• Nem Talált Eredményt

A személyiadat-védelem informatikai szemszögből

N/A
N/A
Info
Letöltés
Protected

Academic year: 2022

Ossza meg "A személyiadat-védelem informatikai szemszögből"

Copied!
12
0
0

Betöltés.... (Teljes szöveg megtekintése most)

Letöltés most ( 12 Pldal )

Teljes szövegt

(1)

INFORMATIKAI SZEMSZÖGBŐL

DR. MEZEY GYULA

A demokratikus társadalomban a polgárok magánéletének teljes védelmét kell bizto- sítani. Az emberi jogok védelméről szóló 1950. évi európai konvenció 8.§-a szól a ma- gánélet védelméhez való jogról, a személyes adatok védelme pedig ezen jog része. Az Európa Tanács 1980. évi konvenciója foglalkozik az információtechnológiával (automa- tizáltan) kezelt adatokkal. Az adatvédelem kérdését az Európa Tanács és az OECD aján- lásai tárgyalják, valamint az EU adatvédelmi irányelvei rögzítik.

Az adatvédelemnek többirányú rendeltetése, célja van. Az egyik cél az, hogy a (köz)igazgatás ügyfeleiről – jelen idő szerint azonban csak főként a természetes szemé- lyekről – ne lehessen átfogó személyiségprofilt készíteni. Megjegyezzük, hogy ilyen személyiségprofil nem csupán az igazgatási nyilvántartások tartalmát felhasználva állít- ható össze, hanem egy tucat más módja is van. Például a GMPCS (Global Mobile Personal Communications System) segítségével jól követhető, hogy merre jár a világban egy mobiltelefon-tulajdonos, míg ha autón megy (vagy egy kamionban ül) akkor egy má- sik műholdas GPS (Global Positioning System) rendszer figyelheti. Ha telefonbeszélge- tés közben kimond valaki egy releváns szót, újabb műholdas rendszer kezd rá figyelni (vagy egy műhold nélküli). Ha egy munkahely épületeiben jár-kel, mozgását videokame- rák és egy beléptető rendszer kapui rögzítik. Ha munkahelyén számítógépet használ, va- lamennyi műveletvégzése naplózott. Ha szabadidejében a hitelkártyájával vásárol, hely- változtatása, vásárlási szokásai, kiadásai, hitele jól feltérképezhető. Sőt a pénzintézetek éppen káraik elkerülése és a bűnmegelőzés érdekében elemzik ügyfeleik pénzügyi (és egyéb) szokásait (credit-scoring).

A fenti példák egyike sem olyan rendszer, amelyet kifejezetten személyiségprofil vizsgálata céljából alakítottak volna ki. De a különböző rendszerek külön-külön nyert adatait egymás mellé téve mégiscsak átfogó személyiségprofil rajzolható ki. Az önma- gukban még kevéssé érzékeny regisztrált adathalmazok eredője igen érzékeny informáci- óvá válhat. Hogyan védjük hát „adatmagánéletünk” szentségét? Mi lesz veled magánélet (privacy)?

A polgári társadalom meg kívánja akadályozni, de legalábbis minél inkább nehezíte- ni, az átfogó személyiségprofilok automatizált, tömeges előállítását a polgárokról, ezért több országban feladták a személyi szám kötelező és általános használatát. Ahol ezt még

(2)

nem tették meg, ott adatvédelmi törvényekkel és intézkedésekkel biztosítják – nem csu- pán a tömegesen jelentkező, hanem egyedi esetekre is – hogy csak a törvény által meg- engedett, korlátozott személyiségprofil készülhet. Ezt a korlátozást informatikailag is biztosítani kell, a törvényi biztosíték nem elegendő.

A legrosszabb esetre tervezés

A személyi szám korlátozása a társadalom biztonsági intézkedése, amelyet – mint min- den más biztonsági megoldást – a legrosszabb esetre számítva szokás megtervezni. A leg- rosszabb eset az, ha a törvényeket úgy változtatják meg, hogy teljesen legálisan lehessen (esetleg tömegesen) személyiségprofilokat létrehozni. Ezért a törvényi szabályozás mellett a közigazgatás információs rendszerének szerkezetébe olyan informatikai „biztosítékokat”

kell „becsavarni”, amelyek a tömeges és az automatizált személyiségprofil-gyártást legalább megnehezítik, drágítják, végül meggátolják.

Teljes és abszolút biztosíték nincs, de van jobb és rosszabb biztonsági megoldás. A biz- tonságos megoldás informatikai feladata ugyanis sokkal összetettebb és egészen más kate- góriába esik, mint a szokásos informatikai feladatok: ez egy komplex biztonsági rendszer megtervezésének csupán a részfeladata. Ezen a részfeladaton belül is csak egyik kérdés a személyi szám korlátozásának és a technikai megvalósításnak a kérdése, habár ez nagyon fontos kérdés, mert befolyásolja az elérhető biztonság szintjét, a hazai adatpiac felosztását, és az európai adatpiachoz kapcsolódást.

A személyi szám korlátozása több módon is lehetséges. Az egyik mód az, hogy ágazat- csoportonként, esetleg azon belül ágazatonként, sőt talán szervezetenként is külön-külön, egymástól eltérő személyi azonosítókat vezetnek be. Ez azonban a számítógépesítés előtti hagyományokhoz való visszatérés lenne.

A számítógépes nyilvántartás birtokában ugyanis szinte lehetetlen a nyilvántartások ösz- szekapcsolásának teljes megakadályozása. Az eleve nehezebb összekapcsolás több munkát, nagyobb üzemelési költséget jelent, ezért természetes, hogy a nyilvántartások üzemeltetői ezt igyekeznek elkerülni, hiszen a költségek náluk fognak megjelenni. Az eleve nehezebb összekapcsolás nem is az üzemeltetők, hanem a demokratikus társadalom polgárainak érde- ke, a technikailag rögzített megoldás korlátai jelentik a személyiségprofilok tömeges előállí- tásának egyetlen fékjét, egymagában az ágazati személyi azonosítók bevezetése még kevés lesz ehhez. Sajnos a hazánkban eddig kialakított megoldás (az ún. központi kapcsolótábla) éppen a legrosszabb esetre nem biztosít védelmet.

Az igaz, hogy központi kapcsolótáblával az ágazatok nyilvántartásainak összekapcsolá- sa zökkenőmentes, csakhogy technikailag kifejezetten „elő van minden készítve” a töme- ges, automatikus összekapcsoláshoz, ezért éppen a tömeges, automatizált személyiségprofil- képzéssel szembeni előzetes biztonsági intézkedésként csupán drága látszatmegoldás. Van- nak országok (például Skandinávia), ahol elegendő a törvényi biztosítékok köre az általáno- san használt személyi számot illetően. Hollandiában sem lenne sokkal többre szükség, de ott még a kapcsolótábla költségeit is elbírja a jóléti állam. Magyarországon ma ez a költség nagy teher, ugyanakkor mint biztonsági intézkedés kevés. Lenne olyan személyi azonosí- tási mód (például a monogrammozaik-módszer1), melynek a bevezetése olcsó, s habár az

1 Az ún. monogrammozaik-módszert [1] főbb vonalaiban ismerteti, de hasonló módszert ajánl az [2] is, lényegében hasonlót [3]

alkalmaznak például Angliában, Walesben, míg természetes személyi adatokból egyedi kulcs kiosztását az [4] szorgalmazza.

(3)

ágazatok összekapcsolása többletmunkát okoz, a biztonság terén később nagyon is meg- térülhet.

A kapcsolótábla lehet központi, de egy elosztott, részenkénti megvalósítása is elkép- zelhető az ágazatcsoportok, ágazatok, közigazgatási szervek és más szervezetek külön- külön személyiazonosító-rendszereinek összekapcsolására. A kapcsolótábla tartalmazhat- ja magukat az egyedi személyi azonosítókat vagy esetleg az azokat kölcsönösen egyér- telműen helyettesítő más technikai tartalmú elsődleges kulcsot.

Ezzel szemben természetes személyi adatokból akár az egyedihez igen közel álló, de nem garantálhatóan egyedi (kváziegyedi), akár egyedi kulcsot [4] is lehet képezni.

A monogrammozaik-módszernél a kapcsolás eszköze mindig egy szervezet termé- szetes személyi adatokat is tároló adatbázisa, külön kapcsolótáblát létrehozni, karbantar- tani nem kell. A központi egyetlen kapcsolótábla helyett a közigazgatás szervezetrend- szerének teljes vertikumán érvényesülő elosztottság van, hiszen személyi adatállomány minden szervezetnél előfordul.

A kváziegyedi azonosítókra épülő megoldásnál nem kell az ágazati személyi azonosítójelek közötti kapcsolatokat állandóan tárolni, még kevésbé egy külön újabb táb- lában kezelni, központilag külön védeni. A kapcsolat csak akkor jön létre és csak addig marad fenn, amíg ez éppen szükséges. Ez az alternatíva tehát teljes mértékben megfelel az 1992. évi LXIII.tv 7. §/1/C pontja előírásának. Védeni csupán magukat az ágazatok, szervezetek személyes adatokat tartalmazó állományait kell, ezeket azonban amúgy is védeni szükséges, tehát itt a biztonság külön intézkedéseket vagy erőforrásokat a két ágazat közötti kapcsolat okán nem igényel.

Az ágazatcsoportok, ágazatok és szervek egymás közötti kommunikációja mégis cél- szerűen csak néhány csomóponton keresztül fog lezajlani, még akkor is, ha nem változ- tatják meg a közigazgatás adatgyűjtő rendszerét. Ha egy szervezetnek például lakcím- adatra lesz szüksége, saját érdekében oda fordul, ahol a legfrissebbek a lakcímadatok és nem egy másik csomóponthoz, ahol szintén vannak lakcímadatok, de közismert, hogy közülük már sok elavult. Ha e csomópontok szerepét törvény is szabályozza, akkor ez a biztonság szempontjából előnyös többközpontú rendszer lehetne, ahol egy-egy központ még elég jól védhető. Az adatpiac versenyszférába kerülése szempontjából viszont in- kább az lenne előnyös, hogyha a csomópontok jó szolgáltatási és adatminősége orientál- ná a piaci szereplők keresletét–kínálatát a szabad ár mellett.

Adott határokon belül valamelyest nagyobb akadályt képezhetünk az önkényes fel- használás előtt, azáltal, hogy a kváziegyedi személyi azonosítóval létrehozott, ágazatok közötti „küszöb” „magassága” állítható. Ez a „magasságállítási” lehetőség azzal függ össze, hogy a kváziegyedi azonosítót a polgároknak nem osztják ki, hanem származtatják a polgárok részére előbb már kiosztott adatokból. Ennek még három másik előnyös hatá- sa van: senkinek nem kell új adatot megjegyezni, nyilvántartáson átvezetni, postán külön megküldeni, azaz jóval olcsóbb eljárás a bevezetése. [1]

A kapcsolótábla-módszer megvalósítása viszonylag drága, míg a természetes szemé- lyi adatokra épülő megoldásé olcsóbb. Kapcsolótábla esetén több milliárdot igényel a személy ágazati azonosítójeleiről szóló értesítés kézbesítése, a meglevő nyilvántartás- okon való átvezetés. Természetes személyi adatokra alapozott megoldásnál minderre mi- nimális mértékben lenne csak szükség. A két megoldás üzemelési költségei közötti kü- lönbség hosszú távon viszont a kapcsolótábla megoldás javára billentené a mérleget. Ha

(4)

azonban a kváziegyedi azonosítást csak áthidaló megoldásként alkalmazzuk (például ad- dig, amíg az EU egységes személyazonosítási megoldása nem alakul ki már egyértelmű- en), akkor ez mégsem lesz hátrány, sőt, az átmenetig ez a gazdaságosabb.

A kapcsolótábla könnyű összekapcsolást, drága és informatikailag tökéletes megol- dást szolgáltat, míg a kváziegyedi azonosítóval csak közelítő megoldás áll rendelkezésre, és az összekapcsolás nehezebb. „Az ezzel járó nehézségek és kiadások jelentős tételként jönnek számba az adatfeldolgozás költség/haszon elemzésénél és mintegy természetes fékjét képezik az indokolatlan adatgyűjtésnek.”2

Ahogyan igaz, hogy az általános, országosan kötelező személyi szám megkönnyíti egyazon személy adatainak több nyilvántartásból történő összegyűjtését, személyiségpro- filja összeállítását, ugyanúgy az is igaz, hogy az ágazati személyi azonosítójelek beveze- tése egymagában még nem garantál védelmet a személyiségprofil összeállítása ellen. Hi- szen például természetes személyi azonosító adatok együttesével is be lehet határolni polgárok rekordjainak egy szűk körét, benne a keresett személy adataival. Ezek a termé- szetes személyi azonosító adatok pedig nyiltak, ismertek bármely ágazatban, szervezet- ben, hiszen hagyományosan ezekkel azonosították a polgárokat ott, ahol személyi szám nincs bevezetve. Az effajta személyazonosítás több munkával jár, lassúbb, drágább, de működik. Számítógépes változatainál a cél az argumentum olyan kódolása, hogy egy név különböző (írásmódú, kiejtésű stb.) változatainak ugyanaz a kódérték feleljen meg. Pél- dául az ún. Soundex-kód az angol nyelvterületen nagyon megnöveli annak az esélyét, hogy megtaláljuk a keresett személy rekordját még akkor is, ha adatait elírták vagy hibá- san ejtik.

Mindenesetre a tömeges, automatizált, és a közvélemény elől eltitkoltan készülő sze- mélyiségprofilok előállításának lehetősége ily módon eleve korlátozottabb. Ismert tétele- zés, hogy mennél többe kerül egy törvénytelenség elkövetése, annál kisebb a tömeges el- követés valószínűsége.

A fentieken kívül szükséges még a jogosult hozzáférés ellenőrzése és egyéb védelmi intézkedések kombinációja is.

Törvényes adatminőség

Ha a „legrosszabb eset”-től eltekintenénk, és csak normál üzemelési állapotot tétele- zünk fel, akkor is felfedezhetjük a külön kapcsolótábla egyéb hátrányait. A tömeges személyiségprofilok automatizált előállításának veszélye elleni védekezés nem korláto- zódik csak az ágazatok személyi nyilvántartásai közé építendő akadályokra, amelyek ne- hezítik a közöttük való közlekedést, hanem kiterjed az ágazatok személyi adatokat tar- talmazó input és output dokumentumaira is. Az Alkotmánybíróságnak a TB(OEP)- kártyával és a személyi számmal kapcsolatos határozata például egyértelműen arra utal, hogy az ágazatközi kommunikáció tekintetében az elkülönülő ágazatok ugyanazon sze- mélyre vonatkozó azonosítói ne szerepeljenek együtt (output) dokumentumon. De még egyazon ágazaton, sőt egy szervezeten belül sem megengedett ez, akár a személyiigazolvány-ügyintézés, akár a lakcímbejelentés folyamatait, input/output doku- mentumait tekintjük. Nem megengedett tehát az, hogy egy polgár (például aktív memó-

2 Az Alkotmánybíróság 15/1991. IV. 13. határozata III. 3. 1. pont.

(5)

riakártyájában levő) egyedi azonosítója két vagy több ágazat(csoport) adatbázisait nyitó

„közös kulcs” is legyen. Vélelmezhetően nem lenne korrekt az sem, hogy egyazon sze- mély különböző fajta személyi okmányainak azonosítóit egyetlen központi közigazgatási nyilvántartásban összekapcsolják, hiszen ez a polgár „ágazati külön kulcsait összefűző kulcskarikájának” felelne meg. Márpedig ilyen kulcskarikához csak a személynek van joga. Adatvédelem szempontjából kívánatos lehetőség a személyekről decentralizált nyilvántartásokat vezetni, ahogy a PEM-nél (Privacy Enhanced Mail) [5] utal rá, vagy ahogyan a PGP-ben (Pretty Good Privacy) az ún. „web of trust” fogalmát bevezeti.

Ha mindez így van, ha még az egyazon személyre vonatkozó különféle dokumentu- moknak, igazolványoknak az egyedi azonosítóit sem szabad egymással vagy a személy egyedi azonosítójával összekapcsolni, akkor némi túlzással úgy fogalmazhatunk, hogy az ágazatok, szervezetek személyes adatai közé ezen utóbbiak védelmére „kínai falak” emel- tetnek. Ehhez kellenek olyan ágazati személyi azonosítók, amelyek között nem áll fenn kölcsönösen egyértelmű kapcsolat. Időnként viszont mégiscsak szükség lesz az áthatolás- ra egy-egy „kínai falon”, ezt meg éppen a kölcsönösen egyértelműen egymásnak megfe- lelő ágazati személyi azonosítók segítenék elő.

E két egymásnak teljesen ellentmondó követelményt például úgy elégíthetjük ki, hogy az egymástól független ágazati személyi azonosítójeleket tartósan összerendezzük egy táblázatba, hogy amikor időnként a kölcsönösen egyértelmű megfeleltetésre szükség lesz, akkor „konzervben” rendelkezésre álljon. A másik lehetőség az, hogy nem készí- tünk előre külön kapcsolótáblát, hanem egyazon személy két ágazatban szereplő szemé- lyi azonosítói között a kapcsolatot csak az igény fellépése alkalmával – de minden egyes alkalommal újonnan – építjük fel. Ehhez előfeltétel, hogy a különböző ágazati személyi azonosítók vagy egymástól függjenek, vagy egy közös alapból – például a polgár szemé- lyi adatainak halmazából – legyenek kiszámíthatók. Az utóbbi (a kiszámítás) kielégítheti az adatvédelem igényeit, ha az alaphalmazból való leképezés egyirányúvá tehető.

Ha a hatékony működés helyett elsőként az egész eddigi változtatás céljaként kitűzött adatvédelem ideáljaira vagyunk tekintettel, akkor megállapíthatjuk, hogy az 1996. évi XX. tv.-ben ezt a célt csak közelítették, de el nem érték, mivel a külön központi kapcso- lótábla csak minimális mértékben felel meg az 1992. évi LXIII (adatvédelmi) tv.7. §/1/c pont előírásának.

Az ún. kapcsolati személyi azonosító bevezetése pedig azt jelenthetné, hogy a polgár az egyik ágazatban például csak úgy vehet igénybe első ízben szolgáltatást, hogy egy- szersmind egy másik (esetleg az összes többi) ágazatban is elkezdik őt nyilvántartani (azaz elkezdik kitölteni a kapcsolótábla egy sorát), jóllehet a polgár a többi ágazattal még nem is kíván kapcsolatba kerülni. Ez egyrészt sértheti a polgár információs önrendelke- zési jogát (hiszen a személyes adat cél nélküli gyűjtése, feldolgozása alkotmányellenes), másrészt ha a kapcsolótábla egy sora minden állampolgárnak és lakosnak ugyanazon elv szerint kiosztott (összetett) személyazonosító kódnak tekinthető, akkor meg azért lehet alkotmányellenes.

Ezzel szinte konzerválnánk a személyi számot más alakban, az ágazatközi átjárást egy helyen megvalósító „forgóajtóba”, azaz a központi kapcsolótáblába átalakítva. Az ágazatközi „kínai falakon” levő nyitott forgóajtó: a külön központi kapcsolótábla csupán a személyi szám metamorfózisa. Az 1996. évi XX. tv. szövegéből nem derül ki, hogy konkrétan melyik kapcsolótábla-változatot szabad megvalósítani, így most több technikai

(6)

változatra is hivatkozni fogunk. De bármely technikai alternatíva esetében a kapcsolótáb- la sokkal inkább a hatékony működés, mint a hatásos adatvédelem eszköze. Olyan komp- romisszum ez, ami éppen csak akkora lépést tett az adatvédelem ideálja felé, amekkora elkerülhetetlen volt.

Ugyanakkor a központi kapcsolótábla önmagában komoly biztonsági intézkedésnek csak a legminimálisabb mértékben tekinthető. Már csak a jogtalan, viszont sikeres beha- tolás szempontjából nézve is előnytelenek az egyközpontú rendszerek. Hiába látszik egy- szerűbbnek egyetlen központ védelme, ha a törvények megváltoztatásával a jogi, logikai, szervezési védőmű falai semmivé válnak, és ott marad egymaga a központi kapcsolótáb- la, amelyben minden rendelkezésre áll az automatizált és tömeges központi személyiség- profil-képzéshez. A központi kapcsolótábla a biztonsági kockázatot is koncentrálja. Az egyközpontúságból fakadó kockázat csökkentése érdekében például eredetileg magát az Internetet is annak az egyközpontú irányítási rendszernek a felváltására fejlesztették ki, amely krízishelyzetben (például atomcsapáskor) egyszerre összeomlana. E hálózat to- vábbfejlődése során ma már a központi államigazgatástól függetlenedő (vö. szinergia) adatbázisok elvileg tetszőleges összekapcsolására is van mód. Sőt az eredetileg csupán biztonsági intézkedés: a többközpontú adathálózat olyan eszköz, amely lehetővé teszi, kiváltja és gyorsítja a hatáskörök decentralizálását, meggyengíti az állam információs monopóliumát. Manapság az Egyesült Államokban dől el az, hogy milyen mértékben je- lent ez valódi gyengülést, vagy tételeződik át – ez a valószínűbb – a hálózat „útkereszte- ződéseiben” elhelyezkedő szervezetek oligopoliumává. Ezen szervezetek közé a jelenleg is az állami adatgyűjtési rendszer csomópontjaiban elhelyezkedő közigazgatási szervek számítóközpontjai is bekerülhetnek. Korántsem mindegy, hogy milyen arányban oszlik meg közöttük az adattőke és a jogosítványok nyújtotta hatalom.

Az új ágazati személyazonosítók maguk is származtatott adatok (ahogy a személyi szám nagy részét is a polgár természetes személyazonosító adataiból nyerték), az adó- igazgatási személyi azonosítójelet, a TAJ-számot egyaránt a személyi számból képezték, más szóval származtatták, amit viszont éppen az 1996. évi XX. törvény 43. §.k(3)-ben az 1992. évi LXVI. tv. egy új 24/A.§-ának beillesztésével mások számára már kifejezetten megtilt, ha kapcsolatra kívánják felhasználni.

A külön központi kapcsolótábla olyan hatásköri koncentrációt eredményez, ami az egyik ágazat javára a többinek a függetlenségét informatikailag korlátozza. A népesség- nyilvántartásra a többi ágazat éppannyira ráutalt marad, mint a személyi szám esetében volt. Szó sincs az ágazatok közötti informatikai függetlenségről, a védelem érdekében közöttük felhúzott „kínai falakról”. A hibatűrő architektúra autonóm modulokra való ta- goltsága helyett, ami gátat szabhatna a hibaterjedésnek, könnyen terjed át sokféle hiba, ha egy kitüntetett hierarchikus „vezérlőmodulon”, annak külön erre a célra létrehozott kapcsolótábláján keresztül zajlik minden személyazonosítási kommunikáció. (Meg- jegyezzük, hogy az angolszász demokráciák, ahol az állami szektor aránya csekély, álta- lában nem engedték meg a közigazgatás információrendszereinek szervezeti, logikai, fi- zikai centralizálását. De nem engedték meg egyik ágazatnál hatásköri koncentrációt te- remtve a többi ágazatok informatikai függetlenségének csorbítását sem. Az ágazatok egyes szervezetek információrendszereinek nagyfokú autonómiája figyelhető meg.)

A hazai jövőképet, ennek egy lehetséges megoldási alternatíváját már felvázolták.

Ennek fontos összetevői például a személy és intézmény kapcsolatában az ún. elektroni-

(7)

kus megfigyelő, az ún. elektronikus meghatalmazott, és az ún. digitális fedőnév. Ez a nagymértékben technikai megközelítés emlékeztet a „truehand” protokollok, a Kerberos, az egyszer használatos kapcsolati azonosító elemekre, az „authentication server” pedig valószínűleg párhuzamba állítható az ún. Központi Azonosító Szerv-vel ahol egy-egy polgár különböző igazgatási azonosítóit (személyi szám, TAJ-szám, adóigazgatási azo- nosító stb.) központilag kezelik. Minden egyes esetben, amikor a polgár intézményhez fordul, ezt az eseményt és releváns körülményeit a hozzáférés-ellenőrzés „megszűri”, másrészt az adatokat naplózzák. Ennek deklarált célja, hogy az érintett személyek saját adataik útját követhessék (adatszolgáltatási nyilvántartás), emellett a hatóságok biztonsá- gi, nyomozati érdekeinek szolgálata, a jelszavak, rejtjelkulcsok védelme mellett (key escrow) azok ismerete ebben az architektúrában messzemenően megvalósítható. Ez a jö- vőkép még jogi elemzést igényel, de az bizonyos, hogy az adatszolgáltatási nyilvántartás pontosabb törvényi szabályozására lesz szükség, hiszen nincs kivédve például az, hogy az ismétlődő azonosítások okán éppen magának a polgárnak a „mozgásáról” készül „tér- kép” (azaz 5 évre visszamenően személyprofil) és ezt a profilgyártást a polgár még le sem tilthatja (tehát sérül az információs önrendelkezése).

A külön központi kapcsolótábla megoldás néhány korlátja

A külön kapcsolótábla megoldás sajátossága az, hogy – akkor is, ha a rendkívüli kö- rülményekre (például a legrosszabb esetre) tervezés követelményeitől el is tekintenénk – lényeges kommunikációs problémák maradnak megoldatlanok a következő fontosabb vi- szonylatokban:

– az ágazaton belül, – az ágazatok között,

– a közigazgatás és a magánszféra között, – az ágazat és a polgár között,

– az EU-n belüli tagországok és hazánk között,

– az időben eltérő személyazonosítási megoldások között.

Ágazaton belüli problémák

Egyes igazgatási ügytípusoknál (például a személyi okmányok kiállításakor) felmerül a pontos személyazonosítás gondja: jóllehet ugyanabban az ágazatban, de mégis gyakran történik információkeresés azért, hogy egy polgár személyi számát természetes adatai alapján megtalálják. Ennek vagy az az elsődleges oka, hogy az input-bizonylat a szemé- lyi számot nem tartalmaz(hat)ja, vagy az nem is ismert. De ahol ismert, mint egy egysze- rű költözködés bejelentésénél, ott a polgárt talán már aránytalanul sok zaklatás éri. Pél- dául be kell előzetesen szereznie a személyi számáról szóló adatigazolást, sőt a lakóhely tulajdonosának (ingatlan-nyilvántartási beérkeztetési pecséttel ellátott) vételi szerződését.

Az ügyintéző átolvassa a szerződést, amihez se neki, se a lakás leendő bérlőjének semmi köze, majd kiírja (gyakran a lakcímbejelentőre) a szerződés bármely adatát. Ezekből a magánszférában, de mindenképp másik ágazatban képződött, aligha tisztességesen ki- gyűjtött/felírt adatokból így egy részleges decentralizált kapcsolótábla áll elő, s ha a lak- címbejelentő lap a központi okmánytárba kerül, központi kapcsolótáblaként is felhasz-

(8)

nálható. A lakóhelyet változtató polgár személyes adatainak védelme, így koránt sincs biztonságosan megoldva. A lakóhely tulajdonosának személyes adatai pedig egyáltalán nincsenek megvédve. Több munkája és költsége lett a közigazgatásnak, de több a polgá- roknak is, az ügyintézés tovább tart. Az adatminőség egyrészt jobb, másrészt pedig rosz- szabb lett, mert a tisztességtelen adatgyűjtés ellen nincs biztosíték. Ezt a dilemmát önma- gában az információtechnológia (IT) (például smart card), nem oldhatja meg, mert ha az adatokat az érintettek „megkímélésével” különböző adatbázisokból szereznék be, akkor kizárnák az ügyben érintett személy(eke)t az információáramlásból.

Ágazatok közötti problémák

Mi történik, ha szervezetek másik ágazatba sorolódnak át? A közigazgatás gyakori átszervezései alkalmával az eddig X ágazatba tartozott szerv valamennyi személynyil- vántartásában valamennyi személy ágazati azonosítóját fel kell cserélni az Y ágazatéval.

Tételezzük fel, hogy történeti adatbázisok működnek, amelyekből adatot törölni nem szabad. Az Y ágazat képtelen lenne személyi adatbázisaiban a mindkét ágazatban érintett polgár X ágazatbeli azonosítójától megszabadulni, a csak az X ágazatban érintettek re- kordjaitól sem szabadulhatna, de azoknak saját ágazati azonosítót sem adhat ki. Mindez azt jelenti, hogy hiába konstruáltak külön egymástól független ágazati személyiazonosító-rendszereket, az ezeket elválasztó „kínai fal” iszapra épült, hiszen egy szervezeten belül lesz majd idővel X, Y, sőt még több más ágazat személyi azonosítója is ugyanennek a polgárnak. Ezáltal pedig a hivatkozott szervezeteknél megvalósul egy (el- osztott és részleges) kapcsolótábla (ha nem is szándékoltan és valószínűleg nem is igazi tábla formájában), a központi kapcsolótábla mellett.

A kapcsolati azonosítót minden polgárhoz egyértelműen hozzá lehet rendelni akkor, ha biztos, hogy minden polgár minden ágazatban rendelkezik egy és csakis egy személyi azonosítóval. Ha azonban mégsem így állna a dolog, akkor az eddig csak egy ágazatban szunnyadó hibák tovább fognak gyűrűzni a többi ágazat felé éppen a kapcsolótáblán át, és ott valószínűleg részben rejtett hibákként lerakódnak. Azok a személyek, akik például két személyi számmal rendelkeztek, most két TAJ-számot kapnak stb.

Az új belépők kapcsolati azonosítójának kiosztásának két lehetséges változatát is fel- vázoljuk, de más változatok is lehetségesek.

Az első változat: amikor minden személy minden ágazat felé egyazon kapcsolati azo- nosítóval rendelkezik. Új belépők esetén X ágazat valamelyik szervezetén belüli nyilván- tartásba bekerülő vagy onnan kikerülő polgár ágazati személyi kódja mellett mindjárt meg kell az ágazati központban jelennie a kapcsolati azonosítónak is. Vajon honnan fog- ják itt megtudni, hogy az illető polgár nem kapott-e már egy Y ágazatba előbb történt be- lépésekor ott egy (másik) kapcsolati azonosítót előzőleg? De beléphetett még előbb más Z ágazatba is (akkor ott is kapott már kapcsolati azonosítót), ezért valamennyi ágazatban az oda belépett valamennyi releváns személyt (az egymásnak megfeleltethető – mert ugyanarra a személyre vonatkozó – ágazati személyi azonosítókat) a teljes szövegű sze- mélyi adatokat is segítségül híva egyeztetni kellene. Ez igen költséges alternatíva lenne, ezért az a járható megoldás, ha az egyik ágazat (például a népesség-nyilvántartás) képezi az összes többi ágazati személyi azonosítót és a kapcsolati azonosítót is úgy, hogy jólle- het egy polgár még nem is alanya az adórendszernek, mégis megkapja az adóazonosító-

(9)

ját, sőt a TAJ-számát, és a kapcsolati azonosítóját már a személyi számával egyidőben.

Ez esetben viszont konzerváltuk az általános és kötelező, ágazattól független régi szemé- lyi szám kiosztásának mechanizmusát, csak éppen egyetlen személyi szám helyett a kap- csolótábla egy teljes sorát osztják ki egyszerre.

A második változat – hasonló megoldás – amikor a népesség-nyilvántartás kapcsoló- tömbként egy táblában kezeli a személyi számot, az adóigazgatás és a társadalombiztosí- tás felé pedig egy-egy technikai kapcsolókódot. Akár az adóigazgatás, akár a társada- lombiztosítás kezdeményez kapcsolatfelvételt, a saját kapcsolókódjukat küldik a közpon- ti táblába. Lényeges, hogy a személyi szám és az ágazati személyi azonosítók között köl- csönösen egyértelmű kapcsolat marad tárolva (igaz nem közvetlenül, hanem kapcsolati azonosító is közbe van iktatva). Ez a megoldás adatvédelmi szempontból sokkal kevésbé kifogásolható ugyan, mint az előző, habár zavaró hogy az „egyszer használatos kapcsola- ti azonosító” nem is feltétlenül egyedi, és korántsem egyszer, hanem rendszeresen hasz- nálják.

A fentiektől eltekintve azonban egy ilyen megoldás zavartalan működtetése szervezé- si okok miatt nehezebben lenne biztosítható, ha egyre több ágazathoz (vagy sok szerve- zethez) kellene külön-külön kapcsolati azonosítókkal kapcsolódni, márpedig erősödő nemzetközi, európai kapcsolatrendszerrel a közeli jövőben nagyon is számolni kell.

Ágazat és polgár kapcsolata

Ha minden egyes polgárral postai úton közlik az ágazati személyi azonosítóját, ez több százmillió forintba kerül. Ha a polgár ágazati azonosítója egyszerűen (például olyan csonkítással, hogy egyirányú legyen a leképezés) lenne képezhető a neki már régebben kiosztott másféle azonosító adataiból, akkor ezt a pénzt meg lehetne takarítani. Magának az azonosítónak a kipostázása is fölösleges kockázat (lopás, másolás stb.), melyet az ún.

stenográfia alkalmazásával csökkenteni lehet A kipostázás csak újonnan képzett és kiosz- tott mesterséges azonosító esetén elkerülhetetlen. Az ilyen azonosító viszont a polgár számára nehezen megjegyezhető, s ha ezért például rejtjelezéssel védve, csak gépi olva- sásra alkalmas ún. smart card-ban tárolva kapná meg, az drága és még el is lopható.

A manuálisan vezetett személyi nyilvántartásokban nagy költség az azonosítók átírá- sa. Ha az új ágazati azonosítókat egy jelenleg ezekben amúgy is nyilvántartott egyedi személyi azonosítóból (például az említett csonkítással) nyerhetnénk, ez a költség is nagyrészt megtakarítható lenne. Jól ismert, hogy a hatásos jelszóvédelem miatt óvatos- ságból inkább nem használják fel újra a régebben már kiadott jelszavakat, sem a termé- szetes személyi adatokat. Rá kell viszont mutatni arra, hogy a monogrammozaik egyrészt a fejből bemondott (benyújtott) természetes személyi adatokat, másrészt az ágazati adat- bázisban tárolt személyes adatokat csak mint mintavételi kiinduló alaphalmazt veszi igénybe. A polgár az ágazati ügyintézőnek bemondja fejből jól ismert adatait, és sem a polgárnak, sem az ügyintézőnek nem kell tudnia, hogy például nevének, születési helyé- nek, stb. mely betűi azok, amelyeket egy algoritmus a bemondott karaktersorozatból mint aktuális titkos jelszót kiemel. Ha az algoritmus ágazatonként eltérő, az ágazati személyi azonosító jelszó is ágazatonként el fog térni. Ha az algoritmus a polgár élete során bővü- lő személyes történeti adataiból merít, akkor az ágazatban a személyt azonosító jelszó időben változhat még akkor is, ha az ágazati algoritmus változatlan maradna.

(10)

A nem nyilvános ágazati személyi azonosító (jelszó) mellett célszerű egy igen rövid (ezért nem is egyedi), de könnyen megjegyezhető, a hatékony keresést elősegítő „gyorsí- tó eszköz”, amely ágazatspecifikus: az ún. „ágazati ellenőrzőszám” alkalmazása.

A több új, hosszú számsor megjegyzése – különösen idős polgároknál – nehéz, a megküldött adatigazolások elkallódhatnak, de az ún. mesterséges azonosítót a polgár va- lószínűleg felírja. Valamennyiünk életében már annyi azonosítót kiosztottak, mért ne le- hetne az új ágazati ellenőrzőszámokat egyszerűen ezekből a számunkra már ismertekből képezni? Nem csak egy ágazati azonosító generálásának bonyolult képlete jelentheti a biztosítékot arra, hogy az eredeti személyi számot ebből az azonosítóból nem lehet visz- szaállítani (kölcsönösen egyértelmű leképezés esetén az algoritmus megfejtésével egyéb- ként ez vissza is állítható), hanem a legegyszerűbb – a csonkításos – eljárás is (ahol a le- képezés csak az egyik irányban egyértelmű, ellenkező irányban információvesztés miatt többértelmű).

A közigazgatás és a magánigazgatás kapcsolata

Ha a közigazgatás ágazatain kívül van szükség személyazonosításra, például hogy egy civil szolgáltatást igénybe vevő polgár jogosultságát ellenőrizhessék, akkor a meg- bízható személyazonosítás céljából vagy magánnyomozóhoz, vagy a népesség- nyilvántartáshoz kell fordulni, vagy egy közigazgatás által kibocsátott személyazonosító igazolványra kell hagyatkozni. Magánigazgatás és közigazgatás ebből a szempontból gyakorlatilag szétválaszthatatlan.

A személyazonosítás referenciapontja tehát változatlanul megmaradt a népesség- nyilvántartáson és a közigazgatáson belül és kívül. Az ingatlan-nyilvántartás esetében ez a kapcsolódás nem csak lehetőség, hanem kötelező. A pénzintézetek esetében nem köte- lező, de aligha kerülhető ki, ugyanakkor a kapcsolódás esetleg felvetheti a pénzintézeti adatgyűjtés tisztességességének kérdését.

A PTK 38/A.§(2)-a alapján a pénzintézetnek megfelelően tájékozódnia kell a hitel- felvevő, illetve a kezes hitelképességéről, és a 4/1993(PK:16) BAF rendelkezés szerint adósminősítési szabályzatot kell kiadnia. Az adósminősítő rendszerekre általában jellem- ző, hogy igen sok adatot gyűjtenek, ezek jelentős hányadát azonban a döntéshez nem is használják fel [8]. A személyi jellegű hitelminősítés (credit scoring) régi és újabb mo- delljei gyakran tartalmazzák a „jelenlegi lakásban eltöltött idő” paramétert, amelyet a ké- relmező ad meg. Az ún. ECOA (Equal Credit Opportunity Act) és kiegészítései, a fejlett országokban bevezetett jegybanki, kamarai előírások nem engedik meg, hogy akár a ma- gánszemélytől, akár a közigazgatástól (lényegében hitelinformációként) a pénzintézet ennél több személyes adatot kérjen. Annak viszont nincs jogi akadálya, hogy a személyt azonosító adatokat ellenőrizzék, illetve ellenőriztessék például a népesség- nyilvántartással, ahonnan egyszersmind a jelenlegi lakásba való bejelentkezés dátumát is megtudakolhatják, amennyiben a polgár hozzájárul.

Nemzetközi kommunikáció

A nemzetközi kommunikáció, az országonként változó személyazonosítási megoldá- sok áthidalása vajon elképzelhető-e egy közös brüsszeli kapcsolótáblával, amely az EU-

(11)

tagországok polgárainak közös személyi hivatkozási rendszerét foglalná magába? Egy- hamar aligha, hiszen egyes tagországokban még személyi szám sincs. Kevéssé valószínű, hogy az Egyesült Királyságban, vagy Portugáliában azért vezetnének be ilyet, hogy pol- gáraik személyi, (esetleg ágazati) azonosítóit külföldön képezzék, tárolják. Tágabb nem- zetközi összefüggésben pedig még inkább állítható, hogy egy vegyes, de általában nem kapcsolótáblára támaszkodó megoldás jobban elképzelhető. Ennek egyik oka az orszá- gonként eltérő azonosítási megoldások. A hivatkozás egymás állampolgáraira vagy a tel- jes szövegű természetes személyi adatokkal, vagy például egy olyan rövidebb kóddal oldható meg homogén módon, amely lényegében az előbbi karaktersorozatból vett rész- halmaz, de az azonosításhoz még elegendő pontosságot biztosít. Ha azonban a teljes szö- vegű személyi adatokból ily módon egymásba kapcsolt (konkatenált) összetett azonosító ágazattól független értéket adna, az egyazon személyre hivatkozás eltüntetné – ami az adatvédelemnek éppen nem célja – az ágazati információrendszerek közötti válaszfala- kat, sőt az országok információrendszerei közötti határokat is. Ezzel szemben a természe- tes személyi adatokból kivágott, több egymást átfedő részhalmaz, amelyeket egy közös alaphalmazból, a személyi azonosító adatokból képeznek és országonként, illetve ágaza- tonként kissé eltérő változatok is kialakíthatók, feltehetően kielégíthetik a hazai és az eu- rópai adatvédelmi elvárásokat.

Az időben változó személyazonosítási megoldások áthidalása

Fontos gyakorlati szempont az ugyanazon személyre vonatkozó, de időben eltérő azonosítási megoldások közötti összhang megteremtése. Milyenek legyenek az egyes ágazati személyiazonosító-jelek, amelyeknek gépi kezelését több mint száz évre olyan előretekintő módon kell megoldani, hogy majd évtizedek múlva is vissza tudjunk keresni adatot, iratot abból a nagy adatvagyonból, amellyel a közigazgatás és a társadalombizto- sítás sáfárkodik? A felhasználó sokszor csupán régebben lezajlott, mással, máshol történt eseményekről ismer (néha hézagos) adatokat, és az esemény pontos adatairól, a doku- mentumokról másolatot igényel. A kereséshez célszerűen a természetes azonosítók jö- hetnek szóba, hiszen a mesterséges azonosítókat, ügyszámokat stb. hamar elfelejtik. Mi- lyenek legyenek annak a közigazgatásnak az azonosítói, melynek 50–100 éven át kell kezelnie és tárolnia különböző információkat és ezek adathordozó-kötegeit és emellett át- lagosan 5–7 évente a technológiaváltások miatt ki kell cserélni a számítógépeket? Rövid- látó szemléletre vall a csak az éppen most rendelkezésre álló technikához kötött azonosí- tó (például egy nyilvántartásban a sorszám, pointer, rejtjelkulcs, vagy adatbáziskulcs egy kapcsolótáblában stb.) alkalmazása. Az ún. mérlegelv elfogadása azt jelenti, hogy a je- lenleg működő információrendszerünk tudatosan visszafogott hatékonyságával képesek vagyunk „fizetni” azért, hogy az információrendszer hosszú távú működése során keve- sebb, a későbbi technikai generációváltások miatti probléma és költség merüljön fel. Ezt olyan axiómának tekintjük, amelynek alapján fennállhat egy általunk ún. index- szabálypárnak nevezett összefüggés.

A személyes történeti adatok ma csaknem mind papír iratokon – személyi számmal ellátva, de ha régi irat, akkor anélkül – találhatók. A történeti adatbázisok ezeknek az irattáraknak előbb csak katalógusai, később teljes szövegű kezelőrendszerei lehetnek. Ma azonban irattáraink még nagy részben papíron, kis részben mikrofilmen vannak, mág-

(12)

neslemezen csupán a legutolsó ismert állapot található. Erre épül majd rá a személyi tör- téneti adatbázis. A történeti adattárak esetében érvényes az ún. index-szabálypár:

– mennél hosszabb időhorizontot fog át az adattár, annál inkább célszerű és gazdaságos lehet a természetes azonosítók alkalmazása;

– mennél rövidebb az időhorizont, annál inkább tere lehet a mesterséges (törzsszám jellegű) azonosítók használatának.

*

A népesség-nyilvántartás nagyon hosszú távon őrzi, kezeli tételeit, indokolt tehát a természetes azonosítók alkalmazásának mérlegelése. A hosszú távon gazdaságosabb üzeműnek látszó kapcsolótábla gazdasági előnye esetleg teljesen el is vész, különösen, ha a központilag kiadott mesterséges azonosítók és külön kapcsolótáblák karbantartási, védelmi többletráfordításait, a többletadminisztráció költségeit is a mérlegre tesszük.

A személyre való hivatkozási pontosság szempontjából persze (rövidebb időszakra tekintve) egyértelműen a mesterséges, törzsszám jellegű azonosítás látszik megfelelőbb- nek. Érdemes azonban megmérni, hogy mekkora a gyakorlatban az a személyre hivatko- zó hibasáv, amely manapság a személyi számmal ténylegesen együtt jár. Ha ez a hibasáv szélesebb, mint az a hiba, amely természetes személyi adatokra épülő, vagy azokból és a mesterséges (például sorszám-) adatokból összetett kváziegyedi azonosításnál jelentkez- ne, akkor lehet, hogy nagyon is indokolt – legalább kiegészítő jelleggel – a kváziegyedi azonosítás alkalmazása. A kiegészítő alkalmazás például azt használná ki, hogy az ún.

monogrammozaik-eljárással [1] egy klaszterbe gyűjthetők a szinonima-hibák, tehát a hi- bafeltárás, a -mérés, és a -javítás céljára is jól felhasználhatók.

IRODALOM

[1] Mezey Gyula: Az új ágazati személyi azonosítójelek képzésének olcsó, gyors, alkotmánymódosítást nem igénylő, a 46/1995. (VI.30.) AB-határozatot kielégítő megoldása. Országgyűlés Hivatala. Budapest. 1995. 22 old.

[2] Vajnági András: A személyazonosítás problémái a közigazgatási nyilvántartásokban. Megjelent: Neumann J.Számítógéptudományi Társaság VI. Országos Kongresszusa. Siófok. 1995. április.

[3] Meadow, Ch.T.: Applied data management. John Wiley and Sons. New York–London. 1976.

[4] Gyimesi László: A fekete doboz. Közinforg konferencia. (Kézirat.)

[5] Schneider, B.: E-mail security - how to keep your electronic messages private. Wiley and Sons. New York–London.

1995. 365 old.

[6] Zimmerman, Ph.: Pretty Good Privacy. 1991.

[[7] Chaum, D.: Személyes adatvédelem rejtjelzéssel. Tudomány. 1992. október.

[8] Kiss Ferenc: Credit-scoring mint a döntéstámogatás eszköze. Doktori értekezés. 1996.

TÁRGYSZÓ: Információ. Adatvédelem.

SUMMARY

The article compares the advantages and disadvantages of two different technical approaches of gaining better privacy in the registers of the public administration. One approach is the socalled „Exchange Center” (or stored pointers) method, whilst the other approach is the socalled „raw personal data based” (or civil registra- tion based) method. Special attention is paid to the „worst case design” requirements against the technical ap- proach concerning some possible extreme legal environment, and to the risk of personal profiles’ byproduction in the data supply control data base of a central personal population register.

Hivatkozások

Letöltés most ( PDF - 12 Pldal - 202.30 KB )

KAPCSOLÓDÓ DOKUMENTUMOK

Korábban emberöltők is elteltek két új technikai vívmány – mint például a lovas kocsi és az autó – megjelenése között

Így ha például a hacker a tevékenységével a sértett ter- hére vesz igénybe egy emelt díjas telefo- nos szolgáltatást, amit majd a következő havi számlán a szolgáltató

Hogy élnek a magyarok?

Jelen tanulmány Magyarország és a külhoni magyar közösségek társadalmi és gazdasági helyzetére irányuló kutatási program eredményeibe enged betekinteni.. A

Személyi kapcsolati tőke

Meghatározhatjuk, hogy a személyi kapcsolati háló valamely személy olyan (közvetlen és közvetett) ismeretségi köre, amely számára hasznos informá­.. ciókat

Álmodtam,hogy álmodomÁlmodtam,hogy álmodom

Beke Sándor • Ráduly János • Álmodtam, hogy

Látható az is, hogy a 18

A már jól bevált tematikus rendbe szedett szócikkek a történelmi adalékokon kívül számos praktikus információt tartalmaznak. A vastag betűvel kiemelt kifejezések

Azt mondjuk, hogy az f(x) folytonos az a helyen, ha ∀ε &gt

¥ Gondoljuk meg a következőt: ha egy függvény egyetlen pont kivételével min- denütt értelmezett, és „közel” kerülünk ehhez az említett ponthoz, akkor tudunk-e, és ha

SZINTAXISBÓL A PRAGMATIKÁBA? HOGY

anyagán folytatott elemzések alapján nem jelenthető ki biztosan, hogy az MNSz2 személyes alkorpuszában talált hogy kötőszós függetlenedett mellékmondat- típusok

hogy a 2007-

In 2007, a question of the doctoral dissertation of author was that how the employees with family commitment were judged on the Hungarian labor mar- ket: there were positive