推荐语
今年的“3·15晚会”播出,多家企业因存在侵犯消费者权益行为被曝光,比如,曝光了多个知名品牌商采用人脸识别摄像头、非法获取消费者个人信息的行为。
区块链技术的一些特征(如公私钥机制、加密算法等)被认为有利于个人信息保护,但在实践中,区块链分布式和弱中心化的特性,使得个人信息保护相关法律法规要求主体承担的义务和责任很难落实。因此,我们需要对区块链应用于个人信息保护做进一步的思考和探索。
本文系北京高勤律师事务所律师、合伙人 王源 从律师视角对区块链技术应用于个人信息保护的深度思考,原文标题为「《个人信息保护法(草案)》和GDPR对区块链技术的影响」,01区块链授权刊载。
(一)区块链技术
区块链技术本质上是多方实体(节点)为共同目的(应用场景)按照一致规则(共识机制和智能合约)在安全环境(非对称加密)下由各节点(分布式账本)对大量数据进行实时自动化处理(算法)的一种技术。
区块链技术不需要中心化平台信用背书或者作为信息处理中介就能完成交易,是一种去中心化的点对点的分布式信息集成技术,技术内容包括网状多节点达成一致的共识机制、将信息转化为可机读的数据的智能合约、防篡改的时间戳和非对称加密技术等。
基于区块链技术可以开发诸多应用,例如最早期金融领域的比特币等数字货币,除此之外,逐渐广泛用于信息追溯、存证、物流、认证、产权管理等领域,涉及网络科技、医疗、能源、农业、电商、旅游、服务等行业。
(二)个人信息保护法律
《个人信息保护法(草案)》首先对个人信息进行了定义,并对敏感信息进行专门规定,将匿名化信息排除在个人信息之外;其次围绕“告知-同意”设定个人信息的处理规则,也包括目的明确、个人信息处理最小化等原则;再次规定了个人对被收集的信息享有的各种权益,例如查阅、复制、更正、补充、请求删除等;最后与保障个人权利相对应,规定了处理个人信息的公司、平台等主体的义务,包括内部技术和组织措施、敏感信息或者高风险处理行为的事前评估、跨境传输特殊规则等。
《个人信息保护法(草案)》的核心理念内容与制度框架设计与欧盟的GDPR(《通用数据保护条例》)是一致的,GDPR以保护个人根本性权利为出发点,规定了数据控制者和数据处理者应当依照透明度等原则,在获得数据主体同意等情形下和保障个人对数据的充分控制权的前提下,才可以合法处理个人数据。
(三)区块链技术对个人信息保护法律的挑战
区块链技术的核心特征在于点对点的传输机制,并不依赖中心化平台集中处理数据,因此个人信息保护法律要求公司、平台等处理个人信息主体承担的义务和责任将难以落实,因为区块链技术中根本不存在这样的集中处理个人信息的公司、平台等主体。区块链技术通过算法自动进行数据处理和完成交易,从技术实现来讲人为干预越少越好,以提高效率和防止篡改,这和个人对个人信息享有的要求更正、撤回信息等决定和控制权相矛盾。
简单来讲,个人信息保护法律的规定应用于区块链技术时,可能会存在“由谁承担义务”、“向谁主张权利”以及“所主张的权利难以实现”的问题。
(四)区块链技术对个人信息保护法律的促进
区块链技术的一些特征有利于个人信息保护。《数据安全法(草案)》明确要求建立数据溯源制度以追溯个人信息的直接或者间接来源,《网络安全法》和《个人信息保护法(草案)》规定应当防止未经授权访问信息、加密、去标识化、防止信息泄露。区块链技术对节点信息创建和运行进行逐一记录,通过时间戳和多方记账等形式交叉验证保证信息准确性,这些技术特征均有利于个人信息保护。此外,区块链技术对信息的处理全程可追溯,可以增强个人对信息的控制。
(一)个人信息处理者角色定位与责任分配
可问责性和责任制是落实网络安全和个人信息保护制度的核心。《个人信息保护法(草案)》将处理个人信息的主体分为个人信息处理者和接受委托进行处理的受托方,前者指可以自主决定处理目的和方式的组织、个人,后者只能按照个人信息处理者的指示进行处理,此外还涉及因合并、对外共享、嵌入SDK等第三方软件等原因处理信息的第三方,各主体需要承担的义务及责任分担并不相同。《网络安全法》将上述主体统一称为网络运营者,设定了需要统一遵守的网络安全和数据保护义务。GDPR也将处理个人信息的主体区分为信息控制者和信息处理者,但是概念上规定由信息控制者决定处理的目的和方式,对信息控制者设定了较多义务,GDPR将接受委托处理数据一方称为数据处理者,此外但凡接收数据的一方均被统一称为数据接收者。
区块链由提供分布式账本的各节点组成,各节点通过密码算法和分布式存储等点对点处理数据,没有中心化的数据处理者,从这个意义上讲,每一个节点就是数据控制者或者数据处理者。区块链对数据的处理方式高度自动化,使得数据控制者和数据处理者之间的角色分工和界限模糊,同时由于不同节点需要实现不同功能(例如负责账本数据一致性的共识节点和负责账本数据完整性的记账节点),如果要对区块链中各节点的角色分工按照个人信息保护法律的规定,甄别决定处理目的和方式的节点,从而要求承担相应的责任和义务,是非常有难度的。
难以区分区块链节点在信息处理中的角色分工会导致责任划分不清。个人信息保护法律要求能够共同决定信息处理目的和方式的主体承担连带责任,接受委托按照指示处理数据的受托方不能转委托他人处理个人信息,均是建立在对责任主体明确区分的基础上。此外,由于是分布式处理技术,每一个节点可能既是信息控制者或者处理者,又是信息的来源与提供者,使得个人信息保护法律中与控制者或者处理者相对应的个人信息主体之间的概念模糊。无论是中国个人信息保护法律还是GDPR,其信息控制者和处理者既包括单位也包括个人,并未将个人排除在处理者或者控制者之外,因此法律保护的权利主体在区块链技术下可能同时又是义务主体。更进一步,区块链技术通过算法实现,使得这种权利义务实时转化且大量发生,而法律规则具有稳定性,当试图系统性而不仅仅针对个案从法律角度进行角色定位或者规制时,会遇到障碍。
导致这一困境的根本原因在于个人信息保护法律的制度设计是中心化的“伞状”设计,而区块链技术本质上是去中心化的“网状”设计,个人信息保护法律将责任归于集中处理数据的顶端平台,由平台对个人信息主体承担义务,个人信息主体享有权利。而在区块链中不存在这样的集中处理数据平台,由链中节点借助算法,多方协同实现传统中心化平台对数据处理的功能。由于实现功能的方式不一样,将个人信息保护法律设定的责任承担机制平移到区块链中就会遭到挑战。
(二)个人信息处理的原则与合法事由规则
个人信息保护法律要求在最短时间内为特定目的处理最少量的个人信息,且保证数据的真实、准确与安全。《个人信息保护法(草案)》规定的处理个人信息的原则主要包括正当、合法且目的明确,仅处理为实现目的所需要的最少信息,应当保障信息的准确性和及时更新等。GDPR也专门集中规定了个人信息处理原则,包括合法、公平与透明、目的限制、数据处理最小化与准确性、存储期限限制和数据完整性与保密性。
基于以上原则,《个人信息保护法(草案)》规定仅在特定情况下才可以处理个人信息,包括取得个人同意、根据合同或者法律规定、应对紧急情况和以公共利益为目的在特定范围内处理个人信息,对同意规则还进行了细化规定,例如应当确保个人在充分知情的前提下自愿、明确地做出同意等。GDPR也是围绕“告知-同意”设计处理规则,要求在被充分告知的前提下自由地对特定处理行为作出明确的同意。
就“告知-同意”规则和根据合同约定处理而言,区块链技术依赖智能合约在不同的计算机之间达成协议,本质上是一种可自动执行的计算机程序,如同APP通过个人信息保护政策和弹窗告知用户并取得用户同意,智能合约将交易的规则和条件从文字转化为数据并且在计算机之间通话。智能合约还具有可扩展性,可以根据规则创建、编译等。区块链共识机制主要是确保各节点之间的一致性,即各节点同意根据一致规则进行数据处理,不仅需要同意对数据进行处理,还需要同意一致的处理规则。可以看到,在区块链技术中“告知-同意”规则和根据合同约定处理是同步的,但在个人信息保护法律中是不同的处理基础,例如GDPR明确禁止事后选定合法处理的基础,在这种情况下处理个人信息的合法性基础边界非常模糊。
(三)个人信息主体权利
个人信息保护法律最主要的立法目的为保障个人权益,同时促进个人信息合法利用。《个人信息保护法(草案)》赋予个人撤回同意和限制、拒绝处理信息的权利,个人有权查阅、复制个人信息,有权更正和补充个人信息,有权请求删除个人信息。GDPR的规定大致相同,但还包括数据可携带权的规定,可携带权与复制或者访问个人信息权利不同之处在于,可携带权要求数据控制者将数据整理为机器可读的机构化形式,自动传输给个人指定的其他数据接收方。
尽管区块链技术对互操作性的要求有利于诸如可携带权、查询复制权等的实现,但是整体来看个人信息保护法律赋予作为自然人的个人对信息的决定权和控制权会造成人为干扰。个人在信息收集、使用、消失的整个生命周期均可依法主张权利,而区块链却要实现对数据的高度自动化处理并尽量减少人为干预以保障计算效率和准确性。如果个人要求更正、补充、删除个人信息,可能会导致信息的不准确,且信息分散地存储于各个节点,如何广播通知所有节点、且保证各节点均采取一致行动,如何确保节点执行经过机器转化的内容与个人主张的权利一致,各节点是否需要按照数据控制或者受托处理不同要求采取不同行动。
(四)个人信息种类与匿名化
《个人信息保护法(草案)》规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,个人信息中包含种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感信息。经过匿名化处理后的信息不是个人信息。GDPR与此规定大致相同,例如均规定已识别或者可识别个人的才为个人信息,但也有不同,例如强调主要涉及自动化方式处理的信息才适用GDPR的规定,GDPR原则上禁止处理敏感信息,将匿名化信息区分为假名化和匿名化等。
中国个人信息保护法律对个人信息的载体规定更加宽松,包括电子方式体现的个人信息,也包括其他非电子方式体现的个人信息。而区块链中的个人信息均以电子方式体现,当然适用个人信息保护法律。而链下存储的信息有的以电子方式体现,有的可能以手写记录密码等非电子方式体现,也需要适用个人信息保护法律的规定,而GDPR下如果非以自动化方式处理数据又不形成文档的话,是不需要适用GDPR规定的。
匿名性是区块链技术产生的初衷和追求的目标,加密是实现匿名化的一种技术,常用于区块链的加密技术包括非对称加密、同态加密和哈希函数,用于实现不同的识别和验证目的。例如数字货币发行、挖矿和交易中用公钥加密、用私钥解密即为非对称加密的一种。在个人信息保护法律语境下,理论上只要实现匿名化即不为个人信息,不需要经过同意等法定事由就可以进行处理,但实践中实现匿名化的技术除了加密外还有很多种,每种技术可实现的匿名化程度并不一样,例如GDPR规定通过假名化技术对数据进行处理后仍然可以识别到个人,因此不是完全的匿名化,仍然需要适用GDPR的规定。所以,区块链所采用的加密等匿名化技术是否能够满足个人信息保护法律的规定是存疑的,例如加密后的信息是否可逆转重识别个人。
区块链技术的应用涉及大量敏感信息,密码本身就是广义的敏感信息的一种,例如比特币等数字货币的发行和交易就会涉及身份标识、银行账户信息、鉴别信息、电子签名、密码等。数字货币发行和交易本质上就是机器对数据的处理过程。为确保真实性,需要广播至各节点对同一笔交易进行记录并核验,在此过程中涉及个人财务信息的公开、个人匿名身份的标识等,均需考虑到个人信息保护法律的要求而进行特殊保护,例如防止公开特定交易细节或者防止识别用户等。
同时,根据个人信息保护法律,为履行法定义务或者根据法律规定,不经同意也可以或者依法必须处理个人信息。例如反洗钱法要求对用户真实身份进行验证,在中国利用区块链提供信息服务需要满足网络实名制要求。
(五)个人信息处理的技术与组织措施
《个人信息保护法(草案)》和《网络安全法》规定了个人信息处理者和网络运营者应当采取的个人信息安全和保护制度,例如分级分类、去标识化、访问控制、应急预案等,GDPR的总体要求为通过制度设计保障在默认的情形下个人权利得到保护。
根据个人信息保护法律的规定,对于高风险个人信息处理行为需要采取与风险程度相适应的特殊保护措施,高风险个人信息处理行为包括通过对用户打标签、画像、进行自动化决策等,明确要求利用个人信息进行自动化决策前进行风险评估并记录。尽管从技术实现角度区块链需要尽量保持处理的一致性、全自动化和减少人为干预,但是从符合法律规定角度需要考虑合规性,例如中国个人信息保护法律明确要求,个人有权拒绝个人信息处理者仅通过自动化决策的方式做出决定,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。
个人信息的存留期限是个人信息保护法律重点规定的问题,其基本要求为仅在实现目的所需的必要期限内存留信息,根据中国个人信息保护法律的规定,对存留期限的规定为6个月(例如网络日志)至3年(电商商品服务信息、直播信息等)不等。从理论上讲,虽然区块链技术倾向于或者使得信息可以永久留存,但需要考虑法律关于信息存储的规定;此外由于区块链中信息分散存储于各节点,如何通知删除、实现彻底删除也是在编写智能合约设定交易条件时需要考虑的因素。《个人信息保护法(草案)》实际上为技术发展提供了冗余空间,例如规定技术上难以实现删除的,可以采取停止处理个人信息的方式替代删除。
(六)个人信息保护法律的适用范围和跨境传输
虽然网络空间使得物理地域范围变得越来越无意义,但是在现行法律框架规则还是需要得到遵守。《个人信息保护法(草案)》拓展了法律的域外适用范围,除了在中国境内的个人信息处理行为需要遵守法律规定外,境外向境内提供产品或者服务、分析评估境内自然人行为,也需要遵守中国法律规定。GDPR规定类似,即只要在欧洲经济区内设立机构,或者向欧洲经济区内个人提供产品或者服务或者监控其行为,均适用GDPR的规定。
区块链技术是超越国界的技术,例如数字货币等基于区块链的应用甚至超越国家发币主权,实现数据点对点的传输,因此无论公司注册于哪一个国家或者服务器位于哪一个国家,节点参与者来自于世界各国,均有可能被个人信息保护法律确认为面向本国提供商品或者服务。此外,根据中国和欧盟个人信息保护法律的规定,在境外处理境内个人信息,还需要在本国境内设立代表机构。因此,极端情形下,需要逐一考虑每个国家是否有在本地设立代表处的要求,所有国家法律均需要被考虑。
目前根据中国法律的规定通过备案的区块链企业有近千家,包括利用区块链技术的应用和从事区块链技术研发的企业。中国鼓励区块链技术发展,但是全面禁止数字货币发行融资。世界范围内区块链企业包括软件开发者、平台提供者、各行业应用者等等,例如以太坊等提供智能合约底层技术的平台等。从事区块链技术研发或者利用区块链技术开发商品或者提供服务的企业或者平台需要考虑的个人信息保护法律问题包括:
(一)顶层设计选择合规风险小的区块链部署方式
按照行业通行的分类,区块链一般可以分为私有链、联盟链和公有链,从是否需要许可加入节点出发,可分为经许可的链和不用经过许可的链。由于私有链和联盟链限定了节点开放的规模和实体,与任何人均可参与的公有链相比,链上数据更有能在可控范围内进行处理。如果配合许可机制,对节点进行验证和登记,从个人信息保护和可追溯角度,合规符合性更高。
(二)有意识区分区块链中多方主体角色和责任
区块链中存在多方主体,例如软件开发者、平台提供者、记账节点、验证节点、矿工等,如果按照个人信息保护法律的规定,需要一一对应多主体是决定处理目的和方式的一方、接受委托处理数据的一方还是信息被收集或者被处理的用户个人等,才能对权利义务分配和责任承担形成符合法律规定的预设。虽然区块链是通过去中心化方式进行数据处理,开发者、平台方等并不集中存储、管理数据,且开发者、平台方本身是否属于信息控制者或者处理者仍然是需要考虑的因素,但无论如何均需要履行法律规定的信息安全和个人信息保护义务。
(三)考虑需要遵守的法律强制性规定
区块链的技术创新包括匿名交易,匿名交易同时也将带来隐患,例如利用数字货币洗钱。例如,基于区块链技术的数字货币需要考虑“知道你的客户”原则,根据反洗钱法律规定收集客户信息,根据中国网络实名制收集用户手机号码、身份证号码等真实信息,根据中国网络内容生态审核要求对区块链信息发布的内容进行审核。此外,中国法律通常会规定“法律、行政法规另规定的除外”,需要考虑各自行业的特殊规定避免或者必须处理特定信息。
(四)设立人工干预机制
理想状态下的区块链信息全部通过机器进行计算和处理,但是为了满足个人信息保护法律的规定,需要设置适当的人为干预机制,例如当个人主张访问、更正、删除权时可以及时有效响应,在自动化决策中实现人工审核纠正机制。在编写智能合约时需要提前考虑,如果链上信息打上时间戳后无法直接更正、删除,需要通过增加代码方式改写信息,确保准确性。
(五)采用适当技术和组织措施
单一和孤立的技术措施或者组织措施无法实现个人信息保护,也满足不了法律的要求。例如,通过非对称加密匿名化技术对信息进行加密后,如果不采取限定访问控制、分开存储信息等组织措施,其信息是可以再识别到个人的。再如,为了避免违反个人信息保护法律,可以对个人信息进行分级分类,对于识别个人可能性大的信息或者敏感信息,仅在链下存储。
作为典型的颠覆性技术,区块链技术实际上顺应了科技发展使得生产生活虚拟化的趋势,并且进一步弱化工业时代作为信用背书和信息中介平台的功能,实现针对每一个节点的个性化和点对点定制化的信息处理。但是区块链技术还在发展之中,许多应用处于未知状态。同时,网络发展使得大量收集个人信息成为现实,利用个人信息可以深度发掘人的需求实现商业价值,才使得通过法律对个人信息进行专门保护成为必要。可以看出,区块链技术和个人信息保护法律均处于发展的过程中,因此交界处的冲撞无法避免。区块链技术以节点利用机器对数据进行去中心化处理为特征,而个人信息保护法律以数据控制和处理者集中化对人的信息进行处理为逻辑,个人信息保护法律是以人为中心设计的制度,而区块链以机器、程序、算法为中心,现实生活中的人在网络空间中抽象为节点。虽然区块链技术和个人信息保护法律的相互影响还有待观察,但是现行的区块链技术发展仍然需要考虑和满足个人信息保护法律的要求。
参考资料:
1、《个人信息保护法(草案)》,全国人大常委会,2020年10月
2、《数据安全法(草案)》,全国人大常委会,2020年7月
3、《民法典》,全国人民代表大会,2020年5月
4、《区块链信息服务管理规定》,国家互联网信息办公室,2019年2月
5、《信息安全技术 区块链信息服务安全规范(征求意见稿)》,全国信息安全标准化技术委员会,2021年1月
6、《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019),全国信息安全标准化技术委员会,2020年3月
7、JT/T 0184—2020《金融分布式账本技术安全规范》,中国人民银行,2020年2月
8、《区块链司法存证应用白皮书(1.0)》,可信区块链推进计划,2019年6月
9、《区块链安全白皮书(1.0)》,可信区块链推进计划,2018年12月
10、朱嘉明、李晓:《数字货币蓝皮书(2020)》,中国工人出版社2021年版
11、The Impact of Data Protection Regulations on the Blockchain Ecosystem, International Association for Trusted Blockchain Applications, November 2020
12、ISO 22739—2020 Blockchain and distributed ledger technologies — Vocabulary, ISO, July 2020
13、Blockchain and the General Data Protection Regulation, EPRS, July 2019
14、Blockchain and the GDPR: Solutions for a responsible use of the blockchain in the context of personal data, CNIL, September 2018
15、Article 29 Data Protection Working Party, ‘Opinion 05/2014 on Anonymisation Techniques’, (2014) WP 216 《关于匿名化技术的意见》
作者简介:
王源律师,北京高勤律师事务所合伙人。在中国提供法律咨询近 20 年,擅长处理数据合规、一般公司业务和外商投资业务。
王源律师自2012年开始提供网络安全和数据保护法律服务,具有为高科技行业提供法律服务的丰富经验。王源律师同时具备跨国公司内部法律顾问及中国、美国和英国律师事务所工作经验。入选北京市律师协会涉外律师人才库,担任广州大学法学院实践教授,为北京律师协会信息网络与电信邮政法律专业委员会委员。
编审 | 照生、雨林
排版 | 梓琳