使区块链符合数据隐私的步骤

这是分析区块链技术及其在现代隐私法中的作用的系列文章的第四部分。单击此处为第三部分，此处为第二部分，此处为第一部分。

在设计此类系统以确保符合这些数据隐私要求时，区块链网络和技术的设计人员和运营商将需要具有创造力和灵活性。尽管对于这些法律的适用存在许多公开的问题和不确定性，但可以采取以下步骤来降低风险并最大程度地遵守法规。

数据隐私设计

GDPR通过设计施加了数据隐私的义务，这要求控制者“实施适当的技术和组织措施，例如假名，这些措施旨在有效地实施数据保护原则（例如，数据最小化）并整合必要的为了满足本法规的要求并保护数据主体的权利而在处理过程中采取了各种保护措施。” GDPR艺术。 25，§1。区块链提供商应考虑根据GDPR进行数据保护影响评估，以评估哪些数据对于区块链的功能是必需的，以及可以采取的减轻个人风险的措施。

在设计时遵循这些数据隐私原则时，区块链的开发人员和运营商应考虑以下事项：

• 可以设计区块链来适应GDPR，CCPA和其他数据保护法律的数据保护原则并与之兼容吗？与基于公共权限的区块链相比，这在基于私有权限的系统中更容易实现。
• 考虑并限制可以上传到区块链的数据类型。有多种方法可以构建区块链，以将数据最小化为区块链功能所需的数据。考虑到数据最小化的证据对于监管者检查此类系统很重要。
• 考虑匿名化正在存储的数据。如果数据是匿名的，则不受GDPR或CCPA（或大多数其他数据隐私法）的约束。挑战在于确保数据不能合理地链接到个人，并且匿名化过程必须不可逆。
• 另一种方法是对数据进行假名化：这是对个人数据的处理方式，使得在不使用其他信息的情况下，数据不再可以归因于特定的数据主体。虽然假名数据仍受GDPR约束，但它可以降低风险并为数据控制者提供更大的灵活性。例如，通过设计将假名数据识别为数据隐私的一种形式，可以将其用于收集底层个人数据的原始目的之外的目的，并且不受数据主体的要求。
• CNIL指出了存储在区块链上的两种基本数据类型：（a）以公钥和私钥形式出现的参与者和矿机的标识符，由于它们对于区块链的功能至关重要，因此始终可见存储在区块链上的其他数据（或有效载荷）。 CNIL建议将在区块链上注册的个人数据限制为“承诺''，即通过使用具有密钥或某种其他形式的加密货币的哈希函数来“冻结''数据。一种解决方案是将相应的个人数据存储在区块链外部，并仅在“区块链”上存储“承诺”，即由键控哈希函数或密文生成的哈希。

但是，CNIL表示，如果无法实现该解决方案，则只要执行DPIA来证明处理的合理性并表明存在残留风险，就可以使用无键或明文的散列函数将数据存储在区块链上。以这种方式存储数据是可以接受的。

建立治理体系

鉴于区块链和分布式账本的去中心化和去中心化性质，以及在将隐私法应用于这些技术方面缺乏明确的指导方针，一种谨慎的方法是首先开发一种治理系统，以明确定义参与者的角色，结构中的控制者和处理者之间符合GDPR的协议（包括必要的带有标准合约条款的跨境协议），并指定可以上传哪些数据，处理该数据的目的以及负责数据主体的规则请求和数据安全漏洞。这在基于私有许可的系统中更容易完成。

数据删除的难题

鉴于数据删除似乎与区块链和分布式分类账的不变性不一致，因此不容易解决的一个领域是数据删除。 CNIL观察到，即使从技术上讲一些数据仍保留在区块链上，某些技术也可以视为数据擦除：（1）从承诺中删除某些元素，使其不再能够验证已提交的信息，或者（2）删除哈希函数的密钥。

在这两种情况下，只要数据也已从已存储用于处理的其他系统中删除，则可以认为机密性风险已得到充分缓解，可以满足擦除要求。 CNIL指出，但是，当明文或哈希数据记录在区块链上时，擦除是不可能的。因此，CNIL建议不要将此类数据存储在区块链上，而应使用加密货币解决方案。

需要监管指导和澄清

需要更多的监管指南和业界共识，以确保区块链技术的持续创新和实施，同时为个人的数据隐私权提供充分的保护。数据隐私法不应是一成不变的或僵化的，而应具有足够的灵活性以随着快速变化的技术格局而发展，而不是扼杀创新。监管机构和行业应共同开发解决方案，以解决（a）适当的数据治理，（b）数据最小化和安全性以及（c）数据主体的请求，包括如何解决数据删除难题。

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。