《通用數(shù)據(jù)保護(hù)條例》GDPR是為收集和處理歐盟公民的個(gè)人資料訂立規(guī)則的條例。2016年4月4日，歐洲議會(huì)通過并于2018年5月25日生效。

GDPR只適用于處理“個(gè)人資料”，即“與已識(shí)別或可識(shí)別的自然人（“資料當(dāng)事人”）有關(guān)的任何資料”，可識(shí)別的自然的人可以通過直接或間接的方式確定的，特別是通過引用自然人的標(biāo)識(shí)符，比如名字，身份證號(hào)碼，位置數(shù)據(jù)，在線標(biāo)識(shí)符或特定的一個(gè)或多個(gè)因素的物理、生理、遺傳、心理、經(jīng)濟(jì)、文化和社會(huì)身份。

該法規(guī)的目的是擴(kuò)大與收集和使用其數(shù)據(jù)相關(guān)的個(gè)人權(quán)利，包括向數(shù)據(jù)收集者詢問其擁有信息以及信息作用的權(quán)利。收集個(gè)人信息取決于個(gè)人的可撤銷同意。最值得注意的是，個(gè)人有權(quán)要求更正，提出投訴，反對(duì)處理，或要求刪除他們的個(gè)人數(shù)據(jù)，稱為“被遺忘的權(quán)利”。

區(qū)塊鏈的新面孔

2012年，當(dāng)歐盟委員會(huì)首次提交GDPR時(shí)，區(qū)塊鏈技術(shù)還沒有像現(xiàn)在這么受歡迎，顯然，它們當(dāng)時(shí)不是監(jiān)管的重點(diǎn)。與比特幣一樣，公開的區(qū)塊鏈也是一個(gè)數(shù)據(jù)庫，可以同時(shí)在多臺(tái)計(jì)算機(jī)上復(fù)制。這個(gè)數(shù)據(jù)庫不是由中央管理機(jī)構(gòu)管理的，相反，網(wǎng)絡(luò)中的每個(gè)人都可以獲得相同的整個(gè)數(shù)據(jù)庫的副本，并可以對(duì)其進(jìn)行添加。要進(jìn)入數(shù)據(jù)庫，任何新增加的內(nèi)容都必須得到網(wǎng)絡(luò)上其他參與者的確認(rèn)，從而就分類賬的當(dāng)前狀態(tài)達(dá)成共識(shí)。這樣一個(gè)區(qū)塊鏈上的事務(wù)是永久的（不可變的）公共記錄，公開至整個(gè)網(wǎng)絡(luò)。

基于區(qū)塊鏈的系統(tǒng)有潛力比傳統(tǒng)的數(shù)據(jù)存儲(chǔ)系統(tǒng)更好地保護(hù)個(gè)人數(shù)據(jù)，而傳統(tǒng)的數(shù)據(jù)存儲(chǔ)系統(tǒng)被認(rèn)為是符合GDPR的（將個(gè)人數(shù)據(jù)保存在紙質(zhì)文檔的塑料文件中，“安全地”鎖在抽屜里??？這真的很令人費(fèi)解。）與集中控制的數(shù)據(jù)模型相比，區(qū)塊鏈的一些技術(shù)特性，如個(gè)人信息的匿名化和網(wǎng)絡(luò)的去中心化模型，能夠更好地抵御攻擊，使數(shù)據(jù)更不易被濫用。

我本人更愿意依賴區(qū)塊鏈網(wǎng)絡(luò)來保存我的數(shù)據(jù)，而不是把控制權(quán)交給人類的那些“企業(yè)高管”。然而，如果嚴(yán)格遵守條例上的逐字逐句，這些開放的公共區(qū)塊鏈就會(huì)出現(xiàn)與GDPR要求相關(guān)的一系列問題：

1.比特幣協(xié)議和公共區(qū)塊鏈通常包含的信息并不是真正匿名的。相反，它是假名的，因此被視為個(gè)人數(shù)據(jù)，追蹤比特幣地址到一個(gè)可識(shí)別的自然人并非不可能。

2.GDPR的邏輯和術(shù)語，以“數(shù)據(jù)主體”、“數(shù)據(jù)控制器”和“數(shù)據(jù)處理器”為概念，似乎難以應(yīng)用于區(qū)塊鏈。目前還不清楚哪一種概念會(huì)歸屬于區(qū)塊鏈，根據(jù)GDPR，這些概念要實(shí)現(xiàn)什么功能。

3.但就GDPR而言，公共區(qū)塊鏈最大的問題在于要求數(shù)據(jù)對(duì)象具有“被遺忘權(quán)”，即任何個(gè)人都有權(quán)要求將其個(gè)人數(shù)據(jù)從記錄中刪除。刪除或修改區(qū)塊鏈上的數(shù)據(jù)幾乎是不可能的，因?yàn)閿?shù)據(jù)已經(jīng)廣播給所有網(wǎng)絡(luò)參與者。此外，刪除一條記錄將更改包含數(shù)據(jù)的各個(gè)塊的哈希值，并使所有后續(xù)塊無效。

等等，也許有辦法…

就在最近，在日內(nèi)瓦大學(xué)和WSIS（信息社會(huì)世界峰會(huì)論壇）于4月8日舉行的兩個(gè)關(guān)于區(qū)塊鏈和GDPR的研討會(huì)上，區(qū)塊鏈和數(shù)據(jù)保護(hù)顧問兼講師Jorn Erbguth為公共區(qū)塊鏈制定了五種應(yīng)對(duì)GDPR的方法：

1.切勿將任何個(gè)人資料（完全）放在區(qū)塊鏈上。

2.使用加強(qiáng)隱私的技術(shù)，并確保個(gè)人資料不會(huì)從區(qū)塊鏈里傳出來。

3.獲得一個(gè)永久的理由。

4.讓用戶自己將數(shù)據(jù)放到公共區(qū)塊鏈上。

5.建立專門的區(qū)塊鏈。

INDUSTRIA董事Petko Karamotchev參加了上述兩項(xiàng)活動(dòng)，并向我們發(fā)送了日內(nèi)瓦大學(xué)區(qū)塊鏈和GDPR研討會(huì)以及Jorn Erbguth組織的WSIS會(huì)議的照片。

解決方法： 分布式賬本技術(shù)（DLT）

雖然它的這些原則不容易應(yīng)用于開放的公共區(qū)塊鏈，但分布式賬本技術(shù)（DLT）可能提供了一個(gè)解決方案。DLT與區(qū)塊鏈的主要特性相同——它是一個(gè)去中心化的數(shù)據(jù)庫，每個(gè)參與者復(fù)制并保存相同的信息副本。沒有一個(gè)中央機(jī)構(gòu)管理總賬。它更靈活，設(shè)計(jì)更適合符合GDPR的要求：

1、雖然任何人都可以加入公開的公共區(qū)塊鏈，但是DLT允許通過許可訪問網(wǎng)絡(luò)的解決方案。各方在這樣一個(gè)網(wǎng)絡(luò)上的作用和責(zé)任更容易界定，在數(shù)據(jù)保護(hù)方面也有更好的責(zé)任制。

2、可以設(shè)計(jì)一個(gè)DLT體系結(jié)構(gòu)，使事務(wù)數(shù)據(jù)不會(huì)廣播到整個(gè)網(wǎng)絡(luò)，相反，相關(guān)方只有在“需要知道”的基礎(chǔ)上才會(huì)收到它。與全局廣播模型相比，這種方法允許更少的數(shù)據(jù)增加。

3、DLT中的協(xié)商一致機(jī)制可以基于某些參與者的事務(wù)驗(yàn)證，而不是整個(gè)網(wǎng)絡(luò)。減少了數(shù)據(jù)傳播，提供了更安全的環(huán)境。避免了塊挖掘機(jī)制，避免了數(shù)據(jù)的刪除。

Corda和GDPR——天作之合？

Corda服務(wù)與GDPR共謀發(fā)展

分布式賬本技術(shù)（DLT）的一個(gè)應(yīng)用是R3的Corda，該技術(shù)特別靈活，并且能夠很好地滿足GDPR的要求。它是一個(gè)全球性的網(wǎng)絡(luò)，與公開的區(qū)塊鏈有一些顯著的不同：

1、允許進(jìn)入Corda網(wǎng)絡(luò)。

2、Corda流的交易信息是逐點(diǎn)的，共識(shí)是基于被稱為公證人的網(wǎng)絡(luò)參與者的交易驗(yàn)證，避免了在原始區(qū)塊鏈中使用的“工作量證明”或塊挖掘。

3、這是一個(gè)開源項(xiàng)目，任何人都可以建立一個(gè)商業(yè)網(wǎng)絡(luò)并應(yīng)用他們自己的設(shè)計(jì)，都可以自己負(fù)責(zé)去遵守GDPR。

為了方便平臺(tái)的應(yīng)用，Corda開發(fā)人員部署了Corda網(wǎng)絡(luò)——一個(gè)由網(wǎng)絡(luò)參與者操作的節(jié)點(diǎn)組成的公共網(wǎng)絡(luò)。它的目的是支持許多節(jié)點(diǎn)的子網(wǎng)，它們有自己的協(xié)調(diào)方和成員和使用規(guī)則。與Internet非常相似，Corda網(wǎng)絡(luò)為互連和高速事務(wù)流提供主干服務(wù)。

Corda網(wǎng)絡(luò)服務(wù)的設(shè)計(jì)符合資料私隱及GDPR的規(guī)定：

1、門衛(wèi)服務(wù)收集用戶和運(yùn)營商加入商業(yè)網(wǎng)絡(luò)的信息，包括聯(lián)系人姓名、電話號(hào)碼或電子郵件地址等個(gè)人數(shù)據(jù)。數(shù)據(jù)存儲(chǔ)在一個(gè)私有的、安全的數(shù)據(jù)庫中，而不是廣播到網(wǎng)絡(luò)。如果一方離開網(wǎng)絡(luò)，屬于該方的任何個(gè)人資料都將被刪除，但須遵守記錄的延遲規(guī)則，并且沒有任何商業(yè)理由存儲(chǔ)這些資料。Corda通過設(shè)置該程序，符合數(shù)據(jù)主體“被遺忘權(quán)”和數(shù)據(jù)刪除權(quán)的GDPR要求。

2、網(wǎng)絡(luò)地圖服務(wù)使參與者能夠通過網(wǎng)絡(luò)彼此查找和通信。作為本服務(wù)的一部分，網(wǎng)絡(luò)參與者之間不共享任何個(gè)人資料。

3、公證服務(wù)提供網(wǎng)絡(luò)共識(shí)，保證每筆交易的唯一性和終局性。目前，Corda Network Foundation只提供非驗(yàn)證性公證人，他們只查看事務(wù)的子集來確定事務(wù)的順序和惟一性。本服務(wù)不會(huì)處理或儲(chǔ)存任何個(gè)人資料。

Corda有一套處理數(shù)據(jù)泄露的程序

1、Corda Network FoundaTIon組織運(yùn)營商將在得知個(gè)人數(shù)據(jù)被泄露后72小時(shí)內(nèi)通知受影響方。

2、如果自然人的權(quán)利和自由受到威脅，將通知監(jiān)督當(dāng)局。

3、運(yùn)營商將立即通知Corda Network FoundaTIon Board組織 。

Corda在努力提供數(shù)據(jù)隱私和保護(hù)個(gè)人數(shù)據(jù)的同時(shí)，用戶也有責(zé)任保護(hù)自己。與區(qū)塊鏈解決方案提供商討論任何隱私問題，并為使解決方案符合GDPR做出貢獻(xiàn)，這是用戶的最佳利益所在。

INDUSTRIA -一個(gè)值得信賴的Corda開發(fā)商的GDPR兼容的解決方案

在索非亞的INDUSTRIA研發(fā)辦公室開始為期兩天的Corda培訓(xùn)和黑客馬拉松活動(dòng)。

作為R3的合作伙伴，INDUSTRIA充分利用了Corda體系結(jié)構(gòu)獨(dú)特的數(shù)據(jù)保護(hù)功能。我們的認(rèn)證Corda開發(fā)團(tuán)隊(duì)為企業(yè)、市場(chǎng)和生態(tài)系統(tǒng)創(chuàng)建符合GDPR的區(qū)塊鏈和DLT解決方案。我們的產(chǎn)品符合金融等行業(yè)的需求，始終注重?cái)?shù)據(jù)隱私和敏感數(shù)據(jù)的保護(hù)。