Nếu bạn là một trong 2,4 tỷ người dùng Facebook hoạt động, xác suất dữ liệu của bạn bị rò rỉ là khoảng 17%, với tin tức gần đây về 419 triệu tài khoản bị lộ. Một lần nữa, bất kể chính phủ hay công ty quản lý dữ liệu cá nhân hay hệ thống của họ an toàn đến mức nào, rò rỉ dữ liệu cá nhân luôn xảy ra. Nhưng những vấn đề cơ bản của tập trung hóa là gì và làm thế nào chúng ta có thể giải cứu dữ liệu của mình khỏi bọn tội phạm, nhà tiếp thị tham lam và chính phủ tham nhũng?
Rò rỉ là không thể tránh khỏi
Hai tuần qua đã mang đến cho chúng tôi những tin tức to lớn về rò rỉ. Gần đây nhất liên quan đến cơ sở dữ liệu nói trên của 419 triệu tài khoản Facebook đã được tìm thấy có sẵn để tải xuống trên internet và hoàn chỉnh với các chi tiết như tên, số điện thoại, giới tính và quốc gia cư trú. Cách đây một thời gian, Mastercard đã chính thức báo cáo khoảng 90.000 tài khoản bị lộ cho chính quyền Liên minh châu Âu.
Một lần, khi tôi sống ở Ukraine, tôi đã đến một ngân hàng để xin thẻ tín dụng. Tôi hỏi nhân viên bán hàng tại sao cô ấy không yêu cầu bất kỳ bằng chứng thu nhập nào để cấp cho tôi giới hạn tín dụng. Cô trả lời rằng họ đã kiểm tra cơ sở dữ liệu của quỹ hưu trí. Bất kỳ mức lương nào đều bị đánh thuế ở một mức nhất định bởi quỹ hưu trí nhà nước, vì vậy bằng cách xem các khoản thuế được trả của tôi, họ có thể tính thu nhập của tôi.
Blockchain có thể giúp gì không ?
Câu trả lời là không rõ ràng – nhưng vâng, nó có thể giúp đỡ. Chúng ta cần thay đổi mọi thứ một cách cơ bản về cách chúng ta quản lý dữ liệu cá nhân. Và nó chỉ có thể được thực hiện với sự trợ giúp của blockchain và hợp tác của chính phủ.
Trong vài năm qua, các nỗ lực cung cấp tiền xu ban đầu (ICO) đã được thực hiện để phá vỡ ngành công nghiệp ID kỹ thuật số. Tôi không muốn đề cập đến bất kỳ dự án nào trong số này. Có thể một số người trong số họ có ý định chân thành, nhưng họ dường như còn sớm trong việc giải quyết các vấn đề ở cấp độ toàn cầu và quốc gia.
Hai thuật ngữ mới liên quan đến những thay đổi trong quản lý dữ liệu cá nhân là DID, viết tắt của các định danh kỹ thuật số phi tập trung, các thông tin xác thực và xác thực (cách một bước để trở thành một tiêu chuẩn). Các tiêu chuẩn mới cho nhận dạng kỹ thuật số có chủ quyền đang được Quỹ Nhận dạng kỹ thuật số (DIF) và Hiệp hội mạng toàn cầu (W3C) nghĩ ra. Cộng đồng W3C đã phác thảo một tập hợp các khái niệm, tiêu chuẩn và phương pháp chung nhằm viết một trang mới trong công nghệ thông tin và truyền thông.
Các phương pháp tuân thủ DID đã được phát triển gần đây như một nguyên mẫu có thể chưa được biết đến ngay cả với một số người đam mê DID. Khái niệm này như sau: Người dùng lưu trữ dữ liệu cá nhân cục bộ trên thiết bị của họ, do đó mâu thuẫn với mô hình hiện tại của các cơ quan đăng ký dựa trên đám mây do nhà nước quản lý với quyền truy cập bị hạn chế một phần. Người dùng không bao giờ cần tiết lộ tất cả dữ liệu của họ, mà chỉ một phần và chỉ khi nó được chứng minh. Xác thực được thực hiện bằng cách sử dụng cây Merkle và các gốc được ký điện tử, được lưu trữ trên blockchain. Các nhà cung cấp dịch vụ (dịch vụ web, chính phủ, v.v.) không lưu trữ dữ liệu cá nhân nhưng có thể xác minh danh tính kỹ thuật số của bạn bất cứ lúc nào khi tương tác với bạn.
Khái niệm được tác giả bởi Mykhailo Tiutin từ Vareger hoạt động như sau. Đầu tiên, dữ liệu có thể và phải được lưu trữ trên thiết bị của người dùng thay vì trên máy chủ của bên thứ ba. Trong nhiều trường hợp, dữ liệu thậm chí không được rời khỏi thiết bị của người dùng hoặc được tiết lộ – nhưng khi được tiết lộ, đại lý chỉ nhận được một phần dữ liệu cá nhân cần thiết cho tương tác được đề cập.
Ví dụ, bạn bước vào một cửa hàng rượu. Cả bạn và nhân viên thu ngân đều có thiết bị di động với dịch vụ xác minh danh tính được cài đặt sẵn. Luật pháp Hoa Kỳ nghiêm cấm bán rượu cho người dưới 21 tuổi. Về mặt kỹ thuật, nhân viên thu ngân không cần biết tên, số an sinh xã hội hoặc thậm chí là sinh nhật của bạn – chỉ khi bạn trên 21 tuổi, theo pháp luật. Đối với một kỹ sư thiết kế hệ thống này, câu hỏi, Bạn có trên 21 tuổi không? Chỉ là biến Boolean của 0 = Không, 1 = Có.
Để thiết kế hệ thống này, người ta cần một vài thứ: cây Merkle, trong đó các lá được băm dữ liệu cá nhân (tên, ngày sinh, địa chỉ, ảnh, v.v.) và gốc, là một chuỗi mật mã được ký bởi nhà cung cấp dịch vụ ủy thác (TSP).
Nhà cung cấp ủy thác có thể là chính phủ (ví dụ: Bộ Nội vụ), ngân hàng hoặc bạn bè – tức là người mà các bên cùng tin tưởng. Thư mục gốc và chữ ký, cũng như ID kỹ thuật số của TSP, được lưu trữ trên blockchain.
Cảnh tại cửa hàng diễn ra như sau: Bạn lấy điện thoại thông minh ra, mở ứng dụng xác minh danh tính và chọn dữ liệu nào bạn muốn tiết lộ cho thiết bị thu ngân. Trong trường hợp này: thư mục gốc, chữ ký số của nhà cung cấp, ảnh của bạn và Boolean trên 21. Không tên, không địa chỉ, không SSN. Nhân viên thu ngân sẽ thấy kết quả xác minh trên thiết bị của cô. Thiết bị sẽ hiển thị ảnh được gửi từ thiết bị của khách hàng và sẽ kiểm tra xem ảnh có được xác minh bởi TSP không. Nhưng vì bạn có thể đã lấy điện thoại thông minh của người khác, nhân viên thu ngân sẽ kiểm tra xem hình ảnh trên màn hình có khớp với khuôn mặt của người mua không. Không có dữ liệu ngoại trừ thư mục gốc và chữ ký được lưu trữ trên blockchain – mọi thứ vẫn còn trên điện thoại thông minh của bạn. Tất nhiên, người bán có thể cố gắng lưu hình ảnh của bạn trên thiết bị của họ, nhưng chúng tôi sẽ thảo luận về điều đó sau.
Ưu điểm của sơ đồ này là có thể có nhiều gốc với các TSP riêng biệt. Ví dụ: bạn có thể có một nguồn gốc để chứng minh giáo dục, mà tổ chức giáo dục của bạn sẽ là nhà cung cấp xác nhận tín dụng và tốt nghiệp của bạn. Cũng có thể có nhiều nhà cung cấp tin cậy cho cùng một dữ liệu. Chẳng hạn, với tư cách cá nhân, bạn có thể xác minh một danh tính ở ba quốc gia khác nhau, nhưng việc quản lý nhiều ID kỹ thuật số đã trở thành một cơn ác mộng – bạn cần nhớ hàng tá mật khẩu và phương thức ủy quyền – nhưng với DID, bạn có thể có một ID chung .
Bạn cũng có thể tạo một bút danh trên phương tiện truyền thông xã hội, diễn đàn và cửa hàng trực tuyến. Ở đó, bạn có thể là một chú mèo kitty hay chỉ là một ID không tên, nếu bạn muốn. Các bút danh có thể được liên kết thông qua các giao thức không kiến thức với chữ ký của TSP, có nghĩa là có bằng chứng kỹ thuật số rằng danh tính của bạn được xác minh, nhưng nó bị ẩn khỏi dịch vụ web.
Có nhiều cách và kế hoạch về cách bảo vệ danh tính, nhưng ý tưởng cốt lõi là tất cả dữ liệu phải nằm trong tầm kiểm soát của bạn – trong hầu hết các trường hợp, bạn không nên tiết lộ dữ liệu của mình (bằng các giao thức bằng chứng không có kiến thức) và trong một số trường hợp, bạn chỉ cần tiết lộ một phần.
Họ sẽ lưu trữ dữ liệu của bạn?
W3C và những người đam mê khác nhau đã làm việc trên các khái niệm DID và Thông tin xác thực trong vài năm nay, nhưng thật không may, chúng tôi chưa thấy bất kỳ việc áp dụng đại trà nào và nhược điểm chính là các chính phủ.
Có hai điều chính cần phải xảy ra để điều này trở thành hiện thực:
1. Chính phủ ngừng tập trung dữ liệu cá nhân.
Như đã đề cập ở trên, không ai – kể cả chính phủ – sẽ đảm bảo an toàn cho dữ liệu của bạn. Một ngày nào đó, nó sẽ bị phơi bày và bạn nên tính mình may mắn nếu sự rò rỉ đó không làm mất tiền của bạn hoặc đe dọa cuộc sống của bạn.
Do đó, trước hết, các chính phủ phải ngừng lưu trữ dữ liệu cá nhân.
ID kỹ thuật số là cần thiết cho một số hoạt động ở cấp liên bang: đăng ký công ty, khai thuế, bỏ phiếu, v.v. Tại những thời điểm này, ID phải được xác minh với mức độ chắc chắn chấp nhận được, sẽ được cung cấp bởi blockchain và cơ sở hạ tầng của nhà cung cấp dịch vụ ủy thác.
2. Các quy định bảo mật mới áp đặt các tiêu chuẩn cao như vậy đối với việc lưu trữ dữ liệu cá nhân và tiền phạt của bên thứ ba rằng việc lưu trữ sẽ trở nên không khả thi về mặt kinh tế.
“PDPR” phải trở thành bước thứ hai sau khi chung Bảo vệ dữ liệu Quy chế ( GDPR ), trong đó “P” là viết tắt của “cá nhân”. Trong khi Mỹ và các nước khác đang cố gắng phục hồi từ GDPR, khái niệm về “Quy chế Bảo vệ dữ liệu cá nhân” là đã được thảo luận ở EU.
Một yếu tố chính trong điều này là các chính trị gia phải có can đảm để áp dụng các quy tắc nghiêm ngặt nhất và áp dụng các khoản tiền phạt cao nhất có thể được áp dụng.
Và chỉ có một mục đích cho việc này: Bất cứ khi nào bất kỳ công ty, ngân hàng hoặc công chức nào tự hỏi liệu có nên lưu trữ dữ liệu cá nhân của ai đó hay không, họ cần suy nghĩ rất kỹ về lý do của họ có đủ hay không, bởi vì chúng tôi biết rằng bất cứ khi nào dữ liệu cá nhân là tập trung, nó chắc chắn sẽ được tiếp xúc một ngày nào đó.
Thay vào đó, dữ liệu được lưu trữ trên thiết bị của người dùng sẽ tạo ra nhiều rào cản hơn. Việc đánh cắp 500 triệu tài khoản từ một thiết bị sẽ dễ dàng hơn so với 500 triệu thiết bị độc lập.
Mọi người nên có quyền kiểm soát tính sẵn có công khai của dữ liệu cá nhân của họ và tự quyết định những gì họ muốn chia sẻ. Do đó, các quy định và công nghệ mới cần được áp dụng để ngăn chặn việc thực hành lưu trữ dữ liệu cá nhân tập trung. Nếu không, hãy thư giãn và làm quen với việc đánh mất chính mình – mỗi lần một nút I Iree Đồng ý.
