Q1 :GDPR会是近期业者发展区块链,最大的冲突和阻力吗?
蔡: 包括AI、大数据在内,都需要个资当基础,隐私保护现在是一大课题,的确需要规范。大众对于个资的意识累积至今爆发,区块链的技术开发者必须要有一个认知:不能假设大家为了使用区块链会放弃个资保护这个权利,但GDPR的法律制定者也要思考,若有技术方案可解决,是不是完全满足了个资保护?如果是,在法律解释上就应该有所调整。

顾: 大家都在讨论两者冲突,我觉得倒还好。制定GDPR的欧盟从来没有想要禁止资料的使用,而是要促进「合理使用」,区块链强调的是透过去中心化、加密技术,让我们对资料自主掌握度更高,反而达到资料的维护作用。我觉得两者应该是相辅相成,一方面为区块链业者构建规则、推动发展,一方面又达到个资保护目的。

Q2 :两者有没有相似处?
蔡: 在功能上,区块链完整记录资料,透过加密技术让其更安全;而GDPR要让个资可以完整被保存并保密,防止这些资料遗失、被破坏,在「保存安全性」上,和区块链的设计有一定程度是符合的。并且GDPR旨在让主体更能掌控资料,而区块链每个节点都握有资料,你自已就是控制者之一。

顾: 两者都分散过去资料总是掌控在某些人手上的状况,要把资料交还拥有者本身。数据是当今重要的核心,但单一资料没有用,必须相互串接才能产生新的价值,但这会伤害到我们对个资的控制范围。而GDPR中都在表彰「当事人权利要受到保护」,区块链不也是这样吗?从去中心化、记录,都是透过链上每个参与者决定,资料透明不可逆、不可伪造。严格来说,让资料真正透明化、归属回到个人本身,两者是相同的。

Q3: 两者的矛盾冲突之处?
蔡: 第一点是目的冲突。 GDPR表明搜集资料的目的要非常明确,不可以做这之外的使用;但区块链很分散,结点分布全球,每个人都在使用你的资料,将来要怎么取得每一个链上使用者的同意?怎么确定他们的使用目的?此外,责任归属也有差。 GDPR对掌控资料的人苛责重大,他们都得证明有符合GDPR的规定;但在区块链上,要确定每一个节点都遵守有难度,光要执行GDPR给我的权利,负担成本就很大。

顾: 两者采取手段不同。 GDPR强调资料使用自主权,区块链当然则是透过分散式资料控制的方式让资料不可改,使大家信任。但提到删除权(被遗忘权),资料本身储存就有一定的结构及模式,即使删除,有一样东西一定不会删——请求删除的纪录,不然日后若有状况,则无从对证。所以GDPR的删除权跟区块链上会有什么冲突吗?我觉得冲突是包含在个资纪录这件事情中,因为区块链不可删除、GDPR可删,但还是会留下纪录。

Q4 :有调和两者的办法吗?执行上又会有哪些困难?
蔡: 技术产生的问题用技术解决,会比法律更容易。大家现在最质疑GDPR的被遗忘权,既然在区块链上不能删除,那能不能用技术设计让资料不删掉,但「永远没办法读取」,或是用智能合约限制,在某种情况下限制读取。至于责罚,区块链是跨国际虚拟环境,法律执行上能不能落实挑战也很大,既然你在区块链的体系里,不如设计某一个人被列入黑名单、封锁这类规则,说不定比法律制裁更有效,也比较符合经济成本,但繁琐势必会降低效率,可能影响到技术可用性。

顾: 个资「脱链储存」是一种方式。像是做医疗的区块链,把真正记录的事项、跟当事人个资切割来储存,用药、医疗判断存在区块链上,但个资不存在链上,只是这势必会增加成本,但对于敏感性资料来说是好事。

Q5: 当新科技碰上法律,谁能胜出?
蔡: 科技改变人的行为,法律则规范人的行为,当科技变了,法律应该要跟着变,不改,则容易变成恶法,新的东西你永远管不到。但要怎么制定一个法律?不要今天定完、明天就不合用了,这时立法技术就很重要。我认为立法要「负面表列」,用语也要有弹性。

顾: 任何新技术、区块链新科技碰到法律,一定都有「解释适用」的问题,法律有不同的解释空间,今天如果没有答案,我们就交给法院;如果大家都觉得法院解释得不好,那我们就来修法。法律规范的是行为及背后的商业模式,并不是技术,实行过程中需要时间慢慢补强,政府该考虑到业者的适应能力,以及是否可透过技术来解决问题。



相关文章