焦点播报:分布式“数字身份”保障用户隐私

□徐涛 陈洁

当前，互联网发展正处在由Web2.0向Web3.0演进的重要时点，而科技的多样性变革应用于金融业数字化转型，正在加速重构全球经济版图。Web3.0概念下的分布式“数字身份”技术通过将分布式账本技术与身份治理融合，提供了数据流转的新范式。

(资料图)

传统“数字身份”在金融业应用痛点

长久以来，金融机构“数字身份”的诉求是寻求安全、互认互通和隐私保护的身份管理模式。伴随金融业务在数字化转型进程中的不断深化，金融业对“数字身份”的使用需求加剧，但现有的单一应用账户或联盟身份等传统“数字身份”存在诸多应用痛点。

首先，身份数据存在安全隐患。身份数据隐私与安全保护，是发挥“数字身份”价值的重要前提。传统“数字身份”下数据不归用户自身管理，用户身份信息存储在不同的机构，但不同机构对于数据安全保护的能力存在差异，用户身份信息容易被泄露。

其次，重复认证导致资源浪费。在不同的金融场景下，不同的系统中的用户需要进行不同的身份认证。独立的身份认证费时费力，流程繁琐，用户体验不佳。从社会角度而言，也存在资源浪费的问题，各个系统都需要为用户的身份认证付出一定的人力物力成本，无法实现用户身份信息的综合利用，影响了效率最大化。

最后，身份数据的权属界定不明确。数据权属的法律、技术方面的发展尚未成熟，在无法清晰界定数据的所有权与控制权的情况下，用户无法完全控制自身身份数据的流向与使用。另一方面，身份数据的权限界定的阻碍也使得其价值无法充分体现，当前，对于身份信息的应用大多停留在金融机构内部，尚未形成跨机构、跨行业的应用。

分布式“数字身份”与金融

Web3.0浪潮袭来，催生一系列新兴技术的变革，在“数字身份”领域，面对传统“数字身份”信息易泄露、互认互通门槛高等痛点，分布式“数字身份”应运而生。

分布式“数字身份”作为一种新的身份认证模式，将分布式账本、隐私计算等技术融入身份治理当中，实现了数据使用权和所有权的分离，具有安全性、可控性和可移植性三大特征。

通过分布式“数字身份”，用户拥有对自己身份信息的自主管理权，实现了数据流转的新范式。在赋能数据流通的同时，保护了用户身份信息和隐私安全，让用户“数字身份”的隐私保护问题得到妥善解决。

基于金融业的场景，从金融机构的监管需求与客户自主“数字身份”需求角度出发，笔者通过流程框架阐述如何利用分布式“数字身份”技术解决传统“数字身份”管理难题。

该流程框架主要分为用户侧、机构侧、应用侧和监管侧四部分，核心围绕联盟链的形式进行跨机构的“数字身份”信息核验与认证。用户侧是供用户管理自己的身份，机构侧是政府机构对用户“数字身份”的授权和颁发凭证，应用侧是用户与实际业务场景的结合使用，监管侧是以监管机构为中心的对客户身份和信息的集中管理（如图）。

六大原则

在具体的落地实践中，金融业“数字身份”互联新生态的建设，不仅依托于对分布式“数字身份”的持续探索，而且需要以下六大原则为依据进行方案设计：

原则一：提高金融效率。基于分布式“数字身份”，“数字身份”的安全、隐私、互用等是方案的基础，如何提升金融行业运行效率是首要原则。

原则二：保证数据合规。通过让用户拥有对自己身份数字信息的自主管理权，金融机构或应用场景使用用户的“数字身份”数据需要用户授权，从而保证数据的合规使用。

原则三：明确数据权属。通过分布式“数字身份”，能够让用户自主控制和管理其“数字身份”，将用户数字所有权归还用户。

原则四：促进数据流通。用户在授权情况下主动发起数据共享，对于促成数据互认互通，实现跨机构的数据安全流通具有重要意义。

原则五：保障用户隐私。用户自身管理身份数据，不依赖于特定机构，保证数据信息不会泄露。

原则六：优化用户体验。分布式“数字身份”下，用户在不同的金融场景下不再需要进行重复的身份认证，有效提高优化用户体验。

Web3.0下分布式“数字身份”作为一种新型“数字身份”解决方案，相信将会迎来新一轮发展高潮。为促成分布式“数字身份”的全面落地，需要多方主体联动：监管机构健全分布式“数字身份”技术的相关法律法规建设，引导行业健康有序地发展；金融机构积极构建分布式“数字身份”信息统一核验平台，推动建立可信、可流转、便捷高效的数据授权机制；金融科技服务商则要加大科技赋能数字金融领域力度，积极推动分布式“数字身份”技术在金融基础设施建设中的应用。

（徐涛系浙江省易得融信软件有限公司总经理；陈洁系神州信息新动力金融科技研究院副院长）

关键词： 金融机构 用户体验