馬德里DES展會結束之際，為GDPR慶生

本報告由火幣區塊鏈研究院出品，作者：袁煜明，肖曉。

2018年5月24日，火幣區塊鏈研究院結束了為期三天的馬德里DES展會之行。DES展會為西歐規模最大的信息、通信和軟體領域的權威展覽會，聚集了400多家參展企業，包括IBM、埃森哲、KPMG、德勤、思科、SAP、戴爾、惠普等等。2018年展會以「數字經濟」為主題，分為人工智慧、物聯網、區塊鏈等眾多相關分會場，當然，其中最火爆、關注度最高的還屬區塊鏈。

然而，在多數參會者被問及「對區塊鏈有何見解」的時候，我們得到兩種答案：1. 「哦，聽說過區塊鏈，但我不想買比特幣。」；2. 「哦，區塊鏈我知道，是做KYC的。」

第一種答案的認知還停留在早期的「區塊鏈=比特幣」上，這是歐洲大眾保守風格的一種體現，在接受帶有革命性新事物方面需要一定的時間。而從第二種答案中我們可以看出，企業級的身份驗證可能是區塊鏈在歐洲的第一項落地應用，並且歐洲在這方面的應用可能比世界其他地方更加超前。這就要追溯到歐洲長久以來對數據隱私保護的追求，以及將於今天（2018年5月25日）開始強制執行的歐盟GDPR。

那麼這個近年來全世界都在討論,作為DES演講環節高頻辭彙出現的神奇的GDPR到底是什麼，跟區塊鏈又有什麼關係呢？

GDPR是什麼

簡單來說，GDPR就是「通用數據保護規範」（General Data Protection Regulation），也稱為2016/679號規範。此規範在2016年4月27日通過，於2016年5月24日公布，並給予兩年緩衝期，自2018年5月25日起強制執行。它是歐盟範圍內的數據保護基本法案，致力於保護歐盟境內所有個人的隱私數據。其主要目標是將公民及居民對個人數據的控制權還給他們自己（Self-sovereign identity），並向歐盟境內的個人數據施以出口控制。

GDPR是歐盟隱私保護法自1995設立以來最大的改革，在大數據時代首次將個人信息保護提升到前所未有的嚴格程度，可能將徹底改變各類組織收集用戶註冊信息和使用他們收集的個人數據的方式，讓各大互聯網科技公司不寒而慄。它的嚴格體現在以下幾個方面：

1.擴大了個人數據（Personal Data）的邊界

早在1995年，歐盟就通過了《數據保護指令》，歷史上首次為歐盟成員國立法保護個人數據設立了明確標準。在這項標準中，個人數據的概念僅僅包括用戶名、家庭地址及郵編號碼這樣相對簡單的信息，指令規定的內容也只是賦予用戶訪問自身信息並修改其中錯誤信息的許可權。

而GDPR完全站在用戶的角度來界定需要保護的數據界限，其中所涉及的個人數據的定義極其廣泛，涵蓋了大部分可以直接或間接地識別個人的數據類型，包括基礎信息（如身份ID號碼、社保賬號等）、網路信息（如IP地址、Cookie數據等）、生物識別信息（指紋、虹膜等）以及政治與種族信息等等。

2.適用範圍不按公司劃分，而是按用戶劃分

GDPR不僅適用於歐盟境內的公司，只要是在處理歐盟境內用戶的數據都需遵守該項規範。且GDPR是一項規範，並不是指引性文件，所以不需要各國政府立法授權就直接適用。

3.懲罰手段之嚴，讓互聯網公司寧願停止運營也不敢輕易涉險

從2018年5月25日起，任何一個未能滿足GDPR法規的公司將面臨高達年收入4%或2000萬歐元的巨額罰單，以較高者為準。且罰款之後，任何進一步的數據處理活動都將遭受潛在的叫停風險。4月13日，騰訊公司突然宣布，從5月20日開始，將停止QQ在歐洲地區的所有服務，我們可以合理猜想這一舉動與即將實施的GDPR有關。

GDPR與區塊鏈的關係

GDPR架構對個人數據的收集和使用提出了幾個新的要求：

1.在收集個人數據之前獲得用戶的授權同意，且允許用戶隨時撤回他們的授權同意

2.允許個人修改或刪除他們的個人資料（right to be forgotten）

3.妥善保管數據，使得組織能夠更容易的訪問用戶共享的數據，且需保持數據在服務提供商之間的遷移能力

4. 確保向歐盟外傳輸的數據符合嚴格的標準

從GDPR的架構上看，它與區塊鏈的核心技術似乎存在一定的衝突，在GDPR與區塊鏈能否適應這一點上也存在比較大的爭議。主要爭議的點在於，GDPR是要賦予用戶修改或刪除自身個人數據的權利，從本質邏輯和技術理念上來看，這顯然有悖於區塊鏈不可篡改的特性。同時，GDPR是為了讓各類公司將歐盟公民和居民的個人數據保留在歐盟境內，而不是存儲在全球各地的分散式節點上，這樣一來，如何確保歐盟以外的節點都符合GDPR標準就成為了一個難題。

很多人因此認為GDPR可能成為歐洲區塊鏈的殺手，相反地，我們認為這可能恰恰是催生區塊鏈應用的機會:

GDPR的出台使用戶個人數據成為燙手山芋

由於GDPR對用戶個人數據的收集、使用、存儲都提出了嚴格的要求，且一旦違規，罰款金額驚人，越來越多的數據使用方不希望繼續把數據存在自己的中心化資料庫中，他們只需在使用數據的時候進行付費調用就夠了。這為區塊鏈帶來了機會。

GDPR對用戶個人數據自治的要求，區塊鏈可能是最好的解決方案

基於區塊鏈和公鑰/私鑰對，用戶可以實現對顆粒化個人數據的控制，以及實現對任何一項細分數據的訪問授權。

區塊鏈可以為個人數據的共享和遷移提供基礎

在區塊鏈上，我們可以引入背書機制（Attestation），數據無需在各個服務提供平台上反覆驗證。比如一個駕照持有人，在租車時可能無需再提供姓名、駕駛證號碼、駕駛證有效期等個人數據，而只需提供之前在別處租車時驗證過的結果，即「該用戶是合格駕駛「，如果駕駛證過期，該項背書自動失效。這一切可以通過智能合約來實現。

對於個人數據能否修改和刪除的問題，技術上可以通過分層架構或者數據脫鏈處理

在這種架構下，用戶個人數據存儲在鏈下由個人掌握的資料庫中，而鏈上通過運行智能合約調用數據，只有在用戶授權同意的前提下，智能合約才可以被執行。在鏈下，用戶可以自由修改或刪除個人數據，而在鏈上，只會記錄修改或刪除行為的哈希值，以便未來調用更改後的數據

西班牙及歐洲在區塊鏈KYC領域的進展

由於GDPR頒布至今已有兩年的緩衝期，加上歐洲國家長期以來對個人數據隱私的重視，該領域在結合區塊鏈技術方面已經有不少動作。西班牙及歐洲在區塊鏈KYC領域的進展主要由傳統的數據使用者及服務公司推動。另外，由於金融機構在KYC需求及用戶數據隱私保護方面的衝突最為明顯，它們對區塊鏈的應用需求也更迫切，目前主要的區塊鏈KYC推動者還是在金融領域，以銀行為主，且形式主要為節點都在歐盟境內的聯盟鏈。

早在2017年中，西班牙批發銀行Cecabank就與服務公司Grant Thornton合作，創建了銀行業區塊鏈聯盟「Red Lyra」(後於10月更名為「Alastria」)，主要借用公共以太坊和超級賬本技術，致力於逐步發展區塊鏈技術在金融領域的潛力。該聯盟成員包括Banco Sabadell、Banco Santander、Bankia、BBVA、BME等大多數西班牙主要的銀行，且基於KYC的區塊鏈身份識別系統是聯盟開發的首個解決方案之一。

另外，西班牙最大的兩家銀行Santander和BBVA也是企業以太坊組織的創始成員，該組織致力於利用區塊鏈技術幫助大型企業簡化業務流程。

歐洲方面，早在2016年就有金融創新公司R3聯合10家聯盟成員銀行成立，成功地開發出了一個用於了解你客戶（KYC）註冊登記的概念驗證，允許所有者可以自行管理身份。

2017年，又有由盧森堡政府支持的LuxTrust數字身份公司聯合美國的創業公司Cambridge Blockchain建立新的身份驗證平台，服務於盧森堡政府以及其他銀行集團和金融機構。

預計在不太久的未來，隨著銀行和金融機構間的網狀效應，以及其他地區數據隱私保護方面對歐洲的效仿，區塊鏈KYC業務模式將從歐洲開始擴散開來。然而公有鏈的應用場景如何與GDPR相結合，還需要一定時間探索。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！