就在今年，我們見證了數(shù)據(jù)隱私領域兩股強大新力量的融合（也許他們之間還是有沖突的）：歐盟通用數(shù)據(jù)保護條例(GDPR)和基于區(qū)塊鏈的隱私解決方案的出現(xiàn)。隨著區(qū)塊鏈技術公司繼續(xù)開發(fā)新的解決方案，以下是這些公司應該記住的關于GDPR的五個關鍵要點。

個人數(shù)據(jù)

　　GDPR適用于“個人數(shù)據(jù)”，它被定義為“與已識別或可識別的自然人(‘數(shù)據(jù)主體’)有關的任何資料”?！皵?shù)據(jù)主體”是指“自然人……可以通過參考識別……特定于該自然人的……文化或社會身份的標識?！贝送?，個人數(shù)據(jù)明確包括了“在線標識符”，其包括IP地址。

　　要點1：基本上幾乎任何能幫助了解某人的數(shù)據(jù)都可能被視為個人數(shù)據(jù)。

　　在GDPR的要求下，個人數(shù)據(jù)甚至包括經(jīng)過“假名化”處理的數(shù)據(jù)，這意味著該數(shù)據(jù)已經(jīng)被處理以至于“如果不使用其他信息，它就不能再歸屬于特定的數(shù)據(jù)主體”。加密技術被認為是一種非常有效的假名化手段，而區(qū)塊鏈上與鏈外個人數(shù)據(jù)相關聯(lián)的“公鑰”也可能被視為“假名化”。盡管GDPR更喜歡對數(shù)據(jù)進行加密以實現(xiàn)假名化，但單獨使用加密并不會從個人數(shù)據(jù)的定義中刪除底層數(shù)據(jù)，因此也無法避免GDPR的要求。

　　要點2：如果存儲在鏈下的個人數(shù)據(jù)可以很容易地與區(qū)塊鏈解決方案中使用的公鑰連接，那么公鑰很可能被視為已達到假名化狀態(tài)的數(shù)據(jù)，但仍被視為GDPR的個人數(shù)據(jù)主體。

　　在個人數(shù)據(jù)被假名化并且將數(shù)據(jù)歸類為自然人所需的附加信息是“不可用”的情況下，GDPR表明數(shù)據(jù)可被認為是“匿名信息”或“匿名的”。由于GDPR僅規(guī)定了個人數(shù)據(jù)，任何被認為是匿名的東西都免除在GDPR之外，它是“不涉及處理這種類型的匿名信息……”。

　　這一規(guī)定提出了使區(qū)塊鏈解決方案符合GDPR的一條路徑：如果區(qū)塊鏈架構的設計使得公鑰符合匿名信息的定義——確保任何非鏈式個人數(shù)據(jù)安全加密，并且解密不可用于允許與公鑰重新關聯(lián)——公鑰處理可以就免除GDPR的要求，包括刪除權。

　　要點3：對于任何使用區(qū)塊鏈技術和處理個人數(shù)據(jù)的公司來說，保留在GDPR下被視為匿名的公鑰能力無疑是最關鍵的問題。

控制者（controller）與處理者（processor）

　　受GDPR影響的實體有不同的義務，這取決于它們是個人數(shù)據(jù)的“控制者”還是“處理者”。一般來說，控制者“決定處理個人數(shù)據(jù)的目的和手段”，而處理者則“代表控制者處理個人數(shù)據(jù)”。

　　實體作為控制者還是處理者的決定是特定于活動的，而不是特定于實體的。這意味著在不同的情況下，同一實體可以被視為控制者、處理者或控制者和處理者。作為決定處理方法和目的的實體，控制者在GDPR下的義務要比處理者多得多。最重要的是，控制者有責任執(zhí)行個人要求刪除、修改或轉移其個人資料的請求。

　　要點4：使用區(qū)塊鏈技術的公司應該設計他們自己的系統(tǒng)，這樣他們就可以避免確定數(shù)據(jù)是如何處理和為什么處理的，從而避免起被認為是數(shù)據(jù)控制者。

數(shù)據(jù)主體的權利和數(shù)據(jù)處理的合法依據(jù)

　　GDPR賦予數(shù)據(jù)主體與數(shù)據(jù)控制者相關的各種權利。其中最主要的是數(shù)據(jù)可移植性的權利（即你帶走數(shù)據(jù)的權利），糾正(即有權修改不正確的資料的權力)和刪除的權利。一般來說，這些權利可以在數(shù)據(jù)主體的要求下行使，盡管在某些情況下某些權利也有例外，例如根據(jù)法律義務處理或保留數(shù)據(jù)時。

　　根據(jù)數(shù)據(jù)處理的合法依據(jù)，數(shù)據(jù)控制者促進數(shù)據(jù)主體權利的義務是不同的。根據(jù)處理目的，處理歐盟個人資料必須得到六個法律基礎之一所提供的支持。這些基礎是:

　　同意：數(shù)據(jù)同意，但須符合一個或多個特定目的。合約：履行合約所必需的。法律義務：數(shù)據(jù)控制者所服從的法律義務的遵守所必需的。公共利益：對履行公共利益的任務所必需的。切身利益：對數(shù)據(jù)主體的切身利益的保護是必要的。

　　合法的利益：除非被資料當事人的基本權利和自由所覆蓋，否則為管理人或第三方的合法權益所必需。

　　由于同意可隨時撤回，這就要求刪除在該基礎上所收集的任何個人資料，因此，處理個人資料并不是一個明智或可靠的依據(jù)，因為這些數(shù)據(jù)將被輸入到區(qū)塊鏈中。同樣，雖然可以根據(jù)履行合約來收集和處理個人資料，但如果該合約終止或到期的話，那么久必須刪除處理這些資料的合法依據(jù)。另一方面，為遵守法律義務而收集的數(shù)據(jù)可能不受刪除權的約束。

　　要點5：理解處理數(shù)據(jù)的可適用的合法基礎或基礎——特別是在此基礎上對數(shù)據(jù)主體權利的任何可適用限制或例外——并相應地設計您的系統(tǒng)，對于構建與GDPR兼容的區(qū)塊鏈解決方案至關重要。

避免碰撞

　　最終，這兩股力量是否會發(fā)生沖突還有待確定。避免沖突將需要歐盟監(jiān)管機構做出一些有利的解釋，以確保GDPR不會剝奪歐盟和歐盟數(shù)據(jù)主體享受區(qū)塊鏈技術帶來的好處。

　　歐盟官員的一項決定是，在適當設計的區(qū)塊鏈解決方案中使用的公鑰本身并不構成個人數(shù)據(jù)，這將有助于協(xié)調(diào)區(qū)塊鏈技術與GDPR之間的關系。

　　即使做出了這樣的決定，區(qū)塊鏈解決方案的用戶也應該監(jiān)控技術發(fā)展(尤其是數(shù)據(jù)存儲或加密)是否會影響或改變這種決定。在這個關鍵時刻，區(qū)塊鏈公司必須理解GDPR的框架，并采取積極的立場、開發(fā)技術和法律立場，并仔細考慮GDPR的需求。

　　隨著這兩股強大的力量繼續(xù)出現(xiàn)并發(fā)揮作用，歐盟監(jiān)管機構和區(qū)塊鏈技術專家都應該牢記，基于GDPR和區(qū)塊鏈的解決方案有許多基本目標，比如個人有權控制自己的數(shù)據(jù)以及數(shù)據(jù)共享的最小化。為了演示區(qū)塊鏈和GDPR的兼容性，這些原則應該在區(qū)塊鏈解決方案架構中最大限度地發(fā)揮作用。

　　最后的要點：通過正確的技術架構和法律分析，企業(yè)可以利用區(qū)塊鏈的優(yōu)點，同時確保存儲在區(qū)塊鏈上的數(shù)據(jù)符合GDPR要求。

【獨家稿件及免責聲明】本網(wǎng)注明轉載文章中的信息僅供用戶參考。凡注明來源“運輸人網(wǎng)”的作品，未經(jīng)本網(wǎng)授權均不得轉載、摘編或使用。聯(lián)系郵件：master@yunshuren.com