李儀 王棟

摘 要：隨著區(qū)塊鏈技術(shù)的運用，個人信息被集中地收集與傳輸、被分散地存儲與利用。這在提高了信息效率的同時對信息安全帶來破壞，由此群體的信息主體的人格權(quán)利被侵害、信息的有效利用也受到阻礙。對此我國應通過立法保護信息主體與利用者權(quán)益，同時保護群體信息安全。在制度設(shè)計中，立法者應立足于實際，將歐洲的被遺忘權(quán)與可攜帶權(quán)等立法成果做語境化的分析借鑒;在制度實施中，執(zhí)法者與司法者應強化對區(qū)塊鏈產(chǎn)業(yè)的宏觀監(jiān)管，同時將部分管理權(quán)限下放給行業(yè)自律組織，為維護信息安全提供機制保障。

關(guān)鍵詞：區(qū)塊鏈;個人信息;信息安全風險

中圖分類號：D920.4? ?文獻標志碼：A? ?文章編號：1002-2589（2020）01-0075-02

區(qū)塊鏈下，虛擬網(wǎng)絡通過信息流動與現(xiàn)實社會聯(lián)結(jié)在一起，個人信息的保護也早已超過個體安全的范疇，演化成為融合經(jīng)濟、科技等領(lǐng)域的綜合性議題。破壞個人信息安全不僅侵害公民個人的合法權(quán)益，而且干擾了信息社會的正常秩序。我們應通過多種手段保障個人信息安全，本文試圖探究個人信息安全法律保護的具體途徑。

一、解析區(qū)塊鏈下個人信息安全的風險

（一）個人信息及其安全之詮釋

根據(jù)歐盟于2016年頒行的《通用數(shù)據(jù)保護條例》第4條，個人信息是指與特定主體關(guān)聯(lián)從而能夠識別主體特征的數(shù)據(jù)、符號及其組合。個人信息一般包括姓名、年齡、籍貫等。自然法學家普遍認為，個人信息是主體尊嚴與自由等人格價值的重要載體，此觀點在我國《民法總則》第111條中得到采納[1]。同時在信息科學視野中，信息保持安全狀態(tài)是維護主體權(quán)益與促進信息資源開發(fā)利用的重要條件，信息安全又主要包含如下要素：第一，完整和真實性。即信息應該處于完整和真實狀態(tài)，以確保主體獲得正確的社會評價。第二，保密性。即信息應保持秘密狀態(tài)，未獲主體授權(quán)不得泄露給其他信息控制者，以此確保主體生活的安寧與自由。第三，可用性。即信息在得到信息主體授權(quán)后，得以被谷歌等提供云服務的運營商（以下簡稱“服務商”）收集后通過存儲、傳輸?shù)确绞教幚恚賯鬏斀o公共機關(guān)及電子商務企業(yè)等機構(gòu)加以利用，以此實現(xiàn)信息的社會價值。

（二）區(qū)塊鏈信息安全風險的解因

根據(jù)《中國區(qū)塊鏈技術(shù)和應用發(fā)展白皮書》，區(qū)塊鏈是一種去中心化存儲、分布式共識、加密算法等信息技術(shù)的創(chuàng)新應用。區(qū)塊鏈下，利用者能夠運用分布式賬本，分節(jié)點地存儲與利用信息，這在提高了信息處理效率的同時，也對信息安全帶來風險。一方面，區(qū)塊鏈作為新興技術(shù)，安全防護存在薄弱環(huán)節(jié)，并且對于信息保護機制的設(shè)置不合理。惡意節(jié)點可以利用漏洞進行雙花攻擊，從而修改與披露區(qū)塊鏈信息，信息的完整性與隱秘性由此被破壞。最典型的事例是，區(qū)塊鏈企業(yè)存儲的個人信息因黑客攻擊而被篡改與泄露，損失約1 800萬元[2]。另一方面，服務商時常借助集中收集與傳輸信息的優(yōu)勢地位，向利用者抬高信息價格從而謀取不當利益，這阻礙了信息的正常流通從而破壞了信息的可用性。

二、中外風險對策之比較分析

為應對前述風險，歐盟通過立法提出了對策。吸取這些對策中的精髓并審視我國現(xiàn)行法的不足，這對于我國完善立法從而維護信息安全、維護主體權(quán)益與促進信息開發(fā)利用具有積極的借鑒意義。

（一）歐盟風險對策之取精

根據(jù)歐盟《通用數(shù)據(jù)保護條例》第3章“信息主體的權(quán)利”，信息主體可行使刪除權(quán)、被遺忘權(quán)等權(quán)利，以防止信息的完整性與保密性被破壞;同時根據(jù)該條例第20條，信息主體與利用者可行使可攜帶權(quán)，向服務商等信息控制者索取通用化、可讀取和可編輯的信息;同樣根據(jù)該條例第6章“獨立監(jiān)管機構(gòu)”，歐盟數(shù)據(jù)委員會等機構(gòu)應監(jiān)管服務商對于信息的收集、存儲與傳輸?shù)然顒?。對于前述組織破壞信息安全的行為，監(jiān)管機構(gòu)應協(xié)同行業(yè)自律組織進行查究。

前述規(guī)定在歐盟成員國的立法中也得到了體現(xiàn)。根據(jù)德國《聯(lián)邦數(shù)據(jù)保護法》第1編第4節(jié)，在公共機關(guān)與私人機構(gòu)運用區(qū)塊鏈等大數(shù)據(jù)技術(shù)處理個人信息之前，原則上應經(jīng)過主體同意;在處理的過程中，機構(gòu)應當采取必要技術(shù)與管理措施來保持信息的真實性、完整性與隱秘性等安全屬性;根據(jù)該法第3編第3章第36節(jié)，私人機構(gòu)任意破壞群體信息安全的，除了向主體承擔損害賠償?shù)蓉熑瓮?，還應當向行政部門繳納罰金。與此類似，英國《數(shù)據(jù)保護法》也對信息處理者設(shè)定了維護信息安全的義務。該法第三部分規(guī)定，取得了主體授權(quán)的機構(gòu)得以自主利用信息，從而實現(xiàn)信息可用性的安全要求。

通過比較我們發(fā)現(xiàn)，在區(qū)塊鏈下，歐洲在設(shè)計規(guī)則時存在如下的趨同性：第一，注重對群體而非個體信息的真實性與保密性的維護。第二，維護利用者的權(quán)益，通過實現(xiàn)信息的可用性來便利信息的開發(fā)利用。第三，采取行政監(jiān)管與行業(yè)監(jiān)管并行的機制。

（二）我國現(xiàn)有法律風險之檢視

目前我國關(guān)于個人信息保護的法規(guī)主要有《民法總則》《網(wǎng)絡安全法》《電子商務法》等。其中，《網(wǎng)絡安全法》是我國網(wǎng)絡安全領(lǐng)域的基礎(chǔ)性法律，構(gòu)建了我國信息安全網(wǎng)絡治理的基本框架。該法厘清了網(wǎng)絡運營商、網(wǎng)絡服務提供者等主體的責任;在《民法總則》第111條中，立法者明確了自然人的個人信息受到法律保護;在2019年1月頒行的《電子商務法》第二章中，其規(guī)定電子商務環(huán)境下消費者個人信息不受經(jīng)營者侵害。還有一些行政法規(guī)與行業(yè)規(guī)章，譬如工業(yè)與信息化部的《互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》和中國廣告協(xié)會《互聯(lián)網(wǎng)定向廣告?zhèn)€人信息保護聲明》等。在維護信息主體的人格權(quán)益、規(guī)范信息時代的社會秩序等方面，前述規(guī)范的積極意義毋庸置疑。

然而相較歐洲經(jīng)驗而言，我國法制尚存在以下不足：第一，對區(qū)塊鏈下的社會需求回應能力不足。信息資源的開發(fā)利用是區(qū)塊鏈下重要的需求，可用性則是前述需求得以回應的重要前提。而現(xiàn)行法偏重對個人信息真實性和保密性的保護，忽略了對可用性的滿足，阻礙了區(qū)塊鏈下信息的開發(fā)與利用。第二，保護措施缺乏有效性。區(qū)塊鏈下，服務商能對個人信息進行海量收集，這時常導致不特定多數(shù)主體的信息安全被破壞，進而侵害群體權(quán)益。我國現(xiàn)行法主要針對個體權(quán)益的保護，而欠缺能有效保障群體信息權(quán)益的機制。第三，制度的實施手段單一。就現(xiàn)行法而言，我國主要依靠行政與司法等外部手段強制干預。而在區(qū)塊鏈下，信息常被分節(jié)點地存儲，它們在各自節(jié)點內(nèi)具有一定管理權(quán)限。在欠缺行業(yè)自律機制的前提下，我國單靠立法這樣的外部手段很難引導機構(gòu)完善內(nèi)部管理來應對風險。

三、風險的法律應對機制之具體構(gòu)造

（一）信息利用者的權(quán)益保障機制：回應信息可用的安全需求

區(qū)塊鏈下，個人信息可用性的實現(xiàn)可以推動信息產(chǎn)業(yè)的發(fā)展，也能夠滿足信息主體的服務需求。為回應這一訴求，我國宜借鑒歐洲立法，按照可用性這一信息安全標準設(shè)置如下規(guī)則，以此體現(xiàn)信息開發(fā)利用的價值取向：第一，利用者有權(quán)要求服務商對信息進行合理計價，同時針對服務商阻礙信息合理傳輸?shù)男袨椋ㄈ缛我馓Ц咝畔r格并降低質(zhì)量）向行政部門投訴或向司法機關(guān)起訴。第二，對在區(qū)塊鏈中合法獲取的信息，利用者有權(quán)加以利用并防止侵害。根據(jù)國際標準組織于2014年制定的《公共云下個人信息保護實踐中的安全技術(shù)規(guī)范》第7點，利用的方式包括對信息進行接收、分析、比對以及向服務商反饋等[3]。為防止服務商與利用者濫用信息優(yōu)勢地位侵害信息主體的權(quán)利，立法者應對利用者的前述權(quán)利行使設(shè)定如下限制：第一，原則上對于信息的利用應征得信息主體的同意，法律有例外規(guī)定的除外。第二，在信息的生命周期中，應采取合理措施以確保信息處于完整和真實狀態(tài)。

（二）信息主體權(quán)益的強化保護機制：治理群體信息安全風險之公害

為應對區(qū)塊鏈下主體人格權(quán)益因信息安全風險而面對的挑戰(zhàn)，立法者宜在現(xiàn)行法基礎(chǔ)上增設(shè)如下規(guī)則：第一，主體有權(quán)要求運營商刪除個人信息和傳播痕跡，以保持信息的隱秘狀態(tài)。針對區(qū)塊鏈不可刪除的特點，立法者宜要求運營商改良新技術(shù)，允許用戶刪除個人信息，以此尊重信息主體的被遺忘權(quán)[4]。第二，利用者對信息加以利用并獲取利益的，應向主體分配部分收益。個人信息能被收集、存儲與傳輸進而產(chǎn)生經(jīng)濟效益。按照分配正義的價值尺度，信息生產(chǎn)者理應從中獲取收益。第三，服務商應通過特定途徑（如建立跨區(qū)塊鏈信息傳遞機制），確保主體能利用自身信息從而實現(xiàn)信息的可用性，打破信息壁壘。第四，服務商與利用者危害信息安全并侵害主體權(quán)益時，后者有權(quán)請求侵害人按照實際損失的一定比例支付賠償金。比照我國法院對類似公害案件的司法裁決，賠償金的具體倍數(shù)可以按照損害所涉及的地域范圍與受害主體人數(shù)等因素來確定，一般為2-5倍。

（三）區(qū)塊鏈產(chǎn)業(yè)的雙重監(jiān)管機制：消除安全風險的產(chǎn)業(yè)內(nèi)部誘因

區(qū)塊鏈下，個人信息在被服務商集中收集與傳輸?shù)耐瑫r，又被利用者分節(jié)點存儲與利用。為應對技術(shù)革新引發(fā)的變局，我國應按照如下思路優(yōu)化配置監(jiān)管資源，重構(gòu)現(xiàn)有監(jiān)管機制，強化信息安全保障效能。一方面，在行政與司法監(jiān)管層面，通過創(chuàng)新監(jiān)管模式，豐富監(jiān)管手段從而延展監(jiān)管覆蓋面，提升監(jiān)管的管控力，保障行政與司法機關(guān)對于區(qū)塊鏈企業(yè)的監(jiān)督。譬如行政主管機關(guān)（如工業(yè)與信息化部）負責宏觀調(diào)控，立足全局對于區(qū)塊鏈產(chǎn)業(yè)進行監(jiān)管，優(yōu)化區(qū)塊鏈產(chǎn)業(yè)的發(fā)展環(huán)境（如將違法企業(yè)納入黑名單數(shù)據(jù)庫）;另一方面，授權(quán)行業(yè)自律組織以行政規(guī)范為指引，發(fā)揮內(nèi)部治理的靈活性，結(jié)合行業(yè)規(guī)律進行微觀治理，克服行政監(jiān)管的滯后性。

參考文獻：

[1]胡平仁，梁晨.人的倫理價值與人的人格利益 [J].法律科學，2012（4）：19.

[2]搜狐科技.黑客篡改區(qū)塊鏈交易數(shù)據(jù)，短短一周賺取超1800萬元[EB/OL].[2019-05-25]. http：//www.sohu.com/a/232856432_

401710.

[3]Cyber security：protection of personal data online[EB/OL].[2016-06-25].http：//www.publlications parliament.uk/pa/cm

201617/cmselect/cmcumds/148/14802.htm.

[4]李佩麗，徐海霞，馬添軍，穆永恒.可更改區(qū)塊鏈技術(shù)研究[J].密碼學報，2018（12 ）.

收稿日期：2019-06-13

基金項目：國家社會科學基金項目“大數(shù)據(jù)時代個人信息盜竊的法律問題與對策研究”（16CFX027）的階段性研究成果

作者簡介：李儀（1981-），男，四川成都人，教授，博士、博士后，從事信息管理學與情報學研究;王棟（1998-），男，江蘇淮安人，助理研究人員，從事信息法學研究。