加密货币作为个人数据
比特币钱包地址是一个由26到35个字母数字字符组成的字符串,采用Base58Check编码,以"1"、"3"或"bc1"开头。以太坊地址是"0x"后跟40个十六进制字符。这些地址是伪匿名的——它们并不直接识别个人——但根据GDPR,可以通过额外处理与个人关联的伪匿名数据被视为个人数据。
持有KYC数据的加密货币交易所(将钱包地址与经过验证的客户身份关联)在GDPR的范围内持有个人数据:钱包地址与KYC记录结合,识别出自然人。仅钱包地址在交易所的数据环境中也是个人数据,因为交易所可以将其与个人关联。
欧盟MiCA(加密资产市场)法规将于2024年12月生效,增加了金融监管层面:加密资产服务提供商(CASPs)必须实施适当的客户数据保护控制。MiCA与GDPR的交集意味着,欧洲加密交易所面临着对同一钱包地址数据的金融监管(MiCA对CASPs的数据保护要求)和一般数据保护法(GDPR)。
检测差距
标准PII检测工具是为传统金融标识符设计的:IBAN、账户号码、路由号码、SWIFT/BIC。这些工具对加密货币地址格式没有意识。包含比特币钱包地址、以太坊地址和SWIFT代码的文档将检测到SWIFT代码,而任何不包括加密地址实体类型的工具将错过这两个加密货币地址。
对于处理KYC文档的欧洲加密交易所:客户银行账户的IBAN由标准工具检测。客户用于初始资金的比特币钱包地址未被检测到。来自其银行的电汇SWIFT代码被检测到。用于代币购买的以太坊地址未被检测到。
缺失的检测并不是一个小差距——在加密环境中,钱包地址是核心金融标识符,与传统银行环境中的账户号码一样敏感。
GDPR第32条第1款(a)要求伪匿名化和加密作为基本技术措施。56%的GDPR罚款指出加密不足是一个促成因素。一个加密所有检测到的PII但未能检测加密货币钱包地址的组织,其核心业务操作相关的内容没有被加密。
来源: