Одной из важнейших правовых проблем, связанных с цифровой информацией является сложность определения участвующих в них лиц. Доступ к цифровой информации может происходить, во-первых, на большом расстоянии и, во-вторых, через посредника, которым служит техническая инфраструктура. В результате доступ может быть анонимным. Кроме того невозможность идентификации лица без его согласия рассматривается в цифровом пространстве как ценность. Она лежит в основе многих цифровых технологий, например, операций с алгоритмическими криптовалютами. Они проходят без идентификации лиц, сторонам не обязательно иметь достоверные сведения о личностях участников транзакций. Операции с криптовалютой являются необратимыми – передав криптовалюту, невозможно требовать ее возврата, поэтому идентификация избыточна. Также возможно использование технических средств для маскировки пользователя – VPN, прокси-серверов и пр.
При этом право основано на принципе формальной определенности, требующем, чтобы права и обязанности возникали у определенного лица. Это характерно как для публичного, так и для частного права. Например, законодательство о противодействии легализации доходов, полученных преступным путем, обязывает банки проводить банковские операции только с лицами, в отношении которых проведена надлежащая идентификация. Ст. 19 Гражданского кодекса РФ также устанавливает, что гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и имя, а также отчество, если иное не вытекает из закона или национального обычая. Приобретение прав и обязанностей под именем другого лица не допускается.
Для определения субъектов цифровых отношений в Законе о информации предусмотрены процедуры идентификации и аутентификации. Идентификация – это мероприятия по установлению сведений о лице и сопоставлению данных сведений с идентификатором – уникальным обозначением, необходимым для определения такого лица. Аутентификация – проверка лица на принадлежность ему идентификатора и установление правомерности владения им, в результате чего лицо считается установленным. Эта терминология получила развитие в национальных стандартах ГОСТ Р 58833 – 2020 “Защита информации. Идентификация и аутентификация. Общие положения” и ГОСТ Р 70262.1-2022 “Защита информации. Идентификация и аутентификация. Уровни доверия идентификации”.
При определении участников цифровых правоотношений важны оба процесса: в результате выполнения идентификации выявляется уникальный идентификатор, однозначно определяющий этого субъекта в информационной системе. Например, адрес электронной почты, который выбран пользователем при регистрации в почтовом сервисе. В дальнейшем при необходимости доступа к информации субъект проходит процедуру аутентификации. Например в форме проверки соответствия введенного пользователем пароля к учётной записи паролю в базе данных почтового сервиса. Если аутентификация успешна, система определяет субъекта в качестве носителя прав и обязанностей.
Важно понимать, что абсолютно надежная идентификация и аутентификация человека в цифровом мире технологически невозможна. Пара логин – пароль может быть скомпрометирована (перехвачена), электронный ключ похищен, изображение радужной оболочки глаза подменено качественной копией. Биометрия также не дает стопроцентного результата. Существует теоретическая вероятность совпадения данных, принадлежащих разным людям. На практике при аутентификации пользователей ограничиваются не абсолютным, а лишь относительным уровнем достоверности доказательства установления личности. Поэтому существует лишь оспоримая юридическая презумпция (предположение) о принадлежности цифровых прав и обязанностей определенному лицу.
Современный уровень развития техники позволяет выделить три типа факторов аутентификации человека.
Во-первых, «то, что знаю» или фактор знания. Таким фактором может быть разделяемый секрет – многоразовые и одноразовые пароли, правила преобразования информации.
Во-вторых, «то, что имею» (фактор владения) , в данном случае имеются в виду аппаратные аутентификаторы, USB – устройства, смартфоны со специальным приложением.
Третий фактор – «то, чем являюсь». Им могут быть биологические и физиологические признаки человека, которые применяются для биометрической идентификации.