通用数据保护条例《通用数据保护条例》(以下简称GDPR)的“被遗忘权”与区块链技术之间似乎存在不可调和的矛盾。——数据隐私权包括个人删除和忘记其信息的权利,而区块链的技术特征是“永不忘记”其收集的所有信息。
越来越多的企业甚至政府机构正在使用区块链技术。特别是,欧洲公司希望隐私监管机构能够明确解释——区块链和欧盟通用数据保护条例(GDPR)如何共存。
一个
一个不可避免的问题:区块链——的隐私悖论
全球区块链市场预计将在这十年内爆发式增长——,从2021年的约60亿美元增长到2029年的1600亿美元。
在中国,根据市场研究机构的数据,区块链市场规模已从2017年的8500万美元增长至2020年的5.61亿美元,年复合增长率为87.58%,预计2022年将增长至14.09亿美元(见下图)。
由此可以预见,受法律保护的个人信息的“被遗忘权”与区块链的“永不遗忘”之间的利益和冲突越来越清晰。
数据来源:IDC和中国商业产业研究院编制。
区块链的分布式账本(包含无法删除或更改的数据)正在全球范围内迅速发展,超越加密货币交易,促进高效的供应链管理、产品可追溯性、身份认证和无数其他商业功能。
对于监管者来说,这是一个全新的领域,会引发很多问题,所以欧洲隐私监管者必须解决以下问题:
(1)区块链“不变性”vs“被遗忘权”
张贴到区块链的记录不能被删除,但大多数现代隐私立法赋予个人被遗忘的权利。当区块链账本中记录的信息是永久的,个人或数据主体如何行使他们被遗忘的权利?
(2)区块链“透明度”与数据主体保护
去中心化网络的信任基础来自于会计账簿的透明。公共区块链网络的所有参与者都相信信息的神圣性,因为他们可以平等地实时查看和分析信息。但是,如果所有信息都是透明的,那么任何人都可以访问它,理论上它可能被未知的行为者用于未知的目的。因此,使用区块链技术执行交易和/或存储信息的实体如何为数据主体提供适当的保护,以解决其信息如何被使用或披露的问题?
(3)区块链“去中心化”vs .数据问责制度
公共区块链是有意分散的,所以没有负责的实体。此外,公众区块链形成的网络通常跨越辖区,可能由数百人、数千人或数百万人组成,这些人在技术上有能力通知区块链——的更新,接近管理决策能力。在这种情况下,当维护、管理和可持续发展的责任分散在一个不相关的个人社区时,监管机构如何对公共区块链采取监管或惩罚行动?
2
规则的不确定性阻止企业进入——欧盟、美国和加拿大。
许多正在或打算进入这一领域的人经常咨询律师:区块链是合法的还是非法的?Morrison Foerster LLP律师事务所的数据保护律师Marijn Storm没有给出一个绝对的答案。——“这取决于如何使用这项技术。”
德勤《2021 年全球区块链调查》认为,对于刚进入区块链的企业来说,数据安全和隐私是最重要的问题。法律的不确定性可能是一些主要公司采取观望态度而不使用区块链的原因,特别是在欧盟。
尽管存在不确定性,但大多数国家的数据保护部门都迟迟没有干预。
(1)欧盟
负责推广GDPR的独立欧盟机构欧洲数据保护委员会(European Data Protection Board)正在制定一份区块链指南,但它在一份电子邮件声明中表示,不能保证该指南何时发布,也不能对其内容发表评论。这迫使企业尽快开发这项技术。
2018年,法国国家信息和自由委员会(以下简称CNIL)发布了一份指南,发现在区块链存储个人数据应仅限于“承诺”或“哈希值”,这些数据与线下数据相关联。CNIL还表示,由有限数量的已知用户建立的许可区块链,或非公开区块链,比公开区块链更可取。
小贴士:
哈希值,也称为“哈希函数”,是一种从任何类型的数据创建小型数字“指纹”的方法。简单来说,它可以将消息或数据压缩成摘要,使数据变小,并固定数据的格式。
CNIL表示,要在区块链和GDPR问题上发布明确的指导方针,“在欧洲层面进行反思至关重要”。
但是四年过去了,这个指南还没有发布。
(2)美国
在美国,国会于2022年夏天首次考虑全面的数字隐私立法,部分原因是受欧盟的刺激,一些模仿GDPR的州法律已于2018年生效。
美国数据隐私和保护法案得到了两党的支持,正在等待众议院的投票,该法案将首次赋予所有美国人访问、更正和删除自己数据的权利。加利福尼亚、科罗拉多、康涅狄格、弗吉尼亚和犹他的法律包含了删改权,类似于欧洲的删改权。
加拿大
对于如何处理公共或私人区块链上的个人数据,加拿大尚未发布官方建议或解释。
然而,根据加拿大法律,对个人信息的广义解释可能会阻止区块链利益相关方处理公共区块链上的个人数据,因为任何有权访问区块链的人都可以访问区块链上的数据,并在公共区块链网络的所有节点之间分发/存储这些数据。
在私人区块链环境中,个人信息的个人权限管理是可能的,因为有指定的和负责的实体来控制可以访问区块链的利益相关者的数量。在这种情况下,利益相关者可能需要遵守隐私法规,以此来访问私有区块链及其相关应用程序。利益相关者也可能由于未能遵守而被从网络中删除,并且参与者可以覆盖足够集中的私有区块链,以通过协作来响应一些隐私侵犯。
三
未来风险:加密数据可以穿透面纱
区块链上的数据的加密性质——,即通常与钱包地址相关联的散列——,也使得在实际操作中难以实际访问个人数据。通过使用加密技术,区块链是一种管理数据的工具,可以保护信息并促进对记录保存的信任,而不是暴露信息或破坏其完整性。
人们普遍认为区块链技术使用匿名数据,但事实并非如此。
《美国数据隐私和保护法案》(商业区块链:下一个前沿的实用指南)的作者Yannis Kalfoglou说,数据“可以匿名、别名和散列,但这并不意味着它不能恢复。你总能看穿那层面纱。”
任何人都可以访问的公共区块链,如以太坊和比特币,并不完全满足数据合规性要求中的最低原则,也不能始终保证数据主体更改或删除数据的能力。对于定义上任何人都可以加入的公共区块链来说,可能无法确定负责合规的中央数据控制者,这让监管机构很头疼,他们希望知道如果出现问题谁负责。
数字身份证赋予公民很大的所有权,但前提是他们必须“积极管理”自己的凭证,以确保它们不会落入坏人之手。
给…作注解
https://news . Bloomberg law . com/privacy-and-data-security/business-adopting-区块链-question-EUS-strict-privacy-law
https://www . dentons . com/en/insights/articles/2022/June/9/the-privacy-paradox-in-区块链-加密数据管理最佳实践
•https://baijiahao.baidu.com/s?id=1730609322559708029 wfr=spider for=PC
作者:张颖《商业区块链:下一个前沿的实用指南》主编。
【免责声明】撰写本文所需信息均收集自合法公开渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证。
本文仅供分享交流信息之用,不构成任何企业、机构或个人的决策依据。
