WEB3:雷霆抑或雨露？當歐盟監管條例GDPR遇上區塊鏈_區塊鏈技術通俗講解科普

歐洲時間2018年5月25日，歐洲聯盟出臺了《通用數據保護條例》（以下簡稱“GDPR”）。該法案被公認為目前全球對用戶個人數據保護最嚴格的法律，其適用范圍涵蓋所有與歐盟個人數據收集和處理相關的商業主體，違規企業將最高被處以上一年度全球營業額的4%或2000萬歐元作為罰款。Facebook和谷歌等美國企業或成為GDPR法案下第一批被告。

據了解，GDPR的監管范式是針對互聯網企業中心化服務的數據體系進行的，核心點在于加大數據控制者和處理者的法律責任。這與區塊鏈在數據處理上的去中心化模式是完全不同的，其實施和推行將給區塊鏈行業帶來何種影響也一直是業內熱議的話題。

控制個人數據濫用，誰是更好的答案？

如今在全球范圍內，個人數據泄露與濫用的情況普遍存在。其對民眾基本權利造成的侵害，已經引起了社會公眾和法律界的警惕。GDPR正是在現有的法律體系內，對相關民事、商事權利義務和政府監管義務作出了一整套的規范，試圖構建一個新的法律框架，使個人數據的保護與商業使用等行為之間達到一個平衡的狀態。

加密分析師：Curve創始人或正以0.4美元均價進行CRV場外交易:8月1日消息，加密分析師dollar.eth在社交媒體發文表示，Curve Finance創始人Michael Egorov到目前為止已從Fraxlend還款并取回了750萬枚CRV，并將其發送到一個新的EOA錢包地址，然后從未知地址中接收USDT，因此可能是一筆場外交易，按照250萬枚CRV/100萬USDT計算，場外價格應該是0.4美元。[2023/8/1 16:11:14]

與GDPR的思路不同，區塊鏈技術則試圖從另一個角度給出答案。對于公有鏈網絡，用戶通過相關隱私措施，可以做到匿名使用相關服務。對于聯盟鏈，個人數據的使用和存儲都可以是加密的，除了共識節點、交易相對方和經授權的第三方以外，其他參與方都無法取得個人數據。一些最新的開放許可鏈和公有鏈甚至希望通過密碼學技術、次級網絡或是兩者的組合，實現交易的數據和執行過程對包括共識節點在內的所有無關方的隱私保護，將個人數據的控制權完全交還到個人手中。通過基于可信硬件或是密碼學的加密計算，保證商業主體和行政主體在提供相應服務的同時，也無法收集和留存個人數據。

Circle加入LOT Network以保護其免受專利訴訟影響:金色財經報道，穩定幣發行商Circle加入LOT Network（一個旨在阻止專利流氓的非盈利公司組織）以保護其免受專利訴訟影響。[2023/3/23 13:22:33]

以上兩個思路都旨在解決個人數據濫用的問題。GDPR的優勢在于依托成熟的法律框架，威懾可信，效果立竿見影；但同時由于執行成本高、過于依賴中心化互聯網企業的配合，在切實提高企業經營成本的情況下難以得到有效執行，也難以制止互聯網巨擘通過并購的方式擴展個人數據的授權使用。

區塊鏈技術的優勢在于釜底抽薪，從根本上解決個人用戶行使個人數據的選擇權問題，在避免過度監管的同時，也能使用戶個體從自己產生的數據中獲益，為個人數據的商業使用打下堅實的基礎；但受限于技術處于早期，應用的成熟與穩定性不高：沒有大規模商業應用的實踐和測試，需要大量的消費者教育工作，遠水難解近渴。

貝萊德CEO：美國等發達市場數字資產創新落后導致支付成本較高:金色財經報道，全球資管巨頭貝萊德（BlackRock）首席執行官Larry Fink在最新的投資者年度信函中稱，數字資產領域正在發生非常有趣的發展，在許多新興市場，比如印度、巴西和非洲部分地區正在目睹數字支付的巨大進步、降低成本和推進金融包容性。相比之下，包括美國在內的許多發達市場在創新方面落后，導致支付成本高得多。Larry Fink還預測美聯儲將繼續專注于對抗通脹并繼續加息，當今的銀行業危機將更加重視資本市場的作用，他解釋說：“隨著銀行可能在貸款方面受到更多限制，或者隨著他們的客戶意識到這些資產負債不匹配，我預計他們可能會轉向資本市場尋求融資。”（blackrock）[2023/3/19 13:13:12]

七大基本原則，GDPR與區塊鏈相愛相殺？

目前，GDPR為個人數據保護設立了七項基本原則：

安全公司：以太坊鏈上的Nostr代幣疑似非官方創建，存在安全風險:金色財經報道，安全公司Fairyproof發布風險提示，以太坊鏈上的Nostr代幣疑似非官方創建。Nostr 代幣地址0xA2be922174605BAd450775C76CEb632369480336。Nostr 的部署者（0xC013Ef7bE164aAcD503A3FEe686f9aBE7988425c）疑似一個連續代幣部署。（0xC013Ef7bE164aAcD503A3FEe686f9aBE7988425c） 的資金來源是0xad2Dc2a4f3287783b220DbDcC7AfB7F6EB0704b8。0xad2Dc2a4f3287783b220DbDcC7AfB7F6EB0704b8 曾經在3天前部署了 Damus 代幣，并向eth上其他地址空投， 然后過了一段時間后， Damus撤走流動性， 疑似跑路。 在7天前部署的Ω (Ω) 代幣也采用類似手法已經跑路。在之前追蹤跟這些代幣部署者關聯地址， 都是采用類似手法進行疑似欺詐行為。

Nostr的合約代碼也存在一些安全隱患， 合約管理員可以阻止用戶在指定 uniswap 交易對上賣出代幣。也可以將用戶加入黑名單，還可以隨意銷毀其他用戶代幣。[2023/2/6 11:49:48]

·可問責性原則

聯合廣場風投USV合伙人：2022年賬面資產價值減半:1月1日消息，聯合廣場風投 USV 合伙人 Fred Wilson 在其個人博客撰文《2022 年發生了什么》，其中指出去年市場影響最大的領域是 Web3，Crypto/Web3 資產本身崩潰，Web3 資產價值下跌 70-90%，許多大型中心化實體，比如貸款方、交易所、加密基金都遭遇破產，這場災難是絕大的，令人想起 2000/2001 年互聯網行業發生的事情，也讓人意識到 Web3 市場里并非所有人都在踏實做事，其中依然存在欺詐、管理不善、不負責任的冒險等等。

2022 年 USV 管理資產的賬面價值減少了一半，但風投運營狀況很好，去年并非全是壞事，比如去中心化協議爆發，運行這些協議的智能合約執行了代碼要求做的事情，并且在市場震蕩期間保持“完好無損”，這證明去中心協議比中心化實體更有生命力，也是 Web3 行業應該學到的主要教訓。[2023/1/1 22:19:57]

·據完整性和保密性原則

·準確性原則

·限期儲存原則

·目的限制原則

·數據最小化原則

·合法性、合理性與透明性原則

這里面有些原則的落實正是區塊鏈技術的強項，另有一些則看似與區塊鏈技術存在沖突。是否真的如此？我們逐條來分析：

1）可信的解決方案

GDPR的可問責性原則要求：對于GDPR原則的遵守，數據控制者有責任提供證明。而區塊鏈技術的一大優勢就在于鏈上數據的存證和可溯源服務。對于可問責性的監管要求，數據控制者可以在把所有操作上鏈的同時，在監管部門和認證機構設立同步全部賬本的節點，這樣就可以起到自證清白的作用。

GDPR的數據完整性和保密性原則要求：處理過程中應確保個人數據的安全，避免數據未經授權即被處理或遭到非法處理，避免數據發生意外毀損或滅失。倘若數據控制者對所有個人數據進行區塊鏈管理的分布式存儲，則可以用較傳統手段低很多的成本避免數據發生意外毀損。同時，將數據操作的授權通過區塊鏈驗證并將操作過程上鏈存證，也可以大大增加安全性，避免數據未經授權操作即被非法處理。

2）并不相悖的要求

GDPR的準確性原則要求：個人數據應當是準確的，如有必要必須及時更新；必須采取合理措施確保不準確的個人數據及時得到擦除或更正。看似與區塊鏈的不可更改性相沖突，但區塊鏈賬本上的數據可以通過后續區塊做標記的方法進行更改，只是這種更改不會刪除掉更改前的數據，而是將更改前的數據、更改過程的操作和更改后的數據同時保留了下來。這樣一來，只要保證公開范圍內的訪問者只能訪問更改后的數據就完全可以達到數據準確性的要求。同時對于為了公共利益需要訪問更改前數據的政府、司法部門，也能滿足其例外要求。

GDPR的限期儲存原則要求：對于能夠識別數據主體的個人數據，其儲存時間不得超過實現其處理目的所必需的時間。而這看似又與區塊鏈賬本上數據的永久保存性存在沖突，其實可以按照以下方式處理：對于聯盟鏈，鏈上主體都是商業主體，鏈上數據都是有隱私方案保護的，同時鏈上數據的保存都有作為商事證據保留的性質，這一點已經構成了個人數據權利行使的限制。對于公有鏈，用戶完全可以選擇匿名化鏈上數據。對于開放許可鏈，可以通過基礎鏈數據匿名化、側鏈數據聯盟鏈化處理來解決這一問題。

3）堅實的基礎與保障

GDPR的目的限制原則：個人數據的收集應當具有具體的、清晰的和正當的目的，對個人數據的處理不應當違反初始目的。

GDPR的數據最小化原則：個人數據的處理應當是為了實現數據處理目的而適當的、相關的和必要的。

GDPR的合法性、合理性與透明性原則：對涉及到數據主體的個人數據，應當以合法的、合理的和透明的方式來進行處理。

首先，開源的區塊鏈技術代碼清晰地展現了操作者對個人數據的收集和處理是否違反了GDPR的原則和規定，為真正實施以上三大原則提供了堅實的基礎。

其次，區塊鏈項目特有的分叉功能真切地實現了數據的可攜權，也真正防止了壟斷。在GDPR監管的語境下，使技術開發者獲得商業利益的同時，也促進了良性競爭與新技術的應用。

最后，區塊鏈項目特有的代幣投票公共治理制度將行為人的利益與項目結果相捆綁，是實現上述三大原則的保障。

綜上所述，GDPR和區塊鏈技術本質上并不敵對，它們都是為了改變嚴峻的互聯網企業濫用用戶個人數據和形成行業巨頭壟斷的局面應運而生的。在保護個人數據方面，兩者各有利弊，相輔相成。對于GDPR的七項基本原則，區塊鏈技術提供了堅實的支持與保障。而GDPR的普及和推廣也將是相關公司的試金石，在良莠不齊的區塊鏈技術公司里去偽存真，營造健康監管生態，為真正優秀的企業保駕護航。

作者：

錢靖 北京大成律師事務所律師

謝晗劍 秘猿科技CEO

Tags：GDPDPR區塊鏈WEB3gdp幣種privacyandprotection區塊鏈技術通俗講解科普web3游戲行業

火幣APP