史上最严隐私条例正式生效，数字身份步入黄金发展期

欧盟的隐私保护法正在面临自1995设立以来最大的改革。

2016年4月14日，欧洲议会投票通过了商讨四年之久的《一般数据保护条例》（General Data Protection Regulation，简称GDPR）。根据规定，该条例已于今年５月25日正式生效。新条例的通过意味着欧盟对个人信息保护及监管达到了前所未有的高度，堪称史上最严格的数据保护条例。

为踏上数字时代新秩序的起跑线，全球企业都在积极准备，不仅因为合规操作攸关企业未来发展，更决定了如何合法地应用新技术、业务创新来获取基于个人数据的商业价值。

GDPR重构互联网治理秩序 为数字身份提供基本合规框架

GDPR的宗旨在于协调整个欧盟的数据隐私立法，让人们更好地掌控自己的个人数据，其将彻底改变各类组织处理和使用他们收集的个人数据的方式。GDPR主要从个人对其信息的控制权、信息控制者、处理者的义务和责任的界定、信息跨境和刑事活动领域的特殊信息保护规则等方面，对科技公司使用身份数据的边界、应当承担的责任和义务，提供了基本的合规框架。

根据GDPR，所有存储欧盟公民或居民的个人资料的组织，包括区块链项目，都需要遵循严格的数据隐私规则。惩罚手段是根据违法的严重性、侵权行为的性质和组织的行为准则进行罚款。情节最严重者将面临高达20亿欧元或年收入百分之四的巨额罚单，以较高者为准。

l  个人数据

以前的隐私制度将个人数据定义为姓名、照片、电子邮件地址、电话号码、实际地址或个人身份证号码、银行帐号或社保卡号，但GDPR将定义扩大至“已识别”（identified）和“可识别”(identifiable)的数据信息。这意味着个人数据指的是任何可用于识别个人的信息，包括位置数据、移动设备ID以及某些情况下的IP地址。（生物特征数据和遗传数据被认为是“敏感的个人数据”）

匿名数据是一种潜在的合规性信息，即经过散列、加密或以某种技术方法进行匿名处理的个人数据。通过将其与附加数据相结合后重新定位识别的数据也被视为个人数据。

l 个人权利

GDPR更重视保护自然人的个人信息权利，包括个人信息使用的知情权利、自由流通的权利、撤回使用授权的权利以及被遗忘的权利等。GDPR在立法目的的层面上更支持个人信息的自由流通，其不仅关注个人信息在境内受保护的情况，同时也着眼于个人信息出境后如何被处理及保护。

从个人权利种类看，包括积极权利：信息收集时的知情权、个人信息处理情况的查询权、个人信息使用时的许可权、个人信息转移权、错误个人信息的修改权、个人信息遗忘权、个人信息泄露时的知情权等。以及拒绝或限制个人信息被各种形式利用的消极权利：限制控制者的信息使用范围、拒绝个人信息被非公益科研或统计活动利用的权利、拒绝个人信息被商业利用的权利等。

在科技公司收集和处理个人信息时，必须获得个人明确的许可。GDPR要求，有关个人信息使用许可的条款需要区别于其他服务条款，应当以容易识别、通俗易懂的形式表现出来，不得不适当地与其他服务条款捆绑同意，也不能以沉默、不作为等默示方式认定为「同意」。与此同时，个人信息主体在做出许可同意后，有权随时撤销该授权许可，信息控制者应当事先告知个人该项权利，并保障撤销权行使的便利性。

值得一提的是，GDPR 首次将遗忘权作为一项独立权利予以规定。当个人希望消除存储在信息控制者处的自身信息时，有权要求信息控制者及时地采取措施擦除相关信息。

l 记录保存与问责原则

虽然GDPR并没有详细说明问责制，但数据管理员和任何外包商必须保存其数据处理活动的书面记录，包括他们处理数据的原因以及他们计划保存数据的时间。GDPR称之为“通过设计和默认的数据保护”。如果监管机构要求提供合规证明，公司必须能够提供。

如何协调区块链与GDPR法案 成未来数字身份发展关键点

对区块链数字身份而言，如何协调区块链技术与GDPR法案将是未来数字身份发展的一个关键点。虽然GDPR有意要避免技术局限性，但它仍是建立在个人数据会被存储在传统中心化实体的假设之上，可以由人轻松地在GDPR框架下统一管理。但在区块链的语境下，全球性的分布式网络如何能够实现与GDPR标准的对接，还需要更多探索。

其中一种可行的方案是，探索个人数据的链下存储方式。这种分裂式的数据结构允许区块链引用个人信息，但没有获得权限时不能访问存储在链下数据库中的个人信息。通过双重数据处理结构，使其中一笔交易的合约部分通过链上的智能合约来执行，而实际数据的传输则发生在链下。

GDPR框架的提出，也衍生出了一系列必须思考的议题。比如，如何确认链下数据库的合规管理？链下访问的个人数据如何能轻松地服务于链上交易？如何确保区块链数字身份的每个节点都符合GDPR的隐私标准？这些区块链数字身份项目在未来需要解决的艰巨任务。

GDPR迈出了数据向用户赋能的重要一步，尤其是它要求所有公司允许用户下载甚至删除数据、或者把数据迁移到其他平台。未来数字身份的发展方向将是在合规的法律框架下，确保必要的调控和区块链技术可以和谐共存。

2018年被视为“数字身份元年”，有关身份与隐私的标志性事件都在这一年集中爆发。随着GDPR法案的正式执行以及全球数字身份项目的繁荣发展，互联网治理秩序的重构指日可待。