區(qū)塊鏈?zhǔn)欠窨梢猿蔀樯矸莨芾淼淖罴逊桨?/h1>
2018年5月,有史以來影響最深遠(yuǎn)的個人數(shù)據(jù)保護(hù)立法生效:歐盟《一般數(shù)據(jù)保護(hù)條例》(General data protection RegulaTIon,簡稱GDPR)。
該法由歐洲議會和理事會制定,旨在統(tǒng)一歐盟內(nèi)部的隱私規(guī)定,并為個人提供對其個人數(shù)據(jù)的廣泛控制。為了實(shí)現(xiàn)這一目標(biāo),GDPR可以對違反者實(shí)施嚴(yán)厲的處罰。不遵守該法律規(guī)定的公司,將面臨高達(dá)4%的全球營業(yè)額或2000萬歐元的罰款,以較高金額為準(zhǔn)。
接下來的一個月,布朗州長簽署了375號法案,即現(xiàn)在的《2018年加州消費(fèi)者隱私法案》,該法案賦予加州人收集個人信息的類似權(quán)利。
關(guān)于GDPR將如何影響歐洲企業(yè)以及非歐盟公司和國際公司的運(yùn)營,已經(jīng)有很多著述。對于下面的分析,我們將假定,除了明顯的例外,該法律將在歐盟內(nèi)外執(zhí)行,并將管理美國公司如何對待個人數(shù)據(jù)。
個人資料-身分的建立
個人資料一般被理解為與可識別的個人有關(guān)的任何資料;一個可識別的人是指一個人可以通過參考一個識別號碼(即社會安全號碼)或一個或多個特定于一個人的身體、生理、心理、經(jīng)濟(jì)、文化或社會信息的因素進(jìn)行直接或間接地被識別的人。
第三方冒充的數(shù)據(jù)所有者使用個人數(shù)據(jù)被認(rèn)為是“身份盜竊”。因此,GDPR保護(hù)個人的身份。GDPR禁止將歐洲經(jīng)濟(jì)區(qū)以外的數(shù)據(jù)轉(zhuǎn)讓給第三方國家,除非接受國提供“足夠程度的數(shù)據(jù)保護(hù)”。
盡管美國在數(shù)據(jù)安全標(biāo)準(zhǔn)方面與歐洲委員會進(jìn)行了廣泛的合作,但目前該委員會并不認(rèn)為這是一個適當(dāng)?shù)墓茌牱秶?/p>
法定身份
與法定貨幣一樣,法定貨幣可以讓政府宣布哪些貨幣是法定貨幣,而“法定身份”則與政府的法令掛鉤,政府認(rèn)為哪些文件是可以用來核實(shí)一個人的身份,并且是合法的。在美國,政府從1936年開始發(fā)放社會保險號。
根據(jù)社會保障局的數(shù)據(jù),到目前為止,大約有4.54億個不同的號碼被分配。雖然最初的目的是跟蹤美國工人的收入,以確定他們的社會保障福利,但政府機(jī)構(gòu)和公司很快發(fā)現(xiàn)了許多新的數(shù)字用例,逐漸將其轉(zhuǎn)變?yōu)椤吧钕到y(tǒng)的證據(jù)”。
當(dāng)有人問 “你社交網(wǎng)絡(luò)的最后四位數(shù)字”時,答案就是政府分配的序列號。迄今為止,歐洲小國愛沙尼亞成功地采用了一種比較開明的身份解決辦法。98%的國家已經(jīng)發(fā)放了電子身份證。
該卡是一種加密安全的數(shù)字身份,由后端區(qū)塊鏈?zhǔn)交A(chǔ)設(shè)施提供支持,使愛沙尼亞人能夠獲得公共服務(wù)、金融服務(wù)、醫(yī)療和緊急服務(wù),以及在線納稅、電子投票、提供數(shù)字簽名以及無需護(hù)照在歐盟境內(nèi)旅行。
分析“產(chǎn)品”
互聯(lián)網(wǎng),以及更大范圍內(nèi)的萬維網(wǎng)的出現(xiàn),使得越來越多的數(shù)據(jù)經(jīng)紀(jì)人可以訪問個人數(shù)據(jù),包括那些提供社會工程即服務(wù)(SEaaS)的數(shù)據(jù)經(jīng)紀(jì)人。
與此同時,基于web的應(yīng)用程序?qū)е铝丝捎^察和記錄的個人數(shù)據(jù)類型(即web頁面的點(diǎn)擊)的爆炸式增長,從而導(dǎo)致了在線身份(有時也稱為“數(shù)字身份”)的產(chǎn)生。
雖然大多數(shù)歐洲國家已經(jīng)確定了將網(wǎng)絡(luò)身份管理留給營利性公司是危險的,但一個全國性的丑聞——現(xiàn)在簡稱為“劍橋分析”——喚醒了美國公民,讓他們意識到他們的身份已經(jīng)變成了產(chǎn)品,被賣給廣告商和壞人。
更麻煩、更令人震驚的是,數(shù)據(jù)經(jīng)紀(jì)人并不局限于向廣告商出租個人數(shù)據(jù),而是在彼此之間交換這些信息。像Acxiom (LiveRamp Holdings, Inc.)這樣的公司公開推銷他們在出售個人數(shù)據(jù)方面的能力
“LiveRamp IdenTItyLink是一項(xiàng)身份解析服務(wù),它將數(shù)據(jù)與真實(shí)的人聯(lián)系起來,并使基于人的營銷活動通過數(shù)字渠道獲得數(shù)據(jù)?!肮雀?、Facebook、LinkedIn以及許多流行的網(wǎng)絡(luò)和移動應(yīng)用程序的主要(商業(yè))性質(zhì)是廣告市場。
這些公司的“免費(fèi)服務(wù)”由營銷公司以每小時超過1000萬美元的現(xiàn)金支付,用戶因此失去了隱私。
區(qū)塊鏈來拯救?
區(qū)塊鏈結(jié)合了許多保護(hù)敏感數(shù)據(jù)的特性:去中心化、加密、透明和訪問控制。目前控制個人數(shù)據(jù)的大多數(shù)系統(tǒng)都缺少許多(有時全部)這些功能。
GDPR要求公司通過多層保護(hù)來保護(hù)個人數(shù)據(jù),以確保數(shù)據(jù)不會丟失、銷毀或泄露給未經(jīng)授權(quán)的個人。這一原則與區(qū)塊鏈技術(shù)的一個特點(diǎn)相同,即匿名化。因此,越來越多的區(qū)塊鏈項(xiàng)目試圖解決個人數(shù)據(jù)和身份管理的問題,這些項(xiàng)目包括Civic、SelfKey、Evernym、uPort和Shocard。
區(qū)塊鏈驅(qū)動的身份識別解決方案的重要性也引起了傳統(tǒng)科技公司的注意,如IBM,該公司宣稱其承諾:“為互聯(lián)網(wǎng)上的每個人創(chuàng)建一個安全的、支持區(qū)塊鏈的去中心化身份”。
多數(shù)情況下,這些申請的重點(diǎn)是利用政府頒發(fā)的證書,改善涉及金融機(jī)構(gòu)的法律和監(jiān)管負(fù)擔(dān)的程序,比如“了解你的客戶”(KYC)法律。
還有一些人認(rèn)為,消費(fèi)者可能有興趣成為自己的數(shù)據(jù)經(jīng)紀(jì)人,從而從出售個人信息中獲利。當(dāng)前的政府系統(tǒng)以及商業(yè)實(shí)體對個人數(shù)據(jù)作為商品的處理是當(dāng)前身份管理問題的核心。就像富蘭克林·福爾在他的《沒有思想的世界》一書中解釋的那樣,F(xiàn)acebook和其他社交媒體應(yīng)用程序之所以能夠?qū)崿F(xiàn)驚人的增長率,是因?yàn)樗鼈兿藗€人數(shù)據(jù)交換過程中的摩擦,并默認(rèn)了“選擇退出”范式,這種范式要求用戶采取行動保護(hù)自己的數(shù)據(jù),同時常常通過不受限制地共享信息來傳遞更大的效用。
根據(jù)GDPR,所有未來的應(yīng)用程序都必須在設(shè)計(jì)上遵守隱私,要求用戶選擇使用數(shù)據(jù),同時增加使用透明度和匿名化。
小結(jié)
毫無疑問,區(qū)塊鏈可以成為解決當(dāng)前身份管理危機(jī)的一部分。然而,除了去中心化數(shù)據(jù)處理之外,任何不解決遺留系統(tǒng)造成的問題的方法都不太可能得到廣泛的適應(yīng)。
畢竟,保護(hù)一個已經(jīng)被數(shù)據(jù)代理和未授權(quán)用戶復(fù)制的數(shù)字身份沒有什么價值。對于那些試圖讓用戶從出售個人信息中獲利的公司來說,可伸縮性也是一個挑戰(zhàn),因?yàn)榈腿萘康臄?shù)據(jù)集對數(shù)據(jù)經(jīng)紀(jì)人來說幾乎沒有商業(yè)價值。
一個真正創(chuàng)新的解決方案更有可能從那些解決地球上近10億沒有政府頒發(fā)身份證的人中產(chǎn)生。隨著移動電話和后來的智能手機(jī)的普及,發(fā)展中國家的用戶可能會跳過被遺留技術(shù)債務(wù)拖累的解決方案。
最后,就像電子郵件和語音需要專用的協(xié)議來提供端到端控制機(jī)制SMTP一樣;身份認(rèn)證也需要有自己的協(xié)議來進(jìn)行控制。