Jó szándékkal kikövezve

A jövőben megszűnik a minősített hitelesítésszolgáltatók előzetes minősítési eljárása, ehelyett a hatóság a feltételek meglétét utólag ellenőrzi. Ez derül ki az elektronikus aláírásról szóló törvény módosításának tervezetéből, amely igyekszik pontosítani a fogalmakon, és új szolgáltatásokat is nevesít, így - a régóta fennálló igénynek téve eleget - szabályozza az elektronikus archiválást is.

Már két és fél év is elegendőnek bizonyult ahhoz, hogy az elektronikus aláírásról szóló törvény megérjen az első nagyobb lélegzetvételű módosításra. Az erről szóló miniszteri előterjesztés szerint a változásra részben a fogalmak pontosítása, a szolgáltatások új meghatározásainak beiktatása, részben pedig a szemléletbeli változás miatt van szükség. Az Európai Unió megbízottja által a törvény gyakorlati alkalmazásáról végzett vizsgálat ugyanis kimutatta, hogy a minősített hitelesítésszolgáltatókra vonatkozó előzetes minősítési eljárás de facto engedélyezést jelent, holott az uniónak az elektronikus kereskedelmi, illetve aláírás-hitelesítési szolgáltatásokra vonatkozó alapelve szerint azok előzetes engedélyezéshez nem köthetők.

Erre tekintettel a módosítás egyik legfőbb újítása, hogy megszünteti a minősített hitelesítésszolgáltatókra a tevékenység megkezdéséhez előírt előzetes minősítési eljárás kötelezettségét. Csak emlékeztetőül: a minősített hitelesítésszolgáltatóknak eddig szigorúbb személyi, pénzügyi és szakmai feltételeket kellett teljesíteniük, viszont az általuk kibocsátott tanúsítvánnyal hitelesített elektronikus aláírás ugyanolyan bizonyító erővel ruházta fel az elektronikus okiratot, mint a "papírvilágban" az úgynevezett teljes bizonyító erejű magánokirat. Ez azt jelenti, hogy a benne foglalt nyilatkozatot az ellenkező bizonyításáig valónak kell tekinteni. Ehhez képest a csak fokozott biztonságú szolgáltató enyhébb feltételeknek tesz eleget, így az általa kibocsátott tanúsítványhoz nem fűződik ez a bizonyító erő.

Fennmarad az az előírás, hogy a fokozott biztonságú és a minősített hitelesítésszolgáltatók a tevékenységüket egyaránt csak akkor kezdhetik meg, ha azt előzetesen - legalább harminc nappal - bejelentették a hatóságnak, amint az is, hogy akár fokozott biztonságú, akár minősített elektronikus aláírás és időbélyegző előállításához csak olyan eszköz használható, amely rendelkezik az erre feljogosított szervezetek tanúsítványával.

A változás abban áll majd, hogy a módosítás hatálybalépését követően a minősített szolgáltatóknak nem kell a tevékenység megkezdése előtt a szigorúbb feltételek fennállását igazoló minősítést beszerezniük.

A javaslat úgy fogalmaz, hogy a minősített szolgáltatónak folyamatosan meg kell felelnie a személyi, pénzügyi, szakmai és egyéb feltételeknek, a hatóság pedig ezt a körülményt a szolgáltatás megkezdését követő 30 napon belül megvizsgálja. Fontos változás, hogy a minősített szolgáltatónak tájékoztatnia kell az ügyfelet arról is, ha ez a vizsgálat az adott esetben még nem zárult le. Sajnálatos, hogy a módosítás nem rendelkezik a hatóság hallgatásának esetéről, nevezetesen arról, hogy ezt a versenypozíciót jelentősen befolyásoló körülményt meddig kell az ügyfélnek jelezni. Nyilvánvaló ugyanis, hogy az ügyfél bizalmatlansággal kezeli majd azt a szolgáltatót, amelyiknél a vizsgálat még nem fejeződött be - holott adott esetben ez nem a szolgáltatón, hanem a hatóságon múlik.

A bejelentés szabályai szigorodnak. A fokozott biztonságú szolgáltatókra vonatkozó, a bejelentéshez csatolandó igazolások köre kibővül olyanokkal is, amelyeket a törvény eddig csak a minősített szolgáltatókra kívánt meg. Így például a fokozott biztonságú szolgáltatónak is igazolnia kell a nála dolgozók büntetlen előéletét, és ami talán lényegesebb, a felelősségbiztosítás és az egyéb pénzügyi erőforrások meglétét. Ez utóbbiak mértékét jelenleg a törvény felhatalmazása alapján kiadott miniszteri rendelet szabályozza, arról pedig egyelőre nincs hír, hogy az abban foglaltakban várható-e változás. Zárójelben érdemes megjegyezni, hogy ezt követően a fokozott biztonságú és a minősített szolgáltatók közötti különbség lényegében pénzügyi természetű lesz, hiszen a bejelentéshez mindkét fajtájú szolgáltatónak ugyanazokat a tényeket kell igazolnia. Megfontolandó, hogy ilyen körülmények között érdemes-e egyáltalán fenntartani a megkülönböztetést fokozott biztonságú és minősített szolgáltató között.

Egy újabb zárójelben pedig azt érdemes megjegyezni, hogy nyilván igaza van az EU küldöttének, aki az uniós alapelvre hivatkozva sérelmezte az előminősítési eljárást, mondván, hogy az gyakorlatilag az engedélyezésnek felel meg, amit az unió kifejezetten tilt. Nem mellékes szempont ugyanakkor, hogy a minősített elektronikus aláírás, mint arról már szó volt, olyan bizonyító erőt kölcsönöz egy elektronikus okiratnak, mint amilyet például a közjegyzői hitelesítés vagy az ügyvédi ellenjegyzés egy papíron lévő nyilatkozatnak. Márpedig ezekhez jogok és kötelezettségek kapcsolódnak, adott esetben perdöntő bizonyítékok lehetnek, ezért nem biztos, hogy mellőzni kellene az előzetes ellenőrzésnek azt a gyakorlatát, amely egyébként irányadó például a közjegyzők vagy az ügyvédek esetében.

Régóta várt szabályokat iktat be a törvénybe a jogalkotó az elektronikus archiválásra vonatkozó új rendelkezésekkel. Az archiválási szolgáltatás szempontjából kulcsfogalom az úgynevezett érvényességi lánc, amely szintén új elemként jelenik meg a törvény fogalommeghatározásai között. Az érvényességi lánc az elektronikus dokumentum (vagy annak lenyomata) és az azon egymáshoz rendelhető információk sorozata, amelyek segítségével megállapítható, hogy az elektronikus dokumentumon elhelyezett, fokozott biztonságú elektronikus aláírás vagy időbélyegző, illetve az azokhoz kapcsolódó tanúsítvány az aláírás és az időbélyegző elhelyezésének időpontjában érvényes volt. Az információk különösen a tanúsítványokra, illetve az aláírás-ellenőrző adatokra, vagyis jellemzően a felhasználó magánkulcsára vonatkozhatnak. Az archiválási szolgáltatás keretében a szolgáltató a letagadhatatlanság és a dokumentumok biztonságos megőrzése céljából archiválja az érvényességi láncot, biztosítja annak sérthetetlenségét, és kérelemre igazolást ad róla azzal a dokumentummal kapcsolatban, amelyet archivált.

Az archiválási szolgáltatás - a hitelesítésszolgáltatással ellentétben - végezhető úgy is, hogy az igénylő a személyazonosító adatait nem adja át a szolgáltatónak. A szolgáltató ugyanakkor értelemszerűen ellenőrzi magának a dokumentumnak az elektronikus aláírását, a további információkat (például a tanúsítványra vonatkozó adatokat) pedig úgy kell beszereznie, hogy az érvényességi lánc hosszú távra vonatkozzon. Hoszszú távon a törvény azt az időtávot érti, amelyen belül az aláírási algoritmus visszafejthető, vagy adott esetben az azt hordozó médium, illetve a megjelenítő szoftver kereskedelmi forgalomban még kapható. A hatóság az erre vonatkozó adatokat folyamatosan közzéteszi, a szolgáltatónak pedig ezt figyelemmel kísérve folyamatosan fenn kell tartania az archiválás biztonságát. Ezen a törvénymódosítás azt érti, hogy a szolgáltatás kizárja az utólagos módosítás, és az illetéktelenek hozzáférésének lehetőségét, ugyanakkor biztosítja a jogosultak hozzáférését és a dokumentumok folyamatos értelmezhetőségét, azaz olvashatóságát. Maga a szolgáltató azonban a dokumentum tartalmát csak az igénylő előzetes, írásos engedélyével ismerheti meg.

Megjelent egy új fogalom is, a lenyomat. Ez a gyakorlatból már ismert kifejezés a módosítás szerint olyan, "meghatározott" (hogy ki által, az nem derül ki) hosszúságú, az elektronikus dokumentumhoz rendelt bitsorozat, amelynek képzése során a használt eljárás megfelel három feltételnek. Az első, hogy a képzett lenyomat egyértelműen származtatható legyen az adott elektronikus dokumentumból. A második, hogy a lenyomatból ne lehessen visszafejteni a dokumentumot. A harmadik pedig, hogy a lenyomat alapján ne lehessen utólag létrehozni olyan elektronikus dokumentumot, amelyből a használt lenyomatképező eljárás alkalmazásával ugyanaz a lenyomat képződik. A jogalkalmazók csak remélhetik, hogy az első feltételben az "egyértelműen" szó azt jelenti, hogy a lenyomat abból, és csak abból a dokumentumból származtatható, amelyből azt képezték. Megjegyzendő még, hogy a második és a harmadik feltétel körében a módosítás szerint az adott időpontban "elvárható biztonsági szint" az irányadó, ami jogvita esetén nélkülözhetetlenné teszi majd szakértői vélemény beszerzését.

Az általánosnál szigorúbb felelősségi szabályokat ír elő a módosítás az archiválási szolgáltatók által okozott kár esetére, míg ugyanis a hitelesítésszolgáltatók a polgári jog általános szabályai szerint felelnek az általuk okozott kárért. Ezért mentesülnek, ha bizonyítják, hogy úgy jártak el, ahogy az az adott helyzetben általában elvárható, illetve hogy a rájuk vonatkozó szabályokat betartották. Az archiválási szolgáltató felelőssége viszont az úgynevezett veszélyes üzem működésével kapcsolatos károkért való felelősséghez igazodik. Ez azt jelenti, hogy az okozott kár megtérítése alól csak akkor mentesül, ha bizonyítja, hogy a kár a tevékenységi körén kívül eső, elháríthatatlan okból eredt. Ezt az újítást mindjárt a következő bekezdésben azonban hatástalanítja a módosítási javaslat, amely lehetővé teszi, hogy a szolgáltató a szolgáltatási szabályzatban korlátozza a kárfelelősségét. Ennek kapcsán szükséges megjegyezni, hogy a veszélyes üzemért való felelősséggel összeegyeztethetetlen a felelősség korlátozásának megengedése, ezért ezek a rendelkezések a parlamenti vita során valószínűleg módosításra szorulnak majd.