(suomeksi alla)

You know when you're checking into a bar, and they ask for your ID to verify your age? In that moment, you're not just showing them that you're over 18, you're revealing your full name, address, birth date, and possibly even more sensitive information. It's somewhat tolerable because it's unlikely the bouncer has a photographic memory or intends to misuse your data. It's a fleeting exposure.

But on the internet, this kind of oversharing takes on a whole new dimension. Our personal information isn't just momentarily viewed. It's documented, stored, analyzed, and often shared further:

When you create an account just to make a single purchase, your details enter yet another database. When an app requests access to your location, contacts, and photos just to perform a basic function, it's collecting far more than it needs. When you upload your driver's license to verify your age online, that document might now exist in multiple digital locations

This digital oversharing has become so commonplace that we barely notice it anymore. We click "Accept" on privacy policies without reading them and hand over personal information without questioning whether it's actually necessary for the service we want.

What if there was a better way? What if you could prove you're over 18 without revealing your birth date, address, or even your name? What if you could make purchases without creating permanent accounts? What if you could share exactly what's needed—and nothing more?

This is where the concept of selective data disclosure comes in, and mobile wallets are making it accessible to everyone.

This is where mobile wallets enter the picture. Tapping to pay is just one of their functions.

What Exactly is a Mobile Wallet?

At its simplest, a mobile wallet is a digital version of the physical wallet you carry around. But today’s mobile wallets go far beyond just storing payment cards:

• They already store loyalty cards, transit passes, and event tickets

• In some regions, they can hold digital versions of your ID documents (like driver's licenses or student IDs)

• They can manage digital keys and access credentials for buildings, hotel rooms, or services

• And with emerging identity wallets, they can verify things about you—like your age or eligibility—without revealing your full identity

The most common examples include Apple Wallet, Google Wallet, and Samsung Wallet. But new, specialized identity wallets being developed under digital identity initiatives are expanding these capabilities even further.

How Selective Disclosure Actually Works

Let's go back to our bar example to see how selective disclosure works in practice:

The Old Way: You show your physical ID. The bouncer sees your full name, address, exact birth date, ID number, and maybe even more sensitive information like your organ donor status. All this just to verify you're over 18!

The New Way: Using a mobile wallet with selective disclosure, you'd simply tap your phone or show a QR code. The verification system would receive cryptographically secure confirmation that "This person is over 18".
All else kept private.

Think of your mobile wallet as a sophisticated digital lockbox with many compartments:

• One compartment contains your payment information

• Another holds your identity documents

• A third stores your loyalty cards and memberships

• Others might contain medical information, credentials, or certifications

When you interact with a service or business, you unlock only the specific compartment that contains the information they legitimately need. Everything else stays securely locked away.

This isn't just theoretical, it's being implemented right now through technologies like zero-knowledge proofs.

Zero-knowledge proofs are based on mathematical methods that prove a statement is true without revealing any other information. They’re used when checking credentials that can be true or false (for example: “The user is over 18: true or false?”).

Verifiable credentials are digital certificates issued by trusted sources that can be independently verified without needing to contact the issuer each time.

This brings us to Decentralized Identifiers (DIDs), a related but distinct topic worth exploring in a separate article. DIDs are digital IDs you control directly, not held by any central authority, giving you full ownership and control over your identity data.

Miten mobiililompakot voivat lopettaa henkilökohtaisten tietojen jakamisen verkossa.

Kun nuori aikuinen on menossa baariin, häneltä luultavasti kysytään henkilöllisyystodistusta iän tarkistamiseksi. Silloin hän ei vain näytä, että on yli 18-vuotias, vaan hän paljastaa koko nimensä, osoitteensa, syntymäaikansa ja mahdollisesti vielä arkaluontoisempia tietoja. Se on jossain määrin siedettävää, koska on epätodennäköistä, että portsarilla olisi valokuvamuisti tai että hän aikoisi käyttää tietojasi väärin. Kyseessä on ohimenevä paljastuminen.

Internetissä tällainen ylenpalttinen jakaminen saa kuitenkin aivan uuden ulottuvuuden. Henkilökohtaisia tietojamme ei katsota vain hetkellisesti. Ne dokumentoidaan, tallennetaan, analysoidaan ja usein myös jaetaan edelleen:

Kun luot tilin vain yhden ostoksen tekemistä varten, tietosi siirtyvät vielä toiseen tietokantaan. Kun sovellus pyytää pääsyä sijaintiisi, yhteystietoihisi ja valokuviisi vain suorittaakseen perustoiminnon, se kerää paljon enemmän tietoa kuin se tarvitsee. Kun lataat ajokorttisi todentaaksesi ikäsi verkossa, kyseinen asiakirja saattaa nyt olla useissa digitaalisissa paikoissa.

Tästä digitaalisesta ylenpalttisesta jakamisesta on tullut niin arkipäiväistä, että tuskin huomaamme sitä enää. Klikkaamme ”Hyväksyn” tietosuojakäytäntöjä lukematta niitä ja luovutamme henkilökohtaisia tietoja kyseenalaistamatta, ovatko ne todella tarpeen haluamamme palvelun kannalta.

Entä jos olisi parempi tapa? Mitä jos voisit todistaa, että olet yli 18-vuotias paljastamatta syntymäaikaasi, osoitettasi tai edes nimeäsi? Entä jos voisit tehdä ostoksia luomatta pysyviä tilejä? Entä jos voisit jakaa juuri sen, mitä tarvitaan - eikä mitään muuta?

Tässä kohtaa tulee esiin käsite valikoiva tietojen luovuttaminen, ja mobiililompakot tuovat sen kaikkien saataville.

Tässä kohtaa mobiililompakot astuvat kuvaan. Maksaminen napauttamalla on vain yksi niiden toiminnoista.

Mikä tarkalleen ottaen on mobiililompakko?

Yksinkertaisimmillaan mobiililompakko on digitaalinen versio fyysisestä lompakosta, jota kannat mukanasi. Nykyiset mobiililompakot tekevät kuitenkin paljon muutakin kuin vain tallentavat maksukorttitietoja:

• Niihin tallennetaan jo kanta-asiakaskortteja, kulkulupia ja tapahtumalippuja.

• Joillakin alueilla niihin voi tallentaa digitaalisia versioita henkilöllisyystodistuksista (kuten ajokortista tai opiskelijakortista).

• Niillä voidaan hallita digitaalisia avaimia ja rakennusten, hotellihuoneiden tai palveluiden käyttöoikeuksia.

• Kehitteillä olevissa identiteettilompakoissa ne voivat todentaa tietoja sinusta, kuten ikäsi tai kelpoisuutesi, paljastamatta koko henkilöllisyyttäsi.

Yleisimpiä esimerkkejä ovat Apple Wallet, Google Wallet ja Samsung Wallet. Digitaalista identiteettiä koskevissa aloitteissa kehitettävät uudet, erikoistuneet identiteettilompakot laajentavat näitä mahdollisuuksia entisestään.

Miten valikoiva julkistaminen todellisuudessa toimii?

Palataan vielä baaritiskin esimerkkiin, jotta nähdään, miten valikoiva julkistaminen toimii käytännössä:

Vanha tapa: Näytät fyysisen henkilöllisyystodistuksesi. Portsari näkee koko nimesi, osoitteesi, tarkan syntymäaikasi, henkilötunnuksen ja ehkä jopa arkaluonteisempia tietoja, kuten elinluovuttajan statuksen. Kaikki tämä vain varmistaakseen, että olet yli 18-vuotias!

Uusi tapa: Käyttämällä mobiililompakkoa, jossa on valikoiva ilmoitus, voit vain napauttaa puhelintasi tai näyttää QR-koodia. Varmistusjärjestelmä saisi kryptografisesti suojatun vahvistuksen siitä, että ”tämä henkilö on yli 18-vuotias”.

Kaikki muu pysyy salassa.

Ajattele mobiililompakkoasi hienostuneena digitaalisena lukkorasiana, jossa on useita lokeroita:

•   Yksi lokero sisältää maksutietosi

•   Toisessa lokerossa ovat henkilöllisyysasiakirjasi

•   Kolmannessa lokerossa säilytetään kanta-asiakaskortit ja jäsenyydet.

•   Toiset lokerot voivat sisältää lääketieteellisiä tietoja, todistuksia tai sertifikaatteja.

Kun olet vuorovaikutuksessa palvelun tai yrityksen kanssa, avaat vain sen tietyn lokeron, joka sisältää tiedot, joita he laillisesti tarvitsevat. Kaikki muu pysyy turvallisesti lukittuna.

Tämä ei ole pelkkää teoriaa, vaan sitä toteutetaan parhaillaan teknologioiden, kuten nollatietotodistusten, avulla.

Nollatietotodistukset perustuvat matemaattisiin menetelmiin, joilla todistetaan, että väite on tosi paljastamatta mitään muuta tietoa. Niitä käytetään, kun tarkistetaan tunnistetietoja, jotka voivat olla tosia tai vääriä (esimerkiksi: ”Käyttäjä on yli 18-vuotias: tosi vai epätosi?”).

Tarkistettavissa olevat valtakirjat ovat luotettavien lähteiden myöntämiä digitaalisia varmenteita, jotka voidaan tarkistaa itsenäisesti ilman, että niiden myöntäjään tarvitsee ottaa joka kerta yhteyttä.

Tästä päästäänkin hajautettuihin tunnisteisiin (Decentralized Identifiers, DID), jotka ovat aiheeseen liittyvä mutta erillinen aihe, jota kannattaa tarkastella erillisessä artikkelissa. DID-tunnukset ovat digitaalisia tunnuksia, joita hallitset suoraan, eivätkä ne ole minkään keskusviranomaisen hallussa, jolloin saat identiteettitietojesi täyden omistajuuden ja hallinnan.