GDPR讓資料保護進入正題,公鏈PK聯盟鏈誰更勝一籌?
身份,是我們行走江湖的核心,我們每時每刻都在證明自己是誰,以贏得對方的信任,從而進行交易、獲取商品和服務。物理世界中面對面的信任是相對容易的,確認過眼神,你是對的人。但數字世界的互動呢?網際網路早已成為我們生存的主要陣地,在這裡,你需要無休止的輸入資訊、驗證身份,我們已經習慣了這一切,卻也逐漸意識到,原來我們的資訊是有價值的。洩漏、販賣資訊的灰色產業鏈浮出水面,個人隱私資料保護的呼聲日漸強烈。
GDPR生效,讓隱私資料保護進入正題
今年5月28日,歐盟《通用資料保護條例》(GDPR)正式生效,這是目前對個人敏感資料保護最嚴厲的規範之一。它要求與歐洲做生意的所有企業,預設使用盡可能高的隱私設定,必須事先取得同意才能合法處理公民個人資料,並且資料所有者有權擁有反對權、限制權、遺忘權等一系列權利。違反條例的企業,將面臨2000萬歐元或營業總額4%的罰款。
儘管這一條例已經過兩年緩衝期,但企業普遍沒有做好準備。條例生效首日,Google、Facebook、WhatsApp和Instagram便遭遇投訴。按照市場調查公司 Propeller Insights 的一項調查顯示,52%的受訪企業認為將面臨違規罰款。
刻不容緩,資料洩漏總成本達362萬美元
事實上,頻頻發生的洩密事件、撞庫事件也在警醒我們,個人隱私保護已經到了刻不容緩的時刻。
IBM Security 和 Ponemon Institute兩家研究機構針對419家公司進行調研後,釋出了《2017年全球資料洩露成本研究》報告,顯示資料洩露總成本達到362萬美元。其中,47%的事件涉及惡意或犯罪行為,25%是由於員工或承包商疏忽(人為因素),28%涉及系統故障,包括IT和業務流程故障。
慶幸的是,多數行業已經意識到資料洩露風險,會主動尋求技術手段規避。
區塊鏈,讓使用者擁有資料的控制權
我們逐漸認識到,資料是我們使用者自己的,商家可以使用,但不能擁有。而區塊鏈的價值在於,它讓使用者獲得某種意義上的控制權,使用者得以在擁有數字身份的同時維護自身隱私,並且只允許特定組織或個人訪問、儲存、分析或分享個人資料。
區塊鏈——作為公開賬本,解決了各方如何建立信任的問題,卻也同時帶來了一個新的問題,隱私如何得到保護?關於這一問題的探討持續了很多年,目前從區塊鏈技術上來講,主要有通道、混合器、環簽名、零知識證明等解決手段,在這裡就不贅述了,我們主要基於業務邏輯來談談。
7個方向,數字身份的必經之路
由One World Identity,RegTech Lab,Michael Meyer和Pascal Bouvier對187家數字身份的創業公司做了統計:
這是一個有著巨大前景的產業,透過這些企業的著力點,我們可以大致瞭解到解決這一問題需要關注的幾個方面。One World Identity將這些公司按照劃分成了7組,分別是:
其中佔比最大的三個部分是
身份驗證/授權(27.8%):對使用者進行身份驗證或針對特定閾值授權的解決方案; 監控(23%):解決欺詐或提供欺詐預防,滿足某些AML / KYC合規性閾值和任務; 數字身份(21.4%):從數字世界開始構建的下一代數字身份解決方案;
對於數字身份與隱私保護,最需解決的問題包含:一是身份驗證,保護使用者,如何在不透露個人隱私資料的前提下完成驗證?二是監控,保護商家,如何在獲取儘可能少的資訊的情況下,確保使用者沒有欺詐,建立白名單?三是數字身份,如何在數字世界裡重新構建新一代數字身份?
總體來看,主要有兩種解決思路:一種是建立基於區塊鏈的身份證書,另一種是將已有的身份認證資訊置於區塊鏈之上。公有鏈通常基於前者,而聯盟鏈通常基於後者。
公有鏈和聯盟鏈存在不同的模式
公有鏈實際上是一個C2C的聯結器,使用者的資料就是他自己的,他只需要證明“我是我”,而不需要證明“我是誰”,使用者可以選擇數字身份證是匿名、化名或公開,還可以隨時隨地從任何裝置訪問區塊鏈應用平臺,控制他們的網際網路個人資料。
比如,uPort,是一個基於以太坊的區塊鏈身份驗證的專案,它解決了大量的公有鏈可用性問題,如私鑰管理,通過可以整合進其他專案中的基於區塊鏈身份協議,打造永久的身份資訊,如果手機丟失了,可以通過身份復原找回身份資訊。
比如,Civic允許使用者通過區塊鏈共享和管理他們的身份驗證資料,並在沒有使用者名稱和密碼的情況下提供多因素身份驗證。
再比如,SelfKey專案旨在將個人的身份認認證需求,如出生證、護照、駕駛執照等,彙集在一個統一系統中,形成一種存在於SelfKey上完全由使用者而不是任何第三方政府或公司實體控制的身份認證。
以Civic、uPort、SelfKey、Evernym、IDHub為代表去中心化身份系統,增強了資料的自由流動與信用價值的傳遞,同時更實現了資料確權,讓使用者拿回了屬於自己的資料。
但是,公有鏈的解決方案存在兩個問題,一是如何配合監管,雖然它能做到在C2C的場景下構建信任,但卻繞過了第三方的監管。二是如何幫助企業利用原有資料?目前的商業模式之下,企業間對於使用者的身份驗證來源於公安系統和銀行系統,它們真的願意擯棄這些已有的資料資源嗎?在這一考量下,就產生了聯盟鏈的授信模式。
聯盟鏈是B2B2C或者B2G2C這樣的模式,使用者可以不告訴商家“我是誰”,但卻必須證明“我是你要pick的人”,且萬一出現風險事件時,商家要確保他們能夠通過可信第三方知道“我是誰”。也就是說,使用者宣告自己是誰,或者具備某種值得信任的屬性,但平臺並無權力做出認證,認證是由具備權力的其他參與方完成(如公安部門,或者不同服務的提供者),並返回認證結果。使用者不直接面向區塊鏈,而是通過可信商業機構,以及政府部門進行代理接入區塊鏈。
比如,2014年愛沙尼亞宣佈向全世界所有人開放“電子公民”(e-Residency)身份證服務,這也是全世界首例電子公民專案。
比如,韓國友利銀行成為韓國首家推出基於區塊鏈技術的身份驗證平臺“BankSign”PC版的商業銀行。BankSign是一種分散式儲存方法,通過將個人金鑰儲存在智慧手機的安全區域,可以防止對認證證書的偽造以及劫持和盜竊。
再比如,微軟聯合ID2020聯盟進一步開發安全數字認證系統,幫助沒有身份的難民確定身份,在一個分散式賬本上註冊身份。
誠然,對於資料身份確權和隱私保護的道路還有很長的路要走,但GDPR的實施已經給網際網路公司敲響了警鐘。區塊鏈能否帶來隱私保護的終極方案?去中心化的基於區塊鏈身份證書的公有鏈模式,和將原有中心已有身份認證資訊置於區塊鏈之上的聯盟鏈模式,在隱私和信任,安全與效率的天平中誰更勝一籌?讓我們靜觀其變。