隨著區塊鏈這個名詞獲得全球注目,許多企業試圖在原先的商業模式導入區塊鏈技術,希望能節省成本或是創造價值,目前在跨國交易、商品溯源、貿易金融、保險理賠等等領域都可以看見區塊鏈系統平台陸續推出,力推數據導向的解決方案。

長遠來看,區塊鏈能夠推動數位轉型,利用共同資料庫替企業將保存、維護與驗證數據,但數據在網路時代是相當敏感的隱私資產,在解決問題的同時也不能忽略法規對於數據安全的防護。

為了進一步釐清企業導入區塊鏈可能面臨的挑戰,「2020 區塊鏈應用法律高峰論壇」本次邀請資策會副執行長蕭博仁擔任主持人、與談嘉賓包含資策會科法所價值拓展中心主任廖淑君、資策會科法所數位創新中心副主任宋佩珊、國立政治大學金融科技研究中心副主任陳恭、新光人壽法遵長高全國與區塊科技執行長黃敬博,針對企業採導入區塊鏈技術所面對的風險與挑戰進行專業剖析。

廖淑君:法律未必跟得上創新,建議行業自律管理

講堂開頭由資策會主任廖淑君簡報,她表示企業在區塊鏈數位轉型的過程當中,由於區塊鏈分散式的特性,在治理與維護上會面臨許多挑戰與風險,但最終目的都是確保資安、公平透明與數位管理。

她認為區塊鏈系統很重要的一點是要建立問責機制,假設是聯盟鏈治理,開發平台時要確認各節點的責任與義務以因應未來營運變化,其中有許多要審慎規劃的風險流程,特別是金融業必須管理法律風險,但法律不一定跟得上創新,她建議主管機關敦促企業採用自律方式進行管理,鼓勵企業盡量去創新。

資策會副執行長蕭博仁更表示金管會的金融科技是由資策會負責,期待能透過法規監理門診協助新創往多元方向發展,實現更具創新的商業模式。

當談到區塊鏈在企業中的應用,新光人壽高全國法遵長分享了 「理賠聯盟鏈」的案例,今年七月主管機關已經同意由 11 家保險公司以區塊鏈技術為基礎提供保險理賠服務,預計今年底就可以上線,將可確保消費者的保單資訊在共享資料庫中維持在最新狀態,保險公司將可迅速獲得保戶的最新且正確的理賠資訊,讓理賠流程變得更簡單。

高全國:資安意識抬頭,法規風險不容忽視

也就是說,只要消費者發生理賠就會將資訊同步到區塊鏈資料庫中,由各家保險公司共同維護與更新資訊,保護可在一家申請保單,同時享受多家服務。

他還點出台灣人愛買保單,平均每人擁有 3.3 張保單,遠高於其他國家平均值 2.2 張保單,除了理賠區塊鏈,新光人壽未來還會推行電子保單,他們也在尋找其他可應用區塊鏈的商品,像是外溢保單、核保過程結合電子病例以避免詐保等等,都可以讓保險公司的理賠更加迅速,還能藉由數據分析提升保費精確度。

同時他也提到資安越來越重要,法規風險更不能忽視,他也建議主管機關能夠敦促業者組合公會以自律的方式來管理,讓民間業者自行管理。

政治大學金融科技研究中心副主任陳恭將區塊鏈定義成不斷演進的制度型技術,面對新的科技大家一定會對資安有疑慮,應用區塊鏈系統也有許多考量面向,他以電子病例為例,它需要儲存大量的影像資料,且有法律規範其個人隱私,並不適合上鏈,從程序上考量,病人的個資必須要由本人授權存取,而且必須通知儲存資料的院所才能取用資料。

但區塊鏈還是可以扮演關鍵的角色,例如他建議可開放部分非重要醫療資料給保險公司以快速獲得理賠,這時區塊鏈的不可竄改特性就能確保資料正確性而且資料是由本人授權分享,可減少大量的時間與作業成本。

企業想導入區塊鏈?陳恭:聯盟鏈治理是必學課題

回到主題,如果企業想要導入區塊鏈,他建議企業在應用區塊鏈時應考量三個層次,分別是區塊鏈平台、鏈上智能合約與鏈外系統整合。

他進一步陳述企業應用區塊鏈資訊的要點,像是哪些資料要上鏈、參與者有哪些、他們的資料權限有哪一些、智能合約要取代哪些業務邏輯、業務的可稽核性(課責)、最後是選擇區塊鏈平台,要尋找適合自身應用的平台特性,還有考量未來的升級與轉換成本。

不可否認,區塊鏈技術大多在企業應用中都是處理 B2B 的問題,雖然技術本質是去中心化,但治理者還是要處理參與者之間的利益問題,因此聯盟鏈的治理是未來需要學習的問題,不只是導入區塊鏈系統那麼單純。

駭客手段防不勝防?區塊科技有解方!

從資安實務面來看,區塊科技執行長黃敬博表示駭客的動機相當單純,首先是當資訊資產的價值夠大的時候,駭客就有動機犯罪,例如近年來許多加密貨幣交易所遭到駭客入侵盜走鉅額資產,但他們出事不是因為區塊鏈被破解,事實上區塊鏈本身是安全的,但駭客偷的是金鑰,有金鑰就有權移動資產。

另一個常見駭客標的是個人資料,理由是駭客可以藉由勒索贖金來獲利,威脅被害企業如果不付錢就要將重要的客戶或機密資料外流,撇除上面兩個標的,駭客還常常透過 DDOS 攻擊來癱瘓網路,迫使企業的營運停擺,威脅企業交出贖金。

為了維護資料的安全與防偽性,區塊科技推出 e-attestor 來協助資料安全與防偽,企業可以使用該服務資料上鏈防偽,平台就會寄出數位存證信函給企業存證,並把金鑰還給使用者,金鑰由使用者保管,藉此保護資料安全。

除了資料安全,企業應用區塊鏈技術還要考量整個區塊鏈網路的個別節點安全,現在大多數企業平台的節點數量都不多,一旦過半節點被攻破,也可能連帶影響到區塊鏈網路的安全,在因此在設計上必須考慮各節點的安全性與適用性,他也提醒一些值得注意的小細節,像是撰寫區塊鏈程式時要記得寫入 log ,導致無法追溯區塊鏈的資料來源,造成後面驗證資料的困難。

當區塊鏈碰上個資法,企業該如何落實資料管控?

綜合前面的討論,資策會科法所數位創新中心副主任宋佩珊提到個人資料安全是較少被討論的話題,她以 GDPR 為例,說明台灣個資法中的個資跟 GDPR 的處理手法不同,前者只分公務與非公務機關,後者則要求辨別資料處理者與控制者,規範兩者之間相應的間的權利義務,像是個人有權利要求資料控制者刪除自身在平台上的個人數據,這點在區塊鏈上就會遇到很大的挑戰。

假設區塊鏈要適用於 GDPR ,節點必須配合法規刪除個人資料,但若要刪除資料,各節點必須要聽話才能成功刪除,困難之處在於由於區塊鏈每個人都是控制者,無法強力要求控制者刪除資料,未來區塊鏈在 GDPR 遵循上將衍生不少問題與挑戰,企業應用與法規上仍然需要調和與轉變。


熱門市場動態與新聞傳送門:

區塊客致力於發掘和整理各種與區塊鏈技術有關的內容,只要與區塊鏈或區塊客網站有關的合作和/或建議,我們都非常歡迎。請您發電郵至 [email protected] 與我們聯繫。

Avatar

區塊客