Nguyên gốc

Bảo vệ dữ liệu blockchain và tuân thủ quyền riêng tư: Đi sâu vào GDPR & HIPAA

avatar
CertiK
01-06
Bài viết này được dịch máy
Xem bản gốc

Ứng dụng công nghệ Block đã vượt ra ngoài lĩnh vực tài sản kỹ thuật số, nơi nó được phát triển, và các tổ chức đang tích cực khám phá tiềm năng và các trường hợp sử dụng của Block trong việc lưu trữ và quản lý các loại dữ liệu khác nhau.

Block có các đặc tính như không thể thay đổi, minh bạch, quản lý dữ liệu phi tập trung và tính sẵn sàng cao, thu hút sự quan tâm từ nhiều ngành, từ tài chính đến quản lý chuỗi cung ứng và y tế. Tuy nhiên, những đặc tính này cũng đem lại những thách thức lớn khi đáp ứng các yêu cầu tuân thủ quy định, bao gồm:

  • Không thể thay đổi: Một khi dữ liệu được ghi vào Block, nó không thể bị sửa đổi hoặc xóa.
  • Minh bạch: Tất cả các thành viên trong mạng lưới đều có thể xem toàn bộ dữ liệu và xác minh tính xác thực của nó.
  • Quản lý phi tập trung: Dữ liệu không được kiểm soát bởi bất kỳ thực thể đơn lẻ nào, cũng không do một chủ thể riêng lẻ chịu trách nhiệm.
  • Tính sẵn sàng cao: Dữ liệu được sao chép và lưu trữ trên nhiều nút, do đó có thể truy cập bất cứ lúc nào.

Tuân thủ Block không chỉ áp dụng cho ngành Web3.0

Tùy thuộc vào bản chất hoạt động kinh doanh và loại dữ liệu được quản lý, các ứng dụng Block hiện đại có thể phải tuân thủ các quy định giám sát khác nhau. Trong những năm gần đây, các cơ quan quản lý tài chính trên toàn thế giới liên tục ban hành và cập nhật các khung pháp lý liên quan, thu hút sự quan tâm rộng rãi từ truyền thông và công chúng. Tuy nhiên, các công ty vẫn phải tuân thủ các quy định khác về xử lý dữ liệu danh tính cá nhân, hồ sơ y tế, tài liệu kinh doanh, chứng chỉ kỹ thuật số, v.v. Bài viết này sẽ tập trung vào tác động của các khuôn khổ pháp lý về quyền riêng tư và bảo vệ dữ liệu đối với việc sử dụng công nghệ Block để quản lý dữ liệu cá nhân và sức khỏe.

Trong lĩnh vực quản lý, có nhiều yêu cầu chồng chéo giữa quyền riêng tư và bảo vệ dữ liệu cá nhân (như GDPR[1], CCPA/CPRA[2], PIPL[3], v.v.) và bảo vệ dữ liệu sức khỏe (như HIPAA[4]). Sự chồng chéo này chủ yếu do tính nhạy cảm của dữ liệu liên quan, yêu cầu tương tự về bảo vệ dữ liệu, bảo mật và quyền riêng tư.

Do các quy định này được ban hành trước khi công nghệ Block được ứng dụng rộng rãi, nên không có đề cập cụ thể đến Block, và cũng không giải quyết trực tiếp các vấn đề liên quan đến Block. Tuy nhiên, các quy định này vẫn áp dụng cho các doanh nghiệp sử dụng công nghệ Block để quản lý dữ liệu cá nhân hoặc sức khỏe.

Trong phần tiếp theo, chúng tôi sẽ thảo luận sâu hơn về từng thách thức này, phân tích cách doanh nghiệp đáp ứng các yêu cầu về quyền riêng tư và bảo vệ dữ liệu khi sử dụng công nghệ Block, và cách CertiK hỗ trợ trong bối cảnh này.

Không thể thay đổi

Đặc tính không thể thay đổi của Block gây ra nhiều thách thức lớn về tuân thủ, đặc biệt là giới hạn quyền của người dùng trong việc sửa đổi hoặc xóa dữ liệu, cũng như các vấn đề liên quan đến yêu cầu lưu trữ dữ liệu.

Minh bạch

Các yêu cầu về kiểm soát quyền truy cập nhằm bảo vệ quyền riêng tư của người dùng mang lại những thách thức phức tạp khi triển khai các giải pháp Block.

Phi tập trung

Đặc tính phi tập trung của Block, đặc biệt là trong quản trị, có thể xung đột với các quy định về vai trò và trách nhiệm trong các yêu cầu quản lý.

Tính sẵn sàng

Các nút trong mạng lưới Block thường được phân bố ở các vị trí địa lý khác nhau, gây ra những thách thức lớn về tuân thủ liên quan đến lưu trữ và truyền tải dữ liệu.

Các giải pháp

Mô hình lưu trữ lai

Mô hình lưu trữ lai là giải pháp chính để cân bằng các ưu điểm của Block và các yêu cầu tuân thủ. Các mô hình này phân chia dữ liệu thành lưu trữ trên chuỗi và lưu trữ ngoài chuỗi để thực hiện phân bổ chiến lược:

  • Lưu trữ dữ liệu nhạy cảm trong cơ sở dữ liệu tuân thủ truyền thống.
  • Chỉ lưu trữ các tham chiếu và bằng chứng xác minh dữ liệu trên Block.
  • Thực hiện các thay đổi đối với dữ liệu nhạy cảm trong kho lưu trữ ngoài chuỗi.
  • Block duy trì hồ sơ kiểm toán không thể thay đổi.

Sau khi áp dụng mô hình lưu trữ lai, dữ liệu nhạy cảm sẽ được lưu trữ trong các giải pháp lưu trữ truyền thống hoặc ngoài chuỗi, giải quyết các thách thức sau:

  • Không thể thay đổi: Thông qua lưu trữ ngoài chuỗi, dữ liệu có thể được xóa hoặc sửa đổi, đồng thời vẫn duy trì tính toàn vẹn của dữ liệu. Ngoài ra, chính sách lưu giữ có thể được áp dụng cho dữ liệu lưu trữ ngoài chuỗi.
  • Minh bạch: Có thể tăng cường và quản lý các biện pháp bảo mật, kiểm soát quyền truy cập và mã hóa đối với dữ liệu nhạy cảm lưu trữ ngoài chuỗi.
  • Phi tập trung: Các giải pháp lưu trữ truyền thống có thể dễ dàng phân chia vai trò và trách nhiệm.
  • Tính sẵn sàng: Vị trí lưu trữ dữ liệu và thẩm quyền tài phán có thể được kiểm soát hiệu quả.

Ví dụ, các nhà cung cấp dịch vụ y tế có thể lưu trữ hồ sơ bệnh nhân trong cơ sở dữ liệu tuân thủ HIPAA, đồng thời sử dụng Block để ghi lại nhật ký truy cập và duy trì tính toàn vẹn của dữ liệu trên toàn bộ mạng lưới y tế quốc gia. Quy trình này cho phép họ sửa đổi hoặc xóa hồ sơ khi cần, tuân thủ chính sách lưu giữ, kiểm soát vị trí lưu trữ dữ liệu, đồng thời vẫn duy trì hồ sơ kiểm toán không thể thay đổi. Hệ thống sức khỏe điện tử (e-Health[5]) của Estonia là một ví dụ về ứng dụng mô hình này: hồ sơ bệnh nhân được lưu trữ trong cơ sở dữ liệu ngoài chuỗi, trong khi sử dụng Block KSI để bảo vệ nhật ký truy cập vào hồ sơ sức khỏe và đảm bảo tính toàn vẹn của dữ liệu trên toàn bộ mạng lưới y tế quốc gia.

Mạng lưới riêng được cấp phép

Mạng lưới riêng được cấp phép cung cấp cho các tổ chức quyền kiểm soát đối với thành viên tham gia, quyền hạn và quản trị dữ liệu, đồng thời vẫn duy trì các lợi ích của hệ thống phân tán:

  • Kiểm soát tư cách thành viên mạng lưới thông qua xác thực và cấp phép.
  • Xác định quyền hạn dựa trên vai trò để kiểm soát quyền truy cập dữ liệu và hoạt động nút.
  • Cấu hình cơ chế đồng thuận và quy tắc quản trị.
  • Kiểm soát vị trí địa lý của các nút.

Giải pháp mạng lưới này giải quyết các vấn đề sau:

  • Minh bạch: Có thể kiểm soát quyền truy cập dữ liệu một cách chi tiết để đáp ứng các yêu cầu về bảo mật và quyền riêng tư (có thể tăng cường thêm bằng cách áp dụng các kỹ thuật mã hóa).
  • Phi tập trung: Có thể phân bổ rõ ràng các vai trò và trách nhiệm, chẳng hạn như trách nhiệm của người kiểm soát/xử lý dữ liệu.
  • Tính sẵn sàng: Vị trí và phân bố dữ liệu có thể được kiểm soát hiệu quả.

Một ví dụ điển hình là mạng lưới riêng được cấp phép có thể thực hiện kiểm soát quyền truy cập chi tiết vào dữ liệu liên quan đến sức khỏe, đảm bảo quyền riêng tư của bệnh nhân đ

  • Toán học chứng minh tính hợp lệ của dữ liệu được tạo ra.
  • Xác minh các tuyên bố mà không tiết lộ dữ liệu cơ sở.
  • Thực hiện việc tiết lộ chọn lọc thông tin.
  • Duy trì tính bảo mật của dữ liệu trong quá trình xác minh.

Giả sử dữ liệu nhạy cảm đã được lưu trữ an toàn bên ngoài chuỗi theo các yêu cầu về bảo vệ dữ liệu và quyền riêng tư, các thách thức sau có thể được giải quyết:

  • Tính không thể thay đổi: Việc sửa đổi và xóa dữ liệu, cũng như chính sách lưu trữ được xử lý bên ngoài chuỗi, đồng thời vẫn duy trì khả năng xác minh tính xác thực của dữ liệu trên chuỗi.
  • Tính minh bạch: Hỗ trợ xác minh dữ liệu trên chuỗi, đồng thời bảo vệ tính bảo mật của dữ liệu nhạy cảm bên ngoài chuỗi.
  • Phi tập trung: Xác định rõ vai trò và trách nhiệm của dữ liệu nhạy cảm thông qua các giải pháp lưu trữ bên ngoài chuỗi.
  • Tính sẵn sàng cao: Vị trí và phân phối của dữ liệu phụ thuộc vào việc lưu trữ dữ liệu bên ngoài chuỗi, trong khi chức năng xác minh có thể được thực hiện trên chuỗi.

Các tổ chức tài chính có thể thực hiện các chức năng sau thông qua quy trình KYC dựa trên bằng chứng không tri thức:

  • Khách hàng có thể chứng minh yêu cầu về danh tính mà không cần phải tiết lộ dữ liệu cá nhân gốc.
  • Ngân hàng có thể xác minh tính tuân thủ mà không cần lưu trữ thông tin nhạy cảm.
  • Kết quả xác minh danh tính được lưu trữ trên chuỗi, đồng thời vẫn bảo vệ quyền riêng tư.
  • Nhiều tổ chức có thể xác minh trạng thái của khách hàng mà không cần kiểm tra lại.

Ví dụ, Privado ID[7] (trước đây là Polygon ID) cho phép các tổ chức phát hành các chứng chỉ có thể xác minh được tuân thủ các tiêu chuẩn W3C, người dùng có thể chứng minh các tuyên bố cụ thể (như trạng thái KYC) với bên xác minh mà không cần tiết lộ dữ liệu cá nhân cơ bản. Quy trình này kết hợp xác minh dựa trên blockchain và công nghệ bằng chứng không tri thức, đồng thời đáp ứng cả tính tuân thủ và bảo mật quyền riêng tư.

Kết luận

Sự giao nhau giữa công nghệ blockchain và tuân thủ quy định mang lại nhiều thách thức lớn, nhưng các giải pháp mới nổi cung cấp các phương pháp khả thi để lấp đầy khoảng cách này. Bảng dưới đây ánh xạ các thách thức chính với các giải pháp tương ứng. Lưu ý rằng các giải pháp được nêu trong bảng giả định rằng dữ liệu nhạy cảm được lưu trữ bên ngoài chuỗi đã được quản lý theo các yêu cầu về bảo vệ dữ liệu và quyền riêng tư:

Các điểm chính

  • Hiện không có một giải pháp duy nhất có thể đồng thời lưu trữ dữ liệu nhạy cảm trên chuỗi, hoàn toàn giải quyết tất cả các thách thức về tuân thủ và vẫn duy trì các đặc tính và lý tưởng ban đầu của công nghệ blockchain. Kết hợp nhiều phương pháp và xem xét các nhu cầu kinh doanh và vận hành cụ thể có thể là lựa chọn tối ưu.
  • Đưa tính tuân thủ vào quá trình phát triển ngay từ đầu, thay vì khắc phục sau này, sẽ giúp xác định loại blockchain phù hợp (ví dụ: chuỗi công khai/riêng tư, có giấy phép/không có giấy phép, v.v.) và bất kỳ giải pháp bổ sung nào.
  • Do các quy định liên quan vẫn đang được xây dựng và các giải pháp kỹ thuật cũng đang không ngừng phát triển, việc theo dõi liên tục các diễn biến mới nhất của chính sách quản lý là rất quan trọng.

Khi công nghệ blockchain và khung pháp lý ngày càng hoàn thiện, các tổ chức có thể kết hợp các giải pháp một cách cẩn thận sẽ có lợi thế, có thể tận dụng tối đa các đặc tính của blockchain trong khi vẫn duy trì tính tuân thủ.

CertiK có thể cung cấp hỗ trợ giải pháp cho các doanh nghiệp áp dụng blockchain ở mọi giai đoạn phát triển, bao gồm cả các doanh nghiệp có nhu cầu quản lý dữ liệu cá nhân và nhạy cảm. Các dịch vụ được cung cấp bao gồm:

  • Phân tích cơ sở hạ tầng và thiết kế dữ liệu hoặc môi trường hiện có để xác định các khung pháp lý áp dụng;
  • Đánh giá cơ sở hạ tầng và thiết kế dữ liệu hoặc môi trường hiện có để xác định các rủi ro về công nghệ thông tin và truyền thông (ICT) và tuân thủ;
  • Đề xuất các biện pháp khắc phục rủi ro ICT và tuân thủ;
  • Xác định các giải pháp phù hợp để tối đa hóa lợi ích của công nghệ blockchain trong khi vẫn duy trì tính tuân thủ.

[1] GDPR: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:02016R0679-20160504

[2] CCPA/CPRA: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5

[3] PIPL: http://en.npc.gov.cn.cdurl.cn/2021-12/29/c_694559.htm

[4] HIPAA: https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/combined-regulation-text/index.html

[5] e-Health: https://e-estonia.com/solutions/e-health/e-health-records/

[6] Medicalchain: https://medicalchain.com/en/whitepaper/

[7] Privado ID: https://www.privado.id/

Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan