<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
Hi Torsten,
<div class=""><br class="">
</div>
<div class="">Thanks for your reply. My comments are also inline.</div>
<div class=""><br class="">
</div>
<div class="">
<div>
<blockquote type="cite" class="">
<div class="">
<div class="">
<div class="">
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">
<div style="word-wrap:break-word;line-break:after-white-space" class="">
<div class="">
<div class="">
<blockquote type="cite" class="">
<div class="">
<div style="word-wrap:break-word;line-break:after-white-space" class="">
<div dir="auto" style="word-wrap:break-word;line-break:after-white-space" class="">
<div dir="auto" style="word-wrap:break-word;line-break:after-white-space" class="">
<div class=""><br class="">
</div>
<div class=""><a href="https://openid.net/specs/openid-connect-4-identity-assurance-1_0.html" target="_blank" class="">https://openid.net/specs/openid-connect-4-identity-assurance-1_0.html</a></div>
<div class="">
<div class=""><br class="">
</div>
<div class="">The "OIDC for identity Assurance” specs introduce a number of claims, in addition to the ones specificied by OIDC core.</div>
<div class="">In OIDC Core, there are 2 mechanisms to request claims:</div>
<div class="">- one is by usage of OAuth-scopes, (section 5.4 of Core spec)</div>
<div class="">- one by usage of the “claims” parameter in the request. (section 5.5 of Core spec)</div>
<div class="">Section 5 of the OIDC—identity-assurance specs indicate the usage of the claims pararameter. This may suggest it’s the only mechanism to be used in the context of Identity Assurance.</div>
<div class="">My view is that also the ’scope’ mechanism should be supported and may even be preferred for certain use cases.</div>
<div class=""><i class=""><b class="">Please enhance the specification to be more explicit about usage of scopes as a means to request verified claims.</b></i></div>
<div class=""><br class="">
</div>
<div class="">Usage of ’scope’ to request verified claims makes sense to me because in a typical “identity landscape” the requested claims do not vary on a request-by-request basis, but instead are a reflection of an RP’s functionality which can be rather static.
 By pre-defining/configuring scopes at the OP (potentially in terms of ’essential’, ’trust_framework’, etc..), the scope is essentially a profile of the claim request. This would not only simplify the protocol implementation both at the RP and OP side, but
 it would also make it easier for the OP to make the authorisation decision whether or not the RP will be granted the requested verified claims. '<span style="background-color:rgb(255,255,255)" class=""><font face="Noto Sans, Arial, Helvetica, sans-serif" style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;color:rgb(34,34,34)" class=""><span style="font-size:14px;font-family:"Noto Sans",Arial,Helvetica,sans-serif" class="">It
 is at the discretion of the OP to decide whether the requested verification data is provided to the RP.</span><span style="font-size:14px;font-family:"Noto Sans",Arial,Helvetica,sans-serif" class="">’</span><span style="font-size:14px;font-family:"Noto Sans",Arial,Helvetica,sans-serif" class=""> Making
 this decision is much easier when a request includes a scope as a reference to a predefined profile of requested end-user claims and associated verification data.
<i style="font-family:"Noto Sans",Arial,Helvetica,sans-serif" class=""><b style="font-family:"Noto Sans",Arial,Helvetica,sans-serif" class="">My suggestion is to consider including such a mechanism in the specifications.</b></i></span></font></span></div>
<div class=""><span style="background-color:rgb(255,255,255)" class=""><font face="Noto Sans, Arial, Helvetica, sans-serif" style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;color:rgb(34,34,34)" class=""><span style="font-size:14px;font-family:"Noto Sans",Arial,Helvetica,sans-serif" class=""></span></font></span></div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</blockquote>
<div dir="auto" class=""><br class="">
</div>
</div>
</div>
</div>
<div class="">
<div class="">
<div class="gmail_quote">
<div dir="auto" class="">What do you have in mind? I agree a certain RP or deployment could define scope values as short cut to request certain verified claims. However, the number and value range of verification elements + the number of end user claims creates
 is so big I cannot envision how the spec could define concrete scope values. </div>
</div>
</div>
</div>
</div>
</blockquote>
<div><br class="">
</div>
<div>Yes, so what i had in mind is that the spec would acknowledge the practice of defining a ‘custom' scope value as shortcut to request certain claims. The current spec only mentions the ‘claims’ request parameter as mechanism to request claims, which I see
 as somewhat ambigous The spec could mention both mechanisms as valid options and leave it to the the implementor to make a choice which mechanism is more appropriate. </div>
<div>My preference is the ’scope’ approach, since it fits into what i see as a typical situation where the interaction between RP and OP has a more ’static’ nature. </div>
<div>I could imagine the spec even stating perceived pros&cons of both approaches. Claims approach gives a lot of flexibility to vary on a request-by-request basis. The scope approach is easier in situations where there is a ’static’ interaction between OP
 and RP; i.e. an RP may always want to receive the same set of claims, for the same data processing and purpose, etc.</div>
<br class="">
<blockquote type="cite" class="">
<div class="">
<div class="">
<div class="">
<div class="gmail_quote">
<div dir="auto" class="">Additionally, the spec no longer defines values for trust frameworks, verification methods and evidence, i.e. there are unknown values from a spec perspective.</div>
</div>
</div>
</div>
<div class="">
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">
<div style="word-wrap:break-word;line-break:after-white-space" class="">
<div class="">
<div class="">
<blockquote type="cite" class="">
<div class="">
<div style="word-wrap:break-word;line-break:after-white-space" class="">
<div dir="auto" style="word-wrap:break-word;line-break:after-white-space" class="">
<div dir="auto" style="word-wrap:break-word;line-break:after-white-space" class="">
<div class="">
<div class=""><span style="background-color:rgb(255,255,255)" class=""><font face="Noto Sans, Arial, Helvetica, sans-serif" style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;color:rgb(34,34,34)" class=""><span style="font-size:14px;font-family:"Noto Sans",Arial,Helvetica,sans-serif" class=""><br class="">
</span></font></span></div>
<div class=""><span style="background-color:rgb(255,255,255)" class=""><font face="Noto Sans, Arial, Helvetica, sans-serif" style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;color:rgb(34,34,34)" class=""><span style="font-size:14px;font-family:"Noto Sans",Arial,Helvetica,sans-serif" class="">My
 second observation is about the optional ‘purpose’ parameter in a claims request. The specs state that </span></font></span><span style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px;font-variant-ligatures:normal;background-color:rgb(255,255,255);color:rgb(34,34,34)" class="">the
 OP MUST display this purpose in the respective user consent screen(s) in order to inform the user about the designated use of the data to be transferred or the authorization to be approved. If the parameter </span><code style="font-family:"Roboto Mono",monospace;font-size:13.3px;font-variant-ligatures:normal;background-color:rgb(249,249,249);color:rgb(34,34,34)" class="">purpose</code><span style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px;font-variant-ligatures:normal;background-color:rgb(255,255,255);color:rgb(34,34,34)" class=""> is
 not present in the request, the OP MAY display a value that was pre-configured for the respective RP.’ </span></div>
<div class=""><span style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px;font-variant-ligatures:normal;background-color:rgb(255,255,255);color:rgb(34,34,34)" class="">This part of the specification assumes or seems to imply that the user
 gets a consent screen every time that verified data is requested. I think that this is not realistic:</span></div>
<div class=""><span style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px;font-variant-ligatures:normal;background-color:rgb(255,255,255);color:rgb(34,34,34)" class="">- it is common practice that certain consents are included in a Privacy
 Policy (PP) and/or Terms of Service (ToS). The user gives his consent once and the consent is persisted at the OP for future purposes.</span></div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</blockquote>
<div dir="auto" class=""><br class="">
</div>
</div>
<div class="">
<div dir="auto" class="">Are you referring to ToS/PP of the RP or the OP?</div>
</div>
</div>
</blockquote>
<div><br class="">
</div>
<div>Good question. I think it could be either one or maybe even both. My understanding of the European GDPR is that the OP may need the user’s consent to provide data to the RP
<i class=""><b class="">and</b></i> the RP needs a legal ground to collect a person’s data. This is assuming that RP and OP are different legal entities / Data Controllers. Different scenario’s can also be possible where OP and/or RP (from a legal perspecrive)
 could be Data Controller or Data Processor. Moreover, i think legal entities can even delegate the responsibility to get a user’s consent (if consent is the legal ground that is applicable)</div>
<div><br class="">
</div>
<br class="">
<blockquote type="cite" class="">
<div class="">
<div class="">
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">
<div style="word-wrap:break-word;line-break:after-white-space" class="">
<div class="">
<div class="">
<blockquote type="cite" class="">
<div class="">
<div style="word-wrap:break-word;line-break:after-white-space" class="">
<div dir="auto" style="word-wrap:break-word;line-break:after-white-space" class="">
<div dir="auto" style="word-wrap:break-word;line-break:after-white-space" class="">
<div class="">
<div class=""><span style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px;font-variant-ligatures:normal;background-color:rgb(255,255,255);color:rgb(34,34,34)" class=""></span></div>
<div class=""><span style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px;font-variant-ligatures:normal;background-color:rgb(255,255,255);color:rgb(34,34,34)" class="">- if not in PP or ToS, a consent screen may be presented only ‘once’ and
 the user’s consent is taken to be valid for the next 6 months (as an example)</span></div>
<div class=""><span style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px;font-variant-ligatures:normal;background-color:rgb(255,255,255);color:rgb(34,34,34)" class="">- in some situations there are other legal grounds/reasons/purposes to
 request the claims and verification data. Besides ‘consent’, the European GDPR indicates other legal grounds (contract, vital interest, legal obligation, ..). When an RP asks for a verified claim, it may do so based on a legal obligation and the user’s consent
 would not be needed.</span></div>
<div class=""><span style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px;font-variant-ligatures:normal;background-color:rgb(255,255,255);color:rgb(34,34,34)" class="">- Privacy regulations aim at situations where personal data is exchanged
 between legal entities (data controllers, data processors). From an IT perspective, the OP and the RP may be operated by the same entity (for example an Insurance company as data controller that is both the data controller for the OP and various RPs) so consent
 would not apply at the moment of requesting the claim. The consent should already have been given at the moment the personal data was provided to the OP.</span></div>
<div class=""><span style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px;font-variant-ligatures:normal;background-color:rgb(255,255,255);color:rgb(34,34,34)" class=""><b style="font-family:"Noto Sans",Arial,Helvetica,sans-serif" class=""><i style="font-family:"Noto Sans",Arial,Helvetica,sans-serif" class="">My
 proposal would be that the ‘purpose’ could be a string (as per current specification) or a reference to a ‘purpose’ that has already been established somewhere.</i></b> This approach makes it easier for the OP to make the decision to provide the requested
 data or not.</span></div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</blockquote>
<div dir="auto" class=""><br class="">
</div>
</div>
<div class="">
<div dir="auto" class="">I agree the text is too strong. The purpose should be used to further inform the user in case a user consent screen is required. I will try to change the text accordingly.</div>
</div>
</div>
</blockquote>
<div><br class="">
</div>
<div>Extending my previous replies, my suggestion would be that the eKYC standard would not ‘enforce’ or assume whatever particular legal set-up of responsibilities, but instead facilitate any legal context and/or interpretation.</div>
<div>I think the way to do so would be to include the possibility to include one or more references to types of
<b class=""><i class="">data processing</i></b> (‘purposes’) that should somehow be legally covered.</div>
<div>How this ‘legal cover’ is arranged for may vary per implementation:</div>
<div>- Is the OP Data Controller or Data Processer? Is the RP Data Controller or Data Processer?</div>
<div>- Does the intended data processing require the user’s consent or does one of the other legal grounds apply?</div>
<div>- Did RP and OP agree on some delegation about getting the user’s consent (if needed)?</div>
<div>In this way the protocol can facilitate any set-up in a transparant way, without making assumptions on legal reponsibilities at either OP and/or RP.</div>
<div><br class="">
</div>
<br class="">
<blockquote type="cite" class="">
<div class="">
<div class="">
<div class="">
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">
<div style="word-wrap:break-word;line-break:after-white-space" class="">
<div class="">
<div class="">
<blockquote type="cite" class="">
<div class="">
<div style="word-wrap:break-word;line-break:after-white-space" class="">
<div dir="auto" style="word-wrap:break-word;line-break:after-white-space" class="">
<div dir="auto" style="word-wrap:break-word;line-break:after-white-space" class="">
<div class="">
<div class=""><span style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px;font-variant-ligatures:normal;background-color:rgb(255,255,255);color:rgb(34,34,34)" class=""></span></div>
<div class=""><span style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px;font-variant-ligatures:normal;background-color:rgb(255,255,255);color:rgb(34,34,34)" class=""><br class="">
</span></div>
<div class=""><font face="Noto Sans, Arial, Helvetica, sans-serif" style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;color:rgb(34,34,34)" class=""><span style="font-size:14px;font-family:"Noto Sans",Arial,Helvetica,sans-serif;background-color:rgb(255,255,255)" class=""><b style="font-family:"Noto Sans",Arial,Helvetica,sans-serif" class=""><i style="font-family:"Noto Sans",Arial,Helvetica,sans-serif" class="">Furthermore,
 it could be considered to extend the list of verification methods with the ones defined by NISTIR 8112.</i></b></span></font></div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</blockquote>
<div dir="auto" class=""><br class="">
</div>
<div dir="auto" class="">You mean „Document Verification”, “Record Verification”, “Document Verification with Record Verification”, <span style="border-color:rgb(0,0,0)" class="">“Proof of Possession”, “Probabilistic Verification”, „Not Verified”? We could
 add this to our Wiki. May I ask you to add the values?</span></div>
</div>
</div>
</div>
</div>
</blockquote>
<div><br class="">
</div>
Yes that’s what I meant. I need to familiarize with the wiki.<br class="">
<blockquote type="cite" class="">
<div class="">
<div class="">
<div class="">
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">
<div style="word-wrap:break-word;line-break:after-white-space" class="">
<div class="">
<div class="">
<blockquote type="cite" class="">
<div class="">
<div style="word-wrap:break-word;line-break:after-white-space" class="">
<div dir="auto" style="word-wrap:break-word;line-break:after-white-space" class="">
<div dir="auto" style="word-wrap:break-word;line-break:after-white-space" class="">
<div class="">
<div class=""><font face="Noto Sans, Arial, Helvetica, sans-serif" style="font-family:"Noto Sans",Arial,Helvetica,sans-serif;color:rgb(34,34,34)" class=""><span style="font-size:14px;font-family:"Noto Sans",Arial,Helvetica,sans-serif;background-color:rgb(255,255,255)" class=""><b style="font-family:"Noto Sans",Arial,Helvetica,sans-serif" class=""><i style="font-family:"Noto Sans",Arial,Helvetica,sans-serif" class=""></i></b></span></font></div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
<div style="word-wrap:break-word;line-break:after-white-space" class="">
<div class="">
<div class="">
<blockquote type="cite" class="">
<div class="">
<div style="word-wrap:break-word;line-break:after-white-space" class="">
<div dir="auto" style="word-wrap:break-word;line-break:after-white-space" class="">
<div dir="auto" style="word-wrap:break-word;line-break:after-white-space" class="">
<div class=""></div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<br class="">
</div>
</div>
-- <br class="">
Openid-specs-ekyc-ida mailing list<br class="">
<a href="mailto:Openid-specs-ekyc-ida@lists.openid.net" target="_blank" class="">Openid-specs-ekyc-ida@lists.openid.net</a><br class="">
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ekyc-ida" rel="noreferrer" target="_blank" class="">http://lists.openid.net/mailman/listinfo/openid-specs-ekyc-ida</a><br class="">
</blockquote>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<br class="">
</div>
</body>
</html>