Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Szakértői rovatok > Jogi háttér





Az elektronikus aláírás szabályozásának fejlődése Magyarországon


Az Országgyűlés 2001. május 29-én elfogadta az elektronikus aláírásról szóló 2001. évi XXXV. törvényt („Eat.”), amely végrehajtási rendeleteivel együtt 2001. szeptember 1-jén hatályba is lépett.
Nyomtatható verzió Nyomtatható verzió

Szakértői rovatok - Elektronikus aláírás
Ormós Ügyvédi Iroda

Így ha az elektronikus dokumentumon minősített elektronikus aláírás szerepel, akkor az elektronikus okirat teljes bizonyító erejű magánokiratnak minősül, egyéb elektronikus dokumentum esetén pedig vélelmezni kell, hogy a dokumentum tartalma az aláírás óta nem változott. A polgári perrendtartás szabályai szerint nem teljes bizonyító erejű magánokirat – így pl. nem minősített tanúsítványon alapuló fokozott biztonságú aláírással aláírt okirat – esetén, ha az ellenérdekű fél vitatja az aláírás valódiságát, akkor az aláírást felhasználó félnek kell bizonyítania az aláírás valódiságát, amely elsősorban a hitelesítés-szolgáltató (vagy más, a hitelesítési tevékenységet végző személy) megkeresése útján fog történni. Ez azt jelenti, hogy a nem minősített aláírást használó személynek utólag, minden egyes jogvitában bizonyítania kell, hogy az aláírás a törvényben foglalt fokozott biztonságú aláírásra vonatkozó előírásoknak megfelelt, sikertelenség esetén pedig az elektronikus aláírása nem vált ki joghatást. Ha az, aki az aláírás-létrehozó adatot elhelyezte az aláírás-létrehozó eszközön a hatóság által minősített szolgáltató volt, akkor a törvény szerint vélelmezni kell, hogy az aláírás-létrehozó adat kizárólag a szolgáltatást igénybe vevő birtokában van.

Ezeknek a többlet joghatásoknak a megadását az uniós irányelv nem szabályozza, így önmagában az még nem ütközik az irányelvbe, hogy ezeket a joghatásokat a jogalkotó nem adta meg a fokozott biztonságú aláírásnak. A „minősített aláírás” ebben az értelemben minősülhetne egy, az uniós biztonsági szint feletti, további biztonsági szintnek, amely elméletileg beleférne az irányelv által meghatározott „voluntary accreditation scheme” (önkéntes akkreditációs rendszer) fogalmába. A minősítési eljárás azonban a törvényben nem önkéntes akkreditációs rendszerként, hanem az Irányelv szerint kötelezően megvalósítandó hatósági felügyeleti rendszerként jeleni meg (Irányelv 3. cikk 3. bekezdés). Bár az Eat. 2004-es módosítása végül bevezette a törvénybe az önkéntes akkreditáció fogalmát, ez egyrészt nem egyezik a „minősített aláírás” fogalmával, másrészt az önkéntes akkreditációhoz semmilyen jogszabályi vélelem nem fűződik.

Gyakorlati probléma, hogy a jelenlegi jogszabályi tendenciák azt mutatják, a törvény által meghatározott harmadik biztonsági szint várhatóan az egyetlen, ténylegesen is használt aláírási biztonsági szint lesz. Az irányelv lehetővé teszi az implementáló tagállamoknak, hogy a közszférában az elektronikus aláírás használatának további feltételeket szabjanak. Ezzel a lehetőséggel a magyar törvényhozó is élt. A törvény egyrészt az ágazati jogszabályokra bízta, hogy az adott eljárásban mikor lehet az egyes eljárási cselekményeket kizárólag elektronikusan aláírt dokumentumok formájában, a papíralapú iratok mellőzésével foganatosítani. Másrészt felhatalmazást adott a Kormánynak, hogy az egyes közigazgatási szervek által készített elektronikus dokumentumok és az ezekhez felhasznált aláírások, szolgáltatók tekintetében külön követelményeket írjon elő.

Ennek jegyében a Pénzügyminisztérium javaslatára az Országgyűlés elfogadta a pénzügyeket szabályozó egyes jogszabályok módosításáról szóló 2001. évi LXXIV. törvényt, amelyben a Parlament többek között szabályozta az elektronikus aláírás adóhatósági eljárásokban történő alkalmazását, illetve az elektronikus bizonylatok felhasználását a könyvvitelben. A törvény kimondja, hogy elektronikus bizonylatként és az elektronikus adóbevallásban csak minősített aláírással aláírt elektronikus dokumentumokat lehet használni. Míg az elektronikus adóbevallás ilyen szabályozása illeszkedett az Eat. rendelkezéseihez, az elektronikus bizonylatok esetén semmi sem indokolja a minősített aláírás kívánalmát, mivel a papíralapú bizonylatok esetén sem feltétel, hogy az így kiállított okirat teljes bizonyító erejű okiratként minősüljön.

Ehhez kapcsolódó további probléma, hogy a 2001. évi LXXIV. törvény alapján nem csak a minősített aláírás volt feltétel, hanem az is, hogy az adóbevallást, illetve a bizonylatot minősített időbélyegző tanúsítsa. A minősített időbélyegzés azonban szolgáltatóktól függő eseti, időbélyegzésenkénti költséget jelent az adózó, illetve a vállalkozó részére.
Ez az adóeljárásban kevésbé okoz problémát, mivel a fenti szabályozást kevéssel hatályba lépése után, 2004. január 1-jétől hatályon kívül helyezte az új Art. vonatkozó rendelkezése, amely legalábbis az elektronikus adóbevallásra jelenleg jogosult adózók szűk körében csak az APEH által ingyenesen nyújtott „sziget megoldás” használható. A többi adózó 2005. január elsejétől teljesítheti kötelezettségeit ilyen módon.

Ugyanez a költségtöbblet azonban igencsak megnehezíti az elektronikus bizonylatok használatát, hiszen ez bizonylatonként (számlánként, a számla alapjául szolgáló szerződésenként vagy nyilatkozatonként) egy időbélyegzést jelentene (vagy a jelenleg még drágább EDI használatát), ami szolgáltatótól függően már napi szinten összesítve is jelentős költségtöbbletet eredményezhet. Természetesen a pénzügyi kötelezettségek szabályozása során ezek a remélhetőleg átmeneti díjazási problémák nem tekinthetők elsődleges szempontnak, azonban az elektronikus aláírás terjedésének gyorsaságát jelentősen lassítják.

Az elektronikus aláírással kapcsolatos szolgáltatások szempontjából egyébként talán ennél is szomorúbb jelenség, hogy a jelenlegi adóbevallások esetében a pénzügyi szabályozás egyszerűen nem bízik az informatikai szabályozásban, és így alakulhatott ki, hogy a 2004. január 1-jétől hatályos új Art. egyszerűen hatályon kívül helyezte a régi törvény azon rendelkezését, amely szerint az adózók piaci feltételek szerint választott minősített hitelesítés és időbélyegzés szolgáltatást használhatnak az adóbevallásukban, és – legalábbis egyelőre – kötelezővé tette az APEH által ingyenesen és nem piaci feltételek szerint nyújtott, nem az Eat. szerinti jogosultságokon alapuló „állami szolgáltatások” használatát. Természetesen ezeket az alkalmazásokat semmi más célra nem lehet használni, csak adóbevallásra és adatszolgáltatásra, így az itt megszerzett chip-kártyák érdemben nem segítik az elektronikus aláírások használatának terjedését, mivel ahhoz több célú alkalmazások terjedésére volna szükség. A pénzügyi kormányzat tehát így csak saját céljait tartotta szem előtt, még akkor is, ha ezáltal a piacon jelenlévő hitelesítés és időbélyegző szolgáltatók jelentős (néhány ezer nagyobb cégre jutó) bevételtől estek el. Az indoka mindennek pedig – legalábbis az APEH informatikai vezetésének nyilatkozatai szerint – egyszerűen az volt, hogy az adóhatóság nem találta megfelelőnek az elektronikus aláírás szabályozását, nem látta biztosítottnak, hogy a törvény által meghatározott minősített szolgáltatók a hatóság felügyelete alatt az adóbevallások és adatszolgáltatások által megkívánt biztonsággal tudnak működni. Ez természetesen a PKI alkalmazását fontolgató felhasználóknak sem egy bíztató üzenet.

Mint fentebb említettük, a 2004. évi módosítás számos problémát kiküszöbölt, ám - mint minden emberi tevékenységnél - kisebb körben saját maga is új problémákat kreált. Ezek többsége ugyan közvetlen gyakorlati hatással várhatóan nem fog bírni, néhány pontot mégis érdemes kiemelni.

Két érdemi probléma közül az egyik az, hogy a minisztérium - ha lehet ezt mondani - ismét „passzivitásba vonult”, és az egyik normatív jellegű feladatát a hatóságra bízta. Ez pedig a technológia követéssel kapcsolatos azon feladat, hogy az adott technikai szint mellett meghatározza, mi a megfelelő biztonságot nyújtó algoritmus, a szükséges paraméterekkel együtt. A módosított Eat. 18. §-a szerint a hatóság „határozatba foglalja a szolgáltatók által ... használható biztonságos kriptográfiai algoritmusokat és az azok meghatározott paramétereikkel történő alkalmazására vonatkozó követelményeket.” Számos hasonló törekvést tapasztalhattunk az elektronikus hírközlésről szóló törvény, az Eht. előkészítése kapcsán is, azonban ott ugyanaz a jogalkotó végül is teljes egészében lemondott az ilyen normatív tartalmú hírközlési tájékoztatók vagy közlemények érvényesítéséről. A rendelkezés alkotmányellenességére sok szót nem érdemes vesztegetni, hiszen a hatóságok eljárásaik alapján jogokat és kötelezettségeket államigazgatási értelemben vett „ügyfelekre” csak konkrét esetben határozhatnak meg, azaz meghatározott címzettekkel. Az Alkotmánybíróság számtalan esetben kifejezésre jutatta már, hogy az általános normák megalkotásának módja a jogalkotásról szóló törvényben van meghatározva, az ott felsorolt jogszabályok vagy bizonyos körben az állami irányítás egyéb jogi eszközei szerint. Nem véletlen, hogy az Eat. módosítása előtt ezeket az algoritmusokat és paramétereket a miniszter határozta meg, nem pedig a hatóság (bár a miniszter is csak ajánlás szintjén, de ez utóbbi megoldásnak az oka az ún. „new approach” és nem a hazai Alkotmány.)

A másik érdemi probléma az önkéntes akkreditációval kapcsolatos. A módosítás - üdvözölendő módon - ezt a fogalmi hiányosságot az irányelvhez képest pótolta, azonban jól láthatóan ezt a pótlást nem sikerült értékelhető tartalommal megtölteni: „a szolgáltató szervezetének, rendszerének, valamint a szolgáltatás során alkalmazott termékeknek és hálózatnak ... más önként vállalt követelményeknek való megfelelését önkéntes akkreditációs rendszer keretében tanúsíttathatja”. Az ilyen akkreditációs rendszerek működtetőit széleskörű bejelentési kötelezettség is terheli.

A jelenlegi szöveg szerint viszont az „önkéntes akkreditációs rendszerek” nem korlátozódnak az elektronikus aláírási szolgáltatásokkal kapcsolatos sajátos akkreditációs rendszerekre, így egy ISO 9000 szerinti tanúsítást is önkéntes akkreditációnak kellene tekinteni. Őszintén szólva kicsi az esélye annak, hogy egy, az elektronikus aláírási szolgáltatásoktól függetlenül működő tanúsító szervezet teljesíteni fogja az Eat. szerinti bejelentési kötelezettségeit. Ehhez képest már csak részletkérdés az, hogy az Eat. hatálya egyébként az önkéntes akkreditáló rendszerek működtetőire nem terjed ki, hiszen az Eat. 1. §-a szerint a törvényt a szolgáltatókra és az igénybevevőkre kell alkalmazni, a tanúsító szervezetek nem kerültek nevesítésre (függetlenül attól, hogy elektronikus aláírással kapcsolatos-e az akkreditáció vagy sem.)
Az Eat. módosításának egyik fő célja az volt, hogy segítse a jogalkalmazást, pontosítsa a kifejezéseket. Ennek jegyében szűnt meg az eredeti Eat. szövege szerint „tanúsítványtípus” fogalom, amely eredeti formájában nehezen volt alkalmazható, és ezért is már a végrehajtási rendeletek egy kissé más (szűkített) jelentésben használták, az angol „certification policy” megfelelőjeként. A módosítás a törvényi kifejezést törölte, és a végrehajtási rendeletek által használt „tanúsítványtípus” értelemben egy új „hitelesítési rend” fogalmat vezetett be.

Jelenleg a végrehajtási rendeletek eszerinti módosítása még nem készült el, így nem lehet tudni, hogy ezt a változást a jogalkotó mennyiben vezeti át azokba. Az már azonban kérdéses, hogy ez volt-e az Eat. eredeti tanúsítványtípus fogalmának hiányosságait kiküszöbölő legegyszerűbb megoldás, ám ez inkább csak technikai, mint érdemi probléma.

Néhány esetben azonban a fogalmi pontosítás jó szándéka sajnos a szövegszerű érthetőség és pontosság rovására ment. Így megjelent új fogalomként az „elektronikus aláírás és időbélyegző érvényessége” anélkül, hogy pontosan tudni lehetne, itt mire is gondoltak. Eddig ugyanis érvényességről csak a tanúsítványok esetén volt szó, ez utóbbi esetben viszont ennek feltételeit a jogszabályok pontosan körülírták. Az aláírás érvénytelenségét jelenthetné akár a személyes aláírás létrehozó eszköz kompromittálódása vagy a hitelesítés-szolgáltató tanúsítvány tárának illetéktelen általi megváltoztatása is. Hasonló pontatlanság található az „elektronikus aláírás érvényesítését” meghatározó fogalomban is („annak tanúsítása ... elektronikus aláírás vagy ... időbélyegző elhelyezésével, hogy az ... elhelyezett elektronikus aláírás vagy időbélyegző, illetve az azokhoz kapcsolódó tanúsítvány az időbélyegző elhelyezésének időpontjában érvényes volt.”), és ugyanilyen hatással járt az elektronikus dokumentum, irat és okirat közötti különbségtételt megszüntető, talán elnagyoltnak nevezhető szabályozási technika is. Ez utóbbi miatt került az Eat.-be olyan rendelkezés, hogy „az aláíró ... köteles ... tájékoztatni a hitelesítés szolgáltatót ... c) az aláírással vagy az így aláírt elektronikusan aláírt elektronikus dokumentummal ... kapcsolatban észlelt .... rendellenességről.

dr. Ormós Zoltán, dr. Homoki Péter
Ormós Ügyvédi Iroda

előző oldal   |  2/2  |  

 Kapcsolódó írásaink:
Kulcspár és lenyomat – az elektronikus aláírás elméleti alapjai
Az időbélyegzés alapfogalmai
Elektronikus aláírás




Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2011 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.