適用於本準則所載之核證機關服務所需的規約及命令。
6.7 加密模組工程控制
香港郵政使用之加密裝置至少達到 FIPS140-1 第 1 級。
7. 證書及證書撤銷清單結構
7.1 證書結構
x準則提及的證書包含用於確認電子訊息發送人身分及核實該等訊息整體性的公開密碼匙
(即用於核實數碼簽署的公開密碼匙)。本準則提及的所有證書均以 X.509 第 3 版之格式發出。詳情參閱 xxxx://xxx.xxxxxxxxxxxx.xxx.xx。另見附錄乙。
7.2 證書撤銷清單結構
香港郵政證書撤銷清單為 X.509 第 2 版之格式。詳情參閱 xxxx://xxx.xxxxxxxxxxxx.xxx.xx。
8. 準則管理
8.1 準則變更程序
x準則的所有變更必須經香港郵政承認及公佈。準則變更一旦由香港郵政在儲存庫內公佈,即獲生效,並對所有新證書申請人及所有現有證書的持有人(當該等證書進行延期時)均具約束力。
8.2 公佈及通知程序
x準則之副本可供網上瀏覽(xxxxx.xxxxxxxxxxxx.xxx.xx/xxx)及在香港郵政儲存庫中獲取。本準則或其他相關文件之印刷副本可在下列地址索取:
香港郵政香港
中環康樂廣場 2 號
聯絡部門:電子服務部
x準則之變更可在相同地點索取。
附錄甲
詞彙
附錄乙
電子核證證書格式
附錄丙
電子核證主登記人協議
附錄甲
詞彙
除非文意另有所指,否則下列表達在本準則中具有下列涵義:
“ 接受證書”就獲發給某證書的人而言,指當他知悉該證書的內容時-
a) 他批准將該證書向他人公佈或在某儲存庫內公佈;
b) 使用該證書;或
c) 他以其他方式表示承認該證書。
“收訊者”就發訊者所發出的任何電子紀錄而言,指發訊者指明接收該紀錄的人,但不包括仲介人。
“申請人”指申請電子核證的自然人或法人。
“非對稱密碼系統”指能產生安全配對密碼匙的系統,而安全配對密碼匙是由用作產生數碼簽署的私人密碼匙及用作核實數碼簽署的公開密碼匙組成的。
“ 證書” 或“電子核證”指符合以下所有說明的紀錄 -
a) 由核證機關為證明數碼簽署的目的而發出,並且該數碼簽署的用意是確認持有某特定配對密碼匙的人的身分或其他主要特徵的;
b) 識別發出紀錄的核證機關;
c) 指名或識別獲發給紀錄的人;
d) 包含該獲發給紀錄的人的公開密碼匙;並且
e) 由發出紀錄的核證機關的負責人員簽署。
“核證機關”指向他人(可以是另一核證機關)發出證書的人。
“核證作業準則”指核證機關所發出的以指明其在發出證書時使用的作業實務及標準的準則。
“證書撤銷清單”列舉證書發出人在證書原定到期時間前宣佈無效的公開密碼匙證書(或其他種類的證書)的資料。
“對應”就私人或公開密碼匙而言,指屬於同一配對密碼匙”。
“數碼簽署”就電子紀錄而言,指簽署人的電子簽署,而該簽署是用非對稱密碼系統及雜湊函數將該電子紀錄作數據變換而產生的,使持有原本未經數據變換的電子紀錄及簽署人的公
開密碼匙的人能據之確定-
(a) 該數據變換是否用與簽署人的公開密碼匙對應的私人密碼匙產生的;及
(b) 在產生數據變換之後,該原本的電子紀錄是否未經變更。
“電子紀錄”指資訊系統所產生的數碼形式的紀錄,而該紀錄-
(a) 能在資訊系統內傳送或由一個資訊系統傳送至另一個資訊系統;並且
(b) 能儲存在資訊系統或其他媒介內。
“電子簽署”指與電子紀錄相連的或在邏輯上相聯的數碼形式的任何字母、字樣、數目字或其他符號,而該等字母、字樣、數目字或其他符號是為認證或承認該紀錄的目的簽立或採用的。
“資訊”包括資料、文字、影像、聲音編碼、電腦程式、軟件及資料庫。
“資訊系統”指符合以下所有說明的系統-
(a) 處理資訊的;
(b) 記錄資訊的;
(c) 能用作使資訊記錄或儲存在不論位於何處的其他資訊系統內,或能用作將資訊在該等系統內以其他方式處理的;及
(d) 能用作檢索資訊(不論該等資訊是記錄或儲存在該系統內或在不論位於何處的其他資訊系統內) 。
“仲介人”就某特定電子紀錄而言,指代他人發出、接收或儲存該紀錄,或就該紀錄提供其他附帶服務的人。
“發出”就證書而言,指核證機關製造證書並將該證書的內容通知該證書內指名或識別為獲發給該證書的人的作為。
“配對密碼匙”在非對稱密碼系統中,指私人密碼匙及其在數學上相關的公開密碼匙,而該公開密碼匙是能核實該私人密碼匙所產生的數碼簽署的。
“條例”指“電子交易條例”(第 553 章)。
“發訊者”就某電子紀錄而言,指發出或產生該紀錄的人,或由他人代為發出或產生該紀錄的人,但不包括仲介人。
“郵政署署長”指《郵政署條例》(第 98 章)所指的署長。
“私人密碼匙”指配對密碼匙中用作產生數碼簽署的密碼匙。
“公開密碼匙”指配對密碼匙中用作核實數碼簽署的密碼匙。
“認可證書”指-
(a) 根據第 22 條認可的證書;
(b) 屬根據第 22 條認可的證書的類型、類別或種類的證書;或
(c) 第 34 條提述的核證機關所發出的指明為認可證書的證書。
“認可核證機關”指根據第 21 條認可的核證機關,或第 34 條提述的核證機關。
“紀錄”指在有形媒介上註記、儲存或以其他方式固定的資訊,亦指儲存在電子或其他媒介的可藉可理解形式還原的資訊。
“倚據限額”指就認可證書的倚據而指明的金錢限額。
“儲存庫”指用作儲存及檢索證書及其他與證書有關的資訊的資訊系統。 “負責人員”就某核證機關而言,指在該機關與本條例有關的活動方面身居要職的人。
“法律規則”指-
(a) 條例;
(b) 普通法規則或衡平法規則;或
(c) 習慣法。
“安全接層”指使用連接導向、終端對終端加密的互聯網規約,以在客戶(通常為萬維網瀏覽器)與伺服器(通常為網絡伺服器)之間為應用層通訊提供資料保密服務及資料完整性服務,及在客戶及伺服器之間可以選擇提供等同實體驗證。其 IETF-標準版乃 TLS(傳送層保安)規約,由 RFC2246 指明。
“簽”及“簽署”包括由意圖是認證或承認紀錄的人簽立或採用的任何符號,或該人使用或採用的任何方法或程序。
“登記人”指符合以下所有說明的人(該人可以是另一核證機關)-
(a) 在某證書內指名或識別為獲發給證書;
(b) 已接受該證書;及
(c) 持有與列於該證書內的公開密碼匙對應的私人密碼匙。
“穩當系統”指符合以下所有條件的電腦硬體、軟件及程序-
(a) 是合理地安全可免遭受入侵及不當使用的;
(b) 在可供使用情況、可靠性及操作方式能於合理期間內維持正確等方面達到合理水平;
(c) 合理地適合執行其原定功能;及
(d) 依循獲廣泛接受的安全原則。
“核實數碼簽署”就某數碼簽署、電子紀錄及公開密碼匙而言,指確定-
(a) 該數碼簽署是否用與列於某證書內的公開密碼匙對應的私人密碼匙而產生的;及
(b) 該電子紀錄在其數碼簽署產生後是否未經變更,而提述數碼簽署屬可核實者,須據此解釋。
為施行電子交易條例,如某數碼簽署可參照列於某證書內的公開密碼匙得以核實,而該證書的登記人是簽署人,則該數碼簽署視作獲該證書證明。
香港郵政電子核證證書規格 附錄乙
電子核證(個人) | 電子核證(個人/未成年人) | 電子核證(機構) | 電子核證(伺服器) | 電子核證(保密) | ||
標準欄 | ||||||
版本 | X.509 V3 | X.509 V3 | X.509 V3 | X.509 V3 | X.509 V3 | |
序號 | [系統產生] | [系統產生] | [系統產生] | [系統產生] | [系統產生] | |
簽署數元 | sha1RSA | sha1RSA | sha1RSA | sha1RSA | sha1RSA | |
發出人 | cn=Hongkong Post e-Cert CA, o=Hongkong Post, c=HK | cn=Hongkong Post e-Cert CA, o=Hongkong Post, c=HK | cn=Hongkong Post e-Cert CA, o=Hongkong Post, c=HK | cn=Hongkong Post e-Cert CA, o=Hongkong Post, c=HK | cn=Hongkong Post e-Cert CA, o=Hongkong Post, c=HK | |
有效期 | 不早於 | [UTC 時間] | [UTC 時間] | [UTC 時間] | [UTC 時間] | [UTC 時間] |
不遲於 | [UTC 時間] | [UTC 時間] | [UTC 時間] | [UTC 時間] | [UTC 時間] | |
登記人名稱 | cn=[香港身份證名稱]1, | cn=[香港身份證名稱]1, | cn=[名稱], | cn=[URL], | cn=[登記單位名稱], | |
ea=[電子郵箱地址], | ea=[電子郵箱地址], | ea= [電子郵箱地址], | ou=[登記人參考編號]2, | ea= [電子郵箱地址], | ||
ou=[登記人參考編號]2, | ou=[登記人參考編號]2, | ou=[登記人參考編號]2, | ou=[商業登記編號+註冊證書/登記證書+其他]4, | ou=[登記人參考編號]2, | ||
o=Hongkong Post e-Cert (Personal), | o=Hongkong Post e-Cert (Personal/Minor), | ou=[商業登記編號+註冊證書/登記證書+其他]4, | ou=[機構], | ou=[商業登記編號+註冊證書/登記證書+其他]4, | ||
c=HK | c=HK | ou=[機構], | ou=[機構部門], | ou=[機構], | ||
ou=[機構部門], | o=Hongkong Post e-Cert (Server), | ou=[機構部門], | ||||
o=Hongkong Post e-Cert (Organisational), | c=HK | o=Hongkong Post e-Cert (Encipherment), | ||||
c=HK | c=HK | |||||
登記人公開密碼匙 | 數元 | RSA | RSA | RSA | RSA | RSA |
公開密碼匙 | [在索取證書過程中由登記人瀏覽器中產生及提供]3 | [在索取證書過程中由登記人瀏覽器中產生及提供]3 | [在索取證書過程中由登記人產生及提供] | [在索取證書過程中由登記人產生及提供] | [在索取證書過程中由登記人產生及提供] | |
發出人識別名稱 | 未使用 | 未使用 | 未使用 | 未使用 | 未使用 | |
登記人識別名稱 | 未使用 | 未使用 | 未使用 | 未使用 | 未使用 | |
標準擴展 | ||||||
機關密碼匙識別名稱 | 發出人 | cn=Hongkong Post Root CA, o=Hongkong Post, c=HK | cn=Hongkong Post Root CA, o=Hongkong Post, c=HK | cn=Hongkong Post Root CA, o=Hongkong Post, c=HK | cn=Hongkong Post Root CA, o=Hongkong Post, c=HK | cn=Hongkong Post Root CA, o=Hongkong Post, c=HK |
序號 | [從發出人處獲取] | [從發出人處獲取] | [從發出人處獲取] | [從發出人處獲取] | [從發出人處獲取] | |
基本限制 | 主題 | 最終實體 | 最終實體 | 最終實體 | 最終實體 | 最終實體 |
路徑長度限制 | 無 | 無 | 無 | 無 | 無 | |
密碼匙的使用 | 數碼簽署﹐密碼匙加密 | 數碼簽署﹐密碼匙加密 | 數碼簽署﹐密碼匙加密 | 密碼匙加密 | 密碼匙加密 | |
登記人的其他供選擇名 稱 | DNS名稱 | [保護(香港身份證)]5 | [保護(香港身份證)]5 | 未使用 | 未使用 | 未使用 |
rfc822 | [電子郵箱地址] | [電子郵箱地址] | [電子郵箱地址] | 未使用 | [電子郵箱地址] | |
Netscape 擴展 | ||||||
Netscape 證書類型 | SSL client, S/MIME | SSL client, S/MIME | SSL client, S/MIME | SSL server | SSL client, S/MIME | |
Netscape SSL 伺服器 名稱 | 未使用 | 未使用 | 未使用 | [URL] | 未使用 | |
Netscape 備註 | Hongkong Post e-Cert For terms and conditions governing the use of this e-Cert, please see the Subscriber Agreement and CPS both of which can be found at any of our Post Office counters. | Hongkong Post e-Cert For terms and conditions governing the use of this e-Cert, please see the Subscriber Agreement and CPS both of which can be found at any of our Post Office counters. | Hongkong Post e-Cert For terms and conditions governing the use of this e-Cert, please see the Subscriber Agreement and CPS both of which can be found at any of our Post Office counters. | Hongkong Post e-Cert For terms and conditions governing the use of this e-Cert, please see the Subscriber Agreement and CPS both of which can be found at any of our Post Office counters. | Hongkong Post e-Cert This e-Cert is NOT for use in relation to CONTRACTS or ANY ON-LINE MONEY TRANSFERS. For terms and | |
附註﹕
1 姓名格式: 英文格式,其中姓氏須要大寫, 例如 XXXX Tai Man Xxxxx
2 登記人參考編號, 10 位數字
3 1024-位元
4 商業登記編號 : 16 位數字, 註冊證書 / 登記證書 : 8 位數字, 其他: 30 位字元 (如有)
4 香港特別行政區政府部門之商業登記編號及註冊證書 / 登記證書全部為零,部門簡稱 (例如 HKPO 代表香港郵政) 放在"其他"
5 sha1[sha1RSA[香港身份證號碼]], 香港身份證號碼包括方格內之核對數位,但不 括括號。
附錄丙
Subscriber Agreement
登 記 人 協 議
日期:二零零零年五月九日 R.1
登 記 人 協 議
重要提示:請認真閱讀
閣下(登記人)與由香港郵政署長作為代表之香港郵政署達成登記人協議。閣下在遞交數碼證書申請書之前,須首先閱讀本協議之條款,並於本協議結尾處所提供之空欄簽署及註明日期,以表示接受本協議之條款。倘閣下不接受本協議之條款,則證書申請將不予受理,且證書不予發出。
香港郵政署(香港郵政)與閣下(登記人)就支付發出證書所收取之費用及以下所載條款及條件,擬接受法律約束並達成以下協議:
香港郵政
1. 就香港法例第 553 章之電子交易條例(“條例”)而言,香港郵政署長為認可之核證機關。根據該條例,香港郵政署長可透過香港郵政署官員履行核證機關之職能並提供核證服務。因此,就本協議而言,香港郵政署由香港郵政署長代表,下稱為香港郵政。
為使公眾有所了解,香港郵政已就其以核證機關身份發出之認可證書之各類型、級別或內容公佈核證作業準則("準則")。香港郵政以本協議列載各項條款作依據,並按照準則發出電子核證證書(“證書”)。
登記人
2. 登記人。登記人為基於同意受本協議之全部條款約束並由其本身或其授權代表簽署本協議而促致製作及發出證書之個人及機構。倘本協議之登記人超過一位,則各登記人均須就其他各登記人應履行本協議之義務以及本身履行本協議之義務而向香港郵政承擔責任。
個人證書登記人。倘閣下欲申請個人證書且為詳細資料將列載於證書之人士,則閣下可成為登記人,閣下如同意並簽署本協議,則將獲發出證書。
未成年個人證書登記人。倘閣下未滿十八歲並欲申請個人證書,則閣下可成為登記人,證書亦將予以發出並列明閣下之詳細資料,惟閣下連同閣下父母中之一人
(或閣下之合法監護人)均須同意成為登記人且閣下之父、母或合法監護人同意
(透過簽署本協議)承擔並履行與閣下證書有關之登記人義務,猶如以父、母或監護人名義發出之證書,倘閣下未遵守本協議之條款並因此對香港郵政造成損失或損害,父、母或監護人亦擔保將向香港郵政承擔責任,但父、母或監護人將並不獲(除非其另行申請)以其名義發出之證書。此外,以未成年人名義發出之證書可能註有對倚據證書人士之特別警告,因為根據法律規定,未成年人可能不受若干合約約束。
機構證書登記人。倘閣下欲申請機構證書且擬將閣下之詳細資料列載於證書,則只有當(i)閣下為(並由此保證閣下為)有關機構之成員或僱員及閣下經機構授權持有及使用證書而且閣下成為登記人及(ii)有關機構亦透過申請表格所載之授權代表簽署本協議並加蓋機構圖章且機構及授權代表按此成為登記人並同意承擔及履行本協議之所有條款及與證書有關之所有登記人義務時,證書方予發出。
伺服器證書登記人。倘閣下為申請表格所列載之授權代表並欲代表機構申請以該機構名義擁有之伺服器名稱發出之電子證書,則只有當有關機構透過閣下簽署本協議並加蓋機構圖章且機構及獲授權代表由此成為登記人並同意承擔及履行與證書有關之所有登記人義務時,證書方予發出。
保密證書登記人。此等證書登記人只限基於同意接受本協議所有條款約束而促致製作及發出證書之特定機構及其授權代表。只有下述機構和下述機構之授權代表可以成> 此等證書之登記人:
(1) 香港特別行政區政府之局及部門;
(2) 已在香港特別行政區公司註冊處註冊之公司;
(3) 其存在獲香港法律認可之香港特別行政區之法定機構;
(4) 持有香港特別行政區簽發的有效註冊證之機構只有下列情形,保密證書方予以發出:
(1) 有關機構透過申請表中指明之授權代表在本協議上簽署並加蓋機構圖章,並因此成> 登記人;
(2) 授權代表是(在此承諾他或她是)經該機構合法授權之授權代表並簽署本協議並因此成> 登記人,且其本人保證履行本協議之所有條款及與證書相關之登記人所有義務;
(3) 每家機構及其授權代表同意就其餘各人履行本協議,共同及各別對香港郵政承擔責任。
保密證書的使用
3. 該證書僅供已獲該等機構授權使用證書之登記人機構之行政人員、成員及僱員
(“授權用戶”)使用而設,且登記人在此向香港郵政承諾其只會讓該等人士使用。
4. 登記人機構在此對香港郵政承諾,它將只允許授權用戶代表該機構在交易中用證書進行加密電子通訊,該等交易與網上付款或網上投資或在網上將任何經濟利益授予任何人士或人們或任何性質之實體之行> 無關或無涉;且在任何情況下,該證書將不被用於與合約或任何受法律約束之協議談判或簽署有關的活動。
保密證書的特點
5. 保密證書將具有下列特點:
• 登記人姓名:保密證書將用登記人機構的名稱發出。無論是授權代表登記人還是其他任何個人之姓名,一概不會載列於證書之上。列於其上的資料有:機構名稱、登記編號、電子郵件地址、登記人之獨有參考編號及與證書相關之登記人私人密碼匙配對之公開密碼匙。它只以英語列載相關資料。
• 私人密碼匙 :與每份證書相關的私人密碼匙不能且禁止用於> 生數碼簽署。
• 私人密碼匙之分享及其安全性:登記人機構可將與證書有關的私人密碼匙秘密地透露給經它授權的人士(人等),以便其使用證書。在該意義上,且只在該意義上,與證書有關之私人密碼匙方允許被分享。登記人機構及其授權代表登記人在此對香港郵政及依據證書人士承擔責任,保證由掌握私人密碼匙之授權用戶持續保持私人密碼匙之安全,且私人密碼匙不向任何其他人透露。
倚據證書人士
6. 倚據證書人士。根據準則,合共有兩類最終實體:登記人(按本協議定義)及倚據證書人士。登記人在本協議中定義為已促致發出證書之個人或機構。倚據證書人士在本協議中定義為已接納證書來進行交易之實體。現有之協議擬用來規管香
港郵政與登記人之關係(按以上第二條所定義)同具以準則中所定義之登記人及倚據證書人士之身份。這意味著(此亦為本協議之原意),根據本協議,閣下同具登記人及倚據證書人士身份對香港郵政行使之權利可能受到限制,倘若閣下並非受本協議條款約束之登記人,則不會受到限制。倘閣下不接受此條款,請勿簽署本協議。
核證作業準則(準則)之認可及納入
7. 準則是一份十分重要的文件,因為該文件的全部內容將納入本協議中,各登記人向香港郵政承擔準則所載登記人及倚據證書人士之所有義務,準則亦就香港郵政對閣下之責任(包括與疏忽相關之責任)作出重要限制及豁免,倘閣下簽訂本協議,則此等限制及豁免將對閣下產生約束力。香港郵政電子核證之網址 xxx.xxxxxxxxxxxx.xxx.xx 或任何香港郵政局均可提供準則, 閣下及各登記人在簽訂本協議之前可以並且應該閱讀準則。接受本協議之條款即表示閣下承認閣下及本協議內之各登記人已接獲有關準則所載登記人及倚據證書人士之義務及本協議所載之限制及豁免條款(包括有關疏忽者)之全部詳細通知。閣下進一步同意受準則中對閣下(登記人)作為準則中所屬之登記人及倚據證書人士適用之規定之約束,準則之所有條款,包括限制及豁免香港郵政責任之條款,均因此納入本協議,猶如逐詞載於本協議。以下列載閣下(登記人)及香港郵政之部分而非全部義務以方便閣下。倘閣下尚未理解準則,則閣下不應簽訂本協議並不應參與公開密碼匙基礎建設。
登記人承認理解準則
8. 閣下倘接受本協議之條款,閣下即承認:
• 對公開密碼匙基礎建設之運作有所了解
• 理解該等系統之限制
• 理解有必要維護與閣下數碼證書提及之公開密碼匙相關之私人密碼匙之保安。
發出、檢查及接受證書之程式
9. (1) 香港郵政將力求在申請表格上指明的時間內完成處理申請的程式。香港郵政將認證各用戶之身份,並在其身份獲認證後,通知用戶所申請之證書已備妥且即將完成,並提供須予遵循以確保順利完成之電子互動過程詳情。此項工作通常乃透過發送香港郵政電子核證客戶套件予登記人而得以完成,該套件包括唯讀光碟及個人密碼封套(裝有個人密碼的密封函件)及使用說明。
(2) 閣下在按照互動程式製作證書時,將有機會進行檢查,以查看證書所載之所有資料及登記人所作之xx是否準確真實。各登記人茲向香港郵政承諾將會妥為進行檢查。
(3) (i) 倘證書出現任何差錯或虛假資料,則閣下必須取消程序;
(ii) 惟有在證書沒有差錯或虛假資料之情況下,閣下方可繼續及許可及同意完成證書。然後,閣下方可接受根據準則發出之證書。
接受之後果
10. 各登記人一經接受根據準則發出之證書,即表示其向香港郵政作出保證(承諾)及向其他所有有關人士(包括任何倚據證書人士)作出xx,在證書之有效期間,以下事實乃屬真實並將保持真實:
• 除登記人及保密證書授權用戶外,並無其他人士曾取用登記人之私人密碼匙;
• 使用與登記人個人證書、機構證書或伺服器證書所載之公開密碼匙相關之登記人私人密碼匙所> 生之每一數碼簽署實屬登記人之數碼簽署;
• 代表登記人機構使用保密證書只限於有關交易中進行加密電子通訊,該等交易與網上付款或網上投資或在網上將任何利益授予任何個人之行> 無關或無涉;且該證書將不被用於與合約談判或簽署有關的活動;
• 證書所載之所有資料及由登記人作出之xx均屬真實;
• 證書將只會用於符合準則之認可及合法用途;
• 保密證書不會用於第四段中列載所禁止之任何目的;
• 在證書申請過程中所提供之所有資料,均並無侵犯或違反任何第三方之商標、服務標記、品牌、公司名稱、或任何知識產權。
11. 各登記人一經接受證書,即表明其擔保透過使用合理預防措施對登記人私人密碼匙進行保密,並保護其機密性及完整性,以防遺失、外洩或被人擅自使用,包括將任何密碼或與使用私人密碼匙有關之其他存取控制工具作為保密資料,並不向其他除授權用戶外的任何人士泄露任何存取控制工具。
12. 登記人之責任。各登記人承認,倘向香港郵政作出之以上保證未得以履行,或以上所列之xx乃屬虛假或變為虛假,或上述義務未得以履行,則根據本協議及 /或法例,各登記人有或可能有責任向香港郵政及 / 或其他人士就可能因此產生之責任或損失及損害賠償損失。
13. 香港郵政對已接受但有缺陷之證書所承擔之責任。倘閣下於接獲證書後發現,因證書上顯示之公開密碼匙出現差錯及使用個人證書、機構證書及伺服器證書時證書上顯示之數碼簽署出現差錯,導致公開密碼匙所預期之交易無法適當完成或根本無法完成,且使用保密證書時,加密電子通訊無法適當完成或根本無法完成,則閣下須將此情況立即通知香港郵政,以便撤銷證書並(若適當)重新發出,或倘此通知已於接受證書後三個月內發出且閣下不再需要證書,則須讓香港郵政
(若證實真正出現任何此類差錯)進行退款。倘閣下於接受後等待三個月以上方才將此類差錯通知予香港郵政,則款項不得以既得權利理由退還,而只可由香港郵政酌情予以退還。
報告
14. 呈報證書資料之變更。各登記人同意於證書有效期間,在得知證書資料發生任何變更時立即將此變更通知予香港郵政,香港郵政在接到通知時將根據準則程序暫時吊銷或撤銷證書。
呈報私人密碼匙遺失或外洩。各登記人同意於發現登記人私人密碼匙發生任何遺失或外洩(外洩乃屬違反保安規定,使資料遭受可能未經授權之使用,從而使資料可能已遭受未經授權之披露、更改或使用)時立即呈報此類遺失或外洩予香港郵政,香港郵政在接到通知時將根據準則程式暫時吊銷或撤銷證書。
呈報撤銷之理由。以下列載香港郵政可能撤銷證書之其他理由。各登記人(如已死亡,則為其個人代表或其他依法負責已死亡登記人之事務之人士,或若授權代表死亡,則> 登記人機構)須立即將可能使香港郵政根據此等其他理由而有權撤銷證書並根據本合約規定應由登記人負責之情況﹐立即向香港郵政呈報。
15. 登記人未進行呈報而須承擔之責任。倘以上所載之呈報義務未得以適當履行或根本未予履行,則:
• 香港郵政對任何後果均不承擔責任,尤其不對登記人或任何其他人士產生之任何損失或損害承擔責任;
• 各登記人必須或可能須就引致之責任或遭受之損失或損害向香港郵政(並可能包括法例規定之其他人士)賠償損失。
期限
16. 時間限制。根據本協議發出之證書,其有效期為一年。一年屆滿須重新申請。
登記人作為倚據證書人士之義務
17. 各登記人同意,當其使用公開密碼匙基礎建設並成為倚據證書人士以後,其獨自負責(介於彼等與香港郵政之間):
• 倚據證書人士於倚據時如考慮過所有因素後仍真心認為倚據證書屬合理之舉,方可倚據證書﹔
• 根據準則決定證書使用目的適當時方可接納證書;
• 於決定倚據證書前查核核證撤銷清單上證書狀態;
• 履行所有適當之證書路徑認可程序。
撤銷
18. 按照準則中列明之撤銷程式,各登記人於任何時間以任何理由可撤銷依據本合約須由其承擔責任之證書。
19. 香港郵政可按照準則中程式撤銷證書,無論何時其:
(1) 知道或有理由懷疑登記人之私人密碼匙已外洩;
(2) 知道或有理由懷疑證書之任何細節不真實或已變得不真實或證書不可靠;
(3) 斷定證書非根據準則而適當發出;
(4) 斷定登記人沒有履行此處列明之任何責任;
(5) 根據任何規例或任何適用該證書之法例須撤銷證書;
(6) 知道或有理由相信其詳情出現在證書上之登記人或其授權代表:
(i) 已死亡;
(ii) 根據破產條例(第六章)在撤銷之日前五年內是或已成為未獲解除破產的人或達成債務重整協議或債務償還安排或自願安排;
(iii) 已在香港或其他地方因發現該人有欺詐、舞弊或不誠實行為或違反電子交易條例已被定罪。
在登記人為機構之情況下:
(i) 登記人清盤或接到有司法管轄權之任何法庭所判清盤令;
(ii) 根據破產條例(第六章)在擬定撤銷之日前五年內已達成債務重整協議或債務償還安排或自願安排;
(iii) 登記人之董事、官員或僱員在香港或其他地方因發現該人有欺詐、舞弊或不誠實行為或違反電子交易條例被定罪;
(iv) 撤銷之日前五年內登記人資產之任何部份被委託於破產接收人或遺產管理人。
20. 香港郵政將作出合理的努力,(1)於香港郵政收到登記人之撤銷請求之時或(如未接獲該類請求)(2)於香港郵政決定暫停或撤銷證書之時,確保在兩個工作日內將暫停或撤銷通知公布於證書撤銷清單之上。然而,香港郵政並非每次證書撤銷後都會在公開目錄中公布證書撤銷清單,而只會於下次證書撤銷清單得以更新並公布時,才會反映證書已被撤銷。證書撤銷清單每日均會公布,並存檔七年。
> 免生疑問,凡星期六、星期日、公眾假期及天文台發出熱帶氣旋及暴雨警告之平日,均非工作日。
21. 登記人獲悉香港郵政有可依據準則條款撤銷證書之理由時,不得將證書用於交易;而且倘登記人已呈交撤銷請求,或已獲香港郵政之通知,表示香港郵政擬暫停或撤銷證書,他亦不得將證書用於交易。即使是在上述情形下,如果登記人仍然將證書用於交易,香港郵政將不對登記人承擔該等交易之責任。
22. 當獲悉香港郵政有撤銷證書之理由,或呈交撤銷請求或接獲香港郵政之通知,表示擬撤銷證書,登記人必須立即通知當時所有尚未完成交易之證書倚據人士,說明用於該等交易之證書可能會被香港郵政撤銷或應登記人之請求被撤銷,並以清楚的言辭,說明在該等情況下,倚據證書人士不應在交易上倚據證書。香港郵政不會因登記人未能通知倚據證書人士而就該等交易對登記人承擔責任;它亦不會對已獲悉登記人該類通知但仍置該類通知於不顧而完成交易之倚據證書人士承擔責任。從香港郵政決定暫停或撤銷證書(無論是應請求還是其他情況)到該等資訊在證書撤銷清單上公布之期間,除非香港郵政未能行使合理之技術和謹慎且登記人未能按該等條款之要求通知倚據證書人士,香港郵政將不會對依據證書人士承擔責任。任何此等責任均受到本準則其他條文所限制。
香港郵政之義務
23. 香港郵政謹此與各登記人協議,根據此處及準則列明其在履行及行使作為核證機關所具之義務和權利時採取合理程度之技術及謹慎。香港郵政不向登記人承擔任何絕對義務。香港郵政不保證其根據本合約提供之服務不中斷或無錯誤或比香港郵政、其受僱人、或代理人行使合理程度之技術及謹慎執行本合約時應當取得之標準更高或不同。
在此之含意為,若儘管香港郵政於執行本合約及其根據準則應有之權利及義務時採取合理程度之技術及謹慎,登記人作為準則定義下之登記人或倚據證書人士而遭受出自準則中描述之公開密碼匙基礎建設或與之相關任何性質之債務、損失或損害,包括隨對另外一個登記人證書之合理倚據而產生之損失或損害,各登記人同意香港郵政對此類之法律責任、損失或損害概不負責任。
此即表示,例如,在香港郵政已採取合理程度之技術及謹慎之前提下,香港郵政對一登記人因倚據另一登記人由香港郵政所發出之認可證書支援之虛假或偽造之數碼簽署而蒙受之任何損失或損害將不負責任。
此亦表示,例如,在香港郵政已採取合理程度之技術或謹慎以避免及 / 或減輕無法控制事件效應之前提下,香港郵政對登記人因香港郵政控制以外之任何情況之不良影響將不負責任。香港郵政控制以外之情況包括(但不限於)互聯網或電訊或其他基礎建設系統之可供使用情況或天災、戰爭、軍事行動、國家緊急狀態、疫症、火災、洪水、地震、罷工或暴亂或其他登記人或其他第三方之疏忽或故意不當行為。
24. 為免生疑問,本合約不是或根本不是任何性質商品供應合約。任何及所有據此發出之證書持續為香港郵政之財產及為其擁有且受其控制,證書中之權利、所有權或利益不得轉讓於登記人,登記人僅有權促致證書發出及根據本合約之條款倚據此證書及其他登記人之證書。因此,本合約不包括(或不會包括)明確或暗示關於證書為某一特定目的之可商售性或適用性或其他適合於商品供應合約之條款或保證。
法律責任限制
25. 各登記人承認公開密碼匙基礎建設及香港郵政於系統範圍內作為核證機關乃新且創新性經營事業,根據此系統,倘若香港郵政負法律責任,且對根據公開密碼匙基礎建設因或與本合約相關或與香港郵政發出證書相關香港郵政所蒙受損害沒有加以限制,香港郵政從登記人處接受金額將比該法律責任小得多。因此,各登記人同意香港郵政根據本合約及準則列明條件限制其法律責任是合理的。
26. 在香港郵政違反本合約或任何謹慎職責,特別是對登記人來說當登記人或其他人或以其他任何方式倚據香港郵政根據此公開密碼匙基礎建設發出之任何證書時根據本合約香港郵政違反其應合理採取技術或謹慎及 / 或職責之條款之情況下,登記人蒙受損失及損害(無論作為根據準則或以其他任何方式定義之登記人
或倚據證書人士), 香港郵政概不負責關乎下述原因之任何賠償或其他補救措施:(1) 任何直接或間接利潤或收入損失、信譽或商譽損失或傷害、任何商機或契機、失去工程、或任何資料、設備或軟件丟失或沒有使用或(2) 任何間接、相 應而生或附帶引起之損失或損害,而且即使在後者情況下,香港郵政已被提前通知此類損失或損害之可能性。
27. 除了下文所列之例外情況外,在香港郵政違反本合約或任何謹慎職責,特別是對登記人來說當登記人或其他人或以其他任何方式倚據香港郵政根據此公開密碼匙基礎建設發出之任何證書時香港郵政違反根據本合約其應合理採取技術或謹慎及 / 或職責之條款之情況下,登記人蒙受損失及損害(無論作為根據準則或以其他任何方式定義之登記人或倚據證書人士), 香港郵政對任何登記人(無論作為根據準則或以其他任何方式定義之登記人或倚據證書人士或以任何其他身份)所負法律責任限制於且任何情況下不得超過每份個人證書、機構證書或伺服器證書 1,000,000 港元,或每份保密證書 250,000 港元。
28. 香港郵政署人員。無論香港郵政署或其任何官員或僱員或其他代理人均不是本合約之簽約人,登記人向香港郵政承認,就登記人所知,香港郵政署及其所有官員、僱員或代理人均不會自願接受或均不會接受向登記人擔負其任何人出於真誠以任何方式與香港郵政履行本合約或由香港郵政作為核證機關發出之任何證書相關所做任何作為或不作為相關之謹慎責任或職責;各登記人接受並將繼續接受這一點,並向香港郵政擔保不起訴或透過任何其他法律途徑對前述任何關於該人出於真誠(無論出於疏忽與否)以任何方式與香港郵政履行本合約或由香港郵政作為核證機關發出之任何證書相關所做任何行動或不行動尋求任何形式之追討或糾正,並承認香港郵政擁有充分法律及經濟利益以保護香港郵政署及其此等個人免受上述法律行動。
29. 提出索賠時間限制。任何登記人因(無論其希望作為登記人或倚據證書人士)向香港郵政提出索賠,且該索賠源起於或以任何方式與發出、撤回或公佈任何證書相關,則應在登記人清楚存在任何有權提出此等索賠事實之日起一年內或透過行使合理努力彼等有可能清楚此等事實之日起一年內(若更早)提出。為免生疑問,不知曉此等事實之法律重要性乃無關重要。一年期限屆滿時,此等索賠須予以放棄且絕對禁止。
30. 欺詐或故意的不當行為、個人傷害或死亡。任何因欺詐、或故意的不當行為、個人傷害或死亡不在本合約之任何限制或除外規定範圍內,不受任何此等規定之限制或被任何此等規定免除。
31. 消費者。若閣下為用戶,而訂立此合約並非以商業運作為目的,或訂約時並無表明自己為商業運作目的而訂此約,則在法律上,因香港郵政未能以合理技術及謹慎履行本合約而原本適用的部份或全部法律責任限制條款,有可能不適用於閣下所提出之申索。
其 他 條 款
登記人轉讓
32. 閣下不可轉讓本協議或數碼證書。任何轉讓企圖均為無效。
香港郵政分包合約能力
33. 閣下允許香港郵政根據本協議分包其所有義務之履行。
可分割性
34. 若本合約之任何條款或任何條款之任何部份被法庭認為非法、無效或不可執行,其可被分割或刪除,但此並不影響本合約其餘條款或任何條款之其餘部份之有效性及可執行性。
管轄法律
35. 本協議受香港特別行政區法例規限。合約各方同意把任何因本協議而起或與或以任何方式與本合約相關之爭議(透過任何普通事實或合約方或其他任何形式)提呈於香港特別行政區法庭非專有司法管轄權處理。
合約整體性
36. 本協議包括納入之準則構成合約各方間之全部協議,取代所有與發出數碼證書相關以前或現行協議或合約各方之間諒解。
受信關係
37. 香港郵政不是登記人或倚據證書人士之代理人、受託人或其他代表。登記人無權以合約或其他方式約束香港郵政接受任何義務。
作出xx的權限
38. 香港郵政署之任何代理人或僱員無權代表香港郵政對本合約之意義或解釋作出任何xx。
更改
39. 香港郵政有權建議對本協議進行更改或增加,並透過向登記人發出書面此等建議改動通知及登記人接受改動方法之通知。
40 香港郵政署僱員只有在接到香港郵政署長之書面授權時方可更改本合約。
所有權的保留
41. 根據本協議發出之證書上所有資料之實質權利、版權及知識產權現時並且將持續歸屬於香港郵政。
詮釋
42. 倘本協議之中、英文本的措詞在詮釋方面出現矛盾,則以英文本為準。