申军|当区块链面对GDPR -从法国CNIL的视角谈起

作者简介：

本文作者为法国执业律师，里昂第三大学法学博士 .

图片来自：公众号【中欧商事合作CECCA 】

2018年5月25日, 欧盟2016年4月27日第2016/679号«数据保护通用规章»(Règlement général sur la protection des donnés或General Data Protection Regulation,以下简称GDPR)正式适用于欧盟全境，自此欧盟对个人性质数据的保护开启了新的篇章。藉由«2018年6月20日第2018-493号法律»及«2018年8月1日第2018-687号法令»，法国将GDPR正式转化为国内法，使之得以在法国具体实施。而区块链(Blockchain或Chaîne de blocs)作为一种透明性及安全性的信息存储与传送技术，最初被用做加密货币比特币的公开交易账簿，后被用于资产转移、产品溯源、以及智能合约的履行，等等。那么区块链与GDPR之间有无交集? 区块链技术会不会因其特殊性而对GDPR的适用造成困难? 2018年9月，就区块链面对GDPR时或有的用途及实施问题，法国国家信息技术与自由委员会(Commission nationale informatique et libertés,以下简称CNIL)做出了相关的初步分析。以下就对CNIL的诸多看法及意见做出介评。

首先需要指出，CNIL在分析文件中所指的区块链，不是广义范畴上的区块链，即所谓的分散式/分享式账簿技术(Distributed Ledger Technology,DLT或Dispositif d’Enregistrement Électronique Partagé, DEEP)。CNIL所指的区块链是狭义范畴上的，即区块链是一个数据库，其中数据被储存和分散于大量的计算机上;在此电子账簿上记录的、自其创立以来的所有簿记(即“交易”)，都能为所有使用者看见。区块链的特点之一为透明性，即所有参与者之间的交易均被显示在电子账簿上; 之二为分享性和去中心化，即数个区块链的样本同时存在于不同的计算机上;之三为不可篡改性，即一项数据一旦被登记，则在技术上不可能被修改或取消;之四为去仲媒化，即所有的决定由参与者的合意达成，没有中央化的裁断。区块链的安全性则由密码学技术所保证。

依照CNIL的说法，在一个区块链中，存有三种行为人。一是获取者(Accédants)，指有权读取区块链，或是有权获得一份区块链拷贝的人。二是参与者(Participants)，指有权在电子账簿上进行数据登记（创造一项交易并将之提交以待核实）的人。三是核实者(Mineurs, 即俗称的“挖矿者”)，指核实参与者之间交易的有效性、然后负责将之登记于区块链上、并运用相关规则创建一个区块链的人。

区块链的种类，则被CNIL划分为三类。其一是公共性区块链(Blockchains publiques)，该类区块链向所有人开放。任何人均可执行交易，参与到区块的核实生效进程，或获得一份区块链的拷贝。其二是待许可区块链(Blockchains à permission)，该类区块链有相关的规则，规定何人可以执行交易、何人可以参与区块的核准过程。因此，待许可区块链可以根据情况对所有人开放或有限度开放。其三是私人性区块链(Blockchains privées)恩恩 我去，该类区块链由单一行为人控制，其单独确保对参与区块链交易的控制，以及对区块核准的控制。

那么区块链与GDPR有无交集呢? CNIL认为，当区块链涉及到个人性质的数据，GDPR就予以适用。

根据CNIL的说法，区块链可以包含两大类个人性质的数据。其一为区块链“参与者”与 “挖矿者”的用户名。他们中的每个人都拥有一个由一系列看似偶然的数字与字母组成的用户名。其二为补充性数据，即在上述用户名之外，储存于区块链之上的补充性数据可能包括个人性质的数据，这些数据或与“参与者”与“挖矿者”以外的人相关。

毋庸置疑，区块链的设计及专属特性对个人性质数据的存储及处理方式会产生诸多影响。不过，其所代表的技术革新和对个人数据的保护并不互相对立。事实上，GDPR不是为了规管区块链技术本身，而是为了规管在有涉个人数据的背景下相关行为者对该技术的运用。

具体而言，CNIL对区块链行为人在GDPR框架下的性质认定做出了相应的评判。

1. 关于区块链中“数据处理负责人”的认定

依据GDPR第4条(7)项的规定，数据处理负责人或控制人(Responsablede traitement或Controller)是指决定数据处理的目标及方式的人，包括法人与自然人。所以，如果需要决定 “为何”及“如何”处理个人性质的数据，相应的人员就是数据处理负责人。就区块链技术而言，由于其数据处理介入者的多样性，以及数据管理的非中心化，对数据处理负责人的认定相对复杂。

根据CNIL的看法，区块链中的“参与者”(Participants)可以被视为GDPR所称的数据处理负责人。

如前所述，“参与者”有权在区块链上进行交易，以及决定将相关数据交由“挖矿者”核实。其不仅决定了最终目的(将交易数据提交以待核实)，而且决定了实现此数据处理的手段(比如采用何种数据格式，诉诸区块链，等等)。因此，区块链中的“参与者”可被看成数据处理负责人，而受到GDPR相关条款的规束。

CNIL举例说，当区块链的“参与者”是自然人，且个人数据的处理是与职业或商业活动相关，其就是数据处理负责人。比如一名公证员将其客户的所有权凭证登记于区块链上，该公证员即是相应的负责人。当区块链的“参与者”是法人，且其将个人性质的资料登记在区块链上，其亦为数据处理负责人。比如一家银行在客户管理的框架下，将其客户的资料登记在一个区块链上，该银行则为相应的负责人。

反之，区块链中的“挖矿者”或“核实者”，则不被视为数据处理负责人，因为其仅限于将 “参与者”提交的交易予以核实，但不干预这些交易的目标，所以其并不决定数据处理的目的及运用的手段。

此外，基于GDPR第2条第2款第(c)项的规定，即纯粹个人或家庭式的活动不属于该规章的适用范围，如果一个自然人在自己的职业或商业活动之外，将个人性质的数据登记在一个区块链上，其就并非数据处理负责人，譬如一个自然人为了个人利益在区块链上进行比特币的买卖。反之，倘若某个自然人在职业或商业框架下以他人之名从事相关买卖，其则为数据处理负责人。

2. 关于区块链中“数据处理分包人”的认定

依据GDPR第4条(8)项的规定，数据处理分包者(Sous-traitant 或Processor)是指以数据处理负责人之名而进行数据处理的自然人或法人。在CNIL看来，在某些情况下，区块链中的“核实者”或“挖矿者”可能被视为GDPR下的数据处理发包人。

实际上，在其核实一项交易遵守诸项技术标准时(比如核实交易的某种格式，某种容量限度，以及核实“参与者”是否有能力在区块链上实行交易)，“挖矿者”实则是在执行数据处理负责人的指示。因此，“挖矿者”应该和“参与者”(即数据处理负责人)，依照GDPR第28条的相关条文，订立一份合约以为明确双方各自的义务。

CNIL因此举例说，如果数个保险公司决定一起创立一个“待许可区块链”，以进行旨在遵守其收集客户资料的法定义务之数据处理，它们可以决定将其中的一员作为数据处理负责人。在此情形下，其它的保险公司，在核实相关的交易时，可能被视作是区块链中的“挖矿者”，而因此被视为数据处理分包人。

另外，CNIL认为，一个智能合约(Smart contract 或 Contrat intelligent)软件设计师，为了数据处理负责人的利益而处理个人性质的数据时，可被视为数据处理分包人。比如，一个软件设计师向一家保险公司建议开发一款智能合约软件，以便在航空乘客误机时，对乘客予以旅行保险合同框架下的自动化赔偿。此种情况下，该软件设计师将被归类为该保险公司(即数据处理负责人)的数据处理分包人。

在认为GDPR依照情势适用于区块链的同时，CNIL也坦言，区块链技术所代表的一些特性，对GDPR的适用造成了一定的问题，故需一些技术性的解决方法以使相关合规接近GDPR的要求。以下择要举例说明。

1.“删除权”或“被遗忘权”

当个人性质的数据被登记在区块链上，对相关人员来说，行使删除权或被遗忘权((Droità l’effacement (‘droit à l’oubli’)或Right to erasure (‘right to be forgotten’)) 的请求在技术上是不可能的，因为出于免遭日后篡改之虞，以及出于交易透明性的考量，相关数据不得在登记后予以修改，只允许加入新的数据。而根据GDPR第17条的规定，相关个人可以要求行使前述权利，即得以要求数据处理负责人删除其个人性质的数据。对此CNIL的看法是，当登记在区块链上的数据是一种由散列函数（或称哈希函数）等技术获取的数据指纹时，数据处理负责人就可使相关数据几近不能获取。如是则接近于数据删除的效果，亦和GDPR的相关合规相接近。

2.“修正权”

依照GDPR第16条的规定，相关人员有权要求数据处理责任人对不确切的个人数据进行修正。而对区块链而言，当无加密或加密的数据在区块链上登记时，行使修正权(Droit à la rectification 或Right to rectification)在技术上亦不可能。而CNIL则认为，虽然在某个区块上登记的数据不可能被予以修改，但这应该引导数据处理责任人将更新的数据登记到一个新的区块上。根据它的看法，一个后来的交易总是可以取消最初的交易，即使后者会一直显示在区块链上。所以CNIL判断，这种解决方法，在相关人员要求撤销在区块链上出错的个人性质的数据时，也可以适用。

至于相关人员对个人性质数据拥有的一些其它权利，比如GDPR第15条规定的获取数据及信息权(Droit d’accès或right of access)、第20条规定的数据可携带权(Droità la portabilité des données或 Right to data portability)，CNIL认为这些权利之行使，与区块链的技术特性是相符合的，没有什么适用GDPR的困难。

另外，如上所言，CNIL将区块链分成三类，即公共性区块链、待许可区块链和私人性区块链。那么CNIL对这些特定种类的区块链和GDPR之间或有的相容性持何看法呢? 以下撷取相关信息以作说明。

根据CNIL的说法，所有在区块链上进行的交易意味着:其一，面向区块链的所有“挖矿者”发送一个核实一项交易的请求，因此也有可能发送个人性质的数据。其二，面向一个区块链的所有行为者添加一个新的区块，以对相关区块链进行更新。

就公共性区块链而言，CNIL认为，在欧盟之外的个人性质数据的转移，在此类区块链的框架下，实践中可能会遇到与GDPR相关义务合规的困难,因为在此情况下，数据处理负责人可能会很难查控分布在欧盟之外“挖矿者”的所在位置，因而也很难确保对可能传输出去的个人数据采取相应程度的保护措施，以致不能达到GDPR的相关合规要求。如是，如果诉诸一种区块链技术不一定能达致对个人数据的保护目标，CNIL建议数据处理负责人可以选择可替代的其它解决之道，以确保与GDPR尽可能合规。

就待许可区块链而言，CNIL则评估说，基于其具备的特性，即或是可以对所有人开放，或是可以对部分人开放，该区块链可以对个人数据的管理进行更好的掌控。而既有的针对欧盟之外数据转移的解决办法，比如界定个人数据转移的约束性公司规则，或是由欧盟委员会采用的相关标准式合同条款，完全适用于待许可区块链。所以在针对此类数据传输时，与公共性区块链相比，待许可区块链能够确保针对相关数据的适宜及足够的保护，也因此符合GDPR的相关要求。

就私人性区块链而言，在CNIL看来，该区块链实质上是一个传统性的分散式简单数据库，所以其不存在与GDPR合规的特别问题。不过CNIL特别指出，对一个非公共的区块链来说，从GDPR在数据安全性方面的要求考量，为确保此类区块链的保密性，必须要对采取的相关措施进行特别的监督。

综上所述，CNIL就区块链与GDPR的互动性与相容性做出的相关分析，对未来法国政府或有的相关法律监管，无疑提供了不容忽视的参考意见。据悉CNIL会和欧盟其它成员国的对等机构一起讨论相关议题，并会与法国金融市场管理局(Autoritédes marchés financiers, AMF)、法国审慎监控与争议解决署（Autorité de contrôle prudentiel et derésolution, ACPR,即法国银行与保险业的监管当局）进行沟通，以便相关的行为人能够更好地明悉多种适用于区块链的法律规范。实际上，法国金融与货币法典(Code monétaire et financier)已对区块链在金融行业的运用设定了相应的法律框架。而GDPR去年在法国实施后，法国政府又颁布了«2018年12月12日第2018-1125号行政命令»以及«2019年5月29日第2019-536号法令»，以便改善国内相关司法框架的清晰度，使得相关规章性条款与GDPR相符。法国近年来在加密货币、加密资产乃至加密经济的监管方面动作频频，而在区块链框架下的个人数据保护方面，2019年6月1日生效的法国新的«信息技术与自由法»是否会在将来又有新的法律亮点，将非常值得期待。

本文首发于中欧商事合作协会CECCA，经作者本人授权转载。