李有星
(浙江大學 光華法學院,浙江 杭州 310008)
2019年10月,中共中央政治局就區(qū)塊鏈技術發(fā)展現(xiàn)狀和趨勢進行第十八次集體學習,習近平總書記在學習時強調(diào),要把區(qū)塊鏈作為核心技術自主創(chuàng)新重要突破口,加快推動區(qū)塊鏈技術和產(chǎn)業(yè)創(chuàng)新發(fā)展(1)《習近平在中央政治局第十八次集體學習強調(diào) 把區(qū)塊鏈作為核心技術自主創(chuàng)新重要突破口 加快推動區(qū)塊鏈技術和產(chǎn)業(yè)創(chuàng)新發(fā)展》,2019-10-25,http://www.xinhuanet.com/politics/leaders/2019-10/25/c_1125153665.htm。。區(qū)塊鏈技術已經(jīng)成為未來信息技術發(fā)展的一個重要方向,相關技術應用已延伸到數(shù)字金融、物聯(lián)網(wǎng)、智能制造、供應鏈管理、數(shù)字資產(chǎn)交易以及個人信息處理等領域(2)《個人信息保護法》第四條規(guī)定,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。。比如,基于區(qū)塊鏈技術的征信系統(tǒng)依法收集、加工、公開自然人信用信息,并對外提供信用報告、信用評估和信用信息咨詢等服務。區(qū)塊鏈被認為承載著解決個人信息利用的偉大使命,可以在促使信息革新的同時有效解決個人信息保護問題。然而,區(qū)塊鏈技術的去中心化、不可篡改、不可刪除等特性,給《民法典》《個人信息保護法》等法律規(guī)定的個人信息刪除與更正行為帶來了技術上的困難,也引起了個人信息保護中刪除權與更正權實現(xiàn)問題的爭議。如疫情期間,有關部門為有效解決人員管理、登記、病例溯源的問題,通過區(qū)塊鏈系統(tǒng),將行為人的活動信息、健康信息、訪客行程等個人信息“上鏈”整合,形成居民行蹤軌跡,應用于健康碼生成、病例溯源和排查等防疫管控工作。但是個人信息一旦“上鏈”,個人的身份、健康等信息的刪除、更正就成為問題,若涉及個人隱私、敏感信息等,可能還會對當事人的合法權利構成侵害。2021年8月20日通過的《個人信息保護法》第四十六條、第四十七條賦予個人信息刪除和更正的權利,個人有權請求個人信息處理者更正、補充、刪除相關個人信息(3)《個人信息保護法》第四十七條規(guī)定,有下列情形之一的,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除:(1)處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要;(2)個人信息處理者停止提供產(chǎn)品或者服務,或者保存期限已屆滿;(3)個人撤回同意;(4)個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息;(5)法律、行政法規(guī)規(guī)定的其他情形。法律、行政法規(guī)規(guī)定的保存期限未屆滿,或者刪除個人信息從技術上難以實現(xiàn)的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。。在區(qū)塊鏈技術廣泛應用的背景下,如何充分保障個人信息刪除權和更正權的有效實現(xiàn),成為亟須解決的法律問題。
區(qū)塊鏈技術在寫入和讀取數(shù)據(jù)的安全性、公開透明性、加密性上具有優(yōu)勢,但也存在區(qū)塊鏈不可撤銷、可溯源性與個人信息刪除、更正等權利之間的沖突(4)張濤、王珊:《區(qū)塊鏈保護個人信息存“兩面性”》,《通信世界》2018年第13期,第21頁。。在數(shù)字技術時代,個人信息在客觀上不能刪除或者不適宜刪除、更正的情況普遍存在。
維克托·邁爾-舍恩伯格認為,由于數(shù)字技術與全球網(wǎng)絡的發(fā)展,遺忘成為人們的例外,而記憶成了常態(tài),在大數(shù)據(jù)時代,所有人都將被數(shù)字化后進入數(shù)字版的“圓形監(jiān)獄”,時時刻刻地受到監(jiān)視(5)維克托·邁爾-舍恩伯格著,袁杰譯:《刪除:大數(shù)據(jù)取舍之道》,浙江人民出版社2013年版,第6-18頁。。在互聯(lián)網(wǎng)時代,個人信息一旦在網(wǎng)絡中被大量傳播,要想徹底刪除或更正在理論上是難以做到的。由于互聯(lián)網(wǎng)的特性,即使信息已被移除,該信息的副本仍可以從網(wǎng)頁快照等高速緩存或鏡像站點中獲取。即便用戶有權向這些二次站點主張移除信息,但讓用戶識別出控制、管理這些副本的網(wǎng)絡服務提供商相當困難。對于網(wǎng)頁快照等高速緩存而言,或許用戶還能通過搜索引擎公司提供的線索,準確定位到信息副本的服務提供商,而搜索引擎公司為了避免責任追索,一般情形下也愿意合作(6)李媛:《被遺忘權之反思與建構》,《華東政法大學學報》2019年第2期,第57-67頁。。但對于很多鏡像站點,用戶難以追蹤,搜索引擎公司也沒有相應權限去追索,更不可能完全追索全部的鏡像站點,尤其是在這些站點服務器設置在域外的情形之下。
此外,區(qū)塊鏈技術還有自身的特殊性,上傳于非許可鏈(公有鏈)或其他具有開放特性的區(qū)塊鏈系統(tǒng)中的個人信息,將在客觀上無法被刪除、更正。以比特幣、以太坊為代表的非許可鏈(公有鏈)應用,在數(shù)字貨幣、智能合約等領域發(fā)揮了巨大作用(7)閔新平、李慶忠、孔蘭菊等:《許可鏈多中心動態(tài)共識機制》,《計算機學報》2018年第5期,第1005-1020頁。。由于非許可鏈是典型的去中心化分布式記賬系統(tǒng),是一個交易驅(qū)動的狀態(tài)機(state machine),其特點就是全網(wǎng)絡節(jié)點共同維持一個賬本的狀態(tài),含有交易信息的區(qū)塊必須得到系統(tǒng)中大多數(shù)節(jié)點的認可才是“合法”有效的。任何對區(qū)塊信息的篡改都會因為與總賬本狀態(tài)的不同而不被認為是“合法”的,由此維護全網(wǎng)絡狀態(tài)的一致性和不可篡改性。區(qū)別于聯(lián)盟鏈和私有鏈等許可鏈,以公有鏈為代表的非許可鏈或者其他具有開放特性的區(qū)塊鏈系統(tǒng),對所有同意區(qū)塊鏈協(xié)議的網(wǎng)絡節(jié)點開放,沒有任何節(jié)點可以直接控制區(qū)塊鏈上的信息。由于系統(tǒng)的開放性,這些節(jié)點可能來自世界各地,互不相識,甚至大部分都是匿名的,想要憑借共識機制來刪除、更正區(qū)塊信息,就更加難以做到。這意味著,一旦相關個人信息被包含在區(qū)塊內(nèi)并“上鏈”,就難以被刪除或更正,直到最后一臺參與區(qū)塊鏈的服務器被銷毀為止。實際上,區(qū)塊鏈上發(fā)布出去的個人信息,就如同傳統(tǒng)紙質(zhì)媒體上的信息,報刊縱有侵犯個人信息的地方,但因為已經(jīng)完全被散發(fā)出去,落入千家萬戶,也就難以從根本上徹底刪除或更正。
從計算機技術實現(xiàn)的角度看,區(qū)塊鏈的不可篡改性具有相對性,事實上也沒有任何信息是絕對不可修改、不可刪除的,典型的例子就是以太坊The DAO事件后采取的硬分叉措施(8)硬分叉(Hard Fork)就是通過修訂協(xié)議引入新的特性,使前一版本的協(xié)議失效,即運行新版協(xié)議的節(jié)點認定為有效的區(qū)塊,會被運行舊版協(xié)議的節(jié)點認定為無效,從而使已經(jīng)升級的新節(jié)點和沒有升級的老節(jié)點在各自協(xié)議版本下擴展不同的區(qū)塊鏈分支。軟分叉(Soft Fork)就是不修改協(xié)議,只是在現(xiàn)有的驗證規(guī)則中加入一些新的特性或條件,使得驗證規(guī)則更為嚴格,這樣就使得老的節(jié)點會接受所有區(qū)塊,而新的節(jié)點會拒絕一些區(qū)塊,可以避免硬分叉所造成的永久分裂。參見阿爾文德·納拉亞南等著,林華等譯:《區(qū)塊鏈:技術驅(qū)動金融》,中信出版社2016年版,第94-95頁。。黑客利用以太坊上The DAO項目的代碼漏洞,竊取了大量以太幣。事件發(fā)生后,以太坊開發(fā)團隊就是通過硬分叉的方法,強行回滾了部分賬戶的狀態(tài),使得黑客利用漏洞轉出交易的區(qū)塊失效,找回了丟失的以太幣。但是,在以太坊這樣的非許可鏈(公有鏈)上采取任何修改、刪除區(qū)塊信息的做法,也必須符合非許可鏈去中心化的基本共識規(guī)則。以太坊開發(fā)團隊試圖憑借硬分叉的方法回滾交易信息,必須得到系統(tǒng)中51%以上算力節(jié)點的認可,事實上當時有85%的以太坊算力節(jié)點響應并支持了開發(fā)團隊硬分叉的呼吁。即便通過軟分叉的方式修改區(qū)塊鏈驗證條件,阻止相關信息被后續(xù)區(qū)塊調(diào)取,也必須得到區(qū)塊鏈網(wǎng)絡大部分算力節(jié)點的支持。申言之,去中心化的特征意味著在區(qū)塊鏈系統(tǒng)中刪除、更正信息必須以去中心化的方式實現(xiàn),而非某個開發(fā)者、節(jié)點可以決定。因此,在非許可鏈(公有鏈)上刪除、更正信息是有限制條件的,如果沒有獲得51%以上的算力節(jié)點支持,刪除、更正的措施就無法實現(xiàn),而這一條件的實現(xiàn)將隨著區(qū)塊鏈網(wǎng)絡節(jié)點數(shù)量的增加而愈發(fā)困難。此外,這種分叉的措施也存在著客觀上無法徹底刪除相關個人信息的情況,除非所有節(jié)點都同意分叉并在新鏈上挖礦,否則只要有一部分節(jié)點不同意分叉,并且繼續(xù)在另一條分叉鏈上挖礦,相關個人信息也還會在該分叉上繼續(xù)存在(如以太坊ETH和以太經(jīng)典ETC的分裂(9)以太坊開發(fā)團隊通過硬分叉的方式避免黑客盜取大量以太幣,但這種人為強行回滾的做法也遭到了許多以太坊用戶的反對,認為此次人為主導的硬分叉是對以太坊去中心化理念的徹底背離,不同意硬分叉而選擇在原有鏈上繼續(xù)貢獻自己的算力。這就使得以太坊分裂為了ETH和ETC,黑客盜取以太幣的交易信息在ETC上繼續(xù)被認為“合法”有效。),客觀上根本無法刪除和更正。
類似刪除和更正成本極大、不適宜采用的情況,在許可鏈中更為常見。所謂不適宜刪除或更正,是指相關個人信息在客觀技術上可以實現(xiàn)刪除或更正,但是因為技術或網(wǎng)絡服務的特殊性,直接簡單刪除或更正、補充相關信息會大大增加社會成本,超出保護權利的合理限度。事實上,區(qū)塊鏈技術的發(fā)展已經(jīng)提出了幾種在區(qū)塊鏈應用中刪除和更正個人信息(或者達到類似程度)的技術方案。比如,上文提到的交易記錄回滾、分叉就是刪除最常用的方法,更正則可以采用新區(qū)塊信息取代舊信息的方法。雖然技術方案可以滿足自然人刪除和更正個人信息的請求,但也面臨著巨大的社會成本。以最常見的聯(lián)盟鏈為例,在聯(lián)盟鏈中應用回滾的方式刪除或者更正個人信息,首先需要解決有權記賬節(jié)點如何達成共識的問題。雖然聯(lián)盟鏈可能會有發(fā)起人、牽頭人甚至有大型的全節(jié)點、服務器集群,但沒有一個聯(lián)盟成員可以直接支配區(qū)塊鏈上的數(shù)據(jù)信息,可以不經(jīng)過全聯(lián)盟的共識機制肆意刪除、修改相關信息,否則就失去了聯(lián)盟應用區(qū)塊鏈技術解決信任問題的意義。因此,聯(lián)盟鏈上刪除或修改個人信息首先需要解決共識問題,任何獨斷的、中心化的控制都會與區(qū)塊鏈技術本身的價值相背離,動搖區(qū)塊鏈技術應用的基石。其次,如何處理相關交易和時間戳,是刪除、更正特定個人信息的最大成本所在。在區(qū)塊鏈中,每一個區(qū)塊都會包含許多信息,個人信息連同其他交易信息被打包裝入一個區(qū)塊,并進行某種形式的哈希算法得到一個哈希值,這一哈希值又會被包含在后一個區(qū)塊的塊頭中,從而形成前后相連、相互印證的“默克爾樹”(merkle trees)數(shù)據(jù)結構(10)“默克爾樹”(merkle trees)是一種用哈希指針建立的二叉樹數(shù)據(jù)結構。在“默克爾樹”數(shù)據(jù)結構中,所有數(shù)據(jù)區(qū)塊都被兩兩分組,指向這些數(shù)據(jù)區(qū)塊的哈希指針被儲存在上一層的父節(jié)點(parent node)中,而這些父節(jié)點再次被兩兩分組,并且指向父節(jié)點的哈希指針被存儲在上一層父節(jié)點中,一直持續(xù)這個過程,直到最后到達樹的根節(jié)點。任何篡改“默克爾樹”中數(shù)據(jù)區(qū)塊的行為,都會導致上一層的哈希指針不匹配,最終傳遞到樹的頂端,致使任何企圖篡改數(shù)據(jù)的行為都會被檢測到。參見阿爾文德·納拉亞南等著,林華等譯:《區(qū)塊鏈:技術驅(qū)動金融》,中信出版社2016年版,第16-17頁。,任何對區(qū)塊內(nèi)信息的刪除、修改都必然會影響到其他區(qū)塊。此外,每一個新區(qū)塊的產(chǎn)生都會被打上時間戳,區(qū)塊鏈就是這樣一條由時間上有序排列、前后關聯(lián)的區(qū)塊組成的鏈條。任何刪除、更正區(qū)塊信息的行為,必然要改動前一個區(qū)塊的哈希值、當前區(qū)塊的目標哈希值、默克爾根、時間戳、隨機數(shù)與交易信息(11)袁勇、王飛躍:《區(qū)塊鏈技術發(fā)展現(xiàn)狀與展望》,《自動化學報》2016年第4期,第481-494頁。,否則就會造成整個區(qū)塊鏈系統(tǒng)的混亂和崩潰。上述技術特征意味著在聯(lián)盟鏈中刪除、更正個人信息存在巨大的外部性,會損害其他使用區(qū)塊鏈技術的客戶的合法權益。區(qū)塊鏈技術應用規(guī)模越大、涉及面越廣,所要刪除和更正的信息區(qū)塊時間越久遠,產(chǎn)生的外部性就越大、社會成本就越高。
區(qū)塊鏈技術與個人信息保護之間的沖突是科技發(fā)展和法律制度需要互動的最新體現(xiàn)。具體而言,區(qū)塊鏈技術應用之所以與個人信息保護刪除權、更正權存在沖突,既有中心化立法思路矛盾、刪除和更正概念模糊等法律方面的原因,也有對區(qū)塊鏈技術不適當應用等技術方面的原因。
關于個人信息保護的法律規(guī)定,各國、各地區(qū)的立法思路大體具有一致性,都是源于單一的、中心化的信息數(shù)據(jù)控制人的前提假設。何淵(2020)認為,就個人信息和承載個人信息的數(shù)據(jù)載體而言,至少有一個自然人或法人是個人信息或數(shù)據(jù)的控制者、處理者,由此信息權益主體可以直接向該控制者或處理者請求實施刪除、更正(12)何淵:《數(shù)據(jù)法學》,北京大學出版社2020年版,第90頁。。比如,歐盟2018年出臺的《一般數(shù)據(jù)保護條例》(General Data Protection,Regulation,GDPR)分別從主體權利要求、數(shù)據(jù)控制者義務承擔兩方面,對數(shù)據(jù)控制者的義務進行詳細規(guī)定,從而落實數(shù)據(jù)保護責任。數(shù)據(jù)控制者和數(shù)據(jù)處理者是歐盟GDPR相關規(guī)定的核心抓手,是保護數(shù)據(jù)主體權利的主要義務主體。數(shù)據(jù)控制者是數(shù)據(jù)保護中主要的義務承擔者,被處理的個人數(shù)據(jù)信息和隱私保護問題相關責任最終應由數(shù)據(jù)控制者承擔(13)李有星、朱悅、金幼芳:《數(shù)據(jù)資源權益保護法立法研究》,浙江大學出版社2019年版,第38頁;第81頁。。我國《網(wǎng)絡安全法》將保護個人信息權益的義務施加給“網(wǎng)絡運營者”,認定收集、使用個人信息的網(wǎng)絡運營者為信息控制者;《民法典》第一千零三十七條以“信息處理者”為義務主體;《個人信息保護法》則是“個人信息處理者”??梢姡糠傻幕舅悸范际窍嗤?,即由對個人信息處理目的和處理方式有決定權的法律主體承擔保護個人信息權益的主要義務和法律責任。
無論是歐盟GDPR還是我國個人信息保護相關立法,都只囊括了中心化的數(shù)據(jù)處理結構,而未考慮到區(qū)塊鏈分布式的多中心取代單一決定者的去中心化技術特征。歐盟GDPR將“數(shù)據(jù)控制者”定義為單獨或者聯(lián)合他人決定個人信息處理目的和處理方式的自然人、法人、行政機關或其他組織。我國《個人信息保護法》第七十三條則將“個人信息處理者”定義為在個人信息處理活動中自主決定處理目的、處理方式的組織和個人。兩者大同小異,均強調(diào)對信息處理目的和方式手段的決定性作用,但是這種個人信息處理中的決定性作用在區(qū)塊鏈技術系統(tǒng)中難以成立。由于立法未考慮區(qū)塊鏈技術應用中缺乏中心化的主導控制者和處理者的實際,而傳統(tǒng)立法思維設定了個人信息刪除、更正的要求,最終導致區(qū)塊鏈技術應用與法定刪除權、更正權之間的矛盾和沖突。
刪除權是個人信息數(shù)據(jù)被不當獲取或使用時救濟制度的體現(xiàn)。目前,刪除權的定義沒有形成通說,立法上沒有形成法定術語(14)李有星、朱悅、金幼芳:《數(shù)據(jù)資源權益保護法立法研究》,浙江大學出版社2019年版,第38頁;第81頁。。國內(nèi)學者采用刪除權、消除權、被遺忘權等表達。有關個人信息保護領域中刪除權的規(guī)定,體現(xiàn)在《民法典》第一千零三十七條:“自然人可以依法向信息處理者查閱或者復制其個人信息;發(fā)現(xiàn)信息有錯誤的,有權提出異議并請求及時采取更正等必要措施。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的,有權請求信息處理者及時刪除。”《網(wǎng)絡安全法》第四十三條也賦予個人要求網(wǎng)絡經(jīng)營者刪除信息的權利(15)《網(wǎng)絡安全法》第四十三條規(guī)定,個人發(fā)現(xiàn)網(wǎng)絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的,有權要求網(wǎng)絡運營者刪除其個人信息;發(fā)現(xiàn)網(wǎng)絡運營者收集、存儲的其個人信息有錯誤的,有權要求網(wǎng)絡運營者予以更正。網(wǎng)絡運營者應當采取措施予以刪除或者更正。。《個人信息保護法》第四十七條更明確規(guī)定了刪除權行使的條件。然而,對于最為關鍵的“刪除”的法律概念,《民法典》《網(wǎng)絡安全法》《個人信息保護法》均未給出明確定義,且《數(shù)據(jù)安全法》中也未出現(xiàn)數(shù)據(jù)刪除、更正的字樣。
對于“刪除”的法律概念,可以從刪除對象和刪除方式兩個層面去理解。就刪除對象而言,亦即“刪除什么”的問題。這存在兩種截然不同的聲音:一是刪除權指向的對象是數(shù)據(jù)(16)按照《數(shù)據(jù)安全法》的定義,數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄。信息刪除不等同于數(shù)據(jù)刪除。,即要求刪除承載個人信息的數(shù)據(jù)載體的物理刪除(17)物理刪除是指文件存儲所用到的磁存儲區(qū)域被真正的擦除或清零,這樣刪除的文件是不可以恢復的。;二是刪除僅要求個人信息的邏輯刪除(18)邏輯刪除是指文件沒有被真正的刪除,只不過是文件名的第一個字節(jié)被改成操作系統(tǒng)無法識別的字符。通常這種刪除操作是可逆的,即用適當?shù)墓ぞ呋蜍浖梢园褎h除的文件恢復出來。,并不一定指向?qū)?shù)據(jù)的物理刪除。就刪除方式而言,即“如何刪除”的問題,同樣存在兩種觀點。第一種觀點認為,刪除權指向數(shù)據(jù),這種刪除基本等同于“擦除”(erasure)。在實現(xiàn)方式上大體有物理毀滅、格式化、覆蓋、加密擦除四類,刪除的結果指向結束數(shù)據(jù)的生命周期。歐盟GDPR規(guī)定的刪除權就是指向“個人數(shù)據(jù)”(data)以及與之相關的任何鏈接、副本或復印件,刪除的具體表述是“erasure”而非“delete”。第二種觀點認為,刪除權指向個人信息,因而并不需要徹底擦除數(shù)據(jù),凡能使數(shù)據(jù)不再反映個人信息、斷開數(shù)據(jù)與個人間的關聯(lián)的技術手段,都屬于刪除。我國《信息安全技術個人信息安全規(guī)范》認為,刪除是指“在實現(xiàn)日常業(yè)務功能所涉及的系統(tǒng)中去除個人信息的行為,使其保持不可被檢索、訪問的狀態(tài)”,并未要求徹底擦除數(shù)據(jù)。刪除標準的不明確,造成了學界和業(yè)界的諸多爭議。
個人信息保護法律中的個人信息更正權,在性質(zhì)上屬于保護個人信息圓滿狀態(tài)的一種手段。更正權的行使必然與個人信息權益掛鉤?!睹穹ǖ洹焚x予自然人請求及時采取更正個人錯誤信息的權利,即更正以個人信息存在錯誤為前提。所謂個人信息錯誤,是指記載的個人信息與實際情況不一致的情形,即記載的個人信息未能準確反映自然人真實的情況,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息以及行蹤信息等。
更正常常與刪除并列,多以“刪除或更正”的用語來表述,但更正容易被人忽視。更正似乎是個不需要過多解釋的概念,以至于我國《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》《信息安全技術個人信息安全規(guī)范》都只單獨定義了刪除而沒有規(guī)定更正的任何具體含義。在現(xiàn)實生活中,個人信息需要更正的情況遠較刪除普遍,《網(wǎng)絡安全法》《民法典》《個人信息保護法》只規(guī)定了個人享有的更正權,卻沒有給出更正的法律定義和實現(xiàn)途徑。歐盟GDPR第16條規(guī)定了“更正權”(right to rectification),但也只是以舉例的方式規(guī)定數(shù)據(jù)主體有權要求控制者通過“包括如提供補充聲明的方式”對其個人信息予以補充,未給出更詳細的定義;美國《加州消費者隱私法案》(California Consumer Privacy Act,CCPA)則干脆沒有賦予消費者個人信息的更正權(19)Yallen J, Untangling the Privacy Law Web: Why the California Consumer Privacy Act Furthers the Need for Federal Preemptive Legislation, Loyola of Los Angeles Law Review, 2020, No.3, pp.787-826.。實際上,更正的技術實現(xiàn)方式比刪除更為多樣和復雜,相關法律概念的歧義也更大。按照一般的語義解釋,更正就是指更改原有的信息。其技術實現(xiàn)路徑則有三種:一是用新的信息覆蓋原有信息,二是刪除原有信息并且發(fā)布一條新的信息,三是不刪除原有信息而直接發(fā)布一條新信息(并指明替代原有信息)。由于法律未對更正的內(nèi)涵和外延作出界定,未規(guī)定各種更正技術路徑效力標準,現(xiàn)實中產(chǎn)生了不少涉及個人信息更正的糾紛。
區(qū)塊鏈與當前個人信息保護立法發(fā)生沖突的主要原因之一是:現(xiàn)有各國個人信息保護立法均是為由中心化的特定實體控制的數(shù)據(jù)治理結構而設計的,而區(qū)塊鏈技術應用則在不同程度上使用了分布式的數(shù)據(jù)治理模式。中國、美國以及歐盟的立法最初并未預見到區(qū)塊鏈技術的應用會變得如此廣泛,也未充分了解不同的區(qū)塊鏈應用在數(shù)據(jù)治理方面的差異(20)Gomez B S J, Risks of Blockchain for Data Protection: A European Approach, Santa Clara High Technology Law Journal, 2020, No.3, p.338.。然而,在承認現(xiàn)有個人信息保護立法與區(qū)塊鏈應用之間存在矛盾關系、立法滯后于技術的同時,也必須承認,在當前對區(qū)塊鏈技術的追捧中,不斷擴大的區(qū)塊鏈技術應用已經(jīng)有部分偏離了該技術的核心功能,在涉及個人隱私、敏感信息的領域未經(jīng)評估使用區(qū)塊鏈技術超出保護個人信息的合理限度,導致個人信息刪除權與更正權實現(xiàn)的困難。
在個人信息密集的領域,采用區(qū)塊鏈技術應用尤其是公有鏈技術,如果缺乏相應的信息真實和準確性技術保障,將會是十分危險的區(qū)塊鏈技術應用場景。這是因為,這種應用場景注定難以保障當事人個人信息刪除、更正權利的實現(xiàn),從而給自身帶來巨大的法律風險。特別是可能涉及敏感個人信息、隱私信息的領域,不能濫用區(qū)塊鏈技術?!秱€人信息保護法》第二十八條規(guī)定:“敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息?!币虼?,基于區(qū)塊鏈技術不可刪除的特性,其不分場景的無差別適用是造成區(qū)塊鏈技術與刪除權、更正權矛盾的原因。
區(qū)塊鏈技術與個人信息刪除、更正的協(xié)調(diào)需要在保護個人信息的共同價值目標基礎上,合理解釋法律規(guī)則和利用技術手段。通過對現(xiàn)有個人信息保護刪除權、更正權立法目的的解釋,“追本溯源”地解釋相關法律,回應區(qū)塊鏈技術與個人信息保護法律的共同價值基礎,使得個人信息保護的刪除權與更正權可以在法律目的應有的解釋范圍內(nèi)合理適用(21)卡爾·拉倫茨著,黃家鎮(zhèn)譯:《法學方法論》,商務印書館2020年版,第492頁。。
《民法典》《個人信息保護法》等法律規(guī)定,刪除權與更正權的立法目的是有效保護個人的信息權利,其實質(zhì)是保護人格權。個人信息保護的是個人信息處理中的主體權利不被侵犯,包括人之尊嚴、自由、平等價值,而不是對個人數(shù)據(jù)的控制、存儲或決定權。個人不享有數(shù)據(jù)控制、存儲或決定權,自然沒有針對數(shù)據(jù)的刪除權,故刪除應指向“個人信息”而非承載信息之數(shù)據(jù)。個人信息和數(shù)據(jù)、內(nèi)容與載體形式相生相伴,難以完全割裂開來,正因如此,才導致學界對于刪除權“刪除內(nèi)容”“刪除方式”的糾結,也導致人們對刪除權與更正權在區(qū)塊鏈技術應用中實現(xiàn)可能性的質(zhì)疑。立法上,刪除權的行使前提是“自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息”,更正權的行使前提是發(fā)現(xiàn)相關個人信息存在錯誤。因此,當事人主張刪除權與更正權是為了保護其個人信息內(nèi)容上的利益,不是數(shù)據(jù)的物上利益、財產(chǎn)利益。刪除權與更正權行使的利益主要指向當事人個人信息內(nèi)容,因為相關信息在內(nèi)容上存在遺漏、錯誤需要更正或者內(nèi)容有損于當事人的人格尊嚴。正是個人信息內(nèi)容與主體的勾連性,要求任何人在處理個人信息時尊重個人人格尊嚴和自由,防范個人信息處理對個人主體權益造成威脅和侵犯(22)高富平:《個人信息使用的合法性基礎——數(shù)據(jù)上利益分析視角》,《比較法研究》2019年第2期,第72-85頁。。
在刪除權與更正權的應用場景中,當事人的刪除和更正訴求指向的是個人信息內(nèi)容不被他人支配(非法、未經(jīng)授權或者撤回授權),以減少個人信息被知曉和流通的范圍。事實上,當事人并不關心數(shù)據(jù)的完整性或者存在形式。就救濟措施而言,當事人為了保護個人信息而對數(shù)據(jù)本身提出一定的請求時,應以實現(xiàn)“保護個人信息”為最終目的,而不拘泥于數(shù)據(jù)的具體處理方式,只要數(shù)據(jù)作為載體形式不再反映個人信息即可。數(shù)據(jù)權益人依然可以對那些在內(nèi)容上不再具備個人信息可識別性的數(shù)據(jù)享有受法律保護的數(shù)據(jù)權益。
刪除權的法益基礎在于個人信息權益而非數(shù)據(jù)權益,可以有差異化的要求和實現(xiàn)路徑。美國《數(shù)據(jù)掮客問責與透明法案》規(guī)定,刪除權只要求對含有個人信息的數(shù)據(jù)做模糊化處理,而不要求物理上徹底刪除原始信息(23)Voss W G,Renard C C, Proposal for an International Taxonomy on the Various Forms of the Right to Be Forgotten: A Study on the Convergence of Norms, Colorado Technology Law Journal, 2016, No.2, p.338.。在歐盟“被遺忘權”(24)馮銀東:《歐盟被遺忘權分析及本土化構建》,《湖南警察學院學報》2019年第6期,第66-71頁。第一案“西班牙谷歌案”中,法院要求作為互聯(lián)網(wǎng)搜索引擎運營商的谷歌公司從根據(jù)姓名檢索產(chǎn)生的搜索結果中刪除指向網(wǎng)頁的鏈接(25)李媛:《被遺忘權之反思與建構》,《華東政法大學學報》2019年第2期,第57-67頁。。沒有信息是從源頭刪除的,權利只會影響基于個人姓名獲得的搜索結果,不要求刪除搜索引擎索引的鏈接。原始信息仍然可以通過使用其他搜索術語獲取,或通過直接訪問發(fā)布者的原始資料獲得(26)徐明利譯校:《歐盟法院第C-131/12號“谷歌西班牙公司和谷歌公司訴西班牙資料保護局和西班牙公民馬里奧·哥斯德哈·岡薩雷斯”案判決實施指南》,《互聯(lián)網(wǎng)法律通訊》2015年第2期,第8頁。。2012年《歐洲網(wǎng)絡信息安全機構安全部門的“被遺忘權”的報告書》對“被遺忘權”給出的定義是:某些信息即使借助技術也不能復原的刪除;除非未經(jīng)授權的第三方非法解密,允許擁有加密的個人數(shù)據(jù);只要不顯示在已經(jīng)公布的索引或搜索服務的搜索結果中,認可保存?zhèn)€人數(shù)據(jù)的選擇(27)Robert C P,Data Privacy and Dignitary Privacy: Google Spain, the Right to Be Forgotten, and the Construction of the Public Sphere,Duke Law Journal, 2018, No.5, p.986.。谷歌案的判決結果和歐洲報告書的內(nèi)容都表明,刪除是施加于義務人的“一切合理措施”,而非單一的物理上刪除(28)宇賀克也著,楊琴、余夢凝、石龍?zhí)蹲g:《“被遺忘權”的日本司法判例與探析——以搜索服務運營商刪除義務為焦點》,《貴州大學學報(社會科學版)》2019年第5期,第49-57頁。。
我國在刪除權問題上可著重考慮以下三點。一是明確刪除定義。在個人信息保護立法和司法解釋中,將刪除定義為“消除數(shù)據(jù)與個人信息主體身份的關聯(lián)性的一切合理措施,以達到不可復原或不可識別主體身份的效果”,如匿名化、不可訪問等措施。二是建立一套以無法回溯、關聯(lián)或識別等實質(zhì)效果為基準的刪除認定標準。刪除權范圍限定在刪除數(shù)據(jù)與個人主體身份的關聯(lián)性上,消除數(shù)據(jù)對數(shù)據(jù)主體的關聯(lián)或識別風險。比如,在區(qū)塊鏈中最為常用的密鑰刪除,就可以完全阻斷其他有權節(jié)點對個人信息和數(shù)據(jù)的訪問。在數(shù)據(jù)中采用去標識化、匿名化處理,也可使數(shù)據(jù)與特定個人信息脫鉤而不具有可識別性,達到刪除的實際效果。三是根據(jù)不同情況采取其他等同于“刪除”效果的替代措施?!睹穹ǖ洹返谝磺б话倬攀鍡l第二款規(guī)定,網(wǎng)絡服務提供者“根據(jù)構成侵權的初步證據(jù)和服務類型采取必要措施”。這就明確了網(wǎng)絡服務提供者完全可以根據(jù)自身業(yè)務能力和性質(zhì)、法律執(zhí)行的難易程度采取不同的措施,以達到刪除權所要求的權利保護程度?!秱€人信息保護法》第四十七條也規(guī)定:“法律、行政法規(guī)規(guī)定的保存期限未屆滿,或者刪除個人信息從技術上難以實現(xiàn)的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理?!眲h除作為權利實現(xiàn)的手段,在不同主體技術和業(yè)務能力范圍內(nèi),可以表現(xiàn)為多種不同的具體措施(29)對于不同類型主體提出差異化的刪除要求,已經(jīng)體現(xiàn)在我國的一些案例中。比如在“杭州刀豆網(wǎng)絡科技有限公司與長沙百贊網(wǎng)絡科技有限公司、深圳市騰訊計算機系統(tǒng)有限公司侵害作品信息網(wǎng)絡傳播權糾紛案”中,杭州互聯(lián)網(wǎng)法院認為,微信小程序服務提供者僅僅提供頁面接入技術,并不直接控制和存儲相關的信息數(shù)據(jù),也沒有權限和技術對開發(fā)者提供的具體服務內(nèi)容采取處理措施,“騰訊公司對小程序開發(fā)者提供的是架構與接入的基礎性網(wǎng)絡服務,性質(zhì)與自動接入、自動傳輸服務類似,其對微信小程序中的內(nèi)容無法定位刪除,故不應承擔小程序部分內(nèi)容侵權時整體下架小程序的責任”。參見杭州互聯(lián)網(wǎng)法院(2018)浙0192民初7184號民事判決書。。
更正權是指報刊、網(wǎng)絡等媒體刊載的報道內(nèi)容失實或有關信息控制者記載、公開的信息有誤,侵害他人人格權益的,受害人有權請求該媒體或信息控制者及時更正(30)王利明:《論人格權請求權與侵權損害賠償請求權的分離》,《中國法學》2019年第1期,第224-243頁。。 《個人信息保護法》第四十六條規(guī)定:“個人發(fā)現(xiàn)其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充?!贝颂幩?guī)定的錯誤就包括不準確和不完整,更正權相應地也包括更正、補充兩類措施。
更正權作為個人信息的保護方式,也應當遵循一定的價值準則。更正的目的是保護自然人的個人信息準確性,指向的是人格權的完滿狀態(tài)。更正權的效果標準必須以切實維護人格權益為核心,而不是原有錯誤信息是否刪除、是否有新信息出現(xiàn)等外在具體形式。結合更正的具體技術手段,可以沿著以下思路準確界定更正權的實現(xiàn)效果:第一,對于個人信息記載存在遺漏、不完整的情況,只需要發(fā)布新的信息以補充原有信息即可;第二,對于個人信息記載存在錯誤、不準確的情況,需要分“形式”“實質(zhì)”兩類處理。個人信息“形式”上的錯誤主要指個人信息記載存在輕微的筆誤、格式錯誤等,屬于明顯輕微的瑕疵。這類“形式”上的瑕疵通過內(nèi)部糾正即可,遵循程序簡單、適用方便的原則,將有關情況通知當事人,采用發(fā)布更正通知的形式。個人信息“實質(zhì)”上的錯誤,會對當事人的權利和義務關系產(chǎn)生實質(zhì)影響。對于此類錯誤,可以通過發(fā)布新信息起到“廣而告之”的作用,以達到更正目的。由于錯誤的個人信息畢竟沒有消除,侵權狀態(tài)仍在持續(xù),亟須消除已經(jīng)存在的錯誤信息。與不作為請求權指向未來的不法行為不同,“更正請求權”系非財產(chǎn)性請求權,指向的是在過去已經(jīng)出現(xiàn)且還在持續(xù)的妨害(31)王利明:《論人格權請求權與侵權損害賠償請求權的分離》,《中國法學》2019年第1期,第224-243頁。。事實上,我國支付領域交易信息時有錯誤需要糾正的情況較為普遍,這就涉及更正權的問題。例如,信用卡能charge back,不僅是再做一筆負值的交易(發(fā)布新區(qū)塊)把原來那筆沖掉,而且原來那筆交易的記錄也必須要更正或抹掉,否則那些信息可能還會被誤用。因此,對于“實質(zhì)”錯誤的更正,首先要實現(xiàn)對錯誤個人信息的刪除,以消除對人格權益“持續(xù)的妨害”,然后才可以發(fā)布新的、正確的個人信息,或者發(fā)布通知消除已經(jīng)造成的不良影響等。
基于不可篡改的特征,區(qū)塊鏈技術有許多絕佳的應用場景,如用于食品安全追蹤系統(tǒng),將相關食品原料采集、加工、運輸?shù)刃畔⒂枰哉喜⑻峁┙o生產(chǎn)者、銷售者和消費者,又或者是將區(qū)塊鏈技術結合到公司治理、物聯(lián)網(wǎng)等,形成一個可信任的信息系統(tǒng)。在這些應用場景中,區(qū)塊鏈技術都可以大有作為。但是,將區(qū)塊鏈技術應用到個人信息保護領域或者牽涉?zhèn)€人信息的處理過程,無疑需要持更為謹慎的態(tài)度。正是基于這種謹慎的考慮,歐盟區(qū)塊鏈觀察論壇(Blockchain Observatory and Forum)在《區(qū)塊鏈與GDPR》報告中提出了使用區(qū)塊鏈技術處理個人信息的四項原則性建議:一是評估區(qū)塊鏈的實際需求;二是避免在區(qū)塊鏈上存儲個人數(shù)據(jù),充分利用數(shù)據(jù)混淆、加密和聚合技術對數(shù)據(jù)進行匿名化處理;三是在鏈外收集個人數(shù)據(jù),如果無法避免使用區(qū)塊鏈,則在私有的、經(jīng)過許可的區(qū)塊鏈網(wǎng)絡上收集個人數(shù)據(jù);四是對用戶盡可能清晰、透明(32)Daoui S,Jensen T F,Lemperiere M, GDPR, Blockchain and the French Data Protection Authority: Many Answers but Some Remaining Questions, Stanford Journal of Blockchain Law & Policy, 2019, No.2, p.246.。四項建議的核心要義是希望區(qū)塊鏈技術于應用之前,先行評估該技術應用對個人信息保護產(chǎn)生的影響,盡量不要使用無法保護個人信息的技術應用。在應用區(qū)塊鏈技術前,合理評估對個人信息保護的刪除權與更正權的方案,審慎選擇先進技術。另外,選擇應用區(qū)塊鏈技術的場景,就有關個人信息保護中刪除與更正權利的條款中,對刪除、更正等基本含義,在特殊場景下的刪除與更正權利的實現(xiàn)方式和替代方案等作明確說明,以取得契約型活動中當事人的事先同意和認同。這樣有利于信息處理者靈活采取措施,確保個人信息刪除權與更正權的實現(xiàn)。
刪除權與更正權是立法上常用的傳統(tǒng)基本權利形態(tài),但由于區(qū)塊鏈技術具有不可刪除和更正數(shù)據(jù)、信息的特性,出現(xiàn)了權利實現(xiàn)難的問題?;诖耍茖W定義刪除、更正的概念和評判刪除、更正的實質(zhì)性效果至關重要。個人信息保護中的“刪除”不需要徹底的物理刪除,而是可以設置邏輯刪除的標準,即達到不能關聯(lián)、無法回溯或識別等實質(zhì)效果。更正權的實現(xiàn)重在確保個人信息的真實、準確和完整,針對錯誤的性質(zhì)采用具有實質(zhì)性效果的措施。區(qū)塊鏈技術應用中凸顯的刪除、更正的困難,實質(zhì)上反映出法律規(guī)定的傳統(tǒng)權利須緊隨科學技術的發(fā)展不斷加以調(diào)整。從歷史唯物主義的角度講,在一定社會中,法律與科學技術的協(xié)調(diào)發(fā)展,是生產(chǎn)關系一定要適合生產(chǎn)力、上層建筑一定要適合經(jīng)濟基礎這一客觀規(guī)律的必然要求(33)郭鋒:《論我國法律與科學技術的協(xié)調(diào)發(fā)展》,《現(xiàn)代法學》1985年第1期,第9-12頁。。在個人信息保護法的發(fā)展過程中,信息處理和存儲技術、網(wǎng)絡傳播技術的成熟催生了個人信息保護的法律,區(qū)塊鏈、大數(shù)據(jù)、云計算和人工智能技術的進步又不斷地打破個人信息保護相關法律所維持的利益平衡,促使法律規(guī)則不斷地變革(34)羅莉:《作為社會規(guī)范的技術與法律的協(xié)調(diào)——中國反技術規(guī)避規(guī)則檢討》,《中國社會科學》2006年第1期,第72-84頁。。
致謝:本人指導的經(jīng)濟法博士研究生潘政為本文作出重要學術貢獻,特表感謝。