作者|PaulKnight
自去年5月份欧盟实施通用数据保护条例以来,关于隐私和数据使用的游戏规则便发生了变化。今年夏天,英国数据隐私监管机构信息委员办公室宣布,其打算以对公共数据管理不当为由,对BritishAirways和MarriottInternational进行罚款,罚款金额分别为1.83亿英镑和9,900万英镑。
不过,尽管GDPR的法律地位似乎很高,尤其是考虑到世界上其他地区也都在草拟类似法规的,但其对越来越数字化的世界所具有的适用性,甚至是其合理性,都正在遭受区块链的挑战。
欧盟监管机构在关于区块链和GDPR的报告中指出,两者之间已经确定了存在“多个张力点”,在区块链的问题上,我们面临大量“法律确定性的缺失”。其中不确定的领域之一就是“个人数据”的定义。GDPR处理的是人们的网上活动和个人信息,但你可能会觉得,作为区块链网络基础的公钥和交易记录是一种不同的数据。
欧盟金融稳定监督机构:需要新法规来涵盖加密集团和智能合约:金色财经报道,欧盟金融稳定监督机构表示,可能需要新的法规来涵盖大型加密货币集团和智能合约,因为它警告说,不断增长的数字资产和DeFi部门可能会对经济构成系统性风险。
随着新的加密资产市场法规(MiCA)将于2024年在集团内部生效,由欧盟央行行长Christine Lagarde主持的欧洲系统性风险委员会(ESRB)在周四的一份报告中警告说,加密贷款和投资的风险以及数字资产市场的高杠杆率仍存在。
虽然MiCA为钱包提供商和稳定币发行人等参与者设定了治理、许可和准备金要求,但它遗漏了加密贷款和押注等领域,这些领域可能“对消费者构成重大风险”。[2023/5/25 10:39:46]
无法更改的记录
美众议院金融服务委员会主席:MiCA法规通过后,欧洲在Web3中领先:金色财经报道,美国众议院金融服务委员会主席Patrick McHenry表示,欧盟新的加密法规MiCA使该地区在Web3技术方面处于领先地位。McHenry认为,欧洲正在通过Web3向人们展示他们领先于美国,这应该会让美国人脊背发凉,因为经济增长来自技术的独创性。他说:这表明美国是多么落后,在技术部署方面,我们应该成为世界领先者,而不是仅次于欧洲。
此前报道,欧洲议会投票通过了加密资产市场监管法规MiCA。[2023/4/26 14:27:03]
个人数据一旦被加密或哈希,界限就会变得模糊。哈希(hashing)指的是一种数据配置,它将个人标识符由一个独一无二、固定长度的代码所取代。但是,如果哈希可以进一步更新为某个特定的“哈希函数”,进而收集个人信息,那这些数据还是个人的吗?通常情况下,答案是肯定的,原因是它只是“假名化”,而非完全的“匿名化”。
检察日报:从预防犯罪视角对私人数字货币实施刑法规制 增设擅自发行数字货币罪:检察日报1月14日发表西南政法大学法学院、重庆市新型犯罪研究中心曾婕署名文章《从预防犯罪视角对私人数字货币实施刑法规制》,文章指出,为了维护货币的发行和流通秩序,世界上大多数国家都通过刑法来规范与货币相关的行为,同时用刑罚来惩罚涉及货币的犯罪行为,甚至以重罪予以打击。私人数字货币犯罪属于新型犯罪,具有严重的社会危害性,尤其是会给国家的货币体系造成极大的冲击。因此,对私人数字货币犯罪进行刑法规制,及时完善刑法漏洞,是当前治理私人数字货币领域各种问题的首要任务。首先,增设擅自发行数字货币罪。其次,取消司法解释、行政法规对伪造货币罪伪造行为的限制。再次,对持有、使用假币罪进行修正。私人数字货币出现后,私人数字货币的使用不仅包括作为货币使用,也包括作为金融工具或金融衍生工具使用;同时,行为人持有、使用的私人数字货币并非是伪造法定货币。[2021/1/14 16:07:42]
这个问题很重要,因为区块链的两个核心功能似乎在更为基础的层面上与GDPR存在冲突。
邓建鹏:资产上链可能和当下的法律法规或者规范性文件相抵触:火币于10月27日~10月28日正式举办“无限未来——2020年区块链大航海时代”行业峰会暨火币集团七周年线上峰会。中央财经大学邓建鹏教授在主题演讲中表示,资产上链涉及登记、存证、确权、流转和交易五大流程,这五个过程都可能会面临各种各样的监管和法律问题,在不同层面上,其有可能和当下的法律法规或者规范性文件相抵触,所以我们在推动行业资产上链时需要特别小心其可能引发的法律风险和监管执法风险。[2020/10/28]
区块链的第一个核心功能就是数据记录的不可更改性。基于区块链账本的设计,想要后续改动和删除数据是异常困难的。虽然这保证了数据记录的可靠性,但是它显然与GDPR的一个关键原则“存储限制”以及被大肆炒作的“被遗忘权”存在冲突。
GDPR的存储限制原则意味着,个人数据的保存时间不得超过为完成收集数据的目的所必需的时间。被遗忘权意味着,个人在某些情况下,可以要求删除以前发布的与其有关的材料。
由此可见,这些矛盾十分显而易见。区块链技术的最大卖点之一是,除了最特殊的情况以外,它不能被随便更改。在这种背景下,区块链如何才能与一项认为个人数据可以被删除的法规相协调呢?
这个问题很难解决,但也不是绝无可能。某种解决方案虽然可能无法确保个人数据的完全清除,只要能满足监管机构的要求,这种方案就能发挥作用。例如,解决方案之一是,删除允许验证的元素(比如哈希函数的“秘钥”)。“秘钥”是一种代码,用于生成哈希,进而隐藏原始数据。尽管这种解决方案不一定会删除区块链账本上的全部数据,但是部分欧盟数据保护监管机构认为,这是构成有效清除的“下一件最棒的事”。
分布式账本
区块链的另一个好处(核心功能)是其账本的“分布式”特征。任何个人或机构都无法控制这个账本的最终记录,而且区块链网络中的每个参与者通常都能持有与完整账本一模一样的副本。不过,虽然这确保了信息共享的可信度和可靠性,但是这让GDPR对于数据“控制者”的分类变得复杂化了。
在GDPR的框架下,决定个人数据的处理目的和手段的人,就是一个“控制者”,该控制者有责任确保这些数据是按照GDPR的数据保护原则进行管理的。区块链在对任何交易都实现分布式和民主化的同时,也将责任(responsibility)以分布式的方式进行了分配。那当出现数据泄露并导致人们的生活受到影响时,谁应该对此负责呢?在区块链领域,想要明确任何数据所有权变更的因果关系也许是不太可能的。
问题还不止于此。在对任何数据组的管理人进行分类方面,GDPR对数据“控制者”(controllors)和数据“处理者”(processors)进行了区分,指出后者需在前者的指导下对数据进行转移和修改。从传统层面来看,这说得过去。数据处理者在数据管理方面有许多职责,但要说最终负责人还是控制者。
然而,在区块链的世界里,账本的分布式特征意味着很难区分“控制者”和“处理者”。法国数据监管机构CNIL最近得出结论,所有区块链参与者都将被指定为“控制者”,控制着区块链在处理交易时产生的数据。
令人担心的是,这可能带来一个问题,即普通的参与者被指定了保护数据的责任,但他们却不能使其他人享受到GDPR规定的权益。
明确立场
正如欧盟不断强调的那样,区块链的两大中心特征很难与GDPR相协调。但作为一项以原则为基础的法规,GDPR的设计初衷是保持技术中立和面向未来。因此,问题的关键并不在于区块链或是GDPR自身,而是对于GDPR下的具体概念应如何应用在区块链领域还缺乏法律明确性。
在缺乏定义明确的法规的清晰框架的情况下,区块链发展可能很难取得进步。所以欧洲数据保护委员会应该同各国监管机构进行协作,出台新的区块链法规。
另外,鉴于英国信息委员办公室对另一项备受瞩目的技术发起的“人工智能审查框架”项目已经结束,除了对“脱欧”事务的关注外,该办公室或许很快会将注意力转向区块链。
原文链接:
https://www.lawgazette.co.uk/practice-points/can-blockchain-overcome-its-privacy-problem/5102188.article
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。