Három aláírás - három dokumentumtípus
A törvény három elektronikusaláírás-típust különböztet meg: az egyszerű elektronikus aláírást (amelyet egy elektronikus szöveg alatt helyeznek el, csak általános bizonyító érvénnyel bír, s a bíróság sem köteles elfogadni), a fokozott biztonságú elektronikus aláírást (ez alkalmas az aláíró azonosítására, mivel csak hozzá köthető), s harmadik típusként a minősített elektronikus aláírást. Ez utóbbit a Hírközlési Főfelügyelet által nyilvántartásba vett hitelesítési szolgáltató minősíti, így bizonyíthatóan igazoló erejű.
A kihirdetését követő harmadik hónap első napján hatályba lépő törvénnyel, illetve az elektronikus aláírással kapcsolatos jogkövetkezmények attól is függenek, milyen dokumentumot láttak el elektronikus aláírással.
A törvény az elektronikus dokumentumoknál szintén három fajtát határoz meg. Az első az általános jelsorozat (szöveg, hangfelvétel, térkép, videofelvétel), amelyet elektronikus aláírással láttak el. A második szintként meghatározott elektronikus irat már jellemzően szöveg, de társulhat hozzá fejléc vagy ábra. A törvény harmadik szintként az elektronikus okiratot ismeri el, amely már jogokat és kötelezettségeket is rögzít. Az elektronikus okirat aláírója a jogokat és a kötelezettségeket vállalja és elismeri.
Nem lehet kötelező az online kommunikáció
Az elektronikus aláírásról szóló törvény nem teszi automatikusan kötelezővé az elektronikus ügyintézést. Ahhoz ugyanis, hogy az internet alapú adatkezelés megvalósuljon, sok eljárásjogi kérdést kell tisztázni. Az államigazgatásban például feszes előírás, hogy az önkormányzatoknak rendeletben kell kimondaniuk: illetékességi területükön használható az elektronikus aláírás.
Az állami hivatalok, köztük a lakossággal szoros kapcsolatot tartó intézmények - APEH, Nyugdíjfolyósító Intézet, Cégbíróság, VPOP - szintén külön kötelesek szabályozni a digitálisan érkező ügyiratok kezelésének technikáit.
Hogyan működik?
Az elektronikus aláírás hitelesítését a kormányok a nyilvános kulcsú infrastruktúra (Public Key Infratructure - PKI) használatával és a hitelesítő központok rendszerének kiépítésével teszik lehetővé. A PKI-rendszerek alapjául a böngészők vagy a szerverek által generált aszimmetrikus kulcspárok szolgálnak: ezek egyike az úgynevezett magán-, a másik pedig a nyilvános kulcs. A magánkulcs fizikai formája többféle lehet, így például egy intelligens kártya vagy egy titkosított fájl. A nyilvános kulcs tetszőlegesen átadható bárkinek, ugyanúgy, mint az e-mail cím. A kulcspár generálásakor megbízható matematikai algoritmusok teszik lehetővé, hogy a nyilvános kulcs ismeretében ne fejthessék vissza a hozzá tartozó magánkulcsot. Ugyanilyen algoritmusok biztosítják, hogy az aláírást ne lehessen a nyilvános kulcs ismeretében hamisítani.
Az elektronikus aláírással ellátott dokumentum sérthetetlenségét a PKI oly módon teszi lehetővé, hogy az üzenetről úgynevezett digitális ujjlenyomatot, azaz egy fix hosszúságú kódot készít. Ezt a kódot a dokumentum aláírója a magánkulcsával titkosítja. Az így létrejött digitális aláírást az eredeti dokumentumhoz csatolva küldik.
Az aláírt dokumentum és az aláírás ellenőrzése úgy történik, hogy egy matematikai algoritmussal újra kiszámítják az eredeti dokumentum ujjlenyomatát, illetve dekódolják a nyilvános kulccsal a digitális aláírást, amelyből szintén előáll az ujjlenyomat. Amennyiben a két ujjlenyomatkód azonos, a dokumentum hitelesnek tekintendő, mivel annak tartalma a továbbítás során nem változott, s az aláírás az adott nyilvános kulcshoz tartozó magánkulccsal készült. Az aláíró személyazonosságát a nyilvános kulcs ismeretében ebben az esetben is a hitelesítésszolgáltató tanúsítja.
A törvény szerint a Hírközlési Főfelügyelet veszi majd nyilvántartásba a hitelesítésszolgáltatókat, azok bejelentése alapján. A minősített aláírásokat hitelesítő szolgáltatóknak 30 nappal működésük előtt kell bejelentést tenniük, tevékenységüket pedig csak akkor kezdhetik meg, ha a Híf felvette őket a nyilvántartásba. A Híf rendszeresen ellenőrzi a szolgáltatók működését, s ha szabálytalanságra bukkannak, a figyelmeztetésen túl pénzbüntetést is kiszabhatnak a szolgáltatóra, visszavonathatják az általa kiadott tanúsítványokat, sőt igazán súlyos esetben törölhetik is a nyilvántartásból.
Az elektronikus aláírás technikai megoldásainak megfelelőségét is tanúsítania kell valamilyen szervezetnek, a tanúsító szervezeteket az illetékes miniszter választja ki a jelentkezők közül. A kérelmező technikai megoldását auditálják, majd a kijelölő bizottság véleménye alapján a miniszter hozza meg a végső döntést. A tanúsító szervezetek és az általuk tanúsított megoldások listáját is a Hírközlési Főfelügyelet tartja nyilván.
E-közigazgatás és adatvédelem
A közigazgatásra, a magán- és üzleti szférára egyaránt kiterjed majd az elektronikus szignó érvényessége, egyedül a családjogi és öröklési ügyletek körében zárja ki a törvény felhasználásukat.
Az elektronikus aláírásról szóló törvény teremti meg az e-közigazgatás jogi alapjait, ami gyorsabb, rugalmasabb, olcsóbb és hatékonyabb ügyintézést ígér. A teljes kormányzati és önkormányzati rendszer elektronikus alapúvá tételéhez megfelelő anyagi és infrastrukturális feltételek szükségesek, amelyek összköltségét a Miniszterelnöki Hivatal Informatikai Kormánybiztossága még becsülni sem tudja. Ennek megvalósításával a kormánybiztosságon külön főcsoport foglalkozik, ahol közérdekű portál beindítását tervezik a következő években.
A közportálon keresztül lehet majd hivatali ügyeket intézni, közérdekű információkhoz jutni, valamint alkalmas lesz a közigazgatással való kapcsolattartásra. Az informatikai kormánybiztosság szerint azonban az internetes közigazgatás mellett még beláthatatlan ideig működni fognak a hagyományos ügyintézési formák.
Az adatvédelmi biztos hivatalának főosztályvezetője, Kolozsváry Sándor a budapesti e-szignó konferencián elmondta, hogy a felhasználó titkos kulcsa különleges személyes adatnak minősül, és mint ilyet biztonságosan kell tárolni. Az adatvédelmi törvényben szereplő információs önrendelkezési jog az elektronikus aláírásra is vonatkozik, vagyis személyes adatok csak az érintettek hozzájárulásával gyűjthetők.
A magyar elektronikus aláírási törvénytervezet az EU-s szabályozáshoz hasonlóan támogatja az információs önrendelkezési jogot, és lehetővé teszi az álnév használatát.
Kolozsváry Sándor az adatkezelés szempontjából követendő példaként említette a német távközlési törvényt, amely többek között kimondja, hogy csak a működéshez elengedhetetlenül szükséges személyes adatokat gyűjtheti a szolgáltató. A magyar adatvédelmi törvény erről úgy rendelkezik, hogy az adatkezelők kötelesek tevékenységük megkezdése előtt bejelentkezni az adatvédelmi nyilvántartásba.