什么是GDPR和CCPA？它如何影响区块链？

O'Melveny＆Myers Llp的特别顾问Scott W. Pink。

这是分析区块链如何适应隐私法领域的系列文章的第二部分。单击此处阅读第一部分。

许多隐私专业人士将欧盟的《通用数据保护条例》视为数据隐私法发展的分水岭。

尽管有十多年的数据隐私法律，但许多法律本质上非常笼统或特定于某些受监管的行业，例如医疗保健或金融服务。 GDPR制定了一套广泛适用的数据隐私原则，并引入了公司和其他数据处理者必须遵守的许多义务和数据主体权利。自GDPR于2018年5月生效以来，紧随其后的是巴西，泰国和最近在加利福尼亚通过了非常类似的法律，并于2020年1月生效了《加利福尼亚消费者隐私法》。 ，我们将专注于GDPR和CCPA的核心条款及其在区块链和分布式分类帐中的潜在应用。

以下是GDPR和CCPA规定的关键原则：

控制器和处理器

GDPR定义了两种处理个人数据的实体：控制者，负责确定处理个人数据的目的和方式；和处理器，它们代表控制器处理数据。管制员承担GDPR的大部分义务，包括通知义务，响应数据主体请求，通知数据安全违规并确保其处理者遵守某些要求。

加利福尼亚州法律并未区分控制器和处理器。相反，这些义务适用于收集消费者（即加利福尼亚州居民）个人信息的企业。术语“收集”广义地定义为“以任何方式购买，租赁，收集，获取，接收或访问与消费者有关的任何个人信息”。 （Cal。Civ。代码§1798.140（e）。这表明控制器及其处理器均受加利福尼亚州法律条款的约束。

法律基础和数据最小化

GDPR提出了一个概念，即控制者必须具有收集个人数据的合法依据。管理员不再可以出于不必要的原因收集个人数据；他们必须具有GDPR第6条所规定的有效法律基础，并且只能收集为此目的所需的数据（数据最小化）。 CCPA并没有明确要求法律依据或数据最小化，但确实要求企业披露收集个人数据的商业目的。校准文明代码§1798.110。

注意

提供隐私声明的要求已经存在了十多年，从1995年的欧盟数据保护指令开始，到2003年的加利福尼亚的《在线隐私保护法》在美国开始生效.GDPR和CCPA都规定了更严格的要求，此类通知的详细要求，包括在收集时提供通知的要求。此外，诸如联邦贸易委员会之类的监管机构在追捕未能充分告知其数据收集活动的公司方面也变得越来越积极。

同意要求

GDPR引入了获得同意的新要求。必须获得自由，明确，知情且明确的同意（GDPR，第4条，第11条。）为了获得自由给予的同意，必须自愿给予同意。在大多数情况下，不能将其作为合约的一部分来要求，也不能包含在隐私政策中。如下所述，在诸如分布式分类帐的动态交易框架中，获得同意可能是一个挑战。

数据主体权利

GDPR引入了数据主体可以行使的多项权利，包括访问个人数据的权利，更正个人数据的权利，反对某些类型的处理（例如自动处理）的权利，数据的可移植性，以及删除个人数据的权利。 CCPA实施了一套更为有限但相似的权利，包括访问权，知情权，删除权和拒绝出售个人信息的权利。

数据安全和数据泄露

GDPR要求数据控制者和处理者实施适当的技术和组织措施，以确保适合风险的安全级别，其中包括对个人数据的假名和加密货币；确保处理系统和服务的持续保密性，完整性，可用性和弹性的能力；在发生物理或技术事件时能够及时恢复个人数据的可用性和访问能力；以及定期测试，评估和评估技术和组织措施的有效性以确保加工安全性的过程。 GDPR，艺术。 32，§1。

在美国，对某些受监管实体规定了非常具体的安全要求，例如HIPAA下的医疗保健提供者和Gramm-Leach-Bliley下的金融机构。州法律趋于更加笼统，只要求“合理的安全性”，而不必定义其含义。

安全违规披露法律在所有50个州均已存在，并且需要通知个人，在某些情况下还要求政府实体进行通报；触发通常是未经授权的访问或泄露受试者的姓名以及某些识别信息，例如社会安全号码或驾驶执照号码。 GDPR还要求控制者将安全漏洞通知数据保护机构和个人；该要求不仅限于某些数据集，而是在确定是否需要披露时检查数据的类型，违规的严重性和损害风险。

下一部分将探讨将数据隐私制度应用于区块链的挑战。

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。