SG.hu

Mégsem szabad ujjlenyomatokat tárolni a személyazonosító igazolványokban

Az Európai Bíróság az ujjlenyomatok nemzeti személyazonosító igazolványokban való szerepeltetésére vonatkozó uniós jog ellenében döntött.

Az Európai Bíróság (EUB) úgy döntött, hogy egy 2019-es uniós rendelet, amely az uniós polgárokat arra kötelezi, hogy a nemzeti személyazonosító igazolványokhoz adják meg ujjlenyomatukat, rossz jogalapra épül, és teljes mértékben érvénytelennek nyilvánította az uniós jogszabályt. A luxembourgi bíróság azt is kimondta, hogy a két ujjlenyomat feltüntetésére vonatkozó kötelezettség - annak ellenére, hogy az alapvető jogokat érinti - indokolt. A rendeletet a Digitalcourage - egy alapvető jogokért és az adatvédelemért küzdő német szervezet - megtámadta, mivel a személyazonosító igazolványok ujjlenyomat-kötelezettségét a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő Európai Alapjogi Charta aránytalan korlátozásának tartja. Bár a jogszabályt megsemmisítették, az Európai Bíróság bírája úgy döntött, hogy a 2019-től hatályos uniós rendelet mindaddig hatályban marad, amíg egy új rendelet hatályba nem lép, legkésőbb 2026 decemberében. Ellenkező esetben hatályát veszti.

Az uniós szabályozók előírták, hogy a nemzeti személyazonosító igazolványokban ujjlenyomatot kell használni az azonosító okmányok biztonságának növelése érdekében. Németország 2021-ben vezette be a rendeletet, és azóta ujjlenyomatot kér a személyazonosító igazolványokhoz. Emberi jogi csoportok azonban azzal érveltek, hogy az ujjlenyomatok kötelező gyűjtése aránytalan, hatástalan és nyitott a kormányzati visszaélésekre. A Digitalcourage megtámadta azt, kezdetben a német bíróságokon. Szerintük a személyazonosító igazolványokban előírt ujjlenyomat-kötelezettség a magánélet tiszteletben tartására és a személyes adatok védelmére vonatkozó Európai Alapjogi Charta aránytalan korlátozása. "Egy jelszót meg tudok változtatni ha az veszélybe kerül, de a biometrikus adatokkal ezt nem tehetem meg. Nem tudom megváltoztatni az ujjlenyomatomat, és azt könnyen megszerezhetik mások" - magyarázta Rena Tangens, a Digitalcourage alapítója és igazgatósági tagja.

Az uniós jogalkotók most ezt a 2026 decemberéig tartó időkeretet kihasználhatják arra, hogy megfelelő jogalapon alapuló új rendeletet dolgozzanak ki. Korábban a rendeletet rendes jogalkotási eljárás keretében fogadták el, de az Európai Bíróság szerint a rendelethez különleges jogalkotási eljárásra, azaz a Tanács egyhangúságára lett volna szükség. 2019-ben a Cseh Köztársaság és Szlovákia az ujjlenyomat-kötelezettséget bevezető rendelet ellen szavazott.


"Ha a tagállamok nem jutnak megállapodásra, az ujjlenyomatok további tárolásának és kötelező újbóli gyűjtésének jogalapja megszűnik" - mondta Anja Hoffmann, a Center for European Policy digitális gazdasággal foglalkozó szakértője. "Ez azt jelentené, hogy a nemzeti hatóságoknak ujjlenyomatvétel nélkül kellene személyazonosító igazolványokat kiállítaniuk, azok tulajdonosai pedig kérhetnék a személyazonosító igazolványokon már tárolt ujjlenyomatok törlését" - tette hozzá Hoffmann.

2021-ben Detlev Sieber, a Digitalcourage ügyvezető igazgatója pert indított a wiesbadeni közigazgatási bíróságon, miután elektronikus funkcióval ellátott személyazonosító igazolványt kért az ujjlenyomatainak benyújtása nélkül. A Digitalcourage azzal érvelt, hogy az uniós ujjlenyomat-kötelezettség beavatkozik az európai jogban rögzített alapvető jogokba. A wiesbadeni bíróság 2022 januárjában elfogadta a Digitalcourage érvelését arra vonatkozóan, hogy az ujjlenyomat-előírás nem egyeztethető össze az alapvető jogokkal, és a keresetet az Európai Bíróság elé utalta. Egy hónappal később a hamburgi közigazgatási bíróság felfüggesztette a személyazonosító igazolványok ujjlenyomat-kötelezettségét, amíg az Európai Bíróság előtti eljárás folyamatban van.

A német belügyminisztérium szerint az ujjlenyomatokat helyben, a személyi igazolványba épített chipen tárolják. A Digitalcourage szóvivője szerint azonban "a hatóságok által ma még biztonságosnak tartott tárolási módszer néhány éven belül könnyen feltörhetővé válhat". A teljes ujjlenyomatok tárolása növeli a személyazonosság-lopás kockázatát is, ha adatszivárgás történik, és ellentmond az általános adatvédelmi rendeletben (GDPR) meghatározott adatminimalizálás elvének - érvelt az adatjogi szervezet. A Digitalcourage véleménye szerint különösen nagy kockázatot jelent, hogy az ujjlenyomatokat a helyi kibocsátó hatóságok és a személyi igazolványt később legyártó vállalatok tárolják. Bár az adatokat ideális esetben a személyi igazolvány begyűjtésekor törölni kellene, az adatok akár 90 napig is tárolhatók.

A regionális hatóságok esetleg nem rendelkeznek megfelelő kiberbiztonsági intézkedésekkel ahhoz, hogy az ujjlenyomatokat megóvják a hackerek kezétől, így ebben az időszakban az ujjlenyomatok különösen sebezhetőek. Az uniós rendelet azt is a tagállamokra bízza, hogy az ujjlenyomatokat a személyazonosító igazolványok készítésén kívül más célokra is felhasználhatják-e. Ez azt jelenti, hogy az azonosításhoz levett ujjlenyomatok a nemzeti kormányok vonatkozó szabályozásától függően házkutatási parancsokhoz vagy más bűnüldözési célokra is felhasználhatók. Így a személyazonosító igazolványokhoz szükséges ujjlenyomatok gyűjtésének kötelezettsége már nem felel meg az uniós rendelet eredeti céljának, nevezetesen a szabad mozgás előmozdításának - áll a német szervezet keresetében.

Bár az adatjogi szervezet azzal is érvelt, hogy az ujjlenyomat nem hatékony eszköz a hamisítás elkerülésére, az Európai Bíróság úgy ítélte meg, hogy az arckép önmagában kevésbé hatékony eszköz az azonosításra, mint a kép mellett két ujjlenyomat.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Vanek úr #12
    Direkt nem reagáltam. Most is csak röviden és utoljára.
    1. Már elengedtem.
    2. Az egész vita a személyin lévő ujjlenyomatokról szólt (eddig, most meg írtál, amit). A szerveren lévőkről meg írtam. Úgyhogy most már tényleg nem értem, mi a gondod. De most már mindegy is, a témát is elengedtem...
  • Bruce_Willis #11
    1. Mindkétszer az általad említett módszer skálázhatóságáról írtam, csak még most sem érted.
    2. Nem tudom honnan szeditek ezt a butaságot, hogy csak a személyin lesz ujjlenyomat, és szerveren nem tárolják.
    Ennél fogva nincs miről beszélnünk.
  • Vanek úr #10
    Teljesen másról beszélsz. Az első reagálásodban azt írtad, "Az általad említett módszer elavult, és nem skálázható.", ami pedig az ujjlenyomat 'egyszerű, manuális' megszerzése volt. Most meg már valami bizniszről beszélsz, ami skálázható. De mindegy, akkor haladjunk innen (vagy kezdjünk innen).
    A személyin lesz az ujjlenyomatod. Ezt indiai hackerek hogy fogják feltörni távolról? Sehogyan. Hacsak ide nem jönnek a hardverért (a személyiért), és el nem lopják róla. Vagy el nem lopják onnan, ahol megvan máshogy (na, ezt meg tudják oldani távolról). Ezért említettem, hogy 'sokkal könnyebben máshonnan". Mert szerverekre való bejutást könnyebb távolról megtenni, mint egy offline, és netről elérhetetlen személyi adatait feltörni. És te ezt nem vagy hajlandó megérteni.

    Mellesleg megjegyzem, aki egyszer már 'találkozott' a rend éber őreivel, annak már van ujjlenyomata a rendőrségi rendszerekben.
    Akinek meg még nincs, annak sem biztos, hogy lesz. Mert meg lehet oldani úgy is a dolgokat, ahogy néhány fontos biztonsági dolog is megvan: nincs dekódoló algoritmus, csak kódoló; és csak összehasonlítanak két kódsort. Mint pl. a digitális aláírásod. Itt az ujjlenyomatot is meg lehet ugyanúgy oldani, mint ahogy már előttem említették: a személyin csak egy kódsor lesz, ami az ujjlenyomat kódolás utáni (akár csak hash ellenőrző) kódja lesz, amikor meg ellenőriznek, akkor az ujjlenyomatodat is egyből kódolják, és a két értéket hasonlítják egymáshoz. Nem egy ördöngősség, mint említettem, már van rá példa. De egyáltalán nem értek hozzá, így nem is értem, miket írok (és miért).

    És nem, nem bagatellizálom el a dolgot. De számomra ez nem jelent plusz kockázati tényezőt. És másnál sem, hiszen a bíróság is jogosnak ítéli meg a személyin való ujjlenyomat tárolást; csak a jogalap nem volt jó. És igen, azért lenne plusz egy faktor az ellenőrzésnél, mert a többit már könnyen lehet hamisítani (és gondolom, ebbe sokszor bele is futottak). Mint manapság a netbanknál, meg egy csomó appnál, amit a telefonodon is használsz. Többfaktoros hitelesítés, aminek az egyik 'faktora' az ujjlenyomatod, amit egyszer a rendszer már levett, és tárol.
    Itt megjegyzem, hogy a legszarabb akkor a helyzet, ha pl. a sütiket ellopva egy belépett állapotot tudnak felhasználni (ebben az állapotban 'már belépett'-ként lehetnek jelen, így nem is kell hozzá semmi ellenőrzés - vagyis így még a több faktoros bejelentkezések is kijátszhatók/megkerülhetők). Ugye, mennyivel egyszerűbb ez, mint a személyivel vacakolni?
  • Bruce_Willis #9
    Szerinted a mi maffia államunk nem használja ki az alkalmat, és nem tárolja el az ujjlenyomatot egy szerveren?
    Technikailag nem is tudom hogyan lehetne azt megoldani, hogy csak a kártya tárolja. Valahogy rá kell kerüljön, és ha már rákerül egy számítógépre, a kormányablakban, akkor arra mérget vehetsz, hogy visszaélnek vele.
  • felemelő #8
    Az ujjlenyomat személyin tárolása nem rossz elgondolás.
    Persze technikailag jól kell megoldani.

    Semmiként ne keverjük az állam szerverein tárolással. Attól hogy a személyin egy hash van az újlenyomatról, attól nem szükségszerű, hogy valamely szerveren is tárolni kell.

    Én úgy képzelem, hogy teljesen offline is megoldható.
    Persze "okoskártya" szükséges.

    A kártya egy azonosító, ha nem kötjük fizikailag is egy személyhez, akkor az azonosítás annyit is ér, vagyis nem sokat.
    Ha komoly azonosítás kell (egy értéket meghaladó a "tét"), akkor igenis okos lépés lenne, hogy a kártyát egy olvasóba dugva begépelve egy PIN kódot és az ujjunkat is rátéve a leolvasó scannerére a kártya hitelesíti, hogy aki ezt a kártyát használja, az valóban ugyanaz akinek ki lett állítva.

    De az ujjlenyomat nincs is benne, csak egy hash róla, de még ez sem olvasható ki, csak egy bejövő új ujjlenyomatról tudja eldönteni, hogy azonos-e a kártyabirtokoséval, és mindezt csak egy PIN megadása mellett, vagyis ezzel is nehezítve a visszaélést, vagyis csak a kártyatulajdonos akaratával megegyező esetben azonosítható személye az ujjlenyomattal.
  • Ellaberin #7
    Semmilyen biztonságot nem jelent mára az ujjlenyomatod. Aki készítettet már ujjnyomot rögzítő bármilyen igazolványt, szerződést, stb. az kb. akkor forog közkézen, amikor csak valamelyik embernek, csoportnak érdeke nem fűződik hozzá - az most lényegtelen éppen ki, mihez használná fel.
    De éppenséggel bizonyos országokba be sem léphetsz ezek levétele nélkül.
    Ugyanakkor csak az jelenthet problémát, ha csak ezzel az egyetlen azonosítással visszaélhetnek a személyiségeddel. Pl. valamilyen bűnügy ezzel valósul meg és a vádak csak erre alapozva nyernek bizonyítást.
    Mint ahogy az AI előre törésével körvonalazódni látszik - a beszéd, hang , kép összehangolt generálásával azt mondatnak ki veled amit csak akarnak -, hogy egyre kevésbé fogják a hatóságok ezt egyedüli bizonyítékként elfogadni, így kell eljárni a ujjnyom esetében is: önmagában vád nem állhat meg csak erre alapozva.

    (Az meg már számtalan sci-fi-ből is kiderült, hogy szinte kicsi az esélye, hogy lesz olyan egyedi azonosítója bárkinek, bármikor amit ne lehetne hamisítani, lemásolni. Tudom, hogy felvetődik a kérdés, hogy hogyan kerül ide a sci-fi, nos kb. úgy, hogy eddig és jelenleg is még a legjobb történeteket emberek írták és írják. Az is nyílt titok, hogy ezek a történetek számtalan már meg is valósult eszköznek és annak feltörésének adták az ihletet.)
  • Bruce_Willis #6
    Semmit nem értettél meg abból amit írtam.
    Nem tudom hogy jön ide a felbontás, vagy a minőség. Az, hogy skálázható egy biznisz, azt jelenti, hogy naggyá tud-e válni a szervezet, nemzetközileg is tud terjeszkedni, nem csak lokálisan egy szűk réteget ér el a termék, vagy szolgáltatás. Üzleti nyelven ezt a szót használjuk. Az általad említett módszer az azért elavult, mert csak néhány embert tud kifosztani vele a bűnöző, a környezetében, amelynek ráadásul nagy a lebukásveszélye.
    Az adathalászattal tízezrek ujjlenyomatát tudják megszerezni a bűnözők, a világ bármely pontjáról, ergo skálázható az "üzleti" modell.
    Minden tárolt adat biztonsági kockázatot rejt magában. Némelyik kevesebbet, némelyik sokkal többet. Mindez attól függ, hogy mennyire sebezhető egy hálózat.

    'Vagyis nem, nem a személyid ellopására fognak menni, ha az adataid fognak kelleni az indiai hackereknek. Sokkal könnyebben megszerezhetik máshonnan, és ezért említettem, hogy nem lesz PLUSZ biztonsági kockázat.'

    Azt, hogy egy adat "sokkal könnyebben máshonnan", nem tudom honnan szedted, vagy mire alapozod, mert láthatóan nincs ilyen alapú tájékozottságod. Én sem tudnám megmondani, melyik szerver a sebezhetőbb, nem is merek ilyen bátran kijelenteni ilyesmit, mint te, de az biztos, hogy a sebezhetőbb szervert fogják feltörni.

    "nem a személyid ellopására fognak menni, ha az adataid fognak kelleni az indiai hackereknek"
    A beszélgetésünk után, nehéz elhinnem hogy ismered a hackerek módszereit, Ráadásul, nem mindegyik csalónak ugyanaz a módszere.
    Ismétlem, minden tárolt adat biztonsági kockázatot jelent, és a sebezhetősége, az adat felhasználhatósága dönti el, hogy mennyire értékes.
    Ez alól nem kivétel a digitális személyiben tárolt ujjlenyomat sem.

    "akkor meg nem mindegy?!"
    Igen, azt írtam hogy nekik, akik a videókban szerepelnek, még ujjlenyomatra sincs szükségük, de ha a rendelkezésükre áll az is, még hatékonyabbak lesznek.

    Kurvára nem kellene senkinek elbagatellizálni a cikkben elhangzottakat, engedni a nyomásnak, és minden személyes adatot kiadni egy csettintésre.
    Örülnék, ha végre mindenki felfogná hogy az adatainkat meg kell védeni. Nem csak a hackerektől, hanem kezdve az az ártatlannak látszó applikácóktól és weboldalaktól, az IT óriásokon át az elnyomó államig.
    Jövőre, vagy már lehet az idén meg fog jelenni a Digitális Állam applikáció. Amely kezdetben ingyenes lesz, majd mikor már néhány millióan használják, kötelezővé fogják tenni, és majd minden szarra köteleznek az applikáción belül, de lehet hogy még monitorozni is tudják a tevékenységünket. Persze, gondolom szerinted nem fog majd "PLUSZ" kockázatot jelenteni az sem, az adatainkra nézve...

    Tudod, van az a mondás, hogy lassan a békát is meg lehet főzni.
    Hát.. ha birka módra bégetünk, akkor biztos!

    Utoljára szerkesztette: Bruce_Willis, 2024.03.27. 09:00:08
  • Vanek úr #5
    Elavult és nem skálázható? Miért? 5m-es nagyságban 8k-ben kell neked egy ujjlenyomat? Még a telefonok szenzora sem ilyen jó, pedig onnan aztán könnyebb törni, mint egy 'offline' személyiről. Ha meg online hackerekről van szó, akkor előbb törik fel a kormányzati szervereket, ahonnan a személyid nélkül is meglesz az ujjlenyomatod. Vagyis nem, nem a személyid ellopására fognak menni, ha az adataid fognak kelleni az indiai hackereknek. Sokkal könnyebben megszerezhetik máshonnan, és ezért említettem, hogy nem lesz PLUSZ biztonsági kockázat. - Nem mellesleg te is pont azt írtad le a legvégén példaként, hogy még az ujjlenyomatodra sem lesz szükségük - akkor meg nem mindegy?! :)
    Utoljára szerkesztette: Vanek úr, 2024.03.26. 23:17:57
  • kvp #4
    Ez egy komoly felreertes a jogalkotok es a tech vallalkozasok koreben is. Az ujjlenyomat nem jelszo, hanem egy egyedi felhasznaloi azonosito. Idealis esetben ennek egy hash-et kell tarolni, de elrakhato akar a teljes kep is, allami digitalis alairassal, hogy nehez legyen kicserelni.

    Persze ma mar egy ujjlenyomat masolhato analog es digitalis forrasbol is, mint ahogy ujabban mar a dns minta is duplikalhato laborban, igy lassan se a helyszinen hagyott ujjlenyomat, se a dns minta nem jelent majd bizonyito erot.

    Ettol fuggetlenul a szemelyiben tarolt ujjlenyomat egyszerubb es valamivel humanusabb megoldas az egyen azonositasara, mint mondjuk a borre tetovalt szemelyi azonositoszam.

    A lenyeg, hogy semmilyen jelszavas vedelemre nem szabad hasznalni, csak es kizarolag a szokasos hivatalos nev/anyja neve/szuletesi datum harmas helyettesitesere. Ez utobbiak ugyanolyan, nem megvaltoztathato szemelyes adatok mint az ujjlenyomat.
  • Bruce_Willis #3
    "Vagyis azzal, hogy a személyin/személyiben is benne van, szerintem nem jelent semmi plusz biztonsági kockázatot."

    Á dehogy...

    A tájékozottság a hasznodra válik, a véleményformáláshoz. Ehhez elég csak híreket olvasnod.
    Az általad említett módszer elavult, és nem skálázható.
    Manapság az adathalászat a trend a bűnözők köreiben, és feltörni egy szervert valószínű még kisebb lebukási kockázatot is jelent, mint ha meghívsz valakit egy bárban, majd meglopod. Főleg ha Indiából űzi a hacker a tevékenységet.

    Youtube-ba írd be: indian scammer cctv

    Jó szórakozást!
    És ők még ujjlenyomat nélkül is kicsalják a pénzt..