2018年5月，有史以來影響最深遠的個人資料保護立法生效:歐盟《一般資料保護條例》(General data protection Regulation，簡稱GDPR)。

該法由歐洲議會和理事會制定，旨在統一歐盟內部的隱私規定，併為個人提供對其個人資料的廣泛控制。為了實現這一目標，GDPR可以對違反者實施嚴厲的處罰。不遵守該法律規定的公司，將面臨高達4%的全球營業額或2000萬歐元的罰款，以較高金額為準。接下來的一個月，布朗州長簽署了375號法案，即現在的《2018年加州消費者隱私法案》，該法案賦予加州人收集個人資訊的類似權利。關於GDPR將如何影響歐洲企業以及非歐盟公司和國際公司的運營，已經有很多著述。對於下面的分析，我們將假定，除了明顯的例外，該法律將在歐盟內外執行，並將管理美國公司如何對待個人資料。個人資料-身分的建立

個人資料一般被理解為與可識別的個人有關的任何資料;一個可識別的人是指一個人可以透過參考一個識別號碼(即社會安全號碼)或一個或多個特定於一個人的身體、生理、心理、經濟、文化或社會資訊的因素進行直接或間接地被識別的人。第三方冒充的資料所有者使用個人資料被認為是“身份盜竊”。因此，GDPR保護個人的身份。GDPR禁止將歐洲經濟區以外的資料轉讓給第三方國家，除非接受國提供“足夠程度的資料保護”。儘管美國在資料安全標準方面與歐洲委員會進行了廣泛的合作，但目前該委員會並不認為這是一個適當的管轄範圍。法定身份與法定貨幣一樣，法定貨幣可以讓政府宣佈哪些貨幣是法定貨幣，而“法定身份”則與政府的法令掛鉤，政府認為哪些檔案是可以用來核實一個人的身份，並且是合法的。在美國，政府從1936年開始發放社會保險號。根據社會保障局的資料，到目前為止，大約有4.54億個不同的號碼被分配。雖然最初的目的是跟蹤美國工人的收入，以確定他們的社會保障福利，但政府機構和公司很快發現了許多新的數字用例，逐漸將其轉變為“生活系統的證據”。

當有人問 “你社交網路的最後四位數字”時，答案就是政府分配的序列號。迄今為止，歐洲小國愛沙尼亞成功地採用了一種比較開明的身份解決辦法。98%的國家已經發放了電子身份證。該卡是一種加密安全的數字身份，由後端區塊鏈式基礎設施提供支援，使愛沙尼亞人能夠獲得公共服務、金融服務、醫療和緊急服務，以及線上納稅、電子投票、提供數字簽名以及無需護照在歐盟境內旅行。分析“產品”網際網路，以及更大範圍內的全球資訊網的出現，使得越來越多的資料經紀人可以訪問個人資料，包括那些提供社會工程即服務(SEaaS)的資料經紀人。與此同時，基於web的應用程式導致了可觀察和記錄的個人資料型別(即web頁面的點選)的爆炸式增長，從而導致了線上身份(有時也稱為“數字身份”)的產生。雖然大多數歐洲國家已經確定了將網路身份管理留給營利性公司是危險的，但一個全國性的醜聞——現在簡稱為“劍橋分析”——喚醒了美國公民，讓他們意識到他們的身份已經變成了產品，被賣給廣告商和壞人。

更麻煩、更令人震驚的是，資料經紀人並不侷限於向廣告商出租個人資料，而是在彼此之間交換這些資訊。像Acxiom (LiveRamp Holdings, Inc.)這樣的公司公開推銷他們在出售個人資料方面的能力“LiveRamp IdentityLink是一項身份解析服務，它將資料與真實的人聯絡起來，並使基於人的營銷活動透過數字渠道獲得資料。“谷歌、Facebook、LinkedIn以及許多流行的網路和移動應用程式的主要(商業)性質是廣告市場。這些公司的“免費服務”由營銷公司以每小時超過1000萬美元的現金支付，使用者因此失去了隱私。區塊鏈來拯救?區塊鏈結合了許多保護敏感資料的特性:去中心化、加密、透明和訪問控制。目前控制個人資料的大多數系統都缺少許多(有時全部)這些功能。GDPR要求公司透過多層保護來保護個人資料，以確保資料不會丟失、銷燬或洩露給未經授權的個人。這一原則與區塊鏈技術的一個特點相同，即匿名化。因此，越來越多的區塊鏈專案試圖解決個人資料和身份管理的問題，這些專案包括Civic、SelfKey、Evernym、uPort和Shocard。

區塊鏈驅動的身份識別解決方案的重要性也引起了傳統科技公司的注意，如IBM，該公司宣稱其承諾：“為網際網路上的每個人建立一個安全的、支援區塊鏈的去中心化身份”。多數情況下，這些申請的重點是利用政府頒發的證書，改善涉及金融機構的法律和監管負擔的程式，比如“瞭解你的客戶”(KYC)法律。還有一些人認為，消費者可能有興趣成為自己的資料經紀人，從而從出售個人資訊中獲利。如上圖所示，當前的政府系統以及商業實體對個人資料作為商品的處理是當前身份管理問題的核心。就像富蘭克林·福爾在他的《沒有思想的世界》一書中解釋的那樣，Facebook和其他社交媒體應用程式之所以能夠實現驚人的增長率，是因為它們消除了個人資料交換過程中的摩擦，並預設了“選擇退出”正規化，這種正規化要求使用者採取行動保護自己的資料，同時常常透過不受限制地共享資訊來傳遞更大的效用。根據GDPR，所有未來的應用程式都必須在設計上遵守隱私，要求使用者選擇使用資料，同時增加使用透明度和匿名化。小結毫無疑問，區塊鏈可以成為解決當前身份管理危機的一部分。然而，除了去中心化資料處理之外，任何不解決遺留系統造成的問題的方法都不太可能得到廣泛的適應。

畢竟，保護一個已經被資料代理和未授權使用者複製的數字身份沒有什麼價值。對於那些試圖讓使用者從出售個人資訊中獲利的公司來說，可伸縮性也是一個挑戰，因為低容量的資料集對資料經紀人來說幾乎沒有商業價值。一個真正創新的解決方案更有可能從那些解決地球上近10億沒有政府頒發身份證的人中產生。隨著行動電話和後來的智慧手機的普及，發展中國家的使用者可能會跳過被遺留技術債務拖累的解決方案。最後，就像電子郵件和語音需要專用的協議來提供端到端控制機制(SMTP一樣;身份認證也需要有自己的協議來進行控制。