中金研究院:元宇宙的隐私保护——技术与监管
内容概要
§ 保护用户隐私和数据安全是元宇宙产业健康发展的重要前提条件。为了保护好隐私数据,元宇宙平台应能实现三个基本要求:数据的全生命周期安全可信、用户有能力自主控制数据、支持各方进行分布式协同治理。
§ 为实现三大基本要求,以区块链、隐私计算、分布式身份等为代表的分布式技术体系是元宇宙的重要基础,构成元宇宙隐私保护的技术路径。区块链和隐私计算互补融合,让数据安全可信地存储和流通,多方共享数据价值;分布式身份技术能让用户自主控制元宇宙内的数字身份及其对应数据。
§ 除了通过技术路径保护隐私,因为技术不成熟、治理体系和兼容性有待标准指引以及现实世界相关业务场景所需,监管路径同样必不可少。为此,既要以平台服务条款和社区规范等“软法”规则来完善平台内的自我治理能力,也要以政策法规和技术标准等“硬法”实现对平台的外部监管。
§ 要平衡元宇宙内隐私保护和维护公共秩序的关系,避免违法犯罪的行为借隐私名义得以藏匿。但是,由于元宇宙的数字内容格式和场景丰富多样,还可能涉及跨国场景,传统的中心化内容监管审查模式可能遭遇较大挑战,也不利于吸引用户。由社区和用户依据“软法”自发执行的分布式治理能作为主要支撑,实现监管与隐私保护之间的平衡。
§ 如何在元宇宙内实现隐私保护与监管的平衡,促进产业的健康发展,是一个开放的问题。分布式技术结合自发治理,提供了一条可行的思路。行业的发展需要制定多层次的隐私保护技术标准,提高不同厂商之间的互操作性。不同元宇宙场景下所适用的隐私保护规范以及差异化的准则,构成进一步的研究课题。
近年来,元宇宙的概念备受热议,富有想象力,可能对互联网、游戏、媒体、工业、旅游等等传统产业产生不可忽视的影响,将有多样化的应用场景[1]。与现实世界对应,作为虚拟数字世界的元宇宙将同样拥有一套经济社会系统,建立新的规则秩序。在这些规则秩序里,隐私保护将是其中重要的一块拼图,以控制海量用户和行为数据被不当利用的潜在风险。
为了更好地监管元宇宙的产业秩序,规范其发展,保护用户利益,本文将深入探讨适用于元宇宙的隐私保护技术体系及产业监管问题。之所以要先重点讨论技术,是因为在互联网时代,人们提出了“以设计保护隐私”(Privacy by Design)的重要理念,认为信息系统的技术措施是隐私保护的第一道屏障,应将保护隐私的理念以技术手段运用到产品和服务设计中,来实现事先预防和事后救济 [2]。国际上的众多法律和技术标准都吸收了该理念[3]。
具体而言,本文将依次回答如下问题:第一,元宇宙的隐私保护有什么特点和要求?第二,元宇宙的隐私保护需要什么样的技术体系?第三,除了通过技术保护隐私,应如何设置监管政策来增强隐私保护?第四,如何同时平衡好隐私保护和必要监管之间的关系?元宇宙是否可能存在与现实世界不一样的监管模式?
需要说明的是,隐私通常是指单个或一群自然人(比如家庭)的个体私人生活相关信息,法律和哲学基础是人类个体的尊严[4],一般不包含法人组织、行政机构的机密信息。尽管如此,本文探讨的技术和部分监管原则同样适用于保护组织的机密信息。比如企业整体作为一个用户加入元宇宙时,它可能就是区块链上的一个普通节点,在元宇宙内相关的数据保护措施与同样作为节点的自然人个体用户是基本一致的。
一、元宇宙内隐私保护的重要意义和基本要求
(一)隐私保护是元宇宙产业发展的重要前提
近几年来,在我们所熟悉的互联网平台经济中,保护用户隐私和数据安全是一个热门主题词,我国和欧美都出台了多部法律来规范相关行为。对于萌芽之中的元宇宙产业而言,隐私保护同样关键,是产业健康发展的一个重要前提条件。在某种程度上,其意义比传统互联网内的隐私保护更突出。
首先,相比于传统互联网,元宇宙具有实时(real-time)、沉浸感(immersive)特征,收集的个人数据种类更多、更敏感。传统互联网应用如微信、抖音获得的用户数据通常包括文字、照片、语音视频、浏览记录等信息。这可以是异步、非实时的信息,也不是能追溯推定出特定自然人的个人敏感信息(personal identifiable information),例如同一段文字、同一张照片可以由不同人发出来。但是元宇宙不一样,它通常需要VR/AR头盔、可穿戴设备等终端载体,用户在空间内的一切个体属性和行为都以数字化的形式被实时、精确地记录下来。例如,用户戴上特制头盔和手套之后,细微的表情、眼睛动作都会被捕捉,连血压、呼吸和脑电波等生理数据都会收集[5]。这些数据不仅是实时同步,而且属于典型的个人敏感信息,可能更准确地定位到某个自然人。
其次,相比于传统互联网,元宇宙具有“超真实”(ultra-realistic)特性[6],逼真模拟现实世界的多样化场景,会收集到的个人数据维度更全面。传统互联网的一个应用只能获得单一场景下的数据,例如淘宝主要获得一个人的购物数据,QQ获得聊天记录,但元宇宙的一个应用可能同时包括购物、聊天以及游戏、运动等丰富场景信息。这意味着,相比于大量日常生活行为未被记录的现实世界,元宇宙里用户的所有行为和偏好有可能都被记录,由此拼接出更立体、真实的用户画像。
所以,一旦元宇宙应用的隐私数据被泄露,泄露的数据量会比传统互联网应用更多,对用户的影响可能会更大。这就意味着元宇宙的隐私保护应更严格。
(二)元宇宙隐私保护的三大要求
在元宇宙内,保护用户数据和隐私并不意味着不使用数据、让数据“沉睡”,而要平衡好保障用户权益与合法合规应用数据之间的关系。为此,我们从元宇宙的本质来分析平台系统应该具备什么样的功能。业内普遍认为,元宇宙是基于Web 3.0技术体系和运行机制的数字空间[7]。在Web 1.0里,用户只能被动接受和消费内容,它产生的是“信息”,例如新浪、雅虎等门户网站。Web 2.0是指用户能够自主创造和传播内容、与服务器交互的网络平台,即能读(read)写(write)内容,于是产生了用户的“数据”,例如抖音、知乎、B站等。如今的传统互联网正处于Web 1.0和2.0形态。在这两种形态里,用户仅仅是互联网平台的使用者,不能享有平台繁荣之后的经济收益分红,最多只能获得一定奖励积分来换取平台上售卖的服务或商品。
与前两代互联网相比,Web 3.0是指用户不仅能够接受和生产网络内容,还能根据贡献来拥有(own)网络平台所有权、分享平台产生经济利益的全新互联网形态[8]。平台会给用户分发权益凭证,每一份凭证代表着对平台利润的分红权。用户在平台上越活跃、对平台的流量内容的运营贡献越多,就能获得更多收益凭证。所以对用户而言,Web 3.0应用在为他创造“资产”。比特币就是最早的Web 3.0应用,每个矿工节点完成区块打包,就能获得一定比特币。社区越繁荣,比特币的价值可能越高,从而给矿工带来的激励也越大,比特币这个收益凭证就成为矿工的资产。
在隐私保护问题上,作为“进阶版”互联网,Web 3.0形态的数字空间首先应延续前两代互联网的最基本要求,保障数据从进入空间起就要安全可信,不会轻易被泄露和删改。全生命周期安全可信是整个数字空间的秩序基础,没有基本的隐私安全,数据不可靠,一切无从谈起。
与前两代互联网不同,“进阶”体现为Web 3.0赋予了用户一定的平台所有权和其他附加权利,这给元宇宙隐私保护带来了新内涵(图表1)。在Web 1.0和2.0的隐私保护法律和政策体系里,数据控制者(controller)是核心角色,数据治理是体系重要的组成部分[9]。数据是互联网经济收益的重要来源,所以对它的控制权在很大程度上影响了数据权益的分配,是网络的经济规则;数据治理则是网络公共空间内众多数据问题的决策模式,确定了数据规则的制定、传播和执行[10]。Web 3.0里,二者同样不可或缺。不过,传统互联网的数据控制者是网络和平台运营方,可以凭借数据来占有商业利益,主导平台治理;但在基于Web 3.0的元宇宙内,作为隐私主体的用户既然同样拥有平台所有权和收益权,那么就要拿回对隐私数据的控制权,才能真正保护好自己的权利。如果用户没有数据控制权,那么平台就有可能存在“道德风险”,依靠数据去牟利却不分享收益。同时,作为所有者的一部分,用户也应获得必要的平等治理权利,否则用户对平台的“游戏规则”就没有话语权,不易真正长期保障自己的权益。正如股份制企业中,小股东除了所有权和收益权,也同样享有投票治理的权利,否则利益可能被大股东侵害。
由此可知,在元宇宙内兼顾隐私保护和合规利用,系统至少应满足三个基本要求,分别是数据的全生命周期安全可信、用户自主控制数据、支持各方进行分布式协同治理。安全可信是三代互联网的共同要求,自主控制和分布式治理则是Web 3.0的进阶要求。
图表1:传统互联网与元宇宙的隐私保护要求对比
1、数据全生命周期安全可信
根据“以设计保护隐私”(Privacy by Design)的核心原则,隐私保护的最基本要求是用户数据从搜集到处置的全生命周期都要合规,保证安全可信[11]。现实世界和传统互联网应用如此,元宇宙内同样不例外。隐私数据的生命周期涵盖数据的搜集、传输、存储、使用、共享、转让、披露和处置销毁等全流程环节,每一个环节都不应被未授权的第三方获取,做到数据安全、操作过程可信任。例如,数据的存储应保证安全可靠、不大容易被攻击泄露,也不能被随意篡改;数据在不同使用方传递过程中,应获得用户授权,做到传递全过程可追踪、可审计。
2、用户自主控制数据
在传统的互联网平台里,平台常常通过与用户签署隐私协议,来获得收集、存储、处理、向第三方披露用户数据的权利,实际上控制了数据。如果用户不同意隐私协议则无法使用核心功能,所以用户的选择权很小,常常被迫让渡或在无意识状态下让渡这些权利。用户的身份信息和行为数据都记录在平台上,数据的控制权由平台企业掌握,企业能利用这些数据用于商业用途,而用户缺乏自由处置权和收益分享权。而且,这样中心化的管理方式就有较大的委托代理风险,更容易有隐私泄露和滥用隐患。
区别于前两代互联网,Web 3.0的一个根本性特征是将权利交还给用户自身,用户对自己数据有充分的自主权,具体体现为能自主管理网络空间里的数字身份,能自主控制所产生的一切行为数据[12]。这里,我们强调控制权而非所有权,是因为用户数据的所有权是一个争议巨大的问题。虽然原始数据是用户所产生,但企业付出了很大数据清洗和处理成本,形成了可用的标准化数据,那么这一份数据包含了两方的劳动,强调独占的所有权概念就陷入了争议。然而控制权的争议较小,成为国际上隐私立法实践的共识。美国《1974年隐私法案》、《加州消费者隐私法案》和欧盟GDPR等法律都把关键放在消费者对个人数据使用和流动的控制上,而不是强调授予所有权给某个主体[13]。当用户获得数据的控制权后,平台就很难在未经许可的情况下独占数据进一步使用的商业利益。
作为Web 3.0的典型形态,元宇宙同样要求用户能自主控制身份和行为数据。用户自主地管理在元宇宙不同场景空间里所产生的内容、资产和行为数据,避免了隐私数据被滥用的风险。而且,在自主授权的前提下,用户可以将数据提供给其他主体,从而分享数据产生的收益。
3、分布式协同治理
区别于现实世界,元宇宙是分布式的经济社会系统。所谓“分布式经济”(distributed economy),可理解为由多个具有对等地位的行为主体共建的一个社会网络,这些主体按照透明预设的激励机制和治理规则,自发地进行社会分工、交换并分享收益,协同管理整个系统[14]。在一个元宇宙里,许许多多用户以虚拟身份加入其中,按照全新的商业和社会规则体系互动,构成多样化的自组织(autonomous organization),协作创造出各种新内容和商业价值,正是体现了分布式经济的特性。
在这样一个分布式经济系统中,如果要分析利用多方用户数据,协同创造价值,应实现三点目标[15]:第一,让不同来源的数据可互相识别、可信赖、可检验,为此数据存储和流通的基础设施应互联互通;第二,设计合理的流通激励机制,给予数据贡献者合理的回报,这样才能形成良性的数据分享协同的机制;第三,让数据主体(principal)、控制者(controller)、操作者(processor)和使用者(user)等各方角色都有机会和权利来共同协商数据保护和应用的规则机制,处理各种情况。其中,所有者是指隐私数据直接指向的自然人,控制者是指能够决定数据处理目的和方式的相关方,操作者是指根据控制者指令来具体处理数据的相关方[16]。
二、元宇宙隐私保护的技术路径
由于元宇宙的隐私保护应满足数据全生命周期安全可信、分布式协同治理、用户自主控制数据的三大基本要求,以区块链、隐私计算(privacy-preserving computation)、分布式身份(decentralized identity)等为代表的技术体系成为元宇宙重要的技术基础。这些技术的架构都在不同程度上体现了“分布式系统”(distributed system)的特点——一簇松散耦合的节点在网络上依据既定的协议和算法来合作执行任务[17]。区块链本身就是一个点对点(peer-to-peer)的网络架构;隐私计算让多个独立数据源在数据不流动的情况下互相通信来完成计算任务;分布式身份系统依赖于多方合作来校验身份及其对应信息。
在这三者中,区块链和隐私计算的应用领域超越了元宇宙,相比之下分布式身份技术与元宇宙的耦合性更强[18]。所以下文首先将简要阐述区块链和隐私计算的特性如何满足匹配隐私保护的要求,然后下一节将重点介绍分布式身份在元宇宙隐私保护中的重要作用。
(一)区块链和隐私计算
1、区块链让数据安全可信地存储和流通
近几年来,区块链的概念变得广为人知。它是一个点对点地分布式构建的数据集合(称为“分布式账本”),各节点之间基于共识机制达成一致结果,并通过密码技术链接起来[19]。它具有多中心、极难篡改、智能合约等特性,来解决数据资产的存储和流通问题,并支持多方之间的可靠协同。
区块链的基本形式是多节点共同组网、共同维护数据,天然地构建了多中心的协作模式。所有节点共享透明和无法篡改的信息,不依赖于某个中介,通过共识规则和智能合约集体维护系统的运转,链上的多种通证手段有助于激励用户来积极参与[20]。而且,基于密码学技术,数据一旦上链后就极难篡改,从而能实现可靠的存证和数据确权,数据的后续流传过程也能全程留痕、可追踪。
在元宇宙内,用户的身份、资产、行为等数据都要求自主掌握而不是寄存于某个中心化平台,因此用户与用户、用户与机构之间构成了多层次、多样化的分布式网络。为可靠地在这个网络里完成数字资产交易、数据分享等行为,区块链就有天然的用武之地。
2、隐私计算让多方更可靠地互相协同,分享数据价值
隐私计算是指面向隐私信息的采集、存储、处理、发布(含交换)、销毁等全生命周期过程的计算理论和技术,在保证数据提供方不泄露敏感数据的前提下,分析计算数据并能验证计算结果,安全地实现数据价值[21]。隐私计算并不指单一技术,而是包含了人工智能、密码学、数据科学等多学科的综合性技术体系。根据实际用途不同,它的具体技术路线包括安全多方计算(secure multi-party computation)、联邦学习(federated learning)、可信计算(confidential computation)等。联邦学习用于让分布在多个机构之间的数据在不出库的情况下进行联合机器学习、建模和预测;安全多方计算则是利用密码学和分布式技术让多方交互来检验或计算数据,但不披露数据明文信息;可信计算是把数据放在具有防护能力的硬件环境(这种硬件称为“可信执行环境”,trusted execution environment)中隔离计算,保证数据安全。
隐私计算的目标是在处理和分析计算数据的过程中能保持数据不透明、不泄露、无法被计算方以及其他非授权方获取。这样,拥有独特数据的各个参与方能够以数据不出本地或加密传递的新颖形式分享出去[22],从而分享了“价值”“知识”“信息”而不是原始数据,做到数据“可用不可见”。由此,潜在的数据价值被挖掘释放,但又不损害数据所有者的权益和隐私权[23]。元宇宙的分布式协同治理离不开多方之间共享数据,同时又很有可能要保证所分享数据的安全,就无法离开隐私计算。
3、隐私计算和区块链融合互补
事实上,隐私计算和区块链还能相互融合,发挥互补的作用。一方面,隐私计算只是用于数据在“计算”环节的安全可靠,但数据全流程的其他环节((数据确权、源头追溯、过程记录)需要区块链来保证可靠性,因此区块链成为隐私计算所需数据的“底座”,不仅能成为数据存储的可靠账本,还能记录和追溯多方协作中的数据集和数据流通过程,以便于各方评估和衡量协作中的贡献。
另一方面,在某些数据存在多级别的敏感性和重要性的应用场景里,区块链的解决方法会比较“笨重”,而隐私计算则比较合适[24]。比如在区块链建构的资产交易场景里,机构不希望自己的经营信息和用户信息在链上公开,不同的信息都有不同的秘密程度。但链上交易和成块需要“打包”节点核验,核验的过程可能会泄露信息。为此,传统的做法是依靠某个权威机构来维护全账本,而普通机构、普通用户则分层分片加入到区块链上,区分权限,但这样系统会比较复杂。引入隐私计算后,链上数据的保密性增强,可选择性披露让信息泄露风险最小化。这样系统就不必那么复杂,不一定需要中心化权威机构,符合元宇宙自主控制隐私数据的要求。
(二)分布式身份
1、自主控制的数字身份是元宇宙的核心要素
数字身份是数字经济产业的一个核心要素。数据的来源产生于对现实世界中实体(entity)及其特征的描述,以及对实体在社会互动中活动行为的记录。换句话说,一切数据的产生和不断积累都以实体为中心,实体既可以是一个人、一个机构,也可以是任何物体,比如一辆汽车、一部手机。数字身份就是互联网世界中对实体独一无二的标识和表征,它通过一组特定的数字序列将物理世界中的某个实体映射到数字世界当中,从而实现身份识别、信息验证等功能。数字身份是连接数字世界与现实世界的关键触点。
在当前互联网世界里,用户的数字身份表现为一个个应用里的个人账户,账户里记录了所拥有的资产和活动。账户及其数据存储在应用运营方的服务器里,由运营方负责管理并保障数据存储安全。这种依托于他人的数字身份体系有5个突出问题:第一,用户不知道产品运营方将如何处理这些数据,隐私风险很大;第二,不同的应用产品之间的账户互不打通,用户往往需要开立新的账户;第三,用户在跨系统的数据流转上处于被动地位,如果不同应用的运营方之间没有信息传输协议,用户很难在不同应用之间主动发起数据迁移请求,即缺乏“个人信息可携带权”(right to data portability)[25];第四,产品系统出故障,有可能账户及其数据都会损坏;第五,用户一旦销户,就会丢失数据,重新开户又要反复填写信息。这些问题的根源是,账户的控制权完全归属于应用服务提供商,用户并不自行掌握账户及其内部数据。
元宇宙里同样有多个应用场景,也可能有账户,但是出于自主控制隐私数据的基本要求,用户需要通过一个自主管理的数字“身份”来统合多个应用的账户[26]。用户能凭借这个数字身份在不同场景里切换,身份所对应的数据则存储于区块链等分布式存储基础设施上。用户通过数字身份来统一、自主地管理自己在不同场景里产生的行为和资产数据,不必将控制权交给其他机构。只有用户授权,其他机构才能去查验身份所对应的数据。为了实现上述目标,分布式身份是非常合适的技术解决方案。
2、分布式身份的概念和基本原理
传统的数字身份体系是中心化的,各个互联网公司和企业机构都集中管理自己用户的身份账户信息,而分布式身份技术是基于区块链和公私秘钥体系实现数字身份去中心化管理的一套解决方案[27]。这里的“中心化”与否关键看身份数据的控制权在机构手上还是用户自己手上,而不是指数据是否集中存储在服务器上。当然,如果数据也分布式地存储在用户节点上,那么去中心化的程度就更彻底。
分布式身份方案由两部分组成,即分布式身份标识符(decentralized identifiers,DIDs)和可验证凭证(verifiable credentials,VCs),凭证记录了身份主体所拥有的数据。只有用户用身份对应的密钥授权,别人才能查验凭证里的数据(具体原理详见附录),用户可以自主完成分布式身份创建、验证和隐私数据管理等一系列功能。
每一个分布式身份标识符(DID)是唯一地对应着一个实体,比如代表一个人、一个物体等,是对不同实体的独特标识[28]。DID本身只是一个字符串,像现实的身份证号码一样,本身不携带信息,它会附加一个文档(DID document),记录了该标识符相关的技术属性,包括这个DID的公钥(public key)、验证方法等。之所以称为“分布式”,是因为DID及文档不是存储于某个企业的数据库中,而是存储到多个机构构成的区块链上。只要用户本人授权,任何人或机构都可以通过链上的DID及其文档来验证用户的身份,从而打破了机构间的壁垒,实现了实体对身份的自由控制。
不过,大量与实体相关的具体信息并不包含在DID和DID文档内,“我是谁、我有什么信息”等问题需要可验证凭证(VC)来回答。VC本质就是一张承载一定数据的数字凭证,它可以为我们的身份信息、特征属性等提供证明,从而确保我们能够正常地使用某些社会服务。VC上面记录了持有人的DID,附有签发人用私钥(private key)加密的数字签名,也自然包含了签发人的DID。
VC弥补了传统凭证在可信性、可验证性方面的不足。想象一个场景:某人想在药店购买一种处方药,药店要求验证他是否符合该处方药的购买条件,于是他向药店出示了医生为其开具的处方,药店查验处方通过后向他销售了该药物。在这个例子中,医院处方就是一张凭证,它为购药者的资质提供了证明。但是在实际操作中,药店想要验证凭证的真伪困难重重:如何验证该处方确由所述医院开具?如何验证该处方内容在流转过程中真实无篡改?最直观的验证方法是去医院系统中查询该处方的开具记录,并与现有凭证进行比对,但是现实中药店很难有权限做到这一点,这就为信息造假留有了空间。
为此,解决方案是将凭证签发人(医院)、持有者(病人)的有关DID信息或凭证存储在一个可信的数据注册机构(Verifiable Data Registry)或区块链当中,构成签发人、持有人和检验人(药店)的可信三角(图表2)。在持有人授权的前提下,三方通过复杂互动来最终检验这个VC是不是真的由签发人所发、信息有没有被持有人所篡改过。详细的技术原理和应用案例请参见本报告附录。
图表2: 可验证凭证系统的“信任三角”
三、元宇宙隐私保护的监管路径
(一)以监管促进隐私保护
上文介绍的分布式技术体系能让用户自主控制个人数据,做到数据全流程的安全可信存储和分享。除了这些分布式技术,必要的常规软件安全技术也是标配,例如身份管理、密钥管理、网络安全等。但是这些专业的隐私和安全技术仅仅是第一道防线,不足以让人们高枕无忧,产业的监管和治理必不可少。至少有四个原因:
第一,隐私保护技术的效果和性能尚未成熟,存在着一定瓶颈或隐患。例如联邦学习和可信执行环境的安全性、区块链的交易性能都需要改进提升[29]。在技术不完备的情况下,监管需要通过各种规则来控制侵犯隐私的行为。
第二,应用隐私保护技术时,需要元宇宙平台运营商和技术供应商建立完善的技术治理体系。这个治理体系应对技术产品的选型、维护、审计、应急处置等做出相应的人员和流程管理规定,为此应有必要的监管指引或产业技术标准[30]。
第三,未来会出现多个供应商搭建的元宇宙平台以提供更宽广多样的场景,除了应用跨链技术,各个公司还需要协作来解决平台之间的身份和数据兼容问题,甚至可能需要统一的工具来管理用户安全,保证用户能安全方便地用一个数字身份“单点登录”来访问不同平台。为促进跨平台、跨供应商的兼容,维护市场秩序和数据安全,产业监管应发挥应有作用。
第四,元宇宙虽然是一个虚拟世界,但它的重要价值是通过模拟现实世界的制造、办公、教育、科研等真实场景(例如“数字孪生”),用以服务于这些场景的生产生活需求[31]。那么在与现实世界交互时,一些应用业务场景应该会受到现实世界监管的一定制约,就要在其中也引入现实世界的规则。如果对虚拟世界不加约束,虚拟世界的风险可能会外溢到现实世界。比如虚拟世界尚未建立金融支付和资产交易的监管,与现实世界存在监管套利的空间,如果虚拟世界的风险不可控,参与者足够多、投入资金量足够大时,就有可能对现实世界产生较大的负外部性。
(二)以服务条款和社区规范等“软法”规则完善平台内治理
产业监管的具体作用路径既包括政府直接通过法律和政策予以明确要求,也包括推动从业机构进行市场自律、营造自治的社会规范等[32]。其中,相比于具有硬约束效力的前者(称为“硬法”),后者属于“软法”(soft law)范畴。所谓软法是指不能运用国家强制力保证实施的法规范,其中包含各种社会组织创制的自治和自律规范、倡导性规则[33]。软法虽然不依靠国家强制力来约束行为,但对于调整社会关系、规范人们行为具有较重要的意义,在现代社会公共治理中具有越来越突出的地位[34]。例如在信息技术领域,比较宽松的开源协议如MIT、Apache协议等可视作该领域内的软法。
在元宇宙的隐私保护问题上,推动科技公司建立起平台和社区的自我治理能力就属于“软法”路径的监管,树立隐私保护的第二道防线。这里平台是指构建和承载内容的元宇宙数字空间,而社区是指元宇宙内部不同场景里的一个个虚拟用户群体组织。具体的做法是科技公司拟定必要的平台服务条款(term of service),在内部各个社区则形成自治的行为规范(code of conduct)。平台服务条款既公布了运营商向用户的隐私承诺和权利义务,也约定一些合规和隐私保护的行为准则,一旦发现有人违反,用户和平台运营商可以依据条款举报和追责。服务条款中还有被称为“社区标准”(community standards)的一部分,为各个社区自行形成次一级秩序奠定共同基础。这些都可能被写入代码执行。除了平台统一的服务条款和社区标准,各个社区可以按照条款和标准要求,形成自治的规范用以补充,发挥各个社区的主观能动性。
举一个知名游戏Second Life为例来具体说明[35],这个游戏在较大程度上接近于元宇宙构想。Second Life是由Linden实验室在2003年推出的网络虚拟游戏,每个用户都是里面的“居民”,大家可以在里面创造各种各样东西和举行活动,如社交、交易、建造房屋、乘坐交通工具等等,还有自己的一套货币体系。平台运营商Linden实验室创设了一套“Linden法”(Linden Law),由平台服务条款和社区标准组成,被写入代码。这就是一种“软法”。服务条款规定了用户必须遵从平台既定的行为规则;社区标准则规定:居民享有合理的隐私水平,向别的居民分享个人主页公开登记范围外的个人信息(例如性别、宗教、年龄、婚姻状态等)就是侵犯隐私,禁止未经居民同意监控谈话、张贴分享对话日志。一旦居民违反Linden法,受到侵犯的居民就可以上报,用户账号就可能受到游戏的惩罚,从轻到重依次为警告、临时吊销、流放注销。Second Life内部的不同社区则有一定自治,平台会尽量减少对各个社区的干预。
(三)以政策法规和技术标准等“硬法”推进平台外监管
平台服务条款和社区规范等“软法”只是适用元宇宙平台内部的隐私保护治理,但在平台之外,还有涉及元宇宙的隐私问题。如上文所述,第一,平台运营商和技术供应商需要建立隐私保护的技术治理体系,更好地运用技术;第二,不同运营商之间要兼容协调,让用户以单一身份就可访问多个平台、自主迁移数据;第三,元宇宙的业务应用可能会涉及到许多现实中的数据和隐私保护问题。为了解决这些问题,需要政策法规和技术标准等有现实约束力的“硬法”来发挥作用。之所以称之为“硬法”,是因为政策法规有一定强制力保障,部分技术标准由政府机构颁布,也具有强制性。
对于技术治理体系和技术兼容问题,制定行业乃至国家技术标准是常见的监管行为,保障技术的可靠性和互操作性[36]。例如,中国人民银行颁发的金融行业标准《金融分布式账本技术安全规范》和《云计算技术金融应用规范》对技术供应商提出了安全的治理结构和管理职责要求,国际组织ISO和IEEE等也在制定相关区块链标准,对于元宇宙区块链底座的安全运行十分重要,不论是建立在公链还是联盟链上。此外,业内也正在推进区块链的跨链标准制定,让不同区块链底层框架形成兼容。这些标准将有助于元宇宙隐私保护技术治理体系的健全和不同平台运营商的兼容协调,让用户数据迁移和平台切换更方便。
元宇宙的现实应用可能涉及敏感的数据流动问题。现实世界里数据流动已经有明确的法律法规,如欧盟GDPR和我国《个人信息保护法》、《数据安全法》等。元宇宙应同样受到这些现行监管政策的制约。不过在元宇宙里,现行监管措施可能需要做一些修订拓展,以更好地适应于元宇宙的实际情况。
第一种新情况是元宇宙的数据流动更复杂,可能会跨境流动,也可能跨越虚拟和现实世界。前者是指来自不同国家的用户在元宇宙内的信息传递、信息从本国用户节点传递到异国服务器上;后者是指用户的隐私信息先从现实世界进入到元宇宙,就涉及数据在两个世界之间的流动。
比如,个人数据跨境传输尤其是一个敏感问题。设想一个大规模元宇宙医疗社区,汇聚了全球许多医生注册为用户。中国病人在虚拟空间里遇到一个美国医生,授权医生获取自己的病历数据以及高精度可穿戴设备测量的实时体态和生理数据,这些数据需要传输到美国医生的工作室来用他的设备软件分析。反过来有一天美国病人也可能向中国医生需求帮助。这样就发生了个人健康数据的跨境传输,涉及到美国“健康保险携带和责任法案”(HIPPA)和我国《个人信息保护法》。《个人信息保护法》规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在境内收集和产生的个人信息存储在境内,除非通过国家网信部门组织的安全评估才能对外传输。HIPPA法规定,对任何形式的个人健康保健信息的存储、维护和传输都必须遵循安全条例。如果医疗社区里的病人或医生是欧盟居民,或者数据处理发生在欧盟内,那么数据传输和处理还会受到GDPR的制约[37]。
那么现行这些监管法律如何与元宇宙应用场景相适应,是一个新的课题。我们可以从欧盟和美国的经验上获得一些启示。欧盟与美国为了调和欧盟用户隐私保护和美国互联网公司业务之间的矛盾,先后缔结了《安全港协议》(Safe Habour)、《隐私盾协议》(Privacy Shield)以及最新的《跨大西洋数据隐私框架》(Trans-Atlantic Data Privacy Framework)等双边隐私保护条约,以开设企业白名单和美国政府加强监督的方法来折衷处理问题。虽然这些条约不能完全解决双方之间的根本分歧,但在相当长的一段时间内维系了美国互联网公司在欧盟的正常业务[38]。中国在发展元宇宙产业时,与其他国家缔结双边或多边隐私条约,可能是一个阶段性的解决方法。
第二种新情况是法律规范对象可能发生变化。现行数据监管法律政策的规范对象是中心化开发运营的平台,但具备Web 3.0特征的元宇宙很可能是一个分布式的平台,数据都存储在用户自己或者受委托信任的节点上,各个节点构成一个“分布式自组织”(decentralized autonomous organization, DAO)。DAO是一个非传统的组织形态,有一套全新的经济协作机制,目前全球尚无监管DAO的法律框架,更何况其中的数据和隐私。监管DAO上的数据将是一个更棘手的课题。
四、平衡隐私保护与公共秩序维护
(一)保护隐私的同时要维护公共秩序
根据隐私法学里的“隐私情境理论”(privacy in context),个人隐私及数据流动并不是一个被绝对保护的权利,而要基于具体的语境来判断适当性(appropriateness)。不同语境中,特定的主体可能有特定的权利和能力,数据并不一定能保持绝对私密[39]。
映射到传统互联网空间,“合理保障”网络空间里的言论自由权利就是一个重要法律问题,不能与国家、社会和经济的公共秩序相违背。网络空间是一个公共领域,所以法律虽然保障言论自由,但这个自由是有边界的,不能假借这种自由权来侵犯别人的合法权益,不能任意造谣诽谤甚至发表突破公序良俗、破坏国家社会安全的言论,或者任由用户泄露一些自身在现实世界工作所获得的国家安全和商业机密信息,从事有关危害行为。一旦出现这样的行为,网络运营者就有权利依据法律法规进行“删帖”、“封号”,情节严重者还负有法律责任。不论在中国还是美国,这都是成立的。1996年,美国立法允许互联网运营者出于“善意”(good-faith)来删掉有害的内容;2018年又出台新法案,禁止性贩卖内容在网络传播。因此,传统互联网空间需要国家监管力量来维持必要的公共秩序,克制对隐私的绝对保护。
现在从传统互联网进化到元宇宙,重要的问题就是,在隐私和数据方面,元宇宙是否应沿袭传统互联网和现实世界的做法,同样保持必要的监管和内容审查?与传统互联网一样,个人自由与公共秩序的兼顾平衡原则同样适用于元宇宙。元宇宙的强隐私保护并不意味着内容的绝对自由,许多内容恰恰来自于用户的自主创作和互动结果。微软公司安全负责人指出,元宇宙内可能存在虚拟暴力、色情、恐怖主义和反政府等违法内容[40]。美国非营利组织“反诽谤联盟”(Anti-Defamation League, ADL)发布报告,调查了网络多人互动游戏中的仇恨、骚扰等破坏性行为(disruptive behavior)和不良信息,发现74%的成年网游玩家遭遇过游戏内外的文字、语音、图片等骚扰,29%遭遇过网络“人肉”暴力,导致不少人在现实世界里出现社交障碍[41]。该报告呼吁政府要制定严格法律来打击在线社交和游戏中的此类不法行为。这些问题在元宇宙内同样会发生。因此,没有“绝对化”的隐私,不能以保护个人数据和自由权利为理由来庇护破坏公共秩序的违法言论和内容,必须有相应的内容审核监管予以限制。
(二)中心化监管审查的模式有较多难点
尽管元宇宙内需要维护公共秩序,但另有不少意见指出,假如政府和元宇宙平台公司中心化地自上而下对用户行为数据进行“穿透式监管”,会面临诸多难点挑战。所谓中心化,既有可能是设置数据信息贯通的枢纽服务器,也有可能是在区块链上设置高权限的监管节点、将隐私计算的可信执行环境放在监管机构等措施。中心化监管审查的难点挑战既有技术和标准上的障碍,也与元宇宙的本质属性矛盾,还涉及跨国监管的兼容性。
第一,元宇宙的数字内容格式比传统互联网平台和2D媒体更为复杂,自上而下的内容审查技术很难做到隐私、安全、时效和准确之间的平衡[42]。传统媒体和互联网主要呈现静态的文字、图片和录制音视频内容,但多人互动、沉浸式体验的元宇宙还呈现多人实时语音对话、视觉展示和行为表达等高维信息,更加丰富。目前技术上还很难做到自上而下的高效实时审查,即使借助一些AI算法来自动化监测[43],效果也不大好、会误判或漏掉大量变种的“互联网语言”(algospeak);如果事后再审查监管,不仅效果大打折扣——因为事情已经发生了,还会引起用户的隐私担忧[44]。
第二,元宇宙的多元化场景让自上而下进行内容审查和尊重隐私的标准尺度很难把握好。例如在元宇宙里,有些场景是用户在虚拟的公众广场上发言,有些则是用户在私人房间里谈话;有些是儿童之间的玩耍打闹,有些则是成人的对话。不同场景内,用户对隐私和安全的期望有差异,隐私与合法性的边界不一样,审查不宜执行同样的标准。那么当场景不断增加时,中心化审查标准变多,不仅会让标准制定变得困难,审查判断难度增加,拉低了监管效率,而且因监管功能多版本化而进一步增加了技术开发的困难和成本。
第三,对用户数据进行中心化监管审查,会给元宇宙套上“环形监狱”,不利于吸引用户、产生丰富的场景应用。由于区块链和隐私计算的强保护特性,政府和平台公司通常需要设置能穿透底层数据的“超级权限”。但这样的“上帝视角”意味着元宇宙的用户面对着英国哲学家边沁提出的“环形监狱”(panopticon)危险[45]。这种环形监狱允许一个警卫在中间的高塔上监视所有的犯人,而犯人不知道自己此刻是否在被监控。在现实世界里,用户的很多言行社交并不会被时时刻刻监管到,但这个虚拟世界内却是被时刻监控的环形监狱,从本质上就抹去了个人自主和社会边界之间的“留白”区,隐私权就不存在了[46]。那么原本彰显分布式、自主掌控隐私数据的元宇宙对用户还有多少吸引力,还能产生多少丰富的互动场景呢?元宇宙平台的发展就很可能受限。
第四,元宇宙产业要走向国际化经营和竞争,必然要面对各国对隐私“穿透式监管”的不同司法立场。国内的元宇宙平台不仅在一国之内发展,也需要走向国际化经营,跨国经营的平台必然会容纳不同国籍的用户,服务器也会分布在不同国家。然而,不同国家对隐私和数据的穿透式监管立场迥异,会对正常的跨境应用造成困扰。再次以美国和欧盟的根本分歧为例。欧盟将隐私权作为基本人权的一部分,不容政府侵犯。美国却认为国家安全比个人隐私更重要,政府可以安全为名义监控搜集国内公民数据,于是出现了“斯诺登事件”,双方之间的数据传输和隐私保护双边条约一直未能消除根本分歧,反复出现矛盾,导致条约多次废止和重修[47]。
(三)以分布式治理维持监管和隐私保护的灰度均衡
对数据和内容是否违法实行完全的中心化监管审查面临着一系列难题,那么由元宇宙内社区和用户自发执行的分布式治理可能是现阶段较为可行、能产生一定作用的解决方法。这种分布式治理与元宇宙分布式的技术和应用本质是相通的。具体的实现手段是赋予用户民主监督权利,告知用户在不同场景和社区中会面临什么样的监管要求和社区规范——即前文所述的“软法”规则,让用户既自我约束,又能监督别人的行为,且用户对场景内的经历会形成明确预期,决定自己是否进入场景。
在分布式治理的过程中,当用户遇到不符合该场景下公共秩序要求的言论行为、或感到被冒犯骚扰时,他们可以采取两种方式来执行监督,尽管每种方式都会存在缺陷[48]。第一种方式是给别人打分评级,对有破坏性行为和传播不良信息的人打低分,这样系统就会记录,便于系统的后续监督。这个分数不能在元宇宙内公开可见,以防止污名化,加剧人群之间的分裂,每个当事人可查询自己的分数(类似于现在的征信系统)并保留申诉权。但这种方式容易将元宇宙蜕化为一个个“信息茧房”、“回声壁”,将用户群体对立、间隔开来。第二种方式是检举上报不法行为。但如果上报给平台的算法或运营者来实施监督,算法是否有足够智能判定复杂问题,平台运营者又是否具有必备的法律素养与公心?而且有可能在社区内部造成矛盾和分裂。另外,使用社区“软法”自治还有一个理论上的“治理攻击”(governance attack)风险,即用户通过某种手段短时间内获取51%以上优势的投票权,就有可能修改社区治理规则来损害其他用户的权利。例如在DeFi场景下,有些项目推出了治理代币,用户就有可能通过借贷等形式从外面突然获得大量治理代币,实行攻击[49]。
尽管会有缺陷,但分布式治理确保了元宇宙在隐私保护和秩序维护上形成灰度(fuzzy)均衡状态[50]。所谓“灰度均衡”是指模糊、不确定的中间稳定态,监管者不可能保证时时刻刻都没有不良信息,也不可能同时消灭它,但反过来不良信息也不可能在短时间内蔓延,用户也不可能同时获得所有不良信息。现实世界的管理往往是一种灰度的均衡,在很多事情上不会绝对管制、也不会绝对放任,而是一种松紧适宜、动态调整的平衡。在一个大规模用户、丰富应用场景的元宇宙内,适当的灰度均衡可能是治理成本小的方式,实现了隐私保护有效和政府监管有作为之间的平衡。
而且,这种宽松的监管治理方式可能更有利于早期阶段的元宇宙产业尽快发展。美国1996年《通讯规范法》(Communications Decency Act)第230条规定,互联网服务的运营商不应被视为出版商,因此不对使用其服务的第三方言论承担法律责任。这个条文被认为保护了早期发展的互联网公司,为搜索引擎、社交媒体等服务的出现和发展构建了法律保护[51]。尽管这个法条在近几年面临着较多争议[52],我国也不可能完全照搬,但它的启示是宽松的环境有利于新兴产业早期创新。在元宇宙发展早期,可先不必设置过多的中心化监管手段,根据情况再添加完善。
五、以分布式的技术和自发治理实现有效的保护和监管
隐私保护是元宇宙产业健康发展的必要前提。由于元宇宙是一个与传统差异很大、尚未成型的新兴事物,处于概念探讨、技术研究和原型尝试的阶段,什么样的技术和监管是更好的隐私保护路径,能做到有效的保护和监管,将是一个长期的开放性问题。这里的“有效”既包含了效果的意义,让用户的数据隐私得到合法的保护和尊重;又包含了效率的意义,让监管能以较小成本维护好元宇宙内的必要秩序,不损害产业发展的经济效率。
为了实现有效、适当的隐私保护,元宇宙系统应当实现三个基本要求——数据的全生命周期安全可信、用户有能力自主控制数据、支持各方进行分布式协同治理。为了实现这三个基本要求,分布式的技术和治理将是可行的主要思路,能为制定相关技术政策和监管政策提供启示。
分布式的技术是以区块链为底层架构,隐私计算协议和算法为核心组件,分布式身份为基础模块。其中,区块链和隐私计算互补融合,让数据安全可信地存储和流通,多方共享数据价值;分布式身份技术能让用户自主控制元宇宙内的数字身份及其对应数据。这三个技术以及其他数据安全类技术都尚处于前沿攻关阶段,也列入了各项金融科技、数字经济发展的规划,备受关注。区块链在国内已经有超过五年的热度,特别是2019年10月政治局集体学习该产业以来,更是快速发展。伴随隐私保护和数据安全相关法律法规的落地,隐私计算则从2021年起也成为热点赛道。
鉴于目前众多厂商都在研发相关技术,推进应用落地,建议加快制定多层次的隐私保护相关技术标准,促进产品技术规范发展,提高不同厂商之间的互操作性。多层次标准是指根据技术和产业成熟度,在国际、国家、行业和团体四个层次上补缺补齐,构建高质量的国内技术标准体系,积极参与并争取国际技术话语权以适应元宇宙平台国际化发展的需求。之所以要重点关注不同厂商技术之间的互操作性,则是为搭建互联互通的元宇宙应用打下技术基础,以消除不同架构区块链、不同数字身份技术规范、不同隐私计算框架之间的兼容性问题。
分布式的自发治理是指依靠元宇宙内部社区和用户的自主力量,重视平台服务条款和社区规范等“软法”规则的作用以实现保护隐私和必要监管的平衡。首先,它有助于补充政策法规和技术标准等传统“硬法”的外部监管力量,树立隐私保护的“第二道防线”。其次,“软法”还有助于维持元宇宙内的公序良俗,让产业在法治的轨道上健康发展。由于元宇宙的数字内容格式和场景丰富多样,还可能涉及跨国场景,传统的中心化监管和内容审查模式有很大的挑战,也不利于吸引用户。由社区和用户依据“软法”自发执行的治理能作为主要支撑,实现监管与保护的灰度均衡状态。
这种分布式的自发治理思路能与传统的中心化、自上而下监管互补,可以适用于DAO和元宇宙丰富场景的需求,更容易被多样化的用户所接受。由于不同应用场景下的隐私边界不一样,用户言行的合法性边界和监管等级也有差异,建议将来在探索开发元宇宙应用时,要同步研究该场景下所适用的隐私保护规范,形成具有操作性、区分不同等级的准则要求,以便于社区执行。
其实,除了应用于隐私保护,分布式的自发治理思路还能在元宇宙的其他合规与内部治理问题上发挥作用。元宇宙在数字空间内模拟了现实世界的复杂关系,因此现实世界的种种矛盾和复杂关系可能同样发生在元宇宙内,若遇上现实世界里就缺乏明确法律或规则的纠纷,元宇宙里也同样难以自上而下地裁决。更何况元宇宙强调用户之间的平等和去中心化,往往缺少像现实世界的大家长、领导等权威的科层体系来压制矛盾和判决纠纷。因此,如何在各种背景用户之间妥善解决争议、协调利益,化解克服部分用户的机会主义倾向,维护元宇宙内的经济系统和市场体系,将是很有挑战性的问题。2009年诺贝尔经济学家得主奥斯特罗姆研究发现,现实世界里地位平等的人们有能力形成多中心的自主组织,克服集体行动的内在缺陷,来自发地管理好共享而有限的公共资源[53]。那么元宇宙内依靠用户和社区的自发治理来维护好公共的系统秩序,实现良性发展,也完全有可能,有待于未来新应用不断萌发过程中开发者、运营者、用户和监管方之间的共同探索。
附录:分布式身份(DID)技术原理[54]
为了更好地推动数字基础设施的建设与发展,推进分布式数字身份的落地应用,目前国际上已有许多组织致力于开发相应的技术标准,以更好地实现技术应用的兼容性。W3C(World Wide Web Consortium)作为Web技术领域最具权威和影响力的国际中立性技术标准机构,其先后发布的分布式数字身份标识符和可验证凭证数据模型的推荐标准,同样成为了目前分布式数字身份领域最具影响力的技术规范[55]。该领域内其他技术标准组织也从不同的技术方向提出了一系列协议标准,比如OpenID基金会(OpenID Foundation,OIDF)开发了一套基于Web的数字身份技术[56]、去中心化身份基金会(The Decentralized Identity Foundation,DIF)提出DIDComm2.0协议为DID的安全通信机制制定了规范[57]。这些组织都对分布式数字身份生态的发展起到了积极的推动作用。目前W3C工作组提出的技术规范体系较为完整、认可度较高,已经成为了分布式数字身份体系的主要参考,我们在后续将以此为标准展开对DID技术原理的介绍。
(一)DID基础层:分布式数字身份标识符
分布式数字身份标识符(decentralized identifier, 也缩写为DID)的本质是一串全局唯一的字符串,每一个DID都唯一地对应着一个实体身份,从而实现对不同实体的独特标识。W3C规范给出了一个DID的标准示例(图表3),DID字符串由三部分组成:(1)开头模板(Scheme)均为did,表明这是一个DID字符串,类似于URL中的http/https等协议;(2)DID 方法(Method)表明这个DID需要用哪一套方法进行创建、解析等操作,其本质是一套在DID通用规范下的、适用于某些特定DID的具体规范,开发者可以自行定义这个具体规范并到W3C进行注册,以避免在方法名的使用上出现冲突;(3)最后的部分是在该DID方法下的唯一标识字符串。这三部分组成保证了DID的唯一性,确保了每个DID都独立地标识一个实体身份。举个更通俗的例子,如果我们设计了一个中国车辆身份管理系统,给每一辆汽车都赋予一个DID,并将该方法命名为ccar,那么某辆车的DID就是“did:ccar:京A12345”。DID方法是十分重要的,一方面,“京A12345”可能不是世界上独一无二的标识,只是在ccar方法下唯一;另一方面,由于该DID是在ccar这一具体规范下创建的,因此ccar以外的其他DID方法都无法对这个字符串进行正确的解析。
图表3: DID标识符示例
图表4: DID上链存储
图表5: 非对称加密算法原理
DID的验证机制以非对称加密算法为核心,依赖于公钥(public key)和私钥(private key)密钥对实现。在目前现实的身份体系中,“账户+密码”是最常用的身份验证方式,输入正确的密码即意味着是用户本人在进行操作[58]。但是要证明密码是正确的,前提是平台也要知道这个密码是什么,换句话说,用户和平台都掌握着打开账户的密钥,这种对称加密算法在理论上存在着数据安全性的隐患。非对称加密算法的特点是它会同时生成一对密钥,即公钥和私钥,公钥是可以向他人公开的密钥,而私钥则是私有保留的密钥。每对密钥都是一一对应的,如果用公钥对数据进行加密,只有用对应的私钥才能解密;相应地,如果用私钥加密,也只有对应的公钥才能解密。图表5呈现了非对称加密算法的工作原理。在加密信息的传输过程中,首先A(接收方)要将自己的公钥告诉B(发送方),B使用A的公钥对信息加密后再传输给A,这时A收到的就是由自己的公钥加密后的加密信息,A再用私钥进行解密就可以得到原始信息。第③步是真正的信息传输过程,在这一过程中实际被传输的是公钥加密后的信息,由于非对称加密算法下只有配对的私钥可以解密,且这个私钥只有A本人持有,因此即便传输过程中可能有信息泄露的风险,A以外的人也无法解密该信息,这就从绝对意义上确保了信息的安全性。
DID本身不携带信息,但每一个DID都可以被解析为一个DID文档(DID Document),文档中记录了与DID相关的属性,主要包括公钥、验证方式(Authentication)等。DID的验证是通过DID文档中提供的信息实现的。当平台需要对用户进行DID验证时,平台可以设定一条验证信息,并使用用户在DID文档中公开的公钥进行加密。平台将加密信息发送给用户,如果用户能够使用私钥对这条信息解密,则证明当前该DID确由用户本人操作。
DID与DID文档不是存储于某个企业的数据库中,而是存储到区块链上(图表4)。上链后的DID是公共可访问的,所有人都能够查询到DID及文档的内容,由此来验证用户的身份,这一过程中只需用户本人使用私钥授权,而无需任何其他中心化机构的授权。DID体系带来的身份管理自由还体现在多个数字身份的自由使用上,虽然每个DID都只对应一个实体,但一个实体不一定只对应一个DID。就像每个人都可以注册多个QQ号一样,每个实体都可以拥有多个DID,这主要取决于用户自己的意愿。同时使用多个DID通常是出于分类管理身份信息、隔离身份交互的目的。
(二)DID应用层:可验证凭证
DID基础层回答了“我是我”的问题,而在应用层回答的则是“我是谁、我有什么信息”的问题。DID是一串标识符,DID文档描述的也仅仅是DID的使用属性,它们都不包含任何与实体相关的真实信息,比如姓名、出生年月等。因此,基础层只能验证用户是持有该DID的本人,却无法验证其他身份信息。在DID体系中,这一功能由应用层的可验证凭证来实现,这也是身份管理的核心部分。
可验证凭证(verifiable credential, VC)本质就是一张承载一定数据的数字凭证,它可以为我们的身份信息、特征属性等提供证明,从而确保我们能够正常地使用某些社会服务。VC和身份证、驾驶证、学历证书等我们日常生活中常用的传统物理凭证一样,都由三个基本组件构成:元数据(Metadata)、声明(Claim)和证明(Proof)。元数据描述了凭证的属性,包括凭证类型、发行者等,目的是为了告诉所有人该凭证的使用方法。比如身份证的正面记录的就是元数据,它说明了该凭证的类型是身份证、发行者是某某公安局等。声明则是凭证中最重要的信息组成,每一条关于凭证主体信息的陈述都称为一个声明,比如姓名、性别、出生日期等。一张凭证可以包含一个或多个声明,但声明中至少要含有对主体唯一标识符的陈述,在VC中是指主体的DID,对应到身份证中则是身份证号。最后,证明其实是指一种加密机制,是一些能够证明该凭证真实性的细节处理。我们的身份证上通常带有一些防伪印花,目的就是为了证实该凭证是真实而非伪造的。在VC中通常使用数字签名(Signature)技术来实现对凭证的加密。
图表6: 可验证凭证(VC)的基本结构
图表7: 可验证凭证的基本结构
传统凭证在可验证性方面有漏洞。本文第二大节介绍分布式身份时,举了一个病人拿医院处方去药店买药的例子,核心要验证处方真实且为该病人所开。DID技术的解决方案是把身份和凭证存储在一个可验证的数据注册机构(Verifiable Data Registry)当中,基于可信的加密技术将凭证的签发、持有与验证操作彻底分离。系统中共有三个主要角色,称之为“信任三角”(图表2):(1)发行者(Issuer):VC的发行方,多数是在可验证数据注册机构登记的权威机构,比如上述例子中开具处方的医院;(2)持有者(Holder):VC的持有方,通常情况下是VC中记录相关信息的信息主体,比如持有处方的患者;(3)验证者(Verifier):需要使用VC中相关信息并进行验证的一方,比如验证处方的药店。VC系统的运行路径如下:(1)发行者向持有者颁发VC,并将该VC储存在可验证的数据注册机构中;(2)持有者在遇到需要进行身份信息验证的情况时,授权并出示该VC给验证者,(3)验证者对该VC进行验证。由此,发行者、持有者和验证者基于彼此的信赖关系被重构,建立了新的基于可验证数据注册机构的信任机制。验证者不再需要请求发行者的授权,而是直接到可验证数据注册机构中就可以完成凭证的验证操作,这大大提高了凭证的可验证性。
那么具体来说,系统又是如何确保验证机制的可信性与安全性的呢?实际上,VC的验证与DID的验证过程同样都是基于非对称加密算法实现的。VC的发行者也是一个DID实体,同样也拥有一对公钥和私钥。VC签发时,发行者首先对VC中元数据和声明结构进行哈希计算,生成一个VC的哈希字符串,再使用私钥对该哈希值加密,加密后的结果就是发行者的数字签名。发行者将数字签名作为VC的证明重新写入到VC当中,以此说明该VC是由签名者本人签发的(图表8)。
图表8: 可验证凭证的签发流程
VC的验证分为两个步骤。第一步,验证VC确由该发行者签发(图表9中红色流程)。在这一环节中,验证者需要从VC中提取出数字签名,并找到发行者公钥进行验证。发行者公钥的获取是通过调用DID基础层系统中发行者DID文档实现的。由于公钥与私钥一一对应,发行者使用私钥加密的内容只有对应的公钥才能解密,因此如果验证者使用该公钥解密成功,就说明该VC的确是由这个发行者签发的。第二步,验证VC的内容真实无篡改(图表9中黑色流程)。发行者在签发VC时会对VC结构进行哈希计算以加密记录VC的具体内容,验证者在验证时同样可以按照VC证明部分指出的验证机制对VC进行哈希计算,得到一个哈希值。只要将验证者自行计算得到的哈希值与签发时的哈希值进行对比验证,就可以证明当前VC内容的真实性。
目前主流DID厂商在验证VC内容的真实性上通常采取两种做法。一种是内嵌式验证方法,即通过数字签名技术将发行者签发VC的哈希值嵌入到VC的证明结构当中。前面提到,VC中的数字签名是发行者使用私钥对VC的哈希值加密的结果,因此当验证者使用公钥对数字签名进行解密验证时,得到就是发行者签发时VC的哈希值。如果这时验证者自行对持有者提交的VC进行哈希计算,得到的哈希值与签发时的哈希值完全相同,那么就说明这个VC自始至终没有被篡改过。另一种方法是外部式验证,即将发行者签发VC的哈希值存储在外部,比如区块链上。在这种验证机制下,验证者只需要到区块链上找到相应VC的哈希值,并将其与自行计算的哈希值比对即可完成验证。这两种验证方式在实际应用中都有存在,前者是不依赖区块链的一套链下验证方式,而后者则需要以区块链技术为基础。W3C在VC的技术规范中对两类验证机制均有提及,但明确指出将不对具体验证方式做标准化规定。
图表9: 可验证凭证的检验流程
(三)应用案例
1、核验凭证案例
现实世界里,身份验证通常先要核验凭证信息真实无误,然后验证出示凭证的人是否为凭证信息描述的主体。这就像在机场安检时,乘机人不仅需要出示飞机客票以验证乘机资格,还需要通过人脸识别等方式来验证本人确为客票拥有者。分布式数字身份体系也按照类似的步骤完成双重身份验证,首先验证现在VC的持有者与VC描述的DID主体是否为同一个人,其次验证VC的信息是否真实可信。
下面举一个案例说明上述流程。一名求职者应聘了某公司的岗位,该公司要求入职前对求职者的学历背景进行核验,于是求职者向公司出示了高校为其签发的学历证书。公司自然相信高校作为一个权威机构签发证书的可信性,但公司仍然对两方面问题保持怀疑:第一,这张学历证书是否确由高校签发而并非伪造?内容是否真实而并未篡改?第二,这张学历证书是否确实属于求职者本人而非冒名顶替?
图表10: 学历背景的验证流程
为了求证第一个问题,公司的具体做法是:①找到VC中体现的高校DID,②到存储DID的区块链上找到对应的DID文档,从中提取公钥,③利用公钥验证VC中的数字签名,如验证通过,则证明VC真实无篡改。
求证第二个问题的具体做法是:①找到VC中体现的求职者DID,②到链上找到对应的DID文档,从中提取公钥,③使用求职者的公钥加密一段验证信息并发送给求职者,④请求求职者使用自己的私钥对验证信息解密,如成功解密,则证明该证书确为求职者本人所有。
2、跨境数据共享案例
DID体系在推动数据共享方面带来了巨大的突破。传统体系中政策和法律限制往往是数据互通、信息共享的重大阻碍,尤其当涉及跨境数据流转时,政策壁垒几乎难以破除。但是随着DID体系打破了传统的中心化数据结构,实现个人信息数据的自主携带,跨境信息认证难题也得到了破解。
新冠疫情发生以来,健康码动态监测为各地疫情防控工作做出了突出贡献,但是各地、尤其是跨境健康码不互认仍然给人们的生产生活带来了巨大困扰。2020年,微众银行运用基于区块链的DID和VC技术推出了粤澳健康码跨境互认项目,用分布式方案解决了跨境数据共享难题。这一项目为粤澳地区居民的正常跨境通关带来了极大便利,它在全国疫情防控工作中发挥的突出作用被记载在《中国共产党简史》当中[59]。
图表11: 粤澳健康码互认项目示意图
粤澳健康码互认项目中,粤澳两地政府分别充当了发行者和验证者的角色。当地政府作为权威机构有能力为居民的核酸检测结果背书,因而经居民申请后政府可为其签发可验证数字凭证(VC)。居民持有者携带VC跨境后,将VC出示给对方政府,由对方政府核验VC的内容,以确认信息的真实有效性。VC信任三角的建立,让两地机构在后台不互联的情况下依然可以进行个人信息及核酸检测结果的验证。
本文参考:2022年6月20日中金研究院已发布的《元宇宙的隐私保护:技术与监管》,作者信息为:
徐磊 SAC 执业证书编号:S0080121060033,SFC CE Ref:BRO889
赵扬 SAC 执业证书编号:S0080521080006,SFC CE Ref:AZX409
日期: 2022-06-28 10:30
返回
上一页:Pico翻身仗字节又“收购”,元宇宙真那么吸引资本布局?
下一篇:灰度CEO:仍致力于将GBTC转换为比特币现货ETF
🚀🔥👏欢迎注册OKX交易所🚀🔥 ✈️🔥👏欢迎注册抹茶交易所🔥✈️
