个人数据可携带权实现路径研究
——基于区块链技术的中国模式探索

郭 琦，史 明，邓越萍

（山西能源学院计算机与信息工程系，太原 036000）

0 引言

随着计算机、互联网的普及，尤其是社交网络、快递外卖、移动支付、网上银行等网络应用的广泛使用，数字经济时代最核心的生产要素已然是数据。大数据时代个人数据呈现指数级增长，全球最大征信机构益博睿（Experian）2019 年年报显示，在过去两年中采集的个人相关数据占了90%。个人数据成为互联网上的“新石油”，是数字世界的新型现金。

在大数据时代，对于很多国内外互联网公司而言，最有价值的就是海量的消费者数据。由于追求个性化服务，他们积极收集和利用用户的个人数据。然而，这一做法也引发了大量个人信息泄露的问题。

在ForgeRock 的一项全球调查报告中指出，2020 年用户名和密码等用户信息泄露的数量比上一年增长了450%。一些不法分子甚至利用社交网站上的其他个人信息，通过身份确认来访问个人银行账户、消费记录等敏感信息［1］。我国目前数字经济发展快速，而法制环境薄弱，消费者维权意识不足，尽管国家不断加大个人信息保护力度，但非法收集、利用个人信息的情况还持续高发。例如，国家互联网信息办公室经检测核实，“滴滴出行”APP 涉嫌严重违反违规，存在大规模收集和使用个人信息的违法行为［2］；据报道，外国执法部门利用技术手段违法获取了我国大量微软用户的个人信息［3］。这种行为不仅侵犯了公民的隐私权，还对国家安全和社会公共利益构成了严重威胁。

此外，大量的个人数据垄断在平台和机构手里，不但无法在国家数字经济建设中发挥有效的应用，甚至还被违规滥用，从电话推销到数据贩卖，从语音监听到广告推送，从数据杀熟到电话诈骗，这些数据隐私上的痛点带来严重的社会问题。垄断还导致数据主体难以将个人数据迁移到它处，形成事实上的“用户锁定”，阻碍了竞争；大量初创公司由于无法得到合理的个人数据来源导致发展受阻，遏制了社会创新。一份2015 年的基于两万八千名欧洲民众参与调研的调查报告显示，超过30%的民众感觉自己对其个人数据没有任何控制力，同时，超过三分之二的民众，尤其是年轻人想要实现自由地将其存储在某一数据控制者的个人数据转移至其他控制者处［4］。

针对上述问题，发达国家都加强了个人信息权利的保护力度。但由于个人信息在权利属性上具有财产权、人格权等多重属性［5］，同时还存在着技术上难以认定的问题，至今也未能建立起有效的个人信息保护体系。为此，各国都在法律和技术层面进行了监管创新，并综合个人信息的财产权和人格权，提出一项新型数据权利——数据可携带权。本文将综合分析各国在数据可携带权上的实践，并将区块链技术的特点与个人数据权安全、可信的要求相结合，分析我国个人数据可携带权的实现路径。

1 个人数据可携带权的内涵

根据欧盟于2016 年4 月通过的《通用数据保护条例》（GDPR）第20 条规定，数据可携带权指的是在技术上可行的情况下，数据主体有权以结构化、通用化和可机读的形式，获取其向数据控制者提供的与数据主体自身有关的数据，并且可以无障碍地将这些数据转移到其他数据控制者。这项权利主要包括两个方面：数据获取权和数据传输权［6］。

实现个人数据可携带权本质就是实现个人数据的人格权、财产权属性。比如某款手机软件长期收集用户的使用频率、位置信息、个人偏好、消费习惯等行为数据，而这些数据对于很多机构，如保险公司，都是非常有价值的信息。保险公司承诺用户如提供超过一年的个人数据，就可以获得最适合的保险和享受优惠的保险费率，于是用户向软件公司提出将个人数据转给保险公司的要求，但软件公司认为该数据是通过自有技术产生的成果，不愿意提供。此时，个人信息可携带权就可以帮助该用户要求软件公司提供数据。因为法律规定，无论掌握个人数据的控制者是否愿意，这些数据的人格权和财产权都是属于用户个人的，个人可根据自己的意愿转让数据。

再比如，某人患有特发性心肌病，长期使用A 品牌的心率仪，B 品牌的手环，到C 医院做基因测序，到D 医院拍全身CT，这些数据分散在不同的机构里，机构间是不愿意分享数据的。这时，该名患者就可以依据个人数据可携带权要求所有机构都把历史数据传给自己现在的医生作为参考。不仅如此，作为一种罕见病，该患者的医疗数据是非常有价值的，如果他把自己的数据授权给医疗机构进行研究，甚至有可能申请到巨额补贴。曾经英国药企葛兰素史克就花费上亿美元跟基因测序公司23andme 达成合作，获取跟帕金森综合症相关的数百例LRRK2 基因变异型病人数据［7］，这也印证了个人数据的价值。

在大数据时代，包括人脸数据、医疗数据、传感器数据、APP 数据、金融数据、聊天数据、经营数据、表观基因数据、微生物数据、代谢数据、蛋白质数据等在内的个人数据对于医疗研究机构是极具价值的，都将是每个人数据财产的一部分。使用数据进行广告推送是目前互联网广告公司的核心技术，推送广告行业也是现在公认的暴利行业，如果有一天用户将多年积累的APP 数据转到新的APP，那么新的APP应该给用户一个优厚的对价。在金融数据方面，每个人的消费记录也是很有价值的，用户可以凭借长期积累的消费记录，获得更大信用卡授信额度。

所以个人数据可携带权不但保障了数据主体对自身数据的控制，而且可以促进个人数据的利用和价值实现。同时，数据可携带权中的传输权也可以打破垄断企业通过数据实现的对用户的“锁定效应”（lock-in），促进社会的创新和进步。

2 国外个人数据可携带权实现方案

2.1 欧盟方案

在欧洲历史上，出现过极权政府通过掌控公民信息进而掌控公众的情况［8］，因此欧盟国家非常注重个人隐私的保护，“尊重隐私”这一项基本人权在二战结束以后被提出，政府应当予以保护；从上世纪七十年代开始，又提出了个人信息保护原则。2016 年4 月，欧盟通过的《通用数据保护条例》（General Data Protection Regulation，GDPR），在丰富保护原则内涵、强化信息保护手段、赋予个人新的权利等方面定义了个人数据权利，明确提出了在个人信息人格权保护下的数据可携带，即个人数据的可携带权［9］。

GDPR认为人们在使用互联网时，会创建大量与自身有关的数据信息。经过大数据分析，个人数据可以被用来创建用户画像，因此这些信息可以被视为数字世界中个人身份的延伸。如果数据控制者禁止数据主体将其个人数据从一个服务提供商转移到另一个服务提供商，这将被视为对个人人格权的侵犯。数据可携带权的引入可以强化个人对自身信息的控制，消除数据的“锁定效应”，促进企业间的良性竞争。然而，欧盟关于数据可携带权的规定在理论框架和实施效果上都存在一些问题。

第一，在权利属性建构上，由于2007 年颁布的《欧盟基本权利宪章》并没有将数据可携带权作为人的一项基本权力或者基本权利的一部分［10］。平台或服务通过数据限制用户的选择是否侵害人权，还存在一定的疑问。

第二，数据主体在数据控制者从其他渠道获取个人数据时，很难直接主张数据可携带权。例如，政府交通部门采集的车联网数据、公交运行数据等能否被认定为个人数据还存在争议；在个人数据界定上，对于由多人共同产生的社交数据，如合照、聊天等记录，其实很难被界定为只属于某一个体；又如电商平台上的买家评价并不是卖家主动上传的数据，因此卖家也很难主张数据可携带权。一旦商家想在新平台开设网店，但由于不能转移评价数据导致网店商誉损失，商家就有可能放弃新开网店，客观上造成平台对商家的“数据锁定”。

第三，在数据流动方向上，数据可携带权允许数据主体自由选择数据的存储位置，这样大企业可以通过让利吸引获取小企业的客户数据，从而加剧数据垄断。

第四，在技术可行性上，当传输的数据满足“结构化、通用和可机读”的要求时，才能实施数据可携带权。但GDPR 并未对传输的数据形成统一标准，数据控制者为满足互操作性要求，不得不增加技术投入，这无疑会加重中小企业的负担，反而会强化大企业在技术层面上的垄断，这也违背了GDPR的初衷。

第五，在数据安全维度上，GDPR规定了数据可携带权，数据主体可一次性获取其所提供的所有数据信息，但由于大多数据主体自身缺乏必要的信息安全防护措施，有可能会产生一系列数据安全问题。尽管GDPR 要求数据控制者采取合理的安全措施来确保数据主体的真实性，但并未明确规定这些安全措施的具体最低标准，也没有提供相应的解决机制。数据可携带权的引入可能带来一些安全风险。

总体来看，欧盟的GDPR 更注重数据人格权的保护，在制度上对数据可携带权进行了规定，但在实际操作上存在上述难以解决的问题，因此至今没能推出可操作的实施方案。

2.2 美国方案

在美国，个人数据权保护的法律规定相对欧盟而言更为宽松，其注重最大化利用数据来促进商业发展和科技进步。由于产业利益的考虑，美国没有推出类似欧盟的统一数据保护法，而是采取以市场为主导的方式，鼓励行业自律，并通过政府监管来辅助。相较于外部干预，政府在市场行为中的介入较少。然而，对于关键数据信息如健康、金融等方面，政府会进行一定程度的控制和保护［11］。

早在1996 年颁布的《健康保险可携带性和责任法案》（HIPAA）赋予了民众访问其个人健康信息的权利，并规定了健康保险机构对这些信息的处理规范。然而，HIPAA 并没有直接解决数据主体将数据从一个控制者移植到其他控制者的需求。为了进一步保护个人数据权益，2010 年，时任总统奥巴马推出了名为“My Data”（本人数据管理）的倡议。该倡议旨在确保美国公民能够方便、安全地访问自己的个人数据，并将其用于信用管理和资产管理等流程中［12］。然而，这一倡议并没有引入统一的法律框架，而是更多地依赖于行业自律和市场机制。

加利福尼亚州2018 年公布并于2020 年施行的《消费者隐私法案》（CCPA）正式将数据可携带权引入法案。但该法案仅限制在加州直接或间接收集消费者个人信息的实体，并没有宽泛地规定数据可携带权的义务主体［13］。

2018 年7 月，谷歌、脸书、微软和推特四家公司联合宣布了一项新标准计划——数据传输计划（data transfer project，DTP），旨在打通全球数据壁垒。通过建立开源的数据可携平台，打通平台之间的数据传输，保障数据可携带权的顺利实施。

DTP通过API技术定义了标准的用于传输文件的数据模型，模型由两部分组成：文件类型和导入数据所需的附加元数据。例如对于照片，文件类型需为图片的标准格式，如JPEG；附加元数据包括标题、描述、专辑等信息。不同的行业建立统一的通用数据模型，DTP 的目标之一是鼓励组织在其系统中使用通用数据模型，这将显著减少公司维护和更新专有API的需求。

DTP的工作流程如图1所示。用户在执行可携带权时，只需进行授权操作即可，个人数据便由数据控制者直接通过加密API 传输技术传输给接收者，所选数据甚至无需使用用户的带宽或硬件便会自动复制并路由到目的地。例如，Google 照片用户想要将他们的照片从Google 移动到Microsoft OneDrive。用户进入谷歌的文件传输界面，选择目的地，然后点击“发送”，即可完成数据的迁移［14］。

图1 使用DTP迁移数据

DTP 提出了一套简便、可行的数据可携带权解决方案，但整个操作规程是由几大互联网巨头设定的，数据可携带的前提是：必须满足提供和接收者都能处理，而数据模型和互联网基础服务都是基于几大互联网巨头建立的平台，表面上是数据开放了，但实际上是巨头之间的互相开放，规则是巨头限定好的，那么小公司就只能接受，不能修改。这有违设立可携带权的初衷，因此自然也无法解决欧盟GDPR 所面临的垄断问题。

在安全存储方面，DTP 模式数据存储在互联网巨头的企业服务器上，安全性得到了保障，但这也导致用户在执行可携带权时，无法自行选择个人数据存储位置。

在可信传输方面，DTP 模式数据可信机制由企业信用保障，虽然传输操作简便，但流程透明度低，一旦数据在传输过程中出现问题，也难以追责。

在协同生产方面，DTP 模式采用统一的API标准数据模型，有利于企业相互协作，但也造成了该模式仅适用于联盟内有限机构和场景，难以覆盖更多中小参与者，而且无法实现跨行业、跨场景应用。因此DTP 模式当前面临的最大问题是如何拓展更多的应用领域，吸纳更多的公司参与［15］。

2.3 韩国方案

韩国是全球率先对MyData 进行立法和推动商业落地的国家，其MyData 模式与DTP 模式不同，MyData 服务平台须由通过政府牌照准入的方式审核、批准的运营商建立，是由政府主导的。

韩国金融委员会于2020年12月22日举行了例行会议，有29 家公司通过了MyData 许可初审。其中包括国民银行、农大银行、新韩银行、友利银行等四家银行，以及国民银行信用卡中心、友利卡、新韩卡、现代卡、BC 卡、现代资本等六家信用卡公司。韩国MyData 许可要求包括：具备良好的投资能力和财务状况，最低资本要求为5亿韩元或以上；要能够建立执行网络分离和防范黑客入侵的物理安全设施；要规划建立消费者保护系统；具备服务创新竞争力；对申请人高管在数据处理方面的能力进行资格审核等［16］。

以金融行业为例，MyData 的运行模式为：用户通过MyData 平台（运营商）APP 请求访问个人信息数据，MyData平台通知金融机构（数据提供者）通过标准API 方式将个人数据传输给My-Data 平台，最后由MyData 平台传输给数据接收者，如图2所示。这相当于在用户需要执行数据可携带权时，由于MyData 平台整合了获得许可公司的个人信息数据，只需授权数据接收者从MyData平台获取即可。

图2 韩国MyData运行模式

在MyData 平台上，目前用户可以对分散在韩国各信用卡公司的消费者信用卡积分进行一站式查询，还可将积分转换成现金转到指定账户。在平台上线的一周，韩国消费者将规模为778亿韩元的信用卡积分转换成了现金［17］。

韩国MyData 模式通过统一的结构化数据和认证持牌机构参与的方式解决了数据可信的问题。相较于美国DTP 模式，韩国MyData 模式增加了一个持牌数据运营商的角色，对个人数据进行统一存储和管理，当用户通知甲机构把数据传给乙机构，甲就先把数据传到运营商那里，再由运营商验证用户的授权，然后再传给乙。这个模式最大的优点是引入政府的权威，全程监管保证可信传输，但是带来的新问题就是利益冲突。截至2021 年9 月，韩国共发放MyData运营商牌照45 张，多数发给了大型金融科技公司、银行和保险公司，持牌运营商本身从事金融业务，又负责存放竞争对手的数据，既当裁判又当运动员，这就侵犯了竞争对手的利益，形成了新的垄断，这也导致更多的公司没有动力参与MyData项目。

此外，韩国MyData 是一种中心化的运作模式，还存在诸多问题。例如，用户不可自主选择存储位置，额外增加的运营商数据节点会增大个人信息泄露风险，以及跨行业、跨场景协作困难等。以至于MyData 平台原定于2021 年8月全面推行，但一直延迟到韩国当地时间2022年1月5日下午四时，MyData金融数据服务才正式投入使用［18］。

2.4 其他国家方案

2020 年12 月，新加坡政府推出了新加坡财务数据交换平台，简称SGFinDEX，该平台致力于允许新加坡用户使用电子政府密码（SingPass）来授权认证银行查看该用户在各家银行不同户头上的如存款、贷款等个人金融数据，该平台目前能够获取并汇总来自新加坡七家银行和一些政府部门的用户个人财务资料和数据，方便了用户对个人财务信息的读取和集中查询，但功能仅限于查看数据和少量的数据携带［19］。

受欧盟GDPR 的启发，2019 年印度内阁通过了《个人数据保护法草案》（Personal Data Protection Bill，PDP Bill），其在保护个人数据的原则和意图上基本与欧盟GDPR 一致，只是在范围、定义、权利、问责制和其他合法目的方面进行了细微的更改。2021 年9 月，印度政府上线了由八家头部银行参与的账户聚合平台（NBFC-AA）Sahamati，该平台将允许用户授权将用户的银行存款、共同基金、股票、养老基金等各类金融数据传输给持有AA 许可的金融科技公司，其目的为获取信贷、资产管理、财务规划等服务。与SGFinDEX 相似，账户聚合平台提供的服务类似于开放银行，并不能在更大范围内实现个人数据携带。

3 个人数据可携带权的中国实践

3.1 中国个人数据保护法律框架

中国个人数据隐私保护的根本来源是《中华人民共和国宪法》中关于保障人权和隐私的有关规定。我国“十四五”规划提出：保障国家数据安全，加强个人信息保护。将个人信息数据保护纳入国家规划。

2021 年实施的《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》是我国在数据保护领域的两项重要法律。这两项法律的实施旨在加强个人信息的保护，确保数据的安全性和合法性。

《个人信息保护法》第10条规定：任何组织和个人都不得非法收集、使用、加工、传输他人的个人信息，也不得非法买卖、提供或公开他人的个人信息［20］。这一规定对于私自出售客户资料的公司或员工进行了法律约束，以保护个人信息的隐私和安全。第24 条规定，个人信息使用者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇［20］。此条规定则是针对“大数据杀熟”行为进行约束。

尽管在具体的立法层面没有明确规定数据可携带权，但在规章和规范层面，我国已经初步建构了个人信息保护的基本框架。比如《网络安全法》和《数据安全法》保障国家主权，《民法典》保障公民信息财产权，《中华人民共和国个人信息保护法》保障的是个人信息人格权，财产权和人格权共同构成了个人数据可携带权。《中华人民共和国数据安全法》规定，信息主体拥有一系列权利，包括知情权、决定权、查阅复制权、更正补充权和删除权等，这些权利确保了信息主体对其个人信息的控制和保护。在个人信息查阅权和复制权中包含着个人数据可携带权。

对比各国在个人数据可携带权的立法理念方面，欧盟更注重个人信息人格权；美国更注重个人信息人格权，保护社会商业发展和科技进步；韩国更强调政府权威在维护个人数据权方面的主导地位；我国则更注重打破数据垄断、维护国家信息安全、保护个人数据财产权、实现社会公平正义。这一理念是与我国的社会主义政治制度相一致的。

3.2 实现个人数据可携带权所面临的问题及解决思路

我国的法律框架为个人数据可携带权的实现奠定了制度基础，尤其是《中华人民共和国个人信息保护法》的出台，对个人数据的诸多应用场景都做了具体的规定。但个人数据可携带权的实现过程，实质上是社会利益的博弈、再分配的过程，如何保护处于弱势的公民个体利益，维护社会的公平正义，除了要有国家制度上的保障，还需要技术上的支持。分析各国的实践，在实现技术上还存在以下主要问题：

第一、是数据的可信存储和传输，美国模式是大企业背书、韩国则通过政府许可进行可信背书，但这些措施都不可避免地加剧大企业数据垄断的问题。

第二、在个人数据界定方面，虽然《网络安全法》规定：能够单独或者与其他信息结合识别自然人个人身份的各种信息被认定为个人信息，但如果是多人共同产生的数据，如合影、社交数据、客户评价等，是否能被定义为个人数据，各国都没有明确的规定，这样数据控制者就可以以此为由拒绝转出数据，从而对个人行使数据可携带权造成阻碍。

第三、在数据格式标准方面，国外主要是由大企业主导确定数据API 标准，这就对其他企业形成事实上的不公平，变相形成垄断。

从技术上分析上述问题产生的原因，首先，如何保证存储和传输的数据不被篡改。现有的网络数据存储主要由数据控制者集中式存储，缺乏第三方监督，因此很难判断数据是否被篡改。多节点分布式存储模式可以一定程度地消除集中式存储带来的隐患，但这又会增加数据泄露的风险。其次，个人数据如何界定，如何增加个人对数据的控制权？目前大多数个人数据产生于数据控制者开发的平台，数据控制者自然会采用各种技术手段阻止数据的迁移，因此，解决此问题的思路包括建立中立的数据平台，或者是通过第三方数据审计或数据代理对数据进行监管，分散平台对数据的控制权。

如何建立统一的数据格式标准，通常的做法是由国际标准组织制定通用的国际标准，或者是通过自由市场竞争形成公认的国际标准。

近年来，区块链技术的不断成熟和广泛应用，为上述问题的解决带来了技术上的可能性。区块链技术是按照时间排序将数据区块以链状方式组合形成的特定数据结构，并以密码学方式保证其不可篡改和不可伪造的去中心化、可信任的分布式共享记账系统［21］。

区块链的共享、共识、共赢理念与实现个人数据可携带权的理念不谋而合。区块链技术所具备的特点在去中心化、多方参与、共同维护以增强信任的场景应用方面与传统互联网技术相比拥有不可比拟的优越性。区块链分布式存储模式能够解决数据中心化存储形成的数据垄断问题；共识机制和加密技术保证了数据的可信，同时也避免了数据泄露带来的风险；其开源技术架构可以打破大企业技术垄断，促进公平竞争。克劳斯·施瓦布（达沃斯论坛的创始人）曾说：“自蒸汽机、电和计算机发明以来，人们又迎来了第四次工业革命——数字革命，而区块链技术就是第四次工业革命的成果”。时代进步带来的新问题需要通过技术创新来解决，而区块链技术就是实现个人数据可携带权比较理想的技术选择。

3.3 中国个人数据可携带权的技术实践

工信部于2019年11月11日印发《携号转网服务管理规定》，并于2019 年12 月1 日起施行。携号转网是指用户在无须变更手机号码的前提下，可以将一家电信运营商转成另一家，并和其他用户一样享受其提供的各种服务。这意味着手机号成为用户的一种数据权益，而不再属于基础电信运营商，这是我国在优化市场结构、促进市场竞争、打破电信运营商的优势地位，建立一般性的可携带权方面做出的有益探索。

在新冠肺炎疫情期间，从粤澳口岸进入广东省人员须进行集中隔离14 天医学观察，为使两地居民恢复正常往来和加速复工复产，粤澳健康码跨地互认项目于2020 年5 月正式启动。该项目的服务端可将保存在本地健康码发行机构数据库中的用户健康数据哈希值以及用户的数字签名记录在区块链上。所谓哈希值，可以理解成任何文件的数据指纹，一旦数据文件发生了微小的变化，指纹就会跟着变，也就是说这个世界上没有两个文件的哈希值是完全相同的，这样就保证了数据可信。用户可在客户端授权所在地政府部门获取用户健康数据，当地部门对数据进行哈希值验证、确认数据可信后进行转码，在合规且可信的前提下实现了个人健康信息的跨地携带。这是区块链技术在我国个人数据携带方面的积极探索。

深圳市金融区块链发展促进会（金链盟）在2021 年10 月21 日举办的研讨会上发布了《DDTP——分布式数据传输协议白皮书》（简称DDTP），旨在提出实现个人信息可携带权的区块链中国路径方案。

该方案的运作模式为：首先由用户从数据控制者处下载个人数据，自主选择存放地，为确保个人真实意愿、防止真实数据被篡改，可引入权威中立的第三方机构全程监督。权威机构将个人数据的哈希值存储在区块链上，这样，数据的控制权就从平台机构转移到用户个人手中，从根本上解决了数据垄断的问题。

当用户需要转移数据时，可以对数据的使用目的和使用范围进行授权。这意味着用户可以明确指定数据的用途，并限定接收者在何种情况下可以使用数据。这样可以确保用户对自己的数据拥有更多的控制权和透明度。在数据传输过程中，通过使用区块链哈希值，数据的完整性可以得到验证。区块链上同时记录用户的授权记录和接收者的数据使用情况［15］，如图3所示。

图3 DDTP

DDTP 在技术上体现了个人数据可携带权以用户为主体的民本理念；存储和验证相分离，保证了数据的安全存储；基于区块链不可篡改、可追溯的特点，解决了可信传输的问题；区块链的开源模式，也满足了跨行业、跨场景、跨机构协同生产的需求，维护了社会的公平竞争。

3.4 存在的问题及应对思路

虽然采用区块链技术有着诸多的优势，但依然存在着不少问题。

首先是区块链不可篡改、不可删除和不可撤销的特点，与《民法典》第1037 条规定的行使个人信息更正权、删除权（被遗忘权）存在着技术上的矛盾。按照区块链共识机制要求，需要51%以上的算力达成共识，才能修改区块链上的信息，这使得修改或删除链上信息几乎不具备可行性。目前还有提出将需要删除的数据加密之后，通过销毁密钥的方式来实现数据删除权，但这并非是真正意义上的删除数据，存在无法通过GDPR审核的问题。

此外，区块链技术的非对称加密机制决定了私钥是证明个人身份的关键，一旦丢失便不能找回。且鉴于区块链技术去中心化、匿名的特点，当发生个人信息泄露时，并不能确认数据使用者的真实身份，导致数据主体失去对个人数据的同意权和控制权。因此，如何完善私钥管理机制是亟待解决的问题。目前提出的将私钥实体化、使用生物特征私钥等都是很好的解决思路。

随着基于联盟链理念的跨链技术的发展，可以逐步解决不同区块链架构之间交易困难产生的“数据孤岛”问题。未来将实现不同架构区块链平台的链接，形成更广泛的分布式数据协作新生态。

4 结语

随着互联网、大数据的发展，尤其是2021年元宇宙概念的爆发，未来人们的生活将从现实世界拓展到数字虚拟世界，每个人都将会更多地为数字世界提供大量可以捕获、记录和出售的新数据，数据将是每个人个性、灵魂和真实身份的延伸，至少在目前，将所有数据进行统一化管理几乎不可能，这对于各个国家/地区的法律在面对更复杂数字世界的适用性方面都是极具挑战性的。

将区块链技术与维护公民个人权利相结合，将深刻影响未来的人民生活的各个环节，在不远的将来有望在构建公平社会、实现个人价值等方面发挥重要作用。