英国数字身份框架——可靠身份的基石

在当今科技驱动的时代，数字身份已成为必然。尤其是在新冠疫情肆虐的当下，人际交往似乎不再安全。个人和企业正转向数字化领域，以遵守社交距离规定，并采用更智能、更高效的方式。 身份验证最近，英国的数字身份信任框架引发了广泛的讨论，这完全合情合理。这项法律是英国在处理数字身份方面迈出的重要一步。   

构建数字格局治理框架

英国政府今年2月发布了一份名为“英国数字身份和属性信任框架该框架为创建和使用终端用户数字身份的实体制定了指导方针。遵循这些规则的公司将被授予特殊的“信任标志”，以确保其在公众中作为值得信赖的服务提供商的声誉。该框架由不同的公共和私营组织合作制定，旨在提出有效的数字身份原则。 

数字身份 

根据该框架，数字身份是个人在数字空间中的一种代表，使其能够在在线交易和互动中证明自己的身份。以下是法律允许创建的一些数字身份类型：

• 数字钱包是一种存储用户相关可信信息（也称为属性）的数字钱包。用户可以自行决定向谁披露个人数据以及何时披露。数字钱包包含的信息包括姓名、出生日期以及工作或居住权等。 
• 数字身份是一种允许以在线产品或服务形式进行身份验证的工具。例如，电子商务网站会要求买家在购买受年龄限制的商品之前验证年龄。在这种情况下，客户只需登录身份验证服务，该服务即可自动验证其同意年龄和身份信息，同时确保符合数据保护标准。 

Attributes    

可信框架将属性定义为提供特定个人或实体详细信息的片段信息。属性组合起来，即可构成完整的数字身份，用于验证数字交易。属性可以对应于个人的健康状况、银行信用记录，甚至是公司注册号。例如，个人的年龄、居住地址或邮政编码等都属于属性。 

参与实体指南

开发产品或提供与以下方面相关的服务的实体 数字身份 允许参与数字身份和属性信任框架的组织。各个组织以及参与身份验证方案的组织都需要履行以下角色，每个角色都对应着不同的职责。  

数据保护和最小化 

数字身份信任框架包含数据保护标准，这些标准是身份和属性服务提供商在开发产品和服务时必须遵守的强制性要求。这些措施的实施确保用户能够控制用于创建数字身份的个人信息。此外，用户还可以更好地管理自己的属性，并决定哪些组织拥有访问和共享其数据的权限。 

根据框架政策，用户有权仅共享必要信息，并限制对其余信息的访问。数据最小化标准基于GDPR中定义的“查看个人数据的权利”。此类数据共享的一个例子是，当用户访问有年龄限制的平台时，他们需要提供详细信息。 年龄验证利用数字身份，用户可以验证自己已达到法定年龄，而无需提供任何必要信息。 

遵守隐私协议

该信任框架要求参与实体遵守以下两项隐私合规标准：

• ISO/IEC 27701:2019 是 ISO/IEC 27001 的隐私扩展标准，它强调了个人身份信息 (PII) 控制者和处理者的访问控制权限，旨在降低消费者隐私风险。该标准由国际标准化组织 (ISO) 制定。 
• 英国标准组织 (BSI) 制定的 BS 10012:2017 标准是为服务提供商开发个人信息管理系统而制定的框架。  

除此之外，《数字身份信任框架》还指导合规实体创建自己的隐私合规基础设施，任命数据保护官 (DPO)，制定数据保护政策，并制定数据保护影响评估 (DPIA) 流程。  

用户同意与协议

企业在访问个人数字身份时，必须具备合法依据来说明如何使用这些信息。在告知用户数​​据共享和访问条款及条件后，必须获得用户的同意。该框架限制服务提供商将个人身份信息用于营销目的。数据主体——根据……可识别的自然人。 《通用数据保护条例》（GDPR） – 也有权根据其与[机构名称]的协议更新或删除与其数字身份对应的属性。 数字身份服务提供商. 

授予访问权限

根据相关准则，参与机构必须建立一套机制，使其客户能够了解哪些个人信息会被访问、共享以及用于哪些用途。数据应保持最新且无误，不得导致最终用户的数字身份出现任何歧义。 

数据保护主任

数字身份和属性信任框架要求组织指定一名正式的数据保护官 (DPO)。DPO 的职责包括确保满足英国《数字身份和属性信任框架》中列出的各项要求。 GDPR 第 39 条此外，建立数据保护流程也是确保符合 ISO/IEC 29100 标准的必要条件。    

关键精华

• 英国的数字身份信任框架规范了身份服务提供商如何处理个人的数字个人数据。  
• 该框架将数字身份定义为一系列属性（即用户信息）的集合，使个人能够在网络空间中进行互动。
• 参与该框架的实体必须确保数据保护和隐私标准，任命数据保护官 (DPO)，获得用户同意，并提供包容性和无障碍服务。