跨链之后,区块链的下一个高边疆 新罚款时代合规利器“隐私科技”

　　原标题：跨链之后,区块链的下一个高边疆 新罚款时代合规利器“隐私科技”

 

　　2018年5月25日，欧盟基于1995年制定的《计算机数据保护法》正式出台《通用数据保护条例》（GeneralDataProtectionRegulation，简称GDPR）。“有趣”的是，虽然该法规出台已有一年多时间，但似乎很少有人关注，直到最近英国信息委员会办公室发表声明称英国航空（BritishAirways）因违反《通用数据保护条例》被罚近2亿英镑、以及万豪酒店因泄露客户数据被罚近1亿英镑之后，这个“条例”才引起了业内的广泛警惕——原来，海外监管机构罚起款来也一点不手软啊！什么是《通用数据保护条例》？《通用数据保护条例》可以算是欧盟有史以来最为严格的网络数据管理法规，其最大的特点在于限制企业对个人用户数据的使用权，简单来说，就是只要在欧盟地区开展业务经营的企业，尤其是互联网公司，在使用用户个人数据前必须先征得用户的同意，无论这家企业的业务范围是什么、从事的行业是什么、或是企业的经营形式是什么。为什么会“忽然”开出巨额罚单？实际上，欧盟《通用数据保护条例》早在2016年4月就已经酝酿推出，当时给了各大企业大约两年时间来“缓冲”。更重要的是，经过欧洲议会（下议院）和欧盟理事会（上议院）通过的《通用数据保护条例》在法律框架内属于“条例”，这意味着它无需通过成员国的本国议会同意，可以直接在各个欧盟成员国内直接执行实施，要知道目前欧盟一共有28个成员国，该条例覆盖的总人口超过5.1亿，监管部门征收罚款的权力一下子被大大提升了。有观点指出，欧盟境内近年出现贸易主义抬头的倾向，《通用数据保护条例》合规有可能会成为欧盟本土保护的新手段，不合规的企业很容易被监管机构盯上，就像上文提到的英国航空和万豪酒店一样。欧盟成员国政府也有可能出于保护本国企业的目的实施针对性地调查，很多在欧盟地区开展业务的海外企业将因此面临巨大的处罚风险。另一方面，随着支持英国脱欧的保守党鲍里斯·约翰逊当选为该国首相，本次针对英国公司的罚款似乎有一种“不罚来不及”的感觉——虽然目前还不清楚英国脱欧之后是否会对《通用数据保护条例》在该国实施产生影响。

 

　　当然，也有人也提出过一个“阴谋论”，认为欧洲很多国家的经济状况表现并不尽如人意，因此希望通过巨额罚款来补充自己的财政收入。《通用数据保护条例》可以对公司罚多少钱？为了确保企业认真对待《通用数据保护条例》的监管要求，该法规赋予欧盟各国数据监管机构最高2000万欧元、或全球年度营业额的4%的罚款，根据违规严重程度以金额较大的数字为准。举个例子，这次英国航空公司被罚款的金额是其全球年度营业额的1.5%，如果按照最高罚款比例的话，罚金可能会达到4.89亿英镑。由此我们可以看出，被爆出“剑桥分析丑闻”的Facebook可以说躲过了一劫。此前，Facebook将8700万用户数据在未经用户充分同意的条件下共享给了第三方开发商、政治战略公司剑桥分析（CambrigeAnalytica），该公司涉嫌左右了美国总统特朗普胜选和英国脱欧投票。但最终，因为该事件发生时《通用数据保护条例》尚未实施，因此Facebook公司仅被罚款50万英镑。鉴于Facebook在2017年全球收入为407亿美元（约合315亿英镑），如果按照《通用数据保护条例》新规执行的话，他们将会被处以最高12.6亿英镑的罚款。社交网络公司也许还有暂时规避的办法（虽然并不清楚这些规避的方法是否可持续），但依赖攫取工业数据（例如用户驾驶习惯、健康状况等）的公司也许今后很难应对数据保护法案合规的挑战了。罚款的钱最后会流到哪里？这个问题很简单，因为——《通用数据保护条例》罚款的钱最后将会返还给各国财政部。企业可以与《通用数据保护条例》“对抗”吗？不可否认，《通用数据保护条例》未来的监管力度只会越来越大，尤其是在在数字时代，企业对个人用户数据的使用权一直饱受争议。英国航空和万豪酒店已经为其他公司提供了警示，当然《通用数据保护条例》允许企业就罚款数额提出上诉，并有28天时间进行辩解。此外，从发布拟议的罚款通知到最终做出判决，监管机构最多有十六周时间。但问题是，今后企业在“监管高压”之下是不是会对数据使用变得畏手畏脚了呢？毕竟对任何一家企业而言，每年拿出4%的收入交罚款绝不是个小数字，但又该如何既满足《通用数据保护条例》的规定，又能让自己手上的数据发挥最大价值呢？事实上，区块链技术此时就能给出一个答案：如果我们构建一个区块链网络，不仅可以有效追踪原始数据来源和去向，而且还能确保网络内的所有用户使用的数据都是加密且符合监管要求。比如Lisk上 侧链项目、柏林区块链公司Madana就在遵守《通用数据保护条例》“Privacy-by-Design隐私设计”要求的基础上为跨行业数据共享和数据分析提供了一个透明的平台，让用户自己掌握自己的“数据主权”。作为一个开源DApp平台，Lisk两位联合创始人MaxKordek和OliverBeddows一直期望利用侧链技术解决内容和数字资产在不同区块链之间的互相转移。事实上，这个技术恰恰是《通用数据保护条例》所需要的，因为当用户数据归属到“自己手上”之后不可能只在一个平台（或是一个APP）上使用，所以只有解决了不同系统之间的互操作性问题，才能做到在满足《通用数据保护条例》监管要求下实现“个人数据”的跨行业应用。如果我们分析一下MADANA的系统架构，就会明白为什么他们如此有信心能满足《通用数据保护条例》的监管要求了。如下图所示，用户的个人数据都是存储在他们自己的设备上，基于去中心化数据存储，MADANA系统只有在获得许可之后才能访问数据，之后他们会对每个独立数据进行加密，每个人将拥有 的密钥，意味着只有他们自己才能在需要的时候“解密”个人数据。更重要的是，MADANA这种模式可以最大程度地限制黑客攻击威胁，因为通过去中心化数据存储，黑客不得不一个个去破解密钥，高昂的成本将使他们不得不放弃攻击。