3.3. Идентификация и аутентификация субъектов цифровых правоотношений

Особенностью цифровых правоотношений является сложность определения участвующих в них лиц. Доступ к цифровой информации обычно происходит, во-первых, на расстоянии и, во-вторых, через посредника, которым служит техническая инфраструктура. В результате доступ может быть анонимным. Кроме того невозможность идентификации лица без его согласия рассматривается в цифровом пространстве как ценность. Она лежит в основе многих цифровых технологий, например криптовалют. Операции с криптовалютой проходят без идентификации лиц, сторонам не обязательно иметь достоверные сведения друг о друге. Операции с криптовалютой являются необратимыми, передав криптовалюту, невозможно требовать ее возврата, поэтому идентификация избыточна. Также возможно использование технических средств для маскировки пользователя — VPN, прокси-серверов и пр. 

При этом право основано на принципе формальной определенности, требующем, чтобы права и обязанности возникали у определенного лица. Это характерно как для публичного, так и для частного права. Например, законодательство о противодействии легализации доходов, полученных преступным путем, обязывает банки проводить банковские операции только с лицами, в отношении которых проведена надлежащая идентификация. Ст. 19 Гражданского кодекса РФ также устанавливает, что  гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и имя, а также отчество, если иное не вытекает из закона или национального обычая. Приобретение прав и обязанностей под именем другого лица не допускается.

Для решения проблем определения субъектов цифровых отношений в Законе о информации предусмотрены понятия идентификации и аутентификации. Идентификация – это мероприятия по установлению сведений о лице и сопоставлению данных сведений с идентификатором – уникальным обозначением, необходимым для определения такого лица. Аутентификация – проверка лица на принадлежность ему идентификатора и установление правомерности владения им, в результате чего лицо считается установленным.

Важны оба этих процесса: в результате выполнения идентификации выявляется уникальный идентификатор, однозначно определяющий этого субъекта в информационной системе. Например, адрес электронной почты, который выбран пользователем при регистрации в почтовом сервисе. В дальнейшем при необходимости доступа к информации субъект проходит процедуру аутентификации. Например в форме проверки соответствия введенного пользователем пароля к учётной записи паролю в базе данных почтового сервиса. Если аутентификация успешна, система определяет субъекта в качестве носителя прав и обязанностей.

Важно понимать, что абсолютно надежная идентификация и аутентификация человека в цифровом мире технологически невозможна. Пара логин-пароль может быть скомпрометирована (перехвачена), электронный ключ похищен, изображение радужной оболочки глаза подменено качественной копией. Биометрия также не дает стопроцентного результата. Существует теоретическая вероятность совпадения данных, принадлежащих разным людям. На практике при аутентификации пользователей ограничиваются не абсолютным, а лишь относительным уровнем достоверности доказательства установления личности.  Поэтому существует лишь оспоримая юридическая презумпция (предположение) о принадлежности цифровых прав и обязанностей  определенному лицу.