李雅琪，才 华，沙泽阳，章 政，杨凯茜，叶家炜*

（1.复旦大学 计算机科学技术学院，上海 200433；2.中国银联股份有限公司，上海 201210）

《通用数据保护条例》（General Data Protection Regulation，以下简称GDPR）在2016年4月27日出台，经过两年的缓冲期，于2018年5月25日在欧盟全体成员国正式生效，取代了欧盟在1995年出台的《数据保护指令》（95/46/EC），被广泛称为“史上最严格个人数据管理法案”。GDPR对数据跨境传输提出了相关要求，只有极少数第三国及国际组织通过了GDPR数据跨境传输的充分性认定。基于中国尚未与欧盟就数据跨境传输达成双边或多边协议，也尚未获得欧盟列入充分性保护白名单，对于中国企业而言，在从欧盟境内转移个人数据时，需要对被转让数据提供足够的安全保障措施。

近年来，以比特币为代表的数字化货币迅速发展，作为其支撑技术的区块链技术在资产安全、支付便捷等方面具有相当大的优势，正在逐步颠覆甚至瓦解传统的跨境支付手段[1]。

诸多国内学者已就区块链技术在跨境支付业务中的应用进行了深入研究，下面提供几个典型的基于区块链技术的跨境支付解决方案。赵增奎在其论文中所提供的解决方案利用区块链网络，在支付网络中加入传统金融机构、外汇做市商、流动性提供商等，从而构建支付网关，实现将法定货币转换为区块链上流动的数字资产，以便支付转账。另外，这一解决方案中利用网络连接器将传统做市商、汇出行、汇入行等机构相连接，精简交易中繁琐的中间环节，从而实现点到点直接支付清算，提升支付效率[2]。李言在其论文中提出了“区块链+跨境支付”的解决方案旨在完成对于“一带一路”区域原有跨境支付体系的流程再造。在支付发起阶段通过区块链记录甲乙方的权利义务关系，通过智能合约提供便捷的本外币兑换。在资金使用过程中应用区块链技术实现精准化定位，从而为监管机构提供便利。在支付完成阶段由平台将支付信息进行封装并分布存储，便于监管部门事后的合规查验[3]。另外，诸多国内外金融机构已经就区块链技术在跨境支付中的应用进行了尝试并落地，力图对现有跨境支付业务进行重塑。下面提供几个我国典型的金融机构区块链跨境支付应用案例。蚂蚁金服旗下的AlipayHK联合菲律宾电子钱包Gcash于2018年6月推出了全球首个区块链跨境汇款服务，具备每秒数万笔的大规模交易处理能力，过去至少10分钟才可完成的单笔跨境支付在这一服务中仅需3秒便可完成。香港或菲律宾的消费者通过此服务提交跨境汇款申请后，参与交易的所有中间节点均形成一个个区块，构成联盟链。交易过程中，交易信息在链上通过智能合约进行同步验证，不存在被篡改的可能。从而极大地提高了跨境交易安全性[4]。另外，这一服务允许香港和菲律宾的监管机构对跨境汇款行为进行实时、全程监测，实现了高度透明的监管。招商银行通过建立基于私有区块链的跨境清算系统，率先实现了跨境直联清算，允许海内外各分支机构之间直接发起清算请求，打破了过去必须通过总行审批才能进行海外分行间清算的业务隔阂，使原本需要6分钟的报文传递时间降低至秒级。该系统采用拜占庭容错的共识机制，以保证交易流畅性。同时其封闭的私有链网络环境大大提升了对报文进行篡改或伪造的难度，为跨境交易的安全性提供了保障[5]。2017年3月，该系统已通过POC验证测试并正式上线。

可见，区块链技术在未来有望成为跨境金融交易的支撑技术之一。然而，在GDPR生效后，中国企业的涉欧跨境支付势必在GDPR的管辖范围内。上述研究与应用并未考虑到将区块链技术应用于涉欧跨境支付业务中的GDPR合规问题，基于区块链去中心化、不可篡改、抗抵赖等特性，在对具体实现机制进行充分设计的前提下，区块链技术具备应对GDPR在跨境数据传输方面带来的合规性挑战的潜力。本文将提供一种满足GDPR立法原则的基于区块链的跨境传输解决方案，并在后文中对于将这一方案作为一个跨境数据传输安全保障措施的可行性和GDPR适用性进行讨论。

1 基于区块链的交易信息跨境传输方法设计

1.1 现有交易数据跨境传输方法分析

当前的跨境支付方式主要包括银联国际、银行电汇、国际卡组织以及第三方支付平台，交易数据传输方式以加密传输为主[6]。以银联国际为例，一次在境外产生的交易数据传输到境内主要经历如下步骤：

（1）境外持卡人在境外间接POS机刷卡，产生卡信息与交易数据（包括交易金额、受理地点等信息），并传输到境外受理机构主机中。

（2）境外受理机构主机将卡信息、交易数据打包后加密，跨境传输到国内业务主机中。

（3）国内业务主机再将对应的交易信息传输到对应的机构主机中。

在此过程中，卡信息和交易数据被打包后直接加密传输。这样的方法存在以下两个风险点：其一，数据主体的个人信息没有最大程度地留在欧盟境内，而是整体加密后进行传输，在这种模式下，加密方式一旦被破解，个人信息就极有可能泄露。其二，在跨境支付流程中交易信息往往经由多个中转机构流通，涉及主体繁多，这也加大了数据主体个人信息泄露的隐患。

基于以上原因，作者认为现有数据跨境传输方法明显有悖于GDPR的立法原则，且存在相当高的GDPR违规风险。

1.2 基于区块链的交易信息跨境传输方法概述

基于GDPR“充分性保护”的立法原则，银行卡信息作为与可识别的自然人关联的信息之一，在跨境传输中受到严格限制。如果将卡信息和交易数据打包后加密传输，可能存在违反GDPR的风险，一旦触发GDPR违规，相应数据控制者或处理者将可能面临巨额的行政处罚。因此，为规避这一风险，本文提出基于区块链的数据跨境传输方法，旨在对数据进行脱敏且不将卡信息直接跨境传输。对于每次交易产生的卡信息和交易数据，将其划分为敏感信息和脱敏信息，敏感信息包括卡信息等个人信息，脱敏信息包括交易金额、交易时间等信息。将敏感信息进行拆分并计算哈希后写入区块链中，脱敏信息不包含任何与个人信息相关的数据，打包后加密跨境传输，境外机构根据跨境传输的脱敏信息，到区块链上认证敏感信息，从而完成一次交易信息的跨境传输。

1.3 基于区块链的交易信息跨境传输方法中的区块链结构及相关操作

本文提出的基于区块链的交易信息跨境传输方法中所使用的区块链的结构如图1所示。它由全球链，一级区域链，二级区域链，………，n级区域链构成，只有最小级别的区域链内含有数据块，并且每一个数据块都有可供搜索的位置信息，下文将其简称为数据块的id。区域节点按物理位置划分，当相关机构需要向区块链中写入信息时，首先就近选择距离该机构物理位置接近的最小级区域节点，其次机构将信息写入最小级区域链下的数据链中并记录数据块的id，以上过程在下文中简称为写入区块链。境外机构在收到跨境信息后，根据信息中的数据块的id搜索到具体数据块，对其中的信息进行认证后，将该节点标记为无效。在一定时间期限内，最小级区域节点对其下被标记为无效的数据块进行删除，从而减轻该节点下数据链的搜索负担。

图1 区块链结构

1.4 基于区块链的交易信息跨境传输方法的具体过程

本文提出的基于区块链的交易信息跨境传输方法具体分为两个部分：跨境传输和区块链认证。

1.4.1 跨境传输

跨境传输的过程如图2所示，详细步骤描述如下：

图2 跨境传输

（1）根据数据脱敏的基本思想，对交易数据进行划分处理，将敏感信息（卡信息）和非敏感信息分离，实现数据脱敏，其中脱敏信息包括交易金额、交易时间、交易地点等信息。

（2）通过标识码生成器，利用敏感信息（卡信息）生成标识码，加入到脱敏信息中。易证明已知部分位数的银行卡号不能够推出完整的银行卡号，因此，标识码生成器的具体执行过程如下所示：

a.将银行卡号分为前a位和后m位；

b.取n个不完全连续的随机数，根据随机数，从后m位中挑选n个数字作为标识码。

（3）通过特征码生成器，利用脱敏信息生成此次交易的特征码。

（4）将敏感信息和交易特征码合并，并计算哈希生成认证信息，将此认证信息写入区块链中，并记录写入数据块的id。将脱敏交易信息和数据块id加密后在链下跨境传输。

1.4.2 区块链认证

欧盟境外金融机构接收到上述方式传输得到的数据后，需要利用脱敏信息对区块链上的敏感信息进行认证，其过程如图3所示。

图3 区块链认证

（1）对通过链下跨境传输得到的加密交易信息进行解密，得到传输信息中的脱敏信息（包括标识码、交易金额、交易时间、交易地点、数据块id等信息）。

（2）提取标识码。利用银行数据库含标识码的银行卡号进行查询，检索出包含该信息标识码的全部银行卡号的集合。并通过其他脱敏交易信息生成特征码，生成算法和基于区块链的数据跨境传输中认证信息生成算法一致。

（3）将得到的银行卡号数据集加上特征码后计算哈希，得到包含特征信息的哈希值集合。将该哈希集合中的数据与链上根据数据块id搜索到的数据块进行匹配，从而得到交易信息中具体的银行卡信息。最后，将已匹配的节点在链上标记为无效。

上述区块链认证过程的算法如图4所示。

图4 区块链认证过程的算法

基于该区块链认证算法，银行可将经链下跨境传输的脱敏信息与写于链上的敏感信息一一匹配，从而获得完整的单次交易信息，形成一次完整的跨境交易信息传输。

1.5 基于区块链的交易信息传输方法的优势分析

首先，针对业务场景选择性利用区块链特征。本方法巧妙地对区块链开放性、不可篡改性的特征加以利用，从而为交易的可信度提供了充分保障。同时，针对银行间跨境交易数据传输的具体场景，本方法有效规避了区块链可能对该业务流程造成负面影响的特征。本方法中所使用的区块链，按照地域和功能划分成了全球链、区域链和数据链，通过这种划分，最大程度地减少了数据同步和数据搜索的开销。

其次，基于去中心化的思想，本方法并未利用中心机构传输密钥并颁发证书的方式进行认证，而是考虑到银行卡数据库的独特性，通过牺牲一定算力的方式进行信息的验证，大幅度提高了交易信息传输的安全性。

最后，根据数据脱敏思想，对不同敏感级别的信息采取不同的保护措施并通过不同的渠道分别传输。对敏感信息（卡信息）进行拆分后计算不可逆哈希，写入区块链中；其他交易信息（标识码、交易金额、交易时间、交易地点等）则在链下进行加密跨境传输。如此一来，对于区块链上的敏感信息而言，只要确保哈希算法不可逆，则该写于链上的敏感信息不存在被解密的可能。对于链下加密传输的其他交易信息而言，即使在传输过程中被截获并破解，由于不包含有效的敏感信息，无法对自然人进行识别，不会对数据主体造成任何威胁。可见，本方法从多个角度采取措施，在最大程度上保障了跨境交易中数据主体个人信息的安全。

2 基于区块链的跨境交易数据传输方法可行性论证

2.1 符合GDPR立法原则

GDPR在数据传输方面的立法原则使得跨境银行间的交易活动出现困难——跨境交易活动必然需要交易数据的跨境转移，而个人数据的跨境传输受GDPR所限制。本文提出的方法有效解决了这一问题，首先对个人交易信息进行脱敏处理，随后将脱敏信息传输到第三国，而可识别自然人的敏感信息（银行卡号）则置于区块链中，避免将真正的个人数据传输到第三国。该方法一方面与GDPR跨境限制的初衷相契合，另一方面不影响跨境交易活动的正常进行，突破了传统跨境传输方法的桎梏。

与普通的加密传输方法不同，本文提出的基于区块链的数据传输方法将个人交易数据化整为零，分离为无法直接或间接识别出自然人信息的部分数据。这使得攻击者即使破解了普通加密，也无法从截获的数据中获取有效信息，从而有效规避了数据传输中的泄露风险，达到了安全进行数据跨境传输、保护数据主体权利的目的。

具体而言，本文方法将个人交易信息拆分为两部分。第一部分为敏感信息（银行卡号），它与交易特征码经由认证信息生成器生成认证信息，写于区块链节点；第二部分为脱敏交易信息，它将与敏感信息生成的标识码一同经过加密进行跨境传输。这两部分信息相互独立存储，而只有它们合二为一时，信息才具有意义。

其一，在入侵者非法获取并破译了区块链节点内存储的认证信息时，他得到了敏感信息（银行卡号）与交易特征码，但无法从中侵犯自然人隐私。一方面，入侵者无法根据简易的交易特征码反向推出脱敏交易信息；另一方面，银行卡号在一般情况下无法直接识别自然人，而即使入侵者得到了该银行卡的持卡人信息，也同样无法通过孤立的银行卡号知晓该自然人的具体交易情况。因此，此时入侵者窃取到的区块链节点内信息只是一串孤立的无意义数字（认证信息），并不能从中真正获取有效个人数据。

其二，当入侵者破译跨境传输的内容，即标识码与脱敏交易信息时，同样不会对数据主体权利造成侵害。首先，入侵者无法根据标识码补全银行卡号，也就无法识别自然人（无论直接还是间接），因此他获得的有效数据仅为脱敏交易信息。此外，即使入侵者根据脱敏交易信息计算得到交易特征码，也无法通过交易特征码知晓区块链中哪个特定节点对应着此次交易，于是无法获悉真正的敏感信息——即交易对象银行卡号。而缺失交易执行对象的交易信息资料不存在任何价值，属于匿名化数据。因此，入侵者破译获取跨境传输的内容后，同样无法破坏跨境交易数据的安全性。

在GDPR定义中，“匿名化”指的是在采取某种方式对个人数据进行处理后，如果没有额外的信息就不能识别数据主体的处理方式。同时，定义中的额外信息应当单独保存，并且确保个人数据不能关联到某个已识别或可识别的自然人。根据以上定义，本文采取的处理方法符合“匿名化”的要求。就具体场景而言，“额外信息”是银行卡号（即敏感信息），脱敏交易信息需要与完整银行卡号对应才能识别交易人数据主体，而作者通过区块链将敏感信息分开存储，达到与自然人切割的目的。GDPR于法规第32条中明确将“个人数据的匿名化”纳入“适当的技术与组织措施”中，因此本文的“匿名化”跨境传输手段有效响应了GDPR的要求，提供了安全有效的数据跨境传输保障措施。

2.2 保障数据主体各项权利的可执行性

GDPR第46条规定，如果第三国尚未获得欧盟充分数据保护认定，那么只有当控制者或处理者提供适当的安全保障措施，并为数据主体提供可执行权利以及有效法律救济措施时，才能将个人数据转移至第三国。在该项规定中，除了对“适当的安全保障措施”提出必要性要求外，同样也提及了“数据主体可执行权利”的重要性，可执行权利的提供是跨境传输的前提要求。故而银行在跨境传输交易数据时，除了需要在数据安全上合规，还需要满足以GDPR为数据主体赋予的各项权利。

GDPR明确规定数据主体的权利包括访问权、反对权、数据可携带权、更正权、删除权（“被遗忘权”）和限制处理权。在这些权利中，反对权、数据可携带权、更正权和限制处理权与跨境传输方法无直接关联，而访问权与删除权与数据跨境传输密切相关，因此作者将着重论述本文提出的银行数据跨境传输方法在这两项权利方面的合规性。

在访问权方面，GDPR指出数据主体有权获知其个人数据是否被处理，以及被处理数据的相关信息，其中着重提及：特别当数据接收者属于第三国时，数据主体有权知晓接收者或接收者的类型。如若使用一般跨境传输方法，由于可能存在多段传输过程且接收者分散化，完整、明晰地记录接收者存在一定困难；对于本文提出的方法而言，接收者必须访问对应区块链节点才能获取完整交易信息，因此可以实现对接收者的集中化统一记录。每当对应区块链节点被访问时，即表示该节点相关数据主体的信息被新接收者接收，可予以记录。

删除权的合规化操作是数据主体各项权利中非常棘手的一项，而本文方法在删除权领域依然合规。在本文提出的方法中，银行境外交易数据一部分经由跨境传输到达本地，这部分加密信息会在使用后及时删除，另一部分存储于区块链节点上。在数据主体要求数据控制者删除其个人数据时，银行可以根据其持有银行卡的卡号信息，检索得到所有与该卡交易历史相关的区块链节点，对这些节点进行删除操作。故而，删除权的可执行性不会受到本文方法损害。

此外，本文基于区块链的传输方法在删除权的执行上具有“可举证”的优越性。自GDPR出台以来，针对删除权的合规化操作一直面临着“难举证”的问题，即当数据主体要求删除其数据时，企业难以证明该主体数据已被全面删除，监管机构也难以审核删除权执行的彻底性。对于分散而庞大的普通数据系统而言，证明个人数据全面删除确实是个难题，但本文方法将敏感信息存储于区块链上，利用区块链的优点将“难举证”转化为“可举证”。

首先，区块链有着去中心化的特点，以及去中介化的信任机制。区块链系统通过点对点传输技术弱化了中心服务器的功能，并在此之上结合非对称加密、共识机制等，建立起一套去中介化的信任机制。这样的架构使得链上所有参与节点都拥有一份完整且相同的数据库副本，且任意节点均可对数据准确性进行有效验证，无需第三方信任中介的参与。利用这样的特点，在区块链删除某数据主体信息时可使所有节点共同知晓，使删除权的执行不再是无数次分散的独立操作而是集中化的统一操作，避免删除记录遗失。

其次，区块链具有可追溯性、抗抵赖性。区块链系统中的每一次操作都包含操作发起者的数字签名，这能够保障删除权执行过程中每次删除行为都是可追溯的，也使得任何伪造删除记录的行为无法遁逃，提升了删除记录的可信度[6]。

综上，该方法不但在安全性上满足了GDPR要求，并且能够保障数据主体各项可执行权利，相当具有可行性。

3 结束语

近年来，随着经济全球化的加深以及大数据科学技术的不断发展，数据的跨境传输活动愈加普遍与频繁，银行间交易数据的跨境转移尤是如此。而GDPR在跨境传输方面施加了更加严格、明晰的规定，限制个人信息流向第三国，这对跨国交易数据的合理传输活动提出了极大挑战。

本文基于对GDPR在数据跨境传输方面立法原则的理解，认为现有的数据跨境传输安全保障方法与之相悖，存在较大的GDPR违规风险。针对这一问题，本文提出了一种基于区块链的银行交易数据跨境传输方法。该方法针对业务场景选择性地利用区块链的特征，通过将敏感信息拆分后的哈希值分别存储于区块链，只将脱敏信息经链下加密传输至第三国或国际组织，有效响应了GDPR在跨境传输方面的立法原则，避免了一般跨境传输方法中加密安全级别难以得到保障的问题，并对该方法的可行性进行了较为充分的论述。

虽然如此，本文还存在许多尚未解决的问题，需要在后续研究中予以完善。譬如，本文着重关注银行卡交易场景，对于其他交易场景并未着力探讨。期待未来我们能够在本研究的基础上深入解决更多的跨境交易问题，形成一套更为全面、完善的跨境交易数据传输方法以满足GDPR合规。