Kriptográfia, titkosítás, rejtjelezés, kódolás - hangzatos és nehezen elhatárolható fogalmak. Míg az informatika és az alkalmazott matematika területén járatlan személyek számára e fogalmak kissé misztikusan hangzanak, addig a hozzáértők (beavatottak) már egyből a legújabb szabványnak megfelelő algoritmus matematikai képletét vizionálják. A mai digitális világban azonban számos felhasználó számára alkalmazásuk mindennapos (elektronikus aláírás, jelszókezelő, titkosított weboldalak felkeresése etc.), még ha ennek nincsenek is tudatában. A jogász számára pedig egy újabb terület, ahol a fogalmak, alapelvek, és a szerteágazó nemzetközi és hazai jogforrások között jó lenne egy kis rendet teremteni.
Feltehetőleg a "bűnbeesés" óta törekszik az ember bizonyos információk elrejtésére, titkosítására. Az ókori Rómában a katonai üzeneteket már betűeltolásos kódolással (Ceasar-rejtjel)[2] továbbították, a romantika történeti korában bizonyára nem volt példa nélküli a szerelmesek titkosírást (például tükörírást) alkalmazó levelezése, a kémfilmekből pedig mindannyiunk számára ismerősnek hangozhatnak az olyan azonosítást segítő titkos kulcsmondatok, mint "a Sas leszállt".[3] A kriptográfia területén azonban ma már az összetett matematikai képleteké a főszerep.
A titkosítás, rejtjelezés vagy kódolás rendszerint szinonim fogalmakként jelennek meg a jogszabályokban és szakirodalomban, igaz a titkosítás kifejezés a katonai és nemzetbiztonsági fogalomrendszerben, illetve gyakran a sajtóban és közbeszédben is a minősített adatok minősítési eljárására is használatos.
A kódolás, vagy rejtjelezés az információ számára védelmet nyújtó szerkezeti átalakítás (dekódolás az eredeti szerkezet visszaállítása).[4] A kriptográfia a titkosítással, rejtjelezéssel foglalkozó tudományág[5], de ennél tágabb és talán pontosabb definícióként a kriptográfia alatt érthetjük "mindazoknak az eljárásoknak, algoritmusoknak, biztonsági rendszabályoknak a kutatását, alkalmazását, amelyek az információnak illetéktelenek előli elrejtését hivatottak megvalósítani".[6]
Gondolatébresztőnek szánt írásunkban (a teljesség igénye nélkül) a titkosítás és jog legfontosabb kapcsolódási pontjait igyekszünk bemutatni, így áttekintjük, hogy a titkosítási eljárásokhoz hol fűz a jog valamilyen joghatást, a titkosítás alkalmazása hol segít a szabályozási követelményeknek való megfelelésben (compliance), illetőleg mely területeken próbálja a szabályozás korlátozni alkalmazásukat. Az elemzés két nagy pillérét a kriptográfiai megoldások elektronikus kommunikációban betöltött szerepe, valamint a titkosítás titokvédelmi szabályoknak való megfelelésben betöltött szerepe adja.
Napjainkban a kommunikáció hétköznapi megoldásainak számít az elektronikus levelezés, a közösségi oldalakon történő nyilvános vagy privát üzenetváltás, a rövid szöveges üzenetek küldése mobil-, illetve okostelefonjaink segítségével. A kommunikáció lehet magán-, üzleti, és - az e-kormányzat egyre több funkciójának élesedésével - mind gyakrabban közjogi természetű. Az üzenetek forrásának azonosítása, a dokumentumok sértetlenségének és bizalmasságának biztosítása, az üzenet változatlan formában történő visszaidézésének követelménye mára evidenciának tűnik. Ezek biztosításához pedig kézenfekvő megoldást nyújtanak a kriptográfiai megoldások.
A korábbi, évezredek óta létező szimmetrikus titkosításokhoz[7] képest forradalmi előrelépést jelentett az 1970-es évektől elérhetővé vált aszimmetrikus, más néven nyilvános kulcsú (PKI = Public Key Infrastructure) titkosítás, amelynek lényege, hogy a kódolás és dekódolás nem egy, hanem két különböző, szorosan egymáshoz tartozó, de egymásból nem kikövetkeztethető kulcspár segítségével történik. Az ún. Diffie-Hellman kulcscsere eljárás és az RSA algoritmus kombinációjaként lehetővé vált - polgári célú felhasználásra is - titkosított üzenetek küldése anélkül, hogy a kommunikációban részt vevő feleknek előre meg kellett volna állapodniuk egy meghatározott kulcsban. Az eljárás során az egyik kulcs ténylegesen titkos (magánkulcs), míg a másik bárki számára megismerhető (nyilvános kulcs).[8]
Amennyiben az eljárást titkosításra szeretnénk használni, akkor a címzett fél nyilvános kulcsával végezhető el a küldendő dokumentum kódolása, a fogadó fél pedig saját magánkulcsával dekódolja az üzenetet. Ellenben, ha aláírásra (azaz egy adott dokumentum hitelesítésére) használjuk az eljárást, akkor az aláíró a magánkulcsával kódolja a közlésre szánt dokumentumot (illetve egy abból készült digitális lenyomatot), amelyet a címzett a feladó (aláíró) nyilvános kulcsával dekódolhat, és ellenőrizheti a kapott dokumentum hitelességét. A kulcsok kezeléséhez, a kulccsal rendelkező személy tényleges azonosításához, valamint a szükséges szoftver és hardver eszközök biztosításához a digitális párbeszéd hátterében megjelenik egy "megbízható harmadik fél", az aktuális terminológia szerint a bizalmi szolgáltató (korábban hitelesítésszolgáltató).
A társadalom és egyén régi és új céljaihoz a gyorsan fejlődő technológia biztosítja az eszközöket. Lawrence Lessig óta tudjuk, hogy az információs társadalomban napi szinten használt kibertérben jelentős a kód szabályozó szerepe[9]; a jog azonban számos területen szentesíti ezeket az eszközöket. Jogalkotói elismerés nélkül a rendelkezésre álló informatikai megoldások sokszor nem fejthetnék ki a kívánt joghatást. Az írott jognak körül kell határolnia azokat a területeket is, ahol valamilyen okból már nem kívánatos az adott technológiák alkalmazása. Továbbá - különös tekintettel a mindannyiunk által megtapasztalt technikai hibákra és hiányosságokra - fontos az egyes felelősségi mozzanatok jogszabályi rögzítése. A technológiasemleges megfogalmazások mellett különösen fontos szerep jut a jogértelmezésnek (a jogszabályok indokolásában fellelhető jogalkotói szándéknak, a jogtudományi értelmezésnek) és a hatósági és bírói joggyakorlatnak is.
- 3/4 -
A titkosítás nyújtotta lehetőségeket aknázzuk ki a hiteles elektronikus dokumentumok megalkotásához (szerződések, számlák, ügyvédi, közjegyzői okiratok, szerzői jogi védelem alatt álló alkotások hitelesítése, okmányvédelem etc.), ezen dokumentumok továbbításához és kézbesítéséhez (e-cégeljárás, e-per etc.), e-dokumentumok megőrzéséhez; de a papíralapú iratok digitális archiválásához is; továbbá hiteles weboldalak létrehozásához; a mögöttes tanúsítványok létrehozásához, ellenőrzéséhez és érvényesítéséhez, magának a dokumentumnak a titkosítására, de a titkosított kommunikációt biztosító szolgáltatásokhoz is.
A kommunikáció egyes elemeit figyelembe véve a titkosítás alkalmazása szempontjából általánosságban három jól körülhatárolható - de a gyakorlatban sokszor átfedésbe kerülő - csoportot különböztethetünk meg: (i) a dokumentum sértetlenségének biztosítását és a dokumentumot létrehozó, illetve az üzenetet küldő személyének hitelesítését; (ii) a dokumentum tartalmának titkosítását, illetve; (iii) a kommunikációs csatorna bizalmasságának biztosítását.[10] Az alábbiakban - a teljesség igénye nélkül - néhány, a téma szempontjából jelentősebb jogi szabályozás rövid ismertetésére, illetve központi elemeinek kiemelésére törekszünk.
Az elektronikus aláírás szabályozása - az infokommunikációs jog területén már említésre méltó - több mint tizenöt éves múltra tekint vissza.[11] Ennek oka, hogy korán világossá vált, hogy az elektronikus tranzakciók esszenciális eleme az elektronikus dokumentumhitelesítés és az írásba foglalás jogszabályi követelményének digitális környezetben való megfelelés. A szükséges dogmatikai háttér és a kapcsolódó joghatások átfogó rendezése nélkül nem várható siker a felhasználók körben. Ugyanakkor az elmúlt tizenöt évben kiderült, hogy a szabályozás számos tekintetben nem váltotta be a hozzá fűzött reményeket[12], így az Európai Unió szükségesnek látta a kérdés újragondolását és rendeleti szintű szabályozását. Ennek eredményeképpen 2016. július 1-jétől közvetlenül alkalmazandó a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló az Európai Parlament és a Tanács 2014. július 23-i 910/2014/EU rendelete (továbbiakban: eIDAS). Az eIDAS kiemelt célja a tagállamok közigazgatási szervei által használt elektronikus azonosítási rendszerek kölcsönös elismerésének előmozdítása, továbbá hogy aktualizálja és pontosítsa a bizalmi szolgáltatókra és az egyes bizalmi szolgáltatásokra vonatkozó rendelkezéseket (külön rendelkezik a jogi személyek által használható elektronikus bélyegzőkről), és specifikál egyes minősített tanúsítványokra és eszközökre vonatkozó követelményeket. Ismételten kimondja az elektronikus dokumentumok diszkriminációjának tilalmát[13], az elektronikus aláírásokhoz fűződő joghatások közül pedig egyet emel ki: eszerint a minősített elektronikus aláírás a saját kezű aláírással azonos joghatású [eIDAS 25. cikk (2) bekezdés]. Emellett az eIDAS preambulumának (49) bekezdése felhívja a tagállami jogalkotók figyelmét arra, hogy "[a]z elektronikus aláírások joghatását mindazonáltal a nemzeti jognak kell meghatároznia, [...]". Összességében az eIDAS nem hozott kirívó újdonságokat a korábbi hazai szabályozáshoz képest, és több ponton teret enged, sőt igényli a további nemzeti jogalkotást. Hazánkban az Országgyűlés - az új uniós rendelet figyelembevételével - megalkotta az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvényt (továbbiakban: E-ügyintézési tv.), és 2016. július 1-jétől hatályon kívül helyezte az elektronikus aláírásról szóló 2001. évi XXXV. törvényt (továbbiakban: Eat.). Az E-ügyintézési tv. rendelkezései összhangban állnak az eIDAS rendelettel, és az indokolásban tételesen is kimondva több ponton igyekszik átemelni a korábbi Eat. vívmányait is, ugyanakkor nem él az eIDAS nyújtotta azon lehetőséggel, hogy az elektronikus aláírások joghatásait nemzeti szinten rendezze. Sajnálatos módon tehát a törvény nem vette át a korábbi Eat. 4. § (1) bekezdésében foglalt "hídszabályt", miszerint a fokozott biztonságú elektronikus aláírással ellátott dokumentumok teljesítik az írásba foglalás jogszabályi követelményeit.[14] Így a hatályos jogszabályi környezet nem tartalmaz olyan átfogó, törvényi szintű rendelkezést, amely az írásba foglalás követelményének teljesítéseként általános érvénnyel egy adott típusú elektronikus aláírás használatát írná elő. Korábban több jelentős törvény (pl. a 2013. évi V. törvény a Polgári Törvénykönyvről, továbbiakban: Ptk.) kommentárja, indokolása, és a kapcsolódó bírói joggyakorlat is az Eat. rendszerét, és kiemelten annak hivatkozott bekezdését tekintette iránymutatónak. Ebből fakadóan most előfordulhat, hogy egyazon elektronikus dokumentum jogi minősítése eltér attól függően, hogy közigazgatási hatósági eljárás, polgári per, avagy munkajogi vita rendezése során használják fel azt.
Jelenleg ágazati jogszabályok rendelkeznek a kérdésről, külön meghatározva azt, hogy milyen biztonsági fokozatú elektronikus aláírások használhatóak fel például a közigazgatási eljárásokban[15], vagy éppen a pénzügyi szolgáltatásra irányuló szerződések[16] megkötésekor. Kiemelendő, hogy a bírósági eljárások során a polgári perrendtartásról szóló 1952. évi III. törvény (Pp.) 190-199. §§-ai között számos esetben törekszik az elektronikus okiratok bizonyító erejét rendezni törvényi vélelmek felállításával, másrészt az elektronikus kapcsolattartás szabályai (XXVIII. fejezet) között rendelkezik arról is, hogy milyen típusú elektronikus aláírás fogadható el az egyes elektronikus eljárások során, illetve közokirat kiállítására. De a büntetőeljárásról szóló 1998. évi XIX. törvény 69/A. § is külön kitér a kapcsolattartás során küldött hivatalos iratok, közokiratok szempontjából előírt elektronikus aláírási követelményekre azzal, hogy az elektronikus kapcsolattartás általános szabályaira az E-ügyintézési törvény meghatározott szabályait rendeli alkalmazni.
Fontos hangsúlyozni, hogy az elektronikus aláírás szabályozása során az európai és ezzel összhangban a magyar jogalkotó is technológiasemleges szabályozás kialakítására törekedett. Ez azt jelenti, hogy elviekben nem kizárólag a 2.1. fejezetben bemutatott, aszimmetrikus titkosítással lehet elérni a törvényben meghatározott joghatásokat, hanem bármilyen olyan technológiával, amely teljesíti az egyes aláírásokhoz vagy bélyegzőkhöz kapcsolódó funkcionális követelményeket. A gyakorlatban azonban világszerte a PKI alapú elektronikus aláírás terjedt el, és az Eat. szabályrendszere a technológiasemlegesség elvével együtt is alapvetően erre a technológiára volt "szabva", amit jól mutat például az aláírás-létrehozó adat és aláírás-ellenőrző adat fogalma, amelyekben zárójelben megjelenik a "jellemzően kriptográfiai magánkulcs" és a "jellemzően kriptográfiai nyilvános kulcs" kitétel.[17] Az eIDAS rendelet és az E-ügyintézési törvény továbbmegy a technológiasemlegesség területén, és zárójeles "kiszólások" nélkül igyekszik a funkcionális követelményekre koncentrálni.
A technológiasemlegesség azonban nem jelenti azt, hogy bár-
- 4/5 -
ki bármilyen technológiát használhat a saját belátása szerint, mivel az alkalmazott technológiát tekintve erős állami felügyelet valósul meg. Már az Eat. is rendelkezett a technológiakövetés intézményéről[18], amely lényegében változatlan formában bekerült az új szabályozási rezsimbe is. Az E-ügyintézési törvény a bizalmi szolgáltatók felügyeletét ellátó Nemzeti Média- és Hírközlési Hatóság (NMHH) számára előírja, hogy kísérje figyelemmel a bizalmi szolgáltatásokkal kapcsolatos technológia és kriptográfiai algoritmusok fejlődését és foglalja határozatba a bizalmi szolgáltatók által szolgáltatásaik nyújtása során használható biztonságos kriptográfiai algoritmusokat, és az azok meghatározott paraméterekkel történő alkalmazására vonatkozó követelményeket. Ezek alkalmazását az NMHH általános felügyeleti tevékenysége körében ellenőrizheti, sőt kifejezetten nevesített szankcióként meg is tilthatja meghatározott technológiák, illetve eljárások alkalmazását.[19] E rendelkezések biztosítják, hogy a kiemelkedő joghatást (pl. dokumentumok hitelességét) eredményező technológia valóban megfelelő szintű legyen, és ne válhasson elavulttá.
Az E-ügyintézési törvény 97. § (2) bekezdésében meglepő módon továbbra is találkozunk a korábbi Eat. 13. § (4) bekezdés[20] azon korlátozó rendelkezésével, miszerint a "tanúsítvány alanya az elektronikus aláírás vagy bélyegző létrehozásához használt adatot kizárólag elektronikus aláírás, illetve bélyegző létrehozására használhatja, betartva a tanúsítványban jelzett esetleges egyéb korlátozásokat is". Ilyen jellegű korlátozást az eIDAS nem tartalmaz. A törvény indokolása egyszerűen az Eat. korábbi rendelkezéseinek átvételére utal, ugyanakkor, ha megnézzük az Eat. 13. § (4) bekezdéshez kapcsolódó jogalkotói érvelést, azt látjuk, hogy e rendelkezés "nemzetbiztonsági érdekből nem teszi lehetővé az aláírás létrehozó adatnak (magánkulcsnak) titkosítás céljából történő felhasználását." Ez a rendelkezés már 2001-ben értelmezési vitákat generált és több adatvédelmi szaktekintély a rendelkezés hatályon kívül helyezését várta.[21] A polgári célú titkosítással kapcsolatban a nemzetbiztonsági érdek és a személyes adatok hatékony védelméhez fűződő érdek elvi mérlegelése sem lezárt kérdés, de a fenti szabály ráadásul alkalmatlan is e kérdés kezelésére: ahogy a fent bemutatott aszimmetrikus titkosítás rendszeréből következik, és ahogy azt Jóri András is megjegyzi az idézett cikkében[22], nincs értelme a magánkulccsal bármit is titkosítani, mivel azt a hozzá tartozó nyilvános kulccsal bárki könnyedén feloldhatja. A szabályhoz ráadásul szankciórendszer sincs kapcsolva (hiszen a bizalmi felügyelet csak a bizalmi szolgáltatókat szankcionálhatja, a tanúsítvány alanyának ellenőrzése nem tartozik a hatáskörébe) és az is további vizsgálat tárgyát képezhetné, hogy egyáltalán műszakilag (a rendelkezésre álló szoftver- és hardvereszközökkel) lehetséges-e a jelenlegi elektronikus aláírás szolgáltatás során kapott magánkulcs titkosításra történő felhasználása.
A jogalkotó egyértelműen másként értékeli a nyilvános kulcs titkosítás céljából történő felhasználását (amelynek van is értelme), amennyiben a titkosított üzenetváltásra közigazgatási eljárás vagy bírósági eljárás folyamán kerül sor.[23] Ezekben az esetekben méltányolható, a jog által támogatott jelenségként találkozunk a titkosított üzenetküldés lehetőségével.
Az alapokat az E-ügyintézési törvény adja, amikor 22. § (1) bekezdés d) pontjában az ügyfél rendelkezési jogai között megteremti a lehetőséget az elektronikus dokumentumok titkosítására vonatkozó igény benyújtására. A Kormány által kötelezően biztosítandó szabályozott elektronikus ügyintézési szolgáltatások (SZEÜSZ) között is nevesítésre kerül a titkosítási célú tanúsítványok kibocsátása (meghatározott szervek, szolgáltatók és személyek részére).[24]
Az elektronikus ügyintézés részletszabályairól szóló 451/2016. (XII. 19.) Korm. rendelet 3. § (3) bekezdésében az elektronikus ügyintézést biztosító szerv oldaláról biztosítja a titkosított beadványok fogadását és feldolgozását lehetővé tevő nyilvános kulcs közzétételi lehetőségét. A lehetőségen túl explicit kötelezettségként jelenik meg a titkosítás technológiájának alkalmazása, amennyiben jogszabály, ügyészség, bíróság vagy hatóság valamely elektronikus dokumentum zárt vagy elkülönített kezeléséről rendelkezik.[25]
Az ügyfél szempontjából lényeges elem, hogy amennyiben az ügyfél élni kíván a lehetőséggel az ügyintézési rendelkezések nyilvántartásában szükséges rögzíteni a titkosítási célú nyilvános kulcsot, amellyel szemben a Kormányrendelet néhány további követelményt is megfogalmaz - ezek közül a technológiakövetés szempontjából fontos megemlíteni, hogy "a szolgáltató által meghatározott, az Európai Unió szabványosító szervezete által legalább 3 évre előreláthatóan biztonságosnak minősített, nyilvános kulcsú infrastruktúrára épülő titkosító algoritmus" alkalmazható.[26] A központi elektronikus ügyintézési szolgáltatás (KEÜSZ) szolgáltatója pedig köteles biztosítani az ügyfél számára az ilyen jellegű jognyilatkozat megtételének lehetőségét.[27]
Az eljárások valamennyi résztvevője számára biztosítja a titkosított üzenetváltás lehetőségét a kézbesítési szolgáltatás keretében a SZEÜSZ szolgáltató[28], amely - többek között - biztosítja az üzenet titkosítását vagy egyéb módon történő olvashatatlanná tételét az üzenet fogadásáig, valamint az üzenet fogadása végett az üzenet titkosításának feloldását vagy az üzenet olvashatóvá tételét.
A titkosított kommunikáció gyakorlati alkalmazhatóságára jó példa a Pp. 394/G. § (5) bekezdésében biztosított lehetőség, mely szerint "az elektronikus úton kapcsolatot tartó beadványát a bíróság által közzétett titkosító kulccsal titkosítva küldheti meg a bíróság részére. Az elektronikus úton kapcsolatot tartó beadványa részeként a bíróság részére megküldheti titkosító kulcsát, ebben az esetben a bíróság a bírósági iratot az elektronikus úton kapcsolatot tartó titkosító kulcsával titkosítva kézbesíti az elektronikus úton kapcsolatot tartó részére." Ezekben az esetekben tehát a titkosító kulcs - a 2.3.1. fejezetben írtakkal ellentétben - nem (vagy nem pusztán) a kommunikációban részt vevők azonosítására, hanem konkrétan az üzenet tartalmának titkosítására szolgál.
A titkosított kommunikációt biztosító alkalmazásszolgáltatók korlátozása szintén érdekes kérdéseket vet fel az új, megfizethető, bárki számára elérhető, a kriptográfia előnyeit kiaknázó lehetőséggel kapcsolatban. A korlátozás oka, hogy a jogalkotó feltételezi, hogy az eszközöket nem csak békés célokra használják a polgárok, és a jogi keretek megadásával igyekszik a bűnözők (kiemelten a terroristacsoportok) lépéselőnyét csökkenteni, a bűnüldöző hatóságok tevékenységét pedig megkönnyíteni.
Ennek fényében került sor az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (Ektv.) 2016. július 17-től hatályos módosításra, amelyeket a (beszédes elnevezésű) terrorizmus elleni fellépéssel összefüggő egyes törvények módosításáról szóló 2016. évi LXIX. törvény iktatott be. Az Ektv. 3/B. §-ában meghatározott titkos kommunikációt (végpont-végpont közötti titkosítás) biztosító szolgáltatások esetén a szolgáltató - további jogszabályi feltételeknek megfelelően - köteles a titkosított kommunikációt biztosító alkalmazás igénybevételével továbbított küldemények, közlések tartalmát a külső engedélyhez kötött titkos információ-
- 5/6 -
gyűjtésre jogosult szerv megkeresése esetén átadni. Az Ektv. 13/B. § rendelkezései értelmében a titkosított kommunikációt biztosító alkalmazásszolgáltató köteles meghatározott metaadatok rögzítésére, és 1 évig tartó megőrzésére. A törvényben taxatíve felsorolt metaadatokat a külső engedélyhez kötött titkos információgyűjtésre jogosult szerv megkeresése esetén a szolgáltató szintén köteles átadni. Amennyiben a Nemzeti Média és Hírközlési Hatóság a titkos információgyűjtésre jogosult szerv tájékoztatása alapján megállapítja a fenti kötelezettségek megszegését (ismételten alkalmazható) százezer forinttól tízmillió forintig terjedő, együttműködési kötelezettség megszegésével összefüggő bírságot szabhat ki.[29] Az egyes részletszabályokat a titkosított kommunikációt biztosító alkalmazásszolgáltatók és a titkos információgyűjtésre feljogosított szervezetek együttműködésének rendjéről szóló 185/2016. (VII. 13.) Korm. rendelet tartalmazza.
A hatályos hazai rendelkezések széles körű jogosítványokat biztosítanak a titkos információgyűjtésre feljogosított szervezetek számára. A magánszféra védelmét biztosító alkalmazások jogszerű célokra történő használata esetén tehát maga a jog is elismeri adott technológia használatának létjogosultságát, ugyanakkor meghatározott szerveknek beavatkozási lehetőséget biztosít a társadalom védelme érdekében.[30] Egy jól működő jogállamban a kapcsolódó jogszabályi garanciák legitimálhatják is ezt a szabályozási megoldást, mindazonáltal az "átlátható állam - átláthatatlan állampolgár" eszméjének elkötelezett hívei bizonyára egy árnyalattal feljebb húzták szemöldöküket a jogszabály-módosítás olvasásakor.
A hiteles és vagy titkosított elektronikus kommunikáció mellett, illetve részben azzal átfedésben[31] egy másik nagy területen, a titokvédelem területén is jelentős jogi relevanciával bírnak a különböző titkosítási megoldások. A jelenlegi adatvédelmi jogi rezsim közvetve, az új európai adatvédelmi szabályozás[32] azonban már közvetlenül is joghatást fűz a titkosítás alkalmazásához, továbbá szerepet kap más titokvédelmi szabályozás során is, és - értelemszerűen - jelentős utalásokat találunk a titkosításra a különböző adatfajták technikai védelmét biztosítani szándékozó információbiztonsági szabályrendszerben is, ideértve a jogi szabályozást és a különböző szabványokat is.
Az adatbiztonsági intézkedések lényege, hogy az adatkezelőnek megfelelő technikai és szervezési intézkedéseket kell tennie az adatvédelmi szabályoknak való megfelelés érdekében, és különösen védeni kell a személyes adatokat a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen.
Az adatbiztonsági intézkedések korántsem korlátozódnak a technikai intézkedésekre, legalább ennyire fontos a megfelelő eljárásrend kialakítása és a személyi feltételek biztosítása. A pontos teendőket azonban a jogszabályok nem részletezik, így jellemzően komoly fejtörést okoz az adatkezelők számára, hogy pontosan milyen intézkedéseket hajtsanak végre. Az új adatvédelmi rendelettel jogszabályban is megjelenő, de a joggyakorlatban már jelenleg is többször alkalmazott elszámoltathatóság elve ezt annyiban tovább nehezíti, hogy egyértelműen az adatkezelőre terheli annak igazolását, hogy az megtette a megfelelő - de jogszabályban nem részletezett - intézkedéseket. E problémát a megfelelő erőforrásokkal rendelkező adatkezelők sokszor valamilyen szabványnak való megfeleléssel igyekeznek kezelni, amelyek alkalmazása során egyébként a titkosítás szintén szerepet kap.
A GDPR kifejezetten nevesíti a titkosítás alkalmazását. A 32. cikk (1) bekezdése szerint "az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
a) a személyes adatok álnevesítését és titkosítását;"
A GDPR tehát az elsők között említi az adatok titkosítását mint adatbiztonsági intézkedést. Az indoklásként funkcionáló preambulum szintén példaként hozza a titkosítást a kockázatok csökkentését szolgáló intézkedésekre,[33] mivel az adatok titkosítása azzal jár, hogy jogosultan hozzáférés esetén sem lehetséges azokkal olyan módon visszaélni, amely veszélyeztetné az érintett magánszféráját, és ugyancsak kizárja az adatok jogosultan megváltoztatását. Igaz, néhány adatvédelmi incidenssel, pl. az adatok megsemmisítésével szemben nem biztosít védelmet.
A magyar szabályozás tartalmilag hasonló a GDPR szövegéhez. Az Infotv.[34] ugyan csak általában írja elő megfelelő intézkedések megtételét, és nem említi kifejezetten a titkosítást, mint az adatbiztonság eszközét, de a fent leírtak egyébiránt a magyar jogszabályi környezetben is igazak. Az adatbiztonság körében a titkosítás jelentőségét épp az a tény növeli, hogy a megfelelő intézkedések sem az Infotv., sem az adatvédelmi felügyelő hatóság, a NAIH[35] állásfoglalásai által nem részletezettek, az adatkezelőnek mégis fel kell tudnia mutatni "valamit", amit az adatok biztonságáért tett. A titkosítás alkalmazásával és ennek szükség esetén a NAIH felé történő kommunikációjával az adatvédelmi elkötelezettség jól demonstrálható.
Szorosan az adatbiztonság szabályozásához kapcsolódik az adatvédelmi incidensek bejelentési kötelezettsége. Az adatvédelmi incidensek esetére bevezetendő - a felügyelő hatósághoz vagy magához az érintetthez címzett - értesítési kötelezettség (data breach notification) 2009 óta az európai (és magyar) adatvédelmi jogban is ismert, mint a hírközlési szolgáltatókra vonatkozó kötelezettség, a GDPR 2018-tól ezt a kötelezettséget valamennyi adatkezelőre kiterjeszti. Megjegyezzük, hogy a magyar Infotv. jelenleg hatályos szövege is rendelkezik adatvédelmi incidenssel kapcsolatos kötelezettségről, de csak az adatvédelmi incidensek nyilvántartását írja elő, jelenleg sem a hatóságot, sem az érintettet nem kell értesíteni (kivéve, ha kifejezetten kér erről tájékoztatást), a titkosításnak a hatályos jogszabályi környezetben nincs szerepe.
A jövőre minden tagállamban kötelezően alkalmazandó GDPR-ban foglalt kötelezettség lényege, hogy az adatvédelmi incidenseket rögzíteni kell, és egyes esetekben értesíteni kell arról a hatóságot, illetve magukat az érintetteket is. Az adatvédelmi rendelet szerint az adatkezelő, ha lehetséges, legkésőbb 72 órán belül köteles bejelenteni (meghatározott tartalommal) az incidenst a felügyelő hatóságnak. Adatvédelmi incidensnek számít "a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi",[36] azaz tulajdonképpen az adatbiztonsági szabályok megsértése. Incidens lehet tehát adatvesztés, az adatokhoz való rosszindulatú, akár hackerek által történő hozzáférés, olyan téves adattovábbítás, amelynek címzettje nem lenne jogosult az adatok megismerésére stb. - kisebb-nagyobb adatvédelmi incidensek tehát a napi "rutin" részeként szinte bármelyik adatkezelőnél előfordulhatnak. Ha az incidens "valószínűsíthetően magas kockázattal" jár, nemcsak a hatóságot, hanem magukat az érintetteket is kötelező értesíteni. Ugyancsak elrendelheti ezt a hatóság is, ha a hozzá érkezett bejelentés alapján úgy véli, hogy e magas kockázat fennáll.[37]
A jogintézmény célja kettős: egyrészt az érintettek így megte-
- 6/7 -
hetik a szükséges lépéseket a potenciális károk elhárítására (pl. bankkártya letiltása, jelszóváltás stb.), másrészt az adatkezelőket az adatbiztonság szintjének növelésére ösztönzi. Utóbbi logikus, hiszen egy ilyen incidensek ügyfelek felé történő kommunikációja jelentősen ronthatja a szervezet jóhírét, rombolhatja az ügyfeleknek az adatkezelő iránti bizalmát. Azt is meg kell jegyezni, hogy az értesítési kötelezettség igen jelentős adminisztratív terhet ró az adatkezelőkre, különösen a kis- és középvállalkozásokra, amelyek gyakran nem rendelkeznek kellő erőforrással és tudással az adatok megfelelő biztosítására.[38]
Összességében tehát minden adatkezelőnek az a jól felfogott üzleti és jogi érdeke, hogy az ügyfelek értesítését a minimálisra csökkentse. Ennek egyik evidens módja természetesen az adatvédelmi incidensek elkerülése vagy a számuk csökkentése, az adatbiztonság megfelelően magas szintjének garantálása (amelyben önmagában is szerepet kap a titkosítás), a másik pedig az, hogy az adatkezelő megfelel bizonyos jogszabályi feltételeknek, amelyek mentesítik az értesítési kötelezettség alól. Az adatvédelmi rendelet 34. cikk (3) bekezdése alapján az érintettet nem kell a fentiek szerint tájékoztatni, ha
"a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket - mint például a titkosítás alkalmazása -, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;"
E szakasz alapján tehát a titkosítással védett személyes adatok esetén az azokat ért incidensekről nem kell tájékoztatni az érintetteket. Ez a rendelkezés várhatóan jelentősen növeli majd a titkosítási megoldások iránti érdeklődést az adatkezelők körében.
Az előzőekhez képest első ránézésre kisebb a jelentősége, de mindenképp említést érdemel a releváns joghatások között a titkosítási technológia álnevesítésben és az eredeti céltól eltérő adatkezelés során betöltött szerepe.
Az adatkezelők részéről gyakran felmerülő kérdés, hogy vajon jelenthet-e szabályozási szempontból könnyebbséget az ún. álnevesített (vagy pszeudonim) adatok kezelése, amelynek lényege, hogy az adatkezelő maga közvetlenül nem tudja azonosítani az érintettet, ez csak más (és jellemzően másnál kezelt) kapcsoló adatok segítségével lehetséges. A gyakorlatban az álnevesítés az adatok tárolásánál, továbbításánál, és úgy általában egyes IT-szolgáltatásoknál kaphat szerepet, ahol valamilyen okból valamelyik szereplő azt szeretné igazolni, hogy az általa tárolt, továbbított stb. adatok közvetlenül nem kapcsolhatók természetes személyekhez.
A jelenlegi európai és magyar szabályozás alapvetően a teljes védelmi rendszert kiterjeszti a pszeudonim adatokra is, azaz nincsenek mentességi szabályok e területen. Az EU adatvédelmi rendelete e rendszerbe némi változást hoz. A 4. cikk 5. pontja tartalmazza az "álnevesítés" fogalmát, ami eszerint "a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni." A fogalomban feltételként írt "technikai és szervezési intézkedés" a gyakorlatban sokszor titkosítást jelent, azaz egy adatkezelő a titkosítással igazolja, hogy - a dekódoló kulcs hiányában - nem fér hozzá közvetlenül a személyes adatok tartalmához. Megjegyezzük, hogy a fogalom ugyan bekerült a GDPR rendelkezési közé, de a gyakorlatban csak minimális szabályozási könnyebbséget jelent az álnevesítés.
Az egyik ilyen fontos terület azonban az eredeti céltól eltérő adatkezelés, amelynek egyébként a "Big Data" tendencia fényében a jelentősége bizonyosan nőni fog. Az adatvédelmi jog egyik alapelve a célhoz kötöttség követelménye, amelynek lényege, hogy személyes adatok csak meghatározott, jogszerű célból lehet kezelni. Ez egyrészt a készletező adatkezelés tilalmát jelenti, másrészt azt, hogy a kezelt adatok körének is igazodnia kell e célhoz. A régi-új európai adatvédelmi rezsimben azonban egyes szűk esetkörökben lehetőség van az eredeti adatgyűjtés céljától eltérő, de azzal összeegyeztethető célból is személyes adatot kezelni.[39]
A GDPR 6. cikk (4) bekezdése szerint "ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul [... akkor] annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi: [...]
e) megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is."
Az eredeti cél és az új cél összeegyeztethetőségének megállapítása komplex, és korántsem egyszerű feladat. Ennek során több szempontot is figyelembe kell venni, amelyek közül fontos lehet az álnevesítés és a titkosítás alkalmazása is. Ennek gyakorlati jelentőségét azonban majd csak a kialakult joggyakorlat fényében lehet megállapítani.
Ezen igen rövid fejezetben csupán utalni szeretnénk arra, hogy az adatvédelmi szabályozás egyáltalán semmit nem mond arról, hogy milyen titkosítási megoldások teljesítik a jogi követelményeket, és sem a hatályos, sem a GDPR rendszerében nincs mechanizmus a technológiakövetésre sem. Az érintett értesítésének mellőzése kapcsán mintha objektív kritériumként kellene azt teljesíteni a GDPR szerint, hogy az adatkezelők a "személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat" - csakhogy a jövőre nézve is biztosan feltörhetetlen titkosítás nemigen létezik.
Vélhetően a különböző információbiztonsági jó gyakorlatok és a (hatósági) joggyakorlat dolgozza ki majd e kérdés részleteit, csakúgy, mint általában az adatbiztonság területén.
Evidensnek tűnhet a titkosítás alkalmazása a minősített adatok védelme területén is. Elöljáróban arra érdemes rámutatni, hogy mivel a katonai és nemzetbiztonsági fogalomrendszerben a titkosítás alapvetően a minősítési eljárásra használatos, a civil titkosítás fogalomra e területen inkább a rejtjelzés[40] kifejezéssel utalunk.
A minősített adat védelméről szóló 2009. évi CLV. törvény (továbbiakban: Matv.) előírja a következőket:
10. § (4) Minden olyan szervnél, ahol minősített adatot kezelnek, meg kell teremteni a minősített adat védelméhez szükséges, az adat minősítési szintjének megfelelő, [...]
b) ha a szerv a minősített adatot elektronikus információs rendszeren kezeli, az e törvényben és az elektronikus információbiztonságról szóló törvényben és végrehajtásukra kiadott jogszabályokban meghatározott elektronikus biztonsági feltételeket. [...]
(7) Elektronikus biztonsági intézkedéseket kell tenni az elektro-
- 7/8 -
nikus rendszeren kezelt minősített adat és az elektronikus rendszer bizalmassága, sérthetetlensége és rendelkezésre állása érdekében.
A fentiek alapján, mivel az elektronikus adatok bizalmasságát elsősorban rejtjelzéssel lehet biztosítani (ritkábban fizikai biztonsági kontrollintézkedésekkel), ezért szükségszerű a titkosítás alkalmazása. A rejtjeltevékenységgel kapcsolatos részletszabályokat a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól szóló 161/2010. (V. 6.) Korm. rendelet határozza meg.
A rejtjelzés tevékenységének konkrét technológiája és biztonsági követelményei a minősített adatok védelme esetén - hasonlóan az elektronikus aláírás szabályozása kapcsán leírtakkal - szigorú állami felügyelet mellett érvényesül; e feladatot a Nemzeti Biztonsági Felügyelet látja el. Fontos különbség azonban, hogy amíg a civil titkosítás során rendszerint mindenki által ismert, nyílt algoritmusok használatosak, addig a minősített adatok védelmét biztosító rejtjelzési protokollok, algoritmusok és paraméterek maguk is minősített adatok, így azok fel nem jogosított személyek számára nem ismerhetők meg. Így tehát maga az eljárás is titkos, ami egyrészt fokozott védelmet biztosít, másrészt azonban a széles körű szakmai vizsgálatot sem teszi lehetővé, így az esetleges gyengeségek is nehezebben derülnek ki.
Az üzleti titok szabályozása[41] kapcsán nem találunk közvetlen utalást titkosítás alkalmazására, de az üzleti titok fogalmának fontos eleme, hogy az "nem közismert" "nem könnyen hozzáférhető" és a "titok megőrzésével kapcsolatban a vele jogszerűen rendelkező jogosultat felróhatóság nem terheli"[42]. Ezeknek a kritériumoknak természetesen számos módon meg lehet felelni, de az elsőre is nyilvánvalónak látszik, hogy amennyiben az üzleti titok titkosított formában kerül tárolásra, továbbításra vagy maga a kommunikációs csatorna titkosított, akkor egy jogvita esetén várhatóan könnyen igazolható, hogy a titok megőrzésével kapcsolatban a jogosult megtette a szükséges intézkedéséket. A titkosítási megoldások így e területen olyan eszköznek tekinthetők, amelyek alkalmazása ugyan nem előfeltétele, de nagyban segíti azt, hogy az adott adat a jogszabályok alapján üzleti titoknak minősüljön - és természetesen fontos szerepe lehet az üzleti titok valódi titokban tartásában is.
Az adatbiztonság szabályozása mellett érdemes megnézni a titkosítás információbiztonságra (azaz nemcsak a személyes adatok, hanem bármely adat biztonságára) vonatkozó jogszabályokban és szabványokban betöltött szerepét is. Ezek egyes területeken kiegészítik, pontosítják az adatbiztonságra vonatkozó szabályokat, vagy önmagukban technikai-védelmi intézkedéseket írnak elő a személyes adatoknak nem (feltétlenül) minősülő adatok védelme területén. Elöljáróban kijelenthető, hogy az információbiztonság jogi és szabványalapú szabályozásában szinte minden lényeges normatívában valamilyen mértékben szerepel a titkosítás.
Az információbiztonság legfontosabb hazai jogforrásában, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben - elsőre meglepő módon - nem szerepel közvetlenül a fogalom. Ugyanakkor a nem éppen frappáns című, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet több követelménypontjában is megjelenik.
Először a rendelet 4. sz. mellékletének a hozzáférés ellenőrzésével kapcsolatos 3.3.10.13.3. pontjában jelenik meg a titkosítás, amely alapján kriptográfiai mechanizmusokat kell alkalmazni a távoli hozzáférés munkaszakaszok bizalmasságának és sértetlenségének a védelmére. A távoli hozzáférés követelményei között jelenik meg tehát az igény az adatfolyam titkosítására és az integritás biztosítására. Itt sincs egyébként előírva a konkrét alkalmazható protokoll és algoritmus, illetve maga a távoli hozzáférés sem meghatározott (pl. VPN, RDP).
A melléklet 3.3.10.14.2. pontja a hitelesítés és titkosítás címet viseli, és eszerint az érintett szervezet az elektronikus információs rendszerben titkosítással, és a felhasználók vagy eszközök hitelesítésével védi a vezeték nélküli hozzáférést. Ezek alapján vezeték nélküli hozzáférés estén - ami nem kizárólag a Wifi, hanem például a Bluetooth, vagy egyedi rádiós összeköttetést is jelent - kötelező a titkosítás. Értelmezésünk szerint ez azt is jelenti, hogy ha a technológia nem alkalmas titkosításra, akkor az e körben nem használható.
A 3.3.10.15. pont a mobil eszközök hozzáférés ellenőrzéséről rendelkezik, és ennek 2. pontja ugyancsak követelményként fogalmazza meg a titkosítást. Eszerint az érintett szervezet teljes eszköztitkosítást, tároló alapú titkosítást, vagy más technológiai eljárást alkalmaz az általa meghatározott mobil eszközökön tárolt információk bizalmasságának és sértetlenségének a védelmére, vagy az információk hozzáférhetetlenné tételére. E szabály a mobileszköz tárolóegységének (tipikusan valamilyen flash tároló) titkosítását írja elő. Ennek jellemző módja (különösen az operációs rendszert tároló egység esetén) az adott mobil operációs rendszer beépített titkosítási funkciójának használata, amelynek hatásossága sajnos nem mindig vitán felüli. A jogszabály értelemszerűen nem zárja ki valamely más termék alkalmazását erre a célra.
Az információbiztonság területén az egyik leggyakrabban alkalmazott szabvány a 27001-es, amelynek széles körű auditgyakorlata is kialakult. Az MSZ ISO/IEC 27001:2014-es szabvány - mivel általános célú információbiztonsági szabvány - nem szabályozza részletesen a titkosítás és hozzáférés-ellenőrzés kérdését. A hozzáférés-menedzsment kérdését szabályozó 9.1 pont szerint azonban szabályzatot kell alkotni a hozzáférésmenedzsmentre, valamint a felhasználók csak azokhoz a hálózatokhoz és szolgáltatásokhoz férhetnek hozzá, amelyekre konkrétan felhatalmazást kaptak. A szabvány A.10.1 pontja szerint ki kell alakítani és be kell vezetni egy titkosítási intézkedések tételére vonatkozó, továbbá a teljes életciklusra a titkosító kulcsok használatára, védelmére és élettartamára vonatkozó szabályzatot. Maga a titkosítás alkalmazása tehát nem konkrét követelmény, viszont a többi pontnak való megfelelés során jellemzően kialakításra kerül valamilyen kriptográfiai rendszer.
- 8/9 -
A bankkártyás fizetések biztonságát a Visa Inc., MasterCard, American Express, Discover Financial Services és JCB International által alapított Payment Card Industry Security Standards Council (PCI SSC) több, általa kiadott szabványban határozza meg. Ezek közül a legszélesebb körben ismert és alkalmazott PCI DSS szabvány határozza meg a bankkártya-elfogadók által alkalmazandó biztonsági szabályokat. Ez egy de facto szabvány, melynek aktuális kiadása a 2015-ben megjelent 3.2 verzió, és amelynek alkalmazása minden bankkártyás fizetést elfogadó és az annak lebonyolításában részt vevő szervezet számára kötelező. A szabvány - szemben más információbiztonsági szabványokkal, mint az ISO 27001 - egy bizonyos részterületre koncentrálva különösen részletes technikai szabályokat határoz meg, ezért döntöttünk úgy, hogy érdemes megvizsgálni e szabályrendszert, mint jó gyakorlatot. Az egyik ilyen szabálycsoport a bankkártyaadatok tárolását szabályozza.
A 3.4. pont alapján minden tárolt kártyaszámot nem olvasható módon kell tárolni, ami történhet hash függvénnyel, csonkolással (legfeljebb az első hat és utolsó négy karakter meghagyása, a többi végleges törlése), tokenizálással (kártyaadatok cseréje azt helyettesítő adatra) vagy erős kriptográfiával (adatok titkosítása korszerű algoritmussal). Amennyiben a szervezet teljes merevlemez-titkosítást alkalmaz, a titkosítási kulcsnak és az azonosítási mechanizmusnak az operációs rendszer azonosítási eljárásaitól különböző módon kell történnie.
A 3.5. pont szerint dokumentálni kell és be kell vezetni olyan kulcsvédelmi folyamatokat, amelyekkel védeni lehet a tárolt bankkártyaadatokat az illetéktelen hozzáféréstől és a visszaélésektől. Ennek részét képezi, hogy a bankkártya-adatokat titkosító kulcsot legalább ugyanolyan erősségű kulccsal kell titkosítani és attól elkülönítve tárolni. A tárolás történhet továbbá biztonságos kulcstároló hardverelemben vagy két teljes hosszúságú kulcskomponensben valamely, az iparban elfogadott eljárás szerint.
Végül a 4.1. pontban meghatározottak szerint csak megfelelő kriptográfiai algoritmussal és azt alkalmazó protokollal szabad bankkártyaadatokat nyilvános hálózatokon küldeni. Ezen belül csak megbízható féltől származó tanúsítványokat lehet alkalmazni. A szabvány nem tekinti biztonságosnak a SSL és a korai TLS verziók alkalmazását.
A tanulmány során arra törekedtünk, hogy áttekintsük a titkosítási megoldások és a jogi szabályozás (valamint egyes szabványok) legfontosabb kapcsolódási pontjait. A téma jelentőségénél fogva mindenképpen indokoltnak tartanánk a problémakör ennél jóval mélyebb elemzését is, ez azonban e tanulmány kereteit meghaladta volna. A fentiekből azonban néhány következtetés egyértelműen kiolvasható.
1. A szabályozás számos esetben jelentős joghatást fűz a titkosítás alkalmazásához, legyen szó az elektronikus kommunikációban részt vevő dokumentumok és személyek hitelességéről, adatvédelmi szabályoknak való megfelelésről, vagy titokvédelmi szabályok érvényre jutatásáról.
2. Az elektronikus ügyintézés elterjedésétől és az új, korábbinál szigorúbb adatvédelmi szabályozás hatálybalépésétől egyaránt az várható, hogy jelentősen megnő az igény a titkosítási technológiák iránt, ugyanakkor néhány alapvető fogalmi és elvi kérdés (különösen a technológia nemzetbiztonsági szempontú esetleges korlátozása) tisztázatlan vagy ellentmondásosan szabályozott. Ez a jövőben várhatóan olyan jogvitákhoz fog vezetni, amelyek feloldása a jelenleg hatályos jogszabályi környezet alapján korántsem lesz egyszerű feladat.[43]
3. A jogszabályok mellett jelentős szerepet kapnak az információbiztonság és végső soron a titkosítással kapcsolatos követelmények területén a különböző szabványok, amelyek azonban eltérő részletezettséggel állapítják meg a követendő szabályokat.
4. Nem egységes a szabályozás rendszere a tekintetben, hogy pontosan milyen technológiai megoldások szükségesek egy adott jogi következmény eléréséhez, és miképpen biztosított a ma hatékonynak tűnő technológiák időtállósága. Míg az elektronikus kommunikáció, a hatósági ügyekben történő titkosítás és a minősített adatok védelme kapcsán alapvetően megoldott a technológiakövetés kérdése (legalábbis az alapvető jogi feltételek adottak hozzá), addig az adatvédelem és adatbiztonság területén nem találkozunk részletszabályokkal vagy technológiakövetést biztosító jogintézménnyel. Álláspontunk szerint érdemes lenne az adatvédelem és adatbiztonság területén is rugalmas, az adatvédelmi hatóságoknak is szerepet biztosító mechanizmusokat kiépíteni a megfelelő színvonalú titkosítási megoldások alkalmazása érdekében. ■
JEGYZETEK
[1] A tanulmány "Az internetes forgalomirányító szolgáltatások szabályozási kérdései" című, 116551 számú OTKA-kutatás eredményeire épül. Emellett a jelen tudományos közleményt a szerzők a Pécsi Tudományegyetem alapításának 650. évfordulója emlékének is szentelik.
[2] Berta István Zsolt: Nagy e-szignó könyv. Microsec Kft., 2011. p. 71. a témáról részletesen ld. Singh, Simon: Kódkönyv. Park Könyvkiadó, 2001.
[3] Jack Higgins "A Sas leszállt" (1975) című regénye alapján készült azonos című film (1976)
[4] Berta István Zsolt i. m. p. 38.
[5] Uo.
[6] Muha Lajos: Fogalmak és definíciók. In: Muha Lajos (szerk.): Az informatikai biztonság kézikönyve, Verlag Dashöfer, 2004.
[7] Ennek lényege, hogy a kódoló és dekódoló kulcs azonos, így azonban ebben vagy előre meg kell állapodnia az érintett feleknek, vagy biztosítani kell a kulcs eljuttatását a célszemélyhez.
[8] Ld. többek között Balogh Zsolt György: Az elektronikus aláírás technológiai alapjai. In: Torma András (szerk.): Ünnepi tanulmányok prof. Dr. Kalas Tibor egyetemi tanár Oktatói Munkásságának tiszteletére. Z-Press Kiadó, 2008. pp. 47-63., Dósa Imre - Polyák Gábor: Informatikai jogi kézikönyv. KJK-Kerszöv, 2003. pp. 189-208.
[9] Ld. Lessig, Lawrence: The Laws of Cyberspace, Draft 3. 1998. Az esszé a Taiwan Net '98 konferencián előadott prezentáció alapja. https://cyber.harvard.edu/works/lessig/laws_cyberspace.pdf [2017.05.15.]
[10] Berta István ettől némiképp eltérő hármas csoportosítása szerint ezek: az aláírás (dokumentumhitelesítés), titkosítás, autentikáció (partnerhitelesítés), Berta István Zsolt i. m. pp. 25-27.
[11] Az elektronikus aláírásra vonatkozó közösségi keretfeltételekről szóló az Európai Parlament és a Tanács 1999. december 13-i 1999/93/EK irányelvét még uniós csatlakozásunk előtt átültette az elektronikus aláírásról szóló 2001. évi XXXV. törvény, amely 2001. szeptember 1-jén lépett hatályba, amellyel egyidejűleg a Polgári Törvénykönyv hatálybalépéséről és végrehajtásáról szóló 1960. évi 11. tvr. 38. § (2) bekezdése is rendelkezett a kérdésről.
[12] Ahogyan az eIDAS preambulum (1) bekezdése megfogalmazza: "A gazdasági és társadalmi fejlődés szempontjából kiemelten fontos az online környezet iránti bizalom megteremtése. A fogyasztók, a vállalkozások és a hatóságok vonakodnak tranzakcióik elektronikus úton történő végrehajtásától és új szolgáltatások igénybevételétől, mivel nem bíznak ezekben, és az ezekkel kapcsolatos jogbiztonságot nem érzik kielégítőnek." Dacára a korai és kielégítő jogi szabályozásnak, az elektronikus aláírás felhasználása napjainkra még nem vált tömegessé, és a digitális belső piacba vetett bizalom sem erősödött meg olyan mértékben, hogy döntő fölényhez jusson az elektronikus kereskedelem.
[13] eIDAS 46. cikk "Az elektronikus dokumentum joghatása és bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú."
[14] A joghézag jelentőségéről bővebben ld.: Zámbó Alexandra Erzsébet: Az elektronikus aláíráshoz fűződő joghatások, JURA 2017/1.
[15] Irányadóak az E-ügyintézési törvény második részben, továbbá a 451/2016. (XII. 19.) Korm. rendeletben, és a 137/2016. (VI. 13.) Korm. rendeletben foglalt részletszabályok.
[16] Ld. 2013. évi CCXXXVII. törvény 279. § (1) bek.
[17] Eat. 2. § 1. és 2. pont.
[18] Eat. 18. §, 20. § és 21. § (1) bek. d) pont.
[19] E-ügyintézési tv. 92. § (1) bek. b) pont, 95. § (1) bek., és (3) bek. b) pont.
[20] Eat. 13. § (4) bek. Az aláíró az aláírás-létrehozó adatot kizárólag az aláírás létrehozására használhatja, betartva a tanúsítványban jelzett esetleges egyéb korlátozásokat is. A minősített tanúsítvány felhasználható fokozott biztonságú elektronikus aláírás létrehozására is.
[21] A kérdésről részletesen ld. Jóri András: A polgári célú rejtjelezés szabályozásáról. Kulcsletét - a polgári célú kriptográfia jogszerű használatának korlátozása, Napi Jogász. A nemzetközi és hazai gazdasági jog kérdései, változásai 2002/3. pp. 21-23., ill. Majtényi László adatvédelmi biztos ajánlását "Az Internettel összefüggő adatkezelések egyes kérdéseiről" (2001. február 1.), melyet idéz Jóri András i. m. p. 22.
- 9/10 -
[22] Jóri András i. m. p. 22.
[23] Az elektronikus ügyintézést biztosító szerv fogalmi meghatározását az E-ügyintézési tv. 1. § 17. pontja adja, eszerint ide tartoznak a) az államigazgatási szervek, b) a helyi önkormányzat, c) a törvény vagy kormányrendelet által közigazgatási hatósági jogkör gyakorlására feljogosított egyéb jogalanyok, d) az Országos Bírósági Hivatal és a bíróságok, e) az alapvető jogok biztosa, f) az ügyészség, g) a közjegyzők, h) a bírósági végrehajtók, i) a hegyközségek kivételével a köztestületek, j) a közüzemi szolgáltatók, k) a törvényben vagy kormányrendeletben elektronikus ügyintézésre kötelezett közfeladatot ellátó vagy közszolgáltatást nyújtó jogalanyok, valamint l) a meghatározott ügyek e törvény szerinti elektronikus intézését önkéntesen vállaló, az e törvényben meghatározott feltételeknek megfelelően biztosító és ezt az Elektronikus Ügyintézési Felügyeletnek bejelentő egyéb jogalanyok.
[24] E-ügyintézési tv. 34. § (1) bek. cd) pont.
[25] 451/2016. (XII. 19.) Korm. rendelet 27. §.
[26] 451/2016. (XII. 19.) Korm. rendelet 24. §.
[27] 451/2016. (XII. 19.) Korm. rendelet 92. §.
[28] 451/2016. (XII. 19.) Korm. rendelet 82. §.
[29] Ektv. 16/H. §.
[30] A kérdésben rejlő globális jogi és technológiai problémák összegzésére jó példa (a végül jogilag eldöntetlenül maradt) Apple vs FBI titkosítási vita, amely során az erős titkosítással védett eszközök nemzetbiztonsági célú feltörése, az üzleti titokhoz fűződő jogi érdek, és a magánszféravédelme egyaránt mérlegelési kérdéssé vált.
[31] Az előző fejezetben említett dokumentumtitkosítási megoldások éppenséggel a személyes adatok védelmét is szolgálhatják, és gyakran valóban ez a motiváció.
[32] 2018. május 25-ével az összes EU-tagállamban, így Magyarországon is közvetlenül alkalmazandó lesz a többéves adatvédelmi reform eredményeként megszületett, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679/EU Rendelet (GDPR).
[33] GDPR (83) preambulumbekezdés.
[34] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.
[35] Nemzeti Adatvédelmi és Információszabadság Hatóság.
[36] GDPR 4. cikk 12. pont.
[37] GDPR 33. cikk, 34. cikk (1)-(2) bek.
[38] Az adatvédelmi incidenssel kapcsolatos szabályozás részletes elemzését ld. Szőke Gergely László: Értesítési kötelezettség az adatvédelmi incidensek esetén - elméleti és gyakorlati kérdések, JURA 2017/1.
[39] Ez európai szinten nem újdonság, az adatvédelmi irányelv (95/46/EK) is hasonlóan fogalmaz. A hatályos magyar szabályozás azonban ennél szigorúbb, és lényegében nem ismeri az eredeti céltól eltérő adtakezelést, akkor sem, ha az új cél egyébként összeegyeztethető lenne az eredeti adatkezelési céllal.
[40] Egyes források (jogszabályok és szakirodalom) a rejtjelzés, mások a rejtjelezés kifejezést használják. E két írásformát a cikkben párhuzamosan használjuk, e fejezetben az Matv.-hez igazodva a rejtjelzés formát részesítve előnyben.
[42] E fogalmi elemeket a nemrég elfogadott, és 2018. június 9-ig átültetendő üzleti titok irányelv [a nem nyilvános know-how és üzleti információk (üzleti titkok) jogosulatlan megszerzésével, hasznosításával és felfedésével szembeni védelemről szóló 2016/943/EU irányelv] is tartalmazza. Továbbra is feltétele lesz az üzleti titoknak a "titkosság" [2016/943/EU irányelv 2. cikk 1. a) pont] és az, hogy a "titokban tartása érdekében az információ feletti ellenőrzést jogszerűen gyakorló személy a körülmények figyelembevételével elvárható lépéseket megtette" [2016/943/EU irányelv 2. cikk 1. c) pont].
[43] A kérdés hangsúlyosan megjelenik az új európai uniós "elektronikus hírközlési adatvédelmi rendelet" kodifikációs munkálatai során. Legújabban az Európai Parlament Állampolgári Jogi, Bel- és Igazságügyi Bizottsága 2017. június elején nyilvánosságra hozott véleménytervezetében, amely támogatná, hogy a magánélet sérthetetlenségét biztosító alapvető jogok biztosítása érdekében az EU polgárai által használt összes elektronikus kommunikációs szolgáltatásnál végponti (end-to-end) titkosítást használjanak, ugyanakkor megfogalmazza a kommunikációs rendszerekbe beépített hátsó ajtók (backdoor) tilalmát. Várható, hogy a rendelet végső formájában enyhébb előírásokat fog tartalmazni, tekintettel arra, hogy a terrorveszély elhárításának kérdése továbbra is a tagállami prioritások között szerepel.
Lábjegyzetek:
[1] A szerző a PTE ÁJK Közigazgatási Jogi Tanszék Informatikai és Kommunikációs Jogi Csoport adjunktusa, a PTE belső adatvédelmi felelőse.
[2] A szerző a PTE ÁJK Közigazgatási Jogi Tanszék Informatikai és Kommunikációs Jogi Csoport tanársegédje, és a Kar Doktori Iskolájának PhD hallgatója.
[3] A szerző információbiztonsági auditor és az NKE ÁKK Elektronikus Közszolgálati Intézet adjunktusa.
Visszaugrás
