区块链可以解决隐私问题吗
扫描二维码
随时随地手机看文章
自从去年5月生效后,《通用数据保护条例》改变了隐私和数据使用的游戏规则。今年夏天,英国数据隐私监管机构信息专员办公室宣布,打算对英国航空公司处以1.83亿英镑和万豪国际0.99亿英镑的罚款,原因是不当管理个人数据。然而,尽管GDPR似乎处于强大的立法地位--尤其是在全球各地都在起草类似法规的时候--但它在新兴的数字世界的应用,甚至它的恰当性,正受到区块链的挑战。
在欧盟关于区块链和GDPR的报告中,监管机构承认已经确定了“多个紧张点”,而且围绕这一问题相当缺乏法律确定性。不确定性的一个方面是“个人数据”的定义。GDPR处理有关人们在线活动和个人细节的信息,但你可能会认为公钥和交易记录,这两个区块链网络的赖以生存的东西,是另一种数据。
不变记录
当个人数据被加密或散列时,标准就变得模糊了。散列是一种数据配置,其中个人标识符被替换为唯一的、固定长度的代码。但是,如果散列仍然可以修改为一个特定的“散列函数”和收集到的个别细节,那么这些数据是否仍然是个人的呢?通常是的,因为它仅仅是“化名”,而不是完全的“假名化”。
这是一个重要的问题,因为区块链的两个核心功能似乎与GDPR有着更根本的冲突。第一种是记录的不可改变的性质。区块链分布式账是有意设计的,以使以后的修改和删除极其困难。虽然这允许一个可靠的数据记录,但它显然与GDPR的“存储限制”的关键原则之一和被大肆宣扬的“被遗忘的权利”相冲突。
限制储存原则意味着个人数据的保存时间不得超过为实现收集数据的目的而需要的时间。被遗忘的权利意味着在某些情况下,个人可以要求删除以前公布的材料。考虑到这一点,与区块链的冲突是相当明显的。区块链除了在最特殊的情况下是不能改变的时候,这与一项要求个人数据的规则如何协调才能被共存呢?
这个问题可能很难解决,但也不是不可能的。一个解决方案可能不会实现完全删除,但只要它能满足监管机构的要求,它就会奏效。例如,一种解决方案可能是删除允许验证的元素,例如哈希函数的“秘密密钥”。这是用来生成散列的代码,因此隐藏了原始数据。尽管这类解决方案不一定完全删除区块分类账中的数据,但一些欧盟数据保护监管机构认为,这是构成有效删除的“次生之宝”。
分布式分类账
区块链的其他好处之一是其分类账的“分布式”性质。没有一个个人或代理人控制最终记录,网络中的每个成员通常都持有整个分类账的完全相同的副本。虽然这在信息共享中嵌入了信任和可靠性,但它给GDPR对数据“控制器”的分类带来了复杂性。
根据GDPR,决定处理个人数据的目的和手段的人,是一个“控制器”,负责确保按照GDPR的数据保护原则管理这些数据。区块链可以分配和民主化任何交易的权力,但他们也分配责任。当数据被泄露,人们的生命受到影响时,谁能被追究责任?对数据占有中的任何变化分配责任份额并不可行。
问题并没有就此结束。在对任何数据集的管理人员进行分类时,GDPR对在控制器指导下传输和修改数据的数据“控制器”和数据“处理器”进行了区分。在传统的分析中,这是有意义的。处理器在数据管理方面有许多义务,但最终的责任在于控制器。
然而,在区块链世界中,分类账的分布特性意味着“控制器”和“处理器”之间的二进制区分很难进行。法国数据监管机构CNIL最近得出结论,所有区块链行为者都将被指定为“控制器”,在这里,区块链捕获专业或商业交易。
澄清立场
正如欧盟所强调的那样,区块链的两个核心特征很难与GDPR相协调。但GDPR是一项基于原则的监管,旨在实现技术中立,并对未来进行防范。因此,问题在很大程度上不是区块链或GDPR本身,而是缺乏关于如何在这方面适用GDPR下的具体概念的法律明确性。
如果没有一个清晰的框架和明确的规则,区块链的开发可能很难取得进展。因此,欧洲数据保护委员会应该与国家监管机构协调,起草关于区块链的新指导,或许数据隐私监管机构不久就会把注意力转向区块链,因为它为人工智能技术提供审计框架的工作已经结束。