隐私禁锢机构面对的最大挑战之一是确定谁是区块链和漫衍式账本的节制人。在这些环境下,凡是没有一个切合界说的人或实体可以或许轻松地行使节制器的义务,因为很多人或实体大概孝敬或节制添加到链或总账的小我私家数据。按照所利用的区块链或分类帐范例的差异,识别一个或多个确保隐私遵从性的节制器的容易水平也差异。
CCPA提供了很多大概合用的破例。譬喻,“在企业与消费者之间的一连业务干系中,或以其他方法推行企业与消费者之间的条约的公道预期,”或“只答允按照消费者与企业的干系公道地与消费者的期望保持一致的内部利用”,则答允保存数据。(见Cal.Civ.法典§第1798.105(d)(1)、(7))。既然用户领略区块链应该保持一个不行改变的生意业务记录,那么人们就可以公道地期望它被无限期地维护。
GDPR没有沟通的破例,但确实限制了某些要求删除的权利。譬喻,假如小我私家数据在收集或以其他方法加以处理惩罚的目标方面不再有须要,或在没有正当来由举办处理惩罚的环境下,数据主体可以请求删除。可是,假如数据是一个不行变的生意业务链中的一部门,那么就不需要删除数据,因为(a)数据对付收集它所要到达的目标来说仍然是须要的,可能(b) 区块链及其参加者在掩护链方面的正当好处优先于个体数据主体的删除权。
消除和更正的权利:如上所述,区块链的设计一般是数据一旦输入就不能被改变。这种稳定性与答允数据当事人要求纠正或删除其数据的GDPR和CCPA划定直接斗嘴。一个最初的问题是,是否大概有一个破例的数据删除,可以挪用:
区块链技能被吹嘘为一种通过度手化、暗码学和共鸣来存储信息的安详要领。安详的要害因素之一是利用哈希值加密,这是一种不行逆工程。公钥和私钥的观念是安详的焦点,因为您不能利用公钥并揣度出私钥,没有这两者您就不能会见底层数据。另外,欺诈者不能等闲变动输入值,因为这会建设一个全新的海西值并使整个块无效。自动化处理惩罚
处理惩罚数据当事人的要求
基于许可的区块链: 这是一种网络形式,任何人都可以在适当验证其身份后插手许可的网络,可是用户被授予有限的许可,而且只能在网络上执行某些勾当。由于这些网络凡是是由几个差异的集体成立的,因此CNIL发起区块链协会在项目生命周期中尽早识别节制人。
民众网络带来了更大的挑战,因为识别节制器并不老是那么容易。同意大概是处理惩罚数据的逻辑基本,因为每个孝敬者或许都规划将其数据放在区块链网络上。然而,今朝还不清楚用户同意的工具是谁,除非网络明晰指出数据的吸收方是另一方。另外,GDPR要求同意是详细和明晰的,而不是隐含的。区块链必需事先得到同意,而不是依靠默认同意来支持数据处理惩罚。这是一个可以从一开始就成立管理法则或进一步的禁锢指导中受益的规模。
禁锢机构仍在思量的实现如何遵守数据隐私法。法国国度信息自由数据掩护委员会是第一个以实质性方法办理这一问题的机构。我们将在下文接头法国国度数据掩护委员对若干合规问题的发起和意见。
这是区块链遵守数据掩护法令最坚苦的处所,因为这些法令的原则好像与这些网络不行改变的分手布局不相容。这些请求还需要一个已识此外节制器来接洽,正如上面所提到的,大概并不老是清楚的。以下是某些要求提出的一些详细挑战。确定区块链上小我私家数据的范畴和法令依据
确定谁是节制器,谁是处理惩罚器
数据会见和可移植性请求:这些是主体查明节制器拥有什么信息并以常用的和呆板可读的名目获取该数据的副本的权利。CNIL的态度是,这些权利与区块链的技能属性兼容。然而,除非有明晰的证明,不然这一权利不能等闲行使。
民众的、无许可的区块链: 这种形式的网络是完全开放的,任何人都可以插手、分开、读取、写入和审计民众区块链网络上正在举办的勾当,这有助于民众区块链保持其自治性质。然而,所面对的挑战是确定由谁来思量将网络上的小我私家数据作为节制人。有些人发起由协议开拓人员接受节制人,但也有人担忧,这些开拓人员实际上并没有划定如何利用网络或上传数据。作为数据节制器来打点验证节点是一个更好的例子,因为通过下载和运行软件的行为,节点抉择了处理惩罚的目标和要领。
私有区块链: 这是区块链的一种形式,在这种形式中,参加者只能通过真实的和颠末验证的邀请来插手私有网络,而且必需由网络操纵员或由网络实现的明晰界说的协议举办验证。在这些区块链中,固然还没有来自禁锢机构的明晰指导,但出于隐私问题的思量,网络运营商将是节制人的公道选择。
智能合约: 这些是自动执行的条约,交易两边的协议条款直接写入代码行。代码和协议包括在一个漫衍式、分手的区块链网络中。
按照GDPR,必需奉告小我私家正在举办自动化处理惩罚,他们有权举办人工过问或对决定提出质疑。譬喻,措施处理惩罚小我私家数据以做出贷款或保险的承保决定。一些评论人士认为,假如禁锢机构认为此类条约在对小我私家举办决定时利用了自动处理惩罚,,那么这项权利大概会影响人们利用智能条约的方法。然而,如该处理惩罚是为了在数据当事人与数据管束员之间订立或推行合约所必须的,或基于数据当事人的明晰同意,则该权利并不合用。智能合约系统的开拓人员可以构建一些机制来确保这些异常合用。
可是,除非有一个明晰标识的节制器(譬喻在私有或基于许可的网络中,该网络可以会见网络上的所有数据),不然无法随时挪用此权利。假如一个网络有多个节点,每个节点只能会见小我私家数据的一个子集,那么大概需要成立一种机制,将请求分发给所有需要的节点举办响应。
如介入者必需同意有关条款及细则,则有关合约可作为处理惩罚小我私家数据的基本。正当权益也可以作为一个基本,但这凡是需要确定控权人及控权人在处理惩罚小我私家数据时所处事的好处,并将这些好处与数据当事人的权利和自由加以衡量。假如节制器的标识不清楚,则很难将此阐明应用于区块链中。
正如上面接头所显示的,在适当确定这些网络中的节制器和处理惩罚器方面,仍然需要从禁锢者哪里获得进一步的指导和澄清。与此同时,开拓者和运营商应该思量开拓一个协议框架来处理惩罚数据隐私。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
