你的身份数据失窃了

​看病、租车、办卡我们都需要提供身份证明文件作确认和记录。随着实名制的普及，更多的应用程式需要我们提供自己的身份凭证进行登记，例如游戏和社交媒体。这些都是身份应用的场景。

除了以实体的证件进行身份登记，在网络上我们也创造了不同的身份。就例如同一个游戏，不同伺服器中，我们就可能会有不同的人物角色、名字也各不相同。

01 身份提供者

每下载一个新的应用程式，我们都可能会设立一个新的帐号。这些不同的网络服务都有着自己的身份体系，不同应用程式的体系之间互不相通，非常零散。

「身份提供者」的出现解决了身份体系在不同的软件中互不流通，每次需要重新登记、过程复杂的难题。

「以微信/QQ登入」一键提供了身份验证的串接，让其他服务供应商可以快速串接，无需另外建立自己的使用者身份验证及管理系统。

02 问题再次出现了？

「重复验证」的可能是现代人在实体和网络世界时常会遇到的问题，简单与开办不同银行的帐户，每一次都要将进行类似的身份建立和审核流程，需要提供住址、身份证明等诸多资料。每间银行验证身份号，只会把使用者资讯储存在自家的资料库中，使用者资讯重复而且孤立。当资料有所变动，或者想要修改银行密码，使用者可能需要到机构系统修改，造成个人资料难以有效地维护。

即使网上银行提供了更改资料的便利，有些时候仍不免亲身前往该机构更改身份的资料。

03 更多问题出现了？？？

互联网的普及并没有伴随身份系统的改进，网络暴力屡见不鲜，人们在网络的身份被有心人被现实中连繫起来。

这些互联网巨头也发现了用户个人数据的价值，记录下个人资料然后进行研究或个性化广告投放。当中巨大的广告利润养活了网络巨头，他们把这些个人数据当成了公司的私有财产，并以此牟利。这些个人数据和身份系统的价值不再属于用户本身，而是成为大公司的私产。

每一次下载一个新的应用程式，很多时我们会直接省略掉该应用程式能够存取手机的权限，变相他们在暗地取得了很多与提供服务无关的个人资料。

更可怕的是这些大公司并没有好好保存用户的数据，数据私隐泄露的比比皆是，每次的重大事件均影响全球数亿的用户。

04 Facebook 个资外洩

因2014年Facebook使用条款中对使用者的不友善，使得用户在自身没有主动设定隐私不公开的情况下，第三方能藉由应用程式使用合约，取得使用者的个人资料。

在2015 年时，Facebook曾发现「剑桥分析」公司不当使用Facebook用户个资。「剑桥分析」 是2014年剑桥大学心理学家 Aleksandr Kogan 所製作的心理测验应用程式。

Facebook方却在要求对方删除数据之后，没有积极追踪确认，也没有告知被影响的使用者，使得Facebook近年来强调对用户隐私保护的保证， 荡然无存。

把用户的身份数据拥有权回归用户自身，已经成为了一个迫切的市场问题。

05 去中心化身份

去中心化身份 DID （Decentralized Identity）似乎是近日解决个人数据保障的最优解，主张抛开身份提供者的框架，让个人资料的拥有权回归使用者。

人们可透过自己的手机 App 管理个资，并透过生物辨识与加密技术保护敏感资讯。

负责认证身份的个体 （Entity） 或组织 （Organization） 透过公私钥签章，将签名注记在使用者身份上，等同核发认证的动作，使用者便可透过这些认证表彰身份。

举例来说，政府部门批发驾驶执照，然后透过该部门的私钥将驾照电子档签名后注记在民众 DID 上。当我们需要出示驾照时，只需把个人资料一件授权给相关组织。如使用租车服务时提供电子证明，省却确认驾照的过程，快速验证身份。

这个案例中，政府部门就是身份授与者，民众就是身份拥有者，租车行则是服务供应商。跟传统作法的差别在于身份的保管不在授与者身上，而在拥有者，也就是市民身上。

06 预告

下期我们将会继续深入DID的概念，继续深入如何用区块链保管这些公钥，如何实现使用者的「身份纪录」自主。敬请期待！