TMT观察网_独特视角观察TMT行业

歐洲時(shí)間2018年5月25日，歐洲聯(lián)盟出臺了《通用數(shù)據(jù)保護(hù)條例》（以下簡稱“GDPR”）。該法案被公認(rèn)為目前全球?qū)τ脩魝€(gè)人數(shù)據(jù)保護(hù)最嚴(yán)格的法律，其適用范圍涵蓋所有與歐盟個(gè)人數(shù)據(jù)收集和處理相關(guān)的商業(yè)主體，違規(guī)企業(yè)將最高被處以上一年度全球營業(yè)額的4%或2000萬歐元作為罰款。Facebook和谷歌等美國企業(yè)或成為GDPR法案下第一批被告。

據(jù)了解，GDPR的監(jiān)管范式是針對互聯(lián)網(wǎng)企業(yè)中心化服務(wù)的數(shù)據(jù)體系進(jìn)行的，核心點(diǎn)在于加大數(shù)據(jù)控制者和處理者的法律責(zé)任。這與區(qū)塊鏈在數(shù)據(jù)處理上的去中心化模式是完全不同的，其實(shí)施和推行將給區(qū)塊鏈行業(yè)帶來何種影響也一直是業(yè)內(nèi)熱議的話題。

控制個(gè)人數(shù)據(jù)濫用，誰是更好的答案？

如今在全球范圍內(nèi)，個(gè)人數(shù)據(jù)泄露與濫用的情況普遍存在。其對民眾基本權(quán)利造成的侵害，已經(jīng)引起了社會公眾和法律界的警惕。GDPR正是在現(xiàn)有的法律體系內(nèi)，對相關(guān)民事、商事權(quán)利義務(wù)和政府監(jiān)管義務(wù)作出了一整套的規(guī)范，試圖構(gòu)建一個(gè)新的法律框架，使個(gè)人數(shù)據(jù)的保護(hù)與商業(yè)使用等行為之間達(dá)到一個(gè)平衡的狀態(tài)。

與GDPR的思路不同，區(qū)塊鏈技術(shù)則試圖從另一個(gè)角度給出答案。對于公有鏈網(wǎng)絡(luò)，用戶通過相關(guān)隱私措施，可以做到匿名使用相關(guān)服務(wù)。對于聯(lián)盟鏈，個(gè)人數(shù)據(jù)的使用和存儲都可以是加密的，除了共識節(jié)點(diǎn)、交易相對方和經(jīng)授權(quán)的第三方以外，其他參與方都無法取得個(gè)人數(shù)據(jù)。一些最新的開放許可鏈和公有鏈甚至希望通過密碼學(xué)技術(shù)、次級網(wǎng)絡(luò)或是兩者的組合，實(shí)現(xiàn)交易的數(shù)據(jù)和執(zhí)行過程對包括共識節(jié)點(diǎn)在內(nèi)的所有無關(guān)方的隱私保護(hù)，將個(gè)人數(shù)據(jù)的控制權(quán)完全交還到個(gè)人手中。通過基于可信硬件或是密碼學(xué)的加密計(jì)算，保證商業(yè)主體和行政主體在提供相應(yīng)服務(wù)的同時(shí)，也無法收集和留存?zhèn)€人數(shù)據(jù)。

以上兩個(gè)思路都旨在解決個(gè)人數(shù)據(jù)濫用的問題。GDPR的優(yōu)勢在于依托成熟的法律框架，威懾可信，效果立竿見影；但同時(shí)由于執(zhí)行成本高、過于依賴中心化互聯(lián)網(wǎng)企業(yè)的配合，在切實(shí)提高企業(yè)經(jīng)營成本的情況下難以得到有效執(zhí)行，也難以制止互聯(lián)網(wǎng)巨擘通過并購的方式擴(kuò)展個(gè)人數(shù)據(jù)的授權(quán)使用。區(qū)塊鏈技術(shù)的優(yōu)勢在于釜底抽薪，從根本上解決個(gè)人用戶行使個(gè)人數(shù)據(jù)的選擇權(quán)問題，在避免過度監(jiān)管的同時(shí)，也能使用戶個(gè)體從自己產(chǎn)生的數(shù)據(jù)中獲益，為個(gè)人數(shù)據(jù)的商業(yè)使用打下堅(jiān)實(shí)的基礎(chǔ)；但受限于技術(shù)處于早期，應(yīng)用的成熟與穩(wěn)定性不高：沒有大規(guī)模商業(yè)應(yīng)用的實(shí)踐和測試，需要大量的消費(fèi)者教育工作，遠(yuǎn)水難解近渴。

七大基本原則，GDPR與區(qū)塊鏈相愛相殺？

目前，GDPR為個(gè)人數(shù)據(jù)保護(hù)設(shè)立了七項(xiàng)基本原則：

可問責(zé)性原則

據(jù)完整性和保密性原則

準(zhǔn)確性原則

限期儲存原則

目的限制原則

數(shù)據(jù)最小化原則

合法性、合理性與透明性原則

這里面有些原則的落實(shí)正是區(qū)塊鏈技術(shù)的強(qiáng)項(xiàng)，另有一些則看似與區(qū)塊鏈技術(shù)存在沖突。是否真的如此？我們逐條來分析：

（一）可信的解決方案

GDPR的可問責(zé)性原則要求：對于GDPR原則的遵守，數(shù)據(jù)控制者有責(zé)任提供證明。而區(qū)塊鏈技術(shù)的一大優(yōu)勢就在于鏈上數(shù)據(jù)的存證和可溯源服務(wù)。對于可問責(zé)性的監(jiān)管要求，數(shù)據(jù)控制者可以在把所有操作上鏈的同時(shí)，在監(jiān)管部門和認(rèn)證機(jī)構(gòu)設(shè)立同步全部賬本的節(jié)點(diǎn)，這樣就可以起到自證清白的作用。

GDPR的數(shù)據(jù)完整性和保密性原則要求：處理過程中應(yīng)確保個(gè)人數(shù)據(jù)的安全，避免數(shù)據(jù)未經(jīng)授權(quán)即被處理或遭到非法處理，避免數(shù)據(jù)發(fā)生意外毀損或滅失。倘若數(shù)據(jù)控制者對所有個(gè)人數(shù)據(jù)進(jìn)行區(qū)塊鏈管理的分布式存儲，則可以用較傳統(tǒng)手段低很多的成本避免數(shù)據(jù)發(fā)生意外毀損。同時(shí)，將數(shù)據(jù)操作的授權(quán)通過區(qū)塊鏈驗(yàn)證并將操作過程上鏈存證，也可以大大增加安全性，避免數(shù)據(jù)未經(jīng)授權(quán)操作即被非法處理。

（二）并不相悖的要求

GDPR的準(zhǔn)確性原則要求：個(gè)人數(shù)據(jù)應(yīng)當(dāng)是準(zhǔn)確的，如有必要必須及時(shí)更新；必須采取合理措施確保不準(zhǔn)確的個(gè)人數(shù)據(jù)及時(shí)得到擦除或更正。看似與區(qū)塊鏈的不可更改性相沖突，但區(qū)塊鏈賬本上的數(shù)據(jù)可以通過后續(xù)區(qū)塊做標(biāo)記的方法進(jìn)行更改，只是這種更改不會刪除掉更改前的數(shù)據(jù)，而是將更改前的數(shù)據(jù)、更改過程的操作和更改后的數(shù)據(jù)同時(shí)保留了下來。這樣一來，只要保證公開范圍內(nèi)的訪問者只能訪問更改后的數(shù)據(jù)就完全可以達(dá)到數(shù)據(jù)準(zhǔn)確性的要求。同時(shí)對于為了公共利益需要訪問更改前數(shù)據(jù)的政府、司法部門，也能滿足其例外要求。

GDPR的限期儲存原則要求：對于能夠識別數(shù)據(jù)主體的個(gè)人數(shù)據(jù)，其儲存時(shí)間不得超過實(shí)現(xiàn)其處理目的所必需的時(shí)間。而這看似又與區(qū)塊鏈賬本上數(shù)據(jù)的永久保存性存在沖突，其實(shí)可以按照以下方式處理：對于聯(lián)盟鏈，鏈上主體都是商業(yè)主體，鏈上數(shù)據(jù)都是有隱私方案保護(hù)的，同時(shí)鏈上數(shù)據(jù)的保存都有作為商事證據(jù)保留的性質(zhì)，這一點(diǎn)已經(jīng)構(gòu)成了個(gè)人數(shù)據(jù)權(quán)利行使的限制。對于公有鏈，用戶完全可以選擇匿名化鏈上數(shù)據(jù)。對于開放許可鏈，可以通過基礎(chǔ)鏈數(shù)據(jù)匿名化、側(cè)鏈數(shù)據(jù)聯(lián)盟鏈化處理來解決這一問題。

（三）堅(jiān)實(shí)的基礎(chǔ)與保障

GDPR的目的限制原則：個(gè)人數(shù)據(jù)的收集應(yīng)當(dāng)具有具體的、清晰的和正當(dāng)?shù)哪康模瑢€(gè)人數(shù)據(jù)的處理不應(yīng)當(dāng)違反初始目的。

GDPR的數(shù)據(jù)最小化原則：個(gè)人數(shù)據(jù)的處理應(yīng)當(dāng)是為了實(shí)現(xiàn)數(shù)據(jù)處理目的而適當(dāng)?shù)摹⑾嚓P(guān)的和必要的。

GDPR的合法性、合理性與透明性原則：對涉及到數(shù)據(jù)主體的個(gè)人數(shù)據(jù)，應(yīng)當(dāng)以合法的、合理的和透明的方式來進(jìn)行處理。

首先，開源的區(qū)塊鏈技術(shù)代碼清晰地展現(xiàn)了操作者對個(gè)人數(shù)據(jù)的收集和處理是否違反了GDPR的原則和規(guī)定，為真正實(shí)施以上三大原則提供了堅(jiān)實(shí)的基礎(chǔ)。

其次，區(qū)塊鏈項(xiàng)目特有的分叉功能真切地實(shí)現(xiàn)了數(shù)據(jù)的可攜權(quán)，也真正防止了壟斷。在GDPR監(jiān)管的語境下，使技術(shù)開發(fā)者獲得商業(yè)利益的同時(shí)，也促進(jìn)了良性競爭與新技術(shù)的應(yīng)用。

最后，區(qū)塊鏈項(xiàng)目特有的代幣投票公共治理制度將行為人的利益與項(xiàng)目結(jié)果相捆綁，是實(shí)現(xiàn)上述三大原則的保障。

綜上所述，GDPR和區(qū)塊鏈技術(shù)本質(zhì)上并不敵對，它們都是為了改變嚴(yán)峻的互聯(lián)網(wǎng)企業(yè)濫用用戶個(gè)人數(shù)據(jù)和形成行業(yè)巨頭壟斷的局面應(yīng)運(yùn)而生的。在保護(hù)個(gè)人數(shù)據(jù)方面，兩者各有利弊，相輔相成。對于GDPR的七項(xiàng)基本原則，區(qū)塊鏈技術(shù)提供了堅(jiān)實(shí)的支持與保障。而GDPR的普及和推廣也將是相關(guān)公司的試金石，在良莠不齊的區(qū)塊鏈技術(shù)公司里去偽存真，營造健康監(jiān)管生態(tài)，為真正優(yōu)秀的企業(yè)保駕護(hù)航。