2. Hírek
  3. Biztonság

E-szignó: adatvédelem és/vagy biztonság?

Az elektronikus aláírásnál és más kapcsolódó területeken az elektronikus kormányzati megoldások fejlesztésénél - a hitelesítés-szolgáltatóknál és a felhasználói oldalon is - megfigyelhető, hogy a technológia és az adatvédelmi törekvések egymással ellentétes irányban hatnak.

Az elektronikus aláírók és tanúsítványt használók bővülésének egyik – talán keveset emlegetett, de mégis érzékelhető – hátráltató tényezője a leendő felhasználók adatvédelmi aggályai. A hitelesítés-szolgáltatóknál a szakemberek többször is szembesülnek olyan kérdésekkel, melyeknél csak a technológiai részletek hosszas elmagyarázása és a „becsületszó” hatására nyugszik meg a felhasználó (pl. „minek akarják tárolni az adataimat egy mindenki által hozzáférhető directory-ban?”).

Az elektronikus kormányzati megoldásoknál (persze máshol is) a felhasználó egyértelmű azonosítása alapvető biztonsági követelmény. Az egyediség biztosítására régebben jól lehetett használni a személyi számot, azonban Orwell „Nagy Testvérétől” (1984) való félelem és az adatvédelmi jogszabályok ezt már nem teszik lehetővé. Az elektronikus világban az egyediség, a megkülönböztethetőség a biztonság és az automatikus feldolgozhatóság az egyik kulcs, ezért a mindenkinek megfelelő megoldást meg kell találni!

Az elektronikus aláíráshoz vagy máshoz használható tanúsítványoknál például gyakran szerepel az e-mail cím is a névelemek között (a subject mező emailAddress néveleme, vagy a subjectAltName kiterjesztés rfc822Name néveleme), ami többek közt az S/MIME szabványnak megfelelő üzeneteknél a levelezőprogramok működéséhez is szükséges, azonban ennek használatához is feltétel a felhasználó felvilágosítása és beleegyezése.

„Több korábbi állásfoglalásomban rámutattam, hogy az e-mail cím, amennyiben az természetes személlyel kapcsolatba hozható, személyes adatnak minősül. Személyes adatot – jelen esetben – akkor lehet kezelni, ha ahhoz az érintett hozzájárult.”

(Dr. Péterfalvi Attila, adatvédelmi biztos – 2003. április)

A kérdés tehát időszerű: melyek vajon azok a névelemek, amelyeket használni lehet bizonyos feltételek mellett az elektronikus világban az egyértelmű azonosíthatóság érdekében? Melyek azok a névelemek, amelyek használatához a jövendő felhasználó nyugodt szívvel hozzájárulhat?

A műszaki szakemberek és a jogászok harca most ezekről a kérdésekről folyik. A végső megoldást talán egy, az adatvédelmi biztostól származó, „technológiától függő” ajánlás, közlemény adhatná meg...(?!)

Szabó Áron (BME IK ITSec – IHM-együttműködés)

 

Azóta történt

Előzmények