GDPR與區(qū)塊鏈的兼容性

作者系 Gartner研究總監(jiān)Garth Landers

安全與風險管理者須考慮GDPR是否適用于企業(yè)區(qū)塊鏈與個人數(shù)據(jù)

企業(yè)在實施區(qū)塊鏈的技術(shù)之前，一定要確定他們的信息是否會受到歐盟通用數(shù)據(jù)保護規(guī)則（GDPR）的管理。同時他們還需要了解的是，區(qū)塊鏈是否在本質(zhì)上違背了GDPR。例如，區(qū)塊鏈的一個核心原則是不可更改，一旦數(shù)據(jù)被記錄之后，將不能再被篡改。而GDPR規(guī)定，用戶可以刪除個人數(shù)據(jù)。

粗看之下，區(qū)塊鏈與GDPR之間存在著矛盾。但事實上，企業(yè)必須要謹慎地判斷。區(qū)塊鏈不應(yīng)該被直接否認。

盡管區(qū)塊鏈和GDPR各自的特點很快引起了公眾對它們之間兼容性的擔憂，它們的結(jié)合仍然使得新興的管理手段和技術(shù)趨勢得以強強聯(lián)合。安全與風險管理者必須要采取保護措施，確保區(qū)塊鏈的設(shè)計與GDPR相匹配。

判斷GDPR是否適用

總體而言，GDPR將適用于任何企業(yè)包含有個人數(shù)據(jù)的區(qū)塊鏈。由于該規(guī)定適用范圍的問題，一些企業(yè)可能尚不確定他們的區(qū)塊鏈是否會受到GDPR的管理。當企業(yè)評估自己的區(qū)塊鏈是否會受到GDPR的管理時，需要考慮以下三個問題：

1. 是否有向歐盟提供貨品或服務(wù)
2. 是否有分析或者監(jiān)控歐盟居民的行為（包括網(wǎng)絡(luò)行為）
3. 是否有代表歐盟的公司處理歐盟居民的個人數(shù)據(jù)

如果有涉及到上述問題中提到的任一行為，企業(yè)都應(yīng)該進一步確定他們的技術(shù)是否符合GDPR的規(guī)定。需要注意的是，如果他們的工作涉及到歐盟居民的數(shù)據(jù)，那么即便他們在歐盟之外，也是要受到GDPR的管理的。由于區(qū)塊鏈與GDPR的不兼容性將會帶來高達兩千萬歐元或是百分之四的年度營業(yè)額損失，所有企業(yè)都希望建立一個判斷GDPR是否適用的體系。

區(qū)塊鏈的不可更改性與對個人數(shù)據(jù)的權(quán)利

GDPR中規(guī)定了用戶對數(shù)據(jù)主體的權(quán)利。用戶有權(quán)利得知他們的數(shù)據(jù)如何被處理，有權(quán)利更改數(shù)據(jù)、移植數(shù)據(jù)以及刪除數(shù)據(jù)。這一刪除數(shù)據(jù)或者“讓數(shù)據(jù)被遺忘”的權(quán)利，使得數(shù)據(jù)在刪除或移除之后就不會被再次處理。公司必須擁有關(guān)于刪除信息的協(xié)議，這一點初看上去并不容易，因為它違背了區(qū)塊鏈中數(shù)據(jù)的不可篡改性。不過，GDPR還引入了“假名化”的概念，這使得公司可以用一個匿名的標簽來代替名字。另外，他們也可以建立一個僅僅存儲對個人數(shù)據(jù)的引用，而不直接存儲個人數(shù)據(jù)的區(qū)塊鏈。哈希（hash）和代幣（token），都可以被用作對數(shù)據(jù)的引用。

擁有區(qū)塊鏈并使之與GDPR相互兼容是可以做到的。然而這需要安全與風險專家與區(qū)塊鏈架構(gòu)師共同努力，確保存儲的數(shù)據(jù)不違背隱私法。這可以通過用不同的方式存儲數(shù)據(jù)、甚至是在得到許可的情況下建立區(qū)塊鏈來實現(xiàn)。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。