区块链与DLT和GDPR之间有什么关联

《通用数据保护条例》GDPR是为收集和处理欧盟公民的个人资料订立规则的条例。2016年4月4日，欧洲议会通过并于2018年5月25日生效。

GDPR只适用于处理“个人资料”，即“与已识别或可识别的自然人（“资料当事人”）有关的任何资料”，可识别的自然的人可以通过直接或间接的方式确定的，特别是通过引用自然人的标识符，比如名字，身份证号码，位置数据，在线标识符或特定的一个或多个因素的物理、生理、遗传、心理、经济、文化和社会身份。

该法规的目的是扩大与收集和使用其数据相关的个人权利，包括向数据收集者询问其拥有信息以及信息作用的权利。收集个人信息取决于个人的可撤销同意。最值得注意的是，个人有权要求更正，提出投诉，反对处理，或要求删除他们的个人数据，称为“被遗忘的权利”。

区块链的新面孔

2012年，当欧盟委员会首次提交GDPR时，区块链技术还没有像现在这么受欢迎，显然，它们当时不是监管的重点。与比特币一样，公开的区块链也是一个数据库，可以同时在多台计算机上复制。这个数据库不是由中央管理机构管理的，相反，网络中的每个人都可以获得相同的整个数据库的副本，并可以对其进行添加。要进入数据库，任何新增加的内容都必须得到网络上其他参与者的确认，从而就分类账的当前状态达成共识。这样一个区块链上的事务是永久的（不可变的）公共记录，公开至整个网络。

基于区块链的系统有潜力比传统的数据存储系统更好地保护个人数据，而传统的数据存储系统被认为是符合GDPR的（将个人数据保存在纸质文档的塑料文件中，“安全地”锁在抽屉里！？这真的很令人费解。）与集中控制的数据模型相比，区块链的一些技术特性，如个人信息的匿名化和网络的去中心化模型，能够更好地抵御攻击，使数据更不易被滥用。

我本人更愿意依赖区块链网络来保存我的数据，而不是把控制权交给人类的那些“企业高管”。然而，如果严格遵守条例上的逐字逐句，这些开放的公共区块链就会出现与GDPR要求相关的一系列问题：

1.比特币协议和公共区块链通常包含的信息并不是真正匿名的。相反，它是假名的，因此被视为个人数据，追踪比特币地址到一个可识别的自然人并非不可能。

2.GDPR的逻辑和术语，以“数据主体”、“数据控制器”和“数据处理器”为概念，似乎难以应用于区块链。目前还不清楚哪一种概念会归属于区块链，根据GDPR，这些概念要实现什么功能。

3.但就GDPR而言，公共区块链最大的问题在于要求数据对象具有“被遗忘权”，即任何个人都有权要求将其个人数据从记录中删除。删除或修改区块链上的数据几乎是不可能的，因为数据已经广播给所有网络参与者。此外，删除一条记录将更改包含数据的各个块的哈希值，并使所有后续块无效。

等等，也许有办法…

就在最近，在日内瓦大学和WSIS（信息社会世界峰会论坛）于4月8日举行的两个关于区块链和GDPR的研讨会上，区块链和数据保护顾问兼讲师Jorn Erbguth为公共区块链制定了五种应对GDPR的方法：

1.切勿将任何个人资料（完全）放在区块链上。

2.使用加强隐私的技术，并确保个人资料不会从区块链里传出来。

3.获得一个永久的理由。

4.让用户自己将数据放到公共区块链上。

5.建立专门的区块链。

INDUSTRIA董事Petko Karamotchev参加了上述两项活动，并向我们发送了日内瓦大学区块链和GDPR研讨会以及Jorn Erbguth组织的WSIS会议的照片。

解决方法： 分布式账本技术（DLT）

虽然它的这些原则不容易应用于开放的公共区块链，但分布式账本技术（DLT）可能提供了一个解决方案。DLT与区块链的主要特性相同——它是一个去中心化的数据库，每个参与者复制并保存相同的信息副本。没有一个中央机构管理总账。它更灵活，设计更适合符合GDPR的要求：

1、虽然任何人都可以加入公开的公共区块链，但是DLT允许通过许可访问网络的解决方案。各方在这样一个网络上的作用和责任更容易界定，在数据保护方面也有更好的责任制。

2、可以设计一个DLT体系结构，使事务数据不会广播到整个网络，相反，相关方只有在“需要知道”的基础上才会收到它。与全局广播模型相比，这种方法允许更少的数据增加。

3、DLT中的协商一致机制可以基于某些参与者的事务验证，而不是整个网络。减少了数据传播，提供了更安全的环境。避免了块挖掘机制，避免了数据的删除。

Corda和GDPR——天作之合？

Corda服务与GDPR共谋发展

分布式账本技术（DLT）的一个应用是R3的Corda，该技术特别灵活，并且能够很好地满足GDPR的要求。它是一个全球性的网络，与公开的区块链有一些显著的不同：

1、允许进入Corda网络。

2、Corda流的交易信息是逐点的，共识是基于被称为公证人的网络参与者的交易验证，避免了在原始区块链中使用的“工作量证明”或块挖掘。

3、这是一个开源项目，任何人都可以建立一个商业网络并应用他们自己的设计，都可以自己负责去遵守GDPR。

为了方便平台的应用，Corda开发人员部署了Corda网络——一个由网络参与者操作的节点组成的公共网络。它的目的是支持许多节点的子网，它们有自己的协调方和成员和使用规则。与Internet非常相似，Corda网络为互连和高速事务流提供主干服务。

Corda网络服务的设计符合资料私隐及GDPR的规定：

1、门卫服务收集用户和运营商加入商业网络的信息，包括联系人姓名、电话号码或电子邮件地址等个人数据。数据存储在一个私有的、安全的数据库中，而不是广播到网络。如果一方离开网络，属于该方的任何个人资料都将被删除，但须遵守记录的延迟规则，并且没有任何商业理由存储这些资料。Corda通过设置该程序，符合数据主体“被遗忘权”和数据删除权的GDPR要求。

2、网络地图服务使参与者能够通过网络彼此查找和通信。作为本服务的一部分，网络参与者之间不共享任何个人资料。

3、公证服务提供网络共识，保证每笔交易的唯一性和终局性。目前，Corda Network Foundation只提供非验证性公证人，他们只查看事务的子集来确定事务的顺序和惟一性。本服务不会处理或储存任何个人资料。

Corda有一套处理数据泄露的程序

1、Corda Network Foundation组织运营商将在得知个人数据被泄露后72小时内通知受影响方。

2、如果自然人的权利和自由受到威胁，将通知监督当局。

3、运营商将立即通知Corda Network Foundation Board组织 。

Corda在努力提供数据隐私和保护个人数据的同时，用户也有责任保护自己。与区块链解决方案提供商讨论任何隐私问题，并为使解决方案符合GDPR做出贡献，这是用户的最佳利益所在。

INDUSTRIA -一个值得信赖的Corda开发商的GDPR兼容的解决方案

在索非亚的INDUSTRIA研发办公室开始为期两天的Corda培训和黑客马拉松活动。

作为R3的合作伙伴，INDUSTRIA充分利用了Corda体系结构独特的数据保护功能。我们的认证Corda开发团队为企业、市场和生态系统创建符合GDPR的区块链和DLT解决方案。我们的产品符合金融等行业的需求，始终注重数据隐私和敏感数据的保护。