欧盟《通用数据保护条例》(以下简称GDPR)的“被遗忘权”与区块链技术之间似乎存在着不可调和的矛盾。3354数据隐私权包括个人删除和被遗忘其信息的权利,而区块链的技术特点是“永不忘记”其收集的所有信息。
越来越多的企业甚至政府机构正在使用区块链技术。特别是,欧洲公司希望隐私监管机构明确澄清——区块链和欧盟通用数据保护条例(GDPR)如何共存。
一个
无法回避的问题3354区块链的隐私悖论
全球区块链市场预计将在这十年内爆炸式增长33,354,从2021年的约60亿美元增长到2029年的1600亿美元。
在中国,根据市场研究机构的调查,区块链的市场规模从2017年的8500万美元增长到2020年的5.61亿美元,年均复合增长率为87.58%,预计2022年将增长到14.09亿美元(见下图)。
可以预见,受法律保护的个人信息的“被遗忘权”与区块链的“永不忘记”之间的利益和冲突越来越明显。
数据来源:IDC,中国商业产业研究院。
区块链的分布式账本(包含无法删除或更改的数据)正在全球范围内迅速发展,超越加密货币交易,促进高效的供应链管理、产品可追溯性、识别和无数其他业务功能。
对于监管者来说,这是一个全新的领域,会引发很多问题。因此,欧洲隐私监管机构必须解决以下问题:
(1)区块链“不变性”vs“被遗忘权”
上传到区块链的记录不能被删除,但大多数现代隐私立法赋予个人“被遗忘的权利”。当记录在区块链账本上的信息是永久的,个人或数据主体如何行使他们被遗忘的权利?
(2)区块链“透明度”与数据主体保护
去中心化网络的信任基础来自于账本的透明。公共区块链网络的所有参与者都相信信息的神圣性,因为他们都可以平等地实时查看和分析这些信息。但是,如果所有信息都是透明的,那么任何人都可以访问它,理论上它可能被未知的行为者用于未知的目的。因此,使用区块链技术进行交易和/或存储信息的实体如何为数据主体提供适当的保护,以解决其信息如何被使用或披露的问题?
(3)区块链“去中心化”vs .数据问责
公共区块链是有意分散的,因此没有负责的实体。此外,公共区块链形成的网络通常跨越辖区,可能由数百人、数千人或数百万人组成,这些人在技术上都有能力通知区块链3354的更新,这接近于管理决策的能力。在这种情况下,当维护、管理和持续发展的责任分散在一个不相关的个人社区时,监管部门如何对公众区块链采取监管或惩罚措施?
2
规则的不确定性使得欧盟、美国和加拿大的——家企业望而却步。
许多正在或打算进入这一领域的人经常咨询律师:区块链是合法还是非法?Morrison Foerster LLP律师事务所的数据保护律师Marijn Storm没有给出绝对的答案——“这取决于这项技术是如何使用的。”
Deloitte 《2021 年全球区块链调查》认为,对于那些刚刚进入区块链的企业来说,数据安全和隐私是最重要的问题。法律的不确定性可能是一些领先公司采取观望态度、不使用区块链的原因,尤其是那些欧盟公司。
尽管存在不确定性,但大多数国家的数据保护部门都迟迟没有干预。
(1)欧盟
负责推广GDPR的独立欧盟机构欧洲数据保护委员会(European Data Protection Board)正在制定一份区块链指南,但它在一份电子邮件声明中表示,不能保证该指南何时发布,也不能对其内容发表评论。这迫使企业尽快开发这项技术。
2018年,法国国家信息和自由委员会(以下简称CNIL)发布了一份指南,发现区块链上个人数据的存储应仅限于“承诺”或“哈希值”,这些数据与线下数据相关联。CNIL还表示,由有限数量的已知用户建立的许可区块链,或非公开区块链,比公开区块链更可取。
小贴士:
哈希值,也称为“哈希函数”,是一种从任何类型的数据创建小数字“指纹”的方法。简单来说,它可以将一条消息或数据压缩成摘要,使数据量更小,并固定数据的格式。
CNIL表示,要在区块链和GDPR问题上发布明确的指导方针,“欧洲层面的反思至关重要”。
但是四年过去了,这个指南还没有发布。
(2)美国
在美国,国会在2022年夏天首次考虑全面的数字隐私立法,部分原因是因为欧盟的刺激,一些模仿GDPR的州法律已经在2018年生效。
得到两党支持并正在等待众议院投票的联邦《美国数据隐私和保护法案》(美国数据隐私和保护法案)将首次赋予所有美国人访问、更正和删除其数据的权利。美国加州、科罗拉多州、康涅狄格州、弗吉尼亚州、犹他州的法律都包含了删除权,类似于欧洲的删除权。
加拿大
对于如何处理公共或私人区块链上的个人数据,加拿大尚未发布官方建议或解释。
但是,根据加拿大法律,对个人信息的广义解释可能会阻止区块链利益相关方处理公共区块链上的个人数据,因为任何有权访问区块链的人都可以访问区块链上的数据,这些数据分布/存储在公共区块链网络的所有节点上。
在私有区块链环境中,个人信息的个人权限管理是可能的,因为这里有指定和负责的实体,并且它们控制可以访问区块链的利益相关者的数量。在这种情况下,利益相关者可能需要遵守隐私法规,以此来访问私有区块链及其相关应用程序。利益相关者也可能因未能遵守而被从网络中删除,并且参与者可以通过协作来覆盖足够集中的私人区块链,以应对某些隐私侵犯。
三
未来风险:加密数据可以穿透面纱。
区块链——上的数据的加密性质,即通常与钱包地址链接的散列3354,也使得在实际操作中很难真正访问个人数据。通过使用加密技术,区块链是一种数据管理工具,可以保护信息并促进对记录保存的信任,而不是暴露信息或破坏其完整性。
人们普遍认为区块链技术使用匿名数据,但事实并非如此。
《755-79000》(block chain for Business:A Practical Guide for the Next Frontier)一书的作者Yannis Kalfoglou表示,数据“可以被匿名化、重命名和哈希化,但这并不意味着它不能被恢复。你总能看穿那层纱。”
任何人都可以访问的公共区块链,如以太坊和比特币,在数据合规性要求上并不完全符合最小化原则,也不能始终保证数据主体能够更改或删除数据。对于定义上任何人都可以加入的公共区块链来说,可能无法确定负责合规的中央数据控制者,这让监管部门很头疼,他们希望知道如果出现任何问题,谁将负责。
ID赋予公民很多所有权,但前提是他们必须“主动管理”自己的凭证,以确保它们不会落入坏人之手。
给…作注解
https://news . Bloomberg law . com/privacy-and-data-security/business-adopting-区块链-question-EUS-strict-privacy-law
https://www . dentons . com/en/insights/articles/2022/June/9/the-privacy-paradox-in-区块链-加密数据管理最佳实践
•https://baijiahao.baidu.com/s?id=1730609322559708029 wfr=spider for=PC
作者:张颖《商业区块链:下一个前沿的实用指南》主编
【免责声明】撰写本文所需信息均收集自合法和公开渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证。
本文仅供分享交流信息之用,不构成任何企业、机构或个人的决策依据。
