区块链技术和个人信息权利之冲突与消融

童 云 峰

(1. 东南大学 法学院, 江苏 南京 211189; 2. 华东政法大学 中国法治战略研究院, 上海 201620)

一、 问题的提出: 区块链技术与个人信息权利的冲突

个人信息权利已被国际社会公认为数字社会的典型权利,例如,欧盟《一般数据保护条例》(GeneralDataProtectionRegulation,简称GDPR)赋予了公民拒绝权、被遗忘权、数据可携带权等个人信息的权利谱系。我国立法也接纳了个人信息权利束,《中华人民共和国个人信息保护法》(以下简称《个保法》)是一部典型的领域法[1],其参照GDPR赋予了自然人知情决定权、查阅复制权、数据可携带权、更正权和被遗忘权等个人信息权利束。我国立法者的目的是要实现个人信息的保护价值与利用价值的平衡,而区块链技术是实现双向利益平衡的新兴技术模式,得到了理论与实践的关注。区块链本质上是由一串使用密码学方法产生的区块组成的去中心化的分布式数据库,区块中含有在一定时间内产生的无法被篡改的数据记录信息,正是分布式分类账和密码学让区块链成为数据资产流动的革命性手段[2]。有学者据此总结出区块链技术的七大核心特征:①去中心化。区块链没有中央处理节点,数据实行分布式记录、存储和更新,攻击单一节点无法破坏整个区块链系统。②不可更改性。一旦信息添加至区块链后,就会永久存储和无法更改(特殊设计的系统除外)。③透明性。数据记录的更新操作对全网节点透明,可以被审查和追溯。④匿名性。允许交易方在不披露身份的情况下参与系统。⑤激励性。拥有特殊的激励机制和成本结构,以激励和补偿方式维持各方参与。⑥共识性。协调社会活动,就系统内的事态达成一致。⑦自治性。促成独立于任何一方的软件代码执行[3]。换言之,区块链技术有助于推动个人信息的安全价值和利用价值的平衡。然而,区块链技术的核心特征却与个人信息权利之间存在诸多抵牾之处,具体表现为以下几个方面。

首先,更正权被消磨。所谓更正权是指信息主体请求信息处理者更正与其相关但存在错误的个人信息的权利。欧盟GDPR第16条较早地以成文法律形式认可了更正权。我国国家标准化委员会颁行的《信息安全技术 个人信息安全规范》(以下简称《规范》)第8.2条规定,信息控制者应为权利人提供请求更正或补充信息的方法。之后,我国《个保法》第46条正式设置了个人信息主体的更正权。然而,区块链只能确保链上所有节点之间的信息一致性,无法识别和保障信息内容的真实性,同时区块链被誉为“不可篡改的账本”,一旦信息发生错误,正常情况下难以修改。如果强行更改区块链数据块中的数据,则数据块的哈希会发生变化,所有随后的区块都会失效。

其次,被遗忘权被消解。2014年欧盟法院在“谷歌诉西班牙数据保护局案”判决中接纳了个人信息被遗忘权,随后欧盟GDPR将该项权利法定化,其第17条规定,当出现六种法定情形时,数据主体可以行使被遗忘权。美国《加利福利亚州消费者隐私法案》(CaliforniaConsumerProtectionAct,简称CCPA)也赋予了消费者被遗忘权,但与GDPR相比提高了行权门槛,如为确保“居民的基本权利和企业的合法利益不相冲突”,要求企业开展“利益衡量测试”来证明两种利益没有冲突,这是CCPA趋于促进数据流动价值观的彰显。受国际立法的影响,我国《规范》第8.3条和《个保法》第47条先后接纳了个人信息被遗忘权。对于违反比例原则的信息处理行为,相关信息主体可以请求信息处理者删除个人信息[4]。特定信息如果不被遗忘或删除,对信息主体来说将是一种惩罚。足以证明,被遗忘权是基于人格权益而产生的救济权、请求权和防御权。“如果我们尝试将这些信息记录到区块链这个不可篡改的账本上,我们就无法理解社交互动的精髓,也会失去遗忘这份礼物。”[5]换言之,在区块链上删除权将被剥夺。请求删除会给区块链收集、存储和使用数据带来问题,正因区块链上的数据不能再编辑和删除,所以区块链上的数据至多只能是以时间为节点的新数据取代旧数据。区块链的不可更改性与数据的删改诉求存在固有冲突,与个人信息被遗忘权的冲突只是其中的代表之一[6]。

最后,数据可携带权被阻碍。数据可携带权由欧盟GDPR创设,该法第20条首次提出数据主体可从数据持有者处无障碍地获取个人数据以及转移个人数据(即数据可携带权)。意味着数据主体有权下载个人数据的集合,但仅限于与个人有关且经过整理、使用和机器可读的数据[7]。数据可携带权被规定在我国《个保法》第45条第3款,但是,这一权利与区块链不变性的核心特征相冲突,通常数据不可能从区块链上移除,只能添加,数据主体不可能实现数据的转移。

正因区块链技术与上述个人信息基本权利存有抵触,导致区块链技术会存在违法性问题。例如,区块链技术与上述个人信息基本权利的冲突会触犯《中华人民共和国民法典》(以下简称《民法典》)第1 035条确立的个人信息处理最小化原则。区块链技术与个人信息的结合成为悬在企业头顶的“达摩克利斯之剑”,导致企业不愿意冒险探索区块链技术。由此引发多重思考。其一,是否应当在个人信息领域废止区块链技术的运用?区块链技术对个人信息保护的积极价值是否优于其不足?其二,为了实现区块链技术和个人信息保护的协调发展,是应改造区块链技术以契合法律要求,还是应该修正法律以适应区块链技术?其三,当前应如何才能最大限度实现区块链技术与个人信息保护的平衡发展?为回答上述问题,本文在分析区块链技术对个人信息保护与利用存在积极功效的基础上,寻找区块链技术与个人信息权利兼容的适宜方案,期冀实现区块链技术与个人信息保护的协同共进。

二、 区块链技术对个人信息保护与利用的意义

既然区块链技术与个人信息权利存在冲突,可能会有人认为,应拒绝在个人信息领域引入区块链技术,如此可以彻底避免相关风险。然而,这种因噎废食之举并不符合促进技术创新的理性思维,对新兴技术的探索应当保持适度宽容,建立容错机制。况且,区块链技术对于个人信息而言,除了与权利存在冲突,还具有诸多积极价值与贡献,例如,在区块链技术兴起之前,网络空间的信任关系通常需要依赖正直、诚信的第三方才能建立。在区块链这一新兴领域中,信任关系的建立是基于不可篡改且永久性的账本本身,当事人双方可以提供远超法律或政策要求的保留期的区块链记录,区块链技术基于自身的信任机制可以提升个人信息的可信度[8]。由此可见,不可更改性虽与个人信息权利存在抵牾,但却是区块链的信任根基。同时,区块链技术的运用有利于革除传统保护模式的沉疴,加强个人信息的保护,促进个人信息的社会利用,具体可从以下维度展开。

1. 化解信息集中带来的弊端

区块链技术有助于打破信息孤岛,促进数据的互联互通与信息的有序共享[9],还能够衍生诸多优势,具体可从以下三个方面展开。

首先,区块链上所有数据皆呈分布式存储。区块链上所有数据不会被轻易传输和复制。相较于集中式数据库很容易受到潜在的黑客攻击,分布式数据并非存储于同一位置,数据相对安全。例如,截至目前,区块链比特币数据系统只有在2010年发生过一次重大攻击,且系统漏洞很快就被修复[10]。正因数据的节点式分布,依赖数据寄存器塑造共享数据库,每个网络参与者的计算机(或节点)存储一份分类账副本,每当发生任何变化时,该副本都会在网络中同时更新[11],使整体系统更安全。由于大量用户参与区块链网络,因此没有单一的控制点,即使部分节点出现故障,其他部分依旧可以运作,通过密码技术确保系统的完整性,任何改变信息记录的企图都很容易被发现,这种方案可以防范潜在的欺诈。任何攻击都变得困难,即使被侵犯也不会产生毁灭性后果。概言之,区块链技术的分布式存储不仅提升了信息的共享程度,也能够防止信息安全状态走向失控。

其次,区块链开放和可溯源性。区块链系统是开放透明的,除被加密的各种私有信息外,其他信息对所有节点开放,任一节点都可以获悉其他节点所有开放的信息,且区块链上的数据皆是以时间戳为逻辑顺序记录,可以保障用户或其他主体的溯源调查。与此相对,互联网数据库中各中心信息系统存在较为严重的信息孤岛现象,信息相互隔绝且呈现碎片化,信息整合混乱且难以有效追溯。而区块链技术可以革除这一痼疾,允许区块链网络上所有参与者查看数据块的所有权,以及数据块上随时间推移的数据,也可以查看数据块的来源。自进入互联网时代,人们便一直致力于增强信息技术的数据传输能力,直到“分布式分类账技术”的诞生才是信息技术革命的开始[12]。有效化解传统集中式存储数据带来的个人信息容易被侵犯的隐患,不仅确保了个人信息流动的安全,也促进了国家的数字安全,降低了数据运营成本和提高了决策效率。概言之,区块链的开放和可溯源性使系统上的每一步操作都可以被追踪。

最后,信息共享的一致性。区块链分布式计算的核心在于不同计算机通过信息交换能够最终达成一致的结论,而区块链的“共识机制”恰是分布式计算思想的体现,是区块之间达成共识、写入数据的手段,也是防范数据被篡改的方式。区块链场景下大数据的核心特点就在于数据的平衡负载和同步共享,通过分布式计算,数据资源在所有节点的计算机上均有备份,能够实现信息资源的共享,降低计算机的运载负荷。分布式计算实现大数据和区块链的优势结合,昭示着从计算垄断主义走向去中心化,达成降低成本和提高系统稳定性的目标,也促进数据共享和释放计算机压力。正因区块链与数据信息在分布式思想上存在诸多共同的利益诉求,二者也便有了共同的发展基础,这也是区块链能够应用于大数据领域和优化个人信息利用与保护的价值所在。

2. 增强个人对信息的控制权

在互联网时代,人们的个人数据被某些信息优势者控制且信息主体不知个人信息的去处。在区块链技术被应用之后,将有望改变这一局面。区块链也录入公民的医疗、教育成果等个人信息,区块链个人数据的利用似乎与传统网络技术并无区别,但实际上,通过区块链公民可以加强对个人数据的控制,不会发生信息主体不知信息用于何处的情形[13]。

首先,可溯源性为实现个人控制信息提供可能。传统意义上的控制权相对狭隘,区块链时代的控制权包含三个维度,个人层面的控制是技术控制,组织层面的控制是群体控制,而系统层面的控制是政府控制[14]。控制论一般认为,信息既不是物质也不是能量,而是第三种独立的基本要素,有时被描述为组织和秩序。实际上现代信息应当从技术视角考察,区块链技术无疑可以实现数据的技术控制,能够轻易地包含隐私等私人数据,无须隐秘地操作,可以防范群体控制和政府控制的干扰[15]。基于区块链的内部构造原理,凡是登上区块链的数据皆以时间戳为标记,依次排序、永久保存和不可篡改。一旦任一节点的数据出现问题均可追查,在数据场景下的不可篡改和时间戳能为溯源、防伪、供应链提供有力的工具。由此便可清晰界定个人信息的权属,能够实现信息生命周期的全程追踪,为用户提供控制个人信息的可能性。

其次,通过加密算法强化用户控制个人信息。区块链上个人信息的传输和共享依赖加密算法的保驾护航,通过公钥和私钥的不对称加密算法可以对链上数据严格保密,利用数字签名保证个人信息不被篡改。传统加密技术采取的是对称加密算法,即加密手段和解密手段完全相同,导致加密数据被破解的难度低。而区块链技术所采纳的是非对称加密算法,即每个用户都拥有两个密钥,即公钥和私钥,二者相互配合,公钥负责加密而私钥负责解密,只有公钥对外公开,私钥由用户个人持有。发信方首先使用公钥将数据加密继而传送,一旦数据被接受后,公钥即失效,只有接受方通过私钥才能解密和获取数据。通过公私钥不对称加密法,确保只有通信双方可以知悉数据内容,能够防止数据被篡改,强化了信息主体对个人敏感信息、商业信息等数据更大的控制权[16]。通过数字签名巩固对网络上不可信陌生人的防御。

最后,去中心化可以摆脱第三方优势者的垄断。去中心化使得中心权力冰消瓦解,避免了权力的集中和垄断,使个人信息控制权由互联网企业回归至用户手中,使信息主体掌握个人信息的流向成为可能。区块链技术特性赋予了数据主体对数据更多的知情权和控制权,个人获得对自己数据的决定权在技术上确实可行,让公民个人享受数据经济带来的福利,甚至可以实现个人数据的货币化。例如,去中心化的数据交易平台不要求用户注册账户来固定身份,可以直接使用个人数字资产参与交易,每笔交易都在区块链平台上进行,所有节点确认后才算交易完成。用户的资产只由个人保管,一旦私钥丢失则无法找回,避免传统中心化带来的风险,更督促用户保管好个人私钥。同时,区块链的出现为建立一个新的框架创造了条件,可以构建以用户为中心的数字身份。

3. 实现个人信息的多元价值

区块链技术在提升信息主体对个人信息和隐私控制的基础上,还可以推动实现个人信息其他方面的诸多价值。

首先,区块链技术推动实现个人信息的信任价值。从政府视角看,区块链可以创建一个可验证的数据认证过程,对数据的安全提出更高的要求。它可以创建对数据颗粒度的访问权限,对于防范数据腐败具有积极作用。区块链技术正在推动美国选举投票制度的改革,立足对美国选举制度缺陷的理解,通过技术革新提高选举的安全性,设置投票的隐私标准,提高选举的效率,主要是利用分层区块链生态系统改善选举管理制度。基于区块链的不可篡改性,不法者无法改变个人投票或官方投票的记录数据块,有利于恢复公众对选举机制的信任,验证区块链上的个人信息以确定选举资格,通过分布式逻辑降低对投票系统的恶意攻击和抵御数据操纵的风险。由于区块链投票系统的可审计性、数据准确性、高效率和认证权力下放的特点,可以缓解美国党派对立的两极分化,防范选举欺诈和恢复公众信任[17]。换言之,区块链技术推动实现个人信息的信任价值,继而提升民众对政治活动的信任度。

其次,区块链技术可以兼顾个人信息的保密价值和利用价值。以作为个人信息重要组成部分的医疗电子病例为例,2016年一个名为“黑客霸王”的黑客从三个独立的医疗机构数据库中窃取了超过65万份病例,该黑客不仅在网上以数十万美元的价格兜售,还向数据控制者发来攻击和钱财勒索,这不是一个孤立的事件,因为2015年就有近1亿份医疗病例遭到攻击[18]。区块链是一个对等的网络,其中每台计算机都会验证每笔交易,只有当网络确认交易有效时才会记录到分类账中,任何一项非法记录皆为无效,从而防止第三方篡改和操纵。“身份链”技术的开发,可以在不泄露个人信息的情况下识别个人身份,数据被安全地存储在区块链上,包含个人信息的医疗记录被分散在加密区块中,为所有者组装和解密。区块链分布式数据特征也非常适合维护医疗病例的隐私安全,将病例数据信息纳入区块链会极大地提高数据管理能力,还可以摆脱点击包装和浏览包装的复杂性[19]。换言之,区块链技术能够有效实现医疗病例的保密性,也能推动医疗病例在医院内部的有效利用。因此,区块链俨然成为医疗提供商和安全专家寻求保护个人信息的方案。

最后,区块链可推动实现个人信息的效率价值。个人信息具有较强的时效性,一旦时空转换,原本的个人信息可能会失效,只有高效利用个人信息才能充分发挥其价值。以区块链遗嘱为例,区块链遗嘱优先于传统遗嘱和电子遗嘱,可以抵御遗嘱的篡改,分布式网络可使遗嘱的副本存储于多个节点之上,版本之间的任何差别都将会被轻易识别。区块链遗嘱就如智能合约一般,可以根据用户的需求,基于用户个人信息定制特定内容。随着技术的进步,区块链遗嘱的执行可能就像在智能手机上打开应用程序一样简单,区块链遗嘱可以让信息主体实现前所未有的安全和信任[20]。因此,区块链技术能够延展个人信息的时效性。再以区块链在土地登记领域的应用为例,区块链可以作为有效提高土地登记系统效率的工具,基于数字签名和时间戳的先进识别方法,提高土地登记的公信力。基于土地登记的主要功能,继续探索区块链技术应用的可行性是值得考虑的方法[21]。换言之,区块链土地登记系统的应用,可以及时发挥个人信息的时效价值。

总之,区块链技术的固有属性虽与个人信息权利存在冲突,但对优化和提升个人信息的保护仍有积极作用,应继续探寻合适举措以消解区块链技术的法律冲突问题,充分挖掘其技术价值。

三、 既有化解方案的不足:区块链改造论之批判

既有解决区块链技术与个人信息权利之间冲突问题的方案,多是主张修改区块链技术的特性(如不可篡改性)以使个人信息权利得以落实,区块链技术的应用得以合规。此类主张皆是修正区块链技术以适应既有法律,姑且称之为“区块链改造论”。然而,区块链改造论会埋没区块链的核心功能与技术优势,并不能真正解决问题反而会阻碍技术创新。

1. 区块链改造论的总基调

为应对区块链技术和GDPR的紧张关系,实现二者兼容并促进区块链发展,欧盟区块链观察站在其报告中提出四条经验法则。①从大局考察,用户价值是如何创造的,数据是如何使用的,是否真的需要区块链?②充分利用数据混淆、加密和聚合技术实现数据匿名化,避免在区块链上存储个人数据;③在链外收集个人数据,如果无法避免使用区块链,应当在私人或允许的区块链中进行,在连接区块链和公共数据时要仔细考虑个人数据的安全;④继续加强技术创新(让区块链符合GDPR)[22]。可见,欧盟这份报告折射出区块链改造论的思维,理论中的主张也与其大致相当。

首先,将个人信息存储于链外,然后通过哈希指针链接到区块链。有观点认为,为避免区块链个人数据不能被擦除,必须依赖旧版离线程序存储个人信息,且区块链事务中的数据由每个节点独立存储,何人在何时写的证明及其内容在区块链的每个节点都是可见的。为了将交易数据存储在分类账中,在链上存储个人数据毫无必要,因为节点不需要知道彼此的个人数据,故而个人数据可以存储在链外,可以离线存储在单独的服务器上,并将数据散列到事务中,而非嵌入数据本身,可以随时删除和销毁链外记录,离线存储使区块链与GDPR兼容[23]。这类观点的核心是改造区块链协议创建新版本的区块链,这样的技术操作代价极其昂贵,并非直接的合规措施。

其次,创建可编辑的区块链允许修改过去的区块,改变链接方式。有观点认为,可编辑的区块链正在成为一种可行的选择,实现可编辑的区块链只需要对区块的当前结构进行微小调整,这种可能性似乎可以用于为保护隐私而设计的程序。这将有助于被遗忘权等基本权利的实现,实施可编辑的区块链系统需要由政府任命的行政官员来修改区块链分类账及其数据[24]。这种改变区块链自身核心特征的观点,也是区块链技术中最具有技术争议的问题。

最后,使用零知识证明或私人区块链,确保遵循GDPR的各项指令。零知识证明是越来越受欢迎的区块链构造,允许一个人向另一个人证明个人陈述,无须实际分享任何数据,用户可在不透露个人信息的情况下证明他们的身份。证明者和协议者在协议执行期间不需要出现,证明者生成一条语句,验证者可稍后检查其有效性。同时可以使用私人区块链保护隐私,私人区块链允许预先选择的参与者加入区块链网络,未经许可不得读取、审核和重写私人区块链。私人区块链的所有者可以覆盖和删除区块链命令,需要特殊授权才能进入这类区块链并进行更改,借助私人区块链而不是公共区块链来管理,所有参与者能够通过合同授权在区块链企业中使用个人信息[25]。

总之,区块链改造论均是主张修改现有的区块链技术及其使用方式,除了链外存储机制、非交互式零知识证明和私人区块链、可编辑的区块链外,还有散列函数、噪声添加、环签名等,均旨在实现区块链技术与既有个人信息保护法律的兼容,只是各自技术改造的幅度存在差别。笔者认为,不改变区块链技术的核心优势的改造,并非真正的改造论,而是技术优化论,应当被认可,单纯为实现合规而改变区块链技术固有属性的改造论(如可编辑的区块链)却值得省思。

2. 区块链改造论值得商榷

通过技术手段改造区块链的独特优势,结局是使区块链技术退化为传统技术,难以摆脱被滞后制度扼杀的命运。因此,区块链改造论值得商榷。

其一,链外存储数据使区块链复杂化。虽然一些企业试图将区块链数据存储于链外数据库而非区块链之上,以此遵守个人信息保护法律,但这一方式的代价是牺牲了区块链的诸多优势。如此操作使个人数据散列存储在区块链数据库和一个单独的链外数据库,数据的多系统存储招致问题复杂化。个人信息的相同散列数据存储在通过散列函数得到的原始个人数据旁边,区块链改造论不过是希望当信息主体行使被遗忘权时,链外数据库中的散列和相应的个人数据可被销毁,一旦链外数据中的个人信息被销毁,链上的散列数据和链外数据之间的链接也会被销毁,这使得区块链上的散列数据不具有识别性,更正权和数据可携带权亦可在该系统下由数据主体行使,因此存储在链外的数据可以被修改。这种方式虽然契合了个人信息保护法律的要求,但也抛弃了区块链的信任基础(即不变性),结果是使区块链系统变得更加复杂和低效。链外数据库仍然与普通数据一样存在网络安全问题,数据主体无法知悉谁在访问链外数据库,舍弃了区块链的透明度优势,增加了另一个易受攻击和破坏的系统,不仅使系统复杂化,也提升了出错的风险,更平添了区块链技术的成本,因为在链上仍存有零散的个人信息,并不能保证不违反个人信息保护法律。概言之,链外存储数据并不能彻底解决合规问题,反而会使问题复杂化。

其二,可编辑区块链消解了区块链的优势。2016年知名的区块链公司埃森哲(Accenture)试图创建可编辑的区块链系统以解决区块链和GDPR之间的悖论,埃森哲取得了一个名为“变色龙哈希”的特殊哈希函数的专利,即将其添加至区块链上的两个块的散列函数中,并提供密钥允许区块之间的链条被解锁,从而可以编辑和重新锁定。如果对一个区块更改则原始散列会被破坏,但“变色龙哈希”仍保持完整,以保持新旧区块之间的链接,这表明该区块本身已被编辑[26]。实际上,可编辑区块链和链外数据库存在相同问题,即消解了区块链的不可篡改性信任基础。区块链技术之所以被关注,正是因其不可篡改性而生成的可信机制。埃森哲提倡的“变色龙哈希”散列函数基础上的可编辑区块链,使区块链技术的可信机制被瓦解,区块链丧失了比较优势。

其三,使用零知识证明或私人区块链以及噪音添加、环签名等其他技术措施,往往仅局限于特定场景、隔靴搔痒或直接回避问题,并不能全面解决所有区块链上的数据合规问题。技术改造论实为削足适履,这是因为区块链领域依然贯彻“代码即法律”的逻辑,区块链与互联网均有自主运行规律,在现实空间我们可以通过法律来规范行为,而在网络空间代码扮演着类似法律的角色,即代码是网络空间的法律[27]。区块链领域的代码即法律逻辑更加强化,以智能合约为例,合约的执行完全依赖代码自治,无须像传统合同那般需要当事人履约或法院强制执行。强行修正区块链的核心技术优势以适应既有法律,实为“自废武功”之举。监管机构之所以要投入巨大的人力、物力和时间来使区块链和个人信息保护法律兼容,只是为了避免受区块链违规行为的影响,让技术创新者不被动辄得咎。然而,其中存在逻辑错误,技术创新本身不应受到过多拘束,若先以个人信息保护法律为标准,让技术创新必须与其契合,对稍有不合的技术便要求改造,继而美其名曰保护技术开发者继续创新。实际上是滞后制度强行裹挟技术创新,并最终使技术停滞不前。

总之,区块链改造论并不能真正解决区块链合规问题,反而会消解区块链技术的固有优势,需要寻找新的兼容方案。

四、 双层解困路径的揭明:法律适应论之提倡

与区块链改造论相对应的解困方案是使法律适应区块链技术,本文将之称为“法律适应论”。法律适应论又可分为绝对法律适应论和相对法律适应论,前者是通过立法路径直接为区块链创设豁免制度,实现区块链技术彻底的合规;后者是在立法时机到来之前,充分发挥法律解释功能,最大限度为区块链技术创造合规空间。

1. 绝对法律适应论:通过立法建构区块链豁免机制

绝对法律适应论强调,立法者在个人信息保护法律的制定与修正过程中应当充分考虑区块链技术的特殊性,并最终体现在法律条文的规范设置上,使法律适应新兴技术。通过立法建构区块链豁免机制便是典型的法律适应论,故而此处以立法建立区块链豁免机制为例展开论述。

从比较法视角看,欧盟个人信息保护法律制定较早,通过立法建构区块链豁免机制的难度相对较大。区块链技术诞生于2009年,欧盟的GDPR成文于2016年,在立法之时未考虑区块链因素,留下了技术与法律冲突的隐患[28]。可能是监管部门对于这一新技术缺乏充分的认识和预期,导致塑造出的法律制度具有滞后性,使得相关行为与活动缺乏必要的法律规制与保护,无形中加大了市场主体的风险[29]。随着区块链技术的深入发展,需要重新审视传统法规是否可以调整区块链存储的信息[30]。当前欧盟GDPR已经形成了完整的个人信息保护法律体系,使人们被迫思考其与区块链技术的兼容性问题。在区块链技术合规问题未清晰解决之前,企业为了避免侵犯被遗忘权、更正权和数据可携带权继而被处以高额罚款,他们可能不会在主流市场上使用区块链技术,如果GDPR等法律不对此予以积极响应,势必阻碍区块链技术进一步发展,使已经形成的技术优势化为乌有。换言之,以GDPR为代表的传统个人信息法律规范存在滞后性,导致区块链技术会抵触诸多新型个人信息权利。一旦人们全面理解了区块链及其技术优势,个人信息保护法律的大规模变化将会发生。因此,对于欧盟,就需要制定GDPR的修正案,为区块链构建豁免制度,至少增加以下四项内容:①明确宣示允许个人信息存储在区块链上;②授权信息主体自主决定是否将个人信息存储在区块链上;③规定区块链上的数据豁免适用与区块链不可更改性相违背的权利;④强化区块链数据企业向信息主体履行告知区块链不可更改性的义务,并要求企业采取加密、假名等措施有效保护个人信息。

与欧盟GDPR相比,我国个人信息保护法律制定相对较晚,规范内容设置存在一定程度的开放性。我国《个保法》生效于2021年,其中已有豁免机制的雏形。我国《个保法》虽没有直接设置豁免制度,但已关注到个人信息权利与区块链技术的冲突,在第47条第2款中规定:“删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理”。换言之,在区块链平台上无法删除个人信息时,法律允许处理者采取其他措施,意味着若处理者能够采取隐匿等其他措施将不会被追责。这为未来全面引入豁免机制奠定基础和提供指引,说明我国接纳豁免机制比欧盟GDPR的难度要小。当前法律规范呈现碎片化,规范被制定得越来越分散[31]。为了避免规范再度分散,我国在接下来的立法进程中,需要在《个保法》的规范设置上体现区块链技术的特殊因素,可避免滞后法律规则扼杀区块链技术的创造力。具体而言,需要在《个保法》第四章“个人在个人信息处理活动中的权利”部分,增设区块链个人信息相关权利豁免制度,可在第47条之后增加一条,将前述区块链豁免制度的四项内容予以具体落实。

建构区块链豁免机制在部分国家的立法中已有一定程度的体现。例如,《印度数据保护框架白皮书》提出,对于个人行使数据修改权应设置一个必要的期限,同时规定在哪些例外情况下,修改权可以被拒绝行使。美国加州CCPA已经设置了被遗忘权的豁免机制,列举了“该信息对于防止欺诈、欺骗或不法行为是必要的”等八项阻止行使被遗忘权的事由。同时,美国部分州的立法已经接受了区块链技术,并为该项技术探索适应机制。例如,美国亚利桑那州已经修改了《电子交易法》(AETA),澄清通过区块链生成的电子记录、电子签名和智能合约将被视为AETA允许的电子形式。内华达州和佛蒙特州也通过了类似的法案,伊利诺伊州正在考虑通过修正案,将在区块链分类分布账上为伊利诺伊州公民创建一个自主身份,它将为每个新出生的人存储政府认可的个人数据,如姓名、性别和血型等[32]。由此可见,美国实际上已经在区块链与个人信息法律保护兼容问题上,走在了探索立法豁免机制的前沿。我国可以适当借鉴这些立法经验,若认为在《个保法》中直接设置的时机未到,可以在部门规章或国家标准化委员会颁行的国家标准中予以探索,或者通过“监管沙盒”的方式在特定地区先行试点。

2. 相对法律适应论:通过解释推进区块链合规发展

我国《个保法》参照GDPR的内容较多,立法和监管政策仍不可避免地落后于技术发展,且这种情况可能会存续一段时间[33]。在绝对法律适应论无法施展的背景下,需要遵循相对法律适应论,通过目的解释的方式对个人信息权利法律规范的含义和术语进行变通理解,为企业开发和使用区块链技术开辟空间,避免企业面临巨额罚款风险。

首先,对被遗忘权作软化解释。GDPR等法律只是规定信息主体拥有请求删除个人数据的权利,但并未明确删除的含义,这为对删除作软化解释提供了空间。GDPR中已规定的“被遗忘权”(即请求删除的权利),与GDPR草案中直接规定的“被遗忘权”存在细微差别,当前我们所理解的“被遗忘权”是学者基于对条款的概括而来。GDPR条文的如此设置侧面表明了,在大数据时代彻底忘记个人数据是不切实际的,人们无法绝对控制个人信息传播。虽然区块链上的个人数据不能被擦除,但在某种意义上可以通过技术设置使数据不被任意访问,个人可以根据自己的意愿阻止他人访问其在区块链上的个人数据,以便只有信息主体自己才可以查看数据内容。因此,此时的阻止访问实际上是隐藏行为,与删除具有相同的效果,可以将阻止访问解释为广义的删除。

其次,对匿名数据作扩大解释。匿名数据是不具有识别性的数据,不能解释为个人信息,《民法典》第1 038条将“处理经过加工无法识别特定个人且不能复原的数据(即匿名数据)”作为免责事由。区块链技术可为用户提供匿名服务,尽管交易是公开的,但区块链公共地址(一串随机字符)可隐藏身份,通过哈希函数将存储于区块链上的个人数据变更为随机组合的数字串,可以用作数字签名,将个人数据变为哈希函数的过程也是个人数据进入区块链的过程,这一过程无法逆向回转,故而哈希化的个人数据只是一般数据,虽与信息主体存在联系但并无识别性。其中哈希化数据达到什么程度才能解释为匿名数据?这便涉及匿名度的判断标准,对此欧盟制定的《数据保护指令指引》第29条指出,必须同时满足区分性(不能区分出同一个人的记录)、链接性(不能与同一个人的记录相互链接)、推定性(不能推定为与特定个人相关的信息)才可归为匿名数据,本文以此为基础结合我国法律含义,主张应采纳“直接识别的特定性和结合识别的容易性”标准。具体而言,欧盟GDPR第4条将个人数据界定为任何与已识别或可识别的自然人相关的信息。我国《民法典》第1 034条亦将个人信息的判断标准认定为单独识别性和结合识别性,两大法律的表述虽有差异但核心含义一致。据此可反向理解,匿名数据应当是不能直接识别特定自然人,且与其他数据结合也不能容易地识别特定自然人的数据。因此,符合该标准的哈希化个人数据,可因缺乏识别性而被解释为匿名数据,继而排除出个人信息的范畴,公民个人便不能对其主张被遗忘权、更正权和数据可携带权。换言之,区块链数据企业可以利用这类数据以实现其商业价值。

最后,对告知同意作及时解释。“得到承诺的行为不违法”是一句古老的法律格言,即行为人虽实施了某种侵害行为,但行为和结果得到被害人的同意(承诺),那么不产生侵害问题[34]。我国《民法典》第1 036条规定,处理个人信息,若获得自然人或其监护人同意且行为合理,则不承担民事责任。GDPR及其他国家的个人信息保护法律也有类似规定,因此完全可以在充分告知的基础上,通过经济激励或补偿等方式,促使信息主体放弃对在区块链上存储的个人信息行使被遗忘权、更正权和数据可携带权等。这是在既有法律框架下,通过对互联网时代个人信息保护“同意免责事由”的及时解释,继而将其运用至区块链场景中,这样既符合现有法律规范的要求,也能最大限度满足双方当事人的利益诉求,可以实现数据利用和信息保护的平衡。为避免因隐私政策冗长晦涩或技术霸凌主义等因素导致信息主体同意不真实的情形,区块链场景中的告知同意必须是充分告知且明示同意,区块链数据企业必须用通俗易懂的语言告知信息主体数据的用途、存储方式、权利撤销、可能的不利后果等重大事项,不能通过默示同意或选择退出机制直接在区块链上存储个人信息。在某种程度上,这也强化了信息主体对个人信息的控制。

五、 结 语

区块链技术具有广阔的发展前景,区块链的代码逻辑是人类理性选择和设计的结果,但却与既有公民个人信息法律的原则、基本权利格格不入,这种矛盾直接将区块链技术逼上了生死攸关的十字路口。区块链技术与个人信息权利除了有抵触之外,还包含诸多共同的价值追求,区块链可以革除个人信息集中化伴生的痼疾,增强公民对个人信息的控制,推动实现个人信息的多元功能,并逐渐扩展至各个领域。既有推动区块链与个人信息权利兼容的措施,以外链存储、可编辑区块链和私人区块链等为代表,均是试图改造区块链,结局是消解了区块链技术的固有优势,扼杀了技术的创新前景。应当转变思维,采取法律适应区块链技术发展的思路,最彻底的做法是制定或修改个人信息保护法律,形塑区块链豁免机制,实现在区块链上处理个人信息的合规化。在修正法律之前,可以充分发挥目的解释的功能,开辟区块链技术与个人信息权利的兼容之道。