Garth Landers

企業(yè)在實(shí)施區(qū)塊鏈技術(shù)須考慮是否能與GDPR兼容，擁有區(qū)塊鏈并使之與GDPR相互兼容看似困難，但卻是可以做到的。

安全與風(fēng)險管理者須考慮GDPR是否適用于企業(yè)區(qū)塊鏈與個人數(shù)據(jù)

企業(yè)在實(shí)施區(qū)塊鏈技術(shù)之前，一定要確定他們的信息是否會受到歐盟通用數(shù)據(jù)保護(hù)規(guī)則（GDPR）的管理，同時，還需要了解區(qū)塊鏈?zhǔn)欠裨诒举|(zhì)上違背了GDPR。例如，區(qū)塊鏈的核心原則是不可更改的，即一旦數(shù)據(jù)被記錄之后，將不能再被篡改，但GDPR規(guī)定，用戶可以刪除個人數(shù)據(jù)。這樣看來，區(qū)塊鏈與GDPR之間存在著一些矛盾。

事實(shí)上，企業(yè)又必須謹(jǐn)慎判斷是否應(yīng)使用區(qū)塊鏈技術(shù)，盡管區(qū)塊鏈和GDPR各自的特點(diǎn)很快引起了公眾對它們之間兼容性的擔(dān)憂，但它們的結(jié)合仍然使得新興的管理手段和技術(shù)趨勢得以強(qiáng)強(qiáng)聯(lián)合。安全與風(fēng)險管理者必須采取防護(hù)措施，確保區(qū)塊鏈設(shè)計與GDPR相匹配。

判斷GDPR是否適用

總體而言，GDPR將適用于任何企業(yè)包含有個人數(shù)據(jù)的區(qū)塊鏈。由于該規(guī)定適用范圍的問題，一些企業(yè)可能尚不確定他們的區(qū)塊鏈?zhǔn)欠駮艿紾DPR的管理。企業(yè)評估自己的區(qū)塊鏈?zhǔn)欠駮艿紾DPR的管理時，需要考慮以下三個問題：

1. 是否有向歐盟提供貨品或服務(wù)。

2. 是否有分析或者監(jiān)控歐盟居民的行為（包括網(wǎng)絡(luò)行為）。

3. 是否有代表歐盟的公司處理歐盟居民的個人數(shù)據(jù)。

如果有涉及到上述問題中提到的任何一種行為，企業(yè)都應(yīng)該進(jìn)一步確定他們的技術(shù)是否符合GDPR的規(guī)定。須要注意的是，如果他們的工作涉及到歐盟居民的數(shù)據(jù)，那么即便他們在歐盟之外，也是要受到GDPR的管理。由于區(qū)塊鏈與GDPR的不兼容性將會帶來高達(dá)2000萬歐元或是百分之四的年度營業(yè)額損失，所有企業(yè)都希望建立一個判斷GDPR是否適用的體系。

區(qū)塊鏈的不可更改性與對個人數(shù)據(jù)的權(quán)利

GDPR中規(guī)定了用戶對數(shù)據(jù)主體的權(quán)利：用戶有權(quán)利知道他們的數(shù)據(jù)如何被處理，有權(quán)利更改數(shù)據(jù)、移植數(shù)據(jù)以及刪除數(shù)據(jù)。這一“刪除數(shù)據(jù)”或者“讓數(shù)據(jù)被遺忘”的權(quán)利，使得數(shù)據(jù)在刪除或移除之后不會被再次使用。公司必須擁有關(guān)于刪除信息的協(xié)議，這一點(diǎn)初看上去并不合理，因?yàn)樗`背了區(qū)塊鏈中數(shù)據(jù)的不可篡改性。不過，GDPR還引入了“假名化”的概念，這使得公司可以用一個匿名的標(biāo)簽來代替名字。另外，也可以建立一個僅僅存儲對個人數(shù)據(jù)的引用，而不直接存儲個人數(shù)據(jù)的區(qū)塊鏈。哈希（hash）和代幣（token），都可以被用作對數(shù)據(jù)的引用。

擁有區(qū)塊鏈并使之與GDPR相互兼容是可以做到的。不過，這需要安全風(fēng)險專家與區(qū)塊鏈架構(gòu)師共同努力，確保存儲數(shù)據(jù)不違背隱私法，同時，可以通過用不同的方式存儲數(shù)據(jù)，甚至是在得到許可的情況下建立區(qū)塊鏈來實(shí)現(xiàn)。