1. 链一财经首页
  2. 资讯

GDPR遇见DCC,分布式数据保护成发展新默契

今天我们邀请到DCC的项目技术负责人Cipher来为大家解读:

GDPR如何重新定义个人数据、评判标准、角色定位以及其展现的重要意义等;

也包括了回答为什么DCC是一种符合GDPR的新信用体系,和DCC在承载信用数据方面有哪些创新和超前的解决办法等等;

今天分享的DCC解决办法能够为大家提供了一种创新角度、也将是行之有效的创新参考依据。 我们也希望,中国的政府、行业、企业在个人数据隐私泄露严重的严峻现实面前,和在发展个人数据隐私保护方面有进一步的发展。

GDPR遇见DCC,分布式数据保护成发展新默契

简单介绍下最近非常火的GDPR

首先我们来回顾下今年最重要的信息泄露事件这个大家应该都知道,FB股价跌了差不多400亿美金

GDPR遇见DCC,分布式数据保护成发展新默契

FACEBOOK的事情,大家可以在网上搜索一下,为什么FB的数据泄露事件影响那么大。

我觉得主要是2点:

1、FB名头太大,小扎人气太高。

2、涉及美国大选。

其实这件事我个人觉得,如果在中国,信息泄露就太普遍了。在中国像FB这种数据泄露事件应该无时无刻在发生,而比这无耻的数据获取手段多的多。你注册个邮箱,或者新买个手机号码,一段时间以后,会收到各种营销的邮件和短信。

FB这个泄露事件,其实用户都是授权访问数据的。所以如果在国内,大家已经习以为常,有些不以为然了,但是其实这造成了巨大的信息泄露和安全问题,这些数据其实在被用于用户不知道的其他目的。这是中国目前信息安全领域和国外的现实差距。

GDPR是什么?为什么最近那么火?

GDPR是英文“General Data Protection Regulation”的缩写,通常翻译为“通用数据保护条例”或者“一般数据保护条例”。它由欧盟推出,目的在于遏制个人信息被滥用,保护个人隐私,是5月25日生效的。

GDPR遇见DCC,分布式数据保护成发展新默契

GDPR在欧盟法律框架内属的条例,目前欧盟有28个成员国,大约有5亿多人可以直接得到GDPR的保护。虽然GDPR是欧盟制定的,但是保护范围其实要广的多,并不是只限制欧洲公司,或者在欧盟内的业务,理论上只要是做欧盟成员国公民业务都会收到法律的约束。并且有些非欧盟国家,包括正在脱欧的英国也宣布执行该法令,其实影响范围是全球性的。

所以最近大量的网站的隐私保护条款都做了变化,登陆网站和使用服务的时候都会跳出来让用户重新签署一次。有些公司索性对欧洲公民停止服务或者封了欧洲的ip地址。

GDPR的核心是什么?

企业在收集、存储、使用个人信息上要取得用户的同意,用户对自己的个人数据有绝对的掌控权。

GDPR遇见DCC,分布式数据保护成发展新默契

GDPR核心思想和DCC项目

初衷和核心思想高度一致?那么具体又有些什么规定?

个人觉得非常重要的是GDPR对数据生命周期中的各个角色指责做了详细的定义。另一个非常重要的点是重新和扩大的定义了个人数据。

GDPR遇见DCC,分布式数据保护成发展新默契

我们先说说个人数据定义,GDPR宽泛的将可以指向可标识或者已标识的主体的数据都定义为个人数据。

这就将几乎所有指向性数据都进行了保护,其中包括了以下数据:基本的身份信息,如姓名、地址和身份证号码等;网络数据,如位置、IP地址、Cookie数据和RFID标签等;医疗保健和遗传数据;生物识别数据,如指纹、虹膜等;种族或民族数据;政治观点;性取向等等。

这个数据的约定范围是很大的,并且也提出了对个人数据的匿名化要求,匿名化的数据是不在个人数据隐私保护范畴里的,可以进行排除。这样既有助于保护隐私权有有助于个人数据被现在大数据和人工智能场景所使用。另外对企业设计到数据的角色做了很明确的规定。

GDPR引入了具体术语来定义组织内的角色和责任,包括数据控制员(Data controller)、数据处理员(Data processor)以及数据保护员(Data Protection Officer,简称DPO)。

GDPR遇见DCC,分布式数据保护成发展新默契

为什么说GDPR对角色的定义是非常重要的,这对未来违规主体和处罚的认定提出了明确的评判标准,过去的法律往往在数据高度分散和流转及其便利的情况下缺乏这种定义。

数据控制者必须实现“足够的措施”,来确保其处理系统和所掌握信息的机密性和完整性。在要求个人资料时将被要求使用“简明语言”,并且必须提供有关它们如何处理的信息。他们必须说出他们是谁,他们为什么要处理数据,谁接收到它,以及它将被存储多长时间他们必须让个人明确,并肯定地同意处理数据。

这就是FB信息泄露之中的一个重要问题,数据处理员可以是维护和处理个人数据记录的内部团体(如业务分析师或直接雇员),也可以是任何外部服务提供商(如信用评级机构等)。GDPR新规要求数据处理员为违规和不遵守规定的行为负责。

那么也就是说,如果信用评级机构利用的原数据存在合规问题,那么信用评级机构也要面临违规的处罚。所以数据流通的各种流程中,合规性检查变得非常重要,不然被罚死。

GDPR还要求控制员和处理员指定一个数据保护员(DPO)来监管数据安全策略和GDPR合规性。核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定名DPO。DPO主要负责就GDPR规定提供咨询意见,向最高管理层报告。

GDPR遇见DCC,分布式数据保护成发展新默契

GDPR对个人来说重要的规定就是明确了非常大的,前所未有的对自己数据的控制权,查阅权。用户可以向企业查询自己的个人数据是否在被处理和使用,以及使用的目的,收集的数据的类型等。

这项规定主要是保障用户在个人隐私方面的知情权。用户有权要求企业把自己的个人数据删除,如果资料已经被第三方获取,用户可以进一步要求它们删除。这就要求企业在保留客户数据的同时要留出允许用户提出和执行删除数据的逻辑。

这个其实在FB的事件中也得到体现,FB知道数据泄露以后,找到这家数据调查公司,要求他们对数据进行删除。但是实际执行情况不得而知。

为什么这个对DCC来说是个重大的利好

因为之前很多机构投资人会问,你们怎么让数据提供方开放数据给用户呢?数据提供方一般不愿意上链啊,现在GDPR明确规定了,企业必须给用户开放转移自己数据的权力,不然就是违规行为了。

我们DCC本身在设计数据共享模型时,就是按照数据以通用直观形式进行个人持有和分享来做的。所以dcc正好符合,以上说的是GDPR规定的一些权利、义务、职责等等,不遵守就是犯法。

GDPR执行意味着什么?

根据普华永道的调查数据显示,68%的美国公司预计将花费100万到1000万美元的投入来满足GDPR的合规性要求;另有9%的企业预计将花费超过1000万美元。

GDPR遇见DCC,分布式数据保护成发展新默契

首先要做合约企业要花很多钱。而如果违规成本也是相当高。每一单GDPR违规行为将受到高达2000万欧元的严重处罚,或者上一年全球年营业额的4%,以较高者为准。

DCC为什么符合GDPR的新信用体系

DCC承载信用数据的方式

DCC是采用类公证的方式承载数据,因此在链上是不承载任何原数据的,这样的好处是链上数据的不可还原也就是做了数据脱敏。链上数据主要用来验证用户传递数据的有效性和真实性,当然原理简单,DCC团队(已经)在信用数据标准化的验证上做了大量的工作。

GDPR遇见DCC,分布式数据保护成发展新默契

DCC采用系统采用的是分散的多维度数据来给用户进行征信数据的积累,我们提倡的是数据控制者直接将数据使用权交给用户,用户可以在获取数据后即要求控制者删除数据,因为用户获得了数据的流转权在一些场景中,数据控制者为了合规性要求也可以直接删除原数据。

比如我们目前进行的代理身份认证,身份认证环节视频验证和信息验证采用的是不同服务商的借口,由DCC的一个统一sdk进行封装联合验证,但是验证完毕后DCC立即从内存中丢弃这些原数据,并不保留这些原数据,原数据通过接口直接换回到了用户的手机端存储。

这种方式未来为合规的处理各种用户数据带来了便捷,各种维度的数据组合和大数据处理在用户授权下可以在一些机构进行处理,用户获取处理完毕的数据后就可以要求处理方删除数据避免数据泄漏。

DCC如何有效的做到数据储存和使用传递呢

DCC正在研发一套基于云的通用数据交互框架。这套框架配合DCC链上数据,可以高速安全的进行用户数据分享。

GDPR遇见DCC,分布式数据保护成发展新默契

主要的实现方式是基于链的数据索引、AES对称加密和非对称的代理重加密。我们会利用用户的私钥文件按照一定规则生成AES加密的秘钥、然后对用户的明文数据进行对称加密,存储在云服务商处。

存储完的数据访问路径会更新到DCC链上并建立一个个人数据档案索引,这样来帮助用户只需要备份一个自己的钱包文件,就可以在任何支持dcc框架的软件里快速还原自己的数据。

然后利用代理重加密技术,在需要传递给第三方时,获得用户授权后使用第三方公钥对用户的加密数据进行非对称加密,然后将非对称加密后的数据地址和授权令牌传递给第三方。这样在整个数据数据过程中保证了数据的安全性,也降低了传输数据时app端的参与,优化了数据传递的效率。

DCC将在让个人信用数据被用户自我掌握和使用上做不断的尝试和探索,不光是传输形式,在业务数据的类型上,使用场景上也会积极的去拓展。


本文为火星财经原创稿件,版权归火星财经所有,未经授权不得转载,转载须在文章标题后注明“文章来源:火星财经”,若违规转载,火星财经有权追究法律责任。

根据国家《关于防范代币发行融资风险的公告》,大家应警惕代币发行融资与交易的风险隐患。

本文来自LIANYI转载,不代表链一财经立场,转载请联系原作者。

发表评论

登录后才能评论

联系我们

微信:kkyves

邮件:kefu@lianyi.com

时间:7x24,节假日bu休息

QR code