A SZEMÉLYIADAT-VÉDELEM INFORMATIKAI SZEMSZÖGBŐL DR. MEZEY GYULA A demokratikus társadalomban a polgárok magánéletének teljes védelmét kell biztosítani. Az emberi jogok védelméről szóló 1950. évi európai konvenció 8.§-a szól a magánélet védelméhez való jogról, a személyes adatok védelme pedig ezen jog része. Az Európa Tanács 1980. évi konvenciója foglalkozik az információtechnológiával (automatizáltan) kezelt adatokkal. Az adatvédelem kérdését az Európa Tanács és az OECD ajánlásai tárgyalják, valamint az EU adatvédelmi irányelvei rögzítik. Az adatvédelemnek többirányú rendeltetése, célja van. Az egyik cél az, hogy a (köz)igazgatás ügyfeleiről – jelen idő szerint azonban csak főként a természetes személyekről – ne lehessen átfogó személyiségprofilt készíteni. Megjegyezzük, hogy ilyen személyiségprofil nem csupán az igazgatási nyilvántartások tartalmát felhasználva állítható össze, hanem egy tucat más módja is van. Például a GMPCS (Global Mobile Personal Communications System) segítségével jól követhető, hogy merre jár a világban egy mobiltelefon-tulajdonos, míg ha autón megy (vagy egy kamionban ül) akkor egy másik műholdas GPS (Global Positioning System) rendszer figyelheti. Ha telefonbeszélgetés közben kimond valaki egy releváns szót, újabb műholdas rendszer kezd rá figyelni (vagy egy műhold nélküli). Ha egy munkahely épületeiben jár-kel, mozgását videokamerák és egy beléptető rendszer kapui rögzítik. Ha munkahelyén számítógépet használ, valamennyi műveletvégzése naplózott. Ha szabadidejében a hitelkártyájával vásárol, helyváltoztatása, vásárlási szokásai, kiadásai, hitele jól feltérképezhető. Sőt a pénzintézetek éppen káraik elkerülése és a bűnmegelőzés érdekében elemzik ügyfeleik pénzügyi (és egyéb) szokásait (credit-scoring). A fenti példák egyike sem olyan rendszer, amelyet kifejezetten személyiségprofil vizsgálata céljából alakítottak volna ki. De a különböző rendszerek külön-külön nyert adatait egymás mellé téve mégiscsak átfogó személyiségprofil rajzolható ki. Az önmagukban még kevéssé érzékeny regisztrált adathalmazok eredője igen érzékeny információvá válhat. Hogyan védjük hát „adatmagánéletünk” szentségét? Mi lesz veled magánélet (privacy)? A polgári társadalom meg kívánja akadályozni, de legalábbis minél inkább nehezíteni, az átfogó személyiségprofilok automatizált, tömeges előállítását a polgárokról, ezért több országban feladták a személyi szám kötelező és általános használatát. Ahol ezt még
504
DR. MEZEY GYULA
nem tették meg, ott adatvédelmi törvényekkel és intézkedésekkel biztosítják – nem csupán a tömegesen jelentkező, hanem egyedi esetekre is – hogy csak a törvény által megengedett, korlátozott személyiségprofil készülhet. Ezt a korlátozást informatikailag is biztosítani kell, a törvényi biztosíték nem elegendő. A legrosszabb esetre tervezés A személyi szám korlátozása a társadalom biztonsági intézkedése, amelyet – mint minden más biztonsági megoldást – a legrosszabb esetre számítva szokás megtervezni. A legrosszabb eset az, ha a törvényeket úgy változtatják meg, hogy teljesen legálisan lehessen (esetleg tömegesen) személyiségprofilokat létrehozni. Ezért a törvényi szabályozás mellett a közigazgatás információs rendszerének szerkezetébe olyan informatikai „biztosítékokat” kell „becsavarni”, amelyek a tömeges és az automatizált személyiségprofil-gyártást legalább megnehezítik, drágítják, végül meggátolják. Teljes és abszolút biztosíték nincs, de van jobb és rosszabb biztonsági megoldás. A biztonságos megoldás informatikai feladata ugyanis sokkal összetettebb és egészen más kategóriába esik, mint a szokásos informatikai feladatok: ez egy komplex biztonsági rendszer megtervezésének csupán a részfeladata. Ezen a részfeladaton belül is csak egyik kérdés a személyi szám korlátozásának és a technikai megvalósításnak a kérdése, habár ez nagyon fontos kérdés, mert befolyásolja az elérhető biztonság szintjét, a hazai adatpiac felosztását, és az európai adatpiachoz kapcsolódást. A személyi szám korlátozása több módon is lehetséges. Az egyik mód az, hogy ágazatcsoportonként, esetleg azon belül ágazatonként, sőt talán szervezetenként is külön-külön, egymástól eltérő személyi azonosítókat vezetnek be. Ez azonban a számítógépesítés előtti hagyományokhoz való visszatérés lenne. A számítógépes nyilvántartás birtokában ugyanis szinte lehetetlen a nyilvántartások öszszekapcsolásának teljes megakadályozása. Az eleve nehezebb összekapcsolás több munkát, nagyobb üzemelési költséget jelent, ezért természetes, hogy a nyilvántartások üzemeltetői ezt igyekeznek elkerülni, hiszen a költségek náluk fognak megjelenni. Az eleve nehezebb összekapcsolás nem is az üzemeltetők, hanem a demokratikus társadalom polgárainak érdeke, a technikailag rögzített megoldás korlátai jelentik a személyiségprofilok tömeges előállításának egyetlen fékjét, egymagában az ágazati személyi azonosítók bevezetése még kevés lesz ehhez. Sajnos a hazánkban eddig kialakított megoldás (az ún. központi kapcsolótábla) éppen a legrosszabb esetre nem biztosít védelmet. Az igaz, hogy központi kapcsolótáblával az ágazatok nyilvántartásainak összekapcsolása zökkenőmentes, csakhogy technikailag kifejezetten „elő van minden készítve” a tömeges, automatikus összekapcsoláshoz, ezért éppen a tömeges, automatizált személyiségprofilképzéssel szembeni előzetes biztonsági intézkedésként csupán drága látszatmegoldás. Vannak országok (például Skandinávia), ahol elegendő a törvényi biztosítékok köre az általánosan használt személyi számot illetően. Hollandiában sem lenne sokkal többre szükség, de ott még a kapcsolótábla költségeit is elbírja a jóléti állam. Magyarországon ma ez a költség nagy teher, ugyanakkor mint biztonsági intézkedés kevés. Lenne olyan személyi azonosítási mód (például a monogrammozaik-módszer1), melynek a bevezetése olcsó, s habár az 1 Az ún. monogrammozaik-módszert [1] főbb vonalaiban ismerteti, de hasonló módszert ajánl az [2] is, lényegében hasonlót [3] alkalmaznak például Angliában, Walesben, míg természetes személyi adatokból egyedi kulcs kiosztását az [4] szorgalmazza.
SZEMÉLYIADAT-VÉDELEM
505
ágazatok összekapcsolása többletmunkát okoz, a biztonság terén később nagyon is megtérülhet. A kapcsolótábla lehet központi, de egy elosztott, részenkénti megvalósítása is elképzelhető az ágazatcsoportok, ágazatok, közigazgatási szervek és más szervezetek különkülön személyiazonosító-rendszereinek összekapcsolására. A kapcsolótábla tartalmazhatja magukat az egyedi személyi azonosítókat vagy esetleg az azokat kölcsönösen egyértelműen helyettesítő más technikai tartalmú elsődleges kulcsot. Ezzel szemben természetes személyi adatokból akár az egyedihez igen közel álló, de nem garantálhatóan egyedi (kváziegyedi), akár egyedi kulcsot [4] is lehet képezni. A monogrammozaik-módszernél a kapcsolás eszköze mindig egy szervezet természetes személyi adatokat is tároló adatbázisa, külön kapcsolótáblát létrehozni, karbantartani nem kell. A központi egyetlen kapcsolótábla helyett a közigazgatás szervezetrendszerének teljes vertikumán érvényesülő elosztottság van, hiszen személyi adatállomány minden szervezetnél előfordul. A kváziegyedi azonosítókra épülő megoldásnál nem kell az ágazati személyi azonosítójelek közötti kapcsolatokat állandóan tárolni, még kevésbé egy külön újabb táblában kezelni, központilag külön védeni. A kapcsolat csak akkor jön létre és csak addig marad fenn, amíg ez éppen szükséges. Ez az alternatíva tehát teljes mértékben megfelel az 1992. évi LXIII.tv 7. §/1/C pontja előírásának. Védeni csupán magukat az ágazatok, szervezetek személyes adatokat tartalmazó állományait kell, ezeket azonban amúgy is védeni szükséges, tehát itt a biztonság külön intézkedéseket vagy erőforrásokat a két ágazat közötti kapcsolat okán nem igényel. Az ágazatcsoportok, ágazatok és szervek egymás közötti kommunikációja mégis célszerűen csak néhány csomóponton keresztül fog lezajlani, még akkor is, ha nem változtatják meg a közigazgatás adatgyűjtő rendszerét. Ha egy szervezetnek például lakcímadatra lesz szüksége, saját érdekében oda fordul, ahol a legfrissebbek a lakcímadatok és nem egy másik csomóponthoz, ahol szintén vannak lakcímadatok, de közismert, hogy közülük már sok elavult. Ha e csomópontok szerepét törvény is szabályozza, akkor ez a biztonság szempontjából előnyös többközpontú rendszer lehetne, ahol egy-egy központ még elég jól védhető. Az adatpiac versenyszférába kerülése szempontjából viszont inkább az lenne előnyös, hogyha a csomópontok jó szolgáltatási és adatminősége orientálná a piaci szereplők keresletét–kínálatát a szabad ár mellett. Adott határokon belül valamelyest nagyobb akadályt képezhetünk az önkényes felhasználás előtt, azáltal, hogy a kváziegyedi személyi azonosítóval létrehozott, ágazatok közötti „küszöb” „magassága” állítható. Ez a „magasságállítási” lehetőség azzal függ össze, hogy a kváziegyedi azonosítót a polgároknak nem osztják ki, hanem származtatják a polgárok részére előbb már kiosztott adatokból. Ennek még három másik előnyös hatása van: senkinek nem kell új adatot megjegyezni, nyilvántartáson átvezetni, postán külön megküldeni, azaz jóval olcsóbb eljárás a bevezetése. [1] A kapcsolótábla-módszer megvalósítása viszonylag drága, míg a természetes személyi adatokra épülő megoldásé olcsóbb. Kapcsolótábla esetén több milliárdot igényel a személy ágazati azonosítójeleiről szóló értesítés kézbesítése, a meglevő nyilvántartásokon való átvezetés. Természetes személyi adatokra alapozott megoldásnál minderre minimális mértékben lenne csak szükség. A két megoldás üzemelési költségei közötti különbség hosszú távon viszont a kapcsolótábla megoldás javára billentené a mérleget. Ha
DR. MEZEY GYULA
506
azonban a kváziegyedi azonosítást csak áthidaló megoldásként alkalmazzuk (például addig, amíg az EU egységes személyazonosítási megoldása nem alakul ki már egyértelműen), akkor ez mégsem lesz hátrány, sőt, az átmenetig ez a gazdaságosabb. A kapcsolótábla könnyű összekapcsolást, drága és informatikailag tökéletes megoldást szolgáltat, míg a kváziegyedi azonosítóval csak közelítő megoldás áll rendelkezésre, és az összekapcsolás nehezebb. „Az ezzel járó nehézségek és kiadások jelentős tételként jönnek számba az adatfeldolgozás költség/haszon elemzésénél és mintegy természetes fékjét képezik az indokolatlan adatgyűjtésnek.”2 Ahogyan igaz, hogy az általános, országosan kötelező személyi szám megkönnyíti egyazon személy adatainak több nyilvántartásból történő összegyűjtését, személyiségprofilja összeállítását, ugyanúgy az is igaz, hogy az ágazati személyi azonosítójelek bevezetése egymagában még nem garantál védelmet a személyiségprofil összeállítása ellen. Hiszen például természetes személyi azonosító adatok együttesével is be lehet határolni polgárok rekordjainak egy szűk körét, benne a keresett személy adataival. Ezek a természetes személyi azonosító adatok pedig nyiltak, ismertek bármely ágazatban, szervezetben, hiszen hagyományosan ezekkel azonosították a polgárokat ott, ahol személyi szám nincs bevezetve. Az effajta személyazonosítás több munkával jár, lassúbb, drágább, de működik. Számítógépes változatainál a cél az argumentum olyan kódolása, hogy egy név különböző (írásmódú, kiejtésű stb.) változatainak ugyanaz a kódérték feleljen meg. Például az ún. Soundex-kód az angol nyelvterületen nagyon megnöveli annak az esélyét, hogy megtaláljuk a keresett személy rekordját még akkor is, ha adatait elírták vagy hibásan ejtik. Mindenesetre a tömeges, automatizált, és a közvélemény elől eltitkoltan készülő személyiségprofilok előállításának lehetősége ily módon eleve korlátozottabb. Ismert tételezés, hogy mennél többe kerül egy törvénytelenség elkövetése, annál kisebb a tömeges elkövetés valószínűsége. A fentieken kívül szükséges még a jogosult hozzáférés ellenőrzése és egyéb védelmi intézkedések kombinációja is. Törvényes adatminőség Ha a „legrosszabb eset”-től eltekintenénk, és csak normál üzemelési állapotot tételezünk fel, akkor is felfedezhetjük a külön kapcsolótábla egyéb hátrányait. A tömeges személyiségprofilok automatizált előállításának veszélye elleni védekezés nem korlátozódik csak az ágazatok személyi nyilvántartásai közé építendő akadályokra, amelyek nehezítik a közöttük való közlekedést, hanem kiterjed az ágazatok személyi adatokat tartalmazó input és output dokumentumaira is. Az Alkotmánybíróságnak a TB(OEP)kártyával és a személyi számmal kapcsolatos határozata például egyértelműen arra utal, hogy az ágazatközi kommunikáció tekintetében az elkülönülő ágazatok ugyanazon személyre vonatkozó azonosítói ne szerepeljenek együtt (output) dokumentumon. De még egyazon ágazaton, sőt egy szervezeten belül sem megengedett ez, akár a személyiigazolvány-ügyintézés, akár a lakcímbejelentés folyamatait, input/output dokumentumait tekintjük. Nem megengedett tehát az, hogy egy polgár (például aktív memó2
Az Alkotmánybíróság 15/1991. IV. 13. határozata III. 3. 1. pont.
SZEMÉLYIADAT-VÉDELEM
507
riakártyájában levő) egyedi azonosítója két vagy több ágazat(csoport) adatbázisait nyitó „közös kulcs” is legyen. Vélelmezhetően nem lenne korrekt az sem, hogy egyazon személy különböző fajta személyi okmányainak azonosítóit egyetlen központi közigazgatási nyilvántartásban összekapcsolják, hiszen ez a polgár „ágazati külön kulcsait összefűző kulcskarikájának” felelne meg. Márpedig ilyen kulcskarikához csak a személynek van joga. Adatvédelem szempontjából kívánatos lehetőség a személyekről decentralizált nyilvántartásokat vezetni, ahogy a PEM-nél (Privacy Enhanced Mail) [5] utal rá, vagy ahogyan a PGP-ben (Pretty Good Privacy) az ún. „web of trust” fogalmát bevezeti. Ha mindez így van, ha még az egyazon személyre vonatkozó különféle dokumentumoknak, igazolványoknak az egyedi azonosítóit sem szabad egymással vagy a személy egyedi azonosítójával összekapcsolni, akkor némi túlzással úgy fogalmazhatunk, hogy az ágazatok, szervezetek személyes adatai közé ezen utóbbiak védelmére „kínai falak” emeltetnek. Ehhez kellenek olyan ágazati személyi azonosítók, amelyek között nem áll fenn kölcsönösen egyértelmű kapcsolat. Időnként viszont mégiscsak szükség lesz az áthatolásra egy-egy „kínai falon”, ezt meg éppen a kölcsönösen egyértelműen egymásnak megfelelő ágazati személyi azonosítók segítenék elő. E két egymásnak teljesen ellentmondó követelményt például úgy elégíthetjük ki, hogy az egymástól független ágazati személyi azonosítójeleket tartósan összerendezzük egy táblázatba, hogy amikor időnként a kölcsönösen egyértelmű megfeleltetésre szükség lesz, akkor „konzervben” rendelkezésre álljon. A másik lehetőség az, hogy nem készítünk előre külön kapcsolótáblát, hanem egyazon személy két ágazatban szereplő személyi azonosítói között a kapcsolatot csak az igény fellépése alkalmával – de minden egyes alkalommal újonnan – építjük fel. Ehhez előfeltétel, hogy a különböző ágazati személyi azonosítók vagy egymástól függjenek, vagy egy közös alapból – például a polgár személyi adatainak halmazából – legyenek kiszámíthatók. Az utóbbi (a kiszámítás) kielégítheti az adatvédelem igényeit, ha az alaphalmazból való leképezés egyirányúvá tehető. Ha a hatékony működés helyett elsőként az egész eddigi változtatás céljaként kitűzött adatvédelem ideáljaira vagyunk tekintettel, akkor megállapíthatjuk, hogy az 1996. évi XX. tv.-ben ezt a célt csak közelítették, de el nem érték, mivel a külön központi kapcsolótábla csak minimális mértékben felel meg az 1992. évi LXIII (adatvédelmi) tv.7. §/1/c pont előírásának. Az ún. kapcsolati személyi azonosító bevezetése pedig azt jelenthetné, hogy a polgár az egyik ágazatban például csak úgy vehet igénybe első ízben szolgáltatást, hogy egyszersmind egy másik (esetleg az összes többi) ágazatban is elkezdik őt nyilvántartani (azaz elkezdik kitölteni a kapcsolótábla egy sorát), jóllehet a polgár a többi ágazattal még nem is kíván kapcsolatba kerülni. Ez egyrészt sértheti a polgár információs önrendelkezési jogát (hiszen a személyes adat cél nélküli gyűjtése, feldolgozása alkotmányellenes), másrészt ha a kapcsolótábla egy sora minden állampolgárnak és lakosnak ugyanazon elv szerint kiosztott (összetett) személyazonosító kódnak tekinthető, akkor meg azért lehet alkotmányellenes. Ezzel szinte konzerválnánk a személyi számot más alakban, az ágazatközi átjárást egy helyen megvalósító „forgóajtóba”, azaz a központi kapcsolótáblába átalakítva. Az ágazatközi „kínai falakon” levő nyitott forgóajtó: a külön központi kapcsolótábla csupán a személyi szám metamorfózisa. Az 1996. évi XX. tv. szövegéből nem derül ki, hogy konkrétan melyik kapcsolótábla-változatot szabad megvalósítani, így most több technikai
508
DR. MEZEY GYULA
változatra is hivatkozni fogunk. De bármely technikai alternatíva esetében a kapcsolótábla sokkal inkább a hatékony működés, mint a hatásos adatvédelem eszköze. Olyan kompromisszum ez, ami éppen csak akkora lépést tett az adatvédelem ideálja felé, amekkora elkerülhetetlen volt. Ugyanakkor a központi kapcsolótábla önmagában komoly biztonsági intézkedésnek csak a legminimálisabb mértékben tekinthető. Már csak a jogtalan, viszont sikeres behatolás szempontjából nézve is előnytelenek az egyközpontú rendszerek. Hiába látszik egyszerűbbnek egyetlen központ védelme, ha a törvények megváltoztatásával a jogi, logikai, szervezési védőmű falai semmivé válnak, és ott marad egymaga a központi kapcsolótábla, amelyben minden rendelkezésre áll az automatizált és tömeges központi személyiségprofil-képzéshez. A központi kapcsolótábla a biztonsági kockázatot is koncentrálja. Az egyközpontúságból fakadó kockázat csökkentése érdekében például eredetileg magát az Internetet is annak az egyközpontú irányítási rendszernek a felváltására fejlesztették ki, amely krízishelyzetben (például atomcsapáskor) egyszerre összeomlana. E hálózat továbbfejlődése során ma már a központi államigazgatástól függetlenedő (vö. szinergia) adatbázisok elvileg tetszőleges összekapcsolására is van mód. Sőt az eredetileg csupán biztonsági intézkedés: a többközpontú adathálózat olyan eszköz, amely lehetővé teszi, kiváltja és gyorsítja a hatáskörök decentralizálását, meggyengíti az állam információs monopóliumát. Manapság az Egyesült Államokban dől el az, hogy milyen mértékben jelent ez valódi gyengülést, vagy tételeződik át – ez a valószínűbb – a hálózat „útkereszteződéseiben” elhelyezkedő szervezetek oligopoliumává. Ezen szervezetek közé a jelenleg is az állami adatgyűjtési rendszer csomópontjaiban elhelyezkedő közigazgatási szervek számítóközpontjai is bekerülhetnek. Korántsem mindegy, hogy milyen arányban oszlik meg közöttük az adattőke és a jogosítványok nyújtotta hatalom. Az új ágazati személyazonosítók maguk is származtatott adatok (ahogy a személyi szám nagy részét is a polgár természetes személyazonosító adataiból nyerték), az adóigazgatási személyi azonosítójelet, a TAJ-számot egyaránt a személyi számból képezték, más szóval származtatták, amit viszont éppen az 1996. évi XX. törvény 43. §.k(3)-ben az 1992. évi LXVI. tv. egy új 24/A.§-ának beillesztésével mások számára már kifejezetten megtilt, ha kapcsolatra kívánják felhasználni. A külön központi kapcsolótábla olyan hatásköri koncentrációt eredményez, ami az egyik ágazat javára a többinek a függetlenségét informatikailag korlátozza. A népességnyilvántartásra a többi ágazat éppannyira ráutalt marad, mint a személyi szám esetében volt. Szó sincs az ágazatok közötti informatikai függetlenségről, a védelem érdekében közöttük felhúzott „kínai falakról”. A hibatűrő architektúra autonóm modulokra való tagoltsága helyett, ami gátat szabhatna a hibaterjedésnek, könnyen terjed át sokféle hiba, ha egy kitüntetett hierarchikus „vezérlőmodulon”, annak külön erre a célra létrehozott kapcsolótábláján keresztül zajlik minden személyazonosítási kommunikáció. (Megjegyezzük, hogy az angolszász demokráciák, ahol az állami szektor aránya csekély, általában nem engedték meg a közigazgatás információrendszereinek szervezeti, logikai, fizikai centralizálását. De nem engedték meg egyik ágazatnál hatásköri koncentrációt teremtve a többi ágazatok informatikai függetlenségének csorbítását sem. Az ágazatok egyes szervezetek információrendszereinek nagyfokú autonómiája figyelhető meg.) A hazai jövőképet, ennek egy lehetséges megoldási alternatíváját már felvázolták. Ennek fontos összetevői például a személy és intézmény kapcsolatában az ún. elektroni-
SZEMÉLYIADAT-VÉDELEM
509
kus megfigyelő, az ún. elektronikus meghatalmazott, és az ún. digitális fedőnév. Ez a nagymértékben technikai megközelítés emlékeztet a „truehand” protokollok, a Kerberos, az egyszer használatos kapcsolati azonosító elemekre, az „authentication server” pedig valószínűleg párhuzamba állítható az ún. Központi Azonosító Szerv-vel ahol egy-egy polgár különböző igazgatási azonosítóit (személyi szám, TAJ-szám, adóigazgatási azonosító stb.) központilag kezelik. Minden egyes esetben, amikor a polgár intézményhez fordul, ezt az eseményt és releváns körülményeit a hozzáférés-ellenőrzés „megszűri”, másrészt az adatokat naplózzák. Ennek deklarált célja, hogy az érintett személyek saját adataik útját követhessék (adatszolgáltatási nyilvántartás), emellett a hatóságok biztonsági, nyomozati érdekeinek szolgálata, a jelszavak, rejtjelkulcsok védelme mellett (key escrow) azok ismerete ebben az architektúrában messzemenően megvalósítható. Ez a jövőkép még jogi elemzést igényel, de az bizonyos, hogy az adatszolgáltatási nyilvántartás pontosabb törvényi szabályozására lesz szükség, hiszen nincs kivédve például az, hogy az ismétlődő azonosítások okán éppen magának a polgárnak a „mozgásáról” készül „térkép” (azaz 5 évre visszamenően személyprofil) és ezt a profilgyártást a polgár még le sem tilthatja (tehát sérül az információs önrendelkezése). A külön központi kapcsolótábla megoldás néhány korlátja A külön kapcsolótábla megoldás sajátossága az, hogy – akkor is, ha a rendkívüli körülményekre (például a legrosszabb esetre) tervezés követelményeitől el is tekintenénk – lényeges kommunikációs problémák maradnak megoldatlanok a következő fontosabb viszonylatokban: – az ágazaton belül, – az ágazatok között, – a közigazgatás és a magánszféra között, – az ágazat és a polgár között, – az EU-n belüli tagországok és hazánk között, – az időben eltérő személyazonosítási megoldások között.
Ágazaton belüli problémák Egyes igazgatási ügytípusoknál (például a személyi okmányok kiállításakor) felmerül a pontos személyazonosítás gondja: jóllehet ugyanabban az ágazatban, de mégis gyakran történik információkeresés azért, hogy egy polgár személyi számát természetes adatai alapján megtalálják. Ennek vagy az az elsődleges oka, hogy az input-bizonylat a személyi számot nem tartalmaz(hat)ja, vagy az nem is ismert. De ahol ismert, mint egy egyszerű költözködés bejelentésénél, ott a polgárt talán már aránytalanul sok zaklatás éri. Például be kell előzetesen szereznie a személyi számáról szóló adatigazolást, sőt a lakóhely tulajdonosának (ingatlan-nyilvántartási beérkeztetési pecséttel ellátott) vételi szerződését. Az ügyintéző átolvassa a szerződést, amihez se neki, se a lakás leendő bérlőjének semmi köze, majd kiírja (gyakran a lakcímbejelentőre) a szerződés bármely adatát. Ezekből a magánszférában, de mindenképp másik ágazatban képződött, aligha tisztességesen kigyűjtött/felírt adatokból így egy részleges decentralizált kapcsolótábla áll elő, s ha a lakcímbejelentő lap a központi okmánytárba kerül, központi kapcsolótáblaként is felhasz-
510
DR. MEZEY GYULA
nálható. A lakóhelyet változtató polgár személyes adatainak védelme, így koránt sincs biztonságosan megoldva. A lakóhely tulajdonosának személyes adatai pedig egyáltalán nincsenek megvédve. Több munkája és költsége lett a közigazgatásnak, de több a polgároknak is, az ügyintézés tovább tart. Az adatminőség egyrészt jobb, másrészt pedig roszszabb lett, mert a tisztességtelen adatgyűjtés ellen nincs biztosíték. Ezt a dilemmát önmagában az információtechnológia (IT) (például smart card), nem oldhatja meg, mert ha az adatokat az érintettek „megkímélésével” különböző adatbázisokból szereznék be, akkor kizárnák az ügyben érintett személy(eke)t az információáramlásból. Ágazatok közötti problémák Mi történik, ha szervezetek másik ágazatba sorolódnak át? A közigazgatás gyakori átszervezései alkalmával az eddig X ágazatba tartozott szerv valamennyi személynyilvántartásában valamennyi személy ágazati azonosítóját fel kell cserélni az Y ágazatéval. Tételezzük fel, hogy történeti adatbázisok működnek, amelyekből adatot törölni nem szabad. Az Y ágazat képtelen lenne személyi adatbázisaiban a mindkét ágazatban érintett polgár X ágazatbeli azonosítójától megszabadulni, a csak az X ágazatban érintettek rekordjaitól sem szabadulhatna, de azoknak saját ágazati azonosítót sem adhat ki. Mindez azt jelenti, hogy hiába konstruáltak külön egymástól független ágazati személyiazonosító-rendszereket, az ezeket elválasztó „kínai fal” iszapra épült, hiszen egy szervezeten belül lesz majd idővel X, Y, sőt még több más ágazat személyi azonosítója is ugyanennek a polgárnak. Ezáltal pedig a hivatkozott szervezeteknél megvalósul egy (elosztott és részleges) kapcsolótábla (ha nem is szándékoltan és valószínűleg nem is igazi tábla formájában), a központi kapcsolótábla mellett. A kapcsolati azonosítót minden polgárhoz egyértelműen hozzá lehet rendelni akkor, ha biztos, hogy minden polgár minden ágazatban rendelkezik egy és csakis egy személyi azonosítóval. Ha azonban mégsem így állna a dolog, akkor az eddig csak egy ágazatban szunnyadó hibák tovább fognak gyűrűzni a többi ágazat felé éppen a kapcsolótáblán át, és ott valószínűleg részben rejtett hibákként lerakódnak. Azok a személyek, akik például két személyi számmal rendelkeztek, most két TAJ-számot kapnak stb. Az új belépők kapcsolati azonosítójának kiosztásának két lehetséges változatát is felvázoljuk, de más változatok is lehetségesek. Az első változat: amikor minden személy minden ágazat felé egyazon kapcsolati azonosítóval rendelkezik. Új belépők esetén X ágazat valamelyik szervezetén belüli nyilvántartásba bekerülő vagy onnan kikerülő polgár ágazati személyi kódja mellett mindjárt meg kell az ágazati központban jelennie a kapcsolati azonosítónak is. Vajon honnan fogják itt megtudni, hogy az illető polgár nem kapott-e már egy Y ágazatba előbb történt belépésekor ott egy (másik) kapcsolati azonosítót előzőleg? De beléphetett még előbb más Z ágazatba is (akkor ott is kapott már kapcsolati azonosítót), ezért valamennyi ágazatban az oda belépett valamennyi releváns személyt (az egymásnak megfeleltethető – mert ugyanarra a személyre vonatkozó – ágazati személyi azonosítókat) a teljes szövegű személyi adatokat is segítségül híva egyeztetni kellene. Ez igen költséges alternatíva lenne, ezért az a járható megoldás, ha az egyik ágazat (például a népesség-nyilvántartás) képezi az összes többi ágazati személyi azonosítót és a kapcsolati azonosítót is úgy, hogy jóllehet egy polgár még nem is alanya az adórendszernek, mégis megkapja az adóazonosító-
SZEMÉLYIADAT-VÉDELEM
511
ját, sőt a TAJ-számát, és a kapcsolati azonosítóját már a személyi számával egyidőben. Ez esetben viszont konzerváltuk az általános és kötelező, ágazattól független régi személyi szám kiosztásának mechanizmusát, csak éppen egyetlen személyi szám helyett a kapcsolótábla egy teljes sorát osztják ki egyszerre. A második változat – hasonló megoldás – amikor a népesség-nyilvántartás kapcsolótömbként egy táblában kezeli a személyi számot, az adóigazgatás és a társadalombiztosítás felé pedig egy-egy technikai kapcsolókódot. Akár az adóigazgatás, akár a társadalombiztosítás kezdeményez kapcsolatfelvételt, a saját kapcsolókódjukat küldik a központi táblába. Lényeges, hogy a személyi szám és az ágazati személyi azonosítók között kölcsönösen egyértelmű kapcsolat marad tárolva (igaz nem közvetlenül, hanem kapcsolati azonosító is közbe van iktatva). Ez a megoldás adatvédelmi szempontból sokkal kevésbé kifogásolható ugyan, mint az előző, habár zavaró hogy az „egyszer használatos kapcsolati azonosító” nem is feltétlenül egyedi, és korántsem egyszer, hanem rendszeresen használják. A fentiektől eltekintve azonban egy ilyen megoldás zavartalan működtetése szervezési okok miatt nehezebben lenne biztosítható, ha egyre több ágazathoz (vagy sok szervezethez) kellene külön-külön kapcsolati azonosítókkal kapcsolódni, márpedig erősödő nemzetközi, európai kapcsolatrendszerrel a közeli jövőben nagyon is számolni kell. Ágazat és polgár kapcsolata Ha minden egyes polgárral postai úton közlik az ágazati személyi azonosítóját, ez több százmillió forintba kerül. Ha a polgár ágazati azonosítója egyszerűen (például olyan csonkítással, hogy egyirányú legyen a leképezés) lenne képezhető a neki már régebben kiosztott másféle azonosító adataiból, akkor ezt a pénzt meg lehetne takarítani. Magának az azonosítónak a kipostázása is fölösleges kockázat (lopás, másolás stb.), melyet az ún. stenográfia alkalmazásával csökkenteni lehet A kipostázás csak újonnan képzett és kiosztott mesterséges azonosító esetén elkerülhetetlen. Az ilyen azonosító viszont a polgár számára nehezen megjegyezhető, s ha ezért például rejtjelezéssel védve, csak gépi olvasásra alkalmas ún. smart card-ban tárolva kapná meg, az drága és még el is lopható. A manuálisan vezetett személyi nyilvántartásokban nagy költség az azonosítók átírása. Ha az új ágazati azonosítókat egy jelenleg ezekben amúgy is nyilvántartott egyedi személyi azonosítóból (például az említett csonkítással) nyerhetnénk, ez a költség is nagyrészt megtakarítható lenne. Jól ismert, hogy a hatásos jelszóvédelem miatt óvatosságból inkább nem használják fel újra a régebben már kiadott jelszavakat, sem a természetes személyi adatokat. Rá kell viszont mutatni arra, hogy a monogrammozaik egyrészt a fejből bemondott (benyújtott) természetes személyi adatokat, másrészt az ágazati adatbázisban tárolt személyes adatokat csak mint mintavételi kiinduló alaphalmazt veszi igénybe. A polgár az ágazati ügyintézőnek bemondja fejből jól ismert adatait, és sem a polgárnak, sem az ügyintézőnek nem kell tudnia, hogy például nevének, születési helyének, stb. mely betűi azok, amelyeket egy algoritmus a bemondott karaktersorozatból mint aktuális titkos jelszót kiemel. Ha az algoritmus ágazatonként eltérő, az ágazati személyi azonosító jelszó is ágazatonként el fog térni. Ha az algoritmus a polgár élete során bővülő személyes történeti adataiból merít, akkor az ágazatban a személyt azonosító jelszó időben változhat még akkor is, ha az ágazati algoritmus változatlan maradna.
512
DR. MEZEY GYULA
A nem nyilvános ágazati személyi azonosító (jelszó) mellett célszerű egy igen rövid (ezért nem is egyedi), de könnyen megjegyezhető, a hatékony keresést elősegítő „gyorsító eszköz”, amely ágazatspecifikus: az ún. „ágazati ellenőrzőszám” alkalmazása. A több új, hosszú számsor megjegyzése – különösen idős polgároknál – nehéz, a megküldött adatigazolások elkallódhatnak, de az ún. mesterséges azonosítót a polgár valószínűleg felírja. Valamennyiünk életében már annyi azonosítót kiosztottak, mért ne lehetne az új ágazati ellenőrzőszámokat egyszerűen ezekből a számunkra már ismertekből képezni? Nem csak egy ágazati azonosító generálásának bonyolult képlete jelentheti a biztosítékot arra, hogy az eredeti személyi számot ebből az azonosítóból nem lehet viszszaállítani (kölcsönösen egyértelmű leképezés esetén az algoritmus megfejtésével egyébként ez vissza is állítható), hanem a legegyszerűbb – a csonkításos – eljárás is (ahol a leképezés csak az egyik irányban egyértelmű, ellenkező irányban információvesztés miatt többértelmű). A közigazgatás és a magánigazgatás kapcsolata Ha a közigazgatás ágazatain kívül van szükség személyazonosításra, például hogy egy civil szolgáltatást igénybe vevő polgár jogosultságát ellenőrizhessék, akkor a megbízható személyazonosítás céljából vagy magánnyomozóhoz, vagy a népességnyilvántartáshoz kell fordulni, vagy egy közigazgatás által kibocsátott személyazonosító igazolványra kell hagyatkozni. Magánigazgatás és közigazgatás ebből a szempontból gyakorlatilag szétválaszthatatlan. A személyazonosítás referenciapontja tehát változatlanul megmaradt a népességnyilvántartáson és a közigazgatáson belül és kívül. Az ingatlan-nyilvántartás esetében ez a kapcsolódás nem csak lehetőség, hanem kötelező. A pénzintézetek esetében nem kötelező, de aligha kerülhető ki, ugyanakkor a kapcsolódás esetleg felvetheti a pénzintézeti adatgyűjtés tisztességességének kérdését. A PTK 38/A.§(2)-a alapján a pénzintézetnek megfelelően tájékozódnia kell a hitelfelvevő, illetve a kezes hitelképességéről, és a 4/1993(PK:16) BAF rendelkezés szerint adósminősítési szabályzatot kell kiadnia. Az adósminősítő rendszerekre általában jellemző, hogy igen sok adatot gyűjtenek, ezek jelentős hányadát azonban a döntéshez nem is használják fel [8]. A személyi jellegű hitelminősítés (credit scoring) régi és újabb modelljei gyakran tartalmazzák a „jelenlegi lakásban eltöltött idő” paramétert, amelyet a kérelmező ad meg. Az ún. ECOA (Equal Credit Opportunity Act) és kiegészítései, a fejlett országokban bevezetett jegybanki, kamarai előírások nem engedik meg, hogy akár a magánszemélytől, akár a közigazgatástól (lényegében hitelinformációként) a pénzintézet ennél több személyes adatot kérjen. Annak viszont nincs jogi akadálya, hogy a személyt azonosító adatokat ellenőrizzék, illetve ellenőriztessék például a népességnyilvántartással, ahonnan egyszersmind a jelenlegi lakásba való bejelentkezés dátumát is megtudakolhatják, amennyiben a polgár hozzájárul. Nemzetközi kommunikáció A nemzetközi kommunikáció, az országonként változó személyazonosítási megoldások áthidalása vajon elképzelhető-e egy közös brüsszeli kapcsolótáblával, amely az EU-
SZEMÉLYIADAT-VÉDELEM
513
tagországok polgárainak közös személyi hivatkozási rendszerét foglalná magába? Egyhamar aligha, hiszen egyes tagországokban még személyi szám sincs. Kevéssé valószínű, hogy az Egyesült Királyságban, vagy Portugáliában azért vezetnének be ilyet, hogy polgáraik személyi, (esetleg ágazati) azonosítóit külföldön képezzék, tárolják. Tágabb nemzetközi összefüggésben pedig még inkább állítható, hogy egy vegyes, de általában nem kapcsolótáblára támaszkodó megoldás jobban elképzelhető. Ennek egyik oka az országonként eltérő azonosítási megoldások. A hivatkozás egymás állampolgáraira vagy a teljes szövegű természetes személyi adatokkal, vagy például egy olyan rövidebb kóddal oldható meg homogén módon, amely lényegében az előbbi karaktersorozatból vett részhalmaz, de az azonosításhoz még elegendő pontosságot biztosít. Ha azonban a teljes szövegű személyi adatokból ily módon egymásba kapcsolt (konkatenált) összetett azonosító ágazattól független értéket adna, az egyazon személyre hivatkozás eltüntetné – ami az adatvédelemnek éppen nem célja – az ágazati információrendszerek közötti válaszfalakat, sőt az országok információrendszerei közötti határokat is. Ezzel szemben a természetes személyi adatokból kivágott, több egymást átfedő részhalmaz, amelyeket egy közös alaphalmazból, a személyi azonosító adatokból képeznek és országonként, illetve ágazatonként kissé eltérő változatok is kialakíthatók, feltehetően kielégíthetik a hazai és az európai adatvédelmi elvárásokat. Az időben változó személyazonosítási megoldások áthidalása Fontos gyakorlati szempont az ugyanazon személyre vonatkozó, de időben eltérő azonosítási megoldások közötti összhang megteremtése. Milyenek legyenek az egyes ágazati személyiazonosító-jelek, amelyeknek gépi kezelését több mint száz évre olyan előretekintő módon kell megoldani, hogy majd évtizedek múlva is vissza tudjunk keresni adatot, iratot abból a nagy adatvagyonból, amellyel a közigazgatás és a társadalombiztosítás sáfárkodik? A felhasználó sokszor csupán régebben lezajlott, mással, máshol történt eseményekről ismer (néha hézagos) adatokat, és az esemény pontos adatairól, a dokumentumokról másolatot igényel. A kereséshez célszerűen a természetes azonosítók jöhetnek szóba, hiszen a mesterséges azonosítókat, ügyszámokat stb. hamar elfelejtik. Milyenek legyenek annak a közigazgatásnak az azonosítói, melynek 50–100 éven át kell kezelnie és tárolnia különböző információkat és ezek adathordozó-kötegeit és emellett átlagosan 5–7 évente a technológiaváltások miatt ki kell cserélni a számítógépeket? Rövidlátó szemléletre vall a csak az éppen most rendelkezésre álló technikához kötött azonosító (például egy nyilvántartásban a sorszám, pointer, rejtjelkulcs, vagy adatbáziskulcs egy kapcsolótáblában stb.) alkalmazása. Az ún. mérlegelv elfogadása azt jelenti, hogy a jelenleg működő információrendszerünk tudatosan visszafogott hatékonyságával képesek vagyunk „fizetni” azért, hogy az információrendszer hosszú távú működése során kevesebb, a későbbi technikai generációváltások miatti probléma és költség merüljön fel. Ezt olyan axiómának tekintjük, amelynek alapján fennállhat egy általunk ún. indexszabálypárnak nevezett összefüggés. A személyes történeti adatok ma csaknem mind papír iratokon – személyi számmal ellátva, de ha régi irat, akkor anélkül – találhatók. A történeti adatbázisok ezeknek az irattáraknak előbb csak katalógusai, később teljes szövegű kezelőrendszerei lehetnek. Ma azonban irattáraink még nagy részben papíron, kis részben mikrofilmen vannak, mág-
DR. MEZEY: SZEMÉLYIADAT-VÉDELEM
514
neslemezen csupán a legutolsó ismert állapot található. Erre épül majd rá a személyi történeti adatbázis. A történeti adattárak esetében érvényes az ún. index-szabálypár: – mennél hosszabb időhorizontot fog át az adattár, annál inkább célszerű és gazdaságos lehet a természetes azonosítók alkalmazása; – mennél rövidebb az időhorizont, annál inkább tere lehet a mesterséges (törzsszám jellegű) azonosítók használatának.
* A népesség-nyilvántartás nagyon hosszú távon őrzi, kezeli tételeit, indokolt tehát a természetes azonosítók alkalmazásának mérlegelése. A hosszú távon gazdaságosabb üzeműnek látszó kapcsolótábla gazdasági előnye esetleg teljesen el is vész, különösen, ha a központilag kiadott mesterséges azonosítók és külön kapcsolótáblák karbantartási, védelmi többletráfordításait, a többletadminisztráció költségeit is a mérlegre tesszük. A személyre való hivatkozási pontosság szempontjából persze (rövidebb időszakra tekintve) egyértelműen a mesterséges, törzsszám jellegű azonosítás látszik megfelelőbbnek. Érdemes azonban megmérni, hogy mekkora a gyakorlatban az a személyre hivatkozó hibasáv, amely manapság a személyi számmal ténylegesen együtt jár. Ha ez a hibasáv szélesebb, mint az a hiba, amely természetes személyi adatokra épülő, vagy azokból és a mesterséges (például sorszám-) adatokból összetett kváziegyedi azonosításnál jelentkezne, akkor lehet, hogy nagyon is indokolt – legalább kiegészítő jelleggel – a kváziegyedi azonosítás alkalmazása. A kiegészítő alkalmazás például azt használná ki, hogy az ún. monogrammozaik-eljárással [1] egy klaszterbe gyűjthetők a szinonima-hibák, tehát a hibafeltárás, a -mérés, és a -javítás céljára is jól felhasználhatók. IRODALOM [1] Mezey Gyula: Az új ágazati személyi azonosítójelek képzésének olcsó, gyors, alkotmánymódosítást nem igénylő, a 46/1995. (VI.30.) AB-határozatot kielégítő megoldása. Országgyűlés Hivatala. Budapest. 1995. 22 old. [2] Vajnági András: A személyazonosítás problémái a közigazgatási nyilvántartásokban. Megjelent: Neumann J.Számítógéptudományi Társaság VI. Országos Kongresszusa. Siófok. 1995. április. [3] Meadow, Ch.T.: Applied data management. John Wiley and Sons. New York–London. 1976. [4] Gyimesi László: A fekete doboz. Közinforg konferencia. (Kézirat.) [5] Schneider, B.: E-mail security - how to keep your electronic messages private. Wiley and Sons. New York–London. 1995. 365 old. [6] Zimmerman, Ph.: Pretty Good Privacy. 1991. [[7] Chaum, D.: Személyes adatvédelem rejtjelzéssel. Tudomány. 1992. október. [8] Kiss Ferenc: Credit-scoring mint a döntéstámogatás eszköze. Doktori értekezés. 1996.
TÁRGYSZÓ: Információ. Adatvédelem.
SUMMARY The article compares the advantages and disadvantages of two different technical approaches of gaining better privacy in the registers of the public administration. One approach is the socalled „Exchange Center” (or stored pointers) method, whilst the other approach is the socalled „raw personal data based” (or civil registration based) method. Special attention is paid to the „worst case design” requirements against the technical approach concerning some possible extreme legal environment, and to the risk of personal profiles’ byproduction in the data supply control data base of a central personal population register.
