齊愛民

(重慶大學(xué) 法學(xué)院,重慶 400045)

引言

區(qū)塊鏈?zhǔn)且环N分布式數(shù)據(jù)庫技術(shù),與解決數(shù)據(jù)傳輸?shù)幕ヂ?lián)網(wǎng)不同,它最大的意義在于實現(xiàn)了價值傳輸。目前,區(qū)塊鏈應(yīng)用在我國取得了迅猛發(fā)展,“區(qū)塊鏈+”在全國逐步鋪開,中央和地方都相繼出臺區(qū)塊鏈產(chǎn)業(yè)政策和發(fā)展規(guī)劃,各地區(qū)塊鏈產(chǎn)業(yè)園區(qū)建設(shè)相繼落地。區(qū)塊鏈在全社會的普及應(yīng)用將引發(fā)人與人之間社會關(guān)系的改變,這種改變?nèi)缤?dāng)今的互聯(lián)網(wǎng)一樣日新月異,相關(guān)問題將會引發(fā)一系列法律變革,如個人信息保護(hù)、數(shù)據(jù)安全、虛擬貨幣對主權(quán)貨幣的沖擊和智能合約的有效性等,其中個人信息保護(hù)問題備受關(guān)注。區(qū)塊鏈在重塑社會信任、改變?nèi)伺c人之間交往方式的同時,必將以自己的技術(shù)和商業(yè)特性給個人信息保護(hù)法帶來新一輪的挑戰(zhàn)。

當(dāng)前,個人信息保護(hù)立法成為世界各國數(shù)字社會治理的重要議題。2018年5月25日,《歐盟通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,以下簡稱“GDPR”)的正式實施掀起了美國乃至全球范圍內(nèi)個人信息保護(hù)立法革新與發(fā)展的浪潮。2018年6月28日,《美國2018加利福尼亞消費者隱私法案》(California Consumer Privacy Act of 2018,以下簡稱“CCPA”)的通過是對歐盟GDPR的及時回應(yīng),美國聯(lián)邦層面的隱私立法也在積極推進(jìn)。GDPR實施后,印度、巴西、日本、新加坡等國紛紛制定或修訂本國的個人信息保護(hù)法,以適應(yīng)新時期的社會變革。2021年8月20日,我國《個人信息保護(hù)法》由第十三屆全國人民代表大會常務(wù)委員會第三十次會議正式通過。該法充分借鑒了歐盟、美國等國家和地區(qū)最新數(shù)據(jù)保護(hù)立法,系統(tǒng)總結(jié)了十多年來我國個人信息保護(hù)立法、執(zhí)法和司法的實踐經(jīng)驗,積極回應(yīng)了人臉識別、算法決策和個人信息跨境傳輸?shù)惹把貑栴},但卻并未對區(qū)塊鏈環(huán)境中的個人信息特殊保護(hù)問題予以規(guī)定,學(xué)界對此亦尚未進(jìn)行充分討論。①目前我國學(xué)界對于該問題的研究尚處于起步階段,相關(guān)代表性研究可參見王祿生:《區(qū)塊鏈與個人信息保護(hù)法律規(guī)范的內(nèi)生沖突及其調(diào)和》,載《法學(xué)論壇》2022年第3期;江海洋:《論區(qū)塊鏈與個人信息保護(hù)之沖突與兼容》,載《行政法學(xué)研究》2021年第4期;王從光:《區(qū)塊鏈技術(shù)應(yīng)用于個人信息保護(hù)的法理解讀與治理》,載《西北民族大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2021年第6期;張婷:《區(qū)塊鏈時代信息服務(wù)提供者的責(zé)任建構(gòu):歐盟〈一般數(shù)據(jù)保護(hù)條例〉的啟示》,載《法學(xué)雜志》2021年第3期;陳奇?zhèn)?、聶琳?《技術(shù)+法律:區(qū)塊鏈時代個人信息權(quán)的法律保護(hù)》,載《江西社會科學(xué)》2020年第6期;曾煒:《歐盟〈一般數(shù)據(jù)保護(hù)條例〉下區(qū)塊鏈的數(shù)據(jù)保護(hù)義務(wù)》,載《科技與法律》2020年第4期;劉寧元、閆飛:《區(qū)塊鏈技術(shù)應(yīng)用與GDPR緊張關(guān)系的構(gòu)成及調(diào)和》,載《齊魯學(xué)刊》2020年第2期。我國臺灣地區(qū)也有學(xué)者就此問題進(jìn)行研究,參見郭戎晉:《論區(qū)塊鏈技術(shù)與歐盟一般資料保護(hù)規(guī)則之沖突》,載《臺大法學(xué)論叢》2021年第1期。“作為數(shù)字社會的基礎(chǔ)性法律制度,個人信息保護(hù)的立法應(yīng)與時俱進(jìn),以回應(yīng)不斷涌現(xiàn)的新需求和新問題。”②張新寶:《我國個人信息保護(hù)法立法主要矛盾研討》,載《吉林大學(xué)社會科學(xué)學(xué)報》2018年第5期,第46頁。因此,立法機構(gòu)必須積極關(guān)注區(qū)塊鏈對個人信息保護(hù)法的挑戰(zhàn),充分考慮區(qū)塊鏈技術(shù)的特殊性及其對個人信息保護(hù)法的影響,推動我國個人信息保護(hù)法律制度的完善。

一、區(qū)塊鏈對個人信息法律保護(hù)的挑戰(zhàn)

(一)匿名性挑戰(zhàn)個人信息的界定標(biāo)準(zhǔn)

區(qū)塊鏈萌芽于2008年,以中本聰發(fā)表的《比特幣:一種點對點的電子現(xiàn)金系統(tǒng)》(Bitcoin: A Peerto-Peer Electronic Cash System)一文為標(biāo)志。然而,區(qū)塊鏈究竟是什么?目前全球尚未形成統(tǒng)一認(rèn)識。2019年,美國伊利諾伊州通過了《區(qū)塊鏈技術(shù)法》(Blockchain Technology Act),該法將區(qū)塊鏈定義為由多方主體使用去中心化的方法創(chuàng)建的電子記錄。區(qū)塊鏈用以驗證和存儲交易中的數(shù)字記錄,這些數(shù)字記錄通過使用此前交易信息的加密哈希值來保證其安全。③Illinois. Blockchain Technology Act, Section 5, “Blockchain” means an electronic record created by the use of a decentralized method by multiple parties to verify and store a digital record of transactions which is secured by the use of a cryptographic hash of previous transaction information.目前,學(xué)界對區(qū)塊鏈的概念和性質(zhì)尚未形成一致共識。有學(xué)者認(rèn)為:“區(qū)塊鏈?zhǔn)怯蓛蓚€以上主體參與,以數(shù)據(jù)為支撐,以算法為工具,去中心化、分式記賬、不可篡改,以發(fā)生特定交易行為為目的的民事法律行為?！雹芾顐ッ?《〈民法典》〉視域中區(qū)塊鏈的法律性質(zhì)與規(guī)制》,載《上海師范大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2020年第5期,第49頁。該觀點把區(qū)塊鏈界定為一種民事法律行為,混淆了技術(shù)、行為與法律之間的關(guān)系。也有學(xué)者認(rèn)為:“區(qū)塊鏈本質(zhì)上是一個去中心化的數(shù)據(jù)庫?！雹蓐惲⒀?《區(qū)塊鏈研究的法學(xué)反思:基于知識工程的視角》,載《東方法學(xué)》2018年第3期,第101頁。這種界定是對區(qū)塊鏈在事實層面上的描述。還有學(xué)者認(rèn)為:“區(qū)塊鏈系統(tǒng)超出了單純的經(jīng)濟利益范疇,而具有準(zhǔn)組織特征。”①汪青松:《區(qū)塊鏈系統(tǒng)內(nèi)部關(guān)系的性質(zhì)界定與歸責(zé)路徑》,載《法學(xué)》2019年第5期,第130頁。這種定性則混淆了技術(shù)與法律主體。法律以社會關(guān)系為調(diào)整對象,因此應(yīng)從法律關(guān)系的組成層面去認(rèn)識區(qū)塊鏈。

筆者認(rèn)為,區(qū)塊鏈?zhǔn)侵敢苑植际接嬎銥槟康纳傻?以數(shù)據(jù)存儲、點對點傳輸、共識機制和加密算法等為核心的計算機技術(shù)集合。區(qū)塊鏈既不是一種獨立的財產(chǎn),也不是具有意思能力的民事主體,更不是特定的法律行為,它僅僅是一種實現(xiàn)特定價值傳輸?shù)姆绞?故其法律性質(zhì)為技術(shù)工具。這種定性的意義在于澄清了法律對區(qū)塊鏈的規(guī)制并非針對技術(shù)本身,而是指向該技術(shù)的具體應(yīng)用場景和使用技術(shù)的人。區(qū)塊鏈這種集成式創(chuàng)新技術(shù)的應(yīng)用模式就是構(gòu)建一種基于互聯(lián)網(wǎng)的新型應(yīng)用網(wǎng)絡(luò)——“區(qū)塊鏈網(wǎng)”。所謂區(qū)塊鏈網(wǎng)(Blockchain Network),是指在互聯(lián)網(wǎng)基礎(chǔ)上建立的,利用區(qū)塊鏈技術(shù)進(jìn)行點對點數(shù)據(jù)和價值傳輸?shù)膽?yīng)用網(wǎng)絡(luò)。與基于互聯(lián)網(wǎng)等現(xiàn)有其他網(wǎng)絡(luò)的應(yīng)用相比,區(qū)塊鏈網(wǎng)也根植于互聯(lián)網(wǎng),但它最大的特色是通過去中心化的節(jié)點參與共識機制,有效解決了互聯(lián)網(wǎng)等其他應(yīng)用網(wǎng)絡(luò)無法實現(xiàn)的人與人之間的信任問題和價值傳輸問題,因而被視為一種安全可信網(wǎng)絡(luò)。

所謂區(qū)塊鏈匿名性,是指區(qū)塊鏈參與者的身份信息可以保持匿名,即不進(jìn)行公開和驗證,以及區(qū)塊鏈數(shù)據(jù)可以匿名和加密處理的技術(shù)特性。區(qū)塊鏈的匿名性滿足了用戶的隱私保護(hù)需求。以比特幣區(qū)塊鏈為例,用戶在接入該系統(tǒng)時,網(wǎng)絡(luò)設(shè)備會中生成一串隨機數(shù)字,即私鑰,私鑰經(jīng)過單向哈希運算后生成公鑰。有了私鑰和公鑰,用戶就可以自由轉(zhuǎn)讓比特幣了。在這一過程中,用戶并不需要像注冊虛擬貨幣交易平臺那樣提交手機號碼、電子郵箱和銀行卡號等個人信息,而是享有較高的匿名性。這種技術(shù)設(shè)計符合了密碼朋克們的隱私保護(hù)理念,可以在不受政府監(jiān)管的條件下自由開展交易活動。也正是因為這一特性,區(qū)塊鏈用戶的身份不易被識別,在客觀上加大了對利用虛擬貨幣實施洗錢、毒品交易等違法犯罪活動的偵破難度。區(qū)塊鏈的匿名性降低了用戶身份被識別的風(fēng)險,由此引發(fā)的問題就在于判斷區(qū)塊鏈中的數(shù)據(jù)是否構(gòu)成個人信息。區(qū)塊鏈的技術(shù)特性是匿名性,而個人信息的核心特征是可識別性,二者似乎存在天然矛盾,這是個人信息保護(hù)法適用于區(qū)塊鏈應(yīng)用場景的基礎(chǔ)和前提。

(二)分布式特性導(dǎo)致規(guī)制重心向節(jié)點控制者轉(zhuǎn)移

區(qū)塊鏈對個人信息保護(hù)法最根本的沖擊就在于立法重心的轉(zhuǎn)變,區(qū)塊鏈背景下的個人信息保護(hù)的立法重心將由個人信息處理者轉(zhuǎn)向節(jié)點控制者。分布式特性又稱去中心化,是區(qū)塊鏈最本質(zhì)的特性。根據(jù)這一特性,區(qū)塊鏈可以不依賴額外的第三方管理機構(gòu)或硬件設(shè)施,也不需要中心集中式管理系統(tǒng),而是通過分布式核算和存儲,由不同節(jié)點實現(xiàn)交易驗證、價值傳遞和數(shù)據(jù)管理。

節(jié)點是區(qū)塊鏈分布式特性的主要體現(xiàn)。所謂節(jié)點(Node),是指參與分布式驗證和鏈接區(qū)塊鏈數(shù)據(jù)的網(wǎng)絡(luò)設(shè)備和軟件的集合體。節(jié)點與節(jié)點控制者不同,所謂節(jié)點控制者,是指使用驗證和鏈接區(qū)塊鏈數(shù)據(jù)的網(wǎng)絡(luò)設(shè)備和軟件并設(shè)立區(qū)塊鏈節(jié)點的主體。以是否可以自由成為節(jié)點為標(biāo)準(zhǔn),可以將區(qū)塊鏈分為公鏈和非公有鏈。公鏈又稱公有鏈(Public Blockchain or Permissionless Blockchain),是指無需經(jīng)過授權(quán)就可以成為節(jié)點的區(qū)塊鏈。因此,在理論上公鏈的節(jié)點具有無限性,人們常說的區(qū)塊鏈的顛覆性其實就是針對公鏈而言的。非公有鏈(Permissioned Blockchain)是指需要經(jīng)過授權(quán)才能成為節(jié)點的區(qū)塊鏈。這意味著非公有鏈的節(jié)點是有限的。再以有限節(jié)點是否僅為發(fā)起人為標(biāo)準(zhǔn),又可以將非公有鏈分為私有鏈 (Private Blockchain)與聯(lián)盟鏈(Consortium Blockchain)。所謂私有鏈?zhǔn)侵腹?jié)點僅為發(fā)起人的區(qū)塊鏈。所謂聯(lián)盟鏈?zhǔn)侵腹?jié)點包括發(fā)起人和發(fā)起人授權(quán)的聯(lián)盟者的區(qū)塊鏈。在非公有鏈中,各個節(jié)點僅僅是按照發(fā)起人或聯(lián)盟者的要求分擔(dān)了一部分運營工作,因此,其在本質(zhì)上仍呈現(xiàn)出中心化特征。區(qū)塊鏈經(jīng)歷了從公有鏈到私有鏈,再到聯(lián)盟鏈的過程,在去中心化程度上也呈現(xiàn)出從高度去中心化到中心化,再到相對去中心化的過程。公鏈和非公有鏈在技術(shù)構(gòu)成上的差異也決定了二者不同的法律屬性,公鏈屬于技術(shù)基礎(chǔ),而非公有鏈則具有產(chǎn)品應(yīng)用的屬性,這種差異也導(dǎo)致二者在個人信息保護(hù)義務(wù)與責(zé)任承擔(dān)上的不同,為區(qū)塊鏈的分類監(jiān)管確立了理論基礎(chǔ)。①參見趙磊:《區(qū)塊鏈類型化的法理解讀與規(guī)制思路》,載《法商研究》2020年第4期,第46頁。

區(qū)塊鏈的分布式特性,導(dǎo)致區(qū)塊鏈中數(shù)據(jù)的利用方式發(fā)生了根本性的改變。區(qū)塊鏈采取多節(jié)點運營模式,各個節(jié)點均承擔(dān)了一部分個人信息處理者的管理職責(zé),這就使得區(qū)塊鏈中難以找到傳統(tǒng)互聯(lián)網(wǎng)環(huán)境下的實際運營者,進(jìn)而影響法律義務(wù)和責(zé)任的判定與分配,其必將挑戰(zhàn)當(dāng)前以個人信息處理者為規(guī)制重心的個人信息保護(hù)立法模式。對于比特幣、以太坊等公鏈而言,每個節(jié)點都是獨立平等的參與者,并不存在所謂的中心運營者,整個系統(tǒng)由所有不特定的節(jié)點控制者共同維護(hù)?？梢哉f,區(qū)塊鏈通過參與其中的不同節(jié)點在共識機制下形成了一個個自治社區(qū),這種組織結(jié)構(gòu)的改變也將影響立法者對區(qū)塊鏈中數(shù)據(jù)處理行為的規(guī)制思路。歐洲議會研究處發(fā)布的關(guān)于區(qū)塊鏈與GDPR的研究報告也指出,二者之間緊張關(guān)系的表現(xiàn)之一就是難以確定區(qū)塊鏈中實際的數(shù)據(jù)控制者,進(jìn)而影響到法律義務(wù)和責(zé)任的分配。②See Mihalis Kritikos & Scientific Foresight Unit (STOA),Blockchain and the General Data Protection Regulation,at https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf(Last visited on February 1,2020).

(三)不可篡改特性挑戰(zhàn)個人信息權(quán)的實現(xiàn)方式

區(qū)塊鏈不可篡改性是其安全性和透明性的重要保障,但同時其對個人信息權(quán)影響甚巨。區(qū)塊鏈不可篡改性是指區(qū)塊數(shù)據(jù)不易被修改的特性。個人信息權(quán)即自然人依法對其個人信息進(jìn)行控制和支配并排除他人干涉的權(quán)利③齊愛民:《信息法原論》,武漢大學(xué)出版社2010年版,第80頁。,它是自然人對其個人信息享有的人格權(quán)的總稱,包括決定權(quán)、查閱權(quán)、更正權(quán)、保密權(quán)、封鎖權(quán)、刪除權(quán)和被遺忘權(quán)等。其中,更正權(quán)、刪除權(quán)和被遺忘權(quán)的行使涉及到對已經(jīng)上鏈的數(shù)據(jù)的修改,因而和區(qū)塊鏈不可篡改性發(fā)生矛盾。要改變區(qū)塊數(shù)據(jù),不是絕對不可能,而是必須由控制全網(wǎng)51%以上算力的節(jié)點同步進(jìn)行,這對于公鏈來說是極為困難的或者說是以不成比例的成本才能做到的。對于比特幣區(qū)塊鏈而言,如果在技術(shù)上實現(xiàn)了51%攻擊,屆時比特幣的共識和信任機制將被摧毀,其價格也會暴跌,這自然是攻擊者們不愿意看到的。因此,這種技術(shù)和激勵機制上的雙重保障使得區(qū)塊鏈的不可篡改性得以維持和強化。區(qū)塊鏈不可篡改性的價值目標(biāo)是公開透明,而個人信息權(quán)的價值目標(biāo)是自然人對其個人信息的自主控制?；诖?區(qū)塊鏈在給用戶帶來信任和安全的同時,也因其技術(shù)設(shè)計和個人信息權(quán)利在價值取向上相悖,給更正權(quán)、刪除權(quán)和被遺忘權(quán)的行使造成了困難。

二、區(qū)塊鏈數(shù)據(jù)的構(gòu)成與個人信息的界定

(一)區(qū)塊鏈數(shù)據(jù)的構(gòu)成與類型劃分

所謂區(qū)塊鏈數(shù)據(jù)是指以二進(jìn)制形式存在于區(qū)塊之上并通過區(qū)塊鏈所生成的數(shù)據(jù)。區(qū)塊是區(qū)塊鏈網(wǎng)上數(shù)據(jù)的存儲單元,區(qū)塊由區(qū)塊頭和區(qū)塊體構(gòu)成,其大小取決于開發(fā)者的技術(shù)設(shè)計。④以比特幣區(qū)塊鏈為例,區(qū)塊頭是80字節(jié),平均每個區(qū)塊包含500個以上的交易,每個交易至少包含250字節(jié),其他類型的區(qū)塊鏈則大同小異。關(guān)于區(qū)塊鏈數(shù)據(jù)的分類,中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會于2017年12月22日發(fā)布了一項團(tuán)體標(biāo)準(zhǔn)——《區(qū)塊鏈·數(shù)據(jù)格式規(guī)范》,在技術(shù)上將區(qū)塊鏈數(shù)據(jù)總體上分為賬戶數(shù)據(jù)、區(qū)塊數(shù)據(jù)、事務(wù)數(shù)據(jù)、實體數(shù)據(jù)、合約數(shù)據(jù)、配置數(shù)據(jù)等。①參見中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會:《區(qū)塊鏈·數(shù)據(jù)格式規(guī)范》,載全國團(tuán)體標(biāo)準(zhǔn)信息平臺網(wǎng)2019年10月22日,http://www.ttbz.org.cn/StandardManage/Detail/30700/。這種分類更多是依據(jù)數(shù)據(jù)的功能進(jìn)行劃分。學(xué)界對此亦未形成通說,有學(xué)者認(rèn)為區(qū)塊鏈中的數(shù)據(jù)包括事務(wù)數(shù)據(jù)、實體數(shù)據(jù)和合約數(shù)據(jù)②程嘯:《區(qū)塊鏈技術(shù)視野下的數(shù)據(jù)權(quán)屬問題》,載《現(xiàn)代法學(xué)》2020年第2期,第125頁。,也有學(xué)者主要根據(jù)數(shù)據(jù)的存儲位置將其分為區(qū)塊頭數(shù)據(jù)、區(qū)塊體數(shù)據(jù)和身份數(shù)據(jù)。③李青:《區(qū)塊鏈技術(shù)中的個人信息保護(hù)問題研究》,載《上海法學(xué)研究》集刊2022年第5卷,第184頁。這些分類更多的是對區(qū)塊鏈中數(shù)據(jù)的一種列舉,缺乏清晰的分類標(biāo)準(zhǔn)。

在形式邏輯中,類型劃分是認(rèn)識一個事物的重要方式,它是把具有共同特征的一些條目歸并在一起,并把它們與具有不同特征的其他條目區(qū)分開來的一種深入認(rèn)識概念的方法。對區(qū)塊鏈數(shù)據(jù)的類型劃分應(yīng)當(dāng)遵循三個要求:其一,劃分必須相稱,即分類所得的各種數(shù)據(jù)的外延總和應(yīng)當(dāng)?shù)扔趨^(qū)塊鏈數(shù)據(jù)的外延。其二,每次劃分的根據(jù)必須同一。其三,劃分的子項必須互相排斥。④關(guān)于類型劃分的標(biāo)準(zhǔn),參見馬駿駒、申海恩:《關(guān)于私權(quán)類型體系的思考——從形成權(quán)的發(fā)現(xiàn)出發(fā)》,載《法學(xué)評論》2007年第3期,第13頁。根據(jù)這一理論,筆者認(rèn)為,以是否存在于區(qū)塊之上為標(biāo)準(zhǔn),區(qū)塊鏈數(shù)據(jù)可以被分為注冊數(shù)據(jù)和區(qū)塊數(shù)據(jù)。所謂注冊數(shù)據(jù),是指用戶用以注冊區(qū)塊鏈賬戶以及注冊完成后形成的賬戶數(shù)據(jù),包括私鑰和公鑰。所謂區(qū)塊數(shù)據(jù),是指在區(qū)塊鏈網(wǎng)中以二進(jìn)制形式存在于區(qū)塊之上的數(shù)據(jù)。根據(jù)數(shù)據(jù)存儲的位置及其產(chǎn)生方式,區(qū)塊數(shù)據(jù)又可以被分為區(qū)塊頭數(shù)據(jù)、區(qū)塊體數(shù)據(jù)、附加數(shù)據(jù)和區(qū)塊鏈功能交易數(shù)據(jù)四種類型,其內(nèi)容分述如下:

第一,區(qū)塊頭數(shù)據(jù)。存儲于區(qū)塊頭的數(shù)據(jù),簡稱區(qū)塊頭數(shù)據(jù)。區(qū)塊頭數(shù)據(jù)包含哈希值、默克爾根、塊編號、時間戳和隨機數(shù)等幾類數(shù)據(jù)。⑤邵奇峰等:《區(qū)塊鏈技術(shù):架構(gòu)及進(jìn)展》,載《計算機學(xué)報》2018年第5期,第974頁。

第二,區(qū)塊體數(shù)據(jù)。區(qū)塊體數(shù)據(jù)又稱交易詳情記錄,是記錄區(qū)塊鏈交易的詳細(xì)情況的數(shù)據(jù)。根據(jù)數(shù)據(jù)內(nèi)容不同,可以將其分為區(qū)塊鏈地址、區(qū)塊鏈交易地址和支付交易數(shù)據(jù)三大類:1.區(qū)塊鏈地址。區(qū)塊鏈地址是對區(qū)塊鏈用戶的公鑰進(jìn)行哈希運算獲得的一個地址,是用戶在區(qū)塊鏈網(wǎng)的存在方式,相當(dāng)于我們的銀行卡號。2.區(qū)塊鏈交易地址。區(qū)塊鏈交易地址,也稱區(qū)塊鏈交易編號,是指區(qū)塊鏈用戶進(jìn)行每一筆具體區(qū)塊鏈交易所對應(yīng)的哈希值。區(qū)塊鏈交易地址的作用是便于定位、檢索到這個交易。3.支付交易數(shù)據(jù)。虛擬貨幣支付交易的主要目的是虛擬貨幣的轉(zhuǎn)入或者轉(zhuǎn)出,根據(jù)區(qū)塊鏈的公開性,支付交易數(shù)據(jù)在區(qū)塊鏈上公開,如虛擬貨幣輸入值和輸出值、礦工手續(xù)費等。

第三,附加數(shù)據(jù)。附加數(shù)據(jù)被寫到交易的腳本里,在技術(shù)上是具體交易的組成部分,它是指用戶可以記錄在區(qū)塊鏈上的數(shù)據(jù),包括備注數(shù)據(jù)和智能合約。1.備注數(shù)據(jù)。所謂備注數(shù)據(jù)是指用戶希望記錄在區(qū)塊上的信息,最著名的備注數(shù)據(jù)就是中本聰在創(chuàng)世區(qū)塊中寫入的那句話——“2009年1月3日,財政大臣正站在第二輪救助銀行業(yè)的邊緣(The Times 03/Jan/2009 Chancellor on brink of second bailout for banks)。”2.智能合約。智能合約(Smart Contract)是區(qū)塊鏈上以計算機程序方式存在并且其確立的權(quán)利和義務(wù)是由計算機或者計算機網(wǎng)絡(luò)自動執(zhí)行的應(yīng)用。一旦條件成就,智能合約將被計算機或者計算機網(wǎng)絡(luò)自動執(zhí)行。

第四,區(qū)塊鏈功能交易數(shù)據(jù)。這類數(shù)據(jù)包括幣基交易數(shù)據(jù)和手續(xù)費交易數(shù)據(jù)。所謂幣基交易數(shù)據(jù)是指礦工從事挖礦、交易驗證和打包區(qū)塊獲得挖礦獎勵的數(shù)據(jù)。所謂手續(xù)費交易數(shù)據(jù)是指礦工從事挖礦和交易驗證,獲得區(qū)塊鏈用戶進(jìn)行支付交易所付出的轉(zhuǎn)賬手續(xù)費的交易數(shù)據(jù)。區(qū)塊鏈功能交易數(shù)據(jù)存在于區(qū)塊體之內(nèi),用戶匿名存在,交易數(shù)據(jù)全網(wǎng)公開。

(二)區(qū)塊鏈數(shù)據(jù)與個人信息判斷標(biāo)準(zhǔn)的應(yīng)用

可識別性是個人信息概念的核心要素。隨著技術(shù)發(fā)展和司法實踐的推進(jìn),個人信息的判斷標(biāo)準(zhǔn)已經(jīng)由“一般可識別性標(biāo)準(zhǔn)”發(fā)展到“合理可能標(biāo)準(zhǔn)”。區(qū)塊鏈在技術(shù)上的匿名性進(jìn)一步推動了個人信息合理可能標(biāo)準(zhǔn)的成熟。區(qū)塊鏈匿名性雖然降低了識別自然人身份的風(fēng)險,但其并不足以動搖個人信息可識別性標(biāo)準(zhǔn),在解密技術(shù)和額外信息的幫助下,仍存在再度識別自然人身份的可能。技術(shù)特性雖然是設(shè)定法律標(biāo)準(zhǔn)的基礎(chǔ),但是法律標(biāo)準(zhǔn)也有著自成體系的穩(wěn)定內(nèi)涵,隨著數(shù)據(jù)分析技術(shù)的發(fā)展,以往不具備可識別性的數(shù)據(jù)在新的處理技術(shù)和其他數(shù)據(jù)源的幫助下得以再度呈現(xiàn)出可識別性,從而造成個人信息的界定呈現(xiàn)出動態(tài)性和場景性。①齊愛民、張哲:《識別與再識別:個人信息的概念界定與立法選擇》,載《重慶大學(xué)學(xué)報(社會科學(xué)版)》2018年第2期,第126頁。有鑒于此,歐盟在關(guān)于可識別性的具體認(rèn)定方面提出了一個新的補充標(biāo)準(zhǔn)——合理可能標(biāo)準(zhǔn)。

所謂合理可能標(biāo)準(zhǔn),是指在判斷一個數(shù)據(jù)是否滿足個人信息的可識別性要求時,應(yīng)該考慮所投入時間和成本下的一切可能性。這個標(biāo)準(zhǔn)實際是在從嚴(yán)把握可識別性,只要是投入合理的時間和成本并能夠識別到個人的數(shù)據(jù)都應(yīng)該被認(rèn)定為個人信息而納入個人信息保護(hù)法保護(hù)范圍。根據(jù)GDPR序言(26),可識別性應(yīng)當(dāng)考慮“所有合理可能的方法(All the Means Likely Reasonable)”,諸如識別的時間長短和成本,數(shù)據(jù)處理時可用的技術(shù)以及未來的技術(shù)發(fā)展等客觀因素。②See General Data Protection Regulation, Recital 26.對“所有合理可能的方法”的理解,有人認(rèn)為是絕對性方法,世界上任何人都可以用來識別個人身份③See Frederik J. Zuiderveen Borgesius, Singling out people without knowing their names - Behavioural targeting, pseudonymous data, and thenew Data ProtectionRegulation, Computer Law & Security Review, vol.32:256, p.265(2016).,但這樣理解將導(dǎo)致所有的數(shù)據(jù)都存在被識別的可能。也有學(xué)者認(rèn)為是相對性方法,在識別的可能性很小或高度抽象時,就不應(yīng)當(dāng)認(rèn)為是個人數(shù)據(jù)。④See Esayas S., The role of anonymisation and pseudonymisation under the EU data privacy rules: beyond the ‘a(chǎn)ll or nothing’ approach,European Journal of Law and Technology, vol.6:1, p.1(2015).歐盟法院(Court of Justice of the European Union,簡稱“CJEU”)給出了一個反面的界定,即“如果對數(shù)據(jù)主體的識別是被‘法律所禁止的(Prohibited by Law)’或‘實際上不可能的(Practically Impossible)’,那么該識別方法就是不合理的。如果對數(shù)據(jù)主體的識別要求數(shù)據(jù)控制者或處理者相對于識別帶來的收益而付出時間、成本和人力上不成比例的努力,以致于該識別風(fēng)險幾乎是無意義的,此時這種識別就是‘實際上不可能的’”。⑤See Patrick Breyer v. Bundesrepublik Deutschland, Case C-582/14, at http://curia.europa.eu/juris/document/document.jsf?docid=184668&mode=req&pageIndex=1&dir=&occ=first&part=1&text=&doclang=EN&cid=826438(Last visited on February 1,2020).在Scarlet案中,歐盟法院就指出,IP地址允許用戶被精準(zhǔn)識別,是個人數(shù)據(jù)。⑥See Scarlet Extended SA v. Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), Case C-70/10, at http://curia.europa.eu/juris/document/document.jsf?text=&docid=115202&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=851631(Last visited on February 1,2020).在隨后的Breyer案中,歐盟法院認(rèn)為,動態(tài)IP地址在能夠合理地從第三方主體處獲取其他信息用來識別網(wǎng)站訪問用戶身份的情況下是個人信息⑦See Patrick Breyer v. Bundesrepublik Deutschland, Case C-582/14, at http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=en&mode=1st & dir=&occ=first&part=1&cid=851631(Last visited on February 1,2020).,給動態(tài)IP地址是否構(gòu)成個人信息引入了一個明確的前提條件。對此,學(xué)者El Khoury尖銳地指出,歐盟法院的判決意味著數(shù)據(jù)可以在同一時間成為個人數(shù)據(jù)和非個人數(shù)據(jù)。①See El Khoury &Alessandro, Dynamic IP Addresses Can Be Personal Data, Sometimes.A Story of Binary Relations and Schrodinger’s Cat,European Journal of Risk Regulation, vol.8: 191, p.192(2017).有學(xué)者認(rèn)為,對于區(qū)塊鏈環(huán)境中個人信息的界定,應(yīng)當(dāng)以“特定識別性”與“容易比照性”為標(biāo)準(zhǔn)②羅勇:《特定識別與容易比照:區(qū)塊鏈背景下的個人信息法律界定》,載《學(xué)習(xí)與探索》2020年第3期,第65頁。,但這種標(biāo)準(zhǔn)只是對可識別性的細(xì)化。筆者贊同歐盟法院對可識別性認(rèn)定做出的合理可能標(biāo)準(zhǔn)及其解釋,單純技術(shù)上的成本分析無法得出法律上合理與否的判斷,全有或全無的做法只會導(dǎo)致過于僵化的保護(hù),無法適應(yīng)未來新技術(shù)的發(fā)展。而事實上,基于技術(shù)本身的風(fēng)險性,并不存在絕對形式的匿名化,識別的殘余風(fēng)險也總是存在。③See Michèle Finck & Frank Pallas, They who must not be identified—distinguishing personal from non-personal data under the GDPR,International Data Privacy Law, vol.10: 11, p.35(2020).個人信息匿名化,與其說是一個“有與無”的問題,不如說是一個“多與少”的問題。④沈偉偉:《個人信息匿名化的迷思——以〈個人信息保護(hù)法(草案)〉匿名化除外條款為例》,載《上海政法學(xué)院學(xué)報(法治論叢)》2021年第5期,第110頁。

在個人信息保護(hù)法中,所謂匿名數(shù)據(jù)(Anonymous Data),根據(jù)歐盟GDPR序言(26)的規(guī)定,是指與已識別或可識別的自然人無關(guān)或經(jīng)過處理后不再能夠識別數(shù)據(jù)主體的個人數(shù)據(jù)⑤See General DataProtection Regulation, Recital 26.,其被排除在GDPR的保護(hù)范圍之外。我國《網(wǎng)絡(luò)安全法》第42條、《民法典》第1038條以及《個人信息保護(hù)法》第4條第1款對此也予以明確規(guī)定,為數(shù)字經(jīng)濟的發(fā)展提供了制度空間。對于區(qū)塊鏈匿名性與個人信息概念之間的關(guān)系,筆者認(rèn)為,個人信息保護(hù)法中匿名數(shù)據(jù)的界定是一個價值選擇問題,其判斷需要建立在匿名技術(shù)的基礎(chǔ)之上。第一,有匿名性特征的區(qū)塊鏈數(shù)據(jù)不能完全排除再識別的可能性。在技術(shù)上,比特幣區(qū)塊鏈雖然采取了加密技術(shù),但是由于交易記錄對所有人公開,所以也存在隱私風(fēng)險。有研究表明,通過對已公開交易記錄的分析,可以確定用戶的真實身份與比特幣地址之間的關(guān)聯(lián)并對用戶畫像。⑥郭上銅、王瑞錦、張鳳荔:《區(qū)塊鏈技術(shù)原理與應(yīng)用綜述》,載《計算機科學(xué)》2021年第2期,第276頁。國外有學(xué)者通過6個月的實驗表明,通過設(shè)計參數(shù)能夠有效識別匿名區(qū)塊鏈地址對應(yīng)的真實用戶身份,識別精度達(dá)到62%,同時錯誤率低于10.1%。⑦祝烈煌、高峰、沈蒙、李艷東、鄭寶昆、毛洪亮、吳震:《區(qū)塊鏈隱私保護(hù)研究綜述》,載《計算機研究與發(fā)展》2017年第10期,第2178頁。由此可見,具備匿名性的區(qū)塊鏈數(shù)據(jù)仍然具有一定程度的可識別性。第二,區(qū)塊鏈數(shù)據(jù)構(gòu)成假名數(shù)據(jù),而非匿名數(shù)據(jù)。所謂假名數(shù)據(jù)(Pseudonymised Data),是指以非真實身份存在的,并且在沒有其他數(shù)據(jù)進(jìn)行相互印證的情況下,無法識別出自然人真實身份的個人信息。根據(jù)歐盟立法,假名數(shù)據(jù)構(gòu)成個人信息,WP29發(fā)布的關(guān)于匿名化技術(shù)的意見將哈希函數(shù)運算后的數(shù)據(jù)定義為假名數(shù)據(jù),認(rèn)為其構(gòu)成個人數(shù)據(jù)。⑧See Article 29 Working Party, Opinion 05/2014 on Anonymisation Techniques,https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf(Last visited on February 1,2020).這一概念類似于我國《個人信息保護(hù)法》中的“去標(biāo)識化”信息,其在性質(zhì)上亦構(gòu)成可識別的個人信息。⑨王利明:《〈個人信息保護(hù)法〉的亮點與創(chuàng)新》,載《重慶郵電大學(xué)學(xué)報(社會科學(xué)版)》2021年第6期,第2頁。歐洲議會研究處認(rèn)為,雖然區(qū)塊鏈?zhǔn)褂昧思用芗夹g(shù)來降低識別個人用戶身份的風(fēng)險,但是哈希函數(shù)這種方式并不足以產(chǎn)生匿名化的效果,僅僅使用哈希函數(shù)將無法使個人數(shù)據(jù)自動轉(zhuǎn)為匿名化的數(shù)據(jù)。⑩See Mihalis Kritikos &Scientific Foresight Unit (STOA),Blockchain and the General Data Protection Regulation,https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf(Last visited on February 1,2020).我國有學(xué)者認(rèn)為,在比特幣系統(tǒng)中,由于用戶反復(fù)使用公鑰哈希值作為交易標(biāo)識,交易之間顯然能建立關(guān)聯(lián)。因此比特幣并不具備匿名性。①張憲、蔣鈺釗、閆鶯:《區(qū)塊鏈隱私技術(shù)綜述》,載《信息安全研究》2017年第11期,第983頁?；趨^(qū)塊鏈數(shù)據(jù)被再度識別的現(xiàn)實可能,筆者認(rèn)為,具有匿名性特征的區(qū)塊鏈數(shù)據(jù)并不構(gòu)成法律上的匿名數(shù)據(jù),而構(gòu)成假名數(shù)據(jù)。

在法律層面,根據(jù)個人信息合理可能標(biāo)準(zhǔn),區(qū)塊鏈數(shù)據(jù)可以被劃分為個人信息和技術(shù)數(shù)據(jù)。技術(shù)數(shù)據(jù)是指運行區(qū)塊鏈所必須的,并且不能識別也不能輔助識別個人身份的數(shù)據(jù)。技術(shù)數(shù)據(jù)不構(gòu)成個人信息,不需要納入個人信息保護(hù)法予以保護(hù)。關(guān)于具體哪種數(shù)據(jù)構(gòu)成個人信息,有學(xué)者籠統(tǒng)地認(rèn)為,比特幣區(qū)塊鏈中存儲的數(shù)據(jù)構(gòu)成GDPR第4條(1)下的個人數(shù)據(jù)。②See Thomas Buocz, Tina Ehrke-Rabel, Elisabeth H?dl, Iris Eisenberger, Bitcoin and the GDPR: Allocating responsibility in distributed networks, Computer Law &Security Review, vol.35: 182, p.189(2019).這種觀點值得商榷。判斷數(shù)據(jù)是否構(gòu)成個人信息,應(yīng)該從合理可能標(biāo)準(zhǔn)入手做出個案判斷,而不能以偏概全。歐洲議會研究處發(fā)布的報告認(rèn)為區(qū)塊鏈公鑰和交易數(shù)據(jù)均構(gòu)成個人信息。③See Mihalis Kritikos & Scientific Foresight Unit (STOA),Blockchain and the General Data Protection Regulation,https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf(Last visited on February 1,2020).一些研究也已經(jīng)證實,公鑰可以被用來追溯至IP地址,幫助識別。④Alex Biryukov,Dmitry Khovratovich,Ivan Pustogarov, Deanonymisation of clients in Bitcoin P2P network. https://arxiv.org/pdf/1405.7418.pdf.(Last visited on October 9,2021)此外,通過與其他記錄的結(jié)合,一個公開的交易地址也可以被用來找出個人用戶。⑤Jean Bacon, Johan David Michels, Christopher Millard & Jatinder Singh, Blockchain Demystified: A Technical and Legal Introduction to Distributed and CentralisedLedgers, Richmond Journal of Law & Technology, vol.25:1,p.1(2018).歐盟區(qū)塊鏈觀察站和論壇發(fā)布的報告亦強調(diào)了公鑰與用戶身份之間的關(guān)聯(lián)風(fēng)險。⑥See The EuropeanUnion Blockchain Observatory & Forum, Blockchain and the GDPR, https://www.eublockchainforum.eu/sites/default/files/reports/20181016_report_gdpr.pdf(Last visited on April 23,2021)我國也有學(xué)者認(rèn)為交易數(shù)據(jù)與公鑰構(gòu)成個人信息。⑦曾煒:《歐盟〈一般數(shù)據(jù)保護(hù)條例〉下區(qū)塊鏈的數(shù)據(jù)保護(hù)義務(wù)》,載《科技與法律》2020年第4期,第88頁。筆者認(rèn)為,區(qū)塊數(shù)據(jù)中的區(qū)塊頭數(shù)據(jù),即區(qū)塊哈希值、默克爾根、塊編號、時間戳和隨機數(shù)等幾類數(shù)據(jù)表明的是區(qū)塊的基本信息,不能識別個人身份,屬于技術(shù)數(shù)據(jù)。除此之外的區(qū)塊鏈數(shù)據(jù)構(gòu)成個人信息,包括注冊數(shù)據(jù),如私鑰、公鑰均構(gòu)成個人信息。區(qū)塊數(shù)據(jù)中的區(qū)塊體數(shù)據(jù)(區(qū)塊鏈地址、區(qū)塊鏈交易地址、虛擬貨幣交易數(shù)據(jù))構(gòu)成個人信息,而附加數(shù)據(jù)中(備注信息和智能合約)具有識別性的構(gòu)成個人信息。區(qū)塊鏈功能交易數(shù)據(jù)構(gòu)成礦工的個人信息。

三、節(jié)點控制者與個人信息處理者的認(rèn)定

在區(qū)塊鏈網(wǎng)環(huán)境中,無論是企業(yè)運營還是政府監(jiān)管,都與傳統(tǒng)的以個人信息處理者為中心的立法基礎(chǔ)大不相同。甚至有學(xué)者認(rèn)為,對于區(qū)塊鏈而言,GDPR其實是過時的,原因在于GDPR建立在一個假設(shè)前提上,那就是個人信息處理者提供中心化的服務(wù),以此來控制用戶的訪問權(quán)利,而這一點與區(qū)塊鏈去中心化的架構(gòu)恰恰相反。歐盟應(yīng)當(dāng)對GDPR進(jìn)行修改,否則將不能適應(yīng)區(qū)塊鏈技術(shù)應(yīng)用的特性。⑧See David Meyer,Blockchain technology is on a collision course with EU privacy law,https://iapp.org/news/a/blockchain-technology-is-on-a-collision-course-with-eu-privacy-law/(Last visited on February 20,2020).筆者認(rèn)為,對于區(qū)塊鏈與個人信息保護(hù)法之間的關(guān)系,做出全部適用或全部不適用個人信息保護(hù)法的判斷是過于武斷的,基于個人信息界定的動態(tài)性和場景性,風(fēng)險評估和動態(tài)監(jiān)管成為個人信息保護(hù)的主要方式,個人信息保護(hù)法對區(qū)塊鏈場景的適用與否也應(yīng)當(dāng)基于對個案的分析(Case-by-Case Analysis)才能確定。在個人信息保護(hù)立法中,我國應(yīng)當(dāng)面向區(qū)塊鏈這一新型基礎(chǔ)設(shè)施在未來更廣闊的創(chuàng)新應(yīng)用,充分考慮區(qū)塊鏈分布式存儲、多節(jié)點參與和不可篡改特性帶來的立法挑戰(zhàn),將規(guī)制重心圍繞“節(jié)點控制者”展開,以保持法律制度與新興技術(shù)之間的有效銜接。

在個人信息處理者的認(rèn)定上,我國《個人信息保護(hù)法》第73條的規(guī)定比較寬泛,歐盟GDPR則進(jìn)一步區(qū)分為數(shù)據(jù)控制者和處理者,在義務(wù)和責(zé)任設(shè)定上又以數(shù)據(jù)控制者為主。關(guān)于數(shù)據(jù)控制者的概念,歐盟數(shù)據(jù)保護(hù)立法提供了較為詳細(xì)的認(rèn)定標(biāo)準(zhǔn),對于我們分析區(qū)塊鏈環(huán)境中個人信息處理的法律責(zé)任提供了更加明確的借鑒和參考。根據(jù)GDPR第4條,數(shù)據(jù)控制者是指單獨或與他人共同決定個人數(shù)據(jù)處理的目的和方式的自然人、法人、公共權(quán)力機關(guān)、代理機構(gòu)或其他機構(gòu)。①See General Data Protection Regulation, Article 4.歐洲數(shù)據(jù)保護(hù)委員會(Europen Data Protection Board,簡稱“EDPB”)于2020年9月發(fā)布的《關(guān)于GDPR中控制者和處理者概念的指南》中,進(jìn)一步明確了二者的認(rèn)定標(biāo)準(zhǔn),采取了一種功能主義的視角,即數(shù)據(jù)控制者是決定數(shù)據(jù)處理行為的關(guān)鍵要素,尤其是數(shù)據(jù)處理目的和方式的主體,而處理者則是為數(shù)據(jù)控制者的利益實施處理行為的獨立主體。②See European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR,https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf(Last visited on April 19,2021).如果將數(shù)據(jù)處理行為類比為人的行為,那么數(shù)據(jù)控制者與處理者之間的關(guān)系就像人的大腦和四肢之間的關(guān)系。WP29發(fā)布的關(guān)于數(shù)據(jù)控制者的定義也指出,分配責(zé)任應(yīng)當(dāng)以實際影響力為標(biāo)準(zhǔn),基于實際的而非形式的分析之上。③See Article 29 Data Protection Working Party, Opinion 1/2010 on the concepts of “controller” and “processor”, http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf(Last visited on January 20,2020).

根據(jù)我國《個人信息保護(hù)法》第五章的規(guī)定,個人信息處理者負(fù)有保護(hù)個人信息的法律義務(wù)。但在區(qū)塊鏈環(huán)境中,由于其技術(shù)與經(jīng)營模式的改變,個人信息處理者的認(rèn)定發(fā)生困難。在公鏈上,由于所有參與者共享管理和控制權(quán),公鏈程序的開發(fā)者也無權(quán)干涉用戶,各個參與者可自主決定是否成為公鏈上的節(jié)點控制者,并且享有完全的自由加入和退出的權(quán)利。而私有鏈的情況更類似于傳統(tǒng)互聯(lián)網(wǎng),該鏈上的記賬權(quán)限即上傳數(shù)據(jù)的權(quán)限由控制私有鏈的組織或者個人控制,并且鏈上數(shù)據(jù)的讀取也受到該控制者的限制,私有鏈的控制者往往被認(rèn)定為個人信息處理者。聯(lián)盟鏈的情況又有所不同。聯(lián)盟鏈的控制性介于公有鏈和私有鏈之間,在聯(lián)盟鏈上,組成聯(lián)盟的成員成為聯(lián)盟鏈的節(jié)點控制者,享有該聯(lián)盟鏈的控制權(quán),包括數(shù)據(jù)的上傳和讀取等。在區(qū)塊鏈環(huán)境中,個人信息處理者并不像傳統(tǒng)互聯(lián)網(wǎng)那么明確且易于認(rèn)定,我國法律尚未對各類型區(qū)塊鏈上的個人信息處理者進(jìn)行明確規(guī)定。對于區(qū)塊鏈環(huán)境中數(shù)據(jù)控制者的認(rèn)定,法國數(shù)據(jù)保護(hù)機構(gòu)(Commission Nationale de l’Informatique et des Libertés,以下簡稱“CNIL”)發(fā)布的《區(qū)塊鏈和GDPR:個人數(shù)據(jù)背景下負(fù)責(zé)任地使用區(qū)塊鏈的解決方案》(Blockchain and the GDPR: Solutions for a responsible use of the blockchain in the context of personal data,以下簡稱“CNIL區(qū)塊鏈數(shù)據(jù)指南”)認(rèn)為,有權(quán)在鏈上書寫并決定發(fā)送數(shù)據(jù)以供礦工驗證的參與者可被視為數(shù)據(jù)控制者。④See CNIL, Blockchain and the GDPR: Solutions for a responsible use of the blockchain in the context of personal data, November 6,2018.https://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-personal-data.具體而言,當(dāng)一個人為了職業(yè)或商業(yè)活動利益而傳達(dá)數(shù)據(jù)以及當(dāng)參與者是在區(qū)塊鏈上登記數(shù)據(jù)的法人時,該參與者是數(shù)據(jù)控制者。但如果一個人基于自身利益買賣比特幣時,則其不會被視為數(shù)據(jù)控制者。此外,CNIL區(qū)塊鏈數(shù)據(jù)指南還提供了關(guān)于確定聯(lián)合控制者和數(shù)據(jù)處理者的指引,核心觀點如下:(1)礦工僅僅是對交易的驗證,不能決定數(shù)據(jù)處理的目的,所以一般情況下不構(gòu)成數(shù)據(jù)控制者;(2)當(dāng)多個參與者通過設(shè)立法人或任命其中一個參與者為共同目的而實施數(shù)據(jù)處理行為時,CNIL建議該法人或被任命的參與者構(gòu)成控制者。否則,這些參與者將共同構(gòu)成聯(lián)合控制者;(3)為了數(shù)據(jù)控制者的目的而實施數(shù)據(jù)處理的智能合約軟件的開發(fā)者以及驗證交易有效性的礦工可以被視為數(shù)據(jù)處理者。我國區(qū)塊鏈領(lǐng)域的首個管理性規(guī)范——《區(qū)塊鏈信息服務(wù)管理規(guī)定》第2條將區(qū)塊鏈信息服務(wù)提供者界定為區(qū)塊鏈信息服務(wù)的主體或者節(jié)點,以及為區(qū)塊鏈信息服務(wù)的主體提供技術(shù)支持的機構(gòu)或者組織。有學(xué)者認(rèn)為,對于“區(qū)塊鏈信息服務(wù)的主體”要進(jìn)行廣義理解,“只要在區(qū)塊鏈信息服務(wù)中提供技術(shù)支持,無論技術(shù)支持的對象是服務(wù)使用者還是服務(wù)提供者,都屬于《管理規(guī)定》的規(guī)制對象?！雹儋Z翱:《區(qū)塊鏈信息服務(wù)監(jiān)管對象研究——以〈區(qū)塊鏈信息服務(wù)管理規(guī)定〉第二條為中心》,載《大連理工大學(xué)學(xué)報(社會科學(xué)版)》2020年第2期,第61頁。這種解釋看似囊括了所有可能的責(zé)任主體,但也容易造成法律責(zé)任的泛化。

在理論上,國外有學(xué)者認(rèn)為,如果數(shù)據(jù)控制者的界定以實際控制力為界定標(biāo)準(zhǔn),那么將導(dǎo)致兩種結(jié)果,即要么所有的節(jié)點控制者都無法受到規(guī)制,要么所有的節(jié)點控制者都受規(guī)制。②See Matthias Berberich & Malgorzata Steiner, Blockchain Technology and the GDPR - How to Reconcile Privacy and Distributed Ledgers,European Data Protection Law Review, vol.2:422, p.424(2016).我國有學(xué)者認(rèn)為:“如果某人將有關(guān)自己的個人信息哈希到區(qū)塊鏈中,那么他可能既是數(shù)據(jù)主體,又是數(shù)據(jù)控制者。”③曾煒:《歐盟〈一般數(shù)據(jù)保護(hù)條例〉下區(qū)塊鏈的數(shù)據(jù)保護(hù)義務(wù)》,載《科技與法律》2020年第4期,第89頁。很顯然,這種結(jié)論是沒有太大實際意義的,而造成這種困惑的原因在于,在本質(zhì)上,歐盟意義上的數(shù)據(jù)控制者被區(qū)塊鏈中的技術(shù)架構(gòu)(計算機代碼)和數(shù)學(xué)(密碼學(xué))所代替了。④See Unal Tatar,Yasir Gokce & Brian Nussbaum, Law versus technology: Blockchain,GDPR,and tough tradeoffs,Computer Law & Security Review, vol.38:1, p6(2020).也有學(xué)者認(rèn)為:“原則上應(yīng)將在鏈上具有某種管理功能的主體視為個人信息控制者?！雹萁Ｑ?《論區(qū)塊鏈與個人信息保護(hù)之沖突與兼容》,載《行政法學(xué)研究》2021年第4期,第162頁。還有學(xué)者提出了區(qū)塊鏈的分類責(zé)任體系并認(rèn)為,在公有鏈中,礦工不是適格的法律責(zé)任主體,而交易發(fā)起人一般都屬于GDPR第4條第(7)項規(guī)定的數(shù)據(jù)控制者。在私有鏈中,“(1)作為私有區(qū)塊鏈網(wǎng)絡(luò)訪問和授權(quán)情況的監(jiān)控主體,中央機構(gòu)原則上不為鏈上數(shù)據(jù)處理活動負(fù)責(zé)任,除非在交易發(fā)起人系其指派的情況下,二者承擔(dān)連帶責(zé)任;(2)就區(qū)塊鏈信息服務(wù)中的交易發(fā)起人而言,因其對數(shù)據(jù)處理具有直接影響力,對于提供服務(wù)過程中發(fā)生的個人信息安全隱患無一例外均應(yīng)承擔(dān)責(zé)任;(3)區(qū)塊鏈中其余節(jié)點原則上享有免責(zé)特權(quán),但是,如果服務(wù)提供者故意實施侵犯個人數(shù)據(jù)權(quán)益的行為且對個人數(shù)據(jù)處理產(chǎn)生實際影響的則不再享有這種責(zé)任特權(quán)?！雹迯堟?《區(qū)塊鏈時代信息服務(wù)提供者的責(zé)任建構(gòu):歐盟〈一般數(shù)據(jù)保護(hù)條例〉的啟示》,載《法學(xué)雜志》2021年第3期,第96頁。這種責(zé)任劃分雖然是從實際決策力和影響力出發(fā),但是也使得所有個人用戶都可能構(gòu)成數(shù)據(jù)控制者,而事實上,個人用戶既沒有權(quán)利自主決定個人信息處理的意圖,也沒有相應(yīng)的處理能力。

筆者認(rèn)為,應(yīng)該區(qū)分區(qū)塊鏈的不同類型,分析個人信息處理者是否存在以及責(zé)任歸屬。對于非公有鏈而言,節(jié)點控制者在技術(shù)上可以控制數(shù)據(jù),因此構(gòu)成我國《個人信息保護(hù)法》中的個人信息處理者。而對于公鏈而言,情況卻發(fā)生了革命性的變化。在公鏈環(huán)境下,區(qū)塊鏈的分布式特性消滅了集中式的個人信息處理者,取而代之的是分布式的、散落在世界各地的節(jié)點控制者,依靠這些組織松散的主體進(jìn)行運營。而節(jié)點存在的目的在于驗證區(qū)塊鏈主體交易,并把區(qū)塊數(shù)據(jù)打包上鏈以形成相互咬合的區(qū)塊鏈。無論在技術(shù)上還是事實上,節(jié)點控制者都沒有單獨控制區(qū)塊鏈數(shù)據(jù)的主觀目的、技術(shù)能力和獲利需求,因此公鏈背景下的節(jié)點控制者不應(yīng)被認(rèn)定為個人信息處理者并承擔(dān)個人信息保護(hù)義務(wù)。公鏈在法律屬性上屬于技術(shù)基礎(chǔ),而聯(lián)盟鏈和私有鏈則屬于產(chǎn)品應(yīng)用,兩者是不同的。對于私有鏈而言,只有一個作為運營者的節(jié)點,它既管理技術(shù),同時也管理數(shù)據(jù),其自然應(yīng)當(dāng)承擔(dān)個人信息處理者的法律責(zé)任。對于聯(lián)盟鏈而言,聯(lián)盟者及其授權(quán)的多個有限節(jié)點共同運營,可以將其整體作為聯(lián)合成立的個人信息處理者,對外承擔(dān)連帶責(zé)任,對內(nèi)根據(jù)發(fā)起協(xié)議承擔(dān)各自的責(zé)任。雖然公鏈上的節(jié)點控制者不承擔(dān)個人信息處理者的法律責(zé)任,但是,在公鏈上開發(fā)具體區(qū)塊鏈應(yīng)用(比如DAPP——一種基于區(qū)塊鏈的APP)并進(jìn)行個人信息處理的主體應(yīng)當(dāng)被認(rèn)定為個人信息保護(hù)法意義上的個人信息處理者,并承擔(dān)個人信息保護(hù)義務(wù)。

四、區(qū)塊鏈環(huán)境中個人信息權(quán)實現(xiàn)方式的改變

(一)區(qū)塊鏈技術(shù)與更正權(quán)、刪除權(quán)實現(xiàn)方式的演變

在個人信息權(quán)利體系中,更正權(quán)和刪除權(quán)是各國個人信息保護(hù)立法所普遍確立的權(quán)利,在區(qū)塊鏈時代它們從技術(shù)實現(xiàn)走向制度實現(xiàn)。所謂更正權(quán)是指權(quán)利人得以請求信息控制者對不正確、不全面、不時新的個人信息進(jìn)行更正與補充的權(quán)利。我國《個人信息保護(hù)法》第46條規(guī)定了更正權(quán),即個人發(fā)現(xiàn)其個人信息不準(zhǔn)確或者不完整的,有權(quán)請求個人信息處理者更正、補充。所謂刪除權(quán),是指在法定或約定的事由出現(xiàn)時,本人得以請求信息控制者刪除其個人信息的權(quán)利。①齊愛民:《論個人信息的法律保護(hù)》,載《蘇州大學(xué)學(xué)報》2005年第2期,第35頁。在立法實踐方面,歐盟GDPR第16條規(guī)定了更正權(quán),第17條規(guī)定了刪除權(quán)。2018年《英國數(shù)據(jù)保護(hù)法》(the Data Protection Act 2018)第3部分第3章規(guī)定了數(shù)據(jù)主體請求刪除和更正個人數(shù)據(jù)的權(quán)利。此外,德國、法國、日本和新加坡等國家也都在其個人信息保護(hù)法中規(guī)定了刪除權(quán)和更正權(quán)。根據(jù)美國加州CCPA的規(guī)定,從2020年1月1日開始,掌握超過5萬人個人信息的企業(yè)必須允許用戶查閱自己被收集的信息、要求刪除個人信息、以及選擇禁止將個人信息出售給第三方。我國《網(wǎng)絡(luò)安全法》《民法典》《征信業(yè)管理條例》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》《信息安全技術(shù)個人信息安全規(guī)范》等規(guī)范以及《個人信息保護(hù)法》中均有刪除權(quán)的相關(guān)規(guī)定。

對于區(qū)塊鏈不可篡改特性與更正權(quán)和刪除權(quán)之間矛盾的解決,我們面臨兩個關(guān)鍵問題:第一個是區(qū)塊鏈上的數(shù)據(jù)是可以被修改的嗎?對這個問題的回答依賴于對一個技術(shù)概念的理解,即區(qū)塊鏈算力。所謂區(qū)塊鏈算力是指區(qū)塊鏈節(jié)點控制者通過計算機隨機進(jìn)行哈希運算獲得哈希值解,從而實現(xiàn)區(qū)塊鏈接的計算能力。算力單位是指一臺計算機每秒鐘能做多少次哈希運算的計算能力,單位為hash/s。公鏈的決策不是節(jié)點平權(quán),而是根據(jù)算力來定。因此按照區(qū)塊鏈的技術(shù)設(shè)計,更改和刪除任一高度的區(qū)塊數(shù)據(jù)需要經(jīng)過擁有51%以上算力節(jié)點的同步修改和認(rèn)證。第二個是修改后會發(fā)生什么后果?如果擁有51%以上算力的節(jié)點按照意愿對區(qū)塊數(shù)據(jù)進(jìn)行了更改和刪除,會導(dǎo)致兩種后果發(fā)生:第一種是“區(qū)塊鏈重組”。所謂區(qū)塊鏈重組是指當(dāng)掌握51%以上算力的節(jié)點達(dá)成一致修改或者刪除某高度區(qū)塊數(shù)據(jù)時,其他節(jié)點與掌握51%算力節(jié)點同步進(jìn)行數(shù)據(jù)驗證保持?jǐn)?shù)據(jù)更新的現(xiàn)象?？梢钥闯?“重組”會發(fā)生法律上的更改和刪除的效果。第二種結(jié)果就是“區(qū)塊鏈分叉”。所謂區(qū)塊鏈分叉是指在區(qū)塊鏈進(jìn)行“升級”或者數(shù)據(jù)修改等情形下,節(jié)點控制者之間發(fā)生了意見分歧,從而導(dǎo)致區(qū)塊鏈一分為二,演化成兩條不同的區(qū)塊鏈的現(xiàn)象。以比特幣區(qū)塊鏈為例,2017年7月,為了解決比特幣區(qū)塊鏈擁堵問題,一些比特幣節(jié)點控制者提出了bitcoin cash方案,新舊方案各自擁有強大的擁護(hù)團(tuán)隊最終導(dǎo)致比特幣區(qū)塊鏈一分為二,即比特幣區(qū)塊鏈和比特幣現(xiàn)金區(qū)塊鏈。目前,比特幣區(qū)塊鏈記錄在案的分叉幣項目已達(dá)上百個,而比特幣現(xiàn)金區(qū)塊鏈則是最成功的一次分叉。“分叉”的實質(zhì)就是接受數(shù)據(jù)更新的節(jié)點組成了一條新鏈,由于之前的區(qū)塊鏈還在,因此分叉不會發(fā)生法律上的更改和刪除的效果。

在權(quán)利的行使上,技術(shù)實現(xiàn)就是直接刪除和更改個人信息,而制度實現(xiàn)則是指在不能直接刪除和更改個人信息的情況下,通過相關(guān)技術(shù)手段達(dá)到更正權(quán)和刪除權(quán)法律制度目的的實現(xiàn)方式。從上述分析可知,即使投入不成比例的開支促使51%以上算力的節(jié)點達(dá)成共識,數(shù)據(jù)更新也只是概率問題,不是絕對可以發(fā)生的。對于公鏈而言,如果節(jié)點分布得足夠廣泛,那么刪除或者改寫任一區(qū)塊鏈高度中的歷史數(shù)據(jù)會變成一項幾乎不可能完成的任務(wù),這就造成了用戶個人信息權(quán)中的更正權(quán)和刪除權(quán)幾乎不可能在技術(shù)上實現(xiàn)。法律制度追求的效果并不是技術(shù)效果,其追求的是目的實現(xiàn),而特定的技術(shù)替代方案可以在制度上實現(xiàn)更正權(quán)和刪除權(quán)所需要的效果。例如,在我國首例非同質(zhì)化代幣(Non-fungible Token,以下簡稱“NFT”)侵權(quán)糾紛案件中,法院考慮到區(qū)塊鏈的不可篡改特性,采取了新的刪除機制,要求涉案平臺可將該侵權(quán)NFT數(shù)字作品在區(qū)塊鏈上予以斷開并打入地址黑洞以達(dá)到停止侵權(quán)的法律效果。①杭州互聯(lián)網(wǎng)法院(2022)浙0192民初1008號民事判決書。通過這一方式,侵權(quán)NFT便在區(qū)塊鏈網(wǎng)絡(luò)中“消失”了。借鑒這一思路,筆者認(rèn)為,對于區(qū)塊鏈中個人信息的刪除,也可以采取特定的技術(shù)手段來實現(xiàn)刪除的目的,那就是區(qū)塊鏈瀏覽器屏蔽(詳見下文)。

(二)區(qū)塊鏈與被遺忘權(quán)的技術(shù)與制度實現(xiàn)

除了更正權(quán)和刪除權(quán),被遺忘權(quán)的行使也受到了區(qū)塊鏈不可篡改性的挑戰(zhàn)。被遺忘權(quán)起源于歐洲,它是在搜索引擎發(fā)展起來之后加入個人信息權(quán)利束之中的一項新型權(quán)利。所謂被遺忘權(quán),是指在法定或約定事由出現(xiàn)時,權(quán)利人得以請求搜索引擎服務(wù)提供者無條件斷開與該個人信息的任何相關(guān)鏈接,并銷毀該個人信息的副本或復(fù)制件的權(quán)利。如果說刪除權(quán)請求的對象是一般的個人信息控制者,那么被遺忘權(quán)的行使對象則直接指向搜索引擎服務(wù)提供者。2014年5月13日,歐盟法院在備受矚目的谷歌被遺忘權(quán)案件中以判例方式確認(rèn)了個人享有被遺忘權(quán)。②See Google Spain v AEPD and Mario Costeja González, Case C-131/12,at http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62012CJ0131&qid=1461468702602&from=EN(Last visited on December 28,2019).隨后,WP29于2014年11月發(fā)布了有關(guān)該案的執(zhí)行指南,對被遺忘權(quán)的適用范圍設(shè)置了諸多限制。個人只能針對搜索引擎服務(wù)商而非出版商(數(shù)據(jù)控制者)主張該權(quán)利,并且針對的是以個人姓名而非所有相關(guān)關(guān)鍵詞為基礎(chǔ)的搜索。③See Article 29 Data Protection Working Party, Guidelines on the implementation of the Court of Justice of the European Union judgment on“Google Spain and inc v. Agencia Espa?ola de Protección de Datos (AEPD) and Mario Costeja González, http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp225_en.pdf(Last visited on January 28,2020).在被遺忘權(quán)的具體適用上,需要結(jié)合個人信息的準(zhǔn)確性、相關(guān)度、敏感度、個人的公眾影響力和該信息對個人私生活的影響等因素綜合判斷。在GDPR中,第17條將被遺忘權(quán)的適用范圍擴大至所有的數(shù)據(jù)控制者。在鏈接刪除的域名范圍上,歐盟法院在2019年9月24日作出的谷歌案判決表明,在搜索列表中去除鏈接的義務(wù)不適用于搜索引擎全球所有版本,而是只適用于與歐盟成員國相對應(yīng)的版本。④See Google LLC v Commission nationale de l’informatique et des libertés (CNIL),Case C-507/17, http://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=8341961(Last visited on October 14,2020).我國《個人信息保護(hù)法》第47條規(guī)定的刪除權(quán)在內(nèi)容上也包含了歐盟意義上的被遺忘權(quán),尤其是該條第1款第1項和第2項規(guī)定的情形。

區(qū)塊鏈不可篡改性與被遺忘權(quán)之間矛盾的解決需要重新審視被遺忘權(quán)的創(chuàng)設(shè)目的。有學(xué)者從數(shù)據(jù)處理的合法性出發(fā)認(rèn)為,根據(jù)GDPR的規(guī)定,在確定被遺忘權(quán)是否適用時還應(yīng)當(dāng)考慮區(qū)塊鏈的功能,因為區(qū)塊鏈本身的功能就在于構(gòu)建一個永久性和持續(xù)性的鏈條,這樣就有可能構(gòu)成必要處理行為,因此區(qū)塊鏈運營者就擁有了處理個人信息的合法性基礎(chǔ)。①See Matthias Berberich & Malgorzata Steiner, Blockchain Technology and the GDPR - How to Reconcile Privacy and Distributed Ledgers,European Data Protection Law Review, vol.2:422, p.426(2016).也有學(xué)者認(rèn)為,一個方法就是建立“黑名單”系統(tǒng),使得特定的數(shù)據(jù)無法被訪問到,②See David Meyer, Blockchain technology is on a collision course with EU privacy law,https://iapp.org/news/a/blockchain-technology-ison-a-collision-course-with-eu-privacy-law/(Last visited on February 20,2020).這一點類似于谷歌被遺忘權(quán)案件的結(jié)果,即不需要在網(wǎng)絡(luò)中刪除該個人信息,在新聞媒體網(wǎng)站上還可以保留該內(nèi)容,只是無法被搜索引擎檢索到。但是這種做法并非將個人信息抹除,其仍有可能通過其他方式被再度獲取,而這正是被遺忘權(quán)和刪除權(quán)二者法律效果的區(qū)別所在。

所謂區(qū)塊鏈瀏覽器,是指提供用戶瀏覽與查詢區(qū)塊數(shù)據(jù)的軟件。所謂區(qū)塊數(shù)據(jù)的被遺忘權(quán)行使,是指在法定或約定事由出現(xiàn)時,權(quán)利人得以請求區(qū)塊鏈瀏覽器控制者無條件斷開與該個人信息的任何相關(guān)鏈接,并銷毀該個人信息的副本或復(fù)制件的權(quán)利實現(xiàn)。關(guān)于區(qū)塊鏈中個人信息的刪除,除了技術(shù)本身的障礙之外,問題還在于對“刪除”這一概念本身的界定。按照字面理解,其應(yīng)當(dāng)是對數(shù)據(jù)的銷毀或破壞,但是歐盟谷歌被遺忘權(quán)案表明,在搜索結(jié)果中去掉相關(guān)信息也被視為實現(xiàn)了個人信息的刪除,這種認(rèn)識也體現(xiàn)出刪除權(quán)與被遺忘權(quán)在立法上的趨同。有學(xué)者主張對《個人信息保護(hù)法》中的“刪除”作擴大解釋,包括個人信息的絕對刪除和相對刪除,相對刪除即通過其他方式產(chǎn)生實質(zhì)上的刪除效果,例如通過匿名化處理、斷開、限制或屏蔽鏈上個人信息的訪問路徑等替代性方案以發(fā)揮實質(zhì)性刪除效果。③陳愛飛:《解釋論視域下的區(qū)塊鏈個人信息刪除權(quán)》,載《南京社會科學(xué)》2022年第6期,第110頁。筆者認(rèn)為,對于刪除的理解應(yīng)當(dāng)采取一種實用主義視角,即只要在事實上數(shù)據(jù)主體和其他人訪問到該信息的可能性很小,難以對數(shù)據(jù)主體造成人格利益損害,就應(yīng)當(dāng)被認(rèn)定滿足了個人信息保護(hù)法上刪除的要求。因此,在區(qū)塊鏈網(wǎng)中,區(qū)塊數(shù)據(jù)以二進(jìn)制形式儲存于區(qū)塊之上,專業(yè)人員可以通過協(xié)議解析查看數(shù)據(jù)內(nèi)容?；ヂ?lián)網(wǎng)用戶必須通過專業(yè)工具區(qū)塊鏈瀏覽器查找區(qū)塊數(shù)據(jù)。如果區(qū)塊鏈瀏覽器斷開了與特定數(shù)據(jù)的鏈接而使互聯(lián)網(wǎng)用戶不能繼續(xù)檢索到該數(shù)據(jù),則實現(xiàn)了被遺忘權(quán)的效果和目的,同時也可以基本實現(xiàn)更正和刪除的目的。

結(jié)語

人類技術(shù)的歷史長河蜿蜒流淌,法治作為人類精神的理性表達(dá),是這條長河溫暖而厚實的河床。在區(qū)塊鏈時代到來之際,我們應(yīng)以思辨力汲取自古以來各種最重要的法治理念和精神,將它們?nèi)谌氲揭粋€嶄新的、龐大的理性主義體系中去。技術(shù)所引發(fā)的一切改變,不是物理鏡面的自然反射,而是人類在面對未來時選擇自身生存可能性和適當(dāng)性的理性決斷。歷史地看,每一項重大技術(shù)的誕生都會引發(fā)社會關(guān)系乃至法律制度的革新,完全無視或過于重視區(qū)塊鏈技術(shù)的顛覆性的做法都是不合時宜的。我們必須關(guān)注并破解區(qū)塊鏈與個人信息保護(hù)法之間的關(guān)聯(lián)和密碼。它們并非是一種零和博弈,區(qū)塊鏈?zhǔn)且粋€可以通過各方力量共同實現(xiàn)個人信息保護(hù)并構(gòu)建一種嶄新的、平衡有序的個人信息保護(hù)關(guān)系的技術(shù)空間。因此,面對建構(gòu)在技術(shù)之上的新世界,我們既不能忽視我們賴以自保的法律,也不能遺忘初心——技術(shù),從技術(shù)到法律需要理性解構(gòu),從法律回歸技術(shù)需要人文關(guān)懷。區(qū)塊鏈技術(shù)在當(dāng)代,正走在生產(chǎn)關(guān)系重塑的路途之中,它必然向一切關(guān)懷人類自身權(quán)利和隱私的頭腦與心靈發(fā)出呼喚,關(guān)于區(qū)塊鏈網(wǎng)個人信息法律保護(hù)的新問題必將得到立法規(guī)制,這將是我國個人信息保護(hù)立法時代特色的最好體現(xiàn)。我們清醒意識到,區(qū)塊鏈時代即將到來,區(qū)塊鏈法治終將成為法治新世界舉足輕重的一部分。ML