一夜之间,多家美国知名新闻网站中止了在欧洲范围内的新闻服务。
不少游戏公司纷纷暂时退出欧盟市场;腾讯、阿里巴巴、华为纷纷出台新规;全球财富500强企业将花费近80亿美元以满足其要求;几乎所有信息安全、数据分析、跨国企业、游戏公司都在讨论它。
究竟是什么,让世界诸多新闻网站忍痛割爱、游戏公司关门大吉、科技巨头如临大敌?没错,正是是欧盟2016年5月颁布的,2018年5月正式开始实行的GDPR法案。
那么,
什么是GDPR?
GDPR,全称General Data Protection Regulation,是近三十年来数据保护立法的最大变动,旨在规范并约束企业对用户个人数据的收集和使用,加强对欧盟境内居民的个人数据和隐私保护。在Facebook、Equifax等数据泄露丑闻曝光后,数据安全问题已然成为人们在数字时代中的心头大患。
数据保护相关法律数不胜数,为什么GDPR具有这般威慑力?
- GDPR大幅扩大了个人信息范围
- 之前所有的个人信息的定义仅限于:名称,(电子)邮件地址,医疗信息等。而GDPR将个人信息的范围将扩展到:照片和音频/视频格式,金融交易,社交网站上的帖子,设备标识符(计算机的MAC / IP地址,手机IMEI号码),位置数据,用户登录凭证,浏览历史记录以及遗传信息。
- 换句话说,GDPR认为,只要是能够直接或者间接识别出个人身份的信息,全部属于个人信息!甚至是你的比特币地址,都是属于你的个人信息!
- GDPR大大增强了个人权利
- GDPR中规定,数据的供应者有权利确认数据控制(处理)者处理其信息的方式,发布确认请求后,数据控制(处理)者需要一个月内回复。除此之外,数据主体有权变动、删除、转移和拒绝数据控制(处理者)的使用请求。
- 那意味着,以后可爱的欧洲人民可以给新浪微博发个请求,要求新浪微博把他的个人信息的处理时间、处理方式、流向通通告诉他,如果觉得不爽,可以直接拒绝新浪微博使用它的个人信息。如果新浪微博不答应,那对不起:公司可能被罚款2000万欧元或全球年收入的4%,以较大者为准。
- 威慑力巨大的“治外法权”原则
- 那就会有一些企业说,那我退出欧洲,把公司搬到毛里求斯哈斯卡斯坦这些地方去。对不起,只要你满足以下两个条件;(一)为了向欧盟境内公民服务而采集、处理个人信息。(二)为了监控欧盟境内公民的活动而采集、处理个人信息。不管你在天涯海角,警察叔叔都会追着你开罚单。
- GDPR为了保护欧洲人民的数据安全可谓是挖空心思、呕心沥血。但说到个人数据保护,不得不提到现在大热的区块链。区块链的初心就是为了保护个人数据,通过技术的手段,把数据所有权和使用权还给数据主体。
中心化的GDPR与去中心化的区块链水火不容?
GDPR对个人数据的定义是非常广泛的。原则上,它涵盖了任何与可识别的、活生生的个体有关的信息,例如一个人的姓名或社会保险号。GDPR将哈希式和加密式数据归类为个人数据,即比特币的地址都被认为是个人数据。这意味着,在大多数情况下,隐私规则至少适用于区块链系统中涉及的部分数据。”除此之外,GDPR第17条所述提出的“删除权”与区块链“不可篡改”的特性相冲突。
那么GDPR和区块链两者真的水火不容吗?这引起了世界范围内的广泛讨论,但有一点可以肯定:未来,区块链一定会采取新的技术去适应GDPR,而GDPR也会修改以容纳区块链技术。GDPR和区块链不应该是水火不容,两者的初心都是为了保护个人数据安全,GDPR与区块链应该是相辅相成,从两个维度保护个人数据安全 。
保护个人数据,GDPR与区块链的殊途同归
区块链和GDPR两者的目的都是分散数据控制权,打破中心服务提供商和终端用户之间的权力不平等。不同的是,区块链选择了使用技术手段,而GDPR选择了法律手段。区块链也利用计算机技术、密码学技术的集成创新,实现了对个人数据所有权的保护,重塑数据和数据相关产业的利益格局,让数据回归用户。
区块链从数据的源头出发,通过非对称加密技术,确认数据所有权;通过智能合约,实现数据处理过程无人化,透明化,避免了集中数据服务提供商在数据处理过程中造假、作恶。
从源头确认数据所属权——非对称加密
非对称加密算法基于公开密钥和私有密钥加密信息,公钥加密待发送信息,私钥解密接收到的加密信息。私钥就是数据的锁,在不泄露私钥的情况下,只要手里牢牢握住私钥,没有任何人能够从你手中拿走你的数据。
集中数据服务提供商的毁灭者——智能合约
智能合约是一种代码合约,是区块链2.0最显著的特性之一。智能合约编写完成之后,只需输入参数,代码自动执行,无法人工干预。区块链的智能合约可以作为“仲裁者”,替代传统集中服务提供商。由于智能合约具有公开透明的特性,人人都可以查看,人人都可以验证。
区块链的智能合约,从根源上防止了数据处理过程中人为“作恶”,避免了集中数据服务商滥用权限等问题。由于智能合约意味着不再需要信任集中服务提供商,因此用户可以通过区块链和可信硬件的结合拥有完全管理数据权限,即可将数据的控制权和隐私权彻底归还给用户。
随着智能设备、数字设备在生活中的渗透,人们的数据权利意识渐渐被唤醒。区块链和GDPR是人们在技术上和法律法规上进行的一次重要的尝试,尽管其领域、形态、进程千差万别,但论其本质,两者均是为了界定和保护数字时代下个人数据的产权。
Penta认为,区块链不仅仅是一个世界级金融系统,更是一个保护数据,强调隐私的信息系统。未来,区块链引进零知识证明、AI等技术后,将进一步从技术上保护个人数据,未来世界需要链上与现实世界结合,区块链利用技术手段,GDPR利用社会治理(法律)手段,从两个维度出发,全方位保护数据安全。
閱讀更多 Penta公鏈中文社區 的文章
