自從去年5月生效后，《通用數(shù)據(jù)保護(hù)條例》改變了隱私和數(shù)據(jù)使用的游戲規(guī)則。今年夏天，英國(guó)數(shù)據(jù)隱私監(jiān)管機(jī)構(gòu)信息專員辦公室宣布，打算對(duì)英國(guó)航空公司處以1.83億英鎊和萬豪國(guó)際0.99億英鎊的罰款，原因是不當(dāng)管理個(gè)人數(shù)據(jù)。然而，盡管GDPR似乎處于強(qiáng)大的立法地位--尤其是在全球各地都在起草類似法規(guī)的時(shí)候--但它在新興的數(shù)字世界的應(yīng)用，甚至它的恰當(dāng)性，正受到區(qū)塊鏈的挑戰(zhàn)。

在歐盟關(guān)于區(qū)塊鏈和GDPR的報(bào)告中，監(jiān)管機(jī)構(gòu)承認(rèn)已經(jīng)確定了“多個(gè)緊張點(diǎn)”，而且圍繞這一問題相當(dāng)缺乏法律確定性。不確定性的一個(gè)方面是“個(gè)人數(shù)據(jù)”的定義。GDPR處理有關(guān)人們?cè)诰€活動(dòng)和個(gè)人細(xì)節(jié)的信息，但你可能會(huì)認(rèn)為公鑰和交易記錄，這兩個(gè)區(qū)塊鏈網(wǎng)絡(luò)的賴以生存的東西，是另一種數(shù)據(jù)。

不變記錄

當(dāng)個(gè)人數(shù)據(jù)被加密或散列時(shí)，標(biāo)準(zhǔn)就變得模糊了。散列是一種數(shù)據(jù)配置，其中個(gè)人標(biāo)識(shí)符被替換為唯一的、固定長(zhǎng)度的代碼。但是，如果散列仍然可以修改為一個(gè)特定的“散列函數(shù)”和收集到的個(gè)別細(xì)節(jié)，那么這些數(shù)據(jù)是否仍然是個(gè)人的呢？通常是的，因?yàn)樗鼉H僅是“化名”，而不是完全的“假名化”。

這是一個(gè)重要的問題，因?yàn)閰^(qū)塊鏈的兩個(gè)核心功能似乎與GDPR有著更根本的沖突。第一種是記錄的不可改變的性質(zhì)。區(qū)塊鏈分布式賬是有意設(shè)計(jì)的，以使以后的修改和刪除極其困難。雖然這允許一個(gè)可靠的數(shù)據(jù)記錄，但它顯然與GDPR的“存儲(chǔ)限制”的關(guān)鍵原則之一和被大肆宣揚(yáng)的“被遺忘的權(quán)利”相沖突。

限制儲(chǔ)存原則意味著個(gè)人數(shù)據(jù)的保存時(shí)間不得超過為實(shí)現(xiàn)收集數(shù)據(jù)的目的而需要的時(shí)間。被遺忘的權(quán)利意味著在某些情況下，個(gè)人可以要求刪除以前公布的材料。考慮到這一點(diǎn)，與區(qū)塊鏈的沖突是相當(dāng)明顯的。區(qū)塊鏈除了在最特殊的情況下是不能改變的時(shí)候，這與一項(xiàng)要求個(gè)人數(shù)據(jù)的規(guī)則如何協(xié)調(diào)才能被共存呢？

這個(gè)問題可能很難解決，但也不是不可能的。一個(gè)解決方案可能不會(huì)實(shí)現(xiàn)完全刪除，但只要它能滿足監(jiān)管機(jī)構(gòu)的要求，它就會(huì)奏效。例如，一種解決方案可能是刪除允許驗(yàn)證的元素，例如哈希函數(shù)的“秘密密鑰”。這是用來生成散列的代碼，因此隱藏了原始數(shù)據(jù)。盡管這類解決方案不一定完全刪除區(qū)塊分類賬中的數(shù)據(jù)，但一些歐盟數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)認(rèn)為，這是構(gòu)成有效刪除的“次生之寶”。

分布式分類賬

區(qū)塊鏈的其他好處之一是其分類賬的“分布式”性質(zhì)。沒有一個(gè)個(gè)人或代理人控制最終記錄，網(wǎng)絡(luò)中的每個(gè)成員通常都持有整個(gè)分類賬的完全相同的副本。雖然這在信息共享中嵌入了信任和可靠性，但它給GDPR對(duì)數(shù)據(jù)“控制器”的分類帶來了復(fù)雜性。

根據(jù)GDPR，決定處理個(gè)人數(shù)據(jù)的目的和手段的人，是一個(gè)“控制器”，負(fù)責(zé)確保按照GDPR的數(shù)據(jù)保護(hù)原則管理這些數(shù)據(jù)。區(qū)塊鏈可以分配和民主化任何交易的權(quán)力，但他們也分配責(zé)任。當(dāng)數(shù)據(jù)被泄露，人們的生命受到影響時(shí)，誰能被追究責(zé)任？對(duì)數(shù)據(jù)占有中的任何變化分配責(zé)任份額并不可行。

問題并沒有就此結(jié)束。在對(duì)任何數(shù)據(jù)集的管理人員進(jìn)行分類時(shí)，GDPR對(duì)在控制器指導(dǎo)下傳輸和修改數(shù)據(jù)的數(shù)據(jù)“控制器”和數(shù)據(jù)“處理器”進(jìn)行了區(qū)分。在傳統(tǒng)的分析中，這是有意義的。處理器在數(shù)據(jù)管理方面有許多義務(wù)，但最終的責(zé)任在于控制器。

然而，在區(qū)塊鏈?zhǔn)澜缰?，分類賬的分布特性意味著“控制器”和“處理器”之間的二進(jìn)制區(qū)分很難進(jìn)行。法國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)CNIL最近得出結(jié)論，所有區(qū)塊鏈行為者都將被指定為“控制器”，在這里，區(qū)塊鏈捕獲專業(yè)或商業(yè)交易。

澄清立場(chǎng)

正如歐盟所強(qiáng)調(diào)的那樣，區(qū)塊鏈的兩個(gè)核心特征很難與GDPR相協(xié)調(diào)。但GDPR是一項(xiàng)基于原則的監(jiān)管，旨在實(shí)現(xiàn)技術(shù)中立，并對(duì)未來進(jìn)行防范。因此，問題在很大程度上不是區(qū)塊鏈或GDPR本身，而是缺乏關(guān)于如何在這方面適用GDPR下的具體概念的法律明確性。

如果沒有一個(gè)清晰的框架和明確的規(guī)則，區(qū)塊鏈的開發(fā)可能很難取得進(jìn)展。因此，歐洲數(shù)據(jù)保護(hù)委員會(huì)應(yīng)該與國(guó)家監(jiān)管機(jī)構(gòu)協(xié)調(diào)，起草關(guān)于區(qū)塊鏈的新指導(dǎo)，或許數(shù)據(jù)隱私監(jiān)管機(jī)構(gòu)不久就會(huì)把注意力轉(zhuǎn)向區(qū)塊鏈，因?yàn)樗鼮槿斯ぶ悄芗夹g(shù)提供審計(jì)框架的工作已經(jīng)結(jié)束。