王禄生:区块链与个人信息保护法律规范的内生冲突及其调和
2022年6月9日      ( 正文字号: )
文章标签:区块链   利益衡量   个人信息
[ 导语 ]
      近年来,有关区块链技术和个人信息保护相结合的讨论日益丰富。在国际层面,区块链的影响已超越金融领域,开始向民主参与等诸多领域扩展。在肯定区块链应用于个人信息领域的前景的同时,不能忽视形式上区块链的技术逻辑与现有的个人信息法律规范之间的不同程度的冲突与抵牾。例如,如何处理区块链的不可篡改性与个人信息删除、更正的冲突?如何协调区块链技术的信息透明与个人信息保密要求的关系?对此,东南大学法学院王禄生教授在《区块链与个人信息保护法律规范的内生冲突及其调和》一文中,跳出法律文本,分析了区块链与个人信息保护法律规范的内生冲突,对多组相互冲突的理论路径予以探讨,以实现区块链与个人信息保护法律规范的衔接,并在此基础上展开论述各项制度,确定合法化方案,使具体衔接方案具有统一的指向性和充分的理论来源。
一、区块链与个人信息保护法律规范的内生冲突

(一)区块链不可篡改性与个人信息删除、更正的冲突

“删除(权)”与“更正(权)”是个人信息保护法律规范体系的重要内容。然而,区块链以不可篡改性为核心技术特征,即数据一旦写入区块链,通常只能对其进行“增”和“查”,而无法进行“删”和“改”。故在个人信息保护领域大范围引入区块链创新时就会面临信息删除和更正无法有效行使的困境。《个保法》第47条第2款规定“删除豁免”制度,试图回应因技术原因无法删除个人信息的问题。但在传统区块链的技术架构中,只“储存”不验证的制度设计也难以实现。

(二)区块链信息透明与个人信息保密规范的冲突

在我国个人信息保护的法律规范体系中,网络运营者需要对收集的个人信息进行保密。然而,区块链全局账本完整、公开与同步的技术架构使得信息透明成为区块链的核心特征之一。尤其在个人信息与区块链相结合的应用场景中,个人信息本身就是区块链所公开记载的内容。由此便可能与个人信息保密性的需求形成直接冲突。

(三)区块链完整性与个人信息目的限制、数据最小化的冲突

所谓“目的限制”,是指个人信息在收集时应当明确目的,并且数据的使用不能超过该目的约定的范围;所谓“数据最小化”,是指除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量,并只保存最短的期限。区块链与目的限制原则、数据最小化冲突的根源就在于目的限制和数据最小化强调个人信息数量、类型和使用的最低点,而区块链技术追求数据的完整性和永久性。

(四)区块链分布式架构与个人信息中心化责任体系的冲突

我国现有的个人信息保护的法律责任体系是建立在对个人信息中心化收集与处理的假定之上。依据这样的假定,责任主体与权利主体的界限清晰明确。然而,区块链分布式存储的方式形成了去中心化的数据结构,这使得区块链的节点发生权利主体与责任主体的竞合,进而出现责任的混同与失灵。这具体可以从两个方面展开:其一,每个节点都是网络服务提供者对数据进行收集和处理;其二,在公民个人作为节点的场景下,个人节点兼具网络服务使用者和网络服务提供者双重身份。因此,区块链去中心化的数据结构与中心化的网络运营者责任体系形成冲突,使得区块链的节点,尤其是个人节点,虽然符合网络服务提供者的形式要件,但却无法实质履行相应的法律责任。

二、区块链与个人信息保护法律规范衔接的路径证成

(一)利益平衡下个人信息删除的“相对主义”路径

如何在保持区块链核心技术特征的基础上实现个人信息的删除是衔接区块链与个人信息保护规范的重中之重。关于个人信息的“删除”,有两种解释方法:绝对删除与相对删除。前者要求信息在系统空间完全删除以达到不可再用,也即物理删除;后者只要求不再可用,去标识化、匿名化抑或删除链接都可以达到这一要求。

从“利益平衡”的总立场来看,应该选择“相对删除”的解释方法,原因如下:其一,“绝对删除”损害了区块链的不可篡改性,会给区块链应用带来根本性的打击;其二,“绝对删除”只考虑了个人信息的私人属性,而没有考虑其具有社会治理等诸多公共价值;其三,“相对删除”在现有的技术能力下已经能够实现对个人信息的有效保护。

(二)利益平衡下个人信息保密的“去标识化”路径

若要调和区块链信息透明与个人信息保密规范的冲突,则需对上链的个人信息采取特定的加密、去标识化等措施。为了明确法定保密义务的适当履行方式,需要分析加密、去标识化、假名化、匿名化等概念。

根据“利益平衡”的总立场,“保密”只需要达到“去标识化”即可,而无需达到范围更小的“匿名化”的程度,原因有三。第一,“匿名化”是完全排除再识别的可能性,而现有技术难以实现严格意义的“匿名化”。第二,从法律规范的体系来看,“匿名化”由于已经完全排除了再识别的可能性,因此不被以为是“个人信息”,并且也无法恢复为“个人信息”。由此,如果要求区块链在“保密”时必须达到“匿名化”的标准,那么区块链应用于个人信息领域(认证、验真等)的初始目的已无法实现。第三,无论是“去标识化”抑或是“假名化”都显著降低了数据集与数据主体的原始身份之间的可链接性,已经可以起到个人信息“保密”的功能。

(三)利益平衡下目的限制与数据最小化的“场景解释”路径

从解释论角度来看,无论是目的限制抑或是数据最小化,都与对区块链收集个人信息的目的紧密相关。随着大数据技术的推进,基于“利益平衡”的理论,“场景导向”的目的解释论被提出。它是指个人信息原始收集时的具体语境应得到尊重,其后续传播及利用不得超出原初的情境脉络。“目的场景化解释”的思路对区块链的运用具有很强的指导意义。一方面,必须考虑到区块链去中心化等场景特征,将共识机制支撑的数据验证与共享也纳入到个人信息区块链应用的目的之中;另一方面,需要将数据最小化放置到整条区块链所有节点共识机制形成的需求去进行场景化的理解。

(四)利益平衡下节点责任划定的“实质控制”路径

区块链责任主体的确定必须采用“实质控制”原则来划定责任主体范围,具体标准有两方面:其一,主体需要对数据的收集目的和使用方式有实质影响,单纯选用服务不构成对数据收集目的和使用方式的实质影响;其二,主体还需要对数据享有实质的控制权。只有同时具备上述两个条件,才构成《网络安全法》上的责任主体,才能依法履行数据保护的相关责任。

三、区块链与个人信息保护法律规范衔接的制度展开

(一)“相对删除”路径的展开:“脱链存储”与“密钥删除”

在“相对删除”路径指导下,通过构建个人信息区块链应用“脱链存储”与“密钥删除”的标准,可以在保持区块链核心特性的基础上满足删除个人信息的规范需求。“脱链存储”是将个人信息储存在单独的“脱链数据库”中,仅通过散列链接到区块链的分布式分类账中。在区块上仅保留索引信息以及个人信息转换的哈希值。当信息主体要求删除个人信息时,区块链服务提供者只要删除区块之上哈希值与脱链数据库中特定个人信息的“可连接性”即可实现,且不会破坏整个区块链。而“密钥删除”的方案是通过删除解密密钥的方式来实现删除,不会删除储存在区块之上的数据。

(二)“去标识化”路径的展开:“非明文存储”与“承诺模式”

为使区块链个人信息应用达成“去标识化”的保密需求,应明确规定“上链”的个人信息必须采用“非明文存储”与“承诺模式”相结合的方式。为贯彻“非明文存储原则”,个人信息应还可以进一步通过“承诺模式”在区块链上进行登记,从而在通用“去标识化”的基础之上进一步加密。“承诺”是一种冻结数据的加密机制,通过该机制,个人信息的控制权将牢牢掌握在信息主体手中,即便该信息上链,其他主体也难以知晓其中内容。

(三)“场景解释”路径的展开:“区块链修剪”与“零知识证明”

场景化的目的解释可以有效地回应区块链个人信息应用中面对的目的限制的需求。在此基础上,通过区块链修剪(从节点的本地储存删除非关键区块链信息的过程)与零知识证明(证明者向验证者证明一个陈述是正确的,而无需透露除该陈述正确以外的任何信息)技术就能够回应数据最小化的要求,从而实现目的限制与数据最小化的合法化应对。

(四)“实质控制”路径的展开:许可区块链与轻量级节点

为破除区块链应用的责任混同和责任不能困境,应明确规定个人信息的区块链应用必须遵循许可区块链优先的原则。许可区块链是指个人或者机构需要许可才能访问和添加数据的区块链。许可区块链具备发起实体单一、开放对象特定、节点群体稳定、权利义务明晰等特点,能够较好地贴合“实质控制论”的需求,从而为责任混同和责任不能的解决提供可能。

此外,个人想要更好地控制区块链上的个人信息,就必须成为节点,然而成为节点又可能需要承担网络运营者的责任。轻量级节点(个人节点只保存自己全部信息,同时只获取其他节点的区块头信息)技术的出现使得用户可以在享受对个人信息有效控制的基础上,同时又不至于对其他节点的数据形成“实质控制”,因此是当前技术条件下的一条最优的路径。

四、结语

区块链在个人信息保护上的应用应恪守必要性原则,区块链并非无所不能,网络运营者需要慎重考虑在相关个人信息保护的应用中采用区块链技术的必要性。如果决定采用,则需要关注技术的合规问题。在未来立法上,可以就个人信息保护的诸多关键概念予以明确,降低法律适用的不确定性。同时,立法也要充分考虑区块链技术的特点,构建适合区块链发展的责任主体识别标准及责任体系。



(本文文字编辑鲍生慧。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章,一律不得转载。)



文献链接:《区块链与个人信息保护法律规范的内生冲突及其调和

[ 参考文献 ]

本文选编自王禄生:《区块链与个人信息保护法律规范的内生冲突及其调和》,载《法学论坛》2022年第3期。
【作者简介】王禄生,东南大学法学院教授,中国民商法律网授权学者。

推荐阅读
朱广新:情势变更制度的体系性思考
《民法典》第533条关于情势变更的规定与《民法典》相关条文存在体系性关联。
王利明:论债权形式主义下的区分原则
在贯彻实施《民法典》时,不应按照物权行为理论来理解区分原则,必须在债权形式主义模式下准确理解和适用区分原则。
曹兴权、杨士民:论公司法定代表人与其他人员越权的差异
在判断表见代表/理时,相对人对公司法定代表人与其他人员越权的审查义务有差异,应提出具体化函数理论进一步明确。
热门排行
学术公告
问答集锦
相关文章
本期评价
0个赞
0个踩
敬请关注中国法学会民法典编纂项目领导小组组织撰写的《中华人民共和国民法典•民法总则专家建议稿(征求意见稿)》

编辑:鲍生慧

向编辑提问:

分享

扫二维码
用手机看民商
用微信扫描
还可以分享至
好友和朋友圈

中国民法学研究会
教育部人文社会科学重点研究基地
中国人民大学民商事法律科学研究中心

本网站由王利明教授创办并提供全部运作资金 Copyright◎2000-2021 All Rights Reserved 京ICP备2022010855号  
E-mail: ccclarticles@126.com