立法者终于开始认真对待数据隐私保护——2019监管摘要

技术狂热者相信区块链也有潜力为公民的个人数据和身份管理带来革命性的变革，然而迄今为止，这些希望在很大程度上是一种奢求。其中一个原因就是因为监管的不确定性：全球各地的立法者都很难应对铺天盖地的网络经济带来的数据安全方面的挑战。

2019年，几个主要的司法管辖区的监管机构在逐渐认识到数据的经济价值的情况下，加快了加强和标准化数据安全政策的努力。随着下一个十年的开始，隐私增强技术领域将继续产生新的解决方案，这些解决方案将塑造这个行业。

GDPR影响

几乎所有观察家都认为，欧盟的通用数据保护条例(General Data Protection Regulation )在过去一年间，对全球隐私保护领域的格局产生了重大影响。尽管这一过程在2018年就已经正式开始，但去年才是大量合规和执法工作真正开始活跃起来的一年。

根据法令规定，英国航空公司和万豪酒店成为第一批面临数百万罚款的公司。这项立法的在全球范围内产生的后果还包括许多其它司法管辖区开始寻求获得GDPR的合规地位，以实现跨境数据交换。加密货币项目Horizen的总法律顾问Dean Steinbeck告诉Cointelegraph：

“不出所料，许多非欧盟国家正在其管辖范围内以欧盟马首是瞻并且贯彻执行类似GDPR的法令规则。例如，阿根廷、澳大利亚和巴西都已采取行动，实施与GDPR非常相似的数据隐私法。”

在美国，立法者也在激烈地辩论有关数据使用问题。11月，美国国会金融技术特别工作组（Congressional Task Force on Financial Technologies）就这一问题举行了听证会，结果显示，无论是民主党还是共和党，都不满意美国现有的金融数据用例的法律规范。然而，在加州的试点结果出来之前，貌似联邦一级的监管法规不太可能出台。

加州成为第一个实施自己制定的监管框架的州，加州消费者隐私法（CCPA），斯坦贝克（Steinbeck）称之为美国迄今为止最全面的数据隐私法。该法于2020年初生效，与CCPA相关的通知立即大量涌入合规官的收件箱。

马萨诸塞州、纽约州和新泽西州等几个州的立法机关已经提出或宣布了考虑各自的隐私条例的计划。Crowell&Moring律师事务所隐私与网络安全集团合伙人雅诺•万多（Yarno Vanto）表示，这引发了人们的担忧，即美国在数据隐私领域格局可能很快会形成由不同法律拼凑而成的，每项法律都有自己的合规要求。

万多不相信在2020年就能采用统一的联邦法规，因为加州的开创性法规需要一定的时间才能开始实施，然后给联邦监管机构提供经验教训。他指出，CCPA似乎也有一个相当艰难的开端：

“联邦个人信息保护法案不太可能在2020年出台。加利福尼亚州总检察长没有在2019年底前敲定与CCPA相关的实施条例，这使得寻求遵守CCPA的公司在2020年春季将会面临不太舒服的选择，特别是总检察长已经告知，虽然执行工作要到2020年年中才能开始，但2020年上半年发生的公司行为也可能受到执法行动的制约。”

GDPR还在罚款的严重程度方面建立了一个模型。通过对泄露用户数据和错误处理用户数据的行为设定一个高昂的代价，监管机构发出信号，表示他们会认真对待隐私保护问题。就公司而言，他们意识到，除了巨额的合规成本，另一种选择是面对相当额度的罚款。专注于隐私协议的Tide的联合创始人迈克尔洛维（Michael Loewy）告诉 Cointelegraph：

“CCPA对每个记录/违规行为处以2500-7500美元的罚款，这意味着保护隐私现在对加州的企业至关重要，尤其是在美国，这一点更为普遍。预计CCPA合规成本为550亿美元，反映了这一点。我们看到企业正在经历一场“隐私心脏直视手术（privacy-open-heart-surgery）”，投入巨资以减少处理消费者敏感数据可能产生的法律责任。”

密码学正在兴起

随着利益相关者越来越重视数据安全，各种密码学的子领域——区块链只是利用它的技术之一——正在看到面向企业的应用程序的爆炸性增长态势。业内人士预计，未来十年将是该行业的福音。

密码计算网络PlatON创始人兼首席执行官Lilin Sun在接受Cointegraph采访时表示，大数据、人工智能、物联网、云计算和区块链等尖端技术确保了数据的重组，因此，在不久的将来将出现更多的数据丑闻：

“隐私保护计算，以其巨大的潜力，将在未来十年里取得突破性进展。安全多方计算（MPC）、同态加密（HE）、零知识证明（ZKP）等密码学子领域为数据隐私提供了可证明的安全保障。”

区块链公司QEDIT首席执行官兼联合创始人乔纳森鲁阿赫（Jonathan Rouach）也认为，随着2019年系列事件的发生，隐私增强技术（PET）和零知识证明的兴起将具有巨大意义：

“正如世界经济论坛（World Economic Forum）最近发布的一份报告所承认的那样，随着隐私增强技术（PET）领域的重大进展，监管方面也发生了变化，推动了零知识证明（ZKP）加密技术在企业社区中的迅猛的发展势头。”

区块链支持者认为，基于这项技术的解决方案已经成熟，可以解决最紧迫的数据安全问题，同时在强有力的保护和必要时为执法机构等第三方提供访问渠道之间找到一个平衡。Tide的洛伊（Loewy）和他一样乐观：

“区块链技术提供了一个重要的机会，通过提供对敏感数据的‘无需信任’的处理方法，提供一个杀手级应用程序来解决隐私等公民权利/人道主义保护方面的问题。这也是首次有一种技术可以做到在消除访问和存储敏感数据（包括人的因素）的风险的同时又保持了其透明度和可审计性，以防止权力的滥用。”

在区块链和隐私之间的关系上，Rouach提供了另一个有趣的观点。他建议，基于DLT（分布式账本技术）的解决方案可能不仅被视为增强隐私的工具；事实上，其中一些项目可以根据各自的目的而使用改进后的数据安全方案。Rouach认为，从历史上看，缺乏足够的隐私保护阻碍了区块链技术的应用：

“例如，如果没有增加隐私保护层，供应链联盟沿着供应路线部署用于资产跟踪的区块链是不切实际的。从竞争的角度来看，联盟中的生产商也不能传播一些敏感的交易细节，这些细节会泄露有关其销售量、定价或贸易伙伴的机密信息。”

新旧挑战

区块链技术固有的某些特征不符合新的个人信息保护法中有关数据隐私的一些基本原则。最明显的争论点是区块链的不可改变性，这意味着，在确有必要时，也无法删除那些上传到分布式账本上的敏感的或“坏”的数据。第二个是真正区块链的去中心化性，这使得人们很难追踪和确定违反规则行为的责任方。Crowell & Moring的万多告诉Cointelegraph：

“不可变性可防止删除，缺少可识别的“控制器”（GDPR）或“业务主体”（CCPA）是一个挑战。监管机构和各种工作组提出的解决方案，如对区块链中的所有数据进行加密，或将所有个人信息保留在区块链之外，往往在技术上具有挑战性，在实践中很难实施，而这些解决方案是否真的提供了合规性，目前尚不确定。这种法律上的不确定性制造了一个复杂的环境，特别是为区块链初创企业。”

然而，在这些与法律之间产生的特定冲突背后，隐藏着一个更深层次的问题：比如说，一个去中心化的区块链协议项目是否可以做到完全符合GDPR的合规化要求？或者说，它是否应该这样做？专注于隐私的Particl项目营销策略总监保罗施密茨（Paul Schmitzer）认为答案是否定的。施密茨认为纯区块链是开源的，不受任何特定实体的控制。因此，不应要求他们遵守GDPR或其他类似法规：

“如果大多数节点管理员不同意这些更改，则没有任何机构可以强制将法规集成到开放的代码中。真正去中心化的区块链确实处于过去所做的监管工作的边缘地带，监管机构想要做到正确地确定如何监管这些开放协议，将面临巨大的挑战。”

施密泽还指出，区块链项目在去中心化程度上差异很大，其中一些项目的结构更像是传统的自上而下的金融服务业务。像美国证券交易委员会（SEC）这样的监管机构，应该根据自己的判断，逐个确定某个特定项目的中心化程度。

新边界

2019年隐私保护法规的趋势为区块链行业带来了哪些大局？从表面上看，更好的保护隐私数据应该是赋权隐私保护领域。Horizen的斯坦贝克（Steinbeck）也有同样的看法：

“我看到监管部门重新接受了加密技术，并对隐私保护的重要性有了更深的理解。我认为，当前消费者数据隐私保护力度加大的趋势预示着区块链和隐私保护的项目将大有可为。”

隐私保护方面的律师万多仍然担心区块链项目的基本功能和新兴监管框架的普遍要求之间的紧张关系。不过，他认为，监管机构有办法减轻这些冲突造成的不利影响：

“由于几乎所有已经被采用或正在被采用的信息隐私法在不同程度上都与区块链互不兼容，我们可能会看到监管机构采用‘安全港（safe harbors）’，即满足某些要求的区块链，如个人信息的加密，不会被强制执行。产业界将在确保这些安全港与区块链技术发展的兼容方面发挥重要作用。”

无论如何，考虑到目前区块链技术的发展速度，以及主要监管机构对确保足够程度的个人隐私数据保护的最新承诺，观察在隐私领域的监管进展方面，2020年无疑将是令人兴奋的一年。

来源：cointelegraph.cn.com

作者：Kirill Bryanov