有些读者会觉得 Web3.0 似乎有点乌托邦色彩,虽然美好,但是真的能够实现吗?我认为 Web3.0 实现的背后有两个强大的驱动力,一个是技术的内在逻辑,也就是说只有 Web3.0 才能够真正实现安全隐私的互联网架构,这部分是咱们本书的主要篇幅都在介绍的内容。另外一个驱动力就是咱们本节要聊的,也就是 Web2.0 面对的外部压力使得 Web2.0 过渡到 Web3.0 成为必然。这种外部压力,就来自用户对数据权力的重视已经固化成了法律,这就是欧盟在 2008 年正式推行的《通用数据保护条例》,英文是 General Data Protection Regulation ,简称 GDPR 。GDPR 并不是一个规范性文件,而是一个真正的法律,所以带给 Web 的架构演化的不仅仅是压力,而是强制性的推进。
代表性条款
先来看看这部法律都有哪些代表性的条款和思想。
如果非要用一句话来概括 GDPR 的基本思想,那就是”数据属于用户而非互联网公司“,这个跟 Web3.0 的目标是一致的。GDPR 明确规定,数据的所有权属于数据的提供者,而非管理者。用户在谷歌中输入搜索关键字,在淘宝上购买东西,就不可避免的会输入或者产生各种数据,所以用户就是数据的提供者,而谷歌或者阿里这些互联网公司是数据的管理者。GDPR 要求作为管理者的公司们要保证用户的数据默认是隐私的,数据库要保证绝对的安全,数据要用于某种用途之前,必须征得用户同意。目前大部分的互联网公司都是游走在这个法律的边缘的,甚至是违法的,之所以会这样是因为用户对数据这个事不是特别在意,因为生成的数据比较少,而且也不怎么值钱。未来,数据就是钱,而科技公司也应该像银行一样,被合理的监管。
GDPR 保证用户享有三种权利。第一项是知情权。企业到底拿到了我的哪些数据,必须要告诉我。实话说,咱们每天用很多 App 或者网站,真的说不清他们收集了哪些数据,都用来干嘛了,用户每天在金鱼缸里生活,难道不恐怖吗?第二项是修改权。也就是用户有权力修改自己的数据。第三项是被遗忘权,说白了就是用户可以删除自己的数据。用户删除自己的数据,意味着剥夺了科技公司对这些数据的使用权,这个跟公司的商业利益是直接冲突的,所以被遗忘权对未来互联网公司的影响也是深刻的。
所以,GDPR 是真的把用户放在第一位,而对传统上处于相对强势地位的科技公司进行了近乎苛刻的限制。这样的条例靠科技公司自觉去推进几乎不可能。所以 GDPR 设置了明确的惩罚条款。任何企业侵犯了用户的数据权益,就会被处以 2000 万欧元,或者 4%全球营业额的巨额罚款,这个数量显然是非常恐怖的。
通过上面的这些关键条款和思想的陈述,我们对 GDPR 就有基本认识了。
GDPR 的影响力
但是,你可能会说,那我不去欧洲开拓市场,不就避开了 GDPR 了吗?这样说就小看了 GDPR 的影响力了.
可以简单的这么说,GDPR 不仅仅是欧洲标准,而且也正在成为国际标准。首先,即使不是欧洲本土互联网公司,也必须要慎重对待 GDPR 。因为欧洲是美国互联网巨头除了本土之外最大的市场。不用说,欧洲未来对中国的互联网企业也很重要,因为人家的人口基数和消费能力摆在那里呢。同时,GDPR 也不仅仅是被欧盟各国采用。南美的巴西,智利,阿根廷,以及亚洲的日本和韩国都采用了这套法律。美国 2020 年开始实施的 CCPA 也就是《加州消费者隐私法案》也是跟 GDPR 非常的类似,被称为美国版的 GDPR 。所以 GDPR 的基本原则在全世界都是正在成为事实标准。我国也有相关的法律,例如《个人信息保护法(草案)》和《数据安全法》。
实际中,美国的各大互联网公司,例如 Google ,Facebook 都因违反 GDPR 被开出了巨额罚单。同时,各大公司也从根本上认为,即使没有这个法律,数据属于个人用户,这个原则是没有错的。公司如果不把数据的处置权真正交给用户,征求同意后在使用,那么最终一定会被用户告上法庭的,因为每个用户对自己的隐私的重视程度是非常不同的,不可能通过一个一刀切的公司隐私条款就可以让大家都信服。而如果用户自己如果处理隐私不当,造成了用户数据泄露,那么公司就可以甩锅了,不用承担法律责任,客观上减小了公司自己的压力。所以,很多美国的巨头,例如微软,都自愿声明对非欧洲用户也进行完全相同的用户隐私保护。
这就是为何 GDPR 目前受到了广泛的讨论和关注。
对 Web3.0 的引导作用
最后,咱们分析一下 GDPR 和 Web3.0 的关系。可以说 GDPR 是因,而 Web3.0 是果,GDPR 是人们的意愿,Web3.0 是达成这种意愿的技术方案。
Web3.0 主张 App 应用要开源,主张数据归用户自己存储,只有这样才能真正实现 GDPR 指定的用户数据三项权力。如果 App 并不开源,那么谁会有能力真正知道应用到底保存了哪些用户数据,并且如何使用这些数据呢?是不是要监管部门定期派专家去企业内部调查呢?我作为多年的互联网开发者,认为是非常不靠谱的。因为软件系统是非常复杂的,大公司的代码动辄上亿行,很难一下子理清思路。即使专家搞清楚了,公司回头还可以立刻修改代码,所以没有开源,要保证用户的知情权是很难的。另外,修改权和被遗忘权,在 Web2.0 条件下也是很难实现的,如果数据一开始就是公司保存,那么如何能知道公司没有进行数据备份呢?如果有备份,用户如何知道删除了所有的备份呢?显然非常难保证。而 Web3.0 的应用是不会收集用户数据的,数据要么保存在用户自己的设备上,要么保存到公司云上,但是是通过用户自己的密钥加密过的,所以控制权完全在用户手中,想要修改和删除也不是难事。
总之,Web2.0 的目前的云计算的中心式架构,是没有办法真正满足 GDPR 的要求的。
总结
最后总结一下。GDPR 是一个坚决保护用户数据权的法案,目前已经获得了世界性的影响。GDPR 会是 Web3.0 落地的一个强制性的推动力。这里面有两层原因,首先,如果用户数据不是按照 GDPR 原则,真正持有到自己的手中的,而是存储到公司的黑盒之中,就不可能真正避免数据被滥用,不可能真正保证数据安全。其次,GDPR 只是从法律上保证了用户对数据的绝对权力,但是仅仅靠对 Web2.0 技术的改良,对科技公司进行监管,是不能保证落地的,而是需要对 Web 的技术架构做出根本性调整,例如,进行代码开源,数据由用户自己存储,端到端加密,而这些也就意味着向 Web3.0 的升级。所以总结成一句话:GDPR 是 Web3.0 落地的最直接驱动力,而 Web3.0 是 GDPR 落地所需的技术方案。