315曝光的侵犯個人信息行為可以用區塊鏈來規范嗎？_區塊鏈

推薦語

今年的“3·15晚會”播出，多家企業因存在侵犯消費者權益行為被曝光，比如，曝光了多個知名品牌商采用人臉識別攝像頭、非法獲取消費者個人信息的行為。

區塊鏈技術的一些特征（如公私鑰機制、加密算法等）被認為有利于個人信息保護，但在實踐中，區塊鏈分布式和弱中心化的特性，使得個人信息保護相關法律法規要求主體承擔的義務和責任很難落實。因此，我們需要對區塊鏈應用于個人信息保護做進一步的思考和探索。

本文系北京高勤律師事務所律師、合伙人?王源?從律師視角對區塊鏈技術應用于個人信息保護的深度思考，原文標題為「《個人信息保護法（草案）》和GDPR對區塊鏈技術的影響」，01區塊鏈授權刊載。

（一）區塊鏈技術

區塊鏈技術本質上是多方實體（節點）為共同目的（應用場景）按照一致規則（共識機制和智能合約）在安全環境（非對稱加密）下由各節點（分布式賬本）對大量數據進行實時自動化處理（算法）的一種技術。

區塊鏈技術不需要中心化平臺信用背書或者作為信息處理中介就能完成交易，是一種去中心化的點對點的分布式信息集成技術，技術內容包括網狀多節點達成一致的共識機制、將信息轉化為可機讀的數據的智能合約、防篡改的時間戳和非對稱加密技術等。

基于區塊鏈技術可以開發諸多應用，例如最早期金融領域的比特幣等數字貨幣，除此之外，逐漸廣泛用于信息追溯、存證、物流、認證、產權管理等領域，涉及網絡科技、醫療、能源、農業、電商、旅游、服務等行業。

（二）個人信息保護法律

《個人信息保護法（草案）》首先對個人信息進行了定義，并對敏感信息進行專門規定，將匿名化信息排除在個人信息之外；其次圍繞“告知-同意”設定個人信息的處理規則，也包括目的明確、個人信息處理最小化等原則；再次規定了個人對被收集的信息享有的各種權益，例如查閱、復制、更正、補充、請求刪除等；最后與保障個人權利相對應，規定了處理個人信息的公司、平臺等主體的義務，包括內部技術和組織措施、敏感信息或者高風險處理行為的事前評估、跨境傳輸特殊規則等。

《個人信息保護法（草案）》的核心理念內容與制度框架設計與歐盟的GDPR（《通用數據保護條例》）是一致的，GDPR以保護個人根本性權利為出發點，規定了數據控制者和數據處理者應當依照透明度等原則，在獲得數據主體同意等情形下和保障個人對數據的充分控制權的前提下，才可以合法處理個人數據。

（三）區塊鏈技術對個人信息保護法律的挑戰

區塊鏈技術的核心特征在于點對點的傳輸機制，并不依賴中心化平臺集中處理數據，因此個人信息保護法律要求公司、平臺等處理個人信息主體承擔的義務和責任將難以落實，因為區塊鏈技術中根本不存在這樣的集中處理個人信息的公司、平臺等主體。區塊鏈技術通過算法自動進行數據處理和完成交易，從技術實現來講人為干預越少越好，以提高效率和防止篡改，這和個人對個人信息享有的要求更正、撤回信息等決定和控制權相矛盾。

共有315萬枚Blur于近日解鎖后被轉至Wintermute地址:6月19日消息，據鏈上分析師riyuexiaochu觀察，Blur代幣于本月14日經過巨量解鎖后價格不降反升，共有3000萬枚Blur轉入加密交易所Coinbase，但Coinbase交易量僅于14日增加了200萬枚且價格增幅達20%。

Blur白皮書顯示，投資人解鎖7849萬枚，團隊貢獻者解鎖1.17億枚，顧問解鎖498萬枚鎖，但已有1.54億枚Blur轉入多個新注冊錢包地址，riyuexiaochu分析，解鎖代幣或由項目方統一控制。此外，共有315萬枚Blur轉移至做市商Wintermute地址，且在近幾日持續增持中。綜合來看，鏈上數據表明項目可能有做市計劃。[2023/6/19 21:47:36]

簡單來講，個人信息保護法律的規定應用于區塊鏈技術時，可能會存在“由誰承擔義務”、“向誰主張權利”以及“所主張的權利難以實現”的問題。

（四）區塊鏈技術對個人信息保護法律的促進

區塊鏈技術的一些特征有利于個人信息保護。《數據安全法（草案）》明確要求建立數據溯源制度以追溯個人信息的直接或者間接來源，《網絡安全法》和《個人信息保護法（草案）》規定應當防止未經授權訪問信息、加密、去標識化、防止信息泄露。區塊鏈技術對節點信息創建和運行進行逐一記錄，通過時間戳和多方記賬等形式交叉驗證保證信息準確性，這些技術特征均有利于個人信息保護。此外，區塊鏈技術對信息的處理全程可追溯，可以增強個人對信息的控制。

（一）個人信息處理者角色定位與責任分配

可問責性和責任制是落實網絡安全和個人信息保護制度的核心。《個人信息保護法（草案）》將處理個人信息的主體分為個人信息處理者和接受委托進行處理的受托方，前者指可以自主決定處理目的和方式的組織、個人，后者只能按照個人信息處理者的指示進行處理，此外還涉及因合并、對外共享、嵌入SDK等第三方軟件等原因處理信息的第三方，各主體需要承擔的義務及責任分擔并不相同。《網絡安全法》將上述主體統一稱為網絡運營者，設定了需要統一遵守的網絡安全和數據保護義務。GDPR也將處理個人信息的主體區分為信息控制者和信息處理者，但是概念上規定由信息控制者決定處理的目的和方式，對信息控制者設定了較多義務，GDPR將接受委托處理數據一方稱為數據處理者，此外但凡接收數據的一方均被統一稱為數據接收者。

區塊鏈由提供分布式賬本的各節點組成，各節點通過密碼算法和分布式存儲等點對點處理數據，沒有中心化的數據處理者，從這個意義上講，每一個節點就是數據控制者或者數據處理者。區塊鏈對數據的處理方式高度自動化，使得數據控制者和數據處理者之間的角色分工和界限模糊，同時由于不同節點需要實現不同功能（例如負責賬本數據一致性的共識節點和負責賬本數據完整性的記賬節點），如果要對區塊鏈中各節點的角色分工按照個人信息保護法律的規定，甄別決定處理目的和方式的節點，從而要求承擔相應的責任和義務，是非常有難度的。

Cream Finance：已對閃電貸功能做出調整，以適應EIP-3156提案:8月23日，CreamFinance官方發布公告，稱平臺對閃電貸相關功能進行了調整，以適應改進提案EIP—3156。公告顯示，CreamFinance的閃電貸功能與AAVEV1非常相似，但有3個主要區別：1.Cream的閃電貸使用者將與flashLoanLender合約進行交互，而不是借貸池。2.Cream部署了兩個符合EIP-3156的flashLoanLenders合約，一種用于Lending，一種用于IronBank。3.Cream閃電貸的手續率更低，為0.03%。[2021/8/23 22:31:44]

難以區分區塊鏈節點在信息處理中的角色分工會導致責任劃分不清。個人信息保護法律要求能夠共同決定信息處理目的和方式的主體承擔連帶責任，接受委托按照指示處理數據的受托方不能轉委托他人處理個人信息，均是建立在對責任主體明確區分的基礎上。此外，由于是分布式處理技術，每一個節點可能既是信息控制者或者處理者，又是信息的來源與提供者，使得個人信息保護法律中與控制者或者處理者相對應的個人信息主體之間的概念模糊。無論是中國個人信息保護法律還是GDPR，其信息控制者和處理者既包括單位也包括個人，并未將個人排除在處理者或者控制者之外，因此法律保護的權利主體在區塊鏈技術下可能同時又是義務主體。更進一步，區塊鏈技術通過算法實現，使得這種權利義務實時轉化且大量發生，而法律規則具有穩定性，當試圖系統性而不僅僅針對個案從法律角度進行角色定位或者規制時，會遇到障礙。

導致這一困境的根本原因在于個人信息保護法律的制度設計是中心化的“傘狀”設計，而區塊鏈技術本質上是去中心化的“網狀”設計，個人信息保護法律將責任歸于集中處理數據的頂端平臺，由平臺對個人信息主體承擔義務，個人信息主體享有權利。而在區塊鏈中不存在這樣的集中處理數據平臺，由鏈中節點借助算法，多方協同實現傳統中心化平臺對數據處理的功能。由于實現功能的方式不一樣，將個人信息保護法律設定的責任承擔機制平移到區塊鏈中就會遭到挑戰。

（二）個人信息處理的原則與合法事由規則

個人信息保護法律要求在最短時間內為特定目的處理最少量的個人信息，且保證數據的真實、準確與安全。《個人信息保護法（草案）》規定的處理個人信息的原則主要包括正當、合法且目的明確，僅處理為實現目的所需要的最少信息，應當保障信息的準確性和及時更新等。GDPR也專門集中規定了個人信息處理原則，包括合法、公平與透明、目的限制、數據處理最小化與準確性、存儲期限限制和數據完整性與保密性。

基于以上原則，《個人信息保護法（草案）》規定僅在特定情況下才可以處理個人信息，包括取得個人同意、根據合同或者法律規定、應對緊急情況和以公共利益為目的在特定范圍內處理個人信息，對同意規則還進行了細化規定，例如應當確保個人在充分知情的前提下自愿、明確地做出同意等。GDPR也是圍繞“告知-同意”設計處理規則，要求在被充分告知的前提下自由地對特定處理行為作出明確的同意。

KingData監控：灰度ETH基金持倉總規模變為315.21萬枚ETH:據KingData數據顯示，灰度 ETH 基金減持 215.87 枚以太坊，基金持倉總規模變為 315.21萬 枚 ETH。注：灰度暫未開放贖回，小幅減持或因每股含幣量微調、扣減管理費所致。[2021/7/10 0:41:43]

就“告知-同意”規則和根據合同約定處理而言，區塊鏈技術依賴智能合約在不同的計算機之間達成協議，本質上是一種可自動執行的計算機程序，如同APP通過個人信息保護政策和彈窗告知用戶并取得用戶同意，智能合約將交易的規則和條件從文字轉化為數據并且在計算機之間通話。智能合約還具有可擴展性，可以根據規則創建、編譯等。區塊鏈共識機制主要是確保各節點之間的一致性，即各節點同意根據一致規則進行數據處理，不僅需要同意對數據進行處理，還需要同意一致的處理規則。可以看到，在區塊鏈技術中“告知-同意”規則和根據合同約定處理是同步的，但在個人信息保護法律中是不同的處理基礎，例如GDPR明確禁止事后選定合法處理的基礎，在這種情況下處理個人信息的合法性基礎邊界非常模糊。

（三）個人信息主體權利

個人信息保護法律最主要的立法目的為保障個人權益，同時促進個人信息合法利用。《個人信息保護法（草案）》賦予個人撤回同意和限制、拒絕處理信息的權利，個人有權查閱、復制個人信息，有權更正和補充個人信息，有權請求刪除個人信息。GDPR的規定大致相同，但還包括數據可攜帶權的規定，可攜帶權與復制或者訪問個人信息權利不同之處在于，可攜帶權要求數據控制者將數據整理為機器可讀的機構化形式，自動傳輸給個人指定的其他數據接收方。

盡管區塊鏈技術對互操作性的要求有利于諸如可攜帶權、查詢復制權等的實現，但是整體來看個人信息保護法律賦予作為自然人的個人對信息的決定權和控制權會造成人為干擾。個人在信息收集、使用、消失的整個生命周期均可依法主張權利，而區塊鏈卻要實現對數據的高度自動化處理并盡量減少人為干預以保障計算效率和準確性。如果個人要求更正、補充、刪除個人信息，可能會導致信息的不準確，且信息分散地存儲于各個節點，如何廣播通知所有節點、且保證各節點均采取一致行動，如何確保節點執行經過機器轉化的內容與個人主張的權利一致，各節點是否需要按照數據控制或者受托處理不同要求采取不同行動。

（四）個人信息種類與匿名化

《個人信息保護法（草案）》規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，個人信息中包含種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等敏感信息。經過匿名化處理后的信息不是個人信息。GDPR與此規定大致相同，例如均規定已識別或者可識別個人的才為個人信息，但也有不同，例如強調主要涉及自動化方式處理的信息才適用GDPR的規定，GDPR原則上禁止處理敏感信息，將匿名化信息區分為假名化和匿名化等。

YFI跌破31500美元關口 日內漲幅為2.2%:火幣全球站數據顯示，YFI短線下跌，跌破31500美元關口，現報31490.72美元，日內漲幅達到2.2%，行情波動較大，請做好風險控制。[2021/1/31 18:31:56]

中國個人信息保護法律對個人信息的載體規定更加寬松，包括電子方式體現的個人信息，也包括其他非電子方式體現的個人信息。而區塊鏈中的個人信息均以電子方式體現，當然適用個人信息保護法律。而鏈下存儲的信息有的以電子方式體現，有的可能以手寫記錄密碼等非電子方式體現，也需要適用個人信息保護法律的規定，而GDPR下如果非以自動化方式處理數據又不形成文檔的話，是不需要適用GDPR規定的。

匿名性是區塊鏈技術產生的初衷和追求的目標，加密是實現匿名化的一種技術，常用于區塊鏈的加密技術包括非對稱加密、同態加密和哈希函數，用于實現不同的識別和驗證目的。例如數字貨幣發行、挖礦和交易中用公鑰加密、用私鑰解密即為非對稱加密的一種。在個人信息保護法律語境下，理論上只要實現匿名化即不為個人信息，不需要經過同意等法定事由就可以進行處理，但實踐中實現匿名化的技術除了加密外還有很多種，每種技術可實現的匿名化程度并不一樣，例如GDPR規定通過假名化技術對數據進行處理后仍然可以識別到個人，因此不是完全的匿名化，仍然需要適用GDPR的規定。所以，區塊鏈所采用的加密等匿名化技術是否能夠滿足個人信息保護法律的規定是存疑的，例如加密后的信息是否可逆轉重識別個人。

區塊鏈技術的應用涉及大量敏感信息，密碼本身就是廣義的敏感信息的一種，例如比特幣等數字貨幣的發行和交易就會涉及身份標識、銀行賬戶信息、鑒別信息、電子簽名、密碼等。數字貨幣發行和交易本質上就是機器對數據的處理過程。為確保真實性，需要廣播至各節點對同一筆交易進行記錄并核驗，在此過程中涉及個人財務信息的公開、個人匿名身份的標識等，均需考慮到個人信息保護法律的要求而進行特殊保護，例如防止公開特定交易細節或者防止識別用戶等。

同時，根據個人信息保護法律，為履行法定義務或者根據法律規定，不經同意也可以或者依法必須處理個人信息。例如反洗錢法要求對用戶真實身份進行驗證，在中國利用區塊鏈提供信息服務需要滿足網絡實名制要求。

（五）個人信息處理的技術與組織措施

《個人信息保護法（草案）》和《網絡安全法》規定了個人信息處理者和網絡運營者應當采取的個人信息安全和保護制度，例如分級分類、去標識化、訪問控制、應急預案等，GDPR的總體要求為通過制度設計保障在默認的情形下個人權利得到保護。

根據個人信息保護法律的規定，對于高風險個人信息處理行為需要采取與風險程度相適應的特殊保護措施，高風險個人信息處理行為包括通過對用戶打標簽、畫像、進行自動化決策等，明確要求利用個人信息進行自動化決策前進行風險評估并記錄。盡管從技術實現角度區塊鏈需要盡量保持處理的一致性、全自動化和減少人為干預，但是從符合法律規定角度需要考慮合規性，例如中國個人信息保護法律明確要求，個人有權拒絕個人信息處理者僅通過自動化決策的方式做出決定，通過自動化決策方式進行商業營銷、信息推送，應當同時提供不針對其個人特征的選項。

BTC突破31500美元關口 日內漲幅為3.89%:火幣全球站數據顯示，BTC短線上漲，突破31500美元關口，現報31505.71美元，日內漲幅達到3.89%，行情波動較大，請做好風險控制。[2021/1/28 14:11:22]

個人信息的存留期限是個人信息保護法律重點規定的問題，其基本要求為僅在實現目的所需的必要期限內存留信息，根據中國個人信息保護法律的規定，對存留期限的規定為6個月（例如網絡日志）至3年（電商商品服務信息、直播信息等）不等。從理論上講，雖然區塊鏈技術傾向于或者使得信息可以永久留存，但需要考慮法律關于信息存儲的規定；此外由于區塊鏈中信息分散存儲于各節點，如何通知刪除、實現徹底刪除也是在編寫智能合約設定交易條件時需要考慮的因素。《個人信息保護法（草案）》實際上為技術發展提供了冗余空間，例如規定技術上難以實現刪除的，可以采取停止處理個人信息的方式替代刪除。

（六）個人信息保護法律的適用范圍和跨境傳輸

雖然網絡空間使得物理地域范圍變得越來越無意義，但是在現行法律框架規則還是需要得到遵守。《個人信息保護法（草案）》拓展了法律的域外適用范圍，除了在中國境內的個人信息處理行為需要遵守法律規定外，境外向境內提供產品或者服務、分析評估境內自然人行為，也需要遵守中國法律規定。GDPR規定類似，即只要在歐洲經濟區內設立機構，或者向歐洲經濟區內個人提供產品或者服務或者監控其行為，均適用GDPR的規定。

區塊鏈技術是超越國界的技術，例如數字貨幣等基于區塊鏈的應用甚至超越國家發幣主權，實現數據點對點的傳輸，因此無論公司注冊于哪一個國家或者服務器位于哪一個國家，節點參與者來自于世界各國，均有可能被個人信息保護法律確認為面向本國提供商品或者服務。此外，根據中國和歐盟個人信息保護法律的規定，在境外處理境內個人信息，還需要在本國境內設立代表機構。因此，極端情形下，需要逐一考慮每個國家是否有在本地設立代表處的要求，所有國家法律均需要被考慮。

目前根據中國法律的規定通過備案的區塊鏈企業有近千家，包括利用區塊鏈技術的應用和從事區塊鏈技術研發的企業。中國鼓勵區塊鏈技術發展，但是全面禁止數字貨幣發行融資。世界范圍內區塊鏈企業包括軟件開發者、平臺提供者、各行業應用者等等，例如以太坊等提供智能合約底層技術的平臺等。從事區塊鏈技術研發或者利用區塊鏈技術開發商品或者提供服務的企業或者平臺需要考慮的個人信息保護法律問題包括：

（一）頂層設計選擇合規風險小的區塊鏈部署方式

按照行業通行的分類，區塊鏈一般可以分為私有鏈、聯盟鏈和公有鏈，從是否需要許可加入節點出發，可分為經許可的鏈和不用經過許可的鏈。由于私有鏈和聯盟鏈限定了節點開放的規模和實體，與任何人均可參與的公有鏈相比，鏈上數據更有能在可控范圍內進行處理。如果配合許可機制，對節點進行驗證和登記，從個人信息保護和可追溯角度，合規符合性更高。

（二）有意識區分區塊鏈中多方主體角色和責任

區塊鏈中存在多方主體，例如軟件開發者、平臺提供者、記賬節點、驗證節點、礦工等，如果按照個人信息保護法律的規定，需要一一對應多主體是決定處理目的和方式的一方、接受委托處理數據的一方還是信息被收集或者被處理的用戶個人等，才能對權利義務分配和責任承擔形成符合法律規定的預設。雖然區塊鏈是通過去中心化方式進行數據處理，開發者、平臺方等并不集中存儲、管理數據，且開發者、平臺方本身是否屬于信息控制者或者處理者仍然是需要考慮的因素，但無論如何均需要履行法律規定的信息安全和個人信息保護義務。

（三）考慮需要遵守的法律強制性規定

區塊鏈的技術創新包括匿名交易，匿名交易同時也將帶來隱患，例如利用數字貨幣洗錢。例如，基于區塊鏈技術的數字貨幣需要考慮“知道你的客戶”原則，根據反洗錢法律規定收集客戶信息，根據中國網絡實名制收集用戶手機號碼、身份證號碼等真實信息，根據中國網絡內容生態審核要求對區塊鏈信息發布的內容進行審核。此外，中國法律通常會規定“法律、行政法規另規定的除外”，需要考慮各自行業的特殊規定避免或者必須處理特定信息。

（四）設立人工干預機制

理想狀態下的區塊鏈信息全部通過機器進行計算和處理，但是為了滿足個人信息保護法律的規定，需要設置適當的人為干預機制，例如當個人主張訪問、更正、刪除權時可以及時有效響應，在自動化決策中實現人工審核糾正機制。在編寫智能合約時需要提前考慮，如果鏈上信息打上時間戳后無法直接更正、刪除，需要通過增加代碼方式改寫信息，確保準確性。

（五）采用適當技術和組織措施

單一和孤立的技術措施或者組織措施無法實現個人信息保護，也滿足不了法律的要求。例如，通過非對稱加密匿名化技術對信息進行加密后，如果不采取限定訪問控制、分開存儲信息等組織措施，其信息是可以再識別到個人的。再如，為了避免違反個人信息保護法律，可以對個人信息進行分級分類，對于識別個人可能性大的信息或者敏感信息，僅在鏈下存儲。

作為典型的顛覆性技術，區塊鏈技術實際上順應了科技發展使得生產生活虛擬化的趨勢，并且進一步弱化工業時代作為信用背書和信息中介平臺的功能，實現針對每一個節點的個性化和點對點定制化的信息處理。但是區塊鏈技術還在發展之中，許多應用處于未知狀態。同時，網絡發展使得大量收集個人信息成為現實，利用個人信息可以深度發掘人的需求實現商業價值，才使得通過法律對個人信息進行專門保護成為必要。可以看出，區塊鏈技術和個人信息保護法律均處于發展的過程中，因此交界處的沖撞無法避免。區塊鏈技術以節點利用機器對數據進行去中心化處理為特征，而個人信息保護法律以數據控制和處理者集中化對人的信息進行處理為邏輯，個人信息保護法律是以人為中心設計的制度，而區塊鏈以機器、程序、算法為中心，現實生活中的人在網絡空間中抽象為節點。雖然區塊鏈技術和個人信息保護法律的相互影響還有待觀察，但是現行的區塊鏈技術發展仍然需要考慮和滿足個人信息保護法律的要求。

參考資料：

1、《個人信息保護法（草案）》，全國人大常委會，2020年10月

2、《數據安全法（草案）》，全國人大常委會，2020年7月

3、《民法典》，全國人民代表大會，2020年5月

4、《區塊鏈信息服務管理規定》，國家互聯網信息辦公室，2019年2月

5、《信息安全技術 區塊鏈信息服務安全規范（征求意見稿）》，全國信息安全標準化技術委員會，2021年1月

6、《信息安全技術 個人信息去標識化指南》（GB/T 37964-2019），全國信息安全標準化技術委員會，2020年3月

7、JT/T 0184—2020《金融分布式賬本技術安全規范》，中國人民銀行，2020年2月

8、《區塊鏈司法存證應用白皮書（1.0）》，可信區塊鏈推進計劃，2019年6月

9、《區塊鏈安全白皮書（1.0）》，可信區塊鏈推進計劃，2018年12月

10、朱嘉明、李曉：《數字貨幣藍皮書（2020）》，中國工人出版社2021年版

11、The Impact of Data Protection Regulations on the Blockchain Ecosystem, International Association for Trusted Blockchain Applications, November 2020

12、ISO 22739—2020 Blockchain and distributed ledger technologies — Vocabulary, ISO, July 2020

13、Blockchain and the General Data Protection Regulation, EPRS, July 2019

14、Blockchain and the GDPR: Solutions for a responsible use of the blockchain in the context of personal data, CNIL, September 2018?

15、Article 29 Data Protection Working Party, ‘Opinion 05/2014 on Anonymisation Techniques’, (2014) WP 216 《關于匿名化技術的意見》

作者簡介：

王源律師，北京高勤律師事務所合伙人。在中國提供法律咨詢近 20 年，擅長處理數據合規、一般公司業務和外商投資業務。

王源律師自2012年開始提供網絡安全和數據保護法律服務，具有為高科技行業提供法律服務的豐富經驗。王源律師同時具備跨國公司內部法律顧問及中國、美國和英國律師事務所工作經驗。入選北京市律師協會涉外律師人才庫，擔任廣州大學法學院實踐教授，為北京律師協會信息網絡與電信郵政法律專業委員會委員。

編審 | 照生、雨林

排版 | 梓琳

Tags：區塊鏈GDPDPRION銀行區塊鏈幣有什么用gdp幣種DPR幣LIONISLAND

比特幣行情