请选(xuǎn)择 进入手机版 | 继续访问电脑版(bǎn)
首页 区块链生态 查看内容
  • 16191
  • 0
  • 分享到

李青|区块(kuài)链技术中的个人信(xìn)息保护问题研究

2022-8-16 10:38

来源: 上海市法学会

李青

四川大学博(bó)士研(yán)究生(shēng),中国法学交流基金会助理研究员(yuán)

要目(mù)

一、问题的提出

二、再认识“个人信息(xī)”

三、多(duō)样态“个人信息处(chù)理者”

四(sì)、区块链(liàn)中的“个(gè)人(rén)信息处理”

结语

我国(guó)个人信(xìn)息保护以个人信息保护法为基础构建法(fǎ)律体系,为保护隐私及个(gè)人信息构筑了坚(jiān)实的法律基础。不过,随着区块链技术的蓬勃发(fā)展,也带来了新的(de)个人信息保护问题(tí),从个人(rén)信(xìn)息(xī)的范围(wéi)、个人信(xìn)息处(chù)理者的(de)认定(dìng)到(dào)如何处理个人信息,都面(miàn)临(lín)诸多(duō)挑(tiāo)战。技(jì)术先(xiān)行为(wéi)法律解释提供了基(jī)础,法律规则也要通(tōng)过“沙盒监管”等新(xīn)型方式为技术发展(zhǎn)创造空间,以(yǐ)此逐步(bù)确定技术与法律达到(dào)平(píng)衡的(de)最佳实(shí)践。

问题的提出

2021年8月20日,我国第十(shí)三(sān)届全国人(rén)大常委会第(dì)三十次会议(yì)审议通过了(le)我(wǒ)国个人信息保护法,并于2021年11月1日起(qǐ)施(shī)行,该法(fǎ)构建了(le)权责明确、保护有效、利用(yòng)规范的个人信息处理和保护制度规则。以个人信息保护法为代表的个人信息保护法律法规,均主要适用于(yú)中心化信息(xī)处理技术中的个(gè)人信息保护,尤其针对用户数量巨(jù)大、业务类型(xíng)复杂的互联网平台,通过规制个人信息处(chù)理(lǐ)者行为并施以相应义务,结合对个人赋权两(liǎng)方(fāng)面(miàn)实现个人信息保(bǎo)护。然而,这一模式在适用于以(yǐ)去(qù)中心化(huà)为(wéi)主要特点的区块链技术时(shí),会面(miàn)临(lín)诸(zhū)多(duō)挑战。

区(qū)块链(liàn)技术最突出之处是(shì)通过高(gāo)透明度、不可更改、分布式容错(cuò)等特性实(shí)现了“去(qù)中心化”的信任。它一方面通过非对(duì)称加密/公开与分布式(shì)存储,设计出与(yǔ)中心化技术不同的(de)信(xìn)息保护模(mó)式,使得用户可(kě)以直接交易,不受中心节点的控制,并赋予用户(hù)向谁披露何(hé)种信息的控制(zhì)权,既保(bǎo)护隐私(sī)也(yě)防(fáng)止身份盗(dào)窃,甚至可以帮助(zhù)创建、管(guǎn)理(lǐ)、使(shǐ)用(yòng)“用(yòng)户(hù)身份”。另一(yī)方面,区(qū)块链(liàn)不同于中心化技术以信任为基(jī)础,而以透明为基(jī)础。透明(míng)与隐私、个人(rén)信息保护之间必然存在张(zhāng)力,即虽(suī)然区块链相比其(qí)他(tā)技术可以(yǐ)赋予(yǔ)个人更多控制权,并实现有选择的分享(xiǎng),然而一(yī)旦信息(xī)公开,则有(yǒu)权限的主体可以复(fù)制并永久存储(chǔ)、利(lì)用该信息,不受(shòu)数据主体(tǐ)控(kòng)制(zhì),信息泄露的后果可能十分(fèn)严重。同时,由于链上信息更改难度大(dà)成本高,会(huì)对用户更正、补(bǔ)充、删除已上传的错误(wù)信息、过时信息等构成难以逾越的技术障碍。

鉴于(yú)此,本文将以个人信(xìn)息保护法为主(zhǔ)体,结合国家网信部门等发布的个人信息(xī)保护(hù)相关规定,论述区块链技术中的个人(rén)信息保(bǎo)护(hù)问题。为便于(yú)讨论,先(xiān)对三组(zǔ)概(gài)念的含义进(jìn)行说明。

一是(shì)分布式账本与区(qū)块链。严格来讲,这(zhè)两个概念所包括(kuò)的范(fàn)围从(cóng)大到小(xiǎo)依(yī)次应为分布式(shì)账本(běn)、区块链。分布(bù)式账(zhàng)本包括多种使网络系统在分(fèn)散决策非常困难的情况下就所(suǒ)需的状态或意见达成(chéng)一致的共识,区块链为其中(zhōng)一(yī)种共识(也(yě)称中本(běn)聪共识),还有其(qí)他(tā)共识如Tangle。实际应用中,对于“区(qū)块链”的使用经常会包括(kuò)像Tangle这样的并不会(huì)在节(jiē)点内存储数(shù)据的分布式账本,由于技术发展的不(bú)确定性及边界模糊(hú)性,同时为方便起见(jiàn),本文不对分(fèn)布式账本与(yǔ)区块链(liàn)作严格区分(fèn)。

二是公共(gòng)链(public blockchains)、私有链(private blockchains)及联(lián)盟链(hybrid blockchains)。这是根据区块或节点参与链及读取数据的方式(shì)不同所作(zuò)的分类。公共链是指任何人都可(kě)以读取、添加链上数据(jù),链(liàn)上的任何节点均可参与数据的验证和共(gòng)识过程。私有链则是完全中心(xīn)化的区块链(liàn),适用于特定机构的内部数据管(guǎn)理与审计等,其写入权限由中心机构控(kòng)制,而读取权限可视需求有选择(zé)性地对外开(kāi)放。联盟链是由(yóu)达成(chéng)共识的多个实体(tǐ)组成,只有(yǒu)部分节点可以添加数据,读取数据的权(quán)限视情况而(ér)定。鉴于公共链最具有代表性及开创性,本文(wén)将(jiāng)重点讨论(lùn)公共链。

三是个(gè)人(rén)信息、隐私、数(shù)据。我国民(mín)法(fǎ)学领域对(duì)这三个概念,尤其是隐私与个人信息之间(jiān)已经有很多讨论,并(bìng)对二(èr)者之间应分别保护达成(chéng)共识(shí),民(mín)法典和个人信息保护法的通过实施也从立法层面认可了(le)隐私(sī)权(quán)与个人信息之间存在区(qū)别(bié)。从比较法上(shàng)看,个人信(xìn)息(xī)与隐私之(zhī)间一元化与二元化的选择也一直处于争议与(yǔ)困境中。本文讨论重(chóng)点并非三者之(zhī)间的区别(bié),而是区块链技术所带来的挑战(zhàn),故不(bú)对个(gè)人信息、隐(yǐn)私、数据作严格区分。

厘清上述概念(niàn)后,我们将从(cóng)以(yǐ)下(xià)三(sān)个方面具体分析区块链技术中的个人信息保护问题:一(yī)是如何界定个人信息的范围,二(èr)是如(rú)何认定(dìng)个人(rén)信(xìn)息处理者,最(zuì)后对区块链个人信息处理活动中涉及(jí)的个人信息处理原则、个人(rén)角色定(dìng)位及监管等问题进行论述。

再认识(shí)“个(gè)人信息”

个人(rén)信(xìn)息保护法第4条(tiáo)第1款规定,“个(gè)人信息是(shì)以电子或者(zhě)其他方式(shì)记(jì)录的与已识别或(huò)者可识(shí)别的自然人有关的各种信息,不包括匿名化处(chù)理(lǐ)后(hòu)的信息。”这里的关键词(cí)应为(wéi)“识别(bié)”。“识别”能(néng)力(lì)随(suí)着技术的不断发展(zhǎn)而日益增强(qiáng),与之相应的,“个人信息(xī)”的(de)范围也越来越(yuè)宽泛(fàn),从传统的能够直接识别(bié)特(tè)定(dìng)自然(rán)人的信息,如姓名、身(shēn)份证号码、家庭地(dì)址、电(diàn)话号码等,到电(diàn)子邮箱、通信记录、网络交易(yì)信(xìn)息、上网浏览(lǎn)痕(hén)迹、网(wǎng)络(luò)社(shè)交媒体留言、行踪轨迹、脸(liǎn)部特征信(xìn)息等过(guò)去或不存(cún)在,或无(wú)法被收集和存储的(de)信息,都因其技术(shù)上“可识别”而(ér)被认(rèn)定为个人信息。

区块链(liàn)中的(de)信息,因其特殊的表现形式(通(tōng)常(cháng)为一串特(tè)定长度的数字字(zì)母组合),将再一次(cì)挑战我们(men)对“个人信(xìn)息”的理解(jiě)。根据区块链技术结构,区块链中的(de)信息主要包括:1)区块头(header)信(xìn)息(xī),包(bāo)括当前版本(běn)号(version)、前一区块(kuài)地(dì)址(pre-block)、当(dāng)前(qián)区块的(de)目标哈希值(bits)以(yǐ)及时间戳(timestamp)等;2)区块体(tǐ)(body)信息,包括当前区块的交易数量以及经过验证的(de)、区块(kuài)创建过程(chéng)中生成的所(suǒ)有交易记(jì)录及交易记(jì)录背后的知识,通常采用(yòng)哈(hā)希算法(SHA256)进(jìn)行加密,编(biān)码为特定长度的字符串计入(rù)区块链;3)身份信息(xī),是指用(yòng)户(hù)身份和(hé)区块链地址之间的关联(lián)关系。区(qū)块链中为满足安全性、最大(dà)程度(dù)保护数(shù)据,会采用非对称加密技术进(jìn)行(háng)加密,即在加密和解密过程中使(shǐ)用(yòng)两个非(fēi)对称的密码,私钥和公钥,私钥类似于(yú)银行账户密码,除了用户本人外别人并(bìng)不(bú)知道(dào),而公钥类似于银行账户(hù),会在区块链公开,表(biǎo)明了用(yòng)户身份和区(qū)块链地址之间的关联关(guān)系,为(wéi)身份信息。

上述三种信(xìn)息(xī)中,与个人相关的为后两种信息,即区块体中的交易(yì)信息(xī)与公钥。要判断(duàn)此两种信息是(shì)否属(shǔ)于“个人信(xìn)息”,即需要判断上述信息是否存在“识(shí)别”的可能。对“识别”的判断要依据(jù)个人信息保护(hù)法(fǎ)第(dì)73条,该条(tiáo)规定了个人信息的去标识化(pseudonymization)与匿名化(anonymization)。去(qù)标识化是指个人信息经过处理(lǐ),使其在(zài)不借助额外信息的情(qíng)况下无法识别特定(dìng)自然(rán)人的过(guò)程(chéng)。匿名化是指个人信息经过处理无法识别特定自然人且不能(néng)复原的过程。结合个(gè)人信息保护法第(dì)4条第1款,可知匿名化信(xìn)息不是个(gè)人信息。因此,要判断(duàn)区块链中的信(xìn)息是否为个人信(xìn)息(xī)需要回答两个(gè)问题:一是去标识化信息是否(fǒu)属于(yú)个人信(xìn)息;二是区块链中的信息是否属于(yú)去标识化信息(xī)。

首页_JDB(中国)电子_官方网站
版(bǎn)权申明:本内容来自于互联网(wǎng),属第三方汇集推荐平台。本文(wén)的版权归原(yuán)作者所有,文章(zhāng)言论不(bú)代表链门(mén)户的观点,链门户不承担任何(hé)法律责任。如有侵权请联系QQ:3341927519进行反馈。
12345678910下一(yī)页
标签(qiān): 公(gōng)共链 私有链 联盟链
相关新闻
发表评论

请先 注册/登录 后参与评论

    回顶部

    首页_JDB(中国)电子_官方网站

    首页_JDB(中国)电子_官方网站