企业和用户关于隐私数据博弈的均衡点：自主身份-企业隐私数据保护

用户和企业对于数据的控制权争夺战正在悄无声息地进行。对于用户，要隐私还有要方便已经成为要思考的课题;而对于企业，权责对等的要求也日益迫切。这场博弈的均衡点最有可能是基于区块链的自主身份。

01 个人身份信息保护是企业面临的重大问题

2017 年，美国三大征信机构之一的艾克飞(Equifax)遭到黑客攻击，导致 1.47 亿用户的个人信息泄露，有不法之徒趁机利用他人的信用卡记录开办信用卡，然后刷卡不还钱，这对整个美国社会的信用体系造成了巨大的危害。结果是经过近两年的调查、扯皮、诉讼后，Equifax 与美国联邦贸易委员会终于在 2019 年 7 月份达成和解，同意拿出最高 4.25 亿美元用以赔偿受影响用户。互联网泄露用户隐私数据的事件不胜枚举。用户隐私数据泄露不但影响个人，还会让企业面临巨额罚款，甚至扩大到社会层面。

不论是出于主动(Facebook 授权剑桥分析公司访问 5000 万用户的个人信息)还是被动(艾克飞遭黑客攻击泄露 1.47 亿用户个人信息)，包括数据处理权、知情权、数据安全承诺、被遗忘权在内的用户权利都被剥夺得一干二净。在欧盟GDPR法律和各国的数据保护法陆续出台之后，很多企业和机构再去收集和保存个人隐私数据时就必须谨慎行事，否则面临的将是巨额的罚款。

当一件事情具备高风险，例如：受罚。按照人类厌恶风险的天性，通常会采取规避的手段。规避风险意味着如果预期收益明显低于风险带来的损害，宁可不做这件事。在企业或机构收集和保存用户隐私数据的情境中，并非每个企业或机构都要对用户进行精心画像，对于这部分而言，不去收集和保存用户隐私数据是明智的。不过，对于必要的信息，如监管要求的 KYC 流程，企业责无旁贷，这时可以通过第三方 KYC 机构完成，以一种移交责任的方式摆脱潜在的风险。当然，对于其它一些企业或机构，精准的用户画像是它们的商业模式的基础，如金融和保险机构，此时收集和保存用户隐私数据避无可避，必须精心设计。

可是对于用户而言，他们最迫切的需求要么是不要泄露我的隐私数据，要么至少在用作它途时，务必经过自己的同意。

02 用户和企业之间形成了关于隐私数据的博弈

不难猜想，这俨然会演变成一场相互推诿的局面。用户想要使用企业或机构提供的在线服务;某些企业或机构要想获得用户数据;用户应允但是要求自己的隐私数据要妥善保管好;企业或机构会本能地排斥这种风险，所以要明确划清权责边界;用户不明所以地接受了条款，结果出了隐私泄露问题，用户遭受损失，于是要求赔偿，企业或机构则依据条款拒绝或者承担极为有限的责任。调查、扯皮和诉讼的场景还会不断重复上演。

其实，我们细细分析不难发现企业或机构同用户是在进行一场博弈。原本用户想要免费服务，而企业或机构想要用户数据，两者一拍而合。现在，用户要求自己的数据要妥善保管，企业或机构想要规避风险。用户还要求自己的数据未经同意不得使用，而相对地，企业或机构想要减少使用用户数据的成本，双方因此出现了矛盾。

我们很难判断谁对谁错，就像逻辑上“多数人的民主”会出现悖论一样。这个时候，权责要对等，用户要承担一部分保管自己数据的职责，企业和机构让渡一些访问数据方便性的权利，这样才能达成稳定的平衡。

用户和企业关于数据诉求的对比

03 自主身份是博弈的均衡点

吴军博士在《智能时代》中强调保护隐私是靠大数据长期挣钱的必要条件。他和未来学家凯文凯利在硅谷地区分别对社交网络的用户做过到底是在乎自己隐私还是希望获得更多便利性的调查，结果表明用户在心理上保持五五开，追求隐私和便利性之间的平衡，然而实际行动中，用户还是放弃了隐私以换取便利性。各类 APP 和社交产品更是推波助澜，只求便利而不顾及大家的隐私。在分析原因的时候，吴军提出大众不在意隐私可能是因为一来不知道技术会侵犯隐私，二来是抱着侥幸心理，三是以为隐私暴露不会对自己产生危害。然而事实上，隐私一旦暴露会很容易被损害，比如：大数据杀熟。面对这个问题，除了使用另外一种技术来修补，比较好的方式是约束对方的权利，而约束对方的权利比较好的办法是行使权利。基于此，企业或机构第一步应该将用户的身份控制权归还给用户，因为数字世界中的身份就像是打开个人宝库的钥匙。

按照现在互联网的常见做法，中心化的系统都是分配了一个凭证(用户名和密码)给到用户手里，钥匙还在他们自己那里，他们可以随意冻结或者撤销这张凭证。交还身份控制权的做法自然会给企业或机构带来不便。试想一下，中心化的系统中不存在用户身份，该如何分析这个人的生理属性如年龄等和他/她在线活动之间的关系?确实不容易，但是我们前面也分析过，这份不便是让渡权利交换用户主动承担个人身份信息的代价。对于用户而言，控制自己的身份信息确实增加了不少负担，例如：花费心思保管身份的钥匙，但是相应地，他们也获得身份自由，不再受制于人，也不再担心身份的相关信息被肆意滥用。

那么，如何让用户控制自己的身份?其实互联网就身份做了多轮尝试，以 OpenID Connect 为例，它帮助我们打破了每个应用都必须重新注册的束缚，借助它的设计，我们可以很简单地通过一个第三方的身份提供者(ID Provider)实现登录到其它的任何应用中，这确实在很大程度上优化了用户体验。比如我们熟知的微信、微博、支付宝或者 Facebook 第三方登录，它们的流程设计让用户有了一种控制自己身份的感觉，因为每次登录都需要用户亲自授权。虽然这是历史叠加式演进的必然结果，可惜地是，这种做法离用户自己真正控制身份还有一步之遥——用户的身份还是第三方机构提供。潜在的风险是第三方身份提供者并不会对这些暴露出来的信息作出任何承诺，甚至什么样的信息会被暴露也是由这些身份提供者决定的，对于应用或者个人而言，更细粒度的控制权无从谈起。而且，这势必会让用户身份信息逐步累积到少数几个平台上，形成数据垄断，用户和企业或机构并不想看到这样的结果。所以有必要将这些身份信息分散开来。于是，自主身份(Self-sovereign Identity)就有了用武之地。

04 可验证声明是自主身份的实质

构成自主身份的主体是分散的身份标识系统，即去中心化身份(DIDs)，它是个人在数字世界中的唯一ID，不可被除个人以外的任何人或机构撤销。但是单是一份标识并没有什么实际作用的，毕竟光是知道一个人的姓名对于了解这个人是不充足的，需要更多信息去描述这个人。所以另一项技术来补充，即可验证声明。可验证声明是关联到去中心化身份上的真实个人信息，这些声明是由可信第三方核实(验证)过的，具有真实性和有效性。为了隐私性，我们秉持最小化数据披露原则，一份可验证声明可以只包含“是或否”这样的断言。例如，某个人想去酒吧，他并不需要将身份证上的信息全部披露给看门人，而仅仅出示包含“已满十八周岁”断言的可验证声明，看门人验证声明的有效性即可判断是否放行。结合可验证声明，自主身份的威力才能凸显出来。

可验证声明扩大了数字世界的想象空间，可以从另一种维度上组建新的网络世界：

数字身份：可信声明是网络世界中的数据，在当前的互联网中，数据是可以随意复制的，想要颁发可信声明，就必须解决数据所有权问题，所有权可以归属于人，也可以归属实体，而这些人和实体必须映射到网络世界。
数据所有权：当在线下有法律意义的实体(人或者公司)在数字世界有身份后，就可以把某些数据的所有权设置为这些实体。
可验证的数据：数据有了所有权，必然是因为有办法验证是谁颁发该可信声明给谁，并且该数据是否有篡改。

隐私保护：在当下互联网世界，数据掌握在中心化的服务中，而数据所有权的要求必然使数据掌握在所有者手中，这样就具有更好的隐私保护。

可信网络：当网络的参与者都是具有数字身份，并且携带可信声明的数字人的时候，网络世界将不同于现在充斥着无主信息的互联网，而是可信网络。

05 总结