谷歌折戟隱私
終於落地的靴子
這是一起事先張揚的懲罰。
歷經大半年的審查,法國資料保護委員會CNIL於2019年1月22宣佈,對網路巨頭Google處以5000萬歐元的罰款。
早在2018年5月25日和28日,CNIL就收到來自多個機構對Google的投訴,稱其在給使用者定向傳送廣告時,缺乏透明度,資訊不足以及缺乏使用者有效的許可。處罰的根本原因是: Google未向Android使用者正確披露其資料如何被收集,並向用戶違法推送個性化廣告 。
而這,也是資料保護機構首次使用GDPR來約束和懲罰大型企業在資料方面的違法行為。
GDPR即 《通用資料保護條例》 (General Data Protection Regulation)為歐洲聯盟的條例,前身為歐盟在1995年制定的《計算機資料保護法》。其目標是在歐洲範圍內建立統一的資料管理框架,並加強公民對其個人資料的儲存和使用權,從而更加有效的保護公民的隱私資訊保安。
從理念出發,GDPR與區塊鏈不謀而合。
兩者都承認資料的主權在於個人,也都主張資料的價值應該歸屬於個人而非中心化的平臺。
似乎,GDPR的出臺對於區塊鏈領域的發展是一個重大的利好。但果真如此嗎?
業內人士對此持否定態度。
世界經濟論壇大中華區首席代表David Aikman近日在接受採訪時曾表示,「GDPR的目的是防止大公司過度侵犯民眾的資料和隱私,讓民眾有權利說,請把我們在社交媒體上的資料刪掉。但這也無意中造成了一個後果:給區塊鏈創新帶來了挑戰,因為區塊鏈的分散式賬本無法刪除資料。立法的初衷是保護民眾利益,而現在或許扼制了政府發展新技術的能力。」
矛盾與衝突
事實上,早在GDPR制定之初,並未考慮到太多關於分散式資料儲存的場景,整個GDPR的構建是以資料被中心儲存為背景,它默認了資料會被某一特定的資料控制主體所控。
對於中心化的平臺而言,一旦違反GDPR的法規,遭到追責時,可以很容易的按照要求執行資料刪除等操作。
但這對於區塊鏈系統而言,卻並非易事。
首先是資料主體的問題。
在公有鏈中,資料並不是存在中心化的資料庫中,而是儲存在系統的每一個節點上,鏈上的節點負責資訊的記錄、儲存。大型的公有鏈中,節點千千萬萬,如果直接套用GDPR的管理條例,幾乎不可能實現,就連專案方也無法確認每個節點的真實身份。
其次,是資料的刪除問題。
GDPR第17條規定,資料主體有權讓資料控制主體擦除他/她的個人資料,停止進一步傳播資料,並有權要求第三方停止處理資料。刪除的條件包括資料不再與原始處理目的相關,或資料主體撤回同意。
而區塊鏈技術的一個重要特性是 不可篡改性 ,資料一旦上鍊後,就意味著無法刪除或更改。
例如:在早期一些著名區塊鏈專案如比特幣和以太坊,都是開放式和公共分類賬。使用者所有的交易細節都公佈在區塊鏈中,交易實體由其區塊鏈地址標識,區塊鏈地址可由相應公鑰匯出。每一筆交易都可輕易檢視到交易雙方和交易金額等關鍵資訊。即使交易雙方的身份是以一串區塊鏈地址來代替,但通過”地址簇“的方法來對交易圖譜精準分析,仍然有可能揭示區塊鏈地址背後的真實世界身份。
倘若GDPR認定這些資料屬於使用者的隱私資料,需要刪除,那麼又該如何處理呢?
這些問題,暴露了當前GDPR與區塊鏈技術在應用場景中存在的矛盾。
改進與創新
隨著近年來不少新技術和新思路的湧現,眾多區塊鏈專案也在不斷的進化和迭代。
GDPR的出臺,已成為眾多企業進軍歐洲需要達到的必要標準。但對於區塊鏈行業而言,對於專案所做的更新和迭代,不僅是為了符合GDPR法規,更重要的是,使用者隱私資料的安全與保護一直以來都是眾多區塊鏈專案方所追求的目標。
作為新一代物聯網分散式基礎架構,CPChain在保護使用者資料安全和資料交易等方面也做了大量的工作。在CPChain的架構中,採用了 平行分散式架構 :將資料層與控制層分離,所有原始資料在本地進行加密並由所有者簽名,分塊後基於分散式雜湊表方法儲存在不同的節點之中,使得宿主無法知道原始資料。同時,將資料的雜湊值存入區塊鏈,作為資料完整性和正確性的憑證以及資料的標識。這樣,當資料出現更新或被讀取,資料的雜湊值均會發生改變,以此來記錄資料的變更,同時在一定程度上保證了資料的安全性,同時應用重加密與同態加密技術,以此來保證使用者的資料安全。
此外,為了保證交易雙方的隱私,CPChain還獨創了 私有交易機制 ,允許使用者在鏈上部署和呼叫私有合約,更加安全地完成私有交易。 私有交易實現了交易雙方在代理(代理:充當驗證者和中間人的角色,負責對交易進行檢驗)的見證下完成交易,任何第三方均無法檢視這一私有交易過程。交易過程中某些關鍵性資料在區塊中被記錄和維護,交易既不被外界所偵測到,又能夠在區塊鏈上留下痕跡資料,以供未來追溯和驗證。其中,私有資料交易中私有合同由代理部署,且代理部署公共合同作為交易託管,交易的相關資訊和交易資料經過特殊加密對外界保密。
回到故事的開頭,那個對谷歌開出天價罰單的機構——CNIL,在去年的11月份,釋出了一份關於 GDPR和區塊鏈相容性研究報告 。
報告中,CNIL分析了區塊鏈技術與GDPR要求之間相互作用的某些基本問題,並試圖解決區塊鏈技術與歐盟通用資料保護條例(GDPR)之間的緊張關係,同時,該報告也是歐洲資料保護監管機構就此主題釋出的第一份指南。
如何解決GDPR對個人資料的保護及與區塊鏈的衝突?
或許,曙光就在眼前。