李雅琪，才 華，沙澤陽，章 政，楊凱茜，葉家煒*

（1.復旦大學 計算機科學技術(shù)學院，上海 200433；2.中國銀聯(lián)股份有限公司，上海 201210）

《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱GDPR）在2016年4月27日出臺，經(jīng)過兩年的緩沖期，于2018年5月25日在歐盟全體成員國正式生效，取代了歐盟在1995年出臺的《數(shù)據(jù)保護指令》（95/46/EC），被廣泛稱為“史上最嚴格個人數(shù)據(jù)管理法案”。GDPR對數(shù)據(jù)跨境傳輸提出了相關要求，只有極少數(shù)第三國及國際組織通過了GDPR數(shù)據(jù)跨境傳輸?shù)某浞中哉J定?；谥袊形磁c歐盟就數(shù)據(jù)跨境傳輸達成雙邊或多邊協(xié)議，也尚未獲得歐盟列入充分性保護白名單，對于中國企業(yè)而言，在從歐盟境內(nèi)轉(zhuǎn)移個人數(shù)據(jù)時，需要對被轉(zhuǎn)讓數(shù)據(jù)提供足夠的安全保障措施。

近年來，以比特幣為代表的數(shù)字化貨幣迅速發(fā)展，作為其支撐技術(shù)的區(qū)塊鏈技術(shù)在資產(chǎn)安全、支付便捷等方面具有相當大的優(yōu)勢，正在逐步顛覆甚至瓦解傳統(tǒng)的跨境支付手段[1]。

諸多國內(nèi)學者已就區(qū)塊鏈技術(shù)在跨境支付業(yè)務中的應用進行了深入研究，下面提供幾個典型的基于區(qū)塊鏈技術(shù)的跨境支付解決方案。趙增奎在其論文中所提供的解決方案利用區(qū)塊鏈網(wǎng)絡，在支付網(wǎng)絡中加入傳統(tǒng)金融機構(gòu)、外匯做市商、流動性提供商等，從而構(gòu)建支付網(wǎng)關，實現(xiàn)將法定貨幣轉(zhuǎn)換為區(qū)塊鏈上流動的數(shù)字資產(chǎn)，以便支付轉(zhuǎn)賬。另外，這一解決方案中利用網(wǎng)絡連接器將傳統(tǒng)做市商、匯出行、匯入行等機構(gòu)相連接，精簡交易中繁瑣的中間環(huán)節(jié)，從而實現(xiàn)點到點直接支付清算，提升支付效率[2]。李言在其論文中提出了“區(qū)塊鏈+跨境支付”的解決方案旨在完成對于“一帶一路”區(qū)域原有跨境支付體系的流程再造。在支付發(fā)起階段通過區(qū)塊鏈記錄甲乙方的權(quán)利義務關系，通過智能合約提供便捷的本外幣兌換。在資金使用過程中應用區(qū)塊鏈技術(shù)實現(xiàn)精準化定位，從而為監(jiān)管機構(gòu)提供便利。在支付完成階段由平臺將支付信息進行封裝并分布存儲，便于監(jiān)管部門事后的合規(guī)查驗[3]。另外，諸多國內(nèi)外金融機構(gòu)已經(jīng)就區(qū)塊鏈技術(shù)在跨境支付中的應用進行了嘗試并落地，力圖對現(xiàn)有跨境支付業(yè)務進行重塑。下面提供幾個我國典型的金融機構(gòu)區(qū)塊鏈跨境支付應用案例。螞蟻金服旗下的AlipayHK聯(lián)合菲律賓電子錢包Gcash于2018年6月推出了全球首個區(qū)塊鏈跨境匯款服務，具備每秒數(shù)萬筆的大規(guī)模交易處理能力，過去至少10分鐘才可完成的單筆跨境支付在這一服務中僅需3秒便可完成。香港或菲律賓的消費者通過此服務提交跨境匯款申請后，參與交易的所有中間節(jié)點均形成一個個區(qū)塊，構(gòu)成聯(lián)盟鏈。交易過程中，交易信息在鏈上通過智能合約進行同步驗證，不存在被篡改的可能。從而極大地提高了跨境交易安全性[4]。另外，這一服務允許香港和菲律賓的監(jiān)管機構(gòu)對跨境匯款行為進行實時、全程監(jiān)測，實現(xiàn)了高度透明的監(jiān)管。招商銀行通過建立基于私有區(qū)塊鏈的跨境清算系統(tǒng)，率先實現(xiàn)了跨境直聯(lián)清算，允許海內(nèi)外各分支機構(gòu)之間直接發(fā)起清算請求，打破了過去必須通過總行審批才能進行海外分行間清算的業(yè)務隔閡，使原本需要6分鐘的報文傳遞時間降低至秒級。該系統(tǒng)采用拜占庭容錯的共識機制，以保證交易流暢性。同時其封閉的私有鏈網(wǎng)絡環(huán)境大大提升了對報文進行篡改或偽造的難度，為跨境交易的安全性提供了保障[5]。2017年3月，該系統(tǒng)已通過POC驗證測試并正式上線。

可見，區(qū)塊鏈技術(shù)在未來有望成為跨境金融交易的支撐技術(shù)之一。然而，在GDPR生效后，中國企業(yè)的涉歐跨境支付勢必在GDPR的管轄范圍內(nèi)。上述研究與應用并未考慮到將區(qū)塊鏈技術(shù)應用于涉歐跨境支付業(yè)務中的GDPR合規(guī)問題，基于區(qū)塊鏈去中心化、不可篡改、抗抵賴等特性，在對具體實現(xiàn)機制進行充分設計的前提下，區(qū)塊鏈技術(shù)具備應對GDPR在跨境數(shù)據(jù)傳輸方面帶來的合規(guī)性挑戰(zhàn)的潛力。本文將提供一種滿足GDPR立法原則的基于區(qū)塊鏈的跨境傳輸解決方案，并在后文中對于將這一方案作為一個跨境數(shù)據(jù)傳輸安全保障措施的可行性和GDPR適用性進行討論。

1 基于區(qū)塊鏈的交易信息跨境傳輸方法設計

1.1 現(xiàn)有交易數(shù)據(jù)跨境傳輸方法分析

當前的跨境支付方式主要包括銀聯(lián)國際、銀行電匯、國際卡組織以及第三方支付平臺，交易數(shù)據(jù)傳輸方式以加密傳輸為主[6]。以銀聯(lián)國際為例，一次在境外產(chǎn)生的交易數(shù)據(jù)傳輸?shù)骄硟?nèi)主要經(jīng)歷如下步驟：

（1）境外持卡人在境外間接POS機刷卡，產(chǎn)生卡信息與交易數(shù)據(jù)（包括交易金額、受理地點等信息），并傳輸?shù)骄惩馐芾頇C構(gòu)主機中。

（2）境外受理機構(gòu)主機將卡信息、交易數(shù)據(jù)打包后加密，跨境傳輸?shù)絿鴥?nèi)業(yè)務主機中。

（3）國內(nèi)業(yè)務主機再將對應的交易信息傳輸?shù)綄臋C構(gòu)主機中。

在此過程中，卡信息和交易數(shù)據(jù)被打包后直接加密傳輸。這樣的方法存在以下兩個風險點：其一，數(shù)據(jù)主體的個人信息沒有最大程度地留在歐盟境內(nèi)，而是整體加密后進行傳輸，在這種模式下，加密方式一旦被破解，個人信息就極有可能泄露。其二，在跨境支付流程中交易信息往往經(jīng)由多個中轉(zhuǎn)機構(gòu)流通，涉及主體繁多，這也加大了數(shù)據(jù)主體個人信息泄露的隱患。

基于以上原因，作者認為現(xiàn)有數(shù)據(jù)跨境傳輸方法明顯有悖于GDPR的立法原則，且存在相當高的GDPR違規(guī)風險。

1.2 基于區(qū)塊鏈的交易信息跨境傳輸方法概述

基于GDPR“充分性保護”的立法原則，銀行卡信息作為與可識別的自然人關聯(lián)的信息之一，在跨境傳輸中受到嚴格限制。如果將卡信息和交易數(shù)據(jù)打包后加密傳輸，可能存在違反GDPR的風險，一旦觸發(fā)GDPR違規(guī)，相應數(shù)據(jù)控制者或處理者將可能面臨巨額的行政處罰。因此，為規(guī)避這一風險，本文提出基于區(qū)塊鏈的數(shù)據(jù)跨境傳輸方法，旨在對數(shù)據(jù)進行脫敏且不將卡信息直接跨境傳輸。對于每次交易產(chǎn)生的卡信息和交易數(shù)據(jù)，將其劃分為敏感信息和脫敏信息，敏感信息包括卡信息等個人信息，脫敏信息包括交易金額、交易時間等信息。將敏感信息進行拆分并計算哈希后寫入?yún)^(qū)塊鏈中，脫敏信息不包含任何與個人信息相關的數(shù)據(jù)，打包后加密跨境傳輸，境外機構(gòu)根據(jù)跨境傳輸?shù)拿撁粜畔?，到區(qū)塊鏈上認證敏感信息，從而完成一次交易信息的跨境傳輸。

1.3 基于區(qū)塊鏈的交易信息跨境傳輸方法中的區(qū)塊鏈結(jié)構(gòu)及相關操作

本文提出的基于區(qū)塊鏈的交易信息跨境傳輸方法中所使用的區(qū)塊鏈的結(jié)構(gòu)如圖1所示。它由全球鏈，一級區(qū)域鏈，二級區(qū)域鏈，………，n級區(qū)域鏈構(gòu)成，只有最小級別的區(qū)域鏈內(nèi)含有數(shù)據(jù)塊，并且每一個數(shù)據(jù)塊都有可供搜索的位置信息，下文將其簡稱為數(shù)據(jù)塊的id。區(qū)域節(jié)點按物理位置劃分，當相關機構(gòu)需要向區(qū)塊鏈中寫入信息時，首先就近選擇距離該機構(gòu)物理位置接近的最小級區(qū)域節(jié)點，其次機構(gòu)將信息寫入最小級區(qū)域鏈下的數(shù)據(jù)鏈中并記錄數(shù)據(jù)塊的id，以上過程在下文中簡稱為寫入?yún)^(qū)塊鏈。境外機構(gòu)在收到跨境信息后，根據(jù)信息中的數(shù)據(jù)塊的id搜索到具體數(shù)據(jù)塊，對其中的信息進行認證后，將該節(jié)點標記為無效。在一定時間期限內(nèi)，最小級區(qū)域節(jié)點對其下被標記為無效的數(shù)據(jù)塊進行刪除，從而減輕該節(jié)點下數(shù)據(jù)鏈的搜索負擔。

圖1 區(qū)塊鏈結(jié)構(gòu)

1.4 基于區(qū)塊鏈的交易信息跨境傳輸方法的具體過程

本文提出的基于區(qū)塊鏈的交易信息跨境傳輸方法具體分為兩個部分：跨境傳輸和區(qū)塊鏈認證。

1.4.1 跨境傳輸

跨境傳輸?shù)倪^程如圖2所示，詳細步驟描述如下：

圖2 跨境傳輸

（1）根據(jù)數(shù)據(jù)脫敏的基本思想，對交易數(shù)據(jù)進行劃分處理，將敏感信息（卡信息）和非敏感信息分離，實現(xiàn)數(shù)據(jù)脫敏，其中脫敏信息包括交易金額、交易時間、交易地點等信息。

（2）通過標識碼生成器，利用敏感信息（卡信息）生成標識碼，加入到脫敏信息中。易證明已知部分位數(shù)的銀行卡號不能夠推出完整的銀行卡號，因此，標識碼生成器的具體執(zhí)行過程如下所示：

a.將銀行卡號分為前a位和后m位；

b.取n個不完全連續(xù)的隨機數(shù)，根據(jù)隨機數(shù)，從后m位中挑選n個數(shù)字作為標識碼。

（3）通過特征碼生成器，利用脫敏信息生成此次交易的特征碼。

（4）將敏感信息和交易特征碼合并，并計算哈希生成認證信息，將此認證信息寫入?yún)^(qū)塊鏈中，并記錄寫入數(shù)據(jù)塊的id。將脫敏交易信息和數(shù)據(jù)塊id加密后在鏈下跨境傳輸。

1.4.2 區(qū)塊鏈認證

歐盟境外金融機構(gòu)接收到上述方式傳輸?shù)玫降臄?shù)據(jù)后，需要利用脫敏信息對區(qū)塊鏈上的敏感信息進行認證，其過程如圖3所示。

圖3 區(qū)塊鏈認證

（1）對通過鏈下跨境傳輸?shù)玫降募用芙灰仔畔⑦M行解密，得到傳輸信息中的脫敏信息（包括標識碼、交易金額、交易時間、交易地點、數(shù)據(jù)塊id等信息）。

（2）提取標識碼。利用銀行數(shù)據(jù)庫含標識碼的銀行卡號進行查詢，檢索出包含該信息標識碼的全部銀行卡號的集合。并通過其他脫敏交易信息生成特征碼，生成算法和基于區(qū)塊鏈的數(shù)據(jù)跨境傳輸中認證信息生成算法一致。

（3）將得到的銀行卡號數(shù)據(jù)集加上特征碼后計算哈希，得到包含特征信息的哈希值集合。將該哈希集合中的數(shù)據(jù)與鏈上根據(jù)數(shù)據(jù)塊id搜索到的數(shù)據(jù)塊進行匹配，從而得到交易信息中具體的銀行卡信息。最后，將已匹配的節(jié)點在鏈上標記為無效。

上述區(qū)塊鏈認證過程的算法如圖4所示。

圖4 區(qū)塊鏈認證過程的算法

基于該區(qū)塊鏈認證算法，銀行可將經(jīng)鏈下跨境傳輸?shù)拿撁粜畔⑴c寫于鏈上的敏感信息一一匹配，從而獲得完整的單次交易信息，形成一次完整的跨境交易信息傳輸。

1.5 基于區(qū)塊鏈的交易信息傳輸方法的優(yōu)勢分析

首先，針對業(yè)務場景選擇性利用區(qū)塊鏈特征。本方法巧妙地對區(qū)塊鏈開放性、不可篡改性的特征加以利用，從而為交易的可信度提供了充分保障。同時，針對銀行間跨境交易數(shù)據(jù)傳輸?shù)木唧w場景，本方法有效規(guī)避了區(qū)塊鏈可能對該業(yè)務流程造成負面影響的特征。本方法中所使用的區(qū)塊鏈，按照地域和功能劃分成了全球鏈、區(qū)域鏈和數(shù)據(jù)鏈，通過這種劃分，最大程度地減少了數(shù)據(jù)同步和數(shù)據(jù)搜索的開銷。

其次，基于去中心化的思想，本方法并未利用中心機構(gòu)傳輸密鑰并頒發(fā)證書的方式進行認證，而是考慮到銀行卡數(shù)據(jù)庫的獨特性，通過犧牲一定算力的方式進行信息的驗證，大幅度提高了交易信息傳輸?shù)陌踩浴?/p>

最后，根據(jù)數(shù)據(jù)脫敏思想，對不同敏感級別的信息采取不同的保護措施并通過不同的渠道分別傳輸。對敏感信息（卡信息）進行拆分后計算不可逆哈希，寫入?yún)^(qū)塊鏈中；其他交易信息（標識碼、交易金額、交易時間、交易地點等）則在鏈下進行加密跨境傳輸。如此一來，對于區(qū)塊鏈上的敏感信息而言，只要確保哈希算法不可逆，則該寫于鏈上的敏感信息不存在被解密的可能。對于鏈下加密傳輸?shù)钠渌灰仔畔⒍裕词乖趥鬏斶^程中被截獲并破解，由于不包含有效的敏感信息，無法對自然人進行識別，不會對數(shù)據(jù)主體造成任何威脅?？梢?，本方法從多個角度采取措施，在最大程度上保障了跨境交易中數(shù)據(jù)主體個人信息的安全。

2 基于區(qū)塊鏈的跨境交易數(shù)據(jù)傳輸方法可行性論證

2.1 符合GDPR立法原則

GDPR在數(shù)據(jù)傳輸方面的立法原則使得跨境銀行間的交易活動出現(xiàn)困難——跨境交易活動必然需要交易數(shù)據(jù)的跨境轉(zhuǎn)移，而個人數(shù)據(jù)的跨境傳輸受GDPR所限制。本文提出的方法有效解決了這一問題，首先對個人交易信息進行脫敏處理，隨后將脫敏信息傳輸?shù)降谌龂?，而可識別自然人的敏感信息（銀行卡號）則置于區(qū)塊鏈中，避免將真正的個人數(shù)據(jù)傳輸?shù)降谌龂?。該方法一方面與GDPR跨境限制的初衷相契合，另一方面不影響跨境交易活動的正常進行，突破了傳統(tǒng)跨境傳輸方法的桎梏。

與普通的加密傳輸方法不同，本文提出的基于區(qū)塊鏈的數(shù)據(jù)傳輸方法將個人交易數(shù)據(jù)化整為零，分離為無法直接或間接識別出自然人信息的部分數(shù)據(jù)。這使得攻擊者即使破解了普通加密，也無法從截獲的數(shù)據(jù)中獲取有效信息，從而有效規(guī)避了數(shù)據(jù)傳輸中的泄露風險，達到了安全進行數(shù)據(jù)跨境傳輸、保護數(shù)據(jù)主體權(quán)利的目的。

具體而言，本文方法將個人交易信息拆分為兩部分。第一部分為敏感信息（銀行卡號），它與交易特征碼經(jīng)由認證信息生成器生成認證信息，寫于區(qū)塊鏈節(jié)點；第二部分為脫敏交易信息，它將與敏感信息生成的標識碼一同經(jīng)過加密進行跨境傳輸。這兩部分信息相互獨立存儲，而只有它們合二為一時，信息才具有意義。

其一，在入侵者非法獲取并破譯了區(qū)塊鏈節(jié)點內(nèi)存儲的認證信息時，他得到了敏感信息（銀行卡號）與交易特征碼，但無法從中侵犯自然人隱私。一方面，入侵者無法根據(jù)簡易的交易特征碼反向推出脫敏交易信息；另一方面，銀行卡號在一般情況下無法直接識別自然人，而即使入侵者得到了該銀行卡的持卡人信息，也同樣無法通過孤立的銀行卡號知曉該自然人的具體交易情況。因此，此時入侵者竊取到的區(qū)塊鏈節(jié)點內(nèi)信息只是一串孤立的無意義數(shù)字（認證信息），并不能從中真正獲取有效個人數(shù)據(jù)。

其二，當入侵者破譯跨境傳輸?shù)膬?nèi)容，即標識碼與脫敏交易信息時，同樣不會對數(shù)據(jù)主體權(quán)利造成侵害。首先，入侵者無法根據(jù)標識碼補全銀行卡號，也就無法識別自然人（無論直接還是間接），因此他獲得的有效數(shù)據(jù)僅為脫敏交易信息。此外，即使入侵者根據(jù)脫敏交易信息計算得到交易特征碼，也無法通過交易特征碼知曉區(qū)塊鏈中哪個特定節(jié)點對應著此次交易，于是無法獲悉真正的敏感信息——即交易對象銀行卡號。而缺失交易執(zhí)行對象的交易信息資料不存在任何價值，屬于匿名化數(shù)據(jù)。因此，入侵者破譯獲取跨境傳輸?shù)膬?nèi)容后，同樣無法破壞跨境交易數(shù)據(jù)的安全性。

在GDPR定義中，“匿名化”指的是在采取某種方式對個人數(shù)據(jù)進行處理后，如果沒有額外的信息就不能識別數(shù)據(jù)主體的處理方式。同時，定義中的額外信息應當單獨保存，并且確保個人數(shù)據(jù)不能關聯(lián)到某個已識別或可識別的自然人。根據(jù)以上定義，本文采取的處理方法符合“匿名化”的要求。就具體場景而言，“額外信息”是銀行卡號（即敏感信息），脫敏交易信息需要與完整銀行卡號對應才能識別交易人數(shù)據(jù)主體，而作者通過區(qū)塊鏈將敏感信息分開存儲，達到與自然人切割的目的。GDPR于法規(guī)第32條中明確將“個人數(shù)據(jù)的匿名化”納入“適當?shù)募夹g(shù)與組織措施”中，因此本文的“匿名化”跨境傳輸手段有效響應了GDPR的要求，提供了安全有效的數(shù)據(jù)跨境傳輸保障措施。

2.2 保障數(shù)據(jù)主體各項權(quán)利的可執(zhí)行性

GDPR第46條規(guī)定，如果第三國尚未獲得歐盟充分數(shù)據(jù)保護認定，那么只有當控制者或處理者提供適當?shù)陌踩Ｕ洗胧?，并為?shù)據(jù)主體提供可執(zhí)行權(quán)利以及有效法律救濟措施時，才能將個人數(shù)據(jù)轉(zhuǎn)移至第三國。在該項規(guī)定中，除了對“適當?shù)陌踩Ｕ洗胧碧岢霰匾砸笸?，同樣也提及了“?shù)據(jù)主體可執(zhí)行權(quán)利”的重要性，可執(zhí)行權(quán)利的提供是跨境傳輸?shù)那疤嵋?。故而銀行在跨境傳輸交易數(shù)據(jù)時，除了需要在數(shù)據(jù)安全上合規(guī)，還需要滿足以GDPR為數(shù)據(jù)主體賦予的各項權(quán)利。

GDPR明確規(guī)定數(shù)據(jù)主體的權(quán)利包括訪問權(quán)、反對權(quán)、數(shù)據(jù)可攜帶權(quán)、更正權(quán)、刪除權(quán)（“被遺忘權(quán)”）和限制處理權(quán)。在這些權(quán)利中，反對權(quán)、數(shù)據(jù)可攜帶權(quán)、更正權(quán)和限制處理權(quán)與跨境傳輸方法無直接關聯(lián)，而訪問權(quán)與刪除權(quán)與數(shù)據(jù)跨境傳輸密切相關，因此作者將著重論述本文提出的銀行數(shù)據(jù)跨境傳輸方法在這兩項權(quán)利方面的合規(guī)性。

在訪問權(quán)方面，GDPR指出數(shù)據(jù)主體有權(quán)獲知其個人數(shù)據(jù)是否被處理，以及被處理數(shù)據(jù)的相關信息，其中著重提及：特別當數(shù)據(jù)接收者屬于第三國時，數(shù)據(jù)主體有權(quán)知曉接收者或接收者的類型。如若使用一般跨境傳輸方法，由于可能存在多段傳輸過程且接收者分散化，完整、明晰地記錄接收者存在一定困難；對于本文提出的方法而言，接收者必須訪問對應區(qū)塊鏈節(jié)點才能獲取完整交易信息，因此可以實現(xiàn)對接收者的集中化統(tǒng)一記錄。每當對應區(qū)塊鏈節(jié)點被訪問時，即表示該節(jié)點相關數(shù)據(jù)主體的信息被新接收者接收，可予以記錄。

刪除權(quán)的合規(guī)化操作是數(shù)據(jù)主體各項權(quán)利中非常棘手的一項，而本文方法在刪除權(quán)領域依然合規(guī)。在本文提出的方法中，銀行境外交易數(shù)據(jù)一部分經(jīng)由跨境傳輸?shù)竭_本地，這部分加密信息會在使用后及時刪除，另一部分存儲于區(qū)塊鏈節(jié)點上。在數(shù)據(jù)主體要求數(shù)據(jù)控制者刪除其個人數(shù)據(jù)時，銀行可以根據(jù)其持有銀行卡的卡號信息，檢索得到所有與該卡交易歷史相關的區(qū)塊鏈節(jié)點，對這些節(jié)點進行刪除操作。故而，刪除權(quán)的可執(zhí)行性不會受到本文方法損害。

此外，本文基于區(qū)塊鏈的傳輸方法在刪除權(quán)的執(zhí)行上具有“可舉證”的優(yōu)越性。自GDPR出臺以來，針對刪除權(quán)的合規(guī)化操作一直面臨著“難舉證”的問題，即當數(shù)據(jù)主體要求刪除其數(shù)據(jù)時，企業(yè)難以證明該主體數(shù)據(jù)已被全面刪除，監(jiān)管機構(gòu)也難以審核刪除權(quán)執(zhí)行的徹底性。對于分散而龐大的普通數(shù)據(jù)系統(tǒng)而言，證明個人數(shù)據(jù)全面刪除確實是個難題，但本文方法將敏感信息存儲于區(qū)塊鏈上，利用區(qū)塊鏈的優(yōu)點將“難舉證”轉(zhuǎn)化為“可舉證”。

首先，區(qū)塊鏈有著去中心化的特點，以及去中介化的信任機制。區(qū)塊鏈系統(tǒng)通過點對點傳輸技術(shù)弱化了中心服務器的功能，并在此之上結(jié)合非對稱加密、共識機制等，建立起一套去中介化的信任機制。這樣的架構(gòu)使得鏈上所有參與節(jié)點都擁有一份完整且相同的數(shù)據(jù)庫副本，且任意節(jié)點均可對數(shù)據(jù)準確性進行有效驗證，無需第三方信任中介的參與。利用這樣的特點，在區(qū)塊鏈刪除某數(shù)據(jù)主體信息時可使所有節(jié)點共同知曉，使刪除權(quán)的執(zhí)行不再是無數(shù)次分散的獨立操作而是集中化的統(tǒng)一操作，避免刪除記錄遺失。

其次，區(qū)塊鏈具有可追溯性、抗抵賴性。區(qū)塊鏈系統(tǒng)中的每一次操作都包含操作發(fā)起者的數(shù)字簽名，這能夠保障刪除權(quán)執(zhí)行過程中每次刪除行為都是可追溯的，也使得任何偽造刪除記錄的行為無法遁逃，提升了刪除記錄的可信度[6]。

綜上，該方法不但在安全性上滿足了GDPR要求，并且能夠保障數(shù)據(jù)主體各項可執(zhí)行權(quán)利，相當具有可行性。

3 結(jié)束語

近年來，隨著經(jīng)濟全球化的加深以及大數(shù)據(jù)科學技術(shù)的不斷發(fā)展，數(shù)據(jù)的跨境傳輸活動愈加普遍與頻繁，銀行間交易數(shù)據(jù)的跨境轉(zhuǎn)移尤是如此。而GDPR在跨境傳輸方面施加了更加嚴格、明晰的規(guī)定，限制個人信息流向第三國，這對跨國交易數(shù)據(jù)的合理傳輸活動提出了極大挑戰(zhàn)。

本文基于對GDPR在數(shù)據(jù)跨境傳輸方面立法原則的理解，認為現(xiàn)有的數(shù)據(jù)跨境傳輸安全保障方法與之相悖，存在較大的GDPR違規(guī)風險。針對這一問題，本文提出了一種基于區(qū)塊鏈的銀行交易數(shù)據(jù)跨境傳輸方法。該方法針對業(yè)務場景選擇性地利用區(qū)塊鏈的特征，通過將敏感信息拆分后的哈希值分別存儲于區(qū)塊鏈，只將脫敏信息經(jīng)鏈下加密傳輸至第三國或國際組織，有效響應了GDPR在跨境傳輸方面的立法原則，避免了一般跨境傳輸方法中加密安全級別難以得到保障的問題，并對該方法的可行性進行了較為充分的論述。

雖然如此，本文還存在許多尚未解決的問題，需要在后續(xù)研究中予以完善。譬如，本文著重關注銀行卡交易場景，對于其他交易場景并未著力探討。期待未來我們能夠在本研究的基礎上深入解決更多的跨境交易問題，形成一套更為全面、完善的跨境交易數(shù)據(jù)傳輸方法以滿足GDPR合規(guī)。