区块链技术是分布式账本技术的一种形式,自2009年比特币诞生以来,该技术就开始崭露头角。随着加密货币资产之外的更多用例的出现,人们越来越担心区块链技术和GDPR之间可能存在一些根本的不兼容性问题。然而,这是一个过于简单化的观点。正如欧盟区块链 Observatory和 Forum在2018年10月发布的报告中所指出的那样,遵守一般数据保护法规(“GDPR”)与技术无关,而是与如何使用技术有关。不存在与GDPR兼容的区块链技术,只有与GDPR 兼容的用例和应用程序。
最近欧洲议会在2019年7月的研究“区块链和一般数据保护条例——分布式账本是否能与欧洲数据保护法保持一致”(“研究”)中指出,GDPR和区块链技术之间存在许多紧张关系,主要原因有两个:
首先,GDPR需要一个可识别的控制器,数据主体可以根据欧盟数据保护法对其行使法律权利。许多区块链的分散化本质,用许多参与者取代了单一参与者。再加上对如何界定(联合)控制权缺乏共识,可能使分配责任和问责制变得困难。
第二,GDPR要求数据可以在必要时修改或删除,以符合法律要求。区块链往往是不可变的,或者至少在单方面修改数据时是很麻烦的,这样做是为了确保数据的完整性和在网络中创建信任。“链上”储存的个人资料不太可能符合资料最小化和用途限制的原则。然而,新的和改进的技术可能有助于解决这个问题,因为这个过程允许在不再需要数据时从区块链中删除数据。最佳实践是将所有个人数据“离线”存储,然后通过哈希值将其链接回分类账。目前还不清楚这个哈希值(无法从分类账中删除)是否构成个人数据。该研究寻求监管指导来回答这个问题。
下面,我们将重点关注研究中关于识别控制器以支持区块链处理个人数据的评论。虽然本研究提到可能会因Fashion ID案例的结果而发生变化(因为本研究发表的是预判),但我们认为,鉴于该判决的发表,其观点不太可能发生变化。
谁或什么是控制器?
管制人是决定处理个人资料的目的及方法的实体,并负责履行根据《个人资料(私隐)规例》所产生的责任。这包括负责保存处理活动的记录,并向资料当事人提供资料,包括其身分及联络资料。正如研究中所强调的,必须就每项处理个人资料的工作,指明有关的控权人。在ID方面,欧洲联盟法院(“CJEU”)再次重申,应该对“财务主任”的概念作出广泛的解释,因为这确保有效和全面地保护数据主体。
联合控制
《GDPR》第26条规定,联合控制是“两个或两个以上的控制器共同决定处理的目的和方法”。 该研究提到了CJEU在Wirtschaftsakademie Schleswig-Holstein的判决,该判决强调了对联合控制权进行广泛解释的重要性,以确保有效和完整地保护数据主体。法院以时髦的方式重申,若干行动者对同一处理的共同责任并不要求他们每一个人都能取得有关的个人资料。法院进一步指出,共同责任的存在并不一定意味着处理个人资料的各经营者的责任相同。在每一种情况下,必须对这些经营者的责任水平进行评估,因为经营者可能涉及个人处理的不同阶段,程度也不同。然而,这种分析的实际情况仍然不确定。
用于区块链应用程序的控制器
研究指出,在评估谁是支持区块链处理个人数据的控制器时,不仅要考虑谁确定该用例中数据处理的目的和手段,而且还要检查给定区块链的治理设计。它进一步指出,对于谁应该被视为支持区块链的处理控制器,几乎没有共识,所提供的注释只是一般性的。每个方案都必须逐案评估。
区块链是分布式数据库,可以由多方操作。因此,许多行动者影响处理方法的决定。正如CJEU最近的判例法所指出的,对任何处理目的的影响可能足以使行为人有资格成为控制器。因此,正如研究中所指出的,在使用区块链技术时,许多不同的实体可能具有控制器的资格。在评估谁有资格成为财务总监时,有许多不同的因素需要考虑。以下是本研究在为区块链应用识别控制器方面考虑的一些一般事项: 应用层-有可能有一个多层区块链,其中包括一个应用层。如果存在这样一个应用层,则决定在应用层处理个人数据的目的的法人实体有可能成为控制器。
私有区块链——在一个私有分布式账本中,通常有一个法律实体来决定个人数据处理的方法,而且通常还决定了个人数据处理的目的。 该法人实体将有资格担任财务主任。然而,其他参与方,如使用分布式账本基础设施的参与方,也可以作为联合控制器。
公开和无许可区块链:
软件发展商-这项研究认为,软件发展商不太可能具备数据管制员的资格,因为他们通常不会影响某项个人资料处理作业的目的,而且在决定处理方法方面的作用有限。
节点——这些计算机存储区块链的完整或部分副本,并参与新块的验证。在这个问题上没有一致的意见,但是一些人认为节点是联合控制器。
矿工-这些实体运行协议,可以添加到区块链和存储在他们的计算机上的共享分类帐副本。虽然他们对处理的方法有很大的控制,但对目的却几乎没有控制,因此,在这项研究看来,他们不太可能有资格成为控制者。这回避了一个问题,即它们是否因此会成为处理器,而这一点的实际意义可能非常重要。然而,这项研究并没有完全涉及这一点。
用户-用户有可能成为个人资料的控制人(即使在某些情况下,他们处理资料是为了自己的目的)。根据《国内生产总值条例》第2条,自然用户可享有家庭豁免,但若使用公众及未经许可的区块链作为个人资料,则不太可能适用。
对于如何解释区块链技术的参与者以保护数据的目的,目前还没有多少共识。特别是在如何识别节点和挖掘器方面,可能有更多的解释空间。但是,正如整个研究中所指出的,每个用例可能与其他用例不同,需要根据其自身的结构和实现进行分析。
未来的发展
这项研究提到了新的和正在进行的技术发展,虽然这些发展仍然不成熟,需要进一步的发展才能使它们对预期的目标有用,但可以帮助解决诸如可伸缩性或改进治理结构等问题,以便在多个行动者之间分配责任。研究中引入的一些技术发展,试图克服GDPR的匿名阈值,使数据超出GDPR的范围。研究中涉及的技术包括零知识证明、隐地址、同态加密、状态信道和环签名、等。尽管其中一些技术比其他技术更有希望,但它可能需要结合技术发展,全面解决该研究在公共区块链背景下提出的所有GDPR担忧。
接下来是什么?
这项研究的结论建议如下:
欧洲数据保护委员会(“EDPB”)对区块链技术的具体监管指导,并更新未经EDPB批准的相关第29条工作组指导;
为区块链技术的跨学科研究提供资金
鼓励使用区块链技术的行业内行为准则和认证机制。
Skip to content
区块世界 驱动一切