A jogalkotó az elektronikus aláírásról szóló 2001. évi XXXV. törvény (Eat.) és végrehajtási rendeletei megalkotásával megteremtette annak a lehetőségét, hogy Magyarországon is működhessenek olyan elektronikus aláírással kapcsolatos szolgáltatást nyújtó szolgáltatók, amelyek tevékenységük során meghatározott, jogszabályokban és mértékadó műszaki szabványokban megfogalmazott követelmények teljesítését vállalják és ezzel az igénybevevők és a szolgáltatásaikra támaszkodó harmadik felek számára nagyobb megbízhatóságot, valamint az Európai Unió tagállamai között az elektronikus dokumentumok könnyebb áramlását és felhasználását tegyék lehetővé. Ez a cikk a jogszabályok megalkotása óta eltelt néhány év tapasztalatainak összefoglalásaként gyakorlati nézőpontból vizsgálja a minősített szolgáltatók működését és az ezekkel kapcsolatos hatósági feladatok teljesítését.
Előre kell bocsátani, hogy az elektronikus aláírással kapcsolatos szolgáltatások piaca az Európai Unióban mindenhol, így hazánkban is, jelenleg még eléggé szűk, az itt működő szolgáltatók ügyfélszáma alacsony. Hosszú ideig nem is volt olyan szolgáltató, amely az Eat. alapján minősített szolgáltatást kívánt volna nyújtani, mivel a feltételek teljesítéséhez szükséges jelentős pénzügyi befeketetés megtérülése nem látszott valószínűnek. Ezért az itt olvasható gyakorlati tapasztalatok mindössze valamivel több, mint egy évre nyúlnak vissza, a jövőre vonatkozó érvényességüket pedig nagyban csökkenti az európai jogharmonizáció jegyében az Eat. szabályait módosító 2004. évi LV. Törvény hatálybalépése, amely a minősítési eljárás szabályait alapjaiban alakítja át.
Jelen cikk feltételezi, hogy az olvasó megfelelően otthonosan mozog az elektronikus aláírással kapcsolatos fogalmak világában és ismeri az elektronikus aláírással kapcsolatos, Eat. által szabályozott szolgáltatások működését, és az érintett szereplőket, ezekre ugyanis a terjedelem korlátai miatt sincs módunkban kitérni.
Az Európai Parlament és a Tanács 1999/93/ EK számú, az elektronikus aláírással kapcsolatos közösségi keretrendszerről szóló Irányelvét (továbbiakban: Irányelv) a hazai jogba még a csatlakozás előtt átültette az Eat., amely elsőként szabályozta hazánkban az elektronikus aláírással kapcsolatos szolgáltatások nyújtását annak érdekében, hogy az elektronikus dokumentumokon elhelyezett elektronikus aláírások, valamint időbélyegzők megbízható, megfelelő joghatállyal bíró felhasználását elősegítse. A gyakorlatban ilyen célokra használt, nyilvános kulcsú infrastruktúrán (PKI) és megbízható harmadik felek (szolgáltatók) bevonásán alapuló rendszerben ugyanis a szolgáltatók megfelelő működése alapvető jelentőségű az egész rendszerbe vetett bizalom szempontjából, emellett a különböző szolgáltatók és különböző gyártóktól származó elektronikus aláírási termékek együttműködése is szabályozott működést követel meg. Az Eat. ezért alapvetően kétfajta szolgáltatót határozott meg a nyilvánosság számára szolgáltatást nyújtók körében: a nem minősített (gyakorlatban pontatlanul gyakran fokozott biztonságúnak nevezett) és a minősített szolgáltatókat. A magyar szabályozás ennyiben túl is teljesítette az Irányelv követelményeit, mivel az csak a tanúsítványok kibocsátásával és a kapcsolódó szolgáltatásokkal foglalkozó hitelesítés-szolgáltatók körében tett ilyen megkülönböztetést, a többi szolgáltatás esetén a nemzeti törvényhozásra bízta a szintek kialakítását, csakúgy, mint azt, hogy bizonyos, elsősorban a verseny szabadságát és a szolgáltatások szabad belső piacon történő áramlását biztosító kereteken belül meghatározzák a szolgáltatói működés követelményeit és az ezzel kapcsolatos hatósági feladatokat és eljárásokat. A magyar jogalkotó ezzel a szabadsággal olyan módon élt, hogy a szolgáltatók mindkét szintjére és minden szolgáltatástípusra nézve határozott meg formai és eljárási követelményeket, amelyeket a piacra lépés előtt, valamint a működés során, illetve a tevékenység befejezésekor teljesíteni kell, ugyanakkor érdemben tartalmi követelményeket csak a nemzetközi interoperabilitás és a hozzá kapcsolódó joghatályi vélelmek miatt is jelentősebb minősített szintű szolgáltatók esetében jelölt meg. Ez nem kis részben annak is köszönhető, hogy a nemzetközi mértékadó szabványosítás szintén a minősített (elsősorban hitelesítés-) szolgáltatókra fókuszált, így a fennmaradó esetekre külön hazai követelmények megalkotása vált volna szükségessé.
A nem minősített szolgáltatók esetében az előírások lényegében formaiak: a szolgáltatás nyújtásának megkezdése előtt minden szolgáltatónak, függetlenül a kínált szolgáltatás típusától, regisztráltatnia kell magát az Eat. által az elektronikus aláírással kapcsolatos piac felügyeletére kijelölt Nemzeti Hírközlési Hatóságnál. A továbbiakban a Hatóság jogo-
- 25/26 -
sult felügyelni a szolgáltatók működését, és intézkedéseket illetve szankciókat is alkalmazhat, amennyiben nem megfelelő, a megbízhatóságot befolyásoló működést észlel. A tevékenység befejezésére szintén mindkét szolgáltatási szintre érvényes szabályok írják elő a követendő eljárást, amely biztosítani hivatott a szolgáltatás igénybevevői, valamint az arra támaszkodó harmadik felek és a nagyközönség megfelelő tájékoztatását, érdekeinek védelmét. Ezen túlmenően azonban lényegében nincsenek olyan, kívülről előírt követelmények a nem minősített szolgáltatók esetében, amelyek a szolgáltatás tartalmi jellemzőire vonatkoznának, így a szolgáltató által a releváns szabályzatokban és általános szerződési feltételekben önként és egyoldalúan vállalt, valamint az egyes ügyfelekkel kötött szerződésekben meghatározott követelmények adják a szolgáltatás nyújtásának kereteit. Ilyen módon a szolgáltatás tartalmi paraméterei széles skálán mozoghatnak, ezért az egyes szolgáltatók és szolgáltatások összehasonlítása nehéz.
A minősített szolgáltatók ezzel szemben nem csak formai, hanem tartalmi előírásokat is kötelesek betartani a működésük során, és ennek biztosítására fokozottabb hatósági felügyeletnek is vannak alávetve. A minősítettség elsősorban egy olyan keretet jelent, amely ismert követelményei révén lehetővé teszi az összehasonlítást és az interoperabilitást mind nemzeti viszonylatban, mind az Európai Unión belül. Itt sincs azonban akadálya annak, hogy a szolgáltató egyoldalúan, vagy közös megegyezéssel szerződésben magasabb megbízhatósági szintet vállaljon, a Hatóság ilyenkor a jogszabályokban és a szabályzatokban vállalt követelmények teljesülését egyaránt vizsgálja.
Az Eat. idevonatkozó szabályain túlmenően az államigazgatási eljárás általános szabályairól szóló 1957. évi IV. törvény (Áe) és a 151/2001 (IX.1.) Korm. rendelet a Hírközlési Főfelügyeletnek az elektronikus aláírással kapcsolatos feladat- és hatásköreiről, valamint eljárásának részletes szabályairól határozza meg a hatóság és a szolgáltatók viszonyában követendő eljárásokat, ezek mindkét szolgáltatói szintre vonatkoznak. A tartalmi szabályok a 16/2001 (IX. 1.) MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről keretében kerültek lefektetésre. Ezeken a kötelező normákon túlmenően orientációs céllal került kibocsátásra a 2/2002 (IV. 26.) MeHVM irányelv a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről, amelyet azonban a gyakorlatban minden szolgáltató figyelembe vesz, mivel az irányelv teljesítésének igazolása a normatív követelményeknek való megfelelés vélelmét állítja fel. A Hatóság azonban a szolgáltatók működésének megfelelőségét a fentieken túlmenően a mindenkori mértékadó szabványokban rögzítettekhez képest is értékeli, mivel ezek töltik ki tartalommal a jogszabályok gyakran absztrakt magas szintű rendelkezéseit. A szabványok figyelembe vétele biztosítja a nemzetközi interoperabilitást is.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
