MISKOLCI EGYETEM ÁLLAM- ÉS JOGTUDOMÁNYI KAR Közigazgatási Jogi Tanszék
Az elektronikus azonosítás és hitelesítés eszközei: az ekártyák és az elektronikus aláírás
KÉSZÍTETTE:
KONZULENS:
Virányi Réka Vanda
Czékmann Zsolt
OMDKE5
egyetemi tanársegéd
Miskolc 2015
UNIVERSITY OF MISKOLC FACULTY OF LAW Department of Administrative law
Tools of electronic identification and authentication: the ecards and the electronic signature
MADE BY:
CONSULTANT:
Réka Vanda Virányi
Zsolt Czékmann
OMDKE5
Assistant Professor
Miskolc 2015
Tartalomjegyzék Bevezetés ....................................................................................................... 2 1.Az elektronikus azonosítás (eID) ............................................................... 4 1.1. Az eID problematikája, megoldások keresése .................................... 4 1.2. Az eID rendszer és az e-kártya ........................................................... 9 1.2.1.Németország ................................................................................ 11 1.2.2. Magyarország.............................................................................. 13 1.3. Az e-azonosítás jogszabályi háttere .................................................. 15 1.3.1.Az Európai Parlament és a Tanács 910/2014/EU Rendelete....... 15 1.3.2. A 2014. évi LXXXIII. törvény az egységes elektronikuskártyakibocsátási keretrendszerről. ................................................................. 18 2. Az elektronikus aláírás ............................................................................ 22 2.1.Az elektronikus aláírás fogalma......................................................... 22 2.2. Az elektronikus aláírás működése, típusai ........................................ 24 2.3. Az elektronikus aláírás fejlődése ...................................................... 26 2.4. Az elektronikus aláírás jogi háttere .................................................. 30 2.4.1.Az Európai Unió 1999/93/EK irányelve...................................... 30 2.4.2. Az elektronikus aláírásról szóló 2001. évi XXXV. törvény ....... 36 2.4.3. Az Európai Parlament és a Tanács 910/2014/EU rendelete a belső piacon történő elektronikus tranzakciókról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről ................................ 43 Összegzés .................................................................................................... 48 Irodalomjegyzék .......................................................................................... 50
1
Bevezetés Az információs társadalom kérdése, mely magában foglalja többek között a kommunikációs és információs technológiák fejlődését, a nagy jelentőségű fejlesztési programokat, gazdasági szolgáltatásokat és magát az internetet is, - az egyre gyorsuló világ, és a növekvő elektronikus szolgáltatások számának növekedésének hatására jelentősen felértékelődött az Európai Unióban. A XVIII. végén megindult ipari forradalom óta az európai országokban a technológia megítélése nem volt éppen szélsőségektől mentesnek mondható: a technológiában megoldásokat találtak a társadalmi problémákra, de ugyanakkor fenntartották azt az álláspontot, hogy a technológia túlzott előrehaladása jelenti az egyén elidegenülését a természettől, a társadalomtól és saját magától. Az információs társadalom legszembetűnőbb jellemzője a minket körülvevő technikai eszközök számának, összetettségének és sokféleségének megnövekedése. Hétköznapi életünknél is egyre inkább érezzük, hogy információs társadalomban élünk, kihasználva annak technológiai előnyeit és tapasztalva annak hátrányait. Ezen új jelenség által hozott változások új elvárásokat támasztanak nem csak az egyes egyénekkel, hanem magával az állami működéssel szemben is, különösen az állam és állampolgárai között fennálló kapcsolat tekintetében. Magának az információs társadalomnak a fogalmi meghatározása igen nehéz, a különböző definíciók a jelenség egészen eltérő jellegzetességeit hangsúlyozhatják ki. Daniel Bell megfogalmazásában az infótársadalom nem más, mint egy „Olyan társadalom, amely a társadalmi kontroll, valamint az innováció és a változás kezelése érdekében a tudás körül szervezi magát”.1 Ehhez képest Nick Moore álláspontja szerint „Olyan társadalom, amelyben […] az információt gazdasági erőforrásként használják, a közösség jobban kihasználja azt, s mindezek mögé kifejlődik egy olyan iparág, amely a szükséges információkat állítja elő”.2 Látható, hogy a két fogalom az információs társadalom eltérő részeit emeli ki, miközben központi elemük azonos, az információ és a tudás jelentősége. Az információ megszerzése, terjesztése, alkalmazása és nyilvántartása komoly gazdasági, kulturális és politikai jelentőséggel bírhat a megfelelő technológiák alkalmazásával. Az információs társadalom korában az információ válik a
1
Daniel Bell The Coming of Post-Industrial Society, Basic Books, New York, 1976. Nick Moore Globalization of Information: the networking information society, FID Konferencia és Kongresszus, Graz, 1996 október, 48.oldal 2
2
technológiai fejlődés alapjává, amely megváltoztatja annak módját, ahogy a társadalmak alapvetően működnek – az információ a társadalom legfőbb értékévé válik, magát a hatalmat fogja jelenteni. Dolgozatom során azt vizsgálom, hogy milyen követelményeket fogalmazott meg az Európai Unió a tagállamaival szemben annak érdekében, hogy felvegye a versenyt a változóban lévő világgal, és hogy hogyan birkózik meg Magyarország és főleg a magyar közigazgatás ezekkel az újfajta elvárásokkal. Ezekre a kérdésekre az elektronikus személyazonosítás és hitelesítés szabályozásán és az elektronikus személyazonosító rendszerek azonosító eszközeinek jogi és technológiai megoldásain keresztül törekszek választ adni. Célom az elektronikus azonosító eszközök egységes szabályozására vonatkozó jogszabályok bemutatása Uniós és hazai szinten, valamint az elektronikus személyazonosító kártyák és az elektronikus aláírások működésének, alkalmazásának és a velük szemben támasztott törvényi kritériumoknak a szemléltetése. Dolgozatom során kiemeltem ezen viszonylag új jogintézmények szabályozásának problémás területeit és a technológia/jogi kihívások leküzdésére alkotott tagállami megoldásokat. Ezeknek az ismerete nélkülözhetetlen annak érdekében, hogy egy egységes, európai szintű elektronikus azonosítási és hitelesítési rendszer jöjjön létre, mely lehetővé teszi a tagállamok közötti jogügyletek megkötésének és lebonyolításának leegyszerűsítését, a határokon átnyúló közigazgatási szolgáltatások áramlásának felgyorsítását, valamint az ügyintézési idő lerövidülését.
3
1.Az elektronikus azonosítás (eID) 1.1. Az eID problematikája, megoldások keresése
Az Európai Unió szintjén az egységes személyazonosítás (eID) iránti sürgető igényt az i2010 Akcióterv fogalmazta meg, amely rögzítette, hogy az interoperabilitás és az elektronikus személyazonosítók kulcselemeknek számítanak az e- Kormányzat kiépítésénél. Az interoperábilis eID nélkülözhetetlen a négy uniós alapszabadság, a személyek, áruk, tőke és a szolgáltatások szabad áramlásának megvalósításához, valamint az európai szintű adminisztrációs teher leküzdéséhez.3 A tagállamok személyazonosító rendszereinek összehangolása és egységes szabályozása azonban egyáltalán nem egyszerű feladat. Az
elektronikus
személyazonosítással
kapcsolatban felmerülő
akadályokat
és
problémákat két oldalról lehet megközelíteni. Egyrészt számos technológiai és technikai nehézségekbe ütköznek az Európai Unió tagállamai az elektronikus személyazonosító rendszerek (IMS/eIDMS) átjárható és átlátható módon történő üzemeltetésénél (habár már létezik az európai szintű együttműködést elősegítő személyazonosító bevezetéséhez szükséges technológiai háttér), másrészt pedig jogi szempontból is kimondottan korlátozott e rendszerek összehangolása. A legnagyobb korlátot valójában a jogi interoperabilitás,
az
együttműködési
képesség
hiánya,
a
digitális
piac
szétaprózódottsága és a számítógépes bűnözés terjedése jelenti.4 Habár az eID kapcsán sokkal jelentősebbek a jogi akadályok, mégis meg kell említeni egy nagyon fontos, a fejlődést gátló technikai tényezőt, az Internet hiányosságát személyazonosítás területén. Az internetnél nem találhatóak egységes rendelkezések annak kapcsán, hogy ki kommunikál kivel, az online környezetben nem létezik jól kiépített
személyiségazonosító
hálózat.
Mi
több,
technológiai
tervezők,
az
önkormányzatok, a vállalkozások és más egyének egy elkülönített, összeférhetetlen és
3
Stork eID Consortium 3: Competitiveness and innovation framework programme, ICT Policy Support Programme, Towards pan-European recognition of electonis IDs (eIDs), D2.2- Report on Legal Interoperability, 2009. 4 Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának: Az európai digitális menetrend, Brüsszel, 2010.
4
csupán részleges megoldást építettek ki kommunikációs és tranzakciós ügyletek lebonyolítására. Az lett az eredménye ezeknek az irányítás nélküli „fejlesztéseknek”, hogy az önkormányzatok és a vállalkozások képtelenek beazonosítani kommunikációs partnereiket az egyének szintjén. Csupán IP címek azonosítására képesek, amelyek meghatározott esetekben nem minősülnek hitelesnek egy természetes személy kilétének meghatározásánál.5 Összefoglalva, az elektronikus tranzakciók szereplői mind egyéni megoldásokat fejlesztettek ki az azonosításra, így nem rendelkeznek egy egységes sémával, ami lehetővé tenné az egyének hiteles beazonosítását. Ezen egységes azonosítási infrastruktúra meglétének hiánya a szólásszabadság elvének tükrében nem tekinthető problémának, azonban más szemszögből vizsgálva egyes személyek „túlazonosításához” vezethet, azaz a szükségesnél több személyes adat szolgáltatását eredményezheti, amely adatvédelmi tekintetben igencsak aggasztó. Jogi szempontból a legnagyobb problémát az okozza, hogy az EU-n belül szinte minden tagállam eltérően közelíti meg az elektronikus azonosítás kérdését: eltérő technológiájú elektronikus személyazonosító rendszereket vezetnek be, amelyeket csupán nemzeti szinten szabályoznak, így egy európai szintű egységes rendszer kialakítása számos nehézségbe ütközik. Ezt a helyzetet jól szemlélteti, hogy míg egyes országoknál (mint például Németország és Ausztria) már használatban vannak az elektronikus személyazonosító kártyák, más államok nem rendelkeznek működő eID kártya rendszerrel (Például Anglia). A szokások abban is eltérnek, hogy egy adott ország állampolgárai azonosítására egy egyedi azonosító számot használ több célra, vagy több azonosító jelet sorakoztat fel, mindegyikhez külön hozzárendelve egy egyedi célt. 6 Magyarország
tekintetében
az
utóbbi
érvényesül.
Ennek
oka,
hogy
az
Alkotmánybíróság alkotmányellenesnek minősítette az egységes és egyben univerzális személyi szám használatát 1991.-ben.7 Az alkotmányellenesség a két elem együttes megjelenésekor merül fel, tehát nem arról van szó, hogy alkotmányellenes lenne az egységes azonosítók használata, hanem arról, hogy ha mellé univerzalitás is társul, az alkotmányos jogokba ütközik, mivel ezáltal az azonosításra szolgáló számsor alkalmassá
válik
eltérő
nyilvántartásokban
található
személyes
adatok
összekapcsolására. Így az adatokhoz könnyen hozzá lehet férni, fennáll a lehetőség 5
Leenes, Schallaböck and Hansen: ’Prime (Privacy and Identity Management for Europe) White Paper’ 1. Norberto Nuno Gomes de Andrade, Shara Monteleone, Aaron Martin: Electronis Identity in Europe: Legal Challenges and Future Perspectives (e-ID 2020), 2013, 16 oldal. 7 15/1991.(IV.13.) AB határozat 6
5
úgynevezett
személyiségprofil
megalkotására,
és
ezáltal
az
érintett
személy
kiszolgáltatottá válik. Ez nem csak az információs önrendelkezési jog gyakorlásának csorbulásához vezethet, de általa az államigazgatás hatalma is aránytalanul megnő. Ebből kifolyólag tehát Magyarországon ágazati azonosítókat alkalmaznak.8 Annak következtében, hogy az egyes Európai Uniós tagállamok eltérő módon közelítették meg jogilag a személyazonosítás kérdését és különböző szervezeteket hoztak létre, eltérő személyazonosítási ügyviteli rendszerek (IMS) épültek ki, amelyek az
e-azonosítási
eljárás
komplexitásának
növekedését
eredményezték.
Az
interoperabilitás hiányán túl az eID európai egységesítésének az is akadályát képezi, hogy az azonosító dokumentumok a tagországok belügyének minősülnek. 9 Egy ideális online környezetben az egyes személyek, szervezetek, cégek, eszközök és szolgáltatások bizalommal fordulnak a másikhoz, mivel megbízható források keletkeztetik, rendszerezik és hitelesítik az elektronikus azonosítójukat. Ezen túlmenően egy ilyen környezetben az EU tagállamok képesek biztonságos, hatékony és könnyen használatos eID megoldásokat alkalmazni. Ennek eléréséhez az alábbi céloknak kell teljesülniük:
magas biztonsági fokozat, amely megakadályozza a személyazonossággal való visszaélést az online felületeken
hatékonyság és kényelem: mely általa papír alapú ügyintézés számának csökkentésével az adminisztratív feladatok átláthatóbbá, követhetőbbé válnak. Az ügyféli oldalon az adminisztrációs folyamatokhoz szükséges felhasználói fiókok és jelszavak számának csökkentése az egyének védelmét és könnyebb eligazodását szolgálja.
könnyen kezelhető technológiai megoldások10
Európának egységes szabályozás híján szüksége van egy jogi keretre, amely biztosítja az interoperabilitást az Uniós tagállamok között a határokon átnyúló online közszolgáltatások területén. Az EU mindeddig nem megfelelő mértékben élt az átjárhatóságból fakadó lehetőségekkel, amelynek számos oka van. Egyrészt nincs 8
Szabó Máté Dániel, Székely István, Simon Éva:Az elektronikus személyazonosítás és ügyintézés adatvédelmi követelményei. Eötvös Károly Közpolitikai Intézet.8-9.oldal 9 OECD: The role of digital identity management int he internet economy: a primer for policy makers (16-17) 10 Walter Fumy, Manfred Paeschke: Handbook of eID Security, Concepts, Practical experiences, technologies, Publicis Publishing, Erlangen, 2011
6
egységes digitális piac a tagállamok között, ami által a kereskedelmi és kulturális tartalmak és szolgáltatások korlátozottan áramolnak az európai polgárok között. Másrészt, az állampolgárok nem tudják elektronikus úton hitelesen igazolni személyazonosságukat, mivel az egyes uniós tagállamok nem ismerik el más tagállamok elektronikus azonosítási rendszerét. Az elektronikus azonosító rendszerek kölcsönös elismerése lehetővé tenné a szolgáltatások határokon átnyúló
áramlását és
megkönnyíteni
azáltal,
a
vállalkozások
nemzetközi
szintű
működését
hogy
leegyszerűsítené a hatóságokkal történő együttműködést.11 Ahhoz, hogy a fent említett problémákra megoldások szülessenek, és egy európai szintű szabályozás jöjjön létre az eID területén, meghatározott alapelveknek kell megvalósulniuk (mind a jogalkotás során, mind a jogszabályok alkalmazása során). Az Európai Bizottság 2013-ban kiadott jelentése alapján az ügyfél-központúság elve a legfontosabb azon alapelvek közül, amelyre az elektronikus személyazonosítás területén alkotott európai szintű jogszabályi keretnek épülnie kell. Az alapelv érvényesülése során a személyazonosítási rendszerben az alábbi szereplők vesznek részt: a személyazonosítót kibocsátó (egyének azonosítása, adatkezelés és tárolás), a szolgáltatást nyújtók (azután kezdik meg a szolgáltatás nyújtását, miután az azonosítót kibocsátó hitelesen igazolja a magánszemélyt), valamint a magánszemélyek. 12 Az elv alkalmazása meggátolja azt, hogy a magánszemélyek közvetlenül a szolgáltatást nyújtónak adjanak meg adatokat, ezáltal megakadályozva azt, hogy kiszolgáltatottá váljanak.
13
Az elv alkalmazása folytán a magánszemélyek nagyobb hatalommal bírnak
az információk felett és azáltal, hogy több azonosító kibocsájtóhoz is fordulhatnak (nem csak egy helyen tárolhatják az adataikat), nagyobb biztonságban tudhatják adataikat. Míg a való életben azonosságunk hiteles igazolása során bizonyos dokumentumokat kötelesek vagyunk a hatóságoknak átnyújtani, addig digitális környezetben egyes személyiségfeltáró adatokat (diploma, nyelvvizsga…) eltitkolhatunk. Ennek lehetősége számos veszéllyel és kockázattal járhat, mivel az egyes magánszemélyek az online világban több személyazonosságot, felhasználói fiókot is fenntarthatnak, amelyek kezelése és összehangolása mind a magánszemély, mind a hatóságok által számtalan 11
910/2014/EU rendelet Norberto Nuno Gomes de Andrade, Shara Monteleone, Aaron Martin: Electronis Identity in Europe: Legal Challenges and Future Perspectives (e-ID 2020), 2013, 23.oldal 13 OECD: The role of Digital Identity Management in the Internet Eonomy: A Primer for policy Makers 17. oldal 12
7
nehézségekkel jár. A többszörös személyazonosság elve azonban biztosítja, hogy a személyazonosító rendszerek lehetővé tegyék a magánszemélyek számára több felhasználói fiók (amely azonosításra szolgál) egyszerű kezelését.14 Az előbbieken túl a személyazonosító rendszereknek támogatniuk kell az anonimitást és az álnevek használatát, mégpedig meghatározott szabályok alapján. Azaz, jogszabálynak kell meghatározni, hogy milyen esetekben rejtheti el az ügyfél a személyes adatait és milyen esetekben használhat eltérő személyazonosítót (álnevet), valamint, hogy az ilyen jellegű személyes adatokat mikor köteles felfedni. Azonban azt is szem előtt kel tartani ennek az alapelvnek az alkalmazásakor, hogy nem abszolút a terjedelme, a felhasználó személyazonosságát jogszabálysértő tevékenysége során fel kell tárni.15 Nem elég azonban annyi, hogy egy magánszemély több személyazonosítót alkalmazhat, és hogy azokat titkosíthatja, szükség van arra is, hogy a különböző azonosítókat ne lehessen az arra nem jogosultak beleegyezése nélkül összekapcsolni egymással. Erre szolgál az összekapcsolhatatlanság elve, amelynek célja a magánszemély személyes adatainak védelme. A tárgyalás elve lehetőséget ad a felhasználó számára, hogy igényeit és a személyes adatai nyilvánosságra hozatalával kapcsolatos feltételeit megvitathassa a szolgáltatás nyújtójával, ami szintén az ügyfél adatainak magasabb biztonsági szintjét szolgálja. A hordozhatóság elve alapján az online személyazonosítóknak örökletesen hordozhatóaknak kell lenniük, nem lehetnek véglegesen, megváltoztathatatlanul lekötve bármilyen adott szolgáltatáshoz, vagy személyazonosító kiállítóhoz. Azt figyelembe véve, hogy a jelenlegi adatvédelmi modell túlságosan is védelem orientált, ez az elv eléggé innovatívnak mondható, hiszen a jelenlegi modell csak azt engedélyezi, hogy a meglévő adathoz hozzáférjünk, módosítsuk, vagy töröljük. Az elv alkalmazásával azonban már az adatainkat egyik szolgáltatás nyújtótól a másikhoz is átvihetjük.
14
Norberto Nuno Gomes de Andrade, Shara Monteleone, Aaron Martin: Electronis Identity in Europe: Legal Challenges and Future Perspectives (e-ID 2020), 2013 15 Leenes, Schallaböck, Hansen: Prime (Privacy and Identity Management for Europe) White Paper 11.old.
8
A hitelesítés forrásának alapelve biztosítja, hogy az információ hitelesítésére csak egy hitelesítő szerv váljék jogosulttá, aminek következtében az ügyfeleknek csak egy szervnél kell bejelenteniük az adataik módosítását. Végül a technológiai segítségnyújtás elve arra szolgál, hogy a tagállamok azokat a felmerülő problémákat is kiküszöböljék, amelyekre a jog már nem terjed ki. Azaz, az Európai Uniónak egy a többi országoktól elkülönülő technológiailag is egységes azonosítóra van szüksége.16 A fent említett alapelvek a gyakorlatban még nem valósultak meg, az Európai Bizottság egy kutatócsoportja ajánlásként fogalmazta meg őket, más, korábbi tudományos tanulmányokra támaszkodva. Véleményem szerint hasznos iránymutatásokat fektettek le, amelyeknek nagy része megjelenik a Tanács 910/2014/EU rendeletében, habár azok gyakorlatban való érvényesülése az esetlegesen felmerülhető problémák tükrében igencsak kétségesnek mondható.
1.2. Az eID rendszer és az e-kártya A mai digitális környezetben az állampolgárok a vállalkozások és a közigazgatási szervek egyre nagyobb számban bonyolítják le jogügyleteiket online szolgáltatásokon keresztül. Legyen szó e-bankügyletekről, e-kereskedelemről, vagy e-közigazgatásról, az ilyen szolgáltatások zökkenőmentes és biztonságos áramlásához szükség van egyfajta elektronikus azonosításra és hitelesítésre annak céljából, hogy beazonosíthatóvá váljon az ügyletben szereplők hiteles kiléte. Számos szervezet dolgozott ki megoldásokat az online szolgáltatásokhoz szükséges azonosítási eljárásra, mind az állami és magánszektorban. De mit is takar az eID és ennek rendszere (IMS)?17 „Elektronikus személyazonosítás (e-Identity Management, vagyis eIM) alatt az egyes személyek részleges azonosságának irányítását értjük, azaz a személyazonosító attribútumok meghatározását, kijelölését és adminisztrációját, valamint annak eldöntésének lehetőségét, hogy egy részleges azonosság újrahasználhatóvá válhat-e egy eltérő környezetben. A személyazonosság-kezelő rendszer (IMS) azt a szervezeti és 16
Norberto Nuno Gomes de Andrade, Shara Monteleone, Aaron Martin: Electronis Identity in Europe: Legal Challenges and Future Perspectives (e-ID 2020), 2013, 30. oldal 17 https://ec.europa.eu/digital-agenda/sites/digital-agenda/files/smart2010-0068.pdf
9
technikai
infrastruktúrát
takarja,
amelyet
a
személyazonosító
attribútumok
meghatározására, kijelölésére és adminisztrációjára használnak.18” Az elektronikus azonosító kártyák ennek, a jelenleg nemzetenként eltérő megoldásokat tartalmazó e-azonosító rendszereknek az eszközei, egyfajta hitelesítő eszközök, melyek személyes adatokat tartalmaznak. Az intelligens kártya azáltal válik a hitelesítési folyamatok szereplőjévé, hogy alkalmas e-aláírás tárolására, azaz nyilvános kulcsú titkosítási
műveleteket
végezhetünk
vele
és
hitelesen
szignózhatjuk
dokumentumainkat.19 Az e-kártyák, mint az elektronikus azonosító rendszerek egyik legfontosabb eszközei, magukban
hordozzák
az
univerzális,
országhatárokon
átnyúló,
hiteles
személyazonosítási mechanizmus megalkotásának lehetőségét. Évszázadokon keresztül a papír alapú személyazonosító dokumentumok jelentették a személyazonosítás csúcsát, azonban mára már ezt a szerepet a műanyagból készült kártyák töltik be, amelyek jóval több funkciót is el tudnak látni. A jelenlegi azonosító kártyákban mikroprocesszorok találhatóak, amelyek megfelelő biztonságot is nyújtanak tulajdonosuknak. A finn nemzeti személyi kártya volt az első 1998-ban, amit polikarbonátból készítettek és mára már minden elektronikus személyazonosító Európában ebből készül. Számos tagállamban a születési anyakönyvi kivonaton és az útlevélen túl a klasszikus személyazonosító igazolvány a fő azonosításra szolgáló állami irat. Ezt a fajta nemzeti dokumentumot eredetileg az ipari forradalom környékén, vagy után vezették be, 1870 és 1910 között, Európa szerte. Mivel magas fokú követelményeknek kell megfelelniük ezeknek az iratoknak (főleg a hamisítással és visszaéléssel szemben kell ellenállónak lenniük), minden tagállam törekszik a legfejlettebb technológiának megfelelő megoldásokat bevezetni alkalmazásukra. Az elektronikus személyazonosító kártya bevezetésével a klasszikus, szemmel látható dokumentumok hatóköre kiterjed a digitális környezetre, az Internetre. Mielőtt az ekártyák az interneten is használhatóvá válhatnak, egy elektronikus chipet kell beléjük építeni olyan magas biztonsági feltételeknek megfelelően, amelyeket a papír alapú dokumentumok már nem képesek kielégíteni. Kezdetben a kártya és az elektronikus szerver rendszer közötti kapcsolatot közvetlen elektronikus kontaktussal oldották meg, 18 19
http://link.springer.com/article/10.1007/s12394-010-0052-0/fulltext.html Orosz Attila: Európai polgárkártyák funkcionalitása és alkalmazásai, 2009
10
de az utóbbi években a kontakt nélküli információ továbbítás nyert teret. A legnépszerűbb gyakorlat az eID kártyák kialakításánál az előbbi kettő keveréke, azaz, mint a bankkártyák esetében, a kártya fizikailag létezik és leolvasókhoz való érintéskor adattovábbításra képes, valamint online felületen is alkalmas „érintés” nélküli adatátvitelre. Az erre vonatkozó technikai megoldások azonban országonként eltérnek.20 Már számos Európai Uniós ország vezetett be elektronikus kártyát mind az állami és mind a magánszektor szereplőinek, azonban egyes tagállamokban e jogintézmény egységes szabályozásának hiánya jelenleg ellehetetleníti az uniós szintű összehangolt jogszabály meghozatalát.21 Mivel Magyarországon is kezdeti stádiumban van az egységes elektronikus kártyarendszer szabályozása (főleg az egészségügy területén figyelhetünk meg jelentős haladást), ezért az eID kártya intézményét az Európai Unión belül az egyik legfejlettebb elektronikus személyazonosító kártyarendszert alkalmazó tagállamon, Németországon keresztül fogom bemutatni, kiemelve a kártyák működését és funkcióit.
1.2.1.Németország A német állampolgárok számára 2010. november 1-jén vált elérhetővé az „érintkezés nélküli” kártya, amely három elektronikus funkcióval rendelkezik. A kötelező ePass funkció államigazgatási feladatot tölt be: hiteles módon igazolja a kártya birtokosának személyazonosságát, akárcsak egy elektronikus útlevél. Az eID funkció alapján arra felhatalmazott szervek személyes adatokat hívhatnak le a kártyabirtokosról annak beleegyezése alapján. Ez a funkció az állampolgárok által aktiválható, vagy megtagadható. A szintén választható eSign funkció által a kártya lehetővé teszi egy magánkulcsos minősített elektronikus aláírás generálását meghatározott esetekben.22 A kártyába beültetett chip tárolja el a kártyára nyomtatott adatokat, illetve a kártya tulajdonosának digitális fényképét. Az eID funkciónak köszönhetően a kártyabirtokos
20
Walter Fumy, Manfred Paeschke: Handbook of eID Security, Concepts, Practical experiences, technologies, Publicis Publishing, Erlangen, 2011. 16-17. oldal 21 Andreas Poller, Ulrich Waldman, Sven Vowé, Sven Türpe: Electronic identity cards for User Authentication-Promise and Practice, Darmstadt, Germany, 2011. 22 Andreas Poller, Ulrich Waldman, Sven Vowé, Sven Türpe: Electronic identity cards for User Authentication-Promise and Practice, Darmstadt, Germany, 2011, 2. oldal
11
hozzájárulásával további információt lehet elektronikus úton továbbítani a kártya segítségével:
Név
Születési hely és idő
Lakcím
Álnév használata a személyes adatok kiadásának elkerülésével
Adatok hitelességének megerősítése stb.
Az e-kártya érvényességére vonatkozó adatok mindig továbbításra kerülnek annak elkerülése érdekében, hogy a kártya elvesztésekor idegenek éljenek vissza a tulajdonos személyes információival. Ezen felül igény szerint két ujjlenyomat is elhelyezhető a kártyán (az adatbázisban nem tárolt), az egyszerűbb azonosítás céljából. 23 A német elektronikus személyigazolvány érvényességi ideje a 24. életévüket betöltött állampolgárok tekintetében 10 év, míg ez alatt a kor alatt 6 év. A kártya a személyes adatok tárolására egy biztonsági chipet alkalmaz, amelyet a birtokosa online felületen is elérhetővé tehet. Ezen felül a dokumentumon található fénykép (kötelező) és az ujjlenyomatok (opcionális) biztosítják a dokumentum útlevélként való alkalmazását a schengeni övezeten belül, valamint biztonságot nyújt az adatokkal való visszaélésekkel szemben.24 Technikai szempontból a kártyarendszer online hitelesítési folyamataihoz négy elem járul hozzá. Az eID szerver, amelyet a szolgáltatást nyújtó, vagy egy harmadik fél üzemeltet, a szolgáltatói oldalon látja el a hitelesítést és továbbítja az a során kapott adatokat a szolgáltatás felé. Az ügyfél oldalán egy kártya olvasó és egy ügyfél-szoftver csomag biztosítja a kapcsolatot a kártya és a birtokosa között. Az alap olvasók automatikusan futtatják a szoftvert és az ügyfél nem tehet egyéni beállításokat, míg a fejlettebb verzióknál az ügyfeleknek külön PIN kódjuk van az egyéni módosításokhoz. Az ügyfél-szoftver közvetíti a védett üzeneteket a kártya és az eID szerver között, hitelesítési nyilatkozatokat kezel és lehetővé teszi az ügyfél számára, hogy bizonyos adatokhoz való hozzáférést korlátozzon. A kártyában található chip igazolja az ügyfél
23 24
Federal Ministry of the Interior Germany: The ID card with eID function at a glance, 2014 http://www.london.diplo.de/contentblob/3778704/Daten/2959228/eIDFAQs.pdf
12
PIN kódját és az eID szerver hitelesítői nyilatkozatát, és hiteles adatokat szolgáltat. A kártya a kriptográfiai protokoll végpontja.25 Látható tehát, hogy a német rendszer is ötvözi a klasszikus személyazonosító dokumentumot a virtuális azonosításra alkalmas megoldásokkal. Az eszköz technológiai sokszínűségére és komplex jogi szabályozására tekintettel dolgozatomban a továbbiakban áttérnék a hazai helyzet ismertetésére.
1.2.2. Magyarország A magyar e- Közigazgatási stratégia legfontosabb jellemzője az, hogy ügyfélbarát, aminek következtében a magyar elektronikus szolgáltatások centralizáltak, tehát az elektronikus azonosítás is központosított. A centralizáció ügyfélbarát hozzáférést biztosít a szolgáltatásokhoz az állampolgárok számára és csökkenti a közigazgatás forrásainak felhasználását. Ennek következtében Magyarország lakosai minden létező eKormányzati szolgáltatást egyetlen azonosító átjárón, az Ügyfélkapun keresztül érhetnek el, ami tulajdonképpen a magyar IMS rendszer megfelelője. Az Ügyfélkapu egy ennél nagyobb rendszer (Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala által üzemelt) része, amelyet a Miniszterelnöki Hivatal felügyel. Az Ügyfélkapu 2005. áprilisában lépett működésbe. Mivel az ezen keresztül elérhető szolgáltatások nem igényelnek magas biztonságú hitelesítést, a rendszer felhasználónévjelszó azonosítást alkalmaz, azonban az elektronikus szolgáltatások számának növekedésével egyre nő a jelen biztonsági szint növelése iránti igény is. A 2004. évi CXL. törvény (Ket.) rögzítette, hogy minden közigazgatási szerv köteles a szolgáltatásait online módon is elérhetővé tenni 2005. novemberétől, és abban az esetben, ha a szolgáltatás személyazonosítást igényel, arra az Ügyfélkapun keresztül van lehetőség.26 Abban az esetben, ha az ügyfél minősített elektronikus aláírással
25
Andreas Poller, Ulrich Waldman, Sven Vowé, Sven Türpe: Electronic identity cards for User Authentication-Promise and Practice, Darmstadt, Germany, 2011, 26 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól
13
rendelkezik, nem köteles az Ügyfélkaput használni, hanem közvetlenül felveheti a kapcsolatot a közigazgatási szervvel.27 Fokozott biztonságú, vagy minősített e-aláírás segítségével a természetes személy is létrehozhat ügyfélkaput egy elektronikus nyomtatvány kitöltésével. Akkor, ha az adott személy nem rendelkezik az említett aláírások egyikével sem, ideiglenesen, 30 napos érvényességi idővel nyithat ügyfélkaput, és ahhoz, hogy véglegesítse, személyesen kell megjelennie az adott hivatalnál. Az ügyfélkapun keresztül történő ügyintézéskor minden esetben személyazonosításra van szükség, amelyet az ügyfél az 1992. évi LXVI. törvényben (a polgárok személyi adat és lakcímének nyilvántartásáról szóló törvény) meghatározottak alapján kiállított, érvényes igazolvánnyal tehet meg.28 Látható tehát, hogy Magyarországon a személyazonosító kártyák nem alkalmasak az online azonosításra, a legfőbb eID eszköz a felhasználónév-jelszó páros, valamint a kevésbé elterjedt elektronikus aláírások. A személyazonosító iratok az ügyfélkapu megnyitására szolgálnak, amelyet az ügyfél egy azonosításra alkalmas dokumentummal igényelhet, tehát nem is feltétlenül a személyi igazolványával, hanem jogosítványával és az útlevelével is megteheti azt. Az ügyfélkapu regisztrációjánál ezen túl szükség van egy e-mail cím megadására is, ami azért szükséges, hogy a rendszerbe ne kerüljön két személy azonos adatokkal. Az ügyfélkapu az alábbi felhasználói adatokat tartalmazza: Név, Születési név, Születési hely és idő, Anyja neve, E-mail cím és Nemzetiség. A regisztrált adatokat ezután összehasonlítják a személyi adat és lakcím nyilvántartásban szereplőkkel. 29 Összegezve, Magyarországon az elektronikus szolgáltatások igénybevételéhez nem létezik egy egységes kártya, amely több funkciót lát el. Személyazonosításra és az eközszolgáltatások
igénybevételére
több
eltérő
mágneskártya
létezik,
amelyek
mindegyike eltérő adatokat hordoz magában. A kártyák kibocsátóinak száma az új szolgáltatások megjelenésével egyre csak nő és a felhasznált technológiák nem összehangoltak, szinte lehetetlen az intelligenskártyák összekapcsolása. A hazai eID rendszerhez való hozzáférést a biztonságosnak egyáltalán nem mondható felhasználó27
eID interoperability for PEGS:Update of Country Profiles study: Hungarian country profile, European Communities, 2009. 28 http://www.posta.hu/static/internet/download/Postai_Agora_Szolgaltatasok_ASZF_5_os_melleklet_2 0140314_elozetes.pdf 29 eID interoperability for PEGS:Update of Country Profiles study: Hungarian country profile, European Communities, 2009
14
jelszó páros biztosítja, amely egyre elavultabbnak számít és ezáltal az adatokat egyre könnyebben szerzik meg jogosulatlan személyek. A biztonságos azonosítás érdekében Magyarországon összevont kártya bevezetésére lenne szükség, vagy új technológiák, például a mobiltelefonokba beépített azonosítók, átvétele lenne célszerű. A távol-keleti országokban már igen elterjedt a „single sign on” jelenség, amely lényege, hogy egy jelszó, vagy ujjlenyomat segítségével férnek hozzá az ügyfelek a szolgáltatásokhoz. Hazánk, illetve maga az Európai Unió azonban sokkal lassabb ütemben fejlődik ezen a területen, melynek oka az, hogy sokkal nagyobb szerepet kap a személy védelme az Unió területén. Ebből kifolyólag előreláthatólag egyhamar nem kerülnek alkalmazásra az egy jelszavas megoldások.30 A következő alfejezetben megvizsgálom az Unió által az elektronikus azonosítás kapcsán megalkotott jogszabályt, valamint hazai szabályozás területen elemzem az elektronikus kártyák kibocsátásáról hozott jogszabálytervezetet, mely nagymértékben hozzájárulhat a magyarországi helyzet normalizálódásához.
1.3. Az e-azonosítás jogszabályi háttere 1.3.1.Az Európai Parlament és a Tanács 910/2014/EU Rendelete
Az elektronikus személyazonosítás területén a legnagyobb probléma jelenleg az online környezet iránti bizalom hiánya az EU tagállamainak részéről. A közigazgatási szervek, a vállalkozások és a magánszemélyek vonakodnak az elektronikus úton történő ügyintézéstől és új szolgáltatások használatától, mivel ezen a területen hiányzik az egységes európai szintű jogi szabályozás, ami jogbiztonsági kérdéseket vet fel. Az Európai Parlament és a Tanács 910/2014/EU rendelete arra hivatott, hogy megteremtse a bizalmat az elektronikus tranzakció szereplői között és ezáltal az Unión belül hatékonyabbá tegye az online szolgáltatásokat, az elektronikus üzletvitelt, ügyintézést és kereskedelmet.31
30
http://hirlevel.egov.hu/2015/01/07/az-egyseges-kartya-es-a-mobil-alkalmazas-a-szemelyazonositasjovoje/ 31 910/2014/EU rendelet preambulum
15
A rendelet az elektronikus azonosítással kapcsolatos rendelkezéseit a 6. cikktől tartalmazza. A rendelkezések értelmében a tagállamoknak bizonyos feltételek teljesülése esetén el kell ismerniük a többi tagállam által alkalmazott elektronikus azonosító eszközt. Ehhez az alábbi feltételeknek kell teljesülniük:
az eszköz a Bizottság által kiadott listában szereplő valamelyik elektronikus azonosítási rendszer része
az érintett közigazgatási szerv által elfogadott biztonsági szintű az eID eszköz
jelentős vagy magas biztonsági szint használata az online szolgáltatásoknál
A rendelkezés célja az elektronikus rendszerek közti átjárhatóság biztosítása azáltal, hogy a kritériumoknak megfelelő eszközöket az EU országai a hazai megoldásokkal egyenrangúnak tekintik. Azonban maguknak az elektronikus rendszereket előzetesen be kell jelenteni a megfelelő hatáskörű Uniós szervnek az elv alkalmazásához. A rendelet ezért tartalmazza azokat a feltételeket is, amelyek teljesülésekor az elektronikus azonosítási rendszerek bejelenthetőkké válnak. Ezen túl azt is előírja, hogy a bejelentő tagállam saját maga is előírhat feltételeket a hitelesítéshez, amelyet ingyenesen kell biztosítani. A tagállamok ezen felül nem írhatnak elő az átjárhatóságot akadályozó eltérő technikai előírásokat. A rendelet három eltérő biztonsági fokozatot állapít meg az elektronikus azonosító eszközök kapcsán. Az „alacsony” biztonsági szintű eID eszköz csupán korlátozott megbízhatósággal képes ellenőrizni egy személy személyazonosságát és használatának célja csupán a személyazonossággal való visszaélés kockázatának csökkentése. A „jelentős” biztonsági szintű azonosító eszköz ennél nagyobb megbízhatósággal igazolja az adott személy által megadott személyazonosságot. A „magas” biztonsági fokozatú eID eszköz az előbbi kettőnél is magasabb védelmet biztosít a személyazonossággal való visszaélések ellen.32 Az azonosító eszközt bejelentő tagállamok kötelesek a Bizottságnak információt szolgáltatni az alábbiakkal kapcsolatban: az azonosítási rendszer leírása, biztonsági szintje, eszköz kibocsátója, felügyeleti szerve…stb., tehát az eszközzel kapcsolatos minden lényeges adatot szolgáltatniuk kell.
32
910/2014/EU rendelet 8.cikk
16
A rendelet a biztonsági intézkedések megsértését is szabályozza, mely alapján a bejelentő tagállamnak kötelessége felfüggeszteni vagy visszavonni a határokon átnyúló hitelesítést abban az esetben, ha a bejelentett e-azonosító rendszert vagy a hitelesítést országok közötti bizalomra hátrányos módon megsértik. Ennek kapcsán a rendelet szabályozza a szándékos és gondatlan károkozásért való felelősség viselését. Látható tehát, hogy a biztonsági intézkedések részletes szabályozása azt a célt szolgálja, hogy a tagállamok közötti bizalmatlanság csökkenjen. A jogszabály két legfontosabb alapelvét a 12. cikkben fogalmazza meg, amely alapján a tagállamoknak törekedniük kell az egymással való együttműködésre és a nemzeti azonosítási rendszereik átjárhatóságára. Ennek megvalósítása érdekében létre kell hozni egy átjárhatósági keretet, amely:
technológiasemlegességre törekszik,
követi az uniós és nemzetközi normákat,
elősegíti az adatvédelem elvének érvényesülését,
az adatokat a 95/46/EK irányelvvel összhangban dolgozza fel
A rendelet azt is meghatározza, hogy ennek az átjárhatósági keretnek milyen elemeket kell magába foglalnia, valamint, hogy a tagállamok közötti együttműködésnek ki kell terjednie: az e-azonosító rendszerekkel kapcsolatos információ, gyakorlat és tapasztalat cseréjére; a biztonsági szintek alkalmazásával kapcsolatos információ cseréjére; a partneri felülvizsgálatra és az eID ágazat fejleményeinek vizsgálatára. 33 Maga a rendelet csak a határokon átnyúló elektronikus azonosítás szabályozását érinti, az azonosító eszközök meghatározása továbbra is a nemzetek hatáskörében marad. A fenti rendelkezéseket összefoglalva megállapítható, hogy a rendelet meg kívánja teremteni az államigazgatási szervek, a vállalkozások és a természetes személyek közötti megbízható és biztonságos online kapcsolattartás szabályait. Növelni kívánja a közszféra és a magánszféra elektronikus szolgáltatásainak számát és hatékonyságát az Európai Unión belül, felismervén az e-azonosítás és hitelesítés tagállamok általi kölcsönös
elismerésének
jelentőségét.
A
tagállamok
kötelesek
elismerni
a
magánszemélyek és vállalkozások azon eID eszközeit, amelyek egy másik tagállam olyan e-azonosítási rendszerének felelnek meg, amely előzetesen be lett jelentve a
33
910/2014/EU rendelet 6-8.cikk
17
Bizottságnál. A tagállamok maguk dönthetik el a rendelet értelmében, hogy a közszolgáltatások igénybevételéhez használt eID rendszerek közül melyiket, vagy melyik részét jelentik be a Bizottságnak, illetve, hogy egyáltalán bejelentik-e azt.34 Az új rendelet további cikkei, melyekre dolgozatom során még kitérek, megállapítják a bizalmi
szolgáltatások
szabályait,
(kifejezetten az
elektronikus
tranzakciókra
vonatkozóan) és jogi alapot teremtenek az elektronikus aláírásoknak, időbélyegzőknek, elektronikus dokumentumoknak és az ajánlott kézbesítési szolgáltatásoknak.35 A továbbiakban ezeket a rendelkezéseket itt nem kívánom részletezni, hanem áttérnék egy elektronikus személyazonosítási eszközök magyarországi szabályozására, nevezetesen az elektronikus-kártya kibocsátási keretrendszerre.
1.3.2. A 2014. évi LXXXIII. törvény az egységes elektronikuskártya-kibocsátási keretrendszerről.
2014. december 11.-én jelent meg a Magyar Közlönyben a 2014. évi LXXXIII. törvény az egységes elektronikuskártya-kibocsátási keretrendszerről. A törvény megalkotása azért volt szükséges, mivel a kártyakibocsátók száma egyre növekedett, míg az azokkal összefüggő fejlesztések nem átjárhatóak, nem kompatibilisek egymással, azaz az átjárhatóság nemzeti szinten sem valósul meg ezen eID eszköz tekintetében. A törvény egy jogi-műszaki keretrendszert (NEK) szabályoz, és meghatározza az e-kártya kibocsátás egységesítésének legfontosabb eljárási, szervezeti és technológiai feltételeit. A törvény rögtön az általános rendelkezések között meghatározza a kártyafelhasználók körét a személyi adat-, és lakcímnyilvántartás segítségével, valamint rögzíti, hogy kártyakibocsátó csak ágazati törvény alapján arra felhatalmazott költségvetési szerv vagy közfeladatot ellátó más szerv lehet. Ezzel szűkíti a kártyakibocsátók körét és pontosan meghatározza, hogy felhasználó mind természetes és jogi személy is lehet.36 A törvény továbbá szabályozza a NEK rendszer működtetőjének hatáskörét is, majd magának az elektronikus kártyának a jogszabályi kritériumaira fekteti a hangsúlyt. A
34
Council of the EU press release : Council adopts electronic identification rules, Brussels, 23 July 2014. ST 1190714 Presse 402 35 910/2014/EU rendelet 36 2014. évi LXXXIII. törvény az egységes elektronikuskártya-kibocsátási keretrendszerről
18
kártya olyan jogosultságot vagy tényt igazol, amely szerződésen, jogszabályon, jogerős határozaton, illetve a kártyakibocsátó önkéntes akarat-elhatározásán alapul, és meghatározott szolgáltatások igénybevételét teszi lehetővé. Elsődleges kártyán túl másodlagos kártyakibocsátásra is lehetőséget teremt a jogszabály, azaz ágazati törvényeknek megfelelő módon egyetlen kártyához ezáltal számtalan funkciót lehet kapcsolni. A hozzárendelhető másodlagos kártyák számát a törvény kártyánként korlátozza, a korlátozás megoldásának technikai hátterét pedig miniszteri rendelet szintjén kívánja meghatározni. Ezzel a megoldással egy kártyához több funkciót kíván csatolni oly módon, hogy lehetőséget ad több, eltérő kibocsátó általi másodlagos kártyák használatára is. Tehát nem egyetlen univerzális kártyát szabályoz.37 Az elsődleges kártyának fizikailag tartalmaznia kell a felhasználó fényképét, teljes nevét, a NEK-re utaló jelzést és egy egyedi sorszámot; elektronikusan pedig a kártya eazonosítóját és a kibocsátójának az azonosítóját. Ezen felül ágazati törvény és a kártyakibocsátó döntése alapján egyéb adatokat is tartalmazhat (pl. születési hely, idő, kibocsátó megnevezése stb.…), valamint lehetőséget biztosít anonim kártya kibocsátására is, melyhez speciális szabályokat rendel. A keretrendszerhez felhasználóként való csatlakozáshoz kártyafelhasználói regisztrációt ír elő a jogszabály, melyet egy országos illetékességű szerv bonyolít le az 1992. évi LXVI. törvényben (Nytv.) meghatározott arcképmás- és aláírás-felvételezésre vonatkozó szabályok alapján. A regisztráció legfeljebb öt évig érvényes az elsődleges kártya vonatkozásában és ez az érvényességi idő a másodlagos kártya tekintetében sem lehet hosszabb. Ez azt is jelenti, hogy amint az elsődleges kártya érvényét veszti, úgy a másodlagos kártya is érvénytelenné válik. A kártya érvénytelené válik az alábbi esetekben:
a kibocsátó kártya-kibocsátási jogosultságának megszűnése,
érvényességi idő lejárta,
a felhasználó általi kártyaletiltás,
felhasználói adatok NEK-ből való törlése,
a kibocsátó általi érvénytelenítés.
37
http://www.origo.hu/jog/lakossagi/20141019-jovo-nyartol-lehet-az-egyseges-elektronikus-kartyakibocsatasi-rendszer.html
19
A jogszabály részletesen tartalmazza a működtető által vezetett NEK központi nyilvántartást (amely tartalmazza a felhasználókhoz tartozó kártyák és a kibocsátók adatait), valamint az adatvédelmi követelményekre vonatkozó részletszabályokat. A központi nyilvántartásban minden esetben fel kell tűntetni a kártyával kapcsolatos módosításokat, illetve azok törlését, melynek esetei a javaslat hetedik alcíme alatt kerültek szabályozásra. „ A kártyakibocsátó a működtetővel kötött szerződés, vagy hatósági szerződés alapján veheti igénybe a NEK szolgáltatásait, és teljesíthet szolgáltatásokat a NEK-en keresztül a kártyaelfogadó, kártyafelhasználó és egyéb szereplő részére.”38 Ezek alapján minden esetben szükséges egy szerződés (melynek egyes elemeit ágazati törvény határozhatja meg) a kibocsátó és a működtető között, azaz a kibocsátó nem veheti közvetlenül igénybe az egységes keretrendszer szolgáltatásait. Maga a keretrendszer nem is a közvetlen kártyakibocsátás és felhasználás feltételeit próbálja megteremteni, hanem egy jogi illetve műszaki rendszer felállításával kívánja megvalósítani azokat a technológiai, eljárási és szervezeti alapokat, amelyek elősegítik az egységes elektronikus kártyakibocsátást. A kártyakibocsátókat a szolgáltatások igénybevételéért díjfizetési kötelezettség terheli, melynek kiszámítási alapját a működtető teszi közzé oly módon, hogy az nem tartalmazhat olyan önkényes megkülönböztetést, amely egyes kibocsátóknál aránytalan hátrányt okoz. Abban az esetben, ha a kártyakibocsátó kibocsátási jogának alapja hatósági döntés, a kibocsátás engedélyezéséről a működtető kérelemre 60 napon belül hatósági eljárás keretében dönt. Biztonsági okmány esetében ezt az eljárást egy hatósági engedélyezési eljárás előz meg. A törvény taxatíve felsorolja a kibocsátási kérelem tartalmát és az engedély megadásának eseteit és szabályozza a kártyakibocsátás feltételeit. A kártya olyan személy részére bocsátható ki, aki regisztrációval rendelkezik és egyedi kérelmet nyújtott be, vagy a kártya kibocsátását ágazati törvény rendelte el. A kérelem benyújtásához nélkülözhetetlen kártyaigénylő lap tartalmi elemeit a törvény taxatíve rögzíti.
A
működtető
a
kérelem
beérkezése
után
adatigénylést
indít
a
kártyakibocsátáshoz szükséges felhasználói adatok vonatkozásában, melyet a személyi adat- és lakcímnyilvántartás adatkezelője köteles megküldeni a működtetőnek. Az így szerzett adatokat a minősítő összeveti a kártyakibocsátó által átadott adatokkal, és ha 38
2014. évi LXXXIII. törvény 13.§
20
eltérést fedezd fel, úgy azt jelenti a kártyakibocsátónak. Ez egy kiemelkedően fontos része a megszemélyesítési folyamatnak, amely befejeztével a folyamatot végző megküldi a kártyafelhasználó (esetlegesen módosított) adatait a működtető illetve a kibocsátó
számára,
majd
azokat
a
működtető
rögzíti
a
NEK
központi
nyilvántartásában.39 A kártyaelfogadó az e-kártya leolvasásakor hozzáfér a NEK nyilvántartásában rögzített érvényességgel kapcsolatos adatokhoz majd az érvényesség megállapítása esetén a kibocsátó hozzáfér a felhasználói jogosultságot tartalmazó adatokhoz is. A törvény alapján megállapítható, hogy Magyarország felismerte a fennálló kártyakibocsátási rendszer hibáit és törekszik azok orvoslására. Nem valósítja meg az összevont, egységes, többfunkciós elektronikus kártya sémáját és továbbra is szakágazati személyazonosító kártyákat szabályoz. A jogszabály célja nem is egy multifunkciós elektronikus személyazonosító irat megteremtése, illetve szabályozása, hanem magának az elektronikus kártyáknak a kibocsátására vonatkozó feltételek szabályozása.
39
2014. évi LXXXIII. törvény 16-17.§
21
2. Az elektronikus aláírás 2.1.Az elektronikus aláírás fogalma Az információs társadalom kiépítésének következtében az elektronikus kommunikáció a XXI. századra szinte teljesen felváltotta a papír alapút, egyre szélesebb körben terjedt el az elektronikus ügyintézés az államigazgatásban, a kereskedelemben és az élet szinte minden területén. Ennek köszönhetően nőtt az elektronikus okiratok használata, hiszen az online világban, különösen az interneten zajló magán, kormányzati és üzleti információcsere legalapvetőbb feltétele a biztonság megteremtése. Ezen kívül az elektronikus kereskedelem fejlődéséhez elkerülhetetlen a sérthetetlenség és hitelesség biztosítása, hiszen ezen kritériumok teljesítése nélkül nem teremthető meg az a jogi környezet, amelyben, a térben egymástól távol tartózkodó partnerek biztonságos feltételek mellett köthetnek jogügyleteket.40 Ennek a biztonságos környezetnek a megteremtését szolgálja az elektronikus aláírás technológiája és jogi háttere, amely egyben azt is jelenti, hogy elválaszthatatlanul kapcsolódik az elektronikus dokumentumokhoz. Az elektronikus dokumentumok elterjedésének előnye életünk számos területén megmutatkozik, gyorsabbá vált általa az iratkezelés, hatékonyabbá az ügyintézés és az üzleti élet, valamint papírtakarékosság szempontjából is előnyösnek bizonyult. Ezek a tulajdonságai azonban nem elegendőek ahhoz, hogy a papír alapú okiratokhoz hasonlóan olyan bizonyítási eszközzé váljon, amely a benne foglalt tények, adatok és nyilatkozatok valóságát bizonyítja. „Elektronikus dokumentum alatt elektronikus eszköz útján értelmezhető adategyüttest”41 kell értenünk, ami alapján látható, hogy önmagában nem elég ahhoz, hogy az abba foglaltak hitelességének kellő biztonságot adjon. Ahhoz, hogy az online környezetben létrejött dokumentum alkalmas legyen arra, hogy a papír alapú okiratokkal megegyező joghatásokat váltson ki, rendelkeznie kell ezen okiratok olyan tulajdonságaival, amelyek bizonyító erejük megállapításához szükségesek. Ezek a
40
Dr. Harsági Viktória Elektronikus okiratok, elektronikus aláírás, Magyar jog , 2001. (48. évf.), 11.sz. 2001. évi XXXV. törvény az elektronikus aláírásról 2.§ 12.8 Elektronikus dokumentum: elektronikus eszköz útján értelmezhető adategyüttes. 41
22
tulajdonságok
az
azonosíthatóság,
a
hitelesség,
a
sértetlenség,
valamint
a
letagadhatatlanság. Az azonosíthatóság azt jelenti, hogy az okirat és annak aláírója azonosítható, tehát kizárólagosnak kell lennie. A hitelesség annak igazolására szolgál, hogy a nyilatkozat attól a személytől származik, aki az okiratból kitűnik, aki valóban a nyilatkozatot tette. A sértetlenség azt bizonyítja, hogy az okirat aláírása után nem lett módisítva, tartalmát nem változtatták meg. A letagadhatatlanság pedig annak igazolására szolgál, hogy a nyilatkozatot az okirat aláírója valóban megtette, és a benne foglaltakat magára nézve kötelezőnek ismerte el.42 A hagyományos okiratok esetében az aláírásnak, vagy annak az elismerésének, illetve az ellenjegyzésének meghatározó szerepe van abból a szempontból, hogy hozzá a hitelesség törvényi vélelme kapcsolódik, azaz aki a jogszabályoknak megfelelően elkészített egy okiratot és azt megfelelően ellátta aláírásával, annak az akarata - az ellenkező bizonyításáig - megegyezik az okiratban foglaltakéval.43 Ezeket minősített okiratoknak nevezzük, amely kategóriába tartozik a közokirat és a teljes bizonyító erejű magánokirat, melyek biztonságát az adja, hogy bizonyos törvényben lefektetett előírásoknak megfeleltek, azaz az iratot a nyilatkozó maga írta, és írta alá, az okiratot közjegyző, vagy más hatóság állította ki, a dokumentumot ügyvéd szerkesztette stb.44 Az elektronikus dokumentumok esetében azonban a nyilatkozat tartalmának megváltoztatása nem ütközik nehézségekbe. Ezért az okiratként elfogadott elektronikus iraton olyan aláírásnak kell szerepelnie, ami biztosítja számára az okiratokra - a fentiekben említett - jellemző négy nélkülözhetetlen tulajdonságot. Tehát az elektronikus okiraton szereplő elektronikus aláírásnak a dokumentum jogi és technológiai védelmére egyaránt megoldást kell kínálnia. A védelmet a technológia oldalán az információ elektronikus aláírással történő titkosítása és az aláírás hitelesítése jelenti, míg jogi oldalon az elektronikus aláírás a hagyományos aláírással egyenrangúnak való elismerése, valamint az ezekkel kapcsolatos jogi felelősségi rendszer megléte jelenti.45
42
Balogh Zsolt György Az elektronikus aláírás technológiai alapjai, Ünnepi tanulmányok Prof. Dr. Kalas Tibor egyetemi tanár oktatói munkásságának tiszteletére, Z-Press Kiadó, Miskolc, 2008. 43 Kohány András Elektronikus aláírás, AULA Kiadó, 2002 44 A polgári perrendtartásról szóló 1952. évi III. törvény (Pp.) 195. és 196. §§. 45 Kodricz Péter – Tímár András Az elektronikus kereskedelem jogi kérdései 120. old.
23
Az elektronikus aláírásnak azonban több kategóriája létezik, az előbb említett a teljes bizonyító erejű magánokirathoz szükséges aláírást jelenti, azonban léteznek más, kisebb biztonságot nyújtó elektronikus aláírások is. Az elektronikus aláírás fogalma ezek alapján igen tágnak tekinthető. Mégis, ha egy általános fogalmat próbálnánk alkotni az azt szabályozó Uniós irányelv és a magyar törvény alapján, azt mondhatjuk, hogy egy olyan technológia független adatról, vagy dokumentumról van szó, amely utal legalább az aláíró személyére, de sok esetben a dokumentum tartalmára is (eltérő bizonyossági fokokban), és az elektronikusan előállított adathalmazhoz logikailag hozzá van rendelve és azzal elválaszthatatlanul össze van kapcsolva.46
2.2. Az elektronikus aláírás működése, típusai
Mint azt az előbbiekben már említettem, a magyar szabályozásnak és az Európai Unió elektronikus aláírásról szóló irányelvének megfelelően az elektronikus aláírás fogalmi meghatározása alá eltérő biztonságot nyújtó aláírások sorolhatóak. A következőkben ezeket az aláírás típusokat és működési technikákat fogom elemezni. Az első kategóriába az egyszerű elektronikus aláírások tartoznak. Az ebbe a csoportba tartozó aláírások semmilyen technológiai biztonságot nem nyújtanak, az aláíró személyét csak alig határozzák meg, a dokumentum tartalmára pedig egyáltalán nem utalnak. Akár úgy is fogalmazhatnánk, hogy ezek az adatok szó szerint „elektronikusak” és „aláírások”. Ez alatt az aláírás olyan formáira kell gondolnunk, mint amikor valaki egy dokumentum végére beírja a saját nevét, vagy a saját aláírását szkenner használatával digitális formájúvá alakítja, és azt helyezi a nyilatkozata aljára. Ugyancsak ebbe a kategóriába sorolandó az, amikor valamilyen személyazonosításra alkalmas azonosítót, mint például személyi számot, TAJ számot, vagy akár adószámot helyezünk az elektronikus dokumentumba. Mint láthatjuk, ezek az adatok megfelelnek a fent említett fogalomnak, hiszen elektronikusak, aláírások és kapcsolódnak a dokumentumhoz is. Azonban az is egyértelműen kitűnik ezeknél a technikáknál, hogy
46
Az Európai Parlament és a Tanács az elektronikus aláírásról szóló 1999/93/EK irányelve 2. cikkely 1. pontja, valaint az elektronikus aláírásról szóló 2001. évi XXXV. törvény 2.§ 6. pontja alapján
24
nem azonosítják egyértelműen az aláírót, hiszen bárki odahamisíthatja azokat a dokumentumra, amiből az következik, hogy a dokumentum sértetlenségében sem lehetünk biztosak. Ezek alapján logikus, hogy az így aláírt dokumentumok bizonyító ereje igen csekély. Az aláírások másik csoportját a technológiai biztonságot is garantáló elektronikus aláírások képezik. Ide a kriptográfiai módszerrel, vagyis titkosítás útján digitális jelsorozatot létrehozó elektronikus aláírások tartoznak. Ezek úgy működnek, hogy a dokumentumot egy algoritmus segítségével, azaz egy úgynevezett titkosító kulccsal rejtjelezik. Az így előállított jelsorozatot nevezzük elektronikus aláírásnak, amit létrehozatala után hozzácsatolunk az adott dokumentumhoz. Ez az adatsorozat alkalmas arra, hogy kimutassa a dokumentumban az aláírása után történt változtatásokat, így képes biztosítani az irat egységességét. Annak elérésére, hogy az előbb említett magas biztonságot nyújtó elektronikus aláírást hozzunk létre, különböző technikák ismertek. Ezek közül a legismertebbeket és legelterjedtebbeket mutatom be részletesen, mégpedig a szimmetrikus kulcsú, az aszimmetrikus kulcsú, illetve a hibrid technikákat. A szimmetrikus, vagy titkos kulcsú technikák esetében az aláíró és a címzett is ismeri a kulcsot, amely alapján az üzenetet titkosították, és amelyet a dokumentum visszafejtésére ugyancsak felhasználtak. A titkos kulcs annyi személy számára ismert, ahány személy számára a dokumentumot el kívánja küldeni. Bár ez a módszer biztosítja az irat sértetlenségét, minél több személy szerez tudomást a használt kulcsról, annál nagyobb az esélye annak, hogy az illetéktelen harmadik személyhez kerül, aki azzal jogosulatlanul visszaélhet. Ilyen esetben bárki más nevében köthet jogügyleteket és tehet nyilatkozatokat, amely a törvény alapján ugyan semmisnek minősül, azonban alkalmas arra, hogy másoknak jelentős kárt okozzon. Az aszimmetrikus, vagy nyilvános kulcsú technikát alkalmazó eljárások esetében két kulcs létezik, egy magánkulcs, amit titokban tartanak, illetve egy nyilvános kulcs, amelyet nyilvánosságra hoznak. Ennél a technikánál a biztonságot az garantálja, hogy a magánkulccsal titkosított dokumentumot csak a nyilvános kulccsal lehet visszafejteni és ugyanígy fordítva, azaz, ha valaki nyilvános kulccsal vissza tud fejteni egy iratot, akkor az azt jelenti, hogy az adott dokumentumot a nyilvános kulcshoz tartozó magánkulccsal 25
írhatták csak alá. Tehát ebben az esetben a magánkulcsot csak a titkosító ismeri, míg a nyilvános kulcs mindenki számára hozzáférhető. A nyilvános kulcsot egy harmadik személy hitelesítésszolgáltató útján teszi közzé, ami ezen kívül őrzi a magánkulcs tulajdonosának adatait és erről a címzett kérésére tanúsítványt állít ki. Ezzel a módszerrel megvalósul az okirat sértetlenségének és azonosíthatóságának kritériuma is. Ennek a hátránya, hogy a titkosítás folyamata sokkal lassabb, mint a szimmetrikus kulcsú technika esetében, ezért gyakorlatban legtöbbször a két eljárás vegyített változatát alkalmazzák, az ún. hibrid rendszereket. A hibrid aláírásoknál a dokumentumot egy átlagos, egykulcsú technikával titkosítják, azaz digitális lenyomatot állítanak elő, majd az így létrejött jelsorozatot a kizárólag az aláíróra jellemző titkos kulccsal tovább titkosítják. Ez a jelsorozat személyenként és iratonként eltérő, mivel függ a dokumentum tartalmától és az aláíró titkos kulcsától is. A címzett a dokumentumhoz kapcsolt elektronikus aláírást a nyilvános kulccsal fejtheti vissza, amit követően az elektronikus dokumentum szabványos algoritmus útján titkosított eredeti formájához jut hozzá. Ezek után a címzett is titkosítja a dokumentumot a szabványos algoritmus alapján, és az így kapott számsorozatot összehasonlítja az aláírás visszafejtése után kapott számsorral. Abban az esetben, ha a két sorozat megegyezik, látható, hogy a dokumentumot az aláírása óta nem módosították. Tehát ennél a technikánál a dokumentumot először a szimmetrikus rendszer szerint titkosítják, majd az így kapott számsorozatot az aszimmetrikus kulcsot használó eljárás alapján tovább titkosítják. 47
2.3. Az elektronikus aláírás fejlődése A történelem során eltérő kultúrák számos, a hitelesítésre szolgáló eszközt és módszert alkalmaztak,
többek
között
rováspálcát,
az
információ
nyilvánossá
tételét,
pecsétnyomót, pecsétgyűrűt. Az írástudás elterjedésével egyidejűleg jelent meg a dokumentumok aláírással történő hitelesítése. Az aláírás hozzákapcsolódik a dokumentumhoz, és egyedileg jellemző az aláírást készítő személyre. 48 A világ és a társadalom változásával - melynek következtében az elektronikus információcsere 47
Kohány András Elektronikus aláírás –részlet: Budai Balázs Bence E-Government, avagy kormányzati és önkormányzati kihívások az on-line demokrácia korában,98-100. oldal, AULA kiadó, 2002, 48 Dr. Berta István Zsolt Nagy E-szignó könyv, amit az elektronikus aláírásról tudni akartál, csak féltél megkérdezni, Microsec Kft., 2011.
26
szinte teljesen felváltotta a papír alapút - felmerül az igény a hitelesítés egy egyszerűbb, kényelmesebb formájának bevezetésére. Ezen igény kielégítésére a legalkalmasabb eszköz az elektronikus aláírás. Az elektronikus aláírás hírnökeként tekinthető a Hampshirei Legfelsőbb Bíróság által 1869-ben a Howley kontra Whippley ügyben megállapított iránymutatása, mely alapján „Nincs különbség aközött, hogy a (távíró) operátor a megbízó jelenlétében és annak kifejezett utasítása alapján egy acéltollal, ami egy ujjnyira van rögzítve egy hétköznapi tolltartóhoz, vagy egy ezer mérföld hosszú rézkábel „tollal” írja az ajánlatot, vagy az elfogadványt. Mind két esetben a gondolat a tollat tartó kéz által továbbítva lesz a papírra, az se jelent különbséget, hogy míg az egyik esetben közönséges jegyző tintát alkalmazva, míg a másik esetben egy árnyaltabb folyadékot, ez elektromosság néven ismert eszközt használja ugyanazon tevékenység elvégzésére.”49 Látható, hogy már ekkor, ebben a döntésben nem kívántak különbséget tenni a kézzel írott, illetve az elektronikus aláírás között, ha ugyanazt a célt szolgálta mind a kettő. Az elektronikus aláírás mindennapi alkalmazásának lehetőségét azonban a fax elterjedése teremtette meg. Az 1980-as években számos cég használta a faxgépet a nagy fontosságú vagy határidős dokumentumok továbbításának egyik alternatívájaként. Amikor az első fax útján továbbított szerződést aláírták, megteremtették az elektronikus aláírás alapját. Ez azonban nem azt jelenti, hogy a mai értelemben vett elektronikus aláírás csupán egy beszkennelt kézzel írott aláírás lenne. A technológiai fejlődés során az e-szignó a kódolás egy speciális változatává alakult. Ahogyan minden ember aláírása magában hordozza a kizárólagosan az adott személyre jellemző jegyeket, ugyanúgy az elektronikus aláírás esetében sem találkozunk két azonos kódolással. Ahhoz, hogy elektronikusan írhassunk alá, saját ún. aláírás-létrehozó adatra (magánkulcsra) van szükségünk, amely alapján az adott dokumentumot kódoljuk. Ez az aláírás-létrehozó adat nem csak személyenként, de nyilatkozatonként is eltér, megelőzvén annak lehetőségét, hogy a magánkulcs más általi megszerzésével a tulajdonos nevében bárki más hitelérdemlően jognyilatkozatot tegyen. Tehát, ha egy bűnöző átmásolja valakinek az elektronikus aláírását egy másik dokumentumra, látható lesz, hogy az aláírás nem e 49
The Electronic Signatures in Global and National Commerce Act, Heath W. Hoglund, From the Bar, Fall 2000, Issue No. 28. "It makes no difference whether [the telegraph] operator writes the offer or the acceptance in the presence of his principal and by his express direction, with a steel pen an inch long attached to an ordinary penholder, or whether his pen be a copper wire a thousand miles long. In either case the thought is communicated to the paper by the use of the finger resting upon the pen; nor does it make any difference that in one case common record ink is used, while in the other case a more subtle fluid, known as electricity, performs the same office."
27
másik dokumentumhoz tartozik. Egyben az is megállapítható, hogy a digitális aláírás sem egyezik az elektronikus aláírás meghatározásával, ugyanis míg az előbbi egy olyan technológiát jelöl, amely aszimmetrikus kriptográfiai eszközöket használ, addig az utóbbi a technológia mellett jogi fogalmat is jelent. Ebből következik, hogy szoros tartalmi kapcsolat áll fenn köztük, mivel minden digitális aláírás egyben elektronikus aláírás is, de fordítva ugyanez nem mondható el.50 Az elektronikus aláírások alkalmazása 1990 körül érte el azt a mértéket, amely szükségessé tette annak jogi szabályozását európai szinten is. Ennek megfelelően 1999 decemberében elkészült az Európai Unió 93/1999 irányelve az elektronikus aláírás közösségi kereteiről. Magyarországon már 1997-ben voltak szabályozási törekvések, de az akkori kormányhatározat tervezete a kormányváltás miatt nem tudott érvényesülni. 1998-ra megjelentek az elektronikus iratok alapelvei, melyek alapján napvilágot látott a Törvénytervezet az elektronikus okiratok jogi hatályáról. Az 1999-es irányelv implementálását szolgáló hazai törvény tervezete háromszor került előterjesztésre, míg végül 2001 májusában kiadásra került az elektronikus aláírásról szóló 2001. évi XXXV. törvény. Érdemes megemlíteni a 2002 áprilisában megjelent 2/2002 MeHVM irányelvet a minősített szolgáltatókra és a biztonsági követelményekre vonatkozó elvárásokról, amely
egyedülállónak
tekinthető
az
elektronikus
aláírás
magyarországi
szabályozásában, mivel az Uniós irányelvvel ellentétben ez nem volt kötelező erejű, azonban ha azt valamely minősített szolgáltató vállalta, és igazoltan betartotta az előírásait, akkor a hatóság részéről kötelezően vélelmezve volt annak megfelelősége. Ezt követően 2003. március 20-án megjelent Magyarország első minősített hitelesítésszolgáltatója, a Netlock Kft, melyet később követett többek között a MÁV Informatika Zrt. és a Magyar Telekom is. 2007-ben a Microsec Kft. a világon elsőként elindította minősített archiválás szolgáltatását, amely megteremtette az elektronikusan aláírt dokumentumok hosszú távú megőrzésének feltételeit, és amely alapján 2007 decemberében megjelent a 114/2007. (XII.29.) GKM rendelet a digitális archiválás szabályairól. Mindezen változásokat követően az Európai Unió 2008-ban megjelentette az elektronikus aláírásról és az elektronikus azonosításról szóló Cselekvési tervét annak érdekében, hogy megteremtse a közigazgatás internetes jelenlétét és emellett lehetővé 50
Információs Társadalomért alapítvány biztonságmenedzsment kutatócsoport – Erdősi Máté, CISA – Elektronikus hitelesség, PKI rendszerek alkalmazási feladatai tömegméretekben; 2009. június 11.
28
tegye, hogy az állampolgárok és a vállalkozások a közigazgatással elektronikus úton, határokon átnyúló módon kommunikálhassanak. Ezen túlmenően 2009-ben ugyancsak kiadásra került a 2009-2013-as időszakra szóló az európai e-igazságszolgáltatással kapcsolatos többéves cselekvési terv, melyben az elektronikus aláírás, mint elsajátítandó digitális technika szerepel. Mivel az elektronikus aláírás nem váltotta be a hozzá fűzött reményeket, az Európai Unió felismerte, hogy a korábban hozott irányelv nem megfelelő mértékben járul hozzá e jogintézmény terjedéséhez és 2014-ben új rendeletet alkotott, a 910/2014/EU rendeletet a belső piacon történő elektronikus tranzakciókról, mellyel hatályon kívül helyezte az 1999/93/EK irányelvet és kibővítette az e-szignó alkalmazási területeit.
29
2.4. Az elektronikus aláírás jogi háttere 2.4.1.Az Európai Unió 1999/93/EK irányelve
Az Európai Parlament és a Tanács 1999. december 13-án fogadta el irányelvét az elektronikus aláírásra vonatkozó közösségi keretfeltételekről, amely kötelezi a tagállamokat, hogy legkésőbb 2001. július 19-ig a rendelkezései alapján szabályozzák az elektronikus aláírások használatát, vagy ha már létezik meglévő tagállami szabályozás az adott tárgyterületen, akkor teremtsék meg az összhangot a saját szabályozásuk és az irányelv rendelkezései között. Az irányelv áttekintése azért lényeges, mert a magyar szabályozás jelentős része ezen alapul, és bár az irányelvet 2014-ben hatályon kívül helyezték, az új rendelet csak 2016-ban fog hatályba lépni. Az irányelv rendelkezései alapvetően két csoportra oszthatók. Az első csoportba sorolhatók azok a rendelkezések, amelyek az árukra és szolgáltatásokra, konkrétan az elektronikus aláírási termékek és a hitelesítés szolgáltatók által nyújtott szolgáltatásokra vonatkoznak, és az Unión belüli szabad mozgásukat, illetőleg a fogyasztók érdekeinek védelmét hivatottak biztosítani. A másik csoportba pedig azok a rendelkezések tartoznak, amelyek az elektronikus kereskedelemben rejlő lehetőségek kihasználása érdekében az elektronikus aláírások jogi elismerésére kötelezik a tagállamokat. Maga az irányelv célja egy egységes keretrendszer megteremtése az elektronikus aláírás használatához és a hitelesítésszolgáltatásokhoz annak érdekében, hogy ezek megfelelően működhessenek a belső piacokon. Az irányelv határozza meg azokat az alapelveket, amelyek segítséget nyújtanak a tagállamoknak a saját, elektronikus aláírásról szóló törvényeik megalkotására. Ezek közül legfontosabbak:
A technológiai függetlenség elve, mely értelmében az irányelv nem szabja meg a tagállamok számára, hogy az elektronikus aláírással kapcsolatosan milyen technikát alkalmazhatnak
Az elektronikus aláírások jogi elismertségének értelmében a minősített elektronikus aláírás a saját kezűleg tett aláírásnak megfelelő jogi elismertséget kell élveznie, és bármely tagállam hitelesítés-szolgáltatója által elfogadott aláírást a többi tagállamnak is el kell ismernie 30
Az elektronikus aláírások bizonyító ereje a bírósági eljárásokban azonos a kézzel írott hagyományos iratokéval.
Az irányelv részletes fogalom meghatározást tartalmaz, amely az irányelvvel összhangban lévő, könnyebb nemzeti jogszabályalkotást szolgálja. Az irányelv megadja az elektronikus aláírás általános fogalmát, amely magába foglalja az egyszerű elektronikus aláírásokat is, amelyek okiratok hitelesítésére egyáltalán nem alkalmasak. Az irányelv alapján elektronikus aláírásnak minősül az olyan elektronikus adat, amely más elektronikus adathoz van csatolva, illetve logikailag hozzárendelve, és amely hitelesítésére szolgál.51 Az itt található fogalmakból egyértelműen kitűnik, hogy a jogalkotó alapvetően a nyilvános kulcsú, vagy legalábbis az azon alapuló hibrid technikák alkalmazását szolgalmazza. Az aláírások hitelességével kapcsolatban az irányelv rögzíti az egyik legfontosabb alapvetését, amely értelmében az elektronikusan aláírt dokumentum hiteles bizonyítékként való elismerése nem tagadható meg azon az alapon, hogy elektronikus formában létezik, vagy nem minősített tanúsítványon alapul, vagy
nem
olyan
minősített
tanúsítványon
alapul,
amelyet
minősített
hitelesítésszolgáltató bocsátott ki, illetve amely nem biztonságos aláírás-készítő eszközzel készült.52 Az itt megfogalmazott elv az elektronikus aláírások uniós szintű elismerését szolgálja, valamint azok használatát ösztönzi. Ez a rendelkezés azonban nem azt jelenti, hogy a bizonyítási eljárásokban a hitelesség mérlegelése kizárt lenne. Az irányelv nem csak egy általános fogalmat alkot az e-aláírásokról, hanem meghatározza az aláírások azon típusait- a fokozott biztonságú elektronikus aláírásokat - is, amelyek alkalmasak az okirat hitelesítésére.53 Ezeknek a közös jellemzőik, hogy:
kötöttek magához az aláíróhoz
alkalmasak az aláíró azonosítására
olyan eszközzel készültek, amely kizárólagosan az aláíró ellenőrzése alatt áll
úgy kapcsolódik a hitelesítendő adatokhoz, hogy azok későbbi módosítása kimutatható.
51
Az Európai Parlament és a Tanács 1999/93/EK irányelve 2. cikk (1) „Data in electronic form which are attached to or logically associated with other electronic data and which serve as a method of authentication.” 52 Kohány András Elektronikus aláírás –részlet: Budai Balázs Bence E-Government, avagy kormányzati és önkormányzati kihívások az on-line demokrácia korában,104. oldal, AULA kiadó, 2002 53 „Advanced electronic signature”, amely magyar megfelelője a minősített elektronikus aláírás
31
Az irányelv rögzíti továbbá azt is, hogy mit értünk aláírás-létrehozó adat és az azt ellenőrző adat fogalma alatt. Ennek értelmében aláírás-létrehozó adatnak minősül az „olyan egyedi adat, amelyet az aláíró elektronikus aláírás létrehozásához használ,”54 az ellenőrző adat pedig az a nem egyedi „adat, amelyet az elektronikus aláírás ellenőrzésére használnak.”55 Mindkét esetben jellemzően valamilyen kód vagy kriptográfiai
nyilvános
kulcs
alkalmazása
történik,
tehát
a
két
fogalom
meghatározásával az irányelv az egyszerű e-aláírásnál magasabb biztonsági szintű aláírás használatát szolgalmazza. A két meghatározásból az is tisztán kitűnik, hogy az irányelv (mint már fentebb említettem) a nyilvános kulcsú titkosítást preferálja annak a megengedésével, hogy mind az aláírás-létrehozó, mind az azt ellenőrző adat bármilyen kód lehet, amellyel nyitva hagyja a lehetőséget a technológia független szabályozásra. Ez nem jelenti azt azonban, hogy a tagállamok bármilyen technikán alapuló elektronikus aláírást alkalmazhatnak, mivel az irányelv megköveteli az olyan elektronikus aláírás használatát, amely legalább az aszimmetrikus technikák biztonságával rendelkezik. Az irányelv az elektronikus aláírást előállító eszközök kapcsán két kategóriát jelöl meg, az aláírás-létrehozó eszközt,56 és a biztonságos aláírás-létrehozó eszközt.57 Az utóbbi fogalom meghatározására azért van szükség, mert az aláírás-létrehozó eszközökhöz bárki hozzá juthat és megalkothatja az aláíráshoz szükséges kulcsokat, de mindez különböző szabványok és módszerek szerint történik és ez által nem minden esetben alkalmasak az okiratok hitelesítésére. Ezzel szemben az olyan biztonságos elektronikus aláírás-létrehozó eszközök, amelyeknek az ismérveit az irányelv tartalmazza, megfelelnek az okiratok hitelességének garantálására. Az irányelv az alábbi kritériumokat határozza meg a biztonságos aláírás-létrehozó eszközök kapcsán:58
Megfelelő műszaki és eljárási módokat kell alkalmazniuk
54
1999/93/EK irányelv 2. cikk, 4. pont: "signature-creation data" means unique data, such as codes or private cryptographic keys, which are used by the signatory to create an electronic signature 55 1999/93/EK irányelv 2. cikk, 7. pont: "signature-verification-data" means data, such as codes or public cryptographic keys, which are used for the purpose of verifying an electronic signature 56 1999/93/EK irányelv 2. cikk, 5. pont: "signature-creation device" means configured software or hardware used to implement the signature-creation data 57 1999/93/EK irányelv 2. cikk, 6. pont: "secure-signature-creation device" means a signature-creation device which meets the requirements laid down in Annex III 58 Lásd bővebben: 1999/93/EK irányelv III. számú melléklet
32
Garantálniuk kell az aláírás-létrehozó adat egyediségét, tehát azt, hogy az adat csak egyszer jöhessen létre, és annak titkosítása megfelelő mértékben legyen biztosítva
Az aláírás-létrehozó adat nem lehet kikövetkeztethető és a jelenleg létező technológiák alkalmazásával meg kell tudni védenie az aláírást az esetleges hamisítástól
Az aláírás-létrehozó adatokat jogszerűen alkalmazó személyen kívül más számára azok nem lehetnek hozzáférhetőek
Az aláírás-létrehozó eszközök nem módosíthatják az aláírandó adatokat és nem akadályozhatják az adatok aláíró általi megismerését.
Ezekkel a feltételekkel a jogalkotó a magánkulcs titkosságát, egyediségét és az aláírás hamisíthatatlanságát védi. Az aláírás-ellenőrző eszközre az aláírás-létrehozó eszközhöz hasonlóan ugyancsak egy általános fogalom-meghatározást ad az irányelv és nem követeli meg az aláírásellenőrző adat egyediségét, amely következtében egy magánkulcsnak több nyilvános kulcsa is lehet, vagy éppen fordítva. Ez akadályozhatja az ellenőrző eszköz funkcióját, amely nem más, mint az aláírás visszafejtése a nyilvános kulcs alapján, és annak megállapítás, hogy a dokumentumot módosították-e az aláírás óta. Ennek következtében ugyancsak megnehezül az aláíró azonosítása. Az aláírás-ellenőrző eszköz előbb említett hátrányai azonban egyes esetekbe, főleg a közigazgatásban, az eszköz előnyét is jelenthetik. A probléma megoldására az irányelv a tagállamok és a Bizottság együttműködését mondja ki olyan aláírás-ellenőrző eszközök alkalmazásának előmozdításánál,
amelyek
megfelelnek
a
IV.
számú
mellékletben
szereplő
ajánlásoknak.59 Az irányelv kifejezetten nem mondja ki, de rendelkezéseiből kiderül, hogy a szimmetrikus technikákat alkalmazó rendszerek nem alkalmasak az okiratok hitelesítésére, ahhoz legalább az aszimmetrikus, illetve az ezen alapuló hibrid rendszerek szükségesek. A hitelesítést ezek a rendszerek a hitelesítésszolgáltató személyén keresztül biztosítják. A hitelesítésszolgáltató „olyan intézmény, illetve természetes, vagy jogi személy, aki, illetve ami tanúsítványokat bocsát, ki vagy egyéb,
59
Lásd bővebben: 1999/93/EK irányelv IV: számú melléklet
33
elektronikus aláírásokhoz kapcsolódó szolgáltatásokat nyújt.”60 Ez a gyakorlatban azt jelenti, hogy az aláíró által magánkulcs használatával aláírt elektronikus dokumentumot a hozzá tartozó kulcspár, a nyilvános kulcs segítségével lehet visszafejteni, tehát ez alapján lehet ellenőrizni az okirat hitelességét. Az irányelv által bevezetett hitelesítésszolgáltató őrzi a kulcspár nyilvános felét, valamint a magánkulcs tulajdonosának személyes adatait, és a kérésére a publikus kulcsot bármely címzettnek megadja, a hozzá tartozó személyes adatokról pedig tanúsítványt állít ki. Ez azt is biztosítja, hogy a címzett kellőképpen megbizonyosodjék a kulcspár tulajdonosának kilétéről. A fent említett tanúsítvány alatt az alábbi meghatározását kell értenünk: „olyan elektronikus igazolás, amely az aláírás-ellenőrző adatot egy meghatározott személyhez kapcsolja, és igazolja e személy személyazonosságát.”61 Amint láthatjuk, maga a tanúsítvány is egy elektronikus formában létező elektronikusan aláírt okirat. Ennek is létezik egyszerű és minősített formája is. A minősített tanúsítvány jóval alkalmasabb az aláíró személyének meghatározására, mint társa, és nagyobb biztonságot is nyújt, azonban meg kell felelnie az irányelvben meghatározott kikötéseknek, és csak meghatározott hitelesítésszolgáltató bocsáthatja ki.62 Az ezeknek a követelményeknek megfelelő minősített tanúsítványon alapuló és biztonságos aláírás-létrehozó eszközzel elkészített minősített elektronikus aláírás ugyanolyan bizonyító erővel rendelkezik, mint a kézzel aláírt papír alapú okirat.63 Azáltal, hogy az irányelv az aláírásnak csak ezt a formáját tekinti azonosnak a törvényes követelményeknek megfelelő kézírásos aláírással, szűkíti azoknak az aláírásoknak a körét, amelyeket a bizonyítási eljárásban mérlegelés nélkül el kell fogadni. „Az irányelv a hitelesítésszolgáltatók rendszerét piaci elven szabályozza, és ennek megfelelően tiltja, hogy a tagállamok azok működését előzetes engedélyeztetéshez kössék.”64 Tehát a tagállamok nem köthetik feltételhez a hitelesítésszolgáltatók működését, és nem akadályozhatják a tagállamok közötti hitelesítési folyamatokat. Arra 60
1999/93/EK irányelv 2. cikk, 11. pont: "certification-service-provider" means an entity or a legal or natural person who issues certificates or provides other services related to electronic signatures 61 1999/93/EK irányelv 2. cikk, 9. pont: "certificate" means an electronic attestation which links signature-verification data to a person and confirms the identity of that person 62 Lásd bővebben az irányelv I. és II. mellékletében 63 1999/93/EK irányelv 5. cikk, 1. pont 64 Kohány András Elektronikus aláírás –részlet: Budai Balázs Bence E-Government, avagy kormányzati és önkormányzati kihívások az on-line demokrácia korában,109. oldal, AULA kiadó, 2002
34
viszont lehetőséget biztosít az irányelv, hogy a tagállamok önkéntes minősítési eljárást vezessenek be. Ezeknek az eljárásoknak objektívnek, arányosnak, világosnak és megkülönböztetés menteseknek kell lenniük. Az
irányelv
rendelkezik
a
tagállamok
és
a
harmadik
államban
alapított
hitelesítésszolgáltatók viszonyáról is. Ennek értelmében a harmadik államban alapított, minősített tanúsítványt kibocsátó hitelesítésszolgáltatót az Unió területén alapított hitelesítésszolgáltatóval azonosnak kell tekinteni akkor, ha:
az megfelel az irányelvben lefektetett követelményeknek, és valamely tagállami önkéntes akkreditációs rendszer keretében akkreditálták, vagy
egy a Közösség területén letelepedett és az irányelv kritériumainak megfelelő hitelesítésszolgáltató garanciát vállal a tanúsítványért, vagy
a tanúsítvány vagy a hitelesítésszolgáltató elismerése a Közösség és a harmadik ország, vagy nemzetközi szervezetek közötti két- vagy többoldalú egyezményén alapul.65
Az irányelv minimális felelőségi fokozatokat határozza meg, amelynél a tagállamok szigorúbb felelősséget is megállapíthatnak, de csak a hitelesítésszolgáltatóval szemben.66 Az irányelv adatvédelmi rendelkezéseinél olyan szabályokat találunk, amelyek többek között azt biztosítják, hogy a hitelesítésszolgáltatók csak és kizárólag az érintett személytől gyűjthetnek adatokat, és csak annyit, amennyi a tanúsítvány kibocsátásához szükséges. Ezek az adatok az érintett hozzájárulása nélkül más célra nem gyűjthetők és nem dolgozhatók fel. Ebből is látszik, hogy az Unió ezen irányelvét is áthatja a személy védelmének, és a személyes adatok védelmének fontossága. Az itt található rendelkezések biztosítják az aláíró számára az álnév használatát is.67 Az irányelv elemzése után dolgozatom következő pontjában azt fogom bemutatni, hogy a fent említett rendelkezések alapján milyen törvény született Magyarországon az elektronikus aláírás szabályozása kapcsán, és hogy milyen mértékben sikerült eleget tennie az Uniós irányelv követelményeinek.
65
1999/93/EK irányelv 7. cikk1. pont Lásd bővebben: 1999/93/EK irányelve 6. cikk 67 1999/93/EK irányelv 8. cikk 2-3. pont 66
35
2.4.2. Az elektronikus aláírásról szóló 2001. évi XXXV. törvény Legelőször az a kérdés merül fel az elektronikus aláírás kapcsán, hogy miért is van szükség az azt szabályozó törvényre. A kérdésre a válasz két irányból közelíthető meg. Két szerződő fél már a jogi szabályozás előtt is megegyezhetett, hogy az egymás közötti szerződéseket elektronikus formában is elfogadják, de ehhez előtte papír alapon hagyományosan hitelesített szerződést kellett kötniük erről. Ez külön törvény nélkül is működött.
A
törvényalkotással
csupán”
ezek
a
bilaterális
megegyezések
egyszerűsödnek, bár a törvényben foglaltaktól a kétoldalú szerződésekben ezen túl is el lehet térni. Viszont a törvény megalkotásával mód nyílik arra, hogy olyan területeken is bevezethetővé váljon az elektronikus iratok használata, ahol ezt a megelőző szabályozás nem tette lehetővé (pl. cégeljárások, adóhivatal, államigazgatás). A jelen törvény célja tehát, hogy az elektronikus aláírás alkalmazását bevezesse” több, állami szabályozás alatt álló területre is. Ennek elengedhetetlen feltétele, hogy a kapcsolódó törvényeket is módosítani kell. A másik jelentős oka a törvény megalkotásának az, hogy világszerte születtek az elektronikus aláírással, az elektronikus kereskedelemmel kapcsolatos törvények, szabályozások, és a technológia fejlődése mára már megköveteli az elektronikus kommunikáció, az elektronikus dokumentumok hivatalos téren való alkalmazhatóságát. Az Európai Unió fentebb tárgyalt direktívájában meghatározta az elektronikus aláírásra vonatkozó alapelveket és elrendelte, hogy minden tagállamnak létre kell hoznia 2001 júliusáig a saját, közös alapelveken alapuló szabályozási rendszerét. A magyar törvény célja, hogy jogi hatásuk vonatkozásában az elektronikus aláírást a hagyományos aláírással egyenértékűvé tegye. A törvény második szakasza az irányelvhez hasonlóan fogalom meghatározásokat tartalmaz, azonban nem követi hűen az irányelv szerkezetét, mert az abban megfogalmazott elvárásokat a magyar jogszabályi környezethez igazítja. A törvény legfontosabb alapelvei az alábbiak:
Az elektronikus aláírás előállítására felhasznált technológiától függetlenül alkalmazható a törvény
36
Az elektronikus aláírás vagy dokumentum elfogadását megtagadni, joghatás kiváltására való alkalmasságát kétségbe vonni nem lehet azon az alapon, hogy az aláírás vagy dokumentum elektronikus formában létezik. A törvény ezáltal biztosítja, hogy az elektronikus aláírás bármilyen célra bárki által felhasználható legyen
Az elektronikus aláírás használatát csak a törvény zárhatja ki olyan jogügyletek kapcsán, amelyeknél az elektronikus aláírás alkalmazása sértené a felek érdekét és a jogbiztonságot.
Az elektronikus aláírás használatát, az ügyfelet érintően még törvényben sem lehet kötelezővé tenni, kivéve az e törvényben megjelölt esetben
Elektronikus aláírás hitelesítési szolgáltatást a jogszabályi feltételeknek megfelelő gazdálkodó szervezet nyújthat
A törvényben meghatározott általános elveket és eljárásokat –megfelelő eltérésekkel- az állami és közszféra területén is alkalmazni kell.68
A törvény az irányelv által használt fogalmak mellett számos új meghatározást is bevezet, bővíti azok sorát. Ezáltal kissé eltérően szabályozza az elektronikus aláírások fajtáit. Az elektronikus aláírás általános fogalmát az irányelvnek megfelelően rögzíti, ám azon belül két újabb, annál sokkal szűkebb kategóriát vezet be a fokozott biztonságú elektronikus aláírás és a minősített elektronikus aláírás megteremtésével. Ezen fogalmak mellett bevezeti az időbélyegző intézményét is. A törvény értelmében az elektronikus aláírás fogalma az alábbi: „Elektronikus aláírás: elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt elektronikus adat”.69 Ebbe a definícióba az uniós irányelvhez hasonlóan beletartoznak a biztonságot nem garantáló egyszerű aláírások is, ám a magyar törvény világosabban fogalmaz, amikor kimondja, hogy ezekre a szignókra csak az előbb említett általános meghatározás és az a szabályozás vonatkozik, amely szerint nem lehet őket megtagadni azon az alapon, hogy elektronikusan léteznek.70 Tehát joghatások kiváltására ugyan alkalmasak, azonban ahhoz, hogy hitelességükről meggyőződjünk, további vizsgálatra van szükség. Ez alapján kitűnik, hogy az egyszerű elektronikus aláírás nem alkalmas arra, hogy kellő biztonságot és 68
Dr. Szenes Katalin Az informatikai biztonság kézikönyve 289. oldal, Verlag Dashöffer Szakkiadó Kft., Budapest, 2007. 69 2001. évi XXXV. törvény az elektronikus aláírásról 2.§ 6. pont 70 2001. évi XXXV. törvény 3.§ (1) bekezdés
37
technológiai védelmet nyújtson az elektronikus dokumentum számára, ezáltal hitelesítésére sem használható. A törvény ezért nagyobb hangsúlyt fektet a hitelesítésre alkalmas fokozott biztonságú, illetve a minősített elektronikus aláírás szabályozására. A fokozott biztonságú elektronikus aláírásnak az alábbi feltételeknek kell megfelelnie:
Alkalmasnak kell lennie az aláíró azonosítására
Kizárólag az aláíró használatában lévő eszközzel kell, hogy létrehozzák
Olyan módon kell kapcsolódnia az aláírt dokumentumhoz, hogy segítségével a dokumentumon az aláírást követően végzett összes módosítást ki lehessen mutatni.71
A jogszabály erre az aláírásra nézve nem fogalmaz meg semmilyen technikai követelményt, és nem követeli meg hozzá a hitelességét bizonyító tanúsítványt sem. A fokozott biztonságú elektronikus aláíráson belül élesen elkülöníthető két kategória: a nyilvános körben használt aláírások, illetve csak a zárt körben használhatók.
A zárt körben használható fokozott biztonságú aláírások: Az ilyen biztonsági szintű aláírás minden olyan műszaki módszerrel készíthető, amely a második szakaszban megfogalmazott feltételeknek megfelel, feltéve, hogy az érintettek megállapodnak az alkalmazandó módszerben. A zárt körben használt elektronikus aláírás egy olyan környezetben képzelhető el (például egy vállalat esetében), ahol a felek szerződéses viszonyban állnak, és megállapodnak abban, hogy mit tekintenek elektronikus aláírásnak. A lényeg tehát, hogy minden fél elfogadja, hogy az adott technológiával hitelesített dokumentumot fokozott biztonságú aláírással ellátott, írásba foglalt dokumentumnak tekinti. Mivel a törvény egyik alapelve a technológiafüggetlenség, az se feltétlenül szükséges, hogy az aláírások nyilvános kulcsú kriptográfia segítségével készüljenek. Azonban abban az esetben, ha a felek ezt az aláírás típust alkalmazzák, az ő feladatuk biztosítani, hogy az ahhoz alkalmazott technológia megfeleljen az Eatv. törvényi feltételeinek.
Nyilvánosan használt fokozott biztonságú aláírások: 71
2001. évi XXXV. törvény 2.§ 15. pont
38
Ennél a megoldásnál nincs szükség a felek előzetes megegyezésére, mivel az itt használt aláírást bárki fokozott biztonságú aláírásnak ismeri el. A nyilvános használatú fokozott biztonságú aláírásnál lényegében arról van szó, hogy az aláírás egy olyan tanúsítványra épül, amelyet nyilvánosan működő hitelesítésszolgáltató bocsátott ki. Ezen kívül az aláírásnak műszakilag is megfelelőnek kell lennie ahhoz, hogy az azzal szignózott dokumentum külön szerződés megkötése nélkül is írásba foglaltnak minősüljön. Magyarországon a nyilvánosan működő hitelesítés szolgáltatókról a Nemzeti Média- és Hírközlési Hatóság vezet nyilvántartást. Az általuk használt technológiának természetesen meg kell felelnie a törvényi követelményeknek. Azonban nem lehet azt állítani, hogy a nyilvánosan használt fokozott biztonságú aláírások jogilag erősebb bizonyítékként funkcionálnának, mint a zárt körben használt társaik. Csupán arról van szó, hogy ennél a módszernél az aláírás jól ismert, nyilvános elérhető technológia útján lett előállítva, így mind az érintett fél, mind a bíróság könnyebben be tudja azonosítani azt. Olyan eseteknél, ahol az előzetes megegyezés kizárt, vagy nem kivitelezhető, értelemszerűen csak a nyilvánosan használt fokozott biztonságú aláírások alkalmazhatóak.72 A törvény által bevezetett időbélyegző a fokozott biztonságú elektronikus aláíráshoz hasonló fogalom: „elektronikus dokumentumhoz végérvényesen hozzárendelt vagy azzal logikailag összekapcsolt olyan adat, amely igazolja, hogy az elektronikus dokumentum az időbélyegző elhelyezésének időpontjában változatlan formában létezett.”73 Tehát az időbélyegző nem alkalmas az aláíró azonosítására, valójában nem is kapcsolódik az aláíróhoz, csupán egy dátumot tüntet fel a dokumentumon, amely alkalmas arra, hogy kimutassa az időbélyegzés utáni módosításokat. A törvény szabad utat ad az ezt biztosító technológia megválasztásához. A minősített elektronikus aláírás a fokozott elektronikus aláírás egy olyan fajtája, ami biztonságos
aláírás-létrehozó
eszközzel
készült,
és
hitelesítésére
minősített
bizonyítványt állítottak ki.74 Tehát ez a típus a legalkalmasabb az aláíró azonosítására és a dokumentum integritásának biztosítására.
72
Dr. Berta István Zsolt Nagy E-szignó könyv, amit az elektronikus aláírásról tudni akartál, csak féltél megkérdezni, Microsec Kft., 2011. 73 2001. évi XXXV. törvény 2.§ 16. pont 74 2001. évi XXXV. törvény 2.§ 17. pont
39
Mivel sokkal szigorúbb szabályok vonatkoznak ezen aláírásra, mint a fokozott biztonságú e-szignóra, nyugodtan feltételezhetjük, hogy amikor azt készítették, az aláírás-létrehozó adat kizárólag a tanúsítványban szereplő személy birtokában volt. A törvény bizonyító erőt rendel a minősített aláíráshoz. Mint már azt fentebb említettem, a polgári perrendtartásról szóló törvény is hasonlóképpen tesz, mikor úgy rendelkezik, hogy a minősített aláírással ellátott dokumentum teljes bizonyító erejű magánokiratnak tekintendő, ugyanúgy, mint a közjegyző vagy két tanú előtt aláírt okirat.75 Ebből következik az általánosan elfogadott megállapítás, miszerint minősített elektronikus aláírást csak ember, azaz természetes személy tehet. Ezt ugyan a törvény nem rögzíti, azonban az aláírás magánokirat jellegéből erre a következtetésre lehet jutni.76 A törvény alapján elektronikus dokumentumnak minősül az „elektronikus eszköz útján értelmezhető adategyüttes.”77 Mint azt látjuk, ez egy igen tág fogalom, melybe többek között beletartozik a képet vagy hangot tartalmazó elektronikus aláírással ellátott adat is. Korábban a törvény az elektronikus dokumentum három fajtáját különböztette meg – elektronikus dokumentum, irat és okirat – ám ezt a felosztást felszámolta a 2004. évi LIV. törvény, mivel célszerűnek látszott az Eat. fogalomrendszerében egy olyan általános meghatározást kialakítani, amely a jogrendszer egészében használható, az irat és okirat fogalmát pedig az eljárásjogokra hagyni. 78 A törvény alapelveinél már említettem az egyenértékűség követelményét, melynek lényege, hogy az elektronikus forma nem lehet kizáró ok. Ez azonban nem jelenti azt, hogy az elektronikus forma használatát ne lehetne kizárni olyan esetekben, ahol azt a dokumentum tartalma, a benyújtó személy vagy más körülmények alapozzák meg. A törvény harmadik szakasza ezeket az eseteket rögzíti.79 A törvény az elektronikus aláírással kapcsolatos jogkövetkezményeket rögzíti. A negyedik szakasz első bekezdése rögzíti, hogy ha a törvény egy adott jogviszonyban írásos formát ír elő, ennek a követelménynek megfelel a fokozott biztonságú elektronikus aláírással ellátott elektronikus dokumentum is. A törvény a minősített elektronikus aláírással ellátott dokumentum esetében vélelmezi azt is, hogy annak 75
A polgári perrendtartásról szóló 1952. évi III. törvény 195.§ Dr. Berta István Zsolt Nagy E-szignó könyv, amit az elektronikus aláírásról tudni akartál, csak féltél megkérdezni, Microsec Kft., 2011. 77 2001. évi XXXV. törvény 2.§ 12. pont 78 Pázmándi Kinga – Verebics János E-Jog, HVG-Orac Lap-és Könyvkiadó Kft., 2012, 53. oldal 79 Lásd bővebben: Eatv. 3.§ (1)-(8) bekezdések 76
40
tartalmát az aláírás óta nem módosították. A jogszabály tartalmazza az elektronikus aláírás ellenőrzésére vonatkozó rendelkezéseket is, amely - az uniós irányelvhez hasonlóan
- a dokumentum
aláíráskori, valamint
ellenőrzéskori tartalmának
összevetésével, illetve a hitelesítésszolgáltató által közzétett aláírás-ellenőrző adat, valamint a tanúsítvány felhasználásával történik. Fontos azonban kiemelni, hogy az említett joghatások csak az elektronikus formájú dokumentumokhoz fűződnek, azok kinyomtatott formáihoz nem.80 Az időbélyegzés és az elektronikus archiválási szolgáltatások további vélelmeket hoztak magukkal a törvénybe. Abban az esetben, ha az időbélyegzőt egy olyan szolgáltató helyezte el a dokumentumon, amely a nyilvántartásban minősítettként szerepel, a törvény vélelmezi, hogy a dokumentumon az időbélyegzés óta nem hajtottak végre módosítást. A törvény azt is vélelmezi, hogy ha az elektronikus dokumentum archiválását egy olyan szolgáltató végezte, amely a nyilvántartásban minősítettként szerepelt, akkor a dokumentumon szereplő aláírás, illetve időbélyegző, valamint az ahhoz tartozó tanúsítvány az aláírás, illetve az időbélyegzés időpontjában érvényes volt.81 A törvény ezen kívül kiemeli a külföldi székhelyű, illetve lakóhelyű hitelesítésszolgáltatókat.82 A jogszabály az elektronikus aláírással kapcsolatos szolgáltatások körében az alábbiakat szabályozza és emeli ki:
az elektronikus aláírás hitelesítés-szolgáltatása
időbélyegzés
aláírás-létrehozó adat elhelyezése az aláírás-létrehozó eszközön
valamint az elektronikus archiválás szolgáltatás.
A hitelesítésszolgáltató: A törvény rendelkezése alapján a hitelesítés-szolgáltatónak bejelentési kötelezettsége van a Hatóság felé a szolgáltatás megkezdését megelőzően, amely során a szolgáltató ugyancsak köteles nyilatkozni arról, hogy tevékenységét minősített szolgáltatóként kívánja-e végezni. „A hitelesítés szolgáltatás keretében a hitelesítés szolgáltató azonosítja az igénylő személyét, tanúsítványt bocsát ki, nyilvántartásokat vezet, fogadja 80
2001. évi XXXV. törvény 4. §(2)-(3) bekezdések, 2. § 7. pont 2001. évi XXXV. törvény 4. §(6)-(7) bekezdések 82 Lásd bővebben: 2001. évi XXXV. törvény 5.§ 81
41
a tanúsítványokkal kapcsolatos változások adatait, valamint nyilvánosságra hozza a tanúsítványhoz tartozó szabályokat, az aláírás-ellenőrző adatokat és a tanúsítvány aktuális állapotára (különösen esetleges visszavonására) vonatkozó információkat”83 Az időbélyegzés: Ennél a szolgáltatásnál a szolgáltató az elektronikuson aláírt dokumentumhoz időbélyegzőt kapcsol. Az időbélyegző az elektronikus dokumentumhoz végérvényesen hozzárendelt vagy azzal logikailag összekapcsolt olyan adat, amely igazolja, hogy az elektronikus dokumentum az időbélyegző elhelyezésének időpontjában változatlan formában létezett.84 Aláírás-létrehozó adat elhelyezése: Egy olyan hardver vagy szoftver - az aláírás-létrehozó eszköz - segítségével a szolgáltató olyan egyedi adatot helyez el, melyet az aláíró elektronikus aláírás létrehozásához használt, és ez által létrehozza magát az elektronikus aláírást. Az elektronikus archiválás: Az
archiválást
végző
szolgáltató
a
dokumentum
hiteles
megőrzése
és
a
letagadhatatlanság biztosítása érdekében archiválja az archiválás időpontjában létező érvényességi láncot,85 biztosítja annak sérthetetlenségét, azt az igénybe vevő kérésére, részére haladéktalanul átadja, valamint kérelemre igazolást bocsát ki az általa archivált elektronikus dokumentummal vagy érvényességi lánccal kapcsolatban.86 A fent említett szolgáltatásokat egyenként is lehet nyújtani, de a törvény az együttes nyújtást is lehetővé teszi bármely szolgáltatás vonatkozásában. A minősített hitelesítésszolgáltató jogosult nem minősített tanúsítvány kibocsátására is, valamint arra, hogy a tanúsítványokat különböző feltételekkel bocsássa ki.87
83
2001. évi XXXV. törvény 6.§ (2) 2001. évi XXXV. törvény 6.§ (3) 85 2001. évi XXXV. törvény 2.§ 14. Érvényességi lánc: az elektronikus dokumentum vagy annak lenyomata, és azon egymáshoz rendelhető információk sorozata, (így különösen azon tanúsítványok, a tanúsítványokkal kapcsolatos információk, az aláírás-ellenőrző adatok, a tanúsítvány aktuális állapotára, visszavonására vonatkozó információk, valamint a tanúsítványt kibocsátó szolgáltató elektronikus aláírás ellenőrző adatára és annak visszavonására vonatkozó információk), amelyek segítségével megállapítható, hogy az elektronikus dokumentumon elhelyezett fokozott biztonságú vagy minősített elektronikus aláírás, illetve időbélyegző, valamint az azokhoz kapcsolódó tanúsítvány az aláírás és időbélyegző elhelyezésének időpontjában érvényes volt. 86 2001. évi XXXV. törvény 6.§ (4) bekezdés 87 2001. évi XXXV. törvény 6.§ (5) bekezdés 84
42
A törvény a továbbiakban az ezekre a szolgáltatásokra vonatkozó rendelkezéseket részletezi, valamit az elektronikus aláírással kapcsolatos hatósági tevékenységet és a Hatóság jogosítványait szabályozza.88 A törvény fentebb kiemelt rendelkezései alapján látható, hogy a magyar szabályozás sajátos módon, a magyar jogi környezetnek megfelelően teremtette meg a törvényi keretet az elektronikus aláírás számára, az Európai Unió 1999/93/EK irányelvnek megfelelően. A törvény számos módosítás után érte el jelenlegi formáját, azonban a technológia fejlődésének, az információs társadalom térnyerésének és az elektronikus aláírás alkalmazási területeinek hiánya következtében a szabályozás alapját adó irányelvet 2014-ben az EU Parlament és a Tanács a 910/2014/EU rendeletével hatályon kívül helyezte. Szerencsére a magyar jogszabály sokkal jobban hasonlít az új rendeletre, mint a korábbi irányelvre, mivel sokkal bővebben és részletesebben szabályozza az elektronikus aláírás intézményét, így annak alkalmazása nem fog lényegesebb gondot okozni.
2.4.3. Az Európai Parlament és a Tanács 910/2014/EU rendelete a belső piacon történő elektronikus tranzakciókról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről
Mivel az elektronikus aláírásról szóló 1999/93/EK irányelv nem hozott létre uniós szintű, határokon átnyúló egységes keretet az elektronikus ügyintézés, és szerződések területén és nem teremtette meg a tőle elvárt biztonságot, az Európai Unió égisze alatt újabb jogszabály született, amely „kibővíti és megerősíti” az irányelv vívmányait.89 A rendeletet 2014. július 23-án fogadták el, és 2016 júliusában lép hatályba. Fontos megemlíteni, hogy az előző szabályozáshoz képest jelen esetben rendeletről, nem irányelvről beszélünk, azaz azonnal kötelező a tagállamokra nézve, nem szükséges az ország jogrendjébe külön beemelni.90 Az elektronikus aláírás szabályozására vonatkozó alapelvek nem változtak az új rendelet kapcsán, ugyanazon séma alapján alkották meg az új jogszabályt is. Az újításra 88
Lásd bővebben: 2001. évi XXXV. törvény 9.§-tól Az Európai Parlament és a Tanács 910/2014/EU rendelete a belső piacon történő elektronikus tranzakciókról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről, preambulum (3) 90 http://certifiedsignature.eu/2014/07/24/eidas-council-adopts-electronic-identification-rules/ 89
43
alapvetően azért volt szükség, mert az elektronikus aláírás nem váltotta be a hozzá fűzött reményeket, felhasználása nem fejlődött megfelelő módon, nem bővültek az alkalmazásának területei. Maga a rendelet nem csak az elektronikus aláírást szabályozza, kibővíti a szabályozásának területeit az alábbi bizalmi szolgáltatásokra: szervezeti aláírás (amit a korábbi irányelv nem tett lehetővé, bár az új rendelet is eltérő néven,
e-bélyegzőként/electronic
seal/
szabályoz),
e-dokumentum
archiválása,
időbélyegző, web szerver hitelesítés, kézbesítés.91 A rendelet az elektronikus aláírásra vonatkozó rendelkezéseit a 4. szakaszban találhatjuk. Már a rendelet kezdő rendelkezései alátámasztják, hogy a rendelet követi a korábban megfogalmazott alapvető gondolatokat, ismét rögzítésre került, hogy az ealáírással hitelesített dokumentumot a bíróság nem tagadhatja meg bizonyítékként való elfogadáskor az elektronikus forma miatt. Azonban ez az elv bővült azzal, hogy már az olyan e-aláírást tartalmazó dokumentumra is érvényes az előbbi szabály, amely nem felel meg a minősített elektronikus aláírásra vonatkozó feltételeknek. A fokozott biztonságú elektronikus aláírásra vonatkozó követelmények nem változtak, ugyanaz a négy elem szükséges a létrehozásához, amit korábban az irányelv rögzített. Az új rendelet sokkal nagyobb hangsúlyt fektet a tagállamok közötti interoperabilitást megteremtésére, és az egyes közigazgatási szervek ügyvitele közötti átjárhatóságra. Előírja az online szolgáltatások tekintetében a Bizottság által meghatározott végrehajtási aktusokkal összhangban lévő elektronikus aláírások tagállami kölcsönös elismerését, valamint azt, hogy az ilyen határokon átnyúló elektronikus szolgáltatásoknál a nemzeti közigazgatási szervek nem írhatnak elő a minősített e-szignónál magasabb biztonsági szintű aláírást.92 Tehát itt nem kerültek külön megfogalmazásra azok a feltételek, amelyek megléte esetén a tagállamoknak az e-aláírásokat kölcsönösen el kell ismerniük, azok meghatározását a rendelet a Bizottság hatáskörébe utalja. Az irányelv ismeretének tükrében fontos megemlíteni, hogy itt már találkozhatunk szabványokra vonatkozó utalással, amely úgymond technikai szempontból is próbálja egységesíteni a tagállami gyakorlatokat.93 A rendelet az e-aláírások minősített tanúsítványaira vonatkozó feltételeit az I. mellékletben szabályozza. Ezeknek a kritériumoknak mindig eleget kell tenni, de 91
http://www.berta.hu/blog/2012/06/06/2012_EU_e-alairas_szabalyozas_javaslat/ 910/2014/EU rendelet 25-27.cikk 93 http://www.berta.hu/blog/2014/04/27/eu-s_e-alairas_szabalyozas_tervezet/ 92
44
ezektől eltérő, nem kötelező egyedi jellemzőket is fel lehet tűntetni, amelyek nem befolyásolhatják magának az aláírásnak az elismerését. Ezen túl a rendelet lehetőséget ad a tanúsítványok ideiglenes felfüggesztésére is, amely esetén a tanúsítvány érvényét veszti az adott idő intervallumra. Ebben az esetben nagyon fontos jelentősége van a felfüggesztés időpontjának és hosszának is.94 A rendeletben megjelennek a minősített aláírás létrehozó eszközök, amelyek a központi Európai Uniós nyilvántartások kapcsán jelentősek (a volt biztonságos aláírás-létrehozó eszközök új elnevezése). Az ezekre vonatkozó követelményeket a II. melléklet tartalmazza.95 A tanúsítvány megfelelőségét az arra kijelölt állami vagy magánszervek kötelesek tanúsítani a rendeletben megfelelő eljárások keretében. A tagállamoknak a tanúsítási folyamatot követően kötelességük a minősített aláírást létrehozó eszközökre vonatkozó adatokat a Bizottságnak továbbítani. Ezen adatok alapján a Bizottság listát készít ezekről az eszközökről. A rendelet minősített aláírás érvényességének feltételeit szintén szabályozza. Ezek alapján érvényes az aláírás, ha:
az azt igazoló tanúsítvány az aláírás időpontjában megfelelt az I. számú mellékletben foglaltaknak,
a tanúsítványt minősített bizalmi szolgáltató bocsátotta ki,
az érvényesítési adatok megfelelnek az igénybevevőnek megadott adatokkal,
az igénybe vevő rendelkezik az aláírót azonosító adatokkal,
álnév használatánál azt feltűntették,
azt minősített e-aláírást létrehozó eszközzel készítették,
az adatok sértetlensége nem veszélyeztetet,
az aláírás időpontjában teljesültek a fokozott biztonságú e-szignóra vonatkozó követelmények.96
Itt is megjelenik a rendelet azon újítása, ami már technikai szabálynak is tekinthető (amitől eddig elzárkóztak), hogy az aláírás érvényességét egy visszamenőleges időpont,
94
910/2014/EU rendelet 28. cikk http://www.berta.hu/blog/2012/06/06/2012_EU_e-alairas_szabalyozas_javaslat/ 96 910/2014/EU rendelet 29-32. cikk 95
45
az elkészítés időpontja alapján (eddig csak Németországban érvényesült) kell ellenőrizni.97 Két minősített szolgáltatás is szabályozásra került a minősített e-aláírás vonatkozásában. A rendelet meghatározza az aláírást érvényesítő minősített érvényesítési szolgáltatás nyújtásának feltételeit, az elektronikus bélyegzőre vonatkozó szabályokat, valamint a minősített elektronikus aláírás megőrzésére vonatkozó minősített szolgáltatás feltételeit. Az utóbb említett szolgáltatást csak olyan minősített bizalmi szolgáltató nyújthat a rendelet értelmében, aki „olyan eljárásokat és technológiákat alkalmaz, amelyek képesek a minősített aláírás megbízhatóságát a technológiai érvényességi időn túlra is kiterjeszteni98”. A rendelet ismét felhatalmazza a Bizottságot ezzel kapcsolatos szabványokra vonatkozó lista összeállítására.99 A rendelet az ezt követő szakaszaiban az elektronikus bélyegző, az elektronikus tanúsítvány és a weboldal-hitelesítés szabályait tartalmazza. A továbbiakban a jogszabály összetettségére tekintettel csak az irányelv és az új rendelet közötti leglényegesebb eltéréseket szeretném ismertetni. A rendelet az irányelvhez hasonlóan szabályozza az azonosítási rendszereket (a rendelet erre vonatkozó részét lásd fentebb) és továbbra is rendelkezik a bizalmi szolgáltatásokról, valamint új bizalmi szolgáltatásokat szabályoz: időbélyegzés, archiválás szolgáltatás, biztonsági kézbesítés, aláírás-ellenőrzés, weboldal-hitelesítés. Az itt szereplő időbélyegző és elektronikus archiválás meghatározása azonos a magyar törvényi megfogalmazással. A rendelet értelmében a bizalmi szolgáltatások minősített illetve egyszerű szolgáltatásként szerepelhetnek, akárcsak a magyar szabályozásnál. Vélelmeket állít a minősített szolgáltatások megfelelőségével kapcsolatban, annak ellenkezőjét kell bizonyítani, ha bármilyen probléma merül fel. Változatlanok maradtak az e-szignóval kapcsolatos fogalmak, a minősített e-aláírás az új rendelet értelmében is egy személy kézzel írott aláírásával azonos. Megjelenik a szervezeti aláírás a rendeletben, azonban nem aláírásként, hanem bélyegzőként szerepel, ezáltal már nem csak természetes személyek készíthetnek minősített elektronikus „aláírást”. Sokkal nagyobb figyelmet kapott a szolgáltatókkal kapcsolatos kérdéskör, 97
http://www.berta.hu/blog/2014/04/27/eu-s_e-alairas_szabalyozas_tervezet/ 910/2014/EU rendelet 34.cikk (1) 99 910/2014/EU rendelet 33-34.cikk 98
46
főleg az azokkal kapcsolatos biztonsági problémák. A rendelet bevezette az úgynevezett azonosítás szolgáltatást, amely valójában nem bizalmi szolgáltatás, és nem egy szolgáltatót takar, hanem a tagállamok nyújtják azt. Ezen túlmenően a jogszabály eltörli az irányelv azon rendelkezéseit, amelyek felhatalmazzák a közigazgatási szerveket egyéb
meghatározott
követelmények
előírására
az
elektronikus
aláírások
alkalmazásakor.100 Összefoglalva, a rendelet követi az irányelv alapgondolatait és rendelkezéseit. Nem vezet be lényeges módosításokat, inkább sokkal nagyobb területre terjeszti ki a meglévő szabályozást azáltal, hogy új bizalmi szolgáltatásokat vezet be. Szerencsére ezeknek a szolgáltatásoknak jó részét a magyar Eatv. már tartalmazza. Remélhetőleg a rendelet alkalmazásával könnyebben megvalósulhat a tagállamok közötti interoperabilitás, és elindulhat az elektronikus aláírásokkal lebonyolított jogügyletek terjedése.101
100 101
http://www.berta.hu/blog/2012/06/06/2012_EU_e-alairas_szabalyozas_javaslat/ http://www.berta.hu/blog/2014/04/27/eu-s_e-alairas_szabalyozas_tervezet/
47
Összegzés
Az információs társadalom térnyerésével és az új technológiai vívmányok megjelenésével, mint láthattuk a jognak is újfajta problémákkal kell megküzdenie az elektronikus azonosítás és hitelesítés területén. Az elektronikus azonosító rendszerek tagállamonként eltérő technológiát és eszközöket alkalmaznak az állampolgárok azonosítására, és ezáltal a rendszerek összehangolt európai szintű működését gátolják. A tagállamok közötti alacsony bizalmi szint és az interoperabilitás hiánya is akadályozza az online közszolgáltatások piaci áramlását. Véleményem szerint a problémára a megoldást a többfunkciós elektronikus személyazonosító kártyák uniós szintű bevezetése jelentené, melyhez a technológiai háttér már adott. A jogi háttéranyag megalkotásánál már nagyobb a kihívás, mivel a tagországok e-azonosító rendszerének meghatározása nemzeti hatáskörbe tartozik, és mind
technológiai,
mind
pedig
jogi
szempontból
hatalmas
különbségekkel
találkozhatunk nemzetenként. A távol-keleti országok sokkal előrehaladottabbak ezen a területen és az Európai Uniónak is lépést kell tartania ahhoz, hogy ne maradjon le a fejlődésben. Ez a feladat azonban igencsak nehéznek bizonyul a dolgozatomban említettek tükrében, hiszen az elektronikus azonosítás területén alkotott jogszabályok igen általános rendelkezéseket tartalmaznak, kezdetlegeseknek mondhatók, és nem teremtik meg a megfelelő egységet a tagállami rendszerek között. Aláírásunkkal mindig valamilyen nyilatkozatunkat hitelesítjük, például kötelezettséget vállalunk, vagy magunkra nézve elfogadottnak tekintünk valamit. Az aláírásunkkal fejezzük ki a külvilág számára, hogy az általunk szignált jogügyletbe foglaltak tartalmát ismerjük, vagy éppen tőlünk származnak, és a külvilág az aláírásunk alapján képes azonosítani minket. Tehát az aláírásunk is egyfajta azonosításra szolgáló eszköznek minősül. Az elektronikus térben történő ügyvitelek számának növekedésével és az információs társadalom térhódításával arányosan nőtt az igény a dokumentumok aláírással történő hitelesítésének modernizálására. Ennek elérése végett az elmúlt több mint egy évtizedben számos új technika és technológia született, melyeket megpróbáltam dolgozatomban minél részletesebben bemutatni. Természetesen az általam ismertetett módszerek sem örökéletűek, mivel a társadalom fejlődésével 48
ezeknek a technikáknak is tartaniuk kell a lépést, garantálniuk kell azt a biztonsági szintet, amit jelenleg nyújtanak. A technológia azonban önmagában nem elég ahhoz, hogy az aláírással ellátott elektronikus térben létező dokumentumhoz a megfelelő joghatásokat tudjuk kapcsolni, törvényi szabályozás is szükséges. Ezt az Európai Unió szerencsére hamar észlelte és szabályozása alá vette, megteremtve a dolgozatban említett irányelvet. Jól látható azonban, hogy a kezdetleges sikerek ellenére az irányelv és maga az elektronikus aláírás sem váltotta be a hozzájuk fűzött reményeket, így ezt felismerve az Unió 2014-ben rendeletben szabályozta az elektronikus tranzakciókra vonatkozó elveket. Az általam választott terület igencsak összetett, a technológia fejlődésével folyton változó és ezáltal a jogszabályi háttere folyamatos felülvizsgálatra és frissítésre szorul. Szerencsére Magyarország szüntelen törekszik együtt fejlődni az új trendekkel és technikákkal, azonban ahhoz, hogy egy európai szintű egységes elektronikus azonosító rendszer alakuljon ki, az e-aláírásokat a tagállamok megfelelően alkalmazzák és ezáltal végül a papír alapú társaikat az ügyintézés és a szerződéses kapcsolatok területéről végleg kiszorítsák, még számos változásnak kell véghezmennie.
49
Irodalomjegyzék 1. Andreas Poller, Ulrich Waldman, Sven Vowé, Sven Türpe: Electronic identity cards for User Authentication-Promise and Practice, Darmstadt, Germany, 2011. 2. Balogh Zsolt György Az elektronikus aláírás technológiai alapjai, Ünnepi tanulmányok Prof. 3. Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának: Az európai digitális menetrend, Brüsszel, 2010. 4. Council of the EU press release : Council adopts electronic identification rules, Brussels, 23 July 2014. ST 1190714 Presse 402 5. Daniel Bell The Coming of Post-Industrial Society, Basic Books, New York, 1976. 6. Dr. Berta István Zsolt Nagy E-szignó könyv, amit az elektronikus aláírásról tudni akartál, csak féltél megkérdezni, Microsec Kft., 2011. 7. Dr. Harsági Viktória Elektronikus okiratok, elektronikus aláírás, Magyar jog , 2001. (48. évf.), 11.sz. 8. Dr. Kalas Tibor egyetemi tanár oktatói munkásságának tiszteletére, Z-Press Kiadó, Miskolc, 2008. 9. Dr. Szenes Katalin Az informatikai biztonság kézikönyve, Verlag Dashöffer Szakkiadó Kft., Budapest, 2007. 10. eID interoperability for PEGS:Update of Country Profiles study: Hungarian country profile, European Communities, 2009. 11. Federal Ministry of the Interior Germany: The ID card with eID function at a glance, 2014. 12. Információs Társadalomért alapítvány biztonságmenedzsment kutatócsoport – Erdősi Máté, CISA – Elektronikus hitelesség, PKI rendszerek alkalmazási feladatai tömegméretekben; 2009. június 11. 13. Kodricz Péter – Tímár András Az elektronikus kereskedelem jogi kérdései KJKKERSZÖV Jogi és Üzleti Kiadó Kft., Budapest, 2000. 14. Kohány András Elektronikus aláírás, AULA Kiadó, Budapest, 2002. 15. Leenes, Schallaböck and Hansen: ’Prime (Privacy and Identity Management for Europe) White Paper’ 16. Nick Moore Globalization of Information: the networking information society, 48. FID Konferencia és Kongresszus, Graz, 1996 október 17. Norberto Nuno Gomes de Andrade, Shara Monteleone, Aaron Martin: Electronis Identity in Europe: Legal Challenges and Future Perspectives (e-ID 2020), 2013 18. OECD: The role of digital identity management int he internet economy: a primer for policy makers handbook of eid security 19. Orosz Attila: Európai polgárkártyák funkcionalitása és alkalmazásai, 2009. Debreceni Egyetem 20. Pázmándi Kinga – Verebics János E-Jog, HVG-Orac Lap-és Könyvkiadó Kft., Budapest, 2012. 21. Stork eID Consortium : Competitiveness and innovation framework programme, ICT Policy Support Programme, Towards pan-European recognition of electonis IDs (eIDs), D2.2- Report on Legal Interoperability, 2009.
50
22. Szabó Máté Dániel, Székely István, Simon Éva:Az elektronikus személyazonosítás és ügyintézés adatvédelmi követelményei. Eötvös Károly Közpolitikai Intézet Budapest, 2007. 23. The Electronic Signatures in Global and National Commerce Act, Heath W. Hoglund, From the Bar, Fall 2000, Issue No. 28. 24. Walter Fumy, Manfred Paeschke: Handbook of eID Security, Concepts, Practical experiences, technologies, Publicis Publishing, Erlangen, 2011.
Elektronikus Irodalom 1. https://ec.europa.eu/digital-agenda/sites/digital-agenda/files/smart2010-0068.pdf 2. http://www.london.diplo.de/contentblob/3778704/Daten/2959228/eIDFAQs.pdf 3. http://www.posta.hu/static/internet/download/Postai_Agora_Szolgaltatasok_AS ZF_5_os_melleklet_20140314_elozetes.pdf 4. http://www.origo.hu/jog/lakossagi/20141019-jovo-nyartol-lehet-az-egysegeselektronikus-kartya-kibocsatasi-rendszer.html 5. http://link.springer.com/article/10.1007/s12394-010-0052-0/fulltext.html 6. http://www.berta.hu/blog/2012/06/06/2012_EU_e-alairas_szabalyozas_javaslat/ 7. http://www.berta.hu/blog/2014/04/27/eu-s_e-alairas_szabalyozas_tervezet/ 8. http://certifiedsignature.eu/2014/07/24/eidas-council-adopts-electronicidentification-rules/ 9. http://hirlevel.egov.hu/2015/01/07/az-egyseges-kartya-es-a-mobil-alkalmazas-aszemelyazonositas-jovoje/
Jogszabályi hivatkozások 1. AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE (2014. július 23.) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről 2. AZ EURÓPAI PARLAMENT ÉS A TANÁCS 1999/93/EK IRÁNYELVE az elektronikus aláírásra vonatkozó közösségi keretfeltételekről 3. A polgári perrendtartásról szóló 1952. évi III. törvény 4. 2001. évi XXXV. törvény az elektronikus aláírásról 5. 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól 6. 2014. évi LXXXIII. törvény az egységes elektronikuskártya-kibocsátási keretrendszerről 7. 15/1991.(IV.13.) AB határozat
51
