GDPR 即《通用數據保護監管條例》(General Data Protection Regulation),這是歐盟一項初稿起草于 2012年,實施于 2018 年的隱私法案。這個法案的實施會給區塊鏈帶來何種影響?區塊律動BlockBeats在咨詢了一位中國互聯網巨頭(有歐盟出海業務)的法律顧問后,撰寫了這篇解讀。
本文核心觀點摘要:
區塊鏈是歐盟 GDPR 的監管對象之一
下載數字錢包、使用 dAPP 的普通用戶,也要承擔數據法律風險
區塊鏈項目管得了自己,管不住節點運營者也是違法
區塊鏈數據無法篡改?不提供修改功能?抱歉,違法了
莫慌,很快就會有適合區塊鏈的補充條款出來,不過要等 4 年以上
月初在經典互聯網圈和法律圈有個熱門話題,就是剛剛在歐盟正式生效的 GDPR。
GDPR 的全稱是《通用數據保護監管條例》(General Data Protection Regulation),這是一項初稿起草于 2012年,實施于 2018 年的隱私法案。
如果你曾經看到過關于它的新聞,應該知道它曾被冠以「人類第一部系統性數據法案」、「史上最嚴隱私保護法」、「讓互聯網公司破產的法律」等名號。
與 GDPR 在經典互聯網領域的影響被夸大不同,GDPR 對區塊鏈的影響卻被嚴重低估:比如標題里說的這種情況,就很有可能在 GDPR 實施后出現。
為了讓你了解到 GDPR 對區塊鏈的影響,區塊律動 BlockBeats 咨詢了一位中國互聯網巨頭(且有歐盟出海業務)的法律顧問,并撰寫了本文。
區塊鏈屬于個人數據么?為什么要歸GDPR管?
首先我們要搞清楚 GDPR 中三個最基本的定義:個人數據、數據控制者、數據處理者。
先看個人數據的法條,因為 GDPR 的一切管理都是基于個人數據的,如果區塊鏈不屬于個人數據,那么自然也不會被 GDPR 所管轄。
在 GDPR 第四條定義一節,開篇名義的寫道:
「個人數據」指的是任何已識別或可識別的自然人(「數據主體」)相關的信息;一個可識別的自然人是一個能夠被直接或間接識別的個體,特別是通過諸如姓名、身份編號、地址數據、網上標識或者自然人所特有的一項或多項的身體性、生理性、遺傳性、精神性、經濟性、文化性或社會性身份而識別個體。
按照國內許多媒體和公司的解釋,區塊鏈似乎并不應當被算作 GDPR 中的個人數據。
因為目前的區塊鏈項目大多數只包含其中的個體經濟性特征,而且即便知道了這些經濟性特征,你依然沒辦法定位到這個個體究竟是哪個自然人。
然而,比國內重視隱私程度高出好幾個等級的歐盟看來,這段話已經很明確的給出了定義。
正確的解讀應該是:僅僅將一個個體的經濟行為連續的記錄下來,就已經構成了一種可以進行自然人識別的個人數據,即便是這種記錄可能無法單獨進行自然人識別。
這在第四條第五款的「匿名化」中可以看出:
「匿名化」指的是在采取某種方式對個人數據進行處理后,如果沒有額外的信息就不能識別數據主體的處理方式。此類額外信息應當單獨保存,并且已有技術與組織方式確保個人數據不能關聯到某個已識別或可識別的自然人。
也就是說,GDPR 對個人數據的定義并不理會數據是否以無法識別的匿名化形式存儲。
目前大部分代幣發行類的區塊鏈項目,均可以被認為是記錄并存儲了用戶的經濟性個人數據,而如果使用區塊鏈技術驅動更多的應用,那么必然會有更多的用戶數據被記錄。
所以可以得出結論:區塊鏈必然是 GPDR 的監管對象之一。
為什么我下載了個錢包就違反 GPDR 了?
標題里的描述是真的么?我僅僅用個錢包也違法?
先說結論:是真的,不過具體要看歐盟打算執行到什么程度。
如果你覺得這種事情不可能,那么不妨在日本、美國和歐洲試試用迅雷進行下載一部盜版電影,看看會不會被警察找上門甚至坐牢。
GPDR 對下載者的限制,與歐美對版權所作出的限制幾乎完全一致,這意味著除了那些進行區塊鏈創業的人承擔風險之外,區塊鏈(更準確來說是 dApp)的使用者也存在著法律風險。
要解釋這個問題,我們首先要了解上文提到的另外兩個概念:數據控制者和數據處理者。
撇開法條我們先舉個直觀的例子,假設區塊律動 BlockBeats 上線了一款 App,在用戶注冊這個 App 的時候需要填寫一些個人信息。
此時,區塊律動 BlockBeats 就是 GPDR 中定義的「數據控制者」;但區塊律動 BlockBeats 是一家小公司,它的服務其實是托管在阿里云這樣的云服務商上的,此時的阿里云就是 GPDR 中定義的「數據處理者」。
在具體法條上,GDPR 規定,無論是企業、機構、自然人只要滿足定義,均被納入數據控制者還是數據持有者的范疇。
在對檔案系統的定義中,也將檔案系統定義為一種可以訪問的個人數據的結構化集合,而且不論這種標準是去中心化的、分散的、功能性的或是基于地理而設置的。
如果你把這個模型套到區塊鏈上……神奇的事情發生了,你會發現每一個礦工、冷錢包、dApp 用戶都同時是「數據控制者」和「數據處理者」!
這是一件非常可怕的事情,有多可怕呢?比如說 Facebook 泄露用戶隱私一事,要被罰 2000 萬歐元或全球營業額的 4%(哪個高按哪個罰)。
如果在經典互聯網中,這筆罰款肯定是 Facebook 以及承接 Facebook 云服務的服務商出。而在區塊鏈中,將由全體礦工、錢包持有者和 dApp 來均攤——甚至包括那些下了冷錢包但里面沒錢的用戶。
從 GPDR 角度,區塊鏈處處皆違法
互聯網公司不是講究「合規」么?如果不違規,不就不會罰款?
這個說法非常對,大多數的互聯網公司在 GDPR 實施之前就已經準備好了合規措施。
畢竟,我們都知道歐美的立法過程其實非常慢,GDPR 其實并非一朝一夕完成的。
GDPR 的起草工作要追溯到 2012 年,經過了長達 4 年的復雜立法過程,最終在 2016 年 4 月宣讀通過歐洲議會投票,并且直到 2018 年 5 月才正式開始執行。
然而問題也在這里,GDPR 的起草時間是 2012 年,那個年代放眼整個區塊鏈行業還只有比特幣一個項目「比較流行」。因此 GDPR 的設計幾乎完全是按照中心化信息存儲、處理與控制設計的,其大部分法條和去中心化設計完全不兼容。
甚至可以說,區塊鏈項目存在的本身,就違反 GDPR 中的一堆法條。在這里,我們簡單的羅列了一些沖突較為嚴重的法條,以說明區塊鏈和 GPDR 幾乎完全不兼容:
項目方管不住節點就是違法
看到這么麻煩,區塊鏈項目的項目發起方可能會說:所有義務我來盡,所有責任我來擔,和節點用戶沒關系。
對不起,根據 GDPR 規定和現有的區塊鏈發展,這顯然是不行的。
目前大多數的區塊鏈項目中,發起方都是以基金會的形式控制主要節點來形成對區塊鏈項目的一定主導,但并沒有對其他節點的法定管理權。
舉一個簡單的例子來說:雖然 BTC 核心團隊掌握著 BTC 的代碼走向,但不同意核心團隊意見的節點可以對其進行硬分叉,并繼承舊有的所有交易數據。
GDPR 的目的是保護數據,既然 BTC 核心團隊并不能保證在一個節點「分叉」后不帶走原有交易記錄,那么每一個節點就應該被視為一個獨立的控制者和處理者。
這導致了區塊鏈項目中的大量個人節點,完全無法合規——怎么講,你會為了用個 BTC 錢包,在歐盟境內雇個合規律師么?
不止交易所,節點和錢包也需要身份驗證
為了對數據控制者和處理者進行有效的監管和追責,數據控制者和處理者當然是要實名的。
這意味著,不只是中心化的交易所,上文提到的礦工、冷錢包、dApp 用戶等全都要進行 KYC(know your customer 了解客戶規則)。
而且根據 GDPR 的規定,無論這些人和企業是否在歐盟境內(可以理解為在主鏈上有無 block 歐盟節點),只要他們服務于歐盟用戶,就都要服從 GDPR 的規定。
不要覺得這是一條不可執行的規定,歐盟針對不在歐盟境內的數據控制者和處理者給出了解決方案:可以找歐盟境內的機構、自然人作為代理人。
這位代理人可以是特定的數據出口公司、律所或者是咨詢律師,一個代理人可以代理多個數據處理者和控制者。
這位代理人要掌握數據處理者和控制者的真實信息,以確保在出現問題時,歐盟可以做到「雖遠必誅」。
同時,在第二章《原則》中的第 6 條作為「什么才算用戶同意」的補充條款,規定了怎么才算獲得兒童用戶同意做出了解釋。
這在實操層面,還要求一個區塊鏈項目,不僅要在每個用戶接入的同時簽下清晰、明確、自愿的數據共享協議,還要判斷如果他是否是一個兒童來實行更嚴格的措施。
這在操作層面上提出了提前 KYC 的要求。
對數據跨境流轉的限制:為歐盟用戶提供區塊鏈服務有法律風險
在 GPDR 中,有多個法條涉及數據的跨境流轉,這集中體現在第五章《將個人數據轉移到第三國或國際組織》中。
其中總體思想是,除歐盟官方認定的「數據安全第三國或國際組織」之外,其余的數據跨境流轉收入方即便不在 GPDR 的管轄地緣范圍內,也必須做出遵守等效于 GPDR 規定的法律承諾。
簡而言之就是,如果一個中國節點,要想接入一個向歐盟提供服務的區塊鏈,必須承諾自己遵守 GDPR,并愿意在發生泄漏等問題時認可歐盟法庭做出的判決。
數據主體的權利:區塊鏈信息不可修改違法
數據主體的權利是讓區塊鏈項目最為頭疼的事情。
什么數據主體?通俗來講就是用戶,或者說是上交自己數據的人。
在區塊鏈里,所有產生交易或會在主鏈上留下痕跡的節點(包括非全量節點)都是數據主體。
在 GDPR 中規定,數據主體擁有數據可攜帶權、被遺忘權、更正權、限制處理權等一系列與區塊鏈設計思維不相符的權利。
以更正權和遺忘權為例,GDPR 規定:
數據主體應當有權從控制者那里及時得知對與其相關的不正確信息的更正。在考慮處理目的的前提下,數據主體應當有權完善不充分的個人數據,包括通過提供額外聲明的方式來進行完善。
數據主體有權要求控制者擦除關于其個人數據的權利,當具有如下情形之一時,控制者有責任及時擦除個人數據:
(a) 個人數據對于實現其被收集或處理的相關目的不再必要;
(b) 處理是根據第 6(1)條(a)點,或者第 9(2)條(a)點而進行的,并且沒有處理的其他法律根據,數據主體撤回在此類處理中的同意;
(c) 數據主體反對根據第 21(1)條進行的處理,并且沒有壓倒性的正當理由可以進行處理,或者數據主體反對根據第 21(2)條進行的處理;
(d) 已經存在非法的個人數據處理;
(e) 為了履行歐盟或成員國法律為控制者所設定的法律責任,個人數據需要被擦除;
(f) 已經收集了第 8(1)條所規定的和提供信息社會服務相關的個人人數據。
用戶還有一個更為讓人疼的權利叫「撤回同意權」,顧名思義 GDPR 中規定所有針對用戶的數據收集和處理都基于用戶的同意。用戶發起撤回同意權將激活被遺忘權。
被遺忘權有一個豁免條款,涉及他人利益的數據不能被遺忘。比如金融機構的交易信息,一筆交易涉及到兩個及以上的數據主體不能被單一主體主張刪除。
但是,舉個最簡單的實例:最近特別流行的那種把文章或信息直接寫入區塊鏈主鏈里的,如果不能提供修改過往文章功能的話。
一律都違反此規定,除非在技術上可以做到這一點,否則存在永久保存作用的主鏈都將被視為「不合法」。
區塊鏈在歐盟要涼嗎?
如果按照 GDPR 的現行規定來執行,是的。
但是從長遠角度發展來說并不一定,尤其是對于公鏈以外的應用。
在 GDPR 內,除了在定義一章中僅有的一個法條提到了去中心之外,全文 5 萬余字再沒有提到任何與分布式、去中心、區塊鏈相關的內容。然而,僅有的一次提及,卻將區塊鏈整個行業納入了其監管的范圍。
GDPR 中的許多法條都和區塊鏈完全不兼容,如果歐盟真的打算認真地在區塊鏈領域執行這些法條,反倒不如單獨寫一條更為明確的「禁止使用區塊鏈技術」會更為直觀。
區塊鏈的存在客觀上其實與 GDPR 達成了同一目的——數據的共享與安全保護。但受其自 2012 年開始起草的時間所限,GDPR 并沒有充足的時間考慮如何利用區塊鏈進行數據保護。
這意味著,GDPR 可能很快會啟動相關補充條款的指定,以使其兼容區塊鏈行業。然而,以歐盟的立法程序,這樣的補充法案從起草到實施大約需要 4 年時間。
在這四年期間,GDPR 給了歐盟各成員國巨大的自由裁量空間。一些對區塊鏈持保守態度的歐盟國家,可能會借助 GDPR 來對歐盟乃至世界范圍內的區塊鏈公司提起訴訟甚至是制裁。
在歐美國家,尤其是在商法領域,法律并不總能嚴格執行,但總會對行業頭部定向執行。上一個歐盟對互聯網界影響巨大的法律動作是,2007 年前后對一系列反壟斷和反不正當競爭法案的修訂。
在那之后的 5 年間里,微軟、蘋果、Google 等公司都接連不斷的輸掉官司并繳納巨額罰金。
在區塊鏈領域,目前能看到的一些宣稱自身與 GDPR 兼容的區塊鏈項目,無一例外是私有鏈或聯盟鏈,且在技術底層實現了數據主體對舊有已分享數據的刪除和更正。而絕大多數的公鏈,正如上文所述與 GDPR 的現有版本完全沒有兼容性。
另外,別以為你的區塊鏈項目的落地公司不再歐盟就可以高枕無憂。
如前所述,GDPR 遵循一種隨數據流動而生效的長臂管轄規則,因此一些并未在歐盟設立實體的區塊鏈公司也可能被其納入監管范圍。
尤其是在歐洲、美國和菲律賓設立公司主體的中國公鏈項目,可能會在未來兩年成為歐盟成員國政府的重點關注對象。
目前看來,區塊鏈項目想要合規的最好方法,除了不做公鏈之外,就只能像許多項目屏蔽中國 IP 那樣屏蔽歐盟 IP 了。
作者 | 0x1
來源 | 區塊律動BlockBeats
