Идентификация и аутентификация субъектов информационных правоотношений

Идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с идентификатором.

Аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификаторов посредством сопоставления их со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификаторами посредством использования аутентифицирующих признаков в рамках процедуры аутентификации, в результате чего лицо считается установленным.

Эта терминология получила развитие в национальных стандартах ГОСТ Р 58833 – 2020 “Защита информации. Идентификация и аутентификация. Общие положения” и ГОСТ Р 70262.1-2022 “Защита информации. Идентификация и аутентификация. Уровни доверия идентификации”, а также используется в законодательстве Российской Федерации.

Упрощая, можно охарактеризовать идентификацию как установление личности, а аутентификацию - как подтверждение личности.

Системные правовые проблемы определения субъектов информационного правоотношения

Одной из важнейших правовых проблем, связанных с цифровой информацией является сложность определения участвующих в них лиц. Доступ к цифровой информации может происходить, во-первых, на большом расстоянии и, во-вторых, через посредника, которым служит техническая инфраструктура. В результате доступ может быть анонимным. Кроме того невозможность идентификации лица без его согласия рассматривается в цифровом пространстве как ценность. Она лежит в основе многих цифровых технологий, например, операций с алгоритмическими криптовалютами. Они проходят без идентификации лиц, сторонам не обязательно иметь достоверные сведения о личностях участников транзакций. Операции с криптовалютой являются необратимыми – передав криптовалюту, невозможно требовать ее возврата, поэтому идентификация избыточна. Также возможно использование технических средств для маскировки пользователя – VPN, прокси-серверов и пр.

В то же время право основано на принципе формальной определенности, требующем, чтобы права и обязанности возникали у определенного лица. Это характерно как для публичного, так и для частного права. Например, законодательство о противодействии легализации доходов, полученных преступным путем, обязывает банки проводить банковские операции только с лицами, в отношении которых проведена надлежащая идентификация. Ст. 19 Гражданского кодекса РФ также устанавливает, что  гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и имя, а также отчество, если иное не вытекает из закона или национального обычая. Приобретение прав и обязанностей под именем другого лица не допускается.

Для определения субъектов информационных отношений в Законе о информации предусмотрены процедуры идентификации и аутентификации.

При определении участников информационных правоотношений важны оба процесса: в результате выполнения идентификации выявляется уникальный идентификатор, однозначно определяющий этого субъекта в информационной системе. Например, адрес электронной почты, который выбран пользователем при регистрации в почтовом сервисе. В дальнейшем при необходимости доступа к информации субъект проходит процедуру аутентификации. Например в форме проверки соответствия введенного пользователем пароля к учётной записи паролю в базе данных почтового сервиса. Если аутентификация успешна, система определяет субъекта в качестве носителя прав и обязанностей.

Абсолютно надежная идентификация и аутентификация человека в цифровом мире технологически невозможна. Пара логин – пароль может быть скомпрометирована (перехвачена), электронный ключ похищен, изображение радужной оболочки глаза подменено качественной копией. Биометрия также не дает стопроцентного результата. Существует теоретическая вероятность совпадения данных, принадлежащих разным людям. На практике при аутентификации пользователей ограничиваются не абсолютным, а лишь относительным уровнем достоверности доказательства установления личности. 

Поэтому существует лишь оспоримая юридическая презумпция (предположение) о принадлежности информационных прав и обязанностей  определенному лицу.

Факторы аутентификации

Современный уровень развития техники позволяет выделить три типа факторов аутентификации человека^[1].

1. «то, что знаю» или фактор знания. Таким фактором может быть разделяемый секрет – многоразовые и одноразовые пароли, правила преобразования информации.
2. «то, что имею» (фактор владения), в данном случае имеются в виду аппаратные аутентификаторы, USB – устройства, смартфоны со специальным приложением.
3. «то, чем являюсь». Им могут быть биологические и физиологические признаки человека, которые применяются для биометрической идентификации.

Единая система идентификации и аутентификации

Для обеспечения санкционированного доступа к информации в государственных и иных информационных системах в России функционирует Федеральная государственная информационная система «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (ЕСИА).

Правовым основанием ЕСИА является Постановление Правительства РФ от 28 ноября 2011 г. № 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме"^[2].

Примечания