雷霆抑或雨露？当 GDPR 赶上区块链

欧洲时间 2018 年 5 月 25 日，欧洲联盟出台了《通用数据保护条例》（如下简称“GDPR”）。该法案被公认为目前全球对用户我的数据保护最严格的法律，其适用范围涵盖全部与欧盟我的数据收集和处理相关的商业主体，违规企业将最高被处以上一年度全球营业额的 4% 或 2000 万欧元做为罚款。Facebook 和谷歌等美国企业或成为 GDPR 法案下第一批被告。

据了解，GDPR 的监管范式是针对互联网企业中心化服务的数据体系进行的，核心点在于加大数据控制者和处理者的法律责任。这与区块链在数据处理上的去中心化模式是彻底不一样的，其实施和推行将给区块链行业带来何种影响也一直是业内热议的话题。

控制我的数据滥用，谁是更好的答案？

现在在全球范围内，我的数据泄露与滥用的状况广泛存在。其对民众基本权利形成的侵害，已经引发了社会公众和法律界的警戒。GDPR 正是在现有的法律体系内，对相关民事、商事权利义务和政府监管义务做出了一整套的规范，试图构建一个新的法律框架，使我的数据的保护与商业使用等行为之间达到一个平衡的状态。

与 GDPR 的思路不一样，区块链技术则试图从另外一个角度给出答案。对于公有链网络，用户经过相关隐私措施，能够作到匿名使用相关服务。对于联盟链，我的数据的使用和存储均可以是加密的，除了共识节点、交易相对方和经受权的第三方之外，其余参与方都没法取得我的数据。一些最新的开放许可链和公有链甚至但愿经过密码学技术、次级网络或是二者的组合，实现交易的数据和执行过程对包括共识节点在内的全部无关方的隐私保护，将我的数据的控制权彻底交还到我的手中。经过基于可信硬件或是密码学的加密计算，保证商业主体和行政主体在提供相应服务的同时，也没法收集和留存我的数据。

以上两个思路都旨在解决我的数据滥用的问题。GDPR 的优点在于依托成熟的法律框架，威慑可信，效果立竿见影；但同时因为执行成本高、过于依赖中心化互联网企业的配合，在切实提升企业经营成本的状况下难以获得有效执行，也难以制止互联网巨擘经过并购的方式扩展我的数据的受权使用。区块链技术的优点在于釜底抽薪，从根本上解决我的用户行使我的数据的选择权问题，在避免过分监管的同时，也能使用户个体从本身产生的数据中获益，为我的数据的商业使用打下坚实的基础；但受限于技术处于早期，应用的成熟与稳定性不高：没有大规模商业应用的实践和测试，须要大量的消费者教育工做，远水难解近渴。

七大基本原则，GDPR 与区块链相爱相杀

目前，GDPR为我的数据保护设立了七项基本原则：

·可问责性原则

·据完整性和保密性原则

·准确性原则

·限期储存原则

·目的限制原则

·数据最小化原则

·合法性、合理性与透明性原则

这里面有些原则的落实正是区块链技术的强项，另有一些则看似与区块链技术存在冲突。是否真的如此？咱们逐条来分析：

（一）可信的解决方案

GDPR的可问责性原则要求：对于GDPR原则的遵照，数据控制者有责任提供证实。而区块链技术的一大优点就在于链上数据的存证和可溯源服务。对于可问责性的监管要求，数据控制者能够在把全部操做上链的同时，在监管部门和认证机构设立同步所有帐本的节点，这样就能够起到自证清白的做用。

GDPR的数据完整性和保密性原则要求：处理过程当中应确保我的数据的安全，避免数据未经受权即被处理或遭到非法处理，避免数据发生意外毁损或灭失。假若数据控制者对全部我的数据进行区块链管理的分布式存储，则能够用较传统手段低不少的成本避免数据发生意外毁损。同时，将数据操做的受权经过区块链验证并将操做过程上链存证，也能够大大增长安全性，避免数据未经受权操做即被非法处理。

（二）并不相悖的要求

GDPR的准确性原则要求：我的数据应当是准确的，若有必要必须及时更新；必须采起合理措施确保不许确的我的数据及时获得擦除或更正。看似与区块链的不可更改性相冲突，但区块链帐本上的数据能够经过后续区块作标记的方法进行更改，只是这种更改不会删除掉更改前的数据，而是将更改前的数据、更改过程的操做和更改后的数据同时保留了下来。这样一来，只要保证公开范围内的访问者只能访问更改后的数据就彻底能够达到数据准确性的要求。同时对于为了公共利益须要访问更改前数据的政府、司法部门，也能知足其例外要求。

GDPR的限期储存原则要求：对于可以识别数据主体的我的数据，其储存时间不得超过实现其处理目的所必需的时间。而这看似又与区块链帐本上数据的永久保存性存在冲突，其实能够按照如下方式处理：对于联盟链，链上主体都是商业主体，链上数据都是有隐私方案保护的，同时链上数据的保存都有做为商事证据保留的性质，这一点已经构成了我的数据权利行使的限制。对于公有链，用户彻底能够选择匿名化链上数据。对于开放许可链，能够经过基础链数据匿名化、侧链数据联盟链化处理来解决这一问题。

（三）坚实的基础与保障

GDPR的目的限制原则：我的数据的收集应当具备具体的、清晰的和正当的目的，对我的数据的处理不该当违反初始目的。

GDPR的数据最小化原则：我的数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的。

GDPR的合法性、合理性与透明性原则：对涉及到数据主体的我的数据，应当以合法的、合理的和透明的方式来进行处理。

首先，开源的区块链技术代码清晰地展示了操做者对我的数据的收集和处理是否违反了GDPR的原则和规定，为真正实施以上三大原则提供了坚实的基础。

其次，区块链项目特有的分叉功能真切地实现了数据的可携权，也真正防止了垄断。在GDPR监管的语境下，使技术开发者得到商业利益的同时，也促进了良性竞争与新技术的应用。

最后，区块链项目特有的代币投票公共治理制度将行为人的利益与项目结果相捆绑，是实现上述三大原则的保障。

综上所述，GDPR 和区块链技术本质上并不敌对，它们都是为了改变严峻的互联网企业滥用用户我的数据和造成行业巨头垄断的局面应运而生的。在保护我的数据方面，二者各有利弊，相辅相成。对于 GDPR 的七项基本原则，区块链技术提供了坚实的支持与保障。而 GDPR 的普及和推广也将是相关公司的试金石，在参差不齐的区块链技术公司里去伪存真，营造健康监管生态，为真正优秀的企业保驾护航。

文丨钱靖 谢晗剑

来源丨人民创投区块链(公众号ID:peoplechain)