Bild: Digital Transformation Agency
Den federala regeringen har släppt ett exponeringsutkast för lagstiftning som syftar till att utvidga tillämpningen av Australiens federala digitala identitetssystem till statliga och territoriella regeringar och den privata sektorn.
Inledandet av arbetet med lagstiftningen, kallad Trusted Digital Identity Bill 2021, följer Digital Transformation Agency (DTA) som har spenderat år på att utveckla Australiens Trusted Digital Identity Framework (TDIF), vilket så småningom ledde till myGovID-utvecklat av Australian Taxation Office- och en motsvarande identitetstjänst från Australia Post som går live 2019.
Medan den federala regeringen redan har TDIF på plats är den endast tillämplig på federala myndigheter – den kan inte tillämpas på stater och territorier eller på den privata sektorn, varför den federala regeringen har påbörjat arbetet med denna lagstiftning.
Med tanke på propositionens exponeringsutkast [PDF], försöker den federala regeringen formellt att införa två frivilliga system för enheter som vill tillhandahålla eller förlita sig på digitala identitetstjänster: Ett federalt regeringsstyrt digitalt identitetssystem och ett nytt ackrediteringssystem som kommer att baseras på det befintliga TDIF -systemet.
“Båda systemen innebär olika fördelar och regleringsnivåer som kommer att påverka ett företags val att delta i det betrodda digitala identitetssystemet, vara ackrediterat eller inte heller,” sa DTA.
Enligt propositionen skulle den federala regeringen, statliga och territoriella regeringar, australiensiska företag och utländska företag registrerade hos Australian Securities and Investments Commission (ASIC) ha rätt att ansöka om anslutning till de två digitala identitetssystemen.
Förutom att formalisera de två systemen, försöker lagstiftningen implementera en ny tillsynsmyndighet som kommer att ansvara för att besluta vilken enhet som får vara ombord.
De överväganden som denna nya myndighet skulle behöva väga under den processen är om företaget kommer att kunna följa de tekniska standarder som gäller för det. om enheten är en lämplig person har denna enhet några nationella säkerhetsproblem? och om det är lämpligt att godkänna enheten.
Exponeringsutkastet anger inte om denna enhet skulle vara inrymd inom regeringen eller vara en oberoende enhet.
Enheter som försöker gå in i något av de två systemen skulle bedömas av tillsynsmyndigheten, men de enheter som vill gå med i TDIF -ackrediteringssystemet skulle bedömas med en högre kravgräns. Dessa inkluderar att ha en utsedd sekretessansvarig och “sekretessmästare”, en systemsäkerhetsplan och möjligheten att genomföra riskbedömningar av digitala identitetsbedrägerier. TDIF -ackrediteringssystemet kommer också att kräva att enheter utför flera tekniska tester som en del av ackrediteringen, enligt exponeringsutkastet.
Nya integritetsskydd som skiljer sig från sekretesslagen är också en del av lagförslagets exponeringsutkast. Dessa nya skydd skulle, om de godkändes, förbjuda enheter från dataprofilering, använda enstaka identifierare, avslöja begränsad information om inte uttryckligt samtycke ges och avslöja biometrisk information till olika organisationer, till exempel brottsbekämpning.
I exponeringsutkastet anges också att en ackrediterad identitetstjänstleverantör måste, om en person begär det, inaktivera individens digitala identitet så snart som möjligt efter att ha mottagit begäran.
Även om den nya lagstiftningen, om den antas i sin nuvarande status, har en egen uppsättning av sekretessskydd, kommer sekretesslagen fortfarande att gälla enheter inom de två systemen, enligt exponeringsutkastet. Till exempel, om en enhet som ingår i de digitala identitetssystemen drabbas av ett dataintrång, skulle det vara nödvändigt att meddela individer som är inblandade i ett dataintrång som sannolikt kommer att leda till “allvarlig skada” enligt systemet för anmälningsbara dataintrång (NDB) .
Tillämpningen av dessa sekretessregler skulle ligga under informationskommissionärens uppdrag, och kommissionsledamoten kan straffa företag eller statliga enheter upp till 333 000 USD om lagens integritetsskydd bryts.
I meddelandet av lagförslagets exponeringsutkast sade ministern som är ansvarig för digital transformation Stuart Robert att den federala regeringen skulle samarbeta med intresserade parter och designa propositionen tillsammans med industrin.
Den federala regeringen söker inlagor om exponeringsutkastet till den 27 oktober.
Eftersom lagstiftningen fortsätter att utvecklas av regeringen har den privata sektorn börjat utveckla digitala identitetslösningar för att möta kundernas efterfrågan. Tidigare i veckan blev Eftpos den första ackrediterade icke-statliga operatören av ett digitalt identitetsutbyte under TDIF genom sin connectID-teknik. Sedan förra året har Eftpos testat connectID med 20 “välkända” australiska märken, inklusive Australia Post och Yoti.
Mastercard arbetar också separat med DTA för att se hur den förra digitala identitetstjänsten skulle kunna göra det möjligt för australierna att digitalt verifiera sin ålder och identitet. Som en del av samarbetet undersöker Mastercard en serie privata sektorledda piloter och vilken inverkan dess digitala verifieringstjänst kan ha på detaljhandels- och konsumentupplevelser och förväntningar online.
Relaterad täckning
Mastercard och DTA för att omfatta digital ID -tjänst för åldersverifiering Eftpos skickar connectID digital identitetslösning live
Australiens digitala vaccinationscertifikat för resor klara om två till tre veckor
Eftpos beviljade statlig ackreditering som första privata ID -utbytesoperatör
Australien att öppna digitalt ID -system för den privata sektorn med samråd om ny lagstiftning
Forskare vill att Australiens digitala ID -system kastas ut och designas om från början
Relaterade ämnen:
Australien CXO Digital Transformation Tech Industry Smart Cities Cloud