#222
2019 / 公開文章 / 文章

數據取代證件 — 去中心化的數位身份可行嗎?

10 分鐘閱讀

各國政府與科技巨擘最近正為了數位貨幣的主權進行攻防。顯見貨幣無法全球流通,不僅是商業或技術問題,更是政治問題。但科技和網路先天都沒有國界限制,它們會無視法律與政治持續衝撞現有世界的運行方式。除了數位貨幣之外,數位身份也正搭著這股去中心化的浪潮,打破國界走向全球。

就連目前任教於麻省理工學院的網際網路之父 Tim Berners-Lee 現在也全心投入 Solid 這個去中心化數位身份的研究專案,幫助人們奪回數位資料的主導權,顯見這個議題的重要性。

紙本身份用途受限

我們隨身都帶著證件,方便與社會中其他人協作。

在家不需要出示任何證件,家人都知道你是家中的成員。但進到學校和公司,隨著人數增加,不太可能每個人都彼此認識,因此才有學生證、識別證,向其他人證明自己是團體中的一份子。不過這些證件都是紙本型式,在造假猖獗的地方,連證件本身也受人質疑。TVBS 報導:

中國大陸假證件盛行,導致許多企業不相信畢業證書的真實性,常要校方再開學歷證明佐證;貴州貴陽一所學校因不堪其擾,直接在官網發布通知,要求各單位不要再來開「我是我」的證明了。報導稱,有位學生專程返校開證明,原因是聘用單位稱,畢業證書、學位證書不能證明其大學學歷,必須讓學校開一張學歷證明才行,否則後果自負。

要求提出證明的證明,是信任崩壞的現象。蔡總統的博士學位證書正好可以拿來當例子。有人質疑總統學歷的真實性,同學、室友紛紛出面證明,最後總統府公開博士論文供大眾閱覽,事件才總算落幕。

紙本證明不僅容易偽造,還受到地理限制,無法直接在網路上使用。儘管有越來越多機構都提供線上服務,但根據麥肯錫全球研究院(McKinsey Global Institute)指出,目前全球 76 億人口中有 10 億人完全沒有身份,另外 34 億人則是網路上的無證人口,只有剩下的 32 億人同時擁有實體身份和數位身份。

機構要求用戶將紙本證件拍照上傳,就像是把百科辭典掃描後上傳的數位辭典一樣,既沒有發揮數位的特性,還可能造成更多麻煩。即便是台灣政府明年換發的數位身份證,仍然沒有脫離卡片與讀卡機的限制,手機或手錶都暫時無法使用。

怎樣才算是好的數位身份?世界經濟論壇MasterCard 的研究,共同指向去中心化的數位身份(decentralized identity)是大勢所趨。簡單來說,就是數位的卡片與證件夾。

卡片與證件夾

這呼應我上週提出 —— 幣與錢包們 —— 的未來支付架構。未來的數位身份,則會朝向「卡片與證件夾」發展。什麼意思?我推薦大家到 uPortlandia 這個虛擬的未來城市,直接體驗一下去中心化數位身份的魅力。

圖片來源:uPort

首先,你得下載 uPort 這款 app。uPort 就像是數位版證件夾,裡面可以放身分證、健保卡、悠遊卡、畢業證書或公司識別證。而第一張證件即是城市的市民卡(City ID),填寫簡易的資料就能取得,接著就可以開始體驗未來城市的便利了。

有了市民卡之後,市民可以向母校申請畢業證書,再憑著市民卡和畢業證書向任職公司申請員工識別證。每一個操作,都是去中心化的互動。也就是說,你會在手機裡收到資料的授權通知,就像是我們從皮夾裡把身分證拿出來,出示給對方看一樣。只有雙方知道,而不用通知內政部或是相約到政府機關(中心化的機構)才能進行驗證。

圖片來源:uPort

隨著人生的歷程,市民的數位證件夾裡會累積越多證件。或許未來人們根本不用出示畢業證書才能證明自己讀過台大,只要秀出當時的學生證,甚至出示 18 歲到 22 歲間在公館商圈的消費記錄證就足以說服人了。

不管是舊的學生證,或是紙本消費記錄,都難以保存。當這些資料總算變成數位的形式,且本來就保存在個人證件夾中,只要點擊授權按鈕就可以讓對方驗證。此外,在數位的世界裡,處理一份資料和處理一千份資料的時間幾乎一模一樣,這是實體世界不可能完成的事,也是數位化的最大優勢。

你可能會問:「這又和我們熟悉的 Google 登入、臉書登入有何不同?」

這些是中心化的數位身份,用戶資料是存放在企業資料庫中,而不是自己的數位證件夾裡。Google 知道你好奇的事,臉書擁有你的社交圖譜,但他們都沒有你的在學成績。如果我要授權面試公司查看我的學生證、消費紀錄和成績單,至少要登入學校教務處和雲端發票兩套系統。當資料來源越多,要登入的系統就越多。

中心化的數位身份除了難以服務所有人之外,還有隱私問題。Quartz 在一篇文章裡指出,人們的數位身份可以簡單分為三層,但我們只能保護第一層:

  1. 你主動分享的資料,例如臉書貼文、填寫個人資料、帳號串連。
  2. 你被動分享的資料,例如瀏覽紀錄、地理位置、活動時間。
  3. 機器分析之後的你,例如想買什麼、對哪些人感興趣、生活狀態。

使用者的資料都存在企業的資料庫,若是管理不當,劍橋分析事件就會再次上演。因此,將數位證件交由用戶自己保管,也就是去中心化的做法,會逐漸成為主流。

多方驗證是新的信任

人們在數位世界留下的足跡越來越多。但只要資料管理得當,它就能提供人們新的信任機制。

如果要找一家好餐廳,只要上網搜尋其他人的食記或遊記,就能判斷品質的好壞。雖然米其林等評比還是有其權威性,但網友們以去中心化的方式提供的真實經驗,不僅涵蓋的範圍更廣且評價的標準更加多元。

同樣道理,政府提供的數位身份在未來仍然會存在。但如果只是去酒吧慶生,可能根本不用出示自己的身分證,只要提供自己過去 20 年無關緊要的旅遊紀錄,就足以證明你已經超過 18 歲。處理幾千筆紀錄對於電腦來說非常容易,但在紙本作業則非常困難。

最後,從驗證機構(例如銀行)的角度來看,應思考如何拆解每一種金融服務的本質,判斷用戶使用哪些服務時,必須授權哪些資料。我相信絕大多數情況下,都不需要用到政府核發的「正式」身份。或許未來數位身份證,只有在跟政府機關打交道的時候才派得上用場。

要讓多方驗證成為主流,關鍵還是得回到「資料在誰手上」的老問題。如果人們的資料仍然在 Google 和臉書的資料庫裡,那未來我們能授權哪些數據,就得看科技巨頭的臉色。但如果資料是掌握在人們自己手上,生活應該會便利許多。


拍 1 到 5 下手,讓我知道你喜歡這篇內容。