隐私快讯|欧盟EDPB发布《通过区块链技术处理个人数据的指南》

隐私快讯|欧盟EDPB发布《通过区块链技术处理个人数据的指南》

Kaamel Lab
Kaamel Lab 2025年4月24日

2025 年 4 月 14 日,欧洲数据保护委员会 (EDPB) 就关于《通过区块链技术处理个人数据的指南》(以下简称“《指南》”)征求公众意见,该指南涉及通过区块链技术处理个人数据的问题,并强调需符合《通用数据保护条例》(GDPR)的要求,涵盖区块链的基本原理、架构设计、数据保护措施,以及进行数据保护影响评估(DPIA)的必要性等方面。此外,EDPB还宣布将与欧盟人工智能办公室(EU AI Office)合作起草有关《欧盟人工智能法案》(EU AI Act)与GDPR之间相互关系的指南。

一、《指南》核心内容

《指南》为考虑使用区块链技术的组织提供了一个框架,重点关注与GDPR的合规性。具体而言,该指南涵盖了区块链的基本原则、不同架构以及它们对个人数据处理的影响。指南中解释了以下内容:

1. 区块链的技术概述

  (1)区块链的工作原理

  (2)区块链的类型

  (3)区块链中的数据

 ** (4)角色和责任**

2. 基于区块链的数据处理评估

  (1)技术选择会影响数据处理活动及其对GDPR的合规性

  (2)个人数据处理

  (3)数据保护原则

根据GDPR第5条,数据保护原则要求控制者以问责和有效的方式实施这些原则。EDPB强调,数据保护原则是不可妥协的,尽管其实施方式可根据上下文和风险级别有所不同。以下是 EDPB 以非穷尽方式列出的一些问题,数据控制者在依据数据保护原则评估其个人数据处理活动时应予以考虑:

  (4)数据处理的合法性

**  (5)跨境数据传输**

  (6)隐私设计与默认保护

  (7)数据保留期限

  (8)数据安全

 ** (9)DPIA**

3. 数据主体权利

  (1)数据主体的信息、访问权和数据可携权

 ** (2)删除权和反对权**

 ** (3)更正权**

 ** (4)反对完全自动化决策权**

二、具体建议

EDPB在《指南》附件A中提出了一系列具体的建议,旨在帮助数据控制者和处理者在符合GDPR要求的前提下,正确使用区块链技术:

1. 架构 – 文档化

EDPB建议数据控制者和处理者记录以下内容:

2. 架构 – 链下存储

EDPB 建议控制者将超出交易元数据中已存在链上标识符的任何附加个人数据存储在链下,以降低数据保护风险。

3. 信息

数据控制者必须明确告知数据主体关于处理的理由、数据主体的权利及行使这些权利的方式。提供此类信息合适的告知时间包括数据主体即将将数据提交到区块链时以及区块链创建时。信息也应便于数据主体在其他时间查看,例如在控制者的网站上。

4. 最小化

数据控制者应确保仅处理与目的相关且必要的个人数据。链上和链下存储的个人数据量、存储期限及其可访问性应最小化。对此的评估应记录在案,包括对交易元数据以及交易负载的

5. 信任

实施选择应包括确保信任的机制,包括软件和节点身份的信任。可以通过国际标准认证和独立第三方认证等方式来实现。

6. 如果法律强制使用区块链

如果使用区块链是欧盟或成员国法律要求的,立法者应包括关于可接受的公开程度的规定,并应防止任何泄露保密信息的行为。

7. 软件漏洞

EDPB建议制定技术和组织程序,以便向所有参与者披露软件漏洞,包括在发现漏洞时能够更改算法的应急计划,并向相关的监督机构报告安全事件和个人数据泄露,同时通知相关数据主体。

8. 治理

创建交易、创建和验证区块的软件更改治理应有文档记录,并且应制定技术和组织程序,确保规格与实施之间的一致性。

9. 同意

如果使用了同意作为合法依据,必须确保同意是自愿的,且数据主体能够拒绝或撤回同意而不受不利影响。

这要求不得将无法通过删除链下数据匿名化的个人数据存储在区块链,并且实施有效的程序确保在撤回同意时能够删除这些数据。

如果区块链架构无法提供删除交易方的个人数据的方式,则不应在处理涉及个人的事务时使用同意作为合法依据。

10.隐私设计与默认保护

所有数据处理活动从初始阶段至整个生命周期,均须通过设计与默认方式嵌入数据保护原则。所有处理操作必须与处理目的保持必要性和比例性。

默认情况下,未经数据主体主动操作,其个人数据不得默认开放于公有链供任意访问。

11. 数据保留期限

元数据(如用户标识符)和交易负载的保留期限应根据GDPR第17条与第25(1)条确定,并在决定使用哪种类型的区块链及存储格式时加以考虑。

如果数据保留期限比区块链的生命周期短,应采取技术解决方案来保证适当的数据保留期限。在个人数据存储在区块链上的保留期结束时,该解决方案应允许删除数据或(如适用)将数据匿名化。如果不存在此类解决方案,则不应将个人数据存储在链上。

12. 安全性 – 评估

需根据风险等级,评估区块链安全保障措施的必要性,确保其与风险适配。

13. 安全性 – 限制算法失败影响

制定技术和组织程序,以限制潜在算法故障的影响(例如区块链所用加密原语遭受攻击)。

14. 安全性 – 演变治理

区块链软件及协议的变更与演进治理机制应形成完整文档。

15. 安全性 – 保密性

当公有区块链不必用于处理目的时,应采取措施限制区块链的可访问性,并确保区块链的保密性。这些措施应被记录和验证。

16. 数据主体权利

数据主体的权利不可因技术选择或数据主体的同意而受到限制,必须依据 GDPR 履行。实施处理的技术选择应确保落实这一点。特别是,在数据主体根据 GDPR 第 21 条提出反对处理的异议或根据第 17 条提出删除请求时,应删除或匿名化处理个人数据。

三、kaamel的应对

Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。

创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.