图片来源@视觉中国
2018年5月25日,《通用数据保护条例》(GDPR)在欧盟范围内开始实行。GDPR是在欧盟法律中对所有欧盟个人关于数据保护和隐私的规范,涉及了欧洲境外的个人资料出口。GDPR 主要目标为取回公民以及住民对于个人资料的控制,以及为了国际商务而简化在欧盟内的统一规范。
GDPR中对删除权(或者称“被遗忘权”)进行了非常严格的规定。GDPR第17条规定了数据主体的权利,简单来说,当出现部分情形时,数据主体可以要求组织在一个月内删除其个人数据。这些情形包括个人数据对于最初目的而言已不再需要、数据主体撤回了同意声明、数据主体反对处理、数据处理不合法。
如果满足上述一个或多个的原因,组织必须采取合理的步骤来删除个人信息,也包括要求相关第三方删除此类数据。如果组织公开了个人数据,其同样要通知处理这些个人数据的相关方。当然,被遗忘权不是绝对的。删除请求可以被拒绝,例如在言论自由和信息自由的情况下或出于公众利益而进行的处理。
上了链的数据,泼出去的水
对于互联网行业来说,删除数据是一个非常沉重的负担从互联网组织中删除数据并不像在个人计算机上将文件拖进回收站中一样方便快捷,更何况还要删除相关第三方保留的数据。而在区块链行业,“删除权”更是与区块链技术的本意相矛盾:区块链本身不可篡改的特性使得数据主体一旦将数据上链,根本无法通过任何手段进行删除。
与“删除权”类似,GDPR第16条规定的“修正权”同样与区块链技术有着不可调和的矛盾。GDPR赋予的修正权规定相关人员有权要求数据处理责任人对不确切的个人数据进行修正,这在技术上同样是无法实现的。
看上去区块链行业中似乎暂时还没有出现“删除权”的案例和争议,但它的风险的确存在,毕竟不少公链上都已经记录了大量有趣的内容:2018年4月27日,韩朝领导人在韩朝边境板门店“和平之家”举行首脑会谈后签署了《板门店宣言》,这份宣言为维护朝鲜半岛和平与稳定做出了积极贡献。宣言发布后,韩国一名游戏开发者以韩英双语对《板门店宣言》进行了编码,并两个版本的文件永久地存储在了以太坊区块链之上。
2018年七夕,百度推出了“一诺一生,用区块链永久记录我们的爱”活动,情侣们将自己的名字和手机号绑定在一起上链,用区块链不可篡改的特性,让所有节点对情侣们的感情进行共识。京东也借七夕推出了“帽子证明”小程序,依次点击“开始领证”、“创建爱情代码”、“约TA领证”,对方接受邀请后,支付9元服务费,双方就能拥有一张以太坊永久记录的“爱情占有证”。虽然不知道这些情侣是否在一年多之后依然在一起,但这些“爱情记录”的确是无法被删除的。
随着区块链技术的大规模应用,这种风险也逐渐提高。不可否认的是,全社会对个人信息自主性的要求越来越高,区块链技术的应用也一定会带来大量技术本身与“删除权”的冲突。对于数字资产分发、版权相关的区块链应用来说,这种冲突显得更加致命。
可能的方案
一位数字资产分发领域的公链项目负责人Claire告诉链得得APP,其项目从去年起就处于冻结状态,原因正是合规风险过高:“用户发布的内容在上链之后就无法修改,每次修改都会打包新的区块并将之前的区块隐藏,用户无法直接访问这些被修改或删除的数据,但实际上这些数据依然存在。根据GDPR的规定,我们必须将这些数据删除。”
她告诉链得得APP,项目曾经试图利用将这些数据加密之后销毁秘钥的方式来处理这些应该被删除的数据,但律师认为这并不能规避GDPR带来的合规风险。律师认为,理论上,只要有足够的时间、精力和处理能力,任何类型的加密都可以被破解。今天被认为安全的东西在将来可能就不安全了。
因此,只进行了加密的数据是有风险的,而确定这种风险的性质和程度将是讨论的重要部分。
换句话来说。加密数据然后销毁密钥只是在创建一个数据宝藏,一旦使用的密码系统遭到破坏,就可以对它们进行挖掘。这不是在真的删除数据,这只是“暂时”删除了它们,这显然与监管精神相悖。因此,律师认为,这种方式可能无法通过GDPR的审核。
需要注意的是,“被遗忘权”目前仅适用于欧盟区域,在国内目前暂无“被遗忘权”的概念。2016年11月7日发布、2017年6月1日实施的《网络安全法》第四十三条规定:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息……”
从该条的规定中也可以明确看到,我国只规定了删除权,对于合法且在收集、使用方面不具有违约性的个人数据,并没有要求删除和被遗忘的权利。近年来,我国也在探索数据隐私保护相关的监管措施,一些声音也提出将“删除权”的适用范围扩大。因此,“删除权”和区块链技术之间的矛盾依然是区块链行业发展过程当中的重要课题。(本文原发布于链得得,授权钛媒体App发布,作者:大文)