区块链技术的应用涉及大量敏感信息，密码本身就是广义的敏感信息的一种，例如比特币等数字货币的发行和交易就会涉及身份标识、银行账户信息、鉴别信息、电子签名、密码等。数字货币发行和交易本质上就是机器对数据的处理过程。为确保真实性，需要广播至各节点对同一笔交易进行记录并核验，在此过程中涉及个人财务信息的公开、个人匿名身份的标识等，均需考虑到个人信息保护法律的要求而进行特殊保护，例如防止公开特定交易细节或者防止识别用户等。

同时，根据个人信息保护法律，为履行法定义务或者根据法律规定，不经同意也可以或者依法必须处理个人信息。例如反洗钱法要求对用户真实身份进行验证，在中国利用区块链提供信息服务需要满足网络实名制要求。

（五）个人信息处理的技术与组织措施

《个人信息保护法（草案）》和《网络安全法》规定了个人信息处理者和网络运营者应当采取的个人信息安全和保护制度，例如分级分类、去标识化、访问控制、应急预案等，GDPR的总体要求为通过制度设计保障在默认的情形下个人权利得到保护。

根据个人信息保护法律的规定，对于高风险个人信息处理行为需要采取与风险程度相适应的特殊保护措施，高风险个人信息处理行为包括通过对用户打标签、画像、进行自动化决策等，明确要求利用个人信息进行自动化决策前进行风险评估并记录。尽管从技术实现角度区块链需要尽量保持处理的一致性、全自动化和减少人为干预，但是从符合法律规定角度需要考虑合规性，例如中国个人信息保护法律明确要求，个人有权拒绝个人信息处理者仅通过自动化决策的方式做出决定，通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项。

个人信息的存留期限是个人信息保护法律重点规定的问题，其基本要求为仅在实现目的所需的必要期限内存留信息，根据中国个人信息保护法律的规定，对存留期限的规定为6个月（例如网络日志）至3年（电商商品服务信息、直播信息等）不等。从理论上讲，虽然区块链技术倾向于或者使得信息可以永久留存，但需要考虑法律关于信息存储的规定；此外由于区块链中信息分散存储于各节点，如何通知删除、实现彻底删除也是在编写智能合约设定交易条件时需要考虑的因素。《个人信息保护法（草案）》实际上为技术发展提供了冗余空间，例如规定技术上难以实现删除的，可以采取停止处理个人信息的方式替代删除。

（六）个人信息保护法律的适用范围和跨境传输

虽然网络空间使得物理地域范围变得越来越无意义，但是在现行法律框架规则还是需要得到遵守。《个人信息保护法（草案）》拓展了法律的域外适用范围，除了在中国境内的个人信息处理行为需要遵守法律规定外，境外向境内提供产品或者服务、分析评估境内自然人行为，也需要遵守中国法律规定。GDPR规定类似，即只要在欧洲经济区内设立机构，或者向欧洲经济区内个人提供产品或者服务或者监控其行为，均适用GDPR的规定。 (责任编辑：admin)