龙 凯 五维引力（上海）数据服务有限公司首席执行官

高瑞鑫 五维引力（上海）数据服务有限公司战略总监

1 引言

在研究界和实业界看来，区块链仍被认为是一种未来技术。之所以称为“未来”，主要源于直观可触摸的应用落地仍较为稀少。从技术演进史来看，将技术特征建构在社会需求之上，选取低成本、最妥帖的场景作为突破口，实现以新技术嵌入促成应用落地，是务实推动区块链技术发展的最佳路径。

数据是当前互联网经济和未来人工智能经济的共同物质基础。数据行业具有区块链应用的天然场景，也是区块链技术嵌入的优先方向。区块链的去中心化、不可篡改可为数据行业参与方更透明地建立、传递、转移数据价值提供新的驱动力，而安全合规场景则被业内寄望成区块链应用落地的直接突破口。

2 个人信息滥用是数据治理的直观痛点

个人信息保护已成为整个社会的关注焦点。因数据收集、泄露、滥用所滋生的网络诈骗、敲诈勒索等严重损害公民权益，造成巨大社会危害。目前，个人信息作为一种数据流动要素呈现出以下特点：

（1）类型多样、深入。个人信息涉及身份、账号、社会关系、时间地点、言行内容、兴趣爱好等多维。

（2）主体多元、便捷。个人信息相关方涵盖政府、金融机构、电信运营商、大数据公司等多方。

（3）客体无辜、无助。个人信息泄露或被侵犯发生于未见面、未接触甚至未觉察到异常情况下。

（4）手段智能、隐蔽。个人信息泄露或被侵犯利用新技术，几乎可以不留痕迹或直接删除证据。

（5）后果复杂、难测。个人信息泄露或被侵犯所造成的后果不可预测、难以评估、无法恢复。

碎片化的个人信息滥用呼唤强有力的数据治理。世界各国已陆续发布了个人信息保护相关法律法规（见表1），广义互联网世界的数据安全要求将逐步提高。随着我国《网络安全法》等法律法规发布实施，数据安全和个人信息保护进入新阶段，数据行业传统业务模式面临严峻挑战，承受强力监管。强监管下，不少企业因缺乏明晰的个人信息保护机制，安全合规风险集聚，因而被迫实施业务收缩或产品转型。如果该问题始终得不到解决，我国大数据产业必然经受短期阵痛与长期颠簸的双重隐忧。

3 安全合规成为区块链应用的突进方向

安全合规是数据行业的发展基石。随着产品封装和商业模式快速演进，侵犯个人信息的表现形式也随即变化，数据经济、数据驱动、数据安全相互交联，构成了当前大数据交织发展的基本图景。数据安全合规诉求，客观上要求系统性地强化安全管理、杜绝信息泄露，但传统技术手段无法从机理上有效匹配，从根本上解决问题。

个人信息滥用除了源于巨大利益驱动，还源于缺乏有效手段。个人信息是指以电子或者其他方式记录的，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、出生日期、身份证件号码、个人生物识别信息、住址及电话号码、账号密码、财产状况、行踪轨迹等。个人信息保护的难点，在于信息在整个收集、使用过程中的不确定性所导致的权利与责任的不对称，单纯以最后环节的违法事实为治理依据，面临着效率上的挑战。大数据+区块链的技术嵌入效用体现在：

（1）对于大数据，区块链能够为数据如何授权、如何追溯、如何获益提供良性方案，实现紧扣个人信息保护的数据安全合规创新应用，解决瓶颈痛点。

表1 各国个人信息保护法律法规

（2）对于区块链，大数据可以直接发挥区块链在防止授权篡改、阻断数据转接、实施风险隔离、提供合规查验等方面的特性，验证技术优异性。

4 个人信息保护区块链应用的基本思路

一种理想化的个人信息管理应具备永久性、便携性、可随时访问、私密性等特征，用户拥有设置个人数据使用与浏览权限。区块链技术可让用户个人信息与个人数字身份证相关联，从而选择匿名、化名或公开，随时随地从任何设备上访问。区块链技术也可促进个人数据掌控权发生变革，从互联网公司最终转移到用户自己手中成为可能。个人信息保护区块链应用包括以下几种思路：

（1）创建新的基于区块链的身份证书。类似于使用一个账户，需要创建一个新的基于区块链的身份证书，由用户控制的身份信息，用户能基于不同情况授予或废除对其信息的访问权。

（2）保存置于区块链的身份认证信息。意味着验证预先存在的证书，然后将该信息与区块链上的合法所有者绑定，有效地为传统的身份识别方法创建一个去中心化的数据库。

（3）建立基于区块链的数据价值网络。基于区块链身份，聚焦用户控制和隐私管理，提供改变用户与网络交互方式的安全方案，所有用户授权行为及附属信息写入区块链。

5 区块链解决个人信息保护的用户授权

用户授权和系统管控是构成数据安全闭环的两个支点。用户授权是数据流动脉络的最前端和最重要的合规环节，而针对用户授权，区块链技术具有独特优势。数据行业现实应用，需要通过“用户授权”这一环节解决用户（个人-C）、数据使用方（企业-B）、数据提供方（数据源-D）、监管方（政府-G）的轻量连接和贯穿授权问题，一种针对需求的区块链技术嵌入用户授权机制是：

（1）C向B（连带D）充分授权，区块链写入C的授权行为及附属信息。

（2）B向D提出使用C的个人信息请求，D查核C-B（D）授权有效性。

（3）D向B提供C的个人信息反馈。

（4）C、B、D、G任何一方需要查询、验证或监督授权记录时，均可提供验证。

具体地，SDK提供授权接口，APP将用户授权行为通过SDK授权接口发送给授权SVR，获得授权Key的返回；APP在向数据源数据服务SVR调用用户数据时，需要同时传递授权Key；数据服务SVR通过请求授权SVR来验证授权Key的准确性；授权SVR同时将用户授权调用写入到区块链上（见图1）。

个人信息保护用户授权环节进行区块链技术嵌入，可支持用户授权自定义，原则上可实现互联网领域的全平台支持和区块链领域的全公链支持。利用区块链技术特征实现精细场景的效果呈现，授权行为不可篡改，达到合规风险责任隔离，防止个人信息滥用，从而支撑每一次请求都在授权、每一次授权都被记录、每一版条款都可调阅的公信化、实用化目标。

6 区块链嵌入个人信息保护的预期挑战

在个人信息保护场景中，区块链作为带有加密、信任、点对点、难篡改等特征的一个嵌入式“中间件”，可以实质解决个人信息保护难题。同时，与任何新技术的出现一样，区块链应用也面临挑战。

图1 基于区块链的数据授权模式图

（1）权力天平转移阻力。政府和官方组织可能不愿意接受这种区块链方案，因为区块链的采用，可能会使管理部门和企业失去身份管理权力，将权力的天平向用户转移。

（2）技术转换成本阻力。目前，用户已习惯地集中化互联网平台，在成本和体验上仍优于区块链方案，而且用户对于自身隐私的关注度还不够，可能不愿承担平台转换成本。

（3）信任体系变换阻力。用区块链管理个人信息，只有当第三方不再被信任时才能获得直接推力。如果可信的第三方仍可以胜任管理，用户可能乐于为获得一些权益而损失部分控制权。

虽然面临多元阻力，面向细微场景的区块链技术嵌入仍是其应用落地的最有效途径。针对数据安全痛点，个人信息保护场景有望率先突破方向，为区块链在大数据行业更为广泛的技术渗入创造先决条件。