澳大利亞政府已經發(fā)布一系列文件，用于概述澳大利亞國內數字化身份信息在收集、存儲與使用方面的安全性與可用性標準。

澳大利亞政府已經公布其可信數字化身份框架的公開草案，其中對公民數字化身份信息的管理工作作出了約定，據息其將與Govpass數字化平臺配合起效。

這14份文件草案包含：

可信框架結構與概述;

可信框架認證流程;

隱私評估;

核心隱私要求;

核心安全保護要求;

核心用戶體驗要求;

核心風險管理要求;

核心欺詐控制要求;

數字化身份證明標準;

數字化身份驗證證書標準;

信息安全文檔指南;

風險管理指南。

以下只介紹其中幾個要點：

數字化轉型副部長Angus Taylor（安格斯·泰勒）在本周四表示：“這套框架提出了一項面向全國的統(tǒng)一數字化身份管理辦法。”“其中包括面向供應商的認證、隱私、安全、風險與欺詐管理要求，同時亦提出了可用性與可訪問性標準。這套框架將與數字化轉型機構的Govpass技術平臺一道，共同經歷目前的beta測試階段。”

根據可信數字化身份框架結構與概述文件的說明，其中“身份聯動”認證將基于可信框架，而非傳統(tǒng)的服務水平協議（簡稱SLA），旨在提升更理想的透明度與規(guī)?；Ч?。

DTA

文件解釋稱，“數字化轉型機構（簡稱DTA）將與其它各級政府機構與主要私營部門合作，負責推進全國各聯邦政府身份生態(tài)系統(tǒng)（即‘身份聯動’）。身份聯動計劃的實施與運營將由可信數字化身份框架進行指導。”
其提供了必要的結構與控制手段，為參與者提供信心，確保聯動體系內所有經過認證的供應方皆已經履行認證義務，因此被認定為可信參與方。”

可信數字化身份框架核心隱私要求則概述了這套可信框架下必須履行的隱私要求，包括隱私治理; 隱私影響評估; 數據泄露響應管理; 隱私政策; 個人信息收集的相關通知; 收集與使用限制; 在收集信息前征得同意; 跨境與承包商披露; 政府身份; 訪問、更正與儀表板; 個人信息質量; 隱私投訴處理; 以及信息的銷毀與去識別化。

舉例來說，處理此類數據的企業(yè)必須制定一套全面的“隱私責任”制度，涵蓋整體隱私責任與審計要求; 接受年度隱私審計; 向澳大利亞信號局（簡稱ASD）、可信框架認證機構以及澳大利亞信息專員辦公室（簡稱OAIC）報告因“嚴重”數據泄露事故而受到影響的個人; 建立政策以概述是否以及向哪些海外方披露信息; 發(fā)布年度透明度報告; 并通過儀表板確保用戶能夠在“尚未確定的時間范圍內”訪問自己的元數據。

身份服務供應商亦不準在未經同意的情況下收集各類敏感信息，例如面部圖像; 且此類信息一旦被用于進行個人身份驗證，即應被銷毀; 同時為用戶提供投訴服務。

可信數字化身份框架核心保護安全要求涵蓋了各參與方必須向身份系統(tǒng)內提交的最小限制的安全控制信息。

其中具體包括網絡、操作系統(tǒng)、數據庫與內部用戶訪問安全; IT資產保護; 網絡安全事件應對策略; 物理與環(huán)境安全; 使用經認可的加密算法、協議與模塊; 安全意識保護與員工培訓; 安全漏洞與威脅評估; 連續(xù)監(jiān)測與事件記錄; 以及事件響應管理。

文件同時補充稱，“申請方必須在保護其身份服務、基礎業(yè)務流程以及信息資產免受惡意軟件與腳本侵害方面發(fā)揮積極作用，包括但不限于：實施控制以防止并限制病毒與木馬軟件的擴散。”

用于支持身份服務的設備必須在物理與環(huán)境安全層面得到嚴格保護……用于支持身份服務的一切形式介質與存儲設備必須得到控制與物理保護。”

申請方還必須設立信息技術安全經理（簡稱ISM）與信息技術安全官（簡稱ITSO）; 使用具備實時警報與可用性監(jiān)控能力的服務; 確保僅使用ASD認可的安全產品; 預測容量要求以避免系統(tǒng)過載; 同時進行年度獨立評估。

可信數字化身份框架數字化身份比較標準（簡稱IdP）中則提出了在收集生物識別數據并使用面部圖像匹配時應當遵循的標準。IdP要求利用ASD批準的加密算法對面部圖像進行加密; 立即刪除面部圖像; 在面部驗證服務（簡稱FVS）中使用“活性檢測檢查”以確保面部圖像來自真實的人; 同時確保提供面部圖像的人士為被檢查文件的合法擁有者。要求同時補充稱，“IdP不得存儲利用FVS收集及匹配的面部圖像或生物特征數據，或向身份交換機構或其它第三方披露面部圖像內容。”

可信數字化身份框架核心風險管理要求主要涵蓋供應商必須承擔的風險緩解責任; 可信數字化身份框架核心欺詐控制要求定義了欺詐活動的預防、檢測、報告、調查以及受害者支持工作中的控制措施; 可信數字化身份框架核心用戶體驗要求則負責確保申請方的身份系統(tǒng)符合“簡單易用”要求。

截至今年12月8日之前，澳大利亞政府將持續(xù)接收對這14份文件草案的反饋意見。

云服務供應商Vault Systems于上周宣布其作為Govpass數字化身份解決方案的平臺選項。而就在上個月，數字化轉型機構（簡稱DTA）則概述了Govpass的申請流程——該系統(tǒng)將把用戶面部圖像與其醫(yī)療卡、駕駛執(zhí)照與出生證明進行匹配。

DTA公司的CEO Gavin Slater（蓋文·斯萊特）指出，“個人信息的隱私與保護一直是DTA在數字化身份工作方面的關注重點。在為政府的個人信息存儲工作建立信任方面，絕不能夠接受任何妥協。”

“Vault的開放標準云一直是Govpass的完全解決方案，能夠提供一定程度的安全性與主權保障，這一點對于證明政府管理機制的簡單性、安全性與保障能力至關重要。”

Vault Systems、Sliced Tech與Macquarie Government也都已經通過了ASD關于存儲高度保密性政府信息的認證流程。

DTA公司CDOPeter Alexander（彼特·亞歷山大）在上個月向眾議院財稅常務委員會時指出，澳大利亞稅務局、人類服務部以及澳大利亞郵政因“已經擁有大量身份數據“，因此將負責Govpass的管理工作。

Taylor則于上周表示，澳大利亞政府將投入時間逐步開發(fā)并部署Govpass，但不會選擇過于躁進的方式。他表示，“我一直將正確實現數字化身份機制作為自己的最優(yōu)任務之一。重要的是，一定要強調‘正確實現’。如果我們過于激進，我認為我們反而可能拖慢未來幾年的數字化轉型進程。”

澳大利亞聯邦政府于今年5月公布了Govpass發(fā)展計劃，宣稱將在2017至2018財年內投入2270萬澳元以完成該項發(fā)展計劃的下一階段。Govpass將提供一套可信數字化身份框架，用于幫助民眾獲得必要的身份證明并借此順利以在線方式使用政府服務。這項舉措還未來將有望被擴大至企業(yè)范圍之內。Govpass將對接現有文件與面部驗證服務，從而建立更為廣泛的身份體系。