身份,是我们行走江湖的核心,我们每时每刻都在证明自己是谁,以赢得对方的信任,从而进行交易、获取商品和服务。物理世界中面对面的信任是相对容易的,确认过眼神,你是对的人。但数字世界的交互呢?互联网早已成为我们生存的主要阵地,在这里,你需要无休止的输入信息、验证身份,我们已经习惯了这一切,却也逐渐意识到,原来我们的信息是有价值的。泄漏、贩卖信息的灰色产业链浮出水面,个人隐私数据保护的呼声日渐强烈。

GDPR生效,让隐私数据保护进入正题

今年5月28日,欧盟《通用数据保护条例》(GDPR)正式生效,这是目前对个人敏感数据保护最严厉的规范之一。它要求与欧洲做生意的所有企业,默认使用尽可能高的隐私设置,必须事先取得同意才能合法处理公民个人数据,并且数据所有者有权拥有反对权、限制权、遗忘权等一系列权利。违反条例的企业,将面临2000万欧元或营业总额4%的罚款。

尽管这一条例已经过两年缓冲期,但企业普遍没有做好准备。条例生效首日,Google、Facebook、WhatsApp和Instagram便遭遇投诉。按照市场调查公司 Propeller Insights 的一项调查显示,52%的受访企业认为将面临违规罚款。

刻不容缓,数据泄漏总成本达362万美元

事实上,频频发生的泄密事件、撞库事件也在警醒我们,个人隐私保护已经到了刻不容缓的时刻。

IBM Security 和 Ponemon Institute两家研究机构针对419家公司进行调研后,发布了《2017年全球数据泄露成本研究》报告,显示数据泄露总成本达到362万美元。其中,47%的事件涉及恶意或犯罪行为,25%是由于员工或承包商疏忽(人为因素),28%涉及系统故障,包括IT和业务流程故障。

庆幸的是,多数行业已经意识到数据泄露风险,会主动寻求技术手段规避。

区块链,让用户拥有数据的控制权

我们逐渐认识到,数据是我们用户自己的,商家可以使用,但不能拥有。而区块链的价值在于,它让用户获得某种意义上的控制权,用户得以在拥有数字身份的同时维护自身隐私,并且只允许特定组织或个人访问、储存、分析或分享个人数据。

区块链——作为公开账本,解决了各方如何建立信任的问题,却也同时带来了一个新的问题,隐私如何得到保护?关于这一问题的探讨持续了很多年,目前从区块链技术上来讲,主要有通道、混合器、环签名、零知识证明等解决手段,在这里就不赘述了,我们主要基于业务逻辑来谈谈。

7个方向,数字身份的必经之路

由One World Identity,RegTech Lab,Michael Meyer和Pascal Bouvier对187家数字身份的创业公司做了统计:

identity-startup-landscape

这是一个有着巨大前景的产业,透过这些企业的着力点,我们可以大致了解到解决这一问题需要关注的几个方面。One World Identity将这些公司按照划分成了7组,分别是:

13401540345618_.pic_hd

其中占比最大的三个部分是

 身份验证/授权(27.8%):对用户进行身份验证或针对特定阈值授权的解决方案;  监控(23%):解决欺诈或提供欺诈预防,满足某些AML / KYC合规性阈值和任务;  数字身份(21.4%):从数字世界开始构建的下一代数字身份解决方案;

对于数字身份与隐私保护,最需解决的问题包含:一是身份验证,保护用户,如何在不透露个人隐私数据的前提下完成验证?二是监控,保护商家,如何在获取尽可能少的信息的情况下,确保用户没有欺诈,建立白名单?三是数字身份,如何在数字世界里重新构建新一代数字身份?

总体来看,主要有两种解决思路:一种是创建基于区块链的身份证书,另一种是将已有的身份认证信息置于区块链之上。公有链通常基于前者,而联盟链通常基于后者。

公有链和联盟链存在不同的模式

公有链实际上是一个C2C的连接器,用户的数据就是他自己的,他只需要证明“我是我”,而不需要证明“我是谁”,用户可以选择数字身份证是匿名、化名或公开,还可以随时随地从任何设备访问区块链应用平台,控制他们的互联网个人数据。

比如,uPort,是一个基于以太坊的区块链身份验证的项目,它解决了大量的公有链可用性问题,如私钥管理,通过可以整合进其他项目中的基于区块链身份协议,打造永久的身份信息,如果手机丢失了,可以通过身份复原找回身份信息。

比如,Civic允许用户通过区块链共享和管理他们的身份验证数据,并在没有用户名和密码的情况下提供多因素身份验证。

再比如,SelfKey项目旨在将个人的身份认认证需求,如出生证、护照、驾驶执照等,汇集在一个统一系统中,形成一种存在于SelfKey上完全由用户而不是任何第三方政府或公司实体控制的身份认证。

以Civic、uPort、SelfKey、Evernym、IDHub为代表去中心化身份系统,增强了数据的自由流动与信用价值的传递,同时更实现了数据确权,让用户拿回了属于自己的数据。

但是,公有链的解决方案存在两个问题,一是如何配合监管,虽然它能做到在C2C的场景下构建信任,但却绕过了第三方的监管。二是如何帮助企业利用原有数据?目前的商业模式之下,企业间对于用户的身份验证来源于公安系统和银行系统,它们真的愿意摈弃这些已有的数据资源吗?在这一考量下,就产生了联盟链的授信模式。

联盟链是B2B2C或者B2G2C这样的模式,用户可以不告诉商家“我是谁”,但却必须证明“我是你要pick的人”,且万一出现风险事件时,商家要确保他们能够通过可信第三方知道“我是谁”。也就是说,用户声明自己是谁,或者具备某种值得信任的属性,但平台并无权力做出认证,认证是由具备权力的其他参与方完成(如公安部门,或者不同服务的提供者),并返回认证结果。用户不直接面向区块链,而是通过可信商业机构,以及政府部门进行代理接入区块链。

比如,2014年爱沙尼亚宣布向全世界所有人开放“电子公民”(e-Residency)身份证服务,这也是全世界首例电子公民项目。

比如,韩国友利银行成为韩国首家推出基于区块链技术的身份验证平台“BankSign”PC版的商业银行。BankSign是一种分布式存储方法,通过将个人密钥存储在智能手机的安全区域,可以防止对认证证书的伪造以及劫持和盗窃。

再比如,微软联合ID2020联盟进一步开发安全数字认证系统,帮助没有身份的难民确定身份,在一个分布式账本上注册身份。

诚然,对于数据身份确权和隐私保护的道路还有很长的路要走,但GDPR的实施已经给互联网公司敲响了警钟。区块链能否带来隐私保护的终极方案?去中心化的基于区块链身份证书的公有链模式,和将原有中心已有身份认证信息置于区块链之上的联盟链模式,在隐私和信任,安全与效率的天平中谁更胜一筹?让我们静观其变。