Nếu bạn là một trong 2.4 tỷ người dùng Facebook, xác suất dữ liệu của bạn bị rò rỉ là khoảng 17%, dựa theo tin tức gần đây về 419 triệu tài khoản bị tiết lộ. Điều này có nghĩa là, trừ khi có gì đó thay đổi, 6 người thì có 1 người có thể mất quyền kiểm soát dữ liệu cá nhân. Một lần nữa, bất kể chính phủ hay công ty quản lý dữ liệu cá nhân hay hệ thống an toàn đến mức nào, rò rỉ dữ liệu cá nhân luôn rình rập. Nhưng những vấn đề cơ bản của tập trung hóa là gì và làm thế nào có thể giải cứu dữ liệu của mình khỏi bọn tội phạm, marketer tham lam và chính phủ tham nhũng?
Rò rỉ là không thể tránh khỏi
Hai tuần qua đã mang đến cho chúng ta những tin tức quan trọng về rò rỉ. Gần đây nhất liên quan đến cơ sở dữ liệu của 419 triệu tài khoản Facebook có thể tải xuống từ internet có hoàn chỉnh các chi tiết như tên, số điện thoại, giới tính và quốc gia cư trú. Cách đây một thời gian, Mastercard đã chính thức đưa tin khoảng 90,000 tài khoản bị lộ cho chính quyền Liên minh châu Âu.
Một lần, khi tôi sống ở Ukraine, tôi đã đến một ngân hàng để xin cấp thẻ tín dụng. Tôi hỏi nhân viên bán hàng tại sao cô ấy không yêu cầu bất kỳ bằng chứng nào để cấp cho tôi giới hạn tín dụng. Cô trả lời rằng họ đã kiểm tra cơ sở dữ liệu của quỹ hưu trí. Bất kỳ mức lương nào đều bị quỹ hưu trí nhà nước đánh thuế ở một mức nhất định, vì vậy bằng cách xem các khoản thuế được trả của tôi, họ có thể tính được thu nhập của tôi. Tôi nghĩ: “Ôi, chúa ơi. Họ thậm chí còn không cố gắng che giấu là họ đang sử dụng cơ sở dữ liệu đánh cắp chứa các dữ liệu cá nhân của mọi người trong nước”.
Do đó, rõ ràng là tính bảo mật của dữ liệu cá nhân không được bất kỳ ai hứa hẹn bảo vệ. Trong một số trường hợp, quyền riêng tư cá nhân sẽ bị bỏ qua, trong khi trong các trường hợp khác, người dùng có thể không bao giờ biết về các vi phạm. Đối với một số người, những vi phạm quyền riêng tư này đe dọa đến hạnh phúc và tự do, chẳng hạn như chính phủ Trung Quốc hack cơ sở hạ tầng iPhone, để bắt giữ người Uyghur sống ở Trung Quốc.
Và đó là nguyên nhân của sự tập trung. Các cụm dữ liệu cá nhân lớn tập trung vào máy chủ của các nhà cung cấp dịch vụ, khiến dữ liệu này dễ bị xâm phạm.
Blockchain có thể giúp gì không?
Chúng ta cần thay đổi cơ bản mọi thứ về cách quản lý dữ liệu cá nhân. Và nó chỉ có thể được thực hiện với sự trợ giúp của blockchain và sự hợp tác của chính phủ.
Trong vài năm qua, ICO đã phá vỡ ngành công nghiệp ID kỹ thuật số. Tôi không muốn đề cập đến bất kỳ dự án nào trong số này. Có thể một số người trong số họ có ý định chân thành, nhưng họ dường như còn non trẻ trong việc giải quyết các vấn đề ở cấp độ toàn cầu và quốc gia.
Hai thuật ngữ mới liên quan đến những thay đổi trong quản lý dữ liệu cá nhân là DID, viết tắt của “decentralized digital identifiers” (các định danh kỹ thuật số phi tập trung) và “verifiable credentials” (các thông tin xác thực) (một bước để trở thành tiêu chuẩn). Các tiêu chuẩn mới cho nhận dạng kỹ thuật số có chủ quyền đang được Digital Identity Foundation (Quỹ Nhận dạng kỹ thuật số – DIF) và World Wide Web Consortium (Hiệp hội mạng toàn cầu – W3C) đặt ra. Cộng đồng W3C đã phác thảo một tập hợp các khái niệm, tiêu chuẩn và phương pháp chung nhằm viết một trang mới trong công nghệ thông tin và truyền thông.
Các phương pháp tuân thủ DID đã được phát triển gần đây như một prototype có thể chưa được biết đến ngay cả với một số người đam mê DID. Khái niệm này như sau: Người dùng lưu trữ dữ liệu cá nhân cục bộ trên thiết bị của họ, do đó mâu thuẫn với mô hình hiện tại của các cơ quan đăng ký dựa trên đám mây do nhà nước quản lý có quyền truy cập hạn chế một phần. Người dùng không cần tiết lộ tất cả dữ liệu, mà chỉ một phần và chỉ khi nó được chứng thực. Xác thực được thực hiện bằng cách sử dụng cây Merkle và các gốc được ký điện tử, lưu trữ trên blockchain. Các nhà cung cấp dịch vụ (dịch vụ web, chính phủ,…) không lưu trữ dữ liệu cá nhân nhưng có thể xác minh danh tính kỹ thuật số của bạn bất cứ lúc nào khi tương tác với bạn. Khái niệm do Mykhailo Tiutin của Vareger tạo ra như sau. Đầu tiên, dữ liệu có thể và phải được lưu trữ trên thiết bị của người dùng thay vì trên máy chủ của bên thứ ba. Trong nhiều trường hợp, dữ liệu thậm chí không được rời khỏi thiết bị người dùng hoặc được tiết lộ – nhưng khi được tiết lộ, đại lý chỉ nhận được một phần dữ liệu cá nhân cần thiết cho tương tác được đề cập.
Ví dụ, bạn bước vào một cửa hàng rượu. Cả bạn và nhân viên thu ngân đều có thiết bị di động với dịch vụ xác minh danh tính được cài đặt sẵn. Luật pháp Hoa Kỳ nghiêm cấm bán rượu cho người dưới 21 tuổi. Về mặt kỹ thuật, nhân viên thu ngân không cần biết tên, số an sinh xã hội hoặc thậm chí là sinh nhật của bạn – chỉ là bạn đã trên 21 tuổi theo pháp luật hay chưa? Đối với một kỹ sư thiết kế hệ thống này, câu hỏi “Bạn có trên 21 tuổi không?” là biến Boolean với 0 = không, 1 = có.
Để thiết kế hệ thống này, người ta cần một vài thứ: cây Merkle, trong đó các lá là hash dữ liệu cá nhân (tên, ngày sinh, địa chỉ, ảnh, …) và gốc là một chuỗi mật mã được nhà cung cấp dịch vụ ủy thác (TSP) ký.
TSP có thể là chính phủ (ví dụ: Bộ Nội vụ), ngân hàng hoặc bạn bè – tức là, người mà các bên cùng tin tưởng. Gốc và chữ ký, cũng như ID kỹ thuật số của TSP được lưu trữ trên blockchain.
Diễn biến tại cửa hàng diễn ra như sau: Bạn lấy điện thoại thông minh ra, mở ứng dụng xác minh danh tính và chọn dữ liệu nào bạn muốn tiết lộ cho thiết bị thu ngân. Trong trường hợp này: gốc, chữ ký số của nhà cung cấp, hình ảnh của bạn và Boolean “trên 21” được tiết lộ. Không tên, không địa chỉ, không SSN. Nhân viên thu ngân sẽ thấy kết quả xác minh trên thiết bị của cô ấy. Thiết bị sẽ hiển thị ảnh được gửi từ thiết bị của khách hàng và sẽ kiểm tra xem ảnh có được TSP xác minh không. Nhưng vì bạn có thể đã sử dụng điện thoại thông minh của người khác nên nhân viên thu ngân sẽ kiểm tra xem hình ảnh trên màn hình có khớp với khuôn mặt của người mua không. Không có dữ liệu gì khác ngoại trừ thư mục gốc và chữ ký được lưu trữ trên blockchain – mọi thứ vẫn còn trên điện thoại thông minh của bạn. Tất nhiên, người bán có thể cố gắng lưu hình ảnh của bạn trên thiết bị của họ, nhưng chúng tôi sẽ trao đổi về điều đó sau.
Ưu điểm của sơ đồ này là có thể có nhiều gốc với các TSP riêng biệt. Ví dụ: bạn có thể có một gốc để chứng minh giáo dục, mà tổ chức giáo dục của bạn sẽ là nhà cung cấp xác nhận quá trình học và tốt nghiệp của bạn. Cũng có thể có nhiều nhà cung cấp tin cậy cho cùng một dữ liệu. Chẳng hạn, với tư cách cá nhân, bạn có thể xác minh một danh tính ở 3 quốc gia khác nhau, nhưng việc quản lý nhiều ID kỹ thuật số đã trở thành một cơn ác mộng – bạn cần nhớ hàng tá mật khẩu và phương thức ủy quyền – nhưng với DID, bạn có thể có một ID chung.
Bạn cũng có thể tạo một bút danh trên phương tiện truyền thông xã hội, diễn đàn và cửa hàng trực tuyến. Ở đó, bạn có thể là một “kitty” hay chỉ là một ID không tên, nếu bạn muốn. Các bút danh có thể được liên kết thông qua các giao thức không kiến thức với chữ ký của TSP, có nghĩa là có bằng chứng kỹ thuật số rằng danh tính của bạn được xác minh, nhưng nó bị ẩn khỏi dịch vụ web.
Có nhiều cách và kế hoạch về cách bảo vệ danh tính, nhưng ý tưởng cốt lõi là tất cả dữ liệu phải nằm trong tầm kiểm soát của bạn – trong hầu hết các trường hợp, bạn không nên tiết lộ dữ liệu của mình (bằng các giao thức bằng chứng không kiến thức) và trong một số trường hợp, bạn chỉ cần tiết lộ một phần.
Họ sẽ lưu trữ dữ liệu của bạn?
W3C và những người đam mê đã làm việc trên các khái niệm DID cũng như verifiable credentials trong vài năm nay, nhưng thật không may, chúng tôi chưa thấy bất kỳ việc chấp nhận hàng loạt nào và nguyên nhân chủ yếu là từ phía chính phủ.
Có hai yêu cầu chính để điều này trở thành hiện thực:
1. Chính phủ ngừng tập trung dữ liệu cá nhân.
Như đã đề cập ở trên, không ai – kể cả chính phủ – sẽ đảm bảo an toàn cho dữ liệu của bạn. Một ngày nào đó, nó sẽ bị phơi bày và bạn nên nghĩ mình may mắn nếu sự rò rỉ đó không làm mất tiền của bạn hoặc đe dọa cuộc sống của bạn.
Do đó, trước hết, các chính phủ phải ngừng lưu trữ dữ liệu cá nhân. Thực tế này là cách duy nhất để đảm bảo dữ liệu cá nhân an toàn. Tuyên bố này có thể gây khó chịu cho những người suy nghĩ về “pro-state”, nhưng phương pháp DID và verifiable credentials đảm bảo KYC, mà không để lộ dữ liệu cá nhân. Không cần chính phủ thu thập dữ liệu cá nhân trừ khi có ý định xấu.
ID kỹ thuật số là cần thiết cho một số hoạt động ở cấp liên bang: đăng ký công ty, khai thuế, bỏ phiếu,… Tại những thời điểm này, ID phải được xác minh với mức độ chắc chắn chấp nhận được, do blockchain và cơ sở hạ tầng của nhà cung cấp dịch vụ ủy thác cung cấp.
2. Các quy định bảo mật mới áp đặt các tiêu chuẩn cao như vậy đối với việc lưu trữ dữ liệu cá nhân và tiền phạt bên thứ ba sẽ khiến việc lưu trữ sẽ trở nên không khả thi về mặt kinh tế.
“PPDR” (Quy định bảo vệ dữ liệu cá nhân) trở thành bước thứ 2 sau Quy định bảo vệ dữ liệu chung (GDPR) trong đó P nghĩa là “cá nhân”. Trong khi Hoa Kỳ và các quốc gia khác đang phục hồi từ GDPR, khái niệm PPDR đang được thảo luận ở EU.
Một yếu tố chính trong điều này là các chính trị gia phải có can đảm để áp dụng các quy tắc nghiêm ngặt nhất và các khoản tiền phạt cao nhất có thể.
Và chỉ có một mục đích cho việc này: Bất cứ khi nào công ty, ngân hàng hoặc công chức tự hỏi liệu có nên lưu trữ dữ liệu cá nhân của ai đó hay không thì họ cần suy nghĩ rất kỹ về việc họ có đủ lý do hay không? Bởi vì chúng tôi biết rằng bất cứ khi nào dữ liệu cá nhân được tập trung, nó chắc chắn sẽ bị tiết lộ vào một ngày nào đó.
Thay vào đó, dữ liệu được lưu trữ trên thiết bị của người dùng sẽ tạo ra nhiều rào cản hơn. Việc đánh cắp 500 triệu tài khoản từ một thiết bị sẽ dễ dàng hơn so với 500 triệu thiết bị độc lập.
Mọi người nên có quyền kiểm soát khả năng công khai dữ liệu cá nhân của họ và tự quyết định những gì họ muốn chia sẻ. Do đó, các quy định và công nghệ mới cần được áp dụng để ngăn chặn việc thực hành lưu trữ dữ liệu cá nhân tập trung. Nếu không, hãy thư giãn và làm quen với việc đánh mất chính mình vào một thời điểm nào đó.
- Waves được xếp hạng No. 1 về số lượng cam kết trong phát triển Blockchain, Ethereum và Cardano theo sau
- Ví Blockchain là gì? Hướng dẫn đăng ký và sử dụng ví Blockchain
Thùy Trang
Tạp chí Bitcoin | Cointelegraph
