通用数据保护条例（GDPR）是一个欧盟针对个人数据隐私广泛和严格的法律框架，这一条例已与于5月25日生效。无论你是否已经准备好，该框架将大幅改变所有的数字货币风投业务。

隐私权专家国际协会（IAPP）预测，此举将至少创造7.5万个隐私相关职位，全球财富500强企业将花费近80亿美元，以确保其符合GDPR的规定。不过，这对区块链又意味着什么？

GDPR的目标是：在欧洲范围内建立统一的数据监管框架，并加强个人对其数据存储和使用的控制。它于2016年通过，经过两年的过渡期后，现已正式生效。

GDPR为“数据处理者”（包括公司和公共实体）引入了新的程序和组织义务，并给予“数据主体”（指代个人）更多的权利。

公共和私人组织，甚至在知道如何处理数据之前，往往会对数据进行积累，这颇有点像个人数据采集领域里的“淘金热”。GDPR通过规定数据处理者不应收集超出有助于其与消费者进行直接互动以外的数据，从而破除了他们大肆收集数据的这一习惯。实际上，数据收集应该“适当，相关并受制于数据处理这一目的”（GDPR第39条）。

GDPR除了对行为准则进行规定外，还详细说明了数据处理者从现在开始需要采用的组织指导方针。例如，出于隐私考虑，他们的技术架构在使用完消费者数据之后将默认对其进行消除。

其次，任何被认为是“数据联系”的实体都需要有一名数据保护专员（DPO）负责管理该实体的GDPR合规性。这个DPO将承担法律义务，在数据主体隐私出现风险时提醒监管机构（第33条）。

另一方面，数据主体将更好地了解他们的私人数据将如何被存储和处理（第15条）。举例来说，他们有权要求获得公司持有的有关本人信息的副本。此外，数据处理者必须详细通知数据主体有关数据处理的情况，以及数据将如何被共享或获取。

除了透明度之外，GDPR还为公民提供了更多的数据控制权。法规的第17条列出了他们具有本人数据的“删除权”，以及可以要求从商业数据库中删除其数据的条件。

正如Sarah Gordon和Aliya Ram在《金融时报》上所说的那样，“最终，GDPR的影响将取决于个人是否决定行使该规定给予他们的更大权力”。

对于不遵守该规定的公司，GDPR将收取高昂的费用。此外，其影响范围也不是仅限于欧盟内部。

对于公司而言，相比税务稽查员，数据保护审计员的视察可能会更加可怕。故意或屡次违反GDPR规定的原则将导致高达2000万欧元的罚款或是年度全球违规者营业额的4％，两者相权取其重。此外，不仅仅只是依靠公司的数据保护专员（DPO）来对此敲响警钟，定期例行的数据保护审计也将被贯彻执行。

尽管严格意义上来说，它只是负责保护欧盟范围内的数据主体，但实际上，GDPR的覆盖范围的触角伸向了全球。头一回，位于欧盟境外的处理欧盟居民个人信息的数据处理者将必须遵守这一条例规定。

此外，欧盟此举的创新之处在于它现在将数据流与贸易流联系了起来：任何希望与欧盟签署贸易协议的国家都必须签署遵守GDPR的协议。在过去的十年中，美国已经成为了世界经济警察，对不遵守其反洗钱法规的银行开出巨额罚单。那么通过实行GDPR规定，欧盟会成为全球数据保护的捍卫者吗？

GDPR最初由欧盟委员会于2012年提出，初期其重心集中于云服务和社交网络，那时大家对区块链这个词语还比较陌生。并且，至少在区块链被人们熟悉之前，云服务和社交网络大多还是集中式组织管理：许多数据主体与独特的服务器实体（数据处理员/管理员）进行交互。中央管理为监管机构创造了一个简单的单一攻击点。然而，GDPR将如何影响类似公共区块链这样的去中心化协议呢？

很显然，鉴于假名和真实身份之间的微妙差别，从一个人的交易历史记录开始，区块链会存储一些潜在的个人数据，因此，它同样属于GDPR的规定范围。

乍一看，人们可能会认为GDPR和公共区块链之间存在着直接矛盾。例如，在GDPR中提出的许多原则中，“删除权”似乎同区块链技术不可变更这一核心特性显得格格格不入。假设这个矛盾暂时存在，这就会引出一个问题：在纯粹的去中心化的区块链系统中，谁会是负责任的数据处理者？

总而言之，使用“数据处理者”/“数据主体”这样的区分来阐明GDPR和区块链的逻辑似乎很困难。毫无疑问，未来会有一场艰难的法律辩论。

尽管如此，区块链与GDPR在众多领域的目标是一致的。两者都旨在分散数据控制，并缓解中央服务提供商同终端用户之间的权力不对等现象。

虽然最初的比特币规范并不能保证匿名性，但从elementary tumblers到zk-SNARK应用程序等许多的技术创新使得我们更加接近这一理想。这种匿名性可能与监管机构寻求的不同。然而，区块链提出的解决方案是否会更容易被监管机构接受？

一个靠谱的研究途径是将可信硬件和区块链结合起来。在公共区块链上，所有数据都将在网络中所有的机器上进行复制和共享。这使得交易数据删除和隐私成为用户的噩梦。最近的研究已经开始对“可信计算飞地”，如英特尔SGX，如何提供安全和保密的数据存储和隐私进行调查。

将可信计算与公共区块链结合在一起意味着可以保护数据隐私免受外部威胁的影响，并将其存储在链外，区块链将最终裁决谁具有访问数据的权限。

由于智能合约意味着不再需要信任集中服务提供商，因此用户可以通过区块链和可信硬件对数据权限进行管理，从而真正地将数据的控制权和隐私权归还给他们。为实现这一理念，当前已有几个项目正在进行开展，以期望能够将区块链从GDPR梦魇转变为一个童话故事。

其中一个项目是由伦敦帝国理工学院和康奈尔大学的共同负责开展，该项目名为 Teechain，通过使用可信硬件为公共区块链实现安全高效的脱链交易。另一个项目是企业以太坊联盟（EEA）发起，由iExec和英特尔合作运行。