（原標(biāo)題：GDPR讓數(shù)據(jù)保護(hù)進(jìn)入正題，公鏈PK聯(lián)盟鏈誰(shuí)更勝一籌？）

身份，是我們行走江湖的核心，我們每時(shí)每刻都在證明自己是誰(shuí)，以贏得對(duì)方的信任，從而進(jìn)行交易、獲取商品和服務(wù)。物理世界中面對(duì)面的信任是相對(duì)容易的，確認(rèn)過(guò)眼神，你是對(duì)的人。但數(shù)字世界的交互呢？互聯(lián)網(wǎng)早已成為我們生存的主要陣地，在這里，你需要無(wú)休止的輸入信息、驗(yàn)證身份，我們已經(jīng)習(xí)慣了這一切，卻也逐漸意識(shí)到，原來(lái)我們的信息是有價(jià)值的。泄漏、販賣信息的灰色產(chǎn)業(yè)鏈浮出水面，個(gè)人隱私數(shù)據(jù)保護(hù)的呼聲日漸強(qiáng)烈。

GDPR生效，讓隱私數(shù)據(jù)保護(hù)進(jìn)入正題

今年5月28日，歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）正式生效，這是目前對(duì)個(gè)人敏感數(shù)據(jù)保護(hù)最嚴(yán)厲的規(guī)范之一。它要求與歐洲做生意的所有企業(yè)，默認(rèn)使用盡可能高的隱私設(shè)置，必須事先取得同意才能合法處理公民個(gè)人數(shù)據(jù)，并且數(shù)據(jù)所有者有權(quán)擁有反對(duì)權(quán)、限制權(quán)、遺忘權(quán)等一系列權(quán)利。違反條例的企業(yè)，將面臨2000萬(wàn)歐元或營(yíng)業(yè)總額4%的罰款。

盡管這一條例已經(jīng)過(guò)兩年緩沖期，但企業(yè)普遍沒(méi)有做好準(zhǔn)備。條例生效首日，Google、Facebook、WhatsApp和Instagram便遭遇投訴。按照市場(chǎng)調(diào)查公司Propeller Insights的一項(xiàng)調(diào)查顯示，52%的受訪企業(yè)認(rèn)為將面臨違規(guī)罰款。

刻不容緩，數(shù)據(jù)泄漏總成本達(dá)362萬(wàn)美元

事實(shí)上，頻頻發(fā)生的泄密事件、撞庫(kù)事件也在警醒我們，個(gè)人隱私保護(hù)已經(jīng)到了刻不容緩的時(shí)刻。

IBM Security和Ponemon Institute兩家研究機(jī)構(gòu)針對(duì)419家公司進(jìn)行調(diào)研后，發(fā)布了《2017年全球數(shù)據(jù)泄露成本研究》報(bào)告，顯示數(shù)據(jù)泄露總成本達(dá)到362萬(wàn)美元。其中，47％的事件涉及惡意或犯罪行為，25％是由于員工或承包商疏忽（人為因素），28％涉及系統(tǒng)故障，包括IT和業(yè)務(wù)流程故障。

慶幸的是，多數(shù)行業(yè)已經(jīng)意識(shí)到數(shù)據(jù)泄露風(fēng)險(xiǎn)，會(huì)主動(dòng)尋求技術(shù)手段規(guī)避。

區(qū)塊鏈，讓用戶擁有數(shù)據(jù)的控制權(quán)

我們逐漸認(rèn)識(shí)到，數(shù)據(jù)是我們用戶自己的，商家可以使用，但不能擁有。而區(qū)塊鏈的價(jià)值在于，它讓用戶獲得某種意義上的控制權(quán)，用戶得以在擁有數(shù)字身份的同時(shí)維護(hù)自身隱私，并且只允許特定組織或個(gè)人訪問(wèn)、儲(chǔ)存、分析或分享個(gè)人數(shù)據(jù)。

區(qū)塊鏈――作為公開(kāi)賬本，解決了各方如何建立信任的問(wèn)題，卻也同時(shí)帶來(lái)了一個(gè)新的問(wèn)題，隱私如何得到保護(hù)？關(guān)于這一問(wèn)題的探討持續(xù)了很多年，目前從區(qū)塊鏈技術(shù)上來(lái)講，主要有通道、混合器、環(huán)簽名、零知識(shí)證明等解決手段，在這里就不贅述了，我們主要基于業(yè)務(wù)邏輯來(lái)談?wù)劇?/p>

7個(gè)方向，數(shù)字身份的必經(jīng)之路

由One World Identity，RegTech Lab，Michael Meyer和Pascal Bouvier對(duì)187家數(shù)字身份的創(chuàng)業(yè)公司做了統(tǒng)計(jì)：

這是一個(gè)有著巨大前景的產(chǎn)業(yè)，透過(guò)這些企業(yè)的著力點(diǎn)，我們可以大致了解到解決這一問(wèn)題需要關(guān)注的幾個(gè)方面。One World Identity將這些公司按照劃分成了7組，分別是：

其中占比最大的三個(gè)部分是

? 身份驗(yàn)證/授權(quán)（27.8%）：對(duì)用戶進(jìn)行身份驗(yàn)證或針對(duì)特定閾值授權(quán)的解決方案； ? 監(jiān)控（23%）：解決欺詐或提供欺詐預(yù)防，滿足某些AML / KYC合規(guī)性閾值和任務(wù)； ? 數(shù)字身份（21.4%）：從數(shù)字世界開(kāi)始構(gòu)建的下一代數(shù)字身份解決方案；

對(duì)于數(shù)字身份與隱私保護(hù)，最需解決的問(wèn)題包含：一是身份驗(yàn)證，保護(hù)用戶，如何在不透露個(gè)人隱私數(shù)據(jù)的前提下完成驗(yàn)證？二是監(jiān)控，保護(hù)商家，如何在獲取盡可能少的信息的情況下，確保用戶沒(méi)有欺詐，建立白名單？三是數(shù)字身份，如何在數(shù)字世界里重新構(gòu)建新一代數(shù)字身份？

總體來(lái)看，主要有兩種解決思路：一種是創(chuàng)建基于區(qū)塊鏈的身份證書(shū)，另一種是將已有的身份認(rèn)證信息置于區(qū)塊鏈之上。公有鏈通常基于前者，而聯(lián)盟鏈通?；诤笳摺?/p>

公有鏈和聯(lián)盟鏈存在不同的模式

公有鏈實(shí)際上是一個(gè)C2C的連接器，用戶的數(shù)據(jù)就是他自己的，他只需要證明“我是我”，而不需要證明“我是誰(shuí)”，用戶可以選擇數(shù)字身份證是匿名、化名或公開(kāi)，還可以隨時(shí)隨地從任何設(shè)備訪問(wèn)區(qū)塊鏈應(yīng)用平臺(tái)，控制他們的互聯(lián)網(wǎng)個(gè)人數(shù)據(jù)。

比如，uPort，是一個(gè)基于以太坊的區(qū)塊鏈身份驗(yàn)證的項(xiàng)目，它解決了大量的公有鏈可用性問(wèn)題，如私鑰管理，通過(guò)可以整合進(jìn)其他項(xiàng)目中的基于區(qū)塊鏈身份協(xié)議，打造永久的身份信息，如果手機(jī)丟失了，可以通過(guò)身份復(fù)原找回身份信息。

比如，Civic允許用戶通過(guò)區(qū)塊鏈共享和管理他們的身份驗(yàn)證數(shù)據(jù)，并在沒(méi)有用戶名和密碼的情況下提供多因素身份驗(yàn)證。

再比如，SelfKey項(xiàng)目旨在將個(gè)人的身份認(rèn)認(rèn)證需求，如出生證、護(hù)照、駕駛執(zhí)照等，匯集在一個(gè)統(tǒng)一系統(tǒng)中，形成一種存在于SelfKey上完全由用戶而不是任何第三方政府或公司實(shí)體控制的身份認(rèn)證。

以Civic、uPort、SelfKey、Evernym、IDHub為代表去中心化身份系統(tǒng)，增強(qiáng)了數(shù)據(jù)的自由流動(dòng)與信用價(jià)值的傳遞，同時(shí)更實(shí)現(xiàn)了數(shù)據(jù)確權(quán)，讓用戶拿回了屬于自己的數(shù)據(jù)。

但是，公有鏈的解決方案存在兩個(gè)問(wèn)題，一是如何配合監(jiān)管，雖然它能做到在C2C的場(chǎng)景下構(gòu)建信任，但卻繞過(guò)了第三方的監(jiān)管。二是如何幫助企業(yè)利用原有數(shù)據(jù)？目前的商業(yè)模式之下，企業(yè)間對(duì)于用戶的身份驗(yàn)證來(lái)源于公安系統(tǒng)和銀行系統(tǒng)，它們真的愿意擯棄這些已有的數(shù)據(jù)資源嗎？在這一考量下，就產(chǎn)生了聯(lián)盟鏈的授信模式。

聯(lián)盟鏈?zhǔn)荁2B2C或者B2G2C這樣的模式，用戶可以不告訴商家“我是誰(shuí)”，但卻必須證明“我是你要pick的人”，且萬(wàn)一出現(xiàn)風(fēng)險(xiǎn)事件時(shí)，商家要確保他們能夠通過(guò)可信第三方知道“我是誰(shuí)”。也就是說(shuō)，用戶聲明自己是誰(shuí)，或者具備某種值得信任的屬性，但平臺(tái)并無(wú)權(quán)力做出認(rèn)證，認(rèn)證是由具備權(quán)力的其他參與方完成（如公安部門，或者不同服務(wù)的提供者），并返回認(rèn)證結(jié)果。用戶不直接面向區(qū)塊鏈，而是通過(guò)可信商業(yè)機(jī)構(gòu)，以及政府部門進(jìn)行代理接入?yún)^(qū)塊鏈。

比如，2014年愛(ài)沙尼亞宣布向全世界所有人開(kāi)放“電子公民”(e-Residency)身份證服務(wù)，這也是全世界首例電子公民項(xiàng)目。

比如，韓國(guó)友利銀行成為韓國(guó)首家推出基于區(qū)塊鏈技術(shù)的身份驗(yàn)證平臺(tái)“BankSign”PC版的商業(yè)銀行。BankSign是一種分布式存儲(chǔ)方法，通過(guò)將個(gè)人密鑰存儲(chǔ)在智能手機(jī)的安全區(qū)域，可以防止對(duì)認(rèn)證證書(shū)的偽造以及劫持和盜竊。

再比如，微軟聯(lián)合ID2020聯(lián)盟進(jìn)一步開(kāi)發(fā)安全數(shù)字認(rèn)證系統(tǒng)，幫助沒(méi)有身份的難民確定身份，在一個(gè)分布式賬本上注冊(cè)身份。

誠(chéng)然，對(duì)于數(shù)據(jù)身份確權(quán)和隱私保護(hù)的道路還有很長(zhǎng)的路要走，但GDPR的實(shí)施已經(jīng)給互聯(lián)網(wǎng)公司敲響了警鐘。區(qū)塊鏈能否帶來(lái)隱私保護(hù)的終極方案？去中心化的基于區(qū)塊鏈身份證書(shū)的公有鏈模式，和將原有中心已有身份認(rèn)證信息置于區(qū)塊鏈之上的聯(lián)盟鏈模式，在隱私和信任，安全與效率的天平中誰(shuí)更勝一籌？讓我們靜觀其變。