作者 | Victoria Vaughan

尽管 web3 具有突破性的潜力，并且目前已取得了一些成就，但安全和隐私是其取得全面成功必须克服的两个关键挑战。虽然为此目的已经开展了一些有前景的工作，但 web3 去中心化、去信任化和用户自治的基本原则，与当前的隐私/安全状况并不相符，因此需要新的方法来解决 web3 的挑战。值得庆幸的是，web3 生态系统本身提供了必要的工具，使强大且以用户为中心的隐私系统成为现实。

一、web3 隐私有什么独特之处？

在过去的一两年里，人们以各种方式探索、争论和解决数字隐私问题。这一历程与基于网络的系统、产品和服务的稳步崛起几乎同步。但随着web3的出现，围绕隐私的问题发生了独特的转变。

仔细观察 web3 的核心性质有助于对下面讨论的关键挑战形成更深入、更细致的理解。一般来说，人们可能会认为与隐私相关的风险是过度中心化的直接结果。Meta（以前称为 Facebook）和其他 web2 巨头平台几乎完全控制了用户的数据。大部分数据存储在中央服务器中，常常成为单点故障。此外，2019 年的剑桥分析丑闻暴露了扎克伯格的“隐私愿景”是如何成为泡影。但这并不是一次性的情况——遗憾的是，这几乎是常态。

相反，web3 承诺社区驱动的控制。这需要分布式数据存储以及去中心化治理。然而，这也意味着没有人特别负责确保安全或隐私。在无信任的生态系统世界中，自主用户几乎负责一切，包括保证敏感信息的安全。

当“你的密钥，你的资产/数据”成为座右铭时，隐私权就主要掌握在用户手中了。例如，考虑到 web3 交易的不变性，丢失私钥通常意味着不可逆转的损失。web3 钱包地址理想情况下是匿名的，这意味着通常无法追踪恶意行为者。

“虽然去中心化是一个值得努力实现的目标，但现实是去中心化系统中的隐私问题更为重要。在 web2 中，Google 和 Facebook 可以看到你的所有数据和元数据是很糟糕的，但在 web3 中可能任何人都可以看到它会更糟糕。”这些是创新者必须解决的一些根本性冲突。

二、web3 隐私面临的主要挑战

2022 年超过 167 起重大攻击导致 web3 领域损失了近 36 亿美元，比 2021 年增加了 47.4%。根据安全公司 Certik 的数据，其中至少 74 起事件构成了长期数据泄露风险，对 web3 隐私构成了严重威胁。

Web3 关于隐私的内部冲突可以通过创新来解决，这只是时间问题。但人们越来越需要遵守全球隐私法规，例如欧盟的《通用数据保护条例》(GDPR)和金融行动特别工作组(FATF)的建议。他们大多假设某个特定实体收集、拥有和存储通过用户交互生成的数据。这让 web3 企业陷入了困境，并带来了一系列新的挑战：

1. 数据监控义务

现有的了解你的客户（KYC）和反洗钱（AML）法规要求公司或平台收集和监控用户数据。这旨在帮助识别和报告可疑活动，保护用户和国家利益。同样，公司还必须发布“通知”，告知用户他们的数据是如何收集、使用和存储的。

理想情况下，web3 协议根本不收集用户数据，更不用说监控。但即使他们确实收集了任何数据，这些数据也大多透明地存储在公共区块链上。除了用户本身之外，没有任何特定实体拥有这些数据，这使得企业或服务提供商很难甚至不可能遵守法规。

但与此同时，将数据存储在透明的区块链上本身就是一个问题。任何拥有互联网连接和其他工具的人都可以访问存储在公共区块链上的敏感信息。从隐私角度来看，这种程度的暴露是不可取的，特别是因为这个领域的恶意行为者正在不断开发利用系统的新方法。

2. 维护用户“退出”的选择

单击“不接受”、“不同意”或类似的选项为传统用户提供了一种“选择退出”数据收集和共享机制的方法。对于这是否需要用户方面有意义的同意，目前尚无定论。但无论其有效性如何，这都为用户提供了一种选择。然而，这也需要一些实体来控制数据收集过程。

当用户与非托管 web3 协议交互时，底层区块链会自动验证并记录交易。这是一个基于博弈论原理的代码驱动过程。在正常情况下，任何人甚至涉及的交易对手都无法篡改这些数据。这就是这些系统如此强大的原因。

但 web3 中没有给出选择。相反，它以自下而上的方式嵌入到系统中。因此，当监管机构要求 web3 公司提供他们没有的东西时，许多公司无法遵守。

3. “销毁”用户数据

除了选择退出之外，用户还可以根据现有法规要求“销毁”或删除其数据。出于上述原因，这又是 web3 中的一个挑战。区块链是不可逆转的。

即使在 web3 中与集中式或半集中式实体合作时，用户也不能预期其数据会遭到破坏，至少不是在区块链上被验证并记录的部分。尽管如此，他们可以控制谁可以访问这些数据，这是开创性的。由于区块链以加密格式存储所有数据，因此需要唯一的私钥才能访问它们。用户可以有效地撤销第三方对信息的访问权限，但按照监管机构的要求，删除是不可能的。

三、如何克服 web3 的隐私挑战？

从上面可以清楚地看出，web3 的隐私挑战有内部和外部两个根源。尽管两者相关，但在某种程度上必须分开处理。

建立分散的威胁监控和风险评估系统是一种可能的解决方案。由于人工智能的快速发展，创新者现在拥有非常广泛的空间来探索此类关键基础设施。超过 73% 的 web3 营销人员以及其他利益相关者已经以各种方式使用人工智能。优先考虑道德和隐私相关的因素将以前所未有的方式推动这一领域向前发展。

除了采用 AI 进行智能威胁识别等之外，发明和改进 web3 基元也至关重要。例如，零知识证明是确保数据共享或验证而不泄露实际内容的好方法。这可以在同时平衡 web3 基础知识和隐私需求方面创造奇迹。

此外，由于传统社交媒体平台从隐私泄露的角度来看已经被高度公证，因此构建以隐私为重点的去中心化替代品可能是一个解决方案。像Verida这样的平台正在为 web3 构建自主主权数据基础设施，通过加密文档数据库帮助用户拥有自己的数据。

当隐私优先的创新出现时，web3 用户还必须确保学习和使用一般的安全增强实践：使用强密码、避免使用公共 Wi-Fi 和中心化平台、在点击可疑链接之前验证它们等。这些非常非常重要，因为在 web3 中丢失私钥将无法恢复。

最后，面对外部挑战，监管机构（以及用户）必须加深对其理解。他们的期望必须切合实际，行业才能遵守。各方都必须与时共进，摆脱传统思维模式。Web3 带来了一个规则完全不同的新世界。监管机构需要采取相应行动，而不是采取典型的一刀切的做法。“开发者、创新者和政策制定者之间的合作至关重要。必须建立支持用户隐私、数据保护和创新的监管框架，以促进平台的发展和应用。”

四、走向普遍的隐私导向

必须紧急解决 web3 的隐私挑战。与 web2 不同的是，随着时间的推移，web3 的隐私保护不能变成仅仅是口头上的承诺。行业利益相关者必须从一开始就灌输普遍的隐私导向。重要的是，用户必须不惜一切代价要求保护隐私，即使这在初期意味着要面临更复杂的用户体验和更陡峭的学习曲线。

新时代的工具，加上安全的数据存储和身份验证方法，将在这一过程中发挥关键作用。web3 仍处于早期阶段，因此其核心组件和用户体验在未来几年肯定会得到改进，这方面的创新已经在进行中。这不是是否会出现隐私优先的问题，而是何时出现的问题。