區塊鏈技術在供應鏈方面的優越性為各界認可，但實踐中往往問題重重，例如稅務考量、數據保護、GDPR（歐盟《一般數據保護條例》）合規問題等。此次，新冠病毒引發經濟危機，這不僅大幅減弱全球消費者的需求，還暴露了現有供應鏈的致命缺陷。為應對這一情況，近日，世界經濟論壇（WEF）發布了“重塑信任：區塊鏈部署工具包（Redesigning Trust: Blockchain Deployment Toolkit）”，旨在介紹如何在分布式賬本上打造更強健的供應鏈。

疫情無疑將加速供應鏈“上鏈”的進程。WEF這份長達244頁的指南分為14個模塊，包括清單、主要問題、解釋以及針對稅務問題和數據隱私性的風險評估，聯盟的生態系統和治理，公有鏈和私有鏈，網絡安全，互操作性（interoperability），數字身份等。

該論壇區塊鏈和數字貨幣負責人兼工具包主要作者之一納迪亞·赫威特（Nadia Hewett）近期在接受第一財經和第一財經研究院專訪時表示，早在一年以前，工具包就已經在開發中，這次疫情加快了工具包的發布。為了提高監管機構的“靈敏度”，這個工具包匯編了80家公司、40個用例和20個政府在如何將區塊鏈技術應用到供應鏈這一問題上的經驗，同時也總結了各界在應用區塊鏈實踐時遇到的問題，例如稅務考量、數據保護、GDPR合規問題等。

疫情加速區塊鏈實踐

WEF區塊鏈工具包是為區塊鏈實際從業者所設計的一系列指南，包括：正在應用區塊鏈技術的企業、區塊鏈技術和咨詢公司、區塊鏈項目的負責人和實施者等具備一定區塊鏈知識且有實際操作經驗的人或個體。使用者將自己的項目套用WEF區塊鏈工具包的14個模塊，挨個檢查，總結經驗和查缺補漏。目前區塊鏈技術和應用還未有形成知識體系和架構，像WEF這樣的區塊鏈工具包，從實際應用出發供從業者做系統的“完備性”檢查之用途。需要注意的是，該工具包並不適合沒有區塊鏈經驗和知識的“入門級”用戶。

WEF區塊鏈工具包中的14個模塊就是區塊鏈系統設計的14個標准化測試。開發者需要為自己所設計的項目，去考慮和測試這14個重要問題。從業者把自己的項目，根據模塊的設定，測試自己的項目並尋找項目設計中遺漏的重要事項。每個模塊中的精華部分是模塊內的若干小問題，供從業者自查。從業者在嘗試回答的過程中，發現遺漏的問題並作出修正。

該工具包並沒有要求從業者能完全或完美的回答所有問題或者檢查所有的模塊，從業者根據自己的經驗來選擇模塊。如遇到無法回答的內容，根據項目的實際情況做出忽略或者深入探討的選擇。WEF區塊鏈的模塊和問題設置廣泛、全面和嚴格，是區塊鏈項目一套很好的試金石。幾乎所有的區塊鏈項目都會遇到這份工具包所涵蓋的問題和挑戰，因此該工具包對完善區塊鏈項目有相當強的指導意義。

新冠病毒從多個方面重塑了全球貿易，其長期影響要在幾個月或更長時間后才會充分顯現。WEF認為，區塊鏈既能解決各經濟體停擺所導致的供應鏈停滯問題，又能解決供應鏈整體抗風險的能力。

盡管區塊鏈並非靈丹妙藥，它並不能解決所有問題，“但是它絕對有助於解決這次新冠疫情引發的典型問題，”赫威特說，例如，區塊鏈有助於解決醫療設備的溯源問題，追蹤小規模訂單，甚至幫助醫療中心解決“假口罩”問題。這一問題可通過區塊鏈所具備的點對點不可篡改性得到解決。

“在供應鏈管理中，我們需要確保和值得信任的供應商來做生意。在疫情下，企業很可能會不斷和新的供應商展開業務合作，例如當沒有口罩、呼吸機時，就需要和新的供應商合作，在這種情況下，如何確保供應商是可信的則成了關鍵問題。”赫威特稱。

對於應用區塊鏈的企業而言，如何提高互操作性、完整性和包容性是至關重要的，而疫情加速了企業改進的步伐和意願。為確保這個工具包能提供最有用的建議，WEF與私營公司和政府實體展開了合作，這個工具包“包含了很多容易被技術人員或企業領導人忽略的主題”，並吸取了他人的經驗教訓。例如，創業公司通常到后期階段才會意識到區塊鏈部署的稅務問題，因此，這個工具包有完整的一節闡述了稅務方面的注意事項。

工具包的目標群體包含了所有私營部門、政府組織、學術機構等，旨在引導他們能夠設計自己的區塊鏈路線圖，“更重要的是讓每個參與者知道自己處於整個鏈條的哪一部分，也有一些企業向我們反饋，在應用區塊鏈時，往往容易忽略一些重要細節，例如企業聘請咨詢機構、花費很多財力在技術上，但卻往往忽略了很多非功能性、非技術的細節，事實上技術並非最難的部分，‘人’才是最難的，因此我們有一些模塊專門涉及了治理、生態等等，這些是很重要的部分。”她表示。

赫威特說，這份公共文檔匯聚了前人在區塊鏈部署方面寶貴的經驗教訓，幫助中小型企業擺脫過時的營銷故事，真正掌握讓區塊鏈實現的具體方法。同時，WEF也希望將這個工具包交給那些信息不足的國家和地區，幫助它們解決眼下的供應鏈危機，希望中小型企業能重煥生機。

據悉，德勤將以WEF的這一工作包作為公司內部的區塊鏈實踐的黃金標准，並將在團隊間進行很多跨職能培訓。

如何確保數據安全

在採納區塊鏈技術的過程中，對數據的失控風險是很多供應鏈組織面臨的主要障礙。如何在向被許可、信任的結點共享數據信息時，又同時對鏈上的其他節點實現保密性，如何做到上鏈數據的完整性等等，這都是值得探討的方面。

“即使在區塊鏈生態系統中，數據保護也是必須的，不是所有數據都能被共享。”WEF數字交易與跨境數據流通項目負責人Ziyang Fan告訴記者。

工具包專門設置了數據保護模塊，其中提及，在為區塊鏈網絡構建數據保護結構時，有兩個基本問題需要回答：供應鏈參與方需要訪問哪些信息？系統外部的那些人應該有權訪問什麼信息？

首先，保密性（confidentiality）是非常重要的。供應鏈的交易並不能對區塊鏈網絡的所有參與者都保持透明，仍需對部分信息維持保密性要求。換言之，供應鏈參與各方之間的交易信息可能需要被記錄在區塊鏈上，但也需要將信息對彼此保密。

例如，工具包提及了涉及數據保密性的案例。電子合同制造商（CM）為其買方，即大型電子原始設備制造商（OEM），提供供應商管理的庫存服務。CM現在希望獲得區塊鏈上的供應鏈融資，這將需要CM向OEM披露其當前的一些融資成本，而不披露其他運營成本，如存儲和保險。融資提供方希望了解上述所有信息，並願意為這種可見性提供更有競爭力的融資。因此，CM需要能夠在安全、一對多的基礎上與任何對手共享信息——這是區塊鏈的一個很好的案例。目前還沒有傳統解決方案能切實滿足CM的需求提供。

商業優勢也是需要考量的問題。例如，有一些組織方希望能夠將供應鏈數據運用在預測和規劃中。然而，與此同時，供應鏈的參與方自然會拒絕提供所需的原始數據，原因有很多。例如，對方無法對提供的信息給予足夠的補償，信息也可能暴露業務的戰略敏感信息，或者原始數據可能與其他信息交叉引用，從而產生可被競爭對手使用的見解。例如，在預測需求時，買家會有動力去抬高預期需求以確保供貨充足，或希望靠量大來獲得折扣。但可能供應商也預計到了這一點，就可能會減產和調整其報告的庫存，來試圖創造稀缺性。這種貓捉老鼠的游戲導致了供應鏈效率低下。區塊鏈解決方案可以讓供應商和買家採取更協作的方式，更真實地報告數據，而不會完全放棄控制權或損害競爭優勢。

目前，針對數據保護有很多技術解決方案。例如鏈上、鏈下哈希配置（對數據進行加密的基礎保護），基於角色的准入控制（Role-based access contol，RBAC，可根據特定參與方的身份，對數據進行選擇性的混淆處理），零知識証明（ZKP，允許使用者証明他們對於一項價值的認知，但同時可以不暴露該價值本身），同態加密（這一技術能使得數據在鏈上共享前就已被加密，因此無需后續解密也能進行數據分析）。

為了使各界更容易理解上述問題，WEF工具包還提供了一家制造業集團的實踐案例。

有一家大型的重型制造公司夸大了對其塑料供應商A的預測，以此來應對潛在的緊急訂單。供應商A在積累了多年的過剩庫存后也已經意識到了問題所在，因為制造企業最終的採購量根本沒有達到預期的水平。有一年，供應商A決定大幅削減從其供應商B採購的樹脂，供應商B是制造公司的二級供應商。由於供應商A削減太多，這導致其無法滿足該制造公司當年的需求。

為了避免供應中斷，制造公司希望更頻繁地訪問關於塑料供應商A、甚至樹脂供應商B的庫存和生產率數據。供應商A則希望盡可能多地了解制造公司的庫存水平、消費率和需求預測。考慮到這將影響定價和談判籌碼，各方都沒有任何動機去相互分享信息。因此，問題就產生了，這時如何用技術去解決問題？

工具包提及，如果制造公司知道供應商B向供應商A交付樹脂的實時時間表，以及供應商A向企業交付塑料的時間表，制造公司就可對計劃進行改善。但可能此時供應商B還沒有准備好共享其他信息，所以物流信息進入了區塊鏈，而其他數據仍在鏈下。

另一種解決方案可能是，所有各方都願意將即時（JIT）庫存數據放在區塊鏈上，但前提是它們的直接對手方有權訪問這些信息。此外，為了執行數據的智能合約或算法，交易對手可能具有訪問權，但交易對手可能看不到底層數據本身。使用加密和密鑰管理是解決方案之一。這種本地方法經過了詳細的檢視，並具備良好的成熟度﹔此外，在區塊鏈上使用基於角色的訪問控制（RBAC），各方就能夠完成此任務。然后，他們就可以利用經模糊處理但仍可用於分析的數據進行協作規劃。使用這兩種技術，就可使敏感數據在並非完全加密的情況下被隱藏。

如果公司對RBAC和密鑰管理不滿意，但仍希望使用加密技術，那麼就必須使用更復雜的方法。如果制造公司想要控制供應商A的樹脂庫存水平，那麼當樹脂庫存低於5000升時，制造公司就會要求塑料供應商訂購更多的樹脂。零知識証明可以向制造公司証明供應商A的確達到了這一庫存水平，而不需要透露塑料供應商還剩下多少樹脂。此外，完全同態加密允許所有各方將其數據放在區塊鏈上，對其進行加密，並在加密的數據上運行任何計劃算法。

零知識証明和完全同態加密存在的一個缺點在於，其將納入復雜的軟件需要更高的工程成熟度，而這些技術也可能會消耗更多算力。若希望系統處理大量數據，這可能會成為瓶頸。WEF認為這都是需要考慮到的現實問題。

如何建立GDPR合規的區塊鏈？

另一個關鍵問題在於區塊鏈的GDPR合規問題，即如何使用區塊鏈進行GDPR的數據隱私保護。歐盟法律GDPR於2018年生效，旨在讓個人對自己的個人數據有更多的控制權——個人數據是指與已識別或可識別自然人相關的數據。而這也對區塊鏈網絡在歐盟內外的新合規義務提出了質疑。

在將區塊鏈技術應用在供應鏈時，個人數據保護的合規要求很可能會使得各方打退堂鼓，因為不合規成本太高了。此外，GDPR等監管要求在制定時也很少考慮到區塊鏈的存在，因此並不會考慮和區塊鏈相關的特定情況。為了解決這個問題，工具包中特別有一個模塊聚焦歐盟GDPR下的數據保護和隱私義務。

工具包提及，如果沒有一個中心化的服務提供者，例如在區塊鏈網絡中，究竟誰負責監督個人資料的處理，或在違反義務時支付罰款？如果區塊鏈記錄的數據是不變的，那麼如果數據不能被擦除，擦除義務又意味著什麼？盡管這些考量不應成為啟動一個新區塊鏈項目的障礙，但WEF認為它們應該盡早得到解決——甚至在某些情況下，由非歐盟的供應鏈組織來解決。

當然，如何合規，對不同的應用有些不同，比如私有鏈和聯盟鏈，本身有實體作為管理者，那麼合規和責任比較明晰，必然要考慮合規事項。對於公有鏈而言，問題就比較復雜，因為本身代碼開源，大家基於共識來維護系統的運行，沒有一個確定的主體對系統負全責，也沒有人能夠完全說了算。那麼合規的檢查和處罰就變得非常困難。但這並不是說區塊鏈應用和公鏈的開發者們就可以對數據和隱私的保護規定視而不見。恰恰相反，主流觀點仍然認為，區塊鏈的從業者應該主動遵循規則，盡量合規，得到政府和社會的支持，區塊鏈行業才能更好地、更順利地發展。

此外，許多非歐盟實體錯誤地認為，GDPR不適用於它們的解決方案。對於非歐盟的供應鏈參與方來說，重要的是要考慮到，在特定情況下，他們可能仍受制於GDPR的要求。鑒於對違規行為的巨額罰款，以及GDPR要求從頭開始考慮數據保護的影響（即“設計隱私”的概念），WEF強烈建議對該模塊進行研究並尋求專業的法律建議。此外，應該根據專業法律意見來確定是否應考慮到任何其他國家的數據保護立法，包括關於國際數據轉讓的立法。

在眾多挑戰中，以數據可擦除權利的挑戰為例，GDPR第17條要求公司或相關實體必須實現數據的擦除功能。這樣在用戶要求或用戶數據不再需要的情況下可以清除用戶數據。為了遵守這一要求，需要實現物理和邏輯的刪除以確保安全。但區塊鏈的不可篡改和永久保存與此是相悖的。

WEF認為，為了在區塊鏈部署中實現GDPR合規，最常見的兩種方法是，將重要個人信息儲存在鏈下、在鏈上採用哈希以及基於角色的訪問控制，這是最常用的兩種方法。還有一個並不常見的方法，可編輯的區塊鏈允許私有區塊鏈管理員刪除和編輯不正確或過時的信息，從而允許尊重數據主體的權利，只是這種權衡犧牲了區塊鏈不變的特性。其他解決方案允許通過加密刪除，即區塊鏈管理員通過增加訪問權限，來使某些數據不可訪問。

WEF提及，若要建立一個符合GDPR合規要求的解決方案有四項原則，分別是：當在收集和處理個人數據時，用私人許可鏈﹔如果可以的話，避免存儲個人信息在區塊鏈上﹔建立更為細節的治理框架，例如：充分保護個人信息﹔數據控制方需要為個體提供保護個人數據權利等﹔使用創新解決方案來應對數據保護問題。例如，區塊鏈數據不可逆、不可變的特性，這一屬性與GDPR下的數據權利明顯相悖，可用高級不可逆加密來作為一種刪除方式，可能會與GDPR精神相契。

“雖然有充分的理由証明不可逆加密足以滿足GDPR的要求，但監管機構在這方面的明確指導是必要的。監管機構在這一領域面臨的主要挑戰之一是如何平衡立法和技術進步之間的關系，因為毫無疑問，技術的發展速度是立法者難以跟上的。”工具包提及。

“可互操作性才是最關鍵的，這些問題從來不是非黑即白的，我認為應該根據風險級別來對數據進行分類（risk-based category），例如個人信息、財務情況等是敏感信息，另一些例如生產量等則是一般數據，監管方應該以一個更加細致的方式來對待這一問題。”Ziyang Fan對記者表示。（作者周艾琳系第一財經記者，楊揚系第一財經研究院特約研究員）

分享讓更多人看到