面对区块链和人工智能 (AI) 技术的迅猛发展,欧洲资料保护委员会 (EDPB) 于 2025 年 4 月全体会议上采取行动,发布了针对区块链技术处理个人资料的全新指引,同时也宣布将与 AI 办公室合作,制定有关 AI 法案与欧盟资料保护法之间互动关系的指引。
符合 GDPR:区块链资料处理新指引正式登场
区块链作为一种去中心化的数位帐本技术,能够确认交易并证明某个时间点上数位资产 (如:加密货币) 的所有权。它也常被用来安全地管理与传输资料,保证资料的完整性和可追溯性。
随着区块链应用日益普及,EDPB 认为有必要协助使用这项技术的组织,确保其符合《通用资料保护规则》(GDPR)。新指引深入解析区块链的运作方式、各种架构型态,以及这些设计对个资处理可能带来的影响。
设计阶段就要顾好资料保护
EDPB 强调,必须在资料处理设计初期就导入适当的技术和组织措施,预防未来的资料保护问题。同时,组织在设计区块链处理流程时,也应厘清各方在资料处理过程中的角色与责任。
如果区块链处理个资的行为可能对个人权利和自由构成高风险,组织必须事先进行「资料保护影响评估」(DPIA),以主动识别并减轻潜在风险。
降低个资外泄风险是重中之重
根据指引,组织应确保在区块链上的个人资料受到最高等级的保护,避免资料预设对无限制的人群开放。
EDPB 也提供了多种数据最小化的技术范例,说明如何妥善处理和储存个资。原则上,若储存个资于区块链可能与资料保护原则冲突,应尽量避免。
此外,指引特别强调应保障个人的资料透明度、资料更正权及删除权,这些基本权益在区块链架构中尤其容易被忽略,因此更需额外注意。
没设计好,可能还要删掉整条链?
指引中写道,个人资料必须在处理目的达成后以及任何法定保存期限届满后予以删除,以符合储存限制原则。法定保存期限届满后,为符合储存限制原则,必须删除个人资料。
在区块链中,对个别资料进行删除可能具有挑战性,且需要特别设计的架构。当设计时未考虑删除功能,可能需要采用特别的工程架构来实现,可能还要删除整个区块链。
如果链上和链下数据的合规性设计已被考虑,资料保护已被设计考量,可能有办法防止未来透过删除链下数据来识别资料主体,这取决于具体的方法选择及具体事实。无论选择哪种存储限制方法,都必须遵守有效。若此需要删除区块链的一部分,包括删除节点或其他方持有的任何副本,控制者应确保有足够的技术和组织措施到位以执行此操作。
公众咨询开放至6月初
这份区块链资料处理指引目前已开放公众咨询,截止日期为 2025 年 6 月 9 日。EDPB 邀请各方利害关系人提出意见,让最终版本更贴合实务需求。
EDPB 与 AI 办公室携手制定 AI 新规范
除了针对区块链技术发布新指引,EDPB 在这次全体会议上也宣布,将与刚成立不久的「AI办公室」密切合作,共同草拟 AI 案与现有资料保护法规的衔接指引。未来,随着 AI 应用不断扩张,这份跨领域合作文件将成为企业和开发者的重要依据。
