李青
四(sì)川大学博(bó)士研究生,中(zhōng)国法学交流基金会助理研(yán)究员
要目(mù)
一、问题(tí)的提出
二、再认识“个人信息”
三、多(duō)样态“个人信息处理者”
结语
我国个人信息保护以(yǐ)个人信息保(bǎo)护法为基础(chǔ)构建法律体系,为保护隐私(sī)及个人信息构筑了坚(jiān)实的法(fǎ)律(lǜ)基础。不过,随着
区块链技(jì)术(shù)的蓬勃(bó)发展,也带来了新的个人信息保护问题,从个(gè)人信息的范围、个人信(xìn)息处理者的认定到如何处理个人信息,都面临诸多挑战。技术先行为法(fǎ)律(lǜ)解释提供(gòng)了基础,法律规则也(yě)要(yào)通过(guò)“沙盒监(jiān)管”等新型方式为技术发(fā)展创造空间,以此逐步确(què)定技术与法律达到平衡的最佳实践。
问题的提出
2021年(nián)8月20日,我国第(dì)十三届全国人大常委(wěi)会第三十次(cì)会(huì)议(yì)审议通过(guò)了我国个人信息保(bǎo)护法,并于2021年11月1日(rì)起施行,该法构建了权责明(míng)确、保护有(yǒu)效、利用(yòng)规范(fàn)的个(gè)人信息处理和保护制度规则(zé)。以(yǐ)个人信息保(bǎo)护法(fǎ)为代表的个人信(xìn)息(xī)保护法律法规,均主要适用于(yú)中心(xīn)化信息处理技术中的个人信息保护,尤其针对用户数量巨大(dà)、业务(wù)类型复杂的(de)互联网平台,通过规制个(gè)人(rén)信息处理者行为并施以(yǐ)相应义务,结合对个人赋权两方(fāng)面实现(xiàn)个(gè)人信息保护。然而,这一(yī)模式(shì)在(zài)适用于以去中心化为主要特点的区块链技术时,会面临诸多挑(tiāo)战。
区块链技术最突出(chū)之处是通(tōng)过高透明度、不可更改、分(fèn)布式容错等特性实现了“去中(zhōng)心化”的信任。它一(yī)方面通过非对称加密/公开与分布式存储,设计出与中心化技(jì)术不同的信息保护模式,使得用户(hù)可以直接(jiē)交(jiāo)易,不(bú)受中心节点的控制,并赋予用户(hù)向谁(shuí)披露何种信息(xī)的控制权,既保护隐私也防止身份盗窃,甚至(zhì)可以(yǐ)帮助创建(jiàn)、管理、使用“用户身份”。另一方面,区(qū)块链不同于中心化技术以信任为基础,而以透明为基础。透明与隐私、个人信息保护之(zhī)间必然存在张力,即虽然区块链相比其他技术可以赋予(yǔ)个人更(gèng)多控(kòng)制权,并实现有选择的分享,然而一(yī)旦信息公(gōng)开(kāi),则有权限的(de)主体可以复制并永久存储、利用(yòng)该信息,不受数据主体控制(zhì),信(xìn)息泄露的后果可能十分严重。同(tóng)时,由于链(liàn)上(shàng)信息更改难度大成本高,会对用(yòng)户更正、补充、删除已(yǐ)上传的错误信息(xī)、过时信息等构成难以逾越的技术障(zhàng)碍。
鉴(jiàn)于此,本(běn)文将(jiāng)以个人(rén)信息保护法(fǎ)为(wéi)主体,结合国家网信部门等发布(bù)的个人信息保护(hù)相关(guān)规定,论(lùn)述区块链技(jì)术中的个(gè)人信(xìn)息保护问(wèn)题(tí)。为(wéi)便于讨论,先对三组概念(niàn)的含义进行说明。
一是分布式账本与区(qū)块(kuài)链。严格(gé)来讲(jiǎng),这两个(gè)概念所包括(kuò)的范(fàn)围从大到小依次应为分布式(shì)账本(běn)、区块链。分布式账本包括多种使网络系统在分散决策非常困(kùn)难的情况下就所(suǒ)需的状态或(huò)意见达成一致(zhì)的共识(shí),区(qū)块链为其中(zhōng)一种共识(shí)(也称中本聪共识(shí)),还有(yǒu)其他共识如Tangle。实际应用(yòng)中,对于“区块链(liàn)”的使用经常会包括(kuò)像Tangle这样的并不会在节点内存储数据的(de)分(fèn)布式账本,由于技术发展(zhǎn)的不确定性(xìng)及边界模(mó)糊(hú)性,同时为方(fāng)便起见,本文不对分布式账本与区块链(liàn)作严格区分。
二是公共链(public blockchains)、私有(yǒu)链(private blockchains)及
联盟链(hybrid blockchains)。这是根据(jù)区块或(huò)节(jiē)点参与链及读取(qǔ)数据的方式不(bú)同所作的(de)分类。公共链是(shì)指任(rèn)何人都可以读取、添加链上数据(jù),链上的任何(hé)节点(diǎn)均可参与(yǔ)数据的验证和共识过程。私有(yǒu)链则(zé)是(shì)完全中心化的区(qū)块链(liàn),适用于(yú)特定机构(gòu)的内部数据管(guǎn)理与审(shěn)计等,其写入权限由中心机构(gòu)控制(zhì),而读取权限(xiàn)可视需求有选择性地对外(wài)开放(fàng)。联盟链是由达成共识(shí)的多个实体(tǐ)组(zǔ)成,只有部分(fèn)节(jiē)点可以添加数据,读取数(shù)据(jù)的权限视情况而定。鉴(jiàn)于公共链最(zuì)具(jù)有代表性及开创性,本文将重点(diǎn)讨论公(gōng)共链。
三是个(gè)人信息、隐私、数据。我国民法学(xué)领域对这三个概(gài)念,尤其是隐(yǐn)私与个人(rén)信息之间已经有很多讨(tǎo)论,并对二者之间(jiān)应分别保护达(dá)成共识,民法典和个人信(xìn)息保护法的(de)通(tōng)过实施(shī)也从立法层面认可了隐私权与个人信息之间存在区别。从比较法上看,个人信(xìn)息与隐私(sī)之间一(yī)元(yuán)化与二元化的(de)选择也一直处于争(zhēng)议与困境中。本文讨论重点并非三者之间(jiān)的区别(bié),而(ér)是区块链技术所带来(lái)的挑战,故不对个人信息、隐(yǐn)私、数据作严格区分。
厘清上述概念后,我们将从以下三个方面具体分析区块链技术中(zhōng)的(de)个(gè)人(rén)信(xìn)息(xī)保护问题:一是如(rú)何(hé)界定个人信息的范围,二是如何认定个人信息(xī)处理者(zhě),最后(hòu)对(duì)区块链个(gè)人信息(xī)处理活动中涉(shè)及的个人信(xìn)息处理原则、个人角色定位及监管等问题进行论述。
再认识“个(gè)人信(xìn)息”
个人信息保护法第4条第1款(kuǎn)规定,“个人信息(xī)是以电(diàn)子或者其(qí)他方式记(jì)录的(de)与已识别或者(zhě)可(kě)识别的(de)自然人有关(guān)的各种信息,不包括匿名化处理后的信息。”这里的关键词应为“识别”。“识别”能力(lì)随(suí)着技术的(de)不断(duàn)发展(zhǎn)而日益增强(qiáng),与之相应的,“个人信(xìn)息”的(de)范围也越来越宽泛,从传(chuán)统的能够直接(jiē)识别特定自(zì)然人的(de)信息,如姓名、身份证号(hào)码、家庭地址、电(diàn)话(huà)号码(mǎ)等,到(dào)电子邮箱、通信记录、网络交(jiāo)易信息、上网浏(liú)览痕(hén)迹(jì)、网络社交(jiāo)媒(méi)体留言、行踪(zōng)轨迹、脸部特征(zhēng)信息等过去或不存(cún)在(zài),或无法被收集和存储(chǔ)的信息,都(dōu)因其技(jì)术上“可识别”而被认定为个人信(xìn)息。
区块链(liàn)中的信息,因其特殊的表现形式(通常(cháng)为一串特定长度的数字字母组合),将再一次挑战我们对“个人信息”的理解(jiě)。根据(jù)区(qū)块链技术结构,区块链(liàn)中的(de)信息主要(yào)包括:1)区块头(tóu)(header)信息,包(bāo)括当前版本号(version)、前一区块地址(pre-block)、当(dāng)前区块的目标哈(hā)希(xī)值(bits)以及时间戳(timestamp)等;2)区块体(body)信息,包括当前区块的交易数量以(yǐ)及经过(guò)验证(zhèng)的、区块创建过程(chéng)中生成的(de)所有交易记(jì)录及交(jiāo)易记录背后的(de)知识(shí),通(tōng)常采用哈希算法(SHA256)进行加密,编(biān)码(mǎ)为特定长度的字符串(chuàn)计入(rù)区(qū)块(kuài)链(liàn);3)身(shēn)份信息(xī),是指用户身份和区块链(liàn)地址之(zhī)间的(de)关(guān)联关系。区块链中(zhōng)为满(mǎn)足安全性、最大程度保护数据,会采用(yòng)非对称加密技(jì)术进行加密,即(jí)在加密和解密过程中使用两(liǎng)个(gè)非对(duì)称的密码,私钥和公钥,私钥(yào)类似于银行账户(hù)密码,除了用户本人外(wài)别人并不知道,而公钥类(lèi)似于银行账户(hù),会(huì)在区块(kuài)链公(gōng)开,表明了用户身份(fèn)和区块链(liàn)地址(zhǐ)之间的(de)关联关系(xì),为身份信息。
上(shàng)述(shù)三种信息中(zhōng),与个人相关的为后(hòu)两种信息,即区(qū)块(kuài)体中的交(jiāo)易信息与公钥。要判断此(cǐ)两种(zhǒng)信息是否属于“个人信息”,即需要判断上述信息(xī)是否存在“识别”的可能(néng)。对“识别”的判断要依据(jù)个人信息保(bǎo)护法第(dì)73条,该条(tiáo)规定了(le)个人信息的去标识化(pseudonymization)与匿名化(anonymization)。去(qù)标(biāo)识(shí)化(huà)是指个人信(xìn)息经过(guò)处理,使其(qí)在不借(jiè)助(zhù)额外(wài)信息的情况(kuàng)下无法识别特定自然人的过程。匿(nì)名化是指个人信息(xī)经过处(chù)理无(wú)法识别(bié)特定自(zì)然人(rén)且不(bú)能(néng)复原的过程。结合个人信息(xī)保护法第4条(tiáo)第1款,可知(zhī)匿名化信(xìn)息不是个人信息(xī)。因(yīn)此,要(yào)判断(duàn)区块(kuài)链中的信息是(shì)否(fǒu)为个人信息需要回答两个问题:一是去标识化信息是否属于个人信息;二是区(qū)块链(liàn)中的信(xìn)息是否属于去标(biāo)识(shí)化信息。
版权申明:本(běn)内容来自于互联网,属第三方(fāng)汇(huì)集推荐平台。本文的版权归(guī)原作者所有,文章言论不代(dài)表链门户的观点,链门(mén)户不承担任何法律责任。如有侵权请联(lián)系(xì)QQ:3341927519进行反馈。
