史上最严隐私条例将于今年5月正式生效，数字身份步入黄金发展期

欧盟的隐私保护法正在面临自1995设立以来最大的改革。

2016年4月14日，欧洲议会投票通过了商讨四年之久的《一般数据保护条例》（General Data Protection Regulation，简称GDPR）。根据规定，该条例将于2018年5月25日正式生效。新条例的通过意味着欧盟对个人信息保护及监管达到了前所未有的高度，堪称史上最严格的数据保护条例。为踏上数字时代新秩序的起跑线，全球企业都在积极准备，不仅因为合规操作攸关企业未来发展，更决定了如何合法地应用新技术、业务创新来获取基于个人数据的商业价值。

GDPR重构互联网治理秩序，为数字身份提供基本合规框架

GDPR的宗旨在于协调整个欧盟的数据隐私立法，让人们更好地掌控自己的个人数据，其将彻底改变各类组织处理和使用他们收集的个人数据的方式。GDPR主要从个人对其信息的控制权、信息控制者、处理者的义务和责任的界定、信息跨境和刑事活动领域的特殊信息保护规则等方面，对科技公司使用身份数据的边界、应当承担的责任和义务，提供了基本的合规框架。

根据GDPR，所有存储欧盟公民或居民的个人资料的组织，包括区块链项目，都需要遵循严格的数据隐私规则。惩罚手段是根据违法的严重性、侵权行为的性质和组织的行为准则进行罚款。情节最严重者将面临高达20亿欧元或年收入百分之四的巨额罚单，以较高者为准。

l个人数据

以前的隐私制度将个人数据定义为姓名、照片、电子邮件地址、电话号码、实际地址或个人身份证号码、银行帐号或社保卡号，但GDPR将定义扩大至“已识别”(identified)和“可识别”(identifiable)的数据信息。这意味着个人数据指的是任何可用于识别个人的信息，包括位置数据、移动设备ID以及某些情况下的IP地址。

匿名数据是一种潜在的合规性信息，即经过散列、加密或以某种技术方法进行匿名处理的个人数据。通过将其与附加数据相结合后重新定位识别的数据也被视为个人数据。

l个人权利

GDPR更重视保护自然人的个人信息权利，其在立法目的的层面上更支持个人信息的自由流通，其不仅关注个人信息在境内受保护的情况，同时也着眼于个人信息出境后如何被处理及保护。

从个人权利种类看，包括积极权利：信息收集时的知情权、个人信息处理情况的查询权、个人信息使用时的许可权、个人信息转移权、错误个人信息的修改权、个人信息遗忘权、个人信息泄露时的知情权等。以及拒绝或限制个人信息被各种形式利用的消极权利：限制控制者的信息使用范围、拒绝个人信息被非公益科研或统计活动利用的权利、拒绝个人信息被商业利用的权利等。

在科技公司收集和处理个人信息时，必须获得个人明确的许可。GDPR要求，有关个人信息使用许可的条款需要区别于其他服务条款，应当以容易识别、通俗易懂的形式表现出来，不得不适当地与其他服务条款捆绑同意，也不能以沉默、不作为等默示方式认定为「同意」。

值得一提的是，GDPR 首次将遗忘权作为一项独立权利予以规定。当个人希望消除存储在信息控制者处的自身信息时，有权要求信息控制者及时地采取措施擦除相关信息。

l记录保存与问责原则

虽然GDPR并没有详细说明问责制，但数据管理员和任何外包商必须保存其数据处理活动的书面记录，包括他们处理数据的原因以及他们计划保存数据的时间。GDPR称之为“通过设计和默认的数据保护”。如果监管机构要求提供合规证明，公司必须能够提供。

如何协调区块链与GDPR法案，成未来数字身份发展关键点

作为区块链数字身份平台，IDHub认为，如何协调区块链技术与GDPR法案将是未来数字身份发展的一个关键点。虽然GDPR有意要避免技术局限性，但它仍是建立在个人数据会被存储在传统中心化实体的假设之上，可以由人轻松地在GDPR框架下统一管理。但在区块链的语境下，全球性的分布式网络如何能够实现与GDPR标准的对接，还需要更多探索。

其中一种可行的方案是，探索个人数据的链下存储方式。这种分裂的数据结构允许区块链引用个人信息，但没有获得权限时不能访问存储在链下数据库中的个人信息。通过双重数据处理结构，使其中一笔交易的合约部分通过链上的智能合约来执行，而实际数据的传输则发生在链下。

GDPR框架的提出，也衍生出了一系列必须思考的议题。比如，如何确认链下数据库的合规管理？链下访问的个人数据如何能轻松地服务于链上交易？如何确保区块链数字身份的每个节点都符合GDPR的隐私标准？这些都是区块链数字身份在未来需要解决的艰巨任务。

IDHub看来，GDPR迈出了数据向用户赋能的重要一步，尤其是它要求所有公司允许用户下载甚至删除数据、或者把数据迁移到其他平台。未来数字身份的发展方向将是在合规的法律框架下，确保必要的调控和区块链技术可以和谐共存。

在近期开放日活动中，IDHub创始人曲明提出，2018年将是“数字身份元年”，有关身份与隐私的标志性事件都在这一年集中爆发。随着GDPR法案的正式执行以及全球数字身份项目的繁荣发展，互联网治理秩序的重构指日可待。

目前，IDHub正在积极寻求与包括ID2020（全球区块链数字身份识别倡议组织）、DIF（去中心化身份认证基金会）、CCAB（互联城市咨询委员会）、EEA（企业以太坊联盟）在内的国际组织进行积极合作，进一步验证IDHub在不同框架下的可用性、适用性与社会商业价值。

对于区块链数字身份如何与GDPR框架的衔接，IDHub也将开展一系列研究，并与相关合作伙伴共同探索区块链监管模式与风险控制，为区块链项目的质量评估、风险管理以及未来监管提出新型治理方案。