趙炳昊

(中國政法大學 民商經(jīng)濟法學院，北京 100088)

在區(qū)塊鏈技術(shù)高速發(fā)展的時代背景下，個人信息作為科技發(fā)展的基礎(chǔ)資源需要得到新興技術(shù)的妥善處理，既要發(fā)揮出個人信息的潛在價值，又要避免個人信息在技術(shù)處理過程中遭受侵害。面對日益增長的個人信息處理需求，2021年8月20日，中華人民共和國第十三屆全國人民代表大會常務委員會第三十次會議審議通過《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)，這是針對個人信息處理的專門法律，標志著我國個人信息保護邁入了全新時代?！秱€人信息保護法》強調(diào)保護與使用并重，不但強化在個人信息處理過程中對個人信息的保護與救濟，而且法律強制力的介入還意味著國家通過積極保護來支援個人對抗個人信息處理中面臨的風險。(1)參見王錫鋅：《個人信息國家保護義務及展開》，載《中國法學》2021年第1期。在此之前，歐盟發(fā)布《通用數(shù)據(jù)保護條例》(The General Data Protection Regulation，以下簡稱GDPR)來為個人信息提供專門保護，而美國也出臺了包括《網(wǎng)絡(luò)安全法》在內(nèi)的多部專門保護個人信息的法規(guī)，(2)參見張立彬：《美英新個人信息保護政策法規(guī)的考察與借鑒》，載《情報理論與實踐》2020年第6期。并據(jù)此構(gòu)建專門的個人信息法律保護體系。與之相似，《個人信息保護法》結(jié)合科技發(fā)展的實際狀況調(diào)整個人信息的處理與保護路徑，其中第4條規(guī)定“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息”，其中特別強調(diào)電子方式這一全新記錄形式，體現(xiàn)了對以區(qū)塊鏈技術(shù)為代表的新興科技的重視。實際上，當前的《個人信息保護法》在規(guī)制區(qū)塊鏈技術(shù)處理個人信息的過程中經(jīng)常會因為自身的滯后性而難以發(fā)揮強制力，導致區(qū)塊鏈技術(shù)風險與法律規(guī)范保護之間產(chǎn)生內(nèi)生性沖突，需要從技術(shù)和法規(guī)兩方面入手展開雙向紓解。概言之，區(qū)塊鏈技術(shù)雖然為個人信息處理提供了絕佳的技術(shù)方案，但是又因為自身的技術(shù)風險而與法律法規(guī)產(chǎn)生內(nèi)生性沖突，而這不僅需要從技術(shù)和規(guī)范兩方面入手進行雙向紓解，同時也需要構(gòu)建合規(guī)監(jiān)管體系進行持續(xù)性的制度保障。

一、問題提出：個人信息保護法與區(qū)塊鏈技術(shù)的沖突

區(qū)塊鏈技術(shù)的迭代升級意味著個人信息處理模式面臨整體性的技術(shù)革新，區(qū)塊鏈技術(shù)的使命與《個人信息保護法》的立法目標都是優(yōu)化個人信息的處理過程，但是兩者在具體的適配過程中卻存在一定的內(nèi)生性沖突?！秱€人信息保護法》在立法目的上強調(diào)保護與使用并重，但是在規(guī)范內(nèi)容上具有一定的滯后性，而區(qū)塊鏈技術(shù)則更具靈活性且不斷迭代升級，在處理個人信息過程中容易突破現(xiàn)有的法律規(guī)范的限制。在個人信息處理的整體方向上，《個人信息保護法》第7條規(guī)定處理個人信息應當遵循公開、透明原則，這一原則同樣適用于指導區(qū)塊鏈技術(shù)處理個人信息的過程，防止區(qū)塊鏈技術(shù)對個人信息產(chǎn)生潛在威脅。實際上，區(qū)塊鏈技術(shù)在實際處理過程中努力秉持公開、透明原則，比如借助區(qū)塊鏈技術(shù)公開個人信息處理流程來落實《個人信息保護法》的具體要求，通過公開性增強了技術(shù)公信力，使得區(qū)塊鏈技術(shù)處理后的個人信息被賦予了公開性的技術(shù)屬性與科技增值，(3)參見Gabisori G, Policy Considerations for the Blockchain Technology Public and Private Applications, SMU science and technology law review, 2016, 19(3). pp. 327-350.并通過ShadowEth等智能私有合約的形式實現(xiàn)對個人信息的專門保護，(4)參見Yuan R, Xia Y B, Chen H B, ShadowEth: Private Smart Contract on Public Blockchain, Journal of Computer Science and Technology, 2018, 33(3). pp. 542-556.體現(xiàn)出《個人信息保護法》對應用區(qū)塊鏈技術(shù)的價值指引。

值得注意的是，盡管區(qū)塊鏈技術(shù)在整體上遵循了《個人信息保護法》的價值指引，但是在技術(shù)模式的具體運行過程中，區(qū)塊鏈技術(shù)與《個人信息保護法》中的具體規(guī)范卻存在內(nèi)生性沖突，區(qū)塊鏈技術(shù)的底層運算邏輯與《個人信息保護法》規(guī)范銜接不恰反而加速了區(qū)塊鏈技術(shù)的迭代升級，造成了更大的法律監(jiān)管漏洞，亟需配置對應區(qū)塊鏈技術(shù)的合規(guī)監(jiān)管措施。(5)參見Thierer, Adam, Privacy Law's Precautionary Principle Problem, Maine Law Review, 2017, 66(2). pp. 468-486.第一，區(qū)塊鏈技術(shù)在《個人信息保護法》的監(jiān)管語境下與法律規(guī)范的限制存在內(nèi)生性沖突，區(qū)塊鏈技術(shù)因為迭代升級頻繁而容易觸犯法律規(guī)范的限制邊界，技術(shù)模式與《個人信息保護法》規(guī)定的個人信息處理要求相悖，因此需要對區(qū)塊鏈技術(shù)的研發(fā)與運行進行調(diào)整，基于法律規(guī)范的要求填補技術(shù)手段的不足。第二，區(qū)塊鏈技術(shù)的進步本質(zhì)上是為了滿足個人信息的處理需求，而其技術(shù)路徑與《個人信息保護法》的規(guī)定產(chǎn)生沖突，側(cè)面反映出當前《個人信息保護法》在個人信息處理的規(guī)定上存在一定的滯后性，因此需要完善《個人信息保護法》的規(guī)范內(nèi)容并優(yōu)化其解釋路徑，包括限制公共法益的范圍、優(yōu)化解釋區(qū)塊鏈技術(shù)處理方式以及提供針對應用區(qū)塊鏈技術(shù)的合理豁免，從而使《個人信息保護法》成為個人信息處理的保障而非阻礙。第三，區(qū)塊鏈帶來的技術(shù)風險對保護個人信息構(gòu)成持續(xù)性挑戰(zhàn)，而持續(xù)性監(jiān)管體系的缺失導致對內(nèi)生性沖突的紓解呈現(xiàn)周期性狀態(tài)，無法創(chuàng)設(shè)穩(wěn)定的個人信息處理環(huán)境。從長遠角度出發(fā)，需要通過合規(guī)監(jiān)管的方式實現(xiàn)法律規(guī)范對區(qū)塊鏈技術(shù)的持續(xù)性監(jiān)管，而構(gòu)建合規(guī)監(jiān)管體系需要將《個人信息保護法》的規(guī)范內(nèi)容貫徹其中，制定合規(guī)任務、保障技術(shù)合規(guī)并明確合規(guī)對象，通過合規(guī)監(jiān)管體系保障區(qū)塊鏈技術(shù)的可持續(xù)發(fā)展。

總之，針對《個人信息保護法》與區(qū)塊鏈技術(shù)在個人信息處理上存在的適配障礙，一方面需要分別從區(qū)塊鏈技術(shù)與《個人信息保護法》的角度出發(fā)進行雙向紓解，在完善區(qū)塊鏈技術(shù)發(fā)展的同時調(diào)整《個人信息保護法》的規(guī)范內(nèi)容與解釋路徑；另一方面需要從長遠角度出發(fā)構(gòu)建基于《個人信息保護法》的合規(guī)監(jiān)管體系進行持續(xù)性監(jiān)督，在合規(guī)框架下發(fā)揮區(qū)塊鏈的技術(shù)效能，從而大規(guī)模推廣區(qū)塊鏈技術(shù)的應用，并基于個人信息安全共享、新興技術(shù)合規(guī)運用、監(jiān)管體系逐步完善等多重視角構(gòu)建個人信息數(shù)字化治理體系。(6)參見佟家棟、張千：《數(shù)字經(jīng)濟內(nèi)涵及其對未來經(jīng)濟發(fā)展的超常貢獻》，載《南開學報(哲學社會科學版)》2022年第3期。鑒于此，我國可以從技術(shù)與規(guī)范的雙重角度出發(fā)構(gòu)建完備的個人信息法律保護體系，通過合規(guī)科技以區(qū)塊鏈技術(shù)為載體將《個人信息保護法》的內(nèi)容轉(zhuǎn)化為對個人信息的全生命周期保護。(7)參見許可：《個人信息治理的科技之維》，載《東方法學》2021年第5期。

二、內(nèi)生性沖突促進區(qū)塊鏈技術(shù)優(yōu)化以適配法律規(guī)范

區(qū)塊鏈技術(shù)作為新興技術(shù)具備透明、加密、可溯源和不可篡改等諸多優(yōu)勢，不僅能大幅提升個人信息處理效率，還有助于降低信息泄露風險和處理成本，是未來科技發(fā)展的主要方向。但是在區(qū)塊鏈技術(shù)處理個人信息的過程中，技術(shù)的復雜原理以及固有缺陷容易導致其與《個人信息保護法》產(chǎn)生內(nèi)生性沖突，從技術(shù)應用的角度出發(fā)，應該基于《個人信息保護法》的訴求來推動技術(shù)優(yōu)化。

(一)區(qū)塊鏈技術(shù)原理與法律規(guī)范之間的適配調(diào)整

現(xiàn)有區(qū)塊鏈技術(shù)在基礎(chǔ)算法層面擁有多種類型的技術(shù)原理，不同的技術(shù)原理采用不同的處理模式，因此形成了不同的區(qū)塊鏈技術(shù)類型，主要分為公有鏈和許可鏈。值得注意的是，即便是不同類型的區(qū)塊鏈技術(shù)，其在基礎(chǔ)技術(shù)原理上也都和《個人信息保護法》的規(guī)范內(nèi)容存在適配失衡，這意味著區(qū)塊鏈技術(shù)需要基于《個人信息保護法》的規(guī)定適度調(diào)整自身的底層技術(shù)原理。

區(qū)塊鏈的技術(shù)原理的演變體現(xiàn)了個人信息處理需求的發(fā)展，為了更好地處理個人信息，區(qū)塊鏈技術(shù)不斷升級。傳統(tǒng)區(qū)塊鏈主要是公有鏈(Public Blockchain)，其作為一種完全開放的區(qū)塊鏈具備完全的去中心化特征，參與節(jié)點按照系統(tǒng)規(guī)格自由地接入網(wǎng)絡(luò)并不受系統(tǒng)控制，基于共識機制開展工作并形成去中心化的信用機制，(8)參見曹雪蓮、張建輝、劉波：《區(qū)塊鏈安全、隱私與性能問題研究綜述》，載《計算機集成制造系統(tǒng)》2021年第7期。公有鏈的防篡改機制是通過區(qū)塊之間的連接展開，不存在控制公有鏈的實體，其本質(zhì)上是一種分散的、不可變的信息分類存儲賬本。伴隨個人信息處理環(huán)境的日趨復雜，許可鏈(Permissioned Blockchain)作為公有鏈迭代升級的產(chǎn)物被廣泛應用，許可鏈中每個節(jié)點的更改都要經(jīng)過許可，只有區(qū)塊鏈中的預選成員才有能力讀取并查看區(qū)塊上的個人信息變更記錄，其本質(zhì)上是一種部分去中心化的區(qū)塊鏈，并增強其可溯源性特征以便在事后對個人信息變動進行快速溯源，保持許可鏈相對穩(wěn)定。相較而言，許可鏈更適合傳遞個人信息，因為其可以提供存儲在不可變總賬中的即時、共用以及完全透明的個人信息，并且只有獲得許可的成員才能讀取，可以據(jù)此把控個人信息交易的全過程。現(xiàn)有的ConsenSys Quorum就是利用許可鏈技術(shù)處理并分享個人金融信息的商業(yè)機構(gòu)，其借助許可鏈的共識算法增強個人信息交換與共享的可擴展性和適用性，(9)參見Mazzoni M, Corradi A, Di Nicola V, Performance evaluation of permissioned blockchains for financial applications: The ConsenSys Quorum case study, Blockchain: Research and Applications, 2022, 3(1). pp. 1-12.并對個人信息處理全程進行合規(guī)監(jiān)管，防止造成隱私泄露。

經(jīng)過比較后可以發(fā)現(xiàn)，雖然不同類型的區(qū)塊鏈技術(shù)存在技術(shù)原理上的差異，但是其技術(shù)原理中共有的共識機制、可溯源性、不可篡改性和去中心化等特征都與現(xiàn)有法律規(guī)范存在一定沖突，因此需要基于法律規(guī)范的要求來調(diào)整技術(shù)原理。第一，區(qū)塊鏈中共識機制的運行需要參考《個人信息保護法》第20條規(guī)定的“兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權(quán)利和義務”，這是共識機制運行的規(guī)范支撐。但是在不同類型的區(qū)塊鏈中共識機制的主體也不同，傳統(tǒng)公有鏈上的共識機制必須經(jīng)過所有主體的同意驗證，而許可鏈中共識機制的主體則限定為被許可的主體，因此技術(shù)升級反而與《個人信息保護法》的既有規(guī)范產(chǎn)生沖突，需要對許可鏈技術(shù)中的主體同意程序進行一定的修正，以權(quán)重方式代替被許可的方式來構(gòu)建技術(shù)同意流程。第二，區(qū)塊鏈技術(shù)中可溯源性的規(guī)范依據(jù)是工業(yè)和信息化部與中央網(wǎng)信辦聯(lián)合發(fā)布的《關(guān)于加快推動區(qū)塊鏈技術(shù)應用和產(chǎn)業(yè)發(fā)展的指導意見》(以下簡稱《區(qū)塊鏈指導意見》)中第2條“重點任務”規(guī)定的“用區(qū)塊鏈建立……產(chǎn)品溯源體系，實現(xiàn)全生命周期的追蹤溯源”，這保障了區(qū)塊鏈參與者能夠依時間順序查看鏈上的個人信息，且追溯范圍是個人信息的全生命周期。但是許可鏈對個人信息的管控力度下降，其為了提升處理效率在一定程度上降低了監(jiān)管力度，這意味著溯源行為本身就存在技術(shù)風險，個人信息的過度透明將會導致個人隱私泄露以及信息被二次利用等次生損害，(10)參見謝絨娜、李暉、史國振等：《基于區(qū)塊鏈的可溯源訪問控制機制》，載《通信學報》2020年第12期。所以許可鏈技術(shù)的追溯路徑和管控力度需要依據(jù)法律規(guī)范進行強化。第三，區(qū)塊鏈的不可篡改性作為核心技術(shù)特征提供公信力背書，其規(guī)范依據(jù)是《區(qū)塊鏈指導意見》規(guī)定的“通過數(shù)據(jù)透明、不易篡改、可追溯，有望解決網(wǎng)絡(luò)空間的信任和安全問題”，這要求區(qū)塊中的個人信息在添加到分布式賬本后不能被編輯或刪除。但是伴隨著固有技術(shù)的漏洞與新興技術(shù)的突破，區(qū)塊鏈的不可篡改性特征也在逐漸動搖。比如公有鏈允許任何人僅憑最少的數(shù)據(jù)治理權(quán)就可以介入個人信息處理，但在具體操作過程中可能會因為監(jiān)管漏洞引發(fā)篡改風險，反而與《個人信息保護法》等法律規(guī)范產(chǎn)生沖突，所以公有鏈需要在運行機理中強化對篡改行為的監(jiān)管，將數(shù)據(jù)治理權(quán)與共識機制進行區(qū)分。第四，區(qū)塊鏈去中心化的特征是技術(shù)創(chuàng)新的核心，參考最高人民法院發(fā)布的《關(guān)于加強區(qū)塊鏈司法應用的意見》中第17條規(guī)定的“形成去中心化、去網(wǎng)系化、去系統(tǒng)化的數(shù)據(jù)串聯(lián)”，區(qū)塊鏈中的個人信息要分布到各個節(jié)點，這種技術(shù)原理有利于降低區(qū)塊鏈技術(shù)存儲個人信息的風險，即使個別節(jié)點出現(xiàn)故障，區(qū)塊鏈也不會立即停滯，個人信息仍然被儲存在相對安全的空間內(nèi)。

總之，區(qū)塊鏈技術(shù)的復雜原理與頻繁技術(shù)升級導致其適用路徑與既有的法律規(guī)范之間形成適配沖突，而技術(shù)與規(guī)范的適配失衡會影響區(qū)塊鏈技術(shù)的處理效率，甚至造成個人信息泄露。鑒于此，基于內(nèi)生性沖突來彌補區(qū)塊鏈技術(shù)的適用缺陷，可以挖掘出技術(shù)原理的共性不足，減少技術(shù)與規(guī)范的適配失衡，(11)參見趙宏：《我國疫情信息公開機制以及問題——基于法規(guī)范的分析》，載《東南法學》2020年第2期。那么無論是采用何種技術(shù)原理的區(qū)塊鏈技術(shù)，都可以在共有特征上減少與個人信息保護法律規(guī)范的內(nèi)生性沖突。

(二)區(qū)塊鏈技術(shù)基于個人信息保護法優(yōu)化理念

區(qū)塊鏈技術(shù)是人工智能時代的新興技術(shù)，其對個人信息法律保護的既有架構(gòu)和監(jiān)管體系造成顛覆性影響，和《個人信息保護法》在具體理念上存在差異。對于技術(shù)與法規(guī)的理念差異，需要在技術(shù)創(chuàng)新升級與個人信息保護之間保持價值平衡，調(diào)整技術(shù)與法規(guī)達到相對一致的目的，平衡區(qū)塊鏈技術(shù)處理個人信息時的各方訴求，在促進技術(shù)升級的同時實現(xiàn)對個人信息的全方位保障。

第一，區(qū)塊鏈技術(shù)在處理范圍的選擇上應該契合《個人信息保護法》的目的訴求，將區(qū)塊鏈處理個人信息的范圍適當擴展至域外，提供合適的技術(shù)處理方案來最大程度地保護我國公民的個人信息自決權(quán)法益?！秱€人信息保護法》第3條對域外適用本法設(shè)定了限制條件，盡管該法不具備完全的域外規(guī)制效力，但同時設(shè)置了“法律、行政法規(guī)規(guī)定的其他情形”作為兜底條款，體現(xiàn)了《個人信息保護法》擴張保護范圍、強化保護力度的追求。與之相對，區(qū)塊鏈去中心化的技術(shù)特性決定了其處理范圍并不局限在某一特定地域范圍內(nèi)，因此其技術(shù)監(jiān)管范圍便可以進行相應的延伸，只要個人信息有一個存儲節(jié)點位于境內(nèi)便可以參照《個人信息保護法》加以監(jiān)管。區(qū)塊鏈的技術(shù)路徑傾向于對個人信息采用分布式去中心化記賬模式加以處理，個人信息的存儲與變更通過全節(jié)點驗證在區(qū)塊鏈上記載，并無特定的物理節(jié)點，從而提供了通暢的技術(shù)監(jiān)管通道。質(zhì)言之，適度擴張區(qū)塊鏈處理個人信息的監(jiān)管范圍，有助于保護我國公民存儲在區(qū)塊鏈上的個人信息的安全，同時也促使《個人信息保護法》與域外GDPR等法律規(guī)范保持相對一致，在保證我國擁有區(qū)塊鏈技術(shù)監(jiān)管的絕對優(yōu)勢的前提下，推動個人信息保護的跨境合作。

第二，區(qū)塊鏈技術(shù)對個人信息的處理應該基于《個人信息保護法》的立法目的展開，將保護與使用并重的理念轉(zhuǎn)化為區(qū)塊鏈的技術(shù)指標，并將相關(guān)技術(shù)指標作為具體的合規(guī)任務來構(gòu)建對個人信息的專門保護，將區(qū)塊鏈這一通用人工智能技術(shù)平移應用到專門的個人信息法律保護領(lǐng)域。(12)參見王祿生：《論法律大數(shù)據(jù)“領(lǐng)域理論”的構(gòu)建》，載《中國法學》2020年第2期?！秱€人信息保護法》對個人信息倡導保護與使用并重，而保護和使用實際上都需要區(qū)塊鏈技術(shù)的加持。在個人信息的保護上，區(qū)塊鏈技術(shù)在處理個人信息時應該保持公開透明，不能以保護技術(shù)秘密為由剝奪公民對自身個人信息處理方式的知情權(quán)限，同時應利用新興技術(shù)消除現(xiàn)代化社會的治理風險，(13)參見周佑勇、朱崢：《風險治理現(xiàn)代化中的公民知情權(quán)保障》，載《比較法研究》2020年第3期。實現(xiàn)對個人隱私的全方位保護。在個人信息的使用上，區(qū)塊鏈技術(shù)需要發(fā)揮自身的技術(shù)優(yōu)勢，提升個人信息的處理效率，將技術(shù)效能賦值個人信息的使用價值，區(qū)塊鏈技術(shù)處理后的個人信息不僅能挖掘出潛在價值，也能實現(xiàn)二次賦值。總之，區(qū)塊鏈技術(shù)的應用理念需要參考《個人信息保護法》加以優(yōu)化，并通過合規(guī)監(jiān)管的“橋梁”來消弭技術(shù)與法律的錯配，真正落實保護與使用并重的理念來提升技術(shù)效能。

第三，區(qū)塊鏈技術(shù)在個人信息的處理過程中應當保持各方主體的地位平等，在處理路徑的選擇上避免過分重視某一方的保護需求，做到技術(shù)公正并貫徹《個人信息保護法》所倡導的公正平等理念。在個人信息的處理過程中，公正平等的處理原則要求區(qū)塊鏈技術(shù)合規(guī)不應區(qū)分個人信息所有者的身份，對于被處理的個人信息，無論其內(nèi)容構(gòu)成、信息來源和應用目的有何不同，一律采用平等的處理模式，保護公民的個人信息自決權(quán)法益。為了保護公民個人信息自決權(quán)，區(qū)塊鏈技術(shù)應該在底層邏輯上避免算法偏見，在堅持技術(shù)內(nèi)核公正的同時將消除算法偏見作為區(qū)塊鏈技術(shù)的合規(guī)要求，這本身也有利于降低技術(shù)成本，防止技術(shù)算力被無端消耗。退言之，如若區(qū)塊鏈技術(shù)不能實現(xiàn)公平公正，那么其處理個人信息的技術(shù)紅利將會被反噬，公眾對區(qū)塊鏈這一新興技術(shù)的信任程度會降低，其應用范圍也會隨之限縮，《個人信息保護法》的強制力就會限制區(qū)塊鏈技術(shù)的發(fā)展，所以區(qū)塊鏈技術(shù)處理個人信息需要公平公正地協(xié)調(diào)各方利益，力圖實現(xiàn)對個人信息的全方位保護。

(三)區(qū)塊鏈技術(shù)彌補個人信息權(quán)利的保護缺漏

《個人信息保護法》在個人信息權(quán)利保護上圍繞公民個人信息自決權(quán)的實質(zhì)法益展開，個人信息權(quán)利保護來源于信息主體為了處理個人信息而讓渡部分個人信息權(quán)限，并因此享有對應的決定權(quán)與控制權(quán)。區(qū)塊鏈技術(shù)介入個人信息處理后，應該堅持技術(shù)公正，利用技術(shù)優(yōu)勢完善對個人信息自決權(quán)的保護，而當前個人信息權(quán)利的保護缺漏主要集中在三個方面，分別是補充更正權(quán)、被遺忘權(quán)與可攜帶權(quán)，區(qū)塊鏈的技術(shù)優(yōu)勢可以從多方面入手彌補保護缺漏。

區(qū)塊鏈技術(shù)應該根據(jù)個人信息權(quán)利內(nèi)涵的差異提供針對性的保護。第一，《個人信息保護法》第46條規(guī)定了信息主體具有補充更正權(quán)，即個人信息主體有權(quán)要求更正不準確的個人信息，信息控制者在收到請求后必須從信息存儲庫中更正、修改或刪除不準確或不完整的個人信息。為了落實這一權(quán)利，區(qū)塊鏈技術(shù)可以對各個節(jié)點上的個人信息進行及時反饋，雖然其中的個人信息需要經(jīng)由各方同意、按照共識機制實現(xiàn)更正，區(qū)塊鏈上難以及時對個人信息進行刪改，(14)參見王從光：《區(qū)塊鏈技術(shù)應用于個人信息保護的法理解讀與治理》，載《西北民族大學學報(哲學社會科學版)》2021年第6期。但是區(qū)塊鏈技術(shù)的去中心化與可溯源化特征意味著可以按照合規(guī)程序進行刪改，只要刪改流程符合其技術(shù)原理，便可以提供事后的權(quán)利救濟渠道。(15)參見陳奇?zhèn)?、聶琳峰：《技術(shù)+法律：區(qū)塊鏈時代個人信息權(quán)的法律保護》，載《江西社會科學》2020年第6期。第二，《個人信息保護法》引入了被遺忘權(quán)，從兼顧個人信息安全和社會公共法益的角度出發(fā)，較為明確地規(guī)定了幾種可以請求刪除的情形。(16)參見程嘯：《論〈個人信息保護法〉中的刪除權(quán)》，載《社會科學輯刊》2022年第1期。被遺忘權(quán)規(guī)定信息主體可要求從企業(yè)的存儲器中刪除其個人信息且不得無故拖延，這是個人信息數(shù)據(jù)控制與信息刪除之沖突的一種平衡。(17)參見阮晨欣：《大數(shù)據(jù)時代賬號注銷權(quán)的保護實踐——以〈個人信息保護法〉“刪除”處理為視角》，載《東南法學》2021年第2期。當信息主體行使被遺忘權(quán)時，數(shù)據(jù)控制者須告知與其共享該個人信息數(shù)據(jù)的第三方并一同刪除個人信息數(shù)據(jù)。被遺忘權(quán)作為新型權(quán)利對于區(qū)塊鏈技術(shù)而言是一種全新的挑戰(zhàn)，區(qū)塊鏈技術(shù)必須在網(wǎng)絡(luò)留痕的傳統(tǒng)思維模式下不斷探索如何保障公民的被遺忘權(quán)，組成區(qū)塊鏈的各個節(jié)點可以及時清除個人信息的數(shù)據(jù)留存，滿足公民對個人信息的控制自治和信息自由。(18)參見阮晨欣：《被遺忘權(quán)作為新型權(quán)利之確證與實踐展開》，載《安徽大學學報(哲學社會科學版)》2022年第3期。第三，以往《個人信息保護法》中規(guī)定的可攜帶權(quán)在個人信息的實際處理過程中難以被妥善保護，個人信息蘊含的巨大利益以及技術(shù)發(fā)展的不成熟導致可攜帶權(quán)面臨空置化的窘境?？蓴y帶權(quán)賦予個人信息所有者根據(jù)其要求以“結(jié)構(gòu)化、普遍使用和機器可讀”的格式從控制者處獲得自己個人信息的權(quán)利，但這同時帶來了隱私自治、數(shù)據(jù)遷移權(quán)的安全風險與合規(guī)成本利益失衡的潛在可能性。(19)參見康蘭平、程文文：《數(shù)據(jù)可攜帶權(quán)在歐美法律實踐上的權(quán)利要旨對我國個人信息權(quán)益保護的借鑒》，載《電子知識產(chǎn)權(quán)》2022年第3期。在區(qū)塊鏈技術(shù)介入后，其可以強化個人信息保護壁壘，隱私自治被限制在一定范圍內(nèi)，在數(shù)據(jù)遷移過程中，個人信息在各節(jié)點的傳輸也處于可控制的范圍內(nèi)，從而利用技術(shù)優(yōu)勢降低了整體的合規(guī)成本?！秱€人信息保護法》第45條規(guī)定符合國家網(wǎng)信部門規(guī)定的個人信息處理者還需要提供轉(zhuǎn)移路徑，區(qū)塊鏈的去中心化特征可以避免大型平臺借助技術(shù)優(yōu)勢壟斷個人信息，平臺在個人信息傳輸過程中難以占據(jù)絕對主導地位，而是由多方共同參與個人信息的傳輸過程。

總之，《個人信息保護法》中強調(diào)的補充更正權(quán)、被遺忘權(quán)和可攜帶權(quán)的權(quán)利譜系可以借助區(qū)塊鏈技術(shù)得以實現(xiàn)，但在技術(shù)應用的過程中仍需要堅持技術(shù)合規(guī)。實際上，在個人信息保護的過程中，區(qū)塊鏈技術(shù)在不斷調(diào)整適配個人信息的保護需求，(20)參見Timmons J, Hickman T, Blockchain and the GDPR: Coexisting in contradiction, Journal of Data Protection & Privacy, 2020, 3(3). pp. 310-322.并落實《個人信息保護法》的規(guī)范需求，實現(xiàn)對個人信息自決權(quán)的實質(zhì)保護。區(qū)塊鏈可以通過多重技術(shù)路徑更迭個人信息，基于《個人信息保護法》規(guī)定的權(quán)利構(gòu)成，區(qū)塊鏈技術(shù)在處理鏈上的個人信息時需要強化合規(guī)監(jiān)管，事先對技術(shù)機理、運行模式進行合規(guī)改進，才能借助合規(guī)模式預先處理《個人信息保護法》與區(qū)塊鏈技術(shù)之間的齟齬，進行法律規(guī)范審查并規(guī)范信息處理流程，(21)參見趙炳昊：《個人信息保護法頒布后征信體系的調(diào)整與完善》，載《東方法學》2022年第3期。將區(qū)塊鏈技術(shù)廣泛地應用到個人信息的處理過程中。

三、鏡鑒區(qū)塊鏈技術(shù)發(fā)展完善個人信息保護法的適用

在完善個人信息處理的過程中，不能僅寄希望于區(qū)塊鏈技術(shù)的單方面迭代升級，同時也要從完善法律規(guī)范的層面進行紓解，基于內(nèi)生性沖突來完善《個人信息保護法》的規(guī)范內(nèi)容與解釋路徑。根據(jù)區(qū)塊鏈的技術(shù)特征，量化區(qū)塊鏈技術(shù)的不合理成本以限制公共法益的無限延伸，靈活解釋區(qū)塊鏈處理個人信息的方式，并提供一定程度的技術(shù)豁免，構(gòu)建貫徹個人信息全生命周期的法律保護體系，借助《個人信息保護法》的強制性來保護個人信息的私權(quán)利。(22)參見劉艷紅：《人性民法與物性刑法的融合發(fā)展》，載《中國社會科學》2020年第4期。

(一)限制公共法益保護個人信息自決權(quán)

相較于《個人信息保護法》中對公共法益的延伸采用審慎的保護態(tài)度，GDPR中直接規(guī)定了為保護公共法益而不適用被遺忘權(quán)和可攜帶權(quán)的例外情形，如第9條規(guī)定為保護公共衛(wèi)生安全或公共存檔安全法益在處理個人信息的某些特殊情況中不適用被遺忘權(quán)，第20條規(guī)定為公共法益或為行使其被授權(quán)的官方權(quán)威所必須時，不適用可攜帶權(quán)，上述規(guī)定是在復雜語境下有所側(cè)重地協(xié)調(diào)個人法益與公共法益的關(guān)系。(23)參見金晶：《歐盟〈一般數(shù)據(jù)保護條例〉：演進、要點與疑義》，載《歐洲研究》2018年第4期。在個人信息的實際處理過程中，很多跨國公司適用GDPR中保護公共法益的規(guī)定，但這必然會影響個人法益的保護，故而需要限制公共法益的保護范圍，比如Medicalchain公司為了建立高質(zhì)量的醫(yī)療保健系統(tǒng)來安全分享去中心化的個人信息而放棄使用被遺忘權(quán)。(24)參見畢浩然、曾智、姚育楠：《區(qū)塊鏈+醫(yī)療個人健康數(shù)據(jù)存儲——基于medicalchain平臺的分析》，載《中國衛(wèi)生事業(yè)管理》2021年第5期。ConsenSys Quorum為了建立高效的個人金融信息分享系統(tǒng)，在跨鏈訪問比特幣中的個人信息時基于服務公共法益而放棄被遺忘權(quán)，(25)參見李芳、李卓然、趙赫：《區(qū)塊鏈跨鏈技術(shù)進展研究》，載《軟件學報》2019年第6期。但在實際運行過程中也并非所有的區(qū)塊鏈技術(shù)都可以適用保護公共法益的例外情形。鑒于區(qū)塊鏈技術(shù)處理個人信息所要保護的核心法益是個人信息自決權(quán)，所以《個人信息保護法》需要框定公共法益的保護范圍，既要兼顧對公共法益的特殊保護，又要防止肆意擴張公權(quán)力的規(guī)范范圍。(26)參見楊楊、于水、胡衛(wèi)衛(wèi)：《區(qū)塊鏈賦能重塑社會治理結(jié)構(gòu)：場景、風險與治理之道》，載《電子政務》2020年第3期。在區(qū)塊鏈技術(shù)的實際應用過程中，無視不合理成本而延伸公共法益的處理模式不具有長遠的可行性，并不利于區(qū)塊鏈的推廣應用。

相較于GDPR，我國《個人信息保護法》中尚未規(guī)定基于公共法益的例外情形，也就無從確定公共法益的保護范圍，那么對應的個人信息自決權(quán)的保護也就無所適從。(27)參見王利明：《論個人信息刪除權(quán)》，載《東方法學》2022年第1期。公共法益是區(qū)塊鏈技術(shù)處理個人信息時需要考慮的因素之一，但是區(qū)塊鏈的技術(shù)核心仍然是圍繞保護個人信息自決權(quán)展開，我國的《個人信息保護法》以保護私權(quán)利作為立法訴求，因此對公共法益的范圍應該進行相應的限縮，尤其是在區(qū)塊鏈等新興技術(shù)的介入下，更要避免新興技術(shù)對公共法益的過分擴張保護。在區(qū)塊鏈技術(shù)的加持下，限制公共法益的價值范圍需要基于個人信息的不同發(fā)展階段、使用合約機制的差異以及區(qū)塊鏈節(jié)點數(shù)量的不同進行區(qū)分解讀，《個人信息保護法》作為功能性立法，(28)參見劉艷紅：《中國反腐敗立法的戰(zhàn)略轉(zhuǎn)型及其體系化構(gòu)建》，載《中國法學》2016年第4期。需要將具體的公共法益參照標準限制在法律規(guī)范的價值功能范疇內(nèi)。第一是時間要素，個人信息的不同發(fā)展階段意味著公共法益與個人法益的權(quán)重比發(fā)生變化，在個人信息的后生命周期，公共法益的占比會隨之上升，此時區(qū)塊鏈技術(shù)介入后，如若為了公共法益就需要犧牲技術(shù)效率且增加不合理的技術(shù)應用成本，則應該限制對公共法益的保護。第二是合約機制要素，也就是區(qū)塊鏈技術(shù)的原始運行機理，比如采用哈希化編校方案的區(qū)塊鏈技術(shù)具有更強的技術(shù)靈活性，對于公共法益的影響較小，可以對個人信息進行合理處理，那么公共法益的范圍也需要適當限縮，相反更應突出對個人信息自決權(quán)的保護。第三是節(jié)點數(shù)量不同，當個人信息被存儲于多個節(jié)點時，其涉及的公共法益范圍較廣且關(guān)聯(lián)較多，某一節(jié)點的變動可能會引起區(qū)塊鏈上個人信息的連鎖反應，此時區(qū)塊鏈技術(shù)在處理個人信息時應該避免發(fā)生變動，限制公共法益的范圍而優(yōu)先保護個人信息的整體穩(wěn)定性?？傊趨^(qū)塊鏈技術(shù)的語境限縮公共法益的范圍，應該拆解區(qū)塊鏈技術(shù)的構(gòu)成，并基于不同技術(shù)側(cè)面強調(diào)對公共法益的限制，更多地將《個人信息保護法》的關(guān)注重心放在個人信息自決權(quán)上，才能更好地促進區(qū)塊鏈技術(shù)創(chuàng)新，(29)參見Shahshahani S, The Role of Courts in Technology Policy, The Journal of Law and Economics, 2018, 61(1). pp. 37-61.同時為后續(xù)的合規(guī)監(jiān)管提供量化依據(jù)。

(二)靈活解釋區(qū)塊鏈處理個人信息的方式

消解區(qū)塊鏈技術(shù)與《個人信息保護法》之間的沖突，除了在立法上盡可能完善個人信息法律規(guī)范體系，同時也需要依據(jù)《個人信息保護法》對區(qū)塊鏈處理個人信息的方式進行靈活解釋，將應用區(qū)塊鏈技術(shù)的核心靈活解釋使其融入既有的法律框架內(nèi)。實際上，寬松且靈活的實質(zhì)解釋路徑能夠在區(qū)塊鏈技術(shù)與《個人信息保護法》的要求之間維持平衡，有助于防止《個人信息保護法》陷入空置化的窘境。

基于《個人信息保護法》的規(guī)范要求來靈活解釋區(qū)塊鏈處理個人信息的方式，需要參考《個人信息保護法》第4條的定義，即“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等”，而上述操作流程都可以由區(qū)塊鏈技術(shù)介入，因此法律規(guī)范對處理模式的限制也需要結(jié)合區(qū)塊鏈技術(shù)特征進行實質(zhì)解釋。第一，對于區(qū)塊鏈分布存儲個人信息數(shù)據(jù)的行為模式，在涉及跨境存儲個人信息時因為區(qū)塊鏈的去中心化的技術(shù)特性而容易產(chǎn)生監(jiān)管爭議?！秱€人信息保護法》中對于跨境存儲個人信息的規(guī)定是基于國家主權(quán)原則而傾向于將個人信息本地化存儲，并倡導通過多邊法律協(xié)助機制協(xié)調(diào)國際管轄沖突，這本身也符合個人信息數(shù)據(jù)的無形性特征。(30)參見吳玄：《云計算下數(shù)據(jù)跨境執(zhí)法：美國云法與中國方案》，載《地方立法研究》2022年第3期。鑒于區(qū)塊鏈技術(shù)的去中心化特征，必然有部分節(jié)點會被設(shè)置在境外或者其本身即為無實體的存儲節(jié)點，那么在行為模式的規(guī)制上，不能機械地遵照既有規(guī)定，而應結(jié)合技術(shù)邏輯對區(qū)塊鏈中的存儲節(jié)點進行解釋，只要個人信息的主體構(gòu)成存儲在境內(nèi)的區(qū)塊鏈節(jié)點上，就可以認為個人信息存儲在境內(nèi)。第二，考慮到區(qū)塊鏈技術(shù)具有不可篡改性的特征，所以在刪除行為模式上需要對《個人信息保護法》中的規(guī)定采用更為寬松的解釋路徑，將匿名化處理、斷開、限制或屏蔽鏈上個人信息的訪問路徑等替代性方案作為實質(zhì)刪除的技術(shù)路徑，(31)參見陳愛飛：《解釋論視域下的區(qū)塊鏈個人信息刪除權(quán)》，載《南京社會科學》2022年第6期。采取了此種技術(shù)路徑便可以認定達成了刪除目標。對個人信息刪除模式的寬松解釋為區(qū)塊鏈技術(shù)提供了更廣闊的應用空間，受區(qū)塊鏈技術(shù)原理所限，只要個人信息的核心識別性被破壞且難以追溯，實際上就達成了刪除的效果，而這種寬松的解釋路徑也和GDPR的規(guī)定不謀而合，配合GDPR中關(guān)于個人信息刪除的若干參考標準，可以為相關(guān)機構(gòu)應對新技術(shù)背景下提出的刪除請求提供衡量依據(jù)，(32)參見薛麗：《GDPR生效背景下我國被遺忘權(quán)確立研究》，載《法學論壇》2019年第2期。我國的《個人信息保護法》在采用了更為寬松的解釋路徑后也應該補充此類技術(shù)標準并且將其納入合規(guī)任務的制定中。

總之，鑒于當前《個人信息保護法》面臨的復雜多樣的個人信息處理場景，在應對區(qū)塊鏈技術(shù)帶來的技術(shù)風險挑戰(zhàn)時，需要對區(qū)塊鏈技術(shù)處理個人信息的方式進行靈活解釋，以此來保證個人信息得到合規(guī)處理，并確保個人信息的核心利益沒有受到侵害。實際上，基于《個人信息保護法》來嚴格解釋區(qū)塊鏈技術(shù)的使用模式可能會打擊技術(shù)發(fā)展的積極性，而過分限制區(qū)塊鏈技術(shù)的應用顯然不利于消除個人信息處理過程中的風險，(33)參見王海洋、郭春鎮(zhèn)：《公開的個人信息的認定與處理規(guī)則》，載《蘇州大學學報(法學版)》2021年第4期。對新興技術(shù)采用寬松的解釋模式實際上是技術(shù)發(fā)展的應然。

(三)個人信息保護法豁免處理技術(shù)責任

區(qū)塊鏈技術(shù)的發(fā)展日新月異，迭代升級的技術(shù)路徑具有潛在的處理效率優(yōu)勢，為了更加高效地處理個人信息，以《個人信息保護法》為代表的法律規(guī)范在合規(guī)監(jiān)管過程中應該對技術(shù)本身持寬容的態(tài)度并部分豁免處理技術(shù)的應用。《個人信息保護法》可將一定程度的豁免納入合規(guī)體系內(nèi)，圍繞個人信息自決權(quán)的實質(zhì)法益展開保護，對于其他保護法益的監(jiān)管則適當放松，同時對潛在的風險進行及時報送并探討規(guī)范監(jiān)管措施，這也符合《個人信息保護法》第53條“報送履行個人信息保護職責的部門”的規(guī)范要求。

GDPR中較為模糊地描述了某些關(guān)鍵節(jié)點的技術(shù)限制規(guī)范，提供了技術(shù)試錯與責任豁免的空間，區(qū)塊鏈技術(shù)可以在GDPR中的“灰色地帶”尋求技術(shù)突破。對于區(qū)塊鏈等新興技術(shù)而言，法律規(guī)范在規(guī)定相關(guān)爭議如何解決時基于技術(shù)是否侵害個人信息的實質(zhì)法益來判斷是否豁免責任，意味著法律與新興技術(shù)之間達成“妥協(xié)”，促進了法律與技術(shù)間的良性互動。(34)參見Iancu A, The Role of the Courts in Shaping Patent Law & Policy, Berkeley technology law journal, 2019, 34(3). pp. 333-342.鑒于此，如果《個人信息保護法》對區(qū)塊鏈技術(shù)秉持嚴格監(jiān)管的態(tài)度，將會阻礙區(qū)塊鏈技術(shù)創(chuàng)新并錯失技術(shù)賦能的良機，對應的合規(guī)監(jiān)管體系也會趨于滯后，無法對區(qū)塊鏈技術(shù)的迭代升級做出及時應對，不利于區(qū)塊鏈技術(shù)充分發(fā)揮出技術(shù)效能。

《個人信息保護法》對區(qū)塊鏈技術(shù)應用的責任豁免，本質(zhì)上是為了避免技術(shù)研發(fā)者和技術(shù)使用者在面對復雜多樣的數(shù)字環(huán)境時承擔苛重的責任。人工智能時代的到來意味著區(qū)塊鏈技術(shù)面臨日趨復雜的技術(shù)環(huán)境，而科技的不斷發(fā)展所引發(fā)的高風險不僅需要法律規(guī)范進行預防，還需要技術(shù)迭代升級進行消除，(35)參見劉艷紅：《刑法理論因應時代發(fā)展需處理好五種關(guān)系》，載《東方法學》2020年第2期。這就需要《個人信息保護法》為區(qū)塊鏈技術(shù)提供較為寬松的監(jiān)管環(huán)境與責任豁免空間，進而營造良好的技術(shù)發(fā)展環(huán)境?？蚨ň唧w的責任豁免范圍需要基于區(qū)塊鏈處理個人信息所對應的實質(zhì)法益展開，個人信息法益的內(nèi)涵是公民個人信息自決權(quán)，公民有權(quán)決定如何處理自己的個人信息，而具體的處理技術(shù)方式也取決于其自身意志。(36)參見冀洋：《法益自決權(quán)與侵犯公民個人信息罪的司法邊界》，載《中國法學》2019年第4期。鑒于此，只要區(qū)塊鏈技術(shù)處理個人信息沒有侵犯公民個人信息自決權(quán)，那么《個人信息保護法》就可以根據(jù)技術(shù)應用的實際情況、技術(shù)發(fā)展的現(xiàn)實水平以及處理信息的復雜程度提供一定范圍的責任豁免。技術(shù)應用的實際情況主要考慮技術(shù)是否按照既定流程提供了個人信息處理的最佳方案，判斷是否豁免責任需要參考區(qū)塊鏈技術(shù)對處理個人信息產(chǎn)生的其他方面的影響。鑒于技術(shù)發(fā)展的現(xiàn)實水平，需要考慮區(qū)塊鏈技術(shù)是否已經(jīng)完全發(fā)揮出自身的技術(shù)效力，面對個人信息處理時能否在既有的處理能力內(nèi)提供技術(shù)保障。衡量處理信息的復雜程度則需要考慮個人信息自身所處的狀況，如若個人信息本身存在潛藏的風險，那么后續(xù)技術(shù)處理中只要沒有增加風險就應該豁免技術(shù)的責任。實際上，《個人信息保護法》不僅要保護公民個人信息不受侵犯，其同時也要促進個人信息處理技術(shù)的進步，要求違反特定數(shù)據(jù)義務者承擔侵權(quán)責任只是一種有效的補充或替代方式，(37)參見解正山：《個人信息保護法背景下的數(shù)據(jù)抓取侵權(quán)救濟》，載《政法論壇》2021年第6期。而非法律監(jiān)管的最終目的，《個人信息保護法》強調(diào)使用與保護并重，提供適當?shù)呢熑位砻饪臻g無可厚非，而且也并不存在成為違規(guī)避風港的風險。

總之，區(qū)塊鏈技術(shù)和《個人信息保護法》的目標相對一致，區(qū)塊鏈處理個人信息契合《個人信息保護法》提倡的保護與使用并重的訴求，人工智能時代法律歸責體系也需要隨之迭代升級，(38)參見周佑勇：《論智能時代的技術(shù)邏輯與法律變革》，載《東南大學學報(哲學社會科學版)》2019年第5期。推動區(qū)塊鏈技術(shù)的部分責任豁免實際上有助于激發(fā)技術(shù)潛力。為了消除個人信息保護的積弊，通過優(yōu)化區(qū)塊鏈使用路徑來提升安全性與透明度的行為不應被視為濫用技術(shù)，而應被視為優(yōu)化《個人信息保護法》對個人信息的保護與使用模式的外部助力，體現(xiàn)出我國個人信息保護體系對網(wǎng)絡(luò)時代公民個人信息權(quán)利保障訴求的回應。

四、基于個人信息保護法強化對區(qū)塊鏈技術(shù)合規(guī)監(jiān)管

區(qū)塊鏈技術(shù)是未來處理個人信息的發(fā)展方向，因此《個人信息保護法》需要事先在法律規(guī)范的基礎(chǔ)上結(jié)合技術(shù)發(fā)展境況構(gòu)建對應的合規(guī)監(jiān)管體系，在技術(shù)迭代升級的客觀前提下，將個人信息保護的法律規(guī)范轉(zhuǎn)化為具體的合規(guī)任務，推動區(qū)塊鏈技術(shù)與《個人信息保護法》等法律規(guī)范之間的積極對話。(39)參見Schwerin S, Blockchain and Privacy Protection in the Case of the European General Data Protection Regulation (GDPR): A Delphi Study, The Journal of British Blockchain Association, 2018, 1(1). pp.1-77.在合規(guī)監(jiān)管區(qū)塊鏈技術(shù)風險的過程中，需要結(jié)合技術(shù)發(fā)展的實際情況調(diào)整合規(guī)監(jiān)管的對象和技術(shù)路徑，這種對區(qū)塊鏈技術(shù)的外部干預契合了其發(fā)展的現(xiàn)實需求。(40)參見Jéssica N, Blockchain, Behavioural Remedies, and Merger Control: How can access remedies do better, Journal of European Competition Law & Practice, 2022, 13(3). pp. 167-186.為了確保區(qū)塊鏈技術(shù)創(chuàng)新不被扼殺，相關(guān)法律規(guī)范必須完善技術(shù)指南來明確關(guān)于個人信息的違規(guī)條款，從而避免區(qū)塊鏈技術(shù)陷入過于苛重的責任。(41)參見Mirchandani A, The GDPR-Blockchain Paradox: Exempting Permissioned Blockchains from the GDPR, Fordham Intellectual Property, Media and Entertainment Law Journal, 2019, 29(4). pp. 1201-1241.

(一)參考個人信息保護法規(guī)范制定合規(guī)任務

區(qū)塊鏈技術(shù)與《個人信息保護法》配合的嫌隙來源于法律規(guī)范的滯后性導致其難以追隨上技術(shù)升級的步伐，而法律規(guī)范在技術(shù)升級的過程中卻始終扮演監(jiān)管角色。在基于《個人信息保護法》塑造合規(guī)監(jiān)管體系的過程中，合規(guī)任務是技術(shù)遵照執(zhí)行的重點，而合規(guī)任務具體內(nèi)容的確定則需要重新解讀《個人信息保護法》中關(guān)于技術(shù)發(fā)展的規(guī)范內(nèi)容，促使應用區(qū)塊鏈技術(shù)的企業(yè)能夠從外部規(guī)制轉(zhuǎn)向自我管理，對應用區(qū)塊鏈技術(shù)處理個人信息的潛在風險由事后規(guī)制模式轉(zhuǎn)向事前預防模式。(42)萬方：《合規(guī)計劃作為預防性法律規(guī)則的規(guī)制邏輯與實踐進路》，載《政法論壇》2021年第6期。

第一，將個人信息所有者事先同意作為區(qū)塊鏈處理個人信息的合規(guī)前提，將知情同意制度作為合規(guī)任務予以考察?！秱€人信息保護法》第14條規(guī)定“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出”，這一規(guī)范是塑造知情同意合規(guī)任務的規(guī)范依據(jù)。知情同意機制在個人信息處理過程中扮演合規(guī)出罪的角色，具有幫助區(qū)塊鏈技術(shù)出罪的功能，雖然區(qū)塊鏈的技術(shù)風險可能對個人信息處理帶來沖擊，但是只要其事先將技術(shù)處理方式告知公民并獲得其同意，就可以在事后對可能出現(xiàn)的侵害公民個人信息自決權(quán)的行為出罪。(43)參見李立豐：《〈個人信息保護法〉中“知情同意條款”的出罪功能》，載《武漢大學學報(哲學社會科學版)》2022年第1期。.區(qū)塊鏈技術(shù)本身就是促進信息流通共享的機制，《個人信息保護法》的立法目標就是確保個人信息所有者可以自由選擇以明確同意的方式將個人信息的控制權(quán)交給區(qū)塊鏈并由其進行技術(shù)加工。(44)參見周漢華：《個人信息保護的法律定位》，載《法商研究》2020年第3期。在合規(guī)監(jiān)管體系中，將知情同意機制作為合規(guī)任務符合公開、透明原則，讓公民參與到對區(qū)塊鏈技術(shù)的合規(guī)監(jiān)管過程中，既然公眾在事前已經(jīng)知道了區(qū)塊鏈技術(shù)對自身信息的處理路徑，那么在獲得處理后收益的同時就應該將潛在的技術(shù)風險納入合理的接受范圍內(nèi)。這保障了公民對自身個人信息處理的知情權(quán)，同時明確區(qū)塊鏈技術(shù)的優(yōu)勢和威脅，(45)參見Rothchild, John A, Against Notice and Choice: The Manifest Failure of the Proceduralist Paradigm to Protect Privacy Online (or Anywhere Else), Cleveland State Law Review, 2018, 66(3). pp. 559-648.知情同意制度以合規(guī)任務的方式降低了個人信息處理的不確定性，將區(qū)塊鏈技術(shù)這一新興科技試驗全方位納入合規(guī)監(jiān)管框架。

第二，調(diào)整《個人信息保護法》中對應處理個人信息權(quán)利的行為模式，在對個人信息處理模式進行寬松解釋的基礎(chǔ)上，將重新解釋后的行為內(nèi)容作為區(qū)塊鏈的具體合規(guī)任務。以區(qū)塊鏈的刪除行為為例，《個人信息保護法》尚未規(guī)定在區(qū)塊鏈技術(shù)中刪除個人信息的具體含義，那么可以根據(jù)區(qū)塊鏈技術(shù)的運行邏輯將合規(guī)的刪除任務限定為將個人信息轉(zhuǎn)移到新的訪問權(quán)受限的區(qū)塊或者在區(qū)塊鏈中創(chuàng)建新的區(qū)塊鏈分支，將上述兩種刪除個人信息的方式規(guī)定為合規(guī)有助于貫徹《個人信息保護法》對個人信息被遺忘權(quán)的保護，以此作為合規(guī)任務考慮到了區(qū)塊鏈技術(shù)固有的不可篡改性特征，以轉(zhuǎn)移訪問或者創(chuàng)建新分支的模式覆蓋節(jié)點中的原有個人信息，在實質(zhì)上實現(xiàn)刪除效果，同時避免合規(guī)任務和技術(shù)基礎(chǔ)原理相沖突。對于區(qū)塊鏈技術(shù)而言，技術(shù)發(fā)展需要限定在《個人信息保護法》的合規(guī)框架內(nèi)，由于區(qū)塊鏈技術(shù)的運行原理可能導致行為模式的創(chuàng)新和發(fā)展與法律規(guī)范相悖，因此需要對行為重新進行解釋并作為合規(guī)任務敦促區(qū)塊鏈技術(shù)遵守，否則區(qū)塊鏈技術(shù)的應用將面臨不確定的技術(shù)風險，合規(guī)體系的構(gòu)建也會因此缺乏明確方向，甚至會阻礙區(qū)塊鏈技術(shù)的推廣。

總之，應基于《個人信息保護法》采用寬松的解釋路徑并結(jié)合技術(shù)發(fā)展現(xiàn)狀圍繞個人信息自決權(quán)法益塑造實質(zhì)的合規(guī)任務，避免出現(xiàn)將法律規(guī)范的內(nèi)容機械地轉(zhuǎn)化為合規(guī)任務的情形，防止因為集體法益的抽象化導致法益保護原則的虛空。(46)參見劉艷紅：《積極預防性刑法觀的中國實踐發(fā)展——以〈刑法修正案(十一)〉為視角的分析》，載《比較法研究》2021年第1期。合規(guī)監(jiān)管體系的內(nèi)在原理是特殊預防理論，(47)參見馬明亮：《作為犯罪治理方式的企業(yè)合規(guī)》，載《政法論壇》2020年第3期。這和區(qū)塊鏈技術(shù)作為新興技術(shù)的特殊運行模式相契合，需要針對其在個人信息處理過程中的特殊情況加以預防，同時對一般性的技術(shù)路徑保持開放態(tài)度。在個人信息風險層出不窮的背景下，制定合規(guī)任務需要在技術(shù)發(fā)展與規(guī)范要求之間尋求平衡，制定出真正滿足公民個人信息保護需求且不會阻礙技術(shù)進步的合規(guī)任務。

(二)優(yōu)化編校方案實現(xiàn)區(qū)塊鏈技術(shù)合規(guī)升級

合規(guī)處理個人信息會倒逼區(qū)塊鏈技術(shù)升級，在技術(shù)編校環(huán)節(jié)針對技術(shù)風險進行事先預防，在區(qū)塊鏈技術(shù)的初始設(shè)計階段優(yōu)化其運行機理，通過調(diào)整區(qū)塊鏈技術(shù)編校方案來規(guī)避使用爭議以實現(xiàn)合規(guī)升級。實際上，域外區(qū)塊鏈合規(guī)體系的完善已經(jīng)促使諸如埃森哲公司等科技企業(yè)嘗試改進區(qū)塊鏈編校方案，消除區(qū)塊鏈應用過程中的固有缺陷，(48)參見Ke H A, Xza B, Yi M C, Scalable and redactable blockchain with update and anonymity, Information Sciences, 2021, 546(15). pp. 25-41.其中典型的優(yōu)化方案是具備特殊哈希功能的變色龍哈希(chameleon hash)區(qū)塊鏈，當其被添加到鏈接鏈上兩個區(qū)塊的哈希函數(shù)中時會提供一個允許解鎖區(qū)塊之間鏈接的密鑰，并在鏈上處理完個人信息后重新鎖定區(qū)塊，(49)參見Wu C, Ke L, Du Y, Quantum resistant key-exposure free chameleon hash and applications in redactable blockchain, Information Sciences, 2021, 548(1). pp. 438-449.而這正好滿足《個人信息保護法》對個人信息處理提出的補充更正權(quán)、被遺忘權(quán)和可攜帶權(quán)的要求，通過編校方案預先在技術(shù)層面實現(xiàn)合規(guī)監(jiān)管。(50)參見吳燕妮：《金融科技前沿應用的法律挑戰(zhàn)與監(jiān)管——區(qū)塊鏈和監(jiān)管科技的視角》，載《大連理工大學學報(社會科學版)》2018年第3期。變色龍哈希雖然在一定程度上破壞了區(qū)塊鏈固有的去中心化及不可篡改的特征，但是其擴張了區(qū)塊鏈技術(shù)的應用場景，在實際功能上將區(qū)塊鏈的節(jié)點存儲轉(zhuǎn)化為數(shù)據(jù)庫存儲，通過技術(shù)原理改進實現(xiàn)對個人信息的合規(guī)保護并保護了個人信息的實質(zhì)法益。

以變色龍哈希為代表的新興區(qū)塊鏈技術(shù)在編校方案中預設(shè)合規(guī)解決內(nèi)生性沖突的技術(shù)路徑，而這種編校方案能夠保持合規(guī)的原因是其將個人信息存儲在數(shù)據(jù)庫而非單個鏈上的節(jié)點中，這同時也符合《個人信息保護法》第40條“將個人信息存儲于境內(nèi)的關(guān)鍵信息基礎(chǔ)設(shè)施”的規(guī)定，將法律規(guī)范轉(zhuǎn)化為合規(guī)基礎(chǔ)。相較于傳統(tǒng)區(qū)塊鏈技術(shù)將個人信息存儲在不同的無實體的鏈上節(jié)點，存儲于形象具體的數(shù)據(jù)庫中顯然更容易進行合規(guī)監(jiān)管，防止個人信息在跨境傳輸過程中出現(xiàn)泄露。變色龍哈希在處理個人信息時，除了鏈上對外展示的個人信息，備份的哈?；瘋€人信息與哈希運算時輸入的原始個人信息一一對應，并單獨存儲在數(shù)據(jù)庫中，而數(shù)據(jù)庫則是合規(guī)監(jiān)管的重心，形成了區(qū)塊鏈合規(guī)處理個人信息的程序閉環(huán)。(51)參見Herian R, Blockchain, GDPR, and fantasies of data sovereignty, Law, Innovation and Technology, 2020, 12(1). pp. 156-174.當個人信息主體行使被遺忘權(quán)時，數(shù)據(jù)庫中哈?；瘋€人信息以及對應的原始個人信息會被銷毀，區(qū)塊鏈上的個人信息與數(shù)據(jù)庫中的個人信息之間的鏈接會被切斷，區(qū)塊鏈上的個人信息也就無法用于識別個人信息主體，從而達成刪除效果。這種編校方案的區(qū)塊鏈技術(shù)同樣可以用于處理與回應個人信息的補充更正權(quán)和可攜帶權(quán)，其整體技術(shù)流程都在合規(guī)框架下運行，既沒有突破《個人信息保護法》的規(guī)范要求，也沒有篡改區(qū)塊鏈的技術(shù)核心，當哈希化的個人信息都存儲在數(shù)據(jù)庫上就可以按照《個人信息保護法》的要求進行更改，降低以區(qū)塊鏈為代表的新興技術(shù)給個人信息法律保護體系帶來的影響與沖擊。(52)參見羅勇：《特定識別與容易比照：區(qū)塊鏈背景下的個人信息法律界定》，載《學習與探索》2020年第3期。

針對新興區(qū)塊鏈技術(shù)編校方案構(gòu)建合規(guī)監(jiān)管體系，需要將《個人信息保護法》作為合規(guī)依據(jù)用以保護區(qū)塊鏈技術(shù)優(yōu)勢，通過技術(shù)合規(guī)提升個人信息處理效率，在技術(shù)編校的初始階段借助《個人信息保護法》的規(guī)范要求來保障技術(shù)優(yōu)勢。以哈希化編校方案中的數(shù)據(jù)庫為例，數(shù)據(jù)庫作為技術(shù)核心不能放任外界修改其中存儲的個人信息，并且要求對修改過程進行備份且實現(xiàn)記錄可追溯，保證信息主體知曉是誰在訪問或修改數(shù)據(jù)庫中的個人信息，保障數(shù)據(jù)庫處理個人信息的透明性，將《個人信息保護法》第55條“個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄”轉(zhuǎn)化為具體的合規(guī)任務并遵照執(zhí)行。哈?；幮７桨钢袑?shù)據(jù)庫進行合規(guī)監(jiān)管，需要參考法律規(guī)范對技術(shù)方案的要求，在技術(shù)創(chuàng)新的基礎(chǔ)上增加合規(guī)保障，以數(shù)據(jù)庫取代節(jié)點存儲是在技術(shù)賦能驅(qū)動的同時強調(diào)合規(guī)監(jiān)管，并對新興技術(shù)構(gòu)成進行預先的合規(guī)審查。(53)參見黃震：《區(qū)塊鏈在監(jiān)管科技領(lǐng)域的實踐與探索改進》，載《人民論壇·學術(shù)前沿》2018年第12期。

總之，基于對《個人信息保護法》的實質(zhì)解讀，通過優(yōu)化區(qū)塊鏈編校方案實現(xiàn)區(qū)塊鏈技術(shù)的合規(guī)升級，是合規(guī)框架下區(qū)塊鏈技術(shù)進步的必經(jīng)之路。區(qū)塊鏈技術(shù)的迭代升級過程需要在保證使用效率的基礎(chǔ)上依據(jù)《個人信息保護法》的具體規(guī)定進行合規(guī)監(jiān)管，編校方案決定了區(qū)塊鏈技術(shù)的運行機理，預先設(shè)置合規(guī)監(jiān)管體系能夠避免因技術(shù)升級所導致的潛在處理技術(shù)越界風險。

(三)基于區(qū)塊鏈技術(shù)發(fā)展方向明確合規(guī)對象

對于應用區(qū)塊鏈技術(shù)的企業(yè)而言，強化合規(guī)監(jiān)管并將合規(guī)計劃納入企業(yè)犯罪治理體系可以規(guī)避風險社會中“創(chuàng)新就可能犯罪”的風險，針對以區(qū)塊鏈技術(shù)為代表的技術(shù)創(chuàng)新，需要明確具體的合規(guī)對象從而限制技術(shù)處理方式。實際上，經(jīng)過區(qū)塊鏈技術(shù)處理的個人信息作為合規(guī)對象被賦予了全新的價值內(nèi)涵，合規(guī)處理后的個人信息屬于《個人信息保護法》第4條規(guī)定的匿名數(shù)據(jù)，個人信息的可追溯性等要素都被區(qū)塊鏈技術(shù)進行重組與改造并服務于不同的社會交流矩陣中。(54)參見Post D G, Pooling Intellectual Capital: Thoughts on Anonymity, Pseudonymity, and Limited Liability in Cyberspace, University of Chicago Legal Forum, 1996, 5(1). pp. 139-169.區(qū)塊鏈技術(shù)對個人信息的技術(shù)改造改變了其基本屬性，改造后的個人信息屬于合規(guī)監(jiān)管的重點，既要保持處理流程合規(guī)，又要確保個人信息的自身構(gòu)成合規(guī)。

經(jīng)過區(qū)塊鏈技術(shù)合規(guī)處理后的個人信息是具體的合規(guī)對象，而個人信息的構(gòu)成特征則是合規(guī)保護的重點。以當前被廣泛應用的哈希區(qū)塊鏈技術(shù)為例，處理后的個人信息的內(nèi)在價值屬性被深度改造，具有匿名性和不可追溯性的典型特征：在匿名性上，哈?；瘜€人信息的構(gòu)成分散到不同的節(jié)點和數(shù)據(jù)庫中，外界只能部分獲取個人信息的內(nèi)容，個人信息所有者的數(shù)據(jù)將會被隱藏；而在不可追溯性上，只要切斷哈希鏈上個人信息與數(shù)據(jù)庫中個人信息之間的關(guān)聯(lián)，那么自然無法對個人信息的所屬進行反向追溯。鑒于此，明確區(qū)塊鏈合規(guī)處理的個人信息作為合規(guī)對象，可以發(fā)揮合規(guī)監(jiān)管體系的強制力，參考《個人信息保護法》的規(guī)定展開合規(guī)監(jiān)管。在處理流程上，明確合規(guī)對象可以避免處理流程中的權(quán)利爭端，在合規(guī)框架下利用區(qū)塊鏈技術(shù)處理的個人信息能夠在一定范圍內(nèi)規(guī)避權(quán)利保護爭議，以預設(shè)合規(guī)的方式肯定區(qū)塊鏈技術(shù)對個人信息的處理模式，按照法律規(guī)范對個人信息進行逐步拆解與運算，防止其中的個人隱私泄露。在面對可能存在的技術(shù)威脅時，強調(diào)對合規(guī)對象的保護能夠重塑公民對法律保護個人隱私的信心，合規(guī)處理后的個人信息在價值內(nèi)涵上得到區(qū)塊鏈技術(shù)的加密保護，以節(jié)點分布的方式降低了個人信息完全泄露的風險，從而構(gòu)建了從技術(shù)路徑到個人信息保護的整體合規(guī)處理流程，(55)參見顧理平：《區(qū)塊鏈與公民隱私保護的技術(shù)想象》，載《中州學刊》2020年第3期。充分發(fā)揮區(qū)塊鏈技術(shù)的合規(guī)處理效能。對于應用區(qū)塊鏈技術(shù)的企業(yè)而言，明確合規(guī)對象意味著合規(guī)任務有了明確的保護目標，相應的合規(guī)保護措施也可以據(jù)此展開，從而將人工智能技術(shù)產(chǎn)能通過制度由公權(quán)力應用引向私權(quán)利保障，(56)參見李小猛：《司法大數(shù)據(jù)和法律人工智能的唯公權(quán)力化傾向及應對——以私權(quán)保障為中心》，載《蘇州大學學報(法學版)》2020年第4期。將技術(shù)進步的時代紅利以合規(guī)的方式應用于保護個人信息。

總之，對個人信息的合規(guī)監(jiān)管首先需要明確合規(guī)保護的對象，將合規(guī)處理后的個人信息作為合規(guī)監(jiān)管體系的保護核心，限縮了合規(guī)體系的監(jiān)管范圍，避免區(qū)塊鏈負擔過重的監(jiān)管成本，同時能夠?qū)赡艽嬖诘姆缸镲L險進行精準的事先預防。圍繞合規(guī)處理后的個人信息展開技術(shù)升級與體系建構(gòu)，意味著《個人信息保護法》的保護內(nèi)容有了明確的落腳點，而對公民個人信息自決權(quán)的保護也在傳統(tǒng)個人信息的基礎(chǔ)上增加了對處理技術(shù)的考量，通過保護合規(guī)對象實現(xiàn)對處理技術(shù)的監(jiān)管，在保障合規(guī)處理后個人信息的實質(zhì)法益的同時強化了區(qū)塊鏈的技術(shù)優(yōu)勢，推動重點化構(gòu)建、系統(tǒng)化推進、協(xié)同化銜接的個人信息合規(guī)監(jiān)管體系的建設(shè)與完善。

結(jié)語

區(qū)塊鏈技術(shù)代表了未來人工智能的發(fā)展方向，個人信息作為未來社會的重要生產(chǎn)資料，如何對其加以利用成為科技發(fā)展所必須思考的問題。區(qū)塊鏈技術(shù)不能無限制地被應用于處理個人信息，而是應該基于《個人信息保護法》等法律規(guī)范的要求，在預設(shè)的合規(guī)框架下發(fā)揮自身的技術(shù)效能。區(qū)塊鏈技術(shù)與《個人信息保護法》之間配合使用的內(nèi)生性沖突，需要從法律規(guī)范與技術(shù)發(fā)展兩個方面進行雙向紓解，一方面推動區(qū)塊鏈技術(shù)的合規(guī)化改造實現(xiàn)技術(shù)升級，另一方面調(diào)整相關(guān)法律的規(guī)范內(nèi)容與解釋路徑，使其能更加有效地預防新興技術(shù)風險。從區(qū)塊鏈技術(shù)長久發(fā)展的角度來看，合規(guī)監(jiān)管是推動區(qū)塊鏈技術(shù)廣泛應用并參與科技產(chǎn)業(yè)活動的外部保障，通過合規(guī)體系引導區(qū)塊鏈技術(shù)實現(xiàn)跨越式發(fā)展，能為破解個人信息治理困境提供全新可能，(57)參見王祿生、王爽：《困境溯源與模式創(chuàng)新：基于區(qū)塊鏈的個人信息合作治理研究》，載《中國行政管理》2020年第12期。確保其能夠真正地發(fā)掘出個人信息的潛在價值。