下个比特币钱包就违法？新欧盟数据法：是这样的

下面由小编针对下个比特币钱包就违法？新欧盟数据法：是这样的为您答疑解惑，希望能给您带来有一些有效参考。

GDPR 即《通用数据保护监管条例》（General Data Protection Regulation），这是欧盟一项初稿起草于 2012年，实施于 2018 年的隐私法案。

这个法案的实施会给区块链带来何种影响？区块律动BlockBeats在咨询了一位中国互联网巨头（有欧盟出海业务）的法律顾问后，撰写了这篇解读。

本文核心观点摘要：区块链是欧盟 GDPR 的监管对象之一下载数字钱包、使用 dAPP 的普通用户，也要承担数据法律风险区块链项目管得了自己，管不住节点运营者也是违法区块链数据无法篡改？不提供修改功能？抱歉，违法了莫慌，很快就会有适合区块链的补充条款出来，不过要等 4 年以上月初在经典互联网圈和法律圈有个热门话题，就是刚刚在欧盟正式生效的 GDPR。

GDPR 的全称是《通用数据保护监管条例》（General Data Protection Regulation），这是一项初稿起草于 2012年，实施于 2018 年的隐私法案。

如果你曾经看到过关于它的新闻，应该知道它曾被冠以「人类第一部系统性数据法案」、「史上最严隐私保护法」、「让互联网公司破产的法律」等名号。

与 GDPR 在经典互联网领域的影响被夸大不同，GDPR 对区块链的影响却被严重低估：比如标题里说的这种情况，就很有可能在 GDPR 实施后出现。

为了让你了解到 GDPR 对区块链的影响，区块律动 BlockBeats 咨询了一位中国互联网巨头（且有欧盟出海业务）的法律顾问，并撰写了本文。

区块链属于个人数据么？为什么要归GDPR管？首先我们要搞清楚 GDPR 中三个最基本的定义：个人数据、数据控制者、数据处理者。

先看个人数据的法条，因为 GDPR 的一切管理都是基于个人数据的，如果区块链不属于个人数据，那么自然也不会被 GDPR 所管辖。

在 GDPR 第四条定义一节，开篇名义的写道：「个人数据」指的是任何已识别或可识别的自然人（「数据主体」）相关的信息:一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。

按照国内许多媒体和公司的解释，区块链似乎并不应当被算作 GDPR 中的个人数据。

因为目前的区块链项目大多数只包含其中的个体经济性特征，而且即便知道了这些经济性特征，你依然没办法定位到这个个体究竟是哪个自然人。

然而，比国内重视隐私程度高出好几个等级的欧盟看来，这段话已经很明确的给出了定义。

正确的解读应该是：仅仅将一个个体的经济行为连续的记录下来，就已经构成了一种可以进行自然人识别的个人数据，即便是这种记录可能无法单独进行自然人识别。

这在第四条第五款的「匿名化」中可以看出：「匿名化」指的是在采取某种方式对个人数据进行处理后，如果没有额外的信息就不能识别数据主体的处理方式。

此类额外信息应当单独保存，并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。

也就是说，GDPR 对个人数据的定义并不理会数据是否以无法识别的匿名化形式存储。

目前大部分代币发行类的区块链项目，均可以被认为是记录并存储了用户的经济性个人数据，而如果使用区块链技术驱动更多的应用，那么必然会有更多的用户数据被记录。

所以可以得出结论：区块链必然是 GPDR 的监管对象之一。

为什么我下载了个钱包就违反 GPDR 了？标题里的描述是真的么？我仅仅用个钱包也违法？先说结论：是真的，不过具体要看欧盟打算执行到什么程度。

如果你觉得这种事情不可能，那么不妨在日本、美国和欧洲试试用迅雷进行下载一部盗版电影，看看会不会被警察找上门甚至坐牢。

GPDR 对下载者的限制，与欧美对版权所作出的限制几乎完全一致，这意味着除了那些进行区块链创业的人承担风险之外，区块链（更准确来说是 dApp）的使用者也存在着法律风险。

要解释这个问题，我们首先要了解上文提到的另外两个概念：数据控制者和数据处理者。

撇开法条我们先举个直观的例子，假设区块律动 BlockBeats 上线了一款 App，在用户注册这个 App 的时候需要填写一些个人信息。

此时，区块律动 BlockBeats 就是 GPDR 中定义的「数据控制者」:但区块律动 BlockBeats 是一家小公司，它的服务其实是托管在阿里云这样的云服务商上的，此时的阿里云就是 GPDR 中定义的「数据处理者」。

在具体法条上，GDPR 规定，无论是企业、机构、自然人只要满足定义，均被纳入数据控制者还是数据持有者的范畴。

在对档案系统的定义中，也将档案系统定义为一种可以访问的个人数据的结构化集合，而且不论这种标准是去中心化的、分散的、功能性的或是基于地理而设置的。

如果你把这个模型套到区块链上……神奇的事情发生了，你会发现每一个矿工、冷钱包、dApp 用户都同时是「数据控制者」和「数据处理者」！这是一件非常可怕的事情，有多可怕呢？比如说 Facebook 泄露用户隐私一事，要被罚 2000 万欧元或全球营业额的 4％（哪个高按哪个罚）。

如果在经典互联网中，这笔罚款肯定是 Facebook 以及承接 Facebook 云服务的服务商出。

而在区块链中，将由全体矿工、钱包持有者和 dApp 来均摊——甚至包括那些下了冷钱包但里面没钱的用户。

从 GPDR 角度，区块链处处皆违法互联网公司不是讲究「合规」么？如果不违规，不就不会罚款？这个说法非常对，大多数的互联网公司在 GDPR 实施之前就已经准备好了合规措施。

毕竟，我们都知道欧美的立法过程其实非常慢，GDPR 其实并非一朝一夕完成的。

GDPR 的起草工作要追溯到 2012 年，经过了长达 4 年的复杂立法过程，最终在 2016 年 4 月宣读通过欧洲议会投票，并且直到 2018 年 5 月才正式开始执行。

然而问题也在这里，GDPR 的起草时间是 2012 年，那个年代放眼整个区块链行业还只有比特币一个项目「比较流行」。

因此 GDPR 的设计几乎完全是按照中心化信息存储、处理与控制设计的，其大部分法条和去中心化设计完全不兼容。

甚至可以说，区块链项目存在的本身，就违反 GDPR 中的一堆法条。

在这里，我们简单的罗列了一些冲突较为严重的法条，以说明区块链和 GPDR 几乎完全不兼容：项目方管不住节点就是违法看到这么麻烦，区块链项目的项目发起方可能会说：所有义务我来尽，所有责任我来担，和节点用户没关系。

对不起，根据 GDPR 规定和现有的区块链发展，这显然是不行的。

目前大多数的区块链项目中，发起方都是以基金会的形式控制主要节点来形成对区块链项目的一定主导，但并没有对其他节点的法定管理权。

举一个简单的例子来说：虽然 BTC 核心团队掌握着 BTC 的代码走向，但不同意核心团队意见的节点可以对其进行硬分叉，并继承旧有的所有交易数据。

GDPR 的目的是保护数据，既然 BTC 核心团队并不能保证在一个节点「分叉」后不带走原有交易记录，那么每一个节点就应该被视为一个独立的控制者和处理者。

这导致了区块链项目中的大量个人节点，完全无法合规——怎么讲，你会为了用个 BTC 钱包，在欧盟境内雇个合规律师么？不止交易所，节点和钱包也需要身份验证为了对数据控制者和处理者进行有效的监管和追责，数据控制者和处理者当然是要实名的。

这意味着，不只是中心化的交易所，上文提到的矿工、冷钱包、dApp 用户等全都要进行 KYC（know your customer 了解客户规则）。

而且根据 GDPR 的规定，无论这些人和企业是否在欧盟境内（可以理解为在主链上有无 block 欧盟节点），只要他们服务于欧盟用户，就都要服从 GDPR 的规定。