Журнал о системах электронного документооборота (СЭД)
Веб-контент и порталы

Аватар от ФМС

  2 комментариев Добавить в закладки

Владимир Самохвалов

ОПРЕДЕЛЯТЬ: ... делать решенье, приговор,
постановленье властью.

Владимир Даль 1863

Определять в кутузку должны вежливо и тактично
"Вечерний Петербург"
4.08.2009

Интернет предоставляет нам невероятно гибкую, прозрачную, универсальную коммуникационную среду, возможности которой мы используем, зачастую, либо неразумно, либо не полностью. Особенно наглядно и болезненно это стало проявляться по мере вовлечения в электронные коммуникации юридически значимой информации, в частности – персональных данных. Целостность и прозрачность сети сыграли злую шутку: данные оказались слишком общедоступными, а внедряемые административно топорные методы их защиты – дорогостоящими и малоэффективными.

Разделяя протесты в адрес 152-ФЗ, все же нельзя не отметить, что ни на профессиональных форумах, ни в открытых письмах нет позитивной программы, нет предложений специалистов по радикальному решению проблемы защиты персональных данных, которая существует, к сожалению, не только в воображении чиновников.

Некая схема аутентичной идентификации, использующая традиционные для интернета, привычные для пользователей логины, ники, аватары, но в юридически значимом варианте, была предложена в статье  "Аватар вместо персональных данных". Ниже будет дано несколько упрощенное, но более наглядное изложение темы.

Роль персональных данных в информационных системах заключается в том, что они дают возможность "определить" (термин 152-ФЗ) человека, т.е. однозначно сопоставить некие информационные артефакты конкретному физическому лицу. Из-за этого при совершении практически любого сколько-нибудь значимого действия сервис-провайдерам приходится фиксировать необходимый  для "определения" набор идентифицирующих реквизитов: ФИО, место и дата рождения, номера документов и т.п., а потом еще и охранять его, подвергаясь проверкам и прочим неприятностям.

Это не что иное, как примитивная проекция в интернет традиционных методов реального мира. Но электронная среда предоставляет достаточный набор возможностей, чтобы реализовать функцию "определения" физического лица, не тиражируя по всей сети его персональные данные. В сущности, функция "определения" и сейчас прекрасно работает: если на каком-то форуме какой-то лоботряс, пусть даже прикрывшись логином, сильно обидит кого-то из власть имущих, его "определяют" настолько юридически значимо, что суд без колебаний выносит приговор.

Конечно, этому процессу нужно придать цивилизованную форму и сделать его в меру доступным и законодательно регламентированным при любом значимом электронном взаимодействии. Соответствующим механизмом могла бы быть выдача участникам коммуникаций обезличенных динамических интернет-паспортов, не содержащих персональных данных, но обеспечивающих:

а)  возможность в случае необходимости однозначно "определить" участника коммуникаций в соответствии с правами "определяющего" и законодательным регламентом такого "определения"

б) невозможность "определения" теми, кому это не положено и в ситуациях, когда такое "определение" не предусмотрено законодательно. 

Сегодня персональные данные настолько избыточно распространены, настолько многократно и массово сконцентрированы в удобные для хищения форматы, что реальная их защита практически невозможна. Отлов ритейлеров на Горбушке – достаточно бессмысленная реакция на проблему.

Но давайте задумаемся, в каких ситуациях по сути нужна семантика идентификационных персональных данных, кроме заказа визитных карточек и мемориальных табличек? В медицине, например,  врачу необходимо  иметь определенный уровень доступа к медицинским данным пациента, параметрам его медицинской страховки, а из идентификационных персональных данных знать, максимум, имя и отчество для вербального общения. В остальном процесс лечения не должен зависеть, скажем, от фамилии пациента: Иванов, Иванян, Иванидзе, адреса прописки и т.п.

Есть много ситуаций, когда необходима регистрация операции с идентификацией ее участников, чтобы обеспечить взаимные обязательства – оплата, гарантии, сервис и т.п. В целостной информационной среде все это может быть выполнено совершенно "техногенно" – без предъявления персональных данных.

Вообще я бы это назвал "тестом на системность": никакие данные, единожды зафиксированные в целостной информационной системе не должны повторно в нее вводиться. Т.е. при наличии в стране информационной системы зарегистрированный в ней гражданин НИКОГДА больше не должен быть вынужден вводить свои ФИО и другие атрибутивные данные.

Следует отличать предлагаемый механизм идентификации от всякого рода универсальных и социальных электронных карт. В силу своей материальной реализации они неизбежно несут в себе фиксированные идентификационные реквизиты. Любые фиксированные, многократно и длительно используемые реквизиты дают потенциальную возможность собрать и обобщить данные по человеку тем, кому это делать вовсе не положено.

В конечном счете, юридическая значимость коммуникаций нужна только на случай проверок и конфликтов. Из этого следует, что идентификационные данные участников коммуникаций самим участникам не нужны вообще. Недоразумения и конфликты либо разрешаются путем переговоров по тем же каналам, по которым стороны вступили во взаимодействие (т.е. в персонально-обезличенном варианте), либо к их решению должны быть привлечены правоохранительные органы.  Информационная система принципиально не должна давать материал для самосуда и неформальных разборок.

Упрощенно можно так описать процесс обезличенной идентификации: каждый участник коммуникаций получает в некотором регистрационном центре пачку обезличенных разовых электронных квитков, каждый из которых содержит некий псевдоним (логин, ник, аватар), сопровождаемый уникальным для каждого квитка кодом. Квитки могут быть параметризованы с указанием сферы применения, срока действия, лимита ответственности и т.п. Естественно, кому какие квитки выданы – запоминается. При взаимодействии в электронной среде стороны обмениваются своими квитками.

Технически имеется единственная возможность расшифровать квиток - только через того, кто его выдал. Но если кто-то запросит данные о человеке, предъявив лишь квиток, ему будет отказано. Если же будут предъявлены материалы, подтверждающих правонарушение, истцу тоже не дадут расшифровку, но в действие вступят правовые механизмы, которые уже позволят «определить» персону куда следует.

Как должна быть организована аутентификация, то есть "выдача квитков"? Поскольку вся эта система срабатывает, по существу, лишь в случае юридически значимого конфликта, а функцией "определения" (т.е. розыском для последующего принуждения) может заниматься только государство, то и первичная идентификация является неотъемлемой функцией государства. В его структуре есть соответствующее ведомство: Федеральная Миграционная Служба (ФМС). ФМС хранит наши идентификационные (т.е. необходимые для "определения") персональные данные, грубо говоря, в папочках с завязками, выпуская в белый свет лишь присвоенные нам коды.

Вторым уровнем идентификации должны служить банки, операторы мобильной связи и "Почта России"  — те, кто и сегодня уполномочен проводить идентификацию физических лиц. Они осуществляют первичную "реинкарнацию" физического лица в пространство электронных коммуникаций, устанавливая соответствие с кодами ФМС. В дальнейшем они обеспечивают человека пачками квитков, проставляя в них уже свои уникальные коды. Не то что идентификационные персональные данные, но даже коды ФМС в сети не распространяются.

В принципе, каждый участник системы электронных коммуникаций может иметь право выдавать своим контрагентам целевые интернет-паспорта уже от своего имени, сохраняя в архиве ссылку на исходный квиток, с которым контрагент у него зарегистрировался. Такой многоуровневый частно-государственный механизм хорош тем, что обеспечивает реальную техническую возможность регулирования степени контроля государством электронных коммуникаций строго рамками закона.

Возвращаясь к вопросу о защите персональных данных, обнаруживаем, что в такой среде все персональные данные, "гуляющие" по сети – обезличены. В базах данных пропадает необходимость использования идентификационных персональных данных в качестве ключевых реквизитов, поэтому хищение баз будет интересно лишь любителям статистики.

Изложенные принципы, хотя и имеют некоторые принципиальные отличия, в целом корреспондируются с принятой в США "Национальной стратегией доверенной идентификации в киберпространстве".

Похожие записи
Комментарии (2)
Сергей Рудин 19 сентября 2011 г. 15:35  

Идея интересна, но мне видится, как минимум, пара проблем.

Первая - как решить проблему мошенничества? Поясню. Если во все коммуникациях используются только квитки, что помешает мне, как злоумышленнику, взять/вычислить/подобрать чужой "квиток" и, пользуясь им, сделать что-нибудь нехорошее? Например, взять кредит в банке. Да, после того, как оплата не пойдёт, банк обратится в соответствующие органы, и принадлежность "квитка" выяснится, но, во-первых, человек то не при чём, а, во-вторых, деньги могут сменить уже много банков, и вернуть их уже нереально. Другими словами, как обеспечить однозначную привязку кода к персоне, не раскрывая при этом последнюю?

Вторая - кто будет контролировать уникальность "квитков"? Что помешает в целях  экономии или по несознательности пользоваться ими по нескольку раз? Оставлять без контроля такие вещи нельзя.

Как вариант, можно использовать какое-либо однонаправленное преобразование, вычисляющее на основе "квитка" и ещё какой-нибудь дополнительной информации (идентификатора второй стороны и штампа времени, например) код текущей операции. Так обеспечивается однозначная связь персоны и факта взаимодействия, но при этом не требутся выдача и контроль большого количества "квитков". Однонаправленность функции преобразования обеспечит конфиденциальность, а завязка кода на изменяемые параметры - уникальность.

Но даже при этом нет возможности получить данные о надёжностии и состоятельности партнёра (если только от него самого); в случае неприятностей узнать, с кем мы имели дело, можно только после того, как они случились. Согласитесь, неспокойно как-то работать с обезличенным нечто.

Владимир  Самохвалов 20 сентября 2011 г. 11:35  
Сергей Рудин, 19 сентября 2011 15:35 Идея интересна, но мне видится, как минимум, пара проблем. Первая - как решить проблему мошенничества? Поясню. Если во все коммуникациях используются только квитки, что помешает мне, как злоумышленнику, взять/вычислить/подобрать чужой "квиток" и, пользуясь им, сделать что-нибудь нехорошее?  
Вторая - кто будет контролировать уникальность "квитков"? Что помешает в целях экономии или по несознательности пользоваться ими по нескольку раз? Оставлять без контроля такие вещи нельзя.

Квитки, в отличие от любых материальных носителей типа УЭК, тем и хороши, что они могут быть динамически параметризованы. Они могут быть одноразовыми, однодневными, целевыми - только на определенный вид платежа или на определенный магазин, лимитированные по сумме платежа. Это минимизирует шансы "перехватить" актуальный квиток и возможные потери от перехвата. Уникальность обеспечивается механизмом генерации их кодов.

Но даже при этом нет возможности получить данные о надёжностии и состоятельности партнёра (если только от него самого); в случае неприятностей узнать, с кем мы имели дело, можно только после того, как они случились. Согласитесь, неспокойно как-то работать с обезличенным нечто.

Если брать наиболее массовую ситуацию ненужной публикации ПД - физлицо покупает нечто в интернет-магазине, то обычная схема - это предоплата, рисков у магазина нет, а вот получение им ПД покупателя новые риски и создает (152-ФЗ).

Если речь идет о контакте С2С, можно потребовать и получить, например, банковскую гарантию на контрагента без раскрытия его ПД. 

И уж, по крайней мере, такая схема не ухудшает существующее положение: знание идентификационных данных партнера ничего не говорит о его надежности.

Сейчас обсуждают
Евгений Кочуров 20 марта 2017 г. 07:49  
Юрий Зерин 18 марта 2017 г. 19:18  
Сергей Бушмелев 15 марта 2017 г. 22:47  
Елена Истомина 15 марта 2017 г. 13:08  
Сергей Бушмелев 15 марта 2017 г. 10:46  
Больше комментариев