李(lǐ)青
四川(chuān)大学(xué)博士研(yán)究生(shēng),中国法学(xué)交流基金(jīn)会助理研究员
要目
一、问题的提出
二、再认识“个人信息”
三、多样(yàng)态“个人信息处理者”
结(jié)语
我国(guó)个(gè)人信息保护以个人信息(xī)保护(hù)法为基(jī)础构建法律体系,为保护隐私及个人(rén)信息构(gòu)筑了(le)坚实(shí)的(de)法律基础。不过,随着
区块链技术的蓬勃(bó)发展,也带来了新的个人信息保护问题,从个人信息的范围、个(gè)人信息处理者(zhě)的认定到如何处理个(gè)人(rén)信息,都面临诸(zhū)多挑战。技术先(xiān)行为法律解释提供了(le)基础,法律规则也要通过“沙盒监管”等新型方式为技术(shù)发展创造空间,以此逐步确定技术与法律达到平衡的最佳实践(jiàn)。
问题的(de)提出
2021年8月20日,我国第十三届(jiè)全国人大(dà)常委(wěi)会第三十次会议审(shěn)议通过(guò)了我国(guó)个(gè)人信息保护法,并于2021年11月1日起施行,该法(fǎ)构建了权责明(míng)确、保护有效、利用规范的个人信(xìn)息处理(lǐ)和保护(hù)制度规(guī)则。以个人信息保护法为代表的个人信息保护法(fǎ)律法规,均(jun1)主要适用于(yú)中心化信(xìn)息处理(lǐ)技术(shù)中的(de)个人(rén)信息保护,尤其针对(duì)用(yòng)户数量巨大、业(yè)务类型复杂的互联网平(píng)台,通过规(guī)制个人信息处理者行为并施以相应义(yì)务,结(jié)合(hé)对个(gè)人赋权(quán)两方(fāng)面(miàn)实现个人信息保护。然(rán)而,这(zhè)一模式在适用于(yú)以(yǐ)去中(zhōng)心化为主要特点的区块链技术(shù)时,会(huì)面临(lín)诸多挑战。
区块链技术(shù)最突出之处是通过高透明度、不可(kě)更改(gǎi)、分布式容错等特性实(shí)现了“去中心化(huà)”的信任(rèn)。它一方面通(tōng)过(guò)非对称加密/公开与(yǔ)分布式存储(chǔ),设计(jì)出与中心化技术不(bú)同的信息保(bǎo)护模式,使得用(yòng)户可以直接交易,不受中心节点的(de)控制,并(bìng)赋予用户向谁披露(lù)何种信息的控制权,既保护隐私也防止身份盗窃,甚至可以(yǐ)帮助创建、管(guǎn)理、使用“用户身份(fèn)”。另一方(fāng)面,区块(kuài)链不同于中心化技术以信任为基(jī)础,而以透明为基础。透明(míng)与隐私、个人信息保护之间必然存在张力(lì),即虽然区(qū)块链相比其他技术可以赋(fù)予个人更多控制权,并实(shí)现(xiàn)有(yǒu)选择的分享,然而一旦(dàn)信息公开,则有权限的主(zhǔ)体(tǐ)可以复制并永(yǒng)久存储、利用该信(xìn)息,不受数据主体控制,信息泄(xiè)露(lù)的后果可能十分严重。同时,由于链上信息更(gèng)改难度大成本(běn)高,会对(duì)用(yòng)户更正、补充、删除已上传的(de)错误(wù)信息、过时信息等构(gòu)成(chéng)难以逾越的技术障碍。
鉴于此,本文将以个人信息保护(hù)法为主(zhǔ)体,结合(hé)国家网信部(bù)门(mén)等发布(bù)的个人信息保护相关规定,论(lùn)述区块链技术中的(de)个人信息保护问题。为便于讨论,先(xiān)对(duì)三组(zǔ)概(gài)念的含义(yì)进行说明。
一是分布式账本与区块(kuài)链。严格来讲,这两个(gè)概念所包(bāo)括的范围(wéi)从大到小依次应为分(fèn)布式账本、区块链。分(fèn)布式账(zhàng)本包括多种使网络系统在分散(sàn)决策非常困(kùn)难的情况下就所需的状态或意见达成一致的共识(shí),区块链为(wéi)其中一种共识(也称中(zhōng)本(běn)聪共识),还有其(qí)他共识如(rú)Tangle。实际(jì)应用中,对于“区块(kuài)链”的使用经常会包括像Tangle这样的并不会在(zài)节点内(nèi)存储数据的分布(bù)式(shì)账本,由于技术(shù)发展的不确定(dìng)性及边(biān)界(jiè)模糊性,同时(shí)为(wéi)方便起见(jiàn),本文不对分布式账(zhàng)本与区(qū)块链作严格区分(fèn)。
二是公共链(public blockchains)、私有链(liàn)(private blockchains)及
联盟链(hybrid blockchains)。这是根据(jù)区块或节点参与(yǔ)链及读取数据的方式不同所作的分类。公共链是指任何人都可以读取、添加链上数据,链上的任何节(jiē)点均可参与数据的验证(zhèng)和共识过程。私有链则是完全中心(xīn)化的区(qū)块链,适用于(yú)特定机构的(de)内部数据(jù)管理与审计等,其写入权限由中心机构(gòu)控制(zhì),而读取(qǔ)权限可视需求有选择性(xìng)地对外开(kāi)放。联盟链是由达(dá)成共识的多个实体组成,只有部(bù)分节点(diǎn)可以添加数据,读(dú)取(qǔ)数据的权限视情况而定。鉴于公共链最(zuì)具有(yǒu)代表性及(jí)开创性,本文(wén)将重点讨论公共链。
三(sān)是个(gè)人信息、隐私、数(shù)据。我国民法(fǎ)学(xué)领域对这三个概念,尤其是隐(yǐn)私(sī)与个(gè)人信息之间已(yǐ)经有很多讨(tǎo)论(lùn),并对(duì)二者之间应(yīng)分别(bié)保护达成(chéng)共识,民法典和个人信息保护法(fǎ)的通过实施也从(cóng)立法层面认可了隐(yǐn)私权与个人信息之间存在区(qū)别(bié)。从比较法上看,个人信(xìn)息与隐私之间一(yī)元化与二元(yuán)化的选择(zé)也(yě)一(yī)直处于争议与困境中。本(běn)文(wén)讨论重点并非三者之间的区别,而是(shì)区块链(liàn)技术所带来的挑战,故不对个人(rén)信(xìn)息、隐私、数据作严格(gé)区分。
厘(lí)清上(shàng)述概念后,我们将从以下三(sān)个方面具体(tǐ)分析区块链技术中的个人信(xìn)息(xī)保护问题(tí):一是如何界定个人信息的范围,二是(shì)如何(hé)认定个(gè)人信息处(chù)理(lǐ)者,最后(hòu)对区块(kuài)链个人信息处理活动中涉及的个人信(xìn)息处(chù)理原则、个人角(jiǎo)色定位及监管等问(wèn)题进行(háng)论述。
再认(rèn)识“个人信息”
个人(rén)信息保护法第4条第1款规定,“个(gè)人信(xìn)息是(shì)以电子或(huò)者其他方式记录的与已识别或者可识别的自然(rán)人有(yǒu)关的各种信(xìn)息,不包括匿名化处理(lǐ)后(hòu)的信息(xī)。”这里的关键词应为“识别”。“识别”能力随(suí)着技术的不(bú)断发展而日益增强,与之相应的,“个(gè)人信息(xī)”的范围也越来越(yuè)宽泛,从传统的(de)能够直(zhí)接识别(bié)特定自然(rán)人(rén)的信息(xī),如姓名、身份证号码(mǎ)、家(jiā)庭地址、电话号(hào)码(mǎ)等,到电子邮箱、通信记录(lù)、网络交(jiāo)易信(xìn)息、上网浏览痕(hén)迹、网络社交(jiāo)媒体留(liú)言、行踪轨迹、脸部特征(zhēng)信息等过去或不存在(zài),或无法被收集(jí)和存储的信息(xī),都因其技(jì)术上“可识别(bié)”而被认(rèn)定为个人信(xìn)息。
区块链中的信(xìn)息(xī),因(yīn)其特殊的表现形式(shì)(通(tōng)常为一串(chuàn)特定长度的(de)数字字母组合),将再一次挑(tiāo)战我们对“个人(rén)信息”的理解。根据区块链技术结构,区块链中的信息主要包(bāo)括:1)区块头(header)信息(xī),包括(kuò)当前版本号(version)、前一区块(kuài)地址(pre-block)、当前(qián)区块的目标哈希(xī)值(bits)以(yǐ)及时间戳(timestamp)等;2)区块体(body)信息,包括当前区块的(de)交易数量(liàng)以及经过验证的、区块创建过程中生成的所有交易记录(lù)及(jí)交(jiāo)易记录背后(hòu)的知识,通常(cháng)采用哈希(xī)算(suàn)法(SHA256)进(jìn)行加(jiā)密,编码为特(tè)定(dìng)长度的字符(fú)串计入区(qū)块链;3)身份信息,是指(zhǐ)用户身(shēn)份和(hé)区块链地(dì)址之(zhī)间的关(guān)联关系。区块(kuài)链(liàn)中为(wéi)满足安(ān)全性、最大程(chéng)度保(bǎo)护(hù)数(shù)据,会(huì)采用非对称加密技术进行加密,即在加密和解密过(guò)程中使用两(liǎng)个(gè)非对称的密码(mǎ),私钥(yào)和公钥(yào),私钥类似于银(yín)行账(zhàng)户密码,除了用(yòng)户(hù)本人外别(bié)人并不知道,而公钥(yào)类似于(yú)银行账户(hù),会在区块链公开,表明了用户身份和区块链地址之间的(de)关联关系,为身(shēn)份信息。
上(shàng)述三种(zhǒng)信息中(zhōng),与个人相关的为后两种(zhǒng)信息(xī),即区块体(tǐ)中的交(jiāo)易信息(xī)与公钥。要判断此两种信息是否(fǒu)属于“个人信(xìn)息”,即需要判(pàn)断上述信息是否存在“识(shí)别”的可能。对“识别”的判断要依据个人信息保护法第73条,该(gāi)条规(guī)定(dìng)了个(gè)人信息的去标识化(pseudonymization)与匿名化(anonymization)。去标识化是指个人信(xìn)息经过处理,使其在(zài)不(bú)借助额外(wài)信息的情况下(xià)无(wú)法识(shí)别特定(dìng)自然人的过(guò)程(chéng)。匿名化是指个(gè)人信息经过处理无法识别特定(dìng)自然人且不能复原的过程。结合(hé)个人信息保护法第(dì)4条第1款,可知匿名化信息不是个人信息。因此,要判断区块(kuài)链中的信(xìn)息是否为个人信(xìn)息需要(yào)回答两个问题:一(yī)是去标识化信(xìn)息(xī)是否属于个(gè)人信息;二是区(qū)块(kuài)链中(zhōng)的信息是否属于去标识化信息。
版权(quán)申明(míng):本内(nèi)容来自于互(hù)联网,属第三方汇集(jí)推荐平台(tái)。本文的版权归(guī)原作者所(suǒ)有,文章言论不代表链门户(hù)的观点,链门(mén)户不(bú)承担任何法律(lǜ)责任(rèn)。如有侵(qīn)权(quán)请联(lián)系QQ:3341927519进行(háng)反馈。
