Authors
Majles
احراز هویت رقومی (دیجیتال) بهعنوان رکن اساسی در فضای سایبری، جنبههای مهمی مانند امنیت، اعتماد عمومی و تحول کسبوکارها را به هم پیوند میزند. رشد سریع تبادلات الکترونیک نشان داده است که بدون سازوکاری مستحکم و انعطافپذیر برای احراز هویت، نهتنها مخاطرات امنیتی (مانند جعل هویت و تقلب) افزایش مییابد، بلکه ارائه خدمات برخط نیز دچار محدودیت و بیاعتمادی میشود. در این میان، توسعه فناوریهای نوین نظیر بلاکچین، هوش مصنوعی و تحلیل دادههای کلان فرصتی منحصربهفرد را ایجاد کرده تا بهبود فرایندهای تشخیص هویت، حفظ حریم خصوصی و مدیریت مخاطرات به شکل همزمان میسر شود. ماهیت رقومی (دیجیتال) خدمات احراز هویت بهویژه در حوزههایی نظیر فناوریهای مالی، تجارت الکترونیک و خدمات دولت هوشمند نیازمند چارچوبهای حقوقی و نظارتی جدیدی است که بتواند هم از حقوق کاربران حفاظت کند و هم انگیزههای لازم برای نوآوری را به وجود آورد. بر این اساس توسعه زیستبوم احراز هویت رقومی (دیجیتال) در ایران، بهرغم اقدامها و تلاشهای صورت گرفته با چالشهایی همچون خلأهای قوانین و مقررات جامع، عدم هماهنگی دستگاههای ذیربط و ضعف در آشنایی عموم مردم در مورد مزایا و شیوههای استفاده از این خدمات مواجه است. این گزارش میکوشد، با واکاوی تجارب بینالمللی و مدلهای موفق در کشورهای پیشرو، ابعاد حقوقی، فنی و نهادی را بررسی کرده و پیشنهادهایی برای بهبود وضعیت موجود و حرکت بهسوی نظام احراز هویت رقومی (دیجیتال) فراگیر، قابل اتکا و اثربخش ارائه دهد.
مطالعات و بررسیها نشان میدهد که ایجاد و اجرای یک چارچوب جامع قانونگذاری همراستا با تحول رقومی (دیجیتال)، نخستین گام برای تثبیت و گسترش احراز هویت رقومی (دیجیتال) در ایران است. در چنین چارچوبی، نقش هماهنگکننده میان نهادهای حاکمیتی و بخش خصوصی برجسته میشود و زیرساختهای فنی یکپارچه (همچون سامانههای گواهی رقومی و پایگاههای اطلاعاتی مشترک) زمینه را برای اطمینانبخشی به کاربران فراهم میکند. افزونبر این، لحاظ کردن شایسته سطوح مختلف اطمینان هویتی، بهرهگیری از ابزارهای چندعاملی و بیومتریک در فرایند احراز هویت و استفاده از فناوریهای نوین(هویت غیرمتمرکز) در راستای تقویت کارایی و امنیت، از اصول ضروری توسعه سازوکارها و نظام احراز هویت رقومی (دیجیتال) کشور قلمداد میشود. تجربه کشورهایی که در این زمینه پیشرو هستند نشان میدهد طراحی و پیادهسازی سازوکارهای ارزیابی و بازرسی مستمر نیز ضرورتی انکارناپذیر برای حفظ اعتماد عمومی خواهد بود.
1. طراحی چارچوب قانونی و نظارتی: تدوین و تصویب قانون جامع احراز هویت رقومی (دیجیتال) با هدف بازآفرینی قوانین و مقررات مرتبط با ابعاد گسترده احراز هویت رقومی و بهمنظور اصلاح زیستبوم فعلی و رفع چالشهای حوزه مذکور.
2. تقویت زیرساختهای فنی و امنیتی: ایجاد سامانههای متمرکز یا غیرمتمرکز مدیریت هویت، توسعه خدمات ثبت و تأیید هویت مبتنیبر نیازمندی هدف و بهرهگیری از قابلیتهای فناوریهایی مانند بلاکچین و هوش مصنوعی، که اولویتی کلیدی برای ارائه خدمات ایمن محسوب میشود.
3. ترویج فرهنگ و آموزش: آگاهیبخشی عمومی درباره نحوه استفاده از راهکارهای احراز هویت رقومی (دیجیتال) و مزایای آن، نقش مهمی در پذیرش و گسترش این خدمات دارد.
4. تشویق مشارکت بخش خصوصی: ایجاد فضای رقابتی سالم و ارائه تسهیلات لازم به کسبوکارهای ارائهدهنده خدمات هویتی رقومی (دیجیتال)، ضمن رعایت الزامهای امنیتی و حریم خصوصی، میتواند به توسعه این صنعت کمک کند.
5. توسعه پایش و نظارت مستمر: انتخاب و معرفی نهاد یا کارگروهی مشترک از دستگاههای حاکمیتی، بخش خصوصی و کارشناسان مستقل برای بررسی روندهای فناورانه، ارتقای شفافیت و ارتقای سطح اطمینان کاربران، گامی ضروری در حفظ پویایی نظام احراز هویت رقومی (دیجیتال) خواهد بود.
هویت رقومی (دیجیتال) به مجموعهای از ویژگیها، شناسهها و دادههایی گفته میشود که در فضای مجازی به یک موجودیت اعم از شخص حقیقی، سازمان، ابزار یا نرمافزار نسبت داده میشود. این ویژگیها میتواند دربرگیرنده اطلاعاتی همچون نام، نام کاربری، رمز عبور، شماره ملی، تاریخ تولد، نشانی پست الکترونیک، شماره تلفن همراه، دادههای زیستسنجی (بیومتریک مانند اثر انگشت، عنبیه و چهره)، سوابق تراکنشهای مالی، الگوهای رفتاری (مانند نحوه تایپ یا استفاده از ماوس) و حتی دادههای مکانی باشد. بنابراین، هویت رقومی (دیجیتال) تنها به یک شناسه ساده محدود نمیشود؛ بلکه گاهی جنبههای متعددی از حیات شخص را پوشش میدهد و به صورت پراکنده در سامانههای گوناگون نگهداری میشود.
در رویکرد سنتی، هویت غالباً بهواسطه اسناد فیزیکی مانند شناسنامه، گذرنامه یا کارت ملی احراز میشد. اما در عصر رقومی (دیجیتال)، بخش زیادی از تعاملات انسانی در فضای مجازی و بدون حضور فیزیکی افراد انجام میگیرد. درنتیجه، اسناد کاغذی دیگر پاسخگوی الزامهای امنیتی و سرعت مورد انتظار در تراکنشهای برخط نیستند. ازاینرو، هویت رقومی (دیجیتال) بهعنوان جایگزینی پویا و منعطف برای همگامشدن با خدمات الکترونیک، ضرورت یافته است.
احراز هویت رقومی (دیجیتال) بهعنوان رکن اساسی در فضای سایبری، جنبههای امنیت، اعتماد عمومی و تحول کسبوکارها را به هم پیوند میزند. رشد سریع تبادلات الکترونیک نشان داده است که بدون سازوکاری مستحکم و انعطافپذیر برای احراز هویت، نهتنها مخاطرات امنیتی (مانند جعل هویت و تقلب) افزایش مییابد، بلکه ارائه خدمات برخط نیز دچار محدودیت و بیاعتمادی میشود. در این میان، توسعه فناوریهای نوین نظیر بلاکچین، هوش مصنوعی و تحلیل دادههای کلان فرصتی منحصربهفرد را ایجاد کرده تا بهبود فرایندهای تشخیص هویت، حفظ حریم خصوصی و مدیریت مخاطرات به شکل همزمان میسر شود [1].
بررسیها نشان میدهد طی پنج سال آینده، ارزش بازار هویت رقومی (دیجیتال) در سطح جهانی از مرز پنجاه میلیارد دلار فراتر خواهد رفت که این رشد، بیانگر تغییرهای زیرساختی عمیقی در اقتصاد رقومی (دیجیتال) نیز محسوب میشود. همچنین، بنا بر گزارش شرکت تحلیلگر فناوری جونیپر ریسرچ، شمار کاربران خدمات احراز هویت رقومی (دیجیتال) در سال ۲۰۲۳ از ۱.۵ میلیارد نفر عبور کرده و روند صعودی آن ادامه خواهد داشت [2]. آمارها حاکی از آن است که دیدگاه ابزاری و فنی نسبت به موضوع هویت رقومی (دیجیتال) در حال گذار بهسوی تحول رفتاری و سبک زندگی رقومی (دیجیتال) است.
در ایران نیز برخورداری از ظرفیت بالقوه در حوزههایی مانند خدمات فناورانه مالی، دولت الکترونیک و تجارت الکترونیک، زمینه را برای توسعه راهکارهای احراز هویت رقومی (دیجیتال) مساعد کرده است.
از اینرو، گزارش حاضر با رویکردی تحلیلی ـ سیاستی، به بررسی مفهوم و الزامهای احراز هویت رقومی (دیجیتال) پرداخته و ضمن مرور تحولات جهانی و چارچوبهای مرجع در این حوزه، وضعیت موجود ایران را از منظر حقوقی، نهادی و اجرایی مورد واکاوی قرار میدهد. در این گزارش، قوانین و مقررات بالادستی مرتبط، ساختار نهادی متولیان احراز هویت و چالشهای فنی و حکمرانی دادهها بررسی شده و تلاش شده است با شناسایی خلأها و نارساییهای موجود، مجموعهای از توصیههای تقنینی، نظارتی و سیاستی برای استقرار نظام احراز هویت رقومی (دیجیتال) یکپارچه، ایمن و کارآمد ارائه شود. هدف نهایی گزارش، کمک به تصمیمگیران و قانونگذاران در طراحی چارچوبی منسجم است که ضمن تسهیل ارائه خدمات الکترونیک، صیانت از حقوق شهروندان و ارتقای اعتماد عمومی در فضای مجازی را تضمین کند.
شناخت سوابق مطالعاتی و تقنینی در زمینه احراز هویت رقومی (دیجیتال) و هویت هوشمند، نقشی کلیدی در ترسیم نقشه راه آینده و هموارسازی مسیر سیاستگذاری ایفا میکند. ازیکسو، گزارشها و پژوهشهای انجام شده در مرکز پژوهشهای مجلس شورای اسلامی، تصویری از اولویتها و چالشهای اجرایی در پروژههای ملی هویت رقومی (دیجیتال) به دست میدهد؛ ازجمله بررسی میزان پیشرفت استقرار هویت هوشمند در دولت الکترونیک و اهمیت استفاده از شماره ملی در یکپارچگی سامانههای دستگاههای دولتی. ازسوی دیگر، اسناد و مقررات مختلفی که در قالب مصوبات هیئتوزیران، شورایعالی فضای مجازی و دیگر نهادهای تصمیمگیر تدوین شدهاند، نشانگر دغدغه حاکمیت نسبت به ضرورت تکمیل زیرساختهای هویت رقومی (دیجیتال) هستند.
در مسیر استقرار نظام احراز هویت رقومی (دیجیتال) و هویت هوشمند در ایران، گزارشها و مطالعاتی توسط نهادهای پژوهشی بهویژه مرکز پژوهشهای مجلس شورای اسلامی ارائه شده که در ادامه به سه نمونه مهم اشاره میشود:
1. بررسی لایحه برنامه هفتم پیشرفت (۷۷): رصد و نظارت بر پروژه استقرار هویت هوشمند اشخاص حقیقی در دولت الکترونیک: تأکید بر نقش کلیدی سازمان ثبت احوال کشور در ساخت، بهروزرسانی پایگاه داده جمعیتی و ارائه سرویسهای احراز هویت رقومی (دیجیتال)، بررسی میزان پیشرفت پروژههای مرتبط با هویت هوشمند در دولت الکترونیک، ارزیابی نقاط قوت و ضعف اجرای آن و سرانجام ارائه پیشنهادهایی برای اصلاح مواد مرتبط در لایحه برنامه هفتم پیشرفت، از محورهای اصلی این پژوهش بهشمار میرود.
2. استفاده از شماره ملی در نظام احراز هویت و یکپارچگی سامانههای دولت: این مطالعه بر اهمیت تخصیص شماره و کدهای واحد برای شناسایی افراد، اسناد و موجودیتها متمرکز است. براساس تجربههای بینالمللی، داشتن یک شناسه واحد بهعنوان زیرساخت اصلی احراز هویت الکترونیکی میتواند به تبادل مؤثر اطلاعات میان دستگاههای اجرایی و کاهش موازیکاری منجر شود. گزارش یادشده، با تأکید بر سادهسازی فرایند شناسایی، زمینههای ایجاد دولت الکترونیک چابک و پایدار را بررسی میکند.
3. ارائه خدمات الکترونیکی هویت ملی: در این گزارش، الزامهای توسعه پروژه پایگاه اطلاعات جمعیت کشور و چگونگی اصلاح بسترهای مرتبط با احراز هویت الکترونیکی ملی در سازمان ثبت احوال مورد بحث قرار گرفته است. تدوین و پیادهسازی ساختارهای فنی و اجرایی برای تحقق یک سامانه الکترونیکی احراز هویت کارآمد، ازجمله نکات محوری این پژوهش محسوب میشود.
|
ردیف |
عنوان گزارش |
سال انتشار |
شماره مسلسل |
نام دفتر / سازمان / نهاد |
توضیحات |
|
1 |
بررسی لایحه برنامه هفتم پیشرفت (77): رصد و نظارت بر پروژه استقرار هویت هوشمند اشخاص حقیقی در دولت الکترونیک [3] |
1402 |
۱۹۳۷۶ |
دفتر مطالعات مدیریت |
بررسی پروژه استقرار هویت هوشمند اشخاص حقیقی در دولت الکترونیک مطابق با تکالیف هیئتوزیران و قانون برنامه پنج ساله توسعه، که سازمان ثبت احوال کشور متولی ساخت، بهروزرسانی پایگاه داده و ارائه سرویسهای احراز هویت اشخاص حقیقی است. در این راستا، پس از نظارت بر اجرای پروژه، پیشنهادهایی جهت اصلاح مواد مرتبط ارائه شده است. |
|
2 |
استفاده از شماره ملی در نظام احراز هویت و یکپارچگی سامانههای دولت [4] |
1399 |
۱۷۲۰۶ |
دفتر مطالعات انرژی، صنعت و معدن |
بررسی اهمیت و نقش تخصیص شماره و کدهای واحد در شناسایی اشخاص، اسناد و موجودیتها به عنوان زیرساخت اصلی احراز هویت الکترونیکی و تبادل اطلاعات میان دستگاهها در راستای ساماندهی و استفاده بهینه از این کدها برای ایجاد یک دولت الکترونیک چابک و پایدار مبتنیبر تجربهها و اقدامهای کشورهای مختلف |
|
3 |
ارائه خدمات الکترونیکی هویت ملی [5] |
1385 |
8165 |
گروه ارتباطات و فناوریهای نوین |
بررسی الزامهای توسعه پروژه پایگاه اطلاعات جمعیت کشور در راستای اصلاح بسترهای ارائه خدمات الکترونیکی احراز هویت ملی در سازمان ثبت احوال کشور |
مأخذ: گردآوری توسط نویسندگان.
طی سالهای اخیر، قوانین و مقررات مختلفی بهصورت مستقیم یا غیرمستقیم بر لزوم تکمیل زیرساختهای احراز هویت رقومی (دیجیتال) و ساماندهی هویت مجازی در کشور تأکید کردهاند. بااینحال، همچنان یک قانون منسجمی که اختصاصاً نظام هویت رقومی (دیجیتال) را در ایران سامان دهد، وجود ندارد. مهمترین اسناد و مصوبات مرتبط با این حوزه عبارتاند از:
در این مصوبه، موضوع تکمیل زیرساختهای هویت رقومی (دیجیتال) بهعنوان یکی از الزامهای توسعه دولت الکترونیکی مطرح شده است. این سند بر اهمیت راهاندازی سامانههای الکترونیکی یکپارچه تأکید کرده و دستگاههای دولتی را مکلف به همگرایی در شناسایی و تصدیق هویت کاربران در ارائه خدمات الکترونیک میکند [6].
این سند، چارچوبی کلی برای نحوه احراز هویت کاربران در فضای مجازی و تعیین شاخصهای هویت معتبر ارائه میدهد. طبق این مصوبه، دستگاههای اجرایی و بخش خصوصی موظفاند استانداردهای مشترک در شناسایی رقومی (دیجیتال) را رعایت کرده و از موازیکاری در سامانههای هویت جلوگیری کنند [7].
این مصوبه، مجموعهای از وظایف و تکالیف دستگاههای اجرایی و نهادهای مسئول در حوزه فناوری اطلاعات را تعیین کرده و ضمن اشاره به اهمیت احراز هویت رقومی (دیجیتال)، بر تقویت هماهنگیهای بینبخشی در تبادل دادههای هویتی تأکید میورزد [8].
این دستورالعمل عمدتاْ جنبه اجرایی و امنیتی دارد و بر کنترل واگذاری غیرقانونی شمارههای تلفن همراه و شناسههای ارتباطی متمرکز است. در آن، لزوم احراز هویت در واگذاری شناسهها، ایجاد سامانههای ثبت شکایت و همکاری میان دستگاههای انتظامی، وزارت ارتباطات و سکوها مورد تأکید قرار گرفته است. هرچند رویکرد این سند ضروری است، اما همچنان به هویت رقومی (دیجیتال) بهمثابه ابزاری برای نظارت مینگرد، نه یک زیرساخت توسعهگرا و حقوقمحور. تمرکز صرف بر پیشگیری از تخلف، بدون تبیین سازوکارهای مثبت مانند ارتقای تجربه کاربری، صدور گواهی رقومی (دیجیتال) یا ارتقای سطح اطمینان، موجب محدود شدن افق دید سیاستگذار شده است.
افزونبر این اسناد، قوانین دیگری نیز بهصورت غیرمستقیم به موضوع هویت و ساماندهی آن در فضای مجازی اشاره دارند؛ اما همانگونه که از بررسی کلی مقررات موجود برمیآید، خلأ یک قانون اختصاصی در زمینه احراز هویت رقومی (دیجیتال) در ایران همچنان محسوس است. درنتیجه، هرچند در برخی قوانین، مقررات جزیی درباره هویت رقومی (دیجیتال) یا ابعاد گوناگون آن (نظیر امضا و اسناد الکترونیک) وجود دارد، اما برای دستیابی به یک چارچوب همگن و یکپارچه، لازم است قانونگذار با همکاری دستگاههای اجرایی و کارشناسان حوزه فناوری، نسبت به تدوین و تصویب قانونی اختصاصی و روزآمد اقدام کند تا راه برای توسعه مطمئن و فراگیر هویت رقومی (دیجیتال) در کشور هموار سازد.
|
ردیف |
نام سند |
مرجع تصویب |
تاریخ تصویب |
شماره ماده / صفحه |
نکات برجسته / نقاط ضعف و قوت / پیامدهای اجرا |
|
1 |
آییننامه اجرایی ماده (14) الحاقی قانون مبارزه با پولشویی مصوب هیئتوزیران [6] |
هیئتوزیران |
1398/07/21 |
مواد (16، 20،50، 55، 61) |
تأکید بر لزوم ایجاد سازوکارهای شناسایی و ثبت اطلاعات هویتی اتباع داخلی و خارجی مبتنیبر پایگاه داده اطلاعات |
|
2 |
نظام هویت معتبر در فضای مجازی کشور»، مصوب جلسه 5۹ شورایعالی فضای مجازی |
شورایعالی فضای مجازی |
1398/06/09 |
تمامی مواد |
تعریف الزامات زیست بوم هویت معتبر در فضای مجازی |
|
3 |
مصوبه یازدهمین جلسه شورای اجرایی فناوری اطلاعات با عنوان «الزام ارائه خدمات الکترونیکی به اشخاص با احراز هویت و نشانی محل اقامت» |
شورای اجرایی فناوری اطلاعات |
1397/02/04 |
بند «2» |
ارائه اقدامهای اجرایی پروژه استقرار هوست هوشمند اشخاص حقیقی در دولت الکترونیک – متولی سازمان ثبت احوال |
|
4 |
سند راهبردی نظام جامع فناوری اطلاعات جمهوری اسلامی ایران [9] |
هیئتوزیران |
1388/02/08 |
ه ـ۴ـ۴ـ۳ |
ایجاد نظام صدور گواهی و احراز هویت الکترونیکی مطمئن |
|
5 |
دستورالعمل ساماندهی واگذاری شناسه ارتباطی - مصوب جلسه 125 کمیسیون عالی تنظیم مقررات فضای مجازی کشور |
کمیسیون عالی تنظیم مقررات فضای مجازی کشور |
1402/09/13 |
تمامی مواد |
جلوگیری از واگذاری غیرمجاز شمارههای ارتباطی (مثل شماره تلفن همراه) و ایجاد سازوکارهای قانونی، فنی و نظارتی برای کنترل، احراز هویت، پیگیری شکایات و اعمال محدودیت علیه واگذارندگان غیرمجاز |
|
6 |
الزامهای واگذاری شناسه ارتباطی و نحوه برخورد با واگذارنده غیرمجاز - مصوبه شماره ۵ جلسه شماره ۳۵۶ مورخ 1403/4/24 کمیسیون تنظیم مقررات ارتباطات |
کمیسیون تنظیم مقررات ارتباطات |
1403/4/24 |
تمامی مواد |
هرگونه واگذاری شناسه ارتباطی مبنای احراز هویت به اتباع ایرانی یا غیرایرانی، منوط به احراز هویت متقاضی براساس مدارک هویتی، اخذ تأییدیه از سامانه شاهکار و استفاده از یکی از روشهای زیست سنجی مورد تأیید سازمان از قبیل اثر انگشت و تشخیص چهره است؛ در صورت تغییر مالکیت شناسه ارتباطی، این شناسه از مبنای احراز هویت مشترک خارج میشود. |
مأخذ: گردآوری توسط نویسندگان.
برخلاف هویت سنتی که صدور و تأیید آن از طریق نهادهای دولتی (مانند سازمان ثبت احوال) صورت میگرفت، هویت رقومی (دیجیتال) میتواند توسط مجموعهای از نهادهای گوناگون (بانکها، ارائهدهندگان خدمات مخابراتی، سکوهای مجازی و غیره) یا حتی بهصورت خود حاکم ایجاد و مدیریت شود.
امروزه با توسعه اقتصاد رقومی (دیجیتال) بسیاری از فعالیتهای اقتصادی، وابسته به تأیید هویت هستند. اگر هویت رقومی (دیجیتال) فرد با دقت و امنیت بررسی و تأیید نشود، خطرهایی همچون جعل هویت، سرقت حساب، کلاهبرداری و سایر جرائم سایبری افزایش مییابد. ازسوی دیگر، اگر این فرایند بیش از حد پیچیده یا هزینهبر باشد، تجربه کاربری آسیب میبیند و مانع از فراگیری خدمات رقومی (دیجیتال) میشود. به همین دلیل، ایجاد تعادل میان امنیت، حریم خصوصی و سهولت استفاده، یکی از چالشهای اساسی در طراحی سامانههای مدیریت هویت رقومی (دیجیتال) است[10].
شناسایی، گام مقدماتی در تعاملات رقومی (دیجیتال) است که موجودیت ادعا میکند «من چه کسی هستم». این ادعا معمولاً با ارائه یک شناسه یا اطلاعات هویتی (مانند نام کاربری، شماره ملی، شماره همراه) بیان میشود. در این مرحله، تنها اعلان هویت صورت میگیرد و هیچ سازوکاری برای اثبات یا رد آن وجود ندارد. برای مثال، کاربری که در یک سکو (پلتفرم) فروش آنلاین، نام کاربری انتخاب میکند، صرفاً خود را شناسایی کرده است.
احراز هویت رقومی (دیجیتال)، یعنی هویتی در دنیای واقعی وجود دارد که پیش از این شناسایی شده است و حالا باید مشخص شود فردی که ادعا میکند این هویت را راست میگوید یا خیر. پس مرحله پیش از احراز، شناسایی هویت است که در همین مرحله چالشهای اساسی وجود دارد. نمونههای بارز آن عبارتاند از:
بنابراین پیش از اینکه به مرحله احراز برسیم، با ضعفهای در شناسایی هویت مواجه هستیم که این موضوع مورد بحث این گزارش نیست.
احراز هویت، مرحله دوم و تکمیلی است که در آن درستی ادعای هویت بررسی میشود. این اطمینان با استفاده از عوامل احراز هویت مانند رمز عبور (عامل دانسته)، توکن سختافزاری (عامل داشته) یا اثر انگشت (عامل ذاتی) حاصل میشود. در اینجا هدف، اثبات این است که فردی که ادعای مالکیت یک حساب یا شناسه را دارد، واقعاً همان شخص باشد.
ازاینرو، در مهندسی سامانههای امنیتی، تمایز دقیق میان شناسایی و احراز هویت حیاتی است. شناسایی بدون احراز یا احراز با شناسایی کم و مخدوش، سطح امنیت را کاهش داده و زمینهساز آسیبپذیری در برابر حملات و سوءاستفادههای سایبری خواهد بود [11].
نکته مهم دیگری که باید ذکر شود تمایز میان انطباق هویت و احراز هویت است. برای مثال، در سامانه شاهکار در ایران، فرایند «احراز هویت» در واقع تنها «انطباق» دو داده است (شماره تماس و شماره ملی). این انطباق لزوماً بهمعنای احراز هویت فرد نیست، چرا که ممکن است سیمکارت و کد ملی متعلق به فردی باشد، اما شخص دیگری از آن استفاده کند. بنابراین، اتکای صرف به انطباق دادهها میتواند منجر به خطا و سوءاستفاده شود. احراز هویت متکی به عواملی است که در ادامه به آن اشاره میشود.
چارچوب تضمین احراز هویت موجودیت، استاندارد حاصل همکاری مشترک سازمان بینالمللی استانداردسازی (ISO) و کمیسیون بینالمللی الکتروتکنیک (IEC) است و چارچوبی مرجع برای ارزیابی «اطمینان در احراز هویت» فراهم میکند. در این چارچوب، سه عامل کلاسیک تصدیق هویت – یعنی آنچه فرد میداند، دارد، یا هست (ویژگیهای زیستی یا رفتاری) - در چهار سطح اطمینان طبقهبندی میشوند. هدف اصلی این استاندارد، یکپارچهسازی معیارهای فنی و مدیریتی است تا سازمانها بتوانند براساس میزان ریسک خدمات، سطح اطمینان مناسب را برگزینند و الزامهای فناوری، فرایند ثبت و ممیزی را با یک زبان مشترک تعریف کنند. این استاندارد، مبنای تدوین بسیاری از مقررات ملی و بینالمللی (ازجمله مقررات eIDAS اروپا) برای همارزسازی سطوح اطمینان بوده است.
این سند راهنمای مؤسسه ملی استانداردها و فناوری ایالات متحده مجموعهای بهروز از الزامهای مربوط به چرخه کامل «شناسایی و اثبات هویت رقومی (دیجیتال)» ارائه میدهد. جلد -C آن سه سطح تضمین اصالتسنجی (AAL1-3) را تشریح میکند و درباره فناوریهای نوینی نظیر احراز بدون گذرواژه، احراز تطبیقی و چندعاملی را راهنمایی میکند؛ جلدB - نیز به تشریح فرایند ثبت هویت و صدور گواهی را در سه سطح پوشش میدهد. در نسخه چهارم (پیشنویس) واژگان سادهتر شده، سازگاری با استانداردهای FIDO، WebAuthn و ISO 29115را تقویت کرده و سناریوهای «احراز پیوسته» و «احراز مرحلهای» را وارد ادبیات رسمی میکند.
این توصیهنامه بخش استانداردسازی اتحادیه بینالمللی مخابرات، با تمرکز بر خدمات جهانی مخابرات و اینترنت، چهارمین عامل «زمینه یا بستر» را به مدل احراز هویت میافزاید؛ این عامل، شرایط زمانی، مکانی و رفتاری کاربر را برای تصمیمگیری تطبیقی در نظر میگیرد. استاندارد X.1254 سه سطح AAL را برای محیطهای ریسکپذیر مخابراتی تعریف و روش امتیازدهی پویا را توصیف میکند. جایگاه این توصیهنامه در سیاستگذاری ملی از آن جهت مهم است که سازگاری را میان اپراتورهای مخابرات، ارائهدهندگان خدمات ارزشافزوده و رگولاتورهای ارتباطات تسهیل میکند.
نسخه سوم استاندارد وباوتن که توسط کنسرسیوم وب جهانگستر (W3C) تدوین شده، رابط برنامهنویسی کاربردی مرورگرها را برای که احراز هویت مبتنیبر جفت کلید عمومی و خصوصی را مستقیم در وب فراهم میسازد. این نسخه با پشتیبانی بومی از گذرواژهزدایی و «کلید عبور»های همگامشونده میان دستگاهها، امنیت فیشینگ-مقاوم را بدون نیاز به افزونه یا نرمافزار جانبی ارائه میکند. WebAuthn L3 همچنین پروفایلهای سازگار با FIDO2 را تعریف و سناریوهای احراز چند دستگاهی و بازیابی امن اعتبارنامه را استانداردسازی میکند؛ ازاینرو، ستون فقرات سامانههای مدرن هویت خود سازمانیافته (SSI) و بانکداری باز محسوب میشود.
CTAP مکمل استاندارد احراز هویت وب (WebAuthn) است که توسط کنسرسیوم W3C منتشر شده است. WebAuthn و CTAP خروجیهای اصلی پروژه FIDO2 هستند که حاصل تلاش مشترک بین FIDO و W3C است. مشخصات CTAP به دو نسخه پروتکل اشاره دارد، پروتکل CTAP1 و پروتکل CTAP2. CTAP 2.2 شیوه ارتباط میان «احرازگر» سختافزاری یا بیومتریک (مانند YubiKey یا حسگر اثر انگشت گوشی) و «کلاینت» میزبان (مرورگر یا سیستم عامل) را مشخص میکند. نسخه 2.2 با افزودن قابلیتهایی چون «محدودسازی دامنه» و «اعتبارنامه چند کلیدی» امنیت سازمانی را ارتقا و تجربه کاربری «یک-لمس و بدون گذرواژه» را ممکن میسازد. این پروتکل همراه با WebAuthn چارچوب فنی FIDO2 را تکمیل کرده و مهاجرت از گذرواژههای سنتی به احراز مقاوم در برابر حملات تکرار یا بازپخش و فیشینگ را تسریع میکند.
مقررات eIDAS، چارچوب قانونی اتحادیه اروپا برای شناسایی الکترونیکی و خدمات اعتماد (مانند امضای الکترونیک، مُهر زمانی، گواهی وب و غیره) است که سه سطح اعتماد پایین (کم)، قابل توجه و بالا را بهطور مستقیم با ISO 29115 همنقشه میکند. نسخه 2.0 مقررات eIDAS مفهوم «کیف پول هویت اروپایی» و سازوکارهای متقابلپذیر SSI را وارد قانون کرده، الزام صدور گواهی اعتماد برای کیف پولهای موبایلی را تعیین و اتحادیه را به یک بازار واحد هویت رقومی (دیجیتال) هدایت میکند؛ ازاینرو، الگویی جامع برای کشورهایی است که در پی سازگاری فنی و حقوقی خدمات احراز هویت و اعتماد هستند.
احراز هویت در فضای رقومی (دیجیتال) صرفاً به واردکردن یک رمز عبور خلاصه نمیشود. برای مقابله با خطر جعل هویت و افزایش اعتماد کاربران در تراکنشهای آنلاین، لازم است سطح امنیت متناسب با نیاز و مخاطره هر یک از خدمات اتخاذ شود. در این چارچوب، درک عوامل احراز هویت و شیوههای بهرهگیری از آنها نقشی کلیدی در طراحی و پیادهسازی سامانههای امن بر عهده دارد. بر پایه جدیدترین اسناد بینالمللی اشاره شده در زیر، این هدف با درک دقیق دو بنیان ذیل قابل تحقق است:
الف) عوامل: آنچه برای اثبات هویت به سامانه ارائه میشود؛
ب) روش یا الگوهای استفاده از عوامل: چگونگی بهکارگیری یک یا چند عامل برای رسیدن به سطح اطمینان خواسته شده است.
لذا در ادامه با توجه استانداردهای راهبردی و مرجع ذیل ابتدا عوامل اساسی احراز هویت و سپس مهمترین راهکارها و روشهای استفاده از این عوامل تشریح میشود.
در معماری هر سامانه هویت رقومی (دیجیتال)، نخستین تصمیم راهبردی این است که ادعای هویت کاربر بر پایه چه نوع شواهدی بنا شود. استاندارد 2911۵ISO/IEC و راهنمای NIST SP4-63-800 برای پاسخ به این پرسش مجموعهای از عوامل را معرفی کردهاند که با اتکای به آنها هویت رقومی (دیجیتال) را تأیید یا رد میکنند. این عوامل، اگرچه در متون کلاسیک به سه دسته اصلی تقسیم میشوند اما در عمل لایهها و ظرایف بیشتری یافتهاند.
الف) دانستهها
ب) داشتهها
ج) ویژگیهای ذاتی / بیومتریک
د) سایر عامل زمینهای یا بستر
هرچند استاندارد ISO سه عامل کلاسیک را برای احراز هویت کافی میداند، اما توصیه ITU-T X.1254 و بخش «Risk-Based» در NIST تأکید میکند که دادههای محیطی مانند موقعیت جغرافیایی، زمان دسترسی، نوع مرورگر یا امضای سختافزاری دستگاه میتواند در سنجش ریسک بسیار مؤثر باشد.
بهعنوان نمونه، تراکنشی که از یک دستگاه شناختهشده در شهر محل سکونت کاربر آغاز میشود، نسبت به درخواستی از قارهای دیگر کمریسکتر است و شاید به احراز اضافی نیاز نداشته باشد.
با اتکا به ارزیابی جامع ریسک، روشن است که تکیه بر یک عامل منفرد صرفاً در خدمات کمریسک با سطح اطمینان پایین موجه است و بهویژه عوامل دانسته همچون گذرواژه در برابر تهدیدهای فیشینگ و ربودن نشست ایمنی کافی ندارند؛ در مقابل، برای حوزههای مالی، مدل ترکیبی «دانسته + داشته» که مبنای الزامهای احراز قوی مشتری در PSD2 [20] و دستورالعمل رمز پویاست، حداقل استاندارد پذیرفتهشده بهشمار میرود. درحالیکه در خدمات حیاتی دولت هوشمند یا زیرساختهای حساس، سیاستگذار باید افزودهشدن عامل ذاتی (بیومتریک) یا دستکم کنترل زمینهای مبتنیبر ریسک را الزامی کند تا سطح اطمینان به تراز بالاتر ارتقا یابد.
ازاینرو، تدوین مقررات احراز هویت نباید صرفاً بهعنوان تصمیمی فنی تلقی شود؛ بلکه لازم است چهار بُعد امنیت، حریم خصوصی، هزینه و سهولت کاربری بهطور همزمان و در چارچوب مدلهای چندسطحی ISO/IEC 29115 یا نگاشت AAL مستند در NIST SP 800-63-4 ارزیابی شود تا اطمینان حاصل شود تقویت لایههای امنیتی با کاهش دسترسپذیری یا تعارض با مقررات حفاظت دادهها همراه نخواهد بود. در ادامه، مشخص میشود که چگونه روشهایی نظیر احراز هویت چندعاملی، بدون رمز عبور و تطبیقی مبتنیبر ریسک میتوانند این عوامل را بهصورت هدفمند ترکیب کنند و سطح اطمینان موردنیاز در سیاست ملی را، با حفظ تجربه کاربری، محقق سازند.
در جدول زیر، انواع روشهای احراز هویت و مزایا و معایب آنها ذکر شده است [13].
|
نام روش |
توضیح |
مزیت |
چالشها |
راهبردها |
|
احراز هویت چندعاملی (MFA) |
استفاده از حداقل دو عامل مستقل (دانسته، داشته، ذاتی). |
امنیت بالا در برابر فیشینگ و مهندسی اجتماعی. |
پیچیدگی تجربه کاربری، هزینه سختافزار، نیاز به پشتیبانی. |
بانکداری الکترونیک، سامانههای سازمانی، خدمات دولتی. |
|
احراز هویت پیوسته |
هویت فقط هنگام ورود سنجیده نمیشود، بلکه بهطور مداوم براساس رفتار کاربر (مثل تایپ یا موقعیت مکانی) بررسی میشود. |
افزایش امنیت در طول نشست. |
نگرانیهای حریم خصوصی، بار پردازشی سنگین، خطای الگوریتمها. |
بانکداری پیشرفته، سامانههای نظامی، سازمانهای حساس. |
|
احراز هویت بدون رمز عبور |
مبتنیبر کلیدهای رمزنگاری ذخیره شده در دستگاه کاربر + احراز بیومتریک محلی. |
حذف رمز عبور، مصونیت از فیشینگ و ساده شدن تجربه کاربر. |
نیاز به سختافزار امن، فرایند بازیابی در صورت از دست رفتن دستگاه، هزینه مهاجرت انبوه. |
بانکداری رقومی (دیجیتال)، دولت هوشمند، خودپردازهای آینده. |
|
احراز هویت غیرمتمرکز |
دادههای هویتی در «کیفپول رقومی (دیجیتال)» کاربر ذخیره میشود و در قالب اعتبارنامه قابلوارسی (VC) ارائه میگردد. |
مالکیت داده در اختیار کاربر، کاهش خطر نشت اطلاعات، اعتبارسنجی برونخط. |
بازیابی در صورت سرقت دستگاه، نیاز به استانداردسازی حقوقی و زیرساخت دفتر کل. |
کیفپول هویت ملی، مدارک تحصیلی رقومی (دیجیتال)، گمرک هوشمند. |
|
احراز هویت مرحلهای |
هنگام عملیات پرریسک، سامانه بهطور موقت عامل اضافی مطالبه میکند. |
امنیت هدفمند بدون افزایش دائمی پیچیدگی. |
طراحی تجربه کاربری، زمانبندی ایمن، دسترسپذیری عوامل. |
بانکداری برخط، پرتالهای دولتی، سامانههای پرداخت کسبوکار. |
|
احراز هویت تطبیقی مبتنیبر مخاطره |
سامانه سطح ریسک هر درخواست را میسنجد و براساس آن شدت احراز را تنظیم میکند. |
تعادل امنیت و راحتی، مصرف بهینه منابع امنیتی. |
دقت مدلهای مخاطره، حریم خصوصی دادهها، بار پردازشی. |
پرداختهای الکترونیک، ورود کارکنان دولت، سامانههای بیمه. |
در فضای امنیت اطلاعات، مفهومی به نام «اعتماد مطلق» عملاً وجود ندارد؛ همواره درجاتی از اطمینان یا اطمینان در احراز هویت مطرح است. سطح اطمینان یاLoA بیانگر میزان اعتماد یک سامانه به این امر است که فرد حاضر در نشست یا تراکنش جاری، واقعاً همان فرد مالک هویت اعلام شده است. چارچوبهای بینالمللی گوناگونی، مانند NIST SP 800-63 (در آمریکا) و ISO/IEC 29115 (در سطح جهانی)، برای تعریف و طبقهبندی LoA تدوین شدهاند. اغلب این اسناد، چهار سطح کلیدی را بهترتیب از سطح اطمینان 1 (پایین) تا سطح اطمینان 4 (بسیار بالا) پیشنهاد میکنند. هرچه عدد LoA بالاتر باشد، نشاندهنده فرایندی دقیقتر، مستندتر و چندلایهتر در احراز هویت کاربر است [12, 13].
تعیین سطح اطمینان در یک سیستم احراز هویت مبتنیبر مجموعهای از عوامل صورت میپذیرد که در چرخه حیات هویت رقومی (دیجیتال) اعمال میشوند. بر این اساس نیاز است تا در راستای شناسایی سطح اطمینان مورد نیاز در هر مرحله تمامی عوامل تأثیرگذار مؤثر بر آن سیستم شناسایی گردد.
الف) شدت راستیآزمایی در زمان نامنویسی
ب) نوع و تعداد عوامل احراز هویت
ج) حفاظت در برابر جعل و سرقت
د) نظارت و پایش مداوم
استانداردهای بینالمللی اغلب از چهار سطح اصلی سخن میگویند که هرکدام با توجه به ریسکپذیری خدمات و میزان محافظت لازم، مطرح میشوند. این چهار سطح رایج، دامنهای از تراکنشهای بسیار عادی تا تراکنشهایی با حساسیت ملی یا مالی کلان را پوشش میدهد [10, 13].
الف) اطمینان پایین (LoA1)
ب) اطمینان متوسط (LoA2)
ج) اطمینان بالا (LoA3)
د) اطمینان بسیار بالا (LoA4)
افزونبر تعریف سطح اطمینان، موضوع کلیدی در استقرار موفق سامانههای هویت رقومی (دیجیتال)، مدیریت پویای سطح اطمینان است. گزینش نادرست یا انعطافناپذیر سطوح اطمینان میتواند هم امنیت را خدشهدار کند و هم تجربه کاربری را از بین ببرد.
الف) خطرات تعیین سطح اطمینان پایین
ب) خطرات تعیین LoA بالاتر از نیاز
۴. جایگاه و اهمیت احراز هویت رقومی (دیجیتال)
در چارچوب حکمرانی داده، احراز هویت رقومی (دیجیتال) در جایگاه «زیرساخت اعتماد ملی» محسوب میشود. جایگاهی که گزارش ۲۰۲۴ سازمان همکاری و توسعه اقتصادی (OECD) آن را همردیف انرژی، حملونقل و ارتباطات در فهرست زیرساختهای حیاتی کشورها قرار داده است [14]. تجربههای جهانی نشان میدهد در صورت فقدان توسعه زیرساخت هویت رقومی (دیجیتال) فراگیر، ایمن و تعاملی، تحقق دولت هوشمند، رقابتپذیری زیستبوم فناورانه و توسعه اقتصاد رقومی (دیجیتال) ممکن نخواهد بود.
در ایران، توسعه ضریب نفوذ اینترنت و دسترسپذیری به فضای مجازی و پیشبینی سهم روبهرشد اقتصاد رقومی (دیجیتال) به میزان 10 درصد از درآمد سرانه ملی تا سال 1407، فرصتی کمسابقه برای تحول رقومی (دیجیتال) ایجاد کرده است [15]. با این وجود، تکثر متولیان داده هویتی، فقدان قانون جامع صیانت داده شخصی و شکاف رقومی (دیجیتال) میان کلانشهرها و مناطق کمبرخوردار، میتواند خطر اتلاف سرمایه را افزایش دهد و اعتماد کاربران را کاهش دهد.
بر این اساس و برای توسعه زیرساختهای هویت رقومی (دیجیتال)، تعاملپذیر و شهروندمحور باید با همکاری میان قوای سهگانه، حول کمّیسازی منافع احراز هویت رقومی (دیجیتال) در بخشهای مالی، سلامت، حملونقل و حکمرانی، تقویت شود و همچنین اهتمام کافی برای رفع چالشهای حقوقی، نهادی و فناورانه شکل بگیرد.
در دهه گذشته، تحولات فناورانه جایگاه احراز هویت رقومی (دیجیتال) را از یک راهکار جانبی به یک نیاز راهبردی ارتقا دادهاند. این تحول، صرفاً در سطح فناوری معنا ندارد؛ بلکه نقطه تلاقی سه رکن اساسی نظم رقومی (دیجیتال) معاصر یعنی اعتماد نهادی، شمول رقومی (دیجیتال) و حکمرانی مبتنیبر داده است. بهعبارت دیگر، هر کشوری که نتواند بهصورت اثربخش و فراگیر، هویت رقومی (دیجیتال) شهروندان خود را مدیریت کند، نهتنها در ارائه خدمات الکترونیک با شکست مواجه میشود، بلکه در تأمین عدالت اجتماعی و بهرهبرداری از اقتصاد رقومی (دیجیتال) نیز عقب خواهد ماند.
تحلیل تجربه بیش از ۴۰ کشور (براساس دادههای ID4D بانک جهانی، ۲۰۲۳) نشان میدهد که چهار روند کلان، موجب تسریع سرمایهگذاری کشورها در سامانههای احراز هویت رقومی (دیجیتال) شدهاند [16]:
با توجه به مواد (۱۰۷ و ۶۹) قانون برنامه هفتم پیشرفت، دو حوزه راهبردی بهعنوان نقاط ورود کلیدی برای پیادهسازی نظام جامع احراز هویت رقومی (دیجیتال) تا افق ۱۴۰۷ شناسایی میشود. این دو حوزه بهطور مستقیم در متن برنامه دارای تکلیف اجرایی مشخص در زمینه احراز هویت، تبادل داده هویتی و یکپارچهسازی خدمات رقومی (دیجیتال) هستند [15]:
1. حوزه حکمرانی رقومی (دیجیتال) و خدمات دولت هوشمند در قانون برنامه هفتم پیشرفت
ب) نظام سلامت و بیمههای درمانی در قانون برنامه هفتم پیشرفت
بر این اساس با توجه به اولویتهای مشخصشده در برنامه هفتم، استقرار احراز هویت رقومی (دیجیتال) در حوزههای کاربردی مطروحه نهتنها با اهداف توسعهای کشور همراستا است، بلکه دارای بیشترین بازده اجتماعی، اقتصادی و نهادی در افق برنامه هفتم خواهد بود.
احراز هویت رقومی (دیجیتال) صرفاً ابزار فنی نیست، بلکه پیشنیاز اصلی تحول رقومی (دیجیتال) و ایجاد لایه اعتماد در همه تعاملات دادهمحور است. بدون آن، ساختارهای حکمرانی و اقتصادی منسجم عمل نخواهند کرد. نقش آن در چهار سطح کلیدی تعریف میشود:
الف) سطح فرایندی
ب) سطح تجربه کاربر
ج) سطح کسبوکار و اقتصاد داده
د) سطح حکمرانی و دولت هوشمند
در نهایت، هویت رقومی (دیجیتال) باید نه صرفاً ابزار امنیتی، بلکه رکن عدالت رقومی (دیجیتال) و کرامت شهروندی باشد؛ در غیر این صورت، خطر تبدیل شدن به ابزار کنترل حاکمیتی وجود دارد. تجربه جهانی نشان داده است که تنها خدمات ساده، سریع، شفاف و تحت کنترل شهروندان پایدار میمانند.
در مسیر استقرار نظام ملی احراز هویت رقومی (دیجیتال)، ابعاد اجتماعی و فرهنگی نقشی بنیادی و چندلایه ایفا میکنند. این ابعاد، برخلاف سختافزار یا فناوریهای رقومی (دیجیتال) که میتوانند با سرمایهگذاری مستقیم تأمین شوند، متکی بر سرمایه اجتماعی، اعتماد عمومی، ادراک فرهنگی و سطح سواد فناورانه هستند. عدم توجه به این مؤلفهها نهتنها میتواند پروژههای ملی را با تأخیر، ناکارآمدی یا شکست مواجه کند، بلکه پیامدهای بلندمدت در شکلگیری شکاف رقومی (دیجیتال)، نارضایتی اجتماعی خواهد داشت.
در تحلیل نظاممند، چهار محور کلیدی در سطح اجتماعی و فرهنگی باید بهصورت همافزا در سیاستگذاریها مورد توجه قرار گیرد:
الف) اعتماد عمومی به دولت و حاکمیت داده
احراز هویت رقومی (دیجیتال) مبتنیبر دادههای حساس همچون مشخصات زیستسنجی (بیومتریک)، سوابق مالی و الگوهای رفتاری است. در غیاب شفافیت، پاسخگویی و وجود نهادهای ناظر مستقل، شهروندان ممکن است احساس ریسک در قبال سوءِاستفاده، نظارت غیرمجاز یا فروش دادههای خود داشته باشند. در واقع، اعتماد بیش از آنکه بهعنوان یک عنصر پیشفرض لحاظ شود ساختنی خواهد بود. در چنین شرایطی، صرفاً تحمیل قانون یا اجبار فنی نمیتواند مشارکت همگانی را تضمین کند و طراحی احراز هویت رقومی (دیجیتال) باید مبتنیبر اصول حاکمیت داده، اطلاعرسانی مؤثر و دسترسی شفاف به سابقه استفاده از دادههای فردی باشد. محفوظ ماندن «حق دانستن» و «حق کنترل» برای کاربران دو رکن اعتمادساز هستند که باید نهادینه شوند.
ب) شکاف رقومی (دیجیتال)
نظامهای هویتی رقومی (دیجیتال) در صورتی موفقاند که فراگیر باشند. در ایران نیز مانند سایر کشورها، نوعی شکاف رقومی (دیجیتال) بهصورت چندبعدی مشهود است:
طبق آمار رسمی وزارت ارتباطات:
بر این اساس لازم است که طراحی نظامهای هویتی بصورت عادلانه و با پیشبینی ابزارهای جایگزین انجام شود تا اقشار یادشده از دسترسی به خدمات محروم نشوند و شکاف رقومی (دیجیتال) ایجاد نشود.
ج) ملاحظات فرهنگی و دینی
ملاحظاتی نسبت به دادهپردازی، تصویرسازی چهره، یا تحلیل صدا و حرکت بدن وجود دارد. این ملاحظات در موارد مرتبط با اطلاعات زیستی و بیومتریک مانند تصویر صورت، مطرح هستند. لذا باید مؤلفههای فرهنگی و دینی در روش اجرا مورد توجه قرار گیرد.
د) آموزش، توانمندسازی و پذیرش تدریجی
پذیرش اجتماعی فناوری، همزمان با درونیسازی مفاهیم امنیت رقومی (دیجیتال)، حریم خصوصی و حقوق رقومی (دیجیتال) رخ میدهد. در کشوری با تنوع سواد و سطح آگاهی عمومی، نهادینهسازی احراز هویت رقومی (دیجیتال) بدون یک راهبرد آموزشی چندساله میسر نیست. تجربه موفق برخی از کشورهای پیشرو [13] نشان میدهد که:
با توجه به جمیع موارد ملاحظات اجتماعی–فرهنگی، قلب نرمافزاری تحول رقومی (دیجیتال) هستند. در پروژههایی مانند احراز هویت رقومی (دیجیتال) که عمیقاً با اعتماد، هویت و رفتار شهروندان گره خوردهاند، عدم توجه به لایههای فرهنگی نهتنها اثربخشی فناوری را کاهش میدهد، بلکه مشروعیت اجرای آن را نیز زیر سؤال میبرد.
احراز هویت رقومی (دیجیتال)، نهتنها دروازه ورود به اقتصاد دادهمحور و زیربنای تحول رقومی (دیجیتال) در بخش خصوصی و دولتی است، بلکه یک اهرم سیاستگذاری اقتصادی راهبردی برای افزایش بهرهوری، کاهش هزینهها و شکلگیری بازارهای نوین خدمات بهشمار میرود. در تحلیل کلان، میتوان تأثیرات اقتصادی هویت رقومی (دیجیتال) را در چهار سطح بهرهوری نهادی، بهبود شفافیت مالی و مقابله با فساد، تسهیل نوآوری و رشد اقتصاد رقومی (دیجیتال) و ارتقای تابآوری اقتصادی مورد بررسی قرار داد.
الف) افزایش بهرهوری نهادی و کاهش هزینههای سربار
در ساختارهای اداری سنتی، بخش قابل توجهی از منابع سازمانها صرف فعالیتهایی نظیر تطبیقهای هویتی مکرر، جمعآوری و بررسی مستندات فیزیکی و اجرای کنترلهای امنیتی وقتگیر میشود. این رویهها نهتنها بهرهوری را کاهش داده، بلکه منجر به اتلاف سرمایه انسانی، اختلال در جریان خدمترسانی و ایجاد نارضایتی میان کاربران نهایی نیز میشوند.
استقرار سامانههای احراز هویت رقومی (دیجیتال)، این فرایندهای پرهزینه و زمانبر را به فرایندهای یکپارچه، سریع و قابلپیگیری تبدیل میکند. در چنین سامانهای، فرایندهای اعتبارسنجی و تطبیق اطلاعات بهصورت برخط و خودکار انجام میگیرد و نیازی به ثبتنام مکرر یا ارائه اسناد فیزیکی نیست و ارتباط میان دستگاههای مختلف نیز مبتنیبر استانداردهای فنی واحد و قابلاعتماد خواهد بود.
افزونبر این، بهرهگیری از احراز هویت رقومی (دیجیتال) میتواند فشار مالی و فنی وارد بر دستگاههای اجرایی را کاهش دهد؛ چراکه دیگر نیازی به توسعه و نگهداری زیرساختهای پراکنده تأیید هویت وجود ندارد. بهعبارت دیگر، با حرکت بهسوی هویت رقومی (دیجیتال) یکپارچه، دولت میتواند منابع آزادشده را به توسعه خدمات هوشمند، بهبود امنیت داده و نوآوری اختصاص دهد.
ب) بهبود شفافیت مالی و مقابله با فساد
احراز هویت رقومی (دیجیتال) میتواند بهصورت بنیادین نظام شفافیت در تعاملات مالی و اقتصادی را متحول سازد. در زیستبوم سنتی، نبود یک شناسه هویتی قابل استناد و پایدار، فضا را برای فرار مالیاتی، حسابهای جعلی و دور زدن مقررات مهیا میسازد. در مقابل، با استقرار نظام هویت رقومی (دیجیتال) یکپارچه، هر کنش اقتصادی قابل نسبتدادن به یک هویت مشخص و معتبر خواهد بود.
این تحول به نهادهای نظارتی و مالیاتی این امکان را میدهد تا زنجیره تراکنشها را با دقت و سرعت بیشتری ردیابی کرده و از بروز تقلب، پولشویی، یا دریافت همزمان چندگانه یارانهها و تسهیلات جلوگیری کنند. افزونبر این، هویت رقومی (دیجیتال) میتواند به استانداردسازی تعامل میان شهروندان، کسبوکارها و دولت کمک کرده و لایهای از پاسخگویی رقومی (دیجیتال) را در نظام حکمرانی مالی نهادینه کند.
ج) تسهیل نوآوری و رشد اقتصاد رقومی (دیجیتال)
در اقتصاد مبتنیبر داده، زیرساخت هویت رقومی (دیجیتال) بهمنزله پیشنیاز توسعه محصولات، خدمات و مدلهای کسبوکار نوآورانه است. شرکتها و سکوهای رقومی (دیجیتال)، برای ارائه خدمات شخصیسازیشده، اعتبارسنجی لحظهای کاربران، و انجام تراکنشهای امن، نیازمند ابزارهای احراز هویت دقیق و آنی هستند.
هویت رقومی (دیجیتال) امکان خلق خدمات مالی غیرحضوری، بیمهنامههای هوشمند، قراردادهای رقومی (دیجیتال) و محصولات اشتراکی را فراهم میسازد. افزونبر این، کاهش اصطکاک ورود کاربران به زیستبوم خدمات رقومی (دیجیتال)، موجب گسترش بازار، افزایش رقابتپذیری داخلی و جذب سرمایهگذاری در حوزههای فینتک، سلامت رقومی (دیجیتال) و اقتصاد اشتراکی خواهد شد.
د) ارتقای تابآوری اقتصادی و پشتیبانی از سیاستهای حمایتی
در شرایط بحران، رکود یا بلایای طبیعی، دسترسی سریع و قابلاطمینان به اطلاعات دقیق هویتی شهروندان، یکی از الزامات اجرای سیاستهای حمایتی هدفمند و کارآمد است. احراز هویت رقومی (دیجیتال) این امکان را فراهم میکند تا دولت بتواند در کوتاهترین زمان، کمکهای دولتی را به افراد مشمول تخصیص دهد، زنجیرههای آسیبپذیر را شناسایی کند، و از توزیع منابع به افراد یا نهادهای غیرمجاز جلوگیری کند.
همچنین، وجود یک زیرساخت هویتی رقومی (دیجیتال) منسجم، انعطافپذیری دولت در مدیریت نوسانات اقتصادی، اجرای طرحهای بازتوزیعی و مدیریت ریسکهای کلان را بهبود میبخشد. در یک ساختار هوشمند مبتنیبر هویت رقومی (دیجیتال)، دولت قادر خواهد بود با سرعت، دقت و شفافیت بیشتری به تحولات اقتصادی پاسخ دهد و منابع را به شیوهای کارآمد تخصیص دهد.
احراز هویت رقومی (دیجیتال)، یک زیرساخت اقتصادی و فنی چندلایه است که در سطوح مختلف سیاستگذاری، سرمایهگذاری و بهرهبرداری اثرگذار است. از کاهش هزینههای سربار اداری و هدفمندی یارانهها گرفته تا توسعه بازار خدمات نوین و ارتقای جایگاه بینالمللی، همگی وابسته به طراحی و استقرار یک نظام هویتی امن، قابل اعتماد و مردممحورند.
استقرار موفق نظام احراز هویت رقومی (دیجیتال) مستلزم وجود سازوکارهای حکمرانی یکپارچه، همکاری نهادی و قوانین جامع و روزآمد است. بااینحال، ممکن است مجموعهای از چالشهای نهادی، ساختاری و مقرراتی مانع شکلگیری یک زیستبوم منسجم و مؤثر در این حوزه باشند. تحلیل دقیق این موانع، برای سیاستگذاری واقعبینانه و اصلاحمحور ضروری است.
توسعه سامانه احراز هویت رقومی (دیجیتال) نیازمند معماری فنی منعطف، امن و قابل تعامل است. برای اطمینان از پایداری و امنیت این زیرساخت راهبردی، باید چند اصل فنی و امنیتی بهصورت همزمان مورد توجه قرار گیرد [2]:
الف) معماری غیرمتمرکز و توزیعشده بهجای تجمیع تمام دادههای هویتی در یک پایگاه متمرکز و آسیبپذیر، استفاده از معماری توزیعشده یا مبتنیبر فناوری زنجیرهبلوکی توصیه میشود. این رویکرد، ضمن افزایش تابآوری سیستم، کنترل داده را در اختیار کاربر قرار میدهد.
ب) رعایت استانداردهای باز و تعاملپذیر پایبندی به استانداردهای بینالمللی مانند FIDO2 [21]، OpenID Connect، OAuth 2.0 وISO/IEC 29115 [11]، ضمن تسهیل اتصال سامانهها، تضمینکننده امنیت و انطباقپذیری سامانه در سطح جهانی است. این استانداردها مبنای اعتماد متقابل در تعاملات بین نهادی را نیز فراهم میکنند.
ج) طراحی امنیتمحور نباید یک افزودنی پسینی باشد، بلکه باید از ابتدا در طراحی سامانه لحاظ شود. استفاده از رمزنگاری انتها به انتها، گواهی رقومی (دیجیتال) معتبر، ذخیرهسازی مطمئن، احراز هویت دومرحلهای، کنترل مجوزها، و پایش رفتارهای مشکوک، عناصر کلیدی این رویکردند.
د) احراز هویت پیوسته و رفتار با بهرهگیری از الگوریتمهای یادگیری ماشین، میتوان رفتار کاربر در زمان استفاده از سامانه (مانند شیوه تایپ، محل و زمان ورود، مسیر حرکتی موس) را برای شناسایی انحرافات امنیتی بهکار گرفت. این فناوری میتواند بدون ایجاد بار شناختی برای کاربر، لایهای دایمی از حفاظت فراهم کند.
هـ) مرکز عملیات امنیتی و تابآوری ملی زیرساخت احراز هویت رقومی (دیجیتال) باید درون یک سامانه جامع پایش امنیتی قرار گیرد تا بهصورت لحظهای، تهدیدات شناسایی و واکنش متناسب انجام شود. همچنین، طراحی باید بهگونهای باشد که در برابر قطعی اینترنت، حملات سایبری، یا اختلالات امنیتی، پایداری نسبی حفظ شود.
احراز هویت رقومی (دیجیتال) بهعنوان یک فناوری زیرساختی، همزمان فرصتهای راهبردی و تهدیدهای مهمی به همراه دارد. رویکرد سیاستگذاری در این حوزه باید متوازن، چندبُعدی و آیندهنگر باشد.
مزایا:
مخاطرات:
۵. مطالعه تطبیقی قوانین و مقررات در سطح بینالمللی و ایران
در فرایند قانونگذاری نظام احراز هویت رقومی (دیجیتال)، صرف اتکا به تجربههای داخلی خطر بازتولید خلأهای حقوقی، جزیرهایسازی زیرساختها و افزایش هزینههای انطباق را در پی دارد؛ ازاینرو تطبیق مقررات با نمونههای موفق بینالمللی ضرورتی راهبردی محسوب میشود. مقایسه تطبیقی نهتنها کمک میکند استانداردهای فنی و امنیتی ایران با چارچوبهای جهانی همتراز شود، بلکه امکان شناسایی پیشاپیش چالشهایی مانند تعارض حریم خصوصی با احراز هویت زیستی یا نحوه اعمال سطوح اطمینان را فراهم میکند. افزونبر این، هماهنگی مقررات داخلی با رویههای پذیرفته شده بینالمللی، مسیر تعاملپذیری فرامرزی خدمات مالی و دولتی، جذب سرمایهگذاری خارجی و رعایت الزامهای مبارزه با پولشویی را هموار خواهد کرد.
برای دستیابی به تصویری جامع و متمایز، در این بررسی، کشورها بر پایه سه معیار انتخاب شدهاند:
این ترکیب امکان میدهد شکافها و فرصتهای سیاستی کشور بهصورت واقعبینانه و همهجانبه ترسیم شود.
برای انجام یک مطالعه تطبیقی منسجم و کاربردی میان مقررات احراز هویت رقومی (دیجیتال) در ایران و کشورهای پیشرو، نخستین گام آن است که چارچوب تحلیلی روشنی برای مقایسه انتخاب شود. در این گزارش، شش محور تحلیلی به عنوان ویژگیهای اصلی مقایسه مقررات انتخاب شدهاند. این محورها براساس ادبیات معتبر بینالمللی ازجمله گزارشهای OECD، کمیسیون اروپا (در تدوین eIDAS و eIDAS 2.0) [22]، اتحادیه بینالمللی مخابرات و پژوهشهای مراکز نوآوری سیاستی مانند طرح ابتکاری بانک جهانی با عنوان «شناسایی برای توسعه (ID4D)» [16] و اتحاد کالاهای عمومی دیجیتال (DPGA) [18] طراحی شدهاند.
انتخاب این محورها به علت پیوستگی ساختاری آنها با مراحل طراحی، اجرا و ارزیابی یک نظام احراز هویت رقومی (دیجیتال) ملی صورت گرفته است. این محورها عبارتاند از:
این محور ناظر بر آن است که قانونگذار چه اشخاص حقیقی و حقوقی، چه نوع خدماتی و چه سطوحی از تراکنشها را مشمول قانون دانسته است و با چه هدفی قانون را وضع کرده است. آیا قانون فقط برای دستگاههای دولتی است یا شامل بخش خصوصی نیز میشود؟ آیا صرفاً برای امنیت است یا اهدافی چون تسهیل نوآوری، رشد اقتصاد رقومی (دیجیتال)، یا صیانت از حریم خصوصی نیز دنبال میشود؟ این محور، چارچوب نظری و دایره شمول قانون را تعیین میکند.
نظامهای احراز هویت رقومی (دیجیتال) معمولاً از سه الگوی نهادی پیروی میکنند: متمرکز، فداتیو و غیرمتمرکز خود حاکم. این محور بیان میکند که چه نهادی مسئول صدور و اعتباردهی است (دولت، نهاد مستقل، یا کنسرسیوم خصوصی)، ساختار حاکمیتی چگونه تعیین شده (قانونگذار، تنظیمگر، اجراکننده) و تقسیم کار میان بازیگران کلیدی چگونه است. این بخش همچنین به نقش بخش خصوصی و نهادهای واسط مانند ارائهدهندگان اعتبار میپردازد.
مطابق استانداردهای بینالمللی نظیر ISO/IEC 29115، چارچوبهای معتبر احراز هویت، سطوح مختلفی از اطمینان را تعریف میکنند که به میزان دقت شناسایی و کنترل ریسک بستگی دارد. این محور بیان میکند که آیا قوانین و مقررات بهطور شفاف سطوح اطمینان را تعریف کرده است یا خیر، اینکه چه عوامل احراز هویتی، مجاز یا الزامی هستند. مدلهای پیشرفته معمولاً از احراز هویت چندعاملی، پیوسته یا زمینهمحور نیز پشتیبانی میکنند.
در این بخش فرایندهای صدور شناسه رقومی (دیجیتال)، مدیریت اعتبار و سازوکارهای استفاده از شناسه بررسی میشود. مقررات موفق معمولاً به تعریف چرخه عمر شناسه (از ثبت تا تعلیق و ابطال)، قابلیتهای امضای رقومی (دیجیتال)، یکپارچگی اطلاعات، و روشهای مقابله با جعل و سوءاستفاده پرداختهاند. همچنین نحوه اعمال کنترل کاربر بر شناسه و فرایندهای رضایتمندی برای اشتراک دادهها ازجمله نکات کلیدی در این محور است.
حفظ حریم خصوصی افراد یکی از حساسترین و بنیادینترین اصول نظامهای احراز هویت رقومی (دیجیتال) است. این محور به بررسی این میپردازد که قانون و مقررات تا چه حد اصول حفاظت داده را رعایت کرده، مانند حداقلسازی دادهها، محدودیت هدف، شفافیت و اطلاعرسانی به کاربر، حق دسترسی و اصلاح داده و نیز حق فراموششدن داده. همچنین بررسی میشود که آیا قانون و مقررات سازوکار نظارتی مستقلی برای حفاظت داده (مانند کمیسیونهای ملی حفاظت داده) پیشبینی کرده است یا خیر.
توسعه مقررات و قوانین بدون پیادهسازی موفق و ایجاد انگیزه برای پذیرش عمومی، بیاثر خواهند بود. این محور به نحوه اجراییسازی قانون و مقررات در عمل، طراحی مسیرهای الزام تدریجی، مشوقهای مالی یا غیرمالی برای نهادهای مشمول و تعاملپذیری فنی و حقوقی در سطح ملی و بینالمللی میپردازد.
در این بخش، شش کشور توسعهیافته و پیشرو که در طراحی، پیادهسازی، و سیاستگذاری نظامهای احراز هویت رقومی (دیجیتال) سرآمد هستند، مورد بررسی قرار میگیرند. معیار انتخاب این نمونهها، تنوع در جغرافیا، سطح توسعه، ساختار حکمرانی رقومی (دیجیتال) و مدلهای نهادی است. هدف، استخراج الگوهای موفق و درسآموزی از چالشهاست.
هدف اصلی eIDAS 2.0، ایجاد بازار واحد هویت رقومی (دیجیتال) در سراسر اتحادیه اروپا و تضمین تعاملپذیری، شناسایی متقابل و پوشش خدمات خصوصی و عمومی است. این مقررات بر مبنای اصل «کنترل کاربر بر داده» طراحی شده و استفاده از کیف پول هویت رقومی (دیجیتال) اروپا را برای بانکها، بیمارستانها، مراکز آموزشی، خدمات حملونقل، رأیگیری برخط و سایر خدمات کلیدی اجباری میداند. برخلاف بسیاری از مدلهای ملی، هدف آن صرفاً شناسایی نیست بلکه توانمندسازی شهروند در تعاملات رقومی (دیجیتال) بینمرزی است.
eIDAS یک مدل فدراتیو میان دولتهای عضو است که در آن مسئولیت صدور و اعتبارسنجی شناسه رقومی (دیجیتال) میان بازیگران مختلف تقسیم شده است. هماهنگی مرکزی با کمیسیون اروپا است و نظارت نهادی با همکاری ENISA، سازمانهای ملی و نهادهای ارزیاب مطابقت انجام میشود. نقش شرکتهای فناوری بزرگ با الزامهای صریح محدود شده (مانند الزام اپل و گوگل به پشتیبانی از کیفپول اروپایی).
مقررات دارای چارچوب دقیق سطوح اطمینان با ارجاع به استانداردهای بین المللی است و الزامات فنی، آزمونپذیری و تأیید مستقل برای هر سطح وجود دارد. این سطوح نقش محوری در تفکیک خدمات پَرریسک (مانند سلامت یا مالی) از خدمات کمریسک (مانند انجام نظرسنجی) دارند.
کیفپول هویت رقومی (دیجیتال) توسط نهادهای مجاز صادر میشود و قابلیت مدیریت داده، صدور، لغو و مشاهده سابقه بهرهبرداری داده برای کاربر در نظر گرفته شده است. هر تراکنش نیازمند رضایت صریح کاربر است. کیفپول قابلیت امضای الکترونیکی سطح بالا، ذخیره گواهی و کاربری چندکشوری دارد. سامانههای صدور و مصرفکننده باید در سامانه هماهنگی اتحادیه ثبت شده و گواهی انطباق اخذ کنند.
eIDAS 2.0 کاملاً با قانون حمایت از دادها (GDPR) همراستا طراحی شده و اصل «کمینهسازی دادهها» و «محدودیت هدف» را رعایت میکند. کاربر در هر مرحله باید رضایت دهد و امکان مشاهده، حذف و انتقال داده را دارد. کاربر میتواند تنظیم کند که کدام دادهها به کدام سامانهها ارسال شود. همچنین، مقررات انتقال داده بدون رضایت کاربر یا برای اهداف غیرمرتبط را ممنوع کرده است (اصل محدودیت هدف).
اجرای مقررات برای کلیه دولتهای عضو الزامی است و جدول زمانی اجرایی مرحلهبندی شده دارد. کمیسیون اروپا متعهد به تأمین بودجه مشترک برای توسعه زیرساخت فنی، آموزش کاربران و کمک فنی به کشورهای کمتر توسعهیافته عضو اتحادیه اروپا شده است. شاخصهای رسمی نظیر «میزان پذیرش در خدمات عمومی»، «نرخ صدور کیفپول» و «میزان تراکنشهای فرامرزی» برای رصد پیشرفت تعریف شدهاند [22].
Aadhaar با هدف تخصیص یارانههای دولتی، کاهش فساد، شمول مالی و ثبت رقومی (دیجیتال) همه مردم طراحی شد. برخلاف مدلهای اروپایی، تمرکز آن بر جمعیت کمبرخوردار و تسهیل دسترسی به خدمات پایه بود. دامنه خدمات Aadhaar از یارانههای سوخت و غذا تا افتتاح حساب بانکی و دریافت وام را در بر میگیرد. با وجود گسترش کاربرد، استفاده از آن در خدمات خصوصی تنها با رضایت کاربر مجاز است.
مدیریت Aadhaar در اختیار «سازمان توسعه شناسه یکتا(UIDAI) » است. ساختار آن کاملاً متمرکز است و شناسه برای هر فرد توسط دولت صادر میشود. شرکتهای خصوصی بهعنوان ارائهدهنده خدمات جانبی و واسط فعالیت دارند، اما چارچوب طراحی و مالکیت داده کاملاً دولتی است.
با وجود مقیاس بزرگ پروژه، چارچوب صریح LOA در مقررات Aadhaar دیده نمیشود. همه احرازها بر پایه دادههای زیستی (اثر انگشت، قرنیه، چهره) انجام میشود که در بسیاری از مناطق محروم با مشکلات فنی و ناکافی بودن دقت همراه است. نبود طبقهبندی خدمات براساس ریسک، موجب شده استفاده از احراز زیستی حتی در خدمات کمریسک نیز اجباری شود.
هر فرد با ثبتنام در مراکز رسمی، شناسه یکتای Aadhaar را دریافت میکند. کنترل داده در عمل در اختیار سازمان UIDAI و نهادهای دولتی است. کاربر به تاریخچه استفاده یا ابزارهای مدیریت داده دسترسی مستقیم ندارد. لغو یا ابطال شناسه نیز رویه شفاف ندارد.
قانون حفاظت از دادهها در هند پس از Aadhaar شکل گرفت و اجرای ناقص آن باعث شد انتقادهای جدی به این طرح وارد شود. فقدان شفافیت در ذخیرهسازی داده، عدم رضایت آگاهانه و نشت اطلاعات زیستی از مهمترین بحرانهای حقوقی Aadhaar بودهاند. احکام قضایی متعدد در مورد لزوم داوطلبانه بودن آن صادر شدهاند.
از زمان راهاندازی Aadhaar تاکنون دستکم دهها رخداد افشای داده گزارش شده است؛ از فروش غیرقانونی دسترسی به پایگاه اطلاعاتی (گزارش The Tribune در ۲۰۱۸) تا نشت میلیاردها رکورد در مخازن ابری تنظیم نشده سازمانهای همکار، نبود رمزنگاری کامل دادههای زیستی در مبدأ، آسیبپذیری دستگاههای ثبت اثر انگشت در برابر حملات تکرار یا بازپخش و استفاده گسترده از نسخههای جعلی اپلیکیشن eKYC، سطح ریسک را تشدید کرده است. دادگاه عالی هند ضمن تأکید بر لزوم «استفاده داوطلبانه»، دولت را ملزم به معرفی ابزار «Virtual ID» و ممیزی امنیتی ادواری کرده است. بااینحال، کارشناسان همچنان خطر استفاده اجباری از تکعامل زیستی و تمرکز پایگاه داده را برجسته میکنند.
اجرای Aadhaar با سرمایهگذاری عظیم دولت و مشارکت بخش خصوصی در ثبتنام و کاربرد همراه بود. انگیزه استفاده از آن در دسترسی به یارانهها و خدمات پایه نهفته است. اما نبود مشوق برای بهبود تجربه کاربری یا نوآوری بخش خصوصی موجب کندی توسعه زیستبوم پیرامونی شده است [23].
ایالات متحده برخلاف بسیاری از کشورهای پیشرفته، تاکنون یک سامانه ملی متمرکز برای هویت رقومی (دیجیتال) شهروندان ایجاد نکرده است. تلاشها در قالب چارچوب NSTIC از سال ۲۰۱۱ با هدف افزایش امنیت، کاهش اتکا به رمز عبور و تسهیل دسترسی رقومی (دیجیتال) شهروندان آغاز شد [24]. پروژه Login.gov ازسوی GSA بهعنوان درگاه مرکزی ورود به خدمات فدرال طراحی شد، اما پوشش آن محدود به خدمات دولتی و فدرال باقی مانده است [25]. هدف کلان NSTIC ایجاد زیستبوم رقابتی، مبتنیبر انتخاب کاربر و با تعامل بخش خصوصی بود. در آمریکا، هویت افراد بهطور سنتی از طریق شماره تأمین اجتماعی (SSN)، گواهینامه رانندگی ایالتی و گذرنامه فدرال اثبات میشود. در واقع هیچ شناسه رقومی (دیجیتال) واحدی برای تعامل با خدمات عمومی یا خصوصی وجود ندارد.
مدل حکمرانی آمریکا در حوزه هویت رقومی (دیجیتال) غیرمتمرکز، فدرالی و بازارمحور است. هیچ نهاد مرکزی برای صدور هویت رقومی (دیجیتال) وجود ندارد؛ بخش خصوصی مانند شرکتهای گوگل، مایکروسافت و ID.me نقش اصلی در ارائه احراز هویت دارند و دولت صرفاً نقش هماهنگکننده، تسهیلگر و استانداردگذار را ایفا میکند. سامانه Login.gov برای اتصال به خدمات فدرال توسعه یافته، اما بسیاری از ایالتها و آژانسها از راهکارهای متفاوت استفاده میکنند. علاوهبر این، نهادهای فدرالی نظیر IRSدر مالیات، USCIS در مهاجرت و SSA در تأمین اجتماعی سامانههای اختصاصی خود را برای احراز هویت دارند.
چارچوب NSTIC بر اصل سطوح مختلف اطمینان (LOA) تأکید دارد و چارچوب NIST SP 800-63 را برای تعریف این سطوح در اختیار نهادها قرار داده است. سطوح شامل IAL، AAL و FAL هستند. بااینحال، پیادهسازی آن به عهده نهادها گذاشته شده و در عمل پراکندگی اجرا وجود دارد.
هیچ سامانه ملی برای صدور شناسه رقومی (دیجیتال) وجود ندارد. سامانه Login.gov به کاربران اجازه میدهد با یک حساب کاربری به چند خدمت فدرال دسترسی داشته باشند. در کنار آن، شرکتهای خصوصی مانند ID.me، Clear و Experian خدمات تجاری احراز هویت رقومی (دیجیتال) ارائه میدهند و حتی در برخی پروژهها به سکوهای دولتی متصل شدهاند (برای مثال، در دوران کووید-۱۹ برخی ایالتها برای توزیع مزایای بیمه بیکاری از ID.me استفاده کردند). در حوزه کیف پول رقومی (دیجیتال) و معماری SSI نیز آمریکا فاقد چارچوب ملی هماهنگ است، اما پروژههای آزمایشی مانند گواهینامه رانندگی رقومی (دیجیتال) (mDL) در ایالتهایی چون کالیفرنیا و آریزونا جریان دارد. همچنین وزارت امنیت داخلی DHS و NIST در حال ارزیابی راهکارهای مبتنیبر اسناد هویتی قابل تأیید هستند.
ایالات متحده فاقد قانون جامع حریم خصوصی در سطح ملی مشابه GDPR است و مقررات پراکندهای مانند HIPAA در سلامت یا FERPA در آموزش وجود دارد. بسیاری از ارائهدهندگان هویت خصوصی تابع سیاستهای اختصاصی خود هستند و میزان کنترل کاربر بر دادهها به آن سیاستها بستگی دارد. این وضعیت نگرانیهایی درباره ردیابی، دادهکاوی و سوءاستفاده از اطلاعات شخصی ایجاد کرده است.
دولت فدرال برای گسترش سامانه Login.gov مشوقهایی ارائه داده ولی استفاده از آن اجباری نیست. رقابت با ارائهدهندگان خصوصی باعث عدم تمرکز در بازار شده است. نبود استاندارد الزامی سراسری، مقاومت ایالتها در برابر فدرالیسازی این حوزه و نااعتمادی عمومی، از چالشهای عمده پیادهسازی به شمار میرود. مدل حکمرانی آمریکا بر پایه بخش خصوصی قدرتمند، رقابت آزاد و تنظیمگری مبتنیبر استاندارد شکل گرفته است؛ مدلی که انعطافپذیر و نوآورانه است، اما به دلیل فقدان رهبری متمرکز، با مشکلاتی چون ناهماهنگی و نابرابری در دسترسی نیز روبهروست.
چین از سال ۲۰۱۳ پروژه eID را با هدف تسهیل تراکنشهای رقومی (دیجیتال)، احراز هویت کاربران اینترنت و کنترل فعالیتهای سایبری آغاز کرد. برخلاف بسیاری از کشورها، هدف از ابتدا ترکیبی از خدماترسانی، نظارت حکومتی و تقویت امنیت سایبری ملی بوده است. کاربرد eID در بانکداری، دولت الکترونیک، سلامت، آموزش، سکوهای تجارت الکترونیک و شبکههای اجتماعی الزامی است [26].
مدل چین کاملاً دولتی و متمرکز است. نهاد صادرکننده اصلی، وزارت امنیت عمومی (MPS) است که اطلاعات شهروندان را با همکاری اپراتورهای مخابراتی، بانکها و شرکتهای فناوری ذخیره و پردازش میکند. زیرساخت فنی در اختیار شرکتهای ملی مانند Tencent، Alibaba و China Mobile قرار دارد ولی مالکیت داده و سیاستگذاری کلان در اختیار دولت است.
سطوح اطمینان در eID براساس تطابق هویت واقعی با منابع رسمی مانند ثبت احوال و سامانه نظارت ملی است. تمامی کاربران سکوهای برخط باید با نام واقعی احراز شوند. با وجود کاربرد گسترده دادههای زیستی، هیچ چارچوب عمومی شفاف برای سطحبندی LOA وجود ندارد. خدمات حساستر مانند مالیات یا سلامت نیازمند احراز بیومتریک پیشرفته هستند.
کاربر با مراجعه به دفاتر ثبت یا از طریق اپهای بانکی یا دولتی شناسه رقومی (دیجیتال) دریافت میکند. ابزار کنترل کاربر محدود است و گردش داده عمدتاً در اختیار دولت یا شرکتهای تأیید شده قرار دارد. امکان مشاهده سوابق دسترسی یا لغو مجوزها توسط کاربر بهصورت عمومی در دسترس نیست. دادهها در چارچوب «امنیت سایبری ملی» و قوانین نظارتی طبقهبندی میشوند.
قانون جدید حفاظت از دادههای شخصی چین (PIPL, 2021) گامی بهسوی تقویت حقوق داده است، اما همچنان شامل استثنائات گسترده برای دولت و اهداف امنیتی است. کنترل کاربر در برابر بازیگران خصوصی بیشتر از دولت است. رضایت آگاهانه الزامی است ولی در عمل بسیاری از مجوزها بهصورت پیشفرض اخذ میشوند.
دولت با الزام کسبوکارها و سکوها به استفاده از eID و تعیین شاخصهای عملکردی برای بانکها و اپراتورها، اجرای آن را پیش برده است. همچنین، مزایایی مانند دسترسی سریع به خدمات، امضای رقومی (دیجیتال) معتبر و کاهش هزینههای احراز، بهعنوان مشوق به کاربران ارائه شدهاند. بااینحال، نگرانیها درباره شفافیت، استقلال کاربران، و نظارت دولتی همچنان بالا است [27].
سامانه UAE PASS با هدف ایجاد دولت بیکاغذ و سادهسازی احراز هویت رقومی (دیجیتال) برای تمامی کاربران داخل کشور شامل شهروندان، مقیمان و حتی گردشگران خارجی طراحی شده است. این سامانه یک شناسه رقومی (دیجیتال) سراسری و امضای رسمی الکترونیکی را فراهم میکند که در حوزههایی چون دولت الکترونیک، ثبت شرکت، بانکداری، سلامت، آموزش و گردشگری استفاده میشود. هدف کلان، فراهمکردن زیرساخت یکپارچهای برای تحول رقومی (دیجیتال) کامل و جذب سرمایهگذاران خارجی است [28].
سامانه UAE PASS توسط همکاری میان TDRA، Smart Dubai و Emirates Identity Authority راهاندازی شده و از مدل دولتی هماهنگشده میان اماراتهای مختلف بهره میبرد. با اینکه در سطح فدرال مدیریت میشود، اجرا و اتصال نهادها در اماراتهای مختلف گاه با تفاوتهایی همراه است. شرکتهای فناوری ملی نقش پیادهساز را دارند.
سامانه UAE PASS از چند سطح احراز هویت استفاده میکند:
الف) ورود با رمز عبور ساده،
ب) احراز با OTP،
ت) تأیید چهره از طریق اپلیکیشن موبایل (Face ID)،
ث) امضای رقومی (دیجیتال) معتبر رسمی.
سطوح اطمینان برای هر نوع خدمت متناسب با حساسیت آن تعیین شده و چارچوب سطحبندی فنی در دستورالعملهای TDRA تعریف شده است.
فرایند ثبتنام در سامانه UAE PASS از طریق اپلیکیشن موبایل، مراجعه به دفاتر پست، یا اتصال به بانکهای ملی امکانپذیر است. کاربران میتوانند حساب خود را ارتقا داده و امضای رقومی (دیجیتال) رسمی دریافت کنند. کنترل داده توسط کاربر از طریق اپلیکیشن امکانپذیر است که شامل مشاهده سوابق، مدیریت دسترسی، و تأیید یا رد دسترسیها است. شناسه رقومی (دیجیتال) برای مدت معین اعتبار دارد و قابل لغو، تمدید یا بازتنظیم است.
امارات دارای قانون فدرال حفاظت از داده شخصی[29] است که اصل رضایت، شفافیت، محدودیت هدف و دسترسی افراد به داده خود را به رسمیت میشناسد. سامانه UAE PASS با این قانون سازگار است و کاربر میتواند تعیین کند که کدام نهادها به چه دادههایی دسترسی داشته باشند. بااینحال، همانند دیگر کشورهای GCC، برخی استثنائات دولتی در حوزه امنیت ملی وجود دارد.
سامانه UAE PASS در سالهای اخیر با یک نقشه راه منسجم، شاخصهای کلیدی و الزام برای دستگاههای دولتی پیادهسازی شده است. ازجمله مشوقها برای شهروندان میتوان به امکان امضای رسمی اسناد حقوقی، دسترسی به دهها خدمت بدون نیاز به مراجعه حضوری و ورود سریع به خدمات بخش خصوصی اشاره کرد. همچنین، ارائه قابلیت برای گردشگران خارجی جهت دریافت شناسه موقت رقومی (دیجیتال)، این سامانه را در زمره مدلهای منحصربهفرد جهانی قرار داده است.
در سالهای اخیر، ایران مجموعهای از اسناد، آییننامهها و مصوبات را در حوزه احراز هویت رقومی (دیجیتال) تصویب کرده است. این اسناد عمدتاً در پاسخ به نیازهای قانونی در حوزههای مبارزه با پولشویی، دولت الکترونیک و تنظیمگری فضای مجازی تدوین شدهاند. بااینحال، بررسی تطبیقی نشان میدهد که این اسناد از نظر یکپارچگی، پوشش خدمات، شفافیت سطح اطمینان، و اصول حریم خصوصی دچار کاستیهایی نیز هستند. در ادامه، پنج سند کلیدی براساس ۶ محور تطبیقی تحلیل میشوند.
این سند با هدف کلان ایجاد «نظام هویت معتبر» برای ساماندهی تعاملات هویتی در فضای مجازی کشور تدوین شده است. بهطور مشخص، تلاش دارد سازوکاری رسمی برای تأیید و اعتباردهی به هویت اشخاص حقیقی، حقوقی، دستگاههای اجرایی، اشیاء و خدمات در محیط رقومی (دیجیتال) ارائه دهد. در بندهای آغازین، از تحقق اهدافی نظیر ارتقای اعتماد عمومی، امنیت تعاملات رقومی (دیجیتال) و مقابله با تخلفات هویتی سخن به میان آمده است. بااینحال در این سند، تعیین دقیق دامنه مصادیق خدمات مشمول، نوع خدمات (دولتی یا خصوصی)، یا قلمرو اجرایی الزامها در بخشهای مختلف اقتصادی و اجتماعی بهطور صریح مشخص نشده است.
در واقع، هدفگذاری سند همچنان در سطح کلان و سیاستی است و به مباحثی نظیر توسعه دولت رقومی (دیجیتال)، بهکارگیری هویت در اقتصاد سکویی، یا تسهیل نوآوری در خدمات رقومی (دیجیتال) ورود نکرده است. این در حالیست که در اسناد کشورهای پیشرو، پیوند میان «هویت رقومی (دیجیتال)» و «تحول رقومی (دیجیتال) اقتصادی» به صراحت بیان شده و یکی از معیارهای سنجش موفقیت تلقی میشود.
در ساختار اجرایی سند، وظایف اصلی بر عهده مرکز ملی فضای مجازی، سازمان ثبت احوال کشور و کارگروههای ذیل شورایعالی فضای مجازی قرار گرفته است. رویکرد این سند مبتنیبر یک مدل متمرکز و دولتی است که عمدتاً نقش بازیگران غیردولتی، نهادهای واسط، یا اپراتورهای فنی و تجاری را بهطور صریح بیان نمیکند.
همچنین نقش نهادی مشخص برای تنظیمگر حفاظت دادهها یا نهاد پاسخگو در برابر نقضهای هویتی یا اعتراض کاربران پیشبینی نشده است.
نظام هویت معتبر در فضای مجازی به «اعتبارسنجی متناسب با خدمات» اشاره دارد، اما چارچوب رسمی LOA را معرفی نمیکند. در این سند سازوکاری برای تفکیک خدمات پُرریسک از کمریسک و مطابقت با سطح اطمینان پیشبینی نشده است.
سند نظام هویت معتبر در فضای مجازی به «فرایند صدور شناسه معتبر» اشاره دارد، اما به جزئیات مربوط به چرخه حیات هویت رقومی (دیجیتال)، قابلیت ابطال، انتقالپذیری، و نحوه نظارت کاربر بر کاربری و اشتراکگذاری دادهها نمیپردازد. مقایسه سند مذکور با مقررات سنگاپور نشان میدهد که مقررات سنگاپور دسترسی کامل کاربر به سوابق هویتی و دادههای مصرف شده را تضمین کردهاند.
این سند بهطور کلی از پرداختن به اصول بنیادین حقوق داده خودداری میکند. مفاهیم پایهای مانند رضایت آگاهانه، شفافسازی اهداف پردازش، حداقلسازی داده و دسترسی و اصلاحپذیری اطلاعات توسط کاربر در این سند ذکر نشدهاند، و مرجع مستقلی برای رسیدگی به تخلفات دادهای معرفی نشده است. پیوند میان نظام هویت رقومی (دیجیتال) و سیاستگذاری دادهمحور، ازجمله خلأهای این سند سیاستگذاری است.
در سند نظام هویت معتبر در فضای مجازی به سازوکارهایی مانند ارائه جدول زمانی، فازبندی اجرایی، شاخص ارزیابی یا مشوق برای پذیرش عمومی یا مشارکت بخش خصوصی پرداخته نشده است. اجرای سند مذکور به همکاری داوطلبانه دستگاهها موکول شده که فاقد ضمانت اجرا است[7].
آییننامه اجرایی ماده (14) الحاقی قانون مبارزه با پولشویی مصوب هیئتوزیران، با هدف اصلی شناسایی هویتی اشخاص حقیقی و حقوقی در تعامل با نهادهای مالی و حرفهای برای پیشگیری از تخلفات مالی و ردیابی منشأ منابع مالی تصویب شده است. دامنه اجرایی آن محدود به «اشخاص مشمول» نظیر بانکها، مؤسسات اعتباری، بیمهها، صرافیها و برخی مشاغل خاص (وکلا، حسابداران و دفاتر اسناد رسمی) است. در این مقرره رویکرد یکپارچه، افقی و چندبخشی دنبال نشده است بلکه آییننامه مذکور صرفاً ناظر بر نیازهای امنیتی بخش مالی است. ازاینرو، قابلیت تعمیمپذیری به حوزههایی نظیر تجارت الکترونیکی، دولت رقومی (دیجیتال) یا خدمات سلامت وجود ندارد [6].
ساختار نهادی آییننامه مبتنیبر تمرکز شدید در درون دولت و بانک مرکزی است. واحد اطلاعات مالی (FIU) بهعنوان نهاد مرکزی گزارشگیری، تحلیل و پایش معاملات مشکوک عمل میکند، در حالی که بانک مرکزی نقش نظارتی و راهبری برای نهادهای پولی و بانکی دارد. نهادهای خصوصی مشمول (نظیر صرافیها یا مؤسسات مالی غیربانکی) هیچ نقشی در طراحی، استانداردسازی یا نوآوری در مدل احراز هویت ندارند و صرفاً موظف به رعایت الزامهای اجرایی هستند.
هرچند آییننامه بهطور ضمنی بر ارزیابی ریسک مشتری تأکید دارد، اما چارچوب فنی یا سیاستی برای سطوح اطمینان تدوین نکرده است. در آییننامه مذکور مشخص نشده است که در کدام شرایط از احراز هویت ساده، دومرحلهای یا زیستی استفاده شود.
فرایندهای صدور هویت و ثبت اطلاعات مبتنیبر ساختار درونی هر مؤسسه مالی انجام میشود. بانکها و مؤسسات برای دریافت اطلاعات هویتی به پایگاه ثبت احوال یا سامانههایی مانند نهاب وابستهاند. همچنین، فرایندهای تأیید، تمدید، لغو یا ابطال هویت رقومی (دیجیتال) بهصورت رسمی تعریف نشده است.
در آییننامه مذکور هیچگونه ارجاع مستقیمی به اصول حفاظت دادههای شخصی ندارد. تعریفی از رضایت آگاهانه ارائه نشده است. استفاده از دادههای هویتی در این نظام کاملاً دولتمحور صورت میگیرد.
آییننامه از منظر حقوقی الزامآور است و نهادهای مشمول مکلف به اجرای آن هستند. بااینحال، سازوکار حمایتی، مشوق فناوری، دستورالعمل جزئی پیادهسازی یا API متن باز برای تسهیل همگرایی فناوری در آن گنجانده نشده است.
هدف اصلی این مصوبه شورای اجرایی فناوری اطلاعات، تضمین صحت هویت اشخاص حقیقی و نشانی محل اقامت آنها در ارائه خدمات دولت الکترونیک است. این مصوبه، دستگاههای اجرایی را ملزم میکند تنها پس از انجام موفق احراز هویت رقومی (دیجیتال) و اعتبارسنجی نشانی، خدمت را ارائه دهند [8].
با وجود این هدف صریح، دامنه اجرایی مصوبه فاقد شمول جامع نسبت به انواع خدمات (مالی، رفاهی، قضایی، آموزشی و...) و بدون تفکیک میان سطوح مختلف ریسک و حساسیت خدمات است. همچنین در این مصوبه اشارهای به پوشش بخش خصوصی، کاربردهای چندمنظوره، یا ارتباط با اقتصاد رقومی (دیجیتال) نشده است.
براساس مصوبه، هر دستگاه اجرایی موظف است در فرایند ارائه خدمت، به سامانه ثبت احوال و شرکت پست متصل شود تا هویت و نشانی کاربر را استعلام کند.
مصوبه صرفاً تصریح میکند که احراز هویت باید با سطح مناسب اطمینان متناسب با نوع خدمت انجام شود؛ اما هیچ تعریفی از سطح اطمینان، مدل ریسکمحور، یا شاخص فنی و اجرایی ارائه نمیکند.
دستگاهها نیز بهدلیل نبود چارچوب LOA یا دستورالعملهای مرجع مجبور به پیادهسازی سلیقهای و نامتوازن شدهاند. این موضوع، سطح امنیت و کارایی سامانهها را کاهش داده است.
در این مصوبه، فرایند مشخص و استانداردشدهای برای صدور، مدیریت یا ابطال شناسه رقومی (دیجیتال) پیشنهاد نمیکند. دستگاهها عمدتاً بهطور موردی از طریق استعلامگیری از سامانه ثبت احوال و پست، به هویت کاربران اطمینان پیدا میکنند.
مصوبه فاقد هرگونه اشارهای به اصول بنیادین حقوق دادهها و حریم خصوصی است. در این مصوبه، از رضایت کاربر برای تبادل دادهها و هدفمندی پردازش یا محدودیت در میزان جمعآوری دادهها موردی ذکر نشده است.
در این مصوبه، ساختار مشوقی برای دستگاهها پیشبینی نشده است. دستورالعمل اجرایی جزئی برای توسعهدهندگان و مجریان ارائه نشده است.
تحلیل تطبیقی اسناد سیاستی و مقرراتی ایران در حوزه احراز هویت رقومی (دیجیتال) نشان میدهد که چارچوبهای موجود، بیشتر حاصل تصمیمگیریهای مقطعی است و انسجام راهبردی آنها ضعیف است. اغلب این اسناد بهجای طراحی یک زیرساخت بنیادین و فراگیر هویتی، تنها در پاسخ به نیازهای موضعی یا بخشی (مانند مبارزه با پولشویی یا تسهیل خدمات دولت الکترونیک) تدوین شدهاند.
در محورهای کلیدی تحلیل شامل دامنه، مدل نهادی، سطوح اطمینان، سازوکار صدور، حقوق داده و پیادهسازی، بیشتر اسناد داخلی با خلأهای مفهومی و اجرایی مواجهاند. مهمترین چالشها عبارتاند از:
· مشخص نشدن چارچوب سطوح اطمینان (LOA) و تعریف استانداردهای متناسب با حساسیت خدمات؛
· عدم معرفی نهاد تنظیمگر واحد و پاسخگو با اختیار تدوین استانداردها، پایش کیفیت و رسیدگی به تخلفات؛
· ضعف در الزامات حمایت از حقوق کاربران،
· مشخص نشدن برنامه اجرایی فازبندیشده، شاخصهای عملکردی و مشوقهای عملیاتی برای دستگاهها و کاربران.
این الگوی سیاستگذاری، همافزایی بینبخشی لازم در دولت را ایجاد نمیکند، همچنین باعث افزایش هزینههای انطباق میشود، اعتماد عمومی و اقبال کاربران را در سطح ضعیفی نگه میدارد و تعاملپذیری منطقهای و بینالمللی نیز دشوار خواهد شد.
در شرایطی که گذار به اقتصاد رقومی (دیجیتال) و دولت هوشمند به یکی از اولویتهای راهبردی کشورها تبدیل شده، «احراز هویت رقومی (دیجیتال) » نهتنها یک ابزار فنی، بلکه شالودهای برای اعتماد، حکمرانی داده و تعاملات ایمن در فضای رقومی (دیجیتال) است. بررسی اسناد و تجارب جهانی نشان میدهد که کشورهایی که توانستهاند نظامهای هویت رقومی (دیجیتال) کارآمد، ایمن و مقیاسپذیر طراحی کنند، موفقتر از دیگران در توسعه خدمات عمومی، رشد زیستبومهای نوآوری و تسهیل فعالیت بخش خصوصی عمل کردهاند.
در ایران، تلاشهای پراکنده در سطوح فنی و نهادی انجام شده است اما تاکنون قانون جامع، شفاف و آیندهنگر برای احراز هویت رقومی (دیجیتال) تدوین نشده است. مقررات موجود عمدتاً پراکنده و مسئلهمحور بودهاند و نگاه راهبردی، کاربرمحور، یا نوآورانه کمتر مورد توجه بودهاند.
بر این اساس، با توجه به مطالعه تطبیقی صورت گرفته در محورهای کلیدی هویت رقومی (دیجیتال) میان ایران و نمونههای جهانی، ضعفهای ساختاری و نهادی موجود شناسایی میشود. سپس با مرور عناصر مشترک در الگوهای موفق، اصول بنیادینی برای تدوین یک قانون کارآمد در ایران پیشنهاد میشود؛ قانونی که بتواند همزمان به اعتماد عمومی کاربران، تعاملپذیری فنی، رعایت حقوق داده و رشد اقتصادی پاسخ دهد.
مرور تجربههای کشورهای پیشرو در توسعه سامانههای احراز هویت رقومی (دیجیتال)، از اروپا گرفته تا سنگاپور، چین و امارات، نشان میدهد که با وجود تفاوت در سطح توسعه و ساختار حکمرانی، یک درک مشترک در سیاستگذاری آنها وجود دارد: هویت رقومی (دیجیتال) صرفاً ابزار شناسایی یا مدیریت کاربران نیست، بلکه زیرساختی بنیادین برای اعتماد، حکمرانی رقومی (دیجیتال)، شمول مالی و رشد اقتصاد دادهمحور است.
در مقابل، سیاستها و اسناد ایران بیشتر ناظر به نیازهای اجرایی، مسائل و چالشهای مقطعی بوده و چارچوبهای رشدمحور، تعاملی و کاربرمحور کمتر مورد توجه بودهاند. این خلأها در مقایسه با استانداردهای جهانی و رویههای پیشرفته قابل شناسایی است. جدول 4 بهصورت خلاصه، تفاوتهای ساختاری ایران با کشورها و نهادهای منتخب جهانی را براساس شش محور کلیدی تحلیل تطبیقی نشان میدهد:
|
محور تحلیلی |
تجربیات بینالمللی |
تجربیات ایران |
|
دامنه و اهداف |
شمول خدمات عمومی و خصوصی؛ پوشش فرامرزی (مدل اروپا)، گردشگران (مدل امارات)، جذب سرمایه و کارآفرین (مدل استونی) |
محدود به مدیریت دسترسی و خدمات حاکمیتی؛ فاقد افق توسعه رقومی (دیجیتال) |
|
مدل نهادی |
مدلهای فدراتیو (اروپا و استرالیا) یا چندلایه با هماهنگی ملی و خصوصی (سنگاپور و آمریکا) |
متمرکز و جزیرهای؛ بدون مشارکت رقابتی بخش خصوصی |
|
سطوح اطمینان (LOA) |
دارای سطحبندی رسمی (ISO, ETSI, NIST)، متناسبسازی خدمات با ریسک، ابزارهای آزمونپذیر و تأیید مستقل |
چارچوب رسمی سطحبندی متناسب با ریسک انجام نشده است؛ ارجاعی به استانداردهای بینالمللی نشده است. |
|
سازوکار صدور و کنترل |
امکان مشاهده، لغو، مدیریت مجوزها توسط کاربر (EUDI Wallet اروپا)، شفافیت کامل در مصرف دادهها |
فاقد ابزارهای مدیریت یکپارچه چرخه حیات و کنترل کاربر بر داده |
|
حقوق داده |
مبتنیبر قوانین حمایت از داده (اروپا، PIPL چین، قانون فدرال امارات)، کنترل کاربر بر داده، سیاست رضایتمحور |
عدم پوشش قانون برای تضمین حقوق کاربر؛ عدم پوشش قانون برای رعایت اصول حمایت از داده مانند رضایت، محدودیت هدف و شفافیت |
|
پیادهسازی و مشوقها |
برنامه اجرایی زماندار، تعریف سنجههای کلیدی، مشوق مشارکت زیستبوم، بودجه عمومی برای توسعه فنی و آموزشی |
عدم صراحت مقررات درباره تعیین شاخصهای کمی، فازبندی اجرایی، یا مشوقهای پذیرش عمومی و نوآوری خصوصی |
مأخذ: گردآوری توسط نویسندگان.
کشورهای موفق از هویت رقومی (دیجیتال) بهعنوان پیشران تحول رقومی (دیجیتال)، شمول مالی و قدرت نرم ملی بهره میگیرند، استفاده از این تجارب و تدوین و تصویب قانون جامع و آیندهنگر برای احراز هویت رقومی (دیجیتال) میتواند فرصتهای تحول رقومی در ایران را تقویت کند.
تحلیل تطبیقی با کشورهای پیشرو در توسعه سامانههای احراز هویت رقومی (دیجیتال) نشان میدهد که ایران با چند چالش در حوزه سیاستگذاری، زیرساخت فنی، حقوق داده و حکمرانی داده مواجه است. این چالشها از یک طرف سبب بروز موانعی سر راه گسترش و اعتمادپذیری سامانههای احراز هویت در کشور شدهاند و از طرف دیگر توان رقابتپذیری ایران در تعاملات رقومی (دیجیتال) فرامرزی را نیز کاهش دادهاند. مهمترین چالشها به شرح زیر است:
الف) عدم معرفی و انتخاب نهاد تنظیمگر فراگیر در حوزه احراز هویت رقومی
در اسناد بالادستی یا آییننامههای اجرایی موجود، یک نهاد تخصصی بهعنوان تنظیمگر جامع برای کل زیستبوم هویت رقومی (دیجیتال) معرفی و انتخاب نشده است. نقشهای کلیدی میان نهادهایی نظیر سازمان ثبتاحوال، سازمان فناوری اطلاعات، مرکز ملی فضای مجازی و در مواردی وزارت کشور، بهصورت پراکنده و بدون مرجعیت حقوقی واحد تقسیم شدهاند. این مسئله منجر به تعارض تصمیمگیری، نبود مرجع رسیدگی به اختلافات و عدم امکان تنظیم استانداردهای فنی مشترک میان سامانهها میشود. در نتیجه عدم نقش آفرینی یک نهاد بالادستی منسجم باعث گسست در سیاستگذاری، پیادهسازی ناقص و کاهش اعتماد ذینفعان میشود.
ب) فقدان چارچوب فراگیر و رسمی درباره سطحبندی اطمینان (LOA)
کشورهای پیشرو یک چارچوبهای استانداردی مانند NIST SP 800-63 یا ISO/IEC 29115 را برای سطحبندی اطمینان بهکار گرفتهاند، اما در ایران سازوکار فراگیر، رسمی و هماهنگی، آزمونپذیر و قابل ارجاع برای تعیین سطح ریسک و امنیت احراز هویت تعریف نشده است. بیشتر فرایندهای احراز هویت صرفنظر از سطح ریسک خدمات با الزامهای یکسان اجرا میشوند. در نتیجه فقدان سازوکار فراگیر و رسمیLOA موجب میشود احرازهای کمریسک نیز با هزینه بالا و تجربه کاربری ضعیف انجام شوند یا خدمات پرریسک بدون امنیت کافی عرضه شوند.
ج) ضعف تعاملپذیری احراز هویت در سطح ملی
در اغلب سامانههای هویت رقومی (دیجیتال) فعال در ایران، از معماری فنی بسته و ناسازگار با همدیگر استفاده شده است. الزامی برای انطباق سامانهها با یکدیگر مصوب نشده است. ضعف در اتصال خدمات احراز هویت نهادهای داخلی با یکدیگر، منجر به کاهش بهرهوری، عدم مقیاسپذیری و ناکامی در توسعه خدمات ترکیبی میشود.
د) فقدان چارچوب جامع حقوق داده و کاربرمحوری
در اسناد فعلی قانون جامع و الزامآور برای حفاظت از دادههای کاربران، رضایت آگاهانه، محدودیت هدف، شفافیت در پردازش داده، یا امکان مدیریت اطلاعات شخصی توسط کاربر وجود ندارد. کنترل کامل داده در اختیار نهادهای صادرکننده است و الزامی برای فراهم کردن ابزارهای مدیریت داده های شخصی برای کاربر لحاظ نشده است. این وضعیت میتواند منجر به کاهش اعتماد کاربران شود و خطر پردازش غیرقانونی دادههای شخصی کاربران توسط اشخاص غیرذیصلاح را افزایش میدهد.
ه) فقدان نقشه راه اجرایی، شاخصهای ارزیابی و مشوقها
در بیشتر اسناد مرتبط با احراز هویت رقومی (دیجیتال) در ایران، برنامه زمانبندی، مراحل و ترتیب اجرا، شاخصهای کمّی عملکرد یا مشوقهای پذیرش عمومی و نوآوری بخش خصوصی تعریف نشده است. مشارکت دستگاهها نیز بهجای الزام قانونی، بر همکاری داوطلبانه استوار است. در نتیجه عدم تعبیه این مفاهیم در فرایندها موجب عدم پیشرفت مناسب پروژهها میشود.
پس از بررسی تجربههای جهانی و تحلیل شکافهای موجود در نظام احراز هویت رقومی (دیجیتال) ایران، اکنون پرسش کلیدی آن است که یک «قانون مطلوب» برای کشور باید بر چه اصولی استوار باشد؟ واقعیت این است که احراز هویت رقومی (دیجیتال) نهتنها یک ابزار فنی، بلکه بخشی از «زیرساخت اعتماد ملی در فضای رقومی (دیجیتال)» است و هرگونه سیاستگذاری در این حوزه، آثار مستقیمی بر اعتماد عمومی، رشد اقتصاد رقومی (دیجیتال) و تعاملات فرامرزی خواهد داشت.
بنابراین، طراحی قانون باید نه از مسیر آزمونوخطا، بلکه با تکیه بر اصول بنیادین حکمرانی رقومی (دیجیتال)، تجربههای موفق بینالمللی و بومیسازی هوشمندانه انجام شود. این بخش تلاش دارد مجموعهای از اصول راهبردی و پیشرانهای کلیدی را بهعنوان نقشه راه سیاستگذار برای تدوین قانون اختصاصی، شفاف و آیندهنگر در ایران معرفی کند.
|
شرح و ضرورت |
اصل کلیدی |
|
قانون باید نگاه فرابخشی داشته و هویت رقومی (دیجیتال) را زیرساختی برای توسعه اقتصاد رقومی (دیجیتال)، شمول مالی و تسهیل خدمات بخش خصوصی تعریف کند. |
رشدگرایی |
|
تدوین سطوح اطمینان، ثبت و اعتبارسنجی نهادهای صادرکننده، ایجاد سازوکار آزمونپذیر و طراحی مسیر اجرای فازبندیشده، از ارکان ضروری شفافیت و نظارتپذیری هستند. |
شفافیت ساختاری |
|
کاربر باید مالک داده خود باشد و بتواند دادههای خود را مشاهده، لغو، محدود یا منتقل کند. کلیه دسترسیها باید با رضایت روشن کاربر انجام شوند. ابزارهای مدیریت ساده و امن در اختیار کاربر باشد. |
کاربرمحوری |
|
قانون باید مبتنیبر معماری باز، APIهای استاندارد و همسویی با زیستبومهای جهانی طراحی شود تا امکان اتصال داخلی و فرامرزی فراهم شود. |
تعاملپذیری |
|
یک نهاد تخصصی، مستقل از نهادهای اجرایی، با اختیار مقرراتگذاری، ارزیابی، صدور مجوز و نظارت بر تمامی لایههای صدور تا بکارگیری هویت رقومی (دیجیتال)، ضروری است. |
تنظیمگری مستقل |
مأخذ: مستخرج از مطالعه تطبیقی و گردآوری شده توسط نویسندگان.
بررسی کشورهایی چون هند، ایالات متحده و چین نشان میدهد که حتی کشورهایی با ظرفیتهای فنی بالا و سرمایهگذاری سنگین نیز در صورت بیتوجهی به حکمرانی داده، شفافیت نهادی و حقوق کاربران، با بحرانهای ساختاری و مشروعیتی در نظام هویت رقومی (دیجیتال) خود مواجه شدهاند. این تجربهها نهتنها نشانه شکست در اجرا نیستند، بلکه نشان میدهند که موفقیت فنی، بدون پذیرش اجتماعی و اعتماد عمومی، فاقد پایداری و اثربخشی بلندمدت خواهد بود. برخی از مهمترین بحرانهای نظام هویت رقومی در سالهای اخیر عبارتاند از:
1. هند: نشت اطلاعات زیستی و بحران اعتماد عمومی
طرح Aadhaar با هدف تسهیل دسترسی به خدمات و یارانهها در یکی از بزرگترین پروژههای هویت رقومی (دیجیتال) جهان اجرا شد، اما به دلیل فقدان چارچوبهای محکم حقوق داده و شفافیت نهادی، بهشدت با چالش مواجه شد. مشکلات کلیدی عبارتاند از:
2. ایالات متحده: پراکندگی نهادی و ضعف حکمرانی داده
با وجود سابقه فنی و زیستبوم قوی رقومی (دیجیتال)، ایالات متحده نتوانسته یک نظام هویت رقومی (دیجیتال) ملی و یکپارچه طراحی کند. مشکلات کلیدی عبارتاند از:
3. چین: تمرکز حکومتی و غیبت حاکمیت فردی بر دادهها
چین موفق به طراحی و اجرای نظام گسترده eID شده است، اما بهدلیل ساختار کنترلگرایانه و تمرکز قدرت، این موفقیت فنی با چالشهای جدی مشروعیتی مواجه است:
در هر سه نمونه فوق، ضعف در یکی از سه پایه اصلی حکمرانی رقومی (دیجیتال) یعنی حقوق داده، شفافیت نهادی و اعتماد اجتماعی منجر به بحرانهای دامنهدار شده است. اگرچه سطح پیشرفت فنی و مقیاس اجرایی در این کشورها بالا بوده، اما بیتوجهی به حقوق کاربر و حکمرانی متوازن، نهتنها اثربخشی طرح را کاهش داده بلکه آن را در معرض تعلیق، اعتراض یا تحریم اجتماعی قرار داده است. لذا طراحی قانون احراز هویت رقومی (دیجیتال) بدون درنظرگرفتن الزامهای حکمرانی داده و مشارکت کاربر، حتی اگر با پیشرفت فنی همراه باشد، نهایتاً با شکست در پذیرش عمومی و ناکامی در توسعه پایدار مواجه خواهد شد.
تحلیل تطبیقی نظامهای احراز هویت رقومی (دیجیتال) در کشورهای پیشرو، تصویری روشن از مؤلفههای کلیدی موفقیت در این حوزه به دست میدهد: موفقیت نه تنها محصول فناوریهای نوین یا سرمایهگذاری کلان است، بلکه نتیجه طراحی سیاستی بلندمدت، حکمرانی داده کاربرمحور و اجرای تدریجی در چارچوب یک زیستبوم چندبازیگری است. کشورهایی مانند امارات یا اتحادیه اروپا توانستهاند از احراز هویت رقومی (دیجیتال) نهتنها بهعنوان یک ابزار شناسایی، بلکه بهعنوان زیرساخت راهبردی تحول رقومی (دیجیتال)، موتور توانمندسازی اقتصادی و نقطه اتصال شفاف میان شهروند، دولت و بازار بهرهبرداری کنند.
از طرف دیگر، تجربه ایران نشان میدهد که رویکردهای موجود اغلب با نگاه مقطعی، با تمرکز بیشتر بر پاسخگویی به نیازهای دولتی و توجه کمتر به طراحی نهادی بلندمدت و ایجاد بستر مشارکت بخش خصوصی پیش رفتهاند. عدم معرفی و انتخاب نهاد تنظیمگر فراگیر، نبود چارچوب فراگیر و رسمی درباره سطحبندی اطمینان (LOA)، پراکندگی در تعامل بیندستگاهی، ضعف در پیادهسازی حقوق داده و کمتوجهی به رضایت کاربر و اختیارات او بر دادههایش، ازجمله مهمترین موانع تحقق یک سامانه جامع، قابلاعتماد و توسعهپذیر در ایران بودهاند. این شکافها نهتنها پذیرش عمومی را کاهش داده، بلکه موجب شده پروژههای متعددی نظیر شاهکار، گذر و کیف پول هویتی ملی در مراحل ابتدایی باقی بمانند یا فاقد تعمیمپذیری فرامرزی باشند.
با توجه به این کاستیها، برای عبور از وضعیت فعلی و ایجاد یک نظام احراز هویت رقومی (دیجیتال) مبتنیبر اعتماد، چابکی و مشارکت، تدوین یک بسته سیاستی جامع و چندبعدی ضروری است. چنین بستهای باید بتواند ضمن بازطراحی حکمرانی هویت رقومی (دیجیتال)، پایههای تقنینی لازم را فراهم ساخته، زیرساختهای فنی تعاملپذیر ایجاد کند و از همه مهمتر، شهروند را بهعنوان بازیگر اصلی در مرکز این نظام بازتعریف کند.
بر این اساس، در گزارش حاضر، پیشنهادهای سیاستی در چهار محور بنیادین ذیل بهصورت منسجم و قابل اجرا ارائه میشود:
- الزامهای تقنینی: ایجاد چارچوب قانونی جامع، مبتنیبر حقوق داده، سطحبندی فنی اعتماد و مسئولیتپذیری نهادهای مجاز در صدور و بکارگیری هویت رقومی (دیجیتال).
- الزامهای اجرایی و نهادی: طراحی ساختار حکمرانی چندلایه با معرفی نهاد تنظیمگر مستقل، نهادهای تخصصی صدور، و معرفی یا ایجاد شورای هماهنگی ملی میان بازیگران کلیدی.
- راهکارهای فنی و زیرساختی: توسعه زیرساختهای متنباز، APIهای استاندارد، کیفپول هویتی رقومی (دیجیتال) و ابزارهای مدیریت رضایت داده توسط کاربر.
- سیاستهای فرهنگی و آموزشی: ارتقای سواد رقومی (دیجیتال) عمومی، آموزش کارمندان و مدیران اجرایی و ترویج فرهنگ حفاظت از داده بهعنوان یک حق شهروندی.
این چهار محور، نه بهصورت موازی، بلکه در ارتباطی پیوسته و مرحلهبندیشده باید اجرا شوند. تنها در چنین ساختاری است که میتوان به استقرار یک نظام احراز هویت ملی فراگیر، پایدار، اعتمادمحور و همراستا با استانداردهای بینالمللی امید داشت.
استقرار یک نظام احراز هویت رقومی (دیجیتال) فراگیر، قابل اعتماد و تعاملپذیر در ایران، در درجه اول مستلزم ایجاد زیربنای حقوقی شفاف، منسجم و روزآمد است. در حال حاضر، چارچوب تقنینی کشور در این حوزه نهتنها دارای خلأهای قانونی است، بلکه متشکل از اسنادی پراکنده و عمدتاً فاقد ضمانت اجرایی مشخص است. این ضعفهای نظام احراز هویت رقومی کشور، سبب بلاتکلیفی نهادهای اجرایی، کندی نوآوری و کاهش اعتماد کاربران میشود. ازاینرو، الزامهای تقنینی باید در سه محور کلان تحلیل و بازطراحی شوند: (۱) قانونگذاری پایهای، (۲) همراستاسازی با قوانین کلیدی موجود و (۳) طراحی ساختارهای الزامآور برای سطحبندی و حفاظت از داده.
نقطه شروع در مسیر ایجاد یک نظام احراز هویت رقومی (دیجیتال) قابل اتکا در ایران، عبور از وضعیت فعلی مقررات پراکنده و ورود به مرحله تدوین قانونی جامع، فراگیر و الزامآور است که نهتنها مفاهیم را روشن سازد، بلکه مسئولیتها، حقوق، حدود فنی، سازوکارهای تنظیمگری و نیز ضمانتهای اجرایی را بهصورت صریح و قابل اجرا مشخص کند. فقدان چنین قانونی، در حال حاضر به سردرگمی نهادی، بلاتکلیفی فنی، کندی نوآوری بخش خصوصی و کاهش اعتماد کاربران انجامیده است. این قانون، باید واجد ابعاد ذیل باشد.
الف) تعریف مفاهیم بنیادین و چارچوب نظری
قانون پیشنهادی باید نخست، تعاریف کلیدی و مشترک را بهروشنی تبیین کند. این تعاریف، مبنای تفسیر حقوقی، پیادهسازی فنی و همفهمی نهادی خواهند بود. ازجمله:
این تعاریف باید بهگونهای تدوین شوند که قابلیت رجوع متقن برای نهادهای اجرایی و قضایی را داشته باشند و از تفسیرهای متضاد جلوگیری کنند.
ب) ساختار نهادی و تعیین مسئولیتها در سطوح مختلف
برای جلوگیری از تداخل وظایف و اجرای جزیرهای، لازم است قانون، ساختار نهادی منسجمی را برای حکمرانی هویت رقومی (دیجیتال) پیشبینی کند:
این تفکیک، باید همراه با تعیین دقیق حوزه اختیارات، سازوکار تعاملپذیری بین نهادها، و سازوکار پاسخگویی حقوقی باشد.
ج) گنجاندن صریح و الزامآور حقوق کاربر
یکی از پیششرطهای جلب اعتماد عمومی، تصدیق و تضمین حقوق کاربران در سطح قانون است. در مدل مطلوب، کاربر نه صرفاً دریافتکننده خدمت، بلکه صاحب داده و اختیارکننده مسیر گردش آن تلقی میشود. مهمترین حقوقی که باید در متن قانون تضمین شوند عبارتاند از:
د) تدوین نظام ضمانت اجرا، پیگیری قضایی و پیشگیری از سوءاستفاده
در فقدان ضمانت اجرا، قانون قابلیت الزامآوری ندارد. قانون احراز هویت رقومی (دیجیتال) باید دارای ساختار اجرایی حقوقی در سه سطح باشد:
همچنین، پیشبینی سازوکار حل اختلاف از طریق نهادهای داوری تخصصی همچون کارگروه تعاملپذیری دولت الکترونیک میتواند از اطاله دادرسی در دادگاهها جلوگیری کند.
تقنین در حوزه احراز هویت رقومی (دیجیتال) نمیتواند و نباید بهعنوان جزیرهای مستقل از سایر قوانین پایه و حاکمیتی عمل کند. تجربه کشورهای موفق در طراحی زیرساختهای اعتماد رقومی (دیجیتال)، نظیر مقررات eIDAS اروپا یا الگوی فدراتیو استرالیا، نشان میدهد که همراستاسازی دقیق تقنین هویت رقومی (دیجیتال) با قوانین کلان داده، امنیت ملی، اقتصاد رقومی (دیجیتال) و حقوق کاربر، پیشنیاز موفقیت اجرایی و مقبولیت اجتماعی چنین نظامهایی است.
در ایران نیز، طی سالهای اخیر چند سند بالادستی و راهبردی تصویب شده است که ظرفیت ممتازی برای «یکپارچهسازی حکمرانی داده و هویت رقومی (دیجیتال) » فراهم کردهاند. این ظرفیتها اگر بهدرستی در قانونگذاری برای احراز هویت رقومی (دیجیتال) لحاظ نشوند، میتوانند به تداخل و تضاد اجرایی منجر شوند.
الف) قانون مدیریت دادهها و اطلاعات ملی: ستون فقرات تعاملپذیری بیندستگاهی
قانون مدیریت دادهها و اطلاعات ملی (مصوب مجلس شورای اسلامی)، بهعنوان مرجع رسمی تقنینی تعریف دادههای مرجع، تعاملپذیری دستگاهها و تنظیم روابط تبادل داده در ایران محسوب میشود. در این قانون:
ب) اسناد بالادستی امنیتی و پدافند غیرعامل: بُعد تابآوری و امنیت زیرساختی
مسئله احراز هویت رقومی (دیجیتال) نهتنها یک چالش فنی یا خدماتی، بلکه موضوعی راهبردی در امنیت ملی و پایداری حکمرانی رقومی (دیجیتال) کشور است. بههمین دلیل، اسناد امنیتی نظیر:
باید بهصورت دقیق در تدوین قانون احراز هویت لحاظ شوند. این موضوع بهویژه در موارد زیر اهمیت دارد:
بدون پیوست امنیتی و الزام به رعایت استانداردهای امنیتی ملی، زیرساخت هویت رقومی (دیجیتال) کشور ممکن است در برابر تهدیدات داخلی و خارجی آسیبپذیر باشد.
یکی از مهمترین الزامهای حکمرانی مؤثر در احراز هویت رقومی (دیجیتال)، تدوین یک چارچوب الزامآور و آزمونپذیر برای تعیین سطح اطمینان و حفاظت از دادههای هویتی است. تجربه کشورهای پیشرو نشان میدهد که صرفاً تدوین قانون یا ساخت زیرساخت فنی، بدون الزام دستگاهها و ارائهدهندگان خدمات به رعایت استانداردهای سطحبندی و حفظ داده، به اجرای ناقص و بیاعتمادی عمومی منجر خواهد شد.
در ایران نیز، فقدان چارچوب فراگیر و رسمی درباره سطحبندی اطمینان (LOA) و نبود الزامهای حقوقی مشخص برای حفاظت از دادههای هویتی، موجب ابهام در تفکیک ریسک خدمات و رفتار سلیقهای دستگاهها میشود. برای رفع این شکاف، طراحی ساختارهای الزامآور باید در سه لایه مکمل صورت گیرد:
الف) طراحی و الزامآوری چارچوب سطحبندی اطمینان براساس ریسک خدمت
چارچوب سطحبندی اطمینان باید بهصورت رسمی و با استناد به استانداردهای بینالمللی در متن مقررات گنجانده شود و کاربرد آن در انواع خدمات براساس سطح حساسیت الزامی شود.
هر سطح باید دارای چکلیست اجرایی، آزمونپذیر و قابل نظارت باشد و ارائهدهندگان خدمات موظف به رعایت آن شوند. سازمان نظارتی مرکزی (پیشنهادی: سازمان فناوری اطلاعات یا تنظیمگر بخشی دادههای هویتی) باید مأمور کنترل انطباق و صدور گواهینامههای سطحبندی شود.
ب) تعیین الزامهای حقوقی و فنی حفاظت از دادههای هویتی
حفاظت از دادههای هویتی باید در دو لایه حقوقی و فنی صورت گیرد:
از منظر حقوقی:
از منظر فنی:
این الزامها باید با قانون مدیریت دادهها و اطلاعات ملی، اسناد پدافند غیرعامل و دستورالعملهای افتا همراستا شوند.
ج) ایجاد سازوکار نظارت، ارزیابی و انطباقسنجی سطح اطمینان
سازوکارهای نظارت مستقل و بازخورد اصلاحی باید شامل موارد ذیل باشند:
سطحبندی دقیق خدمات، همراه با الزامهای حفاظت از داده و نظارت مستقل، بنیاد اعتماد رقومی (دیجیتال) میان کاربر، دولت و کسبوکارها را شکل میدهد. با چنین رویکردی، نظام احراز هویت رقومی (دیجیتال) ایران میتواند به ستون فقرات حکمرانی داده و زیربنای امن برای اقتصاد رقومی (دیجیتال)، سلامت هوشمند، دولت رقومی (دیجیتال) و امنیت سایبری تبدیل شود.
در حوزه احراز هویت رقومی (دیجیتال)، تجارب جهانی مانند نهاد eIDAS Board در اتحادیه اروپا یا RAK Identity Authority در امارات نشان دادهاند که موفقیت به وجود مرجع تنظیمگر مستقل، ساختار بیننهادی هماهنگ و پاسخگویی دقیق نهادی وابسته است.
در ایران نیز، خلأ چنین ساختاری باعث شده اسناد مختلف (از ثبتاحوال تا کارگروه تعاملپذیری و بانک مرکزی) اقدامهای جزیرهای را به دنبال داشته باشد. برای برونرفت از این وضعیت، چهار اقدام کلیدی ضروری است:
الف) انتخاب و معرفی نهاد تنظیمگر فراگیر در حوزه احراز هویت رقومی
این نهاد باید:
ب) تدوین نقشه راه ملی برای اجرای هویت رقومی (دیجیتال)
این نقشه راه باید شامل موارد ذیل باشد:
ج) ایجاد ساختار پاسخگویی نهادی به شهروندان
برای این منظور باید اقدامهای ذیل انجام شود:
قانون و نهاد بدون زیرساخت فناورانه، عملیاتی نمیشود. به همین دلیل، طراحی سکوهای ملی، مقیاسپذیر، امن و تعاملپذیر برای صدور، اعتبارسنجی و بکارگیری هویت رقومی (دیجیتال)، شرط لازم اجرای موفق هر قانون مرتبط با هویت رقومی است. در ادامه چند راهکار زیرساختی اثربخش ذکر میشود.
الف) کاهش وابستگی به سیمکارت بهعنوان عامل شناسایی و احراز
احراز هویت مبتنیبر شماره تلفن همراه به دلیل امکان واگذاری آزاد سیمکارت، استفاده از سیمکارتهای غیرمعتبر یا ثبتشده به نام دیگران و نبود الزام به حضور فیزیکی مالک، ناامن و پرریسک است. سامانههای ملی نباید سیمکارت را «مرجع هویت» تلقی کنند، بلکه صرفاً یک «عامل کمکی» برای ابلاغ اعلانها و ارتباط باشند. لازم است جایگزینهای امنتری مانند کیف پول هویت رقومی (دیجیتال)، گواهیهای مبتنیبر PKI و احراز چندعاملی بیومتریک به همراه توکن سختافزاری بهصورت اجباری برای خدمات حساس طراحی و پیادهسازی شوند.
تجربه کشورهای پیشرفته نشان داده است که اتکا به سیمکارت تنها در کنار یک «شناسه رقومی واحد و رسمی» قابل قبول است، نه بهعنوان مبنای اصلی شناسایی.
ب) توسعه سکوی ملی مدیریت هویت و امضای رقومی
سامانههای صدور هویت رقومی (دیجیتال) با قابلیت اتصال به مرجعهای مختلف (ثبتاحوال، ثبت شرکتها و بانک مرکزی،...) طراحی شود. این سامانه باید از قابلیت صدور، تعلیق و ابطال شناسهها برخوردار باشد و امکان اتصال به کیفپول هویت رقومی (دیجیتال)، امضای رقومی (دیجیتال) و سامانههای مالی و قضایی را داشته باشد.
ج) طراحی و انتشار APIهای باز (Open API)
برای تحقق تعاملپذیری بیندستگاهی و بینالمللی، باید مجموعهای از APIهای استاندارد برای:
ارائه شود. همچنین مستندات فنی، مرکز تست سازگاری و فرایند صدور گواهی تعاملپذیری باید ایجاد شود.
د) استقرار سامانه ملی مدیریت رضایت کاربر
با توجه به اصول حکمرانی داده و الزام به رضایت آگاهانه، لازم است:
ه) پشتیبانی از تنوع روشهای احراز متناسب با ریسک خدمت
و) همسویی با استانداردهای امنیتی و رمزنگاری
استقرار موفق نظام احراز هویت رقومی (دیجیتال)، صرفاً تابع الزامهای فنی یا تقنینی نیست، بلکه پذیرش اجتماعی، اعتماد عمومی و ارتقای فرهنگ دادهمحور نقش بنیادینی در تداوم و اثربخشی آن ایفا میکند. تجربههای جهانی مانند امارات نشان دادهاند که هرجا کاربران درک روشن از منافع، حقوق و الزامهای امنیتی داشتهاند، میزان استفاده، مشارکت و رضایتمندی بهطور محسوسی افزایش یافته است.
در ایران، سیاستهای فرهنگی و آموزشی باید بهعنوان «لایه زیرین حکمرانی هویت رقومی (دیجیتال) » مورد توجه قرار گیرند. سیاستهای فرهنگی و آموزشی نظام احراز هویت رقومی با اقدامهای ذیل قابل پیگیری است:
الف) تدوین برنامه ملی ارتقای سواد داده و آگاهی شهروندی
ایران نیازمند یک برنامه هماهنگ، میانمدت و بیننهادی در زمینه آموزش عمومی هویت رقومی (دیجیتال) است. این برنامه باید با مشارکت نهادهایی مانند وزارت آموزش و پرورش، صدا و سیما، وزارت علوم، وزارت ارتباطات و مرکز ملی فضای مجازی تدوین شود. این برنامه، مفاهیم پایهای مانند شناسه رقومی (دیجیتال)، رضایت داده، امضای رقومی (دیجیتال)، مخاطرات فیشینگ، ریسک بهاشتراکگذاری دادهها، رمز دومرحلهای و امنیت بیومتریک را آموزش دهد. همچنین، گروههای مختلف (دانشآموز، دانشجو، کارمند دولت، سالمند، کاربر عادی اینترنت) را بهصورت تفکیکی هدفگذاری کند. این برنامه باید رسانههای عمومی، محتوای ویدیویی، کتابچه راهنما، اینفوگرافیک و شبکههای اجتماعی را بهعنوان بستر آموزش همزمان و فراگیر بهکار گیرد. همچنین با تدوین چارچوب ارزیابی ملی سواد داده در برنامه مذکور، امکان سنجش پیشرفت سالیانه جامعه در آگاهی رقومی (دیجیتال) فراهم شود.
ب) آموزش تخصصی برای نیروهای کلیدی
برای افزایش شناخت فنی مشترک و ارتقای توان تخصصی نیروی انسانی، پیشنهاد میشود برای کارکنان دولت، بانکها، دفاتر خدمات عمومی، شرکتهای فناوری اطلاعات، و نهادهای ناظر دورههای تخصصی در حوزههای زیر برگزار شود:
لازم است که دانشگاهها، مراکز آموزش مدیریت دولتی، سازمان فناوری اطلاعات، سازمان پدافند غیرعامل این آموزشها را ساختارمند و با ارائه گواهی ارائه کنند. همچنین، دانشافزایی مستمر برای توسعهدهندگان نرمافزار و مدیران امنیت اطلاعات، مورد توجه قرار گیرد.
ج) تولید محتوای بومیسازیشده، کاربردی و چندرسانهای برای آموزش عمومی
مفاهیم انتزاعی احراز هویت رقومی (دیجیتال) اگر با زبان فنی و رسمی ارائه شوند، نهتنها مخاطب را جذب نمیکنند، بلکه ممکن است مقاومت ایجاد کنند. بنابراین باید محتوای آموزشی به زبان ساده، تصویری و حتی داستانمحور تولید شود تا برای عموم مردم قابلفهم، جذاب و عملیاتی باشد.
د) ترویج فرهنگ احترام به حریم خصوصی و دادههای شخصی
یکی از خلأها، کمتوجهی به حقوق داده و مالکیت کاربران بر اطلاعات شخصی است. برای اصلاح این رویکرد، سیاستهای زیر پیشنهاد میشود:
|
ردیف |
نوع توصیه |
توصیه سیاستی |
الزامها و قیود اجرایی |
دستگاه متولی |
دستگاه معین |
زمانبندی اجرا (کوتاهمدت، میانمدت، بلندمدت) |
ملاحظات |
|
|
تداوم* |
اصلاح** |
|||||||
|
1 |
|
* |
تدوین قانون جامع احراز هویت رقومی (دیجیتال) با تصریح مفاهیم، حقوق کاربر و سطحبندی خدمات |
هماهنگی با قانون مدیریت دادهها و اطلاعات ملی و اسناد مرتبط با حمایت از داده و اسناد امنیتی |
وزارت ارتباطات / مرکز ملی فضای مجازی |
سازمان ثبت احوال، بانک مرکزی، مرکز افتا |
میانمدت |
نیازمند اجماع نخبگانی و بازبینی اسناد قانونی موجود |
|
2 |
|
* |
انتخاب و معرفی نهاد مستقل تنظیمگر احراز هویت رقومی (دیجیتال) با اختیارات قانونی و تعامل بیننهادی |
تضمین استقلال ساختاری، تأمین بودجه و تصویب جایگاه قانونی |
مرکز ملی فضای مجازی |
وزارت ارتباطات، بانک مرکزی، ثبت احوال |
کوتاهمدت |
ریسک تداخل نهادی و مقاومت دستگاههای موجود |
|
3 |
* |
|
توسعه زیرساخت صدور و ابطال هویت رقومی (دیجیتال) با API باز و سامانه مدیریت رضایت |
رعایت اصول رابط کاربری، تعاملپذیری و امنیت زیرساخت |
سازمان فناوری اطلاعات ایران |
وزارت ارتباطات، کاروران، فراهمآورندگان IDها |
میانمدت |
تأمین مالی پروژههای زیرساختی و شفافیت در API |
|
4 |
* |
|
اجرای برنامه ملی ارتقای سواد داده و آموزش عمومی مفاهیم هویت رقومی (دیجیتال) |
پوشش گروههای سنی و سواد مختلف، مشارکت نهادهای آموزشی و رسانهها |
وزارت آموزش و پرورش / وزارت ارتباطات |
صدا و سیما، وزارت علوم، مرکز ملی فضای مجازی |
بلندمدت |
لزوم تغییر رویکرد فرهنگی به مالکیت داده در سطح جامعه |
|
5 |
|
* |
ایجاد مرجع ملی صدور گواهی سطح اطمینان و پایش مستمر نشت احتمالی دادهها |
استفاده از شاخصهای سنجش انطباق، گزارشگیری عمومی و نظارت مستقل |
سازمان فناوری اطلاعات |
مرکز ملی فضای مجازی، دادستانی، شورایعالی فضای مجازی |
میانمدت |
پایداری نهادی مرجع نظارت و الزام اجرای برچسب اطمینان |
|
6 |
* |
|
الزام رعایت الزامهای امنیتی و پدافند غیرعامل در طراحی سامانههای هویتی |
هماهنگی با مرکز افتا، الزامهای پدافند غیرعامل و طراحی معماری مقاوم |
مرکز افتا / سازمان پدافند غیرعامل |
مرکز ماهر، شرکتهای فناوری، وزارت کشور |
کوتاهمدت |
ضرورت تطبیق با تهدیدات سایبری و تابآوری ملی |
* تداوم یا تقویت آیتمها یا اقدامها.
** اصلاح رویهها یا ایجاد سازوکارها.