胡鹏鹏 翟相娟

（华侨大学 法学院，福建 泉州 362021）

引言

区块链是一种数据以区块为单位产生和存储，并按时间顺序首尾相连而形成链式结构，同时通过密码学保证不可篡改、不可伪造以及数据传输访问安全的去中心化分布式账本。①华为区块链技术开发团队：《区块链技术及应用》，清华大学出版社，2020，第22页。一个成熟的区块链系统即区块链技术具有以下特性：第一，去中心化。这是区块链技术的一个基本特点，是指区块链技术将中心弱化到各个节点上，使每个节点都能成为中心，从而通过独立运行完成节点与节点之间的直接交易。②王延川：《“除魅”区块链：去中心化、新中心化与再中心化》，《西安交通大学学报（社会科学版）》2020年第3期。第二，去信任化。区块链系统中所有的节点都是对等节点，每个节点可以完整地观察到系统节点的全部行为，保证了整个系统对于所有节点的透明与公平，从而实现了信息的可信性。③马昂、潘晓、吴雷等：《区块链技术基础及应用研究综述》，《信息安全研究》2017年第11期。第三，防篡改性和可追溯性。防篡改性是指数据经过认证上链后就难以更改、难以删除，而可追溯性是指发生在区块链上的每一笔交易都会被完整记录，并且可以溯及与其相关的全部历史记录。当然，除了去中心化、去信任化和防篡改可追溯的基本特性外，区块链技术还存在分布式、开源性和系统性强等特征。

根据网络范围与节点特性，可以将区块链划分为公有链、联盟链和私有链。这三类区块链具有不同的特性，也直接决定了不同特性区块链中个人信息处理方式的区别与个人信息删除权实现的差异。其中，公有链中数据完全开放透明，任何人均可以参与数据的维护和读取，其典型案例是比特币和以太坊系统；而联盟链系统一般需要严格的身份认证和权限管理，数据仅在联盟成员之间开放，不同的业务数据也有一定的隔离，其典型代表是Hyperledger fabric系统；私有链是联盟链的一种，即联盟链中只有一个成员，如企业内部的票据和账务审计系统。①蔡晓晴、邓尧、张亮等：《区块链原理及其核心技术》，《计算机学报》2021年第1期。区块链系统开源程度的差异直接决定了数据信息安全与保护方式的差异，因而，实现不同区块链系统中的信息保护，应当坚持区分原则，采取不同的制度与规则规范利用区块链技术处理数据②从各国的法律及标准来看，大多数没有对数据与信息进行区分。个人数据与个人信息经常被混用。目前，国内文献对于信息与数据的混用已成常态，而我国《民法典》第六章和《电子商务法》第二十五条等法律规范也没有对“数据”和“信息”加以区分，由于二者在法益保护和权利效果方面的同一性，本文也没有进行区分。的行为。具体来说，由于联盟链和私有链的开源程度低、应用范围有限且主要用于内部成员或者用户自己，因而其对于删除权的需求不高或者其自身就是数据控制者或处理者，而公有链系统因其开放程度高而与删除权立法的关系更加紧张，因此本文主要以公有链为对象进行论述。

也正是区块链技术去中心化、去信任化、防篡改和可追溯的固有特性，使得其与中心化的个人信息删除权立法模式存在一定的冲突，本文将以区块链技术与个人信息删除权规则的冲突为切入点，通过比较国内外个人信息删除权的立法演变及其价值伦理，在进一步分析区块链技术对个人信息删除权具体挑战的基础上提出相应的技术规制路径。

一、个人信息删除权立法之国际比较

区块链技术与个人信息删除权立法制度的冲突，一方面缘于区块链技术不可更改、不可删除的特性，另一方面也在于中心化的个人信息立法模式对于技术创新的考虑不足。因此，有必要进一步分析个人信息删除权立法的沿革及其制度意蕴，进而为这一冲突的分析与解决提供必要的法理基础。

删除权等个人信息权利的立法产生于数字经济背景下个人权利保护的需要。在大数据时代，公民的个人信息被互联网无限地搜索和记忆，为了避免个人信息被过度收集和永久存储，作为应对“永久性记忆”的个人信息删除权逐渐被世界各国立法认可。个人信息删除权是指信息主体在法定或者约定的事由出现时，有权请求信息处理者删除其个人信息的权利。③黄薇：《〈中华人民共和国民法典〉释义（下）》，法律出版社，2020，第1929—1931页。从权利属性上来看，个人信息删除权是从属于个人信息权这种人格权下的子权利，其基础是个人信息自决权，其立法目的在于保护公民的人格自由与尊严。对国内外立法中个人信息删除权进行比较分析，可以为区块链技术背景下个人信息删除权的立法完善提供必要的理论参考与制度借鉴。

（一）我国立法中的个人信息删除权

从法律规范的效力级别来看，我国的删除权立法不仅包括国家层面的立法，也包括一些具有指导性的行业规范，这些规范在实践中又不断转化为个人信息保护的法律法规；从法律规范的内容来看，不仅包括新出台的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）等专门的个人信息保护规范，也包括特定领域个人信息保护的《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国电子商务法》等法律规范。总体而言，我国个人信息删除权立法经历了从《网络安全法》到《中华人民共和国民法典》（以下简称《民法典》）再到《个人信息保护法》的一个演变脉络。

我国于2021年颁布实施的《个人信息保护法》是一部专门的、系统性的个人信息保护立法，同时也是目前对个人信息删除权规定较为全面的法律规范。该法在吸收了《民法典》相关内容的基础上，进一步完善了个人信息删除权体系。首先，明确了个人信息删除权的行使方式。根据《民法典》第一千零三十七条第二款的规定，删除权的行使方式是信息主体请求信息处理者删除；而《个人信息保护法》第四十七条不仅继承了《民法典》赋予信息主体请求删除的权利，也明确了信息处理者主动删除的义务，由此，信息主体的删除权也可在信息处理者主动删除的情形下得以实现。其次，充实了个人信息删除权的适用情形。相比《民法典》规定的信息处理者违反法律、行政法规或者双方约定的情形，《个人信息保护法》还增加了处理目的实现、无法实现或者实现处理目的不再必要等四种情形，①《中华人民共和国个人信息保护法》第四十七条：有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。这也使我国个人信息删除权的适用情形基本接近于欧盟《一般数据保护条例》第17条关于被遗忘权的规定，因而国内部分学者也称该条款为被遗忘权。最后，明确了个人信息删除权的适用例外。由于个人信息删除权的实现将导致个人信息难以恢复，其他立法基于特定目的而限制了删除权，而《个人信息保护法》第四十七条对其进行了专门规定，有效地避免了法律冲突。

（二）欧美国家立法中的删除权

从比较法视角来看，各国或各地区的个人信息保护法或者数据保护法都明确了个人享有的删除权，如欧盟《一般数据保护条例》第17条规定的删除权和美国加利福利亚州《消费者隐私法案》，②程啸：《个人信息保护法理解与适用》，法律出版社，2020，第359—360页。本文主要以欧盟和美国为例对其删除权立法予以分析比较。

1.欧盟数据立法中的删除权规则

欧盟被视为是被遗忘权的发源地，其关于被遗忘权和删除权的立法对其他国家的数据立法产生了普遍影响。欧洲最早的数据立法是1950年《欧洲人权公约》第8条关于隐私权的保护，此后的欧洲法院为了应对数字经济对数据隐私的挑战，进一步扩大了这一条款的内涵；欧盟在1995年的《数据保护指令》第6条第1款（d）项和第12条（b）项确立了删除权；2016年欧盟通过的《一般数据保护条例》第17条规定了删除权（right to erasure），也称被遗忘权（right to be forgotten），确立了数据主体在特定情形下有权要求数据控制者擦除关于其个人数据的权利；而欧盟法院在“谷歌西班牙诉冈萨雷斯案”中进一步确立了删除权。此外，欧盟委员会在2020年12月发布的《数字服务法（草案）》也明确了平台删除非法内容的义务和有效保护用户基本权利的机制。

2.美国隐私权立法中的删除权规则

从立法模式来看，美国主要通过隐私权立法的方式保护公民的信息权利，并且经历了从侵权行为法上的隐私权到宪法上的隐私权的过程。①在美国法中，隐私权是宪法上的隐私权，信息隐私权是宪法上的信息隐私权（informational privacy），特别是美国联邦最高法院于1965年的Griswold v.Connecticut（381U.S.479，1965）案中指出隐私权涉及人之尊严和自由价值并正式肯定隐私权属于宪法保障的权利，后来联邦最高法院在Whalen v.Roe（1977）案中又肯定了宪法上的信息隐私权，因此美国法中的信息隐私权属于受宪法保障的基本权利。然而，美国的立法较为注重言论自由和信息披露，迄今为止没有制定统一的信息隐私保护法，其信息隐私保护规范主要见之于联邦层面总体原则下的地方立法和重点领域立法，而以各州的隐私权立法影响较为深远。早在1972年，美国加利福尼亚州通过宪法修正案，将隐私权确立为公民的基本权利，此后通过一系列法案保护公民的隐私权，如2013年通过的加利福尼亚州第568号法案（也称“橡皮擦法案”），这是美国第一部涉及被遗忘权的法案，该法案第22581节（a）项和（b）项确立了未成年人的被遗忘权和网络平台的删除义务。此后，加州于2018年通过了《加州消费者隐私法案》（CCPA），该法案被称为美国最严厉最全面的个人隐私保护法案，该法案赋予消费者要求删除个人信息和企业收到正当请求后依规定删除的权利。②详见2018年《加利福尼亚消费者隐私法案》第1798.105节（a）（b）（c）项。较之于欧盟的数据立法，美国的信息隐私立法更加倾向于在尊重个体意愿的前提下促进数据的利用，并在产业分工的基础上构建责任共担和责任豁免机制。③徐磊：《个人信息删除权的实践样态与优化策略——以移动应用程序隐私政策文本为视角》，《情报理论与实践》2021年第4期。

通过比较研究，不难发现，不同国家对于个人信息删除权的立法形式和保护力度是有差异的：我国将删除权作为个人信息权予以确认并进行专门立法，欧盟基于政治和法律层面的基本人权和信息自决权而进行了数据权利立法，美国基于宪法规范将删除权作为隐私权的内容并通过信息隐私立法加以保护。但不容否认的是，在这些国家个人信息删除权均已经从一项应然权利上升到法定权利。总之，不论是我国的个人信息删除权立法和欧美的删除权立法，都将个人信息删除权作为数据信息时代数据主体应当享有的一项基本权利，且这一权利在司法实践中得到了有效的落实，然而，随着区块链技术的产生及其广泛应用，这一权利不论在立法架构还是法律实践中都面临着严峻的挑战。

二、区块链技术对个人信息删除权的挑战

当今，世界各国基本上都通过立法或判例的形式确立了个人信息删除权，且这一权利也得到司法机关的保护和社会的普遍认可。然而，区块链技术的出现及其应用却对这一具有深刻伦理价值和权利哲学基础的权利带来了严峻挑战，即区块链技术去中心化、去信任化、不可更改、不可删除的技术特征与个人信息删除权之间存在冲突。

（一）区块链技术去中心化的特性与中心化的删除权立法理念存在分歧

区块链技术的核心在于由多方见证和不可篡改带来的数据真实性，并由此建立起由技术保障的可信生态。④宋振锋：《GDPR与区块链不相容的问题分析及潜在的解决方案》，《金融科技时代》2020年第10期。由于区块链技术的防篡改、可追溯特性，一笔交易一旦在全网范围内经过验证并添加至区块链，就很难进行修改或者擦除，这也提高了区块链上信息共识可信的特征，也正是区块链的不可篡改属性，保证了区块链上的数据在最大程度上的真实性。删除权是宪法规范中人格尊严和自由在数据立法中的体现，是数字经济时代公民享有的一项重要权利，其价值目标并非以数据的可信度为代表的交易安全，而是公民依法享有的个人尊严和自由，即“一个人犯错误后一旦改过自新，应该使他的名声免于被过去的错误所累”。因此，区块链技术与删除权的冲突实质上是交易安全与个人信息保护之间的价值理念冲突，而区块链技术为了保证交易的安全可靠而忽视信息主体权利和自由的技术缺陷给现行立法带来了挑战，这也亟需立法对这种以公民个体权利和自由为代价而促进交易安全的技术应用场景进行规制。

（二）区块链系统的个人信息在技术上难以删除

区块链技术不可篡改的特性一方面表现为理论上的不可篡改性，另一方面表现为技术应用中区块链上的信息难以篡改，其原因是单体的区块不仅聚合了许多交易信息，还包括其他关于本区块描述的数据，如区块的大小、区块头和交易计数。①黄连金、吴思进、曹锋等：《区块链安全技术指南》，机械工业出版社，2018，第18—19页。因此，在区块链系统中，交易活动一旦在全网范围内经过验证并添加至区块链，就很难被修改或者删除，其理由是：一方面，当前联盟链所使用的如PBFT类共识算法从设计上保证了交易一旦被写入就无法被篡改；另一方面，以工作量证明作为共识算法的区块链系统的篡改难度与花费都是极大的。②如果对此类区块链进行篡改，攻击者需要控制全系统超过51%的算力，但是攻击行为虽然会产生攻击者计算的结果，但攻击过程却被全网见证，因而一个理智的个体不会进行这种类型的攻击。

针对这一技术难题，一些专家学者提出了区块链扩容、加密数据后删除密钥和通过“分叉”的方式编辑数据等方案。就目前技术而言，这些方案仍然有待商榷：首先，扩容有必要，但不可能无限制地对区块链的容量进行扩充，而且扩容将导致区块链技术去中心化程度的减弱；其次，加密数据销毁密钥只是隐藏了区块，即表面上看似删除了数据，一旦密码遭到破坏或者在足够的时间和算力下加密技术仍然有可能被破解，显然不符合删除权的要求；最后，可编辑的特性不仅违背了区块链信息不可删改的初衷，而且修改区块内容就会破坏整个区块，导致链条断裂，难度高、成本大、可操作性差。③焦经川：《区块链与法律的互动：挑战、规制与融合》，《云南大学学报（社会科学版）》2020年第3期。

总之，区块链技术的链式结构从根本上保证了区块的不可更改、不可删除，这也说明了简单地通过外部手段来实现删除权存在一定的技术困难，而针对区块本身的修改和删除不仅导致区块链的破坏，而且删改行为同样也会被记录。

（三）区块链技术下删除权的义务主体难以识别

区块链技术对删除权立法的挑战不仅表现为区块信息能否删除的问题，更是表现为无法删除条件下法律规则如何应对区块链技术带来的法律风险。通过立法规范区块链技术的应用，必须先识别删除权的义务主体。目前，各国关于删除权的义务主体的表述不一，但义务主体的范围基本一致，其中欧盟GDPR第17条将被遗忘权的义务主体指向数据控制者，即决定数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体，而我国《民法典》和《个人信息保护法》将删除权的义务主体指向数据处理者，即从事信息的收集、存储、使用、加工、传输、提供和公开等行为的组织和个人。④我国《民法典》第一千零三十五条第二款规定，“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”因此，与之对应的个人信息处理者应为从事个人信息的收集、存储、使用、加工、传输、提供、公开等活动的组织和个人。我国《个人信息保护法》中数据处理者的内涵包括了欧盟GDPR中的数据控制者，由此可以认为区块链技术背景下删除权的义务主体应当为区块链系统的信息处理者。由于区块链系统是去中心化的，不存在中心化的数据处理者，①程啸：《区块链技术视野下的数据权属问题》，《现代法学》2020年第2期。而是通过每个节点都能够存储全网发生的历史交易来保障数据的完整性和不可篡改性，这种去中心化的分散式数据管理也意味着数据处理者不明确，特别是区块链项目的节点存在积极行为和信息主体自己写入链上交易等情形。除此之外，部分用户为了自身的目的将数据信息上传至区块链，这更是增加了识别区块链应用中数据处理者的难度。

（四）区块链技术下删除权的法律救济途径和责任规则缺失

就现有的理论与技术而言，区块链上的数据是不可更改、不可删除的，这也势必影响着区块链技术的开发和信息主体权利的保障。法律回应区块链技术，不仅需要明确区块链系统参与者的法律地位，还应当以此为基础构建区块链系统中删除权的救济途径和责任规则。从现行的数据法律规范来看，立法还存在着权利救济途径和责任规则缺失的制度缺陷：

其一，涉及删除权的救济途径缺失。从我国现有的立法来看，只有《个人信息保护法》第四十七条规定了“……删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理”。较之于我国《个人信息保护法（草案）》，立法者对于信息处理者的责任要求逐渐明确，即信息处理者不得进行除存储和信息保护之外的活动。然而，看似立法者确立了停止处理这一救济途径，但这一途径实质上可以被视为信息处理者的合同义务，而非删除权的救济途径，至于如何应对诸如滥用区块链技术处理个人信息而导致个人信息难以删除的问题，立法并没有加以规定。

其二，现有的个人信息保护立法尚未明确侵犯信息主体删除权的法律责任。法律责任是立法者对于法律行为的评价，也是向社会成员表示在一定条件下行为人承担不利后果的正当性。②张恒山：《法理要论（第三版）》，北京大学出版社，2009，第465—466页。目前，涉及区块链技术应用中的删除权侵权和违约行为的责任规则缺失，信息主体的删除权难以得到保障，这也纵容了信息处理者滥用区块链技术过度、非法收集和处理个人信息的行为，这不仅有违法律的公平价值，也在一定程度上使得删除权规则体系虚化。

三、区块链技术下个人信息删除权立法的应对与完善

区块链技术与删除权的冲突缘于区块链技术的原理与特性、产生于区块链技术的应用场景，而且是不可避免的、固有的对立冲突。这一冲突根本上是区块链技术所代表的科技进步与以删除权为代表的权利保护之间的价值冲突。囿于对数字世界的理解和法律规制方法的局限性，传统的法学理论和立法规范在当前难以应对这一理论冲突和实践短板，因此，有必要以权利哲学和科技进步博弈为视角进行分析，进而通过技术治理的宏观理念和微观规则两个层面提出应对之策。

（一）理念重塑：区块链技术与法律的互动共治

1.区块链技术应当符合并服务于法律

构建数字社会的法律秩序，其核心要义在于权利保护和人权保障。③张文显：《构建智能社会的法律秩序》，《东方法学》2020年第5期。删除权在内的个人信息权是一种独立的人格权，具有深厚的宪法权利和人权制度基础，特别是源于宪法和宪法案例的欧美国家隐私信息保护立法，而人格权的保护是宪法及私法的共同使命。①王泽鉴：《人格权法——法释义学、比较法、案例研究》，北京大学出版社，2013，第95—96页。随着现代民主与法治国家人权保护制度的不断完善，凝聚了人民意志的信息隐私权也逐渐得以强化，如欧盟视被遗忘权为一种权利、价值、利益和伦理原则。②翟相娟：《论被遗忘权与言论自由之兼容与平衡》，《华侨大学学报（哲学社会科学版）》2018年第3期。

习近平总书记于2012年在首都各界纪念现行宪法公布施行30周年大会上的讲话中指出，法律是成文的道德，道德是内心的法律。伦理道德是数字科技的最终目标和归宿，同时法律和伦理的双重规范也促进科技向善。区块链技术发展的方向和目标是服务于社会和人民，人民的主体地位在区块链技术的应用场景中不能动摇，区块链技术服务于人民的技术伦理也是一贯的，而那种以科技进步为借口主张克减公民权利、将个人信息隐私置于不可控的风险中的观点是不可取的。正如欧盟法院指出，原则上数据主体的权利比搜索引擎经营者的经济利益重要，也比公众基于特定姓名搜索到该主体个人信息的公众利益重要。③刘文杰：《被遗忘权：传统元素、新语境与利益衡量》，《法学研究》2018年第2期。因此，在区块链技术与删除权规则的冲突中，应当坚持人本理念，保护信息主体的人格尊严和自由，使区块链技术创新合规运行并服务于人民，反对打着技术创新的旗号挑战国家法律制度和克减公民数据信息主体合法权益的行为。

2.法律应当包容区块链技术

作为一种新技术，区块链具有透明可信、防篡改的特性，并由金融应用延伸到能源、供应链和物联网等诸多领域，不仅保证了交易安全，也满足了不信任参与者建立分布式信任的需求，实现了低成本、高效的多方协同，进而促进了经济社会的发展。作为一种新兴技术，区块链技术体现着技术进步的价值取向并代表着先进技术创新和共识可信，但技术的滥用威胁着现行的法律制度，也不利于自身的发展，因此需要通过立法规范回应这一技术创新。

立法规范回应区块链技术，应当坚持包容这一现代法治的美德，同时包容也是数字社会多元主体互动共治秩序构建的前提条件。理论和实践表明，如果立法规范只是简单地施加各种禁止性或者强制性规范，势必因为激励制度的缺失而影响法律的实施，即出现诸如运动式执法和选择性执法等“管理型”立法。④周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，《法学研究》2018年第2期。立法回应区块链技术，也并非简单地禁止区块链技术的应用，而是包容区块链技术，即通过立法这一社会关系的调整器来兼容激励，建立健全区块链技术应用中的删除权规则，规范其应用范围并保障信息主体的合法权益，促进区块链技术的合法合规使用，形成“治理型”立法，进而实现社会规范和裁判规则的统一。

3.区块链技术与法律的互动共治

区块链技术的法律应对涉及多方利益主体，不同主体的不同诉求决定了区块链技术下的删除权立法应当坚持多方互动共治。共治就是尊重不同主体的需求，这也是构建良好的数字正义秩序的前提条件。法律本就是价值整合的结果，不论是立法还是行政或司法，在价值整合时都应当采取兼顾协调的立场和态度来处理各种价值目标之间的关系。⑤张文显：《法理学（第四版）》，高等教育出版社，2011，第258页。区块链技术的兴起代表了一种与价值互联网相适应而具有创新性的社会控制监管多元化主义，立法回应区块链技术对删除权的挑战，并非是简单的技术优先于法律或者通过法律手段限制技术的发展。⑥张婷：《区块链时代信息服务提供者的责任建构：欧盟〈一般数据保护条例〉的启示》，《法学杂志》2021年第3期。解决区块链技术与删除权之间的冲突问题，就是在技术进步与法律文明之间进行平衡，探索既不违反删除权规则又适合区块链技术原理的路径。同时，区块链技术与删除权规则在目的追求上具有同向性，即区块链技术在于数据的流动和安全，删除权的目的也在于数据的安全。①刘宁元、闫飞：《区块链技术应用与GDPR紧张关系的构成及调和》，《齐鲁学刊》2020年第2期。因此，规制区块链技术既要使区块链技术的应用符合删除权立法，也要使删除权立法促进区块链技术的发展，实现二者的互动与共治。

（二）规则建构：区块链技术下删除权立法规则的完善

数字社会的本质是规则之治，规则之治的核心要义是法律治理，即构建数字技术法律规则。针对区块链技术应用对现行删除权立法制度的巨大冲击，现行的立法制度并未正面回应，这也导致一些区块链技术的开发应用因为合规风险而逡巡不前。对此，有必要构建区块链技术应用中的删除权法律规范，保护个人信息权利，降低区块链技术应用开发的风险。

1.明晰区块链系统参与者的法律地位

传统法律权利义务和责任的分配建立在主体确定的基础之上，而区块链技术的应用场景中不存在一个中心化的系统，去中心化的分布式账本是通过多个节点和用户完成的，因而立法规范的第一要务是明确区块链技术应用中的数据处理者。

从法律规范来看，国家互联网信息办公室于2019年1月发布的《区块链信息服务管理规定》第二条对区块链系统中的区块链信息服务提供者和区块链信息服务使用者进行了区分，前者是指向社会公众提供区块链信息服务的主体或者节点，以及为区块链信息服务的主体提供技术支持的机构或组织，后者是使用区块链信息服务的组织或者个人，然而二者是否属于个人信息保护法中的信息处理者存在争议。目前，立法规范还没有就个人信息处理者的识别问题进行规定，而区块链社区就这一问题已经达成一些共识：第一，创建和维护区块链协议的人员只是技术提供者，因而不属于信息处理者；第二，区块链的验证节点或者参与节点在未参与信息处理行为的情形下也不被认为是信息处理者；第三，通过节点向区块链网络签名和提交交易的网络用户将个人信息提交给分账簿则属于信息处理者。

从域外立法来看，法国数据保护监管机构（CNIL）颁布的关于区块链的指南确立了在链上提供允许访问、验证等管理功能的节点的个人信息控制者地位，这为明确区块链参与方的法律责任提供了保障，也为我国的区块链数据立法提供了借鉴经验。②江海洋：《论区块链与个人信息保护之冲突与兼容》，《行政法学研究》2021年第4期。因此，有必要通过立法规范将这些技术规范转化为法律规范，即赋予参与信息处理行为的验证节点和参与节点、通过节点处理数据的用户以信息处理者的法律主体资格，进一步明确这三类区块链系统参与者在信息处理活动中的地位，强化其对于信息主体的说明和告知同意等法律义务。

2.确立区块链系统参与主体的法律义务和法律责任

数字社会法律秩序的构建依赖于数字社会法律义务和法律责任的构建这两条法律技术路径。明确区块链系统参与者的法律地位只是区块链应用场景法律制度建构的前提，通过立法规范区块链技术的应用，其核心要义在于确立区块链技术应用中参与主体的权利义务内容和法律责任。

删除权的保障和实现取决于删除义务规则的构建。区块链技术不可篡改的特性使得数据一旦上链就无法删除，这使得信息主体的删除权等权利的实现严重依赖于区块链系统参与者“守门人”的角色，因此要强化其对于链上个人信息的删除义务，特别是删除权难以实现时个人信息处理者的审查义务、通知同意义务和安全保障义务。具体而言，区块链服务提供者和利用区块链技术处理个人信息者应当及时明确告知信息主体相应的技术和法律风险，必须征得信息主体的同意方可对相关数据信息进行上链处理和存储，同时应当保证上链个人信息的安全。

同理，删除权的实现也依赖于删除权责任体系的创建。法律责任是因违反法律义务而受制裁的正当性，其功能是通过制裁违法者以促进法律义务的履行。区块链技术背景下删除权的保护明显不能完全交给信息控制者和信息处理者通过契约的方式自觉履行，而是需要相应的监督与制约机制，即构建以区块链平台为核心的信息控制者和信息处理者的法律责任。具体主要包括违约形式、责任主体、过错形式和责任的承担方式等内容，特别是在违反告知说明义务情形下区块链系统参与者的侵权责任承担问题。

3.构建区块链技术下删除权的救济规则

针对删除权在区块链技术场景中难以实现的情形，我国《个人信息保护法》第四十七条规定了“停止除存储和采取必要的安全措施之外的处理”这一临时性保护措施，但停止处理情形下个人信息并没有消失。因此，有必要通过立法确立侵犯删除权的救济制度和措施，保障信息主体的信息权利。

第一，建立区块链系统删除权的申请和处理机制。我国《个人信息保护法》第五十条规定了“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制”，具体到区块链技术应用中，在坚持这一规则的前提下，仍然有必要进一步细化申请受理和处理的条件、标准和程序等具体规则。

第二，增加可行的替代方案。替代方案是指个人信息无法删除或者技术上难以删除时的救济途径。从区块链技术的实践来看，目前的替代方案主要包括对于数据信息进行加密后删除密钥和部分专家学者提出的探索可编辑区块链技术，①宋伟锋：《区块链技术下隐私权与被遗忘权比较研究》，《深圳社会科学》2020年第4期。不可否认，在目前技术难以删除的情形下这些方案具有一定的辅助性。除此之外，我国《个人信息保护法》提出的对于特定个人信息的匿名化和去标识化的法律义务也对利用区块链技术处理个人信息行为的规范具有启发意义，确立个人信息上链前的“匿名化”“去标识化”处理规则也不失为有效的权利救济规则。

4.评估和规范区块链技术的应用场景

区块链技术下删除权难以实现这一问题的出现一定程度上是因为区块链领域的标准缺失，信息处理者滥用区块链技术不当收集和处理个人信息，导致出现“万物皆可区块链”的区块链技术泛化，这也不利于区块链应用的健康发展。个人信息处理者不当应用区块链技术的行为不仅违反了我国《民法典》确立的个人信息处理的合法、正当、必要原则，也不符合《个人信息保护法》所确立的最小必要原则。由于信息处理者和信息主体在科学技术应用水平和法律地位上的极不对等性，这种技术滥用行为时有发生，而信息主体的权利救济途径不畅、维权成本高。因而，有必要评估区块链技术的实际需求，通过国家行政权力建立区块链技术应用的行政许可制度，根据国家机关的技术与标准加强对区块链技术应用的监管，规范区块链技术的应用场景，降低区块链技术滥用的法律风险。

结语

针对区块链技术对删除权的挑战这一问题，理论与实务界的专家学者提出了区块链扩容、通过“分叉”的方式编辑数据和加密删除等不同方案。然而，这些方案或是实践中不可行，或是操作成本过高，并不能达到删除权的立法要求。区块链技术与删除权立法之间的冲突表面上是现有科技创新对于中心化数据监管模式的挑战，其法理基础是以科技创新为代表的效率价值与以权利保护为目标的公平价值之间的博弈。针对这一问题，立法不仅需要肯定区块链技术的创新魅力，还应当遵循删除权的立法价值与技术伦理，特别是删除权本身就是平衡民事主体个人信息保护和互联网产业发展的产物。因此，立法不仅要尊重技术效率，也要坚持对公民权利与社会价值伦理的保护，进而实现技术与法律的共治共享，将丰富的法律价值与伦理文明融入区块链技术应用中去，通过立法规范区块链技术的应用，让区块链技术合乎立法，进而构建促进和保障权利的数字社会法律秩序。