DPR:雷霆抑或雨露？当欧盟监管条例GDPR遇上区块链

欧洲时间2018年5月25日，欧洲联盟出台了《通用数据保护条例》（以下简称“GDPR”）。该法案被公认为目前全球对用户个人数据保护最严格的法律，其适用范围涵盖所有与欧盟个人数据收集和处理相关的商业主体，违规企业将最高被处以上一年度全球营业额的4%或2000万欧元作为罚款。Facebook和谷歌等美国企业或成为GDPR法案下第一批被告。

据了解，GDPR的监管范式是针对互联网企业中心化服务的数据体系进行的，核心点在于加大数据控制者和处理者的法律责任。这与区块链在数据处理上的去中心化模式是完全不同的，其实施和推行将给区块链行业带来何种影响也一直是业内热议的话题。

控制个人数据滥用，谁是更好的答案？

如今在全球范围内，个人数据泄露与滥用的情况普遍存在。其对民众基本权利造成的侵害，已经引起了社会公众和法律界的警惕。GDPR正是在现有的法律体系内，对相关民事、商事权利义务和政府监管义务作出了一整套的规范，试图构建一个新的法律框架，使个人数据的保护与商业使用等行为之间达到一个平衡的状态。

科大讯飞与寒武纪成立智算科技公司，含区块链技术软件业务:金色财经报道，7月6日，天眼查显示，7月4日，辽宁智算科技服务有限公司成立，法定代表人为李俊峰，注册资本500万人民币，经营范围含网络与信息安全软件开发、信息系统集成服务、人工智能基础软件开发、云计算装备技术服务、区块链技术相关软件和服务等。[2023/7/6 22:21:12]

与GDPR的思路不同，区块链技术则试图从另一个角度给出答案。对于公有链网络，用户通过相关隐私措施，可以做到匿名使用相关服务。对于联盟链，个人数据的使用和存储都可以是加密的，除了共识节点、交易相对方和经授权的第三方以外，其他参与方都无法取得个人数据。一些最新的开放许可链和公有链甚至希望通过密码学技术、次级网络或是两者的组合，实现交易的数据和执行过程对包括共识节点在内的所有无关方的隐私保护，将个人数据的控制权完全交还到个人手中。通过基于可信硬件或是密码学的加密计算，保证商业主体和行政主体在提供相应服务的同时，也无法收集和留存个人数据。

HOOK短时突破3美元，24小时涨幅31.27%:金色财经报道，行情数据显示，HOOK 短时突破 3 美元，现报价 2.99 美元，24 小时涨幅 31.27%。行情波动较大，请做好风险控制。[2023/1/24 11:27:37]

以上两个思路都旨在解决个人数据滥用的问题。GDPR的优势在于依托成熟的法律框架，威慑可信，效果立竿见影；但同时由于执行成本高、过于依赖中心化互联网企业的配合，在切实提高企业经营成本的情况下难以得到有效执行，也难以制止互联网巨擘通过并购的方式扩展个人数据的授权使用。

区块链技术的优势在于釜底抽薪，从根本上解决个人用户行使个人数据的选择权问题，在避免过度监管的同时，也能使用户个体从自己产生的数据中获益，为个人数据的商业使用打下坚实的基础；但受限于技术处于早期，应用的成熟与稳定性不高：没有大规模商业应用的实践和测试，需要大量的消费者教育工作，远水难解近渴。

以太坊基金会Q3共分配804万美元奖励给69个项目及社区:金色财经报道，以太坊基金会公布第三季度受赠项目及分配信息，第三季度分配的总奖励资金约为 804 万美元，受赠类别分为社区与教育、共识层、密码学和零知识证明、开发人员经验和工具、一般研究、间接资助、Layer 2 等。获赠项目包括 Gitcoin、clr.fund、ETHPlanet、Kiln、斯坦福区块链研究中心等。[2022/12/8 21:31:31]

七大基本原则，GDPR与区块链相爱相杀？

目前，GDPR为个人数据保护设立了七项基本原则：

·可问责性原则

·据完整性和保密性原则

·准确性原则

·限期储存原则

·目的限制原则

·数据最小化原则

Azuki以太坊链上交易额突破3万枚ETH:金色财经报道，据NFTGo最新数据显示，NFT项目Azuki以太坊链上交易总额已突破3万枚ETH，本文撰写时达到3.0407万枚ETH，约合8.1088亿美元。此外，当前Azuki地板价短时下挫至11.15 ETH，24小时跌幅约为5.11%。此前消息，Azuki开发团队Chiru Labs将在A轮融资中以3至4亿美元估值募集3000万美元，目前融资细节尚未敲定。[2022/9/23 7:15:33]

·合法性、合理性与透明性原则

这里面有些原则的落实正是区块链技术的强项，另有一些则看似与区块链技术存在冲突。是否真的如此？我们逐条来分析：

欧洲议会议员Stefan Berge推出Bergoletten NFT:8月15日消息，欧洲议会议员Stefan Berge近日在OpenSea上推出Bergoletten NFT，拍卖将于8月15日结束。该NFT由Stefan Berger设计和创建，其图片中包含一双拖鞋，鞋上分别标有“#bergo”和“ropa”字样。（Bitcoin.com）[2022/8/15 12:26:12]

1）可信的解决方案

GDPR的可问责性原则要求：对于GDPR原则的遵守，数据控制者有责任提供证明。而区块链技术的一大优势就在于链上数据的存证和可溯源服务。对于可问责性的监管要求，数据控制者可以在把所有操作上链的同时，在监管部门和认证机构设立同步全部账本的节点，这样就可以起到自证清白的作用。

GDPR的数据完整性和保密性原则要求：处理过程中应确保个人数据的安全，避免数据未经授权即被处理或遭到非法处理，避免数据发生意外毁损或灭失。倘若数据控制者对所有个人数据进行区块链管理的分布式存储，则可以用较传统手段低很多的成本避免数据发生意外毁损。同时，将数据操作的授权通过区块链验证并将操作过程上链存证，也可以大大增加安全性，避免数据未经授权操作即被非法处理。

2）并不相悖的要求

GDPR的准确性原则要求：个人数据应当是准确的，如有必要必须及时更新；必须采取合理措施确保不准确的个人数据及时得到擦除或更正。看似与区块链的不可更改性相冲突，但区块链账本上的数据可以通过后续区块做标记的方法进行更改，只是这种更改不会删除掉更改前的数据，而是将更改前的数据、更改过程的操作和更改后的数据同时保留了下来。这样一来，只要保证公开范围内的访问者只能访问更改后的数据就完全可以达到数据准确性的要求。同时对于为了公共利益需要访问更改前数据的政府、司法部门，也能满足其例外要求。

GDPR的限期储存原则要求：对于能够识别数据主体的个人数据，其储存时间不得超过实现其处理目的所必需的时间。而这看似又与区块链账本上数据的永久保存性存在冲突，其实可以按照以下方式处理：对于联盟链，链上主体都是商业主体，链上数据都是有隐私方案保护的，同时链上数据的保存都有作为商事证据保留的性质，这一点已经构成了个人数据权利行使的限制。对于公有链，用户完全可以选择匿名化链上数据。对于开放许可链，可以通过基础链数据匿名化、侧链数据联盟链化处理来解决这一问题。

3）坚实的基础与保障

GDPR的目的限制原则：个人数据的收集应当具有具体的、清晰的和正当的目的，对个人数据的处理不应当违反初始目的。

GDPR的数据最小化原则：个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的。

GDPR的合法性、合理性与透明性原则：对涉及到数据主体的个人数据，应当以合法的、合理的和透明的方式来进行处理。

首先，开源的区块链技术代码清晰地展现了操作者对个人数据的收集和处理是否违反了GDPR的原则和规定，为真正实施以上三大原则提供了坚实的基础。

其次，区块链项目特有的分叉功能真切地实现了数据的可携权，也真正防止了垄断。在GDPR监管的语境下，使技术开发者获得商业利益的同时，也促进了良性竞争与新技术的应用。

最后，区块链项目特有的代币投票公共治理制度将行为人的利益与项目结果相捆绑，是实现上述三大原则的保障。

综上所述，GDPR和区块链技术本质上并不敌对，它们都是为了改变严峻的互联网企业滥用用户个人数据和形成行业巨头垄断的局面应运而生的。在保护个人数据方面，两者各有利弊，相辅相成。对于GDPR的七项基本原则，区块链技术提供了坚实的支持与保障。而GDPR的普及和推广也将是相关公司的试金石，在良莠不齐的区块链技术公司里去伪存真，营造健康监管生态，为真正优秀的企业保驾护航。

作者：

钱靖 北京大成律师事务所律师

谢晗剑 秘猿科技CEO

标签：区块链GDPDPRERG区块链的未来发展前景数字化研究GDP币dpr币价值CMERGE

OKB热门资讯