2019年7月24日,欧洲议会公布了一份名为《区块链与〈通用数据保护条例〉(GDPR):分布式账本技术符合欧盟数据保护法律的规定吗?》的研究报告。该报告主要就区块链技术与GDPR合规性之间的冲突进行了探讨,并讲述了如何使区块链技术的使用符合GDPR的规定。此外,报告还建议相关机构采用某些政策来解决区块链与GDPR合规性之间的冲突问题。
上述报告对使用区块链技术所产生的GDPR合规性问题进行了剖析。它还强调了许多学者和相关从业人员已经研究过的许多重要问题,例如区块链技术去中心化的特性难以与GDPR规定中的竞争概念保持一致。此外,由于区块链网络具有不可篡改的特性,利用该技术处理数据主体权利和数据最小化指令等问题时会出现一定的难度。
该报告指出,尽管其研究的是区块链的某些特性与GDPR所存在的冲突,但这并不意味着区块链技术完全符合或者完全违背GDPR的规定。相反,区块链技术是否符合GDPR的规定将取决于特定的区块链使用案例,因此需要进行个案评估。该报告还指出,相比于那些公开的和无需获得许可的区块链网络(例如任何人都可以访问并查看该网络),私人的和需获得许可的区块链网络(例如仅获得授权的个人才能访问并查看该网络)往往会出现一些GDPR合规性方面的问题。
此外,报告还列出了欧洲议会需要进一步考量的一系列政策问题。需要注意的一点是,该报告并不认为GDPR应进行调整以更好地适应新技术(例如区块链技术)的需要。相反,该报告认为欧盟制定GDPR一直遵循的是“技术中立”(technologyneutral)原则,并指出欧盟相关机构应采取其他的政策措施以使GDPR中的相关规定适用于这些新技术。报告所提出的政策方案包括以下几点:
出台监管指南
该报告指出,区块链技术之所以难以与GDPR的规定保持一致主要是因为该部法律中的某些概念存在法律上的不确定性,例如“匿名化”和“消除”的定义。为了解决这一问题,报告建议欧洲数据保护委员会(EDPB)出台或调整如下两种类型的监管指南以确保区块链技术符合GDPR的规定:出台关于区块链技术与GDPR合规性的指南;对当前第29条数据保护工作组(Article29WorkingParty)的指南进行更调整,该指南已经在试图解决GDPR规定中的不确定性问题。此外,报告还列出了上述监管指南应该解决的一系列问题,例如关于匿名化的问题,使区块链参与者遵守GDPR的规定以及区块链技术的使用是否需要进行数据保护影响评估等。
遵循相关行为准则和认证机制
报告建议区块链技术的使用须要遵循GDPR中的行为准则和认证机制以确保此种技术符合GDPR的规定。该报告引用了《欧盟云行为准则》(EUCloudCodeofConduct)作为参考。
为跨学科研究提供资金支持
根据该报告,为了确保区块链技术与GDPR的规定保持一致,仅实施上述两种措施是远远不够的。因为某些技术限制(例如删除区块链上的信息)同样会引起GDPR合规性的问题。有鉴于此,该报告建议相关机构为跨学科研究提供资金支持以解决此类技术限制问题,并制定出对应的管理机制。
近期,EDPB公布了《2019至2020年工作计划》,并指出区块链相关问题将会成为其探讨的一个话题。该机构未来将制定关于区块链的具体指南,并继续对GDPR和区块链技术之间的问题进行监测。(编译自www.lexology.com)
翻译:李艳秋校对:刘鹏