2. Hírek
  3. Mérleg

Terrorellenes törvény: ez nem jött össze

Korábban olyan elvárások fogalmazódtak meg, melyek vagy túl radikálisak voltak, vagy teljesíthetetlenek. A törvénymódosítás ennek belátását mutatja.

Pintér Sándor belügyminiszter tegnap benyújtotta szavazásra azt a törvénymódosítási javaslatcsomagot (T/10307. számú törvényjavaslat a terrorizmus elleni fellépéssel összefüggő egyes törvények módosításáról), melyben több, az informatikai szolgáltatásokat is érintő előterjesztés található.

Ebből, a Parlament honlapján olvasható tervezetből szemeztük ki mindazokat a tervezett változtatásokat, melyek informatikailag relevánsak.

Körülhatárolás

Hirdetés

Az egyik ilyen csomag (Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény módosítása) nem minden pontjában érthető egy laikus számára.

Az első lényeges pont, hogy a törvénymódosítás definiál, vagyis bevonja a törvény hatálya alá a nemzetközi vállalatok online szolgáltatásait:

Magyarország területére irányuló szolgáltatás: minden olyan szolgáltatás, melyről a használt nyelv, a pénznem és egyéb körülmények alapján valószínűsíthető, hogy magyarországi igénybe vevők számára kívánják elérhetővé tenni; továbbá az m) pont szerinti alkalmazásszolgáltató valamennyi olyan információs társadalommal összefüggő szolgáltatása, amely Magyarországon elérhető, függetlenül attól, hogy az alkalmazásszolgáltató Magyarországon letelepedett, vagy bármilyen formában engedélyezett-e, vagy attól, hogy a hozzáférés során akár a szolgáltató, akár a felhasználó egyértelműen azonosítható-e.

És egy újabb definíció a tisztázás érdekében:

Alkalmazásszolgáltató: az a természetes, illetve jogi személy vagy jogi személyiséggel nem rendelkező más szervezet, aki, vagy amely elektronikus hírközlő hálózat felhasználásával valamilyen szoftverhez vagy hardverhez való hozzáférést, szoftveres alkalmazást, valamint kapcsolódó szolgáltatásokat biztosít specifikus szoftveren vagy webes felületen több felhasználó számára, időben korlátozott vagy korlátlan módon, havi- vagy használat alapú ellenszolgáltatás fejében vagy ingyenes formában.

Nem ment

És itt jön a lényeg, vagyis hogy sok vita után világossá vált, hogy az end-to-end titkosítást használó szolgáltatókat technológiai okokból sem képesek tartalomátadásra kötelezni:

„3/B. § Az az alkalmazásszolgáltató, aki az információs társadalommal összefüggő olyan szolgáltatást nyújt, amely a szolgáltatást igénybe vevők között titkosított kommunikációt biztosít olyan módon, hogy a kommunikáció tartalma vagy a kommunikációs csatorna felépítésével kapcsolatos funkciók nem kizárólag a felhasználó végberendezésén valósulnak meg (végpont-végpont közötti titkosítás) [kiemelés tőlünk – szerk.], köteles – az e törvényben meghatározott feltételek szerint – a titkosított kommunikációt biztosító alkalmazás igénybevételével továbbított küldemények, közlések tartalmát, valamint az azokkal kapcsolatosan keletkező, vagy kezelt adatokat a 13/B. § szerint megőrizni és külső engedélyhez kötött titkos információgyűjtésre jogosult szerv megkeresése esetén átadni.”

Ha jól értjük a módosítási javaslat szövegét, az előterjesztők belátták, hogy hiába kérik az end-to-end titkosítást használó, zömükben külföldi vállalkozásokat a kommunikáció tartalmának átadására, azok az alkalmazott technológia miatt esetleges együttműködési készségük ellenére sem képesek ezt megtenni.

Ami eddig is volt már

Ugyanakkor a javaslat kitér arra – megint csak jogászi bikkfanyelven –, hogy a metaadatokat az alkalmazásszolgáltató törvényes keretek között köteles megőrizni, illetve átadni a hatóságoknak – ez eddig is így volt, legfeljebb az egy év lehet újdonság:

13/B. § (1) Az az alkalmazásszolgáltató, aki titkosított kommunikációt biztosító szolgáltatást nyújt, köteles az ilyen alkalmazás igénybevételével továbbított küldeményekkel, közlésekkel kapcsolatosan keletkező vagy kezelt , (2) bekezdés szerinti adatokat azok keletkezésétől számított 1 évig megőrizni.

(2) A külső engedélyhez kötött titkos információgyűjtésre jogosult szerv megkeresése esetén a titkosított kommunikációt biztosító szolgáltatást nyújtó alkalmazásszolgáltató a) a szolgáltatás típusát; b) a szolgáltatás előfizetőjének vagy felhasználójának a szolgáltatás igénybevételéhez szükséges azonosító adatait, a szolgáltatás igénybevételének dátumát, kezdő és záró időpontját;c) a regisztrációhoz használt IP címét és portszámát; d)az igénybevételnél használt IP címét és portszámát; e)a felhasználói azonosítót köteles átadni.

Ennek megszegésére szankciókat is kiszabnak:

16/H. § (1) Ha a Hatóság a titkos információgyűjtésre jogosult szerv tájékoztatása alapján megállapítja a 3/B. §-ban vagy a 13/B.§ ban meghatározott kötelezettség megszegését, a jogi személy vagy jogi személyiség nélküli szervezet alkalmazásszolgáltatót százezer forinttól tízmillió forintig terjedő, együttműködési kötelezettség megszegésével összefüggő bírsággal sújthatja.

(2) Az együttműködési kötelezettség megszegésével összefüggő bírság többszörös jogsértés esetén ismételten is kiszabható.

(3) Az együttműködési kötelezettség megszegésével összefüggő bírságot a Hatóság számlájára kell befizetni.

Indoklás

A tegnap kiadott MTI-közlemény az indoklásból kiemelt idézettel igyekszik keményen fogalmazni, de ha megnézzük közelebbről a javaslatot, ez inkább retorika, mivel a fentebb említett módosítások közel sem olyan szigorúak – nem is lehetnek – mint ahogy beharangozták.

A technikai fejlődés következtében az internet alapú globális kommunikációs rendszerek, valamint ezen szolgáltatások egyre szélesebb körben terjednek el és megfizethető áron vehetők igénybe, így reális veszélyt jelent, hogy az általános kommunikációs szokások megváltoznak, és a hagyományos hírközlési szolgáltatók helyett ezen szolgáltatásokat veszik igénybe a bűnözői körök. Tekintettel arra, hogy a mobiltelefonok kommunikációjának védelmét ellátó rendszernek egyik elemét képező mobiltelefonos alkalmazás az egyes alkalmazásszolgáltatók interneten elérhető, kereskedelmi céllal létrehozott felületén megtalálható, onnan telepíthető, így kivédhető, hogy az egyes országok szolgálatai a kommunikációt, vagy az ahhoz kapcsolódó információkat megszerezhessék, valamint dekódolhassák.

II.2. Új rendelkezések

A probléma megoldását jelentheti az alkalmazásszolgáltatókra vonatkozó jogi kötelezettségeknek az előírása az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvényben (a továbbiakban: Ekertv.). Az Ekertv. módosításának célja az Ekertv. hatálya alá tartozó szolgáltatók adatmegőrzési, adatszolgáltatási és együttműködési kötelezettségének megteremtése, mivel ezen szolgáltatók a rendvédelmi és igazságszolgáltatási szervek irányába jelenleg nem tartoznak adatszolgáltatási és együttműködési kötelezettséggel.

II.3. A bevezetés indokai

Az Ekertv.-t érintő módosítási javaslat egyrészt megteremtené annak a lehetőségét, hogy a szolgáltató köteles legyen megadni mindazokat az adatokat és információkat, amelyek a titkos információgyűjtés eszközeinek, módszereinek alkalmazásához nélkülözhetetlenek, így a titkosítási szintet érintő információkat is, másrészről pedig a módosítás a szolgáltató részére kötelező jelleggel írná elő a Nemzetbiztonsági Szakszolgálattal (a továbbiakban: NBSZ) történő, a titkos információgyűjtés feltételeit érintő megállapodások megkötését.

Nem jogászként az a véleményünk, hogy semmi különös nem történt: a végponti titkosítást használó szolgáltatók ellen ez a szabályozás sem lép fel – nem is tud –, az egyéb titkosítást használók adatszolgáltatási, illetve a metaadatok kiadási, valamint megőrzési kötelezettsége eddig is létezett.

Előzmények