不可变记录和GDPR数据主体权利可以共存吗?为什么区块链可能无法满足数据隐私需求?有时在技术行业中,您不得不忍受相互冲突的需求。我们经常发现自己处于平衡“人性与安全”或“法律与技术”的境地。人性vs.安全的例子在密码策略领域很常见——强密码必然伴随着复杂的策略,但现实情况更复杂,因为记不住复杂的密码很容易丢失或暴露密码。区块链和数据隐私之间也存在紧张关系。区块链创建不可逆转的(有时是公开的)记录,但这样做至少在表面上违反了隐私保护法的要求。在数字身份领域,自我主权身份(SSI)的概念开始流行。简单地说,SSI是一种使用区块链技术去中心化数字身份的方法。与此同时,新的和改进的数据隐私立法不断出台,包括欧盟的《通用数据保护条例》(GDPR)和美国的《加州消费者隐私法案》(CCPA)。这些监管立法为数据隐私设定了很高的标准,而这又是通过用户的选择和控制来实现的。那么,问题来了:当你使用区块链创建不可变的账本或身份和数据时,你能否适应数据隐私和用户控制之间的细微差别?,我们还要思考“区块链上的身份”究竟意味着什么。目前业界围绕区块链和身份的讨论都是为了推广SSI的概念,但实际上还有其他方式可以将数字身份或属性状态注册到区块链上。SSI基于去中心化网络的概念,该网络通过共识算法管理“信任根”。Sovrin是SSI领域的先驱。基于信任框架的骨干,Sovrin建立了受托人委员会监督的“去中心化自我认同全球公共设施”。其他区块链身份系统使用区块链以更分层的方式注册身份信息。使用一次性转换哈希加密机制将“身份”注册到区块链。区块链分类帐创建不可变记录。应用于许多区块链的身份的公开、不可变和可散列特性引发了关于隐私的各种讨论。如何实现GDPR等法规要求的数据主体权利?GDPR数据权利和区块链注册的身份数据GDPR的隐私框架基于这样的想法,即在处理个人数据之前必须获得数据所有者的同意。该法规还就如何维护个人数据的机密性和完整性提供了指导。GDPR在欧盟是强制性的,但包括美国在内的其他国家也开始制定类似的立法。GDPR框架包含数据主体的8项权利:了解个人数据的权利访问个人数据的权利更正个人数据的权利删除个人数据的权利限制处理个人数据的权利导出个人数据的权利反对使用个人数据的权利数据这些数据主体的权利和要求中的一些可以根据在区块链上注册的身份数据进行探索。个人数据:隐私的基础SSI存储了使用区块链时用户属性的哈希值。在特定的SSI框架或分层区块链系统的情况下,个人数据的注册方式是伪匿名的。既不能进行零知识证明,也不能进行其他数学运算,并且可以最小化数据呈现。例如,Sovrin使用去中心化标识符(DID)的概念来防止用户和数据被链接。作为另一个示例,BitCardID使用数学证明来执行数据混淆或最小化——例如显示年龄而不是生日。默认情况下,这些方法通过设计将一定程度的隐私嵌入到基于框架的任何身份系统中。同意这是一个应该从一开始就设计到身份系统中的想法和功能。同意用于建立关系。但区块链的不变性在同意收据的意义上具有积极作用,可用于创建同意成立和撤销的记录。不可变记录的修正——更正如果个人数据被记录在区块链上,更正不正确数据的权利可能会受到挑战。事实上,块是不可变的。但它们带有时间戳,可以添加新块来更新以前的条目。问题是访问了错误的块。这是需要仔细设计考虑的地方,获得许可的私有区块链可能是最佳选择。对不可变记录进行更改——取消擦除块的能力(这样数据就可以被遗忘)是区块链的另一个症结所在。区块链的不变性显然是一个棘手的问题。你无法在不破坏链的情况下清除不可变的区块链记录——每个块都依赖于前一个块。甚至不使用授权的私人分类账并撤销访问权限,因为数据没有被严格删除。可能满足此要求的唯一方法是将数据与区块链注册表分离。一种替代方法是注册状态或引用,例如“KYC验证”,或最小化/伪匿名数据集而不是完整的个人身份数据(PII)。这个SSI平台并不总是可行的。用区块链存储身份记录比传统的数据库存储有一定的优势。它可以提供一些匿名性和数据最小化,尤其是当身份与??金融交易相结合时。透明但保密的交易也可以通过区块链提供。并且因为降低了单点故障的概率,安全性也可以得到提升。与许多技术层面类似,区块链也有优点和缺点。与加密等其他技术一样,解决这些问题的最终是实施和相关平台控制。您必须在从完全开放的SSI框架(例如Sovrin)到私有许可分类账的选项之间谨慎选择。选择时,请充分考虑数据隐私和GDPR等法规。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信?id:gooann-sectv)获得授权】点此阅读作者更多好文
