协调区块链技术与加州消费者隐私法案

2018年加利福尼亚州消费者隐私法案(CCPA)于2020年1月1日生效,标志着美国加强和扩大隐私法规的新举措,类似于欧盟通过该段落的趋势和实施通用数据保护条例(GDPR)。

CCPA为有担保的消费者提供了在美国不享有的新隐私权。根据CCPA,有资格成为“企业”的实体必须提供:

  • 关于从承保消费者或与消费者有关的个人信息的简短披露(Cal.Civ.Code§1798.100)。
  • 关于从承保消费者或与承保消费者有关的个人信息的某些其他扩展披露(id.§1798.110(a))。
  • 关于出于商业目的出售或披露个人信息的披露(id.§1798.115)。
  • 选择退出个人信息的“销售”(id.§1798.120)。
  • 在出售未成年人的个人信息之前的选择加入要求(id.§1798.120(c))。
  • 被保险消费者访问和/或删除从他们或与他们收集的个人信息的能力(id.§§1798.105,1798.100(d))。
  • 受到限制的企业还必须采取措施,防止歧视行使CCPA权利的消费者(参见§1798.125)。由于这些新义务,CCPA的实施可能会给使用区块链技术的组织带来严峻挑战。

    CCPA对区块链意味着什么?

    区块链技术正被用于开发解决方案和工具,为个人提供更大的数据控制。该技术通常是公共和不可变的分类账,有望为个人数据的使用方式引入新的透明度。区块链技术(特别是在公共/无许可环境中使用时)以一种通常意味着数据存储,处理或以其他方式使用的方式去中心化,不一定取决于中心化管理机构或单个“管家”或“在许多方面,区块链技术通过去中心化来支持收集和存储个人数据的传统模式 – 从而消除了第三方中介。

    但是,大多数数据隐私法(包括CCPA)都假定传统数据模型的运行,这使得它们难以与去中心化或分布式数据模型协调。因此,尽管CCPA在哲学上与区块链技术的许多目标(即数据完整性,网络安全和透明度)保持一致,但大多数区块链技术的几个固有特征可能会带来合规性挑战 – 特别是区块链的去中心化结构和不变性数据输入区块链分类账。

    围绕CCPA的大部分不确定性(通常和适用于区块链技术)源于法规的广泛定义。例如,个人信息的定义包括“与特定消费者或家庭直接或间接地识别,关联,描述,能够与之相关或可能合理地相关联的信息。”(Id.§1798.140( O)(1))。尽管要求立法机关提供进一步的澄清 – 包括在州检察长的多个公共论坛期间提出的任何补充修正案之前的声明 – 目前正在编写的法规于2020年1月1日生效。

    值得注意的是,总检察长的执法行动可能在最终法规公布后的六个月或2020年7月1日(以较早者为准)(Id.§1798.185(c))提出。民事处罚包括禁制令和每次违规最高罚款2,500美元的罚款以及每次故意违规最高罚款7,500美元的罚款。请注意,在个人信息“由于企业违反实施和维护合理安全程序和操作的义务而遭到未经授权的访问和泄露,被盗或泄露的情况下,消费者享有有限的私人诉讼权利。 “。

    区块链业务何时受CCPA约束?

    CCPA的义务仅限于“企业”,其定义为在加利福尼亚州开展业务的任何营利性公司,其收集个人信息并满足以下至少一个阈值:

  • 年收入总额超过2500万美元。
  • 每年购买,出售或出于商业目的,接收或分享至少50,000个加州消费者,家庭或设备的个人信息。
  • 通过“销售”加州消费者个人信息获得50%或更多的年度收入。
  • 请注意,法规未定义“做生意”,并且可以解释为包含具有在加利福尼亚运营的节点或从加利福尼亚消费者收集数据的区块链平台(Id.§1798.140(c)(1))。

    虽然CCPA门槛测试的第一个分支是相当不言自明的,但第二和第三分叉并不那么简单。仅仅在区块链上托管信息的行为可以被视为“共享”个人信息,特别是当节点在测试的第二个阶段被视为“设备”时。例如,区块链网络上存在500个节点,这些节点都维护着分类帐的副本,这可能构成法规下的“共享”(尽管目前没有关于该主题的监管指导)。

    “销售”的定义也很广泛。它包括“出租,发布,披露,传播,提供,转让或以其他方式口头,书面或通过电子或其他方式传递”个人信息以“其他有价值的考虑”。(Cal.Civ.Code§1798.140(t )(1))。什么构成“其他有价值的考虑”仍然没有具体说明。

    因此,从法规的面部语言看,区块链公司可以被视为仅仅通过托管和操作区块链平台来“出售”个人信息,人们和实体可以通过区块链平台交易所个人信息 – 特别是如果区块链公司收取费用(无论是在区块链上可操作的令牌还是其他形式的外部考虑因素)访问区块链或从托管和操作促进个人信息交易所的平台获得其他“有价值的考虑”。

    相关:FATF法规 – 加密货币匿名是否结束?

    类似地,区块ChainLink境中的节点运营商或矿工接收令牌或加密货币以换取对网络执行交易验证或分类账确认服务可能同样被认为是“卖”,因为他们正在“沟通”(… )通过电子或其他方式“写入区块链的个人信息。如果发现承保业务是“出售”个人信息,则将适用附加通知,披露和其他义务 – 即使该业务尚未参与传统上被视为“出售”的货币对价。

    此外,虽然假名化可能有助于模糊数据,但它不会使主题数据非个人化。由于该法规适用于“能够与个人直接或间接相关或可能合理地与其联系”的个人信息,因此可能由于重新识别的风险而证明此类技术不足。

    区块链业务如何最好地解决与CCPA的合规问题?

    部署区块链技术的企业应该仔细考虑将个人信息写入基于区块链的分类账的程度,以及是否有办法减轻因这与CCPA的要求和要求相关的问题。

    例如,企业可能会考虑在使用分类帐跟踪和调解对个人信息的访问时,在链外(即不在区块链上)存储个人信息。这种类型的解决方案可以使企业直接引用离线个人信息以履行CCPA下的报告义务,同时保持其分类账的完整性,而不必将数据放在链上,这样企业就无法删除该数据根据要求。在这种情况下,删除很简单:通过简单地将数据转移到链上,任何不可变的引用on-chain都会成为对不存在的数据的引用,并且变得毫无意义。

    但是,脱链解决方案可能会增加不必要的复杂性,这与许多区块链平台的简单性和透明度目标不一致。此外,这些解决方法通常无法解决在基于区块链的解决方案如此优雅地解决的现状中使用并行数据源所带来的安全问题。

    如果离线解决方案不切实际,区块链企业可以考虑采用所有可用的数据混淆步骤来尽可能地使数据去个性化(例如,对所有链上数据应用腌制,加密货币和散列技术)。但是,区块链上的数据几乎总是与分类帐的公钥(即分类帐地址)相关联,因此连接到正在向该地址添加数据的人或实体。因此,公共密钥可以被视为CCPA下的“个人信息”,只要它们属于或可以与加利福尼亚消费者联系在一起。

    最后,企业应该尽快采取措施尽快遵守CCPA:在2018年Perkins Coie LLP的谈话中,加州司法部长办公室的特别助理Eleanor Blume强调公司将在其CCPA上进行评估部分遵守他们在2019年采取的预防措施。

    这里表达的观点,想法和观点仅供作者参考,并不一定反映或代表Cointelegraph的观点和意见。

    本讨论不作为法律建议。

    本文由Joe Cutler,Charlyn Ho,Anna C. Mourlam,Marina Gatto和Thea Percival共同撰写。

    Joe Cutler是Perkins Coie LLP区块链技术和数字货币行业集团的核心成员。 Joe建议客户在理解和遵守适用的监管义务以及制定和实施反洗钱计划和其他内部治理时,处理比特币,区块链和其他加密货币相关服务。

    Perkins Coie LLP的顾问Charlyn Ho就与技术和隐私相关的法律问题向客户提供建议,包括影响区块链平台,电子商务网站,移动设备和应用程序,人工智能/机器学习,虚拟现实和增强现实平台的问题,以及物联网设备。在成为一名律师之前,Charlyn曾在美国海军担任现役军官。

    Anna C. Mourlam是Perkins Coie LLP商业诉讼业务的成员,代表知名技术和电子商务公司处理涉及隐私,数据安全和数字货币诉讼的高风险行为。在不诉讼时,安娜有经验为客户提供有关GDPR合规的咨询,欧盟 – 美国。和瑞士 – 美国Privacy Shield框架和CCPA。

    Marina Gatto与客户合作建立强大的隐私计划,以确保遵守一系列隐私法律,作为公司数据安全和隐私实践的成员。她帮助客户准备他们对CCPA的遵守情况,包括领导培训,进行客户访谈,数据绘图以及修订政策和程序。 Marina还就GDPR合规性以及遵守不断发展的自动续订法律提供建议。

    Thea Percival是Perkins Coie LLP在2019年夏天的隐私和数据安全研究员.Thea正在加州大学戴维斯分校法学院完成她的法学博士,之后她将于2020年回到Perkins Coie。在法学院之前,Thea在科技行业工作,管理公司对执法数据请求的回应。

    资讯来源:由0x资讯编译自COINTELEGRAPH,原文:https://cointelegraph.com/news/reconciling-blockchain-technology-with-california-consumer-privacy-act。版权归作者所有,未经许可,不得转载
    提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
    你可能还喜欢