王祿生

(東南大學(xué) 法學(xué)院，江蘇南京 211189)

引言

近年來，有關(guān)區(qū)塊鏈技術(shù)和個(gè)人信息保護(hù)相結(jié)合的討論日益豐富。與論者認(rèn)為區(qū)塊鏈中加密算法、共識(shí)機(jī)制、去中心化存儲(chǔ)和智能合約等要素能夠有效化解當(dāng)前個(gè)人信息保護(hù)面臨的困境，為知情同意、隱私保護(hù)、數(shù)據(jù)安全、數(shù)據(jù)共享帶來全新可能。首先，區(qū)塊鏈分布式賬本的數(shù)據(jù)架構(gòu)能夠避免中心化的個(gè)人信息存儲(chǔ)帶來的弊端，個(gè)人可以通過節(jié)點(diǎn)掌握個(gè)人數(shù)據(jù)的使用，從而獲得對(duì)自己數(shù)字信息和在線身份的控制權(quán)； 參見Michael Mainelli, , Havard Business Review(October 05, 2017), https://hbr.org/2017/10/smart-ledgers-can-help-us-reclaim-control-of-our-personal-data; Clare Sullivan & Eric Burger, - , 33 Computer Law & Security Review 460, 475(2017). 其次，區(qū)塊鏈鏈?zhǔn)酱鎯?chǔ)和不可篡改的特性，使得鏈上記錄了從創(chuàng)世區(qū)塊開始的所有信息。個(gè)人信息訪問、交互的所有行動(dòng)均被記錄，且不可篡改、刪除與偽造。 參見Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.iii. 再次，區(qū)塊鏈利用加密算法可以極大提升個(gè)人數(shù)據(jù)的安全性。 參見M. H. Onik et al., - , 9 Open Computer Science, Volume 80, 80-91(2019). 最后，區(qū)塊鏈去中心化的信任機(jī)制以及加密算法的運(yùn)用可以實(shí)現(xiàn)不需要第三方機(jī)構(gòu)信任背書的個(gè)人信息安全共享。參見Shraddha Kulhari, - : , Nomos Verlagsgesellschaft Mbh & Co, 2018, p31-34.

隨著區(qū)塊鏈技術(shù)的發(fā)展，不少國家與地區(qū)的官方機(jī)構(gòu)開始關(guān)注區(qū)塊鏈在個(gè)人信息保護(hù)領(lǐng)域的可能，相關(guān)的實(shí)踐也在一定范圍內(nèi)推動(dòng)。歐洲議會(huì)2019年發(fā)布的研究報(bào)告《區(qū)塊鏈與通用數(shù)據(jù)保護(hù)條例》(Blockchain and the General Data Protection Regulation)，對(duì)區(qū)塊鏈在個(gè)人信息保護(hù)方面的應(yīng)用做了全面的分析。與此同時(shí)，歐盟委員會(huì)也推動(dòng)成立“歐盟區(qū)塊鏈瞭望臺(tái)與論壇”(EU Blockchain Observatory and Forum)，旨在加速歐盟內(nèi)部的區(qū)塊鏈創(chuàng)新和區(qū)塊鏈生態(tài)系統(tǒng)的發(fā)展。該機(jī)構(gòu)成立后發(fā)布了多份區(qū)塊鏈與個(gè)人信息結(jié)合的研究，比如《區(qū)塊鏈與GDPR》(Blockchain and the GDPR)《區(qū)塊鏈與在線身份》(Blockchain and Digital Identity)。2019年9月，德國正式發(fā)布國家區(qū)塊鏈戰(zhàn)略，對(duì)該技術(shù)在個(gè)人征信等諸多領(lǐng)域的應(yīng)用做了全面規(guī)劃。參見Federal Ministry for Economic Affairs and Energy of German, : , https://www.bmwi.de/Redaktion/EN/Publikationen/Digitale-Welt/blockchain-strategy.pdf?__blob=publicationFile&v=3.在頂層規(guī)劃的推動(dòng)下，結(jié)合區(qū)塊鏈技術(shù)展開的個(gè)人信息創(chuàng)新項(xiàng)目開始在世界范圍內(nèi)方興未艾?？偠灾?，區(qū)塊鏈影響現(xiàn)已超越金融領(lǐng)域，開始向身份管理、民主參與、公司治理等諸多領(lǐng)域擴(kuò)展。參見Shraddha Kulhari, - : , Nomos Verlagsgesellschaft Mbh & Co, 2018, p.15-16.

與個(gè)人信息保護(hù)的結(jié)合，同樣是我國區(qū)塊鏈發(fā)展的重要方向。2019年10月24日，習(xí)近平總書記在中央政治局第十八次集體學(xué)習(xí)時(shí)就明確提出，“把區(qū)塊鏈作為核心技術(shù)自主創(chuàng)新重要突破口”“探索利用區(qū)塊鏈數(shù)據(jù)共享模式”。有學(xué)者認(rèn)為，區(qū)塊鏈可以加大對(duì)個(gè)人信息商業(yè)化的規(guī)范力度，強(qiáng)化對(duì)信息主體的保護(hù)，實(shí)現(xiàn)通過信息科技手段科學(xué)管理和規(guī)范個(gè)人信息交易的目標(biāo)。在國家網(wǎng)信辦發(fā)布的五批境內(nèi)區(qū)塊鏈信息服務(wù)備案的1238個(gè)區(qū)塊鏈應(yīng)用中，有多個(gè)直接涉及身份認(rèn)證、征信管理、電子證照共享等方面，涉及知識(shí)產(chǎn)權(quán)、金融股票、房產(chǎn)交易、數(shù)據(jù)資產(chǎn)等個(gè)人財(cái)產(chǎn)、交易信息存證的區(qū)塊鏈則占據(jù)了更大比例?？梢灶A(yù)見，在頂層規(guī)劃與實(shí)踐需求的雙重加持之下，我國區(qū)塊鏈與個(gè)人信息結(jié)合的應(yīng)用將會(huì)日益豐富。

然而，在肯定區(qū)塊鏈應(yīng)用于個(gè)人信息領(lǐng)域的前景的同時(shí)，我們也不能忽視從形式上看區(qū)塊鏈的技術(shù)邏輯與現(xiàn)有的個(gè)人信息法律規(guī)范之間存在的不同程度的沖突與抵牾。舉例而言，區(qū)塊鏈以數(shù)據(jù)的不可篡改性為核心特征并構(gòu)建去中心化的信任機(jī)制，然而個(gè)人信息保護(hù)法律規(guī)范中普遍允許信息主體請求刪除和更正個(gè)人信息。由此，個(gè)人信息刪除與更正在區(qū)塊鏈的應(yīng)用中如何實(shí)現(xiàn)？更為重要的還在于，我國現(xiàn)有個(gè)人信息保護(hù)的規(guī)范整體上較為抽象，相關(guān)核心概念帶有不確定性。這進(jìn)一步加劇了區(qū)塊鏈在個(gè)人信息保護(hù)領(lǐng)域應(yīng)用的合法性困境。舉例而言，個(gè)人信息保護(hù)法律規(guī)范允許網(wǎng)絡(luò)運(yùn)營者在匿名化的前提下使用信息而免于刪除。然而，現(xiàn)行法律規(guī)范對(duì)何謂“匿名”的界定相對(duì)抽象，如《個(gè)人信息保護(hù)法》(下稱《個(gè)保法》)第73條。隨之而來便是一系列相關(guān)的問題，比如經(jīng)過哈希函數(shù)轉(zhuǎn)化并“上鏈”的個(gè)人信息是否屬于匿名化？現(xiàn)有法律規(guī)定，網(wǎng)絡(luò)運(yùn)營者在收集個(gè)人信息時(shí)需要“保密”，采用公鑰和私鑰加密是否滿足“保密”需求？區(qū)塊鏈各節(jié)點(diǎn)地位平等，既處理本節(jié)點(diǎn)的數(shù)據(jù)，也通過共識(shí)機(jī)制驗(yàn)證和共享其他節(jié)點(diǎn)的數(shù)據(jù)。按照此種結(jié)構(gòu)，個(gè)人作為公共區(qū)塊鏈節(jié)點(diǎn)(尤其是全節(jié)點(diǎn))時(shí)實(shí)際上既使用服務(wù)又為其他節(jié)點(diǎn)提供服務(wù)。那么個(gè)人是否構(gòu)成“網(wǎng)絡(luò)服務(wù)者”“區(qū)塊鏈服務(wù)提供者”或“個(gè)人信息處理者”？如果構(gòu)成，個(gè)人如何承擔(dān)《網(wǎng)絡(luò)安全法》《個(gè)保法》所賦予的一系列安全保障、登記注冊、刪除更改的義務(wù)？上述合法性困境從表面上看起源于法律文本與區(qū)塊鏈技術(shù)特征的內(nèi)生沖突，但究其深層原因則與個(gè)人信息保護(hù)規(guī)范的抽象性與核心概念的不確定性緊密相關(guān)。因此，區(qū)塊鏈應(yīng)用合法性困境的解決就不能僅僅圍繞法律文本展開，而是要跳出法律文本，對(duì)“絕對(duì)刪除”與“相對(duì)刪除”、“去標(biāo)識(shí)化”“假名化”與“匿名化”、“實(shí)質(zhì)控制”與“相對(duì)控制”、“目的限縮解釋”與“目的場景解釋”等多組相互沖突的理論路徑進(jìn)行選擇。當(dāng)然，這些路徑的選擇并非天馬行空，而是要受利益平衡立場的影響。概而言之，立場決定了合法化路徑的選擇進(jìn)而決定了合法化方案的確定。唯有遵循從路徑證成到制度展開的邏輯，才能使得脫鏈存儲(chǔ)、密鑰刪除、非明文存儲(chǔ)、承諾模式、許可區(qū)塊鏈、輕量級(jí)節(jié)點(diǎn)、區(qū)塊鏈修剪、零知識(shí)證明等具體銜接方案具有統(tǒng)一的指向性和充分的理論來源。

一、區(qū)塊鏈與個(gè)人信息保護(hù)法律規(guī)范的內(nèi)生沖突

區(qū)塊鏈的技術(shù)發(fā)展日新月異，不同的主體可能采用不盡相同的技術(shù)架構(gòu)。比如一般而言，區(qū)塊鏈的各節(jié)點(diǎn)地位平等，然而，聯(lián)盟鏈和私有鏈卻允許“超級(jí)節(jié)點(diǎn)”存在。又比如通用區(qū)塊鏈中各節(jié)點(diǎn)均為完整節(jié)點(diǎn)，保有全局?jǐn)?shù)據(jù)，但也不排除特定區(qū)塊鏈中存在“全節(jié)點(diǎn)”和“輕節(jié)點(diǎn)”的區(qū)分，前者保留全局?jǐn)?shù)據(jù)，后者僅保留與節(jié)點(diǎn)服務(wù)相關(guān)的數(shù)據(jù)。因此，本部分的探討更多是從通用區(qū)塊鏈技術(shù)的一般特征展開，也就是大家慣常所了解的分布式存儲(chǔ)、共識(shí)機(jī)制、加密算法、智能合約等技術(shù)特征。整體而言，被譽(yù)為第四次工業(yè)革命發(fā)動(dòng)機(jī)的區(qū)塊鏈技術(shù)固然與個(gè)人信息保護(hù)的理念存在諸多契合之處，但同時(shí)也與我國現(xiàn)行的法律規(guī)范形成不同程度的沖突。

(一)區(qū)塊鏈不可篡改性與個(gè)人信息刪除、更正的沖突

我國個(gè)人信息保護(hù)的法律規(guī)范奉行個(gè)人信息控制的理念，并由此演化出系列制度設(shè)計(jì)，其中就包括個(gè)人信息的刪除和更正。《網(wǎng)絡(luò)安全法》第43條規(guī)定，個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個(gè)人信息；發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正?！肚謾?quán)責(zé)任法》中亦有被侵權(quán)人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者予以刪除的規(guī)定。雖然，上述規(guī)范并未言明“刪除權(quán)”和“更正權(quán)”，但從現(xiàn)有立法的發(fā)展趨勢上看，“刪除”與“更正”有權(quán)利化認(rèn)定和權(quán)能擴(kuò)張的可能?！睹穹ǖ洹逢P(guān)于個(gè)人信息“更正”和“刪除”的規(guī)定就在“第四編 人格權(quán)”之下?！秱€(gè)保法》則在“第四章 個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”中規(guī)定更正、補(bǔ)充與刪除的權(quán)利，并對(duì)上述權(quán)利的適用情形做了超過《網(wǎng)絡(luò)安全法》的擴(kuò)張?？傊?，“刪除(權(quán))”與“更正(權(quán))”是個(gè)人信息保護(hù)法律規(guī)范體系的重要內(nèi)容。個(gè)人信息以“同意”開始，以“更正”居中，以“刪除”結(jié)尾，貫穿于個(gè)人信息使用的全生命周期。

然而，區(qū)塊鏈以不可篡改性為核心技術(shù)特征。該特征使得個(gè)人信息區(qū)塊鏈應(yīng)用直接面臨信息刪除與更正的規(guī)范沖突。具體而言，區(qū)塊鏈?zhǔn)菂^(qū)塊按時(shí)間順序生成、以鏈的方式組合在一起的分布式賬本系統(tǒng)，系統(tǒng)中的各方共同參與數(shù)據(jù)的寫入和維護(hù)，同時(shí)系統(tǒng)中各方都擁有實(shí)時(shí)更新的數(shù)據(jù)庫副本。數(shù)據(jù)的鏈?zhǔn)浇Y(jié)構(gòu)儲(chǔ)存保障了數(shù)據(jù)只可以被寫入或讀取，并依靠區(qū)塊間的哈希指針和區(qū)塊內(nèi)的 Merkle樹實(shí)現(xiàn)鏈上數(shù)據(jù)的不可篡改。工作量證明(PoW)、權(quán)益證明(PoS)等共識(shí)機(jī)制保證單一節(jié)點(diǎn)數(shù)據(jù)難以通過分叉攻擊篡改歷史數(shù)據(jù)。當(dāng)有節(jié)點(diǎn)試圖單方篡改或偽造數(shù)據(jù)時(shí)，由于未達(dá)成節(jié)點(diǎn)共識(shí)，將被其他節(jié)點(diǎn)同步覆蓋，從而保證數(shù)據(jù)的完整性和穩(wěn)定性。可見，區(qū)塊鏈的上述技術(shù)特征使得數(shù)據(jù)一旦寫入?yún)^(qū)塊鏈，只具備“增”和“查”的功能，而不具備“刪”和“改”的功能。由此，在個(gè)人信息保護(hù)領(lǐng)域大范圍引入?yún)^(qū)塊鏈創(chuàng)新時(shí)就會(huì)面臨信息刪除和更正無法有效行使的困境。盡管《個(gè)保法》第47條第2款引入“刪除豁免”制度試圖回應(yīng)上述困境，規(guī)定“刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，個(gè)人信息處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理”，但考慮到在傳統(tǒng)區(qū)塊鏈的技術(shù)架構(gòu)中，任何新區(qū)塊的添加都要對(duì)已有區(qū)塊進(jìn)行驗(yàn)證，這使得在區(qū)塊鏈技術(shù)上難以實(shí)現(xiàn)只“儲(chǔ)存”不驗(yàn)證的制度設(shè)計(jì)。

(二)區(qū)塊鏈信息透明與個(gè)人信息保密規(guī)范的沖突

在我國個(gè)人信息保護(hù)的法律規(guī)范體系中，網(wǎng)絡(luò)運(yùn)營者需要對(duì)收集的個(gè)人信息進(jìn)行保密?！蛾P(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第3條和《網(wǎng)絡(luò)安全法》第40條均明確規(guī)定，網(wǎng)絡(luò)服務(wù)者/網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對(duì)其收集的用戶個(gè)人信息嚴(yán)格保密?！秱€(gè)保法》第25條規(guī)定，“個(gè)人信息處理者不得公開其處理的個(gè)人信息”。其中“不得公開”也包含保密的要求?？梢?，保密性是個(gè)人信息保護(hù)規(guī)范體系的重要內(nèi)容。它起源于個(gè)人信息所具有的人格利益屬性。有學(xué)者還進(jìn)一步將信息保密解釋為個(gè)人信息權(quán)中的信息保密權(quán)，即“本人得以請求信息處理主體保持信息隱秘性的權(quán)利。”如果個(gè)人信息的隱秘性無法得以保障，信息主體對(duì)其個(gè)人信息就難以控制。這不僅可能會(huì)侵害個(gè)人基本權(quán)利或精神利益，還有可能會(huì)危害個(gè)人的人身安全和財(cái)產(chǎn)安全。

然而，區(qū)塊鏈全局賬本完整、公開與同步的技術(shù)架構(gòu)使得信息透明成為區(qū)塊鏈的核心特征之一。尤其在個(gè)人信息與區(qū)塊鏈相結(jié)合的應(yīng)用場景中，個(gè)人信息本身就是區(qū)塊鏈所公開記載的內(nèi)容。由此便可能與個(gè)人信息保密性的需求形成直接沖突。這可以從三個(gè)方面展開：首先，區(qū)塊鏈采用鏈?zhǔn)酱鎯?chǔ)架構(gòu)，全局賬本包含初始創(chuàng)始區(qū)塊到最新區(qū)塊的所有數(shù)據(jù)。其次，區(qū)塊鏈通過公開性保障公信力，任一節(jié)點(diǎn)的信息都必須公開給所有參與節(jié)點(diǎn)。最后，任何節(jié)點(diǎn)的信息公開后，其他節(jié)點(diǎn)通過共識(shí)機(jī)制驗(yàn)證后完成數(shù)據(jù)的同步。如果區(qū)塊鏈被應(yīng)用于個(gè)人信息的存儲(chǔ)，那么當(dāng)用戶在一個(gè)節(jié)點(diǎn)完成個(gè)人信息上鏈時(shí)，其他節(jié)點(diǎn)也會(huì)通過共識(shí)機(jī)制校驗(yàn)和共享上述信息。每個(gè)節(jié)點(diǎn)的鏈上個(gè)人信息相較于其他節(jié)點(diǎn)而言實(shí)質(zhì)上是透明的。這就使得區(qū)塊鏈的個(gè)人信息保護(hù)創(chuàng)新應(yīng)用需要面對(duì)保密性的合法性困境。

(三)區(qū)塊鏈完整性與個(gè)人信息目的限制、數(shù)據(jù)最小化的沖突

所謂“目的限制”(purpose limitation)是指個(gè)人信息在收集時(shí)應(yīng)當(dāng)明確目的，并且數(shù)據(jù)的使用不能超過該目的約定的范圍；所謂“數(shù)據(jù)最小化”(data minimization)，也稱“最少夠用”“最短期限”，它是指除與個(gè)人信息主體另有約定外，只處理滿足個(gè)人信息主體授權(quán)同意的目的所需的最少個(gè)人信息類型和數(shù)量并只保存最短的期限。總的來說，“目的限制”和“數(shù)據(jù)最小化”旨在應(yīng)對(duì)個(gè)人信息保護(hù)領(lǐng)域普遍出現(xiàn)的超范圍收集、強(qiáng)制授權(quán)、過度索權(quán)、無限保存等突出問題。在《個(gè)保法》發(fā)布之前，上述原則零星地分布在特定的規(guī)范性文件中。比如《網(wǎng)絡(luò)安全法》第41條規(guī)定網(wǎng)絡(luò)運(yùn)營者要“明示收集、使用信息的目的”；《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第15條要求兒童個(gè)人信息處理奉行“最小授權(quán)”原則。此外，相關(guān)標(biāo)準(zhǔn)、規(guī)范、指南中也明確提及“最小夠用”“數(shù)據(jù)最小化”。比如公安部2019年發(fā)布的《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》就提到“對(duì)被授權(quán)訪問個(gè)人信息數(shù)據(jù)的工作人員按照最小授權(quán)的原則，只能訪問最少夠用的信息，只具有完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限”?！秱€(gè)保法》系統(tǒng)吸收了上述原則，在第6條、第14條和第20條規(guī)定，處理個(gè)人信息應(yīng)當(dāng)具有“明確的目的”、采取對(duì)個(gè)人權(quán)益“影響最小”的方式、限于處理目的的“最小范圍”，處理目的變更時(shí)“應(yīng)當(dāng)重新取得個(gè)人同意”，個(gè)人信息保存期限應(yīng)為實(shí)現(xiàn)處理目的所必須的“最短時(shí)間”。

區(qū)塊鏈與目的限制原則、數(shù)據(jù)最小化沖突的根源就在于目的限制和數(shù)據(jù)最小化強(qiáng)調(diào)個(gè)人信息數(shù)量、類型和使用的最低點(diǎn)，而區(qū)塊鏈技術(shù)追求數(shù)據(jù)的完整性和永久性。區(qū)塊鏈之所以強(qiáng)調(diào)數(shù)據(jù)的完整度、全面度和永久性，是為了保障各節(jié)點(diǎn)之間驗(yàn)證賬本與更新賬本，促進(jìn)區(qū)塊鏈共識(shí)協(xié)議的形成。參見Zheng Zibin et al., : , , , 2017 IEEE International Congress on Big Data (BigData Congress), Honolulu, HI, 2017, pp. 557-564.但此點(diǎn)也不可避免地造成了與目的限制和數(shù)據(jù)最小化的對(duì)立。具體而言，區(qū)塊鏈的分布式賬本中，任何該網(wǎng)絡(luò)的參與者均可保留完整的分類賬副本，并且所有副本的內(nèi)容完全相同，每一次交易的進(jìn)行，都會(huì)在賬本上留痕，永久存儲(chǔ)，從而導(dǎo)致相關(guān)個(gè)人信息的多次復(fù)制、持續(xù)處理。在區(qū)塊鏈上使用個(gè)人信息(無論是公鑰還是交易數(shù)據(jù)的形式)執(zhí)行加密資產(chǎn)交易的情況下，即使該交易已成功完成，從某種意義上講，該個(gè)人信息仍將持續(xù)存儲(chǔ)在分類賬本中，并繼續(xù)根據(jù)其所使用的共識(shí)算法進(jìn)行處理。參見Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.65-68.這不僅在一定程度上超出了目的的設(shè)置，還因?yàn)楣?jié)點(diǎn)數(shù)據(jù)的完整性而產(chǎn)生大量數(shù)據(jù)冗余，由此便與目的限制和數(shù)據(jù)最小化形成直接沖突。

(四)區(qū)塊鏈分布式架構(gòu)與個(gè)人信息中心化責(zé)任體系的沖突

我國現(xiàn)有的個(gè)人信息保護(hù)的法律責(zé)任體系是建立在對(duì)個(gè)人信息中心化收集與處理的假定之上。依據(jù)這樣的假定，責(zé)任主體與權(quán)利主體的界限清晰明確。舉例而言，《網(wǎng)絡(luò)安全法》中將責(zé)任主體明確為“網(wǎng)絡(luò)運(yùn)營者”，并進(jìn)一步細(xì)分為網(wǎng)絡(luò)所有者、網(wǎng)絡(luò)管理者和網(wǎng)絡(luò)服務(wù)提供者。在《區(qū)塊鏈信息服務(wù)管理規(guī)定》中主體被明確為“區(qū)塊鏈信息服務(wù)提供者”，這實(shí)際上是“網(wǎng)絡(luò)運(yùn)營者”中“網(wǎng)絡(luò)服務(wù)者”在區(qū)塊鏈信息服務(wù)場景中的再細(xì)化。在個(gè)人信息保護(hù)場景中，與“網(wǎng)絡(luò)運(yùn)營者”對(duì)應(yīng)的權(quán)利主體則是“個(gè)人信息主體”，也就是個(gè)人信息所標(biāo)識(shí)或關(guān)聯(lián)到的自然人。按照這一組對(duì)應(yīng)關(guān)系，“網(wǎng)絡(luò)運(yùn)營者”需要承擔(dān)個(gè)人信息保護(hù)的諸多義務(wù)，比如安全保障等?！皞€(gè)人信息主體”可以要求“網(wǎng)絡(luò)運(yùn)營者”履行特定的義務(wù)，比如信息的更正與刪除。當(dāng)“網(wǎng)絡(luò)運(yùn)營者”違反法律規(guī)定時(shí)，還可能面臨國家的懲罰。換言之，現(xiàn)有的法律體系傾向于認(rèn)為對(duì)于個(gè)人信息保護(hù)而言，始終至少有一個(gè)或若干個(gè)自然人、法人承擔(dān)數(shù)據(jù)保護(hù)的責(zé)任。

然而，區(qū)塊鏈分布式存儲(chǔ)的方式形成了去中心化的數(shù)據(jù)結(jié)構(gòu)，這使得區(qū)塊鏈的節(jié)點(diǎn)發(fā)生權(quán)利主體與責(zé)任主體的競合，進(jìn)而出現(xiàn)責(zé)任的混同與失靈。這具體可以從兩個(gè)方面展開：其一，每個(gè)節(jié)點(diǎn)都是網(wǎng)絡(luò)服務(wù)提供者，對(duì)數(shù)據(jù)進(jìn)行收集和處理。由于共識(shí)機(jī)制的存在，每個(gè)節(jié)點(diǎn)在寫入數(shù)據(jù)的同時(shí)還與其他節(jié)點(diǎn)進(jìn)行數(shù)據(jù)的共享。將區(qū)塊鏈節(jié)點(diǎn)視作責(zé)任主體的理念已經(jīng)被2019年出臺(tái)的《區(qū)塊鏈信息服務(wù)管理規(guī)定》所吸收。該規(guī)定第2條第3款規(guī)定：“本規(guī)定所稱區(qū)塊鏈信息服務(wù)提供者，是指向社會(huì)公眾提供區(qū)塊鏈信息服務(wù)的主體或者節(jié)點(diǎn)”。其二，在公民個(gè)人作為節(jié)點(diǎn)的場景下，個(gè)人節(jié)點(diǎn)兼具網(wǎng)絡(luò)服務(wù)使用者和網(wǎng)絡(luò)服務(wù)提供者雙重身份。舉例而言，公民A通過區(qū)塊鏈保存?zhèn)€人信息并成為一個(gè)A節(jié)點(diǎn)，那么A節(jié)點(diǎn)在保存A個(gè)人信息的同時(shí)還需要保存整個(gè)區(qū)塊鏈的全局賬本。在共識(shí)機(jī)制的運(yùn)行過程中，A節(jié)點(diǎn)實(shí)際上積極參與了其他節(jié)點(diǎn)個(gè)人信息的處理。也正因如此，A就既是“個(gè)人信息主體”，又是“網(wǎng)絡(luò)服務(wù)提供者”。他/她既享受區(qū)塊鏈的服務(wù)，也在利用他人所有或者管理的網(wǎng)絡(luò)對(duì)其他節(jié)點(diǎn)提供區(qū)塊鏈服務(wù)。尤其在部分個(gè)人信息保護(hù)區(qū)塊鏈應(yīng)用中包含個(gè)人特定信息交易的設(shè)置，此時(shí)服務(wù)的屬性就更加顯著。可見，區(qū)塊鏈的分布式的數(shù)據(jù)架構(gòu)使得責(zé)任主體和權(quán)利主體發(fā)生了競合。這樣的競合其實(shí)帶來一個(gè)法律適用難題，就是普通的自然人在作為節(jié)點(diǎn)時(shí)如何履行法律賦予的一系列身份驗(yàn)證、安全管理和登記備案的責(zé)任。尤其是考慮到個(gè)人節(jié)點(diǎn)對(duì)區(qū)塊鏈數(shù)據(jù)處理方式缺乏實(shí)質(zhì)影響的前提下，當(dāng)其他服務(wù)使用者提請要求刪除或者更正信息時(shí)，個(gè)人節(jié)點(diǎn)如何響應(yīng)？當(dāng)國家主管機(jī)關(guān)對(duì)特定區(qū)塊鏈應(yīng)用作出行政處罰時(shí)，個(gè)人節(jié)點(diǎn)又需要如何承擔(dān)？綜上所述，區(qū)塊鏈去中心化的數(shù)據(jù)結(jié)構(gòu)與中心化的網(wǎng)絡(luò)運(yùn)營者責(zé)任體系形成沖突，使得區(qū)塊鏈的節(jié)點(diǎn)，尤其是個(gè)人節(jié)點(diǎn)雖然符合網(wǎng)絡(luò)服務(wù)提供者的形式要件，但卻無法實(shí)質(zhì)履行相應(yīng)的法律責(zé)任。正因如此，有學(xué)者就總結(jié)到，現(xiàn)有法律規(guī)范要求區(qū)塊鏈責(zé)任主體承擔(dān)警示、限制功能、關(guān)閉賬號(hào)等處置措施以及及時(shí)消除違反違規(guī)信息內(nèi)容等責(zé)任設(shè)置在去中心化的區(qū)塊鏈系統(tǒng)上幾乎不可能得到執(zhí)行。歐盟議會(huì)發(fā)布的《區(qū)塊鏈與通用數(shù)據(jù)保護(hù)條例》也認(rèn)為，區(qū)塊鏈分布式數(shù)據(jù)庫的架構(gòu)以及由此引發(fā)的去中心化使得中心化責(zé)任體系的基本假設(shè)面臨沖擊，由此也就導(dǎo)致了相應(yīng)的責(zé)任分配以及由此引發(fā)的問責(zé)面臨挑戰(zhàn)。參見Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.2.

二、區(qū)塊鏈與個(gè)人信息保護(hù)法律規(guī)范銜接的路徑證成

歸納區(qū)塊鏈的合法性困境并非要唱衰區(qū)塊鏈技術(shù)，而是在區(qū)塊鏈“大熱”時(shí)保持必要的清醒與警惕。我們需要認(rèn)識(shí)到，盡管區(qū)塊鏈技術(shù)在個(gè)人信息保護(hù)方面存在極大的潛力，但該技術(shù)不會(huì)自動(dòng)符合個(gè)人信息保護(hù)規(guī)范的所有要求，因此需要在認(rèn)識(shí)規(guī)范沖突的基礎(chǔ)上進(jìn)行定制化地調(diào)整與開發(fā)，從而形成符合個(gè)人信息保護(hù)規(guī)范要求的區(qū)塊鏈應(yīng)用制度。要實(shí)現(xiàn)這一目標(biāo)，就必須推動(dòng)法律與技術(shù)更深層次的互動(dòng)，使得區(qū)塊鏈成為個(gè)人信息保護(hù)的真實(shí)解決方案。

在正式展開對(duì)區(qū)塊鏈與個(gè)人信息保護(hù)規(guī)范銜接的闡述之前，需要首先明確本文所采取的“利益平衡”的總立場。這一立場，是由個(gè)人信息法益的獨(dú)特屬性所決定的。“傳統(tǒng)的個(gè)人控制理論是建立在個(gè)人主義觀念下，忽視了個(gè)人信息的社會(huì)性、公共性，不僅不能全面反映個(gè)人信息的法律屬性，而且不能適應(yīng)大數(shù)據(jù)時(shí)代個(gè)人信息利用的新環(huán)境和新方式”。在信息時(shí)代，個(gè)人信息包含人格尊嚴(yán)與自由價(jià)值、商業(yè)價(jià)值、公共管理價(jià)值，涉及到信息主體、信息業(yè)者和國家三方主體。信息業(yè)者和國家的角色介入，以及個(gè)人信息社會(huì)屬性的出現(xiàn)，使得對(duì)個(gè)人信息的保護(hù)不能以單向度的權(quán)利保護(hù)為依托，而需要平衡保護(hù)與利用的二維視角，平衡數(shù)據(jù)有效保護(hù)和數(shù)據(jù)自由流動(dòng)的雙重目標(biāo)。在此背景下，個(gè)人信息法律規(guī)范的執(zhí)行需要特別考量信息主體與信息處理者的利益平衡。

單純的利益平衡解釋論由于沒有制度支撐容易使得權(quán)利保護(hù)陷入空洞化。因此需要在利益平衡解釋論的支撐之下進(jìn)行相應(yīng)的路徑展開。在此過程中應(yīng)遵循以下的原則：其一，保持法律規(guī)范解釋的靈活性，不把個(gè)人信息視作由個(gè)人完全控制的客體，因此排除絕對(duì)保護(hù)主義的法律適用觀。在面對(duì)區(qū)塊鏈與個(gè)人信息保護(hù)潛在沖突時(shí)，要適當(dāng)保證法律解釋的彈性。這有助于保持區(qū)塊鏈技術(shù)在發(fā)展初期的充足活力。其二，為區(qū)塊鏈創(chuàng)新主體賦予合理的個(gè)人信息保護(hù)義務(wù)，推動(dòng)區(qū)塊鏈技術(shù)快速且有序地實(shí)質(zhì)運(yùn)用。正如后文將會(huì)論證的那樣，此種合理化的義務(wù)分配不僅包括網(wǎng)絡(luò)運(yùn)營者，也包括個(gè)人信息主體作為區(qū)塊鏈節(jié)點(diǎn)的義務(wù)豁免。換言之，利益平衡不是片面地站在網(wǎng)絡(luò)運(yùn)營者或者個(gè)人信息主體某一方的立場來展開合法性困境的解決。利益平衡的解釋論為個(gè)人信息區(qū)塊鏈應(yīng)用面臨的困境提供了合法化的路徑?；诟鞣N合法化路徑，對(duì)通用區(qū)塊鏈技術(shù)進(jìn)行定制化的開發(fā)便可以有效應(yīng)對(duì)區(qū)塊鏈與個(gè)人信息保護(hù)規(guī)范之間的沖突。

(一)利益平衡下個(gè)人信息刪除的“相對(duì)主義”路徑

區(qū)塊鏈與個(gè)人信息保護(hù)規(guī)范最直觀的沖突就在于個(gè)人信息的刪除、更正與區(qū)塊鏈技術(shù)不可篡改性之間的兼容難題。對(duì)于更正而言，區(qū)塊鏈可以通過添加新的個(gè)人信息區(qū)塊的方式完成，并不存在實(shí)質(zhì)的技術(shù)障礙。盡管原有的個(gè)人信息區(qū)塊仍然存在，但新的區(qū)塊可以在事實(shí)上起到“覆蓋”舊區(qū)塊的功能。與之形成鮮明對(duì)比的是，《個(gè)保法》“刪除豁免”制度無法完全適用于區(qū)塊鏈的應(yīng)用場景，這就使得區(qū)塊鏈應(yīng)用仍然需要回應(yīng)個(gè)人信息刪除的需求。因此，如何在保持區(qū)塊鏈核心技術(shù)特征的基礎(chǔ)上實(shí)現(xiàn)個(gè)人信息的刪除成為銜接區(qū)塊鏈與個(gè)人信息保護(hù)規(guī)范的重中之重。解決上述沖突必須對(duì)我國現(xiàn)有規(guī)范體系中的“刪除”進(jìn)行合理界定。

本文第一部分已經(jīng)提及，“刪除”是信息主體實(shí)現(xiàn)個(gè)人信息控制最為重要的法律工具之一，《網(wǎng)絡(luò)安全法》《民法典》《個(gè)保法》等法律規(guī)范都明確規(guī)定。然而，通讀上述提及“刪除”的法律文本，均未對(duì)何為“刪除”做清晰的界定。如果我們進(jìn)一步擴(kuò)大搜尋范圍，將關(guān)注點(diǎn)放置到法律之外各類國家標(biāo)準(zhǔn)、官方指南、行業(yè)規(guī)范，則會(huì)發(fā)現(xiàn)它們雖然對(duì)“刪除”做了明確的界定，但具體內(nèi)容也存在差異。其中，國家標(biāo)準(zhǔn)《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(GB/Z 28828-2012，以下簡稱《個(gè)人信息保護(hù)指南》)5.1將“刪除”定義為“使個(gè)人信息在信息系統(tǒng)中不再可用”，關(guān)鍵點(diǎn)在于“不再可用”。國家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2017，以下簡稱《個(gè)人信息安全規(guī)范》)3.9將“刪除”定義為“在實(shí)現(xiàn)日常業(yè)務(wù)功能所涉及的系統(tǒng)中去除個(gè)人信息的行為，使其保持不可被檢索、訪問的狀態(tài)”，關(guān)鍵點(diǎn)在“系統(tǒng)中去除”且“不可被檢索、訪問”。這就涉及到有關(guān)個(gè)人信息“刪除”的兩種解釋方法：絕對(duì)刪除與相對(duì)刪除?！敖^對(duì)刪除”要求信息在系統(tǒng)空間完全刪除以達(dá)到不可再用——物理刪除(physical deletion)；“相對(duì)刪除”則只要求不再可用。國家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》某種程度上采取的是“絕對(duì)刪除”，即個(gè)人信息在信息系統(tǒng)中客觀上不存在。國家標(biāo)準(zhǔn)《個(gè)人信息保護(hù)指南》雖未明確，但卻給“相對(duì)刪除”留下了空間，換言之它只要求個(gè)人信息在系統(tǒng)中“不再可用”，而并未要求物理刪除。實(shí)際上，從技術(shù)角度來看，要做到“不再可用”，不一定要物理刪除，去標(biāo)識(shí)化、匿名化抑或是刪除鏈接都是可選方案。

可見，對(duì)于個(gè)人信息“刪除”而言，采用何種解釋路徑會(huì)直接影響區(qū)塊鏈技術(shù)合法化方案的選擇。而解釋路徑的選擇又取決于在網(wǎng)絡(luò)運(yùn)營者與信息主體之間的立場選擇。“絕對(duì)刪除”由于強(qiáng)調(diào)物理刪除，其實(shí)質(zhì)是使得個(gè)人信息不復(fù)存在，因此其在立場上是傾向于信息主體的權(quán)利保障。與之對(duì)應(yīng)，“相對(duì)刪除”則不要求物理刪除，而是允許采用靈活的措施使得個(gè)人信息不可使用。由此，降低了網(wǎng)絡(luò)運(yùn)營者的合規(guī)要求，并為大數(shù)據(jù)時(shí)代數(shù)據(jù)的利用提供了可能。從“利益平衡”總立場來看，應(yīng)該選擇“相對(duì)刪除”，原因如下：其一，“絕對(duì)刪除”雖然可以實(shí)現(xiàn)對(duì)信息主體最為有效的權(quán)利保障，但卻會(huì)給區(qū)塊鏈應(yīng)用帶來根本性的打擊。這是因?yàn)?，“不可篡改性”是區(qū)塊鏈最核心的特征，它支撐起區(qū)塊鏈的共識(shí)機(jī)制，決定了去中心化信任機(jī)制的形成。個(gè)人信息的區(qū)塊鏈應(yīng)用正是要利用區(qū)塊鏈不可篡改性來解決傳統(tǒng)個(gè)人信息保護(hù)過程中存在的篡改、偽造等諸多弊端。因此，如果選擇“絕對(duì)刪除”的解釋論立場，就與區(qū)塊鏈技術(shù)形成根本沖突。也就是說，從實(shí)現(xiàn)個(gè)人信息保護(hù)的目的來看，保持區(qū)塊鏈的不可篡改性遠(yuǎn)比實(shí)現(xiàn)區(qū)塊鏈的可刪除重要。參見Shraddha Kulhari,, Nomos Verlagsgesellschaft Mbh & Co, 2018, p.47. 其二，“絕對(duì)刪除”只考慮了個(gè)人信息的私人屬性，而沒有考慮其具有社會(huì)治理等諸多公共價(jià)值。在大數(shù)據(jù)時(shí)代，個(gè)人信息處理行為的規(guī)制原則應(yīng)是防止濫用，而非嚴(yán)格保護(hù)。其三，相較于隱私權(quán)的保護(hù)程度而言，個(gè)人信息的保護(hù)是一種弱保護(hù)?！跋鄬?duì)刪除”在現(xiàn)有的技術(shù)能力下已經(jīng)能夠?qū)崿F(xiàn)對(duì)個(gè)人信息的有效保護(hù)，比如鏈上個(gè)人信息加密后對(duì)密鑰的刪除就可以使得個(gè)人信息事實(shí)上無法以指向個(gè)人的方式被使用。

實(shí)際上，即便在高度傾向于個(gè)人保護(hù)的歐盟，對(duì)于“刪除”的理解也采用“相對(duì)刪除”的方法。歐盟《通用數(shù)據(jù)保護(hù)條例》(下稱GDPR)第17條規(guī)定了刪除權(quán)(被遺忘權(quán))，但未對(duì)“刪除”的內(nèi)涵進(jìn)行闡述。歐盟委員會(huì)的報(bào)告中指出，有跡象表明，GDPR規(guī)定的刪除權(quán)不必要求徹底刪除信息。參見Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.75.該觀點(diǎn)并非一家之言，奧地利數(shù)據(jù)保護(hù)局認(rèn)為，“刪除”應(yīng)理解為指對(duì)存儲(chǔ)的個(gè)人數(shù)據(jù)進(jìn)行任何形式的模糊處理，由此提出了“模糊刪除”的概念，并強(qiáng)調(diào)無論使用何種刪除方式，完全的不可逆是不必要的。參見Datenschutzbeh?rde, -1232700009-2018 ( 5, 2018),https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00.html.英國監(jiān)管機(jī)構(gòu)“信息專員辦公室”(Information Commissioner’s Office，下稱ICO)認(rèn)為“刪除”只要個(gè)人信息“無法使用”(put beyond use)，從英文的直譯來看，更接近“放到用不到的地方”，參見Information Commissioner’s Office of UK, (December 31, 2019), https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/.并未要求“刪除”要達(dá)到物理上的不復(fù)存在。《德國聯(lián)邦數(shù)據(jù)保護(hù)法》(Federal Data Protection Act)則做了更具前瞻性的規(guī)定，該法第35(1)條明確提及，如果無法刪除個(gè)人數(shù)據(jù)，或者因?yàn)樘囟ǖ膬?chǔ)存結(jié)構(gòu)而使得刪除可能造成不成比例的影響，那么數(shù)據(jù)控制者可以免除刪除責(zé)任。

(二)利益平衡下個(gè)人信息保密的“去標(biāo)識(shí)化”路徑

前文已經(jīng)提及，我國現(xiàn)行個(gè)人信息保護(hù)規(guī)范要求對(duì)個(gè)人信息進(jìn)行“嚴(yán)格保密”或“不得公開”，這與個(gè)人信息區(qū)塊鏈應(yīng)用的技術(shù)架構(gòu)形成內(nèi)生沖突。調(diào)和上述沖突的方式便是對(duì)上鏈的個(gè)人信息采取特定的加密、去標(biāo)識(shí)化等措施以實(shí)現(xiàn)“形式公開”基礎(chǔ)上的“實(shí)質(zhì)不公開”。一般認(rèn)為，“保密”是與“泄露”相對(duì)應(yīng)，意指保守事物的秘密，使其不被泄露?！凹用堋眲t是指以特定的方式改變原有的信息數(shù)據(jù)，使得未掌握密鑰的用戶即使獲得了已加密的信息，也無法真正知悉信息的內(nèi)容。可見，“加密”是一種“保密”的方法。現(xiàn)有法律規(guī)范賦予網(wǎng)絡(luò)運(yùn)營者以個(gè)人信息保密的義務(wù)，那么何種方式可以被視為法定保密義務(wù)的適當(dāng)履行方式呢？或者更具體一點(diǎn)展開，在區(qū)塊鏈中，哈希函數(shù)、非對(duì)稱加密是否符合個(gè)人信息“保密”的法律規(guī)范？要明確這個(gè)問題，就必須從技術(shù)的邏輯切入，分析加密、去標(biāo)識(shí)化、假名化、匿名化等在內(nèi)涵上具有不確定性，但卻高度近似的概念。

按照《個(gè)保法》的規(guī)定，“去標(biāo)識(shí)化”(de-identification)是指“個(gè)人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識(shí)別特定自然人的過程”。該定義與國家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》3.14條基本一致。對(duì)此可以簡化為“不借助額外信息+無法識(shí)別”來理解。對(duì)于“假名化”我國現(xiàn)有的規(guī)范體系并未明確解釋。在此可以參考?xì)W盟GDPR的規(guī)定。GDPR第4(5)條指出“假名化”(pseudonymisation)是“在不使用附加信息的情況下，不再可以將個(gè)人數(shù)據(jù)歸于特定數(shù)據(jù)主體，但前提是此類附加信息應(yīng)單獨(dú)保存并且受技術(shù)和組織措施的約束，確保個(gè)人數(shù)據(jù)不歸屬于已識(shí)別或可識(shí)別的自然人?！薄凹倜北徽J(rèn)為是GDPR在個(gè)人信息保護(hù)方面的重要?jiǎng)?chuàng)新，它可以被簡化為“不借助額外信息+無法識(shí)別+額外信息妥善保存”進(jìn)行理解。從定義的內(nèi)容來看，GDPR的“假名化”與我國法律規(guī)范中的“去標(biāo)識(shí)化”主體部分重合，但“假名化”是“去標(biāo)識(shí)化”的進(jìn)一步優(yōu)化——“附加信息應(yīng)單獨(dú)保存并且受技術(shù)和組織措施的約束，確保個(gè)人數(shù)據(jù)不歸屬于已識(shí)別或可識(shí)別的自然人”。由此可見，“去標(biāo)識(shí)化”與“假名化”并非一個(gè)層面的概念，前者要包含后者。這一點(diǎn)與國家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》的界定高度一致。在該標(biāo)準(zhǔn)的概念體系中，“去標(biāo)識(shí)化”項(xiàng)下包括“假名”“加密”“哈希函數(shù)”。以“加密”為例，在對(duì)數(shù)據(jù)進(jìn)行加密的情況下，假設(shè)個(gè)人數(shù)據(jù)仍然存在于已加密的數(shù)據(jù)集中，則密鑰持有者仍可以通過解密來重新標(biāo)識(shí)每個(gè)數(shù)據(jù)主體。這里的“秘鑰”就是“額外的信息”。運(yùn)用“秘鑰”解密，就是“識(shí)別”個(gè)人的過程。因此“加密”是“去標(biāo)識(shí)化”的一種方式。與“去標(biāo)識(shí)化”“假名化”高度相關(guān)的一個(gè)概念便是“匿名化”。所謂“匿名化”(anonymization)，是指“個(gè)人信息經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原的過程?！痹谟?jì)算機(jī)科學(xué)中，匿名強(qiáng)調(diào)“無關(guān)聯(lián)性”，也就是指站在攻擊者的角度，無法將用戶與系統(tǒng)之間的任意兩次交互進(jìn)行關(guān)聯(lián)。換言之，“去標(biāo)識(shí)化”或“假名化”都是在結(jié)合附加信息的情況下可以實(shí)現(xiàn)個(gè)人定位，而“匿名化”則是完全無法再次識(shí)別。兩者對(duì)個(gè)人信息保護(hù)的程度差異可見一斑。在歐盟關(guān)于區(qū)塊鏈的研究報(bào)告中明確提到，區(qū)塊鏈所慣常使用的哈希函數(shù)、非對(duì)稱加密、橢圓函數(shù)加密等方案，其實(shí)都只是“假名化”。具體而言，區(qū)塊鏈技術(shù)通常是在用戶的控制下利用公鑰加密算法(例如ECC)生成，但流出和流進(jìn)某一地址的所有交易記錄哈希值都會(huì)被記錄在區(qū)塊鏈的全局賬本中，盡管加密使得信息得到了一定程度的保護(hù)，但這些存儲(chǔ)網(wǎng)絡(luò)層的傳播軌跡，可以追蹤與推測出區(qū)塊鏈地址對(duì)應(yīng)的真實(shí)身份。綜上所述，“保密”的范圍最大，“去標(biāo)識(shí)化”“假名化”“匿名化”都是保密的一種方式；“去標(biāo)識(shí)化”的范圍次之，它包含“假名化”“匿名化”“加密”“哈希函數(shù)”等；“假名化”則再次之，它包含了“匿名化”。

在完成相關(guān)概念的區(qū)分之后，接著要討論的問題就是，《網(wǎng)絡(luò)安全法》等個(gè)人信息保護(hù)規(guī)范中對(duì)個(gè)人信息的“保密”要求究竟是需要達(dá)到“去標(biāo)識(shí)化”“假名化”，抑或是要達(dá)到更高程度，完全排除再識(shí)別可能的“匿名化”？筆者認(rèn)為，根據(jù)“利益平衡”的總立場，“保密”只需要達(dá)到“去標(biāo)識(shí)化”即可，而無需達(dá)到“匿名化”的程度，原因如下：第一，“匿名化”是完全排除再識(shí)別的可能性。從現(xiàn)有技術(shù)路徑來看，很少有技術(shù)能夠?qū)崿F(xiàn)嚴(yán)格意義的“匿名化”。這是因?yàn)?，一方面，“匿名化”是一個(gè)高度動(dòng)態(tài)且不確定性的技術(shù)標(biāo)準(zhǔn)?！澳涿敝信懦R(shí)別可能性的標(biāo)準(zhǔn)必須充分考慮到未來技術(shù)的發(fā)展。在區(qū)塊鏈中，個(gè)人信息理論上是永久保存的，按照這一標(biāo)準(zhǔn)，如果把時(shí)間軸放置得足夠長，那么理論上沒有技術(shù)可以完全“匿名化”，比如量子計(jì)算機(jī)的普遍運(yùn)用。可見，如果按照嚴(yán)格“識(shí)別可能”來判斷，區(qū)塊鏈上所有的個(gè)人數(shù)據(jù)，無論基于何種加密，它都應(yīng)該被視為個(gè)人信息。另一方面，“匿名化”識(shí)別的可能性與嘗試識(shí)別者的技術(shù)條件密切相關(guān)。世界各國對(duì)識(shí)別時(shí)是否不計(jì)時(shí)間和成本存在爭議。即使是認(rèn)為應(yīng)該采用“合理手段”來判斷識(shí)別可能性的國家內(nèi)部，也存在爭議。比如，英國就認(rèn)為，判斷識(shí)別可能性只需要假定具備“合理手段”，這個(gè)“合理手段”不包括入侵者有黑客的專業(yè)知識(shí)或具有“專業(yè)的設(shè)備”。Information Commissioner’s Office of UK, : ( 2012), p.22-24, https://ico.org.uk/media/1061/anonymisation-code.pdf.個(gè)人信息區(qū)塊鏈應(yīng)用的重要目標(biāo)就包括推動(dòng)個(gè)人信息的可信共享。如果將“保密”設(shè)定為“匿名化”，則為區(qū)塊鏈創(chuàng)新主體設(shè)置無法達(dá)到的過高義務(wù)。第二，從法律規(guī)范的體系來看，“匿名化”由于已經(jīng)完全排除了再識(shí)別的可能性，因此不被以為是“個(gè)人信息”，并且也無法恢復(fù)為“個(gè)人信息”。由此，如果要求區(qū)塊鏈在“保密”時(shí)必須達(dá)到“匿名化”的標(biāo)準(zhǔn)，那么區(qū)塊鏈應(yīng)用于個(gè)人信息領(lǐng)域(認(rèn)證、驗(yàn)真等)的初始目的已無法實(shí)現(xiàn)。第三，無論是“去標(biāo)識(shí)化”抑或是“假名化”都顯著降低了數(shù)據(jù)集與數(shù)據(jù)主體的原始身份之間的可鏈接性，已經(jīng)可以起到個(gè)人信息“保密”的功能。尤其是“假名化”還要求將識(shí)別個(gè)人身份的附加信息單獨(dú)保存并妥善保管，這進(jìn)一步提升了“保密”的層級(jí)?？偠灾?，按照“利益平衡”的理論，區(qū)塊鏈上保存的個(gè)人信息只要“去標(biāo)識(shí)化”就已經(jīng)達(dá)到《網(wǎng)絡(luò)安全法》等個(gè)人信息保護(hù)規(guī)范的“保密”標(biāo)準(zhǔn)，將“去標(biāo)識(shí)化”后的個(gè)人信息“上鏈”應(yīng)當(dāng)不被視作公開個(gè)人信息。

(三)利益平衡下目的限制與數(shù)據(jù)最小化的“場景解釋”路徑

分布式賬本中數(shù)據(jù)的完整性是區(qū)塊鏈的核心技術(shù)特征之一。從創(chuàng)世區(qū)塊開始，區(qū)塊鏈上的所有數(shù)據(jù)活動(dòng)都被詳細(xì)記錄。任何區(qū)塊的增加原則上都需要對(duì)之前的所有區(qū)塊進(jìn)行驗(yàn)證。隨著特定區(qū)塊鏈應(yīng)用的推進(jìn)，數(shù)據(jù)的冗余、效率的降低就成為必然。正因如此，區(qū)塊鏈應(yīng)用于個(gè)人信息保護(hù)就潛在地與目的限制與數(shù)據(jù)最小化的基本需求發(fā)生沖突。

從解釋論角度來看，無論是目的限制抑或是數(shù)據(jù)最小化，都與對(duì)區(qū)塊鏈?zhǔn)占瘋€(gè)人信息的目的緊密相關(guān)。對(duì)目的解釋標(biāo)準(zhǔn)的寬松與否將直接決定區(qū)塊鏈應(yīng)用于個(gè)人信息保護(hù)時(shí)能否適應(yīng)目的限制與最小夠用的合法性要求。具體而言，嚴(yán)格限定的標(biāo)準(zhǔn)將個(gè)人數(shù)據(jù)使用的目的限縮在原初目的之上，并只做最有限的擴(kuò)展。數(shù)據(jù)處理者只要對(duì)數(shù)據(jù)的使用與原初目的有所差異，則需要重新授權(quán)。同時(shí)，嚴(yán)格的目的解釋標(biāo)準(zhǔn)還會(huì)使得數(shù)據(jù)收集的范圍、數(shù)量、頻率局限在限縮的目的之下，進(jìn)一步提升了區(qū)塊鏈適應(yīng)數(shù)據(jù)最小化要求的實(shí)現(xiàn)難度。毋庸置疑，嚴(yán)格限縮的解釋論是對(duì)個(gè)人信息最大化的保護(hù)。然而，大數(shù)據(jù)時(shí)代，數(shù)據(jù)的價(jià)值在多次挖掘中得以體現(xiàn)。數(shù)據(jù)控制者在收集數(shù)據(jù)之初無法對(duì)所有的可能性做充分的預(yù)期，因此也就無法對(duì)數(shù)據(jù)使用目的作出準(zhǔn)確的預(yù)判。嚴(yán)格限縮的解釋論就在某種程度上給數(shù)據(jù)控制主體帶來了較重的合規(guī)義務(wù)。隨著大數(shù)據(jù)技術(shù)的推進(jìn)，基于“利益平衡”的理論，“場景導(dǎo)向”(contextual approach)的目的解釋論被提出。它是指個(gè)人信息原始收集時(shí)的具體語境應(yīng)得到尊重，其后續(xù)傳播及利用不得超出原初的情境脈絡(luò)。場景導(dǎo)向路徑認(rèn)識(shí)到個(gè)人信息保護(hù)的合理程度要置于其所處的環(huán)境中具體審視，避免脫離場景做抽象式的預(yù)判。換言之，信息收集目的的解釋不是嚴(yán)格的字面符合，而是從最初收集的場景中來判斷，考慮是否符合用戶的“合理預(yù)期”。場景導(dǎo)向的目的解釋由于摒棄了嚴(yán)格限縮解釋論帶來的要么合目的，要么不符合的二元對(duì)立劃分，而使得對(duì)個(gè)人信息使用的目的解釋具有一定的動(dòng)態(tài)性和彈性。當(dāng)前，美國主流的數(shù)據(jù)目的解釋便采用此種方式。與此同時(shí)，歐盟在目的解釋時(shí)也一定程度上采用了“場景化”的理念。我們大致可以把歐盟的上述理念概括為“嚴(yán)進(jìn)寬出”。具體而言，在數(shù)據(jù)收集之初，對(duì)數(shù)據(jù)控制者設(shè)定了嚴(yán)格的要求，不允許數(shù)據(jù)控制者進(jìn)行概括性或者抽象意義的目的陳述。作為補(bǔ)充，在數(shù)據(jù)具體運(yùn)用過程中，允許目的有一定的彈性解釋空間，即允許“適當(dāng)性使用”，或者說允許一定程度與目的不完全相同的使用。上述理念在GDPR第6(4)(a)條和6(4)(b)條就有明確的體現(xiàn)。

“目的場景化解釋”的思路對(duì)區(qū)塊鏈的運(yùn)用具有很強(qiáng)的指導(dǎo)意義。也就是說對(duì)于利用區(qū)塊鏈?zhǔn)占瘋€(gè)人信息的目的解釋必須充分考慮區(qū)塊鏈這樣一種獨(dú)特的技術(shù)方式及其應(yīng)用場景。一方面，不能把個(gè)人數(shù)據(jù)收集的目的限縮為僅與“個(gè)人”相關(guān)，而是必須考慮到區(qū)塊鏈去中心化等場景特征，將共識(shí)機(jī)制支撐的數(shù)據(jù)驗(yàn)證與共享也納入到個(gè)人信息區(qū)塊鏈應(yīng)用的目的之中。另一方面，不能將數(shù)據(jù)最小化的理解限縮為僅與個(gè)人相關(guān)，或者只考慮單一節(jié)點(diǎn)的需要。相反，需要將數(shù)據(jù)最小化放置到整條區(qū)塊鏈所有節(jié)點(diǎn)共識(shí)機(jī)制形成的需求去進(jìn)行場景化的理解。舉例而言，假設(shè)存在一個(gè)學(xué)歷驗(yàn)證的公共區(qū)塊鏈，用戶通過加入?yún)^(qū)塊鏈上傳學(xué)歷的哈希值用以在特定場合時(shí)作為學(xué)歷驗(yàn)證的使用。那么，這個(gè)公共區(qū)塊鏈的目的從微觀上說是將每個(gè)人的學(xué)歷信息以區(qū)塊的形式添加到區(qū)塊鏈之上，從宏觀上說則是實(shí)現(xiàn)學(xué)歷信息的驗(yàn)證與共享。因此，區(qū)塊鏈的目的不僅包括初始的個(gè)人數(shù)據(jù)添加，還包括后續(xù)所有符合場景目標(biāo)的數(shù)據(jù)活動(dòng)?？梢?，在場景化的目的解釋中，區(qū)塊鏈分布式數(shù)據(jù)庫的復(fù)制性質(zhì)和數(shù)據(jù)的連續(xù)存儲(chǔ)可以被認(rèn)為符合目的限制。參見Tom Lyons et al., , a Thematic Report Prepared by the European Union Blockchain Observatory and Forum(October 16, 2018), p.68.

(四)利益平衡下節(jié)點(diǎn)責(zé)任劃定的“實(shí)質(zhì)控制”路徑

本文第一部分已經(jīng)提及，區(qū)塊鏈分布式架構(gòu)以及全賬本的應(yīng)用，使得一般情況下每個(gè)節(jié)點(diǎn)都保有完整的數(shù)據(jù)。在個(gè)人信息應(yīng)用領(lǐng)域，每個(gè)節(jié)點(diǎn)，尤其是全節(jié)點(diǎn)既在本節(jié)點(diǎn)完成個(gè)人信息的寫入，也通過共識(shí)機(jī)制參與處理(共享)其他節(jié)點(diǎn)的數(shù)據(jù)，因此每個(gè)節(jié)點(diǎn)形式上符合《網(wǎng)絡(luò)安全法》“網(wǎng)絡(luò)運(yùn)營者”中“網(wǎng)絡(luò)服務(wù)提供者”和《區(qū)塊鏈信息服務(wù)管理規(guī)定》中“區(qū)塊鏈信息服務(wù)提供者”的定義，權(quán)利主體和責(zé)任主體發(fā)生混同。此時(shí)，以“節(jié)點(diǎn)”為依據(jù)的形式判斷標(biāo)準(zhǔn)就可能在實(shí)踐中遭遇合法性困境。一方面，在區(qū)塊鏈，尤其是公共區(qū)塊鏈的應(yīng)用中，特定法律實(shí)體極有可能僅出于數(shù)據(jù)安全備份的考量而選擇區(qū)塊鏈服務(wù)。由于單純選擇數(shù)據(jù)服務(wù)而成為區(qū)塊鏈節(jié)點(diǎn)，并由此承擔(dān)安全保障、實(shí)名認(rèn)證、登記備案、應(yīng)急處置等法律責(zé)任，按照權(quán)責(zé)相統(tǒng)一的原則，顯失公平。另一方面，區(qū)塊鏈的技術(shù)框架高度多元化，“節(jié)點(diǎn)”與“節(jié)點(diǎn)”之間也存在很大的差異。有些區(qū)塊鏈的架構(gòu)可能使得特定主體以“單純選擇服務(wù)”為幌子行“節(jié)點(diǎn)”之實(shí)。作為劃定法律責(zé)任承擔(dān)主體的執(zhí)法者，不能僅以相關(guān)主體自我聲明的形式要件來判斷是否需要承擔(dān)責(zé)任。因此，對(duì)于區(qū)塊鏈中心化運(yùn)營責(zé)任履行困境而言，迫切的問題在于建立一種解釋框架，既能夠?qū)Α肮?jié)點(diǎn)”與“單純選擇服務(wù)”作出清晰的劃分，又可以促成“單純選擇服務(wù)”主體的責(zé)任豁免，實(shí)現(xiàn)權(quán)責(zé)的統(tǒng)一。這便是利益平衡下“實(shí)質(zhì)控制”解釋論的由來，其實(shí)質(zhì)是刺破“節(jié)點(diǎn)”的面紗，分析“節(jié)點(diǎn)”承擔(dān)責(zé)任背后的法理，從而破除非此即彼的簡單化責(zé)任主體劃分。

在正式展開分析之前，我們有必要追問一個(gè)本源問題，即“網(wǎng)絡(luò)運(yùn)營者”為什么以及如何能夠承擔(dān)個(gè)人信息保護(hù)的責(zé)任。盡管我國的相關(guān)法律規(guī)范沒有言明，但從具體的法條可以推知，這種責(zé)任是來自于網(wǎng)絡(luò)運(yùn)營者對(duì)個(gè)人信息的“收集”與“使用”以及由此帶來的直接或間接收益。歐盟GDPR也是類似思路，即責(zé)任來源于對(duì)個(gè)人信息的“控制”和“處理”。歐盟GDPR采用的是“相對(duì)控制”的理念，極大擴(kuò)張了責(zé)任主體的范圍。具體而言，GDPR第4(7)條規(guī)定“數(shù)據(jù)控制者”(controller)是指單獨(dú)或與他人共同確定處理個(gè)人數(shù)據(jù)的目的和方式的自然人或法人，公共當(dāng)局、機(jī)構(gòu)或其他機(jī)構(gòu)。可以發(fā)現(xiàn)，這里的“控制”是相對(duì)意義的控制，而并非實(shí)質(zhì)意義的占有或持有數(shù)據(jù)(in possession)。“相對(duì)控制”高度傾向于保護(hù)數(shù)據(jù)主體的，也就是通過擴(kuò)大責(zé)任主體的范圍來保障數(shù)據(jù)主體的權(quán)利。2017年的“Facebook Insight案”就是一個(gè)典型的例子。該案中，一個(gè)教育機(jī)構(gòu)利用“臉書”(Facebook)的服務(wù)創(chuàng)建了一個(gè)粉絲頁面作為和客戶的交流工具。每個(gè)訪問該教育機(jī)構(gòu)頁面的用戶電腦上都會(huì)被放置一個(gè)cookie，但無論是“臉書”抑或是該教育機(jī)構(gòu)均沒有告知用戶。借助收集的數(shù)據(jù)，教育結(jié)構(gòu)可以通過名為“Facebook Insight”的工具來獲知粉絲的基本信息。在這起案件中，教育機(jī)構(gòu)只是單純地選擇“臉書”的一項(xiàng)服務(wù)，不開發(fā)粉絲頁面、不開發(fā)分析粉絲信息的工具“Facebook Insight”，也不參與對(duì)粉絲數(shù)據(jù)的處理。然而，主管機(jī)構(gòu)卻基于GDPR第4(7)的規(guī)定，要求關(guān)閉粉絲頁面。在主管機(jī)構(gòu)看來，教育機(jī)構(gòu)選擇“臉書”粉絲頁面的服務(wù)，實(shí)際上同意了該頁面數(shù)據(jù)收集的目的和方式，因此就和“臉書”成為粉絲個(gè)人數(shù)據(jù)的“聯(lián)合控制者”。盡管法院最終裁定政府方敗訴，但判決意見中仍然采用了“相對(duì)控制”的解釋路徑。法院認(rèn)定，單純使用一項(xiàng)服務(wù)并不構(gòu)成“聯(lián)合控制者”，但是如果選擇服務(wù)的同時(shí)對(duì)數(shù)據(jù)處理產(chǎn)生了影響，則構(gòu)成“聯(lián)合控制”。舉例而言，按照“臉書”粉絲頁面的功能，教育機(jī)構(gòu)可以通過頁面來設(shè)置關(guān)注特定的用戶信息(例如人口統(tǒng)計(jì)和地理數(shù)據(jù)，或有關(guān)興趣，購買和生活方式的信息)。臉書也可以通過“Facebook Insight”的工具收集處理這些信息，并反饋給教育機(jī)構(gòu)，用以優(yōu)化服務(wù)。那么此時(shí)，教育機(jī)構(gòu)就與“臉書”成為“聯(lián)合控制者”?？梢姡凑諝W盟法院的意見，成為聯(lián)合控制者的門檻極低。如果按照歐盟的理念，區(qū)塊鏈服務(wù)的應(yīng)用者極易視為“共同控制者”，因?yàn)閰^(qū)塊鏈存續(xù)是依托共識(shí)機(jī)制，運(yùn)用區(qū)塊鏈服務(wù)的前提是同意特定的共識(shí)機(jī)制，也就符合GDPR的4(7)條中規(guī)定的“共同確定數(shù)據(jù)處理目的和方式”。這種“相對(duì)控制”的理念的弊端顯著，因?yàn)樽鳛閱渭兊姆?wù)選定者，即使參與了共同目的的形成，但服務(wù)使用者絕大多數(shù)情況下對(duì)于數(shù)據(jù)的處理目的只有有限的影響力(微乎其微)，對(duì)于數(shù)據(jù)的處理方式則毫無影響力。即使相關(guān)節(jié)點(diǎn)(尤其是公鏈的個(gè)人節(jié)點(diǎn))想要履行應(yīng)急處置、信息審核等法定義務(wù)，也會(huì)因?yàn)闆]有實(shí)質(zhì)控制個(gè)人信息而無法實(shí)現(xiàn)。

因此，從“利益平衡”角度來看，區(qū)塊鏈責(zé)任主體的確定必須采用“實(shí)質(zhì)控制”原則來劃定責(zé)任主體范圍，具體標(biāo)準(zhǔn)有兩方面：其一，主體需要對(duì)數(shù)據(jù)的收集目的和使用方式有實(shí)質(zhì)影響，單純選用服務(wù)不構(gòu)成對(duì)數(shù)據(jù)收集目的和使用方式的實(shí)質(zhì)影響；其二，主體還需要對(duì)數(shù)據(jù)享有實(shí)質(zhì)的控制權(quán)，這個(gè)控制權(quán)不是一般意義的形式控制(control)而是實(shí)質(zhì)意義上的控制(possess)。只有同時(shí)具備兩個(gè)條件，才構(gòu)成《網(wǎng)絡(luò)安全法》上的責(zé)任主體，才能依法履行數(shù)據(jù)保護(hù)的相關(guān)責(zé)任。舉例而言，一個(gè)銀行決定用區(qū)塊鏈來存儲(chǔ)特定的賬戶交易信息，它不僅決定了處理數(shù)據(jù)的方式，還決定了哪些數(shù)據(jù)需要用這種處理的信息主體以及信息處理的目的(交易)。此時(shí)，按照“相對(duì)控制”的理念，銀行已經(jīng)是數(shù)據(jù)的共同控制主體，但是按照“絕對(duì)控制”的理念，還要判斷銀行是單純使用某項(xiàng)區(qū)塊鏈服務(wù)，還是作為節(jié)點(diǎn)參與到共識(shí)中。如果是后者，則銀行不僅實(shí)質(zhì)影響了數(shù)據(jù)處理的目的和方式，也實(shí)質(zhì)掌握了數(shù)據(jù)(全局賬本)，因此是當(dāng)然的網(wǎng)絡(luò)運(yùn)營者。如果是前者，銀行由于并未實(shí)質(zhì)掌握數(shù)據(jù)，那么數(shù)據(jù)控訴者的責(zé)任就由提供區(qū)塊鏈服務(wù)的主體承擔(dān)。實(shí)際上，實(shí)質(zhì)控制既是相關(guān)主體承擔(dān)責(zé)任的前提，也是承擔(dān)責(zé)任的保障。如果一個(gè)主體沒有形成對(duì)個(gè)人信息(數(shù)據(jù))的實(shí)質(zhì)控制，安全保障、信息修改、信息刪除的責(zé)任事實(shí)上也無法承擔(dān)。有學(xué)者在分析GDPR與區(qū)塊鏈的沖突時(shí)就指出，因?yàn)閭€(gè)人節(jié)點(diǎn)的特殊性，使得GDPR許多數(shù)據(jù)處理的要求“毫無意義”。參見Clare Sullivan & Eric Burger, - , 33 Computer Law & Security Review 460, 479(2017).“實(shí)質(zhì)主義”的判斷路徑平衡了信息主體與網(wǎng)絡(luò)運(yùn)營者之間的身份競合，既有助于“節(jié)點(diǎn)”與“單純選擇服務(wù)”的區(qū)分，也有助于將個(gè)人節(jié)點(diǎn)排除在責(zé)任主體之外，為破除責(zé)任混同創(chuàng)造條件。

三、區(qū)塊鏈與個(gè)人信息保護(hù)法律規(guī)范銜接的制度展開

(一)“相對(duì)刪除”路徑的展開：“脫鏈存儲(chǔ)”與“密鑰刪除”

在“相對(duì)刪除”路徑指導(dǎo)下，通過構(gòu)建個(gè)人信息區(qū)塊鏈應(yīng)用“脫鏈存儲(chǔ)”與“密鑰刪除”的標(biāo)準(zhǔn)，可以在保持區(qū)塊鏈核心特性的基礎(chǔ)上滿足刪除個(gè)人信息的規(guī)范需求。

“脫鏈存儲(chǔ)”是將個(gè)人信息儲(chǔ)存在單獨(dú)的“脫鏈數(shù)據(jù)庫”中，僅通過散列鏈接到區(qū)塊鏈的分布式分類賬中。在區(qū)塊上僅保留索引信息以及個(gè)人信息轉(zhuǎn)換的哈希值。哈希值成為避免個(gè)人信息泄露的關(guān)鍵控制要素。當(dāng)信息主體要求刪除個(gè)人信息時(shí)，區(qū)塊鏈服務(wù)提供者只要?jiǎng)h除區(qū)塊之上哈希值與脫鏈數(shù)據(jù)庫中特定個(gè)人信息的“可連接性”(linkability)即可實(shí)現(xiàn)，且不會(huì)破壞整個(gè)區(qū)塊鏈。當(dāng)然，此種方案是以一定程度上犧牲個(gè)人信息的安全性、透明性和效率性為代價(jià)的。舉例而言，個(gè)人信息脫鏈將面臨管理難題，信息主體無法確定誰訪問了數(shù)據(jù)，以及誰可以訪問數(shù)據(jù)且容易遭受黑客攻擊。但“脫鏈存儲(chǔ)”能使得區(qū)塊鏈完全符合個(gè)人信息保護(hù)中的刪除要求。參見Carlo R.W. De Meijer, , Finextra(October 9, 2018), https://www.finextra.com/blogposting/16102/blockchain-versus-gdpr-and-who-should-adjust-most.當(dāng)接收到刪除請求時(shí)，責(zé)任主體可以把區(qū)塊鏈之外的脫鏈數(shù)據(jù)庫完全刪除。當(dāng)然，哈希函數(shù)在技術(shù)上雖然具有極高的破解難度，但其并非真正意義上的“匿名化”操作。因此，即使是脫鏈存儲(chǔ)，在區(qū)塊鏈上有關(guān)個(gè)人信息的哈希函數(shù)仍然是個(gè)人信息。也正因如此，此種方式仍然屬于“相對(duì)刪除”。

此外，密鑰刪除也是調(diào)和區(qū)塊鏈技術(shù)特征與個(gè)人信息刪除矛盾的有效方案，此種方案不刪除儲(chǔ)存在區(qū)塊之上的數(shù)據(jù)，而是通過刪除解密密鑰的方式來實(shí)現(xiàn)刪除。比如將A是本科學(xué)歷的信息記錄在區(qū)塊鏈上，同時(shí)對(duì)A的個(gè)人身份進(jìn)行加密處理。在收到刪除個(gè)人信息的申請時(shí)將A對(duì)應(yīng)個(gè)人身份的解密密鑰刪除。此時(shí)，A是本科學(xué)歷的信息仍然儲(chǔ)存在區(qū)塊之上的分布式賬本之中，但是所有節(jié)點(diǎn)都只能訪問未解密A身份的學(xué)歷信息。參見Andrew Arnold, ?, Forbes(November 20, 2018), https://www.forbes.com/sites/andrewarnold/2018/11/20/can-blockchain-help-brands-become-gdpr-compliant/#315949c51203.當(dāng)然，個(gè)人信息在區(qū)塊鏈之上通過加密的方式形成的數(shù)據(jù)仍然應(yīng)該被視為個(gè)人信息，其只是實(shí)現(xiàn)了“假名化”，而非不可逆的“匿名化”，因此也同樣屬于“相對(duì)刪除”，畢竟獲取密鑰就有可能再次恢復(fù)相應(yīng)的數(shù)據(jù)。不過從現(xiàn)有技術(shù)來看，刪除解密密鑰使得該份信息雖儲(chǔ)存在區(qū)塊鏈上，但其他節(jié)點(diǎn)只能訪問未解密的信息以滿足驗(yàn)證的需求，個(gè)人信息“名存實(shí)亡”，從“相對(duì)刪除”的視角來看已經(jīng)等效于被刪除。在英國，此種方案被視為完成了“刪除”。英國ICO發(fā)布的指南就對(duì)此作了說明。英國ICO對(duì)“相對(duì)刪除”的解釋為：如果因?yàn)榧夹g(shù)原因無法實(shí)質(zhì)刪除數(shù)據(jù)，則只要滿足以下四個(gè)條件就可以視同刪除：(1)無法或不會(huì)嘗試使用個(gè)人數(shù)據(jù)；(2)不允許其他組織訪問個(gè)人數(shù)據(jù)；(3)采用適當(dāng)?shù)募夹g(shù)保障數(shù)據(jù)安全；(4)承諾在可能的情況下永久刪除。通過數(shù)據(jù)的加密結(jié)合密鑰的徹底刪除，在現(xiàn)有技術(shù)條件下，無論是網(wǎng)絡(luò)運(yùn)營者抑或是其他主體事實(shí)上都難以有效訪問個(gè)人信息，因此可以視作數(shù)據(jù)被刪除。參見Information Commissioner’s Office of UK, , https://ico.org.uk/media/for-organisations/documents/1475/deleting_personal_data.pdf.

值得注意的是，近期有研發(fā)主體完成了“可編輯區(qū)塊鏈”(editable blockchain)的專利申請工作，其實(shí)質(zhì)是利用“變色龍哈希函數(shù)”(chameleon hash)在每個(gè)區(qū)塊上安裝一個(gè)可以編輯的“后門”，由此實(shí)現(xiàn)區(qū)塊鏈信息的可刪除、可編輯。該專利的核心目標(biāo)是為了滿足政府對(duì)區(qū)塊鏈的監(jiān)管需求而犧牲區(qū)塊鏈核心的去中心化和不可撤銷性的技術(shù)優(yōu)勢。在“可編輯區(qū)塊鏈”的應(yīng)用場景中，由于哈希函數(shù)的可變性，它無法形成多節(jié)點(diǎn)的共識(shí)，而只能在使用“變色龍哈希函數(shù)”的兩個(gè)節(jié)點(diǎn)間形成共識(shí)。由此，區(qū)塊鏈賴以生存的共識(shí)機(jī)制也遭到破壞。試想，如果區(qū)塊鏈可以實(shí)現(xiàn)數(shù)據(jù)的篡改那么還如何實(shí)現(xiàn)去中心化的共識(shí)。也就是說，“可編輯區(qū)塊鏈”的運(yùn)用已經(jīng)在某種程度上使得區(qū)塊鏈有名無實(shí)，與區(qū)塊鏈得以立足的創(chuàng)新背道而馳。正因如此，筆者并不認(rèn)為“可編輯區(qū)塊鏈”是調(diào)和區(qū)塊鏈應(yīng)用與個(gè)人信息刪除之間沖突的合法性工具，盡管它在技術(shù)上也可以破除個(gè)人信息刪除的合法性困境。

(二)“去標(biāo)識(shí)化”路徑的展開：“非明文存儲(chǔ)”與“承諾模式”

既然按照“利益平衡”的解釋論，區(qū)塊鏈個(gè)人信息應(yīng)用只要達(dá)到“去標(biāo)識(shí)化”便符合法律規(guī)范的保密需求，那么，解決區(qū)塊鏈信息透明與個(gè)人信息隱秘性沖突的方式便是明確規(guī)定“上鏈”的個(gè)人信息必須采用“非明文存儲(chǔ)”與“承諾模式”相結(jié)合的方式。正如“法國國家信息自由與發(fā)展委員會(huì)”(Commission Nationale de l’Informatique et des Libertés，簡稱CNIL)所強(qiáng)調(diào)的：“保護(hù)區(qū)塊鏈上的個(gè)人信息重點(diǎn)在于不要將個(gè)人數(shù)據(jù)以明文形式存儲(chǔ)在區(qū)塊鏈上”。CNIL, : (November 6, 2018), p7, https://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-personal-data.由于全局賬本的存在，那種將個(gè)人信息明文放置在區(qū)塊鏈之上的做法直接與個(gè)人信息保密責(zé)任形成沖突。本文第二部分已提及，哈希函數(shù)、非對(duì)稱加密、公鑰和私鑰都屬于加密的方式，都達(dá)到了“去標(biāo)識(shí)化”的要求，因此個(gè)人信息無論通過哪種方式，只要不是明文方式上鏈，都可以視作達(dá)到個(gè)人信息保護(hù)規(guī)范要求的“保密”要求。為貫徹“非明文存儲(chǔ)原則”，個(gè)人信息應(yīng)還可以進(jìn)一步通過“承諾模式”(commitment)在區(qū)塊鏈上進(jìn)行登記，從而在通用“去標(biāo)識(shí)化”的基礎(chǔ)之上進(jìn)一步加密。作一個(gè)形象的比喻，可以將“承諾模式”想象為信息主體將個(gè)人信息放入一個(gè)鎖著的盒子里，然后將盒子交給接收方(區(qū)塊鏈/上鏈)。盒子里的信息對(duì)接受者是隱藏的，接受者無法自己開鎖。同時(shí)，因?yàn)榻邮照吆凶拥拇嬖冢畔⒅黧w也無法自行修改相關(guān)信息。如果發(fā)送者決定特定時(shí)候給接收者以鑰匙，則信息就會(huì)顯示。換言之，“承諾”是一種凍結(jié)數(shù)據(jù)的加密機(jī)制，它可以通過附加信息(承諾)來確定哪些數(shù)據(jù)已被凍結(jié)，也可以通過附加信息(承諾)來查找或識(shí)別特定數(shù)據(jù)。通過“承諾”機(jī)制，個(gè)人信息的控制權(quán)將牢牢掌握在信息主體手中，即便該信息上鏈，其他主體也難以知曉其中內(nèi)容。

(三)“場景解釋”路徑的展開：“區(qū)塊鏈修剪”與“零知識(shí)證明”

場景化的目的解釋可以有效地回應(yīng)區(qū)塊鏈個(gè)人信息應(yīng)用中面對(duì)的目的限制的需求。在此基礎(chǔ)上，通過區(qū)塊鏈修剪與零知識(shí)證明技術(shù)就能夠回應(yīng)數(shù)據(jù)最小化的要求，從而實(shí)現(xiàn)目的限制與數(shù)據(jù)最小化的合法化應(yīng)對(duì)。

所謂區(qū)塊的修剪(pruning)是指從節(jié)點(diǎn)的本地儲(chǔ)存刪除非關(guān)鍵區(qū)塊鏈信息的過程。本文已經(jīng)反復(fù)提及，通用區(qū)塊鏈技術(shù)采用去中心化的分布式存儲(chǔ)模式，每個(gè)節(jié)點(diǎn)地位平等，并均保有區(qū)塊鏈自創(chuàng)始區(qū)塊以來內(nèi)容的完整副本(全局賬本)。截至2021年10月5日20時(shí)，從2009年1月9日的創(chuàng)世區(qū)塊開始，比特幣共有703,672個(gè)區(qū)塊，發(fā)生了超過6.76億次的交易，數(shù)據(jù)總體量為367.82GB；同時(shí)段，從2015年7月30日的創(chuàng)世區(qū)塊開始，以太坊共有13,358,974個(gè)區(qū)塊，發(fā)生了超過13.1億次交易，數(shù)據(jù)的總體量為295GB。換言之，每個(gè)比特幣或者以太坊的節(jié)點(diǎn)，不僅需要準(zhǔn)備數(shù)百GB的空間，并且每新增一次交易都要遍歷所有節(jié)點(diǎn)，對(duì)既往數(shù)億次的交易進(jìn)行驗(yàn)證，這極大地降低了區(qū)塊鏈的運(yùn)行效率。修剪后的節(jié)點(diǎn)具有大多數(shù)重要信息，并且仍然可以支持共識(shí)機(jī)制的形成。舉例而言，比特幣目前的修剪方式就允許節(jié)點(diǎn)只存儲(chǔ)550個(gè)區(qū)塊來進(jìn)行交易驗(yàn)證。盡管節(jié)點(diǎn)賬本的體量在修剪后有了顯著下降，但550個(gè)區(qū)塊的信息仍然包含完整的區(qū)塊頭和區(qū)塊體。因此，不同于只儲(chǔ)存區(qū)塊頭的“輕量級(jí)節(jié)點(diǎn)”，修剪的節(jié)點(diǎn)被認(rèn)為是完整的節(jié)點(diǎn)，也可以驗(yàn)證事務(wù)并參與共識(shí)。根據(jù)最新研究顯示，采用選擇性修剪技術(shù)，可以使得區(qū)塊鏈的賬本體量下降84.49%。參見Emanuel Palm, Olov Schelén &Ulf Bodin, , 2018 Crypto Valley Conference on Blockchain Technology (CVCBT), p.31.實(shí)際上，“輕量級(jí)節(jié)點(diǎn)”與“區(qū)塊修剪”技術(shù)結(jié)合可以進(jìn)一步下降區(qū)塊鏈賬本的體量。

所謂“零知識(shí)證明”(zero knowledge proof，簡稱ZKF)可以看作是一種協(xié)議，通過該協(xié)議可以在不使用任何密碼或其他敏感數(shù)據(jù)的情況下促進(jìn)數(shù)字身份驗(yàn)證過程結(jié)果，無論從發(fā)送方還是接收方的任何信息都不會(huì)受到任何損害。參見Shiraz Jagati, - , , Cointelegraph(NOV 18, 2019), https://cointelegraph.com/explained/zero-knowledge-proofs-explained.通俗來講，“零知識(shí)證明是指一方(證明者)向另一方(驗(yàn)證者)證明一個(gè)陳述是正確的，而無需透露除該陳述正確以外的任何信息”。經(jīng)典的零知識(shí)證明便是“阿里巴巴洞穴”。目前，零知識(shí)證明的機(jī)制已經(jīng)被應(yīng)用于區(qū)塊鏈相關(guān)的個(gè)人身份驗(yàn)證之上。同樣以個(gè)人學(xué)歷信息驗(yàn)證的區(qū)塊鏈應(yīng)用為例。傳統(tǒng)上，個(gè)人在尋找工作時(shí)，工作單位可能需要驗(yàn)證應(yīng)聘人員是否具有本科學(xué)歷。按照傳統(tǒng)的驗(yàn)證方式，應(yīng)聘人員需要提交本科學(xué)歷證書。在這個(gè)過程中，其實(shí)存在大量的信息冗余，因?yàn)橛萌藛挝缓芸赡苤恍枰朗欠窬哂斜究茖W(xué)歷，而不需要知道學(xué)歷簽發(fā)的時(shí)間、專業(yè)、簽發(fā)人、畢業(yè)學(xué)校等。將這個(gè)例子平移到區(qū)塊鏈的個(gè)人信息應(yīng)用就會(huì)發(fā)現(xiàn)，傳統(tǒng)區(qū)塊鏈架構(gòu)需要保存?zhèn)€人特定的完整信息以滿足驗(yàn)證的需要，而這一保存行為其實(shí)并不是最優(yōu)的選擇。零知識(shí)證明引入?yún)^(qū)塊鏈的實(shí)質(zhì)是允許個(gè)人不向用人單位共享學(xué)歷證書的情況下證明自己具有本科學(xué)歷。也正因如此，“零知識(shí)證明”機(jī)制的運(yùn)用將會(huì)極大推動(dòng)區(qū)塊鏈數(shù)據(jù)最小化的實(shí)現(xiàn)。有機(jī)構(gòu)就聲稱可以通過不斷遞歸，實(shí)現(xiàn)區(qū)塊鏈賬本體量由GB向KB的縮減，從而使得移動(dòng)端也可以即時(shí)同步區(qū)塊鏈數(shù)據(jù)。參見: , Medium(May 10, 2018), https://medium.com/codaprotocol/coda-keeping-cryptocurrency-decentralized-e4b180721f42.

(四)“實(shí)質(zhì)控制”路徑的展開：許可區(qū)塊鏈與輕量級(jí)節(jié)點(diǎn)

1. 許可區(qū)塊鏈優(yōu)先。區(qū)塊鏈?zhǔn)且环N極具變化的應(yīng)用技術(shù)，以“是否需要許可”為標(biāo)準(zhǔn)可分為“無許可區(qū)塊鏈”(permissionless blockchain)和“許可區(qū)塊鏈”(permissioned blockchain)。前者是指個(gè)人或者機(jī)構(gòu)不需要許可即可以自由訪問和添加數(shù)據(jù)的區(qū)塊鏈；后者是指個(gè)人或者機(jī)構(gòu)需要許可才能訪問和添加數(shù)據(jù)的區(qū)塊鏈。參見Bruce Bennett et al., , Insideprivacy(July. 24, 2018),https://www.insideprivacy.com/international/european-union/the-gdpr-and-blockchain/.同時(shí)，以場景和設(shè)計(jì)體系為標(biāo)準(zhǔn)還可分為公共鏈 (public blockchain) 、聯(lián)盟鏈 (consortium blockchain)和私有鏈(private blockchain)。一般而言，私有鏈和聯(lián)盟鏈?zhǔn)窃S可區(qū)塊鏈，而公共鏈則是非許可區(qū)塊鏈。從破除區(qū)塊鏈應(yīng)用的責(zé)任混同和責(zé)任不能困境角度出發(fā)，一個(gè)最為有效的合法化路徑就是明確規(guī)定個(gè)人信息的區(qū)塊鏈應(yīng)用必須遵循許可區(qū)塊鏈優(yōu)先的原則。

前文已經(jīng)提及，按照“實(shí)質(zhì)控制論”的解釋，對(duì)個(gè)人信息的實(shí)質(zhì)控制既是網(wǎng)絡(luò)運(yùn)營者/區(qū)塊鏈服務(wù)提供者相關(guān)責(zé)任(刪除、更正、登記、審核)的來源，亦是履行責(zé)任的條件保障。從這個(gè)角度出發(fā)，“無許可區(qū)塊鏈”的技術(shù)特征與個(gè)人信息保護(hù)責(zé)任體系具有極強(qiáng)的沖突性。眾所周知，“無許可區(qū)塊鏈”屬完全分布式，各節(jié)點(diǎn)自由加入，共同維護(hù)全部交易數(shù)據(jù)。在上述架構(gòu)中，通常沒有一個(gè)單一的法律實(shí)體來決定所有節(jié)點(diǎn)的軟件、硬件。相反，這些決定是由一系列不同的參與者根據(jù)自身情況分散做出的決策。也就是說，無許可區(qū)塊鏈節(jié)點(diǎn)之間的數(shù)據(jù)驗(yàn)證與共享主要取決于預(yù)先定義的服務(wù)器協(xié)議，個(gè)人節(jié)點(diǎn)對(duì)區(qū)塊鏈的數(shù)據(jù)處理的目的和處理方式?jīng)]有實(shí)質(zhì)影響力。因此，無許可區(qū)塊鏈的技術(shù)特點(diǎn)會(huì)造成一種悖論，即按照“相對(duì)控制”的解釋路徑，所有公共區(qū)塊鏈的個(gè)人節(jié)點(diǎn)都是網(wǎng)絡(luò)服務(wù)者，因此需要承擔(dān)相應(yīng)的法律責(zé)任。然而，個(gè)人節(jié)點(diǎn)由于資金、技術(shù)等多方面的限制事實(shí)上無法承擔(dān)責(zé)任；反之，如果按照“實(shí)質(zhì)控制”的解釋路徑，所有公共區(qū)塊鏈上的個(gè)人節(jié)點(diǎn)都可能不是網(wǎng)絡(luò)服務(wù)者，那么整個(gè)公共區(qū)塊鏈就可能沒有承擔(dān)責(zé)任的主體。也就是說，無論按照“實(shí)質(zhì)控制”還是“相對(duì)控制”，公共區(qū)塊鏈的架構(gòu)選擇都會(huì)陷入責(zé)任混同與責(zé)任不能的困境。

與非許可區(qū)塊鏈形成鮮明對(duì)比的是，許可區(qū)塊鏈(私有鏈和聯(lián)盟鏈)的架構(gòu)設(shè)計(jì)能夠較好地貼合“實(shí)質(zhì)控制論”的需求，從而為責(zé)任混同和責(zé)任不能的解決提供可能。首先，“許可區(qū)塊鏈”的節(jié)點(diǎn)通常由一個(gè)法律實(shí)體發(fā)起，其背后是一個(gè)已知的中心化機(jī)構(gòu)對(duì)區(qū)塊鏈進(jìn)行直接管理。參見Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.5.由此，也就當(dāng)然具有可以承擔(dān)法律責(zé)任的數(shù)據(jù)實(shí)質(zhì)控制節(jié)點(diǎn)。其次，“許可區(qū)塊鏈”相對(duì)封閉，只對(duì)特定的組織或人群開放。在“許可”的過程中可以對(duì)節(jié)點(diǎn)的資金、技術(shù)、人員的實(shí)力進(jìn)行有效審核。節(jié)點(diǎn)也可以采用相同的軟件、硬件以及區(qū)塊鏈的基礎(chǔ)設(shè)置。由此，加入的節(jié)點(diǎn)也具有實(shí)質(zhì)控制數(shù)據(jù)的能力。再次，“許可區(qū)塊鏈”的節(jié)點(diǎn)群體較為穩(wěn)定，節(jié)點(diǎn)無法隨意加入與退出，因此責(zé)任主體的配置具有穩(wěn)定性。最后，“許可區(qū)塊鏈”還可以在節(jié)點(diǎn)加入時(shí)通過簽訂協(xié)議的方式明確各自的權(quán)利義務(wù)，從而有效地避免了責(zé)任的混同問題。因此，從個(gè)人信息保護(hù)的角度來看，許可區(qū)塊鏈節(jié)點(diǎn)的設(shè)立與其成員的法律關(guān)系能較好地兼容于現(xiàn)有法律責(zé)任體系，監(jiān)管難度低?！皻W盟區(qū)塊鏈觀察站與論壇”也認(rèn)為，“許可區(qū)塊鏈”比“無許可區(qū)塊鏈”能更好地應(yīng)用于個(gè)人信息保護(hù)。參見Tom Lyons et al., , a Thematic Report Prepared by the European Union Blockchain Observatory and Forum(October 16, 2018), p14.

2. 輕量級(jí)節(jié)點(diǎn)構(gòu)建?！皩?shí)質(zhì)控制”的解釋論固然能夠使得單純選擇服務(wù)的個(gè)人豁免于節(jié)點(diǎn)的責(zé)任。然而，節(jié)點(diǎn)的實(shí)質(zhì)是參與共識(shí)，是對(duì)數(shù)據(jù)的控制。成為節(jié)點(diǎn)固然會(huì)增加相應(yīng)的責(zé)任，但個(gè)人同樣可以通過節(jié)點(diǎn)來加強(qiáng)對(duì)個(gè)人信息的控制。因此，成為節(jié)點(diǎn)和單純選擇服務(wù)對(duì)于個(gè)人信息的控制不可等量齊觀。由此，便形成一種矛盾：個(gè)人想要更好地控制區(qū)塊鏈上的個(gè)人信息，就必須成為節(jié)點(diǎn)，然而成為節(jié)點(diǎn)又可能需要承擔(dān)網(wǎng)絡(luò)運(yùn)營者的責(zé)任。輕量級(jí)節(jié)點(diǎn)技術(shù)的出現(xiàn)使得用戶可以享受對(duì)個(gè)人信息有效控制的基礎(chǔ)上，同時(shí)又不至于對(duì)其他節(jié)點(diǎn)的數(shù)據(jù)形成“實(shí)質(zhì)控制”，因此是當(dāng)前技術(shù)條件下的一條最優(yōu)的路徑。

“輕量級(jí)節(jié)點(diǎn)”(lightweight node)是相對(duì)“全節(jié)點(diǎn)”(full node)而言的，是區(qū)塊鏈技術(shù)發(fā)展的必然需求。節(jié)點(diǎn)是存儲(chǔ)完整或部分區(qū)塊鏈副本并參與新塊驗(yàn)證的計(jì)算機(jī)。參見Tom Lyons et al., , a Thematic Report Prepared by the European Union Blockchain Observatory and Forum(October 16, 2018), p46.在采用全節(jié)點(diǎn)的分布式存儲(chǔ)中，公民個(gè)人通過區(qū)塊鏈應(yīng)用的客戶端完成區(qū)塊鏈節(jié)點(diǎn)建設(shè)后，客戶端會(huì)在互聯(lián)網(wǎng)上搜尋區(qū)塊鏈的其他節(jié)點(diǎn)，并記錄每個(gè)節(jié)點(diǎn)的IP地址。當(dāng)發(fā)現(xiàn)自己節(jié)點(diǎn)上的區(qū)塊鏈高度低于其他節(jié)點(diǎn)時(shí)，就會(huì)通過共識(shí)機(jī)制把最新的區(qū)塊鏈同步到自己的節(jié)點(diǎn)上。因?yàn)閰^(qū)塊鏈采用鏈?zhǔn)酱鎯?chǔ)，每個(gè)數(shù)據(jù)區(qū)塊依次疊加，因此最高的區(qū)塊鏈就是最新的區(qū)塊鏈。同樣，如果公民完成在自己接入上的數(shù)據(jù)寫入，那么其他節(jié)點(diǎn)也通過相同的機(jī)制完成全局賬本的更新與共享?？梢灶A(yù)想，在公鏈的環(huán)境下，當(dāng)節(jié)點(diǎn)數(shù)量過大時(shí)，共享對(duì)資源的需求就越大。因?yàn)槊總€(gè)節(jié)點(diǎn)都可能隨機(jī)地更新數(shù)據(jù)區(qū)塊，一經(jīng)更新，其他節(jié)點(diǎn)也要同步更新。隨著數(shù)據(jù)量的增加，同步的耗時(shí)就會(huì)越來越大。因此，隨著區(qū)塊鏈技術(shù)的發(fā)展，就出現(xiàn)了“輕量級(jí)節(jié)點(diǎn)”的概念。

眾所周知，完整的區(qū)塊(block)包括為區(qū)塊頭(header)和區(qū)塊體(body)兩個(gè)部分。前者用以儲(chǔ)存本區(qū)塊哈希值、上一區(qū)塊哈希值、時(shí)間戳以及默克爾根(Merkle root)根等信息，其中默克爾根是節(jié)點(diǎn)之間區(qū)塊鏈校驗(yàn)的關(guān)鍵設(shè)置，它可以理解為所有區(qū)塊鏈信息匯總之后形成的一個(gè)數(shù)據(jù)指紋，任何區(qū)塊鏈信息的變化都會(huì)影響這個(gè)數(shù)據(jù)指紋的狀態(tài)。區(qū)塊體則儲(chǔ)存著區(qū)塊鏈上所有的信息。在個(gè)人信息應(yīng)用領(lǐng)域，是每個(gè)主體上鏈的所有個(gè)人信息之和，以及個(gè)人信息交互的所有數(shù)據(jù)?？梢姡瑓^(qū)塊體才是全局賬本構(gòu)建的關(guān)鍵，它包含了全局信息，而區(qū)塊頭只包含有限的信息，主要用于數(shù)據(jù)驗(yàn)證。換言之，個(gè)人信息保護(hù)的區(qū)塊鏈應(yīng)用中，公民可以以輕量級(jí)節(jié)點(diǎn)的形式參與共識(shí)。具體而言，就是個(gè)人節(jié)點(diǎn)只保存自己全部信息，同時(shí)只獲取其他節(jié)點(diǎn)的區(qū)塊頭信息。由此，個(gè)人節(jié)點(diǎn)既參與了整個(gè)區(qū)塊鏈共識(shí)，享受了區(qū)塊鏈防篡改等安全保障，同時(shí)因?yàn)橹猾@取其他節(jié)點(diǎn)的區(qū)塊頭信息而并不會(huì)實(shí)質(zhì)處理其他節(jié)點(diǎn)的個(gè)人信息。它不驗(yàn)證自己目的所需之外的任何信息。之所以能夠選擇輕量級(jí)節(jié)點(diǎn)來存儲(chǔ)個(gè)人信息，是因?yàn)樵趥€(gè)人信息的區(qū)塊鏈應(yīng)用中，不需要類似比特幣的“雙花”交易驗(yàn)證，而只需要通過簡化驗(yàn)證機(jī)制(Simplified payment verification，簡稱SPV) 驗(yàn)證特定交易是否在區(qū)塊鏈中，而不需要下載全局賬本。此時(shí)，驗(yàn)證所需的信息就不需要完整的全局賬本，而只需要區(qū)塊頭的信息即可。完整節(jié)點(diǎn)通過允許輕量級(jí)節(jié)點(diǎn)連接并將信息傳輸?shù)絽^(qū)塊鏈網(wǎng)絡(luò)。因此在完整節(jié)點(diǎn)與輕量級(jí)節(jié)點(diǎn)的二元化分中，完整節(jié)點(diǎn)才是提供服務(wù)的節(jié)點(diǎn)。

結(jié)語

本文通過利益平衡的解釋論為區(qū)塊鏈與個(gè)人信息保護(hù)規(guī)范的銜接提供了利益平衡的解決方案，也為區(qū)塊鏈在個(gè)人信息保護(hù)方面的應(yīng)用掃除了部分障礙。然而，需要明確的是區(qū)塊鏈在個(gè)人信息保護(hù)上的應(yīng)用應(yīng)恪守必要性原則，即當(dāng)個(gè)人信息處理不需區(qū)塊鏈即可實(shí)現(xiàn)特定目的時(shí)，就應(yīng)采用其他可行方案。區(qū)塊鏈并非無所不能，網(wǎng)絡(luò)運(yùn)營者需要慎重考慮在相關(guān)個(gè)人信息保護(hù)的應(yīng)用中采用區(qū)塊鏈技術(shù)的必要性。如果決定采用，則需要關(guān)注技術(shù)的合規(guī)問題。盡管，解釋論已經(jīng)能夠較好地回應(yīng)區(qū)塊鏈在個(gè)人信息保護(hù)應(yīng)用過程中的合法性困境，但在未來立法上仍然可以就個(gè)人信息保護(hù)的諸多關(guān)鍵概念予以明確，降低適用的不確定性。同時(shí)，立法也要充分考慮區(qū)塊鏈技術(shù)的特點(diǎn)，構(gòu)建適合區(qū)塊鏈發(fā)展的責(zé)任主體識(shí)別標(biāo)準(zhǔn)及責(zé)任體系。這些內(nèi)容，都是未來可以進(jìn)一步展開的研究。