MiCA, GDPR, dan Alamat Dompet Kripto
Alamat Bitcoin terdiri dari 26–35 karakter dalam enkoding Base58Check. Alamat dimulai dengan "1", "3", atau "bc1". Alamat Ethereum dimulai dengan "0x" dan berisi 40 karakter heksadesimal. Keduanya bersifat pseudonim. Tidak ada yang menyebutkan nama seseorang secara langsung.
Hukum tetap berlaku.
Kapan Alamat Dompet Menjadi Data Pribadi
Catatan pseudonim adalah catatan pribadi jika dikaitkan dengan orang nyata. Sebuah bursa kripto menyimpan file KYC. File-file tersebut menghubungkan alamat-alamat ini dengan identitas yang telah diverifikasi. Alamat sendiri tidak menyebutkan siapa pun di luar bursa. Di dalam sistem bursa, alamat itu menyebutkan seorang pelanggan. Itulah yang menjadikannya data pribadi.
Regulasi mencakupnya sepenuhnya.
MiCA Menambahkan Lapisan Kedua
EU MiCA (Markets in Crypto-Assets) berlaku efektif pada Desember 2024. Regulasi ini mewajibkan penyedia layanan aset kripto — CASP — untuk melindungi catatan pelanggan. Sebuah bursa Eropa kini menghadapi dua aturan sekaligus. MiCA menetapkan kontrol keuangan. Regulasi menetapkan aturan perlindungan data. Keduanya berlaku untuk pengidentifikasi yang sama.
Celah Deteksi dalam Alat Standar
Alat PII standar dibangun untuk keuangan tradisional. Mereka mengetahui IBAN. Mereka mengetahui SWIFT/BIC. Mereka mengetahui nomor routing. Mereka tidak mengetahui format alamat kripto.
Kirimkan dokumen yang berisi alamat Bitcoin, alamat Ethereum, dan kode SWIFT melalui alat standar. Alat tersebut menemukan kode SWIFT. Kedua alamat on-chain terlewatkan.
Bagi CASP yang memproses file KYC, celah ini serius. Pengidentifikasi ini sama sensitifnya dengan nomor rekening bank. Melewatkannya berarti tidak ada enkripsi, tidak ada penyamaran, dan tidak ada jejak audit.
Pasal 32 dan Celah Enkripsi
GDPR Pasal 32(1)(a) mewajibkan pseudonymization dan enkripsi sebagai kontrol dasar. 56% denda GDPR menyebut enkripsi yang buruk sebagai faktor penyebab. Sebuah bursa yang mengenkripsi semua PII yang terdeteksi tetapi melewatkan alamat dompet tidak melindungi inti dari pekerjaannya.
Deteksi harus mencakup seluruh set pengidentifikasi. Bagi CASP, set tersebut mencakup format alamat berikut.
Seperti Apa Pipeline yang Patuh Itu
Bursa yang patuh menambahkan jenis entitas ini ke langkah deteksinya. Format Bitcoin dan Ethereum disertakan. Alamat-alamat tersebut ditandai, dienkripsi, dan dicatat dalam ROPA bersandingan dengan IBAN dan nomor rekening. DPIA menyebutkan setiap jenis pengidentifikasi yang dicakup. Jejak audit MiCA selaras dengan catatan pemrosesan.
Tidak diperlukan kebijakan baru. Celahnya bersifat teknis. Menambahkan jenis entitas yang tepat ke langkah deteksi menutupnya.
Untuk langkah teknis berdasarkan Pasal 32, lihat GDPR Pasal 32 dan alat AI yang memantau paparan PII. Untuk cara kerja pseudonymization dalam praktik, lihat panduan pseudonymization EDPB 2025.