區塊鏈:個人信息保護法生效，區塊鏈行業如何應對？

|羅Sir說原創出品?|

2021年11月1日，中華人民共和國《個人信息保護法》生效，雖然中國全面禁止虛擬貨幣運營，但《個人信息保護法》的核心理念內容與制度框架設計與歐盟的GDPR高度一致，都含有域外管轄的規則，符合條件的境外區塊鏈或加密貨幣業務相關運營者也屬于個保法的管轄范疇。因此，對于區塊鏈行業而言，知悉新的個保法是非常有必要的。

一、處理原則：“告知—同意”原則

個保法規定的處理個人信息的原則主要包括正當、合法、目的明確等原則，僅處理為實現目的所需要的最少信息，應當保障信息的準確性和及時更新等。GDPR也專門集中規定了個人信息處理原則，包括合法、公平與透明、目的限制、數據處理最小化與準確性、存儲期限限制和數據完整性與保密性。

外媒：美SEC意外泄露加密礦工個人信息，涉嫌違反《隱私法》:1月18日消息，一份截圖顯示，美國證券交易委員會（SEC）于在調查去中心化電網區塊鏈項目Green時無意泄露了加密礦工的個人信息，調查的部分內容包括該項目接觸的消費者，詢問他們購買Green產品的情況，并詢問他們的體驗。雖然Green的成員已經與SEC合作回答了所有相關問題，但該機構未能在1月6日將所有650名用戶的電子郵件以密件方式發送，因此泄露了這些人的姓名和電子郵件。

據收到電子郵件的人士稱，此次泄密事件對加密愛好者社區產生了不利影響。他們聲稱這些信息足以讓他們被識別并破解他們用來通過“挖采”生產Green加密貨幣的“節點”。截至周二，還沒有黑客入侵的報道。Green社區還非常強調維護消費者隱私，因為區塊鏈允許用戶匿名交易和挖幣，并表示它認為發布個人身份信息不利于這一目的。

報道稱，此次調查意外泄露個人信息違反了美國1974年的《隱私法》，該法案禁止在未經適當同意的情況下分享聯邦機構收集的信息。SEC對此回應稱：“保護各方的隱私至關重要，美國證券交易委員會正在調查此事。”（華盛頓觀察家報）[2023/1/18 11:17:50]

基于以上原則，《個人信息保護法》規定僅在特定情況下才可以處理個人信息，包括取得個人同意、根據合同或者法律規定、應對緊急情況和以公共利益為目的在特定范圍內處理個人信息，對同意規則還進行了細化規定，例如應當確保個人在充分知情的前提下自愿、明確地做出同意等。這與GDPR高度一致，GDPR也是圍繞“告知-同意”設計處理規則，要求在被充分告知的前提下自由地對特定處理行為作出明確的同意。

騰訊基于區塊鏈身份認證專利獲授權 可避免個人信息泄露:金色財經消息，天眼查App顯示，近日，騰訊科技（深圳）有限公司申請的“基于區塊鏈的身份認證方法、裝置、存儲介質和設備”專利獲授權。

摘要顯示，本方法包括：接收用戶的服務請求，根據服務請求得到用戶的授權信息，從區塊鏈中搜索與授權信息對應的目標區塊，從目標區塊中獲取與授權信息對應用戶的注冊數據，當授權校驗通過時，調用服務請求對應的智能合約，由智能合約執行聲明的身份認證邏輯，基于注冊數據得到身份認證結果，反饋身份認證結果。本申請中，對于服務提供方來說，不會直接接觸到用戶的身份信息，只有在用戶授權的前提下，才能得到或使用區塊鏈反饋的身份認證結果，對用戶來說，可以避免用戶直接向商家提供身份信息，從源頭上避免了用戶個人信息泄露的問題。[2022/8/26 12:50:57]

二、個人處理權利

易綱：中國個人信息保護法律體系已初步建立:11月3日消息，央行行長易綱在2021年香港金融科技周上的視頻演講中表示，目前，中國個人信息保護法律體系已經初步建立，政府部門將依法實施公平監管。

個人信息保護的最終目的是促進數據的合理使用。要在充分保護個人信息的前提下，探索實現更加精確的數據確權，更加便捷的數據交易，更合理的數據使用，激發市場主體活力和科技創新能力。個人信息保護需要加強國際合作。（證券時報）[2021/11/3 6:28:54]

《個人信息保護法》賦予個人撤回同意和限制、拒絕處理信息的權利，個人有權查閱、復制個人信息，有權更正和補充個人信息，有權請求刪除個人信息。GDPR的規定大致相同，但還包括數據可攜帶權的規定，可攜帶權與復制或者訪問個人信息權利不同之處在于，可攜帶權要求數據控制者將數據整理為機器可讀的結構化形式，自動傳輸給個人指定的其他數據接收方。

Coinbase高管：Coinbase Analytics數據源自公開市場 不包括個人信息:上周末，The Block報道稱，Coinbase希望將其區塊鏈分析軟件出售給美國政府。美國藥物管制局（DEA）和美國國稅局（IRS）都表示有意從Coinbase購買分析平臺Coinbase Analytics的使用許可證。

此事在加密貨幣社區引發爭議，Coinbase企業發展主管Justin Mart就此回應稱：“我們分析工具中的數據完全來自公開數據，不包括任何個人身份信息。任何其他公司都可以根據公開數據生產出完全相同的產品。”（CryptoBriefing）[2020/6/8]

同時，個保法還規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，個人信息中包含種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等敏感信息。經過匿名化處理后的信息不是個人信息。GDPR與此規定大致相同，例如均規定已識別或者可識別個人的才為個人信息，但也有不同，例如GDPR強調主要涉及自動化方式處理的信息才適用其規定，GDPR原則上禁止處理敏感信息，將匿名化信息區分為假名化和匿名化等。

綜上，雖然個保法借鑒了GDPR，但相較之下更為寬松。

三、域外管轄

GDPR規定只要在歐洲經濟區內設立機構，或者向歐洲經濟區內個人提供產品或者服務或者監控其行為，均適用GDPR的規定。個保法同樣新增了域外管轄，達到擴展個人信息保護法的適用范圍的目的。

概括來說，除了適用于中國境內主體實施的、發生在中國境內的個人信息處理行為，還將有條件地適用于境外主體實施的、發生在我國境外的個人信息處理活動。從條文來看，以向境內自然人提供產品或者服務為目的，或者為分析、評估境內自然人的行為等發生在中國境外的個人信息處理活動，均適用于個保法。聯系到加密貨幣行業本身，對于設立在境外的從事區塊鏈、加密貨幣相關業務的實體，符合以下條件的均屬中國《個人信息保護法》的管轄范圍：

(1)處理境內自然人的個人信息的行為發生在境外；以及

(2)其目的是向境內自然人提供產品或服務，或分析、評估境內自然人的行為等。

四、違反后果

違反個保法首先需要承擔行政責任。若境外實體違反《個人信息保護法》，情節嚴重的，罰款金額為5000萬元以下或者上一年度營業額5%以下，監管部門還有權責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他責任人員處10萬元以上100萬元以下罰款。

其次是民事責任。如境外實體違規處理相關境內自然人的個人信息，侵害相關個人權益的，受侵害的個人有權提起民事賠償，賠償數額按照該個人所受損失或者個人信息處理者所獲利益確定；如數額無法確定的，由人民法院根據實際情況確定賠償數額。

對于區塊鏈行業而言，無論是出于業務經營本身的需要，還是出于KYC或AML等業務合規的需要，都可能涉及收集、儲存、使用、提供客戶或用戶的個人信息，雖然個保法剛剛生效，那從中國對加密貨幣及網絡安全的監管力度來看，可以預見侵犯個人信息會被納入強力監管之中，行業需警醒。

Tags：區塊鏈DPRGDPCOI區塊鏈技術適合女生嗎newlandpropertygdp幣價格Bitcicoin

火幣下載