互联网平台实名制需要改革
号外:今天在「刘教链内参」发表了《内参:微策略CEO:BTC市场占有率或将上升至80%+》,欢迎关注公众号「刘教链内参」并阅读。
与友聊天,聊到刚刚过去的7月11日我军著名指挥控制和人工智能专家冯旸赫上校在晚上打车途中发生严重车祸不幸牺牲的事,虽然网上众说纷纭,无法证明究竟真的是偶然横祸,还是敌对组织渗透谋害,但是我们进一步讨论了一下,我国有大量此类专家和关键人士,作为一个人他们也必然会使用老百姓天天使用的互联网平台,比如XX打车等等,那么,这些背后资本复杂甚至有可能被渗透的互联网平台,却巧借国家对互联网平台实名制的要求,变本加厉地索取用户的隐私信息,包括身份证信息、手机号码、手机定位。这种隐私暴露,让别有用心的人或组织可以轻而易举地通过互联网平台进行大数据检索,定位到特定专家的身份和位置,活动规律,甚至出行计划,从而实施定点清除行动。
有大量网友激愤地表示,为什么不给这些高级专家都配备上专用保障措施。但是仔细想一想,首先安保成本使得我们无法覆盖全部的专家,其次专家也是人,也要有正常的生活,不能单纯为了他们的安全而让他们完全隔绝于社会。出行配备了专车、专门的经过政审的司机,吃饭呢?家里吃饭呢?朋友聚餐呢?只要专家在互联网平台实名暴露,那么就是敌在暗而我在明,防不胜防的。
也许我们会觉得,让互联网平台实名制,然后把互联网平台严加管理起来就好了呀,就像我们管理电信运营商那样。但是,我们要本着实事求是的态度,对不同的事物,要看到其中的区别。承认其中的区别,并调整相应的策略。电信运营商是垄断性国有企业,自然可以严加防范;互联网企业是百花齐放的创新性企业,背后资本组成复杂,业务灵活多样,无法一刀切严管。我们不是没有尝试过建立互联网国家队,事实证明,做不好。安全是基础,创新是发展,不能因噎废食。
互联网公司之间“互通有无”,你前脚在A平台给某个蒸馒头的短视频点了个赞,后脚去B平台就会收到推荐面粉、袋装馒头甚至蒸锅的商品信息。更低劣的平台,甚至会直接倒买倒卖用户信息和资料,美其名曰“大数据变现”。高级一点的,会打着“学术交流”的旗号,把自家平台收集到的数据以合作的名义给其他平台拿去训练所谓的AI模型。如此种种,又岂是监管能够搞得明白、管得过来的呢?
因此,互联网平台实名制需要改革。改革的方向很清晰:严禁互联网平台收集任何用户实名或隐私信息(比如人脸信息等等)。
逻辑十分简单和朴素:避免一个人挪用你的钱的最佳办法就是不要把钱放到他的手上;避免一个平台滥用你的隐私数据的最佳办法就是不允许它收集和保存你的任何隐私数据。
而不是寄希望于人性的自我约束,或者法律的事后追责。纵然法律能够事后追责,可是后果已经造成,斯人已逝,又如何能够挽回呢?
当然,互联网平台,以及很多专家可能会说了,不掌握用户的信息,我们无法避免欺诈呀,我们无法更好地服务用户呀,如此种种,万千理由。这都是诡辩。
我们不过是需要一个对用户可信度的认定。平台根本无需接触用户隐私,只要有一个办法,告诉平台,这个用户是一个良好的中华人民共和国公民,你好好为他服务吧,这就足够了。至于这个用户姓甚名谁哪里住,你平台统统无权知道。
具体的办法就是,由公安部统一管理一套实名系统,互联网平台可以请求该系统,获得用户的一个证明信息。简单一点儿,可以是一个哈希的签名;高级一点儿,可以是零知识证明之类的,这些都是具体技术问题,并不重要,重要的是,要使得平台在不接触用户隐私信息的情况下,知道这个用户是一个正常的用户,不是一个欺诈者。
这样,当我使用任何一个互联网平台,比如拼XX的时候,我并不要让拼XX知道我的手机号甚至身份证号,而是我提前在公安部申请到了一个身份指纹的哈希,然后我在客户端对该指纹进行了加密和签名的操作(为了防止平台窃取到我的指纹,我需要做本地二次加密),提交给拼XX。拼XX收到签名的加密指纹,可以使用验证算法,验证我提交的加密指纹的确经过公安部的认证,于是便知道我是一个合法的公民。允许我的用户名(拼XX给我注册的用户名)登入系统,开始浏览商品,下单购买,等等。
同样的,当我使用XX打车的时候,我用同样的指纹针对XX打车进行了不同的加密,签名后发给平台。平台进行一番验证,允许我登入,为我提供服务。全程XX打车平台不知道我是谁,我的手机号是什么,更不知道我的身份信息。如果我干了坏事,比如打劫了XX司机咋办?平台可以在向警方报案的时候,把我提交的加密指纹一并提交,公安通过后台系统就可以找出来我在公安部系统内的全部实名信息。
由于拼XX平台收到的加密指纹,和XX打车知道的加密指纹,以及X东存储的加密指纹,虽然都是我的加密指纹,但是却各不相同,于是他们之间就不能串通起来,给我提供所谓的“个性化推荐”服务,或者把我在各个平台的行为数据综合起来,进行“大数据分析”,从而通过行为分析对我进行“画像”(profiling),勾勒出我的个人概貌。
阉割掉平台对用户进行画像的能力,就是为了防止XX打车关联拼XX的数据,知道指纹A曾经向冯专家的单位所在地传达室多次收取快递,指纹A又频繁在冯专家的单位和家之间存在打车轨迹,推断出指纹A的背后就是冯专家本人。因此,这一层面的防范也是至关重要的。
至于公安部的这套认证系统,如果用传统的互联网API的方式给如此众多的互联网平台或者企业IT系统提供接口,想必是很难提供地过来,注册、验证、开通接口就是一个十分繁重的工作,访问压力也会非常大;解决方法是,可以考虑采用区块链系统,把验证数据(不含有任何敏感信息)上链,开放给任何企业搭建只读同步节点,全量同步账本数据,在需要验证的时候,直接从本地同步节点账本上读取验证数据进行验证就可以了,大大减轻了公安部中心化系统的访问压力,也消除了注册开通的繁琐工作。
以上,就是对于当今互联网实名制改革的简单构想。无论是从平台监管,还是从国家安全角度,此事势在必行。而这一打破传统隐私模型“将隐私数据交给受信任第三方(平台)”,转而采用新隐私模型“不将隐私数据交给第三方(平台)”的思路,源自于中本聪发表于2008年10月31日的比特币白皮书论文第10小节“隐私”。有兴趣的朋友可以移步翻阅刘教链公众号2022.11.1《比特币白皮书中文版(刘教链译本)》。
教链人微言轻,能力有限,亦距法定提案渠道甚远。位卑未敢忘忧国,先成此文,以资批评,待有志之士继续提案、推动。