xxx/2000. (…) Törvény az elektronikus aláírásról
Tervezet
Tekintettel arra,
hogy az elektronikus kommunikáció biztonságának növeléséhez szükség van elektronikus aláírásra és kapcsolódó szolgáltatásokra, melyek lehetővé teszik az adatok hitelesítését,
hogy az elektronikus aláírásokra és a hitelesítési szolgáltatásokra vonatkozó szabályozás hiánya vagy divergenciája fontos akadályt jelenthet az elektronikus kommunikáció és az elektronikus kereskedelem használatában,
tudatában annak,
hogy az elektronikus aláírások és a hozzájuk kapcsolódó termékek és szolgáltatások széleskörű használatát segíteni kell,
hogy fontos érdekek fűződnek ahhoz, hogy bizalom alakuljon ki az elektronikus aláírással szemben,
hogy az elektronikus aláírás alkalmazására vonatkozó, világos, általános keret-szabályok növelhetik a bizalmat és a technológiák elfogadottságát,
hogy az elektronikus aláírások elfogadásának objektív kritériumokon kell alapulnia és nem a hitelesítésbe bevont szolgáltatók felhatalmazásán,
szem előtt tartva azt,
hogy a magyar állampolgárok is egyre növekvő mértékben kerülnek kapcsolatba a tartózkodási helyüktől eltérő országok polgáraival és hatóságaival,
hogy Magyarország Európai Unióhoz történő csatlakozása tovább fogja növelni a hazai és nemzetközi kommunikáció megbízhatóságával szemben támasztott hazai követelményeket is,
hogy a gyors technológiai fejlődés és az Internet globális jellege olyan megközelítést igényel, mely nyitott a különböző technológiákra és szolgáltatásokra,
az elektronikus aláírások jogi következményeivel kapcsolatos kritériumok nemzetközi összehangolása lehetővé veszi, hogy koherens jogi környezet jöjjön létre a Magyarország, az Európai Unió országai és a többi ország között,
felismerve annak jelentőségét,
hogy az elektronikus aláírások használatára a legkülönbözőbb helyzetekben és alkalmazásokban lehet szükség, ezek egy sor új, elektronikus aláírást igénylő ill. ahhoz kapcsolódó szolgáltatást és terméket fognak eredményezni,
hogy az ilyen termékek és szolgáltatások definíciója nem korlátozódhat a hitelesítések kibocsátására és kezelésére, hanem magába kell foglalnia mindazokat a termékeket, melyek használnak vagy igénybe vesznek elektronikus aláírásokat, mint pl. regisztrációs, idő-bélyegző, nyilvántartási, számítógépes és tanácsadási szolgáltatások,
hogy a hazai, európai és nemzetközi piac nyitottsága lehetővé teszi a hitelesítés szolgáltatóknak, hogy tevékenységüket a határokra való tekintet nélkül fejlesszék, hogy ezáltal versenyképességüket növeljék, és ügyfeleiknek és az üzleti világnak új lehetőségeket kínáljanak,
hogy a nyílt hálózatokon nyújtott hitelesítési szolgáltatások ösztönzése érdekében a szolgáltatók előzetes felhatalmazás nélkül, szabadon nyújthassák szolgáltatásukat,
hogy a hitelesítés szolgáltatók önkéntes akkreditálási eljárások révén növelhessék szolgáltatásaik elismertségét, ezzel erősíthessék a kialakuló piac által megkívánt bizalmat, biztonságot és minőséget, de egyúttal szabadon távol maradhassanak az ilyen akkreditálási eljárásoktól ill. maguknak hasznot hajthassanak belőlük,
hogy az ilyen eljárások bátorítsák a „legjobb gyakorlat” kiválasztódását a szolgáltatók közötti versenyben, de ne csökkenthessék a hitelesítési szolgáltatások piacán folyó versenyt,
hogy az elektronikus kommunikációval szembeni felhasználói bizalom növelése érdekében a hitelesítés szolgáltatóknak tekintettel kell lenniük az adatvédelemi szabályokra és a személyiségi jogokra,
tekintettel arra,
hogy a piac önszabályozásának fontossága mellett az állampolgárok és más, a hitelesítés szolgáltatásokat igénybe vevők érdekeinek védelme rendkívül fontos,
hogy ezen társadalmi kockázat csökkentésének megfelelő eszköze az állami felügyeleti rendszer kiépítése,
elismerve hogy
a nemzeti jogrendszer keretei között el kell fogadni a kommunikáló ill. szerződő partnerek szabadságát a-tekintetben, hogy megegyezzenek azokban a feltételekben, melyekkel elfogadják az elektronikus aláírást,
hogy jogos a civil szféra szereplőinek törekvése arra, hogy saját, zárt köreikben mennél magasabb biztonságú aláírási és hitelesítési rendszereket hozzanak létre,
hogy nincs szükség kötelezően előíró jogi szabályozásra a kizárólagosan zárt hálózatokon használt elektronikus aláírások tekintetében, bár a jogszabályban lefektetett követelményeknek megfelelő, és zárt felhasználói körben használt elektronikus aláírások jogilag elfogadhatónak tekintendők,
hogy a megfelelő biztonságú és hitelességű elektronikus iratok használata a közigazgatásban jelentős mértékben hozzájárulhat a nyitott és szolgáltató állam eszméjének érvényesüléséhez és a közigazgatási rendszerek működési hatékonyságának növeléséhez,
hogy ugyanakkor a közigazgatás terén az elektronikus aláírással és a hitelesítés szolgáltatással szemben speciális igények fogalmazódhatnak meg,
az Országgyűlés a következő Törvényt alkotja.
(5) A Törvény hatálya alá tartozó információkkal kapcsolatos jogvitában külföldi fél is érintett, a 79/13. tvr. a nemzetközi magánjogról rendelkezéseit kell alkalmazni.
E törvény alkalmazásában:
Elektronikus irat, elektronikus okirat: elektronikus formában előállított, továbbított és fogadott információ, tekintet nélkül az információt előállító, továbbító és fogadó elektronikus infrastruktúra ill. technológia sajátosságaira.
Kezdeményező: az a személy, aki által vagy akinek nevében az elektronikus irat elküldésére sor kerül. Nem minősül kezdeményezőnek egy adott elektronikus irat tekintetében az őt közvetítőként tovább küldő személy.
Címzett: az a személy akinek a kezdeményező az elektronikus iratot el kívánja juttatni. Nem minősül címzettnek egy adott elektronikus irat tekintetében az őt közvetítőként fogadó személy.
Közvetítő: egy adott elektronikus irat tekintetében közvetítőnek minősül az a személy, aki, ill. akinek nevében az elektronikus irat fogadására, átmeneti tárolására, továbbküldésére, esetleg az elektronikus irattal kapcsolatos más szolgáltatások nyújtására sor kerül.
Információs rendszer: olyan rendszer, mely elektronikus iratok létrehozatalára, küldésére, fogadására tárolására ill. egyéb módon történő feldolgozására képes.
Elektronikus aláíró eszköz: olyan eszköz, melynek segítségével az elektronikus irat olyan módon jelölhető meg, hogy a megjelölés azonosítja a megjelölést végrehajtó személyt és lehetővé teszi, hogy az elektronikus irat tartalmának a megjelölés utáni módosítása teljes bizonyossággal megállapítható legyen. Az elektronikus aláíró eszköz a valóságban hardver és szoftver elemekből áll, s ezek az elemek a használat során kapcsolatba kerülnek azzal az informatikai infrastruktúrával, melyben az elektronikus irat elkészítése és aláírása történik.
Elektronikus aláírás ellenőrző eszköz: olyan elektronikus jelsorozat, melynek használatával megállapítható, hogy az elektronikusan aláírt iratot az aláírás óta módosították-e. Az elektronikus aláírás ellenőrző eszköz a valóságban egy olyan szoftver kulcs, mely a világhálón bárki számára elérhető módon rendelkezésre áll.
Akkreditálás: a hitelesítés szolgáltatás piacán kiemelkedően elismert szolgáltató más szolgáltató Szolgáltatási Szabályzatát és működési gyakorlatát átvizsgálja és megfelelőnek minősíti.
Szolgáltatási Szabályzat: a hitelesítés szolgáltató szolgáltatási szabályait összefoglaló dokumentum.
(1) Nem vonható kétségbe és nem tagadható meg – hacsak jogszabály másként nem rendelkezik – az elektronikus irat hitelessége, jogi következménye, érvényesíthetősége csupán azon az alapon, hogy elektronikus.
(2) Az elektronikus irat jogi elismerésének minimális követelménye, hogy a benne foglalt információ hozzáférhető és későbbi hivatkozásra alkalmas legyen.
(3) Ha jogszabály az információ írásban történő rögzítését írja elő, a követelményt teljesítettnek kell tekinteni, ha az információ legalább a minimális követelményt kielégítő elektronikus iratban megjelenik.
Nem tagadható meg az információ hitelessége, jogi következménye, érvényesíthetősége pusztán azon az alapon, hogy nem közvetlenül az elektronikus iratban, hanem az abban szereplő hivatkozás révén jelenik meg. A hivatkozás révén befoglalt információ hitelességét, jogi következményét és érvényesíthetőségét a hivatkozást tartalmazó elektronikus iratétól függetlenül kell megítélni.
(1) Ha jogszabály az irat eredeti példányának bemutatását írja elő, a követelményt teljesíti az az elektronikus irat, melyről bizonyossággal megállapítható, hogy teljessége és változatlansága attól a pillanattól kezdve, hogy végső változata első ízben elektronikus formát öltött, fennáll, és az irat hozzáférhető annak számára, akinek be kell mutatni. A változatlanság követelményét nem érintik azok a technikai jellegű változások, melyek az elektronikus irat küldésével, átmeneti tárolásával, megjelenítésével kapcsolatban általában normálisan bekövetkeznek.
(2) Az elektronikus irat minden olyan elektronikus másolatát, mely olyan másolási eljárással készült, mely a tartalomra tekintet nélkül a teljes és csakis a teljes iratra irányul, az eredetivel azonos értékűnek kell tekinteni.
(3) Az elektronikus irat tetszőleges példányszámra vonatkozó követelményt kielégít.
(4) Az elektronikus irat papírra nyomtatásával keletkező papíros irat az elektronikus irat bizonyító erejét nem örökli.
(1) Ha a jogszabály az irat megőrzését írja elő, a követelményt teljesíti az az elektronikus irat, adat rekord vagy egyéb, elektronikus hordozón tárolt információ, mely kielégíti az alábbi követelményeket:
a) az információ hozzáférhető és hivatkozásra alkalmas,
b) a tárolás abban a formában történik, amelyben az iratot készítették, elküldték ill. fogadták, vagy olyan formában, mely pontosan azt az információt tartalmazza, melyet az irat keletkezésekor, küldésekor és fogadásakor tartalmazott.
(2) Az elektronikus irat tárolásával egyidejűleg kell tárolni – amennyiben elérhetőek – az irat eredetére, címzettjére, a küldés és fogadás helyére és időpontjára vonatkozó, csatolt adatokat is. A kötelezően tárolandó csatolt adatok köre – hacsak jogszabály másként nem rendelkezik – nem terjed túl a tárolt elektronikus irat elérhetőségét biztosító adatokon.
(3) Az irat elektronikus tárolásával kapcsolatos feladatokat az arra kötelezett felhatalmazása alapján más személy is elláthatja.
(1) Ha jogszabály az irat aláírását írja elő, a követelményt teljesíti az elektronikus irat, ha az aláírás céljára olyan eszközt (elektronikus aláíró eszközt) ill. az eszköz révén olyan módszert használnak, mely
a) azonosítja az aláíró személyt,
d) az összes figyelembe vehető körülmény mérlegelése szerint megfelelő mértékben megbízható azon célok eléréséhez, melyek érdekében az elektronikus irat elkészítésére és elküldésére sor került.
(2) Az elektronikus aláíró eszközt az aláíró az erre a célra létrehozott hitelesítés szolgáltató szervezettől kérheti.
(3) Egy személy tetszőleges számú elektronikus aláíró eszközt birtokolhat.
(4) Az aláíró a hitelesítés szolgáltatótól minősített elektronikus aláíró eszköz kibocsátását kérheti.
(5) A hitelesítés szolgáltató a kérelmező számára az aláíró eszközzel együtt tanúsítványt bocsát ki annak tanúsítására, hogy az adott aláíró eszközt a kérelmező rendelkezésére bocsátotta.
(6) Azt a követelmény rendszert, melyet a minősített elektronikus aláíró eszköznek ki kell elégítenie, az 1. számú melléklet tartalmazza.
(1) Bíróság előtti ill. bizonyítási eljárásokban az irat elfogadhatósága nem vonható kétségbe pusztán azon az alapon, hogy elektronikus.
(2) Az elektronikus iratban foglalt információ bizonyító erővel rendelkezik. A bizonyító erő súlyának mérlegelésekor figyelembe kell venni az irat készítése, tárolása és küldése során alkalmazott és az információ teljességét és változatlanságát biztosító eljárások megbízhatóságát, azt a módszert, ahogyan a kezdeményező magát azonosította, és minden más releváns tényt.
(3) A minősített hitelesítés szolgáltató által kibocsátott minősített tanúsítvánnyal ellátott minősített aláíró eszközzel aláírt elektronikus iratot teljes bizonyító erejű magánokirattal egyenértékűnek kell tekinteni annak minden jogkövetkezményével együtt mindaddig, amíg azt kétségbe vonó tényező fel nem merül.
(4) Az 1952. évi III. törvény a polgári perrendtartásról 195. § (1) bekezdésében foglaltaknak megfelelően kibocsátott, a (3) bekezdésben meghatározott követelményeket kielégítő elektronikus okirat elektronikus közokiratnak tekintendő.
(1) Ha az elektronikus irat elküldésekor vagy azt megelőzően vagy az elektronikus iratban a kezdeményező kifejezte azt a kívánságát vagy egyetértését azzal, hogy a címzett az elektronikus irat fogadását visszaigazolja, az alábbi bekezdésekben foglalt szabályok érvényesek.
a) Ha a kezdeményező és a címzett nem állapodtak meg a visszaigazolás formájában, a címzett olyan formát ill. módszert alkalmazhat, mely megfelelő módon tájékoztatja a kezdeményezőt arról, hogy a címzett az elektronikus iratot megkapta.
b) Ha a kezdeményező kifejezetten kikötötte, hogy az elektronikus irat fogadását illetően visszaigazolást vár, úgy kell tekinteni, mintha el se küldte volna az elektronikus iratot, amíg a visszaigazolás meg nem érkezik.
(2) Ha a kezdeményező nem kötötte ki, hogy visszaigazolást vár, és visszaigazolást nem kap, méltányos idő elteltével
a) értesítheti a címzettet, hogy nem kapott visszaigazolást, és határidőt szabhat a visszaigazolás vételére vonatkozóan, és
b) ha a visszaigazolás az így meghatározott idő elteltével sem érkezik meg, úgy tekinthető, mintha az elektronikus irat soha nem is lett volna elküldve.
(3) A címzettnek a visszaigazolás iránti felelősségét nem érinti az, hogy az a kommunikációs rendszer, melyen keresztül a kezdeményezővel a kapcsolatot fenntartja, rendelkezik-e az automatikus visszaigazolás funkciójával, ill. hogy ez a funkció az elektronikus irat fogadásakor működőképes-e.
(4) Ha a kezdeményező megkapta a visszaigazolást, úgy kell tekinteni, hogy a címzett megkapta az elektronikus iratot. A kezdeményező felelőssége annak megállapítása, hogy a visszaigazolás mely korábban elküldött üzenetre vonatkozik.
(1) Hacsak a kezdeményező és címzett másképpen meg nem állapodnak, az elektronikus irat elküldésének az időpontja az az időpont, amikor az elektronikus irat belép egy olyan információs rendszerbe, melyben a kezdeményező befolyása nem érvényesül.
(2) Hacsak a kezdeményező és a címzett másképpen meg nem állapodnak, az elektronikus irat fogadásának időpontját az alábbiak szerint kell meghatározni:
a) ha a címzett az elektronikus iratok fogadására e célra kialakított információs rendszert alkalmaz, a fogadás akkor következik be, amikor az elektronikus irat belép ebbe az információs rendszerbe,
b) ha a címzett az elektronikus iratok fogadására e célra kialakított információs rendszert alkalmaz, de az elektronikus irat a címzett olyan információs rendszerébe lett küldve, mely nem elektronikus iratok fogadására kialakított rendszer, a fogadás akkor következik be, amikor a címzett a rendszerből kinyeri (kiolvassa) az elektronikus iratot,
c) ha a címzett elektronikus iratok fogadására kialakított információs rendszert nem üzemeltet, a fogadás akkor következik be, amikor az elektronikus irat belép a címzett információs rendszerébe.
A fenti szabályok alkalmazhatóak attól függetlenül, hogy az információs rendszerek a fogadó székhelyén vagy máshol üzemelnek.
(3) Hacsak a kezdeményező és a címzett másképpen meg nem állapodnak, az elektronikus irat elküldésének és fogadásának helye a kezdeményező ill. a címzett üzleti székhelye. Ha a kezdeményező vagy a címzett egynél több üzleti székhellyel rendelkezik, azok közül azt kell a küldés ill. fogadás helyének tekinteni, mely a legközelebbi kapcsolatba hozható az üzenet tartalmával.
(4) Ha a kezdeményező vagy címzett nem rendelkezik üzleti székhellyel, a lakáscímet kell tekintetbe venni.
(1) A kezdeményező személyt az elektronikus irathoz csatolt elektronikus aláírása, annak hiányában az elektronikus irat szövegében megjelenő önazonosítása (neve), annak hiányában a kezdeményező információs rendszere által az elektronikus irathoz csatolt küldő cím információ azonosítja.
(2) A kezdeményező és a címzett viszonylatában az elektronikus iratot a kezdeményezőtől származónak kell tekinteni, ha
b) olyan személy küldte, akinek a küldésre felhatalmazása volt a kezdeményezőtől az adott üzenetre vonatkozóan,
c) olyan automatikus információs rendszer küldte, melyet a kezdeményező programozott vagy az ő nevében működik.
(3) A kezdeményező és a címzett viszonylatában a címzett egy adott elektronikus iratot úgy tekintheti és azon feltételezés alapján járhat el, hogy az adott elektronikus irat a kezdeményezőtől származik, ha
a) annak érdekében, hogy meggyőződjék az irat eredetéről, a kezdeményezővel korábban egyeztetett eljárást eredményesen hajtotta végre,
b) a címzett által fogadott elektronikus irat egy olyan személy eljárásának eredménye, aki a kezdeményezőhöz ill. a kezdeményező megbízottjához fűződő, ismert kapcsolata révén hozzáférhetett ahhoz az eszközhöz és módszerhez, mely őt a kezdeményezőként azonosította.
(4) A (2) szabályban foglalt vélelmezés nem alkalmazható, ha a címzett – méltányos időn belül – a kezdeményezőtől kapott értesítést arra vonatkozóan, hogy az elektronikus irat nem tőle származik, ill. ha a címzett tudta, vagy, ha megfelelő gonddal ill. megállapodásban rögzített módon járt volna el, tudhatta volna, hogy az üzenet nem a kezdeményezőtől származik.
(5) A címzett jogosult minden egyes fogadott elektronikus iratot külön iratnak tekinteni és annak megfelelően eljárni, kivéve az elektronikus irat duplikálásának az esetét abban az esetben, ha a címzett tudta, vagy, ha megfelelő gonddal ill. megállapodásban rögzített módon járt volna el, tudhatta volna, hogy az irat duplikálódás eredménye.
(1) A hitelesítés szolgáltatás az alábbi tevékenységek ellátását jelenti:
a) elektronikus aláíró eszköz és aláírás ellenőrző eszköz kibocsátása a kérelmezők részére,
b) az elektronikus aláíró eszköz tulajdonosát azonosító tanúsítvány kibocsátása,
c) a tanúsítványok és aláírás ellenőrző eszközök kommunikációs hálózaton történő nyilvánosságra hozatala és karbantartása,
d) járulékos szolgáltatási tevékenységként idő pecsét szolgáltatása és elektronikus iratok tárolása.
(2) A hitelesítés szolgáltató alapításához ill. a hitelesítés szolgáltatás megkezdéséhez engedély nem szükséges.
(3) A szolgáltatás megindítására vonatkozó szándékát a szolgáltató köteles a szolgáltatás tervezett megindítása előtt legalább egy hónappal a Közhitelesség Felügyeletnél (továbbiakban: Felügyelet) nyilvántartásba vétel iránti kérelemben bejelenteni. A kérelemhez csatolnia kell a tervezett szolgáltatásra vonatkozó Szolgáltatási Szabályzatot. A Felügyelet a Szolgáltatási Szabályzat felülvizsgálata keretében megállapítja, hogy annak tartalma megfelel-e a hitelesítés szolgáltatással szemben előírt minimális követelményeknek, és dönt arról, hogy
a) a szolgáltató a szolgáltatást megkezdheti, vagy
b) a szolgáltató a szolgáltatást a Szolgáltatási Szabályzat módosítása ill. kiegészítése megtörténtéig nem kezdheti meg.
(4) A szolgáltató tevékenységét a Felügyelet felügyelete mellett végzi.
(5) A hitelesítés szolgáltatás mellett a szolgáltató más tevékenységet is folytathat, a szolgáltató nem köteles az összes, a hitelesítés szolgáltatás fogalomkörébe tartozó szolgáltatás nyújtására.
(6) Hitelesítési szolgáltatás kizárólag részvénytársasági formában végezhető.
(7) A szolgáltatás megszüntetésére vonatkozó szándékát a szolgáltató köteles a szolgáltatás tervezett megszüntetése előtt legalább három hónappal a Felügyeletnél bejelenteni. A szolgáltató köteles az érvényes szolgáltatási szerződéssel rendelkező ügyfeleit a megszűnésről értesíteni, a szerződéseket felbontani.
(1) A szolgáltató a szolgáltatás nyújtására vonatkozó minden érdemi információt, különösen
a) a szolgáltatás igénybevételére vonatkozó szerződéses feltételekre,
b) a szolgáltatás keretében kibocsátott elektronikus aláíró eszköz típusokra,
c) az aláíró eszközök által használt algoritmusokra,
d) tanúsítvány típusokra,
e) a szolgáltatás során alkalmazott eljárásokra,
f) a kérelmező azonosításának módjára,
g) az alkalmazott szabványokra,
h) a felelősség vállalás feltételei, módja és mértékére,
i) a szolgáltatáshoz használt informatikai infrastruktúrára,
j) az adatbiztonságra,
k) az adatvételemre,
l) a szolgáltatások árára,
(2) A Szolgáltatási Szabályzat nyilvános és bizalmas részre oszlik. A nyilvános részt a szolgáltató köteles elektronikus formában könnyen elérhető módon nyilvánosságra hozni.
(3) A szolgáltató köteles biztosítani, hogy a szolgáltatás mindenkor szigorúan a Szolgáltatási Szabályzatban lefektetett módon történjék.
(4) A Szolgáltatási Szabályzatot a szolgáltató első alkalommal legkésőbb a szolgáltatás megkezdésének időpontjában, azt követően minden egyes módosításakor köteles letétbe helyezni a Felügyeletnél.
A Felügyelet által gyakorolt felügyelet keretében a szolgáltató köteles
a) a Felügyeletnél bejelenteni a szolgáltatás megkezdését,
b) a Felügyelet felügyeleti tevékenységét engedni és segíteni,
c) a felügyeleti tevékenységet ellátó személyek kérése alapján számukra mindennemű dokumentációt, ezen belül a Szolgáltatási Szabályzat bizalmas részét is átadni,
d) a szolgáltatási tevékenység folytatásával kapcsolatban minden információt rendelkezésre bocsátani,
e) a szolgáltatás nyújtása során a Felügyelet előírásait figyelembe venni,
f) a Felügyelet részére a szolgáltatásokról az előírt folyamatos adatszolgáltatásokat teljesíteni,
g) a Felügyelet eljárási, szakértői és információs szolgáltatásai igénybevételéért felügyeleti díjat fizetni.
(1) A szolgáltató a Felügyelettől díjazás ellenében minősítő eljárás lefolytatását kérheti, az eljárás lefolytatását a Felügyelet nem tagadhatja meg.
(2) A Felügyelet a minősítési követelményeket nyilvánosságra hozza.
(3) A minősítési eljárás keretében a Felügyelet ellenőrzi, hogy a szolgáltató Szolgáltatási Szabályzata és gyakorlata összhangban van-e a minősítési követelményekkel.
(4) Amennyiben a szolgáltató Szolgáltatási Szabályzata és gyakorlata összhangban van a minősítési követelményekkel, a Felügyelet nem tagadhatja meg a minősítést.
(5) A Törvény alkalmazásában minősített hitelesítés szolgáltató az a szolgáltató, amelynek minősítése a hitelesítés szolgáltatási profiljába tartozó összes szolgáltatását illetően sikeresen lezajlott.
(6) A minősített szolgáltató minősített tanúsítványt bocsáthat ki.
(7) A minősített hitelesítés szolgáltató státus két évig érvényes.
(8) Indokolt esetben a Felügyelet a már megszerzett minősített státust megszüntetheti.
(1) A szolgáltató akár magyar, akár külföldi szolgáltatót felkérhet hitelesítés szolgáltatási profiljába tartozó tevékenysége egésze vagy része akkreditálására.
(2) Az akkreditáló eljárásoknak objektíveknek, átláthatóaknak, fokozatosaknak és nem-diszkriminatívoknak kell lenniük. Az akkreditálást a laboratóriumok, a tanúsító és az ellenőrző szervezetek akkreditálásáról szóló 1995. évi XXIX törvényben foglaltaknak megfelelően kell végrehajtani.
(3) Az akkreditálásról szóló döntésében az akkreditálónak nyilatkoznia kell arról, hogy milyen mértékben vállalja át a szolgáltató felelősségét, amennyiben a szolgáltató az akkreditálás során bemutatott, rögzített és elfogadott módon hajtja végre a szolgáltatást.
(1) Az ügyfél kérelmére a szolgáltató az ügyfél azonosítására alkalmas adatok felhasználásával a 11. § (1) bekezdésében meghatározott szolgáltatás nyújtását vállalja.
(2) A szolgáltatás keretében a szolgáltató köteles egyértelmű tájékoztatást nyújtani az ügyfél számára a választható aláíró és aláírás ellenőrző eszköz fajták és tanúsítvány fajták működésére, használhatóságára, bizonyító erejére és a szolgáltatás díjára vonatkozóan.
a) az elektronikus aláíró eszközt megfelelően biztonságos körülmények között az ügyfélnek átadni ill. rendelkezésére bocsátani,
b) az aláírás ellenőrző eszközt a tanúsítvánnyal együtt bárki által elérhető módon, elektronikus formában nyilvánosságra hozni.
(4) Minősített elektronikus aláírás hitelesítésére jogosult hitelesítés szolgáltató aláíró eszközt és hozzá tartozó tanúsítványt bocsáthat belföldi vagy külföldi lakóhelyű ill. székhelyű, a lakó- vagy székhelye szerinti állam jogszabályai alapján minősített elektronikus aláírás hitelesítésre jogosult szolgáltató rendelkezésére (felülhitelesítés). Ha a külföldi szolgáltató a saját maga által kibocsátott tanúsítványt ezzel az aláíró eszközzel írja alá, az általa hitelesített elektronikus aláíráshoz e törvényben a minősített elektronikus aláírás tekintetében előírt jogkövetkezmények fűződnek.
(5) A szolgáltató köteles megfelelő intézkedéseket foganatosítani az aláírás kibocsátási eljárással kapcsolatosan tárolt ill. a nyilvánosságra hozott adatok hamisításának és illetéktelen manipulálásának megakadályozása érdekében.
(6) Az elektronikus aláíró eszközről a szolgáltató másolatot nem készíthet, magát az eszközt ill. másolatát nem tárolhatja.
(1) Az elektronikus aláírás tanúsítványnak legalább az alábbi adatokat kell tartalmaznia:
a) annak a személynek a neve, akinek számára a tanúsítvány ki lett bocsátva,
b) a tanúsítványnak a szolgáltató nyilvántartásában érvényes azonosítója,
c) a szolgáltató neve, országa és elérhetősége,
d) az elektronikus aláíró eszközzel összhangban lévő aláírás ellenőrző eszköz,
e) annak jelzése, hogy a tanúsítvány kibocsátására valamilyen célból került sor,
f) a tanúsítvány érvényességének kezdő időpontja,
g) a tanúsítvány használati érvényességének korlátjai, ha vannak,
h) a tanúsítvány segítségével végrehajtható tranzakció értékének korlátja, ha van.
(2) Az ügyfél kérésére a szolgáltató a kérelmező neve helyett fantázianevet köteles a tanúsítványban szerepeltetni. A tanúsítványnak jelölnie kell a név fantázianév voltát.
(3) Az ügyfél kérésére a szolgáltató köteles a tanúsítványhoz csatolni az adott tanúsítványhoz tartozóan a szolgáltató felelősségvállalására vonatkozó információk elérhetőségi adatait.
(4) A tanúsítvány érvénye az ügyfél kérésére vagy a Szolgáltatási Szabályzat előírásai alapján korlátozható. Korlátozás alkalmazható az érvényesség kezdő és/vagy záró időpontját és azon összeghatárt illetően, amelynek erejéig az elektronikus aláírás révén kötelezettség vállalható. A nem minősített tanúsítványok számára a Szolgáltatási Szabályzat kötelező érvénnyel a Felügyelet által meghatározott összeghatár alkalmazását írja elő.
(5) Az ügyfél kérheti, hogy a tanúsítvány tartalmazza, hogy az aláíró eszközt harmadik fél felhatalmazása vagy engedélye alapján használhatja. A szolgáltató ennek a kérésnek a harmadik fél szabályszerűen aláírt igazolása birtokában tehet eleget. A harmadik fél adatainak feltüntetése képviseleti jogosultságot keletkeztet (lásd Ptk. 222 §.). További információ csak az érintett felek beleegyezése nyomán kerülhet a tanúsítványba.
(1) A minősített hitelesítés szolgáltató ajánlhat ill. készíthet minősített tanúsítvánnyal ellátott elektronikus aláírást.
(2) A minősített tanúsítványnak a 16. § (1) bekezdésben felsoroltakon túl tartalmaznia kell annak jelzését, hogy a tanúsítvány minősített.
(3) A minősített tanúsítványt a szolgáltatónak minősített elektronikus aláírással kell aláírnia.
(1) A szolgáltató köteles nem visszamenőleges hatállyal érvényteleníteni a tanúsítványt, és ezt a tényt a nyilvánosságra hozott tanúsítvány nyilvántartásban feltűnő módon jelezni,
a) ha azt az elektronikus aláírás tulajdonosa vagy a tanúsítványban megjelölt harmadik fél kéri,
b) ha bármilyen módon, de egyértelműen bebizonyosodik, hogy a tanúsítvány hamis nyilatkozat, igazolás vagy félrevezetés révén jött létre,
c) ha az érvénytelenítést a Felügyelet határozata vagy bírósági ítélet írja elő.
(2) A szolgáltató köteles nem visszamenőleges hatállyal felfüggeszteni a tanúsítványt, és ezt a tényt a nyilvános tanúsítvány nyilvántartásban feltűnő módon jelezni mindazokban az esetekben, amikor a hamis nyilatkozat, igazolás vagy félrevezetés gyanújának kivizsgálása azt indokolja, addig az időpontig, míg az érvénytelenítésre vagy a felfüggesztés feloldására vonatkozó döntés meg nem születik. A kivizsgálás időtartamára vonatkozóan a Szolgáltatási Szabályzatnak kell felső korlátot megállapítania.
(3) A szolgáltató köteles módosítani a tanúsítványt és a módosítást a nyilvánosságra hozott nyilvántartásban is átvezetni,
a) ha a Szolgáltatási Szabályzat változása szigorúbb időbeli vagy összegszerű korlát alkalmazását írja elő,
b) ha a szolgáltatás megszüntetésekor az érvényes tanúsítványokat az új szolgáltató átveszi,
c) ha az akkreditálás visszavonása miatt a tanúsítványok minősítettből nem
(4) A szolgáltató köteles a nyilvános tanúsítvány nyilvántartásban bekövetkezett módosítások előtti állapotnak megfelelő tanúsítvány adatokat további 5 éven keresztül nyomozati és bírósági eljárások céljára elérhető módon tárolni.
(5) Működése megszüntetésekor a szolgáltatónak a lehető legkorábbi időpontban értesítenie kell a Felügyeletet, továbbá biztosítania kell, hogy a megszüntetéskor érvényes tanúsítványokat az érintetlenül fennmaradó nyilvános nyilvántartásban érvénytelenítse vagy azokat egy másik szolgáltató átvegye. Ha a működése megszüntetésekor a szolgáltató nem kíván gondoskodni a tanúsítványok további elérhetőségének biztosításáról, köteles azokat a nyilvántartás elérhetősége megszűnésekor a Felügyeletnél elhelyezni.
(6) A szolgáltató köteles haladéktalanul tájékoztatni a tanúsítvány tulajdonosokat az aláíró eszközükkel és tanúsítványukkal kapcsolatos minden intézkedésről.
(1) A szolgáltató felelős azokért a károkért, melyek az általa kibocsátott elektronikus aláíró eszköz és tanúsítvány használatával kapcsolatban a szolgáltató tevékenységi körén belüli okból azoknál a természetes személyeknél, állami, önkormányzati, gazdálkodó vagy egyéb szervezeteknél keletkeznek, akik a részükre kibocsátott elektronikus aláíró eszközzel kezdeményezőként aláírtak vagy az aláírt elektronikus iratot címzettként elfogadták, különösen, ha
a) a tanúsítványban szereplő információk a kibocsátás időpontjában nem feleltek meg a valóságnak,
b) a kibocsátás pillanatában az elektronikus aláíró eszköz és az aláírás ellenőrző adat nem felelt meg egymásnak,
c) a szolgáltató a tanúsítvány karbantartás során nem az érvényes jogszabályoknak ill. az érvényes Szolgáltatási Szabályzat előírásainak megfelelően járt el,
kivéve, ha a szolgáltató bizonyítani tudja, hogy a megfelelő gondossággal járt el.
a) az elektronikus aláíró eszköz tulajdonosának gondatlan eljárása miatt (pl. az aláíró eszköz hanyag őrzése), vagy .
b) a tanúsítványban foglalt korlátozások figyelmen kívül hagyása miatt
keletkeztek.
(3) A szolgáltató az általa végzett felülhitelesítés esetén a felülhitelesített külföldi szolgáltatóval egyetemlegesen felel az aláírás belföldi felhasználóját ért kárért.
(4) A szolgáltató nem felelős a nem minősített elektronikus aláíró eszköz használatával összefüggésben keletkezett károkért.
(5) A szolgáltató köteles gondoskodni arról, hogy a felelősségi körében keletkezett károkra biztosítási fedezettel rendelkezzék.
(1) A szolgáltató köteles az aláíró eszköz és tanúsítvány készítési eljárás keretében tudomására jutott adatokat a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény 2. §-ban foglaltaknak megfelelően személyes adatként kezelni és tárolni.
(2) A szolgáltató köteles a szolgáltatás keretében az ügyfélről gyűjtött adatokat a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény 16 §-a értelmében bírósági ill. bűnüldözési célokra rendelkezésre bocsátani. Álnéven kibocsátott tanúsítvány esetében e kötelezettség érvényes az álnevet viselő személypar22 valódi nevére és személyi adataira is.
(1) A felügyeleti tevékenység célja a hazai és nemzetközi elektronikus iratforgalom fejlődésének elősegítése, az elektronikus formában keletkező információk hitelességi követelményei kielégítésének segítése, a hitelesség szolgáltatási piac folyamatainak az elektronikus iratok iránti általános bizalom növelése érdekében történő befolyásolása, a szolgáltatók piaci verseny pozícióinak védelme, a hitelesítés szolgáltatók és ügyfelei érdekeinek védelme, az elektronikus iratkezelési kultúra fejlesztése, az elektronikus iratok felhasználása terén keletkező jogviták bíróságon kívüli megoldásának segítése, az elektronikus iratok nemzetközi elfogadottságának erősítése érdekében együttműködés más országok hasonló szervezeteivel és a nemzetközi szervezetekkel.
(2) A hitelesítés szolgáltatók felügyeletét – más jogszabályokban megfogalmazott feladatai mellett – a Hírközlési Főfelügyelet látja el
(3) A Felügyelet e Törvényből eredő feladatait az e törvény elfogadásával egyidejűleg módosított 232/1997. (XII. 12.) Korm. rendelet az egységes hírközlési hatóságról, valamint egyes hírközlést érintő jogszabályok módosításáról határozza meg.
(4) A Felügyelet e Törvényből eredő feladatai ellátásában nyilvántartási, ellenőrzési, intézkedési és szolgáltatási jogkörrel rendelkezik.
(5) A Felügyelet e Törvényből eredő hatásköre kiterjed mindazokra a vállalkozásokra, melyek a hitelesség szolgáltatás e Törvény 11. § (1) bekezdésben meghatározott tevékenységei bármelyikét ellátják.
(1) A Kormány felhatalmazást kap arra vonatkozóan, hogy az egységes hírközlési hatóságról, valamint egyes hírközlést érintő jogszabályok módosításáról szóló 232/1997. (XII. 12.) kormány rendeletet az elektronikus aláírással kapcsolatban a Hírközlési Főfelügyeletre háruló feladatokat illetően módosítsa.
(2) Az illetékes miniszter felhatalmazást kap arra vonatkozóan, hogy rendeletben szabályozza:
a) a hitelesítés szolgáltatás minimális követelmény rendszerét,
b) a hitelesítés szolgáltatás minősítési követelmény rendszerét,
c) a minősített elektronikus aláíró eszköz követelmény rendszerét,
d) a szolgáltatókat a Felügyelettel szembeni adatszolgáltatási kötelezettségét.
Az elektronikus aláírásról szóló törvény alapján a hitelesítés szolgáltatók felügyeletével kapcsolatos feladatokat a … miniszter irányítása alatt a Hírközlési Főfelügyelet látja el.
A Főfelügyelet a hitelesítés szolgáltatással kapcsolatban ellátja mindazokat a feladatokat, melyeket törvény vagy más jogszabály számára előír, különösen:
a) meghatározza a szolgáltató Szolgáltatási Szabályzatának előírt struktúráját és azokat a követelményeket, melyeket a Szolgáltatási Szabályzatban foglaltaknak, mint minimum követelményeket ki kell elégíteniük,
b) kérelem alapján nyilvántartásba veszi a szolgáltatót,
c) meghatározza azokat a követelményeket, melyek alapján a szolgáltatót minősíti,
d) kérelem alapján minősíti a szolgáltatót,
e) ellenőrzi, hogy a szolgáltatók a jogszabályoknak és a felügyeleti előírásoknak megfelelően látják-e el a hitelesítés szolgáltatással kapcsolatos tevékenységeiket,
f) intézkedik a szolgáltatás felfüggesztéséről ill. megtiltásáról,
g) közreműködik az elektronikus szolgáltatások fejlődését akadályozó tényezők feltárásában és feloldásában, a szolgáltatásokat érintő jogszabályok harmonizálásában,
h) elősegíti az elektronikus iratkezeléssel kapcsolatos vitás ügyek peren kívüli megoldását,
i) ellátja a nemzetközi koordinációval kapcsolatos feladatokat,
j) ellenőrzési információs rendszert működtet.
a) a szolgáltató cégadatait és elérhetőségi adatait,
b) a szolgáltatások fajtáit, felhasználásuk lehetséges módjait és korlátjait,
c) a szolgáltatások árát,
d) a felelősség vállalással kapcsolatos információkat,
e) a szolgáltatások adatvédelemmel és adatbiztonsággal kapcsolatos információit.
(1) A Főfelügyelet csak akkor tagadhatja meg a nyilvántartásba vételt, ha a szolgáltató nem felel meg a jogszabályi követelményeknek.
(2) A nyilvántartásba vett szolgáltatókról a Felügyelet lajstromot vezet és azt nyilvánosságra hozza.
A minősített szolgáltatóval szembeni követelményként a Felügyeletnek meg kell határoznia azokat az előírásokat, melyeket a Szolgáltatási Szabályzat nyilvános ill. bizalmas részének tartalmaznia kell, különösen:
a) a szolgáltatások elvárt eljárási, műszaki és biztonsági jellemzőit,
b) a eljárási, műszaki és biztonsági jellemzők közül azok meghatározását, melyeket a Szolgáltatási Szabályzat nyilvános részének kell tartalmaznia,
c) a szolgáltatási szerződés kötelező elemeit,
d) a szolgáltató akkreditálásával kapcsolatban nyilvánosságra hozandó adatokat,
(1) A Főfelügyelet a szolgáltató a minősítést a Szervezeti és Működési Szabályzatában meghatározott eljárási rend szerint, hajtja végre.
(2) Nem tagadható meg a szolgáltató minősített szolgáltatóként történő elismerésére vonatkozó felügyeleti határozat, ha a benyújtott Szolgáltatási Szabályzat a Főfelügyelet által előírt minősítési követelményeknek megfelel és a szolgáltató gyakorlata a Szolgáltatási Szabályzattól nem tér el.
(3) A Főfelügyelet a szolgáltató minősítése kapcsán hozott határozatát nyilvánosságra hozza.
(1) A Főfelügyelet éves munkaterv alapján, évente legalább egyszer köteles teljes körű ellenőrzést folytatni minden szolgáltatónál.
(2) Az ellenőrzési tervet és szempont rendszert a Főfelügyelet előterjesztése alapján az illetékes miniszter fogadja el. Indokolt esetben a Főfelügyelet soron kívüli, korlátozott célú ellenőrzést is végezhet.
(1) A Főfelügyelet a Szervezeti és Működési Szabályzatában meghatározza és megszűnés esetén érvényesíti a szolgáltatás megszüntetése esetén a szolgáltató eljárásával kapcsolatos követelményeket.
(2) A Főfelügyelet a megszűnéssel érintett, érvényes tanúsítvány karbantartási szerződéssel rendelkező ügyfelek érdekeinek védelmében köteles beavatkozni a megszűnési folyamatba.
(1) Amennyiben az ellenőrzés során a Főfelügyelet megállapítja, hogy a szolgáltató a Szolgáltatási Szabályzatban foglaltakat jelentős mértékben és úgy sérti meg, hogy azzal az elektronikus aláírás tulajdonosok érdekeit és általában az elektronikus iratforgalom biztonságát súlyosan veszélyezteti, különösen, ha
a) az aláíró eszközök kibocsátása során az ügyfeleket rendszer-szerűen megtéveszti,
b) az aláíró eszköz előállításának és kezelésének biztonsága nem felel meg az előírásoknak,
c) a tanúsítványok karbantartása nem az előírások szerint történik,
a szolgáltatást egy hónapi, meghatározott határidővel felfüggesztheti. A felfüggesztés ideje alatt a szolgáltató köteles a feltárt rendellenességet megszüntetni, ezen idő alatt szolgáltatást nem végezhet. A szolgáltató kérésére indokolt esetben a határidő legfeljebb két esetben újabb egy hónappal meghosszabbítható.
(2) Ha a szolgáltató a határidő lejártáig a rendellenességet önhibájából nem számolta fel, a Főfelügyelet köteles a további szolgáltatást megtiltani, és az érvényes tanúsítványok más szolgáltatóhoz történő átirányítása érdekében szükséges koordinációs intézkedéseket megtenni.
(3) A tevékenység felfüggesztése és megtiltása tárgyában a Főfelügyelet csak a Szervezeti és Működési Szabályzatában foglalt eljárási szabályoknak megfelelően járhat el.
(4) A Főfelügyelet a felfüggesztésről és betiltásról szóló határozatát nyilvánosságra hozza.
(1) A Főfelügyelet ellátja az elektronikus iratkezeléssel kapcsolatos szakmai koordinációs központ szerepével járó feladatokat, különösen:
a) tanácsadással segíti az állami, önkormányzati, közigazgatási és igazságszolgáltatási intézményeket az elektronikus iratkezelés fejlesztése terén,
b) gyűjti az elektronikus aláíró eszközökre és az elektronikus iratkezelési technológiákra és alkalmazásokra vonatkozó információkat,
c) elősegíti az információk és módszerek cseréjét az elektronikus iratok feldolgozásával és kommunikációjával kapcsolatban az állampolgárok, szolgáltatók és állami szervezetek között,
d) részt vesz az elektronikus iratkezelés létező módszereinek továbbfejlesztésében, új eszközök felkutatásában, alkalmazásában, elterjesztésében,
e) irányelveket és ajánlásokat dolgoz ki a szolgáltatások működésére vonatkozóan.
(2) A szakmai koordináló tevékenysége keretében a Főfelügyelet három éven keresztül évente előminősítő jelleggel pályázatot ír ki külföldi akkreditáló szervezetek részére Magyarországon bejegyzett szolgáltatók akkreditálása tárgyában. A pályázat eredményét nyilvánosságra hozza.
(3) A szakmai koordináló tevékenysége keretében a Főfelügyelet adatot gyűjt a szolgáltatók tevékenységéről. Az adatgyűjtés kereteit a Főfelügyelet előterjesztése alapján az illetékes miniszter rendeletben állapítja meg.
(1) A Főfelügyelet díjazás ellenében a Szervezeti és Működési Szabályzatban részletezett módon szolgáltatást nyújt a tanúsítvány tulajdonosok részére az elektronikus aláírásokkal kapcsolatos viták peren kívüli megoldása érdekében. A szolgáltatás keretében a szolgáltatást igénybe vevő aláíró eszköz tulajdonos kérelmére lefolytatott vizsgálat eredményeként a Főfelügyelet nyilatkozatot bocsát ki, mely bírósági eljárás keretében szakértői véleményként felhasználható.
(2) A Főfelügyelet névjegyzéket vezet azokról a szakértőkről, akik a tanúsítvány tulajdonosok részére az elektronikus aláírásokkal kapcsolatos viták megoldása érdekében díjazás ellenében nyújtott tanácsadási szolgáltatásra felkérhetőek, s e névjegyzéket nyilvánosságra hozza.
(1) A Főfelügyelet gyűjti, gondozza, feldolgozza és nyilvánosságra hozza azokat a nyilvános információkat, melyek az elektronikus tranzakciók nemzetközi forgalmával kapcsolatban a nemzetközi szervezetek és Magyarország együttműködése keretében keletkeznek.
(2) A szolgáltatók bejelentései alapján a Főfelügyelet azokról a külföldi szolgáltatókról, amelyek magyar szolgáltatókat akkreditáltak, lajstromot vezet, és azt nyilvánosságra hozza.
Az elektronikus irat és aláírás jogi elismerésének története 1984-ig vezethető vissza. Ebben az évben – elszigetelt helyi kezdeményezéseket követően – az ENSZ Főtitkársága által készített „Az automatizált adatfeldolgozás jogi aspektusai” (Legal Aspects of automatic data processing, A/CN.9/254) című beszámoló került a Bizottság napirendjére, mely a számítógépes adatok (rekordok) jogi értékével, az „írással” szemben támasztott követelményekkel, a hitelesítéssel, a felelősséggel, rakomány jegyekkel kapcsolatban egy sor problémát azonosított.
Egy évvel későbbi „A számítógépes okmányok jogi értéke” (Legal value of computer records, A/CN.9/265) című beszámoló, mely arra a következtetésre jutott, hogy globális szinten sokkal kevesebb problémát okozna a számítógépes adatok bizonyító erejének felhasználása a pereskedések során, mint azt korábban feltételezték. A tanulmány megállapította, hogy a nemzetközi kereskedelmi forgalomban a számítógép-számítógép közötti távközlés terén a legtöbb probléma abból a követelményből adódik, hogy a dokumentumokat papír formában alá kell írni.
Egy következő jelentős állomás az „Előzetes tanulmány a szerződések elektronikus eszközökkel történő létrehozásával kapcsolatos jogi kérdésekről” (Preliminary study of legal issues related to the formation of contracts by electronic means, A/CN.9/333) című tanulmány volt. A tanulmány összegezte az Európai Közösségben és az USA-ban elvégzett, az írással szembeni követelményekkel és egyéb, a számítógépes eszközökkel létrehozott szerződésekkel kapcsolatos addigi munka eredményeit.
A munka ezekben az években az EDI intenzív térhódításának jegyében folytatódott (Electronic Data Interchange, A/CN.9/350). Egyre nyilvánvalóbbá vált, hogy bár a szerződések számítógépes eszközökkel történő létrehozása elképzelhető az érintett felek előzetes szerződéses viszonyára alapozva, a nemzetközi kereskedelemben e megoldás nem kielégítő, mivel a főképpen nemzeti jogra alapított szerződéses viszonyok eltérőek és ellentmondásosak. A Bizottság megállapította, hogy az elektronikus kereskedelem jogi problémái egyre fontosabbakká válnak, s a Bizottság vállalta is, hogy kialakítsa a jogi alapelveket és alapszabályokat. Ugyanakkor megfogalmazódott az az igény is, hogy ne szülessék idő előtti, nem kellően kiérlelt szabályozás.
E folyamat végeredménye az ENSZ Nemzetközi Kereskedelemjogi Bizottsága (United Nations Commission on International Trade Law, UNCITRAL) Minta Törvénye az elektronikus kereskedelemről (Model Law on Electronikus Commerce), mely címének megfelelően általánosan használható mintát nyújt az elektronikus iratok kezelésére vonatkozó jogi szabályozás kialakításához, de címétől eltérően nem az elektronikus kereskedelemről, hanem az elektronikus iratokról szól. A Minta Törvény mai változata – hosszú és bonyolult, nemzetközi dimenziójú konzultáció sorozat eredményeként – az 1995-96-os években alakult ki, végleges változatának elfogadására 1998-ban került sor.
Az Európai Bizottság is felismerte az elektronikus aláírás fontosságát a nyilvános hálózatok biztonsága és az elektronikus tranzakciók iránti bizalom fejlesztése szempontjából, és ennek hangot is adott azzal, hogy az Európai Parlament, az Európa Tanács, a Közgazdasági és Szociális Bizottság, és a Régiók Bizottsága elé terjesztette az „Európai kezdeményezés az elektronikus kereskedelemben” című közleményét (A European Initiative in Electronic Commerce, 1997. április 16.). Nagyjából ezzel egyidejűleg a bonni miniszteri konferencia deklarációja: „Globális információs hálózatok: megvalósítás és lehetőség” (Bonn Ministerial Declaration, European Ministerial Conference, 1997. július 6-8. Global Information Networks: Realizing and Potential) is felhívta a figyelmet az elektronikus aláírásra, mint az elektronikus kereskedelem fejlődése szempontjából alapvető fontosságú kezdeményezésre.
Első lépésként a Bizottság előterjesztette a fenti testületeknek az „A biztonság és bizalom megteremtése az elektronikus kommunikációban” a digitális aláírás és rejtjelezés európai keretei felé (Ensuring Security and Trust in Electronic Communication, Towards a European Framework for Digital Signatures and Encryption) című közleményt, mely felvázolta az összehangolt intézkedések meghozatalának szükségességét az elektronikus tranzakciók terén (1997. október 8. COM(97)503 final C4-0648/97). 1997. december 1-én az Európa Tanács üdvözölte a közleményt és felkérte a Bizottságot, hogy a legrövidebb idő alatt dolgozzon ki egy Direktívát az Európai Parlament és Európa Tanács részére.
A Direktíva kidolgozása során a szerzők széles körű konzultációt folytattak a tagállamok képviselőivel, a privát szektor szakértőivel, különösen az európai rejtjelezési ipar munkatársaival ill. a koppenhágai International Hearing (1998. április 23-24) résztvevőivel.
A Direktíva első változatát az Európai Bizottság 1998. május 13-án elfogadta, és azt formálisan az Európai Parlament és Tanács 1998. június 16-i ülése elé terjesztette. A Közgazdasági és Szociális Bizottság december elejére, a Régiók Bizottsága 1999. január közepére készítette el véleményét. Az Európai Parlament 1999.január 13-i ülésén 32 módosítási javaslattal fogadta el a Direktíva tervezetet.
Időközben az Európai Parlament az 1998. július 17-i (A4-019/98) határozatában hangsúlyozta annak szükségességét, hogy létrejöjjön európai szinten egy olyan jogi környezet, mely megteremti a kölcsönös bizalmat az elektronikus aláírásban, és egyúttal szorgalmazta az elektronikus kereskedelem és az elektronikus kommunikáció fejlesztését.
Az Európai Bizottság a beérkezett vélemények figyelembevételével alakította ki a Direktíva végleges változatát, melyet az Európai Parlament és Tanács 1999. december 13-án fogadott el.
Magyarországon az 1990-es évek közepétől gyorsultak fel az elektronikus aláírás jogi szabályozásával kapcsolatos előkészítő munkák, melyek központi műhelye a Miniszterelnöki Hivatal Informatikai Jogi Főosztálya volt. 1998-ban a teljes szakterület a KHVM felügyelete alá került, ahol az előkészítő munka tovább folytatódott, s ennek eredményeként 1999. végére készült el a szabályozási koncepció, melyet szakmai majd kormányzati egyeztetési folyamat végén a Kormány 2000. augusztusában fogadott el.
A szabályozandó terület határainak és tartalmának kijelölése különböző módszerek segítségével történhet:
- az elektronikus irat készítésének, aláírásának, kezelésének és felhasználásának elemzése,
- az elektronikus aláírás technológiák elemzése,
- a már elfogadott külföldi szabályozási minták elemzés,
- a magyar jogrendszernek az elektronikus irat és aláírás kérdéskörrel kapcsolatos sajátosságainak elemzése.
Az elektronikus irat „világát” az alábbi események ill. tevékenységek jellemzik:
- az irat megírása, elkészítése, generálása,
- az irat küldése, fogadása, közvetítése, tárolása,
- az irat aláírása,
- az iratban foglalt információ hitelességének mérlegelése,
- az irat felhasználása szerződésként, hivatalos leiratként, adóbevallásként stb.
A felsorolás önmagában is jelzi, hogy az elektronikus irat fogalma a szabályozás szempontjából kikerülhetetlen, nyilvánvalóan a szabályozás határain belül kell lennie a Törvény „névadójának” az elektronikus aláírásnak, nem kerülhető meg az információ hitelességének mérlegelése sem.
Az irat felhasználásának kérdéskörei olyan mértékben kitágítanák a szabályozás határait (államigazgatási, hatósági eljárások iratai, szerződések stb.,), amelyet a szabályozás jelenlegi fázisában ill. az elektronikus irat-kommunikáció jelenlegi magyarországi fejlettségi és elterjedtségi szintjén nem célszerű vállalni. Jellemző elhatárolás ez a nemzetközi jogalkotási gyakorlatban is, szinte minden országban elkülönítik az elektronikus aláírás és az „elektronikus kereskedelem” és az „elektronikus közigazgatás” szabályozását, ez utóbbi két kérdéskör mindenütt jellemzően kevésbé előrehaladott állapotban van.
Jelen Törvény tervezet az elektronikus iratok kezelésének kérdései közül azokat, melyek az iratok felhasználásától függetlenek, a szabályozás határain belülre vonja. E megoldás nem szükségszerű és elkerülhetetlen, az elektronikus iratok kezelésének általános kérdései szabályozhatóak alacsonyabb szintű jogszabályban is. A jelen tervezetben szerepeltetésüknek akár didaktikai okát is megemlíthetjük: a Törvény más paragrafusainak elfogadásakor hasznos lehet, ha e kérdések is szem előtt vannak.
Az elektronikus iratban foglalt információ hitelességével kapcsolatban nem kerülhető meg a hitelesség mértékének kérdése. A hitelesség mértékét nyilvánvalóan alapvetően befolyásolja az aláírás módja, eszköze, annak minősége és az aláíró személyhez való viszonya. E kérdések vezetnek el a hitelesség szolgáltatásokhoz, melyek szabályozása szintén e Törvény szabályozási határain belül kell, hogy legyen. A hitelesség szolgáltatásokkal kapcsolatos követelmények eltérőek lehetnek az elektronikus iratok különböző halmazaira (pl. hatósági iratokra és szerződésekre) vonatkozóan, ezért a hitelesség szolgáltatásnak csak az általános szabályai jelenhetnek meg a Törvényben.
A jogi szabályozás iránti igény mögött a gyors technológiai fejlődés áll. Az elektronikus formában tárolt információ hitelességének védelmének követelménye az elektronikus aláírás valamilyen formájának használatát már évekkel ezelőtt kikényszerítette Magyarországon is.
Az elektronikus iratok védelmét szolgáló megoldások fejlődése, a legjobb megoldások szabvánnyá nemesülése már évtizedek óta tart a világban, e megoldások közül a Public Key Infrastructure (Nyilvános kulcs infrastruktúra, PKI) jutott a legmesszebbre az elismerés területén. A PKI napjainkig olyan mértékű dominanciát vívott ki magának, hogy a szabályozási elképzelések számára megkerülhetetlenné vált. Nem mondható el ugyanez az alternatív (pl. az un. bio marker) megoldások egyikéről sem.
A technológia általában és lényegében idegen a jogtól abban az értelemben, hogy elemei – materiális jellegüknél fogva – nehezen kapcsolhatóak közvetlenül jogelvekhez vagy jogviszonyokhoz, ráadásul gyorsan változik, sokkal gyorsabban, mint amilyen változást a jog követni tud. Emiatt a szabályozás során törekedni kell arra, hogy a technológiai motívumok közvetlenül ne befolyásolják a jogszabályokat. A PKI esetében e követelmény szinte teljesíthetetlen. A mintaként vagy orientációként létrehozott szabályozási dokumentumok éppúgy a PKI befolyása alatt álnak, mint a már létező nemzeti jogszabályok.
A nemzetközi jogalkotási gyakorlat ebben a helyzetben arra törekszik, hogy a PKI terminológia (titkos kulcs, nyilvános kulcs stb.) kizárásával és olyan fogalmakkal (pl. biztonságos aláíró eszköz, aláírás ellenőrző adat) emelje a PKI-t a jog szintjére, melyek a konkrét technológiai kötődéseket legalább eltakarják.
Az elektronikus iratok jogi szabályozásával kapcsolatban a PKI ténylegesen rendelkezik egy olyan sajátossággal, mely miatt a jogalkotók szimpátiáját valóban „megérdemli”, biztosítani képes azt, hogy az irat tartalmának illetéktelen hamisítása felismerhető legyen. Ez az a motívum, ami – a gyakorlat tanúsága szerint is – fontosabb, mint az aláíró személyének hiteles igazolása, ez utóbbi követelményt ugyanis az elektronikus aláírása semmivel sem teljesíti jobban, mint a hagyományos, kézi aláírás.
A jelenleg ismert technológiák önmagukban is a hitelesítés szolgáltatás termékeinek nagyon széles választékát kínálják. E termék skálán belül az iratokban foglalt információ védelme különböző biztonsági szinten valósulhat meg. A jelen szabályozás javaslat elfogadja adottságként azt, hogy a technológia közeli motívumok a törvényben nem jelenhetnek meg. Ezeket azonban úgy emeli vissza a szabályozás körébe, hogy a szolgáltatók számára előírja olyan, részletes Szolgáltatási Szabályzat készítését és érvényesítését, mely az adott szolgáltatással kapcsolatos követelményeket rögzíti, ill. létrehozza azt a felügyeleti hatáskört, mely a Szolgáltatási Szabályzatban foglaltak betartását kikényszeríteni hivatott.
A jelen törvény javaslat a nemzetközi mintáknak megfelelően szintén a PKI modell köré építkezik. Ezzel magára veszi azt a terhet, hogy alternatív technológia elterjedése esetén a törvényt – egyáltalán nem jogi megfontolások miatt – át kell majd fogalmazni. A technológia fejlődési ütemét tekintve egy valódi alternatív technológia két-három éven belül biztosan nem kérdőjelezheti meg a PKI dominanciáját.
Annak érdekében, hogy Magyarország hatékony bekapcsolódhasson a globális elektronikus kommunikációs folyamatokba, alapvetően fontos, hogy a magyar nemzeti jogi szabályozás ne tartalmazzon olyan elemeket, melyek akár a hazai akár a külföldi résztvevők számára az iratok kommunikációját nehezítik.
A szabályozás nemzetközileg elismert tendenciái a már megalkotott nemzeti jogszabályokból jól felismerhetőek, s ezekkel a tendenciákkal teljes mértékben összhangban vannak azok az irányelvek (Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures), melyeket az Európai Unió saját tagjai számára megfogalmazott. A magyar nemzeti szabályozás megalkotásában ezeket az irányelveket érvényesíteni kell.
Az EU irányelvek a jogszabályok részleteit illetően nem tartalmaznak előírásokat, ugyanakkor fontos elvi kérdésekben adnak iránymutatást. A Törvény szövegének megfogalmazásakor az alábbi irányelvek figyelembevételére került sor:
- a szolgáltatási piacra lépés szabadságának elve (Article 3),
- az elektronikus aláírással kapcsolatos funkcionális ekvivalencia elve (Article 5),
- a szolgáltatók felelősségének elve (Article 6),
- az önkéntes akkreditálás elve (Article 3),
- az állami felügyelet elve (Article 3),
- külföldi szolgáltató által kibocsátott tanúsítványok elfogadhatóságának elve (Article 7),
- az aláíró eszköz tulajdonosok adatai védelmének elve (Article 8).
Az elektronikus aláírás kérdésköre az 1952. évi III. törvény a polgári perrendtartásról 195.-196 §-iban kerül a magyar jogrendszerhez a legközelebb. A teljes bizonyító erejű magánokirat fogalma az, melyet az elektronikus iratok körére az elektronikus aláírás segítségével kellene kiterjeszteni. A legfontosabb probléma az, hogy a meglévő meghatározás olyan kritériumokat (saját kezű aláírás, két tanú jelenléte, a tanúk sajátkezű aláírása stb.), melyeket az elektronikus kultúra nem alkalmaz, ugyanakkor az elektronikus aláírás technológiai és infrastrukturális fogantatású megoldásokkal kívánja biztosítani a „teljes bizonyító erő” meglétét.
Az elektronikus aláírás „jósága” a PKI környezetben több tényezőtől függhet,
- az aláíró eszköz műszaki minőségétől (pl. számítógépes adat file, floppy lemezen lévő adat file, chip kártyában tárolt adat és program, speciális hardver eszköz),
- a hitelesítés szolgáltató elfogadottságától (minősítettség, akkreditáltság),
- a tanúsítvány minőségétől (adattartalom, az adattartalom kialakítására szolgáló eljárások megbízhatósága, a tanúsítvány aláírásának minősége stb.)
Az elektronikus aláírás jog központi elve a funkcionális ekvivalencia elve, mely azt mondja ki, hogy – bár a papír alapú, kézi aláírás és az elektronikus aláírás egymással nem ekvivalens, - lényegében azonos a funkciójuk, ezért funkcionális ekvivalenciájukat a jognak el kell ismernie.
A szabályozás fő kihívása éppen az, hogy nem csak a hagyományos és az elektronikus aláírás, de a papír alapú irat és az elektronikus irat tulajdonságai is olyan sok pontban különböznek egymástól, hogy a különbségek szinte lehetetlenné teszik azonos jogi platformon való kezelésüket.
A különbségek már az irat szinten is jelentősek. Ilyen különbség van pl. az eredeti és másolati példány fogalmában (az elektronikus kultúrában bármilyen címzett csak másolatot kaphat, az eredeti fogalma nem definiálható), a küldés, fogadás, tárolás folyamatában bekövetkező „változások” (a különböző számítógépes hálózatok közötti mozgásuk során különböző adat- ill. dokumentum ábrázolási szabványoknak megfelelően transzformálódik, kódolódik az irat) tekintetében, a hivatkozással történő befoglalás eltérő súlyában (az elektronikus formában készülő iratoknál nagyságrenddel nagyobb gyakoriság).
Fontos különbségek vannak a papír alapú kultúrában kialakult hitelesség növelő eljárások (sík és domború pecsét, nyomtatott háttér mintázat, oldalanként aláírás, közjegyzői, ügyvédi, hatósági hitelesítés stb.) és a technológiai alapú elektronikus eljárások (hash algoritmusok, idő pecsét, speciális mikrochipek stb.) között.
A jelen szabályozási javaslat fontos ambíciója, hogy a funkcionális ekvivalencia követelményét minden esetben messzemenően tiszteletben tartsa. Ez a törekvés jellemzően abban jelenik meg, hogy a törvény nem teszi elvárássá azokat a lehetőségeket, melyeket a technológia egyébként már ma is lehetőségként kínál (pl. nem teszi teljes körben kötelezővé sem az elektronikus aláírást, sem az emelt biztonságú aláíró eszköz használatát, az aláírás tanúsítványok országos szintű központosított tárolását ill. archiválását, az idő bélyegző használatát stb.). Ez a fajta visszafogottság azon elv mellett érvényesül, hogy az aláíró kommunikáló szereplők személyes döntését ill. mérlegelését mindaddig tiszteletben kell tartani, amíg mások jogos érdekeit nem veszélyeztetik.
A jelen szabályozás a funkcionális ekvivalencia elismerését két pontos is egyértelműen kimondja, egyrészt az elektronikus irat, másrészt az elektronikus aláírás kapcsán. Miután az ekvivalencia részleteiben és pozitív módon nem fogalmazható meg (mivel így nem is létezik), a megfogalmazás – a nemzetközi mintákkal azonosan – csak arra terjed ki, hogy az elektronikus irat ill. aláírás hitele nem tagadható meg pusztán azon az alapon, hogy elektronikus. A funkcionális ekvivalencia elismerése valójában a teljes szabályozás feladata, más szavakkal: a technológiát, a hitelesítés szolgáltatást, a felügyeletet és a hozzájuk kapcsolódó teljes rendszert tekinti a szabályozás a papír alapú kultúrában hosszú fejlődés után létrejött rendszerrel ekvivalensnek.
A jelen szabályozása javaslat az elektronikus aláíráshoz szorosan kapcsolódó területekre koncentrál, konkrét szövegtervként pedig az elektronikus aláírás törvényt tartalmazza. A teljes szabályozási kör az elektronikus aláírás törvény mellett legalább két fontos elemet kell, hogy tartalmazzon, az elektronikus kereskedelem törvényt és az elektronikus közigazgatás általános szabályozását tartalmazó jogszabályt. A szabályozás integrálása a magyar jogrendszerbe egyes meglévő törvényeink (pl. polgári perrendtartás) kis mértékű módosítását igényli. Alacsonyabb szinten további szabályozási területek kapcsolódnak e szabályozási körhöz, ezek döntően már meglévő jogszabályokat érintenek (pl. közigazgatási, hatósági eljárási szabályok, szellemi alkotásokkal, adatvédelemmel, akkreditálással stb. kapcsolatos szabályok).
A törvény javaslat három fő logikai részre tagolódik:
- az első rész az elektronikus irat és aláírás szabályait,
- a második a hitelesítés szolgáltatóra vonatkozó szabályokat,
- a harmadik a felügyeleti rendszerre vonatkozó szabályozás
tartalmazza.
A harmadik logikai rész, a felügyelet szabályozása csak a legfontosabb szabályokat illetően kap helyet a törvényben, a részletező szabályok a Hírközlési Főfelügyelet feladatait jelenleg is magába foglaló 232/1997. Kormány rendelet módosításaként jelennek meg.
Az általános szabályt illetően nem okozhat komolyabb gondot a Törvény időbeli hatályát elfogadásának dátumához kötni. A Törvény hatályba lépésekor már léteznek akár Magyarországon, akár külföldön kibocsátott aláíró eszközök és tanúsítványok, s hasonlóan létezhetnek aláírt elektronikus dokumentumok is.
A Magyarországon mostanáig kibocsátott aláíró eszközök zárt közösségek rendszereiben játszanak szerepet, nyilvános tanúsítvány kezelés még nincs, ezért a magyar gyakorlat az időbeli hatály megállapításában nem releváns.
A külföldön kibocsátott és tanúsítvánnyal ellátott aláíró eszközökkel keletkezhettek és folyamatosan keletkezhetnek elektronikusan aláírt iratok, ezek magyar érdekeltekkel is kapcsolatba kerülhettek és kerülhetnek. Mindazonáltal elfogadható az időbeli hatálynak olyan megfogalmazása, hogy a Törvény hatálya alá csak az elfogadása után elkészített ill. aláírt elektronikus iratok tartoznak. Itt az irat keletkezésének időpontja a releváns, mert az aláíró eszköz vagy tanúsítvány kibocsátása korábban is történhetett, a törvénynek visszamenőleges hatályt nem célszerű tanúsítani.
A kivételes szabályozás keretébe kell sorolni azokat az elektronikus iratokat, melyek a Törvény elfogadása előtt papír alapú iratok digitalizálása révén, elektronikus aláírás alkalmazása nélkül keletkeztek. Ezeknek az iratoknak utólagos aláírás ugyan nyilvánvalóan lehetséges lenne, a digitalizálás óta az aláírási eltelt idő azonban megkérdőjelezi az aláírás értelmét. Ezekre az iratokra vonatkozóan tehát ki kell terjeszteni az időbeli hatályt.
Területi hatály
A Törvény – témájánál fogva – messzemenően globális, földrajzi korlátozásokat nehezen visel. Magyar jogalany birtokolhat és használhat magyar vagy külföldi eredetű aláíró eszközt Magyarországon vagy külföldön, külföldi jogalany birtokolhat és használhat magyar vagy külföldi eredetű aláíró eszközt Magyarországon és külföldön, az aláíró eszköz és a hozzá tartozó tanúsítvány lehet eltérő „nemzetiségű”. A felhasználás valódi helyszíne nem feltétlen azonosítható, pl. a magyar állampolgárságú használó saját hordozható számítógépével bejelentkezhet Párizsból a budapesti irodájának hálózatába és aláírhatja az indonéziai partnertől kapott szerződés tervezetet, az indonéz partner csak annyit tudhat ebből, hogy az üzenet a magyar partner szerveréről indult az ő szervere felé. A tanúsítványok nyilvános adatbázisa „valahol” a világhálón helyezkedik el, magyar és külföldi szolgáltatók serege működhet közre abban, hogy valahol valamilyen információ megjelenjék. Feltételezhető, hogy a különböző számítógépes irat kezelési funkciók végrehajtásának helye későbbi időpontban is azonosítható, ez azonban aprólékos „nyomozó” munkát és széleskörű szakismeretet igényel, ugyanakkor az iratban foglalt jognyilatkozatok érvényességével kapcsolatban a hellyel kapcsolatban feltárt információnak különösebb jelentősége nem lehet.
Mindezek alapján egyértelmű, hogy területi hatály meghatározása a Törvény témájával kapcsolatban nem szükséges.
Az elektronikus iratok kezelésében négy féle személy jelenik meg:
az iratot elkészítő, aláíró (továbbiakban: aláíró) személy,
az iratot fogadó személy,
az irat hitelességéhez, általánosabb értelemben az irat kezeléséhez hozzájáruló szolgáltatók (aláíró eszköz készítő, tanúsítvány kibocsátó- hitelesítő, időpecsét készítő, irat közvetítő, tároló, továbbiakban: szolgáltató),
A (3) bekezdésben meghatározott korlátozások az EU ajánlásban is szerepelnek. Ezen ajánlás mögött gyakorlati megfontolások húzódnak meg. A tárolási technológia 5-10 évenként cserélődik. Nehéz lenne ma 50-100 évre előre érvényes döntés szerint rendezni az ilyen iratok kezelésének módját. Az igazán hosszú időtartamra tervezett dokumentumok számára a legpraktikusabb a papír, mivel nem igényel sajátos infrastruktúrát.
A közjegyző, ügyvéd vagy hatóság kötelező bevonásával létrehozott szerződések kezelésénél is a tároló-elérő infrastruktúra jelenti a problémát. Lehet, hogy később létrejön egy olyan, globális iratkezelő rendszer, melyben ezek is természetes módon elférnek, ma még ez nem reális, de ma még megfelelőbb a papír alapú megoldás.
Felmerülhet az érdemi tartalmuk szerint egy példányban létező dokumentumok kérdése (váltó, hajórakomány levél stb.). Ezek elektronikus megoldásait már a ma ismert technológiák is lehetővé teszik, miattuk e Törvény hatályának korlátozása nem indokolt.
Az elektronikus irat tartalma lehet szabad formátumú szöveg, adat-táblázat, grafika stb. bármilyen információ. Technológiai korlátokat sem lehet állítani, ezért, a részletezésnek a normaszövegben nincs értelme. Hasonlóan nem érdemes részletezni a kommunikáció módját, a technológiát, különösen a jövőbeni újdonságokra tekintettel.
Megfontolandó a nem kommunikációs célra előállított elektronikus információ bele tartozzék-e a definícióba. Bármilyen elektronikus formában, de nem kommunikációs céllal létrehozott információ (pl. adatbázis rekord) tárgya lehet az elektronikus irat készítő folyamatnak. Úgy tekintjük, hogy törvénnyel akkor kerülhet kapcsolatba az elektronikus irat, ha a kommunikációban részt vesz. Ezért a definíció pontosítás gyakorlatilag nem szükséges.
Az elektronikus irat a kommunikációs folyamat során a kezdeményezőtől a címzettig előre meg nem határozott fizikai pályán jut el. A közvetítésben részt vevő jogi vagy természetes személyek a jelen törvény szempontjából egy semleges infrastruktúra elemei, és érdemi szerepet nem játszanak. A közvetítők az elektronikus társadalomban betöltött szerepük miatt fontosak lesznek az elektronikus kereskedelem szabályozása terén, a Törvény szabályai rájuk nem vonatkoznak, a közvetítő fogalom meghatározásra csak a kezdeményező és címzett fogalom pontos behatárolása miatt van szükség.
A korszerű kommunikációs rendszerekben közvetlenül információs rendszerek kapcsolódnak egymáshoz, ezek az információs rendszerek egymástól többé-kevésbé független, zárt egységek, amelyek azonban átjárhatóak az elektronikus iratok számára. A Törvény szempontjából az információs rendszerek egyrészt viszonylagos zártáságuk, másrészt emberi (felhasználói személyes) szándékok által való programozottságuk miatt fontosak. Az információs rendszerek maguk is generálhatnak elektronikus iratokat, ezeknek az iratoknak a jog előtti minősítése nem megkerülhető. A fogadó oldalon az információs rendszer az érkezett elektronikus iratoknak a rendszeren belül történő irányításával ugyancsak a felhasználó személy szándékait valósítja meg (várakoztat, továbbít, blokkol, töröl, átirányít stb.). Az információs rendszer fogalmát a Törvény keretei között csak olyan mértékben kell meghatározni ill. részletezni, amennyiben az elektronikus iratok kezelésében szerepet kapnak.
A Törvény az akkreditálás fogalmát a laboratóriumok, a tanúsító és az ellenőrző szervezetek akkreditálásáról szóló 1995. évi XXIX. törvénynek megfelelően használja. Az akkreditálás lényege annak tanúsítása, hogy a szolgáltató a vállalt szolgáltatásokra vonatkozóan szakmailag megfelelő Szolgáltatási Szabályzatot dolgozott ki, és szolgáltatói tevékenységét e Szabályzatban foglaltaknak megfelelően látja el. A követelmény rendszer tehát nem abszolút, hanem az akkreditáló és az akkreditált által kölcsönösen elfogadott követelményekből áll. Az akkreditálás maga is szolgáltatás.
A Szolgáltatási Szabályzat a Törvény keretei között jóval nagyobb jelentőséget kap, mint általában a különböző területeken működő szolgáltatók hasonló szabályzatai. Ennek az az oka, hogy a Szolgáltatási Szabályzatban kell megjelennie mindannak a szabály készletnek, mely technológiai és eljárási jellege miatt magasabb szintű – kormány- vagy miniszteri rendelet vagy felügyeleti – szabályozásban nem jelenhet meg. Jellemzően a Szolgáltatási Szabályzatban kell megjelennie azoknak az eljárási és technológiai és biztonsági szabályoknak, melyeket a szolgáltatónak az elektronikus aláíró eszközök ill. tanúsítványok kibocsátása és kezelése során követni köteles.
A paragrafus első bekezdése tartalmazza azt az alapelvet, mely az elektronikus formában tárolt információnak a papír alapú információval szembeni diszkriminációját megszünteti. Az elv azt mondja ki, hogy az információ megjelenési formája nem befolyásolhatja az információ alapvető elfogadhatóságát. Ez az elv teljes mértékben általános, s nincs kapcsolata sem az irat hitelességével sem az irat tartalmának más jellemzőivel.
A második bekezdés az információ elfogadhatóságának minimális feltételeként annak hozzáférhetőségét és későbbi hivatkozásra alkalmasságát írja elő. A ma ismert elektronikus technológiák esetében a hozzáférhetőség a szemmel vagy füllel való „olvashatóságot” jelenti, a későbbi hivatkozásra való lehetőség pedig az információnak pl. file névvel vagy egyéb azonosítóval történő azonosíthatóságát, előkereshetőségét követeli meg. E minimális feltételek gyakorlati jelentősége nem csekély: ha az információ bármi okból nem hozzáférhető: pl. a hozzáférés kívánatos időpontjában vagy helyén az információ adathordozóját értelmezni képes eszközök nincsenek használatban, az elektronikus irat elfogadása sem lehetséges. Hasonlóan gyakorlati fontossága van annak, hogy az információ azonosítója ismert legyen, e nélkül a létező elektronikus irat nem hozzáférhető, tehát nem elfogadható.
Általánosan: hozzáférhető az, ami a rendelkezésre álló eszközök segítségével hozzáférhetővé tehető. Jogi eljárás esetén tehát egy elektronikus irat csak akkor utasítható el (de akkor nincs is más lehetőség, mint az elutasítás), ha minden lehetséges eszköz igénybevételével sem sikerül az információt hozzáférhetővé tenni.
A harmadik bekezdés nem hoz érdemi új tartalmat a korábbiakhoz képest, de egyértelművé teszi az alapelv érvényesítésének egy fontos következményét. Azok a múltban készült jogszabályok ugyanis, melyek az információ írásban rögzítését írták elő, papír alapú írást feltételeztek. A szabály az ilyen előírások értelmezési módját egyértelműsíti.
Az elektronikus környezetben fontos és gyakran használt eljárás a hivatkozás révén történő befoglalás. Ennek lényege az, hogy az elektronikus irat nem tartalmazza a közlendő információ teljességét, hanem csak megfelelő utalást arra, hogy a hivatkozott információ hol található meg és hogyan érhető el. Mindennapos jelenség a hivatkozással befoglalás az Internet-en, ahol az információt eleve olyan mértékben tagolják, hogy egyidejűleg csak kb. egy képernyőnyi, ill. egy szempillantással áttekinthető egység jelenjen meg, a hivatkozással befoglalással eszköze az un. URL (Universal Resource Locator). Tekintettel arra, hogy az elektronikus információs rendszerek jellemzően kapacitás korlátokkal terheltek (operatív memória, műveleti sebesség, háttértároló kapacitás, átvitelei sebesség stb.), a hivatkozás révén történő befoglalás eljárása nélkül e rendszerek lényegében működésképtelenek lennének. De az eljárás széles körben használatos a papír alapú kultúrában is, pl. a bank a számla szerződésben csak hivatkozik azokra az általános szerződési feltételekre, melyek a bank minden ügyfelére vonatkozóan azonosak, a jogi tartalmú szövegek csak hivatkoznak a figyelembe veendő jogszabályra stb.
A hivatkozás révén történő befoglalás természetesen sajátos problémát is felvet, amennyiben a hivatkozó és a hivatkozott elektronikus irat nem feltétlen azonos helyről, időből és forrásból származik, ezért „együttfutásuk” sem feltétlenül biztosított. Pl. a bank általános szerződési feltételei a számla szerződés megkötés után megváltozhatnak. Ha a hivatkozással befoglalt információ azért nem hozzáférhető, mert a befoglalás időpontjában létező elektronikus iratot annak egy újabb verziója a régi verzió megőrzése nélkül felváltotta, a hivatkozás révén befoglalt információt hozzá nem férhetőség miatt el kell utasítani.
A hivatkozó és hivatkozott elektronikus irat szoros együttfutását nem biztosítja az elektronikus aláírásnak az a sajátossága sem (lásd később), hogy az aláírt irat tartalmában bekövetkezett változás tényét jelzi. A hivatkozó és hivatkozott elektronikus irat tehát nem egyenértékű a szabályozás szempontjából, s ez indokolja a hivatkozás révén történő befoglalásra vonatkozó külön szabály beiktatását. A fenti szinkronitási probléma azonban nem érinti azt az alapelvet, hogy a hivatkozott információ pusztán azon az elven, hogy hivatkozás révén van csak jelen, nem utasítható el.
A hivatkozás révén történő befoglalás fontos példája az elektronikus aláírás tanúsítvány, mely általában egy rövid jelsorozat, s csak hivatkozik a tanúsítványhoz kötődő olyan információkra, mint pl. a hitelesítés szolgáltató szolgáltatási szabályzatának vonatkozó fejezetei.
A papír alapú ill. elektronikus környezetben az „eredeti” és „másolati” példány fogalma lényegesen különbözik. Egyrészt elektronikus környezetben a kommunikáció során törvényszerűen készül „másolati” példány, mivel az elküldéssel a kezdeményező számítógépén jelen lévő irat (file) „onnét nem tűnik el”, sőt, a szoftver rendszerek biztonsági funkciói az irat készítőjétől függetlenül is készítenek másolatokat, másrészt az elektronikus környezetben az eredeti és másolati nem különböztethető meg. A kommunikációs hálózaton történő továbbítás során az elektronikus iratnak ismét előre ki nem számítható számú „másolata” készül, melyek mindegyike az üzembiztonságot szolgálja, ezek törlése ugyan idővel bekövetkezik, de a törlésre irányuló eljárások a szolgáltatók hatáskörébe tartoznak. A fizikai valóságot illetően tehát a másolatok jelenléte törvényszerű. A szabályozás nem is kívánja ráerőltetni az elektronikus környezetre azt a szemléletet, mely az elektronikus irat eredeti és másolati példányát megkülönbözteti.
A szabályozás ugyanakkor az írás természetes folyamatából vezeti le az „eredeti” fogalmát, mely így nem is a másolat ellentéte. Az eredetiség definíciója az elektronikus környezetben egyrészt a végső változatot hangsúlyozza szembeállítva az azt megelőző, „tervezetekkel”, másrészt e változat első elektronikus realizációját követeli meg. Az „eredeti” ezen definíciója nem az eredeti és másolati példányokat állítja szembe egymással, hanem az elektronikus iratok különböző változatait. Az elektronikus irat végső változata elkészülte után „eredeti” példány lesz, de módosításával e rangot elveszíti, s a módosítás révén létrejövő változat lesz az éppen aktuális „végső”, s egyúttal az „eredeti”.
E megfogalmazás megoldást nyújt arra a helyzetre is, amelyben az irat eredetileg papíron készül el, s csak a „végső változat” számítógépre rögzítésével jön létre az elektronikus irat változat. A papír alapú és elektronikus kultúra együttélésének kezdeti (10-15 éves) szakaszában ez a helyzet nagy tömegben áll elő papír alapú irattárak számítógépre vitelével. Ekkor az „eredeti” az a végleges, de még papír alapú verzió is, melynek alapján valaki az elektronikus környezetben az írást (számítógépbe bemásolást) végrehajtotta, de eredetinek minősül az ennek során létrejött elektronikus irat is.
A papír alapú kultúrában az irat eredeti példánya bizonyos esetekben kitüntetett a másolatokkal szemben, abban az értelemben, hogy a jogkövetkezmények egyedül az eredeti példányhoz kapcsolódnak. Speciális esetekben fontos lehet, hogy az „eredeti” egyúttal „egyetlen” is legyen, éppen azért, hogy a jogkövetkezmények az esetleges másolatok révén véletlenül se sokszorozódhassanak. Ilyen iratok pl. a váltó, hajóraklevél, különböző mennyiségi és minőségi tanúsítványok stb. Alapvető jelentőségű követelmény, hogy az ilyen iratok mozgásuk során változatlanok maradjanak, hogy a partnerek tökéletesen megbízhassanak bennük. A hagyományos kultúrában ezt a követelményt általában csak az „egyetlen” és „eredeti” példány elégíti ki. Különböző technológiák állnak rendelkezésre annak érdekében, hogy az elektronikus iratok esetében ezt a változatlanságot biztosítani lehessen. Az 5. § első bekezdésében megfogalmazott szabályra azért van szükség, hogy az „eredeti” irat fogalma és a vele kapcsolatos követelmények az elektronikus környezetben is egyértelműek legyenek. E szabály határozza meg a papír alapú eredeti példány funkcionálisan ekvivalens elektronikus megfelelőjét. E szabály nélkül az elektronikus kereskedelemben résztvevő felek kénytelenek lennének az elektronikusan elküldött iratot papír formában újra elküldeni.
Az elektronikus irat esetében a szó szoros értelmében vett, minden részletre kiterjedő változatlanság nem írható elő, mert az elektronikus kommunikációs rendszerek között történő mozgás során az elektronikus iratok technológiai jellegű módosulásokon (átkódolás, darabolódás, tömörítés stb.) mehetnek keresztül. Ezek a módosulások azonban az elektronikus irat érdemi tartalmát nem érintik.
Az elektronikus irat papírra nyomtatásával keletkező papíros irat az elektronikus irat hitelességét, jogkövetkezményeit és bizonyító erejét nem örökli. E szabály – megjelenése helyét illetően – megelőzi az elektronikus aláírásra vonatkozó azon szabályokat, melyekkel szoros kapcsolatban áll. Az elektronikus irat hitelességét, „manipulálatlanságát” az elektronikus aláírási eljárás biztosítja. Ugyanez a bizonyító erő a papírra nyomtatott iratot már nem jellemzi, akkor se, ha történetesen az elektronikus aláírás, mint jelsorozat valamilyen módon szintén megjelenik a nyomtatásban.
Az iratok tárolásának kérdése két féle értelemben is megjelenik. Egyrészt az elektronikus tárolási kapacitások gyors növekedésével párhuzamosan egyre gyakrabban merül fel a múltban papír alapon keletkezett, esetenként óriási irattömegek elektronikus formában történő archiválásának igénye. Másrészt természetesen gondoskodni kell arról is, hogy a már elektronikus formában keletkezett iratok tárolása is megfelelően szabályozott legyen. A tárolás kérdésének azok a jogszabályok adnak különös jelentőséget, melyek előírják a gazdálkodási, társadalombiztosítási, adózási stb. iratok megőrzését.
A törvény a két féle problémára vonatkozóan azonos szabályozást nyújt. A tárolt iratokkal kapcsolatban egyrészt megismétli az elektronikus írással ill. elektronikus irattal kapcsolatos általános követelményt (hozzáférhetőség, hivatkozásra alkalmasság), másrészt a tartalom változatlanságára vonatkozó követelményt fogalmaz meg.
A tartalom változatlanságára vonatkozó követelmény megfogalmazása figyelembe veszi, hogy egyes tárolási műveletek (konverzió, tömörítés, átkódolás stb.) során általában nem biztosítható az irat teljes változatlansága. Mindenképpen biztosítani kell az érdemi információ tartalom változatlanságát.
A tartalom változatlanságának követelménye különösen fontos a papír alapú iratok elektronikus tárolása esetén. A tárolást megelőző képfeldolgozási eljárások (mikrofish, mikorfilm, lapolvasás) különböző technológiákat alkalmaznak, melyek során a fizikai értelemben megfogható információ tartalom sokféle módon alakítható anélkül., hogy az érdemi információ módosulna.
Az érdemi információ fogalma bizonytalanságot tartalmaz. Egy papír alapú irat lapolvasással történő digitalizálása során felmerülhet pl. a színek információ hordozó szerepe (az aláíró tinta színe, a pecsét színe stb.), az előre nyomtatott forma elemek eltávolítása, háttér szín-homogenizálás stb. Ezek a részletek azonban törvény szintű jogszabályban nem kezelhetőek, ezért a jelen szabályozás csak az információ tartalom megőrzésének általános követelményét írja elő.
Az iratok tárolása a papír alapú kultúrában is együtt jár az iratokra vonatkozó egyes adatok tárolásával, nyilvántartások, katalógusok vezetésével, az iratokra pedig rávezetik a küldés ill. érkezés (iktatás) adatait. Az elektronikus iratok tárolásával kapcsolatos, a (2) bekezdésben megfogalmazott követelmények ezen nem is mennek túl, csak a természetes funkcionális ekvivalencia szintjén maradnak.
A (3) bekezdés az elektronikus iratok tárolásával kapcsolatos gyakorlati megfontolások alapján lehetővé teszi, hogy a tárolással kapcsolatos feladatokat az arra kötelezett felhatalmazása alapján – a tárolásra irányuló szolgáltatás keretében – más személy lássa el. Ezen intézkedés nem érinti a tárolásra kötelezett személynek az elektronikus iratok hozzáférhetősége biztosítására vonatkozó felelősségét ill. kötelezettségét. A jelen törvény nem foglalkozik a tárolásra kötelezett személy meghatározásával, az erre vonatkozó intézkedéseket azok a jogszabályok tartalmazzák, melyek a tárolási kötelezettséget előírják.
A törvény nem szándékozik közvetlen, pozitív, fogalmi meghatározást adni arra vonatkozóan, hogy mit kell elektronikus aláírás alatt érteni. Egy ilyen meghatározásnak az lenne a veszélye, hogy a technológia fejlődésével a gyakorlatba átkerülő újabb és újabb megoldások akkor sem kapnák meg automatikusan a jogi elismerésüket, ha a meglévőknél jobbak, hatékonyabbak, biztonságosabbak lennének. Már a jelenleg ismert elektronikus aláírási technológiák is – különösen a szoftver megoldások nagy száma miatt – olyan variáció halmazt jelentenek, melynek jogi kezelése lényegében lehetetlen lenne.
Ehelyett a Törvény körülíró meghatározást ad, mely azon a felismerésen alapul, hogy a hagyományos, kézi aláírás egy sor funkcióval rendelkezett, melyek különböző aláírási helyzetekben jelentek meg, elegendő tehát megragadni az aláírásnak azokat a sajátosságait, melyek az elektronikus környezetben a kívánatos eredmény elérésé biztosítják. Az elektronikus aláírás szükséges sajátosságainak pontosabb meghatározása érdekében nem érdektelen a „kézi” aláírás helyett vagy mellett használt egyéb eljárások áttekintése.
A hagyományos aláírás funkciói közül szemléltetésül álljanak itt a legfontosabbak:
- egy adott személy azonosítása,
- bizonyosság nyújtása a tekintetben, hogy az adott személy személyesen közreműködött az aláírási aktusban,
- az adott személy és az irat tartalma közötti kapcsolat megteremtése,
- a felek azon szándékának kifejezése, hogy magukat az aláírt irat tartalmához tartsák,
- egy személy azon szándékának kifejezése, hogy elismerje önmagát a szöveg szerzőjeként,
- egy személy azon szándékának kifejezése, hogy tanúsítsa azonosulását egy irat tartalmával, akár ő írta, akár más,
- annak a ténynek igazolása, hogy az aláíró személy adott időben adott helyen tartózkodott.
Az „alternatív aláírások” között említhetjük pl. a bélyegzést, a pecsételést, a lyukasztást, a dombornyomású hitelesítést, a hamisítást nehezítő nyomdai eljárásokat, a kézírásos aláírással kombináltan a vegytinta használatát stb., ezek az eljárások mindegyike alkalmas arra, hogy a bizonyosság valamilyen szintjét biztosítsa. Közülük akár egy pecsét, akár a gépírásos aláírás, akár a nyomtatott fejléc is az aláírással szemben támasztott követelmény valamilyen szintű kielégítését jelentheti. A bizonyossági skála másik végén olyan eljárások szerepelnek, mint pl. a kézírásos aláírás hitelességének igazoltatása hites tanúkkal.
Kívánatos lehetne a papír alapú aláírás „különböző erősségű” típusaihoz funkcionálisan ekvivalens elektronikus változatok kialakítása. Ekkor a létező szabályozás érintetlenül hagyásával elérhető lenne, hogy az elektronikus tranzakciókban egyszerűen a megfelelő „erősségű” elektronikus aláírás típus helyettesítené a hagyományost. Az „aláírás” fogalma azonban ezer szállal kötődik a papír alapú kultúrához, a „helyettesítő” megoldások definiálása pedig azzal a kockázattal járna, hogy a technológiai fejlődés adott szintjét konzerválnánk a jogszabályokban. Az elektronikus környezetben az aláírás problémáját a hagyományos környezetben kialakult konvencióktól függetlenül kell megoldani.
A 7. § egy sajátos és átfogó megközelítést alkalmaz. Az elektronikus aláírást a Törvény az aláíró eszköz (aláíró kulcs adathordozó: file, floppy, smart card vagy speciális hardver eszköz) és a hozzá csatlakozó módszer (titkosító algoritmusokat tartalmazó szoftver) együtteseként határozza meg, anélkül azonban, hogy az eszközt és módszert magába foglaló infrastruktúrát (Public Key Infrastructure, PKI) azonosítaná. Az aláírás hagyományos funkciói közül a Törvény az alábbi kettőre koncentrál:
- az iratot aláíró személy azonosítása (lásd (1) bekezdés a) pont),
- annak megerősítése, hogy a szerző jóváhagyta az irat tartalmát, azonosult az irat tartalmával (lásd (1) bekezdés b) pont).
Az irat szerzőjének az aláírás révén történő azonosítása nem triviális feladat, mivel az aláíró eszközt a tulajdonos hozzájárulásával vagy anélkül más is használhatja. Ez az ellentmondás nem kiküszöbölhető a jelenleg legelterjedtebb aláírási technológia, a PKI esetében, s ezért is indokolt az alternatív technológiák irányában a fejlődés útjának nyitva hagyása. (E kérdés szempontjából az aláíró személyétől elválaszthatatlan, un. „bio-marker” megoldások jelenthetnék az alternatívát.) Megjegyezzük, hogy az aláíró személy és aláírás közötti kapcsolat a papír alapú kultúrában sem volt problémátlan, hiszen a kézi aláírás is hamisítható.
Nem triviális a második követelmény teljesülése sem. Az aláíró által az aláírt tartalomra vonatkozó jóváhagyás ill. egyetértés biztosítéka – szintén a PKI keretében – az, hogy az aláírás és az aláírt tartalom egymástól el nem választható: az elektronikus aláírás nem „másolható” az aláírt szöveg „alá”, csak a tartalommal való együtthatásban jöhet létre. Ez azonban nem semlegesíti azt a tényt, hogy az irat olvasója nem lehet tökéletesen biztos abban, hogy az aláíró nem kényszer hatása alatt cselekedett. E problémát azonban nem tekintjük jelentősnek, mivel a hagyományos rendszerben is azonos módon jelen volt.
A megelőző két bekezdésben említett aggályok ellenére azok az eljárások ill. technológiák, melyek jelenleg – döntően a PKI elemeként – elektronikus aláírásként használatban vannak, alapvetően megfelelnek e két követelménynek.
A jelenleg ismert aláírás technológiák egy olyan, harmadik követelményt is kielégítenek, melynek a hagyományos aláírás nem tudott megfelelni: ez az irat integritásának, manipulálatlanságának biztosítása. A címzett „aláírás ellenőrző eszköze” révén elégíthető ki ez a követelmény, mely az (1) bekezdés c) pontjában jelenik meg.
A Törvény számol azzal, hogy az elektronikus iratok különböző súlyú kötelmeket tartalmazhatnak, s emiatt az iratok manipulálhatatlanságának biztosítása is különböző erősségű eljárásokat tehet indokolttá. Egy bizalmas tartalmú magánlevél „aláírásához” nyilván kisebb igényű, egyúttal olcsóbb, egyszerűbb, de könnyebben „feltörhető”, nagyobb kockázatú aláíró eszköz ill. módszer használható, mint egy milliárdos elkötelezettséget tartalmazó okiratéhoz. Akár a civil szféra szereplői egymás között, akár az államigazgatás intézményei is előírhatják adott irat típusokhoz adott igényű aláíró eszköz és módszer használatát.
Annak megállapításához, hogy egy adott esetben alkalmazott eszköz és módszer megfelelő-e, egy sor jogi, műszaki és kereskedelmei tényezőt lehet figyelembe venni, pl.:
- a felek által használt készülékek műszaki fejlettsége,
- a felek szakmai tevékenységének természete,
- a felek közötti kommunikáció gyakorisága,
- a tranzakció fajtája és mérete,
- az aláírási követelmények funkciója az adott törvényi és szabályozási környezetben,
- a kommunikációs rendszerek teljesítménye, fejlettsége,
- a közvetítők által kifejtett tevékenység összhangja a hitelesítési eljárásokkal,
- a közvetítők számára rendelkezésre álló hitelesítési eljárások választéka,
- a bűnös szándékkel létrehozott iratok elleni biztosítási fedezeti mechanizmusok léte,
- az iratban foglalt információ fontossága és értéke,
- alternatív azonosítási módszerek rendelkezésre állása, ill. azok igénybevételének költségei,
- az azonosítási módszer elfogadottságának vagy el nem fogadottságának szintje az adott ágazatban vagy területen akár a módszer elfogadása, akár az irat elküldése idejében,
- bármi más, releváns tényező.
Az aláíró joga és érdeke, hogy olyan aláíró eszközt szerezzen be, mely az aláírandó tartalom súlyának megfelelő biztonságot nyújt számára. Ezt fejezik ki a (2) – (4) bekezdések. A minősített aláírási eszköz kritériumai általában műszaki paraméterek (lásd (6) bekezdés), melyeket a mindenkori technológiai fejlettségnek megfelelően állami szervezet tart karban (lásd később).
Megjegyzendő, hogy önmagában az a tény, hogy adott esetben az elektronikus aláírás megfelel a vele szemben támasztott követelményeknek, nem bizonyítja az irat hitelességét. Kétség esetén a kérdésre a választ a Törvényen kívül fekvő jogi területeken kell keresni. A kérdés a hagyományos, kézi aláírás esetében is hasonlóan merül fel (pl. ha az aláíró fizikai kényszer alatt írt alá).
A Törvény nem érinti azt a kérdést, hogy a felek korábban megkötött megállapodás alapján használják-e az adott eszközt és módszert, vagy akár ismeretlenül kommunikálnak egymással. A szabályozásnak e módja az elektronikus iratok alapvető hitelesítési szabványát fekteti le, mely alkalmazható akkor is, ha a felek között korábbi kapcsolatfelvétel nem volt, de iránymutatást ad arra is, milyen módszerrel lehet helyettesíteni a hagyományos aláírást, ha a felek kommunikációs egyezségek keretében kommunikálnak.
A hitelesítés szolgáltató a kérelmező számára az aláíró eszközzel együtt tanúsítványt (certificate) bocsát ki annak igazolására, hogy az adott aláíró eszközt a kérelmező rendelkezésére bocsátotta (lásd (5) bekezdés). Ez a tanúsítvány a legszélesebb nyilvánosság számára elérhető módon rendelkezésre áll, és demonstrálja egy adott személy és egy adott aláíró eszköz közötti kapcsolatot. E tanúsítvány analóg megfelelője a papír alapú kultúrában használatos „aláírási címpéldánynak”.
Az elektronikus irat bizonyító erejét illetően a Törvény tekintettel van arra, hogy az irat bizonyító ereje egy skálán értelmezhető, s különböző súlyú kötelmeket reprezentáló iratok különböző bizonyító erőt feltételeznek. A papír alapú kultúrában az iratban foglalt információt bizonyító erő mértékét illetően a skála az aláírás nélküli, nem tartós író eszközzel írt irattól a közokiratig terjed, a skálán való elhelyezkedést egy sor módszer és eljárás befolyásolja,
- a írás tartósságának különböző fokát képviselő íróeszközök,
- a hamisítást megnehezítő nyomdai eljárások,
- egyszerű, civil és hatósági tanúk előtti aláírás stb.
A papír alapú kultúrában kialakult szokások és jogszabályok szabják meg, hogy milyen típusú iratot milyen hitelesítő erőt képviselő eljárással kell elkészíteni.
Az elektronikus kultúrában is azonosíthatóak azok az eszközök és módszerek, melyek az iratok bizonyító erejét befolyásolják, de a papír alapú és elektronikus kultúrában érvényesíthető skálák nem hozhatóak egymással fedésbe, nincs olyan elv, eszköz, paraméter vagy módszer, mely a két skála egymáshoz való viszonyát rögzítené. Ezért a Törvény csak a skála két végpontját hozza egymással fedésbe.
Az (1) bekezdés a skála minimum pontját definiálja azzal, hogy kimondja, az elektronikus irat elfogadhatósága nem vonható kétségbe pusztán azon az alapon, hogy elektronikus.
A (2) bekezdés a mérlegelési követelményt fogalmazza meg: a bizonyító erőre vonatkozóan nincsen általánosan használható abszolút mérce, a bizonyító erő mérlegelésekor figyelembe kell venni az irat készítése, tárolása és küldése során alkalmazott és az információ teljességét és változatlanságát biztosító eljárások megbízhatóságát, azt a módszert, ahogyan a kezdeményező magát azonosította, és minden más releváns tényt.
A (3) és (4) bekezdés a bizonyító erő maximumának meghatározásakor a teljes bizonyító erejű magánokirat ill. közokirat fogalmát terjeszti ki az elektronikus iratokra. A meghatározás arra a követelményre épül, hogy
- mind az aláíró eszköz és módszer,
- mind a tanúsítvány,
- mind a hitelesítés szolgáltató
a maga minőségi skáláján a kiemelt minőséget, a „minősített” kategóriát képviselje. A definíció értelmében azoknak az elektronikus iratoknak is a minimálist meghaladó bizonyító ereje van, melyek a három követelmény közül csak kettőt vagy egyet teljesítenek.
A (2) bekezdésben megfogalmazott mérlegelési követelmény nem mond ellent a (3) bekezdésben megfogalmazott definícióval, mely a teljes bizonyító erejű okirat kritériumait rögzíti. Kétség felmerülése esetén a mérlegelés első lépése a három követelmény teljesülésének formális ellenőrzése, ezután lehet sort keríteni a minősítettséggel kapcsolatos követelmények gyakorlati teljesülése konkrét módjának és az adott esetben felmerülő egyéb kérdések megvizsgálására. A (3) bekezdésben megadott definíció csak azt a célt szolgálja, hogy azokban az esetekben, amikor jogszabály teljes bizonyító erejű okiratot követel meg, az elektronikus iratról eldönthető legyen, hogy e követelménynek eleget tesz-e.
Megjegyezzük, hogy a mérlegelési követelmény nem új. A papír alapú kultúrában hasonlóan merült fel a kérdés: vitás esetben mérlegelni kell, hogy az irat megfelel-e azoknak a követelményeknek, melyeket az adott ügy keretében ki kell elégítenie.
A küldés és fogadás szabályai csak addig a pontig szerepelnek a Törvényben, amíg az elektronikus iratok felhasználás-semleges kérdésköréhez tartoznak. A közvetítés érdemi szabályai, közöttük a közvetítők felelőssége nem tartozik a Törvény hatáskörébe, ezeknek majd az elektronikus kereskedelmi jogszabályban kell megjelenniük. Ezen a ponton jól látható az elektronikus irat és elektronikus kereskedelem törvény (ill. az elektronikus államigazgatási jogszabályok) közötti határ. Az irat elkészítésével együtt az elküldés és fogadás is az általános iratkezelés témakörébe tartozik, ezért ennek szabályai az elektronikus irat törvénybe kerülnek. Az irat közvetítése, mely a küldés és fogadás között szintén azonos módon érinti az elektronikus kereskedelmet és elektronikus államigazgatást, nem kerülhet az elektronikus irat törvénybe, mivel abban már megjelenik a szolgáltatási motívum, ami kifejezetten a kereskedelmi szabályozáshoz tartozik. Valójában az elektronikus államigazgatás iratai is a küldés és fogadás között az elektronikus kereskedelem hatókörébe kerülnek: az államigazgatás is igénybe veszi a távszolgáltató szolgáltatását. Amennyiben az államigazgatás zárt hálózatot épít ki az elektronikus iratok küldésére, ennek szabályai az elektronikus államigazgatás törvénybe kell, hogy kerüljenek.
A fogadás visszaigazolásának követelménye és módja a kezdeményező és címzett közötti megállapodások körébe tartoznak. A 9. §-ban foglalt szabályok elsősorban azokra a helyzetekre koncentrálnak, melyekben a felek között nincs vagy nem teljes körű az előzetes megállapodás. A szabályok célja annak segítése, hogy a kezdeményező megbízható információval rendelkezzék arról, hogy a címzett megkapta az elektronikus irat küldeményt. Azokban az esetekben, amikor ez a bizonyosság a visszaigazolás elmaradása miatt nem állhat fenn, a Törvény az elektronikus irat elküldését is meg nem történtnek tekinti, ezzel egyértelműsíti a kezdeményező felelősségét azokkal az esetleges kötelmekkel kapcsolatban, melyek az elektronikus iratban foglaltattak.
Megjegyezzük, hogy a visszaigazolás visszaigazolása a Törvényben nem jelenik meg, miután az csak az elektronikus iratok egy speciális halmazánál, a kölcsönös kötelezettséget tartalmazó elektronikus iratoknál (pl. elektronikus szerződéseknél) indokolt.
A Törvény nem kívánja meghatározni a visszaigazolás konkrét módját és formáját, még azt sem írja elő, hogy a visszaigazolásnak elektronikus irat formájában kell-e megjelennie. A visszaigazolás természetesen történhet azon automatizmusok segítségével is, melyeket a jelenleg is működő kommunikációs rendszerek kínálnak. Ugyanakkor a törvény aláhúzza a címzettnek a visszaigazoló technológiáktól független felelősségét a visszaigazolás végrehajtására vonatkozóan.
9. § (1) Ha az elektronikus irat elküldésekor vagy azt megelőzően vagy az elektronikus iratban a kezdeményező kifejezte azt a kívánságát vagy egyetértését azzal, hogy a címzett az elektronikus irat fogadását visszaigazolja, az alábbi pontokban foglalt szabályok érvényesek.
c) Ha a kezdeményező és a címzett nem állapodtak meg a visszaigazolás formájában, a címzett olyan formát ill. módszert alkalmazhat, mely megfelelő módon tájékoztatja a kezdeményezőt arról, hogy a címzett az elektronikus iratot megkapta.
d) Ha a kezdeményező kifejezetten kikötötte, hogy az elektronikus irat fogadását illetően visszaigazolást vár, úgy kell tekinteni, mintha el se küldte volna az elektronikus iratot, amíg a visszaigazolás meg nem érkezik.
(2) Ha a kezdeményező nem kötötte ki, hogy visszaigazolást vár, és visszaigazolást nem kap, méltányos idő elteltével
c) értesítheti a címzettet, hogy nem kapott visszaigazolást, és határidőt szabhat a visszaigazolás vételére vonatkozóan, és
d) ha a visszaigazolás az így meghatározott idő elteltével sem érkezik meg, úgy tekinthető, mintha az elektronikus irat soha nem is lett volna elküldve.
(3) A címzettnek a visszaigazolás iránti felelősségét nem érinti az, hogy az a kommunikációs rendszer, melyen keresztül a kezdeményezővel a kapcsolatot fenntartja, rendelkezik-e az automatikus visszaigazolás funkciójával, ill. hogy ez a funkció az elektronikus irat fogadásakor működőképes-e.
(4) Ha a kezdeményező megkapta a visszaigazolást, úgy kell tekinteni, hogy a címzett megkapta az elektronikus iratot. A kezdeményező felelőssége annak megállapítása, hogy a visszaigazolás mely korábban elküldött üzenetre vonatkozik.
Az elküldés és fogadás helye és időpontja az elektronikus irat esetében is olyan paraméter, mely jogkövetkezményeket befolyásolhat. Ezért a szabályozás, legalábbis az értelmezés szintjén mindenképpen szükséges.
Az elküldés és fogadás időpontja azért problematikus, mert a küldemény mozgása során nem könnyű pontosan meghatározni azokat az időpontokat, melyekben már nem „itt”, hanem „ott” van. Az „itt” és „ott” határának meghúzása azért nehéz, mert az elektronikus irat továbbítás éppenséggel a határok nélküli, globális kommunikációs infrastruktúrát feltételezi.
A Törvény az „itt” és „ott” pontosabb meghatározhatósága érdekében bevezeti az információs rendszer fogalmát, azon belül is két al-kategóriát aszerint, hogy:
- a kezdeményező befolyása az információs rendszerben érvényesül vagy nem, ill.
- az információs rendszert kifejezetten elektronikus iratok fogadására és küldésére fejlesztették vagy nem.
A Törvény az elküldés időpontját azon időpontként határozza meg, amikor az elektronikus irat belép egy olyan információs rendszerbe, melyben a kezdeményező befolyása nem érvényesül. E megközelítés pontosan megfelel a hagyományos postai megoldásnak: a postára adással a küldő elvesztette befolyását a küldeményre. A kezdeményező saját információs rendszerében, mely más információs rendszerekkel a kommunikációs rendszer segítségével kapcsolatban van, elkészíti az elektronikus iratot, majd „útjára indítja”. Amennyiben a kezdeményező információs rendszere egy önálló számítógép vagy egy WAP mobiltelefon, az elektronikus irat feletti befolyását azonnal elveszíti. Amennyiben a kezdeményező információs rendszere egy számítógépes hálózat, melyen belül az elektronikus iratok küldése külön alrendszer feladata, az irat feletti befolyása mindaddig fennáll, míg ezen alrendszer a külső kommunikációs hálózat hatáskörébe nem került.
Az elektronikus iratok fogadásának időpontját illetően a Törvény tekintettel van arra, hogy a címzett is saját információs rendszerrel rendelkezik, s a címzett személyiségétől függően ennek az információs rendszernek mérete is egy mobil telefontól egy globális számítógépes hálózatig terjedhet. A Törvény különbséget tesz azon esetek között, amikor:
- a címzett az elektronikus üzenetek fogadására e célra kialakított rendszert („iktató rendszert”) üzemeltet, ill. nem üzemeltet,
- az elektronikus irat az e célra kialakított rendszerbe lett címezve, vagy egy más, a címzett rendelkezésére álló információs rendszerbe.
Az ezen feltételek variációjaként megvalósuló esetek az alábbi modellekkel szemléltethetőek:
- a vállalat munkatársának címzett iratot az iktató rendszer fogadja ((2) bekezdés a) pont),
- a vállalat munkatársa az iktató rendszert megkerülve, saját információs rendszerében kapja meg az iratot ((2) bekezdés b) pont),
- a vállalat munkatársa otthon, saját számítógépén kap személyes érdekű elektronikus iratot ((2) bekezdés c) pont).
Az elektronikus irat fogadása időpontja és a visszaigazolás időpontja csak annyiban érintkeznek egymással, hogy a visszaigazolás időpontja nem lehet korábbi a fogadásénál, e két időpont azonban tartalmilag más megítélés alá esik.
Az elküldés és fogadás helye azért problematikus, mert a mobil informatikai eszközök (hordozható számítógép, WAP hálózati végállomás) használatakor az elküldés és fogadás valódi fizikai helye (pl. út közben) a partner szempontjából kevésbé releváns, mint a partner más elhelyezkedési paramétere (székhelye, munkahelye, lakása).
Az elektronikus irat származásának vélelmezése azért nem triviális, mert az elektronikus iratok küldésében ill. fogadásában gyakran olyan személyek vesznek részt, akik egymást nem ismerik, ill. a kommunikációs infrastruktúra is a kezdeményező ill. címzett személyektől függetlenül működik, az egyes elektronikus iratokra vonatkozóan sem a kezdeményező ill. címzett felek, sem a kommunikációs rendszert üzemeltető „közvetítők” sem rendelkeznek „nyomozási” lehetőséggel ill. felhatalmazással.
A származás vélelmezés két helyzetben merül föl:
- a bírósági előtti ill. bizonyítási eljárásokban az elektronikus irat kezdeményezőjének kilétét meg kell állapítani,
- a fogadó félnek saját érdekkörében el kell döntenie, kit tekintsen az elektronikus irat kezdeményezőjének.
A (3) bekezdés a címzett nézőpontjából adja meg a vélelmezési szabályt. A szabály megállapítja a címzett felelősségét a vélelmezés nyomán hozott döntésével kapcsolatban. Különösen fontos a b) pont, mely csak a „kezdeményezőhöz ill. a kezdeményező megbízottjához fűződő, ismert kapcsolata” esetén engedi meg a címzett számára azt a döntést, hogy a kezdeményezőnek tulajdonítson más személy által azonosított elektronikus iratot. Ez azt jelenti, hogy a címzett nem vélelmezheti az „A” személyt egy elektronikus irat kezdeményezőjeként, ha az irat a „B” személy önazonosításával és/vagy elektronikus aláírásával érkezik hozzá. Ezt a felelősséget erősíti a (4) bekezdés is („ha a címzett tudta vagy tudhatta volna”).
Az (5) bekezdés a kommunikációs rendszerek azon sajátosságára alapul, hogy működési zavarok esetén ismétlésre képes (ilyen a materiális postai küldemények esetében nem fordulhatott elő). A Törvény a címzett felelősségét állapítja meg a duplikátumok felismerésére vonatkozóan.
Az (1) bekezdés csak olyan mértékig részletezi, a hitelesítés szolgáltatás fogalmába tartozó tevékenységeket, amennyire a Törvény további részeinek értelmezéséhez szükséges.
A (2) bekezdés a hitelesítés szolgáltató jogállására vonatkozó azon alapelvet emeli be a Törvénybe, mely az EU direktívák egyik legfontosabb, és egyúttal legtöbbet vitatott eleme. Az engedélyezési eljárás nélküli szolgáltatás indítás lényeges kockázatot eredményez.
Az elektronikus iratokkal közvetetten vagy közvetlenül kapcsolatba kerülő személyek közül a jogi szabályozás szempontjából a hitelesítés szolgáltató a legfontosabb szereplő, mivel a teljes elektronikus tranzakció lebonyolító rendszer megbízható működése jórészt a hitelesítési kultúra fejlettségén, a hitelesítési intézmény rendszer iránti bizalom szintjén múlik. Alapvető érdek fűződik ahhoz, hogy a hitelesítés valóban hiteles legyen, pl. abban az értelemben, ahogy a közjegyző által hitelesített irattal szemben sem veti fel senki a hitelesség kérdését.
Az elektronikus kereskedelem szakirodalma egyértelműen azon az állásponton van, hogy a hitelesítés szolgáltatást tisztán piaci és üzleti alapon kell elképzelni, és semmilyen állami engedélyezési eljárásnak nincs helye, ezt kívánja az EU Direktíva is. Ezzel párhuzamosan minden forrás említi ill. ajánlja az önkéntesen vállalt akkreditálási eljárásokat, melyek a piaci alapon működő rendszerben a megbízhatóság biztosítékát képezik. Tekintettel arra, hogy az akkreditáló pozitív döntésével maga is felelősséget vállal az általa akkreditált szolgáltatóért, e mechanizmus nyilvánvalóan magasabb megbízhatóságot eredményez, mint egy hatóság általi akkreditálás.
A vállalkozási szabadság elve mellett azonban a jogalkotónak szem előtt kell tartania az állampolgári ill. a fontos közösségi érdekek védelmét is. Az EU Direktíva az elektronikus kereskedelemről 22. cikkely 3. bekezdése tételesen is felsorolja azokat az feltételeket, melyek fennállása esetén, az Információs Társadalmi szolgáltatások nyújtásának szabadsága korlátozható, s e feltételek között szerepel a közösségi érdek és a fogyasztó védelem érdeke. Ezen érdekek védelmét szolgálja az EU ajánlás által is szorgalmazott állami felügyeleti rendszer kiépítése.
A jogkövető magatartás alacsony szintjével kapcsolatos magyar tapasztalatok arra intenek, hogy jelentős kockázatot hordozna magában az a jogi szabályozás, mely megengedné, hogy mindennemű engedélyezési és akkreditálási kényszer nélkül működjenek hitelesítő szolgáltatók. Egy ilyen helyzetben a szolgáltatást kérő teljes mértékben kiszolgáltatottá válik, annál is inkább, mivel laikusként nem is láthatja át a hitelesítési mechanizmusok működését. A hitelesítési szolgáltatás beindítása minimális igényszint mellett is jelentős befektetést igényel, ez is annak a kockázatát növeli, hogy nem tisztességes szándékú vagy nem kellően tájékozott vállalkozók elfogadhatatlanul alacsony megbízhatósági szintű szolgáltatást ajánljanak.
- jogszabályban meghatározott minimális szakmai, műszaki és üzleti paraméterek felügyeleti hatósági eljárás történő megkövetelése,
- szabadon választható, de kötelező akkreditálás, vagy
- olyan, erőteljes felügyeleti jogok meghatározása – akár csak átmeneti időszakra – amelyek a minimálisra csökkentik a visszaéléssel jelentős kár okozásának kockázatát.
A Törvény az első és harmadik lehetőségre épül (lásd (3) és (4) bekezdés).
A jogszabályban meghatározott minimális követelmény rendszernek, melyet alacsonyabb szintű jogszabály fogalmaz meg, nem szabad túl mennie azokon a követelményeken, melyek a legegyszerűbb és legolcsóbb eszközök segítségével, de rendezett és felelősségteljes üzletmenet mentén történő szolgáltatáshoz szükségesek. A minimális követelmény rendszernek biztosítania kell a megfelelés elfogulatlan és részrehajlás mentes elbírálásának lehetőségét.
A felügyeleti döntés engedélyező vagy hiánypótlásra utaló lehet ((3). bekezdés). E bekezdés fontos, közvetett mondanivalója, hogy a Felügyelet nem engedélyezheti a tevékenység megkezdését hiánypótlásra való felszólítással egyidejűleg, de a Felügyelet nem hozhat végérvényesen elutasító döntést sem.
A felügyeleti jogok részletes rögzítésére a későbbi paragrafusokban ill. más jogszabályban kerül sor. Az elfogadott szabályozási koncepció szerint a felügyeleti hatáskör a Hírközlési Főfelügyelethez kerül.
A (5) bekezdés értelmében a hitelesítés szolgáltatás és más szolgáltatások között nincs összeférhetetlenség.
A (6) bekezdés a részvénytársasági formában való működést írja elő. A követelmény alapja az a tény, hogy a szolgáltatáshoz szükséges informatikai rendszer kialakításának minimális beruházási költsége is meghaladja a részvénytársaság alapításához szükséges, minimális jegyzett tőke értékét. Betéti vagy korlátolt felelősségű társasági működés lehetővé tétele az elégtelen minőségű szolgáltatás nem elfogadható mértékű kockázatot jelentené.
A (7) bekezdés a szolgáltatás tervszerű megszüntetésével kapcsolatos szabályokat fogalmazza meg. A tervszerű a megszüntetés, ha a szolgáltatónak megvannak azok az erőforrásai, melyek a megszüntetés lebonyolításához szükségesek. A szolgáltatás megszüntetése tehát nem feltételezi sem a végelszámolást, se a felszámolást, a szolgáltató bármilyen okból (profil váltás, cég-felvásárlás stb.) dönthet a szolgáltatás megszüntetése mellett. A szolgáltatás megszüntetése elsősorban a tanúsítvány könyvtárak karbantartására vonatkozó szerződéses kötelezettséget érinti, hiszen az aláíró eszköz és tanúsítvány kibocsátás egyszeri és már lezárult aktusnak tekinthető. Az elektronikus társadalom érdeke, hogy ilyen esetekben az aláíró eszköz tulajdonosok a legkevesebb bonyodalomnak legyenek kitéve, lehetőleg a könyvtár karbantartás változatlan infrastrukturális feltételekkel folyjon tovább. A váltás lebonyolítása során az élő szerződéseket meg kell szüntetni és az ügyfelekkel az új szolgáltatónak kell szerződést kötnie. E folyamatban a Felügyelet koordinációs segítséget nyújthat, ezt célozza a szolgáltató bejelentési kötelezettsége.
A Szolgáltatási Szabályzat a hitelesítés szolgáltatás jogi szabályrendszerének legalacsonyabb szintű, de mégis rendkívül fontos eleme. A hitelességi szolgáltatók Szolgáltatási Szabályzata tartalmaz minden olyan információt, mely konkrét technológiákhoz, szabványokhoz, eljárásokhoz kapcsolódik, pl. kulcs hordozó média, kulcs regisztráció, tárolás, kezelés, igazolások kezelése stb. Ezen a szinten a technológia sokrétűsége és folyamatosan gyors változása miatt általánosabb, magasabb szintű szabályozás nem valósítható meg. Emiatt a szabályozásnak – hétköznapi értelemben talán legizgalmasabb – kérdései „eltűnnek” a nyilvános jogi szabályozás elől, és oda kerülnek, ahova valóak, szolgáltatási tevékenység intézményen belüli, szakmai köreibe. E kérdés azért izgalmas, mert a szélesebb szakmai nyilvánosság előtt a szabályozás lehetséges megoldásairól kialakult viták leginkább az e szinten megjelenő kérdéseket érintik, melyeknek közvetlen és jogszabályi szintű szabályozása valójában nem is lehetséges.
A Szolgáltatási Szabályzat a hitelesítés szolgáltató alapdokumentuma, melynek nyilvános részeit korlátozás nélkül az ügyfelek rendelkezésére kell bocsátania, a teljes dokumentum pedig meghatározó jelentőségű a felügyeleti és akkreditálási kapcsolatban.
A 14. § azokat a kötelezettségeket foglalja össze, melyek a hitelesítés szolgáltatót a felügyelő szervezettel szemben terhelik. E kötelezettség együttese ill. szigorú érvényesítése lehetővé teszi, hogy a felügyelet teljes mértékben átlátható szolgáltatásit és szolgáltatási üzletvezetést követeljen meg.
A szolgáltatói kötelezettségek közül a mindennemű dokumentáció, ezen belül a teljes Szolgáltatási Szabályzat átadására, mindennemű információ rendelkezésre bocsátására, a kötelező adatszolgáltatásra, a közvetlen szakmai irányíthatóságra vonatkozó szabályok jelzik a felügyelet szigorának erejét. A hitelesítés szolgáltatási ág országos konszolidációja után, várhatóan néhány évvel a Törvény hatálybalépése után a Törvény a felügyelettel szembeni kötelezettségek körét korlátozhatja.
A Kormányhatározat 4. pontja előírja, hogy a HIF készüljön fel a hitelesítés szolgáltatók felügyeletével és minősítésével kapcsolatban felmerülő feladatok ellátására. A minősítési eljárás során a Felügyelet megállapítja, hogy a szolgáltató megfelel-e a Felügyelet által a minősítettség feltételeként meghatározott követelményeknek.
Az (1) bekezdés a szolgáltató számára azt a garanciát jeleníti meg, hogy a minősítési eljárás vállalásával kapcsolatos döntését a Felügyelet nem befolyásolhatja.
Szintén a szolgáltató számára jelent garanciális rendelkezést a (2) bekezdés, mely előírja, hogy a Felügyelet köteles a minősítési követelmény rendszert nyilvánosságra hozni.
A (3) bekezdés értelmében a minősítés egy konkrét, előre meghatározott követelmény rendszernek történő megfelelést feltételez. E megfelelésnek mind a Szolgáltatási Szabályzat, mind a gyakorlat terén fenn kell állnia.
Ugyancsak garanciális jellegű a (4) bekezdés, mely kimondja, hogy amennyiben a szolgáltató Szolgáltatási Szabályzata és gyakorlata összhangban van a minősítési követelményekkel, a Felügyelet nem tagadhatja meg a minősítést.
A sokoldalú garanciára azért van szükség, hogy a szolgáltató lehetőleg semmilyen körülmények között ne érezhesse, hogy ki van szolgáltatva a Felügyeletnek, mint hatóságnak. Mindazonáltal a garancia nem lehet teljes, mert a minősítési követelmények olyan megfogalmazása, mely a minősítés céljára általában és részleteiben megfelel, rendkívül nehéz. Nyilvánvalóan folyamatos vitában fog kialakulni ill. alakulni a követelmények rendszere, s mindig lesznek érvek, melyek adott követelményt indokolatlannak vagy indokolatlanul szigorúnak ítélnek, s a követelményeket összeállítók szubjektív ízlése sem zárható ki teljes mértékben.
Az (5) bekezdés értelmében a Törvény alkalmazásában minősített hitelesítés szolgáltató az a szolgáltató, amelynek minősítése a hitelesítés szolgáltatási profiljába tartozó összes szolgáltatását illetően sikeresen lezajlott. E rendelkezés célja az, hogy a szolgáltató ne téveszthesse meg ügyfeleit azzal, hogy egyik vagy másik szolgáltatási tevékenysége minősítésével általában minősített szolgáltató színében tünteti fel magát.
A szolgáltatás minősítetté tételének legfontosabb célja, hogy a szolgáltató minősített tanúsítványt bocsáthasson ki (lásd (6) bekezdés). A tanúsítvány minősítettségének egyik feltétele a szolgáltató minősítése, a másik pedig az, hogy a tanúsítvány minősített aláírással írja alá. Ez utóbbi feltétel a szolgáltatóról, önmagáról nem sokat árul el, legfeljebb annyit, hogy nem sajnálta a pénzt a minősített aláírás megvételétől.
A minősített hitelesítés szolgáltató státus időtartamát nyilvánvalóan nem lehet korlátlannak tekinteni, ugyanakkor nem célszerű a minősítés túlságosan gyakori ismétlésével feleslegesen erőforrásokat lekötni. Az időtartam meghatározásánál a szolgáltatók várható számából és a Felügyelet e célra rendelkezésre álló kapacitásából kellene kiindulni. Miután a Törvény elfogadásakor ezen adatok még nem állnak rendelkezésre, irányadónak tekinthető az az időtartam, amely alatt egy szolgáltató tevékenységében spontán folyamatok révén jelentős elhangolódás következhet be.
Amennyiben a Felügyelet akár az ismételt minősítési eljárás, akár a tervszerű, akár eseti ellenőrzés során olyan információk birtokába kerül, melyek fényében egyértelmű, hogy a szolgáltató a minősített státusra érdemtelenné vált, a minősített státus megszüntethető.
A hitelesítés szolgáltatók a magán szféra képviselői, akik mások által igényelt szolgáltatásokat nyújtanak saját hasznukra. Piaci viszonyok között a szolgáltatás minősége biztosításának egyik fontos eszköze az önkéntesen vállalt akkreditálás. A hitelesítés szolgáltatás minősége nem csak az egyes szolgáltatás igénybevevők, hanem az egész társadalom számára fontos érdek, ezért az akkreditálás kérdése a Törvény szempontjából releváns szabályozási kérdés.
Az EU irányelvek hangsúlyozzák az akkreditálás önkéntességének fontosságát („a szolgáltatók szabadon távol maradhatnak ill. hasznot húzhatnak az ilyen akkreditálási eljárásoktól ill. eljárásokból”, „akkreditáló eljárás vállalására felügyeleti keretek között sem kötelezhetőek a szolgáltatók”), ezért a Törvény a kötelező akkreditálás lehetőségét még választható módon sem kívánja felvetni.
A paragrafus első bekezdése az akkreditálás vállalásának önkéntességét és az akkreditálandó szolgáltatási terület szabad megválasztásának lehetőségét tételezi. A szabályozás e módja közvetve lehetővé teszi, hogy az akkreditálás részleges sikere esetén a szolgáltató csak azokra a szolgáltatásaira kapjon akkreditációs tanúsítványt, melyek akkreditálása sikeres volt.
Az akkreditálási eljárásoktól elvárható, hogy az akkreditált szolgáltató pontosan meghatározott minőségi és biztonsági követelmények mentén nyújtsa szolgáltatását, de az ügyfél alapvető érdeke mégiscsak az, hogy a hitelesítés szolgáltatással szembeni alapkövetelmény, a „hitelesség” biztosítása minden kétséget kizáróan teljesüljön. Az akkreditálás célja e megközelítésben csak az lehet, hogy az akkreditáló felelősséget vállal azért, hogy, ha az ügyfelet az akkreditálás során jónak elismert, és pontosan az akkreditált eljárás révén nyújtott szolgáltatás nyomán kár éri, e kár megtérítését részben vagy egészében vállalja. A (3) bekezdésben megfogalmazott elvárás nem írja elő a felelősség átvállalását, csak az ezzel kapcsolatos nyilatkozatot.
A (4) bekezdés definiálja a minősített hitelesítés szolgáltatót. E definícióra azért van szükség, mert az EU irányelvek az elektronikus iratok jogi elismertsége feltételeként elvárják a minősített aláíró eszköz mellett a minősített hitelesítő szervezet által kibocsátott minősített tanúsítvány létét. A Törvény alkalmazásában minősített hitelesítés szolgáltató az a szolgáltató, amelynek akkreditálása a hitelesítés szolgáltatási profiljába tartozó összes szolgáltatását illetően sikeresen lezajlott. E szabály tehát hangsúlyozza a szolgáltatási spektrum teljességére vonatkozó sikeres akkreditálást
A meghatározásból adódó minősítettség relatív fogalom. A Törvény nem határoz meg egy olyan, abszolút minőségi skálát, amelyen az akkreditálás eredménye alapján a szolgáltatás „jóságának” foka definiálható lenne, ilyen skála feltehetően nem is létezik. Elképzelhető lenne a szolgáltatás különböző paramétereit figyelembe vevő relatív skála használata, amennyiben a már akkreditált szolgáltatók valamilyen akkreditálási hierarchiába rendezettek lennének, s az akkreditáló ezen hierarchiában elfoglalt helye kijelölné az akkreditált szolgáltató szintjét. Ebben a relatív rendszerben csak azt lehetne állítani, hogy az „A” szolgáltató „jobb” mint a „B” szolgáltató, azt, hogy „B” mennyire jó, s „A” „mennyivel jobb”, már nem. Az akkreditálással kapcsolatban kialakult nemzetközi gyakorlat azonban elismeri a kereszt akkreditálást is, amelynek során a meglévő akkreditálási szinttől független szolgáltatók egymást kölcsönösen akkreditálhatják, az ilyen akkreditálás eredménye objektív mércével nyilvánvalóan nem értékelhető. Súlyosabb ellenérv az akkreditálási skála használatával szemben az, hogy az egyes szolgáltatók „besorolása” során nehezen lehetne kiiktatni a szubjektív elemeket. Sokkal inkább az várható, hogy hosszabb idő alatt, tudatos információ gyűjtés nyomán kialakul egy olyan, abszolút jellegű minőségi mérce (hasonlóan a hitelintézetek kategorizálásához), mely a pártatlan és magas presztízsű minősítő társaságok demokratikus gyakorlatán alapul.
Az (5) bekezdés a minősített hitelesítés szolgáltató státust egy évben korlátozza. Az egy éves érvényességi idő összhangban van a minőségügyi tanúsítványok általánosan elfogadott érvényességi idejével.
Az (1) bekezdés értelmében az ügyfél kérelmére a szolgáltató szolgáltatási szerződés keretében az ügyfél azonosítására alkalmas adatok felhasználásával a 12. § (1) bekezdésében foglalt szolgáltatás nyújtására vállalkozik. A Törvény nem részletezi az ügyfél azonosítására szolgáló adatok körét, azt ezáltal a Szolgáltatási Szabályzat hatáskörébe utalja. A szolgáltató ésszerű keretek között maga szabhatja meg, hogy az ügyféltől milyen megbízhatósági szintű tanúsítvány kiadásához milyen adatokat követel meg. A megbízhatóság legalsó szintje kb. az elektronikus postán keresztül, személyes megjelenés nélkül közölt adatok alapján kiállított tanúsítvány. Magas megbízhatósági szintű tanúsítványhoz a személyes megjelenésen, közokirattal igazolt személyazonosságon túl más (pl. a személyazonosságot igazoló okmányok nem hamisított voltát igazoló) információkra is szükség lehet.
A (2) bekezdés azt a szokásos követelményt fogalmazza meg, hogy a szolgáltató köteles ügyfelét a szolgáltatásnak az ügyfél szempontjából mérvadó sajátosságairól tájékoztatni, általában az ügyfelet abba a helyzetbe hozni, hogy képes legyen megfelelő döntést hozni a számára szükséges szolgáltatás fajta kiválasztása során. A tájékoztatási kötelezettség egyrészt az aláíró eszköz minőségére, biztonsági szintjére (minősített-e), másrészt a tanúsítvány minőségére (minősített-e) terjed ki. A tájékoztatási kötelezettség lényege az, hogy az ügyfél legyen tisztában azzal, hogy jogvita esetén a szolgáltatótól kapott aláíró eszközzel aláírt elektronikus irat milyen bizonyító erővel rendelkezik (ti. a teljes bizonyító erejű magánokiratéval vagy annál gyengébbel). A Törvény nem rögzíti a tájékoztatás konkrét módját (a részletes szerződéses feltételeket tartalmazó szerződés, részletes tájékoztató átadása, szóbeli tájékoztatás, internet URL megadása), ezzel azt a Szolgáltatási Szabályzat hatáskörébe utalja.
A(4) bekezdés az un. felülhitelesítés intézményét határozza meg. A minősített hitelesítés szolgáltató aláíró eszközt és hozzá tartozó tanúsítványt bocsáthat ki más, szintén minősített szolgáltató számára. A felülhitelesítésnek elsősorban külföldi szolgáltató felülhitelesítése esetében van jelentősége, mert ekkor a külföldi szolgáltató által kibocsátott tanúsítványok a magyar jog szempontjából a magyar szolgáltató által kibocsátottakkal azonos jogi elbírálás alá esnek.
A felülhitelesítés és akkreditálás egymással rokon fogalmak ill. eljárások, de nem azonosak. Felülhitelesítésre jellemzően akkreditálás eredményeként kerülhet sor, de az akkreditálás nem előfeltétel. Az akkreditálás esetében nem áll fenn a felülhitelesítő és felülhitelesített szolgáltatók felelősségének egyetemlegessége.
A (5) bekezdés azt a követelmény fogalmazza meg, hogy a szolgáltató köteles megfelelő intézkedéseket foganatosítani az aláírás kibocsátási eljárással kapcsolatosan tárolt ill. a nyilvánosságra hozott adatok hamisításának és illetéktelen manipulálásának megakadályozása érdekében. A követelmény kielégítésének tipikus módja az, amely kihasználja az elektronikus aláírás azon sajátosságát, hogy az aláírt információ módosulását biztonsággal kimutatja. A szolgáltató az általa kezelt adatokat saját elektronikus aláírásával ellátott iratként tárolja mind saját, bizalmas, mind a tanúsítványok nyilvános nyilvántartásában.
Az elektronikus aláíró eszköz elvileg csak egy példányban hozható létre, s azt az egy példányt az ügyfél számára át kell adni. Ez a követelmény a valóságban nem feltétlen tartható. Pl. a file formában készülő aláíró eszköz átadásakor törvényszerűen másolat készül, s ezt a másolatot kapja meg az ügyfél. Amennyiben a szolgáltató által használt technológia olyan, hogy másolat készíthető vagy bizonyos helyzetekben automatikusan készül, a szolgáltatónak gondoskodnia kell a másolatok haladéktalan és végleges megsemmisítéséről. Bár az aláíró eszköz unikalitásának követelménye nem technológiai jellegű, a követelmény kielégítésének módja a használt technológia részleteitől is függ, ezért a részletek eljárási szabályok meghatározására a Szolgáltatási Szabályzatban kell kitérni.
Az (1) paragrafus a tanúsítvány szokásos tartalmát rögzíti. Amint a „legalább” szó is jelzi, hogy a szolgáltató más adatokat is igénybe ill. figyelembe vehet.
A tanúsítvány a személy azonosítását illetően csak a nevet és egy, a szolgáltató belső nyilvántartásában szereplő azonosítót tartalmaz. A szolgáltatás keretében a személy azonosítására más adatokra is szükség lehet, nem annyira az azonos nevűek megkülönböztetése, mint inkább a mennél határozottabb személy azonosítás érdekében. A különböző személyiség típusokat (természetes, jogi stb.) illetően különböző tartalmú adatok rögzítésére kerülhet sor. Ezek azonban sem a tanúsítvány részeként, sem másként a szolgáltatás keretében nem kerülhetnek nyilvánosságra.
Az ügyfél kérésére a szolgáltató a kérelmező neve helyett fantázianevet köteles a tanúsítványban szerepeltetni. A tanúsítványnak jelölnie kell a név fantázianév voltát.
A tanúsítványnak a szolgáltató által karban tartott tanúsítvány nyilvántartásban történő kikereséséhez csak a szolgáltató által adott azonosító szükséges. Az azonosító által kikeresett tanúsítványban szereplő név alapján állapíthatja meg a címzett, hogy valóban az a személy látta-e el elektronikus aláírással az iratot, akinek neve az irat szövegében kezdeményezőként megjelenik.
A szolgáltató adatainak megjelenítése azt a célt szolgálja, hogy a címzett – kétség esetén – további információkat szerezhessen a tanúsítvánnyal kapcsolatban. Ezen információk között a szolgáltató Szolgáltatási Szabályzatának nyilvános részét kell első helyen említeni. A szolgáltató országának meghatározása a kezdeményező által követett jog azonosítására szolgál.
A tanúsítvány egyik legfontosabb alkotóeleme az aláírás ellenőrző eszköz (lásd d) pont). Ennek felhasználásával képes a címzett ellenőrizni, hogy az elektronikus iratot a kezdeményező valóban a tanúsítványhoz tartozó elektronikus aláíró eszközzel írta-e alá, ill. az iratot az aláírás óta nem módosították-e.
Az e) – h) pontokban felsorolt adatok azt a célt szolgálják, hogy a címzett meggyőződhessen arról, hogy a kezdeményező által használt aláírás megfelelő-e az adott elektronikus irattal kapcsolatban. Ezek az adatok a tanúsítvány érvényét korlátozzák, s ezzel hitelesítő erejét növelik. Igen nagy súlyú információ hitelesítésére pl. kérhető egy napra szóló, speciális kibocsátási célt és összeghatárt megjelelő tanúsítvány.
A nem minősített tanúsítványoknak a Közhitelességi Felügyelet által megállapított, s a Szolgáltatási Szabályzatba kötelezően befoglalandó összeg korlátozást kell tartalmazniuk. Ennek a rendelkezésnek az a célja, az ügyfelek érdekeinek védelme.
Az ügyfél kérésére a szolgáltató köteles a tanúsítványhoz csatolni az adott tanúsítványhoz tartozóan a szolgáltató felelősségvállalására vonatkozó információk elérhetőségi adatait. Az elérhetőségi adatok általában Internet URL (universal resource locator ) típusú cím információk, melyek lehetővé teszik, hogy a címzett részletesen megismerhesse a szolgáltató szolgáltatási feltételeit, ezek között felelősség vállalásra vonatkozó adatokat is. Az elérhetőségi információ megvalósítja a hivatkozással történő befoglalás esetét (lásd 4. §)
A (4) bekezdés azokra az elektronikus aláíró eszközökre ill. tanúsítványokra vonatkozik, melyeket hatósági, önkormányzati, gazdasági vagy egyéb szervezetek munkatársai kérnek az adott szervezethez való tartozásuk alapján. Figyelemre méltó, hogy nem a szervezet kér munkatársa számára aláírást, hanem a személy kér maga számára, úgy, hogy igazolja a szervezet egyetértését a személy és a szervezet közötti kapcsolat adatainak megjelenítését illetően.
A 19. § bevezeti a minősített tanúsítvány fogalmát. Minősített hitelesítés szolgáltató ajánlhat ill. készíthet minősített tanúsítvánnyal ellátott elektronikus aláírást. Egyúttal meghatározza a minősített tanúsítvány kritériumait: a minősítettség jelzése az adatok között és minősített aláírással történő aláírás.
Az EU irányelvek értelmében teljes bizonyító erejű az az elektronikus irat, melyet minősített szolgáltató által kibocsátott, minősített tanúsítvánnyal tanúsított, minősített aláíró eszközzel írtak alá. A korábbi szabályokban láttuk, hogy a minősített elektronikus aláírás kritériumai alapvetően műszaki jellegűek, és a Törvény melléklete által meghatározottak. A szolgáltató minősítettségének kritériuma az, hogy hitelesítési szolgáltatásának teljes egésze érvényesen akkreditált legyen. A minősített tanúsítvány minősítettségének kritériuma azonban nem önmagában, mint tanúsítványban, hanem abban található, hogy kibocsátója minősített szolgáltató, aki minősített aláírással írja alá.
A címzett oldaláról a probléma úgy jelenik meg, hogy abból az elektronikus iratból kiindulva, amelyet ő fogad, milyen, az irat hitelességére vonatkozó információkhoz juthat el. A címzettől nem várható el, hogy kapcsolatba lépjen a hitelesítés szolgáltatóval, s a szolgáltatótól sem várható el, hogy interaktív módon rendelkezésre álljon. A hitelesítési információknak abban a rendszerben kell megjelenniük, amelyben az elektronikus irat kommunikációjára sor került.
A címzett oldaláról nézve a Törvény által feltételezett elektronikus irat kommunikációs modell az alábbi aláírás ellenőrzési eljárást teszi lehetővé:
- a fogadott elektronikus irathoz a címzett a nyilvános tanúsítvány katalógusban megkeresi a tanúsítványt, és megállapítja, hogy az tartalmazza-e a minősítettségre utaló jelet,
- a tanúsítványban foglalt ellenőrző eszközzel ellenőrzi az irat származását ill. érintetlenségét,
- a tanúsítványban, mint elektronikus iratban foglalt „kezdeményező”, azaz, a szolgáltató azonosítója alapján megkeresi a szolgáltató aláíró eszközéhez tartozó tanúsítványt, és megállapítja, hogy az tartalmazza-e a minősítettségre utaló jelet,
- az utóbbi tanúsítványban foglalt ellenőrző eszközzel ellenőrzi a tanúsítvány származását ill. érintetlenségét …
Az ellenőrzési folyamat addig folytatható, amíg az akkreditációs lánc el nem éri a legmagasabb szinten levő, már nem akkreditált szolgáltatót. A címzett a minősítettségi viszonyokat igazoló adatok közül csak a láncolatban szereplő aláírás tanúsítványok minősítettségére vonatkozó jeleket kaphatja meg: általában is a címzett csak a tanúsítványok láncolatában rendelkezésre álló adatok alapján következtethet arra, hogy az általa fogadott elektronikus iratban foglalt információ mennyire tekinthető hitelesnek.
Bírósági vagy nyomozási eljárásban a lehetőségek mások, ekkor a tanúsítványokban nem foglalt információk is megszerezhetőek, pl. ellenőrizhető, hogy az aláíráshoz használt eszköz valóban minősített volt-e, hogy a szolgáltató valóban rendelkezett-e a minősítettséghez szükséges akkreditációval stb.
A tanúsítványok nyilvános nyilvántartása a nyilvántartásoknál általában elvárható karbantartási tevékenységeket igényli. Karbantartásra az alábbi események adnak okot:
- a tanúsítvány adatainak változása,
- tanúsítvány felfüggesztése ill. érvénytelenítése.
A karbantartási tevékenységek tömegszerűen is jelentkezhetnek az alábbi esetekben:
- szolgáltató megszűnése, ennek kapcsán tanúsítványok átadása más szolgáltatónak vagy a Közhitelességi Felügyeletnek,
- Szolgáltatási Szabályzat változása,
- a felügyeleti szabályozás változása,
- akkreditálás érvényességének lejárata esetén újbóli akkreditálás elmaradása.
Az érvénytelenített ill. felfüggesztett tanúsítványok a címzettek számára elérhetőek maradnak (kivéve, ha a megszűnő szolgáltató ellenkező értelemben nem intézkedik).
A szabályozás célja annak biztosítása, hogy a tanúsítvány nyilvántartás karbantartási folyamatai a lehető legkisebb mértékben befolyásolják – különösen korlátozzák – az elektronikus iratok címzettjeit a fogadott iratok hitelességének ellenőrzésében.
A szolgáltató felelőssége határainak meghatározásánál az alapelv az, hogy a szolgáltató felelőssége csak a tevékenységi körébe tartozó okok miatt állapítható meg. Mindazok a kockázatok, melyek az elektronikus iratok felhasználása során jelenhetnek meg (az aláíró eszközzel való visszaélés, az irat meghamisítása akár az elküldés előtt, akár a közvetítés során, akár a fogadás után, az irat elkallódása, sokszorozódása, a kezdeményező ill. a címzett által elkövetett irat kezelési eljárási hibák stb.), nem háríthatóak a szolgáltatóra. A viszonylag részletes, felsoroló fogalmazás nem annyira a felelősségi kör pontosabb behatárolását célozza (lásd a „különösen” felsorolás kezdetet), mint azoknak a legfontosabb, reális kockázatoknak jelzését, melyekkel a kezdeményezőnek és címzettnek számolnia kell. Az (1) és (2) bekezdésben foglalt tartalom másképpen is kezelhető lenne, pl.
- elhagyhatóak a felsorolások,
- a teljes részletezettség igényével kibővíthetőek a felsorolások,
- a felsorolások áthelyezhetőek a törvény indoklásába.
A szolgáltató felelősségének meghatározása során meg kell vizsgálni, hogy a szolgáltató az aláíró eszköz és tanúsítvány kibocsátásakor az érvényes jogszabályok, felügyeleti előírások és az elfogadott Szolgáltatási Szabályzat szerint járt-e el.
A (3) bekezdés azt a követelményt fogalmazza meg, hogy felülhitelesítés esetén a felelősség a szolgáltatót és felülhitelesítőjét egyetemlegesen terheli.
A (4) bekezdésben megfogalmazott szabály szerint a szolgáltató nem felelős a nem minősített elektronikus aláíró eszköz használatával összefüggésben keletkezett károkért. A nem minősített elektronikus aláíró eszköz egyik fontos sajátossága, hogy az a szoftver, amely az eszköz használatakor működik, a számítógépes rendszerben nem feltétlen kellően védett (védhető), s illetéktelenek viszonylag könnyen hozzáférhetnek, lemásolhatják, tárolhatják, módosíthatják, használhatják. (Az aláíró eszközben foglalt szoftver hozzáférhetetlensége éppen a minősítettség egyik fontos kritériuma). E szabály célja, hogy az ügyfeleket arra ösztönözze (s egyúttal a szolgáltatókat is olyan üzletpolitika kialakítása felé terelje), hogy komolyabb kockázatot rejtő ügylethez ne használjanak nem minősített aláíró eszközt.
A Szolgáltatási Szabályzatnak kell tartalmaznia annak szabályait, hogy az ügyfelet milyen módon és milyen részletességgel kell tájékoztatnia az aláíró eszköz és tanúsítvány használatának kockázatairól.
A (5) bekezdésben foglaltak szerint a szolgáltató köteles gondoskodni arról, hogy a felelősségi körében keletkezett károkra biztosítási fedezettel rendelkezzék. A fedezet mértékének meghatározásáról, a fedezetet képező eszközök elfogadható fajtáiról és a fedezet elhelyezés módjáról a felügyeleti szabályozás keretében kell intézkedni.
A Törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. térvény 2. és 16. § paragrafusára való hivatkozással rögzíti a hitelesítés szolgáltatás és az adatvédelem összefüggését:
- a szolgáltatás során gyűjtött adatok személyes adatnak minősülnek és jogi védelmet a élveznek,
- az ügyfelek érdekeinek védelme érdekében azonban e jogok korlátozhatóak, a bírósági és bűnüldözési célokra a szolgáltató az általa kezelt személyes adatokat köteles kiszolgáltatni.
Az EU irányelvek ajánlják a hitelesítés szolgáltatási piac felügyeletének állami megszervezését. A felügyelet célja nem csak a hitelesítési szolgáltatásokkal kapcsolatos társadalmi kockázatok minimalizálása, hanem sokkal inkább a szolgáltatási piac fejlesztése ill. optimális keretek között tartása. Ezt a szándékot fejezi ki a célok felsorolása, mely következetesen kerüli a korlátozó értelmű megfogalmazást.
A szabályozási koncepció már kimondta, hogy a felügyeleti funkciókat a Hírközlési Felügyelet látja el, ezt rögzíti a (2) bekezdés. Miután a Törvény nem hoz létre új felügyeleti szervezetet, nem kell rendelkezni a felügyelet jogállásáról és felügyeletéről.
A Felügyelet feladatait a fentiek miatt a Hírközlési Felügyelet már létező szabályozási kereteiben (232/1997. (XII. 12.) Kormányrendelet) kell elhelyezni, ezt rögzíti a (3) bekezdés.
A 232/1997 (XII. 12.) Kormányrendelet 3. §-a a Főfelügyelet meglévő feladatait a hatósági jogkör, egyéb, nyilvántartási, felügyeleti tevékenység, hírközlési szakfeladat stb. bontásban rendezi el. A hitelesítés szolgáltatással kapcsolatos feladatok e rendben célszerű módon nem helyezhetőek el, indokoltabb ezen feladatok külön egységben, egységes szerkezetben való részletezése. Ezért a (4) bekezdés rögzíti, hogy a Felügyelet – a hitelesítés szolgáltatók felügyeletét illetően – milyen jogkörökkel rendelkezik.
Az (5) bekezdésben megfogalmazott szabály azt a célt szolgálja, hogy a szolgáltatók nem bújhassanak ki a felügyelet alól oly módon, hogy a Törvény 11. § (1) bekezdésben meghatározott tevékenységeknek csak egy részét végzi.
A 232/1997. (XII. 12.) Kormányrendelet a postáról, a távközlésről és a frekvenciagazdálkodásról szóló törvényekből eredő felügyeleti feladatokat az 1. §-ban rendeli a hírközlési felügyeleti szervezet rendszer (Hírközlési Főfelügyelet, Budapesti Hírközlési Felügyelet, területi felügyeletek) egyes egységeihez. Miután a hivatkozott törvények és az elektronikus aláírás törvény eltérő jellegű feladatokra vonatkoznak, és, mivel a hitelesítés szolgáltatók felügyelete e szervezeti rendszeren belül egyértelműen csak a Hírközlési Főfelügyelethez kötődik, célszerű a feladat definíciót egy elkülönített, 1A paragrafusba foglalni. E paragrafus beiktatására csak a Kormányrendelet jelenlegi szerkezetéhez történő illeszkedés érdekében van szükség.
Az EU irányelvek előírják, hogy a tagállamok ne hozzanak olyan rendelkezést, mellyel a hitelesítés szolgáltatást előzetes engedélyezés tárgyává teszik. Ugyanakkor kívánatosnak tartják önkéntes akkreditálási eljárások használatát és állami felügyelet kiépítését.
A szabályozási koncepciót elfogadó Kormányhatározat 1. d) pontja szerint „Elektronikus aláírás hitelesítést adott jogszabályi feltételeknek megfelelő gazdálkodó szervezet nyújthat”…
A szolgáltató Szolgáltatási Szabályzatának tartalmával szembeni minimum követelményként a Felügyeletnek meg kell határoznia azokat az adatokat, melyeket a szolgáltatónak önmagáról és szolgáltatásairól az ügyfelek számára nyilvánosságra kell hoznia, különösen:
f) a szolgáltató cégadatait és elérhetőségi adatait,
g) a szolgáltatások fajtáit, felhasználásuk lehetséges módjait és korlátjait,
h) a szolgáltatások árát,
i) a felelősség vállalással kapcsolatos információkat,
j) a szolgáltatások adatvédelemmel és adatbiztonsággal kapcsolatos információit.
A Törvény előterjesztésekor a nyilvántartásba vétel egyetlen törvényi kelléke az alapító okirat. Az alapító okiratból megállapítható, hogy a jogszabályoknak megfelelés követelménye teljesül-e. A Törvény előterjesztésekor egyetlen ilyen törvényi követelmény áll fenn: hogy a szolgáltató részvénytársasági formában működjék.
A hitelesítés szolgáltatás intézmény rendszerével kapcsolatos információk nyilvánossága az információs társadalom kiegyensúlyozott működésének alapvető feltétele. A nyilvánosságot feltételező információk köre természetesen nem merül ki a szolgáltatók lajstromában. A (3) bekezdésben megfogalmazott követelmény pusztán a Felügyelet minimális kötelességeként írja elő a lajstrom vezetését.
A hitelesítés szolgáltatási tevékenység megkezdését a szabályozás a 3A1 §-ban vázolt minimális követelmények teljesítéséhez köti. Azok a szolgáltatók, akik szolgáltatásukat minősített szolgáltatóként kívánják nyújtani, minősítésüket kérhetik. A minősített szolgáltatóval szembeni követelményként a Felügyeletnek meg kell határoznia azokat az előírásokat, melyeket a Szolgáltatási Szabályzat nyilvános ill. bizalmas részének tartalmaznia kell, különösen:
e) a szolgáltatások elvárt eljárási, műszaki és biztonsági jellemzőit,
f) a eljárási, műszaki és biztonsági jellemzők közül azok meghatározását, melyeket a Szolgáltatási Szabályzat nyilvános részének kell tartalmaznia,
g) a szolgáltatási szerződés kötelező elemeit,
h) a szolgáltató akkreditálásával kapcsolatban nyilvánosságra hozandó adatokat.
A minősítési követelmény rendszer elkészítésének központi problémája a részletezettség és konkrétság szintje. A követelményeknek legalább olyan mértékben részletezettnek és konkrétnak kell lenniük, hogy adott esetben pontosan meg lehessen állapítani, hogy a szolgáltató előírásai és gyakorlata megfelelnek-e ezen előírásoknak. Ugyanakkor a követelmények nem lehetnek túlságosan részletezőek és konkrétak, mert ekkor az a veszély fenyeget, hogy a szolgáltató által megvalósított megoldás érdemben megfelel a követelmény rendszernek, de a részletek szintjén jelentkező eltérés miatt elfogadhatatlannak minősül.
A minősítési követelményrendszer nem csak a dokumentumként elkészítendő Szolgáltatási Szabályra vonatkozik, hanem a szolgáltatási gyakorlatra is. Nem elegendő tehát a Szolgáltatási Szabályzat azon rendelkezése, hogy „az aláíró eszközt megfelelően biztonságos módon kell a kérelmezőnek átadni”, hanem a „megfelelően biztonságos” módot meg is kell valósítani.
A szolgáltató minősítésének lebonyolításával kapcsolatos szabályozás első bekezdése a szolgáltató számára nyújt garanciát arra vonatkozóan, hogy a Felügyelet részéről nem kell váratlan követelménnyel szembesülnie. Az (1) bekezdés lényegi mondanivalója, hogy a Felügyelet a minősítési eljárást szabályozott módon hajtja végre. A Törvény 15. § (2) bekezdése értelmében ezt a szabályozott módot a Felügyelet nyilvánosságra hozza. A szolgáltató tehát nem kerülhet olyan helyzetbe, hogy a minősítési folyamat lebonyolítása közben derül fény minősítési követelményekre. Ugyanezen bekezdés másik fontos motívuma, hogy a minősítési eljárásnak a Főfelügyelet Szervezeti és Működési Szabályzata részeként – lényegében a minősítésre való felkészülés kezdetétől – a Felügyeleten ill. a szolgáltató részére rendelkezésre kell állnia, a Felügyelet nem bonyolíthat le minősítési eljárást előzetesen elfogadott szabályzat nélkül.
A Törvény 15. § (3) bekezdése tartalmazta azt az előírást, mely szerint a minősítés során a Főfelügyelet ellenőrzi mind a Szolgáltatási Szabályzat előírásainak, mind a szolgáltatási gyakorlatnak a megfelelőségét. A hangsúly a kettősségen van. Nem elegendő annak megállapítása, hogy a szolgáltatási gyakorlat összhangban van a minősítési követelményekkel. A minősítő ítélet mondanivalója modellszerűen: a Szolgáltatási Szabályzat legalább olyan szigorú előírásokat tartalmaz, mint amilyen szigorúak a minősítési követelmények, ha a szolgáltató a Szolgáltatási Szabályzatnak megfelelő gyakorlatot folytat, akkor e gyakorlat is ki kell, hogy elégítse a minősítési követelményeket.
A (2) bekezdés is garanciális jellegű, amennyiben előírja, hogy, ha a minősítési eljárás eredménye szerint a minősítési követelmények teljesülnek, a minősített státus megadása nem tagadható meg. E szabály szándéka, hogy biztosítsa a szolgáltatókat arról, hogy csak és csakis a minősítési követelmények között szereplő követelmények alapján lehet dönteni a minősítésről.
A Főfelügyelet a szolgáltató minősítése kapcsán hozott határozatát nyilvánosságra hozza. A nyilvánosságra hozatal az összes piaci szereplők tájékoztatását célozza.
A Főfelügyelet egyik súlyponti, folyamatosan és tervszerűen végzendő tevékenysége a szolgáltatók ellenőrzése. Az ellenőrzés tartósan érvényes eljárásrendjét a Főfelügyelet Szervezeti és Működési Szabályzata tartalmazza, az ellenőrzés adott időszakra vonatkozó munkatervét, tematikáját és hangsúlyait a Főfelügyelet előterjesztése alapján évente az illetékes miniszter hagyja jóvá. A Főfelügyelet Szervezeti és Működés Szabályzata írja elő azt is, hogy milyen esetekben kell az éves tervben nem szereplő, rendkívüli és korlátozott vizsgálatokat kezdeményezni. Az ilyen vizsgálatokat állampolgári bejelentés vagy rendőrségi ill. bírósági eljárásból származó információ indokolhatja.
A szolgáltatás megszüntetése a hitelesítés szolgáltatás területén sajátos következményekkel jár: az aláíró eszköz tulajdonosa aláíró eszközét többé érdemben nem tudja használni, mivel a címzett nem találja a tanúsítványt. Ha az ügyfél a szolgáltatótól nem kap értesítést, a megszűnésről akkor fog értesülni, amikor az elküldött irattal kapcsolatban a tanúsítvány hiányára utaló reklamációt kap.
A szabályozásnak ezt a lehetőséget lehetőleg meg kell előznie. Vitatható, hogy a Főfelügyeletnek milyen szerep lehet. Szabályszerűen végrehajtott szolgáltatás megszüntetés esetén a szolgáltató ügyfeleit értesíti és szerződéseiket megszünteti, az ügyfelek szabadon választhatnak új szolgáltatót. Nem vagy nem teljesen jóhiszeműen végrehajtott szolgáltatás megszűnés esetén az ügyfelek érdekei sérülhetnek, egyedileg pedig kellemetlen helyzetbe kerülhetnek. Ezért indokolt, hogy a Főfelügyelet ebben a helyzetben beavatkozási joggal ill. lehetőséggel rendelkezzék.
A szabályozás kritikus pontja a szolgáltatás felfüggesztésének ill. megtiltásának kérdése. Amennyiben – amint az EU irányelvek egyértelműen rögzítik – a szolgáltatás megindításához nem szükséges engedély, elvileg a megszüntetésnek sem lehet jogalapja. Tekintettel arra azonban, hogy a hitelesség szolgáltatás minősége az elektronikus iratokba vetett társadalmi bizalom fontos feltétele, nem megkerülhető e minőség minimuma kikényszerítésének követelménye.
A felfüggesztés ill. betiltás intézménye nem a szolgáltatás minősítettségével van kapcsolatban, hanem az adott szolgáltatással szemben a szolgáltató által meghatározott vagy elfogadott, azaz: vállalt minőségével. A nem minősített aláíró eszköz ill. tanúsítvány kibocsátása kapcsán is megtévesztheti a szolgáltató ügyfelét, és az akkreditálás eredményeként vállalt, magasabb szintű minőségtől is eltérhet. A felfüggesztés ill. megtiltás akkor indokolt, ha a szolgáltató nem tartja be a saját maga által vállalt szabályokat, s ezáltal általában a szolgáltatás iránti bizalmat rombolja.
A Felügyelet feladatkörén belül – a 22. § indoklásában megfogalmazottaknak megfelelően – különös súllyal szerepel az információs társadalom megalapozása és fejlesztése, ezen belül elsősorban a hitelesítés szolgáltatási kultúra kibontakoztatása. E feladat ellátása érdekében a Felügyelet szakmai koordinációs szerepet is ellát.
A szakmai koordináció más, pl. kutatóintézeti vagy profit érdekeltségű vállalkozási formában is elképzelhető, azonban a Törvény éppen azt a szándékot hangsúlyozza, hogy a szakmai koordináció állami-társadalmi szolgáltatásként valósuljon meg. A felügyeleti tevékenység ellátása önmagában is feltételezi a szakmai információk valamilyen gyűjtését. A Törvény szándéka az, hogy a felügyeleti tevékenység megalapozása során összegyűjtött információk a teljes hitelesítés szolgáltatási ágazat, s ezen keresztül az elektronikus kereskedelmi ill. közigazgatási kultúra gyors fejődését elősegítsék. Az (1) bekezdés szemléltetésként sorolja fel a legfontosabb szempontokat, annak érdekében, hogy a Felügyelet Szervezeti és Működési Szabályzatának kialakítása során törvényi alapokra lehessen támaszkodni. A felügyeletet ellátó miniszter közreműködésével a Kormány eseti vagy tartós jelleggel további feladatokat is meghatározhat.
A (2) bekezdés a Törvény elfogadását követő időszakra, annak érdekében, hogy a hazai hitelesítés szolgáltatási hálózat minél gyorsabban és minél magasabb színvonalon jöjjön létre, egy sajátos feladatot határoz meg A Felügyelet három éven keresztül évente előminősítő jelleggel pályázatot ír ki különböző igényeket (minőség, ár, presztízs stb.) kielégíteni képes, külföldi akkreditáló szervezetek részére Magyarországon bejegyzett szolgáltatók akkreditálása tárgyában, és a pályázat eredményét nyilvánosságra hozza. Ennek célja az, hogy az újonnan alakuló hazai hitelesítés szolgáltatók olyan akkreditálókat kérhessenek fel, akik a számukra legmegfelelőbb színvonalat képesek biztosítani.
A (3) bekezdés értelmében a szakmai koordináló tevékenysége keretében a Felügyelet adatot gyűjt a szolgáltatók tevékenységéről. Az adatgyűjtés kereteit a Felügyelet előterjesztése alapján az illetékes miniszter rendeletben állapítja meg. Az adatgyűjtés célja a hazai hitelesítés szolgáltatási piac fejlődésének szoros követése, elsősorban annak érdekében, hogy a szolgáltatók a piaci folyamatokról minél hitelesebb képet kapjanak. Az összegyűjtött és feldolgozott adatokat a Felügyelet rendszeresen, pl. saját folyóiratában nyilvánosságra hozza.
Az elektronikus iratokkal kapcsolatban keletkező jogviták nehezen kezelhetőek a hagyományos módon, az iratok nem kézbe vehetőek, sem az ügyvédek, sem a bíróságok nem rendelkeznek feltétlenül azokkal az informatikai eszközökkel, melyek az elektronikus iratokkal kapcsolatos hitelességi kérdések megvizsgálásához nélkülözhetetlenek. Ezért fontos társadalmi érdek fűződik ahhoz, hogy létezzék olyan tanácsadói jellegű szolgáltatás, mely a speciális problémák megoldásában segíthet. E szolgáltatás elképzelhető a civil szféra keretein belül is, de annak érdekében, hogy legyen egy „feltétlenül hiteles”, etalon jellegű, szakértői szolgáltatás is, célszerű ezt állami funkcióként létrehozni. Erre az állami szolgáltatásra várhatóan különösen az első néhány évben lesz szükség, később a szolgáltatás teljes mértékben ráterhelhető a civil szférára, akár úgy, hogy a Felügyelet kiképzett munkatársai önálló bírósági szakértőként látják el a feladatokat.
A Felügyelet a Kormány felhatalmazásával ellátja a nemzetközi koordinációval kapcsolatos feladatokat, képviseli Magyarországot az elektronikus kultúra fejlesztésével foglalkozó nemzetközi szakmai szervezetekben. E tevékenysége gyűjti, gondozza, feldolgozza és nyilvánosságra hozza azokat a nyilvános információkat, melyek az elektronikus tranzakciók nemzetközi forgalmával kapcsolatban a nemzetközi szervezetek és Magyarország együttműködése keretében keletkeznek.
A szolgáltatók bejelentései alapján a Felügyelet azokról a külföldi szolgáltatókról, amelyek magyar szolgáltatókat akkreditáltak, lajstromot vezet, és azt nyilvánosságra hozza.