gdpr與區塊鏈

① 加密貨幣和區塊鏈會成為人類歷史上最偉大的發明么

下一個時代的趨勢，也會成為人類史上最大的泡沫。

② GDPR是什麼意思

general data protection regulation (gdpr)全球數據保護法規

③ 區塊鏈技術是如何與大數據結合起來應用的

重慶金窩窩分析：區塊鏈以其可信任性、安全性和不可篡改性，讓更多數據被解放出來，推進數據的海量增長。
區塊鏈的可追溯特性使得數據從採集、交易、流通，以及計算分析的每一步記錄都可以留存在區塊鏈上，使得數據的質量獲得前所未有的強信任背書，也保證了數據分析結果的正確性和數據挖掘的效果。

④ 加密數字資產和區塊鏈技術有什麼區別

區塊鏈（Blockchain）是指通過去中心化和去信任的方式集體維護一個可靠資料庫的技術方案。該技術方案主要讓參與系統中的任意多個節點，通過一串使用密碼學方法相關聯產生的數據塊（block），每個數據塊中包含了一定時間內的系統全部信息交流數據，並且生成數據指紋用於驗證其信息的有效性和鏈接（chain）下一個資料庫塊。
區塊鏈技術源於比特幣，它的本質是運用計算機演算法和密碼學等技術創造一種去中心化的數字貨幣系統，實現貨幣的發行和交易功能。
區塊鏈技術的特徵：
1、去中心化（Decentralized）：整個網路沒有中心化的硬體或者管理機構，任意節點之間的權利和義務都是均等的，且任一節點的損壞或者失去都會不影響整個系統的運作。因此也可以認為區塊鏈系統具有極好的健壯性。

2、去信任（Trustless）：參與整個系統中的每個節點之間進行數據交換是無需互相信任的，整個系統的運作規則是公開透明的，所有的數據內容也是公開的，因此在系統指定的規則范圍和時間范圍內，節點之間是不能也無法欺騙其它節點。
3、集體維護（Collectively maintain）：系統中的數據塊由整個系統中所有具有維護功能的節點來共同維護的，而這些具有維護功能的節點是任何人都可以參與的。
4、可靠資料庫（Reliable Database）：整個系統將通過分資料庫的形式，讓每個參與節點都能獲得一份完整資料庫的拷貝。除非能夠同時控制整個系統中超過51%的節點，否則單個節點上對資料庫的修改是無效的，也無法影響其他節點上的數據內容。因此參與系統中的節點越多和計算能力越強，該系統中的數據安全性越高。
由四個特徵會引申出另外2個特徵：
5、開源（Open Source）：由於整個系統的運作規則必須是公開透明的，所以對於程序而言，整個系統必定會是開源的。
6、匿名性（Anonymity）：由於節點和節點之間是無需互相信任的，因此節點和節點之間無需公開身份，在系統中的每個參與的節點都是匿名的。

加密數字資產EGD：E-Gold Coin, 簡稱EGD, 是基於點對點互聯網開源協議形成的網路加密數字資產，它在去中心化的網路系統中流通。EGD作為全球商業消費者從商家獲贈的一種消費資產，用來替代傳統商業社會中由商家各自發行的積分，實現了全球商業積分網路化，一體化和資產化。
EGD即網路黃金，是基於去中心化的數字加密技術而生成的加密數字資產。EGD誕生於2014年1月，由以微軟前工程師為首的來自全球7個國家的17名技術專家組成的團隊研發。EGD將加密數字資產技術引用到了全球商業統一積分領域，能夠讓全球消費者通過EGD商業積分的流通和增值持續分享商業社會的利潤，打造商家與消費者共贏的經濟模式。
定製EGD的特點：
利用定製技術我們可以輕易的構建各種各樣的基於EGD協議的智能資產，包括股票、債券、或者各種衍生積分等。
更重要的是，定製技術在擴展EGD應用范圍的同時，仍然保留了EGD產權明晰，去中心化的特點。並且，因為定製積分數量有限，就造就了定製積分更強的稀缺性。

⑤ GDPR實施後，國內物聯網企業應當如何應對

前言：

在上一篇文章中（深度整理 | 歐盟《一般數據保護法案》（GDPR）核心要點），我為大家分享了GDPR法案的核心要點，便於企業直觀的了解到什麼是GDPR以及對企業未來業務將會產生什麼樣的影響 。本文將著重針對GDPR中的核心要點來深度分析物聯網行業的企業應該如何應對。這里的應對方案涉及到系統架構、人員管理、流程管理、風險評估、業務邏輯、應急響應等眾多環節，由於不同企業的具體業務情況不同，以下內容可作為物聯網企業自查的一種分析方式。

物聯網行業的特殊性在於：原來很多設備是不聯網的，所以不存在用戶隱私泄露的風險。而如今，設備聯網是大勢所趨，數據的控制者和處理者都會直接或者間接的接觸到非常多的個人用戶數據，比如：姓名、性別、年齡、身份證號、手機號等等，另一方面，由於需要對設備和用戶數據進行運營畫像及監控，也會收集到更多關於用戶行為的隱私數據。所以，GDPR對物聯網企業的影響還是非常深遠和重要的

青蓮雲作為一家物聯網安全解決方案公司，通過多年來在網路安全、雲安全、黑客攻防對抗和數據隱私保護等領域的經驗積累，針對GDPR施行後，國內物聯網企業的應對思路，總結出以下要點，可以作為企業在實踐GDPR合規過程中的參考方向，以此分享出來與大家探討。

國內物聯網企業應對GDPR的建議思路：

1、 企業高管的直接重視
2、 合理區分數據控制者和數據處理者
3、 從設計之初保護隱私
4、 明確的獲得客戶的數據授權同意
5、 識別數據的存儲位置
6、 識別數據的類型和風險
7、 識別數據的使用授權
8、 識別數據的移植和傳輸能力
9、 必要時能夠清除個人數據
10、 具備快速識別並及時報告數據泄露事件的能力
11、 遵循數據最小化原則
12、 針對數據進行匿名化處理
13、 保證網路通信的機密性和數據完整性
14、 保證網路通信的強身份認證
15、 重視數據生命周期管理
16、 重視企業內部的隱私管控
17、 檢查第三方供應商是否符合GDPR
18、 考慮設置專門的隱私保護人員
19、 具備其他安全合規性要求
20、 與專業安全公司保持緊密合作

企業高管的直接重視
無論是GDPR還是其他安全合規性的法規要求，更多的是與企業的管理/研發流程息息相關。而內部流程的推動更多的依賴企業高管的重視程度和實踐決心。推動一項流程的正確實施需要自上而下有序進行，如果企業高管對推動合規性流程的意識不足或者重視程度不夠，往往會造成非常多的人力時間成本浪費，也會影響到正常業務的開展進度。所以我們把企業高管的重視程度放在第一位。

合理區分數據控制者和數據處理者
GDPR中針對控制者和處理者有明確的描述。在實踐GDPR中，企業首先要明確自己到底是屬於數據的控制者還是處理者，這個定位非常重要。舉個例子：如果企業使用Google Analytics（或者其他第三方數據分析服務商）針對網站進行用戶行為分析，那麼企業就是數據控制者，Google Analytics就是數據處理者。當數據主體（消費者）依據GDPR中的要求執行「被遺忘權」的時候，企業有責任去履行用戶的合法要求，企業應當能夠刪除交給第三方數據分析服務商的用戶個人數據。

從設計之初保護隱私
萬丈高樓平地起。道理很簡單，安全是IT系統的基石，如果基礎的IT系統出現安全漏洞，特別是針對物聯網行業，通過批量的遠程升級往往都不能解決關於業務邏輯的安全問題。物聯網企業在設計系統架構之初就應該把安全因素納入架構設計范圍。讓安全從早期介入，才能避免後期因產生安全事故導致更嚴重的企業損失。

明確的獲得客戶的數據授權同意
GDPR在此處也有明確的描述，需要企業用非常明顯且直白的方式告訴客戶將會採集哪些數據（類似於APP的許可權授權），特別是針對未成年人的物聯網產品（如兒童手錶、兒童故事機等），必須獲得監護人的直接授權同意才可以收集相關數據。

識別數據存儲的位置
數據是企業IT資產的一部分。當實踐GDPR之前，企業必須要做的一件事就是識別數據存在哪了。物聯網的底層架構的是雲計算，雲計算會用不同的數據存儲技術來存儲不同類型的數據，比如用Redis來存儲緩存數據、用Hadoop來存儲離線的大型日誌文件、用Cassandra來存儲一些碎片化的小文件。企業技術負責人必須清晰的意識到內部用到了哪些數據存儲的技術或者組件，不同的組件存儲了哪一類數據，識別「數據戰場」是數據隱私保護的第一步。

識別數據的類型和風險
當識別清楚數據存儲的位置之後，就需要對數據資產進行風險評估。思考企業所存儲的數據種類都有哪些：如個人身份數據、定位數據、行為數據、金融數據？數據的類型有哪些：整型？浮點型？布爾型？圖片/視頻？ 不同數據的泄露風險有哪些：如會導致用戶信用卡被盜刷？會導致用戶遭受垃圾郵件攻擊？會導致用戶身份被仿冒？會要導致用戶行蹤被跟蹤？等等，依據企業建立的數據風險模型，可以為今後有針對性的部署安全解決方案提供有力支持。

識別數據的使用授權
在大部分的數據使用場景中，並不是只有企業自己對數據有完全的控制權和處理權。在大數據解決方案中，往往需要藉助外部第三方企業的能力來對數據進行深入挖掘和分析，這時，對數據的使用授權管理就極為重要。企業需要明確的知道有哪些數據存在與第三方的數據服務交換或者直接把數據發送給了第三方。當有這種情況出現時，企業就變成了數據的控制者，如果由於第三方服務商出現了數據泄露問題，按照GDPR的法規約定，企業作為控制者也同時存在連帶責任。

識別數據的移植和傳輸能力
在GDPR中規定，數據主體（消費者）有權力將個人信息向其他個人或組織進行傳輸。這就要求企業在設計系統架構時，能夠支持數據的格式化處理，並且可移植，以及在多個供應商之間共享數據，同時還需要具備數據安全傳輸的解決方案，以實現在傳輸的過程之中確保數據的加密性、完整性和嚴格的雙向身份認證。

必要時能夠清除個人數據
數據主體的「被遺忘權」也在GDPR中也作為重點提出。企業必須有能力能夠刪除一些用戶指定的或者用戶不再允許使用的數據。企業應當能夠具備快速的數據定位能力，並刪除定位出來的用戶數據，並且將這部分需要被刪除的數據通知給第三方的數據服務商（如果這部分數據被第三方使用的話）。

具備快速識別並及時報告數據泄露事件的能力
這個能力我覺得非常重要，並且有很大的難度。難點有二：1、企業如何能夠快速識別到自己的數據產生泄露了？縱觀歷史上或者近期的數據泄露案例，企業方基本都是後知後覺；2、企業是否有能力（魄力）在GDPR中規定的72小時之內及時向監管方及數據主體報告數據泄露事件？為什麼說這個能力很難，相信企業管理者都能夠感覺到，其實這並不完全是一個技術能力。

遵循數據最小化原則
在安全架構設計中有一個重要原則：最小化許可權。即針對業務進行風險評估，僅僅提供能夠滿足業務運行的最小化許可權，如盡量少開埠，禁用Root許可權等。GDPR中的明確規定了數據最小化的原則，即，盡量少的收集用戶數據，能夠滿足業務需要即可。通俗來講：功能少了，風險自然就少，在數據安全方面也是同理。

針對數據進行匿名化處理
GDPR中對「匿名化」有明確的官方定義。其中有兩次含義：1、以青蓮雲的系統架構舉例，針對用戶和設備不同類型的數據，進行分庫/分類加密存儲，以避免當出現數據泄露的情況下，一次性泄露全部且完整的用戶個人數據；2、針對敏感數據進行匿名化處理，比如記錄身份證號時，隱藏中間的生日數據段，避免因數據泄露而直接能夠定位或指向某一個可識別的自然人。

保證網路通信的機密性和數據完整性
這里有兩個要點：機密性和完整性。青蓮雲的系統架構中內置自研的物聯網安全接入網關系統，網關不僅僅可以提供多種數據加密方式（AES/DES/SSL等），更能夠針對每一個數據包進行安全簽名和合法性校驗，從而保證數據在加密傳輸的過程中，能夠抵抗黑客發起的設備重放攻擊行為，實現安全穩定的物聯網數據傳輸。

保證網路通信的強身份認證
身份認證一定是雙向而非單向的。對於物聯網行業來說，身份認證主要包含設備與雲端、設備與設備端、客戶端與雲端、客戶端與設備端、雲端與第三方介面以及雲端本身的身份認證幾個方面。在青蓮雲的系統架構中，也是由物聯網安全接入網關系統來實現這一系列身份認證機制，能夠抵抗黑客發起的設備偽造及其他數據偽造攻擊行為。

重視數據生命周期管理
針對企業的研發流程，微軟提出了SDL（安全開發生命周期），一共分為7個部分，從培訓到最終的應急響應。針對數據也是如此，企業應當自查，從定義數據格式到採集數據，再到分析展現，直至持久化存儲的生命周期中，是否能夠做到安全可控。畢竟在生命周期的不同環節都面臨不同的安全風險，能夠有效的管理數據生命周期，是企業必備的安全能力之一。此處建議企業技術負責人仔細學習微軟的SDL流程。

重視企業內部的隱私管控
隱私管控不僅僅限於GDPR，企業應當自查是否具備隱私管控的流程或者技術能力。此處包括但不限於：針對數據存儲的隱私管控、針對OA系統的隱私管控、針對銷售系統的隱私管控、針對辦公網路的隱私管控、針對移動辦公的隱私管控、針對離職員工的隱私管控、針對存儲數據進行硬體銷毀的隱私管控能力等。

檢查第三方供應商是否符合GDPR
以青蓮雲舉例：青蓮雲為物聯網企業提供安全可信的物聯網私有雲/公有雲服務，但是無論是公有雲還是私有雲，青蓮雲產品作為一套物聯網安全軟體系統，必須依賴某個雲計算IaaS服務商。因此，企業在考慮第三方供應商是否滿足GDPR合規要求的同時，不僅要考慮第三方供應商自己的安全能力（青蓮雲可以提供真正端到端的物聯網安全解決方案），更需要考慮底層雲計算廠商的GDPR合規性。以雲計算代表亞馬遜AWS和阿里雲來說，兩家廠商都有標準的GDPR合規性要求說明，同樣值得企業關注。

考慮設置專門的隱私保護人員
在實踐GDPR中，企業不僅僅需要高管人員的重視，同時需要培養專門的隱私保護人員，如首席隱私官（Chief Privacy Officer，CPO），或者是GDPR中明確提出的數據保護官（DPO）。即便企業沒有該職位設置，也應當針對技術負責人、核心員工進行專門的隱私保護培訓，建立相應的隱私保護流程，以滿足GDPR的合規性要求。

具備其他安全合規性要求
企業的信息安全建設絕非一朝一夕能夠完成。在關注GDPR之前，企業應當審視是否滿足了國家的其他安全合規要求，比如：網路安全等級保護。至少在物聯網應用層面，也應當具備一定的安全防禦能力，並不能理解為我用了阿里雲，安全就是阿里雲來保障，更不能認為我的數據是加密的，就等於安全了。安全漏洞的產生更多的是跟業務邏輯相關，不止體現在針對數據的保護上，青蓮雲可以為物聯網企業提供專門的安全咨詢服務（安全培訓+安全測試+物聯網安全解決方案）。

與專業安全公司保持緊密合作
術業有專攻，安全來自於長期的經驗積累和真實的黑客攻防對抗。很多物聯網企業自身不具備組建專業安全團隊的能力，企業應當更關注自身的業務和產品發展，並與安全企業建立長期合作夥伴關系：一方面可以提升自身業務的安全防護能力，另一方面也可以通過與安全企業的合作提升員工的安全意識，將安全漏洞扼殺在研發和測試流程中，從而提升量產產品的安全性。

⑥ 歐盟GDPR是什麼意思

GDPR定義

GDPR （全稱： General Data Protection Regulation），即《通用數據保護條例》，是一項新法律，規定了企業如何收集，使用和處理歐盟公民的個人數據。該條例在2012年1月份就已經起草，經過4年的探討與協商，歐盟於2016年4月正式通過這一條例並宣布試行，到2018年5月25日正式全面施行。

GDPR適用范圍

1.保護對象：

GDPR保護的僅是「個人數據」（personal data），不涉及個人數據以外的其他數據。

根據GDPR第4條的規定，個人數據是指，與一個已被識別（identified）或者可被識別（identifiable）的自然人相關的任何信息；可被識別的自然人是指，其可以被直接或者間接識別，尤其是藉助姓名、身份證號碼、地理位置、在線標識等身份標識，或者通過與其身體、生理、基因、心理、經濟或者社會身份相掛鉤的一個或者多個因素。這里所指的個人數據僅限於有生命的自然人的個人數據，不包括死者、胎兒等。

同時，個人數據的保護不涉及匿名信息，或者經過匿名化處理以致於不再具有可識別性的個人數據。對於表徵人種或者種族起源、政治意見、宗教或者哲學信仰、商會會員、基因、生物特徵、健康狀況、性生活等事項的特殊類別的個人數據（個人敏感數據），GDPR從收集、使用等角度作出了特殊規定。就個人數據的保護而言，GDPR主要適用於電腦（自動化）處理個人數據的行為，不涉及其他類型的處理行為。

GDPR第4條規定，對個人數據的自動化處理包括：

（1）收集，記錄，整理，組織，存儲；

（2）改編，調整，檢索，查閱，利用；

（3）通過傳輸或者傳播予以披露、提供；

（4）匹配，組合；

（5）限制，刪除，摧毀。

GDPR對個人數據的保護並不絕對，其「序言」部分要求，應當平衡新聞自由、表達自由、商業自由等權利，符合比例原則、法益平衡原則等法律的基本原則。

2.管轄范圍：

GDPR第3條規定，GDPR適用於以下三種情形：

（1）數據控制者、數據處理者在歐盟有營業場所的，不論數據處理行為發生在歐盟還是境外；（2）數據控制者、數據處理者未在歐盟設立營業場所，但向歐盟的數據主體提供商品或者服務，或者被追蹤的網路行為發生在歐盟的；

（3）雖然數據控制者、數據處理者未在歐盟設立營業場所，但是根據國際公法應當適用歐盟成員國法律的。第二種情形是典型的域外管轄，主要針對美國的互聯網企業。

3.數據主體：

在GDPR中，享有數據權利的主體被稱為數據主體（data subject）,個人數據所指向之自然人為數據主體。數據主體須為歐盟居民，一般要求具有成員國國籍。

4.義務主體：

GDPR主要針對兩類義務主體，即數據控制者（controller）和數據處理者（processor）。控制者是指單獨或者與他人一起，決定個人數據處理之目的和方式的自然人、法人或者其他組織。處理者是指代表控制者，處理個人數據的自然人、法人或者其他組織。

GDPR七個基本原則

1. 合法，公平，透明三原則：與數據主體個人相關的數據信息應當以合法，公正，透明方式處理；

2. 數據收集應當有明確的目的：個人信息收集應當目的特定，明確和合法，任何與上述目的不符合的方式將不能繼續處理數據；

3. 數據收集的最小化原則：個人數據收集應當僅僅限於一切與數據處理目的相關的必要的數據；

4. 准確性：個人數據應當准確，如果需要盡可能保持最新的數據；

5. 存儲限制：在不超過個人數據處理目的之必要的情形下，允許以數據主體以可識別的形式保存；

6. 完整性與機密性：以確保個人數據適度安全的方式處理，包括使用適當的技術或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施（「完整性和機密性」）；

7. 問責制：控制者（企業或組織）應該對並且能夠證明其企業符合GDPR的規定。

數據主體的權利

數據主體指，用戶、客戶、員工等

1. 信息透明度和信息機制：數據處理者或控制者必須保證數據主體行使權利的透明度、交流和模式，也就是讓用戶知道你在收集那些數據，為什麼收據數據，用於何種目的，另外也需要讓用戶可以隨時對自己的數據進行控制；

2. 數據訪問權，控制者應當保證數據主體可以隨時訪問自己的數據；

3. 糾正權：數據主體應當有權要求控制者無不當延誤地糾正有關其的不準確個人數據。考慮到處理的目的，數據主體應當有權使不完整的個人數據完整，包括通過提供補充聲明的方式；

4. 被遺忘權：數據主體有權要求控制者刪除其數據，比如谷歌的用戶可以要求谷歌移除關於其個人不利的搜索結果；

5. 限制處理權：數據主體有許可權制數據主體處理其個人數據；

6. 關於糾正或刪除個人數據或限制處理的通知義務：除非被證明不可能完成或者包含不成比例的工作量，控制者應當將根據對個人數據進行的任何糾正、刪除或者處理限制，傳達給已向其披露個人數據的接收者。如果數據主體請求，控制者應當通知數據主體這些接收者；

7. 反對權：如果為了直接營銷的目的而處理個人數據，數據主體有權在任何時候反對有關其的個人數據為進行此類營銷而被處理，其中包括與此類直接營銷相關的概況分析。如果數據主體反對以直接營銷為目的的處理，則個人數據不得再為此目的而被處理；

8. 拒絕權和自主決定權；

9. 自主化的個人決策分析。

數據控制者或數據處理者的義務

數據控制者和數據處理者，一般指保存和處理用戶數據的公司

1. 控制者應該在確定處理手段和在處理的同時，實施適當的技術和組織措施，如匿名化，即目的是實施數據保護原則，如數據最小化，以有效的方式，在處理時實施必要的保障措施，以符合法律要求，保護數據主體的權利；

2. 控制者應該實施適當的技術和組織措施以確保，在默認情況下只有對每個特定處理目的有必要的個人數據才能被處理。該義務適用於收集的個人數據的數量，數據處理的程度，數據的存儲期限和數據的可及性。特別是，這些措施應確保在沒有個人對無限數量自然人的干預下，個人數據在默認情況是不可訪問的；

3. 在歐盟成員國的范圍內指派歐盟代表，可以為合作夥伴，客戶或第三方中介等；

4. 數據處理者應當以數據控制者名義處理數據；

5. 數據處理活動應當有記錄；

6. 和監督機構合作和配合，應當積極配合監管機構的調查；

7. 處理過程的安全性：

   （a）個人數據的匿名化和加密；

   （b）數據系統保持持續的保密性、完整性、可用性以及彈性的能力；

   （c）在發生自然事故或者技術事故發的情況下，存儲有用信息以及及時獲取個人信息的能力；

   （d）定期對測試、訪問、評估技術性措施以及組織性措施的有效性進行處理，力求確保處理過程的安全性；

8. 數據泄露72小時報告義務：在個人數據泄露的情況下，控制者不能不當延誤，而且至少應當在知道之時起72 小時以內，根據第55條向監管機構進行通知，除非個人數據的泄露不會導致自然人權利和自由的風險。如果通知遲於72 小時，需要對遲延原因進行解釋；

9. 與數據主體進行交流：個人數據泄露可能對自然人權利和自由形成很高的風險時，控制者應當毫不延誤地就個人數據泄露的主體進行交流；

10. 數據保護影響評估以及事先咨詢；

11. 超過250人公司或處理海量數據的公司必須設置首席數據保護官。

###################################################

數字化風控咨詢專家

深入耕耘風控、內控、合規領域的數字化咨詢

提供GDPR合規的咨詢及系統的控制體系