欧洲数据保护委员会(EDPB)于2026年7月8日最终确定了新的指南,澄清了通用数据保护条例(GDPR)在区块链技术中的适用方式。该指南解决了处理欧盟居民个人数据的组织长期存在的监管不确定性。EDPB确认,区块链运营商不能仅因区块链记录不可变或个人数据已在链上加密或哈希而避免GDPR义务,明确组织在技术架构无论如何都应负责保护数据主体权益。该指南与更新的匿名化标准一同发布,共同重新定义了自2018年以来适用于欧盟隐私框架下区块链运营商的合规预期。
EDPB确认尽管区块链不可变,GDPR义务仍然适用
EDPB确认,区块链运营商不能仅因区块链记录不可变或个人数据已在链上加密或哈希而避免GDPR义务。监管机构指出,组织无论采用何种技术架构,仍应负责保护数据主体权益。委员会表示,加密或哈希的个人数据通常仍受GDPR约束,因为它可能通过钱包地址、外部数据库、解密密钥或未来的密码分析技术被追溯到可识别的个人。伴随的匿名化指南指出,只有当数据无法被隔离、关联或用以推断个人身份时,才能视为匿名。
EDPB涉及三种主要区块链模型的GDPR合规性
指南涉及三种主要区块链模型:公开无权限网络、私有权限链和联盟链。EDPB表示,私有链和联盟链通常更适合GDPR合规,因为它们允许明确可识别的组织作为数据控制者和处理者。相比之下,监管机构指出,由于去中心化的参与者特性,在公共无权限网络上分配这些责任极为困难。
EDPB指出删除权在技术限制下仍然适用
委员会强调,即使区块链技术使删除记录在技术上具有挑战性,GDPR的删除权仍然适用。指南指出,技术限制并不免除组织的合规义务。EDPB建议企业在部署区块链前应评估其必要性,并尽可能避免在链上存储个人数据。监管机构承认加密带来的长期风险,包括量子计算等技术进步可能最终使当前加密的区块链记录变得可读。组织在设计永久存储信息的区块链系统时,应考虑未来的重新识别风险。
EDPB建议采用链下存储个人数据
指南建议组织尽可能将个人数据存放在链下,主要利用区块链存储密码学引用,同时在传统数据库中保留可删除的个人信息。根据EDPB,这种架构是满足GDPR删除要求同时保持区块链功能的最实用方法。在无法避免在链上存储个人数据的情况下,监管机构提出有限的替代方案,包括用安全管理的链下加密密钥对区块链数据进行加密,收到删除请求后可以销毁,或使用带有机密链下盐值的哈希数据,也可销毁。委员会指出,这些方法虽可作为删除的实际替代,但不能将个人数据转变为匿名信息。
EDPB强调国际转移挑战与智能合约要求
指南强调了在公共区块链上进行国际数据转移的挑战。由于交易会在多个国家的节点间自动复制,组织可能无意中将个人数据转移出欧盟,未能满足GDPR的保障措施。EDPB警告,由于无法识别或与匿名节点运营者签约,在无权限区块链网络上满足国际转移要求尤为困难。监管机构还涉及智能合约,说明自动化区块链决策可能在产生法律或类似重大影响时触发GDPR第22条。部署智能合约用于金融服务、身份验证、借贷、保险或访问管理的组织,可能需要披露自动处理的透明度,并确保受影响个人有机会请求人工审查。
EDPB指南影响金融机构与医疗提供者
该指南影响广泛使用区块链技术的行业,包括金融机构、医疗提供者、供应链平台、数字资产托管方、NFT市场和代币化资产提供商。现有含有个人数据的区块链部署可能需要技术调整、架构重设计或迁移至链下存储以提升合规性。EDPB强调,该指南不引入新的法律义务,而是澄清自2018年以来已适用的GDPR要求,意味着处理区块链网络上个人数据的组织应立即审查其现有系统。虽然在公众咨询中采纳了利益相关者的反馈,但拒绝了豁免公共区块链控制者义务或放宽匿名化标准的请求,强化了对基于区块链的数据处理的更严格合规框架。
常见问题解答
EDPB于2026年7月8日最终确定了什么?
EDPB最终确定了新的指南,澄清了GDPR在区块链技术中的适用方式。该指南与更新的匿名化标准一同发布,涉及处理欧盟居民个人数据的组织如何遵守欧盟隐私规则。
为何EDPB表示区块链不可变不免除GDPR义务?
EDPB确认,区块链运营商不能仅因区块链记录不可变或个人数据已在链上加密或哈希而避免GDPR义务。监管机构指出,组织无论采用何种技术架构,仍应负责保护数据主体权益。
EDPB建议组织如何处理区块链上的个人数据?
指南建议组织尽可能将个人数据存放在链下,主要利用区块链存储密码学引用,同时在传统数据库中保留可删除的个人信息。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复