李青
四川大学博士研究生,中国法学交流基金会助理研究员
要目
一、问题的提出
二、再认识“个人信息”
三、多样态“个人信息处理者”
四、区块链中的“个人信息处理”
结语
我国个人信息保护以个人信息保护法为基础构建法律体系,为保护隐私及个人信息构筑了坚实的法律基础。不过,随着区块链技术的蓬勃发展,也带来了新的个人信息保护问题,从个人信息的范围、个人信息处理者的认定到如何处理个人信息,都面临诸多挑战。技术先行为法律解释提供了基础,法律规则也要通过“沙盒监管”等新型方式为技术发展创造空间,以此逐步确定技术与法律达到平衡的最佳实践。
一、问题的提出
2021年8月20日,我国第十三届全国人大常委会第三十次会议审议通过了我国个人信息保护法,并于2021年11月1日起施行,该法构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。以个人信息保护法为代表的个人信息保护法律法规,均主要适用于中心化信息处理技术中的个人信息保护,尤其针对用户数量巨大、业务类型复杂的互联网平台,通过规制个人信息处理者行为并施以相应义务,结合对个人赋权两方面实现个人信息保护。然而,这一模式在适用于以去中心化为主要特点的区块链技术时,会面临诸多挑战。
区块链技术最突出之处是通过高透明度、不可更改、分布式容错等特性实现了“去中心化”的信任。它一方面通过非对称加密/公开与分布式存储,设计出与中心化技术不同的信息保护模式,使得用户可以直接交易,不受中心节点的控制,并赋予用户向谁披露何种信息的控制权,既保护隐私也防止身份盗窃,甚至可以帮助创建、管理、使用“用户身份”。另一方面,区块链不同于中心化技术以信任为基础,而以透明为基础。透明与隐私、个人信息保护之间必然存在张力,即虽然区块链相比其他技术可以赋予个人更多控制权,并实现有选择的分享,然而一旦信息公开,则有权限的主体可以复制并永久存储、利用该信息,不受数据主体控制,信息泄露的后果可能十分严重。同时,由于链上信息更改难度大成本高,会对用户更正、补充、删除已上传的错误信息、过时信息等构成难以逾越的技术障碍。
鉴于此,本文将以个人信息保护法为主体,结合国家网信部门等发布的个人信息保护相关规定,论述区块链技术中的个人信息保护问题。为便于讨论,先对三组概念的含义进行说明。
一是分布式账本与区块链。严格来讲,这两个概念所包括的范围从大到小依次应为分布式账本、区块链。分布式账本包括多种使网络系统在分散决策非常困难的情况下就所需的状态或意见达成一致的共识,区块链为其中一种共识(也称中本聪共识),还有其他共识如Tangle。实际应用中,对于“区块链”的使用经常会包括像Tangle这样的并不会在节点内存储数据的分布式账本,由于技术发展的不确定性及边界模糊性,同时为方便起见,本文不对分布式账本与区块链作严格区分。
二是公共链(public blockchains)、私有链(private blockchains)及联盟链(hybrid blockchains)。这是根据区块或节点参与链及读取数据的方式不同所作的分类。公共链是指任何人都可以读取、添加链上数据,链上的任何节点均可参与数据的验证和共识过程。私有链则是完全中心化的区块链,适用于特定机构的内部数据管理与审计等,其写入权限由中心机构控制,而读取权限可视需求有选择性地对外开放。联盟链是由达成共识的多个实体组成,只有部分节点可以添加数据,读取数据的权限视情况而定。鉴于公共链最具有代表性及开创性,本文将重点讨论公共链。
三是个人信息、隐私、数据。我国民法学领域对这三个概念,尤其是隐私与个人信息之间已经有很多讨论,并对二者之间应分别保护达成共识,民法典和个人信息保护法的通过实施也从立法层面认可了隐私权与个人信息之间存在区别。从比较法上看,个人信息与隐私之间一元化与二元化的选择也一直处于争议与困境中。本文讨论重点并非三者之间的区别,而是区块链技术所带来的挑战,故不对个人信息、隐私、数据作严格区分。
厘清上述概念后,我们将从以下三个方面具体分析区块链技术中的个人信息保护问题:一是如何界定个人信息的范围,二是如何认定个人信息处理者,最后对区块链个人信息处理活动中涉及的个人信息处理原则、个人角色定位及监管等问题进行论述。
二、再认识“个人信息”
个人信息保护法第4条第1款规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”这里的关键词应为“识别”。“识别”能力随着技术的不断发展而日益增强,与之相应的,“个人信息”的范围也越来越宽泛,从传统的能够直接识别特定自然人的信息,如姓名、身份证号码、家庭地址、电话号码等,到电子邮箱、通信记录、网络交易信息、上网浏览痕迹、网络社交媒体留言、行踪轨迹、脸部特征信息等过去或不存在,或无法被收集和存储的信息,都因其技术上“可识别”而被认定为个人信息。
区块链中的信息,因其特殊的表现形式(通常为一串特定长度的数字字母组合),将再一次挑战我们对“个人信息”的理解。根据区块链技术结构,区块链中的信息主要包括:1)区块头(header)信息,包括当前版本号(version)、前一区块地址(pre-block)、当前区块的目标哈希值(bits)以及时间戳(timestamp)等;2)区块体(body)信息,包括当前区块的交易数量以及经过验证的、区块创建过程中生成的所有交易记录及交易记录背后的知识,通常采用哈希算法(SHA256)进行加密,编码为特定长度的字符串计入区块链;3)身份信息,是指用户身份和区块链地址之间的关联关系。区块链中为满足安全性、最大程度保护数据,会采用非对称加密技术进行加密,即在加密和解密过程中使用两个非对称的密码,私钥和公钥,私钥类似于银行账户密码,除了用户本人外别人并不知道,而公钥类似于银行账户,会在区块链公开,表明了用户身份和区块链地址之间的关联关系,为身份信息。
上述三种信息中,与个人相关的为后两种信息,即区块体中的交易信息与公钥。要判断此两种信息是否属于“个人信息”,即需要判断上述信息是否存在“识别”的可能。对“识别”的判断要依据个人信息保护法第73条,该条规定了个人信息的去标识化(pseudonymization)与匿名化(anonymization)。去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。结合个人信息保护法第4条第1款,可知匿名化信息不是个人信息。因此,要判断区块链中的信息是否为个人信息需要回答两个问题:一是去标识化信息是否属于个人信息;二是区块链中的信息是否属于去标识化信息。
去标识化信息是否属于个人信息
我国个人信息保护法中并未予以明确,仅对匿名化与去标识化进行概念区分。2020年2月中国人民银行发布《金融行业标准做好个人金融信息保护技术管理工作的通知》(下称《通知》),同样未明确匿名化与去标识化的不同法律意义,亦未明确去标识化信息是否属于个人信息。
参考欧盟2018年发布的General Data Protection Regulation(下称“GDPR”),其第4条(1)规定,个人数据是指任何已识别或可识别的自然人(“数据主体”)相关的信息:一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所持有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。序言第26条(Recital 26.)规定,经过去标识化处理的个人数据(如果结合其他数据)仍然有识别到具体自然人的可能性,属于GDPR定义的个人数据,只有匿名化数据不属于GDPR定义的个人数据。可知,GDPR明确规定,匿名化信息不是个人信息,而去标识化信息属于个人信息。
我国个人信息保护法等法律法规虽然未明确规定去标识化信息是否属于个人信息,但第四条第一款并未排除去标识化信息,且表述为“已识别或者可识别的自然人有关的各种信息”,故借鉴参考欧盟相关规定,将去标识化信息认定为个人信息合乎文本逻辑,也符合实践要求。
区块链中的信息是否属于去标识化信息
区块链中的信息并非我们通常所理解的信息形态,而是一串特定长度的字符串,无法单独用于识别自然人。根据之前我们对匿名化与去标识化的定义可知,若区块链中信息无法用于识别且不能复原,则为匿名化信息,不属于个人信息;若它可与其他信息结合用于识别,则为去标识化信息,属于个人信息。下面,我们对交易信息及公钥是否属于去标识化信息进行判断。
1.交易信息
交易信息是经哈希算法得出的特定长度字符串。要判断交易信息是匿名化信息还是去标识化信息,重要的前提是判断哈希算法属于匿名化技术还是去标识化技术。《通知》3.24注1规定,“去标识化仍建立在个体基础之上,保留了个体颗粒度,采用假名、加密、加盐的哈希函数等技术手段替代对个人金融信息的标识”。该通知明确将假名、加密、加盐的哈希函数界定为去标识化信息的技术种类。
2014年欧盟29条数据保护工作组在发布关于匿名化技术的意见中,也明确指出哈希算法是一种去标识化技术,而非匿名化技术。原因在于虽然哈希算法具有单向性不能反推,但如果知道输入值的范围,根据哈希值的稳定性(相同的输入值会导致相同的输出值),通过“野蛮算法”尝试所有可能的输入值,依靠哈希算法的高速运算特点,也可推断出特定的输入值。该意见同时认定哈希的其他变种,包括加盐哈希(salted-hash function)、带密钥哈希(keyed-hash function)同样是去标识化技术,而非匿名化技术。
可见,哈希算法为去标识化技术已经取得一定共识,而且实践中也出现了利用大数据技术对区块链中的交易历史信息进行分析并识别用户的做法,印证了哈希算法仅是去标识化技术,而非匿名化技术。故经哈希算法加密的交易信息应为去标识化信息,属于个人信息。
2.公钥
关于这个问题,存在两种不同的观点。一种认为,虽然公钥不能单独用于识别特定自然人,但与其他信息相结合时,是可能识别出特定自然人的。有研究表明,公钥结合IP地址可以识别特定自然人,而用户通常不会隐藏其IP地址。技术实践中,由于利益驱动等原因,对公钥、私钥的破译技术发展势头迅猛,市场上存在大量专业提供破译服务的公司。同时,由于监管日趋严格,为了符合客户调查(Know Your Clients,下称“KYC”)、反洗钱(Anti-Money Laundering,下称“AML”)等监管要求,会要求用户在链上公布更多必要信息,这也让破译变得更为容易,如今执法机构在办案过程中甚至也经常使用破译技术查找线索、追踪犯罪嫌疑人等。而另一种观点则认为,即使存在破译技术并存在破译的现实可能,但通常来讲,破译的难度和成本都很高,且往往破译的结果仅为特定第三方知晓,并未在公共范围内造成身份信息可识别。
对于这个问题,欧盟法院在Patrick Breyer v Germany案中对动态IP地址是否属于个人信息的认定有一定参考意义,该案中,法院认为即使动态IP信息仅能被第三方(如网络服务提供商)利用其结合掌握的其他信息识别特定自然人,仍应被认定为个人信息。该案虽然并不直接涉及公钥,但动态IP地址与公钥非常相似,二者同具有信息交换性质,动态IP地址被网络服务提供商用于识别身份,而公钥也会被相关机构按照KYC及AML的要求用于识别身份,欧盟法院认定动态IP信息属于个人信息,对于判断公钥是否属于个人信息有重要参考作用。
从以上个人信息的界定来看,我国个人信息保护法等法律法规仅做了概括性、原则性规定,并不清晰,甚至容易导致歧义。如个人信息保护法第51条规定个人信息处理者“采取相应的加密、去标识化等安全技术措施”,此处将加密与去标识化并列使用,容易理解为去标识化并非一种加密技术,若如此,则经哈希算法得出的交易信息及采用非对称加密技术的公钥就并非去标识化信息,而为匿名化信息,不属于个人信息,这显然与我们前述分析的结论不同,也不利于将区块链技术纳入现有个人信息保护的法律框架中规制。
鉴于区块链中信息的特殊性,法律需要考虑并理解技术的特点及差异,并以此为基础制定规则,设计不同信息的保护模式。如前文提到的欧盟29条数据保护工作组2014年发布的关于匿名化技术的意见,就对不同技术做出了区分并加以举例,在明确哈希及其变种算法是一种去标识化技术,而非匿名化技术的同时,亦明确“添加噪音”(noise addition)是一种可被接受的匿名化技术等。我国也可借鉴上述做法,结合技术发展现状,根据实际情况界定不同技术属性及法律意义,既能保护、促进创新,又有效规制滥用行为,这对于更好地解决区块链技术中的个人信息保护问题具有重要意义。
三、多样态“个人信息处理者”
个人信息保护法第73条第1款规定,个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。在区块链中认定个人信息处理者存在较大困难,缘于区块链中各节点地位对等,承担的功能相同,并且按照共识算法平等参与决策过程。这与中心化技术存在本质不同,这样的技术结构也导致区块链中并不存在或者很难找到与中心化技术中心节点类似的个人信息处理者。中心化技术中,中心节点往往就是个人信息处理者,所有信息的存储与传输都要经过该节点,用户贡献数据但往往并不参与决策,或者仅参与与其相关的部分决策。
本部分我们将依据第73条中“自主决定处理目的、处理方式”的实质性要求,以是否具有实际控制权作为标准,对区块链结构中存在的不同主体进行具体分析,为区块链中个人信息处理者的认定提供参考。
区块链中的三种主要主体
参考目前区块链技术的发展及应用,可知区块链技术中主要包括三类主体:核心群体、节点控制者与区块链应用程序开发者。
1.核心群体
核心群体是指开发区块链底层架构并制定原则的组织或个人。他们开发了区块链的底层架构,并且制定区块链运行的规则,多数情况下核心群体在区块链初始运行过程中确实掌握了控制权。然而,随着区块链上节点数目越来越多,去中心化越来越明显,核心群体对于区块链的控制会越来越弱,控制权会分散至链上的每一个节点,包括是否更新、是否修订规则等都需要各节点参与投票才能决定,往往区块链的核心群体分散在世界各地,他们之间甚至也并不知道对方的真实身份。除初始开发群体外,由于区块链的算法缺陷,还容易出现再度中心化后的“核心群体”。这些经“再度中心化”而产生的核心节点与初始核心群体并不完全相同,但都会在特定时间段享有较其他节点更多的控制权。
2.节点控制者
节点控制者是指区块链中主要从事验证目的的节点。区块链中的组网方式一般采用对等式网络(peer-to-peernetwork,P2P网络),每个节点地位对等且以扁平式拓扑结构相互连通和交互,不存在任何中心化的特殊节点和层级结构。P2P网络中每个节点都时刻监听网络广播的数据与新区快,接到新数据后,将首先验证数据的有效性,并将有效交易数据整合到当前区块中。由于区块链中每个节点地位对等,即使部分节点失效,只要仍存在一个正常运行的节点,主链数据就可完全恢复。
对于节点控制者而言,区块链技术使它可以下载使用链上完整的交易信息并参与验证,但无法对整链产生实际控制权。
3.区块链应用程序开发者
区块链应用程序开发者是指以区块链为基础开发去中心化应用程序的组织或个人。区块链应用程序开发者(decentralized application,DApp)以Ethereum(以太坊)为代表,重新定义了智能合约,在区块链系统上进行编程和操作,扩展以区块链技术为基础的应用程序。若能够确认是应用程序开发者造成隐私泄露,认定其为个人信息处理者并追责相对容易。然而,DApp的设计开发是仿照区块链进行,故随着DApp的发展,开发者的控制权也会逐渐减弱并分散至每个节点。
区块链中的三种主体是否构成个人信息处理者
对于区块链中的主体是否可以“自主决定处理目的、处理方式”,是否构成个人信息处理者,主要有以下三种观点。
第一种观点认为核心群体应为个人信息处理者,尤其是当该区块链的发展是基于对核心群体的信任时,核心群体应对外承担责任。第二种观点则认为区块链中的节点都有可能被认定为个人信息处理者。区块链技术是将保持信息私密性的责任从中心节点转移至个人用户。个人用户掌握私钥,在其通过对个人信息进行哈希算法处理并添加至区块链上时,表现出对个人数据的控制,可以认定此时个人既是数据主体又是个人信息处理者。如法国的数据保护机构Commission nationale Informatique et Libertés(下称CNIL),于2018年9月发布“Blockchain: Premiers éléments d’analyse de la CNIL”(《CNIL对区块链与欧盟GDPR的理解》),其中认定凡是能够在链上以商业为目的写入数据并提交验证的都是GDPR规定的数据控制者,而对于只参加验证但不参与交易的并不认定为数据控制者;对智能合约而言,算法设计者将被认定为数据控制者或处理者。
第三种观点主张通过建立合同确立个人信息处理者,并约定对外承担责任的方式。核心群体在建立区块链之初,就可根据区块链运行的基本规则制定合同模板,针对各类参与者设计不同条款,使加入者可以明晰自身责任及承担方式,加入即意味着同意,随后便可依合同约定执行。当然,这里可能还会涉及“code-as-law”的问题,尤其随着智能合约的发展,以代码为代表的规则的确又一次对法律产生了冲击。
以上观点都从不同角度切入尝试解决区块链中个人信息处理者的认定难题,然而截至目前,仍未找到行之有效的解决方法。这一方面与法律滞后的先天不足有关,另一方面也与区块链的复杂程度有关,每一种区块链的应用场景引发的法律问题不一而同,单一的应对方式必然无法满足需求,这会让本就困难的问题更加棘手。
我国关于区块链信息服务提供者的特殊规定
国家互联网信息办公室于2019年1月10日发布《区块链信息服务管理规定》,其中,第2条第3款规定区块链信息服务提供者是指向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织;本规定所称区块链信息服务使用者,是指使用区块链信息服务的组织或者个人。该规定相较个人信息保护法对区块链的规定更加有针对性,也更为明确,但从具体规范来看,该规定重点在于联盟链或私有链,并不在于公共链。
根据该规定第11条第1款,区块链信息服务提供者应当向国家互联网信息办公室履行备案手续。截至2022年3月4日,国家互联网信息办公室共发布七批、1705家境内区块链信息服务提供者,观其主流服务,是以私有链或联盟链为基础,几乎不涉及公共链。同时,该规定第8条要求区块链信息服务提供者对区块链信息服务使用者进行真实身份信息认证,否则不得为其提供相关服务。这种表述仍是以私有链或联盟链为前提的,在公共链中,该要求难以实现。不过虽然如此,目前国内的区块链实践中,存在大量“矿池”和“云挖矿”,“矿池”是指个体矿工通过加入矿池参与挖矿活动,按对矿池贡献来获得虚拟货币奖励,亦即多人合作挖矿,获得的虚拟奖励也由多人按照贡献度分享。“云挖矿”则是一种通过网络远程使用他人的矿机挖矿的服务,也可以理解为一种租赁托管服务。上述基础设施的运营主体属于“主体”类信息服务提供者。对这种现象而言,虽然“挖矿”行为多发生在公共链上,但由于背后存在一定的组织和共同意志,相当于公共链上的“私有链”,故也有观点认为,除联盟链或私有链外,该规定对公共链上境内节点的监管同样具有重要意义。
需要进一步指出的是,认定个人信息处理者并非最终目的,最终目的是要让个人信息处理者承担责任,而这又会让情况变得更复杂。如根据个人信息保护法第66条,对个人信息处理者分两档处罚,低档是一百万以下,高档是五千万以下或者上一年度营业额百分之五以下。GDPR第83条(4)也规定企业的最高处罚额为上一年全球总营业额的2%。对区块链而言,节点遍布全球。如果要认定某个节点或多个节点为个人信息处理者并要求其承担责任,将不得不面临多地区司法管辖的挑战,直接影响个人信息保护法律法规中罚则的实现。
四、区块链中的“个人信息处理”
关于区块链中的“个人信息处理”,我们会从三个维度展开讨论,一是中心化的个人信息处理原则是否适用,二是个人在区块链中的角色定位,三是通过监管沙盒模式鼓励区块链中个人信息保护技术发展。
中心化的个人信息处理原则是否适用
根据个人信息保护法第6、7、8、9条,处理个人信息的原则包括目的明确与影响最小原则、公开透明原则、保证个人信息质量原则以及安全原则。以上四项中心化个人信息处理原则在适用于区块链时均会面临挑战,我们逐一分析。
1.目的明确与影响最小原则
该原则要求处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。对区块链而言,其最终目的是要实现点对点直接交流,并通过共识机制替代对中心节点的信任,实现去中心化。具体到某个区块链,目的会有所不同。然而,在区块链运行过程中,是否能一直保持处理个人信息的目的都明确合理,却存在疑问。原因在于区块链的“中心化取代”是以向链上所有节点公开信息为对价的,信息公开后,若有节点通过公开信息推断出更多个人信息并加以利用,则无法确定收集目的,甚至都无法知道何时被收集、被何人收集。
类似地,对影响最小原则而言,由于区块链上的任何节点都可以写入数据,该数据一旦通过验证会被所有节点永久储存,这将无法保证处理个人信息都会采取对个人权益影响最小的方式进行。
但同时,也有观点认为这与如何认定区块链存储信息的目的相关。如果认为区块链存储信息是个人信息保护法第九条中所述“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全”,那么可以认为区块链永久储存信息并未违反最小影响原则。
2.公开透明原则
该原则要求公开个人信息处理规则,明示处理的目的、方式和范围。对区块链而言,可以实现公开个人信息处理规则并对取得信息后各节点如何线下利用做出进一步要求,但正如之前所言,实践中由于区块链节点数量多且遍布全球,地理位置分散,又很可能处于不同的司法管辖范围,也不存在有绝对控制权的中心节点,导致节点之间彼此的控制与监督较弱,无法实时掌握各节点处理个人信息的目的、方式和范围,监管存在困难。
3.保证个人信息质量原则
该原则要求处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。这一原则对区块链提出了一个重要挑战。对区块链而言,经算法验证的是交易是否可以发生,但并不能对交易内容的准确性进行验证,这意味着如果上链时信息就存在错误,那么该错误信息将由于区块链本身的机制永久留存在链上,也就是说,如果上链时由于过失或者他人故意,将用户的错误信息上传,要想更正、补充、删除个人信息,是存在根本性技术障碍的。这个问题在金融领域中后果可能更为严重。这也是为什么在进行有较高风险的金融活动时,通常会要求用户在上链交易前进行KYC、AML等验证,通过验证后,该用户才可上链进行特定类型交易。但是,因验证无法实时更新,仍存在较高风险,也就是说,如果用户上链之后再进行金融犯罪,链上仍仅会显示该用户刚上链时的认证信息,并不会自动更新随后的犯罪信息。可见,区块链机制导致链上节点容易把“错误信息误认为正确信息”,无法从根本上保证个人信息质量,任其发展甚至可能会危及区块链本身的信任基础。
4.安全原则
该原则要求对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。对区块链而言,最大的安全隐患来自恶意攻击者,恶意攻击者也是造成我们前述三个原则适用的主要困难。对此,技术发展远在法律之前,并为法律完善创造可能、提供空间。这里我们将重点介绍两类针对恶意攻击者的技术。
第一类技术旨在提高恶意攻击者搜集区块链中数据的难度,主要包括三种防御机制:一是限制接入,如私有链或者联盟链,须有节点授权才能加入网络;二是对恶意节点的检测和屏蔽,通过检测机制发现恶意节点后加入黑名单,阻止恶意节点继续搜集敏感信息;三是对网络层进行加密,如通过洋葱网络(Tor)来更好地隐藏IP,防止信息溯源。
第二类是防止恶意节点获得准确的交易数据,也包括三种:一是数据失真技术,最常见的是“混币”机制,包括基于中心节点的混币方法和去中心化的混币方法。(1)基于中心节点的混币方法核心特点是混币过程由第三方节点执行,为克服第三方节点带来的风险,又发展出中心化混币方案(mixcoin)、盲签名技术方案(Blindcoin)等。匿名数字货币达世币(DASH)则通过要求中心节点支付押金的方式来防范中心节点违规操作。(2)去中心化的混币方法核心特点是混币过程不需要第三方节点执行,而是将多个交易合并成一个交易,隐藏交易输入方和输出方的对应关系,类似地,在此基础上又发展出改进方案,包括CoinShuffle方案、去中心化混币协议(Xim)等。门罗币(Monero)则采用环签名算法(ring signatures)实现混币过程,任何一个用户可以自行实现混币,能够有效杜绝去中心化混币方案面临的拒绝服务攻击、混币参与用户泄露混币过程等问题。不过,仍有研究表明,包括CoinJoin在内的混合技术都无法提供真正的匿名化,2017年门罗币未更新以前通过“chain-reaction”分析得出的用户数据可达到85%的准确率,为此更新时增加了混币数量,更新后准确率下降至接近0%。
二是数据加密技术。如前述门罗币采用的“环签名算法”还可用于加密,通过将单个交易绑定多个公钥而隐藏于多个交易中,交易相对方仅知道一个私钥就可以解开的技术,还将随机参数与接收方公钥一起写入输出地址,避免发现输出地址和接收方之间的关系。但这种方式受到质疑。大零币(ZeroCash)则使用了零知识证明技术zk-SNARK技术,可以让用户隐藏自己的ID、交易金额及账户余额等重要信息,在允许交易双方确认互相确实拥有交易所需的信息的同时,拒绝让双方知晓具体信息,大零币被认为控制过强、效率低,扩展性差,且高度匿名化导致存在追责及监管困难等问题。
三是限制发布技术。这种技术往往直接将涉及隐私的数据从链上移除,常见方案有:1)闪电网络,即用户之间的大部分交易细节在线下执行,只有第一次交易和最后一次交易需要记录在区块链中;2)联盟链和私有链,即只有经授权节点才可接触区块链数据;3)“修剪”(pruning)链上过时的交易信息,但该技术存在较大争议;4)“变色龙哈希算法”(chameleon-hashes),该技术允许经授权在规则范围内通过全部公开的方式对链上区块内容进行重写,但仍无法解决第三方问题和重写前信息的存储与利用问题。
综上,中心化个人信息处理原则适用于区块链技术时存在的困难与挑战,一方面与技术发展相关,加密与解密之间的关系可以看作是“道高一尺魔高一丈”,完全实现不可破译的加密技术恐怕很难,但通过提高破译成本而实现更高程度的保护是可行的;另一方面也与法律规则的滞后性有关,技术总是领跑法律,但法律应适时规制技术发展,让人做技术的主体,而不是客体。
个人在区块链中的角色定位
根据个人信息保护法第13条、14条、15条及第4章,个人作为信息主体,可以同意/撤回同意处理个人信息,并享有知情权、决定权、查阅复制权利、有限制的转移个人信息请求权、更正补充删除请求权、要求个人信息处理者解释说明的权利等。以个人信息保护法为主体的个人信息保护法律法规中对于个人实现个人信息权益的逻辑是清晰的,即个人要自愿明确地同意个人信息处理者处理其个人信息,在随后的处理过程中,个人利用享有的多项权利对个人信息处理者的处理行为进行约束,并可随时撤回同意,以充分实现个人信息权益。然而在区块链中,上述保护路径同样将受到挑战。我们从个人同意与个人权利两方面进行分析。
1.个人同意
首先讨论关于同意的问题。区块链中用户自愿上传数据,一旦公开即向全部节点公开(不同于中心化技术中仅向中心化节点公开),那么该公开是否等同于向社会公开,是否会导致再度使用无需经个人同意?个人信息保护法第13条第6款规定“个人自行公开或者其他已经合法公开的个人信息”无需经个人同意,第27条也规定,“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”GDPR第9条(1)规定特殊类型个人数据(包括种族、民族、政治观念、宗教信仰、基因数据、生物识别数据以及和健康、个人性生活或性取向相关的数据)不可处理,第9条(2)(e)规定若是数据主体已经明显公开(manifestly made public),则第9条(1)规定不适用。GDPR的规定与个人信息保护法类似,但对于如何认定明显公开并未做进一步解释。
加拿大《个人信息保护与电子文档法案》(Personal Information Protection and Electronic Documents Act,下称PIPEDA)规定了公共电话簿、商业手册或者报纸、杂志、书籍等公开的信息,属于已经公开的、再度使用可以不经个人同意的信息。该规定较为明确,但区块链是否可类比报纸、杂志、书籍?如果可以,对个人而言,上传数据就意味着不再受到保护,而是自己选择向全链公开。如果不可以,再度使用链上个人信息仍需获得同意,那么如何监管并获得同意又成为亟需解决的问题。
2.个人权利
在区块链中个人行使权利所面临的第一个障碍来自个人信息处理者的不确定。个人信息保护法第4章规定的各项权利有一个共同特征,都存在一个协助实现个人权利的个人信息处理者,而在区块链中,按照我们前面的分析,认定个人信息处理者存在困难与不确定性,如此,对于区块链中的个人而言,如何实现各项权利同样存在困难与不确定性。
另外,区块链中各项权利的行使存在技术障碍。如对于更正、补充、删除请求权的实现,从技术上看,区块链中要实现对存储信息的更正、补充、删除,首先需要区块链至少51%的节点同意,同意之后,还需要重建整个区块链以对每个区块重新写入数据并验证,这个过程虽不能说完全无法实现,但成本之高之复杂无法满足个人信息保护的日常需求。对于知情权、决定权、查阅复制权利等,这些权利的初衷是为了赋予个人获取自己信息的权利,也是进行更正、补充、删除的基础。但在区块链中,困难并不在于个人是否可以要求获取自己信息,而是获取了之后也无法更正、补充、删除,设置这些权利的作用与意义将会大大削弱。
3.离链存储
针对个人同意与个人权利中存在的诸多问题,现有技术中存在初步可行的解决方案,即离链存储。离链存储是通过将数据存储在线下可信的第三方服务器中,限制链上节点对数据的读取。为保证数据安全、不被篡改,离链存储的数据将生成相关交易的哈希值并公布在链上,若链下存储数据发生变化,链上哈希值将随之更改。该技术不只可以更有效地保护数据,还可以降低数据存储成本,能够较好地回应我们前面提到的数据更正、补充、删除问题带来的挑战。不过,离链存储也存在争议,其中最被人诟病的是需要一个可被信任的第三方存储机构,有观点认为这将使区块链失去存在意义。针对此,以太坊采用了“状态通道”(state channels),是一种用于执行交易和其他状态更新的“离链”技术,也就是说,交易的大部分内容仅经区块链认证在线下完成,若出现任何问题,可以回溯到链上交易中的“稳定内核”。此外,也有其他无需第三方机构的离链存储技术,包括挑战-反应模型、离链签名模型、指定计算模型、弱合同痕迹模型、内容寻址存储模型等,都在回应第三方机构所带来的质疑。
可以说,个人在区块链中的角色定位与个人信息处理者的认定密切相关,与技术发展密切相关,如若没有相应规则及技术支持,无论是讨论个人同意还是个人权利,都很可能沦为纸上谈兵,个人仍旧只能是“被赋予很多权利的弱势群体”。
通过沙盒监管模式鼓励区块链中个人信息保护技术发展
区块链作为蓬勃兴起的新技术代表,正处在“发育期”,过度压制将导致失去先机,放任不管则可能酿成祸端。为平衡风险管控与鼓励创新之间的关系,需要创新监管工具,比较有代表性的新型监管工具包括监管沙盒(Regulatory Sandbox)、创新中心(Innovation Hub)、创新加速器(Innovation Accelerator)等。沙盒监管由英国金融行为监管局(FCA)于2015年最早推出,面向金融创新产品或服务,由监管部门按照适度简化的准入标准和流程,允许金融科技企业在有限业务牌照下,利用真实或模拟的市场环境开展业务测试。沙盒监管类似我国的试点机制,经测试表明适合全面推广后,则可依照现行法律法规,进一步获得全牌照,并纳入正常监管范围。创新中心指监管部门设立的旨在为监管或非监管对象提供指导或支持的机制或场所。创新加速器指金融科技服务提供商与政府部门之间的资金或技术合作安排。在对区块链的监管中,国务院、工业和信息化部、中央网信办、教育部等多份文件中都提到要基于区块链技术探索沙盒监管等新型监管机制。
在“沙盒监管”模式下,可以充分考虑区块链技术的特征,适当为技术发展留出空间。如个人信息保护法第47条第2款规定,法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。该款中提到的“技术上难以实现”就为技术发展留出了空间,当然,还需要进一步对“技术上难以实现”做出解释。参考德国为实施GDPR所制定的细则,细则中规定如果删除信息在技术上不可行,那么限制处理也是可以接受的。法国在“Blockchain: Premiers éléments d’analyse de la CNIL”也提到,控制者通过使数据难以接触而达到删除数据的效果。
因此,我们可以利用“沙盒监管”尝试不同规则,为技术发展留有余地的同时也避免技术发展越界,逐步确定技术与法律达到平衡的最佳实践。
结语
我国个人信息保护领域以个人信息保护法为基础构建法律体系,为保护隐私及个人信息构筑了坚实的法律基础。以区块链为代表的去中心化技术为个人信息保护提供了新的可能,同时也从个人信息的范围、个人信息处理者的认定到如何处理个人信息等方面,带来了前所未有的挑战。技术先行为法律解释提供了基础,但同时要意识到的是,无论技术如何发展,都无法保证绝对的隐私与个人信息保护,这就需要合理有效的法律规则,对关键问题予以厘清,并通过“沙盒监管”等新型方式为技术发展创造空间,以此逐步确定技术与法律达到平衡的最佳实践。