歐盟《一般數據保護條例》下區塊鏈的數據保護義務

曾 煒

（福建農林大學公共管理學院，福州350002）

2018年5月，歐盟《一般數據保護條例》（GDPR）正式生效，該條例不僅對歐盟個人數據保護具有里程碑的意義，而且由于其對個人數據保護的全面性和嚴苛性是前所未有的，對其他國家或地區無疑也會產生重要的示范作用[1]。雖然GDPR在個人數據保護方面走在全球最前列，但它是為集中收集、存儲和處理數據的系統而設計，與代表當前數據存儲和管理新范式的分布式區塊鏈在本質上存在沖突。為集中式數據庫制定的GDPR似乎很難適用于采取分散式數據存儲的區塊鏈，GDPR與區塊鏈之間的緊張關系也揭示了保護基本權利與促進創新的不同目標之間的沖突。我國在加強個人信息保護的同時，也正大力發展區塊鏈技術。因此，如何平衡個人權利保護和科技創新是我國當前亟需解決的一個重要理論與實踐問題。

一、區塊鏈與區塊鏈中數據保護的義務和風險

（一）區塊鏈的含義

從本質上講，分布式賬本可以界定為共享和同步的數字數據庫，該數據庫由共識算法維護并存儲在多個節點（計算機）上。區塊鏈既是數據存儲的新技術，也是可編程平臺和網絡的新穎變體，可實現諸如智能合約之類的新應用。“區塊鏈”一詞通常用于表示任何種類的分布式賬本，包括那些不將數據存儲在區塊中的賬本。但是，從技術上講，區塊鏈僅指特定的分布式賬本，該分布式賬本將數據打包（區塊），通過哈希（hash）算法鏈接到另一個區塊中。區塊鏈具有數據和數字資產的復制記錄能力，這些記錄和數據可以在彼此不認識或不信任的各方之間存在，而無需受信任的第三方介入。

為了從隱私保護的角度了解區塊鏈的含義，我們必須深入地研究其技術細節。 在“區塊鏈”上，數據通常被分組為多個區塊，這些區塊達到一定大小后，將通過哈希鏈接到現有分類賬本。通過這一過程，數據按時間順序排列，使得在不更改后續區塊的情況下很難篡改信息。

在區塊鏈中，每個用戶都有一個公鑰（代表用戶的字母和數字字符串），可以將其視為與他人共享以進行交易的帳號。此外，每個用戶還擁有一個私鑰（也包括一串字母和數字），可以將其視為永遠不能與他人共享的密碼。兩個密鑰具有數學關系，據此私鑰可以解密通過公鑰加密的數據。公有區塊鏈對所有人開放，下載并運行相關軟件的人都可以自行進入節點，所謂節點就是存儲分類賬本的計算機。一些節點還充當“礦工”，將交易聚集到候選區塊中，并根據預定的共識協議將新的區塊哈希到鏈中。

在分散的賬本中，數據可以以各種不同的形式存儲。首先，可以將文本或數字藝術之類的數據以純文本格式存儲在分布式賬本上。在公有區塊鏈上，任何人都可以任意讀取此類數據，從隱私保護角度來看，這當然是非常不利的。其次，可以將數據添加到區塊鏈之前對其進行加密或哈希處理，這是區塊鏈中數據通常的存儲形式。大多數區塊鏈包含兩種類型的數據：區塊頭和區塊體。區塊頭包括時間戳、數據源的標識（例如地址）和先前區塊的哈希值，區塊體包含要存儲的所有交易記錄。盡管區塊頭不需要加密，但區塊體通常是加密的。

原則上，在數據加密的情況下，只有擁有私鑰的用戶才能解密文檔。在區塊鏈上，非對稱密碼被用作生成數字簽名的工具。加密是一種雙向功能，這意味著使用正確的加密密鑰，可以將先前加密的數據“解鎖”并還原為原始狀態。這種安全技術使未經授權的訪問者無法知悉數據[2]。

公有區塊鏈與傳統數據庫的概念相距甚遠，這無疑對數據保護法律制度提出了根本性的挑戰。但是，區塊鏈也可以是私有的，并且是需要許可的，這意味著它們可以在內部網絡或VPN（與Internet相對）之類的私有網絡上運行，并且管理員需要向希望維護節點的個人授予權限。私有區塊鏈與公有區塊鏈之間的主要區別在于，前者需要訪問權限才能加入，但對于后者則無需批準。從數據保護的角度來看，公有區塊鏈具有最多的新穎性和復雜性，因此是我們討論的重點。

（二）區塊鏈中數據保護的義務和風險

隨著GDPR的實施，區塊鏈開發者目前正在努力確定他們是否可以合法地在分布式賬本上存儲和處理個人數據，其答案在很大程度上取決于此類活動是否屬于GDPR的適用范圍。在對GDPR進行詳細分析之前，我們首先要探討區塊鏈對數據保護的影響。

數據自決權概念的重點是使個人能夠控制自己的個人數據，并允許他們僅與受信任者共享此類信息。數據自決權是GDPR的目標之一，因為它旨在使自然人對自己的個人數據具有控制權。GDPR第20條規定的數據可攜帶權體現了這一目標，即允許數據主體有權獲得其提供給控制者的個人數據或者有權將這類數據轉移給另一個控制者[3]。毫無疑問，數據可攜帶權試圖使數據主體更好地控制個人數據，但在實踐中，其可能觸及網絡巨頭公司的利益，執行起來會面臨一定的現實挑戰[4]。

值得注意的是，無論是GDPR還是其他法律文件，都沒有明確規定數據可攜帶權和自決權的具體含義。迄今為止，還沒有解決方案可以讓數據主體完全控制其個人數據，現有的解決方案只是增加了一些自決權。可能的解決方案是通過設計區塊鏈，以便只有用戶才能訪問公鑰和私鑰，從而可以自由決定何時與外部各方共享數據；這樣，區塊鏈就可以使個人“控制對自己身份信息的訪問，并創建、管理和使用自主的身份”[5]，從而實現新的身份管理方式。但是其效果如何還有待觀察。

作為一種技術解決方案，區塊鏈本身不提供任何隱私保證，因此，要實現數據自決權目標，必須將區塊鏈與其他機制結合使用。區塊鏈可以披露存儲在其上的所有數據，作為一項新技術，區塊鏈具有延展性，并且可以向多個方向發展。在這里，法律、技術和創新必須兼顧，創新者與監管者之間必須溝通交流，以確保創新能夠以維護公共利益的方式進行。因此，區塊鏈的設計必須反映技術要求以及公共政策方面的考量。為了確定區塊鏈與數據保護之間的關系，將從GDPR的角度審視區塊鏈中的個人數據。

二、歐盟GDPR視角下的區塊鏈個人數據

作為當今世界管理網絡數據最為嚴苛的法律法規，GDPR對企業利用個人數據進行了全方位的監管。下文將從數據是否與自然人相關的問題開始，分析存儲在區塊鏈中與自然人相關的數據是否被視為GDPR中的個人數據。

根據第4條第1款，GDPR僅適用于“個人數據”，“個人數據”是指任何已識別或可識別的自然人（數據主體）相關的信息。但從法律實踐來看，判斷個人信息是否具有身份識別的功能非常困難，亦即認定個人數據并非易事[6]。

在完全匿名的情況下，上述信息不再構成個人數據，因此不在GDRP的調整范圍之內。但是，在將數據設為假名的情況下，由于標識符仍然可以間接識別自然人，因此該數據將繼續被視為個人數據。

（一）交易數據

取決于各個區塊鏈的具體情況，存儲在區塊中的數據可以是與已識別或可識別的自然人有關的數據，例如，物聯網中包含個人行為的數據、數字身份、財務和醫療數據。為了區分包含個人信息的數據與其他數據（例如個人密鑰），我們將前者稱為“交易數據”。當前區塊鏈的許多用途都與交易有關，其中往往包含與人有關的特定信息。數據通常以純文本、加密形式、哈希到鏈上這三種形式存儲在區塊鏈上。本部分將審查這些過程是否可以充分匿名化個人數據，以使其符合GDPR的規定。

根據GDRP，匿名化指“處理個人數據以不可逆轉地防止識別”，可見其匿名化的門檻相當高。就GDPR而言，以純文本形式存儲在區塊鏈上的個人數據顯然仍然是個人數據。因此，對這種形式的數據沒必要作進一步的分析。由于使用正確的密鑰可以訪問加密數據，因此加密數據不會被不可逆地匿名化。因為，仍然可以間接識別數據主體，加密可以被認為是歐盟數據保護制度下的假名化技術而非匿名化技術。鑒于GDPR的目的，已加密的交易數據仍然是個人數據。

根據GDPR，已經過哈希處理的交易數據也被視為個人數據。盡管無法進行逆向工程的單向哈希函數可以提供比加密更強的隱私保證，但它仍符合GDPR下個人數據的定義。哈希是一種假名化技術，而不是匿名化，因為仍然可以將數據與數據主體鏈接起來。因此，加密或經過哈希處理的交易數據仍是GDPR下的個人數據。

隨著技術的進步，某些加密過程（例如SHA-256或SHA-3）①SHA安全加密標準，是至今國際上使用最為廣泛的較為安全的壓縮算法之一，SHA-256和SHA-3是當前較為先進的算法。將可能符合匿名化的要求。當前正在研發的許多技術解決方案可能不用將交易數據直接存儲在區塊鏈上。例如，個人數據可以脫鏈存儲（off chain storage），僅通過哈希指針鏈接到區塊鏈。在這種情況下，個人數據將存儲在引用的加密和可修改數據庫中，而不是在區塊鏈上。但是，使用此類解決方案的開發人員必須謹慎確保元數據(metadata)②元數據（Metadata），又稱中介數據、中繼數據，為描述數據的數據（data about data），主要是描述數據屬性（property）的信息，用來支持如指示存儲位置、歷史數據、資源查找、文件記錄等功能。也得到適當處理，因為即使不直接在鏈上存儲個人數據，元數據也可以顯示個人信息。脫鏈存儲解決方案可能還需要重新引入受信任的第三方，而這有違采用區塊鏈而非其他形式的數據存儲技術的初衷。

（二）公鑰

公鑰是一串字母和數字，允許出于交易或交流目的而對自然人或法人進行匿名識別。比特幣之父中本聰（Satoshi Nakamoto）認為共識機制需要信息，這使得限制訪問實際數據的方式非常有限。他認為，隱私的保護不是通過加密數據而是通過“破壞另一位置的信息流，亦即使公鑰保持匿名”來實現的[7]。從GDPR的角度來看，相關的問題在于公鑰是否是匿名數據。匿名化是指在沒有其他附加信息的情況下，就無法判斷數據主體的個人數據處理方式。根據第4條第5款，這種附加信息應與其他信息分開保存，而且不能通過現有的技術措施建立個人數據與特定自然人之間的聯系。

公鑰是“不能再歸因于特定數據主體”的數據，除非它與“額外信息”（例如名稱或地址）相結合。將這兩組信息組合在一起時，標識是可能的，這解釋了為什么公鑰不能視為匿名數據。我們已經看到，符合匿名化條件的數據必須是不可逆的，而公鑰并不符合這一要求。區塊鏈的歷史已經證明，盡管存在非對稱加密，但身份識別仍然是可能的。將公鑰與用戶自愿發布的某些額外的信息結合起來，身份識別將非常容易。在比特幣區塊鏈上，加密數據已被證明能夠揭示用戶和交易的關系，從而可以將交易追溯到特定用戶。此外，公鑰可以追溯到IP地址，從而有助于身份識別。而且，在用戶將交易傳輸到網絡的情況下，他們通常直接連接到網絡并顯示其IP地址。

由此可見，公鑰是歐盟數據保護制度中的假名數據。但是，與交易數據不同，公鑰不能脫鏈，因為它們是區塊鏈技術的核心組成部分，構成了驗證交易所需的“元數據”的一部分。可以得出的結論是，公鑰以及存儲在區塊鏈上的交易數據通常會被視為個人數據。

三、歐盟GDPR對區塊鏈個人數據的適用性

根據歐盟數據保護制度的目的，交易數據和公鑰通常構成個人數據。為了明確這一結論產生的確切法律后果，必須確定GDPR義務的適用對象。我們首先評估誰有資格擔任分布式賬本中的數據控制者，然后考慮GDPR的適用范圍。

（一）數據控制者

根據GDPR第4條，數據控制者是“決定處理個人數據的目的和方式”（determines the purposes and means of the processing）的任何自然人、法人或其他實體?！皼Q定”（determines）一詞使用單數，這表示在集中式數據孤島（data silos）中通常只有一個實體作為數據控制者。當涉及私有區塊鏈時，仍然有可能確定一個中央中介機構，該中介機構有資格成為數據控制者。對于公有區塊鏈，由于所有節點都以分散方式存在網絡之中，因此沒有中央控制節點。事實上，節點不接受外部指令，可以自主決定是否加入區塊鏈，并追求自己的目標。其結果是，似乎每個節點都承擔GDPR的法律義務，這意味著數據主體可以獨立地針對每個節點主張權利。

節點原則上不符合第26條第1款的“共同控制者”的要件，因為它們沒有“共同決定處理的目的和方式”。盡管區塊鏈由各種節點之間的相互作用所驅動，但一個節點并不能確定其他節點的數據處理方式。如果將每個節點視為數據控制者，將存在相當大的復雜性，因為確定鏈上節點的確切數目、位置和身份幾乎不可能。此外，節點只能看到加密或散列的數據，而且幾乎無法對數據進行任何更改。因此，作為去中心化實體的節點，無法滿足GDPR關于集中式機構的要求。由此可見，在節點上履行GDPR的義務勢必面臨巨大的困難。

值得注意的是，在區塊鏈中，數據主體可以通過私鑰獲得對自己數據的控制權，這引發了一個問題，即數據主體本身是否可以被視為控制者。的確，如果某人將有關自己的個人信息哈希到區塊鏈中，那么他可能既是數據主體，又是數據控制者。“處理方式”由礦工和節點運行的軟件以及他們使用的硬件來確定。數據主體取決于區塊鏈的目的會有所不同，因此，我們至少在某些情況下也可以考慮將數據主體視為合格的數據控制者，因為數據主體將個人數據添加到區塊鏈中。

（二）GDPR的地域范圍

公有區塊鏈通常運行在位于全球不同司法管轄區的節點上，而創建者無法控制網絡的地理分布，這使區塊鏈本質上具有跨國性，從而引發了一系列管轄權問題。首先，根據第3條第1款，歐盟境內的數據控制者或處理者對個人數據的處理都必須遵守GDPR的規定，至于處理數據的行為發生的實際地點則在所不問。該款旨在避免企業通過簡單地將數據處理業務外包到歐盟之外來逃避其義務。其次，第3條第2款補充規定，如果歐盟領境外的數據控制者或處理者處理數據的活動涉及向歐盟的數據主體提供商品或服務或對歐盟范圍內的數據主體的活動進行監控，則也適用GDPR[8]。最后，如果國際法規定位于歐盟境外的控制者應適用歐盟成員國法律處理個人數據，則該處理活動必須符合GDPR。由此可見，GDPR的地域適用范圍非常廣泛，這可能導致其義務還將適用于許多設立于歐盟之外，但與歐盟存在間接聯系的區塊鏈。

進一步的管轄權問題涉及將歐盟數據保護要求適用于向第三國轉移的數據。在公有區塊鏈中，我們可以假定一直存在跨境處理數據的情況。根據第44條，任何正在處理或將被處理的個人數據未符合條例要求時，不得轉移到第三國或國際組織。將存儲在區塊中的數據哈希到區塊鏈中的“礦工”可以位于任何地方，隨后在每個節點上更新分布式賬本，以反映新添加的區塊。當然第44條的規定也存在例外，即如果第三國或國際組織能為個人數據提供充分保護，并對數據主體提供有效司法救濟，經歐盟委員會認定后，個人數據可以轉移到上述國家或國際組織。此外，有權監管機構應該批準符合第63條所規定的一致性機制的有約束力的公司規則。從理論上講，可以設計區塊鏈的協議來解決這些問題，但是，如下所示，數據保護的實質性要求無法輕松地與區塊鏈相協調。第49條第1款a項規定了一種更為現實的解決方案，該解決方案預見了數據主體有可能在知悉潛在的風險的情況下明確同意此類數據轉移。這可以在私有區塊鏈上輕松實現，在該區塊鏈中訪問受到控制并且受相關條款和條件的約束，但是，對于公有區塊鏈如何獲得這種同意尚不明確。

在嘗試確定GDPR下的自然人、適用和管轄范圍時，我們注意到歐盟的數據保護制度旨在規范集中收集、存儲和處理數據。因此，不能輕易地適用于分布式賬本。下文關于GDPR的實體權利對分布式賬本適用的進一步分析將證實這一結論。

（三）GDPR實體權利對區塊鏈的適用

GDPR為數據主體規定了一系列有關個人數據的權利。盡管從法律角度來看，數據主體可以針對每個節點主張權利，但是從技術角度來看，仍不清楚節點應如何更正、刪除或限制數據以回應相關的請求。然而，隨著區塊鏈技術的發展，技術解決方案可能會解決上述問題。由于篇幅的原因，我們的分析僅限于GDPR下的實體權利。這并不意味著GDPR在適用于區塊鏈時的程序性義務就沒有任何爭議。

1.數據最小化原則

GDPR的數據最小化原則與區塊鏈上的數據存儲方式大相徑庭。根據第5條第1款b項，任何自然人或法人收集個人數據的目的必須是明確和正當的，而且在處理該個人數據時，必須符合其最初的目的。一旦添加到區塊鏈，數據將永久保留在鏈中，因為它是一個不斷擴展的追加型數據庫（append-only database）。 從定義上講，分布式賬本是不斷增長的產品，它們隨著每個附加的區塊而增加并累積更多的數據，這與數據最小化原則恰恰相反。一旦將數據添加到鏈中，原則上就不能再對數據進行修改或刪除，這使得實現數據最小化原則和存儲限制要求變得不可能。

2.修改權

GDPR要求個人數據應準確且保持最新。根據第5條第1款d項，如果不符合這一要求，數據控制者應該采取一切合理可行的措施刪除或更正有誤的個人數據。根據第16條，數據主體有權獲知數據控制者對錯誤信息更正的結果。這將意味著數據主體可以根據既定的條件尋址任何單個或所有節點，以請求修改個人數據。在這種情況下，實踐中可能會出現兩個方面的問題。首先，數據主體可能無法識別區塊鏈的任何單個或全部節點；其次，即使數據主體根據第16條成功地提出了主張，節點也無法簡單地更改存儲在區塊中的任何加密數據。區塊鏈之所以被稱為“不可篡改的”賬本，恰恰是因為除非在非常特殊的情況下，否則存儲在其上的信息無法再更改。

雖然原則上不能在區塊鏈上實施修改權，但第16條明確規定，必須考慮“處理目的”，并且可以通過“提供補充聲明”來更正數據。那么是否可以考慮將新數據添加到區塊鏈中來糾正以前添加的數據（但不刪除原始條目），以符合第16條的要求？此解決方案可以輕松地應用于追加型賬本，但不會修改存在問題的數據本身。一個更合適的解決方案是將交易數據存儲在鏈下，這樣就可以根據數據保護要求對其進行修改，而無需涉及區塊鏈本身。脫鏈存儲有助于使交易數據（而不是公鑰）符合GDPR的要求。

此外，關于個人數據更正或刪除的具體情況，數據控制者應告知每個已經接收該個人數據者，除非這種告知不可能或不符合比例原則，在這種情況下，控制者將可以豁免告知義務，據此節點可以豁免告知義務。

3.訪問權

根據第15條第1款，數據主體有權獲悉數據控制者是否正在處理其個人數據。數據主體有權訪問正在被處理的數據并獲取包括但不限于如下信息：處理目的、數據類型、已經或計劃接收數據者及其類型、預期存儲期限，以及是否存在包括配置文件在內的自動化決策。數據主體還有權獲知有關將個人數據轉移到第三國或國際組織的保護措施，這一規定與區塊鏈特別相關，因為位于歐盟的一個節點驗證區塊之后，將與區塊鏈的其他所有節點共享該信息，而不論這些節點位于何處。第15條提出了有關將其應用于區塊鏈的重要問題，因為控制者通常不知道哪些數據存儲在區塊鏈上，他們通常只處理其加密或哈希數據。即使數據主體成功聯系了節點，后者也將無法驗證是否正在處理數據主體的個人數據。數據主體當然可以加入公有網絡并獲得所有數據的副本，包括其自身的數據。但是，根據GDPR，這是否被視為令人滿意的解決方案值得懷疑。此外，根據第15條第3款，如果處理后的個人數據未經加密，則數據主體有權要求控制者提供該數據的副本。最后，將個人數據存儲在鏈外對于交易數據將是首選的方式，但對于公鑰而言仍然不可行。

4.被遺忘權

所謂被遺忘權，是指對合法發布在網絡上，涉及信息主體的信息存在不充分、不相關、過分或者已喪失收集處理目的，除非有正當的保留理由，數據主體要求信息控制者或處理者刪除該信息的權利[9]。GDPR第17條規定了被遺忘權，如果數據收集和處理的目的不復存在、數據主體撤回了數據處理的同意、數據主體有正當理由反對處理、數據被非法處理、歐盟或成員國法律要求刪除數據，或為保護16周歲以下未成年人時，應數據主體的要求，控制者有責任及時刪除數據主體的個人數據。

從本質上講，不可篡改性是區塊鏈最廣為人知的特征之一。因此，被遺忘權適用于區塊鏈時困難重重。在此，我們須再次區分交易數據和公鑰。關于交易數據，可以設想許多可能的解決方案。例如，個人數據可以脫鏈存儲，基于數據保護要求可以在鏈外數據庫中將其刪除，而無需涉及區塊鏈。比較而言，公鑰的合規性問題會變得更加艱難。

值得注意的是，被遺忘權并非絕對權利[10]。第17條第2款規定，當面臨刪除要求時，如果技術可行且執行成本合理，數據控制者應采取合理措施，向正在處理該個人數據的其他控制者告知數據主體的刪除要求。在此，出現了一個問題，即“技術可行”是否可能導致將GDPR的規定解釋為鑒于區塊鏈的技術局限性而采用替代解決方案，從而放棄徹底刪除相關數據。例如，將正式密鑰傳輸給數據主體或在受監管的環境中刪除私鑰的正式程序可能等同于為了GDPR的目的而進行刪除。與完全刪除不同，加密的數據仍將存在于鏈上，但只能由數據主體（通過其對私鑰的獨占控制）進行訪問，或者根本不能再訪問。修剪可用于刪除舊區塊中過時的交易，這些舊交易對于區塊鏈的延續不再是必需的，但關于這種建議的可行性仍存在爭議[11]。另一個選擇是使用變色龍哈希（chameleon-hash），在特定的條件下由授權機構在區塊鏈上重寫區塊的內容。然而，這種方法也存在許多問題。其一，該解決方案將重新引入對諸如特殊機構或仲裁員之類的受信任第三方的需求，這與區塊鏈去中心化的基本特質相沖突；其二，變色龍哈希無法消除區塊鏈中仍包含已編輯信息的區域，而且礦工也可以自行決定是否接受更改。

這些解決方案是否能夠滿足第17條的要求還有待觀察。GDPR并沒有明確定義“刪除”的含義，這為除絕對刪除之外的其他解釋敞開了大門。但是，值得注意的是，德國規定了更具有彈性的被遺忘權，在特定的存儲模式中無法刪除的情況下，可以不刪除數據，限制數據處理而非刪除數據成為替代的解決方案③Art 35 of the Gesetz zur Anpassung des Datenschutzrechts an die Verordnung(EU)2016/679 und zur Umsetzung der Richtlinie(EU)2016/680.。

5.通過設計的數據保護和默認的數據保護

通過設計保護數據和默認保護數據是GDPR的兩個總體指導原則。 雖然它們不是個人權利，但我們還是有必要審查這兩個原則，因為它們確認了區塊鏈數據保護的義務與數據保護風險之間的緊張關系。根據第25條第1款，考慮到現有技術水平，實施成本以及數據處理的性質、范圍、背景和目的，以及處理對自然人的權利和自由造成傷害的可能性和嚴重性風險，控制者應在確定處理手段以及在處理本身時，均須實施適當的技術和組織措施，以滿足GDPR的要求，并保護數據主體的權利。

上述義務適用于必須“實施”軟件開發人員定義的此類機制的控制者。系統架構師必須從一開始就考慮GDPR的目標，其中應包括對個人數據的最小化處理，盡快對數據進行匿名化，對個人數據的功能和處理保持透明，使數據主體能夠知悉數據處理過程，確保控制者能夠創建和改善安全性能。

雖然在區塊鏈上實現數據最小化非常困難，但是第25條第1款強調加密可能是理想的工具。這一規定指出，可以使用技術來實現法律目標。交易數據的最小化可以通過將其盡可能移到鏈外來實現。剩下的問題是，是否可以對公鑰進行匿名化以使其符合GDPR。根據該條例，個人數據的匿名化不僅可以更有效地保護數據主體的權益和降低其風險，而且對控制者和處理者在條例下的數據保護義務的履行大有裨益。通過最大限度地減少對個人數據的處理，盡快對個人數據進行匿名化，實現對個人數據的功能和處理的透明性，實現數據主體對數據處理過程的監督，實現控制者創建和改善安全性能，將達到通過設計的和默認的數據保護目的。

根據第32條，為保證和風險相稱的安全水平，數據控制者應采取包括技術和組織在內的各種適當的措施。第25條第2款還要求控制者采取“適當的技術與組織措施，以保障在默認情況下，只有某個特定處理目的所必要的個人數據被處理”。這種責任適用于收集的個人數據的數量、處理的限度、儲存的期限以及可訪問性。假設每個完全節點都擁有每個區塊鏈的完整副本，并且將一個新區塊添加到完整的先前鏈中，那么就公鑰而言，就不符合這一規定。確保公鑰合規性的唯一方法是將特定的密鑰處理技術識別為符合GDPR的義務。

前述分析表明，在將歐盟的數據保護制度應用于區塊鏈時，毫無疑問缺乏法律確定性。因此，GDPR對區塊鏈是否適用或如何適用將取決于實踐中個案的發展。就目前而言，對區塊鏈開發人員最安全的建議是，交易數據永遠不應存儲在區塊鏈上；關于公鑰，必須采用必要的風險管理解決方案，并且必須進行詳細的數據保護影響評估。顯然，GDPR是為數據收集、存儲和處理的集中模式而設計的，這種針對集中模式的監管機制無法輕松地適用于分散和分布式的數據庫。只有時間才能揭示出監管者和法官將如何應對GDPR與區塊鏈之間的緊張關系。為了理解這種緊張關系，我們必須從根本的角度考慮并評估歐盟法律中兩個相互沖突的規范目標：保護基本權利和促進創新。

四、歐盟GDPR下保護基本權利和促進創新之間的平衡

綜上所述，區塊鏈特別是公有區塊鏈在不少方面與歐盟的數據保護制度之間存在一定的沖突。GDPR是為數據孤島時代的集中式數據管理而設計，而分散式數據管理的區塊鏈卻代表未來發展方向。這凸顯出即使在GDPR生效之前，就其對分布式賬本的適用而言，它已經部分過時了，因為它根本無法反映分布式賬本的技術特征。但是，如果設計合理，區塊鏈和GDPR可以享有一個共同的目標：為數據主體提供對其數據的更多控制權。當然，只有通過專門設計區塊鏈才可能實現該目標。挑戰在于如何將法律和技術融合在一起，以確保法律無必要地阻礙技術進步，而且還確保技術的發展在規范上符合社會的期望，即如何以不窒息區塊鏈創新潛力的方式應用歐盟數據保護制度，同時確保數據保護得到切實的保障。

從法律上而言，GDPR適用于存儲個人數據的區塊鏈，這引起了許多區塊鏈運營商的關注。萬無一失的解決方案是簡單地避免將這些數據存儲在鏈上，這對于個人數據而言可能是可行的，但如果沒有密鑰和簽名，則分布式賬本無法運作?？紤]到基本權利保護和創新促進都是GDPR的目標，因此，應盡可能對GDPR進行目的解釋，以調和兩者之間的矛盾。區塊鏈確實具有通過技術手段實現GDPR目標的可能，因此，不應扼殺法律和技術之間的互動。盡管我們習慣于將技術和隱私視為對立關系，但技術也可以幫助實現GDPR保護隱私的目標。目的解釋方法將進一步反映出立法對于技術和商業模式應保持中立的必要性，因為文本解釋可能會不利于區塊鏈。就如歐盟委員會所強調的那樣，GDPR是一項技術中立的法律，將使“創新繼續蓬勃發展”[12]。

根據《基本權利憲章》第8條第1款和《歐洲聯盟運作條約》（TFEU）第16條第1款，在處理個人數據方面保護自然人是一項基本權利。但是，創新也是歐盟及其法律秩序的規范目標。根據TFEU第173條，歐盟和成員國必須努力提高歐盟的競爭力，其中包括促進創新和技術發展。不可否認區塊鏈是創新技術，盡管仍存在許多技術難題，但區塊鏈有望成為重要的技術和經濟因素。

這并非主張促進創新高于基本權利的保護。事實上這兩個目標并非水火不容，未來區塊鏈的發展可能會促成兩者之間的包容共存。如果設計得當，區塊鏈不會危及數據保護目標，而是會改變數據保護目標的實現方式。歐洲數據保護監督機構認識到，即使先進技術增加了隱私和數據保護的風險，但它們也可能集成技術解決方案，以更好地提高透明度和數據主體對被處理數據的控制。隨著區塊鏈產業的發展，歐盟監管機構應該使用多樣化的激勵機制，以確保技術的發展符合規范期望的方式。法律與創新之間的關系是多方面的，歐盟嚴格的數據保護要求可以激勵人們完善區塊鏈隱私保護解決方案，并發展相應的產業。只要為創新者提供必要的靈活性，GDPR就能刺激創新朝著符合這些重要公共政策目標的方向發展。為此，業界與決策者之間的討論和互動必不可少。

GDPR提出了數據保護和數據自由移動兩個目標。數據保護應“旨在為人類服務”。如果我們同意創新也旨在為人類服務，那么就可以得出結論，即創新是解釋GDPR時要考慮的因素。數據保護不是絕對的權利，而是與其社會功能有關的考量因素。通過設計的數據保護和默認的數據保護是GDPR的重要原則，該原則通過要求技術創新，以強制要求新產品和服務將數據保護作為考慮因素。在這種背景下，數據保護專家必須開始研究區塊鏈技術背后的概念及其實現方式，以便更好地理解數據保護原則如何可以應用于區塊鏈；整個過程應以通過設計的隱私原則為基礎，開發隱私友好的區塊鏈技術。

新技術不僅會改變我們將現有法規應用于新事物的方式，而且還會極大地動搖現有法規所依據的基礎。從GDPR來看，個人數據管理的責任在于處理單個數據孤島的單個數據控制者和處理者。然而，區塊鏈技術創新可能使個人成為數據控制者，他們可以自己復制、更改、共享和移動其數據。在當前區塊鏈技術的早期階段，必須實施適當的數據保護措施，并應受到監管機構的大力支持。只有時間才能揭示出區塊鏈是否擁有數據自決權的潛力，以及關于歐盟數據保護制度的解釋是否允許這種模式的發展。

結語

區塊鏈是改變人類生活方式的一項重要技術，它顛覆了傳統的制度設計，是與現行單一服務器數據庫完全不同的多中心化數據庫系統的技術。由于區塊鏈的去中心化、匿名、難以篡改等特征，使之可以適用于非信任的環境，能極大地提高跨國交易的信任，并降低交易成本，顯然區塊鏈技術的發展具有帶動制度創新的重要意義。

區塊鏈發展至今，除了虛擬貨幣之外，在越來越多的領域具有廣泛的應用。然而，如許多新興科技一樣，區塊鏈同樣面臨隱私保護與科技發展的沖突。無疑GDPR確立了個人數據保護的新標桿[13]，但GDPR關于跨境傳輸與被遺忘權的規定顯然與區塊鏈的設計存在沖突。這是由于GDPR作為規范一般數據處理的法規，對于數據控制者的定義限于傳統中心化思維的產物，而與采取去中心化的加密技術來保障數據主體隱私與數據控制權的區塊鏈技術格格不入，造成GDPR對區塊鏈規范上的種種不適。

近年來，我國在個人信息保護方面取得了很大進步，例如《民法總則》《侵權責任法》及《網絡安全法》等一系列的法律法規都涉及個人信息保護[14]，特別是最近通過的《民法典》對隱私權和個人信息保護的基本原則、主體和相對人的義務做出了規定，進一步強化了對隱私權和個人信息的保護，但美中不足的是這些法律的規定不僅過于簡單和缺乏可操作性，而且不同規定之間呈現出碎片化，甚至彼此矛盾和沖突。從前述的歐盟GDPR與區塊鏈的沖突中我們可以得知，當前階段，我國不宜采取“一刀切”的個人信息保護方案，而應在認真評估個人數據風險以及規制成本收益的基礎上，針對包括區塊鏈在內的各種新興產業制定不同的規范[15]。換言之，我國應根據不同產業的數據保護需求，制定以《個人信息保護法》為核心，以專門性法規作為補充和完善個人數據保護法律體系[16]。而且，我國應當汲取歐盟GDPR的經驗與教訓，不應過早對區塊鏈相關的各類創新實踐加以嚴格限制，否則將扼殺區塊鏈技術的生命力[17]。