ETH:联盟分析-?政策法规 | ?亚马逊遭受重罚，GDPR规制下区块链行业如何应对？_NFTD

全球知名网上零售商亚马逊在7月30日公开的监管备案文件显示，2021年7月16日，卢森堡国家数据保护委员会裁定亚马逊对其用户数据保护不力，违反了欧盟《一般数据保护条例》(GeneralDataProtectionRegulation,以下简称“GDPR”），由此对亚马逊处以7.46亿欧元的罚款。这也是迄今为止欧盟依据GDPR创下的最高罚款记录。

GDPR自颁布以来一直被称为“史上最严格的个人数据保护法”，此次互联网巨头亚马逊遭受巨额罚款再次证明了这一点。

首先是因为GDPR适用范围很广，根据GDPR第2条和第3条的规定，GDPR适用于所有对于个人数据的使用及处理行为，包括人工的处理以及自动化的处理。在地域上GDPR可以规制所有的营业地设立在欧盟境内的数据控制者或数据处理者，而且无论这些数据的处理行为是否在欧盟境内发生。综上，无论企业所在地在哪里，只要其向欧盟数据主体提供产品、服务或监控相关行为，或处理和持有居住在欧盟的数据主体的个人数据，那么就受到GDPR监管。

动态 | 渣打银行宣布已加入企业以太坊联盟:金色财经报道，渣打银行11月7日宣布已加入企业以太坊联盟（EEA）。渣打银行首席信息官Michael Gorriz说：“我们很高兴能成为EEA的一员，并期待与其他业界领袖合作，深化区块链在银行业的研究和应用。改善客户体验，并提供新的服务。”（Ledger Insights）[2019/11/8]

一旦违反GDPR规定，企业将面临重罚。根据GDPR第83条之规定，如果某公司未按要求做好相关记录，或者将其违规行为未通知监管当局和数据主体，或者未进行影响评估，则可能被处以其全球年营业额的2％的罚款。如果发生了侵犯个人信息安全的行为，那么就可能面临高达其全球年营业额的4％或2000万欧元的巨额行政罚款。

动态 | 首个保险行业级区块链平台“联盟链”正式建成:金色财经报道，近期，首个保险行业级区块链平台——“中国银保信行业信息联盟链”（以下简称“联盟链”）正式建成。该“联盟链”主要依托以HyperLedger的Fabric为基础的区块链技术，在联盟成员中采用共享账本的分布式存储方式。利用基于“联盟链”的区块链技术难以篡改、信息分布存储等特点，打造行业互信联盟，防止保单信息单方面篡改，增强了保单的互认公信力。

为推动区块链技术应用落地，中国银保信将“联盟链”运用于人身险电子保单托管平台中，为行业和消费者提供了可靠互信的电子保单存证服务。同时，依托电子保单托管平台等应用场景，通过业务设计、流程控制和技术验证，要求相关保险公司加入区块链技术所打造的“联盟链”，在“联盟链”中完成保单备案验证和托管。据统计，截至2019年9月底，中国银保信已与多家保险公司开展电子保单托管合作，累计托管电子保单400多万份，今年以来月均新增托管超过30万份。目前，还有数家保险公司正在联调测试，准备加入“联盟链”。（ 中国银保信官方）[2019/11/4]

基于区块链的性质，GDPR对区块链行业的影响更甚。众所周知，区块链技术的核心特征是通过对数据客观且不可撤销的写入与读取等手段，来解决信用问题。但GDPR规定了数据主体在合法收集、处理的个人数据出现过时、不相干、不准确等情形时可以要求数据控制者删除该数据的权利，这就出现了极大的矛盾，因为修改区块链上的数据非常困难，但是如果不删除就可能面临GDPR的处罚。这无疑对区块链行业提出了更高的要求——在收集、处理个人数据阶段就应高度合规化。

动态 | 区块链软件联盟R3与DA展开合作以最大化各自区块链生态系统:据coindesk消息，区块链软件联盟R3与区块链金融公司Digital Asset（DA）正在展开合作，以最大化各自的区块链生态系统。DA既在上个月与英特尔Hyperledger Sawtooth合作之后，又将其智能合约语言DAML（数字资产建模语言）引入R3的Corda平台以及Hyperledger Fabric。[2019/6/18]

收集处理个人信息必须征得用户明确同意

GDPR要求对于征求个人信息的请求必须以清晰易懂的语言且以易理解、易于阅读的形式提供，并说明处理其个人数据的目的。同意必须清晰明确，并与其他事项区分开来。撤回同意应该和表示同意一样容易操作。企业切记不得再使用冗长无法辨认且全部是法言法语的条款和条件表示征求请求。

声音 | 怀俄明州区块链联盟联合创始人：ICE涉足比特币业务并非令牌化资产:据CCN消息，怀俄明州区块链联盟联合创始人Caitlin Long在接受采访时表示：“当洲际交易所（ICE）推出并表示他们正在涉足比特币业务时，在我看来这只是一种游戏规则的改变，因为那是一种本土的数字资产，而不是令牌化的资产。它只存在于区块链上，且永远不会离开区块链，只有其所有权发生了变化。我认为，如果ICE把它作为一种战略并且试着重新假设它并将其融合在一起，那么将会大获成功。”据此前消息，ICE宣布计划成立一家新公司Bakkt，将为数字资产创建一个开放且受监管的全球生态系统。

Long还称：“对于‘如果一个开放的区块链被用来托管资产，那么它就需要为该资产设立一个合格的托管人’，我希望美国SEC废却这种要求，因为这实际上会带来本不存在的风险。实际上我认为SEC最重要的改变是取代旧的法规以支持加密货币行业发展，因为这对于新技术来说已经过时了。”[2018/10/1]

设立数据保护专员(以下简称“DPO”)

如果某一公司属于：公共机构或团体；从事大规模系统监测的组织；或从事大规模处理敏感个人数据的组织，那么就必须指定DPO。DPO负责确保企业遵从个人数据保护条例的规定，并在企业发生个人数据操作违规时承担相应的法律责任。DPO必须直接向最高级别的管理层报告，并不得执行可能导致利益冲突的任何其他任务。如果相关组织不属于上述列举情况，则无需指定DPO。

不收集处理特别数据

根据GDPR要求，禁止收集处理反映个人种族或民族起源、观点、宗教哲学信仰、是否是工会组织成员、个人基因识别、生物数据，或涉及健康、性生活或性取向的数据。可以收集加工以上数据的例外情况包括：已获得个人的明示同意，或数据控制者因处理劳动关系、社会保险之需要，并在法律允许的范围内，且已采取了适当的保护手段等。

善用合同约定

如果区块链行业业务要涉及欧盟个人数据处理，建议在与数据主体签署合同中提前明确因区块链分布式存储技术本身的特殊性，删除数据在技术上将无法实现，并要求数据主体主动放弃其对存储在区块链上的个人数据的删除权，或赋予数据控制主体在链上永久存储个人信息的权利。

以防万一，在合同条款中标注对数据删除权的放弃将视为为永久的放弃，以及标注数据控制主体在区块链上存储个人信息的权利是永久的。如果不加以说明，那么在合同期满后，区块链企业依然要面临数据删除的问题。

除合同合规外，现在也有一些技术手段促进区块链行业符合GDPR要求，比如链下存储，将交易数据存储于链下的私人数据库，可随时被编辑和删除，这在区块链金融领域已有运用先例。

还有一种比较理想化的合规方式是采用匿名化加密算法。因为纵观GDPR条例，GDPR并不涉及对匿名信息的处理，但目前的加密手段很多都没有达到GDPR所要求的“匿名化”的程度。随着区块链技术广泛投入实际应用，相信涉及具体处理个人数据的判例将层出不穷，亚马逊不是第一例，肯定也不是最后一例，对于区块链行业，不管是技术开发人员还是企业合规人员，都应当采取措施力求避免违反GDPR监管。

全球区块链合规联盟

“设立区块链行业标准，加强行业自律，共同维护良好的市场秩序和行业环境，为行业健康发展提供理论指导，推动行业健康可持续发展”。

全球区块链合规联盟提供相关企业业务合规资质服务，欢迎通过邮箱service@gbcuf.com或微信与我们进行更详细的业务沟通。

标签：区块链NFTETHTHE区块链币圈币种知识大全NFTDethicalvaluesThe Beatles

SHIB最新价格热门资讯