TMT观察网_独特视角观察TMT行业

月初在經(jīng)典互聯(lián)網(wǎng)圈和法律圈有個(gè)熱門(mén)話(huà)題，就是剛剛在歐盟正式生效的 GDPR。

GDPR 的全稱(chēng)是《通用數(shù)據(jù)保護(hù)監(jiān)管條例》（General Data Protection Regulation），這是一項(xiàng)初稿起草于 2012、實(shí)施于 2018 年的隱私法案。

如果你曾經(jīng)看到過(guò)關(guān)于它的新聞，應(yīng)該知道它曾被冠以「人類(lèi)第一部系統(tǒng)性數(shù)據(jù)法案」、「史上最嚴(yán)隱私保護(hù)法」、「讓互聯(lián)網(wǎng)公司破產(chǎn)的法律」之名號(hào)。

然而，你在中文互聯(lián)網(wǎng)上看到的大部分關(guān)于 GDPR 的評(píng)論都是錯(cuò)的，因?yàn)?GDPR 是一部厚達(dá) 5 萬(wàn)字且極為枯燥的法典。絕大多數(shù)媒體在撰寫(xiě)關(guān)于 GDPR 的文章時(shí)并沒(méi)有閱讀原文或咨詢(xún)相關(guān)法律專(zhuān)家。

尤其是在區(qū)塊鏈領(lǐng)域大部分只是翻譯一些外國(guó)媒體的解讀文章，并未有過(guò)深入研究。

但與 GDPR 在經(jīng)典互聯(lián)網(wǎng)領(lǐng)域的影響被夸大不同，GDPR 對(duì)區(qū)塊鏈的影響卻被嚴(yán)重低估：比如標(biāo)題里說(shuō)的這種事情，就很有可能在 GDPR 實(shí)施后出現(xiàn)。

為了讓你真正的了解到 GDPR 對(duì)區(qū)塊鏈的影響，區(qū)塊律動(dòng) BlockBeats 在撰寫(xiě)本文章前咨詢(xún)了一位中國(guó)互聯(lián)網(wǎng)巨頭（且有歐盟出海業(yè)務(wù)）的法律顧問(wèn)，并撰寫(xiě)了本文。

區(qū)塊鏈屬于個(gè)人數(shù)據(jù)么？為什么要?dú)wGDPR管？

首先我們要搞清楚 GDPR 中三個(gè)最基本的定義：個(gè)人數(shù)據(jù)、數(shù)據(jù)控制者、數(shù)據(jù)處理者。

先看個(gè)人數(shù)據(jù)的法條，因?yàn)?GDPR 的一切管理都是基于個(gè)人數(shù)據(jù)的，如果區(qū)塊鏈不屬于個(gè)人數(shù)據(jù)，那么自然也不會(huì)被 GDPR 所管轄。

在 GDPR 第四條定義一節(jié)，開(kāi)篇名義的寫(xiě)道：

「?jìng)€(gè)人數(shù)據(jù)」指的是任何已識(shí)別或可識(shí)別的自然人（「數(shù)據(jù)主體」）相關(guān)的信息；一個(gè)可識(shí)別的自然人是一個(gè)能夠被直接或間接識(shí)別的個(gè)體，特別是通過(guò)諸如姓名、身份編號(hào)、地址數(shù)據(jù)、網(wǎng)上標(biāo)識(shí)或者自然人所特有的一項(xiàng)或多項(xiàng)的身體性、生理性、遺傳性、精神性、經(jīng)濟(jì)性、文化性或社會(huì)性身份而識(shí)別個(gè)體。

按照國(guó)內(nèi)許多媒體和公司斷章取義的解釋?zhuān)瑓^(qū)塊鏈似乎并不應(yīng)當(dāng)被算作 GDPR 中的個(gè)人數(shù)據(jù)。

因?yàn)槟壳暗膮^(qū)塊鏈項(xiàng)目大多數(shù)只包含其中的個(gè)體經(jīng)濟(jì)性特征，而且即便知道了這些經(jīng)濟(jì)性特征，你依然沒(méi)辦法定位到這個(gè)個(gè)體究竟是哪個(gè)自然人。

然而，比國(guó)內(nèi)重視隱私程度高出好幾個(gè)等級(jí)的歐盟看來(lái)，這段話(huà)已經(jīng)很明確的給出了定義。

正確的解讀應(yīng)該是：僅僅將一個(gè)個(gè)體的經(jīng)濟(jì)行為連續(xù)的記錄下來(lái)，就已經(jīng)構(gòu)成了一種可以進(jìn)行自然人識(shí)別的個(gè)人數(shù)據(jù)，即便是這種記錄可能無(wú)法單獨(dú)進(jìn)行自然人識(shí)別。

這在第四條第五款的「匿名化」中可以看出：

「匿名化」指的是在采取某種方式對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理后，如果沒(méi)有額外的信息就不能識(shí)別數(shù)據(jù)主體的處理方式。此類(lèi)額外信息應(yīng)當(dāng)單獨(dú)保存，并且已有技術(shù)與組織方式確保個(gè)人數(shù)據(jù)不能關(guān)聯(lián)到某個(gè)已識(shí)別或可識(shí)別的自然人。

也就是說(shuō)，GDPR 對(duì)個(gè)人數(shù)據(jù)的定義并不理會(huì)數(shù)據(jù)是否以無(wú)法識(shí)別的匿名化形式存儲(chǔ)。

目前大部分代幣發(fā)行類(lèi)的區(qū)塊鏈項(xiàng)目，均可以被認(rèn)為是記錄并存儲(chǔ)了用戶(hù)的經(jīng)濟(jì)性個(gè)人數(shù)據(jù)，而如果使用區(qū)塊鏈技術(shù)驅(qū)動(dòng)更多的應(yīng)用，那么必然會(huì)有更多的用戶(hù)數(shù)據(jù)被記錄。

所以可以得出結(jié)論：區(qū)塊鏈必然是 GPDR 的監(jiān)管對(duì)象之一。

為什么我下載了個(gè)錢(qián)包就違反 GPDR 了？

標(biāo)題里的描述是真的么？我僅僅用個(gè)錢(qián)包也違法？

先說(shuō)結(jié)論：是真的，不過(guò)具體要看歐盟打算執(zhí)行到什么程度。

如果你覺(jué)得這種事情不可能，那么不妨在日本、美國(guó)和歐洲試試用迅雷進(jìn)行下載一部盜版電影，看看會(huì)不會(huì)被警察找上門(mén)甚至坐牢。

GPDR 對(duì)下載者的限制，與歐美對(duì)版權(quán)所作出的限制幾乎完全一致，這意味著除了那些進(jìn)行區(qū)塊鏈創(chuàng)業(yè)的人承擔(dān)風(fēng)險(xiǎn)之外，區(qū)塊鏈（更準(zhǔn)確來(lái)說(shuō)是 dApp）的使用者也存在著法律風(fēng)險(xiǎn)。

要解釋這個(gè)問(wèn)題，我們首先要了解上文提到的另外兩個(gè)概念：數(shù)據(jù)控制者和數(shù)據(jù)處理者。

撇開(kāi)法條我們先舉個(gè)直觀(guān)的例子，假設(shè)區(qū)塊律動(dòng) BlockBeats 上線(xiàn)了一款 App，在用戶(hù)注冊(cè)這個(gè) App 的時(shí)候需要填寫(xiě)一些個(gè)人信息。

此時(shí)，區(qū)塊律動(dòng) BlockBeats 就是 GPDR 中定義的「數(shù)據(jù)控制者」；但區(qū)塊律動(dòng) BlockBeats 是一家小公司，它的服務(wù)其實(shí)是托管在阿里云這樣的云服務(wù)商上的，此時(shí)的阿里云就是 GPDR 中定義的「數(shù)據(jù)處理者」。

在具體法條上，GDPR 規(guī)定，無(wú)論是企業(yè)、機(jī)構(gòu)、自然人只要滿(mǎn)足定義，均被納入數(shù)據(jù)控制者還是數(shù)據(jù)持有者的范疇。

在對(duì)檔案系統(tǒng)的定義中，也將檔案系統(tǒng)定義為一種可以訪(fǎng)問(wèn)的個(gè)人數(shù)據(jù)的結(jié)構(gòu)化集合，而且不論這種標(biāo)準(zhǔn)是去中心化的、分散的、功能性的或是基于地理而設(shè)置的。

如果你把這個(gè)模型套到區(qū)塊鏈上……神奇的事情發(fā)生了，你會(huì)發(fā)現(xiàn)每一個(gè)礦工、冷錢(qián)包、dApp 用戶(hù)都同時(shí)是「數(shù)據(jù)控制者」和「數(shù)據(jù)處理者」！

這是一件非常可怕的事情，有多可怕呢？比如說(shuō) Facebook 泄露用戶(hù)隱私一事，要被罰 2000 萬(wàn)歐元或全球營(yíng)業(yè)額的 4％（哪個(gè)高按哪個(gè)罰）。

如果在經(jīng)典互聯(lián)網(wǎng)中，這筆罰款肯定是 Facebook 以及承接 Facebook 云服務(wù)的服務(wù)商出。而在區(qū)塊鏈中，將由全體礦工、錢(qián)包持有者和 dApp 來(lái)均攤——甚至包括那些下了冷錢(qián)包但里面沒(méi)錢(qián)的用戶(hù)。

從 GPDR 角度，區(qū)塊鏈處處皆違法

互聯(lián)網(wǎng)公司不是講究一個(gè)「合規(guī)」么？如果不違規(guī)，不就不會(huì)罰款？

你說(shuō)的非常對(duì)，大多數(shù)的互聯(lián)網(wǎng)公司在 GDPR 實(shí)施之前就已經(jīng)準(zhǔn)備好了合規(guī)措施。

畢竟，我們都知道歐美的立法過(guò)程其實(shí)非常慢，GDPR 其實(shí)并非一朝一夕完成的。

GDPR 的起草工作要追溯到 2012 年，經(jīng)過(guò)了長(zhǎng)達(dá) 4 年的復(fù)雜立法過(guò)程，最終在 2016 年 4 月宣讀通過(guò)歐洲議會(huì)投票，并且直到 2018 年 5 月才正式開(kāi)始執(zhí)行。

然而問(wèn)題也在這里，GDPR 的起草時(shí)間是 2012 年，那個(gè)年代放眼整個(gè)區(qū)塊鏈行業(yè)還只有比特幣一個(gè)項(xiàng)目「比較流行」。因此 GDPR 的設(shè)計(jì)幾乎完全是按照中心化信息存儲(chǔ)、處理與控制設(shè)計(jì)的，其大部分法條和去中心化設(shè)計(jì)完全不兼容。

甚至可以說(shuō)，區(qū)塊鏈項(xiàng)目存在的本身，就違反 GDPR 中的一堆法條。在這里，我們簡(jiǎn)單的羅列了一些沖突較為嚴(yán)重的法條，以說(shuō)明區(qū)塊鏈和 GPDR 幾乎完全不兼容：

項(xiàng)目方管不住節(jié)點(diǎn)的話(huà)就是違法

看到這么麻煩，區(qū)塊鏈項(xiàng)目的項(xiàng)目發(fā)起方可能會(huì)說(shuō)：所有義務(wù)我來(lái)盡，所有責(zé)任我來(lái)?yè)?dān)，和節(jié)點(diǎn)用戶(hù)沒(méi)關(guān)系。

對(duì)不起，根據(jù) GDPR 規(guī)定和現(xiàn)有的區(qū)塊鏈發(fā)展，這顯然是不行的。

目前大多數(shù)的區(qū)塊鏈項(xiàng)目中，發(fā)起方都是以基金會(huì)的形式控制主要節(jié)點(diǎn)來(lái)形成對(duì)區(qū)塊鏈項(xiàng)目的一定主導(dǎo)，但并沒(méi)有對(duì)其他節(jié)點(diǎn)的法定管理權(quán)。

舉一個(gè)簡(jiǎn)單的例子來(lái)說(shuō)：雖然 BTC 核心團(tuán)隊(duì)掌握著 BTC 的代碼走向，但不同意核心團(tuán)隊(duì)意見(jiàn)的節(jié)點(diǎn)可以對(duì)其進(jìn)行硬分叉，并繼承舊有的所有交易數(shù)據(jù)。

GDPR 的目的是保護(hù)數(shù)據(jù)，既然 BTC 核心團(tuán)隊(duì)并不能保證在一個(gè)節(jié)點(diǎn)「分叉」后不帶走原有交易記錄，那么每一個(gè)節(jié)點(diǎn)就應(yīng)該被視為一個(gè)獨(dú)立的控制者和處理者。

這導(dǎo)致了區(qū)塊鏈項(xiàng)目中的大量個(gè)人節(jié)點(diǎn)，完全無(wú)法合規(guī)——怎么講，你會(huì)為了用個(gè) BTC 錢(qián)包，在歐盟境內(nèi)雇個(gè)合規(guī)律師么？

不止交易所，節(jié)點(diǎn)和錢(qián)包也需要身份驗(yàn)證

為了對(duì)數(shù)據(jù)控制者和處理者進(jìn)行有效的監(jiān)管和追責(zé)，數(shù)據(jù)控制者和處理者當(dāng)然是要實(shí)名的。

這意味著，不只是中心化的交易所，上文提到的礦工、冷錢(qián)包、dApp 用戶(hù)等全都要進(jìn)行 KYC。

而且根據(jù) GDPR 的規(guī)定，無(wú)論這些人和企業(yè)是否在歐盟境內(nèi)，只要他們服務(wù)于歐盟用戶(hù)（可以理解為在主鏈上沒(méi)有 block 歐盟節(jié)點(diǎn)），就都要服從 GDPR 的規(guī)定。

不要覺(jué)得這是一條不可執(zhí)行的規(guī)定，歐盟針對(duì)不在歐盟境內(nèi)的數(shù)據(jù)控制者和處理者給出了解決方案：可以找歐盟境內(nèi)的機(jī)構(gòu)、自然人作為代理人。

這位代理人可以是特定的數(shù)據(jù)出口公司、律所或者是咨詢(xún)律師，一個(gè)代理人可以代理多個(gè)數(shù)據(jù)處理者和控制者。

這位代理人要掌握數(shù)據(jù)處理者和控制者的真實(shí)信息，以確保在出現(xiàn)問(wèn)題時(shí)，歐盟可以做到「雖遠(yuǎn)必誅」。

同時(shí)，在第二章《原則》中的第 6 條作為「什么才算用戶(hù)同意」的補(bǔ)充條款，規(guī)定了怎么才算獲得兒童用戶(hù)同意做出了解釋。

這在實(shí)操層面，還要求一個(gè)區(qū)塊鏈項(xiàng)目，不僅要在每個(gè)用戶(hù)接入的同時(shí)簽下清晰、明確、自愿的數(shù)據(jù)共享協(xié)議，還要判斷如果他是否是一個(gè)兒童來(lái)實(shí)行更嚴(yán)格的措施。

這在操作層面上提出了提前 KYC 的要求。

對(duì)數(shù)據(jù)跨境流轉(zhuǎn)的限制：為歐盟用戶(hù)提供區(qū)塊鏈服務(wù)有法律風(fēng)險(xiǎn)

在 GPDR 中，有多個(gè)法條涉及數(shù)據(jù)的跨境流轉(zhuǎn)，這集中體現(xiàn)在第五章《將個(gè)人數(shù)據(jù)轉(zhuǎn)移到第三國(guó)或國(guó)際組織》中。

其中總體思想是，除歐盟官方認(rèn)定的「數(shù)據(jù)安全第三國(guó)或國(guó)際組織」之外，其余的數(shù)據(jù)跨境流轉(zhuǎn)收入方即便不在 GPDR 的管轄地緣范圍內(nèi)，也必須做出遵守等效于 GPDR 規(guī)定的法律承諾。

用人話(huà)來(lái)說(shuō)就是，如果一個(gè)區(qū)塊鏈項(xiàng)目的中國(guó)節(jié)點(diǎn)，要想接入一個(gè)向歐盟提供服務(wù)的區(qū)塊鏈，必須承諾自己遵守 GDPR，并愿意在發(fā)生泄漏等問(wèn)題時(shí)認(rèn)可歐盟法庭做出的判決。

數(shù)據(jù)主體的權(quán)利：區(qū)塊鏈信息不可修改違法！

數(shù)據(jù)主體的權(quán)利是讓區(qū)塊鏈項(xiàng)目最為頭疼的事情。

什么數(shù)據(jù)主體？通俗來(lái)講就是用戶(hù)，或者說(shuō)是上交自己數(shù)據(jù)的人。

在區(qū)塊鏈里，所有產(chǎn)生交易或會(huì)在主鏈上留下痕跡的節(jié)點(diǎn)（包括非全量節(jié)點(diǎn)）都是數(shù)據(jù)主體。

在 GDPR 中規(guī)定，數(shù)據(jù)主體擁有數(shù)據(jù)可攜帶權(quán)、被遺忘權(quán)、更正權(quán)、限制處理權(quán)等一系列與區(qū)塊鏈設(shè)計(jì)思維不相符的權(quán)利。

以更正權(quán)和遺忘權(quán)為例，GDPR 規(guī)定：

數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)從控制者那里及時(shí)得知對(duì)與其相關(guān)的不正確信息的更正。在考慮處理目的的前提下，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)完善不充分的個(gè)人數(shù)據(jù)，包括通過(guò)提供額外聲明的方式來(lái)進(jìn)行完善。

數(shù)據(jù)主體有權(quán)要求控制者擦除關(guān)于其個(gè)人數(shù)據(jù)的權(quán)利，當(dāng)具有如下情形之一時(shí)，控制者有責(zé)任及時(shí)擦除個(gè)人數(shù)據(jù)：

(a) 個(gè)人數(shù)據(jù)對(duì)于實(shí)現(xiàn)其被收集或處理的相關(guān)目的不再必要；

(b) 處理是根據(jù)第 6（1）條（a）點(diǎn)，或者第 9（2）條（a）點(diǎn)而進(jìn)行的，并且沒(méi)有處理的其他法律根據(jù)，數(shù)據(jù)主體撤回在此類(lèi)處理中的同意；

(c) 數(shù)據(jù)主體反對(duì)根據(jù)第 21（1）條進(jìn)行的處理，并且沒(méi)有壓倒性的正當(dāng)理由可以進(jìn)行處理，或者數(shù)據(jù)主體反對(duì)根據(jù)第 21（2）條進(jìn)行的處理；

(d) 已經(jīng)存在非法的個(gè)人數(shù)據(jù)處理；

(e) 為了履行歐盟或成員國(guó)法律為控制者所設(shè)定的法律責(zé)任，個(gè)人數(shù)據(jù)需要被擦除；

(f) 已經(jīng)收集了第 8（1）條所規(guī)定的和提供信息社會(huì)服務(wù)相關(guān)的個(gè)人人數(shù)據(jù)。

用戶(hù)還有一個(gè)更為讓人疼的權(quán)利叫「撤回同意權(quán)」，顧名思義 GDPR 中規(guī)定所有針對(duì)用戶(hù)的數(shù)據(jù)收集和處理都基于用戶(hù)的同意。用戶(hù)發(fā)起撤回同意權(quán)將激活被遺忘權(quán)。

被遺忘權(quán)有一個(gè)豁免條款，涉及他人利益的數(shù)據(jù)不能被遺忘。比如金融機(jī)構(gòu)的交易信息，一筆交易涉及到兩個(gè)及以上的數(shù)據(jù)主體不能被單一主體主張刪除。

但是，舉個(gè)最簡(jiǎn)單的實(shí)例：最近特別流行的那種把文章或信息直接寫(xiě)入?yún)^(qū)塊鏈主鏈里的，如果不能提供修改過(guò)往文章功能的話(huà)。

一律都違反此規(guī)定，除非在技術(shù)上可以做到這一點(diǎn)，否則存在永久保存作用的主鏈都將被視為「不合法」。

區(qū)塊鏈在歐盟要涼嘛？

如果按照 GDPR 的現(xiàn)行規(guī)定來(lái)執(zhí)行，是的。

但是從長(zhǎng)遠(yuǎn)角度發(fā)展來(lái)說(shuō)并不一定，尤其是對(duì)于公鏈以外的應(yīng)用。

在 GDPR 內(nèi)，除了在定義一章中僅有的一個(gè)法條提到了去中心之外，全文 5 萬(wàn)余字再?zèng)]有提到任何與分布式、去中心、區(qū)塊鏈相關(guān)的內(nèi)容。然而，僅有的一次提及，卻將區(qū)塊鏈整個(gè)行業(yè)納入了其監(jiān)管的范圍。

GDPR 中的許多法條都和區(qū)塊鏈完全不兼容，如果歐盟真的打算認(rèn)真地在區(qū)塊鏈領(lǐng)域執(zhí)行這些法條，反倒不如單獨(dú)寫(xiě)一條更為明確的「禁止使用區(qū)塊鏈技術(shù)」會(huì)更為直觀(guān)。

區(qū)塊鏈的存在客觀(guān)上其實(shí)與 GDPR 達(dá)成了同一目的——數(shù)據(jù)的共享與安全保護(hù)。但受其自 2012 年開(kāi)始起草的時(shí)間所限，GDPR 并沒(méi)有充足的時(shí)間考慮如何利用區(qū)塊鏈進(jìn)行數(shù)據(jù)保護(hù)。

這意味著，GDPR 可能很快會(huì)啟動(dòng)相關(guān)補(bǔ)充條款的指定，以使其兼容區(qū)塊鏈行業(yè)。然而，以歐盟的立法程序，這樣的補(bǔ)充法案從起草到實(shí)施大約需要 4 年時(shí)間。

在這四年期間，GDPR 給了歐盟各成員國(guó)巨大的自由裁量空間。一些對(duì)區(qū)塊鏈抱有敵意的歐盟國(guó)家，可能會(huì)借助 GDPR 來(lái)對(duì)歐盟乃至世界范圍內(nèi)的區(qū)塊鏈公司提起訴訟甚至是制裁。

在歐美國(guó)家，尤其是在商法領(lǐng)域，法律并不總能?chē)?yán)格執(zhí)行但總會(huì)對(duì)行業(yè)頭部定向執(zhí)行。上一部歐盟對(duì)互聯(lián)網(wǎng)界影響巨大的法律動(dòng)作是，2007 年前后歐盟對(duì)一系列反壟斷和反不正當(dāng)競(jìng)爭(zhēng)法案的修訂。

在那之后的 5 年間里，微軟、蘋(píng)果、Google 等公司都先后成為歐盟的「提款機(jī)」，接連不斷的輸?shù)艄偎静⒗U納巨額罰金。

在區(qū)塊鏈領(lǐng)域，目前能看到的一些宣稱(chēng)自身與 GDPR 兼容的區(qū)塊鏈項(xiàng)目，無(wú)一例外是私有鏈或聯(lián)盟鏈，且在技術(shù)底層實(shí)現(xiàn)了數(shù)據(jù)主體對(duì)舊有已分享數(shù)據(jù)的刪除和更正。而絕大多數(shù)的公鏈，正如上文所述與 GDPR 的現(xiàn)有版本完全沒(méi)有兼容性。

另外，別以為你的區(qū)塊鏈項(xiàng)目的落地公司不再歐盟就可以高枕無(wú)憂(yōu)。

如前所述，GDPR 遵循一種隨數(shù)據(jù)流動(dòng)而生效的長(zhǎng)臂管轄規(guī)則，因此一些并未在歐盟設(shè)立實(shí)體的區(qū)塊鏈公司也可能被其納入監(jiān)管范圍。

尤其是在歐洲、美國(guó)和菲律賓設(shè)立公司主體的中國(guó)公鏈項(xiàng)目，可能會(huì)在未來(lái)兩年成為歐盟成員國(guó)政府的「提款機(jī)」。

而對(duì)于身處于歐洲的個(gè)人而言，GDPR 與區(qū)塊鏈的結(jié)合將成為既反盜版相關(guān)法規(guī)之后的又一個(gè)遣返移民的「高效法條」。

在歐盟工作和留學(xué)的中國(guó)人要特別注意：可不要讓人知道你正在使用或參與區(qū)塊鏈項(xiàng)目，否則又被遣返的風(fēng)險(xiǎn)。

目前看來(lái)，區(qū)塊鏈項(xiàng)目想要合規(guī)的最好方法，除了不做公鏈之外，就只能像許多項(xiàng)目屏蔽中國(guó) IP 那樣屏蔽歐盟 IP 了。