论文推荐：SoLid 通过让公民控制自己的数据简化政府流程

SoLiD 是一个令人兴奋的新项目，由万维网发明者 Tim Berners-Lee 爵士在麻省理工学院启动。 该项目旨在从根本上改变 Web 应用程序的中心化趋势， 它将真正地让数据所有权属于用户，并改善隐私问题。

本文是 SoLiD 项目在比利时的实践经验，作者有 Web 创始人 Tim 爵士、SoLiD 的核心开发者 Euben Verborgh（编者最爱的一名 SoLiD 开发者）等。详见 [SoLid中文社区]: https://learnsolid.cn/，对「数据主权」主题感兴趣的读者可以加微信：`jinjian0414` ，加入微信群讨论。

适合阅读本文的读者包括：

1. 对新技术和自动化敏感、能感知技术趋势的开发者；
2. 渴望提升国家治理水平的官员；
3. 医疗和保险等民生行业的从业者；
4. 渴望创新的企业家；
5. 在寻找新方向、敢于承担巨大风险的投资者；
6. 对新趋势好奇的早期尝鲜者；

本文作者

Raf Buyle, Ruben Taelman, Katrien Mostaert, Geroen Joris2, Erik Mannens, Ruben Verborgh and Tim Berners-Lee

涉及机构：

1. imec IDLab - Ghent University, Ghent, Belgium ( raf.buyle@ugent.be )
2. Informatie Vlaanderen, Flemish Government, Brussels, Belgium
3. Department of Computer Science - University of Oxford, Oxford, UK

0. 概要

政府为了提供更好的公共服务，通常会存储大量的个人信息，比如公民姓名、家庭住址、婚姻状况和职业等。同时由于政府由各种政府机构组成，因此经常存在多个数据副本。这对数据一致性、隐私性和访问控制提出了更高的要求，特别是在 GDPR 和 CCPA 等类似的法律出台后。为了解决这个问题，我们探索了一种基于名为「SoLiD」的技术生态，这种技术可以让公民在自己的数据存储柜中维护自己的数据。我们已经将 SoLiD 用于两个影响力很大的场景，在这两个场景中，公民的数据存储在个人数据库柜中，任何组织可以在得到公民授权的情况下访问公民的数据，同时公民可以选择授权哪些数据给访问者。我们发现 SoLiD 可以高效重塑公民与公民之间的关系、公民与数据的关系和公民与应用的关系。我们坚信这个实验可以加速公共行政管理效率和公民控制自己数据的进程。

Keywords: 个人数据、去中心化、GDPR、Solid、Linked Data。

1. 介绍

随着《通用数据保护条例》（GDPR）的出台，欧盟委员会提供了一个旨在赋予个人数据控制权的法律。这个法律不一定会对数据存储商不利，如果合适的使用这项法律，GDPR 可以让以前复杂的数据数据流通变得简单。欧洲公司想要符合 GDPR 规范需要耗费巨大的成本和资源，而国际公司和跨国公司也必须尊重 GDPR 带给欧盟成员的权利。这造成了一些反作用，那些在欧洲且遵循 GDPR 的公司变得越来越不欢迎，反而那些非欧洲公司在遵循 GDPR 上有明显优势。

并非所有受 GDPR 约束的组织都有可疑或恶意的意图，这里面有很多组织在试图遵守法律时遇到了很大的困难。地方、地区和国家政府肯定会遇到此类问题。政府的机构层级复杂，每层都有历史性增长的数据需求和流程。因此，公民数据存在很多副本，这些副本导致的安全性和法律问题已经存在于很多部门。这些政府现在要求从技术上符合 GDPR 规范，以简化他们的数据管理成本。

当前，政府层级的数据处理面临的最大问题是：如何平滑的将数据从 A 迁移到 B。这不仅在不同领域之间带来了许多技术挑战，当政府开始“数据培训”时，这也成为一个复杂的法律问题，因为涉及到的服务器过多。如：数据经过 A，B，C 和 D 站，而 B 和 C 在法律上不允许看到 A 和 D 可以看到的所有数据。因此，存在复杂的过程来精确验证 B 和 C 的访问权限是什么，然后在将数据推送到 D 时重新整合它们的结果。一个明显的例子是低排放区（LEZ），LEZ 禁止在市中心或仅在特定条件下允许车辆行驶，因为它们散发出太多有害物质。在法兰德斯，车辆与自然人进入 LEZ 时，联邦信息检查车牌号与所有人是否进入到了指定区域；最终数据经过处理，并判断是否允许车辆在城市内通行。

「SoLiD」生态系统通过「公民自有数据存储柜（Personl Online Data，Pod）」 来解决上述问题，这样的好处是所有的公共和私人数据都存储在一个地方。每个机构都不需要在 A 和 D 之间移动数据，而是请求公民授权自己能查看哪些数据。这样，数据就不必到处移动，并且可以自动评估每个数据请求是否是 GDPR 合规的。在线上和线下控制我们的个人数据是一个趋势性主题，有大量研究在此领域。这里面的关键概念是人们可以选择将个人数据存储在何处，这些数据是去中心化存储的。与 SoLiD 技术相似的还有区块链技术，它通常也被认为是个人数据管理的解决方案。SoLiD 相较区块链的优势是天生是协议化的，不需要各方沟通就可以互相交换数据，而区块链不认识彼此各方达成的协议。区块链对于在没有中央银行或中央管理机构的情况下进行支付的情况下非常有效，比特币是一个成功的案例。区块链可以跨多个节点复制数据，如果你在不需要受信任的第三方时，可以计划使用区块链。如果你是核心参与者，或者各方之间相互信任， 那么你不需要区块链。而且，区块链的不变性意味着无法删除数据，这可能是一个挑战 GDPR 第 17 条赋予的人们删除其个人数据的权利。

在本文中，我们探讨了对个人数据进行控制的观点，并讨论了我们使用 SoLiD 实现的两个特定用例。SoLiD 提供了基于开放标准和基于 Web 的生态系统。根据 Harrison，Pardo＆Cook 的说法，生态系统是一个隐喻，通常用来表达参与者、组织、物质基础设施和象征性资源之间相互依存的社会系统，而这种生态必须在技术驱动的信息密集型社会系统中创建它们。数字生态系统的一个典型例子是开放数据生态系统。开放数据是指政府义务的在他们的网站上免费提供其非隐私敏感和非机密数据网络。开放数据重用依赖于数据提供者提供的数据和元数据，而提供者则依赖于重用者的反馈来增加数据质量。尽管开放数据生态系统中的所有参与者都相互依赖有效地发展自己的业务，公共行政部门和决策者最有可能引导这些开放的政府生态系统。Zuiderwijk，Janssen 和 Davis指出开放数据生态系统的挑战是相关的“政策，许可，技术，融资，组织，文化和法律框架，以及 ICT 基础设施” 。开放数据将“单向街道”重新连接为“双向通信”的生态系统，可能与使公民控制其个人数据的挑战同样困难。通过将 SoLiD 的方法应用于两种具有高影响力的场景，Flemish 政府的目标是建立能让公民控制自己数据的能力。

本文的结构如下：在下一节中，我们将介绍我们要解决的挑战。之后，我们在章节 3 中介绍有关 SoLiD 的基础知识；在第 4 节中，我们讨论了使用 SoLiD 解决挑战的方法， 然后在第 5 节中讨论我们的实现。最后，我们得出结论并在第 6 节中介绍我们的经验教训。

2. 挑战

比利时北部联邦国家和地方政府旨在增强公民的能力，使其可以在公共服务、银行、健康保险和电信提供商等不同环境下在线重用其个人信息。政府通常是个人数据（例如住所、医疗信息等）的托管方，这些信息存储公共行政部门的各种信息系统这种。Flanders 的政府管理部门之间允许共享和重用数据，这样减轻了公民的管理行政负担，是欧洲实施“仅一次原则”