李青
四川大学博士研究生,中国法学交流基金会助理研究员
要目
一、问题的提出
二、再认识“个人信息”
三、多样态“个人信息处理者”
四、区块链中的“个人信息处理”
结语
我国个人信息保护以个人信息保护法为基础构建法律体系,为保护隐私及个人信息构筑了坚实的法律基础。不过,随着区块链技术的蓬勃发展,也带来了新的个人信息保护问题,从个人信息的范围、个人信息处理者的认定到如何处理个人信息,都面临诸多挑战。技术先行为法律解释提供了基础,法律规则也要通过“沙盒监管”等新型方式为技术发展创造空间,以此逐步确定技术与法律达到平衡的最佳实践。
一、问题的提出
年8月20日,我国第十三届全国人大常委会第三十次会议审议通过了我国个人信息保护法,并于年11月1日起施行,该法构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。以个人信息保护法为代表的个人信息保护法律法规,均主要适用于中心化信息处理技术中的个人信息保护,尤其针对用户数量巨大、业务类型复杂的互联网平台,通过规制个人信息处理者行为并施以相应义务,结合对个人赋权两方面实现个人信息保护。然而,这一模式在适用于以去中心化为主要特点的区块链技术时,会面临诸多挑战。
区块链技术最突出之处是通过高透明度、不可更改、分布式容错等特性实现了“去中心化”的信任。它一方面通过非对称加密/公开与分布式存储,设计出与中心化技术不同的信息保护模式,使得用户可以直接交易,不受中心节点的控制,并赋予用户向谁披露何种信息的控制权,既保护隐私也防止身份盗窃,甚至可以帮助创建、管理、使用“用户身份”。另一方面,区块链不同于中心化技术以信任为基础,而以透明为基础。透明与隐私、个人信息保护之间必然存在张力,即虽然区块链相比其他技术可以赋予个人更多控制权,并实现有选择的分享,然而一旦信息公开,则有权限的主体可以复制并永久存储、利用该信息,不受数据主体控制,信息泄露的后果可能十分严重。同时,由于链上信息更改难度大成本高,会对用户更正、补充、删除已上传的错误信息、过时信息等构成难以逾越的技术障碍。
鉴于此,本文将以个人信息保护法为主体,结合国家网信部门等发布的个人信息保护相关规定,论述区块链技术中的个人信息保护问题。为便于讨论,先对三组概念的含义进行说明。
一是分布式账本与区块链。严格来讲,这两个概念所包括的范围从大到小依次应为分布式账本、区块链。分布式账本包括多种使网络系统在分散决策非常困难的情况下就所需的状态或意见达成一致的共识,区块链为其中一种共识(也称中本聪共识),还有其他共识如tangle。实际应用中,对于“区块链”的使用经常会包括像tangle这样的并不会在节点内存储数据的分布式账本,由于技术发展的不确定性及边界模糊性,同时为方便起见,本文不对分布式账本与区块链作严格区分。
二是公共链(publicblockchains)、私有链(privateblockchains)及联盟链(hybridblockchains)。这是根据区块或节点参与链及读取数据的方式不同所作的分类。公共链是指任何人都可以读取、添加链上数据,链上的任何节点均可参与数据的验证和共识过程。私有链则是完全中心化的区块链,适用于特定机构的内部数据管理与审计等,其写入权限由中心机构控制,而读取权限可视需求有选择性地对外开放。联盟链是由达成共识的多个实体组成,只有部分节点可以添加数据,读取数据的权限视情况而定。鉴于公共链最具有代表性及开创性,本文将重点讨论公共链。
三是个人信息、隐私、数据。我国民法学领域对这三个概念,尤其是隐私与个人信息之间已经有很多讨论,并对二者之间应分别保护达成共识,民法典和个人信息保护法的通过实施也从立法层面认可了隐私权与个人信息之间存在区别。从比较法上看,个人信息与隐私之间一元化与二元化的选择也一直处于争议与困境中。本文讨论重点并非三者之间的区别,而是区块链技术所带来的挑战,故不对个人信息、隐私、数据作严格区分。
厘清上述概念后,我们将从以下三个方面具体分析区块链技术中的个人信息保护问题:一是如何界定个人信息的范围,二是如何认定个人信息处理者,最后对区块链个人信息处理活动中涉及的个人信息处理原则、个人角色定位及监管等问题进行论述。
二、再认识“个人信息”
个人信息保护法第4条第1款规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”这里的关键词应为“识别”。“识别”能力随着技术的不断发展而日益增强,与之相应的,“个人信息”的范围也越来越宽泛,从传统的能够直接识别特定自然人的信息,如姓名、身份证号码、家庭地址、电话号码等,到电子邮箱、通信记录、网络交易信息、上网浏览痕迹、网络社交媒体留言、行踪轨迹、脸部特征信息等过去或不存在,或无法被收集和存储的信息,都因其技术上“可识别”而被认定为个人信息。
区块链中的信息,因其特殊的表现形式(通常为一串特定长度的数字字母组合),将再一次挑战我们对“个人信息”的理解。根据区块链技术结构,区块链中的信息主要包括:1)区块头(header)信息,包括当前版本号(version)、前一区块地址(pre-block)、当前区块的目标哈希值(bits)以及时间戳(timestamp)等;2)区块体(body)信息,包括当前区块的交易数量以及经过验证的、区块创建过程中生成的所有交易记录及交易记录背后的知识,通常采用哈希算法(sha)进行加密,编码为特定长度的字符串计入区块链;3)身份信息,是指用户身份和区块链地址之间的关联关系。区块链中为满足安全性、最大程度保护数据,会采用非对称加密技术进行加密,即在加密和解密过程中使用两个非对称的密码,私钥和公钥,私钥类似于银行账户密码,除了用户本人外别人并不知道,而公钥类似于银行账户,会在区块链公开,表明了用户身份和区块链地址之间的关联关系,为身份信息。
上述三种信息中,与个人相关的为后两种信息,即区块体中的交易信息与公钥。要判断此两种信息是否属于“个人信息”,即需要判断上述信息是否存在“识别”的可能。对“识别”的判断要依据个人信息保护法第73条,该条规定了个人信息的去标识化(pseudonymization)与匿名化(anonymization)。去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。结合个人信息保护法第4条第1款,可知匿名化信息不是个人信息。因此,要判断区块链中的信息是否为个人信息需要回答两个问题:一是去标识化信息是否属于个人信息;二是区块链中的信息是否属于去标识化信息。
去标识化信息是否属于个人信息
我国个人信息保护法中并未予以明确,仅对匿名化与去标识化进行概念区分。年2月中国人民银行发布《金融行业标准做好个人金融信息保护技术管理工作的通知》(下称《通知》),同样未明确匿名化与去标识化的不同法律意义,亦未明确去标识化信息是否属于个人信息。
参考欧盟年发布的generaldataprotectionregulation(下称“gdpr”),其第4条(1)规定,个人数据是指任何已识别或可识别的自然人(“数据主体”)相关的信息:一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所持有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。序言第26条(recital26.)规定,经过去标识化处理的个人数据(如果结合其他数据)仍然有识别到具体自然人的可能性,属于gdpr定义的个人数据,只有匿名化数据不属于gdpr定义的个人数据。可知,gdpr明确规定,匿名化信息不是个人信息,而去标识化信息属于个人信息。
我国个人信息保护法等法律法规虽然未明确规定去标识化信息是否属于个人信息,但第四条第一款并未排除去标识化信息,且表述为“已识别或者可识别的自然人有关的各种信息”,故借鉴参考欧盟相关规定,将去标识化信息认定为个人信息合乎文本逻辑,也符合实践要求。
区块链中的信息是否属于去标识化信息
区块链中的信息并非我们通常所理解的信息形态,而是一串特定长度的字符串,无法单独用于识别自然人。根据之前我们对匿名化与去标识化的定义可知,若区块链中信息无法用于识别且不能复原,则为匿名化信息,不属于个人信息;若它可与其他信息结合用于识别,则为去标识化信息,属于个人信息。下面,我们对交易信息及公钥是否属于去标识化信息进行判断。
1.交易信息
交易信息是经哈希算法得出的特定长度字符串。要判断交易信息是匿名化信息还是去标识化信息,重要的前提是判断哈希算法属于匿名化技术还是去标识化技术。《通知》3.24注1规定,“去标识化仍建立在个体基础之上,保留了个体颗粒度,采用假名、加密、加盐的哈希函数等技术手段替代对个人金融信息的标识”。该通知明确将假名、加密、加盐的哈希函数界定为去标识化信息的技术种类。
年欧盟29条数据保护工作组在发布关于匿名化技术的意见中,也明确指出哈希算法是一种去标识化技术,而非匿名化技术。原因在于虽然哈希算法具有单向性不能反推,但如果知道输入值的范围,根据哈希值的稳定性(相同的输入值会导致相同的输出值),通过“野蛮算法”尝试所有可能的输入值,依靠哈希算法的高速运算特点,也可推断出特定的输入值。该意见同时认定哈希的其他变种,包括加盐哈希(salted-hashfunction)、带密钥哈希(keyed-hashfunction)同样是去标识化技术,而非匿名化技术。
可见,哈希算法为去标识化技术已经取得一定共识,而且实践中也出现了利用大数据技术对区块链中的交易历史信息进行分析并识别用户的做法,印证了哈希算法仅是去标识化技术,而非匿名化技术。故经哈希算法加密的交易信息应为去标识化信息,属于个人信息。
2.公钥
关于这个问题,存在两种不同的观点。一种认为,虽然公钥不能单独用于识别特定自然人,但与其他信息相结合时,是可能识别出特定自然人的。有研究表明,公钥结合ip地址可以识别特定自然人,而用户通常不会隐藏其ip地址。技术实践中,由于利益驱动等原因,对公钥、私钥的破译技术发展势头迅猛,市场上存在大量专业提供破译服务的公司。同时,由于监管日趋严格,为了符合客户调查(knowyourclients,下称“kyc”)、反洗钱(anti-moneylaundering,下称“aml”)等监管要求,会要求用户在链上公布更多必要信息,这也让破译变得更为容易,如今执法机构在办案过程中甚至也经常使用破译技术查找线索、追踪犯罪嫌疑人等。而另一种观点则认为,即使存在破译技术并存在破译的现实可能,但通常来讲,破译的难度和成本都很高,且往往破译的结果仅为特定第三方知晓,并未在公共范围内造成身份信息可识别。
对于这个问题,欧盟法院在patrickbreyervgermany案中对动态ip地址是否属于个人信息的认定有一定参考意义,该案中,法院认为即使动态ip信息仅能被第三方(如网络服务提供商)利用其结合掌握的其他信息识别特定自然人,仍应被认定为个人信息。该案虽然并不直接涉及公钥,但动态ip地址与公钥非常相似,二者同具有信息交换性质,动态ip地址被网络服务提供商用于识别身份,而公钥也会被相关机构按照kyc及aml的要求用于识别身份,欧盟法院认定动态ip信息属于个人信息,对于判断公钥是否属于个人信息有重要参考作用。
从以上个人信息的界定来看,我国个人信息保护法等法律法规仅做了概括性、原则性规定,并不清晰,甚至容易导致歧义。如个人信息保护法第51条规定个人信息处理者“采取相应的加密、去标识化等安全技术措施”,此处将加密与去标识化并列使用,容易理解为去标识化并非一种加密技术,若如此,则经哈希算法得出的交易信息及采用非对称加密技术的公钥就并非去标识化信息,而为匿名化信息,不属于个人信息,这显然与我们前述分析的结论不同,也不利于将区块链技术纳入现有个人信息保护的法律框架中规制。
鉴于区块链中信息的特殊性,法律需要考虑并理解技术的特点及差异,并以此为基础制定规则,设计不同信息的保护模式。如前文提到的欧盟29条数据保护工作组年发布的关于匿名化技术的意见,就对不同技术做出了区分并加以举例,在明确哈希及其变种算法是一种去标识化技术,而非匿名化技术的同时,亦明确“添加噪音”(noiseaddition)是一种可被接受的匿名化技术等。我国也可借鉴上述做法,结合技术发展现状,根据实际情况界定不同技术属性及法律意义,既能保护、促进创新,又有效规制滥用行为,这对于更好地解决区块链技术中的个人信息保护问题具有重要意义。
三、多样态“个人信息处理者”
个人信息保护法第73条第1款规定,个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。在区块链中认定个人信息处理者存在较大困难,缘于区块链中各节点地位对等,承担的功能相同,并且按照共识算法平等参与决策过程。这与中心化技术存在本质不同,这样的技术结构也导致区块链中并不存在或者很难找到与中心化技术中心节点类似的个人信息处理者。中心化技术中,中心节点往往就是个人信息处理者,所有信息的存储与传输都要经过该节点,用户贡献数据但往往并不参与决策,或者仅参与与其相关的部分决策。
本部分我们将依据第73条中“自主决定处理目的、处理方式”的实质性要求,以是否具有实际控制权作为标准,对区块链结构中存在的不同主体进行具体分析,为区块链中个人信息处理者的认定提供参考。
区块链中的三种主要主体
参考目前区块链技术的发展及应用,可知区块链技术中主要包括三类主体:核心群体、节点控制者与区块链应用程序开发者。
1.核心群体
核心群体是指开发区块链底层架构并制定原则的组织或个人。他们开发了区块链的底层架构,并且制定区块链运行的规则,多数情况下核心群体在区块链初始运行过程中确实掌握了控制权。然而,随着区块链上节点数目越来越多,去中心化越来越明显,核心群体对于区块链的控制会越来越弱,控制权会分散至链上的每一个节点,包括是否更新、是否修订规则等都需要各节点参与投票才能决定,往往区块链的核心群体分散在世界各地,他们之间甚至也并不知道对方的真实身份。除初始开发群体外,由于区块链的算法缺陷,还容易出现再度中心化后的“核心群体”。这些经“再度中心化”而产生的核心节点与初始核心群体并不完全相同,但都会在特定时间段享有较其他节点更多的控制权。
2.节点控制者
节点控制者是指区块链中主要从事验证目的的节点。区块链中的组网方式一般采用对等式网络(peer-to-peernetwork,p2p网络),每个节点地位对等且以扁平式拓扑结构相互连通和交互,不存在任何中心化的特殊节点和层级结构。p2p网络中每个节点都时刻监听网络广播的数据与新区快,接到新数据后,将首先验证数据的有效性,并将有效交易数据整合到当前区块中。由于区块链中每个节点地位对等,即使部分节点失效,只要仍存在一个正常运行的节点,主链数据就可完全恢复。
对于节点控制者而言,区块链技术使它可以下载使用链上完整的交易信息并参与验证,但无法对整链产生实际控制权。
3.区块链应用程序开发者
区块链应用程序开发者是指以区块链为基础开发去中心化应用程序的组织或个人。区块链应用程序开发者(decentralizedapplication,dapp)以ethereum(以太坊)为代表,重新定义了智能合约,在区块链系统上进行编程和操作,扩展以区块链技术为基础的应用程序。若能够确认是应用程序开发者造成隐私泄露,认定其为个人信息处理者并追责相对容易。然而,dapp的设计开发是仿照区块链进行,故随着dapp的发展,开发者的控制权也会逐渐减弱并分散至每个节点。
区块链中的三种主体是否构成个人信息处理者
对于区块链中的主体是否可以“自主决定处理目的、处理方式”,是否构成个人信息处理者,主要有以下三种观点。
第一种观点认为核心群体应为个人信息处理者,尤其是当该区块链的发展是基于对核心群体的信任时,核心群体应对外承担责任。第二种观点则认为区块链中的节点都有可能被认定为个人信息处理者。区块链技术是将保持信息私密性的责任从中心节点转移至个人用户。个人用户掌握私钥,在其通过对个人信息进行哈希算法处理并添加至区块链上时,表现出对个人数据的控制,可以认定此时个人既是数据主体又是个人信息处理者。如法国的数据保护机构
