数据隐私用在区块链中还存在哪一些挑战
扫描二维码
随时随地手机看文章
监管机构仍在考虑区块链的实现如何遵守数据隐私法。法国国家信息自由数据保护委员会是第一个以实质性方式解决这一问题的机构。我们将在下文讨论法国国家数据保护委员对若干合规问题的建议和意见。
确定谁是控制器,谁是处理器
隐私监管机构面临的最大挑战之一是确定谁是区块链和分布式账本的控制人。在这些情况下,通常没有一个符合定义的人或实体能够轻松地行使控制器的义务,因为许多人或实体可能贡献或控制添加到链或总账的个人数据。根据所使用的区块链或分类帐类型的不同,识别一个或多个确保隐私遵从性的控制器的容易程度也不同。
私有区块链: 这是区块链的一种形式,在这种形式中,参与者只能通过真实的和经过验证的邀请来加入私有网络,并且必须由网络操作员或由网络实现的明确定义的协议进行验证。在这些区块链中,虽然还没有来自监管机构的明确指导,但出于隐私问题的考虑,网络运营商将是控制人的合理选择。
基于许可的区块链: 这是一种网络形式,任何人都可以在适当验证其身份后加入许可的网络,但是用户被授予有限的许可,并且只能在网络上执行某些活动。由于这些网络通常是由几个不同的团体建立的,因此CNIL建议区块链协会在项目生命周期中尽早识别控制人。
公共的、无许可的区块链: 这种形式的网络是完全开放的,任何人都可以加入、离开、读取、写入和审计公共区块链网络上正在进行的活动,这有助于公共区块链保持其自治性质。然而,所面临的挑战是确定由谁来考虑将网络上的个人数据作为控制人。有些人建议由协议开发人员担任控制人,但也有人担心,这些开发人员实际上并没有规定如何使用网络或上传数据。作为数据控制器来管理验证节点是一个更好的例子,因为通过下载和运行软件的行为,节点决定了处理的目的和方法。
智能合约: 这些是自动执行的合同,买卖双方的协议条款直接写入代码行。代码和协议包含在一个分布式、分散的区块链网络中。
正如上面讨论所显示的,在适当确定这些网络中的控制器和处理器方面,仍然需要从监管者那里得到进一步的指导和澄清。与此同时,开发者和运营商应该考虑开发一个协议框架来处理数据隐私。
确定区块链上个人数据的范围和法律依据
如参加者必须同意有关条款及细则,则有关合约可作为处理个人数据的基础。合法权益也可以作为一个基础,但这通常需要确定控权人及控权人在处理个人数据时所服务的利益,并将这些利益与数据当事人的权利和自由加以权衡。如果控制器的标识不清楚,则很难将此分析应用于区块链中。
公共网络带来了更大的挑战,因为识别控制器并不总是那么容易。同意可能是处理数据的逻辑基础,因为每个贡献者大概都打算将其数据放在区块链网络上。然而,目前还不清楚用户同意的对象是谁,除非网络明确指出数据的接收方是另一方。此外,GDPR要求同意是具体和明确的,而不是隐含的。区块链必须事先获得同意,而不是依靠默认同意来支持数据处理。这是一个可以从一开始就建立治理规则或进一步的监管指导中受益的领域。
处理数据当事人的要求
这是区块链遵守数据保护法律最困难的地方,因为这些法律的原则似乎与这些网络不可改变的分散结构不相容。这些请求还需要一个已识别的控制器来联系,正如上面所提到的,可能并不总是清楚的。以下是某些要求提出的一些具体挑战。
数据访问和可移植性请求:这些是主体查明控制器拥有什么信息并以常用的和机器可读的格式获取该数据的副本的权利。CNIL的立场是,这些权利与区块链的技术属性兼容。然而,除非有明确的证明,否则这一权利不能轻易行使。
但是,除非有一个明确标识的控制器(例如在私有或基于许可的网络中,该网络可以访问网络上的所有数据),否则无法随时调用此权利。如果一个网络有多个节点,每个节点只能访问个人数据的一个子集,那么可能需要建立一种机制,将请求分发给所有需要的节点进行响应。
消除和纠正的权利:如上所述,区块链的设计一般是数据一旦输入就不能被改变。这种不变性与允许数据当事人要求改正或删除其数据的GDPR和CCPA规定直接冲突。一个最初的问题是,是否可能有一个例外的数据删除,可以调用:
CCPA提供了许多可能适用的例外。例如,“在企业与消费者之间的持续业务关系中,或以其他方式履行企业与消费者之间的合同的合理预期,”或“只允许根据消费者与企业的关系合理地与消费者的期望保持一致的内部使用”,则允许保留数据。(见Cal.Civ.法典§第1798.105(d)(1)、(7))。既然用户理解区块链应该保持一个不可改变的交易记录,那么人们就可以合理地期望它被无限期地维护。
GDPR没有相同的例外,但确实限制了某些要求删除的权利。例如,如果个人数据在收集或以其他方式加以处理的目的方面不再有必要,或在没有合法理由进行处理的情况下,数据主体可以请求删除。但是,如果数据是一个不可变的交易链中的一部分,那么就不需要删除数据,因为(a)数据对于收集它所要达到的目的来说仍然是必要的,或者(b) 区块链及其参与者在保护链方面的合法利益优先于个别数据主体的删除权。
自动化处理
根据GDPR,必须告知个人正在进行自动化处理,他们有权进行人工干预或对决策提出质疑。例如,程序处理个人数据以做出贷款或保险的承保决策。一些评论人士认为,如果监管机构认为此类合同在对个人进行决策时使用了自动处理,那么这项权利可能会影响人们使用智能合同的方式。然而,如该处理是为了在数据当事人与数据管制员之间订立或履行合约所必需的,或基于数据当事人的明确同意,则该权利并不适用。智能合约系统的开发人员可以构建一些机制来确保这些异常适用。
处理数据安全和违规
区块链技术被吹捧为一种通过分散化、密码学和共识来存储信息的安全方法。安全的关键因素之一是使用哈希值加密,这是一种不可逆工程。公钥和私钥的概念是安全的核心,因为您不能使用公钥并推断出私钥,没有这两者您就不能访问底层数据。此外,欺诈者不能轻易更改输入值,因为这会创建一个全新的海西值并使整个块无效。