安全與風險管理者須考慮GDPR是否適用于企業區塊鏈與個人數據

企業在實施區塊鏈的技術之前，一定要確定他們的信息是否會受到歐盟通用數據保護規則（GDPR）的管理。同時他們還需要了解的是，區塊鏈是否在本質上違背了GDPR。例如，區塊鏈的一個核心原則是不可更改，一旦數據被記錄之后，將不能再被篡改。而GDPR規定，用戶可以刪除個人數據。

粗看之下，區塊鏈與GDPR之間存在著矛盾。但事實上，企業必須要謹慎地判斷。區塊鏈不應該被直接否認。

盡管區塊鏈和GDPR各自的特點很快引起了公眾對它們之間兼容性的擔憂，它們的結合仍然使得新興的管理手段和技術趨勢得以強強聯合。安全與風險管理者必須要采取保護措施，確保區塊鏈的設計與GDPR相匹配。

判斷GDPR是否適用

總體而言，GDPR將適用于任何企業包含有個人數據的區塊鏈。由于該規定適用范圍的問題，一些企業可能尚不確定他們的區塊鏈是否會受到GDPR的管理。當企業評估自己的區塊鏈是否會受到GDPR的管理時，需要考慮以下三個問題：

1. 是否有向歐盟提供貨品或服務
2. 是否有分析或者監控歐盟居民的行為（包括網絡行為）
3. 是否有代表歐盟的公司處理歐盟居民的個人數據

如果有涉及到上述問題中提到的任一行為，企業都應該進一步確定他們的技術是否符合GDPR的規定。需要注意的是，如果他們的工作涉及到歐盟居民的數據，那么即便他們在歐盟之外，也是要受到GDPR的管理的。由于區塊鏈與GDPR的不兼容性將會帶來高達兩千萬歐元或是百分之四的年度營業額損失，所有企業都希望建立一個判斷GDPR是否適用的體系。

區塊鏈的不可更改性與對個人數據的權利

GDPR中規定了用戶對數據主體的權利。用戶有權利得知他們的數據如何被處理，有權利更改數據、移植數據以及刪除數據。這一刪除數據或者“讓數據被遺忘”的權利，使得數據在刪除或移除之后就不會被再次處理。公司必須擁有關于刪除信息的協議，這一點初看上去并不容易，因為它違背了區塊鏈中數據的不可篡改性。不過，GDPR還引入了“假名化”的概念，這使得公司可以用一個匿名的標簽來代替名字。另外，他們也可以建立一個僅僅存儲對個人數據的引用，而不直接存儲個人數據的區塊鏈。哈希（hash）和代幣（token），都可以被用作對數據的引用。

擁有區塊鏈并使之與GDPR相互兼容是可以做到的。然而這需要安全與風險專家與區塊鏈架構師共同努力，確保存儲的數據不違背隱私法。這可以通過用不同的方式存儲數據、甚至是在得到許可的情況下建立區塊鏈來實現。