CBDC 的其他個人資料保護問題──以歐盟 GDPR 為例

基於歐盟內部單一市場的貨物、人員、資本、服務自由流通，GDPR 規範個 人資料處理相關之自然人保護，以達成個人資料自由流通；並同時保護自然人基 本權與自由。觀諸各國之GDPR 執法情況⁵¹¹，多數聚焦於以下條文：（一）違反 資料處理之基本原則（第 5 條）；（二）欠缺資料處理之合法性（第 6 條）；

（三）未履行充分告知（第12 至 14 條）；（四）未履行資料主體之權利（第 15 至 17 條）；（五）未簽署資料處理協議（第 28 條）；（六）欠缺保障資料安全 技術及措施（第 32 條）；（七）違反資料洩露通知義務（第 33 及 34 條）；

（八）未任命個人資料保護長（DPO）（第 37 條）。

511 GDPR Enforcement Tracker, https://www.enforcementtracker.com (last visited: July 9, 2020).

141

第一項 GDPR 適用範圍

因為CBDC 可能涉及跨境支付之功能，因此需檢視央行發行 CBDC 之行為何 時將落入GDPR 之管轄。依據 GDPR 第 2 條，實體範圍適用於全部或部分自動化 處理的個人資料，或其他非自動化處理而構成或企圖作為檔案系統之一部分的個 人資料。以下範圍則為例外不適用：（一）該活動非受到歐盟法規範；（二）該 活動為會員國依據歐盟條約第 5 篇第 2 章所進行之範圍內；（三）自然人所為單 純之個人或家庭活動；（四）主管機關為預防、調查、偵查、追訴刑事犯罪，或 執行刑罰之目的（包括維護及預防公共安全威脅）所為之個人資料處理。

另從地域範圍觀察，GDPR 的實際適用範圍，將會超出歐盟經濟區，而涵蓋 任何機構處理歐盟居民的資料 ⁵¹²。依 GDPR 第 3 條，符合以下任一者即適用 GDPR。（一）資料控管者或處理者為設立於歐盟境內之企業：其所為的個人資 料處理皆適用之，不論該處理是否發生於歐盟境內；（二）資料控管者或處理者 非為設立於歐盟境內之企業時，設立於依國際公法而適用各會員國法律之地所為 之個資處理；或對歐盟境內資料主體涉及以下個人資料處理（1）對歐盟境內之 資料主體提供商品或服務，不論是否需資料主體付款；（2）對資料主體於歐盟 內之行為的監控。

第二項 個人資料定義與假名化

依據GDPR第 4條第 1項，個人資料的定義為：自然人（下稱「資料主體」）

之任何資訊；前述資訊為有關於已被識別的自然或可得識別的自然人。其中，以 直接或間接方式識別該自然人，如姓名、身分證號碼、位置資料、網路識別，或 一個或多個特定於該自然人之身體、生理、基因、心理、經濟、文化或社會認同 等具體因素之識別工具。 故如果該資料並非屬於自然人資料，或無法以直接或間 接之方式識別該自然人，則屬於匿名化資料，不適用GDPR。

CBDC 代幣模式採區塊鏈，雜湊得以支持驗證的方式有效率儲存交易；而資 料需要透過公鑰和私鑰兩階段驗證 ⁵¹³，每一使用者都會有公鑰及私鑰資訊（皆為

512 Ibáñez et al., supra note 73, at 3.

513 Michèle Finck, Blockchains and Data Protection in the European Union 4 (Max Planck Institute for Innovation and Competition, Research Paper No. 18-01,2017).

142

一連串的文字及數字）。公鑰如同帳戶號碼，讓公眾得知而完成交易。除非仍有 連結至額外的識別工具，公鑰原則上隱藏使用者的身分。然而，公鑰的資料仍可 以透過比對帳戶內容，而得間接識別特定個人，亦即該資料仍非屬於匿名化資 料，仍須適用 GDPR⁵¹⁴；私鑰如同密碼，但不提供給任何人。私鑰可以用以破解 以公鑰所加密的資料。私鏈雖不需前揭技術，但多數私鏈仍基於效率及隱私考量 融合前揭技術。故衍生之問題即為：雜湊及公鑰是否得用以識別資料主體？

依據 1995 年歐盟資料保護指令（95/46/EC）第 29 條所成立的工作小組，於 2014 年時發布關於匿名化資料技術要求的意見（Opinion 05/2014）認為⁵¹⁵，假名 化並非屬於匿名化，僅是降低了對於原始資料主體的連結性，而屬於安全措施；

匿名化本身屬於對個人資料更進一步的處理，因此本身也需要符合資料處理的相 關規範。其中，匿名化的主要技術包含隨機處理、概括化處理、雜訊添加、排列 置換 、 隱私區辨、 彙集、K-匿名性、 L-多樣性和 T-相似性 。各項技術的穩健性 則需考量以下三方面：（一）是否仍可能單獨識別特定個人？（二）是否仍可能 連結特定個人的記錄？（三）是否能推斷出為特定個人的資訊？

從上述可得，CBDC 代幣模式之區塊鏈上資料雖然以雜湊函數顯示，但僅屬 於假名化資料，仍可能以間接方式識別特定個人。故使用雜湊仍然涉及個人資 料，需要注意並採取適當措施保護可能包含個人資料的原始資料，以避免違反個 人資料相關規定。

關於公鑰的虛擬帳戶似與IP 地址相近，歐盟法院判決在著作權侵害案件中曾 經提及IP 地址為個人資料⁵¹⁶。而後歐盟法院並認為 ⁵¹⁷浮動IP 地址如與其他個人 資料結合，則屬於間接得識別之個人資料⁵¹⁸，因為向第三人如⁵¹⁹網路服務提供業 者要求取得對應該IP 地址連結的資訊，並不會花費極大的人力或經費，也不是實

514 孫鈺婷（2018），〈區塊鏈於歐盟一般資料保護規則適法性與隱私保護困境〉，《科技法律透

析》，30 卷 12 期，頁 4。

515 ARTICLE 29DATA PROTECTION WORKING PARTY,OPINION 05/2014ON ANONYMISATION TECHNIQUES

3-4 (2014), https://www.pdpjournals.com/docs/88197.pdf.

516 Scarlet Extended SA v. SABAM, Case C‑70/10, 26 (2011), http://curia.europa.eu/juris/document/document.jsf;jsessionid=A07AB127BA3BB7D80508EDD302EF22 70?text=&docid=115202&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=8484888.

517 Patrick Breyer vs. Bundesrepublik Deutschland, Case C-582/14, 48(2016), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62014CJ0582&from=EN.

518 Id. at 39-40.

519 Id. at 43.

143

際上不可能，亦不是受法律禁止 ⁵²⁰。參考上述法院見解，如果公鑰得被用於連結 至其擁有者，則亦應該如同儲存雜湊一樣注意其他個人資料的連結。

區塊鏈上個人資料將由使用者各自負責公鑰及私鑰。然而，許多使用者依賴 於外部、集中化的服務以管理其鑰匙，進而產生受攻擊的空間，因為該集中化服 務提供者如搭配實名制，則將可能持有在公鑰中得識別資料主體的資料，故使用 者需留意掌控前述服務的主體以及該存放的狀態是否相近於前述歐盟法院判決。

而在 CBDC 的情況下，將會採取私鏈的方式以中心化組織運作，如果未來亦搭配 實名制則央行得直接將該假名性資料直接連結至特定個人，將屬於個人資料而須 受到GDPR 之相關拘束。

第三項 資料控管者與個人資料保護

第一款 個人資料規範主體

在 GDPR 中，主要規範的主體為個人資料控管者、個人資料處理者。依據 GDPR 第 4 條第 7 項，個人資料控管者意指單獨或共同與他人決定個人資料處理 之目的與方法之自然人、法人、公權力機關、機構或其他單位，並依據第24 條負 擔主要責任。如為共同決定前述個人資料處理之目的與方法，則依第26 條為共同 控管者，應以透明方式決定其各自責任範圍，尤其是關於蒐集個人資料時所應提 供的資訊：自資料主體處蒐集（第 13 條）、非自資料主體處蒐集（第 14 條）。

此顯示在 GDPR 下，對於個人資料保護採取歸責取向。另一方面，GDPR 第 4 條 第 8 項，個人資料處理者意指代表控管者處理個人資料之自然人、法人、公權力 機關、機構或其他單位。

關於區塊鏈上的底層設計可能包含不同的權利主體 ⁵²¹，如（一）得提出新交 易以加入帳本的人；（二）儲存帳本副本的人；（三）得新增區塊的人；（四）

得檢視帳本的人（五）使用者是否可得識別；（六）控制平台的底層軟體的人。

而在私鏈中，由於通常會要求相關主體在進入該私鏈前先簽訂契約，以確保符合 進入私鏈的相關資格並明確各項權利義務。私鏈上的參與者在個人資料保護法中

520 Id. at 46.

521 Jean Bacon et al., Blockchains Demystified 29 (Queen Mary University London, School of Law Legal Studies Research Paper No. 268/2017, 2017).

144

所負擔的責任可能為：（一）中心機構負擔控管者責任，如引領 GDPR 立法的歐 洲議會成員 Jan Philipp Albrecht⁵²²指出，私鏈的管理者為使用該區塊鏈的中心機 構，應負責遵循 GDPR，因為該中心機構將會是負責決定蒐集個資之目的及範 圍；（二）使用者可能在該私鏈中共同決定驗證規則，則可能所有使用者均成為 共同控管者 ⁵²³，因為每個使用者以共識決共同建立驗證規則，而共同決定其他使 用者之個人資料處理目的；使用者亦可能承擔處理者的責任，因為使用者如作為 驗證者而負責分析該帳戶資料所涉及之交易是否正確，將會處理他人資料用以分 析，則該使用者可能成為個人資料處理者。

第二款 適法之資料處理與處理原則

根據 GDPR，個人資料控管者或處理者的個人資料處理僅於構成以下任一情 況時方為適法：（一）資料主體同意；（二）履行契約所必要，該資料主體為契 約當事人；（三）履行法定義務所必要；（四）保護資料主體或他人重大利益所 必要；（五）執行具公眾利益的任務所必要；（六）資料控管者的適法利益所必 要。在代幣型 CBDC 上，如有涉及區塊鏈上的個人資料處理，除非有立法明文規 定法定義務、公眾利益之任務，則較有可能作為適法處理的理由為依契約或當事 人同意，因為在使用區塊鏈上應用前，通常先透過使用者條款或者為了接近使用 CBDC 而與央行訂立的契約，明確同意央行因目的內使用處理個人資料。

與台灣個資法相近，GDPR 第 5 條規定個人資料處理的原則亦包含特定目 的、正確性、最低儲存原則及如下內容：

公平且適法的資料處理 ⁵²⁴：需有正當理由且透明化預定目的。區塊鏈的驗證 規則是公開透明，故容易滿足此原則。而關於不法處理的部分，則衍生應如何對 資料處理者監管並令其負責的疑慮。在集中式主體時，人民無法確保資料處理者 是否非法處理個人資料，但如有發生任何意外事件時，則因其仍為中心化主體，

公平且適法的資料處理 ⁵²⁴：需有正當理由且透明化預定目的。區塊鏈的驗證 規則是公開透明，故容易滿足此原則。而關於不法處理的部分，則衍生應如何對 資料處理者監管並令其負責的疑慮。在集中式主體時，人民無法確保資料處理者 是否非法處理個人資料，但如有發生任何意外事件時，則因其仍為中心化主體，