【投稿】當絕對公開的區塊鏈遇上絕對隱私的 GDPR，企業該如何找到兩者並存的商業模式

【我們為什麼挑選這篇文章】區塊鏈本身具備高透明的特性，然今年年終推出的 GDPR 卻嚴格要求消費者隱私受到保護。當一個把資訊丟到光天化日之下的技術，碰上堅決守護消費者資訊的法律，此類型的商業模式會如何發展？

本文投稿作者陳玉書是趨勢科技的產品經理人，他將從日本天才高中生開發的 App「ONE」的特色切入，談區塊鏈能如何在 GDPR 的限制下發展技術應用。（責任編輯：陳伯安）

作者：趨勢科技產品經理 陳玉書

一款由日本 17 歲天才高中生山內奏人所開發的 App 「ONE」，吸引消費者主動出售購物收據及清單， 引起日本民眾爭相下載並且由於反應太過熱烈而暫停服務，以重新確定商業模式後再出發。

該平台的核心概念，成功地將消費者的隱藏資訊和價值的非對稱性，轉化為消費者自主性的販售行為，並且在行銷包裝上擺脫了個資侵犯的疑慮，這對於以區塊鏈技術所搭建的數位資產及資料交易中心服務，不啻為一個值得研究的個案探討與市場趨勢。

如今個資保護的意識抬頭，使用者常常不自覺地默認社交媒體廣告提供商連結自身的瀏覽內容記錄， 然而在號稱史上最嚴格的個資保護法規 GDPR 於 2018 五月正式上路後，任何軟體平台服務都必須更謹小慎微的檢驗自身取用的消費者資訊以及重新思考其商業應用模式。

GDPR 與區塊鏈技術本質上抵觸沒關係，只要將個資「分類」好就能達到最佳合作

GDPR 規範服務提供商必須確保用戶對資料的存取權（Right to Access）、被遺忘權（Right to Be Forgotten）及遷移權（Right to Data Portability），因此，當一個服務要使用消費者資料時，必須清楚說明資料將用於何處、如何被使用，且有義務進行資料保護，並允許用戶完全刪除資料或停止使用該資料，甚至決定是否授權資料共享。

這三大賦予使用者的權利在表面上看來都與區塊鏈的技術有某程度的隔閡與抵觸，但表面不足以為論，仔細深究 GDPR 對個人資料的定義：只要資料具備個人可識別資訊（Personally Identifiable Information, PII）或可被辨識為自然人的條件，就符合 GDPR 保護傘下規範的個資。

因此個人相關資料如姓名、地址、電子郵件等固不待言，個人所屬電子設備的 Cookie ID、MAC 位址等甚或與個人身份有關聯的假名資料（Pseudonymous Data）亦屬於保護個資。

以前述的 App 「One」為例，使用者的消費發票只要連結上使用者傳送設備的 IP 及地理資訊，也有可能關聯成為 PII 資料，但該服務卻成功而透明的讓使用者自己選擇是否交易其資料引為其他商業用途。

如此說來，在基於區塊鏈技術發展的平台上，我們實不必糾結於技術天性的適切與否，而是每個平台服務商都對本身的商業模式如何引用消費者資料的模式行為做好極細緻的分析與分類：屬於 GDPR 保護的個資則劃分出來回歸消費者掌控；而非 GDPR 規範的個人資料，則在商業模式的引導下成為區塊鏈分散帳本上的紀錄資料。

我們再次回歸以資料為核心價值的商業模式。當軟體必須引用使用者數據如瀏覽搜尋紀錄或軟體安裝清單等，不僅只是公諸於 EULA（End User License Agreement）要求使用者被動的接受，而是徹底翻轉其基礎架構，從平台技術及行銷上構建一個足為資料擁有者信賴而透明的機制與平台，資料擁有者能在完全掌控資料的基礎上，先期在平台上選擇是否開放或販售其資料，其後的軟體服務便能引用所授權或購買的資料進行下一步的商業運用。

區塊鏈應用物聯網，會遇到什麼限制？

以資料為中心運轉的商業模式，正是萬物聯網（IoT）的主要利基與訴求。當連網裝置的數量級由萬至百萬甚至到億等級，既有的雲端架構，所呈現問題將發散在資料傳輸網絡頻寬、雲端運算力、資料備援以及中介單位的被信任程度。相對地，區塊鏈的私鑰地址身份認證、分散式帳本、交易採取的共識機制等技術又不可或免地帶來交易速度限制與私鑰控管等關鍵問題。

那麼在實業的應用上，不管企業所面臨的垂直場域是智慧城市或智慧工廠，堅持地朝向某一方並宣揚其解決問題的能力似乎是極為不智的做法。相對地，審慎剖析應用場域的每個環節，了解企業核心內部獨特的價值能力，採用適切的技術而不套用全部鏈圈或雲端才是趨勢科技的服務平台所要傳遞的價值。

區塊鏈與邊緣運算能如何做好「數位認證」的工作？

IoT 裝置的數位認證 IoT 裝置上鏈的工作重點在於如何進行私鑰管理，從整合至晶片層級的可信賴平台模組（TPM）或 Trusted Zone、採用晶片卡的私鑰管理檔案系統甚至是其分支的冷錢包（Cold Wallet），這些既有的方案可以直接整合至基於區塊鏈技術而打造的管理服務平台。

再者，由於區塊鏈去中心化分散式架構的原生屬性，似乎可以與邊緣運算的應用需求整合開發，然而仍須面對交易速度的囿限以及交易帳本是否須全面同步的問題。在萬物聯網的實用場景裡，我們當然不希望每一個端點間的溝通互控，都必須發起一個區塊鏈的交易到交易池裡等著被共識機制處理運算，尤其在許多的應用情境，端點間的即時處理是達到厘秒乃至微秒的需求。

最後回到資料的數位認證，把資料的控制權從雲端上的中央資料庫拉回資料產生者的手中並且配合市場生態圈的說明和支援，構建一個消除資料擁有者與需求者雙方資訊不對稱的開放平台或端點入口以從根本上消弭個資洩漏的迷思與軟體服務提供商在設計軟體上對消費者資料需求的穿透性與便利性。

區塊鏈能如何應用在產品設計與市場需求上？

再回頭看看 App「One」引以為成功要素的核心思考：「你無用的資訊是我的寶物」。然而，這正好也是最困難的一里路，如何讓使用者擺脫洩露個人資料的疑慮而願意在平台上從事資料的買賣交易。

「One」在推出時，有意無意地讓使用者接受了廢棄的發票也可賺點小錢的念頭，可是並不是每個軟題服務都恰恰踩在這個使用者可以欣然接受的甜蜜點，在區塊鏈的研究發展上，企業面臨了需要權力克服的兩大課題：產品服務或 App 的使用者經驗設計以及消費者是否已經準備好全盤掌控自己的資料並以之為交易。

在產品服務的設計上，我們當然不希望區塊鏈仍然維持原生的雜湊交易位址或種種不那麼使用者友善的介面流程設計；而消費者長期被搜尋、社交媒體、第三方單位持有的資料一下子回歸到消費者手中而引以為交易資產也需要一段時間讓市場消化接受。

下圖我們初步分析了基於這兩大課題四個面向的市場趨勢。多數的鏈圈開發者致力於區塊鏈技術的完備，包括加入智能合約或持續演進共識 機制等，並且已國際大廠的力量策略結盟生態圈各層面的協力廠商；而利基型的產品開發廠商則著眼於產品設計，改善區塊鏈大部分不利於使用者經驗的介面流程設計。