就在今年,我们见证了数据隐私领域两股强大新力量的融合(也许他们之间还是有冲突的):欧盟通用数据保护条例(GDPR)和基于区块链的隐私解决方案的出现。随着区块链技术公司继续开发新的解决方案,以下是这些公司应该记住的关于GDPR的五个关键要点。
GDPR适用于“个人数据”,它被定义为“与已识别或可识别的自然人(‘数据主体’)有关的任何资料”。“数据主体”是指“自然人……可以通过参考识别……特定于该自然人的……文化或社会身份的标识。”此外,个人数据明确包括了“在线标识符”,其包括IP地址。
在GDPR的要求下,个人数据甚至包括经过“假名化”处理的数据,这意味着该数据已经被处理以至于“如果不使用其他信息,它就不能再归属于特定的数据主体”。加密技术被认为是一种非常有效的假名化手段,而区块链上与链外个人数据相关联的“公钥”也可能被视为“假名化”。尽管GDPR更喜欢对数据进行加密以实现假名化,但单独使用加密并不会从个人数据的定义中删除底层数据,因此也无法避免GDPR的要求。
在个人数据被假名化并且将数据归类为自然人所需的附加信息是“不可用”的情况下,GDPR表明数据可被认为是“匿名信息”或“匿名的”。由于GDPR仅规定了个人数据,任何被认为是匿名的东西都免除在GDPR之外,它是“不涉及处理这种类型的匿名信息……”。
这一规定提出了使区块链解决方案符合GDPR的一条路径:如果区块链架构的设计使得公钥符合匿名信息的定义——确保任何非链式个人数据安全加密,并且解密不可用于允许与公钥重新关联——公钥处理可以就免除GDPR的要求,包括删除权。
受GDPR影响的实体有不同的义务,这取决于它们是个人数据的“控制者”还是“处理者”。一般来说,控制者“决定处理个人数据的目的和手段”,而处理者则“代表控制者处理个人数据”。
实体作为控制者还是处理者的决定是特定于活动的,而不是特定于实体的。这意味着在不同的情况下,同一实体可以被视为控制者、处理者或控制者和处理者。作为决定处理方法和目的的实体,控制者在GDPR下的义务要比处理者多得多。最重要的是,控制者有责任执行个人要求删除、修改或转移其个人资料的请求。
GDPR赋予数据主体与数据控制者相关的各种权利。其中最主要的是数据可移植性的权利(即你带走数据的权利),纠正(即有权修改不正确的资料的权力)和删除的权利。一般来说,这些权利可以在数据主体的要求下行使,尽管在某些情况下某些权利也有例外,例如根据法律义务处理或保留数据时。
根据数据处理的合法依据,数据控制者促进数据主体权利的义务是不同的。根据处理目的,处理欧盟个人资料必须得到六个法律基础之一所提供的支持。这些基础是:
同意:数据同意,但须符合一个或多个特定目的。合约:履行合约所必需的。法律义务:数据控制者所服从的法律义务的遵守所必需的。公共利益:对履行公共利益的任务所必需的。切身利益:对数据主体的切身利益的保护是必要的。
合法的利益:除非被资料当事人的基本权利和自由所覆盖,否则为管理人或第三方的合法权益所必需。
由于同意可随时撤回,这就要求删除在该基础上所收集的任何个人资料,因此,处理个人资料并不是一个明智或可靠的依据,因为这些数据将被输入到区块链中。同样,虽然可以根据履行合约来收集和处理个人资料,但如果该合约终止或到期的话,那么久必须删除处理这些资料的合法依据。另一方面,为遵守法律义务而收集的数据可能不受删除权的约束。
最终,这两股力量是否会发生冲突还有待确定。避免冲突将需要欧盟监管机构做出一些有利的解释,以确保GDPR不会剥夺欧盟和欧盟数据主体享受区块链技术带来的好处。
欧盟官员的一项决定是,在适当设计的区块链解决方案中使用的公钥本身并不构成个人数据,这将有助于协调区块链技术与GDPR之间的关系。
即使做出了这样的决定,区块链解决方案的用户也应该监控技术发展(尤其是数据存储或加密)是否会影响或改变这种决定。在这个关键时刻,区块链公司必须理解GDPR的框架,并采取积极的立场、开发技术和法律立场,并仔细考虑GDPR的需求。
随着这两股强大的力量继续出现并发挥作用,欧盟监管机构和区块链技术专家都应该牢记,基于GDPR和区块链的解决方案有许多基本目标,比如个人有权控制自己的数据以及数据共享的最小化。为了演示区块链和GDPR的兼容性,这些原则应该在区块链解决方案架构中最大限度地发挥作用。
关于我们
免责声明
本文系网络转载,版权归原作者所有。但因转载众多,或无法确认真正原始作者,故仅标明转载来源,如涉及作品版权问题,请与我们联系,我们将在第一时间协商版权问题或删除内容!内容为作者个人观点,并不代表本公众号赞同其观点和对其真实性负责。