本体技术视点 | 基于 DID 的认证和授权，保障用户的个人信息可携带权

2021 年 11 月 1 日，《中华人民共和国个人信息保护法》正式实施。这是我国在数据要素市场建设过程中，继《网络安全法》和《数据安全法》以后的又一部重要基本法律，用来确立个人信息保护原则。

这部法律不仅规定了公民对其个人信息的知情权、访问权、复制权、更正权和删除权等基本权力外，该法第四章第四十五条第三款还明确规定“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。

这项规定对公民的个人信息控制权做了进一步规定，个人有权将其信息从一个信息服务商转移到另外一个信息服务商。这是个人信息可携带权的一个核心体现，使得个人数据可以遵从本人意愿进行处置，在全行业甚至跨行业内流动，也必然会带来一场新的变革。

数据作为生产要素，在数据时代乃至人类畅想的元宇宙中，都将作为重要资源参与。个人信息，包括个人的基本信息以及各种活动产生的活动信息等，是数据要素的重要组成部分——不仅涉及到了个人隐私，还牵涉了各方利益，因此面临的处境更加复杂。

在传统应用中，存在一个身份提供商的角色，它也可能由信息服务商直接担任。但无论怎么样，这是一个中心化机构，用户的个人数据由其在保管和处理。

许多商业应用的创新，都建立在这样一种个人信息数据集中化管理的基础之上。但用户身份数据关系到用户的隐私，不透明的中心化存储、保管、处置和利用方式通常会给用户隐私带来极大的安全隐患。

最近几年，无论是航空公司、酒店、互联网企业，还是快递行业等，都出现了较为严重的用户数据泄露问题，给用户的隐私安全带来了很大威胁。可是数据为商业实体带来的效率提升和变现能力，使得这些服务提供商不愿意向用户开放个人信息的控制权，于是就造成了个人信息可携带权难以实现的结果。

因此，从技术上看，身份管理需要进行一定的变革。

去中心化身份（Decentralized Identity）倡导的自主化身份信息管理和个人信息保护法规定的个人信息可携带权相契合。

在去中心化身份体系中，用户，无论是个人还是机构组织，都能够完全掌握自己身份和数据的所有权、管理权和控制权。用户可以按照自己的意愿去使用自己的身份信息，按照自己的意愿去选择向身份依赖方部分共享或全部共享身份信息，以及按照自己的意愿以自己的方式去存储个人信息数据，比如存在用户手机内，或者公司私有云内，或者亚马逊的公有云上，也或者是在像IPFS这样的去中心化存储上。

可以预见，去中心化身份，作为这样一种自主身份管理体系，将成为数字世界以及元宇宙的重要基石——进入数字世界，首先要对个体身份进行认证，然后根据用户的不同情况授予用户不同权限。认证，就是证实某个实体是它所声明的那个实体。而授权，就是决定一个实体能够访问哪些资源。

传统服务器采用「用户名-口令」的方式进行认证登录。由于这种认证方式潜在的安全风险，以及用户倾向于在不同服务中使用相同口令，因此带来了很多成本、安全以及用户体验等方面的问题。同时，很多服务需要用户去绑定邮箱、电话号码以及社交账号等信息，且用户需要在每个服务中通过 OAuth 或者验证码的方式去证明这些信息的真实性。这种信息授权的方式增加了用户的使用成本。

因此，利用去中心化身份实现个体自主身份管理，需要不同的方式去实现去中心化认证和授权，彻底使个体掌握其对自己个人信息的控制权，并增强个体在个人信息授权和管理中的便捷性。

本体最近发布的 ONT Login 就是实现此理念的去中心化通用认证（Decentralized Universal Authentication）和授权组件，帮助开发者屏蔽认证实现细节，可以为企业和服务快速带来 Web 3.0 的安全登录体验。ONT Login 将去中心化认证和授权协议标准化，并提供前后端 SDK，供应用方快速集成。同时，ONT Login 也了提供和去中心化身份管理工具的通信接口，方便身份管理钱包集成。

总的来看，它有以下几方面特点：

1. 免口令登录，用户无需记忆复杂口令，避免服务端撞库等风险，提高用户信息安全性；

2. 安全身份认证，采用「挑战 - 响应」的认证模式，利用数字签名技术，保证认证过程的安全性；

3. 登录时同步授权，基于去中心化标识和可验证凭证技术，帮助用户快速登录的同时，向服务方授权必要信息；

4. 一次验证，多次使用，用户在去中心化身份管理工具中可以进行一次邮箱、电话号码等验证，获得相关凭证。在登录不同应用时，可以向服务方直接出示相关凭证，免去多次验证的繁琐步骤；

5. 快速部署，提供前后端相应的 SDK 供应用方快速集成；

6. 弹性配置，支持包括互联网在内的传统业务等使用 Web 3.0 登录方式，支持包括联盟链在内的不同区块链系统，支持多种 DID 方法以及多种数字签名机制，可根据业务需要灵活配置。

个人信息的可携带权是实现用户数据自主管理，并实现数据合法和合规流转的重要权力。从世界范围来看，欧美等国家都进行了相关工作。从欧洲的 GDPR 到美国加利福尼亚州的 CCPA 等法规，从韩国的 MyData 项目到谷歌等提出的 DTP 项目等，都从立法和立项中进行了有益实践。

去中心化身份和相关的认证、授权体系正在从技术上准备好迎接这样一场数据变革。