李(lǐ)青
四(sì)川大学博士研究生,中国法学(xué)交(jiāo)流(liú)基(jī)金会助理研究员
要(yào)目(mù)
一(yī)、问题的提出
二、再认识“个人信息”
三、多(duō)样态“个(gè)人信息(xī)处理(lǐ)者”
四、
区块链中的“个(gè)人(rén)信息(xī)处理”
结语
我国个人信(xìn)息保护以个人信息保护法为基础构(gòu)建(jiàn)法律(lǜ)体系(xì),为保护(hù)隐私及个人信息构筑(zhù)了坚实的法律基础。不(bú)过,随着
区块链技术的蓬勃发展,也带来了新(xīn)的个人信息(xī)保护问(wèn)题,从个人信息的范围(wéi)、个人信息处(chù)理者(zhě)的(de)认定到如何处理个人信息,都面临诸多挑战。技(jì)术先行为法律解释提供(gòng)了基础,法律规则也要通(tōng)过“沙盒监管”等新型方式为技术发展创造(zào)空间,以此逐步确定技术与法律达到平衡的最佳实践。
问(wèn)题的提出
2021年(nián)8月(yuè)20日,我国第十(shí)三届全国(guó)人(rén)大常委会第(dì)三十(shí)次会议审议通过(guò)了我国个人信(xìn)息保护法,并于(yú)2021年11月1日起(qǐ)施行,该法构建了权(quán)责明确、保(bǎo)护有效、利(lì)用规范的个人信息处理和保(bǎo)护制度规(guī)则。以个人信息保护法(fǎ)为代表的个人信息保护法律法规,均主要适用于中心化(huà)信息处理(lǐ)技术中的个人信息(xī)保(bǎo)护,尤其针对用户数量(liàng)巨大、业务类(lèi)型复杂的互联网平台,通(tōng)过规制个人(rén)信息处理者行为并施以相应义务,结合对个人赋权两(liǎng)方面实(shí)现个人信息保护(hù)。然(rán)而(ér),这一模(mó)式(shì)在适用于以去中心化为主要特点的区块(kuài)链技术时,会(huì)面(miàn)临诸多挑战。
区块链技术(shù)最突(tū)出之处是通(tōng)过(guò)高透明度(dù)、不可更改、分布式容错等特性实(shí)现了(le)“去中心化”的信任(rèn)。它一方面(miàn)通(tōng)过非对称加密/公开与分(fèn)布式存储,设计出与中心化技术不同的(de)信息(xī)保护模式,使得用户可以直接交易,不受中心节点的(de)控制,并赋(fù)予用户向谁(shuí)披露(lù)何种信(xìn)息的控制权(quán),既保护隐私也(yě)防止身份盗窃,甚至可以(yǐ)帮(bāng)助创建、管理、使用“用(yòng)户身份”。另一方(fāng)面,区块链不(bú)同于中心化技(jì)术以信任为(wéi)基础,而(ér)以透明为基础。透明与隐私、个(gè)人信息保护(hù)之间必然存在(zài)张力(lì),即虽然区块(kuài)链相比其他技术可以赋予个人更多控制(zhì)权,并(bìng)实(shí)现有选择的分享,然而一旦信息公开,则有权限的主体可以复制并永(yǒng)久(jiǔ)存储(chǔ)、利用该信息,不受数(shù)据主(zhǔ)体控(kòng)制,信息(xī)泄露的后果可能十分严重。同(tóng)时,由(yóu)于(yú)链上(shàng)信(xìn)息更改难度大成本高,会对用户更正、补充、删除已上传(chuán)的(de)错误信息、过时(shí)信息等构(gòu)成难以(yǐ)逾越的技术障(zhàng)碍。
鉴于此,本文将以个人信息保护法为主(zhǔ)体(tǐ),结合国家网信部门等发(fā)布的个人信息保护相关规定(dìng),论述区块链技术中的个人(rén)信(xìn)息保护问题。为便于讨论(lùn),先对三组概念(niàn)的含义进行说明。
一是分(fèn)布式账本与区块链(liàn)。严(yán)格来讲(jiǎng),这(zhè)两个(gè)概念所包括(kuò)的范围从(cóng)大到小依(yī)次应为分布式账本、区块链。分布(bù)式账本包括多种使网络(luò)系统在分散(sàn)决(jué)策非(fēi)常困(kùn)难(nán)的情况下就所(suǒ)需的状(zhuàng)态或意见达成一致的(de)共识,区块(kuài)链为其中一种共识(也(yě)称中本(běn)聪共(gòng)识),还有其(qí)他共识如Tangle。实际应用中,对(duì)于“区块链”的使用经(jīng)常会包括像Tangle这样(yàng)的并不会在节点内存储数据的分布式(shì)账本,由(yóu)于(yú)技术发展的不(bú)确定性及边(biān)界模糊(hú)性,同时为方便(biàn)起见(jiàn),本文不对(duì)分布式账本与区块链作严格区(qū)分。
二是公共(gòng)链(public blockchains)、私有链(private blockchains)及
联盟链(hybrid blockchains)。这是根据区(qū)块或节点参(cān)与链及读取数据(jù)的方式不同所作(zuò)的(de)分类。公共链(liàn)是指(zhǐ)任何(hé)人都可以读取、添加链上数据,链上的任何(hé)节(jiē)点均可(kě)参与(yǔ)数据的验证和共识过(guò)程。私有链则是完全(quán)中心化的区块(kuài)链,适用(yòng)于特定机构的(de)内部数据(jù)管理与审(shěn)计(jì)等,其写入权(quán)限(xiàn)由中心机构(gòu)控制,而读取权限(xiàn)可视需求有选择性地对外开放。联(lián)盟链(liàn)是由达成共识的多个实体组成(chéng),只有部分节点可(kě)以添加数据(jù),读取数据(jù)的权(quán)限(xiàn)视情况而定。鉴于公共链最具(jù)有代表(biǎo)性及开创性,本文(wén)将重点(diǎn)讨论公共(gòng)链(liàn)。
三是个人信息、隐(yǐn)私、数据。我(wǒ)国民法学领域(yù)对这三个概念,尤其是隐私与个人信息之(zhī)间已经有很(hěn)多(duō)讨论,并对二者(zhě)之间应分别保(bǎo)护达成共识,民(mín)法典(diǎn)和个人(rén)信息保护法的通过实施也从立法层面(miàn)认可了隐(yǐn)私权与(yǔ)个人信息之间存(cún)在区别。从(cóng)比较法上看,个(gè)人信息与隐私之间一元化与二元化(huà)的(de)选择也一直处(chù)于争议(yì)与困境中。本文讨论重点并非三者之(zhī)间的(de)区(qū)别,而是区块链技术所带(dài)来的挑战,故不对个人信(xìn)息、隐私、数据作(zuò)严(yán)格区分。
厘(lí)清上述概(gài)念后,我们将从以下三个方面(miàn)具体(tǐ)分析(xī)区块链技术中的个人信息保护问(wèn)题:一是如(rú)何界定个人信息的(de)范围,二是如何认定个人信息(xī)处理(lǐ)者(zhě),最后(hòu)对区(qū)块链个人信息处理活动中涉(shè)及的个人信息(xī)处理原则、个人(rén)角色定(dìng)位及监管等问题进行论述。
再认(rèn)识“个(gè)人信息”
个人信息保护法第(dì)4条第(dì)1款规定,“个人信息(xī)是以电(diàn)子或者(zhě)其他(tā)方式(shì)记录的与(yǔ)已识别或者(zhě)可识别(bié)的自然(rán)人有(yǒu)关的各种信息,不包括匿名化处理后的信(xìn)息。”这里的关键词应为“识别(bié)”。“识别(bié)”能力随着技术(shù)的不断发展而日益(yì)增强(qiáng),与之相应的,“个人(rén)信息”的范围也越来越宽(kuān)泛,从传统(tǒng)的(de)能(néng)够(gòu)直接识别特定自然人的(de)信息(xī),如姓名、身(shēn)份证号码、家庭地址、电话号码等,到电子邮箱、通信记录、网(wǎng)络交易信息、上(shàng)网浏览痕迹、网络(luò)社交(jiāo)媒体留言(yán)、行踪轨迹(jì)、脸部特征(zhēng)信息等过去(qù)或(huò)不(bú)存在,或无法(fǎ)被(bèi)收集(jí)和存储的(de)信息,都因(yīn)其技术上(shàng)“可识(shí)别(bié)”而(ér)被(bèi)认定(dìng)为个人信(xìn)息。
区块链(liàn)中的(de)信(xìn)息,因其特殊的表现形式(通常为一串(chuàn)特(tè)定长(zhǎng)度的数字字母(mǔ)组合),将再一次挑(tiāo)战我们对“个人信息”的理解。根据区块链技术结构,区块链中的信息主要包括(kuò):1)区块头(header)信息,包括当前(qián)版本(běn)号(version)、前一区块地址(pre-block)、当前区块的目标(biāo)哈希(xī)值(zhí)(bits)以及(jí)时(shí)间戳(timestamp)等;2)区块体(body)信息,包括当前区块的交易数量以及(jí)经过(guò)验证的、区块创建过程(chéng)中生成的所有(yǒu)交易记录及交易记录背后的(de)知识,通常采用哈希算法(SHA256)进行加密,编码为特定长度的字符串计入区块链;3)身份信息,是指用(yòng)户身份和区块链地址之间的关联关系。区块链中(zhōng)为满足安(ān)全性(xìng)、最(zuì)大程度(dù)保(bǎo)护数(shù)据(jù),会(huì)采用非对(duì)称加密技(jì)术(shù)进行加密,即在加密和解密过程中使(shǐ)用(yòng)两个非对称的密(mì)码,私钥和公钥,私钥类似于(yú)银行账户(hù)密码,除(chú)了用(yòng)户本人外别人并(bìng)不知道,而公钥类(lèi)似于银行账(zhàng)户,会在区块链(liàn)公开,表明了用户身份和区块链地址之(zhī)间的关(guān)联关系,为身份信息。
上述三种信(xìn)息中,与个人相关的为后(hòu)两种信息,即区块体中的交易信息与公(gōng)钥。要判断此两种信息是否属于“个人信息”,即需要判(pàn)断上(shàng)述(shù)信息是否存在“识(shí)别”的可能。对“识别”的判断要依据个人信息保护法第73条,该条规定(dìng)了(le)个(gè)人信息的去标识化(pseudonymization)与匿名化(huà)(anonymization)。去(qù)标(biāo)识化是指个人信息经过处理,使其(qí)在不借助(zhù)额外信(xìn)息的情(qíng)况下无法识别特定自(zì)然人的过程。匿名化是指个人信息经(jīng)过处理无法识别(bié)特定自然人且不能(néng)复原的过程。结合(hé)个人信息保护法第4条第1款,可(kě)知(zhī)匿(nì)名化信息不是个人信息。因此,要(yào)判(pàn)断区块(kuài)链中的信息是否为个人信息(xī)需要回答两个(gè)问题:一(yī)是(shì)去(qù)标识(shí)化信息是否属于个人信息;二是区块链(liàn)中(zhōng)的信息是否属于去标识化(huà)信(xìn)息。
版(bǎn)权申(shēn)明:本内容来自于互联网,属(shǔ)第三方汇(huì)集推(tuī)荐平台(tái)。本文的版权归(guī)原作者所有,文章言论不代表链门户的(de)观(guān)点,链门(mén)户不承(chéng)担任(rèn)何法律责任。如有侵(qīn)权请联系(xì)QQ:3341927519进行(háng)反馈(kuì)。
