جهان برای تضمین امنیت کاربران، احراز هویت دیجیتال را جدی گرفته است

به گزارش خبرگزاری آنا؛ موضوع احراز هویت کاربران در فضای مجازی به یکی از دغدغه‌های اصلی سیاست‌گذاران کشور‌های مختلف تبدیل شده است. جمهوری اسلامی ایران نیز با تصویب «نظام هویت معتبر در فضای مجازی کشور» در سال ۱۳۹۸، گامی اساسی در جهت ایجاد زیست‌بومی امن و شفاف برای تعاملات دیجیتال برداشته است. کارشناسان حوزه فناوری اطلاعات بر این باورند که مشخص بودن هویت کاربران، نقشی کلیدی در ارتقای ایمنی فضای مجازی و کاهش جرایم سایبری ایفا می‌کند.

احمد کارآمد، کارشناس و پژوهشگر فضای مجازی، مدتی پیش در گفت‌و‌گو با خبرنگار فناوری آناتک، دربارۀ اهمیت موضوع احراز هویت برای حفظ ایمنی کاربران دربارۀ فضای مجازی گفته بود: «فضای مجازی در ایران در حال حاضر به گونه‌ای است که هر کسی می‌تواند با یک سیم‌کارت ناشناس و یک گوشی بدون صاحب، هر کاری دلش خواست انجام دهد و این اقدامات غیرقابل پیگیری می‌شود»، او همچنین تأکید داشت که قانونمند شدن احراز هویت و جلوگیری از فعالیت بی‌ضابطۀ خطوط بدون مالک، موضوعی حیاتی است که باید هرچه سریع‌تر دنبال شود. به گفتۀ کارآمد، وجود چنین امکانی برای سوءاستفاده‌گران، پیگرد قانونی مجرمان را با دشواری مواجه می‌کند و نظام حقوقی کشور برای شناسایی و برخورد با متخلفان با چالش‌هایی رو‌به‌رو می‌شود که یکی از دلایل اصلی آن برقرار نبودن یک سیستم کارآمد برای بی‌اثر کردن خطوط مجهول‌الهویه است.

البته موضوع احراز هویت در فضای مجازی، به هیچ وجه پدیده‌ای مختص به ایران نیست و در سطح بین‌المللی نیز به یکی از محور‌های اصلی سیاست‌گذاری تبدیل شده است. بر اساس اسناد منتشر شده از سوی سازمان همکاری اقتصادی و توسعه (OECD) که به درخواست ریاست ایتالیایی گروه هفت (G۷) در سال ۲۰۲۴ تهیه شده، کشور‌های عضو این گروه با وجود تفاوت در رویکردها، بر سر مفاهیم پایه‌ای مانند «صفت» و «عامل احراز هویت» اشتراک نظر دارند. این گزارش که در نشست وزیران فناوری و دیجیتال G۷ در کومو، ایتالیا رونمایی شد، نشان می‌دهد که نظام‌های هویت دیجیتال در کشور‌های مختلف با سه مؤلفۀ اصلی قابل مقایسه هستند: مفاهیم و تعاریف، سطوح اطمینان و استفاده از استاندارد‌های فنی بین‌المللی.

کشور‌های گروه هفت سطوح اطمینان هویت را به سه یا چهار سطح تقسیم می‌کنند. در سطح پایین (LOA۱)، هیچ‌یک از اعضا الزامی برای جمع‌آوری مدارک هویتی یا احراز هویت چندعاملی ندارند. اما در سطح متوسط (LOA۲)، همگی بر جمع‌آوری مدارک هویتی و استفاده از احراز هویت چندعاملی تأکید دارند. با این حال، تفاوت‌هایی نیز مشاهده می‌شود؛ به عنوان مثال، احراز هویت از راه دور به صراحت فقط در ژاپن و آمریکا مجاز است، در حالی که اتحادیۀ اروپا بر استفاده از مدارک شناسایی معتبر در سطح کشور‌های عضو تأکید دارد. در بالاترین سطح اطمینان (LOA۳)، همۀ کشور‌ها بر تأیید هویت افراد از طریق منابع معتبر و احراز هویت چندعاملی تأکید دارند. برخی مانند اتحادیۀ اروپا، آمریکا و ژاپن، احراز هویت حضوری را الزامی می‌دانند. جالب توجه است که در میان بیش از ۵۰ استاندارد بین‌المللی فنی مورد بررسی، تنها شش استاندارد میان حداقل دو کشور عضو G۷ مشترک بوده و هیچ استانداردی در تمامی کشور‌ها به کار گرفته نشده است، که نشان از تنوع رویکرد‌ها و چالش‌های پیش‌روی همکاری‌های بین‌المللی در این حوزه دارد.

قوانین اروپایی نظیر مقررات عمومی حفاظت از داده‌ها (GDPR)، قانون خدمات دیجیتال (DSA) و قانون بازار‌های دیجیتال (DMA) نیز به طور غیرمستقیم و در برخی موارد مستقیم به موضوع احراز هویت و مدیریت داده‌های هویتی اشاره دارند. بر اساس تحلیل‌های حقوقی منتشر شده، این قوانین با یکدیگر همپوشانی دارند و به گونه‌ای طراحی شده‌اند که مکمل یکدیگر باشند. در این میان، قانون بازار‌های دیجیتال (DMA) که بر فعالیت «درگاه‌های دسترسی» مانند متا، آمازون و مایکروسافت نظارت دارد، مقررات خاصی را برای مدیریت داده‌های کاربران وضع کرده است. بر اساس مادۀ ۵ این قانون، درگاه‌های دسترسی برای ترکیب داده‌های شخصی کاربران در خدمات مختلف یا استفاده از آنها برای هدفمندسازی تبلیغات، باید رضایت صریح کاربران را مطابق با استاندارد‌های GDPR جلب کنند و ارائۀ گزینه‌های جایگزین با سطح شخصی‌سازی کمتر را الزامی کرده است. همچنین این قانون با تکمیل حق انتقال‌پذیری داده‌ها در GDPR، کاربران را قادر می‌سازد تا به طور مؤثر و بی‌دردسر داده‌های خود را بین پلتفرم‌های مختلف جابه‌جا کنند.

قانون خدمات دیجیتال (DSA) نیز که به دنبال ایجاد محیطی امن و مسئولانه در فضای مجازی است، تکالیفی را برای سکو‌های آنلاین تعیین کرده که مستقیماً به مدیریت اطلاعات هویتی مرتبط می‌شود. هیئت حفاظت از داده‌های اروپا (EDPB) در دستورالعمل‌های اخیر خود که در سپتامبر ۲۰۲۵ منتشر شده، به وضوح اعلام کرده که هرگونه اقدام در چارچوب DSA که شامل پردازش داده‌های شخصی می‌شود، باید با الزامات GDPR مطابقت داشته باشد. بر اساس این دستورالعمل‌ها، ارائه‌دهندگان خدمات میزبانی نباید ارائۀ اطلاعات از طریق مکانیسم‌های اطلاع‌رسانی را به ارائۀ هویت فرد مشروط کنند، مگر در موارد استثنایی که بدون آن امکان تشخیص محتوای غیرقانونی وجود نداشته باشد.

همچنین استفاده از الگو‌های فریبنده در طراحی رابط‌های کاربری که کاربران را به افشای داده‌های شخصی ترغیب کند، با اصول عدالت و شفافیت GDPR ناسازگار شمرده شده است. در حوزۀ تبلیغات، استفاده از داده‌های حساس برای هدفمندسازی و همچنین تبلیغات مبتنی بر پروفایلینگ که متوجه کودکان باشد، به صراحت ممنوع اعلام شده است. این مقررات نشان می‌دهد که رویکرد اروپا عمدتاً بر حمایت از حقوق فردی و شفافیت متمرکز است، در حالی که سند نظام هویت معتبر ایران با رویکردی نهادی و ساختاریافته، به دنبال ایجاد چارچوبی جامع برای مدیریت هویت در کل زیست‌بوم دیجیتال کشور است.

سند «نظام هویت معتبر در فضای مجازی کشور» که در شهریور ماه سال ۱۳۹۸ به تصویب شورای عالی فضای مجازی رسیده، در مقایسه با رویکرد‌های بین‌المللی از ویژگی‌های منحصربه‌فردی برخوردار است. این سند با هدف استقرار «زیست‌بوم تأمین‌کنندۀ زیرساخت تعاملات آزادانه، سالم، پویا، مسئولانه و سودمند با رعایت حقوق فردی و جمعی» تدوین شده و در آن مفاهیمی، چون «شناسه» و «صفت» به طور دقیق تعریف شده است.

تفکیک هویت پایه و صفت‌ها از جمله مزایای این سند محسوب می‌شود که امکان مدیریت منعطف‌تر هویت دیجیتال را فراهم می‌کند. همچنین تأکید بر احراز هویت در لایه‌های مختلف ارتباطی، خدماتی، کاربردی و محتوایی و الزام به اینکه هر تعاملی با شناسۀ معتبر آغاز شود، این سند را از بسیاری از چارچوب‌های بین‌المللی متمایز می‌سازد. به عنوان مثال، در حالی که اتحادیۀ اروپا بر ارائۀ کیف پول دیجیتال به شهروندان متمرکز است، رویکرد ایران مبتنی بر ایجاد نهاد‌های تأمین‌کنندۀ شناسه و صفت است که ساختاردهی به کل زیست‌بوم هویت دیجیتال را دنبال می‌کند. علاوه بر این، سند ایران تنها به اشخاص حقیقی محدود نشده و گروه‌ها، اشیاء، خدمات و محتوا‌ها را نیز در بر می‌گیرد که نشان از جامع‌نگری آن دارد و صراحتاً مسئولیت جبران خسارت ناشی از نقض الزامات را بر عهدۀ تأمین‌کنندۀ شناسه یا ارائه‌دهندۀ خدمت متخلف قرار داده است.

مکانیزم‌های رایج احراز هویت در سطح جهانی شامل روش‌های متنوعی است که هر یک برای سطوح مختلف اطمینان طراحی شده‌اند. احراز هویت چندعاملی (MFA) که ترکیبی از اطلاعات مختلف مانند رمز عبور، کد‌های ارسال شده به تلفن همراه و اطلاعات بیومتریک را شامل می‌شود، امروزه به عنوان یک استاندارد پایه‌ای در سطح متوسط اطمینان در کشور‌های G۷ پذیرفته شده است.

گواهی‌های دیجیتال و امضای الکترونیک که در اتحادیۀ اروپا تحت چارچوب eIDAS به کار گرفته می‌شود، روش دیگری است که در سطح بالای اطمینان مورد استفاده قرار می‌گیرد. در آمریکا، گواهینامۀ رانندگی موبایل (mDL) به عنوان یک روش نوین برای احراز هویت در حال گسترش است و اتحادیۀ اروپا نیز برنامه دارد تا سال ۲۰۲۶، کیف پول دیجیتال اروپایی را در اختیار همۀ شهروندان قرار دهد که امکان ذخیره و ارائۀ مدارک هویتی مختلف مانند گواهینامۀ رانندگی، مدارک تحصیلی و اطلاعات بانکی را فراهم می‌کند.

البته چالش‌های متعددی برای دستیابی به قابلیت همکاری بین‌المللی در این حوزه وجود دارد، از جمله تفاوت در الزامات جمع‌آوری مدارک هویتی، روش‌های تأیید و احراز هویت در سطوح بالای اطمینان و همچنین تنوع در استفاده از استاندارد‌های فنی بین‌المللی. گزارش OECD بر این نکته تأکید دارد که برای دستیابی به همکاری‌های مؤثر فرامرزی، کشور‌ها باید بر روی هماهنگ‌سازی رویکرد‌های خود در سطوح بالای اطمینان و همچنین بحث در مورد طراحی و پذیرش راهکار‌های مشترک مانند کیف پول‌های دیجیتال تمرکز کنند.

اجرای نظام هویت معتبر در فضای مجازی، تأثیرات قابل توجهی بر امنیت و توسعۀ دیجیتال کشور خواهد داشت. همانطور که احمد کارآمد در مصاحبۀ خود با آناتک اشاره کرده بود، مشخص بودن هویت کاربران، ایمنی فضای سایبری را ارتقاء داده و امکان پیگیری و برخورد قانونی با مجرمان را فراهم می‌کند.

تجربۀ کشور‌های مختلف نیز نشان می‌دهد که ایجاد چارچوب‌های منسجم برای مدیریت هویت دیجیتال، به کاهش جرایم سایبری کمک می‌کند و بستر مناسبی برای توسعۀ کسب‌وکار‌های دیجیتال، ارائۀ خدمات اداری کارآمد و افزایش اعتماد عمومی به فضای مجازی فراهم می‌آورد. در این مسیر، سند نظام هویت معتبر در فضای مجازی کشور به عنوان یک نقشۀ راه جامع، می‌تواند زمینه‌ساز تحولی اساسی در مدیریت هویت دیجیتال و ارتقای امنیت در فضای مجازی کشور باشد.