ชุมชนเทคโนโลยีกำลังถกเถียงกันอย่างร้อนแรงเกี่ยวกับว่าโปรโตคอลใหม่สามารถแก้ไขวิกฤตความเป็นส่วนตัวของข้อมูลได้จริงหรือไม่ ในขณะที่ผู้เชี่ยวชาญด้านความปลอดภัย Bruce Schneier เพิ่งเน้นย้ำถึง Solid protocol ว่าเป็นโซลูชันที่มีศักยภาพในการให้ผู้ใช้ควบคุมข้อมูลส่วนบุคคลของตนเอง นักพัฒนาและนักเทคโนโลยีกำลังตั้งคำถามอย่างจริงจังว่าการแก้ไขทางเทคนิคสามารถจัดการกับสิ่งที่หลายคนมองว่าเป็นปัญหาทางการเมืองและธุรกิจโดยพื้นฐานได้หรือไม่
การอภิปรายมีจุดศูนย์กลางอยู่ที่ความตึงเครียดหลักในชีวิตดิจิทัลสมัยใหม่: ข้อมูลส่วนบุคคลของเรากระจัดกระจายอยู่ในแพลตฟอร์มนับไม่ถ้วน มักจะไม่ถูกต้องหรือล้าสมัย แต่เรามีการควบคุมเพียงเล็กน้อยเหนือวิธีการใช้หรือแบ่งปัน Solid protocol ที่พัฒนาโดยผู้คิดค้นเว็บ Tim Berners-Lee สัญญาว่าจะเปลี่ยนแปลงสิ่งนี้โดยให้ผู้ใช้เก็บข้อมูลของตนใน pod ส่วนบุคคลที่พวกเขาควบคุม แทนที่จะส่งมอบให้กับบริษัทเทคโนโลยียักษ์ใหญ่
โปรโตคอลเทคนิคหลักที่กล่าวถึง:
- Solid Protocol: พัฒนาโดย Tim Berners-Lee สำหรับการจัดเก็บข้อมูลแบบกระจายอำนาจใน "pods" ที่ผู้ใช้ควบคุมเอง
- OpenID/OpenID Connect: โปรโตคอลระบุตัวตนแบบรวมศูนย์ที่มีอยู่ตั้งแต่ปี 2007
- Matrix Protocol: ระบบส่งข้อความแบบรวมศูนย์ที่เข้ารหัสแบบ end-to-end
- WAC (Web Access Control): ระบบอนุญาตสำหรับการควบคุมการเข้าถึงข้อมูลแบบละเอียด
การต่อต้านของบริษัทยังคงเป็นอุปสรรคที่ใหญ่ที่สุด
ความกังวลที่ใหญ่ที่สุดของชุมชนไม่ได้อยู่ที่ความสามารถทางเทคนิค แต่อยู่ที่แรงจูงใจทางธุรกิจ หลายคนชี้ให้เห็นว่าระบบ federated identity มีอยู่มานานกว่าทศวรรษแล้ว แต่บริษัทใหญ่ๆ ปฏิเสธที่จะทำงานร่วมกัน Google จะไม่ยอมรับการเข้าสู่ระบบของ Microsoft, Apple จะไม่รับรองบัญชี Facebook และอื่นๆ บริษัทแต่ละแห่งต้องการเป็นเจ้าของตัวตนดิจิทัลของคุณเพราะมันให้อำนาจและการควบคุมว่าคุณจะไปที่ไหนออนไลน์
การต่อต้านนี้ฝังลึก บริษัทต่างๆ ได้ใช้เงินหลายพันล้านในการสร้างสวนที่มีกำแพงล้อมรอบข้อมูลผู้ใช้ และพวกเขาไม่น่าจะยอมสละข้อได้เปรียบนั้นโดยสมัครใจเพียงเพราะมีมาตรฐานทางเทคนิคที่ดีกว่าอยู่ ปัญหาไม่ใช่ว่าเราขาดเทคโนโลยีในการแบ่งปันข้อมูลอย่างปลอดภัย แต่การแบ่งปันข้อมูลไม่สอดคล้องกับวิธีที่บริษัทเหล่านี้หาเงิน
การแยกตัวตนของผู้เล่นหลักในอุตสาหกรรม:
- Google: ไม่ยอมรับการเข้าสู่ระบบจาก Microsoft, Apple, หรือ Meta
- Microsoft: ไม่ยอมรับการเข้าสู่ระบบจาก Google, Apple, หรือ Meta
- Apple: ไม่ยอมรับการเข้าสู่ระบบจาก Google, Microsoft, หรือ Meta
- Meta (Facebook): ไม่ยอมรับการเข้าสู่ระบบจาก Google, Microsoft, หรือ Apple
- X (Twitter): ไม่ยอมรับการเข้าสู่ระบบจากแพลตฟอร์มหลักอื่นๆ
ปัญหาการคัดลอกข้อมูลไม่มีโซลูชันทางเทคนิค
ปัญหาสำคัญอีกประการหนึ่งที่ชุมชนยกขึ้นคือสิ่งที่เกิดขึ้นหลังจากที่คุณแบ่งปันข้อมูลของคุณ แม้จะมีการควบคุมการเข้าถึงที่สมบูรณ์แบบ เมื่อใครบางคนมีการเข้าถึงข้อมูลของคุณอย่างถูกต้องแล้ว พวกเขาก็สามารถคัดลอกได้ แพทย์ที่ต้องการดูประวัติทางการแพทย์ของคุณเพื่อการรักษาสามารถบันทึกข้อมูลนั้นและขายให้กับบริษัทประกันภัยในภายหลังได้ Solid protocol สามารถควบคุมว่าใครได้รับการเข้าถึงเริ่มแรก แต่ไม่สามารถป้องกันผู้ใช้ที่ได้รับอนุญาตจากการใช้ข้อมูลในทางที่ผิดเมื่อพวกเขามีข้อมูลแล้ว
หลังจากที่ Alice และ Bob มีสำเนาของข้อมูลแล้ว คุณจะต้องแก้ปัญหาทางสังคมในการป้องกัน Alice และ Bob จากการใช้สำเนาข้อมูลของพวกเขาในทางที่ผิดโดยขายให้กับ data broker
ข้อจำกัดพื้นฐานนี้หมายความว่าโซลูชันทางเทคนิคเพียงอย่างเดียวไม่สามารถแก้ปัญหาความเป็นส่วนตัวได้อย่างสมบูรณ์ กรอบกฎหมายและกลไกการบังคับใช้ยังคงมีความสำคัญ ไม่ว่าเราจะใช้โปรโตคอลใดก็ตาม
ความท้าทายในการใช้งานจริง
ชุมชนยังเน้นปัญหาปฏิบัติที่จะเกิดขึ้นในการใช้งานประจำวัน ในด้านการดูแลสุขภาพ ตัวอย่างเช่น ผู้ป่วยมักไม่ทราบว่าข้อมูลทางการแพทย์ใดที่เกี่ยวข้องกับการแบ่งปันกับผู้เชี่ยวชาญต่างๆ คุณควรแบ่งปันระดับไทรอยด์กับแพทย์หัวใจหรือไม่? คนส่วนใหญ่ขาดความรู้ทางการแพทย์ในการตัดสินใจเหล่านี้อย่างมีประสิทธิภาพ
ในขณะเดียวกัน ผู้ให้บริการน่าจะตอบสนองในแบบเดียวกับที่แอปมือถือทำในปัจจุบัน - โดยขอการเข้าถึงทุกอย่างเผื่อไว้ หากไม่มีการคุ้มครองทางกฎหมายที่แข็งแกร่ง ผู้ใช้จะเผชิญกับตัวเลือกแบบทั้งหมดหรือไม่มีเลยเหมือนที่พวกเขาพบเจอในปัจจุบัน เพียงแต่มีเทคโนโลยีที่ซับซ้อนกว่าอยู่เบื้องหลัง
ช่องว่างของรัฐบาลและการตรวจสอบตัวตน
การอภิปรายเผยให้เห็นมุมมองที่น่าสนใจอีกประการหนึ่ง: ทำไมเราไม่ใช้บัตรประจำตัวที่รัฐบาลออกให้สำหรับบริการออนไลน์? หนังสือเดินทางและบัตรประจำตัวประชาชนแสดงถึงการยืนยันตัวตนที่แข็งแกร่งและได้รับการสนับสนุนทางกฎหมาย แต่เรากลับพึ่งพาระบบที่อ่อนแอกว่ามากที่ใช้รหัสผ่านสำหรับบัญชีออนไลน์ที่สำคัญ สมาชิกชุมชนบางคนสังเกตว่าแม้แต่หน่วยงานรัฐบาลบางครั้งก็ไม่ยอมรับบัตรประจำตัวที่ตนเองออกให้ ซึ่งเน้นย้ำถึงความซับซ้อนของระบบการตรวจสอบตัวตน
การสนทนายังสัมผัสถึงตัวอย่างในชีวิตประจำวันของนโยบายความปลอดภัยที่ไม่สอดคล้องกัน ร้านขายยามักอนุญาตให้ใครก็ตามมารับยาได้ด้วยเพียงชื่อและวันเกิด ในขณะที่ผู้ให้บริการอินเทอร์เน็ตต้องการการตรวจสอบอย่างละเอียดแม้แต่สำหรับคำถามบัญชีง่ายๆ ความไม่สอดคล้องเหล่านี้บ่งชี้ว่าการแก้ไขตัวตนดิจิทัลต้องการการคิดใหม่เกี่ยวกับนโยบายความปลอดภัยในหลายอุตสาหกรรม
ความไม่สอดคล้องด้านความปลอดภัยในโลกแห่งความเป็นจริง:
- ระบบร้านขายยา: มักต้องการเพียงชื่อ + วันเกิดสำหรับการรับยา
- บริการลูกค้า ISP: ต้องการการยืนยันตัวตนของเจ้าของบัญชีแม้แต่สำหรับการสอบถามพื้นฐาน
- การยอมรับบัตรประจำตัวของรัฐบาล: การยอมรับที่ไม่สอดคล้องกันแม้แต่ภายในหน่วยงานรัฐบาลด้วยกัน
- ประวัติทางการแพทย์: กระจัดกระจายอยู่ทั่วบริษัทประกันภัย โรงพยาบาล และผู้ให้บริการ EHR โดยผู้ป่วยเข้าถึงได้อย่างจำกัด
เส้นทางข้างหน้าต้องการมากกว่าโค้ด
แม้ว่า Solid protocol จะแสดงถึงความก้าวหน้าทางเทคนิคอย่างแท้จริง ฉันทามติของชุมชนชัดเจน: ปัญหาความเป็นส่วนตัวของข้อมูลเป็นเรื่องของอำนาจโดยพื้นฐาน ไม่ใช่โปรโตคอล โซลูชันทางเทคนิคสามารถเป็นส่วนหนึ่งของคำตอบ แต่ไม่สามารถเอาชนะแรงจูงใจทางธุรกิจหรือทดแทนการคุ้มครองทางกฎหมายได้
แนวทางที่มีแนวโน้มดีที่สุดอาจรวมนวัตกรรมทางเทคนิคเข้ากับแรงกดดันจากการควบคุม กฎหมายคุ้มครองข้อมูลของ สหภาพยุโรป ให้ผู้ใช้ควบคุมข้อมูลของตนมากขึ้นแล้ว และโปรโตคอลอย่าง Solid กำลังได้รับความสนใจมากขึ้นในภูมิภาคที่มีกฎระเบียบความเป็นส่วนตัวที่แข็งแกร่งกว่า
ในตอนนี้ การถกเถียงยังคงดำเนินต่อไป ในขณะที่นักเทคโนโลยีทำงานเกี่ยวกับโปรโตคอลและเครื่องมือที่ดีกว่า ความท้าทายที่ใหญ่กว่าคือการโน้มน้าวองค์กรที่มีอำนาจให้ยอมสละการควบคุมข้อมูลที่ขับเคลื่อนโมเดลธุรกิจของพวกเขา นั่นเป็นปัญหาที่โค้ดที่ฉลาดแค่ไหนก็ไม่สามารถแก้ไขได้ด้วยตัวเองเท่านั้น
อ้างอิง: Schneier on Security