有机融合与双向升级:区块链技术下的个人信息保护研究
2023-04-17何沛军郭志远
何沛军,郭志远
(1.安徽大学 法学院,安徽 合肥 230601;2.华东政法大学,上海 201620)
区块链技术以其独特的分布式记账模型,正在改变着互联网信息社会的固有思维。“区块链+”的丰富实践与不断发展,也使得区块链时代逐步来临。作为新一代智能革命的重要产物,区块链给社会革命、价值革命和治理革命带来巨大影响[1]。区块链时代的个人信息保护集中体现了这种变动。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的出台标志着我国个人信息保护法律规范的逐步完善,个人信息权利体系、个人信息处理制度及法律责任等也得以确立,个人信息保护步入全新阶段。但区块链技术下的个人信息处理模式与传统互联网时代有较大差异,这些差异给个人信息保护规范的运行带来一定阻碍。正确协调好技术与规范之间的冲突,充分发挥技术优势助力个人信息保护实践,成为区块链时代面临的重要难题。
一、问题缘起:区块链技术与个人信息保护之冲突
区块链技术的基本特征可以概括为不可篡改、去中心化、匿名性与可追溯等,技术设计初衷是基于对传统中心化数据处理模式的不信任,采用一种分布式记账模型来替代中心化数据存储,提升数据安全性。区块链技术的核心优势即去中心化,并以此为解决中心化机构普遍存在的高成本、低效率和数据存储不安全等问题提供了解决方案[2]。因此,区块链技术变革的是传统信任模式,是已有信息技术的再组合,而非一项全新的信息技术。但这种重新组合的区块链技术给信息安全、数据存储等带来改变,使得互联网用户的隐私保护、信息安全水平有所提升。而区块链技术所凸显的价值理念或与个人信息保护不相统一,从而引发技术与已有规范之间的冲突与矛盾。
(一)不可篡改性与个人信息更正权、删除权之间的矛盾
区块链技术是以网络中各节点共同记录交易行为的方式,排斥了中心化数据库的信息处理,避免中心化数据库出现数据篡改或删除等行为,从而提升信息的安全性。区块链中每个区块包含区块头和区块体两部分,区块体存放批量交易数据,区块头存放Merkle根、前块哈希、时间戳等数据,基于块内交易数据哈希生成的Merkle根实现了块内交易数据的不可篡改[3]。所有参与系统的用户共享一个公共区块链,不会存在因为单点失效而导致系统故障的情况,故除掌握区块链网络51%的算力进行信息修改外,区块链网络可以被视为是可靠且安全的[4]。哈希算法、分布式记账、可信时间戳等底层技术共同保障了区块链网络中数据不被篡改,不仅仅针对区块链网络中诸多相互平等的节点,也限制了区块链网络用户个人,因此这种不可篡改性是绝对的、无差别的。在大多数情况下,绝对的、无差别的不可篡改是必要的,可以防止网络服务提供者或数据处理者凭借互联网主体地位,实施侵害公民个人信息的行为。例如网络购物活动中,交易平台作为中心化数据处理者,承担着交易行为的数字记录和存储,交易双方作为平等的参与者无法直接介入到数据生成和存储环节中。但交易平台可凭借数据处理的优势地位,对其所掌握数据进行篡改,且成本较低。若该网络交易发生在区块链平台中,则交易行为一旦被记录至相应节点并进入区块链网络中,则除51%攻击外即无法进行篡改。
随着个人信息权利体系的逐步确立,个人信息更正权、删除权等经历了理论—规范—实践的步骤,最终成为个人信息保护的重要依据。个人信息权一般指与特定个人相关联的、反映个体特征的具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等各方面的信息[5]。这些个人信息在日常的网络活动中会被相关平台主体收集、存储,特定情况下会被使用。因个人信息权的人身专属性,其具备以知情同意为基础的积极权能和以删除权为代表的消极权能,后者更衍生出更正权、限制或反对处理权以及删除权等具体内容[6]。这些消极权能是个人信息权能够被实现的重要依据,但在区块链网络中可能难以有效发挥作用。首先,我国个人信息保护的法律规范奉行个人信息控制的理念[7]。个人信息主体对于第三方存储的错误个人信息有权要求予以更正,这也是个人信息专属性的重要体现。当然对于个人信息正确与否,个人信息主体需进行说明并提供相应支撑材料。然而区块链网络中的个人信息同其他所有信息和数据一样,具有不可篡改性,无论是区块链网络的参与者还是个人信息主体都无法修改。单纯从技术角度而言,不可篡改性旨在保障信息安全,排斥中心化数据存储主体的恣意行为,但这种绝对的不可篡改与个人信息的控制理念相违背,即使是个人信息主体也无法改变这种技术带来的绝对性。故在区块链网络中,个人信息保护的规范体系可能无法有效发挥作用。其次,个人信息删除权是个人信息消极权能的重要实现方式。《个人信息保护法》第四十七条规定了在特定情形下,个人信息处理者应当主动删除个人信息或经权利人请求删除个人信息。个人信息删除权作为个人信息权的重要内容,更好地保障了个人对其个人信息处理活动享有的决定权[8],同时也制约着互联网平台或其他主体的个人信息处理行为,删除权的行使也保障了个人信息不被非法使用。但区块链技术所采用的共识机制和分布式记账使得区块链网络内的数据几乎无法篡改,除非修改区块链网络中51%以上节点信息,否则个人信息一旦“上链”,便等同于无法修改和删除。因此,区块链技术的不可篡改性使得个人信息删除权无法实现,两者之间存在根本矛盾。
(二)匿名性与个人信息控制权、同意权之间存在冲突
区块链用户通过公钥和私钥进入网络,在交易过程中其个人信息可以保持匿名不公开,生成的相应数据也可以进行加密处理,进而提升数据安全性,保护参与者隐私。非对称密码技术为区块链匿名性提供技术支撑,可以保证链上特定信息资产对应特定权利主体:公钥即身份,或称之为“账号”,里面包含着个人信息资产;私钥即“密码”,私钥仅为权利主体所知晓[9]。只有同时掌握“账户”和“密码”才能维护链上信息。区块链平台交易过程中用户并不需要注册账号、提交手机号码、电子邮箱和银行卡号等个人信息,而是享有较高的匿名性[10]。换言之,区块链网络中交易双方可以不进行身份验证即完成交易,交易双方相互隐藏真实身份,实现匿名化。区块链的匿名化特征是在互联网虚拟性的基础上更进一步,只要拥有区块链网络认可的财产,通过公共密钥才可进行交易。匿名性在很大程度上提升了交易的便捷程度,通过不公开的形式保护了参与者的个人信息安全,但也潜藏着交易不被监管之风险。通过对区块链网络匿名化的技术性分析,可以发现,其与个人信息权利体系中的控制权与同意权存在矛盾。首先,区块链用户私钥丢失后难以找回,使得用户对其个人信息丧失实际控制权。在非对称加密技术下的区块链用户凭借公钥和私钥的组合作用,完成对信息的加密与解密[11]。其中,私钥是用户用以维护、修改个人信息的凭证,也是对交易信息加以解密的重要工具。私钥一旦遗失,用户便无法完成上述操作,其对个人信息的控制也即告终结。最终,法律规范中赋予个人的信息自决、处理等权利,会因技术性要素的作用而无法落实。其次,从监管角度而言,区块链网络的匿名性容易引发安全风险。区块链网络是去中心化运营,各节点共同维护,为整个网络提供算力支持。对于交易的监管和风控,更多交由技术来完成。用户同时掌握公钥和私钥即可实现对个人信息进行修改和维护,而无须经权利人本人同意或授权,加之区块链网络缺乏对用户身份的实际验证,易引发安全风险。
(三)去中心化与传统监管模式差异显著
随着个人信息保护规范体系的逐步形成,当下对于个人信息保护的监管也初具特色,呈现出以国家网信部门监管为主、以互联网平台等个人信息处理者[12]为辅的监管格局。在实践中,信息管理的主体单位仍然是以各领域的政府单位为核心,如银行业信息数据由金融监管部门负责管理、医疗系统信息数据由卫生监管部门负责保管。这种政府机关主导的中心化监管模式可以明确主体责任,促进监督和管理相协调,最大限度地保障个人信息的安全,降低利益驱动带来的信息泄露风险。当前阶段政府主导的数据保管与存储安全系数远远高于一般企业或互联网平台,后者更易受多方因素影响而失去主体地位,如黑客攻击。
区块链的去中心化特征使得网络中的数据存储、信息管理模式等与传统监管模式存在较大差异。区块链上各节点共同维护网络安全,对信息进行存储及处理,实现多中心化监管,任一节点信息被篡改,通过其他节点上信息的比对即可发现端倪,使得信息安全得以大幅提升。但这种多中心化监管模式与个人信息保护之间也存在一定抵牾。个人信息属于人格权范畴,具有较强的人身依附性,只有权利主体可以对其个人信息享有特定权利。在传统信息监管模式下,可以通过身份验证和识别来保障个人信息主体与用户的同一性,但在区块链去中心化监管模式中,这种监管方式交由技术来实现,即通过公钥和私钥的对应来实现身份验证。如前文所述,区块链网络中没有针对个人信息主体和用户的同一性进行的验证程序,因此无法保障个人的信息安全。区块链网络中任何节点都没有监管的义务,在对交易进行记录时更加不会对用户身份进行实质验证,使得这种去中心化监管在个人信息保护方面作用有限。
(四)救济途径、责任主体与个人信息救济权之间难以协调
《个人信息保护法》对个人信息主体的权利与个人信息处理者的义务进行了规定,同时也明确了监管主体的职责。当个人信息受到侵害时,个人可以通过诉讼、仲裁、行政、调解等多种方式实现救济权。但在区块链网络中,个人信息权利被侵犯后,权利主体的救济方式同技术的先进性相比稍显滞后。虽然法律并未禁止相应主体的司法救济权,但鉴于个体用户举证能力的局限性,区块链网络中的个人信息侵权责任几乎很难证明,当区块链用户的个人信息被非法处理时,除非能够明确具体的侵权人,否则无法通过司法途径实现救济。此外,现有规范仅规定了区块链网络服务提供者的安全义务,并未对用户的特定权利加以明确。对于区块链网络服务提供者应承担的责任类型也未明确规定,区块链网络服务提供者的过错是否承担责任的前提亦无明文规定。因此,区块链网络中个人信息权利救济的途径、责任主体、过错类型均缺乏规范引导,个人信息救济权无法落实。究其原因,区块链作为全新的互联网模型,不宜对其过多限制以妨碍技术发展。但技术的发展需要以安全为前提,并不得给已有的规范体系带来冲击。在个人信息权利救济方面,区块链技术仍然需要被监管。
二、理论解构:区块链技术下个人信息的构成
为了从根本上协调好区块链技术与个人信息保护之间的冲突,需要对个人信息的基本构成进行分析,了解区块链网络中个人信息的基本要素,才可以更清晰地厘清区块链网络中的数据与个人信息。区块链是一个去中心化网络,各节点均是独立的数据存储中心,区块链网络参与者的交易行为以及生成信息会被各节点记录并保存,对这些数据和信息进行分类保护,也是区块链时代数据保护的基本要求。
(一)区块链技术下个人信息的基本范畴界定
个人信息具有人身专属性,其与信息主体密不可分。根据欧盟的《通用数据保护条例》(以下简称GDPR)界定,与一个身份已经被识别或者可以被识别的自然人相关的任何信息都属于个人信息范畴①General Data Protection Regulation,Article 4.,包括姓名、联系方式、证件号码等基本信息以及教育经历、工作经历、就医情况等个人生活信息。个人信息指向信息主体,能够显现个人的生活轨迹,勾勒出个人人格形象,作为信息主体人格的外在标志,形成个人“信息化形象”[13]。因此,个人信息可以被视为信息时代下个人的标签,与主体一一对应,同时兼具社会价值和经济价值。在传统互联网领域,个人信息通过专属性、可识别性等特征较易容易界定,可以准确地从海量数据中区分出个人信息,并以此作为个人信息权是否遭受侵害的判断标准。但在区块链网络中,匿名化特征加之去中心化监管模式等因素,使得区块链用户的个人信息界定困难,也因此给区块链参与者的个人信息保护带来障碍。
1.区块链匿名性特征使得个人信息界定困难。如前文所述,区块链用户多使用公钥和私钥进行系统操作,而匿名性特征使得个人信息主体与区块链用户之间无法实现同一性验证。个人信息基本范畴的界定需要凭借人身专属性和可识别性来加以判断,在区块链匿名性特征的作用下,交易中使用和生成的各种数据与信息仅能识别出区块链用户的虚拟身份,无法将其中的个人信息分离出来。故对于区块链网络中的信息均作为一般信息予以保护,缺乏人格权保护的力度。
2.区块链信息哈希化致使个人信息内容呈现困难。哈希化指使用加密算法将区块链传输的可变长文字列,通过哈希函数转换为固定长度的文字列,其输出值即为哈希值[14]。为保证信息安全,区块链网络中的信息均被哈希化处理,无法直接呈现信息内容。交易中所涉及的个人信息也被哈希化,此时的个人信息便不再具有可识别性,是否还是《个人信息保护法》保护的客体存在疑问。因此,个人信息哈希化的表现方式也是区块链技术下个人信息界定困难的原因之一。
3.分布式存储导致监管对象向节点实际控制者过渡。区块链用户在交易中所涉及的个人信息经哈希化后存储于分布式账本中,由各节点共同维护。与以往中心化数据库存储模式不同,分布式存储模式下不可能对每个节点均进行监管,因此保障信息安全的重点落在了对节点实际控制者的规制上。区块链各节点之间是相互对等、交互、连通的关系,不存在任何中心化的特殊节点和层级结构。对于节点控制者而言,区块链技术使它可以下载使用链上完整的交易信息并参与验证,但无法对整链产生实际控制权[15]。故对区块链中个人信息处理行为进行监管,重心需由原来的中心化数据库控制者向区块链节点的实际控制者转移。鉴于区块链匿名化特征,节点控制者的身份确认也较难实现,给个人信息的界定带来障碍。
(二)区块链技术下个人信息的构成要素分析
1.区块链数据的构成。对于区块链技术下个人信息的构成要素进行分析,首先需要明确区块链网络中的数据构成。依据数据的不同内容、不同类型或功能,可将区块链中的数据进行不同划分,比如账户数据、区块数据、合约数据等。为将区块链数据中的一般数据与个人信息进行区分,结合区块链的基本原理,可将区块链数据整体分为两大类,即注册数据和区块数据。第一,注册数据,即区块链用户在加入区块链网络中注册账户信息所保留的个人数据信息,包括公钥、私钥以及一些用于识别用户身份的数据。第二,区块数据则指区块链网络中运行所生成的所有数据,包括交易数据、配置数据、账本数据等。其中,交易数据是区块链用户间利用区块链网络进行交易,生成的二进制代码信息,这些信息代表了交易的主要内容;配置数据指的是各区块自身的基础信息,包括区块整体的哈希值、区块的可信时间戳、区块高度等;账本数据即区块链用户交易过程中的智能合约、备份数据等,这些均被记录在分布式账本中以实现不可篡改的目的。上述这些区块链数据中既有与区块链用户个人紧密关联的信息,也有区块链网络运行而自动生成的系统数据。系统数据因无法识别出区块链用户个人,故不宜作为个人信息予以保护。
2.区块链中的个人信息的构成。为将区块链数据中的个人信息准确界定,以将之作为个人信息特别保护,需要依据可识别性与专属性标准对区块链数据进行重新划分。首先,注册数据中,私钥是区块链用户用于维护账户信息的重要工具,具有专属性,不对外公开,可以视为个人信息。注册账户时所使用到的IP地址、系统邮箱等是用户虚拟身份的代表,也属于个人信息范畴。对于公钥的属性需视情况而定,一般来说,公钥是用户公开给特定对象以便于交易的工具,仅是一个匿名化的交易对象,不具有识别身份的功能,不属于个人信息。但从技术角度而言,公钥结合IP地址可以识别特定自然人,而用户通常不会隐藏其IP地址[16]。此时,公钥也可通过技术追踪来实现身份识别的效果,则公钥也属于个人信息。其次,区块数据中,配置数据是在区块形成时由系统自动生成,对于区块有识别价值,但基本不涉及个人信息的内容。交易数据和账本数据中的大量信息是关于区块链用户间交易的主要内容,同传统网络交易不同,区块链交易主要通过数字货币来完成。因此,交易数据和账本数据很少会包含用户的实际账户信息等个人信息,交易双方均是匿名化的区块链参与者。但在某些特定情况下,例如智能合约中包含了能够识别主体身份的信息,则交易数据和账本数据也可能成为个人信息的载体。综上,区块链中的个人信息主要存在于注册数据中,在交易数据和账本数据中含有个人信息的内容属于例外情况。
三、权利重塑:区块链技术下个人信息权的再认识
个人信息之上法律关系的多元反映了其上负载利益关系的多元,在个人人格利益及财产利益、企业财产利益之外,还体现着社会公共利益[17]。个人信息权的行使则是信息主体实现上述权益的重要方式。《个人信息保护法》就个人信息权利体系作了规范,其核心是以个人信息控制权为基础的同意权、更正权、删除权等。在区块链网络中,基于法秩序的同一性,区块链用户天然地享有上述个人信息权,但其实现方式或表现形式则与一般意义上的个人信息权有所差别,需要重新加以解释。
(一)个人信息更正、删除请求权在区块链技术下的演变
区块链技术的不可篡改性和匿名性特征使得区块链网络中所涉及的个人信息在出现错误时无法进行更正。因为区块链网络中的信息系分布式储存与管理,网络中各节点均对信息加以记录,以便相互验证,保障交易安全。信息主体并不是各区块链网络节点,不享有更正、删除的权限,但基于个人信息的人格权益而享有更正及删除请求权。依照《个人信息保护法》第四十六、四十七条,个人信息处理者在收到请求后应及时对个人信息进行更正、补充、删除。传统互联网活动中,个人信息保存于中心化数据库,此时个人信息处理者明确且具体,个人可以直接发出请求、实现权利。但在区块链网络中,个人信息更正与删除请求权的实现存在一定困难,主要基于两点原因:一是匿名化处理使得节点的实际控制者很难被区块链用户所知,用户当发现其个人信息出现错误时,无法准确找到请求对象;二是区块链采用多节点分布式记账,区块链网络用户的个人信息一旦被节点记录,相应信息则会被同样复制存储于其他各区块,并被哈希化处理。当用户发现其个人信息存在错误或者要求删除时,仅要求某一节点进行更正或删除是无法实现目的的。从理论上而言,对于51%以上节点进行修改方可实现区块链信息的修改,而这对于算力的要求极高,一般区块链用户几乎无法做到。因此,区块链的不可篡改性给个人信息的直接更正或删除带来技术障碍。
在区块链网络的各种底层技术作用下,个人信息的更正、删除请求权无法实现,个人信息权的实现方式需要因时而异。为了使个人信息权的相应权能在区块链网络下也能有效实现,需要对个人信息更正与删除请求权进行重塑:首先,对个人信息更正权作扩张解释。个人信息的更正是在个人信息确有错误且有必要更正的情形下而进行的相关处理,其主要目的是纠正信息错误。当区块链用户向区块链平台或某个节点实际控制者提出更正的主张时,从技术角度实现根本更正已无可能,无法修改某些信息而达成节点共识。但可以通过增加备份信息的方式来实现信息更正之目的,即对更正进行扩张解释,不仅包括原有信息的修正,也包括新增信息来弥补原有信息错误。其次,对个人信息删除权进行语义分类。个人信息的删除从根本上理解即将数据库中存储的个人信息彻底删除回收,使其以后不再被检索或读取到。根据《个人信息保护法》第四十七条第二款,在特殊情况下,删除个人信息从技术上是难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。在面对技术障碍时,立法对个人信息的绝对删除作了让步。但在区块链网络中,各节点地位平等,无中心化管理者,个人信息的绝对删除或者特定情形下的限制处理均难以实现。此时需要对个人信息删除权进行语义分类,除绝对删除外,特定情形下允许相对删除的存在,否则个人信息删除权在区块链网络中便被技术架空。具体而言,只要链上信息经技术处理后不会再被其他节点或参与者读取或使用,即可视为相对删除。
(二)区块链技术下被遗忘权的全面确立
被遗忘权是英美信息立法中的产物,其最核心内容即对个人信息的删除[18]。我国《个人信息保护法》中已就个人信息删除请求权作了规定,但其仅为被遗忘权的重要方面,还需要对被遗忘权的其他权能进行明确。根据GDPR第十七条可知,被遗忘权指信息主体有权要求信息控制者删除与其个人相关的资料信息,并有权要求任何已知的第三方删除针对上述信息的所有复制和链接的权利①General Data Protection Regulation,Article 17.。因此,全面理解被遗忘权的内涵,需要对个人信息在互联网时代的一般轨迹进行分析。首先,个人信息主体在注册账户、登录网页、下载文件等过程中,会主动将其个人信息告知某互联网平台,即个人信息的收集过程。其次,互联网平台会将收集的个人信息存储于中心化数据库,作为系统数据进行存储和运营,即个人信息存储过程。最后,经个人信息主体知情且同意的情况下,互联网平台将会对个人信息进行处理,包括大数据分析、信息推送、信息共享等,即个人信息的处理过程。整个过程中,虽经立法规定了信息主体同意的大前提,但实践中信息处理者仍占据主动地位。个人信息的收集、存储、处理均是在信息处理主体单方参与的情况下作出的,个人信息主体难以对全部的信息流转过程加以监督。通过上述个人信息运行轨迹的分析可以发现,除个人信息处理主体的初次收集、处理外,其可能基于商业利益驱动或安全协议要求,将其存储的个人信息告知第三方。此时,个人信息主体很难及时发现并制止,即使其行使个人信息删除权要求个人信息处理者将个人信息予以删除,仍无法彻底阻止互联网其他第三方的信息处理行为。这种局面无疑给个人信息主体行使权利增加了难度。此外,个人信息删除权的主体应当是针对已知的信息处理者以及实际控制者,对于潜在的第三方而言,删除权无法有效行使。例如,当被遗忘权指向对互联网上旧闻及其搜索链接的删除时,则产生新闻报道和信息自由对人格利益的侵入问题,此时需要通过利益衡量来作出取舍[19]。因此需要全面引入被遗忘权的概念,对删除权作用的对象范围予以扩大,纳入任何未经同意而使用个人信息的主体。总体而言,被遗忘权意图赋予主体权利去删除那些过时、不相关或不再相关的数据,进而实现“被遗忘”的目的[20]。
在区块链网络中,个人信息的处理模式与传统网络有所区别,从个人信息上链的那一刻开始,其后的所有节点对于个人信息的读取和使用均处于默认状态。对于个人信息主体而言,其对个人信息上链的同意即视为个人信息在该区块链网络内公开。除初始上链个人信息的节点外,后续所有节点均能作为个人信息的处理者存在于区块链网络中。但需要以个人信息内容的完全公开为前提。区块链网络以非对称加密技术为其数据提供安全保障,只有同时掌握公钥和私钥才可以对节点存储的信息进行解密读取。若区块链用户在上链之初即对个人信息进行加密处理,后续其他区块也无法获取完整个人信息。在未加密情况下,区块链用户对其个人信息享有相对删除权,但仅针对个人信息的实际控制者,对于区块链网络外的其他平台或信息处理者则无法奏效。因此,为全面保障信息主体的自决权,对于未加密上链的个人信息主体,其除享有对区块链节点的相对删除权外,还拥有对区块链网络外第三方的个人信息删除权。两者结合起来即为区块链网络中的个人信息被遗忘权的全部内涵。在某种程度上而言,信息一旦上网则永久无法删除,因为无法绝对禁止他人获取个人信息。因此,被遗忘权只能从源头予以限制,属于抑制和删除信息获取渠道的权利[21]。
(三)区块链技术下个人信息可携带权的表现方式
数字经济时代,数据和信息成了重要的战略资源,具有较强的生产和经济价值。随着个人信息权利规范体系的不断完善,对个人信息的保护与开发出现矛盾。一方面,互联网时代下,信息的相关性对于互联网产业的发展具有重要指导作用,合理有效地开发、运用个人信息会极大提升互联网效率,给人们生活带来便利;但另一方面,个人信息权利体系越完善,对个人信息的利用限制则越多,强调保护个人信息的人格属性,则会对其经济价值、社会价值的充分发挥产生阻碍。如何做到个人信息保护与合理利用之间的平衡,成为个人信息处理者面临的首要难题。对此,数据可携带权的引入为个人信息合理开发利用的契机,进一步强化了个人信息的财产性价值。
具体而言,数据可携带权指的是个人有意将其数据携带或传输到另一平台从而带来强制性数据转移的权利[22]。根据GDPR第二十条之规定,数据可携带权应包含两层内涵:第一,数据主体有权获取“经过整理的、通用的和机器可读的”个人数据;第二,数据主体有权将个人信息从收集其数据的控制者那里传输给其他控制者[23]。通过主体授权,个人信息可以作为具有权属的数字资源在不同平台、企业间流通,以实现信息的社会属性及经济价值。但这以个人信息的权属为前提,信息主体须能初步证明其具备个人信息的所有权。因此,个人信息可携带权的适用范围应排除匿名化处理的个人信息。区块链匿名化特征主要针对区块链用户而言,采取信息哈希化的处理方式来保护个人信息安全,但这并不排斥可携带权的适用,因为哈希化的个人信息于信息主体而言,仍然是享有权属的。因此,在区块链网络中的个人信息可携带权应有新的表现形式,来实现个人信息的副本下载以及信息转移。区块链用户对其个人信息的维护主要通过公钥和私钥来进行,同时掌握公钥和私钥即可从技术层面视为个人信息的主体。因此,区块链网络中的个人信息可携带权则表现为私钥的占有及转移。公钥一般而言是在区块链网络中向特定用户公开的,而私钥则是主体身份象征,通过私钥的转移即能实现个人信息的流转。
四、双向升级:区块链技术与个人信息保护的完善
区块链网络中的个人信息保护问题并非单纯的法律解释或适用问题,而是一项技术与法律的有机互动,其主题便是如何调和技术与规范之间的冲突,最大化地发挥个人信息的价值,在保护私权的基础上又不妨碍技术的发展。
(一)区块链技术下的个人信息保护理念的确立——公益或私权?
区块链技术是人工智能时代的新兴技术,其对个人信息法律保护的既有架构和监管体系造成颠覆性影响,与《个人信息保护法》在具体理念上存在差异[24]。区块链技术的现有规范主要聚焦于保障和监管,即对于技术的运用予以适度监管以防止可能出现的风险。这种监管根本上仍是注重技术创新,保障其能平稳发展,同时防止危害发生,有学者将之形象地概括为“监管沙盒”[25]。从区块链产生的源头可以发现,其设计初衷便是对中心化监管模式的不信任[26]。因此,区块链技术更倾向于私权保护,相对于中心化政府主导的互联网交易模式,区块链用户更加热衷于使用区块链节点进行分布式记账,保障交易及数据安全。这一点上与个人信息保护的目标不谋而合。个人信息作为重要的数字资源,具有较强的经济价值,并因此常被企业非法传播。为防止个人信息被非法处理,《个人信息保护法》完善了个人信息的权利体系、义务体系以及相应的责任体系,以信息主体同意为基本原则,充分尊重信息主体对个人信息的控制权。《个人信息保护法》也是从私权保护的角度出发,赋予信息主体以删除权为核心的一系列个人信息权,其根本目的也是防止个人信息被违法处理和滥用,进而侵害信息主体合法权益。从私权保护角度出发,《个人信息保护法》与区块链的技术设计具有一致性。
然而私权保护仅是《个人信息保护法》的一项宗旨,除此之外,规范个人信息处理活动也是一项重要任务。个人信息的合法正当处理能够充分发挥个人信息的价值,使大数据时代以信息相关性为主导的活动原则最大限度被运用。在保护的基础上合理开发和利用个人信息,才是《个人信息保护法》所确立的基本理念。对个人信息的合理开发与规范处理,本质上是为了社会公共利益。只有完善个人信息保护体系,健全监管制度,个人信息的价值才能最大限度地发挥,对于信息主体和社会整体而言均是利大于弊。故私权保护与公共利益的衡量也共同构成了《个人信息保护法》的基本宗旨,其中私权保护与区块链技术相吻合。但区块链技术过于凸显节点自治,区块链用户间的交易不会被过多监管,智能合约等无相关主体审核易引发交易安全和个人信息保护风险。同样鉴于区块链技术的去中心化特征,这种风险一般只会作用于交易双方,不致危害公共利益。因为区块链的技术优势,使得区块链网络中的个人信息处理者(大概率为节点实际控制者)很难像一般企业处理个人信息那样影响面广,分布式记账使得区块链网络中的信息处理行为最终只能作用于节点本身。综上,在区块链网络下的个人信息保护可以适当忽略公共利益而更侧重于私权保护,需要更加尊重区块链用户对其个人信息所享有的专属权利。
(二)技术升级:个人信息保护规范促进区块链技术迭代
在私权保护的共同理念下,区块链技术需要与现有个人信息保护规范相契合方能避免冲突、发挥优势。区块链的底层技术是分布式记账、非对称加密、可信时间戳以及哈希算法等,并以去中心化方式将网络节点相互链接,形成链式网络。所有存储于区块链上的用户信息都使用了加密技术、Hash函数进行加密保护,降低了攻击节点访问个人数据并泄露的可能性[27]。在安全性方面,区块链技术对于保护个人信息有积极作用,但个人信息权中要求对信息进行更正、删除等功能在现有区块链技术下便无法完成。我国个人信息保护规范已初具体系,在规范的适用与实施过程中可能会与区块链技术产生摩擦。为此,可对区块链进行技术的迭代升级,在充分发挥技术原有的特征基础上,规避与个人信息保护规范不相适应的内容。区块链的出现本身就是已有技术的重新整合,赋予新网络以全新的运行逻辑。例如,哈希算法与非对称加密技术原本就已经存在于计算机信息网络中,结合起来就能够实现节点信息加密和区块链的匿名化,提升信息安全水平。但技术设计之初并未过多考虑个人信息的保护,同时对于个人信息权的相应权能的实现也未作参考。为与现有个人信息保护规范有机融合,区块链技术需要解决信息不可更改和删除的问题,从技术角度而言,可以通过以下两种方式进行区块链的技术升级。
1.可编辑区块链的模型设计。首先需要说明的是,在分布式和去中心化的区块链系统中,真正在所有节点上完全实现修改、删除等编辑操作是不可能实现的[28]。因此,只能从技术上实现对部分节点进行操作以实现与修改和信息删除同等的效力。具体而言,通过变色龙哈希函数可实现密钥修改,进而拥有对区块链信息的修改权限。变色龙哈希函数实质上是一种带有陷门的单向哈希函数[29],可以在不改变哈希输出值的情况下,通过计算陷门信息,进而轻易改变哈希输入值,以实现修改数据之目的。为实现数据在特定情形下的可修改,区块链平台应提供用户可选择的哈希函数,当区块链用户需要将个人信息上链时,可以借用变色龙哈希函数将个人信息哈希化存储。当需要对信息进行更正时,可通过变色龙哈希修改数据存储密钥,进而对节点数据进行更新。此外,双区块链模式也可完成信息修改之目的。双区块链模式由原始数据链和修正链构成,原有数据存储于原区块链上节点中,修改后数据存储于修正链节点中。矿工们同时对两条链按照可信时间戳和区块高度进行顺序验证,当发现输出哈希值不一致时则切换到修正链上读取数据。但此种模式只能修改修正链生成之后的数据,对此前只有单一链条的数据依旧无法更改。
2.可删除区块链的技术设定。随着区块高度的不断增加,区块链中存储信息量越来越大,普通节点可能缺乏足够的存储空间。对于一些过时且失效的数据已经缺乏存储之必要,需要及时进行清理以释放节点存储空间。另外,关于个人信息删除权的行使,在区块链网络中,对于信息主体请求删除其个人信息时,应当有可行之路径予以完成。有学者提出基于门限环签名的可删除区块链方案,该方案中区块链以空间证明的共识机制为基础,当数据过期或失效时,经大多数用户同意并签名后,可以对过期数据进行删除,并保持区块链的结构不变,不影响其他区块的存储和使用[30]。此外,选择性交易剪枝技术也可根据区块的状态可达性选择特定的不重要交易并删除[31]。对于一些非重要交易,删除一个或一组信息并不会影响整个区块状态的改变,此时可以区块节点的个体行为完成数据删除。但不管是可编辑区块链还是可删除区块链,技术的升级在一定程度上都损害了区块链原有结构的去中心化,甚至以损害数据安全性为代价。因此,从技术升级角度而言,区块链的个人信息保护不仅要注重与规范所确立的权利体系相契合,同时也要不断弥补漏洞,选择一种最适宜行业稳健发展的技术。
(三)规范升级:区块链技术下的个人信息保护规范的体系解释
法律的精髓在于解释。对于新兴技术中的个人信息保护问题,立法时无法予以充分预见,因此,需要对《个人信息保护法》中的部分问题进行合理解释,以使规范与技术能够有机融合,实现个人信息的保护与利用。对区块链技术下的个人信息保护规范进行解释,应着眼于全局,从已确立的保护体系角度出发,重点解决以下三个方面的问题。
1.明确个人信息与技术数据的边界——“合理可能”标准的运用。个人信息的可识别性和人身专属性是其基本属性,也是区别于一般数据的重要标准。然而在区块链匿名性特征作用下,所有个人信息均被哈希化处理,无法直接读取,更难以准确识别到信息主体。在区块链网络中,不管是注册数据还是区块数据,外观上都以哈希代码形式呈现,此时数据均不具备可识别性,难以区分个人信息与一般技术数据。区块链信息的匿名化依靠哈希函数完成,但从技术角度而言,哈希函数逆向的解密并非绝对不可能,在更加进步的解密技术下,哈希化的信息也有可能被读取进而识别出用户主体。因此,在区分个人信息与技术数据时,核心依据仍是以可识别性为主,但在区块链网络等因技术原因无法直观识别的情况下,则要结合“合理可能”标准来作出判断。根据GDPR序言(26)可知,可识别性应当考虑“所有合理可能的方法(All the Means Likely Reasonable)”,诸如识别的时间长短和成本,数据处理时可用的技术以及未来的技术发展等客观因素①General Data Protection Regulation,Recital 26.。当对一项数据采用现有技术几乎难以识别其内容或主体,则该数据为一般数据,不具有可识别性。反之,只要一项数据能够在较短时间内以现有技术水平予以识别,则认为具有可识别性,该数据可归为个人信息。例如Breyer案中,欧盟法院认为,动态IP地址在能够合理地从第三方主体处获取其他信息用来识别网站访问用户身份的情况下是个人信息②Patrick Breyer v.Bundesrepublik Deutschland,Case C- 582/14,http://curia.europa.eu/jur-is/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=en&mode=1st&dir=&occ=first∂=1&cid=851631(2023-02-20).。当然,对于此标准中的合理性与可能性的判断又易引发新的解释问题,但从区块链技术的实践来看,以“合理可能”标准作为区分个人信息和一般数据的依据有一定的积极意义。
2.个人信息删除权的规范解释——以“相对删除”为参考。删除权是个人信息权的重要权能,体现了信息主体对于个人信息的自决原则,对个人信息进行删除也是保护个人信息不受非法处理的重要方式。区块链的不可篡改性与个人信息删除之间具有天然冲突,调和好这种冲突不仅要从技术角度进行升级,对个人信息删除权进行规范解释也是重要出路。在区块链网络中,个人信息的链上删除首先需要解决技术上的可行性问题。根据区块链的共识机制可知,获取区块链51%以上节点的共识即可实现信息的修改或删除,但51%节点修改的算力是否真实存在?至少从目前的区块链实践来看,节点数量越多,这种可能就越低。因此,可以认为对绝对去中心化的区块链网络中数据进行删除,从操作上是难以实现的。故需要对个人信息删除权中的“删除”进行解释,以使其在区块链网络下也能依然有效。对于删除的理解,若从技术上无法彻底实现,则可分为绝对删除与相对删除,区块链上的个人信息删除更倾向于后者,即无法实现绝对删除,而通过匿名化处理、切断访问路径等方式来实现等同于删除的实际效果。因为,个人信息保护规范所追求的效果并非纯粹技术上的彻底删除,而是规范目的的实现,即通过技术运行而实现与更正或删除相同的法律效果。从语义角度出发,绝对删除应当是个人信息的彻底销毁,包括切断获取个人信息的相关链接,这是在技术允许情况下的通常做法。但在无法实现彻底销毁时,如区块链网络中的个人信息,则需要采用相对删除的做法,即利用技术切断获取个人信息的可能,包括匿名化处理、链上分叉、变色龙哈希函数等。但无论是对删除进行扩大解释,还是实用主义视角的理解,只要从根本上切断数据保管者的使用行为与个人信息所有者权利受损之间的联系,即可视为是个人信息的删除。
3.区块链共享机制与影响最小化原则之平衡——链外存储与目的限制结合。我国《个人信息保护法》第六条确立了个人信息处理的影响最小化原则,要求信息处理者在处理公民个人信息时应当具有明确、具体的目的,并采取对个人权益影响最小的方式,收集个人信息时也限于实现处理目的的最小范围,不得过度收集个人信息。而区块链是一个去中心化的分布式记账网络,各节点间数据共享。从创世区块开始,每增加一个区块,都是对前一区块内容的备份与共享,实现数据的完整复制。因此,区块链的数据共享机制是保障数据安全且不被篡改的基础,可以提升信息准确性。区块链共享机制与信息处理的最小化原则之间存在冲突,对区块链技术下的个人信息保护固然应遵循最小化原则,然而却无法回避区块链各节点间信息共享的现实。为实现两者间的平衡,可从技术与原则两个角度出发:一是从技术角度出发构建一套与区块链数据存储相协调的链外存储模式,将非必要上链的数据存储于链外数据库中,实现链上链外的协同共进[32];二是从目的解释出发,区块链节点在复试个人信息时不得超越个人信息上链时的最初目的,例如用于注册公钥而收集的注册数据不得在区块链交易中使用。区块链上的个人信息处理以目的限制为基本原则,尽可能与《个人信息保护法》所确立的影响最小化原则相适应。通过链外存储的技术更新与目的限制的原则相结合,能够一定程度上缓和区块链节点共享与影响最小化原则之冲突。但技术总是在更新迭代,规范却始终保持滞后性,平衡技术与规范冲突的最根本要素应当是价值考量,从本源出发寻找契合点。
五、结语
区块链与个人信息保护是数字时代下几乎无法回避的问题,当两者结合时,不仅在技术与规范之间产生冲突,更给信息处理者收集和利用个人信息提出了更高的要求。区块链固然具有保障信息安全的技术优势,但因不可篡改、匿名化等特征使其忽略了个人信息控制的基础理念,并因此引发个人信息权无法有效行使之风险。例如,区块链中私钥遗失与个人信息控制权的冲突、区块链加密技术与信息共享的冲突等[33]。不管以何种表现形式出现,最终均体现为技术与规范之间的矛盾。故调和好技术与规范之矛盾,使技术优势最大化、规范目标最优化才是区块链技术下的个人信息保护应追求的价值。然而区块链技术并非绝对完美,法律规范也总是滞后,只有在实践中不断改进,不管是技术还是规范解释在个人信息保护的问题上均能从同一出发点考量,则我国的个人信息保护体系将会愈发完善,区块链技术的应用也会更加成熟。
