作者系 Gartner研究總監(jiān)Garth Landers

安全與風(fēng)險(xiǎn)管理者須考慮GDPR是否適用于企業(yè)區(qū)塊鏈與個(gè)人數(shù)據(jù)

企業(yè)在實(shí)施區(qū)塊鏈的技術(shù)之前，一定要確定他們的信息是否會(huì)受到歐盟通用數(shù)據(jù)保護(hù)規(guī)則（GDPR）的管理。同時(shí)他們還需要了解的是，區(qū)塊鏈?zhǔn)欠裨诒举|(zhì)上違背了GDPR。例如，區(qū)塊鏈的一個(gè)核心原則是不可更改，一旦數(shù)據(jù)被記錄之后，將不能再被篡改。而GDPR規(guī)定，用戶可以刪除個(gè)人數(shù)據(jù)。

粗看之下，區(qū)塊鏈與GDPR之間存在著矛盾。但事實(shí)上，企業(yè)必須要謹(jǐn)慎地判斷。區(qū)塊鏈不應(yīng)該被直接否認(rèn)。

盡管區(qū)塊鏈和GDPR各自的特點(diǎn)很快引起了公眾對(duì)它們之間兼容性的擔(dān)憂，它們的結(jié)合仍然使得新興的管理手段和技術(shù)趨勢得以強(qiáng)強(qiáng)聯(lián)合。安全與風(fēng)險(xiǎn)管理者必須要采取保護(hù)措施，確保區(qū)塊鏈的設(shè)計(jì)與GDPR相匹配。

判斷GDPR是否適用

總體而言，GDPR將適用于任何企業(yè)包含有個(gè)人數(shù)據(jù)的區(qū)塊鏈。由于該規(guī)定適用范圍的問題，一些企業(yè)可能尚不確定他們的區(qū)塊鏈?zhǔn)欠駮?huì)受到GDPR的管理。當(dāng)企業(yè)評(píng)估自己的區(qū)塊鏈?zhǔn)欠駮?huì)受到GDPR的管理時(shí)，需要考慮以下三個(gè)問題：

1. 是否有向歐盟提供貨品或服務(wù)
2. 是否有分析或者監(jiān)控歐盟居民的行為（包括網(wǎng)絡(luò)行為）
3. 是否有代表歐盟的公司處理歐盟居民的個(gè)人數(shù)據(jù)

如果有涉及到上述問題中提到的任一行為，企業(yè)都應(yīng)該進(jìn)一步確定他們的技術(shù)是否符合GDPR的規(guī)定。需要注意的是，如果他們的工作涉及到歐盟居民的數(shù)據(jù)，那么即便他們在歐盟之外，也是要受到GDPR的管理的。由于區(qū)塊鏈與GDPR的不兼容性將會(huì)帶來高達(dá)兩千萬歐元或是百分之四的年度營業(yè)額損失，所有企業(yè)都希望建立一個(gè)判斷GDPR是否適用的體系。

區(qū)塊鏈的不可更改性與對(duì)個(gè)人數(shù)據(jù)的權(quán)利

GDPR中規(guī)定了用戶對(duì)數(shù)據(jù)主體的權(quán)利。用戶有權(quán)利得知他們的數(shù)據(jù)如何被處理，有權(quán)利更改數(shù)據(jù)、移植數(shù)據(jù)以及刪除數(shù)據(jù)。這一刪除數(shù)據(jù)或者“讓數(shù)據(jù)被遺忘”的權(quán)利，使得數(shù)據(jù)在刪除或移除之后就不會(huì)被再次處理。公司必須擁有關(guān)于刪除信息的協(xié)議，這一點(diǎn)初看上去并不容易，因?yàn)樗`背了區(qū)塊鏈中數(shù)據(jù)的不可篡改性。不過，GDPR還引入了“假名化”的概念，這使得公司可以用一個(gè)匿名的標(biāo)簽來代替名字。另外，他們也可以建立一個(gè)僅僅存儲(chǔ)對(duì)個(gè)人數(shù)據(jù)的引用，而不直接存儲(chǔ)個(gè)人數(shù)據(jù)的區(qū)塊鏈。哈希（hash）和代幣（token），都可以被用作對(duì)數(shù)據(jù)的引用。

擁有區(qū)塊鏈并使之與GDPR相互兼容是可以做到的。然而這需要安全與風(fēng)險(xiǎn)專家與區(qū)塊鏈架構(gòu)師共同努力，確保存儲(chǔ)的數(shù)據(jù)不違背隱私法。這可以通過用不同的方式存儲(chǔ)數(shù)據(jù)、甚至是在得到許可的情況下建立區(qū)塊鏈來實(shí)現(xiàn)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。