在開放和分布式的分類帳中,記錄在區塊鏈的交易在參與者(稱為節點)的分布式網絡中共享和同步。換言之,區塊鏈的每位參與者均有一整個相同的分類帳(即整個區塊鏈)。區塊鏈的參與者可以根據商定的網絡規則,以安全的方式創建和添加新的交易記錄(即區塊)到共享分類帳中,而無需通過中央系統處理。
區塊鏈以記錄加密電子貨幣的交易而聞名,當中包括比特幣。有許多其他業務也正在考慮使用區塊鏈,例如智能合約、國際支付和匯款、證券交易和供應鏈管理。
以目前科技水平來說,區塊鏈如設計及建構恰當,一般認為是無法篡改的。在記錄的真確性方面,一般亦認為區塊鏈為參與者提供了保證。區塊鏈一般屬高度透明,因為所有交易都是公開和可追溯的,並且永久儲存於區塊中。
當區塊鏈用於儲存個人資料時,可能會衍生私隱問題。分布式分類帳系統意味著交易資料(可能包含個人資料)是可以公開向參與者顯示。在區塊鏈中,新的參與者可以不時加入網絡,每位參與者都會持有整個電子分類帳。現有的參與者可能不確定將來誰可以查閱他們的記錄。這可能會對基本的保障資料原則構成挑戰 — 即資料當事人會獲通知收集其個人資料的資料使用者的身份,以及可能查閱該等資料的人士的名單。這個問題在「公有鏈」尤其嚴重,因為這些是允許任何人加入、閱讀內容和進行交易的公共網絡。相比之下,在「私有鏈」中,只有獲授權的人士才能加入,私隱風險相對較低。
在設計上,區塊鏈是不能改變和防篡改的。即使區塊儲存的資料已過時或不準確,也不能把其刪除或作出修改。保留及持續提供不準確或過時的個人資料,可能會損害個人資料私隱權。區塊鏈的這些特性,在資料準確性、資料保留和刪除權方面導致了合規方面的困難。
作為分布式技術,它並沒有一個單獨的實體負責管理區塊鏈以至為管理不善而負責。一旦發生資料外洩的情況,就造成執法困難,因為誰要遵守資料外洩通報要求的責任並不明確。此外,資料當事人也可能難以識別哪個是負責回應查閱資料要求的實體。
正如法國資料保障機構(CNIL)在其關於使用區塊鏈的指引(https://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-personal-data)中指出,各機構在決定是否需要採用區塊鏈技術時應謹慎行事。此外,CNIL還建議,在區塊鏈上記錄資料時,應將資料最少化作為優先考慮。為了確保問責,CNIL還建議,如果無法識別哪個是區塊鏈的單一中央管理組織,則區塊鏈的所有參與者均應被視為資料使用者。
現時還沒有辦法解決使用區塊鏈所帶來的私隱問題。作為執法者、教育者和促進者,我的機構(個人資料私隱專員公署)有責任為資料使用者(機構)和資料當事人(個人)尋找解決方法。在使用區塊鏈時,單憑遵守和執行法律並不足以保障個人資料私隱,更遑論在保障資料和促進科技創新之間取得平衡。長遠解決辦法在於問責和道德,也就是說,機構不僅要做他們必須做的事,而且也要做他們應該做的事,以秉持尊重、公平和互惠的原則對待所有持份者。在這方面,進行私隱影響評估和數據道德影響評估是使用區塊鏈的先決條件。
(請參閱公署於2019年3月出版的《金融科技》資料單張:https://www.pcpd.org.hk//tc_chi/resources_centre/publications/files/fintech.pdf)