【人话版】WEB3黑暗森林中的隐私博弈

【注】：1）本系列文章为纯纯的个人思考，和任何职务/机构/商业完全无关。2）面向对网络、IT动态有兴趣的朋友，漫谈风格说人话，尽量避免晦涩技术。3）行文必有不成熟不周全之处，会不定期修改细节词句。4）一家之言，所以此版本暂不开放转载。

系列文章

1：【人话版】摸着WEB3过河的互联网风景线

2：【人话版】分布式数字身份：通往WEB3世界的桥头堡

3：【人话版】WEB3黑暗森林中的隐私博弈

4：【人话版】WEB3将至之“权益的游戏”

题图：摸着石头过河的互联网风景线 （背景为个人旅游实拍）

————————————————

很久以前出国旅游办签证，旅行社要了我全套资料，包括身份z、家庭情况、工作和薪酬证明、银行流水、家庭资产等...我表示瞠目结舌又不得不和盘托出。整个过程感觉自己像毫无遮挡的走入黑暗森林，可能没事也可能有事。这是印象极深刻的一次“裸奔”。

网络生活的普及，更是带来了花样百出的隐私痛点，有的骇人听闻，有的违法违规，有的即便不那么恶劣但也会让人像吃了苍蝇一样不舒服。这已经是网络时代的老话题了。

一.什么是隐私：

基本上能用来辨识其人身和物理空间、社会行为、金融资产等特征，能用来触达和针对个人的信息(地址、电话等），都是个人隐私，很难一一列举。各国陆续出台了对个人数据、个人隐私的保护法例，对“什么是隐私”的定义，也是做一堆罗列后，加个“等”字。

所以，隐私的具体列表并不是那么重要，扪心自问根据常识判断就好。随着社会和业务形态发展，隐私意识觉醒，还会有更多信息被认知成隐私。

所谓“人们拿隐私去交换便利”这种话术，在过去可能客观存在，实属无奈之举：在高速发展粗放运作阶段，“速度”和“便利”具备压倒性的诱惑，无论是平台方还是个人用户，对隐私关注和投入得都还不够。

网络越来越多的影响人们的生活，保护隐私意味着免除骚扰、维护尊严以及人身和财产安全；这不仅仅是个人的事情，逐步成为必要的公共事务；即使那些为了一点点钱卖掉个人资料的人，社会也有义务去帮他们维护隐私，改善处境。

包括我国在内的很多国家已经从法律层面制定框架，从监管导向上要求全面从严的保护隐私，打击任意爬取、过度收集、滥用隐私等。

我反复阅读了从GDPR相关资料，以及我国《个人信息保护法》《数据安全法》等一系列条例，信息量很大，很难一言蔽之，仅列几个核心字眼：用户控制，最小采集，知情同意，去标识化，确保删除，合法合规。就是说不管怎么做，只要能达到这几个效果，勉强算是达到了目前的底线。

注：建议仔细阅读各条例，自行专业分析判断 二. 从手头的APP看起

从去年11月之后，各APP纷纷发版，更新隐私条款；大部分APP数据采集和使用界面会详细的告知采集了什么信息，在哪用，分享给哪些第三方用。

由于APP要做到实名制的硬要求，以及其庞杂的功能需要用到大量设备和个人信息，有一些是在关键流程中非要不可的，比如要支付，必须有支付账户信息，要定位，就得有GPS信息...其实收集的还不少，也就是说目前一个APP对用户基本上是门儿清。

有兴趣可以立刻随便打开一个APP的菜单看看，了解下都被收集了什么，是否有还值得优化之处，或者是否还有霸王条款。

图：APP的隐私和数据收集菜单

好歹它们已经清晰的给用户拉出清单，绝大部分信息在获取的时候也会征得同意。

乐观的看，我们可以认为在往好的方向走，当然来自监管法规的震慑是重要的原因。

如果还要继续较真的话，就看一个人对隐私有多执着了；愿意花多少时间、出多少成本，有多强的能力去细抠隐私条款和提升保护措施，人人不同；比如，有人持续硬核的挑战公众场合刷脸的必要性，而很多普通用户，通常连APP的隐私协议都没看过，或者看一眼，太长了没看完也没看懂就直接勾选同意了，想着反正信APP和现行法律法规好了。

在更多的线下场景，不免要登记各种资料，转头就可能被卖了。而泄露的资料被怎么用，有很多灰色地带，监管不到。于是，日常骚扰广告，差异化对待，甚至被窥视被传播...都还是有。

信息泄露这事儿，从实 *** 上讲真的很难严防死守，漏了就是漏了，覆水难收。

三）区块链上的隐私辨析

那么，上区块链是不是就“彻底”解决了问题呢？毕竟中本聪号称全世界最成功的“躲猫猫”专家，至今没有人知道他的真实身份。

极客们大体有着强烈的躲猫猫意图，他们懂密码学、懂网络、知道怎么藏起来自己的IP地址和惯用口吻，有101种办法保护自己。

公链网络通常被认为是隐私的，其隐私的基点来自匿名性，即用随机私钥代替了身份，链上账户不包含任何个人信息；但是其交易信息是公开的。打个比方，就像一个人蒙住脸，同时把自己的钱箱敞开，在广场上走来走去做生意，大家都知道他进出账如何，手上有多少钱，但不知道他是谁。

如果面向特定公开市场和特定人群圈子，极致的追求透明交易规则和群体共识验证，这个逻辑看起来说得通。

最近看到有人表示，招聘时要看某个人在链上的行为，投了啥虚拟资产，参与过什么WEB3项目，是不是足够Crypto Native(原生加密思维)....

同理，很久很久以前，我在技术论坛匿名灌水，遇到有一位老板在论坛上看帖子，找气味相投的程序员一起创业。他联系到我，我们线下见面欢聚一堂，我表示很感动还是没有迁移城市去他公司 :P

等等，这不是把匿名身份和个人关联了吗？

随着网络和现实世界结合越来越细密，一个匿名账户，有可能在某一次交易、某一条言论、某一个活动中，一不小心和现实身份关联，分分钟奔现；如果这个账户重要到可以根据其资产存量、交易行为、交易关系来判定他、针对他、管控他的时候，匿名保护逻辑就失效了。

公链是完全开放的，各种监测系统随时都可以把整个区块链的数据拉下来，进行监控和交叉分析。出于区块链上难以篡改、全程追溯的特性，只要在链上做过交易，全链条都可以追踪：频繁交易的人，财务情况和行为模式一览无遗，一方面用来分析经济交易模型，也可能是为反恐融资（CFT）反洗钱（AML）做准备。

图：链上交易详细记录和关联分析

如果是通过代理模式比如通过中心化交易所接入网络，那在各环节上是否“匿名”，那更不好说了。2022年大家看到有不少因为地缘争端，而针对特定国别、批量管控链上账户的事情，其中一部分是通过交易所实施的。另外，之前在多次黑客攻击行为中，即使使用了链上匿名地址，但根据IP地址、设备标识、交易所来往流水等等信息，执法机构依旧可以锁定嫌疑人并强力执行。

"疑似"中本聪的链上账户，应该是被很多人盯着了吧，天知道这个躲猫猫活动最终啥时候会突然水落石出。

而采用“零知识证明”等技术的隐私币，或者通过复杂的“混币”、多跳网络等方式隐藏行踪，技术成本和 *** 作复杂度都比较高，远不是普通用户轻易能把控的。

联盟链和公链略有不同。联盟链具备强准入和权限机制，使链上账本仅对有限参与方可见。即便如此，联盟链上的隐私依旧是热点话题：参与者共享数据是否泄露商业机密，是否全生命周期贯彻了用户隐私保护，是否会出现木桶短板...都会被严苛审视；纠结来纠结去，有的链上就只剩HASH了...为了更大范围的应用落地，可控匿名、多级隔离、隐秘账本、隐私计算、多方治理等重武器亟需装备到联盟链上。

总之，在日益庞杂的数字化社会里，一个人的隐私，和他的个人信息、社会信用、交易流水、交易对手方、资产存量...息息相关，仅仅带上简单的匿名面具，是远远不到位的。

无论在区块链上还是现实中，我真的不愿意把我的交易流水交给不清不楚的人（别多想，我没有买什么奇怪的东西）。

四）从源头做起

数字化社会里，人一举一动都在主动被动的发送数据，数据近于无成本、又大规模低时延的在网络中传播复制；数据一旦发出，在技术上，人就失去了对数据绝对的、排他的控制能力，处于完全的被动状态。

简单的说，要想不暴露隐私，最好从源头掐住，不要暴露它，时刻防着被人窃取它。

举个例，现在外卖APP有一种号码保护功能，大致是下单时系统分配一个虚拟号码，供店家、外卖小哥、用户来联系，订单完成后，虚拟号码失效，这样可以相对有效的保护用户的电话号码隐私。

以WEB2.0的标准看，这样其实已经算是有进步了。但当下流行的WEB3思潮，强调数据要由用户而不是平台控制。

依次类推，如果用户要“全面”的保护隐私，要从用户端出发，和平台方协同，彻底改变数据交互逻辑。

图：筑墙修路，穿越黑暗森林 

 对用户侧，要在APP、网站、浏览器..等所有客户端嵌入多种密码学算法和数据披露策略，不该披露的数据不披露，对要披露的信息用密文证明代替明文，并采用“一次一密”的策略避免关联；随着用户设备计算和存储能力提升，对于一些需要计算的数据，与其将其给到云端计算，也可以从云端下载一个模型，本地计算；对必须给出明文信息的话，打上密码学特征标识和数字签名，尽量做到全程可追溯。这个链路的起点可以参照分布式数字身份DID协议等新技术思路。

其实，目前以及未来的手机、电脑和物联网 *** 作系统和安全区，会嵌入隐私保护的各种能力，超驰（Override）于应用层，对动到用户数据和设备信息的动作，都进行全流程的监控和干预...应用开发从一开始就是“面向隐私”编程了。

而平台方要确保最小收集、明示告知、去标识防歧视性针对；平台端与合作伙伴分享数据时，采用“明文不出库、密文可计算”的联合计算策略；该失效的信息，在合理的时间窗后确保在平台端删除。

如果平台端能基于区块链等分布式多中心治理方案，建立互相共享数据又互相监督的博弈关系，那是更好。

整条链路走完，不止是在技术上要求设备、APP、后台服务进行迭代重构，同时其商业模式、运营治理观念等层面可能也会产生许多变迁。整个链条会非常的长，需要做的工作也非常多，覆盖芯片、硬件、网络、软件、云平台……等广袤的产业链。

写这一段，我已经狠狠地抑制展开技术细节的冲动了，不写讲不清楚，全写出来又妥妥的违背“说人话”的初衷；我觉得感兴趣要深入还是多读专业论文吧，相关的资料汗牛充栋，而且，也并没有哪一个单一技术可以包打天下，整体会是一张非常大的技术拼图。

更重要的是，即使技术再硬核，流程再复杂，最终还是要给用户封装成一键式的 *** 作，用户获得顺畅安全的小确幸即可，不要让用户 *** 心任何概念和技术细节，否则这事儿绝对成不了。

变化可能不会让所有人愉快，尤其对既有业务模式固化、技术投入不足的玩家。

换个角度想想，平台方保护用户隐私，其实某种程度上也是在保护自己，尤其是在目前日益严厉的政策下，所谓“能力越大，责任越大”，平台关联的用户越多数据越丰富，就越不希望在隐私方面出问题。

再则，如果谁率先在技术、体验、商业上拿出用户满意且商家接受的产品，那么，他在新的数字化业态里就能先跑出一步。

五）漫步黑暗森林

DID规范文档里有这么一段风险提示,我觉得挺点睛的："尽管尽了最大努力确保隐私，但实际使用可验证的凭据时，依旧可能会导致取消匿名和隐私丢失"。

在日常使用中，依旧有很多口子导致诸多技术保护成了马其诺防线。比如多次使用同一个密文身份或凭证，或者平台方暗地串谋多维分析，都会暴露可关联的痕迹；居心叵测的人会采用社会工程学，逻辑迂回旁敲侧击，诱导人们交出隐私；甚至于人们本身，都热衷于打探、窥视、传播他人的隐私...人性中的顽劣惯性几乎恒久不变。

复杂博弈中，技术是必要条件但不是充要条件。如果仅仅依赖技术，就会变成猫和老鼠式的无穷无尽的打补丁游戏，对此应有“谨慎乐观”的预期。

而出于公共安全、医疗救援等刚性要求，人们给必要的权威机构交出部分隐私，则不在“泄露”之列。对隐私的“收”和“放”，要保留d性考量。

例牌引入一本书：莱斯格教授的《代码2.0:网络空间中的法律》，我认为这是一本将技术和法律结合的相当好的思考宝典（当然不是法典）。

书中关于隐私的部分，重点阐述数字技术使监控和搜索变得容易，信息的“可解释性“使人人对隐私的价值判断迥异，“侵害”和“保护”双边责任划定模糊，甚至自相矛盾；诚然，DID/P3P等是可用来有效保护隐私的技术，但单靠技术无法解决隐私的问题；书里一再强调需要贯彻“法律，社群规范，市场，体系结构”四要素，让人们控制自己的信息，同时尊重治理规则，以平衡隐私和公共利益的关系。

莱斯格教授论述比较细，提纲挈领，关注风险，字里行间处处是梦破碎的声音（如1996年曾经理想化的“互联网独立宣言”），有助于客观审慎的复盘审视。但是不是全覆盖，是不是没争议，不好说~~这也是人文社科领域的难局之一：一家之言和路线之争(或者利益之争）使许多idea支离破碎、技术方案举步维艰。读书，只是为了启迪和梳理思路吧。

无论如何，由于隐私包含着诱人的信息，出于人性的局限，对隐私的窥探、窃取、滥用多少都会存在。只是期望通过各方努力，每个人都提升隐私意识，青睐保护隐私的产品，使信息泄露越来越可控；同时，大家对侵犯隐私的行为做出果敢的挑战，使侵犯隐私的事情越来越少，在法律法规的支持下，对肇事者做出雷霆一击。

套用大刘在《三体》里的文字，小改一下：网络是一座黑暗森林，到处都是揣着隐私或垂涎隐私的人。他们像幽灵般潜行于林间，轻轻拨开挡路的树枝，竭力不让脚步发出一点儿声音，连呼吸都必须小心翼翼。人们必须小心，因为林中到处都有潜行的猎人....任何暴露的隐私都有可能被滥用，这就是网络黑暗丛林的图景。

有点不寒而栗是么？不要返航，毕竟已经身在此山中，“我有一个梦，也许有一天，灿烂的阳光能照进黑暗森林”（《三体》罗辑）

附：

参考资料

代码2.0 (豆瓣)  书的链接

以下资料请通过权威渠道获取

网络安全法个人信息保护法欧洲GDPR （General Data Protection Regulation）欧洲数据治理条例 (REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCILon European data governance: Data Governance Act)欧盟2021年《电子隐私条例》（E-Privacy Regulation）草案