Як буде продавати ваші персональні дані стартап, який вклав 70м рублів ФРИИ

Комерсант вийшов матеріал про інвестиції державним фондом ФРИИ 70 мільйонів рублів в стартап IDX (Identity Exchange). Місія стартапу — створення майданчика для продажу персональної інформації про фізичних та юридичних осіб. Розберемося в тому, що пропонує IDX.



Суть сервісу в тому, що компанія-партнер IDX, якою користувач одного разу вже передав свої дані, може верифікувати їх достовірність за запитом іншої організації. При цьому IDX не передає між партнерами самі дані, а виробляє звірку цифрових підписів і хешей зашифрованих даних.
Клієнт проходить процедуру ідентифікації, наприклад, при особистому візиті в офіс. Компанія постачальник даних для IDX (далі «компанія А) продає інформацію про пройденої ідентифікації іншим учасникам ринку.
«IDX влаштований як шлюз, там немає персональних даних, значить, немає і ризиків їх витоку»,— підтверджує директор з експлуатації «Акадо Телеком» Михайло Медриш. «Ми можемо брати участь у проекті як постачальник інформації про достовірності даних і самі зацікавлені в послугах, оскільки наші потенційні клієнти можуть бути ідентифіковані в інших мережах»,— пояснює він сенс співпраці з IDX.
Акадо є постачальником інформації для IDX про своїх клієнтів, компанією А.
Ризик витоку даних при використанні системи зведений до нуля, стверджує представник ФРИИ. В основі платформи лежить математичний метод «докази з нульовим розголошенням» (Zero-knowledge proof), використання якого дозволяє переконатися у достовірності отриманої інформації без її розшифрування, пояснив він.
Розглянемо процес продажу компанією А персональних даних клієнта з використанням шлюзу IDX. Припустимо структуру профілю користувача:
{
"passport":12345,
"first_name": "Igor",
"last_name": "Barinov",
"dob_day": 1970,
"dob_month":01,
"dob_day":01,
"active": true
}


Компанія Б, що запитує інформацію, формує групи атрибутів, що цікавить клієнта, хеширует їх і відправляє через шлюз IDX всім учасникам, які продають персональні дані.

Приклад запитуваної інформації:
hash(passport+first_name+last_name+dob_year+dob_month+dob_day).
Підставимо значення з структури:
sha2(12345IgorBarinov19700101)
Отримуємо хеш:
f3d34b680defecbc9e1916faed596aedde723289c21b3c671952239f81437661
Компанія А, що володіє інформацією про клієнта, що підтверджує наявність запису і повертає у відповіді метадані, які з ПІБ та паспортом будуть частиною персональних даних, а в разі ZKP (Zero Knowledge Proofs) — немає.
Наприклад,
{"request":"f3d34b680defecbc9e1916faed596aedde723289c21b3c671952239f81437661",
"dead":false,
"phone_number":"5555555555"
}

і підписує структуру своїм приватним ключем. Шлюз IDX переправляє відповідь продавця персональних даних покупцеві персональних даних та враховує факт угоди. Покупець даних перевіряє публічним ключем цілісність повідомлення та адресата. Біллінг IDX списує з балансу покупця персональних даних оплату продавцю персональних даних та комісію.

Короткі висновки:
— використовуючи приховування дані в хешірованних структурах, стартап IDX організовує майданчик з торгівлі персональними даними.
— державний фонд фінансує компанію, організуючу таку площадку
— знаючи персональні дані користувача, третя особа може легально отримати дані та метадані по всіх використовуваних користувачем сервісів, чиї провайдери продають персональну інформацію через шлюз IDX

Disclaimer: автор не має відношення до компанії IDX, Акадо, ФРИИ і міркування про засади роботи ґрунтуються на OSINT (відкритих даних).

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.