pupupupuisland|你的「鏈上紀錄」也算是一種數位隱私嗎?

ABMedia
分享
pupupupuisland|你的「鏈上紀錄」也算是一種數位隱私嗎?

(本文轉載自 pupupupuisland)

從「劍橋分析事件」思考 Tornado Cash 的鏈上隱私議題

數位隱私遭竊,如何影響全球政治局勢?
高透明性究竟是利或弊?
區塊鏈的隱私工具「混幣器」是什麼?
只有犯罪者才需要鏈上隱私嗎?
我們該如何思考未來的區塊鏈隱私議題?

廣告 - 內文未完請往下捲動

生活中無所不在的「數位隱私」

在這個數位時代,大部分人應該都有著這樣的經驗:在網路上搜尋某個關鍵字後,沒多久就在其他網頁及社群平台出現了類似的商品廣告。我們甚至也早已習慣自己的數位足跡被蒐集、被使用,或是選擇性忽略這種「輕微」的侵犯。

但除此之外,我們的網頁瀏覽紀錄、Google 地圖的記錄、社群帳號資料、網路銀行的消費記錄、手機裡的照片、雲端硬碟的資料等等,其實也都屬於「數位隱私」的一部分。並且也是我們的個人隱私應當受保護的一部分,就如同現實生活中的背包、筆記本、住所一樣。

 

數位隱私遭竊,竟然影響了全球政治局勢?

被推播幾則廣告可能無傷大雅,但當數位隱私被侵犯到一定程度時,可能就會帶來嚴重的影響與威脅了。例如搜尋某種病徵或藥物,可能會暴露你的生理與健康狀況;Google 地圖的定位及走訪記錄,會暴露你的日常動線或所在位置;網路銀行的刷卡與消費記錄,會暴露你的生活與消費習慣。

更隱私一點的,像是可以從色情網站上的觀看紀錄,暴露出你的性癖好。嚴重一點的,像是劍橋分析公司曾在未經同意的情況下,竊取數百萬臉書用戶的個人數據,並用於投放政治廣告,進而幫川普當選、讓英國脫歐。

也就是說,在這個科技化的時代,數位隱私被侵犯所帶來的影響,已經不再只是推播幾則廣告了;而是可能威脅到個人財產及人身安全,甚至改變全球的經濟與政治。但每個人在乎與關注的點都不同,我們也無法定義哪些數位足跡重要、哪些不重要。因此,一切的前提或許應該是:我們必須擁有保護個人數位隱私的權力。

區塊鏈網路的高透明性,究竟是利還是弊?

在區塊鏈網路中,每一筆交易及互動都會被永遠的紀錄著,並且能輕易的查閱到每個人的完整歷史記錄。雖然這些足跡都是暴露的,但錢包背後持有者的身份則是可以保有隱私的;它的不可篡改、高透明性、隱私性正是最大的特點之一。

但近幾年,隨著應用程式與使用情境逐漸廣泛,有心人士可能就可以透過錢包的互動地址、授權程式、交易金額、時間點、持有的NFT等資訊,拼湊推測出持有者的真實身份。當錢包跟持有者被連結起來時,反而變得所有數位足跡都一覽無遺,對於個人隱私或商業隱私都是一大隱憂。

 

區塊鏈的隱私工具:混幣器

面對這樣的隱私問題,就有開發者設計了一種名為「混幣器」的斷點機制。簡單來說,就像是先開設一個大池子作為轉帳的中繼站,所有要轉帳的人都可以先把錢轉入這裡,再領取幾種固定面額的兌換券,經過一段時間後,就可以使用兌換券請款轉出到目的地地址。

雖然一樣可以從透明的鏈上紀錄,看到所有跟這個大池子互動的地址,但我們無法比對每個轉入與轉出的錢包彼此的關係。標準化的面額,避免了因為金額特殊被交互比對出來;模糊化的時間戳,也讓活動的隱私性都更加完善。

然而原本為了「保護隱私」所設計的工具,卻也被駭客用來「洗贓款」。違法竊取的虛擬貨幣只要放進去跟其他交易混一起,就難以追蹤到最終去向,混幣器也因此被貼上了犯罪工具的標籤。

 

混幣器 Tornado Cash 遭美國政府強制關閉

其中,最具代表性的混幣器 Tornado Cash,在 2022年8月正式遭到美國政府制裁。

美國財政部外國資產控制辦公室(OFAC)將 Tornado Cash 列入黑名單,公告美國公民、居民和公司通過該服務接收或發送資金都是非法的,並強制關閉該網域及網站前端。除此之外,其開發者 Alexey Pertsev 也在荷蘭遭到逮補;GitHub 也刪除了它的程式碼資料庫,並暫停開發者帳戶。

此舉馬上引起虛擬貨幣社群的不滿,認為財政部的行為超越了政府權限,不僅侵犯言論自由與財產權,更是威脅到公民自由貿易的權力。開發者社群也指出,這種作法並非針犯罪者個人限制其犯罪行為,而是將整個技術制裁。美國加密貨幣交易平台 Coinbase 則是直接以行動支持,表示願意支付反對財政部的控方訴訟案法律費用。

只有犯罪者才需要鏈上記錄的隱私嗎?

現在我們身邊的虛擬貨幣用戶,大部分應該都是用來投資或交易,比較不介意自己的鏈上紀錄被看光光。但對於某些特定的用戶或使用情境來說,鏈上紀錄的隱私卻是相當重要的。

近幾年,有許多新創公司都開始嘗試使用虛擬貨幣支付薪水。對員工來說,他們可能未必想讓公司窺探到自己的帳戶餘額,或是公事以外的私人投資及活動記錄。對企業來說,如果員工、客戶、廠商、競爭者,都能直接窺探到公司的資產或任何資金往來的地址,那可能會暴露出過多的商業隱私與未來計畫。

在 Tornado Cash 遭美國政府制裁事件後,以太坊的創辦人 Vitalik Buterin 與 Coinbase的安全分析師 Tyler Almeida,都表示自己曾透過 Tornado Cash 匿名捐款給烏克蘭,為的就是避免透露自己的錢包地址,以防遭到俄國政府或駭客的追蹤。

 

歷史上也曾被「污名化」的科技:情色電話、網路詐騙、遊戲實況

80 年前,有線電話剛開始進入一般大眾的生活時,佔最大商業價值的就是色情電話,但現在我們也不會將電話貼上色情的負面標籤;20 年前,網際網路剛開始崛起時,也出現了各式的網路詐騙案例,但現在我們也不會認為用網路的人都是做詐騙的;10 年前,直播及視訊剛開始興盛時,也是以娛樂性的遊戲實況最為流行,但經歷了 COVID-19 疫情後,現在反而更常用在視訊會議或線上教學。

科技發展史上,許多工具或技術剛被發明出來時,總會最先被應用在某些灰色地帶。當它普及到一個程度後,我們可能才會發現,相較於少部分犯罪行為帶來的成本,這些科技對社會帶來的正面價值其實更為重要。而政府需要做的,應該是跟上技術創新以制裁犯罪行為,並非限制科技發展或限制公民的使用權。

 

失去言論自由的程式碼

另外,在 Tornado Cash 事件中,政府逮捕開發者的行為,更是引起了許多的質疑。客觀上來說,這名開發者的行為就是寫了一段程式碼,接著把他放在公開透明的網路上自行運作,讓大眾自由使用了兩三年都沒什麼問題,結果某天美國政府卻突然跳出來說:因為有人用你的工具犯罪,所以你也是壞人!

Github上的程式碼,本質上就只是一串「文字」。就如同我們在 Gmail 上的一封信件、推特上一篇貼文、Messenger 的一串訊息。工程師在網路上公開發布這段文字,就如同作家站在廣場上朗讀他的著作;任何公民都有權力公開發表自己的意見,正是美國憲法中最強調的一點——「言論自由」。

 

我們該如何思考未來的「鏈上隱私」?

回到本篇一開始提出的思考角度,搜尋紀錄、Google 地圖記錄、網路銀行消費記錄等等的,都是現今多數人普遍認定的數位隱私。因為我們知道,這些「訊息」足以透露出一個人的生活習慣、價值觀、經濟活動。同樣的,鏈上紀錄也夾帶了一樣性質的訊息,它就是我們的數位足跡、消費記錄、交易與投資的記錄。

截至 2021 年,全球加密貨幣持有率平均為 3.9%,總計超過 3 億加密用戶。如果你是一個虛擬貨幣的投資者、開發者、支持者,大麽大概可以想像未來世上會有更多的人口使用區塊鏈網路,並且也會出現許多更貼近日常生活的應用程式。當幾十億人口的一舉一動都暴露在網路上時,我們也將會面對到更複雜的「鏈上隱私」議題。
 
本篇的圖文為開源內容,可免費自由轉載、修改、個人使用、商業使用,不且需註明出處。

參考資料/延伸閱讀

《What Is Tornado Cash And How Does It Work?》by Josiah Makori
《Defending Privacy in Crypto》By Brian Armstrong
《U.S. Treasury Sanctions Notorious Virtual Currency Mixer Tornado Cash》
《US Treasury Adds to Tornado Cash Sanctions With North Korea WMD Allegations》By Nikhilesh De
《Tornado Cash》- Wikipedia