自從去年5月生效後，《通用資料保護條例》改變了隱私和資料使用的遊戲規則。今年夏天，英國資料隱私監管機構資訊專員辦公室宣佈，打算對英國航空公司處以1.83億英鎊和萬豪國際0.99億英鎊的罰款，原因是不當管理個人資料。然而，儘管GDPR似乎處於強大的立法地位--尤其是在全球各地都在起草類似法規的時候--但它在新興的數字世界的應用，甚至它的恰當性，正受到區塊鏈的挑戰。

在歐盟關於區塊鏈和GDPR的報告中，監管機構承認已經確定了“多個緊張點”，而且圍繞這一問題相當缺乏法律確定性。不確定性的一個方面是“個人資料”的定義。GDPR處理有關人們線上活動和個人細節的資訊，但你可能會認為公鑰和交易記錄，這兩個區塊鏈網路的賴以生存的東西，是另一種資料。不變記錄當個人資料被加密或雜湊時，標準就變得模糊了。雜湊是一種資料配置，其中個人識別符號被替換為唯一的、固定長度的程式碼。但是，如果雜湊仍然可以修改為一個特定的“雜湊函式”和收集到的個別細節，那麼這些資料是否仍然是個人的呢？通常是的，因為它僅僅是“化名”，而不是完全的“假名化”。這是一個重要的問題，因為區塊鏈的兩個核心功能似乎與GDPR有著更根本的衝突。第一種是記錄的不可改變的性質。區塊鏈分散式賬是有意設計的，以使以後的修改和刪除極其困難。雖然這允許一個可靠的資料記錄，但它顯然與GDPR的“儲存限制”的關鍵原則之一和被大肆宣揚的“被遺忘的權利”相沖突。

限制儲存原則意味著個人資料的儲存時間不得超過為實現收集資料的目的而需要的時間。被遺忘的權利意味著在某些情況下，個人可以要求刪除以前公佈的材料。考慮到這一點，與區塊鏈的衝突是相當明顯的。區塊鏈除了在最特殊的情況下是不能改變的時候，這與一項要求個人資料的規則如何協調才能被共存呢？這個問題可能很難解決，但也不是不可能的。一個解決方案可能不會實現完全刪除，但只要它能滿足監管機構的要求，它就會奏效。例如，一種解決方案可能是刪除允許驗證的元素，例如雜湊函式的“秘密金鑰”。這是用來生成雜湊的程式碼，因此隱藏了原始資料。儘管這類解決方案不一定完全刪除區塊分類賬中的資料，但一些歐盟資料保護監管機構認為，這是構成有效刪除的“次生之寶”。分散式分類賬區塊鏈的其他好處之一是其分類賬的“分散式”性質。沒有一個個人或代理人控制最終記錄，網路中的每個成員通常都持有整個分類賬的完全相同的副本。雖然這在資訊共享中嵌入了信任和可靠性，但它給GDPR對資料“控制器”的分類帶來了複雜性。根據GDPR，決定處理個人資料的目的和手段的人，是一個“控制器”，負責確保按照GDPR的資料保護原則管理這些資料。區塊鏈可以分配和民主化任何交易的權力，但他們也分配責任。當資料被洩露，人們的生命受到影響時，誰能被追究責任？對資料佔有中的任何變化分配責任份額並不可行。問題並沒有就此結束。在對任何資料集的管理人員進行分類時，GDPR對在控制器指導下傳輸和修改資料的資料“控制器”和資料“處理器”進行了區分。在傳統的分析中，這是有意義的。處理器在資料管理方面有許多義務，但最終的責任在於控制器。

然而，在區塊鏈世界中，分類賬的分佈特性意味著“控制器”和“處理器”之間的二進位制區分很難進行。法國資料監管機構CNIL最近得出結論，所有區塊鏈行為者都將被指定為“控制器”，在這裡，區塊鏈捕獲專業或商業交易。澄清立場正如歐盟所強調的那樣，區塊鏈的兩個核心特徵很難與GDPR相協調。但GDPR是一項基於原則的監管，旨在實現技術中立，並對未來進行防範。因此，問題在很大程度上不是區塊鏈或GDPR本身，而是缺乏關於如何在這方面適用GDPR下的具體概念的法律明確性。如果沒有一個清晰的框架和明確的規則，區塊鏈的開發可能很難取得進展。因此，歐洲資料保護委員會應該與國家監管機構協調，起草關於區塊鏈的新指導，或許資料隱私監管機構不久就會把注意力轉向區塊鏈，因為它為人工智慧技術提供審計框架的工作已經結束。