欧盟《通用数据庇护条例》（General Data Protection Regulation，以下简称GDPR）的“被忘记权”与区块链技术似乎存在一种不成和谐的冲突——数据隐私权包括小我对其信息删除和被忘记的权利，而区块链的技术特征却是“永久不忘记”它收集的一切信息。

越来越多的企业甚至政府机构都在利用区块链技术。欧洲的公司特别希望隐私监管机构可以明白说明——区块链和欧盟通用数据庇护条例（GDPR）若何可以共存？

1

没法躲避的题目——区块链的隐私悖论

全球区块链市场估计将在这十年内爆发式增加——从2021年约 60 亿美圆增加到 2029年1600 亿美圆。

而在中国，有市场研讨机构观察，区块链市场范围从2017年的0.85亿美圆增加至2020年的5.61亿美圆，年均复合增加率达87.58%，估计2022年将增加至14.09亿美圆（见下图）。

由此可以预判，受法令庇护的小我信息“被忘记权”与区块链“永久不忘记”之间的利害关系和抵触正在越发鲜明。

▲ 数据来历：IDC、中商产业研讨院整理

区块链的散布式账本（包括没法删除或变动的数据）正在全球敏捷成长，超越了加密货币买卖，以促进高效的供给链治理、产物可追溯性、身份证实以及无数其他营业功用。

对于监管机构来说，这是一个全新的范畴，会激发大量题目，由此欧洲的隐私监管机构必须处理以下题目：

（1）区块链“稳定性”vs “被忘记权”

‍

公布到区块链的记录不能被删除，但大大都现代隐私立法赋予小我“被忘记的权利”。当记录在区块链账本上的信息是永久性的时，小我或数据主体若何利用其被忘记的权利？

（2）区块链“通明度”vs. 数据主体的庇护

去中心化收集的信赖根本源于账本的通明度。公共区块链收集合的一切介入者都相信信息的崇高性，由于他们都可以同等、实时地检察和分析这些信息。可是，假如一切信息都是通明的，那末任何人都可以拜候它，而且理论上能够会被未知行为者用于未知目标。是以，操纵区块链技术履行买卖和/或存储信息的实体如作甚数据主体供给适当的庇护，以处理他们的信息若何被利用或表露？

（3）区块链“去中心化”vs. 数据问责制

公共区块链是成心去中心化的，是以没有一个负责的实体。此外，经过公共区块链组成的收集凡是跨越司法管辖区，能够由数百、数千或数百万人组成，他们在技术上都有才能告诉区块链的更新——这近乎于治理决议的才能。在这类情况下，当保护、治理和延续开辟的义务分离在一个不相关的小我社区中时，监管机构若何对公共区块链采纳监管或惩罚行动？

2

法则的不肯定性让企业却步——欧盟、美国、加拿大

很多正在或筹算进入该范畴的人经常征询律师：区块链是正当还是不法？莫里森&福斯特律师事务所（Morrison & Foerster LLP）的数据庇护律师Marijn Storm并没有给出绝对的答案——“这取决于若何利用这项技术。”

按照德勤《2021 年全球区块链观察》，对于那些刚刚进入区块链的企业来说，数据平安和隐私是最重要的题目。而法令不肯定性能够是一些领先的公司采纳观望态度、不利用区块链的一个来由，出格是在欧盟的企业。

虽然存在不肯定性，但大大都国家的数据庇护部分迟迟没有介入。

（1）欧盟

负责鞭策GDPR的欧盟自力机构欧洲数据庇护委员会（European Data Protection Board）正在制定区块链指南，但它在一份电子邮件声明中暗示，该机构不能保证指南何时公布，也不能对其中的内容颁发批评。这就迫使企业尽能够地快速成长该技术。

法国国家信息与自在委员会（Commission Nationale de l'Informatique et des Libertés，以下简称CNIL）在2018年公布了指南，发现在区块链上存储小我数据应仅限于“许诺”或“哈希值”，它们与链下数据相关联。CNIL还暗示，受答应的区块链，或由有限数目的已知用户建立的非公共区块链，比公共区块链更可取。

TIPS：

哈希值，又称“散列函数”，是一种从任何一种数据中建立小的数字"指纹"的方式。简单来说，它可以把消息或数据紧缩成摘要，使得数据量变小，将数据的格式牢固下来。

CNIL暗示，要公布关于区块链和GDPR的明白指南，“在欧洲层面的深思相当重要”。

但四年曩昔了，这一指南照旧没有公布。

（2）美国

在美国，国会2022年炎天初次斟酌周全的数字隐私立法，部分缘由是欧盟的刺激，还有一些模仿 GDPR 的州法令已经在2018 年生效了。

获得两党支持并正在期待众议院投票的联邦《美国数据隐私和庇护法案》（American Data Privacy and Protection Act）将初次赋予一切美国人拜候、更正和删除其数据的权利。加利福尼亚州、科罗拉多州、康涅狄格州、弗吉尼亚州和犹他州的法令包括删除权，类似于欧洲的删除权。

（3）加拿大

加拿大尚未公布有关若何在公共或私有区块链上处置小我数据的官方倡议或诠释。

但是，按照加拿大法令，对小我信息的普遍诠释能够会阻止区块链好处相关者处置公共区块链上的小我数据，由于任何有权拜候该区块链的人都可以拜候区块链上的数据，而且散布/存储在一切节点之间在公共区块链收集合。

在私有区块链情况中，小我信息的小我权利治理是能够的，由于这里存在指定的和负责的实体，他们控制着有权拜候区块链的好处相关者的数目。在这类情况下，好处相关者能够需要遵照隐私律例作为拜候私有区块链及其相关利用法式的一种方式。好处相关者也能够因未能遵照而被从收集合删除，而且介入者可以经过合作覆盖充足中心化的私有区块链以响应某些加害隐私的事务。

3

未来的风险：可被穿透“面纱”的加密数据

区块链上数据的加密性质——即凡是是链接到钱包地址的散列——也使得在现实操纵中很难真正拜候小我数据。经过利用加密技术，区块链是一种治理数据的工具，可以庇护信息并促进对记录保存的信赖，而不是表露信息或侵害其完整性。

人们普遍以为区块链技术利用的都是匿名数据，但究竟并非如此。

《贸易区块链:下一个前沿的适用指南》（Blockchain for Business: A Practical Guide for the Next Frontier）的作者Yannis Kalfoglou说，数据“可以匿名化，可以假名，哈希化，但这并不意味着它不成规复。你总能看穿那层面纱。”

任何人都可以拜候的公共区块链，如以太坊和比特币，并不完全合适数据合规要求中的最小化原则，也不能总是确保数据主体变动或删除数据的才能。对于界说上任何人都可以加入的公共区块链，能够没法肯定负责合规的中心数据控制者，这让想要晓得假如出现任何题目谁负责的监管部分感应头疼。

数字 ID 赋予了百姓很多一切权，但条件是他们必须“积极治理”他们的根据，以确保他们不会落入好人之手。

正文

•https://news.bloomberglaw.com/privacy-and-data-security/businesses-adopting-blockchain-question-eus-strict-privacy-law

•https://www.dentons.com/en/insights/articles/2022/june/9/the-privacy-paradox-in-blockchain-best-practices-for-data-management-in-crypto

•https://baijiahao.baidu.com/s?id=1730609322559708029&wfr=spider&for=pc

作者：张颖 《互联网法令批评》主编

【免责声明】本文撰写所需的信息收集自正当公然的渠道，我们没法对信息的实在性、完整性和正确性供给任何形式的保证。

本文仅为分享、交换信息之目标，不组成对任何企业、构造和小我的决议根据。