監管機構仍在考慮區塊鏈的實現如何遵守資料隱私法。法國國家資訊自由資料保護委員會是第一個以實質性方式解決這一問題的機構。我們將在下文討論法國國家資料保護委員對若干合規問題的建議和意見。

確定誰是控制器，誰是處理器隱私監管機構面臨的最大挑戰之一是確定誰是區塊鏈和分散式賬本的控制人。在這些情況下，通常沒有一個符合定義的人或實體能夠輕鬆地行使控制器的義務，因為許多人或實體可能貢獻或控制新增到鏈或總賬的個人資料。根據所使用的區塊鏈或分類帳型別的不同，識別一個或多個確保隱私遵從性的控制器的容易程度也不同。私有區塊鏈: 這是區塊鏈的一種形式，在這種形式中，參與者只能透過真實的和經過驗證的邀請來加入私有網路，並且必須由網路操作員或由網路實現的明確定義的協議進行驗證。在這些區塊鏈中，雖然還沒有來自監管機構的明確指導，但出於隱私問題的考慮，網路運營商將是控制人的合理選擇。基於許可的區塊鏈: 這是一種網路形式，任何人都可以在適當驗證其身份後加入許可的網路，但是使用者被授予有限的許可，並且只能在網路上執行某些活動。由於這些網路通常是由幾個不同的團體建立的，因此CNIL建議區塊鏈協會在專案生命週期中儘早識別控制人。

公共的、無許可的區塊鏈: 這種形式的網路是完全開放的，任何人都可以加入、離開、讀取、寫入和審計公共區塊鏈網路上正在進行的活動，這有助於公共區塊鏈保持其自治性質。然而，所面臨的挑戰是確定由誰來考慮將網路上的個人資料作為控制人。有些人建議由協議開發人員擔任控制人，但也有人擔心，這些開發人員實際上並沒有規定如何使用網路或上傳資料。作為資料控制器來管理驗證節點是一個更好的例子，因為透過下載和執行軟體的行為，節點決定了處理的目的和方法。智慧合約: 這些是自動執行的合同，買賣雙方的協議條款直接寫入程式碼行。程式碼和協議包含在一個分散式、分散的區塊鏈網路中。正如上面討論所顯示的，在適當確定這些網路中的控制器和處理器方面，仍然需要從監管者那裡得到進一步的指導和澄清。與此同時，開發者和運營商應該考慮開發一個協議框架來處理資料隱私。確定區塊鏈上個人資料的範圍和法律依據如參加者必須同意有關條款及細則，則有關合約可作為處理個人資料的基礎。合法權益也可以作為一個基礎，但這通常需要確定控權人及控權人在處理個人資料時所服務的利益，並將這些利益與資料當事人的權利和自由加以權衡。如果控制器的標識不清楚，則很難將此分析應用於區塊鏈中。公共網路帶來了更大的挑戰，因為識別控制器並不總是那麼容易。同意可能是處理資料的邏輯基礎，因為每個貢獻者大概都打算將其資料放在區塊鏈網路上。然而，目前還不清楚使用者同意的物件是誰，除非網路明確指出資料的接收方是另一方。此外，GDPR要求同意是具體和明確的，而不是隱含的。區塊鏈必須事先獲得同意，而不是依靠預設同意來支援資料處理。這是一個可以從一開始就建立治理規則或進一步的監管指導中受益的領域。

處理資料當事人的要求這是區塊鏈遵守資料保護法律最困難的地方，因為這些法律的原則似乎與這些網路不可改變的分散結構不相容。這些請求還需要一個已識別的控制器來聯絡，正如上面所提到的，可能並不總是清楚的。以下是某些要求提出的一些具體挑戰。資料訪問和可移植性請求:這些是主體查明控制器擁有什麼資訊並以常用的和機器可讀的格式獲取該資料的副本的權利。CNIL的立場是，這些權利與區塊鏈的技術屬性相容。然而，除非有明確的證明，否則這一權利不能輕易行使。但是，除非有一個明確標識的控制器(例如在私有或基於許可的網路中，該網路可以訪問網路上的所有資料)，否則無法隨時呼叫此權利。如果一個網路有多個節點，每個節點只能訪問個人資料的一個子集，那麼可能需要建立一種機制，將請求分發給所有需要的節點進行響應。消除和糾正的權利:如上所述，區塊鏈的設計一般是資料一旦輸入就不能被改變。這種不變性與允許資料當事人要求改正或刪除其資料的GDPR和CCPA規定直接衝突。一個最初的問題是，是否可能有一個例外的資料刪除，可以呼叫:CCPA提供了許多可能適用的例外。例如，“在企業與消費者之間的持續業務關係中，或以其他方式履行企業與消費者之間的合同的合理預期，”或“只允許根據消費者與企業的關係合理地與消費者的期望保持一致的內部使用”，則允許保留資料。(見Cal.Civ.法典§第1798.105(d)(1)、(7))。既然使用者理解區塊鏈應該保持一個不可改變的交易記錄，那麼人們就可以合理地期望它被無限期地維護。

GDPR沒有相同的例外，但確實限制了某些要求刪除的權利。例如，如果個人資料在收集或以其他方式加以處理的目的方面不再有必要，或在沒有合法理由進行處理的情況下，資料主體可以請求刪除。但是，如果資料是一個不可變的交易鏈中的一部分，那麼就不需要刪除資料，因為(a)資料對於收集它所要達到的目的來說仍然是必要的，或者(b) 區塊鏈及其參與者在保護鏈方面的合法利益優先於個別資料主體的刪除權。自動化處理根據GDPR，必須告知個人正在進行自動化處理，他們有權進行人工干預或對決策提出質疑。例如，程式處理個人資料以做出貸款或保險的承保決策。一些評論人士認為，如果監管機構認為此類合同在對個人進行決策時使用了自動處理，那麼這項權利可能會影響人們使用智慧合同的方式。然而，如該處理是為了在資料當事人與資料管制員之間訂立或履行合約所必需的，或基於資料當事人的明確同意，則該權利並不適用。智慧合約系統的開發人員可以構建一些機制來確保這些異常適用。處理資料安全和違規區塊鏈技術被吹捧為一種透過分散化、密碼學和共識來儲存資訊的安全方法。安全的關鍵因素之一是使用雜湊值加密，這是一種不可逆工程。公鑰和私鑰的概念是安全的核心，因為您不能使用公鑰並推斷出私鑰，沒有這兩者您就不能訪問底層資料。此外，欺詐者不能輕易更改輸入值，因為這會建立一個全新的海西值並使整個塊無效。