Törvényben rögzített e-titkok

Bár mintegy másfél éve hatályban van már az elektronikus aláírásról szóló törvény, informatikusok és jogászok a mai napig vitatkoznak azon, hogy a jogszabály vajon valóban tiltja-e az elektronikus üzenetek titkosítását.

A zavart feltehetően az okozza, hogy a jogszabály szövege kissé kerülgeti a forró kását, ahelyett, hogy egyértelműen megtiltaná a számára nem kívánatos cselekményeket, ha ezt feltétlenül indokoltnak tartja.

A törvény részletesen szabályozza az aláíró jogait és kötelességeit az elektronikus aláírás-hitelesítés szolgáltatásának igénybevétele körében. E rendelkezések között elbújtatva, a 13. § (4) bekezdésében található az alábbi jogszabályhely:

"Az aláíró az aláírás-létrehozó adatot kizárólag az aláírás létrehozására használhatja, betartva a tanúsítványban jelzett esetleges egyéb korlátozásokat is."

Az értelmező rendelkezésekből tudható, hogy "aláírás-létrehozó adat" alatt a törvény jellemzően a magánkulcsot érti. Tekintettel azonban arra, hogy a magánkulcs-nyilvános kulcs kettőse nemcsak az aláíró azonosítására, hanem az üzenet titkosítására is alkalmazható a gyakorlatban, az előbb idézett törvényhelyből valóban az következik, hogy - miután a titkosítás más, mint az aláírás - a magánkulcs titkosításra nem használható.

Kétség esetén megerősíti ezt az értelmezést a törvényhez fűzött miniszteri indoklás, amely ugyan nem jogforrás, de jogászok mindig is segítségül szokták hívni, ha a jogalkotói szándékot szeretnék kideríteni, és ehhez maga a törvény nem elég (bár egyre gyakrabban az indoklás sem alkalmas erre).

A szóban forgó rendelkezéshez fűzött miniszteri indokolás a következőképpen hangzik:

"A (4) bekezdés nemzetbiztonsági érdekből nem teszi lehetővé az aláírás-létrehozó adatnak (magánkulcsnak) titkosítás céljából történő felhasználását."

Ez félreérthetetlen megfogalmazása a jogalkotói akaratnak, bár mindannyiunk dolga könynyebb lenne, ha magában a törvényben szerepelne, de ez most másodlagos jelentőségű.

A fontos az, hogy ezek szerint az elektronikus aláírás titkosításra nem alkalmazható. Első körben két dolgot érdemes ezzel kapcsolatban megjegyezni. Az egyik az, hogy a titkosítást csak a szigorúan vett aláírás-létrehozó adatra tiltja a törvény, de nem zárja ki azt, hogy az üzenetet váltó felek például rejtjelezve, előre megbeszélt kód alapján értelmezhetően cseréljenek eszmét egymással. (Ebbe belegondolva hátborzongató, hogy például milyen veszélyeket hordozhat egy "Apukám, hazafelé vegyél tejet és pelenkát!" szövegezésű üzenet.)

A másik, hogy a kérdéses törvényhely klasszikus példája annak, amit jogászok lex imperfectának, vagyis befejezetlen törvénynek hívnak. Azokat a jogi normákat illetik ezzel az elnevezéssel, amelyek előírnak, vagy tiltanak ugyan valamit, de ennek megsértéséhez nem rendelnek jogkövetkezményt. Ebben az esetben például nem mondja azt a jogalkotó, hogy aki mégis titkosításra használja a magánkulcsát, az ilyen vagy olyan szankciókkal néz szembe. Minderre anélkül érdemes felhívni a figyelmet, hogy bárkit is nyílt jogsértésre buzdítanék.

Ami azonban az inkriminált tilalmat illeti, annak mind az elméleti megalapozottsága, mind pedig az alkotmányossága erősen kétséges. A két dolog persze szorosan összefügg, hiszen az alkotmányosság egy tilalom esetében feltételezi az elméleti megalapozottságot. Lássuk, hogyan.

Az alkotmány mindenekelőtt azt az alapelvet fekteti le, hogy a Magyar Köztársaság jogállam. Ez egyrészt azt jelenti, hogy az állam működésének jogszerűnek és kiszámíthatónak kell lennie, vagyis a jogi normáknak egyértelműnek kell lenniük. Másrészt jelenti azt is - és ez egy tartalmi kritérium -, hogy ha az állam tilt valamit, akkor azt alapos okkal, és csak a szükséges mértékben szabad megtennie.

Az alkotmány szerint az állam elismeri az ember sérthetetlen és elidegeníthetetlen alapvető jogait, ezek védelmezése az állam elsőrendű kötelessége.

Az alapvető jogok között sorolja fel az alkotmány a magántitokhoz való jogot. E jog jelentőségét mutatja, hogy az alaptörvény olyan más jogokkal említi egy bekezdésben, mint a jó hírnévhez, a magánlakás sérthetetlenségéhez vagy éppen a személyes adatok védelméhez való jog.

Amikor tehát a törvény megtiltja a magánkulcs titkosításra történő felhasználását, a magántitokhoz való alapvető jogot korlátozza. Önmagában ezzel még nem volna baj, ha a tilalom megfelelne az alapjogi korlátozás alkotmányos követelményeinek, amelyeket az Alkotmánybíróság (leegyszerűsítve) a szükségesség és az arányosság fogalmaival jelölt. Ez azt jelenti, hogy az alapjog korlátozása csak akkor felel meg az alkotmányosság mércéjének, ha arra egy másik alapjog érvényesülése érdekében feltétlenül szükség van, és a jogalkotó a cél eléréséhez a lehető legenyhébb (tehát nem aránytalanul súlyos) eszközt választja.

A magánkulcs titkosításra való felhasználását a jogalkotó - amint a fentebb idézett indoklásból kiderül - nemzetbiztonsági érdekre hivatkozva tiltotta meg. Ez a meghatározás - minthogy túl tág, ezért kiszámíthatatlanul értelmezhető - önmagában is ellentétben állni látszik a jogbiztonság, vagyis a jogállamiság követelményével. De ez csak egy formai megfontolás.

A tartalmi kérdés az, hogy feltétlenül szükséges-e a nemzetbiztonsági érdek megvédése szempontjából a magántitok körének korlátozása. Más szóval: ha nem lehetne titkosítani az üzeneteinket, akkor feltétlenül biztosítva lennének-e nemzetbiztonsági érdekeink?

A magam részéről azt hiszem, nem. Az üzenetek titkosítása nélkül is számtalan módon sérülhetnek nemzetbiztonsági érdekek, hiszen a veszélyt jelentő személyek és szervezetek, valamint ezek üzenetei számtalan jogszerű módon maradhatnak rejtve a hatóságok elől. Az elektronikus utat egyre szélesebb körben alkalmazóknak ugyanakkor alapvető alkotmányos joguk, hogy magántitkaikat biztonságban tudhassák. E tekintetben az elektronikus üzenetváltás csak technológiai értelemben tér el például egy hagyományos postai levéltől. Ha a magántitokhoz való jogot korlátozni lehetne a nemzetbiztonság érdekeire hivatkozva, akkor holnaptól meg kellene tiltani a lezárt borítékok használatát is.

Ezt az érvelést fejtette ki az adatvédelmi biztos még 2001 februárjában, tehát a törvény megszületését jóval megelőzően. Érdemes ezért ebből az állásfoglalásból viszonylag hosszabban idézni:

"A hálózat közegében fokozottan sérülékeny a magánszféra: az üzenetekben továbbított személyes adatok biztonsága csak megfelelő titkosítóeszközök használatával érhető el. Az ilyen szoftverek használatával végzett polgári célú titkosítás jelenleg Magyarországon nem tiltott. Nemzetközi példák nyomán várható, hogy a rendvédelmi szervek részéről felmerül az az igény, hogy a polgári célú titkosítás alkalmazását az állam szabályozza, s a szabályozás bizonyos jogi feltételek fennállta mellett biztosítja e szervek számára a kulcsokhoz történő hozzáférést. A nemzetközi példák nyomán arra az álláspontra jutottam, hogy a polgári célú kriptográfia jogszerű használatának korlátozása káros, a bűnüldözés hatékonysága szempontjából előnyei kétségesek, viszont a személyes adatok védelme szempontjából hátrányai kétségtelenek."

A próféta szólt Majtényi László akkori adatvédelmi biztosból. Amitől tartott, bekövetkezett. Talán a fentiekből kiderül, hogy a választott módszer finoman szólva nem áll tökéletes összhangban az alkotmánnyal. A magam részéről ezért kértem az Alkotmánybíróságot, hogy állapítsa meg a törvény kérdéses rendelkezésének alkotmányellenességét, és semmisítse azt meg.