当区块链遇到GDPR,是威胁还是机遇?
当区块链遇到GDPR,是威胁还是机遇?
2018年5月25日,欧盟《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)正式生效,该条例是欧洲联盟继《95指令》(即“关于个人数据处理保护与自由流动指令”)后[1],为加强个人数据保护,促进数据流通,应对数据信息时代挑战所制定的联盟范围内用以保护公民个人隐私及数据的新法规。
该条例通过扩大适用范围,明确原则性规定,增加数据主体权利,加重数据控制者及处理者义务,处以巨额罚款等方面的内容加强对欧盟范围内数据主体的权利保护,其出台意味着欧盟对个人信息的保护及监管达到前所未有的高度,被称为“史上最严”个人数据保护法规。
GDPR生效的第一时间,Facebook和Google就因侵犯了用户的数据权遭到投诉。基于GDPR的生效,而对互联网服务、金融科技等拥有用户个人数据的企业带来巨大挑战与冲击的情况下,本文通过对GDPR的重点内容进行梳理,以此探究GDPR与区块链新技术的衔接与适应。
一、GDPR的适用范围
适用行为
根据第2条的内容,GDPR适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。[2]
根据第4条的内容,条例对上述内容作出了以下定义:
个人数据”,是指任何已识别或可识别的自然人(“数据主体”)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体;
处理”,是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式;
“用户画像”,是指为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。[3]
2
地域范围
GDPR的数据保护范围比较广泛,GDPR既能规制发生在欧盟境内的数据处理行为,也适用于欧盟境内的数据控制者和处理者,且无论其数据处理行为发生在境内还是境外,因此具有极强的域外法律效力。对于欧盟境外的数据控制者、处理者以及发生在欧盟境外的数据处理行为,若有向欧盟数据主体提供产品、服务或对其进行监控的行为,也将受到GDPR的规制:
“
本条例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:
(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或
(b)对发生在欧洲范围内的数据主体的活动进行监控。
GDPR虽然立足于保护欧盟公民的数据权利,但在实际操作中,它的影响却会波及全球。首先,位于欧盟之外的公司,如果涉及到处理欧盟居民个人信息,也必须遵守GDPR。此外,欧盟的创新之处在于将数据流与贸易流联系起来:任何想与欧盟签署贸易协定的国家都必须签署协议,遵守GDPR。[4]因此,任何以欧盟受众为目标提供服务的企业都应详细把握GDPR,做好准备积极应对。
二、GDPR重要条款提示
GDPR正文包括十章内容,分别为一般条款;原则;数据主体的权利;控制者和处理者;将个人数据转移到第三国或国际组织;独立监管机构;合作与一致性;救济、责任与惩罚;和特定处理情形相关的条款;授权法案与实施性法案。十章内容既构建了欧盟公民的个人信息权自主体系,引入了权利主体的被遗忘权、数据可携带权等概念,又制定了严格的企业问责制。
以下就条例中的部分重要条款进行分析。
原则性规定
GDPR规定了个人数据处理的7项原则:即合法公平透明性原则,要求在数据收集、利用、处理的过程中始终坚持合法公平透明的基本原则;目的限制原则,要求数据的收集处理应限于特定的、明确的、合法的目的范围内;数据最小化原则,要求在目的限制范围内充分处理相关且必要的数据;精确性原则,要求确保数据的准确,并对变更数据做出及时更新;存储限制原则,对能够识别数据主体的个人数据作出了存储时间不得超过时限其处理目的所需时间的限制;完整性与保密性原则,强调对数据应采取合理的安全保护措施,尤其注意未经授权或非法访问、处理;可问责性原则,规定了数据控制者的举证责任,在遵守前述原则的同时应提供证据证明自己的遵守行为。[5]
在规定了个人数据处理的一般原则之外,GDPR也对数据处理的合法性基础、特别情形、例外情形作出了详细的规定。第6条规定了数据处理合法性基础的6种情形,包括数据主体的同意、合同履行、履行法定义务、保护重要利益、公共利益以及控制者的优先利益。第7条规定了同意的条件,包括控制者有责证明数据主体已经同意处理其个人数据以及取得同意的书面声明中包含其他事项的情况。第8-11条规定了适用儿童同意的条件、特殊类型个人数据的处理、涉及刑事定罪个人数据的处理等内容。
2
数据控制者和处理者义务
除条例第二章明确规定的各项原则外,数据控制者和处理者还应履行与数据主体权利对应的运营者义务,以及条例中直接规定的义务。其中,直接规定的义务包括通过设计及默认方式实现数据保护的义务;与联合控制者、代理人、处理者相关的义务;全面记载处理活动的义务;确保数据处理过程安全性的义务;数据泄露时的通知义务;数据保护影响评估义务;事先协商义务;设置数据保护官的义务等。[6]
3
巨额行政处罚
作为GDPR的重要修改内容,巨额的行政罚款引起了各方的高度重视。根据第83条的内容,行政罚款可以分为两段:
处以上至1000万欧元或者企业上一年度全球总营业额2%的金额的行政处罚,取罚款金额较高者;
处以上至2000万欧元或者企业上一年度全球总营业额4%的金额的行政处罚,取罚款金额较高者。
第一段行政罚款主要针对违法控制者或者处理者的相关义务等;第二段行政罚款主要针对违反处理的基本原则(包括同意的条件),违反数据主体权利,跨境数据传输中的违法行为等。[7]
三、GDPR与区块链的衔接问题
区块链技术的核心特征是通过对数据客观且不可撤销的写入与读取等手段,来解决信用问题。区块链技术本身对数据进行记录的技术特征,以及在金融、物联网、医疗卫生、电子身份系统等领域广阔的应用前景,使其成为GDPR实施以来受到重点关注的领域,其中,区块链和GDPR之间的冲突问题已引起了广泛的讨论。
GDPR第17条赋予了数据主体在合法收集、处理的个人数据出现过时、不相干、不准确等情形时可以要求数据控制者删除该数据的权利,也就是“被遗忘权”,这与区块链技术不可变更的特征看上去产生了极大的冲突。
在GDPR下,如果欧盟公民要求企业删除其记录在企业区块链的个人资料,企业必须遵守,但在区块链上,已被存储的个人数据可能是无法删除的。牛津大学法学院讲师Michèle Finck表示:“修改区块链上的数据非常困难,如果你要删除或修改区块链上的数据,以符合《通用数据保护条例》,你可能无法改变那块数据,只能改变包含数据和所有后续区块的散列。” 比利时区块链培训顾问公司TheLedger.be联合创始人Andries Van Humbeeck认为“如果清除一个交易区块,所有后续交易区块的真实性就会成问题了。交易记录帮助区块链追踪付款,虚假交易可能会对用户造成财务影响。当谈到比特币支持的区块链时,当一个区块被清除,之后的所有比特币交易都会变得不可信,这将破坏整个系统。”[8]
根据现有的认知,删除区块链上的数据是不可能的,这是否意味着区块链与GDPR难以兼容呢?在这里,有两个问题需要我们予以关注:
从目的来看,删除数据的效果是通过删除、销毁等行为使数据控制者无法对该数据进行收集、记录、组织、存储、修改、使用、披露或传播等处理行为,最终达到不能直接或间接识别该权利主体的目的。也就是说,如果利用某种技术可以在特定情况下使所记录的数据不能识别权利主体,不构成个人数据,就可以实现删除数据的同等效果。就现在的区块链技术而言,零知识证明[9]搭配智能合约有望达到删除数据的同等效果。有观点也提出可以在技术上通过分层架构或者数据脱链来应对个人数据的修改、删除问题。
从权利的相对方来看,需要明确数据控制者的判定。控制者决定个人数据的处理目的及方式,谁是区块链中个人数据的控制者,也是数据权利主体行使被遗忘权时要考虑的重要因素。在区块链分布式系统下,区块链企业可以是控制者,矿工可以是控制者,甚至消费者也可以是控制者。在控制者多变的情况下,区块链技术可以起到很好的辅助作用,帮助保护数据。
区块链与GDPR并不是相对立的,从目的上看,双方都在为实现社会信任与数据保护而努力。区块链技术可以通过加密秘钥帮助实现细分数据的访问授权,也可以为个人数据的共享和迁移提供基础。
与此同时GDPR是基于数据中心化前提下而对一般数据所采取的严格法律规制措施,从数据技术层面及适用目的层面,GDPR在制定时并没有将区块链技术所带来的分布式应用场景列入考虑范围。GDPR针对的是数据本身,而区块链针对的是技术本身。因此即便是分布式的区块链应用场景,只要涉及到数据信息的内容,就可能被纳入GDPR的适应范围。另一方面,由于区块链应用场景的广泛性特征,相对于GDPR的单一保护性而言,二者在具体的数据应用场景中所体现的适用性还需要具体的案例予以实践和探索。
注:
[1] 京东法律研究院:《欧盟数据宪章》,法律出版社2018年版,第15页。
[2] 详见GDPR第2条。
[3] 详见GDPR第4条。
[4] 《通用数据保护条例(GDPR)和区块链:威胁还是机遇?》,详见https://mp.weixin.qq.com/s/NLLzVvTLPHJhT-cY8ryjaw。
[5] 详见GDPR第5条。
[6] 京东法律研究院:《欧盟数据宪章》,法律出版社2018年版,第82-89页。
[7] 京东法律研究院:《欧盟数据宪章》,法律出版社2018年版,第32页。
[8]《欧盟<通用数据保护条例>不适用于区块链 专家呼吁立法者“开绿灯”》,详见http://36kr.com/p/5127848.html。
[9]零知识证明(Zero—Knowledge Proof),是由S.Goldwasser、S.Micali及C.Rackoff在20世纪80年代初提出的。它指的是证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。详见https://baike.baidu.com/item/%E9%9B%B6%E7%9F%A5%E8%AF%86%E8%AF%81%E6%98%8E/8804311?fr=aladdin。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。