通用資料保護條例（GDPR）和區塊鍊：威脅還是機遇？

嚴厲而徹底的歐盟個人資料隐私法律架構——通用資料保護條例（GDPR），已于5月25日悄然生效。自從2016年首次頒布，經過兩年的過渡期，這些條例現在正式生效了。不管你有沒有準備好，這個法律架構将徹底改變整個數字經濟領域。但對于區塊鍊行業來說，這又意味着什麼呢？

GDPR的目标是：在歐洲範圍内建立統一的資料管理架構，并加強公民對其個人資料的存儲和使用權。

新的權利和責任

GDPR給身為”資料處理方“的企業和公共部門引入了新的程式上群組織上的責任義務，并賦予了身為“資料主體”的個人以更多的權利。

無論是公共還是私人機構，在不受管束的時候，它們都傾向于在不知道如何處置個人資料的時候，就開始大規模積累使用者資料，類似某種個人資料的“淘金”行為。然而，GDPR打破了這個習慣，指定資料處理方不得收集其與消費者直接互動過程中的非必要資料。執行中，資料的收集行為應該是“合理的，與目的相關的，最低限度的”（GDPR的第39條）。

首先，GDPR設定什麼是允許的和不允許的，規定了從現在開始，資料處理方必須采用的組織行為準則。舉個例子，公司的技術架構必須預設，在使用消費者資料後會将其删除。

其次，任何被認定是“資料中樞”的實體都必須有一個負責執行GDPR的資料保護官員（DPO）。這位資料保護官将在資料主體出現隐私風險時向監管當局發出警報，并承擔相關法律責任（第33條）。

然後，資料主體也會更好的了解到他們的個人資料是如何被存儲和使用的（第15條）。例如，個人有權向公司索取其所持有的屬于他們隐私資訊。此外，資料處理方必須在告知資料主體，資料擷取和共享的細節方式。

另一方面，除了透明度之外，GDPR還賦予了公民更大的控制個人資料的權力。第17條明确了公民有權要求公司把其個人資料從資料庫中删除，即所謂的“删除權”。

正如Sarah Gordon和Aliya Ram在《金融時報》上所言：“最終，GDPR的影響力取決于個人是否決定行使規則賦予他們的權力”。你什麼時候拒絕過臉書網的隐私條款？

範圍不止歐盟，影響波及全球

GDPR會對違規的公司征收巨額罰款，而且，它的觸角遠遠超出了歐盟範圍。

對于公司來說，被資料保護官員盯上可能比被稅務稽查員盯上更可怕。故意的或重複的違反GDPR條例的公司将受到2千萬歐元的罰款，或公司全球營業額的4%。公司不僅要面臨資料保護官的警報，還要定期面臨資料保護審計。

雖然從表面上看，GDPR僅僅保護的是歐盟公民的資料權利，但在實際操作中，它的影響卻會波及全球。首先，位于歐盟之外的公司，如果涉及到處理歐盟居民個人資訊，也必須遵守GDPR。此外，歐盟的創新之處在于，它現在将資料流與貿易流聯系起來：任何想與歐盟簽署貿易協定的國家都必須簽署協定，遵守GDPR。

在過去的十年中，美國成為了世界經濟的警察，對不遵守反洗錢規定的銀行處以巨額罰款。有了GDPR，歐盟會成為全世界資料保護上司者嗎？

區塊鍊可以逃脫GDPR嗎？

GDPR起初是由歐洲委員會在2012年提出的，最初關注的是雲服務和社交網絡，當時區塊鍊還不是一個廣為人知的名詞。至少在前區塊鍊世界中，雲服務和社交網絡主要集中在中心化組織中：許多資料主體有唯一的實體伺服器——資料處理器/控制器。中心化組織很容易被監管，但是GDPR會如何影響分布式協定組織，例如公鍊呢？

大家很容易了解，考慮到假名和真實身份之間細微差别，區塊鍊存儲了很多潛在的個人資料，比如說個人交易曆史，這樣區塊鍊就落到了GDPR的管轄範圍。乍一看，人們可能會認為GDPR與公鍊之間存在着直接的沖突。例如，在GDPR提出的許多原則中，“删除權”似乎與區塊鍊技術的核心——不可篡改性的相沖突。假設這一沖突暫時成立，這又引出了另一個問題：誰是一個純粹分布式的區塊鍊系統中的資料處理方？

總而言之，用“資料處理方”和“資料主體”的劃分來闡明GDPR和區塊鍊的邏輯似乎是困難的。毫無疑問，一場激烈的法律辯論就在眼前。

遵循GDPR的區塊鍊？

然而，區塊鍊與GDPR有許多共同目标。兩者都是分散資料控制權，緩和中心服務提供商和終端使用者之間的權力不平等。雖然原來的比特币協定并不能保證匿名性，但許多技術革新，從基本的翻轉器到ZK-SNAGK技術，使我們越來越接近這個理想。然而，這種匿名性可能并不是監管機構所希望采取的——是否有更容易被監管者接受的區塊鍊解決方案？

一個特别有前途的研究方向是可信硬體和區塊鍊的結合。在公鍊上，所有的資料在整個網絡的所有機器上被複制和共享，這使得交易資料的删除成為使用者夢魇。最近的研究已經開始探索“可信計算飛地”如何能提供安全和保密的資料存儲，如英特爾SGX。

将可信計算與公鍊相結合意味着資料的隐私可以被保護，免受外部威脅。資料被存儲在鍊下，而公鍊作為裁決最終判斷誰可以通路該資料。因為智能合約意味着不再需要信任中心化服務提供商，資料權限可以由使用者通過區塊鍊和可信硬體來專門管理，最終将資料的控制權和隐私權返還給使用者。

其中一個嘗試是帝國理工學院和康奈爾大學的聯合項目Teechain，它用可信硬體來實作公鍊的安全和高效的鍊下交易。另一個項目，是由iExec和Intel在企業以太坊聯盟（EEA）内發起的合作。

你最喜歡的區塊鍊項目有沒有采取必要的措施來應對這次隐私法大地震呢？如果沒有，也許是時候以“隐私設計”為核心來實施産品了。

一直以來，限制反而會孕育創造力。

原文釋出時間為：2018-05-31

本文作者：Samuel Martinet

本文來自雲栖社群合作夥伴“

企業網D1Net

”，了解相關資訊可以關注“

”。