今年5月25日,影響從歐盟擴及全球的《一般資料保護規範》(General Data Protection Regulation,以下簡稱GDPR)正式上路,為過去身為「小蝦米」的我們爭取保護個資的權利,但對於不少「大鯨魚」公司而言,勢必要付出新的成本以符合GDPR規定。根據國際隱私專家協會IAPP預測,全球財富500強企業將為此耗資近80億美元,但對於區塊鏈業者卻很頭痛,想合規也不知從何做起。
「區塊鏈的應用可能不符合GDPR標準」,歐洲議會議員Jan Philipp Albrecht說。區塊鏈中被視為可重新定義人和人行為模式的幾項技術特性——去中心化、不可竄改、公開透明,和GDPR的要求都大相逕庭,甚至在以太坊上,將個人數位身分記錄在區塊鏈上的應用「Parity ICO Passport Service」,5月時因為這個史上最嚴格的個資法,宣布停止服務。
兩者目標相同,但手段不同
當歐盟在2012年提出GDPR草案時,區塊鏈還處於萌芽階段。雖然兩者目的大致相同,都為了要分散服務商和資料當事人對資料掌握度不平等的現況,但出發點原則、手段都不同。GDPR剛好在區塊鏈應用逐漸落地的2018年實施,兩者的矛盾衝突已無法掩蓋。
被最多人討論的,非GDPR第17條中的「被遺忘權」莫屬了。資料當事人在特定條件下,有要求資料控制者刪除其個人資料之權利,但這和區塊鏈中一項最有價值的功能——寫入的資料不可竄改,完全衝突。
此外,「國際傳輸」也是一大難點。GDPR適用於歐盟,資料控制需要清楚明確告知當事人,個資用於哪裡、有誰用,控制者身分再明確不過;但區塊鏈上的節點、礦工分布全球,作為一個極度分散的虛擬國際架構,究竟該如何規範?當區塊鏈上的每一位參與者都擁有我的資料,如何確保他們都同意並符合GDPR?
「一邊是基本權利和保護,另一邊是新技術創新推動,兩者的平衡是GDPR和區塊鏈之間存在共同點的關鍵,」牛津大學基布爾學院歐盟法律講師Michèle Finck說道。「脫鏈儲存」似乎是目前被視為相當有可能實施的解藥——把「非個資資料」和「個資資料」分開儲存,前者仍存在區塊鏈上,後者存在第三方平台或是別的資料庫,再與區塊鏈連結。
區塊鏈像小孩子,GDPR可協助規範
「所有問題技術都可以解決,只是解決之後,是不是我們原來想要的樣子而已。」台灣金融科技協會理事長王可言認為,由於區塊鏈目前落地應用並不多,還需要一到兩年醞釀,業者仍有時間找出解套方法,但一定是綜合區塊鏈和GDPR兩者調適的方法,區塊鏈烏托邦將不復存在。
這看似衝突不小的矛盾,在《數位時代》走訪一圈業界後卻意外發現,不少人持樂觀態度看待。區塊鏈還太年輕,就像少不經事的少年,還有太多事需要被完整、被規範,況且隨著個資被應用愈發氾濫的時代到來,響應個資保護法規,讓用戶真正掌握自己的權利迫在眉睫。
但這不禁讓人思考另一個問題,當資料的歸屬都掌握在個人手上,是否會影響須資料注入的公共利益發展?
理慈國際科技法律事務所共同創辦人蔡玉玲點出,即使是GDPR也不斷強調「符合比例」原則,個資的蒐集、利用都必須遵循「最小限度原則」,並非完全不能使用。這涉及到究竟蒐集的是哪些資料?有的是純私人資料,但有的和公共利益有關,處理方式就得不一樣。
例如醫療資料就牽扯到「公共利益」與「個人隱私」,值得深思。雖然是資料主體的身體資訊,但包含醫生診斷專業,涉及到人類醫療技術的提升,這筆資料也具有公共意義價值,當資料越多、分析更精準,醫療技術越有可能提升,這時在符合GDPR下,或許可靠「去識別化」、「匿名」的方式處理。法規、新技術、個人隱私,三者究竟該如何結合?是全球都要思考的明天。
新技術對上新法律該如何調適?五大疑問,專家一次解惑
Q1 GDPR會是近期業者發展區塊鏈,最大的衝突和阻力嗎?
蔡: 包括AI、大數據在內,都需要個資當基礎,隱私保護現在是一大課題,的確需要規範。大眾對於個資的意識累積至今爆發,區塊鏈的技術開發者必須要有一個認知:不能假設大家為了使用區塊鏈會放棄個資保護這個權利,但GDPR的法律制定者也要思考,若有技術方案可解決,是不是完全滿足了個資保護?如果是,在法律解釋上就應該有所調整。
顧: 大家都在討論兩者衝突,我覺得倒還好。制定GDPR的歐盟從來沒有想要禁止資料的使用,而是要促進「合理使用」,區塊鏈強調的是透過去中心化、加密技術,讓我們對資料自主掌握度更高,反而達到資料的維護作用。我覺得兩者應該是相輔相成,一方面為區塊鏈業者構建規則、推動發展,一方面又達到個資保護目的。
Q2 兩者有沒有相似處?
蔡: 在功能上,區塊鏈完整記錄資料,透過加密技術讓其更安全;而GDPR要讓個資可以完整被保存並保密,防止這些資料遺失、被破壞,在「保存安全性」上,和區塊鏈的設計有一定程度是符合的。並且GDPR旨在讓主體更能掌控資料,而區塊鏈每個節點都握有資料,你自已就是控制者之一。
顧: 兩者都分散過去資料總是掌控在某些人手上的狀況,要把資料交還擁有者本身。數據是當今重要的核心,但單一資料沒有用,必須相互串接才能產生新的價值,但這會傷害到我們對個資的控制範圍。而GDPR中都在表彰「當事人權利要受到保護」,區塊鏈不也是這樣嗎?從去中心化、記錄,都是透過鏈上每個參與者決定,資料透明不可逆、不可偽造。嚴格來說,讓資料真正透明化、歸屬回到個人本身,兩者是相同的。
Q3 兩者的矛盾衝突之處?
蔡: 第一點是目的衝突。GDPR表明蒐集資料的目的要非常明確,不可以做這之外的使用;但區塊鏈很分散,結點分布全球,每個人都在使用你的資料,將來要怎麼取得每一個鏈上使用者的同意?怎麼確定他們的使用目的?此外,責任歸屬也有差。GDPR對掌控資料的人苛責重大,他們都得證明有符合GDPR的規定;但在區塊鏈上,要確定每一個節點都遵守有難度,光要執行GDPR給我的權利,負擔成本就很大。
顧: 兩者採取手段不同。GDPR強調資料使用自主權,區塊鏈當然則是透過分散式資料控制的方式讓資料不可改,使大家信任。但提到刪除權(被遺忘權),資料本身儲存就有一定的結構及模式,即使刪除,有一樣東西一定不會刪——請求刪除的紀錄,不然日後若有狀況,則無從對證。所以GDPR的刪除權跟區塊鏈上會有什麼衝突嗎?我覺得衝突是包含在個資紀錄這件事情中,因為區塊鏈不可刪除、GDPR可刪,但還是會留下紀錄。
Q4 有調和兩者的辦法嗎?執行上又會有哪些困難?
蔡: 技術產生的問題用技術解決,會比法律更容易。大家現在最質疑GDPR的被遺忘權,既然在區塊鏈上不能刪除,那能不能用技術設計讓資料不刪掉,但「永遠沒辦法讀取」,或是用智能合約限制,在某種情況下限制讀取。至於責罰,區塊鏈是跨國際虛擬環境,法律執行上能不能落實挑戰也很大,既然你在區塊鏈的體系裡,不如設計某一個人被列入黑名單、封鎖這類規則,說不定比法律制裁更有效,也比較符合經濟成本,但繁瑣勢必會降低效率,可能影響到技術可用性。
顧: 個資「脫鏈儲存」是一種方式。像是做醫療的區塊鏈,把真正記錄的事項、跟當事人個資切割來儲存,用藥、醫療判斷存在區塊鏈上,但個資不存在鏈上,只是這勢必會增加成本,但對於敏感性資料來說是好事。
Q5 當新科技碰上法律,誰能勝出?
蔡: 科技改變人的行為,法律則規範人的行為,當科技變了,法律應該要跟著變,不改,則容易變成惡法,新的東西你永遠管不到。但要怎麼制定一個法律?不要今天定完、明天就不合用了,這時立法技術就很重要。我認為立法要「負面表列」,用語也要有彈性。
顧: 任何新技術、新科技碰到法律,一定都有「解釋適用」的問題,法律有不同的解釋空間,今天如果沒有答案,我們就交給法院;如果大家都覺得法院解釋得不好,那我們就來修法。法律規範的是行為及背後的商業模式,並不是技術,實行過程中需要時間慢慢補強,政府該考慮到業者的適應能力,以及是否可透過技術來解決問題。
