Napjainkban folyamatosan nő az igény a legkülönfélébb adatok digitális formában történő létrehozására, ennek keretében az elektronikus ügyintézésre, így a gazdaság egyes szereplőinek tevékenységeivel, eljárásaival kapcsolatban a biometrikus technológiák felhasználása is előtérbe került. Az egyre fejlettebb technológiák terjedésének hatására a biometrikus azonosításra alkalmas eszközök ma már széles körben elérhetőek (pl. mobiltelefonok), így az élet különböző területein esetenként fokozatosan ki is szorítják a hagyományosnak mondható technikákat, módszereket, vagy legalábbis különféle felhasználási területen választási lehetőséget jelentenek. E jelenség azonban kihívás elé állítja mind a társadalom egyes tagjait, mind a társadalmi hatások figyelembevételével működő jogalkotó szerveket. Az érintettek jogai védelmének előtérbe helyezésével (pl. adatvédelem) a jogszabályi környezettel szemben fontos elvárás - többek között -, hogy átlátható, egyértelmű szabályok által kijelölt irányok mentén támogassa, és ne akadályozza a technológiai fejlődést.
Biometrikus kézi aláírás rögzítésére alkalmas eszköz alkalmazásával már találkozhattunk akár helyszíni közjegyzői eljárás alkalmával, vagy esetleg ügyfélként egy pénzintézetben, illetve futár által kézbesített csomag átvételekor. Láthattunk már ilyen eszközt működés közben, esetleg írtunk is már alá vele, de nem sokat tudunk a működéséről, alkalmazhatóságáról.
A Magyar Elektronikus Aláírás Szövetség egy állásfoglalásában rámutat arra, hogy a biometrikus kézi aláírás megjelenése és az alkalmazásával kapcsolatban jelentkező igény egyrészt az eltérő jogi szabályozás miatt az USA-ban elterjedt megoldás gyártói európai terjeszkedésének, másrészt a hiteles elektronikus dokumentumkezelés iránti növekvő felhasználói igénynek köszönhető[1].
A biometrikus aláírás alkalmazásának célja többek között az ügyintézés leegyszerűsítése, illetve az ügyintézés folyamatának biztonságosabbá tétele. Tekintettel arra, hogy általában az elektronikus aláírások lényegesen több adattal készülnek, mint a hagyományos kézi aláírás, kijelenthetjük, hogy az elektronikus út - bizonyos garanciális szabályok betartása mellett - sokkal biztonságosabb, mint a papíralapú, bár a jog sok szempontból nem így "tekint rá".
- 37/38 -
Jelen cikk a biometrikus kézi aláírás alkalmazhatóságának egyes kérdéseire kísérel meg választ adni a jelenleg hatályos jogszabályi környezet alapulvételével.
Annak érdekében, hogy megértsük a biometrikus azonosítási technológiák összefüggéseit, szükséges néhány alapfogalmat tisztázni. A biometria kifejezés görög eredetű összetett szó, mely az életet jelentő "bio" és a mérést jelentő "metria" szavakból áll. A biometria egy fizikai vagy biológiai jellemző vagy attribútum, amely mérhető. A biometria tehát egy ember mérhető testi, illetve viselkedésbeli jellemvonása, amely alkalmas arra, hogy mérésével az ember azonosságát ellenőrizni lehessen.[2] A biometrikus azonosító olyan biológiai jegy, amely nagy mértékben egyedi (minden emberre vonatkozóan más-és más), és alkalmas arra, hogy megfelelő eszközök könnyen, gyorsan felismerjék, így egy adott informatikai rendszerben a személyek - felhasználók - személyi azonosítását lehetővé tegyék. Ilyen lehet az ujjlenyomat, az írisz (szivárványhártya) mintázata, de akár az arckép vagy a hang is. Mivel a teljesen pontos egyedi azonosítás ilyen jegyek segítségével költséges és lassú lehet, sokszor kombinálva használják egyéb technikai azonosítóval (jelszó, PIN kód, azonosító kártya, stb.)
A biometrikus technológiáknak két fő típusát ismerjük: a fizikai, illetve fiziológiai alapú technológiákat, valamint a viselkedés alapúakat. Az első csoportba sorolható többek között a retina szkenner, a hangfelismerő, illetve az ujjlenyomat felismerő technológia, a második csoportba tartozik többek között a járáselemzés, billentyűleütés-elemzés, valamint a kézírásos aláírás-ellenőrzés[3].
"A biometrikus azonosítás menete két szakaszra osztható. Az első szakasz magában foglal minden olyan folyamatot, amely a biometrikus adat kinyeréséhez, annak biometrikus sablonná történő átalakításához és digitalizálásához, az érintettel történő összekapcsolásához, valamint tárolásához szükséges. Ezt regisztrációs szakasznak nevezik, amely jellemzően az első alkalom, amikor az érintett kapcsolatba kerül a biometrikus rendszerrel. Mind a regisztráció során kinyert biometrikus adatok mennyiségének, mind a minőségének elegendőnek kell lennie ahhoz, hogy lehetővé tegye az érintett személy megbízható azonosítását. A második szakasz az azonosítás, amely során a kinyert biometrikus adatok a digitalizálást követően összehasonlításra kerülnek a korábban kinyert és a rendszerben eltárolt sablonnal".[4]
A biometrikus kézi aláírás a hagyományos biometrikus technológiák új fajtájának tekinthető. A biometrikus kézi aláírás olyan viselkedési alapú biometrikus technika, amely a személy viselkedését vizsgálja a kézírásos aláírás dinamikája alapján. Miközben a hagyományos aláírás felismerés az aláírás vizuális jellemzőinek statikus vagy geometriai
- 38/39 -
elemzésére támaszkodik (az aláírás kinézetére), a biometrikus aláírás inkább az aláírás dinamikus jellemzőinek elemzését (az aláírás elkészítésének módját) alkalmazza.[5]
Tipikus biometrikus aláírási rendszer (mint például egy digitális aláírásra használandó tablet) által mért dinamikai jellemző lehet a tollnyomás erőssége, az írásszög, a tollvonás sebessége és gyorsulása, a betűk formája, az aláírás vonalainak iránya, illetve egyéb egyedi dinamikai jellemzők. Az, hogy ezeket a jellemzőket milyen mértékben veszik figyelembe, az az adatokat felhasználók függvényében változhat.[6]
Ily módon a biometrikus kézi aláírás az ahhoz kapcsolódó megfelelő technológia alkalmazásával biometrikus adatnak számít.
A biometrikus kézi aláírás tehát egyfajta biometrikus azonosító, amely hétköznapi értelemben lényegében a kézi aláírás digitalizálását jelenti, éppen ezért alkalmasnak mutatkozik az üzleti - például pénzügyi, banki - folyamatok során a papíron, tollal történő kézi aláírás kiváltására.[7]
Az aláírás létrehozásához szükséges külső eszköz - a későbbiekben részletezett ún. PKI technológián alapuló, közjegyzői gyakorlatban is jól ismert elektronikus aláírást létrehozó kártyaolvasóhoz képest - egy olyan specifikus külső eszköz, mely működése közben nagy mennyiségű adatot rögzít egy aláírás során az aláíró személyéhez, aláíráshoz köthetően (lsd. dinamikai jellemzők) - lényegesen többet, mint ami egy hagyományos papíron történő aláírásnál rögzül (statikus aláírás, mert a végleges információt tartalmazza). E mintavételezés során nyert adatok később nagyban megkönnyíthetik a bizonyíthatóságot az aláírás személyhez kötöttsége, létrejötte, körülményei tekintetében. Az aláírás folyamatával rögzített digitális adatok visszajátszhatóak, ami különböző aláírások összehasonlítását teszi hatékonyabbá (pl. nyomásértékek vizsgálata). Az eszköz minősége tehát abban is különbözik, hogy hányféle adat rögzítésére képes, vagy a mért adatokat menynyire képes egymástól megkülönböztetni.
Az aláírással kapcsolatos digitális adatok feldolgozásával működő szoftverek szempontjából találkozhatunk az aláíró személyazonosítását elősegítő ún. előzetes aláírás mintavételen alapuló módszerrel, technikával (jelenleg tipikusan pénzintézetekben). Ennek a lényege az aláírások összehasonlítása, amikor egy ügyfél aláírás mintát ad egy biometrikus kézi aláírás rögzítésére szolgáló külső eszközön, majd amikor később aláír például egy szerződést, a szoftver néhány másodperc alatt a két aláírás összehasonlításával elvégez egy vizsgálatot, és megállapítja, hogy a szerződést aláíró személy nagy valószínűséggel egyezik, vagy nem egyezik a mintát adó személlyel. A hibás elfogadás, és a hibás elutasítás aránya határozza meg az ilyen szoftverek minőségét, vagyis azok az igazán jó szoftverek,
- 39/40 -
ahol a hibás elfogadást a hibás elutasítással szemben be lehet jól állítani, vagyis nagyon ritkán utasít el egy adott személyt többszöri aláírásnál, és ennek ellenére nem fogad el hibásan - bizonyos valószínűséggel - az adott személy tekintetében hamisított aláírást. Megfelelő jogi, adatvédelmi garanciák, auditált szoftverek mellett e technológia előnye lehet a személyazonosítás ezen biztonságosabbnak tűnő módszere, szemben egy aláírókártyával, tokennel, igazolvánnyal, melyet akár el is lehet hagyni, vagy át is lehet adni másnak a PIN kód megadása mellett, vagyis illetéktelen személyek részéről sokkal könnyebben hozzá lehet férni. A biometrikus azonosító megszerzése már nem lehet ennyire triviális.
Az elektronikus aláírás és elektronikus bélyegzés jogi szabályozásában és vonatkozó szabványkörnyezete tekintetében is igen jelentős változások mentek végbe az eIDAS[8] 2016. június 1-ei hatálybalépése következtében, ami az Európai Unió területén egységes jogi és műszaki alapelveket valamint elvárásokat határoz meg, egyben megteremti a hiteles elektronikus dokumentumok átjárhatóságát.[9] A rendelet következtében a magyarországi szabályozás is jelentősen átalakult, és a mai napig is átalakulóban van ezen a téren. Az eIDAS az EU egész területére kiterjedően határozza meg az elektronikus tranzakciók szabályait, amely közösségi rendelet mivoltából fakadóan keretszabályokat határoz meg, de ezt célzott szándékkal a technológia függetlenségének alapulvételével teszi. 2016. január 1-jén bizonyos kivételekkel hatályba léptek az Eübszt[10] rendelkezései, amely 2016. július 1-jétől hatályon kívül helyezte többek között az elektronikus aláírásról szóló 2011. évi XXXV. törvényt, így az elektronikus aláírás hatályos szabályait ettől az időponttól kezdődően az eIDAS rendeletben találjuk.
Az eIDAS az elektronikus aláírások biztonsági szintjeit is meghatározza, az egyes változatokra vonatkozó EU-n belüli egységes szabályozás megteremtésével. Az eIDAS által nem definiált változatok szabályozását az egyes tagállamok hatáskörébe utalja, amelyeket tagállami jogszabályként hazánkban az Eübszt tartalmaz. Ezek alapján beszélhetünk elektronikus aláírásról, amely olyan elektronikus adat, amelyet más elektronikus adatokhoz csatolnak, illetve logikailag hozzárendelnek, és amelyet az aláíró aláírásra használ (eIDAS Rendelet 3. cikk 10.); fokozott biztonságú elektronikus aláírásról, amely olyan elektronikus aláírás, amely megfelel a 26. cikkben (lásd később) meghatározott követelményeknek, illetve a fokozott biztonságú elektronikus aláírás egy speciális változatáról, amelyet minősített elektronikus aláírást létrehozó eszközzel állítottak elő, és amely elektronikus aláírás minősített tanúsítványán alapul (minősített elektronikus aláírás).
- 40/41 -
A rendelet egyébiránt több elektronikus aláírással kapcsolatos alapvető fogalmat vezet be, amelyeknek egy biometrikus, kézi aláírási környezetben való értelmezésével a MELASZ arra a következtetésre jutott, hogy a biometrikus kézi aláírások esetén az elektronikus aláírás létrehozásához használt adat lényegében megegyezik az aláírás érvényesítési adatával és magával az elektronikus aláírással is.[11] Az állásfoglalás kapcsán fontos megemlíteni, hogy bár az röviddel az eIDAS hatálybalépése előtt - a jelenlegitől eltérő jogszabályi környezetben - született, megállapításait jelenleg is alapvető iránymutatásként veszik alapul a hazai jogalkalmazói körben.
A Rendelet fentebb hivatkozott 26. cikke a fokozott biztonságú elektronikus aláírással szemben négy követelményt támaszt: a) kizárólag az aláíróhoz köthető; b) alkalmas az aláíró azonosítására; c) olyan, elektronikus aláírás létrehozásához használt adatok felhasználásával hozzák létre, amelyeket az aláíró nagy megbízhatósággal kizárólag saját maga használhat; d) olyan módon kapcsolódik azokhoz az adatokhoz, amelyeket aláírtak vele, hogy az adatok minden későbbi változása nyomon követhető. A MELASZ állásfoglalás szerint a biometrikus kézi aláírás használata önmagában nem teljesíti a fokozott biztonságú elektronikus aláírásra vonatkozó követelményeket, mert
• az eredetiség megállapításához szükséges érvényesítési adat (aláírás minta) jellemzően széles körben ismert, emiatt az aláíróhoz való kizárólagos kötöttség az elektronikus kézi aláírások esetében csak jelentős kockázatokkal tud teljesülni;
• a biometrikus adatok esetében az azonosítás elvégzéséhez a dokumentumra helyezett biometrikus adatot össze kell hasonlítani egy referencia értékkel (pl. aláírás minta). A referencia érték származhat előre felvett hiteles forrásból (pl. aláírási címpéldány), vagy az érintett személy személyes jelenlétében utólagosan, az aláírás ellenőrzési folyamat részeként vesznek mintát, s ezt hasonlítják össze a dokumentumon szereplő biometrikus kézi adattal. Az egyértelmű megfelelés megállapítása azonban írásszakértőt igényelhet, ami ipari jelleggel nem kivitelezhető, csak peres esetekre jellemző. Az írásszakértő helyett gépi úton való aláírás összehasonlítás alkalmazására is vannak példák, amik nem a peres esetekben, hanem a dokumentumok befogadási eljárásában terjedtek el. A fentiekből következik, hogy az aláíró egyértelmű azonosítása az elektronikus kézi aláírások esetében teljesülhet, de megbízható módon csak összetett, időigényes és drága eljárásokkal;
• biometrikus adatok "eredeti forrását" jellemzően csak az aláíró használhatja, azonban az aláírás létrehozásához használt adat és az aláírás lényegében megegyezik. Ezért egy már elvégzett aláírás is lehetőséget ad az aláírás hamisítására, különösen elektronikus esetben, mivel az aláírás elektronikus megjelenési formája (pl. a kézi aláírás képe vagy az ujjlenyomatot reprezentáló vektor) könnyen másolható, beilleszthető;
• elektronikus kézi aláírás szerepeltetése az elektronikus dokumentumon nem nyújt védelmet a dokumentum módosítása ellen, az aláírást is tartalmazó dokumentumon az aláírást követően tett módosítás nem kimutatható.[12]
- 41/42 -
A pénzügyi szektorban (egyes bankfiókok ügyfélszolgálatán) a biometrikus kézi aláírás bevezetett, folyamatszintű alkalmazásával találkozhatunk. A kialakult gyakorlat jogi alapját természetesen Magyarországon is jogszabálymódosításokkal teremtették meg. A pénzügyi intézmények vonatkozásában a hitelintézetekről és pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény (a továbbiakban: Hpt.) rendelkezik azokról az esetekről, amikor a szerződést írásban kell megkötni. Bizonyos kivételektől eltekintve az intézmény pénzügyi és kiegészítő pénzügyi szolgáltatásra irányuló szerződést csak írásban köthet. A Polgári Törvénykönyv Hatodik Könyve 7. §-a szerint, ha a jognyilatkozatot írásban kell megtenni, a jognyilatkozat akkor érvényes, ha legalább a lényeges tartalmát írásba foglalták. A jognyilatkozat akkor minősül írásba foglaltnak, ha azt a nyilatkozó fél aláírta. A fentieken túl írásba foglaltnak kell tekinteni a jognyilatkozatot akkor is, ha annak közlésére a jognyilatkozatban foglalt tartalom változatlan visszaidézésére, a nyilatkozattevő személyének és a nyilatkozat megtétele időpontjának azonosítására alkalmas formában kerül sor.
A Hpt. 2019. március 31-től megszüntette az azonosított elektronikus út jogintézményét, így azt követően az elektronikus úton kötött szerződéseknek ahhoz, hogy megfeleljenek az alakszerűségi követelményeknek, azaz írásbelinek minősüljenek, a Ptk. írásba foglalt nyilatkozatokkal szemben elvárt hármas konjunktív feltételrendszerének kell megfelelniük. E körben kiemelendő, hogy a korábban hatályos előírásoknak maradéktalanul megfelelő, azonosított elektronikus útként alkalmazott szerződéskötési mód 2019. március 31-ét követően is kielégíti a Hpt. alakszerűségi előírásait, mivel megfelel a Ptk. írásbeliséggel szemben támasztott követelményeinek. Fontos Hpt.-beli változás továbbá, hogy 2019. március 31-től a pénzügyi intézmény nem a szerződés eredeti, hanem egy hiteles példányát köteles az ügyfélnek átadni.[13]
A pénzügyi szektorra vonatkozó egyes jogszabályi rendelkezések megismerésén túlmenően a technológia alkalmazhatósága egyes kérdéseinek megválaszolásához elengedhetetlen az általános eljárásjogi szabályozás alapul vétele. A perrendtartásról szóló 2016. évi CXXX. törvény (a továbbiakban: Pp.) 325. § (1) bekezdés h) pontja a biometrikus aláírás jogi fogalmának törvényi szintű szabályként történő megjelenítésével, az elektronikus aláírás ezen változatát a teljes bizonyító erejű magánokirat egyik fajtájaként határozza meg. Eszerint teljes bizonyító erejű az elektronikus aláírás, ha "olyan, törvényben vagy kormányrendeletben meghatározott szolgáltatás keretében jött létre, ahol a szolgáltató az okiratot a kiállító azonosításán keresztül a kiállító személyéhez rendeli és a személyhez rendelést a kiállító saját kezű aláírására egyértelműen visszavezethető adattal együtt vagy az alapján hitelesen igazolja; továbbá a szolgáltató az egyértelmű személyhez rendelésről kiállított igazolást elektronikus dokumentumba kapcsolt, elválaszthatatlan záradékba foglalja és azt az okirattal együtt legalább fokozott biztonságú elektronikus bélyegzővel és legalább fokozott biztonságú időbélyegzővel látja el."
- 42/43 -
A Pp. indokolása a 325. §-hoz hozzáteszi, hogy amennyiben valamely magánokirat nem felel meg a teljes bizonyító erejű magánokiratokkal szemben támasztott törvényi feltételeknek, akkor egyszerű magánokiratnak minősül, melynek bizonyító erejét a bíróság főszabály szerint a tényállás szabad megállapításának elve alapján és a bizonyítékok szabad mérlegelésével veszi figyelembe.
A biometrikus kézi aláírás Pp. által szabályozott formájához az említett joghatás okán törvényi vélelmek is kapcsolódnak, amelyek az aláírás valódiságához, az elektronikus okirat adataihoz fűznek jogkövetkezményeket (hamisítatlanság, meg nem hamisítottság vélelme). Az elektronikus okirat esetén az aláírt vagy bélyegzővel ellátott adatokat az ellenkező bizonyításáig meg nem hamisítottnak kell tekinteni a tárolást végző szolgáltató igazolása alapján, ha a szolgáltató a) a tárolásra átvételkor meggyőződött az elektronikus dokumentum hitelesítésének érvényességéről, b) a tárolást a Kormány rendeletében meghatározott feltételeknek megfelelő, az E-ügyintézési tv. szerinti minősített archiválási szolgáltatás vagy elektronikus dokumentumtárolás központi elektronikus ügyintézési szolgáltatás keretében végzi, és c) a Kormány rendeletében meghatározottak szerint igazolja az elektronikus okirat hitelességét.
A közjegyzőkről szóló 1991. évi XLI. törvény (a továbbiakban: Kjtv.) a közjegyzői okiratokra vonatkozó általános szabályok között rendelkezik a biometrikus kézi aláírás Pp-ben szabályozott formájáról és a 111. § (4) bekezdésének c) pontjában kimondja, hogy ha a közjegyzői okiratot e törvény rendelkezései szerint a félnek, illetve képviselőjének, valamint a segédszemélynek aláírásával vagy kézjegyével kell ellátnia, az elektronikus közjegyzői okiratot e személy a közjegyző jelenlétében olyan aláírással látja el, amely olyan, törvényben vagy kormányrendeletben meghatározott szolgáltatás keretében jött létre, ahol a szolgáltató az okiratot a kiállító azonosításán keresztül a kiállító személyéhez rendeli és a személyhez rendelést a kiállító saját kezű aláírására egyértelműen visszavezethető adattal együtt vagy az alapján hitelesen igazolja; továbbá a szolgáltató az egyértelmű személyhez rendelésről kiállított igazolást elektronikus dokumentumba kapcsolt, elválaszthatatlan záradékba foglalja és azt az okirattal együtt legalább fokozott biztonságú elektronikus bélyegzővel és legalább fokozott biztonságú időbélyegzővel látja el. E szabály alkalmazása során a törvény egy szigorú feltételt támaszt, nevezetesen, hogy az érintett személy kizárólag az országos kamara által a bizalmi szolgáltatótól beszerzett és a közjegyző rendelkezésére bocsátott technikai eszközt használhatja. A biometrikus kézi aláírás törvényi meghatározásában szereplő "törvényben vagy kormányrendeletben meghatározott szolgáltatás keretében jött létre" feltétel értelmezése sem tisztázott, egyes jogalkalmazói vélemények szerint e feltétel ezidáig még nem teljesült, ilyen jogszabály még nem született.
Részben eltérő szabályokkal találkozhatunk az közigazgatás egyes területein. A fővárosi és megyei kormányhivatalokról, valamint a fővárosi és megyei kormányhivatalok kialakításával és a területi integrációval összefüggő törvénymódosításokról szóló 2010. évi CXXVI. törvény él a Pp. 325.§ (1) bekezdésének h.) pontja szerinti teljes bizonyító erejű magánokirat elkészítésének a lehetőségével eltérő kormányzati megoldást definiálva.
- 43/44 -
A törvény 20/J. §-a szerint a kormányhivatalok ügyfélszolgálatain az elektronikus dokumentumok ügyfél általi hitelesítésére az aláírás képi, dinamikai és íráserősségi adatainak elektronikus felvételezésére képes hitelesítő eszköz rendszeresíthető, ehhez kapcsolódóan a Kormány által rendeletben kijelölt fővárosi és megyei kormányhivatal az aláírás képi, dinamikai és íráserősségi adatait tartalmazó kormányhivatali aláírás-minta nyilvántartást vezet. A kormányhivatali aláírás-minta nyilvántartás a személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról szóló 1996. évi XX. törvény szerinti összerendelési nyilvántartással, annak szabályai szerint kapcsolati kóddal rendelhető a természetes személyhez, az aláírásminta kiértékeléshez szükséges adatokon túl egyéb személyazonosító vagy biometrikus adatot nem tartalmazhat. A nyilvántartásba csak az ügyfél önkéntes beleegyezésével lehet mintát rögzíteni, az ügyfél az említett hitelesítési mód alkalmazására nem kötelezhető. A rendszeresített eszközön történő aláírásnál csak a mintával való egyezés ellenőrizhető, a vizsgálat eredményéről tanúsított, zárt rendszer által kiállított, a dokumentumazonosítót is tartalmazó elektronikus igazolást a dokumentumhoz kell csatolni. Az igazolás az aláírás dinamikai és íráserősségi adatait nem tartalmazhatja. A 20/J. § szerinti módon készített biometrikus kézi aláírással ellátott, ún. zárt rendszerben létrejött dokumentum nem felel meg a fokozott biztonságú elektronikus aláírás eIDAS szerinti követelményeinek, azonban a fentiek értelmében teljes bizonyító erejű magánokiratnak minősül. [14]
Az MNB Pénzügyi szervezetek felügyeletéért és a fogyasztóvédelemért felelős alelnökének 2019. május 9. napján kelt vezetői körlevele (a továbbiakban: MNB körlevél) szintén igyekszik jogalkotói oldalról tisztázni a különböző megoldások alkalmazhatóságát. Eszerint az eIDAS rendelet ugyan említi a zárt rendszerekben történő bizalmi szolgáltatások nyújtását, de ezekre nem terjed ki az eIDAS hatálya, így az eIDAS definíciói sem alkalmazhatóak (pl.: fokozott biztonságú aláírás). Az MNB állásfoglalása alapján a zárt rendszer követelményei abban az esetben teljesülnek, ha definiálhatók a rendszer fizikai és logikai határai, illetve az abban részt vevő alanyok köre. Mivel a fentieknek megfelelő zárt körben kibocsátott elektronikus aláírás használatakor nem alkalmazható az eIDAS-ban megfogalmazott fokozott biztonságú aláírás fogalma, így megfelelő módon igazolni kell a Ptk.-ban foglalt, az írásbeliség vonatkozásában előírt hármas konjunktív feltételrendszer megfelelőségét.
Az MNB körlevél lényeges különbségtételre hívja fel a figyelmet a zárt rendszerekben történő bizalmi szolgáltatások nyújtása és a zárt körben kibocsátott elektronikus aláírás használatának megkülönböztetésével. Az előbbi esetben ugyanis egy bizalmi szolgáltató által nyújtott elektronikus aláírási szolgáltatás zárt rendszer keretei között történő felhasználásról van szó; a második esetben az aláírást nem bizalmi szolgáltatóként nyújtják, így az intézménynek megfelelő módon igazolnia kell a Ptk.-ban foglalt, az írásbeliség vonatkozásában előírt konjunktív feltételrendszer megfelelőségét, ez utóbbi szolgáltatás nem tartozik az eIDAS rendelet hatálya alá.
Az MNB javasolja, hogy az ügyfél jognyilatkozattételének hitelesítése valamely köz-
- 44/45 -
ponti közigazgatási hitelesítésszolgáltatás (például, de nem kizárólag az elektronikus személyi igazolvány, a SZEÜSZ[15], a KAÜ[16], a KEÜSZ[17] vagy az AVDH[18] stb.) igénybevételével történjen a megfelelő közigazgatási szervekkel kötött megállapodás alapján. [19]
A biometrikus kézi aláírás alkalmazhatósága kapcsán felmerülhet a kérdés, hogy feltétlenül szükséges-e bizalmi szolgáltató termékének kapcsolása a szolgáltatáshoz. Kijelenthető, hogy érvényes elektronikus aláírás csupán a biometrikus eszköz használatával, bizalmi szolgáltató aláíró vagy bélyegző tanúsítványának beszerzése nélkül nem készíthető, az vélhetően csupán megtévesztésre alkalmas aláírás(kép) lenne.
Érvényes aláíráshoz minősített bizalmi szolgáltatótól a kibocsátó nevére szóló gépi aláíró vagy bélyegző tanúsítványt kell szerezni, amivel az eszköz hitelesíti az ott elkészült biometrikus kézi aláírás és az aláírt dokumentum kapcsolódását. Ha a kibocsátónál történne meg a visszaélés, ennek kiküszöbölésére már számos belső ellenőrzési eljárás és védelmi intézkedés létezik (szigorúan menedzselt környezet biztosítása).[20]
A MELASZ állásfoglalásban is javasolt kiegészítő elemek nélkül kizárólag aláíró padon készített, elektronikus aláírással ellátott - a kiállító nyilatkozatát tartalmazó - okirathoz önmagában véve teljes bizonyító erő nem fűződik, a biometrikus kézi aláírás a minősített aláírásra vonatkozó törvényi követelményeket nem teljesíti. Ahhoz, hogy a biometrikus kézi aláírással ellátott okirat megfeleljen a teljes bizonyító erejű magánokiratra előírt törvényi követelményeknek, az aláírási folyamatot és a felhasznált rendszert további garanciális elemekkel (elektronikus ún. PKI aláírás, időbélyegek, titkosítás stb.) szükséges kiegészíteni és az aláírásnak zárt, auditált rendszerben kell létrejönnie.[21]
- 45/46 -
Ma már ismeretesek a biometrikus kézi aláírások biztonsági szintjének emelését célzó hatékony, kézi aláírást kiegészítő technikai megoldások. Az aláírás ellenőrizhetősége szempontjából elengedhetetlen az aláíró személy és az aláírt dokumentum megbízható összerendelése. Ezt a folyamatot biztosító technológia az úgynevezett nyilvános kulcsú titkosításon és infrastruktúrán (PKI - Public Key Infrastructure) alapszik. A PKI működése szerint minden személyhez egy titkos és egy nyilvános kulcsot rendelnek: a nyilvános kulcsot ezután a PKI segítségével mindenki számára elérhetővé teszik, míg a titkos kulcsot biztonságos helyen tárolják. Ebből adódóan egy megbízható harmadik személy képes garanciát vállalni az aláíró személy és a nyilvános kulcsának összetartozására. Ha igazolt ez a kapcsolat, akkor megállapítható, hogy egy aláírás a megfelelő titkos kulcs felhasználásával készült-e.[22]
A közjegyzői gyakorlatban is használatos PKI alapú elektronikus aláírás ún. aszimmetrikus kulcsú módszer szerint működik, vagyis az aláíró kulcsot nem lehet visszafejteni, annak megszerzése a másik kulccsal nem lehetséges, azzal csak az aláíró személye állapítható meg. Ehhez képest a biometrikus aláírás egy szimmetrikus kulcsú módszer, mert ahhoz, hogy kiderüljön az aláíró személye, szükséges, hogy ez a kulcs (biometrikus aláírás) rendelkezésre álljon, és összehasonlítható legyen, tulajdonképpen a biometrikus adathalmazzal. Ez azt is jelentheti, hogy ezen információ jogellenes felhasználása esetén a visszaélés veszélye fennállhat, azaz hamisítható lesz az aláírás. Ennek kiküszöbölésére menedzselt, speciális környezetben, auditált rendszerben, profilhoz rendelt adatbázistitkosítási módszereket alkalmaznak. A MELASZ állásfoglalás szerint vizsgált azon követelmény teljesülésére vonatkozóan, amely szerint a biometrikus aláírást is tartalmazó dokumentumon az aláírást követően tett módosításnak kimutathatónak kell lennie, egyes vélemények szerint megoldást jelenthet az általánosan elfogadott módszernek tekinthető HASH-ek[23] alkalmazása. Ezeken túlmenően a hitelesség szintjének növelése céljából a biometrikus aláírás adatállományához bizalmi szolgáltató által nyújtott bélyegző tanúsítvány (akár aláírásonként) és minősített időbélyeg is rendelhető.
A PKI technológián alapuló szolgáltatások tehát a folyamat biztonságát növelik, mivel az aláírás a számítógéphez csatlakoztatott aláíró padon vagy tableten történik, a kézi aláírás így azonnal bekerül egy zárt, digitális informatikai rendszerbe, amely szétválaszthatatlanul összeköti az adott aláírást és azt a digitális dokumentumot, amelyet az aláíró kiválasztott.[24] Ha utóbb egy ellenőrzés elvégzése szükséges, vagy kétség merülne fel azzal kapcsolatban, hogy az aláírás valódi-e, többszintű ellenőrzési lehetőség van beépítve a folyamatba a vitás esetek eldönthetősége érdekében. Lehetőség van ellenőrizni a minősített bizalmi szolgáltató által hitelesített kibocsátó fél minősített aláírását vagy bélyegzőjét,
- 46/47 -
az adott időpillanatban érvényes eszközök listáját, az adott időpillanat hitelességét és az aláíró fél aláírásának mondott aláírás biometriai jellemzőit is.[25]
A biometrikus kézi aláírás alkalmazhatósága kérdéskörében a közjegyzői tevékenységet, eljárásokat érintően fontos körülmény, hogy mind a kormányzati, mind pedig a pénzintézeti szektorban bevezetésre került olyan megoldás (megfogalmazásra került olyan követelményrendszer) amely a Pp. 325.§ (1) bekezdésének h.) pontja alapján lehetővé teszi a teljes bizonyító erejű magánokirat elektronikus formában történő elkészítését. A közjegyzői törvény alapján a zárt rendszer keretében felhasználásra kerülő, biometrikus mintavételi eszközre (aláíró pad) telepítendő elektronikus gépi aláíráshoz és titkosításhoz szükséges tanúsítványokat (kapcsolódó szolgáltatásokat) bizalmi szolgáltatónak kell nyújtani, azonban lényeges, hogy az aláíró pad és a kapcsolódó szoftverkörnyezet szolgáltatója nem szükségszerűen kell, hogy bizalmi szolgáltatóként nyújtsa az utóbbiakat;[26]
Kijelenthető, hogy a kiállító által teljes bizonyító erejű magánokiratnak minősülő nyilatkozatán elhelyezett elektronikus aláírás - zárt rendszerben - akkor hozható létre, ha az aláírási folyamatot és megoldást egy erre hivatott szervezet auditálta.
Az általános eljárásjogi jogszabály és a közjegyzői törvény - a téma szempontjából releváns - rendelkezéseinek összevetéséből kitűnik, hogy a Kjtv. 111.§ (4) bekezdésének c.) pontja és a Kjtv. 111.§ (6) bekezdése a Pp. 325.§ (1) bekezdésének h.) pontjában foglalt szabályhoz képest szigorúbb, azaz a Kjtv. leszűkíti a biometrikus kézi aláírás alkalmazhatóságának technikai lehetőségeit (többletfeltétel támasztásával). A magam részéről osztom azt az álláspontot, amely szerint e jogszabályi feltétel (bizalmi szolgáltatótól beszerzett és a közjegyző rendelkezésére bocsátott technikai eszköz használata) szabályozása nem feltétlenül indokolt, mivel a hitelesítésszolgáltatók inkább az informatikai biztonsági szempontból elfogadottabb, megbízhatóbbnak tekinthető PKI rendszerek és szolgáltatások nyújtásában érdekeltek, így nem áll kifejezett érdekükben biometrikus kézi aláírási rendszerek létrehozása és szolgáltatások nyújtása. A kormányhivatalok és pénzintézetek vonatkozásában megfogalmazott normatív követelményrendszer és bizonyos mértékben a gyakorlat is jól példázza, hogy a már fentebb ismertetett megfelelő jogi, műszaki garanciális elemek biztosítása esetén a biometrikus kézi aláírás létrehozására alkalmas eszköz és szoftver szolgáltatója nem szükséges, hogy bizalmi szolgáltató legyen.
Mint ismeretes, a közjegyzői tevékenységet érintő eljárási, ügyviteli szabályok az elmúlt években jelentősen megváltoztak, e változások generális ügymeneti alapját részben az
- 47/48 -
elektronikus dokumentumok kezelése, az elektronikus ügyintézés fő szabályának a kimondása jelenti, amelyhez természetszerűleg szorosan kapcsolódik az elektronikus aláírás. A biometrikus kézi aláírás, mint az elektronikus aláírás egyik fajtája mostanára a postai szolgáltatások terén, a pénzügyi szektorban, az ügyfélszolgálati folyamatok bizonyos részében bevált és elterjedt technikai megoldás. Véleményem szerint - már csak az ügyviteli folyamatok egyszerűsítése iránti igény növekedése miatt is - csak idő kérdése, hogy a biometrikus kézi aláírás napi szinten is megjelenjen a közjegyzői eljárásokban, ehhez azonban a jelenleg hatályos jogszabályi rendelkezéseknek az alkalmazhatóság lehetőségeit még inkább támogatni kellene.
A leírtak alapján, álláspontom szerint a biometrikus kézi aláírás biztonságos, a jelen cikkben tárgyaltak szerinti követelményeknek megfelelő - közjegyzői eljárásokban felmerülő - alkalmazhatósága a jelenlegi jogi környezetben, a részletezett indokok miatt felveti a Kjtv. 111.§ (6) bekezdése jelenleg hatályos szövegezésének esetleges módosítását. ■
JEGYZETEK
[1] A Magyar Elektronikus Aláírás Szövetség állásfoglalása a biometrikus aláírás alkalmazása tekintetében, 2016. április 9. (a továbbiakban: MELASZ állásfoglalás)
[2] Kovács Tibor-Miklós Gellért: A biometrikus adatok kezelésének jogi szabályozása. Hadmérnök XIV. évfolyam 1. szám, 9. o.
[3] A természetes személyeknek a személyes adatok kezelése védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (GDPR) 29-es cikke szerint létrehozott Adatvédelmi Munkacsoport WP80-as számú véleménye
[4] Kovács Tibor-Miklós Gellért: A biometrikus adatok kezelésének jogi szabályozása. Hadmérnök XIV. évfolyam 1. szám, 9. o.
[5] Dr. Salamin Ágota: Biometrikus aláírás technológiájának vizsgálata adatvédelmi, illetve információbiztonsági szempontból. https://gdpr-tanacsadas.hu/biometrikus-alairas-technologiajanak-vizsgalata-adatvedelmi-illetve-informaciobiztonsagi-szempontbol/ (letöltve: 2020. május 20.)
[6] Dr. Salamin Ágota: Biometrikus aláírás technológiájának vizsgálata adatvédelmi, illetve információbiztonsági szempontból. https://gdpr-tanacsadas.hu/biometrikus-alairas-technologiajanak-vizsgalata-adatvedelmi-illetve-informaciobiztonsagi-szempontbol/ (letöltve: 2020. május 20.)
[7] Forrás: https://netlock.hu/biometric/, letöltve: 2020.05.10.
[8] Az Európai Parlament és Tanács 910/2014/EU rendelete a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről
[9] MELASZ állásfoglalás
[10] Az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény
[11] MELASZ állásfoglalás
[12] MELASZ állásfoglalás
[13] Az MNB Pénzügyi szervezetek felügyeletéért és a fogyasztóvédelemért felelős alelnökének 2019. május 9. napján kelt vezetői körlevele
[14] Erdősi Péter Máté: PKI megoldás aláírópadokon a gyakorlatban c. tanulmány 17-18. oldal (2018.október 14.)
[15] A Szabályozott Elektronikus Ügyintézési Szolgáltatások: az e-közigazgatási szolgáltatások olyan új általános formája, amelyek segítségével az eddig papír alapú ügyintézési folyamatokat gyorsabban, költséghatékonyabban és ügyfélorientáltan lehet elektronizálni, ezáltal segítséget, egységes hozzáférést és színvonalú szolgáltatásokat nyújtva az eljárásokat lefolytató közigazgatás szervek és az e-közigazgatási ügyintézéseket igénybe vevő ügyfelek (természetes és nem természetes személyek) számára.
[16] Központi Azonosítási Ügynök: olyan teljes körű ügynöki szolgáltatás, amely összefogja az állam által nyújtott elektronikus ügyintézési szolgáltatásokat és egységes platformon biztosítja azok elérését mind az intézmények, mind a felhasználók felé.
[17] Központi elektronikus ügyintézési szolgáltatás: Az e-ügyintézés működésének érdekében elengedhetetlen, hogy egyes SZEÜSZ-ök mindenképp működjenek. Erről az állam köteles gondoskodni akkor is, ha ezeket piaci alapon egyik szolgáltató sem nyújtja. Ezeket a szolgáltatásokat kizárólag az állam nyújtja és központi elektronikus ügyintézési szolgáltatásoknak nevezzük őket.
[18] Azonosításra Visszavezetett Dokumentumhitelesítés: az elektronikus aláírással nem rendelkező természetes személyek is feltölthetnek és hitelesíthetnek dokumentumokat, ezáltal teljes körűen részt tudnak venni az elektronikus ügyintézésben. A szolgáltatás használatához tanúsítvánnyal vagy Ügyfélkapuval történő azonosítás szükséges.
[19] Az MNB Pénzügyi szervezetek felügyeletéért és a fogyasztóvédelemért felelős alelnökének 2019. május 9. napján kelt vezetői körlevele
[20] Erdősi Péter Máté: PKI megoldás aláírópadokon a gyakorlatban c. tanulmány 14. oldal (2018.október 14.), Forrás: www.hte.hu
[21] Dr. Tamási Attila: A közjegyzői irodai teszt környezetben biometrikus aláírás elkészítése során szerzett tapasztalatok, a biometrikus aláírás jogszabályi környezetének vizsgálata, jogszabálymódosítási javaslat c. összefoglaló a Magyar Országos Közjegyzői Kamara Választmánya részére
[22] Dr. Salamin Ágota: Biometrikus aláírás technológiájának vizsgálata adatvédelmi, illetve információbiztonsági szempontból. https://gdpr-tanacsadas.hu/biometrikus-alairas-technologiajanak-vizsgalata-adatvedelmi-illetve-informaciobiztonsagi-szempontbol/ (letöltve: 2020. május 20.)
[23] A hash függvények (hasítófüggvények) olyan informatikában használt eljárások, amelyekkel bármilyen hosszúságú adatot adott hosszúságra képezhetünk le. Az így kapott véges adat neve hash/hasító érték. Ezek az algoritmusok az 1980-as évek legvégén az elektronikus aláírás megjelenésével váltak szükségessé. A hasítófüggvények a számítástechnikában, elsősorban a tároló technikában, már az 1950-es évek elején megjelentek.
[24] Forrás: https://netlock.hu/biometric/, letöltve: 2020.05.10.
[25] Erdősi Péter Máté: PKI megoldás aláírópadokon a gyakorlatban c. tanulmány 15. oldal (2018.október 14.), Forrás: www.hte.hu
[26] Dr. Tamási Attila: A közjegyzői irodai teszt környezetben biometrikus aláírás elkészítése során szerzett tapasztalatok, a biometrikus aláírás jogszabályi környezetének vizsgálata, jogszabálymódosítási javaslat c. összefoglaló a Magyar Országos Közjegyzői Kamara Választmánya részére
Lábjegyzetek:
[1] A szerző közjegyzőhelyettes, Budapest.
Visszaugrás