Без права доступа, или Пришло время взять контроль над персональными данными в свои руки

Ситуация, когда персональные данные являются источником прибыли для всех, кроме их владельца, кажется привычной. Но это можно изменить, если принять концепцию суверенной идентичности. О том, как в цифровом мире вернуть контроль над собственными данными, рассказала эксперт ассоциации «ФинТех» Дарья Петрова.

Персональная информация каждого отдельного потребителя сейчас хранится на сотнях, если не на тысячах серверов по всему миру. И постоянные утечки данных стали новой нормой. В 2020 году в результате мошеннических действий по всему миру было скомпрометировано порядка 11,06 млрд фрагментов персональных данных, включающих как личную информацию пользователей, так и их финансовые данные, например сведения о банковских счетах. В России за прошлый год утекло более 100 млн записей персональных данных и платежной информации. Доля преднамеренных утечек составила почти 80%. Можно говорить об отсутствии в нашей стране единых стандартов защиты персональных данных граждан подобно успешно действующему режиму GDPR в Европе и про техническую неэффективность используемых систем. Но это также указывает на необходимость перехода к более совершенной форме взаимодействия с данными.

Сейчас мы стараемся сохранить носители данных — у каждого дома есть папочка с документами, которая хранится в специально отведенном надежном месте. Но вот парадокс: предоставляя эти тщательно хранимые документы по тому или иному запросу, мы не можем гарантировать, что в итоге наши данные не окажутся в руках мошенников.

В онлайн-среде личные данные также уязвимы. Вся информация, которую мы предоставляем при регистрации в том или ином сервисе, хранится в централизованных базах данных. Если базы будут взломаны, то вы как пользователь даже не узнаете, украдены ли ваши личные данные. Например, в апреле этого года в свободный доступ были слиты личные данные более чем 533 млн пользователей Facebook. В результате утечки стали доступны номера телефонов, полные имена пользователей, даты их рождения, биографические сведения, уникальные идентификаторы социальной сети. При этом информация, которую мы бесплатно предоставляем компаниям, позволяет им получать прибыль. На данных, как на сырье, строится бизнес IT-гигантов, которые зарабатывают на онлайн-рекламе. И только владельцы данных не получают от этого никакой выгоды.

И вот здесь вступает в игру суверенная идентичность. Self-Sovereign Identity (SSI) — это набор данных о личности, которыми можно управлять, делиться с третьими сторонами по своему усмотрению, а также отзывать к ним доступ. Главной из отличительных черт SSI (по сравнению с другими формами идентификации) является возможность для владельца данных решать, какую именно часть информации может увидеть третья сторона. Между владельцем, эмитентом и стороной, проверяющей идентификатор, устанавливается безопасный цифровой одноранговый канал, где ни одна из сторон, кроме владельца персональных данных, не знает предмета обмена.

Учетные данные пользователя, идентификационная информация, документы и данные не принадлежат платформе — они также не принадлежат эмитентам и верификаторам. Торговать нашими данными станет невозможно.

Использование SSI можно проиллюстрировать примером покупки бутылки вина в супермаркете. При оплате покупки кассир просит покупателя предъявить удостоверение личности. Не желая делиться чрезмерной личной информацией с незнакомцем (например, Ф. И. О., дата рождения, место рождения, номер документа и проч.), покупатель генерирует QR-код из своего цифрового кошелька. Кассир сканирует QR-код и видит, что покупатель достиг допустимого возраста для употребления алкогольной продукции.

Таких примеров может быть множество, не только паспорт, но и любые персональные данные могут быть переведены в формат SSI. С точки зрения технической реализации для этого можно использовать так называемые доказательства с нулевым разглашением — криптографические протоколы, позволяющие подтвердить какую-либо операцию, сохранив при этом конфиденциальность передаваемых данных.

SSI сейчас активно пилотируют госорганы и корпорации в разных странах. Недавно правительства Испании и Германии подписали соглашение о разработке совместной международной пилотной программы цифрового удостоверения личности на основе принципа суверенной идентичности. Правительство Германии в феврале объявило, что запустит цифровые удостоверения личности для граждан осенью 2021 года. Евросоюз в июне подтвердил, что планирует ввести европейский кошелек цифровой идентификации, который будет признан во всех 27 государствах — членах ЕС. Аналогичные проекты запускаются также в США, Великобритании, Турции, Южной Корее и т. д.

Цифровая идентичность, основанная на стандартах безопасности, конфиденциальности и абсолютного контроля пользователей над своими персональными данными, — мировой тренд. Присоединится ли к нему Россия — это вопрос времени, подходящего технического и законодательного уровня, а также готовности пользователей взять контроль над своей идентичностью в собственные руки.

Автор: Дарья Петрова

аналитик ассоциации «ФинТех»

Источник: BANKI.RU