Технологии цифровой идентификации, которые позволяют удаленно подтвердить личность пользователя, используются многими цифровыми сервисами. При этом, в отрасли вырабатываются различные подходы к методам идентификации пользователей. Например, вместо использования паролей, которые могут быть подобраны или украдены, появляются новые беспарольные системы идентификации. Экспертами ИРИ проанализированы основные подходы к идентификации в цифровой среде и выявлены существующие риски.
На сегодняшний день значительное количество онлайн-сервисов требуют идентификации пользователя. Идентификация может производиться с использованием различных данных, наиболее популярными из которых являются логин (например, адрес электронной почты или номер телефона), пароль, ФИО или иные персональные данные.
Тем самым в цифровой среде скапливаются большие массивы данных о пользователях, из-за чего возрастают риски утечек персональных данных, использования для регистрации чужих данных или подменных номеров телефонов.
Создание новых систем идентификации должно быть направлено на решение следующих задач:
повышение безопасности данных при идентификации;
обеспечение точности и достоверности идентификации;
снижение издержек по хранению данных;
минимизация передаваемых данных;
упрощение процесса проверки возраста;
ускорение получения различных кросс-платформенных услуг.
Потребность в новых системах идентификации сопряжена с концепцией Интернета 3.0 (Web 3.0), основной идеей которого является децентрализация данных, отсутствие единых серверов, хранение пользовательских данных исключительно на пользовательских устройствах.
Международные организации обращают внимание на существующие проблемы цифровой идентификации.
Из последних наднациональных документов, разработанных в сфере цифровой идентификации, были предложены проекты рекомендаций на базе ОЭСР и Регламента ЕС по системе цифровой идентификации.
Проект рекомендаций ОЭСР по внедрению и управлению цифровыми идентификаторами (далее – Рекомендации ОЭСР, Рекомендации) направлен на создание системы цифровой идентификации для физических и юридических лиц через цифровые реквизиты и кошельки, карты eID и мобильные ID-приложения.
Регулирование будет введено через создание «регуляторных песочниц» (экспериментальных правовых режимов), с помощью которых будут исследованы риски цифровой идентификации.
Также среди рекомендаций: внедрение приватности по умолчанию и проектируемой приватности; назначение национального контактного лица в целях трансграничного использования цифровой идентификации; внедрение надежных механизмов для обеспечения безопасности данных.
Окончательный вариант Рекомендаций должен быть представлен Совету ОЭСР для принятия в течение 2023 года. Хотя рекомендации не обладают юридической силой, они будут выступать в качестве документа, выражающего общую позицию стран-членов ОЭСР.
Это примечательно тем, что некоторые правопорядки стран-участниц ОЭСР находятся лишь в стадии разработки единого нормативного регулирования цифровой идентификации (Великобритания, Канада, Германия).
Стоит отметить, что исходя из текста документа, формулировки представляют собой общие рекомендации – направления, в которых стоит развивать цифровую идентификацию, но не предлагаются, не рекомендуются конкретные решения и механизмы того, как это может быть оперативно и эффективно оформлено на практике.
Регламент eIDAS, одобренный Европейским парламентом, создает общеевропейскую систему цифровой идентификации. По состоянию на май 2023 года проект Регламента находится на совместном согласовании Европейского парламента, Европейской комиссии и Совета ЕС.
Регламент представляет собой свод «лучших практик» по обеспечению доступа физических и юридических лиц к системе электронной идентификации и аутентификации с помощью кошелька цифровой идентификации (англ. the European digital identity wallet).
Кошелек будет доступен в качестве специального приложения для целей как офлайн, так и полностью виртуальной идентификации лица. Виртуальная идентификация будет необходима для получения государственных и частных услуг (в том числе открытия банковского счета), регистрации на сервисах, подтверждения возраста.
К кошельку предъявляются требования по обязательной сертификации. Страны-участницы ЕС обязаны назначить государственные и частные организации, аккредитованные для сертификации такого кошелька.
Интегрированные в кошелек электронные подписи (eSignature) позволят виртуально подписывать юридические документы.
В случае принятия Регламента, онлайн-платформы с более чем
45 миллионами европейских пользователей должны будут принимать цифровые идентификаторы в качестве учетных данных для входа в систему.
Помимо наднациональных проектов существует множество государственных и частных инициатив.
Многие из них реализуются по следующим технологиям, использующим сквозное шифрование:
1) Идентификация через ключи доступа (технология passkeys):
Данная функция является альтернативой традиционным паролям и передаче персональных данных пользователей для создания учетных записей. Повышение стандартов безопасности достигается за счет встроенных в устройство пользователя опций Touch-ID, Face-ID или приложений-менеджеров паролей, которые привязаны исключительно к пользовательскому устройству.
При регистрации пользователя на сайте или в мобильном приложении сторонних сервисов автоматически генерируется уникальный цифровой ключ, который в дальнейшем будет использоваться для входа в учетную запись. Этот идентификатор за счет открытого и закрытого ключей шифрования не доступен третьим лицам, так как даже при взломе сервера злоумышленник получит доступ лишь к открытому ключу, который не отображает информации об учетной записи или иных данных для входа.
Сегодня данная технология активно применяется в практике Apple, Google, Microsoft, а также тестируется VK.
Однако данный механизм несет в себе следующие риски:
ключи доступа зависят от конкретного устройства, потеря доступа к устройству влечет потерю идентификационных данных;
не все операционные системы и интернет-сервисы сегодня поддерживают ключи доступа;
ключ доступа может быть привязан к чувствительным биометрическим персональным данным (Touch-ID, Face-ID);
любой, кто получит доступ к устройству и, например, паролю, сможет пройти идентификационную процедуру.
2) Идентификация с помощью механизмов блокчейн:
Данный метод позволяет хранить информацию о личности в виде идентификаторов-токенов (токен – единица учета, запись в блокчейне) внутри виртуального кошелька.
Например, такие механизмы активно применяются на криптобирже Binance – сам факт наличия у пользователя кошелька с токенами Soulbound (SBT) подтверждает, что он прошел идентификационные процедуры KYC (англ. know-your-client) криптобиржи, следовательно, все его дальнейшие действия на платформе или в сторонних сервисах являются подтвержденными.
SBT-токены являются формой уникальных, невзаимозаменяемых токенов (англ. NFT, non-fungible token). Потенциально такие токены могут применяться не только для идентификации личности в виртуальном пространстве, но и для подтверждения наличия диплома об образовании, водительского удостоверения, доверенностей и иных юридически значимых документов (если они также оцифрованы в форме токенов) без их действительного предъявления или передачи содержащихся в них данных.
Однако концепция SBT-токенов возникла в рамках концепции децентрализованного общества (англ. decentralized society), которая предполагает также введение социального рейтинга на основе SBT-токенов.
Использование кошелька с идентификационными токенами позволит облегчить идентификацию лица на многих сторонних сайтах – сервисы будут автоматически удостоверяться в подлинности привязываемого пользователем кошелька с помощью механизмов открытого и закрытого ключей шифрования.
Децентрализованная идентификация предполагает, что уникальные учетные записи создаются и контролируются самими владельцами идентификационных данных, которыми могут выступать как физические лица, так государственные или частные организации.
Кроме того, для такого кошелька не требуется одно- или многофакторная идентификация (логины, пароли и т.д.), так как проверка информации происходит автоматически внутри блокчейна.
Испанской ассоциацией по стандартизации (UNE) выпущен стандарт UNE 71307-1 Digital Enabling Technologies, посвященный децентрализованной модели управления идентификацией на блокчейне и других технологиях распределенного реестра.
Испанский стандарт UNE 71307-1 определяет общую структуру для выдачи, управления и децентрализованного использования идентификаторов частных лиц или организаций, позволяя им создавать и самостоятельно управлять своей идентификацией без привлечения централизованных органов.
Проект по внедрению децентрализованной идентификации в финансовом секторе довольно динамично развивается в Сьерра-Леоне. Проект направлен на минимизацию передаваемых персональных и финансовых данных между субъектами.
Активно применяется идентификация на основе блокчейн в швейцарском кантоне Цуг, где пользователям доступна оплата парковки, регистрация для участия в выборах и получение иных государственных услуг через мобильное приложение UPort на базе блокчейн-платформы Ethereum.
Однако рисками внедрения такого механизма идентификации являются:
недостаточное обеспечение достоверности данных (например, любой, получивший доступ к кошельку с идентификаторами, сможет пройти идентификационную процедуру);
сложность механизма актуализации данных (данные, записанные в блокчейн невозможно изменить или удалить, не нарушив целостность цепочки записей);
не все устройства и интернет-сервисы совместимы с блокчейном.