APP下载

欧盟《一般数据保护条例》下区块链的数据保护义务

2020-01-05

科技与法律 2020年4期
关键词:控制者公钥数据保护

曾 炜

(福建农林大学公共管理学院,福州350002)

2018年5月,欧盟《一般数据保护条例》(GDPR)正式生效,该条例不仅对欧盟个人数据保护具有里程碑的意义,而且由于其对个人数据保护的全面性和严苛性是前所未有的,对其他国家或地区无疑也会产生重要的示范作用[1]。虽然GDPR在个人数据保护方面走在全球最前列,但它是为集中收集、存储和处理数据的系统而设计,与代表当前数据存储和管理新范式的分布式区块链在本质上存在冲突。为集中式数据库制定的GDPR似乎很难适用于采取分散式数据存储的区块链,GDPR与区块链之间的紧张关系也揭示了保护基本权利与促进创新的不同目标之间的冲突。我国在加强个人信息保护的同时,也正大力发展区块链技术。因此,如何平衡个人权利保护和科技创新是我国当前亟需解决的一个重要理论与实践问题。

一、区块链与区块链中数据保护的义务和风险

(一)区块链的含义

从本质上讲,分布式账本可以界定为共享和同步的数字数据库,该数据库由共识算法维护并存储在多个节点(计算机)上。区块链既是数据存储的新技术,也是可编程平台和网络的新颖变体,可实现诸如智能合约之类的新应用。“区块链”一词通常用于表示任何种类的分布式账本,包括那些不将数据存储在区块中的账本。但是,从技术上讲,区块链仅指特定的分布式账本,该分布式账本将数据打包(区块),通过哈希(hash)算法链接到另一个区块中。区块链具有数据和数字资产的复制记录能力,这些记录和数据可以在彼此不认识或不信任的各方之间存在,而无需受信任的第三方介入。

为了从隐私保护的角度了解区块链的含义,我们必须深入地研究其技术细节。 在“区块链”上,数据通常被分组为多个区块,这些区块达到一定大小后,将通过哈希链接到现有分类账本。通过这一过程,数据按时间顺序排列,使得在不更改后续区块的情况下很难篡改信息。

在区块链中,每个用户都有一个公钥(代表用户的字母和数字字符串),可以将其视为与他人共享以进行交易的帐号。此外,每个用户还拥有一个私钥(也包括一串字母和数字),可以将其视为永远不能与他人共享的密码。两个密钥具有数学关系,据此私钥可以解密通过公钥加密的数据。公有区块链对所有人开放,下载并运行相关软件的人都可以自行进入节点,所谓节点就是存储分类账本的计算机。一些节点还充当“矿工”,将交易聚集到候选区块中,并根据预定的共识协议将新的区块哈希到链中。

在分散的账本中,数据可以以各种不同的形式存储。首先,可以将文本或数字艺术之类的数据以纯文本格式存储在分布式账本上。在公有区块链上,任何人都可以任意读取此类数据,从隐私保护角度来看,这当然是非常不利的。其次,可以将数据添加到区块链之前对其进行加密或哈希处理,这是区块链中数据通常的存储形式。大多数区块链包含两种类型的数据:区块头和区块体。区块头包括时间戳、数据源的标识(例如地址)和先前区块的哈希值,区块体包含要存储的所有交易记录。尽管区块头不需要加密,但区块体通常是加密的。

原则上,在数据加密的情况下,只有拥有私钥的用户才能解密文档。在区块链上,非对称密码被用作生成数字签名的工具。加密是一种双向功能,这意味着使用正确的加密密钥,可以将先前加密的数据“解锁”并还原为原始状态。这种安全技术使未经授权的访问者无法知悉数据[2]。

公有区块链与传统数据库的概念相距甚远,这无疑对数据保护法律制度提出了根本性的挑战。但是,区块链也可以是私有的,并且是需要许可的,这意味着它们可以在内部网络或VPN(与Internet相对)之类的私有网络上运行,并且管理员需要向希望维护节点的个人授予权限。私有区块链与公有区块链之间的主要区别在于,前者需要访问权限才能加入,但对于后者则无需批准。从数据保护的角度来看,公有区块链具有最多的新颖性和复杂性,因此是我们讨论的重点。

(二)区块链中数据保护的义务和风险

随着GDPR的实施,区块链开发者目前正在努力确定他们是否可以合法地在分布式账本上存储和处理个人数据,其答案在很大程度上取决于此类活动是否属于GDPR的适用范围。在对GDPR进行详细分析之前,我们首先要探讨区块链对数据保护的影响。

数据自决权概念的重点是使个人能够控制自己的个人数据,并允许他们仅与受信任者共享此类信息。数据自决权是GDPR的目标之一,因为它旨在使自然人对自己的个人数据具有控制权。GDPR第20条规定的数据可携带权体现了这一目标,即允许数据主体有权获得其提供给控制者的个人数据或者有权将这类数据转移给另一个控制者[3]。毫无疑问,数据可携带权试图使数据主体更好地控制个人数据,但在实践中,其可能触及网络巨头公司的利益,执行起来会面临一定的现实挑战[4]。

值得注意的是,无论是GDPR还是其他法律文件,都没有明确规定数据可携带权和自决权的具体含义。迄今为止,还没有解决方案可以让数据主体完全控制其个人数据,现有的解决方案只是增加了一些自决权。可能的解决方案是通过设计区块链,以便只有用户才能访问公钥和私钥,从而可以自由决定何时与外部各方共享数据;这样,区块链就可以使个人“控制对自己身份信息的访问,并创建、管理和使用自主的身份”[5],从而实现新的身份管理方式。但是其效果如何还有待观察。

作为一种技术解决方案,区块链本身不提供任何隐私保证,因此,要实现数据自决权目标,必须将区块链与其他机制结合使用。区块链可以披露存储在其上的所有数据,作为一项新技术,区块链具有延展性,并且可以向多个方向发展。在这里,法律、技术和创新必须兼顾,创新者与监管者之间必须沟通交流,以确保创新能够以维护公共利益的方式进行。因此,区块链的设计必须反映技术要求以及公共政策方面的考量。为了确定区块链与数据保护之间的关系,将从GDPR的角度审视区块链中的个人数据。

二、欧盟GDPR视角下的区块链个人数据

作为当今世界管理网络数据最为严苛的法律法规,GDPR对企业利用个人数据进行了全方位的监管。下文将从数据是否与自然人相关的问题开始,分析存储在区块链中与自然人相关的数据是否被视为GDPR中的个人数据。

根据第4条第1款,GDPR仅适用于“个人数据”,“个人数据”是指任何已识别或可识别的自然人(数据主体)相关的信息。但从法律实践来看,判断个人信息是否具有身份识别的功能非常困难,亦即认定个人数据并非易事[6]。

在完全匿名的情况下,上述信息不再构成个人数据,因此不在GDRP的调整范围之内。但是,在将数据设为假名的情况下,由于标识符仍然可以间接识别自然人,因此该数据将继续被视为个人数据。

(一)交易数据

取决于各个区块链的具体情况,存储在区块中的数据可以是与已识别或可识别的自然人有关的数据,例如,物联网中包含个人行为的数据、数字身份、财务和医疗数据。为了区分包含个人信息的数据与其他数据(例如个人密钥),我们将前者称为“交易数据”。当前区块链的许多用途都与交易有关,其中往往包含与人有关的特定信息。数据通常以纯文本、加密形式、哈希到链上这三种形式存储在区块链上。本部分将审查这些过程是否可以充分匿名化个人数据,以使其符合GDPR的规定。

根据GDRP,匿名化指“处理个人数据以不可逆转地防止识别”,可见其匿名化的门槛相当高。就GDPR而言,以纯文本形式存储在区块链上的个人数据显然仍然是个人数据。因此,对这种形式的数据没必要作进一步的分析。由于使用正确的密钥可以访问加密数据,因此加密数据不会被不可逆地匿名化。因为,仍然可以间接识别数据主体,加密可以被认为是欧盟数据保护制度下的假名化技术而非匿名化技术。鉴于GDPR的目的,已加密的交易数据仍然是个人数据。

根据GDPR,已经过哈希处理的交易数据也被视为个人数据。尽管无法进行逆向工程的单向哈希函数可以提供比加密更强的隐私保证,但它仍符合GDPR下个人数据的定义。哈希是一种假名化技术,而不是匿名化,因为仍然可以将数据与数据主体链接起来。因此,加密或经过哈希处理的交易数据仍是GDPR下的个人数据。

随着技术的进步,某些加密过程(例如SHA-256或SHA-3)①SHA安全加密标准,是至今国际上使用最为广泛的较为安全的压缩算法之一,SHA-256和SHA-3是当前较为先进的算法。将可能符合匿名化的要求。当前正在研发的许多技术解决方案可能不用将交易数据直接存储在区块链上。例如,个人数据可以脱链存储(off chain storage),仅通过哈希指针链接到区块链。在这种情况下,个人数据将存储在引用的加密和可修改数据库中,而不是在区块链上。但是,使用此类解决方案的开发人员必须谨慎确保元数据(metadata)②元数据(Metadata),又称中介数据、中继数据,为描述数据的数据(data about data),主要是描述数据属性(property)的信息,用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。也得到适当处理,因为即使不直接在链上存储个人数据,元数据也可以显示个人信息。脱链存储解决方案可能还需要重新引入受信任的第三方,而这有违采用区块链而非其他形式的数据存储技术的初衷。

(二)公钥

公钥是一串字母和数字,允许出于交易或交流目的而对自然人或法人进行匿名识别。比特币之父中本聪(Satoshi Nakamoto)认为共识机制需要信息,这使得限制访问实际数据的方式非常有限。他认为,隐私的保护不是通过加密数据而是通过“破坏另一位置的信息流,亦即使公钥保持匿名”来实现的[7]。从GDPR的角度来看,相关的问题在于公钥是否是匿名数据。匿名化是指在没有其他附加信息的情况下,就无法判断数据主体的个人数据处理方式。根据第4条第5款,这种附加信息应与其他信息分开保存,而且不能通过现有的技术措施建立个人数据与特定自然人之间的联系。

公钥是“不能再归因于特定数据主体”的数据,除非它与“额外信息”(例如名称或地址)相结合。将这两组信息组合在一起时,标识是可能的,这解释了为什么公钥不能视为匿名数据。我们已经看到,符合匿名化条件的数据必须是不可逆的,而公钥并不符合这一要求。区块链的历史已经证明,尽管存在非对称加密,但身份识别仍然是可能的。将公钥与用户自愿发布的某些额外的信息结合起来,身份识别将非常容易。在比特币区块链上,加密数据已被证明能够揭示用户和交易的关系,从而可以将交易追溯到特定用户。此外,公钥可以追溯到IP地址,从而有助于身份识别。而且,在用户将交易传输到网络的情况下,他们通常直接连接到网络并显示其IP地址。

由此可见,公钥是欧盟数据保护制度中的假名数据。但是,与交易数据不同,公钥不能脱链,因为它们是区块链技术的核心组成部分,构成了验证交易所需的“元数据”的一部分。可以得出的结论是,公钥以及存储在区块链上的交易数据通常会被视为个人数据。

三、欧盟GDPR对区块链个人数据的适用性

根据欧盟数据保护制度的目的,交易数据和公钥通常构成个人数据。为了明确这一结论产生的确切法律后果,必须确定GDPR义务的适用对象。我们首先评估谁有资格担任分布式账本中的数据控制者,然后考虑GDPR的适用范围。

(一)数据控制者

根据GDPR第4条,数据控制者是“决定处理个人数据的目的和方式”(determines the purposes and means of the processing)的任何自然人、法人或其他实体。“决定”(determines)一词使用单数,这表示在集中式数据孤岛(data silos)中通常只有一个实体作为数据控制者。当涉及私有区块链时,仍然有可能确定一个中央中介机构,该中介机构有资格成为数据控制者。对于公有区块链,由于所有节点都以分散方式存在网络之中,因此没有中央控制节点。事实上,节点不接受外部指令,可以自主决定是否加入区块链,并追求自己的目标。其结果是,似乎每个节点都承担GDPR的法律义务,这意味着数据主体可以独立地针对每个节点主张权利。

节点原则上不符合第26条第1款的“共同控制者”的要件,因为它们没有“共同决定处理的目的和方式”。尽管区块链由各种节点之间的相互作用所驱动,但一个节点并不能确定其他节点的数据处理方式。如果将每个节点视为数据控制者,将存在相当大的复杂性,因为确定链上节点的确切数目、位置和身份几乎不可能。此外,节点只能看到加密或散列的数据,而且几乎无法对数据进行任何更改。因此,作为去中心化实体的节点,无法满足GDPR关于集中式机构的要求。由此可见,在节点上履行GDPR的义务势必面临巨大的困难。

值得注意的是,在区块链中,数据主体可以通过私钥获得对自己数据的控制权,这引发了一个问题,即数据主体本身是否可以被视为控制者。的确,如果某人将有关自己的个人信息哈希到区块链中,那么他可能既是数据主体,又是数据控制者。“处理方式”由矿工和节点运行的软件以及他们使用的硬件来确定。数据主体取决于区块链的目的会有所不同,因此,我们至少在某些情况下也可以考虑将数据主体视为合格的数据控制者,因为数据主体将个人数据添加到区块链中。

(二)GDPR的地域范围

公有区块链通常运行在位于全球不同司法管辖区的节点上,而创建者无法控制网络的地理分布,这使区块链本质上具有跨国性,从而引发了一系列管辖权问题。首先,根据第3条第1款,欧盟境内的数据控制者或处理者对个人数据的处理都必须遵守GDPR的规定,至于处理数据的行为发生的实际地点则在所不问。该款旨在避免企业通过简单地将数据处理业务外包到欧盟之外来逃避其义务。其次,第3条第2款补充规定,如果欧盟领境外的数据控制者或处理者处理数据的活动涉及向欧盟的数据主体提供商品或服务或对欧盟范围内的数据主体的活动进行监控,则也适用GDPR[8]。最后,如果国际法规定位于欧盟境外的控制者应适用欧盟成员国法律处理个人数据,则该处理活动必须符合GDPR。由此可见,GDPR的地域适用范围非常广泛,这可能导致其义务还将适用于许多设立于欧盟之外,但与欧盟存在间接联系的区块链。

进一步的管辖权问题涉及将欧盟数据保护要求适用于向第三国转移的数据。在公有区块链中,我们可以假定一直存在跨境处理数据的情况。根据第44条,任何正在处理或将被处理的个人数据未符合条例要求时,不得转移到第三国或国际组织。将存储在区块中的数据哈希到区块链中的“矿工”可以位于任何地方,随后在每个节点上更新分布式账本,以反映新添加的区块。当然第44条的规定也存在例外,即如果第三国或国际组织能为个人数据提供充分保护,并对数据主体提供有效司法救济,经欧盟委员会认定后,个人数据可以转移到上述国家或国际组织。此外,有权监管机构应该批准符合第63条所规定的一致性机制的有约束力的公司规则。从理论上讲,可以设计区块链的协议来解决这些问题,但是,如下所示,数据保护的实质性要求无法轻松地与区块链相协调。第49条第1款a项规定了一种更为现实的解决方案,该解决方案预见了数据主体有可能在知悉潜在的风险的情况下明确同意此类数据转移。这可以在私有区块链上轻松实现,在该区块链中访问受到控制并且受相关条款和条件的约束,但是,对于公有区块链如何获得这种同意尚不明确。

在尝试确定GDPR下的自然人、适用和管辖范围时,我们注意到欧盟的数据保护制度旨在规范集中收集、存储和处理数据。因此,不能轻易地适用于分布式账本。下文关于GDPR的实体权利对分布式账本适用的进一步分析将证实这一结论。

(三)GDPR实体权利对区块链的适用

GDPR为数据主体规定了一系列有关个人数据的权利。尽管从法律角度来看,数据主体可以针对每个节点主张权利,但是从技术角度来看,仍不清楚节点应如何更正、删除或限制数据以回应相关的请求。然而,随着区块链技术的发展,技术解决方案可能会解决上述问题。由于篇幅的原因,我们的分析仅限于GDPR下的实体权利。这并不意味着GDPR在适用于区块链时的程序性义务就没有任何争议。

1.数据最小化原则

GDPR的数据最小化原则与区块链上的数据存储方式大相径庭。根据第5条第1款b项,任何自然人或法人收集个人数据的目的必须是明确和正当的,而且在处理该个人数据时,必须符合其最初的目的。一旦添加到区块链,数据将永久保留在链中,因为它是一个不断扩展的追加型数据库(append-only database)。 从定义上讲,分布式账本是不断增长的产品,它们随着每个附加的区块而增加并累积更多的数据,这与数据最小化原则恰恰相反。一旦将数据添加到链中,原则上就不能再对数据进行修改或删除,这使得实现数据最小化原则和存储限制要求变得不可能。

2.修改权

GDPR要求个人数据应准确且保持最新。根据第5条第1款d项,如果不符合这一要求,数据控制者应该采取一切合理可行的措施删除或更正有误的个人数据。根据第16条,数据主体有权获知数据控制者对错误信息更正的结果。这将意味着数据主体可以根据既定的条件寻址任何单个或所有节点,以请求修改个人数据。在这种情况下,实践中可能会出现两个方面的问题。首先,数据主体可能无法识别区块链的任何单个或全部节点;其次,即使数据主体根据第16条成功地提出了主张,节点也无法简单地更改存储在区块中的任何加密数据。区块链之所以被称为“不可篡改的”账本,恰恰是因为除非在非常特殊的情况下,否则存储在其上的信息无法再更改。

虽然原则上不能在区块链上实施修改权,但第16条明确规定,必须考虑“处理目的”,并且可以通过“提供补充声明”来更正数据。那么是否可以考虑将新数据添加到区块链中来纠正以前添加的数据(但不删除原始条目),以符合第16条的要求?此解决方案可以轻松地应用于追加型账本,但不会修改存在问题的数据本身。一个更合适的解决方案是将交易数据存储在链下,这样就可以根据数据保护要求对其进行修改,而无需涉及区块链本身。脱链存储有助于使交易数据(而不是公钥)符合GDPR的要求。

此外,关于个人数据更正或删除的具体情况,数据控制者应告知每个已经接收该个人数据者,除非这种告知不可能或不符合比例原则,在这种情况下,控制者将可以豁免告知义务,据此节点可以豁免告知义务。

3.访问权

根据第15条第1款,数据主体有权获悉数据控制者是否正在处理其个人数据。数据主体有权访问正在被处理的数据并获取包括但不限于如下信息:处理目的、数据类型、已经或计划接收数据者及其类型、预期存储期限,以及是否存在包括配置文件在内的自动化决策。数据主体还有权获知有关将个人数据转移到第三国或国际组织的保护措施,这一规定与区块链特别相关,因为位于欧盟的一个节点验证区块之后,将与区块链的其他所有节点共享该信息,而不论这些节点位于何处。第15条提出了有关将其应用于区块链的重要问题,因为控制者通常不知道哪些数据存储在区块链上,他们通常只处理其加密或哈希数据。即使数据主体成功联系了节点,后者也将无法验证是否正在处理数据主体的个人数据。数据主体当然可以加入公有网络并获得所有数据的副本,包括其自身的数据。但是,根据GDPR,这是否被视为令人满意的解决方案值得怀疑。此外,根据第15条第3款,如果处理后的个人数据未经加密,则数据主体有权要求控制者提供该数据的副本。最后,将个人数据存储在链外对于交易数据将是首选的方式,但对于公钥而言仍然不可行。

4.被遗忘权

所谓被遗忘权,是指对合法发布在网络上,涉及信息主体的信息存在不充分、不相关、过分或者已丧失收集处理目的,除非有正当的保留理由,数据主体要求信息控制者或处理者删除该信息的权利[9]。GDPR第17条规定了被遗忘权,如果数据收集和处理的目的不复存在、数据主体撤回了数据处理的同意、数据主体有正当理由反对处理、数据被非法处理、欧盟或成员国法律要求删除数据,或为保护16周岁以下未成年人时,应数据主体的要求,控制者有责任及时删除数据主体的个人数据。

从本质上讲,不可篡改性是区块链最广为人知的特征之一。因此,被遗忘权适用于区块链时困难重重。在此,我们须再次区分交易数据和公钥。关于交易数据,可以设想许多可能的解决方案。例如,个人数据可以脱链存储,基于数据保护要求可以在链外数据库中将其删除,而无需涉及区块链。比较而言,公钥的合规性问题会变得更加艰难。

值得注意的是,被遗忘权并非绝对权利[10]。第17条第2款规定,当面临删除要求时,如果技术可行且执行成本合理,数据控制者应采取合理措施,向正在处理该个人数据的其他控制者告知数据主体的删除要求。在此,出现了一个问题,即“技术可行”是否可能导致将GDPR的规定解释为鉴于区块链的技术局限性而采用替代解决方案,从而放弃彻底删除相关数据。例如,将正式密钥传输给数据主体或在受监管的环境中删除私钥的正式程序可能等同于为了GDPR的目的而进行删除。与完全删除不同,加密的数据仍将存在于链上,但只能由数据主体(通过其对私钥的独占控制)进行访问,或者根本不能再访问。修剪可用于删除旧区块中过时的交易,这些旧交易对于区块链的延续不再是必需的,但关于这种建议的可行性仍存在争议[11]。另一个选择是使用变色龙哈希(chameleon-hash),在特定的条件下由授权机构在区块链上重写区块的内容。然而,这种方法也存在许多问题。其一,该解决方案将重新引入对诸如特殊机构或仲裁员之类的受信任第三方的需求,这与区块链去中心化的基本特质相冲突;其二,变色龙哈希无法消除区块链中仍包含已编辑信息的区域,而且矿工也可以自行决定是否接受更改。

这些解决方案是否能够满足第17条的要求还有待观察。GDPR并没有明确定义“删除”的含义,这为除绝对删除之外的其他解释敞开了大门。但是,值得注意的是,德国规定了更具有弹性的被遗忘权,在特定的存储模式中无法删除的情况下,可以不删除数据,限制数据处理而非删除数据成为替代的解决方案③Art 35 of the Gesetz zur Anpassung des Datenschutzrechts an die Verordnung(EU)2016/679 und zur Umsetzung der Richtlinie(EU)2016/680.。

5.通过设计的数据保护和默认的数据保护

通过设计保护数据和默认保护数据是GDPR的两个总体指导原则。 虽然它们不是个人权利,但我们还是有必要审查这两个原则,因为它们确认了区块链数据保护的义务与数据保护风险之间的紧张关系。根据第25条第1款,考虑到现有技术水平,实施成本以及数据处理的性质、范围、背景和目的,以及处理对自然人的权利和自由造成伤害的可能性和严重性风险,控制者应在确定处理手段以及在处理本身时,均须实施适当的技术和组织措施,以满足GDPR的要求,并保护数据主体的权利。

上述义务适用于必须“实施”软件开发人员定义的此类机制的控制者。系统架构师必须从一开始就考虑GDPR的目标,其中应包括对个人数据的最小化处理,尽快对数据进行匿名化,对个人数据的功能和处理保持透明,使数据主体能够知悉数据处理过程,确保控制者能够创建和改善安全性能。

虽然在区块链上实现数据最小化非常困难,但是第25条第1款强调加密可能是理想的工具。这一规定指出,可以使用技术来实现法律目标。交易数据的最小化可以通过将其尽可能移到链外来实现。剩下的问题是,是否可以对公钥进行匿名化以使其符合GDPR。根据该条例,个人数据的匿名化不仅可以更有效地保护数据主体的权益和降低其风险,而且对控制者和处理者在条例下的数据保护义务的履行大有裨益。通过最大限度地减少对个人数据的处理,尽快对个人数据进行匿名化,实现对个人数据的功能和处理的透明性,实现数据主体对数据处理过程的监督,实现控制者创建和改善安全性能,将达到通过设计的和默认的数据保护目的。

根据第32条,为保证和风险相称的安全水平,数据控制者应采取包括技术和组织在内的各种适当的措施。第25条第2款还要求控制者采取“适当的技术与组织措施,以保障在默认情况下,只有某个特定处理目的所必要的个人数据被处理”。这种责任适用于收集的个人数据的数量、处理的限度、储存的期限以及可访问性。假设每个完全节点都拥有每个区块链的完整副本,并且将一个新区块添加到完整的先前链中,那么就公钥而言,就不符合这一规定。确保公钥合规性的唯一方法是将特定的密钥处理技术识别为符合GDPR的义务。

前述分析表明,在将欧盟的数据保护制度应用于区块链时,毫无疑问缺乏法律确定性。因此,GDPR对区块链是否适用或如何适用将取决于实践中个案的发展。就目前而言,对区块链开发人员最安全的建议是,交易数据永远不应存储在区块链上;关于公钥,必须采用必要的风险管理解决方案,并且必须进行详细的数据保护影响评估。显然,GDPR是为数据收集、存储和处理的集中模式而设计的,这种针对集中模式的监管机制无法轻松地适用于分散和分布式的数据库。只有时间才能揭示出监管者和法官将如何应对GDPR与区块链之间的紧张关系。为了理解这种紧张关系,我们必须从根本的角度考虑并评估欧盟法律中两个相互冲突的规范目标:保护基本权利和促进创新。

四、欧盟GDPR下保护基本权利和促进创新之间的平衡

综上所述,区块链特别是公有区块链在不少方面与欧盟的数据保护制度之间存在一定的冲突。GDPR是为数据孤岛时代的集中式数据管理而设计,而分散式数据管理的区块链却代表未来发展方向。这凸显出即使在GDPR生效之前,就其对分布式账本的适用而言,它已经部分过时了,因为它根本无法反映分布式账本的技术特征。但是,如果设计合理,区块链和GDPR可以享有一个共同的目标:为数据主体提供对其数据的更多控制权。当然,只有通过专门设计区块链才可能实现该目标。挑战在于如何将法律和技术融合在一起,以确保法律无必要地阻碍技术进步,而且还确保技术的发展在规范上符合社会的期望,即如何以不窒息区块链创新潜力的方式应用欧盟数据保护制度,同时确保数据保护得到切实的保障。

从法律上而言,GDPR适用于存储个人数据的区块链,这引起了许多区块链运营商的关注。万无一失的解决方案是简单地避免将这些数据存储在链上,这对于个人数据而言可能是可行的,但如果没有密钥和签名,则分布式账本无法运作。考虑到基本权利保护和创新促进都是GDPR的目标,因此,应尽可能对GDPR进行目的解释,以调和两者之间的矛盾。区块链确实具有通过技术手段实现GDPR目标的可能,因此,不应扼杀法律和技术之间的互动。尽管我们习惯于将技术和隐私视为对立关系,但技术也可以帮助实现GDPR保护隐私的目标。目的解释方法将进一步反映出立法对于技术和商业模式应保持中立的必要性,因为文本解释可能会不利于区块链。就如欧盟委员会所强调的那样,GDPR是一项技术中立的法律,将使“创新继续蓬勃发展”[12]。

根据《基本权利宪章》第8条第1款和《欧洲联盟运作条约》(TFEU)第16条第1款,在处理个人数据方面保护自然人是一项基本权利。但是,创新也是欧盟及其法律秩序的规范目标。根据TFEU第173条,欧盟和成员国必须努力提高欧盟的竞争力,其中包括促进创新和技术发展。不可否认区块链是创新技术,尽管仍存在许多技术难题,但区块链有望成为重要的技术和经济因素。

这并非主张促进创新高于基本权利的保护。事实上这两个目标并非水火不容,未来区块链的发展可能会促成两者之间的包容共存。如果设计得当,区块链不会危及数据保护目标,而是会改变数据保护目标的实现方式。欧洲数据保护监督机构认识到,即使先进技术增加了隐私和数据保护的风险,但它们也可能集成技术解决方案,以更好地提高透明度和数据主体对被处理数据的控制。随着区块链产业的发展,欧盟监管机构应该使用多样化的激励机制,以确保技术的发展符合规范期望的方式。法律与创新之间的关系是多方面的,欧盟严格的数据保护要求可以激励人们完善区块链隐私保护解决方案,并发展相应的产业。只要为创新者提供必要的灵活性,GDPR就能刺激创新朝着符合这些重要公共政策目标的方向发展。为此,业界与决策者之间的讨论和互动必不可少。

GDPR提出了数据保护和数据自由移动两个目标。数据保护应“旨在为人类服务”。如果我们同意创新也旨在为人类服务,那么就可以得出结论,即创新是解释GDPR时要考虑的因素。数据保护不是绝对的权利,而是与其社会功能有关的考量因素。通过设计的数据保护和默认的数据保护是GDPR的重要原则,该原则通过要求技术创新,以强制要求新产品和服务将数据保护作为考虑因素。在这种背景下,数据保护专家必须开始研究区块链技术背后的概念及其实现方式,以便更好地理解数据保护原则如何可以应用于区块链;整个过程应以通过设计的隐私原则为基础,开发隐私友好的区块链技术。

新技术不仅会改变我们将现有法规应用于新事物的方式,而且还会极大地动摇现有法规所依据的基础。从GDPR来看,个人数据管理的责任在于处理单个数据孤岛的单个数据控制者和处理者。然而,区块链技术创新可能使个人成为数据控制者,他们可以自己复制、更改、共享和移动其数据。在当前区块链技术的早期阶段,必须实施适当的数据保护措施,并应受到监管机构的大力支持。只有时间才能揭示出区块链是否拥有数据自决权的潜力,以及关于欧盟数据保护制度的解释是否允许这种模式的发展。

结语

区块链是改变人类生活方式的一项重要技术,它颠覆了传统的制度设计,是与现行单一服务器数据库完全不同的多中心化数据库系统的技术。由于区块链的去中心化、匿名、难以篡改等特征,使之可以适用于非信任的环境,能极大地提高跨国交易的信任,并降低交易成本,显然区块链技术的发展具有带动制度创新的重要意义。

区块链发展至今,除了虚拟货币之外,在越来越多的领域具有广泛的应用。然而,如许多新兴科技一样,区块链同样面临隐私保护与科技发展的冲突。无疑GDPR确立了个人数据保护的新标杆[13],但GDPR关于跨境传输与被遗忘权的规定显然与区块链的设计存在冲突。这是由于GDPR作为规范一般数据处理的法规,对于数据控制者的定义限于传统中心化思维的产物,而与采取去中心化的加密技术来保障数据主体隐私与数据控制权的区块链技术格格不入,造成GDPR对区块链规范上的种种不适。

近年来,我国在个人信息保护方面取得了很大进步,例如《民法总则》《侵权责任法》及《网络安全法》等一系列的法律法规都涉及个人信息保护[14],特别是最近通过的《民法典》对隐私权和个人信息保护的基本原则、主体和相对人的义务做出了规定,进一步强化了对隐私权和个人信息的保护,但美中不足的是这些法律的规定不仅过于简单和缺乏可操作性,而且不同规定之间呈现出碎片化,甚至彼此矛盾和冲突。从前述的欧盟GDPR与区块链的冲突中我们可以得知,当前阶段,我国不宜采取“一刀切”的个人信息保护方案,而应在认真评估个人数据风险以及规制成本收益的基础上,针对包括区块链在内的各种新兴产业制定不同的规范[15]。换言之,我国应根据不同产业的数据保护需求,制定以《个人信息保护法》为核心,以专门性法规作为补充和完善个人数据保护法律体系[16]。而且,我国应当汲取欧盟GDPR的经验与教训,不应过早对区块链相关的各类创新实践加以严格限制,否则将扼杀区块链技术的生命力[17]。

猜你喜欢

控制者公钥数据保护
从“控制者”变身“隐形人”
摆脱控制从我做起
数据保护护航IT转型
——戴尔易安信数据保护解决方案
欧洲数据保护委员会通过《一般数据保护条例》相关准则
论人工智能的刑事责任能力与追究
浅谈中小学财务人员角色转换的紧迫性
神奇的公钥密码
欧盟“最严”数据保护条例生效
国密SM2密码算法的C语言实现
基于身份的聚合签名体制研究