11.3. Jogi háttér

A nyilvános kulcsú infrastruktúra lehetőséget biztosít a titkosításon túl számos elektronikus tranzakció biztonságos végrehajtására a felek között. A gyakorlatban a közreműködő felek lehetnek magánszemélyek, jogi társaságok, kormányzati szervek illetve ez utóbbiak képviselői. Ezen túlmenően a PKI, mint a globális Internet egyik tipikus terméke, határokon, sőt tengereken és óceánokon árnyúló alkalmazásokat is lehetővé tesz.

Az egyes felek közötti tranzakció, legyen az akár pénzügyi vagy jogi vonatkozású alapvetően két típusba sorolható: amikor a felek egyazon szervezethez tartoznak és egy belső szabályzat érvényes rájuk, illetve amikor több különböző szervezet tagjai vagy képviselői kívánnak olyan tranzakciót végrehajtani, amire valamilyen jogi szabályozás vonatkozik illetve valamilyen jogilag is elismert, jogi következményekkel járó megállapodás vagy ügylet végrehajtása a cél. A helyzet ez utóbbi esetben kifejezetten bonyolult: az egyes felekre egyidejűleg több szabályozás is vonatkozhat és gyakran az sem egyértelmű, hogy melyik az érvényes és a szabályozások egyidejű megkövetelése ellehetetlenítené az egész tranzakciót. A nemzeti szabályozások a szokásos néhány éves késéssel követték a PKI létesítésére jelentkező igényeket. A PKI iránti igény globalitását jelzi, hogy a szabályozás a Föld legtöbb országában kis késéssel megtörtént és nagyon hasonló eredményt hozott.

Hogy az egyes elektronikus tranzakciók valamiféle jogi következménnyel járjanak, szükséges az elektronikus tranzakciók jogi elismerése és szabályozása Ebben a részben át fogjuk tekinteni azokat a kezdeményezéseket, amelyek elindították azt a folyamatot, amely még ma is tart és célja az elektronikus tranzakciók jogi gyakorlatba való beültetése és általánosan használhatóvá tétele mind nemzeti mind nemzetközi szinten.

11.3.1. Amerikai Törvényszéki Egyesület - Digitális Aláírási Irányvonalak

Az első a sorban az Amerikai Törvényszéki Egyesület (American Bar Association - ABA) Digitális Aláírási Irányvonalak elnevezésű 1995-ben megszületett dokumentuma, amely megalapozta a digitális aláírás jogi eljárásokban való felhasználhatóságát és lehetővé tette a digitális aláírás törvényi szabályozását.

Az Amerikai Törvényszéki Egyesület irányvonalai alapján azóta majdnem minden államban született valamiféle szabályozás a digitális aláírásokat illetően.

Az egyes államok gyakorlatát követve és a digitális aláírás gyakorlatának egységes nemzeti jogi kereteket adva, 2000-ben megszületett az E-Sign törvényi szabályozás (U.S. Electronic Signatures in Global and National Commerce Act). A szabályozás az USA-ban minden nemzetközi vagy belföldi kereskedelmi tranzakcióban lehetővé teszi a digitális aláírás használatát. A szabályozás nem nyilatkozik az egyes aláírások bizonyítóerejéről, csupán azt köti ki, hogy a bírósági eljárások során nem lehet figyelmen kívül hagyni az érvényességét, jogosságát vagy bizonyítóerejét egy digitális aláírásnak, pusztán annak elektronikus jellege miatt.

Az E-Sign szabályozás szerint az elektronikus aláírás:"elektronikus hang, szimbólum, vagy eljárás, amely a szerződéshez vagy más okirathoz van csatolva vagy azzal összefüggésbe hozható és amelyet az okiratot aláírni szándékozó személy hajt végre vagy alkalmaz."

Ez a definíció meglehetősen tág teret ad az elektronikus aláírás fogalmának. Ennek alapján elektronikus aláírásnak tekinthető a digitális aláíráson túl egy sor egyéb dolog is. Megfelel a definíciónak például a konvencionális aláírás digitalizált változata vagy egy digitálisan tárolt ujjlenyomat, a dokumentumot aláírni kívánó személy hangja, esetleg valamiféle jelszót vagy nyilatkozatot felmondva, vagy akár szimplán az aláíró nevének digitálisan tárolt, kiírt változata. Az egyes típusok között természetesen hatalmas eltérések vannak biztonság szempontjából. Az E-Sign nem nyilatkozik arról, hogy melyek milyen körülmények között tekinthetőek bizonyítóerejűnek, ennek eldöntését a tranzakciót végző felekre hagyja.

11.3.2. EU Elektronikus Aláírás Irányelv

Az Európai Únió 1999. december 13.-án kiadott egy a digitális aláírásokra vonatkozó irányelvet (Electronic Signature Directive). Az irányelv célja, hogy összehangolja a tagállamok elektronikus aláírásokra vonatkozó jogi szabályozását. Az EU irányelv (mint ahogy azt a magyar törvényeknél is látni fogjuk) három kategóriába sorolja az elektronikus aláírásokat. A legtágabb kategória az elektronikus aláírások kategóriája és az E-Sign -hez nagyban hasonló álláspontot képvisel: "olyan elektronikus formájú adat amely más elektronikus adathoz kapcsolódik vagy logikailag összefüggésbe hozható vele és amely az azonosítás módszereként szolgál."

Az E-Sign-hez hasonlóan az EU ajánlás is kiköti, hogy az elektronikus aláírások bizonyítóerejét nem lehet megtagadni kizárólag azért, mert elektronikus formájúak, továbbá kiegészíti azzal, hogy önmagában az sem lehet kizáró ok, hogy az aláírás nem minősített tanúsítványon alapszik vagy, hogy a minősített tanúsítványt nem akkreditált hitelesítő szervezet adta ki továbbá, hogy az aláírást nem biztonságos aláíró eszközzel készítették. Ez természetesen nem jelenti azt, hogy bármilyen jellegű elektronikus aláírást egyforma bizonyító erejűnek kell elfogadni, csupán annyit, hogy jogi eljárásban a felhasználhatóságukat nem lehet csak az elektronikus mivoltukra alapozott érvek hatására megtagadni.

Az EU irányelv ezen felül definiálja az úgynevezett Fejlett Elektronikus Aláírás (Advanced Electronic Signature) fogalmát is, amely további követelményeket támaszt az elektronikus aláírásokkal kapcsolatban. Nevezetesen, szükséges, hogy a Fejlett Elektronikus Aláírás egyértelműen összeköttetésbe hozható legyen az aláíróval, annak alapján megoldható legyen az aláíró azonosságának meghatározása. Olyan körülmények között szülessen amelyeket az aláíró teljes mértékben és kizárólagosan felügyel. Végezetül, oly módon kötődjön az aláírt adatokhoz, hogy azok későbbi módosítása felismerhető legyen.

A szabályozásban említésre kerülnek olyan fogalmak, mint minősített tanúsítvány, hitelesített tanúsítványkiadó illetve biztonságos aláíró eszköz. A dokumentumban ezek is definiálásra kerülnek és ezzel is jobban meg lesznek határozva a technikailag alátámasztott és a gyakorlatban is biztonságosnak ítélt aláírások. Amint az az alapelvben is szerepel, ezen kritériumok hiánya önmagában nem lehet az aláírás jogi alkalmazásának kizáró oka. (ref eucom)

A minősített tanúsítványnak a következőket kell tartalmaznia:

  • utalás arra, hogy a tanúsítványt minősített tanúsítványként bocsátották ki;

  • a hitelesítés szolgáltató azonosítója, továbbá az az ország, amelyben székhellyel rendelkezik;

  • az aláíró neve, vagy pedig egy álnév, amely ilyenként azonosítandó;

  • olyan rendelkezés, amely alapján az aláíró valamely egyedi jellemzője – a tanúsítvány felhasználási céljától függően – adott esetben feltüntethető;

  • az aláíró által birtokolt aláírás-létrehozó adatnak megfelelő aláírás-ellenőrző adat;

  • a tanúsítvány érvényességi idejének kezdete és vége;

  • a tanúsítvány azonosító kódja

  • a tanúsítványt kibocsátó hitelesítés szolgáltató fokozott biztonságú elektronikus aláírása,

  • adott esetben a tanúsítvány felhasználásának korlátai,

  • adott esetben azon ügyletek értékhatára, amelyekre vonatkozóan a tanúsítvány felhasználható.

A minősített tanúsítványokat kiállító hitelesítés szolgáltatóra vonatkozó követelmények: a hitelesítés szolgáltató köteles

  • bizonyítani a hitelesítés szolgáltatás nyújtásához szükséges megbízhatóságot;

  • gyors és biztonságos nyilvántartási szolgáltatás, valamint biztonságos és azonnali tanúsítvány-visszavonási szolgáltatás fenntartását biztosítani,

  • biztosítani azt, hogy a tanúsítványok kibocsátásának és visszavonásának dátuma és időpontja pontosan meghatározható legyen,

  • megfelelő eszközökkel a nemzeti jogszabályokkal összhangban igazolni annak a személynek az azonosságát, és – adott esetben – egyedi jellemzőit, akinek a részére a minősített tanúsítványt kibocsátották,

  • olyan munkatársakat alkalmazni, akik rendelkeznek a nyújtott szolgáltatásokhoz szükséges szaktudással, tapasztalattal és képesítéssel, valamint különösen hozzáértéssel a vezetők szintjén, szakértelemmel az elektronikus aláírási technológiában, és ismeretekkel a megfelelő biztonsági eljárásokat illetően; ezenfelül köteles olyan ügykezelési és ügyvezetési eljárásokat alkalmazni, amelyek az elismert szabványoknak megfelelnek,

  • megbízható rendszereket és termékeket használni, amelyek a változtatásokkal szemben védettek és biztosítják az általuk támogatott eljárások műszaki és titkosítási biztonságát,

  • intézkedni a tanúsítványok hamisítása ellen, valamint abban az esetben, ha a hitelesítés szolgáltató hozza létre az aláírás-létrehozó adatokat, az ilyen adatok létrehozása során a bizalmas kezelést biztosítani;

  • megfelelő pénzügyi erőforrásokkal rendelkezni az irányelvben megfogalmazott előírásoknak megfelelő működéshez, és különösen – például megfelelő biztosítás kötése által – vállalni a kártérítési felelősség kockázatát;

  • az egy adott minősített tanúsítványra vonatkozó valamennyi lényeges információt megfelelő időszakon keresztül rögzíteni, elsősorban a tanúsításra vonatkozó bizonyíték bírósági eljárások során történő szolgáltatása céljából. Az ilyen rögzítés végezhető elektronikus úton;

  • tartózkodni azon személy aláírás-létrehozó adatainak a tárolásától, illetve másolásától, akinek kulcskezelési szolgáltatásokat nyújtott;

  • mielőtt az elektronikus aláírásának tanúsítvánnyal történő hitelesítését igénylő személlyel szerződéses jogviszonyra lépne – tartós kommunikációs eszköz segítségével tájékoztatni az igénylőt a tanúsítvány használatának pontos feltételeiről, így többek között a használat esetleges korlátairól, önkéntes akkreditációs rendszer létezéséről, továbbá a panasztételre és a jogviták rendezésére szolgáló eljárásokról. Az ilyen, elektronikusan is továbbítható információt írásban és közérthetően kell rögzíteni. Az információ megfelelő részeit a tanúsítványra hivatkozó harmadik személy számára is – kérésére – rendelkezésre kell bocsátani,

l) megbízható rendszert használni a tanúsítványok ellenőrizhető formában történő tárolására, oly módon, hogy:

  • kizárólag engedéllyel rendelkező személyek végezhessenek bejegyzéseket és változtatásokat,

  • ellenőrizhető legyen az információ hitelessége,

  • a tanúsítvány kizárólag a tanúsítvány jogosultjának hozzájárulásával legyen nyilvánosan kereshető, és

  • az e biztonsági előírásokat veszélyeztető műszaki változások az üzemeltető számára érzékelhetővé váljanak.

A biztonságos aláírás-létrehozó eszközökre vonatkozó követelmények

1. A biztonságos aláírás-létrehozó eszközöknek megfelelő műszaki és eljárási módok segítségével garantálniuk kell legalább azt, hogy:

  • az aláírás létrehozásához használt aláírás-létrehozó adatok gyakorlatilag csak egyszer jöhessenek létre, és titkosságuk ésszerű mértékig biztosított legyen,

  • az aláírás létrehozásához használt aláírás-létrehozó adatok kikövetkeztethetősége ésszerű mértékig kizárt legyen, az aláírás pedig a jelenleg rendelkezésre álló technológiát alkalmazó hamisítás ellen védett legyen;

  • az aláírás létrehozásához használt aláírás-létrehozó adatokat a jogszerűen aláíró személy megbízhatóan védeni tudja a mások általi felhasználással szemben.

2. A biztonságos aláírás-létrehozó eszközök nem módosíthatják az aláírással ellátandó adatokat, és nem akadályozhatják meg, hogy az adatokat az aláíró az aláírási eljárás előtt megtekintse.

Ezeknek a kezdeményezéseknek a végső célja, hogy az elektronikus kereskedelmet minden szinten lehetővé tegye. Ennek fényében az EU ajánlás például teljes mértékben technológia független és ezt a megközelítést jelöli ki irányvonalnak a tagállamok számára is.

Az E-Sign esetében már nem ilyen kedvező a helyzet. Az E-Sign -t időben megelőzték az egyes államok elektronikus aláírásra vonatkozó szabályozásai, ezért - bár az E-Sign maga technológia független - több államban is léteznek valamely technológiai megoldást nevesítő vagy előnyben részesítő törvényi szabályozások. Ezt a problémát megoldandó az E-Sign szabályozás kötelezi az egyes államokat az Egységes Elektronikus Tranzakciókról szóló Törvény (UETA - Uniform Electronic Transactions Act) alkalmazására vagy pedig egy technológia semleges jogi álláspont felvételére. Fontos megjegyezni, hogy mindezek csupán irányvonalak és hogy az egyes tagállamok konkrét törvényi szabályozásai meglehetősen különbözőek lehetnek. Ezért a gyakorlatban az alkalmazott szabályok megválasztása gondot okozhat, hiszen könnyen előfordulhat, hogy a felekre más szabályozás vonatkozik, amik esetleg nagyon távol álnak egymástól követelményekben, sőt akár ellentmondásosak is lehetnek.

A különböző szabályozások meglehetősen zavarossá teszik a helyzetet abban az esetben is ha az egyes PKI szolgáltatók megállapodnak valamely elnevezési terület felosztásában. A helyzetet tovább bonyolítja, hogy a technológia (lásd a tanúsítványokról szóló fejezetet) többféle ezzel kapcsolatban felmerülő igényt (lásd a PKI architektúrákról szóló fejezetet) is kielégít, ennek megfelelően többféle megoldás és kapcsolat is előfordulhat, amelyekre az esetlegesen eltérő jogi szabályozásokat egyeztetni kell.

A fent említett szabályozások az egyes gazdasági szereplők, jogi személyek közötti tranzakciók szabályozására szolgálnak. Felmerülhet a kérdés, hogy milyen szabályozásra illetve jogi megfontolásokra van szükség abban az esetben, ha a egy belső biztonsági rendszerről van szó és csupán az adott szervezet tagjai, alkalmazottjai használják belső kommunikációra, belső tranzakciók elvégzésére. Logikusnak tűnhet az álláspont miszerint belső biztonsági ügyekről lévén szó, az ilyen esetekre vonatkozzon a szokásos belső szabályzat és eljárásrendszer. Felmerülhetnek azonban olyan esetek, amikor általános jogorvoslatra van szükség. Mint például akkor, amikor egy gazdasági társaság által hozott elégtelen óvintézkedések, rosszul meghatározott biztonsági paraméterek vagy hibás biztonsági szabályzat miatt az alkalmazottak személyes adatai kompromittálódnak. Vagy amikor valamely alkalmazott gondatlan eljárása miatt az azonosítására szolgáló adatok idegen kezekbe kerülnek és ezáltal a gazdasági társaság jelentős anyagi kárt szenved, esetleg a konkurensek értékes adatokhoz juthatnak hozzá.

Ezekre megoldás lehet a fenti ajánlások követése illetve olyan PKI szolgáltató választása, amely megfelel a fenti követelményeknek.

11.3.3. Magyarországi szabályozások

Magyarországon az előző bekezdésben felsorolt lehetőségeket, üzleti gyakorlatot több különböző törvény illetve rendelet legitimálja, szabályozza. Mindezek alapja a 2001. május 29-én az Európai Unió ajánlásaival összhangban elfogadott, az elektronikus aláírásról szóló 2001. évi XXXV. törvény. A törvény, amellyel a 4.2 fejezetben részletesen foglalkoztunk, legitimálja az elektronikus gazdaságot, szabályozza az interneten már létező szerződéses viszonyokat és megteremti az online tranzakciók jogi keretét.

A törvény definiálja az elektronikus aláírások és az elektronikus dokumentumok kategóriáit. Az interneten lefolytatott tranzakciók és jogügyletek ezek alapján már beilleszthetőek a hagyományos jogi szabályozás rendszerébe, ezáltal rájuk is vonatkoztathatóak lesznek a hagyományos jogi biztosítékok és konstrukciók.

A jogszabály következményeképp minősített elektronikus aláírással ellátott bármely elektronikus okirat teljes bizonyító erejű magánokiratnak minősül, ha az alkalmazott tanúsítványt egy minősített hitelességszolgáltató adta ki.

Az elektronikus számláról szóló 20/2004. (IV. 21.) PM rendelet az elektronikus számlák előállításának és megőrzésének szabályairól rendelkezik. A rendelet szerint az elektronikus számlázáshoz szükséges fokozott biztonságú elektronikus aláírással és időbélyegzővel ellátni a kibocsátott számlát. A rendelet szerint biztosítani kell továbbá a számla olvashatóságát az őrzési időszak alatt. A számvitelről szóló 2000. évi C. törvény 169. § (5) bekezdése az elektronikus formában kiállított bizonylatok elektronikus formában való megőrzését követeli meg. A törvény (6) bekezdése lehetővé teszi az eredetileg papír alapon kiállított bizonylatok megőrzését elektronikus formában is.

Az Oktatási Minisztérium a 20/2004. számú rendeletének értelmében a szakmai vizsgák szervezői kötelesek, a szakmai vizsgák összesítő lapjait elektronikus formában, legalább fokozott biztonságú elektronikus aláírással ellátva, a vizsgát követő 30 napon belül elküldeni a Nemzeti Szakképzési Intézetnek.

A 2006. évi V. törvény alapján 2008. július 1-től a cégbejegyzési, változásbejegyzési kérelem csakis elektronikusan nyújtható be, továbbá a céginformáció lekérése is kizárólag elektronikusan lehetséges valamennyi cégforma esetén. Az egyszerűsített cégeljáráshoz szükséges dokumentumok már 2007. szeptember 1. óta csak elektronikus formában nyújthatók be.