一、《指南》核心内容

1. 区块链的技术概述

• 区块链提供了一种分布式数据库，由特定用途的交易公开账本组成。参与者可运行自有节点（存储账本副本）或依赖其他节点的账本。所有账本的一致性和完整性对达成共识至关重要，其实现依托两大核心原则： 第一，交易集合以区块形式组织。每个区块均通过密码学技术与其前序区块链接，形成链式结构。 第二，通过共识算法确定唯一有效的新区块，并将其追加至链尾。

• 每个节点与其他节点互联，共同构成区块链网络。节点承担不同任务（如验证交易、维护网络状态等），通过通信与共识机制确保区块链一致性。这种设计避免了单点故障和数据篡改风险。网络节点越多，区块链规模越大，攻击者篡改数据的难度越高。根据具体架构，区块链网络可存在不同类型的节点。整体而言，节点的互联性是维持区块链核心特性的基础。

• 区块链可以根据其访问、参与和控制基础设施的政策进行分类。这通常可以分为两个方面：（1）区块链是公开的还是私有的；（2）它是许可链还是非许可链。最常见的类型是公开非许可区块链（例如比特币和以太坊）和私有许可区块链（通常在公司内使用）。

• 非许可区块链（Permissionless Blockchains）为参与者提供平等的权利和能力：任何人都可以读取、写入或创建区块，这类区块链是去中心化的。

• 许可区块链（Permissioned Blockchains）则偏离了原始概念，引入了需要授权参与的机制：根据区块链的规则，只有被选定的节点可以读取、写入或创建区块。具体设计中，授权机构可以是单一实体，也可以是一组在区块链上共享共同利益的实体。参与者之间并不总是平等的（尽管在非许可公有链中也可能存在类似情况），每个参与者的权力取决于治理体系及其参与程度。

• 区块链的初始概念中，所有参与方的身份对链上所有成员可见。一些区块链通过高级密码学工具提供了向大多数链上阅读者隐藏身份的方式。尽管零知识证明（zero knowledge proofs）仅是其中一种密码学解决方案，但使用此类工具的区块链常被称为“零知识区块链”。

• 区块链系统中通常会存储两类核心数据：交易元数据（metadata）和交易有效负载（payload）。

• 交易的元数据既包括交易参与者的用户标识符，也包含其他元数据。例如，每名参与交易的用户可能关联一个由看似随机的字母数字字符组成的标识符，该标识符实际上是由用户持有的私钥生成的公钥。如果用户是自然人，且这些公钥可能通过合理方式被用于识别个人身份，则这些标识符将被视为个人数据。在许多区块链中，为完成交易并验证其有效性，所有参与者均可查看这些标识符。某些技术方案可能通过高级密码学工具隐藏标识符，但用于替代标识符的数据仍可能构成个人数据。此外，与区块链交互时，可能处理或获取其他数据，此类数据虽未存储在区块链上但仍可能构成个人数据。

• 交易的有效负载是指具体的交易内容，通常与链上操作相关，例如加密货币金额、文档链接、购买的商品或智能合约程序调用等，这些内容数据也可能包含个人数据，涉及交易参与者或其他自然人。
• 有效载荷以链上存储方式保存在区块内。但EDPB强调，链上数据（包括链上个人数据）不限于交易数据，还可能涵盖其他存储于链上的数据结构，而这些数据结构同样可能包含个人数据。若控制者决定在链上存储交易元数据标识符之外的其他个人数据，可采用不同方法降低链上存储的数据保护合规风险，或支持数据主体行使其权利。
• 另一种方案是链下存储，即数据（至少部分）存储于区块链外部，仅通过链接或引用关联至链上交易有效载荷，以满足可扩展性或保密性需求。

• 区块链的去中心化治理模型导致数据处理过程中涉及多方主体与角色，必须对区块链内外的每项数据处理活动进行角色与责任的审慎评估。
• 根据GDPR定义：控制者指“单独或共同决定个人数据处理目的与方式的自然人或法人、公共机构、行政机关或其他机构”；处理者指“代表控制者处理个人数据的自然人或法人、公共机构、行政机关或其他机构”。
• 区块链作为一种技术，其设计特性外的数据处理活动可能涉及多种场景。实践中，不同区块链系统差异显著，需结合具体系统的特性（如服务性质、治理机制、技术架构、参与者间关系等）进行事实评估，以合理分配GDPR责任。

• 治理机制的关键作用
• 区块链的治理机制（如中心化或分布式模型、链上注册或链外协议）对GDPR角色认定至关重要。治理框架通常包含政策（技术强制或非强制）、技术要求（格式、协议、算法、更新等）及组织法律要求（问责义务、参与者合同责任、违规处理、隐私设计等）。

• 许可链与非许可链的责任分配
• 许可区块链需由授权机构批准参与，仅选定节点可读写或创建区块。授权机构可为单一实体或利益共同体。此类链责任分配清晰，EDPB建议组织优先采用。若需采用其他治理模式，须提供充分理由并评估区块链技术的适用性。
• 非许可公有链中，参与者虽名义平等，但其角色与责任仍取决于治理体系（如节点权力与参与度）。

• 节点的角色界定
• 有限决策节点：若节点仅验证交易（检查格式、有效性等），不决定处理目的与方式，则通常不视为控制者。
• 公有非许可链节点：若节点自主决定处理目的或核心方式（如协议修改、分叉决策），则可能被认定为控制者或联合控制者。EDPB建议此类节点组建联盟或法律实体，由其承担控制者责任。

• 处理者的合规义务
• 处理者需遵守GDPR第28条（代表控制者处理数据）。若未依指令行事，可能被视为控制者。

2. 基于区块链的数据处理评估

• 若涉及以GDPR合规方式处理个人数据，需评估区块链对数据主体权利与自由的风险。部分合规风险可通过预先技术措施轻松缓解，而其他风险的解决方案当前可能尚存挑战。因此，控制者在实施区块链前须对其数据处理活动进行充分评估，以确保区块链的部署符合GDPR要求并充分保护数据主体权利。此类评估需纳入正式的数据保护影响评估（DPIA）。

• 评估应回答以下问题：
• 区块链上的数据是否包含个人数据？
• 若包含，为何必须使用区块链处理？
• 应使用何种类型的区块链？
• 采用哪些技术与组织措施？

• 为评估处理活动对个人权利与自由的风险并实施相适配的技术与组织措施，控制者需结合需求评估区块链技术及模型。区块链技术可降低某些风险，但会引发其他风险，选择该技术时需遵循GDPR的必要性原则，并记录选择理由。控制者还应评估数据处理所需的公开性层级（如用户标识符、有效载荷数据等），以选择适用的区块链架构。

• 根据GDPR第25(2)条，控制者需采取技术和组织措施，确保“默认情况下，个人数据不会未经数据主体干预而对无限数量的自然人开放。”此要求适用于公有和非公有区块链。公有区块链仅在处理目的需要公开访问时方可使用。若区块链非公开，应限制个人数据的访问，仅限于处理的必要范围，并防止未经授权的处理。

• 在区块链上以直接识别形式存储个人数据有几个问题。存储后，数据通常无法删除或修改，且修改非常困难，因为需所有节点一致修改或删除副本，这可能破坏区块链的防篡改特性。技术不可行性不能作为不合规的理由，然而结合技术与组织措施可以转化为合规机会：
• 加密个人数据：在将个人数据存储到区块链之前进行加密。加密后数据仅可由拥有解密密钥的人访问，删除密钥后数据变得不可读。尽管加密增强了隐私保护，但仍需遵守GDPR，且长期存储可能面临技术过时的风险。
• 哈希个人数据：在区块链上存储加盐或加密密钥的哈希值，而将原数据和密钥存储在链外。此方式可提高数据隐私性，但GDPR仍适用，且哈希值仍为个人数据。使用未加盐或未加密的哈希值通常不足以确保保密性。
• 加密承诺：可存储加密承诺而非直接存储个人数据。通过完美隐藏的加密方案，删除原数据后，承诺将失去意义，无法恢复原数据。

• 每当有必要在区块链上存储个人数据时，最好将数据以主要用作存在证明的形式存储，并将用于验证证明的数据保存在区块链之外，在此过程中必须确保高度的保密性。

• 在某些情况下，数据控制者可能需要使某些信息以与区块链寿命相等的保留期公开并可供访问。在这些特殊情况下，若出于处理目的有正当理由，并且已经DPIA且得出结论认为已妥善解决并减轻了对数据主体的风险，那么在公共区块链上以直接可识别的形式存储个人数据可能是合适的。

• 公平性原则：个人数据不得以不正当、违法、歧视、意外或误导的方式处理。实施公平性措施支持数据主体的权利，特别是知情权、干预权（访问、删除、数据携带、修正）和限制处理权。

• 透明性原则：控制者必须清晰、公开地告知数据主体其如何收集、使用和共享个人数据，确保数据主体能够理解并行使其在GDPR第15至22条中的权利。

• 目的限制原则：数据仅应为明确、合法的目的处理，不得以与这些目的不兼容的方式进一步处理。区块链技术因其去中心化的特点，可能无法通过契约或其他法律手段进行有效控制，因此，控制者需要明确理解其角色，并确保处理目的对所有利益相关方清晰明了。

• 数据最小化原则：数据处理应仅限于实现目的所必需的最少数据。区块链的“追加存储”和“永久性”特性挑战了这一原则。控制者应采取措施确保只处理必要的数据，并反思数据的公开程度，确保仅使用必要的最少信息，并在最低限度公开的情况下处理数据。

• 准确性原则：个人数据必须准确，并在必要时保持最新。由于区块链的不可修改性，数据提交后很难进行干预，因此控制者需在处理初期特别注意数据的准确性，这也是治理的一部分。

• 存储限制原则：个人数据应在处理目的实现后以及法定保留期过后被删除。在区块链中，删除数据的技术挑战较大，因此可能需要专门设计架构来处理数据删除。删除的有效性需确保，如果需删除区块链的一部分，控制者应确保有足够的技术和组织措施来实现这一点。

• 保密性原则：区块链的核心特点是去中心化，通过广播每个交易和多方交叉验证来实现。然而，这对元数据的保密性产生影响，因此控制者应根据区块链类型（如公有或许可链）来限制广播信息的处理，只让相关区块链参与者进行处理，并防止其他非区块链相关方滥用信息。内容的保密性则依赖于加密等机制。

• 完整性原则：区块链的完整性依赖于协议和共识机制，信任不能强制执行，而只能通过激励机制（如使用认证的软件、确保节点的识别和使用许可链）来建立。控制者应确保所有区块链实例的保密性，并通过适当的措施确保链上和链外交易数据的安全。

• 此外，为了加强区块链技术中的安全性，控制者应采取持续检查参与者可信度的措施。为减轻潜在算法故障对个人数据安全的影响，应设立技术和组织程序，包括披露软件漏洞、应急计划和通知安全事件的方式，并记录变更的治理，以减少规范与实施之间的风险。

• 鉴于区块链基础设施支持在其上实现特定数据处理活动，不存在适用于所有区块链处理行为的统一法律依据，每项个人数据处理均需根据其具体目的选择最适配的合法性基础：

• 合法性基础选择
• 一般数据处理须符合GDPR第6条所列法律依据（如同意、合同履行、法定义务、重大利益、公共利益或合法利益）。
• 特殊类别数据（GDPR第9(1)条）的处理须满足第9(2)条例外情形（如明示同意、重大公共利益等）。具体法律依据的评估需结合处理活动的实际场景。

• 以同意为法律依据的特殊要求
• 若依据GDPR第6(1)(a)条同意作为处理基础，须完全满足第4(11)条与第7条要求，包括：
• 同意需为数据主体自愿、具体、知情且明确的意思表示；
• 数据主体需拥有真实自由的选择权，可拒绝或撤回同意且不遭受损害；
• 若同意被撤回，相关个人数据必须删除或匿名化。

• 数据主体权利的限制
• 仅当符合GDPR第23条规定时，方可限制数据主体权利。例如：
• 区块链应用于反洗钱或特定资产（如房地产）登记等场景，且限制措施由欧盟或成员国法律明文规定；
• 限制需合乎比例、法律明确定义且为民主社会所必需。

• 合法利益的应用
• 当处理行为为控制者或第三方追求的合法利益所需（GDPR第6(1)(f)条），且该利益不凌驾于数据主体基本权利时，可采用区块链技术。

• GDPR第五章规定了将个人数据传输到欧洲经济区（EEA）以外的规则。

• 区块链技术通常会涉及跨境数据传输，特别是当信息在位于欧盟以外的节点之间共享时。这些节点不一定是经过选择或审核的，例如在公共区块链中，这可能引发合规性问题。然而，任何将个人数据传输到欧盟以外的行为，都必须遵守GDPR第五章的规定。数据控制者应意识到这些义务，并识别数据传输及相关机制，以促进数据流动。

• 例如，数据控制者可以在任何现有合同中加入标准合同条款，并确保在接受为节点之前签署这些条款。在任何情况下，确保正确应用数据传输要求应从区块链活动的设计阶段就开始着手，采用隐私保护设计架构可能有助于评估合规义务。

• EDPB在《关于25条数据保护设计和默认数据保护 的4/2019指南》中明确指出，有效性是这一概念的核心。这意味着控制者应能够证明，他们为落实数据保护原则采取了特定情境下的措施，并且纳入了保护数据主体权利和自由所必需的特定保障措施，包括在传统落实方式无法达到同等效果的情境中。隐私设计和默认保护还强调，措施的实际效果至关重要；仅实施通用措施以记录对GDPR的形式合规是远远不够的。

• 在区块链背景下，这种隐私设计和默认保护的方法显得尤为重要，因为区块链技术在数据保护原则上面临着特殊挑战。因此，可能需要结合不同的隐私增强技术，以为数据主体提供足够的数据保护水平。

• 控制者在确定数据保留期限时，应根据数据处理目的对每项数据进行评估。区块链的特性之一在于其链上数据具有防篡改性，一旦记录交易的区块被多数节点接受，任何对该交易的篡改都将被检测到。然而，这并不能将区块链的存续期默认为适当的数据保留期限；相反，数据应在处理活动结束时依数据处理原则予以删除。

• 区块链可以包含不同类别的个人数据，包括用户标识符等元数据以及负载数据。在大多数区块链中，这些标识符始终是可见的，因为它们对于区块链的正常运行至关重要。需要明确的是，数据保留期限同样适用于这些标识符，如果标识符是公钥签名验证密钥的形式，那么由相应私钥签名的交易也适用。存储在区块链上的负载数据也可能包含与区块链用户、节点及其他个人相关的个人数据。应根据处理目的确定保留期限，并在保留期限结束时删除或匿名化数据。

• EDPB认为，如果处理目的不需要与区块链生命周期相同或更长的保留期限，那么除非以能够有效防止通过合理可能的手段识别数据主体的方式写入个人数据，否则不应将个人数据写入区块链。如果数据保留期限是区块链的生命周期，控制者应能够证明该保留期限的必要性和比例性，并且应妥善记录导致这一结论的分析。

• 区块链安全属性基础 ：区块链的分布式、去中介化、一致性、防篡改和透明性等属性依赖于参与者行为、节点数量和密码学机制。

• EDPB 安全建议 ：
• 评估保障措施 ：建议评估必要保障措施，防止区块链被参与者滥用。许可区块链可通过参与者间的合同关系和为控制者创建管理权限来纳入保障措施，且要严格治理许可授予和维护流程。
• 防范交易风险 ：需有保障措施防止参与者因钱包被盗或内部不良员工导致意外或未经授权的交易，参与者也有义务实施相应技术和组织保障。
• 应对算法故障 ：制定技术和组织程序限制潜在算法故障影响，如应急计划以便发现漏洞时更改或修复算法。要评估区块链密码学机制在其预期寿命内被破坏的风险。

• 软件和协议变更治理 ：记录区块链使用软件或协议变更治理过程，制定措施确保计划许可与实际应用一致。

• 保密性与密钥安全 ：非公开区块链要重视保密性保障，数据控制者需确保区块链交易中密钥的安全存储，评估整体区块链处理过程安全性（包括个人数据链下存储时）。

• 数据最小化与安全评估 ：出于安全考虑，评估上传至区块链的数据应仅包含最小化个人数据。EDPB 强调，若使用区块链无法达到与风险相称的必要安全级别，控制者不应在个人数据处理活动中使用区块链。

• 若某项处理活动可能对自然人的权利和自由造成高风险，则必须开展数据保护影响评估（DPIA），以恰当评估并缓解个人数据处理带来的风险。若在特定区块链模型的使用中，即使采取适当技术和组织措施仍无法缓解对个人权利和自由的风险，控制者可选择改用其他区块链模型或采用能降低或避免此类风险的技术。

• 基于区块链的处理风险不仅源于数据存储，还来自区块链模型固有的其他操作（所有已识别风险均需进行管理）：
• 不同参与方间交易和区块的通信
• 待验证交易（用于区块创建）的收集与存储
• 无效分支区块的管理
• 链外存储与链上标识符或哈希相关的个人数据
• 通信元数据的生成与存储
• 加密信息（密钥、种子、盐值等）的管理等

• 控制者应评估区块链实施的问责与治理机制能否应对处理风险，例如：
• 访问控制与记录机制
• 可追溯性与审计机制
• 数据泄露管理等

• 部分区块链模型（尤其因其分布式特性）可能导致第三方处理与主目的无关的个人数据（如通信元数据或加密管理数据）。控制者应评估此类相关处理涉及的数据，并采取措施确保GDPR原则的适用，包括：
• 最小化此类数据
• 控制访问与存储
• 向数据主体透明披露处理活动

• 区块链隐私性依赖加密机制的稳健性，但所有加密系统均有不确定但有限的寿命周期。因此需管理算法过时或被破解的可能性，需根据数据敏感性、价值及对数据主体的风险（而非处理本身）权衡破解加密系统所需算力和技术突破可能性（如密码分析相关量子计算机）。此类风险应在设计阶段评估，并纳入全生命周期的风险管理（包括定期重评估）。根据风险等级，可提前规划增强加密系统或将处理迁移至其他技术（包括其他区块链模型）的措施。

• 为符合GDPR，必须保障数据主体权利的行使。这些权利与技术无关，无论处理是否涉及区块链均适用。区块链方案可采取创新性技术或组织措施实现权利行使，但需满足以下条件：
• 符合通用监管指引；
• 不得降低数据主体保护水平；
• 评估措施在实际处理中的有效性，并纳入风险管理（防范漏洞、故障或处理性质、范围、背景及目的变更引发的风险）。

• 开展区块链相关处理的DPIA时，需特别关注以下方面：
• 系统化描述区块链处理操作 包括处理目的、具体用例、区块链基础设施识别、区块链模型、角色与责任定义、数据接收方类别（及适当时的身份信息）、数据治理模型、处理生命周期操作类型、数据敏感性、链上/链下处理是否存在、智能合约与自动数据推断方式、权利行使实现机制、默认设计的数据保护措施、国际数据传输及相关保障措施、数据通信情况、同一基础设施支持的其他处理活动。
• 评估区块链相关处理操作的必要性与合比例性 需说明为何区块链使用被视为必要，以及为何无法通过隐私侵入性更低、风险更小的方式合理实现同等目标。
• 整体评估数据主体权利与自由的风险 包括区块链特有风险、潜在数据泄露评估、处理规模与区块链基础设施的延伸评估、国际数据传输对数据保护权利与保障措施的风险评估等。
• 精准识别与评估缓解区块链风险的专项措施 包括问责机制、默认设计的数据保护措施、数据最小化与准确性保障策略、加密保证与其他安全问题、区块链及生态中使用的隐私增强技术（PETs）、个人数据泄露管理措施等。需结合处理中实施的所有其他措施评估区块链专项措施的有效性。

• DPIA指南指出，在某些情况下，DPIA可以或应当是一个持续的过程。这尤其适用于在数据控制者无法控制的区块链基础设施上实施的处理活动、无许可的区块链、涉及国际数据传输的区块链，或可能被用来实施其他处理活动的情况，这些活动可能由于利益相关方、数据、规模或目的的不同而增加整体风险。

3. 数据主体权利

• 数据控制者必须在将个人数据提交给节点进行验证之前，向数据主体提供简洁、易于获取且表述清晰的信息。

• 对于访问权和数据可携权而言，情况亦然。EDPB认为，只要控制者履行了GDPR中有关行使这些权利的全部要求，那么行使这些权利是可以与区块链的技术属性相兼容的。

• 删除权和反对权必须通过设计来落实。

• EDPB指出，若个人数据直接存储于区块链上，从技术上实际删除数据主体提出的删除请求可能不可行。区块链的核心特性在于通过加密与共识工具确保链上数据的强完整性。由于完整区块链或其存储的信息通常难以删除，控制者应在设计阶段提前考虑这一要求，并确保链上存储的任何个人数据在收到删除请求或反对时能够有效匿名化。此操作的前提是：
• 链上存储的相关交易数据不允许直接识别数据主体；
• 任何可能通过合理手段间接识别数据主体的链下附加数据必须被删除。

• 鉴于实践中实现此目标的难度，EDPB建议：若无需依赖区块链的强完整性特性，应优先选择其他技术工具。数据主体权利的实现需符合GDPR第25条，并在处理设计阶段予以考量。

• 若以明文、加密或哈希形式记录于区块链的数据需响应数据主体的更正或删除请求，技术难度较高且通常难以实现。因此，不建议以此类形式在区块链上登记个人数据，而应选择链下存储。

• 与删除权及反对权类似，更正权必须通过设计保障。
• 替代性更正：可通过后续交易声明撤销先前的错误交易（原交易仍保留于链上）。
• 删除性更正：若更正需删除数据，则采用与删除权相同的解决方案（如链下数据擦除或链上匿名化）。

• 智能合约的执行在某些情况下可能构成完全自动化决策。当此类决策落入GDPR第22条范围时，控制者必须确保满足以下保障：
• 人类干预可能性：即使智能合约已执行且链上记录不可更改，数据主体仍可要求人工复核决策。
• 异议权行使：数据主体可对自动决策结果提出质疑，不受链上记录约束。

二、具体建议

1. 架构 – 文档化

2. 架构 – 链下存储

3. 信息

4. 最小化

5. 信任

6. 如果法律强制使用区块链

7. 软件漏洞

8. 治理

9. 同意

10.隐私设计与默认保护

11. 数据保留期限

12. 安全性 – 评估

13. 安全性 – 限制算法失败影响

14. 安全性 – 演变治理

15. 安全性 – 保密性

16. 数据主体权利

三、kaamel的应对