通用數據保護條例:新的歐盟數據保護條例是威脅還是利好?

於5月25日生效的通用數據保護條例(GDPR),一項廣泛和嚴格的歐盟個人數據隱私法律框架。可以確定的是,這項條例將大大改變數字投資業務。 國際隱私專業協會(IAPP)預測,該條例將運生出至少75000個工作崗位,財富全球500強企業將花費近80億美元以確保其符合GDPR。 那麼這對區塊鏈意味着什麼?

GDPR的目標是:在歐洲範圍內建立統一的數據監管框架,並加強對其個人數據存儲和使用的管控。 它於2016年通過,經過兩年的過渡期後,現已生效。

權利與義務

GDPR為“數據處理者”(包括公司和公共組織)引入了新的程序和組織義務,並賦予“數據主體(指個人)”更多權利 。

公共和私人機構通常在不知道未來怎麼使用的情況下就提前收集數據,像是一場個人數據採集的“淘金熱”。 GDPR規定數據處理器不應收集超出與消費者互動的範圍內的數據。實際上,數據收集應該“充分,相關並且限於與儘可能的與其數據使用目的相同”(GDPR第39條)。

除了列出不允許的項目,GDPR也規定了組織機構必須採納的條款。例如,技術架構中需要在使用後消除默認的消費者數據 -,即“隱私設計”。

其次,任何被視為“數據關聯”的實體都要求有一名數據保護官員(DPO)負責管理GDPR的合規性。該DPO將被進行法律授權,在看到實體潛在風險時提出警示(GDPR第33條)。

 

New European Data Protection Regulation

另外,數據主體將會更多地了解他們的私人數據是如何被存儲和處理的(第15條)。 例如,他們有權要求與使用自己相關信息機構提供數據副本。 數據處理機構應告知數據主體關於其數據處理、數據被分享或獲取的過程細節。

除了透明公開,GDPR還為公民提供控制其被使用數據的權利。第17條表明,他們有權從業務數據庫中刪除他們的數據,或所謂的“刪除權”

正如Sarah Gordon和Aliya Ram在金融時報中所提到的那樣,“最終,GDPR的影響力決定於公民是否行使其被賦予的權利”。 你還能想到你最後一次拒絕同意Facebook的隱私政策是什麼時候嗎?

具有全球影響力的武器

GDPR對違反條例的處罰金額相當的高。並且,其影響力遠超過了歐盟範圍。

對公司來說,數據審查會比稅務審查更可怕。故意,反覆,或不遵守GDPR的條例將導致2000萬歐元到的年度全球營業額的4%的罰款 - 以較高者為準。因此,不僅有DPO的警示,定期的數據保護審計也將會被安排。

儘管嚴格意義上來說,它只保護歐盟範圍內的數據主體,但實際上,GDPR是覆蓋全球的。首先,位於歐盟境外但使用歐盟居民個人信息的數據的實體將不得不遵守這一規定。

同時,歐盟的創新之處在於,它導致了數據流演變的貿易流:任何希望與歐盟簽署貿易協議的國家都必須遵守GDPR。在過去的十年中,美國已成為世界經濟警察,對違反其反洗錢法規的銀行採取巨額罰款。 GDPR會讓歐洲變成數據數據保護警察嗎?

區塊鏈是否可以規避GDPR?

GDPR最初由歐盟委員會於2012年提出,早先側重於雲服務和社交網絡,當時區塊鏈還沒什麼名氣。至少在前區塊鏈世界中,雲服務和社交網絡都相當重要:許多數據主體與單獨的服務器實體(數據處理器/控制器)進行交互。中央管理為監管機構創造了一個簡單的單一切入點。但GDPR將如何影響如區塊鏈一樣基於分散協議的結構呢?

很明顯,例如使用加密和身份驗證之間一線之差- 區塊鏈從一個人的首次交易起開始存儲一些潛在的個人數據。它也可能屬於GDPR的管理範疇。

乍一看,人們可能會認為GDPR和公共區塊鏈之間存在直接矛盾。例如“刪除權”似乎是與區塊鏈技術的核心直接相悖的。當矛盾產生時,就有一個問題:在純粹的分散式區塊鏈系統中,誰是有責的數據處理者?

總之,使用“數據處理器”/“數據主體”的分解來闡明GDPR和區塊鏈的邏輯似乎很困難。毫無疑問,未來會產生嚴重的的法律分歧。

區塊鏈和 GDPR共生?

儘管如此,區塊鏈與GDPR還是有許多共同目標。兩者都旨在分散數據控制,平衡中心服務商與最終用戶之間的權利不對等。雖然最初的比特幣無法規定保證匿名性,但從基本科技公司到zk-SNARK應用程序等許多創新技術使這一想法更易實現。這種形式的匿名可能不是監管機構所追求的,那麼有沒有一些區塊鏈提出的解決方案能更容易被監管機構接受?

最有希望的途徑之一是可信硬件和區塊鏈的組合。在公共區塊鏈上,全部數據都將在網絡中的所有機器上進行複製和共享。這使得交易數據刪除和隱私成為用戶的最大困擾。最近的研究已經開始探討”可信計算飛地”,如英特爾SGX,如何提供安全和保密的數據存儲和隱私。

將可信計算與公共區塊鏈相結合意味着可以防止隱私或數據的外部威脅,並將其存儲在鏈外,區塊鏈最終決定訪問數據的權限。由於智能合約意味着不再需要信任集中服務提供商,因此用戶可以通過區塊鏈和可信硬件完全管理數據權限;將數據的控制權和隱私權歸還給他們。目前有幾個項目在朝着這個想法努力,希望它能夠將區塊鏈從GDPR的魔掌中拯救出來。

其中,倫敦帝國理工學院和康奈爾大學合作進行了一些嘗試。 Teechain,一種使用可信硬件來保護公共區塊鏈的安全和有效的離線交易。需要思考的是交易信息是否能在所有公開區塊鏈上被找到, 不僅僅是被默認匿名的部分。 另一個項目是iExec和英特爾在企業以太坊聯盟(EEA)內發起的合作。

您最喜歡的區塊鏈項目是否在為適應這一法律大事件而努力? 如果沒有的話,那麼可能該策劃推出以“隱私設計”為核心的產品了。從古到今,管制總是能激發創造力的。

 

本文與Joshua Lind,一名計算機科學博士共同撰寫。