Legal Aspects of 

Business 
Subject Code 554
j
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
Chapter 5
p
Cyber Law
1
2
3
4
Cyber law in India is incorporated in the 
Information Technology Act 2000
Information Technology Act, 2000 
(
(IT Act 2000)
)
The IT Act 2000 chiefly covers:
a. e‐Commerce in India
b E‐Governance in India
b. E Governance in India
c. Cyber contraventions
y
d. Cyber crimes  
5
Objectives of IT Act

1. To provide for legal recognition of electronic records and 
digital signatures
digital signatures.
2. To prevent the possible misuse arising out of transactions 
and other dealings concluded over the electronic medium.
g
3. To create civil and criminal liabilities for contravention of 
the provisions of the proposed legislation.
4. To provide for the use and acceptance of electronic 
records and digital signatures in the Government offices 
and its agencies
and its agencies.
5. To facilitate electronic storage of information and data.
6 To facilitate electronic fund transfers between financial 
6. To facilitate electronic fund transfers between financial
institutions and banks.
7. To give legal sanctity for books of account maintained in 
g g y
the electronic form by the banks. 
6
Section 2: Definitions. –
( )"
(a) "access", with its grammatical variation and cognate 
" ith it ti l i ti d t
expressions, means gaining entry into, instructing or 
communicating with the logical arithmetical or memory
communicating with the logical, arithmetical or memory 
function resources of a computer, computer system or 
computer network;
(b) "addressee" means a person who is intended by the 
originator to receive the electronic record but does not 
include any intermediary;
(c) "adjudicating officer" means an adjudicating officer 
appointed under sub‐section (1) of section 46;
i d d b i (1) f i 46

7
Section 2: Definitions. –
" ffi i di it l i t " ith it
"affixing digital signature", with its grammatical 
ti l
variations and cognate expressions means adoption of 
any methodology or procedure by a person for the
any methodology or procedure by a person for the 
purpose of authenticating an electronic record by means 
of digital signature;
"appropriate Government " means as respects any 
matter‐ enumerated in List II of the Seventh Schedule to 
the Constitution; relating to any State law enacted under 
List III of the Seventh Schedule to the Constitution, the 
State Government and in any other case the Central
State Government and in any other case, the Central 
Government;
asymmetric crypto system
"asymmetric crypto system" means a system of a secure 
means a system of a secure
key pair consisting of a private key for creating a digital 
signature and a public key to verify the digital signature;

8
Section 2: Definitions. –
"C tif i A th it "
"Certifying Authority" means a person who has been 
h h b
granted a license to issue a Digital Signature Certificate 
under section 24;
under section 24;
"certification practice statement" issued by a Certifying 
Authority to specify the practices that the Certifying 
y p y p y g
Authority employs in issuing Digital Signature 
Certificates;
"computer" means electronic, magnetic, optical or other 
high‐speed date processing device or system which 
performs logical, arithmetic and memory functions by 
f l i l ith ti d f ti b
manipulations of electronic, magnetic or optical 
impulses and includes all input output processing
impulses, and includes all input, output, processing, 
storage, computer software or communication facilities 
which are connected or relates to the computer in a 
computer system or computer network;
9
Section 2: Definitions. –
"
"computer resources" means computer, computer 
t " t t
system, computer network, data, computer database or 
software;
"computer system" means a device or collection of 
devices, including input and output support devices and 
, g p p pp
excluding calculators which are not programmable and 
capable being used in conjunction with external files 
which contain computer programmes, electronic 
instructions, input data and output data that performs 
logic arithmetic data storage and retrieval
logic, arithmetic, data storage and retrieval, 
communication control and other functions;
Controller  means the Controller of Certifying 
"Controller" means the Controller of Certifying
Authorities appointed under sub‐section (1) of section 
17’

10
Section 2: Definitions. –
"Cyber
Cyber Appellate Tribunal
Appellate Tribunal" means the cyber Regulations 
means the cyber Regulations
Appellate Tribunal established under sub‐section (1) of 
section 48;
"data" means a representation of information, 
knowledge, facts, concepts or instruction which are being 
prepared or have been prepared in a formalized manner, 
and is intended to be processed, is being processed or 
has been processed in a computer system or computer
has been processed in a computer system or computer 
network, and may be in any form (including computer 
p
printouts magnetic or optical storage media, punched 
g p g ,p
cards, punched tapes) or stored internally in the memory 
of the computer.

11
Section 2: Definitions. –
"digital signature" means authentication of any 
electronic record by a subscriber by means of an 
electronic method or procedure in accordance with the 
provisions of section 3;
provisions of section 3;
"Digital Signature Certificate " means a Digital Signature 
Certificate issued under sub‐section (4) of section 35;
Certificate issued under sub‐section (4) of section 35;
"electronic form", with reference to information. Means, 
any information generated, sent, received or stored in
any information generated, sent, received or stored in 
media, magnetic, optical, computer memory, micro film, 
computer generated micro fiche or similar device;
"Electronic Gazette" means Official Gazette published in 
the electronic form;

12
Section 2: Definitions. –
" l t i
"electronic record" means date, record or date 
d" d t d d t
generated, image or sound stored, received or sent in an 
electronic form or micro film or computer generated
electronic form or micro film or computer generated 
micro fiche;
"function", in relation to a computer, includes logic, 
, p , g ,
control, arithmetical process, deletion, storage and 
retrieval and retrieval and communication or 
telecommunication from or within a computer;
"information’ includes data, text, images, sound, voice, 
codes, computer programmes, software and databases 
d t ft dd t b
or micro film or computer generated micro fiche;
"intermediary"
intermediary  with respect to any particular electronic 
with respect to any particular electronic
message, means any person who on behalf of another 
person receives, stores or transmits that message or 
p , g
provides any service with respect to that message;
13
Section 2: Definitions. –
"key
key pair
pair",, in an asymmetric crypto system, means a 
in an asymmetric crypto system, means a
private key and its mathematically related public key., 
which are so related that the public key can verify a 
digital signature created by the private key;
"law" includes any Act of Parliament or of a State 
Legislature, Ordinances promulgated by the President 
under article 240, Bills enacted as President’s Act under 
sub clause (a) of clause (1) of article 375 of the
sub‐clause (a) of clause (1) of article 375 of the 
Constitution and includes rules, regulations, bye‐laws 
and order issued or made thereunder;;
"license" means a license granted to a Certifying 
Authority under section 24;

14
Section 2: Definitions. –
(zc) "private key" means the key of a key pair used to 
create a digital signature;
(zd) "public key" means the key of a key pair used to 
verify a digital signature and listed in the Digital Signature 
Certificate;
Certificate
(ze) "secure system" means computer hardware, 
software and procedure that
software and procedure that‐
(a) are reasonably secure from unauthorized access and 
misuses;
(b) provide a reasonable level of reliability and correct 
p
operation; ;
(c) are reasonably suited to performing the intended 
functions; and
(d) adhere to generally accepted security procedures;
15
Section 65. Tampering with computer source 
Section 65. Tampering with computer source
documents. 

Whoever knowingly or intentionally conceals, destroy, or 
alter any computer source code used for a computer, 
computer program, computer system or computer 
network, when the computer source code is required to 
b k t
be kept or maintained by law for the time being in force, 
i t i d b l f th ti b i i f
shall be punishable with imprisonment up to three years, 
or with fine which may extend up to two lakh rupees, or
or with fine which may extend up to two lakh rupees, or 
with both.
Explanation ‐
p For the purposes of this section, "computer 
p p , p
source code" means the listing of programs, compute 
commands, design and layout and program analysis of 
computer resource in any form.
16
Section 66. Hacking with Computer System. –

(1) Whoever with the intent of cause or knowing that is 
likely to cause wrongful loss or damage to the public or 
y g g p
any person destroys or deletes or alters any information 
residing in a computer resource or diminishes its value or 
utility or affects it injuriously by any means, commits 
hacking.

(2) Whoever commits hacking shall be punished with 
imprisonment up to three years or with fine which may
imprisonment up to three years, or with fine which may 
extend up to two lakh rupees, or with both.

17
Cracking:
It means an illegal access. Access includes the entering of 
another computer system where it is connected via public 
communication networks or to a computer system on the 
i ti t k t t t th
same network, such as LAN (Local area network) or 
Internet within an organization. 

18
Fraud on the Internet:
Fraud on the Internet:
Internet fraud is a common type of crime whose growth has 
been proportionate to the growth of Internet itself. It is 
p p g
referred to a form of white collar crime. Generally the Internet 
provides companies and individuals with the opportunity of 
marketing their produce on the net. It is easy for people with
marketing their produce on the net. It is easy for people with 
fraudulent intention to make their messages look real and 
credible. There are innumerable scams and frauds most of 
them relating to investment schemes The following are some
them relating to investment schemes. The following are some 
of them:

19
Bulletin Boards:
Sharing investor information and often fraud is occurred causing 
loss of millions who bank on them. 

Credit card fraud:
It is another fraud committed with fast growth of E‐commerce. 
Frequent fraud reports involve undelivered and on‐line services; 
damaged, defective, mispresented or underdelivered 
communications, auction sales, pyramid schemes and multi‐level 
marketing and most common of them are credit card fraud. 
k ti d t f th dit d f d

E‐mail scams:
It is used to spread bogus investment schemes or to spread  false 
information about the company. 
f b h
20
SSection 67. Publishing of information which is obscene in 
ti 67 P bli hi fi f ti hi h i b i
electronic form. –
Whoever publishes or transmits or causes to be
Whoever publishes or transmits or causes to be 
published in the electronic form, any material which is 
lascivious or appeal to the prurient interest or if its effect 
pp p
is such as to tend to deprave and corrupt persons who 
are likely, having regard to all relevant circumstances, to 
read, see or hear the matter contained or embodied in it, 
shall be punished on first conviction with imprisonment 
of either description for a term which may extend to five
of either description for a term which may extend to five 
years and with fine which may extend to one lakh rupees 
and in the event of a second or subsequent conviction 
q
with imprisonment of either description for a term which 
may extend to ten years and also with fine which may 
extend to two lakh rupees.
21
S ti 68 P
Section 68. Power of the Controller to give directions. –
f th C t ll t i di ti

(1) The Controller may, by order, direct a Certifying 
(1) Th C ll b d di C if i
Authority or any employee of such Authority to take such 
measures or cease carrying on such activities as specified
measures or cease carrying on such activities as specified 
in the order if those are necessary to ensure compliance 
with the provisions of this Act, rules or any regulations 
made thereunder.

(2) Any person who fails to comply with any order under 
sub‐section (1) shall be guilty of an offence and shall be 
li bl
liable on conviction to imprisonment for a term not 
i i i i f
exceeding three years or to a fine not exceeding two lakh 
rupees or to both
rupees or to both.
22
Section 69. Directions of Controller to a subscriber to 
extend facilities to decrypt information
extend facilities to decrypt information. –
(1) If the Controller is satisfied that it is necessary or 
expedient so to do in the interest of the sovereignty or
expedient so to do in the interest of the sovereignty or 
integrity of India, the security of the State, friendly 
relations with foreign States or public order or for 
preventing incitement to the commission of any 
cognizable offence, for reasons to be recorded in writing, 
b
by order, direct any agency of the Government to 
d di t f th G tt
intercept any information transmitted through any 
computer resource
computer resource.

23
Section 69. Directions of Controller to a subscriber to 
extend facilities to decrypt information
extend facilities to decrypt information. –
(2) The subscriber or any person in‐charge of the 
computer resource shall when called upon by any
computer resource shall, when called upon by any 
agency which has been directed under sub‐section (1), 
extend all facilities and technical assistance to decrypt 
the information.
(3) The subscriber or any person who fails to assist the 
agency referred to in sub‐section (2) shall be punished 
with an imprisonment for a term which may extend to 
seven years
seven years.

24
Section 70. Protected system.‐
( ) The appropriate Government may, by notification in
(1) The appropriate Government may, by notification in 
the Official Gazette, declare that any computer, computer 
system or computer network to be a protected system.
(2) The appropriate Government may, by order in writing, 
authorize the persons who are authorized to access 
protected systems notified under sub‐section.
d ifi d d b i
(3) Any person who secures access or attempts to secure 
access to a protected system in contravention of the
access to a protected system in contravention of the 
provisions of this section shall be punished with 
imprisonment of either description for a term which may
imprisonment of either description for a term which may 
extend to ten years and shall also be liable to fine.

25
Section 71. Penalty for misrepresentation.‐
Section 71. Penalty for misrepresentation.

Whoever makes any misrepresentation, to, or suppresses 
Whoever makes any misrepresentation to or suppresses
any material fact from, the Controller or the Certifying 
Authority for obtaining any license or Digital Signature 
Certificate, as the case may be, shall be punished with 
imprisonment for a terms which may extend to two 
years, or with fine which may extend to one lakh rupees, 
ith fi hi h t dt l kh
or with both.

26
Section 72. Breach of confidentiality and privacy.‐

Save as otherwise provided in this Act or any other law 
for the time being in force, if any person who, in 
pursuance of any of the powers conferred under this Act
pursuance of any of the powers conferred under this Act, 
rules or regulations made thereunder, has secured access 
to any electronic record, book, register, correspondence,
to any electronic record, book, register, correspondence, 
information, document or other material without the 
consent of the person concerned discloses such 
electronic record, book, register, correspondence, 
information, document or other material to any other 
person shall be punished with imprisonment for a term
person shall be punished with imprisonment for a term 
which may extend to two years, or with fine which may 
extend to one lakh rupees, or with both.
p ,
27
Section 73. Penalty for publishing Digital Signature 
Certificate false in certain particulars –
Certificate false in certain particulars. –
(1) No person shall publish a Digital Signature Certificate 
or otherwise make it available to any other person with
or otherwise make it available to any other person with 
the knowledge that‐
( )
(a) the Certifying Authority listed in the certificate has 
y g y
not issued it; or
(b) the subscriber listed in the certificate has not 
accepted it; or
(c) the certificate has been revoked or suspended, unless 
such publication is for the purposes of verifying a digital 
signature created prior to such suspension or revocation.
(2) A
(2) Any person who contravenes the provisions of sub‐
h h ii f b
section (1) shall be punished with imprisonment for a 
term which may extend to two years or with fine which
term which may extend to two years, or with fine which 
may extend to one lakh rupees, or with both.
28
Section 74. Publication for fraudulent purpose. –

Whoever knowingly creates, publishes or otherwise 
makes available a Digital Signature Certificate for any 
f d l
fraudulent or unlawful purpose shall be punished with 
l f l h ll b h d h
imprisonment for a term which may extend to two years, 
or with fine which may extend to one lakh rupees or
or with fine which may extend to one lakh rupees, or 
with both.

29
Section 75. Act to apply for offence or contravention 
committed outside India. –

((1) Subject to the provision of sub‐section (2), the 
) j p ( ),
provisions of this Act shall apply also to any offence or 
contravention committed outside India by any person 
irrespective of his nationality.

(2) For the purposes of sub‐section(1), this act shall apply 
to an offence or contravention committed outside India 
by any person if the act or conduct constituting located in
by any person if the act or conduct constituting located in 
India.

30
Section 76. Confiscation. –
Any computer, computer system, floppies, compact disks, tape 
Any computer, computer system, floppies, compact disks, tape
drives or nay other accessories related thereto, in respect of 
the if which any provision of this Act, rule, orders or 
regulations made thereunder has been or is being 
l ti d th d h b i b i
contravened, shall be liable to confiscation:
Provided that where it is established to the satisfaction of the
Provided that where it is established to the satisfaction of the 
court adjudicating the confiscation that the person in whose 
possession, power or control of any such computer, computer 
system, floppies, compact disks, tape drives or any other 
fl i di k di h
accessories relating thereto is found is not responsible for the 
contravention of the provisions of this Act, rules, orders or 
p , ,
regulations made thereunder, the court may, instead of 
making an order for confiscation of such computer, computer 
system, floppies, compact disks, tape drives or any other 
t fl i t di k t di th
accessories related thereto, make such other order authorized 
by this Act against the person contravening of the provisions 
y g p g p
of this Act, rules, orders or regulations made thereunder as it 
may think fit. 31
Section 77. Penalties and confiscation not to interfere 
with other punishments. –

No penalty imposed or confiscation made under this Act 
shall prevent the imposition of any other punishment to
shall prevent the imposition of any other punishment to 
which the person affected thereby is liable under any 
other law for the time being in force.
other law for the time being in force.

32
Section 78. Power to investigate offence. ‐

Notwithstanding anything contained in the Code of 
Criminal Procedure, 1973 (2 of 1974), a police officer not 
below the rank of Deputy Superintendent of Police shall 
investigate any offence under this Act.

33
Section 79. Network service providers not to be liable in 
certain cases –
certain cases. –
For the removal of doubts, it is hereby declared that no 
person providing any service as a network service
person providing any service as a network service 
provider shall be liable under this Act, rules or 
regulations made thereunder for any third party 
information or data made available by him if he proves 
that the offence or contravention was committed 
without his knowledge or that he had exercised all due 
itho t his kno ledge or that he had e ercised all d e
diligence to prevent the commission of such offence for 
contravention.
Explanation‐ For the purposes of this section,‐
(a) "network
(a)  network service provider
service provider" means an intermediary;
means an intermediary;
(b) "third party information" means any information 
dealt with by a network service provider in his capacity 
y p p y
as an intermediary;
34
Security Guidelines
This document provides guidelines for the implementation and 
management of Information Technology security. Due to the 
inherent dynamism of the security requirements, this 
document does not provide an exact template for the
document does not provide an exact template for the 
organizations to follow. However, appropriate suitable samples 
of security process are provided for guidelines It is the
of security process are provided for guidelines. It is the 
responsibility of the organizations to develop internal 
p
processes that meet the guidelines set forth in this document. 
g

35
Implementation of an information security program

Successful implementation of a meaningful information security program 
rests with the support of the top management. Until and unless the 
senior managers of the organization understand and concur with the 
objectives of the information security program its ultimate success is in 
question. 
question
The information security program should be broken down into specific 
stages as follows:
a. Adoption of a security policy
b. Security risk analysis
c. Development and implementation of a information classification 
Development and implementation of a information classification
system
d. Development and implementation of the security standards manual
e. Implementation of the management security self‐assessment process
I l i f h i lf
f. Ongoing security program maintenance and enforcement and 
gg. Training g

36
The principal task of the security implementation is to define 
the responsibilities of persons within the organization The
the responsibilities of persons within the organization. The 
implementation should be based on the general principle that 
the person who is generating the information is also
the person who is generating the information is also 
responsible for its security. However, in order to enable him to 
carry out his responsibilities in this regard, proper tools and 
y p g ,p p
environment need to be established. 

37
When different pieces of information at one level are integrated
p g
to form higher value information, the responsibility for its security 
need also should go up in the hierarchy to the integrator and 
should require higher level of authority for its access. 
h ld i hi h l l f h i f i
It should be absolutely clear with respect to each information as 
to who is its owner its custodian and its users It is the duty of
to who is its owner, its custodian, and its users. It is the duty of 
the owner to assign the right classification to the information so 
q y
that the required level of security can be enforced. The custodian 
of the information is responsible for the proper implementation 
of security guidelines and making the information available to the 
users on a need to know basis. 
d k b i

38
Information classification:
Information classification:
Information assets must be classified according to their 
sensitivity and their importance to the organization. Since it is 
unrealistic to expect managers and employees to maintain 
absolute control over all information within the boundaries of 
the organization it is necessary to advise them on which types
the organization, it is necessary to advise them on which types 
of information are considered more sensitive, and how the 
organization would like the sensitive information handled and
organization would like the sensitive information handled and 
protected. Classification, declassification, labeling, storage 
access, destruction and reproduction of classified data and the 
administrative overhead created by this process must be 
considered. Failure to maintain a balance between the value of 
the information classified and the administrative burden placed
the information classified and the administrative burden placed 
by the classification system on the organization will result in 
long‐term difficulties in achieving success. 
long term difficulties in achieving success.
39
Confidential
C fid ti l is that classification of information of which 
i th t l ifi ti fi f ti f hi h
unauthorized disclosure / use could result in serious damage
to the organization Example: strategic planning documents
to the organization. Example: strategic planning documents.

Restricted is that classification of information of which 
unauthorized disclosure / use would not be in the best interest 
of the organization and / or its customers. Example: design 
d t il
details, reconstitute and reconfigure. These applications must 
tit t d fi Th li ti t
be tested as part of the business continuity / disaster recovery 
plan.   
plan

40
Fire Protection
1 Combustible materials shall not be stored within 100 meters 
1. Combustible materials shall not be stored within 100 meters
of the operational site.
2. Automatic fire detection, fire suppression systems and 
audible alarms are prescribed by Fire Brigade or any other 
agency of the Central or State Government shall be installed 
at the operational site
at the operational site.
3. Fire extinguishers shall be installed at the operational site 
and their locations clearly marked with appropriate signs.
y pp p g
4. Periodic testing, inspection and maintenance of the fire 
equipment and fire suppression systems shall be carried out.
5 Procedures for the safe evacuation of personnel in an 
5. P d f th f ti f li
emergency shall be visibly pasted / displayed at prominent 
p
places at the operational site. Periodic training and fire drills 
p g
shall be conducted.
6. There shall be no eating, drinking or smoking in the 
operational site. The work areas shall be kept clean at all 
i l i h k h ll b k l ll
times.  41
Environmental Protection

1. Water detectors shall be installed under the raised floors 
throughout the operational site and shall be connected to 
audible alarms
audible alarms. 
2. The temperature and humidity condition in the operational 
site shall be monitored and controlled periodically.
site shall be monitored and controlled periodically. 
3. Personnel at operational site shall be trained to monitor and 
control the various equipment and devices installed at  the 
operational site for the purpose of fire protection and  
environment protection. 
4 Periodic inspection, testing and maintenance of the 
4. Periodic inspection testing and maintenance of the
equipment and systems shall be scheduled. 

42
Physical access:
Physical access: 

1. Responsibilities round the clock, seven days a week, three 
hundred sixty five days a year for physical security of the 
systems used for operation and also actual physical layout 
at the site of operation shall be defined and assigned to
at the site of operation shall be defined and assigned to 
named individuals.  

2. Biometric physical access security of the systems shall be 
installed to control and audit access to the operational site.  

43
3. Physical access to the operational site at all times shall be 
controlled and restricted to authorized personnel only. Personnel 
authorized for limited physical access shall not be allowed to gain 
h i d f li i d h i l h ll b ll d i
unauthorized access to restricted area within operational site.

4. Dual control over the inventory and issue of access cards / keys 
during normal business hours to the Data Centre shall be in 
place. An up‐to‐date list of personnel who possess the cards / 
keys shall be regularly maintained and archived for a period of 
three years. 
th

5. Loss of access cards / keys must be immediately reported to 
5 Loss of access cards / keys must be immediately reported to
the security supervisor of the operational site who shall take 
appropriate action to prevent unauthorized access. 

44
6. All individuals,  other than operations staff shall sign in 
and sign out of the operational site and shall be 
accompanied by operations staff. 

7. Emergency exits shall be tested periodically to ensure 
7 Emergency exits shall be tested periodically to ensure
that the access security systems are operational.

8. All openings of the Data Centre should be monitored 
round the clock by surveillance video cameras. 

45
THANK YOU

46