GDPR與區(qū)塊鏈的兼容性

Garth Landers

企業(yè)在實施區(qū)塊鏈技術須考慮是否能與GDPR兼容，擁有區(qū)塊鏈并使之與GDPR相互兼容看似困難，但卻是可以做到的。

安全與風險管理者須考慮GDPR是否適用于企業(yè)區(qū)塊鏈與個人數(shù)據(jù)

企業(yè)在實施區(qū)塊鏈技術之前，一定要確定他們的信息是否會受到歐盟通用數(shù)據(jù)保護規(guī)則（GDPR）的管理，同時，還需要了解區(qū)塊鏈是否在本質(zhì)上違背了GDPR。例如，區(qū)塊鏈的核心原則是不可更改的，即一旦數(shù)據(jù)被記錄之后，將不能再被篡改，但GDPR規(guī)定，用戶可以刪除個人數(shù)據(jù)。這樣看來，區(qū)塊鏈與GDPR之間存在著一些矛盾。

事實上，企業(yè)又必須謹慎判斷是否應使用區(qū)塊鏈技術，盡管區(qū)塊鏈和GDPR各自的特點很快引起了公眾對它們之間兼容性的擔憂，但它們的結(jié)合仍然使得新興的管理手段和技術趨勢得以強強聯(lián)合。安全與風險管理者必須采取防護措施，確保區(qū)塊鏈設計與GDPR相匹配。

判斷GDPR是否適用

總體而言，GDPR將適用于任何企業(yè)包含有個人數(shù)據(jù)的區(qū)塊鏈。由于該規(guī)定適用范圍的問題，一些企業(yè)可能尚不確定他們的區(qū)塊鏈是否會受到GDPR的管理。企業(yè)評估自己的區(qū)塊鏈是否會受到GDPR的管理時，需要考慮以下三個問題：

1. 是否有向歐盟提供貨品或服務。

2. 是否有分析或者監(jiān)控歐盟居民的行為（包括網(wǎng)絡行為）。

3. 是否有代表歐盟的公司處理歐盟居民的個人數(shù)據(jù)。

如果有涉及到上述問題中提到的任何一種行為，企業(yè)都應該進一步確定他們的技術是否符合GDPR的規(guī)定。須要注意的是，如果他們的工作涉及到歐盟居民的數(shù)據(jù)，那么即便他們在歐盟之外，也是要受到GDPR的管理。由于區(qū)塊鏈與GDPR的不兼容性將會帶來高達2000萬歐元或是百分之四的年度營業(yè)額損失，所有企業(yè)都希望建立一個判斷GDPR是否適用的體系。

區(qū)塊鏈的不可更改性與對個人數(shù)據(jù)的權(quán)利

GDPR中規(guī)定了用戶對數(shù)據(jù)主體的權(quán)利：用戶有權(quán)利知道他們的數(shù)據(jù)如何被處理，有權(quán)利更改數(shù)據(jù)、移植數(shù)據(jù)以及刪除數(shù)據(jù)。這一“刪除數(shù)據(jù)”或者“讓數(shù)據(jù)被遺忘”的權(quán)利，使得數(shù)據(jù)在刪除或移除之后不會被再次使用。公司必須擁有關于刪除信息的協(xié)議，這一點初看上去并不合理，因為它違背了區(qū)塊鏈中數(shù)據(jù)的不可篡改性。不過，GDPR還引入了“假名化”的概念，這使得公司可以用一個匿名的標簽來代替名字。另外，也可以建立一個僅僅存儲對個人數(shù)據(jù)的引用，而不直接存儲個人數(shù)據(jù)的區(qū)塊鏈。哈希（hash）和代幣（token），都可以被用作對數(shù)據(jù)的引用。

擁有區(qū)塊鏈并使之與GDPR相互兼容是可以做到的。不過，這需要安全風險專家與區(qū)塊鏈架構(gòu)師共同努力，確保存儲數(shù)據(jù)不違背隱私法，同時，可以通過用不同的方式存儲數(shù)據(jù)，甚至是在得到許可的情況下建立區(qū)塊鏈來實現(xiàn)。