下一个比特币钱包是非法的吗？新的欧盟数据法：在这里

核心观点总结：区块链是欧盟GDPR的监管对象之一； 普通用户下载数字钱包，使用dAPP，同样要承担数据法律风险； 区块链项目可以自我管理，但节点运营商也是非法的； 区块链数据不可篡改？ 不提供修改功能？ 对不起，触犯了法律； 不要慌，很快就会有适用于区块链的补充规定，但需要4年多的时间。

月初，经典的互联网圈和法律圈里有一个热门话题，就是刚刚在欧盟生效的GDPR。

GDPR全称是通用数据保护条例（General Data Protection Regulation），是2012年起草并于2018年实施的隐私法案。

看过相关新闻的应该知道，它被誉为“人类首部系统性数据法案”、“史上最严隐私保护法”、“让互联网公司破产的法律”。

然而，你在中国互联网上看到的关于 GDPR 的大部分评论都是错误的，因为 GDPR 是一个 5 万字厚且极其枯燥的代码。 绝大多数媒体机构在不阅读原文或咨询相关法律专家的情况下撰写有关 GDPR 的文章。

尤其是在区块链领域，大多只是一些国外媒体解读文章的翻译，没有深入研究。

然而，与经典互联网领域对GDPR的夸大影响不同，GDPR对区块链的影响被严重低估了：标题中提到的这些东西很可能在GDPR实施后出现。

为了让大家真正了解GDPR对区块链的影响，Block Rhythm在写这篇文章之前咨询了中国互联网巨头（并且有欧盟海外业务）的法律顾问。

区块链是个人数据吗？ 为什么它应该属于 GDPR？

首先，我们需要明确GDPR中最基本的三个定义：个人数据、数据控制者和数据处理者。

首先看关于个人数据的法律法规，因为GDPR所有的管理都是基于个人数据。 如果区块链不属于个人数据，自然不受GDPR管辖。

在 GDPR 第 4 条的定义部分，开头的标题是：

“个人数据”是指与任何已识别或可识别的自然人（“数据主体”）有关的信息； 可识别的自然人是可以直接或间接识别的个人，特别是通过姓名、身份证号码、地址数据、在线标识符或一种或多种身体、生理、遗传、精神、经济、文化等数据，或自然人独有的社会身份。

根据国内多家媒体和企业的断章取义解读，区块链在GDPR中似乎不属于个人数据。

因为现在的区块链项目大多只包括个体的经济特征，即使你知道了这些经济特征，你仍然没有办法定位到这个个体是哪个自然人。

不过，站在比国内重视隐私高好几个层次的欧盟的角度来看，这段话已经明确界定了。

正确的解释应该是：仅仅连续记录个人的经济行为，就构成了一种可以识别自然人身份的个人数据，尽管这种记录可能无法单独识别自然人身份。

这在第四条第五款的“匿名化”中可以看出：

“匿名化”是指以这样一种方式处理个人数据，即在没有附加信息的情况下无法识别数据主体。 此类附加信息应单独保存，并采用技术和组织手段确保个人数据不会与已识别或可识别的自然人相关联。

也就是说，GDPR 对个人数据的定义并不关心数据是否以不可识别的匿名形式存储。

目前大部分发行代币的区块链项目都可以认为是记录和存储用户的个人经济数据，如果利用区块链技术带动更多的应用，必然会有更多的用户数据被记录。

因此可以断定，区块链一定是GPDR的监管对象之一。

为什么我通过下载钱包违反了 GPDR？

标题中的描述是否属实？ 我只用钱包违法吗？

先说结论：确实如此，但要看欧盟打算执行到什么程度。

如果你觉得这种事情不可能发生，那你不妨试试用迅雷在日本、美国、欧洲下载盗版电影，看看会不会被警察发现，甚至坐牢。

GPDR对下载者的限制几乎与欧美对版权的限制完全一致，这意味着除了那些开始区块链业务要承担风险的人之外，区块链（更准确地说是dApps）的用户也存在法律风险。

要解释这个问题，我们首先需要了解上面提到的另外两个概念：数据控制者和数据处理者。

抛开法律法规不谈，我们举一个直观的例子。 假设 Block Rhythm 已经启动了一个应用程序。 用户注册此应用时，需要填写一些个人信息。

此时，Block Rhythm 就是 GPDR 中定义的“数据控制器”； 但 Block Rhythm 是一家小公司，它的服务实际上是托管在阿里云等云服务商上。 此时，阿里云是 GPDR 中定义的“数据处理者”。

在具体的法律法规方面，GDPR规定无论是企业、事业单位还是自然人，只要符合定义，都属于数据控制者或数据持有者的范畴。

在记录系统的定义中，记录系统也被定义为可访问的个人数据的结构化集合，以及该标准是否分散、分散、功能或地理设置。

如果你把这个模型应用到区块链上……神奇的事情发生了，你会发现每一个矿工、冷钱包、dApp用户同时都是“数据控制者”和“数据处理者”！

这是一件非常可怕的事情，到底有多可怕？ 例如，Facebook 将因泄露用户隐私而被罚款 2000 万欧元或其全球营业额的 4%（以较高者为准）。

在经典互联网中比特币现在钱包数据有多大，这笔罚款必须由 Facebook 和承接 Facebook 云服务的服务提供商支付。 在区块链中，它将由所有矿工、钱包持有者和 dApp 平均共享——即使是那些放置了冷钱包但里面没有钱的用户。

从GPDR的角度来看，区块链到处都是非法的

互联网公司不讲究“合规”吗？ 不违规的话，不会被罚款吧？

你说得很对，大部分互联网公司在GDPR实施之前就已经做好了合规措施。

毕竟我们都知道欧美的立法进程其实非常缓慢，GDPR也不是一蹴而就的。

GDPR的起草可以追溯到2012年，经过四年复杂的立法程序，终于在2016年4月被欧洲议会审议通过，直到2018年5月才正式实施。

然而，问题也在这里。 GDPR起草于2012年，当时，比特币是整个区块链行业唯一“比较火爆”的项目。 因此，GDPR 的设计几乎完全基于中心化的信息存储、处理和控制，其大部分法律条款与去中心化设计完全不相容。

甚至可以说，区块链项目的存在本身就违反了GDPR中的一堆法律法规。 在这里，我们简单列举一些冲突比较严重的法律法规来说明区块链和GPDR几乎是完全不兼容的：

如果项目方无法控制该节点，则为非法

看到这样的麻烦，区块链项目的项目发起人可能会说：我会尽到所有的义务，承担所有的责任，与节点用户无关。

抱歉，根据 GDPR 法规和现有的区块链开发，这显然是不可能的。

目前大部分区块链项目中，发起人以基金会的形式控制主要节点，对区块链项目形成一定的支配权，但对其他节点不具有合法的管理权。

举个简单的例子：虽然BTC核心团队控制着BTC的代码方向，但不同意核心团队意见的节点可以硬分叉，继承所有旧的交易数据。

GDPR 的目的是保护数据。 由于BTC核心团队无法保证节点“分叉”后原始交易记录不会被带走，因此每个节点都应该被视为独立的控制者和处理者。

这就导致了区块链项目中大量的个体节点，根本无法合规——怎么说呢，为了使用BTC钱包，你会在欧盟聘请合规律师吗？

不仅是交易所，节点和钱包也需要认证

为了有效地监督和追究数据控制者和处理者的责任，数据控制者和处理者当然必须实名。

这意味着不仅是中心化交易所，前面提到的矿工、冷钱包、dApp用户都需要进行KYC。

并且根据GDPR的规定，无论这些人和企业是否在欧盟，只要是为欧盟用户服务（可以理解为主链上没有区块EU节点），都必须服从GDPR 的规定。

不要认为这是一项无法执行的规定。 欧盟针对不在欧盟的数据控制者和处理者给出了解决方案：你可以找欧盟的机构和自然人作为代理人。

该代理人可以是具体的数据导出公司、律师事务所或咨询律师，一个代理人可以代表多个数据处理者和控制者。

这个代理人需要掌握数据处理者和控制者的真实信息，以确保出现问题时欧盟可以“虽远则可起诉”。

同时，第二章“原则”中的第六条作为“用户同意的条件”的补充条款，对如何取得儿童用户同意作出了规定和解释。

在实践层面，这也需要区块链项目不仅要在每个用户访问时签署清晰、明确、自愿的数据共享协议，还要判断他是否是孩子，以实施更严格的规则。 措施。

这就在运营层面提出了提前KYC的要求。

数据跨境流动限制：向欧盟用户提供区块链服务存在法律风险

在GPDR中，涉及数据跨境流动的法律法规较多，具体体现在第5章“向第三国或国际组织传输个人数据”。

总体思路是比特币现在钱包数据有多大，除了欧盟官方认可的“数据安全第三国或国际组织”，其余数据跨境传输接收方即使不在地域管辖范围内，也必须做出等同于GPDR规定的合规GPDR。 法律承诺。

以人为本，区块链项目的中国节点如果要接入为欧盟提供服务的区块链，必须承诺遵守GDPR，并在出现泄密等问题时愿意承认欧盟法院的判决. 判断。

数据主体权利：区块链信息不可修改，违法

数据主体的权益是区块链项目最头疼的事情。

什么数据主体？ 通俗的说就是用户，或者是提交自己数据的人。

在区块链中，所有在主链上产生交易或留下痕迹的节点（包括非全节点）都是数据主体。

根据GDPR，数据主体拥有一系列与区块链设计思想不符的权利，如数据可移植权、被遗忘权、更正权、限制处理权等。

以纠正权和被遗忘权为例，GDPR规定：

数据主体有权要求控制者及时通知有关他们的不正确信息的更正。 考虑到处理的目的，数据主体有权完成不充分的个人数据，包括提供额外的声明。

数据主体有权要求控制者删除其个人数据。 当出现下列情形之一时，控制者有责任及时删除个人数据：

(a) 个人数据不再需要用于收集或处理它们的目的；

(b) 处理是根据第 6 条第 (1) 款 (a) 点或第 9 条第 (2) 款 (a) 点进行的，并且没有其他处理的法律依据，并且数据主体撤回了对此类处理的同意;

(c) 数据主体反对根据第 21 条第 (1) 款进行处理并且没有压倒一切的合法处理理由，或者数据主体反对根据第 21 条第 (2) 款进行处理；

(d) 存在对个人数据的非法处理；

(e) 需要删除个人数据以履行联盟或成员国法律对控制者施加的法律义务；

(f) 收集了第 8 条第 1 款中提及的与提供信息社会服务有关的个人的个人数据。

用户还有一个更痛苦的权利，叫做“撤回同意权”。 顾名思义，GDPR规定所有对用户的数据收集和处理均以用户同意为前提。 用户发起的撤回同意将激活被遗忘的权利。

被遗忘权有免责条款，涉及他人利益的数据不能被遗忘。 例如，金融机构的交易信息，涉及两个或两个以上数据主体的交易不能被单个主体删除。

但是我举个最简单的例子：最近流行的那种直接把文章或者信息写到区块链主链上，如果不能提供修改过往文章的功能。 所有违反此规定的行为，除非技术上可行，永久保存的主链将被视为“非法”。

区块链会在欧盟消亡吗？

如果按照 GDPR 的现行规定实施，是的。

但从长远来看，并不确定，尤其是公链以外的应用。

在GDPR中，除了定义章节中只有一篇文章提到了去中心化，全文5万多字，没有提到分布式、去中心化和区块链相关内容。 然而，唯一的提及将整个区块链行业纳入其监管范围。

GDPR 中的许多法律法规与区块链完全不兼容。 如果欧盟真的打算在区块链领域认真执行这些法律法规，不如写一个更明确、更直观的“禁止使用区块链技术”。

区块链的存在客观上达到了与GDPR相同的目的——数据共享和安全保护。 但受制于2012年起草时间，GDPR没有足够时间考虑如何使用区块链进行数据保护。

这意味着GDPR或将很快启动相关补充条款的指定，使其与区块链行业相兼容。 但是，按照欧盟的立法程序，这样的补充法案从起草到实施，大约需要四年时间。

在这四年期间，GDPR 赋予了欧盟成员国巨大的自由裁量权。 一些对区块链怀有敌意的欧盟国家可能会利用 GDPR 提起诉讼，甚至制裁欧盟乃至全球的区块链公司。

在欧美国家，尤其是在商法领域，法律并不总是严格执行，但总是面向行业的顶端。 欧盟上一次对互联网行业产生巨大影响的法律行动是2007年前后欧盟对一系列反垄断和反不正当竞争法的修订。

此后五年，微软、苹果、谷歌等公司相继成为欧盟的“提款机”，官司接连败诉，缴纳巨额罚款。

在区块链领域，一些声称兼容GDPR的区块链项目都是私有链或联盟链，在技术底层，数据主体可以删除和共享旧的共享数据。 正确的。 而绝大多数的公链，如上所述，是完全不兼容现有版本的GDPR的。

另外，不要以为你的区块链项目的落地公司不在欧盟就可以高枕无忧了。

如前所述，GDPR遵循随着数据的流动而生效的长臂管辖规则，因此一些未在欧盟建立实体的区块链公司也可能被纳入其监管范围。

尤其是在欧洲、美国、菲律宾建立企业实体的中国公链项目，未来两年或将成为欧盟成员国政府的“提款机”。

对于欧洲的个人而言，GDPR与区块链的结合将成为继反盗版法规之后又一遣返移民的“高效法”。

在欧盟工作和学习的中国人要特别注意：不要让人知道你正在使用或参与区块链项目，否则有被遣返的风险。

目前，区块链项目要想合规，最好的办法就是像很多项目屏蔽中国IP一样屏蔽欧盟I​​P，除了不做公链。