区块链-GDPR悖论，真的无法调和吗？

虎客财经 Hucoo Finance

—| 关于数字金融的有趣实验 |—

欧盟 “一般数据保护条例”(GDPR)将在2018年中正式实施，数以万计的企业不得不遵守一套全新的数据管理规则。

在条例生效前的最后时刻，它们正在忙于制定新的信息管理规范以及更新现有的消费者隐私政策。

然而，区块链技术类公司担心他们可能无法遵守这项新政策。不是因为他们不想，而是因为他们不能。

这就是所谓的“区块链 - GDPR悖论”：为保护消费者信息，GDPR要求删除任何个人信息。而为了保护消费者信息，区块链则要无限期地保留信息。

“这对于从事区块链相关工作的许多律师来说是个问题。” MorrisManning＆Martin公司高级助理Bess Hinson告诉我们。

Hinson解释说：“其中一个问题是GDPR的发展基于这样一个假设，即我们可以有效识别收集个人数据的数据控制者。”

“区块链并非建立在这些单一的假设之下。” Hinson指出，在数据的管理、控制、传输、访问等多个方面，都存在着类似的问题。

创新机会

区块链身份识别解决方案，是通过在多个节点上复制和分发编码，使分类帐系统得到保护，从而免受篡改影响。

诸如Sovrin基金会这样基于区块链技术进行身份验证的项目，都试图使用这种结构来允许个人验证自己的信息。

Baker＆Hostetler合伙人LauraJehl解释说，作为GDPR和区块链矛盾的一部分，两者似乎都有相同的最终目标。“他们打算做大量与GDPR期望相同的事情，使得个人更好的控制自己的数据。”

尽管如此，区块链技术专家们仍然为如何遵守GDPR的一些具体措施而烦恼。

云数据管理公司Veritas Technologies最近的一项研究发现，近百分之四十的英国公司计划在GDPR规定生效的半年内执行“被遗忘权”政策。

据报道，最有可能被要求提供这些请求的是金融服务行业，其中56％的受访者是金融服务机构。

删除这些数据对于区块链公司来说是不可行的。“这些规定对区块链不起作用，因为数据是不可被改变的。”Jehl指出。

然而，GDPR并没有明确定义数据的“删除”，这意味着区块链技术专家在开发合规解决方案方面有更多的余地。

匿名化的个人数据在理论上不会被GDPR所覆盖，但假名化或许会受影响。

在GDPR的规则之下，数据控制人员需遵守规定的义务，这一区别体现在哪些方面目前尚不明确。

Hinson说：“在一个没有特权、开放的区块链中，每个添加数据的个人都可以被视为一个数据控制器。”

Crowell＆Moring公司的高级顾问Maarten Stassen指出，个别区块链运营商需要考虑他们所扮演的角色。“根据区块链的类型，您需要检查用户是数据主体、受保护的个人，还是控制器。”他说。

一些组织像区分物理存储单元一样操作区块链，允许人们在区块链中存储加密信息而不需要保存解密密钥。

Jehl指出：“如果他们不是控制者，就不必遵守义务，你可以在后端控制它。”

一些区块链组织已经在考虑其它变通方式，例如为区块链的少数几个节点创建私有链以外的存储，以阻止这些渠道之外的人。

Jehl指出，区块链公司可能无法无限期地依赖它们。

像量子计算这样即将出现的技术进步可能会让网络攻击者在未来解密当前不可破解的加密，这可能会使假名数据重新可识别。

“现在很好，但是能持续多久？”她反问道。

监管调节

就目前而言，一些区块链基础设施与书面规定完全不相容。 Hinson说：“对于开放式区块链而言，在执法截止日期的最后时刻不可能遵守法规。”

欧盟显然不愿意被区块链技术可能带来的潜在技术革命排除在外，但Jehl并不认为监管机构会立即对该规定做出任何特殊修改。

就目前而言，解决存储在区块链基础设施中的个人信息安全问题，似乎是监管机构的优先级目标。

“我不认为区块链技术本身将在最初的几个月或第一年成为监管重心。我认为资源将在其他地方投入使用。”Hinson说。

“他们在截止日期前面临的挑战是与所有遗留系统协同工作。IT人员总是被要求不要丢失任何信息，因而系统不会设置删除信息。”Stassen说。

Stassen指出，区块链公司面临的一些风险不在于区块链技术本身，而在于它可能连接到的遗留系统：“这是新技术经常会陷入的困境。

Jehl则预测，区块链技术可能会在新规定实施后进一步发展。“新技术出现的方向将以GDPR为指导。”她说。

Jehl认为，区块链运营商看到了将技术与GDPR最终目标相一致的机会。

“他们更关注GDPR的生效给区块链技术带来的机遇”她说。

本文编译自 ALM

- END -

欢迎评论留言，和我们分享你的独特见解