【三言两语聊币圈】阅读更多资讯，请登录http://sanyanblockchain.com/，或者关注微信公众号“三言财经”（iguanwang），投稿或者转载请联系三小姐微信号（ygg529480474）三言财经|Jack、Joice

也许从互联网出现的那一刻起，数据防护和数据入侵之间的斗争就注定成为无法摆脱的命运。而区块链技术作为继互联网之后，下一代具有颠覆性的技术革命，为数据安全保护带来了新的希望。

“脸书”门背后，全球数据泄漏状况究竟有多严重？

“我是不是要给你钱，你才能不泄露我的个人信息？”

“从2006年你到国会道歉，为什么你今天还在道歉？”

“Facebook是不是独裁公司？”

“你为什么不禁止剑桥分析使用Facebook？”

... ...

美国东部时间2018年4月10日下午2点15分，在美国参议院商务、科学与交通委员会和参议院司法委员会针对Facebook举办的听证会上，44位国会议员的提问和指责句句扎心，毫无疑问，8700万用户数据泄露丑闻注定了小扎今天要被架在火上翻烤。“一位企业CEO在美国参议院将近一半参议员面前出庭实属罕见，这位CEO所经营的Facebook公司更具特殊性，每个月全球使用人数超过20亿，每天使用人数达到14亿，该用户数量超过除中国外全球任何一个国家的人口总数，是美国人口4倍多，是我的家乡南达科他州人口的1500多倍，45%美国成年居民会从Facebook上获得新闻内容。这就是我们今天来到这里的原因。”

一翻冷嘲热讽之后，美国参议院商务、科学与交通委员会主席John Thune直接指出Facebook 因向第三方剑桥分析公司（Cambridge Analytica）提供数据服务而致使8700万人信息被泄露，以及2016 年美国大选受到俄国势力影响......

来自佛罗里达州民主党参议员Nelson在对扎克伯格提问时也谈到，自己因为在Facebook 上提到了自己喜欢吃的巧克力口味，结果第二天就在Facebook上看到了各种巧克力的广告。

互联网巨头公司们在信息保护方面的缺失已经让很多用户开始不满，政府也开始关注和解决，用户个人信息被侵犯的又何止Facebook一家。2015年3月，美国第二大的医疗保险服务商Anthem宣布，公司信息系统被黑客攻破，近8000万员工和客户资料被盗。

病例失窃最可怕的后果是犯罪分子破坏受害者的医疗记录：试想一下，一个不知自己医保ID号被盗的受害者突发疾病，需要紧急切除胆囊，而病人病历上写的却是胆囊已于去年切除掉了。问题来了，是医生误诊还是有其他的情况呢？如果犯罪分子再对病人的血型和过敏药物加以涂改，就可能危及生命。2018年3月5日，网友“@美国往事1999”在个人微博上发表长文《苹果官方技术顾问非法窃取用户个人信息和资料并敲诈勒索的事件》。据“@美国往事1999”微博称，他在拨打苹果客服热线4006668800 咨询icloud相关事宜时，由于技术顾问态度很敷衍和推脱，便在电话中发生了口角。此后，“技术顾问”入侵他的iCloud，往他的三个邮箱（163、Hotmail、iCloud）各发送一封邮件，并威胁要把他的个人资料和信息分享出去。在投诉没有得到满意回复后，这位网友在微博上公布了与这名“技术顾问”的通话录音及相关截图证据，并最终选择了报警。细心注意你会发现，平时你在浏览网页时弹出的广告真的是深得你心。比如，你微信或者邮件和朋友说，最近在考虑买个车，结果服务方马上给你推送了一个4S店的广告。某个App发现你的地点经常在多个城市之间切换，给你推送机票、酒店信息，你多半不会觉得是什么隐私泄露。有一个关于某电商巨头的经典段子是：一位妈妈投诉，其读中学的女儿经常被推送婴儿用品广告，后来才发现她女儿真的是怀孕了。稍微严重的隐私泄露可能会让你遭遇一些骚扰和烦恼。比如，你的住址、电话、年龄、聊天信息等被他人获取和恶意利用。我们经常会接到莫名奇妙的推销电话就是一个例子。2012年云存储公司Dropbox(NASDAQ:DBX) 发生几千万用户帐号（邮箱）泄露；去年9月份美国三大信用报告公司之一的Equifax Inc(NYSE:EFX)遭到给黑客攻击，近半美国人的姓名、地址、社会安全码和一些驾照号码被泄露，公司市值也一度蒸发掉4成。

最严重的泄露，无疑是用户的帐号、密码直接被盗，一方面会导致用户的隐私信息被非法读取，另外别人可以利用这些帐号密码进一步侵害用户的权益，类似人人网、甚至汇聚程序员的专业网站CSDN都发生过。据美国威瑞森电信公司（Verizon）发布的《2017年数据泄露调查报告》显示，在2017年的全球数据泄漏事件中，24%的数据泄露事件和金融机构有关；其次是医疗保健行业15%。

图片来源：《2017 data breach investigations report》

75%的数据泄露是由于外部人员造成的，25%的数据泄漏则包含内部因素。而在窃取数据方式上，以黑客利用恶意软件或者直接盗取密码为主。

图片来源：《2017 data breach investigations report》

当推销电话和垃圾短信都已习以为常，从外卖订单到快递信息，从正规app到钓鱼网站，你的个人信息分分钟都会被不法分子盯上。

之前网上流传过一个神秘工具，叫做社工库，这里面包含的数据类型除了账号密码外，还包含被攻击网站所属不同行业所带来的附加数据。

比如，酒店类网站泄露的开房数据；订票类网站泄露的火车、飞机票数据；购物类网站泄露的银行卡交易数据；团购类网站泄露的数据……

更加可怕的是，在黑客对数据进行整理后，就能了解一个人的姓名，身份证号，照片，住址，工作单位，每年出差几次，常去哪里旅游，收入水平多高，喜欢买哪些东西，看什么类型的电影，看什么类型的书等等(⊙ω⊙)…

随着信息的越来越多样、越来越具体，慢慢的就会形成一幅基于数据的极为精确的“用户画像”，有人说“它比你妈更了解你”其实一点也不为过。

所以，大数据时代，你以为有个密码或者绑定个邮箱手机号就安全了吗？

Too young, too naïve…也许从互联网出现的那一刻起，数据防护和数据入侵之间的斗争就注定成为无法摆脱的命运。

而区块链技术作为继互联网之后，下一代具有颠覆性的技术革命，似乎为数据安全保护带来了新的希望。

区块链的数据加密保护到底有多强？

我们都知道区块链技术能够实现信息的公开透明，也具有匿名交易的特点，但是匿名交易在保护隐私安全上效果并不好，那么在隐私数据保护方面，区块链技术是如何实现的呢？（1）混币原理(CoinJoin)：混币原理是割裂输入地址和输出地址之间的关系。简单来说，在一个交易中，有很多人参与，交易不再是个人对个人的关系，而是多人对多人的关系，这样具体到每个人，就很难找出与之对应的交易方，输入与输出之间的联系被事实上割裂。多次混币、每次少量币，效果更好。例如达氏币（Dash）。

图片来源：http://tech.163.com/16/1214/09/C884NNBN00097U80.html

（2）环签名：环签名解决了对签名者完全匿名问题。在环签名方案中，环中一个成员利用他的私钥和其他成员的公钥进行混合，但却不需要征得其他成员的允许，最后再由接收者的私钥解密验证，这样一来验证者只知道签名来自这个环，但不知到谁是真正的签名者，也就无法判断交易发起者的公钥是哪一个。例如门罗币。

图片来源：http://tech.163.com/16/1214/09/C884NNBN00097U80.html

（3）同态加密：同态加密是一种无需对加密数据进行提前解密就可以执行计算的方法。也就是说，区块链仍旧是公有区块链。但区块链上的数据将会被加密，从而实现了公有区块链具有私有区块链的隐私效果。

我们举个实际生活中的例子：Alice是一家珠宝店的店主，她想让员工将一块黄金加工成首饰，但又怕员工偷取黄金，于是她制造了一个锁着的手套箱用于放黄金和做好后的首饰，钥匙由她随身携带，通过手套箱，工人可以将手伸进手套来进行加工，这样工人既能够加工首饰，又不肯能偷走黄金，而Alice则能够通过钥匙拿到首饰和剩余的黄金。（4）零知识证明（ZKPs）：ZKP是一种密码学技术，是一种在无需泄露数据本身情况下证明某些数据运算的一种零知识证明，允许两方（证明者和验证者）来证明某个提议是真实的，而且无需泄露除了它是真实的之外的任何信息，例如Zcash和Zcoin。此外，除了运用算法处理信息，还有其他一些隐私数据保护方法，例如：（1）Enigma系统的方式。它先将数据分解成碎片，然后使用数学方法对数据进行组合计算，外界单独从每一碎片获知整个原始数据是不可能的。（2）很多联盟链都允许用户可以设置交易信息对其他企业的可见度，而他的行业合作伙伴无权分享机密信息。

区块链在数据安全中的应用现状如何？

（1）Sovrin：实现安全和私人的自主主权数字身份隶属于非营利性组织Sovrin基金会的多家金融科技公司、软件制造商以及电信提供商等企业正在联手开发一个名为Sovrin的基于区块链的网络。据报道，该网络可以帮助全球范围内所有处于这一网络中的任何实体，他们都会拥有一个在线交换数字凭证，且不必担忧暴露任何私人数据。在线凭证类似于识别人们在实体钱包中存放的个人信息，如驾照、银行卡或公司ID。通过区块链技术，这些验证信息会自动发送给请求者。数字钱包的拥有者可以设置请求企业能够收到哪些信息。

据悉，IBM已宣布加入该网络，以帮助企业、非营利组织以及政府，构建消费者与他们进行交易的基础架构和应用程序。目前，该网络尚处于测试阶段，预计将于今年夏天对外提供该服务。（2）微软携手Tierion：打造基于区块链的数字身份证平台科技巨头微软去年就同初创公司Tierion合作推出基于区块链的数字身份证平台，试图创建一套不可更改的系统，允许用户通过加密数据中心控制对敏感在线信息的访问，以此来保障公共区块链上敏感数据的安全。（3）英特尔联合R3：加强Corda区块链平台的数据隐私和安全性IT巨头英特尔去年在纽约举行的英特尔Xeon可扩展处理器发布会上宣布与R3合作，加强其Corda区块链平台的数据隐私和安全性。

作为解决Corda数据隐私和安全的一部分，该平台只向“需要知道”的人发送数据，这与大多数区块链应用程序不同。这一特点源自金融机构的要求，需要确保贸易和协议的保密性。（4）腾讯携手英特尔：推动构建物联网安全能力去年，腾讯公司和英特尔公司宣布共同开发区块链技术，用于腾讯TUSI安全实验室，以推动物联网应用场景中安全防护能力的建立。

腾讯移动互联网事业群副总裁吴宇表示：“随着物联网技术的飞速发展，越来越多的物联网应用场景落地推广，日常生活中的支付环节也逐渐被各个应用场景的移动支付所替代，物联网时代，人们的生活更加智能便捷，但同时，也面临着个人信息泄露和财产损失等安全威胁。腾讯携手无锡市政府，建立TUSI安全实验室，为用户、IOT设备提供了金融级安全防护能力；同时与Intel在区块链技术领域形成合作意向，使得用户的账号体系得到了硬件级别的安全防护。”（5）ID2020：利用区块链技术让用户直接拥有和控制个人数据在今年1月举行的瑞士达沃斯举行的世界经济论坛上，微软和区块链联盟超级账本（Hyperledger）宣布加入区块链数字身份识别倡议组织——ID2020联盟。此外，援助机构Mercy Corps和联合国国际计算中心也已经加入了该联盟。该联盟正在开发一套解决方案，利用区块链技术实现用户直接拥有和控制其个人数据的权利，通过提供数字身份来改善人们的生活，提升隐私安全。（6）Obsidian：利用区块链保护隐私信息初创公司Obsidian利用区块链保护即时聊天工具和社交媒体上流转的隐私信息。Obsidian使用无法被任何单源控制并审查的区块链分布式网络。此外，通信元数据分散在分布式账本中，无法在某个集中点收集，因此降低了通过数字指纹监控的风险。用户无需连接到电子邮箱或电话号码，从而保护了隐私。（7）X-roads：建设开创性的数据公共基础设施位于东欧的爱沙尼亚共和国基于区块链技术的建设了一种开创性的数据公共基础设施——X-roads，即所有的个人数据都存储在本地，只有经过验证之后才可以查找、分享，而且每一次被查看都有记录可循，个人可以决定哪些数据对哪些人在哪些情况下公开。这种数据的存储是分布式的，数据存储在本地，而不是在一个中央的服务器上或者一个集中的平台上。爱沙尼亚法律规定，未经允许查看别人的记录是违法的行为。X-roads的创立和应用为保护用户隐私、保证数据完整等方面提供了新的思路。目前，X-roads已经应用在立法、投票、教育、司法、医疗、银行和缴税等各个方面。尽管以谷歌、腾讯、京东为代表的科技公司也已结合自身的业务对区块链技术的应用范围进行了尝试和拓展，但是从区块链的进化程度来看，上述应用依然处于一个相对较为初级的阶段，基于区块链进行的部分数据尝试也都是在非常小范围内的试点。

区块链自身的独特性让数据隐私既面临挑战又面临机遇。如果能平衡好隐私保护和交易性能，那么对既有数字平台商业模式来讲无疑是一场革命。

（完）