Az Európai Bizottság felülvizsgálja az elektronikus aláírásról szóló 1999/93/EC irányelvet, e munka keretében hétfőn közzétettek egy tervezetet az új szabályozásra.
Rendelet, nem pedig irányelv
Jogi szempontból a legfontosabb változás, hogy a tervezet nem egy irányelv (directive), hanem rendelet (regulation) tervezete. Az irányelvet a tagállamoknak saját jogszabályaikkal be kell építeniük a saját jogrendjükbe, ezzel szemben a rendelet automatikusan kötelező a tagállamokra, így közvetlenül beleépül a tagállamok jogrendjébe. Ha a szabályozás valóban rendeletként jelenik meg, felváltja mind a magyar elektronikus aláírásról szóló 2001. évi XXXV. törvényt (Eat.), mind a többi EU tagállam elektronikus aláírás törvényét. Ez a törekvés azt jelenti, hogy ezen a területen nagyon rendet akarnak rakni; ha összehasonlítjuk egymással például a magyar, a német, a szlovák vagy az olasz elektronikus aláírás törvényt, ez nem is csoda.
Kiegészítés (2012-08-05): Egyelőre nincs határozott információ arra nézve, hogy ha rendeletként jelenik meg a jogszabály, az pontosan milyen hatással lesz a tagállamok elektronikus aláírás törvényeire, így a hazai Eat-ra.
Az egyes bizalmi szolgáltatásokról
Az új szabályozás már nem csak az elektronikus aláírást szabályozza, hanem több bizalmi szolgáltatást (trust service) ír le:
- elektronikus aláírás;
- elektronikus bélyegző (electronic seal), ami a szervezeti aláírásnak felel meg
- időbélyeg;
- elektronikus dokumentum archiválása
- elektronikus kézbesítés;
- webszerver hitelesítés;
Az elektronikus aláírással kapcsolatos fogalmak nem változtak, a minősített elektronikus aláírás továbbra is egy természetes személy kézzel írott aláírásának felel meg. Továbbra is szerepel a tervezetben, hogy aláírás nem utasítható el önmagában azért, mert elektronikusan létezik.
Láthatóan más tagállamokban is erős az igény rá, hogy ne csak természetes személyek készíthessenek erős bizonyító erővel rendelkező okiratokat. Egyes tagállamokban élt a szervezeti (minősített) aláírás fogalma, más tagállamok (pl. Németország) csak természetes személynek engedélyeztek elektronikus aláírást. Magyarországon a 2012-es Eat. módosítások jogilag is elismerték, hogy szervezet is készíthet minősített tanúsítványra épülő elektronikus aláírást, amely teljes bizonyító erejű magánokirat, illetve közokirat készítésére is alkalmas. A tervezet szerint az EU is át szeretné emelni, hogy szervezet is készíthessen "erős" aláírást, de ők nem elektronikus aláírásnak, hanem elektronikus bélyegzőnek (electronic seal) nevezik ezt a fogalmat. A tervezet ugyanazt a problémát kezeli és ugyanúgy, mint a hazai jogalkotás, csak másképp hívja az eredményt, új fogalmat vezet be rá.
A tervezetben szereplő időbélyeg fogalma megfelel a magyar Eat. szerinti időbélyegnek. Ma sok zűrt okoz, hogy az időbélyegzés nem szerepel a direktívában. Időbélyeg nélkül nemigen lehet aláírást megbízhatóan ellenőrizni, de sok tagállamban nincs ilyen fogalom, míg más tagállamokban nem fogadnak el időbélyeg nélküli aláírást. Szintén újdonság, hogy a tervezetben megjelenik az a gondolat, hogy az aláírást egy visszamenőleges időpontra nézve kell ellenőrizni. (Eddig ez a gondolat egyedül a német szabályozásban szerepelt.)
Az elektronikus archiválás fogalma szintén megfelel a magyar Eat. szerinti archiválásnak. Láthatóan EU-s szinten is hangsúlyt kapott, hogy az aláírt okiratokat archiválni kell.
Új, de nagyon forró téma a biztonságos elektronikus kézbesítés fogalma. Itthon a szabályzott elektronikus ügyintézési szolgáltatásokról szóló 83/2012. (IV. 21.) Kormányrendelet vezetett be hasonló fogalmat.
A webszerver hitelesítés szabályozása szintén újdonság. Ez időszerű volt, hiszen a webszerver tanúsítványok használata igen széleskörű, és volumenében messze meghaladja az elektronikus aláírás felhasználást, míg sem EU-s szinten, sem Magyarországon lényegében semmilyen szabályozás nem vonatkozik rájuk (mert az Eat. csak elektronikus aláírásról szól). Ugyanakkor ez a terület működőképes volt szabályozás nélkül is, nem látom, mit lendít rajta, ha kap egy ilyen általános szabályozást.
Általános szabályok a bizalmi szolgáltatásokra
Minden bizalmi szolgáltatás nyújtható minősített (qualified) és nem minősített (non-qualified) szolgáltatásként is, épp úgy, ahogy a magyar Eat. szerint is.
A tervezet vélelmeket kapcsol a minősített szolgáltatásokhoz, épp úgy, ahogy a magyar Eat. is. Itt is ugyanaz az ökölszabály jelenik meg, hogy ha egy szolgáltató minősített szinten nyújt egy szolgáltatást, akkor vélelmezni kell, hogy "jól" nyújtja, és az ellenkezőjét kell bizonyítani. Például, ha egy dokumentumon minősített időbélyeg szerepel, vélelmezni kell, hogy az időbélyegben jelölt időpont már létezett. Az irányelven nem szerepeltek ilyen vélelmek.
Mindegyik bizalmi szolgáltatás határokon átnyúlóan elfogadott. Ez jó, mert tiszta helyzetet teremt.
Konkrét(abb) követelményeket tartalmaz a szolgáltatók biztonságával kapcsolatban. E téren semmi új, semmi meglepő nem jelenik meg, a leírt intézkedéseket a szolgáltatók már eddig is alkalmazták.
Megerősíti a bizalmi szolgáltatók felügyeletét, eszközöket ad a felügyeleti szervek kezébe, és szabályozza a felügyeleti szervek együttműködését. Mindez a Diginotar-eset utórezgéseinek tűnik.
Felhatalmazza az Európai Bizottságot, hogy meghatározhat irányadó szabványokat a szolgáltatások tekintetében.
Egyéb rendelkezések
A tervezet tartalmaz olyan állítást, miszerint az elektronikus dokumentum egyenértékű a papír alapú dokumentummal. Hallottam erről (az Európai Bizottsághoz közeli forrásból) olyan értelmezést, hogy eszerint ahol papír dokumentumot be lehet nyújtani, ott el kell majd fogadni az elektronikusat is. Ha ez valóban ezt jelenti (és rendeletként automatikusan beépül minden tagállam jogrendjébe), az igen jelentős előrelépés lehet.
Megjelennek egyes központi, EU-s nyilvántartások (pl. BALE-kről, amelyek új nevet kaptak: qualified signature creation device, azaz minősített aláírás létrehozó eszköz).
Megjelent egy "azonosítás szolgáltatás" nevű képződmény. Ez nem bizalmi szolgáltatást jelent, nem egy szolgáltató, hanem a tagállam nyújtja, és maga a tagállam felel érte. A tervezetben szereplő néhány, igen általános mondat a STORK nevű EU-s large scale project eredményeit támogatná meg jogszabályilag. Magyarországon a 83/2012. (IV. 21.) Kormányrendelet vezet be egy hasonló fogalmat.
Eltűnt az ún. "public sector clause", amely most felhatalmazza a tagállamok közigazgatásait, hogy spec. követelményeket határozzanak meg a közigazgatási alkalmazásokra. Ezzel elég sok visszaélés történt, több tagállamban - köztük Magyarországon is pl. 2005-től - külön közigazgatási PKI világot akartak létrehozni, amely korlátozta az EU-s piacot.
Nagyobb hangsúlyt kaptak az EU-s bizalmi listák. A hazai 78/2010-es Kormányrendelet szintén támaszkodik a bizalmi listákra a külföldi aláírások ellenőrzése tekintetében.
Összefoglalás
-
A tervezet alapvetően nem forgatja fel az eddigi elektronikus aláírás világot, megőrzi a meglévő elemeket. Ugyanakkor egyúttal új bizalmi szolgáltatásokat is szabályoz. Mondhatni, úgy próbál javítani az eddigi, bizonyítottan rosszul működő EU-s szabályozáson, hogy sokkal nagyobb területre terjeszti ki.
-
A tervezet sokkal jobban hasonlít a magyar Eat-re, mint a hatályos 1999/93/EC irányelv. A tervezetben megjelenő bizalmi szolgáltatások egy részét az Eat. már régen tartalmazza.
-
A tervezet ugyanazon problémákat próbálja kezelni, és lényegében ugyanazon eszközökkel, mint a hazai jogalkotás a közelmúltban. Példa erre az erős bizonyító erővel rendelkező szervezeti aláírások elismerése, és a kézbesítés szolgáltatás vagy azonosítás szolgáltatás szabályozása.
Más
- Korábban írtam, hogy felmérést, közvéleménykutatást szerveztek a direktíva felülvizsgálatához. Kb. 4-500 válasz érkezett be a felmérésre. A bemutatott részletes statisztikákból és eredményekből én alapvetően azt vontam le, hogy az EU-ra nézve annyira nem reprezentatív egy 4-500-as a minta, hogy ez alapján teljesen értelmetlen bármilyen statisztikát és eredményt kimutatni.
- Bárki bármit is mond, az "electronic seal" kifejezésről nekem bizony ez jut eszembe. :P