《通用數(shù)據(jù)保護(hù)條例》GDPR是為收集和處理歐盟公民的個人資料訂立規(guī)則的條例。2016年4月4日，歐洲議會通過并于2018年5月25日生效。

GDPR只適用于處理“個人資料”，即“與已識別或可識別的自然人（“資料當(dāng)事人”）有關(guān)的任何資料”，可識別的自然的人可以通過直接或間接的方式確定的，特別是通過引用自然人的標(biāo)識符，比如名字，身份證號碼，位置數(shù)據(jù)，在線標(biāo)識符或特定的一個或多個因素的物理、生理、遺傳、心理、經(jīng)濟(jì)、文化和社會身份。

該法規(guī)的目的是擴(kuò)大與收集和使用其數(shù)據(jù)相關(guān)的個人權(quán)利，包括向數(shù)據(jù)收集者詢問其擁有信息以及信息作用的權(quán)利。收集個人信息取決于個人的可撤銷同意。最值得注意的是，個人有權(quán)要求更正，提出投訴，反對處理，或要求刪除他們的個人數(shù)據(jù)，稱為“被遺忘的權(quán)利”。

區(qū)塊鏈的新面孔

2012年，當(dāng)歐盟委員會首次提交GDPR時，區(qū)塊鏈技術(shù)還沒有像現(xiàn)在這么受歡迎，顯然，它們當(dāng)時不是監(jiān)管的重點。與比特幣一樣，公開的區(qū)塊鏈也是一個數(shù)據(jù)庫，可以同時在多臺計算機(jī)上復(fù)制。這個數(shù)據(jù)庫不是由中央管理機(jī)構(gòu)管理的，相反，網(wǎng)絡(luò)中的每個人都可以獲得相同的整個數(shù)據(jù)庫的副本，并可以對其進(jìn)行添加。要進(jìn)入數(shù)據(jù)庫，任何新增加的內(nèi)容都必須得到網(wǎng)絡(luò)上其他參與者的確認(rèn)，從而就分類賬的當(dāng)前狀態(tài)達(dá)成共識。這樣一個區(qū)塊鏈上的事務(wù)是永久的（不可變的）公共記錄，公開至整個網(wǎng)絡(luò)。

基于區(qū)塊鏈的系統(tǒng)有潛力比傳統(tǒng)的數(shù)據(jù)存儲系統(tǒng)更好地保護(hù)個人數(shù)據(jù)，而傳統(tǒng)的數(shù)據(jù)存儲系統(tǒng)被認(rèn)為是符合GDPR的（將個人數(shù)據(jù)保存在紙質(zhì)文檔的塑料文件中，“安全地”鎖在抽屜里！？這真的很令人費(fèi)解。）與集中控制的數(shù)據(jù)模型相比，區(qū)塊鏈的一些技術(shù)特性，如個人信息的匿名化和網(wǎng)絡(luò)的去中心化模型，能夠更好地抵御攻擊，使數(shù)據(jù)更不易被濫用。

我本人更愿意依賴區(qū)塊鏈網(wǎng)絡(luò)來保存我的數(shù)據(jù)，而不是把控制權(quán)交給人類的那些“企業(yè)高管”。然而，如果嚴(yán)格遵守條例上的逐字逐句，這些開放的公共區(qū)塊鏈就會出現(xiàn)與GDPR要求相關(guān)的一系列問題：

1.比特幣協(xié)議和公共區(qū)塊鏈通常包含的信息并不是真正匿名的。相反，它是假名的，因此被視為個人數(shù)據(jù)，追蹤比特幣地址到一個可識別的自然人并非不可能。

2.GDPR的邏輯和術(shù)語，以“數(shù)據(jù)主體”、“數(shù)據(jù)控制器”和“數(shù)據(jù)處理器”為概念，似乎難以應(yīng)用于區(qū)塊鏈。目前還不清楚哪一種概念會歸屬于區(qū)塊鏈，根據(jù)GDPR，這些概念要實現(xiàn)什么功能。

3.但就GDPR而言，公共區(qū)塊鏈最大的問題在于要求數(shù)據(jù)對象具有“被遺忘權(quán)”，即任何個人都有權(quán)要求將其個人數(shù)據(jù)從記錄中刪除。刪除或修改區(qū)塊鏈上的數(shù)據(jù)幾乎是不可能的，因為數(shù)據(jù)已經(jīng)廣播給所有網(wǎng)絡(luò)參與者。此外，刪除一條記錄將更改包含數(shù)據(jù)的各個塊的哈希值，并使所有后續(xù)塊無效。

等等，也許有辦法…

就在最近，在日內(nèi)瓦大學(xué)和WSIS（信息社會世界峰會論壇）于4月8日舉行的兩個關(guān)于區(qū)塊鏈和GDPR的研討會上，區(qū)塊鏈和數(shù)據(jù)保護(hù)顧問兼講師Jorn Erbguth為公共區(qū)塊鏈制定了五種應(yīng)對GDPR的方法：

1.切勿將任何個人資料（完全）放在區(qū)塊鏈上。

2.使用加強(qiáng)隱私的技術(shù)，并確保個人資料不會從區(qū)塊鏈里傳出來。

3.獲得一個永久的理由。

4.讓用戶自己將數(shù)據(jù)放到公共區(qū)塊鏈上。

5.建立專門的區(qū)塊鏈。

INDUSTRIA董事Petko Karamotchev參加了上述兩項活動，并向我們發(fā)送了日內(nèi)瓦大學(xué)區(qū)塊鏈和GDPR研討會以及Jorn Erbguth組織的WSIS會議的照片。

解決方法： 分布式賬本技術(shù)（DLT）

雖然它的這些原則不容易應(yīng)用于開放的公共區(qū)塊鏈，但分布式賬本技術(shù)（DLT）可能提供了一個解決方案。DLT與區(qū)塊鏈的主要特性相同——它是一個去中心化的數(shù)據(jù)庫，每個參與者復(fù)制并保存相同的信息副本。沒有一個中央機(jī)構(gòu)管理總賬。它更靈活，設(shè)計更適合符合GDPR的要求：

1、雖然任何人都可以加入公開的公共區(qū)塊鏈，但是DLT允許通過許可訪問網(wǎng)絡(luò)的解決方案。各方在這樣一個網(wǎng)絡(luò)上的作用和責(zé)任更容易界定，在數(shù)據(jù)保護(hù)方面也有更好的責(zé)任制。

2、可以設(shè)計一個DLT體系結(jié)構(gòu)，使事務(wù)數(shù)據(jù)不會廣播到整個網(wǎng)絡(luò)，相反，相關(guān)方只有在“需要知道”的基礎(chǔ)上才會收到它。與全局廣播模型相比，這種方法允許更少的數(shù)據(jù)增加。

3、DLT中的協(xié)商一致機(jī)制可以基于某些參與者的事務(wù)驗證，而不是整個網(wǎng)絡(luò)。減少了數(shù)據(jù)傳播，提供了更安全的環(huán)境。避免了塊挖掘機(jī)制，避免了數(shù)據(jù)的刪除。

Corda和GDPR——天作之合？

Corda服務(wù)與GDPR共謀發(fā)展

分布式賬本技術(shù)（DLT）的一個應(yīng)用是R3的Corda，該技術(shù)特別靈活，并且能夠很好地滿足GDPR的要求。它是一個全球性的網(wǎng)絡(luò)，與公開的區(qū)塊鏈有一些顯著的不同：

1、允許進(jìn)入Corda網(wǎng)絡(luò)。

2、Corda流的交易信息是逐點的，共識是基于被稱為公證人的網(wǎng)絡(luò)參與者的交易驗證，避免了在原始區(qū)塊鏈中使用的“工作量證明”或塊挖掘。

3、這是一個開源項目，任何人都可以建立一個商業(yè)網(wǎng)絡(luò)并應(yīng)用他們自己的設(shè)計，都可以自己負(fù)責(zé)去遵守GDPR。

為了方便平臺的應(yīng)用，Corda開發(fā)人員部署了Corda網(wǎng)絡(luò)——一個由網(wǎng)絡(luò)參與者操作的節(jié)點組成的公共網(wǎng)絡(luò)。它的目的是支持許多節(jié)點的子網(wǎng)，它們有自己的協(xié)調(diào)方和成員和使用規(guī)則。與Internet非常相似，Corda網(wǎng)絡(luò)為互連和高速事務(wù)流提供主干服務(wù)。

Corda網(wǎng)絡(luò)服務(wù)的設(shè)計符合資料私隱及GDPR的規(guī)定：

1、門衛(wèi)服務(wù)收集用戶和運(yùn)營商加入商業(yè)網(wǎng)絡(luò)的信息，包括聯(lián)系人姓名、電話號碼或電子郵件地址等個人數(shù)據(jù)。數(shù)據(jù)存儲在一個私有的、安全的數(shù)據(jù)庫中，而不是廣播到網(wǎng)絡(luò)。如果一方離開網(wǎng)絡(luò)，屬于該方的任何個人資料都將被刪除，但須遵守記錄的延遲規(guī)則，并且沒有任何商業(yè)理由存儲這些資料。Corda通過設(shè)置該程序，符合數(shù)據(jù)主體“被遺忘權(quán)”和數(shù)據(jù)刪除權(quán)的GDPR要求。

2、網(wǎng)絡(luò)地圖服務(wù)使參與者能夠通過網(wǎng)絡(luò)彼此查找和通信。作為本服務(wù)的一部分，網(wǎng)絡(luò)參與者之間不共享任何個人資料。

3、公證服務(wù)提供網(wǎng)絡(luò)共識，保證每筆交易的唯一性和終局性。目前，Corda Network Foundation只提供非驗證性公證人，他們只查看事務(wù)的子集來確定事務(wù)的順序和惟一性。本服務(wù)不會處理或儲存任何個人資料。

Corda有一套處理數(shù)據(jù)泄露的程序

1、Corda Network FoundaTIon組織運(yùn)營商將在得知個人數(shù)據(jù)被泄露后72小時內(nèi)通知受影響方。

2、如果自然人的權(quán)利和自由受到威脅，將通知監(jiān)督當(dāng)局。

3、運(yùn)營商將立即通知Corda Network FoundaTIon Board組織 。

Corda在努力提供數(shù)據(jù)隱私和保護(hù)個人數(shù)據(jù)的同時，用戶也有責(zé)任保護(hù)自己。與區(qū)塊鏈解決方案提供商討論任何隱私問題，并為使解決方案符合GDPR做出貢獻(xiàn)，這是用戶的最佳利益所在。

INDUSTRIA -一個值得信賴的Corda開發(fā)商的GDPR兼容的解決方案

在索非亞的INDUSTRIA研發(fā)辦公室開始為期兩天的Corda培訓(xùn)和黑客馬拉松活動。

作為R3的合作伙伴，INDUSTRIA充分利用了Corda體系結(jié)構(gòu)獨(dú)特的數(shù)據(jù)保護(hù)功能。我們的認(rèn)證Corda開發(fā)團(tuán)隊為企業(yè)、市場和生態(tài)系統(tǒng)創(chuàng)建符合GDPR的區(qū)塊鏈和DLT解決方案。我們的產(chǎn)品符合金融等行業(yè)的需求，始終注重數(shù)據(jù)隱私和敏感數(shù)據(jù)的保護(hù)。