为何区块链技术不完全符合法律四角的规则？

当涉及到数据保密法和你的个人数据时，区块链技术不完全符合法律四角（Four CornersoftheLaw，是指查尔斯顿南卡罗来纳州的会议街与宽街的交叉路口）的规则。

如果你现在还没听说过区块链技术，你可能还没注意到。它承诺要改变从货币到供应链管理的一切，区块链（也称为分布式分类账技术，也称为DLT）提供了一种独立的、分布式的、安全的机制，以可追溯和可验证的方式操作和处理大量的记录。也就是说，数据可以由许多不同的元素组成，包括个人可识别的信息（在本文中广义上称为“个人数据”）。然而，在推广这项技术的过程中，有一些问题需要解决，比如个人数据可能被上传到区块链，以及该技术将如何符合当前美国和国际数据保密法。不用说，很难回答这个问题，也比你想象的更难解决。

相信这将是一项有效的技术，尽管在法律上是一项具有挑战性的技术。大多数人都在加密货币（如比特币）的背景下理解区块链，但这种技术也可以为私有的、许可的区块链应用程序提供动力。技术先于法律，区块链在这方面也不例外。在数据隐私方面，区块链也不例外。法律和你的个人资料，这项技术有点格格不入，还不完全符合法律的框架。

从表面上看，区块链技术似乎非常适合个人数据的隐私。首先，区块链技术使用加密来保护和验证链内的数据，但这是一种双向身份验证技术（通常使用公钥和私钥），如果其他人获得私钥，则可以对个人数据进行解密。使用散列-单向函数，这种函数可以输入不同的长度来创建一个固定长度的输出，该输出可以作为一种数字指纹。在不太详细的情况下，散列函数用于在每个块中“散列”数据，随后的块合并了前面的散列以验证链并添加新数据。对块中数据的任何更改都会更改该块的散列以及块链中所有后续的哈希。在数据隐私方面，这些特性是一个很大的优点，但对于区块链的其他特性，就不是那么重要了。

首先，区块链记录是不可变的，一旦添加了记录，它就被设计为保持不变。这与欧盟《通用数据保护条例》（GDPR）的要求是不一致的。GDPR上规定，如果数据主体要求，应该更改或删除“数据主题”的个人数据（有时被称为“被遗忘的权利”）。此外，加州最近颁布的《消费者保护法》（CCPA）似乎借鉴了GDPR，赋予消费者根据CAL删除其个人信息的权利。--《民法典》第1798.105条规定。试图将个人数据合并到区块链中的区块链应用程序将需要解决这个难题，例如通过“分叉”到新的链（恕我直言，实际上不是一个可行的长期解决方案），使用可变的“侧链”（它会削弱块链的一个强大功能），或者以其他方式将此类个人数据放置在区块链之外（一些人可能会认为，这首先会使用区块链的目的落空）。

此外，区块链是高度分布的设计，这就创造了一些有趣的管辖权问题。无论是公共的还是私有的，区块链是由许多不同的节点组成的，每个节点是否需要遵守GDPR？如果是，谁负责确保每个节点符合GDPR？如个人资料遭到违反，适当的司法管辖权及适用的法律又是什么？欧盟监管机构将如何看待（并回答）这些问题？这些都是令人费解的问题，但答案是必须的。对不遵守GDPR的处罚高达2000万欧元或者是年营业额总额的4%，两者中以较大者为准（是的，你没看错）。

尽管如此，我不认为这些问题仍会没有答案，因为区块链已经到来，而且才刚刚起步。技术的优点在这一点上远远超过了缺点。尽管如此，答案将是具有挑战性的，并将推动区块链技术及相关法律的发展。鉴于《国家数据隐私保护法》（CCPA）最近获得通过（2020年1月生效），现在美国正在推动国家数据隐私监管（因为需要协调多个州数据隐私法律法规的未来肯定引起了所有人的注意）。这是否会发生还有待观察，但我有一种预感，当涉及到GPDR和区块链，好戏就要上演了。

End

▼