就在今年,我们见证了数据隐私领域两股强大新力量的融合(也许他们之间还是有冲突的):欧盟通用数据保护条例(GDPR)和基于区块链的隐私解决方案的出现。随着区块链技术公司继续开发新的解决方案,以下是这些公司应该记住的关于GDPR的五个关键要点。
个人数据
GDPR适用于“个人数据”,它被定义为“与已识别或可识别的自然人(‘数据主体’)有关的任何资料”。“数据主体”是指“自然人……可以通过参考识别……特定于该自然人的……文化或社会身份的标识。”此外,个人数据明确包括了“在线标识符”,其包括IP地址。
要点1:基本上几乎任何能帮助了解某人的数据都可能被视为个人数据。
在GDPR的要求下,个人数据甚至包括经过“假名化”处理的数据,这意味着该数据已经被处理以至于“如果不使用其他信息,它就不能再归属于特定的数据主体”。加密技术被认为是一种非常有效的假名化手段,而区块链上与链外个人数据相关联的“公钥”也可能被视为“假名化”。尽管GDPR更喜欢对数据进行加密以实现假名化,但单独使用加密并不会从个人数据的定义中删除底层数据,因此也无法避免GDPR的要求。
要点2:如果存储在链下的个人数据可以很容易地与区块链解决方案中使用的公钥连接,那么公钥很可能被视为已达到假名化状态的数据,但仍被视为GDPR的个人数据主体。
在个人数据被假名化并且将数据归类为自然人所需的附加信息是“不可用”的情况下,GDPR表明数据可被认为是“匿名信息”或“匿名的”。由于GDPR仅规定了个人数据,任何被认为是匿名的东西都免除在GDPR之外,它是“不涉及处理这种类型的匿名信息……”。
这一规定提出了使区块链解决方案符合GDPR的一条路径:如果区块链架构的设计使得公钥符合匿名信息的定义——确保任何非链式个人数据安全加密,并且解密不可用于允许与公钥重新关联——公钥处理可以就免除GDPR的要求,包括删除权。
要点3:对于任何使用区块链技术和处理个人数据的公司来说,保留在GDPR下被视为匿名的公钥能力无疑是最关键的问题。
控制者(controller)与处理者(processor)
受GDPR影响的实体有不同的义务,这取决于它们是个人数据的“控制者”还是“处理者”。一般来说,控制者“决定处理个人数据的目的和手段”,而处理者则“代表控制者处理个人数据”。
实体作为控制者还是处理者的决定是特定于活动的,而不是特定于实体的。这意味着在不同的情况下,同一实体可以被视为控制者、处理者或控制者和处理者。作为决定处理方法和目的的实体,控制者在GDPR下的义务要比处理者多得多。最重要的是,控制者有责任执行个人要求删除、修改或转移其个人资料的请求。
要点4:使用区块链技术的公司应该设计他们自己的系统,这样他们就可以避免确定数据是如何处理和为什么处理的,从而避免起被认为是数据控制者。
数据主体的权利和数据处理的合法依据
GDPR赋予数据主体与数据控制者相关的各种权利。其中最主要的是数据可移植性的权利(即你带走数据的权利),纠正(即有权修改不正确的资料的权力)和删除的权利。一般来说,这些权利可以在数据主体的要求下行使,尽管在某些情况下某些权利也有例外,例如根据法律义务处理或保留数据时。
根据数据处理的合法依据,数据控制者促进数据主体权利的义务是不同的。根据处理目的,处理欧盟个人资料必须得到六个法律基础之一所提供的支持。这些基础是:
同意:数据同意,但须符合一个或多个特定目的。
合约:履行合约所必需的。
法律义务:数据控制者所服从的法律义务的遵守所必需的。
公共利益:对履行公共利益的任务所必需的。
切身利益:对数据主体的切身利益的保护是必要的。
合法的利益:除非被资料当事人的基本权利和自由所覆盖,否则为管理人或第三方的合法权益所必需。
由于同意可随时撤回,这就要求删除在该基础上所收集的任何个人资料,因此,处理个人资料并不是一个明智或可靠的依据,因为这些数据将被输入到区块链中。同样,虽然可以根据履行合约来收集和处理个人资料,但如果该合约终止或到期的话,那么久必须删除处理这些资料的合法依据。另一方面,为遵守法律义务而收集的数据可能不受删除权的约束。
要点5:理解处理数据的可适用的合法基础或基础——特别是在此基础上对数据主体权利的任何可适用限制或例外——并相应地设计您的系统,对于构建与GDPR兼容的区块链解决方案至关重要。
避免碰撞
最终,这两股力量是否会发生冲突还有待确定。避免冲突将需要欧盟监管机构做出一些有利的解释,以确保GDPR不会剥夺欧盟和欧盟数据主体享受区块链技术带来的好处。
欧盟官员的一项决定是,在适当设计的区块链解决方案中使用的公钥本身并不构成个人数据,这将有助于协调区块链技术与GDPR之间的关系。
即使做出了这样的决定,区块链解决方案的用户也应该监控技术发展(尤其是数据存储或加密)是否会影响或改变这种决定。在这个关键时刻,区块链公司必须理解GDPR的框架,并采取积极的立场、开发技术和法律立场,并仔细考虑GDPR的需求。
随着这两股强大的力量继续出现并发挥作用,欧盟监管机构和区块链技术专家都应该牢记,基于GDPR和区块链的解决方案有许多基本目标,比如个人有权控制自己的数据以及数据共享的最小化。为了演示区块链和GDPR的兼容性,这些原则应该在区块链解决方案架构中最大限度地发挥作用。
最后的要点:通过正确的技术架构和法律分析,企业可以利用区块链的优点,同时确保存储在区块链上的数据符合GDPR要求。
网友评论