#60
2018 / 文章

歐盟新法規,讓區塊鏈更像正規軍

15 分鐘閱讀

嗨,早安!

區塊鏈的最大特色之一,是資料的不可抹滅性。最近有媒體報導,歐盟個資法(GDPR)所強調的「被遺忘權」會讓區塊鏈都不區塊鏈了,甚至有人因此看衰區塊鏈未來的發展。

在我看來這只說了最危言聳聽的一小部分,區塊鏈與歐盟個資法並非零和遊戲。看完這篇之後,你會理解 GDPR 這套法規應該是加速區塊鏈邁向主流的助力,而不是區塊鏈發展路上的阻力。


區塊鏈的不可抹滅性,是許多區塊鏈應用主打的特色,但這不一定是優點。如果企業在區塊鏈上保存的是你的個人資料的話,那它可能已經違法了。

以太坊(Ethereum)上有一個將個人數位身份記錄在區塊鏈上的應用 Parity ICO Passport Service,上個月就因為此而自行宣布終止服務了。

最近大家應該多少都有收到企業寄來的隱私政策(privacy policy)變更通知。主要原因是今年 5 月 28 日是歐盟個資法(General Data Protection Regulation,GDPR)正式實施的日子。GDPR 號稱是史上最嚴的個資法,賦予使用者許多新的權力,例如可以要求企業從資料庫內刪除自己的個資。

雖然多數讀者都不是歐盟公民,但是區塊鏈的應用並沒有地區、國籍之分,也不會有哪些區塊鏈限制特定國家用戶使用。全球用戶都可以使用區塊鏈,也因此區塊鏈的發展必須符合歐盟個資法的規範,才不會觸法。

這對區塊鏈顯然是個挑戰,但是也不用過度擔心,我們先從 GDPR 到底規範了什麼開始看起。

歐盟個資法(GDPR)

了解個資法的第一步,當然是先看哪些資料被歸類在個資的範疇。

根據 iThome 報導:

在了解 GDPR 之前,必須要先對於個人可識別資訊(Personally Identifiable Information,PII)有概念。… 可以識別個人的資訊,已經從過往單純的姓名、性別、電話號碼、住址、身分證字號或是社會安全號碼等向外延伸,在 GDPR 的規範中,更進一步擴展到可以直接或間接過濾出特定對象資料的資料類型,像是網路瀏覽器中的 Cookie、網路 IP 位址,或是包括其他足以識別特定個人身分或性別的基因、生物特徵或醫療資料。

GDPR 擴大個資的認定範圍,例如 Google 可以直接從地圖的 GPS 定位搭配作息時間,猜出哪裡是我家、哪裡是辦公室,而不需要我告訴它地址。

但是,GDPR 對 Google 這樣的企業影響相對小,畢竟我們使用 Google Map 導航總是要將當前的 GPS 位置分享給它,而 且我們也知道 Google 有我們的這些資料。GDPR 說,只要企業取得用戶明確的許可(consent),那就沒問題。

除此之外,GDPR 還賦予用戶隨時從企業的資料庫內離開的權力。讓用戶可以選擇「被遺忘」(right to be forgotten),或者更精確的說是「被抹滅」(right of erasure)。

總結來說,個資用途的知情、同意、被遺忘權這些規範,都是賦予人對資料有更多自主權。目的是讓使用者可以更簡單的管理自己的個資什麼時候要給企業使用,什麼時候要離開。

區塊鏈同樣也是將自主權交還給個人。

自主權:GDPR 與區塊鏈的相似點

舉大家最熟悉的銀行轉帳來說。我們要轉帳之前就得先到銀行開戶,但是開戶得符合一定的條件,例如至少得有身分證明文件,或是幼童開戶得由法定代理人幫忙,而且轉帳的對象也必須經過銀行的認可。不符合這些條件的人想轉帳,就會被銀行拒於門外。

而比特幣區塊鏈(Bitcoin)就是讓任何人點進網站之後,就可以在幾秒鐘之內創造一個收款地址,不需要經過申請、審查。換句話說,使用者在轉帳這件事情上,有更高的自主權。

另一個例子,是應用程式上架。中國政府之前要求蘋果公司將網路翻牆軟體從應用商店 App Store 裡下架,也要求亞馬遜公司終止 AWS 雲端運算平台上的翻牆軟體服務。

以太坊(Ethereum)就是讓任何人都可以上架自己程式的應用平台,這些程式是由全球 1.6 萬個節點幫忙運行,其中將近 40% 是在美國,所以中國政府無從介入。

或者,兩個月前被寫進以太坊的北京大學學生的公開信,就不會像是把文章發在微博、微信一樣被強制刪除。只要找到這筆紀錄,就可以看到公開信。這些都是區塊鏈賦予使用者更高自主權的案例,因為區塊鏈是由程式碼負責運行,只要格式正確就好,沒有人管理內容的正確性。

區塊鏈理論上可以記錄任何資料,就像你硬碟裡面可以放各種檔案一樣。不過,如同我們上一段所說,GDPR 明令資料主人擁有「個資」的抹滅權,區塊鏈能做到嗎?

做不到。

抹滅權:GDPR 與區塊鏈的衝突

區塊鏈是個只能新增(append),但不能刪除內容的帳本。這就像是你只有紙、筆,但沒有橡皮擦。所以,寫錯了就只能在帳本上新增一行,說上面這行寫錯了,但無法擦掉。

這就和 GDPR 強調的抹滅權相衝突,總不能在帳本上新增一行說這個人要求刪除,然而他的個資都還存在吧。這就是最近 GDPR 經常被拿來和區塊鏈一起討論的原因。

但是,不要誤會 GDPR 和區塊鏈完全互斥。

GDPR 限制的重點在於個資,而區塊鏈可以保存各種資料。所以除了個資之外,目前保存在區塊鏈上的其他資料都跟 GDPR 完全無關。相信你已經看出來,最簡單的解決方法就是不要把個資放上區塊鏈就好。

換句話說,未來在設計區塊鏈應用的時候,設計者必須仔細確認沒有將可能被視為個資的資料,「直接」保存在區塊鏈上。違反 GDPR 的代價非常高,最嚴重可以罰到企業全球營業額的 4%

所以,GDPR 與區塊鏈在保存個資這個議題上,有明顯的矛盾。

現在大家想到的另一套可能的解決辦法,是用密碼學領域的「單向雜湊」(one way hash function)將個資變成一串看似亂碼的英文、數字組合,再把這串雜湊保存在區塊鏈上。「單向雜湊」是讓擁有原始資料的人,才能夠算出同樣的雜湊。但擁有雜湊的人,無法回推出原始資料。

擁有雜湊的人無法回推原始資料 / 圖片來源

這個方法或許可行的理由,是個資實際上沒有保存在區塊鏈內,而是保存在企業內部的電腦裡,因此隨時可以刪除。企業刪除使用者個資的同時,區塊鏈上的那串雜湊因為無法回推原始資料,就變得毫無意義了。這就巧妙躲過 GDPR 對個資的定義,所以理論上不歸 GDPR 管轄。

為什麼要保存一個無法回推原始資料的雜湊,在區塊鏈上呢?

這是讓早已習慣傳遞使用者個資的企業,不需要大幅變更既有的工作流程。他們仍然可以傳遞個資的雜湊,只不過雜湊的原始資料,得回頭請使用者授權。

但這可能還是有點風險,最安全的方法肯定是不要把個資放上區塊鏈。那為什麼我會說,GDPR 是區塊鏈邁向主流的助力,而非阻力呢?

區塊鏈需要琢磨,才能邁向主流

我們多次說過,區塊鏈才剛開始發展,任何企業聲稱他們已經把區塊鏈用得爐火純青,通常也都不願意公開給大家檢視,所以難以服眾。

GDPR 並不是第一套與區塊鏈有交集的法規,去年韓國就明令國內的數位貨幣交易所都必須要對用戶進行實名認證,台灣預計也會跟進。這是政府針對區塊鏈「匿名制」的反制手段,最近日本政府也要求交易所改善反洗錢措施,卻導致市場價格一路下跌。

我是覺得很奇怪。如果我們都不是要用比特幣來洗錢或買毒品,這些措施是有助於密碼貨幣(cryptocurrency)邁入正軌的正確方向,只要政府不是過度監管即可。

同樣道理,以前區塊鏈上面什麼東西都可以存,一團混亂。但是現在 GDPR 明確立下規範,就會讓企業不敢再將未來可能要「被遺忘」的個資放在區塊鏈上。

這就像是原本馬路完全沒有設置交通號誌,大家都是趁沒車的時候趕快闖過。GDPR 就像是新設置的紅綠燈,開始讓這個領域有基礎規則可以依循,這對區塊鏈未來的發展當然是一件好事。哪個國際大城市沒有紅綠燈的呢?

紅綠燈當然會讓習慣橫衝直撞的人覺得綁手綁腳,但宏觀來看卻是有助於城市交通順暢的好方法。

長遠來看,區塊鏈還在發展的非常早期階段,本來就有很多有待完備、可調整之處。GDPR 並不會全面打擊區塊鏈的發展,只有將個資保存在區塊鏈上的企業需要設法因應。雖然受影響的可能只是為數不多的區塊鏈應用中的少數,但卻是區塊鏈與法治社會開始交會的碰撞點。

況且,區塊鏈在這不到 10 年的發展歷史上,並不缺打擊。GDPR 不是第一個,也不會是最後一個。區塊鏈就像璞玉一樣有待琢磨,才能閃耀光芒。