2018年5月25日,经过两年多的预备期,欧盟制定的《一般数据保护条例》(General Data Protection Regulation,GDPR)正式开始生效。这也是迄今为止,全球数据隐私法规中,覆盖面最广、监管条件最严格的关于个人隐私和数据安全的法规。
GDPR对于消费者来说是雨露,但对于企业来说却可能是雷霆。隐私权专家国际协会(IAPP)预测,此举将至少创造7.5万个隐私相关职位,全球财富500强企业将花费近80亿美元,以确保其符合GDPR的规定。
不过,这对区块链意味着什么?众所周知,区块链技术目前是最安全、最透明和不可变的数据存储系统。但是,自GDPR出台以来,关于区块链企业是“雷霆”还是“雨露”的讨论从未终止。本篇文章,作者将从不同的维度来阐述GDPR对区块链企业的影响。
雷霆?
GDPR的一切管理都是基于个人数据,而区块链公司目前几乎都存储了用户的个人数据,因此必然受到监管。据欧洲议会议员Jan Philip Albrecht说:“区块链应用可能不符合GDPR标准”,而忽视或违反GDPR法律的制裁面临高达2000万欧元的罚款或全球收入的4%。
关于GDPR和区块链的这一场辩论主要起源于,GDPR第17条指出,数据主体有权要求控制者无不当延误地删除与其有关的个人数据,并有权要求任何已知的第三方删除针对个人数据信息的所有复制和链接权利。为了保护用户信息,GDPR给予用户可遗忘权,用户有权删除个人信息;同样,为了保护用户信息,区块链要求永久的保留用户信息。在这方面,GDPR的“可遗忘权”和区块链的“不可篡改”是违背的。
目前,该条例已经开始影响区块链公司。基于以太坊的项目Parity ICO Passport Service(PICOPS)宣布,由于GDPR的限制,该项目将停止。除此之外,面对GDPR,区块链公司还需回答以下问题:谁是区块链中个人数据的控制者?区块链技术适用哪些法律?区块链语境中的个人数据包含哪些因素?
雨露?
当GDPR遇上区块链真的是死路一条吗?在作者看来,GDPR对于区块链公司来说更是一个机会。
首先,“可遗忘权”和区块链并不是完全不可调和的,区块链公司可以通过链下存储个人数据的方式,允许区块链引用个人信息,但没有获得权限时不能访问存储在链下数据库中的个人信息。许多区块链公司已经针对GDPR提出了解决方案,开发者、首次代币发行创企以及加密货币创企最常使用的博客平台Medium也表示基于新的欧洲法律进行了调整。声明写道,“除了在新的隐私政策中明确表明我们会收集哪些信息并且如何利用以外,我们还为用户提供了新的资源。比如说,你现在可以从Medium的设置界面中下载自己的私人数据”。
其次,区块链技术可以帮助用户真正掌握自己数据。Nuggets通过零知识存储(Zero knowledge storage)把个人数据信息在区块链上进行加密存储,这意味着系统不依赖于任何一个实体来存储和保护数据,那么数据也将不再会受到危及。同时,通过Nuggets,用户可以选择是否与商家分享他们的数据,并在选择分享时获得相应的报偿。在此情况下,个人数据真的成为用户的资产,用户成为数据的主人。
最后,区块链公司可以帮助企业GDPR合规,是未来应对数据保护法规的机构、系统、机制的重要部件。对于企业来说,GDPR合规成本是非常高的,区块链可以帮助企业降低合规成本。APEX Network区块链平台已经退出了帮助企业合规的解决方案,已在全球范围内试点企业用户,帮助解决与消费者数据隐私、信任和客户关系管理有关的一系列问题。APEX通过链上和离链混合的方法,为企业提供智能合约功能,内嵌消费者数据管理协议ATDM(APEX Transactional Data Management),实现消费者的同意、身份管理、访问控制和数据加密。
综上所述,GDPR和区块链本质上并不敌对,并且可以促进区块链公司健康发展。一方面,帮助区块链公司有序、健康运营;另一方面,也给予了区块链公司新的市场和创新机会。