今年5月25日,影响从欧盟扩及全球的《一般资料保护规范》(简称GDPR)正式上路,为身为弱势群体的我们争取保护个人数据的权利,但对于不少「大鲸鱼」公司而言,势必要付出新的成本以符合GDPR规定。根据国际隐私专家协会IAPP预测,全球财富500强企业将为此耗资近80亿美元,但对于区块链业者却很头痛,想合规也不知从何做起。
「区块链的应用可能不符合GDPR标准」,欧洲议会议员Jan Philipp Albrecht说。区块链中被视为可重新定义人和人行为模式的几项技术特性——去中心化、不可窜改、公开透明,和GDPR的要求都大相径庭,甚至在以太坊上,将个人数字身份记录在区块链上的应用「Parity ICO Passport Service」,5月就因为这个史上最严格的个人数据保护法,宣布停止服务。
目标相同,手段不同
当欧盟在2012年提出GDPR草案时,区块链还处于萌芽阶段。虽然两者目的大致相同,都为了要分散服务商和资料当事人对资料掌握度不平等的现况,但出发点原则、手段都不同。GDPR刚好在区块链应用逐渐落地的2018年实施,两者的矛盾冲突已无法掩盖。
被最多人讨论的,非GDPR第17条中的「被遗忘权」莫属了。资料当事人在特定条件下,有要求资料控制者删除其个人资料之权利,但这和区块链中一项最有价值的功能——写入的资料不可篡改,完全冲突。
此外,GDPR适用于欧盟,数据控制需要清楚明确告知当事人,个人数据被用于哪里、有谁用,控制者身分再明确不过。但区块链上的节点、矿工分布全球,作为一个极度分散的虚拟国际架构,究竟该如何规范?当区块链上的每一位参与者都拥有我的资料,如何确保他们都同意并符合GDPR?
微信也要遵守规定
「一边是基本权利和保护,另一边是新技术创新推动,两者的平衡是GDPR和区块链之间存在共同点的关键。」牛津大学基布尔学院欧盟法律讲师Michèle Finck说道。「脱链储存」似乎是目前被视为相当有可能实施的解药——把「非个人数据」和「个人数据」分开储存,前者仍存在区块链上,后者存在第三方平台或是别的资料库。
区块链就像小孩
区块链还太年轻,就像少不经事的少年,还有太多事需要被完整、被规范,况且随着个人数据被应用越来越泛滥的时代到来,响应个人数据保护法规,让用户真正掌握自己的权利迫在眉睫。但这不禁让人思考另一个问题,当资料的归属都掌握在个人手上,是否会影响公共利益发展?
例如医疗资料就牵扯到「公共利益」与「个人隐私」,值得深思。虽然是资料主体的身体资讯,但包含医生诊断专业,涉及到人类医疗技术的提升,这笔资料也具有公共意义价值,当资料越多、分析更精准,医疗技术越有可能提升,这时在符合GDPR下,或许可靠「去识别化」、「匿名」的方式处理。法规、新技术、个人隐私,三者究竟该如何结合呢?
领取专属 10元无门槛券
私享最新 技术干货