Cuộc chiến tuân thủ quyền riêng tư cho các công ty blockchain: Khi phi tập trung đáp ứng các quy định bảo vệ dữ liệu toàn cầu

avatar
星球君的朋友们
1tuần trước
Bài viết có khoảng 5648từ,đọc toàn bộ bài viết mất khoảng 8 phút
Bài viết này sẽ phân tích cách các dự án blockchain có thể xây dựng khả năng cạnh tranh tuân thủ trong kỷ nguyên Web 3.

Bài viết gốc của May Pang , Giám đốc tuân thủ @OORT

Giới thiệu

Khi giao thức DeFi gặp phải quyền bị lãng quên của GDPR và khi nền tảng NFT phải đối mặt với quyền rút dữ liệu của CCPA, ngành công nghiệp blockchain đang trải qua sự va chạm dữ dội giữa lý tưởng phi tập trung và thực tế của quy định. Theo báo cáo của Chainalysis, số tiền phạt dành cho các công ty blockchain toàn cầu do các vấn đề tuân thủ quyền riêng tư đã tăng 240% so với cùng kỳ năm 2023. Bài viết này sẽ phân tích cách các dự án blockchain có thể xây dựng khả năng cạnh tranh về tuân thủ trong kỷ nguyên Web3 .

I. Những điểm tương đồng và khác biệt cốt lõi trong các quy định về quyền riêng tư toàn cầu

Khi các vấn đề về quyền riêng tư dữ liệu ngày càng nhận được sự quan tâm, CCPA của California, PIPL của Trung Quốc và GDPR của EU đã trở thành ba quy định tiêu biểu. Mặc dù cả ba đều hướng đến mục tiêu bảo vệ dữ liệu cá nhân nhưng trọng tâm và yêu cầu cụ thể của chúng lại khác nhau đáng kể.

Về phạm vi áp dụng, CCPA chỉ áp dụng cho cư dân California, trong khi PIPL và GDPR có hiệu lực ngoài lãnh thổ, bao gồm các trường hợp dữ liệu của công dân một quốc gia được xử lý ở nước ngoài. Về quyền cốt lõi, GDPR là quyền toàn diện nhất, trao cho người dùng quyền được lãng quên và quyền chuyển dữ liệu; PIPL nhấn mạnh vào quyền kiểm soát hoàn toàn đối với việc xử lý dữ liệu; và CCPA tập trung vào quyền được thông tin và quyền từ chối. Trong số các hoạt động chuyển dữ liệu xuyên biên giới, PIPL có các yêu cầu nghiêm ngặt nhất và yêu cầu đánh giá hoặc chứng nhận bảo mật; GDPR dựa vào các công cụ chuẩn hóa; CCPA không có hạn chế đặc biệt nào.

Sự khác biệt trong các biện pháp tuân thủ cũng đáng lưu ý: cả PIPL và GDPR đều yêu cầu bản địa hóa dữ liệu hoặc đánh giá xuyên biên giới, trong khi CCPA tập trung nhiều hơn vào tính minh bạch (chẳng hạn như cung cấp liên kết không bán). Xét về mức độ nghiêm trọng của hình phạt, GDPR và PIPL được tính toán dựa trên tỷ lệ doanh thu, đây là biện pháp răn đe mạnh hơn.

Cuộc chiến tuân thủ quyền riêng tư cho các công ty blockchain: Khi phi tập trung đáp ứng các quy định bảo vệ dữ liệu toàn cầu

2. Xung đột giữa các đặc điểm của blockchain và các quy định và giải pháp về quyền riêng tư

1. Nghịch lý của sự bất biến và quyền xóa bỏ

Tính năng cốt lõi của blockchain - tính bất biến - khiến nó trở thành nền tảng của các cỗ máy đáng tin cậy. Tuy nhiên, tính năng này lại xung đột trực tiếp với Quyền xóa bỏ trong ba luật bảo mật chính. Khi người dùng yêu cầu xóa dữ liệu, tính năng sổ cái chỉ thêm nhưng không sửa của blockchain sẽ dẫn đến khó khăn về mặt tuân thủ. Làm thế nào để cân bằng giữa tính bất biến của dữ liệu và quyền xóa dữ liệu hợp pháp? Sau đây là phần khám phá giải pháp kỹ thuật.

1.1 Mạng lưới chủ quyền dữ liệu người dùng: Giao thức gốm

Ý tưởng cốt lõi là tách dữ liệu nhạy cảm khỏi chuỗi khối, chỉ để lại các giá trị băm và dữ liệu gốc sẽ được người dùng quản lý độc lập. Thông qua giao thức Ceramic, dữ liệu được lưu trữ trong mạng lưu trữ phi tập trung (như IPFS) và khóa riêng được kiểm soát bởi người dùng. Blockchain chỉ lưu dấu vân tay dữ liệu (băm). Khi bị xóa, khóa riêng sẽ bị hủy để vô hiệu hóa quyền truy cập. Các trường hợp thành công bao gồm: Người dùng Mask Network sử dụng Ceramic để lưu trữ dữ liệu xã hội được mã hóa (như bài đăng, danh sách theo dõi) và người dùng IDX sử dụng luồng Ceramic để lưu trữ thông tin xác thực có thể xác minh (như chứng chỉ KYC, ràng buộc tài khoản xã hội).

1.2 Xóa logic: Arweave+ZK-Rollup

Một ví dụ thực tế là việc Immutable X xóa bỏ các NFT vi phạm. Ý tưởng cốt lõi của nó là lưu trữ dữ liệu vật lý nhưng đạt được tính vô hình về mặt logic thông qua bằng chứng không kiến thức (ZKP). Trong triển khai cụ thể, bộ nhớ lưu trữ cố định Arweave có thể được sử dụng để ghi dữ liệu vào một lớp bất biến và sau đó thông qua lớp tuân thủ ZK-Rollup, sau khi nội dung được xóa khỏi giá, trình xác thực có thể từ chối các giao dịch có chứa dữ liệu.

1.3 Quyền động trên chuỗi liên kết: Bộ dữ liệu riêng tư Hyperledger Fabric

Ý tưởng cốt lõi là kiểm soát khả năng hiển thị dữ liệu thông qua quyền của nút trong chuỗi quyền. Ví dụ, chuỗi liên minh doanh nghiệp được triển khai bằng cách thiết lập bộ sưu tập dữ liệu riêng tư, chỉ cho phép các nút được ủy quyền xem dữ liệu nhạy cảm và xóa dữ liệu một cách linh hoạt. Ví dụ, các thành viên liên minh có thể bỏ phiếu để xóa dữ liệu không tuân thủ (chẳng hạn như chuỗi y tế xóa hồ sơ y tế có lỗi).

1.4 Lớp bảo mật có thể lập trình: Cơ chế từ chối của Aleo

Ý tưởng cốt lõi là hỗ trợ tiết lộ có chọn lọc bằng sự can thiệp của cơ quan quản lý với tiền đề bảo vệ quyền riêng tư. Dữ liệu người dùng được mã hóa trên chuỗi thông qua bằng chứng không kiến thức (zkSNARK) và khóa xem (Khóa xem) được cung cấp cho cơ quan quản lý khi cần thiết hoặc thực hiện xóa Tùy chọn không tham gia (chẳng hạn như ẩn lịch sử giao dịch). Aleo sử dụng giải pháp này để cung cấp cho các tổ chức tài chính các giải pháp giao dịch bảo mật tuân thủ quy định.

2. Sự cân bằng giữa ẩn danh và KYC

Ba quy định chính về quyền riêng tư trên thế giới đều có yêu cầu nghiêm ngặt về việc ẩn danh khi xử lý thông tin cá nhân. Đồng thời, các quy định chống rửa tiền (AML) cũng yêu cầu xác minh KYC. Làm thế nào ngành công nghiệp blockchain có thể tìm được sự cân bằng giữa hai mâu thuẫn này? Dưới đây là ba giải pháp sáng tạo.

2.1 ENS + Danh tính phi tập trung (DID): Tiết lộ danh tính có thể kiểm soát

Ý tưởng cốt lõi là sử dụng Dịch vụ tên Ethereum (ENS) làm mã định danh có thể đọc được thay vì tiết lộ trực tiếp tên thật, kết hợp với các giao thức nhận dạng phi tập trung (như Ceramic IDX và Spruce DID) để cho phép người dùng lựa chọn thông tin muốn tiết lộ. Ví Uniswap sử dụng công nghệ này để hỗ trợ các bí danh ENS và giảm nguy cơ lộ địa chỉ.

2.2 Polygon ID: Bằng chứng không kiến thức (ZKP) để giảm thiểu KYC

Công nghệ này sử dụng bằng chứng không tiết lộ thông tin để cho phép người dùng chứng minh rằng họ đáp ứng các điều kiện (chẳng hạn như trên 18 tuổi) mà không cần tiết lộ độ tuổi cụ thể hoặc số CMND của họ và không lưu trữ bất kỳ dữ liệu nhận dạng gốc nào, chỉ lưu trữ bằng chứng. Sau khi xác minh, giao dịch có thể sử dụng địa chỉ ẩn danh (chẳng hạn như tài khoản zkRollup). Người dùng cũng có thể thu hồi thông tin đăng nhập và dừng chia sẻ dữ liệu bất cứ lúc nào. Hoạt động này có thể tuân thủ nguyên tắc tối thiểu cần thiết của ba yêu cầu tuân thủ quy định chính và chỉ thu thập thông tin cần thiết.

2.3 Khung TRUST Circle: Sự đánh đổi giữa việc tuân thủ Stablecoin và quyền riêng tư

TRUST (Công nghệ giải pháp toàn diện về quy tắc du lịch) là một giao thức tuân thủ do Circle (đơn vị phát hành USDC) đề xuất, cho phép VASP chia sẻ dữ liệu KYC một cách an toàn mà không tiết lộ cho công chúng. Mã hóa đầu cuối và kiểm soát quyền truy cập được sử dụng để đảm bảo rằng chỉ những tổ chức tuân thủ mới có thể xem danh tính của nhà giao dịch. Khung này tương thích với Quy định du lịch của FATF, đáp ứng các yêu cầu pháp lý đồng thời bảo vệ quyền riêng tư của người dùng. Đồng thời, khuôn khổ này là một kiến trúc phi lưu ký, nghĩa là dữ liệu người dùng không được kiểm soát bởi một tổ chức tập trung duy nhất, giúp giảm nguy cơ rò rỉ. Khung TRUST cũng có thể kiểm toán được, đảm bảo rằng cơ quan quản lý có thể truy cập theo yêu cầu nhưng người dùng thông thường không thể theo dõi được.

3. Hợp đồng thông minh và quyền của chủ thể dữ liệu

Cả ba luật và quy định chính đều nhấn mạnh rằng cá nhân, với tư cách là chủ thể dữ liệu, có quyền quyết định về thông tin của riêng mình. Tuy nhiên, nhiều dự án blockchain hiện tại, bao gồm cả hoạt động DAO, vẫn không thể thoát khỏi chế độ quản trị trung lập. Ví dụ, Uniswap vẫn dựa vào các quyết định tập trung ở phía trước hoặc phía sau, dẫn đến quyền dữ liệu của người dùng bị xâm phạm. Làm thế nào hợp đồng thông minh có thể thực sự tôn trọng quyền của chủ thể dữ liệu? Sau đây là hai giải pháp có thể cân nhắc:

3.1: Aave giới thiệu cơ chế Đánh giá tác động xử lý dữ liệu (DPIA) cho việc bỏ phiếu DAO

DPIA (Đánh giá tác động bảo vệ dữ liệu) là quy trình đánh giá bắt buộc theo quy định của GDPR, yêu cầu các công ty đánh giá tác động đến quyền riêng tư trước khi xử lý dữ liệu có rủi ro cao. Đề xuất DPIA trên chuỗi yêu cầu bất kỳ thay đổi nào liên quan đến dữ liệu người dùng (chẳng hạn như thêm mô-đun KYC mới, chiến lược lưu trữ nhật ký) phải được các thành viên DAO bỏ phiếu. Đề xuất cũng phải kèm theo phân tích tác động đến quyền riêng tư (chẳng hạn như liệu thay đổi có làm tăng nguy cơ rò rỉ dữ liệu hay không), đồng thời triển khai các hợp đồng thông minh tuân thủ, quản lý quyền hạn của người dùng thông qua thông tin xác thực có thể xác minh (VC) và thiết lập cơ chế phạt. Nếu DAO thông qua đề xuất vi phạm GDPR, các token quản trị được đặt cược (như AAVE) có thể bị tịch thu. Các DAO như Aave đã giới thiệu cơ chế quản trị trên chuỗi để đảm bảo các quyết định về dữ liệu của họ là minh bạch.

3.2: Filecoin triển khai quản lý vòng đời dữ liệu tự động

Nguyên tắc giới hạn lưu trữ của GDPR yêu cầu dữ liệu chỉ được lưu giữ khi cần thiết. Là một mạng lưới lưu trữ phi tập trung, Filecoin có thể tự động hết hạn và xóa thông qua hợp đồng thông minh để tránh vi phạm lưu trữ vĩnh viễn. Khi người dùng tải dữ liệu lên, họ sẽ đặt thời gian lưu trữ (chẳng hạn như tự động xóa sau 1 năm) và nút Filecoin sẽ thực hiện dọn dẹp sau khi hết hạn. Bên lưu trữ không cần tiết lộ nội dung dữ liệu mà chỉ cần chứng minh dữ liệu đã bị xóa theo thỏa thuận (chẳng hạn như gửi bằng chứng xóa dữ liệu thông qua zk-SNARK). Nếu nền tảng NFT sử dụng Filecoin để lưu trữ siêu dữ liệu nghệ thuật, nó có thể nhúng logic hủy niêm yết tự động (chẳng hạn như kích hoạt xóa sau khi hết hạn bản quyền). Trường hợp tham chiếu Quyền sử dụng dữ liệu của Giao thức Đại dương sẽ tự động bị thu hồi khi hết hạn.

4. Đột phá truyền tải xuyên biên giới PIPL

Đối với các công ty Trung Quốc, với việc Luật Bảo vệ Thông tin Cá nhân (PIPL) chính thức được thực hiện vào tháng 11 năm 2021, môi trường quản lý đối với luồng dữ liệu xuyên biên giới mà các công ty phải đối mặt đã có những thay đổi cơ bản. Điều 38 của PIPL quy định rõ ràng rằng việc xuất khẩu thông tin cá nhân phải thông qua các con đường tuân thủ như đánh giá bảo mật, hợp đồng tiêu chuẩn hoặc chứng nhận. Quy định này đặt ra một thách thức đặc biệt đối với ngành công nghiệp blockchain - làm thế nào để đáp ứng các yêu cầu tuân thủ về truyền dữ liệu xuyên biên giới trong khi vẫn duy trì các đặc điểm của sổ cái phân tán? Sau đây là những đổi mới công nghệ và sự hiểu biết về tuân thủ của các công ty blockchain Trung Quốc trong kỷ nguyên PIPL những năm gần đây, có ý nghĩa tham khảo cho các dự án khác.

4.1 Mô hình Regulatory Sandbox của Changan Chain: Đổi mới kiến trúc chuỗi chính-chuỗi phụ

Là nền tảng công nghệ blockchain độc lập và có thể kiểm soát của Trung Quốc, Changan Chain đã đề xuất sáng tạo thiết kế kiến trúc hai lớp gồm chuỗi chính trong nước + chuỗi phụ ở nước ngoài, cung cấp lộ trình triển khai kỹ thuật để tuân thủ PIPL. Chuỗi chính trong nước lưu trữ dữ liệu gốc và chuỗi phụ ở nước ngoài chỉ lưu giá trị băm dữ liệu và thông tin giao dịch cần thiết. Bằng cách triển khai cổng truyền dữ liệu xuyên biên giới được Cục Quản lý Không gian mạng Trung Quốc chứng nhận, có thể kiểm soát chặt chẽ luồng dữ liệu và thiết lập các nút quản lý có quyền đặc biệt trong chuỗi con để đáp ứng các yêu cầu kiểm toán.

4.2 Khung tính toán bảo mật mạng Oasis: Blockchain nước ngoài đầu tiên vượt qua Đánh giá an ninh của Cơ quan quản lý không gian mạng Trung Quốc

Năm 2023, Oasis Network trở thành dự án blockchain ở nước ngoài đầu tiên vượt qua đánh giá bảo mật của Cục Quản lý Không gian mạng Trung Quốc và khuôn khổ điện toán riêng tư của dự án này cung cấp các giải pháp sáng tạo cho luồng dữ liệu xuyên biên giới. Công nghệ này sử dụng công nghệ TEE (Môi trường thực thi tin cậy) để đạt được dữ liệu có sẵn nhưng vô hình, thêm nhiễu vào quy trình phân tích dữ liệu để bảo vệ quyền riêng tư của cá nhân và thiết lập chuỗi khối được cấp phép thông qua cơ chế kiểm soát truy cập (RBAC). Cuối cùng, các yêu cầu PIPL được đáp ứng thông qua cơ chế kép giảm độ nhạy dữ liệu + kiểm soát truy cập.

4.3. Nền tảng Ant Chain Trusple: Các phương pháp hay nhất để ghi lại hợp đồng chuẩn

Nền tảng thương mại quốc tế Trusple của Ant Chain đã tạo ra một trường hợp chuẩn mực để tuân thủ PIPL bằng cách kết hợp sáng tạo các hợp đồng thông minh với các hợp đồng tiêu chuẩn. Việc nộp hợp đồng thông minh sẽ mã hóa các điều khoản hợp đồng chuẩn thành các hợp đồng thông minh có thể thực thi, xác minh các điều kiện truyền xuyên biên giới theo thời gian thực thông qua các oracle, đạt được sự tuân thủ tự động và ghi lại tất cả các lần truyền trên chuỗi để đáp ứng các yêu cầu kiểm toán theo quy định.

Phần kết luận

Sự hội tụ của blockchain và quy định về quyền riêng tư không phải là một trò chơi có tổng bằng không. Như nhà sáng lập Ethereum Vitalik Buterin đã nói: Thế hệ giao thức bảo mật tiếp theo phải có các gen tuân thủ được nhúng vào trong đó. Các dự án chuyển đổi các yêu cầu pháp lý thành các tính năng kỹ thuật đang định hình một mô hình mới cho kỷ nguyên Web 3 - vừa bảo vệ tinh thần phi tập trung vừa xây dựng một rào cản tuân thủ bền vững.

Bài viết này đến từ bản thảo, không đại diện cho lập trường của Odaily. Nếu đăng lại xin ghi rõ xuất xứ.

Odaily nhắc nhở, mời đông đảo độc giả xây dựng quan niệm đúng đắn về tiền tệ và khái niệm đầu tư, nhìn nhận hợp lý về blockchain, nâng cao nhận thức về rủi ro; Đối với manh mối phạm tội phát hiện, có thể tích cực tố cáo phản ánh với cơ quan hữu quan.

Điện toán riêng tư
星球君的朋友们

星球君的朋友们

Xem thêm
Đọc nhiều nhất
Lựa chọn của người biên tập
twitter.png
discord.png
telegram.png Group
telegram.png Channel
weibo.png
Github.png