تصویب سند نظام هویت معتبر در فضای مجازی کشور
به گزارش برهان به نقل از سایت مرکز ملی فضای مجازی، جلسه شورای عالی فضای مجازی عصر شنبه مورخ نهم شهریور ماه 1398 با حضور اعضا و به ریاست حجت الاسلام و المسلمین دکتر حسن روحانی رئیس جمهور تشکیل شد و در آن سند نظام هویت معتبر در فضای مجازی کشور به تصویب نهایی رسید. این سند از سوی شورای عالی فضای مجازی به تمامی وزارتخانهها، موسسات و شرکتهای دولتی و نهادهای عمومی و غیردولتی ابلاغ شده است.
بر اساس این سند؛ هدف از نظام هویت معتبر در فضای مجازی کشور، استقرار زیست بوم تأمینکننده زیرساخت تعاملات آزادانه، سالم، پویا، مسئولانه و سودمند با رعایت حقوق فردی و جمعی در روابط اجتماعی، اقتصادی، سیاسی و فناورانه بین انواع موجودیتها در فضای مجازی است این نظام هویتی زمینه لازم را برای توسعه کسب و کارهای دیجیتال، سامانههای فنی، رسانههای تعاملی و خدمات اداری ایجاد میکند و در آن همچنین، تأمینکنندگان شناسهها و صفتها با ارایه مجموع دو نوع اطلاع هویتی پایه و صفتها، شناخت قابل اطمینان را برای طرفین تعامل فراهم میسازند.
بیشتر بخوانید: هویت دیجیتال
در این نظام بسته به نوع تعامل، دو دسته اطلاعات هویت ذاتی و اکتسابی موجودیتها در نظر گرفته شده که برای تایید آنها دو نهاد معتبر نیاز است. یکی از آنها «تأمین کنندگان شناسه» هستند. این گروه (مشابه ثبت احوال) مسئولیت تأمین اطلاعات پایه هویتی موجودیتها را در قالب شناسههای دائم یا موقت و واقعی یا مستعار بر عهده دارند. گروه دیگر تأمینکنندگان صفتها هستند که مسئولیت اعتباربخشی به اطلاعات غیرپایه هویتی از قبیل مدرک تحصیلی و میزان اعتبار مالی را برعهده دارند و صفات ادعایی را تأیید یا رد میکنند.
طبق این سند کلیه ارائهدهندگان خدمات فنی، اقتصادی (پولی و مالی)، فرهنگی، اجتماعی، سیاسی و اداری در کشور باید در چارچوب و منطبق بر نظام هویت معتبر در فضای مجازی کشور فعالیت و از پذیرش و برقراری تعاملهای فاقد هویت معتبر اجتناب کنند.
متن سند نظام هویت معتبر در فضای مجازی
برای هر نوع تعامل فنی، اقتصادی (پولی و مالی)، فرهنگی، اجتماعی، سیاسی و اداری میان اشخاص، گروهها، اشیاء، خدمات، محتواها و مکانها به هویت معتبر نیاز بوده و شکلگیری نظام قابل اطمینان برای هویت در فضای مجازی کشور ضروری است. در این نظام برای حصول اطمینان، بسته به نوع تعامل، دو دسته اطلاعات هویت ذاتی و اکتسابی موجودیتها لازم بوده و برای تأمین و تایید آنها، نقشآفرینی دو نهاد معتبر نیاز است؛ «تأمینکنندگان شناسه (مشابه ثبت احوال) که مسئولیت تأمین اطلاعات پایه هویتی موجودیتها را در قالب شناسههای دایم یا موقت و واقعی یا مستعار بر عهده دارند» و «تأمینکنندگان صفتها که مسئولیت اعتباربخشی به اطلاعات غیرپایه هویتی از قبیل مدرک تحصیلی و میزان اعتبار مالی را بر عهده دارند و صفات ادعایی را تایید یا رد میکنند».
هدف از ایجاد این نظام، استقرار زیستبوم تأمینکننده زیرساخت تعاملات آزادانه، سالم، پویا، مسئولانه و سودمند با رعایت حقوق فردی و جمعی در روابط اجتماعی، اقتصادی، سیاسی و فناورانه بین انواع موجودیتها در فضای مجازی است که زمینه لازم را برای توسعه کسبوکارهای دیجیتال، سامانههای فنی، رسانههای تعاملی و خدمات اداری ایجاد میکند و در آن، تأمینکنندگان شناسهها و صفتها با ارایه مجموع دو نوع اطلاع هویتی پایه و صفتها، شناخت قابل اطمینان را برای طرفین تعامل فراهم میسازند.
ماده 1- تعاریف
1-1- موجودیت: هر شخص، گروه، شیء، خدمت، محتوا و مکان که به صورت مستقل قابل شناسایی باشد؛
2-1- شناسه (Identity): کدی که برای ارجاع به اطلاعات هویتی پایه یک موجودیت واحد استفاده میشود؛
3-1- صفت (Attribute): مشخصه یا کیفیت انتسابی یا اکتسابی موجودیت که در طول زمان تغییر میکند؛
4-1- اطلاعات پایه هویتی: اطلاعات شناسنامهای موجودیتها شامل نسبتهای پایه بین آنها که به ندرت دچار تغییر میشوند؛
5-1- هویت دیجیتالی: مجموعهای از اطلاعات پایه هویتی و صفتها که معرف یک موجودیت واحد است؛
6-1- تأمینکننده شناسه (IDP: Identity Provider): نهادی که برای انواع تعاملات، اطلاعات پایه هویتی قابل استنادی از موجودیتها را گواهی میکند و مسئولیت ثبت و راستیآزمایی هویت واقعی موجودیتها، تخصیص شناسه و صدور گواهینامه هویت برای آنها و در برخی تراکنشها، احراز هویت آنها را برعهده دارد؛
7-1- تأمینکننده صفتها (AP: Attributes Provider): موجودیتی که در تعاملات، اعتبار صفتهای موجودیتها را گواهی میکند؛
8-1- چارچوب مبادله قابل اعتماد (Trusted Framework): سازوکار ارتباط امن و قابل اعتماد بین موجودیتها و تأمینکنندگان شناسه و صفتها در زیستبوم است؛
9-1- لایه کاربرد: لایهای که در آن خدماتی فراتر از خدمات ارتباطی ثابت و سیار و خدمات میزبانی ارایه میشود.
ماده 2 – الزامات زیستبوم هویت معتبر در فضای مجازی
1-2- تأمین مقیاس مورد نیاز برای انواع کاربردها با قابلیت گسترش در کاربردهای آتی؛
2-2- تأمین سطوح اعتبار و اعتماد در تأمین اطلاعات هویت دیجیتالی به تناسب نوع تعامل؛
3-2- صیانت از حریم خصوصی اشخاص و حقوق عمومی جامعه؛
4-2- تناسب میان میزان اطلاعات ارایه شده از هر موجودیت با نوع تعامل با رعایت اختیار یا آگاهی موجودیتها؛
5-2- تأمین ادله دیجیتال در ثبت و اعطای شناسهها و گواهیها و اعتباربخشی صفتها؛
6-2- رعایت امنیت اطلاعات هویت دیجیتالی و تناسب آن با نوع تعامل از طریق ایجاد چارچوب مبادله قابل اعتماد و اعطای گواهی موثق (Credential)؛
7-2- مرتبط بودن اطلاعات هویتی پایه فضای مجازی با فضای فیزیکی؛
8-2- اتکاپذیری، تابآوری، ماندگاری، کاربری آسان، سادهبودن ساختار و تعاملپذیری میان اجزاء زیستبوم؛
9-2- تضمین صحت، تمامیت، اعتبار، انکارناپذیری و استنادپذیری هویت موجودیتهای فضای مجازی به تناسب نوع تعامل؛
10-2- افزایش شفافیت و کاهش گمنامی در فضای مجازی؛
11-2 -ارتقاء و استمرار فرآیندهای احراز هویت در فضای مجازی.
ماده 3 – خطوط اجرایی
1-3- هر تعاملی در فضای مجازی کشور باید با شناسه معتبر آغاز شود؛
2-3- همه عوامل ذینقش در یک تعامل مسئول عملکرد خود هستند؛
3-3- موجودیتها در شبکه ملی اطلاعات و هر شبکه دیگری که درون یا مرتبط با آن قرار میگیرند، باید هویت احراز شده داشته باشند؛
4-3- چنانچه موجودیتی امکان تغییر شناسه را فراهم کند، باید امکان نگاشت شناسه قبل و بعد از تغییر را برای تأمینکننده شناسه مرتبط فراهم کند؛
5-3 –کلیه ارائهدهندگان خدمات فنی، اقتصادی (پولی و مالی)، فرهنگی، اجتماعی، سیاسی و اداری در کشور باید در چارچوب و منطبق بر نظام هویت معتبر در فضای مجازی کشور فعالیت و از پذیرش و گذردهی تعاملهای فاقد هویت معتبر اجتناب کنند؛
6-3- امکان نگاشت بین شناسههای متنوع هر یک از عوامل دخیل در یک تعامل در لایههای مختلف ارتباطی، خدماتی، کاربری و محتوایی باید برای تأمینکننده شناسه مرتبط فراهم و هر تعامل در فضای مجازی کشور، بیواسطه یا با واسطه، به شخصی منحصربهفرد منتهی شود؛
7-3- هر گونه اقدام یا مشارکت در اختفاء یا جعل هویت از جمله عرضه ابزار و خدمات مرتبط ممنوع است؛
8-3- مسئولیت جبران خسارت ناشی از نقض الزامات و خطوط اجرایی موضوع مواد 2 و 3 این نظام، در چارچوب قوانین جاری کشور برعهده تأمینکننده شناسه و یا ارائهدهنده خدمت نقضکننده آنها است؛
9-3- مرکز ملی فضای مجازی با همکاری قوای مجریه و قضاییه، ظرف مدت شش ماه از تاریخ ابلاغ این مصوبه، پیشنویس مقررات و لوایح قانونی لازم برای استقرار نظام هویت معتبر در فضای مجازی کشور را تهیه کند؛
10-3- مرکز ملی فضای مجازی گزارشی از اجرای این مصوبه را هر شش ماه یک بار به شورای عالی فضای مجازی ارایه کند.
ماده 4 -نگاشت نهادی
1-4- وزارت ارتباطات و فناوری اطلاعات تأمینکننده شناسه در لایه ارتباطی کشور بوده و مسئولیت تنظیم مقررات و اتخاذ تمهیدات لازم برای اجرای موارد ذیل را بر عهده دارد:
1-1-4- احراز هویت متقاضیان و مشترکین داخلی و خارجی خدمات ارتباطی ثابت و سیار و خدمات میزبانی؛
2-1-4- احراز هویت برخطِ موجودیتهای بهرهبردار خدمات عمومی ارتباطی ثابت و سیار و خدمات میزبانی؛
3-1-4- ساماندهی و مدیریت نشانیهای پروتکل اینترنت (IP Address) و نامهای دامنه در سطح ملی.
2-4 – مرکز ملی فضای مجازی به منظور ایجاد زیستبوم هویت فضای مجازی کشور در خصوص موارد زیر اقدام کند:
1-2-4- احصاء فهرست تأمینکنندگان شناسه “لایه کاربرد”، برای ثبت، اعطای شناسه و گواهی به کلیه موجودیتهای آن لایه با استفاده از ظرفیت موجود دستگاههای اجرایی و ارایه نگاشت نهادی پیشنهادی به شورای عالی فضای مجازی؛
2-2-4- تنظیم و ابلاغ طرح تحول و برنامه ملی هویت فضای مجازی؛
3-2-4- تنظیم و ابلاغ ضوابط و مقررات عمومی زیستبوم هویت فضای مجازی؛
4-2-4- نظارت بر حسن اجرای تعهدات تأمینکنندگان شناسه و تأمینکنندگان ملی صفتها.
3-4- وزارت ارتباطات و فناوری اطلاعات به منظور استقرار زیستبوم هویت فضای مجازی کشور و در چارچوب ضوابط و مقررات عمومی ابلاغی موضوع بند 4-2-3، نسبت به تعیین حوزه مشخص و متمرکز برای «هماهنگی و برنامهریزی ملی هویت فضای مجازی» با وظایف و اختیارات زیر اقدام کند:
1-3-4- تدوین پیشنویس طرح تحول و برنامه ملی هویت فضای مجازی ظرف مدت سه ماه از تاریخ ابلاغ این مصوبه و ارایه به مرکز ملی فضای مجازی برای تنظیم و ابلاغ؛ در این طرح باید تأمینکنندگان ملی صفتها در حوزههای مختلف و نگاشت نهادی آنها و نیز خدمات کاربردی مبتنی بر احراز هویت خدمات ارتباطی تعیین و مشخص شوند؛
2-3-4- استقرار چارچوب تعاملپذیری بین تأمینکنندگان شناسه، صفتها و دیگر موجودیتها؛ برای دوره گذار سه ساله، از طریق درگاه واحد بین تأمینکنندگان شناسه و تأمینکنندگان صفتها، خدمات ارایه میشود؛
3-3-4 – ارایه گزارش فصلی از اقدامات و پیشرفت کار به مرکز ملی فضای مجازی.
4-4- تأمینکنندگان شناسه و تأمینکنندگان ملی صفتها باید ظرف مدت سه ماه از تاریخ ابلاغ طرح تحول و برنامه ملی هویت فضای مجازی موضوع بند 4-2-2، برنامه خود را تدوین و برای تصویب به مرکز ملی فضای مجازی ارایه کنند.