今年的“3·15晚會”播出，多家企業(yè)因存在侵犯消費者權益行為被曝光，比如，曝光了多個知名品牌商采用人臉識別攝像頭、非法獲取消費者個人信息的行為。

[[388233]]

區(qū)塊鏈技術的一些特征(如公私鑰機制、加密算法等)被認為有利于個人信息保護，但在實踐中，區(qū)塊鏈分布式和弱中心化的特性，使得個人信息保護相關法律法規(guī)要求主體承擔的義務和責任很難落實。因此，我們需要對區(qū)塊鏈應用于個人信息保護做進一步的思考和探索。

1.區(qū)塊鏈技術和個人信息保護法律的基本概念

(一)區(qū)塊鏈技術

區(qū)塊鏈技術本質上是多方實體(節(jié)點)為共同目的(應用場景)按照一致規(guī)則(共識機制和智能合約)在安全環(huán)境(非對稱加密)下由各節(jié)點(分布式賬本)對大量數(shù)據(jù)進行實時自動化處理(算法)的一種技術。

區(qū)塊鏈技術不需要中心化平臺信用背書或者作為信息處理中介就能完成交易，是一種去中心化的點對點的分布式信息集成技術，技術內容包括網(wǎng)狀多節(jié)點達成一致的共識機制、將信息轉化為可機讀的數(shù)據(jù)的智能合約、防篡改的時間戳和非對稱加密技術等。

基于區(qū)塊鏈技術可以開發(fā)諸多應用，例如最早期金融領域的比特幣等數(shù)字貨幣，除此之外，逐漸廣泛用于信息追溯、存證、物流、認證、產(chǎn)權管理等領域，涉及網(wǎng)絡科技、醫(yī)療、能源、農(nóng)業(yè)、電商、旅游、服務等行業(yè)。

(二)個人信息保護法律

《個人信息保護法(草案)》首先對個人信息進行了定義，并對敏感信息進行專門規(guī)定，將匿名化信息排除在個人信息之外;其次圍繞“告知-同意”設定個人信息的處理規(guī)則，也包括目的明確、個人信息處理最小化等原則;再次規(guī)定了個人對被收集的信息享有的各種權益，例如查閱、復制、更正、補充、請求刪除等;最后與保障個人權利相對應，規(guī)定了處理個人信息的公司、平臺等主體的義務，包括內部技術和組織措施、敏感信息或者高風險處理行為的事前評估、跨境傳輸特殊規(guī)則等。

《個人信息保護法(草案)》的核心理念內容與制度框架設計與歐盟的GDPR(《通用數(shù)據(jù)保護條例》)是一致的，GDPR以保護個人根本性權利為出發(fā)點，規(guī)定了數(shù)據(jù)控制者和數(shù)據(jù)處理者應當依照透明度等原則，在獲得數(shù)據(jù)主體同意等情形下和保障個人對數(shù)據(jù)的充分控制權的前提下，才可以合法處理個人數(shù)據(jù)。

(三)區(qū)塊鏈技術對個人信息保護法律的挑戰(zhàn)

區(qū)塊鏈技術的核心特征在于點對點的傳輸機制，并不依賴中心化平臺集中處理數(shù)據(jù)，因此個人信息保護法律要求公司、平臺等處理個人信息主體承擔的義務和責任將難以落實，因為區(qū)塊鏈技術中根本不存在這樣的集中處理個人信息的公司、平臺等主體。區(qū)塊鏈技術通過算法自動進行數(shù)據(jù)處理和完成交易，從技術實現(xiàn)來講人為干預越少越好，以提高效率和防止篡改，這和個人對個人信息享有的要求更正、撤回信息等決定和控制權相矛盾。

簡單來講，個人信息保護法律的規(guī)定應用于區(qū)塊鏈技術時，可能會存在“由誰承擔義務”、“向誰主張權利”以及“所主張的權利難以實現(xiàn)”的問題。

(四)區(qū)塊鏈技術對個人信息保護法律的促進

區(qū)塊鏈技術的一些特征有利于個人信息保護。《數(shù)據(jù)安全法(草案)》明確要求建立數(shù)據(jù)溯源制度以追溯個人信息的直接或者間接來源，《網(wǎng)絡安全法》和《個人信息保護法(草案)》規(guī)定應當防止未經(jīng)授權訪問信息、加密、去標識化、防止信息泄露。區(qū)塊鏈技術對節(jié)點信息創(chuàng)建和運行進行逐一記錄，通過時間戳和多方記賬等形式交叉驗證保證信息準確性，這些技術特征均有利于個人信息保護。此外，區(qū)塊鏈技術對信息的處理全程可追溯，可以增強個人對信息的控制。

2.區(qū)塊鏈技術適用個人信息保護法律的主要問題

(一)個人信息處理者角色定位與責任分配

可問責性和責任制是落實網(wǎng)絡安全和個人信息保護制度的核心。《個人信息保護法(草案)》將處理個人信息的主體分為個人信息處理者和接受委托進行處理的受托方，前者指可以自主決定處理目的和方式的組織、個人，后者只能按照個人信息處理者的指示進行處理，此外還涉及因合并、對外共享、嵌入SDK等第三方軟件等原因處理信息的第三方，各主體需要承擔的義務及責任分擔并不相同。《網(wǎng)絡安全法》將上述主體統(tǒng)一稱為網(wǎng)絡運營者，設定了需要統(tǒng)一遵守的網(wǎng)絡安全和數(shù)據(jù)保護義務。GDPR也將處理個人信息的主體區(qū)分為信息控制者和信息處理者，但是概念上規(guī)定由信息控制者決定處理的目的和方式，對信息控制者設定了較多義務，GDPR將接受委托處理數(shù)據(jù)一方稱為數(shù)據(jù)處理者，此外但凡接收數(shù)據(jù)的一方均被統(tǒng)一稱為數(shù)據(jù)接收者。

區(qū)塊鏈由提供分布式賬本的各節(jié)點組成，各節(jié)點通過密碼算法和分布式存儲等點對點處理數(shù)據(jù)，沒有中心化的數(shù)據(jù)處理者，從這個意義上講，每一個節(jié)點就是數(shù)據(jù)控制者或者數(shù)據(jù)處理者。區(qū)塊鏈對數(shù)據(jù)的處理方式高度自動化，使得數(shù)據(jù)控制者和數(shù)據(jù)處理者之間的角色分工和界限模糊，同時由于不同節(jié)點需要實現(xiàn)不同功能(例如負責賬本數(shù)據(jù)一致性的共識節(jié)點和負責賬本數(shù)據(jù)完整性的記賬節(jié)點)，如果要對區(qū)塊鏈中各節(jié)點的角色分工按照個人信息保護法律的規(guī)定，甄別決定處理目的和方式的節(jié)點，從而要求承擔相應的責任和義務，是非常有難度的。

難以區(qū)分區(qū)塊鏈節(jié)點在信息處理中的角色分工會導致責任劃分不清。個人信息保護法律要求能夠共同決定信息處理目的和方式的主體承擔連帶責任，接受委托按照指示處理數(shù)據(jù)的受托方不能轉委托他人處理個人信息，均是建立在對責任主體明確區(qū)分的基礎上。此外，由于是分布式處理技術，每一個節(jié)點可能既是信息控制者或者處理者，又是信息的來源與提供者，使得個人信息保護法律中與控制者或者處理者相對應的個人信息主體之間的概念模糊。無論是中國個人信息保護法律還是GDPR，其信息控制者和處理者既包括單位也包括個人，并未將個人排除在處理者或者控制者之外，因此法律保護的權利主體在區(qū)塊鏈技術下可能同時又是義務主體。更進一步，區(qū)塊鏈技術通過算法實現(xiàn)，使得這種權利義務實時轉化且大量發(fā)生，而法律規(guī)則具有穩(wěn)定性，當試圖系統(tǒng)性而不僅僅針對個案從法律角度進行角色定位或者規(guī)制時，會遇到障礙。

導致這一困境的根本原因在于個人信息保護法律的制度設計是中心化的“傘狀”設計，而區(qū)塊鏈技術本質上是去中心化的“網(wǎng)狀”設計，個人信息保護法律將責任歸于集中處理數(shù)據(jù)的頂端平臺，由平臺對個人信息主體承擔義務，個人信息主體享有權利。而在區(qū)塊鏈中不存在這樣的集中處理數(shù)據(jù)平臺，由鏈中節(jié)點借助算法，多方協(xié)同實現(xiàn)傳統(tǒng)中心化平臺對數(shù)據(jù)處理的功能。由于實現(xiàn)功能的方式不一樣，將個人信息保護法律設定的責任承擔機制平移到區(qū)塊鏈中就會遭到挑戰(zhàn)。

(二)個人信息處理的原則與合法事由規(guī)則

個人信息保護法律要求在最短時間內為特定目的處理最少量的個人信息，且保證數(shù)據(jù)的真實、準確與安全。《個人信息保護法(草案)》規(guī)定的處理個人信息的原則主要包括正當、合法且目的明確，僅處理為實現(xiàn)目的所需要的最少信息，應當保障信息的準確性和及時更新等。GDPR也專門集中規(guī)定了個人信息處理原則，包括合法、公平與透明、目的限制、數(shù)據(jù)處理最小化與準確性、存儲期限限制和數(shù)據(jù)完整性與保密性。

基于以上原則，《個人信息保護法(草案)》規(guī)定僅在特定情況下才可以處理個人信息，包括取得個人同意、根據(jù)合同或者法律規(guī)定、應對緊急情況和以公共利益為目的在特定范圍內處理個人信息，對同意規(guī)則還進行了細化規(guī)定，例如應當確保個人在充分知情的前提下自愿、明確地做出同意等。GDPR也是圍繞“告知-同意”設計處理規(guī)則，要求在被充分告知的前提下自由地對特定處理行為作出明確的同意。

就“告知-同意”規(guī)則和根據(jù)合同約定處理而言，區(qū)塊鏈技術依賴智能合約在不同的計算機之間達成協(xié)議，本質上是一種可自動執(zhí)行的計算機程序，如同APP通過個人信息保護政策和彈窗告知用戶并取得用戶同意，智能合約將交易的規(guī)則和條件從文字轉化為數(shù)據(jù)并且在計算機之間通話。智能合約還具有可擴展性，可以根據(jù)規(guī)則創(chuàng)建、編譯等。區(qū)塊鏈共識機制主要是確保各節(jié)點之間的一致性，即各節(jié)點同意根據(jù)一致規(guī)則進行數(shù)據(jù)處理，不僅需要同意對數(shù)據(jù)進行處理，還需要同意一致的處理規(guī)則。可以看到，在區(qū)塊鏈技術中“告知-同意”規(guī)則和根據(jù)合同約定處理是同步的，但在個人信息保護法律中是不同的處理基礎，例如GDPR明確禁止事后選定合法處理的基礎，在這種情況下處理個人信息的合法性基礎邊界非常模糊。

(三)個人信息主體權利

個人信息保護法律最主要的立法目的為保障個人權益，同時促進個人信息合法利用。《個人信息保護法(草案)》賦予個人撤回同意和限制、拒絕處理信息的權利，個人有權查閱、復制個人信息，有權更正和補充個人信息，有權請求刪除個人信息。GDPR的規(guī)定大致相同，但還包括數(shù)據(jù)可攜帶權的規(guī)定，可攜帶權與復制或者訪問個人信息權利不同之處在于，可攜帶權要求數(shù)據(jù)控制者將數(shù)據(jù)整理為機器可讀的機構化形式，自動傳輸給個人指定的其他數(shù)據(jù)接收方。

盡管區(qū)塊鏈技術對互操作性的要求有利于諸如可攜帶權、查詢復制權等的實現(xiàn)，但是整體來看個人信息保護法律賦予作為自然人的個人對信息的決定權和控制權會造成人為干擾。個人在信息收集、使用、消失的整個生命周期均可依法主張權利，而區(qū)塊鏈卻要實現(xiàn)對數(shù)據(jù)的高度自動化處理并盡量減少人為干預以保障計算效率和準確性。如果個人要求更正、補充、刪除個人信息，可能會導致信息的不準確，且信息分散地存儲于各個節(jié)點，如何廣播通知所有節(jié)點、且保證各節(jié)點均采取一致行動，如何確保節(jié)點執(zhí)行經(jīng)過機器轉化的內容與個人主張的權利一致，各節(jié)點是否需要按照數(shù)據(jù)控制或者受托處理不同要求采取不同行動。

(四)個人信息種類與匿名化

《個人信息保護法(草案)》規(guī)定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，個人信息中包含種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等敏感信息。經(jīng)過匿名化處理后的信息不是個人信息。GDPR與此規(guī)定大致相同，例如均規(guī)定已識別或者可識別個人的才為個人信息，但也有不同，例如強調主要涉及自動化方式處理的信息才適用GDPR的規(guī)定，GDPR原則上禁止處理敏感信息，將匿名化信息區(qū)分為假名化和匿名化等。

中國個人信息保護法律對個人信息的載體規(guī)定更加寬松，包括電子方式體現(xiàn)的個人信息，也包括其他非電子方式體現(xiàn)的個人信息。而區(qū)塊鏈中的個人信息均以電子方式體現(xiàn)，當然適用個人信息保護法律。而鏈下存儲的信息有的以電子方式體現(xiàn)，有的可能以手寫記錄密碼等非電子方式體現(xiàn)，也需要適用個人信息保護法律的規(guī)定，而GDPR下如果非以自動化方式處理數(shù)據(jù)又不形成文檔的話，是不需要適用GDPR規(guī)定的。

匿名性是區(qū)塊鏈技術產(chǎn)生的初衷和追求的目標，加密是實現(xiàn)匿名化的一種技術，常用于區(qū)塊鏈的加密技術包括非對稱加密、同態(tài)加密和哈希函數(shù)，用于實現(xiàn)不同的識別和驗證目的。例如數(shù)字貨幣發(fā)行、挖礦和交易中用公鑰加密、用私鑰解密即為非對稱加密的一種。在個人信息保護法律語境下，理論上只要實現(xiàn)匿名化即不為個人信息，不需要經(jīng)過同意等法定事由就可以進行處理，但實踐中實現(xiàn)匿名化的技術除了加密外還有很多種，每種技術可實現(xiàn)的匿名化程度并不一樣，例如GDPR規(guī)定通過假名化技術對數(shù)據(jù)進行處理后仍然可以識別到個人，因此不是完全的匿名化，仍然需要適用GDPR的規(guī)定。所以，區(qū)塊鏈所采用的加密等匿名化技術是否能夠滿足個人信息保護法律的規(guī)定是存疑的，例如加密后的信息是否可逆轉重識別個人。

區(qū)塊鏈技術的應用涉及大量敏感信息，密碼本身就是廣義的敏感信息的一種，例如比特幣等數(shù)字貨幣的發(fā)行和交易就會涉及身份標識、銀行賬戶信息、鑒別信息、電子簽名、密碼等。數(shù)字貨幣發(fā)行和交易本質上就是機器對數(shù)據(jù)的處理過程。為確保真實性，需要廣播至各節(jié)點對同一筆交易進行記錄并核驗，在此過程中涉及個人財務信息的公開、個人匿名身份的標識等，均需考慮到個人信息保護法律的要求而進行特殊保護，例如防止公開特定交易細節(jié)或者防止識別用戶等。

同時，根據(jù)個人信息保護法律，為履行法定義務或者根據(jù)法律規(guī)定，不經(jīng)同意也可以或者依法必須處理個人信息。例如反洗錢法要求對用戶真實身份進行驗證，在中國利用區(qū)塊鏈提供信息服務需要滿足網(wǎng)絡實名制要求。

(五)個人信息處理的技術與組織措施

《個人信息保護法(草案)》和《網(wǎng)絡安全法》規(guī)定了個人信息處理者和網(wǎng)絡運營者應當采取的個人信息安全和保護制度，例如分級分類、去標識化、訪問控制、應急預案等，GDPR的總體要求為通過制度設計保障在默認的情形下個人權利得到保護。

根據(jù)個人信息保護法律的規(guī)定，對于高風險個人信息處理行為需要采取與風險程度相適應的特殊保護措施，高風險個人信息處理行為包括通過對用戶打標簽、畫像、進行自動化決策等，明確要求利用個人信息進行自動化決策前進行風險評估并記錄。盡管從技術實現(xiàn)角度區(qū)塊鏈需要盡量保持處理的一致性、全自動化和減少人為干預，但是從符合法律規(guī)定角度需要考慮合規(guī)性，例如中國個人信息保護法律明確要求，個人有權拒絕個人信息處理者僅通過自動化決策的方式做出決定，通過自動化決策方式進行商業(yè)營銷、信息推送，應當同時提供不針對其個人特征的選項。

個人信息的存留期限是個人信息保護法律重點規(guī)定的問題，其基本要求為僅在實現(xiàn)目的所需的必要期限內存留信息，根據(jù)中國個人信息保護法律的規(guī)定，對存留期限的規(guī)定為6個月(例如網(wǎng)絡日志)至3年(電商商品服務信息、直播信息等)不等。從理論上講，雖然區(qū)塊鏈技術傾向于或者使得信息可以永久留存，但需要考慮法律關于信息存儲的規(guī)定;此外由于區(qū)塊鏈中信息分散存儲于各節(jié)點，如何通知刪除、實現(xiàn)徹底刪除也是在編寫智能合約設定交易條件時需要考慮的因素。《個人信息保護法(草案)》實際上為技術發(fā)展提供了冗余空間，例如規(guī)定技術上難以實現(xiàn)刪除的，可以采取停止處理個人信息的方式替代刪除。

(六)個人信息保護法律的適用范圍和跨境傳輸

雖然網(wǎng)絡空間使得物理地域范圍變得越來越無意義，但是在現(xiàn)行法律框架規(guī)則還是需要得到遵守。《個人信息保護法(草案)》拓展了法律的域外適用范圍，除了在中國境內的個人信息處理行為需要遵守法律規(guī)定外，境外向境內提供產(chǎn)品或者服務、分析評估境內自然人行為，也需要遵守中國法律規(guī)定。GDPR規(guī)定類似，即只要在歐洲經(jīng)濟區(qū)內設立機構，或者向歐洲經(jīng)濟區(qū)內個人提供產(chǎn)品或者服務或者監(jiān)控其行為，均適用GDPR的規(guī)定。

區(qū)塊鏈技術是超越國界的技術，例如數(shù)字貨幣等基于區(qū)塊鏈的應用甚至超越國家發(fā)幣主權，實現(xiàn)數(shù)據(jù)點對點的傳輸，因此無論公司注冊于哪一個國家或者服務器位于哪一個國家，節(jié)點參與者來自于世界各國，均有可能被個人信息保護法律確認為面向本國提供商品或者服務。此外，根據(jù)中國和歐盟個人信息保護法律的規(guī)定，在境外處理境內個人信息，還需要在本國境內設立代表機構。因此，極端情形下，需要逐一考慮每個國家是否有在本地設立代表處的要求，所有國家法律均需要被考慮。

3.區(qū)塊鏈技術適用個人信息保護法律的合規(guī)建議

目前根據(jù)中國法律的規(guī)定通過備案的區(qū)塊鏈企業(yè)有近千家，包括利用區(qū)塊鏈技術的應用和從事區(qū)塊鏈技術研發(fā)的企業(yè)。中國鼓勵區(qū)塊鏈技術發(fā)展，但是全面禁止數(shù)字貨幣發(fā)行融資。世界范圍內區(qū)塊鏈企業(yè)包括軟件開發(fā)者、平臺提供者、各行業(yè)應用者等等，例如以太坊等提供智能合約底層技術的平臺等。從事區(qū)塊鏈技術研發(fā)或者利用區(qū)塊鏈技術開發(fā)商品或者提供服務的企業(yè)或者平臺需要考慮的個人信息保護法律問題包括：

(一)頂層設計選擇合規(guī)風險小的區(qū)塊鏈部署方式

按照行業(yè)通行的分類，區(qū)塊鏈一般可以分為私有鏈、聯(lián)盟鏈和公有鏈，從是否需要許可加入節(jié)點出發(fā)，可分為經(jīng)許可的鏈和不用經(jīng)過許可的鏈。由于私有鏈和聯(lián)盟鏈限定了節(jié)點開放的規(guī)模和實體，與任何人均可參與的公有鏈相比，鏈上數(shù)據(jù)更有能在可控范圍內進行處理。如果配合許可機制，對節(jié)點進行驗證和登記，從個人信息保護和可追溯角度，合規(guī)符合性更高。

(二)有意識區(qū)分區(qū)塊鏈中多方主體角色和責任

區(qū)塊鏈中存在多方主體，例如軟件開發(fā)者、平臺提供者、記賬節(jié)點、驗證節(jié)點、礦工等，如果按照個人信息保護法律的規(guī)定，需要一一對應多主體是決定處理目的和方式的一方、接受委托處理數(shù)據(jù)的一方還是信息被收集或者被處理的用戶個人等，才能對權利義務分配和責任承擔形成符合法律規(guī)定的預設。雖然區(qū)塊鏈是通過去中心化方式進行數(shù)據(jù)處理，開發(fā)者、平臺方等并不集中存儲、管理數(shù)據(jù)，且開發(fā)者、平臺方本身是否屬于信息控制者或者處理者仍然是需要考慮的因素，但無論如何均需要履行法律規(guī)定的信息安全和個人信息保護義務。

(三)考慮需要遵守的法律強制性規(guī)定

區(qū)塊鏈的技術創(chuàng)新包括匿名交易，匿名交易同時也將帶來隱患，例如利用數(shù)字貨幣洗錢。例如，基于區(qū)塊鏈技術的數(shù)字貨幣需要考慮“知道你的客戶”原則，根據(jù)反洗錢法律規(guī)定收集客戶信息，根據(jù)中國網(wǎng)絡實名制收集用戶手機號碼、身份證號碼等真實信息，根據(jù)中國網(wǎng)絡內容生態(tài)審核要求對區(qū)塊鏈信息發(fā)布的內容進行審核。此外，中國法律通常會規(guī)定“法律、行政法規(guī)另規(guī)定的除外”，需要考慮各自行業(yè)的特殊規(guī)定避免或者必須處理特定信息。

(四)設立人工干預機制

理想狀態(tài)下的區(qū)塊鏈信息全部通過機器進行計算和處理，但是為了滿足個人信息保護法律的規(guī)定，需要設置適當?shù)娜藶楦深A機制，例如當個人主張訪問、更正、刪除權時可以及時有效響應，在自動化決策中實現(xiàn)人工審核糾正機制。在編寫智能合約時需要提前考慮，如果鏈上信息打上時間戳后無法直接更正、刪除，需要通過增加代碼方式改寫信息，確保準確性。

(五)采用適當技術和組織措施

單一和孤立的技術措施或者組織措施無法實現(xiàn)個人信息保護，也滿足不了法律的要求。例如，通過非對稱加密匿名化技術對信息進行加密后，如果不采取限定訪問控制、分開存儲信息等組織措施，其信息是可以再識別到個人的。再如，為了避免違反個人信息保護法律，可以對個人信息進行分級分類，對于識別個人可能性大的信息或者敏感信息，僅在鏈下存儲。

4.區(qū)塊鏈技術和個人信息保護法律的總結展望

作為典型的顛覆性技術，區(qū)塊鏈技術實際上順應了科技發(fā)展使得生產(chǎn)生活虛擬化的趨勢，并且進一步弱化工業(yè)時代作為信用背書和信息中介平臺的功能，實現(xiàn)針對每一個節(jié)點的個性化和點對點定制化的信息處理。但是區(qū)塊鏈技術還在發(fā)展之中，許多應用處于未知狀態(tài)。同時，網(wǎng)絡發(fā)展使得大量收集個人信息成為現(xiàn)實，利用個人信息可以深度發(fā)掘人的需求實現(xiàn)商業(yè)價值，才使得通過法律對個人信息進行專門保護成為必要。可以看出，區(qū)塊鏈技術和個人信息保護法律均處于發(fā)展的過程中，因此交界處的沖撞無法避免。區(qū)塊鏈技術以節(jié)點利用機器對數(shù)據(jù)進行去中心化處理為特征，而個人信息保護法律以數(shù)據(jù)控制和處理者集中化對人的信息進行處理為邏輯，個人信息保護法律是以人為中心設計的制度，而區(qū)塊鏈以機器、程序、算法為中心，現(xiàn)實生活中的人在網(wǎng)絡空間中抽象為節(jié)點。雖然區(qū)塊鏈技術和個人信息保護法律的相互影響還有待觀察，但是現(xiàn)行的區(qū)塊鏈技術發(fā)展仍然需要考慮和滿足個人信息保護法律的要求。