هویت دیجیتال، امضای الکترونیکی و آنچه باید در سطح کلان کشور رخ دهد

نویسنده: راه پرداخت در تاریخ 12 آذر سال 1399 ساعت 13:46 0

پویا پوراعظم، مدیر تحقیق، توسعه و نوآوری شرکت سیمرغ تجارت / در مقابل آثار منفی همه‌گیری بیماری کرونا، مدتی است لزوم ایجاد بسترها و زیرساخت‌های ارائه خدمات پایه شهروندی، مالی و بانکی به‌صورت کاملاً غیرحضوری و الکترونیکی به مردم، از زبان مسئولین نهادهای حاکمیتی و متخصصان حوزه‌های مختلف به گوش می‌رسد؛ اما واقعاً برای آماده‌سازی فضاهای کسب‌وکاری، زیرساخت‌های قانونی/حقوقی و زیرساخت‌های فناوری برای امکان‌پذیر شدن ارائه خدمات عنوان شده به‌صورت غیرحضوری و الکترونیکی، چه اقداماتی در کشور انجام شده و چه نتایجی به دنبال داشته است؟ به نظر می‌رسد این مهم‌ترین پرسش در خصوص این مسئله باشد.

البته این نکته حائز اهمیت است که موضوع مورد بحث، ارائه آن دسته از خدماتی است که در حال حاضر فرایند شناسایی و اثبات هویت متقاضی در ثبت‌نام اولیه آن خدمات، بر اساس قوانین و مقررات موجود، به‌صورت حضوری (حضور فیزیکی متقاضی در محل ارائه‌کننده خدمت)، صورت می‌پذیرد.

ابتدا لازم است به این نکته توجه داشته باشیم که بسیاری از کسب‌وکارها برای مثال در صنعت مالی و بانکی، زیرساخت‌های فناورانه خود را برای ارائه این دسته از خدمات به‌صورت غیرحضوری و از طریق سازوکارهای شناسایی کامل الکترونیکی، فراهم کرده و پیاده‌سازی نموده‌اند. برای مثال بسیاری از بانک‌های کشور، سازوکار و قابلیت افتتاح حساب بانکی غیرحضوری برای مشتریان جدید خود را برطبق استانداردهای فنی و ملاحظات امنیتی که در نمونه‌های بین‌المللی نیز بهره‌برداری شده است، پیاده‌سازی و آماده کرده‌اند، اما به دلیل محدودیت‌های قانونی و حقوقی، اقدام به ارائه عمومی این خدمات، نکرده‌اند؛ لذا مسئله در بحث زیرساخت‌های فناوری نیست و در حوزه فنی به نظر می‌رسد که کمبود موردتوجه دراین‌خصوص، وجود ندارد.

آنچه کار را پیچیده کرده، این است که بسیاری از بانک‌ها و مؤسسات مالی اعتباری به‌درستی قصد دارند منطبق بر قانون و سیاست‌های نهادی حاکمیتی بالادستی، حرکت کنند و بنابراین این محدودیت‌ها باعث شده است که ارائه این‌گونه خدمات، به‌صورت عملی صورت نپذیرد.

منظور از مهیاسازی بسترهای قانونی، حقوقی و حاکمیتی دراین‌خصوص، مشخصاً شفاف‌سازی و تعیین الزامات اجرایی هویت دیجیتال و شناسایی الکترونیکی کاربران در سطوح مختلف خدمات و کسب‌وکارها و در برخی موارد بازنگری یا به‌روزرسانی قوانین موجود است. برای مثال در کشور آمریکا، مجموعه استانداردها و به روش‌های هویت دیجیتال با عنوان NIST 800-63 وجود دارد که مؤسسه ملی استانداردسازی و فناوری آمریکا (NIST) تحت نظارت نهاد امنیت اطلاعات فدرال (FISMA)، آن را تهیه و ابلاغ کرده است.

در اتحادیه اروپا نیز مجموعه‌ای از قوانین و مقررات در این راستا تصویب شده است که مهم‌ترین آن، قانون «خدمات شناسایی الکترونیکی، احراز هویت و اعتماد» یا eIDAS است که در سال 2014 تصویب و ابلاغ شده است. همچنین از جدیدترین قوانینی که در اتحادیه اروپا، ارائه خدمات اشاره شده مالی و بانکی را به‌صورت غیرحضوری و از طریق شناسایی الکترونیکی متقاضیان، تسهیل کرده است، نسخه پنج قانون مبارزه با پول‌شویی در اتحادیه اروپا یا AML5 است که در بخشی از آن، ارائه خدمات به‌صورت غیرحضوری و الکترونیکی در سطوح مختلف و به‌شرط رعایت الزامات اجرایی عنوان شده در قانون eIDAS، به رسمیت شناخته شده است.

همچنین استانداردهای فنی و معتبری در این حوزه تهیه شده است که می‌توان به استاندارد «اثبات هویت» با عنوان ISO/IEC TS 29003:2018 اشاره نمود. در کشور، تنها سند و قانون بالادستی رسمی و موجود در حوزه هویت دیجیتال و شناسایی الکترونیکی کاربران، سند «نظام هویت معتبر در فضای مجازی کشور» است (به‌غیراز قوانین سنتی مبارزه با پول‌شویی و مقابله با تأمین مالی تروریست) که در مهرماه سال 98 توسط شورای‌عالی فضای مجازی، تصویب و ابلاغ شده است.

این سند با اینکه لازم است اما کافی نیست، چرا که تقریباً بسیاری از ملاحظات قانونی، حقوقی و اجرایی این حوزه به‌مانند آنچه که در قوانین و اسناد حاکمیتی مورد اشاره در اتحادیه اروپا موردتوجه بوده است، در این سند تعیین و شفاف نشده است. سند «نظام هویت معتبر در فضای مجازی کشور» حاوی یک سری تعاریف کلان در حوزه هویت دیجیتال و شناسایی الکترونیکی متقاضیان خدمات کسب‌وکارهای مختلف در کشور و همچنین ابلاغ یک سری مسئولیت‌ها و وظایف برای سایر نهادهای حاکمیتی به‌منظور تدوین و تهیه سایر الزامات قانونی و اجرایی این حوزه است. برای نمونه وظایفی که بر اساس این قانون برعهده «وزارت ارتباطات و فناوری اطلاعات» گذاشته شده است.

حال برای آنکه موضوع کمی شفاف‌تر باشد، باید ببینیم آنچه که در نمونه‌های بین‌المللی در این حوزه برای مثال در قوانین و سیاست‌های اشاره شده در کشورهای اروپایی یا آمریکا موردتوجه بوده، شامل چه ملاحظاتی است که اتفاقاً عدم شفاف‌سازی، سیاست‌گذاری و تعیین الزامات دقیق در خصوص همین ملاحظات، باعث شده که ما در این زمینه در کشور به نتایج مورد انتظار و قابل قبولی دست پیدا نکنیم. اولین و مهم‌ترین موضوعی که باید توسط متولی حاکمیتی در سیاست‌گذاری‌های هویت دیجیتال و شناسایی الکترونیکی کاربران، حل‌وفصل شود، لزوم تعریف / تعیین «سطوح اطمینان تأیید هویت» یاIdentity Assurance Level و همچنین ارائه روشی برای تشخیص سطح اطمینان لازم برای تأیید هویت، توسط انواع کسب‌وکارها و خدمات در کشور است.

برای مثال در چارچوب NIST 800-63 و قانون eIDAS در اتحادیه اروپا، سه سطح اطمینان برای تأیید هویت (در eIDAS برای شناسایی الکترونیکی)، تعریف شده و برای هر سطح، الزامات و ملاحظات قانونی شامل نحوه اجرای مجاز شناسایی الکترونیکی و اثبات هویت کاربران، ارائه گردیده است. حال شاید سوال باشد، فرایند «تأیید هویت» دقیقا چیست؟ در واقع هر زمان که یک شخص یا متقاضی برای دریافت خدماتی به یک کسب‌وکار مراجعه می‌کند (علی‌الخصوص اولین مرتبه مراجعه وی)، هویت خود را ادعا می‌نماید؛ برای مثال با ارائه کارت ملی، ولی لازم است هویت ادعا شده، به روشی اثبات و تأیید گردد، مثلا از طریق انطباق چهره فرد مراجعه‌کننده با عکس درج شده روی کارت‌ملی ارائه شده یا عکس وی در سامانه ثبت احوال. البته این یک مثال ساده و تنها یکی از سازوکارهای این امر است.

برای نمونه، جدول زیر، تعریف کلان سند NIST800-63 از «سطوح اطمینان تأیید هویت» است:

از طرفی اینکه هر کسب‌وکاری چطور و بر اساس چه روشی باید «سطح اطمینان هویت» لازم برای ارائه خدمات خود را تشخیص و تعیین کند، باید توسط نهاد حاکمیتی در قانون و دستورالعمل‌های مربوطه، مشخص گردد. برای مثال باید مشخص باشد کدام کسب‌وکارها برای ارائه کدام‌یک از خدمات خود، می‌توانند از سطوح اول، دوم یا سوم تأیید هویت و شناسایی کاربران، استفاده کنند و هر سطح چه الزامات اجرایی دارد. به طور معمول برای این امر، استانداردی به‌منظور ارزیابی مخاطرات و اجرای آن توسط کسب‌وکارها با هدف تعیین سطح مخاطرات در خدمات کسب‌وکار خود؛ موردتوجه قرار می‌گیرد و در نهایت با استناد به نگاشتی (که در همان الزامات بالادستی ارائه می‌شود) بین سطوح اطمینان تأیید هویت و سطوح مخاطرات شناسایی شده در کسب‌وکار، امکان تشخیص سطح لازم برای عرضه خدمات توسط کسب‌وکارهای مختلف، وجود خواهد داشت.

درعین‌حال، نهادهای قانون‌گذار مختص هر صنعت مانند قانون‌گذار صنعت بانکی و مالی (بانک مرکزی) قادر خواهند بود در عین انطباق با سیاست‌های تعیین شده بالادستی و حاکمیتی، سطح اطمینان موردنظر برای تأیید هویت دیجیتال و شناسایی کاربران در ارائه هریک از خدمات حوزه خود را تعیین نمایند. در ضمن این سطوح اطمینان محدود به الزامات و ملاحظات شناسایی و هویت کاربران نمی‌شود و باید سطوح اطمینان ابزارهای احراز هویت (Authenticator) و خدمات احراز هویت هم‌پیمان (Federated Authentication) نیز توسط نهاد حاکمیتی متولی، تعیین شوند.

دقیقاً این موارد، همان خلأهایی هستند که دراین‌خصوص در کشور داریم و نیاز است به آن توجه گردد. درعین‌حال اقداماتی در سازمان فناوری اطلاعات در حال انجام است که انتظار می‌رود همین نیازمندی‌ها را پوشش و البته در یک بازه زمانی منطقی، خروجی ملموس و قابل بهره‌برداری تولید نماید. فراموش نکنیم که در این مقطع زمانی که همه‌گیری بیماری کرونا است، چقدر نیاز به وجود چنین قوانین و الزامات جدید داریم.

بانک مرکزی با تشکیل یک کارگروه تخصصی در راستای ارائه خدمات پایه مالی / بانکی به‌صورت غیرحضوری و الکترونیکی، پیش‌نویس سندی را تدوین نموده است. این سند حاوی همان الزامات و قوانین مورد انتظار بیان شده (البته در سطح نظام بانکی) به‌منظور اجرای فرایند شناسایی الکترونیکی و احراز هویت غیرحضوری مشتریان در ارائه برخی خدمات پایه بانکی مانند افتتاح حساب یا اعطای تسهیلات است. ابلاغ این سند به‌نظام بانکی، در برخی از بخش‌های آن با محدودیت قانونی بالادستی، روبه‌رو شده است.

این محدودیت به آیین‌نامه ماده (14) الحاقی قانون مبارزه با پول‌شویی – مصوب 1397- و تبصره 3 ماده 91 این آیین‌نامه مربوط می‌شود. آیین‌نامه مورد اشاره به پیشنهاد «شورای‌عالی مقابله و پیشگیری از جرایم پول‌شویی و تأمین مالی تروریسم» و با تصویب هیئت وزیران دولت، ابلاغ شده است؛ بنابراین در صورت بازنگری یا رفع این محدودیت، ابلاغ سند تدوین شده توسط بانک مرکزی نیز امکان‌پذیر می‌شود.

لازم به توضیح است که تقریباً در تمامی قوانین و دستورالعمل‌های مشابه در سایر کشورها، در سطحی از اطمینان هویت (بالاترین سطح اطمینان موردنیاز) که تأیید هویت حضور شخص (in-Person Identity Proofing) لازم است، اجرای آن علاوه بر روش حضور فیزیکی متقاضی، به روش از راه دور نظارتی (Supervised Remote) و از طریق اعتبارسنجی الکترونیکی عناصر ذاتی و بیومتریک متقاضی نیز پذیرفته شده است؛ البته که تحت شرایط و ملاحظات فنی و اجرایی خاص.

در نهایت باید توجه داشت یکی دیگر از زیرساخت‌های لازم در خصوص ارائه خدمات علی‌الخصوص خدمات پایه مالی و بانکی به‌صورت غیرحضوری و الکترونیکی، وجود زیرساخت‌های سازمانی و ملی امضای الکترونیکی، چه از منظر فناوری و چه از منظر قوانین و الزامات حقوقی است. امضای الکترونیکی کاربردهای فراوانی دارد که دو مورد از مهم‌ترین کاربردهای آن، احراز هویت کاربران برای استفاده از خدمات و مورد دیگر استنادپذیر گردیدن از منظر حقوقی و قضایی قراردادها و اسناد الکترونیکی است. در این حوزه نیز اقداماتی باید صورت پذیرد که البته باتوجه‌به شواهد موجود، اقداماتی نیز در حال اجر توسط متولیان حاکمیتی این موضوع، می‌باشد اما همچنان نتایج ملموسی به دست نیامده است.

اقداماتی که به نظر می‌رسد باید منجر به تفکیک دقیق و صحیح بین کارکردها و سطوح مختلف گواهی الکترونیکی امضا، اجازه صدور غیرحضوری گواهی امضای الکترونیکی برای کاربران با سطح اطمینان مورد انتظار، البته با رعایت ملاحظات امنیت اطلاعات یا رفع محدودیت‌های سخت‌افزاری در بحث امضای الکترونیکی؛ شود. رفع برخی از این موانع هم البته نیازمند سیاست‌گذاری‌ها و تعیین الزامات حاکمیتی پیش‌گفته است. توجه به برخی موانع پذیرش حقوقی و قضایی امضای الکترونیکی به‌منظور استنادپذیر شدن اسناد یا عملیات با هدف رفع آن‌ها، پاسخ به پرسش‌هایی از جمله اینکه، یک کارکرد مشخص مانند عقد قرارداد افتتاح حساب بانکی به‌صورت غیرحضوری، نیازمند چه سطح از گواهی امضای الکترونیکی است و آیا همچنان برای امضای الکترونیکی باید از روش‌های سنتی در نحوه تولید و ثبت امضا مانند توکن‌های سخت‌افزاری USB استفاده شود و یا لازم است با پیشرفت فناوری و تغییر الگوی عموم مردم در استفاده از فناوری، به سازوکارهای نوظهوری مانند امضای الکترونیکی مبتنی بر گوشی هوشمند نیز توجه نمود؛ بسیار ضروری است. این‌ها مواردی هستند که باید به‌صورت شفاف و دقیق در سیاست‌های امضای الکترونیکی در کشور که متولی اصلی آن، مرکز توسعه تجارت الکترونیکی می‌باشد، موردتوجه قرار گیرد و اقدامی تأثیرگذار با نتایج ملموس به همراه داشته باشد.

از طرفی متأسفانه عموم مردم یا حتی برخی از فعالان حوزه‌های فناوری نیز درک صحیح و دقیقی از مفهوم امضای الکترونیکی ندارند و دیده و شنیده شده است که وقتی صحبت از امضای الکترونیکی می‌شود، برخی تصور ترسیم یا تصویر دیجیتالی امضای نوشتاری را در ذهن دارند؛ در حالی که امضای الکترونیکی یک مفهوم بر پایه رمزنگاری و محاسبات کامپیوتری است که از منظر حقوقی و قضایی به همان اندازه امضای نوشتاری یا حتی بیشتر از آن، قابل استناد، امن و مطمئن می‌باشد؛ بنابراین ضروری است اقداماتی کلان برای آگاهی و فرهنگ‌سازی استفاده از امضای الکترونیکی، توسط متولیان امر صورت پذیرد.