برخلاف هویت مبتنی بر کاغذ مانند اکثر گواهینامههای رانندگی و گذرنامهها، یک هویت دیجیتال میتواند بهصورت از راه دور از طریق کانالهای دیجیتال احراز هویت شود که این تعریف صرفنظر از نهاد صادر کننده هویت است. به عنوان مثال، یک هویت دیجیتال میتواند توسط یک دولت ملی یا محلی، توسط یک کنسرسیوم سازمان خصوصی یا غیرانتفاعی یا توسط یک نهاد شخصی صادر شود. همچنین این تعریف بدون در نظر گرفتن فناوری خاصی که برای انجام احراز هویت دیجیتال استفاده میشود، بهکار میرود که میتواند شامل استفاده از دادههای بیومتریک، رمزعبور، پینها، دستگاههای هوشمند و توکنهای امنیتی باشد (McKinsey,2019).
از سوی دیگر با توجه به تحولات فضای مجازی و افزایش پیچیدگیهای احراز هویت در فضای کنونی، علاوه بر بروز بحث احراز هویت موجودیتهای غیرانسانی نظیر نرمافزار، سختافزار و اشیاء در فضای مجازی، نقش مراکز و نهادهایی که در این زمینه فعالیت میکنند نیز مشخص نیست. چالشهای دیگر شامل تهدیدات امنیتی مبتنی بر احراز هویت که ناشی از احراز هویت نادرست است و عدم وجود درک صحیح و مناسب از شان و جایگاه احراز هویت و بروز آن در زمان مناسب است (رسولی، ۱۳۹۸).
بنابراین هویت دیجیتال خوب باید در درجه بالایی از اطمینان بررسی و احراز هویت شود، منحصر به فرد باشد، با رضایت فرد صادر شده باشد و همچنین از حریم شخصی کاربران محافظت کند و کنترل اطلاعات شخصی آنها را تضمین کند. درنهایت باید این نکته را نیز بازگو کرد که از مهمترین کارکردهای هویت دیجیتال، ایجاد اعتماد در فضای سایبری است (McKinsey,2019).
تعاریف مختلفی از هویت دیجیتال در منابع مختلف ذکر گردیده است. بنا بر تعریف موسسه ملی استاندارد و فناوری، هویت دیجیتال شخصیت (پرسونا) آنلاین یک موجودیت (شخص، نهاد) است. یک فرد ممکن است برای ایمیل، هویت دیجیتال داشته باشد و دیگری برای امور مالی شخصی. بهطور کلی بدون یک زمینه مشخص، تعیین تعریفی واحد برای هویت دیجیتال که همه ابعاد را در برگیرد، دشوار است. در نتیجه هویت دیجیتال نمایانگر منحصربه فردی از یک موجودیت است که در یک تراکنش آنلاین درگیر است (NIST,2017).
هویت دیجیتال را میتوان به عنوان نمایش دیجیتالی اطلاعات شناخته شده در مورد یک فرد یا سازمان مشخص تعریف کرد که بطورکلی مجموعه تمام اطلاعات دردسترس دیجیتالی در مورد یک موجودیت است. گوگل، هویت دیجیتال را به این صورت تعریف میکند، «هویت آنلاین شما نه تنها با آنچه شما پست میکنید، تعیین میشود بلکه با آنچه که دیگران درباره شما ارسال میکنند مانند یک اشاره در یک وبلاگ، یک پست، یک عکس، برچسب و یا پاسخ به یک پست یا یک بروز رسانی پیام معرفی وضعیت عمومیتان نیز تعیین میگردد» (Mansouri & Mrabet, 2013).
هویت دیجیتال شامل تمام اتفاقهای صورت گرفته به واسطۀ کامپیوتر متصل به شبکه (تمام ردپاهای فنی[۱]) شامل آدرس اینترنتی[۲]، جستجوهای صورت گرفته، سایتهای بازدیدشده، کوکیها و … است. هویت دیجیتال به صورت پروندۀ دیجیتال[۳]، جمع تمام اطلاعات دیجیتال جمع شده از منابع مختلف، در هر زمان و مکان مربوط به افراد است. پروندۀ دیجیتال خیلی بیشتر از یک رزومۀ آنلاین و دادههای تراکنشی است. پروندۀ دیجیتال زندگی خصوصی افراد است (تقیزاده و همکاران، ۱۳۹۶).
در برخی منابع از اصطلاح جای پای دیجیتال[۴] به عنوان هویت دیجیتال نام برده شده است. جای پای دیجیتال تنها مواردی (محتواها، مقالات، تصاویر، نظرات و …) نیست که کاربر به صورت عمومی و یا خصوصی بر روی وب پخش نموده است، حتی شامل تمام چیزهایی که دیگران به عنوان نکات مثبت و یا منفی در مورد او ارسال و یا به اشتراک گذاشتهاند، نیز میشود. جای پای دیجیتال فرد شامل تمام اجزای اطلاعاتی از جمله درخواستها و اجرای تراکنشها در سرویسهای آنلاین، تعاملات با دیگر افراد، اقدامات انجام شده با استفاده از برنامهها و دستگاهها، تعامل با محیط و اشیاء هوشمند و غیره میباشد.
جای پای دیجیتال، دنبالهای از دادههایی است که وقتی فرد در حال استفاده از اینترنت است، ایجاد میشود که میتواند شامل مشاهده و بازدید از وب سایتها، ارسال ایمیل و اطلاعاتی که افراد به هر سرویس آنلاین ارسال میکنند، باشند. جای پای دیجیتال در رسانههای اجتماعی با توجه به میزان حضور آنلاین فرد و بر اساس میزان تعاملی که با دیگران دارد، اندازهگیری میشود.
بنابراین میتوان گفت که یک هویت دیجیتال، نمایش الکترونیکی یک موجودیت و شامل اطلاعاتی است که در شبکهها و سیستمهای اطلاعاتی، به منظور احراز هویت اشخاص، سازمانها و یا ماشینها مورد استفاده قرار میگیرد.
سیستمهای هویتی امروزی، عموماً به سه دسته کلی تقسیم میشوند: متمرکز، فدرالی و غیرمتمرکز. همانطور که از عنوان آنها نیز برمیآید، زیرساخت هریک از این مدلها، پیادهسازی برای پذیرش و جلب اعتماد، چالشها و مزایای هر یک از آنها برای افراد و کاربران است که آنها را از سایرین متمایز میسازد. همانطور که انتظار میرود، سنتیترین و معمولترین طرح برای مدل هویتی مدل متمرکز است، که در آنها سازمانها، همان دولتها یا شرکتها، هویتهای افراد و دادههای مربوط به آنها را ثبت و مدیریت میکنند. این در حالی است که در مدل دوم، یعنی مدل فدرالی، این نقش میان سازمانها یا شرکتهای مختلف تقسیم میشود. سیستمهایی که جدیدترین مدل یا همان مدل غیرمتمرکز را دنبال میکنند، به دنبال دنیایی آرمانی برای کاربران هستند که در آن، افراد خود روی هویتهای دیجیتال و دادههای مربوط به آن کنترل دارند و اطلاعات هویتی خود را شخصا مدیریت میکنند (مجمع جهانی اقتصاد، ۲۰۱۸).
شکل ۱. انواع سیستمهای احراز هویت دیجیتال
شکل ۲. زنجیره ارزش Basic Digital ID
شکل ۳. زنجیره ارزش Advanced Biometrics Digital ID
در یک سیستم شناسایی بیومتریک، هویت فرد با یک وسیله الکترونیکی (یک بیومتریک خوان) که ویژگیهای فیزیکی فرد را تشخیص داده و تحلیل میکند، تعریف میشود. انتظار میرود که دو پیشرفت قابلتوجه بیومتریک در سیستمهای تشخیص هویت تأثیر بگذارد. اول، اندازه و هزینه لوازم شناسایی بیومتریک در حال کاهش هستند. دستگاههای اثرانگشت خوان کم هزینه و قابل حمل هستند تا امکان شناسایی بیومتریک را در همهجا امکانپذیر سازند. دوم، چندین فناوری جدید وجود دارد که میتوانند هویت افراد را از روشهای ناآشناتر مانند تحلیل رفتار و صدا تشخیص دهند(USAID,2017).
تلفنهای همراه به بخش مهمی از زیرساختهای سیستم شناسایی هویت تبدیل شدهاند. در احراز هویت تلفن همراه، اپراتورهای شبکه هویت فرد را با استفاده از یک دستگاه ثبت شده به جای کارت شناسایی سنتی تأیید میکنند. پلتفرم احراز هویت تلفن همراه جایگزین یک پروسه ثبتنام یا اثبات هویت جداگانه نمیشود و بیشتر روشی مناسب احراز هویت برای کاربران نهایی است که در حال حاضر دارای یک سیم کارت ثبت شده هستند، میباشد. احراز هویت تلفن همراه با فرایندهای احراز هویت سنتی متفاوت است زیرا درخواست و تأیید احراز هویت به جای اینکه نیازی به سختافزار اضافی مانند کارت هوشمند یا بیومتریکخوان باشد، روی تلفن همراه رخ میدهد(USAID,2017) .
شکل ۴. زنجیره ارزش Mobile ID
ردپاهای دیجیتال را میتوان مورد تجزیه و تحلیل قرار داد تا در مورد خصوصیات شناسایی افراد نتیجهگیری کرد. “هویت (شناسه) الگوریتمی” به جای صدور گواهی شخصی، به احراز هویت مبتنی بر الگوها و ویژگیهای منحصر به فرد ردپای دیجیتال شخص اشاره دارد. در این روش برخلاف گرفتن یکبارهی بیومتریک، هویت فرد در یک فرآیند مستمر و محتمل از رفتار فرد استنباط میشود. هر دو فرآیند میتوانند مبهم باشند. برای اکثر افراد، منحصر به فرد بودن اثر انگشت یا چشم دقیقاً به اندازه جستجوی سابقه یا الگوی تماس تلفنی مبهم است (USAID,2017).
شکل ۵. زنجیره ارزش Algorithmic ID
بلاکچین یک فناوری دفتر توزیع شده است که انتشار و بررسی اطلاعات ذخیره شده در گرههای مستقل را انجام میدهد. بلاکچین غیرقابل تغییر، مقاوم در برابر خرابی سخت افزار و بطور طبیعی باز (قابل دسترس) است. کلیه دادههای موجود در سیستم برای کلیه شرکتکنندگان قابل دسترسی و قابل بررسی است، و این امر باعث میشود که بلاکچین یک شکل “قابل اعتماد” از ورود و انجام تراکنشها باشد، به این ترتیب که شفافیت سیستم از مداخله بازیگران محافظت میکند.
بسیاری از سیستمهای شناسایی مطرح براساس بلاکچین از نمونههای هویتهای رشدیافته هستند، جایی که یک هویت با گذشت زمان از طریق یک سری تعامل با دیگران ساخته میشود. سایر برنامههای هویت بلاکچین به سادگی از یک دفتر بلاکچین بهعنوان بانک اطلاعاتی پشتیبان برای یک سیستم هویت سنتیتر استفاده میکنند(USAID,2017).
شکل ۶. زنجیره ارزش Blockchain-Backed ID
این یک فناوری جدید نیست، بلکه یک رویکرد هویتی جدید است که “مالکیت” هویت را به صورت مستقیم در اختیار دارندگان هویت قرار میدهد. هویت قابل کنترل توسط کاربر توسط فناوریهایی مانند پایگاههای داده شخصی، محاسبات ابری و اعتبارسنجی مبتنی بر ویژگیها فعال میشود.
برخلاف سیستمهایی که مؤسسات گواهی هویت ارائه میکنند، هویتهای قابل کنترل توسط کاربر، بر این فرض ایجاد میشوند که افراد میزان رسمی بودن هویت خود را کنترل کنند. افزایش کنترل کاربر میتواند شکلهای مختلفی داشته باشد، از مدیریت شخصیتهای دیجیتالی متمایز گرفته تا درآمدزایی فعالانه از دادههای شخصی خود. طرفداران هویت خودگردان استدلال میكنند كه فناوریهای جدید به کاربران این امکان را میدهند كه مستقل از هر مرجع دولتی، هویت خودساخته را اثبات و مدیریت كنند(USAID,2017).
شکل ۷. زنجیره ارزش User-Controlled ID
در ادامه به شرح چالشهای موجود در حوزۀ هویت و احراز هویت دیجیتال پرداخته میشود.
تاکنون ثبت و تجمیع اطلاعات افراد و مدیریت اطلاعات مرتبط در کشور بصورت متمرکز تعریف و اجرا نشده است که بتوان بر بستر آن، فرایند دیجیتالی کردن اطلاعات را آغاز کرد. به عبارت دیگر، هر بخش از اطلاعات یک فرد، به فرض وجود، صحت و به روز بودن، در دستگاهی مستقل ثبت و ضبط شده است و هر یک از این سازمانها، دادههای کاربران را با هدف خاصی گردآوری کرده و مورد بهرهبرداری قرار میدهند. مثلا اطلاعات پایه و هویتی افراد در سازمان ثبت احوال، اطلاعات وضعیت داراییهای حقوقی در سازمان ثبت اسناد، اطلاعات بیمهای در سازمان تامین اجتماعی، اطلاعات قضائی در قوه قضائیه و پلیس، اطلاعات تحصیلی در وزارت آموزش و پرورش و وزارت علوم که البته هرکدام بنا به شهر و استان موردنظر به صورت جداگانه و مستقل ثبت شده است.
عدم ارتباط سیستمهای هویتی آنجا آشکار میشود که هر بار افراد برای ورود به یک وبسایت جدید باید دوباره ثبتنام، یا اسناد مشابهی تولید کنند. این اتفاق باعث شده است که هزینهها و ناکارآمدی افزایش یابد و نظام استعلامات شکل گیرد که هر روز هم پیچیدهتر و بزرگتر میشود و بهطورکلی هم با فلسفه دولت الکترونیک در تضاد است. هرچند که وجود یک کد ملی منحصر به فرد برای ارائه خدمات دولت الکترونیک ضروری است اما تا زمانی که برای احراز هویت افراد، یکپارچگی و تعامل میان سیستمهای مختلف اطلاعاتی اتفاق نیفتد تحقق دولت الکترونیک امکانپذیر نیست. البته با توجه به تعدد نهادهای دخیل در این موضوع و تحمیل سلیقههای خود و بیطرف نبودن آنها هم باعث ایجاد تعاریف متفاوت و متناقضی از هویت و مفاهیم مربوط به آن میشود و هم مانع از ایجاد یک طرح یکپارچه و دقیق شده که این میتواند تمرکز را کاهش داده و باعث تعدد برنامهها شود.
بهطورمثال در افتتاح یک حساب (بانکی،کاربری) ابتدا احراز هویت بصورت فیزیکی انجام میشود و سپس نام کاربری و رمزعبور برای افراد و استفاده از آنها برای حضور و فعالیت در فضای دیجیتال اختصاص داده میشود که اساساً این نوع احراز هویت، دیجیتال نیست و عملاً با داشتن نام کاربری و رمزعبور فرد دیگر میتوان همان اقدامات را انجام داد. علاوه بر آن نیز باز کردن حساب جعلی با هویت جعلی بسیار ساده خواهد بود. باید این موضوع را نیز درنظر گرفت که نام کاربری و رمز عبور کارایی لازم را ندارد و براحتی قابل سرقت و جعل است. به همین دلیل استفاده از روشهای ترکیبی و بیومتریک اهمیت پیدا میکند.
در واقع هر سیستمی برای خود تعریفی ناقص از احراز هویت به دست داده و از کاربران خود توقع دارد از آن استفاده کنند و عملاً مردم با روشهای احراز هویت متفاوت در فضای مجازی مواجهاند و در واقع اطلاعاتشان را به دلایل ناموجه به انواع سایتها و اپلیکیشنها میدهند که نه تنها با بحث امنیت اطلاعات در تناقض است بلکه عملاً برای احراز هویت دیجیتال نیز کارایی ندارد. مهمترین نمود این چالش را میتوان در تعدد سامانههای موجود در بازار مشاهده کرد. مثلا سامانه شاهکار، احراز هویت از طریق تطابق کد ملی با شماره تلفن همراه کاربر صورت میگیرد که روش مناسبی نیست، به این دلیل که در برخی موارد شماره تلفن همراه بنام خود فرد نیست و از طرفی این روش احراز هویت، ناقص است و اگر این سامانه با مرکز ثبت احوال متصل شود احراز هویت کاملتری صورت گیرد.
احراز هویت سطوح مختلفی دارد. مثلا برای ورود به یک سایت خرید لباس آنلاین به درجه کمتری از احراز هویت نسبت به دریافت خدمتی مانند گرفتن گذرنامه یا گواهینامه رانندگی نیاز است. بنابراین درک سیاستگذاران از سطوح مختلف احراز هویت در ساماندهی و قانونگذاری برای احراز هویت دیجیتال بسیار مؤثر بوده و در بسیاری از کسبوکارهای اینترنتی و خدمات دولت الکترونیک میتوان سطوح بسیار سادهتری از احراز هویت را مطالبه کرد و فقط در مسائل بسیار مهم و حیاتی درجه زیادی احراز هویت را اعمال کرد. از طرفی هر سازمان و کسبوکاری از دیگری متفاوت است، بنابراین وقتی صحبت از یک راهبرد احراز هویت در یک سازمان میشود، هیچ راهبرد واحدی وجود ندارد که مناسب همه سازمانها باشد. بعنوان مثال بیومتریک برای برخی از سازمانها، جواب خواهد داد، اما برای سازمانهای دیگر مناسب نخواهد بود. این امر به عوامل زیادی مانند تعداد کاربران و میزان حساسیت دادههایی که باید در دسترس قرار گیرند، بستگی دارد.
منظور این است که هدف از یک هویت دیجیتال نظارت یا ردگیری شهروندان است و یا ارائه خدمات عمومی کارآمدتر و برقراری قانون. همچنین باید اطمینان حاصل شود که فرایندها و زیرساختهای سیستم مبتنی بر هویت دیجیتال به حریم خصوصی کاربران یا شهروندان لطمهای وارد نمیکند، یا به ابزاری برای نظارتها و دخالتهای غیرقانونی تبدیل نمیشود و موجب تبعیض یا سوءاستفاده نمیشود.
بهطور مثال احراز هویت در کسبوکارهای خصوصی به چه صورت باید انجام گیرد. آیا منافع و نیازهای تمامی ذینفعان در سیستمهای موجود درنظر گرفته شدهاند. چالشهای عمدهای که کسبوکارها با آن مواجه هستند کدامند؟ در این موارد چه کسی مسئولیت احراز هویت را به عهده میگیرد، یعنی اینکه این مسئولیت به عهدۀ کسبوکار است یا نهادی که ارائه دهندۀ هویت است.
این پرسش که چه کسی در نهایت مالک هویتهای دیجیتال است و آن را کنترل میکند، یکی از مهمترین مسائل اساسی در توسعه پلتفرمهای هویت دیجیتال خواهد بود. اینکه کنترل هویت دیجیتال در دست کاربر باشد یا یک سازمان مسئولیت آن را بپذیرد؟ دستیابی به اطلاعات مربوط به عادات رفتاری کاربران میتواند آنها را در معرض انواع تبلیغات و آگهیهای ناخواسته قرار دهد. در قانون دارنده دادههای بوجود آمده توسط افراد مشخص نیست و نمیتوان گفت که چه کسی مالک این دادههاست.
در حال حاضر هیچ قانونی اختصاصی در خصوص هویت دیجیتالی وجود ندارد و بسیاری از مسائل قانونی در مورد هویت همچنان باید شناسایی شوند. برای مثال: چه کسی مسئول از دست رفتن دادهها در اثر بروز یک نقض است؟ درصورت از دست رفتن و یا افشای اطلاعات چه مجازاتی برای سازمان مربوطه درنظر گرفته میشود؟
نکته دیگر در خصوص چالش هویت دیجیتال بطور کلی این است که امروزه کاربران تصور میکنند در یک محیط آزاد و با اختیار خود در حال انتخاب هستند در حالی که واقعیت این است که ابزارهای فناوری با جمعآوری اطلاعات از افراد و با پیگیری رفتارها و الگوهای آنها در فضای مجازی، ابتدا برای آنها ذائقهسنجی و سپس ذائقهسازی خواهند کرد. بنابراین نیاز رو به رشد و مبرمی نسبت به آموزش کاربران در مورد این که هویت دیجیتال به چه معنی است و این که چه اتفاقی برای دادههای آنها در حال وقوع است، وجود دارد. زیرا تا زمانی که افراد در مورد مسائل هویت دیجیتال آگاهی کامل پیدا نکنند، اغلب ترس و سردرگمی پیرامون آنها وجود دارد. همه گروههایی که نگرانیهایی دارند باید شناسایی شوند.
چنین ترسهایی ممکن است مانع پیشرفت شوند. در نهایت، ممکن است چالشهای مهمی به لحاظ پذیرش راهکارهای هویت دیجیتال توسط مشتری وجود داشته باشد. پذیرش، فقط به یک سیستم بنیادین بهتر نیاز ندارد، بلکه به تجربه کاربری بهتری نیز نیازمند است. با توجه به حق انتخاب، مشتریان ممکن است امنیت را فدای سادگی استفاده از یک پلتفرم کنند، که این موضوع میتواند در درازمدت به هویت آسیب برساند.
به لحاظ ظرفیت نگهداری دادههای افراد و ارائه خدمات، زیرساخت مناسبی برای تعامل بین سازمانها برای تبادل داده و اطلاعات وجود ندارد که باید درنظر گرفته شود. این موضوع چالشی بزرگ برای توسعه سیستمهای هویت دیجیتال است.
به دلیل حساسیت و محرمانه بودن اطلاعات ذخیره شده، باید به امنیت زیرساخت و پیادهسازی سیستم مدیریت امنیت توجه شود.
[۱] technical tracks
[۲] IP address
[۳] digital dossier
[۴] Digital Footprint
اقتصاد دیجیتال ( Digital Economy) چیست ؟
مشاهده ویدئو تحول دیجیتال چیست ؟