вторник, 16 октября 2018 г.

ООН: Управление идентификационными данными и удостоверительными услугами, где функции хранения и архивирования данных являются предметом специальных доверительных услуг

Постановлением eIDAS

Подробно см.:
https://www.eid.as/home/ 

предусмотрена всеобъемлющая система надзора за удостоверительными услугами и их сертификации. Согласно статье 17 этого постановления, каждое из государств-членов назначает орган, ответственный за регулярное выполнение надзорных функций по отношению к квалифицированным поставщикам удостоверительных услуг и эпизодическое осуществление таких функций в отношении других поставщиков удостоверительных услуг. 

Наличие надзорного органа необходимо для того, чтобы поставщики удостоверительных услуг могли рассматриваться как квалифицированные. В частности, согласно статье 20, квалифицированные поставщики удостоверительных услуг должны не реже одного раза в 24 месяца проверяться органом по оценке соответствия, отчет которого о результатах проведенной оценки представляется в надзорный орган. В случае невыполнения требований, поступивших от надзорного органа, сам поставщик или определенные виды его услуг могут быть лишены квалифицированного статуса.

В свою очередь только квалифицированные поставщики удостоверительных услуг имеют согласно Постановлению eIDAS право предоставлять квалифицированные удостоверительные услуги, связанные с определенными правовыми последствиями, такими как презумпции. Например, в соответствии с пунктом 2 статьи 25 этого постановления, квалифицированная электронная подпись по своим правовым последствиям эквивалентна подписи, поставленной собственноручно. Одним словом, наличие надзорного органа дает возможность предлагать квалифицированные удостоверительные услуги, связанные с правовыми последствиями.

На 57 сессии Рабочей группы IV (Электронная торговля) Комиссии ООН по праву международной торговли (19-23 ноября 2018) будут рассмотрены правовые вопросы, связанные с управлением идентификационными данными и удостоверительными услугами.

Источник:
http://undocs.org/ru/A/CN.9/WG.IV/WP.154
A/CN.9/WG.IV/WP.154

«Идентификация» (identification) означает процесс сбора, проверки и установления действительности атрибутов идентификационных данных по конкретному субъекту, достаточных для определения и подтверждения его идентификационных данных в конкретном контексте. Синонимы: проверка подлинности идентичности (identity proofing), регистрация (registration).

«Атрибут» (attribute) означает единицу информации или данных, связанную с субъектом. Примерами атрибутов являются такие виды информации, как имя, адрес, возраст, пол, должность, оклад, чистая стоимость активов, номер водительского удостоверения, номер социального страхования, адрес электронной почты, номер мобильного телефона, а также такие данные, как присутствие субъекта в сети, устройство, используемое субъектом, обычное исходное расположение субъекта, известное в сети, и т.д. (для человека); официальное наименование, адрес штаб-квартиры, регистрационное наименование, юрисдикционная система регистрации и т.д. (для юридического лица); марка и модель, серийный номер, местонахождение, мощность, тип устройства и т.д. (для устройства). Синоним: атрибут идентификационных данных (identity attribute).

«Аутентификация» (аuthentication) означает а) процесс, используемый для достижения достаточной меры доверия к связи между объектом и представленной идентичностью. Источник: Рек. МСЭ-T X.1252; b) процесс установления соответствия между заявленными идентификационными данными субъекта и реальным субъектом путем подтверждения соответствия субъекта учетным данным либо непосредственно (активная аутентификация), либо через среду, в которой этот субъект функционирует («пассивная аутентификация» или «адаптивная аутентификация»). Источник: eIDAS, статья 3(5).

«Достоверный источник» (authoritative source) означает a) хранилище (repository), признаваемое содержащим точную и актуальную информацию. Источник: Рек. МСЭ-T X.1254; b) любой источник независимо от его формы, который может быть задействован для предоставления точных данных, информации и/или доказательств, которые могут быть использованы для удостоверения личных данных. Источник: Имплементационное постановление Комиссии (EU) No. 2015/1502, приложение, статья 1(1).

«Электронная идентификация» означает процесс использования личных идентификационных данных в электронном виде, позволяющих получить однозначное представление о физическом или юридическом лице или же о физическом лице, представляющем юридическое лицо. Источник: eIDAS, статья 3(1).

«Запись» (enrolment) означает а) процесс включения объекта в контекст. Примечание 1: запись может включать верификацию идентичности объекта и создание контекстуальной идентичности. Примечание 2: наряду с этим запись может служить предпосылкой для процесса регистрации. Во многих случаях последний вариант используется для описания обоих процессов. Источник: Рек. МСЭ-T X.1252; b) процесс, в ходе которого поставщики учетных данных (или их агенты) проверяют заявления об идентичности субъекта перед выдачей такому субъекту учетных данных.

«Идентичность» (identity) означает а) набор атрибутов, относящихся к тому или иному объекту. Источник: ISO/IEC 24760; b) информацию о конкретном субъекте в форме одного или нескольких атрибутов, позволяющих субъекту быть в достаточной степени отличимым в определенном контексте; c) набор относящихся к тому или иному лицу атрибутов, которые однозначно характеризуют это лицо в данном контексте. Синоним: цифровые идентификационные данные (digital identity).

«Управление идентификационными данными» (identity management) означает а) набор приемов, позволяющих управлять процессами идентификации, аутентификации и авторизации физических и юридических лиц, устройств и других субъектов в режиме онлайн. Источник: A/CN.9/854, пункт 6; b) набор функций и возможностей (например, администрирование, управление и техническое обслуживание, обнаружение, обмен сообщениями, сопоставление и увязка, обеспечение реализации политики, аутентификация и утверждения), используемых для: i) гарантирования информации, подтверждающей идентичность (например, идентификаторов, регистрационных данных, атрибутов); ii) гарантирования идентичности объекта; и iii) активации коммерческих приложений и приложений безопасности. Источник: Рек. МСЭ-T Y.2720.

«Проверка подлинности идентичности» (identity proofing) означает а) процесс сбора, проверки и установления действительности достаточной идентификационной атрибутивной информации о конкретном субъекте (физическом лице, юридическом лице, устройстве, цифровом объекте или другом объекте) для определения и подтверждения его идентификационных данных в конкретном контексте. Проверка подлинности идентичности может осуществляться на основании самозаявленного утверждения или на основании существующих записей; b) процесс, в ходе которого выполняются валидация и верификация объема информации, достаточного для подтверждения заявленной идентичности объекта. Источник: Рек. МСЭ-T X.1252; c) процесс, в рамках которого орган регистрации (RA) осуществляет сбор и верификацию информации, достаточной для идентификации объекта с определенным или предполагаемым уровнем гарантии. Источник: Рек. МСЭ-T X.1254. Синонимы: идентификация (identification); регистрация (registration).

«Система идентификации» (identity system) означает онлайновую систему для управления идентификационными данными, которая регулируется набором системных правил (именуемых также структурой доверия) и в которой физические лица, организации, службы и устройства могут доверять друг другу, поскольку авторитетные источники устанавливают и удостоверяют подлинность их идентификационных данных. Источник: A/CN.9/WG.IV/WP.120, приложение. Система идентификации предусматривает а) набор правил, методов, процедур и режимов работы, технологий, стандартов, программных установок и процессов, b) возможность применения к группе участвующих объектов, c) регулирование процесса сбора, проверки, хранения, обмена, аутентификации и использования идентификационной атрибутивной информации о физическом или юридическом лице, устройстве или цифровом объекте, d) использование в целях содействия операциям с идентификационными данными. Синонимы: система управления идентификационными данными (identity management system) («система УИД»); идентификационная федерация (identity federation); схема электронной идентификации (electronic identification scheme); организационная система обеспечения защиты информации (information security management system).

«Верификация идентичности» (identity verification) означает процесс подтверждения того, что заявленная идентичность подлинна, путем сравнения предложенных заявлений идентичности с ранее проверенной информацией. Источник: Рек. МСЭ-T X.1252.

«Уровень обеспечения доверия» (level of assurance) означает установление степени уверенности в процессах идентификации и аутентификации – т.е. а) степени уверенности в процессе проверки, используемой для установления идентичности объекта, которому были выданы учетные данные, и b) степени уверенности в том, что объект, использующий учетные данные, является тем самым объектом, которому были выданы учетные данные. Уровень обеспечения доверия отражает надежность используемых методов, процессов и технологий. В некоторых схемах установления уровней обеспечения доверия эти уровни определяются цифрами, т.е. уровни с первого по четвертый, где первый уровень является самым низким, а четвертый – самым высоким уровнем обеспечения доверия. В других схемах уровни обеспечения доверия определяются как «низкий», «основной» и «высокий». Синонимы: уровень гарантии (assurance level); гарантия определения идентичности (identity assurance); уровень доверия (trust level).

«Проверка подлинности» (proofing) означает верификацию и валидацию информации при записи новых объектов в системах идентичности. Источник: Рек. МСЭ-T X.1252. Синонимы: проверка подлинности идентичности (identity proofing), идентификация.

«Доверяющая (полагающаяся) сторона» (relying party) означает а) физическое или юридическое лицо, которое полагается на идентификационное удостоверение или заявленные идентификационные данные для принятия решения о том, какие действия следует предпринять в данном конкретном контексте, например решения о проведении сделки или предоставлении доступа к информации или системе. Источник: A/CN.9/WG.IV/WP.120, приложение; b) объект, который полагается на представленную или заявленную идентичность запрашивающего/ утверждающего объекта в каком-либо контексте запроса. Источник: Рек. МСЭ-T Х.1252; c) физическое или юридическое лицо, которое полагается на электронную идентификацию или удостоверительную услугу. Источник: Постановление (ЕС) № 910/2014 Европейского парламента и Европейского совета от 23 июля 2014 года об электронной идентификации и удостоверительных услугах в отношении электронных операций на внутреннем рынке и об отмене Директивы 1999/93/ЕС («eIDAS»), статья 3(6). «Доверие» (trust) означает твердую уверенность в надежности и истинности информации или в возможности или расположенности объекта действовать надлежащим образом в конкретном контексте. Источник: Рек. МСЭ-T X.1252.

«Доверенная третья сторона» (trusted third party) означает а) орган или его агента, который является доверенной стороной для других участников в отношении определенных действий (например, действий, связанных с безопасностью). Источник: Рек. МСЭ-T X.1254; b) объект, принятый всеми сторонами операции в качестве беспристрастного и надежного посредника, способствующего осуществлению взаимодействия между сторонами.

«Электронная подпись» (еlectronic signature) означает a) данные в электронной форме, которые прилагаются к другим данным в электронной форме или логически связаны с ними и используются подписавшей стороной для подписания. Источник: eIDAS, статья 3(10); b) данные в электронной форме, которые содержатся в сообщении данных, приложены к нему или логически связаны с ним и которые могут быть использованы для идентификации подписавшей стороны в связи с сообщением данных и указания на то, что подписавшая сторона согласна с информацией, содержащейся в сообщении данных. Источник: Типовой закон ЮНСИТРАЛ об электронных подписях, статья 2(а).

На 57 сессии Рабочей группы IV (Электронная торговля) Комиссии ООН по праву международной торговли (19-23 ноября 2018) могут быть обсуждены вопросы переноса электронных архивов. Ведь функции хранения и архивирования данных могут быть предметом специальных доверительных услуг.

В качестве примера Закон 2017-20 Бенина, где в статье 301 указано, что «электронное архивирование гарантирует подлинность и целостность хранящихся таким образом документов, данных и информации». В ней также содержится положение о функциональной эквивалентности, аналогичное статье 10 ТЗЭТ. В статье 302 Закона 2017-20 Бенина указано, что цель электронного архивирования заключается в сохранении документов, данных и информации для последующего использования и что соответствующие данные должны быть структурированы, проиндексированы и храниться таким образом, чтобы обеспечивалась их сохранность и возможность их миграции. Доступ должен обеспечиваться вне зависимости от развития технологий. Данное положение применимо как к документам, изначально изготовленным в электронной форме, так и к документам, изначально изготовленным на бумаге и впоследствии оцифрованным.

Комментариев нет:

Отправить комментарий