don_katalan (![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
don_katalan) wrote2019-09-05 07:04 am
don_katalan) wrote2019-09-05 07:04 am
Пра электронную идентификацию, документооборот и персональные данные
STANISLAV KUKAREKA
Широкое распространение электронных коммуникаций и новых средств хранения и обработки данных открыло новые возможности не только перед экономикой но и создала специфические риски. В том числе возможности для прямых злоупотреблений со стороны неограниченного круга лиц и организаций (включая государственных служащих), либо возможности причинения ущерба третьим лицам в результате халатности, неосторожности или неких случайных факторов включая чисто технические отказы, аварии и т.д. Существующая (и традиционная) правовая и нормативная системы уже не отвечают современным требованиям и не учитывают этих новых возможностей, угроз и рисков связанных с фундаментальными и даже математическими свойствами самой информации, и особенностями современных технологий ее обработки. И потому не могут в достаточной мере выполнять своих функций, и в частности - защитить права граждан, и функционирование общественных механизмов. И потому те правовые нормы нуждаются в покращенни а многие вопросы там - у врегулюванни.
Предыдущие попытки врегулювання которые базировались на эволюции традиционного документооборота и административных процедур не принесли успеха а местами и создали новые проблемы. Именно ввиду принципиальной разницы в фундаментальных свойствах цифровой информации и способов работы с нею, и традиционных “документов” что долгими веками были технологической основой правовых, административных и прочих механизмов. И без учета этой разницы, правильного понимания и использования свойств и качеств этих новых технологий и возникающих возможностей и рисков задачи эти выполнены быть не могут. И потому требуется введение целого ряда новых понятий, концепций и принципов, и их согласование с уже существующими правовыми, хозяйственными и другими общественными механизмами.
Базовые понятия:
Идентификатор: Некая информация позволяющая надежно отличить один объект или субъекта от других, из некоторого их множества, в дальнейшем - “множества идентификации”. Примерами идентификатора может быть например номер автомобиля, или ИНН.
Публичный идентификатор: Идентификатор (см выше) доступный неограниченному кругу лиц (т. е. собственно “публичный”) позволяющий идентифицировать любой объект или субъекта из определенной категории. Как то например ФИО позволяющее идентифицировать физическое лицо.
Связанная информация: Любая совокупность данных, сведений и прочей информации которая может быть однозначно сопоставлена с одним или несколькими конкретными идентификаторами.
Идентификация: Процесс связывания идентификатора с неким набором связанной информации либо с другим идентификатором для того же самого объекта или субъекта.
Современные технологии обработки, хранения и передачи информации позволяют накапливать, хранить и обрабатывать значительные объемы связанной информации и получать к ней доступ. Что может создать предпосылки для нарушения прав и интересов тех или иных субъектов, включая лиц физических и юридических, а так же самого государства и отдельных его органов. С учетом высоких темпов роста накопления связанных данных, уже накопленными их объемами и по сути бесконтрольному к ним доступу, включая даже черный рынок - угрозы эти возрастают и становятся неприемлемыми. И потому процессы накопления связанных данных, их использования и доступа к ним нуждаются в упорядочивании, ограничении и регулировании.
Следует заметить что на сегодняшний момент просто не существует сколь нибудь надежных методов технических как равно и организационных позволяющих ограничивать и контролировать использование и распространение информации находящейся у неустановленного круга лиц. Практически единственным действенным способом избежать несанкционированного использования информации является отсутствие к ней доступа, а еще лучше - отсутствие самой информации. Именно потому именно тайна (или анонимность как минимум) является наиболее действенной стратегией защиты в цифровую эпоху. А анонимность - это и есть отсутствие информации для идентификации. И это факт чисто математический, который следует принять за аксиому.
И если защита прав и интересов субъектов требует отсутствия информации (или как минимум идентификации) то целый ряд других процессов требуют как раз ее наличия, и плодотворного использования. Что собственно и есть коллизией, конфликтом, который должен быть урегулирован, и именно в этом заключаются задачи регуляции в данной сфере. В том числе международной регуляции включая и GPDR которая в терминах данного документа - регулирует оборот информации связанной с публичным идентификатором особы...
Стратегия решения того конфликта и коллизии - проста, и кстати прямо определена в международных документах.
Не собирать (и не хранить) больше чем тебе действительно необходимо. Нет информации - нету проблемы.
Если уж собираешь (и хранишь) то лишь с согласия (и ведома) самой особы.
Если хранишь и собираешь - то обязуешься добросовестно использовать и контролировать доступ, то есть препятствовать доступу к этой информации со стороны третьих лиц.
Нести ответственность за эти действия.
Данные принципы вполне разумны и по сути неизбежны (в виду той самой международной регуляции), но не всегда просты в реализации, и оттого не всегда эффективны. Действенное воплощение этих принципов требует ряда организационных и технических мероприятий включая особенности архитектуры как информационных систем так и самих бизнес-процессов, а если по хорошему - то даже правовой и нормативной базы. И способствовать этому как раз и есть задачей регуляции. Хотя не только регуляции, там есть еще ряд мер которые могут существенно покращить положение и должны быть предприняты, включая разработку технологий, инструментальных средств, типовых решений, стандартов (и их референсных реализаций) и инвестиции в инфраструктуру, как финансовые так и интеллектуальные.
Но есть еще одна проблема, далеко не все согласны с такими принципами и доктриной. Есть ряд субъектов и целых организаций которые в каком то преимущественном доступе к связанным данным (и механизмам их сбора) желают видеть инструмент, источник конкурентных (или вообще силовых, или коррупционных) преимуществ, или просто саму суть бизнеса, просто продавая эти данные, тот или иной доступ к ним. При этом интересы и права каких то лиц там не являются приоритетом, а зачастую и напротив, доступ к данным есть там именно что инструментом нарушенья прав и попросту преступной деятельности. В тяжелых случаях речь может идти о угрозах даже не интересам отдельных лиц но целым отраслям и рынкам, а то даже национальной безопасности и политическим процессам, как это было с “Кембридж Аналитикс” например. И это еще одна коллизия, еще один конфликт который тоже должен быть урегулирован и разрешен.
Правильная архитектура систем (и бизнес-процессов) может значительно упростить решение этих задач и сократить риски. Как мы видим наиболее чувствительным моментом во всей этой конструкции является именно процесс идентификации, именно в таком смысле термина что был определен в данном документе. И именно этот процесс заслуживает там особого внимания что с точки зрения архитектуры так и возможной регуляции. И для дальнейшего рассмотрения вопроса нам нужно уточнить терминологию и определить термины.
Идентификация.
С точки зрения терминологии мы тут должны быть точны, и будем понимать под идентификацией именно процесс связывания некоего набора данных с “идентификатором”. И ничего кроме этого. Хотя в бытовом применении этот термин используется зачастую неправильно и вообще как попало, особенно в отношении “электронной идентификации” что стало очень модным термином но применяется безграмотно и спекулятивно. Идентификация это не “карточки” какие нибудь там, и не отпечатки пальцев. И даже не паспорт. Идентификация это ПРОЦЕСС. Даже в случае паспорта бумажного требуетсо само лицо (физически) которое сверяется там с фотографией к примеру (или иными данными) и выясняется информация что служит ИДЕНТИФИКАТОРОМ, как например ФИО, ну иногда там в совокупности с годом рождения. При этом паспорт тот (бумажный, или электронный) не является сам “идентификатором”, идентификатором там есть то самое ФИО, или какой то код. А паспорт, карточка или еще какой то документ является тут ФАКТОРОМ идентификации. Одним из факторов, где вторым фактором является всегда ваша морда лица. Как минимум. А возможно еще что то. Причем совсем не важно “электронное” оно или какое то другое.
Если мы говорим о “электронной идентификации” то она очень часто происходит вовсе без всякого паспорта, и зачастую от вас вовсе незаметно. Ну например при посещении почти любого сайта в интернете, даже там где у вас не спрашивали ни логина ни пароля. Зато сайт установил у вас в браузер “печеньку” и если вы зайдете туда второй раз то он будет уже знать что это тот же самый “вы”. И это идентификация. Другой вопрос что сайт не знает вашей фамилии, имя и отчества, и адреса прописки (а может быть и знает, но это отдельная история) и идентифицирует вас по какому то своему внутреннему номеру. Вот это и есть то самое “множество идентификации” что было упомянуто в терминологии. И в ряде случаев такой идентификации вполне достаточно. А вот попытка (без нужды) связать ту “внутреннюю идентификацию” с какой то другой, ну например с публичной (фамилией той самой) это уже как правило есть предпосылкою к проблемам и злоупотреблениям.
Тут следует обратиться к истории вопроса. Во многих случаях привязка к неким другим идентификаторам, в другом “множестве идентификации” , тем более к идентификатору публичному - вовсе не требуется. Продавец вам продавая молоко не нуждается в вашей фамилии, вы ему дали денег (и он видел что именно вы), он выдал вам товар, и на этом ваши отношения закончились. И тут вполне достаточно и визуальной идентификации. Более того, она “временная”, то есть сфера ее действия ограничена только данной сделкой что длится секунды, или там минуты. Он не должен был вас знать “до того”, и не должен “знать после”. Как впрочем и вы его, все необходимое для операции есть “тут и сейчас”, и деньги и товар. Но даже эту простую схему энтузиасты решили сильно усложнить, например кассовыми аппаратами и чеком что идентифицирует и сделку и сам аппарат, а значит и продавца, привязывая их к каким то “внешним” идентификациям, например в базе налоговой, и “скидочными картами” которые тут идентифицируют уже покупателя (что позволяет данные о нем собрать, и как нибудь использовать) и т.п. Все это появилось как раз вследствии развития тех предпосылок что описаны в вводной части, с развитием технологий что сильно упростили и облегчили сбор и обработку этой информации. Сделало ее использование рентабельным. В том числе и недобросовестное ее использование.
Тут следует заметить что еще в 90-х годах я лично получал деньги из США просто показав какой то очень длинный номер который мне чуть ли не по телефону надиктовали. И никого особо там не волновала моя фамилия к примеру. Хотя потом да, стали просить паспорт, но это были уже требования местных фискалов а не самой платежной системы. Таким образом они могли пересылать деньги по всему миру включая всякий там Китай и Пакистан, не связываясь с местными системами идентификации, паспортизации и прочего. Что было мудро, и иначе оно бы просто не смогло работать, не думаю что какой то американец смог бы правильно заполнить данные какого то китайского (или например иранского) паспорта, причем по телефону. Или советского к примеру, где даже латиницы ведь не было. И это еще хорошо если тот паспорт вообще есть у какого нибудь бедуина. Они там идентифицировали только саму транзакцию (тем самым номером) и все. И все работало. Сегодня это кажется нам диким, но 20 лет назад даже банкиры вовсе не стремились знать фамилию клиента своего. Даже фамилию, не говоря о прочем. И “счета номерные” не только в Швейцарии существовали, но даже советские сберкассы выдавали “на предъявителя”. В тоталитарной и забюрократизированной стране.
Это примеры систем с “локальной идентификацией”, и они доказали свою жизнеспособность сотнями лет практики. Более того, они были единственно возможными подчас, именно потому что они проще и надежнее чем попытки использовать идентификацию “внешнюю” или вообще “глобальную”, в те времена когда писали перьями (и даже печатали на ундервудах) использование “внешней идентификации” было слишком сложным, дорогим и ненадежным. Неустойчивым к ошибкам. Компьютеры это изменили, они облегчили использование “внешних идентификаторов”, но это не означает что они сделали его необходимым, и даже просто “желательным”. Тут нужно понять эту тонкую, но очень важную разницу.
Повальная тяга к “внешней идентификации” появилась позже, на волне борьбы с терроризмом (у них) и “наполнения бюджета” если у нас. И приобрела характер и размах несколько абсурдные и иррациональные. Желание службистов “все знать” понятно, и скорее даже инстинктивно, чем продиктовано действительной необходимостью. Понятно и желание владельцев всяких “сервисов” извлечь пользу какую то из данных которые их так или иначе заставил регулятор собирать. Но комбинация этих двух факторов принесла новые угрозы. Владельцы сервисов получив доступ к “публичным идентификаторам” получили в свои руки ценный товар (и сопутствующие соблазны) а службисты не смогли обеспечить должного контроля доступа к своим “надбанням”. И теперь уже даже не разберешь “откуда протекло”, то ли от “сервиса” то ли прямо от фискалов, ибо информация там проходит по сути одна и та же. И это есть архитектурная проблема всей этой конструкции, плоды излишнего энтузиазма и чрезмерных полномочий. Которые вместо того что бы решить проблему - ее усугубили. И тут как раз задача права, законов, регуляций и т.д. решить эту проблему, сбалансировав там интересы, хотелки ограничив до разумного и вообще “отрегулировав” систему которая давно пошла в разнос.
Решения там есть, и эти решения давно известны, в учебниках написаны. Решения именно архитектурные. И ключевым их элементом есть как раз локальная идентификация. К примеру вы купили что то в интернете, с доставкой. Тогда выходит продавец должен знать и ваш адрес (куда доставить) и номер паспорта (кому отдать) и т.д. Вы должны ему предоставить достаточно обширный объем “связанных данных” да еще и вместе с “публичным идентификатором”. И совершенно неизвестно что дальше будет с теми данными, сможет ли тот продавец их уберечь, и не пойдет ли сам он продавать их на базар. Да, есть GPDR, но тоже тут не факт что даже “дядя милиционер” там сможет все проконтролировать. Более того, заботы “дяди милиционера” недешево обойдутся для продавца (включая и коррупционную составляющую, без которой никуда у нас) и эти деньги вы заплатите в цене товара. Деньги немаленькие между прочим, но без всяких гарантий. Это проблема и тупик по сути, тупик в который упираются даже буржуи с их GPDR. Но на самом деле ведь ничего этого не надо, все это лишнее совсем, включая “дядю милиционера”. Совсем лишнее.
На самом деле вам нужно пойти на “почту”, то есть на “службу доставки” и получить какой то хеш, их “внутренний идентификатор”. В котором не написано ни как ваше фамилие ни даже адрес. Но его достаточно для продавца что бы товар отправить, ну и возможно еще - рассчитать стоимость доставки. Да, почта будет знать ваш номер паспорта (пока будет), продавец товара не будет иметь ваших персональных данных, и даже гемора с GPDR. Ему уже станет жить проще, а главное - дешевле. Вы попросту дешевле купите товар свой, даже если это будут гантели а не резиновая баба. А “дяде милиционеру” мы освободим довольно много времени для занятий чем нибудь более полезным, хотя быть может и менее выгодным, чем защита ваших “персональных данных” на неведомой какой то VPSке в далеких облаках. Вы можете сказать мне “а как же тут фискалы, где интерес бюджета?” Так я же заплатил тому продавцу. Деньги прошли, свой след оставили. Ищите и обрящете. Они и с моей стороны след оставили, и со стороны продавца, там ничего не изменилось. И это еще не все, это только самое начало, для иллюстрации.
Тот “внутренний идентификатор” от службы доставки - это называется “почтовый ящик” и такую услугу почта оказывала еще при СССР. И в принципе конечно, сопоставив что туда пришло (и от кого) можно там что нибудь понять. Теоретически. Хотя это уже довольно сложно, и без веской причины - никому не нужно. Но этот “ящик” может быть одноразовый. Для одной вообще посылки, и связать ее с другой посылкой (и абонентом) без помощи почты - будет сложно. Вот тут мы и приходим к сущности вопроса о “защите данных” в т.ч. персональных. Раскрытие данных о связи между разными идентификаторами (включая и публичный), или о связи идентификатора и “связанных данных”, мы получили тут дословно определение “идентификации” из раздела “термины”. И так вот просто можно написать в статью УК, мол “незаконная идентификация” или там “неавторизованная идентификация”. Все просто и понятно. Хотя еще сама “система электронная” вполне может все такие случаи не просто отслеживать но и просто осложнить до сильной затруднительности. Что сделает сие занятие банально нерентабельным не только для “должностных лиц”, но даже и для самих владельцев “служб”.
Но можно пойти дальше в этом плане. Можно прийти на почту и сказать “я Вася”. И паспорт даже не показывать, и ничего. Мол вот “я Вася”. Дайте мне кольцо в нос что “я Вася”, жетон какой то там, карточку, ключик в смартфон (или даже просто на емейл), да что попало. И они дадут, почему нет? Потом продавцу ты сообщил “номер жетона”, тот переслал товар. А почта отдала тому кто показал пайзцу. Все. Элементарно. Теперь даже почта не знает что ты такой и “неавторизованную идентификацию” совершить не может, даже если захочет вместе с продавцом товара в сговоре. Ну да, если у тебя “жетон” тот украдут, или “телефон с ключиком”, или злобный хакер сломает какие то 756 бит то ты посылку не получишь. Ты попадешь на пару гантелей или резиновую бабу. И по судам бегать потом тебе не с чем будет. Ну так и шо? Разве это трагедия? Да в тех судах из тебя самого резиновую бабу сделают, причем до дыр протрут, реально проще новую купить чем за ту старую - бороться. Всьо чьотко. Архитектура.
Но тут конечно сразу же вопросы, а если продавец тот мол торговал наркотой, или взрывчаткой, как нам потом ловить тех террористов-наркоманов? А то можно подумать что они сейчас их ловят, ага. Вон под любым кустом “закладки”, и гранату купить проще чем воздушку. Это не есть проблема. Если они так сильно хотят наркоманов ловить - я им могу много способов подсказать куда более простых (и результативных) чем поголовное чипование населения и “сквозная идентификация” при посещении сортира на вокзале. Хотя и тут есть выход. Сидит где то чувак специальный. А ты к нему приходишь, и дескать говоришь, “я Вася”. И он таки берет у тебя паспорт, и видит что ты “вася”, а не например “петя”. И выдает тебе жетонов сразу пачку. Для почты, для продавца гантель, для посещения сортира при вокзале, для Машки-проститутки (шоб в кредит дала) и для всего-всего-всего. И он таки в тетрадочку запишет что “жетон №345” даден был Васе, а не Пете. Или не Грише. И если тот “жетон” всплывет где то по делу о продаже плутония, то дядя майор таки найдет и того хлопца с его тетрадкой, и потом Васю. И задаст вопросы все его интересующие. Ну это если он его конечно найдет. А вот чтобы он его нашел, то для того следить нужно за ним. Ибо он есть единственной возможной точкой идентификации или там деанонимизации. И ежели дядя майор ему доверил уже это дело, то пущай за имуществом своим следит, и не теряет. И более того, пускай тогда уж тянет мазу до конца. И если что то где то “лишнее” всплывет там, то отвечает за базар, и ответственность несет по полной. Моральный блин ущерб размером в годову зарплату Вовка. Это как минимум. Даже если мне просто на почту спам придет. Ну как то так. Это - архитектура. А не вот это вот все из 1083.
Вот в этом всем быть может тоже есть какие то там косяки и минусы, и может быть их нужно обсуждать, но тут хоть есть что обсуждать. В отличии от навязчивых идей про “сквозную идентификацию” которая открыта всем ветрам еще by design. И тут по крайней мере есть понятность как это все внедрять, о чем впрочем простыню отдельную нужно писать.
Широкое распространение электронных коммуникаций и новых средств хранения и обработки данных открыло новые возможности не только перед экономикой но и создала специфические риски. В том числе возможности для прямых злоупотреблений со стороны неограниченного круга лиц и организаций (включая государственных служащих), либо возможности причинения ущерба третьим лицам в результате халатности, неосторожности или неких случайных факторов включая чисто технические отказы, аварии и т.д. Существующая (и традиционная) правовая и нормативная системы уже не отвечают современным требованиям и не учитывают этих новых возможностей, угроз и рисков связанных с фундаментальными и даже математическими свойствами самой информации, и особенностями современных технологий ее обработки. И потому не могут в достаточной мере выполнять своих функций, и в частности - защитить права граждан, и функционирование общественных механизмов. И потому те правовые нормы нуждаются в покращенни а многие вопросы там - у врегулюванни.
Предыдущие попытки врегулювання которые базировались на эволюции традиционного документооборота и административных процедур не принесли успеха а местами и создали новые проблемы. Именно ввиду принципиальной разницы в фундаментальных свойствах цифровой информации и способов работы с нею, и традиционных “документов” что долгими веками были технологической основой правовых, административных и прочих механизмов. И без учета этой разницы, правильного понимания и использования свойств и качеств этих новых технологий и возникающих возможностей и рисков задачи эти выполнены быть не могут. И потому требуется введение целого ряда новых понятий, концепций и принципов, и их согласование с уже существующими правовыми, хозяйственными и другими общественными механизмами.
Базовые понятия:
Идентификатор: Некая информация позволяющая надежно отличить один объект или субъекта от других, из некоторого их множества, в дальнейшем - “множества идентификации”. Примерами идентификатора может быть например номер автомобиля, или ИНН.
Публичный идентификатор: Идентификатор (см выше) доступный неограниченному кругу лиц (т. е. собственно “публичный”) позволяющий идентифицировать любой объект или субъекта из определенной категории. Как то например ФИО позволяющее идентифицировать физическое лицо.
Связанная информация: Любая совокупность данных, сведений и прочей информации которая может быть однозначно сопоставлена с одним или несколькими конкретными идентификаторами.
Идентификация: Процесс связывания идентификатора с неким набором связанной информации либо с другим идентификатором для того же самого объекта или субъекта.
Современные технологии обработки, хранения и передачи информации позволяют накапливать, хранить и обрабатывать значительные объемы связанной информации и получать к ней доступ. Что может создать предпосылки для нарушения прав и интересов тех или иных субъектов, включая лиц физических и юридических, а так же самого государства и отдельных его органов. С учетом высоких темпов роста накопления связанных данных, уже накопленными их объемами и по сути бесконтрольному к ним доступу, включая даже черный рынок - угрозы эти возрастают и становятся неприемлемыми. И потому процессы накопления связанных данных, их использования и доступа к ним нуждаются в упорядочивании, ограничении и регулировании.
Следует заметить что на сегодняшний момент просто не существует сколь нибудь надежных методов технических как равно и организационных позволяющих ограничивать и контролировать использование и распространение информации находящейся у неустановленного круга лиц. Практически единственным действенным способом избежать несанкционированного использования информации является отсутствие к ней доступа, а еще лучше - отсутствие самой информации. Именно потому именно тайна (или анонимность как минимум) является наиболее действенной стратегией защиты в цифровую эпоху. А анонимность - это и есть отсутствие информации для идентификации. И это факт чисто математический, который следует принять за аксиому.
И если защита прав и интересов субъектов требует отсутствия информации (или как минимум идентификации) то целый ряд других процессов требуют как раз ее наличия, и плодотворного использования. Что собственно и есть коллизией, конфликтом, который должен быть урегулирован, и именно в этом заключаются задачи регуляции в данной сфере. В том числе международной регуляции включая и GPDR которая в терминах данного документа - регулирует оборот информации связанной с публичным идентификатором особы...
Стратегия решения того конфликта и коллизии - проста, и кстати прямо определена в международных документах.
Не собирать (и не хранить) больше чем тебе действительно необходимо. Нет информации - нету проблемы.
Если уж собираешь (и хранишь) то лишь с согласия (и ведома) самой особы.
Если хранишь и собираешь - то обязуешься добросовестно использовать и контролировать доступ, то есть препятствовать доступу к этой информации со стороны третьих лиц.
Нести ответственность за эти действия.
Данные принципы вполне разумны и по сути неизбежны (в виду той самой международной регуляции), но не всегда просты в реализации, и оттого не всегда эффективны. Действенное воплощение этих принципов требует ряда организационных и технических мероприятий включая особенности архитектуры как информационных систем так и самих бизнес-процессов, а если по хорошему - то даже правовой и нормативной базы. И способствовать этому как раз и есть задачей регуляции. Хотя не только регуляции, там есть еще ряд мер которые могут существенно покращить положение и должны быть предприняты, включая разработку технологий, инструментальных средств, типовых решений, стандартов (и их референсных реализаций) и инвестиции в инфраструктуру, как финансовые так и интеллектуальные.
Но есть еще одна проблема, далеко не все согласны с такими принципами и доктриной. Есть ряд субъектов и целых организаций которые в каком то преимущественном доступе к связанным данным (и механизмам их сбора) желают видеть инструмент, источник конкурентных (или вообще силовых, или коррупционных) преимуществ, или просто саму суть бизнеса, просто продавая эти данные, тот или иной доступ к ним. При этом интересы и права каких то лиц там не являются приоритетом, а зачастую и напротив, доступ к данным есть там именно что инструментом нарушенья прав и попросту преступной деятельности. В тяжелых случаях речь может идти о угрозах даже не интересам отдельных лиц но целым отраслям и рынкам, а то даже национальной безопасности и политическим процессам, как это было с “Кембридж Аналитикс” например. И это еще одна коллизия, еще один конфликт который тоже должен быть урегулирован и разрешен.
Правильная архитектура систем (и бизнес-процессов) может значительно упростить решение этих задач и сократить риски. Как мы видим наиболее чувствительным моментом во всей этой конструкции является именно процесс идентификации, именно в таком смысле термина что был определен в данном документе. И именно этот процесс заслуживает там особого внимания что с точки зрения архитектуры так и возможной регуляции. И для дальнейшего рассмотрения вопроса нам нужно уточнить терминологию и определить термины.
Идентификация.
С точки зрения терминологии мы тут должны быть точны, и будем понимать под идентификацией именно процесс связывания некоего набора данных с “идентификатором”. И ничего кроме этого. Хотя в бытовом применении этот термин используется зачастую неправильно и вообще как попало, особенно в отношении “электронной идентификации” что стало очень модным термином но применяется безграмотно и спекулятивно. Идентификация это не “карточки” какие нибудь там, и не отпечатки пальцев. И даже не паспорт. Идентификация это ПРОЦЕСС. Даже в случае паспорта бумажного требуетсо само лицо (физически) которое сверяется там с фотографией к примеру (или иными данными) и выясняется информация что служит ИДЕНТИФИКАТОРОМ, как например ФИО, ну иногда там в совокупности с годом рождения. При этом паспорт тот (бумажный, или электронный) не является сам “идентификатором”, идентификатором там есть то самое ФИО, или какой то код. А паспорт, карточка или еще какой то документ является тут ФАКТОРОМ идентификации. Одним из факторов, где вторым фактором является всегда ваша морда лица. Как минимум. А возможно еще что то. Причем совсем не важно “электронное” оно или какое то другое.
Если мы говорим о “электронной идентификации” то она очень часто происходит вовсе без всякого паспорта, и зачастую от вас вовсе незаметно. Ну например при посещении почти любого сайта в интернете, даже там где у вас не спрашивали ни логина ни пароля. Зато сайт установил у вас в браузер “печеньку” и если вы зайдете туда второй раз то он будет уже знать что это тот же самый “вы”. И это идентификация. Другой вопрос что сайт не знает вашей фамилии, имя и отчества, и адреса прописки (а может быть и знает, но это отдельная история) и идентифицирует вас по какому то своему внутреннему номеру. Вот это и есть то самое “множество идентификации” что было упомянуто в терминологии. И в ряде случаев такой идентификации вполне достаточно. А вот попытка (без нужды) связать ту “внутреннюю идентификацию” с какой то другой, ну например с публичной (фамилией той самой) это уже как правило есть предпосылкою к проблемам и злоупотреблениям.
Тут следует обратиться к истории вопроса. Во многих случаях привязка к неким другим идентификаторам, в другом “множестве идентификации” , тем более к идентификатору публичному - вовсе не требуется. Продавец вам продавая молоко не нуждается в вашей фамилии, вы ему дали денег (и он видел что именно вы), он выдал вам товар, и на этом ваши отношения закончились. И тут вполне достаточно и визуальной идентификации. Более того, она “временная”, то есть сфера ее действия ограничена только данной сделкой что длится секунды, или там минуты. Он не должен был вас знать “до того”, и не должен “знать после”. Как впрочем и вы его, все необходимое для операции есть “тут и сейчас”, и деньги и товар. Но даже эту простую схему энтузиасты решили сильно усложнить, например кассовыми аппаратами и чеком что идентифицирует и сделку и сам аппарат, а значит и продавца, привязывая их к каким то “внешним” идентификациям, например в базе налоговой, и “скидочными картами” которые тут идентифицируют уже покупателя (что позволяет данные о нем собрать, и как нибудь использовать) и т.п. Все это появилось как раз вследствии развития тех предпосылок что описаны в вводной части, с развитием технологий что сильно упростили и облегчили сбор и обработку этой информации. Сделало ее использование рентабельным. В том числе и недобросовестное ее использование.
Тут следует заметить что еще в 90-х годах я лично получал деньги из США просто показав какой то очень длинный номер который мне чуть ли не по телефону надиктовали. И никого особо там не волновала моя фамилия к примеру. Хотя потом да, стали просить паспорт, но это были уже требования местных фискалов а не самой платежной системы. Таким образом они могли пересылать деньги по всему миру включая всякий там Китай и Пакистан, не связываясь с местными системами идентификации, паспортизации и прочего. Что было мудро, и иначе оно бы просто не смогло работать, не думаю что какой то американец смог бы правильно заполнить данные какого то китайского (или например иранского) паспорта, причем по телефону. Или советского к примеру, где даже латиницы ведь не было. И это еще хорошо если тот паспорт вообще есть у какого нибудь бедуина. Они там идентифицировали только саму транзакцию (тем самым номером) и все. И все работало. Сегодня это кажется нам диким, но 20 лет назад даже банкиры вовсе не стремились знать фамилию клиента своего. Даже фамилию, не говоря о прочем. И “счета номерные” не только в Швейцарии существовали, но даже советские сберкассы выдавали “на предъявителя”. В тоталитарной и забюрократизированной стране.
Это примеры систем с “локальной идентификацией”, и они доказали свою жизнеспособность сотнями лет практики. Более того, они были единственно возможными подчас, именно потому что они проще и надежнее чем попытки использовать идентификацию “внешнюю” или вообще “глобальную”, в те времена когда писали перьями (и даже печатали на ундервудах) использование “внешней идентификации” было слишком сложным, дорогим и ненадежным. Неустойчивым к ошибкам. Компьютеры это изменили, они облегчили использование “внешних идентификаторов”, но это не означает что они сделали его необходимым, и даже просто “желательным”. Тут нужно понять эту тонкую, но очень важную разницу.
Повальная тяга к “внешней идентификации” появилась позже, на волне борьбы с терроризмом (у них) и “наполнения бюджета” если у нас. И приобрела характер и размах несколько абсурдные и иррациональные. Желание службистов “все знать” понятно, и скорее даже инстинктивно, чем продиктовано действительной необходимостью. Понятно и желание владельцев всяких “сервисов” извлечь пользу какую то из данных которые их так или иначе заставил регулятор собирать. Но комбинация этих двух факторов принесла новые угрозы. Владельцы сервисов получив доступ к “публичным идентификаторам” получили в свои руки ценный товар (и сопутствующие соблазны) а службисты не смогли обеспечить должного контроля доступа к своим “надбанням”. И теперь уже даже не разберешь “откуда протекло”, то ли от “сервиса” то ли прямо от фискалов, ибо информация там проходит по сути одна и та же. И это есть архитектурная проблема всей этой конструкции, плоды излишнего энтузиазма и чрезмерных полномочий. Которые вместо того что бы решить проблему - ее усугубили. И тут как раз задача права, законов, регуляций и т.д. решить эту проблему, сбалансировав там интересы, хотелки ограничив до разумного и вообще “отрегулировав” систему которая давно пошла в разнос.
Решения там есть, и эти решения давно известны, в учебниках написаны. Решения именно архитектурные. И ключевым их элементом есть как раз локальная идентификация. К примеру вы купили что то в интернете, с доставкой. Тогда выходит продавец должен знать и ваш адрес (куда доставить) и номер паспорта (кому отдать) и т.д. Вы должны ему предоставить достаточно обширный объем “связанных данных” да еще и вместе с “публичным идентификатором”. И совершенно неизвестно что дальше будет с теми данными, сможет ли тот продавец их уберечь, и не пойдет ли сам он продавать их на базар. Да, есть GPDR, но тоже тут не факт что даже “дядя милиционер” там сможет все проконтролировать. Более того, заботы “дяди милиционера” недешево обойдутся для продавца (включая и коррупционную составляющую, без которой никуда у нас) и эти деньги вы заплатите в цене товара. Деньги немаленькие между прочим, но без всяких гарантий. Это проблема и тупик по сути, тупик в который упираются даже буржуи с их GPDR. Но на самом деле ведь ничего этого не надо, все это лишнее совсем, включая “дядю милиционера”. Совсем лишнее.
На самом деле вам нужно пойти на “почту”, то есть на “службу доставки” и получить какой то хеш, их “внутренний идентификатор”. В котором не написано ни как ваше фамилие ни даже адрес. Но его достаточно для продавца что бы товар отправить, ну и возможно еще - рассчитать стоимость доставки. Да, почта будет знать ваш номер паспорта (пока будет), продавец товара не будет иметь ваших персональных данных, и даже гемора с GPDR. Ему уже станет жить проще, а главное - дешевле. Вы попросту дешевле купите товар свой, даже если это будут гантели а не резиновая баба. А “дяде милиционеру” мы освободим довольно много времени для занятий чем нибудь более полезным, хотя быть может и менее выгодным, чем защита ваших “персональных данных” на неведомой какой то VPSке в далеких облаках. Вы можете сказать мне “а как же тут фискалы, где интерес бюджета?” Так я же заплатил тому продавцу. Деньги прошли, свой след оставили. Ищите и обрящете. Они и с моей стороны след оставили, и со стороны продавца, там ничего не изменилось. И это еще не все, это только самое начало, для иллюстрации.
Тот “внутренний идентификатор” от службы доставки - это называется “почтовый ящик” и такую услугу почта оказывала еще при СССР. И в принципе конечно, сопоставив что туда пришло (и от кого) можно там что нибудь понять. Теоретически. Хотя это уже довольно сложно, и без веской причины - никому не нужно. Но этот “ящик” может быть одноразовый. Для одной вообще посылки, и связать ее с другой посылкой (и абонентом) без помощи почты - будет сложно. Вот тут мы и приходим к сущности вопроса о “защите данных” в т.ч. персональных. Раскрытие данных о связи между разными идентификаторами (включая и публичный), или о связи идентификатора и “связанных данных”, мы получили тут дословно определение “идентификации” из раздела “термины”. И так вот просто можно написать в статью УК, мол “незаконная идентификация” или там “неавторизованная идентификация”. Все просто и понятно. Хотя еще сама “система электронная” вполне может все такие случаи не просто отслеживать но и просто осложнить до сильной затруднительности. Что сделает сие занятие банально нерентабельным не только для “должностных лиц”, но даже и для самих владельцев “служб”.
Но можно пойти дальше в этом плане. Можно прийти на почту и сказать “я Вася”. И паспорт даже не показывать, и ничего. Мол вот “я Вася”. Дайте мне кольцо в нос что “я Вася”, жетон какой то там, карточку, ключик в смартфон (или даже просто на емейл), да что попало. И они дадут, почему нет? Потом продавцу ты сообщил “номер жетона”, тот переслал товар. А почта отдала тому кто показал пайзцу. Все. Элементарно. Теперь даже почта не знает что ты такой и “неавторизованную идентификацию” совершить не может, даже если захочет вместе с продавцом товара в сговоре. Ну да, если у тебя “жетон” тот украдут, или “телефон с ключиком”, или злобный хакер сломает какие то 756 бит то ты посылку не получишь. Ты попадешь на пару гантелей или резиновую бабу. И по судам бегать потом тебе не с чем будет. Ну так и шо? Разве это трагедия? Да в тех судах из тебя самого резиновую бабу сделают, причем до дыр протрут, реально проще новую купить чем за ту старую - бороться. Всьо чьотко. Архитектура.
Но тут конечно сразу же вопросы, а если продавец тот мол торговал наркотой, или взрывчаткой, как нам потом ловить тех террористов-наркоманов? А то можно подумать что они сейчас их ловят, ага. Вон под любым кустом “закладки”, и гранату купить проще чем воздушку. Это не есть проблема. Если они так сильно хотят наркоманов ловить - я им могу много способов подсказать куда более простых (и результативных) чем поголовное чипование населения и “сквозная идентификация” при посещении сортира на вокзале. Хотя и тут есть выход. Сидит где то чувак специальный. А ты к нему приходишь, и дескать говоришь, “я Вася”. И он таки берет у тебя паспорт, и видит что ты “вася”, а не например “петя”. И выдает тебе жетонов сразу пачку. Для почты, для продавца гантель, для посещения сортира при вокзале, для Машки-проститутки (шоб в кредит дала) и для всего-всего-всего. И он таки в тетрадочку запишет что “жетон №345” даден был Васе, а не Пете. Или не Грише. И если тот “жетон” всплывет где то по делу о продаже плутония, то дядя майор таки найдет и того хлопца с его тетрадкой, и потом Васю. И задаст вопросы все его интересующие. Ну это если он его конечно найдет. А вот чтобы он его нашел, то для того следить нужно за ним. Ибо он есть единственной возможной точкой идентификации или там деанонимизации. И ежели дядя майор ему доверил уже это дело, то пущай за имуществом своим следит, и не теряет. И более того, пускай тогда уж тянет мазу до конца. И если что то где то “лишнее” всплывет там, то отвечает за базар, и ответственность несет по полной. Моральный блин ущерб размером в годову зарплату Вовка. Это как минимум. Даже если мне просто на почту спам придет. Ну как то так. Это - архитектура. А не вот это вот все из 1083.
Вот в этом всем быть может тоже есть какие то там косяки и минусы, и может быть их нужно обсуждать, но тут хоть есть что обсуждать. В отличии от навязчивых идей про “сквозную идентификацию” которая открыта всем ветрам еще by design. И тут по крайней мере есть понятность как это все внедрять, о чем впрочем простыню отдельную нужно писать.
Какие мрии!