区块链、DLT和GDPR三者之间的复杂关系

《通用数据保护条例》GDPR是为收集和处理欧盟公民的个人资料订立规则的条例。2016年4月4日，欧洲议会通过并于2018年5月25日生效。

GDPR只适用于处理“个人资料”，即“与已识别或可识别的自然人(“资料当事人”)有关的任何资料”，可识别的自然的人可以通过直接或间接的方式确定的,特别是通过引用自然人的标识符,比如名字,身份证号码,位置数据,在线标识符或特定的一个或多个因素的物理、生理、遗传、心理、经济、文化和社会身份。

该法规的目的是扩大与收集和使用其数据相关的个人权利，包括向数据收集者询问其拥有信息以及信息作用的权利。收集个人信息取决于个人的可撤销同意。最值得注意的是，个人有权要求更正，提出投诉，反对处理，或要求删除他们的个人数据，称为“被遗忘的权利”。

区块链的新面孔

2012年，当欧盟委员会首次提交GDPR时，区块链技术还没有像现在这么受欢迎，显然，它们当时不是监管的重点。与比特币一样，公开的区块链也是一个数据库，可以同时在多台计算机上复制。这个数据库不是由中央管理机构管理的，相反，网络中的每个人都可以获得相同的整个数据库的副本，并可以对其进行添加。要进入数据库，任何新增加的内容都必须得到网络上其他参与者的确认，从而就分类账的当前状态达成共识。这样一个区块链上的事务是永久的(不可变的)公共记录，公开至整个网络。

基于区块链的系统有潜力比传统的数据存储系统更好地保护个人数据，而传统的数据存储系统被认为是符合GDPR的(将个人数据保存在纸质文档的塑料文件中，“安全地”锁在抽屉里!?这真的很令人费解。)与集中控制的数据模型相比，区块链的一些技术特性，如个人信息的匿名化和网络的去中心化模型，能够更好地抵御攻击，使数据更不易被滥用。

我本人更愿意依赖区块链网络来保存我的数据，而不是把控制权交给人类的那些“企业高管”。然而，如果严格遵守条例上的逐字逐句，这些开放的公共区块链就会出现与GDPR要求相关的一系列问题:

1.比特币协议和公共区块链通常包含的信息并不是真正匿名的。相反，它是假名的，因此被视为个人数据，追踪比特币地址到一个可识别的自然人并非不可能。

2.GDPR的逻辑和术语，以“数据主体”、“数据控制器”和“数据处理器”为概念，似乎难以应用于区块链。目前还不清楚哪一种概念会归属于区块链，根据GDPR，这些概念要实现什么功能。

3.但就GDPR而言，公共区块链最大的问题在于要求数据对象具有“被遗忘权”，即任何个人都有权要求将其个人数据从记录中删除。删除或修改区块链上的数据几乎是不可能的，因为数据已经广播给所有网络参与者。此外，删除一条记录将更改包含数据的各个块的哈希值，并使所有后续块无效。

等等，也许有办法…

就在最近，在日内瓦大学和WSIS(信息社会世界峰会论坛)于4月8日举行的两个关于区块链和GDPR的研讨会上，区块链和数据保护顾问兼讲师Jorn Erbguth为公共区块链制定了五种应对GDPR的方法:

1.切勿将任何个人资料(完全)放在区块链上。

2.使用加强隐私的技术，并确保个人资料不会从区块链里传出来。

3.获得一个永久的理由。

4.让用户自己将数据放到公共区块链上。

5.建立专门的区块链。

INDUSTRIA董事Petko Karamotchev参加了上述两项活动，并向我们发送了日内瓦大学区块链和GDPR研讨会以及Jorn Erbguth组织的WSIS会议的照片。

解决方法: 分布式账本技术（DLT）

虽然它的这些原则不容易应用于开放的公共区块链，但分布式账本技术(DLT)可能提供了一个解决方案。DLT与区块链的主要特性相同——它是一个去中心化的数据库，每个参与者复制并保存相同的信息副本。没有一个中央机构管理总账。它更灵活，设计更适合符合GDPR的要求:

1、虽然任何人都可以加入公开的公共区块链，但是DLT允许通过许可访问网络的解决方案。各方在这样一个网络上的作用和责任更容易界定，在数据保护方面也有更好的责任制。

2、可以设计一个DLT体系结构，使事务数据不会广播到整个网络，相反，相关方只有在“需要知道”的基础上才会收到它。与全局广播模型相比，这种方法允许更少的数据增加。