نظام هویت معتبر در فضای مجازی کشور

(مصوبه جلسه پنجاه‌ و نهم مورخ 9/6/1398 شورای عالی فضای مجازی)

در اجرای ماده۱۱ آیین‌نامه داخلی شورای عالی فضای مجازی، مصوبه‌ای به کلیه وزارتخانه‌ها، مؤسسات، شرکت‌های دولتی، مؤسسات و نهادهای عمومی و غیردولتی، کلیه دستگاه‌هایی که شمول قانون بر آنها مستلزم ذکر نام و یا تصریح نام است یا قانون خاص دارند، ستاد کل نیروهای مسلح و همچنین سازمان نظام صنفی رایانه‌ای کشور اعلام شده است. طی این متن که در جلسه پنجاه و نهم مورخ ۱۳۹۸/۶/۹ شورای عالی به تصویب رسیده است موضوع «نظام هویت معتبر در فضای مجازی کشور» برای اجرا ابلاغ شده است. در ادامه به ارائه متن و جزئیات این سند می‌پردازیم.

مقدمه

برای هر نوع تعامل فنی، اقتصادی (پولی و مالی)، فرهنگی، اجتماعی، سیاسی و اداری میان اشخاص، گروه‌ها، اشیاء، خدمات، محتواها و مکان‌ها به هویت معتبر نیاز بوده و شکل گیری نظام قابل اطمینان برای هویت در فضای مجازی کشور ضروری است. در این نظام برای حصول اطمینان، بسته به نوع تعامل، دو دسته اطلاعات هویت ذاتی و اکتسابی موجودیت‌ها لازم بوده و برای تأمین و تأیید آن‌ها، نقش‌آفرینی دو نهاد معتبر نیاز است؛ «تأمین کنندگان شناسه (مشابه ثبت‌احوال) که مسئولیت تأمین اطلاعات پایه هویتی موجودیت‌ها را در قالب شناسه‌های دائم یا موقت و واقعی یا مستعار بر عهده دارند» و «تأمین کنندگان صفت‌ها که مسئولیت اعتباربخشی به اطلاعات غیرپایه هویتی از قبیل مدرک تحصیلی و میزان اعتبار مالی را بر عهده دارند و صفات ادعایی را تأیید یا رد می‌کنند».

هدف از ایجاد این نظام، استقرار زیست‌بوم تأمین کننده زیرساخت تعاملات آزادانه، سالم، پویا، مسئولانه و سودمند با رعایت حقوق فردی و جمعی در روابط اجتماعی، اقتصادی، سیاسی و فناورانه بین انواع موجودیت‌ها در فضای مجازی است که زمینه لازم را برای توسعه کسب و کارهای دیجیتال، سامانه های فنی، رسانه های تعاملی و خدمات اداری ایجاد می‌کند و در آن، تأمین کنندگان شناسه‌ها و صفت‌ها با ارائه مجموع دو نوع اطلاع هویتی پایه و صفت‌ها، شناخت قابل اطمینان را برای طرفین تعامل فراهم می‌سازند.*

* سیتاد، راهکاری برای یکپارچه‌سازی، تجمیع و عرضه متمرکز وب‌سرویس‌های دولت به مردم و کسب‌وکارها می‌باشد. با استفاده از بازارچه API سیتاد، بستر لازم برای راه‌اندازی کسب‌وکارهایی فراهم می‌شود که نیازمند انبوهی از APIها از چندین سامانه مختلف هستند و می‌توانند تمامی آنها را به صورت یکپارچه از این سامانه دریافت کنند. در سیتاد، API خدمات الکترونیکی دستگاه‌های دولتی، بانک‌ها و هم‌چنین شرکت‌های خصوصی معتبر تجمیع و ارائه شده است که تنها با یک بار اتصال، امکان ارتباط با تمامی آنها فراهم می‌شود.

در همین راستا بازارچه سیتاد را می‌توان محلی جهت عرضه، فروش و خرید APIهای مورد نیاز توسعه‌دهندگان خدمات الکترونیکی دانست که با توجه به ماهیت مستقل در این سامانه، قابلیت به‌کارگیری در توسعه برنامه‌های کاربردی در پلتفرم‌های تحت وب، نرم‌افزارهای تلفن‌های هوشمند، نرم‌افزارهای قابل نصب روی کامپیوتر و غیره را فرآهم می‌سازد.

ماده۱ـ تعاریف

۱ ـ۱ـ موجودیت: هر شخص، گروه، شیء، خدمت، محتوا و مکان که به صورت مستقل قابل شناسایی باشد؛

۱ـ۲ـ شناسه: کدی که برای ارجاع به اطلاعات هویتی پایه یک موجودیت واحد استفاده می‌شود؛

۱ـ۳ـ صفت: مشخصه یا کیفیت انتسابی یا اکتسابی موجودیت که در طول زمان تغییر می‌کند؛

۱ـ۴ـ اطلاعات پایه هویتی: اطلاعات شناسنامه‌ای موجودیت‌ها شامل نسبت‌های پایه بین آن‌ها که به ندرت دچار تغییر می‌شوند؛

۱ـ ۵ ـ هویت دیجیتالی: مجموعه ای از اطلاعات پایه هویتی و صفت‌ها که معرف یک موجودیت واحد است؛

۱ـ۶ ـ تأمین کننده شناسه: نهادی که برای انواع تعاملات، اطلاعات‌پایه هویتی قابل استنادی از موجودیت‌ها را گواهی می‌کند و مسئولیت ثبت و راستی آزمایی هویت واقعی موجودیت‌ها، تخصیص شناسه و صدور گواهی‌نامه هویت برای آن‌ها و در برخی تراکنش‌ها، احراز هویت آن‌ها را بر عهده دارد؛

۱ـ۷ـ تأمین‌کننده صفت‌ها: موجودیتی که در تعاملات، اعتبار صفت‌های موجودیت‌ها را گواهی می‌کند؛

۱ـ ۸ ـ چارچوب مبادله قابل اعتماد: سازوکار ارتباط امن و قابل اعتماد بین موجودیت‌ها و تأمین‌کنندگان شناسه و صفت‌ها در زیست بوم است؛

۱ـ۹ـ لایه کاربرد: لایه‌ای که در آن خدماتی فراتر از خدمات ارتباطی ثابت و سیار و خدمات میزبانی ارائه می‌شود.

ماده۲ـ الزامات زیست‏بوم هویت معتبر در فضای مجازی

۲ـ۱ـ تأمین مقیاس مورد نیاز برای انواع کاربردها با قابلیت گسترش در کاربردهای آتی؛

۲ـ۲ـ تأمین سطوح اعتبار و اعتماد در تأمین اطلاعات هویت دیجیتالی به تناسب نوع تعامل؛

۲ـ۳ـ صیانت از حریم خصوصی اشخاص و حقوق عمومی جامعه؛

۲ـ۴ـ تناسب میان میزان اطلاعات ارائه شده از هر موجودیت با نوع تعامل با رعایت اختیار یا آگاهی موجودیت‌ها؛

۲ـ ۵ ـ تأمین ادله دیجیتال در ثبت و اعطای شناسه‌ها و گواهی ها و اعتباربخشی صفت‌ها؛

۲ـ۶ ـ رعایت امنیت اطلاعات هویت دیجیتالی و تناسب آن با نوع تعامل از طریق ایجاد چارچوب مبادله قابل اعتماد و اعطای گواهی موثق؛

۲ـ۷ـ مرتبط بودن اطلاعات هویتی پایه فضای مجازی با فضای فیزیکی؛*

* با توجه به اینکه افراد در فضای مجازی مدارک مکتوب ارائه نمی‌کنند و برای دریافت خدمات در فضای مجازی، در نهاد ذیربط حاضر نیستند، بنابراین تصدیق هویت افراد از طریق اسناد سجلی ممکن نیست و برای کسب اطمینان از صحت اطلاعات مندرج در فضای مجازی، ارگان‌های دولتی و کسب‌وکارها از سرویس‌های استعلام هویتی استفاده می‌کنند. سرویس استعلام هویتی ثبت‌احوال از طریق بازارچه API سیتاد در دسترس است.

۲ـ ۸ ـ اتکاپذیری، تاب‌آوری، ماندگاری، کاربری آسان، ساده بودن ساختار و تعامل‌پذیری میان اجزاء زیست بوم؛

۲ـ۹ـ تضمین صحت، تمامیت، اعتبار، انکارناپذیری و استناد پذیری هویت موجودیت‌های فضای مجازی به تناسب نوع تعامل؛ ثبت احوال و سببی نسبی

۲ـ۱۰ـ افزایش شفافیت و کاهش گمنامی در فضای مجازی؛

۲ـ۱۱ـ ارتقاء و استمرار فرآیندهای احراز هویت در فضای مجازی*.

*سرویس شاهکار مخفف شبکه احراز هویت کاربران، سامانه متصل کننده اپراتور و مراجع تطبیق‌دهنده هویتی است، طوریکه اگر هر یک از اپراتورها بخواهند سرویس جدیدی را به مشترکین خود ارائه دهند حتماً باید هویت آنها را بررسی کنند، این سامانه به اپراتور کمک می‌کند تا هویت مشتری یا فرد مورد نظر را از نظر حقیقی، حقوقی، تابعیت و اطلاعاتی از این دست بررسی کند. شرکت سیتاد، سرویس شاهکار را هم از طریق گذرگاه خدمات دولت (GSB) و هم از طریق گذرگاه عمومی خدمات دولت (PGSB) به دستگاه‌های اجرایی و کسب‌وکارهای مورد تأیید سازمان تنظیم مقررات و ارتباطات رادیویی ارائه می‌کند.

ماده۳ـ خطوط اجرایی

۳ـ۱ـ هر تعاملی در فضای مجازی کشور باید با شناسه معتبر آغاز شود؛

۳ـ۲ـ همه عوامل ذی نقش در یک تعامل مسئول عملکرد خود هستند؛

۳ـ۳ـ موجودیت‌ها در شبکه ملی اطلاعات و هر شبکه دیگری که درون یا مرتبط با آن قرار می‌گیرند، باید هویت احراز شده داشته باشند؛ کلیه سرویس ها

۳ـ۴ـ چنانچه موجودیتی امکان تغییر شناسه را فراهم کند، باید امکان نگاشت شناسه قبل و بعد از تغییر را برای تأمین کننده شناسه مرتبط فراهم کند؛

۳ـ ۵ ـ کلیه ارائه دهندگان خدمات فنی، اقتصادی (پولی و مالی)، فرهنگی، اجتماعی، سیاسی و اداری در کشور باید در چارچوب و منطبق بر نظام هویت معتبر در فضای مجازی کشور فعالیت و از پذیرش و گذردهی تعامل‌های فاقد هویت معتبر اجتناب کنند؛

۳ـ۶ ـ امکان نگاشت بین شناسه های متنوع هر یک از عوامل دخیل در یک تعامل در لایه‌های مختلف ارتباطی، خدماتی، کاربری و محتوایی باید برای تأمین‌کننده شناسه مرتبط فراهم و هر تعامل در فضای مجازی کشور، بی واسطه یا باواسطه، به شخصی منحصر به فرد منتهی شود؛

۳ـ۷ـ هر گونه اقدام یا مشارکت در اختفاء یا جعل هویت از جمله عرضه ابزار و خدمات مرتبط ممنوع است؛

۳ـ ۸ ـ مسئولیت جبران خسارت ناشی از نقص الزامات و خطوط اجرایی موضوع مواد ۲ و ۳ این نظام، در چارچوب قوانین جاری کشور بر عهده تأمین‌کننده شناسه و یا ارائه‌دهنده خدمت نقض‌کننده آن‌ها است؛

۳ـ ۹ـ مرکز ملی فضای مجازی با همکاری قوای مجریه و قضاییه، ظرف مدت شش ماه از تاریخ ابلاغ این مصوبه، پیش‌نویس مقررات و لوایح قانونی لازم برای استقرار نظام هویت معتبر در فضای مجازی کشور را تهیه کند؛

۳ـ۱۰ـ مرکز ملی فضای مجازی گزارشی از اجرای این مصوبه را هر شش ماه یک بار به شورای عالی فضای مجازی ارائه کند.

ماده۴ـ نگاشت نهادی

۴ـ۱ـ وزارت ارتباطات و فناوری اطلاعات تأمین‌کننده شناسه در لایه ارتباطی کشور بوده و مسئولیت تنظیم مقررات و اتخاذ تمهیدات لازم برای اجرای موارد ذیل را بر عهده دارد:

۴ـ۱ـ۱ـ احراز هویت متقاضیان و مشترکین داخلی و خارجی خدمات ارتباطی ثابت و سیار و خدمات میزبانی؛

۴ـ۱ـ۲ـ احراز هویت برخطِ موجودیت‌های بهره‌بردار خدمات عمومی ارتباطی ثابت و سیار و خدمات میزبانی؛*

*سرویس سماوا در راستای اجرای مصوبه «نظام هویت معتبر در فضای مجازی» ایجاد و پیاده‌سازی شده است. این سرویس به ‌نوعی درگاه واحد هویت معتبر در فضای مجازی است. سرویس سماوا، در صورت اخذ مجوز از دستگاه سرویس دهنده، از طریق بازارچه API سیتاد در دسترس است.

۴ـ۱ـ۳ـ ساماندهی و مدیریت نشانی‌های پروتکل اینترنت و نامه‌ای دامنه در سطح ملی.

۴ـ۲ـ مرکز ملی فضای مجازی به منظور ایجاد زیست بوم هویت فضای مجازی کشور در خصوص موارد زیر اقدام کند:

۴ـ۲ـ۱ـ احصای فهرست تأمین‌کنندگان شناسه “لایه کاربرد”، برای ثبت، اعطای شناسه و گواهی به کلیه موجودیت‌های آن لایه با استفاده از ظرفیت موجود اجرایی و ارائه نگاشت نهادی پیشنهادی به شورای عالی فضای مجازی؛

۴ـ۲ـ۲ـ تنظیم و ابلاغ طرح تحول و برنامه ملی هویت فضای مجازی؛

۴ـ۲ـ۳ـ تصویب و ابلاغ ضوابط و مقررات عمومی زیست بوم هویت فضای مجازی؛

۴ـ۲ـ۴ـ نظارت بر حسن اجرای تعهدات تأمین‌کنندگان شناسه و تأمین کنندگان ملی صفت‌ها.

۴ـ۳ـ وزارت ارتباطات و فناوری اطلاعات به منظور استقرار زیست‌بوم هویت فضای مجازی کشور و در چارچوب ضوابط و مقررات عمومی ابلاغی موضوع بند ۴ـ۲ـ۳، نسبت به تعیین حوزه مشخص و متمرکز برای «هماهنگی و برنامه ریزی ملی هویت فضای مجازی» با وظایف و اختیارات زیر اقدام کند :

۴ـ۳ـ۱ـ تدوین پیش‌نویس طرح تحول و برنامه ملی هویت فضای مجازی ظرف مدت سه ماه از تاریخ ابلاغ این مصوبه و ارائه به مرکز ملی فضای مجازی برای تنظیم و ابلاغ؛ در این طرح باید تأمین‌کنندگان ملی صفت‌ها در حوزه‌های مختلف و نگاشت نهادی آن‌ها و نیز خدمات کاربردی مبتنی بر احراز هویت خدمات ارتباطی تعیین و مشخص ‌شوند؛

۴ـ۳ـ۲ـ استقرار چارچوب تعامل‌پذیری بین تأمین کنندگان شناسه، صفت‌ها و دیگر موجودیت‌ها؛ برای دوره گذار سه‌ساله، از طریق درگاه واحد بین تأمین‌کنندگان شناسه و تأمین‌کنندگان صفت‌ها، خدمات ارائه می‌شود؛

۴ـ۳ـ۳ـ ارائه گزارش فصلی از اقدامات و پیشرفت کار به مرکز ملی فضای مجازی.

۴ـ۴ـ تأمین کنندگان شناسه و تأمین کنندگان ملی صفت‌ها باید ظرف مدت سه ماه از تاریخ ابلاغ طرح تحول و برنامه ملی هویت فضای مجازی موضوع بند ۴ـ۲ـ۲، برنامه خود را تدوین و برای تصویب به مرکز ملی فضای مجازی ارائه کنند.