2025年4月14日,欧洲数据保护委员会(EDPB)发布《关于通过区块链技术处理个人数据的第 02/2025 号指南》。由于区块链技术具有分布式、去中介化等特性,在处理个人数据时会带来合规风险和对数据主体权利与自由的风险。该指南旨在为使用区块链技术处理个人数据的组织提供合规框架,涵盖了区块链技术原理、数据处理评估、数据主体权利等方面内容,并给出了具体建议,强调应通过技术和组织措施确保符合《通用数据保护条例》(GDPR)要求。
一、区块链技术简介
技术特性:区块链是一种分布式、去中介化、一致且防篡改、透明的数据库技术,使用密码学工具和去中心化存储系统,能提供数据完整性和可用性保障,但实际服务水平缺乏标准化。
分类方式:按访问、参与和控制基础设施政策,分为公共无许可区块链(如比特币、以太坊)和私有许可区块链(常用于企业)等类型,还有 “零知识区块链” 等特殊类型。
数据构成:区块链存储交易元数据(含用户标识符等,可能构成个人数据)和有效载荷(如加密货币数量、文档链接等,也可能包含个人数据),数据可存储在链上或链下。
角色职责:涉及多种角色,需根据服务性质、治理机制等确定数据控制者和处理者的责任,许可区块链有助于明确责任分配。
二、基于区块链的数据处理评估
1、评估的重要性与核心问题:区块链虽为技术手段,但会对个人数据处理及GDPR合规性产生影响。在运用区块链处理个人数据前,控制者需评估诸多关键问题,如区块链数据是否包含个人数据、使用区块链的必要性及替代方案、应选用的区块链类型、所采用的技术和组织措施等。这些评估内容不仅是确定数据处理可行性的基础,也是保障后续处理活动合法合规的关键。
2、个人数据处理的考量:在区块链上存储个人数据时,直接以可识别形式存储会带来诸多问题。一旦数据存储,修改或删除极为困难,这与GDPR的相关原则相悖。为解决这一问题,可采取多种措施。例如,加密个人数据,使只有掌握密钥者才能查看明文,但加密数据仍受GDPR约束,且长期存储存在算法被破解风险;存储加盐或带密钥的哈希值,原始数据和密钥存储在链下,虽能降低数据恢复风险,但会在其他组件产生数据处理风险;使用加密承诺,在原数据和见证删除后,链上承诺将失去作用。若必须在区块链存储个人数据,应采用如指针、加密承诺或带密钥哈希函数生成的哈希等形式,将验证数据存储在链下,并确保高度保密性。仅在处理目的合理且通过数据保护影响评估(DPIA)证明风险已妥善处理时,才允许在公共区块链上以直接识别形式存储个人数据。
3、数据保护原则的落实
基本原则概述:数据保护原则是GDPR的核心,包括公平、透明、目的限制、数据最小化、准确性、存储限制、保密性和完整性等原则,控制者有责任有效落实这些原则。
具体原则分析:公平原则要求处理数据时不能损害数据主体权益,相关措施应保障数据主体权利;透明原则强调控制者要对数据主体公开数据处理方式,便于其了解和行使权利;目的限制原则下,区块链的去中介化特性使参与者关系难以通过合同约束,控制者需明确处理目的,达成目的后按规定处理数据;数据最小化原则受区块链特性挑战,控制者应确保仅处理必要数据,并考虑数据公开程度;准确性原则要求重视数据处理前期筛选,确保数据准确;存储限制原则方面,区块链上数据删除困难,需特殊架构设计,也可通过删除链下数据防止数据主体被识别;保密性原则依赖区块链类型和相关机制保障;完整性原则依靠协议、共识机制和节点信任保证,同时可采取额外措施加强安全。
4、处理的合法性依据:区块链基础设施上的不同数据处理活动需依据具体目的确定合适的法律依据,这些依据必须符合GDPR第6条规定。若处理涉及第9条第1款的数据,还需满足第9条第2款的例外情形。以同意作为法律依据时,必须严格符合GDPR相关条款要求,且当同意撤回时,相关个人数据应删除或匿名化。在特定情况下,如基于反洗钱或资产清查需求,可对数据主体权利进行限制,但必须符合法律规定的比例原则、明确性原则和必要性原则。此外,当处理活动符合控制者或第三方的合法利益,且该利益未被数据主体的利益或基本权利和自由超越时,也可作为合法处理的依据。
5、国际数据转移的规范:区块链技术常涉及国际数据转移,尤其是当节点分布在欧盟以外时。任何将个人数据转移到欧盟以外的行为,都必须严格遵守GDPR第五章的规定。控制者有责任识别数据转移情况,并采用合适机制确保数据流动合规,例如在合同中纳入标准合同条款。在设计区块链活动时,就应充分考虑数据转移要求,采用隐私设计架构有助于评估合规义务。
6、数据保护设计与默认设置:数据保护设计和默认设置强调有效性,控制者需运用特定措施落实数据保护原则,保障数据主体权利。在区块链环境中,由于技术特性与数据保护原则存在挑战,可能需要结合多种隐私增强技术来实现充分的数据保护。
7、数据保留期限的设定:控制者应根据数据处理目的确定每个数据的保留期限,不能因区块链数据的防篡改特性就默认以区块链的生命周期作为数据保留期限。不同类型的个人数据,如元数据和有效载荷数据,都应设定相应的保留期限,期限结束后数据必须删除或匿名化。若处理不需要与区块链生命周期相同或更长的保留期限,应避免在区块链上写入个人数据,除非能有效防止数据主体被识别。若保留期限与区块链生命周期一致,控制者需证明其必要性和比例性,并妥善记录分析过程。
8、安全保障措施:区块链的安全性依赖参与者行为、节点数量和加密机制。为保障安全,需评估必要的安全保障措施,如防范51%攻击,在许可区块链中可通过合同和管理权限实现。同时,要防止参与者因钱包被破解或内部人员违规导致的意外或未经授权交易,参与者自身也应实施技术和组织保障措施。针对潜在算法故障,应制定技术和组织程序,包括披露软件漏洞、制定应急计划、通知安全事件和数据泄露等。此外,还需记录区块链软件和协议变更的治理情况,确保计划权限与实际应用一致。对于非公共区块链,要特别关注保密性措施,保障密钥安全,全面评估区块链处理的安全性,上传和处理的数据应符合数据保护要求,仅包含最小化的个人数据。
9、数据保护影响评估(DPIA)的实施:当基于区块链的数据处理活动可能对数据主体权利和自由造成高风险时,必须进行DPIA。风险来源不仅包括数据存储,还涉及区块链模型的其他操作,如交易通信、数据管理等。控制者在分析时,需评估区块链的问责和治理机制能否应对处理风险,同时考虑第三方处理相关数据的情况,保障GDPR原则的应用。区块链加密机制的稳健性有助于保护隐私,但加密系统存在寿命限制,需管理其过时和被破解的风险。在进行DPIA时,应系统描述区块链处理操作,评估处理的必要性和比例性、数据主体面临的风险,以及应对风险的具体措施,且在某些情况下,DPIA应是一个持续的过程。
三、数据主体权利保障
1、信息告知、访问与数据可移植权
信息告知:数据控制者有责任在提交个人数据给节点进行验证前,向数据主体提供简洁明了、易于获取的信息。这些信息涵盖了数据处理的基本情况,包括数据处理的目的、方式、涉及的数据类型等,让数据主体充分了解自身数据的流向和用途 。
访问与数据可移植权:只要数据控制者严格履行GDPR中关于这两项权利的规定,区块链技术的特性并不妨碍数据主体行使访问权和数据可移植权。数据主体有权访问自己的个人数据,了解数据的存储、使用情况;同时,在符合规定的情况下,能够将自己的数据从一个系统转移到另一个系统,保障数据的流动性和可操作性。
2、删除权与反对权
设计要求:从设计层面出发,数据处理系统必须确保数据主体的删除权和反对权得以实现。这意味着在构建基于区块链的数据处理架构时,就应充分考虑到可能出现的数据主体行使这两项权利的情况,并预留相应的处理机制。
技术困境与应对措施:由于区块链的加密和共识机制保证了数据的强完整性,在区块链上直接删除个人数据在技术上往往难以实现。一旦数据被记录在区块链上,修改或删除会破坏数据的一致性和完整性,导致整个区块链的安全机制受到影响。因此,数据控制者需要提前规划,当收到数据主体的删除请求或反对处理请求时,确保存储在区块链上的个人数据能有效匿名化。这通常需要对相关的交易数据进行处理,使其无法直接识别数据主体,同时删除可能用于间接识别数据主体的链下数据。考虑到实际操作的困难,如果区块链的强完整性特性并非必要,可考虑其他更便于实现数据主体权利的技术工具。
3、更正权
设计原则:同样遵循设计即合规的原则,在数据处理设计阶段就应将数据主体的更正权纳入考量,确保更正权能够有效实现。
实现方式:在一些情况下,通过后续的交易声明取消之前错误的交易,可视为满足了数据主体的更正权要求,尽管原错误交易仍会在区块链上留存记录,但后续交易的声明能够明确纠正错误。而在另一些需要删除错误数据的情况下,则可采用与处理删除请求类似的方式,即删除或匿名化相关数据,以实现对错误数据的更正。
4、对自动化决策的反对权
适用范围:当智能合同的执行构成自动化决策,且该决策属于GDPR第22条规定的范围时,数据控制者必须严格确保相关保障措施得到落实。
保障措施:这些措施包括允许人工干预自动化决策过程,避免完全由算法决定结果,以防止出现不合理或错误的决策。同时,赋予数据主体对决策提出质疑和反对的权利,即使智能合同已经执行,且区块链上已记录相关决策,数据主体仍有权对决策的合理性进行挑战,确保自身权益不受侵害。
四、指南建议与总结
1、架构相关建议
详细记录数据处理信息:建议控制器和处理器详细记录区块链数据是否包含个人数据,使用区块链进行数据处理的必要性和合理性,以及对比其他可替代方案的情况。这有助于在数据处理前全面评估区块链技术的适用性,避免盲目使用带来的合规风险。对于选用的区块链类型,如是否采用私有、许可或 “零知识” 架构等,也需明确记录,为后续的数据处理活动提供清晰的架构框架,便于监管和内部审查。
优先选择链下存储个人数据:鉴于区块链存储个人数据可能引发的风险,建议控制器将交易元数据中链上已存在标识符之外的个人数据存储在链下。这样做可在一定程度上降低数据泄露、难以删除修改等风险,符合GDPR中对数据保护的要求,保障数据主体的权益。
2、信息管理建议
明确告知数据主体相关信息:数据控制器有责任以清晰易懂的方式告知数据主体数据处理的基本原理、他们所拥有的权利以及具体的行使方式。告知时间应选择在数据主体即将向区块链提交数据或区块链创建之时,确保数据主体在关键节点充分了解自身权利和数据处理情况。此外,信息还应在其他时间便于数据主体获取,如在控制器的官方网站上发布,方便数据主体随时查阅,增强数据处理的透明度。
3、数据处理规范建议
严格遵循数据最小化原则:控制器应确保仅处理与数据处理目的直接相关且必要的数据,对链上和链下存储的个人数据数量、存储时长以及访问权限进行严格控制和最小化处理。这有助于减少数据暴露风险,降低数据处理成本,同时也符合GDPR中数据最小化的原则。对交易元数据和有效载荷数据在这方面的评估过程需详细记录,以便追溯和审查。
强化信任保障机制:在区块链技术的实施过程中,建议通过国际标准认证、独立第三方认证等方式,确保软件和节点身份的可信度。这有助于增强区块链网络的安全性和稳定性,减少因软件漏洞、节点不可信等因素导致的数据安全问题,保障数据处理的可靠性。
4、法律与合规建议
完善法律强制使用区块链时的规定:当欧盟或成员国法律强制要求使用区块链技术时,建议立法者明确规定可接受的公开程度,严格限制数据的过度公开,防止个人数据泄露。同时,明确禁止任何可能导致数据泄露的行为,对违反规定的行为制定相应的处罚措施,确保在法律层面保障数据的保密性和安全性。
规范基于同意的处理活动:若数据处理以同意为法律依据,必须确保数据主体的同意是完全自愿、明确知晓相关信息后做出的,且能够自由拒绝或撤回同意而不会遭受任何不利影响。在技术实施上,应确保区块链架构具备相应的功能,即当数据主体撤回同意时,存储在区块链上的个人数据能够通过删除链下相关数据等方式实现匿名化处理。对于那些无法在交易结束后删除个人数据的区块链架构,不建议将同意作为数据处理的法律依据,以保障数据主体的权利。
全程贯彻数据保护设计与默认原则:在数据处理的整个生命周期中,从最初的设计阶段到实际处理过程,都应将所有数据保护原则融入其中。所有数据处理操作都应与处理目的相适应,具备必要性和合理性。默认情况下,在公共区块链上,未经数据主体主动干预,个人数据不应被随意访问,确保数据在默认状态下的安全性。
合理设定数据保留期限:根据GDPR的相关条款,建议根据数据处理目的为区块链上的元数据(如用户标识符)和有效载荷数据设定合理的保留期限。若数据保留期限短于区块链的生命周期,必须采用特定技术解决方案确保数据在保留期限结束后能够被正确删除或匿名化。若无法实现这一目标,则不应在区块链上存储相关个人数据,避免因数据长期留存带来的风险。
5、安全保障建议
全面评估与应对安全风险:对保障区块链安全所需的各类安全措施进行全面评估,根据不同的风险类型和级别制定相应的防护策略。针对潜在的算法故障,制定详细的技术和组织程序,包括及时披露软件漏洞,当发现漏洞时能够迅速启动应急计划,对算法进行修改或修复。同时,建立有效的安全事件和个人数据泄露通知机制,及时通知相关监管机构(SAs)和受影响的数据主体,降低安全事件造成的损失。
规范软件与协议变更管理:详细记录区块链软件和协议变更的治理过程,包括变更的原因、内容、实施时间等信息。制定相应的技术和组织程序,确保软件和协议的实际变更与预先设定的规范保持一致,避免因变更管理不当导致的安全漏洞和数据处理错误。
加强区块链保密性管理:当使用公共区块链并非数据处理的必要需求时,应采取有效措施限制对区块链的访问,确保区块链的保密性。这些措施包括但不限于设置访问权限、加密传输数据等,并对措施的实施过程和效果进行详细记录和定期验证,防止未经授权的访问和数据泄露。
6、数据主体权利保障建议
确保数据主体权利不受限制:无论是技术实施方式的选择,还是数据主体的同意,都不能成为限制数据主体权利的理由。数据主体的权利必须严格按照GDPR的规定得到充分保障。当数据主体根据GDPR第21条提出反对处理请求或根据第17条提出删除请求时,技术实现上应确保能够及时对个人数据进行删除或匿名化处理,切实维护数据主体的合法权益。
转载链接:https://www.tbtguide.com/c/mypt/gwxw/596423.jhtml
关注“广东技术性贸易措施”,获取更多服务。
来源:www.gdtbt.org.cn
沪公网安备 31011502006428号