融合与冲突：区块链技术在个人信息保护体系中的应用

2022-04-21赵婧薇

中国证券期货 2022年1期

赵婧薇

摘要：我国个人信息保护体系以事前保护为基础，事后保护为救济。事前保护以“告知—同意”规则为核心，但规则本身存在缺陷;事后保护以侵权责任兜底，但侵权责任认定存在困难。鉴于区块链技术中新型信任机制可对事前同意进行补足，不可篡改性与事后保护具有高度契合性，为大数据时代个人信息保护体系变革提供了全新视野与方法。区块链技术嵌入个人信息保护体系中需要通过构建主权区块链与重新解释个人信息的“可识别性”的方式进行技术及理论的创新。但技术落地可能遭遇多重挑战，需要平衡区块链的不可篡改性与个人信息更正、删除权的冲突、私钥遗失与个人信息控制权的冲突及加密技术与信息共享的冲突，进而优化夯实个人信息权保护体系的有效运行。

关键词：个人信息保护;区块链技术;《民法典》

从现有研究来看，我国法学界已经存在对区块链技术应用于法律治理规则体系构建的构想，但重点关注传统法律监管和以区块链为代表的去中心化监管模式的关系。随着区块链技术在数字货币、金融交易、数据存储等领域的应用逐渐深入，区块链的创新法律监管的研究方向正呈现出“多维度并行”的百花齐放样态。既有“区块链+知识产权”“区块链+刑事犯罪”等实体性规范的探讨，也有“区块链+管辖”“区块链+证据”等程序性规范的研究，但在围绕个人信息保护的关键性问题却鲜有人讨论。鉴于此，本文将以区块链在个人信息保护领域的新型应用为视角，尝试对我国现行个人信息保护体系漏洞进行技术补足，在此基础上提出区块链技术嵌入个人信息保护体系的主权区块链的技术创新与个人信息可识别性认定的理论创新，最后分析技术落地可能造成的后果并提出初步完善对策。

一、我國个人信息保护体系及存在问题

我国的个人信息保护体系分别从法律和制度两方面获得支持。法律方面，《中华人民共和国民法典》（以下简称《民法典》）实施后，我国建立了以《民法典》为基础，辅之以《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）、《儿童个人信息网络保护规定》等专门立法;《中华人民共和国网络安全法》（以下简称《网络安全法》）、《互联网个人信息安全保护指南》等行政立法作为补充的个人信息法律保护体系，实现了从0到1的跨越。制度方面，“告知—同意”规则成了个人信息保护的基础，告知属于兼顾公法与私法性质的行为，同意则属于信息主体对其权益的处分，“告知—同意”规则在个人信息保护体系中具有不可忽视的作用。但是，随着数据产业不断升级，个人信息的价值日益凸显，个人信息的应用场景飞速扩展，与之相伴的各类新型个人信息侵权现象已无法单靠现有法律体系进行规制，问题已经出现，变革迫在眉睫。

（一）事前保护：“告知—同意”规则及缺陷

“告知—同意”规则，又可称为“知情同意”“告知—选择”或“同意”规则，是在个人信息利用中为确定信息主体与信息利用者之间的权利及义务的合同规则。在个人信息保护的历史沿革之中，“告知—同意”规则已逐渐成了个人信息保护中事前预防的重要手段之一，但“告知—同意”规则在缺乏技术支持的背景下，存在制度设计缺陷。

1.信息主体意思表示存在瑕疵

意思表示是民事法律关系的核心。合同双方作出意思表示的前提是对合同内容的知悉以及意思表示自由。在“告知—同意”规则的背景下，上述两个要求均无法全面实现。

第一，信息主体缺乏对合同内容的知悉。要求信息主体完全阅读并理解个人信息政策中全部条文既不合理也不可能。据统计，如果认真仔细阅读所有隐私政策条文，用户仅阅读一年中所使用的网络服务的隐私政策就需要花费 224小时，考虑到信息主体的教育水平不等、理解能力不一等现实困境，要求信息主体真正知悉合同内容确有困难。第二，信息主体缺乏意思表示自由。一方面，信息主体本身存在对信息控制者服务的依赖，导致信息主体意思表示不自由。例如，在注册会员制

网络经营者通过要求用户注册账号并绑定手机号码等作为进行交易的前提，本文将其简称为“注册会员制”。情形下，用户完成了单次买卖行为，而信息主体仍保有其“同意使用其个人信息”的合同条款。信息处理者均可通过注册会员制与个人信息主体产生捆绑关系而获得处理其个人信息的权限，且这种关系更为隐性，信息主体不易察觉自己的个人信息依然处于经营者手中，直到其注销会员资格。另一方面，由于格式合同的设计，信息主体只能点击“同意”或“不同意”，不存在折中选择。信息主体丧失了选择的权利便意味着意思表示不自由。

意思表示本身分为两部分，即作为行动的意思表示以及作为客观逻辑的意义构造的意思表示，需要同时将这两个方面联系起来，以行动展现对一种指向引发某种法律效果之意愿的宣告。一方面，信息主体欠缺对合同内容的理解，其“同意”的行动并不能展现对特定法律效果（如收集、处理其个人信息）的宣告。另一方面，“同意”并不一定是自由表意，尽管不同于欺诈、胁迫等意思表示瑕疵，但是很难说“同意”是信息主体真实的意思表示。因此，“告知—同意”规则并不能保障信息主体做出无瑕的真实意思表示。

2.收益覆盖赔偿和惩罚，信息控制者无意主动保护

信息控制者作为商业主体，有天然的逐利本性。以数据企业为例，其考虑的是在合理控制成本的前提下，如何实现自身商业利益的最大化。个人信息被称为21世纪的“新型石油”，信息控制者将其整合利用可以创造巨大的商业价值。

当下，信息控制者通过以知情同意规则为核心的方式，用低廉的成本便捷地收集个人信息。信息主体一旦想使用信息控制者所提供的应用软件或服务则必须同意其个人信息处理规则，面对信息控制者提供的格式合同，信息主体只能点击“同意”或“不同意”，不存在折中选择。在此种现实情况下，知情同意规则形同虚设，并丧失了维护信息主体控制权的设计初衷，反而变成了信息控制者的免责工具。信息主体的权利受到双重打击，不但没有了选择权，而且在授权信息控制者收集后便丧失控制权。

（二）事后保护：侵权保护及责任认定困难

从宏观角度看个人信息保护法律体系已日趋完善，但从微观角度看，现行立法如《民法典》《个人信息保护法》《网络安全法》等法律中对个人信息保护的相关规定较为笼统，较多关注信息处理规则，较少关注个人信息责任认定等问题。由于缺乏相关法律规范，一些当事人只能通过其他案由起诉，

例如，淘宝（中国）软件有限公司诉安徽美景信息科技有限公司不正当竞争案，杭州铁路运输法院（2017）浙8601 民初第4034号民事判决书。法官在处理个人信息侵权案件时也较难找到契合的裁判规则，从而存在法律适用困难等问题。

具体体现为以下几个方面。

第一，侵权归责原则设置不合理。在我国《民法典》侵权编中，过错责任原则是最基本的损害赔偿责任的归责原则，无过错责任原则、过错推定原则等为特殊的归责原则。

三项归责原则分别规定于《民法典》第1165条：行为人因过错侵害他人民事权益造成损害的，应当承担侵权责任。依照法律规定推定行为人有过错，其不能证明自己没有过错的，应当承担侵权责任。

第1166条：行为人造成他人民事权益损害，不论行为人有无过错，法律规定应当承担侵权责任的，依照其规定。也就是说在没有对侵害个人信息的行为单独规定归责原则的情况下，应当全部适用于过错责任原则。有学者提出，由于我国《网络安全法》当中规定了侵害自然人的个人信息便应当承担民事责任，

《网络安全法》第44条规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

第74条第1款违反本法规定，给他人造成损害的，依法承担民事责任。便意味着该规定确立了个人信息侵权的无过错责任原则。但事实上该条规定并不能作为侵权归责原则的依据，因其不具有独立的请求权基础，该规定仅仅是依随我国立法惯例而来的一项具有衔接性的规定。因此，个人信息侵权认定一律应当适用过错责任原则。

然而，将个人信息侵权案件不加区分地适用过错责任原则既不符合现实情况，也不便于法官适用法律。一方面，不同类型的个人信息在“是否受到侵害”的问题上，认定程度是不同的。例如，敏感信息在被行为人暴露在网络上当然就属于受到侵害，而公开信息被肆意利用可能仍不属于受到侵害。另一方面，不同类型的个人信息在利用上的免责条件也不尽相同。私密信息被利用时，应当具有较高的免责条件;非私密信息被利用时，相对应的免责条件较宽松。例如，整形医院为宣传其整形效果将患者整形前后的照片作对比展示的行为，医院仅有在具有患者的亲笔签名同意的使用协议才可免责使用;而对于非私密信息，如求职网站根据工作经历等将个人简历推送至用人单位的行为，虽属于使用个人信息的行为，但应属于使用非私密信息而免责。

第二，侵权人难以确定，且证据难以固定。个人信息侵权案件往往发生在存在“多手转让”的信息流转中。在整个流转过程中，究竟是由谁泄露了个人信息是难以准确确定的。即便信息主体想要通过诉讼的方式寻求保护，也因难以确定侵权主体而不符合《中华人民共和国民事诉讼法》（以下简称《民事诉讼法》）中的有关“适格主体”的规定。依据《民事诉讼法》的规定，个人信息侵权不属于举证责任倒置的情况，因此信息主体应当对侵权行为与损害事实之间的因果关系提供证据。但是，即便能够确认侵权人，对侵权行为与损害事实的因果关系也仍然难以仅凭侵权人的能力提出有力证据。在证据固定上，信息主体只能通过录视频、截图等方式，证据的证明力不强且关联性无法说明。

第三，侵权损害事实标准难以达到。以《民法典》侵权编的规定为准，侵权责任的构成需要侵权行为、损害事实、因果关系和过错四个要件。我国《民法典》第1165条第1款规定了对损害事实的要求，即必须达到相应的程度。例如，信息主体的身份信息及电话号码被非法获取后，行为人仅做出产品推销等合法行为，并未用于诈骗等犯罪活动，信息主体权利损害程度较为轻微，法院无法就此认定损害已达相当程度。即使法院认定损害事实存在，依照《民法典》第1182条及《个人信息保护法》第65条规定的赔偿方法，应当参照被侵权人的损失或侵权人所获利益进行赔偿。损失是难以计算的，就获利而言，出卖电话号码的利润通常在0.5～2元人民币，以2元以内的纠纷不仅需要经历漫长的诉讼程序，还浪费了司法资源，既不能调动信息主体的积极性，也降低了司法效率。

二、区块链技术应用于个人信息保护体系的融合及优势

在前信息时代，个人信息大多保存于档案馆及特定的行政机构，不但利用率低，而且数据难以聚合，单个信息的财产价值有限。但在大数据时代，数据处理技术取得了突破性进展，大量的个人信息通过网络以数据的方式形成、流转和传输，信息有了聚沙成塔的效应，也造成了个人信息侵权案件频发。区块链的运行和个人信息的流转具有高度契合性，将区块链特有的去中心化、防篡改性、全留痕迹、加密性等特点有机融入个人信息保护体系，可以解决现有的一些问题，也可能激发更多的信息流转活力和机遇。

（一）区块链新型信任机制对“告知—同意”规则的补足

当下，公民通过“告知—同意”规则授权信息控制者使用其个人信息，这些信息被信息控制者统一存储于中心化的信息管理系统中。从外部看，这种管理信息模式的安全性饱受质疑，全球范围内的多次大型信息泄露事件让信息主体信任感缺失。从内部看，信息控制者主动泄露或违约分享个人信息、监守自盗的现象也不可谓不多。长此以往，以“告知—同意”规则为制度核心的个人信息保护体系内忧外患，信息控制者面临巨大的信任危机，甚至阻碍了信息的正常流通。

卢梭将法律称为“社会契约”，意味着强力事实被赋予规范性，实现了从实然——自然状态到应然——社會状态的逻辑道路，将统治与被统治的“自然关系”升华为闪烁文明光辉的“社会关系”。在现代社会，法律同样作为处理陌生人社会关系的重要制度手段。具体到个人信息保护的维度中，信息主体与信息控制者之间凭一纸合同文书——“告知—同意”规则建立信任感。然而，“告知—同意”规则存在诸多令人诟病的制度漏洞，例如，适用僵化、形同虚设、信息主体权利难以保障等问题使法律手段逐渐显得捉襟见肘，以“告知—同意”规则为核心的信任机制遭到重创。

区块链技术则是在信息控制者失信、监管失灵的社会背景下诞生的新型信任机制，意在以技术取代信任。将区块链技术融入个人信息保护体系能够为“告知—同意”规则给予下列补足：第一，区块链的去中心化可以天然抵抗外部攻击。区块链不具备中心化的管理系统，信息以分散状保存于各节点中，单个节点受到攻击不会殃及其他节点。除此之外，节点中的内容无法被篡改，如删改当中任何一个区块的内容均会改变本区块的哈希值，从而导致下一个区块失效。可见区块链在抵御外部攻击方面较传统的信息存储方式具有天然的技术优越性。第二，区块链的身份加密技术对个人信息具有保护作用。区块链中每个节点都使用化名，这种化名尽管不能完全实现真正匿名的效果但仍具有初级的保护作用。区块链在任何需要身份认证的场景下均可提取公钥以虚拟身份代替真实身份，这种方式可以减少信息控制者通过验证而私自存储个人信息的情况。区块链所促生的分布式可验证数据库和高保密性等特点可以促成新型“技术契约”的治理模式，以更低成本、简便地提升效率和确定性以便解决当下信任危机问题。

（二）区块链不可篡改性与侵权责任认定的契合

个人信息侵权责任认定难的根本原因在于侵权主体的认定难以及侵权证据的固定难。一方面是因为信息流转中所“经手”的信息控制者众多，无法准确认定侵权主体;另一方面由于法律规范的缺失，我国《民事诉讼法》中对电子证据的取证规则、适用方式等均无明确规定。因此，在个人信息侵权案件中，基于“谁主张、谁举证”的原则，信息主体应当承担举证责任，但信息主体只能通过自主截屏、拍摄视频等方式留存证据。且不说证据是否具有关联性，仅就电子证据本身来说，其具有虚拟性、易篡改等特性，在没有其他证据佐证的情况下，此类证据难以被有效使用。在区块链背景下，上述侵权责任认定问题或许可得到缓解。

区块链的不可篡改性对侵权责任认定有诸多良性影响。首先，篡改难度极大，侵权成本因此增加，具有天然的侵权防范效果。理论上讲，只有直接控制系统中的大多数区块，才能篡改区块链中的数据内容，但由于网络的广泛性导致这种直接控制几乎无法实现。其次，即便侵权人企图篡改，也无法及于全部数据块，从而侵权痕迹得以保留。鉴于区块链中每个数据块所包含的内容具有一致性，篡改当中单个数据块不会影响其他部分数据块的内容。若行为人实施侵权行为后，即使篡改了其提取信息的区块，仍然能够轻易地追及至侵权人。再次，区块链的全留痕迹特点，具有侵权案件处理的司法实践意义。能够帮助法官在处理个人信息多人侵权的案件时划分责任的认定。法官可以结合智能合约，查看提取信息者的注意义务级别，再结合侵权人的主观过错判断，得出责任的划分标准。最后，利用区块链的可溯源性特点，可有效追溯侵权人。区块链可以提供信息主体的授权信息、信息控制者的分享记录与提取记录，有助于破解长期困扰实务界的侵权人的确定难题。

三、区块链融合于个人信息保护体系的技术及理论创新

大数据技术逐渐从成长期进入成熟期，技术革新对行为规则的影响逐渐显现。区块链技术经过加密技术、共识算法等领域的重新整合，以全新的面貌进入公众视野，其影响辐射至社会生活的方方面面。由于具有更高的信息存储及使用的安全性，区块链技术甚至被称为“代替互联网的未来趋势”。区块链技术给个人信息保护体系也带来了不小的技术冲击，但直接强硬地将二者结合在一起仍不能解决全部问题。要将区块链技术更好地融入个人信息保护体系中，就需要通过技术结构创新和理论创新的方式来实现。

（一）个人信息保护框架下的技术创新：构建主权区块链

几乎所有的技术智力方案都需要与现有体系之间的深层次结构特征有所呼应，才能发挥积极作用。当然，个人信息保护也不例外。区块链嵌入个人信息保护体系中，不仅要解决技术问题，更需要解决区块链与个人信息保护体系的融合问题。为此，本文提出将区块链单纯的技术保护升级为主权区块链。主权区块链即由技术规则和法律制度规则共同形成的新型区块链模式。区别于一般区块链技术的应用，主权区块链更强调法律及行业自律规则的作用，从“代码即法律”的规则模式转变为“代码+法律”。

与传统信息流转不同的是，加入了区块链技术的信息流转不再进行信息控制者之间的直接传递，而是通过区块链平台进行传输控制。运用主权区块链来控制个人信息的优点是我们可以完全掌控个人信息的提取资格和流向，由于每次提取信息均被记录，也能够加强信息控制者的自律，从而能够在一定程度上避免个人信息的泄露。在个人信息保护框架下，主权区块链的实现应当注意以下几点：第一，信息控制者资格认证上，主权区块链应当采取严格标准，不仅是技术上的表面审查，更应加强实质审查。第二，在监管上，主权区块链强调对信息流转过程中环节与周期的可监管性与可追溯性。在此背景下，主权区块链通过运用其去中心化的数字存储框架能够有效地保证个人信息的存储安全和传播安全。第三，在规则设定上，设定不同敏感度的个人信息的不同获取规则，从源头上收紧对个人敏感度高的个人信息的收集和使用，用以补充侵权归责原则设置不合理与侵权数额认定无法达到标准的缺陷。

（二）区块链框架下的理论创新：个人信息“可识别性”的新解释

区块链通过其加密技术使得存入的信息均以哈希值的形式呈现于交易记录中。有学者提出经过“哈希化”的个人信息是否已经丧失识别性？是否仍然为个人信息？若已经丧失识别性，不再是个人信息，便无须保护。就当前的个人信息认定标准的通说来看，经过“哈希化”的个人信息，已经丧失了识别性。如果因为不具备直接可识别性而选择不保护这部分信息，可能会造成与个人信息保护及治理目的相反的效果。笔者建议在区块链框架下，应当重新审视个人信息中对“可识别性”的认定标准，即通过解释论的方法将概念中的“可识别性”进行扩大解释为直接识别、间接识别与可能识别。

从个人信息概念的角度来说，我国立法在明确个人信息概念时对“可识别性”做出规定，但并未明确可识别性的含义。2012年，《关于加强网絡信息保护的决定》中首次确定了个人信息的概念，即需具有识别性与隐私性。后来通过《网络安全法》对个人信息保护不断强化，我国强化了可识别性与隐私性的概念。我国《民法典》将个人信息与隐私区分规定，进一步明确了个人信息的范围。总体而言，我国立法对个人信息概念的倾向正在逐渐转变：在认定要素上，隐私性不再作为个人信息认定的核心要素，只需要具有“可识别性”即可。但是立法并未对“可识别性”明确规定，司法实践中在判断是否具有“可识别性”时也不存在统一标准。

直接识别说认为，具有能够由单一信息识别信息主体的信息才可称为个人信息。间接识别说认为，既包含由单一信息确定信息主体的直接识别，也包含由多项信息结合共同识别信息主体的间接识别。笔者认为，直接识别说中，对个人信息的外延理解过于狭窄，将会损害信息主体的利益;间接识别说虽然考虑到个人信息范围的广泛性，却忽视了我们所处的大数据的背景。笔者认为，应当将可能识别也纳入“可识别”的范围。大数据背景下，数据整合能力指数倍增长，只要付出成本去识别，任何信息主體都可以被轻松识别出来。可能识别与间接识别唯一的区别是识别成本的问题，间接识别指由一般人通过多项信息综合识别，可能识别则指需要通过技术手段才可识别。事实上，一般人对他人个人信息的侵犯力并不强，正是享有信息控制权的数据企业才更有能力侵犯信息主体的个人信息。可以说，“可能识别”才是个人信息遭受侵害的元凶。因此，笔者认为，应当通过扩大解释的方式，将直接识别、间接识别、可能识别均归为具有“可识别性”。具体而言，可识别性可以随着个人信息保护和信息流转之间矛盾张力关系变化而做弹性判断。例如，网页浏览记录在大数据发展初期是作为“数据垃圾”处理，随着电子商务的发展，通过网页浏览记录分析得出的数据变成了重要的商业推广手段，如淘宝网中的“猜你喜欢”模块，结合浏览记录与所在地区、用户名等信息可以识别出特定信息主体的个人喜好，据此网页浏览记录也作为个人信息予以保护。同样，经过“哈希化”的个人信息并非直接丧失识别性，还应对其做动态解读。

四、区块链技术融合于个人信息保护体系的冲突与协调

将新的技术融入新的制度中在存在机遇的同时也存在挑战，区块链技术能够优化个人信息保护中较为薄弱的部分，但同时也存在一些局限性。由于区块链的优势过于明显，技术与制度体系的冲突不应成为遏制其发展的动因。在区块链技术真正在个人信息保护体系领域落地之前，应意识到可能存在的局限性并据此提出相应的解决方案。

（一）区块链的不可篡改性与个人信息更正、删除权的冲突与协调

我国《民法典》要求信息处理者及控制者应当依法保障信息主体的更正权及删除权，

参见《民法典》第1037条。但从技术层面讲，不可篡改性是区块链技术的原生特性，同时也是其高安全性的体现。尚且没有成熟的技术随意更改或删除区块链上的信息，一旦修改或者删除其中一个区块内的内容将导致全部区块失效。区块链上的信息难以更正及删除不仅影响个人信息的更新和撤销，也与我国《民法典》关于信息主体更正、删除权的规定相冲突。

对此，有学者提出为破除区块链的不可篡改性应当探索可编辑区块以实现动态监管。笔者认为，可编辑将违背区块链信息不可篡改的技术设计初衷，将会导致区块链的安全性及真实性遭遇严重打击。事实上，区块链的不可篡改性与信息更正权、删除权之间的冲突并非不可调和。我国《个人信息保护法》第30条第2款规定，因存储方式特殊不能删除或需要过多费用才能删除的，应当以封锁代替删除。该条文为区块链技术与个人信息保护体系的融合提供了法律依据与合作空间。但需要注意的是，封锁并非加密，任何加密都可以通过技术手段解决，封锁技术则需要做到信息的永久灭失，无法再次恢复，从而保护信息主体的更正权、删除权的顺利行使。

（二）区块链中私钥遗失与个人信息控制权的冲突与协调

区块链所采用的加密技术是由系统随机形成一串符号作为私钥，再通过算法推导出公钥和地址。其中，公钥相当于一般网络平台的“账号”，而私钥则是“密码”。与一般网络平台不同的是，区块链中的“密码”是唯一的，即使私钥遗失也无法再次形成新的私钥以及时止损。而我国《个人信息保护法》中规定，自然人享有对个人信息的控制权，

参见《个人信息保护法》第44条。区块链中遗失私钥后便会永久丧失对信息的控制的情况与法律规定相抵触。在面对二者的冲突处理上，个人信息控制权是个人信息保护的核心内容，在制度上无法让步，只能通过技术手段、监管等方式减少私钥遗失的可能性。通过更新私钥的保护方式可以在保证私钥的安全性的同时，保护好个人信息控制权。

在数字加密货币的发展进程中，出现了多重密钥保护方式。其中，以是否可被互联网访问为基准，可以分为热钱包和冷钱包。大部分互联网平台采用的是热钱包的方式，即通过助记词或邮箱等方式即可再次提取私钥，而此种方式仍需借助中心化管理，要面临较大的安全风险。冷钱包是目前最为安全的存储方式，即使用类似移动硬盘实体设备在不联网的情况下进行私钥的存储，区块链即采用冷钱包的方式存储。若区块链大规模推行，要求用户放弃热钱包的便利转而为了实现绝对安全使用冷钱包，可行度很低。因此，欲彻底解决私钥遗失而导致信息主体丧失信息控制权的问题，需转变私钥的保护方式，将区块链中私钥保护方式从一贯使用的冷钱包转变为热钱包。当然，一旦转变私钥保护方式，将必然导致安全性的降低。笔者建议在转变密钥保护方式的同时增设多重签名，将多个私钥分开存放至不同区块，当存在单独签名错误时，辅助其他签名共同提取私钥。如此，由于解密的复杂性增加，既可以防止出现发生重大个人信息泄露事件，也可以避免因其中一个私钥遗失而导致信息主体丧失控制权。

（三）区块链加密技术与信息共享的冲突与协调

区块链在个人信息保护体系中落实还需要考量可能存在的现实困难。信息共享作为信息流转的关键环节，应当具有高效性，而区块链的加密技术可能会阻碍信息共享，二者的矛盾主要从以下几个角度显现：第一，公开信息无须加密。信息主体在社交网站主动发布的视频、文字等可视为公开信息。公开信息经整合分析后依然可以产生巨大的商业价值，依旧受到众多网络服务提供商的追捧。依据个人信息保护法理，公开信息无须加密，但在收集和保护上仍应当符合信息处理规则。由信息主体主动公开的信息不视为信息主体对信息控制权的放弃。发布平台在收集利用在本平台所发布的个人信息时，无须经过信息主体的同意，但应具有合法目的、采取合法手段。但如果非发布平台想利用此类信息则需符合一般个人信息的分享标准。现实中许多网络服务商为降低信息获取成本利用网络爬虫等非法方式进行信息爬取，使得信息主体的权利受到侵害。第二，部分被要求平台禁止加密，必须实现信息共享。当区块链被广泛应用后，即使技术上可以实现部分字节加密，但出于构建新型信任体系的目标及监管方面的要求，很多平台面临禁止加密的困境。例如，上市公司的运营情况及财务状况影响着数亿股民们的投资趋向，此类信息若加密将既不被社会认可，也将违反法律的规定。

加密技术和信息共享之间冲突相协调的关键是平衡信息主体与信息控制者的利益。最初，考虑将区块链运用到个人信息保护体系的原因之一便是加密技术可以更好地保护信息主体的权利，但任何人的权利都不应是绝对至上的。信息控制者只有通过信息共享、整合分析后实现利润才能源源不断地作用于技术的发展。科技可以作为法律的补充和强化，相对地，面对技术落地所带来的现实风险，可以利用法律制度来解决。针对无须或无法加密而导致信息被非法收集、利用的情况，有资料显示，发生爬取现象的原因之一便是信息壁垒的存在，相关企业无法通过合法渠道获取信息，转而选择非法渠道。区块链技术对此虽无法提供全面的技术保护，但其去中心化的特点能够打破信息壁垒，使信息控制者更容易合法获取高质量信息。让区块链技术真正融入个人信息保护体系中，做个人信息保护中的“守门人”。应当在此基础上加强对个人信息非法收集、利用的打击力度，通过信息类型化的方式区分不同场景化治理，将个人信息划分为公开信息、一般信息、私密信息，分别设置不同类型个人信息的加密级别上限，从制度上确保信息主体利益与信息控制者利益均衡化。

五、结语

技术与法律在相互作用中共同发展，技术可以作为促进法律制度建设的重要工具，法律则可为技术发展提供宏观方向。在个人信息的财产价值被无限扩大的时代，个人信息的存储、共享安全应当成为个人信息保护的重点内容。传统的法律单一制保护模式已经逐渐被时代所抛弃。区块链技术的引入为个人信息保护体系的完善提供了全新思维，这也成为技术促进法律制度的一种新尝试。区块链的去中心化、加密性、不可篡改性等特点刚好能够满足个人信息保护的多方面需求。当然，个人信息保护体系是一个复杂的系统工程，技术落地实践依然存在些许风险，但是由于区块链技术与个人信息保护体系的高度契合性，我们仍然应当给区块链技术以探索的空间。期望区块链技术能够在构建新型信任机制中大放异彩，为构建个人信息保护体系带来真正的曙光。

参考文献

[1]李佳伦.区块链信任危机及其法律治理[J].法学评论，2021，39（3）：118-129.

[2]祝烈煌，高峰，沈蒙，等.区块链隐私保护研究综述[J].计算机研究与发展，2017，54（10）：2170-2186.

[3]范为.大数据时代个人信息保护的路径重构[J].环球法律评论，2016，38（5）：92-115.

[4] 万方.个人信息处理中的“同意”与“同意撤回”[J].中国法学，2021（1）：167-188.

[5]卡尔·拉伦茨.法律行为解释之方法——兼论意思表示理论[M].范雪飞，吴训祥，译.北京：法律出版社，2018.

[6] 黄锫.大数据时代个人数据权属的配置规则[J].法学杂志，2021，42（1）：99-110.

[7] 齐爱民.个人信息保护法研究[J].河北法学，2008（4）：15-33.

[8] 叶名怡.个人信息的侵权法保护[J].法学研究，2018，40（4）：83-102.

[9] 刁胜先.论个人信息的民法保护基础——兼论个人信息、民法保护的精神利益与物质利益[J].内蒙古社会科学（汉文版），2011，32（5）：58-62.

[10] 马燕.苹果确认用户iCloud遭入侵隐私安全体系或存漏[EB/OL].http：//industry. people.com.cn/n1/2018/0309/c413883-29857753. html.

[11] 李政葳.大数据时代，如何保护用户隐私[N].光明日报， 2018-12-04 （10）.