Data science

ทุกสิ่งที่คุณอยากรู้เกี่ยวกับสิทธิที่จะถูกลืมของ GDPR ในบล็อกเชน

อะไรคือปัญหาใหญ่ของสิทธิที่จะถูกลืม (สิทธิในการลบ, บทความ 29) ภายใต้ GDPR? เนื่องจากบล็อคเชนโดยทั่วไปนั้นไม่สามารถเปลี่ยนแปลงได้ และ GDPR จำเป็นต้องลบข้อมูลส่วนบุคคล ผู้คนจำนวนมากจึงสรุปว่าเป็นไปไม่ได้ที่จะจัดเก็บข้อมูลส่วนบุคคลใดๆ บนบล็อคเชน อย่างไรก็ตาม ในความเห็นของฉัน เรื่องนี้จำเป็นต้องมองให้ละเอียดยิ่งขึ้น และอย่างที่นักกฎหมายชอบพูดว่า ทุกอย่างขึ้นอยู่กับสถานการณ์เฉพาะ blockchain ไม่ได้เปลี่ยนแปลงอย่างเคร่งครัดเสมอไป สิทธิ์ที่จะถูกลืมนั้นไม่สมบูรณ์ และคำจำกัดความของข้อมูลส่วนบุคคลยังไม่ชัดเจน 100% หากคุณมองข้ามพาดหัวข่าวและเจาะลึกรายละเอียด คุณจะเห็นสถานการณ์นี้ไม่ใช่ขาวดำ 1. Blockchain นั้นไม่สามารถเปลี่ยนแปลงได้อย่างเคร่งครัดเสมอไป ในบทความแรกบน Blockchain “Bitcoin: A Peer-to-Peer Electronic Cash System” โดย Satoshi Nakamoto มีแนวคิดเรื่องการตัดแต่งกิ่ง: “เมื่อธุรกรรมล่าสุดในเหรียญเป็น ฝังอยู่ใต้บล็อกที่เพียงพอ ธุรกรรมที่ใช้ไปก่อนที่จะทิ้งเพื่อประหยัดเนื้อที่ดิสก์” ความหมายแม้ในโปรโตคอลรุ่นแรกของ Bitcoin มีวิธีการทางเทคนิคในการลบข้อมูลบางอย่างออกจากห่วงโซ่ จนถึงตอนนี้ยังไม่ได้ดำเนินการ แต่มีวิธีการเพื่อให้บรรลุสิ่งนี้โดยไม่ทำลายระบบ เห็นได้ชัดว่าในลักษณะนี้ ผู้ดำเนินการโหนดยังคงสามารถเลือกที่จะรักษาข้อมูลทั้งหมดที่เคยพบ ดังนั้นในทางปฏิบัติสิ่งนี้อาจไม่ใช่กับ Bitcoin เว้นแต่จะมีการป้องกันเพิ่มเติมเพื่อรับประกันว่าสิ่งนี้จะถูกนำไปใช้ ด้วยโปรโตคอลรุ่นที่ใหม่กว่า เช่น EOSIO มีการกำกับดูแลที่ซับซ้อนมากขึ้น โดยกำหนดผู้ผลิตบล็อกบางรายที่สามารถตกลงที่จะลบข้อมูลบางอย่างหรือตกลงร่วมกันที่จะบล็อกการเข้าถึงข้อมูลบางอย่างสำหรับภายนอกตามรัฐธรรมนูญ แม้ว่าสิ่งนี้อาจจำกัดความโปร่งใสและรวมศูนย์การตัดสินใจบางส่วน แต่นี่อาจเป็นวิธีแก้ปัญหาที่เป็นไปได้สำหรับกรณีการใช้งานบางกรณี ตัวอย่างเช่น Europechain ตั้งเป้าไปที่การตั้งค่าเครือข่ายที่มีเฉพาะผู้ผลิตบล็อกของ EU/EEA ที่อยู่ภายใต้ข้อตกลงการปกป้องข้อมูล (DPA) โดยเฉพาะเพื่อเสนอวิธีที่สอดคล้องกับ GDPR ซึ่งบล็อกเชนสามารถใช้งานได้ในขณะที่ยังคงรักษาข้อดีส่วนใหญ่ของการใช้บล็อกเชนไว้ สถานที่. ความไม่สามารถเปลี่ยนแปลงได้เพื่อวัตถุประสงค์บางอย่างอาจมีค่ามาก แต่สำหรับข้อมูลส่วนบุคคล อาจไม่เหมาะ 2. สิทธิ์ที่จะถูกลืมนั้นไม่สมบูรณ์ สิทธิ์ที่จะถูกลืมหากมักอ้างว่าเป็นจอกศักดิ์สิทธิ์ในการปกป้องข้อมูลส่วนบุคคลของคุณ แต่ก็ไม่สามารถใช้ได้ตลอดเวลา ตามมาตรา สามารถใช้ตัวอย่างเช่นในกรณีต่อไปนี้: ข้อมูลส่วนบุคคลไม่จำเป็นสำหรับวัตถุประสงค์อีกต่อไปเช่นหากได้รับการประมวลผลสำหรับ บทบัญญัติของสัญญา (ข้อ 6.1 (ข)) แต่สัญญาถูกยกเลิกหรือหมดอายุแล้ว มันถูกดำเนินการภายใต้ความยินยอม (ข้อ 6.1 (ก)) และมีการเพิกถอนความยินยอม มันถูกดำเนินการภายใต้ผลประโยชน์ที่ชอบด้วยกฎหมาย แต่ผลประโยชน์ที่ชอบด้วยกฎหมายได้ถูกท้าทายและไม่มีผลประโยชน์ทับซ้อนเหนือกว่า การประมวลผลนั้นไม่ชอบด้วยกฎหมายตั้งแต่แรก สิทธิ์ที่จะถูกลืมนั้นใช้ไม่ได้ ตัวอย่างเช่น หากการประมวลผลนั้น (ยังคง) จำเป็นสำหรับการปฏิบัติตามสัญญา ด้วยเหตุผลทางวิทยาศาสตร์หรือทางประวัติศาสตร์เพื่อประโยชน์สาธารณะ เพื่อปฏิบัติตามภาระผูกพันทางกฎหมาย หรือหากผลประโยชน์ที่ชอบด้วยกฎหมายยังคงลบล้าง ความสนใจของเจ้าของข้อมูล หากผู้ควบคุมได้เปิดเผยข้อมูลส่วนบุคคลให้เป็นสาธารณะ และการเผยแพร่บนบล็อกเชนสาธารณะควรถูกมองว่าเป็นการเปิดเผยต่อสาธารณะ พวกเขาจะต้องแจ้งให้ผู้อื่นที่กำลังประมวลผลข้อมูลที่ควรถูกลบ เป็นคำถามที่น่าสนใจว่าควรทำงานอย่างไรในสภาพแวดล้อมแบบกระจายกับนักแสดงสาธารณะ แต่ก็ใช่ว่าจะเป็นไปไม่ได้ 3. คำจำกัดความของข้อมูลส่วนบุคคลยังไม่ชัดเจน 100% ในสภาพแวดล้อม Blockchain ไม่ควรใช้ข้อมูลส่วนบุคคลที่อ่านได้อย่างชัดเจน โดยเฉพาะอย่างยิ่งในบล็อคเชนสาธารณะที่ไม่ได้รับอนุญาต ไม่มีเหตุผลที่ดีที่จะทำเช่นนั้น โปรเจ็กต์ส่วนใหญ่ใช้การแฮชของข้อมูลหรือธุรกรรมบนเชนเพื่อพิสูจน์บางสิ่งนอกเชน แฮชดังกล่าวอาจถือเป็นนามแฝงหรือไม่ระบุชื่อ ทั้งนี้ขึ้นอยู่กับสถานการณ์ ข้อมูลนามแฝงยังอยู่ในขอบเขตของ GDPR ดังนั้นควรปฏิบัติตามนั้น ข้อมูลที่ไม่ระบุตัวตนอยู่นอกขอบเขต สิ่งใดที่จะถูกพิจารณาโดยใช้นามแฝงตามแนวทางที่เฉพาะเจาะจง และด้วยเหตุนี้จึงอยู่ในขอบเขตของ GDPR จึงได้อธิบายไว้ก่อนหน้านี้ (ก่อน GDPR) ในความคิดเห็น 2014/05 ของคณะทำงาน 29 (WP216) อย่างไรก็ตาม EDPB ยังไม่ได้รับการรับรองอย่างเป็นทางการ ซึ่งทำให้ยากขึ้นมากในการพิสูจน์ว่า ตัวอย่างเช่น ข้อมูลที่แฮชนั้นใช้นามแฝงหรือไม่ระบุตัวตนจากมุมมองของ GDPR สิทธิที่จะถูกลืมใน Blockchain เป็นปัญหาจริงหรือ? ใช่แล้ว บ่อยครั้งที่มีปัญหาที่อาจเกิดขึ้นกับการจัดเก็บข้อมูลส่วนบุคคลนามแฝงในบล็อคเชน อย่างไรก็ตาม เราควรพิจารณาสถานการณ์เฉพาะ: แหล่งข้อมูลใดที่มีนามแฝง เข้ารหัส หรือแฮช ข้อมูลถูกเก็บไว้ที่ไหน และเกี่ยวข้องกับข้อมูลอื่น ๆ ได้หรือไม่ เหตุการณ์ on-chain จะเกิดอะไรขึ้นหากคุณลบแหล่งข้อมูล และเอนโทรปีแข็งแกร่งแค่ไหน? ในการหาแนวทางแก้ไขสำหรับความท้าทายนี้ สิ่งสำคัญคือต้องพิจารณาทั้งด้านเทคนิค (ความไม่เปลี่ยนรูป) และด้านกฎหมาย (สิทธิ์ในการลบข้อมูลจะสมบูรณ์เพียงใด) และสถานการณ์โดยรวม จะยืนหยัดหรือล้มลงด้วยรายละเอียดเล็กๆ น้อยๆ และเนื่องจาก GDPR เป็นกฎระเบียบใหม่และบล็อกเชนเทคโนโลยีใหม่ จึงมีความเสี่ยงเสมอที่จะปรับใช้ 'ในป่า' นี้ วิธีเดียวที่จะจัดการกับความท้าทายนี้ได้คือผ่าน Privacy by Design: ตรวจสอบให้แน่ใจว่าการควบคุมความเป็นส่วนตัวทั้งหมดได้รับการนำไปใช้ตั้งแต่เริ่มต้น และทำให้แน่ใจว่าผลิตภัณฑ์ โปรโตคอล และแอพและ UX ของพวกเขาได้รับการออกแบบในลักษณะที่เป็นมิตรต่อความเป็นส่วนตัว การเปิดตัวระบบที่ไม่เปลี่ยนรูปโดยมีจุดอ่อนด้านความเป็นส่วนตัวที่ยังไม่ได้รับการไตร่ตรองอย่างถี่ถ้วนและได้รับการจัดทำเป็นเอกสาร ค่อนข้างชัดเจนว่าเป็นการละเมิดมาตรา 05 ของ GDPR ว่าด้วยการปกป้องข้อมูลโดยการออกแบบและโดย ค่าเริ่มต้น. (บทความนี้ถูกตีพิมพ์ครั้งแรกที่เว็บไซต์ TechGDPR และลิขสิทธิ์อยู่กับพวกเขา)

  • บ้าน
  • Business
  • Data science
  • Marketing
  • Leave a Reply

    Your email address will not be published. Required fields are marked *

    Back to top button