Gartner研究總監Garth Landers
(記者 王維)安全與風險管理者須考慮GDPR是否適用於企業區塊鏈與個人數據 企業在實施區塊鏈的技術之前,一定要確定他們的信息是否會受到歐盟通用數據保護規則(GDPR)的管理。同時他們還需要了解的是,區塊鏈是否在本質上違背了GDPR。例如,區塊鏈的一個核心原則是不可更改,一旦數據被記錄之後,將不能再被篡改。而GDPR規定,用戶可以刪除個人數據。
粗看之下,區塊鏈與GDPR之間存在著矛盾。但事實上,企業必須要謹慎地判斷。區塊鏈不應該被直接否認。
儘管區塊鏈和GDPR各自的特點很快引起了公眾對它們之間兼容性的擔憂,它們的結合仍然使得新興的管理手段和技術趨勢得以強強聯合。安全與風險管理者必須要採取保護措施,確保區塊鏈的設計與GDPR相匹配。
判斷GDPR是否適用
總體而言,GDPR將適用於任何企業包含有個人數據的區塊鏈。由於該規定適用範圍的問題,一些企業可能尚不確定他們的區塊鏈是否會受到GDPR的管理。當企業評估自己的區塊鏈是否會受到GDPR的管理時,需要考慮以下三個問題:
1. 是否有向歐盟提供貨品或服務
2. 是否有分析或者監控歐盟居民的行為(包括網絡行為)
3. 是否有代表歐盟的公司處理歐盟居民的個人數據
如果有涉及到上述問題中提到的任一行為,企業都應該進一步確定他們的技術是否符合GDPR的規定。需要注意的是,如果他們的工作涉及到歐盟居民的數據,那麼即便他們在歐盟之外,也是要受到GDPR的管理的。由於區塊鏈與GDPR的不兼容性將會帶來高達兩千萬歐元或是百分之四的年度營業額損失,所有企業都希望建立一個判斷GDPR是否適用的體系。
區塊鏈的不可更改性與對個人數據的權利
GDPR中規定了用戶對數據主體的權利。用戶有權利得知他們的數據如何被處理,有權利更改數據、移植數據以及刪除數據。這一刪除數據或者“讓數據被遺忘”的權利,使得數據在刪除或移除之後就不會被再次處理。公司必須擁有關於刪除信息的協議,這一點初看上去並不容易,因為它違背了區塊鏈中數據的不可篡改性。不過,GDPR還引入了“假名化”的概念,這使得公司可以用一個匿名的標籤來代替名字。另外,他們也可以建立一個僅僅存儲對個人數據的引用,而不直接存儲個人數據的區塊鏈。哈希(hash)和代幣(token),都可以被用作對數據的引用。
擁有區塊鏈並使之與GDPR相互兼容是可以做到的。然而這需要安全與風險專家與區塊鏈架構師共同努力,確保存儲的數據不違背隱私法。這可以通過用不同的方式存儲數據、甚至是在得到許可的情況下建立區塊鏈來實現。
關於Gartner
Gartner, Inc.(紐約證券交易所:IT)是全球領先的信息技術研究和顧問公司,也是標準普爾500指數包含的上市公司之一。Gartner為企業領導者提供必不可少的見解、建議和工具,以幫助他們達成其優先處理的關鍵事項及建設在未來能夠取得成功的企業機構。
Gartner完美結合了專家主導、來源於從業者的資源和數據驅動的研究,使客戶能夠在最重要的問題上做出正確的決策。Gartner的客戶遍及100多個國家的12,000個企業機構,覆蓋各行各業、各種企業規模的主要職能部門。這些客戶都深信Gartner是客觀的資源提供者和重要合作伙伴。
閱讀更多 記者王維 的文章
