Обзор статьи “Digital identity – From emergent legal concept to new reality”. Автор: Sullivan C.

Sullivan C., Digital identity – From emergent legal concept to new reality, 2018, Computer Law & Security Review, V.34, № 4, Pages 723-731

Автор статьи: Clare Sullivan,

Center for National Security and the Law, 

Georgetown University, Washington D.C. USA

Обзор: Батухтина Софья
Студент магистратуры НИУ ВШЭ “Цифровое право”

В статье Клэр Салливан, приглашенный профессор Юридического центра и научный сотрудник Центра национальной безопасности Джорджтаунского университета, проводит общий ретроспективный анализ концепции цифровой личности, а также систематизирует собственные теории цифровой личности и идентификации. 

Развитие и элементы системы идентификации

Исторически личность имела второстепенное значение при совершении сделок. В современном мире необходимым условием для их совершения является идентификация, распространение которой автор связывает, в первую очередь, с изменением способов предоставления государственных услуг путем перехода в онлайн-среду. Реализация концепции e-government обусловила восприятие частным сектором стандарта «одна личность – одна идентичность. 

Однако предложенная автором причинно-следственная связь между появлением электронных государственных услуг и идентификацией как обязательным транзакционным атрибутом представляется недостаточно обоснованной. Это связано с обусловленностью распространения цифровой идентификации в частной сфере как прямыми регулятивными требованиями (например, нормами «антиотмывочного» законодательства (AMT/CTF)), так и совокупностью иных политико-экономических предпосылок. В подтверждение этому Клэр Салливан приводит традиционную для коммерческой практики транзакционную идентификацию при операциях с кредитными картами.

Автор включает в систему цифровой идентификации два этапа:

1. Аутентификация личности, которая происходит в момент регистрации в конкретной системе. Это этап сбора (записи) идентифицирующей информации для привязки человека к цифровой личности. При этом связь идентифицирующей информации и человека не является надежной, поэтому процесс идентификации имеет варьирующийся коэффициент ошибок. Надежность детерминирована типом информации, способами хранения и передачи, механизмом, используемым для сравнения, а также иными обстоятельствами.
2. Проверка подлинности.

Помимо алгоритма идентификации, Клэр Салливан выделяет два типа архитектуры идентификации на основе идентифицирующей информации:

1. Идентификация транзакций (transaction identity) – наиболее существенная и устойчивая информация (имя, дата рождения, пол, уникальный номер, собственноручная подпись, PIN-код и т.д.), необходимая для совершения сделок. В монографии 2011 года Клэр Салливан определяет ее как подмножество идентификации базы данных (database identity);
2. Иная идентификация, раскрытию которой автор не уделяет внимания в работе. При этом К. Салливан характеризует ее как сопутствующую, обширную и наиболее подверженную изменениям. 

Представляется, что выделение набора информации в качестве классификационного основания условно, поскольку не позволяет провести разграничение указанных типов: состав «транзакционной информации» также зависит от требований субъектов, осуществляющих идентификацию. Возможно предположить, что наиболее релевантным критерием является целевой признак, т.к. именно цель идентификации определяет (а зачастую для митигации рисков – лимитирует) состав информации (для этого субъекты, осуществляющие идентификацию, или субъект, устанавливающий правила, отвечают на вопрос: какой минимум данных необходим для идентификации стороны в конкретной сделке?). Таким образом, цель идентификации первичнее набора информации.   

Функции и правоспособность цифровой личности

К. Салливан дифференцирует функции идентификации в зависимости от набора информации. Так, функцией транзакционной идентификации является установление относимости к человеку, предоставившим информацию, и связи с цифровым идентификатором.

При этом возникает предположение, что сделки заключаются с человеком. Однако, учитывая особенности функционирования системы идентификации и совершения транзакции, автор приходит к выводу, что система взаимодействует с цифровой личностью. 

Цифровая личность не исчерпывается совокупностью идентификаторов и идентифицирующей информации: ее формирование обусловлено операционными функциями (машинным сопоставлением идентификационных данных, предоставленных при совершении транзакции, и данных, хранящихся в системе).  

С позитивистской точки зрения, цифровая личность правосубъектна, поскольку обладает правами и несет обязанности.

При этом автор в работе не разъясняет, какие права и обязанности характерны для цифровой личности: ограничиваются ли они операционным взаимодействием (которое потенциально может не содержать права и обязанности в правовом смысле, а представлять собой автоматизированную совокупность правил системы) или включают права и обязанности, возникающие в результате совершения сделки?

Международная цифровая идентификация

В качестве стандартов, принципы которых потенциально могут перейти в частную и наднациональную сферы, К. Салливан приводит официальные и де-факто схемы международной цифровой идентификации как часть инициатив по созданию электронного правительства. Особое внимание уделяется эстонской программе электронного резидентства 

Эстонская программа электронного резидентства (e-Residency) на основе технологии блокчейн является первой международной программой цифрового удостоверения личности для лиц, которые не являются гражданами Эстонии, не проживают и даже физически не находятся на ее территории. В рамках этой программы любой человек может стать виртуальным экономическим резидентом Эстонии, подав заявку на получение статуса е-резидента. 

Указанная программа позволила достичь экономического расширения и изменила понятие цифровой личности, превратив ее из национальной концепции в международную. Кроме того, e-Residency установила стандарты для аналогичных международных программ цифровой идентификации, введя требование о взаимном признании идентификатором и совместимости с рядом стран.

Иными рассматриваемыми системами являются единый цифровой рынок в ЕС (DSM), единая цифровая идентичность (SDI) как часть единого цифрового рынка, а также региональная система сертификации, которая обеспечит набор правил и технических требований в рамках перехода на DSM. 

Формирование новых способов ведения бизнеса с помощью международной цифровой идентификации создает новые риски. Так, наиболее значимыми являются мошенничество в рамках идентификационных процессов (создание поддельных идентификаторов), отмывание денег, а также группа рисков, связанная с идентификацией на основе технологии блокчейн (неуправляемые домены, неопределенные протоколы, необеспеченный уровень безопасности, непредсказуемость использования виртуальной валюты как средства снижения затрат на проверку личности при транзакциях). В качестве примера автор приводит случай Эстонии в 2017 году, когда в чипах электронного удостоверения личности e-Residency была обнаружена уязвимость. 

Право на цифровую идентичность

В связи с распространением идентификации и возможными рисками автор полагает целесообразным закрепление права на цифровую идентичность (в этой части обзора используется устоявшийся перевод «right to identity» как «права на идентичность»). 

В связи с тем, что работа представляет изложение результатов прошлых исследований, для раскрытия содержания права на цифровую идентичность необходимо обратиться к статье К. Салливан “Digital citizenship and the right to digital identity under international law”. 

Право на цифровую идентичность концептуально шире, чем право на точную и уникальную идентификацию личности, и включает право быть признанным и совершать сделки в качестве уникального индивида. Оно позволяет защитить, в первую очередь, «транзакционную информацию» - например, «публичную» информацию (имя, дата рождения, пол) в случаях ее неправомерного использования или ошибок системы, не позволяющих использовать идентификационные данные.

Целесообразность закрепления права на цифровую идентичность дополнительно основана на следующих аргументах:

1. Концепция privacy не охватывает в полной мере случаи нарушения права на цифровую идентичность. Privacy распространяется на случаи совпадения определенной информации с личными фактами человека вопреки его желанию, т.е. на информацию, являющуюся “частной по своей природе”, и не охватывает “публичную” информацию. Кроме того, право на идентичность не подвержено вмешательству со стороны государства и ограничениям, соответствующим общественным интересам.
2. Право на идентичность уже существует в международном праве: ст. 8 и 16 Конвенции по правам ребенка, Цели устойчивого развития, принятые Генеральной Ассамблеей ООН, позиция Европейского суда по правам человека о признании в соответствии со ст. 8 Европейской конвенции о защите прав человека и основных свобод права не только несовершеннолетних, но и взрослых на идентичность. 

В связи с указанной системой аргументов направлениями дальнейших исследований могут быть подробное обоснование предложения закрепить уже, по признанию автора, концептуально закрепленное право на цифровую идентичность и рассмотрение вопроса о соотношении права на идентичность, встречаемое в решениях ЕСПЧ, программных документах ООН, Конвенции по правам ребенка, и права на цифровую идентичность – действительно ли они принципиально отличны, или соотносятся как общее и частное?