跳转到主要内容

文章分类

在设计、开发和实施与智能合约相关的项目之前,应从隐私角度进行全面分析,特别强调其对数据主体权利和自由的影响。从匿名到自动决策的执行和权利的行使,重要的是审查与欧盟层面数据保护相关的这些项目可能出现的主要法律问题。Mercedes Ferrer Bernal、Isabela Crespo Vitorique、Bárbara Sainz de Vicuña Lapetra和Isabel Bandin,来自GÓMEZ ACEBO&POMBO ABOGADOS,S.L.P.讨论了这一主题及其细微差别。

“智能合约”的概念

从技术角度来看,智能合约简言之是在区块链1上运行的算法,也就是说,自动执行协议的全部或部分并存储在基于区块链的平台2上的计算机代码。智能合约是区块链与加密货币一起使用最广、最广为人知的应用之一。

就其而言,区块链(或分布式账本技术)是一类在一个频谱上运行的技术,呈现不同的技术和治理架构,正如其词源所揭示的,这些架构通常被构造为区块链。一般来说,可以说区块链是一个共享和同步的数字数据库,由共识算法维护,并存储在多个节点(即持有分布式账本的完整或部分副本的计算机)3上。其通常的主要特征可能包括:

  • 不变性:一般而言,区块链可设计为仅附加数据结构,使日志篡改明显,因此其内容保持永久性和不可更改,增加透明度和可问责性4;
  • 分散:控制和决策从集中可信实体(个人、组织、公司或其集团)转移到分布式网络;和
  • 共识:区块链网络(节点)的对等方应就分布式账本的当前状态达成共识。

关于智能合约的任何讨论都将在很大程度上取决于其定义和实施的技术环境。事实上,区块链有很大的多样性,因此其技术和功能配置以及内部治理架构可能会有所不同。

从欧盟数据保护法律角度来看,关于公平获取和使用数据的统一规则的法规提案(“数据法草案”)在第2(16)6条中提出了以下定义:

“智能合同”是指存储在电子账本系统中的计算机程序,其中程序的执行结果记录在电子账册上

欧盟数据保护法律框架下智能合同监管的主要考虑因素

区块链是智能合约的基础技术,可能涉及位于不同国家的不同计算机。鉴于区块链的频繁跨境性质,以及《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”)第3条赋予的广泛地域范围,欧盟数据保护条例可能适用于智能合约。

目前,欧盟法律框架内的主要数据保护法规包括GDPR,该法规自2018年5月25日起直接适用。GDPR由不同成员国的国家数据保护法律以及部门法规补充,这些成员国为其自己的领土制定了数据保护法。这些数据保护规则由案例法和数据保护主管部门的指导方针和建议进行解释。

智能合约不仅必须遵循GDPR,还必须遵循欧盟正在制定的新监管规则,如数据法案草案。

初步意见:数据法草案下的智能合同要求

尽管《数据法》草案仍在起草过程中,但值得一提的是,它提出了智能合同的以下四项基本要求(包括在第30(1)条中):

  • 稳健性:即确保智能合约的设计具有非常高的稳健性,以避免功能错误,并承受第三方的操纵;
  • 安全终止和中断:指智能合约应包括内部功能或机制,可重置或指示合约停止或中断操作,以避免未来(意外)执行;
  • 数据归档和连续性:如果必须终止或停用智能合约,则必须预见归档交易数据、智能合约逻辑和代码的可能性,以保存过去对数据执行的操作记录(可审计性);和
  • 访问控制:应通过治理层和智能合约层的严格访问控制机制来保护智能合约。

智能合同的供应商或供应商将评估这些要求的符合性,然后必须发布欧盟符合性声明,并负责遵守这些要求。

个人数据/匿名数据(GDPR第4条)

GDPR仅适用于处理个人数据的情况(GDPR第1条)。

根据GPDR第4(1)条确立的广义定义,“个人数据”是:

与已识别或可识别自然人(“数据主体”)相关的任何信息;可识别自然人是指可直接或间接识别的自然人,特别是通过参考标识符,如姓名、识别号、位置数据、在线标识符或特定于该自然人的身体、生理、基因、心理、经济、文化或社会身份的一个或多个因素

相反,GDPR不适用于匿名数据(GDPR序言26)。

在实践中,尤其是在区块链中,个人和非个人数据之间的界限何时跨越存在不确定性。这主要是因为,根据GDPR,辨别被操纵以防止身份识别的数据是否实际被视为匿名数据可能具有挑战性。

确定数据是否符合“个人数据”的基本标准是合理的识别可能性,如GDPR6序言26所述。

此外,GDPR引入了“假名化”概念,位于两个术语之间,定义为:

处理个人数据的方式应确保在不使用附加信息的情况下,个人数据不再归属于特定数据主体,前提是此类附加信息单独保存,并受技术和组织措施的约束,以确保个人数据不归属于已识别或可识别的自然人

假名数据仍然是个人数据,但其处理可能会降低数据主体的风险,因为它会降低数据集与数据主体原始身份的链接性,因此可能被证明是一种有用的安全措施。事实上,GDPR明确鼓励在其他适当的技术和组织措施中使用假名(如GDPR第25条和第32条)。

总的来说,在不影响个案分析的情况下,在智能合约的背景下,如果实施的措施是加密和散列,则数据可能会被视为先验的假名,因为其仅仅使用可能不会自动将个人数据转换为匿名数据,因为这些技术不会使个人数据不可逆转地匿名-尽管它们可能会对数据的保密性和完整性做出重大贡献78。

在这方面,应该强调的是,在区块链环境中存在着一些技术发展,它们寻求提供更强大的匿名性保证(如零知识证明、同态加密、添加“噪声”等)和其他相关措施(如链外存储)。

数据控制器和数据处理器(GDPR第4、26和28条)

GDPR以及数据保护的原则和作用是在数据管理可能集中在特定组织的基础上设计的。因此,区块链技术使用的分散模型和数据处理中涉及的实体数量可能导致控制器和处理器角色的更复杂定义。

控制器和处理器的定义是从功能角度形成的自主法律概念。一方面,控制人是“单独或与其他人共同决定个人数据处理目的和方式的自然人或法人、公共机构、机构或其他机构”,而另一方面,处理人是“代表控制人”处理个人数据的一方”(GDPR第4(7)条和第4(8)条)。根据GDPR第28条,控制器和处理器之间的关系应由数据处理协议管辖。

在区块链环境中,一组实体或个人可以确定“个人数据处理的目的和方式”,因此他们可以被视为整体上的联合控制者(GDPR9第26条),除非已经创建或设计了一个法律实体来代表所有参与者,承担处理责任。联合控制员应签署一份协议,适当反映各自与数据主体的角色和关系。该安排的实质应提供给数据主体,数据主体可针对每个控制器行使其数据保护权利。

在区块链中,通常的数据处理器可能包括代表控制器处理个人数据的IT开发人员。此外,在某些情况下,矿工(即在区块链上验证交易的专业节点)也可以被视为处理器,前提是他们在验证交易是否符合技术标准时仅遵循控制器的指示。

然而,应单独分析每种情况。

数据保护权利(GDPR第15条)

GDPR在其第15条至第2210条中授予数据主体特定的数据保护权利。数据控制者有义务帮助个人行使这些权利。

这些权利中的某些并不构成区块链技术的具体问题,而其他权利则会引发技术和法律挑战,主要是由于智能合约背后的技术区块链的不变性(如上文所强调的),因为从设计上讲,区块链经常被有意开发为仅附加的分类账,使删除或修改数据以保护网络的完整性和建立信任变得极其困难11。我们将特别关注三个主要方面:纠正权、删除权,以及不受仅基于自动处理(包括分析)的决策的约束。

纠正和删除的权利(GDPR第16条和第17条)

一方面,《GDPR》第16条规定了纠正权,规定:

数据主体有权从控制者处获得有关其不准确个人数据的纠正,不得无故拖延。考虑到处理的目的,数据主体有权填写不完整的个人数据,包括提供补充声明。

纠正权与GDPR12第5(1)(d)条的数据“准确性”原则相关。

另一方面,《全球数据保护条例》第17条规定了删除权,根据该条,数据主体有权从控制者处获得有关其个人数据的删除,不得有任何不当延迟,控制者有义务在某些情况下删除个人数据,不得有不当延迟13。此外,GDPR14第17(3)条规定了某些例外情况。

因此,由于区块链所依赖的不变性,纠正和擦除存储在给定智能合约的区块链网络中的数据被证明是难以实现的,因为,尽管从技术角度来看,数据一旦出现在区块链上,删除数据并非绝对不可能,但这可能会带来很大的负担。还正在探索开发“可编辑区块链”(也称为“可重绘区块链”)的可能性,例如,通过建立有限数量的具有更高特权访问权限的授权方,这些授权方可能有权更改区块。

然而,关于纠正权,GDPR第16条明确设想的“通过提供补充声明”完成不完整数据的选项将更容易实现,因为任何在区块链中被授予写入权的人都可以将新数据添加到分类账中,以纠正以前的信息。在任何情况下,添加补充信息可能并不总是令人满意的,特别是在数据不仅应包括而且应删除和替换15的情况下。

不过,每个案例都必须逐案分析。事实上,权利不是绝对的,例外情况也可以适用(特别是关于删除权)。此外,什么是“擦除”尚待讨论。该部门的参与者期待着监管当局在未来发布具有务实方法的一般性指导意见,这可以理解数据已被“擦除”,例如,在实施不可逆加密或智能合约管理机制撤销关于某些信息的所有访问权的情况下,因此,实际上无法获取信息16。无论如何,正如法国数据保护局(“CNIL”)所强调的17,“这些解决方案使利益相关者能够更接近GDPR的合规要求”,但就数据仍将驻留在区块链上而言,这些方法不会严格导致数据的删除。

不受仅基于自动处理的决定约束的权利(GDPR第22条)

根据GDPR第22(1)条,数据主体“有权不受仅基于自动处理的决定的约束,包括对其产生法律影响或对其产生类似重大影响的分析”。决策将“完全基于”自动处理,在决策过程中“没有人参与”18。

根据本条款,智能合同似乎属于一种完全自动化的数据处理类型,因为它们可能产生具有法律效力或对相关方产生重大影响的自动化决策(例如,财务损失、数字或有形商品权利的丧失、欺诈等)。此外,智能合约可以生成并存储区块链中感兴趣方的新数据,例如,这些数据可以用于详细说明配置文件。

这意味着必须满足GDPR第22(2)条的要求之一,并实施第22(3)条的保障措施。

一方面,GDPR第22(2)条规定了该禁令的三种例外情况。因此,只有在以下情况下才允许进行完全自动化的数据处理:(i)订立或履行合同所必需的数据处理;(ii)欧盟或成员国法律允许;或(iii)基于数据主体的明确同意。原则上,这些要求可以在智能合同中得到满足,就像在其他情况下一样。

此外,在满足GDPR第22(2)条要求的情况下,第22(3)条要求数据控制者实施适当措施,以保障数据主体的权利,至少包括控制者获得人为干预、表达观点和质疑决定的权利。

在这方面,值得一提的是,西班牙数据保护局(“AEPD”)于202219年3月14日发布了一份关于区块链和个人数据中智能合约的指南。该指南与GDPR第22条规定的义务一起指出,在使用智能合约时,以下保障措施也可能成为必要的:

  • 数据保护政策;
  • 所提供服务的治理措施;
  • 有效性超出了强制最低限度的权利行使和保护措施的设计和默认;
  • 安全和管理措施;和
  • 基于对相关方权利和自由的风险,通知和沟通个人数据泄露。

最后,还应注意的是,在《全球数据保护条例》第13条和第14条规定的信息义务之后提供的信息中,应告知数据主体是否存在自动决策(包括分析),至少在这些情况下,还应告知数据当事人关于所涉逻辑的有意义信息,以及这种处理对数据主体的重要性和预期后果。

设计和默认数据保护(GDPR第5、25和32条)

GDPR第25条要求数据管理员实施适当的设计和默认组织和技术措施,以确保遵守数据保护的原则和规则。这强调了在系统设计和组织结构(包括区块链治理)中考虑数据保护标准的必要性,强调了体系结构的相关性及其对数据主体的影响。

例如,这些组织和技术措施可能包括加密技术,例如零知识证明,它允许评估信息的确定性,而不提供对底层信息本身的访问,因此不会暴露。

使用认证机制和行为准则证明合规性的可能性可能是一个有用的工具,第40条及其后各条明确预见到了这一点。GDPR的。

欧盟代表(GDPR第27条)

如果GDPR适用,欧盟以外的控制者和处理者应根据GDPR第27条以书面形式指定一名欧盟代表。

在欧盟设立代表的标准是其个人数据正在处理的数据主体的位置。相反,处理地点不是确定代表机构所在地的相关因素。

在这方面,值得注意的是,正如欧洲数据保护委员会(“EDPB”)20所强调的,引入代表的概念正是为了确保对控制器和处理器执行GDPR,为此,其目的是使执法者能够以与控制人或加工商相同的方式对代表提起诉讼,包括可能处以行政罚款和处罚,并追究代表的责任。

DPIAs(GDPR第35条)

根据GDPR,需要进行数据保护影响评估(“DPIA”)(在处理之前),如果处理可能会对个人的权利和自由造成高风险,特别是在使用“新技术”(GDPR第35(1)条)的情况下,或者在“基于自动处理的自然人个人方面的系统和广泛评估”的情况下,以及对自然人产生法律效力或对自然人有类似重大影响的决定所依据的法律”(GDPR第35(3)(a)条)。因此,与智能合同相关的项目可能需要DPIA。

DPIA是一种评估工具,用于证明数据控制员应遵守GDPR,分析计划处理操作对数据主体的影响,识别处理过程中产生的风险,并采取措施将此类风险降至最低。

在这种情况下,DPIA应包括强有力的技术分析,证明基础设施包括适当的数据保护措施,包括稳健的安全方案21

如果DPIA导致负面评估,应事先咨询监管机构(GDPR第36条)。

国际数据传输(GDPR第44条)

鉴于区块链项目的频繁跨境性质,可以考虑将个人数据转移到欧洲经济区以外的第三国的规则。因此,无论何时在国际上传输个人数据,都必须保证充分的保护水平。例如,如果个人数据被转移到欧盟委员会已发布充分性决定的国家,或已批准具有约束力的公司规则,或当事各方签署欧盟委员会通过的标准合同条款,则可根据GDPR进行国际转移。

在智能合同项目中,要评估的主要法律问题是确定参与处理的所有实体的角色(如上所述)。为了保护数据主体的权利并防止数据泄露,还必须明确分配责任和责任。

结论

正如我们所观察到的,与任何项目或业务一样,但由于其隐私影响,与智能合约相关的项目或业务更是如此,遵守数据保护法规是一个关键问题。

因此,在不影响进一步的最终法规和指南的情况下,进行个案法律分析并了解其背后的技术、操作模式及其可能性变得至关重要。

本文:https://cioctocdo.com/eu-smart-contracts-and-personal-data

文章链接