就在今年,我們見證了數據隱私領域兩股強大新力量的融合(也許他們之間還是有衝突的):歐盟通用數據保護條例 (GDPR) 和基於區塊鏈的隱私解決方案的出現。隨着區塊鏈技術公司繼續開發新的解決方案,以下是這些公司應該記住的關於 GDPR 的五個關鍵要點。

個人數據

GDPR 適用於「個人數據」,它被定義爲「與已識別或可識別的自然人 (數據主體) 有關的任何資料」。「數據主體」是指「自然人……可以通過參考識別……特定於該自然人的……文化或社會身份的標識。」此外,個人數據明確包括了“在線標識符”,其包括 IP 地址。

要點 1:基本上幾乎任何能幫助瞭解某人的數據都可能被視爲個人數據。

在 GDPR 的要求下,個人數據甚至包括經過「假名化」處理的數據,這意味着該數據已經被處理以至於「如果不使用其他信息,它就不能再歸屬於特定的數據主體」。加密技術被認爲是一種非常有效的假名化手段,而區塊鏈上與鏈外個人數據相關聯的「公鑰」也可能被視爲「假名化」。儘管 GDPR 更喜歡對數據進行加密以實現假名化,但單獨使用加密並不會從個人數據的定義中刪除底層數據,因此也無法避免 GDPR 的要求。

要點 2:如果存儲在鏈下的個人數據可以很容易地與區塊鏈解決方案中使用的公鑰連接,那麼公鑰很可能被視爲已達到假名化狀態的數據,但仍被視爲 GDPR 的個人數據主體。

在個人數據被假名化並且將數據歸類爲自然人所需的附加信息是「不可用」的情況下,GDPR 表明數據可被認爲是「匿名信息」或「匿名的」。由於 GDPR 僅規定了個人數據,任何被認爲是匿名的東西都免除在 GDPR 之外,它是「不涉及處理這種類型的匿名信息……」。

這一規定提出了使區塊鏈解決方案符合 GDPR 的一條路徑:如果區塊鏈架構的設計使得公鑰符合匿名信息的定義——確保任何非鏈式個人數據安全加密,並且解密不可用於允許與公鑰重新關聯——公鑰處理可以就免除 GDPR 的要求,包括刪除權。

要點 3:對於任何使用區塊鏈技術和處理個人數據的公司來說,保留在 GDPR 下被視爲匿名的公鑰能力無疑是最關鍵的問題。

控制者(controller)與處理者(processor)

受 GDPR 影響的實體有不同的義務,這取決於它們是個人數據的「控制者」還是「處理者」。一般來說,控制者「決定處理個人數據的目的和手段」,而處理者則「代表控制者處理個人數據」。

實體作爲控制者還是處理者的決定是特定於活動的,而不是特定於實體的。這意味着在不同的情況下,同一實體可以被視爲控制者、處理者或控制者和處理者。作爲決定處理方法和目的的實體,控制者在 GDPR 下的義務要比處理者多得多。最重要的是,控制者有責任執行個人要求刪除、修改或轉移其個人資料的請求。

要點 4:使用區塊鏈技術的公司應該設計他們自己的系統,這樣他們就可以避免確定數據是如何處理和爲什麼處理的,從而避免起被認爲是數據控制者。

數據主體的權利和數據處理的合法依據

GDPR 賦予數據主體與數據控制者相關的各種權利。其中最主要的是數據可移植性的權利(即你帶走數據的權利),糾正 (即有權修改不正確的資料的權力) 和刪除的權利。一般來說,這些權利可以在數據主體的要求下行使,儘管在某些情況下某些權利也有例外,例如根據法律義務處理或保留數據時。

根據數據處理的合法依據,數據控制者促進數據主體權利的義務是不同的。根據處理目的,處理歐盟個人資料必須得到六個法律基礎之一所提供的支持。這些基礎是 :

同意:數據同意,但須符合一個或多個特定目的。
合約:履行合約所必需的。
法律義務:數據控制者所服從的法律義務的遵守所必需的。
公共利益:對履行公共利益的任務所必需的。
切身利益:對數據主體的切身利益的保護是必要的。
合法的利益:除非被資料當事人的基本權利和自由所覆蓋,否則爲管理人或第三方的合法權益所必需。

由於同意可隨時撤回,這就要求刪除在該基礎上所收集的任何個人資料,因此,處理個人資料並不是一個明智或可靠的依據,因爲這些數據將被輸入到區塊鏈中。同樣,雖然可以根據履行合約來收集和處理個人資料,但如果該合約終止或到期的話,那麼久必須刪除處理這些資料的合法依據。另一方面,爲遵守法律義務而收集的數據可能不受刪除權的約束。

要點 5:理解處理數據的可適用的合法基礎或基礎——特別是在此基礎上對數據主體權利的任何可適用限制或例外——並相應地設計您的系統,對於構建與 GDPR 兼容的區塊鏈解決方案至關重要。

避免碰撞

最終,這兩股力量是否會發生衝突還有待確定。避免衝突將需要歐盟監管機構做出一些有利的解釋,以確保 GDPR 不會剝奪歐盟和歐盟數據主體享受區塊鏈技術帶來的好處。

歐盟官員的一項決定是,在適當設計的區塊鏈解決方案中使用的公鑰本身並不構成個人數據,這將有助於協調區塊鏈技術與 GDPR 之間的關係。

即使做出了這樣的決定,區塊鏈解決方案的用戶也應該監控技術發展 (尤其是數據存儲或加密) 是否會影響或改變這種決定。在這個關鍵時刻,區塊鏈公司必須理解 GDPR 的框架,並採取積極的立場、開發技術和法律立場,並仔細考慮 GDPR 的需求。

隨着這兩股強大的力量繼續出現併發揮作用,歐盟監管機構和區塊鏈技術專家都應該牢記,基於 GDPR 和區塊鏈的解決方案有許多基本目標,比如個人有權控制自己的數據以及數據共享的最小化。爲了演示區塊鏈和 GDPR 的兼容性,這些原則應該在區塊鏈解決方案架構中最大限度地發揮作用。

最後的要點:通過正確的技術架構和法律分析,企業可以利用區塊鏈的優點,同時確保存儲在區塊鏈上的數據符合 GDPR 要求。

鏈聞 ChainNews:提供每日不可或缺的區塊鏈新聞。

原文作者:Laura Jehl
鏈聞編輯:FLTY
版權聲明:文章爲作者獨立觀點,不代表 鏈聞 ChainNews 立場。

來源鏈接:bitcoinmagazine.com