李青
要目
一、问题的提出
二、再认识“个人信息”
三、多样态“个人信息处理者”
结语
我国个人信息保护以个人信息保护法为基础构建法律体系,为保护隐私及个人信息构筑了坚实的法律基础。不过,随着
区块链技术的蓬勃发展,也带来了新的个人信息保护问题,从个人信息的范围、个人信息处理者的认定到如何处理个人信息,都面临诸多挑战。技术先行为法律解释提供了基础,法律规则也要通过“沙盒监管”等新型方式为技术发展创造空间,以此逐步确定技术与法律达到平衡的最佳实践。
问题的提出
2021年8月20日,我国第十三届全国人大常委会第三十次会议审议通过了我国个人信息保护法,并于2021年11月1日起施行,该法构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。以个人信息保护法为代表的个人信息保护法律法规,均主要适用于中心化信息处理技术中的个人信息保护,尤其针对用户数量巨大、业务类型复杂的互联网平台,通过规制个人信息处理者行为并施以相应义务,结合对个人赋权两方面实现个人信息保护。然而,这一模式在适用于以去中心化为主要特点的区块链技术时,会面临诸多挑战。
区块链技术最突出之处是通过高透明度、不可更改、分布式容错等特性实现了“去中心化”的信任。它一方面通过非对称加密/公开与分布式存储,设计出与中心化技术不同的信息保护模式,使得用户可以直接交易,不受中心节点的控制,并赋予用户向谁披露何种信息的控制权,既保护隐私也防止身份盗窃,甚至可以帮助创建、管理、使用“用户身份”。另一方面,区块链不同于中心化技术以信任为基础,而以透明为基础。透明与隐私、个人信息保护之间必然存在张力,即虽然区块链相比其他技术可以赋予个人更多控制权,并实现有选择的分享,然而一旦信息公开,则有权限的主体可以复制并永久存储、利用该信息,不受数据主体控制,信息泄露的后果可能十分严重。同时,由于链上信息更改难度大成本高,会对用户更正、补充、删除已上传的错误信息、过时信息等构成难以逾越的技术障碍。
鉴于此,本文将以个人信息保护法为主体,结合国家网信部门等发布的个人信息保护相关规定,论述区块链技术中的个人信息保护问题。为便于讨论,先对三组概念的含义进行说明。
一是分布式账本与区块链。严格来讲,这两个概念所包括的范围从大到小依次应为分布式账本、区块链。分布式账本包括多种使网络系统在分散决策非常困难的情况下就所需的状态或意见达成一致的共识,区块链为其中一种共识(也称中本聪共识),还有其他共识如Tangle。实际应用中,对于“区块链”的使用经常会包括像Tangle这样的并不会在节点内存储数据的分布式账本,由于技术发展的不确定性及边界模糊性,同时为方便起见,本文不对分布式账本与区块链作严格区分。
二是公共链(public blockchains)、私有链(private blockchains)及
联盟链(hybrid blockchains)。这是根据区块或节点参与链及读取数据的方式不同所作的分类。公共链是指任何人都可以读取、添加链上数据,链上的任何节点均可参与数据的验证和共识过程。私有链则是完全中心化的区块链,适用于特定机构的内部数据管理与审计等,其写入权限由中心机构控制,而读取权限可视需求有选择性地对外开放。联盟链是由达成共识的多个实体组成,只有部分节点可以添加数据,读取数据的权限视情况而定。鉴于公共链最具有代表性及开创性,本文将重点讨论公共链。
三是个人信息、隐私、数据。我国民法学领域对这三个概念,尤其是隐私与个人信息之间已经有很多讨论,并对二者之间应分别保护达成共识,民法典和个人信息保护法的通过实施也从立法层面认可了隐私权与个人信息之间存在区别。从比较法上看,个人信息与隐私之间一元化与二元化的选择也一直处于争议与困境中。本文讨论重点并非三者之间的区别,而是区块链技术所带来的挑战,故不对个人信息、隐私、数据作严格区分。
厘清上述概念后,我们将从以下三个方面具体分析区块链技术中的个人信息保护问题:一是如何界定个人信息的范围,二是如何认定个人信息处理者,最后对区块链个人信息处理活动中涉及的个人信息处理原则、个人角色定位及监管等问题进行论述。
再认识“个人信息”
个人信息保护法第4条第1款规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”这里的关键词应为“识别”。“识别”能力随着技术的不断发展而日益增强,与之相应的,“个人信息”的范围也越来越宽泛,从传统的能够直接识别特定自然人的信息,如姓名、身份证号码、家庭地址、电话号码等,到电子邮箱、通信记录、网络交易信息、上网浏览痕迹、网络社交媒体留言、行踪轨迹、脸部特征信息等过去或不存在,或无法被收集和存储的信息,都因其技术上“可识别”而被认定为个人信息。
区块链中的信息,因其特殊的表现形式(通常为一串特定长度的数字字母组合),将再一次挑战我们对“个人信息”的理解。根据区块链技术结构,区块链中的信息主要包括:1)区块头(header)信息,包括当前版本号(version)、前一区块地址(pre-block)、当前区块的目标哈希值(bits)以及时间戳(timestamp)等;2)区块体(body)信息,包括当前区块的交易数量以及经过验证的、区块创建过程中生成的所有交易记录及交易记录背后的知识,通常采用哈希算法(SHA256)进行加密,编码为特定长度的字符串计入区块链;3)身份信息,是指用户身份和区块链地址之间的关联关系。区块链中为满足安全性、最大程度保护数据,会采用非对称加密技术进行加密,即在加密和解密过程中使用两个非对称的密码,私钥和公钥,私钥类似于银行账户密码,除了用户本人外别人并不知道,而公钥类似于银行账户,会在区块链公开,表明了用户身份和区块链地址之间的关联关系,为身份信息。
上述三种信息中,与个人相关的为后两种信息,即区块体中的交易信息与公钥。要判断此两种信息是否属于“个人信息”,即需要判断上述信息是否存在“识别”的可能。对“识别”的判断要依据个人信息保护法第73条,该条规定了个人信息的去标识化(pseudonymization)与匿名化(anonymization)。去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。结合个人信息保护法第4条第1款,可知匿名化信息不是个人信息。因此,要判断区块链中的信息是否为个人信息需要回答两个问题:一是去标识化信息是否属于个人信息;二是区块链中的信息是否属于去标识化信息。
版权申明:本内容来自于互联网,属第三方汇集推荐平台。本文的版权归原作者所有,文章言论不代表链门户的观点,链门户不承担任何法律责任。如有侵权请联系QQ:3341927519进行反馈。
