鏈上個資可被遺忘嗎？歐洲資料保護委員會發布區塊鏈個資處理指引，攜手 AI 辦公室推動新法規

面對區塊鏈和人工智慧 (AI) 技術的迅猛發展，歐洲資料保護委員會 (EDPB) 於 2025 年 4 月全體會議上採取行動，發布了針對區塊鏈技術處理個人資料的全新指引，同時也宣布將與 AI 辦公室合作，制定有關 AI 法案與歐盟資料保護法之間互動關係的指引。

符合 GDPR：區塊鏈資料處理新指引正式登場

區塊鏈作為一種去中心化的數位帳本技術，能夠確認交易並證明某個時間點上數位資產 (如：加密貨幣) 的所有權。它也常被用來安全地管理與傳輸資料，保證資料的完整性和可追溯性。

隨著區塊鏈應用日益普及，EDPB 認為有必要協助使用這項技術的組織，確保其符合《通用資料保護規則》（GDPR）。新指引深入解析區塊鏈的運作方式、各種架構型態，以及這些設計對個資處理可能帶來的影響。

設計階段就要顧好資料保護

EDPB 強調，必須在資料處理設計初期就導入適當的技術和組織措施，預防未來的資料保護問題。同時，組織在設計區塊鏈處理流程時，也應釐清各方在資料處理過程中的角色與責任。

如果區塊鏈處理個資的行為可能對個人權利和自由構成高風險，組織必須事先進行「資料保護影響評估」(DPIA)，以主動識別並減輕潛在風險。

降低個資外洩風險是重中之重

根據指引，組織應確保在區塊鏈上的個人資料受到最高等級的保護，避免資料預設對無限制的人群開放。

EDPB 也提供了多種數據最小化的技術範例，說明如何妥善處理和儲存個資。原則上，若儲存個資於區塊鏈可能與資料保護原則衝突，應盡量避免。

此外，指引特別強調應保障個人的資料透明度、資料更正權及刪除權，這些基本權益在區塊鏈架構中尤其容易被忽略，因此更需額外注意。

沒設計好，可能還要刪掉整條鏈？

指引中寫道，個人資料必須在處理目的達成後以及任何法定保存期限屆滿後予以刪除，以符合儲存限制原則。法定保存期限屆滿後，為符合儲存限制原則，必須刪除個人資料。

在區塊鏈中，對個別資料進行刪除可能具有挑戰性，且需要特別設計的架構。當設計時未考慮刪除功能，可能需要採用特別的工程架構來實現，可能還要刪除整個區塊鏈。

如果鏈上和鏈下數據的合規性設計已被考慮，資料保護已被設計考量，可能有辦法防止未來透過刪除鏈下數據來識別資料主體，這取決於具體的方法選擇及具體事實。無論選擇哪種存儲限制方法，都必須遵守有效。若此需要刪除區塊鏈的一部分，包括刪除節點或其他方持有的任何副本，控制者應確保有足夠的技術和組織措施到位以執行此操作。

公眾諮詢開放至6月初

這份區塊鏈資料處理指引目前已開放公眾諮詢，截止日期為 2025 年 6 月 9 日。EDPB 邀請各方利害關係人提出意見，讓最終版本更貼合實務需求。

EDPB 與 AI 辦公室攜手制定 AI 新規範

除了針對區塊鏈技術發布新指引，EDPB 在這次全體會議上也宣布，將與剛成立不久的「AI辦公室」密切合作，共同草擬 AI 案與現有資料保護法規的銜接指引。未來，隨著 AI 應用不斷擴張，這份跨領域合作文件將成為企業和開發者的重要依據。

這篇文章 鏈上個資可被遺忘嗎？歐洲資料保護委員會發布區塊鏈個資處理指引，攜手 AI 辦公室推動新法規 最早出現於 鏈新聞 ABMedia。