2018年5月25日,歐盟《通用數據保護條例》(GDPR)生效,它要求與歐洲做生意的所有企業,滿足對個人數據必須使用假名或匿名進行存儲,默認使用盡可能最高的隱私設置, 並且數據所有者有權隨時撤銷權限等一系列要求。 違反條例的企業,將面臨2000萬歐元或營業總額4%的罰款。
儘管已經過兩年緩衝期,但現有的數字身份系統卻尚未對此做好準備,條例生效首日,Google、Facebook、WhatsApp和Instagram便遭遇投訴,Twitter選擇封禁13歲以下用戶賬號,而《 芝加哥時報》和《洛杉磯時報》等媒體屏蔽了歐洲用戶訪問,以規避風險。
Wiki設計者Ward Cunningham曾說,他注意到,當人們意識到一處大錯,會奮起而戰,但倘若是多處小錯,卻無動於衷——覺得生活本就如此。 而這些小錯,往往並不能逐個排除,這樣做不但無濟於事,甚至會令事情更糟。 因此,他總是動員人們,一次解決所有問題,“我從一切都已變得更好的開端開始講起,故事很長,但大可一點點講述。朋友們也樂意參與其中,修復不完美 的現狀,融入自己的經驗。我們從中學習,生活在故事中。終有一天,這些故事將成為現實”。
人們對數字身份的理解也與此相似,原有體系,小問題盤根錯節,卻長期得不到修正。 IDHub項目和它的設計者們相信,運用區塊鏈技術,不但能根除傳統系統弊病,還能催生全新的應用生態。 在“2018以太坊技術及應用大會”上,項目創始人曲明接受了CSDN採訪,講述了他的故事。
區塊鏈大本營:區塊鏈技術常與保護用戶隱私聯繫在一起,我們曾請Vitalik Buterin列舉關於區塊鏈的誤區,他提到“區塊鍊是一種針對隱私問題的解決方案——實際 上,去“中心化技術”才是隱私問題的解決方案,區塊鏈最多只算這個解決方案的一部分”。 在你看來,區塊鏈技術之外,解決隱私問題的完整方案,還需要哪些組件?
曲明:暫且拋開技術不談,對隱私邊界的定義,是完整隱私方案需要解決的首要難題——面對不同場景,為達成交易,需要披露的信息、隱私程度不同。 傳統固化且為中央機構所控制的個人身份,既無法適應靈活的業務場景,也會阻礙用戶與第三方交易。 從這個角度看,首先要讓個人身份回歸自主權——“自主”是個人隱私控制的前提。 而區塊鏈的價值在於,它讓用戶獲得某種意義上的自主權——解決自主權後,用戶才能控制自己的隱私,進而對外授權和使用。
而“隱私數據存儲”,則是區塊鏈之外,需要與之集成的關鍵技術。 我們曾經做過名為“個人數據中心(PDC)”的探索,將數據存儲於更私有、安全的硬件設備中。 然而,並非一切數據都適合隨身攜帶與使用,例如產生於遠程系統和復雜的非標數據(如醫療數據等),應用它們的方式不能直接全部索取,而需要依靠控制確權。
綜上所述,區塊鏈技術為隱私自主權提供了解決方案,而數據存儲、保護確權,以及隱私邊界的定義,是完整方案中不可或缺的組件。
區塊鏈大本營:在你看來,已經出現和短期可能會出現的數字身份項目,可以歸為哪些類別,這些類別的優缺點分別是什麼? 未來可能會有哪些不同的應用場景? 會朝什麼方向演化?
曲明:若對數字身份進行分類,可劃為傳統中央賬戶模型與自主身份模型。 前者信任單一方形成的身份認證體系,使用各類技術,對傳統的賬戶體系進行加密,提高其安全性,即便也應用了區塊鏈,亦不能改變其本質。 而後者則不依賴單一方,以圖譜方式定義,強調其“身份”內涵。 此外,我們正探索在這種方式中融入經濟激勵模型,鼓勵那些並不敏感的數據流動,讓它們產生更大價值。
傳統數字身份(如身份證、護照號),只提供一個不可篡改的ID序列。 而復雜的應用場景,意味著單純ID序列,不能滿足場景對身份信息的完整需求,它只能成為眾多信息中的一項。 而“可驗證聲明架構”(如圖1),既保證信息可變,又保證了身份唯一。 關於經濟激勵模型,用戶產生的記錄和數據以其私鑰簽名,便可授權數據是否可被第三方使用(確權),因為數據本身俱備商業價值或用途,所以用戶還可以對數據標價。
圖1 IDHub採用的可驗證聲明架構(Verifiable Claims Architecture)
區塊鏈大本營:這種包含經濟激勵模型的新身份數據應用方式,將從哪個領域萌發?
曲明:一定是個人數據能產生價值的地方,如金融。 銀行借貸數據即是一例,因為藉貸記錄會形成新的信用記錄,形成新的信用圖譜,進而產生新價值——從交易的角度,是指實現快速達成和降低成本。 而被普遍看好的醫療數據,真實價值並不容易衡量。
區塊鏈大本營:以IDHub為例,對於“區塊鏈與數字身份”,從業者和潛在用戶,存在哪些誤區?
曲明:IDHub所做的是身份“平台”,而非身份認證。 最主要的特點在於——用戶聲明自己是誰,或者俱備某種值得信任的屬性(如身份或擁有Token),但平台並無權力做出認證,認證是由具備權力的其他參與方完成(如 公安部門,或者不同服務的提供者),並返回認證結果。 它使用的是一套可變聲明驗證架構,確保在不同場景下,驗證機制靈活可靠。
另外,區塊鏈並非解決存儲問題,亦非保密問題,而是解決“透明”問題,若將隱私數據上鍊,恰是對區塊鏈本質的不解。 區塊鏈的特性,決定了許多數據並不適合以其承載,而“泛區塊鏈化”則傾向於將不經審慎選擇的內容Hash之後上鍊,但除Token這類原生數字資產外, 多數內容與區塊鏈本身存在割裂,無法解決鏈上真實,但鏈下虛假的問題。
過去,我們總在思索,新的身份平台和應用方式,應當與哪個行業結合? 然而,我卻漸漸發現,這樣的思路,總將答案引向行業固有邏輯,最終發現強大的技術與模式並無用武之地。
不要用痛點思維來考慮問題。 所謂“痛點思維”是指假設現實世界存在某個問題,然後思考用區塊鏈怎樣解決。 我認為,這種方式產生不出任何真正有價值的創造,儘管或許能做出似是而非的產品。
拋開枷鎖,會有更大成就。 我們應當將新技術視為新物種,為它們創造創新的應用場景——不要輕易下“未來市場不可被創造”的結論——區塊鏈的興起已經證明了這一點。
回想我曾從事多年的通信行業,3G真實應用前,“專家定義”的殺手級應用均不值一哂,我們真正需要做的,是充分理解和釋放新基礎設施的能力,探索它能催生出 哪些有趣的應用。
區塊鏈給人的震撼在於其邏輯自洽——看得越多,思考越多,卻總能發現新邏輯。 然而很遺憾,不少從業者,卻被人云亦云的商業計劃書邏輯洗腦了。
區塊鏈大本營:進入這一領域的項目,門檻主要是什麼? 不同項目之間,是會競爭還是統一? 多樣化對於互聯網用戶,是有利還是困擾?
曲明:門檻主要在於理解區塊鏈技術的邊界與能力——比如大家耳熟能詳的性能,以及許多人不甚了解的語言、安全原則、設計初衷等方面,尤其在構建全新系統時,既離不 開創造力,還需要深刻理解底層局限,知其可為與不可(IDHub技術框架如圖2所示)。 許多嘗試將業務區塊鏈化的公司,在技術表達時遇到了困難。
圖2 IDHub技術框架
當下,行業還處在早期概念借鑒與完善階段,誰都不會有大成就,因為市場支撐面與基礎設施距離完備尚且遙遠;而下一階段,比拼的是概念延展和執行,以及前文提到 的對邊界和能力的把握。
未來參與身份平台的公司一定會出現很多,因為行業伊始一定是多樣、並存與借鑒狀態。 在更遠的未來,也會轉化為真正的商業。 那麼會同傳統商業一般,幾家獨大嗎? 圍繞區塊鏈的整個行業具備開源與社群基因,所以我認為不會,就像IDHub既未思考過一家獨大,亦不追求盈利,而是怀揣著創造未來用戶進入價值互聯網入口,數字身份 的理想主義願景。 如果說區塊鏈給我最大的啟發,就在於它對個體的賦能。
後記:Stallman法則說(https://www.gnu.org/philosophy/stallmans-law.en.html):“大公司掌控社會並寫下法規,因而每次科技推動或改變,都讓它們得以進一步 限製或虐待使用者”,要對抗這種趨勢,我們需要擁有足夠的智慧,能始終駕馭科技帶來的新力量。 對個體充分賦能,或許是關於數字身份的那個一切都已變得更好故事的終點。