CIO Magazine上的一篇文章提出了一种用于GDPR数据删除的非常规方式,本文将介绍为什么这不是一个好主意……
在详尽地描述了GDPR合规性在2018年大部分时间里的具体情况后,我们想,为什么不从2019年开始,多讨论一下欧盟的《通用数据保护条例》呢?特别是“删除权”,以及这对大多数企业来说意味着什么。
老实说,虽然GDPR的被遗忘或删除的权利在个人隐私方面是一个巨大的胜利,但从商业角度来看,这是一个巨大的痛苦。我很清楚这一点,因为我帮助The SSL Store及其子公司处理过删除请求。我亲眼所见。通常要求删除的人是不太有礼貌的,他们心怀不满,威胁着要打官司。
我想表达的是,尽管这些法令对个人隐私是很好的,但它们对企业是不友好的。因此,许多公司和组织正在积极寻找更好的方法来遵守GDPR所赋予的权利,同时尽量减少他们必须完成的工作。
因此,今天我们来看看GDPR的删除权,是否存在一个加密解决方案,最后我们将讨论为什么这个解决方案可能是个坏主意。
让我们开始吧。
GDPR的删除权
我们先来定义一下GDPR的被遗忘权/删除权,以及企业必须采取什么措施来遵守它。
让我们从术语开始,《GDPR》第17条规定了数据主体的权利,也称“删除权(‘被遗忘权’)”。所以这两者基本上是可以互换的。
第17条,以及第12条和第23条的一些建议,以及第55条和第56条的内容,概述了对企业删除信息的要求,而这是应“数据主体”的要求而发出的。
“只要适用于以下其中一个理由,数据主体有权要求控制者无不当延误地删除有关他或她的个人资料,并且控制者有义务无不当延误地删除个人资料:
这些理由(为了简洁起见,我进行了归纳)是:
- 数据不再必要
- 数据主体撤回了对数据的处理权
- 企业无法充分说明处理数据的理由(合法利益)
- 数据处理非法
- 为遵守法律义务要求删除
- 同意是由未成年人发出的,因此是不恰当的
当数据主体基于这些理由中的一个,要求企业删除其个人数据时,你是没有理由保留它的,你不仅有义务删除它,你还有义务通知你可能与之进行了共享的合作伙伴,让它们也删除它。
显然,这不是对公司时间的有效利用,许多数据主体都没有意识到的是,从任何网站删除数据不是那么简单的,更不用说从在多个地方拥有分部的企业中删除数据了。这些数据都存储在了哪里?哪个数据库有副本?是否有法律或行业标准要求我们保留这些数据?
这并不像打开个人资料然后点击“删除”那么简单。
不幸的是,我们并没有做多少工作来准确定义企业应该如何做来删除数据。在我看来,这是GDPR最大的弱点之一。在努力使GDPR具有普遍适用性的过程中,欧盟未能正确定义其新规定中确实需要一些具体规定的某些方面。这就产生了一些非常有趣的想法,如何以最不具破坏性的方式来做这件事。
不要加密你的数据,然后扔掉钥匙,而不是删除它
在CIO Magazine新西兰版的一篇文章中,一群律师讨论了GDPR删除数据的权利是如何与记录在区块链上的数据的不可变性相抵触的。
现在,我将以这个作为前言:区块链是一项非常有趣的技术,它远没有市场营销和货币加密希望你相信的那么有用。它不是灵丹妙药,也不能解决任何业务问题。大多数经常提到它的人都无法用简洁的方式来向你解释它,从而拯救它们的生命。
撇开这一点不谈,Russell McVeagh(新西兰一家著名的律师事务所)的律师利兹·布莱斯(Liz Blythe)、迈克尔·泰勒(Michael Taylor)、雷切尔·奥布莱恩(Rachel O ‘Brien)和佐伊·西姆斯(Zoe Sims)就一个问题提出了一个相当独特的解决方案:如何在区块链上满足GDPR的删除权的要求?
他们的答案是:加密。
加密储存在区块链上的个人资料,然后再销毁私钥,使其永远不可读,从而有效地“删除”它,这可行吗?目前还没有确定的答案,但有理由相信这将是一个可以接受的解决办法。
他们给出的理由是:(a)如果GDPR阻挠了“区块链的承诺”,这将是具有讽刺意味的;(b)如前所述,GDPR对于个人数据的确切“删除时间”是模糊的;(c)加密的概念在GDPR中已经得到认可。
现在,公平起见,它们还提出了三点谨慎之处,即围绕物流、不同司法管辖区的法律法规以及未来的威胁三个方面。
我赞赏导致这种独特方法的非正统思想。
但这不是一个好主意。
如果像许多西方国家的政客所呼吁的那样,利用后门或密钥托管进行加密是“负责任的加密”,那么对某些东西加密,然后故意删除密钥,使其永远无法解密,可能就是“不负责任的加密”了。
坦率地说,如果你想要寻找一个纯单向过程,那么对数据进行散列可能更好,但加密它肯定不是正确的方法。
原因就在他们最后的“警告”中。
“3. 理论上,只要有足够的时间、精力和处理能力,任何类型的加密都可以被破解。今天被认为安全的东西在将来可能就不安全了。因此,只进行了加密的数据是有风险的,而确定这种风险的性质和程度将是讨论的重要部分。”
这是100%正确的,如果有点低估了的话。大约10年后,当量子计算变得可行时,我们目前的大多数密码系统都将立即受到量子计算的威胁。RSA已经面临着来自各种漏洞的挑战,将其用于密钥生成已经是不明智的了,因此我们必须完全抛弃它只是时间问题。
如果这个想法可行的话,最终需要的将是后量子密码系统。在这方面还有一些工作要做。ISARA等机构都在努力开发后量子或抗量子加密,而且,在与DigiCert的合作过程中,我们已经看到了一些成果,他们正在为物联网设备创建数字证书,而这些证书都拥有标准的加密系统和后量子系统,以确保它们安装在其上的设备能够长久稳定运行。
我们需要考虑一些类似的东西。即便如此,在这些密码系统被破解之前,时间也是有限的。可能永远不会有一个完全不可破解的密码系统,而这本身就是这个建议的致命缺陷。
因为如果有人尝试过这种方法——加密数据以删除它,然后扔掉密钥——他们实际上只是在创建一个数据宝藏,一旦使用的密码系统遭到破坏,就可以对它们进行挖掘。
你不是在真的删除它,你只是“暂时”删除了它。
这并不是监管的真正精神,而且从合规性的角度来看,这也不是一个好主意。尽管这种方法很糟糕,但只是删除数据(或者想出一个无懈可击的不这样做的理由)。不要加密后就把钥匙扔了,否则你只会招来麻烦。
