آیا کسی می‌تواند اطلاعات خصوصی ما را به اشتراک بگذارد؟

بسیاری از ارائه‌دهندگان سرویس­های مالی و غیرمالی هنگام ورود به درگاه‌های خود از ما می‌خواهند تا ثبت‌نام کرده و اطلاعات خود را وارد کنیم. این دریافت اطلاعات ممکن است به‌صورت سنتی بر روی یک فرم کاغذی انجام شود و یا از طریق یک فرم الکترونیکی در وب­سایت سرویس ­دهنده. به‌هرحال، ما بخشی از اطلاعات خصوصی خود را نزد آن سرویس ­دهنده افشا کرده‌ایم و به او اجازه داده‌ایم تا از اطلاعات ما برای تحویل سرویس خود به ما استفاده کند. این سرویس ­دهنده ممکن است یک بانک باشد که خدمات پولی و اعتباری به ما ارائه می‌دهد و یا یک استارتاپ باشد که برای ما بلیت سینما یا هواپیما تهیه‌کرده است. اما اگر دو سرویس­ دهنده باهم توافق کنند، آیا می‌توانند اطلاعات مشتریان خود را برای یکدیگر افشا کنند؟ مثلاً آیا یک بانک می‌تواند شماره‌ی تلفن یا کد ملی ما را در اختیار یک بانک دیگر یا یک استارتاپ بگذارد؟ پاسخ این سؤال مطلقاً منفی است. طبق قانون این اطلاعات متعلق به ما است. سرویس‌دهنده موظف است در حفظ امنیت این اطلاعات بکوشد و هرگز نباید این اطلاعات را بدون اجازه‌ی ما با کسی به اشتراک بگذارد.

برای اشتراک‌گذاری اطلاعات مشتریان میان دو یا چند سرویس ­دهنده، بر اساس گزارشی که مجمع جهانی اقتصاد در سپتامبر ۲۰۱۸ در مورد هویت دیجیتال منتشر کرده، سه روش کلی وجود دارد که هر یک مزایا و معایبی دارند:

• روش متمرکز: در این روش کلیه اطلاعات مشتری بر روی سرورهای یک سرویس­ دهنده ذخیره‌شده است. اگر اشخاص حقیقی یا حقوقی قصد استفاده از این اطلاعات را داشته باشند، درخواست خود را به آن سرویس­ دهنده ارسال کرده، سرویس‌دهنده تأییدیه مشتری را اخذ می‌کند و سپس اطلاعات را با شخص جدید به اشتراک می‌گذارد. این مدل بسیار شبیه به فرایند احراز هویتی است که وقتی با سرویس ورود گوگل وارد یک سایت دیگر (غیر گوگل) می­ شوید اتفاق می­افتد. شاید در بعضی از سایت‌ها عبارت “Login with google” (با حساب گوگل وارد شوید) را دیده باشید. هنگامی‌که به این صورت وارد به سایتی می‌شوید، آن سایت به گوگل اعلام می‌کند که قصد دارد از بعضی اطلاعات شخصی شما استفاده کند؛ سپس گوگل از شما یک تأییدیه اخذ می‌کند و درنهایت به آن سایت اجازه می‌دهد تا از اطلاعات شما استفاده کند. مهم‌ترین مخاطره در این روش، مرکزیت گوگل است. مثلاً گوگل می‌تواند به هر دلیل به یک سایت خاص که شما قصد استفاده از سرویس آن را دارید، سرویس ارائه ندهد و یا شاید بدون اجازه‌ی شما به یک سایت غیرمجاز اطلاعات شخصی شما را افشا کند.
• روش فدرال: در این روش، دو یا چند سازمان با یکدیگر قرارداد همکاری متقابل در زمینه اطلاعات مشتریان منعقد می‌کنند و طی تأییدیه‌ای که از مشتری اخذ می‌کنند، اطلاعات وی را با یکدیگر به اشتراک می‌گذارند. این روش نیز مانند روش متمرکز، نگرانی‌های امنیتی در خصوص افشای اطلاعات برای افراد غیرمجاز را مرتفع نکرده است و بعلاوه در خصوص پیاده‌سازی فنی نیز پیچیدگی­هایی وجود دارد. در حال حاضر بانک سوئد در پروژه‌ی Sweden’s BankID و دولت بریتانیا در پروژه UK Verify این مدل را پیاده‌سازی کرده‌اند.
• روش غیرمتمرکز: در روش سازمان­های مختلفی در راه‌اندازی یک زیرساخت هویت دیجیتال با یکدیگر مشارکت می‌کنند و هیچ­یک از آن‌ها تسلط بر کل سامانه ندارند. هر یک از سازمان­های احرازکننده پس از احراز و ثبت اطلاعات کاربر در یک زنجیره‌بلوک، آن­ را به نحوی رمزگذاری می‌کند که دسترسی به آن تنها با کلید خصوصی کاربر ممکن باشد. بدین‌صورت تنها کاربر در صورت رضایت می‌تواند تمام یا بخشی از اطلاعات هویتی خود را در اختیار سازمان‌های دیگر قرار دهد. در این روش نه‌تنها هیچ مخاطره‌ای از جهت نقض حریم خصوصی و افشار اطلاعات متوجه کاربر نیست، بلکه هیچ سازمانی نمی‌تواند دسترسی سایر سازمان‌ها را به اطلاعاتی که کاربر مایل از به او بدهد محدود کند. مثلاً اگر در این روش یک سازمان احرازکننده، اطلاعات هویتی شما را احراز کرد و شما خواستید آن اطلاعات را در اختیار یک استارتاپ قرار دهید، اختیار آن اطلاعات در دست شماست و احرازکننده نمی‌تواند شما را از انجام این کار منع کند. بدین‌صورت شما مالک واقعی اطلاعات شخصی خودتان هستید. تا زمانی که شما نخواهید، هیچ شخص یا سازمانی نمی‌تواند اطلاعات شما را افشا کند و اگر بخواهید آن را به سازمانی بدهید، کسی نمی‌تواند جلوی شما را بگیرد.