Py学习  »  区块链

区块链剥夺了“被遗忘权”

零识区块链 • 6 年前 • 274 次点击  

零识资讯


作者:张韡武

翻译:Peace




在欧洲“被遗忘权”的流行和GDPR 1)的大兴其道,是不是意味着区块链技术将有更多的用武之地?还是相反地,区块链不可篡改的特性是否对人们的隐私造成了威胁,毕竟这一特性意味着数据一旦存在,便从此“永垂不朽”了?

 

 

回答是后者。数据一旦存储在区块链上,就不再为系统管理员控制,系统的记忆不是你说忘就能忘的。这也是新人将新婚誓词存在区块链上的原因,的确做到了物理上的不被遗忘。法律层面上,运行区块链的组织却可能因为违反隐私保护条例而受到制裁。

 

这既是问题又是机遇,因为这可能引起其它确实可以实现遗忘权的密码学技术(比如密文共享协议 2)应用到区块链上。创新常常是两种不同技术在同一应用中结合而带来的。这里我先解释为什么现有的区块链技术不能全面实现“被遗忘权”,再说如何跟已经有的密码学技术结合。

 


尽管区块链提供多样化的信任机制,但通常却不包括保密机制。举例来说,比特币的信任条件是:“可信任第三方”,这个学术味很重的词是什么意思?


其实,“可信任第三方”指的是比特币不会接受伪证,不会删除正确证明的数据,不会拒绝接受正确证明。这三条里,唯独不包含“不会告诉其它人”这样的保证。拿结婚做比,你相信你的婚礼公正人,并不是说你相信他会保密不告诉别人,而是说你相信他在这种事上不会说谎。门外汉根本不会揣摩“保密”和“信任”究竟有何区别。可信任其实是不包含“保密”的。

 

区块链粉丝可能会说比特币已经是匿名的,但匿名并不意味着拥有“被遗忘”的权利。匿名仅仅意味着记录不会与某个人的名字相关联。


聪明的读者会指出ECDSA提供了对称密钥生成算法,所以是可以加密的。即使如此,加密也不等于“被遗忘权”。”被遗忘的权力“是基于“保密”的隐私模型,而非“加密”的模型。这一模型假设一边是知道你秘密的知己,另一边是一个不可见的第三方,由此引出了已存在的记录究竟应该被谁遗忘的命题。

 


我们通过下面的定义区分什么是“保密”,什么是“加密”。

 

加密:我没告诉你。

保密:我告诉你,你不能告诉其它人。


 


第一种情况,如果使用zcash,秘密没有被告诉任何人,只是其效果被实现了。因为从一开始就没有其他人知道你的秘密,也就没有需要遗忘记录的人。

 

第二种情况,如果使用R3 Corda,那么可以依靠可信的第三方(通常是银行)来启动重新发行的过程,比方说银行获取了你的证券,并重新发行给你。这样密钥丢了也有机会补卡一样补上。这样的这样的历史数据可以被遗忘,

 

很明显,第一种隐私模型更胜一筹,因为无须保密。或许,保守秘密的最佳方式是对谁都只字不提,但这样的模型也是有局限的。

 


以电子医疗记录系统为例,很多人都尝试过将区块链技术应用于该领域,如果病患不把医疗记录数据分享给医生,医生就无法做出相应诊断。医疗记录可以被加密,但诊断时,还是不可避免的被曝光给医生,因此适用于“保密”模型。

 


这恰恰是区块链不能成为保存电子医疗记录的主要系统的原因。然而,区块链仍有曲线救国的机会。

 

“秘密分享”就是其中的一条路。作为可行的加密法却鲜有人为之,秘密分享是指将用户的秘密分成多份来分享,一份由用户本人保存,其他的分别由诊所和国家机关保存。


用户(通过智能手机)在诊所里,当着医生的面重新创建秘密(医疗记录)。另外,用户在新的诊所就诊时,可以要求国家机关重新存储秘密。针对急诊条件,国家机关可以在无须用户参与的情况下,接触患者的诊所来重建秘密。


只要用户删除了自己那份秘密,他在诊所存储的秘密也随之消失,这一过程的高效性也体现在无须诊所主动执行“遗忘权”政策。如果用户进一步要求国家机关移除秘密,那么该秘密的各份记录都将被有效遗忘。在经历了Bondi美容手术泄漏案后,我们更认为这个方法是一劳永逸的,毕竟诊所是保存秘密的相对最薄弱环节。


秘密分享本身并不是基于区块链的技术,但区块链可以发掘其潜在用途,正如自拍杆虽然存在了数十年,但却是在社交媒体蓬勃发展后才得以广泛使用的。



补充阅读

1、

2016年4月27日,欧洲议会通过了《一般数据保护条例》(简称“GDPR”)法律条例并将在2018年5月25日生效。 非欧盟成员国的公司(包括免费服务)只要满足下列两个条件之一:

  (1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。

  (2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。


该公司就受到GDPR的管辖。这个条例将对中国企业的移动应用安全,以及数据收集、处理和交易产生重大影响。


第25条介绍了软件(包括移动应用)开发设计中对数据保护的原则性要求。它强制要求软件在整个开发阶段和运行数据处理阶段能够保护个人数据隐私。


第32条规定了数据控制(含移动应用)和处理需要有足够的技术和措施来确保其数据和移动应用的完整性。这些安全措施必须能够应对数据处理面临的风险,例如所传输或存储的个人数据被篡改、丢失、未经授权披露或被恶意攻击。


以上2条法规是对中国企业移动应用安全合规性的最大挑战。如果没有通过,企业面临的罚款标准是,“一般违规行政罚款的上限是1000万欧元或该企业上一财年全球年度营业总额的2%(以较高者为准)”;“严重违规行政罚款的上限是2000万欧元或该企业上一财年全球年度营业总额的4%(以较高者为准)”。


GDPR规定了欧盟每一个成员国都必须成立关于GDPR的监管机构(“Supervisory Authority”),负责GDPR在每一个国家的执行。监管机构接受该国关于违法的投诉,有权调查可能的违法情形,并进行相应的处罚。而这一监管机构也有义务和欧盟其他成员国的监管机构沟通,确保在同一件事情上执法尺度尽可能统一。同时,欧盟将设立“一站式”投诉服务,以便于消费者在欧盟内跨境投诉。


对于在欧盟境内有分支机构的中国公司,分支机构将被作为责任主体来强制执行法律要求。 如果没有在欧盟境内设有机构,欧盟将缺席判决,一旦境外公司高管进入欧盟境内,将直接强制执行。中国企业首当其冲的是银行、电子商务、互联网、IT企业和软硬件生产商。


中国企业面临三个选择:

  (1)停止向欧盟居民提供互联网服务(包括免费的服务);

  (2)接到罚单后再去面对;

  (3)主动完成欧盟GDPR的合规性要求。


通过第三方专业安全机构来解决是最高效和最有保障的方法。梆梆安全可以首先

提供针对移动应用安全的GDPR合规性评估,然后提供相应的解决方案,来帮助中国企业解决这个迫在眉睫的欧盟合规性要求。


2、

感兴趣的朋友可以去下载文档:http://dwz.cn/432tZn


项目采访

首发|发币谁都会,你会发“货”么?是时候用Token干点“正经事”了

电商“有病”,区块链“有药”吗?

正逢数字货币乱世,他们想用技术来保护投资人的最基本权益

数字货币交易所何去何从?

用区块链技术实现影响力的商业价值

用区块链技术拉起股权交易市场新的增长曲线

基于智能合约和区块链技术的创新信贷交换平台


专家专栏

既要懂技术又懂产业,2018将是区块链正规军入场元年

硅谷资深投资人讲析区块链项目投资|教程

王玮:区块链通证架构的思辨

软件好,才是真的好:区块链的1976—2017

信仰和投机:币圈没有奇迹

与元道对话三:区块链经济正在进行“动力切换”


百家观点

如何设计区块链项目的通证(token)模型

加密货币和区块链(一):历史的重演

裸照与区块链社群

疯狂的韩国比特币市场:“全民”炒币,人均收益率425%

开年反攻:泡沫中的token和被冷落的联盟链


对零识感兴趣的记者/运营/商务请甩Resume

至:hr@zkchainnews.cn



今天看啥 - 高品质阅读平台
本文地址:http://www.jintiankansha.me/t/g29ciujpPJ
Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/9065
 
274 次点击