据最新新闻，Facebook 4.19亿帐号被泄露，如果你是24亿活跃用户之一，那么你的数据泄露概率约为17%。这意味着，除非有变，六分之一的活跃用户可能失去个人数据的控制权。不管政府或企业如何管理个人数据或者是他们的系统有多安全，个人数据泄露事件从未断过。但中心化存在哪些基本问题呢？我们如何从犯罪分子、贪婪的商人和腐败政府手中抢救数据呢？

泄露无法避免

在前两周发生的重大数据泄露事件--4.19亿Facebook帐户数据库泄露中，我们发现可以在网上下载泄露帐户清单，其中包含姓名、电话号码、性别和居住国等详细信息。而不久前，万事达卡官方公布向欧盟当局提供了大约90,000个帐户。

以前我住在乌克兰的时候，到银行申请信用卡，我问柜员为什么不要求我提供收入证明来设置我的信用额度。她说他们已经查过退休基金数据库。所有工资在达到一定的金额后必须由国家退休基金征税，所以他们在看到我所缴纳的税费后，可以算出我的收入。我当时想的是“这也太疯狂了”。“他们光明正大的使用被盗的含有国民个人数据的数据库。”

好在不用证明“任何人都无法保证个人数据安全”。有时候，个人隐私权会被忽略，而有时候，用户可能永远都不知道这些泄露事件（Edward Snowden说，感谢您的提示）。

究其原因，还是中心化所致。大型个人数据集群集中在服务供应商的服务器上，这让数据容易受到攻击。

区块链有何作用？

并没有一个明确的答案，但肯定可以起到一定的作用。我们需要从根本上去改变有关个人数据管理方式的一切。而这只能在区块链和政府合作的情况下才能实现。

在前几年，尝试以首次代币发行（ICO）为动力来“扰乱”数字ID产业。但我不想再提到任何ICO项目。有些项目很真诚，但如果要解决国家层面和全球层面的问题，还是显得太过稚嫩。

个人数据管理有两个新词DID，即“去中心化数字标识符”和可验证凭据（距标准一步之遥）。主权数字身份的新标准设计单位是数字身份基金（DIF）和万维网联盟（W3C）。W3C社区列出了一套一般概念、标准和方法大纲，旨在续写信息通讯技术的新篇章。

甚至是一些DID狂热者也不知道最近已被制定成原型的符合DID的方法。其概念如下：用户在本地设备上存储个人数据，但与国家管理的云注册机构限制部分访问的当前范式相矛盾。用户从来都不需要披露所有数据，而是仅披露部分，且仅合理时披露。采用默克尔树和存储在区块链上的数字签名根进行验证。服务供应商（web服务、政府等）不会存储个人数据，但可以随时联系你进行数字身份验证。Vareger的Mykhailo Tiutin提出了一种概念，其原理如下：首先，数据能够且必须存储在用户的设备上而非第三方服务器。很多情况下，数据甚至都不该离开用户的设备或不该披露，如需披露，机构仅收到规定所需的部分个人数据。

 基于默克尔树的部分个人数据披露方法
例如，你走进酒铺后，你和收银员都有预安装了身份验证服务的移动设备。美国法律禁止向21周岁以下的人售酒。从技术上来说，收银员不需要知道你的姓名、社会保险号甚至生日，只需要知道你的法定年龄是否超过21周岁。那么对于设计这个系统的工程师来说，“你超过21周岁了吗”这个问题只是0=否、1=是的布尔变量而已。

在设计这个系统之前，工程师需要了解一些东西：默克尔树，其中树叶是个人数据（姓名、身体、地址、照片等）的哈希，树根是信任服务提供商（TSP）签署的加密字符串。

信任提供商可以是政府（例如内政部）、银行或朋友，即双方共同信任的人。根和签名以及TSP的数字ID都存储在区块链上。

 部分披露的DID示例
那么上述商店里面的场景就应该如下：你拿出智能手机，打开身份验证APP，选择你想要收银员设备可以看到的数据。这时候已经有根、供应商数字签名、照片和“21周岁以上”的布尔，但没有姓名、没有地址、没有社会保险号。收银员可在自己的设备上看到验证结果、客户设备发过来的照片，然后核对照片是否经TSP认证。但是，因为你可能拿了别人的智能手机，所以收银员会确认屏幕上的照片是否与顾客自己的脸相匹配。除了根和签名外，没有数据存储在区块链上，一切信息都保存在你的智能手机上。当然，商家可能试图将你的照片保存在他们的设备上，这种情况我们稍后讨论。

这种方案的优点是有很多根采用了单独的TSP。例如，你可以有教育证明根，而教育机构是证明你的学分和毕业情况的提供商。同样的数据可以有多个信任供应商。例如，一个人的身份证明可在三个国家进行验证，但管理多个数字ID会造成很大的负担，因为你需要记住很多授权密码和方法。但有了DID，只需一个通用ID即可。

一套拥有多个信任服务提供商的统一数字身份 
你还可以在社交媒体、论坛和在线商店上使用假名。可以是“猫咪”或仅仅是一个没有名字的ID，任何你想设置的都可以。假名可以通过零知识协议链接到TSP签名，也就是已经有身份已验证的数字证明，但是隐藏在web服务上。

基于已验证数字身份的一套假名 
有很多身份保护方法和方案，但核心理念都是所有数据的控制权都属于自己。大部分情况下，你根本没有（通过零知识证明协议）披露自己的数据，而有时候仅需披露部分即可。

他们会存储你的数据吗？

W3C和很多狂热者努力研究DID和可验证凭证概念几年了，但不幸的是，我们还没有看到大量的采用，其中最大的阻碍就是政府。

 个人数据的中心化存储vs.区块链上的去中心化身份方案
要实现大量的采用，首先需要实现两件事：

1.政府停止收集个人数据。

如上所述，没有人可以保证数据的安全，包括政府。如果某一天你的数据被泄露，但没有造成金钱损失，也没有威胁到生命安全，那么算你走运。

所以，首先，政府必须停止存储个人数据。将这一点落实到位是确保个人数据安全的唯一方法。这种说法会让“爱国”思想家大吃一惊，但DID和可验证凭证方法确保了解你的客户（KYC），但不会曝光个人数据。政府无须收集个人数据，除非是针对具有非法企图的人。

某些联邦级别的活动必须要有数字ID，例如注册公司、报税、选举。在这些情况下，ID验证后的确定性必须达到可接受程度。

2.新的隐私法规制定了高标准的个人数据存储和第三方罚款规定，存储的经济可行性更差了。

“PDPR”必须成为继《通用数据保护条例》（GDPR）之后的法规，其中“P”代表“个人”。美国和其他国家试图走出GDPR所带来的各种影响，但欧盟已经在讨论“个人数据保护条例”的概念。

实施该条例的关键点在于政治家必须有勇气采用最严格的的规定，施加可以实行的最高罚款。

这样做的唯一目的是：当任何公司、银行或公职人员想知道存储某个人数据是否是一个好想法时，他们需要认真考虑理由是否充足，因为我们知道个人数据采用中心化存储时，总有一天会不可避免地被泄露。

相反，要泄露存储在用户个人设备上的数据，障碍更多，因为相比5亿台独立设备，更容易从一台设备上盗取5亿个账户。

每个人都有权控制个人数据的公开程度，有权决定自己要分享的内容。因此，新的法规和技术一般都要求停止中心化存储个人数据。如果没有，那就只好接受现状，习惯数据不断被泄露的新闻。在使用任何服务提供商的任何服务时，点击“我同意”即可。



来源：AXEL_Network