gdpr与区块链

① 加密货币和区块链会成为人类历史上最伟大的发明么

下一个时代的趋势，也会成为人类史上最大的泡沫。

② GDPR是什么意思

general data protection regulation (gdpr)全球数据保护法规

③ 区块链技术是如何与大数据结合起来应用的

重庆金窝窝分析：区块链以其可信任性、安全性和不可篡改性，让更多数据被解放出来，推进数据的海量增长。
区块链的可追溯特性使得数据从采集、交易、流通，以及计算分析的每一步记录都可以留存在区块链上，使得数据的质量获得前所未有的强信任背书，也保证了数据分析结果的正确性和数据挖掘的效果。

④ 加密数字资产和区块链技术有什么区别

区块链（Blockchain）是指通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案。该技术方案主要让参与系统中的任意多个节点，通过一串使用密码学方法相关联产生的数据块（block），每个数据块中包含了一定时间内的系统全部信息交流数据，并且生成数据指纹用于验证其信息的有效性和链接（chain）下一个数据库块。
区块链技术源于比特币，它的本质是运用计算机算法和密码学等技术创造一种去中心化的数字货币系统，实现货币的发行和交易功能。
区块链技术的特征：
1、去中心化（Decentralized）：整个网络没有中心化的硬件或者管理机构，任意节点之间的权利和义务都是均等的，且任一节点的损坏或者失去都会不影响整个系统的运作。因此也可以认为区块链系统具有极好的健壮性。

2、去信任（Trustless）：参与整个系统中的每个节点之间进行数据交换是无需互相信任的，整个系统的运作规则是公开透明的，所有的数据内容也是公开的，因此在系统指定的规则范围和时间范围内，节点之间是不能也无法欺骗其它节点。
3、集体维护（Collectively maintain）：系统中的数据块由整个系统中所有具有维护功能的节点来共同维护的，而这些具有维护功能的节点是任何人都可以参与的。
4、可靠数据库（Reliable Database）：整个系统将通过分数据库的形式，让每个参与节点都能获得一份完整数据库的拷贝。除非能够同时控制整个系统中超过51%的节点，否则单个节点上对数据库的修改是无效的，也无法影响其他节点上的数据内容。因此参与系统中的节点越多和计算能力越强，该系统中的数据安全性越高。
由四个特征会引申出另外2个特征：
5、开源（Open Source）：由于整个系统的运作规则必须是公开透明的，所以对于程序而言，整个系统必定会是开源的。
6、匿名性（Anonymity）：由于节点和节点之间是无需互相信任的，因此节点和节点之间无需公开身份，在系统中的每个参与的节点都是匿名的。

加密数字资产EGD：E-Gold Coin, 简称EGD, 是基于点对点互联网开源协议形成的网络加密数字资产，它在去中心化的网络系统中流通。EGD作为全球商业消费者从商家获赠的一种消费资产，用来替代传统商业社会中由商家各自发行的积分，实现了全球商业积分网络化，一体化和资产化。
EGD即网络黄金，是基于去中心化的数字加密技术而生成的加密数字资产。EGD诞生于2014年1月，由以微软前工程师为首的来自全球7个国家的17名技术专家组成的团队研发。EGD将加密数字资产技术引用到了全球商业统一积分领域，能够让全球消费者通过EGD商业积分的流通和增值持续分享商业社会的利润，打造商家与消费者共赢的经济模式。
定制EGD的特点：
利用定制技术我们可以轻易的构建各种各样的基于EGD协议的智能资产，包括股票、债券、或者各种衍生积分等。
更重要的是，定制技术在扩展EGD应用范围的同时，仍然保留了EGD产权明晰，去中心化的特点。并且，因为定制积分数量有限，就造就了定制积分更强的稀缺性。

⑤ GDPR实施后，国内物联网企业应当如何应对

前言：

在上一篇文章中（深度整理 | 欧盟《一般数据保护法案》（GDPR）核心要点），我为大家分享了GDPR法案的核心要点，便于企业直观的了解到什么是GDPR以及对企业未来业务将会产生什么样的影响 。本文将着重针对GDPR中的核心要点来深度分析物联网行业的企业应该如何应对。这里的应对方案涉及到系统架构、人员管理、流程管理、风险评估、业务逻辑、应急响应等众多环节，由于不同企业的具体业务情况不同，以下内容可作为物联网企业自查的一种分析方式。

物联网行业的特殊性在于：原来很多设备是不联网的，所以不存在用户隐私泄露的风险。而如今，设备联网是大势所趋，数据的控制者和处理者都会直接或者间接的接触到非常多的个人用户数据，比如：姓名、性别、年龄、身份证号、手机号等等，另一方面，由于需要对设备和用户数据进行运营画像及监控，也会收集到更多关于用户行为的隐私数据。所以，GDPR对物联网企业的影响还是非常深远和重要的

青莲云作为一家物联网安全解决方案公司，通过多年来在网络安全、云安全、黑客攻防对抗和数据隐私保护等领域的经验积累，针对GDPR施行后，国内物联网企业的应对思路，总结出以下要点，可以作为企业在实践GDPR合规过程中的参考方向，以此分享出来与大家探讨。

国内物联网企业应对GDPR的建议思路：

1、 企业高管的直接重视
2、 合理区分数据控制者和数据处理者
3、 从设计之初保护隐私
4、 明确的获得客户的数据授权同意
5、 识别数据的存储位置
6、 识别数据的类型和风险
7、 识别数据的使用授权
8、 识别数据的移植和传输能力
9、 必要时能够清除个人数据
10、 具备快速识别并及时报告数据泄露事件的能力
11、 遵循数据最小化原则
12、 针对数据进行匿名化处理
13、 保证网络通信的机密性和数据完整性
14、 保证网络通信的强身份认证
15、 重视数据生命周期管理
16、 重视企业内部的隐私管控
17、 检查第三方供应商是否符合GDPR
18、 考虑设置专门的隐私保护人员
19、 具备其他安全合规性要求
20、 与专业安全公司保持紧密合作

企业高管的直接重视
无论是GDPR还是其他安全合规性的法规要求，更多的是与企业的管理/研发流程息息相关。而内部流程的推动更多的依赖企业高管的重视程度和实践决心。推动一项流程的正确实施需要自上而下有序进行，如果企业高管对推动合规性流程的意识不足或者重视程度不够，往往会造成非常多的人力时间成本浪费，也会影响到正常业务的开展进度。所以我们把企业高管的重视程度放在第一位。

合理区分数据控制者和数据处理者
GDPR中针对控制者和处理者有明确的描述。在实践GDPR中，企业首先要明确自己到底是属于数据的控制者还是处理者，这个定位非常重要。举个例子：如果企业使用Google Analytics（或者其他第三方数据分析服务商）针对网站进行用户行为分析，那么企业就是数据控制者，Google Analytics就是数据处理者。当数据主体（消费者）依据GDPR中的要求执行“被遗忘权”的时候，企业有责任去履行用户的合法要求，企业应当能够删除交给第三方数据分析服务商的用户个人数据。

从设计之初保护隐私
万丈高楼平地起。道理很简单，安全是IT系统的基石，如果基础的IT系统出现安全漏洞，特别是针对物联网行业，通过批量的远程升级往往都不能解决关于业务逻辑的安全问题。物联网企业在设计系统架构之初就应该把安全因素纳入架构设计范围。让安全从早期介入，才能避免后期因产生安全事故导致更严重的企业损失。

明确的获得客户的数据授权同意
GDPR在此处也有明确的描述，需要企业用非常明显且直白的方式告诉客户将会采集哪些数据（类似于APP的权限授权），特别是针对未成年人的物联网产品（如儿童手表、儿童故事机等），必须获得监护人的直接授权同意才可以收集相关数据。

识别数据存储的位置
数据是企业IT资产的一部分。当实践GDPR之前，企业必须要做的一件事就是识别数据存在哪了。物联网的底层架构的是云计算，云计算会用不同的数据存储技术来存储不同类型的数据，比如用Redis来存储缓存数据、用Hadoop来存储离线的大型日志文件、用Cassandra来存储一些碎片化的小文件。企业技术负责人必须清晰的意识到内部用到了哪些数据存储的技术或者组件，不同的组件存储了哪一类数据，识别“数据战场”是数据隐私保护的第一步。

识别数据的类型和风险
当识别清楚数据存储的位置之后，就需要对数据资产进行风险评估。思考企业所存储的数据种类都有哪些：如个人身份数据、定位数据、行为数据、金融数据？数据的类型有哪些：整型？浮点型？布尔型？图片/视频？ 不同数据的泄露风险有哪些：如会导致用户信用卡被盗刷？会导致用户遭受垃圾邮件攻击？会导致用户身份被仿冒？会要导致用户行踪被跟踪？等等，依据企业建立的数据风险模型，可以为今后有针对性的部署安全解决方案提供有力支持。

识别数据的使用授权
在大部分的数据使用场景中，并不是只有企业自己对数据有完全的控制权和处理权。在大数据解决方案中，往往需要借助外部第三方企业的能力来对数据进行深入挖掘和分析，这时，对数据的使用授权管理就极为重要。企业需要明确的知道有哪些数据存在与第三方的数据服务交换或者直接把数据发送给了第三方。当有这种情况出现时，企业就变成了数据的控制者，如果由于第三方服务商出现了数据泄露问题，按照GDPR的法规约定，企业作为控制者也同时存在连带责任。

识别数据的移植和传输能力
在GDPR中规定，数据主体（消费者）有权力将个人信息向其他个人或组织进行传输。这就要求企业在设计系统架构时，能够支持数据的格式化处理，并且可移植，以及在多个供应商之间共享数据，同时还需要具备数据安全传输的解决方案，以实现在传输的过程之中确保数据的加密性、完整性和严格的双向身份认证。

必要时能够清除个人数据
数据主体的“被遗忘权”也在GDPR中也作为重点提出。企业必须有能力能够删除一些用户指定的或者用户不再允许使用的数据。企业应当能够具备快速的数据定位能力，并删除定位出来的用户数据，并且将这部分需要被删除的数据通知给第三方的数据服务商（如果这部分数据被第三方使用的话）。

具备快速识别并及时报告数据泄露事件的能力
这个能力我觉得非常重要，并且有很大的难度。难点有二：1、企业如何能够快速识别到自己的数据产生泄露了？纵观历史上或者近期的数据泄露案例，企业方基本都是后知后觉；2、企业是否有能力（魄力）在GDPR中规定的72小时之内及时向监管方及数据主体报告数据泄露事件？为什么说这个能力很难，相信企业管理者都能够感觉到，其实这并不完全是一个技术能力。

遵循数据最小化原则
在安全架构设计中有一个重要原则：最小化权限。即针对业务进行风险评估，仅仅提供能够满足业务运行的最小化权限，如尽量少开端口，禁用Root权限等。GDPR中的明确规定了数据最小化的原则，即，尽量少的收集用户数据，能够满足业务需要即可。通俗来讲：功能少了，风险自然就少，在数据安全方面也是同理。

针对数据进行匿名化处理
GDPR中对“匿名化”有明确的官方定义。其中有两次含义：1、以青莲云的系统架构举例，针对用户和设备不同类型的数据，进行分库/分类加密存储，以避免当出现数据泄露的情况下，一次性泄露全部且完整的用户个人数据；2、针对敏感数据进行匿名化处理，比如记录身份证号时，隐藏中间的生日数据段，避免因数据泄露而直接能够定位或指向某一个可识别的自然人。

保证网络通信的机密性和数据完整性
这里有两个要点：机密性和完整性。青莲云的系统架构中内置自研的物联网安全接入网关系统，网关不仅仅可以提供多种数据加密方式（AES/DES/SSL等），更能够针对每一个数据包进行安全签名和合法性校验，从而保证数据在加密传输的过程中，能够抵抗黑客发起的设备重放攻击行为，实现安全稳定的物联网数据传输。

保证网络通信的强身份认证
身份认证一定是双向而非单向的。对于物联网行业来说，身份认证主要包含设备与云端、设备与设备端、客户端与云端、客户端与设备端、云端与第三方接口以及云端本身的身份认证几个方面。在青莲云的系统架构中，也是由物联网安全接入网关系统来实现这一系列身份认证机制，能够抵抗黑客发起的设备伪造及其他数据伪造攻击行为。

重视数据生命周期管理
针对企业的研发流程，微软提出了SDL（安全开发生命周期），一共分为7个部分，从培训到最终的应急响应。针对数据也是如此，企业应当自查，从定义数据格式到采集数据，再到分析展现，直至持久化存储的生命周期中，是否能够做到安全可控。毕竟在生命周期的不同环节都面临不同的安全风险，能够有效的管理数据生命周期，是企业必备的安全能力之一。此处建议企业技术负责人仔细学习微软的SDL流程。

重视企业内部的隐私管控
隐私管控不仅仅限于GDPR，企业应当自查是否具备隐私管控的流程或者技术能力。此处包括但不限于：针对数据存储的隐私管控、针对OA系统的隐私管控、针对销售系统的隐私管控、针对办公网络的隐私管控、针对移动办公的隐私管控、针对离职员工的隐私管控、针对存储数据进行硬件销毁的隐私管控能力等。

检查第三方供应商是否符合GDPR
以青莲云举例：青莲云为物联网企业提供安全可信的物联网私有云/公有云服务，但是无论是公有云还是私有云，青莲云产品作为一套物联网安全软件系统，必须依赖某个云计算IaaS服务商。因此，企业在考虑第三方供应商是否满足GDPR合规要求的同时，不仅要考虑第三方供应商自己的安全能力（青莲云可以提供真正端到端的物联网安全解决方案），更需要考虑底层云计算厂商的GDPR合规性。以云计算代表亚马逊AWS和阿里云来说，两家厂商都有标准的GDPR合规性要求说明，同样值得企业关注。

考虑设置专门的隐私保护人员
在实践GDPR中，企业不仅仅需要高管人员的重视，同时需要培养专门的隐私保护人员，如首席隐私官（Chief Privacy Officer，CPO），或者是GDPR中明确提出的数据保护官（DPO）。即便企业没有该职位设置，也应当针对技术负责人、核心员工进行专门的隐私保护培训，建立相应的隐私保护流程，以满足GDPR的合规性要求。

具备其他安全合规性要求
企业的信息安全建设绝非一朝一夕能够完成。在关注GDPR之前，企业应当审视是否满足了国家的其他安全合规要求，比如：网络安全等级保护。至少在物联网应用层面，也应当具备一定的安全防御能力，并不能理解为我用了阿里云，安全就是阿里云来保障，更不能认为我的数据是加密的，就等于安全了。安全漏洞的产生更多的是跟业务逻辑相关，不止体现在针对数据的保护上，青莲云可以为物联网企业提供专门的安全咨询服务（安全培训+安全测试+物联网安全解决方案）。

与专业安全公司保持紧密合作
术业有专攻，安全来自于长期的经验积累和真实的黑客攻防对抗。很多物联网企业自身不具备组建专业安全团队的能力，企业应当更关注自身的业务和产品发展，并与安全企业建立长期合作伙伴关系：一方面可以提升自身业务的安全防护能力，另一方面也可以通过与安全企业的合作提升员工的安全意识，将安全漏洞扼杀在研发和测试流程中，从而提升量产产品的安全性。

⑥ 欧盟GDPR是什么意思

GDPR定义

GDPR （全称： General Data Protection Regulation），即《通用数据保护条例》，是一项新法律，规定了企业如何收集，使用和处理欧盟公民的个人数据。该条例在2012年1月份就已经起草，经过4年的探讨与协商，欧盟于2016年4月正式通过这一条例并宣布试行，到2018年5月25日正式全面施行。

GDPR适用范围

1.保护对象：

GDPR保护的仅是“个人数据”（personal data），不涉及个人数据以外的其他数据。

根据GDPR第4条的规定，个人数据是指，与一个已被识别（identified）或者可被识别（identifiable）的自然人相关的任何信息；可被识别的自然人是指，其可以被直接或者间接识别，尤其是借助姓名、身份证号码、地理位置、在线标识等身份标识，或者通过与其身体、生理、基因、心理、经济或者社会身份相挂钩的一个或者多个因素。这里所指的个人数据仅限于有生命的自然人的个人数据，不包括死者、胎儿等。

同时，个人数据的保护不涉及匿名信息，或者经过匿名化处理以致于不再具有可识别性的个人数据。对于表征人种或者种族起源、政治意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据（个人敏感数据），GDPR从收集、使用等角度作出了特殊规定。就个人数据的保护而言，GDPR主要适用于电脑（自动化）处理个人数据的行为，不涉及其他类型的处理行为。

GDPR第4条规定，对个人数据的自动化处理包括：

（1）收集，记录，整理，组织，存储；

（2）改编，调整，检索，查阅，利用；

（3）通过传输或者传播予以披露、提供；

（4）匹配，组合；

（5）限制，删除，摧毁。

GDPR对个人数据的保护并不绝对，其“序言”部分要求，应当平衡新闻自由、表达自由、商业自由等权利，符合比例原则、法益平衡原则等法律的基本原则。

2.管辖范围：

GDPR第3条规定，GDPR适用于以下三种情形：

（1）数据控制者、数据处理者在欧盟有营业场所的，不论数据处理行为发生在欧盟还是境外；（2）数据控制者、数据处理者未在欧盟设立营业场所，但向欧盟的数据主体提供商品或者服务，或者被追踪的网络行为发生在欧盟的；

（3）虽然数据控制者、数据处理者未在欧盟设立营业场所，但是根据国际公法应当适用欧盟成员国法律的。第二种情形是典型的域外管辖，主要针对美国的互联网企业。

3.数据主体：

在GDPR中，享有数据权利的主体被称为数据主体（data subject）,个人数据所指向之自然人为数据主体。数据主体须为欧盟居民，一般要求具有成员国国籍。

4.义务主体：

GDPR主要针对两类义务主体，即数据控制者（controller）和数据处理者（processor）。控制者是指单独或者与他人一起，决定个人数据处理之目的和方式的自然人、法人或者其他组织。处理者是指代表控制者，处理个人数据的自然人、法人或者其他组织。

GDPR七个基本原则

1. 合法，公平，透明三原则：与数据主体个人相关的数据信息应当以合法，公正，透明方式处理；

2. 数据收集应当有明确的目的：个人信息收集应当目的特定，明确和合法，任何与上述目的不符合的方式将不能继续处理数据；

3. 数据收集的最小化原则：个人数据收集应当仅仅限于一切与数据处理目的相关的必要的数据；

4. 准确性：个人数据应当准确，如果需要尽可能保持最新的数据；

5. 存储限制：在不超过个人数据处理目的之必要的情形下，允许以数据主体以可识别的形式保存；

6. 完整性与机密性：以确保个人数据适度安全的方式处理，包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施（“完整性和机密性”）；

7. 问责制：控制者（企业或组织）应该对并且能够证明其企业符合GDPR的规定。

数据主体的权利

数据主体指，用户、客户、员工等

1. 信息透明度和信息机制：数据处理者或控制者必须保证数据主体行使权利的透明度、交流和模式，也就是让用户知道你在收集那些数据，为什么收据数据，用于何种目的，另外也需要让用户可以随时对自己的数据进行控制；

2. 数据访问权，控制者应当保证数据主体可以随时访问自己的数据；

3. 纠正权：数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。考虑到处理的目的，数据主体应当有权使不完整的个人数据完整，包括通过提供补充声明的方式；

4. 被遗忘权：数据主体有权要求控制者删除其数据，比如谷歌的用户可以要求谷歌移除关于其个人不利的搜索结果；

5. 限制处理权：数据主体有权限制数据主体处理其个人数据；

6. 关于纠正或删除个人数据或限制处理的通知义务：除非被证明不可能完成或者包含不成比例的工作量，控制者应当将根据对个人数据进行的任何纠正、删除或者处理限制，传达给已向其披露个人数据的接收者。如果数据主体请求，控制者应当通知数据主体这些接收者；

7. 反对权：如果为了直接营销的目的而处理个人数据，数据主体有权在任何时候反对有关其的个人数据为进行此类营销而被处理，其中包括与此类直接营销相关的概况分析。如果数据主体反对以直接营销为目的的处理，则个人数据不得再为此目的而被处理；

8. 拒绝权和自主决定权；

9. 自主化的个人决策分析。

数据控制者或数据处理者的义务

数据控制者和数据处理者，一般指保存和处理用户数据的公司

1. 控制者应该在确定处理手段和在处理的同时，实施适当的技术和组织措施，如匿名化，即目的是实施数据保护原则，如数据最小化，以有效的方式，在处理时实施必要的保障措施，以符合法律要求，保护数据主体的权利；

2. 控制者应该实施适当的技术和组织措施以确保，在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。该义务适用于收集的个人数据的数量，数据处理的程度，数据的存储期限和数据的可及性。特别是，这些措施应确保在没有个人对无限数量自然人的干预下，个人数据在默认情况是不可访问的；

3. 在欧盟成员国的范围内指派欧盟代表，可以为合作伙伴，客户或第三方中介等；

4. 数据处理者应当以数据控制者名义处理数据；

5. 数据处理活动应当有记录；

6. 和监督机构合作和配合，应当积极配合监管机构的调查；

7. 处理过程的安全性：

   （a）个人数据的匿名化和加密；

   （b）数据系统保持持续的保密性、完整性、可用性以及弹性的能力；

   （c）在发生自然事故或者技术事故发的情况下，存储有用信息以及及时获取个人信息的能力；

   （d）定期对测试、访问、评估技术性措施以及组织性措施的有效性进行处理，力求确保处理过程的安全性；

8. 数据泄露72小时报告义务：在个人数据泄露的情况下，控制者不能不当延误，而且至少应当在知道之时起72 小时以内，根据第55条向监管机构进行通知，除非个人数据的泄露不会导致自然人权利和自由的风险。如果通知迟于72 小时，需要对迟延原因进行解释；

9. 与数据主体进行交流：个人数据泄露可能对自然人权利和自由形成很高的风险时，控制者应当毫不延误地就个人数据泄露的主体进行交流；

10. 数据保护影响评估以及事先咨询；

11. 超过250人公司或处理海量数据的公司必须设置首席数据保护官。

###################################################

数字化风控咨询专家

深入耕耘风控、内控、合规领域的数字化咨询

提供GDPR合规的咨询及系统的控制体系