雷霆抑或雨露?當GDPR遇上區塊鏈區塊鏈
GDPR的監管范式是針對互聯網企業中心化服務的數據體系進行的,核心點在于加大數據控制者和處理者的法律責任。這與區塊鏈在數據處理上的去中心化模式是完全不同的,其實施和推行將給區塊鏈行業帶來何種影響也一直是業內熱議的話題。
歐洲時間2018年5月25日,歐洲聯盟出臺了《通用數據保護條例》(以下簡稱“GDPR”)。該法案被公認為目前全球對用戶個人數據保護最嚴格的法律,其適用范圍涵蓋所有與歐盟個人數據收集和處理相關的商業主體,違規企業將最高被處以上一年度全球營業額的4%或2000萬歐元作為罰款。Facebook和谷歌等美國企業或成為GDPR法案下第一批被告。
據了解,GDPR的監管范式是針對互聯網企業中心化服務的數據體系進行的,核心點在于加大數據控制者和處理者的法律責任。這與區塊鏈在數據處理上的去中心化模式是完全不同的,其實施和推行將給區塊鏈行業帶來何種影響也一直是業內熱議的話題。
控制個人數據濫用,誰是更好的答案?
如今在全球范圍內,個人數據泄露與濫用的情況普遍存在。其對民眾基本權利造成的侵害,已經引起了社會公眾和法律界的警惕。GDPR正是在現有的法律體系內,對相關民事、商事權利義務和政府監管義務作出了一整套的規范,試圖構建一個新的法律框架,使個人數據的保護與商業使用等行為之間達到一個平衡的狀態。
與GDPR的思路不同,區塊鏈技術則試圖從另一個角度給出答案。對于公有鏈網絡,用戶通過相關隱私措施,可以做到匿名使用相關服務。對于聯盟鏈,個人數據的使用和存儲都可以是加密的,除了共識節點、交易相對方和經授權的第三方以外,其他參與方都無法取得個人數據。一些最新的開放許可鏈和公有鏈甚至希望通過密碼學技術、次級網絡或是兩者的組合,實現交易的數據和執行過程對包括共識節點在內的所有無關方的隱私保護,將個人數據的控制權完全交還到個人手中。通過基于可信硬件或是密碼學的加密計算,保證商業主體和行政主體在提供相應服務的同時,也無法收集和留存個人數據。
以上兩個思路都旨在解決個人數據濫用的問題。GDPR的優勢在于依托成熟的法律框架,威懾可信,效果立竿見影;但同時由于執行成本高、過于依賴中心化互聯網企業的配合,在切實提高企業經營成本的情況下難以得到有效執行,也難以制止互聯網巨擘通過并購的方式擴展個人數據的授權使用。區塊鏈技術的優勢在于釜底抽薪,從根本上解決個人用戶行使個人數據的選擇權問題,在避免過度監管的同時,也能使用戶個體從自己產生的數據中獲益,為個人數據的商業使用打下堅實的基礎;但受限于技術處于早期,應用的成熟與穩定性不高:沒有大規模商業應用的實踐和測試,需要大量的消費者教育工作,遠水難解近渴。
七大基本原則,GDPR與區塊鏈相愛相殺?
目前,GDPR為個人數據保護設立了七項基本原則:
可問責性原則
據完整性和保密性原則
準確性原則
限期儲存原則
目的限制原則
數據最小化原則
合法性、合理性與透明性原則
這里面有些原則的落實正是區塊鏈技術的強項,另有一些則看似與區塊鏈技術存在沖突。是否真的如此?我們逐條來分析:
(一)可信的解決方案
GDPR的可問責性原則要求:對于GDPR原則的遵守,數據控制者有責任提供證明。而區塊鏈技術的一大優勢就在于鏈上數據的存證和可溯源服務。對于可問責性的監管要求,數據控制者可以在把所有操作上鏈的同時,在監管部門和認證機構設立同步全部賬本的節點,這樣就可以起到自證清白的作用。
GDPR的數據完整性和保密性原則要求:處理過程中應確保個人數據的安全,避免數據未經授權即被處理或遭到非法處理,避免數據發生意外毀損或滅失。倘若數據控制者對所有個人數據進行區塊鏈管理的分布式存儲,則可以用較傳統手段低很多的成本避免數據發生意外毀損。同時,將數據操作的授權通過區塊鏈驗證并將操作過程上鏈存證,也可以大大增加安全性,避免數據未經授權操作即被非法處理。
(二)并不相悖的要求
GDPR的準確性原則要求:個人數據應當是準確的,如有必要必須及時更新;必須采取合理措施確保不準確的個人數據及時得到擦除或更正。看似與區塊鏈的不可更改性相沖突,但區塊鏈賬本上的數據可以通過后續區塊做標記的方法進行更改,只是這種更改不會刪除掉更改前的數據,而是將更改前的數據、更改過程的操作和更改后的數據同時保留了下來。這樣一來,只要保證公開范圍內的訪問者只能訪問更改后的數據就完全可以達到數據準確性的要求。同時對于為了公共利益需要訪問更改前數據的政府、司法部門,也能滿足其例外要求。
GDPR的限期儲存原則要求:對于能夠識別數據主體的個人數據,其儲存時間不得超過實現其處理目的所必需的時間。而這看似又與區塊鏈賬本上數據的永久保存性存在沖突,其實可以按照以下方式處理:對于聯盟鏈,鏈上主體都是商業主體,鏈上數據都是有隱私方案保護的,同時鏈上數據的保存都有作為商事證據保留的性質,這一點已經構成了個人數據權利行使的限制。對于公有鏈,用戶完全可以選擇匿名化鏈上數據。對于開放許可鏈,可以通過基礎鏈數據匿名化、側鏈數據聯盟鏈化處理來解決這一問題。
(三)堅實的基礎與保障
GDPR的目的限制原則:個人數據的收集應當具有具體的、清晰的和正當的目的,對個人數據的處理不應當違反初始目的。
GDPR的數據最小化原則:個人數據的處理應當是為了實現數據處理目的而適當的、相關的和必要的。
GDPR的合法性、合理性與透明性原則:對涉及到數據主體的個人數據,應當以合法的、合理的和透明的方式來進行處理。
首先,開源的區塊鏈技術代碼清晰地展現了操作者對個人數據的收集和處理是否違反了GDPR的原則和規定,為真正實施以上三大原則提供了堅實的基礎。
其次,區塊鏈項目特有的分叉功能真切地實現了數據的可攜權,也真正防止了壟斷。在GDPR監管的語境下,使技術開發者獲得商業利益的同時,也促進了良性競爭與新技術的應用。
最后,區塊鏈項目特有的代幣投票公共治理制度將行為人的利益與項目結果相捆綁,是實現上述三大原則的保障。
綜上所述,GDPR和區塊鏈技術本質上并不敵對,它們都是為了改變嚴峻的互聯網企業濫用用戶個人數據和形成行業巨頭壟斷的局面應運而生的。在保護個人數據方面,兩者各有利弊,相輔相成。對于GDPR的七項基本原則,區塊鏈技術提供了堅實的支持與保障。而GDPR的普及和推廣也將是相關公司的試金石,在良莠不齊的區塊鏈技術公司里去偽存真,營造健康監管生態,為真正優秀的企業保駕護航。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
