lychees/gist:3b84559f13cb4def58c0e963c5f86f1a

## gistfile1.txt
# 作為負債的控制 Control as Liability

原文：[https://vitalik.ca/general/2019/05/09/control_as_liability.html](https://vitalik.ca/general/2019/05/09/control_as_liability.html)
譯稿：[https://hackmd.io/s/Sk8-8jPn4](https://hackmd.io/s/Sk8-8jPn4)
譯者：[Minako Kojima](https://twitter.com/TangFeihu)
校對：[Chih-Cheng Liang](https://twitter.com/chihchengliang), [Williams Lai](https://medium.com/@cla2srbchi)


導讀：類似於 GDPR 的法律帶來了巨大了合規成本，讓用戶有自己的私鑰和數據所有權的區塊鏈應用（例如 Dapp），這類型區塊鏈不受隱私法規的監管，從而避免了巨額的合規成本。

在過去十年中，基於互聯網的服務和應用程式的監管和法律的環境發生了相當大的變化。當大型社交網路平臺在 2000 年代首次流行時，人們對海量數據收集的普遍態度基本上是「為什麽不呢？」。這是馬克·扎克伯格（Mark Zuckerberg）所說的[「隱私的時代結束了」](https://archive.nytimes.com/www.nytimes.com/external/readwriteweb/2010/01/10/10readwriteweb-facebooks-zuckerberg-says-the-age-of-privac-82963.html)，埃裏克·施密特（Eric Schmidt）則 [辯稱](https://www.eff.org/deeplinks/2009/12/google-ceo-eric-schmidt-dismisses-privacy)：「如果妳有一些不想讓任何人知道的東西，也許妳一開始就不該做。」他們辯稱這一點是有個人意義的：妳能得到的關於其他人的每一比特的數據對妳來說都是潛在的潛在的機器學習的優勢，而每一個限制則是一個弱點，如果那則數據出了什麽問題，成本相對較小。十年後，情況已經大不相同了。

一些趨勢特別值得聚焦。

- **隱私** 在過去的十年裏，大量關於隱私的法案已被通過，不僅歐洲在一些其他地方也最為激進，最近的就是 [GDPR](https://gdpr.eu/)。GDPR 包含許多部分，最突出的是：（i）明確同意的要求，（ii）處理數據的法律依據的要求，（iii）用戶下載他們所有的數據的權利，（iv）用戶要求刪除他們所有的數據的權利。其他 [司法管轄區](https://www.riskmanagementmonitor.com/canadas-own-gdpr-now-in-effect/) 也在 [探索](https://www.zdnet.com/article/australia-likely-to-get-its-own-gdpr/) 類似的規範方式。

- **數據本地化規則** [印度](https://economictimes.indiatimes.com/tech/internet/the-india-draft-bill-on-data-protection-draws-inspiration-from-gdpr-but-has-its-limits/articleshow/65173684.cms?from=mdr)、[俄羅斯](https://iapp.org/resources/topics/russias-data-localization-law/) 和許多其他司法管轄區越來越多地制定或正在探索要求將國內用戶數據存儲在國內的規則。即使不存在明確的法律，人們也越來越擔心（例如 [1](https://qz.com/1613020/tiktok-might-be-a-chinese-cambridge-analytica-scale-privacy-threat/) [2](https://thenextweb.com/podium/2019/03/09/eu-wants-tech-independence-from-the-us-but-itll-be-tricky/)）數據被轉移到那些沒有充分保護數據的國家。

- **共享經濟監管** Uber 等共享經濟公司 [一直以來都很難說服法院](https://www.theguardian.com/technology/2015/sep/11/uber-driver-employee-ruling)，以他們的應用程式控制與指揮司機活動的程度，他們不應在法律上被歸類為雇主。

- **加密貨幣監管** 最近的[《FINCEN 指南》](https://www.systems.cs.cornell.edu/docs/fincen-cvc-guidance-final.pdf)試圖澄清哪些類別的加密貨幣相關活動受到美國的監管許可要求，哪些活動不受此限制。是做托管錢包嗎？這受監管。做用戶控制自己資金的錢包嗎？不受監管。運行匿名交易混淆的服務？如果妳在經營，受監管。如果妳只是在寫程式碼… 不受監管。

正如 [Emin Gun Sirer 所指出的那樣](https://twitter.com/el33th4xor/status/1126527690264195082)，《FINCEN 加密貨幣指導》完全不是隨便寫寫的；相反，它試圖將開發者主動控制資金的應用程式與開發者無法控制的應用程式分開。該指南仔細區分了對於多重簽名錢包（私鑰由操作員和用戶同時持有），什麼時候該監管，什麼時候不監管：

> 如果多重簽名錢包提供商將其角色限制為創建非托管錢包，需要在錢包所有者的私鑰中添加第二個授權密鑰才能驗證和完成交易，則該提供商不是貨幣發送者，因為它不接受和傳輸價值。另一方面，如果……該價值被表示為提供商帳戶中的一筆記錄，所有者不直接與支付系統交互，或者提供商對該價值保持完全獨立的控制，那麽提供者也被歸類為貨幣發送者。

儘管這些事件發生在不同的脈絡和行業，但我認為有一個共同的趨勢正在發揮作用。而這趨勢就是：**對用戶數據、數位資產和活動的控制正迅速從資產轉變成負債**。以前，妳所擁有的每一點控制都是好的：它給妳更多的靈活性來賺取收入，如果不是現在，那麽在將來。現在，妳所擁有的每一點控制都是一種負債：妳可能會因此受到監管。如果妳表現出對用戶加密貨幣的控制，妳就是一個貨幣發送者。如果妳「對票價有唯一的決定權，並且如果司機選擇不乘坐，可以向他們收取違約費，禁止司機接送不使用該應用程式的乘客，並暫停或停用司機的帳戶」，妳就是雇主。如果妳控制了妳的用戶的數據，妳就必須確保妳能提出正當理由，並且有一名監理人員，並讓妳的用戶有權下載或刪除數據。

>compliance officer 合規官=>監理人員?
台灣好像叫｢法令遵循主管｣
[name=Rbchi]

如果妳開發應用程式，並且妳既懶惰又害怕法律問題，那麽有一個簡單的方法可以確保妳沒有違反上述任何新法規：不要構建中心化控制的應用程式。如果妳建立了一個錢包，在那裏用戶持有各自的密鑰，妳仍然是「僅僅是一個軟件提供商」。如果妳建立了一個「去中心化的 Uber」，它實際上只是一個結合了支付系統、聲譽系統和搜索引擎的順暢的用戶界面，而且妳自己不控制這些組件，那麽妳就不會受到許多相同的法律問題的影響。如果妳建立的網站…不收集數據（靜態網頁？但那是不可能的！）妳甚至不必考慮 GDPR。

這種方法當然不是對每個人都實際。在許多情況下，如果沒有中心化控制的便利性，只會為開發人員和用戶付出太多的代價，而且在某些情況下，商業模式考量，採用更中心化的方法相對更好（例如，如果軟體跑在自行架設的伺服器上，則更容易防止非付費用戶使用軟體）。但去中心化方法仍有更多可能性可以探索。

一般來說，當法律想禁止一些特定的事情時，卻意想不到地阻礙整個大類別的事情，通常被認為是一件壞事。不過，在這裏，我會爭辯說，開發人員的思維模式被強制從「我想控制更多的事情以防萬一」轉移到「我想控制更少的事情以防萬一」，有很多正面的結果。自願放棄控制，自願採取措施剝奪自己施惡的能力，對許多人來說並非自然而然的事。且即使現今存在情懷驅動、最大化去中心化的項目，但乍看之下沒有這些服務將繼續成為行業主流的明顯跡象。然而，這種監管趨勢所做的是，它給那些願意採取中心化最小化、用戶主權最大化「無法作惡」路線的應用程式提供了很大的推動。

因此，即使這些監管變化可以說是不利於自由的，至少如果一個人關心應用程序開發人員的自由。並且將互聯網轉變為政治焦點的主題必然會產生許多負面的連鎖反應，控制成為一種負債的特殊趨勢在某種奇怪的方式上，相對最大化整體應用程序開發人員自由度的策略，更加的支持密碼朋克（即使不是故意的！）。儘管從幾乎所有人的偏好來看，目前的監管格局遠不是最佳的，但它無意中將不必要的集中化最小化，並最大化用戶對自己資產、私鑰和數據的控制這一改變。這是一隻執行其願景強而有力的手。利用它，對改變將是非常有益的。
	# 作為負債的控制 Control as Liability

	原文：[https://vitalik.ca/general/2019/05/09/control_as_liability.html](https://vitalik.ca/general/2019/05/09/control_as_liability.html)
	譯稿：[https://hackmd.io/s/Sk8-8jPn4](https://hackmd.io/s/Sk8-8jPn4)
	譯者：[Minako Kojima](https://twitter.com/TangFeihu)
	校對：[Chih-Cheng Liang](https://twitter.com/chihchengliang), [Williams Lai](https://medium.com/@cla2srbchi)


	導讀：類似於 GDPR 的法律帶來了巨大了合規成本，讓用戶有自己的私鑰和數據所有權的區塊鏈應用（例如 Dapp），這類型區塊鏈不受隱私法規的監管，從而避免了巨額的合規成本。

	在過去十年中，基於互聯網的服務和應用程式的監管和法律的環境發生了相當大的變化。當大型社交網路平臺在 2000 年代首次流行時，人們對海量數據收集的普遍態度基本上是「為什麽不呢？」。這是馬克·扎克伯格（Mark Zuckerberg）所說的[「隱私的時代結束了」](https://archive.nytimes.com/www.nytimes.com/external/readwriteweb/2010/01/10/10readwriteweb-facebooks-zuckerberg-says-the-age-of-privac-82963.html)，埃裏克·施密特（Eric Schmidt）則 [辯稱](https://www.eff.org/deeplinks/2009/12/google-ceo-eric-schmidt-dismisses-privacy)：「如果妳有一些不想讓任何人知道的東西，也許妳一開始就不該做。」他們辯稱這一點是有個人意義的：妳能得到的關於其他人的每一比特的數據對妳來說都是潛在的潛在的機器學習的優勢，而每一個限制則是一個弱點，如果那則數據出了什麽問題，成本相對較小。十年後，情況已經大不相同了。

	一些趨勢特別值得聚焦。

	- 隱私在過去的十年裏，大量關於隱私的法案已被通過，不僅歐洲在一些其他地方也最為激進，最近的就是 [GDPR](https://gdpr.eu/)。GDPR 包含許多部分，最突出的是：（i）明確同意的要求，（ii）處理數據的法律依據的要求，（iii）用戶下載他們所有的數據的權利，（iv）用戶要求刪除他們所有的數據的權利。其他 [司法管轄區](https://www.riskmanagementmonitor.com/canadas-own-gdpr-now-in-effect/) 也在 [探索](https://www.zdnet.com/article/australia-likely-to-get-its-own-gdpr/) 類似的規範方式。

	- 數據本地化規則 [印度](https://economictimes.indiatimes.com/tech/internet/the-india-draft-bill-on-data-protection-draws-inspiration-from-gdpr-but-has-its-limits/articleshow/65173684.cms?from=mdr)、[俄羅斯](https://iapp.org/resources/topics/russias-data-localization-law/) 和許多其他司法管轄區越來越多地制定或正在探索要求將國內用戶數據存儲在國內的規則。即使不存在明確的法律，人們也越來越擔心（例如 [1](https://qz.com/1613020/tiktok-might-be-a-chinese-cambridge-analytica-scale-privacy-threat/) [2](https://thenextweb.com/podium/2019/03/09/eu-wants-tech-independence-from-the-us-but-itll-be-tricky/)）數據被轉移到那些沒有充分保護數據的國家。

	- 共享經濟監管 Uber 等共享經濟公司 [一直以來都很難說服法院](https://www.theguardian.com/technology/2015/sep/11/uber-driver-employee-ruling)，以他們的應用程式控制與指揮司機活動的程度，他們不應在法律上被歸類為雇主。

	- 加密貨幣監管最近的[《FINCEN 指南》](https://www.systems.cs.cornell.edu/docs/fincen-cvc-guidance-final.pdf)試圖澄清哪些類別的加密貨幣相關活動受到美國的監管許可要求，哪些活動不受此限制。是做托管錢包嗎？這受監管。做用戶控制自己資金的錢包嗎？不受監管。運行匿名交易混淆的服務？如果妳在經營，受監管。如果妳只是在寫程式碼… 不受監管。

	正如 [Emin Gun Sirer 所指出的那樣](https://twitter.com/el33th4xor/status/1126527690264195082)，《FINCEN 加密貨幣指導》完全不是隨便寫寫的；相反，它試圖將開發者主動控制資金的應用程式與開發者無法控制的應用程式分開。該指南仔細區分了對於多重簽名錢包（私鑰由操作員和用戶同時持有），什麼時候該監管，什麼時候不監管：

	> 如果多重簽名錢包提供商將其角色限制為創建非托管錢包，需要在錢包所有者的私鑰中添加第二個授權密鑰才能驗證和完成交易，則該提供商不是貨幣發送者，因為它不接受和傳輸價值。另一方面，如果……該價值被表示為提供商帳戶中的一筆記錄，所有者不直接與支付系統交互，或者提供商對該價值保持完全獨立的控制，那麽提供者也被歸類為貨幣發送者。

	儘管這些事件發生在不同的脈絡和行業，但我認為有一個共同的趨勢正在發揮作用。而這趨勢就是：對用戶數據、數位資產和活動的控制正迅速從資產轉變成負債。以前，妳所擁有的每一點控制都是好的：它給妳更多的靈活性來賺取收入，如果不是現在，那麽在將來。現在，妳所擁有的每一點控制都是一種負債：妳可能會因此受到監管。如果妳表現出對用戶加密貨幣的控制，妳就是一個貨幣發送者。如果妳「對票價有唯一的決定權，並且如果司機選擇不乘坐，可以向他們收取違約費，禁止司機接送不使用該應用程式的乘客，並暫停或停用司機的帳戶」，妳就是雇主。如果妳控制了妳的用戶的數據，妳就必須確保妳能提出正當理由，並且有一名監理人員，並讓妳的用戶有權下載或刪除數據。

	>compliance officer 合規官=>監理人員?
	台灣好像叫｢法令遵循主管｣
	[name=Rbchi]

	如果妳開發應用程式，並且妳既懶惰又害怕法律問題，那麽有一個簡單的方法可以確保妳沒有違反上述任何新法規：不要構建中心化控制的應用程式。如果妳建立了一個錢包，在那裏用戶持有各自的密鑰，妳仍然是「僅僅是一個軟件提供商」。如果妳建立了一個「去中心化的 Uber」，它實際上只是一個結合了支付系統、聲譽系統和搜索引擎的順暢的用戶界面，而且妳自己不控制這些組件，那麽妳就不會受到許多相同的法律問題的影響。如果妳建立的網站…不收集數據（靜態網頁？但那是不可能的！）妳甚至不必考慮 GDPR。

	這種方法當然不是對每個人都實際。在許多情況下，如果沒有中心化控制的便利性，只會為開發人員和用戶付出太多的代價，而且在某些情況下，商業模式考量，採用更中心化的方法相對更好（例如，如果軟體跑在自行架設的伺服器上，則更容易防止非付費用戶使用軟體）。但去中心化方法仍有更多可能性可以探索。

	一般來說，當法律想禁止一些特定的事情時，卻意想不到地阻礙整個大類別的事情，通常被認為是一件壞事。不過，在這裏，我會爭辯說，開發人員的思維模式被強制從「我想控制更多的事情以防萬一」轉移到「我想控制更少的事情以防萬一」，有很多正面的結果。自願放棄控制，自願採取措施剝奪自己施惡的能力，對許多人來說並非自然而然的事。且即使現今存在情懷驅動、最大化去中心化的項目，但乍看之下沒有這些服務將繼續成為行業主流的明顯跡象。然而，這種監管趨勢所做的是，它給那些願意採取中心化最小化、用戶主權最大化「無法作惡」路線的應用程式提供了很大的推動。

	因此，即使這些監管變化可以說是不利於自由的，至少如果一個人關心應用程序開發人員的自由。並且將互聯網轉變為政治焦點的主題必然會產生許多負面的連鎖反應，控制成為一種負債的特殊趨勢在某種奇怪的方式上，相對最大化整體應用程序開發人員自由度的策略，更加的支持密碼朋克（即使不是故意的！）。儘管從幾乎所有人的偏好來看，目前的監管格局遠不是最佳的，但它無意中將不必要的集中化最小化，並最大化用戶對自己資產、私鑰和數據的控制這一改變。這是一隻執行其願景強而有力的手。利用它，對改變將是非常有益的。