Kas yra elektroniniai atributų patvirtinimai (EAA)?

Trumpai apie svarbiausius faktus

• Apibrėžtis: EAA yra teisiškai saugūs skaitmeniniai savybių (pvz., amžiaus, profesinės kvalifikacijos, vairuotojo pažymėjimo) įrodymai, kurių autentiškumą patvirtina patikimi šaltiniai.
  
• Strateginė nauda: Tai leidžia patikrinti konkrečius faktus neatskleidžiant visos tapatybės (selektyvus atskleidimas – pvz., “pilnametis” vietoj tikslios gimimo datos).
  
• Integracija į EUDI piniginę: EAA yra pagrindinis būsimos Europos skaitmeninės piniginės turinys.

• Sąveikumas: EAA veikia tarpvalstybiniu mastu visoje ES tiek valdžios institucijų, tiek privačių bendrovių labui.

_______________________________________________________________

Priėmus eIDAS 2.0 reglamentą ir EUDI piniginę (Europos skaitmeninės tapatybės piniginę), keičiasi mūsų tapatybės įrodymo būdas. Anksčiau pagrindinis klausimas buvo: “Kas tu esi?”. Ateityje daugiausia dėmesio bus skiriama klausimams: “Ką jūs turite teisę daryti?”, “Kokią kvalifikaciją turite?” arba “Kuo jūs išsiskiriate?”.

Elektroniniai atributų patvirtinimai (EAA) yra skaitmeninis atsakymas į šiuos klausimus. Tai mūsų analoginių pažymėjimų – nuo vairuotojo pažymėjimų iki diplomų – perkėlimas į skaitmeninį pasaulį.

Kas yra atributas?

Prieš pradėdami kalbėti apie technologiją, paaiškinkime terminą: atributas – tai savybė arba charakteristika, apibūdinanti asmenį arba organizaciją (subjektą). Galite jį įsivaizduoti kaip dėlionės detalę, kuri sudaro bendrą tapatybės vaizdą.

Atributai apima labai daug informacijos:

• Asmens identifikavimo duomenys (PID): Jūsų vardas, pavardė, gimimo vieta arba pilietybė.
  
• Profesinės savybės: Akademiniai titulai, profesiniai vardai arba oficialios licencijos.
  
• Teisės ir leidimai: Konkretūs įgaliojimai, pvz., įgaliojimai pasirašyti įmonėje arba vairuotojo pažymėjimas.

Šuolis į skaitmeninį pasaulį

Skaitmeninės tapatybės kontekste atributai naudojami siekiant neabejotinai įrodyti savybes internete , fiziškai nedalyvaujant. Skiriamos dvi kategorijos:

1. Statiniai atributai: Jūsų gimimo data: informacija, kuri (beveik) niekada nesikeičia, pvz., gimimo data.
   
2. Dinaminiai atributai: Jūsų dabartinis registracijos adresas, dabartinis profesinis statusas arba amžius.

Kad šie atributai būtų laikomi patikimais internete, jie turi būti gaunami iš saugaus šaltinio, pavyzdžiui, iš valstybinių registrų, švietimo įstaigų ar sertifikuotų institucijų. Tik toks skaitmeninis patvirtinimas paprastą atributą paverčia patikimu įrodymu (EAA), kurį galite naudoti identifikuodami save interneto paslaugoms.

Kas yra elektroniniai atributų patvirtinimai?

Todėl EAA yra skaitmeninis duomenų įrašas, patvirtinantis vieną ar daugiau asmens požymių, kurį elektroniniu parašu arba antspaudu pasirašė kvalifikuotas arba nekvalifikuotas patikimumo užtikrinimo paslaugų teikėjas (TSP).

Esminis skirtumas: klasikine eID dažnai perduodamas visas duomenų įrašas, o EAA pateikiama konkreti informacija. Kvalifikuotas elektroninis atributų patvirtinimas (KEAA) turi didžiausią įrodomąją vertę, nes jį išduoda valstybės prižiūrimi paslaugų teikėjai.

3 atestatų tipai pagal eIDAS 2.0

Ne kiekvienas skaitmeninis sertifikatas turi vienodą teisinę galią. Siekdama užtikrinti sąveiką visoje Europoje, ES apibrėžia tris konkrečias atributinių sertifikatų kategorijas. Jie pirmiausia skiriasi pagal išdavėją ir teisinę galią:

1. Savarankiškai išduoti atributai (savarankiškai patvirtinti): Pristatymo adresas). Jie praktiški formoms, tačiau neturi oficialios įrodomosios vertės.
   
2. Elektroniniai liudijimai (EAA): juos išduoda patikrinti šaltiniai. Jie pasirašyti skaitmeniniu parašu ir yra gerokai saugesni už įprastus dokumentus. (EAA apima EAA ir PuB-EAA).
   
3. Kvalifikuoti elektroniniai liudijimai (QEAA): aukščiausias lygis . Juos išduoda valstybės prižiūrimi kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai (QTSP). QEAA teisiškai prilygsta popieriniam dokumentui su oficialiu antspaudu ir yra pripažįstamas visoje ES.

Tipas	Dėmesio centre ir leidėjas	Patikimumo lygis ir įrodomoji vertė	Duomenų šaltinis	Praktinis pavyzdys
Q-EAA ( kvalifikuotas)	Valstybinis sertifikatas: Išduoda kvalifikuotos patikimumo užtikrinimo tarnybos (QTSP).	Didžiausia: pripažinimo pareiga visoje ES ir didžiausia įrodomoji vertė teisme.	Oficialūs dokumentai arba suverenūs duomenys.	akademiniai laipsniai, medicinos licencijos arba notariniai aktai.
EAA ( nekvalifikuota)	Privatus sektorius: išduoda įmonės arba organizacijos.	Lankstumas: teisinis pripažinimas priklauso nuo konteksto (pvz., bendrosios sąlygos).	Bet kuris šaltinis (atsižvelgiant į verslo poreikius).	Skaitmeniniai darbuotojų pažymėjimai, klientų kortelės ar renginių bilietai.
PuB-EAA ( viešasis)	Oficialiai: tiesiogiai iš viešojo sektoriaus įstaigų.	Labai aukštas: priklauso nuo valstybės registrų vientisumo; pripažįstamas visoje ES.	oficialūs valstybės registrai (pvz., gyventojų registrai).	gimimo liudijimai, gyvenamosios vietos įrodymai arba vairuotojo pažymėjimai.

Rinkos patikrinimas: kaip plačiai šie įrodymai bus paplitę?

Svarbu suprasti, kad ne visi EAA tipai užplūs rinką tuo pačiu metu. Remiantis eIDAS 2.0 veiksmų planu, pasiskirstymą piniginėse galima vertinti taip:

• Q-EAA ir PuB-EAA (labai didelis): Tai sudarys EUDI piniginės pagrindą. Kadangi valstybės narės privalo oficialius dokumentus (pvz., asmens tapatybės korteles ir vairuotojo pažymėjimus) pateikti skaitmeniniu būdu, kiekvienas piniginės naudotojas automatiškai turės šiuos itin saugius atributus.

• EAA (nuo vidutinio iki didėjančio): Šiuo atveju kamuolys priklauso privačiam sektoriui. Paplitimas priklauso nuo to, kaip greitai įmonės (pvz., oro linijų bendrovės, sveikatingumo centrų tinklai ar darbdaviai) pripažins pridėtinę vertę ir pačios išduos skaitmeninius sertifikatus.

Strateginė svarba įmonėms ir valdžios institucijoms

EAA integravimas yra kur kas daugiau nei techninė gudrybė – tai didžiulis verslo procesų svertas. Atsižvelgiant į naudojimo atvejį ir reikiamą teisinę galią, naudojamos įvairių tipų EAA:

1. Sklandus prisijungimas ir KYC (Q-EAA)
   Griežtai reguliuojami sektoriai, pavyzdžiui, bankai ar draudimo bendrovės, gali realiuoju laiku patikrinti tapatybės duomenis ir įrodymus (pvz., pajamas ar profesinę kvalifikaciją). Užuot tikrinus dokumentus rankiniu būdu, sistema iš karto patvirtina Q-EAA – tai labai sumažina atšaukimų skaičių įdarbinimo metu.
   
2. Skaitmeninių leidimų valdymas (EAA ir Q-EAA)
   Logistikoje ar pramonėje licencijas, priklausomybę įmonei ar saugos instrukcijas galima patikrinti tiesiogiai EUDI piniginėje.
   Pavyzdys: fitneso studija nuolaidas suteikia naudodama paprastą EAA (darbuotojo pažymėjimą), o pavojingų krovinių vairuotojas parodo savo vairuotojo pažymėjimą Q-EAA.
   
3. Institucijos automatizavimas (PuB-EAA)
   Dėl “vienkartinio naudojimo” principo internetinės institucijos priima PuB-EAA tiesiogiai iš kitų valstybių registrų. Gyvenamąją vietą ar pensijos statusą patvirtinančių dokumentų nebereikia gauti popieriuje, todėl piliečiams ir valdžios institucijoms sumažėja biurokratizmas.
   
4. Duomenų apsauga taikant “selektyvų atskleidimą”
   EAA suteikia galimybę atskleisti tik tai, kas absoliučiaibūtina.
   Principas: sistema patvirtina tik “vyresnis nei 18 metų”, kad būtų įrodytas amžius, nereikalaujant perduoti tikslios gimimo datos ar vardo irpavardės.
   
5. Sąveika be sienų
   Dėl ES masto standarto Vokietijoje išduotas atributas (pvz., meistro pažymėjimas) iš karto skaitmeniniu būdu pripažįstamas Ispanijoje ar Lenkijoje. Tai labai palengvina tarpvalstybinį kvalifikuotos darbo jėgos ir paslaugų judumą.

Svarbu privatiems naudotojams

• Nulinis sekimas: priešingai nei didžiųjų technologijų prisijungimų atveju , išdavėjai nežino, kur ir kada naudojate savo atributą. Jūsų skaitmeninis pėdsakas lieka nematomas.

• Savanoriškumas: naudojimasis pinigine ir EAA yra visiškai savanoriškas. Jūs sprendžiate, kokius duomenis saugote skaitmeniniu būdu ir kam juos rodote.

Išvada: kodėl EAA yra tapatybės ateitis

EAA yra kur kas daugiau nei tik skaitmeninės popierinių dokumentų kopijos. Tai raktas į efektyviai duomenis naudojančią visuomenę. Dėl tokių funkcijų, kaip atrankinis atskleidimas, naudotojai išlaiko visišką savo duomenų suverenumą, o įmonės gauna naudos iš automatizuotų, nuo klastojimo apsaugotų procesų.

Jūsų įmonės strateginis pranašumas: Įmonės, kurios ankstyvuoju etapu tampa pasikliaujančiomis šalimis arba emitentais, gerokai sumažina rankinio tikrinimo pastangas ir padidina teisinį tikrumą skaitmeniniuose kanaluose.

DUK šia tema

• Ar EAA yra tas pats, kas skaitmeninis parašas? Ne. Parašu patvirtinamas dokumento ketinimų pareiškimas. EAA patvirtina asmens savybę ar nuosavybę.
  
• Kada EAA bus pradėtos taikyti visuotinai? Įdiegus nacionalines EUDI pinigines (nuo 2027/2028 m.), EAA taps ES skaitmeninių įrodymų standartu.
  
• Ar įmonės gali pačios išduoti EAA? Taip, įmonės gali veikti kaip “emitentai” dėl konkrečių profesinių ar įmonės savybių.
  
• Ar EAA yra saugesnis už PDF sertifikatą?
  Tikrai. PDF dokumentą lengva suklastoti. EAA yra kriptografiškai užantspauduotas. Bet koks vėlesnis pakeitimas iš karto daro įrodymą negaliojančiu. Be to, galiojimą (pvz., atšauktų licencijų atveju) galima patikrinti realiuoju laiku.

• Kuo skiriasi EAA ir QEAA?
  EAA – tai elektroninis patvirtinimas apie požymį (pvz., amžių, išsilavinimą ar įgaliojimus), kurį pasirašo emitentas. Kvalifikuotas elektroninis atributų patvirtinimas (angl. QEAA – Qualified Electronic Attestation of Attributes) – tai speciali jo forma, kurią išduoda kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas pagal eIDAS reglamentą. QEAA atitinka griežtesnius teisinius ir techninius reikalavimus, todėl yra teisiškai privalomi ir pripažįstami visoje Europoje.
  
• Ar emitentas gali matyti, kur rodau savo atributą?
  Ne. Šiuolaikinės EAA sistemos sukurtos taip, kad išduodančioji institucija negali sekti, kur ir kada pateikiate savo atributą. Patikrinimas vyksta tiesiogiai tarp jūsų ir gavėjo. Tai reiškia, kad jūsų privatumas išlieka apsaugotas ir nėra jokio centralizuoto jūsų naudojimo stebėjimo.
  
• Ar galiu atšaukti EAA?
  Taip, išdavėjas gali atšaukti EAA, pavyzdžiui, jei pasikeičia arba tampa negaliojančiu atributas. Gavėjai, norėdami įsitikinti, kad atributas tebegalioja, patikrinimo metu gali patikrinti atšaukimo būseną.
  
• Ar EAA pakeis klasikinį KYC auditą?
  EAA gali gerokai supaprastinti arba iš dalies pakeisti KYC patikrinimą, ypač jei jas teikia patikimi arba kvalifikuoti emitentai. Daugeliu atvejų patikrinti atributai gali būti naudojami tiesiogiai, nereikalaujant iš naujo atlikti viso KYC proceso. Tačiau tai, ar EAA visiškai pakeičia KYC, priklauso nuo reguliavimo reikalavimų ir atitinkamo naudojimo atvejo.

• Ar mano duomenys bus saugomi centralizuotai?
  Ne. Kontrolė priklauso nuo jūsų. EAA yra saugiai užšifruoti jūsų asmeninėje EUDI piniginėje išmaniajame telefone, o ne centralizuotoje vyriausybės debesijos duomenų bazėje.