Как будет продавать ваши персональные данные стартап, в который вложил 70м рублей ФРИИ
Суть сервиса в том, что компания-партнер IDX, которой пользователь однажды уже передал свои данные, может верифицировать их достоверность по запросу другой организации. При этом IDX не передает между партнерами сами данные, а производит сверку цифровых подписей и хэшей зашифрованных сведений.
Клиент проходит процедуру идентификации, например, при личном визите в офис. Компания поставщик данных для IDX (далее «компания А») продает информацию о пройденной идентификации другим участникам рынка.
«IDX устроен как шлюз, там нет персональных данных, значит, нет и рисков их утечки», — подтверждает директор по эксплуатации «Акадо Телеком» Михаил Медриш. «Мы можем участвовать в проекте как поставщик информации о достоверности данных и сами заинтересованы в услугах, поскольку наши потенциальные клиенты могут быть уже идентифицированы в других сетях», — объясняет он смысл сотрудничества с IDX.
Акадо является поставщиком информации для IDX о своих клиентах, компанией А.
Риск утечки данных при использовании системы сведен к нулю, утверждает представитель ФРИИ. В основе платформы лежит математический метод «доказательства с нулевым разглашением» (Zero-knowledge proof), использование которого позволяет убедиться в достоверности полученной информации без ее расшифровки, пояснил он.
Рассмотрим процесс продажи компанией А персональных данных клиента с использованием шлюза IDX. Предположим структуру профиля пользователя:
{
"passport":12345,
"first_name": "Igor",
"last_name": "Barinov",
"dob_day": 1970,
"dob_month":01,
"dob_day":01,
"active": true
}Компания Б, запрашивающая информацию, формирует группы атрибутов по интересующему клиенту, хеширует их и отправляет через шлюз IDX всем участникам, продающим персональные данные.
Пример запрашиваемой информации:
hash (passport+first_name+last_name+dob_year+dob_month+dob_day).
Подставим значения из структуры:
sha2(12345IgorBarinov19700101)
Получаем хеш:
f3d34b680defecbc9e1916faed596aedde723289c21b3c671952239f81437661
Компания А, обладающая сведениями о клиенте, подтверждает наличие записи и возвращает в ответе метаданные, которые с ФИО и паспортом будут являться частью персональных данных, но в случае ZKP (Zero Knowledge Proofs) — нет.
Например,
{"request":"f3d34b680defecbc9e1916faed596aedde723289c21b3c671952239f81437661",
"dead":false,
"phone_number":"5555555555"
}и подписывает структуру своим приватным ключом. Шлюз IDX переправляет ответ продавца персональных данных покупателю персональных данных и учитывает факт сделки. Покупатель данных проверяет публичным ключом целостность сообщения и адресата. Биллинг IDX списывает с баланса покупателя персональных данных оплату продавцу персональных данных и комиссию.
Краткие выводы:
— используя скрытие данные в хешированных структурах, стартап IDX организует площадку по торговле персональными данными.
— государственный фонд финансирует компанию, организующую такую площадку
— зная персональные данные пользователя, третье лицо может легально получить данные и метаданные по всем используемым пользователем сервисам, чьи провайдеры продают персональную информацию через шлюз IDX
Disclaimer: автор не имеет отношения к компании IDX, Акадо, ФРИИ и соображения о принципах работы основаны на OSINT (открытых данных).
Комментарии (3)
25 декабря 2016 в 00:07
+1↑
↓
А как найти сайт компании в которую проинвестировали 70 мм рублей? Или как поднять миллион долларов без сайта.
25 декабря 2016 в 00:23
+1↑
↓
Получается покупатель верифицирует даннные Которые у него уже есть?
igorbarinov
25 декабря 2016 в 00:31
0↑
↓
Покупатель верифицирует факт, что данные, которые у него есть, есть и продавца + получает дополнительные атрибуты, которые он может не знать. Например, запрашивая ФИО и номер паспорта, которые он знает, получает в ответ подтверждение этого знания + номер телефона, который он не знал.Об этом в Коммерсанте написано так:
Стоимость единичной идентификации данных для бизнеса в IDX варьируется от 5 до 200 руб. и зависит от объема информации и ее детализации.
