GDPR与区块链分布式存储的法律冲突及解决方案

2018 年 5 月 25 日，欧盟通用数据保护条例（“GDPR”）生效。 GDPR 不仅适用于位于欧盟境内的组织，也适用于欧盟以外向欧盟数据主体提供商品或服务或监控其数据的组织。 行为的组织。 也就是说，只要组织处理和存储居住在欧盟的数据主体的个人数据，无论公司位于世界何处，都将受到 GDPR 的管辖。 GDPR 保护的是“个人数据”，包括与可通过引用标识符直接或间接识别的可识别个人相关的任何信息。 此外，GDPR对数据主体的权利保护也非常严格。 它不仅规定数据主体享有“数据被遗忘”和“数据可移植”的权利，还规定违反GDPR的责任主体可能面临其全球年营业额4%的高额罚款。

GDPR颁布后，以区块链为代表的分布式数据存储与GDPR被遗忘权[1]的冲突凸显出来。 区块链分布式的数据存储方式使得存储的数据无法有效删除，这似乎与个人数据的被遗忘权有着不可调和的冲突和矛盾。 很多区块链行业的公司都在密切关注这个问题，想知道自己的业务是否会涉及到GDPR的监管，以及如何应对这样的变化。

一

区块链上的数据存储

（一）区块链工作原理

在“区块链”中，数据通常被分成块，这些块被散列到现有的账单中。 哈希算法可以将一个文件转化为数字和字母的组合（哈希值），只占用32个字节的空间，并且是单向加密，不可逆。 哈希值可以用来验证某个文件是否在某个时间写入了数据库，因为如果对同一个文件进行哈希处理，结果是完全一样的。 严格来说，区块链并非完全不可篡改，但由于技术的特性，极难被篡改。 分布式存储依赖于非对称两步验证过程的加密。 每个用户都有一个公钥，可以看作是交易的账号，对所有人公开。 此外，每个用户都持有一个私钥，这是一个绝不能与他人共享的密码。 私钥可用于解密使用公钥加密的数据。

节点是存储账单的地方。 一些区块链网络区分“完整”和“轻量级”节点。 全节点存储来自创世块的账单。 全节点能够在没有任何外部参考的情况下独立验证所有交易。 轻量级节点只保留区块链的一部分，它们通过一种称为“简单支付验证（SPV）”的方法完成交易验证。 在公共区块链网络上，任何人都可以下载存储在节点上的数据。 某些节点还充当“矿工”，将交易聚合到候选块中，并根据预先确定的共识协议（例如工作量证明或权益证明）将它们散列到链上。

（二）区块链数据隐私保护

这里必须要问一个问题，区块链上的数据是完全公开的吗？ 区块链上的数据主体完全没有隐私吗？ 人们常常有这样的误解。 事实上，要访问区块链上的某个数据，它必须经过多次测试。 数据主体可以选择合适的方式实现对个人数据的控制和隐私保护。

说到隐私保护，首先要关注公链和私链。 公链完全去中心化，无需任何管理员许可即可加入区块链网络； 私有链有一定的门槛，只有获得许可后才能作为链上节点加入区块链网络。 当然公链与公链之间还有很多中间形式，这里不再赘述。 私有链的设置为保护个人数据建立了第一道防线，因为加入私有链本身就需要数据主体的同意，而数据主体在这一环节具有一定的数据控制能力。

其次，数据主体控制的第二个体现是数据的双重加密。 区块由两部分组成：区块头和区块内容。 区块头包含时间戳、信息来源的身份等； 块内容包含存储的详细数据本身，这是通常加密的部分。

数据加密通常有两种方式：非对称加密和哈希算法加密。 非对称加密是一种双向函数，通常用于加密数据。 非对称加密涉及两个密钥，一对公钥和私钥。 如果数据是用公钥加密的，只有对应的私钥才能解密； 如果数据是用私钥加密的，只有对应的公钥才能解密。 只有拥有密钥的人才能将加密后的数据逆向，恢复到数据的原始状态； 哈希算法会将数据转换成一串由数字和字母组成的哈希值 ，存储在链上。 与加密的区别在于散列过程是不可逆的，散列后的数据不能反推得到原始数据。 虽然通过穷举仍然可能破解hash函数，但可能性极小。

从以上链接可以看出，数据主体有权在区块链上自由选择是否将其个人数据与其信任的接收方共享。 因此，所谓区块链数据信息的公开，其实是有实施条件和前提的。

二

GDPR 和区块链：监管对象问题

(1) 受GDPR保护的“个人数据”

根据 GDPR 的定义，“个人数据”是指与任何已识别或可识别的自然人（“数据主体”）相关的信息； 可识别的自然人是可以直接或间接识别的个人，特别是通过识别个人，例如姓名、身份证号码、地址数据、在线标识符，或一种或多种身体、生理、遗传、精神、自然人独有的经济、文化或社会身份。 [2]

根据 GDPR 声明第 26 条，数据保护原则适用于与已识别或可识别自然人有关的任何信息。 经假名化处理的个人数据，通过附加信息可以追溯至自然人的，视为可识别自然人身份的信息。 为确定自然人是否可识别，应考虑所有合理可能的手段。 判断识别自然人身份的手段是否合理，应当综合考虑识别自然人身份所需要的时间、费用等客观因素，同时考虑当时的技术条件。 因此，数据保护原则不适用于匿名信息，即与已识别或可识别自然人无关的信息，或以匿名形式提供的个人数据，使得数据主体不再或不再可识别。 因此，本条例不涉及对此类匿名信息的处理，包括用于统计或研究目的。 [3] 由此可见，区分“个人数据”与“非个人数据”的关键问题在于“数据的匿名性”。

(2) 区块链上的个人数据

根据在区块链上的存储形式，区块链上的个人数据主要分为以下两类：一类是交易数据（数据本身、加密数据、哈希数据），一类是公钥。

很多交易数据都会包含个人数据。 例如，虽然交易发生在账户之间，与某个人没有直接关系，但根据账户的交易习惯，往往可以推断出账户背后个体的文化身份。 . 哪些交易数据是个人数据不是本文的重点，这里不再赘述。

本章的研究重点是假设某笔交易数据或公钥属于个人数据，其在区块链上的不同存在形式是否会受到GDPR的管辖。

首先，如果数据本身直接上链，这样的个人数据必然会落入GDPR的监管范围，这是不言而喻的。 现实中，个人数据不经任何处理直接存储在链上的情况并不常见，这有两个原因：一是隐私问题，未加密的个人数据通常直接以文本形式展示在链上所有节点面前，显然，完全没有隐私； 另一个原因是存储空间的问题。 众所周知，区块链存储的成本还是很高的。 如果将所有原始文本都移动到链上，那么庞大的存储规模和成本使这变得不切实际。

更常见的场景是将数据加密或散列并存储在区块链上，这就引出了以下问题：

假设存储在区块链上的数据是可识别的个人数据，加密和哈希是否达到匿名化的目的？

根据《欧洲议会和欧盟理事会关于在个人数据处理和免费过程中保护个人数据的指令》第29条成立的工作组于2014年5月发布的《关于匿名化技术的意见》 《个人数据流通》（以下简称《关于匿名化技术的意见》）表明，数据加密和哈希函数是常用的假名化方式，并非“匿名化”方式。 匿名化要达到的法律目的是“不可逆地防止可识别性”； 假名化降低了数据集与数据主体的可链接性； 因此，这是一种有用的安全措施，但不是一种匿名方法。

使用加密数据，密钥持有者可以轻松地重新识别个人数据，因为个人数据仍然存在于数据库中，但以加密形式存在。 如果你没有密钥，如果你知道加密方法，你可以反转原始数据。

哈希函数又称“散列函数”，其最大的特点是不能逆向推导； 这意味着加密导致的逆转风险不再存在。 但如果已知哈希函数的输入取值范围，则可以通过哈希函数重放，破解的可能性依然存在。

与未经任何方式处理的个人数据相比，经过加密或哈希处理的个人数据看似多了一道防线，但仍有被破解的可能。 加密数据无法达到“不可逆地防止身份识别”的目的。 因此，数据的加密通常被认为是数据的“假名化”而不是数据的“匿名化”，区块链上的加密或哈希数据仍可能属于 GDPR 管辖的个人数据范围。

如上所述，每个用户都有一个公钥，可以看作是一个交易账户，对所有人开放。 那么公钥是匿名数据吗？ 我们知道，公钥是由一串数字和字母组成的，只有公钥本身，很难将公钥与个人联系起来，但是如果有人出于某种原因公开了他的公钥，那么公众的密钥必然会成为个人数据，而且与该账户发生过交易的其他账户/公钥也将有可能与特定个人相关联； 更多的研究表明，基于公钥，可以追踪到某人的IP地址。 因此，公钥也极有可能受到 GDPR 的管辖。

三

GDPR 和区块链：监管主体问题

当前的GDPR建立在数据集中存储的背景下。 默认数据会被特定的数据控制主体控制，但没有考虑分布式数据存储的场景。 在分布式存储的场景下，数据不是存储在一个中心化的数据库中，而是存储在系统的各个节点上，这正是分布式存储的优势所在。 数据主体将数据存入区块后，由系统随机选出的矿工将区块中的数据通过哈希算法编入链中，之后链上各节点的账单将更新新加入的节点。

（一）GDPR数据保护责任主体

GDPR下主要有两个责任主体：数据控制者（Data controller）和数据处理者（Data possessor）。 数据控制者是指“决定数据处理目的和方式的自然人或法人”； 数据处理主体是指“代表数据控制者处理数据的自然人、法人、公共权力机构、代理人或其他主体”。 [4] 在很多情况下，当主体具有复杂的多重身份时，将难以确定某个实体是数据控制者还是处理者，需要具体情况具体分析。

（二）区块链数据保护责任主体

在区块链特殊的存储机制下，如何定义区块链上的数据控制主体和数据处理主体？ 在现实中，私有链是区块链企业的普遍选择。 私有链一般都有一定的准入机制和中心化管理机制。 例如，在某个节点加入私有链，往往需要征得私有链运营者的同意。 私有链在运行过程中，也会有类似管理员的角色介入其交易数据的存储，比如设置交易数据的查看权限等。 虽然私有链的设置结构和权限千差万别，这里无法做出准确的定论，但私有链一般都有比较明确的控制主体和数据处理主体。

另一方面，我们仍然难以判断公链或半公链上的数据控制者。 在一条完整的公链上，链上的每个节点都是主体，决定了处理自己个人数据的目的和方式。 他们可以自主选择是否加入公链，是否在公链上记录自己的个人信息，并获得更新他人个人信息的自由。 因此，将 GDPR 的责任放在每个节点上似乎很荒谬。 一方面，由于分布式存储的特点，公链上的节点不具备实际的数据控制权。 比如要求节点删除某条数据，技术上是做不到的； 另一方面，要确认某个时间公链上的节点数量，每个节点的位置和真实身份不太可能被实现。 以经典公链——比特币为例。 比特币网络目前在全球不同的司法管辖区拥有超过 10,000 个节点。 识别这些节点是一项极其困难的任务； 另外，基于对数据主体个人信息的保护，按照GDPR管理超过10000个节点是得不偿失的。

四

GDPR对个人数据的保护及与区块链的冲突

通过以上讨论，我们已经可以看到，虽然GDPR对公链数据控制者的适用性还存在争议，但区块链上的个人数据仍有可能被纳入GDPR的监管范围。 接下来，我们将重点关注GDPR数据主体享有的权利如何与区块链分布式存储方式发生冲突和碰撞。

在GDPR授予数据主体的权利中，可能与分布式存储存在潜在冲突的权利是访问数据的权利、更正数据的权利和删除数据的权利。

1. 数据主体的访问权

“

根据 GDPR 第 15 条，数据主体可以获得数据控制者关于与其相关的个人数据是否正在处理、在何处以及出于何种目的的确认。 此外，数据控制者应免费提供个人数据的电子副本。 这一变化是数据透明度和数据主体赋权方面的重大转变。

在私有链中，数据控制者能否准确确认某个个人数据是否正在被处理，取决于私有链的运行模式、去中心化程度和私有链管理者的权限范围； 而在公链当中，数据主体作为链上的一个节点，可以很容易的获取所有节点上传的数据，包括自己的个人数据，虽然大部分数据是以加密或者哈希的形式存储的。

2. 整改权

“

GDPR 第 16 条规定，数据主体有权要求数据控制者更正其不准确的个人数据，不得无故拖延。 考虑到数据处理的目的，数据主体有权补充不完整的个人数据，包括提供补充声明。

区块链被设计成一个不可篡改的分布式存储系统，这意味着写入区块链的数据不会有被修改的可能。 但第十七条明确规定，数据主体可以提供补充声明对不准确或不完整的数据进行更正，这意味着数据主体只需提供新的信息并在链上写入新的区块即可。 修改或补充现有信息很容易。 区块链上的纠错权实际上是数据纠错权辅以创建新区块。

3. 数据删除权（被遗忘权）

“

GDPR第17条规定，数据主体有权要求数据控制者擦除其个人数据，停止进一步传播数据，并有权要求第三方停止处理数据。 删除的条件包括数据不再与最初的处理目的相关，或者数据主体撤回同意。

众所周知，已经存在于区块链上的数据不会有被删除或擦除的可能。 在这一点上，GDPR的数据删除权似乎与分布式存储有着不可调和的矛盾。 尽管 GDPR 第 17 条第 2 款规定当数据主体要求删除其个人数据时，数据控制者应采取合理步骤（包括技术手段）并通知，但分布式存储不可篡改的技术特性是否可以作为不遵守 GDPR 的原因仍然是一个悬而未决的问题。

可见，删除数据的权限是最有可能与区块链存储发生冲突的权限。 此外，GDPR与区块链在数据保护责任主体上也存在冲突。 也就是说，在私有链上，一般可以确定谁对个人数据保护负责，但对于完全去中心化的公链，将链上节点作为个人数据保护的责任主体是不合理的. 由于其出台背景的限制，GDPR的规定在技术发展面前体现出一定的滞后性。 分布式数据存储这种新的存储方式缺乏考虑，没有纳入GDPR的法律框架对其进行明确规范。 在实践中，不可避免地会出现此类法律适用问题。

五人制

冲突解决和替代存储方式

(1) 链下存储

解决上述矛盾的关键问题是：如何将受监管的个人数据不存储在区块链上。

对于交易数据，信息的链下存储是最直接的解决方案。 将交易数据存储在链下的私有数据库中，可以随时编辑和删除。 目前，许多公司都在开发各种数据链下存储解决方案，将区块链和离线存储相结合，构建一个注重隐私的个人数据管理平台。 然而，数据的下链虽然保证了信息可以随时编辑和删除，但也抹杀了分布式存储的优势。

因此，为了解决不将这些受监管的个人数据存储在区块链上的问题，同时能够利用区块链技术的优势。 有人考虑将个人数据存储在链下，将能够证明数据真实性的证据——哈希值存储在链上。 对同一个离线文件进行哈希计算得到的哈希值是完全一致的，比如离线数据库中的文件。 如果文件以任何形式被篡改，通过比较哈希值，可以断定文件是否真实； 同时，程序设计者还必须严格保护链下数据库，因为链下数据一旦丢失或受到攻击就没有办法恢复。

(2) 零知识证明

对于公钥，冲突解决变得不那么直接了。 公钥作为区块链的必要组成部分，不能转移到链下存储。 中本聪曾提出，如果每笔交易使用不同的公钥组成隐身地址，就可以保证公钥的匿名化和个人信息的保护。 但正如上文所述，虽然使用隐身地址后确实很难追溯至公钥的主人，但每笔交易之间仍存在千丝万缕的联系。 如果信息在某个节点上被公开或泄露，那么公钥背后的个人就变得很容易被识别。

有人建议零知识证明可能是解决问题的方法。 简单地说，它是指证明者在不向验证者提供任何有用信息的情况下，使验证者相信某个断言是正确的能力。 [5] Zcash是第一个使用零知识证明机制的区块链系统。 它公开发布交易信息，但隐藏交易细节。 、收件人和金额。 然而，使用零知识证明是否能被GDPR认可，目前尚无定论。

(3) 匿名化加密算法

根据 GDPR 声明第 26 条，GDPR 不涉及匿名信息的处理。 目前的问题是现有的加密方式大多没有达到GDPR要求的“匿名化”程度。 未来，随着技术的发展和进步，笔者相信很快会出现更先进的数据加密方式和个人数据匿名化。 虽然这一愿景无法在短时间内实现，但作为解决区块链与 GDPR 矛盾的途径之一，值得考虑。 值得注意的是，《关于匿名化技术的意见》承认，在数据中加入“噪声”，并结合必要的保护措施，可能是一种可以接受的匿名化技术。

（四）合同约定

另一种可行的方案是在与数据主体签订的合同中明确说明：由于区块链分布式存储技术本身的特殊性，删除数据在技术上是不可能的，需要数据主体自愿放弃删除的权利。存储在区块 2 上的数据有权删除个人数据，或者赋予数据控制者在链上永久存储个人信息的权利。 在设置相应的合同条款时，应明确放弃删除数据的权利为永久放弃，数据控制者在链上存储个人信息的权利是永久的。 否则，合同到期后，数据控制者仍将面临数据删除的问题。

七

结语

GDPR虽然刚刚出台，但基于区块链技术的理念和发展，法律的滞后性还是比较明显的。 因此比特币的区域密钥丢失，如何平衡个人信息保护与保护技术创新是GDPR面临的首要原则性挑战。 在法律层面，两者面临着冲突。 这一冲突的解决一方面需要依靠GDPR本身的修改和完善，另一方面也需要研发技术的有效调整和规避。

德国马克斯普朗克创新与竞争研究所高级研究员 Michèle Finck 表示：“将区块链用作监管技术本身具有潜力，特别是在数据保护和数据主权的概念方面，我们看到“很多令人兴奋的发展。一个令人兴奋的提议，即区块链技术如何使个人能够对自己的数据拥有更多的控制权。”[6]对于公链来说，任何主体都可以无差别地成为链上的节点。但是，数据在链上的存储不依赖于任何中央管理者，在公链上，很难说谁是信息的控制者，谁来共享这些数据。巧合的是，这正是GDPR的内容在某种程度上，随着技术的成熟，分布式存储技术也有助于实现GDPR的目的，增强数据主体对其个人数据的控制。

当前的区块链项目和业务正日益从简单向复杂发展。 一个公司的业务会不会涉及监管，我们显然无法下定论。 在错综复杂的架构设计和业务叠加中，一不小心，某个环节就可能落入监管的雷区。 本文仅从总体上讨论区块链数据存储与 GDPR 之间的关系。 在具体的实际操作中，企业和开发团队需要对每个案例进行独立分析，并积极征求专业律师的意见。

笔记：

[1] 数据权也称为数据删除权，具体是指数据主体有权要求数据控制者删除其个人数据、停止进一步传播数据，并有权要求第三方停止处理数据。 删除的条件包括数据不再与最初的处理目的相关，或者数据主体撤回同意。

[2] 欧盟通用数据保护条例

[3] 欧盟通用数据保护条例

[4] 欧盟通用数据保护条例

[5]%E9%9B%B6%E7%9F%A5%E8%AF%86%E8%AF%81%E6%98%8E/8804311?fr=阿拉丁

[6] Jordan Daniell比特币的区域密钥丢失，协调区块链技术与欧盟 GDPR 法案，

结尾