各国政府与科技巨擘最近正为了数字货币的主权进行攻防。显见货币无法全球流通,不仅是商业或技术问题,更是政治问题。但科技和网路先天都没有国界限制,它们会无视法律与政治持续冲撞现有世界的运行方式。除了数字货币之外,数字身份也正搭着这股去中心化的浪潮,打破国界走向全球。

就连目前任教于麻省理工学院的网际网路之父Tim Berners-Lee现在也全心投入Solid这个去中心化数字身份的研究专案,帮助人们夺回数字资料的主导权,显见这个议题的重要性。

纸本身份用途受限

我们随身都带着证件,方便与社会中其他人协作。

在家不需要出示任何证件,家人都知道你是家中的成员。但进到学校和公司,随着人数增加,不太可能每个人都彼此认识,因此才有学生证、识别证,向其他人证明自己是团体中的一份子。不过这些证件都是纸本型式,在造假猖獗的地方,连证件本身也受人质疑。TVBS报导:

中国大陆假证件盛行,导致许多企业不相信毕业证书的真实性,常要校方再开学历证明佐证;贵州贵阳一所学校因不堪其扰,直接在官网发布通知,要求各单位不要再来开「我是我」的证明了。报导称,有位学生专程返校开证明,原因是聘用单位称,毕业证书、学位证书不能证明其大学学历,必须让学校开一张学历证明才行,否则后果自负。

要求提出证明的证明,是信任崩坏的现象。蔡总统的博士学位证书正好可以拿来当例子。有人质疑总统学历的真实性,同学、室友纷纷出面证明,最后总统府公开博士论文供大众阅览,事件才总算落幕。

纸本证明不仅容易伪造,还受到地理限制,无法直接在网路上使用。尽管有越来越多机构都提供线上服务,但根据麦肯锡全球研究院(McKinsey Global Institute)指出,目前全球76亿人口中有10亿人完全没有身份,另外34亿人则是网路上的无证人口,只有剩下的32亿人同时拥有实体身份和数字身份。

机构要求用户将纸本证件拍照上传,就像是把百科辞典扫描后上传的数字辞典一样,既没有发挥数字的特性,还可能造成更多麻烦。即便是中国政府明年换发的数字身份证,仍然没有脱离卡片与读卡机的限制,手机或手表都暂时无法使用。

怎样才算是好的数字身份世界经济论坛与MasterCard的研究,共同指向去中心化的数字身份(decentralized identity)是大势所趋。简单来说,就是数字的卡片与证件夹。

卡片与证件夹

这呼应我上周提出— —币与钱包们— —的未来支付架构。未来的数字身份,则会朝向「卡片与证件夹」发展。什么意思我推荐大家到uPortlandia这个虚拟的未来城市,直接体验一下去中心化数字身份的魅力。

首先,你得下载uPort 这款app。uPort 就像是数字版证件夹,里面可以放身分证、健保卡、悠游卡、毕业证书或公司识别证。而第一张证件即是城市的市民卡(City ID),填写简易的资料就能取得,接着就可以开始体验未来城市的便利了。

有了市民卡之后,市民可以向母校申请毕业证书,再凭着市民卡和毕业证书向任职公司申请员工识别证。每一个操作,都是去中心化的互动。也就是说,你会在手机里收到资料的授权通知,就像是我们从皮夹里把身分证拿出来,出示给对方看一样。只有双方知道,而不用通知内政部或是相约到政府机关(中心化的机构)才能进行验证。

随着人生的历程,市民的数字证件夹里会累积越多证件。或许未来人们根本不用出示毕业证书才能证明自己读过大学,只要秀出当时的学生证,甚至出示18 岁到22 岁间在公馆商圈的消费记录证就足以说服人了。

不管是旧的学生证,或是纸本消费记录,都难以保存。当这些资料总算变成数字的形式,且本来就保存在个人证件夹中,只要点击授权按钮就可以让对方验证。此外,在数字的世界里,处理一份资料和处理一千份资料的时间几乎一模一样,这是实体世界不可能完成的事,也是数字化的最大优势。

你可能会问:这又和我们熟悉的Google 登入、脸书登入有何不同

这些是中心化的数字身份,用户资料是存放在企业资料库中,而不是自己的数字证件夹里。Google 知道你好奇的事,脸书拥有你的社交图谱,但他们都没有你的在学成绩。如果我要授权面试公司查看我的学生证、消费纪录和成绩单,至少要登入学校教务处和云端发票两套系统。当资料来源越多,要登入的系统就越多。

中心化的数字身份除了难以服务所有人之外,还有隐私问题。Quartz在一篇文章里指出,人们的数字身份可以简单分为三层,但我们只能保护第一层:

你主动分享的资料,例如脸书贴文、填写个人资料、帐号串连。 你被动分享的资料,例如浏览纪录、地理位置、活动时间。 机器分析之后的你,例如想买什么、对哪些人感兴趣、生活状态。

使用者的资料都存在企业的资料库,若是管理不当,剑桥分析事件就会再次上演。因此,将数字证件交由用户自己保管,也就是去中心化的做法,会逐渐成为主流。

多方验证是新的信任

人们在数字世界留下的足迹越来越多。但只要资料管理得当,它就能提供人们新的信任机制。

如果要找一家好餐厅,只要上网搜寻其他人的食记或游记,就能判断品质的好坏。虽然米其林等评比还是有其权威性,但网友们以去中心化的方式提供的真实经验,不仅涵盖的范围更广且评价的标准更加多元。

同样道理,政府提供的数字身份在未来仍然会存在。但如果只是去酒吧庆生,可能根本不用出示自己的身分证,只要提供自己过去20 年无关紧要的旅游纪录,就足以证明你已经超过18 岁。处理几千笔纪录对于电脑来说非常容易,但在纸本作业则非常困难。

最后,从验证机构(例如银行)的角度来看,应思考如何拆解每一种金融服务的本质,判断用户使用哪些服务时,必须授权哪些资料。我相信绝大多数情况下,都不需要用到政府核发的正式身份。或许未来数字身份证,只有在跟政府机关打交道的时候才派得上用场。

要让多方验证成为主流,关键还是得回到「资料在谁手上」的老问题。如果人们的资料仍然在Google 和脸书的资料库里,那未来我们能授权哪些数据,就得看科技巨头的脸色。但如果资料是掌握在人们自己手上,生活应该会便利许多。