GDPR与区块链的兼容性

Garth Landers

企业在实施区块链技术须考虑是否能与GDPR兼容，拥有区块链并使之与GDPR相互兼容看似困难，但却是可以做到的。

安全与风险管理者须考虑GDPR是否适用于企业区块链与个人数据

企业在实施区块链技术之前，一定要确定他们的信息是否会受到欧盟通用数据保护规则（GDPR）的管理，同时，还需要了解区块链是否在本质上违背了GDPR。例如，区块链的核心原则是不可更改的，即一旦数据被记录之后，将不能再被篡改，但GDPR规定，用户可以删除个人数据。这样看来，区块链与GDPR之间存在着一些矛盾。

事实上，企业又必须谨慎判断是否应使用区块链技术，尽管区块链和GDPR各自的特点很快引起了公众对它们之间兼容性的担忧，但它们的结合仍然使得新兴的管理手段和技术趋势得以强强联合。安全与风险管理者必须采取防护措施，确保区块链设计与GDPR相匹配。

判断GDPR是否适用

总体而言，GDPR将适用于任何企业包含有个人数据的区块链。由于该规定适用范围的问题，一些企业可能尚不确定他们的区块链是否会受到GDPR的管理。企业评估自己的区块链是否会受到GDPR的管理时，需要考虑以下三个问题：

1. 是否有向欧盟提供货品或服务。

2. 是否有分析或者监控欧盟居民的行为（包括网络行为）。

3. 是否有代表欧盟的公司处理欧盟居民的个人数据。

如果有涉及到上述问题中提到的任何一种行为，企业都应该进一步确定他们的技术是否符合GDPR的规定。须要注意的是，如果他们的工作涉及到欧盟居民的数据，那么即便他们在欧盟之外，也是要受到GDPR的管理。由于区块链与GDPR的不兼容性将会带来高达2000万欧元或是百分之四的年度营业额损失，所有企业都希望建立一个判断GDPR是否适用的体系。

区块链的不可更改性与对个人数据的权利

GDPR中规定了用户对数据主体的权利：用户有权利知道他们的数据如何被处理，有权利更改数据、移植数据以及删除数据。这一“删除数据”或者“让数据被遗忘”的权利，使得数据在删除或移除之后不会被再次使用。公司必须拥有关于删除信息的协议，这一点初看上去并不合理，因为它违背了区块链中数据的不可篡改性。不过，GDPR还引入了“假名化”的概念，这使得公司可以用一個匿名的标签来代替名字。另外，也可以建立一个仅仅存储对个人数据的引用，而不直接存储个人数据的区块链。哈希（hash）和代币（token），都可以被用作对数据的引用。

拥有区块链并使之与GDPR相互兼容是可以做到的。不过，这需要安全风险专家与区块链架构师共同努力，确保存储数据不违背隐私法，同时，可以通过用不同的方式存储数据，甚至是在得到许可的情况下建立区块链来实现。