区块链与法规的演变
作为一项旨在重塑许多传统行业之间金融互动结构的技术,区块链自然准备好受到现有监管框架的影响并受到其影响。
但是,与过去的其他技术创新不同,它与法规的联系更加细微和复杂。实际上,区块链技术不仅与某些特定的监管系统存在对立关系,而且,同时,它也是监管机构和法规的企业主体跟踪法规遵循过程中潜在的工具。分布式记录防篡改分类帐。所谓的reg-tech近年来,(监管技术)市场一直在稳步增长,因为跨国监管的难度不断增加,与之相关的潜在罚款以及当前监管合规工具的低效率之间的不对称性日益扩大。遵守法规对大多数公司而言是沉重的财务负担,而削减成本会使他们面临监管机构罚款的风险。区块链不仅可以提供不可变的可审计记录,而且可以简化去中心化的公司治理流程,从而防止公司高层人员进行欺诈。
在我们当前的文章中,我们将回顾当前的区块链格局及其在当前立法系统中的位置,以及区块链生态系统将要克服的法律挑战类型。
为了在机构环境中采用区块链,他们面临着必须遵守两个看似相互矛盾的法规的困境。
监管悖论
一方面,诸如KYC之类的法规- 了解您的客户和AML-反洗钱 -授权数字系统以建立其用户身份,因此,这就需要存储大量个人数据以进行识别的过程。但是,另一方面,最近制定的监管框架(例如GDPR)则需要相同的数字系统,以使其所有者可以使用任何个人数据,更重要的是,如果其各自的用户需要,还可以修改和擦除敏感信息。
最后一项要求属于GDPR第17条的规定,通常被称为“ 被遗忘的权利”。事实证明,对这样的要求的遵守对于区块链来说尤其棘手,因为区块链的声誉和主要优势之一在于其防篡改的不变性,而传统的CRUD数据库可以轻松地实现符合GDPR的标准。但是,仅仅停止采用区块链技术并完全切换回NoSQL和关系数据库将背叛原本旨在激发GDPR的原则。在大技术时代,数据经常被冠以“新石油”的烙印,用户的个人信息通常处于技术公司掠夺性数据挖矿实践以及紧随其后的网络犯罪分子的中心。 。特别是在过去的十年中,网络犯罪组织已经变得越来越复杂,我们目睹了数据盗窃和数据泄露的频率在增加–一些读者可能还记得过去几年中针对医疗保健和金融系统遭受的许多网络攻击,导致无数个人数据暴露给恶意第三方。其中最灾难性的事件可能是Equifax数据泄露事件,即具有里程碑意义的消费者信用报告机构,该机构的亿万个人数据遭到泄露。
GDPR和隐私感知区块链解决方案的兴起
GDPR旨在成为欧洲恢复数据主权并维护用户隐私的回应。一些法律专家建议GDPR可能与大多数与区块链相关的创新根本不兼容,但也可能与AI和与大数据相关的技术不兼容。尽管如此,引导人们更加关注隐私的法规的精神仍然是良好的意图,因为目前在数据保护方面存在技术和立法上的空白,而GDPR则是为实现正确目标而付出的努力。实际上,从技术角度来看,区块链也可以看作是数据保护的解决方案,但是从隐私的角度来看,仍需要改进,GDPR有助于突出其当前的一些设计缺陷。鉴于这些事实,回到CRUD数据库会使最终用户暴露在同一攻击面下,这导致数据丢失和最近几年发生的大量灾难性数据泄露,
前面我们曾提到Equifax和UK NHS作为数据泄露案例研究。越来越多的政府和私人实体正在探索基于区块链的解决方案,以使其金融部门对数据泄露更具弹性。这些解决方案中的一些解决方案利用了区块链,链下层和加密货币技术(例如安全的多方计算)的组合,既克服了区块链系统当前的可扩展性缺点,又在不侵犯其用户隐私的情况下有效地使用了个人数据。
在爱沙尼亚,医疗系统已采用了区块链技术,以安全地管理带时戳的患者数据记录,并且数字身份领域正在探索更多解决方案。
部署用于医疗保健和财务记录管理的区块链解决方案可以提高数据可用性和弹性,以应对从勒索软件到DDoS攻击的大型攻击面。由于数据提供者将成为区块链网络上的一个节点,网络或硬件故障将不会导致数据丢失,甚至不会由于区块链去中心化架构的更高容忍度而导致数据可用性下跌。出于类似的原因,这也会使DDoS攻击成为无效的攻击媒介,因为针对网络上的特定节点不会影响数据的整体可用性和完整性。随着第二层解决方案的改进,
区块链:安全方面的飞跃和隐私方面的退步?
监管和隐私难题使公共和私有区块链之间的鸿沟更加扩大。目前,私有和财团的区块链在竞争中处于领先地位,因为它们被设计为尽可能地在制度上友好且符合法规要求,但以完全去中心化的方式为代价。
特别是,Hyperledger项目(尤其是Hyperledger架构)在GDPR遵从性和隐私方面取得了相关进展。Hyperledger Fabric的体系结构在链码级别和网络级别(通过通道)实现了对数据可访问性的精细控制。实际上,直到最近,执行机密性的唯一方法是创建新的渠道,只有经过授权的交易方才能访问某些特定数据。但是,随着网络的增长,与创建新渠道相关的开销(包括管理新策略,重构成员资格服务提供商以及可能的链码)将使这种方法效率低下。为了解决这个问题,私有数据收集 已经介绍了。
Hyperledger中的私人数据收集
私有数据集合是其哈希存储在区块链分类账中的数据集合,而数据本身则存储在某种形式的链下存储或sideDB(边数据库)中。私有数据本身将仅被授权方访问,并将通过对等协议进行分发。同时,该数据的哈希将存储在公共分类帐中,并且所有人都可以访问,从而代表交易的证据。这种方法允许在敏感数据和可以公开的数据之间进行粒度区分,而不会放弃对等和部分去中心化的体系结构,并且不会过度增加网络开销。
公共区块链和监管合规
对于公共区块链,可以合理地假设大多数项目的当前状态很可能不符合GDPR。但是,尚不清楚其不符合GDPR的程度,因为相关的法理需要澄清许多灰色区域。
最有争议的观点之一是,根据GDPR ,散列数据是否仍符合个人数据的条件。区块链基于非对称加密货币,其中公钥与第三方自由共享,然后第三方将使用公钥以安全的方式加密货币消息。随后,公钥的所有者将使用相应的私钥来解密上述消息。在比特币和以太坊等区块链上,账本上的用户地址和身份由其公钥的哈希表示。遵循此方法的网络被定义为假名。他们的交易历史是完全透明的,网络上的每一方都链接到一个公钥,该公钥最终可以追溯到一个IP地址以及与该IP地址相关联的人员。
根据GDPR,通过部署可能使用的手段使网络上的人员可识别的 所有数据仍属于个人数据的概念。随着区块链分析工具变得更加高效和广泛使用,这最终可能使许多区块链平台面临法律责任。
另一方面,有些公共区块链遵循设计隐私法。例如,在门罗币的情况下,实施了一种称为环签名的加密货币技术,将交易组混合在一起,从而无法再将特定交易追溯到特定的公钥。只要公钥在网络上无法识别主题,此方法就很可能符合GDPR,但同时使满足KYC和AML法规要求的过程极具挑战性。
那么公共区块链注定要克服监管悖论吗?
零知识证明
零知识证明已引起越来越多的兴趣,因为它们承诺以符合法规的方式增强链上隐私。零知识证明是一种先进的加密货币技术,仍然是一种实验性的高级加密货币技术,在这种技术中,一方可以毫无争议地证明陈述的真实性,而无需提供任何其他信息来备份其关于该陈述的知识。它们可以用来在数学上证明当事方满足KYC和AML法规所规定的要求,而不会泄露任何会使交易承担GDPR责任的个人数据。
Zcash区块链已经实现了基于零知识证明的架构的有效实施。随着这种加密货币技术的更多概念验证从学术界的象牙塔过渡到现实世界的用例,我们可以期望它们在公共区块链生态系统中得到更广泛的采用。