主页 > 环境会议 >当绝对公开的区块链遇上绝对隐私的 GDPR,企业该如何找到两 >

当绝对公开的区块链遇上绝对隐私的 GDPR,企业该如何找到两

2020-07-09
阅读指数:497

当绝对公开的区块链遇上绝对隐私的 GDPR,企业该如何找到两

作者:趋势科技产品经理 陈玉书

一款由日本 17 岁天才高中生山内奏人所开发的 App「ONE」,吸引消费者主动出售购物收据及清单, 引起日本民众争相下载并且由于反应太过热烈而暂停服务,以重新确定商业模式后再出发。

该平台的核心概念,成功地将消费者的隐藏资讯和价值的非对称性,转化为消费者自主性的贩售行为,并且在行销包装上摆脱了个资侵犯的疑虑,这对于以区块链技术所搭建的数位资产及资料交易中心服务,不啻为一个值得研究的个案探讨与市场趋势。

如今个资保护的意识抬头,使用者常常不自觉地默认社交媒体广告提供商连结自身的浏览内容记录, 然而在号称史上最严格的个资保护法规 GDPR 于 2018 五月正式上路后, 任何软体平台服务都必须更谨小慎微的检验自身取用的消费者资讯以及重新思考其商业应用模式。

当绝对公开的区块链遇上绝对隐私的 GDPR,企业该如何找到两GDPR 与区块链技术本质上抵触没关係,只要将个资「分类」好就能达到最佳合作

GDPR 规範服务提供商必须确保用户对资料的存取权(Right to Access)、被遗忘权(Right to Be Forgotten)及迁移权(Right to Data Portability),因此,当一个服务要使用消费者资料时,必须清楚说明资料将用于何处、如何被使用,且有义务进行资料保护,并允许用户完全删除资料或停止使用该资料,甚至决定是否授权资料共享。

这三大赋予使用者的权利在表面上看来都与区块链的技术有某程度的隔阂与抵触,但表面不足以为论,仔细深究 GDPR 对个人资料的定义: 只要资料具备个人可识别资讯(Personally Identifiable Information, PII)或可被辨识为自然人的条件,就符合 GDPR 保护伞下规範的个资 。

因此个人相关资料如姓名、地址、电子邮件等固不待言,个人所属电子设备的 Cookie ID、MAC 位址等甚或与个人身份有关联的假名资料(Pseudonymous Data)亦属于保护个资。

以前述的 App「One」为例,使用者的消费发票只要连结上使用者传送设备的 IP 及地理资讯,也有可能关联成为 PII 资料,但该服务却成功而透明的让使用者自己选择是否交易其资料引为其他商业用途。

如此说来,在基于区块链技术发展的平台上,我们实不必纠结于技术天性的适切与否,而是每个平台服务商都对本身的商业模式如何引用消费者资料的模式行为做好极细緻的分析与分类: 属于 GDPR 保护的个资则划分出来回归消费者掌控;而非 GDPR 规範的个人资料,则在商业模式的引导下成为区块链分散帐本上的纪录资料。

我们再次回归以资料为核心价值的商业模式。当软体必须引用使用者数据如浏览搜寻纪录或软体安装清单等,不仅只是公诸于 EULA(End User License Agreement)要求使用者被动的接受,而是彻底翻转其基础架构,从平台技术及行销上构建一个足为资料拥有者信赖而透明的机制与平台,资料拥有者能在完全掌控资料的基础上,先期在平台上选择是否开放或贩售其资料,其后的软体服务便能引用所授权或购买的资料进行下一步的商业运用。

当绝对公开的区块链遇上绝对隐私的 GDPR,企业该如何找到两区块链应用物联网,会遇到什幺限制?

以资料为中心运转的商业模式,正是万物联网(IoT)的主要利基与诉求。当连网装置的数量级由万至百万甚至到亿等级,既有的云端架构,所呈现问题将发散在资料传输网络频宽、云端运算力、资料备援以及中介单位的被信任程度。相对地, 区块链的私钥地址身份认证、分散式帐本、交易採取的共识机制等技术又不可或免地带来交易速度限制与私钥控管等关键问题。

那幺在实业的应用上,不管企业所面临的垂直场域是智慧城市或智慧工厂,坚持地朝向某一方并宣扬其解决问题的能力似乎是极为不智的做法。相对地,审慎剖析应用场域的每个环节,了解企业核心内部独特的价值能力,採用适切的技术而不套用全部链圈或云端才是趋势科技的服务平台所要传递的价值。

当绝对公开的区块链遇上绝对隐私的 GDPR,企业该如何找到两

区块链与边缘运算能如何做好「数位认证」的工作?

IoT 装置的数位认证 IoT 装置上链的工作重点在于如何进行私钥管理,从整合至晶片层级的可信赖平台模组(TPM)或 Trusted Zone、採用晶片卡的私钥管理档案系统甚至是其分支的冷钱包(Cold Wallet),这些既有的方案可以直接整合至基于区块链技术而打造的管理服务平台。

再者,由于 区块链去中心化分散式架构的原生属性,似乎可以与边缘运算的应用需求整合开发 ,然而仍须面对交易速度的囿限以及交易帐本是否须全面同步的问题。在万物联网的实用场景里,我们当然不希望每一个端点间的沟通互控,都必须发起一个区块链的交易到交易池里等着被共识机制处理运算,尤其在许多的应用情境,端点间的即时处理是达到厘秒乃至微秒的需求。

最后回到资料的数位认证,把资料的控制权从云端上的中央资料库拉回资料产生者的手中并且配合市场生态圈的说明和支援, 构建一个消除资料拥有者与需求者双方资讯不对称的开放平台或端点入口 以从根本上消弭个资洩漏的迷思与软体服务提供商在设计软体上对消费者资料需求的穿透性与便利性。

区块链能如何应用在产品设计与市场需求上?

再回头看看 App「One」引以为成功要素的核心思考:「你无用的资讯是我的宝物」。然而,这正好也是最困难的一里路, 如何让使用者摆脱洩露个人资料的疑虑而愿意在平台上从事资料的买卖交易 。

「One」在推出时,有意无意地让使用者接受了废弃的发票也可赚点小钱的念头,可是并不是每个软题服务都恰恰踩在这个使用者可以欣然接受的甜蜜点,在区块链的研究发展上,企业面临了需要权力克服的两大课题:产品服务或 App 的使用者经验设计以及消费者是否已经準备好全盘掌控自己的资料并以之为交易。

在产品服务的设计上,我们当然不希望区块链仍然维持原生的杂凑交易位址或种种不那幺使用者友善的介面流程设计;而消费者长期被搜寻、社交媒体、第三方单位持有的资料一下子回归到消费者手中而引以为交易资产也需要一段时间让市场消化接受。

下图我们初步分析了基于这两大课题四个面向的市场趋势。多数的链圈开发者致力于区块链技术的完备,包括加入智能合约或持续演进共识 机制等,并且已国际大厂的力量策略结盟生态圈各层面的协力厂商;而利基型的产品开发厂商则着眼于产品设计,改善区块链大部分不利于使用者经验的介面流程设计。

当绝对公开的区块链遇上绝对隐私的 GDPR,企业该如何找到两

以 IoT 实业场域的应用来看,将 IoT 装置、网路、云端的安全维护结合基于区块链技术的 IoT 平台

以及云端 AI 处理中心是当前的市场趋势,如何布建全资安和使用者资料的交易平台并导入于下一波

IoT 应用场域的实际应用是当前如何将区块链真正导入到万物联网应用情境的关键思维。

相关阅读: