Следующая большая интернет-битва не будет касаться речи, модерации контента или даже искусственного интеллекта в узком смысле. Речь пойдет о разрешении. Кто получает доступ. Кто получает оплату. Кто считается настоящим. Кто может доказать, что принадлежит к категории, стране, профессии, сообществу или системе, не передавая при этом свою полную идентичность.
Это звучит абстрактно, пока вы не заметите, насколько много в современной жизни уже основано на хрупких, импровизированных формах проверки удостоверений и распределения токенов. Университетский диплом — это удостоверение. Тем же является паспорт, лицензия на ведение бизнеса, проверка KYC, значок разработчика, запись о вакцинации, счет заработной платы, достижение в игре, уровень лояльности, регистрация беженца или доказательство того, что вы достаточно взрослый, чтобы что-то купить. Распределение токенов происходит, когда деньги, доступ, субсидии, награды, кредиты, льготы или цифровые активы распределяются на основе этих удостоверений. Уберите жаргон, и проблема проста: мир построил огромные системы для определения того, кто имеет право на что, но трубы внизу фрагментированы, навязчивы, легко манипулируются, дороги в эксплуатации и зачастую жестоки на практике.
Этот провал имеет большее значение, чем люди думают, поскольку современные учреждения все чаще не доверяют самодекларациям. Им нужны машины, читаемые доказательства. Государства хотят знать, кто должен получать денежные переводы, субсидии на топливо, помощь при бедствиях, налоговые льготы и разрешения на границе. Работодатели хотят знать, кто сертифицирован, обучен, лицензирован и законно трудоспособен. Платформы хотят знать, кто считается человеком, создателем, торговцем, водителем или модератором. Финансовые сети хотят знать, кто под санкциями, рискован, подозрителен, платежеспособен или правомочен. Онлайн-сообщества хотят знать, кто надежен, уникален, местный, опытный или проверен. И криптовалюта, предсказуемо, хочет превратить все это в программируемую инфраструктуру.
Предложение звучит соблазнительно чисто. Постройте глобальный уровень для верифицируемых учетных данных и распределения токенов. Позвольте доверенным эмитентам подтверждать факты о людях или сущностях. Позвольте отдельным лицам хранить эти аттестации в кошельках. Позвольте организациям проверять заявления без необходимости каждый раз обращаться к эмитенту. Позвольте деньгам, льготам или правам автоматически течь, когда условия выполнены. Больше никаких бесконечных форм. Больше никаких дублирующих проверок. Больше никаких поддельных пользователей, собирающих аирдропы. Больше никаких поддельных дипломов. Больше никаких утечек субсидий. Больше никаких передач полного скана паспорта подозрительному приложению, просто чтобы доказать, что вам больше восемнадцати. Это аккуратная история. Она также упускает из виду самую трудную часть: системы, которые решают, кто имеет право на ценность, не просто перемещают информацию. Они переставляют власть.
Вот почему эта тема заслуживает большего скептицизма, чем она обычно получает. Центральная проблема не в том, что миру не хватает учетных данных. Дело в том, что текущие системы учетных данных изолированы, чрезмерно собраны, недостаточно надежны и плохо согласованы с реальным человеческим поведением. Банк проверяет вас одним способом, университет — другим, служба социального обеспечения — третьим, онлайн-платформа — четвертым. Каждый запрашивает перекрывающиеся документы. Каждый хранит свою собственную копию. Каждый делает свои собственные ошибки. Каждый создает свежую мишень для кражи данных. И ни один из них не может согласовать, что «проверено» даже означает в разных странах или контекстах.
Студент из Лагоса, подающий заявку на удаленную работу в Берлине, может иметь действительные квалификации и все же оказаться в ловушке, потому что работодатель не может легко аутентифицировать ее записи. Работник на временной основе может быть обязан пройти проверки идентичности на пяти разных платформах, снова и снова предоставляя тот же скан лица и тот же удостоверяющий документ. Семья, вынужденная покинуть свой дом из-за конфликта, может потерять доступ к льготам, потому что их документы были уничтожены или потому что системы агентств не взаимодействуют. Создатель может иметь право на программу вознаграждений токенами, но быть отфильтрованным анти-ботовыми правилами, потому что система не может различить псевдонимную легитимность и мошенничество. Это не крайние случаи. Это то, как система выглядит, когда она встречается с реальной жизнью.
Мечта о глобальном уровне верификации возникает из этого хаоса. В теории, человек должен иметь возможность собрать доверенные аттестации один раз и использовать их выборочно. Не «вот моя полная идентичность», а «вот доказательство, что я удовлетворяю этому условию». Мне больше 18. У меня есть медицинская лицензия. Я окончил этот университет. Я живу в этом регионе. Я еще не запрашивал это пособие. Я один человек, а не тысяча марионеток. Правильно спроектированное, это уменьшит объем личных данных, разнесенных по базам данных, сократит повторяющуюся работу по соблюдению требований и позволит людям перемещаться между системами, не начиная с нуля каждый раз.
Это лучший случай. Это реально. Это также неполно.
Первое, что ломается на практике, это доверие к эмитентам. Любая глобальная система учетных данных существует или умирает в зависимости от того, кто может подтверждать факты и почему кто-то другой должен им верить. Диплом полезен только тогда, когда учреждение, его выдающее, надежно. Доказательство проживания полезно только тогда, когда проверяющий доверяет местному органу или записи коммунальных услуг, стоящей за ним. Доказательство уникальности полезно только тогда, когда метод, используемый для установления уникальности, не легко подделать или манипулировать. Нет никакой технической уловки, которая могла бы это волшебно решить. Доверие возникает из управления, стимулов, ответственности и репутации. Если уровень эмитентов захватывается слабыми учреждениями, коррумпированными посредниками или стремящимися к прибыли воротилами, вся структура становится дорогой оболочкой вокруг плохой власти.
Второй разрыв возникает из-за отзыва и изменений. Люди любят говорить о портативных учетных данных, как будто идентичность статична. Это не так. Лицензии истекают. Трудоустройство заканчивается. Списки санкций меняются. Статус беженца меняется. Медицинские учетные данные приостанавливаются. Корпоративные бенефициары меняются. Человек, который был правомочным вчера, может не быть правомочным сегодня. Проверяющему нужны своевременные факты, а не просто красивая подписанная декларация из прошлого. Это означает, что системе нужны механизмы отзыва, проверки актуальности и обновления статуса. Чем динамичнее учетные данные, тем меньше фантазия о постоянном самомостоятельном контроле действительно справедлива.
Затем возникает ловушка конфиденциальности. Защитники учетных данных часто обещают минимизацию данных, и иногда они имеют это в виду. Выборочное раскрытие и доказательства с нулевым знанием могут позволить кому-то доказать условие, не раскрывая основной документ. Это ценно. Но конфиденциальность в этих системах не просто о том, что проверяющий видит в одной транзакции. Это также о связываемости между многими транзакциями, утечке метаданных, безопасности устройства, восстановлении кошелька и власти сторон, устанавливающих правила. Система может снизить явное обмен документов, при этом создавая гораздо более богатую поведенческую графику того, куда люди идут, что они утверждают, с какими сетями они взаимодействуют и когда они получают ценность. Этот вид истощения становится неотразимым для государств, рекламодателей, страховщиков, работодателей и любого другого, у кого есть деньги или власть.
Здесь распределение токенов меняет ставки. Верификация сама по себе является административной. Верификация, связанная с деньгами, становится политической. Как только учетные данные могут вызывать платежи, права доступа или передаваемые активы, люди начинают немедленно манипулировать границами. Это не моральный провал. Это встреча проектирования системы с проектированием стимулов. Если аирдроп вознаграждает «уникальных людей», люди будут пытаться создать уникальность. Если субсидия вознаграждает учетные данные резидентства, некоторые попытаются подделать резидентство. Если общественное вознаграждение идет «активным участникам», пользователи будут автоматизировать активность. Если DAO дает токены управления проверенным профессионалам, начнется лоббирование о том, кто считается профессионалом и какие учреждения могут их сертифицировать. Каждое распределительное правило создает черный рынок в квалификации.
Это не означает, что идея обречена. Это означает, что люди, строящие ее, должны перестать притворяться, что они просто решают инфраструктуру. Они проектируют оспариваемые системы распределения. Важные вопросы не только криптографические. Они социальные. Что можно оспорить? Кто проверяет эмитентов? Кто несет расходы на ложные положительные и ложные отрицательные результаты? Что происходит, когда человек не может или не хочет использовать доминирующий кошелек? Как участвуют несовершеннолетние, пожилые пользователи, недокументированные лица, беженцы или цифровые исключенные? Каков оффлайн-резерв? Как восстановить доступ после потери устройства, не передавая полный контроль центральному хранителю? Система, которая работает элегантно для хорошо оснащенных, но наказывает всех остальных, не является нейтральной. Это выборочное исключение, замаскированное под эффективность.
Существует также базовая путаница на рынке между идентичностью и правомочностью. Глобальная инфраструктура для проверки учетных данных не должна знать всего о человеке. Во многих случаях ей следует знать меньше. Цель не состоит в том, чтобы создать одну главную графику идентичности. Это было бы подарком для слежки и кошмаром для гражданских свобод. Лучший модель более узкая и модульная: много учетных данных, много эмитентов, много контекстов, минимальное раскрытие. Вопрос не «Кто вы в целом?» А «Можете ли вы доказать эту одну вещь для этой одной цели?» В момент, когда система отклоняется от этого принципа, она начинает превращаться в универсальный уровень контроля.
Этот дрейф не гипотетический. Учреждения любят многоразовую инфраструктуру, но они любят наблюдаемость еще больше. Если общая сеть проверки станет широко принятой, каждый актер на ее основе будет настаивать на большей стандартизации, большем раскрытии, большем хранении данных, большей совместимости с инструментами принуждения и соблюдения, и меньшем количестве исключений. Они будут говорить, что им это нужно для снижения мошенничества, удовлетворения регуляторов, защиты пользователей или предотвращения терроризма. Иногда они будут правы. Иногда они будут использовать эти причины, чтобы расширить сеть далеко за пределы необходимости. Результатом может стать система, которая начинается как удобство, сохраняющее конфиденциальность, и заканчивается как практическое требование для участия в обычной жизни.
Глобальная часть видения делает это еще более запутанным. Учетные данные выдаются в рамках неравных правовых и политических систем. Регистрация бизнеса из одной страны воспринимается иначе, чем такая же регистрация из другой. Защита прав человека варьируется в огромной степени. Режимы защиты данных также различаются. Как и уровни коррупции, цифровой грамотности, надежности документов и возможностей государства. Любая, казалось бы, глобальная структура в конечном итоге должна ответить на унизительный вопрос: чьи учреждения рассматриваются как изначально надежные, а чьи граждане подлежат дополнительной проверке? Как только вы задаете этот вопрос искренне, вы понимаете, что инфраструктура не будет плавать над геополитикой. Она будет поглощать ее.
Трудовые рынки между странами четко показывают проблему. Удаленный работник из одной страны может быть обязан доказать свою идентичность, налоговое резидентство, банковский статус, очистку от санкций, образовательные учетные данные и разрешение на работу, чтобы получить оплату от иностранной компании или платформы. Более чистая система учетных данных могла бы уменьшить трение и ускорить платежи. Но это также могло бы укрепить двухуровневый мир, в котором работники из некоторых юрисдикций получают автоматическое одобрение, в то время как другие навсегда остаются в состоянии повышенной проверки. Технология может устранить бумажную работу и углубить иерархию одновременно.
Проекты криптовалюты особенно стремятся объединить верификацию с распределением, потому что их главная операционная проблема часто заключалась в сопротивлении синдикатам: как распределить токены настоящим участникам, а не ботам, внутренним людям или наемным фермерам. Инстинкт понятен. Если токены управления должны представлять сообщества, то массовая манипуляция разрушает легитимность. Тем не менее, опыт криптовалюты здесь должен насторожить всех. Слишком много систем токенов спроектировано неправильно. Они начинаются с желания распределить актив, а затем в спешке изобретают фильтры идентичности после появления плохих актеров. Это приводит к неаккуратной проверке паспортов, навязчивой KYC для тривиальных случаев использования, аутсорсинговым биометрическим экспериментам или любительским схемам социальных графов, которые привилегируют уже подключенных. Результат часто бывает худшим из обоих миров: слабая конфиденциальность и слабая справедливость.
Государства сталкиваются с зеркальной проблемой. У них обычно есть более сильные полномочия для проверки идентичности, но слабее инстинкты сдерживания. Цифровая общественная инфраструктура может сделать доставку льгот более быстрой, дешевой и менее коррумпированной. Это важно. Утечки и мошенничество реальны. Так же как и унижение, заставляющее бедных людей снова и снова доказывать одни и те же факты, чтобы получить поддержку, на которую они уже имеют право. Но когда социальное обеспечение, доступ к здравоохранению, образование, налоговые записи, разрешения на передвижение и финансовые рельсы начинают сливаться вокруг общих учетных данных, различие между доставкой услуг и социальным контролем быстро становится тонким. Тот же переключатель, который ускоряет распределение, может также приостановить человека сразу в нескольких системах.
Сторонники этих сетей часто отвечают архитектурой. Децентрализуйте хранение. Отделите эмитентов от проверяющих. Используйте криптографические доказательства. Позвольте пользователям хранить свои собственные учетные данные. Добавьте открытые стандарты. Это хорошие шаги. Они важны. Но архитектура не является управлением. Открытые стандарты все еще могут производить закрытую власть, если небольшая группа эмитентов становится обязательной. Самостоятельное хранение все еще может провалиться, если восстановление невозможно для обычных пользователей. Децентрализация на уровне данных может сосуществовать с централизацией на уровне политики. Стандарт кошелька не говорит вам, кто попадает в черный список, кто получает доступ, или кто игнорируется, когда что-то идет не так.
Самая трудная правда в этой сфере заключается в том, что большинство людей не хочет управлять учетными данными как хобби. Они забывают пароли. Они теряют телефоны. Они делят устройства. Они нажимают на подсказки, которые не понимают. Они каждый день обмениваются конфиденциальностью на удобство, потому что альтернатива утомительна. Любая серьезная инфраструктура должна встречать людей там, где они находятся, что означает, что хранение, делегирование, опека, поддержка клиентов, разрешение споров и стандартные настройки будут важны так же, как и криптография. Это, в свою очередь, означает, что посредники вернутся. Возможно, не те же самые посредники, что у нас сейчас, но новые: поставщики кошельков, брокеры учетных данных, службы восстановления, рынки аттестаций, уровни соблюдения, поставщики оценок и регистры доверия. Фантазия о том, что посредники исчезают, — это просто фантазия. Реальный вопрос заключается в том, являются ли новые посредники более ответственными, чем старые.
Существует также вопрос труда, скрывающийся на виду. Системы верификации часто продаются как автоматизированное доверие, но когда они терпят неудачу, именно люди занимаются уборкой. Кто-то рассматривает апелляции. Кто-то расследует мошеннические схемы. Кто-то занимается ошибочными отказами. Кто-то переиздает учетные данные после ошибок. Кто-то интерпретирует крайние случаи, которые не могут быть обработаны движками правил. Если инфраструктура расширяется на глобальном уровне, то невидимый административный труд также расширяется, обычно перепоручаемый подрядчикам, аутсорсинговым командам по соблюдению требований, модераторам и работникам низкой статуса. Чистые интерфейсы на переднем плане часто основываются на неаккуратном человеческом суждении в бэк-офисе.
А затем есть базовый моральный риск программируемости. Как только учетные данные и токены соединены вместе, организации могут создавать экономические системы с высокой степенью условности. Вы можете тратить это только здесь. Вы можете передавать это только после той проверки. Вы можете получать это только если эти метрики остаются выше порога. Часть этого полезна. Помощь при бедствиях с ограничениями может уменьшить определенные злоупотребления. Профессиональные гранты могут нацеливаться на лицензированных получателей. Углеродные кредиты, образовательные стипендии, исследовательские выплаты и медицинские льготы могут иметь законные условия. Но условные деньги никогда не бывают просто деньгами. Это политика, закодированная в транзакциях. Чем более детализированы контрольные механизмы, тем сильнее искушение использовать их для формирования поведения далеко за пределами первоначальной цели.
Вот почему фраза «инфраструктура распределения» заслуживает больше внимания, чем она получает. Распределение звучит нейтрально, как сантехника. На самом деле это определяет переговорную власть. Если государство может мгновенно предоставлять льготы, но также может автоматически их отменить, его рычаги усиливаются. Если платформа может проверять создателей и направлять вознаграждения напрямую, она может дезинтермедировать некоторых действующих игроков, становясь при этом более сильным воротилой. Если международный стандарт учетных данных позволяет крупным работодателям нанимать глобально с меньшим трением, работники могут получить доступ к рабочим местам, столкнувшись с более жесткой конкуренцией по заработной плате. Если доминирующий кошелек становится местом, где все учетные данные, льготы, репутация и активы накапливаются, этот поставщик кошелька становится ближе к частной коммунальной службе.
Так как же будет выглядеть разумная версия этой инфраструктуры?
Она начнется с отказа от мечты о единой идентификационной системе, которая правит всеми. Она будет отдавать предпочтение множественным учетным данным вместо универсальных профилей. Она будет рассматривать выборочную раскрытие информации как базовый уровень, а не как премиальную функцию. Она минимизирует количество сущностей, которые могут видеть метаданные на уровне транзакций. Она встроит механизмы отзыва и истечения срока действия в основное проектирование, вместо того чтобы делать вид, что каждое заявление вечно. Она будет отделять доказательства правомочности от доказательства полной идентичности, когда это возможно. Она будет поддерживать оффлайн-использование и использование с низкой связностью. Она предложит пути восстановления, которые не требуют элитной технической компетенции. Она позволит делать значимые апелляции. Она опубликует четкие правила ответственности для эмитентов, чьи плохие аттестации причиняют вред. Она позволит людям использовать псевдонимность в контекстах, где юридическая идентичность на самом деле не нужна. И она будет противостоять объединению учетных данных в один гигантский репутационный балл.
Она также будет честной в том, где централизация неизбежна. Некоторые функции требуют подотчетных учреждений. Если медицинская палата сертифицирует врачей, эта палата должна быть идентифицируемой, подлежащей аудиту и отвечающей за ошибки. Если государство выдает юридический статус, оно не может снять с себя ответственность, указывая на код. Одержимость децентрализацией иногда выступает как уклонение, способ наслаждаться оптикой расширения полномочий, оставляя реальные властные отношения неопределенными. Лучше назвать власти, сузить их полномочия и ограничить их, чем притворяться, что власть исчезла.
Прежде всего, надежная система должна строиться вокруг снижения вреда, а не технологической чистоты. Ключевой метрикой не является то, насколько элегантно выглядит протокол в белой книге. Это вопрос, исключаются ли меньше людей из-за clerical ошибки, хранят ли меньше баз данных ненужные личные документы, уменьшается ли мошенничество без превращения каждого пользователя в подозреваемого, становится ли участие между границами более реальным для обычных людей, реальны ли права на апелляцию и рассматриваются ли бедные и отключенные как пользователи первого класса, а не как второстепенные.
Глобальная инфраструктура для проверки учетных данных и распределения токенов не является нишевым техническим проектом. Это попытка перепроектировать правила, по которым люди доказывают право и получают ценность. Если все сделано правильно, это может сократить потери, снизить трение, лучше защитить конфиденциальность, чем системы, которые у нас есть, и сделать участие более переносимым между учреждениями и границами. Если сделать плохо, это может создать мир, где доступ, деньги и легитимность легче автоматизировать, легче централизовать и труднее оспаривать.
Это то, что стоит понять к концу всего этого. Реальный вопрос не в том, станут ли учетные данные цифровыми, переносимыми и программируемыми. Они уже такими являются. Реальный вопрос заключается в том, кто получает право определять важные доказательства, кто управляет рельсами, которые их уважают, и что происходит с людьми, которые не вписываются в модель. Каждая система верификации создает инсайдеров, аутсайдеров и апелляции к неизбежности. Умный ответ — не отвергать инфраструктуру полностью или слепо поддерживать ее. Нужно задавать вопросы на каждом этапе: какой тип общества проникает в эту инфраструктуру.