理想很丰满,现实很骨感:主打“全民基本收入”的Worldcoin遭遇监管拦路虎
撰文:夫如何
据官网,Worldcoin 目前通过 Orb 虹膜信息采集器生成的 World ID 已超 220 万,其中 Orb 业务扩展到全球 20 多个国家的 35 多个城市。尤其在其发币后,注册 World ID 的人数增速翻倍。
但 World APP 的高速增长也引来了各国政府相关监管部门的关注。
8 月 2 日,Orb 使用率最高的非洲国家——肯尼亚宣布暂停该项目继续收集虹膜信息。肯尼亚作为首个明确叫停 Orb 业务的国家,正为众多国家敲响警钟。截止目前,德国、英国、法国等国家也对 Worldcoin 展开调查:
- 肯尼亚政府暂停 Worldcoin 相关活动;
- 德国金融监管机构 Bafin 正在调查 Worldcoin;
- 法隐私监管机构:Worldcoin 合法性「似乎存疑」,正协助德巴伐利亚州当局调查;
- 路透社:英国数据监管机构将对 Worldcoin 进行进一步调查。
显然,采集生物信息数据与现行的数据保护条例间存在一定冲撞,且作为一个「去中心化」、无国界的区块链项目,Worldcoin 所归集到的数据在存储、归属、流通、使用等环节很难适用于单一地区的法律法规。
对此,Odaily 星球日报查询到一些主要采用国家 / 地区的相关条例:
1. 肯尼亚:肯尼亚的生物识别技术界定主要基于其《数据保护法 2019 》和《身份识别与注册法 2019 》等法律法规。根据这些法律,个人的生物识别数据被视为敏感个人数据,必须经过明确的同意和合法目的才能收集和使用。
2.欧盟:欧盟通过《通用数据保护条例》(GDPR)对生物数据的收集和使用进行了限制。根据 GDPR,个人必须明确同意他们的生物数据被收集和使用,并有权访问、更正、删除和限制访问他们的生物数据。此外,GDPR 还要求数据处理者采取适当的技术和组织措施,保护生物数据的安全性和隐私性。
3.英国:据英国的《数据保护法 2018 》和《人权法》,个人的生物识别数据被视为敏感数据,受到特别的保护。在使用生物识别技术时,必须遵守适用的数据保护原则和法律要求,包括明确的同意、合法目的和透明度等。
4.中国:中国制定了《个人信息保护法》和《数据安全法》等法律来保护个人数据隐私和数据安全,包括生物数据。
5.新加坡:新加坡的《个人数据保护法》规定了生物数据的保护。法律要求数据处理者遵守特定的数据保护原则,例如明确目的限制、合理使用和安全保护。
其中,欧盟的《通用数据保护条例》(GDPR)法律效应等级较高。
也正因如此,Worldcoin 在其官网披露的生物识别同意书中标明:
「我们遵守 GDPR 有关私隐事宜的原则。如您所在国家的数据隐私法没有达到 GDPR 的保护级别,我们仍然按照 GDPR(的保护规格)处理您的数据。」
具体而言,在《生物识别同意书》的 3.6 章节,Worldcoin 详细说明的不同地区在采集、移交数据时遵从的细则和对隐含风险的规避措施。总的来说,「我们不会以买卖、租售等任何方式从用户的生物数据中获利。」
我们还在「同意书」中发现了一点细节——虽然 Worldcoin 声称 Orb 收集的虹膜信息会在生成 World ID 的同时删除图像信息,保障隐私不被外泄,但相关数据不仅保存在本地,还会传输到美国或欧盟的公司用于模型训练。Worldcoin 给出的风控方案是:相关数据采用单向加密的形式,生成数字编码,并不会直接传输图片。
站在技术角度,Vitalik 在《What do I think about biometric proof of personhood?》中涉及虹膜采集方面的隐私安全问题中表示:
1.用户的手机可能会被黑客攻击,用户可能会在展示公钥时被迫扫描他们的虹膜,还存在使用 3D 打印技术制作「假人」的可能性,这些「假人」可以通过虹膜扫描并获取他人的 World ID。
2.虹膜扫描登记册可能会泄露信息,至少有可能被用来检查是否拥有 World ID,而虹膜扫描也可能揭示更多的信息。需要在实施此类技术时考虑隐私保护措施,以防止未经授权的访问并保护用户的隐私。
从好的方面来看,志在成为 AI 时代人类身份证的 Worldcoin,的确以这种激进的用增方式,引起了各国政府的注意,或许这是一次倒逼各地区讨论出更为通行的个人数据保护标准的契机。同时,站在圈内的角度,Orb 为 Web3 世界打开了新的「真实」流量窗口。
反过来,在实操层面,让各国政府允许一家公司掌握全球的身份证明数据,并不现实。此中蕴含的技术及道德单点风险极大。而且,Orb 作为实现「全民基本收入」的基础,对现实世界中不同地区采取了统一的 25 WLD「虹膜数据收购价」,自然也会遭遇重视「数据主权」的发达地区的阻力。