GDPR:《通用数据保护条例》General Data Protection Regulation,简称GDPR,为欧洲联盟的条例,前身是欧盟在1995年制定的《计算机数据保护法》。2018年5月25日,欧洲联盟出台《通用数据保护条例》。
自2013年以来,在Nasdag网站一直在探索和测试区块链技术的可能用途。我们坚信,它有可能提高整个金融服务业和其他部门的效率、可靠性和透明度。它是否能很好地实现这一潜力,取决于它能否按照GDPR赋予个人新的隐私权和其他权利来运作。
虽然GDPR和区块链在保护数据处理中的完整性和问责制方面有着类似的基本承诺,但也有人对GDPR的具体要求能否与区块链的运作方式相一致表示关切。例如,GDPR的核心要求,如数据最小化、对国际转让的限制和个人的擦除权利(即“被遗忘的权利”)是否与区块链对不可变的、分布式的分类账的依赖相协调?
鉴于违反GDPR的后果(例如最高每年营业额的4%罚款、有可能的诉讼和声誉损害),金融服务和其他行业正在寻求保证,确保GDPR的要求和区块链的核心业务职能不会遭到不可调和的反对。法国数据保护当局的初步指导和报告开始讨论如何根据GDPR兼容实施区块链解决方案。这些数据保护组织包括全国信息自由委员会(CNIL)、欧盟区块链观测站和Forum(区块链Forum,是BBS的一种,是基于BBS技术的可以通过WEB页面访问的站点。)。
迄今为止,欧洲数据保护委员会(EDPB)和国家数据保护当局(CNIL除外)都没有发布关于如何按照GDPR实施区块链的正式指南。CNIL(《在个人数据背景下负责任地使用区块链个人数据的解决方案》)和区块链论坛(《区块链和GDPR》)的最近出版物代表了他们已经在这一问题上给出了第一个具体的答案。重要的是,这些出版物反映了监管机构和思想领袖不断承诺参与制定一个可行的框架,将区块链技术应用于个人数据处理。这些出版物和其他在这一领域开始规划的关键项目,符合GDPR的区块链实现在金融服务领域将需要合并。这些措施包括:
将单个实体标识为数据“控制器”,由所有其他参与者和解决方案提供者作为数据“处理器”。根据GDPR,个人数据控制器负有第一线合规责任。在区块链模型中,特别是在几个实体共同利用区块链的情况下,可以让多个当事方充当数据控制器,从而增加了联合控制器的潜在复杂情况。为了避免这种情况,实体应该创建一个新的特殊目的实体,或者以合同方式标识单个控制器。使用区块链的其他实体和验证条目的矿工将成为控制器合同下的处理器。
在可能的情况下,避免将个人数据存储在区块链上,如果需要存储,请尽量减少个人数据,并采用强散列或加密措施。区块链的核心用途是证明发生了事务或记录是有效的。如果交易或记录涉及自然人,则不可避免地涉及个人资料。然而,这样的个人数据通常不需要存储在区块链上,相反,条目可以提供记录本身存储在区块链之外的证据。这种方法有助于满足GDPR下的数据最小化和安全性要求。
使用以私人和许可为基础的区块链,以合约方式解决GDPR的国际转让要求:GDPR对EEA以外的数据传输施加限制,个人数据只能转让给为数据提供充分保护的实体,或者受具有约束力的公司,再或者是受到示范合约条款约束的实体,以保护数据。这些要求不符合公共和无权限的区块链网络(在这种情况下,数据位置不能被限制)。因此,解决方案应该利用私有和基于许可的区块链,在这种情况下,每个参与者都同意某些国际转让条款来交换信息。主要挑战是在确保个人数据主体权利的情况下,如何以符合GDPR的方式实现区块链解决方案的细节,最大的挑战是任何解决方案如何能够满足GDPR规定的所有数据主体权利。
GDPR提供的某些个人权利,例如个人数据处理的可移植性、访问权和统计权,可以很容易地通过区块链技术加以解决,事实上,还可以发挥其优势。其他权利,如限制权,可以内置在解决方案的编程方式中,反对自动决策的权利可以通过业务流程来解决。
然而,由于区块链技术是由持久、去中心化的记录构成的,因此有效地确保GDPR赋予个人的擦除权和纠正权是一项重大的合规挑战。如CNIL报告所述,当数据被记录为承诺、散列或加密时,控制器可以“接近”这些权利,使其无法在功能上实现擦除,为进行纠正,控制器将无法访问的记录与新块中的替换、校正条目结合起来。这些机制是否在法律上等同于GDPR提供的充分权利尚不确定,需要进一步分析,并最终由EDPB加以解决。
这是一个重要的第一步,但还需要更多,正如区块链论坛指出的那样:“这里不存在符合GDPR的区块链技术,只有符合GDPR的用例和应用程序。”处理个人数据的任何技术也是如此,在区块链的背景下提出的许多安全、透明度和数据主体权利等问题都面临着其他类型的现有技术挑战。与传统技术相比,区块链的独特之处在于它的新颖性,虽然区块链具有巨大的上行潜力,但要实现这一点,公司需要大量的投资和意愿。在如何开发满足GDPR要求的区块链解决方案方面仍然存在不确定性,即使是创新的公司也可能不愿意采取这些步骤。
CNIL和区块链论坛的工作是消除这种不确定性的重要的第一步。我们同意区块链论坛的观点,认为下一步的一个重要步骤将是提高对潜在区块链用例的理解,进一步研究某些GDPR要求可能对这些用途产生的影响。
然后,这种理解将有助于推动环境保护委员会、国家监管机构、隐私倡导者、行业、技术创新者和其他利益攸关方之间的有效对话,以形成共识,需要对区块链采取切实可行的全面监管办法,保护GDPR所包含的重要权利和利益,同时使其能够带来积极的利益。