通用数据保护条例（GDPR）和区块链：威胁还是机遇？

[Francesing]

严厉而彻底的欧盟个人数据隐私法律框架——通用数据保护条例（GDPR），已于5月25日悄然生效。自从2016年首次颁布，经过两年的过渡期，这些条例现在正式生效了。不管你有没有准备好，这个法律框架将彻底改变整个数字经济领域。但对于区块链行业来说，这又意味着什么呢？

GDPR的目标是：在欧洲范围内建立统一的数据管理框架，并加强公民对其个人数据的存储和使用权。

新的权利和责任
 
GDPR给身为”数据处理方“的企业和公共部门引入了新的程序上和组织上的责任义务，并赋予了身为“数据主体”的个人以更多的权利。

无论是公共还是私人机构，在不受管束的时候，它们都倾向于在不知道如何处置个人数据的时候，就开始大规模积累用户数据，类似某种个人数据的“淘金”行为。然而，GDPR打破了这个习惯，指定数据处理方不得收集其与消费者直接交互过程中的非必要数据。执行中，数据的收集行为应该是“合理的，与目的相关的，最低限度的”（GDPR的第39条）。

首先，GDPR设置什么是允许的和不允许的，规定了从现在开始，数据处理方必须采用的组织行为准则。举个例子，公司的技术架构必须默认，在使用消费者数据后会将其删除。

其次，任何被认定是“数据中枢”的实体都必须有一个负责执行GDPR的数据保护官员（DPO）。这位数据保护官将在数据主体出现隐私风险时向监管当局发出警报，并承担相关法律责任（第33条）。

然后，数据主体也会更好的了解到他们的个人数据是如何被存储和使用的（第15条）。例如，个人有权向公司索取其所持有的属于他们隐私信息。此外，数据处理方必须在告知数据主体，数据获取和共享的细节方式。

另一方面，除了透明度之外，GDPR还赋予了公民更大的控制个人数据的权力。第17条明确了公民有权要求公司把其个人数据从数据库中删除，即所谓的“删除权”。

正如Sarah Gordon和Aliya Ram在《金融时报》上所言：“最终，GDPR的影响力取决于个人是否决定行使规则赋予他们的权力”。你什么时候拒绝过脸书网的隐私条款？

范围不止欧盟，影响波及全球
 
GDPR会对违规的公司征收巨额罚款，而且，它的触角远远超出了欧盟范围。

对于公司来说，被数据保护官员盯上可能比被税务稽查员盯上更可怕。故意的或重复的违反GDPR条例的公司将受到2千万欧元的罚款，或公司全球营业额的4%。公司不仅要面临数据保护官的警报，还要定期面临数据保护审计。

虽然从表面上看，GDPR仅仅保护的是欧盟公民的数据权利，但在实际操作中，它的影响却会波及全球。首先，位于欧盟之外的公司，如果涉及到处理欧盟居民个人信息，也必须遵守GDPR。此外，欧盟的创新之处在于，它现在将数据流与贸易流联系起来：任何想与欧盟签署贸易协定的国家都必须签署协议，遵守GDPR。

在过去的十年中，美国成为了世界经济的警察，对不遵守反洗钱规定的银行处以巨额罚款。有了GDPR，欧盟会成为全世界数据保护领导者吗？

区块链可以逃脱GDPR吗？

GDPR起初是由欧洲委员会在2012年提出的，最初关注的是云服务和社交网络，当时区块链还不是一个广为人知的名词。至少在前区块链世界中，云服务和社交网络主要集中在中心化组织中：许多数据主体有唯一的实体服务器——数据处理器/控制器。中心化组织很容易被监管，但是GDPR会如何影响分布式协议组织，例如公链呢？

大家很容易理解，考虑到假名和真实身份之间细微差别，区块链存储了很多潜在的个人数据，比如说个人交易历史，这样区块链就落到了GDPR的管辖范围。乍一看，人们可能会认为GDPR与公链之间存在着直接的矛盾。例如，在GDPR提出的许多原则中，“删除权”似乎与区块链技术的核心——不可篡改性的相冲突。假设这一矛盾暂时成立，这又引出了另一个问题：谁是一个纯粹分布式的区块链系统中的数据处理方？

总而言之，用“数据处理方”和“数据主体”的划分来阐明GDPR和区块链的逻辑似乎是困难的。毫无疑问，一场激烈的法律辩论就在眼前。

遵循GDPR的区块链？
 
然而，区块链与GDPR有许多共同目标。两者都是分散数据控制权，缓和中心服务提供商和终端用户之间的权力不平等。虽然原来的比特币协议并不能保证匿名性，但许多技术革新，从基本的翻转器到ZK-SNAGK技术，使我们越来越接近这个理想。然而，这种匿名性可能并不是监管机构所希望采取的——是否有更容易被监管者接受的区块链解决方案？

一个特别有前途的研究方向是可信硬件和区块链的结合。在公链上，所有的数据在整个网络的所有机器上被复制和共享，这使得交易数据的删除成为用户梦魇。最近的研究已经开始探索“可信计算飞地”如何能提供安全和保密的数据存储，如英特尔SGX。

将可信计算与公链相结合意味着数据的隐私可以被保护，免受外部威胁。数据被存储在链下，而公链作为裁决最终判断谁可以访问该数据。因为智能合约意味着不再需要信任中心化服务提供商，数据权限可以由用户通过区块链和可信硬件来专门管理，最终将数据的控制权和隐私权返还给用户。

其中一个尝试是帝国理工学院和康奈尔大学的联合项目Teechain，它用可信硬件来实现公链的安全和高效的链下交易。另一个项目，是由iExec和Intel在企业以太坊联盟（EEA）内发起的合作。

你最喜欢的区块链项目有没有采取必要的措施来应对这次隐私法大地震呢？如果没有，也许是时候以“隐私设计”为核心来实施产品了。

一直以来，约束反而会孕育创造力。