区块链与GDPR的冲突与协调

区块链的核心技术是一种数据库技术，可以实现数据存储和处理的彻底分散化。区块链暗示了一种难以用GDPR规则解释的环境和操作模式。在这种环境下，GDPR的合规将面临着巨大的技术性挑战。

GDPR是一场自上而下的政策监管革命，而区块链和去中心化工具是一场自下而上的技术革命。这两者的冲突应该如何解决呢？

欧盟区块链观察站和论坛于2018年10月16日出版了一份有关《区块链与GDPR》的专题报告（以下简称为“报告”）。这个论坛会考虑欧洲委员会的优先事项，基于工作组和利益相关方的共同努力，就广泛重要的区块链主题做出分析和报告。虽然这份报告并不代表欧洲委员会的正式意见，但它反应了欧洲有关区块链与GDPR关系如何协调共存的最新研究成果。本文将对报告进行概要介绍，与大家共享这一成果。

报告表明，由于区块链的创新性革命，欧洲的监管机构和监管者已经接受了这项新技术，并且在多个场合表示，尽管他们的目标是保护个人权利，但他们并没有意图去阻止区块链。

GDPR的合规并不是关于技术，而是关于技术如何被使用。就像没有遵守GDPR的互联网，没有遵守GDPR的人工智能，也没有遵守GDPR的区块链技术，只有遵守GDPR的使用案例和应用。

因此，理解区块链和GDPR之间的相互作用应该在个案的基础上，分析个人资料的出现地点、如何处理及由谁负责处理。

私有的、经过许可的区块链

（Private, Permissioned Blockchain）

报告注意到私有的经过许可的区块链网络中有更多的GDPR合规需求，因为这些规则比在公共的无许可的区块链网络中更容易和简单地被应用。私有的经过许可的区块链网络能够定义其参与者的角色和信息流，通过确保所有网络参与者都遵守统一条款和条件，它们可以强制执行严格的数据处理规则。

当一个区块链应用程序涉及到个人数据，并且可以部署在一个私有的、经过许可的区块链上时，坚持一个私有的、经过许可的网络，符合GDPR的“设计隐私”要求，当然是有意义的。然而，它们也面临着挑战：仅仅因为联盟成员受到合同条款和条件的约束，并不意味着他们都有一个合法的理由去查看每个主体的数据。

公共的、经过许可的区块链

（Public, Permissioned Blockchain）

公开的、经过许可的区块链网络已经存在，并且在可预见的未来继续存在。目前估计它们占据了所有区块链应用程序开发者和交易的80%。如果类比内部网/互联网，这种区块链有潜力成为粘合剂，使世界上的私有区块链网络可以交互操作。

基于这个原因，接下来的分析中有很大一部分关注的是GDPR和这种公共的经过许可的区块链（也是比特币所引入的区块链网络）之间的相互作用。

公共的、无需许可的区块链

（Public, Permissionless Blockchain）

公开的、无需许可的区块链因为他们的分布式特性，成为GDPR合规最大的挑战。

原则上，GDPR的目标和区块链的技术是不矛盾的。大部分GDPR的要求都能在大部分的区块链应用上适用。例如，许多基于区块链的应用程序都是由一个已识别的实体或者是实体的联合体操作的。他们代表他们的用户在区块链的分类账上发布数据，在这种情况下，识别谁操作应用程序谁就是数据控制者，他必须遵守GDPR规定的数据控制者的义务。

然而，对于企业家和技术专家在区块链领域开发创新应用时提出的所有问题，GDPR都没有给出明确的答案，区块链和GDPR的紧张关系主要存在在以下三个问题中：

问责制和角色：谁是数据控制者？

多数情况下数据控制者和数据处理者是可以识别的，他们可以遵守各自的义务，但也有一些情况确定数据控制者是困难的，甚至是不可能的。特别是当区块链交易是由数据主体自己写入的时候。

私有的，经过许可的区块链项目很容易判断谁能决定数据处理的目的和手段。按照法国CNIL区块链协会的建议，应尽快在项目中识别控制者或共同控制者。

在公共的无需许可的区块链项目中（其项目的思路是基于通过共享协议对数据进行集体处理的程序模型来取代传统的用户到提供者的模型），识别数据控制者就没那么简单了，这也是争论的焦点所在。虽然没有定论，但就谁是数据控制者这一问题，区块链社区已经形成了一些普遍且达成共识的观点：

❖ 创建和维护开元区块链技术的协议开发人员？

他们不应该被认为是数据控制者，因为他们只是创造了一个有用的工具，并没有指导如何使用工具。

❖ 在计算机上运行区块链协议的参与者？

作为公共的无需许可的区块链项目的验证节点或者参与节点，也不应该被视为数据控制者。但在特殊情况下，这个节点有积极的行为，确实决定数据处理目的和手段时，其是否是数据控制者是有争议的。

❖ 通过节点向区块链网络签名和提交交易的网络用户

这需要看提交的内容，如果个人数据作为业务活动的一部分提交给分帐簿，他们很可能被视为数据控制者。如果他们提交的个人数据是供自己使用的，例如购买或出售加密资产，这可能属于GDPR的家庭豁免情形，不应该被视为数据控制者。

❖ 智能合约的发布者？

由于智能合约将被视为是区块链网络上的部件或软件，一旦部署就可以使用，且可能独立于发布者执行，因此智能合约的发布者是否是数据控制者是有争议的，需要根据个案讨论决定。

个人信息的匿名化

GDPR的要求并不适用于匿名化数据。从匿名的形式重新还原原始数据是不可能的，任何不符合这个标准的技术都被认为是假名的，而不是匿名的。而假名化数据仍需要接受GDPR的义务。

鉴于区块链网络数据的不变性，区块链社群一直认为，在共享分类帐上不能以未加密的方式存储个人数据。目前应用程序开发人员可以使用数据混淆，加密和集合技术，将个人数据转换为数字签名，这些数字签名以密码的形式与原始数据链接而实际上并不显示原始数据。对于如何将个人数据匿名化到可以将结果存储在区块链中的程度，目前还存在着激烈的争论没有达成共识。举例而言，数据结构哈希表在很多情况下不被认为是一种匿名技术。但在一些情况下，使用哈希技术将链下存储的数据生成独一无二的数字签名，在区块链上也是可以想象的。

在实际操作中，考虑使用什么样的技术处理个人数据时，必须详细评估两个风险：

1）反转风险，即逆转并重新构造原始数据的风险，例如强力解密；

2）可连接风险，或通过检查使用的模式，或上下文，或与其他信息比较，将加密数据链接到个人数据的风险。

在区块链的生态系统，更多更高级的加密技术正在被讨论，也在不断的发展，我们可以预期今天使用的技术未来可能被破解。

区块链与GDPR的权利和义务

区块链的应用目的和GDPR的数据保护原则及个人数据主体的权利之间也存在着紧张关系。比如：

1）数据合法使用原则。在不可能识别数据控制者的区块链应用场景，如何判断个人数据的合法授权基础？

2）数据最小化原则以及个人数据主体的删除、纠正权利。如果个人数据被记录在区块链网络中，可能很难被纠正或删除。在区块链的背景下，什么情况下数据可以被视为已经删除了？

3）个人数据主体的访问权。如果没有可识别的数据控制者，个人数据主体访问权应当向谁主张？

4）自动化处理。GDPR下数据主体有权被告知自动化处理，并可以对此类自动化处理行使某些权利。区块链正是大力推崇智能合约的自动化潜力，如何来按照GDPR的要求规范智能合约？而当智能合约不得不引进人为干预措施时，交易参与者对智能合约的信任就会大大降低。

5）领域问题。不言而喻，GDPR虽然促进了欧盟数据的自由流通，但对数据出境（欧盟之外）设置了很多条件，而区块链是全球化的。

6）默认设计保护。GDPR规定数据保护应该是嵌入到平台的，而区块链技术并不成熟，经常由开源社区开发。有关个人数据保护的构建会存在改进空间。

很明显，目前这些问题欧洲数据保护委员会或者欧盟法院都没有给出结论性的解决方案。报告认为，最重要的是监管者需要花时间深入了解区块链技术的每一个用例，以及GDPR的各种解释对欧洲区块链生态系统的影响。

同时，报告提出了企业家和创新者应当首先考虑的四个重要原则：

1. 从大局出发思考如何创造用户价值，如何使用数据：您真的需要区块链吗？

2. 避免在区块链上存储个人数据。充分利用数据混淆、加密和聚合技术，实现数据匿名化；

3. 在链外收集个人数据。如果必须使用区块链，在私有的有许可的区块链网络上使用。当链接私有区块链到共有区块链时要仔细考虑个人数据。

4. 继续创新，尽可能与用户之间保持清晰和透明。

区块链是一个有着无限发展潜力的领域。就如何让区块链应用的开发者在遵守GDPR方面更容易，已经有了很多有价值的研究和开发成果。更让人兴奋的是，已经有越来越多的项目在探索如何使用区块链技术来支持GDPR了。

译文整理：史蕾

往期好文回顾

从比特大陆上市看加密货币产业的全球监管

以链治链：杨东评全球首部区块链技术监管法规-网信办区块链信息服务管理规定

“刷单炒信”的全方位法律解读

电商平台“公示”义务有几多？

可穿戴+健康医疗：玩转大数据不可不知的合规要点

从华住酒店事件看，企业如何应对数据泄露?

香港联交所“有关互联网科技行业申请人指引”规定了啥？

关注和分享，总有一个在路上~