本报告由火币区块链研究院出品，本报告发布时间2018年5月26日，作者：袁煜明，肖晓​

2018年5月24日，火币区块链研究院结束了为期三天的马德里DES展会之行。DES展会为西欧规模最大的信息、通信和软件领域的权威展览会，聚集了400多家参展企业，包括IBM、埃森哲、KPMG、德勤、思科、SAP、戴尔、惠普等等。2018年展会以“数字经济”为主题，分为人工智能、物联网、区块链等众多相关分会场，当然，其中最火爆、关注度最高的还属区块链。​

​然而，在多数参会者被问及“对区块链有何见解”的时候，我们得到两种答案：1. “哦，听说过区块链，但我不想买比特币。”；2. “哦，区块链我知道，是做KYC的。”

第一种答案的认知还停留在早期的“区块链=比特币”上，这是欧洲大众保守风格的一种体现，在接受带有革命性新事物方面需要一定的时间。而从第二种答案中我们可以看出，企业级的身份验证可能是区块链在欧洲的第一项落地应用，并且欧洲在这方面的应用可能比世界其他地方更加超前。这就要追溯到欧洲长久以来对数据隐私保护的追求，以及将于今天（2018年5月25日）开始强制执行的欧盟GDPR。

那么这个近年来全世界都在讨论,作为DES演讲环节高频词汇出现的神奇的GDPR到底是什么，跟区块链又有什么关系呢？​​

一、GDPR是什么

简单来说，GDPR就是“通用数据保护规范”（General Data Protection Regulation），也称为2016/679号规范。此规范在2016年4月27日通过，于2016年5月24日公布，并给予两年缓冲期，自2018年5月25日起强制执行。它是欧盟范围内的数据保护基本法案，致力于保护欧盟境内所有个人的隐私数据。其主要目标是将公民及居民对个人数据的控制权还给他们自己（Self-sovereign identity），并向欧盟境内的个人数据施以出口控制。​​

​GDPR是欧盟隐私保护法自1995设立以来最大的改革，在大数据时代首次将个人信息保护提升到前所未有的严格程度，可能将彻底改变各类组织收集用户注册信息和使用他们收集的个人数据的方式，让各大互联网科技公司不寒而栗。它的严格体现在以下几个方面：

1. 扩大了个人数据（Personal Data）的边界

早在1995年，欧盟就通过了《数据保护指令》，历史上首次为欧盟成员国立法保护个人数据设立了明确标准。在这项标准中，个人数据的概念仅仅包括用户名、家庭地址及邮编号码这样相对简单的信息，指令规定的内容也只是赋予用户访问自身信息并修改其中错误信息的权限。

而GDPR完全站在用户的角度来界定需要保护的数据界限，其中所涉及的个人数据的定义极其广泛，涵盖了大部分可以直接或间接地识别个人的数据类型，包括基础信息（如身份ID号码、社保账号等）、网络信息（如IP地址、Cookie数据等）、生物识别信息（指纹、虹膜等）以及政治与种族信息等等。​

​

2. 适用范围不按公司划分，而是按用户划分

GDPR不仅适用于欧盟境内的公司，只要是在处理欧盟境内用户的数据都需遵守该项规范。且GDPR是一项规范，并不是指引性文件，所以不需要各国政府立法授权就直接适用。

3. 惩罚手段之严，让互联网公司宁愿停止运营也不敢轻易涉险

从2018年5月25日起，任何一个未能满足GDPR法规的公司将面临高达年收入4%或2000万欧元的巨额罚单，以较高者为准。且罚款之后，任何进一步的数据处理活动都将遭受潜在的叫停风险。4月13日，腾讯公司突然宣布，从5月20日开始，将停止QQ在欧洲地区的所有服务，我们可以合理猜想这一举动与即将实施的GDPR有关。

二、GDPR与区块链的关系

 GDPR架构对个人数据的收集和使用提出了几个新的要求：

·   在收集个人数据之前获得用户的授权同意，且允许用户随时撤回他们的授权同意

·   允许个人修改或删除他们的个人资料（right to be forgotten）

·   妥善保管数据，使得组织能够更容易的访问用户共享的数据，且需保持数据在服务提供商之间的迁移能力

·   确保向欧盟外传输的数据符合严格的标准

从GDPR的架构上看，它与区块链的核心技术似乎存在一定的冲突，在GDPR与区块链能否适应这一点上也存在比较大的争议。主要争议的点在于，GDPR是要赋予用户修改或删除自身个人数据的权利，从本质逻辑和技术理念上来看，这显然有悖于区块链不可篡改的特性。同时，GDPR是为了让各类公司将欧盟公民和居民的个人数据保留在欧盟境内，而不是存储在全球各地的分布式节点上，这样一来，如何确保欧盟以外的节点都符合GDPR标准就成为了一个难题。

很多人因此认为GDPR可能成为欧洲区块链的杀手，相反地，我们认为这可能恰恰是催生区块链应用的机会:

·   GDPR的出台使用户个人数据成为烫手山芋

由于GDPR对用户个人数据的收集、使用、存储都提出了严格的要求，且一旦违规，罚款金额惊人，越来越多的数据使用方不希望继续把数据存在自己的中心化数据库中，他们只需在使用数据的时候进行付费调用就够了。这为区块链带来了机会。​

·   GDPR对用户个人数据自治的要求，区块链可能是最好的解决方案

基于区块链和公钥/私钥对，用户可以实现对颗粒化个人数据的控制，以及实现对任何一项细分数据的访问授权。

·   区块链可以为个人数据的共享和迁移提供基础

在区块链上，我们可以引入背书机制（Attestation），数据无需在各个服务提供平台上反复验证。比如一个驾照持有人，在租车时可能无需再提供姓名、驾驶证号码、驾驶证有效期等个人数据，而只需提供之前在别处租车时验证过的结果，即“该用户是合格驾驶“，如果驾驶证过期，该项背书自动失效。这一切可以通过智能合约来实现。

·   对于个人数据能否修改和删除的问题，技术上可以通过分层架构或者数据脱链处理

在这种架构下，用户个人数据存储在链下由个人掌握的数据库中，而链上通过运行智能合约调用数据，只有在用户授权同意的前提下，智能合约才可以被执行。在链下，用户可以自由修改或删除个人数据，而在链上，只会记录修改或删除行为的哈希值，以便未来调用更改后的数据

三、西班牙及欧洲在区块链KYC领域的进展

由于GDPR颁布至今已有两年的缓冲期，加上欧洲国家长期以来对个人数据隐私的重视，该领域在结合区块链技术方面已经有不少动作。西班牙及欧洲在区块链KYC领域的进展主要由传统的数据使用者及服务公司推动。另外，由于金融机构在KYC需求及用户数据隐私保护方面的冲突最为明显，它们对区块链的应用需求也更迫切，目前主要的区块链KYC推动者还是在金融领域，以银行为主，且形式主要为节点都在欧盟境内的联盟链。​

​早在2017年中，西班牙批发银行Cecabank就与服务公司Grant Thornton合作，创建了银行业区块链联盟“Red Lyra”(后于10月更名为“Alastria”)，主要借用公共以太坊和超级账本技术，致力于逐步发展区块链技术在金融领域的潜力。该联盟成员包括Banco Sabadell、Banco Santander、Bankia、BBVA、BME等大多数西班牙主要的银行，且基于KYC的区块链身份识别系统是联盟开发的首个解决方案之一。

另外，西班牙最大的两家银行Santander和BBVA也是企业以太坊组织的创始成员，该组织致力于利用区块链技术帮助大型企业简化业务流程。

欧洲方面，早在2016年就有金融创新公司R3联合10家联盟成员银行成立，成功地开发出了一个用于了解你客户（KYC）注册登记的概念验证，允许所有者可以自行管理身份。

 2017年，又有由卢森堡政府支持的LuxTrust数字身份公司联合美国的创业公司Cambridge Blockchain建立新的身份验证平台，服务于卢森堡政府以及其他银行集团和金融机构。

预计在不太久的未来，随着银行和金融机构间的网状效应，以及其他地区数据隐私保护方面对欧洲的效仿，区块链KYC业务模式将从欧洲开始扩散开来。然而公有链的应用场景如何与GDPR相结合，还需要一定时间探索。

报告全文下载地址：

【火线视点5】马德里DES展会结束之际，为GDPR庆生 | 火币区块链研究院

---

火币区块链应用研究院

关于我们：

火币区块链应用研究院（简称“火币研究院”）成立于2016年4月，于2018年3月起全面拓展区块链各领域的研究与探索，主要研究内容包括区块链领域的技术研究、行业分析、应用创新、模式探索等。我们希望搭建涵盖区块链完整产业链的研究平台，为区块链产业人士提供坚实的理论基础与趋势判断，推动整个区块链行业的发展。

联系我们：

​咨询邮箱：huobiresearch@huobi.com

简书公众号：火币区块链研究院

Twitter:Huobi_Research

 https://twitter.com/Huobi_Research

Medium:Huobi Research

 https://medium.com/@huobiresearch

Facebook:Huobi Research

 https://www.facebook.com/Huobi-Research-655657764773922

Website:http://research.huobi.com/

免责声明：

1、火币区块链研究院与本报告中所涉及的数字资产或其他第三方不存在任何影响报告客观性、独立性、公正性的关联关系。

2、本报告所引用的资料及数据均来自合规渠道，资料及数据的出处皆被火币区块链研究院认为可靠，且已对其真实性、准确性及完整性进行了必要的核查，但火币区块链研究院不对其真实性、准确性或完整性做出任何保证。

3、报告的内容仅供参考，报告中的事实和观点不构成相关数字资产的任何投资建议。火币区块链研究院不对因使用本报告内容而导致的损失承担任何责任，除非法律法规有明确规定。读者不应仅依据本报告作出投资决策，也不应依据本报告丧失独立判断的能力。

4、本报告所载资料、意见及推测仅反映研究人员于定稿本报告当日的判断，未来基于行业变化和数据信息的更新，存在观点与判断更新的可能性。

5、本报告版权仅为火币区块链研究院所有，如需引用本报告内容，请注明出处。如需大幅引用请事先告知，并在允许的范围内使用。在任何情况下不得对本报告进行任何有悖原意的引用、删节和修改。