2018年6月27日
2018年6月27日
得贡献者:帕内塔
安全和风险经理必须考虑GDPR如何适用于企业批准的区块链和个人数据。
希望采用区块链技术的企业现在还必须确定信息是否受欧盟的约束一般资料保障规例(GDPR)。此外,企业必须探索区块链的核心是否从根本上违反了GDPR。例如,区块链的核心原则是不可变,即一旦数据被记录下来,就不能被修改,而GDPR要求消费者能够删除个人数据。虽然区块链最初可能被认为与GDPR的要求不兼容,但现实情况是,企业必须保持谨慎和判断——并不是区块链不再是一个选项。
“GDPR和区块链形成了新兴治理和技术趋势的强大交集,尽管它们的独特特性引起了人们对它们相互兼容性的直接关注,”他说加思•兰德斯他是Gartner的研究主管。“安全和风险管理负责人必须实施保障措施,以确保任何区块链设计都符合GDPR。”
GDPR一般适用于任何企业批准的包含个人数据的区块链。由于监管的范围很广,企业可能不会真正意识到它适用于他们的区块链。在评估你的区块链时,考虑以下三个问题:
如果这些问题中的任何一个回答是“是”,就需要进一步调查该技术是否受GDPR的约束。不要忘记,即使是位于欧盟以外的公司,如果它们使用欧盟公民的数据,也会受到这些法规的约束。企业肯定想要确定GDPR是否适用因为违规可能会招致最高2,000万欧元或年营业额4%的制裁,以较高者为准。
GDPR包含了处理“数据主体的权利”的章节。这包括人们有权访问处理在他们身上的信息,有权更正和修改该信息,有权将其带到别处并删除。删除或“被遗忘权”允许在没有令人信服的理由继续处理的情况下删除或删除个人数据。
公司必须有删除信息的协议,由于其不可变性,乍一看,这对于区块链来说很困难。然而,该规定也允许化名,即允许公司用一个相对匿名的标签替换名字。或者,也可以创建一个区块链,其中链中不存储个人信息,只存储引用的数据,它被存储为散列或令牌。
有可能拥有区块链并保持符合GDPR。然而,它需要安全和风险专家与区块链架构师合作,以确保所有数据的存储方式不违反隐私法。如前所述,这可以通过以不同的方式存储数据,甚至以被允许的方式构建区块链来实现。
加入您的同行,在高德纳会议上揭开最新的见解。
为Gartner客户推荐的资源*:
*注意,有些文档可能不是所有Gartner客户都可以使用的。