核心观点摘要:区块链是欧盟 GDPR 的监管对象之一;下载数字钱包、使用 dAPP 的普通用户,也要承担数据法律风险;区块链项目管得了自己,管不住节点运营者也是违法;区块链数据无法篡改?不提供修改功能?抱歉,违法了;莫慌,很快就会有适合区块链的补充条款出来,不过要等 4 年以上。
月初在经典互联网圈和法律圈有个热门话题,就是刚刚在欧盟正式生效的 GDPR。
GDPR 的全称是《通用数据保护监管条例》(General Data Protection Regulation),这是一项初稿起草于 2012、实施于 2018 年的隐私法案。
如果你曾经看到过关于它的新闻,应该知道它曾被冠以「人类第一部系统性数据法案」、「史上最严隐私保护法」、「让互联网公司破产的法律」之名号。
然而,你在中文互联网上看到的大部分关于 GDPR 的评论都是错的,因为 GDPR 是一部厚达 5 万字且极为枯燥的法典。绝大多数媒体在撰写关于 GDPR 的文章时并没有阅读原文或咨询相关法律专家。
尤其是在区块链领域大部分只是翻译一些外国媒体的解读文章,并未有过深入研究。
但与 GDPR 在经典互联网领域的影响被夸大不同,GDPR 对区块链的影响却被严重低估:比如标题里说的这种事情,就很有可能在 GDPR 实施后出现。
为了让你真正的了解到 GDPR 对区块链的影响,区块律动在撰写本文章前咨询了一位中国互联网巨头(且有欧盟出海业务)的法律顾问。
区块链属于个人数据么?为什么要归GDPR管?
首先我们要搞清楚 GDPR 中三个最基本的定义:个人数据、数据控制者、数据处理者。
先看个人数据的法条,因为 GDPR 的一切管理都是基于个人数据的,如果区块链不属于个人数据,那么自然也不会被 GDPR 所管辖。
在 GDPR 第四条定义一节,开篇名义的写道:
「个人数据」指的是任何已识别或可识别的自然人(「数据主体」)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。
按照国内许多媒体和公司断章取义的解释,区块链似乎并不应当被算作 GDPR 中的个人数据。
因为目前的区块链项目大多数只包含其中的个体经济性特征,而且即便知道了这些经济性特征,你依然没办法定位到这个个体究竟是哪个自然人。
然而,比国内重视隐私程度高出好几个等级的欧盟看来,这段话已经很明确的给出了定义。
正确的解读应该是:仅仅将一个个体的经济行为连续的记录下来,就已经构成了一种可以进行自然人识别的个人数据,即便是这种记录可能无法单独进行自然人识别。
这在第四条第五款的「匿名化」中可以看出:
「匿名化」指的是在采取某种方式对个人数据进行处理后,如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存,并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。
也就是说,GDPR 对个人数据的定义并不理会数据是否以无法识别的匿名化形式存储。
目前大部分代币发行类的区块链项目,均可以被认为是记录并存储了用户的经济性个人数据,而如果使用区块链技术驱动更多的应用,那么必然会有更多的用户数据被记录。
所以可以得出结论:区块链必然是 GPDR 的监管对象之一。
为什么我下载了个钱包就违反 GPDR 了?
标题里的描述是真的么?我仅仅用个钱包也违法?
先说结论:是真的,不过具体要看欧盟打算执行到什么程度。
如果你觉得这种事情不可能,那么不妨在日本、美国和欧洲试试用迅雷进行下载一部盗版电影,看看会不会被警察找上门甚至坐牢。
GPDR 对下载者的限制,与欧美对版权所作出的限制几乎完全一致,这意味着除了那些进行区块链创业的人承担风险之外,区块链(更准确来说是 dApp)的使用者也存在着法律风险。
要解释这个问题,我们首先要了解上文提到的另外两个概念:数据控制者和数据处理者。
撇开法条我们先举个直观的例子,假设区块律动上线了一款 App,在用户注册这个 App 的时候需要填写一些个人信息。
此时,区块律动就是 GPDR 中定义的「数据控制者」;但区块律动是一家小公司,它的服务其实是托管在阿里云这样的云服务商上的,此时的阿里云就是 GPDR 中定义的「数据处理者」。
在具体法条上,GDPR 规定,无论是企业、机构、自然人只要满足定义,均被纳入数据控制者还是数据持有者的范畴。
在对档案系统的定义中,也将档案系统定义为一种可以访问的个人数据的结构化集合,而且不论这种标准是去中心化的、分散的、功能性的或是基于地理而设置的。
如果你把这个模型套到区块链上……神奇的事情发生了,你会发现每一个矿工、冷钱包、dApp 用户都同时是「数据控制者」和「数据处理者」!
这是一件非常可怕的事情,有多可怕呢?比如说 Facebook 泄露用户隐私一事,要被罚 2000 万欧元或全球营业额的 4%(哪个高按哪个罚)。
如果在经典互联网中,这笔罚款肯定是 Facebook 以及承接 Facebook 云服务的服务商出。而在区块链中,将由全体矿工、钱包持有者和 dApp 来均摊——甚至包括那些下了冷钱包但里面没钱的用户。
从 GPDR 角度,区块链处处皆违法
互联网公司不是讲究一个「合规」么?如果不违规,不就不会罚款?
你说的非常对,大多数的互联网公司在 GDPR 实施之前就已经准备好了合规措施。
毕竟,我们都知道欧美的立法过程其实非常慢,GDPR 其实并非一朝一夕完成的。
GDPR 的起草工作要追溯到 2012 年,经过了长达 4 年的复杂立法过程,最终在 2016 年 4 月宣读通过欧洲议会投票,并且直到 2018 年 5 月才正式开始执行。
然而问题也在这里,GDPR 的起草时间是 2012 年,那个年代放眼整个区块链行业还只有比特币一个项目「比较流行」。因此 GDPR 的设计几乎完全是按照中心化信息存储、处理与控制设计的,其大部分法条和去中心化设计完全不兼容。
甚至可以说,区块链项目存在的本身,就违反 GDPR 中的一堆法条。在这里,我们简单的罗列了一些冲突较为严重的法条,以说明区块链和 GPDR 几乎完全不兼容:
项目方管不住节点的话就是违法
看到这么麻烦,区块链项目的项目发起方可能会说:所有义务我来尽,所有责任我来担,和节点用户没关系。
对不起,根据 GDPR 规定和现有的区块链发展,这显然是不行的。
目前大多数的区块链项目中,发起方都是以基金会的形式控制主要节点来形成对区块链项目的一定主导,但并没有对其他节点的法定管理权。
举一个简单的例子来说:虽然 BTC 核心团队掌握着 BTC 的代码走向,但不同意核心团队意见的节点可以对其进行硬分叉,并继承旧有的所有交易数据。
GDPR 的目的是保护数据,既然 BTC 核心团队并不能保证在一个节点「分叉」后不带走原有交易记录,那么每一个节点就应该被视为一个独立的控制者和处理者。
这导致了区块链项目中的大量个人节点,完全无法合规——怎么讲,你会为了用个 BTC 钱包,在欧盟境内雇个合规律师么?
不止交易所,节点和钱包也需要身份验证
为了对数据控制者和处理者进行有效的监管和追责,数据控制者和处理者当然是要实名的。
这意味着,不只是中心化的交易所,上文提到的矿工、冷钱包、dApp 用户等全都要进行 KYC。
而且根据 GDPR 的规定,无论这些人和企业是否在欧盟境内,只要他们服务于欧盟用户(可以理解为在主链上没有 block 欧盟节点),就都要服从 GDPR 的规定。
不要觉得这是一条不可执行的规定,欧盟针对不在欧盟境内的数据控制者和处理者给出了解决方案:可以找欧盟境内的机构、自然人作为代理人。
这位代理人可以是特定的数据出口公司、律所或者是咨询律师,一个代理人可以代理多个数据处理者和控制者。
这位代理人要掌握数据处理者和控制者的真实信息,以确保在出现问题时,欧盟可以做到「虽远必诛」。
同时,在第二章《原则》中的第 6 条作为「什么才算用户同意」的补充条款,规定了怎么才算获得儿童用户同意做出了解释。
这在实操层面,还要求一个区块链项目,不仅要在每个用户接入的同时签下清晰、明确、自愿的数据共享协议,还要判断如果他是否是一个儿童来实行更严格的措施。
这在操作层面上提出了提前 KYC 的要求。
对数据跨境流转的限制:为欧盟用户提供区块链服务有法律风险
在 GPDR 中,有多个法条涉及数据的跨境流转,这集中体现在第五章《将个人数据转移到第三国或国际组织》中。
其中总体思想是,除欧盟官方认定的「数据安全第三国或国际组织」之外,其余的数据跨境流转收入方即便不在 GPDR 的管辖地缘范围内,也必须做出遵守等效于 GPDR 规定的法律承诺。
用人话来说就是,如果一个区块链项目的中国节点,要想接入一个向欧盟提供服务的区块链,必须承诺自己遵守 GDPR,并愿意在发生泄漏等问题时认可欧盟法庭做出的判决。
数据主体的权利:区块链信息不可修改违法
数据主体的权利是让区块链项目最为头疼的事情。
什么数据主体?通俗来讲就是用户,或者说是上交自己数据的人。
在区块链里,所有产生交易或会在主链上留下痕迹的节点(包括非全量节点)都是数据主体。
在 GDPR 中规定,数据主体拥有数据可携带权、被遗忘权、更正权、限制处理权等一系列与区块链设计思维不相符的权利。
以更正权和遗忘权为例,GDPR 规定:
数据主体应当有权从控制者那里及时得知对与其相关的不正确信息的更正。在考虑处理目的的前提下,数据主体应当有权完善不充分的个人数据,包括通过提供额外声明的方式来进行完善。
数据主体有权要求控制者擦除关于其个人数据的权利,当具有如下情形之一时,控制者有责任及时擦除个人数据:
(a) 个人数据对于实现其被收集或处理的相关目的不再必要;
(b) 处理是根据第 6(1)条(a)点,或者第 9(2)条(a)点而进行的,并且没有处理的其他法律根据,数据主体撤回在此类处理中的同意;
(c) 数据主体反对根据第 21(1)条进行的处理,并且没有压倒性的正当理由可以进行处理,或者数据主体反对根据第 21(2)条进行的处理;
(d) 已经存在非法的个人数据处理;
(e) 为了履行欧盟或成员国法律为控制者所设定的法律责任,个人数据需要被擦除;
(f) 已经收集了第 8(1)条所规定的和提供信息社会服务相关的个人人数据。
用户还有一个更为让人疼的权利叫「撤回同意权」,顾名思义 GDPR 中规定所有针对用户的数据收集和处理都基于用户的同意。用户发起撤回同意权将激活被遗忘权。
被遗忘权有一个豁免条款,涉及他人利益的数据不能被遗忘。比如金融机构的交易信息,一笔交易涉及到两个及以上的数据主体不能被单一主体主张删除。
但是,举个最简单的实例:最近特别流行的那种把文章或信息直接写入区块链主链里的,如果不能提供修改过往文章功能的话。一律都违反此规定,除非在技术上可以做到这一点,否则存在永久保存作用的主链都将被视为「不合法」。
区块链在欧盟要凉了嘛?
如果按照 GDPR 的现行规定来执行,是的。
但是从长远角度发展来说并不一定,尤其是对于公链以外的应用。
在 GDPR 内,除了在定义一章中仅有的一个法条提到了去中心之外,全文 5 万余字再没有提到任何与分布式、去中心、区块链相关的内容。然而,仅有的一次提及,却将区块链整个行业纳入了其监管的范围。
GDPR 中的许多法条都和区块链完全不兼容,如果欧盟真的打算认真地在区块链领域执行这些法条,反倒不如单独写一条更为明确的「禁止使用区块链技术」会更为直观。
区块链的存在客观上其实与 GDPR 达成了同一目的——数据的共享与安全保护。但受其自 2012 年开始起草的时间所限,GDPR 并没有充足的时间考虑如何利用区块链进行数据保护。
这意味着,GDPR 可能很快会启动相关补充条款的指定,以使其兼容区块链行业。然而,以欧盟的立法程序,这样的补充法案从起草到实施大约需要 4 年时间。
在这四年期间,GDPR 给了欧盟各成员国巨大的自由裁量空间。一些对区块链抱有敌意的欧盟国家,可能会借助 GDPR 来对欧盟乃至世界范围内的区块链公司提起诉讼甚至是制裁。
在欧美国家,尤其是在商法领域,法律并不总能严格执行但总会对行业头部定向执行。上一部欧盟对互联网界影响巨大的法律动作是,2007 年前后欧盟对一系列反垄断和反不正当竞争法案的修订。
在那之后的 5 年间里,微软、苹果、Google 等公司都先后成为欧盟的「提款机」,接连不断的输掉官司并缴纳巨额罚金。
在区块链领域,目前能看到的一些宣称自身与 GDPR 兼容的区块链项目,无一例外是私有链或联盟链,且在技术底层实现了数据主体对旧有已分享数据的删除和更正。而绝大多数的公链,正如上文所述与 GDPR 的现有版本完全没有兼容性。
另外,别以为你的区块链项目的落地公司不再欧盟就可以高枕无忧。
如前所述,GDPR 遵循一种随数据流动而生效的长臂管辖规则,因此一些并未在欧盟设立实体的区块链公司也可能被其纳入监管范围。
尤其是在欧洲、美国和菲律宾设立公司主体的中国公链项目,可能会在未来两年成为欧盟成员国政府的「提款机」。
而对于身处于欧洲的个人而言,GDPR 与区块链的结合将成为继反盗版相关法规之后的又一个遣返移民的「高效法条」。
在欧盟工作和留学的中国人要特别注意:可不要让人知道你正在使用或参与区块链项目,否则又被遣返的风险。
目前看来,区块链项目想要合规的最好方法,除了不做公链之外,就只能像许多项目屏蔽中国 IP 那样屏蔽欧盟 IP 了。
本文来自微信公众号:区块律动BlockBeats(BlockBeats)。