当我们呼吁保护数据隐私时，真正呼吁的到底是什么？

美国西部时间周二到周三，Facebook创始人兼CEO马克·扎克伯格在在美国众议院能源和商务委员会面前，面对 44 位议员的质询，接受连续两天长达 10 小时的轮番盘问。

质询事件的导火索是Facebook与剑桥分析（Cambridge Analytica）的隐私泄露风波，但矛头非常明确，直指Facebook利用其行业垄断地位滥用用户数据，导致用户隐私信息泄露问题。

话题并不新鲜，关于谷歌、亚马逊、Facebook、BAT等互联网巨头未经授权，私自将用户数据用于商业用途的问题一早被人诟病，但无论在法律还是行业规范层面，都未能很好地解决这个问题，那为什么今天会再次吸引全球的目光，不仅因为Facebook自带话题性，更可能的原因是，一种颠覆性的技术已经出现，它非常有可能解决这一痛点问题，那就是区块链。

区块链由于其分布式存储、加密算法、不可篡改、公开透明等特点，理论上能有效对数据使用的授权、使用记录进行控制，使数据生产者能自己主宰数据，包括对数据的使用授权、数据价值收益权的掌握，因而被寄予厚望。

然而目前的情况是，理想很丰满，现实很骨感。一方面，大家对用区块链来解决“数据隐私”核心问题的认识还不够深，对于数据隐私问题本质上是解决什么问题还回答不上，另一方面，由于理论和技术上的瓶颈，短期内恐怕无法看到具体应用的落地。

但这并不是我们放弃思考的借口，或许在这场区块链飓风中，我们更需要保持清醒的头脑，才能认清事情的本质，下面和大家分享对此问题的一些思考，当我们在高呼保护数据安全，防止信息滥用时，我们呼吁的到底是什么。

1

常见的两个误区

人对风险有天生的厌恶，只要涉及到自身利益，往往就会将自己拥有的给放大，同时会怀疑相关利益方各种“不怀好意”，在数据隐私问题上，这可能导致两个问题，也是可能陷入的误区：一个是我们的数据绝对不能公开，公开就意味着被侵权的可能，另一个是互联网巨头就是我们价值的攫取者，所以我们之间的关系是对立的。

先来说第一种，用户在数据公开和隐私保护之间的平衡问题。大家都知道，我们每浏览一个网页，每点击一个页面，应用商都在获取我们的行为数据，在数字经济中，我们的数据不可避免地被应用提供商获取，所以问题的重点变成了它们如何使用我们的数据，是完全公开，还是授权给另外的第三方。

Facebook的“剑桥分析”风波就是因为未经用户允许将用户数据授权给了第三方，这种未得到用户允许就擅自支配数据使用权限的行为就被称为数据的滥用。对于用户来说，自然是不乐意的，有谁愿意将自己的私人信息赤裸裸地展露在大众面前，所以他们会抵制互联网巨头，因为它们的个人信息被谁使用，如何使用，他们是完全不知道的。

那如果现在互联网巨头给你一个权利：你可以选择公开你的数据，也可以选择不公开，那你会怎么做呢？我想应该没有人会选择完全公开或完全不公开这种极端的答案，最明智的答案是什么，是我选择向一部分人公开我的数据，但并非所有数据，数据的开放也不是免费的，需要收取部分利益作为我对你开放数据的补偿。

所以开放数据只是浅层表现，最根本的问题是：用户要牢牢掌握对自己数据使用规则的制定权，这才是最重要的。用户可以决定，他的数据谁能用，谁不能用，用到什么程度，用的话要付出什么代价，代价大小怎么定，所有的这一切，都是用户自己说了算。

而我们经常会陷入“数据就不应该被公开”的误区，而忽略了数据公开规则制定权才是最重要的。



第二种误区是将互联网巨头当成我们的对立方。因为它们攫取了我们数据商业价值的果实，它们获得巨额利润和逐渐形成垄断的同时，我们却一无所得。但是别忘记了，如果没有大数据和智能算法，我们今时今日也无法获得很多高效便捷的服务。

李彦宏在中国发展高层论坛上表示中国用户更加开放，对隐私问题没那么敏感，在很多情况下愿意用隐私交换便捷性和效率。这一点李彦宏其实是说了大白话，只是被媒体断章取义放大了，商业效率和用户数据使用之间本身就存在矛盾，只是看如何平衡，这又回到了第一点，靠规则的制定来解决。

2

区块链能如何解决这个问题

现在的问题是，用户对自己数据没有存储权、使用授权、价值收益权。因为数据都是中心化存储，而区块链可以采用分布式存储的方式，用户的私人信息都存在本地，数据的调用权掌握在用户手中，互联网平台要调用数据必须首先得到用户授权，并且会留下记录，这一定程度上使用户数据隐私问题得到缓解。

对于区块链技术，我们希望最后能实现这样一个结果：对于数据生产者，消除他们的数据隐私焦虑，并让他们有动力去主动分享数据，增加数据被交易和使用的可能性，让数据生产者可以获得数据价值收益，同时数据使用方也可以更高效地获得数据。

至于如何制定规则形成这个良性系统，或许GDPR可以给我们一些启发。

欧盟《一般数据保护条例》(General Data Protection Regulation， GDPR)，规定了向欧盟境内的自然人提供商品与服务而收集、处理用户信息的非欧盟企业必须遵守的用户隐私保护规则。

最重要的是，它对用户的权利有明确的规定，这正是国内外互联网巨头最缺乏的。

注销的权利（The right to be forgotten），公司机构需要向用户提供永久储存/完全删除其数据的简易方式。

反对的权利（The right to object），个人可以拒绝公司从其获取和储存特定信息的行为。

修改的权利（The right to rectification），商业公司和机构需要向用户提供更新、修改信息资料的简易方式。

获取资料的权利（The right of access），个人应当明确知道有哪些数据公司在搜集其信息，以及如何在利用。

获取便携资料的权利（The right of portability），公司机构需要向用户提供下载所有个人数据的标准格式，如csv文件。这意味着用户发的帖子、图片、邮件等所有数据库中的内容，都应该对用户开放。

如果用户与平台的数据权限规则被写明，并在一定的规则约束下被严格执行，那互联网巨头将从“数据控制者”转变为“数据经手人”，这无疑是在革既有数字平台商业模式的命。

本文作者：大狗，可以加微信（xinmeikeji3）交流。