DID技术下社交媒体用户隐私保护新思路探析

周鹍鹏　姜雪

【摘要】社交媒体作为人们生活中重要的社交工具，在满足用户社交需求的同时，也衍生出隐私安全问题。社交媒体用户隐私侵犯的表现具有普遍性、严重性以及保护上的困难性。中心化互联网是社交媒体侵犯用户隐私的根源，用户的隐私边界意识薄弱和社交媒体利润驱动等因素也强化了隐私侵犯行为。DID（分布式数字身份）作为“安全可信去中心化”的数字身份技术，是实现用户数据确权的重要技术支撑，为治理社交媒体隐私侵犯提供了新的思路。

【关键词】DID；社交媒体用户隐私；隐私侵犯

社交网络的普及推动了用户数据的海量增长。数据作为社交媒体的重要生产要素，为社交媒体带来了巨大的经济利益。社交媒体在利用数据创造价值的同时，也在有意或无意中侵犯了用户隐私。绝大多数社交媒体以中心化B/S网络架构为基础，掌控着用户数据的收集、存储和处理的权利。用户面对强大的社交媒体，在保护自己的隐私方面显得无能为力，用户隐私保护问题亟待解决。区块链作为一种去中心化、难以篡改、可追溯、多节点共同维护的分布式加密数据库，在隐私保护方面具有先天优势。DID（Decentralized

Identify，分布式数字身份）依托区块链去中心化的技术特点，将用户数据所有权归还给用户，通过扁平化、弹性化的分布式身份管理，解决用户隐私保护的问题。[1]目前，国内外分布式数字身份相关的项目已达200多个，微软、IBM、微众银行等企业先后加入了DID技术开发的行列，瑞士、爱沙尼亚等国家也在尝试利用DID技术保护用户的隐私。本文在对社交媒体隐私侵犯的表征和原因进行系统分析的基础上，提出了利用DID技术保护社交媒体用户隐私的新思路。

一、社交媒体用户隐私的内涵及侵犯行为表征

（一）社交媒体用户隐私的内涵

我国《民法典》第1032条规定，隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。[2]数字化时代，隐私有了更为丰富的内涵和外延，除了个人物理性隐私外，还涉及信息性隐私，[3]即数据隐私。数据隐私是指数据拥有者不愿意被他人披露和知晓的敏感数据。数据隐私按照内容可划分为多种类型，比如身份隐私、属性隐私、社交关系隐私、位置与轨迹隐私等。[4]

社交媒体用户隐私是数据隐私的一部分，是指用户在使用社交媒体时所产生的与己相关的敏感数据信息，主要包括六个方面：姓名、性别、年龄等详细的个人信息、个人消费信息、好友关系以及聊天信息、基于分享功能所呈现的思想观点和生活状态、GPS定位下地理位置信息、根据浏览痕迹和朋友圈传递出来的兴趣爱好。[5]由于社交媒体用户隐私内容丰富、主体复杂、形式多样的新特点，使得用户隐私保护变得非常困难。

（二）社交媒体用户隐私侵犯表征

1.隐私侵犯具有普遍性

社交媒体广泛渗入人们生活的各个方面，社交媒体营造的公共空间与用户的联系越发紧密。[6]用户与社交媒体的双向依赖让隐私侵犯具有普遍性，一方面用户依赖社交媒体，用户享受社交媒体提供的各种社会服务，以满足社交、自我表达、获取信息等需求；另一方面社交媒体依赖用户数据，数据作为社交媒体的核心资源和价值创造源泉，驱使着社交媒体有足够的动力收集、存储和处理用户数据。社交媒体与用户的这种隐含的交易十分普遍，但这种交易实质上是不对等的，社交媒体以零边际成本提供信息服务，用户以让渡自身数据为代价，用户每使用一次社交媒体，就等于和社交媒体签订了一次“浮士德合约”，就像《浮士德》里浮士德博士为了获得对生活的满足与享受，以出卖自己的灵魂给魔鬼梅菲斯特为代价，用户隐私数据即是合约里的“灵魂”。[7]

2.隐私侵犯具有严重性

根据腾讯控股发布的2021年二季度业绩报告，截至6月30日，微信月活跃用户达12.51亿人。由于社交媒体用户数量多，数据信息丰富，一旦用户隐私数据被泄露，就会产生严重后果。在经济方面，社交媒体在经济利益的驱使下，对用户隐私数据进行商业化利用，并获得巨额利润，但用户应得的数据收益却被最小化甚至直接抹去。例如Twitter在2019年披露过，用户为安全功能提供的电话号码和电子邮件地址可能被用于定向广告，Twitter占有全部广告收益，但用户并不能从数据商业利用中获得任何收益。在心理层面，个人隐私数据在社交媒体平台泄露传播，并从线上转至线下，衍生出的“网络暴力”“推销诈骗”等后果远远大于传统隐私侵犯行为所带来的影响[8]，当事人常常陷入极化的社会舆论中，背负沉重的心理负担。在政治方面，隐私侵犯也会带来严重的政治后果，比如，2018年，Facebook承认在利益的驱动下，把8700万Facebook用户数据以不正当的方式提供给政治咨询公司剑桥分析，在2016年美国总统大选中影响选民的投票态度和行为。

3.隐私保护具有困难性

隐私保护“应当”强化的社会期待与社交媒体在实践中“能够”强化保护之间的鸿沟越来越大[9]，社交媒体平台与用户正在面临着“隐私悖论”。社交网络技术对个人隐私信息的收集和记录是多维度的，用户的真实信息、行动轨迹、兴趣爱好等在“全景式”窥探下被深入挖掘利用，呈现出“单粒度治理”的特征。社交媒体平台单向度的窥视使用户难以采取措施，对个人的数据进行确权、保护和隐藏。面对强大的社交媒体，用户居于弱势地位，悬殊的资本实力与地位关系，决定了用户的隐私保护将长期面临不对等的现实困境。[10]隐私保护困难表现在以下几个方面：一是用户个人保护隐私的意识不强，用户愿意并乐于在网络上公开自己的信息，将自己的隐私信息展露无遗。[11]二是用户隐私难以界定，“隐私”是对于私人领域界限的划定和控制，社交网络模糊了公私領域的边界，这些模糊区域为社交媒体侵犯或滥用用户的个人信息提供了机会。三是隐私保护技术仍不完善，隐私保护技术分为防御型和溯权型两类，但这两类技术比较繁琐，且应用性不高。四是隐私保护法律法规不健全。五是数据维权成本高，用户在数据维权过程中投入的时间、经济、心理等成本往往超过了被侵害的隐私权益，许多用户在斟酌之下选择放弃维权。

二、社交媒体用户隐私被侵犯的原因

社交媒体在为用户提供信息交流服务并满足用户社交需求的同时，隐私侵犯问题也随之出现，其背后的原因主要表现在中心化万维网、用户边界意识模糊以及垄断利润驱动三个方面。

（一）中心化万维网是隐私侵犯的技术根源

1969年，美国高级研究计划署（ARPA）建立多中心的指挥网络——阿帕网。1973年，鲍勃·卡恩与文特·瑟夫合作设计通信控制协议（TCP/IP协议），该协议作为互联网体系结构的唯一标准，直接决定了互联网的去中心化特征。[12]1991年，欧洲原子核研究所研究员蒂姆·伯纳斯·李发明了基于B/S（Browser/Server）网络架构的万维网，开启了互联网商业化时代。基于B/S网络架构的万维网具有明显的中心化特征。中心化的网络架构为社交媒体收集大量用户数据提供了技术支撑。目前，大多数社交媒体都是依托B/S架构而建立，支撑中心化数据存储的万维网成为社交媒体侵犯用户隐私的根源。

（二）隐私边界模糊是隐私侵犯的主观因素

隐私边界源于美国学者桑德拉·佩特罗尼奥于1991年提出的“隐私边界协调管理理论”，该理论主要着眼于信息交换过程中的边界控制问题。[13]社交媒体用户对线上行为数据缺乏敏感性，常常模糊个人隐私边界，把握不准哪些数据信息该披露，哪些不该披露。隐私边界与社会渗透理论一致，社交媒体用户为了与他人建立社交关系，倾向于主动披露自我的个人信息。同时，用户往往在披露个人信息的过程中高估自己的隐私保护能力，造成私密信息的主动泄露，导致个人数据信息被社交媒体利用。

（三）经济利益驱动是隐私侵犯的内在动因

社交媒体為了攫取数据红利，就需要采集大量用户私人信息，当社交媒体平台上的用户数据资源累积到一定量时，就会对平台的运行与决策产生极大的价值，促成数据资本的垄断。[14]数据资本化驱动社交媒体平台持续为用户提供免费或低价信息内容服务，从而不断收集用户数据。同时，“锁定效应”（Lock-in Effect）也会强化社交媒体平台的垄断。所谓“锁定效应”是指一旦经济系统运行到一种特定状态，便不会转换发展路径，在逐步适应中进一步强化这种状态，最终形成“选择优势”。[15]社交媒体用户在考虑转向其他社交媒体时，由于转移数据的消耗性与不便感，产生了“路径依赖”，往往会选择继续使用原有社交媒体。

三、DID技术保护用户数据隐私的新思路

DID有助于社交媒体用户保护其个人数据隐私。DID是W3C（World Wide Web Consortium）基于区块链技术提出的一个概念，即一种新型可验证的“自主权”数字身份标识符，旨在形成Web3.0时代数字身份的标准规范。与中心化数字身份相反，DID是一种“安全可信去中心化”的数字身份技术。[16]DID把用户的数字身份从中心化机构中剥离出来，让用户最大程度地实现数字身份的自我主权。

（一）明确数据归属主体，隐私难侵犯

基于区块链技术，DID以及相关联的信息都被加密存至区块链上，用户可利用私钥和数字签名证明自己的身份和相关权利，也可核验对方身份以及交易所有权的真实性，摆脱了权威机构对标识关联信息的掌控，实现数字身份的自我主权。2019年12月，腾讯推出可信教育数字身份，该身份遵循国家密码法、电子签名法、网络安全法等法律法规，面向师生签发，集合法定身份信息、教育人员身份信息、网络身份信息的三大身份，形成可信的教育数字身份标识并实现统一认证，具有法律效力的可信数字身份标识，解决了潜在的个人隐私安全保护问题。[17]

（二）助力用户隐私保护，隐私难利用

DID技术实现了社交媒体用户数字身份的自主可控，用户拥有自主管理标识关联信息的权利和能力，从标识产生的根源上达到了标识自主化的目的，打破了中心化网络资源管理模式。这说明分布式数字身份既可以自证明用户身份信息，还可以减少社交媒体平台的非法或不正当利用用户数据，实现了数字身份的个性化管理。自2017年9月以来，瑞士楚格市为全市约3万市民提供分布式电子身份eID，该身份基于去中心化身份平台uPort，通过区块链将个人数据存储在移动电话上，经过加密，市民可以控制发布的信息以及向谁发布信息。[18]

（三）实现用户身份隐藏，隐私难跟踪

基于DID技术，用户在社交媒体平台中遗留的浏览数据痕迹等私人信息数据，可以选择性公开或隐藏，不过经过用户授权，社交媒体平台无权获取用户数据。2022年1月6日，由中国科学院计算机网络信息中心主办的“新时期个人数据保护政策与技术”学术研讨会指出，以个人数据为中心的大数据时代将加速到来，其底层逻辑更加要求数据的私密性、安全性和难以篡改性，会议倡议发起个人大数据协作社群（Personal Data Community，PDC），形成围绕个人数据研究的开放合作机制。该机制将个人数据加密保存在个人的数据中心模型，并与个人的DID关联，每个人对自己的数据负责，当社交媒体平台需要获取用户的某些隐私数据时，则需要用户的DID授权才能解密访问。

四、结语

以上分析表明，社交媒体用户隐私侵犯具有普遍性、后果严重性以及保护困难性特征。基于B/S网络架构的中心化万维网、用户模糊的隐私边界意识和社交媒体数据垄断使隐私保护陷入困境。DID技术凭借“安全可信去中心化”的优势，把数据所有权归还给用户，让用户控制和管理其数字身份，为用户隐私保护提供新的技术解决思路。由于社交媒体不会轻易让渡其对用户数据的控制权，难以主动推进DID技术的应用。但随着社交媒体用户隐私素养的提升，区块链技术进一步成熟和相应法律法规的健全，DID广泛应用到社交媒体用户隐私保护为时不远。

[项目资助：国家社科基金后期资助重点项目“区块链赋能视阈下传媒产业重构研究”（项目号：20FXWA002）阶段性成果]

参考文献：

[1]姚前，张大伟.区块链系统中身份管理技术研究综述[J].软件学报，2021，32（07）：2260-2286.

[2]新华网.中华人民共和国民法典[EB/OL].[2021－04－01].http：//www.npc.gov.cn/npc/c30834/202006/75ba6483b83 44591abd07917e1d

25cc8.shtml.

[3]傅琳雅.智媒时代个人数据隐私权保护的冲突与协调[J].青年记者，2021（8）：90-91.

[4]冯登国.大数据安全与隐私保护[M].北京：清华大学出版社，2018：174-175.

[5]黄晓晓.社交网站隐私侵权及保护研究：基于个人信息与数据安全视角[J].今传媒，2016，24（01）：51-54+61.

[6]謝兴政，蔡念中，黄志铭，魏武.社交媒体用户隐私悖论行为影响因素初探[J].图书情报工作，2018，62（18）：55-63.

[7]熙代.区块链经济学[M].北京：机械工业出版社，2019：59.

[8]赵芳霞.社交媒体用户隐私泄露、侵犯与保护研究[D].兰州：兰州财经大学，2019.

[9]陈堂发.互联网与大数据环境下隐私保护困境与规则探讨[J].暨南学报（哲学社会科学版），2015，37（10）：126-130.

[10]周浒.论大数据时代个人隐私保护的现实困境与破局之术[J].征信，2019，37（12）：43-47.

[11]张峰.大数据时代隐私保护的伦理困境及对策[J].人民论坛·学术前沿，2019（15）：76-87.

[12]王世华，冷春燕.互联网再认识：去中心化是个伪命题？——兼与李彪先生商榷“中心化”问题[J].新闻界，2013（20）：46-49.

[13]徐敬宏，张为杰，李玲.西方新闻传播学关于社交网络中隐私侵权问题的研究现状[J].国际新闻界，2014，36（10）：146-158.

[14]徐则荣，刘金，孙一心.互联网平台企业的垄断特征与治理[J].福建论坛（人文社会科学版），2021（9）：67-75.

[15]Arthur W.Competing Technologies，Increasing Returns and Lock-in by Historical Events[J].EconomicJournal，1989，99（394）：116-131.

[16]姚前，张大伟.区块链系统中身份管理技术研究综述[J].软件学报，2021，32（07）：2260-2286.

[17]分布式数字身份产业联盟.DIDA白皮书[R].2020-8-9.

[18]分布式数字身份产业联盟.DIDA白皮书[R].2020-8-32.

（周鹍鹏为郑州大学教授、管理学博士、博士生导师，中原传媒研究院常务副院长；姜雪为郑州大学新闻传播学院2021级硕士生）

编校：张如铁