歐洲資料保護委員會(EDPB)於2026年7月8日完成了新的指導方針,闡明了一般資料保護條例(GDPR)如何適用於區塊鏈技術。該指導針對長期存在的監管不確定性,為處理歐盟居民個人資料的組織提供了明確指引。EDPB確認,區塊鏈運營商不能僅因區塊鏈記錄不可篡改或個人資料已在鏈上加密或雜湊而免除GDPR義務,並確立組織在技術架構無論如何都須負責保護資料主體權利。該指導方針與更新的匿名化標準一同發布,共同重新定義自2018年以來適用於歐盟隱私框架(EU's privacy framework)下區塊鏈運營商的合規預期。
EDPB確認儘管區塊鏈不可篡改,GDPR義務仍適用
EDPB確認,區塊鏈運營商不能僅因記錄不可篡改或個人資料已在鏈上加密或雜湊而免除GDPR義務。根據監管機構,組織仍須負責保護資料主體權利,無論其選擇何種技術架構。委員會指出,加密或雜湊的個人資料通常仍受GDPR約束,因為它可能透過錢包地址、外部資料庫、解密金鑰或未來的密碼分析進展,與可識別個人相關聯。隨附的匿名化指導方針指出,資料只有在無法孤立、鏈結或用於推斷個人身份時,才能視為匿名。
EDPB闡述三種主要區塊鏈模型的GDPR合規性
該指導方針涵蓋三種主要的區塊鏈模型:公開無許可網路、私有許可鏈以及聯盟鏈。EDPB表示,私有鏈和聯盟鏈較適合GDPR合規,因為它們允許明確可識別的組織作為資料控制者與處理者。相較之下,監管機構指出,因為公開無許可網路的參與者具有去中心化特性,將這些責任分配給其上較為困難。
EDPB指出刪除權在技術限制下仍適用
委員會強調,即使區塊鏈技術使刪除記錄在技術上具有挑戰性,GDPR的刪除權仍然適用。根據指導方針,技術限制並不免除組織的合規義務。EDPB建議企業在部署前評估區塊鏈技術的必要性,並盡可能避免將個人資料直接存放於鏈上。監管機構亦承認加密的長期風險,指出包括量子計算在內的技術進步,最終可能使目前加密的區塊鏈記錄變得可讀。組織在設計永久保存資訊的區塊鏈系統時,應考慮未來的再識別風險。
EDPB建議將個人資料存放於鏈外
該指導方針建議組織盡可能將個人資料存放於鏈外,主要利用區塊鏈存放密碼學參考資料,同時在傳統資料庫中保留可刪除的個人資訊。根據EDPB,這種架構是滿足GDPR刪除要求並同時維持區塊鏈功能的最實用方法。若無法避免在鏈上存放個人資料,監管機構提出有限的替代方案,包括用安全管理的鏈外加密金鑰加密區塊鏈資料,並在收到刪除請求時銷毀金鑰,或使用受保密鏈外鹽值保護的雜湊資料,亦可在必要時銷毀。委員會指出,這些方法雖可作為刪除的實務替代,但並不會將個人資料轉變為匿名資訊。
EDPB強調國際傳輸挑戰與智能合約要求
指導方針指出,公開區塊鏈上的國際資料傳輸存在挑戰。由於交易會自動在多國的節點間複製,組織可能無意中將個人資料傳輸至歐盟外,未符合GDPR的保障措施。EDPB警告,因為無法辨識或合約匿名節點運營者,在許可鏈上滿足國際傳輸要求可能特別困難。監管機構亦提及智能合約,解釋自動化區塊鏈決策在產生法律或類似重大影響時,可能觸發GDPR第22條。部署智能合約於金融服務、身份驗證、借貸、保險或存取管理的組織,可能需要提供自動化處理的透明度,並讓受影響者有機會請求人工審查。
EDPB指導方針影響金融機構與醫療提供者
該指導方針範圍廣泛,包括使用區塊鏈技術的金融機構、醫療提供者、供應鏈平台、數位資產保管人、NFT市場以及代幣化資產供應商。現有含有個人資料的區塊鏈部署,可能需要技術調整、架構重設或轉向鏈外存放,以提升合規性。EDPB強調,該指導並未引入新的法律義務,而是澄清自2018年起已適用的GDPR要求,意味著處理個人資料的組織應立即檢視現有系統。雖然監管機構在公開諮詢期間納入了利益相關者的意見,但拒絕了豁免公共區塊鏈控制者義務或放寬匿名化標準的請求,強化了歐盟範圍內基於區塊鏈的資料處理的合規框架。
常見問題
EDPB於2026年7月8日完成了什麼?
EDPB完成了新的指導方針,闡明了GDPR如何適用於區塊鏈技術。該指導與更新的匿名化標準一同發布,並說明處理歐盟居民個人資料的組織必須如何遵守歐盟的隱私規範。
為何EDPB表示區塊鏈的不可篡改不免除GDPR義務?
EDPB確認,區塊鏈運營商不能僅因記錄不可篡改或個人資料已在鏈上加密或雜湊而免除GDPR義務。監管機構指出,組織仍須負責保護資料主體權利,無論其選擇何種技術架構。
EDPB建議組織如何處理區塊鏈上的個人資料?
該指導方針建議,組織盡可能將個人資料存放於鏈外,主要利用區塊鏈存放密碼學參考資料,同時在傳統資料庫中保留可刪除的個人資訊。根據EDPB,這種架構是滿足GDPR刪除要求並同時維持區塊鏈功能的最實用方法。