當區塊鏈遇上GDPR|數位時代 BusinessNext

2012年起，歐盟針對新興科技提出資料保護草案，避免個資被企業濫用，規定凡在歐盟境內的成員國都須遵循規範以保障公民隱私，一但違法，罰款可高達2000萬歐元或該企業全球年營收的4%，兩者取最高金額，該法案稱為一般資料保護規範(The European General Data Protection Regulation)，下文將以GDPR進行代稱。

什麼是GDPR？

GDPR於2016年5月24日生效，但法定有2年過渡期，將自2018年5月25日起開始施行。因此，只要企業經營面對的對象是全球市場，都有可能遇到與歐洲國家生意往來的機會，而必須遵循GDPR。

身為信任機器的區塊鏈，或稱全球分散式帳本，由於節點之間彼此互通互連，資料也以副本的方式存放在每一台機器上，因此GDPR的相關問題，區塊鏈上也會遇到。本文將簡單介紹GDPR對資料的賦權與當責，並討論GDPR與區塊鏈特性之間的關係，以及如何看待在不同類型的區塊鏈上，資料處理者的角色。

還權於民

GDPR強調用戶擁有資料的存取權(Right to Access)，資料的被遺忘權(Right to Be Forgotten)以及資料的遷移權(Right to Data Portability)。為了保護個人資料的使用，資料的擁有者必須掌握誰能存取資料，從哪裡存取資料，而資料又移轉了給誰，而他又能存取哪些資料。簡言之，當企業要使用個資時，必須清楚描述資料的使用範圍，且有義務進行資料保護，而用戶有權要求刪除資料或停止使用其資料，甚至決定是否授權資料共享給其他方。

個人資料

首先來看個人資料的定義，只要資料具備與個人相關或可被辨識為自然人的條件，就需要被保護。與個人相關的資料像是姓名、地址、電子郵件、電話號碼、血型、醫療紀錄等。除此之外，Cookie ID，設備ID、MAC位址等都屬個人可識別資訊(Personally Identifiable Information, PII)。簡言之，任何假名資料(Pseudonymous Data)都屬PII，只有完全匿名(Anonymous)的資料不受此限。那如果將資料進行Hash或加密運算後才寫到鏈上呢？由於資料在寫入時，會與一個帳號或地址產生連結性，故匿名資料仍屬PII。

跟區塊鏈有什麼關係

一：資料的不可變性

區塊鏈天生的特性，使得資料一但上鏈後，資料就成為鏈上所有人無法抹滅的共同記憶，想要修改，只能再追訂資料。而若要符合定義的資料的被遺忘權，資料又該如何被刪除？

二：透明性

區塊鏈上的透明性可從兩個角度來分析

（1）區塊鏈上資料完全透明嗎？不一定
（2）區塊鏈上資料都加密嗎？不是

你到底在說什麼？以下將舉以太坊上的一筆交易來進行說明

區塊鏈上的交易會由所有節點所驗證或看過，這是什麼意思？由於區塊鏈不存在第三方的角色，沒有一個中心的角色對資料進行驗證與比對，乃交由礦工(Miner)或驗證者(Validator)的角色來驗證。因此，為了驗證一筆交易，交易的發送方是否有足夠的金額可以轉送，礦工必須要能夠看到金額的數量，才能確認這筆交易沒有被重複消費過，使得帳本具有透明性。又或者，一筆智能合約的交易，由於交易本身必須符合合約的邏輯與規則，因此礦工知道規則為何，使得與合約相關的利益關係人能夠互信。因此，交易的金額與合約的邏輯對於驗證者角色是具透明性的。

那資料加密的說法又是什麼？交易本身除了能進行轉帳，尚可用於儲存資料，而儲存的資料可選擇明文存放，亦可選擇加密後存放。相當於你到銀行進行匯款，行員只會檢查你的戶頭餘額是否足夠轉帳，至於收據上你要留言什麼給收方看，行員並不在乎，留言可以透明，也可以是你們之間約好的暗號。

故若要符合資料的保護權？黃色備註欄的部分，又或是綠色轉帳金額的部分，該如何設計呢？

上述的部分，係以交易的內容來看資料保護，進階一點再問，如果在合約語言Solidity中，若資料可見範圍宣告為private，但沒加密，資料是否可存取呢？答案是肯定的

之前我們曾談到，資料在區塊鏈中是以副本的方式存放在每一台機器上，因此每台機器上都有相同的資料。從程式的邏輯上，確實合約可以檢查誰可以存取並修改資料；但從資料存放的角度上，只要能夠從硬碟中抓出資料，並且解碼，同樣能夠取出資料，只是沒有權利從系統的角度上去進行修改。

三：去中心化與區塊鏈類型

在談區塊鏈的類型之前，我們先了解資料控制者(Data Controller)或資料處理者(Data Processor)這兩個角色。資料控制者係指擁有資料的個人、組織、或聯合機構，定義資料處理的方式與目的，而資料處理者係指代表資料控制者如何處理資料的行為。

由於在原生的區塊鏈中，沒有中心化的角色，從公鏈 (Public Chain) 的角度上，找不到資料控制者的角色，但若從 DApp 應用的角度上，由於資料操作的邏輯與目的定義均在合約中，因此合約的組織方是為資料控制者，因此有義務針對個人資料進行保護與刪除。

在聯盟鏈(Consortium Chain)上，由於礦工或驗證者是經由聯盟成員所授權，換言之，資料控制者為這些聯盟成員，並且能掌握數量，故資料的保護與刪除，需要由這些聯盟成員共同協作與處理。

四：如何處理？

了解GDPR與區塊鏈應用的關係之後，為了遵循GDPR的規範，需要考慮：

採用的是公鏈還是聯盟鏈？

資料要不要上鏈？

資料上鏈後是否需要做對應的處理？例如加密或是去識別化

如何消除帳號與資料之間的關聯性？斷掉資料與帳號的連結

是否可改變資料流的方式，由個人主動來發起資料的授權與撤銷流程

針對不同資料屬性，亦可採取不同的手段。先去解析，資料是屬統計資料？還是屬於個人資料？如何從效用的角度去保護資料，也同時維護資料的效用度(Utility)？

一些可用的手段：

Zero-Knowledge Proof
Proxy re-encryption
Differential privacy

五：結論

GDPR的施行影響範圍甚廣，為了望眼未來，加上我門公司AMIS提供的業務為BaaS(Blockchain as a Service)，我們將繼續探索如何提供合規的區塊鏈業務。

本文由陳昶吾授權轉載自其Medium。

《數位時代》長期徵稿，針對時事科技議題，需要您的獨特觀點，歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw，文長至少800字，請附上個人100字內簡介，文章若採用將經編輯潤飾，如需改標會與您討論。

（觀點文章呈現多元意見，不代表《數位時代》的立場。）

代理式AI將驅動產業創新變革與升級，對此，研究機構Gartner預測，截至2028年底，33%的企業應用軟體將整合代理式AI功能，至少15%的日常工作決策將改由代理式AI負責，以及三分之一的生成式人工智慧互動將改由行動模型與自主代理完成，同時，加速協作型 AI Agent出現與普及。
面對勢不可擋的AI浪潮，Google Cloud搶先布局市場：不僅提供含括AI優化基礎架構、AI模型、可互通的AI代理等高度整合AI雲端技術堆疊，更攜手CloudMile萬里雲等夥伴協助不同產業客戶發揮代理式AI的綜效。

不可輕忽的五大AI趨勢

隨著雲端與人工智慧等創新科技成為企業創新變革的關鍵基石，想要極大化科技綜效、搶先布局未來，不可輕忽五大AI趨勢：

趨勢一：AI Agent蓬勃發展。

生成式AI已從單純的處理提示（Prompt）轉變成具備模組化、自主化與協作化能力的 AI Agent，Google Cloud 更透過年度旗艦活動介紹超過 600 個 AI Agent 與跨產業應用案例。

Google Cloud 台灣總經理陳愷新表示：「因應用途的不同，Google Cloud 推出客戶代理（Customer Agent）、員工代理（Employee Agent）、創意代理（Creative Agent）、資料代理（Data Agent）、程式碼代理（Code Agent）與資安防護代理（Security Agent）六大類 AI Agent，協助企業提升營運效率、員工生產力、資安防護，進而加速產業創新。」

趨勢二：多模態AI應用普及。

企業開始透過多模態AI整合文字、圖像、音訊與影片等資訊，讓 AI可以模仿人類學習方式，以更精準且自然的方式輸出與互動。

趨勢三：AI驅動輔助搜尋崛起。

透過生成式AI賦能，企業搜尋模式可以跳脫關鍵字，改以多模態輸入與對話提示等方式互動，讓使用者可以快速找到所需資訊並因應權限優化知識搜尋成效。例如，玉山銀行整合 Gemini 模型與內部知識管理系統，短短 3 個月推出「金融業務聊天機器人（金秘書）」，大幅縮短分行人員解決複雜客戶問題的時間，以及減少內部教育訓練負擔。

CloudMile萬里雲創辦人暨董事長劉永信表示：「Enterprise Search 不僅能打破孤島、快速連結Google Workspace、BigQuery、Looker、SAP、Salesforce 等內部系統與資料來源，還可以進一步提高企業內部搜索相關知識的效率。」

趨勢四：AI 輔助顧客體驗優化。

透過AI驅動的全通路個人化行銷，以無縫消費體驗提升零售業營收、效率跟提升客戶忠誠度。例如，CloudMile 萬里雲整合最新 AI 人臉檢測、表情辨識技術、服裝顏色分析與圖像標籤，以及串連 Google Workspace 雲端應用，打造出獨一無二的 AI 旅行推薦體驗服務 AI 魔鏡，消費者只要站在互動裝置前自拍，系統即會依照臉部表情與穿衣風格自動生成個人化旅遊行程與亮點，大幅提升選旅效率與便利性。

趨勢五：以 AI 加強資安防護。

面對AI帶來的嶄新、增強的安全攻擊，如深度偽造（DeepFake）攻擊與攻擊頻率增強等，企業除可以藉由 AI 增強現有安全系統，還可以透過偵測威脅、保護資料、識別潛在風險等方式對抗深度偽造與假訊息等釣魚攻擊。

「AI 與雲端將成為企業營運的關鍵基礎設施、發揮相輔相成的綜效，此外，也有助於企業加速業務創新與發展數位經濟生態圈，進而鞏固企業競爭力。」劉永信認為，透過 Google Agentspace 提供的多代理協作機制，企業不僅可以整合工作流程，還可以進一步優化模組設計與完善安全治理，讓 AI Agent 進入企業日常營運場景，在這個過程中，若進一步結合 A2A 協定（Agent-to-Agent Protocol），AI Agent 將不僅是單一任務執行者，可以相互溝通，型塑嶄新的企業虛擬團隊，讓企業能以更敏捷的人機協作模式回應市場與顧客需求。

3關鍵 X 5指標，助企業加速代理式AI落地與極大化綜效

劉永信表示：「Data Anywhere 是企業發展代理式AI的關鍵基礎，具體實作方式是從資安（Security）、人工智慧（AI）與雲端財務管理（FinOps）三個關鍵面向切入，型塑具備自主強化的『AI 優先』營運模式以優化創新轉型成效。」例如，企業需要一個含括雲端、邊緣、地端的數據同步與治理框架以確保數據即時性、隱私性、合規性與安全性。

除了以 Data Anywhere 為基礎打造的 AI First 營運模式，Google Cloud 建議企業可以從 5 個關鍵指標選擇平台與合作夥伴：第一是平台服務是否含括全面 AI 技術堆疊，讓企業可以因應需求挑選所需的基礎設施、平台、模型與商業應用；第二是提供企業客戶多元選擇，包括選擇自行開發或者是以既有服務進行客製化開發，以及可以彈性選擇平台提供的 AI 模型、第三方 AI 模型與開放原始碼服務等。

第三是確保雲地、新舊系統的互通性，例如，Google Cloud 不僅在 2019 年推出混合雲管理平台 Anthos 服務，更於日前推出 A2A 協定協助企業打通、協作各個 AI 代理，以及推出 Google Agentspace 協助企業集中化管理AI代理與透明化營運成效等。第四是平台是否有支援開放標準與應用程式介面（API）等機制，讓企業客戶可以因應業務發展彈性串聯與擴展應用範疇。第五是確保平台提供的是負責任的AI以及提供與時俱進的安全防護機制，例如 Google Cloud 便積極深化在深度偽造防護（DeepFake Defense）的能量。

展望未來，隨著 AI 的推陳出新與日趨普及，Google Cloud 除會因應市場需求持續優化平台服務，也會攜手 CloudMile 萬里雲針對產業客戶需求提供最佳服務，以產業專屬、軟硬整合的方式發揮智慧化人機協作的綜效，實踐生態圈共贏。