嚴(yán)厲而徹底的歐盟個(gè)人數(shù)據(jù)隱私法律框架——通用數(shù)據(jù)保護(hù)條例（GDPR），已于5月25日悄然生效。自從2016年首次頒布，經(jīng)過兩年的過渡期，這些條例現(xiàn)在正式生效了。不管你有沒有準(zhǔn)備好，這個(gè)法律框架將徹底改變整個(gè)數(shù)字經(jīng)濟(jì)領(lǐng)域。但對(duì)于區(qū)塊鏈行業(yè)來說，這又意味著什么呢？

GDPR的目標(biāo)是：在歐洲范圍內(nèi)建立統(tǒng)一的數(shù)據(jù)管理框架，并加強(qiáng)公民對(duì)其個(gè)人數(shù)據(jù)的存儲(chǔ)和使用權(quán)。

新的權(quán)利和責(zé)任

GDPR給身為”數(shù)據(jù)處理方“的企業(yè)和公共部門引入了新的程序上和組織上的責(zé)任義務(wù)，并賦予了身為“數(shù)據(jù)主體”的個(gè)人以更多的權(quán)利。

無論是公共還是私人機(jī)構(gòu)，在不受管束的時(shí)候，它們都傾向于在不知道如何處置個(gè)人數(shù)據(jù)的時(shí)候，就開始大規(guī)模積累用戶數(shù)據(jù)，類似某種個(gè)人數(shù)據(jù)的“淘金”行為。然而，GDPR打破了這個(gè)習(xí)慣，指定數(shù)據(jù)處理方不得收集其與消費(fèi)者直接交互過程中的非必要數(shù)據(jù)。執(zhí)行中，數(shù)據(jù)的收集行為應(yīng)該是“合理的，與目的相關(guān)的，最低限度的”（GDPR的第39條）。

首先，GDPR設(shè)置什么是允許的和不允許的，規(guī)定了從現(xiàn)在開始，數(shù)據(jù)處理方必須采用的組織行為準(zhǔn)則。舉個(gè)例子，公司的技術(shù)架構(gòu)必須默認(rèn)，在使用消費(fèi)者數(shù)據(jù)后會(huì)將其刪除。

其次，任何被認(rèn)定是“數(shù)據(jù)中樞”的實(shí)體都必須有一個(gè)負(fù)責(zé)執(zhí)行GDPR的數(shù)據(jù)保護(hù)官員（DPO）。這位數(shù)據(jù)保護(hù)官將在數(shù)據(jù)主體出現(xiàn)隱私風(fēng)險(xiǎn)時(shí)向監(jiān)管當(dāng)局發(fā)出警報(bào)，并承擔(dān)相關(guān)法律責(zé)任（第33條）。

然后，數(shù)據(jù)主體也會(huì)更好的了解到他們的個(gè)人數(shù)據(jù)是如何被存儲(chǔ)和使用的（第15條）。例如，個(gè)人有權(quán)向公司索取其所持有的屬于他們隱私信息。此外，數(shù)據(jù)處理方必須在告知數(shù)據(jù)主體，數(shù)據(jù)獲取和共享的細(xì)節(jié)方式。

另一方面，除了透明度之外，GDPR還賦予了公民更大的控制個(gè)人數(shù)據(jù)的權(quán)力。第17條明確了公民有權(quán)要求公司把其個(gè)人數(shù)據(jù)從數(shù)據(jù)庫中刪除，即所謂的“刪除權(quán)”。

正如Sarah Gordon和Aliya Ram在《金融時(shí)報(bào)》上所言：“最終，GDPR的影響力取決于個(gè)人是否決定行使規(guī)則賦予他們的權(quán)力”。你什么時(shí)候拒絕過臉書網(wǎng)的隱私條款？

范圍不止歐盟，影響波及全球

GDPR會(huì)對(duì)違規(guī)的公司征收巨額罰款，而且，它的觸角遠(yuǎn)遠(yuǎn)超出了歐盟范圍。

對(duì)于公司來說，被數(shù)據(jù)保護(hù)官員盯上可能比被稅務(wù)稽查員盯上更可怕。故意的或重復(fù)的違反GDPR條例的公司將受到2千萬歐元的罰款，或公司全球營業(yè)額的4%。公司不僅要面臨數(shù)據(jù)保護(hù)官的警報(bào)，還要定期面臨數(shù)據(jù)保護(hù)審計(jì)。

雖然從表面上看，GDPR僅僅保護(hù)的是歐盟公民的數(shù)據(jù)權(quán)利，但在實(shí)際操作中，它的影響卻會(huì)波及全球。首先，位于歐盟之外的公司，如果涉及到處理歐盟居民個(gè)人信息，也必須遵守GDPR。此外，歐盟的創(chuàng)新之處在于，它現(xiàn)在將數(shù)據(jù)流與貿(mào)易流聯(lián)系起來：任何想與歐盟簽署貿(mào)易協(xié)定的國家都必須簽署協(xié)議，遵守GDPR。

在過去的十年中，美國成為了世界經(jīng)濟(jì)的警察，對(duì)不遵守反洗錢規(guī)定的銀行處以巨額罰款。有了GDPR，歐盟會(huì)成為全世界數(shù)據(jù)保護(hù)領(lǐng)導(dǎo)者嗎？

區(qū)塊鏈可以逃脫GDPR嗎？

GDPR起初是由歐洲委員會(huì)在2012年提出的，最初關(guān)注的是云服務(wù)和社交網(wǎng)絡(luò)，當(dāng)時(shí)區(qū)塊鏈還不是一個(gè)廣為人知的名詞。至少在前區(qū)塊鏈?zhǔn)澜缰?，云服?wù)和社交網(wǎng)絡(luò)主要集中在中心化組織中：許多數(shù)據(jù)主體有唯一的實(shí)體服務(wù)器——數(shù)據(jù)處理器/控制器。中心化組織很容易被監(jiān)管，但是GDPR會(huì)如何影響分布式協(xié)議組織，例如公鏈呢？

大家很容易理解，考慮到假名和真實(shí)身份之間細(xì)微差別，區(qū)塊鏈存儲(chǔ)了很多潛在的個(gè)人數(shù)據(jù)，比如說個(gè)人交易歷史，這樣區(qū)塊鏈就落到了GDPR的管轄范圍。乍一看，人們可能會(huì)認(rèn)為GDPR與公鏈之間存在著直接的矛盾。例如，在GDPR提出的許多原則中，“刪除權(quán)”似乎與區(qū)塊鏈技術(shù)的核心——不可篡改性的相沖突。假設(shè)這一矛盾暫時(shí)成立，這又引出了另一????問題：誰是一個(gè)純粹分布式的區(qū)塊鏈系統(tǒng)中的數(shù)據(jù)處理方？

總而言之，用“數(shù)據(jù)處理方”和“數(shù)據(jù)主體”的劃分來闡明GDPR和區(qū)塊鏈的邏輯似乎是困難的。毫無疑問，一場激烈的法律辯論就在眼前。

遵循GDPR的區(qū)塊鏈？

然而，區(qū)塊鏈與GDPR有許多共同目標(biāo)。兩者都是分散數(shù)據(jù)控制權(quán)，緩和中心服務(wù)提供商和終端用戶之間的權(quán)力不平等。雖然原來的比特幣協(xié)議并不能保證匿名性，但許多技術(shù)革新，從基本的翻轉(zhuǎn)器到ZK-SNAGK技術(shù)，使我們?cè)絹碓浇咏@個(gè)理想。然而，這種匿名性可能并不是監(jiān)管機(jī)構(gòu)所希望采取的——是否有更容易被監(jiān)管者接受的區(qū)塊鏈解決方案？

一個(gè)特別有前途的研究方向是可信硬件和區(qū)塊鏈的結(jié)合。在公鏈上，所有的數(shù)據(jù)在整個(gè)網(wǎng)絡(luò)的所有機(jī)器上被復(fù)制和共享，這使得交易數(shù)據(jù)的刪除成為用戶夢魘。最近的研究已經(jīng)開始探索“可信計(jì)算飛地”如何能提供安全和保密的數(shù)據(jù)存儲(chǔ)，如英特爾SGX。

將可信計(jì)算與公鏈相結(jié)合意味著數(shù)據(jù)的隱私可以被保護(hù)，免受外部威脅。數(shù)據(jù)被存儲(chǔ)在鏈下，而公鏈作為裁決最終判斷誰可以訪問該數(shù)據(jù)。因?yàn)橹悄芎霞s意味著不再需要信任中心化服務(wù)提供商，數(shù)據(jù)權(quán)限可以由用戶通過區(qū)塊鏈和可信硬件來專門管理，最終將數(shù)據(jù)的控制權(quán)和隱私權(quán)返還給用戶。

其中一個(gè)嘗試是帝國理工學(xué)院和康奈爾大學(xué)的聯(lián)合項(xiàng)目Teechain，它用可信硬件來實(shí)現(xiàn)公鏈的安全和高效的鏈下交易。另一個(gè)項(xiàng)目，是由iExec和Intel在企業(yè)以太坊聯(lián)盟（EEA）內(nèi)發(fā)起的合作。

你最喜歡的區(qū)塊鏈項(xiàng)目有沒有采取必要的措施來應(yīng)對(duì)這次隱私法大地震呢？如果沒有，也許是時(shí)候以“隱私設(shè)計(jì)”為核心來實(shí)施產(chǎn)品了。

一直以來，約束反而會(huì)孕育創(chuàng)造力。