综艺动态

让互联网公司破产的隐私法生效区块链公司需要了解的五个要点

2019-11-09 11:32:36来源:励志吧0次阅读

区块链头条

快讯·交易动态·行业观察

让互联网公司破产的隐私法生效区块链公司需要了解的五个要点

编辑:Lynne

近日,欧盟实施的《通用数据保护条例》(简称GDpR)在法律圈和互联网圈引发了热议。在数字货币领域,已有多家加密货币公司宣布参与遵守。

即便是你完全没听过GDpR,也一定在上周收到了大量(外国)互联网公司的隐私政策更新邮件,而这正是因为GDpR在5月25日正式实施了。

一时间,这部被冠以“史上最严数据法”、“欧盟首部数据法”、“让互联网公司破产的隐私法”,引起了包括中国互联网公司及区块链公司在内的行业“恐慌”。

GDpR强调个人数字权利在21世纪日益提高的重要性,被许多人称为“欧盟历史上最受游说的监管”,在最终正式法案发布之前已经被修改了4000屡次。

新法在个人数据隐私权方面的立场,和在处理欧盟公民数据方面,成心地影响了欧盟以外的实体——GDpR称其为“域外适用性”。其法律后果已经影响了欧盟内外的企业和组织,也影响了区块链领域。

在GDpR 5月25日正式生效后,包括比特币钱包公司Xapo、云挖矿服务提供商Genesis Mining和博客发布平台Medium在内的加密货币公司纷纭宣布将遵守该条例。Medium的用户乃至可以在选项页面直接下载自己的个人数据。

而随着区块链技术公司继续开发新的隐私解决方案,以下是这些公司应该记住的关于GDpR的五个关键要点:

让互联网公司破产的隐私法生效区块链公司需要了解的五个要点

个人数据

GDpR适用于“个人数据”,它被定义为“与已识别或可辨认的自然人(‘数据主体’)有关的任何资料”。“数据主体”是指“自然人……可以通过参考辨认……特定于该自然人的……文化或社会身份的标识。”此外,个人数据明确包括了“在线标识符”,其包括Ip地址。

让互联网公司破产的隐私法生效区块链公司需要了解的五个要点

要点1:基本上几近任何能帮助了解某人的数据都可能被视为个人数据。

在GDpR的要求下,个人数据甚至包括经过“假名化”处理的数据,这意味着该数据已经被处理以至于“如果不使用其他信息,它就不能再归属于特定的数据主体”。

加密技术被认为是一种非常有效的假名化手段,而区块链上与链外个人数据相干联的“公钥”也可能被视为“假名化”。

尽管GDpR更喜欢对数据进行加密以实现假名化,但单独使用加密并不会从个人数据的定义中删除底层数据,因此也无法避免GDpR的要求。

要点2:如果存储在链下的个人数据可以很容易地与区块链解决方案中使用的公钥连接,那么公钥很可能被视为已达到假名化状态的数据,但仍被视为GDpR的个人数据主体。

在个人数据被假名化并且将数据归类为自然人所需的附加信息是“不可用”的情况下,GDpR表明数据可被认为是“匿名信息”或“匿名的”。

由于GDpR仅规定了个人数据,任何被认为是匿名的东西都免除在GDpR以外,它是“不触及处理这种类型的匿名信息……”。

这一规定提出了使区块链解决方案符合GDpR的一条路径:

如果区块链架构的设计使得公钥符合匿名信息的定义——确保任何非链式个人数据安全加密,并且解密不可用于允许与公钥重新关联——公钥处理可以就免除GDpR的要求,包括删除权。

要点3:对于任何使用区块链技术和处理个人数据的公司来讲,保留在GDpR下被视为匿名的公钥能力无疑是最关键的问题。

控制者与处理者

受GDpR影响的实体有不同的义务,这取决于它们是个人数据的“控制者”还是“处理者”。

一般来说,控制者“决定处理个人数据的目的和手段”,而处理者则“代表控制者处理个人数据”。

实体作为控制者还是处理者的决定是特定于活动的,而不是特定于实体的。

这意味着在不同的情况下,同一实体可以被视为控制者、处理者或控制者和处理者。作为决定处理方法和目的的实体,控制者在GDpR下的义务要比处理者多得多。

最重要的是,控制者有责任履行个人要求删除、修改或转移其个人资料的请求。

要点4:使用区块链技术的公司应当设计他们自己的系统,这样他们就可以避免确定数据是如何处理和为什么处理的,从而避免起被认为是数据控制者。

数据主体的权利和数据处理的根据

GDpR赋予数据主体与数据控制者相关的各种权利。其中最主要的是数据可移植性的权利(即你带走数据的权利),纠正(即有权修改不正确的资料的权力)和删除的权利。

一般来说,这些权利可以在数据主体的要求下行使,虽然在某些情况下某些权利也有例外,例如根据法律义务处理或保存数据时。

根据数据处理的合法根据,数据控制者增进数据主体权利的义务是不同的。

根据处理目的,处理欧盟个人资料必须得到六个法律基础之一所提供的支持。这些基础是:

同意:数据同意,但须符合一个或多个特定目的。

合约:履行合约所必须的。

法律义务:数据控制者所服从的法律义务的遵守所必需的。

公共利益:对实行公共利益的任务所必需的。

切身利益:对数据主体的切身利益的保护是必要的。

合法的利益:除非被资料当事人的基本权利和自由所覆盖,否则为管理人或第三方的合法权益所必需。

由于同意可随时撤回,这就要求删除在该基础上所收集的任何个人资料,因此,处理个人资料并不是一个明智或可靠的根据,因为这些数据将被输入到区块链中。

一样,虽然可以根据履行合约来收集和处理个人资料,但如果该合约终止或到期的话,那么久必须删除处理这些资料的合法依据。

另一方面,为遵守法律义务而收集的数据可能不受删除权的束缚。

要点5:理解处理数据的可适用的合法基础或基础——特别是在此基础上对数据主体权利的任何可适用限制或例外——并相应地设计您的系统,对于构建与GDpR兼容的区块链解决方案至关重要。

终究,这两股气力是不是会发生冲突还有待肯定。

避免冲突将需要欧盟监管机构做出一些有利的解释,以确保GDpR不会剥夺欧盟和欧盟数据主体享受区块链技术带来的好处。

欧盟官员的一项决定是,在适当设计的区块链解决方案中使用的公钥本身其实不构成个人数据,这将有助于协调区块链技术与GDpR之间的关系。

即便做出了这样的决定,区块链解决方案的用户也应该监控技术发展(尤其是数据存储或加密)是否会影响或改变这种决定。

在这个关键时刻,区块链公司必须理解GDpR的框架,并采取积极的立场、开发技术和法律立场,并仔细考虑GDpR的需求。

随着这两股强大的气力继续出现并发挥作用,欧盟监管机构和区块链技术专家都应当牢记,基于GDpR和区块链的解决方案有许多基本目标。

比如个人有权控制自己的数据以及数据同享的最小化。为了演示区块链和GDpR的兼容性,这些原则应该在区块链解决方案架构中最大限度地发挥作用。

最后的要点:通过正确的技术架构和法律分析,企业可以利用区块链的优点,同时确保存储在区块链上的数据符合GDpR要求。

伟哥治疗阳痿

威尔刚台湾官网

印服神油

分享到:
  • 友情链接
  • 合作伙伴