在一个充满无数希望的自动驾驶、AI等的世界中,新型数字身份验证的前景可能会让人感觉不那么令人兴奋。然而,数字身份即将在澳大利亚和世界各地释放,数字身份将于2024年在澳大利亚成为主流。

数字身份草案

2021 年,澳大利亚前联合政府就扩大政府范围的立法进行了咨询的可信数字身份系统允许私营部门以及州和地区机构参与,并为数字身份服务提供商建立自愿的国家认证计划。该法案并未提交议会,我们称之为《数字身份框架草案》(以下简称草案)。

草案及相关立法文书为两项独立但相关的举措制定了法律框架:

§澳大利亚政府的可信数字身份系统目前用作访问澳大利亚政府服务的身份证明。该系统将进行扩展,以允许私营部门以及州和领地机构依赖该系统提供的数字身份(称为“依赖方”)。

§可信数字身份框架(TDIF) 认证计划将为数字身份服务提供商设定最低标准和规则。经认可的服务提供商可以“加入”。作为政府系统的一部分提供数字身份服务(承担额外责任),或者可以使用不同的系统提供服务。私营和公共部门机构均可获得认证。

使用政府系统接受数字身份作为身份证明的依赖实体具有一系列有限的义务,其中包括确保用户可以选择其身份服务提供商、允许政府系统内的互操作性以及在数字身份欺诈后报告和支持最终用户或网络安全事件。经认可的服务提供商的责任更为广泛(如下所述)。信任标记将让用户知道他们的身份正在使用政府系统进行验证,或者由 TDIF 认可的服务提供商使用其他系统进行验证。

认证有四种类型,认证过程涉及一系列评估,要求申请人证明其数字身份服务如何满足可访问性。

§身份服务提供商:收集、验证和确认确认个人身份的属性(检查驾驶执照或护照)。

§属性服务提供商:验证与个人授权或特征相关的特定属性(例如持有许可证或资格)。

§凭证服务提供商:管理密码和其他访问限制(例如面部识别),确保访问服务的人与身份服务提供商验证数字身份的人是同一个人。

§身份交换提供商:管理身份服务提供商、属性服务提供商和依赖方之间的信息流和传输。

身份弹性战略

2023年7月澳大利亚联邦政府发布了《国家身份弹性战略》。在 2023 年最后一次会议上,澳大利亚议会通过了《2023 年身份验证服务法案》,该法案为隐私和其他权利提供了一些重要的保护。重点关注安全的数字识别系统,强调基于同意的生物识别技术并促进信任和信心。该计划旨在改善数字身份管理,确保澳大利亚数字经济的增长,并在 2030 年之前使其变得最安全。

该战略指出随着数字经济的加速发展,世界越来越多地在网上运作,澳大利亚人的身份在新的方面变得脆弱,需要管理身份信息的流程和系统,通过确保以个人隐私为中心的强有力的保护和安全来跟上不断变化的威胁。因此澳大利亚人需要有弹性的身份——这种身份难以被窃取,而且如果受到损害,也很容易恢复,战略规定了联邦、州和领地政府如何共同努力在澳大利亚各地提供身份弹性。它体现了政府对保护澳大利亚人免受身份犯罪并在最坏的情况发生时帮助他们恢复的共同承诺。

该战略建立10项原则

原则1:无缝的联邦、州和领地数字身份系统将支持身份弹性

原则2:身份需要具有包容性

原则3:个人、行业和政府都可以发挥作用

原则4:所有司法管辖区都将努力实现一致的高国家标准

原则5:生物识别的建立和经同意的身份验证可以提高弹性

原则6:所有司法管辖区都将允许个人跨机构方便地更新其信息

原则7:减少数据收集和保留

原则8:明确的数据共享安排

原则9:一致撤销和重新签发

原则10:明确的责任和义务

数字身份立法

澳大利亚联邦政府公布了计划中的数字身份立法征求意见稿,其中将ACCC(澳大利亚竞争和消费者委员会)指定为首选数字身份监管机构。财政部长Katy Gallagher 在澳大利亚信息产业协会的演讲中宣布了2023 年数字身份法案 的征求意见稿,以及持续到 10 月 10 日的磋商。

Katy Gallagher表示,澳大利亚政府“对澳大利亚数字身份系统的指导原则进行了长期而深入的思考”,并决定“它应该是安全、方便、自愿和包容的。”

Katy Gallagher说,立法的目的是克服现行制度的各种局限性,因为现行制度是在没有立法的情况下形成的。

Katy Gallagher说:“这不是国家性的——联邦只能根据护照对人们进行生物识别验证,而不能根据驾驶执照或州和领地政府颁发的其他身份证件进行验证。”

“MyGovID 只能用于访问政府服务,限制了人们的选择。“私营部门提供商目前无法根据政府颁发的身份证件对人们进行生物识别验证。”

Katy Gallagher概述了数字身份推出的四个阶段流程:

第一阶段:是在立法中建立身份,该立法还规定了公共和私人提供商的监管和认证。

第二阶段:州和领地的数字身份证将被认可用于访问联邦政府服务。

第三阶段:myGovID 将得到私营部门的认可。例如,在开设银行账户时。

第四阶段:政府将开始承认私营部门的数字身份证。

ACCC 的监管职责将涵盖数字身份服务认证;批准哪些服务可以参与澳大利亚政府数字身份服务,并强制提供商和服务遵守立法。该计划的隐私方面将由信息专员监管。

拟议的立法已提交参议院经济立法委员会进一步审议;其报告将于2024年2月到期。

澳大利亚政府计划在未来四年内额外投入1.455亿美元用于扩大数字身份系统和计划,这使得已经支出的资金超过6亿美元,还拨出330万美元“用于增强凭证保护登记册,使政府能够应对未来的数据泄露并支持和保护身份犯罪的受害者”,这一举措是2023年11月公布的联邦网络安全战略的一部分。

2023-2030年网络安全战略

2023年11月澳大利亚政府发布《2023-2030年网络安全战略》,该战略是帮助澳大利亚政府实现到2030年成为网络安全世界领导者的愿景的路线图。

为了实现这一愿景,我们需要保护澳大利亚人。通过该战略,我们寻求改善网络安全、管理网络风险并更好地支持公民和澳大利亚企业管理周围的网络环境。我们将用六个网络盾牌来做到这一点。

每个防护罩都提供了针对网络威胁的额外防御层,并将澳大利亚公民和企业置于其核心:

  • 强大的企业和公民

  • 安全技术

  • 世界级的威胁共享和阻止

  • 受保护的关键基础设施

  • 主权能力

  • 具有韧性的地区和全球领导力

战略提出关于身份与数据保护内容如下:

1. 扩大数字身份计划以帮助保护澳大利亚人的身份安全

政府正在继续制定数字身份计划和国家身份弹性战略,以减少人们与政府和企业共享敏感个人信息以获取在线服务的需要。这将意味着商业和政府组织持有的个人身份数据和文件记录更少,从而降低身份盗窃和欺诈的风险和影响。澳大利亚政府数字身份系统的网络安全是其设计的核心,扩展计划将继续采用最佳实践网络安全标准,例如 ISO/IEC 标准、澳大利亚政府的保护性安全政策框架以及澳大利亚网络安全中心的基本标准八是减少网络安全事件。对于参与数字ID系统的认可提供商,还补充了针对数字ID的附加保护安全要求。

例如:澳大利亚国家银行提交的澳大利亚网络安全战略(2023-2030)讨论文件中表示:其对强数字ID的支持源于对ID的零知识证明的渴望。

2. 扩大对身份盗窃受害者的支持服务

政府将增加对受害者支持服务的资助,帮助更多的人从身份盗窃中恢复过来,更好地保护自己和其他澳大利亚人。这将以政府和非营利组织提供的现有服务为基础,并将通过cyber.gov.au与支持服务紧密结合。

3.零信任文化

为了保护澳大利亚政府的数据和数字财产,我们将建立在ASD八项基本原则中确立的最佳实践原则的基础上。我们还将借鉴国际公认的零信任方法,旨在发展全政府零信任文化。我们将在我们的网络中实施明确的控制措施,这些控制措施将合并到澳大利亚政府信息安全手册中,并通过保护性安全政策框架启用。

战略中建立“零信任文化”的承诺几乎没有附加任何细节,结合政府在数字身份的种种动作,身份验证和特权访问管理方面的提升可能是可能的。在其行动计划中希望“建立整个政府的零信任文化来保护政府数据和数字财产”。

声明:本文来自安全红蓝紫,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。