Γράφει η Κατερίνα Μεζίνη*

Οι περισσότεροι από εμάς χρησιμοποιούμε καθημερινά προϊόντα και υπηρεσίες του διαδικτύου χωρίς καν να το αντιλαμβανόμαστε. Επικοινωνούμε με άλλα άτομα, κάνουμε τραπεζικές συναλλαγές, πραγματοποιούμε διαδικτυακές αγορές, ενημερωνόμαστε και ψυχαγωγούμαστε μέσω του διαδικτύου.

Φαίνεται φυσικό για μερικούς από εμάς, αλλά για άλλους είναι μια καθημερινή πρόκληση.

Σύμφωνα με στοιχεία που παρέχει ο Παγκόσμιος Οργανισμός Υγείας Πάνω από 1 δισεκατομμύριο άνθρωποι εκτιμάται ότι βιώνουν αναπηρία. Αυτό αντιστοιχεί περίπου στο 15% του παγκόσμιου πληθυσμού.

Από την άλλη πλευρά, η δυσλεξία είναι η πιο συχνή μαθησιακή δυσκολία και, σύμφωνα με τη Διεθνή Οργάνωση για τη Δυσλεξία, επηρεάζει περίπου το 10% του παγκόσμιου πληθυσμού.

Πόσο εύκολο είναι για αυτά τα άτομα να έχουν πρόσβαση στο διαδίκτυο και στις υπηρεσίες που προσφέρει;

Σύμφωνα με το κοινωνικό μοντέλο της αναπηρίας, η αναπηρία είναι η κατάσταση την οποία βιώνει ένα άτομο λόγω φυσικών και κοινωνικών φραγμών που θέτει η ίδια η κοινωνία.

Ως «προσβασιμότητα», γενικά, ορίζεται «το χαρακτηριστικό του φυσικού, δομημένου και ψηφιακού περιβάλλοντος, που επιτρέπει σε όλα τα άτομα – χωρίς διακρίσεις φύλου, ηλικίας και λοιπών χαρακτηριστικών, όπως σωματική διάπλαση, δύναμη, αντίληψη, εθνικότητα − να έχουν πρόσβαση σε αυτό, δηλαδή να μπορούν αυτόνομα, με ασφάλεια και με άνεση να προσεγγίσουν και να χρησιμοποιήσουν τις υποδομές, αλλά και τις υπηρεσίες και τα αγαθά που διατίθενται στο συγκεκριμένο περιβάλλον.»

Ο όρος προσβασιμότητα στο διαδίκτυο (Web Accessibility), σημαίνει ότι οι ιστότοποι και οι τεχνολογίες σχεδιάζονται και αναπτύσσονται έτσι ώστε τα άτομα με αναπηρίες να μπορούν να τα χρησιμοποιούν και να έχουν ισότιμη πρόσβαση με τους υπόλοιπους χρήστες.

Η προσβασιμότητα στον ιστότοπο είναι η ανάγκη οι ιστότοποι να χρησιμοποιούν εργαλεία και τεχνολογίες που έχουν αναπτυχθεί για να βοηθούν την αντίληψη, την κατανόηση, την πλοήγηση και την αλληλεπίδραση ενός ατόμου με αναπηρία στον ιστότοπο. Η προσβασιμότητα θα πρέπει να ενσωματώνεται εξ αρχής  στη διαδικασία ανάπτυξης και σχεδιασμού του διαδικτύου αντί να προσπαθούν τα ίδια τα άτομα να την προσαρμόσουν εκ των υστέρων.

Η Κοινοπραξία Παγκόσμιου Ιστού (W3C) έχει εκδώσει Οδηγίες για την Προσβασιμότητα του Περιεχομένου του Ιστού (WCAG) με σκοπό τη δημιουργία μιας σειράς διεθνώς κοινών κατευθυντήριων γραμμών που διέπουν τα πρότυπα προσβασιμότητας του περιεχομένου του Ιστού.

Το φάσμα των βλαβών που επιδιώκει να αντιμετωπίσει η προσβασιμότητα στο διαδίκτυο είναι πολύ ευρύ. Συνοπτικά:

1. ΔΙΑΤΑΡΑΧΕΣ ΤΗΣ ΟΡΑΣΗΣ

Τόσο η τύφλωση όσο και άλλες διαταραχές της όρασης όπως η μειωμένη όραση, η αχρωματοψία, ο καταρράκτης, το γλαύκωμα καθιστούν δύσκολη την πλοήγηση στο διαδίκτυο. Προκειμένου να αντιμετωπιστούν αυτές οι δυσκολίες και να καταστεί ο ιστότοπος προσβάσιμος μπορούν να χρησιμοποιηθούν προγράμματα ανάγνωσης οθόνης, ηχητικές περιγραφές αλλά και εργαλεία μεγέθυνσης οθόνης.

Ωστόσο με τη χρήση τέτοιων εργαλείων, πολλοί ιστότοποι ενδέχεται είτε να δυσλειτουργούν  (π.χ όταν το κείμενο αλλάζει μέγεθος, μπορεί να χαλάσει η διάταξη του ιστότοπου) είτε να μην λειτουργούν καθόλου. Σύμφωνα με τις οδηγίες WCAG 2.1 AA, οι ιστότοποι θα πρέπει να μπορούν να αλλάζουν μέγεθος έως και 200% παραμένοντας πλήρως λειτουργικοί.

Επιπλέον, πολλές οπτικές παθήσεις δυσχεραίνουν την αντίληψη της αντίθεσης. Οι σχεδιαστές ιστοσελίδων θα πρέπει να λαμβάνουν υπόψιν τους αυτή την παράμετρο κατά τον χρωματικό σχεδιασμό μιας ιστοσελίδας και ως εκ τούτου να μην χρησιμοποιούν μικρές διαβαθμίσεις στο χρώμα.

2. ΔΙΑΤΑΡΑΧΕΣ ΤΗΣ ΑΚΟΗΣ

Το περιεχόμενο ήχου και βίντεο αποτελεί πρόκληση για τα άτομα με προβλήματα ακοής. Όπως όλες οι αναπηρίες, έτσι και τα προβλήματα ακοής ποικίλλουν. Ορισμένοι άνθρωποι είναι κωφοί, ενώ άλλοι μπορεί να έχουν μικρή απώλεια ακοής.

Τα συνήθη εργαλεία και τεχνικές που χρησιμοποιούνται για την υποστήριξη ατόμων με προβλήματα ακοής στο διαδίκτυο είναι τα εξής:

α) Λεζάντες και υπότιτλοι: Οι λεζάντες πρέπει να είναι σαφείς και ορατές, με καλή αντίθεση σε σχέση με τις μεταβαλλόμενες εικόνες και με καλά αναγνώσιμο μέγεθος γραμματοσειράς. Ένας τρόπος για να διασφαλιστεί ότι οι λεζάντες είναι ευανάγνωστες είναι να τοποθετούνται σε σκουρόχρωμο φόντο για να αποφευχθεί η ανάμειξη του κειμένου με τις εικόνες.

Πολλές πλατφόρμες βίντεο, όπως το YouTube, είναι σε θέση να δημιουργούν αυτόματα λεζάντες. Ωστόσο, αυτές οι αυτόματα δημιουργούμενες λεζάντες δεν είναι πάντα αξιόπιστες, καθώς η τεχνολογία αναγνώρισης ομιλίας ενδέχεται να ανιχνεύσει εσφαλμένα τις λέξεις.

β) Περιγραφές: Οι περιγραφές είναι λεπτομερείς εκδόσεις κειμένου τόσο της ομιλίας όσο και άλλων ηχητικών πληροφοριών (όπως οι ήχοι του περιβάλλοντος, το γέλιο κ.λπ.) και χρησιμοποιούνται τόσο για περιεχόμενο βίντεο όσο και για περιεχόμενο ήχου.

3. ΝΕΥΡΟΛΟΓΙΚΕΣ ΔΙΑΤΑΡΑΧΕΣ

Τα άτομα με νευρολογικές διαταραχές μπορεί να έχουν προβλήματα στην προβολή πληροφοριών, στην πραγματοποίηση ελεγχόμενων κινήσεων, καθώς και σε πολλά άλλα ζητήματα.

Παλαιότερα ήταν σύνηθες να βλέπουμε τρεμοπαίξιμο, αναβοσβήσιμο ή κινούμενο περιεχόμενο σε ιστότοπους ως έναν τρόπο να τραβήξουμε την προσοχή σε ένα συγκεκριμένο στοιχείο. Το περιεχόμενο που τρεμοπαίζει μπορεί να προκαλέσει επιληπτικές κρίσεις σε άτομα με φωτοευαίσθητη επιληψία. Ευτυχώς, αυτή η σχεδιαστική πρακτική έχει σε μεγάλο βαθμό εγκαταλειφθεί.

4. ΜΑΘΗΣΙΑΚΕΣ ΔΙΑΤΑΡΑΧΕΣ:

Πολλά άτομα με δυσλεξία ή άλλες μαθησιακές διαταραχές ενδέχεται να διαβάζουν ευκολότερα ορισμένες γραμματοσειρές, χρώματα ή αντιθέσεις. Για παράδειγμα, θεωρείται παγκοσμίως ότι είναι πιο δύσκολο για τους δυσλεκτικούς να διαβάσουν γραμματοσειρές τύπου Serif. Καλύτερες επιλογές για γραμματοσειρές είναι αυτές της οικογένειας Sans Serif, όπως η Verdana.

Σημαντικό είναι επίσης να παρέχεται η δυνατότητα στους χρήστες να παρακάμπτουν τη διαμόρφωση του ιστοτόπου και να χρησιμοποιούν αντ’ αυτού τις δικές τους προτιμώμενες ρυθμίσεις.

5. ΚΙΝΗΤΙΚΕΣ ΑΝΑΠΗΡΙΕΣ

Τα άτομα με σωματικές αναπηρίες μπορούν επίσης να αντιμετωπίσουν προβλήματα στη χρήση του διαδικτύου. Ενδέχεται για παράδειγμα να μην είναι σε θέση να ελέγχουν το ποντίκι ή το πληκτρολόγιο και έτσι ο χρήστης μπορεί να βασίζεται σε προσαρμοστικές τεχνολογίες ή σε φωνητικές εντολές.

ΝΟΜΟΘΕΣΙΑ

Α. Οδηγία 2016/2102 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου.

Η ΕΕ δημοσίευσε την οδηγία 2016/2102 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Οκτωβρίου 2016, σχετικά με την προσβασιμότητα των ιστότοπων και των κινητών εφαρμογών των οργανισμών του δημόσιου τομέα[1] για την τυποποίηση και την εναρμόνιση του πλαισίου γύρω από την προσβασιμότητα των οργανισμών του δημόσιου τομέα στον Παγκόσμιο Ιστό και στα κινητά. Η εν λόγω οδηγία έχει ενσωματωθεί στην ελληνική έννομη τάξη με τον ν. 4727/2020

Β. Οδηγία 2019/882 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου.

Ακολούθως, η Ευρωπαϊκή Πράξη για την Προσβασιμότητα[2] (European Accessibility Act) σχετικά με τις απαιτήσεις προσβασιμότητας προϊόντων και υπηρεσιών, αποσκοπεί στην εισαγωγή περισσότερων προσβάσιμων προϊόντων και υπηρεσιών στην αγορά και στη μείωση των τιμών των υπηρεσιών αυτών. Αυτή η πράξη είναι συμπληρωματική της οδηγίας 2016/2102 που αναφέρθηκε παραπάνω.

Είναι σημαντικό ότι η νέα οδηγία δεν εφαρμόζεται μόνο σε οργανισμούς του δημόσιου τομέα, αλλά και σε ιδιωτικές επιχειρήσεις.

Η Ευρωπαϊκή Πράξη Προσβασιμότητας θα καλύπτει προϊόντα και υπηρεσίες όπως υπολογιστές και λειτουργικά συστήματα, έξυπνα τηλέφωνα και άλλες συσκευές επικοινωνίας, εξοπλισμό τηλεόρασης που σχετίζεται με υπηρεσίες ψηφιακής τηλεόρασης, ΑΤΜ και τερματικά πληρωμών, τηλεφωνικές υπηρεσίες, τραπεζικές υπηρεσίες, ηλεκτρονικό εμπόριο, ηλεκτρονικά εισιτήρια, ηλεκτρονικά βιβλία κ.α.

Είναι σημαντικό να σημειωθεί ότι η εν λόγω οδηγία εφαρμόζεται σε προϊόντα και υπηρεσίες που πωλούνται ή χρησιμοποιούνται εντός της ΕΕ, ανεξάρτητα από τον τόπο εγκατάστασης των επιχειρήσεων που παρέχουν τα εν λόγω προϊόντα και υπηρεσίες. (π.χ. ΗΠΑ, Κίνα)

Η Ευρωπαϊκή Πράξη Προσβασιμότητας προσδιορίζει τις απαιτήσεις προσβασιμότητας που θα πρέπει να τηρούν οι οικονομικοί φορείς που διαθέτουν στην αγορά προϊόντα και υπηρεσίες. Δεν επιβάλλει λεπτομερείς τεχνικούς περιορισμούς για να καταστούν τα προϊόντα και οι υπηρεσίες προσβάσιμα. Αυτό επιτρέπει περιθώρια για καινοτομία και ευελιξία.

Το άρθρο 14 παρ. 1 στοιχείο β’ της Οδηγίας ορίζει πως οι απαιτήσεις προσβασιμότητας εφαρμόζονται μόνον στον βαθμό που η συμμόρφωση δεν συνεπάγεται την επιβολή δυσανάλογης επιβάρυνσης για τους ενδιαφερόμενους οικονομικούς φορείς.

Ωστόσο, κατά την ενσωμάτωση και εφαρμογή της εν λόγω διάταξης θα πρέπει να γίνει ένας πολύ προσεκτικός καθορισμός των λόγων βάσει των οποίων θα μπορούν να χορηγηθούν εξαιρέσεις από τη συμμόρφωση με την απαίτηση της προσβασιμότητας, δεδομένου ότι η προσβασιμότητα αποτελεί θεμελιώδες ανθρώπινο δικαίωμα των ατόμων με αναπηρία. Η υποχρέωση εφαρμογής της προσβασιμότητας θα πρέπει να είναι άνευ όρων.

Η τελική προθεσμία για τα κράτη μέλη της ΕΕ να υιοθετήσουν τις απαιτήσεις της Ευρωπαϊκής Πράξης Προσβασιμότητας και να την ενσωματώσουν στη δική τους νομοθεσία ήταν η 28η Ιουνίου 2022. Στην Ελλάδα η εν λόγω οδηγία δεν έχει ενσωματωθεί μέχρι και σήμερα.

Μόλις την 4η Οκτωβρίου 2022 και ώρα 21:30 τέθηκε σε δημόσια ηλεκτρονική διαβούλευση το σχέδιο νόμου με τίτλο «Ενσωμάτωση της Οδηγίας (ΕΕ) 2019/882 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 17ης Απριλίου 2019 σχετικά με τις απαιτήσεις προσβασιμότητας προϊόντων και υπηρεσιών». Η διαδικασία της δημόσιας διαβούλευσης θα ολοκληρωθεί την 18η Οκτωβρίου 2022, ημέρα Τρίτη και ώρα 21:30.

Η προθεσμία συμμόρφωσης για τις επιχειρήσεις και τους οργανισμούς αναμένεται να λήξει στις 28 Ιουνίου 2025.  Από τις 28 Ιουνίου 2025, οι πελάτες θα μπορούν να υποβάλλουν καταγγελίες ενώπιον των εθνικών δικαστηρίων ή αρχών εάν οι υπηρεσίες ή τα προϊόντα δεν τηρούν τους νέους κανόνες.

Στόχος της διασφάλισης της προσβασιμότητας είναι η άρση όλων των εμποδίων που αντιμετωπίζουν τα άτομα με αναπηρίες, ώστε να συμμετέχουν πλήρως και ισότιμα σε όλες τις πτυχές της ζωής, να ζουν ανεξάρτητα,  με τη μέγιστη δυνατή αυτονομία,  και με τον ίδιο βαθμό ασφάλειας και άνεσης με όλους.

Σύμφωνα με το άρθρο 9 της Διεθνούς Σύμβασης του Ο.Η.Ε. για τα Δικαιώματα των Ατόμων με Αναπηρία τα συμβαλλόμενα κράτη οφείλουν να λαμβάνουν κατάλληλα μέτρα προκειμένου να διασφαλίζουν στα άτομα με αναπηρίες την ίση πρόσβαση -μεταξύ άλλων- στην πληροφορία και τις επικοινωνίες, συμπεριλαμβανομένων και των τεχνολογιών και συστημάτων πληροφορίας και επικοινωνιών.

Ευτυχώς, υπάρχουν διαθέσιμες τεχνολογίες για τη μείωση ή την άρση των εμποδίων στην ψηφιακή τους πρόσβαση. Όπως εύστοχα έχει επισημάνει ο Tim Berners-Lee, διευθυντής του W3C και εφευρέτης του Παγκόσμιου Ιστού: «Η δύναμη του Παγκόσμιου Ιστού έγκειται στην καθολικότητά του. Η πρόσβαση όλων, ανεξαρτήτως αναπηρίας, αποτελεί μια ουσιώδη παράμετρο.»

*Η Κατερίνα Μεζίνη είναι απόφοιτη του τμήματος Νομικής του ΕΚΠΑ και μεταπτυχιακή φοιτήτρια στο ΠΜΣ «Δίκαιο και Τεχνολογίες Πληροφορικής και Επικοινωνιών» του Πανεπιστημίου Πειραιώς.

Πηγές:

1. Μαρία Σαπαρδάνη, «Η έννοια της αναπηρίας υπό το πρίσμα της νομολογίας του ΔΕΕ και του ΕΔΔΑ για την απαγόρευση των διακρίσεων: μία πολυδιάστατη προσέγγιση με κοινωνικές προεκτάσεις» σε: Ελληνική Επιθεώρηση Ευρωπαϊκού Δικαίου, τεύχος 1^ο, 2019.
2. W3C, «Introduction to Web Accessibility: What is Web Accessibility», διαθέσιμο στο: https://www.w3.org/WAI/fundamentals/accessibility-intro/#what
3. Ιωάννης Μπασδέκης, Συνδικαλιστική εκπαίδευση στελεχών αναπηρικού κινήματος: Ηλεκτρονική προσβασιμότητα και αναπηρία, 2013, διαθέσιμο στο: https://www.esamea.gr/multimedia/must-see/39-publications/books-studies/520-ekpaideytiko-egxeiridio-no-6-ilektroniki-prosbasimotita-kai-anapiria-toy-ioanni-mpasdeki
4. ΑΚΕΘ, «Γιατί η προσβασιμότητα στο διαδίκτυο είναι τόσο σημαντική και τι μπορείς να κάνεις για να την επιτύχεις», 2020, διαθέσιμο στο: https://www.aketh.gr/nea/prosvasimotita
5. Harshal V. Patil, «Web accessibility issues and challenges for disabled Person», International Journal of Computer Research and Technology, Volume 7, issue 1, 2021, διαθέσιμο στο:
6. basponccollege.org/ClgIJCRTJournals/IJCRT/IJCRT%202021.pdf#page=63
7. https://eur-lex.europa.eu/
8. European Commission, European accessibility act, διαθέσιμο στο: https://ec.europa.eu/social/main.jsp?catId=1202&langId=en
9. Εθνική Αρχή Προσβασιμότητας(ΕΑΠ), ΓΝΩΜΟΔΟΤΗΣΗ της Εθνικής Αρχής Προσβασιμότητας (ΕΑΠ) με θέμα «Προσβασιμότητα και ασφάλεια: ενσωμάτωση της Οδηγίας ΕΕ 2019/882 στο εθνικό δίκαιο», 6 Οκτωβρίου 2021, διαθέσιμη στο: https://www.amea.gov.gr/opinions/4
10. https://www.w3.org/TR/WCAG21/#abstract
11. http://www.opengov.gr/ypoian/?p=13504

[1] Γνωστή εν συντομία ως Ευρωπαϊκή Οδηγία για την Προσβασιμότητα στον Παγκόσμιο Ιστό.

[2] ΟΔΗΓΙΑ (EE) 2019/882 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 17ης Απριλίου 2019.

*Γράφει ο Ιωάννης Κροντήρης

Σχήμα 1 – Η γελοιογραφία του Peter Steiner – “On the Internet, nobody knows you’re a dog”

Από το 1993 που ο Peter Steiner δημοσίευσε αυτήν την γελοιογραφία μέχρι σήμερα, δεν έχουν αλλάξει πολλά ως προς τη διαχείριση της ψηφιακής μας ταυτότητας στο Διαδίκτυο. Ο καθένας μπορεί να είναι όποιος θέλει, και αυτό γιατί δεν υπάρχει ένας εύκολος τρόπος να πιστοποιήσει προσωπικά χαρακτηριστικά που τον αφορούν, όπως το ότι είναι ενήλικας, ή ότι μένει σε μια συγκεκριμένη διεύθυνση, ή ότι έχει πτυχίο από το συγκεκριμένο πανεπιστήμιο, κτλ. Μπορεί να ισχυρίζεται ό,τι θέλει χωρίς να υπάρχει κάποιος εύκολος τρόπος να το αποδείξει.

Στην πραγματική ζωή αυτό γίνεται φυσικά έχοντας διαπιστευτήρια στο πορτοφόλι μας για τα πάντα. Κάθε φορά που επιβιβαζομαστε σε αεροπλάνο, νοικιάζουμε αυτοκίνητο, κάνουμε κράτηση σε ξενοδοχείο ή δανειζόμαστε ένα βιβλίο από την βιβλιοθήκη, αποδεικνύουμε κάποιο χαρακτηριστικό σχετικά με εμάς απλά ανοίγοντας το πορτοφόλι μας και δείχνοντας ένα ή περισσότερα διαπιστευτήρια που περιέχουν αξιώσεις που έχουν εκδοθεί από μια αξιόπιστη αρχή (που ονομάζεται εκδοτική αρχή) σε άλλο άνθρωπο ή εταιρεία που πρέπει να εμπιστευτεί την αξίωση (ονομάζεται επαληθευτής).

Ωστόσο το Διαδίκτυο αναπτύχθηκε αρχικά στις δεκαετίες του 1960 και του 1970 για να συνδέει μηχανές και όχι ανθρώπους. Ο σχεδιασμός του που βασίζεται σε πακέτα και το πρωτόκολλο TCP/IP αποδείχτηκε αποτελεσματικός για να μπορούν μηχανές να συνδέονται μεταξύ τους και να ανταλλάσσουν δεδομένα. Μία διεύθυνση IP όμως δεν λέει τίποτα για το άτομο που κάθεται πίσω από έναν υπολογιστή. Έτσι λοιπόν, δημιουργήθηκε ένα κενό για την διαχείριση της ταυτότητας των ανθρώπων στο Διαδίκτυο, ώστε να ξέρουμε με ποιόν μιλάμε. Ως αποτέλεσμα, έχουμε (ως χρήστες) το βάρος του να δημιουργούμε έναν ξεχωριστό λογαριασμό σε κάθε ένα website και για κάθε μια υπηρεσία που θέλουμε να χρησιμοποιούμε και να διαχειριζόμαστε μόνοι μας εκατοντάδες λογαριασμούς και κωδικούς. Φυσικά το αποτέλεσμα είναι ότι ο χρήστης δεν μπορεί να το διαχειριστεί όλο αυτό σωστά και επαναχρησιμοποιεί τους ίδιους κωδικούς σε πολλαπλούς λογαριασμούς, με όλα τα προβλήματα ασφαλείας που ήδη γνωρίζουμε.

Σχήμα 2

Το πρόβλημα με αυτό το “παλαιολιθικό” μοντέλο δεν είναι μόνο τα προβλήματα ασφαλείας όμως. Στο Σχήμα 2 που δείχνει το κεντρικοποιημένο μοντέλο που μόλις αναφέραμε, από την οπτική ενός οργανισμού, ο χρήστης υπάρχει μόνο και μόνο επειδή έχει λογαριασμό στο σύστημά του. Δηλαδή ένας χρήστης έχει άδεια να συνδεθεί σε έναν ιστότοπο, μια υπηρεσία ή μια εφαρμογή επειδή ο παρέχοντας οργανισμός του “δανείζει” κάποια διαπιστευτήρια για να τον αντιπροσωπεύουν. Στο τέλος, αυτά τα διαπιστευτήρια ανήκουν και ελέγχονται από τον οργανισμό. Εάν ο χρήστης διαγράψει τον λογαριασμό του σε αυτόν τον οργανισμό, παύει να έχει δυνατότητα πρόσβασης στις αντίστοιχες υπηρεσίες, ωστόσο, όλα τα δεδομένα σχετικά με αυτόν τον χρήστη θα εξακολουθούν να υπάρχουν και να ανήκουν στον οργανισμό, έξω από κάθε έλεγχο από τον χρήστη στον οποίο ανήκουν.

Σχήμα 3

Η καλύτερη εναλλακτική που έχουμε αυτή τη στιγμή είναι να χρησιμοποιήσουμε κάποιον ενδιάμεσο, τον οποίο ονομάζουμε “πάροχο ταυτότητας” (βλ. Σχήμα 3). Σε αυτό το πλαίσιο αρκεί  ο χρήστης να έχει μόνο ένα λογαριασμό σε αυτόν τον πάροχο και αυτός με τη σειρά του μπορεί να μας συνδέει με ιστότοπους και υπηρεσίες που συνεργάζονται μαζί του, αποκαλύπτοντας ορισμένα βασικά δεδομένα για μας. Για παράδειγμα, όλοι ξέρουμε τα κουμπιά που μας επιτρέπουν να κάνουμε login κάπου χωρίς να ανοίξουμε λογαριασμό αλλά χρησιμοποιώντας τον λογαριασμό μας στο Google, το Twitter, το LinkedIn κτλ. Αυτή η λύση φυσικά έχει πολλά προβλήματα όσο αφορά στη προστασία της ιδιωτικότητας, καθώς ο μεσάζοντας μπορεί τώρα να ακολουθεί όλες τις κινήσεις μας στο Διαδίκτυο και να βλέπει όλες τις υπηρεσίες που χρησιμοποιούμε. Με άλλα λόγια ο χρήστης καλείται να συμβιβαστεί ως προς την ιδιωτικότητά του με αντάλλαγμα μεγαλύτερη ευκολία. Γι’ αυτό και τελικά αυτά τα μοντέλα δεν κατάφεραν να υιοθετηθούν ευρέως από τους χρήστες.

Η λύση σε όλα αυτά τα προβλήματα είναι γνωστή εδώ και δεκαετίες: το μοντέλο του μεσάζοντα πρέπει να σπάσει και ο χρήστης πρέπει να μπεί στο κέντρο της εικόνας ώστε να έχει τον έλεγχο του ποιός λαμβάνει στοιχεία της ταυτότητας του στο Διαδίκτυο και ποιά (Ο Kim Cameron ήταν ένας από αυτούς που πρότειναν ήδη από το 2008 μια τέτοια αρχιτεκτονική). Επιπλέον, τεχνολογίες που δίνουν αυτόν τον έλεγχο στον χρήστη υπάρχουν ήδη με τη μορφή κρυπτογραφικών εργαλείων εδώ και χρόνια. Ίσως ένα από τα πιο γνωστά είναι τα Zero Knowledge Proofs (ZKP) που δίνουν τη δυνατότητα στο χρήστη να μην στέλνει καν στοιχεία της ταυτότητας του στον πάροχο μιας υπηρεσίας, αν αυτό δεν είναι εντελώς απαραίτητο, αλλά να στέλνουν μόνο κρυπτογραφικές αποδείξεις για κάποιες ιδιότητες που έχουν αυτά τα στοιχεία. Για παράδειγμα ότι κάποιος είναι ενήλικας, χωρίς να αποκαλύπτει την ακριβή ημερομηνία γέννησής του. Παράλληλα μία ειδική κατηγορία-τεχνολογία ανώνυμων ηλεκτρονικών διαπιστευτηρίων γνωστή ως Privacy-ABCs (Privacy- Attribute Based Credentials) άρχισε να χρησιμοποιεί τα ZKP και να θέτει τα θεμέλια για δημιουργία πρακτικών συστημάτων. Μετά το 2010 αυτές οι τεχνολογίες ήρθαν στο επίκεντρο μέσω μιας σειράς μεγάλων Ευρωπαϊκών ερευνητικών προγραμμάτων που πειραματίστηκαν με πραγματικούς χρήστες και συνέβαλαν στην περαιτέρω ωρίμανσή τους.

Ωστόσο, σε ένα αποκεντρωμένο μοντέλο παρέμενε ως πρόσφατα ανοιχτό το πρόβλημα της εμπιστοσύνης και αξιοπιστίας των συναλλαγών, καθώς δεν υπάρχει πλέον μια κεντρική αρχή που να είναι υπεύθυνη για την επικύρωσή τους. Και αυτό το κενό ήρθε να καλύψει η τεχνολογία blockchain που στην ουσία λειτουργεί ως ένα μητρώο δεδομένων και πληροφοριών (ledger) και μπορούμε να την εφαρμόσουμε για τις ανάγκες της ηλεκτρονικής ταυτοποίησης. Η θεμελιώδης διαφορά από τα υφιστάμενα μητρώα και βάσεις δεδομένων είναι ότι για την τήρησή του δεν είναι αρμόδια μία κεντρική αρχή, αλλά οι λεγόμενοι κόμβοι  (nodes). Με την επίτευξη συμφωνίας (consensus) ανάμεσα στους κόμβους δημιουργείται εμπιστοσύνη για την ορθότητα των στοιχείων που καταχωρούνται στο μητρώο.

Αυτή η εξέλιξη μαζί με κάποια ακόμα κομμάτια του παζλ που ήρθαν να συμπληρωθούν κυρίως από πλευράς τυποποίησης από το World Wide Web Consortium (W3C), έδωσαν μια νέα ώθηση στο μοντέλο αποκεντρωμένης ψηφιακής ταυτότητας, στο οποίο αναφερόμαστε πλέον με τον όρο Self-Sovereign Identity (SSI). Ο όρος αποδίδεται στον Christopher Allen, ο οποίος περιέγραψε το όραμα και τις αρχές του SSI σε ένα άρθρο που δημοσίευσε το 2016. Παρόλο που όλοι συμφωνούν ότι θα πρέπει να βρεθεί ένας καλύτερος όρος, ως τώρα δεν έχει βρεθεί ποιός μπορεί να είναι αυτός. Γεγονός είναι πάντως πως μεγάλες εταιρείες τεχνολογίας, οργανισμοί τυποποίησης και κυβερνήσεις έχουν στρέψει την προσοχή τους σε αυτή την τεχνολογική εξέλιξη, η οποία καλπάζει πλέον με ταχύτατους ρυθμούς.

Ένα κεντρικό εργαλείο που επιτρέπει στους χρήστες να διαχειρίζονται οι ίδιοι την ψηφιακή τους ταυτότητα χωρίς να εξαρτώνται από έναν κεντρικό πάροχο υπηρεσιών ταυτότητας είναι το πορτοφόλι ψηφιακής ταυτότητας (digital identity wallet) το οποίο είναι προσωπικό ψηφιακό πορτοφόλι που επιτρέπει στους πολίτες να ταυτοποιούνται, να αποθηκεύουν και να διαχειρίζονται δεδομένα ταυτότητας και επίσημα έγγραφα σε ηλεκτρονική μορφή. Το ψηφιακό πορτοφόλι σαν έννοια δεν είναι καινούργια, καθώς οι περισσότεροι έχουμε ήδη ψηφιακά πορτοφόλια στα κινητά τηλέφωνά μας για να αποθηκεύουμε τις κάρτες επιβίβασης όταν ταξιδεύουμε, το πιστοποιητικό COVID,  ή για να φυλάσσουμε σε αυτά εικονικές τραπεζικές κάρτες ως βολικό μέσο πληρωμής. Το πορτοφόλι ψηφιακής ταυτότητας είναι κάτι αντίστοιχο, αλλά διαχειρίζεται διαπιστευτήρια που σχετίζονται με την ταυτότητά μας. Αυτό δεν σημαίνει ότι περιορίζεται μόνο στα προσωπικά δεδομένα ταυτότητας, με τη στενή έννοια του όρου (όπως δηλαδή στη ψηφιακή ταυτότητα eID), αλλά μπορεί επίσης να περιέχει και άλλα (επίσημα ή μη) διαπιστευτήρια σε ηλεκτρονική μορφή, όπως άδειες οδήγησης, ή τίτλοι σπουδών.

Κατά συνέπεια, το πορτοφόλι ψηφιακής ταυτότητας επιτρέπει στους πολίτες να αποδεικνύουν την ταυτότητά τους ή άλλα ψηφιακά διαπιστευτήρια με κινητά μέσα προκειμένου να έχουν πρόσβαση σε διαδικτυακές υπηρεσίες ή να ανταλλάσσουν ψηφιακά έγγραφα. Επίσης του επιτρέπει να αποδεικνύουν μόνο ένα συγκεκριμένο ιδιοχαρακτηριστικό που περιέχεται μέσα σε ένα διαπιστευτήριο, όπως, λόγου χάρη, η ημερομηνία γέννησης. Αυτό είναι δυνατό χωρίς να αποκαλύπτεται η ταυτότητά τους ή άλλα δεδομένα προσωπικού χαρακτήρα.

Κάτι αντίστοιχο φυσικά δεν είναι δυνατόν με μια υλική ταυτότητα: όταν την δείχνουμε σε κάποιον, αποκαλύπτουμε όλα τα ιδιοχαρακτηριστικά που περιέχει. Υπάρχει όμως ακόμα κάτι που είναι εξίσου σημαντικό από την πλευρά της προστασίας της ιδιωτικότητας: η οποιαδήποτε αρχή που έχει εκδώσει τα ψηφιακά διαπιστευτήρια σε ένα σύστημα SSI δεν είναι σε θέση να γνωρίζει για ποιό λόγο ή για ποιές υπηρεσίες τα χρησιμοποιεί ο κάτοχός τους.

Αυτή λοιπόν είναι η επανάσταση που φέρνει το SSI στο τομέα της ηλεκτρονικής ταυτοποίησης, και η τεχνολογία πίσως από αυτό ονομάζεται “επαληθεύσιμα διαπιστευτήρια” (verifiable credentials). Τα επαληθεύσιμα διαπιστευτήρια είναι ένα πρότυπο W3C για υπογεγραμμένα κοντέινερ δεδομένων ταυτότητας. Κάθε διαπιστευτήριο περιέχει ένα σύνολο ανεξάρτητων επαληθεύσημων προτάσεων (claims) σχετικά με τον κάτοχο του διαπιστευτηρίου. Αυτές οι προτάσεις διατυπώνονται από μία αρχή, η οποία στην SSI ονομάζεται εκδότης του διαπιστευτηρίου. Η οντότητα (πρόσωπο, οργανισμός ή πράγμα) στην οποία εκδίδεται το διαπιστευτήριο, δηλαδή αυτός που θα το κρατήσει στο ψηφιακό πορτοφόλι του, ονομάζεται κάτοχος του διαπιστευτηρίου. Οι προτάσεις σε ένα διαπιστευτήριο μπορούν να αναφέρουν δεδομένα σχετικά με τον κάτοχο, όπως χαρακτηριστικά (ηλικία, ύψος, βάρος, κ.λπ.), σχέσεις (μητέρα, πατέρας, εργοδότης, υπηκοότητα ή άλλα) ή δικαιώματα (ιατρικές παροχές, προνόμια βιβλιοθήκης, ιδιότητα μέλους ανταμοιβές, νόμιμα δικαιώματα και ούτω καθεξής).

Για να πληρούν τις προϋποθέσεις ενός διαπιστευτηρίου, οι προτάσεις πρέπει να είναι με κάποιο τρόπο επαληθεύσιμες. Αυτό σημαίνει ότι ένας επαληθευτής πρέπει να είναι σε θέση να προσδιορίσει τα ακόλουθα:

• Ποιος εξέδωσε το διαπιστευτήριο
• Ότι δεν έχει παραβιαστεί από τότε που εκδόθηκε
• Ότι δεν έχει λήξει ή δεν έχει ανακληθεί

Σχήμα 4

Όλα τα παραπάνω γίνονται εφικτά με το τελευταίο κομμάτι του παζλ, τα αποκεντρωμένα αναγνωριστικά (Decentralised Identifiers ‘DIDs’). Το DID είναι ένα μοναδικό αναγνωριστικό το οποίο δημιουργείται τυχαία από τη μεριά του χρήστη και είναι υπό τον πλήρη έλεγχό του. Όταν μια εκδούσα αρχή εκδίδει ένα επαληθεύσιμο διαπιστευτήριο σε ένα χρήστη, επισυνάπτει το δημόσιο DID του σε αυτό το διαπιστευτήριο. Το ίδιο δημόσιο DID αποθηκεύεται επίσης στο blockchain (βλ. Σχήμα 4). Όταν κάποιος θέλει να επαληθεύσει τη γνησιότητα/εγκυρότητα του διαπιστευτηρίου, μπορεί να το πετύχει ελέγχοντας το DID στο blockchain χωρίς να χρειάζεται να επικοινωνήσει με την αρχή που το εξέδωσε. Επίσης, δεν υπάρχει όριο στον αριθμό των DID που μπορούν να δημιουργηθούν, οπότε για κάθε επικοινωνία ή συναλλαγή στο Διαδίκτυο μπορεί κάποιος να δημιουργεί ένα καινούργιο DID και έτσι να αποτρέπει τη συσχέτιση των κινήσεών του και άρα την ιχνηλάτηση.

Σε αυτό το σημείο είναι σημαντικό να διευκρινίσουμε δύο σημεία που συνήθως παρερμηνεύονται απο πολλούς. Πρώτον, κανένα προσωπικό δεδομένο δεν αποθηκεύεται στο blockchain. Όλα τα προσωπικά δεδομένα παραμένουν στη συσκευή του χρήστη και υπό τον έλεγχό του. Αυτό που αποθηκεύεται στο blockchain είναι ο μοναδικός αριθμός DID που σχετίζεται με κάθε επαληθεύσιμο διαπιστευτήριο του χρήστη. Ο παραλήπτης ενός επαληθεύσιμου διαπιστευτηρίου θα χρησιμοποιούσε αυτόν τον αριθμό DID για να εντοπίσει το κλειδί επαλήθευσης του αποστολέα, έτσι ώστε να επικυρώσει και να αποκωδικοποιήσει τα δεδομένα στο διαπιστευτήριο. Άρα λοιπόν το blockchain χρησιμοποιείτε για την ανταλλαγή κρυπτογραφικών κλειδιών, ελλείψει μια κεντρικής αρχής που διαχειριζόταν αυτή τη πληροφορία ως τώρα. Ωστόσο, αυτά τα κλειδιά δεν θεωρούνται ανωνυμοποιημένα δεδομένα αλλά ψευδωνυμοποιημένα δεδομένα και άρα εμπίπτουν στο πεδίο εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (ΕΕ) 2016/679 (GDPR). Επιπλέον, στη περίπτωση που δεν αλλάζει το DID για κάθε συναλλαγή αλλά παραμένει το ίδιο, δημιουργούνται κίνδυνοι συσχέτισης όπως αναφέρεται και στο πρότυπο (παρ. 10.2 και 10.3) που κάνουν την εφαρμογή του GDPR ιδιαίτερα περίπλοκο θέμα. Η έκθεση της Ευρωπαϊκής Επιτροπής για την προστασία δεδομένων στην υποδομή EBSI αναλύει το παραπάνω πρόβλημα πιο διεξοδικά.

Δεύτερον, η χρήση του blockchain δεν είναι αναγκαία για τη λειτουργία ενός συστήματος SSI. Είναι μόνο ένα πιθανό εργαλείο που προσφέρει  τις λειτουργίες αποθήκευσης, ενημέρωσης, διαγραφής/ανάκλησης των DID που μπορεί να προσφέρει ένα κεντρικό σύστημα, αλλά τώρα γίνεται με αποκεντρωμένο τρόπο. Στη θέση του blockchain θα μπορούσαμε να χρησιμοποιήσουμε οποιαδήποτε τεχνολογία προσφέρει αντίστοιχες λειτουργίες, όπως για παράδειγμα η IPFS.

Σχήμα 5

Άρα λοιπόν, για να ανακεφαλαιώσουμε, το SSI υποστηρίζει μοναδικές ιδιότητες που επιτρέπουν τη προστασία της ιδιωτικότητας με τρόπο ουσιαστικό:

• Επιλεκτική Αποκάλυψη: Ο κάτοχος ενός διαπιστευτηρίου μπορεί να κοινοποιήσει μόνο τα χαρακτηριστικά αυτά που είναι απαραίτητα από τον πάροχο μιας υπηρεσίας και να παραλείψει τα υπόλοιπα (βλ. Σχήμα 5).
• Απόδειξη μηδενικής γνώσης: Ο κάτοχος ενός διαπιστευτηρίου μπορεί να αποδείξει μια ιδιότητα κάποιου χαρακτηριστικού που περιέχεται στο διαπιστευτήριο, χωρίς να αποκαλύψει την πραγματική του τιμή (π.χ. μπορείτε να αποδείξετε ότι είστε άνω των 18 χωρίς να αποκαλύψετε την ημερομηνία γέννησής σας).
• Μη συνδεσιμότητα: Η εκδοτική αρχή ενός διαπιστευτηρίου δεν είναι σε θέση να γνωρίζει για ποιό λόγο ή για ποιές υπηρεσίες το χρησιμοποιεί ο κάτοχός του. Επίσης η κάθε χρήση ενός διαπιστευτηρίου μπορεί να παραμείνει ασύνδετη με τη χρήση του σε μια διαφορετική υπηρεσία.

Το SSI ως προτεραιότητα της Ευρωπαϊκής Ένωσης

Η ΕΕ έχει υιοθετήσει το όραμα του SSI συμπεριλαμβάνοντας το «ευρωπαϊκό αυτόνομο πλαίσιο ταυτότητας» (ESSIF) ως μέρος της «ευρωπαϊκής υποδομής υπηρεσιών blockchain» (EBSI). Το EBSI είναι μια πρωτοβουλία της ΕΕ, η οποία στοχεύει στην παροχή δημόσιας υποδομής blockchain για κυβερνητικές υπηρεσίες (σε επίπεδο ΕΕ). Το ESSIF, με τη σειρά του, βασίζεται σε αυτήν την υποδομή προκειμένου να αναπτύξει και να προωθήσει λύσεις SSI. Επιπλέον, το σύστημα που θα προκύψει στα πλαίσια του ESSIF θα πρέπει να είναι συμβατό με τις νομοθεσίες GDPR και eIDAS ώστε να προσφέρει τις ανώτερες δυνατές εγγυήσεις στο επίπεδο προστασίας των ευρωπαίων πολιτών. Ο στόχος είναι να παρέχει ένα σύστημα διαχείρισης της ταυτότητας για τους πολίτες βασισμένο σε blockchain, το οποίο, αντίστοιχα με ένα πραγματικό πορτοφόλι, θα αποθηκεύει την ταυτότητα, την άδεια οδήγησης, την κάρτα υγείας, την ταυτότητα φοιτητή κ.λπ. σε ένα ψηφιακό πορτοφόλι, το οποίο θα είναι υπό τον πλήρη έλεγχο των πολιτών. Με αυτόν τον τρόπο μεταβαίνουμε στην εποχή της ψηφιακής ταυτότητας με όλα τα πλεονεκτήματα που αυτό έχει, όπως η προστασία του απορρήτου, η προστασία προσωπικών δεδομένων και ο έλεγχος μόνο από τον χρήστη.

Παράλληλα η Ευρωπαϊκή Επιτροπή πρότεινε την ενημέρωση του κανονισμού ΕΕ 910/2014 (eIDAS) για τη δημιουργία ενός Ευρωπαϊκού Πλαισίου Ψηφιακής Ταυτότητας. Αυτή η πρόταση συζητείται επί του παρόντος από τις επιτροπές του Ευρωπαϊκού Κοινοβουλίου και περιλαμβάνει αρκετές πτυχές σχετικά με το SSI. Υποστηρίζει ιδίως την ιδέα ενός «ευρωπαϊκού πορτοφολιού ψηφιακής ταυτότητας» (European Digital Identity Wallet), το οποίο είναι ένα προϊόν και μια υπηρεσία που επιτρέπει στον χρήστη να αποθηκεύει διαπιστευτήρια και χαρακτηριστικά που συνδέονται με την ταυτότητά του και να τα επιδεικνύει κατόπιν αιτήματος online και offline προκειμένου να έχουν πρόσβαση σε υπηρεσίες. Ωστόσο, η πρόταση στερείται ακόμα σαφήνειας σχετικά με κάποια μέτρα προστασίας ασφαλείας και ιδιωτικότητας, τα οποία βρίσκονται ακόμα υπό συζήτηση. Η έκθεση που δημοσιεύτηκε πρόσφατα με την υποστήριξη της EDRi παίρνει κριτική στάση απέναντι στην παρούσα πρόταση και προτείνει συγκεκριμένες βελτιώσεις.

Σε εθνικό επίπεδο πολλές Ευρωπαϊκές χώρες έχουν ήδη ανακοινώσει πρωτοβουλίες για την προώθηση ενός αποκεντρωμένου πορτοφολιού ψηφιακής ταυτότητας, συμπεριλαμβανομένων της Γερμανίας, Φινλανδίας και Ισπανίας. Αλλά και εκτός Ευρωπαϊκής ένωσης αξίζει να αναφέρουμε τα παραδείγματα του Καναδά (Βρετανική Κολούμπια, Οντάριο) και της Λατινικής Αμερικής. Η έκθεση που δημοσίευσε την περασμένη εβδομάδα ο ENISA πάνω στις τεχνολογίες SSI δίνει μια ολοκληρωμένη εικόνα των πρωτοβουλιών SSI που βρίσκονται σε εξέλιξη στην Ευρώπη.

Τέλος αξίζει να τονίσουμε ότι υποδομές δεδομένων στην Ευρώπη όπως το GAIA-X θα χρησιμοποιούν επίσης το SSI για επαλήθευση της ταυτότητας και εξουσιοδότηση του χρήστη, καθώς το επίπεδο που εξασφαλίζει το άνοιγμα ενός απλού λογαριασμού πελάτη είναι ανεπαρκές και η απαραίτητη ασφάλεια καθίσταται δυνατή μόνο με την επαλήθευση της ταυτότητας του χρήστη, κάτι που το SSI μπορεί να εξασφαλίσει σεβόμενο παράλληλα την ιδιωτικότητα των χρηστών.

Εκκρεμούντα ζητήματα

H ακριβής υλοποίηση και οι τεχνικές προδιαγραφές των δομικών λίθων του SSI όπως π.χ. του πορτοφολιού ψηφιακής ταυτότητας  δεν έχουν ακόμη καθοριστεί, και πολλά τεχνικά θέματα παραμένουν ανοιχτά. Ένα θεμελιώδες θέμα που εκκρεμεί είναι η διακυβέρνηση συστημάτων SSI για τη διαχείριση της εμπιστοσύνης και οι τεχνικές λύσεις που απαιτούνται ως επακόλουθο.

Με την αφαίρεση των ενδιάμεσων που είχαν τον έλεγχο των κρυπτογραφικών κλειδιών στα κεντροποιημένα συστήματα, ο έλεγχος αυτών των κλειδιών περνάει στους χρήστες στα συστήματα SSI. Μόνο ο χρήστης ξέρει και ελέγχει πλέον το ιδιωτικό κλειδί που αντιστοιχεί στο DID του, το οποίο είναι αποθηκευμένο στο ψηφιακό του πορτοφόλι. Με αυτό το κλειδί υπογράφει όλα τα διαπιστευτήρια που παρουσιάζει στον επαληθευτή. Οπότε δημιουργείται αμέσως ένα σημαντικό ζήτημα εμπιστοσύνης: Πώς μπορεί ένας επαληθευτής να είναι σίγουρος ότι το κλειδί του χρήστη πίσω από τα επαληθεύσιμα διαπιστευτήρια δεν έχει παραβιαστεί; Αυτό μεταφράζεται καλύτερα στο εξής ερώτημα: Αν το ψηφιακό πορτοφόλι βρίσκεται αποθηκευμένο στη κινητή συσκευή του χρήση, πώς μπορούμε να είμαστε σίγουροι ότι η συσκευή αυτή δεν έχει παραβιαστεί από έναν εισβολέα ο οποίος έχει πλέον τον έλεγχο του ψηφιακού πορτοφολιού και των κλειδιών; Αυτό απαιτεί μηχανισμούς ασφαλείας με χρήση τεχνολογιών όπως Trusted Computing, ώστε να μπορέσουμε να επαληθεύσουμε την ορθότητα του πορτοφολιού (ως λογισμικό). Στην Ελλάδα η εταιρία Ubitech πρωτοπορεί στην ανάπτυξη τέτοιων λύσεων στα πλαίσια του ESSIF.

Ένα αντίστοιχο πρόβλημα εμπιστοσύνης που πρέπει να αντιμετωπίσουν τα συστήματα που βασίζονται σε SSI είναι: Πώς μπορεί κανείς να εμπιστευτεί ότι η οντότητα που εκδίδει τα διαπιστευτήρια είναι στην πραγματικότητα η οντότητα που ισχυρίζεται ότι είναι; Το SSI από μόνο του επιτρέπει σε οποιοδήποτε να εκδίδει διαπιστευτήρια. Οπότε εάν, για παράδειγμα, κάποιος μπορούσε να εκδώσει διαπιστευτήρια στο όνομα του «Πανεπιστημίου Πατρών», προκύπτει σαφώς πρόβλημα εμπιστοσύνης. Ένας επαληθευτής θα πρέπει να μπορεί να επαληθεύσει την ταυτότητα του εκδότη μέσω ενός κοινού πλαισίου εμπιστοσύνης. Για παράδειγμα θα μπορούσε το eIDAS να πάρει αυτό το ρόλο αλλά δεν αρκεί να καλύψει όλο το εύρος εφαρμογών. Υπάρχουν λοιπόν πρότζεκτ, και πάλι στα πλαίσια του ESSIF, που δουλεύουν προς αυτή τη κατεύθυνση.

Ένα άλλο μεγάλο θέμα που παραμένει ανοιχτό είναι το ερώτημα εάν θα μπορέσει ένας χρήστης να πάρει το βάρος της διαχείρισης της ψηφιακής του ταυτότητας πάνω του και να καταβάλλει αυτήν την επιπλέον προσπάθεια από το μέρος του χωρίς να χρειάζεται να βασίζεται σε τρίτους. Για παράδειγμα, ένα πρόβλημα είναι η διαχείριση του ψηφιακού πορτοφολιού και των κρυπτογραφικών κλειδιών που συνδέονται με αυτό.  Σε αυτήν την περίπτωση, το backup και η ανάκτηση των κλειδιών γίνεται αποκλειστική ευθύνη του χρήστη με όλες τις συνέπειες σε περίπτωση μόνιμης απώλειας. Για να μπορέσουν οι περισσότερους χρήστες να το διαχειριστούν αυτό, θα πρέπει να εμπλακεί κάποιος τρίτος για να το αναλάβει εκ μέρους τους, δημιουργώντας την ανάγκη ενός συμβιβασμού από μεριάς ιδιωτικότητας για περισσότερη ευκολία. Έτσι λοιπόν αναπτύσσονται μηχανισμοί όπως τα Αποκεντρωμένα Συστήματα Διαχείρισης Κλειδιών (DKMS), κάτω από ένα παγκόσμιο διαλειτουργικό πρότυπο για φορητά ψηφιακά πορτοφόλια. Το DKMS θα επιτρέπει στους χρήστες να βασίζονται σε μια εφαρμογή τρίτου για τη διαχείριση των ψηφιακών πορτοφολιών τους, και ειδικότερα να βοηθά στην ανάκτηση κλειδιών.

Συμπεράσματα

Η ψηφιακή ταυτοποίηση αποτελεί θεμελιώδη λίθο όχι μόνο για την επιτυχία της ψηφιοποίησης στην εποχή μας, αλλά και για τη διατήρηση μιας ανοιχτής, δημοκρατικής και βιώσιμης κοινωνίας. Για αξιόπιστες και ασφαλείς αλληλεπιδράσεις η τεχνολογία SSI μπορεί να εξασφαλίσει το κατάλληλο πλαίσιο αναγνώρισης και επαλήθευσης ψηφιακών ταυτοτήτων με επίκεντρο τον χρήστη, ο οποίος καταστείται κυρίαρχος των δεδομένων του.

Ωστόσο, είναι ζωτικής σημασίας τα συστήματα ψηφιακής ταυτότητας να σχεδιάζονται, να εφαρμόζονται και να ρυθμίζονται υπεύθυνα για να διασφαλίζονται τα απαραίτητα πρότυπα ιδιωτικότητας και ασφάλειας. Αυτό δεν είναι μόνο τεχνικό πρόβλημα, αλλά απαιτεί την στενή συνεργασία των νομοθετικών και ρυθμιστικών φορέων που σχεδιάζουν ή ελέγχουν τέτοια συστήματα με εμπειρογνώμονες σε θέματα ασφάλειας, οργανώσεις προστασίας των ψηφιακών δικαιωμάτων, υποστηρικτές των πολιτικών δικαιωμάτων και άλλους ενδιαφερόμενους φορείς.

Παρακάτω ανακεφαλαιώνουμε αυτά που θεωρούμε ως σημαντικότερα συμπεράσματα μέσα από την ανάλυση που κάναμε σε αυτό το άρθρο:

• Τα συστήματα SSI δεν είναι απαραίτητο να βασίζονται στη χρήση blockchain. Κάτι τέτοιο αυξάνει την πολυπλοκότητα του συνολικού συστήματος με πρωτόκολλα και διαδικασίες για τις οποίες δεν υπάρχουν ακόμη αξιόπιστα στοιχεία για την ασφάλειά τους ούτε έχουν ολοκληρωθεί ακόμα οι διαδικασίες τυποποίησής τους. Στη περίπτωση που καταφύγουμε στη λύση του blockchain θα πρέπει να διασφαλίζεται ότι δεν αποθηκεύονται εκεί προσωπικά δεδομένα ούτε επιτρέπεται η διεξαγωγή συμπερασμάτων σχετικά με το ευαίσθητο περιεχόμενο των διαπιστευτηρίων, καθώς η αποθήκευση πληροφοριών στο blockchain είναι μόνιμη και δεν υπάρχει τεχνικά η δυνατότητα διαγραφής.
• Η διαχείριση των κλειδιών παίζει πολύ σημαντικό ρόλο στα συστήματα SSI. Η απώλεια των ιδιωτικών κλειδιών δεν μπορεί να αποφευχθεί πάντα, αλλά αυτό δεν θα πρέπει να οδηγεί στην απώλεια των αντίστοιχων διαπιστευτηρίων. Είναι απαραίτητος ένας μηχανισμός ανάκτησης κλειδιών που να συνοδεύεται με υψηλό επίπεδο μέτρων ασφαλείας λειτουργούν τοπικά στην συσκευή του χρήστη, αλλά τις διαχειρίζεται μια εξωτερική υπηρεσία (π.χ. στο cloud), τότε ο χρήστης εξαρτάται από την εν λόγω υπηρεσία καθώς και από την διαθεσιμότητά της. Αυτό περιορίζει σε ένα βαθμό την κυριαρχία του πάνω στα δεδομένα ταυτότητάς του.
• Θα πρέπει να υπάρχει ένα σαφώς καθορισμένο μοντέλο για την διαμόρφωση εμπιστοσύνης μεταξύ όλων των εμπλεκομένων σε ένα σύστημα SSI. Ειδικότερα από τη πλευρά του χρήστη, η σύνδεση των ψηφιακών δεδομένων ταυτότητας με τον κάτοχό τους πρέπει να διασφαλίζεται με τεχνικά μέτρα. Πρέπει να διασφαλίζεται ότι μόνο ο κάτοχος της ταυτότητας μπορεί να χρησιμοποιεί τα διαπιστευτήρια και ότι δεν επιτρέπεται να τα διαβιβάσει σε τρίτους. Θα πρέπει να εξασφαλίζεται επίσης ότι κανένας τρίτος δεν έχει τη δυνατότητα  να πάρει τον έλεγχο του ψηφιακού πορτοφολιού και των κλειδιών του χρήστη.

* Ο Ιωάννης Κροντήρης είναι απόφοιτος του τμήματος Μηχανικών Η/Υ του Πολυτεχνείου Κρήτης και κατέχει διδακτορικό τίτλο στην Πληροφορική από το Πανεπιστήμιο του Mannheim της Γερμανίας. Απο το 2014 εργάζεται ως ερευνητής σε θέματα τεχνολογιών προστασίας της ιδιωτικότητας στο ερευνητικό κέντρο της Huawei στο Μόναχο.

Γράφει η Κίρκη Πατσιαντά*

Η Διεθνής Σύμβαση για τα Δικαιώματα του Παιδιού υιοθετήθηκε από τη Γενική Συνέλευση των Ηνωμένων Εθνών το 1989 και μέχρι στιγμής δεσμεύει 196 κράτη, ένα εκ των οποίων είναι και η Ελλάδα (Νόμος 2101/1992).

Θεωρείται η Σύμβαση που χαίρει, διεθνώς, της μεγαλύτερης αποδοχής και περιλαμβάνει το πλήρες φάσμα των δικαιωμάτων – οικονομικών, κοινωνικών, πολιτιστικών, ατομικών και πολιτικών – που πρέπει να απολαμβάνουν τα παιδιά.

Η εν λόγω Σύμβαση θεωρείται “pre-digital”, καθώς, την εποχή που συντάσσονταν, δεν μπορούσε κανείς να φανταστεί την επιρροή που θα είχε ο ψηφιακός κόσμος στη ζωή των παιδιών και έτσι δεν περιλαμβάνει κάποια αναφορά σε αυτόν.

Εντούτοις, το περιεχόμενό της είναι απόλυτα δυναμικό και, συνακόλουθα, πλήρως εφαρμόσιμο στις δυνατότητες και στις προκλήσεις που παρουσιάζει για τα δικαιώματα του παιδιού η ψηφιακή εποχή.

Επιβεβαίωση του γεγονότος αυτού αποτελεί το Γενικό Σχόλιο Ν°25 αναφορικά με τα δικαιώματα των παιδιών στο ψηφιακό περιβάλλον, που υιοθετήθηκε από την Επιτροπή Δικαιωμάτων του Παιδιού τον Μάρτιο του 2021.

Η Επιτροπή Δικαιωμάτων του Παιδιού είναι το όργανο που επιβλέπει την εφαρμογή της Σύμβασης.

Τα κράτη που δεσμεύονται από τη Σύμβαση οφείλουν να υποβάλουν εκθέσεις στην Επιτροπή σχετικά με την κατάσταση των δικαιωμάτων των παιδιών στην επικράτειά τους, προκειμένου η Επιτροπή να τις εξετάσει και να προβεί σε ανάλογες συστάσεις.

Η Επιτροπή δεν μπορεί να επιβάλει κυρώσεις σε κάποιο κράτος σε περίπτωση παραβιάσεων των δικαιωμάτων του παιδιού, αλλά οι διαπιστώσεις της ασκούν πίεση στις κυβερνήσεις και εκθέτουν σε παγκόσμιο επίπεδο τα κακώς κείμενα των κρατών.

Επίσης, η Επιτροπή ερμηνεύει τα δικαιώματα του παιδιού σε σχέση με συγκεκριμένα θέματα υπό τη μορφή Γενικών Σχολίων.

Αυτό ακριβώς έγινε λοιπόν και εδώ. Η Επιτροπή, με ένα ιστορικό και πρωτοποριακό Γενικό Σχόλιο, στη διαβούλευση για τη σύνταξη του οποίου συμμετείχαν 709 παιδιά από 28 χώρες, δηλώνει ρητώς και για πρώτη φορά ότι τα δικαιώματα του παιδιού, όπως κατοχυρώνονται από τη Σύμβαση, έχουν πλήρη εφαρμογή και στο ψηφιακό περιβάλλον.

Με άλλα λόγια, η προώθηση και προστασία των δικαιωμάτων των παιδιών πρέπει να πραγματοποιείται με την ίδια συνέπεια τόσο offline όσο και online.

Το Γενικό Σχόλιο Ν°25 δεν υπογραμμίζει μόνο την αναμφισβήτητη ισχύ των δικαιωμάτων των παιδιών στο ψηφιακό κόσμο.

Είναι παράλληλα ένα μέσο για την αποτελεσματική υλοποίησή τους, υποδεικνύοντας τις κατάλληλες διόδους.

Απευθύνεται στις κυβερνήσεις, που πρέπει να το αντιμετωπίσουν ως τον πρωταρχικό τους σύμβουλο στη διαμόρφωση των σχετικών πολιτικών και νόμων, αλλά και στα ίδια τα παιδιά, στους επαγγελματίες που δουλεύουν με ή για αυτά, στους γονείς και στην κοινωνία γενικότερα, καθώς τους προσφέρει ουσιαστικά εφόδια, για να διεκδικήσουν από το κράτος ένα ψηφιακό περιβάλλον που σέβεται το σύνολο των δικαιωμάτων του παιδιού.

Επιπρόσθετα, τα κράτη, στις εκθέσεις που υποχρεούνται να υποβάλουν στην Επιτροπή, πρέπει να αναφέρονται πλέον στην κατάσταση των δικαιωμάτων των παιδιών στο ψηφιακό περιβάλλον και να υπόκεινται έτσι στο έλεγχό της.

Στο Γενικό Σχόλιο αναφέρεται και η Στρατηγική της Ευρωπαϊκής Ένωσης για τα δικαιώματα του παιδιού (2021-2024), που υιοθετήθηκε πρόσφατα, αναγνωρίζοντας τη σπουδαιότητά του για την ερμηνεία των δικαιωμάτων των παιδιών στο ψηφιακό περιβάλλον.

Βασικό χαρακτηριστικό του Γενικού Σχολίου είναι η προσπάθεια επίτευξης ισορροπίας ανάμεσα στην ανάγκη προστασίας των παιδιών από τους κινδύνους που παρουσιάζει για αυτά το διαδίκτυο και στην αναγνώριση των δυνατοτήτων που τους δίνει για την άσκηση των δικαιωμάτων τους.

Ειδικότερα, το Γενικό Σχόλιο αναλύει καταρχάς, υπό το πρίσμα του ψηφιακού κόσμου, τις τέσσερις βασικές αρχές της Σύμβασης:

• το δικαίωμα του παιδιού στη μη διάκριση, που συνεπάγεται την ίση πρόσβαση όλων των παιδιών στο ψηφιακό περιβάλλον και την καταπολέμηση του ψηφιακού αποκλεισμού
• την έννοια του ύψιστου συμφέροντος του παιδιού, που πρέπει να λαμβάνεται πρωτίστως  υπόψη σε κάθε ενέργεια σχετική με το σχεδιασμό, τη διαχείριση και τη χρήση του ψηφιακού περιβάλλοντος
• το δικαίωμα του παιδιού στη ζωή, την επιβίωση και την ανάπτυξη, δίνοντας έμφαση στη σημασία που έχει το internet για τα παιδιά σε περιόδους κρίσεων
• το δικαίωμα του παιδιού να εκφράζει ελεύθερα την άποψή του σχετικά με θέματα που το αφορούν, αναγνωρίζοντας την πληθώρα των ευκαιριών που παρέχει σχετικά το διαδίκτυο

Έπειτα, τονίζεται το πόσο σημαντικό είναι να προσαρμόζονται τα μέτρα προστασίας και οι όροι πρόσβασης των παιδιών στο ψηφιακό περιβάλλον στην εξέλιξη των ικανοτήτων τους όσο αυτά μεγαλώνουν και αποκτούν μεγαλύτερη αυτονομία, πράγμα που σημαίνει ότι και οι γονείς τους οφείλουν να μάθουν να σέβονται την ανεξαρτησία των παιδιών τους online, καθώς αυτά ωριμάζουν και εξελίσσονται.

Υποδεικνύοντας τους διάφορες πρακτικές μεθόδους, το Γενικό Σχόλιο καλεί τα κράτη κυρίως:

• να φροντίσουν ότι το ισχύον νομικό πλαίσιο αναφορικά με το ψηφιακό περιβάλλον  σέβεται τα δικαιώματα των παιδιών
• να εντάξουν στην εθνική τους στρατηγική για τα δικαιώματα του παιδιού την online διάσταση αυτών
• να ορίσουν έναν κρατικό φορέα που θα ασχολείται με την υλοποίηση των δικαιωμάτων του παιδιού online
• να μεριμνήσουν για την παροχή επιμόρφωσης στα δικαιώματα του παιδιού στο ψηφιακό περιβάλλον στους επαγγελματίες που εργάζονται με ή για τα παιδιά, σε όσους εργάζονται στον επιχειρηματικό τομέα και στη βιομηχανία της τεχνολογίας
• να εξασφαλίσουν ότι οι επιχειρήσεις σέβονται τα δικαιώματα του παιδιού στο διαδίκτυο
• να λαμβάνουν πρωτίστως υπόψη το συμφέρον των παιδιών, όταν θέτουν τους κανόνες που διέπουν τις online διαφημίσεις που τα αφορούν
• να προβλέψουν κατάλληλες δικαστικές και εξωδικαστικές διόδους για την καταγγελία παραβιάσεων των δικαιωμάτων των παιδιών στο ψηφιακό περιβάλλον
• να εγγυηθούν στον ψηφιακό κόσμο το δικαίωμα του παιδιού στην ελευθερία της έκφρασης και στην πρόσβαση σε πληροφορίες, το δικαίωμά του για ελευθερία σκέψης, συνείδησης και θρησκείας, το δικαίωμα του να συνεταιρίζεται και να συνέρχεται ειρηνικά
• να διαφυλάξουν την ιδιωτική ζωή και τα δεδομένα προσωπικού χαρακτήρα των παιδιών στο ψηφιακό περιβάλλον
• να προστατέψουν τα παιδιά από κάθε μορφή εκμετάλλευσης και βίας στο διαδίκτυο
• να εξασφαλίσουν την ψηφιακή μόρφωση των γονιών
• να φροντίσουν για την ουσιαστική υλοποίηση online του δικαιώματος του παιδιού στην υγεία, στην εκπαίδευση, στο παιχνίδι
• να υιοθετήσουν παιδοκεντρική προσέγγιση σε ζητήματα σχετικά με την ψηφιακή τεχνολογία στο πλαίσιο της δικαιοσύνης ανηλίκων (π.χ. χρήση λογισμικού αναγνώρισης προσώπου σε παιδιά ύποπτα για τη διάπραξη αδικημάτων)

Η προάσπιση των δικαιωμάτων του παιδιού offline είναι ήδη άκρως απαιτητική αποστολή. Η ψηφιακή της διάσταση φαίνεται ακόμα πιο περίπλοκη. Ωστόσο, έχουμε πια πολύτιμες κατευθυντήριες αρχές να λάβουμε υπόψη όλοι μας. Και δεν πρέπει να αργήσουμε να το κάνουμε.

*Η Κίρκη Πατσιαντά είναι δικηγόρος, Δ.Ν., με ειδίκευση στο Ευρωπαϊκό Δίκαιο Δικαιωμάτων του Ανθρώπου. Ασχολείται ιδιαίτερα με τα δικαιώματα του παιδιού τόσο ερευνητικά όσο και στην πράξη.