ผู้เขียนต้นฉบับ: May Pang, หัวหน้าเจ้าหน้าที่ปฏิบัติตามกฎระเบียบ@OORT## บทนำเมื่อโปรโตคอล DeFi เผชิญกับ "สิทธิในการถูกลืม" ของ GDPR และเมื่อแพลตฟอร์ม NFT ต้องเผชิญกับ "สิทธิในการถอนข้อมูล" ของ CCPA อุตสาหกรรมบล็อกเชนกำลังประสบกับการชนกันอย่างรุนแรงระหว่างอุดมคติของการกระจายอำนาจและการควบคุมจริง รายงานของ Chainalysis แสดงให้เห็นว่า ในปี 2023 บริษัทบล็อกเชนทั่วโลกมีค่าปรับที่เกี่ยวข้องกับการปฏิบัติตามความเป็นส่วนตัวเพิ่มขึ้น 240% เมื่อเปรียบเทียบปีต่อปี บทความนี้จะวิเคราะห์ว่าโครงการบล็อกเชนจะสร้างความสามารถในการแข่งขันที่สอดคล้องในยุค Web3 ได้อย่างไร## หนึ่ง, ความแตกต่างและความเหมือนที่สำคัญของกฎหมายความเป็นส่วนตัวทั่วโลกในขณะที่ปัญหาความเป็นส่วนตัวของข้อมูลได้รับความสนใจมากขึ้น กฎหมายสามฉบับที่เป็นตัวแทน ได้แก่ CCPA ของรัฐแคลิฟอร์เนีย ประเทศสหรัฐอเมริกา PIPL ของประเทศจีน และ GDPR ของสหภาพยุโรป แม้ว่าทั้งสามฉบับมีเป้าหมายในการปกป้องข้อมูลส่วนบุคคล แต่จุดเน้นและข้อกำหนดเฉพาะของแต่ละฉบับมีความแตกต่างกันอย่างมีนัยสำคัญ.ในแง่ของขอบเขตการบังคับใช้ CCPA จะมีผลเฉพาะต่อผู้อยู่อาศัยในแคลิฟอร์เนีย ขณะที่ PIPL และ GDPR มีผลบังคับใช้ในต่างประเทศ ครอบคลุมสถานการณ์ที่มีการประมวลผลข้อมูลของพลเมืองของตนในต่างประเทศ ในด้านสิทธิขั้นพื้นฐาน GDPR ครอบคลุมมากที่สุด โดยมอบสิทธิ "การถูกลืม" และ "สิทธิในการพกพาข้อมูล" ให้กับผู้ใช้; PIPL เน้นการควบคุมข้อมูลตลอดกระบวนการ; CCPA จะมุ่งเน้นไปที่สิทธิในการรับข้อมูลและการเลือกที่จะออกจากข้อมูล ในการถ่ายโอนข้อมูลข้ามพรมแดน PIPL มีข้อกำหนดที่เข้มงวดที่สุด โดยต้องผ่านการประเมินความปลอดภัยหรือการรับรอง; GDPR ขึ้นอยู่กับเครื่องมือมาตรฐาน; CCPA ไม่มีข้อจำกัดพิเศษ.ความแตกต่างในมาตรการการปฏิบัติตามข้อกําหนดก็น่าสังเกตเช่นกัน: ทั้ง PIPL และ GDPR ต้องการการแปลข้อมูลหรือการประเมินข้ามพรมแดนในขณะที่ CCPA มีความโปร่งใสมากขึ้น (เช่นให้ลิงก์ "ห้ามขาย") ในแง่ของบทลงโทษ GDPR และ PIPL จะยับยั้งมากขึ้นตามสัดส่วนของผลประกอบการ## สอง. จุดขัดแย้งระหว่างลักษณะของบล็อกเชนกับกฎระเบียบความเป็นส่วนตัวและวิธีการแก้ไข### 1. ปฏิญญาเกี่ยวกับความไม่สามารถเปลี่ยนแปลงและสิทธิในการลบคุณสมบัติหลักของบล็อกเชน——การไม่สามารถแก้ไขได้ ทำให้มันเป็นรากฐานของเครื่องมือสร้างความไว้วางใจ อย่างไรก็ตาม คุณสมบัตินี้มีความขัดแย้งโดยตรงกับ "สิทธิในการลบ" (Right to Erasure) ในสามกฎระเบียบด้านความเป็นส่วนตัว เมื่อผู้ใช้ขอให้ลบข้อมูล คุณสมบัติ "เพิ่มเท่านั้น ไม่สามารถแก้ไขได้" ของบัญชีบล็อกเชนทำให้เกิดปัญหาในการปฏิบัติตามกฎระเบียบ ต้องทำอย่างไรเพื่อสร้างสมดุลระหว่างการไม่สามารถแก้ไขข้อมูลกับสิทธิในการลบตามกฎหมาย? ต่อไปนี้คือการสำรวจแนวทางแก้ไขในด้านเทคนิค.**1.1 เครือข่ายอำนาจข้อมูลของผู้ใช้: โปรโตคอล Ceramic**แนวคิดหลักคือการแยกข้อมูลที่ละเอียดอ่อนออกจากบล็อกเชน โดยเก็บไว้แต่แฮช ข้อมูลดั้งเดิมจะถูกจัดการโดยผู้ใช้เอง ด้วยโปรโตคอล Ceramic ข้อมูลจะถูกเก็บไว้ในเครือข่ายการจัดเก็บแบบกระจาย (เช่น IPFS) โดยผู้ใช้ควบคุมกุญแจส่วนตัว บล็อกเชนจะเก็บเพียงลายนิ้วมือของข้อมูล (แฮช) และเมื่อถูกลบจะทำให้การเข้าถึงไร้ผลเมื่อทำลายกุญแจส่วนตัว ตัวอย่างที่ประสบความสำเร็จ เช่น ผู้ใช้ Mask Network ใช้ Ceramic ในการเก็บข้อมูลสังคมที่เข้ารหัส (เช่น โพสต์, รายการติดตาม) และผู้ใช้ IDX ใช้ Ceramic ในการเก็บข้อมูลที่สามารถตรวจสอบได้ (เช่น หลักฐาน KYC, การผูกบัญชีโซเชียล)**1.2 การลบแบบลอจิก: Arweave+ZK-Rollup**ในกรณีในชีวิตจริง เช่น การลบ NFT ที่ละเมิดของ Immutable X แนวคิดหลักคือการเก็บรักษาข้อมูลทางกายภาพ แต่บรรลุ "การล่องหนเชิงตรรกะ" ผ่านการพิสูจน์ความรู้เป็นศูนย์ (ZKPs) ในการใช้งานนี้สามารถใช้ที่เก็บข้อมูลถาวรของ Arweave เพื่อเขียนข้อมูลไปยังเลเยอร์ที่ไม่เปลี่ยนรูปจากนั้นผ่านเลเยอร์การปฏิบัติตาม ZK-Rollup เพื่อให้หลังจากลบเนื้อหาแล้วผู้ตรวจสอบสามารถปฏิเสธธุรกรรมที่มีข้อมูลได้**1.3 สิทธิ์แบบไดนามิกในพันธมิตรเชน: ชุดข้อมูลส่วนตัวของ Hyperledger Fabric**แนวคิดหลักคือการควบคุมความสามารถในการมองเห็นข้อมูลผ่านการควบคุมสิทธิ์ของโหนดในบล็อกเชนที่มีการอนุญาต เช่น บล็อกเชนขององค์กร ซึ่งวิธีการของมันคือการตั้งค่าชุดข้อมูลส่วนตัว (Private Data Collections) ทำให้ข้อมูลที่ละเอียดอ่อนมองเห็นได้เฉพาะโหนดที่ได้รับอนุญาต และดำเนินการลบข้อมูลแบบไดนามิก เช่น สมาชิกในสมาคมสามารถลงคะแนนเพื่อลบข้อมูลที่ไม่เป็นไปตามข้อกำหนด (เช่น การลบประวัติทางการแพทย์ที่ผิดพลาดในบล็อกเชนการแพทย์) .**1.4 เลเยอร์ความเป็นส่วนตัวที่สามารถปรับโปรแกรมได้: กลไก Opt-Out ของ Aleo**แนวคิดหลักคือการสนับสนุนการเปิดเผยข้อมูลตามที่เลือกในขณะที่ปกป้องความเป็นส่วนตัว ข้อมูลของผู้ใช้ถูกเข้ารหัสและบันทึกลงบล็อกเชนด้วยการพิสูจน์ความรู้ศูนย์ (zkSNARK) และเมื่อจำเป็นจะให้กุญแจการดู (View Key) แก่หน่วยงานกำกับดูแล หรือดำเนินการ Opt-Out เพื่อลบ (เช่น ซ่อนประวัติการทำธุรกรรม) Aleo จึงนำเสนอแนวทางการทำธุรกรรมที่เป็นส่วนตัวและสอดคล้องกับกฎหมายสำหรับสถาบันการเงิน.### 2. ศิลปะในการสร้างสมดุลระหว่างการไม่เปิดเผยตัวตนกับ KYCกฎระเบียบด้านความเป็นส่วนตัวที่สำคัญสามข้อทั่วโลกมีข้อกำหนดที่เข้มงวดเกี่ยวกับการทำให้ข้อมูลส่วนบุคคลเป็นนิรนาม (Anonymization) ในขณะเดียวกัน กฎหมายที่เกี่ยวข้องกับการป้องกันการฟอกเงิน (AML) ก็มีข้อกำหนดให้ต้องมีการตรวจสอบ KYC ด้วย อุตสาหกรรมบล็อกเชนจะหาสมดุลในความขัดแย้งนี้ได้อย่างไร? ต่อไปนี้คือสามโซลูชันที่สร้างสรรค์.**2.1 ENS + การระบุตัวตนแบบกระจายศูนย์ (DID): การเปิดเผยตัวตนที่ควบคุมได้**แนวคิดหลักคือการใช้บริการชื่อโดเมน Ethereum (ENS) เป็นการระบุอัตลักษณ์ที่อ่านได้ แทนที่จะเปิดเผยชื่อจริงโดยตรง ร่วมกับโปรโตคอลอัตลักษณ์แบบกระจายศูนย์ (เช่น Ceramic IDX, Spruce DID) อนุญาตให้ผู้ใช้เลือกเปิดเผยข้อมูลใดบ้าง กระเป๋าเงิน Uniswap ใช้เทคโนโลยีนี้สนับสนุนชื่อเล่น ENS เพื่อลดความเสี่ยงจากการเปิดเผยที่อยู่.**2.2 Polygon ID:การพิสูจน์ความรู้แบบไม่เปิดเผย (ZKP) เพื่อทำให้ KYC มีขนาดเล็กที่สุด**เทคโนโลยีนี้ใช้การพิสูจน์ความรู้เป็นศูนย์ทําให้ผู้ใช้สามารถพิสูจน์ได้ว่าพวกเขามีสิทธิ์ (เช่น "อายุมากกว่า 18 ปี") โดยไม่เปิดเผยอายุหรือหมายเลขประจําตัวที่เฉพาะเจาะจงและไม่ได้จัดเก็บข้อมูลระบุตัวตนดั้งเดิมเป็นเพียงหลักฐานเท่านั้น เมื่อได้รับการยืนยันแล้วสามารถทําธุรกรรมได้โดยใช้ที่อยู่ที่ไม่ระบุชื่อ (เช่นบัญชี zkRollup) ผู้ใช้ยังสามารถเพิกถอนข้อมูลประจําตัวและหยุดการแชร์ข้อมูลได้ตลอดเวลา สิ่งนี้สามารถทําได้ตามหลักการที่จําเป็นขั้นต่ําสําหรับการปฏิบัติตามข้อกําหนดด้านกฎระเบียบที่สําคัญสามประการและรวบรวมข้อมูลที่จําเป็นเท่านั้น**2.3 Circle TRUST กรอบงาน: การประนีประนอมระหว่างความปลอดภัยของ Stablecoin และความเป็นส่วนตัว**TRUST (Travel Rule Universal Solution Technology) เป็นโปรโตคอลการปฏิบัติตามข้อกําหนดที่เสนอโดย Circle (ผู้ออก USDC) ที่อนุญาตให้แบ่งปันข้อมูล KYC ระหว่าง VASP ได้อย่างปลอดภัยโดยไม่ต้องเปิดเผยต่อสาธารณะ การเข้ารหัสแบบ end-to-end และการควบคุมการเข้าถึงช่วยให้มั่นใจได้ว่ามีเพียงหน่วยงานที่ปฏิบัติตามข้อกําหนดเท่านั้นที่สามารถดูข้อมูลประจําตัวของผู้ค้าได้ กรอบนี้เข้ากันได้กับกฎการเดินทาง FATF ซึ่งเป็นไปตามข้อกําหนดด้านกฎระเบียบในขณะที่ปกป้องความเป็นส่วนตัวของผู้ใช้ ในเวลาเดียวกันเฟรมเวิร์กเป็นสถาปัตยกรรมที่ไม่ใช่การดูแลนั่นคือข้อมูลผู้ใช้ไม่ได้ถูกควบคุมโดยหน่วยงานส่วนกลางเดียวลดความเสี่ยงของการรั่วไหล กรอบ TRUST ยังสามารถตรวจสอบได้รับประกันการเข้าถึงหน่วยงานกํากับดูแลตามความต้องการซึ่งไม่สามารถตรวจสอบย้อนกลับได้สําหรับผู้ใช้ทั่วไป### 3. สัญญาอัจฉริยะและสิทธิของผู้มีข้อมูลกฎระเบียบทั้งสามฉบับต่างเน้นย้ำถึงสิทธิของบุคคลในฐานะผู้ถือข้อมูลที่จะมีสิทธิในการตัดสินใจเกี่ยวกับข้อมูลของตน อย่างไรก็ตาม โครงการบล็อกเชนหลายโครงการในปัจจุบัน รวมถึงการดำเนินงานของ DAO ยังคงไม่สามารถหลีกเลี่ยงการบริหารจัดการที่เป็นกลางได้ เช่น Uniswap ยังคงพึ่งพา frontend ที่เป็นศูนย์กลางหรือการตัดสินใจของมูลนิธิ ส่งผลให้สิทธิในข้อมูลของผู้ใช้ถูกลิดรอน วิธีใดที่จะทำให้สัญญาอัจฉริยะเคารพสิทธิของผู้ถือข้อมูลอย่างแท้จริง? นี่คือสองวิธีที่สามารถพิจารณาได้:**3.1 :Aave แนะนำกลไกการประเมินผลกระทบการประมวลผลข้อมูลการลงคะแนน DAO (DPIA)**DPIA (Data Protection Impact Assessment) เป็นกระบวนการประเมินที่จําเป็นภายใต้ GDPR ที่กําหนดให้องค์กรต้องประเมินผลกระทบด้านความเป็นส่วนตัวก่อนที่จะประมวลผลข้อมูลที่มีความเสี่ยงสูง ข้อเสนอ DPIA แบบ on-chain กําหนดให้การเปลี่ยนแปลงใด ๆ ที่เกี่ยวข้องกับข้อมูลผู้ใช้ (เช่นโมดูล KYC ใหม่นโยบายการจัดเก็บบันทึก) ได้รับการโหวตโดยสมาชิก DAO และข้อเสนอจะต้องมาพร้อมกับการวิเคราะห์ผลกระทบด้านความเป็นส่วนตัว (เช่น "การเปลี่ยนแปลงเพิ่มความเสี่ยงของการละเมิดข้อมูล") และในขณะเดียวกันก็ปรับใช้สัญญาอัจฉริยะที่เป็นไปตามข้อกําหนดจัดการการอนุญาตผู้ใช้ผ่านข้อมูลประจําตัวที่ตรวจสอบได้ (VCs) และสร้างกลไกการลงโทษและหาก DAO ผ่านข้อเสนอที่ละเมิด GDPR โทเค็นการกํากับดูแลที่เดิมพัน (เช่น AAVE) สามารถเฉือนได้ DAOs เช่น Aave ได้นํามันมาใช้ในการกํากับดูแลแบบ on-chain เพื่อให้มั่นใจถึงความโปร่งใสในการตัดสินใจข้อมูลของพวกเขา**3.2 :Filecoin ดำเนินการจัดการวงจรชีวิตข้อมูลอัตโนมัติ**หลักการจํากัดการจัดเก็บของ GDPR กําหนดให้ต้องเก็บรักษาข้อมูลไว้นานเท่าที่จําเป็นเท่านั้น และ Filecoin ในฐานะเครือข่ายการจัดเก็บข้อมูลแบบกระจายอํานาจสามารถหมดอายุและลบโดยอัตโนมัติผ่านสัญญาอัจฉริยะเพื่อหลีกเลี่ยงการละเมิดที่เก็บข้อมูลถาวร เมื่อผู้ใช้อัปโหลดข้อมูลระยะเวลาการจัดเก็บจะถูกตั้งค่า (เช่นจะถูกลบโดยอัตโนมัติหลังจาก 1 ปี) และโหนด Filecoin จะถูกล้างหลังจากหมดอายุ ผู้ฝากไม่จําเป็นต้องเปิดเผยเนื้อหาของข้อมูล แต่ต้องพิสูจน์ว่า "ถูกลบโดยข้อตกลง" (เช่นโดยการส่งใบรับรองการลบผ่าน zk-SNARK) หากแพลตฟอร์ม NFT ใช้ Filecoin เพื่อจัดเก็บข้อมูลเมตาของงานศิลปะ ก็สามารถฝังตรรกะการลบอัตโนมัติได้ (เช่น การทริกเกอร์การลบหลังจากลิขสิทธิ์หมดอายุ) การอ้างอิงกรณี: Ocean Protocol: การเพิกถอนสิทธิ์การใช้ข้อมูลโดยอัตโนมัติเมื่อหมดอายุ### 4. การส่งสัญญาณข้ามพรมแดน PIPL เป็นตัวแบ่งเกมสําหรับ บริษัท จีนด้วยการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PIPL) ในเดือนพฤศจิกายน 2021 สภาพแวดล้อมด้านกฎระเบียบสําหรับการไหลของข้อมูลข้ามพรมแดนได้รับการเปลี่ยนแปลงพื้นฐาน มาตรา 38 ของ PIPL กําหนดไว้อย่างชัดเจนว่าการส่งออกข้อมูลส่วนบุคคลจะต้องผ่านเส้นทางการปฏิบัติตามข้อกําหนดเช่นการประเมินความปลอดภัยสัญญามาตรฐานหรือการรับรอง กฎระเบียบนี้นําเสนอความท้าทายที่ไม่เหมือนใครสําหรับอุตสาหกรรมบล็อกเชน – จะปฏิบัติตามข้อกําหนดในการถ่ายโอนข้อมูลข้ามพรมแดนได้อย่างไรในขณะที่ยังคงรักษาลักษณะของบัญชีแยกประเภทแบบกระจายไว้? ต่อไปนี้เป็นนวัตกรรมทางเทคโนโลยีและภูมิปัญญาการปฏิบัติตามกฎระเบียบของ บริษัท บล็อกเชนของจีนในยุค PIPL ในช่วงไม่กี่ปีที่ผ่านมาซึ่งสามารถใช้เป็นข้อมูลอ้างอิงสําหรับโครงการอื่น ๆ**4.1 โมเดล "Sandbox การกำกับดูแล" ของ Longan Chain: นวัตกรรมโครงสร้างหลัก-โครงสร้างรอง**ชางอันเชนในฐานะแพลตฟอร์มเทคโนโลยีบล็อกเชนพื้นฐานที่จีนควบคุมได้ด้วยตนเอง ได้เสนอการออกแบบสถาปัตยกรรมแบบชั้นคู่ "สายโซ่หลักในประเทศ + สายโซ่ย่อยในต่างประเทศ" อย่างสร้างสรรค์ ซึ่งให้เส้นทางการดำเนินการทางเทคนิคสำหรับการปฏิบัติตาม PIPL สายโซ่หลักในประเทศเก็บข้อมูลดิบไว้ ขณะที่สายโซ่ย่อยในต่างประเทศเพียงเก็บค่าฮาช์ของข้อมูลและข้อมูลการทำธุรกรรมที่จำเป็น ผ่านการติดตั้งเกตเวย์การส่งข้อมูลข้ามพรมแดนที่ได้รับการรับรองจากสำนักงานการไซเบอร์สเปซ,实现การควบคุมการไหลของข้อมูลอย่างละเอียดและตั้งโหนดกำกับดูแลที่มีสิทธิพิเศษในสายโซ่ย่อยเพื่อให้เป็นไปตามข้อกำหนดการตรวจสอบ.**4.2 Oasis Network กรอบการคำนวณความเป็นส่วนตัว: บล็อกเชนต่างประเทศแรกที่ผ่านการประเมินความปลอดภัยจากสำนักงานการสื่อสารและการข้อมูล**ในปี 2023 Oasis Network กลายเป็นโครงการบล็อกเชนต่างประเทศแห่งแรกที่ผ่านการประเมินความปลอดภัยจากสำนักงานไซเบอร์สเปซของจีน ซึ่งกรอบการคำนวณความเป็นส่วนตัวของมันได้มอบโซลูชันที่สร้างสรรค์สำหรับการไหลของข้อมูลข้ามพรมแดน โดยใช้เทคโนโลยี TEE (Trusted Execution Environment) เพื่อให้ "ข้อมูลสามารถใช้งานได้แต่ไม่สามารถมองเห็นได้" และเพิ่มการป้องกันความเป็นส่วนตัวของบุคคลในช่วงการวิเคราะห์ข้อมูลโดยการเพิ่มเสียงรบกวน ผ่านกลไกการควบคุมการเข้าถึง (RBAC) เพื่อตั้งค่าบล็อกเชนสิทธิ์ สุดท้ายผ่านกลไก "การลดความละเอียดข้อมูล + การควบคุมการเข้าถึง" สองชั้นเพื่อตอบสนองความต้องการของ PIPL.**4.3. แพลตฟอร์ม Trusple ของ Ant Chain: แนวทางปฏิบัติที่ดีที่สุดในการบันทึกสัญญามาตรฐาน**แพลตฟอร์มการค้าระหว่างประเทศ Trusple ของ Ant Chain ได้สร้างกรณีตัวอย่างที่เป็นมาตรฐาน PIPL โดยการผสมผสานสัญญาอัจฉริยะกับสัญญามาตรฐานอย่างสร้างสรรค์ การลงทะเบียนสัญญาอัจฉริยะจะเข้ารหัสข้อกำหนดของสัญญามาตรฐานเป็นสัญญาอัจฉริยะที่สามารถดำเนินการได้ โดยใช้โอราเคิลในการตรวจสอบเงื่อนไขการส่งข้ามพรมแดนแบบเรียลไทม์ เพื่อให้เป็นไปตามกฎระเบียบโดยอัตโนมัติ และบันทึกการส่งทั้งหมดบนบล็อกเชนเพื่อเป็นหลักฐาน ซึ่งเป็นไปตามความต้องการของการตรวจสอบจากหน่วยงานกำกับดูแล.## สรุปการผสานกันระหว่างบล็อกเชนและกฎระเบียบด้านความเป็นส่วนตัวไม่ใช่เกมที่ได้หรือเสียอย่างที่คิด ตามที่ Vitalik Buterin ผู้ก่อตั้ง Ethereum กล่าวว่า: "โปรโตคอลความเป็นส่วนตัวรุ่นถัดไปต้องฝังยีนการปฏิบัติตามกฎระเบียบไว้ในตัว" โครงการที่เปลี่ยนข้อกำหนดด้านการกำกับดูแลให้เป็นลักษณะทางเทคนิคกำลังนิยามรูปแบบใหม่ของยุค Web 3 โดยทั้งปกป้องจิตวิญญาณของการกระจายอำนาจและสร้างคูเมืองการปฏิบัติตามกฎระเบียบที่ยั่งยืน.
การปฏิบัติตามความเป็นส่วนตัวของธุรกิจบล็อกเชน: เมื่อการกระจายอำนาจพบกับกฎระเบียบการปกป้องข้อมูลทั่วโลก
ผู้เขียนต้นฉบับ: May Pang, หัวหน้าเจ้าหน้าที่ปฏิบัติตามกฎระเบียบ@OORT
บทนำ
เมื่อโปรโตคอล DeFi เผชิญกับ "สิทธิในการถูกลืม" ของ GDPR และเมื่อแพลตฟอร์ม NFT ต้องเผชิญกับ "สิทธิในการถอนข้อมูล" ของ CCPA อุตสาหกรรมบล็อกเชนกำลังประสบกับการชนกันอย่างรุนแรงระหว่างอุดมคติของการกระจายอำนาจและการควบคุมจริง รายงานของ Chainalysis แสดงให้เห็นว่า ในปี 2023 บริษัทบล็อกเชนทั่วโลกมีค่าปรับที่เกี่ยวข้องกับการปฏิบัติตามความเป็นส่วนตัวเพิ่มขึ้น 240% เมื่อเปรียบเทียบปีต่อปี บทความนี้จะวิเคราะห์ว่าโครงการบล็อกเชนจะสร้างความสามารถในการแข่งขันที่สอดคล้องในยุค Web3 ได้อย่างไร
หนึ่ง, ความแตกต่างและความเหมือนที่สำคัญของกฎหมายความเป็นส่วนตัวทั่วโลก
ในขณะที่ปัญหาความเป็นส่วนตัวของข้อมูลได้รับความสนใจมากขึ้น กฎหมายสามฉบับที่เป็นตัวแทน ได้แก่ CCPA ของรัฐแคลิฟอร์เนีย ประเทศสหรัฐอเมริกา PIPL ของประเทศจีน และ GDPR ของสหภาพยุโรป แม้ว่าทั้งสามฉบับมีเป้าหมายในการปกป้องข้อมูลส่วนบุคคล แต่จุดเน้นและข้อกำหนดเฉพาะของแต่ละฉบับมีความแตกต่างกันอย่างมีนัยสำคัญ.
ในแง่ของขอบเขตการบังคับใช้ CCPA จะมีผลเฉพาะต่อผู้อยู่อาศัยในแคลิฟอร์เนีย ขณะที่ PIPL และ GDPR มีผลบังคับใช้ในต่างประเทศ ครอบคลุมสถานการณ์ที่มีการประมวลผลข้อมูลของพลเมืองของตนในต่างประเทศ ในด้านสิทธิขั้นพื้นฐาน GDPR ครอบคลุมมากที่สุด โดยมอบสิทธิ "การถูกลืม" และ "สิทธิในการพกพาข้อมูล" ให้กับผู้ใช้; PIPL เน้นการควบคุมข้อมูลตลอดกระบวนการ; CCPA จะมุ่งเน้นไปที่สิทธิในการรับข้อมูลและการเลือกที่จะออกจากข้อมูล ในการถ่ายโอนข้อมูลข้ามพรมแดน PIPL มีข้อกำหนดที่เข้มงวดที่สุด โดยต้องผ่านการประเมินความปลอดภัยหรือการรับรอง; GDPR ขึ้นอยู่กับเครื่องมือมาตรฐาน; CCPA ไม่มีข้อจำกัดพิเศษ.
ความแตกต่างในมาตรการการปฏิบัติตามข้อกําหนดก็น่าสังเกตเช่นกัน: ทั้ง PIPL และ GDPR ต้องการการแปลข้อมูลหรือการประเมินข้ามพรมแดนในขณะที่ CCPA มีความโปร่งใสมากขึ้น (เช่นให้ลิงก์ "ห้ามขาย") ในแง่ของบทลงโทษ GDPR และ PIPL จะยับยั้งมากขึ้นตามสัดส่วนของผลประกอบการ
สอง. จุดขัดแย้งระหว่างลักษณะของบล็อกเชนกับกฎระเบียบความเป็นส่วนตัวและวิธีการแก้ไข
1. ปฏิญญาเกี่ยวกับความไม่สามารถเปลี่ยนแปลงและสิทธิในการลบ
คุณสมบัติหลักของบล็อกเชน——การไม่สามารถแก้ไขได้ ทำให้มันเป็นรากฐานของเครื่องมือสร้างความไว้วางใจ อย่างไรก็ตาม คุณสมบัตินี้มีความขัดแย้งโดยตรงกับ "สิทธิในการลบ" (Right to Erasure) ในสามกฎระเบียบด้านความเป็นส่วนตัว เมื่อผู้ใช้ขอให้ลบข้อมูล คุณสมบัติ "เพิ่มเท่านั้น ไม่สามารถแก้ไขได้" ของบัญชีบล็อกเชนทำให้เกิดปัญหาในการปฏิบัติตามกฎระเบียบ ต้องทำอย่างไรเพื่อสร้างสมดุลระหว่างการไม่สามารถแก้ไขข้อมูลกับสิทธิในการลบตามกฎหมาย? ต่อไปนี้คือการสำรวจแนวทางแก้ไขในด้านเทคนิค.
1.1 เครือข่ายอำนาจข้อมูลของผู้ใช้: โปรโตคอล Ceramic
แนวคิดหลักคือการแยกข้อมูลที่ละเอียดอ่อนออกจากบล็อกเชน โดยเก็บไว้แต่แฮช ข้อมูลดั้งเดิมจะถูกจัดการโดยผู้ใช้เอง ด้วยโปรโตคอล Ceramic ข้อมูลจะถูกเก็บไว้ในเครือข่ายการจัดเก็บแบบกระจาย (เช่น IPFS) โดยผู้ใช้ควบคุมกุญแจส่วนตัว บล็อกเชนจะเก็บเพียงลายนิ้วมือของข้อมูล (แฮช) และเมื่อถูกลบจะทำให้การเข้าถึงไร้ผลเมื่อทำลายกุญแจส่วนตัว ตัวอย่างที่ประสบความสำเร็จ เช่น ผู้ใช้ Mask Network ใช้ Ceramic ในการเก็บข้อมูลสังคมที่เข้ารหัส (เช่น โพสต์, รายการติดตาม) และผู้ใช้ IDX ใช้ Ceramic ในการเก็บข้อมูลที่สามารถตรวจสอบได้ (เช่น หลักฐาน KYC, การผูกบัญชีโซเชียล)
1.2 การลบแบบลอจิก: Arweave+ZK-Rollup
ในกรณีในชีวิตจริง เช่น การลบ NFT ที่ละเมิดของ Immutable X แนวคิดหลักคือการเก็บรักษาข้อมูลทางกายภาพ แต่บรรลุ "การล่องหนเชิงตรรกะ" ผ่านการพิสูจน์ความรู้เป็นศูนย์ (ZKPs) ในการใช้งานนี้สามารถใช้ที่เก็บข้อมูลถาวรของ Arweave เพื่อเขียนข้อมูลไปยังเลเยอร์ที่ไม่เปลี่ยนรูปจากนั้นผ่านเลเยอร์การปฏิบัติตาม ZK-Rollup เพื่อให้หลังจากลบเนื้อหาแล้วผู้ตรวจสอบสามารถปฏิเสธธุรกรรมที่มีข้อมูลได้
1.3 สิทธิ์แบบไดนามิกในพันธมิตรเชน: ชุดข้อมูลส่วนตัวของ Hyperledger Fabric
แนวคิดหลักคือการควบคุมความสามารถในการมองเห็นข้อมูลผ่านการควบคุมสิทธิ์ของโหนดในบล็อกเชนที่มีการอนุญาต เช่น บล็อกเชนขององค์กร ซึ่งวิธีการของมันคือการตั้งค่าชุดข้อมูลส่วนตัว (Private Data Collections) ทำให้ข้อมูลที่ละเอียดอ่อนมองเห็นได้เฉพาะโหนดที่ได้รับอนุญาต และดำเนินการลบข้อมูลแบบไดนามิก เช่น สมาชิกในสมาคมสามารถลงคะแนนเพื่อลบข้อมูลที่ไม่เป็นไปตามข้อกำหนด (เช่น การลบประวัติทางการแพทย์ที่ผิดพลาดในบล็อกเชนการแพทย์) .
1.4 เลเยอร์ความเป็นส่วนตัวที่สามารถปรับโปรแกรมได้: กลไก Opt-Out ของ Aleo
แนวคิดหลักคือการสนับสนุนการเปิดเผยข้อมูลตามที่เลือกในขณะที่ปกป้องความเป็นส่วนตัว ข้อมูลของผู้ใช้ถูกเข้ารหัสและบันทึกลงบล็อกเชนด้วยการพิสูจน์ความรู้ศูนย์ (zkSNARK) และเมื่อจำเป็นจะให้กุญแจการดู (View Key) แก่หน่วยงานกำกับดูแล หรือดำเนินการ Opt-Out เพื่อลบ (เช่น ซ่อนประวัติการทำธุรกรรม) Aleo จึงนำเสนอแนวทางการทำธุรกรรมที่เป็นส่วนตัวและสอดคล้องกับกฎหมายสำหรับสถาบันการเงิน.
2. ศิลปะในการสร้างสมดุลระหว่างการไม่เปิดเผยตัวตนกับ KYC
กฎระเบียบด้านความเป็นส่วนตัวที่สำคัญสามข้อทั่วโลกมีข้อกำหนดที่เข้มงวดเกี่ยวกับการทำให้ข้อมูลส่วนบุคคลเป็นนิรนาม (Anonymization) ในขณะเดียวกัน กฎหมายที่เกี่ยวข้องกับการป้องกันการฟอกเงิน (AML) ก็มีข้อกำหนดให้ต้องมีการตรวจสอบ KYC ด้วย อุตสาหกรรมบล็อกเชนจะหาสมดุลในความขัดแย้งนี้ได้อย่างไร? ต่อไปนี้คือสามโซลูชันที่สร้างสรรค์.
2.1 ENS + การระบุตัวตนแบบกระจายศูนย์ (DID): การเปิดเผยตัวตนที่ควบคุมได้
แนวคิดหลักคือการใช้บริการชื่อโดเมน Ethereum (ENS) เป็นการระบุอัตลักษณ์ที่อ่านได้ แทนที่จะเปิดเผยชื่อจริงโดยตรง ร่วมกับโปรโตคอลอัตลักษณ์แบบกระจายศูนย์ (เช่น Ceramic IDX, Spruce DID) อนุญาตให้ผู้ใช้เลือกเปิดเผยข้อมูลใดบ้าง กระเป๋าเงิน Uniswap ใช้เทคโนโลยีนี้สนับสนุนชื่อเล่น ENS เพื่อลดความเสี่ยงจากการเปิดเผยที่อยู่.
2.2 Polygon ID:การพิสูจน์ความรู้แบบไม่เปิดเผย (ZKP) เพื่อทำให้ KYC มีขนาดเล็กที่สุด
เทคโนโลยีนี้ใช้การพิสูจน์ความรู้เป็นศูนย์ทําให้ผู้ใช้สามารถพิสูจน์ได้ว่าพวกเขามีสิทธิ์ (เช่น "อายุมากกว่า 18 ปี") โดยไม่เปิดเผยอายุหรือหมายเลขประจําตัวที่เฉพาะเจาะจงและไม่ได้จัดเก็บข้อมูลระบุตัวตนดั้งเดิมเป็นเพียงหลักฐานเท่านั้น เมื่อได้รับการยืนยันแล้วสามารถทําธุรกรรมได้โดยใช้ที่อยู่ที่ไม่ระบุชื่อ (เช่นบัญชี zkRollup) ผู้ใช้ยังสามารถเพิกถอนข้อมูลประจําตัวและหยุดการแชร์ข้อมูลได้ตลอดเวลา สิ่งนี้สามารถทําได้ตามหลักการที่จําเป็นขั้นต่ําสําหรับการปฏิบัติตามข้อกําหนดด้านกฎระเบียบที่สําคัญสามประการและรวบรวมข้อมูลที่จําเป็นเท่านั้น
2.3 Circle TRUST กรอบงาน: การประนีประนอมระหว่างความปลอดภัยของ Stablecoin และความเป็นส่วนตัว
TRUST (Travel Rule Universal Solution Technology) เป็นโปรโตคอลการปฏิบัติตามข้อกําหนดที่เสนอโดย Circle (ผู้ออก USDC) ที่อนุญาตให้แบ่งปันข้อมูล KYC ระหว่าง VASP ได้อย่างปลอดภัยโดยไม่ต้องเปิดเผยต่อสาธารณะ การเข้ารหัสแบบ end-to-end และการควบคุมการเข้าถึงช่วยให้มั่นใจได้ว่ามีเพียงหน่วยงานที่ปฏิบัติตามข้อกําหนดเท่านั้นที่สามารถดูข้อมูลประจําตัวของผู้ค้าได้ กรอบนี้เข้ากันได้กับกฎการเดินทาง FATF ซึ่งเป็นไปตามข้อกําหนดด้านกฎระเบียบในขณะที่ปกป้องความเป็นส่วนตัวของผู้ใช้ ในเวลาเดียวกันเฟรมเวิร์กเป็นสถาปัตยกรรมที่ไม่ใช่การดูแลนั่นคือข้อมูลผู้ใช้ไม่ได้ถูกควบคุมโดยหน่วยงานส่วนกลางเดียวลดความเสี่ยงของการรั่วไหล กรอบ TRUST ยังสามารถตรวจสอบได้รับประกันการเข้าถึงหน่วยงานกํากับดูแลตามความต้องการซึ่งไม่สามารถตรวจสอบย้อนกลับได้สําหรับผู้ใช้ทั่วไป
3. สัญญาอัจฉริยะและสิทธิของผู้มีข้อมูล
กฎระเบียบทั้งสามฉบับต่างเน้นย้ำถึงสิทธิของบุคคลในฐานะผู้ถือข้อมูลที่จะมีสิทธิในการตัดสินใจเกี่ยวกับข้อมูลของตน อย่างไรก็ตาม โครงการบล็อกเชนหลายโครงการในปัจจุบัน รวมถึงการดำเนินงานของ DAO ยังคงไม่สามารถหลีกเลี่ยงการบริหารจัดการที่เป็นกลางได้ เช่น Uniswap ยังคงพึ่งพา frontend ที่เป็นศูนย์กลางหรือการตัดสินใจของมูลนิธิ ส่งผลให้สิทธิในข้อมูลของผู้ใช้ถูกลิดรอน วิธีใดที่จะทำให้สัญญาอัจฉริยะเคารพสิทธิของผู้ถือข้อมูลอย่างแท้จริง? นี่คือสองวิธีที่สามารถพิจารณาได้:
3.1 :Aave แนะนำกลไกการประเมินผลกระทบการประมวลผลข้อมูลการลงคะแนน DAO (DPIA)
DPIA (Data Protection Impact Assessment) เป็นกระบวนการประเมินที่จําเป็นภายใต้ GDPR ที่กําหนดให้องค์กรต้องประเมินผลกระทบด้านความเป็นส่วนตัวก่อนที่จะประมวลผลข้อมูลที่มีความเสี่ยงสูง ข้อเสนอ DPIA แบบ on-chain กําหนดให้การเปลี่ยนแปลงใด ๆ ที่เกี่ยวข้องกับข้อมูลผู้ใช้ (เช่นโมดูล KYC ใหม่นโยบายการจัดเก็บบันทึก) ได้รับการโหวตโดยสมาชิก DAO และข้อเสนอจะต้องมาพร้อมกับการวิเคราะห์ผลกระทบด้านความเป็นส่วนตัว (เช่น "การเปลี่ยนแปลงเพิ่มความเสี่ยงของการละเมิดข้อมูล") และในขณะเดียวกันก็ปรับใช้สัญญาอัจฉริยะที่เป็นไปตามข้อกําหนดจัดการการอนุญาตผู้ใช้ผ่านข้อมูลประจําตัวที่ตรวจสอบได้ (VCs) และสร้างกลไกการลงโทษและหาก DAO ผ่านข้อเสนอที่ละเมิด GDPR โทเค็นการกํากับดูแลที่เดิมพัน (เช่น AAVE) สามารถเฉือนได้ DAOs เช่น Aave ได้นํามันมาใช้ในการกํากับดูแลแบบ on-chain เพื่อให้มั่นใจถึงความโปร่งใสในการตัดสินใจข้อมูลของพวกเขา
3.2 :Filecoin ดำเนินการจัดการวงจรชีวิตข้อมูลอัตโนมัติ
หลักการจํากัดการจัดเก็บของ GDPR กําหนดให้ต้องเก็บรักษาข้อมูลไว้นานเท่าที่จําเป็นเท่านั้น และ Filecoin ในฐานะเครือข่ายการจัดเก็บข้อมูลแบบกระจายอํานาจสามารถหมดอายุและลบโดยอัตโนมัติผ่านสัญญาอัจฉริยะเพื่อหลีกเลี่ยงการละเมิดที่เก็บข้อมูลถาวร เมื่อผู้ใช้อัปโหลดข้อมูลระยะเวลาการจัดเก็บจะถูกตั้งค่า (เช่นจะถูกลบโดยอัตโนมัติหลังจาก 1 ปี) และโหนด Filecoin จะถูกล้างหลังจากหมดอายุ ผู้ฝากไม่จําเป็นต้องเปิดเผยเนื้อหาของข้อมูล แต่ต้องพิสูจน์ว่า "ถูกลบโดยข้อตกลง" (เช่นโดยการส่งใบรับรองการลบผ่าน zk-SNARK) หากแพลตฟอร์ม NFT ใช้ Filecoin เพื่อจัดเก็บข้อมูลเมตาของงานศิลปะ ก็สามารถฝังตรรกะการลบอัตโนมัติได้ (เช่น การทริกเกอร์การลบหลังจากลิขสิทธิ์หมดอายุ) การอ้างอิงกรณี: Ocean Protocol: การเพิกถอนสิทธิ์การใช้ข้อมูลโดยอัตโนมัติเมื่อหมดอายุ
4. การส่งสัญญาณข้ามพรมแดน PIPL เป็นตัวแบ่งเกม
สําหรับ บริษัท จีนด้วยการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PIPL) ในเดือนพฤศจิกายน 2021 สภาพแวดล้อมด้านกฎระเบียบสําหรับการไหลของข้อมูลข้ามพรมแดนได้รับการเปลี่ยนแปลงพื้นฐาน มาตรา 38 ของ PIPL กําหนดไว้อย่างชัดเจนว่าการส่งออกข้อมูลส่วนบุคคลจะต้องผ่านเส้นทางการปฏิบัติตามข้อกําหนดเช่นการประเมินความปลอดภัยสัญญามาตรฐานหรือการรับรอง กฎระเบียบนี้นําเสนอความท้าทายที่ไม่เหมือนใครสําหรับอุตสาหกรรมบล็อกเชน – จะปฏิบัติตามข้อกําหนดในการถ่ายโอนข้อมูลข้ามพรมแดนได้อย่างไรในขณะที่ยังคงรักษาลักษณะของบัญชีแยกประเภทแบบกระจายไว้? ต่อไปนี้เป็นนวัตกรรมทางเทคโนโลยีและภูมิปัญญาการปฏิบัติตามกฎระเบียบของ บริษัท บล็อกเชนของจีนในยุค PIPL ในช่วงไม่กี่ปีที่ผ่านมาซึ่งสามารถใช้เป็นข้อมูลอ้างอิงสําหรับโครงการอื่น ๆ
4.1 โมเดล "Sandbox การกำกับดูแล" ของ Longan Chain: นวัตกรรมโครงสร้างหลัก-โครงสร้างรอง
ชางอันเชนในฐานะแพลตฟอร์มเทคโนโลยีบล็อกเชนพื้นฐานที่จีนควบคุมได้ด้วยตนเอง ได้เสนอการออกแบบสถาปัตยกรรมแบบชั้นคู่ "สายโซ่หลักในประเทศ + สายโซ่ย่อยในต่างประเทศ" อย่างสร้างสรรค์ ซึ่งให้เส้นทางการดำเนินการทางเทคนิคสำหรับการปฏิบัติตาม PIPL สายโซ่หลักในประเทศเก็บข้อมูลดิบไว้ ขณะที่สายโซ่ย่อยในต่างประเทศเพียงเก็บค่าฮาช์ของข้อมูลและข้อมูลการทำธุรกรรมที่จำเป็น ผ่านการติดตั้งเกตเวย์การส่งข้อมูลข้ามพรมแดนที่ได้รับการรับรองจากสำนักงานการไซเบอร์สเปซ,实现การควบคุมการไหลของข้อมูลอย่างละเอียดและตั้งโหนดกำกับดูแลที่มีสิทธิพิเศษในสายโซ่ย่อยเพื่อให้เป็นไปตามข้อกำหนดการตรวจสอบ.
4.2 Oasis Network กรอบการคำนวณความเป็นส่วนตัว: บล็อกเชนต่างประเทศแรกที่ผ่านการประเมินความปลอดภัยจากสำนักงานการสื่อสารและการข้อมูล
ในปี 2023 Oasis Network กลายเป็นโครงการบล็อกเชนต่างประเทศแห่งแรกที่ผ่านการประเมินความปลอดภัยจากสำนักงานไซเบอร์สเปซของจีน ซึ่งกรอบการคำนวณความเป็นส่วนตัวของมันได้มอบโซลูชันที่สร้างสรรค์สำหรับการไหลของข้อมูลข้ามพรมแดน โดยใช้เทคโนโลยี TEE (Trusted Execution Environment) เพื่อให้ "ข้อมูลสามารถใช้งานได้แต่ไม่สามารถมองเห็นได้" และเพิ่มการป้องกันความเป็นส่วนตัวของบุคคลในช่วงการวิเคราะห์ข้อมูลโดยการเพิ่มเสียงรบกวน ผ่านกลไกการควบคุมการเข้าถึง (RBAC) เพื่อตั้งค่าบล็อกเชนสิทธิ์ สุดท้ายผ่านกลไก "การลดความละเอียดข้อมูล + การควบคุมการเข้าถึง" สองชั้นเพื่อตอบสนองความต้องการของ PIPL.
4.3. แพลตฟอร์ม Trusple ของ Ant Chain: แนวทางปฏิบัติที่ดีที่สุดในการบันทึกสัญญามาตรฐาน
แพลตฟอร์มการค้าระหว่างประเทศ Trusple ของ Ant Chain ได้สร้างกรณีตัวอย่างที่เป็นมาตรฐาน PIPL โดยการผสมผสานสัญญาอัจฉริยะกับสัญญามาตรฐานอย่างสร้างสรรค์ การลงทะเบียนสัญญาอัจฉริยะจะเข้ารหัสข้อกำหนดของสัญญามาตรฐานเป็นสัญญาอัจฉริยะที่สามารถดำเนินการได้ โดยใช้โอราเคิลในการตรวจสอบเงื่อนไขการส่งข้ามพรมแดนแบบเรียลไทม์ เพื่อให้เป็นไปตามกฎระเบียบโดยอัตโนมัติ และบันทึกการส่งทั้งหมดบนบล็อกเชนเพื่อเป็นหลักฐาน ซึ่งเป็นไปตามความต้องการของการตรวจสอบจากหน่วยงานกำกับดูแล.
สรุป
การผสานกันระหว่างบล็อกเชนและกฎระเบียบด้านความเป็นส่วนตัวไม่ใช่เกมที่ได้หรือเสียอย่างที่คิด ตามที่ Vitalik Buterin ผู้ก่อตั้ง Ethereum กล่าวว่า: "โปรโตคอลความเป็นส่วนตัวรุ่นถัดไปต้องฝังยีนการปฏิบัติตามกฎระเบียบไว้ในตัว" โครงการที่เปลี่ยนข้อกำหนดด้านการกำกับดูแลให้เป็นลักษณะทางเทคนิคกำลังนิยามรูปแบบใหม่ของยุค Web 3 โดยทั้งปกป้องจิตวิญญาณของการกระจายอำนาจและสร้างคูเมืองการปฏิบัติตามกฎระเบียบที่ยั่งยืน.