EIDAS 2.0 kreipiasi į savarankišką identifikavimą, kad suteiktų naudotojams nuosavybę ir kontrolę

Vis labiau augant skaitmeniniam komerciniam ir socialiniam pasauliui, patikima, visa apimanti tapatybė gali būti naudinga daugeliui tikslų ir tiek privatiems asmenims, tiek įmonėms.

Europos reguliavimo institucijos vis labiau supranta, kad tokia tapatybė turi išsaugoti naudotojo kontrolę ir privatumą. Šiuo tikslu jie ieško savarankiškos tapatybės technologijos, kad sukurtų sistemą, kuri užtikrintų tokią sistemą visoje Europos Sąjungoje. Be to, visa tai tampa įmanoma naudojant blokų grandinę ir kitas kriptografines technologijas.

eIDAS istorija

Elektroninės atpažinties, autentiškumo nustatymo ir patikimumo užtikrinimo paslaugos (arba eIDAS) – tai ES reguliavimo sistema, reglamentuojanti elektroninę atpažintį ir bendrąsias patikimumo užtikrinimo paslaugas, susijusias su elektroniniais sandoriais. Iš pradžių 2014 m. įsteigta eIDAS yra Europos Komisijos (EK) dėmesio Europos skaitmeninei darbotvarkei dalis, o bendras tikslas – skatinti inovacijas ES. Pagal šią reguliavimo sistemą reikalaujama, kad organizacijos taikytų aukštesnio lygio informacinį saugumą, daugiausia dėmesio skiriant ir sąveikumui, ir skaidrumui.

Konkrečiau, eIDAS ragina priimti Europos skaitmeninės tapatybės sistemą, kuri kiekvienam piliečiui ir įmonei suteiktų unikalius ir visiškai patikrinamus įgaliojimus. Tuomet juos būtų galima saugoti skaitmeniniu būdu, gauti prieigą prie jų ir naudoti įvairioms sąveikoms internetu ir visur ES.

Pirmasis bandymas įdiegti tokią tapatybės kortelę jau prasidėjo, tačiau iš pradžių ji nebuvo priimta palankiai ir jos diegimo lygis yra gana žemas. Šiuo metu tik apie 59 % ES gyventojų gali naudotis šiais tapatybės dokumentais, nes dar ne visos šalys juos įdiegė. Be to, pasigirdo balsų dėl susirūpinimą keliančių klausimų, susijusių su naudotojų autonomija ir privatumu, todėl pažanga dar labiau sulėtėjo.

Visa tai, taip pat kai kurie reikšmingi pokyčiai, įvykę pasaulyje per pastaruosius kelerius metus, pabrėžė, kad reikia peržiūrėti šias reguliavimo gaires taip, kad jos būtų lankstesnės, apsaugotų naudotojų teises ir galiausiai sudarytų prielaidas iki dešimtmečio pabaigos daug plačiau taikyti šiuos ID. Kad tai pasiektų, EK turi pasimokyti iš eIDAS 1.0 trūkumų, išnaudoti jos potencialą ir pereiti prie eIDAS 2.0.

eIDAS 1.0 trūkumai

Daugelis institucijų ir stebėtojų konkrečiai nurodė įvairius iš pradžių pasiūlytos reguliavimo sistemos elementus, dėl kurių ji buvo atmesta. Pavyzdžiui, teisės akte buvo reikalaujama nuolatinių unikalių identifikavimo kodų, kurie galėtų būti naudojami visą gyvenimą. Daugelis manė, kad tai pernelyg visa apimanti ir galiausiai neprotinga ir nesaugi praktika, kuria gali piktnaudžiauti vyriausybės ir įmonės.

Panašiai ir pirminėje eIDAS norėta, kad vyriausybės turėtų galimybę nuotoliniu būdu deaktyvuoti tapatybės kortelę ir taip atimti iš subjekto galimybę naudotis jo lėšomis, siekiant pažaboti neteisėtą veiklą. Ir šiuo atveju oponentai greitai atkreipė dėmesį į tai, kaip tai būtų pavojinga, nes vyriausybė galėtų „ištrinti” asmenį iš sistemos.

Be to, eIDAS 1.0 nėra gerai pritaikyta privačiajam sektoriui. Daugeliui privačių pramonės šakų yra per daug sudėtingumo ir kliūčių patekti į rinką. Jei ši eID negalės būti labiau paplitusi, tai vėlgi lems žemą jos diegimo lygį, nes visuomenė nenori turėti vieno asmens tapatybės dokumento, taikomo tokiems dalykams kaip įlaipinimas į lėktuvą ar mokesčių mokėjimas, ir visai kito, skirto bendrauti su prekyba.

Laimei, EK suprato, kad reikia pateikti naują eIDAS versiją. Todėl šiuo metu ji kuria eIDAS 2.0, kad išspręstų esamas problemas ir sukurtų daug funkcionalesnį ir patrauklesnį skaitmeninės tapatybės sprendimą.

eIDAS 2.0 privalumai

Naujajame pasiūlyme bus sprendžiami kai kurie svarbiausi klausimai, kurie stabdė pradinę sistemą. Pavyzdžiui, vietoj to, kad būtų nustatytas vienas griežtas asmens tapatybės dokumentas, kuris neribotam laikui atskleidžia viską apie asmenį, pagal eIDAS 2.0 struktūrą dabar galima taikyti lanksčią, savarankišką tapatybę (SSI), pagal kurią visos identifikavimo informacijos kontrolė visiškai perduodama į galutinių naudotojų rankas tiek viešosios, tiek privačiosios partnerystės sistemose.

Naudojant kriptografinius įrodymus, šie SSI gali suteikti galimybę patikrinti tik tam tikrus svarbius asmens elementus, reikalingus tam tikram sandoriui atlikti, nereikalaujant atskleisti visos jo informacijos. Šis pasiūlymas užtikrins aukštą autentiškumo lygį, kurio ieškoma esamose eIDAS, ir kartu bus apsaugotas vartotojų privatumas. Sujungus tai su decentralizuota blokų grandinės etosu, eIDAS 2.0 atstovauja vartotojų privatumo ir saugumo viršūnei.

Kalbėdama apie privatumo apsaugą, EK taip pat įvertino tai, kad reikia atlikti patikrinimus, kad socialinės žiniasklaidos platformos neturėtų prieigos prie jokios informacijos, išskyrus būtiniausią, reikalingą prieigai patvirtinti. Taip reaguojama į gerai užfiksuotus piktnaudžiavimo atvejus, kai „Facebook” ir kitos platformos dalyvavo renkant savo klientų duomenis.

Galimybė vartotojams kontroliuoti, kokia informacija leidžiama naudotis kitiems, yra nepaprastai svarbi, nes eIDAS 2.0 taip pat leidžia su šia eID saugoti įvairių tipų duomenis. Dabartiniuose teisės aktuose jau įrašytas reikalavimas pateikti tokią informaciją kaip vardas, pavardė, adresas, amžius, lytis, civilinė būklė, šeimos sudėtis, pilietybė, išsilavinimas, titulai ir licencijos, profesinė kvalifikacija, viešieji leidimai ir licencijos, finansiniai ir įmonės duomenys.

Tačiau EK numato, kad yra ir daug platesnių galimybių, kad šie asmens tapatybės dokumentai galėtų tvarkyti daug daugiau, pavyzdžiui, medicininę informaciją, kelionių istoriją, informaciją apie banko sąskaitas, ankstesnius sandorius ir daug daugiau. Jei tokio pobūdžio informacija yra saugi, ši tapatybės sistema iš tikrųjų gali būti daug patogesnė ir saugesnė kiekvienai šaliai.

Dar viena sritis, kurioje tai tampa labai svarbu, yra asmeninis bendravimas. Paprastiems asmenims ši sistema taip pat turi būti naudinga, nes jie gali patikrinti, su kuo jie, tarkime, kalbasi pokalbių grupėje arba iš ko perka daiktą aukciono svetainėje. Jei privatumo apsauga yra integruota, bet kuris naudotojas gali būti tikras, kad asmuo, su kuriuo jis bendrauja, yra teisėtas, ir tai suteikia dar vieną apsaugos lygį.

Viena svarbiausių viso šio proceso dalių yra tai, kad visa informacijos kontrolė perduodama į naudotojų rankas. Labai svarbu užtikrinti, kad jie turėtų išskirtinę prieigą prie savo asmeninės informacijos, nes tai paskatins vartotojų priėmimą ir sukels pasitikėjimą. Tą patį autentiškumo lygį galima pasiekti ir nepažeidžiant asmenų privatumo ar savarankiškumo. Sutelkus dėmesį į tai, tiek plačioji visuomenė, tiek įmonės bus kur kas palankiau nusiteikusios priimti tokią sistemą.

Nauji metodai, kuriais judama į priekį

Kadangi kai kurie siūlomos identifikavimo sistemos aspektai gali būti naudingi beveik kiekvienai pramonės šakai, dar reikia išspręsti kai kuriuos svarbiausius įgyvendinimo klausimus. Pirma, naujoji eID turi būti visiškai visuotinė visoje Europos Sąjungoje. Nepriklausomai nuo to, kurioje šalyje gyventojas užsiregistruoja, jo įgaliojimai turėtų būti vienodai galiojantys ir pripažįstami visose nacionalinėse valstybėse. Tai bus labai svarbu platesniam priėmimui, nes ankstesnėje versijoje sąveika buvo pagrindinė kliūtis.

Be to, reikia nustatyti apsaugos priemones, kurios neleistų trečiosioms šalims toliau kurti naudotojų profilių pagal šią naująją sistemą. Kaip minėta, naudotojai galės kontroliuoti, kokia informacija prieinama kitiems subjektams, tačiau tai nebūtinai užkirs kelią šioms šalims toliau saugoti ir kaupti bet kokią informaciją, kurią jos gali surinkti. Ilgainiui tai mažintų privatumą ir savarankiškumą, kuriam išsaugoti šie ID yra skirti.

Vienas iš būdų su tuo kovoti – užtikrinti, kad informacija visada liktų užšifruota, kad ji būtų tik prieigos raktas, bet jos niekada negalėtų perskaityti žmogus. Šiam tikslui gali būti naudingi nulinių žinių įrodymai, nes jie leidžia nepriklausomai patikrinti informaciją, neatskleidžiant, kokia ta informacija yra, ir daugelyje siūlomų SSI įgyvendinimo metodų ši technologija plačiai naudojama. Jie gali suteikti absoliutų patikinimą, kad ID yra teisėtas, nesuteikdami subjektui net galimybės pamatyti, o tuo labiau išgauti naudotojo duomenis.

Galiausiai, biometrinė informacija yra kertinis akmuo, suteikiantis saugią, neklastojamą prieigą prie tam tikros paskyros. Pirštų atspaudai, akies rainelės skenavimas ir kitų formų unikalūs fiziniai identifikatoriai gali būti nuosavybės ar prieigos patvirtinimo priemonė, o kartu su privatumo apsauga, kurią jau apibūdinome, gali reikšti, kad tiesiogine prasme tik įgaliotas asmuo galės naudotis savo unikaliu SSI.

Išvados

Galiausiai, tinkamai sukūrus šią tapatybės nustatymo sistemą, ji turėtų vienu metu pakeisti viską – nuo pagrindinių prisijungimo prie kasdienės prieigos prie svetainių iki vairuotojo pažymėjimų ir pasų. Nepaisant to, kad visa tai bus susieta su viena tapatybe, tai bus didžiulis žingsnis į priekį privatumo, saugumo ir naudotojų kontrolės srityje. Pirmasis eIDAS atliktas perdavimas pradėjo pokalbį ir leido bendruomenės nariams išsakyti savo nuomonę apie tai, kas, jų manymu, nėra teisinga. Laimei, EK įsiklausė ir pateikė naują sistemą, kurioje sprendžiami pagrindiniai susirūpinimą keliantys klausimai. Jei bus priimta, eIDAS 2.0 gali tapti revoliucijos, kaip turėtų veikti tapatybės nustatymas ir tikrinimas, pradžia ir gali išplisti į kitas jurisdikcijas visame pasaulyje.