首页 > 信息安全 > 正文

GDPR让数据保护进入正题,公链PK联盟链谁更胜一筹?

2018-10-25 09:51:44  来源:巴比特

摘要:互联网早已成为我们生存的主要阵地,在这里,你需要无休止的输入信息、验证身份,我们已经习惯了这一切,却也逐渐意识到,原来我们的信息是有价值的。泄漏、贩卖信息的灰色产业链浮出水面,个人隐私数据保护的呼声日渐强烈。
关键词: GDPR
  身份,是我们行走江湖的核心,我们每时每刻都在证明自己是谁,以赢得对方的信任,从而进行交易、获取商品和服务。物理世界中面对面的信任是相对容易的,确认过眼神,你是对的人。但数字世界的交互呢?互联网早已成为我们生存的主要阵地,在这里,你需要无休止的输入信息、验证身份,我们已经习惯了这一切,却也逐渐意识到,原来我们的信息是有价值的。泄漏、贩卖信息的灰色产业链浮出水面,个人隐私数据保护的呼声日渐强烈。
 
  GDPR生效,让隐私数据保护进入正题
 
  今年5月28日,欧盟《通用数据保护条例》(GDPR)正式生效,这是目前对个人敏感数据保护最严厉的规范之一。它要求与欧洲做生意的所有企业,默认使用尽可能高的隐私设置,必须事先取得同意才能合法处理公民个人数据,并且数据所有者有权拥有反对权、限制权、遗忘权等一系列权利。违反条例的企业,将面临2000万欧元或营业总额4%的罚款。
 
  尽管这一条例已经过两年缓冲期,但企业普遍没有做好准备。条例生效首日,Google、Facebook、WhatsApp和Instagram便遭遇投诉。按照市场调查公司 Propeller Insights 的一项调查显示,52%的受访企业认为将面临违规罚款。
 
  刻不容缓,数据泄漏总成本达362万美元
 
  事实上,频频发生的泄密事件、撞库事件也在警醒我们,个人隐私保护已经到了刻不容缓的时刻。
 
  IBM Security 和 Ponemon Institute两家研究机构针对419家公司进行调研后,发布了《2017年全球数据泄露成本研究》报告,显示数据泄露总成本达到362万美元。其中,47%的事件涉及恶意或犯罪行为,25%是由于员工或承包商疏忽(人为因素),28%涉及系统故障,包括IT和业务流程故障。
 
  庆幸的是,多数行业已经意识到数据泄露风险,会主动寻求技术手段规避。
 
  区块链,让用户拥有数据的控制权
 
  我们逐渐认识到,数据是我们用户自己的,商家可以使用,但不能拥有。而区块链的价值在于,它让用户获得某种意义上的控制权,用户得以在拥有数字身份的同时维护自身隐私,并且只允许特定组织或个人访问、储存、分析或分享个人数据。
 
  区块链——作为公开账本,解决了各方如何建立信任的问题,却也同时带来了一个新的问题,隐私如何得到保护?关于这一问题的探讨持续了很多年,目前从区块链技术上来讲,主要有通道、混合器、环签名、零知识证明等解决手段,在这里就不赘述了,我们主要基于业务逻辑来谈谈。
 
  7个方向,数字身份的必经之路
 
  由One World Identity,RegTech Lab,Michael Meyer和Pascal Bouvier对187家数字身份的创业公司做了统计:
 
\
 
  这是一个有着巨大前景的产业,透过这些企业的着力点,我们可以大致了解到解决这一问题需要关注的几个方面。One World Identity将这些公司按照划分成了7组,分别是:
 
\
 
  其中占比最大的三个部分是
 
  身份验证/授权(27.8%):对用户进行身份验证或针对特定阈值授权的解决方案;
 
  监控(23%):解决欺诈或提供欺诈预防,满足某些AML / KYC合规性阈值和任务;
 
  数字身份(21.4%):从数字世界开始构建的下一代数字身份解决方案;
 
  对于数字身份与隐私保护,最需解决的问题包含:一是身份验证,保护用户,如何在不透露个人隐私数据的前提下完成验证?二是监控,保护商家,如何在获取尽可能少的信息的情况下,确保用户没有欺诈,建立白名单?三是数字身份,如何在数字世界里重新构建新一代数字身份?
 
  总体来看,主要有两种解决思路:一种是创建基于区块链的身份证书,另一种是将已有的身份认证信息置于区块链之上。公有链通常基于前者,而联盟链通常基于后者。
 
  公有链和联盟链存在不同的模式
 
  公有链实际上是一个C2C的连接器,用户的数据就是他自己的,他只需要证明“我是我”,而不需要证明“我是谁”,用户可以选择数字身份证是匿名、化名或公开,还可以随时随地从任何设备访问区块链应用平台,控制他们的互联网个人数据。
 
  比如,uPort,是一个基于以太坊的区块链身份验证的项目,它解决了大量的公有链可用性问题,如私钥管理,通过可以整合进其他项目中的基于区块链身份协议,打造永久的身份信息,如果手机丢失了,可以通过身份复原找回身份信息。
 
  比如,Civic允许用户通过区块链共享和管理他们的身份验证数据,并在没有用户名和密码的情况下提供多因素身份验证。
 
  再比如,SelfKey项目旨在将个人的身份认认证需求,如出生证、护照、驾驶执照等,汇集在一个统一系统中,形成一种存在于SelfKey上完全由用户而不是任何第三方政府或公司实体控制的身份认证。
 
  以Civic、uPort、SelfKey、Evernym、IDHub为代表去中心化身份系统,增强了数据的自由流动与信用价值的传递,同时更实现了数据确权,让用户拿回了属于自己的数据。
 
  但是,公有链的解决方案存在两个问题,一是如何配合监管,虽然它能做到在C2C的场景下构建信任,但却绕过了第三方的监管。二是如何帮助企业利用原有数据?目前的商业模式之下,企业间对于用户的身份验证来源于公安系统和银行系统,它们真的愿意摈弃这些已有的数据资源吗?在这一考量下,就产生了联盟链的授信模式。
 
  联盟链是B2B2C或者B2G2C这样的模式,用户可以不告诉商家“我是谁”,但却必须证明“我是你要pick的人”,且万一出现风险事件时,商家要确保他们能够通过可信第三方知道“我是谁”。也就是说,用户声明自己是谁,或者具备某种值得信任的属性,但平台并无权力做出认证,认证是由具备权力的其他参与方完成(如公安部门,或者不同服务的提供者),并返回认证结果。用户不直接面向区块链,而是通过可信商业机构,以及政府部门进行代理接入区块链。
 
  比如,2014年爱沙尼亚宣布向全世界所有人开放“电子公民”(e-Residency)身份证服务,这也是全世界首例电子公民项目。
 
  比如,韩国友利银行成为韩国首家推出基于区块链技术的身份验证平台“BankSign”PC版的商业银行。BankSign是一种分布式存储方法,通过将个人密钥存储在智能手机的安全区域,可以防止对认证证书的伪造以及劫持和盗窃。
 
  再比如,微软联合ID2020联盟进一步开发安全数字认证系统,帮助没有身份的难民确定身份,在一个分布式账本上注册身份。
 
  诚然,对于数据身份确权和隐私保护的道路还有很长的路要走,但GDPR的实施已经给互联网公司敲响了警钟。区块链能否带来隐私保护的终极方案?去中心化的基于区块链身份证书的公有链模式,和将原有中心已有身份认证信息置于区块链之上的联盟链模式,在隐私和信任,安全与效率的天平中谁更胜一筹?让我们静观其变。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:kongwen

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。