GDPR让数据保护进入正题 公链PK联盟链谁更胜一筹？

（原标题：GDPR让数据保护进入正题，公链PK联盟链谁更胜一筹？）

身份，是我们行走江湖的核心，我们每时每刻都在证明自己是谁，以赢得对方的信任，从而进行交易、获取商品和服务。物理世界中面对面的信任是相对容易的，确认过眼神，你是对的人。但数字世界的交互呢？互联网早已成为我们生存的主要阵地，在这里，你需要无休止的输入信息、验证身份，我们已经习惯了这一切，却也逐渐意识到，原来我们的信息是有价值的。泄漏、贩卖信息的灰色产业链浮出水面，个人隐私数据保护的呼声日渐强烈。

GDPR生效，让隐私数据保护进入正题

今年5月28日，欧盟《通用数据保护条例》（GDPR）正式生效，这是目前对个人敏感数据保护最严厉的规范之一。它要求与欧洲做生意的所有企业，默认使用尽可能高的隐私设置，必须事先取得同意才能合法处理公民个人数据，并且数据所有者有权拥有反对权、限制权、遗忘权等一系列权利。违反条例的企业，将面临2000万欧元或营业总额4%的罚款。

尽管这一条例已经过两年缓冲期，但企业普遍没有做好准备。条例生效首日，Google、Facebook、WhatsApp和Instagram便遭遇投诉。按照市场调查公司Propeller Insights的一项调查显示，52%的受访企业认为将面临违规罚款。

刻不容缓，数据泄漏总成本达362万美元

事实上，频频发生的泄密事件、撞库事件也在警醒我们，个人隐私保护已经到了刻不容缓的时刻。

IBM Security和Ponemon Institute两家研究机构针对419家公司进行调研后，发布了《2017年全球数据泄露成本研究》报告，显示数据泄露总成本达到362万美元。其中，47％的事件涉及恶意或犯罪行为，25％是由于员工或承包商疏忽（人为因素），28％涉及系统故障，包括IT和业务流程故障。

庆幸的是，多数行业已经意识到数据泄露风险，会主动寻求技术手段规避。

区块链，让用户拥有数据的控制权

我们逐渐认识到，数据是我们用户自己的，商家可以使用，但不能拥有。而区块链的价值在于，它让用户获得某种意义上的控制权，用户得以在拥有数字身份的同时维护自身隐私，并且只允许特定组织或个人访问、储存、分析或分享个人数据。

区块链——作为公开账本，解决了各方如何建立信任的问题，却也同时带来了一个新的问题，隐私如何得到保护？关于这一问题的探讨持续了很多年，目前从区块链技术上来讲，主要有通道、混合器、环签名、零知识证明等解决手段，在这里就不赘述了，我们主要基于业务逻辑来谈谈。

7个方向，数字身份的必经之路

由One World Identity，RegTech Lab，Michael Meyer和Pascal Bouvier对187家数字身份的创业公司做了统计：

这是一个有着巨大前景的产业，透过这些企业的着力点，我们可以大致了解到解决这一问题需要关注的几个方面。One World Identity将这些公司按照划分成了7组，分别是：

其中占比最大的三个部分是

? 身份验证/授权（27.8%）：对用户进行身份验证或针对特定阈值授权的解决方案； ? 监控（23%）：解决欺诈或提供欺诈预防，满足某些AML / KYC合规性阈值和任务； ? 数字身份（21.4%）：从数字世界开始构建的下一代数字身份解决方案；

对于数字身份与隐私保护，最需解决的问题包含：一是身份验证，保护用户，如何在不透露个人隐私数据的前提下完成验证？二是监控，保护商家，如何在获取尽可能少的信息的情况下，确保用户没有欺诈，建立白名单？三是数字身份，如何在数字世界里重新构建新一代数字身份？

总体来看，主要有两种解决思路：一种是创建基于区块链的身份证书，另一种是将已有的身份认证信息置于区块链之上。公有链通常基于前者，而联盟链通常基于后者。

公有链和联盟链存在不同的模式

公有链实际上是一个C2C的连接器，用户的数据就是他自己的，他只需要证明“我是我”，而不需要证明“我是谁”，用户可以选择数字身份证是匿名、化名或公开，还可以随时随地从任何设备访问区块链应用平台，控制他们的互联网个人数据。

比如，uPort，是一个基于以太坊的区块链身份验证的项目，它解决了大量的公有链可用性问题，如私钥管理，通过可以整合进其他项目中的基于区块链身份协议，打造永久的身份信息，如果手机丢失了，可以通过身份复原找回身份信息。

比如，Civic允许用户通过区块链共享和管理他们的身份验证数据，并在没有用户名和密码的情况下提供多因素身份验证。

再比如，SelfKey项目旨在将个人的身份认认证需求，如出生证、护照、驾驶执照等，汇集在一个统一系统中，形成一种存在于SelfKey上完全由用户而不是任何第三方政府或公司实体控制的身份认证。

以Civic、uPort、SelfKey、Evernym、IDHub为代表去中心化身份系统，增强了数据的自由流动与信用价值的传递，同时更实现了数据确权，让用户拿回了属于自己的数据。

但是，公有链的解决方案存在两个问题，一是如何配合监管，虽然它能做到在C2C的场景下构建信任，但却绕过了第三方的监管。二是如何帮助企业利用原有数据？目前的商业模式之下，企业间对于用户的身份验证来源于公安系统和银行系统，它们真的愿意摈弃这些已有的数据资源吗？在这一考量下，就产生了联盟链的授信模式。

联盟链是B2B2C或者B2G2C这样的模式，用户可以不告诉商家“我是谁”，但却必须证明“我是你要pick的人”，且万一出现风险事件时，商家要确保他们能够通过可信第三方知道“我是谁”。也就是说，用户声明自己是谁，或者具备某种值得信任的属性，但平台并无权力做出认证，认证是由具备权力的其他参与方完成（如公安部门，或者不同服务的提供者），并返回认证结果。用户不直接面向区块链，而是通过可信商业机构，以及政府部门进行代理接入区块链。

比如，2014年爱沙尼亚宣布向全世界所有人开放“电子公民”(e-Residency)身份证服务，这也是全世界首例电子公民项目。