小結：CBDC 個資議題之可能解決方案

區塊鏈上資料如得透過適當的技術措施或者透過個人資料保護的法律調整，

區塊鏈和 GDPR 仍有可能共存。因此，參酌前述歐盟法院對於浮動 IP 地址之見 解，區塊鏈上的資料，應避免藉由分析區塊鏈上交易而識別特定使用者，並在最 低度妥協現行驗證協定的情況下，對外界及驗證者隱蔽交易內容。可能之解決方 案，除了技術面 ⁵⁶⁰實施資訊安全措施、建立系統入侵通知、限制資訊接近使用的 限制、資料分散儲存等，主要仍應為立法限制公務機關及其受託機關之蒐集資料 目的且避免目的外利用。

工作小組 Opinion 05/2014 提到，僅透過金鑰加密的方式以語義轉譯個人資 料，並不能排除未來回復該資料到其原本結構的可能性，例如採用相反演算法、

暴力攻擊法等，仍然可能達到回復資料的效果。此外，目前的加密方式可能只是 確保資料受到較高保護，但並不必然達到匿名化的程度 ⁵⁶¹。只要該金鑰或者原有 資料仍處於可獲取的狀態，縱使是由受信任或受契約拘束的第三方提供保護金鑰 的服務，識別該資料主體的可能性仍然無法排除。此也意味者金鑰存在本身的重 要 性 ， 破 壞 原 始 資 料 及 金 鑰 可 能 將 使 資 料 控 管 者 處 於 更 優 勢 地 位 ，Opinion

559 即滿足資料處理之各項原則，包含合法性、公正性、透明性、目的性限制、資料最少蒐集原則、

正確性、儲存限制、完整性、保密性、歸責性及妥適資訊安全保護措施等。

560 如（一）每次交易產生新的公、私鑰；（二）以匿名網絡交換訊息；（三）多數人簽章，以隱

蔽個人資料；（四）採零知識證明而不傳遞其他訊息如交易價額、收受方；（五）分散儲存公鑰 及私鑰；（六）鏈下儲存，以避免連結完整資料庫；（七）電子暗門用以更改區塊鏈上數據；

（八）附加交易等。Ibáñez et al., supra note 73, at 7-10.

561 Id. at 8-9.

155

05/2014也指出在暴力攻擊法下，破壞金鑰並無法解決個人資料保護的問題。資料 控管者仍需要在科技革新的過程中持續評估個人資料遭到再識別的風險。

區塊鏈並非與 GDPR 全然不相容，仍得經由妥適設計而避免觸法。在私鏈 中，參與者在私鏈上的活動可能有兩種情況。第一種為個體直接參加私鏈，此時 個體應同意其他人將可能會處理資料，且其會負責驗證其他人的交易，並於資料 外洩或濫用時負擔相對應的責任。可能情況為所有的成員均屬於共同資料控管 者，如此一來，所有成員需要同意一系列關於成員依據 GDPR 請求的相關規範；

另一種情況，則為私鏈聯盟提供服務給使用者、並儲存其個人資料於區塊鏈，如 欲遵循 GDPR，最簡單的方式，則應為由聯盟的成員均聲明自己為共同資料控管 者。目前 CBDC 較有可能採行的方式為後者，由參與聯盟鏈上的成員作為資料控 管者而負擔個資保護責任。

無論在何種情況下，遵循的重要因素是人民對於風險的基本認識。與個人資 料之集中式資料處理所應確認之程序相似，並得建立 ⁵⁶²確認清單得作為資料控管 者於使用區塊鏈作為基礎技術時之參考；且以機器可讀的格式建構同意的訊息，

得使該同意被自動傳輸到相關人員。尤其，部分資料處理可能被編碼成智能契 約，其執行軌跡已被記錄在區塊鏈中。藉此，資料控管者和處理者可以證明處理 過程遵循個資處理特定目的及資料主體同意，並將得用以確保資料進一步的處理 將無法重建原始數據。

總結而言，CBDC 不同模式涉及之個資議題如下表所示。

表 十三：帳戶模式與代幣模式之 CBDC 之個資法議題⁵⁶³

562 例如：（一）何種個資將被蒐集？哪些部分的資料將會被儲存或處理於區塊鏈上？ （二）在區

塊鏈中將會處理哪些個資？去集中化的流程的優勢？ （三）將會使用何種類型的區塊鏈？關於驗

證者有什麼了解？驗證者可以受到契約拘束嗎？（四）如果資料將會以加密或雜湊的方式進入區 塊鏈，誰應持有鑰匙（或者和原資料連結）？（五） 如果區塊鏈欲用以支持某種類型之交易，交 易對象的身分是否可以從區塊鏈的內容推論得知？如果使用假名性，誰可以持有得連結至資料主 體的「連結」？

563 本文自製。

156

157

另一方面，在 GDPR 下，央行及其委託發行與分配私部門因中心化管理私鏈 或者其他中心化系統，而可能負擔共同控管者責任，因而進一步須遵循刪除權與 自動化決策分析等，可能在私鏈上的資料有部分程度不相容，惟央行仍得透過制 定特別法方式，以法律授權其蒐集、處理、利用人民個人資料之法定職務範圍，

並亦得透過開設帳戶時與人民訂立契約或取得人民之明確同意，且在大規模蒐集 人民個人資料且涉及自動化分析時，並應先指定個人資料保護長、定期與主管機 關溝通討論並進行影響評估。

158 第六章 結論

CBDC 之效益包含：追蹤資金流向以防範非法行為、建立有效支付體系而防 止壟斷、採行負利率以有效執行貨幣政策、減少交易成本、達成普惠金融服務。

雖然 CBDC 可能帶來一定衝擊，但得透過妥適設計以避免相關風險，如對 CBDC 採取持有數量上限或者不附加利率，以避免數位擠兌；採取匿名性程度較高的代 幣模式以避免隱私風險；採取私鏈的進用權限管制，以避免資安風險。

從 CBDC 之各國發展可見，已開發國家多數仍尚在研究中，目前可能採行 CBDC 的國家有兩大極端，一端是高度發展國家而邁向無現金社會，如瑞典；另 一端則是經濟體不穩定、金融機構服務普遍欠缺或不足、無獨立法幣如馬紹爾。

對於台灣而言，發行 CBDC 亦將受惠於追蹤資金流向、健全支付體系、採行負利 率而有效執行貨幣政策、減少交易成本並達成普惠金融服務。

目前各國對於 CBDC 之底層設計尚未有定論，依據設計不同得區分為以下內 容：（一）發行與分配主體：中央銀行獨占發行與分配，或由央行發行但採公私 協力分配；（二）發行對象：僅發給銀行（雙層）、發給大眾及銀行（單層）；

（三）發行模式：匿名性程度高之代幣模式、匿名性程度低之帳戶模式；（四）

發行類型（與法幣關係）：屬於法幣之貨幣型、與法幣有比率關係之電子支付 型；（五）底層技術：中心化技術、區塊鏈技術；（六）與現金關係：並行（雙 軌）、取代（單軌）；（七）附加利息：有、無等。

本文參考瑞典支付區分小額支付與大額支付，因而區分為以下兩種發行態樣 為討論：（一）作為現金替代、且屬於法幣的貨幣型，採用私鏈技術並由央行直 接發行且不附加利息（以代幣模式發行）；以及（二）用以大額支付但與法幣為 一比一兌換的電子支付型，採用中心化帳本技術及雙層發行架構，且可能附加低 於銀行之優惠利率（以帳戶模式發行）。

鑑於 CBDC 將與法幣直接連結，除了貨幣法令授權以外，亦應立法限制央行 涉入太多原本非其職權之活動。另因 CBDC 將使政府掌控人民所有交易紀錄，而 衍生個人資料保護之議題。總結 CBDC 於本文中兩種態樣可能涉及的議題如下 表。在金融法令部分應認為電子支付型 CBDC 有高度特別法需求以限制央行之權 力；而在貨幣相關法令下，雖然得透過些微調整立法用語、變更實務見解等，惟

159

160

565 Tommaso Mancini-Griffoli et al., Casting Light on Central Bank Digital Currency 31 (IMF, Staff Discussion Note SDN/18/08, 2018).

161

參考文獻

一、 中日文文獻

(一) 專書

中央銀行（2009），《中華民國支付及清算系統》，臺北：中央銀行。

伍國璋（2020），《我國數位犯罪之立法沿革和發展（1945-2019） 》，臺北：

元照。

柯耀程（2004），〈刑法偽造罪相關問題檢討〉，氏著， 《刑法問題評釋》，臺 北：元照。

張陳弘、莊植寧（2019），《新時代之個人資料保護法制—歐盟 GDPR 與臺灣個 人資料保護法的比較說明》，臺北：新學林。

葉秋南、麥朝成、伍忠賢（2017），《貨幣銀行學：最新金融科技與理論》，臺 北：五南。

(二) 期刊論文

王文宇（2019），〈區塊鏈衍生商業模式的管制-以 DAO 與 ICO 為例〉，《會計 研究月刊》， 398 期，頁 70-75。

月旦法學教室編輯部（2012），〈行使偽造貨幣未遂之判定及與詐欺之區辨〉，

《月旦法學教室》，116 期，頁 87-92。

中央銀行（2018），〈數位金流與虛擬通貨--央行在數位時代的角色〉，《存款 保險資訊季刊》，第31 卷第 4 期，頁 1-27 。

中央銀行（2019），〈央行發行數位通貨之國際趨勢〉，《存款保險資訊季 刊》，第32 卷第 2 期，頁 13-26。

日本銀行金融研究所（2020），〈「中央銀行デジタル通貨に関する法律問題研 究会」報告書〉，《金融研究》，第39 巻第 2 号，頁 1-54。

尤重道（2014），〈個人資料保護之概念與蒐集處理利用暨違法責任（上）〉，

《全國律師》，21 卷 7 期，頁 85-94。

立法院公報處（2015），《立法院公報》，104 卷 9 期，一冊，頁 230，臺北：立 法院。

立法院公報處（2014），《立法院公報》，104 卷 7 期，一冊，頁 7，臺北：立法 院。

李世德（2018），〈GDPR 與我國個人資料保護法之比較分析〉，《台灣經濟論 衡》，第16 卷第 3 期，頁 69-93。

姜權祐（2019），〈臉書發行虛擬加密貨幣 Libra 對全球金融市場之影響〉，

《彰銀資料》，第68 卷第 9 期，頁 7-21。

162

孫鈺婷（2018），〈區塊鏈於歐盟一般資料保護規則適法性與隱私保護困境〉，

《科技法律透析》，第30 卷第 12 期，頁 14-23。

徐育安（2014），〈資訊風險與刑事立法〉，《臺北大學法學論叢》，91 期，頁 頁113-167。

徐珮菱（2019），〈區塊鏈（Blockchain）與歐盟一般資料保護規則（GDPR）之 適用〉，《財金法學研究》，第2 卷第 4 期，頁 593-610。

徐珮菱、陳錦稷（2020），〈央行數位貨幣發展與經濟分析〉，《月旦民商法雜 誌》，67 期，頁 51-65。

陳志民（2019），〈支付系統競爭議題及規範架構之建立〉，《公平交易季 刊》， 27 卷 3 期，頁 1-40。

程明修（2006），〈公私協力行為對建構「行政合作法」之影響－以台北高等行 政法院 ETC 案為契機〉，《月旦法學雜誌》，第 135 期，頁 5-13。

程明修（2006），〈公私協力行為對建構「行政合作法」之影響－以台北高等行 政法院 ETC 案為契機〉，《月旦法學雜誌》，第 135 期，頁 5-13。