новости
Без права доступа, или пришло время взять контроль над персональными данными в свои руки

31 августа 2021

Кажется привычной ситуация, когда персональные данные являются источником прибыли для всех, кроме их владельца. Это можно изменить, если принять концепцию суверенной идентичности. Эксперт ассоциации «ФинТех» Дарья Петрова рассказала о том, как в цифровом мире вернуть контроль над собственными данными.

На сотнях, если не на тысячах серверов по всему миру сейчас хранится персональная информация каждого отдельного потребителя.  Постоянные утечки данных стали новой нормой. В результате мошеннических действий по всему миру в 2020 году было скомпрометировано порядка 11,06 млрд фрагментов персональных данных, включающих как личную информацию пользователей, так и их финансовые данные, например сведения о банковских счетах. За прошлый год в России утекло более 100 млн записей персональных данных и платежной информации. Почти 80% составила доля преднамеренных утечек. Это говорит об отсутствии в нашей стране единых стандартов защиты персональных данных граждан подобно успешно действующему режиму GDPR в Европе и про техническую неэффективность используемых систем. Это также указывает на необходимость перехода к более совершенной форме взаимодействия с данными.

Мы стараемся сохранить носители данных — у каждого дома есть папочка с документами, которая хранится в специально отведенном надежном месте. Но предоставляя эти тщательно хранимые документы по тому или иному запросу, мы не можем гарантировать, что в итоге наши данные не окажутся в руках мошенников.

Личные данные также уязвимы в онлайн-среде. Информация, которую мы предоставляем при регистрации в том или ином сервисе, хранится в централизованных базах данных. Если базы будут взломаны, то вы как пользователь даже не узнаете, украдены ли ваши личные данные. В апреле этого года, например,  в свободный доступ были слиты личные данные более чем 533 млн пользователей Facebook. В итоге, стали доступны номера телефонов, полные имена пользователей, даты их рождения, биографические сведения, уникальные идентификаторы социальной сети. Информация, которую мы бесплатно предоставляем компаниям, при этом позволяет им получать прибыль. На данных, как на сырье, строится бизнес IT-гигантов, которые зарабатывают на онлайн-рекламе. Только владельцы данных не получают от этого никакой выгоды.

И здесь вступает в игру суверенная идентичность. Self-Sovereign Identity (SSI) — это набор данных о личности, которыми можно управлять, делиться с третьими сторонами по своему усмотрению, а также отзывать к ним доступ. Отличительной чертой SSI (по сравнению с другими формами идентификации) является возможность для владельца данных решать, какую именно часть информации может увидеть третья сторона. Между эмитентом, владельцем и стороной, проверяющей идентификатор, устанавливается безопасный цифровой одноранговый канал, где ни одна из сторон, кроме владельца персональных данных, не знает предмета обмена.

Учетные данные пользователя, идентификационная информация, документы и данные не принадлежат платформе — они также не принадлежат эмитентам и верификаторам. Торговать нашими данными станет невозможно.

Можно проиллюстрировать использование SSI примером покупки бутылки вина в супермаркете. Кассир просит покупателя при оплате покупки предъявить удостоверение личности. Не желая делиться чрезмерной личной информацией с незнакомцем (например, Ф. И. О., дата рождения, место рождения, номер документа и проч.), покупатель генерирует QR-код из своего цифрового кошелька. Кассир сканирует QR-код и видит, что покупатель достиг допустимого возраста для употребления алкогольной продукции.

Не только паспорт, но и любые персональные данные могут быть переведены в формат SSI. С точки зрения технической реализации для этого можно использовать так называемые доказательства с нулевым разглашением — криптографические протоколы, позволяющие подтвердить какую-либо операцию, сохранив при этом конфиденциальность передаваемых данных.

Госорганы и корпорации в разных странах сейчас активно пилотируют SSI. Правительства Испании и Германии недавно подписали соглашение о разработке совместной международной пилотной программы цифрового удостоверения личности на основе принципа суверенной идентичности. В феврале правительство Германии объявило, что запустит цифровые удостоверения личности для граждан осенью 2021 года. В июне Евросоюз подтвердил, что планирует ввести европейский кошелек цифровой идентификации, который будет признан во всех 27 государствах — членах ЕС. Также аналогичные проекты запускаются в США, Великобритании, Турции, Южной Корее и т. д.

Мировой тренд - цифровая идентичность, основанная на стандартах безопасности, конфиденциальности и абсолютного контроля пользователей над своими персональными данными. Присоединится ли к нему Россия — это вопрос времени, подходящего технического и законодательного уровня, а также готовности пользователей взять контроль над своей идентичностью в собственные руки.

Источник: banki.ru