雷霆抑或雨露？當 GDPR 趕上區塊鏈

歐洲時間 2018 年 5 月 25 日，歐洲聯盟出臺了《通用數據保護條例》（如下簡稱「GDPR」）。該法案被公認爲目前全球對用戶我的數據保護最嚴格的法律，其適用範圍涵蓋全部與歐盟我的數據收集和處理相關的商業主體，違規企業將最高被處以上一年度全球營業額的 4% 或 2000 萬歐元做爲罰款。Facebook 和谷歌等美國企業或成爲 GDPR 法案下第一批被告。

據瞭解，GDPR 的監管範式是針對互聯網企業中心化服務的數據體系進行的，核心點在於加大數據控制者和處理者的法律責任。這與區塊鏈在數據處理上的去中心化模式是徹底不一樣的，其實施和推行將給區塊鏈行業帶來何種影響也一直是業內熱議的話題。

控制我的數據濫用，誰是更好的答案？

現在在全球範圍內，我的數據泄露與濫用的狀況廣泛存在。其對民衆基本權利形成的侵害，已經引發了社會公衆和法律界的警戒。GDPR 正是在現有的法律體系內，對相關民事、商事權利義務和政府監管義務做出了一整套的規範，試圖構建一個新的法律框架，使我的數據的保護與商業使用等行爲之間達到一個平衡的狀態。

與 GDPR 的思路不一樣，區塊鏈技術則試圖從另外一個角度給出答案。對於公有鏈網絡，用戶經過相關隱私措施，能夠作到匿名使用相關服務。對於聯盟鏈，我的數據的使用和存儲均可以是加密的，除了共識節點、交易相對方和經受權的第三方之外，其餘參與方都沒法取得我的數據。一些最新的開放許可鏈和公有鏈甚至但願經過密碼學技術、次級網絡或是二者的組合，實現交易的數據和執行過程對包括共識節點在內的全部無關方的隱私保護，將我的數據的控制權徹底交還到我的手中。經過基於可信硬件或是密碼學的加密計算，保證商業主體和行政主體在提供相應服務的同時，也沒法收集和留存我的數據。

以上兩個思路都旨在解決我的數據濫用的問題。GDPR 的優點在於依託成熟的法律框架，威懾可信，效果立竿見影；但同時因爲執行成本高、過於依賴中心化互聯網企業的配合，在切實提升企業經營成本的狀況下難以獲得有效執行，也難以制止互聯網巨擘經過併購的方式擴展我的數據的受權使用。區塊鏈技術的優點在於釜底抽薪，從根本上解決我的用戶行使我的數據的選擇權問題，在避免過分監管的同時，也能使用戶個體從本身產生的數據中獲益，爲我的數據的商業使用打下堅實的基礎；但受限於技術處於早期，應用的成熟與穩定性不高：沒有大規模商業應用的實踐和測試，須要大量的消費者教育工做，遠水難解近渴。

七大基本原則，GDPR 與區塊鏈相愛相殺

目前，GDPR爲我的數據保護設立了七項基本原則：

·可問責性原則

·據完整性和保密性原則

·準確性原則

·限期儲存原則

·目的限制原則

·數據最小化原則

·合法性、合理性與透明性原則

這裏面有些原則的落實正是區塊鏈技術的強項，另有一些則看似與區塊鏈技術存在衝突。是否真的如此？咱們逐條來分析：

（一）可信的解決方案

GDPR的可問責性原則要求：對於GDPR原則的遵照，數據控制者有責任提供證實。而區塊鏈技術的一大優點就在於鏈上數據的存證和可溯源服務。對於可問責性的監管要求，數據控制者能夠在把全部操做上鍊的同時，在監管部門和認證機構設立同步所有帳本的節點，這樣就能夠起到自證清白的做用。

GDPR的數據完整性和保密性原則要求：處理過程當中應確保我的數據的安全，避免數據未經受權即被處理或遭到非法處理，避免數據發生意外毀損或滅失。假若數據控制者對全部我的數據進行區塊鏈管理的分佈式存儲，則能夠用較傳統手段低不少的成本避免數據發生意外毀損。同時，將數據操做的受權經過區塊鏈驗證並將操做過程上鍊存證，也能夠大大增長安全性，避免數據未經受權操做即被非法處理。

（二）並不相悖的要求

GDPR的準確性原則要求：我的數據應當是準確的，若有必要必須及時更新；必須採起合理措施確保不許確的我的數據及時獲得擦除或更正。看似與區塊鏈的不可更改性相沖突，但區塊鏈帳本上的數據能夠經過後續區塊作標記的方法進行更改，只是這種更改不會刪除掉更改前的數據，而是將更改前的數據、更改過程的操做和更改後的數據同時保留了下來。這樣一來，只要保證公開範圍內的訪問者只能訪問更改後的數據就徹底能夠達到數據準確性的要求。同時對於爲了公共利益須要訪問更改前數據的政府、司法部門，也能知足其例外要求。

GDPR的限期儲存原則要求：對於可以識別數據主體的我的數據，其儲存時間不得超過實現其處理目的所必需的時間。而這看似又與區塊鏈帳本上數據的永久保存性存在衝突，其實能夠按照如下方式處理：對於聯盟鏈，鏈上主體都是商業主體，鏈上數據都是有隱私方案保護的，同時鏈上數據的保存都有做爲商事證據保留的性質，這一點已經構成了我的數據權利行使的限制。對於公有鏈，用戶徹底能夠選擇匿名化鏈上數據。對於開放許可鏈，能夠經過基礎鏈數據匿名化、側鏈數據聯盟鏈化處理來解決這一問題。

（三）堅實的基礎與保障

GDPR的目的限制原則：我的數據的收集應當具備具體的、清晰的和正當的目的，對我的數據的處理不該當違反初始目的。

GDPR的數據最小化原則：我的數據的處理應當是爲了實現數據處理目的而適當的、相關的和必要的。

GDPR的合法性、合理性與透明性原則：對涉及到數據主體的我的數據，應當以合法的、合理的和透明的方式來進行處理。

首先，開源的區塊鏈技術代碼清晰地展示了操做者對我的數據的收集和處理是否違反了GDPR的原則和規定，爲真正實施以上三大原則提供了堅實的基礎。

其次，區塊鏈項目特有的分叉功能真切地實現了數據的可攜權，也真正防止了壟斷。在GDPR監管的語境下，使技術開發者得到商業利益的同時，也促進了良性競爭與新技術的應用。

最後，區塊鏈項目特有的代幣投票公共治理制度將行爲人的利益與項目結果相捆綁，是實現上述三大原則的保障。

綜上所述，GDPR 和區塊鏈技術本質上並不敵對，它們都是爲了改變嚴峻的互聯網企業濫用用戶我的數據和造成行業巨頭壟斷的局面應運而生的。在保護我的數據方面，二者各有利弊，相輔相成。對於 GDPR 的七項基本原則，區塊鏈技術提供了堅實的支持與保障。而 GDPR 的普及和推廣也將是相關公司的試金石，在參差不齊的區塊鏈技術公司裏去僞存真，營造健康監管生態，爲真正優秀的企業保駕護航。

文丨錢靖 謝晗劍

來源丨人民創投區塊鏈(公衆號ID:peoplechain)