FB再现隐私安全问题，区块链来了管用吗？

从一份令人失望的财报说起

Facebook（FB）公布了2018年第二季度财报。数据显示，今年第二季度FB每股收益、广告业务收入、营业收入和活跃用户均较一季度增长放缓，后两者都不及市场预期，营收自2015年以来首次逊于预期。日活用户环比增速创Facebook有记录以来季度增速新低，欧洲地区日活用户增速为近两年来首次负增长。

紧接着，周四Facebook股价暴跌18.96%，创下历史最大单日跌幅，股价跌破174美元。当天Facebook股价收涨1.32%，收报217.5美元，市值达到创纪录的6298.181亿美元。

来源：新浪财经

据彭博报道，自3月17日剑桥分析丑闻爆发以来，九位Facebook内部人士共计出售了41.3亿美元Facebook股票，其中扎克伯格出售股票的金额占了这一金额的85%。事实上，扎克伯格从2016年已开始加速减持Facebook，而2018年以来他的减持速度更快。

刺痛“隐私”神经，Facebook“非死不可”？

正如上文所提到的，今年3月份，FB的剑桥分析丑闻被炒的沸沸扬扬。受此影响，Facebook股价应声大跌，欧盟、美国和英国纷纷抨击Facebook。4月，美国参议院商务、科学与交通委员会（Senate Commerce, Science and Transportation Committee）和参议院司法委员会针对Facebook 举行了一场联合听证。听证会主席议员John Thune直接指出Facebook 因向第三方剑桥分析公司（Cambridge Analytica） 提供数据服务而致使8700万人的信息被泄露，以及2016 年美国大选受到俄国势力影响...... 听证会指出了Facebook在保护用户信息方面的种种问题。

此外，今年5月25日生效的欧盟《通用数据保护条例》（GDPR）对Facebook二季度欧洲市场用户有较明显影响。二季度Facebook欧洲地区的日活用户为2.79亿，较一季度减少3千万。同时，北美用户增长停滞，美国和加拿大地区日活用户持平，可见Facebook在耕耘14年后本土市场趋于饱和。值得注意的是，亚太地区用户数量增长了1.7亿。

数据泄露、虚假新闻、欧盟最强隐私新规……Facebook受到种种问题困扰，隐私问题更是已受诟病已久。

所谓的隐私早已被“公之于众”

互联网巨头公司们在信息保护方面的缺失已经让很多用户开始不满，用户个人信息被侵犯的又何止Facebook一家。

细心注意你会发现，平时你在浏览网页时弹出的广告真的是深得你心。比如，你微信或者邮件和朋友说，最近在考虑买个车，结果服务方马上给你推送了一个4S店的广告。某个App发现你的地点经常在多个城市之间切换，给你推送机票、酒店信息，你多半不会觉得是什么隐私泄露。有一个关于某电商巨头的经典段子是：一位妈妈投诉，其读中学的女儿经常被推送婴儿用品广告，后来才发现她女儿真的是怀孕了。

稍微严重的隐私泄露可能会让你遭遇一些骚扰和烦恼。比如，你的住址、电话、年龄、聊天信息等被他人获取和恶意利用。我们经常会接到莫名奇妙的推销电话就是一个例子。2012年云存储公司Dropbox(NASDAQ:DBX) 发生几千万用户帐号（邮箱）泄露；去年9月份美国三大信用报告公司之一的Equifax Inc(NYSE:EFX)遭到给黑客攻击，近半美国人的姓名、地址、社会安全码和一些驾照号码被泄露，公司市值也一度蒸发掉4成。

最严重的泄露，无疑是用户的帐号、密码直接被盗，一方面会导致用户的隐私信息被非法读取，另外别人可以利用这些帐号密码进一步侵害用户的权益，类似人人网、甚至汇聚程序员的专业网站CSDN都发生过。

据美国威瑞森电信公司（Verizon）发布的《2017年数据泄露调查报告》显示，在2017年的全球数据泄漏事件中，24%的数据泄露事件和金融机构有关；其次是医疗保健行业15%。

图片来源：《2017 data breach investigations report》

75%的数据泄露是由于外部人员造成的，25%的数据泄漏则包含内部因素。而在窃取数据方式上，以黑客利用恶意软件或者直接盗取密码为主。

图片来源：《2017 data breach investigations report》

当推销电话和垃圾短信都已习以为常，从外卖订单到快递信息，从正规app到钓鱼网站，你的个人信息分分钟都会被不法分子盯上。

之前网上流传过一个神秘工具，叫做社工库，这里面包含的数据类型除了账号密码外，还包含被攻击网站所属不同行业所带来的附加数据。比如，酒店类网站泄露的开房数据；订票类网站泄露的火车、飞机票数据；购物类网站泄露的银行卡交易数据；团购类网站泄露的数据……更加可怕的是，在黑客对数据进行整理后，就能了解一个人的姓名，身份证号，照片，住址，工作单位，每年出差几次，常去哪里旅游，收入水平多高，喜欢买哪些东西，看什么类型的电影，看什么类型的书等等…

随着信息的越来越多样、越来越具体，慢慢的就会形成一幅基于数据的极为精确的“用户画像”，有人说“它比你妈更了解你”其实一点也不为过。

所以，大数据时代，你以为有个密码或者绑定个邮箱手机号就安全了吗？

Too young, too naïve…

区块链为隐私数据保护带来希望

也许从互联网出现的那一刻起，数据防护和数据入侵之间的斗争就注定成为无法摆脱的命运。区块链技术被很多专家学者称为是继互联网之后，下一代具有颠覆性的技术革命，它似乎为数据安全保护带来了新的希望。

不久前，京东首席信息安全专家Tony Lee曾表示：

区块链是解决用户隐私泄露问题的最佳途径。其可追溯特性使得数据从采集、交易、流通，以及计算分析的每一步记录都可以留存在区块链上。

印度电信管理局（TRAI）也表示，应利用区块链技术，确保电话营销消息仅从授权实体发送给用户。这有助于保护消费者的隐私，使他们有选择同意和拒绝的权利。

智联招聘大数据与算法首席科学家文镇称，用户的隐私数据应该像金融资产一样进行保护，并通过加密措施及严格的审计制度来预防黑客等角色的攻击。区块链技术给了我们很好的启示，个人数据的处理过程和对应产生的价值也可以通过分布式、可信的方式记录下来，并沿着这个思路把整个数据产生价值的流程透明化、规范化。

为什么说区块链能解决我们的隐私安全问题？小编在此从区块链的两大特性稍作说明。

01 区块链的防篡改特性

区块链，简单来说，就是一套“加密的分布式记账技术”。用户的相关数据信息，在区块链中是分布记录在全网所有的计算节点上的，换句话说，这件事是得到全网计算机的确认的，不再由一个中心主体来管理。一旦你的信息经过验证并添加至区块链，就会永久的存储起来，除非能够同时控制住系统中超过51%的节点，否则单个节点上对数据库的修改是无效的。因此，区块链的数据稳定性和可靠性极高。

02 区块链的匿名性

保证数据不会被别人篡改之后，我们还想实现的就是不要轻易被他人看到。在区块链技术中，各节点之间的数据交换遵循固定且预知的算法，因此区块链网络是无须信任的，可以基于地址而非个人身份进行数据交换（区块链中的程序规则会自行判断活动是否有效)。交易双方无须公开身份就能交易，因此大部分隐私信息都无须暴露。

从区块链技术的这两种特性来看，其在诞生之初就考虑到了公共数据的管理问题。隐私数据保护问题也是这一新兴技术实现普遍落地的重要因素之一。

区块链如何实现数据加密保护？

（1）混币原理(CoinJoin)：混币原理是割裂输入地址和输出地址之间的关系。简单来说，在一个交易中，有很多人参与，交易不再是个人对个人的关系，而是多人对多人的关系，这样具体到每个人，就很难找出与之对应的交易方，输入与输出之间的联系被事实上割裂。多次混币、每次少量币，效果更好。例如达氏币（Dash）。

图片来源：http://tech.163.com/16/1214/09/C884NNBN00097U80.html

（2）环签名：环签名解决了对签名者完全匿名问题。在环签名方案中，环中一个成员利用他的私钥和其他成员的公钥进行混合，但却不需要征得其他成员的允许，最后再由接收者的私钥解密验证，这样一来验证者只知道签名来自这个环，但不知到谁是真正的签名者，也就无法判断交易发起者的公钥是哪一个。例如门罗币。

图片来源：http://tech.163.com/16/1214/09/C884NNBN00097U80.html

（3）同态加密：同态加密是一种无需对加密数据进行提前解密就可以执行计算的方法。也就是说，区块链仍旧是公有区块链。但区块链上的数据将会被加密，从而实现了公有区块链具有私有区块链的隐私效果。

我们举个实际生活中的例子：Alice是一家珠宝店的店主，她想让员工将一块黄金加工成首饰，但又怕员工偷取黄金，于是她制造了一个锁着的手套箱用于放黄金和做好后的首饰，钥匙由她随身携带，通过手套箱，工人可以将手伸进手套来进行加工，这样工人既能够加工首饰，又不肯能偷走黄金，而Alice则能够通过钥匙拿到首饰和剩余的黄金。

（4）零知识证明（ZKPs）：ZKP是一种密码学技术，是一种在无需泄露数据本身情况下证明某些数据运算的一种零知识证明，允许两方（证明者和验证者）来证明某个提议是真实的，而且无需泄露除了它是真实的之外的任何信息，例如Zcash和Zcoin。

此外，除了运用算法处理信息，还有其他一些隐私数据保护方法，例如：（1）Enigma系统的方式。它先将数据分解成碎片，然后使用数学方法对数据进行组合计算，外界单独从每一碎片获知整个原始数据是不可能的。（2）很多联盟链都允许用户可以设置交易信息对其他企业的可见度，而他的行业合作伙伴无权分享机密信息。

举个栗子：几个应用场景

（1）Sovrin：实现安全和私人的自主主权数字身份

隶属于非营利性组织Sovrin基金会的多家金融科技公司、软件制造商以及电信提供商等企业正在联手开发一个名为Sovrin的基于区块链的网络。据报道，该网络可以帮助全球范围内所有处于这一网络中的任何实体，他们都会拥有一个在线交换数字凭证，且不必担忧暴露任何私人数据。在线凭证类似于识别人们在实体钱包中存放的个人信息，如驾照、银行卡或公司ID。通过区块链技术，这些验证信息会自动发送给请求者。数字钱包的拥有者可以设置请求企业能够收到哪些信息。

据悉，IBM已宣布加入该网络，以帮助企业、非营利组织以及政府，构建消费者与他们进行交易的基础架构和应用程序。目前，该网络尚处于测试阶段。

（2）微软携手Tierion：打造基于区块链的数字身份证平台

科技巨头微软去年就同初创公司Tierion合作推出基于区块链的数字身份证平台，试图创建一套不可更改的系统，允许用户通过加密数据中心控制对敏感在线信息的访问，以此来保障公共区块链上敏感数据的安全。

（3）英特尔联合R3：加强Corda区块链平台的数据隐私和安全性

IT巨头英特尔去年在纽约举行的英特尔Xeon可扩展处理器发布会上宣布与R3合作，加强其Corda区块链平台的数据隐私和安全性。

作为解决Corda数据隐私和安全的一部分，该平台只向“需要知道”的人发送数据，这与大多数区块链应用程序不同。这一特点源自金融机构的要求，需要确保贸易和协议的保密性。

（4）腾讯携手英特尔：推动构建物联网安全能力

去年，腾讯公司和英特尔公司宣布共同开发区块链技术，用于腾讯TUSI安全实验室，以推动物联网应用场景中安全防护能力的建立。

腾讯移动互联网事业群副总裁吴宇表示：“随着物联网技术的飞速发展，越来越多的物联网应用场景落地推广，日常生活中的支付环节也逐渐被各个应用场景的移动支付所替代，物联网时代，人们的生活更加智能便捷，但同时，也面临着个人信息泄露和财产损失等安全威胁。腾讯携手无锡市政府，建立TUSI安全实验室，为用户、IOT设备提供了金融级安全防护能力；同时与Intel在区块链技术领域形成合作意向，使得用户的账号体系得到了硬件级别的安全防护。”

（5）ID2020：利用区块链技术让用户直接拥有和控制个人数据

在今年1月举行的瑞士达沃斯举行的世界经济论坛上，微软和区块链联盟超级账本（Hyperledger）宣布加入区块链数字身份识别倡议组织——ID2020联盟。此外，援助机构Mercy Corps和联合国国际计算中心也已经加入了该联盟。该联盟正在开发一套解决方案，利用区块链技术实现用户直接拥有和控制其个人数据的权利，通过提供数字身份来改善人们的生活，提升隐私安全。

（6）Obsidian：利用区块链保护隐私信息

初创公司Obsidian利用区块链保护即时聊天工具和社交媒体上流转的隐私信息。Obsidian使用无法被任何单源控制并审查的区块链分布式网络。此外，通信元数据分散在分布式账本中，无法在某个集中点收集，因此降低了通过数字指纹监控的风险。用户无需连接到电子邮箱或电话号码，从而保护了隐私。

（7）X-roads：建设开创性的数据公共基础设施

位于东欧的爱沙尼亚共和国基于区块链技术的建设了一种开创性的数据公共基础设施——X-roads，即所有的个人数据都存储在本地，只有经过验证之后才可以查找、分享，而且每一次被查看都有记录可循，个人可以决定哪些数据对哪些人在哪些情况下公开。这种数据的存储是分布式的，数据存储在本地，而不是在一个中央的服务器上或者一个集中的平台上。爱沙尼亚法律规定，未经允许查看别人的记录是违法的行为。X-roads的创立和应用为保护用户隐私、保证数据完整等方面提供了新的思路。目前，X-roads已经应用在立法、投票、教育、司法、医疗、银行和缴税等各个方面。

尽管以谷歌、腾讯、京东为代表的科技公司也已结合自身的业务对区块链技术的应用范围进行了尝试和拓展，但是从区块链的进化程度来看，上述应用依然处于一个相对较为初级的阶段，基于区块链进行的部分数据尝试也都是在非常小范围内的试点。

区块链技术目前处于发展的早期阶段，无论是技术还是使用场景都还不够成熟。比如它能够保护隐私安全，但同时又很可能被恶意利用，隐私保护和信息使用便利之间的冲突很难真正解决。区块链自身的独特性让数据隐私既面临挑战又面临机遇。如果能平衡好隐私保护和交易性能，那么对既有数字平台商业模式来讲无疑是一场革命。

本文来源： 三言财经