童 云 峰

(1. 東南大學 法學院, 江蘇 南京 211189; 2. 華東政法大學 中國法治戰(zhàn)略研究院, 上海 201620)

一、 問題的提出: 區(qū)塊鏈技術與個人信息權利的沖突

個人信息權利已被國際社會公認為數(shù)字社會的典型權利,例如,歐盟《一般數(shù)據(jù)保護條例》(GeneralDataProtectionRegulation,簡稱GDPR)賦予了公民拒絕權、被遺忘權、數(shù)據(jù)可攜帶權等個人信息的權利譜系。我國立法也接納了個人信息權利束,《中華人民共和國個人信息保護法》(以下簡稱《個保法》)是一部典型的領域法[1],其參照GDPR賦予了自然人知情決定權、查閱復制權、數(shù)據(jù)可攜帶權、更正權和被遺忘權等個人信息權利束。我國立法者的目的是要實現(xiàn)個人信息的保護價值與利用價值的平衡,而區(qū)塊鏈技術是實現(xiàn)雙向利益平衡的新興技術模式,得到了理論與實踐的關注。區(qū)塊鏈本質上是由一串使用密碼學方法產(chǎn)生的區(qū)塊組成的去中心化的分布式數(shù)據(jù)庫,區(qū)塊中含有在一定時間內(nèi)產(chǎn)生的無法被篡改的數(shù)據(jù)記錄信息,正是分布式分類賬和密碼學讓區(qū)塊鏈成為數(shù)據(jù)資產(chǎn)流動的革命性手段[2]。有學者據(jù)此總結出區(qū)塊鏈技術的七大核心特征:①去中心化。區(qū)塊鏈沒有中央處理節(jié)點,數(shù)據(jù)實行分布式記錄、存儲和更新,攻擊單一節(jié)點無法破壞整個區(qū)塊鏈系統(tǒng)。②不可更改性。一旦信息添加至區(qū)塊鏈后,就會永久存儲和無法更改(特殊設計的系統(tǒng)除外)。③透明性。數(shù)據(jù)記錄的更新操作對全網(wǎng)節(jié)點透明,可以被審查和追溯。④匿名性。允許交易方在不披露身份的情況下參與系統(tǒng)。⑤激勵性。擁有特殊的激勵機制和成本結構,以激勵和補償方式維持各方參與。⑥共識性。協(xié)調社會活動,就系統(tǒng)內(nèi)的事態(tài)達成一致。⑦自治性。促成獨立于任何一方的軟件代碼執(zhí)行[3]。換言之,區(qū)塊鏈技術有助于推動個人信息的安全價值和利用價值的平衡。然而,區(qū)塊鏈技術的核心特征卻與個人信息權利之間存在諸多抵牾之處,具體表現(xiàn)為以下幾個方面。

首先,更正權被消磨。所謂更正權是指信息主體請求信息處理者更正與其相關但存在錯誤的個人信息的權利。歐盟GDPR第16條較早地以成文法律形式認可了更正權。我國國家標準化委員會頒行的《信息安全技術 個人信息安全規(guī)范》(以下簡稱《規(guī)范》)第8.2條規(guī)定,信息控制者應為權利人提供請求更正或補充信息的方法。之后,我國《個保法》第46條正式設置了個人信息主體的更正權。然而,區(qū)塊鏈只能確保鏈上所有節(jié)點之間的信息一致性,無法識別和保障信息內(nèi)容的真實性,同時區(qū)塊鏈被譽為“不可篡改的賬本”,一旦信息發(fā)生錯誤,正常情況下難以修改。如果強行更改區(qū)塊鏈數(shù)據(jù)塊中的數(shù)據(jù),則數(shù)據(jù)塊的哈希會發(fā)生變化,所有隨后的區(qū)塊都會失效。

其次,被遺忘權被消解。2014年歐盟法院在“谷歌訴西班牙數(shù)據(jù)保護局案”判決中接納了個人信息被遺忘權,隨后歐盟GDPR將該項權利法定化,其第17條規(guī)定,當出現(xiàn)六種法定情形時,數(shù)據(jù)主體可以行使被遺忘權。美國《加利福利亞州消費者隱私法案》(CaliforniaConsumerProtectionAct,簡稱CCPA)也賦予了消費者被遺忘權,但與GDPR相比提高了行權門檻,如為確保“居民的基本權利和企業(yè)的合法利益不相沖突”,要求企業(yè)開展“利益衡量測試”來證明兩種利益沒有沖突,這是CCPA趨于促進數(shù)據(jù)流動價值觀的彰顯。受國際立法的影響,我國《規(guī)范》第8.3條和《個保法》第47條先后接納了個人信息被遺忘權。對于違反比例原則的信息處理行為,相關信息主體可以請求信息處理者刪除個人信息[4]。特定信息如果不被遺忘或刪除,對信息主體來說將是一種懲罰。足以證明,被遺忘權是基于人格權益而產(chǎn)生的救濟權、請求權和防御權?！叭绻覀儑L試將這些信息記錄到區(qū)塊鏈這個不可篡改的賬本上,我們就無法理解社交互動的精髓,也會失去遺忘這份禮物。”[5]換言之,在區(qū)塊鏈上刪除權將被剝奪。請求刪除會給區(qū)塊鏈收集、存儲和使用數(shù)據(jù)帶來問題,正因區(qū)塊鏈上的數(shù)據(jù)不能再編輯和刪除,所以區(qū)塊鏈上的數(shù)據(jù)至多只能是以時間為節(jié)點的新數(shù)據(jù)取代舊數(shù)據(jù)。區(qū)塊鏈的不可更改性與數(shù)據(jù)的刪改訴求存在固有沖突,與個人信息被遺忘權的沖突只是其中的代表之一[6]。

最后,數(shù)據(jù)可攜帶權被阻礙。數(shù)據(jù)可攜帶權由歐盟GDPR創(chuàng)設,該法第20條首次提出數(shù)據(jù)主體可從數(shù)據(jù)持有者處無障礙地獲取個人數(shù)據(jù)以及轉移個人數(shù)據(jù)(即數(shù)據(jù)可攜帶權)。意味著數(shù)據(jù)主體有權下載個人數(shù)據(jù)的集合,但僅限于與個人有關且經(jīng)過整理、使用和機器可讀的數(shù)據(jù)[7]。數(shù)據(jù)可攜帶權被規(guī)定在我國《個保法》第45條第3款,但是,這一權利與區(qū)塊鏈不變性的核心特征相沖突,通常數(shù)據(jù)不可能從區(qū)塊鏈上移除,只能添加,數(shù)據(jù)主體不可能實現(xiàn)數(shù)據(jù)的轉移。

正因區(qū)塊鏈技術與上述個人信息基本權利存有抵觸,導致區(qū)塊鏈技術會存在違法性問題。例如,區(qū)塊鏈技術與上述個人信息基本權利的沖突會觸犯《中華人民共和國民法典》(以下簡稱《民法典》)第1 035條確立的個人信息處理最小化原則。區(qū)塊鏈技術與個人信息的結合成為懸在企業(yè)頭頂?shù)摹斑_摩克利斯之劍”,導致企業(yè)不愿意冒險探索區(qū)塊鏈技術。由此引發(fā)多重思考。其一,是否應當在個人信息領域廢止區(qū)塊鏈技術的運用?區(qū)塊鏈技術對個人信息保護的積極價值是否優(yōu)于其不足?其二,為了實現(xiàn)區(qū)塊鏈技術和個人信息保護的協(xié)調發(fā)展,是應改造區(qū)塊鏈技術以契合法律要求,還是應該修正法律以適應區(qū)塊鏈技術?其三,當前應如何才能最大限度實現(xiàn)區(qū)塊鏈技術與個人信息保護的平衡發(fā)展?為回答上述問題,本文在分析區(qū)塊鏈技術對個人信息保護與利用存在積極功效的基礎上,尋找區(qū)塊鏈技術與個人信息權利兼容的適宜方案,期冀實現(xiàn)區(qū)塊鏈技術與個人信息保護的協(xié)同共進。

二、 區(qū)塊鏈技術對個人信息保護與利用的意義

既然區(qū)塊鏈技術與個人信息權利存在沖突,可能會有人認為,應拒絕在個人信息領域引入?yún)^(qū)塊鏈技術,如此可以徹底避免相關風險。然而,這種因噎廢食之舉并不符合促進技術創(chuàng)新的理性思維,對新興技術的探索應當保持適度寬容,建立容錯機制。況且,區(qū)塊鏈技術對于個人信息而言,除了與權利存在沖突,還具有諸多積極價值與貢獻,例如,在區(qū)塊鏈技術興起之前,網(wǎng)絡空間的信任關系通常需要依賴正直、誠信的第三方才能建立。在區(qū)塊鏈這一新興領域中,信任關系的建立是基于不可篡改且永久性的賬本本身,當事人雙方可以提供遠超法律或政策要求的保留期的區(qū)塊鏈記錄,區(qū)塊鏈技術基于自身的信任機制可以提升個人信息的可信度[8]。由此可見,不可更改性雖與個人信息權利存在抵牾,但卻是區(qū)塊鏈的信任根基。同時,區(qū)塊鏈技術的運用有利于革除傳統(tǒng)保護模式的沉疴,加強個人信息的保護,促進個人信息的社會利用,具體可從以下維度展開。

1. 化解信息集中帶來的弊端

區(qū)塊鏈技術有助于打破信息孤島,促進數(shù)據(jù)的互聯(lián)互通與信息的有序共享[9],還能夠衍生諸多優(yōu)勢,具體可從以下三個方面展開。

首先,區(qū)塊鏈上所有數(shù)據(jù)皆呈分布式存儲。區(qū)塊鏈上所有數(shù)據(jù)不會被輕易傳輸和復制。相較于集中式數(shù)據(jù)庫很容易受到潛在的黑客攻擊,分布式數(shù)據(jù)并非存儲于同一位置,數(shù)據(jù)相對安全。例如,截至目前,區(qū)塊鏈比特幣數(shù)據(jù)系統(tǒng)只有在2010年發(fā)生過一次重大攻擊,且系統(tǒng)漏洞很快就被修復[10]。正因數(shù)據(jù)的節(jié)點式分布,依賴數(shù)據(jù)寄存器塑造共享數(shù)據(jù)庫,每個網(wǎng)絡參與者的計算機(或節(jié)點)存儲一份分類賬副本,每當發(fā)生任何變化時,該副本都會在網(wǎng)絡中同時更新[11],使整體系統(tǒng)更安全。由于大量用戶參與區(qū)塊鏈網(wǎng)絡,因此沒有單一的控制點,即使部分節(jié)點出現(xiàn)故障,其他部分依舊可以運作,通過密碼技術確保系統(tǒng)的完整性,任何改變信息記錄的企圖都很容易被發(fā)現(xiàn),這種方案可以防范潛在的欺詐。任何攻擊都變得困難,即使被侵犯也不會產(chǎn)生毀滅性后果。概言之,區(qū)塊鏈技術的分布式存儲不僅提升了信息的共享程度,也能夠防止信息安全狀態(tài)走向失控。

其次,區(qū)塊鏈開放和可溯源性。區(qū)塊鏈系統(tǒng)是開放透明的,除被加密的各種私有信息外,其他信息對所有節(jié)點開放,任一節(jié)點都可以獲悉其他節(jié)點所有開放的信息,且區(qū)塊鏈上的數(shù)據(jù)皆是以時間戳為邏輯順序記錄,可以保障用戶或其他主體的溯源調查。與此相對,互聯(lián)網(wǎng)數(shù)據(jù)庫中各中心信息系統(tǒng)存在較為嚴重的信息孤島現(xiàn)象,信息相互隔絕且呈現(xiàn)碎片化,信息整合混亂且難以有效追溯。而區(qū)塊鏈技術可以革除這一痼疾,允許區(qū)塊鏈網(wǎng)絡上所有參與者查看數(shù)據(jù)塊的所有權,以及數(shù)據(jù)塊上隨時間推移的數(shù)據(jù),也可以查看數(shù)據(jù)塊的來源。自進入互聯(lián)網(wǎng)時代,人們便一直致力于增強信息技術的數(shù)據(jù)傳輸能力,直到“分布式分類賬技術”的誕生才是信息技術革命的開始[12]。有效化解傳統(tǒng)集中式存儲數(shù)據(jù)帶來的個人信息容易被侵犯的隱患,不僅確保了個人信息流動的安全,也促進了國家的數(shù)字安全,降低了數(shù)據(jù)運營成本和提高了決策效率。概言之,區(qū)塊鏈的開放和可溯源性使系統(tǒng)上的每一步操作都可以被追蹤。

最后,信息共享的一致性。區(qū)塊鏈分布式計算的核心在于不同計算機通過信息交換能夠最終達成一致的結論,而區(qū)塊鏈的“共識機制”恰是分布式計算思想的體現(xiàn),是區(qū)塊之間達成共識、寫入數(shù)據(jù)的手段,也是防范數(shù)據(jù)被篡改的方式。區(qū)塊鏈場景下大數(shù)據(jù)的核心特點就在于數(shù)據(jù)的平衡負載和同步共享,通過分布式計算,數(shù)據(jù)資源在所有節(jié)點的計算機上均有備份,能夠實現(xiàn)信息資源的共享,降低計算機的運載負荷。分布式計算實現(xiàn)大數(shù)據(jù)和區(qū)塊鏈的優(yōu)勢結合,昭示著從計算壟斷主義走向去中心化,達成降低成本和提高系統(tǒng)穩(wěn)定性的目標,也促進數(shù)據(jù)共享和釋放計算機壓力。正因區(qū)塊鏈與數(shù)據(jù)信息在分布式思想上存在諸多共同的利益訴求,二者也便有了共同的發(fā)展基礎,這也是區(qū)塊鏈能夠應用于大數(shù)據(jù)領域和優(yōu)化個人信息利用與保護的價值所在。

2. 增強個人對信息的控制權

在互聯(lián)網(wǎng)時代,人們的個人數(shù)據(jù)被某些信息優(yōu)勢者控制且信息主體不知個人信息的去處。在區(qū)塊鏈技術被應用之后,將有望改變這一局面。區(qū)塊鏈也錄入公民的醫(yī)療、教育成果等個人信息,區(qū)塊鏈個人數(shù)據(jù)的利用似乎與傳統(tǒng)網(wǎng)絡技術并無區(qū)別,但實際上,通過區(qū)塊鏈公民可以加強對個人數(shù)據(jù)的控制,不會發(fā)生信息主體不知信息用于何處的情形[13]。

首先,可溯源性為實現(xiàn)個人控制信息提供可能。傳統(tǒng)意義上的控制權相對狹隘,區(qū)塊鏈時代的控制權包含三個維度,個人層面的控制是技術控制,組織層面的控制是群體控制,而系統(tǒng)層面的控制是政府控制[14]?？刂普撘话阏J為,信息既不是物質也不是能量,而是第三種獨立的基本要素,有時被描述為組織和秩序。實際上現(xiàn)代信息應當從技術視角考察,區(qū)塊鏈技術無疑可以實現(xiàn)數(shù)據(jù)的技術控制,能夠輕易地包含隱私等私人數(shù)據(jù),無須隱秘地操作,可以防范群體控制和政府控制的干擾[15]。基于區(qū)塊鏈的內(nèi)部構造原理,凡是登上區(qū)塊鏈的數(shù)據(jù)皆以時間戳為標記,依次排序、永久保存和不可篡改。一旦任一節(jié)點的數(shù)據(jù)出現(xiàn)問題均可追查,在數(shù)據(jù)場景下的不可篡改和時間戳能為溯源、防偽、供應鏈提供有力的工具。由此便可清晰界定個人信息的權屬,能夠實現(xiàn)信息生命周期的全程追蹤,為用戶提供控制個人信息的可能性。

其次,通過加密算法強化用戶控制個人信息。區(qū)塊鏈上個人信息的傳輸和共享依賴加密算法的保駕護航,通過公鑰和私鑰的不對稱加密算法可以對鏈上數(shù)據(jù)嚴格保密,利用數(shù)字簽名保證個人信息不被篡改。傳統(tǒng)加密技術采取的是對稱加密算法,即加密手段和解密手段完全相同,導致加密數(shù)據(jù)被破解的難度低。而區(qū)塊鏈技術所采納的是非對稱加密算法,即每個用戶都擁有兩個密鑰,即公鑰和私鑰,二者相互配合,公鑰負責加密而私鑰負責解密,只有公鑰對外公開,私鑰由用戶個人持有。發(fā)信方首先使用公鑰將數(shù)據(jù)加密繼而傳送,一旦數(shù)據(jù)被接受后,公鑰即失效,只有接受方通過私鑰才能解密和獲取數(shù)據(jù)。通過公私鑰不對稱加密法,確保只有通信雙方可以知悉數(shù)據(jù)內(nèi)容,能夠防止數(shù)據(jù)被篡改,強化了信息主體對個人敏感信息、商業(yè)信息等數(shù)據(jù)更大的控制權[16]。通過數(shù)字簽名鞏固對網(wǎng)絡上不可信陌生人的防御。

最后,去中心化可以擺脫第三方優(yōu)勢者的壟斷。去中心化使得中心權力冰消瓦解,避免了權力的集中和壟斷,使個人信息控制權由互聯(lián)網(wǎng)企業(yè)回歸至用戶手中,使信息主體掌握個人信息的流向成為可能。區(qū)塊鏈技術特性賦予了數(shù)據(jù)主體對數(shù)據(jù)更多的知情權和控制權,個人獲得對自己數(shù)據(jù)的決定權在技術上確實可行,讓公民個人享受數(shù)據(jù)經(jīng)濟帶來的福利,甚至可以實現(xiàn)個人數(shù)據(jù)的貨幣化。例如,去中心化的數(shù)據(jù)交易平臺不要求用戶注冊賬戶來固定身份,可以直接使用個人數(shù)字資產(chǎn)參與交易,每筆交易都在區(qū)塊鏈平臺上進行,所有節(jié)點確認后才算交易完成。用戶的資產(chǎn)只由個人保管,一旦私鑰丟失則無法找回,避免傳統(tǒng)中心化帶來的風險,更督促用戶保管好個人私鑰。同時,區(qū)塊鏈的出現(xiàn)為建立一個新的框架創(chuàng)造了條件,可以構建以用戶為中心的數(shù)字身份。

3. 實現(xiàn)個人信息的多元價值

區(qū)塊鏈技術在提升信息主體對個人信息和隱私控制的基礎上,還可以推動實現(xiàn)個人信息其他方面的諸多價值。

首先,區(qū)塊鏈技術推動實現(xiàn)個人信息的信任價值。從政府視角看,區(qū)塊鏈可以創(chuàng)建一個可驗證的數(shù)據(jù)認證過程,對數(shù)據(jù)的安全提出更高的要求。它可以創(chuàng)建對數(shù)據(jù)顆粒度的訪問權限,對于防范數(shù)據(jù)腐敗具有積極作用。區(qū)塊鏈技術正在推動美國選舉投票制度的改革,立足對美國選舉制度缺陷的理解,通過技術革新提高選舉的安全性,設置投票的隱私標準,提高選舉的效率,主要是利用分層區(qū)塊鏈生態(tài)系統(tǒng)改善選舉管理制度?；趨^(qū)塊鏈的不可篡改性,不法者無法改變個人投票或官方投票的記錄數(shù)據(jù)塊,有利于恢復公眾對選舉機制的信任,驗證區(qū)塊鏈上的個人信息以確定選舉資格,通過分布式邏輯降低對投票系統(tǒng)的惡意攻擊和抵御數(shù)據(jù)操縱的風險。由于區(qū)塊鏈投票系統(tǒng)的可審計性、數(shù)據(jù)準確性、高效率和認證權力下放的特點,可以緩解美國黨派對立的兩極分化,防范選舉欺詐和恢復公眾信任[17]。換言之,區(qū)塊鏈技術推動實現(xiàn)個人信息的信任價值,繼而提升民眾對政治活動的信任度。

其次,區(qū)塊鏈技術可以兼顧個人信息的保密價值和利用價值。以作為個人信息重要組成部分的醫(yī)療電子病例為例,2016年一個名為“黑客霸王”的黑客從三個獨立的醫(yī)療機構數(shù)據(jù)庫中竊取了超過65萬份病例,該黑客不僅在網(wǎng)上以數(shù)十萬美元的價格兜售,還向數(shù)據(jù)控制者發(fā)來攻擊和錢財勒索,這不是一個孤立的事件,因為2015年就有近1億份醫(yī)療病例遭到攻擊[18]。區(qū)塊鏈是一個對等的網(wǎng)絡,其中每臺計算機都會驗證每筆交易,只有當網(wǎng)絡確認交易有效時才會記錄到分類賬中,任何一項非法記錄皆為無效,從而防止第三方篡改和操縱。“身份鏈”技術的開發(fā),可以在不泄露個人信息的情況下識別個人身份,數(shù)據(jù)被安全地存儲在區(qū)塊鏈上,包含個人信息的醫(yī)療記錄被分散在加密區(qū)塊中,為所有者組裝和解密。區(qū)塊鏈分布式數(shù)據(jù)特征也非常適合維護醫(yī)療病例的隱私安全,將病例數(shù)據(jù)信息納入?yún)^(qū)塊鏈會極大地提高數(shù)據(jù)管理能力,還可以擺脫點擊包裝和瀏覽包裝的復雜性[19]。換言之,區(qū)塊鏈技術能夠有效實現(xiàn)醫(yī)療病例的保密性,也能推動醫(yī)療病例在醫(yī)院內(nèi)部的有效利用。因此,區(qū)塊鏈儼然成為醫(yī)療提供商和安全專家尋求保護個人信息的方案。

最后,區(qū)塊鏈可推動實現(xiàn)個人信息的效率價值。個人信息具有較強的時效性,一旦時空轉換,原本的個人信息可能會失效,只有高效利用個人信息才能充分發(fā)揮其價值。以區(qū)塊鏈遺囑為例,區(qū)塊鏈遺囑優(yōu)先于傳統(tǒng)遺囑和電子遺囑,可以抵御遺囑的篡改,分布式網(wǎng)絡可使遺囑的副本存儲于多個節(jié)點之上,版本之間的任何差別都將會被輕易識別。區(qū)塊鏈遺囑就如智能合約一般,可以根據(jù)用戶的需求,基于用戶個人信息定制特定內(nèi)容。隨著技術的進步,區(qū)塊鏈遺囑的執(zhí)行可能就像在智能手機上打開應用程序一樣簡單,區(qū)塊鏈遺囑可以讓信息主體實現(xiàn)前所未有的安全和信任[20]。因此,區(qū)塊鏈技術能夠延展個人信息的時效性。再以區(qū)塊鏈在土地登記領域的應用為例,區(qū)塊鏈可以作為有效提高土地登記系統(tǒng)效率的工具,基于數(shù)字簽名和時間戳的先進識別方法,提高土地登記的公信力?；谕恋氐怯浀闹饕δ?繼續(xù)探索區(qū)塊鏈技術應用的可行性是值得考慮的方法[21]。換言之,區(qū)塊鏈土地登記系統(tǒng)的應用,可以及時發(fā)揮個人信息的時效價值。

總之,區(qū)塊鏈技術的固有屬性雖與個人信息權利存在沖突,但對優(yōu)化和提升個人信息的保護仍有積極作用,應繼續(xù)探尋合適舉措以消解區(qū)塊鏈技術的法律沖突問題,充分挖掘其技術價值。

三、 既有化解方案的不足:區(qū)塊鏈改造論之批判

既有解決區(qū)塊鏈技術與個人信息權利之間沖突問題的方案,多是主張修改區(qū)塊鏈技術的特性(如不可篡改性)以使個人信息權利得以落實,區(qū)塊鏈技術的應用得以合規(guī)。此類主張皆是修正區(qū)塊鏈技術以適應既有法律,姑且稱之為“區(qū)塊鏈改造論”。然而,區(qū)塊鏈改造論會埋沒區(qū)塊鏈的核心功能與技術優(yōu)勢,并不能真正解決問題反而會阻礙技術創(chuàng)新。

1. 區(qū)塊鏈改造論的總基調

為應對區(qū)塊鏈技術和GDPR的緊張關系,實現(xiàn)二者兼容并促進區(qū)塊鏈發(fā)展,歐盟區(qū)塊鏈觀察站在其報告中提出四條經(jīng)驗法則。①從大局考察,用戶價值是如何創(chuàng)造的,數(shù)據(jù)是如何使用的,是否真的需要區(qū)塊鏈?②充分利用數(shù)據(jù)混淆、加密和聚合技術實現(xiàn)數(shù)據(jù)匿名化,避免在區(qū)塊鏈上存儲個人數(shù)據(jù);③在鏈外收集個人數(shù)據(jù),如果無法避免使用區(qū)塊鏈,應當在私人或允許的區(qū)塊鏈中進行,在連接區(qū)塊鏈和公共數(shù)據(jù)時要仔細考慮個人數(shù)據(jù)的安全;④繼續(xù)加強技術創(chuàng)新(讓區(qū)塊鏈符合GDPR)[22]。可見,歐盟這份報告折射出區(qū)塊鏈改造論的思維,理論中的主張也與其大致相當。

首先,將個人信息存儲于鏈外,然后通過哈希指針鏈接到區(qū)塊鏈。有觀點認為,為避免區(qū)塊鏈個人數(shù)據(jù)不能被擦除,必須依賴舊版離線程序存儲個人信息,且區(qū)塊鏈事務中的數(shù)據(jù)由每個節(jié)點獨立存儲,何人在何時寫的證明及其內(nèi)容在區(qū)塊鏈的每個節(jié)點都是可見的。為了將交易數(shù)據(jù)存儲在分類賬中,在鏈上存儲個人數(shù)據(jù)毫無必要,因為節(jié)點不需要知道彼此的個人數(shù)據(jù),故而個人數(shù)據(jù)可以存儲在鏈外,可以離線存儲在單獨的服務器上,并將數(shù)據(jù)散列到事務中,而非嵌入數(shù)據(jù)本身,可以隨時刪除和銷毀鏈外記錄,離線存儲使區(qū)塊鏈與GDPR兼容[23]。這類觀點的核心是改造區(qū)塊鏈協(xié)議創(chuàng)建新版本的區(qū)塊鏈,這樣的技術操作代價極其昂貴,并非直接的合規(guī)措施。

其次,創(chuàng)建可編輯的區(qū)塊鏈允許修改過去的區(qū)塊,改變鏈接方式。有觀點認為,可編輯的區(qū)塊鏈正在成為一種可行的選擇,實現(xiàn)可編輯的區(qū)塊鏈只需要對區(qū)塊的當前結構進行微小調整,這種可能性似乎可以用于為保護隱私而設計的程序。這將有助于被遺忘權等基本權利的實現(xiàn),實施可編輯的區(qū)塊鏈系統(tǒng)需要由政府任命的行政官員來修改區(qū)塊鏈分類賬及其數(shù)據(jù)[24]。這種改變區(qū)塊鏈自身核心特征的觀點,也是區(qū)塊鏈技術中最具有技術爭議的問題。

最后,使用零知識證明或私人區(qū)塊鏈,確保遵循GDPR的各項指令。零知識證明是越來越受歡迎的區(qū)塊鏈構造,允許一個人向另一個人證明個人陳述,無須實際分享任何數(shù)據(jù),用戶可在不透露個人信息的情況下證明他們的身份。證明者和協(xié)議者在協(xié)議執(zhí)行期間不需要出現(xiàn),證明者生成一條語句,驗證者可稍后檢查其有效性。同時可以使用私人區(qū)塊鏈保護隱私,私人區(qū)塊鏈允許預先選擇的參與者加入?yún)^(qū)塊鏈網(wǎng)絡,未經(jīng)許可不得讀取、審核和重寫私人區(qū)塊鏈。私人區(qū)塊鏈的所有者可以覆蓋和刪除區(qū)塊鏈命令,需要特殊授權才能進入這類區(qū)塊鏈并進行更改,借助私人區(qū)塊鏈而不是公共區(qū)塊鏈來管理,所有參與者能夠通過合同授權在區(qū)塊鏈企業(yè)中使用個人信息[25]。

總之,區(qū)塊鏈改造論均是主張修改現(xiàn)有的區(qū)塊鏈技術及其使用方式,除了鏈外存儲機制、非交互式零知識證明和私人區(qū)塊鏈、可編輯的區(qū)塊鏈外,還有散列函數(shù)、噪聲添加、環(huán)簽名等,均旨在實現(xiàn)區(qū)塊鏈技術與既有個人信息保護法律的兼容,只是各自技術改造的幅度存在差別。筆者認為,不改變區(qū)塊鏈技術的核心優(yōu)勢的改造,并非真正的改造論,而是技術優(yōu)化論,應當被認可,單純?yōu)閷崿F(xiàn)合規(guī)而改變區(qū)塊鏈技術固有屬性的改造論(如可編輯的區(qū)塊鏈)卻值得省思。

2. 區(qū)塊鏈改造論值得商榷

通過技術手段改造區(qū)塊鏈的獨特優(yōu)勢,結局是使區(qū)塊鏈技術退化為傳統(tǒng)技術,難以擺脫被滯后制度扼殺的命運。因此,區(qū)塊鏈改造論值得商榷。

其一,鏈外存儲數(shù)據(jù)使區(qū)塊鏈復雜化。雖然一些企業(yè)試圖將區(qū)塊鏈數(shù)據(jù)存儲于鏈外數(shù)據(jù)庫而非區(qū)塊鏈之上,以此遵守個人信息保護法律,但這一方式的代價是犧牲了區(qū)塊鏈的諸多優(yōu)勢。如此操作使個人數(shù)據(jù)散列存儲在區(qū)塊鏈數(shù)據(jù)庫和一個單獨的鏈外數(shù)據(jù)庫,數(shù)據(jù)的多系統(tǒng)存儲招致問題復雜化。個人信息的相同散列數(shù)據(jù)存儲在通過散列函數(shù)得到的原始個人數(shù)據(jù)旁邊,區(qū)塊鏈改造論不過是希望當信息主體行使被遺忘權時,鏈外數(shù)據(jù)庫中的散列和相應的個人數(shù)據(jù)可被銷毀,一旦鏈外數(shù)據(jù)中的個人信息被銷毀,鏈上的散列數(shù)據(jù)和鏈外數(shù)據(jù)之間的鏈接也會被銷毀,這使得區(qū)塊鏈上的散列數(shù)據(jù)不具有識別性,更正權和數(shù)據(jù)可攜帶權亦可在該系統(tǒng)下由數(shù)據(jù)主體行使,因此存儲在鏈外的數(shù)據(jù)可以被修改。這種方式雖然契合了個人信息保護法律的要求,但也拋棄了區(qū)塊鏈的信任基礎(即不變性),結果是使區(qū)塊鏈系統(tǒng)變得更加復雜和低效。鏈外數(shù)據(jù)庫仍然與普通數(shù)據(jù)一樣存在網(wǎng)絡安全問題,數(shù)據(jù)主體無法知悉誰在訪問鏈外數(shù)據(jù)庫,舍棄了區(qū)塊鏈的透明度優(yōu)勢,增加了另一個易受攻擊和破壞的系統(tǒng),不僅使系統(tǒng)復雜化,也提升了出錯的風險,更平添了區(qū)塊鏈技術的成本,因為在鏈上仍存有零散的個人信息,并不能保證不違反個人信息保護法律。概言之,鏈外存儲數(shù)據(jù)并不能徹底解決合規(guī)問題,反而會使問題復雜化。

其二,可編輯區(qū)塊鏈消解了區(qū)塊鏈的優(yōu)勢。2016年知名的區(qū)塊鏈公司埃森哲(Accenture)試圖創(chuàng)建可編輯的區(qū)塊鏈系統(tǒng)以解決區(qū)塊鏈和GDPR之間的悖論,埃森哲取得了一個名為“變色龍哈?！钡奶厥夤：瘮?shù)的專利,即將其添加至區(qū)塊鏈上的兩個塊的散列函數(shù)中,并提供密鑰允許區(qū)塊之間的鏈條被解鎖,從而可以編輯和重新鎖定。如果對一個區(qū)塊更改則原始散列會被破壞,但“變色龍哈希”仍保持完整,以保持新舊區(qū)塊之間的鏈接,這表明該區(qū)塊本身已被編輯[26]。實際上,可編輯區(qū)塊鏈和鏈外數(shù)據(jù)庫存在相同問題,即消解了區(qū)塊鏈的不可篡改性信任基礎。區(qū)塊鏈技術之所以被關注,正是因其不可篡改性而生成的可信機制。埃森哲提倡的“變色龍哈?！鄙⒘泻瘮?shù)基礎上的可編輯區(qū)塊鏈,使區(qū)塊鏈技術的可信機制被瓦解,區(qū)塊鏈喪失了比較優(yōu)勢。

其三,使用零知識證明或私人區(qū)塊鏈以及噪音添加、環(huán)簽名等其他技術措施,往往僅局限于特定場景、隔靴搔癢或直接回避問題,并不能全面解決所有區(qū)塊鏈上的數(shù)據(jù)合規(guī)問題。技術改造論實為削足適履,這是因為區(qū)塊鏈領域依然貫徹“代碼即法律”的邏輯,區(qū)塊鏈與互聯(lián)網(wǎng)均有自主運行規(guī)律,在現(xiàn)實空間我們可以通過法律來規(guī)范行為,而在網(wǎng)絡空間代碼扮演著類似法律的角色,即代碼是網(wǎng)絡空間的法律[27]。區(qū)塊鏈領域的代碼即法律邏輯更加強化,以智能合約為例,合約的執(zhí)行完全依賴代碼自治,無須像傳統(tǒng)合同那般需要當事人履約或法院強制執(zhí)行。強行修正區(qū)塊鏈的核心技術優(yōu)勢以適應既有法律,實為“自廢武功”之舉。監(jiān)管機構之所以要投入巨大的人力、物力和時間來使區(qū)塊鏈和個人信息保護法律兼容,只是為了避免受區(qū)塊鏈違規(guī)行為的影響,讓技術創(chuàng)新者不被動輒得咎。然而,其中存在邏輯錯誤,技術創(chuàng)新本身不應受到過多拘束,若先以個人信息保護法律為標準,讓技術創(chuàng)新必須與其契合,對稍有不合的技術便要求改造,繼而美其名曰保護技術開發(fā)者繼續(xù)創(chuàng)新。實際上是滯后制度強行裹挾技術創(chuàng)新,并最終使技術停滯不前。

總之,區(qū)塊鏈改造論并不能真正解決區(qū)塊鏈合規(guī)問題,反而會消解區(qū)塊鏈技術的固有優(yōu)勢,需要尋找新的兼容方案。

四、 雙層解困路徑的揭明:法律適應論之提倡

與區(qū)塊鏈改造論相對應的解困方案是使法律適應區(qū)塊鏈技術,本文將之稱為“法律適應論”。法律適應論又可分為絕對法律適應論和相對法律適應論,前者是通過立法路徑直接為區(qū)塊鏈創(chuàng)設豁免制度,實現(xiàn)區(qū)塊鏈技術徹底的合規(guī);后者是在立法時機到來之前,充分發(fā)揮法律解釋功能,最大限度為區(qū)塊鏈技術創(chuàng)造合規(guī)空間。

1. 絕對法律適應論:通過立法建構區(qū)塊鏈豁免機制

絕對法律適應論強調,立法者在個人信息保護法律的制定與修正過程中應當充分考慮區(qū)塊鏈技術的特殊性,并最終體現(xiàn)在法律條文的規(guī)范設置上,使法律適應新興技術。通過立法建構區(qū)塊鏈豁免機制便是典型的法律適應論,故而此處以立法建立區(qū)塊鏈豁免機制為例展開論述。

從比較法視角看,歐盟個人信息保護法律制定較早,通過立法建構區(qū)塊鏈豁免機制的難度相對較大。區(qū)塊鏈技術誕生于2009年,歐盟的GDPR成文于2016年,在立法之時未考慮區(qū)塊鏈因素,留下了技術與法律沖突的隱患[28]。可能是監(jiān)管部門對于這一新技術缺乏充分的認識和預期,導致塑造出的法律制度具有滯后性,使得相關行為與活動缺乏必要的法律規(guī)制與保護,無形中加大了市場主體的風險[29]。隨著區(qū)塊鏈技術的深入發(fā)展,需要重新審視傳統(tǒng)法規(guī)是否可以調整區(qū)塊鏈存儲的信息[30]。當前歐盟GDPR已經(jīng)形成了完整的個人信息保護法律體系,使人們被迫思考其與區(qū)塊鏈技術的兼容性問題。在區(qū)塊鏈技術合規(guī)問題未清晰解決之前,企業(yè)為了避免侵犯被遺忘權、更正權和數(shù)據(jù)可攜帶權繼而被處以高額罰款,他們可能不會在主流市場上使用區(qū)塊鏈技術,如果GDPR等法律不對此予以積極響應,勢必阻礙區(qū)塊鏈技術進一步發(fā)展,使已經(jīng)形成的技術優(yōu)勢化為烏有。換言之,以GDPR為代表的傳統(tǒng)個人信息法律規(guī)范存在滯后性,導致區(qū)塊鏈技術會抵觸諸多新型個人信息權利。一旦人們?nèi)胬斫饬藚^(qū)塊鏈及其技術優(yōu)勢,個人信息保護法律的大規(guī)模變化將會發(fā)生。因此,對于歐盟,就需要制定GDPR的修正案,為區(qū)塊鏈構建豁免制度,至少增加以下四項內(nèi)容:①明確宣示允許個人信息存儲在區(qū)塊鏈上;②授權信息主體自主決定是否將個人信息存儲在區(qū)塊鏈上;③規(guī)定區(qū)塊鏈上的數(shù)據(jù)豁免適用與區(qū)塊鏈不可更改性相違背的權利;④強化區(qū)塊鏈數(shù)據(jù)企業(yè)向信息主體履行告知區(qū)塊鏈不可更改性的義務,并要求企業(yè)采取加密、假名等措施有效保護個人信息。

與歐盟GDPR相比,我國個人信息保護法律制定相對較晚,規(guī)范內(nèi)容設置存在一定程度的開放性。我國《個保法》生效于2021年,其中已有豁免機制的雛形。我國《個保法》雖沒有直接設置豁免制度,但已關注到個人信息權利與區(qū)塊鏈技術的沖突,在第47條第2款中規(guī)定:“刪除個人信息從技術上難以實現(xiàn)的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理”。換言之,在區(qū)塊鏈平臺上無法刪除個人信息時,法律允許處理者采取其他措施,意味著若處理者能夠采取隱匿等其他措施將不會被追責。這為未來全面引入豁免機制奠定基礎和提供指引,說明我國接納豁免機制比歐盟GDPR的難度要小。當前法律規(guī)范呈現(xiàn)碎片化,規(guī)范被制定得越來越分散[31]。為了避免規(guī)范再度分散,我國在接下來的立法進程中,需要在《個保法》的規(guī)范設置上體現(xiàn)區(qū)塊鏈技術的特殊因素,可避免滯后法律規(guī)則扼殺區(qū)塊鏈技術的創(chuàng)造力。具體而言,需要在《個保法》第四章“個人在個人信息處理活動中的權利”部分,增設區(qū)塊鏈個人信息相關權利豁免制度,可在第47條之后增加一條,將前述區(qū)塊鏈豁免制度的四項內(nèi)容予以具體落實。

建構區(qū)塊鏈豁免機制在部分國家的立法中已有一定程度的體現(xiàn)。例如,《印度數(shù)據(jù)保護框架白皮書》提出,對于個人行使數(shù)據(jù)修改權應設置一個必要的期限,同時規(guī)定在哪些例外情況下,修改權可以被拒絕行使。美國加州CCPA已經(jīng)設置了被遺忘權的豁免機制,列舉了“該信息對于防止欺詐、欺騙或不法行為是必要的”等八項阻止行使被遺忘權的事由。同時,美國部分州的立法已經(jīng)接受了區(qū)塊鏈技術,并為該項技術探索適應機制。例如,美國亞利桑那州已經(jīng)修改了《電子交易法》(AETA),澄清通過區(qū)塊鏈生成的電子記錄、電子簽名和智能合約將被視為AETA允許的電子形式。內(nèi)華達州和佛蒙特州也通過了類似的法案,伊利諾伊州正在考慮通過修正案,將在區(qū)塊鏈分類分布賬上為伊利諾伊州公民創(chuàng)建一個自主身份,它將為每個新出生的人存儲政府認可的個人數(shù)據(jù),如姓名、性別和血型等[32]。由此可見,美國實際上已經(jīng)在區(qū)塊鏈與個人信息法律保護兼容問題上,走在了探索立法豁免機制的前沿。我國可以適當借鑒這些立法經(jīng)驗,若認為在《個保法》中直接設置的時機未到,可以在部門規(guī)章或國家標準化委員會頒行的國家標準中予以探索,或者通過“監(jiān)管沙盒”的方式在特定地區(qū)先行試點。

2. 相對法律適應論:通過解釋推進區(qū)塊鏈合規(guī)發(fā)展

我國《個保法》參照GDPR的內(nèi)容較多,立法和監(jiān)管政策仍不可避免地落后于技術發(fā)展,且這種情況可能會存續(xù)一段時間[33]。在絕對法律適應論無法施展的背景下,需要遵循相對法律適應論,通過目的解釋的方式對個人信息權利法律規(guī)范的含義和術語進行變通理解,為企業(yè)開發(fā)和使用區(qū)塊鏈技術開辟空間,避免企業(yè)面臨巨額罰款風險。

首先,對被遺忘權作軟化解釋。GDPR等法律只是規(guī)定信息主體擁有請求刪除個人數(shù)據(jù)的權利,但并未明確刪除的含義,這為對刪除作軟化解釋提供了空間。GDPR中已規(guī)定的“被遺忘權”(即請求刪除的權利),與GDPR草案中直接規(guī)定的“被遺忘權”存在細微差別,當前我們所理解的“被遺忘權”是學者基于對條款的概括而來。GDPR條文的如此設置側面表明了,在大數(shù)據(jù)時代徹底忘記個人數(shù)據(jù)是不切實際的,人們無法絕對控制個人信息傳播。雖然區(qū)塊鏈上的個人數(shù)據(jù)不能被擦除,但在某種意義上可以通過技術設置使數(shù)據(jù)不被任意訪問,個人可以根據(jù)自己的意愿阻止他人訪問其在區(qū)塊鏈上的個人數(shù)據(jù),以便只有信息主體自己才可以查看數(shù)據(jù)內(nèi)容。因此,此時的阻止訪問實際上是隱藏行為,與刪除具有相同的效果,可以將阻止訪問解釋為廣義的刪除。

其次,對匿名數(shù)據(jù)作擴大解釋。匿名數(shù)據(jù)是不具有識別性的數(shù)據(jù),不能解釋為個人信息,《民法典》第1 038條將“處理經(jīng)過加工無法識別特定個人且不能復原的數(shù)據(jù)(即匿名數(shù)據(jù))”作為免責事由。區(qū)塊鏈技術可為用戶提供匿名服務,盡管交易是公開的,但區(qū)塊鏈公共地址(一串隨機字符)可隱藏身份,通過哈希函數(shù)將存儲于區(qū)塊鏈上的個人數(shù)據(jù)變更為隨機組合的數(shù)字串,可以用作數(shù)字簽名,將個人數(shù)據(jù)變?yōu)楣：瘮?shù)的過程也是個人數(shù)據(jù)進入?yún)^(qū)塊鏈的過程,這一過程無法逆向回轉,故而哈?；膫€人數(shù)據(jù)只是一般數(shù)據(jù),雖與信息主體存在聯(lián)系但并無識別性。其中哈?；瘮?shù)據(jù)達到什么程度才能解釋為匿名數(shù)據(jù)?這便涉及匿名度的判斷標準,對此歐盟制定的《數(shù)據(jù)保護指令指引》第29條指出,必須同時滿足區(qū)分性(不能區(qū)分出同一個人的記錄)、鏈接性(不能與同一個人的記錄相互鏈接)、推定性(不能推定為與特定個人相關的信息)才可歸為匿名數(shù)據(jù),本文以此為基礎結合我國法律含義,主張應采納“直接識別的特定性和結合識別的容易性”標準。具體而言,歐盟GDPR第4條將個人數(shù)據(jù)界定為任何與已識別或可識別的自然人相關的信息。我國《民法典》第1 034條亦將個人信息的判斷標準認定為單獨識別性和結合識別性,兩大法律的表述雖有差異但核心含義一致。據(jù)此可反向理解,匿名數(shù)據(jù)應當是不能直接識別特定自然人,且與其他數(shù)據(jù)結合也不能容易地識別特定自然人的數(shù)據(jù)。因此,符合該標準的哈?；瘋€人數(shù)據(jù),可因缺乏識別性而被解釋為匿名數(shù)據(jù),繼而排除出個人信息的范疇,公民個人便不能對其主張被遺忘權、更正權和數(shù)據(jù)可攜帶權。換言之,區(qū)塊鏈數(shù)據(jù)企業(yè)可以利用這類數(shù)據(jù)以實現(xiàn)其商業(yè)價值。

最后,對告知同意作及時解釋?！暗玫匠兄Z的行為不違法”是一句古老的法律格言,即行為人雖實施了某種侵害行為,但行為和結果得到被害人的同意(承諾),那么不產(chǎn)生侵害問題[34]。我國《民法典》第1 036條規(guī)定,處理個人信息,若獲得自然人或其監(jiān)護人同意且行為合理,則不承擔民事責任。GDPR及其他國家的個人信息保護法律也有類似規(guī)定,因此完全可以在充分告知的基礎上,通過經(jīng)濟激勵或補償?shù)确绞?促使信息主體放棄對在區(qū)塊鏈上存儲的個人信息行使被遺忘權、更正權和數(shù)據(jù)可攜帶權等。這是在既有法律框架下,通過對互聯(lián)網(wǎng)時代個人信息保護“同意免責事由”的及時解釋,繼而將其運用至區(qū)塊鏈場景中,這樣既符合現(xiàn)有法律規(guī)范的要求,也能最大限度滿足雙方當事人的利益訴求,可以實現(xiàn)數(shù)據(jù)利用和信息保護的平衡。為避免因隱私政策冗長晦澀或技術霸凌主義等因素導致信息主體同意不真實的情形,區(qū)塊鏈場景中的告知同意必須是充分告知且明示同意,區(qū)塊鏈數(shù)據(jù)企業(yè)必須用通俗易懂的語言告知信息主體數(shù)據(jù)的用途、存儲方式、權利撤銷、可能的不利后果等重大事項,不能通過默示同意或選擇退出機制直接在區(qū)塊鏈上存儲個人信息。在某種程度上,這也強化了信息主體對個人信息的控制。

五、 結 語

區(qū)塊鏈技術具有廣闊的發(fā)展前景,區(qū)塊鏈的代碼邏輯是人類理性選擇和設計的結果,但卻與既有公民個人信息法律的原則、基本權利格格不入,這種矛盾直接將區(qū)塊鏈技術逼上了生死攸關的十字路口。區(qū)塊鏈技術與個人信息權利除了有抵觸之外,還包含諸多共同的價值追求,區(qū)塊鏈可以革除個人信息集中化伴生的痼疾,增強公民對個人信息的控制,推動實現(xiàn)個人信息的多元功能,并逐漸擴展至各個領域。既有推動區(qū)塊鏈與個人信息權利兼容的措施,以外鏈存儲、可編輯區(qū)塊鏈和私人區(qū)塊鏈等為代表,均是試圖改造區(qū)塊鏈,結局是消解了區(qū)塊鏈技術的固有優(yōu)勢,扼殺了技術的創(chuàng)新前景。應當轉變思維,采取法律適應區(qū)塊鏈技術發(fā)展的思路,最徹底的做法是制定或修改個人信息保護法律,形塑區(qū)塊鏈豁免機制,實現(xiàn)在區(qū)塊鏈上處理個人信息的合規(guī)化。在修正法律之前,可以充分發(fā)揮目的解釋的功能,開辟區(qū)塊鏈技術與個人信息權利的兼容之道。