李青
四川大学(xué)博(bó)士(shì)研究生,中国法(fǎ)学交流基金会助理研(yán)究(jiū)员
要目
一、问题的提出(chū)
二、再(zài)认(rèn)识“个人信息”
三、多样态“个人信息处理者”
结语
我国个(gè)人(rén)信(xìn)息(xī)保护以个(gè)人信息保护法为基础构建(jiàn)法律体系,为保护(hù)隐私及个人(rén)信息构筑了坚实的法律基础。不过,随着
区块链技(jì)术的蓬勃发展,也(yě)带来了新的个(gè)人信息保护问(wèn)题,从个人信息的范围、个人信息处理者的认定到(dào)如(rú)何(hé)处(chù)理个人信息,都(dōu)面临诸多挑战。技(jì)术(shù)先行为法律解释提供(gòng)了基础,法律规则也要通过“沙盒监管”等新型方(fāng)式(shì)为技术发展创造空间,以(yǐ)此逐步确(què)定技术与(yǔ)法律(lǜ)达到平衡的最佳(jiā)实践。
问题的提出(chū)
2021年8月20日,我国第十三届全国人大常委会第三十(shí)次会(huì)议审议通过了我国(guó)个人(rén)信息保护法,并于2021年11月1日起施(shī)行,该法构(gòu)建(jiàn)了权责(zé)明确(què)、保护有效(xiào)、利用(yòng)规范的个人信息处理和保护制度规则。以个人信(xìn)息保护法为代表的个(gè)人信息保护法(fǎ)律法规,均主要适(shì)用(yòng)于(yú)中(zhōng)心(xīn)化信息处理技术中的个人信息保护(hù),尤其(qí)针对用(yòng)户数量巨大、业务类型复杂的互联网平(píng)台(tái),通过规制个人信(xìn)息处理者行为并施以相应(yīng)义务(wù),结合对个人赋权两(liǎng)方(fāng)面实现个人信息保(bǎo)护。然而,这一(yī)模式在适用于以去中心化为主要特点的区块链技术(shù)时,会面临诸多挑战。
区块链技术最(zuì)突出之处是通(tōng)过高透(tòu)明度、不可更改(gǎi)、分布式容错等特性实现了“去中心化”的信任。它一方面通过非对称加密(mì)/公开(kāi)与分布式存储(chǔ),设计出与中(zhōng)心化技术不同(tóng)的信(xìn)息(xī)保护模(mó)式(shì),使得用户可(kě)以直(zhí)接交易,不(bú)受(shòu)中心(xīn)节(jiē)点(diǎn)的(de)控制,并赋(fù)予用户向谁披露何种信息的(de)控制权,既保护隐私也防止身份盗窃(qiè),甚至可以帮助(zhù)创(chuàng)建、管理、使用“用户身份”。另一方面,区(qū)块链不(bú)同(tóng)于(yú)中心化(huà)技术(shù)以信任为基础(chǔ),而(ér)以透明为(wéi)基(jī)础。透明与隐私、个人信息保护之间必(bì)然存在张(zhāng)力,即虽然区(qū)块链相比其他技术(shù)可以(yǐ)赋予个(gè)人更多控制权,并实(shí)现有选择(zé)的分享,然而一旦信(xìn)息公开,则有权限(xiàn)的主体可以复制并永久(jiǔ)存储、利用该信息,不受数据主体控制,信息泄露(lù)的(de)后果可能十分严重。同时,由于链上信息更(gèng)改(gǎi)难度大成本高(gāo),会(huì)对(duì)用(yòng)户更正、补充(chōng)、删除已(yǐ)上传(chuán)的错误(wù)信息、过时信息等(děng)构成难以逾越的技(jì)术障碍。
鉴于此,本(běn)文将以个人(rén)信息保护法(fǎ)为主体,结(jié)合国(guó)家网信部门等发布的(de)个人信(xìn)息(xī)保护相关(guān)规定,论述(shù)区块链技术(shù)中的个人信息保护(hù)问(wèn)题。为便于讨论,先对(duì)三组概(gài)念的含(hán)义进行说明。
一是分布(bù)式账本与区块链。严格(gé)来讲,这两(liǎng)个概(gài)念所包括(kuò)的范围(wéi)从大到小依次应为分布式(shì)账本、区块链。分布式账(zhàng)本包(bāo)括多种使网络系统在(zài)分散决策非常困难的(de)情况下(xià)就所需的状(zhuàng)态或意见达成一致的共识,区(qū)块链为其中(zhōng)一种共识(也称中(zhōng)本聪共识),还有其(qí)他共识如Tangle。实(shí)际应(yīng)用中(zhōng),对于“区块链”的(de)使用经常(cháng)会包括像Tangle这(zhè)样的并不(bú)会在节点内存储数据(jù)的(de)分布式账本,由于技术发展的不确定性(xìng)及边界模糊性,同时(shí)为方便起(qǐ)见,本文不对分布式账本与区块链作严格区(qū)分。
二是公共链(public blockchains)、私有(yǒu)链(liàn)(private blockchains)及
联盟(méng)链(hybrid blockchains)。这是根据区块(kuài)或(huò)节(jiē)点参与(yǔ)链及(jí)读取数据的方式(shì)不同所(suǒ)作的分(fèn)类。公共(gòng)链是指任何(hé)人都可(kě)以读取、添加链上数据,链上的(de)任(rèn)何节(jiē)点均(jun1)可参与(yǔ)数据的验(yàn)证和共识过(guò)程。私有链则是完全中心化的区块链,适用于特(tè)定机构的内部数据管理与审计等(děng),其写入权限由中心机构控制,而(ér)读取(qǔ)权(quán)限可视需求有选择(zé)性地对外开放(fàng)。联盟链是(shì)由达成共识的多个实体组(zǔ)成,只有部分节点可以添加数据,读取数据的权限视(shì)情况(kuàng)而(ér)定。鉴于公共(gòng)链最具有代表(biǎo)性(xìng)及开创性,本文(wén)将重(chóng)点讨论公共链。
三是个人信息、隐私(sī)、数(shù)据。我国(guó)民法(fǎ)学领域对这(zhè)三个概念,尤其是(shì)隐私与个(gè)人信息之间已经有很(hěn)多讨论,并对二者(zhě)之(zhī)间应分别保护(hù)达成共识,民法典和个人信息保护法的(de)通过实施也(yě)从(cóng)立法层面认可了(le)隐私权与(yǔ)个(gè)人信息之间(jiān)存(cún)在区别。从比较法上看,个人信息与隐(yǐn)私(sī)之间一元化(huà)与二元(yuán)化的选(xuǎn)择也一(yī)直处(chù)于争议与困境中。本(běn)文讨论重(chóng)点并非(fēi)三者(zhě)之(zhī)间的区别,而是区块链技(jì)术(shù)所带来的(de)挑战,故不对个(gè)人(rén)信息、隐私、数(shù)据(jù)作严格区分。
厘清上述概念后(hòu),我们将(jiāng)从以(yǐ)下(xià)三个方(fāng)面具体分析(xī)区块(kuài)链技术中的(de)个人信息保护问题:一是如何界定(dìng)个人(rén)信息的(de)范围(wéi),二是(shì)如何(hé)认定个人信息处理者,最后对(duì)区块(kuài)链个人信息处(chù)理(lǐ)活动中(zhōng)涉及(jí)的个人信息处(chù)理原则、个人角色定(dìng)位(wèi)及监管等问题(tí)进(jìn)行论述。
再认识“个人信(xìn)息”
个人信息保(bǎo)护法第4条第(dì)1款规(guī)定,“个人(rén)信息(xī)是以电子或者其他(tā)方(fāng)式(shì)记录的与已识别(bié)或者可(kě)识别的自然人有关的各种信息,不包括匿名化处理后的(de)信息(xī)。”这里的(de)关键词应为“识别”。“识别”能力(lì)随着技(jì)术的不断发展而日益增强,与之相(xiàng)应的,“个人信息”的范围也越来(lái)越(yuè)宽泛,从传统的(de)能(néng)够直(zhí)接识别特定自(zì)然人的信息,如(rú)姓(xìng)名、身份证号码(mǎ)、家庭(tíng)地址、电话号码等,到(dào)电子邮箱、通(tōng)信记录、网络交(jiāo)易(yì)信息(xī)、上(shàng)网(wǎng)浏(liú)览痕迹、网络社(shè)交媒体留言、行踪轨迹、脸部特征信息(xī)等过去或(huò)不存在,或无法被收集和存储的(de)信息,都因其技术上“可识别”而被认定为个人信息。
区块链(liàn)中的信息,因其特殊的表(biǎo)现形式(shì)(通常为一串(chuàn)特定(dìng)长度的数字字母组合),将再一次(cì)挑战我们(men)对“个人信息”的理(lǐ)解(jiě)。根(gēn)据区块链技术结构,区块链中的信息主要包括(kuò):1)区块头(header)信息,包括当前版(bǎn)本号(version)、前一(yī)区(qū)块地址(zhǐ)(pre-block)、当前区块的目(mù)标哈(hā)希值(bits)以及时间戳(timestamp)等;2)区块体(body)信息,包括当前区块的(de)交易数量以及(jí)经过验证的、区块创建过程中生成的所有交(jiāo)易(yì)记录及交易记录背后的知识,通常采用哈希算法(SHA256)进行加(jiā)密,编码(mǎ)为特(tè)定长度的字符串计入(rù)区块链;3)身份信息(xī),是指(zhǐ)用户身份和区块链地址之间的关(guān)联关系。区块(kuài)链中(zhōng)为满足安全性、最大程度保护数据,会采用非对(duì)称加密技术进行加密,即在加密和解(jiě)密过程中使用两个非对称的密码,私钥和公钥,私钥类似于(yú)银行账户(hù)密(mì)码,除了用户本人外别(bié)人并不(bú)知道,而公钥类似于银行账户,会在区块链公开,表明了用户身(shēn)份和区块链地址(zhǐ)之(zhī)间的关联(lián)关系(xì),为身(shēn)份(fèn)信(xìn)息。
上述(shù)三种信息中,与个人相关(guān)的为后两种信息(xī),即区块(kuài)体中的交(jiāo)易信息与公钥(yào)。要判断(duàn)此两种信息是否属于“个人信息”,即需要判(pàn)断上述信(xìn)息是否存在“识别”的可能。对“识别”的(de)判断要依(yī)据个人信息(xī)保护法第73条,该条规定了个(gè)人信息的去标识化(pseudonymization)与匿名化(anonymization)。去标识化是指个人(rén)信息经过处理,使其在不借助额外信息(xī)的情况(kuàng)下无(wú)法识别(bié)特定(dìng)自然人的过程。匿名化是指个(gè)人信(xìn)息经(jīng)过处理无法识(shí)别特(tè)定自然人且(qiě)不能复原的(de)过程。结合(hé)个人信息保护(hù)法(fǎ)第4条第1款,可知匿(nì)名化信息不是个人信息。因此,要判断(duàn)区(qū)块(kuài)链中的信息是否为个人信(xìn)息需要回答两个问(wèn)题:一是(shì)去标识化信(xìn)息是否(fǒu)属于(yú)个(gè)人信息;二是区块链中的(de)信息是否属于去标识化信(xìn)息。
版权申明:本(běn)内容来自于(yú)互(hù)联(lián)网,属第三方汇集推荐平台。本(běn)文的版权(quán)归原作者所(suǒ)有,文章言论(lùn)不代(dài)表链(liàn)门户的观(guān)点,链门户不承担任何法律(lǜ)责(zé)任。如有(yǒu)侵权请联(lián)系(xì)QQ:3341927519进行(háng)反馈。
