在上一篇我談到了身份演進的過程,而走到身份自主的願景下,我們要怎麼定義所謂的「身份自主權」?
身分自主權的認定
儘管如此,究竟什麼是自我主權身份呢?事實是沒有共識。
本篇文章旨在這個話題展開對話。
身份自主權是超越以用戶為中心的身份的下一步,這意味著:用戶必須是身份管理的中心。
這不僅需要用戶同意在多個位置的用戶身份的互通性,還需要用戶對該數位身份的真實控制,從而創立用戶自主權。
要做到這一點,身分自主權必須是可移動的,它不能被鎖定到一個網站或區域設置。
身分自主權還必須允許普通用戶提出聲明,其中可能包括個人識別有關個人能力或集團成員資格的訊息或事實。它甚至可以包含被佔有的用戶的訊息。
在創立身分自主權時,我們必須小心保護個人。一個身份自主權的必須能防禦金融和其他損失,防止強權實體或個體侵犯人權,並支持個人的權利是自己和應獲得的。
然而,身份自主權還遠不止這個簡短的總結。任何身分自主權都必須符合一系列指導原則,而這些原則實際上為身份自主權提供了更好,更全面的定義。
他們的建議如下:
10個身分自主主義認同的原則
許多不同的人寫了關於身份的原則。金卡梅隆(Kim Cameron)寫了最早的「身份法則」之一,而上述的尊重網絡政策和W3C可驗證的聲明特別工作組常見問題解答提供了關於數位身份的其他觀點。我們將利用這些想法來創立一組特定於身份自主權的原則。
與定義本身一樣,將這些原則視為出發點,以引發關於什麼是真正重要的討論。
這些原則試圖確保以身份自主權為核心的用戶控制。然而,他們也認識到身份可以是一把雙面刃,可用於善意和惡意目的。因此,身份系統必須平衡公共事務的透明度、公平性和支持與個人保護之間的平衡。
1.存在
用戶必須是獨立的存在。任何身分自主權最終都基於身份核心不可言喻的「我」。它不可能完全以數位形式存在。這必須是堅持和支持自我的核心。
身份自主權讓已存在的「我」在公開並且可以存取的方面稍微受限。
2.控制
用戶必須控制他們的身份。根據理解和安全演算法,確保身份及其聲明的持續有效性,用戶是其身份的最終權威。
他們應該始終能夠參考它,更新它甚至隱藏它。他們必須能夠根據自己的喜好選擇名人或隱私。這並不意味著用戶可以控制他們身份的所有聲明:其他用戶可以對用戶提出聲明,但他們不應該是身份本身的核心。
3.訪問
用戶必須有權訪問他們自己的數據。用戶必須始終能夠輕鬆地檢索其身份中的所有聲明和其他數據。必須沒有隱藏的數據,也沒有守門人。
這並不意味著用戶可以修改與其身份相關的所有聲明,但這確實意味著他們應該了解他們的身份。這也不意味著用戶能隨意地存取他人的數據,只能存取自己的數據。
4.透明度
系統和演算法必須透明。用於管理和操作身份網絡的系統必須是開放的,無論它們的功能如何,以及如何管理和更新。
演算法應該是免費的、開源的、眾所周知的,並且盡可能獨立於任何特定的架構,任何人都應該能夠檢查他們的運作方式。
5.堅持
身份必須是長壽的。理想狀態下,身份應該永遠持續,或者至少持續到用戶希望的時間。儘管可能需要旋轉私鑰,並且可能需要更改數據,但身份仍然存在。在互聯網這個快速發展的世界中,這個目標可能並不完全合理,因此至少身份認證應該持續到新的身份系統過時。
這不能與「被遺忘的權利」相抵觸,用戶應該能夠處置身份,如果他願意並且聲稱應該隨著時間的推移而適當修改或刪除。
要做到這一點,就需要將身份與其聲明進行明確分離:
他們不能永遠束縛在一起。
6.可移動性
關於身份的訊息和服務必須是可移動的。
身份不能由單一的第三方實體持有,即使它是一個值得信賴的實體,而且會為了用戶的最佳利益而運作。問題是實體可能會消失,而且在互聯網上,大多數情況下最終會消失。
政權可能會改變,用戶可能會遷往不同的司法管轄區。可移動身份確保用戶無論如何都能夠控制自己的身份,並且還可以隨著時間的推移提高身份的持久性。
7.互通性
身份應盡可能廣泛使用。如果他們只在有限的領域工作,身份就沒有多大價值。 21世紀的數位身份系統的目標是使身份訊息廣泛可用,跨越國際邊界創立全球身份,而不會失去用戶的控制權。
由於持久性和自主性,這些廣泛使用的身份可以持續獲得。
8.同意
用戶必須同意使用他們的身份。任何身份系統都是圍繞共享該身份及其聲明而建立的,而互通性系統會增加發生的共享量。
但是,數據共享只能在用戶同意的情況下進行。儘管雇主、信用機構或朋友等其他用戶可能會提出聲明,但用戶仍必須提供同意才能生效。請注意,此許可可能不具有互通性,但仍必須慎重且易於理解。
9.最小化
接露的聲明必須盡量減少。當披露數據時,披露應該包括完成手頭任務所需的最少數量的數據。
例如,如果只要求最低年齡,則不應公開具體年齡,如果只要求年齡,則不應披露更精確的出生日期。
這一原則可以通過選擇性披露,範圍證明和其他零知識技術得到支持,但不可相容性仍然是一項非常困難(也許是不可能的)任務,我們所能做的最好的就是盡可能使用最小化來支持隱私。
10.保護。
用戶的權利必須得到保護。當身份網絡的需求與個人用戶的權利之間存在衝突時,網絡應該維護個人對網絡需求的自由和權利。
為了確保這一點,身份驗證必須通過獨立的演算法進行,這些算法具有審查制度和強制恢復能力,並且是以分散的方式運行的。
結論
數位身份的概念已經發展了幾十年,從中心化身份到聯合身份,以用戶為中心的身份到身份自主權。然而,即使在今天,究竟什麼是身分自主權,以及它應該承認什麼規則,都還有待探討,。
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
