安全與風(fēng)險管理者須考慮GDPR是否適用于企業(yè)區(qū)塊鏈與個人數(shù)據(jù)
企業(yè)在實施區(qū)塊鏈的技術(shù)之前�����,一定要確定他們的信息是否會受到歐盟通用數(shù)據(jù)保護規(guī)則(GDPR)的管理��。同時他們還需要了解的是����,區(qū)塊鏈?zhǔn)欠裨诒举|(zhì)上違背了GDPR�����。例如�,區(qū)塊鏈的一個核心原則是不可更改,一旦數(shù)據(jù)被記錄之后����,將不能再被篡改。而GDPR規(guī)定����,用戶可以刪除個人數(shù)據(jù)。
粗看之下���,區(qū)塊鏈與GDPR之間存在著矛盾�����。但事實上���,企業(yè)必須要謹(jǐn)慎地判斷�����。區(qū)塊鏈不應(yīng)該被直接否認�����。
盡管區(qū)塊鏈和GDPR各自的特點很快引起了公眾對它們之間兼容性的擔(dān)憂����,它們的結(jié)合仍然使得新興的管理手段和技術(shù)趨勢得以強強聯(lián)合�。安全與風(fēng)險管理者必須要采取保護措施,確保區(qū)塊鏈的設(shè)計與GDPR相匹配��。
判斷GDPR是否適用
總體而言��,GDPR將適用于任何企業(yè)包含有個人數(shù)據(jù)的區(qū)塊鏈��。由于該規(guī)定適用范圍的問題���,一些企業(yè)可能尚不確定他們的區(qū)塊鏈?zhǔn)欠駮艿紾DPR的管理��。當(dāng)企業(yè)評估自己的區(qū)塊鏈?zhǔn)欠駮艿紾DPR的管理時���,需要考慮以下三個問題:
- 是否有向歐盟提供貨品或服務(wù)
- 是否有分析或者監(jiān)控歐盟居民的行為(包括網(wǎng)絡(luò)行為)
- 是否有代表歐盟的公司處理歐盟居民的個人數(shù)據(jù)
如果有涉及到上述問題中提到的任一行為�,企業(yè)都應(yīng)該進一步確定他們的技術(shù)是否符合GDPR的規(guī)定����。需要注意的是��,如果他們的工作涉及到歐盟居民的數(shù)據(jù)����,那么即便他們在歐盟之外,也是要受到GDPR的管理的��。由于區(qū)塊鏈與GDPR的不兼容性將會帶來高達兩千萬歐元或是百分之四的年度營業(yè)額損失���,所有企業(yè)都希望建立一個判斷GDPR是否適用的體系����。
區(qū)塊鏈的不可更改性與對個人數(shù)據(jù)的權(quán)利
GDPR中規(guī)定了用戶對數(shù)據(jù)主體的權(quán)利���。用戶有權(quán)利得知他們的數(shù)據(jù)如何被處理��,有權(quán)利更改數(shù)據(jù)��、移植數(shù)據(jù)以及刪除數(shù)據(jù)��。這一刪除數(shù)據(jù)或者“讓數(shù)據(jù)被遺忘”的權(quán)利�����,使得數(shù)據(jù)在刪除或移除之后就不會被再次處理��。公司必須擁有關(guān)于刪除信息的協(xié)議�,這一點初看上去并不容易,因為它違背了區(qū)塊鏈中數(shù)據(jù)的不可篡改性����。不過,GDPR還引入了“假名化”的概念�,這使得公司可以用一個匿名的標(biāo)簽來代替名字。另外����,他們也可以建立一個僅僅存儲對個人數(shù)據(jù)的引用,而不直接存儲個人數(shù)據(jù)的區(qū)塊鏈。哈希(hash)和代幣(token)�����,都可以被用作對數(shù)據(jù)的引用���。
擁有區(qū)塊鏈并使之與GDPR相互兼容是可以做到的���。然而這需要安全與風(fēng)險專家與區(qū)塊鏈架構(gòu)師共同努力,確保存儲的數(shù)據(jù)不違背隱私法���。這可以通過用不同的方式存儲數(shù)據(jù)�、甚至是在得到許可的情況下建立區(qū)塊鏈來實現(xiàn)���。
微信掃一掃
