区块链数据保护技术法/网络法

符合GDPR的区块链模型的可持续性

介绍

使用个人数据的技术变革和商业化的迅速速度正在破坏最终用户的信心和信任。紧张局势正在上升。有关滥用个人数据的担忧继续增长。另外,“他们”对我们的了解正在引起公众的不安。考虑到该欧盟(EU)认为有必要引入通用数据保护条例(GDPR)。该法规旨在通过赋予私人对其个人数据更多的控制权来加强欧盟的隐私和个人数据保护。此外,它为在欧盟地区有客户的企业引入了一套统一的法规,如果不遵守法规,将面临巨额罚款的风险。但是,立法者似乎没有考虑技术进步,尽管这些技术进步具有相似的数据保护目标,但其工作方式可能不符合法规的要求。 GDPR旨在统一欧盟成员国的数据保护法规,并被认为是技术中立的,涵盖了对个人数据的所有数字处理。但是,该法规基于在集中式系统中存储和处理数据的概念。当涉及分布式网络时,尤其是与分布式账本技术(DLT)(区块链的基础技术)有关,这会引起问题。

区块链与GDPR的交集

欧盟’s General Data 保护条例(GDPR)于2018年5月生效。 1995年数据保护指令。 GDPR’目标实质上是双重的。 一方面,它旨在促进个人数据的自由流动 between the EU’各个成员国。另一方面,它建立了一个 基于数据权的基本权利保护框架 基本权利宪章第8条中的保护。法律 框架创建了许多依赖于数据控制器的义务,这些义务 是确定数据处理方式和目的的实体。它也是 为数据主体分配一些权利,即自然人 个人数据相关–可以相对于数据控制者强制执行。的 GDPR不仅要求企业透明化 消费者数据,还要求建立明确的同意机制,以确保 消费者了解公司正在共享什么,与谁共享,以及共享什么 目的。 GDPR从而规范了收集,加工,转移和 保留每个欧盟公民的个人数据,要求公司提供 对个人的可见性和控制权,按需提供。不遵守GDPR可以 导致重罚。

另一方面,区块链是 通过共识维护的共享和同步数字数据库 算法并存储在多个节点上(存储本地版本的计算机 数据库)。区块链旨在通过以下方式实现弹性 复制,这意味着通常有很多参与方 维护这些数据库。每个节点都存储一个完整的副本 数据库并可以独立更新数据库。在这样的系统中,数据是 以分散的方式收集,存储和处理。此外, 区块链是仅追加分类账,可以向其中添加但只能删除数据 在特殊情况下。区块链不仅仅是简单的财务 支持比特币和加密货币交易的平台;它正在变得 互联网未来的底层,这掀起了新一轮的浪潮 去中心化应用程序,称为DApps,它将取代当今的大多数应用程序 集中式云Internet应用程序。有了区块链,企业将 通过删除来体验其当前模型的完整转换 中介机构,从而降低成本并提高Internet的可靠性, 因此,催生了新的分散服务浪潮。

GDPR的实施已完成 当互联网围绕以网络为中心的集中式 基于云的兴趣。公司和企业的所有GDPR数据收集和处理 仅基于此集中式云服务考虑了个人 模型世界。随着P2P分散式互联网的全面引入 技术概念于2017年7月前后,这是 DLT /区块链,已经构想的GDPR模型已经过时了。 这在GDPR中导致了区块链技术合规性的障碍 world.

乍一看,某些GDPR条款似乎与区块链技术的基本原理直接冲突,甚至可能与欧洲新的隐私规则力求保持的内在矛盾。对于区块链,最具争议性的GDPR要求是“被遗忘的权利”,赋予个人要求从记录中删除其个人数据的权利。由于其具有不可变区块链的分散性,因此无法删除数据。区块链旨在永久存在。这使区块链直接反对GDPR。

GDPR与 Blockchain

区块链的核心功能 技术是一种细致入微的数据保护系统,其中的一切都是 分散的。有多个系统存储帐户,并且这 创建去中心化的分类帐。实施这种技术来存储 数据块化,信息将向所有人开放,并且将有效地 允许人们查看其数据。为每个创建的块提供唯一的ID 并且一旦存储在该块中的任何信息都将不受限制 定制。众所周知,在当今时代,存储数据是一种 繁琐的任务。它仅占任何公司收入的很大一部分 实施有效的数据存储机制。但是,区块链解决了 这个问题。这是一种安全模式,用于存储所有已完成交易的数据,例如 一旦存储的数据不能删除;它使其成为可靠的数据手段 storage.

牢记所有这些,在符合GDPR的世界中,区块链技术的共存会导致一些问题。可以确定的第一个合规性问题是,基于个人数据存储具有一个专用数据控制器的想法,如何启动GDPR。另一方面,区块链是一个分布式数据库,有助于将责任下放给网络中所有相关方。根据Finck的说法,第二个是GDPR如何假设数据是可修改或可擦除的。另一方面,区块链技术取决于分类帐是不可变的。此外,共享账本上的数据分发反对GDPR中规定的目的限制,数据最小化和存储限制原则。在构建区块链解决方案时,需要考虑所有这些差异。因此,由区块链架构师执行的设计过程变得非常重要。

符合GDPR的解决方案 Blockchain

尽管GDPR背后的意识形态 与区块链非常相似,其共存适得其反。然而, 有可能使两者协同工作。有一些 减轻GDPR对区块链的影响并启用区块链的方法 公司要(更)符合GDPR的未来共存要求 regulations.

首先,一个潜在的解决方案是 分离存储在链上的数据类型。这是通过存储所有 在单独的“链外”数据库中的个人身份信息,并且仅 具有参考和其他信息,以及该数据在 区块链存储在区块链层中的对应哈希用作 控制指向GDPR敏感数据的指针。协议可以建立在这样的 一种方法,可以完全擦除链下数据库中的数据, 符合GDPR要求。因此,当某人行使自己的“权利 被遗忘”,可以删除个人数据,从而服务 提供者擦除数据的区块链哈希指针的“可链接性” 位于分布式脱链服务器中。这使得推荐信息 在区块链上没有用,而不会破坏区块链。

一种替代解决方案,已经 某些区块链公司采用的是将个人信息保留在 区块链,同时如果数据主体有需求,则无法访问 它将被删除。这可以通过加密所有 带有密钥或哈希的个人数据,允许访问个人的 信息存储在区块链上,并且可以撤消并删除 请求或间隔一段时间后。如果数据主体要求 他的区块链数据将被删除,密钥将被删除。这将使 他们的信息无法获得,实际上,这些信息将丢失在 blockchain.

数据是公认的 根据欧盟法律,已经加密或散列的数据仍然符合个人数据的条件 因为它只是假名,而不是不可逆地匿名。自扔掉 您的加密密钥与现有GDPR规则中的“数据擦除”不同 禁止在区块链级别存储个人数据。从而失去了 增强对自己的个人数据的控制的能力。挑战在于 GDPR并未定义“擦除”数据的含义。

另一个有趣的解决方案 GDPR合规性是结合使用假名化技术和 脱链存储的数据。  In order for data 要在GDPR下被视为匿名,则数据“必须不再 归因于特定数据主体,无需使用其他 信息”。带有指向链下存储的个人数据的指针的假名化 以允许个人数据被破坏从而删除个人信息的方式 链接到链上的数据并使其匿名显示,可能允许用户 根据以下要求从链中删除其所有个人信息 GDPR的删除权。

但是有两个相反的 相对于GDPR的使用区块链的假名链接的解释。 第一个陈述说,因为数据假名是在 区块链哈希,但不匿名,数据链接不再 建立时被视为个人用户,如果删除此链接, 也符合GDPR。

第二个-相反– 解释是,假名化,即使有所有密码散列, 仍可以链接回原始个人数据。假名数据, 与匿名数据不同,因此仍允许重新标识。而 假名化技术使用户识别数据更具挑战性 主题,它不会“擦洗”所有识别个人信息。

GDPR和区块链技术边界的一个关键点是允许的区块链。允许的区块链是仅允许某些可识别的参与者执行某些动作的区块链。建议应优先使用经过许可的区块链,以解决GDPR随附的透明性,不变性和角色问题。这种经许可的区块链提出了一种基于用户,控制器和处理器以及私有网络中所有单独节点的角色的管理系统。控制器将来自用户的数据进行划分,并对可以分类为个人数据的数据进行哈希处理,然后将其作为哈希值放入区块链。实际数据存储在连接到每个节点的本地数据库上。然后,通过在参与节点之间的共识机制中在链上创建更新的哈希来启用数据的纠正和删除。这样,链上保留的哈希对于GDPR不可行。可以通过每个节点(最重要的是用户节点)交叉检查哈希值来验证更改。这导致系统在节点之间如何使用数据方面透明,如果数据处理不正确,用户也可以通过智能合约轻松地提出索赔要求。

结论

区块链是未来的事实没有任何不确定性。它有可能对公司和大型行业的工作进行彻底检查。这些大公司每天必须对数据存储机制进行巨大的投资。可以通过转向细微的区块链技术系统来逐步降低这一水平。但是,由于必须解决复杂的合规性措施,因此其实施会引起监管问题。区块链的某些内在特征与GDPR规定的监管要求不相称。这些问题处理起来很复杂,但并非不可能。通过根据区块链的性质或在其上处理的信息等因素对技术进行调整来保持结构系统就位。这些问题可以以连贯的方式解决。经许可的区块链是符合GDPR要求的最可行的选择。该模型允许组织实体为许可的区块链上的参与者建立治理框架。可以明确定义角色,可以制定满足GDPR要求的合同条款,并可以执行国际数据传输。这会考虑到个人权利的最大利益。

本文的引用为:

蓝皮书,第20版:“ 塔萨尔·辛哈(Tushar Sinha), 符合GDPR的区块链模型的可持续性, 明典网– InfoTech and IPR, accessible at //nerdeicek.com/sustainability-of-blockchain-model-with-gdpr-compliance/

参考资料

  • Xavier Sala-i-Martin教授, 2011-2012年全球竞争力报告,2011年世界经济论坛,ISBN-13:978-92-95044-74-6。
  • 文章 《保护人权和基本自由公约》第8条
  • Finck,M.(2019), 区块链和通用数据保护法规:分布式分类帐是否可以与欧洲数据保护法相提并论? Panel for the Future of Science and Technology, European Parliamentary Research Service. Brussels: Scientific Foresight Unit. accessible at //www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf (2019-07-01).
  • Claudio Lima博士, 分散式区块链互联网将如何符合GDPR数据隐私, 区块链-GDPR Privacy by Design. (Jun. 2018). accessible at //blockchain.ieee.org/images/files/pdf/blockchain-gdpr-privacy-by-design.pdf
  • Onik,M.,Kim,C.,Lee,N.,Yang,J.(2019), 具有隐私意识的区块链,用于个人数据共享和跟踪, Open Computer Science, 9(1), pp. 80-91. accessible at //doi.org/10.1515/comp-2019-0005 (2019-07-03).
标签

相关文章

发表评论

同时检查