虛擬貨幣交易時毋須提交個人資料,具一定匿名性。
虛擬貨幣交易時毋須提交個人資料,具一定匿名性。

你能想像自己的姓名、電話、地址,甚至是個人病歷遭人公開,任人查閱之餘,更永遠無法刪除嗎?早前有大批警員的個人資料,被黑客「永久儲存」於區塊鏈平台以太坊,揭示新技術將成為雙刃劍。區塊鏈去中心化的優勢,可帶來高保密度、節省交易時間及費用的好處,卻引申出不可刪除的結果,日後個人私隱一經區塊鏈儲存,即成為公開秘密。外國資訊科技顧問機構更以「私隱毒害(Privacy poisoning)」形容區塊鏈技術所帶來的隱憂,並預計二○二二年,四分三公共區塊鏈將被儲存全球民眾的個人資料,各人私隱均公諸於世。

記者 郭增龍

區塊鏈是新科技下的寵兒,各行各業均思考如何應用技術,其中,醫療業通過區塊鏈,建立個人健康區塊鏈帳戶,實現「病歷跟病人走」;金融業亦利用去中化的區塊鏈,減省證券交易、投資產品買賣的身分驗證時間等等,不勝枚舉。

毋須登入即可閱覽

不過,今年六月底,有人以知名黑客組職「匿名者(Anonymous)」名義,在以太坊上載逾六百名警員個人資料,包括中英文全名、手提電話及個人地址,更警告如警方繼續在處理遊行示威時施以暴行,將會公開更多資料,觸發私隱外泄的關注。記者早前登入相關連結,發現相關資料依舊存在,更容許任何人查閱及備份。

有熟悉區塊鏈的業界分析,最早普及應用區塊鏈技術的比特幣,僅以去中心化形式儲存交易數據。以太坊則加入智能合約功能,只要繳付以太幣作為代價,即能以去中心化形式,在以太坊上儲存資料,相關資料一經上傳,內裏資料理論上只可增加附註,不可能刪除。

由於以太坊屬於「公鏈」,任何擁有連結的人,毋須登入即可閱覽資料,「換言之,所有應用智能合約技術的公鏈,都可以做同樣的事,包括EOS、XLM(Stellar)及波場幣(TRX)。」

區塊鏈永久儲存、不可刪除的特質,過去亦有相關應用,更被視之為突破資訊封鎖的方法,當中最著名的案例,莫過於去年內地的「北大性侵案」醜聞。

上載「北大性侵案」難阻截

事緣有網民發表文章,指控有前北京大學教授在二十多年前性侵一名女學生,她事後更不甘受辱自尋短見。文章引起北大學生反響,要求校方公開資料,卻遭拒絕,相關信息更被網絡封鎖,結果有人將事件的來龍去脈,寫入虛幣交易平台,令任何人不能阻止信息散播。

然而,區塊鏈突破傳統資訊儲存方式的技術,繼續發展下去將成為雙刃劍。這個問題在去年歐盟設立被視為史上最嚴的私隱法「GDPR」後,引起科技及法律界關注。從事法律科技的執業律師蘇文傑指出,GDPR針對近年雲端、物聯網及大數據等資訊科技發展所衍生的私隱問題,即使位於歐盟境外的企業若擁有屬於歐盟公民的客戶,都必須遵從。

法例更提出「被遺忘權」的新詞,意指受法例保障者可享有其個人資料從網絡上全面消失的權利,但「被遺忘權」與區塊鏈資料不能刪除的性質互相矛盾。

不符歐盟私隱法面臨重罰

資訊科技顧問公司Gartner在今年初,將區塊鏈技術衍生的資料泄露問題形容為「私隱毒害(Privacy poisoning)」,儲存大量個人資料與應用於區塊鏈技術的科技公司,一旦被黑客入侵引致資料外泄,隨時墮入危機之中,並預計在二○二二年,包括以太坊在內公鏈,將會有四分之三被植入全球各地人士的個人資料。

蘇文傑指出,私人公司過去以硬盤或雲端儲存資料,可以應不同要求,將資料刪除,但科技公司一旦將資料寫入區塊鏈後,則只可增加附注,不可刪除,無法達致GDPR「被遺忘權」的要求。

更甚的是,個人資料一旦外泄或被黑客入侵,區塊鏈分散式儲存資料方式,令私人公司既無法得悉盜取資料者的身分,更無法回收資料,最後將面臨歐盟的巨額罰款,最高罰金為企業全球營業額的百分之四,或二千萬歐羅,以較高者為準。他更估計,各國未來均會參考GDPR做法,制定規管針對網絡發展的私隱法,屆時私人公司資料外泄所面臨的懲罰,將更為嚴重。

盡早規劃資料使用方式

Gartner報告指出,區塊鏈的「私隱毒害」目前尚未可見,原因在於技術目前仍主要用作儲存不含個人資料的交易紀錄,隨着技術在各行各業遍地開花,未來外泄的資料可包括個人病歷、信用卡資料、信貸記錄等,鉅細無遺,並陸續有公司被控,屆時情況將一發不可收拾,建議科技公司發展技術的同時,須做好同意管理,規劃資料使用方式。

蘇文傑坦言,相關討論近月始為少數科技業界討論,並認為業界應及早了解當中危機,「我們最近為科技公司提供法律服務時,亦有向他們提及以上風險。」

「零知識證明」技術 可達致完全匿名

區塊鏈標榜保密度高,惟業界指出,執法機構目前仍可通過虛幣交易所記錄,追查發布者身分。不過,隨着「零知識證明」技術發展成熟,交易紀錄未來可達致完全匿名。

虛擬貨幣服務商Standard Kepler董事總經理鄧進一解釋,區塊鏈可以保護私隱,在於交易時毋須提交個人資料,以驗證交易,但區塊鏈的交易紀錄,包括金額、日期、付款地址和收款地址則為公開資料,任人查閱。以早前上載警員資料的事件為例,由於上載資料須要支付以太幣作為手續費,執法部門可通過貨幣交易流向,找到交易平台資料,從而追查貨幣錢包地址,找出上載者的「真身」。

不過,鄧進一指出,區塊鏈業界近年積極研發「零知識證明」技術,日後虛幣交易將昇華至兼顧去中心化的同時,亦讓交易既可被驗證,卻不泄漏交易細節,達致完全匿名。就匿名交易有可能產生的法律問題,鄧進一相信,證監會年初推出針對虛擬貨幣交易平台的「沙盒」計畫,正是探討規管的可行性。

全文刊《星島日報》