協調區塊鏈技術與加州消費者隱私法案

2018年加利福尼亞州消費者隱私法案（CCPA）於2020年1月1日生效，標誌著美國加強和擴大隱私法規的新舉措，類似於歐盟通過該段落的趨勢和實施通用數據保護條例（GDPR）。

CCPA為有擔保的消費者提供了在美國不享有的新隱私權。根據CCPA，有資格成為「企業」的實體必須提供：

受到限制的企業還必須採取措施，防止歧視行使CCPA權利的消費者（參見§1798.125）。由於這些新義務，CCPA的實施可能會給使用區塊鏈技術的組織帶來嚴峻挑戰。

CCPA對區塊鏈意味著什麼？

區塊鏈技術正被用於開發解決方案和工具，為個人提供更大的數據控制。該技術通常是公共和不可變的分類賬，有望為個人數據的使用方式引入新的透明度。區塊鏈技術（特別是在公共/無許可環境中使用時）以一種通常意味著數據存儲，處理或以其他方式使用的方式去中心化，不一定取決於中心化管理機構或單個「管家」或「在許多方面，區塊鏈技術通過去中心化來支持收集和存儲個人數據的傳統模式 – 從而消除了第三方中介。

但是，大多數數據隱私法（包括CCPA）都假定傳統數據模型的運行，這使得它們難以與去中心化或分散式數據模型協調。因此，儘管CCPA在哲學上與區塊鏈技術的許多目標（即數據完整性，網路安全和透明度）保持一致，但大多數區塊鏈技術的幾個固有特徵可能會帶來合規性挑戰 – 特別是區塊鏈的去中心化結構和不變性數據輸入區塊鏈分類賬。

圍繞CCPA的大部分不確定性（通常和適用於區塊鏈技術）源於法規的廣泛定義。例如，個人信息的定義包括「與特定消費者或家庭直接或間接地識別，關聯，描述，能夠與之相關或可能合理地相關聯的信息。」（Id.§1798.140（ O）（1））。儘管要求立法機關提供進一步的澄清 – 包括在州檢察長的多個公共論壇期間提出的任何補充修正案之前的聲明 – 目前正在編寫的法規於2020年1月1日生效。

值得注意的是，總檢察長的執法行動可能在最終法規公布後的六個月或2020年7月1日（以較早者為準）（Id.§1798.185（c））提出。民事處罰包括禁制令和每次違規最高罰款2,500美元的罰款以及每次故意違規最高罰款7,500美元的罰款。請注意，在個人信息「由於企業違反實施和維護合理安全程序和操作的義務而遭到未經授權的訪問和泄露，被盜或泄露的情況下，消費者享有有限的私人訴訟權利。 「。

區塊鏈業務何時受CCPA約束？

CCPA的義務僅限於「企業」，其定義為在加利福尼亞州開展業務的任何營利性公司，其收集個人信息並滿足以下至少一個閾值：

請注意，法規未定義「做生意」，並且可以解釋為包含具有在加利福尼亞運營的節點或從加利福尼亞消費者收集數據的區塊鏈平台（Id.§1798.140（c）（1））。

雖然CCPA門檻測試的第一個分支是相當不言自明的，但第二和第三分叉並不那麼簡單。僅僅在區塊鏈上託管信息的行為可以被視為「共享」個人信息，特別是當節點在測試的第二個階段被視為「設備」時。例如，區塊鏈網路上存在500個節點，這些節點都維護著分類帳的副本，這可能構成法規下的「共享」（儘管目前沒有關於該主題的監管指導）。

「銷售」的定義也很廣泛。它包括「出租，發布，披露，傳播，提供，轉讓或以其他方式口頭，書面或通過電子或其他方式傳遞」個人信息以「其他有價值的考慮」。（Cal.Civ.Code§1798.140（t ）（1））。什麼構成「其他有價值的考慮」仍然沒有具體說明。

因此，從法規的面部語言看，區塊鏈公司可以被視為僅僅通過託管和操作區塊鏈平台來「出售」個人信息，人們和實體可以通過區塊鏈平台交易所個人信息 – 特別是如果區塊鏈公司收取費用（無論是在區塊鏈上可操作的令牌還是其他形式的外部考慮因素）訪問區塊鏈或從託管和操作促進個人信息交易所的平台獲得其他「有價值的考慮」。

相關：FATF法規 – 加密貨幣匿名是否結束？

類似地，區塊ChainLink境中的節點運營商或礦工接收令牌或加密貨幣以換取對網路執行交易驗證或分類賬確認服務可能同樣被認為是「賣」，因為他們正在「溝通」（… ）通過電子或其他方式「寫入區塊鏈的個人信息。如果發現承保業務是「出售」個人信息，則將適用附加通知，披露和其他義務 – 即使該業務尚未參與傳統上被視為「出售」的貨幣對價。

此外，雖然假名化可能有助於模糊數據，但它不會使主題數據非個人化。由於該法規適用於「能夠與個人直接或間接相關或可能合理地與其聯繫」的個人信息，因此可能由於重新識別的風險而證明此類技術不足。

區塊鏈業務如何最好地解決與CCPA的合規問題？

部署區塊鏈技術的企業應該仔細考慮將個人信息寫入基於區塊鏈的分類賬的程度，以及是否有辦法減輕因這與CCPA的要求和要求相關的問題。

例如，企業可能會考慮在使用分類帳跟蹤和調解對個人信息的訪問時，在鏈外（即不在區塊鏈上）存儲個人信息。這種類型的解決方案可以使企業直接引用離線個人信息以履行CCPA下的報告義務，同時保持其分類賬的完整性，而不必將數據放在鏈上，這樣企業就無法刪除該數據根據要求。在這種情況下，刪除很簡單：通過簡單地將數據轉移到鏈上，任何不可變的引用on-chain都會成為對不存在的數據的引用，並且變得毫無意義。

但是，脫鏈解決方案可能會增加不必要的複雜性，這與許多區塊鏈平台的簡單性和透明度目標不一致。此外，這些解決方法通常無法解決在基於區塊鏈的解決方案如此優雅地解決的現狀中使用並行數據源所帶來的安全問題。

如果離線解決方案不切實際，區塊鏈企業可以考慮採用所有可用的數據混淆步驟來儘可能地使數據去個性化（例如，對所有鏈上數據應用腌制，加密貨幣和散列技術）。但是，區塊鏈上的數據幾乎總是與分類帳的公鑰（即分類帳地址）相關聯，因此連接到正在向該地址添加數據的人或實體。因此，公共密鑰可以被視為CCPA下的「個人信息」，只要它們屬於或可以與加利福尼亞消費者聯繫在一起。

最後，企業應該儘快採取措施儘快遵守CCPA：在2018年Perkins Coie LLP的談話中，加州司法部長辦公室的特別助理Eleanor Blume強調公司將在其CCPA上進行評估部分遵守他們在2019年採取的預防措施。

這裡表達的觀點，想法和觀點僅供作者參考，並不一定反映或代表Cointelegraph的觀點和意見。

本討論不作為法律建議。

本文由Joe Cutler，Charlyn Ho，Anna C. Mourlam，Marina Gatto和Thea Percival共同撰寫。

Joe Cutler是Perkins Coie LLP區塊鏈技術和數字貨幣行業集團的核心成員。 Joe建議客戶在理解和遵守適用的監管義務以及制定和實施反洗錢計劃和其他內部治理時，處理比特幣，區塊鏈和其他加密貨幣相關服務。

Perkins Coie LLP的顧問Charlyn Ho就與技術和隱私相關的法律問題向客戶提供建議，包括影響區塊鏈平台，電子商務網站，移動設備和應用程序，人工智慧/機器學習，虛擬現實和增強現實平台的問題，以及物聯網設備。在成為一名律師之前，Charlyn曾在美國海軍擔任現役軍官。

Anna C. Mourlam是Perkins Coie LLP商業訴訟業務的成員，代表知名技術和電子商務公司處理涉及隱私，數據安全和數字貨幣訴訟的高風險行為。在不訴訟時，安娜有經驗為客戶提供有關GDPR合規的諮詢，歐盟 – 美國。和瑞士 – 美國Privacy Shield框架和CCPA。

Marina Gatto與客戶合作建立強大的隱私計劃，以確保遵守一系列隱私法律，作為公司數據安全和隱私實踐的成員。她幫助客戶準備他們對CCPA的遵守情況，包括領導培訓，進行客戶訪談，數據繪圖以及修訂政策和程序。 Marina還就GDPR合規性以及遵守不斷發展的自動續訂法律提供建議。

Thea Percival是Perkins Coie LLP在2019年夏天的隱私和數據安全研究員.Thea正在加州大學戴維斯分校法學院完成她的法學博士，之後她將於2020年回到Perkins Coie。在法學院之前，Thea在科技行業工作，管理公司對執法數據請求的回應。