來源:01區塊鏈,作者:王源
今年的“3·15晚會”播出,多家企業因存在侵犯消費者權益行為被曝光,比如,曝光了多個知名品牌商采用人臉識別攝像頭、非法獲取消費者個人信息的行為。
區塊鏈技術的一些特征被認為有利于個人信息保護,但在實踐中,區塊鏈分布式和弱中心化的特性,使得個人信息保護相關法律法規要求主體承擔的義務和責任很難落實。因此,我們需要對區塊鏈應用于個人信息保護做進一步的思考和探索。
本文系北京高勤律師事務所律師、合伙人?王源?從律師視角對區塊鏈技術應用于個人信息保護的深度思考,原文標題為「《個人信息保護法》和GDPR對區塊鏈技術的影響」,01區塊鏈授權刊載。
區塊鏈技術和個人信息保護法律的基本概念
區塊鏈技術
區塊鏈技術本質上是多方實體為共同目的按照一致規則在安全環境下由各節點對大量數據進行實時自動化處理的一種技術。
區塊鏈技術不需要中心化平臺信用背書或者作為信息處理中介就能完成交易,是一種去中心化的點對點的分布式信息集成技術,技術內容包括網狀多節點達成一致的共識機制、將信息轉化為可機讀的數據的智能合約、防篡改的時間戳和非對稱加密技術等。
基于區塊鏈技術可以開發諸多應用,例如最早期金融領域的比特幣等數字貨幣,除此之外,逐漸廣泛用于信息追溯、存證、物流、認證、產權管理等領域,涉及網絡科技、醫療、能源、農業、電商、旅游、服務等行業。
個人信息保護法律
《個人信息保護法》首先對個人信息進行了定義,并對敏感信息進行專門規定,將匿名化信息排除在個人信息之外;其次圍繞“告知-同意”設定個人信息的處理規則,也包括目的明確、個人信息處理最小化等原則;再次規定了個人對被收集的信息享有的各種權益,例如查閱、復制、更正、補充、請求刪除等;最后與保障個人權利相對應,規定了處理個人信息的公司、平臺等主體的義務,包括內部技術和組織措施、敏感信息或者高風險處理行為的事前評估、跨境傳輸特殊規則等。
《個人信息保護法》的核心理念內容與制度框架設計與歐盟的GDPR是一致的,GDPR以保護個人根本性權利為出發點,規定了數據控制者和數據處理者應當依照透明度等原則,在獲得數據主體同意等情形下和保障個人對數據的充分控制權的前提下,才可以合法處理個人數據。
Noun 315碎片NFT Nounlet 1以4.2 ETH的價格成交:9月24日消息,NFT碎片化協議Tessera昨日發起Noun 315碎片NFT系列Nounlets競拍。該系列總共有100個Nounlet,每個Nounlet可代表Noun 315 NFT的1%所有權。Nounlet持有者將選出一名代表參與NounsDAO投票。
據悉,Nounlet 1以4.2069 ETH的價格成交。目前正在進行Nounlet 5競拍。(The Block)[2022/9/24 7:18:42]
區塊鏈技術對個人信息保護法律的挑戰
區塊鏈技術的核心特征在于點對點的傳輸機制,并不依賴中心化平臺集中處理數據,因此個人信息保護法律要求公司、平臺等處理個人信息主體承擔的義務和責任將難以落實,因為區塊鏈技術中根本不存在這樣的集中處理個人信息的公司、平臺等主體。區塊鏈技術通過算法自動進行數據處理和完成交易,從技術實現來講人為干預越少越好,以提高效率和防止篡改,這和個人對個人信息享有的要求更正、撤回信息等決定和控制權相矛盾。
簡單來講,個人信息保護法律的規定應用于區塊鏈技術時,可能會存在“由誰承擔義務”、“向誰主張權利”以及“所主張的權利難以實現”的問題。
區塊鏈技術對個人信息保護法律的促進
區塊鏈技術的一些特征有利于個人信息保護。《數據安全法》明確要求建立數據溯源制度以追溯個人信息的直接或者間接來源,《網絡安全法》和《個人信息保護法》規定應當防止未經授權訪問信息、加密、去標識化、防止信息泄露。區塊鏈技術對節點信息創建和運行進行逐一記錄,通過時間戳和多方記賬等形式交叉驗證保證信息準確性,這些技術特征均有利于個人信息保護。此外,區塊鏈技術對信息的處理全程可追溯,可以增強個人對信息的控制。
區塊鏈技術適用個人信息保護法律的主要問題
個人信息處理者角色定位與責任分配
可問責性和責任制是落實網絡安全和個人信息保護制度的核心。《個人信息保護法》將處理個人信息的主體分為個人信息處理者和接受委托進行處理的受托方,前者指可以自主決定處理目的和方式的組織、個人,后者只能按照個人信息處理者的指示進行處理,此外還涉及因合并、對外共享、嵌入SDK等第三方軟件等原因處理信息的第三方,各主體需要承擔的義務及責任分擔并不相同。《網絡安全法》將上述主體統一稱為網絡運營者,設定了需要統一遵守的網絡安全和數據保護義務。GDPR也將處理個人信息的主體區分為信息控制者和信息處理者,但是概念上規定由信息控制者決定處理的目的和方式,對信息控制者設定了較多義務,GDPR將接受委托處理數據一方稱為數據處理者,此外但凡接收數據的一方均被統一稱為數據接收者。
KingData監控:灰度ETH基金持倉總規模變為315.21萬枚ETH:據KingData數據顯示,灰度 ETH 基金減持 215.87 枚以太坊,基金持倉總規模變為 315.21萬 枚 ETH。注:灰度暫未開放贖回,小幅減持或因每股含幣量微調、扣減管理費所致。[2021/7/10 0:41:43]
區塊鏈由提供分布式賬本的各節點組成,各節點通過密碼算法和分布式存儲等點對點處理數據,沒有中心化的數據處理者,從這個意義上講,每一個節點就是數據控制者或者數據處理者。區塊鏈對數據的處理方式高度自動化,使得數據控制者和數據處理者之間的角色分工和界限模糊,同時由于不同節點需要實現不同功能,如果要對區塊鏈中各節點的角色分工按照個人信息保護法律的規定,甄別決定處理目的和方式的節點,從而要求承擔相應的責任和義務,是非常有難度的。
難以區分區塊鏈節點在信息處理中的角色分工會導致責任劃分不清。個人信息保護法律要求能夠共同決定信息處理目的和方式的主體承擔連帶責任,接受委托按照指示處理數據的受托方不能轉委托他人處理個人信息,均是建立在對責任主體明確區分的基礎上。此外,由于是分布式處理技術,每一個節點可能既是信息控制者或者處理者,又是信息的來源與提供者,使得個人信息保護法律中與控制者或者處理者相對應的個人信息主體之間的概念模糊。無論是中國個人信息保護法律還是GDPR,其信息控制者和處理者既包括單位也包括個人,并未將個人排除在處理者或者控制者之外,因此法律保護的權利主體在區塊鏈技術下可能同時又是義務主體。更進一步,區塊鏈技術通過算法實現,使得這種權利義務實時轉化且大量發生,而法律規則具有穩定性,當試圖系統性而不僅僅針對個案從法律角度進行角色定位或者規制時,會遇到障礙。
導致這一困境的根本原因在于個人信息保護法律的制度設計是中心化的“傘狀”設計,而區塊鏈技術本質上是去中心化的“網狀”設計,個人信息保護法律將責任歸于集中處理數據的頂端平臺,由平臺對個人信息主體承擔義務,個人信息主體享有權利。而在區塊鏈中不存在這樣的集中處理數據平臺,由鏈中節點借助算法,多方協同實現傳統中心化平臺對數據處理的功能。由于實現功能的方式不一樣,將個人信息保護法律設定的責任承擔機制平移到區塊鏈中就會遭到挑戰。
個人信息處理的原則與合法事由規則
個人信息保護法律要求在最短時間內為特定目的處理最少量的個人信息,且保證數據的真實、準確與安全。《個人信息保護法》規定的處理個人信息的原則主要包括正當、合法且目的明確,僅處理為實現目的所需要的最少信息,應當保障信息的準確性和及時更新等。GDPR也專門集中規定了個人信息處理原則,包括合法、公平與透明、目的限制、數據處理最小化與準確性、存儲期限限制和數據完整性與保密性。
中幣(ZB)早行情:BTC現報33154美元:據中幣(ZB)交易平臺行情數據,截止到今日09:46時,BTC現報33154美元(+1.74%),ZB積分現報0.27美元(+4.24%)。據CoinMarketCap統計的數字貨幣總市值為8723億美元,24小時總交易額為3293億美元,比特幣市值占比69.5%。全球市值前100名的數字貨幣有78支上漲,22支下跌。主流資產價格為:ETH報957.04美元(+23.70%),EOS報3.02美元(+15.62%),XRP報0.22美元(+4.85%),LTC報158.49美元(+14.70%)。中幣(ZB)24小時內漲幅前三的數字貨幣是:DMD(+183%)、GLM(+26.32%)、ETH(+23.62%)。[2021/1/4 16:22:38]
基于以上原則,《個人信息保護法》規定僅在特定情況下才可以處理個人信息,包括取得個人同意、根據合同或者法律規定、應對緊急情況和以公共利益為目的在特定范圍內處理個人信息,對同意規則還進行了細化規定,例如應當確保個人在充分知情的前提下自愿、明確地做出同意等。GDPR也是圍繞“告知-同意”設計處理規則,要求在被充分告知的前提下自由地對特定處理行為作出明確的同意。
就“告知-同意”規則和根據合同約定處理而言,區塊鏈技術依賴智能合約在不同的計算機之間達成協議,本質上是一種可自動執行的計算機程序,如同APP通過個人信息保護政策和彈窗告知用戶并取得用戶同意,智能合約將交易的規則和條件從文字轉化為數據并且在計算機之間通話。智能合約還具有可擴展性,可以根據規則創建、編譯等。區塊鏈共識機制主要是確保各節點之間的一致性,即各節點同意根據一致規則進行數據處理,不僅需要同意對數據進行處理,還需要同意一致的處理規則。可以看到,在區塊鏈技術中“告知-同意”規則和根據合同約定處理是同步的,但在個人信息保護法律中是不同的處理基礎,例如GDPR明確禁止事后選定合法處理的基礎,在這種情況下處理個人信息的合法性基礎邊界非常模糊。
個人信息主體權利
個人信息保護法律最主要的立法目的為保障個人權益,同時促進個人信息合法利用。《個人信息保護法》賦予個人撤回同意和限制、拒絕處理信息的權利,個人有權查閱、復制個人信息,有權更正和補充個人信息,有權請求刪除個人信息。GDPR的規定大致相同,但還包括數據可攜帶權的規定,可攜帶權與復制或者訪問個人信息權利不同之處在于,可攜帶權要求數據控制者將數據整理為機器可讀的機構化形式,自動傳輸給個人指定的其他數據接收方。
CME比特幣期貨10月合約收報13155美元:金色財經報道,成交量最高的CME比特幣期貨2020年10月合約今日收漲400美元,收報13155美元,漲幅達3.14%。2020年11月、12月和2021年1月合約分別收報13265美元、13405美元和13470美元。[2020/10/23]
盡管區塊鏈技術對互操作性的要求有利于諸如可攜帶權、查詢復制權等的實現,但是整體來看個人信息保護法律賦予作為自然人的個人對信息的決定權和控制權會造成人為干擾。個人在信息收集、使用、消失的整個生命周期均可依法主張權利,而區塊鏈卻要實現對數據的高度自動化處理并盡量減少人為干預以保障計算效率和準確性。如果個人要求更正、補充、刪除個人信息,可能會導致信息的不準確,且信息分散地存儲于各個節點,如何廣播通知所有節點、且保證各節點均采取一致行動,如何確保節點執行經過機器轉化的內容與個人主張的權利一致,各節點是否需要按照數據控制或者受托處理不同要求采取不同行動。
個人信息種類與匿名化
《個人信息保護法》規定,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,個人信息中包含種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等敏感信息。經過匿名化處理后的信息不是個人信息。GDPR與此規定大致相同,例如均規定已識別或者可識別個人的才為個人信息,但也有不同,例如強調主要涉及自動化方式處理的信息才適用GDPR的規定,GDPR原則上禁止處理敏感信息,將匿名化信息區分為假名化和匿名化等。
中國個人信息保護法律對個人信息的載體規定更加寬松,包括電子方式體現的個人信息,也包括其他非電子方式體現的個人信息。而區塊鏈中的個人信息均以電子方式體現,當然適用個人信息保護法律。而鏈下存儲的信息有的以電子方式體現,有的可能以手寫記錄密碼等非電子方式體現,也需要適用個人信息保護法律的規定,而GDPR下如果非以自動化方式處理數據又不形成文檔的話,是不需要適用GDPR規定的。
匿名性是區塊鏈技術產生的初衷和追求的目標,加密是實現匿名化的一種技術,常用于區塊鏈的加密技術包括非對稱加密、同態加密和哈希函數,用于實現不同的識別和驗證目的。例如數字貨幣發行、挖礦和交易中用公鑰加密、用私鑰解密即為非對稱加密的一種。在個人信息保護法律語境下,理論上只要實現匿名化即不為個人信息,不需要經過同意等法定事由就可以進行處理,但實踐中實現匿名化的技術除了加密外還有很多種,每種技術可實現的匿名化程度并不一樣,例如GDPR規定通過假名化技術對數據進行處理后仍然可以識別到個人,因此不是完全的匿名化,仍然需要適用GDPR的規定。所以,區塊鏈所采用的加密等匿名化技術是否能夠滿足個人信息保護法律的規定是存疑的,例如加密后的信息是否可逆轉重識別個人。
CME比特幣期貨9月合約收報10315美元:金色財經報道,成交量最高的CME比特幣期貨2020年9月合約今日收跌5美元,收報10315美元,漲幅達0.05%。2020年10月、11月和12月合約分別收報10405美元、10450美元和10525美元。[2020/9/11]
區塊鏈技術的應用涉及大量敏感信息,密碼本身就是廣義的敏感信息的一種,例如比特幣等數字貨幣的發行和交易就會涉及身份標識、銀行賬戶信息、鑒別信息、電子簽名、密碼等。數字貨幣發行和交易本質上就是機器對數據的處理過程。為確保真實性,需要廣播至各節點對同一筆交易進行記錄并核驗,在此過程中涉及個人財務信息的公開、個人匿名身份的標識等,均需考慮到個人信息保護法律的要求而進行特殊保護,例如防止公開特定交易細節或者防止識別用戶等。
同時,根據個人信息保護法律,為履行法定義務或者根據法律規定,不經同意也可以或者依法必須處理個人信息。例如反洗錢法要求對用戶真實身份進行驗證,在中國利用區塊鏈提供信息服務需要滿足網絡實名制要求。
個人信息處理的技術與組織措施
《個人信息保護法》和《網絡安全法》規定了個人信息處理者和網絡運營者應當采取的個人信息安全和保護制度,例如分級分類、去標識化、訪問控制、應急預案等,GDPR的總體要求為通過制度設計保障在默認的情形下個人權利得到保護。
根據個人信息保護法律的規定,對于高風險個人信息處理行為需要采取與風險程度相適應的特殊保護措施,高風險個人信息處理行為包括通過對用戶打標簽、畫像、進行自動化決策等,明確要求利用個人信息進行自動化決策前進行風險評估并記錄。盡管從技術實現角度區塊鏈需要盡量保持處理的一致性、全自動化和減少人為干預,但是從符合法律規定角度需要考慮合規性,例如中國個人信息保護法律明確要求,個人有權拒絕個人信息處理者僅通過自動化決策的方式做出決定,通過自動化決策方式進行商業營銷、信息推送,應當同時提供不針對其個人特征的選項。
個人信息的存留期限是個人信息保護法律重點規定的問題,其基本要求為僅在實現目的所需的必要期限內存留信息,根據中國個人信息保護法律的規定,對存留期限的規定為6個月至3年不等。從理論上講,雖然區塊鏈技術傾向于或者使得信息可以永久留存,但需要考慮法律關于信息存儲的規定;此外由于區塊鏈中信息分散存儲于各節點,如何通知刪除、實現徹底刪除也是在編寫智能合約設定交易條件時需要考慮的因素。《個人信息保護法》實際上為技術發展提供了冗余空間,例如規定技術上難以實現刪除的,可以采取停止處理個人信息的方式替代刪除。
個人信息保護法律的適用范圍和跨境傳輸
雖然網絡空間使得物理地域范圍變得越來越無意義,但是在現行法律框架規則還是需要得到遵守。《個人信息保護法》拓展了法律的域外適用范圍,除了在中國境內的個人信息處理行為需要遵守法律規定外,境外向境內提供產品或者服務、分析評估境內自然人行為,也需要遵守中國法律規定。GDPR規定類似,即只要在歐洲經濟區內設立機構,或者向歐洲經濟區內個人提供產品或者服務或者監控其行為,均適用GDPR的規定。
區塊鏈技術是超越國界的技術,例如數字貨幣等基于區塊鏈的應用甚至超越國家發幣主權,實現數據點對點的傳輸,因此無論公司注冊于哪一個國家或者服務器位于哪一個國家,節點參與者來自于世界各國,均有可能被個人信息保護法律確認為面向本國提供商品或者服務。此外,根據中國和歐盟個人信息保護法律的規定,在境外處理境內個人信息,還需要在本國境內設立代表機構。因此,極端情形下,需要逐一考慮每個國家是否有在本地設立代表處的要求,所有國家法律均需要被考慮。
區塊鏈技術適用個人信息保護法律的合規建議
目前根據中國法律的規定通過備案的區塊鏈企業有近千家,包括利用區塊鏈技術的應用和從事區塊鏈技術研發的企業。中國鼓勵區塊鏈技術發展,但是全面禁止數字貨幣發行融資。世界范圍內區塊鏈企業包括軟件開發者、平臺提供者、各行業應用者等等,例如以太坊等提供智能合約底層技術的平臺等。從事區塊鏈技術研發或者利用區塊鏈技術開發商品或者提供服務的企業或者平臺需要考慮的個人信息保護法律問題包括:
頂層設計選擇合規風險小的區塊鏈部署方式
按照行業通行的分類,區塊鏈一般可以分為私有鏈、聯盟鏈和公有鏈,從是否需要許可加入節點出發,可分為經許可的鏈和不用經過許可的鏈。由于私有鏈和聯盟鏈限定了節點開放的規模和實體,與任何人均可參與的公有鏈相比,鏈上數據更有能在可控范圍內進行處理。如果配合許可機制,對節點進行驗證和登記,從個人信息保護和可追溯角度,合規符合性更高。
有意識區分區塊鏈中多方主體角色和責任
區塊鏈中存在多方主體,例如軟件開發者、平臺提供者、記賬節點、驗證節點、礦工等,如果按照個人信息保護法律的規定,需要一一對應多主體是決定處理目的和方式的一方、接受委托處理數據的一方還是信息被收集或者被處理的用戶個人等,才能對權利義務分配和責任承擔形成符合法律規定的預設。雖然區塊鏈是通過去中心化方式進行數據處理,開發者、平臺方等并不集中存儲、管理數據,且開發者、平臺方本身是否屬于信息控制者或者處理者仍然是需要考慮的因素,但無論如何均需要履行法律規定的信息安全和個人信息保護義務。
考慮需要遵守的法律強制性規定
區塊鏈的技術創新包括匿名交易,匿名交易同時也將帶來隱患,例如利用數字貨幣洗錢。例如,基于區塊鏈技術的數字貨幣需要考慮“知道你的客戶”原則,根據反洗錢法律規定收集客戶信息,根據中國網絡實名制收集用戶手機號碼、身份證號碼等真實信息,根據中國網絡內容生態審核要求對區塊鏈信息發布的內容進行審核。此外,中國法律通常會規定“法律、行政法規另規定的除外”,需要考慮各自行業的特殊規定避免或者必須處理特定信息。
設立人工干預機制
理想狀態下的區塊鏈信息全部通過機器進行計算和處理,但是為了滿足個人信息保護法律的規定,需要設置適當的人為干預機制,例如當個人主張訪問、更正、刪除權時可以及時有效響應,在自動化決策中實現人工審核糾正機制。在編寫智能合約時需要提前考慮,如果鏈上信息打上時間戳后無法直接更正、刪除,需要通過增加代碼方式改寫信息,確保準確性。
采用適當技術和組織措施
單一和孤立的技術措施或者組織措施無法實現個人信息保護,也滿足不了法律的要求。例如,通過非對稱加密匿名化技術對信息進行加密后,如果不采取限定訪問控制、分開存儲信息等組織措施,其信息是可以再識別到個人的。再如,為了避免違反個人信息保護法律,可以對個人信息進行分級分類,對于識別個人可能性大的信息或者敏感信息,僅在鏈下存儲。
區塊鏈技術和個人信息保護法律的總結展望
作為典型的顛覆性技術,區塊鏈技術實際上順應了科技發展使得生產生活虛擬化的趨勢,并且進一步弱化工業時代作為信用背書和信息中介平臺的功能,實現針對每一個節點的個性化和點對點定制化的信息處理。但是區塊鏈技術還在發展之中,許多應用處于未知狀態。同時,網絡發展使得大量收集個人信息成為現實,利用個人信息可以深度發掘人的需求實現商業價值,才使得通過法律對個人信息進行專門保護成為必要。可以看出,區塊鏈技術和個人信息保護法律均處于發展的過程中,因此交界處的沖撞無法避免。區塊鏈技術以節點利用機器對數據進行去中心化處理為特征,而個人信息保護法律以數據控制和處理者集中化對人的信息進行處理為邏輯,個人信息保護法律是以人為中心設計的制度,而區塊鏈以機器、程序、算法為中心,現實生活中的人在網絡空間中抽象為節點。雖然區塊鏈技術和個人信息保護法律的相互影響還有待觀察,但是現行的區塊鏈技術發展仍然需要考慮和滿足個人信息保護法律的要求。
火幣礦池HPTFinance系列首款產品Newland上線LAVAswap,為Heco生態帶來哪些創新?為何說Newland與LAVAswap的“牽手”.
1900/1/1 0:00:00此文整合并翻譯自@0xRafi發的推特thread1/由于Optimism團隊發布了消息表示其主網上線時間將提前.
1900/1/1 0:00:00很多數字貨幣初學者最常見的問題之一是哪個是更好的投資組合?相同的金額,是擁有1個完整的比特幣更好,還是擁有32個以太坊更好? 以太坊 以太坊有成為世界計算機的潛力,并且有極高的潛力.
1900/1/1 0:00:00近日,NFT交易平臺OpenSea宣布獲得a16z領投的2300萬美元融資,AngelList聯合創始人NavalRavikant、Coinbase前CTOBalajiSrinivasan、Fl.
1900/1/1 0:00:00作者:PAData 自從去年下半年開始,機構資金持續入場一直被視為推動本輪幣價上漲的重要因素,尤其是灰度的BTC基金,下半年增持超139億美元。但近期,這一情況有所改變.
1900/1/1 0:00:00網上有很多關于ETH1.0、ETH2.0、POS、分片、Layer2、zkRollup、Optimistic這些詞匯的文章,但是往往都是分散的內容.
1900/1/1 0:00:00