李青
要目
一、問題的提出
二、再認識“個人信息”
三、多樣態“個人信息處理者”
結語
我國個人信息保護以個人信息保護法為基礎構建法律體系,為保護隱私及個人信息構筑了堅實的法律基礎。不過,隨著
區塊鏈技術的蓬勃發展,也帶來了新的個人信息保護問題,從個人信息的范圍、個人信息處理者的認定到如何處理個人信息,都面臨諸多挑戰。技術先行為法律解釋提供了基礎,法律規則也要通過“沙盒監管”等新型方式為技術發展創造空間,以此逐步確定技術與法律達到平衡的最佳實踐。
問題的提出
2021年8月20日,我國第十三屆全國人大常委會第三十次會議審議通過了我國個人信息保護法,并于2021年11月1日起施行,該法構建了權責明確、保護有效、利用規范的個人信息處理和保護制度規則。以個人信息保護法為代表的個人信息保護法律法規,均主要適用于中心化信息處理技術中的個人信息保護,尤其針對用戶數量巨大、業務類型復雜的互聯網平臺,通過規制個人信息處理者行為并施以相應義務,結合對個人賦權兩方面實現個人信息保護。然而,這一模式在適用于以去中心化為主要特點的區塊鏈技術時,會面臨諸多挑戰。
區塊鏈技術最突出之處是通過高透明度、不可更改、分布式容錯等特性實現了“去中心化”的信任。它一方面通過非對稱加密/公開與分布式存儲,設計出與中心化技術不同的信息保護模式,使得用戶可以直接交易,不受中心節點的控制,并賦予用戶向誰披露何種信息的控制權,既保護隱私也防止身份盜竊,甚至可以幫助創建、管理、使用“用戶身份”。另一方面,區塊鏈不同于中心化技術以信任為基礎,而以透明為基礎。透明與隱私、個人信息保護之間必然存在張力,即雖然區塊鏈相比其他技術可以賦予個人更多控制權,并實現有選擇的分享,然而一旦信息公開,則有權限的主體可以復制并永久存儲、利用該信息,不受數據主體控制,信息泄露的后果可能十分嚴重。同時,由于鏈上信息更改難度大成本高,會對用戶更正、補充、刪除已上傳的錯誤信息、過時信息等構成難以逾越的技術障礙。
鑒于此,本文將以個人信息保護法為主體,結合國家網信部門等發布的個人信息保護相關規定,論述區塊鏈技術中的個人信息保護問題。為便于討論,先對三組概念的含義進行說明。
一是分布式賬本與區塊鏈。嚴格來講,這兩個概念所包括的范圍從大到小依次應為分布式賬本、區塊鏈。分布式賬本包括多種使網絡系統在分散決策非常困難的情況下就所需的狀態或意見達成一致的共識,區塊鏈為其中一種共識(也稱中本聰共識),還有其他共識如Tangle。實際應用中,對于“區塊鏈”的使用經常會包括像Tangle這樣的并不會在節點內存儲數據的分布式賬本,由于技術發展的不確定性及邊界模糊性,同時為方便起見,本文不對分布式賬本與區塊鏈作嚴格區分。
二是公共鏈(public blockchains)、私有鏈(private blockchains)及
聯盟鏈(hybrid blockchains)。這是根據區塊或節點參與鏈及讀取數據的方式不同所作的分類。公共鏈是指任何人都可以讀取、添加鏈上數據,鏈上的任何節點均可參與數據的驗證和共識過程。私有鏈則是完全中心化的區塊鏈,適用于特定機構的內部數據管理與審計等,其寫入權限由中心機構控制,而讀取權限可視需求有選擇性地對外開放。聯盟鏈是由達成共識的多個實體組成,只有部分節點可以添加數據,讀取數據的權限視情況而定。鑒于公共鏈最具有代表性及開創性,本文將重點討論公共鏈。
三是個人信息、隱私、數據。我國民法學領域對這三個概念,尤其是隱私與個人信息之間已經有很多討論,并對二者之間應分別保護達成共識,民法典和個人信息保護法的通過實施也從立法層面認可了隱私權與個人信息之間存在區別。從比較法上看,個人信息與隱私之間一元化與二元化的選擇也一直處于爭議與困境中。本文討論重點并非三者之間的區別,而是區塊鏈技術所帶來的挑戰,故不對個人信息、隱私、數據作嚴格區分。
厘清上述概念后,我們將從以下三個方面具體分析區塊鏈技術中的個人信息保護問題:一是如何界定個人信息的范圍,二是如何認定個人信息處理者,最后對區塊鏈個人信息處理活動中涉及的個人信息處理原則、個人角色定位及監管等問題進行論述。
再認識“個人信息”
個人信息保護法第4條第1款規定,“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。”這里的關鍵詞應為“識別”。“識別”能力隨著技術的不斷發展而日益增強,與之相應的,“個人信息”的范圍也越來越寬泛,從傳統的能夠直接識別特定自然人的信息,如姓名、身份證號碼、家庭地址、電話號碼等,到電子郵箱、通信記錄、網絡交易信息、上網瀏覽痕跡、網絡社交媒體留言、行蹤軌跡、臉部特征信息等過去或不存在,或無法被收集和存儲的信息,都因其技術上“可識別”而被認定為個人信息。
區塊鏈中的信息,因其特殊的表現形式(通常為一串特定長度的數字字母組合),將再一次挑戰我們對“個人信息”的理解。根據區塊鏈技術結構,區塊鏈中的信息主要包括:1)區塊頭(header)信息,包括當前版本號(version)、前一區塊地址(pre-block)、當前區塊的目標哈希值(bits)以及時間戳(timestamp)等;2)區塊體(body)信息,包括當前區塊的交易數量以及經過驗證的、區塊創建過程中生成的所有交易記錄及交易記錄背后的知識,通常采用哈希算法(SHA256)進行加密,編碼為特定長度的字符串計入區塊鏈;3)身份信息,是指用戶身份和區塊鏈地址之間的關聯關系。區塊鏈中為滿足安全性、最大程度保護數據,會采用非對稱加密技術進行加密,即在加密和解密過程中使用兩個非對稱的密碼,私鑰和公鑰,私鑰類似于銀行賬戶密碼,除了用戶本人外別人并不知道,而公鑰類似于銀行賬戶,會在區塊鏈公開,表明了用戶身份和區塊鏈地址之間的關聯關系,為身份信息。
上述三種信息中,與個人相關的為后兩種信息,即區塊體中的交易信息與公鑰。要判斷此兩種信息是否屬于“個人信息”,即需要判斷上述信息是否存在“識別”的可能。對“識別”的判斷要依據個人信息保護法第73條,該條規定了個人信息的去標識化(pseudonymization)與匿名化(anonymization)。去標識化是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。匿名化是指個人信息經過處理無法識別特定自然人且不能復原的過程。結合個人信息保護法第4條第1款,可知匿名化信息不是個人信息。因此,要判斷區塊鏈中的信息是否為個人信息需要回答兩個問題:一是去標識化信息是否屬于個人信息;二是區塊鏈中的信息是否屬于去標識化信息。
版權申明:本內容來自于互聯網,屬第三方匯集推薦平臺。本文的版權歸原作者所有,文章言論不代表鏈門戶的觀點,鏈門戶不承擔任何法律責任。如有侵權請聯系QQ:3341927519進行反饋。
