GDPR和区块链：新的欧盟数据保护条例是威胁还是激励？

“你最喜欢的区块链项目是否采取了必要的措施来适应这场隐私法大变革呢？”

《通用数据保护条例》(GDPR)是欧盟为保护个人隐私推出的一套全面而严谨的法律框架，已于今年5月25日正式执行。这个框架将彻底改变所有数字企业的业务。国际隐私专业协会(IAPP)预测，这至少将创造7.5万个与隐私相关的工作岗位，《财富》全球500强公司将花费近800万美元，以确保它们符合GDPR的要求。但这对区块链来说意味着什么呢？

GDPR的目标是：在欧洲建立统一的数据监管框架，加强个人对自己数据存储和使用的控制。

该法案于2016年通过，经过两年的过渡期，现在已经生效。

GDPR为“数据处理器”（包括公司和公共实体）引入了新的程序和组织义务，并赋予了“数据主体”更多的权利，这里的“数据主体”是指个人。

在不知道如何处理之前数据之前，公共和私人机构往往将数据累积起来，这在个人数据获取方面有点像“淘金热”。GDPR打破了这一习惯，规定数据处理器搜集的数据不应超过其与消费者进行直接交流所需的数据范围。

实际上，数据的收集应“充分、相关并限于处理数据的目的所需的最低限度”(GDPR第39条)。

除了列出哪些是允许做的，哪些是不允许的，GDPR还指定了数据处理器从现在起需要采用的组织指导方针。例如，他们的技术架构在消费者使用后必须默认删除其数据。

任何被视为“数据连接”的实体都必须有一名数据保护专员(DPO)来保证管理遵守GDPR的规定。当数据主体（指个人）的隐私受到威胁时，DPO有法律义务通知监管当局(第33条)。

另一方面，数据主体将更好地了解其私人数据是如何被储存和处理的(第15条)。例如，他们有权向拥有其信息的公司索取一份副本。此外，数据处理器必须向数据主体详细通报对其数据的处理过程，以及如何共享或获取数据。

除了透明度之外，GDPR让公民对于如何使用数据有了更多的控制权。第17条列出了他们提出从企业数据库中删除其数据的条件，即所谓的“删除权”。

然而，正如Sarah Gordon和Aliya Ram在英国《金融时报》上所言，“归根结底，GDPR的影响将取决于个人是否决定行使规则赋予他们的更大权力”。

GDPR对不遵守规则的公司收取极高的费用。此外，它的影响远远超出欧盟范围。

对企业来说，数据保护审计师造访可能会比税务稽查员查账更可怕。如果故意不遵守GDPR的规定，企业将被处以最高2000万欧元的罚款，或其年全球营业额的4%——以数额较大者为准。公司不能仅仅依靠DPO来敲响警钟，还应进行定期的数据保护审计。

尽管严格意义上讲，它只保护欧盟内部的数据主体，但实际上，GDPR的覆盖范围是全球性的。首先，位于欧盟以外、但处理欧盟居民个人信息的数据处理器必须遵守这些规定。

此外，欧盟的创新之处在于，它现在将数据流量与贸易流量挂钩：任何想要与欧盟签署贸易协议的国家，都必须签署尊重GDPR的协议。在过去的十年里，美国已经成为世界经济警察，对不遵守其反洗钱条例的银行处以巨额罚款。有了GDPR，欧盟会成为世界数据保护的冠军吗？

GDPR最初是由欧盟委员会(European Commission)于2012年提出的，最初侧重于云服务和社交网络，当时区块链还不为人所熟知。云服务和社交网络大多是集中组织的：许多数据主体与一个独特的服务器实体（即数据处理器/控制器）进行交互。至少在区块链出现之前是这样的。这种中心化管理为监管者创造了一个简单的攻击点以便监管。但是，GDPR将会如何影响去中心化的协议，如公有区块链？

区块链存储一些潜在的个人数据，包括个人的交易历史纪录。因此，它可能属于GDPR的范围。

初看之下，人们可能会认为，GDPR和公有区块链之间存在直接矛盾。例如，GDPR规定的“删除权”似乎与区块链不可更改的性质不一致，而按照一般的说法，不可更改性是区块链技术的核心。这就引出了一个问题：在一个纯粹去中心化的区块链系统中，谁是负有责任的数据处理器？

总之，使用“数据处理器”/“数据主体”划分来阐明GDPR和区块链的逻辑似乎很困难。毫无疑问，未来将有一场激烈的法律辩论。

然而，区块链与GDPR有许多共同的目标。两者的目标都是控制去中心化数据，并缓和中心化服务提供商与终端用户之间的权力不平等。虽然最初的比特币规范并不能保证匿名性，但许多技术创新，从初级tumbler到zk-snark应用程序，使我们离这个理想更近了一步。然而，这种匿名性可能并不是监管机构所追求的——区块链是否提出了更容易被监管机构接受的解决方案？

一个特别有前景的研究途径是可信硬件（trusted hardware）和区块链的结合。在公有区块链上，所有数据都被复制和共享在网络的计算机中。这使得交易数据的删除和隐私成为用户的噩梦。最近的研究已经开始关注“可信计算飞地（trusted computing enclaves）”(如Intel SGX)如何为用户提供安全、机密的数据存储和保护用户隐私。

将可信计算与公有区块链结合在一起意味着，数据的隐私可以得到保护，免受外部威胁，并在链下储存，由区块链来最终判定谁能够访问该数据。

由于智能合约意味着不再需要信任中心化的服务提供商，用户可以完全通过区块链和可信硬件来管理数据权限，将数据的控制和隐私返回给用户。

目前有几个项目在追求这一想法，希望它能将区块链从GDPR噩梦变成童话故事。

其中一个是伦敦帝国学院和康奈尔大学强强联手的项目——Teechain，使用可信硬件在公有链上进行安全和高效的链下交易。其中一个很有趣的步骤就是，该项目会询问用户是否可以在所有公有链上公布该用户的交易隐私，而不仅仅是那些默认的匿名信息。

你最喜欢的区块链项目是否采取了必要的措施来适应这场隐私法大变革呢？如果没有，也许是时候开发以“从设计着手保护隐私”为核心的产品了。限制因素能孕育出创造力，这是亘古不变的真理。

作者：Samuel Martinet

原文链接：https://cointelegraph.com/news/gdpr-and-blockchain-is-the-new-eu-data-protection-regulation-a-threat-or-an-incentive

翻译：Xiaoqing

校对：Hulin

【本译文经原文作者同意，由Unitimes翻译发布，版权属于Unitimes，转载请保留版权信息。未经授权，不得以任何方式加以使用，包括转载、摘编、复制或建立镜像。Unitimes将追究侵权者的法律责任。合作或授权请联系contact@unitimes.media 或添加微信: unitimes2017】