当区块链遇上GDPR，相爱或相杀？

每项科技问世不免会与法律碰撞，究竟该如何规范虚拟世界？欧盟《一般资料保护规范》（GDPR）和区块链现在也有同样的摩擦，透过专家观点，分析两者最终将取得平衡，或争得头破血流？

去年5月25日，影响从欧盟扩及全球的《一般资料保护规范》（General Data Protection Regulation，以下简称GDPR）正式上路，为过去身为「小虾米」的我们争取保护个资的权利，但对于不少「大鲸鱼」公司而言，势必要付出新的成本以符合GDPR规定。根据国际隐私专家协会IAPP预测，全球财富500强企业将为此耗资近80亿美元，但对于区块链业者却很头痛，想合规也不知从何做起。

「区块链的应用可能不符合GDPR标淮」，欧洲议会议员Jan Philipp Albrecht说。区块链中被视为可重新定义人和人行为模式的几项技术特性——去中心化、不可窜改、公开透明，和GDPR的要求都大相迳庭，甚至在以太坊上，将个人数位身分记录在区块链上的应用「Parity ICO Passport Service」，5月时因为这个史上最严格的个资法，宣布停止服务。

两者目标相同，但手段不同

当欧盟在2012年提出GDPR草案时，区块链还处于萌芽阶段。虽然两者目的大致相同，都为了要分散服务商和资料当事人对资料掌握度不平等的现况，但出发点原则、手段都不同。GDPR刚好在区块链应用逐渐落地的2018年实施，两者的矛盾冲突已无法掩盖。

被最多人讨论的，非GDPR第17条中的「被遗忘权」莫属了。资料当事人在特定条件下，有要求资料控制者删除其个人资料之权利，但这和区块链中一项最有价值的功能——写入的资料不可窜改，完全冲突。

此外，「国际传输」也是一大难点。GDPR适用于欧盟，资料控制需要清楚明确告知当事人，个资用于哪里、有谁用，控制者身分再明确不过；但区块链上的节点、矿工分布全球，作为一个极度分散的虚拟国际架构，究竟该如何规范？当区块链上的每一位参与者都拥有我的资料，如何确保他们都同意并符合GDPR？

「一边是基本权利和保护，另一边是新技术创新推动，两者的平衡是GDPR和区块链之间存在共同点的关键，」牛津大学基布尔学院欧盟法律讲师Michèle Finck说道。「脱链储存」似乎是目前被视为相当有可能实施的解药——把「非个资资料」和「个资资料」分开储存，前者仍存在区块链上，后者存在第三方平台或是别的资料库，再与区块链连结。

区块链像小孩子，GDPR可协助规范

「所有问题技术都可以解决，只是解决之后，是不是我们原来想要的样子而已。」中国台湾金融科技协会理事长王可言认为，由于区块链目前落地应用并不多，还需要一到两年酝酿，业者仍有时间找出解套方法，但一定是综合区块链和GDPR两者调适的方法，区块链乌托邦将不复存在。

这看似冲突不小的矛盾，在走访一圈业界后却意外发现，不少人持乐观态度看待。区块链还太年轻，就像少不经事的少年，还有太多事需要被完整、被规范，况且随着个资被应用愈发犯滥的时代到来，响应个资保护法规，让用户真正掌握自己的权利迫在眉睫。

但这不禁让人思考另一个问题，当资料的归属都掌握在个人手上，是否会影响须资料注入的公共利益发展？

理慈国际科技法律事务所共同创办人蔡玉玲点出，即使是GDPR也不断强调「符合比例」原则，个人资料的收集、利用都必须遵循「最小限度原则」，并非完全不能使用。这涉及到究竟收集的是哪些资料？有的是纯私人资料，但有的和公共利益有关，处理方式就得不一样。

例如医疗资料就牵扯到「公共利益」与「个人隐私」，值得深思。虽然是资料主体的身体资讯，但包含医生诊断专业，涉及到人类医疗技术的提升，这笔资料也具有公共意义价值，当资料越多、分析更精准，医疗技术越有可能提升，这时在符合GDPR下，或许可靠「去识别化」、「匿名」的方式处理。法规、新技术、个人隐私，三者究竟该如何结合？是全球都要思考的明天。

新技术对上新法律该如何调适？五大疑问，专家一次解惑

1 GDPR会是近期业者发展区块链，最大的冲突和阻力吗？

包括AI、大数据在内，都需要个资当基础，隐私保护现在是一大课题，的确需要规范。大众对于个资的意识累积至今爆发，区块链的技术开发者必须要有一个认知：不能假设大家为了使用区块链会放弃个资保护这个权利，但GDPR的法律制定者也要思考，若有技术方案可解决，是不是完全满足了个资保护？如果是，在法律解释上就应该有所调整。

蔡玉玲

Q2 两者有没有相似处？

在功能上，区块链完整记录资料，透过加密技术让其更安全；而GDPR要让个资可以完整被保存并保密，防止这些资料遗失、被破坏，在「保存安全性」上，和区块链的设计有一定程度是符合的。并且GDPR旨在让主体更能掌控资料，而区块链每个节点都握有资料，你自已就是控制者之一。

Q3 两者的矛盾冲突之处？

第一点是目的冲突。GDPR表明收集资料的目的要非常明确，不可以做这之外的使用；但区块链很分散，结点分布全球，每个人都在使用你的资料，将来要怎么取得每一个链上使用者的同意？怎么确定他们的使用目的？此外，责任归属也有差。GDPR对掌控资料的人责任重大，他们都得证明有符合GDPR的规定；但在区块链上，要确定每一个节点都遵守有难度，光要执行GDPR给我的权利，负担成本就很大。

Q4 有调和两者的办法吗？执行上又会有哪些困难？

技术产生的问题用技术解决，会比法律更容易。大家现在最质疑GDPR的被遗忘权，既然在区块链上不能删除，那能不能用技术设计让资料不删掉，但「永远没办法读取」，或是用智能合约限制，在某种情况下限制读取。至于责罚，区块链是跨国际虚拟环境，法律执行上能不能落实挑战也很大，既然你在区块链的体系里，不如设计某一个人被列入黑名单、封锁这类规则，说不定比法律制裁更有效，也比较符合经济成本，但繁琐势必会降低效率，可能影响到技术可用性。

Q5 当新科技碰上法律，谁能胜出？

科技改变人的行为，法律则规范人的行为，当科技变了，法律应该要跟着变，不改，则容易变成恶法，新的东西你永远管不到。但要怎么制定一个法律？不要今天定完、明天就不合用了，这时立法技术就很重要。我认为立法要「负面表列」，用语也要有弹性。

欢迎订阅关注，每天分享你身边的最新科技信息