就在今年，我們見證了數(shù)據(jù)隱私領(lǐng)域兩股強(qiáng)大新力量的融合（也許他們之間還是有沖突的）：歐盟通用數(shù)據(jù)保護(hù)條例(GDPR)和基于區(qū)塊鏈的隱私解決方案的出現(xiàn)。隨著區(qū)塊鏈技術(shù)公司繼續(xù)開發(fā)新的解決方案，以下是這些公司應(yīng)該記住的關(guān)于GDPR的五個(gè)關(guān)鍵要點(diǎn)。

個(gè)人數(shù)據(jù)

　　GDPR適用于“個(gè)人數(shù)據(jù)”，它被定義為“與已識(shí)別或可識(shí)別的自然人(‘?dāng)?shù)據(jù)主體’)有關(guān)的任何資料”?！皵?shù)據(jù)主體”是指“自然人……可以通過參考識(shí)別……特定于該自然人的……文化或社會(huì)身份的標(biāo)識(shí)。”此外，個(gè)人數(shù)據(jù)明確包括了“在線標(biāo)識(shí)符”，其包括IP地址。

　　要點(diǎn)1：基本上幾乎任何能幫助了解某人的數(shù)據(jù)都可能被視為個(gè)人數(shù)據(jù)。

　　在GDPR的要求下，個(gè)人數(shù)據(jù)甚至包括經(jīng)過“假名化”處理的數(shù)據(jù)，這意味著該數(shù)據(jù)已經(jīng)被處理以至于“如果不使用其他信息，它就不能再歸屬于特定的數(shù)據(jù)主體”。加密技術(shù)被認(rèn)為是一種非常有效的假名化手段，而區(qū)塊鏈上與鏈外個(gè)人數(shù)據(jù)相關(guān)聯(lián)的“公鑰”也可能被視為“假名化”。盡管GDPR更喜歡對(duì)數(shù)據(jù)進(jìn)行加密以實(shí)現(xiàn)假名化，但單獨(dú)使用加密并不會(huì)從個(gè)人數(shù)據(jù)的定義中刪除底層數(shù)據(jù)，因此也無法避免GDPR的要求。

　　要點(diǎn)2：如果存儲(chǔ)在鏈下的個(gè)人數(shù)據(jù)可以很容易地與區(qū)塊鏈解決方案中使用的公鑰連接，那么公鑰很可能被視為已達(dá)到假名化狀態(tài)的數(shù)據(jù)，但仍被視為GDPR的個(gè)人數(shù)據(jù)主體。

　　在個(gè)人數(shù)據(jù)被假名化并且將數(shù)據(jù)歸類為自然人所需的附加信息是“不可用”的情況下，GDPR表明數(shù)據(jù)可被認(rèn)為是“匿名信息”或“匿名的”。由于GDPR僅規(guī)定了個(gè)人數(shù)據(jù)，任何被認(rèn)為是匿名的東西都免除在GDPR之外，它是“不涉及處理這種類型的匿名信息……”。

　　這一規(guī)定提出了使區(qū)塊鏈解決方案符合GDPR的一條路徑：如果區(qū)塊鏈架構(gòu)的設(shè)計(jì)使得公鑰符合匿名信息的定義——確保任何非鏈?zhǔn)絺€(gè)人數(shù)據(jù)安全加密，并且解密不可用于允許與公鑰重新關(guān)聯(lián)——公鑰處理可以就免除GDPR的要求，包括刪除權(quán)。

　　要點(diǎn)3：對(duì)于任何使用區(qū)塊鏈技術(shù)和處理個(gè)人數(shù)據(jù)的公司來說，保留在GDPR下被視為匿名的公鑰能力無疑是最關(guān)鍵的問題。

控制者（controller）與處理者（processor）

　　受GDPR影響的實(shí)體有不同的義務(wù)，這取決于它們是個(gè)人數(shù)據(jù)的“控制者”還是“處理者”。一般來說，控制者“決定處理個(gè)人數(shù)據(jù)的目的和手段”，而處理者則“代表控制者處理個(gè)人數(shù)據(jù)”。

　　實(shí)體作為控制者還是處理者的決定是特定于活動(dòng)的，而不是特定于實(shí)體的。這意味著在不同的情況下，同一實(shí)體可以被視為控制者、處理者或控制者和處理者。作為決定處理方法和目的的實(shí)體，控制者在GDPR下的義務(wù)要比處理者多得多。最重要的是，控制者有責(zé)任執(zhí)行個(gè)人要求刪除、修改或轉(zhuǎn)移其個(gè)人資料的請(qǐng)求。

　　要點(diǎn)4：使用區(qū)塊鏈技術(shù)的公司應(yīng)該設(shè)計(jì)他們自己的系統(tǒng)，這樣他們就可以避免確定數(shù)據(jù)是如何處理和為什么處理的，從而避免起被認(rèn)為是數(shù)據(jù)控制者。

數(shù)據(jù)主體的權(quán)利和數(shù)據(jù)處理的合法依據(jù)

　　GDPR賦予數(shù)據(jù)主體與數(shù)據(jù)控制者相關(guān)的各種權(quán)利。其中最主要的是數(shù)據(jù)可移植性的權(quán)利（即你帶走數(shù)據(jù)的權(quán)利），糾正(即有權(quán)修改不正確的資料的權(quán)力)和刪除的權(quán)利。一般來說，這些權(quán)利可以在數(shù)據(jù)主體的要求下行使，盡管在某些情況下某些權(quán)利也有例外，例如根據(jù)法律義務(wù)處理或保留數(shù)據(jù)時(shí)。

　　根據(jù)數(shù)據(jù)處理的合法依據(jù)，數(shù)據(jù)控制者促進(jìn)數(shù)據(jù)主體權(quán)利的義務(wù)是不同的。根據(jù)處理目的，處理歐盟個(gè)人資料必須得到六個(gè)法律基礎(chǔ)之一所提供的支持。這些基礎(chǔ)是:

　　同意：數(shù)據(jù)同意，但須符合一個(gè)或多個(gè)特定目的。合約：履行合約所必需的。法律義務(wù)：數(shù)據(jù)控制者所服從的法律義務(wù)的遵守所必需的。公共利益：對(duì)履行公共利益的任務(wù)所必需的。切身利益：對(duì)數(shù)據(jù)主體的切身利益的保護(hù)是必要的。

　　合法的利益：除非被資料當(dāng)事人的基本權(quán)利和自由所覆蓋，否則為管理人或第三方的合法權(quán)益所必需。

　　由于同意可隨時(shí)撤回，這就要求刪除在該基礎(chǔ)上所收集的任何個(gè)人資料，因此，處理個(gè)人資料并不是一個(gè)明智或可靠的依據(jù)，因?yàn)檫@些數(shù)據(jù)將被輸入到區(qū)塊鏈中。同樣，雖然可以根據(jù)履行合約來收集和處理個(gè)人資料，但如果該合約終止或到期的話，那么久必須刪除處理這些資料的合法依據(jù)。另一方面，為遵守法律義務(wù)而收集的數(shù)據(jù)可能不受刪除權(quán)的約束。

　　要點(diǎn)5：理解處理數(shù)據(jù)的可適用的合法基礎(chǔ)或基礎(chǔ)——特別是在此基礎(chǔ)上對(duì)數(shù)據(jù)主體權(quán)利的任何可適用限制或例外——并相應(yīng)地設(shè)計(jì)您的系統(tǒng)，對(duì)于構(gòu)建與GDPR兼容的區(qū)塊鏈解決方案至關(guān)重要。

避免碰撞

　　最終，這兩股力量是否會(huì)發(fā)生沖突還有待確定。避免沖突將需要?dú)W盟監(jiān)管機(jī)構(gòu)做出一些有利的解釋，以確保GDPR不會(huì)剝奪歐盟和歐盟數(shù)據(jù)主體享受區(qū)塊鏈技術(shù)帶來的好處。

　　歐盟官員的一項(xiàng)決定是，在適當(dāng)設(shè)計(jì)的區(qū)塊鏈解決方案中使用的公鑰本身并不構(gòu)成個(gè)人數(shù)據(jù)，這將有助于協(xié)調(diào)區(qū)塊鏈技術(shù)與GDPR之間的關(guān)系。

　　即使做出了這樣的決定，區(qū)塊鏈解決方案的用戶也應(yīng)該監(jiān)控技術(shù)發(fā)展(尤其是數(shù)據(jù)存儲(chǔ)或加密)是否會(huì)影響或改變這種決定。在這個(gè)關(guān)鍵時(shí)刻，區(qū)塊鏈公司必須理解GDPR的框架，并采取積極的立場、開發(fā)技術(shù)和法律立場，并仔細(xì)考慮GDPR的需求。

　　隨著這兩股強(qiáng)大的力量繼續(xù)出現(xiàn)并發(fā)揮作用，歐盟監(jiān)管機(jī)構(gòu)和區(qū)塊鏈技術(shù)專家都應(yīng)該牢記，基于GDPR和區(qū)塊鏈的解決方案有許多基本目標(biāo)，比如個(gè)人有權(quán)控制自己的數(shù)據(jù)以及數(shù)據(jù)共享的最小化。為了演示區(qū)塊鏈和GDPR的兼容性，這些原則應(yīng)該在區(qū)塊鏈解決方案架構(gòu)中最大限度地發(fā)揮作用。

　　最后的要點(diǎn)：通過正確的技術(shù)架構(gòu)和法律分析，企業(yè)可以利用區(qū)塊鏈的優(yōu)點(diǎn)，同時(shí)確保存儲(chǔ)在區(qū)塊鏈上的數(shù)據(jù)符合GDPR要求。

【獨(dú)家稿件及免責(zé)聲明】本網(wǎng)注明轉(zhuǎn)載文章中的信息僅供用戶參考。凡注明來源“運(yùn)輸人網(wǎng)”的作品，未經(jīng)本網(wǎng)授權(quán)均不得轉(zhuǎn)載、摘編或使用。聯(lián)系郵件：master@yunshuren.com