【臉書】Phil Windley談「數位身分和存取控制」

背景

如果想以淺顯易懂的方式，熟悉下一世代的數位身分（尤其是DID分散式身分），首推 Phil Windley 的部落格「科技計量學」（Technometria），非常推薦訂閱他的 Substack。

前些天他談到了中國的社會信用體系與數位身分的存在意義。稍微翻譯為中文如下。

＊

觀察

「數位身分和存取控制」

by Phil Windley

保羅·康隆（Paul Colon）發了一篇推文，回應 X 上對於關於中國社會信用體系的一篇文章。他說：

「数字身份证（Digital ID）最終關乎於存取控制（Access Control）。而強制這個系統變成什麼模樣的人，也決定你必須需要成為什麼樣的人，以及什麼才是該做的。因此資源和自由成為了有錢人看心情施捨的東西，對我來說，這既不安全也不方便。」

想法

保羅的這番話讓我印象深刻，因為我最近一直在思考存取控制的問題。我相信我們建立身分系統來管理彼此之間的關係（Relationshop），但正如保羅所說，許多情況下，身分系統的最終功用關乎於存取控制。

這本身並不是一件壞事。我很高興 Google 控制了我的 Gmail 帳號的登入權限，只有我能使用這個帳號。但事情並不僅止於此。如果我使用了我的 Google 帳戶登錄其他東西，那 Google 最終控制了我對所有東西的訪問權限。這就是聯邦身分（federation）的原罪。

保羅的評論指出了當代建立身分系統的主要問題：當訪問控制被集中管理時，它本質上會將權力轉移到管理系統的人身上。這種張力可能導致一種情況，即個人必須遵從控制者的期望或要求，只是為了保持對基本服務或資源的訪問權限。儘管我們經常為了方便而接受這種權衡——比如使用 Google 管理多個登錄入口——但其長遠的影響令人不安。

我們越來越依賴聯邦身分，這些系統傾向於中央集權，如果這樣下去，我們就越容易失去對數位生活的控制，減少自主權（autonomy），讓我們更依賴於某些人，即使他們跟我們想要的並不一樣。這就是為什麼數位身分自主權（SSI）的原則如此令人激賞。SSI 提出了一種模式，讓使用者個人保持對自己身分的控制，減少與集中式存取控制的風險，這會增強數位領域中的個人自由。

SSI 的批評者會聲稱，讓人們控制自己的身分意味著我們必須接受他們的自我斷言（self assertions），但這錯得離譜。當有人要求我證明自己已滿 18 歲時，我會使用駕照。是州政府斷言我的年齡，而不是我自己。但是我掌控著我要向誰展示這一點，以及在哪裡展示。主權是釐清邊界（Sovereignty），並且增強了於其上的關係系統。

如今，中國可以利用 SSI 建立社會信用體系，一個由國家控制的憑證，用於訪問一切。SSI 使個人控制在結構上成為可能，但無法百分之百保證它可運作，單靠技術無法解決這個問題。作為一個社會，我們必須希望建立一個數位世界，以物理世界為模型，在這裡個人是控制的中心，並使用各種憑證的資訊和聲明來建立和參與點對點之間的關係。在數位世界中重視自由和獨立性之前，我們將我們的數位生活控制權交給其他人，而他們將按照自己的利益行事，而非我們的利益。