“谁统治了数据,谁就统治了全世界……这就是未来人们会说的。”这句话出自孙正义3之口。如果我们同意这个前提,那么问题就变成了,你想让谁拥有这些数据?您是希望数据由公司控制,还是希望自己拥有和控制数据?随着我们的生活越来越数字化,我们的数字身份将由我们留下的一系列数字足迹(数据点)组成。因此,数字身份和数据有着千丝万缕的联系。然而,下文将概述区块链技术如何通过最小披露模型和可货币化的数据所有权来防止意外访问数据,然后重点介绍为确保更安全的数据交换而采用的一些技术。鉴于技术在很大程度上依赖于我们的数据,保护和拥有我们的数字身份(可以说是我们最宝贵的资产之一)变得越来越重要。注意:本文不是区块链行业数字身份解决方案的完整列表,而是一个高级概述,旨在说明区块链技术与数字身份讨论相关的一些方式。在数字世界中,数据=身份我们认为身份可以分为两个截然不同的方面。一个是“成为一个人或一件事”这一事实。在我之前的文章《数字身份的影响》中,我重点介绍了如何使用区块链技术来创建与唯一且可验证的“数字指纹”相关联的去中心化个人身份。接下来,本文将重点讨论身份的第二个方面,可以将其定义为“决定一个人是谁或一件事是什么的特征?”。“我们到处都留下数字足迹,语音技术的进步和家庭设备的相应增加意味着数据收集不再局限于我们的在线生活。我们所有的步骤都可以拼凑起来,准确地描绘出我们所做的事情、我们喜欢什么、我们与谁交谈、我们花了多少钱以及最终我们是谁。”我不打算调查海量数据的具体细节违规,或用户数据在许多“免费”和广泛使用的互联网服务的商业模式中扮演的角色。可以肯定地说,我们已经失去了对数据的控制,因此,我们对我们的数字控制很少为何如此重要:意外访问和意外推断大法官路易斯·布兰代斯(LouisBrandeis)将最高法院对隐私权的历史看法最好描述为“独处的权利”。现在,将隐私权描述为“控制我们停止生成数据的能力”会更好。更重要的是,随着我们每天产生越来越多的数据,这些数据现在会导致对隐私权的推断。我们无法轻易预测,我们不知道我们的数据在多大程度上被收集、与谁共享,或者这些数据被用于深入了解我们的身份的方式。有时我们的数据以不明显的方式使用。例如,机器学习可以应用于谷歌搜索以得出与健康相关的推论,可以通过匿名编写的文本/代码检测语言模式以推断作者身份,等等。即使我们已经开始接受我们的数据被出售的事实,但我们往往不清楚其背后“购买数据”的目的。传统上,安全和隐私是两个截然不同的领域,其中安全涉及数据的保护,而隐私涉及用户身份的保护。由于数据现在是数字身份的主要组成部分,两者已经合并,更加关注隐私,而隐私在历史上一直是更紧迫的安全问题的次要因素。换句话说,在一个多产的机器学习应用程序引起人们对意外推断的关注的世界中,防止意外访问数据成为更高的优先级。政府已经注意到并开始实施数据隐私法规(例如欧洲的GDPR),但是,数据隐私法规可能无效。但这并不意味着用户或组织不应该共享他们的数据。保持数据私密并不意味着数据必须存储在地下存储库中,真正的问题是意外访问!区块链技术可以通过促进数据所有者可以通过允许访问获得适当补偿的模型来最大限度地减少敏感信息和机制的泄露。以隐私为中心的区块链还可以提供更安全的信息交互方式。最小披露模型用户在网上交易时反复披露不相关但敏感的信息。例如,如果一家公司需要证明爱丽丝的年龄足以租车,租车公司可能会要求爱丽丝提供她的驾照复印件,其中包括她的地址、驾照号码以及除她以外的其他人口统计信息出生日期,她可能不想分享此信息。其实,租车公司只需要知道她是否到了租车年龄,不需要知道她多高,是否住在市区,甚至不需要知道她的确切出生日期,他们只是需要知道她已经超过一定年龄。与多方反复共享不必要的信息会产生更多漏洞。而最小披露模型,利用区块链技术,大大减少了各方存储敏感识别信息的传输和体积。资料来源:Civic例如,Civic开发了一种最小披露模型,专注于与证书颁发机构创建“可重复使用的了解你的客户”。Civic已经创建了一个系统,在该系统中,之前经过审计的PII(个人身份信息)用于确保第三方的身份,而无需重新共享基础PII。用上面的例子,对于Civic,Alice只需要经过一次know-your-customer流程,然后验证其know-your-customer实体(不幸的是,这一步仍然需要标准的ID格式)来提供Alice的EvidencethatPII符合某些标准。更具体地说,验证实体可以向汽车租赁公司提供爱丽丝超过汽车租赁年龄限制的证明,而不透露任何关于爱丽丝的额外信息。公民令牌(cvc)用于激励第三方验证程序提供证明,也可用于购买“身份相关产品”,例如安全登录/注册、多因素身份验证等。正如跨多个平台共享相同的敏感数据会造成漏洞,跨多个平台使用相同的用户ID和密码不仅从安全角度来看是糟糕的策略,而且可能导致帐户关联和跟踪出现问题。考虑到这一点,Microsoft设计了自己的身份验证最小披露模型。微软设计了一个开源、可互操作的第2层DID实现,用户可以在其中创建一个DID,然后将其链接到非PII数据。用户的实际身份数据(PII)在链下加密并由用户控制。DID是用户生成的,不限于每个帐户一个,这样做是为了避免跨多个平台或服务提供商跟踪和跟踪一组登录凭据。DID可以是公共的或成对的(在隐私很重要的情况下,因此需要隔离交互并防止关联)。来源:Microsoft为了完成一个具体示例,我们假设Alice想要向外部方进行身份验证。Alice将向一方公开一个DID,该方将通过通用解析器查找公开的DID,然后返回与该DID对应的匹配的非PII元数据。然后外部方使用元数据中的公钥引用创建“挑战”并与Alice进行“握手”,证明Alice是DID的所有者。为了防止创建“虚假身份”,最初可能需要证明,直到通过多次证明或背书建立可信度。请求身份验证的组织可能需要多个证明才能进行更高风险的交互。交易所Coinbase也特别注重身份识别。它建立了一个专门研究这个主题的专业团队。最近,它还收购了一家专注于去中心化身份的分布式系统公司。除了身份的其他方面,该公司似乎专注于最少的披露,因为该公司强调去中心化身份如何允许用户证明他们与社会保障管理局有关系,而无需显示其SSN的实际细节。复制。虽然社会保障局和数字媒体管理局目前是美国非常强大的身份信息提供者,但随着世界变得越来越数字化,Coinbase认为这种模式最终可能会扩展到社交媒体帖子、照片和个人数字信息的其他组成部分。身份。可货币化的数据所有权虽然最小披露模型主要侧重于保护个人标识符(SSN、DOB和其他PII),但构成用户在线身份的非PII数据点也需要受到保护。如果用户可以拥有自己的数据并控制对数据的访问,理论上,该数据的价值将附加到其所有者,而不是当前收集数据的平台(谷歌、Facebook、亚马逊)。“数据是有价值的,它们属于你”,这就是加州州长加文提出的“数字红利”。这允许消费者分享“收集、组织和货币化”用户个人数据的科技公司的利润。然而,这种方法不允许平等补偿,它相当于对大型科技公司征税,然后平均分配给个人。相反,区块链技术允许一个更加动态的系统,用户可以在其中控制自己的数据,并可以根据他们选择提供的访问级别直接将对该数据的访问货币化。目前,市场上有几家区块链公司,处于不同的使用和发展阶段,旨在为用户创建市场,将自己的数据货币化。BAT就是一个例子,它代表BasicAttentionToken,这是一种ERC-20令牌,广告商根据用户获得的关注程度向发布商提供BAT。用户还会收到BAT,他们可以选择将其捐赠给发布者或在平台内使用。未来,广告商可以参与一个系统,用户可以收到1BAT来换取广告。Zinc是另一个具有类似目标的区块链项目,同样,Vetri是一个基于区块链的数据市场,用户可以通过它向营销人员出售匿名数据以换取VLD代币,这些代币可用于在平台内购买礼品卡。来源:BasicAttentionToken其他例子包括Fysical和Steemit。Fysical正在创建一个位置数据交换平台,而Steemit是一个内容平台,允许用户通过发布喜欢等方式获得代币。数据交换在数据交换过程中,即使数据是匿名的,也可能会发生对数据的意外访问。这是一个问题,因为数据交换是持续创新所必需的:跨医疗机构共享医疗和基因组数据可以加快新疗法的发现,跨金融机构的数据分析可以避免金融危机,共享驱动数据可能对发展至关重要的自动驾驶。虽然区块链技术促进了不受信任方之间的数据交换,但这种数据交换仍然容易受到隐私问题的影响。幸运的是,有几家区块链公司专注于从头开始构建以隐私为中心的网络。OasisLabs就是这样的公司之一。OasisLabs正在采用完整的隐私堆栈方法,利用可信执行环境(安全飞地)、安全多方计算、零知识证明和差分隐私。这在协议层限制了各方访问数据,并在应用层限制了匿名数据的数据泄漏。Enigma是另一个专注于利用类似隐私技术创建可扩展隐私协议的项目。挑战再次强调,上面列出的区块链项目清单并不详尽。对于数据隐私项目,您可以查看我朋友BosunAdebaki的《数字身份的影响》和?。所有权:虽然个人控制对其数据的访问,从而将其货币化的想法听起来很有吸引力,但在实践中可能是一个挑战。创建个人数据交换市场的一个问题是数据产权尚未定义。一旦数据与第三方共享,就很难界定所有权,一旦信息被知晓,就很难阻止该信息二级市场的形成。估值和支付意愿:最初很难确定不同数据的价值或为隐私支付的意愿,尤其是在用户多年来一直免费提供数据的情况下。此外,尚不清楚将个人数据货币化的好处是否足以抵消当前的用户体验摩擦(密钥管理等)和不确定性。追索权:在分散的数据交换中,针对滥用的追索权也不清楚。在最近的一次视频采访中,马克·扎克伯格谈到用一个更加分布式的系统取代社交媒体巨头的单点登录(SSO)应用程序FacebookConnect。不过,他也提出了一些相同的问题:“问题是,你真的要吗?你有更多的案例吗,是的,人们可能没有中间人,但滥用的案例会更多,追索权会变得更难了?”尽管如此,在某些行业中,安全交换数据的需求对于业务的生存能力(例如自动驾驶)至关重要,因此业务的价值主张可能更高,足以抵消任何痛点、用户体验或其他方面。现在身份是数字化的,身份与数据密不可分。鉴于如此多的技术严重依赖我们的数据,保护和拥有我们的数字身份变得越来越重要。我们需要区块链技术来帮助我们重新控制我们的数据,因为意外访问数据可能会导致无法预料的后果。社会反映我们需要继续构建区块链等技术。注:原作者为伯克利区块链顾问
