Bilde: Digital Transformation Agency
Den føderale regjeringen har offentliggjort et eksponeringsutkast for lovgivning som søker å utvide anvendelsen av Australias føderale digitale identitetssystem til statlige og territorielle myndigheter og privat sektor.
Arbeidet med lovgivningen, Trusted Digital Identity Bill 2021, begynner, etter at Digital Transformation Agency (DTA) har brukt mange år på å utvikle Australias Trusted Digital Identity Framework (TDIF), som til slutt førte til myGovID-utviklet av Australian Taxation Office- og en tilsvarende identitetstjeneste fra Australia Post som ble lansert i 2019.
Selv om den føderale regjeringen allerede har TDIF på plass, gjelder den bare for føderale regjeringsenheter – den kan ikke brukes på stater og territorier eller på privat sektor, og derfor har den føderale regjeringen påbegynt arbeidet med denne lovgivningen.
Når vi ser på lovforslagets eksponeringsutkast [PDF], søker den føderale regjeringen formelt å forankre to frivillige ordninger for enheter som ønsker å tilby eller stole på digitale identitetstjenester: Et føderalt regjeringsdrevet digitalt identitetssystem og et nytt akkrediteringsordning som vil være basert på det eksisterende TDIF -systemet.
“Begge ordningene innebærer forskjellige fordeler og reguleringsnivåer som vil påvirke et foretaks valg om å delta i det pålitelige digitale identitetssystemet, bli akkreditert eller ingen av dem,” sa DTA.
I henhold til lovforslaget vil føderale myndigheter, statlige og territorielle myndigheter, australske selskaper og utenlandske selskaper registrert i Australian Securities and Investments Commission (ASIC) være kvalifisert til å søke om å bli med i de to digitale identitetssystemene.
I tillegg til å formalisere de to ordningene, ønsker lovverket å implementere en ny tilsynsmyndighet som skal være ansvarlig for å bestemme hvilken enhet som skal tillates ombord.
Hensynene denne nye myndigheten må veie under denne prosessen er om enheten vil være i stand til å overholde de tekniske standardene som gjelder for den; om enheten er en egnet og skikkelig person; utgjør denne enheten noen nasjonale sikkerhetsproblemer; og om det er hensiktsmessig å godkjenne enheten.
Eksponeringsutkastet angir ikke om denne enheten vil bli plassert i regjeringen eller være en uavhengig enhet.
Enheter som prøver å gå inn i en av de to ordningene vil bli vurdert av tilsynsmyndigheten, men de enhetene som ønsker å bli med i TDIF -akkrediteringsordningen, vil bli vurdert med en høyere kravsterskel. Disse inkluderer å ha en utpekt personvernoffiser og “personvernmester”, en systemsikkerhetsplan og muligheten til å utføre risikovurderinger av digital identitetsbedrageri. TDIF -akkrediteringsordningen vil også kreve at foretak foretar flere tekniske tester som en del av akkreditering, ifølge eksponeringsutkastet.
Nye personvernbeskyttelser som er atskilt fra personvernloven er også en del av lovforslagets eksponeringsutkast. Disse nye beskyttelsene, hvis de blir vedtatt, vil forby enheter fra å profilere data, bruke enkeltidentifikatorer, avsløre begrenset informasjon hvis det ikke gis uttrykkelig samtykke, og avsløre biometrisk informasjon til forskjellige organisasjoner, for eksempel rettshåndhevelse.
Eksponeringsutkastet sier også at en akkreditert leverandør av identitetstjenester må, hvis en person ber om det, deaktivere individets digitale identitet så snart det er praktisk mulig etter at forespørselen er mottatt.
Selv om den nye lovgivningen, hvis den blir vedtatt i sin nåværende tilstand, har et eget sett med personvernbeskyttelse, vil personvernloven fortsatt gjelde for enheter innenfor de to ordningene, heter det i utkastet til eksponering. For eksempel, hvis en enhet som er en del av de digitale identitetssystemene lider av et databrudd, vil det være nødvendig å varsle enkeltpersoner som er involvert i et databrudd som sannsynligvis vil resultere i “alvorlig skade” i henhold til ordningen for meldbare datainnbrudd (NDB) .
Håndhevelse av disse personvernreglene vil ligge under Informasjonskommissærens oppgave, og kommisjonæren kan straffe selskaper eller offentlige enheter opp til 333 000 AU hvis lovens personvernforstyrrelser brytes.
I kunngjøringen av lovforslagets eksponeringsutkast sa ministeren med ansvar for digital transformasjon Stuart Robert at den føderale regjeringen ville engasjere seg med interesserte parter og sammen designe lovforslaget med industrien.
Den føderale regjeringen søker innspill om eksponeringsutkastet til 27. oktober.
Etter hvert som lovgivningen fortsetter å bli utviklet av regjeringen, har privat sektor begynt å utvikle digitale identitetsløsninger for å møte kundenes etterspørsel. Tidligere denne uken ble Eftpos den første akkrediterte ikke-statlige operatøren av en digital identitetsutveksling under TDIF gjennom sin connectID-teknologi. Siden i fjor har Eftpos pilotert connectID med 20 “kjente” australske merker, inkludert Australia Post og Yoti.
Mastercard jobber også separat med DTA for å se hvordan førstnevntes digitale identitetstjeneste kan gjøre det mulig for australiere å digitalt bekrefte alder og identitet. Som en del av samarbeidet undersøker Mastercard en serie private sektorledede piloter og hvilken innvirkning dens digitale verifikasjonstjeneste kan ha på forhandler og forbrukeropplevelser og forventninger på nettet.
Relatert dekning
Mastercard og DTA for å omfatte digital ID -tjeneste for aldersverifisering Eftpos sender connectID digital identitetsløsning live
Australias digitale vaksinasjonssertifikater for reiser klare om to til tre uker
Eftpos innvilget statlig akkreditering som første private ID -utvekslingsoperatør
Australia å åpne digitalt ID -system for privat sektor med konsultasjon om ny lovgivning
Forskere vil at Australias digitale ID -system skal kastes ut og redesignes fra bunnen av
Relaterte emner:
Australia CXO Digital Transformation Tech Industry Smart Cities Cloud