Google一天追踪你340次 零隐私时代需要怎样的区块链数字身份？

近日，GDPR正式向全球科技巨头开出了第一枪。根据法国监管机构国家数据保护委员会(CNIL)提供的证据显示，Google因违反《一般数据保护条例》(General Data Protection Regulation, 简称GDPR)，将对Google母公司Alphabet处以5000万欧元(约合5680万美元)的罚款，多家海外科技媒体在报道时，都用了“record high”(破纪录地高)描述处罚力度之狠。

根据最新的GDPR，Google违反的具体条例很多。比如数据收集信息不透明、用户不了解数据收集情况、数据处理和存储时间等完整信息并未全部出现在同一位置、Google搜索引擎未获得用户同意收集有针对性的广告数据等。

一天340次追踪 全方位被动收集让用户成为“透明人”

知名独立网络安全专家Lukasz Olejnik表示，这是目前全球针对数据保护最高金额罚款，是隐私保护执法的里程碑。他认为，首个处罚决定至关重要，将决定人们如何理解法令条款及实际执行。“毫无疑问，将来会有更多罚单，它们将影响今后系统与软件的设计。”

一篇美国范德堡大学出版的题为《Google数据收集(Google Data Collection)》的报告，揭露了互联网公司毫无节制的数据收集行为。一个典型的场景是这样的：一个拥有Google账户和Android手机的用户，Google会在众多活动接触点收集数据，例如位置、路线拍摄、购买的物品和听过的音乐。令人惊讶的是，Google通过被动方式收集或推断超过三分之二的数据信息。在这一天结束时，Google就能准确把握住用户的兴趣。

经过研究发现，Google服务器每天通过Android手机传输11.6MB数据，不断上传备份到后台。Android手机的个人用户信息包括姓名、手机号码、生日、邮政编码、信用卡号码、手机上的活动(使用的应用和网站，包括如何使用)。Android手机用户被Google收集信息的频率高达90次/小时，正在使用的手机比没有打开的手机，其被收集的数据量高出1.4倍。一台休眠的Android手机，只要Chrome浏览器后台处于活动状态，会在24小时内向Google传送位置信息340次，位置信息占发送给Google的所有数据样本的35%。

Google通过专门在系统中标记“匿名用户”，把收集好的数据拿来使用，赤裸裸地演绎了“此地无银三百两”，但这是为什么呢？因为Google会收集自家相关应用和第三方网页访问的活动数据，然后再与用户的Google身份相关联。主要通过Android收集，将“设备标识”传递给Google服务器来实现的。同时，“广告标识符”也在这个时候派上了用场，形成了完整的闭环。换言之，Google通过被动方式收集到的“匿名数据”，与用户的个人信息相关联，最后用看似“合法手段”利用这些数据信息。

报告对于Google这一行为进行了概括：“Google通过各种产品矩阵，大范围收集有关人们在线和现实世界行为的相关信息，然后用来支撑广告业务。比如，随着定位技术和数据的完善，Google的收入会显著增加。”

人人都活在“楚门的世界” 我们需要怎样的区块链数字身份？

就像电影《楚门的世界》中的主人公，生活在信息高度发达的资本主义时代，每个人都在不自知的情况下被观看、消费与监控。在隐私侵犯的面前，每个个体都十分被动。在互联网时代拔得头筹的科技巨头，无一不是利用了用户数据的确权漏洞，趁着法律模糊和监管缺位，想方设法将数据大举变现，从而造成今天强者恒强的局面。

互联网从诞生伊始，便以机器为中心，而不是人类。换句话说，互联网虽然提供了信息互联互通的手段，但并没有提供中立、开放、统一的身份层。于是，用户在互联网里，无法了解对面的一方究竟是谁，更不知道它究竟连接了谁。当然，这在互联网早期是一件好事，它们并不能从我们身上窃取太多数据。

W3C以及一些标准化组织，提供了一些互联网身份的标准。这些标准的初衷是为了更好地服务互联网应用，但是这些标准被实施的过程中，仍然突显出很多问题，比如身份数据的安全性问题，面临泄露和被篡改的风险；不同机构之间的身份数据的兼容成本很高，带来身份数据碎片化且不一致的问题；用户这个身份的核心节点缺失，无法控制自己的数据；重复创建和管理不同应用下的身份；虚假身份欺诈等等。

在集中系统中，单个提供者(通常是政府机构)将身份数据集成到所有用例中，并承担相应成本，例如爱沙尼亚的e-Residency和印度Aadhaar国家数字身份计划。其好在于，提供了便捷的服务交付过程和高效的数据聚合功能，然而这样的系统却集中了风险和责任，给单个提供者带来了巨大的信任负担。

在联邦系统中，在公共标准下的多个独立系统之间共享数据所有权，例如由金融机构牵头的加拿大SecureKey Concierge，以及由公共部门推出的GOV.UK Verify数字身份。联邦结构分散了成本，降低了数据滥用的可能性，但也需要协调决策，其带来的复杂性可能会抑制机构作为身份提供者的参与度。

对于这些问题，W3C、Sorvin、OpenID正在寻求一些去中心化的数字身份方案，微软也在关注如何利用区块链构建去中心化的区块链身份，这也是区块链数字身份研究的前沿。

那么我们需要怎样的区块链数字身份？一个区块链数字身份必须涵盖身份的两大核心功能：验证和授权。区块链依靠天生的特性就可以进行身份授权，基于密码学的账户体系可以很好地自主控制数据，也会强制性地让运营商把身份控制权还给用户，并且一切关键数据都可以被登记下来。另外，区块链数字身份还有一个优势，就是可以与区块链数字资产进行无缝链接，把以往割裂的信息化身份和金融身份打通，这些都是以往互联网身份没有做到的内容。

但我们必须要承认，区块链的匿名性也给监管带来了困扰，完全匿名的数字身份并不是未来的发展方向。金融监管机构、税务机构、执法机构有权对金融生态系统进行审计，他们有理由在怀疑的情况下调查不当行为。在这种情况下，我们需要为监管机构提供必要的能力，以便在适当的司法监督下调查资产状况。

另外，如果没有适当的设计原则和控制，数字身份系统的控制权可能会交到管理员手中，导致新的不公平现象产生，并且由于缺乏处理问题或申诉的中心机构造成另一种形式的低效。因此，区块链数字身份在发展过程中需要配套政策作为辅助，将权力关进制度的笼子，同时也要平衡好去中心化与中心化的效率和界限。

个人的隐私保护绝不是等待那些信息收集者自动地良心发现，而是需要主动打破信息的黑箱，通过不断迭代的技术知识，从“观望”、“个体自保”转变为“实践”与“组织行动”，只有这样才能够真正夺回自己的“数据主权”。