區塊鏈隱私問題(李青 區塊鏈技術中的個人信息保護問題研究)
李青 四川大學博士研究生,中國法學交流基金會助理研究員
內容摘要:我國個人信息保護以個人信息保護法為基礎構建法律體系,為保護隱私及個人信息構筑了堅實的法律基礎。不過,隨著區塊鏈技術的蓬勃發展,也帶來了新的個人信息保護問題,從個人信息的范圍、個人信息處理者的認定到如何處理個人信息,都面臨諸多挑戰。技術先行為法律解釋提供了基礎,法律規則也要通過“沙盒監管”等新型方式為技術發展創造空間,以此逐步確定技術與法律達到平衡的最佳實踐。
一、問題的提出
2021年8月20日,我國第十三屆全國人大常委會第三十次會議審議通過了我國個人信息保護法,并于2021年11月1日起施行,該法構建了權責明確、保護有效、利用規范的個人信息處理和保護制度規則。以個人信息保護法為代表的個人信息保護法律法規,均主要適用于中心化信息處理技術中的個人信息保護,尤其針對用戶數量巨大、業務類型復雜的互聯網平臺,通過規制個人信息處理者行為并施以相應義務,結合對個人賦權兩方面實現個人信息保護。然而,這一模式在適用于以去中心化為主要特點的區塊鏈技術時,會面臨諸多挑戰。
區塊鏈技術最突出之處是通過高透明度、不可更改、分布式容錯等特性實現了“去中心化”的信任。它一方面通過非對稱加密/公開與分布式存儲,設計出與中心化技術不同的信息保護模式,使得用戶可以直接交易,不受中心節點的控制,并賦予用戶向誰披露何種信息的控制權,既保護隱私也防止身份盜竊,甚至可以幫助創建、管理、使用“用戶身份”。另一方面,區塊鏈不同于中心化技術以信任為基礎,而以透明為基礎。透明與隱私、個人信息保護之間必然存在張力,即雖然區塊鏈相比其他技術可以賦予個人更多控制權,并實現有選擇的分享,然而一旦信息公開,則有權限的主體可以復制并永久存儲、利用該信息,不受數據主體控制,信息泄露的后果可能十分嚴重。同時,由于鏈上信息更改難度大成本高,會對用戶更正、補充、刪除已上傳的錯誤信息、過時信息等構成難以逾越的技術障礙。
鑒于此,本文將以個人信息保護法為主體,結合國家網信部門等發布的個人信息保護相關規定,論述區塊鏈技術中的個人信息保護問題。為便于討論,先對三組概念的含義進行說明。
一是分布式賬本與區塊鏈。嚴格來講,這兩個概念所包括的范圍從大到小依次應為分布式賬本、區塊鏈。分布式賬本包括多種使網絡系統在分散決策非常困難的情況下就所需的狀態或意見達成一致的共識,區塊鏈為其中一種共識(也稱中本聰共識),還有其他共識如Tangle。實際應用中,對于“區塊鏈”的使用經常會包括像Tangle這樣的并不會在節點內存儲數據的分布式賬本,由于技術發展的不確定性及邊界模糊性,同時為方便起見,本文不對分布式賬本與區塊鏈作嚴格區分。
二是公共鏈(public blockchains)、私有鏈(private blockchains)及聯盟鏈(hybrid blockchains)。這是根據區塊或節點參與鏈及讀取數據的方式不同所作的分類。公共鏈是指任何人都可以讀取、添加鏈上數據,鏈上的任何節點均可參與數據的驗證和共識過程。私有鏈則是完全中心化的區塊鏈,適用于特定機構的內部數據管理與審計等,其寫入權限由中心機構控制,而讀取權限可視需求有選擇性地對外開放。聯盟鏈是由達成共識的多個實體組成,只有部分節點可以添加數據,讀取數據的權限視情況而定。鑒于公共鏈最具有代表性及開創性,本文將重點討論公共鏈。
三是個人信息、隱私、數據。我國民法學領域對這三個概念,尤其是隱私與個人信息之間已經有很多討論,并對二者之間應分別保護達成共識,民法典和個人信息保護法的通過實施也從立法層面認可了隱私權與個人信息之間存在區別。從比較法上看,個人信息與隱私之間一元化與二元化的選擇也一直處于爭議與困境中。本文討論重點并非三者之間的區別,而是區塊鏈技術所帶來的挑戰,故不對個人信息、隱私、數據作嚴格區分。
厘清上述概念后,我們將從以下三個方面具體分析區塊鏈技術中的個人信息保護問題:一是如何界定個人信息的范圍,二是如何認定個人信息處理者,最后對區塊鏈個人信息處理活動中涉及的個人信息處理原則、個人角色定位及監管等問題進行論述。
二、再認識“個人信息”
個人信息保護法第4條第1款規定,“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。”這里的關鍵詞應為“識別”。“識別”能力隨著技術的不斷發展而日益增強,與之相應的,“個人信息”的范圍也越來越寬泛,從傳統的能夠直接識別特定自然人的信息,如姓名、身份證號碼、家庭地址、電話號碼等,到電子郵箱、通信記錄、網絡交易信息、上網瀏覽痕跡、網絡社交媒體留言、行蹤軌跡、臉部特征信息等過去或不存在,或無法被收集和存儲的信息,都因其技術上“可識別”而被認定為個人信息。
區塊鏈中的信息,因其特殊的表現形式(通常為一串特定長度的數字字母組合),將再一次挑戰我們對“個人信息”的理解。根據區塊鏈技術結構,區塊鏈中的信息主要包括:1)區塊頭(header)信息,包括當前版本號(version)、前一區塊地址(pre-block)、當前區塊的目標哈希值(bits)以及時間戳(timestamp)等;2)區塊體(body)信息,包括當前區塊的交易數量以及經過驗證的、區塊創建過程中生成的所有交易記錄及交易記錄背后的知識,通常采用哈希算法(SHA256)進行加密,編碼為特定長度的字符串計入區塊鏈;3)身份信息,是指用戶身份和區塊鏈地址之間的關聯關系。區塊鏈中為滿足安全性、最大程度保護數據,會采用非對稱加密技術進行加密,即在加密和解密過程中使用兩個非對稱的密碼,私鑰和公鑰,私鑰類似于銀行賬戶密碼,除了用戶本人外別人并不知道,而公鑰類似于銀行賬戶,會在區塊鏈公開,表明了用戶身份和區塊鏈地址之間的關聯關系,為身份信息。
上述三種信息中,與個人相關的為后兩種信息,即區塊體中的交易信息與公鑰。要判斷此兩種信息是否屬于“個人信息”,即需要判斷上述信息是否存在“識別”的可能。對“識別”的判斷要依據個人信息保護法第73條,該條規定了個人信息的去標識化(pseudonymization)與匿名化(anonymization)。去標識化是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。匿名化是指個人信息經過處理無法識別特定自然人且不能復原的過程。結合個人信息保護法第4條第1款,可知匿名化信息不是個人信息。因此,要判斷區塊鏈中的信息是否為個人信息需要回答兩個問題:一是去標識化信息是否屬于個人信息;二是區塊鏈中的信息是否屬于去標識化信息。
(一)去標識化信息是否屬于個人信息
我國個人信息保護法中并未予以明確,僅對匿名化與去標識化進行概念區分。2020年2月中國人民銀行發布《金融行業標準做好個人金融信息保護技術管理工作的通知》(下稱《通知》),同樣未明確匿名化與去標識化的不同法律意義,亦未明確去標識化信息是否屬于個人信息。
參考歐盟2018年發布的General Data Protection Regulation(下稱“GDPR”),其第4條(1)規定,個人數據是指任何已識別或可識別的自然人(“數據主體”)相關的信息:一個可識別的自然人是一個能夠被直接或間接識別的個體,特別是通過諸如姓名、身份編號、地址數據、網上標識或者自然人所持有的一項或多項的身體性、生理性、遺傳性、精神性、經濟性、文化性或社會性身份而識別個體。序言第26條(Recital 26.)規定,經過去標識化處理的個人數據(如果結合其他數據)仍然有識別到具體自然人的可能性,屬于GDPR定義的個人數據,只有匿名化數據不屬于GDPR定義的個人數據。可知,GDPR明確規定,匿名化信息不是個人信息,而去標識化信息屬于個人信息。
我國個人信息保護法等法律法規雖然未明確規定去標識化信息是否屬于個人信息,但第四條第一款并未排除去標識化信息,且表述為“已識別或者可識別的自然人有關的各種信息”,故借鑒參考歐盟相關規定,將去標識化信息認定為個人信息合乎文本邏輯,也符合實踐要求。
(二)區塊鏈中的信息是否屬于去標識化信息
區塊鏈中的信息并非我們通常所理解的信息形態,而是一串特定長度的字符串,無法單獨用于識別自然人。根據之前我們對匿名化與去標識化的定義可知,若區塊鏈中信息無法用于識別且不能復原,則為匿名化信息,不屬于個人信息;若它可與其他信息結合用于識別,則為去標識化信息,屬于個人信息。下面,我們對交易信息及公鑰是否屬于去標識化信息進行判斷。
1.交易信息
交易信息是經哈希算法得出的特定長度字符串。要判斷交易信息是匿名化信息還是去標識化信息,重要的前提是判斷哈希算法屬于匿名化技術還是去標識化技術。《通知》3.24注1規定,“去標識化仍建立在個體基礎之上,保留了個體顆粒度,采用假名、加密、加鹽的哈希函數等技術手段替代對個人金融信息的標識”。該通知明確將假名、加密、加鹽的哈希函數界定為去標識化信息的技術種類。
2014年歐盟29條數據保護工作組在發布關于匿名化技術的意見中,也明確指出哈希算法是一種去標識化技術,而非匿名化技術。原因在于雖然哈希算法具有單向性不能反推,但如果知道輸入值的范圍,根據哈希值的穩定性(相同的輸入值會導致相同的輸出值),通過“野蠻算法”嘗試所有可能的輸入值,依靠哈希算法的高速運算特點,也可推斷出特定的輸入值。該意見同時認定哈希的其他變種,包括加鹽哈希(salted-hash function)、帶密鑰哈希(keyed-hash function)同樣是去標識化技術,而非匿名化技術。
可見,哈希算法為去標識化技術已經取得一定共識,而且實踐中也出現了利用大數據技術對區塊鏈中的交易歷史信息進行分析并識別用戶的做法,印證了哈希算法僅是去標識化技術,而非匿名化技術。故經哈希算法加密的交易信息應為去標識化信息,屬于個人信息。
2.公鑰
關于這個問題,存在兩種不同的觀點。一種認為,雖然公鑰不能單獨用于識別特定自然人,但與其他信息相結合時,是可能識別出特定自然人的。有研究表明,公鑰結合IP地址可以識別特定自然人,而用戶通常不會隱藏其IP地址。技術實踐中,由于利益驅動等原因,對公鑰、私鑰的破譯技術發展勢頭迅猛,市場上存在大量專業提供破譯服務的公司。同時,由于監管日趨嚴格,為了符合客戶調查(Know Your Clients,下稱“KYC”)、反洗錢(Anti-Money Laundering,下稱“AML”)等監管要求,會要求用戶在鏈上公布更多必要信息,這也讓破譯變得更為容易,如今執法機構在辦案過程中甚至也經常使用破譯技術查找線索、追蹤犯罪嫌疑人等。而另一種觀點則認為,即使存在破譯技術并存在破譯的現實可能,但通常來講,破譯的難度和成本都很高,且往往破譯的結果僅為特定第三方知曉,并未在公共范圍內造成身份信息可識別。
對于這個問題,歐盟法院在Patrick Breyer v Germany案中對動態IP地址是否屬于個人信息的認定有一定參考意義,該案中,法院認為即使動態IP信息僅能被第三方(如網絡服務提供商)利用其結合掌握的其他信息識別特定自然人,仍應被認定為個人信息。該案雖然并不直接涉及公鑰,但動態IP地址與公鑰非常相似,二者同具有信息交換性質,動態IP地址被網絡服務提供商用于識別身份,而公鑰也會被相關機構按照KYC及AML的要求用于識別身份,歐盟法院認定動態IP信息屬于個人信息,對于判斷公鑰是否屬于個人信息有重要參考作用。
從以上個人信息的界定來看,我國個人信息保護法等法律法規僅做了概括性、原則性規定,并不清晰,甚至容易導致歧義。如個人信息保護法第51條規定個人信息處理者“采取相應的加密、去標識化等安全技術措施”,此處將加密與去標識化并列使用,容易理解為去標識化并非一種加密技術,若如此,則經哈希算法得出的交易信息及采用非對稱加密技術的公鑰就并非去標識化信息,而為匿名化信息,不屬于個人信息,這顯然與我們前述分析的結論不同,也不利于將區塊鏈技術納入現有個人信息保護的法律框架中規制。
鑒于區塊鏈中信息的特殊性,法律需要考慮并理解技術的特點及差異,并以此為基礎制定規則,設計不同信息的保護模式。如前文提到的歐盟29條數據保護工作組2014年發布的關于匿名化技術的意見,就對不同技術做出了區分并加以舉例,在明確哈希及其變種算法是一種去標識化技術,而非匿名化技術的同時,亦明確“添加噪音”(noise addition)是一種可被接受的匿名化技術等。我國也可借鑒上述做法,結合技術發展現狀,根據實際情況界定不同技術屬性及法律意義,既能保護、促進創新,又有效規制濫用行為,這對于更好地解決區塊鏈技術中的個人信息保護問題具有重要意義。
三、多樣態“個人信息處理者”
個人信息保護法第73條第1款規定,個人信息處理者,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。在區塊鏈中認定個人信息處理者存在較大困難,緣于區塊鏈中各節點地位對等,承擔的功能相同,并且按照共識算法平等參與決策過程。這與中心化技術存在本質不同,這樣的技術結構也導致區塊鏈中并不存在或者很難找到與中心化技術中心節點類似的個人信息處理者。中心化技術中,中心節點往往就是個人信息處理者,所有信息的存儲與傳輸都要經過該節點,用戶貢獻數據但往往并不參與決策,或者僅參與與其相關的部分決策。
本部分我們將依據第73條中“自主決定處理目的、處理方式”的實質性要求,以是否具有實際控制權作為標準,對區塊鏈結構中存在的不同主體進行具體分析,為區塊鏈中個人信息處理者的認定提供參考。
(一)區塊鏈中的三種主要主體
參考目前區塊鏈技術的發展及應用,可知區塊鏈技術中主要包括三類主體:核心群體、節點控制者與區塊鏈應用程序開發者。
1.核心群體
核心群體是指開發區塊鏈底層架構并制定原則的組織或個人。他們開發了區塊鏈的底層架構,并且制定區塊鏈運行的規則,多數情況下核心群體在區塊鏈初始運行過程中確實掌握了控制權。然而,隨著區塊鏈上節點數目越來越多,去中心化越來越明顯,核心群體對于區塊鏈的控制會越來越弱,控制權會分散至鏈上的每一個節點,包括是否更新、是否修訂規則等都需要各節點參與投票才能決定,往往區塊鏈的核心群體分散在世界各地,他們之間甚至也并不知道對方的真實身份。除初始開發群體外,由于區塊鏈的算法缺陷,還容易出現再度中心化后的“核心群體”。這些經“再度中心化”而產生的核心節點與初始核心群體并不完全相同,但都會在特定時間段享有較其他節點更多的控制權。
2.節點控制者
節點控制者是指區塊鏈中主要從事驗證目的的節點。區塊鏈中的組網方式一般采用對等式網絡(peer-to-peernetwork,P2P網絡),每個節點地位對等且以扁平式拓撲結構相互連通和交互,不存在任何中心化的特殊節點和層級結構。P2P網絡中每個節點都時刻監聽網絡廣播的數據與新區快,接到新數據后,將首先驗證數據的有效性,并將有效交易數據整合到當前區塊中。由于區塊鏈中每個節點地位對等,即使部分節點失效,只要仍存在一個正常運行的節點,主鏈數據就可完全恢復。
對于節點控制者而言,區塊鏈技術使它可以下載使用鏈上完整的交易信息并參與驗證,但無法對整鏈產生實際控制權。
3.區塊鏈應用程序開發者
區塊鏈應用程序開發者是指以區塊鏈為基礎開發去中心化應用程序的組織或個人。區塊鏈應用程序開發者(decentralized application,DApp)以Ethereum(以太坊)為代表,重新定義了智能合約,在區塊鏈系統上進行編程和操作,擴展以區塊鏈技術為基礎的應用程序。若能夠確認是應用程序開發者造成隱私泄露,認定其為個人信息處理者并追責相對容易。然而,DApp的設計開發是仿照區塊鏈進行,故隨著DApp的發展,開發者的控制權也會逐漸減弱并分散至每個節點。
(二)區塊鏈中的三種主體是否構成個人信息處理者
對于區塊鏈中的主體是否可以“自主決定處理目的、處理方式”,是否構成個人信息處理者,主要有以下三種觀點。
第一種觀點認為核心群體應為個人信息處理者,尤其是當該區塊鏈的發展是基于對核心群體的信任時,核心群體應對外承擔責任。第二種觀點則認為區塊鏈中的節點都有可能被認定為個人信息處理者。區塊鏈技術是將保持信息私密性的責任從中心節點轉移至個人用戶。個人用戶掌握私鑰,在其通過對個人信息進行哈希算法處理并添加至區塊鏈上時,表現出對個人數據的控制,可以認定此時個人既是數據主體又是個人信息處理者。如法國的數據保護機構Commission nationale Informatique et Libertés(下稱CNIL),于2018年9月發布“Blockchain: Premiers éléments d’analyse de la CNIL”(《CNIL對區塊鏈與歐盟GDPR的理解》),其中認定凡是能夠在鏈上以商業為目的寫入數據并提交驗證的都是GDPR規定的數據控制者,而對于只參加驗證但不參與交易的并不認定為數據控制者;對智能合約而言,算法設計者將被認定為數據控制者或處理者。
第三種觀點主張通過建立合同確立個人信息處理者,并約定對外承擔責任的方式。核心群體在建立區塊鏈之初,就可根據區塊鏈運行的基本規則制定合同模板,針對各類參與者設計不同條款,使加入者可以明晰自身責任及承擔方式,加入即意味著同意,隨后便可依合同約定執行。當然,這里可能還會涉及“code-as-law”的問題,尤其隨著智能合約的發展,以代碼為代表的規則的確又一次對法律產生了沖擊。
以上觀點都從不同角度切入嘗試解決區塊鏈中個人信息處理者的認定難題,然而截至目前,仍未找到行之有效的解決方法。這一方面與法律滯后的先天不足有關,另一方面也與區塊鏈的復雜程度有關,每一種區塊鏈的應用場景引發的法律問題不一而同,單一的應對方式必然無法滿足需求,這會讓本就困難的問題更加棘手。
(三)我國關于區塊鏈信息服務提供者的特殊規定
國家互聯網信息辦公室于2019年1月10日發布《區塊鏈信息服務管理規定》,其中,第2條第3款規定區塊鏈信息服務提供者是指向社會公眾提供區塊鏈信息服務的主體或者節點,以及為區塊鏈信息服務的主體提供技術支持的機構或者組織;本規定所稱區塊鏈信息服務使用者,是指使用區塊鏈信息服務的組織或者個人。該規定相較個人信息保護法對區塊鏈的規定更加有針對性,也更為明確,但從具體規范來看,該規定重點在于聯盟鏈或私有鏈,并不在于公共鏈。
根據該規定第11條第1款,區塊鏈信息服務提供者應當向國家互聯網信息辦公室履行備案手續。截至2022年3月4日,國家互聯網信息辦公室共發布七批、1705家境內區塊鏈信息服務提供者,觀其主流服務,是以私有鏈或聯盟鏈為基礎,幾乎不涉及公共鏈。同時,該規定第8條要求區塊鏈信息服務提供者對區塊鏈信息服務使用者進行真實身份信息認證,否則不得為其提供相關服務。這種表述仍是以私有鏈或聯盟鏈為前提的,在公共鏈中,該要求難以實現。不過雖然如此,目前國內的區塊鏈實踐中,存在大量“礦池”和“云挖礦”,“礦池”是指個體礦工通過加入礦池參與挖礦活動,按對礦池貢獻來獲得虛擬貨幣獎勵,亦即多人合作挖礦,獲得的虛擬獎勵也由多人按照貢獻度分享。“云挖礦”則是一種通過網絡遠程使用他人的礦機挖礦的服務,也可以理解為一種租賃托管服務。上述基礎設施的運營主體屬于“主體”類信息服務提供者。對這種現象而言,雖然“挖礦”行為多發生在公共鏈上,但由于背后存在一定的組織和共同意志,相當于公共鏈上的“私有鏈”,故也有觀點認為,除聯盟鏈或私有鏈外,該規定對公共鏈上境內節點的監管同樣具有重要意義。
需要進一步指出的是,認定個人信息處理者并非最終目的,最終目的是要讓個人信息處理者承擔責任,而這又會讓情況變得更復雜。如根據個人信息保護法第66條,對個人信息處理者分兩檔處罰,低檔是一百萬以下,高檔是五千萬以下或者上一年度營業額百分之五以下。GDPR第83條(4)也規定企業的最高處罰額為上一年全球總營業額的2%。對區塊鏈而言,節點遍布全球。如果要認定某個節點或多個節點為個人信息處理者并要求其承擔責任,將不得不面臨多地區司法管轄的挑戰,直接影響個人信息保護法律法規中罰則的實現。
四、區塊鏈中的“個人信息處理”
關于區塊鏈中的“個人信息處理”,我們會從三個維度展開討論,一是中心化的個人信息處理原則是否適用,二是個人在區塊鏈中的角色定位,三是通過監管沙盒模式鼓勵區塊鏈中個人信息保護技術發展。
(一)中心化的個人信息處理原則是否適用
根據個人信息保護法第6、7、8、9條,處理個人信息的原則包括目的明確與影響最小原則、公開透明原則、保證個人信息質量原則以及安全原則。以上四項中心化個人信息處理原則在適用于區塊鏈時均會面臨挑戰,我們逐一分析。
1.目的明確與影響最小原則
該原則要求處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。對區塊鏈而言,其最終目的是要實現點對點直接交流,并通過共識機制替代對中心節點的信任,實現去中心化。具體到某個區塊鏈,目的會有所不同。然而,在區塊鏈運行過程中,是否能一直保持處理個人信息的目的都明確合理,卻存在疑問。原因在于區塊鏈的“中心化取代”是以向鏈上所有節點公開信息為對價的,信息公開后,若有節點通過公開信息推斷出更多個人信息并加以利用,則無法確定收集目的,甚至都無法知道何時被收集、被何人收集。
類似地,對影響最小原則而言,由于區塊鏈上的任何節點都可以寫入數據,該數據一旦通過驗證會被所有節點永久儲存,這將無法保證處理個人信息都會采取對個人權益影響最小的方式進行。
但同時,也有觀點認為這與如何認定區塊鏈存儲信息的目的相關。如果認為區塊鏈存儲信息是個人信息保護法第九條中所述“個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全”,那么可以認為區塊鏈永久儲存信息并未違反最小影響原則。
2.公開透明原則
該原則要求公開個人信息處理規則,明示處理的目的、方式和范圍。對區塊鏈而言,可以實現公開個人信息處理規則并對取得信息后各節點如何線下利用做出進一步要求,但正如之前所言,實踐中由于區塊鏈節點數量多且遍布全球,地理位置分散,又很可能處于不同的司法管轄范圍,也不存在有絕對控制權的中心節點,導致節點之間彼此的控制與監督較弱,無法實時掌握各節點處理個人信息的目的、方式和范圍,監管存在困難。
3.保證個人信息質量原則
該原則要求處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響。這一原則對區塊鏈提出了一個重要挑戰。對區塊鏈而言,經算法驗證的是交易是否可以發生,但并不能對交易內容的準確性進行驗證,這意味著如果上鏈時信息就存在錯誤,那么該錯誤信息將由于區塊鏈本身的機制永久留存在鏈上,也就是說,如果上鏈時由于過失或者他人故意,將用戶的錯誤信息上傳,要想更正、補充、刪除個人信息,是存在根本性技術障礙的。這個問題在金融領域中后果可能更為嚴重。這也是為什么在進行有較高風險的金融活動時,通常會要求用戶在上鏈交易前進行KYC、AML等驗證,通過驗證后,該用戶才可上鏈進行特定類型交易。但是,因驗證無法實時更新,仍存在較高風險,也就是說,如果用戶上鏈之后再進行金融犯罪,鏈上仍僅會顯示該用戶剛上鏈時的認證信息,并不會自動更新隨后的犯罪信息。可見,區塊鏈機制導致鏈上節點容易把“錯誤信息誤認為正確信息”,無法從根本上保證個人信息質量,任其發展甚至可能會危及區塊鏈本身的信任基礎。
4.安全原則
該原則要求對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。對區塊鏈而言,最大的安全隱患來自惡意攻擊者,惡意攻擊者也是造成我們前述三個原則適用的主要困難。對此,技術發展遠在法律之前,并為法律完善創造可能、提供空間。這里我們將重點介紹兩類針對惡意攻擊者的技術。
第一類技術旨在提高惡意攻擊者搜集區塊鏈中數據的難度,主要包括三種防御機制:一是限制接入,如私有鏈或者聯盟鏈,須有節點授權才能加入網絡;二是對惡意節點的檢測和屏蔽,通過檢測機制發現惡意節點后加入黑名單,阻止惡意節點繼續搜集敏感信息;三是對網絡層進行加密,如通過洋蔥網絡(Tor)來更好地隱藏IP,防止信息溯源。
第二類是防止惡意節點獲得準確的交易數據,也包括三種:一是數據失真技術,最常見的是“混幣”機制,包括基于中心節點的混幣方法和去中心化的混幣方法。(1)基于中心節點的混幣方法核心特點是混幣過程由第三方節點執行,為克服第三方節點帶來的風險,又發展出中心化混幣方案(mixcoin)、盲簽名技術方案(Blindcoin)等。匿名數字貨幣達世幣(DASH)則通過要求中心節點支付押金的方式來防范中心節點違規操作。(2)去中心化的混幣方法核心特點是混幣過程不需要第三方節點執行,而是將多個交易合并成一個交易,隱藏交易輸入方和輸出方的對應關系,類似地,在此基礎上又發展出改進方案,包括CoinShuffle方案、去中心化混幣協議(Xim)等。門羅幣(Monero)則采用環簽名算法(ring signatures)實現混幣過程,任何一個用戶可以自行實現混幣,能夠有效杜絕去中心化混幣方案面臨的拒絕服務攻擊、混幣參與用戶泄露混幣過程等問題。不過,仍有研究表明,包括CoinJoin在內的混合技術都無法提供真正的匿名化,2017年門羅幣未更新以前通過“chain-reaction”分析得出的用戶數據可達到85%的準確率,為此更新時增加了混幣數量,更新后準確率下降至接近0%。
二是數據加密技術。如前述門羅幣采用的“環簽名算法”還可用于加密,通過將單個交易綁定多個公鑰而隱藏于多個交易中,交易相對方僅知道一個私鑰就可以解開的技術,還將隨機參數與接收方公鑰一起寫入輸出地址,避免發現輸出地址和接收方之間的關系。但這種方式受到質疑。大零幣(ZeroCash)則使用了零知識證明技術zk-SNARK技術,可以讓用戶隱藏自己的ID、交易金額及賬戶余額等重要信息,在允許交易雙方確認互相確實擁有交易所需的信息的同時,拒絕讓雙方知曉具體信息,大零幣被認為控制過強、效率低,擴展性差,且高度匿名化導致存在追責及監管困難等問題。
三是限制發布技術。這種技術往往直接將涉及隱私的數據從鏈上移除,常見方案有:1)閃電網絡,即用戶之間的大部分交易細節在線下執行,只有第一次交易和最后一次交易需要記錄在區塊鏈中;2)聯盟鏈和私有鏈,即只有經授權節點才可接觸區塊鏈數據;3)“修剪”(pruning)鏈上過時的交易信息,但該技術存在較大爭議;4)“變色龍哈希算法”(chameleon-hashes),該技術允許經授權在規則范圍內通過全部公開的方式對鏈上區塊內容進行重寫,但仍無法解決第三方問題和重寫前信息的存儲與利用問題。
綜上,中心化個人信息處理原則適用于區塊鏈技術時存在的困難與挑戰,一方面與技術發展相關,加密與解密之間的關系可以看作是“道高一尺魔高一丈”,完全實現不可破譯的加密技術恐怕很難,但通過提高破譯成本而實現更高程度的保護是可行的;另一方面也與法律規則的滯后性有關,技術總是領跑法律,但法律應適時規制技術發展,讓人做技術的主體,而不是客體。
(二)個人在區塊鏈中的角色定位
根據個人信息保護法第13條、14條、15條及第4章,個人作為信息主體,可以同意/撤回同意處理個人信息,并享有知情權、決定權、查閱復制權利、有限制的轉移個人信息請求權、更正補充刪除請求權、要求個人信息處理者解釋說明的權利等。以個人信息保護法為主體的個人信息保護法律法規中對于個人實現個人信息權益的邏輯是清晰的,即個人要自愿明確地同意個人信息處理者處理其個人信息,在隨后的處理過程中,個人利用享有的多項權利對個人信息處理者的處理行為進行約束,并可隨時撤回同意,以充分實現個人信息權益。然而在區塊鏈中,上述保護路徑同樣將受到挑戰。我們從個人同意與個人權利兩方面進行分析。
1.個人同意
首先討論關于同意的問題。區塊鏈中用戶自愿上傳數據,一旦公開即向全部節點公開(不同于中心化技術中僅向中心化節點公開),那么該公開是否等同于向社會公開,是否會導致再度使用無需經個人同意?個人信息保護法第13條第6款規定“個人自行公開或者其他已經合法公開的個人信息”無需經個人同意,第27條也規定,“個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;個人明確拒絕的除外。個人信息處理者處理已公開的個人信息,對個人權益有重大影響的,應當依照本法規定取得個人同意。”GDPR第9條(1)規定特殊類型個人數據(包括種族、民族、政治觀念、宗教信仰、基因數據、生物識別數據以及和健康、個人性生活或性取向相關的數據)不可處理,第9條(2)(e)規定若是數據主體已經明顯公開(manifestly made public),則第9條(1)規定不適用。GDPR的規定與個人信息保護法類似,但對于如何認定明顯公開并未做進一步解釋。
加拿大《個人信息保護與電子文檔法案》(Personal Information Protection and Electronic Documents Act,下稱PIPEDA)規定了公共電話簿、商業手冊或者報紙、雜志、書籍等公開的信息,屬于已經公開的、再度使用可以不經個人同意的信息。該規定較為明確,但區塊鏈是否可類比報紙、雜志、書籍?如果可以,對個人而言,上傳數據就意味著不再受到保護,而是自己選擇向全鏈公開。如果不可以,再度使用鏈上個人信息仍需獲得同意,那么如何監管并獲得同意又成為亟需解決的問題。
2.個人權利
在區塊鏈中個人行使權利所面臨的第一個障礙來自個人信息處理者的不確定。個人信息保護法第4章規定的各項權利有一個共同特征,都存在一個協助實現個人權利的個人信息處理者,而在區塊鏈中,按照我們前面的分析,認定個人信息處理者存在困難與不確定性,如此,對于區塊鏈中的個人而言,如何實現各項權利同樣存在困難與不確定性。
另外,區塊鏈中各項權利的行使存在技術障礙。如對于更正、補充、刪除請求權的實現,從技術上看,區塊鏈中要實現對存儲信息的更正、補充、刪除,首先需要區塊鏈至少51%的節點同意,同意之后,還需要重建整個區塊鏈以對每個區塊重新寫入數據并驗證,這個過程雖不能說完全無法實現,但成本之高之復雜無法滿足個人信息保護的日常需求。對于知情權、決定權、查閱復制權利等,這些權利的初衷是為了賦予個人獲取自己信息的權利,也是進行更正、補充、刪除的基礎。但在區塊鏈中,困難并不在于個人是否可以要求獲取自己信息,而是獲取了之后也無法更正、補充、刪除,設置這些權利的作用與意義將會大大削弱。
3.離鏈存儲
針對個人同意與個人權利中存在的諸多問題,現有技術中存在初步可行的解決方案,即離鏈存儲。離鏈存儲是通過將數據存儲在線下可信的第三方服務器中,限制鏈上節點對數據的讀取。為保證數據安全、不被篡改,離鏈存儲的數據將生成相關交易的哈希值并公布在鏈上,若鏈下存儲數據發生變化,鏈上哈希值將隨之更改。該技術不只可以更有效地保護數據,還可以降低數據存儲成本,能夠較好地回應我們前面提到的數據更正、補充、刪除問題帶來的挑戰。不過,離鏈存儲也存在爭議,其中最被人詬病的是需要一個可被信任的第三方存儲機構,有觀點認為這將使區塊鏈失去存在意義。針對此,以太坊采用了“狀態通道”(state channels),是一種用于執行交易和其他狀態更新的“離鏈”技術,也就是說,交易的大部分內容僅經區塊鏈認證在線下完成,若出現任何問題,可以回溯到鏈上交易中的“穩定內核”。此外,也有其他無需第三方機構的離鏈存儲技術,包括挑戰-反應模型、離鏈簽名模型、指定計算模型、弱合同痕跡模型、內容尋址存儲模型等,都在回應第三方機構所帶來的質疑。
可以說,個人在區塊鏈中的角色定位與個人信息處理者的認定密切相關,與技術發展密切相關,如若沒有相應規則及技術支持,無論是討論個人同意還是個人權利,都很可能淪為紙上談兵,個人仍舊只能是“被賦予很多權利的弱勢群體”。
(三)通過沙盒監管模式鼓勵區塊鏈中個人信息保護技術發展
區塊鏈作為蓬勃興起的新技術代表,正處在“發育期”,過度壓制將導致失去先機,放任不管則可能釀成禍端。為平衡風險管控與鼓勵創新之間的關系,需要創新監管工具,比較有代表性的新型監管工具包括監管沙盒(Regulatory Sandbox)、創新中心(Innovation Hub)、創新加速器(Innovation Accelerator)等。沙盒監管由英國金融行為監管局(FCA)于2015年最早推出,面向金融創新產品或服務,由監管部門按照適度簡化的準入標準和流程,允許金融科技企業在有限業務牌照下,利用真實或模擬的市場環境開展業務測試。沙盒監管類似我國的試點機制,經測試表明適合全面推廣后,則可依照現行法律法規,進一步獲得全牌照,并納入正常監管范圍。創新中心指監管部門設立的旨在為監管或非監管對象提供指導或支持的機制或場所。創新加速器指金融科技服務提供商與政府部門之間的資金或技術合作安排。在對區塊鏈的監管中,國務院、工業和信息化部、中央網信辦、教育部等多份文件中都提到要基于區塊鏈技術探索沙盒監管等新型監管機制。
在“沙盒監管”模式下,可以充分考慮區塊鏈技術的特征,適當為技術發展留出空間。如個人信息保護法第47條第2款規定,法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。該款中提到的“技術上難以實現”就為技術發展留出了空間,當然,還需要進一步對“技術上難以實現”做出解釋。參考德國為實施GDPR所制定的細則,細則中規定如果刪除信息在技術上不可行,那么限制處理也是可以接受的。法國在“Blockchain: Premiers éléments d’analyse de la CNIL”也提到,控制者通過使數據難以接觸而達到刪除數據的效果。
因此,我們可以利用“沙盒監管”嘗試不同規則,為技術發展留有余地的同時也避免技術發展越界,逐步確定技術與法律達到平衡的最佳實踐。
結語
我國個人信息保護領域以個人信息保護法為基礎構建法律體系,為保護隱私及個人信息構筑了堅實的法律基礎。以區塊鏈為代表的去中心化技術為個人信息保護提供了新的可能,同時也從個人信息的范圍、個人信息處理者的認定到如何處理個人信息等方面,帶來了前所未有的挑戰。技術先行為法律解釋提供了基礎,但同時要意識到的是,無論技術如何發展,都無法保證絕對的隱私與個人信息保護,這就需要合理有效的法律規則,對關鍵問題予以厘清,并通過“沙盒監管”等新型方式為技術發展創造空間,以此逐步確定技術與法律達到平衡的最佳實踐。