315曝光的个人信息侵权能否通过区块链监管？

建议

今年“3.15晚会”播出后，多家企业因存在侵犯消费者权益的行为被曝光，比如曝光多家知名品牌使用人脸识别摄像头，非法获取消费者个人信息的行为。

区块链技术的一些特性（如公钥-私钥机制、加密算法等）被认为有利于个人信息的保护。但在实践中，区块链的去中心化性和弱中心化性特点，使得个人信息保护相关法律法规要求的义务和责任难以落实。因此，我们需要进一步思考和探索区块链在个人信息保护中的应用。

编辑：热带雨林赵胜

排版：Zilin
本文是北京高勤律师事务所合伙人王元律师从律师的角度对区块链技术在个人信息保护中的应用进行的深入思考。原标题为《个人信息保**（草案）》和《gdpr对区块链技术的影响》，发表于《01区块链授权》。

区块链技术与个人信息保**的基本概念

（1） 区块链技术

区块链技术本质上是一种由每个节点（分布式账本）在安全环境（非对称加密）中，针对多实体（节点）的共同目的（应用场景），按照一致性规则（共识机制和智能合约）对大量数据进行实时自动处理（算法）的技术。

区块链技术可以在没有中心化平台信用背书或作为信息处理中介的情况下完成交易。它是一种去中心化的点对点分布式信息集成技术。技术内容包括mesh多节点协商一致机制、将信息转换为机器可读数据的智能契约、防篡改时间戳和非对称加密技术。

许多应用可以基于区块链技术开发，比如最早的金融领域的数字货币比特币。此外，它还逐步广泛应用于信息追溯、证书保管、物流、认证、产权管理等领域，涉及网络技术、医疗、能源、农业、电子商务、旅游、服务等行业。

（2） 个人信息保**

《个人信息保**（草案）》首先对个人信息进行了界定，并对敏感信息进行了具体规定，将匿名信息排除在个人信息之外；其次围绕“告知同意”设定了个人信息的处理规则，包括目的明确、处理最少的原则第三，它规定了个人对所收集信息的权利。**，与个人权利的保护相对应，它规定了公司、平台和其他实体处理个人信息的义务，包括内部技术和组织措施、事前评估敏感信息或高风险处理行为，以及跨境传输的特殊规则。

《个人信息保**（草案）》的核心理念、内容和制度框架设计与欧盟《一般数据保护条例》（gdpr）相一致。《全球数据保护条例》以保护个人基本权利为出发点，规定数据控制者和数据处理者应当遵循透明原则，在取得数据主体同意的情况下，确保对个人数据的完全控制，只有在所有权的前提下，才可以对个人数据进行控制数据必须合法处理。

（3） 区块链技术对个人信息保**的挑战

区块链技术的核心特点是点对点的传输机制，不依赖于中心化式平台来处理数据。因此，个人信息保**要求的处理个人信息的公司、平台等主体的义务和责任很难落实，因为区块链技术中没有这样的处理个人信息的公司、平台等主体。区块链技术通过算法自动处理数据并完成交易。在技术实施方面，人为干预越少越好，以提高效率，防止篡改，这与个人请求更正和撤回信息的决定权和控制权相矛盾。

简言之，当个人信息保**的规定适用于区块链技术时，可能会出现“谁承担义务”、“谁主张权利”、“主张的权利难以实现”等问题。

（4） 区块链技术对个人信息保**的促进作用

区块链技术的一些特性有利于个人信息保护。《数据安全法（草案）》明确要求建立数据追溯制度，对个人信息的直接或间接来源进行追溯。《网络安全法》和《个人信息保**（草案）》规定，应当防止未经授权获取信息、加密、反身份和信息泄露。区块链技术将节点信息的创建和操作逐一记录，并通过时间戳和多方记账的形式进行交叉验证，确保信息的准确性。这些技术特性有利于个人信息的保护。此外，区块链技术对信息处理的全过程可以追溯，可以增强个人对信息的控制。

区块链技术在个人信息保**中应用的主要问题

（1） 个人信息处理者的角色定位与职责分配

问责制和责任制是实施网络安全和个人信息保护制度的核心。根据《个人信息保**（草案）》，个人信息处理主体分为个人信息处理人和受托人。前者是指能够独立确定处理目的和方法的组织和个人，后者只能根据个人信息处理者的指令进行处理。此外，它还涉及到合并、外部共享、嵌入式SDK等第三方软件的原因，为第三方处理信息，每个主体都有不同的义务和责任。《网络安全法》将上述主体称为网络运营商，规定了需要遵守的网络安全和数据保护义务。Gdpr还将个人信息处理主体分为信息控制者和信息处理者，但在概念上规定了信息控制者决定处理目的和方法，并对信息控制者规定了更多的义务。Gdpr将接受委托的一方称为数据处理方，并将接收数据的一方称为数据接收方。

区块链由提供分布式账本的节点组成。每个节点通过加密算法和分布式存储对数据进行点对点的处理。没有中心化式数据处理器。从这个意义上说，每个节点都是一个数据控制器或数据处理器。区块链的数据处理模式高度自动化，使得数据控制器和数据处理器之间的角色划分和边界模糊。同时，由于不同的节点需要实现不同的功能（如统一节点负责账款数据的一致性，核算节点负责账款数据的完整性），如果要根据个人信息来保证区块链中每个节点的角色划分，很难根据法律规定确定处理目的和方法的节点，从而要求承担相应的责任和义务。

在信息处理中，区块链节点的角色划分很难区分，导致职责划分不清。个人信息保**要求能够共同决定信息处理目的和方式的主体承担连带责任。受托人接受委托按照说明书处理数据的，不能委托他人处理个人信息，这是基于责任主体的明确区分。另外，由于分布式处理技术的存在，每个节点可能不仅是信息的控制者或处理者，而且是信息的来源和提供者，这使得个人信息保**中与控制者或处理者相对应的个人信息主体概念模糊不清。无论是我国《个人信息保**》还是gdpr，其信息控制者和处理者既包括单位也包括个人，个人不排除在处理者和控制者之外。因此，受法律保护的权利主体也可能是区块链技术下的义务主体。此外，区块链技术通过算法实现，使得这种权利义务的实时转换和大量发生，法律规则稳定。当试图从法律的角度系统地定位或规范这一角色而不是仅仅针对个别案件时，就会遇到障碍。

造成这种困境的根本原因在于，个人信息保**的制度设计是一种中心化的“保护伞”设计，而区块链技术本质上是一种去中心化的“网络”设计。个人信息保**的责任归于数据中心化处理的顶层平台。平台对个人信息主体承担义务，个人信息主体享有权利。然而，区块链中没有这样的中心化式数据处理平台。在算法的帮助下，区块链中的节点实现了传统中心化式平台的数据处理功能。由于功能实现方式不同，将个人信息保**设定的责任机制转化为区块链将面临挑战。

（2） 个人信息处理原则与法律原因规则

《个人信息保**》要求，在最短的时间内对特定用途的个人信息进行最少量的处理，保证数据的真实性、准确性和安全性。个人信息保**草案规定的处理个人信息的原则主要包括合法、合法、目的明确，只处理达到目的所需的**限度的信息，保证信息的准确性和及时更新。Gdpr还特别规定了个人信息处理的原则，包括合法性、公平性和透明度、目的限制、数据处理最小化和准确性、存储期限限制、数据完整性和保密性。

基于上述原则，《个人信息保**（草案）》规定，个人信息只有在取得个人同意、按照合同或法律规定处理个人信息等特定情况下才能进行处理，应对突发事件，在特定范围内为公共利益服务。它还对同意规则作出了详细规定，例如，它应确保个人在处理个人信息以自愿和明确表示同意之前得到充分的知情。Gdpr还围绕着“知情同意”的处理规则进行设计，要求在充分知情的前提下对具体的处理行为进行自由同意。

在“知情同意”规则和按合同协议处理方面，区块链技术依靠智能合同在不同计算机之间达成协议。本质上，它是一种可以自动执行的计算机程序。就像app通过个人信息保护策略和弹出窗口通知用户并获得用户同意一样，智能合约将交易规则和条件从文本转换为计算机之间的数据调用。智能合约也是可扩展的，可以根据规则创建和编译。区块链的一致性机制主要是保证节点之间的一致性，即节点同意按照一致的规则处理数据，不仅需要同意处理数据，还需要同意一致的处理规则。可见，在区块链技术中，“通知同意”规则与按合同处理是同步的，但在个人信息保**中，有不同的处理依据。例如，gdpr明确禁止后续选择法律处理依据。在这种情况下，处理个人信息的法律依据界限非常模糊。

（3） 个人信息主体权利

个人信息保**的主要立法目的是保护个人权益，促进个人信息的合法使用。《个人信息保**（草案）》赋予个人撤回同意、限制和拒绝处理信息的权利。个人有权查阅、**个人信息，更正、补充个人信息，请求删除个人信息。《全球数据保护条例》的规定基本相同，但也包括了数据携带权的规定。携带数据的权利与**或访问个人信息的权利之间的区别在于，携带数据的权利要求数据控制者将数据组织成机器可读的机构形式，并将其自动传输给个人指定的其他数据接收器。

尽管区块链技术对互操作性的要求有利于实现可移植性、查询权和**权，但总体而言，个人信息保**赋予个人作为自然人的信息决策权和控制权会造成人为干扰。个人可以在信息收集、使用和消失的整个生命周期内依法主张权利。然而，区块链应该实现高度自动化的数据处理，并尽量减少人为干预，以确保计算效率和准确性。如果个人要求更正、补充或删除个人信息，可能导致信息不准确，信息去中心化存储在各个节点。如何广播和通知所有节点，并确保所有节点采取一致行动，如何确保机器转换的内容与个人主张的权利一致，以及每个节点是否需要根据数据控制或委托不同的原因需要不同的行动。

（4） 个人信息类和匿名化

根据《个人信息保**（草案）》的规定，个人信息是指通过电子或其他方式记录的与已识别或可识别的自然人有关的各种信息。个人信息包括敏感信息，如种族、国籍、宗教信仰、个人生物学特征、医疗健康、财务账户、个人行踪等，匿名信息不是个人信息。Gdpr与本规定基本相同。比如，它规定只有已经确定或者能够确定的信息才是个人信息，但也有区别。例如，它强调只有主要涉及自动处理的信息才适用于gdpr。gdpr原则上禁止敏感信息的处理，将匿名信息区分为化名和匿名信息。

我国个人信息保**对个人信息载体的规定较为宽松，包括以电子方式体现的个人信息和其他非电子方式体现的个人信息。区块链中的个人信息以电子形式反映出来，这当然适用于个人信息保**。链下存储的信息有的以电子形式体现，有的可能以手写口令等非电子形式体现，个人信息保**的规定也需要适用。但是，如果数据不是以自动方式处理的，并且不构成gdpr下的文件，则不需要适用gdpr的规定。

匿名性是区块链技术的初衷和目标。加密是一种实现匿名性的技术。区块链中常用的加密技术有非对称加密、同态加密和散列函数等，它们用于实现不同的识别和验证目的。例如，公钥加密和私钥解密是数字货币发行、挖矿和交易中的一种非对称加密。在个人信息保护的法律背景下，理论上，只要实现匿名化不是个人信息，就可以不经同意等法律原因进行处理。但在实际应用中，除了加密技术外，实现匿名化的技术有很多种，每种技术所能实现的匿名化程度也不尽相同。例如，gdpr规定，数据仍然可以通过假名技术进行处理，因为个人被识别，他们不是完全匿名的，仍然需要应用gdpr。因此，区块链所采用的加密等匿名化技术是否能满足个人信息保**的要求，如加密后的信息是否能反转、重新识别个人等，值得怀疑。

区块链技术的应用涉及到大量的敏感信息，而密码本身就是一种广义的敏感信息。例如，比特币等数字货币的发行和交易将涉及身份识别、银行账户信息、认证信息、电子签名、密码等，实质上是数据处理和货币发行的过程。为了保证交易的真实性，需要广播到每个节点对同一笔交易进行记录和验证。在这一过程中，应结合个人信息保**的要求，对个人财务信息的披露、个人匿名身份的认定等给予特别保护，如防止披露具体交易细节或识别用户身份等。

同时，根据个人信息保**，为履行法定义务或依法处理个人信息，可以或必须未经同意进行处理。例如，反洗钱法要求核实用户的真实身份。在我国，利用区块链提供信息服务需要满足网络实名制的要求。

（5） 个人信息处理技术与组织措施

《个人信息保**（草案）》和《网络安全法》规定了个人信息处理者和网络运营商应当采取的分类、去身份、访问控制、应急预案等个人信息安全保护制度，gdpr的总体要求是通过违约制度设计来保障个人权利的保护。

根据《个人信息保**》的规定，应对高风险的个人信息采取特别保护措施。高风险的个人信息处理行为包括标注、绘制和用户自动决策。在使用个人信息进行自动决策之前，明确要求评估和记录风险。虽然从技术实现的角度来看，区块链需要保持处理的一致性，全自动化，尽量减少人为干预，但从合规的角度来看，合规性需要考虑。例如，中国的个人信息保**明确要求，个人有权拒绝个人信息处理者仅通过自动决策的方式进行决策，而通过自动化决策开展业务销售和信息推送也应提供不针对其个人特点的选择。

个人信息的保留期是个人信息保**中的一个关键问题。它的基本要求是只在达到目的所需的必要时间内储存信息。根据我国《个人信息保**》的规定，保留期为6个月（如网络期刊）至3年（电子商务商品服务信息、直播信息等）。从理论上讲，尽管区块链技术倾向于或使信息能够被**保留，但它需要考虑关于信息存储的法律规定。此外，由于区块链中的信息存储在各个节点，如何通知删除并实现完全删除也是编写智能合约设置交易条件时需要考虑的因素。事实上，《个人信息保**（草案）》为技术发展提供了多余的空间。例如，如果很难删除个人信息，则可以通过停止处理个人信息来替换。

（6） 个人信息保**的适用范围与跨境传播

虽然网络空间使得物理区域的范围变得越来越没有意义，但在现有的法律框架下，这些规则仍然需要遵守。《个人信息保**（草案）》扩大了法律的域外适用范围。除了我国对个人信息处理的法律规定外，从国外提**品或服务以及对国内自然人行为的分析和评价也需要符合我国法律。Gdpr的规定是相似的，即只要在欧洲经济区内设立机构，或向欧洲经济区内的个人提**品或服务，或对其行为进行监督，Gdpr的规定就适用。

区块链技术是一种超越国界的技术。例如，数字货币等基于区块链的应用，甚至超越国家货币发行**，实现点对点的数据传输。因此，无论公司注册在哪个国家或服务器所在地，节点参与者来自世界各国，都可能被个人信息保**认定为为为本国提供商品或服务的客户服务。此外，根据中国和欧盟个人信息保**的规定，有必要在中国设立代表处，在国外处理国内个人信息。因此，在极端情况下，需要考虑每个国家是否都有设立当地代表处的要求，所有国家的法律都需要考虑。

关于区块链技术
应用个人信息保**的合规建议

目前，根据中国法律规定，包括区块链技术应用和从事区块链技术研发的企业在内，已有近千家区块链企业通过备案。中国鼓励发展区块链技术，但完全禁止数字货币的发行和融资。在世界范围内，区块链企业包括软件开发者、平台提供商、行业应用等，比如以太坊，它提供了智能合约的底层技术。从事区块链技术研发或利用区块链技术开发者品或提供服务的企业或平台需要考虑的法律问题包括：

（1） 顶层设计选择低合规风险的区块链部署模式

按照产业分类，区块链可以分为私有链、联盟链和公链。根据节点是否需要授权，区块链可以分为授权链和非授权链。由于私有链和联盟链限制了开放节点的规模和实体，与任何人都可以参与的公链相比，链上的数据可以在可控范围内处理。如果通过权限机制对节点进行验证和注册，从个人信息保护和可追溯性的角度来看，合规性会更高。

（2） 多智能体在有意识划分块链中的角色和职责

区块链中有很多主体，比如软件开发者、平台提供商、会计节点、验证节点、矿工等，根据《个人信息保**》的规定，需要一一对应多个主体是否是决定处理目的和方法的一方，接受委托数据处理的一方，或者信息被收集、处理的个人用户，依法构成分配和责任的前提。尽管区块链以去中心化的方式处理数据，但开发者和平台并不是以中心化的方式存储和管理数据，开发者和平台本身是信息控制者还是处理器还是一个需要考虑的因素，但无论如何，他们需要履行法律规定的信息安全和个人信息保护义务。

（3） 考虑必须遵守的强制性法律要求

区块链的技术创新包括匿名交易，这也会带来一些隐患，比如用数字货币洗钱。例如，基于区块链技术的手机ID应考虑“了解客户”的原则，根据反洗钱法收集客户信息，根据中国网络实名制收集用户手机号和ID号的真实信息，并对区块链内容进行审计根据我国网络信息内容生态审计的要求。另外，我国法律通常规定“除法律、行政法规另有规定外”，应考虑对各自行业的特殊规定予以回避或必须处理的具体信息。

（4） 建立人工干预机制

在理想状态下，所有区块链信息都由机器计算和处理。但是，为了满足个人信息保**律的要求，有必要建立相应的人为干预机制。例如，当个人申请访问、更正和删除权限时，他们可以及时有效地做出响应，并在自动决策中实现人工审核更正机制。在编写智能合约时，我们需要提前考虑。如果链上的信息经过时间戳后无法直接更正或删除，我们需要通过添加代码来重写信息，以确保准确性。

（5） 采取适当的技术和组织措施

单一孤立的技术措施或组织措施无法实现对个人信息的保护，不能满足法律的要求。例如，采用非对称加密和匿名化技术对信息进行加密后，如果不采取限制访问控制和信息单独存储等组织措施，就可以对信息进行再次识别。再比如，为了避免违反个人信息保**，个人信息可以分级分类，有可能识别个人身份的信息或敏感信息只能存储在链下。

区块链技术与个人信息保**综述与展望

区块链技术作为一种典的颠覆性技术，实际上顺应了随着科技的发展，生产生活虚拟化的趋势，进一步弱化了工业时代信用背书和信息中介平台的功能，为每个节点实现个性化、点对点定制的信息处理。然而，区块链技术仍在发展中，许多应用尚不清楚。同时，网络的发展使收集大量个人信息成为现实。利用个人信息可以深入挖矿人们的需求，实现商业价值，这就需要通过法律来保护个人信息。可以看出，区块链技术和个人信息保**都处于发展过程中，因此交界处的碰撞无法避免。区块链技术的特点是节点使用机器去中心化处理数据，而个人信息保**则以数据控制和对人们信息的中心化处理为逻辑。个人信息保**是以人为中心设计的体系，而区块链则以机器、程序和算法为中心，将现实生活中的人抽象为网络空间中的节点。尽管区块链技术与个人信息保**的互动还有待观察，但目前区块链技术的发展仍需要考虑和满足个人信息保**的要求。

参考资料：

1《个人信息保**（草案）》，全国人大常委会，2020年10月

2《数据安全法（草案）》，全国人大常委会，2020年7月

3《民法典》，全国人民代表大会，2020年5月

4《区块链信息服务管理规定》，国家互联网信息办公室，2019年2月

5《区块链信息服务信息安全技术规范（草案）》，国家信息安全标准化技术委员会，2021年1月

6GB/T 37964-2019《信息安全技术中个人信息反识别技术导则》，国家信息安全标准化技术委员会，2020年3月

7JT/T 0184-2020《金融分布式账本安全技术规范》，中国人民银行，2020年2月

8区块链司法认证（1.0）应用白皮书，可信区块链推广计划，2019年6月

9区块链安全白皮书（1.0），可信区块链推广计划，2018年12月

10朱家明、李晓：《数字货币蓝皮书（2020）》，中国工人出版社，2021年版

11、 数据保**规对区块链生态系统的影响，国际可信区块链应用协会，2020年11月

12、 ISO 22739-2020区块链和分布式账本技术-词汇，ISO，2020年7月

13、 区块链和一般数据保护条例，EPRS，2019年7月

14、 区块链和GDPR：在个人数据背景下负责任使用区块链的解决方案，CNIL，2018年9月；

15第29条数据保护工作组，“关于匿名化技术的意见05/2014”，（2014）WP 216关于匿名化技术的意见