这不是危言耸听,我们已置身于一个完全“裸奔”的时代。不仅你的一举一动有可能被曝光于大庭广众之下,比如360摄像头直播,甚至你的个人数据也都成为互联网巨头手中可以挖掘和争夺的筹码。面对毫无秘密可言的大数据时代,用户该如何自处?用户的身份数据又该如何保护?
大数据时代下,互联网巨头通过用户浏览、搜索、支付、应用等行为任意搜集用户数据似乎已经习以为常,比如免押金骑共享单车、搜索网页时广告会自动知道我们想要的商品、浏览网站时会推送我们感兴趣的新闻……
以大数据科技为生意经的企业越来越多,它们在为用户生活提供便利的同时,也给大众对隐私的忧虑埋下了引线。更有甚者,未经用户授权对身份数据进行倒买倒卖的现象屡禁不止,用户身份数据遭到窃取、盗用的现象更是时有发生。
互联网身份生态乱象
公民个人信息已成黑色产业链
大数据散发出不可估量的商业价值。但让人感到不安的是,信息采集手段越来越高超、便捷和隐蔽,对公民个人信息的保护,无论在技术手段还是法律支撑都依然捉襟见肘。
大数据之大,不仅是数据容量的“大”,更是数据抓取、整合和分析的“大”。公民个人信息泄露,以及由此衍生的各种电信诈骗、网络诈骗、信用卡诈骗和滋扰型“软暴力”等新兴犯罪呈爆发式增长,人们面临的不仅是无休止的骚扰,更可能是各种犯罪行为的威胁。
对于目前国内公民个人信息乱象,主要有两种不同的声明。
一种观点认为,个人信息泄露的风险剧增,生活中无时无刻不在发生信息和隐私的泄露,然后被互联网公司滥用,导致各种个人信息泄露事件,造成很多社会问题。这个有太多案例可以证实,包括垃圾短信电信诈骗等等,很多都是信息泄露造成的。
另一种观点则认为,随着信息时代的来临,我们要改变对于个人信息的狭义认知,如果严格把所有个人信息都作为隐私进行保护,势必影响互联网行业的发展,从而影响到整个社会的信息化。
更何况,很多时候个人的信息泄露,往往是自己在网络痕迹的随意滞留、主动展示,比如说过分地在微信朋友圈、微博等互联网领域上传照片、定位等个人信息资料。事实上很多人肉搜索是根据网络用户自己主动存留的信息和网络痕迹进行的,所以把这个认为是个人的隐私泄露,是一种误解。
也有观点认为手机号码、身份证号码、地址等等信息,事实上不应该成为个人隐私,而应该是信息时代每一个人的公开信息,它更多是互联网生存下一个人的基本描述,相当于在现实生活中你的体貌特征。
在互联网上你的电话号码、身份证号码等其实构成互联网上虚拟的你,所以这些信息不应该被限定为隐私,而应该属于公共信息。大部分网络行为,比如购物、买票等都要实名认证,要提交这些数据。
从这个角度理解的话,不得不承认,在这个互联网信息时代,每个人都是“透明人”,个人信息与个人隐私的保护陷入了一种困境,因为在互联网时代,很难做到绝对的个人信息的自我封闭使用,除非完全不上网,不使用各种互联网工具。
丢失的“身份主权”正在回归
区块链为公民提供可信基础
可喜的是,人们开始对网络上的“身份主权”更加重视,对于谁能拿到我的信息、用我的信息去做什么也更加在意,这从公众对于支付宝账单事件的态度就可以看出。
当中心化的互联网遭遇到去中心化的区块链,公民数据信息的乱象就可能做出巨大改变。曾被媒体评为全球最具金融影响力前五人的Chris Skinner在《个人自主权》一书中提出:“只有一个实体拥有用户数据,那就是用户本身。”
随着用户对于个人身份主权意识的觉醒,全球数字身份市场迎来强劲增长。根据市场研究机构Smithers Pira预测,2016-2021年,身份和接入管理市场的规模将从80.9亿美元增长至148.2亿美元,年复合增长率(CAGR)达到12.9%。其中,亚洲将占全球个人身份市场的60%以上。
如果用户的身份信息保存在区块链上,形成自身的数字身份,就可以对它们拥有更大的控制权,在某些应用场景可以进行选择性披露,只需要展示相对应的一小部分信息即可。比如在吧台展示你的生日,在银行提交你的信用评分,或者一个独一无二的网络身份,用于获取网络上的各种服务。
在可信数字身份的背后有三个重要维度,即身份自主权、数据安全、个人隐私。要保证身份数据在网络上的完整和安全,防止身份泄露、被盗用、篡改和欺诈的风险,这样可以从源头保证数据的真实可信。
其次,身份属于敏感数据,在应用过程中应当对数据加以区隔,隐私级别较低的公开数据可以保留在网络上,极为重要的隐私数据则可保存在用户设备之上,形成链上+链下的完整模式。
第三,用户拥有对身份数据进行选择、授权、删除和恢复的权利,在不同应用场景中,可以对相应数据进行授权,用户对自己的身份数据享有绝对的自主权。
要想重新收回用户的身份自主权,有两个关键步骤:建立节点的所有权,这样用户就可以自己决定是否允许第三方服务访问它们。其次,将这些节点整合到同一个地方,这样数字身份就不会再被割裂。
区块链一个突破性优势是它使用零知识证明(-zero-knowledge proof)来管理数据,这允许用户公开他们对某些认证的所有权,并授予访问权限,而不泄露包含在其中的信息,当数据被散列时,终端服务可以验证身份。例如,假设一家银行正在对你进行信用检查,而只是以加密的形式处理你的信用记录数据,这样即使这些数据被盗也没用。。
在全球范围内,针对数字身份越来越多的国家已经开始尝试将数字身份用于社会服务、公民管理和城市治理之中。
比如基于以太坊的uPort数字身份认证平台于去年9月在瑞士Zug成功部署。加拿大正在测试一套基于区块链技术的SecureKey数字身份认证系统,可以帮助公民轻松证明自己的身份,这套系统将在今年正式上线。日本金融厅将为居民建立共享的数字身份系统,通过为多方提供一个安全、公开的永久记录,从而使用户能够在不同的金融机构开立账户。
在国内,虽然以微信网证CTID为代表的eID发展如火如荼,但像THEKEY、IDHub、本体网络这类基于区块链的数字身份项目则刚刚兴起。
由于数字身份较为敏感的属性,所以国内该领域发展路径一般为与政府部门、公安机关等开展合作,通过对接政务、行政、公共服务系统,实现身份信息的跨部门、跨系统、跨平台的互通互认,继而完成与现实服务的全面整合,为公民的生活提供更大便利。
今天,信息通信技术所带来的数字化洪流,人类社会裹挟到以数据为生产资料的新时代,隐私与商业变得不再那么容易区隔,而是密切交织在一起。互联网巨头们之间的数据纷争无不提醒着人们,夺回自己的身份自主权是多么重要,任何商业行为都不能以牺牲用户利益为前提。我们很高兴看到用户身份主权意识正在觉醒,有很多公司已经开始在这方面尝试各种努力,这也是一个可持续发展的数字社会和商业文明的必经之路。
【科技云报道原创】
转载请注明“科技云报道”并附本文链接