欧盟EDPB就通过区块链技术处理个人数据发布指南并征求意见

2025年4月14日，欧洲数据保护委员会（European Data Protection Board, EDPB）发布了《关于通过区块链技术处理个人数据的指南》（Guidelines 02/2025 on processing of personal data through blockchain technologies，以下简称“《指南》”）并公开征求意见。

《指南》旨在为计划使用区块链技术处理个人数据的组织提供合规框架，全面分析了区块链技术的分布式特性、去中心化治理以及加密机制与《通用数据保护条例》（GDPR）要求的相互作用，阐述了其在个人数据处理中可能引发的合规风险和对数据主体权利与自由的潜在威胁。《指南》提出，应用区块链技术处理个人数据具有复杂性和不确定性。区块链的分布式架构依赖多个节点存储数据副本，通过加密技术和共识算法（如工作量证明或权益证明）确保数据一致性和防篡改性。然而，这些特性使得修改或删除链上数据更为困难，可能与GDPR的存储限制原则（Article 5(1)(e)）和数据主体的删除权（Article 17）相冲突。此外，区块链的透明性和去中心化治理可能导致数据被广泛复制和访问，增加了未经授权处理的风险。《指南》强调，数据控制者需通过数据保护影响评估（DPIA）识别风险，并优先采用技术措施（如数据最小化、链外存储）来降低对数据主体的威胁。通过提供技术与组织措施的具体建议，《指南》帮助数据控制者在设计和实施区块链解决方案时确保符合GDPR的要求。

以下正文内容在AI的参与下完成。

01 区块链技术概述

（1）原理

《指南》首先详细介绍了区块链的工作原理。区块链是一个分布式公共账本，记录特定用例的交易（如加密货币转账或智能合约执行）。每个节点维护账本副本，通过以下机制确保一致性：

-区块链接：交易分组为区块，每个区块通过加密哈希与前区块连接，形成链状结构。

-共识算法：节点通过算法（如工作量证明或权益证明）达成一致，决定哪个区块被添加到链上。例如，比特币使用工作量证明（节点竞争解决数学难题），以太坊采用权益证明（基于持有资产选择节点）。

一旦交易被确认并记录在链上，通常无法更改，否则会被检测为不一致。这确保了数据的完整性，但也限制了GDPR要求的删除或更正能力。

（2）类型

《指南》根据访问和控制权限区分了区块链的类型：

-公共链与私有链：公共链（如比特币、以太坊）对所有人开放，任何人都可读取或写入交易，数据完全透明。私有链限制访问，仅限授权参与者，常见于企业内部。

-许可链与无许可链：无许可链（如比特币）允许任何人加入，节点权利平等，高度去中心化。许可链需授权（如企业联盟链），由单一或多方实体控制参与规则，责任分配更清晰。

因其治理结构更易与GDPR的问责制（Article 5(2)）对齐，《指南》推荐优先使用许可链，并建议采取零知识区块链（使用零知识证明等加密技术隐藏身份）作为增强隐私的潜在选择。

（3）链上数据

《指南》阐释，区块链存储的数据分为：

元数据：包括交易参与者的标识符（如公钥）。若公钥可通过合理手段（如数据泄露）关联到自然人，则视为个人数据。

交易负载数据：包含交易内容，如加密货币金额、文档链接或智能合约调用，可能涉及用户或其他个人的个人数据。

链外存储数据：为解决链上存储的扩展性或隐私问题，可将数据存储在链外，仅在链上存储引用（如哈希或指针）。链外数据仍受GDPR约束。

《指南》强调，链上存储个人数据需谨慎，可能违反数据最小化原则（Article 5(1)(c)）。推荐措施包括加密（仅密钥持有者可解密）、哈希（存储加盐哈希，原始数据链外存储）或加密承诺（链上存储承诺，无法逆推原始数据）。

（4）角色与责任

区块链的去中心化治理涉及多方角色，包括节点运营者、开发者和用户。GDPR定义的数据控制者（决定处理目的和手段）与数据处理者（代表控制者处理数据）需根据具体场景评估。例如：

许可链：通常由单一或多方实体授权节点，责任分配较明确，可能为控制者或联合控制者。

无许可链：节点可能自主决定交易选择或协议修改（如分叉），可能被视为控制者或联合控制者。

《指南》建议在无许可链中成立联合体或其他法律实体，明确数据控制者身份，确保问责制。节点若仅执行技术验证（不决定处理目的），可能为数据处理者，但需符合GDPR第28条要求。

02 对基于区块链的数据处理活动进行合规性评估

区块链只是一种技术，就像云计算或对等网络一样，它本身并不是对个人数据的处理。然而，技术的选择确实会影响处理活动及其与 GDPR的合规性。因此，在以符合 GDPR 的方式处理个人数据时，需要对数据主体的权利和自由风险进行评估和评估。其中一些不合规风险可以通过事先的技术措施缓解，而找到其他风险解决方案可能在这个阶段具有挑战性。因此，在采用区块链之前，数据控制者对其自身的数据处理活动进行适当评估至关重要，以确保区块链仅以符合 GDPR 且为数据主体权利提供适当保护的方式部署。

《指南》要求，数据控制者在采用区块链之前进行的评估需要回答以下四个问题：

-链上是否包含个人数据？

-为何选择区块链？有无替代方案？

-适合何种区块链类型（私有、许可、零知识）？

-采取了哪些技术与组织措施（如链外存储、隐私增强技术）？

（1）个人数据处理

链上存储个人数据的风险包括：不可更改性：数据一旦记录，难以删除或修改，可能违反存储限制和删除权；广泛复制：分布式节点存储数据副本，增加未经授权访问风险。

对此，《指南》推荐以下缓解措施：

加密：链上存储加密数据，需确保密钥安全。但加密数据仍为个人数据，且算法可能随时间失效。

哈希：存储加盐或密钥哈希，原始数据链外存储。需确保盐或密钥不泄露，且哈希本身可能仍被视为个人数据。

加密承诺：链上存储承诺，链外存储数据，确保不可逆推。理论上最安全，但需正确实施。

链外存储：优先将个人数据存储在链外，链上仅存引用（如哈希或指针），以便在需要时删除或匿名化。

《指南》特别指出，若处理目的要求数据公开且保留期限与区块链寿命一致，链上存储可能合理，但需通过DPIA证明风险已妥善缓解。

（2）数据保护原则

《指南》逐一分析GDPR第5条中规定的数据保护原则在区块链环境中的适用：

公平性：处理不得对数据主体造成不合理损害、歧视或误导。例如，需确保链上数据的透明性不导致隐私泄露。

透明性：控制者需向数据主体清晰说明数据收集、使用和共享方式，支持权利行使（如访问权、更正权）。

目的限制：数据仅用于明确、合法目的，完成后删除或匿名。区块链的无中介特性可能使目的控制复杂化，需通过治理机制约束。

数据最小化：仅处理必要数据，评估公开程度。例如，公共链应避免存储直接识别数据。

准确性：数据需准确且更新。区块链的不可变性要求在提交前验证数据，错误数据可能需通过后续交易更正。

存储限制：数据到期需删除。链上数据需设计匿名化机制（如删除链外密钥或盐），否则可能需删除整个区块链。

完整性与保密性：通过加密、权限控制和节点认证保护数据，防止未经授权访问。

（3）合法性基础

《指南》提出，区块链的去中心化特性不免除合法性要求，在区块链中的每项处理需依据GDPR第6条确定合法性基础，包括但不限于：

同意（Article 6(1)(a)）：需自由、明确、可撤回，撤回后数据需删除或匿名。

合法利益（Article 6(1)(f)）：需平衡控制者利益与数据主体权利，确保不造成过度侵害。

此外，若处理特殊类别数据（如健康数据），需符合GDPR第9条例外条件。

（4）国际数据传输

区块链常涉及跨国节点，需遵守GDPR第五章。例如，公共链的节点可能位于欧盟外，数据控制者需通过标准合同条款或其他合规机制确保数据保护水平。《指南》建议，在区块链设计阶段嵌入传输合规措施，如通过权限控制限制非欧盟节点访问。

（5）设计与默认数据保护

GDPR第25条要求控制者在处理设计和实施阶段嵌入数据保护。区块链的特性（如不可变性和透明性）可能挑战传统保护措施的有效性，因此需结合隐私增强技术（如零知识证明等）。《指南》强调，措施需实际有效，而非仅形式合规。例如，公共链默认不得向无限人数公开个人数据，除非数据主体明确同意。

（6）数据保留期限

数据保留期限需根据处理目的确定，而非区块链的寿命。若数据保留期限短于区块链寿命，需确保数据可删除或匿名。例如，通过删除链外密钥等方式链上数据无法关联到个人。若无法实现，控制者应避免链上存储个人数据。《指南》还指出，元数据（如用户公钥）同样需遵守数据保留期限的要求。

（7）数据安全

区块链的安全性依赖于节点行为、节点数量和加密机制。《指南》提出，数据控制者需评估整个区块链生态的安全性，包括链外存储和交互工具（如钱包），可采取以下措施确保数据安全：

防止攻击：评估攻击风险，许可链可通过合同和权限管理约束节点。

密钥安全：确保私钥存储在安全介质，防止泄露。

算法失效：制定应急计划，应对加密算法漏洞（如量子计算威胁）。

治理：记录软件和协议变更，确保实施与设计一致。

（8）数据保护影响评估（DPIA）

若区块链上的数据处理活动可能涉及高风险，需进一步开展完整的DPIA，评估内容包括：

数据处理活动描述：说明目的、用例、区块链模型、角色分配、数据类型和国际传输。

必要性与合比例性：证明区块链为何必要，是否可被更低风险技术替代。

风险评估：分析链上存储、通信元数据、加密管理等风险。

缓解措施：记录数据最小化、加密、权限控制等措施的有效性。

《指南》建议，DPIA可能需要持续进行，特别是在无许可链或国际传输场景中，风险可能随时间发生变化。

（9）数据主体权利行使

《指南》强调，GDPR规定的权利（如访问权、删除权、更正权）不受技术限制，区块链环境同样适用。

数据控制者需在数据提交节点验证前提供清晰、易懂的信息，说明处理目的、权利内容和行使方式。例如，可在用户提交交易时或区块链创建时通知，并在网站上持续提供信息。访问权和数据可携权在区块链环境中可通过技术手段实现，如提供链上数据的副本或链外存储的访问接口，但需确保符合GDPR的格式和时限要求（Article 12, 15, 20）。

删除权（Article 17）和反对权（Article 21）在区块链中实现难度较大，因链上数据的不可变性可能导致无法直接删除。对此，《指南》建议数据控制者在设计阶段需嵌入删除机制，例如，通过删除链外数据使链上数据无法关联到个人。此外，若区块链的防篡改特性非必需，应考虑其他技术以便于删除。

更正权（Article 16）要求修正不准确数据。区块链的不可变性可能导致原始数据无法更改，但可通过后续交易记录更正。例如，发布一笔新交易宣布前交易的错误，但原始数据仍存链上。若更正需删除数据，可应用与删除权相同的匿名化机制。控制者需在提交前验证数据准确性，减少更正需求。

反对自动化决策权：智能合约可能构成自动化决策（如自动执行交易）。这要求区块链设计支持权利行使，例如，允许暂停或撤销合约执行。若落入GDPR第22条范围，数据控制者需确保提供人工审查机制，并在即使智能合约已执行的情况下允许数据主体质疑决策。

03 具体建议

《指南》在附件A中详细列出了16条操作建议，这些建议强调预防性设计和持续监控，旨在将GDPR原则转化为可操作的措施，指导数据控制者在区块链上开展合规的数据处理活动：

建议1：架构 – 文档化

EDPB建议数据控制者和数据处理者记录以下内容：

i. 区块链上的数据是否包含个人数据？

ii. 如果包含，为什么选择区块链是必要且适当的方式？（例如，选择的理由是什么？是否有其他替代方案？）

iii. 应使用哪种类型的区块链？（例如，是否可以使用私有区块链？是否可以使用许可区块链？是否可以采用“零知识”架构？）

iv. 采用了哪些技术和组织措施？（例如，个人数据是否存储在链下？使用了哪些隐私保护技术？）

建议2：架构 – 链下存储

EDPB建议数据控制者将链上交易元数据中已存在的标识符之外的任何额外个人数据存储在链下，以降低数据保护风险。

建议3：信息

数据控制者必须以清晰的方式向数据主体告知处理的合理性、数据主体的权利以及行使这些权利的方式。适合提供此类信息的时机包括数据主体即将将数据提交到区块链时，以及区块链创建时。此类信息还应在其他时间可供数据主体查找，例如在控制者的网站上。

建议4：最小化

数据控制者应确保处理的数据仅限于与处理目的相关且必要的数据。存储在链上和链下的个人数据的数量、存储期限及其可访问性应尽可能最小化。在此方面的评估应记录在案，包括对元数据和交易负载的评估。

建议5：信任

实施选择应包括确保信任的机制，包括软件和节点身份的信任。这可以通过国际标准和独立第三方的认证来实现。

建议6：法律条款（如果区块链的使用由法律要求）

如果区块链的使用由欧盟或成员国法律要求，立法者应包括关于可接受的公开程度的条款，并阻止任何违反保密性的行为。

建议7：软件漏洞

EDPB建议制定技术和组织程序，向所有参与者披露软件漏洞，包括在发现漏洞时更改算法的应急计划，并向相关监管机构报告安全事件和个人数据泄露，并向相关数据主体通报事件。

建议8：治理

应记录用于创建交易、创建和验证区块的软件变更的治理，并制定技术和组织程序，以确保规范与实施之间的一致性。

建议9：同意

如果使用同意作为法律依据，必须确保同意是自由给予的，并且数据主体能够拒绝或撤回同意而不受损害。处理实施的技术选择应确保这两点。特别是，这要求不得将无法通过删除链下数据而匿名化的个人数据存储在区块链上，并且在撤回同意的情况下，应实施有效的程序以确保此类数据的匿名化。如果区块链架构无法提供删除交易中各方个人数据的方法，则不应使用同意作为处理的法律依据。

建议10：数据保护设计与默认设置

所有数据保护原则应从一开始就包含在任何处理中，并贯穿处理的整个生命周期。所有处理操作必须与处理目的相关且必要。默认情况下，未经数据主体同意，个人数据不应在公共区块链上公开。

建议11：数据保留 – 期限

元数据（如用户标识符）和负载的数据保留期限应根据GDPR第17条与第25(1)条的规定确定，并在决定使用何种区块链以及存储这些数据的格式时予以考虑。如果数据保留期限不等于区块链的生命周期，则应采用技术解决方案以确保适当的数据保留期限。在区块链上存储的个人数据的保留期限届满时，该解决方案应允许删除数据或（如适用）使其匿名化。如果不存在此类解决方案，则不应将任何个人数据存储在链上。

建议12：安全性 – 评估

应进行必要的安全性评估，以确保区块链的安全性与风险相适应。

建议13：安全性 – 限制算法故障的影响

应制定技术和组织程序，以限制潜在算法故障（如对区块链中使用的密码原语的攻击）的影响。

建议14：安全性 – 演变治理

应记录软件和协议演变的治理。

建议15：安全性 – 保密性

如果使用公共区块链不是处理目的所必需的，则应实施措施以限制区块链的可访问性并确保其保密性。这些措施应记录在案并经过验证。

建议16：数据主体的权利

数据主体的权利不得因技术实现的选择或数据主体的同意而受到限制。必须按照GDPR的要求履行这些权利。处理实施的技术选择应确保这一点。特别是，在数据主体根据GDPR第21条提出异议或根据GDPR第17条提出删除请求的情况下，个人数据需要被删除或匿名化。

指南原文：

https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-022025-processing-personal-data_en

声明：本文来自数据信任与治理，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。