作者简介:Dean Steinbeck是一位专注于数据隐私和数据技术的美国企业法律师。他是TigerConnect首席顾问,服务超过4000的美国医疗机构。
欧盟的隐私保护法将面临自1995设立以来最大的改革。此次于2018年5月25日生效的新框架,被称为通用数据保护法(GDPR),将彻底改变各类组织处理和使用他们收集的个人数据的方式。GDPR的宗旨在于协调整个欧盟的数据隐私立法,让人们更好地掌控自己的个人数据。
根据GDPR,所有存储欧盟公民或居民的个人资料的组织,包括区块链项目,都需要遵循严格的数据隐私规则。惩罚手段是根据违法的严重性、侵权行为的性质和组织的行为准则进行罚款。情节最严重者将面临高达20亿欧元或年收入百分之四的巨额罚单,以较高者为准。
为避免遭受罚款的风险,所有处理欧盟公民或居民个人资料的组织必须采取切实有效的措施确保其合规性,不管这些数据是否在欧盟境内。因为GDPR适用于可由欧盟公民或居民访问的任何在线服务,所以无论区块链项目的实体在哪里,大部分都有可能被该法规涉及到。
欧盟是否能够对欧盟以外的组织强制执行这些规定仍然是个未知数。例如,欧盟将如何追捕设立在孟加拉的呼叫中心数据库?如何追捕运行在世界各地的数千个节点上的区块链项目?不管怎样,与欧盟存在关联的组织应立即开始实施GDPR框架,包括遵循以下几个新协议:
- 明确说明他们的数据隐私执行办法
- 在收集个人资料之前获得个人的明确同意
- 允许个人随时撤回他们的同意
- 妥善保护数据
- 确保向欧盟外传输的数据符合严格的标准
- 允许个人修改或删除他们的个人资料
区块链可以在GDPR框架下运作吗?
不幸的是,许多GDPR的基础假设是跟区块链的核心技术冲突的。区块链通过分散式网络来存储、维护和控制不可篡改的数据库。这与诸如脸书、谷歌或亚马逊等中央控制的传统数据库形成鲜明对比。虽然GDPR有意要避免技术局限性,但它仍然是设立在个人数据会被存储在传统的中心化实体的假设之上,可以由人轻松地在GDPR框架下统一管理。但在区块链的背景下,目前还不清楚全球性的分布式网络将如何能够实现GDPR的标准。
例如,区块链显然不能兼容GDPR允许个人修改或删除他们的个人资料这一要求。区块链s是不可篡改的,一旦区块被创建出来就不能改变了。如何调和修改需求和不可篡改性呢?Atonomi的联合创始人David Fragale指出了矛盾点:
GDPR展现给欧盟公民一个控制个人数据的机会,从区块链的角度来看,这很符合社区脱离中央权威的精神宗旨。然而在技术上,这与区块链数据库的不可篡改性和分布式存储架构是冲突的。
GECKO的首席执行官Shane Brett同意这里面存在冲突,但也提示道这里面可能存在的解释空间和不同国家的不同做法:
GDPR的目的是赋予人们控制自己个人数据的权利,以及删除数据的权利,这有显然悖于区块链技术不可篡改的数据库特性。从底层逻辑上说,输入blockchain的数据不能被删除,因为这会打断整个链条。
然而我们也可以看到,GDPR并没有明确指出“删除”的确切含义。因此,这一问题的解释权将留给数据的所有者,或者在每个欧盟成员国的立法中进一步加以澄清。
其中一种可行的方案是,探索个人数据的链下存储方式。这种分裂式的数据结构允许区块链引用个人信息,但没有获得权限时不能访问存储在链下数据库中的个人信息。来自Datawallet的Serafin Lion Engel乐观地解释道:
有趣的解决方案是,使用一种双重数据处理结构,其中一笔交易的合约部分通过链上的智能合约来执行,而实际数据的传输则发生在链下。这也解决了我们现阶段面临的区块链技术的扩展性问题。
我认为GDPR是向数据赋能用户的未来前进的一大步,尤其是它要求所有公司允许用户下载甚至删除数据、或者把数据迁移到其他平台。而且外面有绝对很多的公司像Datawallet一样,致力于确保必要的调控和令人兴奋的技术可以和谐共存。
虽然这种方案允许各类组织修改或删除个人数据,从而符合GDPR框架,但它也提出了一系列其他的问题。比如说,我们如何确认链下数据库的合规管理呢?链下访问的个人数据如何能轻松地服务于链上交易呢?当然还有众所周知的中心式数据库的普遍问题,如何保护它们免受攻击呢?
据Zencash的共同创始人和团队领袖Rob Viglione说的,GDPR给使用区块链技术的身份管理方案提供商出了一个难题:
我们正在与几家想用区块链技术实现数字身份协议的公司合作,但还没有人能解决GDPR合规性的问题。欧盟框架很难适用于区块链技术,这无疑令这些项目方很担心。
很不幸的是,区块链的节点式结构又进一步令许多问题复杂化。GDPR的设计,是为了让各类组织将欧盟公民和居民的个人数据存储在欧盟境内,而不是存储在全球各地成千上万的分布式节点上。此外,GDPR假定世界上的企业领导都是认真对待监管标准的。
然而,区块链项目通常是由松散的合作开发者和创业者从全球各地分散管理的,有些甚至由分布式自治组织(DAO)进行管辖。这些新型的治理体系不像欧盟监管机构设想的那样运作,谁能确保区块链项目的每个节点都符合GDPR的隐私标准?GDPR监管机构可以依靠谁来执行审查呢?由对谁进行处罚呢?这些都是欧盟监管机构和区块链项目方在未来几个月内需要解决的艰巨任务。