今年“3月15晚会”播出,多家企业侵犯消费者权益被曝光。比如,被曝出不少知名品牌使用人脸识别摄像头,非法获取消费者个人信息。区块链技术的一些特性(如公私钥机制、加密算法等)被认为有利于个人信息的保护,但在实践中,区块链的分布式和弱中心化特性使得相关法律难以适用和保护个人信息的规定。主体承担的义务和责任难以落实。因此,我们需要对区块链在个人信息保护中的应用做进一步的思考和探索。一、区块链技术的基本概念和个人信息保护法(一)区块链技术区块链技术本质上是多方实体(节点)为了共同的目的(应用场景)按照一致的规则(共识机制和智能合约)进行的一种技术其中每个节点(分布式账本)在安全环境(非对称加密)中对大量数据进行实时自动处理(算法)。区块链技术可以在没有中心化平台信用背书或作为信息处理中介的情况下完成交易。它是一种去中心化的点对点分布式信息集成技术。将信息转换为机器可读数据的智能合约、防篡改时间戳和非对称加密技术。基于区块链技术可以开发出很多应用,比如最早出现在金融领域的比特币等数字货币。医疗、能源、农业、电子商务、旅游、服务等行业。(2)《个人信息保护法》《个人信息保护法(草案)》首先对个人信息进行了定义,对敏感信息做出了特殊规定,将匿名信息排除在个人信息之外;其次,围绕“信息-同意”设置个人信息处理规则,还包括个人信息处理目的明确、最小化的原则;再次规定个人对所收集信息享有的查阅、复制、更正、补充、请求删除等各项权益;最后对应个人权利的保护,规定了处理个人信息的公司、平台等主体的义务,包括内部技术和组织措施、敏感信息或高风险处理行为的事前评估、交叉处理的特殊规则等。-边境传输。《个人信息保护法(草案)》的核心理念和制度框架设计与欧盟的GDPR一致(《通用数据保护条例》)。GDPR以保护个人基本权利为出发点,规定数据控制者和数据处理者应遵循透明原则。个人数据只有在征得数据主体同意等情况下,在确保个人对数据有足够控制权的前提下,才能得到合法处理。(3)区块链技术对个人信息保护法的挑战。区块链技术的核心特征是点对点的传输机制,不依赖中心化平台进行数据的集中处理。因此,个人信息保护法要求企业、平台等处理个人信息的主体承担的义务和责任将难以落实,因为区块链技术中不存在集中处理个人信息的企业、平台等主体.区块链技术通过算法自动处理数据并完成交易。从技术实现的角度来说,人为干预越少越好,从而提高效率,防止篡改。这与个人要求更正和撤回个人信息的决定和控制是一致的。相互矛盾的权利。简单来说,当个人信息保护法的规定适用于区块链技术时,可能会出现“谁承担义务”、“谁主张权利”、“主张的权利难以实现”等问题。”。(四)区块链技术推动个人信息保护立法区块链技术的一些特点有利于个人信息保护。《数据安全法(草案)》明确要求建立数据溯源体系,追溯个人信息的直接或间接来源。《网络安全法》和《个人信息保护法(草案)》规定应防止未经授权的信息访问、加密、去标识化和信息泄露。区块链技术将节点信息的创建和运行一一记录下来,通过时间戳和多方记账进行交叉验证,保证信息的准确性。这些技术特征有利于保护个人信息。此外,区块链技术可以追溯信息处理的全过程,可以增强个人对信息的控制。二、区块链技术应用于个人信息保护法律的主要问题(一)个人信息处理者的角色定位和责任分配。问责制和责任制是落实网络安全和个人信息保护制度的核心。《个人信息保护法(草案)》将个人信息处理主体分为个人信息处理者和接受委托处理的受托方。前者是指能够自主决定处理目的和方式的组织和个人,后者是指只能按照个人信息处理者的指令进行处理。此外,还涉及因合并、对外共享、嵌入SDK等第三方软件等原因处理信息的第三方。每个主体需要承担的义务和责任分担是不一样的。《网络安全法》将上述实体统称为网络运营者,并设定需要统一遵守的网络安全和数据保护义务。GDPR也将处理个人信息的主体划分为信息控制者和信息处理者,但在概念上规定了处理的目的和方式由信息控制者决定,并为信息控制者设定了更多的义务。GDPR将接受委托的数据处理方称为数据处理者,接收数据的任何一方统称为数据接收者。区块链由提供分布式账本的节点组成。每个节点通过密码算法和分布式存储来点对点地处理数据。没有中央数据处理器。从这个意义上说,每个节点都是数据控制者或数据控制者。处理器。区块链的数据处理方式高度自动化,使得数据控制者和数据处理者之间的分工和界限变得模糊。诚信记账节点),根据个人信息保护法对区块链中各节点角色分工的规定,很难识别决定处理目的和方式的节点,因此需要相应的责任和义务。.区块链节点在信息处理中的角色分工难以区分,会导致职责分工不明确。个人信息保护法规定,能够共同决定信息处理目的和方式的主体承担连带责任,接受委托按照指示处理数据的受托方不得委托他人处理个人信息,均其中,基于责任主体之间的明确区分。此外,由于分布式处理技术,每个节点可能不仅是信息控制者或处理者,而且是信息的来源和提供者,从而使个人信息保护法中的控制者或处理者对应的个人信息主体。概念模糊。无论是中国的个人信息保护法还是GDPR,其信息控制者和处理者都包括单位和个人,个人不排除在处理者或控制者之外。因此,法律保护的主体在区块链技术之下。它可能同时是义务的标的。此外,区块链技术通过算法实现,使得此类权利义务实时转换,大量发生,法律规则稳定。当试图系统地从法律角度而不是针对个案来定位或规范角色时,就会遇到问题。到障碍物。造成这种困境的根本原因在于,个人信息保护法的制度设计是中心化的“保护伞”设计,而区块链技术本质上是去中心化的“网状”设计,个人信息保护法将责任归于上层-集中处理数据的终端平台,平台对个人信息主体承担义务,个人信息主体享有权利。但是,区块链中并没有这种中心化的数据处理平台。链上节点依靠算法,多方协作,实现传统中心化平台的数据处理功能。由于实现功能的方式不同,将个人信息保护法规定的责任机制转移到区块链上将面临挑战。(二)个人信息处理的原则和法律依据个人信息保护法要求在最短时间内为特定目的处理最少数量的个人信息,并保证数据的真实性、准确性和安全性.《个人信息保护法(草案)》处理个人信息的原则主要包括合法性、合法性、目的明确,只处理为达到目的所需的最少信息,并保证信息的准确性和及时更新。GDPR还具体规定了个人信息处理的原则,包括合法性、公平性和透明性、目的限制、数据处理的最小化和准确性、存储期限、数据完整性和保密性。基于以上原则,《个人信息保护法(草案)》规定个人信息只能在特定情况下进行处理,包括征得个人同意,根据合同或法律规定在特定范围内处理个人信息,应对紧急情况,以及出于公共利益。也进行了详细的规定,比如保证个人在充分知情的前提下自愿、明确表示同意。GDPR也是围绕“信息-同意”处理规则设计的,要求在充分知情的前提下,对特定的处理行为进行自由、明确的同意。就“知情-同意”规则和根据合约进行处理而言,区块链技术依靠智能合约在不同计算机之间达成协议。并通过弹窗告知用户并征得用户同意。智能合约将交易的规则和条件从文本转换为数据,并在计算机之间进行通信。智能合约也是可扩展的,可以根据规则创建、编译等。区块链共识机制主要是保证节点间的一致性,即各节点同意按照一致的规则处理数据,不仅同意处理数据,还同意一致的处理规则。可见,“通知-同意”规则与按合同约定的处理在区块链技术中是同步的,但在个人信息保护法中是不同的处理依据。在这种情况下处理个人信息的法律依据非常模糊。(三)个人信息主体的权利个人信息保护法的主要立法目的是保护个人的权益,同时促进个人信息的合法使用。《个人信息保护法(草案)》赋予个人撤回同意和限制或拒绝处理信息的权利。个人有权查看、复制个人信息,有权更正、补充个人信息,有权要求删除个人信息。GDPR有大致相同的规定,但也包括数据可移植权的规定,它与复制或访问个人信息的权利不同,可移植权要求数据控制者将数据组织成机器可读的形式制度形式。自动传输给个人指定的其他数据接收者。虽然区块链技术的互操作性要求有利于实现携带权、查询权、复制权等权利,但总体而言,个人信息保护法赋予个人作为自然人的信息决定权和控制权,这会造成人为干涉。.在信息收集、使用、消失的整个生命周期中,个人都可以依法主张权利,但区块链需要实现数据的高度自动化处理,最大限度减少人为干预,以保证计算效率和准确性。如果个人要求更正、补充、删除个人信息,可能会导致信息不准确,信息存储在各个节点,如何广播和通知所有节点,保证所有节点动作一致,如何保证节点执行由机器转化的内容是否与个人主张的权利一致,各节点是否需要根据数据控制或委托处理的不同要求采取不同的动作。(四)个人信息类型及匿名化《个人信息保护法(草案)》规定,个人信息是指以电子或者其他方式记录的与已识别或者可识别自然人有关的各种信息,个人信息包括种族、民族、宗教信仰、个人等敏感信息生物识别、医疗健康、财务账户、个人行踪等。经过匿名处理的信息不属于个人信息。GDPR与此法规大致相同。例如,规定只有被识别或可识别的个人才是个人信息,但也有区别。例如,强调只有主要涉及自动化处理的信息才适用GDPR的规定。GDPR原则上禁止处理敏感信息。匿名信息分为假名化和匿名化。我国个人信息保护法对个人信息的载体进行了较为宽松的规定,包括以电子方式体现的个人信息,以及以其他非电子方式体现的个人信息。区块链中的个人信息是以电子方式体现的,当然适用个人信息保护法。链下存储的信息部分以电子方式体现,部分可能以手写记录密码等非电子方式体现,同样需要适用个人信息保护法的规定。但是,如果数据未根据GDPR以自动化方式处理,则不会形成文档。如果是这样,则无需适用GDPR。匿名是区块链技术的初衷和目标。加密是一种实现匿名的技术。区块链中常用的加密技术包括非对称加密、同态加密和哈希函数,用于实现不同的身份识别和验证目的。例如,数字货币的发行、挖矿、交易中用公钥加密,用私钥解密,就是一种非对称加密。在个人信息保护的法律语境下,理论上只要是匿名化的,就不是个人信息,无需同意等合法理由即可进行处理。然而,在实践中,除了加密之外,还有许多其他的匿名化技术。这些技术所能达到的匿名化程度是不一样的。例如,GDPR规定通过假名化技术处理数据后,个人仍然可以被识别。因此,它不是完全匿名化,仍然需要适用GDPR的规定。因此,区块链采用的加密等匿名化技术能否满足个人信息保护法的规定,如加密后的信息能否可逆地重新识别等,值得怀疑。区块链技术的应用涉及到大量的敏感信息,而密码本身就是一种广义的敏感信息。例如,比特币等数字货币的发行和交易涉及身份证明、银行账户信息、身份信息、电子签名、密码等。数字货币的发行和交易本质上是机器对数据的处理。为了保证真实性,需要向各个节点广播记录和验证同一笔交易。在此过程中,个人财务信息的披露、个人匿名身份的识别等,需要结合个人信息保护法的要求进行专门处理。保护,例如防止泄露具体交易细节或防止识别用户身份等。同时??,根据个人信息保护法,为履行法定义务或依法,可以未经同意处理个人信息或必须依法处理。例如,反洗钱法要求验证用户的真实身份,在中国使用区块链提供信息服务需要满足网络实名制的要求。(5)个人信息处理的技术和组织措施《个人信息保护法(草案)》和《网络安全法》规定了个人信息处理者和网络运营者应当采取的个人信息安全和保护制度,如分类、去标识化、访问控制、应急预案等等,GDPR的总体要求是通过制度设计确保个人权利默认受到保护。根据《个人信息保护法》的规定,对高风险的个人信息处理行为,需要采取与风险程度相适应的特殊保护措施。个人信息在自动决策之前会进行风险评估和记录。虽然从技术实现的角度,区块链需要保持处理的一致性,完全自动化,尽可能减少人为干预,但需要从遵守法律规定的角度考虑合规性。例如,我国个人信息保护法明确要求个人有权拒绝提供个人信息。处理器仅通过自动决策制定决策。通过自动决策制定的商业营销和信息推送也应提供不针对其个人特征的选项。个人信息的保留期限是个人信息保护法规定的一个关键问题。基本要求是只在达到目的所需的必要期限内保留信息。根据中国个人信息保护法的规定,保留期限为6个月(如网络日志)至3年(电商产品服务信息、直播信息等)。从理论上讲,虽然区块链技术倾向于或能够使信息永久保留,但需要考虑有关信息存储的法律规定;此外,由于区块链中的信息分散存储在各个节点中,如何通知删除并实现完全删除也是一个问题。编写智能合约以设置交易条件时要考虑的因素。《个人信息保护法(草案)》其实是为技术发展提供了冗余空间。例如,如果技术上难以实现删除,可以采用停止处理个人信息的方式代替删除。(六)个人信息保护法律的适用范围和跨境传输虽然网络空间让物理地理范围越来越没有意义,但仍然需要遵守现行法律框架下的规则。《个人信息保护法(草案)》扩大了法律的域外适用范围。除了在中国境内处理个人信息需要遵守法律,在境外向境内提供产品或服务,分析评价中国境内自然人的行为也需要遵守法律和法规。中国的规定。GDPR法规类似,只要在欧洲经济区设立机构,或向欧洲经济区内的个人提供产品或服务,或对其行为进行监控,均适用GDPR法规。区块链技术是一种超越国界的技术。例如,数字货币等基于区块链的应用甚至超越国家的货币发行主权,实现点对点的数据传输。因此,无论公司注册在哪个国家,服务器位于哪个国家,节点参与的人来自世界各地,都可能被个人信息保护法承认为本国提供商品或服务。此外,根据中国和欧盟个人信息保护法的规定,在境外处理境内个人信息需要在境内设立代表处。因此,在极端情况下,需要逐案考虑是否每个国家都有设立当地代表处的要求,需要考虑所有国家的法律。三、区块链技术应用个人信息保护法合规建议目前,根据中国法律规定通过备案的区块链企业近千家,包括区块链技术应用企业和从事区块链技术的企业。研究与开发。中国鼓励发展区块链技术,但全面禁止数字货币的发行和融资。世界各地的区块链公司包括软件开发商、平台提供商、各行业的应用用户等,例如以太坊等提供智能合约底层技术的平台。从事区块链技术研发或利用区块链技术开发产品或提供服务的企业或平台需要考虑的个人信息保护法律问题包括:(1)顶层设计选择合规性较低的区块链部署方式按照行业规范的风险分类,区块链一般可以分为私有链、联盟链和公有链。从加入节点是否需要权限出发,可以分为权限链和非权限链。由于私有链和联盟链限制了节点开放的规模和实体,相对于任何人都可以参与的公链,链上数据更容易在可控范围内进行处理。如果配合许可机制对节点进行验证和注册,从个人信息保护和溯源的角度来看,合规性会更高。(2)有意识地区分区块链中多方的角色和职责。区块链中有多个参与方,如软件开发者、平台提供者、记账节点、验证节点、矿工等,多个主体之间需要一一对应,是否由参与方决定处理目的和方式、接受委托处理数据的一方或被收集、处理信息的用户个人等,以形成合法合规的权利义务分配和责任承担前提.虽然区块链以去中心化的方式处理数据,但开发者和平台并不是以中心化的方式存储和管理数据,开发者和平台本身是属于信息控制者还是处理者,仍然是需要考虑的因素。但无论如何,有必要履行法律规定的信息安全和个人信息保护义务。(3)考虑需要强制遵守的法律。区块链的技术创新包括匿名交易。匿名交易也会带来隐患,比如利用数字货币进行洗钱等。例如,基于区块链技术的数字货币需要考虑“了解你的客户”的原则,根据反洗钱法律法规收集客户信息,根据中国的法律法规收集用户手机号码、身份证号码等真实信息。网络实名制,根据中国网络内容生态采集用户手机号、身份证号等真实信息。审计需要对区块链信息发布的内容进行审计。此外,中国法律通常规定“法律、行政法规另有规定的除外”,需要考虑各自行业的特殊规定,避免或必须处理特定信息。(四)建立人工干预机制。理想情况下,所有区块链信息都由机器计算和处理。但为符合个人信息保护法的规定,需要设置适当的人为干预机制。例如,当个人声称访问、更正、删除权势时,可以及时有效地做出响应,并在自动化决策中实现人工审核和更正机制。在编写智能合约时,需要提前考虑。如果链上信息打上时间戳后无法直接更正或删除,则需要通过添加代码的方式重写信息,以保证准确性。(5)适当的技术和组织措施。单一孤立的技术措施或组织措施无法实现个人信息保护,也不符合法律要求。例如,通过非对称加密和匿名化技术对信息进行加密后,如果不采取限制访问控制、信息单独存储等组织措施,则可以将信息重新识别为个人。再比如,为了避免违反个人信息保护法,可以对个人信息进行分类,极有可能识别个人身份的信息或敏感信息只能进行链下存储。4.区块链技术与个人信息保护法律总结与展望作为典型的颠覆性技术,区块链技术实际上顺应了科技发展生产生活虚拟化的趋势,进一步弱化工业时代作为信用背书和信息中介平台的功能实现了对每个节点的个性化、点对点的定制化信息处理。但区块链技术还在发展,很多应用还不为人知。同时,互联网的发展使得大量收集个人信息成为现实。个人信息的使用可以深入挖掘人们的需求,实现商业价值,这就需要通过法律来保护个人信息。可见,无论是区块链技术还是个人信息保护法都在发展过程中,交界处的碰撞在所难免。区块链技术的特点是节点使用机器去中心化处理数据,而个人信息保护法则是基于数据控制逻辑和处理者集中处理人的信息,个人信息保护法是以人为主体设计的。中心系统,而区块链以机器、程序和算法为中心,现实生活中的人被抽象为网络空间中的节点。虽然区块链技术与个人信息保护法之间的互动还有待观察,但目前区块链技术的发展仍然需要考虑和满足个人信息保护法的要求。
