推荐语
今年的“3·15晚会”播出,多家企业因存在侵犯消费者权益行为被曝光,比如,曝光了多个知名品牌商采用人脸识别摄像头、非法获取消费者个人信息的行为。
区块链技术的一些特征(如公私钥机制、加密算法等)被认为有利于个人信息保护,但在实践中,区块链分布式和弱中心化的特性,使得个人信息保护相关法律法规要求主体承担的义务和责任很难落实。因此,我们需要对区块链应用于个人信息保护做进一步的思考和探索。
区块链技术和个人信息保护法律的基本概念
(一)区块链技术
区块链技术本质上是多方实体(节点)为共同目的(应用场景)按照一致规则(共识机制和智能合约)在安全环境(非对称加密)下由各节点(分布式账本)对大量数据进行实时自动化处理(算法)的一种技术。
区块链技术不需要中心化平台信用背书或者作为信息处理中介就能完成交易,是一种去中心化的点对点的分布式信息集成技术,技术内容包括网状多节点达成一致的共识机制、将信息转化为可机读的数据的智能合约、防篡改的时间戳和非对称加密技术等。
(二)个人信息保护法律
《个人信息保护法(草案)》首先对个人信息进行了定义,并对敏感信息进行专门规定,将匿名化信息排除在个人信息之外;其次围绕“告知-同意”设定个人信息的处理规则,也包括目的明确、个人信息处理最小化等原则;再次规定了个人对被收集的信息享有的各种权益;最后与保障个人权利相对应,规定了处理个人信息的公司、平台等主体的义务。
(三)区块链技术对个人信息保护法律的挑战
区块链技术的核心特征在于点对点的传输机制,并不依赖中心化平台集中处理数据,因此个人信息保护法律要求公司、平台等处理个人信息主体承担的义务和责任将难以落实,因为区块链技术中根本不存在这样的集中处理个人信息的公司、平台等主体。区块链技术通过算法自动进行数据处理和完成交易,从技术实现来讲人为干预越少越好,以提高效率和防止篡改,这和个人对个人信息享有的要求更正、撤回信息等决定和控制权相矛盾。
简单来讲,个人信息保护法律的规定应用于区块链技术时,可能会存在“由谁承担义务”、“向谁主张权利”以及“所主张的权利难以实现”的问题。
(四)区块链技术对个人信息保护法律的促进
区块链技术的一些特征有利于个人信息保护。《数据安全法(草案)》明确要求建立数据溯源制度以追溯个人信息的直接或者间接来源,《网络安全法》和《个人信息保护法(草案)》规定应当防止未经授权访问信息、加密、去标识化、防止信息泄露。区块链技术对节点信息创建和运行进行逐一记录,通过时间戳和多方记账等形式交叉验证保证信息准确性,这些技术特征均有利于个人信息保护。此外,区块链技术对信息的处理全程可追溯,可以增强个人对信息的控制。
区块链技术适用个人信息保护法律的主要问题
(一)个人信息处理者角色定位与责任分配
可问责性和责任制是落实网络安全和个人信息保护制度的核心。《个人信息保护法(草案)》将处理个人信息的主体分为个人信息处理者和接受委托进行处理的受托方,此外还涉及因合并、对外共享、嵌入SDK等第三方软件等原因处理信息的第三方,各主体需要承担的义务及责任分担并不相同。《网络安全法》将上述主体统一称为网络运营者,设定了需要统一遵守的网络安全和数据保护义务。
区块链由提供分布式账本的各节点组成,各节点通过密码算法和分布式存储等点对点处理数据,没有中心化的数据处理者,从这个意义上讲,每一个节点就是数据控制者或者数据处理者。区块链对数据的处理方式高度自动化,使得数据控制者和数据处理者之间的角色分工和界限模糊,如果要对区块链中各节点的角色分工按照个人信息保护法律的规定,甄别决定处理目的和方式的节点,从而要求承担相应的责任和义务,是非常有难度的。
难以区分区块链节点在信息处理中的角色分工会导致责任划分不清。个人信息保护法律要求能够共同决定信息处理目的和方式的主体承担连带责任,此外,由于是分布式处理技术,每一个节点可能既是信息控制者或者处理者,又是信息的来源与提供者,使得个人信息保护法律中与控制者或者处理者相对应的个人信息主体之间的概念模糊。
(二)个人信息处理的原则与合法事由规则
个人信息保护法律要求在最短时间内为特定目的处理最少量的个人信息,且保证数据的真实、准确与安全。
基于以上原则,《个人信息保护法(草案)》规定仅在特定情况下才可以处理个人信息,包括取得个人同意、根据合同或者法律规定、应对紧急情况和以公共利益为目的在特定范围内处理个人信息,对同意规则还进行了细化规定。
就“告知-同意”规则和根据合同约定处理而言,区块链技术依赖智能合约在不同的计算机之间达成协议,本质上是一种可自动执行的计算机程序,如同APP通过个人信息保护政策和弹窗告知用户并取得用户同意,智能合约将交易的规则和条件从文字转化为数据并且在计算机之间通话。
(三)个人信息主体权利
个人信息保护法律最主要的立法目的为保障个人权益,同时促进个人信息合法利用。个人在信息收集、使用、消失的整个生命周期均可依法主张权利,而区块链却要实现对数据的高度自动化处理并尽量减少人为干预以保障计算效率和准确性。如果个人要求更正、补充、删除个人信息,可能会导致信息的不准确,且信息分散地存储于各个节点,如何广播通知所有节点、且保证各节点均采取一致行动,如何确保节点执行经过机器转化的内容与个人主张的权利一致,各节点是否需要按照数据控制或者受托处理不同要求采取不同行动。
(四)个人信息种类与匿名化
《个人信息保护法(草案)》规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,个人信息中包含种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感信息。经过匿名化处理后的信息不是个人信息。
匿名性是区块链技术产生的初衷和追求的目标,加密是实现匿名化的一种技术,常用于区块链的加密技术包括非对称加密、同态加密和哈希函数,用于实现不同的识别和验证目的。例如数字货币发行、挖矿和交易中用公钥加密、用私钥解密即为非对称加密的一种。
区块链技术的应用涉及大量敏感信息,密码本身就是广义的敏感信息的一种,数字货币发行和交易本质上就是机器对数据的处理过程。为确保真实性,需要广播至各节点对同一笔交易进行记录并核验,在此过程中涉及个人财务信息的公开、个人匿名身份的标识等,均需考虑到个人信息保护法律的要求而进行特殊保护,例如防止公开特定交易细节或者防止识别用户等。
同时,根据个人信息保护法律,为履行法定义务或者根据法律规定,不经同意也可以或者依法必须处理个人信息。例如反洗钱法要求对用户真实身份进行验证,在中国利用区块链提供信息服务需要满足网络实名制要求。
(五)个人信息处理的技术与组织措施
根据个人信息保护法律的规定,对于高风险个人信息处理行为需要采取与风险程度相适应的特殊保护措施,。尽管从技术实现角度区块链需要尽量保持处理的一致性、全自动化和减少人为干预,但是从符合法律规定角度需要考虑合规性。
个人信息的存留期限是个人信息保护法律重点规定的问题,其基本要求为仅在实现目的所需的必要期限内存留信息,根据中国个人信息保护法律的规定,对存留期限的规定为6个月(例如网络日志)至3年(电商商品服务信息、直播信息等)不等。从理论上讲,虽然区块链技术倾向于或者使得信息可以永久留存,但需要考虑法律关于信息存储的规定;此外由于区块链中信息分散存储于各节点,如何通知删除、实现彻底删除也是在编写智能合约设定交易条件时需要考虑的因素。
(六)个人信息保护法律的适用范围和跨境传输
虽然网络空间使得物理地域范围变得越来越无意义,但是在现行法律框架规则还是需要得到遵守。
区块链技术是超越国界的技术,例如数字货币等基于区块链的应用甚至超越国家发币主权,实现数据点对点的传输,因此无论公司注册于哪一个国家或者服务器位于哪一个国家,节点参与者来自于世界各国,均有可能被个人信息保护法律确认为面向本国提供商品或者服务。
区块链技术适用个人信息保护法律的合规建议
目前根据中国法律的规定通过备案的区块链企业有近千家,包括利用区块链技术的应用和从事区块链技术研发的企业。从事区块链技术研发或者利用区块链技术开发商品或者提供服务的企业或者平台需要考虑的个人信息保护法律问题包括:
1、顶层设计选择合规风险小的区块链部署方式
2、有意识区分区块链中多方主体角色和责任
3、考虑需要遵守的法律强制性规定
4、设立人工干预机制
5、采用适当技术和组织措施
区块链技术和个人信息保护法律的总结展望
作为典型的颠覆性技术,区块链技术实际上顺应了科技发展使得生产生活虚拟化的趋势,并且进一步弱化工业时代作为信用背书和信息中介平台的功能,实现针对每一个节点的个性化和点对点定制化的信息处理。区块链技术以节点利用机器对数据进行去中心化处理为特征,而个人信息保护法律以数据控制和处理者集中化对人的信息进行处理为逻辑,个人信息保护法律是以人为中心设计的制度,而区块链以机器、程序、算法为中心,现实生活中的人在网络空间中抽象为节点。虽然区块链技术和个人信息保护法律的相互影响还有待观察,但是现行的区块链技术发展仍然需要考虑和满足个人信息保护法律的要求。
END