GDPR和區塊鏈：新的歐盟數據保護條例是威脅還是激勵？

GIF

戳藍色字「蟻塊財經」關注我們喲！

通用數據保護條例（GDPR）是一個歐盟針對個人數據隱私廣泛和嚴格的法律框架，這一條例已與於5月25日生效。無論你是否已經準備好，該框架將大幅改變所有的數字貨幣風投業務。

隱私權專家國際協會（IAPP）預測，此舉將至少創造7.5萬個隱私相關職位，全球財富500強企業將花費近80億美元，以確保其符合GDPR的規定。不過，這對區塊鏈又意味著什麼？

GDPR的目標是：在歐洲範圍內建立統一的數據監管框架，並加強個人對其數據存儲和使用的控制。它於2016年通過，經過兩年的過渡期後，現已正式生效。

義務和權利

GDPR為「數據處理者」（包括公司和公共實體）引入了新的程序和組織義務，並給予「數據主體」（指代個人）更多的權利。

公共和私人組織，甚至在知道如何處理數據之前，往往會對數據進行積累，這頗有點像個人數據採集領域裡的「淘金熱」。GDPR通過規定數據處理者不應收集超出有助於其與消費者進行直接互動以外的數據，從而破除了他們大肆收集數據的這一習慣。實際上，數據收集應該「適當，相關並受制於數據處理這一目的」（GDPR第39條）。

GDPR除了對行為準則進行規定外，還詳細說明了數據處理者從現在開始需要採用的組織指導方針。例如，出於隱私考慮，他們的技術架構在使用完消費者數據之後將默認對其進行消除。

其次，任何被認為是「數據聯繫」的實體都需要有一名數據保護專員（DPO）負責管理該實體的GDPR合規性。這個DPO將承擔法律義務，在數據主體隱私出現風險時提醒監管機構（第33條）。

另一方面，數據主體將更好地了解他們的私人數據將如何被存儲和處理（第15條）。舉例來說，他們有權要求獲得公司持有的有關本人信息的副本。此外，數據處理者必須詳細通知數據主體有關數據處理的情況，以及數據將如何被共享或獲取。

除了透明度之外，GDPR還為公民提供了更多的數據控制權。法規的第17條列出了他們具有本人數據的「刪除權」，以及可以要求從商業資料庫中刪除其數據的條件。

正如Sarah Gordon和Aliya Ram在《金融時報》上所說的那樣，「最終，GDPR的影響將取決於個人是否決定行使該規定給予他們的更大權力」。

一把上膛的槍，直指全球

對於不遵守該規定的公司，GDPR將收取高昂的費用。此外，其影響範圍也不是僅限於歐盟內部。

對於公司而言，相比稅務稽查員，數據保護審計員的視察可能會更加可怕。故意或屢次違反GDPR規定的原則將導致高達2000萬歐元的罰款或是年度全球違規者營業額的4％，兩者相權取其重。此外，不僅僅只是依靠公司的數據保護專員（DPO）來對此敲響警鐘，定期例行的數據保護審計也將被貫徹執行。

儘管嚴格意義上來說，它只是負責保護歐盟範圍內的數據主體，但實際上，GDPR的覆蓋範圍的觸角伸向了全球。頭一回，位於歐盟境外的處理歐盟居民個人信息的數據處理者將必須遵守這一條例規定。

此外，歐盟此舉的創新之處在於它現在將數據流與貿易流聯繫了起來：任何希望與歐盟簽署貿易協議的國家都必須簽署遵守GDPR的協議。在過去的十年中，美國已經成為了世界經濟警察，對不遵守其反洗錢法規的銀行開出巨額罰單。那麼通過實行GDPR規定，歐盟會成為全球數據保護的捍衛者嗎？

區塊鏈是否會脫離GDPR

GDPR最初由歐盟委員會於2012年提出，初期其重心集中於雲服務和社交網路，那時大家對區塊鏈這個詞語還比較陌生。並且，至少在區塊鏈被人們熟悉之前，雲服務和社交網路大多還是集中式組織管理：許多數據主體與獨特的伺服器實體（數據處理員/管理員）進行交互。中央管理為監管機構創造了一個簡單的單一攻擊點。然而，GDPR將如何影響類似公共區塊鏈這樣的去中心化協議呢？

很顯然，鑒於假名和真實身份之間的微妙差別，從一個人的交易歷史記錄開始，區塊鏈會存儲一些潛在的個人數據，因此，它同樣屬於GDPR的規定範圍。

乍一看，人們可能會認為GDPR和公共區塊鏈之間存在著直接矛盾。例如，在GDPR中提出的許多原則中，「刪除權」似乎同區塊鏈技術不可變更這一核心特性顯得格格格不入。假設這個矛盾暫時存在，這就會引出一個問題：在純粹的去中心化的區塊鏈系統中，誰會是負責任的數據處理者？

總而言之，使用「數據處理者」/「數據主體」這樣的區分來闡明GDPR和區塊鏈的邏輯似乎很困難。毫無疑問，未來會有一場艱難的法律辯論。

區域鏈與GDPR

儘管如此，區塊鏈與GDPR在眾多領域的目標是一致的。兩者都旨在分散數據控制，並緩解中央服務提供商同終端用戶之間的權力不對等現象。

雖然最初的比特幣規範並不能保證匿名性，但從elementary tumblers到zk-SNARK應用程序等許多的技術創新使得我們更加接近這一理想。這種匿名性可能與監管機構尋求的不同。然而，區塊鏈提出的解決方案是否會更容易被監管機構接受？

一個靠譜的研究途徑是將可信硬體和區塊鏈結合起來。在公共區塊鏈上，所有數據都將在網路中所有的機器上進行複製和共享。這使得交易數據刪除和隱私成為用戶的噩夢。最近的研究已經開始對「可信計算飛地」，如英特爾SGX，如何提供安全和保密的數據存儲和隱私進行調查。

將可信計算與公共區塊鏈結合在一起意味著可以保護數據隱私免受外部威脅的影響，並將其存儲在鏈外，區塊鏈將最終裁決誰具有訪問數據的許可權。

由於智能合約意味著不再需要信任集中服務提供商，因此用戶可以通過區塊鏈和可信硬體對數據許可權進行管理，從而真正地將數據的控制權和隱私權歸還給他們。為實現這一理念，當前已有幾個項目正在進行開展，以期望能夠將區塊鏈從GDPR夢魘轉變為一個童話故事。

其中一個項目是由倫敦帝國理工學院和康奈爾大學的共同負責開展，該項目名為Teechain，通過使用可信硬體為公共區塊鏈實現安全高效的脫鏈交易。另一個項目是企業以太坊聯盟（EEA）發起，由iExec和英特爾合作運行。

文| cointelegraph網站

譯 | Chris

圖 | 網路

你還不能錯過

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！