作者:罗滔
编者注:原标题为《区块链在GDPR框架下的法律问题》
数字化浪潮席卷全球,越来越多的企业在利用技术来彻底改变企业的业绩或触角。数据作为数字化转型的根基,对企业来说至关重要。据调查发现,在全球数据泄露事件中,违规事件发生率较高的行业:零售业占16.7%;金融与保险业占13.1%;医疗机构占11.9%。。而这几个行业正是数字化转型的先驱。发展与风险并存,在数字化过程中对数据的保护成为了企业的头等大事。
2017年6月1日施行的《中华人民共和国网络安全法》,强调了对基础设施及个人信息的保护。2018年5月1日实施的《信息安全技术个人信息安全规范》,从国家标准层面,明确了企业收集、使用、分享个人信息的合规要求,为企业制定隐私政策及个人信息管理规范指明了方向。而在2018年5月25日正式生效的欧盟《通用数据保护条例》GDPR,被称为欧盟“史上最严”条例,业已产生了巨大的影响:
市场分析:美联储不加息,投资者可能更慌:3月18日消息,道富环球投资管理(SSgA)的首席经济学家Simona Mocuta称,如果美联储下周不加息,投资者可能会更加恐慌,他们会立即开始猜测美联储等监管机构是否在隐藏什么,在这个混乱的时刻,继续加息能给人一种政策连续的感觉。这有点像一个稳定市场的锚,决策者在这样的时刻应该这么做。(金十)[2023/3/18 13:11:58]
Google、Facebook,在GDPR生效日分别收到了欧盟39亿欧元、37亿欧元罚款的诉讼。苹果、亚马逊、LinkedIn等公司也面临隐私监管机构提起的诉讼。
GDPR生效后,芝加哥时报、洛杉矶时报等多家美国媒体网站在欧洲的服务器关停。
微信海外版、新浪微博国际版等多家互联网企业向欧洲区用户更新隐私政策,请求重新授权。QQ停止部分国际版服务,并将推出新版本,提示用户升级。国航、东航均对其APP及官方网站隐私条款进行了更新。
分析:蚂蚁矿机S19Pro性能略优于神马矿机M30S+ 但后者更为稳定:BitMEX Research在对比两款矿机MicroBT旗下神马矿机M30S+和比特大陆旗下蚂蚁矿机S19Pro的性能指标后发现:1.在测试期间(过去三天)内蚂蚁矿机S19Pro的平均算力为110.7TH/s,比官方宣传水平(110TH/s)高出0.6%。神马矿机M30S+的平均算力为98.1TH/s,比宣传水平(100TH/s)低1.9%。另一方面,神马矿机M30S+矿机更为稳定;2.就能效比而言,两款矿机均表现良好。神马矿机M30S+矿机能效比为34.4J/TH,蚂蚁矿机S19Pro的能效比29.7J/TH;3.就矿机散热效果而言,在较矿机出风口约15厘米距离的垂直于主要气流的位置上,蚂蚁矿机的平均温度为45.9°C,较神马矿机矿机低10°C左右。这可能是由于蚂蚁矿机功耗较低或其散热效果更好。4.就矿机启动时间而言,在5次尝试下,蚂蚁矿机在大约4分钟之内就达到了目标算力,而神马矿机矿机大约花费了27分钟。[2020/8/18]
海尔、华为早已雇请专门团队应对新规。
研究分析:比特币价格是地缘风险的领先指标:根据一篇新研究论文,比特币不仅是对地缘风险(GPR)的避险工具,而且比特币的价格(BCP)也可以对其进行预测。研究显示,GPR可以受到比特币价格的积极影响,这表明,在反映和提供与全球地缘事件相关的金融风险应变方面,比特币市场是一个领先指标。通过分析GPR和比特币价格之间的时变相互关系,可以得出结论,在多个时间段内,可以将比特币视为避免GPR的资产。GPR可能会在某些时间段内影响比特币价格。因此,投资者可以根据GPR更准确地预测币价,还可以确定在比特币市场进行的投资水平。同时,潜在投资者可以将比特币作为投资组合中的一种资产,以分散风险,减少损失,保持收益。(Trust Nodes)[2020/7/11]
分析:Compound中DAI数量超过DAI总量,符合银行对美元的处理方法:据CoinDesk此前报道,Compound新激励政策生效后,DAI取代BAT成为平台上最热门借贷资产。
数据显示,Compound上DAI的供应量已超过DAI总量。据DAI Stats数据,DAI目前只存在1.48亿枚,但Compound网页显示总供应为4.01亿枚。
对于Compound中DAI数量超过DAI总量,最合理的解释是Compound将每一次存入的DAI都算作额外的总供应量,即使DAI只是借入和再存入。假设有100个DAI,一个用户存入200 USDC把这些DAI全部借走,然后再次存入DAI。很多用户使用多个钱包进行该操作,使得DAI的增长更加迅速。
加密风险投资公司Electric Capital合伙人Ken Deeter表示,“这正是银行对美元的做法。如果我存入100美元,有90美元被借出,有人就会用这90美元得到报酬,他们就会把它存入银行。现在银行里有190美元,尽管一开始只有100美元。”
7月3日,Instadapp在推特表示,将存款USDT换成DAI存入Compound可以实现收益最大化。用户似乎已经注意到这点。(CoinDesk)[2020/7/4]
1.适用性
分析:印度最高法院的判决文本中存在多个危险信号 行业前景仍不容乐观:Policy 4.0创始人兼首席执行官、安永印度(EY India)区块链业务前主管Tanvi Ratna发文谈及了“印度最高法院推翻央行加密货币禁令”一事。Ratna指出,该判决并非最终决定(注:央行仍可提交复审申请),且在判决文本中存在多个危险信号。此外,2019年2月28日提交的一项旨在禁止加密货币的法律草案仍有可能在印度议会获得通过。Ratna在对这份长达180页的判决书进行分析后发现,从本质上讲,整个判决取决于央行是否违反了印度宪法第19 (1)(g)条所规定的一项基本权利——从事任何职业的自由。最高法院的结论是,央行的措施违反了该条款,即禁止了加密货币交易服务商从事其职业的自由,且禁止措施与现存威胁不成比例。裁决还得出结论称,央行没有拿出实验性数据或采用其他可信的替代措施来证实(加密货币的)威胁。此外,最高法院作出该判决的重要原因之一是“目前还没有禁止加密货币的法律”,这意味着一旦有了这样的法律,判决便无法成立。(CoinDesk)[2020/3/7]
GDPR不仅适用于位于欧盟内的组织,而且适用于欧盟之外的向欧盟数据主体提供商品或服务或监控其行为的组织。即,只要某组织有处理和存储居住在欧盟境内的数据主体的个人数据的行为,无论公司位于世界上哪个地方,都会受到GDPR的管辖。
2.数据相关方
数据主体:享有数据权利的主体,个人数据所指向之自然人为数据主体
控制者:义务主体,指单独或者与他人一起,决定个人数据处理之目的和方式的自然人、法人或者其他组
数据处理者:义务主体,代表控制者,处理个人数据的自然人、法人或者其他组织
第三方:指未对“个人数据”有任何授权的其他方
3.个人数据定义
“任何指向一个已识别或可识别的自然人的信息”,例如:基本的身份信息:姓名、地址和身份证号码…
网络数据:位置、IP地址、Cookie数据和RFID标签…
医疗保健和遗传数据;生物识别数据,如指纹、虹膜等;种族或民族数据;观点;性取向。
4.数据处理定义
“指对个人数据或个人数据集合上执行的任何操作”
5.数据处理原则
确保数据在整个数据生命周期的安全
数据收集:收集目的明确、合法,数据主体同意授权
数据处理:处理过程合法、透明,具备保障
存储:安全、保密,存储期受严格限制
6.数据主体权利
●许可权●访问权?●纠正权?●限制处理权
●反对权?●可携权?●被遗忘权●告知权
可以看出,GDPR保护的“个人数据”,包括任何与可参考某标识直接或间接被识别的可识别人的有关信息。除此之外,GDPR对数据主体权利的保护也十分严格,不仅规定了数据主体享有“数据被遗忘权”和“数据可携带权”等权利,还规定违反GDPR的责任主体最高可能会面临其全球年总营业额4%的高额罚款。
区块链的分布式数据存储方式使保存的数据无法得到有效的删除,看似与个人数据的被遗忘权产生了不可调和的冲突与矛盾。虽然GDPR第17条规定:在数据主体要求对其个人数据进行删除的时候,数据控制主体应当考虑对数据进行删除的技术以及施行的成本,采取合理的步骤,通知数据主体,但是分布式存储不可篡改的技术特性是否可以成为不遵守GDPR的理由,仍然是尚未有定论的问题。
除此之外,GDPR与区块链还在数据保护责任主体上存在冲突。
在私有链上一般能够辨别谁是个人数据保护的责任主体,但完全去中心化的公有链,将链上节点作为个人数据保护之责任主体,就并不合理。GDPR由于其出台背景之限制,规定在技术的发展面前体现了一定的滞后性。对分布式数据存储这种存储方式缺乏考虑,未将其纳入GDPR的法律框架之内以明确对其的监管,在实践中难免会出现诸如此类的法律适用性问题。
但是,删除区块链上的数据是不可能的,是否意味着区块链与GDPR难以兼容呢?
我们认为可以从以下角度进行分析:
1.从目的来看,删除数据的效果是通过删除、销毁等行为使数据控制者无法对该数据进行收集、记录、组织、存储、修改、使用、披露或传播等处理行为,最终达到不能直接或间接识别该权利主体的目的。也就是说,如果利用某种技术可以在特定情况下使所记录的数据不能识别权利主体,不构成个人数据,就可以实现删除数据的同等效果。
就现在的区块链技术而言,零知识证明搭配智能合约有望实现数据的匿名性,也有观点提出可以在技术上通过分层架构或者数据脱链来应对个人数据的修改、删除问题。
2.从权利的相对方来看,需要明确数据控制者的判定。控制者决定个人数据的处理目的及方式,谁是区块链中个人数据的控制者,也是数据权利主体行使被遗忘权时要考虑的重要因素。在区块链分布式系统下,区块链企业可以是控制者,矿工可以是控制者,甚至消费者也可以是控制者。在控制者多变的情况下,区块链技术可以起到很好的辅助作用,帮助保护数据。
由此可见,区块链与GDPR并不对立,从目的上看,双方都在为实现社会信任与数据保护而努力。区块链技术可以通过加密秘钥帮助实现细分数据的访问授权,也可以为个人数据的共享和迁移提供基础。GDPR针对的数据,而区块链针对技术。因此,即便是分布式的区块链应用场景,只要涉及到数据信息的内容,就可能被纳入GDPR的适应范围。另一方面,由于区块链应用场景的广泛性特征,相对于GDPR的单一保护性而言,二者在具体的数据应用场景中所体现的适用性还需要具体的案例予以实践和探索。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。