2025年4月14日，歐洲數(shù)據(jù)保護委員會（EDPB）發(fā)布《關于通過區(qū)塊鏈技術處理個人數(shù)據(jù)的第 02/2025 號指南》。由于區(qū)塊鏈技術具有分布式、去中介化等特性，在處理個人數(shù)據(jù)時會帶來合規(guī)風險和對數(shù)據(jù)主體權利與自由的風險。該指南旨在為使用區(qū)塊鏈技術處理個人數(shù)據(jù)的組織提供合規(guī)框架，涵蓋了區(qū)塊鏈技術原理、數(shù)據(jù)處理評估、數(shù)據(jù)主體權利等方面內(nèi)容，并給出了具體建議，強調(diào)應通過技術和組織措施確保符合《通用數(shù)據(jù)保護條例》（GDPR）要求。

一、區(qū)塊鏈技術簡介

技術特性：區(qū)塊鏈是一種分布式、去中介化、一致且防篡改、透明的數(shù)據(jù)庫技術，使用密碼學工具和去中心化存儲系統(tǒng)，能提供數(shù)據(jù)完整性和可用性保障，但實際服務水平缺乏標準化。

分類方式：按訪問、參與和控制基礎設施政策，分為公共無許可區(qū)塊鏈（如比特幣、以太坊）和私有許可區(qū)塊鏈（常用于企業(yè)）等類型，還有 “零知識區(qū)塊鏈” 等特殊類型。

數(shù)據(jù)構成：區(qū)塊鏈存儲交易元數(shù)據(jù)（含用戶標識符等，可能構成個人數(shù)據(jù)）和有效載荷（如加密貨幣數(shù)量、文檔鏈接等，也可能包含個人數(shù)據(jù)），數(shù)據(jù)可存儲在鏈上或鏈下。

角色職責：涉及多種角色，需根據(jù)服務性質(zhì)、治理機制等確定數(shù)據(jù)控制者和處理者的責任，許可區(qū)塊鏈有助于明確責任分配。

二、基于區(qū)塊鏈的數(shù)據(jù)處理評估

1、評估的重要性與核心問題：區(qū)塊鏈雖為技術手段，但會對個人數(shù)據(jù)處理及GDPR合規(guī)性產(chǎn)生影響。在運用區(qū)塊鏈處理個人數(shù)據(jù)前，控制者需評估諸多關鍵問題，如區(qū)塊鏈數(shù)據(jù)是否包含個人數(shù)據(jù)、使用區(qū)塊鏈的必要性及替代方案、應選用的區(qū)塊鏈類型、所采用的技術和組織措施等。這些評估內(nèi)容不僅是確定數(shù)據(jù)處理可行性的基礎，也是保障后續(xù)處理活動合法合規(guī)的關鍵。

2、個人數(shù)據(jù)處理的考量：在區(qū)塊鏈上存儲個人數(shù)據(jù)時，直接以可識別形式存儲會帶來諸多問題。一旦數(shù)據(jù)存儲，修改或刪除極為困難，這與GDPR的相關原則相悖。為解決這一問題，可采取多種措施。例如，加密個人數(shù)據(jù)，使只有掌握密鑰者才能查看明文，但加密數(shù)據(jù)仍受GDPR約束，且長期存儲存在算法被破解風險；存儲加鹽或帶密鑰的哈希值，原始數(shù)據(jù)和密鑰存儲在鏈下，雖能降低數(shù)據(jù)恢復風險，但會在其他組件產(chǎn)生數(shù)據(jù)處理風險；使用加密承諾，在原數(shù)據(jù)和見證刪除后，鏈上承諾將失去作用。若必須在區(qū)塊鏈存儲個人數(shù)據(jù)，應采用如指針、加密承諾或帶密鑰哈希函數(shù)生成的哈希等形式，將驗證數(shù)據(jù)存儲在鏈下，并確保高度保密性。僅在處理目的合理且通過數(shù)據(jù)保護影響評估（DPIA）證明風險已妥善處理時，才允許在公共區(qū)塊鏈上以直接識別形式存儲個人數(shù)據(jù)。

3、數(shù)據(jù)保護原則的落實

基本原則概述：數(shù)據(jù)保護原則是GDPR的核心，包括公平、透明、目的限制、數(shù)據(jù)最小化、準確性、存儲限制、保密性和完整性等原則，控制者有責任有效落實這些原則。

具體原則分析：公平原則要求處理數(shù)據(jù)時不能損害數(shù)據(jù)主體權益，相關措施應保障數(shù)據(jù)主體權利；透明原則強調(diào)控制者要對數(shù)據(jù)主體公開數(shù)據(jù)處理方式，便于其了解和行使權利；目的限制原則下，區(qū)塊鏈的去中介化特性使參與者關系難以通過合同約束，控制者需明確處理目的，達成目的后按規(guī)定處理數(shù)據(jù)；數(shù)據(jù)最小化原則受區(qū)塊鏈特性挑戰(zhàn)，控制者應確保僅處理必要數(shù)據(jù)，并考慮數(shù)據(jù)公開程度；準確性原則要求重視數(shù)據(jù)處理前期篩選，確保數(shù)據(jù)準確；存儲限制原則方面，區(qū)塊鏈上數(shù)據(jù)刪除困難，需特殊架構設計，也可通過刪除鏈下數(shù)據(jù)防止數(shù)據(jù)主體被識別；保密性原則依賴區(qū)塊鏈類型和相關機制保障；完整性原則依靠協(xié)議、共識機制和節(jié)點信任保證，同時可采取額外措施加強安全。

4、處理的合法性依據(jù)：區(qū)塊鏈基礎設施上的不同數(shù)據(jù)處理活動需依據(jù)具體目的確定合適的法律依據(jù)，這些依據(jù)必須符合GDPR第6條規(guī)定。若處理涉及第9條第1款的數(shù)據(jù)，還需滿足第9條第2款的例外情形。以同意作為法律依據(jù)時，必須嚴格符合GDPR相關條款要求，且當同意撤回時，相關個人數(shù)據(jù)應刪除或匿名化。在特定情況下，如基于反洗錢或資產(chǎn)清查需求，可對數(shù)據(jù)主體權利進行限制，但必須符合法律規(guī)定的比例原則、明確性原則和必要性原則。此外，當處理活動符合控制者或第三方的合法利益，且該利益未被數(shù)據(jù)主體的利益或基本權利和自由超越時，也可作為合法處理的依據(jù)。

5、國際數(shù)據(jù)轉(zhuǎn)移的規(guī)范：區(qū)塊鏈技術常涉及國際數(shù)據(jù)轉(zhuǎn)移，尤其是當節(jié)點分布在歐盟以外時。任何將個人數(shù)據(jù)轉(zhuǎn)移到歐盟以外的行為，都必須嚴格遵守GDPR第五章的規(guī)定?？刂普哂胸熑巫R別數(shù)據(jù)轉(zhuǎn)移情況，并采用合適機制確保數(shù)據(jù)流動合規(guī)，例如在合同中納入標準合同條款。在設計區(qū)塊鏈活動時，就應充分考慮數(shù)據(jù)轉(zhuǎn)移要求，采用隱私設計架構有助于評估合規(guī)義務。

6、數(shù)據(jù)保護設計與默認設置：數(shù)據(jù)保護設計和默認設置強調(diào)有效性，控制者需運用特定措施落實數(shù)據(jù)保護原則，保障數(shù)據(jù)主體權利。在區(qū)塊鏈環(huán)境中，由于技術特性與數(shù)據(jù)保護原則存在挑戰(zhàn)，可能需要結合多種隱私增強技術來實現(xiàn)充分的數(shù)據(jù)保護。

7、數(shù)據(jù)保留期限的設定：控制者應根據(jù)數(shù)據(jù)處理目的確定每個數(shù)據(jù)的保留期限，不能因區(qū)塊鏈數(shù)據(jù)的防篡改特性就默認以區(qū)塊鏈的生命周期作為數(shù)據(jù)保留期限。不同類型的個人數(shù)據(jù)，如元數(shù)據(jù)和有效載荷數(shù)據(jù)，都應設定相應的保留期限，期限結束后數(shù)據(jù)必須刪除或匿名化。若處理不需要與區(qū)塊鏈生命周期相同或更長的保留期限，應避免在區(qū)塊鏈上寫入個人數(shù)據(jù)，除非能有效防止數(shù)據(jù)主體被識別。若保留期限與區(qū)塊鏈生命周期一致，控制者需證明其必要性和比例性，并妥善記錄分析過程。

8、安全保障措施：區(qū)塊鏈的安全性依賴參與者行為、節(jié)點數(shù)量和加密機制。為保障安全，需評估必要的安全保障措施，如防范51%攻擊，在許可區(qū)塊鏈中可通過合同和管理權限實現(xiàn)。同時，要防止參與者因錢包被破解或內(nèi)部人員違規(guī)導致的意外或未經(jīng)授權交易，參與者自身也應實施技術和組織保障措施。針對潛在算法故障，應制定技術和組織程序，包括披露軟件漏洞、制定應急計劃、通知安全事件和數(shù)據(jù)泄露等。此外，還需記錄區(qū)塊鏈軟件和協(xié)議變更的治理情況，確保計劃權限與實際應用一致。對于非公共區(qū)塊鏈，要特別關注保密性措施，保障密鑰安全，全面評估區(qū)塊鏈處理的安全性，上傳和處理的數(shù)據(jù)應符合數(shù)據(jù)保護要求，僅包含最小化的個人數(shù)據(jù)。

9、數(shù)據(jù)保護影響評估（DPIA）的實施：當基于區(qū)塊鏈的數(shù)據(jù)處理活動可能對數(shù)據(jù)主體權利和自由造成高風險時，必須進行DPIA。風險來源不僅包括數(shù)據(jù)存儲，還涉及區(qū)塊鏈模型的其他操作，如交易通信、數(shù)據(jù)管理等。控制者在分析時，需評估區(qū)塊鏈的問責和治理機制能否應對處理風險，同時考慮第三方處理相關數(shù)據(jù)的情況，保障GDPR原則的應用。區(qū)塊鏈加密機制的穩(wěn)健性有助于保護隱私，但加密系統(tǒng)存在壽命限制，需管理其過時和被破解的風險。在進行DPIA時，應系統(tǒng)描述區(qū)塊鏈處理操作，評估處理的必要性和比例性、數(shù)據(jù)主體面臨的風險，以及應對風險的具體措施，且在某些情況下，DPIA應是一個持續(xù)的過程。

三、數(shù)據(jù)主體權利保障

1、信息告知、訪問與數(shù)據(jù)可移植權

信息告知：數(shù)據(jù)控制者有責任在提交個人數(shù)據(jù)給節(jié)點進行驗證前，向數(shù)據(jù)主體提供簡潔明了、易于獲取的信息。這些信息涵蓋了數(shù)據(jù)處理的基本情況，包括數(shù)據(jù)處理的目的、方式、涉及的數(shù)據(jù)類型等，讓數(shù)據(jù)主體充分了解自身數(shù)據(jù)的流向和用途 。

訪問與數(shù)據(jù)可移植權：只要數(shù)據(jù)控制者嚴格履行GDPR中關于這兩項權利的規(guī)定，區(qū)塊鏈技術的特性并不妨礙數(shù)據(jù)主體行使訪問權和數(shù)據(jù)可移植權。數(shù)據(jù)主體有權訪問自己的個人數(shù)據(jù)，了解數(shù)據(jù)的存儲、使用情況；同時，在符合規(guī)定的情況下，能夠?qū)⒆约旱臄?shù)據(jù)從一個系統(tǒng)轉(zhuǎn)移到另一個系統(tǒng)，保障數(shù)據(jù)的流動性和可操作性。

2、刪除權與反對權

設計要求：從設計層面出發(fā)，數(shù)據(jù)處理系統(tǒng)必須確保數(shù)據(jù)主體的刪除權和反對權得以實現(xiàn)。這意味著在構建基于區(qū)塊鏈的數(shù)據(jù)處理架構時，就應充分考慮到可能出現(xiàn)的數(shù)據(jù)主體行使這兩項權利的情況，并預留相應的處理機制。

技術困境與應對措施：由于區(qū)塊鏈的加密和共識機制保證了數(shù)據(jù)的強完整性，在區(qū)塊鏈上直接刪除個人數(shù)據(jù)在技術上往往難以實現(xiàn)。一旦數(shù)據(jù)被記錄在區(qū)塊鏈上，修改或刪除會破壞數(shù)據(jù)的一致性和完整性，導致整個區(qū)塊鏈的安全機制受到影響。因此，數(shù)據(jù)控制者需要提前規(guī)劃，當收到數(shù)據(jù)主體的刪除請求或反對處理請求時，確保存儲在區(qū)塊鏈上的個人數(shù)據(jù)能有效匿名化。這通常需要對相關的交易數(shù)據(jù)進行處理，使其無法直接識別數(shù)據(jù)主體，同時刪除可能用于間接識別數(shù)據(jù)主體的鏈下數(shù)據(jù)。考慮到實際操作的困難，如果區(qū)塊鏈的強完整性特性并非必要，可考慮其他更便于實現(xiàn)數(shù)據(jù)主體權利的技術工具。

3、更正權

設計原則：同樣遵循設計即合規(guī)的原則，在數(shù)據(jù)處理設計階段就應將數(shù)據(jù)主體的更正權納入考量，確保更正權能夠有效實現(xiàn)。

實現(xiàn)方式：在一些情況下，通過后續(xù)的交易聲明取消之前錯誤的交易，可視為滿足了數(shù)據(jù)主體的更正權要求，盡管原錯誤交易仍會在區(qū)塊鏈上留存記錄，但后續(xù)交易的聲明能夠明確糾正錯誤。而在另一些需要刪除錯誤數(shù)據(jù)的情況下，則可采用與處理刪除請求類似的方式，即刪除或匿名化相關數(shù)據(jù)，以實現(xiàn)對錯誤數(shù)據(jù)的更正。

4、對自動化決策的反對權

適用范圍：當智能合同的執(zhí)行構成自動化決策，且該決策屬于GDPR第22條規(guī)定的范圍時，數(shù)據(jù)控制者必須嚴格確保相關保障措施得到落實。

保障措施：這些措施包括允許人工干預自動化決策過程，避免完全由算法決定結果，以防止出現(xiàn)不合理或錯誤的決策。同時，賦予數(shù)據(jù)主體對決策提出質(zhì)疑和反對的權利，即使智能合同已經(jīng)執(zhí)行，且區(qū)塊鏈上已記錄相關決策，數(shù)據(jù)主體仍有權對決策的合理性進行挑戰(zhàn)，確保自身權益不受侵害。

四、指南建議與總結

1、架構相關建議

詳細記錄數(shù)據(jù)處理信息：建議控制器和處理器詳細記錄區(qū)塊鏈數(shù)據(jù)是否包含個人數(shù)據(jù)，使用區(qū)塊鏈進行數(shù)據(jù)處理的必要性和合理性，以及對比其他可替代方案的情況。這有助于在數(shù)據(jù)處理前全面評估區(qū)塊鏈技術的適用性，避免盲目使用帶來的合規(guī)風險。對于選用的區(qū)塊鏈類型，如是否采用私有、許可或 “零知識” 架構等，也需明確記錄，為后續(xù)的數(shù)據(jù)處理活動提供清晰的架構框架，便于監(jiān)管和內(nèi)部審查。

優(yōu)先選擇鏈下存儲個人數(shù)據(jù)：鑒于區(qū)塊鏈存儲個人數(shù)據(jù)可能引發(fā)的風險，建議控制器將交易元數(shù)據(jù)中鏈上已存在標識符之外的個人數(shù)據(jù)存儲在鏈下。這樣做可在一定程度上降低數(shù)據(jù)泄露、難以刪除修改等風險，符合GDPR中對數(shù)據(jù)保護的要求，保障數(shù)據(jù)主體的權益。

2、信息管理建議

明確告知數(shù)據(jù)主體相關信息：數(shù)據(jù)控制器有責任以清晰易懂的方式告知數(shù)據(jù)主體數(shù)據(jù)處理的基本原理、他們所擁有的權利以及具體的行使方式。告知時間應選擇在數(shù)據(jù)主體即將向區(qū)塊鏈提交數(shù)據(jù)或區(qū)塊鏈創(chuàng)建之時，確保數(shù)據(jù)主體在關鍵節(jié)點充分了解自身權利和數(shù)據(jù)處理情況。此外，信息還應在其他時間便于數(shù)據(jù)主體獲取，如在控制器的官方網(wǎng)站上發(fā)布，方便數(shù)據(jù)主體隨時查閱，增強數(shù)據(jù)處理的透明度。

3、數(shù)據(jù)處理規(guī)范建議

嚴格遵循數(shù)據(jù)最小化原則：控制器應確保僅處理與數(shù)據(jù)處理目的直接相關且必要的數(shù)據(jù)，對鏈上和鏈下存儲的個人數(shù)據(jù)數(shù)量、存儲時長以及訪問權限進行嚴格控制和最小化處理。這有助于減少數(shù)據(jù)暴露風險，降低數(shù)據(jù)處理成本，同時也符合GDPR中數(shù)據(jù)最小化的原則。對交易元數(shù)據(jù)和有效載荷數(shù)據(jù)在這方面的評估過程需詳細記錄，以便追溯和審查。

強化信任保障機制：在區(qū)塊鏈技術的實施過程中，建議通過國際標準認證、獨立第三方認證等方式，確保軟件和節(jié)點身份的可信度。這有助于增強區(qū)塊鏈網(wǎng)絡的安全性和穩(wěn)定性，減少因軟件漏洞、節(jié)點不可信等因素導致的數(shù)據(jù)安全問題，保障數(shù)據(jù)處理的可靠性。

4、法律與合規(guī)建議

完善法律強制使用區(qū)塊鏈時的規(guī)定：當歐盟或成員國法律強制要求使用區(qū)塊鏈技術時，建議立法者明確規(guī)定可接受的公開程度，嚴格限制數(shù)據(jù)的過度公開，防止個人數(shù)據(jù)泄露。同時，明確禁止任何可能導致數(shù)據(jù)泄露的行為，對違反規(guī)定的行為制定相應的處罰措施，確保在法律層面保障數(shù)據(jù)的保密性和安全性。

規(guī)范基于同意的處理活動：若數(shù)據(jù)處理以同意為法律依據(jù)，必須確保數(shù)據(jù)主體的同意是完全自愿、明確知曉相關信息后做出的，且能夠自由拒絕或撤回同意而不會遭受任何不利影響。在技術實施上，應確保區(qū)塊鏈架構具備相應的功能，即當數(shù)據(jù)主體撤回同意時，存儲在區(qū)塊鏈上的個人數(shù)據(jù)能夠通過刪除鏈下相關數(shù)據(jù)等方式實現(xiàn)匿名化處理。對于那些無法在交易結束后刪除個人數(shù)據(jù)的區(qū)塊鏈架構，不建議將同意作為數(shù)據(jù)處理的法律依據(jù)，以保障數(shù)據(jù)主體的權利。

全程貫徹數(shù)據(jù)保護設計與默認原則：在數(shù)據(jù)處理的整個生命周期中，從最初的設計階段到實際處理過程，都應將所有數(shù)據(jù)保護原則融入其中。所有數(shù)據(jù)處理操作都應與處理目的相適應，具備必要性和合理性。默認情況下，在公共區(qū)塊鏈上，未經(jīng)數(shù)據(jù)主體主動干預，個人數(shù)據(jù)不應被隨意訪問，確保數(shù)據(jù)在默認狀態(tài)下的安全性。

合理設定數(shù)據(jù)保留期限：根據(jù)GDPR的相關條款，建議根據(jù)數(shù)據(jù)處理目的為區(qū)塊鏈上的元數(shù)據(jù)（如用戶標識符）和有效載荷數(shù)據(jù)設定合理的保留期限。若數(shù)據(jù)保留期限短于區(qū)塊鏈的生命周期，必須采用特定技術解決方案確保數(shù)據(jù)在保留期限結束后能夠被正確刪除或匿名化。若無法實現(xiàn)這一目標，則不應在區(qū)塊鏈上存儲相關個人數(shù)據(jù)，避免因數(shù)據(jù)長期留存帶來的風險。

5、安全保障建議

全面評估與應對安全風險：對保障區(qū)塊鏈安全所需的各類安全措施進行全面評估，根據(jù)不同的風險類型和級別制定相應的防護策略。針對潛在的算法故障，制定詳細的技術和組織程序，包括及時披露軟件漏洞，當發(fā)現(xiàn)漏洞時能夠迅速啟動應急計劃，對算法進行修改或修復。同時，建立有效的安全事件和個人數(shù)據(jù)泄露通知機制，及時通知相關監(jiān)管機構（SAs）和受影響的數(shù)據(jù)主體，降低安全事件造成的損失。

規(guī)范軟件與協(xié)議變更管理：詳細記錄區(qū)塊鏈軟件和協(xié)議變更的治理過程，包括變更的原因、內(nèi)容、實施時間等信息。制定相應的技術和組織程序，確保軟件和協(xié)議的實際變更與預先設定的規(guī)范保持一致，避免因變更管理不當導致的安全漏洞和數(shù)據(jù)處理錯誤。

加強區(qū)塊鏈保密性管理：當使用公共區(qū)塊鏈并非數(shù)據(jù)處理的必要需求時，應采取有效措施限制對區(qū)塊鏈的訪問，確保區(qū)塊鏈的保密性。這些措施包括但不限于設置訪問權限、加密傳輸數(shù)據(jù)等，并對措施的實施過程和效果進行詳細記錄和定期驗證，防止未經(jīng)授權的訪問和數(shù)據(jù)泄露。

6、數(shù)據(jù)主體權利保障建議

確保數(shù)據(jù)主體權利不受限制：無論是技術實施方式的選擇，還是數(shù)據(jù)主體的同意，都不能成為限制數(shù)據(jù)主體權利的理由。數(shù)據(jù)主體的權利必須嚴格按照GDPR的規(guī)定得到充分保障。當數(shù)據(jù)主體根據(jù)GDPR第21條提出反對處理請求或根據(jù)第17條提出刪除請求時，技術實現(xiàn)上應確保能夠及時對個人數(shù)據(jù)進行刪除或匿名化處理，切實維護數(shù)據(jù)主體的合法權益。

轉(zhuǎn)載鏈接：https://www.tbtguide.com/c/mypt/gwxw/596423.jhtml

關注“廣東技術性貿(mào)易措施”，獲取更多服務。