從日本新創 ONE FINANCIAL談起:萬物聯網時代,區塊鏈如何讓資料的掌控權回歸使用者?

一款由日本 17 歲天才高中生山內奏人所開發的 App 「ONE」,吸引消費者主動出售購物收據及清單, 引起日本民眾爭相下載並且由於反應太過熱烈而暫停服務,以重新確定商業模式後再出發。該平台 的核心概念,成功地將消費者的隱藏資訊和價值的非對稱性,轉化為消費者自主性的販售行為,並 且在行銷包裝上擺脫了個資侵犯的疑慮,這對於以區塊鏈技術所搭建的數位資產及資料交易中心服 務,不啻為一個值得研究的個案探討與市場趨勢。 如今個資保護的意識抬頭,使用者常常不自覺地默認社交媒體廣告提供商連結自身的瀏覽內容記錄, 然而在號稱史上最嚴格的個資保護法規GDPR於2018五月正式上路後,任何軟體平台服務都必須更謹小慎微的檢驗自身取用的消費者資訊以及重新思考其商業應用模式。

基於區塊的使用者資料交易及處理平台與對應的生態圈。圖片來源:One Financial 官網

你所認知的個資真的是 GDPR 所定義的個資 – 區塊鏈的因應之道

GDPR規範服務提供商必須確保用戶對資料的存取權(Right to Access)、被遺忘權(Right to Be Forgotten)及遷移權(Right to Data Portability),因此,當一個服務要使用消費者資料時,必須清 楚說明資料將用於何處、如何被使用,且有義務進行資料保護,並允許用戶完全刪除資料或停止使 用該資料,甚至決定是否授權資料共享。 這三大賦予使用者的權利在表面上看來都與區塊鏈的技術有某程度的隔閡與抵觸,但表面不足以為 論,仔細深究GDPR對個人資料的定義:只要資料具備個人可識別資訊(Personally Identifiable Information, PII)或可被辨識為自然人的條件,就符合GDPR保護傘下規範的個資。

因此個人相關資 料如姓名、地址、電子郵件等固不待言,個人所屬電子設備的Cookie ID、MAC位址等甚或與個人身 份有關聯的假名資料(Pseudonymous Data)亦屬於保護個資。以前述的App 「One」為例,使用者 的消費發票只要連結上使用者傳送設備的IP及地理資訊,也有可能關聯成為PII資料,但該服務卻 成功而透明的讓使用者自己選擇是否交易其資料引為其他商業用途。 如此說來,在基於區塊鏈技術發展的平台上,我們實不必糾結於技術天性的適切與否,而是每個平 台服務商都對本身的商業模式如何引用消費者資料的模式行為做好極細緻的分析與分類:屬於GDPR保護的個資則劃分出來回歸消費者掌控;而非GDPR規範的個人資料,則在商業模式的引導下成為 區塊鏈分散帳本上的紀錄資料。

基於區塊的使用者資料交易及處理平台與對應的生態圈。基於區塊的使用者資料交易及處理平台與對應的生態圈。

破除個資迷思在於資料回歸消費者掌控和主動的販售行為

我們再次回歸以資料為核心價值的商業模式。當軟體必須引用使用者數據如瀏覽搜尋紀錄或軟體安 裝清單等,不僅只是公諸於EULA(End User License Agreement)要求使用者被動的接受,而是徹 底翻轉其基礎架構,從平台技術及行銷上構建一個足為資料擁有者信賴而透明的機制與平台,資料 擁有者能在完全掌控資料的基礎上,先期在平台上選擇是否開放或販售其資料,其後的軟體服務便 能引用所授權或購買的資料進行下一步的商業運用。

區塊鏈在萬物聯網的限制與可能性

以資料為中心運轉的商業模式,正是萬物聯網(IoT)的主要利基與訴求。當連網裝置的數量級由萬 至百萬甚至到億等級,既有的雲端架構,所呈現問題將發散在資料傳輸網絡頻寬、雲端運算力、資 料備援以及中介單位的被信任程度。相對地,區塊鏈的私鑰地址身份認證、分散式帳本、交易採取 的共識機制等技術又不可或免地帶來交易速度限制與私鑰控管等關鍵問題。 那麼在實業的應用上,不管企業所面臨的垂直場域是智慧城市或智慧工廠,堅持地朝向某一方並宣 揚其解決問題的能力似乎是極為不智的做法。相對地,審慎剖析應用場域的每個環節,了解企業核 心內部獨特的價值能力,採用適切的技術而不套用全部鏈圈或雲端才是趨勢科技的服務平台所要傳遞的價值。

從裝置上鏈、邊緣運算到資料上鏈的數位認證

IoT裝置的數位認證IoT裝置上鏈的工作重點在於如何進行私鑰管理,從整合至晶片層級的可信賴平 台模組(TPM)或Trusted Zone、採用晶片卡的私鑰管理檔案系統甚至是其分支的冷錢包(Cold Wallet),這些既有的方案可以直接整合至基於區塊鏈技術而打造的管理服務平台。 再者,由於區塊鏈去中心化分散式架構的原生屬性,似乎可以與邊緣運算的應用需求整合開發,然 而仍須面對交易速度的囿限以及交易帳本是否須全面同步的問題。在萬物聯網的實用場景裡,我們 當然不希望每一個端點間的溝通互控,都必須發起一個區塊鏈的交易到交易池裡等著被共識機制處 理運算,尤其在許多的應用情境,端點間的即時處理是達到厘秒乃至微秒的需求。

最後回到資料的數位認證,把資料的控制權從雲端上的中央資料庫拉回資料產生者的手中並且配合 市場生態圈的說明和支援,構建一個消除資料擁有者與需求者雙方資訊不對稱的開放平台或端點入 口以從根本上消弭個資洩漏的迷思與軟體服務提供商在設計軟體上對消費者資料需求的穿透性與便 利性。

區塊鏈在產品設計、市場包裝的急迫性與適切性

再回頭看看App「One」引以為成功要素的核心思考:「你無用的資訊是我的寶物」。然而,這正好 也是最困難的一哩路,如何讓使用者擺脫洩露個人資料的疑慮而願意在平台上從事資料的買賣交易。

「One」在推出時,有意無意地讓使用者接受了廢棄的發票也可賺點小錢的念頭,可是並不是每個軟 題服務都恰恰踩在這個使用者可以欣然接受的甜蜜點,在區塊鏈的研究發展上,企業面臨了需要權 力克服的兩大課題:產品服務或App的使用者經驗設計以及消費者是否已經準備好全盤掌控自己的 資料並以之為交易。 在產品服務的設計上,我們當然不希望區塊鏈仍然維持原生的雜湊交易位址或種種不那麼使用者友 善的介面流程設計;而消費者長期被搜尋、社交媒體、第三方單位持有的資料一下子回歸到消費者 手中而引以為交易資產也需要一段時間讓市場消化接受。下圖我們初步分析了基於這兩大課題四個 面向的市場趨勢。

多數的鏈圈開發者致力於區塊鏈技術的完備,包括加入智能合約或持續演進共識 機制等,並且已國際大廠的力量策略結盟生態圈各層面的協力廠商;而利基型的產品開發廠商則著 眼於產品設計,改善區塊鏈大部分不利於使用者經驗的介面流程設計。

從裝置的資安到 IOT 資料交易及分析平台 以IoT實業場域的應用來看,將IoT裝置、網路、雲端的安全維護結合基於區塊鏈技術的IoT平台 以及雲端AI處理中心是當前的市場趨勢,如何佈建全資安和使用者資料的交易平台並導入於下一波 IoT應用場域的實際應用是當前如何將區塊鏈真正導入到萬物聯網應用情境的關鍵思維。

作者:趨勢科技資深產品經理 陳玉書

(本文同時刊載於科技報橘)

原文來自 資安趨勢部落格