于5月25日生效的通用数据保护条例(GDPR),一项广泛和严格的欧盟个人数据隐私法律框架。可以确定的是,这项条例将大大改变数字投资业务。 国际隐私专业协会(IAPP)预测,该条例将运生出至少75000个工作岗位,财富全球500强企业将花费近80亿美元以确保其符合GDPR。 那么这对区块链意味着什么?

GDPR的目标是:在欧洲范围内建立统一的数据监管框架,并加强对其个人数据存储和使用的管控。 它于2016年通过,经过两年的过渡期后,现已生效。

权利与义务

GDPR为“数据处理者”(包括公司和公共组织)引入了新的程序和组织义务,并赋予“数据主体(指个人)”更多权利 。

公共和私人机构通常在不知道未来怎么使用的情况下就提前收集数据,像是一场个人数据采集的“淘金热”。 GDPR规定数据处理器不应收集超出与消费者互动的范围内的数据。实际上,数据收集应该“充分,相关并且限于与尽可能的与其数据使用目的相同”(GDPR第39条)。

除了列出不允许的项目,GDPR也规定了组织机构必须采纳的条款。例如,技术架构中需要在使用后消除默认的消费者数据 -,即“隐私设计”。

其次,任何被视为“数据关联”的实体都要求有一名数据保护官员(DPO)负责管理GDPR的合规性。该DPO将被进行法律授权,在看到实体潜在风险时提出警示(GDPR第33条)。

 

New European Data Protection Regulation

另外,数据主体将会更多地了解他们的私人数据是如何被存储和处理的(第15条)。 例如,他们有权要求与使用自己相关信息机构提供数据副本。 数据处理机构应告知数据主体关于其数据处理、数据被分享或获取的过程细节。

除了透明公开,GDPR还为公民提供控制其被使用数据的权利。第17条表明,他们有权从业务数据库中删除他们的数据,或所谓的“删除权”

正如Sarah Gordon和Aliya Ram在金融时报中所提到的那样,“最终,GDPR的影响力决定于公民是否行使其被赋予的权利”。 你还能想到你最后一次拒绝同意Facebook的隐私政策是什么时候吗?

具有全球影响力的武器

GDPR对违反条例的处罚金额相当的高。并且,其影响力远超过了欧盟范围。

对公司来说,数据审查会比税务审查更可怕。故意,反复,或不遵守GDPR的条例将导致2000万欧元到的年度全球营业额的4%的罚款 - 以较高者为准。因此,不仅有DPO的警示,定期的数据保护审计也将会被安排。

尽管严格意义上来说,它只保护欧盟范围内的数据主体,但实际上,GDPR是覆盖全球的。首先,位于欧盟境外但使用欧盟居民个人信息的数据的实体将不得不遵守这一规定。

同时,欧盟的创新之处在于,它导致了数据流演变的贸易流:任何希望与欧盟签署贸易协议的国家都必须遵守GDPR。在过去的十年中,美国已成为世界经济警察,对违反其反洗钱法规的银行采取巨额罚款。 GDPR会让欧洲变成数据数据保护警察吗?

区块链是否可以规避GDPR?

GDPR最初由欧盟委员会于2012年提出,早先侧重于云服务和社交网络,当时区块链还没什么名气。至少在前区块链世界中,云服务和社交网络都相当重要:许多数据主体与单独的服务器实体(数据处理器/控制器)进行交互。中央管理为监管机构创造了一个简单的单一切入点。但GDPR将如何影响如区块链一样基于分散协议的结构呢?

很明显,例如使用加密和身份验证之间一线之差- 区块链从一个人的首次交易起开始存储一些潜在的个人数据。它也可能属于GDPR的管理范畴。

乍一看,人们可能会认为GDPR和公共区块链之间存在直接矛盾。例如“删除权”似乎是与区块链技术的核心直接相悖的。当矛盾产生时,就有一个问题:在纯粹的分散式区块链系统中,谁是有责的数据处理者?

总之,使用“数据处理器”/“数据主体”的分解来阐明GDPR和区块链的逻辑似乎很困难。毫无疑问,未来会产生严重的的法律分歧。

区块链和 GDPR共生?

尽管如此,区块链与GDPR还是有许多共同目标。两者都旨在分散数据控制,平衡中心服务商与最终用户之间的权利不对等。虽然最初的比特币无法规定保证匿名性,但从基本科技公司到zk-SNARK应用程序等许多创新技术使这一想法更易实现。这种形式的匿名可能不是监管机构所追求的,那么有没有一些区块链提出的解决方案能更容易被监管机构接受?

最有希望的途径之一是可信硬件和区块链的组合。在公共区块链上,全部数据都将在网络中的所有机器上进行复制和共享。这使得交易数据删除和隐私成为用户的最大困扰。最近的研究已经开始探讨”可信计算飞地”,如英特尔SGX,如何提供安全和保密的数据存储和隐私。

将可信计算与公共区块链相结合意味着可以防止隐私或数据的外部威胁,并将其存储在链外,区块链最终决定访问数据的权限。由于智能合约意味着不再需要信任集中服务提供商,因此用户可以通过区块链和可信硬件完全管理数据权限;将数据的控制权和隐私权归还给他们。目前有几个项目在朝着这个想法努力,希望它能够将区块链从GDPR的魔掌中拯救出来。

其中,伦敦帝国理工学院和康奈尔大学合作进行了一些尝试。 Teechain,一种使用可信硬件来保护公共区块链的安全和有效的离线交易。需要思考的是交易信息是否能在所有公开区块链上被找到, 不仅仅是被默认匿名的部分。 另一个项目是iExec和英特尔在企业以太坊联盟(EEA)内发起的合作。

您最喜欢的区块链项目是否在为适应这一法律大事件而努力? 如果没有的话,那么可能该策划推出以“隐私设计”为核心的产品了。从古到今,管制总是能激发创造力的。

 

本文与Joshua Lind,一名计算机科学博士共同撰写。