區塊鏈中的信息并非我們通常所理解的信息形態,而是一串特定長度的字符串,無法單獨用于識別自然人。根據之前我們對匿名化與去標識化的定義可知,若區塊鏈中信息無法用于識別且不能復原,則為匿名化信息,不屬于個人信息;若它可與其他信息結合用于識別,則為去標識化信息,屬于個人信息。下面,我們對交易信息及公鑰是否屬于去標識化信息進行判斷。
1.交易信息
交易信息是經哈希算法得出的特定長度字符串。要判斷交易信息是匿名化信息還是去標識化信息,重要的前提是判斷哈希算法屬于匿名化技術還是去標識化技術。《通知》3.24注1規定,“去標識化仍建立在個體基礎之上,保留了個體顆粒度,采用假名、加密、加鹽的哈希函數等技術手段替代對個人
金融信息的標識”。該通知明確將假名、加密、加鹽的哈希函數界定為去標識化信息的技術種類。
2014年歐盟29條數據保護工作組在發布關于匿名化技術的意見中,也明確指出哈希算法是一種去標識化技術,而非匿名化技術。原因在于雖然哈希算法具有單向性不能反推,但如果知道輸入值的范圍,根據哈希值的穩定性(相同的輸入值會導致相同的輸出值),通過“野蠻算法”嘗試所有可能的輸入值,依靠哈希算法的高速運算特點,也可推斷出特定的輸入值。該意見同時認定哈希的其他變種,包括加鹽哈希(salted-hash function)、帶密鑰哈希(keyed-hash function)同樣是去標識化技術,而非匿名化技術。
可見,哈希算法為去標識化技術已經取得一定共識,而且實踐中也出現了利用大數據技術對區塊鏈中的交易歷史信息進行分析并識別用戶的做法,印證了哈希算法僅是去標識化技術,而非匿名化技術。故經哈希算法加密的交易信息應為去標識化信息,屬于個人信息。
2.公鑰
關于這個問題,存在兩種不同的觀點。一種認為,雖然公鑰不能單獨用于識別特定自然人,但與其他信息相結合時,是可能識別出特定自然人的。有研究表明,公鑰結合IP地址可以識別特定自然人,而用戶通常不會隱藏其IP地址。技術實踐中,由于利益驅動等原因,對公鑰、私鑰的破譯技術發展勢頭迅猛,市場上存在大量專業提供破譯服務的公司。同時,由于監管日趨嚴格,為了符合客戶調查(Know Your Clients,下稱“KYC”)、反洗錢(Anti-Money Laundering,下稱“AML”)等監管要求,會要求用戶在鏈上公布更多必要信息,這也讓破譯變得更為容易,如今執法機構在辦案過程中甚至也經常使用破譯技術查找線索、追蹤犯罪嫌疑人等。而另一種觀點則認為,即使存在破譯技術并存在破譯的現實可能,但通常來講,破譯的難度和成本都很高,且往往破譯的結果僅為特定第三方知曉,并未在公共范圍內造成身份信息可識別。
對于這個問題,歐盟法院在Patrick Breyer v Germany案中對動態IP地址是否屬于個人信息的認定有一定參考意義,該案中,法院認為即使動態IP信息僅能被第三方(如網絡服務提供商)利用其結合掌握的其他信息識別特定自然人,仍應被認定為個人信息。該案雖然并不直接涉及公鑰,但動態IP地址與公鑰非常相似,二者同具有信息交換性質,動態IP地址被網絡服務提供商用于識別身份,而公鑰也會被相關機構按照KYC及AML的要求用于識別身份,歐盟法院認定動態IP信息屬于個人信息,對于判斷公鑰是否屬于個人信息有重要參考作用。
從以上個人信息的界定來看,我國個人信息保護法等法律法規僅做了概括性、原則性規定,并不清晰,甚至容易導致歧義。如個人信息保護法第51條規定個人信息處理者“采取相應的加密、去標識化等安全技術措施”,此處將加密與去標識化并列使用,容易理解為去標識化并非一種加密技術,若如此,則經哈希算法得出的交易信息及采用非對稱加密技術的公鑰就并非去標識化信息,而為匿名化信息,不屬于個人信息,這顯然與我們前述分析的結論不同,也不利于將
區塊鏈技術納入現有個人信息保護的法律框架中規制。
鑒于區塊鏈中信息的特殊性,法律需要考慮并理解技術的特點及差異,并以此為基礎制定規則,設計不同信息的保護模式。如前文提到的歐盟29條數據保護工作組2014年發布的關于匿名化技術的意見,就對不同技術做出了區分并加以舉例,在明確哈希及其變種算法是一種去標識化技術,而非匿名化技術的同時,亦明確“添加噪音”(noise addition)是一種可被接受的匿名化技術等。我國也可借鑒上述做法,結合技術發展現狀,根據實際情況界定不同技術屬性及法律意義,既能保護、促進創新,又有效規制濫用行為,這對于更好地解決區塊鏈技術中的個人信息保護問題具有重要意義。
多樣態“個人信息處理者”
個人信息保護法第73條第1款規定,個人信息處理者,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。在區塊鏈中認定個人信息處理者存在較大困難,緣于區塊鏈中各節點地位對等,承擔的功能相同,并且按照共識算法平等參與決策過程。這與中心化技術存在本質不同,這樣的技術結構也導致區塊鏈中并不存在或者很難找到與中心化技術中心節點類似的個人信息處理者。中心化技術中,中心節點往往就是個人信息處理者,所有信息的存儲與傳輸都要經過該節點,用戶貢獻數據但往往并不參與決策,或者僅參與與其相關的部分決策。
本部分我們將依據第73條中“自主決定處理目的、處理方式”的實質性要求,以是否具有實際控制權作為標準,對區塊鏈結構中存在的不同主體進行具體分析,為區塊鏈中個人信息處理者的認定提供參考。
版權申明:本內容來自于互聯網,屬第三方匯集推薦平臺。本文的版權歸原作者所有,文章言論不代表鏈門戶的觀點,鏈門戶不承擔任何法律責任。如有侵權請聯系QQ:3341927519進行反饋。
