在开放和分布式的分类帐中,记录在区块链的交易在参与者(称为节点)的分布式网络中共享和同步。换言之,区块链的每位参与者均有一整个相同的分类帐(即整个区块链)。区块链的参与者可以根据商定的网络规则,以安全的方式创建和添加新的交易记录(即区块)到共享分类帐中,而无需通过中央系统处理。
区块链以记录加密电子货币的交易而闻名,当中包括比特币。有许多其他业务也正在考虑使用区块链,例如智能合约、国际支付和汇款、证券交易和供应链管理。
以目前科技水平来说,区块链如设计及建构恰当,一般认为是无法篡改的。在记录的真确性方面,一般亦认为区块链为参与者提供了保证。区块链一般属高度透明,因为所有交易都是公开和可追溯的,并且永久储存于区块中。
当区块链用于储存个人资料时,可能会衍生私隐问题。分布式分类帐系统意味着交易资料(可能包含个人资料)是可以公开向参与者显示。在区块链中,新的参与者可以不时加入网络,每位参与者都会持有整个电子分类帐。现有的参与者可能不确定将来谁可以查阅他们的记录。这可能会对基本的保障资料原则构成挑战 — 即资料当事人会获通知收集其个人资料的资料使用者的身份,以及可能查阅该等资料的人士的名单。这个问题在「公有链」尤其严重,因为这些是允许任何人加入、阅读内容和进行交易的公共网络。相比之下,在「私有链」中,只有获授权的人士才能加入,私隐风险相对较低。
在设计上,区块链是不能改变和防篡改的。即使区块储存的资料已过时或不准确,也不能把其删除或作出修改。保留及持续提供不准确或过时的个人资料,可能会损害个人资料私隐权。区块链的这些特性,在资料准确性、资料保留和删除权方面导致了合规方面的困难。
作为分布式技术,它并没有一个单独的实体负责管理区块链以至为管理不善而负责。一旦发生资料外洩的情况,就造成执法困难,因为谁要遵守资料外洩通报要求的责任并不明确。此外,资料当事人也可能难以识别哪个是负责回应查阅资料要求的实体。
正如法国资料保障机构(CNIL)在其关于使用区块链的指引(https://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-personal-data)中指出,各机构在决定是否需要采用区块链技术时应谨慎行事。此外,CNIL还建议,在区块链上记录资料时,应将资料最少化作为优先考虑。为了确保问责,CNIL还建议,如果无法识别哪个是区块链的单一中央管理组织,则区块链的所有参与者均应被视为资料使用者。
现时还没有办法解决使用区块链所带来的私隐问题。作为执法者、教育者和促进者,我的机构(个人资料私隐专员公署)有责任为资料使用者(机构)和资料当事人(个人)寻找解决方法。在使用区块链时,单凭遵守和执行法律并不足以保障个人资料私隐,更遑论在保障资料和促进科技创新之间取得平衡。长远解决办法在于问责和道德,也就是说,机构不仅要做他们必须做的事,而且也要做他们应该做的事,以秉持尊重、公平和互惠的原则对待所有持份者。在这方面,进行私隐影响评估和数据道德影响评估是使用区块链的先决条件。
(请参阅公署于2019年3月出版的《金融科技》资料单张:https://www.pcpd.org.hk//tc_chi/resources_centre/publications/files/fintech.pdf)