Billede: Digital Transformation Agency
Den føderale regering har offentliggjort et udkast til eksponering for lovgivning, der søger at udvide anvendelsen af Australiens føderale digitale identitetssystem til statslige og territoriale regeringer og den private sektor.
Påbegyndelse af arbejdet med lovgivningen, kaldet Trusted Digital Identity Bill 2021, følger Digital Transformation Agency (DTA), der har brugt år på at udvikle Australiens Trusted Digital Identity Framework (TDIF), som til sidst førte til myGovID-udviklet af Australian Taxation Office- og en tilsvarende identitetstjeneste fra Australia Post, der går live i 2019.
Selvom den føderale regering allerede har TDIF på plads, er den kun gældende for føderale regeringsenheder – den kan ikke anvendes på stater og territorier eller på den private sektor, hvorfor den føderale regering har påbegyndt arbejdet med denne lovgivning.
Når man ser på lovforslagets eksponeringsudkast [PDF], søger forbundsregeringen formelt at fastlægge to frivillige ordninger for enheder, der ønsker at levere eller stole på digitale identitetstjenester: Et føderalt regeringsstyret digitalt identitetssystem og et nyt akkrediteringsordning, der vil være baseret på det eksisterende TDIF -system.
“Begge ordninger indebærer forskellige fordele og niveauer af regulering, som vil påvirke en virksomheds valg om at deltage i det pålidelige digitale identitetssystem, blive akkrediteret eller ingen af dem,” sagde DTA.
I henhold til lovforslaget vil den føderale regering, stats- og territorieregeringer, australske virksomheder og udenlandske virksomheder, der er registreret hos Australian Securities and Investments Commission (ASIC), være berettiget til at ansøge om at blive medlem af de to digitale identitetssystemer.
Ud over at formalisere de to ordninger søger lovgivningen at implementere en ny tilsynsmyndighed, der skal være ansvarlig for at beslutte, hvilken enhed der må være ombord.
De overvejelser, som denne nye myndighed skal afveje under denne proces, er, om virksomheden vil være i stand til at overholde de tekniske standarder, der gælder for den; om enheden er en egnet og ordentlig person frembyder denne enhed nogen nationale sikkerhedsproblemer og om det er hensigtsmæssigt at godkende enheden.
Eksponeringsudkastet angiver ikke, om denne enhed vil blive placeret i regeringen eller være en uafhængig enhed.
Enheder, der forsøger at komme ind i en af de to ordninger, ville blive vurderet af tilsynsmyndigheden, men de enheder, der ønsker at slutte sig til TDIF -akkrediteringsordningen, ville blive vurderet med en højere kravstærskel. Disse omfatter at have en udpeget fortrolighedsmedarbejder og “fortrolig person”, en systemsikkerhedsplan og evnen til at foretage risikovurderinger af digital identitetsbedrageri. TDIF -akkrediteringsordningen vil også kræve, at enheder foretager flere tekniske test som en del af akkreditering ifølge eksponeringsudkastet.
Nye beskyttelse af fortrolige oplysninger, der er adskilt fra dem i lov om privatlivets fred, er også en del af lovforslagets eksponeringsudkast. Disse nye beskyttelser ville, hvis de blev vedtaget, forbyde enheder fra dataprofilering, ved hjælp af enkeltidentifikatorer, afsløre begrænsede oplysninger, hvis der ikke gives udtrykkeligt samtykke, og videregive biometriske oplysninger til forskellige organisationer såsom retshåndhævelse.
Eksponeringsudkastet siger også, at en akkrediteret identitetstjenesteudbyder, hvis en person anmoder om det, skal deaktivere den enkeltes digitale identitet hurtigst muligt efter modtagelsen af anmodningen.
Selvom den nye lovgivning, hvis den er vedtaget i sin nuværende tilstand, har sit eget sæt af beskyttelse af fortrolige oplysninger, vil loven om fortrolighed stadig gælde for enheder inden for de to ordninger, fremgår det af udkastet til eksponering. For eksempel, hvis en enhed, der er en del af de digitale identitetssystemer, lider af et databrud, ville det være påkrævet at underrette personer, der er involveret i et databrud, der sandsynligvis vil resultere i “alvorlig skade” i henhold til ordningen for anmeldelsespligtige databrud (NDB) .
Håndhævelse af disse privatlivsregler vil være underlagt kommissæren for informationer, hvor kommissæren kan straffe virksomheder eller offentlige enheder op til 333.000 AU $, hvis lovforslagets beskyttelse af fortrolige oplysninger overtrædes.
I meddelelsen af lovforslagets eksponeringsudkast sagde ministeren med ansvar for digital transformation Stuart Robert, at den føderale regering ville engagere sig med interesserede parter og designe lovforslaget sammen med industrien.
Den føderale regering søger indlæg om eksponeringsudkastet indtil den 27. oktober.
Da lovgivningen fortsat udvikles af regeringen, er den private sektor begyndt at udvikle digitale identitetsløsninger for at imødekomme kundernes efterspørgsel. Tidligere på ugen blev Eftpos den første akkrediterede ikke-statslige operatør af en digital identitetsudveksling under TDIF gennem sin connectID-teknologi. Siden sidste år har Eftpos piloteret connectID med 20 “kendte” australske mærker, herunder Australia Post og Yoti.
Mastercard arbejder også separat med DTA for at se, hvordan førstnævntes digitale identitetstjeneste kunne sætte australierne i stand til digitalt at verificere deres alder og identitet. Som en del af samarbejdet undersøger Mastercard en række private sektorledede piloter og den indvirkning, dens digitale verifikationstjeneste kan have på detailhandel og forbrugeroplevelser og forventninger online.
Relateret dækning
Mastercard og DTA til at omfatte digital ID -service til aldersbekræftelse Eftpos sender connectID digital identitetsløsning live
Australiens digitale vaccinationscertifikater til rejse klar om to til tre uger
Eftpos indrømmede regeringsakkreditering som første private ID -udvekslingsoperatør
Australien at åbne digitalt ID -system for privat sektor med høring om ny lovgivning
Forskere vil have Australiens digitale ID -system smidt ud og redesignet fra bunden
Relaterede emner:
Australien CXO Digital Transformation Tech Industry Smart Cities Cloud 