A képviselők elé terjesztett törvénytervezetben az elektronikus aláírás úgynevezett nyilvános kulcsú (PKI - Public Key Infrastructure) megoldása szerepel. (Az e-aláírásról lásd még a Piac és Profit 2000/9. és 2001/4. számát.) A PKI garantálni tudja, hogy egy adott dokumentum küldője valóban az, akinek mondja magát, és „útközben” nem történt változtatás a dokumentumban. Aki szeretne ilyen digitális aláírást, annak csináltatnia kell egy kulcspárt: egy nyilvános és egy titkos kulcsot. Az utóbbit szigorúan meghatározott biztonsági feltételek között kell tárolnia, a nyilvánosat pedig el kell küldenie egy hitelesítő szervhez, ahol tanúsítványt kap arról, hogy ő annak a nyilvános kulcsnak a tulajdonosa, és bekerül egy bárki által hozzáférhető adatbázisba. Az országházi vita a hitelesítő szervek körül zajlott. Az okokról Frischmann Gábort, a Hírközlési Főfelügyelet elnökét kérdeztük.
- Miért robbant ki a parlamenti vita?
- Azt hiszem, a probléma messze nem olyan súlyú a valóságban, mint ahogy az a köztudatba bekerült. Az elektronikus aláírásokkal kapcsolatban kétféle üzleti szereplőnek van kiemelkedő tennivalója. A törvényjavaslatban az áll, hogy aki elektronikusaláírás-hitelesítést szolgáltató kíván lenni, annak a Hírközlési Főfelügyeletnél nyilvántartásba kell vetetnie magát, és a bejelentés alapján kezdheti meg a szolgáltatást. A másik fontos szereplő az, aki az elektronikus aláírás termék - az az eszköz, amellyel az elektronikus aláírást létre lehet hozni - megfelelőségét tanúsítja. Az erre vonatkozó törvényi megfogalmazáshoz érkezett egy pontosítást és jogi harmonizálást célzó módosító indítvány: annak egyértelműsítésére, aki ilyen tanúsító szervezet akar lenni, annak rendelkeznie kell az ágazatot irányító miniszter tanúsító szervezetté történő kijelölésével. Vagyis a minisztérium jelöli ki a tanúsító cégeket. Egyes képviselők szerint ez túlzott centralizálás, míg mások szerint csupán arra irányul, hogy a terméktanúsításra vonatkozó jogszabályok legyenek összhangban az 1995. évi XXIX. törvénnyel, amely a tanúsító szervezetek kijelölését miniszteri hatáskörbe adja. Szerintem a törvénytervezetben eddig homályos volt annak a szervnek a meghatározása, amely jogosult kijelölni a tanúsító cégeket.
- Nem lett ettől bonyolultabb a rendszer?
- Nem. A módosítás szerint a minisztérium egy általa létrehozott kijelölési bizottsággal vizsgáltatja meg azt a céget, amelyik kijelölt tanúsítónak jelentkezik, s ezután kerülhet fel egy nyilvános listára. Ezzel biztosítható, hogy Magyarországon is nemzetközi norma szerint történjék az amúgy szigorúan üzleti alapokon szerveződő cégek tanúsításra alkalmasságának garantálása. Mint ahogy például műszaki cikkek sem hozhatók forgalomba Kermi-tanúsítás nélkül. Az állami garancia mindkét esetben a biztonságot szavatolja.
- És úgy véli, ez az egyetlen jó megoldás?
- Megoldás lehetne az is, ha hatósági eljárás keretében mondanák ki a termék megfelelőségét, de ez jóval bürokratikusabb lenne.
- Nem hivatalos értesülések szerint első körben a Matáv Rt., a Giro Elszámolásforgalmi Rt. és a Netlock Kft. készül arra, hogy az elsők között legyen a hazai e-szignó-tanúsítók piacán. Számítanak-e cégek tömeges jelentkezésére, vagy épp ellenkezőleg, gond lesz tanúsítókat találni?
- E listával kapcsolatban is fontos az aláírás-hitelesítők és a terméktanúsítók elkülönítése. Kezdetben viszonylag kevesen szakosodnak majd e szolgáltatásra, de ahogy hazánkban terjed az e-kultúra, úgy szaporodnak majd gomba módra a hasonló cégek. Persze ez függ attól is, hogy a törvény végrehajtási rendeletében milyen kritériumokat határoznak meg, hiszen ez nagymértékben befolyásolja a tanúsítás költségigényét. A tanúsításnak komoly jogi, műszaki és emberi feltételei vannak, hiszen bizalomra épülő szolgáltatás. E feltételek fellazítása nem lenne szerencsés, hiszen az az egész rendszer összeomlásához vezethetne.
- Kapnak-e valamilyen elsőséget a nemzetközi viszonylatban már elfogadott tanúsító cégek?
- A törvénytervezet úgy fogalmaz, hogy valamely EU-tagállamban elfogadott tanúsító szervezet igazolása automatikusan elfogadható Magyarországon, más országok esetében viszont kétoldalú megállapodáshoz kötött. Ha nincs ilyen, az adott tanúsító cégnek meg kell felelnie a magyar eljárási rendnek.
- Mikorra várható a törvény elfogadása?
- Április közepén lezárult a módosító indítványok benyújtásának határideje. Azóta a bizottságok tárgyalják a javaslatokat. A törvénytervezet végszavazása május végén várható. Ha sikerül ratifikálni, néhány hónap múlva Magyarországon is életbe léphet a digitális aláírásról szóló törvény, de a működéséhez elengedhetetlen a megfelelő tanúsító cégek léte.