企业和用户关于隐私数据博弈的均衡点——自主身份

2017 年，美国三大征信机构之一的艾克飞（Equifax）遭到黑客攻击，导致 1.47 亿用户的个人信息泄露，有不法之徒趁机利用他人的信用卡记录开办信用卡，然后刷卡不还钱，这对整个美国社会的信用体系造成了巨大的危害。结果是经过近两年的调查、扯皮、诉讼后，Equifax 与美国联邦贸易委员会终于在 2019 年 7 月份达成和解，同意拿出最高 4.25 亿美元用以赔偿受影响用户。互联网泄露用户隐私数据的事件不胜枚举。用户隐私数据泄露不但影响个人，还会让企业面临巨额罚款，甚至扩大到社会层面。

不论是出于主动（Facebook 授权剑桥分析公司访问 5000 万用户的个人信息）还是被动（艾克飞遭黑客攻击泄露 1.47 亿用户个人信息），包括数据处理权、知情权、数据安全承诺、被遗忘权在内的用户权利都被剥夺得一干二净。在欧盟GDPR法律和各国的数据保护法陆续出台之后，很多企业和机构再去收集和保存个人隐私数据时就必须谨慎行事，否则面临的将是巨额的罚款。

当一件事情具备高风险，例如：受罚。按照人类厌恶风险的天性，通常会采取规避的手段。规避风险意味着如果预期收益明显低于风险带来的损害，宁可不做这件事。在企业或机构收集和保存用户隐私数据的情境中，并非每个企业或机构都要对用户进行精心画像，对于这部分而言，不去收集和保存用户隐私数据是明智的。不过，对于必要的信息，如监管要求的 KYC 流程，企业责无旁贷，这时可以通过第三方 KYC 机构完成，以一种移交责任的方式摆脱潜在的风险。当然，对于其它一些企业或机构，精准的用户画像是它们的商业模式的基础，如金融和保险机构，此时收集和保存用户隐私数据避无可避，必须精心设计。

可是对于用户而言，他们最迫切的需求要么是不要泄露我的隐私数据，要么至少在用作它途时，务必经过自己的同意。

02 用户和企业之间形成了关于隐私数据的博弈

不难猜想，这俨然会演变成一场相互推诿的局面。用户想要使用企业或机构提供的在线服务；某些企业或机构要想获得用户数据；用户应允但是要求自己的隐私数据要妥善保管好；企业或机构会本能地排斥这种风险，所以要明确划清权责边界；用户不明所以地接受了条款，结果出了隐私泄露问题，用户遭受损失，于是要求赔偿，企业或机构则依据条款拒绝或者承担极为有限的责任。调查、扯皮和诉讼的场景还会不断重复上演。

其实，我们细细分析不难发现企业或机构同用户是在进行一场博弈。原本用户想要免费服务，而企业或机构想要用户数据，两者一拍而合。现在，用户要求自己的数据要妥善保管，企业或机构想要规避风险。用户还要求自己的数据未经同意不得使用，而相对地，企业或机构想要减少使用用户数据的成本，双方因此出现了矛盾。

我们很难判断谁对谁错，就像逻辑上“多数人的民主”会出现悖论一样。这个时候，权责要对等，用户要承担一部分保管自己数据的职责，企业和机构让渡一些访问数据方便性的权利，这样才能达成稳定的平衡。

用户和企业关于数据诉求的对比

03 自主身份是博弈的均衡点

• 数字身份：可信声明是网络世界中的数据，在当前的互联网中，数据是可以随意复制的，想要颁发可信声明，就必须解决数据所有权问题，所有权可以归属于人，也可以归属实体，而这些人和实体必须映射到网络世界。

• 数据所有权：当在线下有法律意义的实体（人或者公司）在数字世界有身份后，就可以把某些数据的所有权设置为这些实体。

• 可验证的数据：数据有了所有权，必然是因为有办法验证是谁颁发该可信声明给谁，并且该数据是否有篡改。

• 隐私保护：在当下互联网世界，数据掌握在中心化的服务中，而数据所有权的要求必然使数据掌握在所有者手中，这样就具有更好的隐私保护。

• 可信网络：当网络的参与者都是具有数字身份，并且携带可信声明的数字人的时候，网络世界将不同于现在充斥着无主信息的互联网，而是可信网络。

05 总结

明晚7点，我们邀请美国和德国业界专家，从全球视角来看，区块链将如何重塑数字身份和用户数据隐私保护新格局，欢迎扫码参加👇

参考链接

2.https://en.wikipedia.org/wiki/General_Data_Protection_Regulatio