數字化浪潮席捲全球,越來越多的企業在利用技術來徹底改變企業的業績或觸角。數據作為數字化轉型的根基,對企業來說至關重要。據調查發現,在全球數據洩露事件中,違規事件發生率較高的行業:零售業佔16.7%; 金融與保險業佔13.1%; 醫療機構佔11.9%。(Trustwave 2018年全球安全報告)。而這幾個行業正是數字化轉型的先驅。發展與風險並存,在數字化過程中對數據的保護成為了企業的頭等大事。
2017年6月1日施行的《中華人民共和國網絡安全法》,強調了對基礎設施及個人信息的保護。2018年5月1日實施的《信息安全技術個人信息安全規範》,從國家標準層面,明確了企業收集、使用、分享個人信息的合規要求,為企業制定隱私政策及個人信息管理規範指明瞭方向。而在2018年5月25日正式生效的歐盟《通用數據保護條例》GDPR,被稱為歐盟“史上最嚴”條例,業已產生了巨大的影響:
Google、Facebook,在GDPR生效日分別收到了歐盟39億歐元、37億歐元罰款的訴訟。蘋果、亞馬遜、LinkedIn等公司也面臨隱私監管機構提起的訴訟。
GDPR生效後,芝加哥時報、洛杉磯時報等多家美國媒體網站在歐洲的服務器關停。
微信海外版、新浪微博國際版等多家互聯網企業向歐洲區用戶更新隱私政策,請求重新授權。QQ停止部分國際版服務,並將推出新版本,提示用戶升級。國航、東航均對其APP及官方網站隱私條款進行了更新。
海爾、華為早已僱請專門團隊應對新規。
1.適用性
GDPR不僅適用於位於歐盟內的組織,而且適用於歐盟之外的向歐盟數據主體提供商品或服務或監控其行為的組織。即,只要某組織有處理和存儲居住在歐盟境內的數據主體的個人數據的行為,無論公司位於世界上哪個地方,都會受到GDPR的管轄。
2.數據相關方
數據主體(data subject):享有數據權利的主體,個人數據所指向之自然人為數據主體
控制者(controller):義務主體,指單獨或者與他人一起,決定個人數據處理之目的和方式的自然人、法人或者其他組
數據處理者(processor):義務主體,代表控制者,處理個人數據的自然人、法人或者其他組織
第三方(Third party):指未對“個人數據”有任何授權的其他方
3.個人數據定義
“任何指向一個已識別或可識別的自然人的信息”,例如:基本的身份信息:姓名、地址和身份證號碼…
網絡數據:位置、IP地址、Cookie數據和RFID標籤…
醫療保健和遺傳數據;生物識別數據,如指紋、虹膜等;種族或民族數據;政治觀點;性取向。
4.數據處理定義
“指對個人數據或個人數據集合上執行的任何操作”
5.數據處理原則
確保數據在整個數據生命週期的安全
數據收集:收集目的明確、合法,數據主體同意授權
數據處理:處理過程合法、透明,具備保障
存儲:安全、保密,存儲期受嚴格限制
6.數據主體權利
●許可權 ●訪問權 ●糾正權 ●限制管理權
●反對權 ●可攜權 ●被遺忘權 ●告知權
可以看出,GDPR保護的“個人數據”,包括任何與可參考某標識直接或間接被識別的可識別人的有關信息。除此之外,GDPR對數據主體權利的保護也十分嚴格,不僅規定了數據主體享有“數據被遺忘權”和“數據可攜帶權”等權利,還規定違反GDPR的責任主體最高可能會面臨其全球年總營業額4%的高額罰款。
區塊鏈的分佈式數據存儲方式使保存的數據無法得到有效的刪除,看似與個人數據的被遺忘權產生了不可調和的衝突與矛盾。雖然GDPR第17(2)條規定:在數據主體要求對其個人數據進行刪除的時候,數據控制主體應當考慮對數據進行刪除的技術以及施行的成本,採取合理的步驟(包括技術手段),通知數據主體,但是分佈式存儲不可篡改的技術特性是否可以成為不遵守GDPR的理由,仍然是尚未有定論的問題。
除此之外,GDPR與區塊鏈還在數據保護責任主體上存在衝突。
在私有鏈上一般能夠辨別誰是個人數據保護的責任主體,但完全去中心化的公有鏈,將鏈上節點作為個人數據保護之責任主體,就並不合理。GDPR由於其出臺背景之限制,規定在技術的發展面前體現了一定的滯後性。對分佈式數據存儲這種存儲方式缺乏考慮,未將其納入GDPR的法律框架之內以明確對其的監管,在實踐中難免會出現諸如此類的法律適用性問題。
但是,刪除區塊鏈上的數據是不可能的,是否意味著區塊鏈與GDPR難以兼容呢?
我們認為可以從以下角度進行分析:
1.從目的來看,刪除數據的效果是通過刪除、銷燬等行為使數據控制者無法對該數據進行收集、記錄、組織、存儲、修改、使用、披露或傳播等處理行為,最終達到不能直接或間接識別該權利主體的目的。也就是說,如果利用某種技術可以在特定情況下使所記錄的數據不能識別權利主體,不構成個人數據,就可以實現刪除數據的同等效果。
就現在的區塊鏈技術而言,零知識證明搭配智能合約有望實現數據的匿名性,也有觀點提出可以在技術上通過分層架構或者數據脫鏈來應對個人數據的修改、刪除問題。
2.從權利的相對方來看,需要明確數據控制者的判定。控制者決定個人數據的處理目的及方式,誰是區塊鏈中個人數據的控制者,也是數據權利主體行使被遺忘權時要考慮的重要因素。在區塊鏈分佈式系統下,區塊鏈企業可以是控制者,礦工可以是控制者,甚至消費者也可以是控制者。在控制者多變的情況下,區塊鏈技術可以起到很好的輔助作用,幫助保護數據。
由此可見,區塊鏈與GDPR並不對立,從目的上看,雙方都在為實現社會信任與數據保護而努力。區塊鏈技術可以通過加密秘鑰幫助實現細分數據的訪問授權,也可以為個人數據的共享和遷移提供基礎。GDPR針對的數據,而區塊鏈針對技術。因此,即便是分佈式的區塊鏈應用場景,只要涉及到數據信息的內容,就可能被納入GDPR的適應範圍。另一方面,由於區塊鏈應用場景的廣泛性特徵,相對於GDPR的單一保護性而言,二這在具體的數據應用場景中所體現的適用性還需要具體的案例予以實踐和探索。
閱讀更多 智聞鏈訊 的文章
