GDPR让数据保护进入正题 公链PK联盟链谁更胜一筹？

　　? 身份验证/授权(27.8%)：对用户进行身份验证或针对特定阈值授权的解决方案; ? 监控(23%)：解决欺诈或提供欺诈预防，满足某些AML / KYC合规性阈值和任务; ? 数字身份(21.4%)：从数字世界开始构建的下一代数字身份解决方案;

　　对于数字身份与隐私保护，最需解决的问题包含：一是身份验证，保护用户，如何在不透露个人隐私数据的前提下完成验证?二是监控，保护商家，如何在获取尽可能少的信息的情况下，确保用户没有欺诈，建立白名单?三是数字身份，如何在数字世界里重新构建新一代数字身份?

　　总体来看，主要有两种解决思路：一种是创建基于区块链的身份证书，另一种是将已有的身份认证信息置于区块链之上。公有链通常基于前者，而联盟链通常基于后者。

　　公有链和联盟链存在不同的模式

　　公有链实际上是一个C2C的连接器，用户的数据就是他自己的，他只需要证明“我是我”，而不需要证明“我是谁”，用户可以选择数字身份证是匿名、化名或公开，还可以随时随地从任何设备访问区块链应用平台，控制他们的互联网个人数据。

　　比如，uPort，是一个基于以太坊的区块链身份验证的项目，它解决了大量的公有链可用性问题，如私钥管理，通过可以整合进其他项目中的基于区块链身份协议，打造永久的身份信息，如果手机丢失了，可以通过身份复原找回身份信息。

　　比如，Civic允许用户通过区块链共享和管理他们的身份验证数据，并在没有用户名和密码的情况下提供多因素身份验证。

　　再比如，SelfKey项目旨在将个人的身份认认证需求，如出生证、护照、驾驶执照等，汇集在一个统一系统中，形成一种存在于SelfKey上完全由用户而不是任何第三方政府或公司实体控制的身份认证。

　　以Civic、uPort、SelfKey、Evernym、IDHub为代表去中心化身份系统，增强了数据的自由流动与信用价值的传递，同时更实现了数据确权，让用户拿回了属于自己的数据。

　　但是，公有链的解决方案存在两个问题，一是如何配合监管，虽然它能做到在C2C的场景下构建信任，但却绕过了第三方的监管。二是如何帮助企业利用原有数据?目前的商业模式之下，企业间对于用户的身份验证来源于公安系统和银行系统，它们真的愿意摈弃这些已有的数据资源吗?在这一考量下，就产生了联盟链的授信模式。

　　联盟链是B2B2C或者B2G2C这样的模式，用户可以不告诉商家“我是谁”，但却必须证明“我是你要pick的人”，且万一出现风险事件时，商家要确保他们能够通过可信第三方知道“我是谁”。也就是说，用户声明自己是谁，或者具备某种值得信任的属性，但平台并无权力做出认证，认证是由具备权力的其他参与方完成(如公安部门，或者不同服务的提供者)，并返回认证结果。用户不直接面向区块链，而是通过可信商业机构，以及政府部门进行代理接入区块链。

　　比如，2014年爱沙尼亚宣布向全世界所有人开放“电子公民”(e-Residency)身份证服务，这也是全世界首例电子公民项目。

　　比如，韩国友利银行成为韩国首家推出基于区块链技术的身份验证平台“BankSign”PC版的商业银行。BankSign是一种分布式存储方法，通过将个人密钥存储在智能手机的安全区域，可以防止对认证证书的伪造以及劫持和盗窃。

　　再比如，微软联合ID2020联盟进一步开发安全数字认证系统，帮助没有身份的难民确定身份，在一个分布式账本上注册身份。

　　诚然，对于数据身份确权和隐私保护的道路还有很长的路要走，但GDPR的实施已经给互联网公司敲响了警钟。区块链能否带来隐私保护的终极方案?去中心化的基于区块链身份证书的公有链模式，和将原有中心已有身份认证信息置于区块链之上的联盟链模式，在隐私和信任，安全与效率的天平中谁更胜一筹?让我们静观其变。