谷歌折戟隐私

终于落地的靴子

这是一起事先张扬的惩罚。

历经大半年的审查，法国数据保护委员会CNIL于2019年1月22宣布，对网络巨头Google处以5000万欧元的罚款。

早在2018年5月25日和28日，CNIL就收到来自多个机构对Google的投诉，称其在给用户定向发送广告时，缺乏透明度，信息不足以及缺乏用户有效的许可。处罚的根本原因是：Google未向Android用户正确披露其数据如何被收集，并向用户违法推送个性化广告。

而这，也是数据保护机构首次使用GDPR来约束和惩罚大型企业在数据方面的违法行为。

GDPR即《通用数据保护条例》（General Data Protection Regulation）为欧洲联盟的条例，前身为欧盟在1995年制定的《计算机数据保护法》。其目标是在欧洲范围内建立统一的数据管理框架，并加强公民对其个人数据的存储和使用权，从而更加有效的保护公民的隐私信息安全。

从理念出发，GDPR与区块链不谋而合。

两者都承认数据的主权在于个人，也都主张数据的价值应该归属于个人而非中心化的平台。

似乎，GDPR的出台对于区块链领域的发展是一个重大的利好。但果真如此吗？

业内人士对此持否定态度。

世界经济论坛大中华区首席代表David Aikman近日在接受采访时曾表示，「GDPR的目的是防止大公司过度侵犯民众的数据和隐私，让民众有权利说，请把我们在社交媒体上的数据删掉。但这也无意中造成了一个后果：给区块链创新带来了挑战，因为区块链的分布式账本无法删除数据。立法的初衷是保护民众利益，而现在或许扼制了政府发展新技术的能力。」

矛盾与冲突

事实上，早在GDPR制定之初，并未考虑到太多关于分布式数据存储的场景，整个GDPR的构建是以数据被中心存储为背景，它默认了数据会被某一特定的数据控制主体所控。

对于中心化的平台而言，一旦违反GDPR的法规，遭到追责时，可以很容易的按照要求执行数据删除等操作。

但这对于区块链系统而言，却并非易事。

首先是数据主体的问题。

在公有链中，数据并不是存在中心化的数据库中，而是存储在系统的每一个节点上，链上的节点负责信息的记录、存储。大型的公有链中，节点千千万万，如果直接套用GDPR的管理条例，几乎不可能实现，就连项目方也无法确认每个节点的真实身份。

其次，是数据的删除问题。

GDPR第17条规定，数据主体有权让数据控制主体擦除他/她的个人数据，停止进一步传播数据，并有权要求第三方停止处理数据。删除的条件包括数据不再与原始处理目的相关，或数据主体撤回同意。

而区块链技术的一个重要特性是不可篡改性，数据一旦上链后，就意味着无法删除或更改。

例如：在早期一些著名区块链项目如比特币和以太坊，都是开放式和公共分类账。用户所有的交易细节都公布在区块链中，交易实体由其区块链地址标识，区块链地址可由相应公钥导出。每一笔交易都可轻易查看到交易双方和交易金额等关键信息。即使交易双方的身份是以一串区块链地址来代替，但通过”地址簇“的方法来对交易图谱精准分析，仍然有可能揭示区块链地址背后的真实世界身份。

倘若GDPR认定这些数据属于用户的隐私数据，需要删除，那么又该如何处理呢？

这些问题，暴露了当前GDPR与区块链技术在应用场景中存在的矛盾。

改进与创新

随着近年来不少新技术和新思路的涌现，众多区块链项目也在不断的进化和迭代。

GDPR的出台，已成为众多企业进军欧洲需要达到的必要标准。但对于区块链行业而言，对于项目所做的更新和迭代，不仅是为了符合GDPR法规，更重要的是，用户隐私数据的安全与保护一直以来都是众多区块链项目方所追求的目标。

作为新一代物联网分布式基础架构，CPChain在保护用户数据安全和数据交易等方面也做了大量的工作。在CPChain的架构中，采用了平行分布式架构：将数据层与控制层分离，所有原始数据在本地进行加密并由所有者签名，分块后基于分布式哈希表方法保存在不同的节点之中，使得宿主无法知道原始数据。同时，将数据的哈希值存入区块链，作为数据完整性和正确性的凭证以及数据的标识。这样，当数据出现更新或被读取，数据的哈希值均会发生改变，以此来记录数据的变更，同时在一定程度上保证了数据的安全性，同时应用重加密与同态加密技术，以此来保证用户的数据安全。

此外，为了保证交易双方的隐私，CPChain还独创了私有交易机制，允许用户在链上部署和调用私有合约，更加安全地完成私有交易。 私有交易实现了交易双方在代理（代理：充当验证者和中间人的角色，负责对交易进行检验）的见证下完成交易，任何第三方均无法查看这一私有交易过程。交易过程中某些关键性数据在区块中被记录和维护，交易既不被外界所侦测到，又能够在区块链上留下痕迹数据，以供未来追溯和验证。其中，私有数据交易中私有合同由代理部署，且代理部署公共合同作为交易托管，交易的相关信息和交易数据经过特殊加密对外界保密。

回到故事的开头，那个对谷歌开出天价罚单的机构——CNIL，在去年的11月份，发布了一份关于GDPR和区块链兼容性研究报告。

报告中，CNIL分析了区块链技术与GDPR要求之间相互作用的某些基本问题，并试图解决区块链技术与欧盟通用数据保护条例（GDPR）之间的紧张关系，同时，该报告也是欧洲数据保护监管机构就此主题发布的第一份指南。

如何解决GDPR对个人数据的保护及与区块链的冲突？

或许，曙光就在眼前。