透过区块链的棱镜审视被遗忘的权利

2020-08-11 09:13:53
Golubev
文章摘要: 由于区块链可用于广泛的任务,例如,从记录对保健从业人员的访问到确定资产所有者,当个人可能希望数据不再以在区块链上输入的方式持有,或者当个人可能要求立即删除与他相关的数据时。

被遗忘的权利指的是欧盟(EU)新出的一般数据保护条例(GDPR)中规定的第17条,并且已经于2017年5月28日生效,授权任何人可以纠正甚至删除影响他人的个人数据和信息,如果出于收集的目的不再需要这些个人数据,或者如果某人尚未同意使用其个人信息,则该信息必须停止处理。

这种权利可能与区块链产生冲突,因为它的一种使用方式是存储文档、信息,并且具有很强的不可变性。

因此,这种新IT技术的主要特征可能与“被遗忘的权利”的基本原则产生深刻的冲突。必须考虑到的是,当数据或信息注册在区块链上时,它就变得独一无二、不可重复,甚至不可磨灭。

信息输入和存储的质量是该技术可靠性的基础,因为在加密能力的框架内,改变它的任何尝试都是不可能的。

这种独特的特性既是一个问题,也是一个优势,一方面保证了信息的安全性,使系统能够防御任何非法或重复的交易,但另一方面,存在防止删除它的可能性。此外,无法纠正错误数据会持续给每个用户造成伤害。

如果有人决定使用他们被遗忘的权利,从区块链中删除或更正他们的个人信息,会发生什么?

答案是,这几乎是不可能的任务。在区块链过程所基于的现有系统中,如果数据被删除,系统中将有一个记录会导致信息的分叉。

数据销毁的另一种方法是移除区块链证书和访问权限,这样任何人都无法同时访问包含在其中的信息和数据。

但是,这些区块链凭证可以通过不同的方法恢复,如“强力”。

IT专业人员建议,这种方式的最现实选择是创建一个新的会计系统,作为可编辑的区块链,允许一个或多个指定的管理员重写或更改数据块。

强调立法者应该从某些技术限制的观点来解释被遗忘的权利的可能性,但与此同时,立法领域中,在保护公民隐私和理解使用区块链的后果及其演变之间,存在一种特殊的平衡。

从这个意义上说,欧盟的法规应该限制区块链系统中“被遗忘权”的范围,接受数据的无限期锁定,而不是强制废除。

然而,为了区块链技术的发展面临更大的风险,欧盟指令(EU)2016/679,这些事实没有考虑在内,可以说,区块链的这个问题是完全看不到的。这个指令的内容是对区块链的威胁,或者更确切地说是对它的技术优势的威胁。

从今天起,随着区块链被用于越来越多的应用程序列表,欧洲隐私法也正变得越来越复杂。

在这一努力中,我们可以看到立法者试图追赶技术的发展,因此,立法在试图保护个人不受这种现代技术的影响。区块链的主要吸引力是永久性、可持续性和透明性,因为存储的数据是添加进去的,很难删除。

然而,由于新的欧盟规则将本质上给予个人不再处理他们的数据的权利——被遗忘的权利。正如在规则中指出的那样,区块链的用户和开发者应该意识到重要的困难和冲突出现了。

我们提醒您,区块链本身修复了一系列的交易,可以包括任何类型的数据和信息。

事实上,任何能以电子方式储存并被计算机识别的记录都可以储存在区块链上,这有可能被广泛的用户使用。

例如,最近有报告说,一些欧盟国家政府正在探讨是否可能使用区块链技术来储存关于福利申领人和申请人的数据,作为在区块链的帮助下建立一个特别的国家登记。

在区块链上,数据和信息仅由对等节点网络添加和维护,其中每个节点都有一个区块链的副本,并有同等的权限添加到其中。这是区块链的一个主要吸引人的地方,因为一旦嵌入了一些数据,如果没有网络中其他节点的批准,就不能对数据进行修改。但是,在涉及到个人数据的情况下,无法删除数据可能会导致一些问题,特别是在欧盟立法新出台的法律的情况下。

特别是上面提到的新欧盟数据保护条例(GDPR),经过4年多的谈判,于2016年早些时候通过,取代了一项已有20多年历史的法律(指令(欧盟)95/46),其中引入了被遗忘的权利。

一般来说,这意味着如果个人不再希望他的资料被处理,而又没有合法的理由保留这些资料,他可以要求控制他的资料和资料的人从区块链中删除这些资料。

由于一般数据保护条例(GDPR)将适用于所有在欧盟处理数据的人或处理与欧盟数据主体相关的数据的人,因此很容易理解这如何能够扩展到存储数据的对等网络中的数据,这样,现在有人可以在技术上要求网络中的数据擦除他们在系统中保存的数据。因此,满足被遗忘权的要求在技术上是不现实的。

由于指令(EU)2016/679已在2018年春季成为欧盟(包括英国)的法律,尽管英国脱欧,但这为参与区块链操作的所有人都提供了先决条件,并且适用了一般数据保护条例(GDPR),以便及时解决某些任务,从而最大限度地降低在欧盟中被遗忘的权利。

冲突:技术违法

由于区块链可用于广泛的任务,例如,从记录对保健从业人员的访问到确定资产所有者,当个人可能希望数据不再以在区块链上输入的方式持有,或者当个人可能要求立即删除与他相关的数据时。

然而,为了删除所有数据和信息,不同的节点必须协同工作,从一开始就重建添加数据(这是无用的)的区块链。

然而,为了删除所有数据和信息,各个节点必须从添加数据的开始就一起工作来重新构建区块链,这是没有用的。与此同时,有一些可以也应该考虑的步骤,可以降低法院命令强制删除数据的风险,或者更糟的是,由于未能认识到这种被遗忘的权利并满足其恢复要求而关闭节点的风险。

特别是在区块链和网络的内容构建过程中,要注重信息的质量和结构,从一开始就支持它们,同时降低风险。一个关键的方法可以减少这种风险:简单地使用区块链提供时间戳信息存储在其他地方——例如,在网站上。

同样,在设计交易时,要考虑它们不能用于添加可能包括个人数据的评论或信息。所有这些都会有所帮助,至少在遵守隐私政策的基本原则方面是这样的。其他解决方案可能包括控制在受信任节点的对等网络中公开的过程,因此,将数据隐藏在区块链中,首先不应共享,或在区块链中加密数据,尽管如果解密密钥公开或丢失,可能会出现此类问题。

当然,由于被遗忘的权利在区块链技术的背景下被处理,还有待观察。例如,是否认为保留交易区块有正当理由,以及欧盟监管机构/法院以哪种方式在管辖权障碍方面实施这一权利?

当然,在区块链技术的背景下,被遗忘的权利还有待观察。例如,是否可以认为保留交易区块有合法的理由,以及欧盟监管机构/法院将以何种方式在司法障碍方面实施这一权利?

这些只是在考虑这个问题时出现的几个关键问题。不过,对于区块链的所有用户来说,我的建议是,法律环境的这种变化需要仔细规划和审查其活动。

正如我前面提到的,每天我们都不断听到关于所有全新的软件产品是如何出现在区块链技术上的。一种加密的安全技术(通过成员共识的方式进行保护)正在成为解决许多问题和消除我们周围世界的低效的方法。

这不仅仅是关于技术改进或商业模式的重建:不同的区块链用例和示例将在经济、社会,也许还会在政治上留下永久的印记。区块链,尤其是像比特币或以太坊这样的公共货币,打破了许多范式,包括合法的范式。

因此,我们正在进入一个有趣的过渡时期,在这一技术的连续应用将遇到法律规范,而这些法律规范并不总是能够适应新的现实。其中一个最有趣和耐人寻味的分析例子是个人资料的保护。

从讨论中的问题中可以清楚地认识到这一点。在区块链已经存在的许多领域,如金融、医疗保健、电子识别系统等,保护个人数据的法律法规非常重要。

区块链的缺点和优点

首先,为什么区块链网络对个人数据的保护是一个挑战?最终有三个主要原因:

·区块链网络是去中心化分布的。实际上,要确定对区块链上发生的事情和处理个人资料负责的主体是不可能的。

·区块链网络是公开透明的。作为一条规则,区块链上的所有信息,可能包括个人数据,对每个人都是可访问的。

·区块链是否限制了收集和处理数据的目的?

根据《处理个人资料条例》,处理个人资料的具体目的必须指明、明确及合法(目的限制)。所提供的个人资料应足够、相关,并以处理该等资料的目的(尽量减少资料)所需的资料为限。

这些只是GDPR提出的原则的例子。同时,在一个公共的区块链中,数据维护在网络的每个节点上,任何人都可以公开访问,无论其收集和处理的原始目的是什么,这显然与GDPR的概念相矛盾

·区块链是否预先设计并与个人数据保护系统兼容?

·被遗忘权如何实现?

区块链网络实际上是不可编辑的,其中保存的数据通常不可能更新、删除、更改或更正。

·由于无法指明数据控制器,谁对违反上述要求和义务承担责任?

除了第17条之外,GDPR还可能对区块链造成哪些威胁?

访问权

《GDPR》第15条规定,个人有权了解谁有权查阅其个人资料,哪些资料已公开,以及这些资料如何被使用或处理。此外,个人必须能够按需免费获得正在处理的数字信息的副本。

同意的权利

虽然对GDPR来说并不新鲜,但该条例继续明确规定(具体在第7条中),个人必须同意使用数据,而且有权在任何时候撤销该同意。

正确的可移植性

可携性权概述个人有权接收以数码格式提供给管制员的个人资料,并可按需要传送该等资料。有效地说,个人应该能够获得、移动和提供他们认为合适的数字数据。

数据最小化的权利

在GDPR第25条中,处理器被强制使用“…只处理为处理的每个特定目的所必需的个人数据”。该义务适用于收集的个人资料的数量、处理的程度、储存的时间以及获取这些资料的途径。的意思是只应给予所需的最低数量的个人资料。

通过数据保护法的棱镜来审视区块链——尤其是像GDPR这样雄心勃勃的法律——是一个有趣的尝试,因为这不仅仅是一个结论,即这项技术的应用会产生法律问题。

这只是问题的一面。区块链还可能成为未来为应对数据保护法规而开发的机构、系统和机制的重要组成部分。为了获得最大的效率,区块链元素可能会与传统的解决方案结合使用。

利用这项技术的优点,可建立真正有效的保障个人资料架构,使资料当事人有实际权力控制其资料的使用方式。因此,我们今天面临着相当大的挑战。

我们应该解释这些法则,并设计和构建区块链应用程序,以最大限度地发挥它们的协同作用。

否则,我们就会陷入法律阻碍技术和创新的发展,而个人数据受到的保护越来越少。GDPR和区块链的支持者们共同指出了一件事——需要从根本上改变个人数据的管理方式。

信息化软件服务网 - 助力数字中国建设 | 责编:莎莉
文明上网,理性发言!请遵守新闻评论服务协议
评论