嚴厲而徹底的歐盟個人數據隱私法律框架——通用數據保護條例（GDPR），已于5月25日悄然生效。自從2016年首次頒布，經過兩年的過渡期，這些條例現在正式生效了。不管你有沒有準備好，這個法律框架將徹底改變整個數字經濟領域。但對于區塊鏈行業來說，這又意味著什么呢？

　　GDPR的目標是：在歐洲范圍內建立統一的數據管理框架，并加強公民對其個人數據的存儲和使用權。

　　新的權利和責任

　　GDPR給身為”數據處理方“的企業和公共部門引入了新的程序上和組織上的責任義務，并賦予了身為“數據主體”的個人以更多的權利。

　　無論是公共還是私人機構，在不受管束的時候，它們都傾向于在不知道如何處置個人數據的時候，就開始大規模積累用戶數據，類似某種個人數據的“淘金”行為。然而，GDPR打破了這個習慣，指定數據處理方不得收集其與消費者直接交互過程中的非必要數據。執行中，數據的收集行為應該是“合理的，與目的相關的，最低限度的”（GDPR的第39條）。

　　首先，GDPR設置什么是允許的和不允許的，規定了從現在開始，數據處理方必須采用的組織行為準則。舉個例子，公司的技術架構必須默認，在使用消費者數據后會將其刪除。

　　其次，任何被認定是“數據中樞”的實體都必須有一個負責執行GDPR的數據保護官員（DPO）。這位數據保護官將在數據主體出現隱私風險時向監管當局發出警報，并承擔相關法律責任（第33條）。

　　然后，數據主體也會更好的了解到他們的個人數據是如何被存儲和使用的（第15條）。例如，個人有權向公司索取其所持有的屬于他們隱私信息。此外，數據處理方必須在告知數據主體，數據獲取和共享的細節方式。

　　另一方面，除了透明度之外，GDPR還賦予了公民更大的控制個人數據的權力。第17條明確了公民有權要求公司把其個人數據從數據庫中刪除，即所謂的“刪除權”。

　　正如Sarah Gordon和Aliya Ram在《金融時報》上所言：“最終，GDPR的影響力取決于個人是否決定行使規則賦予他們的權力”。你什么時候拒絕過臉書網的隱私條款？

　　范圍不止歐盟，影響波及全球

　　GDPR會對違規的公司征收巨額罰款，而且，它的觸角遠遠超出了歐盟范圍。

　　對于公司來說，被數據保護官員盯上可能比被稅務稽查員盯上更可怕。故意的或重復的違反GDPR條例的公司將受到2千萬歐元的罰款，或公司全球營業額的4%。公司不僅要面臨數據保護官的警報，還要定期面臨數據保護審計。

　　雖然從表面上看，GDPR僅僅保護的是歐盟公民的數據權利，但在實際操作中，它的影響卻會波及全球。首先，位于歐盟之外的公司，如果涉及到處理歐盟居民個人信息，也必須遵守GDPR。此外，歐盟的創新之處在于，它現在將數據流與貿易流聯系起來：任何想與歐盟簽署貿易協定的國家都必須簽署協議，遵守GDPR。

　　在過去的十年中，美國成為了世界經濟的警察，對不遵守反洗錢規定的銀行處以巨額罰款。有了GDPR，歐盟會成為全世界數據保護領導者嗎？

　　區塊鏈可以逃脫GDPR嗎？

　　GDPR起初是由歐洲委員會在2012年提出的，最初關注的是云服務和社交網絡，當時區塊鏈還不是一個廣為人知的名詞。至少在前區塊鏈世界中，云服務和社交網絡主要集中在中心化組織中：許多數據主體有唯一的實體服務器——數據處理器/控制器。中心化組織很容易被監管，但是GDPR會如何影響分布式協議組織，例如公鏈呢？

　　大家很容易理解，考慮到假名和真實身份之間細微差別，區塊鏈存儲了很多潛在的個人數據，比如說個人交易歷史，這樣區塊鏈就落到了GDPR的管轄范圍。乍一看，人們可能會認為GDPR與公鏈之間存在著直接的矛盾。例如，在GDPR提出的許多原則中，“刪除權”似乎與區塊鏈技術的核心——不可篡改性的相沖突。假設這一矛盾暫時成立，這又引出了另一個問題：誰是一個純粹分布式的區塊鏈系統中的數據處理方？

　　總而言之，用“數據處理方”和“數據主體”的劃分來闡明GDPR和區塊鏈的邏輯似乎是困難的。毫無疑問，一場激烈的法律辯論就在眼前。

　　遵循GDPR的區塊鏈？

　　然而，區塊鏈與GDPR有許多共同目標。兩者都是分散數據控制權，緩和中心服務提供商和終端用戶之間的權力不平等。雖然原來的比特幣協議并不能保證匿名性，但許多技術革新，從基本的翻轉器到ZK-SNAGK技術，使我們越來越接近這個理想。然而，這種匿名性可能并不是監管機構所希望采取的——是否有更容易被監管者接受的區塊鏈解決方案？

　　一個特別有前途的研究方向是可信硬件和區塊鏈的結合。在公鏈上，所有的數據在整個網絡的所有機器上被復制和共享，這使得交易數據的刪除成為用戶夢魘。最近的研究已經開始探索“可信計算飛地”如何能提供安全和保密的數據存儲，如英特爾SGX。

　　將可信計算與公鏈相結合意味著數據的隱私可以被保護，免受外部威脅。數據被存儲在鏈下，而公鏈作為裁決最終判斷誰可以訪問該數據。因為智能合約意味著不再需要信任中心化服務提供商，數據權限可以由用戶通過區塊鏈和可信硬件來專門管理，最終將數據的控制權和隱私權返還給用戶。

　　其中一個嘗試是帝國理工學院和康奈爾大學的聯合項目Teechain，它用可信硬件來實現公鏈的安全和高效的鏈下交易。另一個項目，是由iExec和Intel在企業以太坊聯盟（EEA）內發起的合作。

　　你最喜歡的區塊鏈項目有沒有采取必要的措施來應對這次隱私法大地震呢？如果沒有，也許是時候以“隱私設計”為核心來實施產品了。

責任編輯：王超