2018年5月,有史以来影响最深远的个人数据保护立法生效:欧盟《一般数据保护条例》(General data protection Regulation,简称GDPR)。
该法由欧洲议会和理事会制定,旨在统一欧盟内部的隐私规定,并为个人提供对其个人数据的广泛控制。为了实现这一目标,GDPR可以对违反者实施严厉的处罚。不遵守该法律规定的公司,将面临高达4%的全球营业额或2000万欧元的罚款,以较高金额为准。
接下来的一个月,布朗州长签署了375号法案,即现在的《2018年加州消费者隐私法案》,该法案赋予加州人收集个人信息的类似权利。
关于GDPR将如何影响欧洲企业以及非欧盟公司和国际公司的运营,已经有很多著述。对于下面的分析,我们将假定,除了明显的例外,该法律将在欧盟内外执行,并将管理美国公司如何对待个人数据。
个人资料-身分的建立
个人资料一般被理解为与可识别的个人有关的任何资料;一个可识别的人是指一个人可以通过参考一个识别号码(即社会安全号码)或一个或多个特定于一个人的身体、生理、心理、经济、文化或社会信息的因素进行直接或间接地被识别的人。
第三方冒充的数据所有者使用个人数据被认为是“身份盗窃”。因此,GDPR保护个人的身份。GDPR禁止将欧洲经济区以外的数据转让给第三方国家,除非接受国提供“足够程度的数据保护”。
尽管美国在数据安全标准方面与欧洲委员会进行了广泛的合作,但目前该委员会并不认为这是一个适当的管辖范围。
法定身份
与法定货币一样,法定货币可以让政府宣布哪些货币是法定货币,而“法定身份”则与政府的法令挂钩,政府认为哪些文件是可以用来核实一个人的身份,并且是合法的。在美国,政府从1936年开始发放社会保险号。
根据社会保障局的数据,到目前为止,大约有4.54亿个不同的号码被分配。虽然最初的目的是跟踪美国工人的收入,以确定他们的社会保障福利,但政府机构和公司很快发现了许多新的数字用例,逐渐将其转变为“生活系统的证据”。
当有人问 “你社交网络的最后四位数字”时,答案就是政府分配的序列号。迄今为止,欧洲小国爱沙尼亚成功地采用了一种比较开明的身份解决办法。98%的国家已经发放了电子身份证。
该卡是一种加密安全的数字身份,由后端区块链式基础设施提供支持,使爱沙尼亚人能够获得公共服务、金融服务、医疗和紧急服务,以及在线纳税、电子投票、提供数字签名以及无需护照在欧盟境内旅行。
分析“产品”
互联网,以及更大范围内的万维网的出现,使得越来越多的数据经纪人可以访问个人数据,包括那些提供社会工程即服务(SEaaS)的数据经纪人。
与此同时,基于web的应用程序导致了可观察和记录的个人数据类型(即web页面的点击)的爆炸式增长,从而导致了在线身份(有时也称为“数字身份”)的产生。
虽然大多数欧洲国家已经确定了将网络身份管理留给营利性公司是危险的,但一个全国性的丑闻——现在简称为“剑桥分析”——唤醒了美国公民,让他们意识到他们的身份已经变成了产品,被卖给广告商和坏人。
更麻烦、更令人震惊的是,数据经纪人并不局限于向广告商出租个人数据,而是在彼此之间交换这些信息。像Acxiom (LiveRamp Holdings, Inc.)这样的公司公开推销他们在出售个人数据方面的能力
“LiveRamp IdentityLink是一项身份解析服务,它将数据与真实的人联系起来,并使基于人的营销活动通过数字渠道获得数据。“谷歌、Facebook、LinkedIn以及许多流行的网络和移动应用程序的主要(商业)性质是广告市场。
这些公司的“免费服务”由营销公司以每小时超过1000万美元的现金支付,用户因此失去了隐私。
区块链来拯救?
区块链结合了许多保护敏感数据的特性:去中心化、加密、透明和访问控制。目前控制个人数据的大多数系统都缺少许多(有时全部)这些功能。
GDPR要求公司通过多层保护来保护个人数据,以确保数据不会丢失、销毁或泄露给未经授权的个人。这一原则与区块链技术的一个特点相同,即匿名化。因此,越来越多的区块链项目试图解决个人数据和身份管理的问题,这些项目包括Civic、SelfKey、Evernym、uPort和Shocard。
区块链驱动的身份识别解决方案的重要性也引起了传统科技公司的注意,如IBM,该公司宣称其承诺:“为互联网上的每个人创建一个安全的、支持区块链的去中心化身份”。
多数情况下,这些申请的重点是利用政府颁发的证书,改善涉及金融机构的法律和监管负担的程序,比如“了解你的客户”(KYC)法律。
还有一些人认为,消费者可能有兴趣成为自己的数据经纪人,从而从出售个人信息中获利。如上图所示,当前的政府系统以及商业实体对个人数据作为商品的处理是当前身份管理问题的核心。就像富兰克林·福尔在他的《没有思想的世界》一书中解释的那样,Facebook和其他社交媒体应用程序之所以能够实现惊人的增长率,是因为它们消除了个人数据交换过程中的摩擦,并默认了“选择退出”范式,这种范式要求用户采取行动保护自己的数据,同时常常通过不受限制地共享信息来传递更大的效用。
根据GDPR,所有未来的应用程序都必须在设计上遵守隐私,要求用户选择使用数据,同时增加使用透明度和匿名化。
小结
毫无疑问,区块链可以成为解决当前身份管理危机的一部分。然而,除了去中心化数据处理之外,任何不解决遗留系统造成的问题的方法都不太可能得到广泛的适应。
毕竟,保护一个已经被数据代理和未授权用户复制的数字身份没有什么价值。对于那些试图让用户从出售个人信息中获利的公司来说,可伸缩性也是一个挑战,因为低容量的数据集对数据经纪人来说几乎没有商业价值。
一个真正创新的解决方案更有可能从那些解决地球上近10亿没有政府颁发身份证的人中产生。随着移动电话和后来的智能手机的普及,发展中国家的用户可能会跳过被遗留技术债务拖累的解决方案。
最后,就像电子邮件和语音需要专用的协议来提供端到端控制机制(SMTP一样;身份认证也需要有自己的协议来进行控制。