Dapp如何进行合规设计？当不可篡改的区块链遇上

小提示：您能找到这篇{Dapp如何进行合规设计？当不可篡改的区块链遇上}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Dapp如何进行合规设计？当不可篡改的区块链遇上内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

强制执行权遇到不可变的分类帐看起来就像是法律和技术的冲突。一方面，我们制定了 GDPR 让人们了解如何处理相关信息。例如，个人有权要求更正或删除其个人数据。

另一方面，我们有区块链这种被一些人称之为“不可变”分类账的技术。通过结合密码学和信息分发，区块链很难改变或删除“链上”存储的任何信息。

因此，让我们先从 GDPR 和区块链关于数据完整性的不兼容假设开始说起。虽然 GDPR 需要可调整性，但区块链提供了一致性。

当 GDPR 遇到区块链会发生什么呢？

区块链 vs GDPR

一些人认为区块链和 GDPR 从根本上就是不兼容的。当红区块链怀疑论者 David Gerard 警告说，任何试图向你出售个人数据区块链的人都是骗子。

如果是这样，那么区块链运营商如何遵守 GDPR？在欧盟使用区块链处理个人数据的公司是否应该停止提供服务？

我们的研究表明在欧盟使用区块链处理个人数据的公司不应该停止提供服务。相反，我们需要明确“区块链”的含义。我们需要设计使用区块链同时遵守数据保护法的新应用程序。

本文深入探讨了遵守 GDPR 对区块链运营商意味着什么。

GDPR 和个人数据

GDPR 是欧盟出台的处理个人数据的规定。但它并不仅限于欧盟公司，它也适用于欧盟以外在提供商品或服务过程中处理欧盟关于小程序人员个人数据的第三方。

个人数据是一个广义的术语。它涵盖了可以链接到可识别个人的所有信息，包括假名或加密数据。

诚然，使用完全匿名数据的区块链不涉及其中，因为在无法获取任何信息时是很难提供服务的。实际上，许多企业需要根据欧盟设立的 KYC 和反洗钱（AML）规则建立客户身份。而要做到符合 KYC / AML 标准就一定要遵守 GDPR。

GDPR：问责制和保护制

要进一步了解 GDPR，我们首先要考虑到其中的两个基本原则。

首先，GDPR 规定对个人数据处理负责。根据 GDPR，参与数据处理的各方称为“控制器”或“处理器”。数据控制器是确定“处理目的和方式”的一方。把它们想象成厨师的话，他们就是负责设置菜单并决定食谱和配料的角色。

数据处理器就非常像是扮演了一个厨师的角色。它们遵循控制器的指令并代替控制器处理数据。

根据 GDPR，参与数据处理的各方需要扮演好其作为控制者或处理者的角色，并商定一份规定其职责的合同。

其次，GDPR 赋予个人权利。

例如，作为“数据主体”：

1.你有权要求访问公司保存的关于你的信息。

2.如果该信息不正确，你有权要求他们更正。

3.如果你不希望公司保留某些信息，你有权要求他们删除。

GDPR，区块链和设计

让我们仔细思考一个简单的例子。很多人都在他们的简历上写一些虚假信息，有些人甚至假装说自己有本科学历，就像新秀丽的前 CEO 那样。那我们如何发现这种欺骗行为？

大学可以为经过核实的本科学历建立区块链。每所大学都有自己的私钥，这意味着该学校发出的学位都记录在这条链上。然后雇主可以搜索区块链来检测申请人所说的是否属实。

本科学历中也包括了个人数据，那么这个区块链是否符合 百度屏蔽 危机公关GDPR 标准？答案在很大程度上取决于大学如何构建区块链。而我们可以在两种方案中选择：

首先，大学可以建立一个开放的区块链，也称为“公共”或“无权”系统。

为了建立一个开放的区块链，可以制作一款区块链软件并将其公之于众。所有人都可以下载该软件并在本地计算机上运行。任何人都可以成为所谓的“节点”，节点保留区块链的本地副本，并通过点对点网络连接到其他节点，使区块链不断更新。

这样的结果可能是这款区块链会拥有数百甚至数千个节点。这是一个非常有弹性的系统，但从 GDPR 的角度来看它也非常复杂。

首先，让我们仔细思考问责制。虽然大学设计了这一应用程序，但大学不一定会通过区块链处理个人数据。节点可以通过区块链处理个人数据，但节点无法控制系统工作。

在这个例子中，大学并不像一个负责厨房的厨师。相反，大学更像是出版了一本任何人在家做饭时都可以使用的食谱。那么谁是控制器谁是处理器呢？所有这些人应该如何断定控制器处理器协议？

其次，让我们来看看数据主体权利。假设我不再希望我的学位存储在区块链中。大学将如何按照我的要求将其删除？

为了满足这一要求，他们必须说服每个节点从本地副本中删除数据。即使节点内容一致了，区块链技术也存在问题。删除数据会更改区块的哈希值，这会混淆链中将区块连接在一起的哈希指针。

大学可以建立一个封闭的区块链，也称为“私有”或“许可系统”。

为了建立一个封闭的区块链，他们只需自己运行区块链软件。他们要么使用本地机器，要么在云中租用空间。然后每所大学都成为了一个封闭私人网络中的节点。

从 GDPR 的角度来看，这是一个更简单的设置。在问责制方面，大学共同建立并运行该系统。因此，他们可能有资格成为控制者。云服务提供商可能是处理器，因为它代替大学处理数据。大学和云提供商需要签署控制器处理器协议。

那数据主体权利呢？难道它不会破坏链从而编辑或从过去的区块中删除数据吗？针对这一点我们需要相处一个解决方案。

根据 GDPR，区块链应用程序需要允许三个主要操作：

1.搜索与指定个人相关的所有个人数据实例。

2.提取该数据并以便携格式提供给个人。

3.根据要求编辑或删除数据。

执行起来最困难的部分就是：编辑和删除区块链中的数据。

如何从区块链中删除数据

区块链数据并非真正不可改变，而是很难改变。总的来说，节点控制区块链所有的副本。他们可以通过转移到称为“分叉”的新版本来更改存储在链上的数据。

因此，如果大学同意，他们可以删除前一个区块中与某个人相关的数据。虽然这会破坏区块之间的哈希指针，但大学可以通过重新散列区块来简单地更新链接。由于不需要在私有区块链上使用共识机制，因此不需要太多的计算工作。

诚然，人们可能会争辩说，这首先打破了使用区块链的目的。如果大学可以改变链上的数据，那么第三方就不能再独立验证区块链的完整性了。

这是否重要将因应用而异。在某些情况下，节点可以验证和保证区块链足够的完整性（因为它们必须同意并实现任何分叉）。局外人可能只是信任私人区块链运营商来维护分类账。

在上面的例子中，大学是广受信任的机构。雇主或许愿意相信他们只有在法律要求时才进行更改。

隐私设计：允许删除同时保持完整性

这听起来像是一个悖论。一方面，如何在保持区块链完整性的同时删除个人数据呢？然而，有很多有希望的解决方案可以实现这一目标，主要是通过从链中分离（可理解的）个人数据。

第一种技术使用加密手段。在上面的例子中，大学可以使用自己的密钥对加密区块链上的每个条目加密，并且仅在链上存储加密的密文。大学不会删除密文，而只是删除相关的公钥。

虽然密码文本保留在链上，但它不能再被解密。这可能有资格被删除，至少在英国是这样。

诚然，这种方法存在风险。在短期内，删除之前的公钥可能会在安全漏洞中受到损害。从长远来看，加密机制最终可能会通过例如量子计算被破译。

第二种更安全的技术使用脱链存储手段。在上面的例子中，大学可以通过将学位信息输入哈希函数来获取他们希望验证的学位的哈希值。然后，他们将计算出来的哈希值存储在区块链上，同时将学位本身存储在离线链中。

从脱链存储中删除个人数据只会在链上留下哈希值。由于散列是一种方式，因此无法从散列中识别原始信息。

但是从理论上讲，链上留下的哈希仍然可以作为 GDPR 的个人数据。任何拥有输入数据的人都可以通过相同的哈希函数运行它，然后将链上的哈希与潜在个体相关联。

解决方案可以是向个人数据添加“随机数”（随机数据串）局外人更难以将链上的哈希连接到个人。

然而，一些密码学家警告说，胡椒哈希并不是完全安全的，因为他们依赖于保持“服务器端的秘密”。如果 nonce 的安新冠病毒开展危机公关的全性受到损害，那么外人可以将链上的哈希连接到个人。目前尚不清楚胡椒散列是否符合个人数据的要求。

构建符合 GDPR 标准的区块链解决方案

上面的例子说明了符合 GDPR 的方式而设计和操作私有区块链所需的创造性思维。

虽然控制器和处理器相关的问题仍然存在，但一些相同的技术甚至可以用于公共区块链。尽管如此，一些人建议使用“绑定网络规则”来分配问责制。这方面的研究正在进行中。

让我们共同设计创造性的解决方案，以克服区块链的法律挑战。想象一下，如果从现在起一年后，区块链即服务提供商可以向在欧盟希望处理个人数据的任何人提供 GDPR，也就是现成的区块链。然后，我们可以真正释放这种颠覆性技术的力量，同时尊重数据保护权利。