【人话版】WEB3黑暗森林中的隐私博弈

这篇具有很好参考价值的文章主要介绍了【人话版】WEB3黑暗森林中的隐私博弈。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

【注】:1)本系列文章为纯纯的个人思考,和任何职务/机构/商业完全无关。2)面向对网络、IT动态有兴趣的朋友,漫谈风格说人话,尽量避免晦涩技术。3)行文必有不成熟不周全之处,会不定期修改细节词句。4)一家之言,所以此版本暂不开放转载。

系列文章

1:【人话版】摸着WEB3过河的互联网风景线

2:【人话版】分布式数字身份:通往WEB3世界的桥头堡

3:【人话版】WEB3黑暗森林中的隐私博弈

4:【人话版】WEB3将至之“权益的游戏”

黑暗森林博弈,隐私,WEB3,DID,区块链

题图:摸着石头过河的互联网风景线 (背景为个人旅游实拍)

————————————————

很久以前出国旅游办签证,旅行社要了我全套资料,包括身份证、家庭情况、工作和薪酬证明、银行流水、家庭资产等...我表示瞠目结舌又不得不和盘托出。整个过程感觉自己像毫无遮挡的走入黑暗森林,可能没事也可能有事。这是印象极深刻的一次“裸奔”。

网络生活的普及,更是带来了花样百出的隐私痛点,有的骇人听闻,有的违法违规,有的即便不那么恶劣但也会让人像吃了苍蝇一样不舒服。这已经是网络时代的老话题了。

一.什么是隐私:

基本上能用来辨识其人身和物理空间、社会行为、金融资产等特征,能用来触达和针对个人的信息(地址、电话等),都是个人隐私,很难一一列举。各国陆续出台了对个人数据、个人隐私的保护法例,对“什么是隐私”的定义,也是做一堆罗列后,加个“等”字。

所以,隐私的具体列表并不是那么重要,扪心自问根据常识判断就好。随着社会和业务形态发展,隐私意识觉醒,还会有更多信息被认知成隐私。

所谓“人们拿隐私去交换便利”这种话术,在过去可能客观存在,实属无奈之举:在高速发展粗放运作阶段,“速度”和“便利”具备压倒性的诱惑,无论是平台方还是个人用户,对隐私关注和投入得都还不够。

网络越来越多的影响人们的生活,保护隐私意味着免除骚扰、维护尊严以及人身和财产安全;这不仅仅是个人的事情,逐步成为必要的公共事务;即使那些为了一点点钱卖掉个人资料的人,社会也有义务去帮他们维护隐私,改善处境。

包括我国在内的很多国家已经从法律层面制定框架,从监管导向上要求全面从严的保护隐私,打击任意爬取、过度收集、滥用隐私等。

我反复阅读了从GDPR相关资料,以及我国《个人信息保护法》《数据安全法》等一系列条例,信息量很大,很难一言蔽之,仅列几个核心字眼:用户控制,最小采集,知情同意,去标识化,确保删除,合法合规。就是说不管怎么做,只要能达到这几个效果,勉强算是达到了目前的底线。

  • 注:建议仔细阅读各条例,自行专业分析判断

二. 从手头的APP看起

从去年11月之后,各APP纷纷发版,更新隐私条款;大部分APP数据采集和使用界面会详细的告知采集了什么信息,在哪用,分享给哪些第三方用。

由于APP要做到实名制的硬要求,以及其庞杂的功能需要用到大量设备和个人信息,有一些是在关键流程中非要不可的,比如要支付,必须有支付账户信息,要定位,就得有GPS信息...其实收集的还不少,也就是说目前一个APP对用户基本上是门儿清。

有兴趣可以立刻随便打开一个APP的菜单看看,了解下都被收集了什么,是否有还值得优化之处,或者是否还有霸王条款。

黑暗森林博弈,隐私,WEB3,DID,区块链

图:APP的隐私和数据收集菜单

好歹它们已经清晰的给用户拉出清单,绝大部分信息在获取的时候也会征得同意。

乐观的看,我们可以认为在往好的方向走,当然来自监管法规的震慑是重要的原因。

如果还要继续较真的话,就看一个人对隐私有多执着了;愿意花多少时间、出多少成本,有多强的能力去细抠隐私条款和提升保护措施,人人不同;比如,有人持续硬核的挑战公众场合刷脸的必要性,而很多普通用户,通常连APP的隐私协议都没看过,或者看一眼,太长了没看完也没看懂就直接勾选同意了,想着反正信APP和现行法律法规好了。

在更多的线下场景,不免要登记各种资料,转头就可能被卖了。而泄露的资料被怎么用,有很多灰色地带,监管不到。于是,日常骚扰广告,差异化对待,甚至被窥视被传播...都还是有。

信息泄露这事儿,从实操上讲真的很难严防死守,漏了就是漏了,覆水难收。

三)区块链上的隐私辨析

那么,上区块链是不是就“彻底”解决了问题呢?毕竟中本聪号称全世界最成功的“躲猫猫”专家,至今没有人知道他的真实身份。

极客们大体有着强烈的躲猫猫意图,他们懂密码学、懂网络、知道怎么藏起来自己的IP地址和惯用口吻,有101种办法保护自己。

公链网络通常被认为是隐私的,其隐私的基点来自匿名性,即用随机私钥代替了身份,链上账户不包含任何个人信息;但是其交易信息是公开的。打个比方,就像一个人蒙住脸,同时把自己的钱箱敞开,在广场上走来走去做生意,大家都知道他进出账如何,手上有多少钱,但不知道他是谁。

如果面向特定公开市场和特定人群圈子,极致的追求透明交易规则群体共识验证,这个逻辑看起来说得通。

最近看到有人表示,招聘时要看某个人在链上的行为,投了啥虚拟资产,参与过什么WEB3项目,是不是足够Crypto Native(原生加密思维)....

同理,很久很久以前,我在技术论坛匿名灌水,遇到有一位老板在论坛上看帖子,找气味相投的程序员一起创业。他联系到我,我们线下见面欢聚一堂,我表示很感动还是没有迁移城市去他公司 :P

等等,这不是把匿名身份和个人关联了吗?

随着网络和现实世界结合越来越细密,一个匿名账户,有可能在某一次交易、某一条言论、某一个活动中,一不小心和现实身份关联,分分钟奔现;如果这个账户重要到可以根据其资产存量、交易行为、交易关系来判定他、针对他、管控他的时候,匿名保护逻辑就失效了。

公链是完全开放的,各种监测系统随时都可以把整个区块链的数据拉下来,进行监控和交叉分析。出于区块链上难以篡改、全程追溯的特性,只要在链上做过交易,全链条都可以追踪:频繁交易的人,财务情况和行为模式一览无遗,一方面用来分析经济交易模型,也可能是为反恐融资(CFT)反洗钱(AML)做准备。

黑暗森林博弈,隐私,WEB3,DID,区块链

图:链上交易详细记录和关联分析

如果是通过代理模式比如通过中心化交易所接入网络,那在各环节上是否“匿名”,那更不好说了。2022年大家看到有不少因为地缘争端,而针对特定国别、批量管控链上账户的事情,其中一部分是通过交易所实施的。另外,之前在多次黑客攻击行为中,即使使用了链上匿名地址,但根据IP地址、设备标识、交易所来往流水等等信息,执法机构依旧可以锁定嫌疑人并强力执行。

"疑似"中本聪的链上账户,应该是被很多人盯着了吧,天知道这个躲猫猫活动最终啥时候会突然水落石出。

而采用“零知识证明”等技术的隐私币,或者通过复杂的“混币”、多跳网络等方式隐藏行踪,技术成本和操作复杂度都比较高,远不是普通用户轻易能把控的。

联盟链和公链略有不同。联盟链具备强准入和权限机制,使链上账本仅对有限参与方可见。即便如此,联盟链上的隐私依旧是热点话题:参与者共享数据是否泄露商业机密,是否全生命周期贯彻了用户隐私保护,是否会出现木桶短板...都会被严苛审视;纠结来纠结去,有的链上就只剩HASH了...为了更大范围的应用落地,可控匿名、多级隔离、隐秘账本、隐私计算、多方治理等重武器亟需装备到联盟链上。

总之,在日益庞杂的数字化社会里,一个人的隐私,和他的个人信息、社会信用、交易流水、交易对手方、资产存量...息息相关,仅仅带上简单的匿名面具,是远远不到位的。

无论在区块链上还是现实中,我真的不愿意把我的交易流水交给不清不楚的人(别多想,我没有买什么奇怪的东西)。

四)从源头做起

数字化社会里,人一举一动都在主动被动的发送数据,数据近于无成本、又大规模低时延的在网络中传播复制;数据一旦发出,在技术上,人就失去了对数据绝对的、排他的控制能力,处于完全的被动状态。

简单的说,要想不暴露隐私,最好从源头掐住,不要暴露它,时刻防着被人窃取它。

举个例,现在外卖APP有一种号码保护功能,大致是下单时系统分配一个虚拟号码,供店家、外卖小哥、用户来联系,订单完成后,虚拟号码失效,这样可以相对有效的保护用户的电话号码隐私。

以WEB2.0的标准看,这样其实已经算是有进步了。但当下流行的WEB3思潮,强调数据要由用户而不是平台控制。

依次类推,如果用户要“全面”的保护隐私,要从用户端出发,和平台方协同,彻底改变数据交互逻辑。

黑暗森林博弈,隐私,WEB3,DID,区块链

图:筑墙修路,穿越黑暗森林 

 对用户侧,要在APP、网站、浏览器..等所有客户端嵌入多种密码学算法和数据披露策略,不该披露的数据不披露,对要披露的信息用密文证明代替明文,并采用“一次一密”的策略避免关联;随着用户设备计算和存储能力提升,对于一些需要计算的数据,与其将其给到云端计算,也可以从云端下载一个模型,本地计算;对必须给出明文信息的话,打上密码学特征标识和数字签名,尽量做到全程可追溯。这个链路的起点可以参照分布式数字身份DID协议等新技术思路。

其实,目前以及未来的手机、电脑和物联网操作系统和安全区,会嵌入隐私保护的各种能力,超驰(Override)于应用层,对动到用户数据和设备信息的动作,都进行全流程的监控和干预...应用开发从一开始就是“面向隐私”编程了。

而平台方要确保最小收集、明示告知、去标识防歧视性针对;平台端与合作伙伴分享数据时,采用“明文不出库、密文可计算”的联合计算策略;该失效的信息,在合理的时间窗后确保在平台端删除。

如果平台端能基于区块链等分布式多中心治理方案,建立互相共享数据又互相监督的博弈关系,那是更好。

整条链路走完,不止是在技术上要求设备、APP、后台服务进行迭代重构,同时其商业模式、运营治理观念等层面可能也会产生许多变迁。整个链条会非常的长,需要做的工作也非常多,覆盖芯片、硬件、网络、软件、云平台……等广袤的产业链。

写这一段,我已经狠狠地抑制展开技术细节的冲动了,不写讲不清楚,全写出来又妥妥的违背“说人话”的初衷;我觉得感兴趣要深入还是多读专业论文吧,相关的资料汗牛充栋,而且,也并没有哪一个单一技术可以包打天下,整体会是一张非常大的技术拼图。

更重要的是,即使技术再硬核,流程再复杂,最终还是要给用户封装成一键式的操作,用户获得顺畅安全的小确幸即可,不要让用户操心任何概念和技术细节,否则这事儿绝对成不了。

变化可能不会让所有人愉快,尤其对既有业务模式固化、技术投入不足的玩家。

换个角度想想,平台方保护用户隐私,其实某种程度上也是在保护自己,尤其是在目前日益严厉的政策下,所谓“能力越大,责任越大”,平台关联的用户越多数据越丰富,就越不希望在隐私方面出问题。

再则,如果谁率先在技术、体验、商业上拿出用户满意且商家接受的产品,那么,他在新的数字化业态里就能先跑出一步。

五)漫步黑暗森林

DID规范文档里有这么一段风险提示,我觉得挺点睛的:"尽管尽了最大努力确保隐私,但实际使用可验证的凭据时,依旧可能会导致取消匿名和隐私丢失"

在日常使用中,依旧有很多口子导致诸多技术保护成了马其诺防线。比如多次使用同一个密文身份或凭证,或者平台方暗地串谋多维分析,都会暴露可关联的痕迹;居心叵测的人会采用社会工程学,逻辑迂回旁敲侧击,诱导人们交出隐私;甚至于人们本身,都热衷于打探、窥视、传播他人的隐私...人性中的顽劣惯性几乎恒久不变。

复杂博弈中,技术是必要条件但不是充要条件。如果仅仅依赖技术,就会变成猫和老鼠式的无穷无尽的打补丁游戏,对此应有“谨慎乐观”的预期。

而出于公共安全、医疗救援等刚性要求,人们给必要的权威机构交出部分隐私,则不在“泄露”之列。对隐私的“收”和“放”,要保留弹性考量。

例牌引入一本书:莱斯格教授的《代码2.0:网络空间中的法律》,我认为这是一本将技术和法律结合的相当好的思考宝典(当然不是法典)。

黑暗森林博弈,隐私,WEB3,DID,区块链

书中关于隐私的部分,重点阐述数字技术使监控和搜索变得容易,信息的“可解释性“使人人对隐私的价值判断迥异,“侵害”和“保护”双边责任划定模糊,甚至自相矛盾;诚然,DID/P3P等是可用来有效保护隐私的技术,但单靠技术无法解决隐私的问题;书里一再强调需要贯彻“法律,社群规范,市场,体系结构”四要素,让人们控制自己的信息,同时尊重治理规则,以平衡隐私和公共利益的关系。

莱斯格教授论述比较细,提纲挈领,关注风险,字里行间处处是梦破碎的声音(如1996年曾经理想化的“互联网独立宣言”),有助于客观审慎的复盘审视。但是不是全覆盖,是不是没争议,不好说~~这也是人文社科领域的难局之一:一家之言和路线之争(或者利益之争)使许多idea支离破碎、技术方案举步维艰。读书,只是为了启迪和梳理思路吧。

无论如何,由于隐私包含着诱人的信息,出于人性的局限,对隐私的窥探、窃取、滥用多少都会存在。只是期望通过各方努力,每个人都提升隐私意识,青睐保护隐私的产品,使信息泄露越来越可控;同时,大家对侵犯隐私的行为做出果敢的挑战,使侵犯隐私的事情越来越少,在法律法规的支持下,对肇事者做出雷霆一击。

套用大刘在《三体》里的文字,小改一下:网络是一座黑暗森林,到处都是揣着隐私或垂涎隐私的人。他们像幽灵般潜行于林间,轻轻拨开挡路的树枝,竭力不让脚步发出一点儿声音,连呼吸都必须小心翼翼。人们必须小心,因为林中到处都有潜行的猎人....任何暴露的隐私都有可能被滥用,这就是网络黑暗丛林的图景

有点不寒而栗是么?不要返航,毕竟已经身在此山中,“我有一个梦,也许有一天,灿烂的阳光能照进黑暗森林”(《三体》罗辑)

附:

参考资料

代码2.0 (豆瓣)  书的链接

以下资料请通过权威渠道获取文章来源地址https://www.toymoban.com/news/detail-816798.html

  • 网络安全法
  • 个人信息保护法
  • 欧洲GDPR (General Data Protection Regulation)
  • 欧洲数据治理条例 (REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCILon European data governance: Data Governance Act)
  • 欧盟2021年《电子隐私条例》(E-Privacy Regulation)草案

到了这里,关于【人话版】WEB3黑暗森林中的隐私博弈的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 5000家芯片企业倒下,院士悲呼进入黑暗森林,但曙光或在眼前

    半年多前,统计指出中国已倒下了5000多家芯片企业,院士骆军委等认为中国芯片行业正进入黑暗森林,这让人担忧中国芯片行业的前景,不过如今半年时间过去,国产芯片所取得的许多突破似乎显示出曙光已现。 院士骆军委等认为随着美国阻止先进芯片设备、EDA工具等供应

    2024年02月10日
    浏览(35)
  • Web3与AI:数字时代安全隐私交易的未来

    AI+web3=下一个热门赛道? 在数字时代的浪潮中,Web3和人工智能(AI)成为了两个备受关注的前沿技术。 Web3代表着下一代互联网,强调去中心化、透明和用户控制的特点。 而人工智能作为一种智能化的技术,正在改变着我们的生活和商业领域。本文将探讨Web3与人工智能的

    2024年02月13日
    浏览(39)
  • Web3与个人隐私:打破数据壁垒的新时代

    随着科技的不断发展,Web3技术的兴起为我们带来了一个全新的数字时代,重新定义了个人隐私的概念与实践。在这个时代,我们不再被动地成为数据经济的被动参与者,而是迎来了一个更加安全、透明和个人主导的网络生态。 Web3技术的核心特征之一是去中心化,它颠覆了传

    2024年02月21日
    浏览(45)
  • 兼顾友好与安全,隐私协议 Unijoin 助推新一轮 Web3 浪潮

    区块链本身不仅崇尚去中心化,同时也崇尚公开透明,虽然这正在让 DAO 治理等变得更加公平,但它同时也是一把双刃剑,个人交易者尤其是一些巨鲸交易者的所以链上交易都被公之于众,这似乎并不是他们想要的结果。 所以从加密行业发展早期开始,隐私交易就不仅是一个

    2024年02月08日
    浏览(37)
  • Web3.0浪潮下,隐私计算与NFT的前景会是怎样

    MetaMirror 观点: Web 2.0 的数据是孤岛式的、被利用的、由企业拥有的、易受攻击的、非私有的,而 Web 3.0 数据是私有的、安全的、代币化的且由用户完全拥有的。 前言 为解决现有的Web2.0生态中存在的“垄断”、“隐私保护缺失”、“算法作恶”等问题。隐私计算作为解决数据

    2023年04月13日
    浏览(39)
  • 【UNIBFF万字对话Web3.0第3期】公链隐私保护及生态安全

    【对话Web3.0简介】 2022年,元宇宙与Web3.0热度居高不下。Web3.0到底有哪些应用场景?这些应用背后的技术原理是什么?面对Web3.0复杂的技术和应用创新,需要怎样的安全保障?Web3.0创业者如何认知其中的机遇和挑战,识别和管理风险?由UNIBFF主理的《对话Web3.0》,将持续关注

    2024年02月02日
    浏览(51)
  • 时代风口中的Web3.0基建平台,重新定义Web3.0!

    近年来,Web3.0概念的广泛兴起,给加密行业带来了崭新的叙事方式,同时也为加密行业提供了更加具有想象力的应用场景与商业空间,并让越来越多的行业从业者们意识到只有更大众化的市场共性需求才能推动加密市场的持续繁荣。当前围绕这个领域展开的商业竞争,已经广

    2024年02月08日
    浏览(55)
  • Web3中的机会,值得尝试

    Web 3.0 是互联网下一次重大发展的新流行语之一。 Web 1.0 存在于 1990 年至 2004 年,当时大多数网站都是静态的并由企业构建。 在这个阶段,看到机会的人购买了域名,然后以更高的价格将它们出售给需要这些域名的企业。 Web 2.0 是用户生成内容和社交媒体的时代。 用户开始通

    2024年02月12日
    浏览(48)
  • Web3 中的安全问题和防范

    Web3以区块链技术作为基础,构建出了一个去中心化的网络世界,并以高安全性而著称。 但是,区块链也是由代码构建而成的网络,其中难免不会出现一些漏洞,这使它的安全性并非那么绝对。我们现在使用的 web2网络也存在很多安全漏洞,但实际上,大多数人在使用互联网时

    2024年02月13日
    浏览(38)
  • 【web3j】java通过web3j监听并解析合约中的事件(event/emit)

    ① 查询链上数据用的rpc(本示例是binance的,测试网可以使用:https://data-seed-prebsc-2-s2.binance.org:8545) ② 自己还要有一个测试链上部署好的合约,合约中要有一个方法emit了事件。 ③ java依赖 一、 通过自己合约的abi和bin生成一个java文件,abi和bin可以在remix的compiler模块中获取,

    2024年02月09日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包