作者| Victoria Vaughan
儘管web3 具有突破性的潛力,並且目前已取得了一些成就,但安全和隱私是其全面成功必須克服的兩個關鍵挑戰。雖然為此目的已經開展了一些有前景的工作,但web3 去中心化、去信任化和用戶自主的基本原則,與當前的隱私/安全狀況並不相符,因此需要新的方法來解決web3 的挑戰。值得慶幸的是,web3 生態系統本身提供了必要的工具,使強大且以用戶為中心的隱私系統成為現實。
一、web3 隱私有什麼獨特之處?
在過去的一兩年裡,人們以各種方式探索、爭論和解決數位隱私問題。這一歷程與基於網路的系統、產品和服務的穩步崛起幾乎同步。但隨著web3的出現,圍繞隱私的問題有了獨特的轉變。
仔細觀察web3 的核心性質有助於對下面討論的關鍵挑戰形成更深入、更細緻的理解。一般來說,人們可能會認為與隱私相關的風險是過度中心化的直接結果。 Meta(以前稱為Facebook)和其他web2 巨頭平台幾乎完全控制了用戶的資料。大部分資料儲存在中央伺服器中,常常成為單點故障。此外,2019 年的劍橋分析醜聞揭露了祖克柏的「隱私願景」如何成為泡影。但這並不是一次性的情況——遺憾的是,這幾乎是常態。
相反,web3 承諾社區驅動的控制。這需要分散式資料儲存以及去中心化治理。然而,這也意味著沒有人特別負責確保安全或隱私。在無信任的生態系統世界中,自主使用者幾乎負責一切,包括確保敏感資訊的安全。
當「你的金鑰,你的資產/資料」成為座右銘時,隱私權就主要掌握在使用者手中了。例如,考慮到web3 交易的不變性,遺失私鑰通常意味著不可逆轉的損失。 web3 錢包位址理想情況下是匿名的,這意味著通常無法追蹤惡意行為者。
「雖然去中心化是一個值得努力實現的目標,但現實是去中心化系統中的隱私問題更為重要。在web2 中,Google 和Facebook 可以看到你的所有資料和元資料是很糟糕的,但在web3 中可能任何人都可以看到它會更糟。」這些是創新者必須解決的一些根本衝突。
二、web3 隱私面臨的主要挑戰
2022 年超過167 起重大攻擊導致web3 領域損失了近36 億美元,比2021 年增加了47.4%。根據安全公司Certik 的數據,其中至少74 起事件構成了長期資料外洩風險,對web3 隱私構成了嚴重威脅。
Web3 關於隱私的內部衝突可以透過創新來解決,這只是時間問題。但人們越來越需要遵守全球隱私權法規,例如歐盟的《一般資料保護規範》(GDPR)和金融行動特別工作組(FATF)的建議。他們大多假設某個特定實體收集、擁有和儲存透過使用者互動產生的資料。這讓web3 企業陷入了困境,並帶來了一系列新的挑戰:
1. 數據監控義務
現有的了解你的客戶(KYC)和反洗錢(AML)法規要求公司或平台收集和監控使用者資料。這旨在幫助識別和報告可疑活動,保護用戶和國家利益。同樣,公司還必須發布“通知”,告知用戶他們的資料是如何收集、使用和儲存的。
理想情況下,web3 協定根本不收集用戶數據,更不用說監控。但即使他們確實收集了任何數據,這些數據也大多透明地儲存在公共區塊鏈上。除了使用者本身之外,沒有任何特定實體擁有這些數據,這使得企業或服務提供者很難甚至不可能遵守法規。
但同時,將資料儲存在透明的區塊鏈上本身就是一個問題。任何擁有網路連線和其他工具的人都可以存取儲存在公共區塊鏈上的敏感資訊。從隱私角度來看,這種程度的暴露是不可取的,特別是因為這個領域的惡意行為者正在不斷開發利用系統的新方法。
2. 維護用戶「退出」的選擇
點擊「不接受」、「不同意」或類似的選項為傳統用戶提供了一種「選擇退出」資料收集和共享機制的方法。對於這是否需要用戶有意義的同意,目前尚無定論。但無論其有效性如何,這都為用戶提供了一種選擇。然而,這也需要一些實體來控制資料收集過程。
當用戶與非託管web3 協定互動時,底層區塊鏈會自動驗證並記錄交易。這是一個基於博弈論原理的程式碼驅動過程。在正常情況下,任何人甚至涉及的交易對手都無法篡改這些數據。這就是這些系統如此強大的原因。
但web3 中沒有給選擇。相反,它以自下而上的方式嵌入到系統中。因此,當監管機構要求web3 公司提供他們沒有的東西時,許多公司無法遵守。
3. “銷毀”用戶數據
除了選擇退出之外,用戶還可以根據現有法規要求「銷毀」或刪除其資料。基於上述原因,這又是web3 的一個挑戰。區塊鏈是不可逆轉的。
即使在web3 中與集中式或半集中式實體合作時,用戶也不能預期其資料會遭到破壞,至少不是在區塊鏈上被驗證並記錄的部分。儘管如此,他們可以控制誰可以存取這些數據,這是開創性的。由於區塊鏈以加密格式儲存所有數據,因此需要唯一的私鑰才能存取它們。使用者可以有效地撤銷第三方對資訊的存取權限,但按照監管機構的要求,刪除是不可能的。
三、如何克服web3 的隱私挑戰?
從上面可以清楚看出,web3 的隱私挑戰有內部和外部兩個根源。儘管兩者相關,但在某種程度上必須分開處理。
建立分散的威脅監控和風險評估系統是一種可能的解決方案。由於人工智慧的快速發展,創新者現在擁有非常廣泛的空間來探索此類關鍵基礎設施。超過73% 的web3 行銷人員以及其他利害關係人已經以各種方式使用人工智慧。優先考慮道德和隱私相關的因素將以前所未有的方式推動這一領域向前發展。
除了採用AI 進行智慧威脅識別等之外,發明和改進web3 基元也至關重要。例如,零知識證明是確保資料共享或驗證而不洩露實際內容的好方法。這可以在同時平衡web3 基礎知識和隱私需求方面創造奇蹟。
此外,由於傳統社群媒體平台從隱私外洩的角度來看已經被高度公證,因此建立以隱私為重點的去中心化替代品可能是個解決方案。像Verida這樣的平台正在為web3 建立自主主權資料基礎設施,透過加密文件資料庫幫助使用者擁有自己的資料。
當隱私優先的創新出現時,web3 用戶還必須確保學習和使用一般的安全增強實踐:使用強密碼、避免使用公共Wi-Fi 和中心化平台、在點擊可疑連結之前驗證它們等。這些非常非常重要,因為在web3 中遺失私鑰將無法恢復。
最後,面對外部挑戰,監管機構(以及使用者)必須加深對其理解。他們的期望必須切合實際,業界才能遵守。各方都必須與時共進,擺脫傳統思維模式。 Web3 帶來了一個規則完全不同的新世界。監管機構需要採取相應行動,而不是採取典型的一刀切的做法。 “開發者、創新者和政策制定者之間的合作至關重要。必須建立支持用戶隱私、資料保護和創新的監管框架,以促進平台的發展和應用。”
四、走向普遍的隱私導向
必須緊急解決web3 的隱私挑戰。與web2 不同的是,隨著時間的推移,web3 的隱私保護不能變成僅僅是口頭上的承諾。產業利害關係人必須從一開始就灌輸普遍的隱私導向。重要的是,使用者必須不惜一切代價要求保護隱私,即使這在初期意味著要面臨更複雜的使用者體驗和更陡峭的學習曲線。
新時代的工具,加上安全的資料儲存和身份驗證方法,將在這過程中發揮關鍵作用。 web3 仍處於早期階段,因此其核心組件和用戶體驗在未來幾年肯定會得到改進,這方面的創新已經在進行中。這不是是否會出現隱私優先的問題,而是何時出現的問題。