区块链环境下个人数据权利保护的困境与突破
——以欧盟《一般数据保护条例》为例
2022-03-02蔡莉妍
蔡莉妍
(集美大学 海洋文化与法律学院, 福建 厦门 361021)
一、问题的提出
随着云计算、区块链、物联网、人工智能等前沿技术的发展,世界已进入“数字经济时代”。数据具有数量庞大、时效性强、价值密度低等特点,单个数据或者数据孤岛并不能实现社会应用,数据的价值必须通过数据流动、共享形成数据链条,再通过技术加工与应用得以实现。近年来,日趋严重的“数据污染”现象尤其是个人数据的过度收集和滥用给数据主体的隐私、安全和社会秩序带来了巨大挑战。例如,2017年Gmail和Yahoo账户售卖案、2018年Facebook大选“泄密门”、2020年5.38亿 条新浪微博用户信息在暗网公开出售等。可见,数据保护已成为全球性问题,如何平衡数据收集、保存、传输过程中的数据保护与数据商业利用之间的关系,已成为全球数据治理的重要议题。
欧盟为了应对数字时代个人数据所面临的新挑战,以及为了确保欧盟规则的前瞻性,在现有个人数据保护法律框架的基础上,于2012年11月制定了更具包容性和合作性的《一般数据保护条例》(General Data Protection Regulation, GDPR),并于2018年5月25日开始全面实施。GDPR以“知情同意”为基础,建构了用户的访问、查询、更正、删除、撤回、限制、拒绝等个人数据自决权体系,同时还引入了全新的被遗忘权和数据可携带权概念,从制度上保证了个人数据处理的最小化、目的限定以及透明度原则,为全球提供了一套综合严谨的个人数据保护框架[1]。然而,GDPR的颁布,尤其是其中对个人数据删除权的赋予,却与目前受到广泛关注的区块链技术的设计原则相冲突。区块链是一种以分布式数据存储、点对点传输、共识机制、加密算法等为特征的计算机技术的新型应用模式,也称为分布式账本技术[2]。从本质上来看,区块链是一个共享数据库,存储于其中的数据或信息,具有不可伪造、全程留痕、可以追溯、公开透明、集体维护等特征,并由此奠定了信任基础和合作机制。区块链体系结构的设计目的是要在技术上防止个人数据的删除或擦除。若承认并严格遵守GDPR中有关个人数据删除权的要求,则需要建立实施解锁链(Undoing Chains)机制,这将对区块链的透明度及信任基础产生严重影响,从而使区块链的安全性和不可变性受到消解,甚至侵蚀区块链的生存环境。由此便产生了一个核心法律问题,即在区块链环境下,该如何平衡和协调区块链技术应用与个人数据权利保护之间的关系。
二、个人数据权利保护的理论基础
(一)个人数据之概念辨析
数据是网络中由各种设备存储的以及在网络中传输的各类信息的载体,具有多种类型,从主体的角度可以分为个人数据、企业数据、政府数据三类。个人数据指向的是一个被识别的数据主体的任何信息,不仅涉及人格利益,也涉及财产利益。目前,针对个人数据的具体含义,世界各国立法主要使用三种概念:个人数据、个人隐私与个人信息①。个人信息权的发展很大程度上源于隐私权对个人信息主体保护功能的欠缺。个人隐私和个人信息的区别主要在于范围上的差异。从形式逻辑出发,个人信息与个人隐私是包含关系,即个人信息包含个人隐私。个人信息的保护价值在于“识别性”,而非隐私利益。依据《中华人民共和国网络安全法》(以下简称《网络安全法》)第76条第(5)款:“个人信息,是指以电子或其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”《中华人民共和国民法典》(以下简称《民法典》)第1034条在《网络安全法》的基础上,增加了电子邮箱、健康信息、行踪信息的内容。从各国立法上来看,各国的个人信息保护法所保护的法益主要是信息主体的人格利益,但大数据背景下,数据共享、数据交易等行为的驱动因素更多是数据所带来的经济利益。“数据”强调的是可以被机器设备自动化处理的特点,而“信息”强调的是内容的传递。虽然在语义上这两个词语有所区别,但由于数据保护与计算机、网络等信息技术的使用密不可分,再加上信息总是依赖于数据的存储和传输,特别是在数字环境下,两者均需要通过特定的系统来进行读取和帮助理解,因此,数据与信息这两个概念经常通用。为方便论述,下文将统一采用“个人数据”来进行表达。
在区块链领域,个人数据的定义与三种形式的数据最为相关:一是匿名化或假名化数据②,二是加密数据,三是分片化数据。在考虑数据可识别性时,必须充分考虑“被数据控制者或其他人用于识别个人身份的所有合理可能方式”[3]。这种检验标准是随着再识别技术的进步而不断变化的。换言之,如果用于数据匿名化的加密技术被破解或者他人可以通过间接识别符、数据集里其他信息来进行身份识别,则区块链上的可追溯假名化数据仍可能构成个人数据,区块链上参与此类数据处理的节点,将被认定为数据控制者或数据处理者,从而被要求遵从个人数据保护法的义务要求。
(二)个人数据之权利归属
数据权属是数据利用秩序构筑的前提,也是数据权利保护的基础。在人工智能时代,公共部门和大型企业不断采集、存储和处理海量的个人数据。随着移动互联网的普及和智能穿戴等物联网设备的应用,个人数据的收集日益密集和隐蔽,通过多重来源的数据比对,可以形成完整的用户画像和实时追踪。在算法模型和数据开发价值的驱动下,个人数据的流转、交易存在授权不足、使用失范的风险。因此,有必要确定数据主体的权利边界,在保护个人数据权利的同时兼顾技术发展与产业创新。面对数据被商业化利用的需求,许多学者提出了数据赋权或确认数据权属的观点[4-8]。明确数据权属主要是明确数据权利的归属以及权利属性问题。
从目前数据权利归属理论来看,主要分为四种观点:第一,数据权利应归于个人所有,即个人控制论。例如,GDPR中的数据携带权与被遗忘权以及阿里云发布的《数据保护倡议书》均体现了强烈的个人保护主义倾向。第二,数据权利应归平台所有。数据作为智能时代的生产要素,要发挥其基础资源作用和创新引擎作用,就需要发挥数据处理平台的核心作用。第三,数据权利归平台和个人共有。例如,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第23条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。第四,数据权利归公众所有,认为数据具有公共物品属性。与数据权利归属理论密切相关的是随之衍生的数据权利属性理论。由于缺乏制度保障,中国现行法律并没有明确数据的权利属性,学界对个人数据权利的法律属性也尚未形成通说,相关理论主要有三种:一是宪法人权说,认为个人数据权是个人享有和实现各种基本人权的前提性权利,具有波及效应,如果数据权利无法得到保障将影响其他基本人权的实现[9];二是人格权说,认为个人数据具有可识别性,是人格的外化反映[10];三是财产权说,认为个人数据是权利人直接支配特定的信息产品并排除他人干涉的权利[11]。总体来看,目前关于数据权属的主流学说具有明显的局限性,主要原因在于采用的多是个人数据的公共属性抑或私人属性的分裂式判断,这种非此即彼的二元对立思路,无法满足多元主体的利益诉求。
(三)个人数据之治理体系
数据治理是一项系统工程,不仅涉及技术、经济、法律,还涉及政策、环境、公共管理等多个方面,需要多元主体的共同努力。数据治理的目标是推动数据的合理使用。欧盟在GDPR第1条就明确该条例“旨在保护自然人的基本权利和自由,尤其是自然人的个人数据保护权”。数据处理应当为人类服务,数据保护的原则和规则应当尊重自然人的基本权利和自由。因此,将数据保护的权利和人权相结合,是数据治理的出发点[12]。
数据包含着数据主体的人格尊严和自由价值、商业价值、公共管理价值。数据主体对数据享有占有、使用、收益、处分的权利,但这种权利并非个人独占的绝对所有权。出于构建社会信用安全体系、便利生活、提高效率等种种考虑,需要向公权力机关和商业机构等社会主体开放个人数据。为了避免各机构在收集和使用个人数据时存在滥用、泄露的隐患,防止数据主体权利受到侵害,有必要通过立法予以规制。
此外,由于各国信息通信技术和大数据产业发展的成熟度不同,有关个人数据采集、确权、流通、存储等方面的权利界定也尚未在法律上达成共识,因而也就难以协调,仅靠市场的自发调节作用显然无法实现数据资源的优化配置和社会运行的帕累托最优状态。因此,公私耦合、互补优缺、将行政监管与行业自律相结合便成为了构建多元数据治理体系的最优选择。数据治理是数字经济背景下实现产业转型升级和国家治理体系和治理能力现代化的重要路径之一。推进数据治理应秉持法治思维和法治方式,尊重个人数据权利保护的“混合性”,在平衡多元利益的基础上,采用灵活变通的立法方式,在赋予数据主体各项权利的同时,通过豁免机制的设计,为言论和信息自由、科学研究、政府信息公开、社会秩序维护等提供一定的制度空间。
三、区块链环境下个人数据权利保护的现实困惑
(一)区块链环境下数据权属的责任主体难以核定
GDPR第4章第24~43条详列了对数据控制者和数据处理者的义务规定。根据GDPR第4条第(6)款和第(7)款,能够单独或与其他主体一起决定数据处理目的和方式的自然人、法人、公权力机关、机构或其他主体,是数据控制者;代表数据控制者处理数据的自然人、法人、公权力机关、机构或其他主体,是数据处理者。由于数据处理者从事的是数据处理的技术性行为,而非决策性行为,且仅允许其基于来自数据控制者的记录指令来处理个人数据,因此GDPR将数据控制者和数据处理者两者区隔,规定由数据控制者承担最终责任,数据处理者仅依其与数据控制者达成的协议承担合同责任。没有相应数据控制者的事先约定或一般书面授权,数据处理者不能与另一数据处理者通信以帮助其履行特定合同。数据控制者和数据处理者应当采取各类适当的技术性和组织性措施,建立专业化、标准化的流程以确保并证明符合GDPR的规定[13]。具体责任包括六个方面:一是数据处理活动记录义务;二是数据保护影响评估义务;三是事先协商义务;四是数据泄露报告及通知义务;五是安全保障措施义务;六是针对数据处理者增加了协助数据控制者履行其法定义务的要求,以及处理服务终止时,数据处理者应删除数据或向数据控制者返还数据的义务。数据处理者若擅自超越数据控制者的授权开展处理行为,则会被视为自行决定处理的目的和方式,从而承担数据控制者所有的义务和责任。相较于1995年颁布的《关于个人数据处理保护与自由流动指令》(以下简称《95指令》),GDPR加重了数据控制者和数据处理者的责任和义务。
区块链中决策和数据处理的分散化与GDPR对数据控制者与数据处理者的责任规定存在相悖之处,其去中心化属性难以确定谁对GDPR中定义的角色和职责负有责任。区块链系统包括开发者、矿工、用户等多元主体,底层协议开发者所提供的服务虽然没有商业价值,但其掌握着代币的分配权力,并且依靠内在的激励机制形成了区块链的生态核心。2019年2月15日,中国开始施行首部规范区块链技术应用的法规《区块链信息服务管理规定》,其第2条将区块链信息服务提供者界定为“向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织”。该定义虽然有助于扩张规制范围,但因未对区块链信息服务提供者进行类型的细分,使得规制缺乏针对性。此外,该规定中所涉行为的内涵也过于宽泛,涵盖与区块链相关的信息传递与交换的服务行为,包括区块链本身的技术开发行为,区块链代币及相关的发行、交易、流转等行为,以及大量区块链技术与实体经济相结合的落地应用。因此,有必要在区块链信息服务提供者中识别区块链数据控制者与数据处理者,促使义务和责任在两者之间进行公平、有效的划分。
现行数据保护立法与区块链冲突的实质在于权利保护方式和逻辑上的差异性。GDPR以及《网络安全法》《中华人民共和国国家标准GB/T 35273—2020 信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)是根据数据以集中方式管理的假设而制定的。因而,在发生不合规的数据处理行为时,监管机构将通过识别可确定身份的公共或私人机构,以确定责任主体。然而,区块链技术实现了“去信任化”,使人们在合作过程中的信任对象由人和第三方机构转移至区块链这一共识机器。区块链并不存在一个管理系统和存储/处理数据的中央机构。相反,区块链是由节点网络共同管理的分布式账本系统,每一个节点代表一个参与者,并保留一个区块链分类账本的副本。从某种意义上来说,在区块链环境下,GDPR规定的数据控制者和数据处理者被共识机制和密码学技术所取代[14]。根据GDPR第4条来确定区块链的责任主体并非易事,考虑到每个节点对分布式账本的影响有限,将GDPR下的相关义务强加给节点参与者显然有失公平,也不尽合理。
(二)区块链难以满足现行数据权利的行使要件
在数据主体权利方面,GDPR规定了数据主体的“知情同意”原则,保留、细化并扩展了《95指令》的查阅权、更正与删除权、反对权以及免受自动化决策权等内容,增设了限制处理权、可携带权,其中最大的亮点是关于被遗忘权的规定。GDPR第16条规定了数据主体的修改权,即数据主体有权要求控制者无不当延迟地修改其不准确的个人数据。第17条规定了数据主体的被遗忘权,即数据主体有权要求数据控制者无不当延迟地删除其个人数据。为加强线上环境的被遗忘权,删除的权利应扩大至个人数据的任何链接、复印件或者复制品。被遗忘权体现了一种动态的利益平衡,随着时间推移,数据的披露、处理和使用价值会逐渐降低,继续公开数据会给数据主体带来不利影响,因而赋予数据主体可将该数据予以删除的权利[15]。GDPR以被遗忘权为特色的个人数据保护体系,体现了保护个人隐私的立法价值,但却与区块链的技术特征相冲突。区块链解决去中心化信任的关键功能在于数据的不可篡改性。一旦信息经过验证并添加至区块链,就会永久存储,除非能够同时控制住系统中超过51%的节点,否则单个节点上对数据库的修改是无效的,因此,要从区块链分类账本中删除数据需要篡改整个链条才能生效,这将违背区块链技术所基于的一项基本原则,即不可逆转与不变性。换言之,当区块链环境下的数据控制者面对数据主体主张行使被遗忘权时,将陷入两难困境:一方面,数据控制者应遵守GDPR赋予的法律义务,否则将面临数额巨大的行政罚款和严格的问责制;另一方面,如果遵循法律规定,进行了数据删除,将会破坏区块链的一致性,进而损害区块链的可靠性和信任基础。
除此之外,严格受限的数据出境规则,也对数据跨越地理和管辖空间的自由流动造成了障碍。根据GDPR第45~50条,除少数例外情况,欧盟境内的个人数据只允许流入欧盟认可的能够提供“充分保护”或“适当保障措施”的国家或地区。GDPR规定了多元化的跨境数据传输方式,分为“基于充分性决定的传输”“提供适当保障措施的传输”“特殊情况下的例外传输”三大类。立法目的在于不损害欧盟公民个人信息保护权的前提下,为数据在欧盟成员国之间以及欧盟与第三国、国际组织之间的流动提供便利。然而,GDPR引入的诸多权利和限制与现有全球计算机网络和数据库的运作方式相矛盾。区块链特别是公有链网络通常是一个跨境系统,整个系统的运作规则公开透明,系统中节点之间的数据交换也无需相互信任。利用区块链技术构建跨境贸易平台将贸易、物流、支付各环节信息上链,一次提交,全链共享,建立可信任和可追溯机制,这将为跨境贸易产业链上的企业带来诸多便利,提高交易效率并降低交易成本。区块链为用户提供了相较于以往技术更多的个人控制权,预示着与大数据及其开发相关的商业实践的范式转变,因此,有必要在充分研究区块链隐私保护方案的基础上,实现数据隐私保护与数据应用之间的平衡。
(三)区块链与传统数据权利保护模式存在不兼容性
目前,各国对个人数据的保护主要基于人格权的思路,分为两种模式:一是基于传统隐私权保护的美国模式。随着技术发展不断扩大隐私权的范围,客体是信息背后的人格权益。二是基于被遗忘权的欧盟模式,将个人数据视为独立的财产权利进行保护。前者注重事后救济,后者主张事前预防。GDPR第25条规定了数据控制者通过设计及默认方式实现数据保护的义务,要求以行业现状,执行成本,数据处理的性质、范围、内容、目的以及数据处理行为将对权利自由产生的影响程度作为考量因素,在确定数据处理手段和进行数据处理时,采取假名化等能够有效实现数据保护原则的技术性和组织性措施。数据控制者应对系统进行预先的规则设置,确保默认情形下数据处理严格依照必要性原则,以满足合规要求和保障数据主体权利的目标。
按照上述设计和默认数据保护(Data Protection by Design and by Default)的义务要求,数据控制者和数据处理者在开发、设计、选择和使用应用程序、服务和产品时,就应当考虑数据保护,并确保责任主体能履行其数据保护义务。数据控制者应当证明,在设计的早期阶段就开始关注数据保护,如果在产品研发后期乃至上市后才开始关注GDPR合规性,可能会导致不必要的成本甚至违规风险。然而,区块链的一些特性是该技术开发方式所固有的,难以满足GDPR的这一要求。由于区块链中的交易是建立在账本公开验证的基础上,因而既要考虑隐私保护的安全性,又要考虑法律监管的有效性,即先要保证存储的数据不被篡改,而后利用哈希函数功能进行数据匿名化,再利用RSA算法进行数据非对称加密及数字签名,以保证数据的隐蔽性、安全性和完整性[16]。就目前区块链技术的发展现状来看,还无法实现默认的隐私保护功能。区块链的公开账户体系,像Bitcoin(BTC),Ethereum(ETH)以及其他一些主要的区块链项目,则采用公私钥账户体系,公钥用于确定地址,私钥用于发送虚拟货币和签署交易[17]。用公钥地址取代真实身份信息,相较于传统账号,具有较好的匿名性,但是用户地址下的交易信息可能被关联到真实身份。此外,嗅探网络和量子计算机技术的发展对私钥的安全性也造成了极大的威胁。倘若通过存储在区块链分类账本中的事务性数据条目来识别用户,这将与GDPR个人数据处理原则之完整性与保密性原则不符。GDPR第32条 明确规定,数据控制者和数据处理者应当保证处理系统和服务具有持续保密、完整、可用和自我修复的能力,以及及时恢复个人数据的可用性和访问能力等,还应当定期测试、评估,以确保处理过程的安全性和组织措施的有效性。区块链在设计上强调数据的共享与透明,如何在建立去中心化技术信任的同时满足对数据主体的权利保护和操作权限的控制,是区块链商业应用落地过程中需重点解决的问题。此外,区块链的单点记入、全网同步功能也与GDPR中的数据最小化原则相矛盾。按照GDPR中的数据最小化原则,数据控制者应当只是处理满足目的的必要数据,而不得超出范围,然而在区块链特别是公有链中,每个节点的数据维护都会实现自动同步,且并不限制访问。
四、区块链与个人数据权利保护耦合的路径选择
区块链作为一种技术解决方案,本身不提供隐私保证,而是通过去中心化、分布式记录账本的架构来实现数据自决权。这一技术革新所追求的目的在于通过去中心化的实际应用,促进数据的自由流动,同时确保数据安全[18]。区块链的技术优势如链上数据的存储和可溯源服务,有助于满足GDPR可问责性原则和数据完整性原则的要求。因此,从目标价值上来看,区块链和GDPR都致力于实现数据主体的信息确定性与安全性,使个人能够控制自己的个人数据,并允许个人仅与受信任者共享此类信息。这也是区块链与个人数据权利保护耦合的法理基础。换言之,区块链和GDPR具有加强数据安全和隐私保护的共同目标,只是两者在如何实现这一目标上存在分歧,即以GDPR为代表的现行个人数据保护法是为数据孤岛时代的集中式数据管理而设计的,而区块链的去中心化模式难以简单归入个人数据保护法的规制范畴。为了更好地协调及缓和区块链与个人数据保护法的紧张关系,结合目前司法实践中面临的主要障碍,笔者建议从以下三个方面探索和挖掘在区块链环境下个人数据权利保护的有效路径。
(一)责任主体界定规则的构建:抽象主导与具体补充
责任主体之所以难以界定,主要在于现行立法对区块链多元主体身份的识别存在理论和实践认识上的差异。区块链作为一种共识机制,去中心化的意义在于没有一个组织或个人对全链信息的真实性和完整性承担责任,所有参与节点只是基于对技术与规则的信任达成共识[19]。《网络安全法》用“网络运营者”的表述指代数据处理主体,具体指网络的所有者、管理者和网络服务提供者。《个人信息保护法》对责任主体使用的是“个人信息处理者”这一概念,包括“自主决定处理目的、处理方式等个人信息处理事项的组织、个人”。此外,增加了对基础性互联网平台个人信息保护义务的内容。《区块链信息服务管理规定》采纳的是划分为“区块链信息服务提供者”与“区块链信息服务使用者”的类型化处理方式,明确将“向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织”纳入责任主体范畴。从中国现行立法来看,对数据处理主体均采用的是相对模糊化、具有广泛性的术语,以期将实践中可能出现的数据主体都纳入其中,增强监管的有效性。然而,扩大性解释带来的弊端是给责任主体的确定带来了相当大的复杂性,很难确定链上节点的确切数目、位置和身份。同时,节点只能看到加密或散列的数据,几乎无法对数据进行更改,故无法履行个人数据保护的义务要求。相比之下,欧盟对于数据处理主体采用的数据控制者与数据处理者的二元划分法更具针对性,更能准确识别责任主体的身份属性,也更能适应互联网主导下的数据处理架构。
GDPR通过对数据决策权的判断将数据控制者与数据处理者相区隔,进而确定两者的义务体系,包括居于指导性地位的原则义务、在通用场景下的一般 义务以及遵循“风险预防规则”要求在特定场景下的具体义务。GDPR采用了“基于风险的进路”(Risk-based Approach),强调从“数据处理行为的性质、范围、环境、目的以及对自然人权利和自由带来的风险和损害的可能性与严重性”出发,构建不同规则,促使法律义务从自上而下的外部强制转化为责任主体的自我执行。在保证概念界定本身的准确性与科学性的同时,也确保了制度适用的涵盖性和适用性。
区块链按准入机制可分为三类:公有链、私有链和联盟链。私有链一般会设置一定的准入机制和中心化管理机制,如需要经过运营主体的同意方可加入、设置交易数据的查看权限和设立管理员干预交易数据的存储等。因此,在私有链环境下,界定数据控制主体和数据处理主体相对轻松。难点在于判断公有链或联盟链上的责任主体。2018年11月6日,法国国家信息与自由委员会(CNIL)发布了《区块链和GDPR:在个人数据环境中负责任地使用区块链的解决方案》。该文件区分了三种区块链节点:访问节点(Accessors)、参与节点(Participants)和矿工节点(Miners)。访问节点,是指有权查阅并持有区块链副本的节点;参与节点,是指有权在区块链上写入请求验证交易的节点;矿工节点,是指通过共识机制来验证交易并打包区块,以便区块链社群接受该交易与区块的节点[20]。在公有链环境下,参与节点依据共识机制创建交易并将其广播给全网节点,由矿工节点对交易进行检验与打包;访问节点仅有下载检验区块并将其纳入区块链副本之权;只有参与节点有权决定个人数据的处理目的与处理方式,应被视为数据控制者。相较于公有链,联盟链的去中心化程度更低,只有少数节点拥有写入权限,而且联盟链的参与节点一般为法人与非法人组织[21]。对区块链环境下数据处理者的识别,可以参考中国《个人信息安全规范》第8.1条对个人信息受委托者的义务规定,包括严格按照数据控制者的要求处理个人信息,事先征得数据控制者的授权,协助数据控制者响应个人信息主体提出的数据主体权利请求等。依据区块链共识机制的设计,参与节点将交易向全网节点广播时,往往会附上一定的手续费作为激励,由最先完成交易与区块打包并得到全网节点认同的矿工节点获得。因此,最早完成特定行为的矿工节点可视为数据处理者。此外,智能合约的开发者按照参与节点的需求编写代码程序,实现合同的自动执行,也可视为区块链环境下的数据处理者。
(二)数据权利行使条件的完善:引入多元化的利益平衡机制和隐私保护方案
GDPR作为“世界史上管制最严”的个人数据保护法规,强调了数据主体对数据处理过程的知情、参与和控制,然而数据主体却未必能对数据本身的价值进行清晰的评估,数据主体对数据予以反对、撤回同意或者设置法律规定的合法“障碍”,可能会对技术产业发展带来严重影响。除个人权利外,数据保护还有其他维度的政策目标,如安全、风险防范、产业政策等[22]。中国的《网络安全法》《个人信息安全规范》《个人信息保护法》《中华人民共和国数据安全法》除了个人权利保护的层面,更重要的是反映了立法者对于超越个人的安全和利益的关切。在数据权利行使条件的规定上,需要考虑中国的诉求和价值取向,以审慎的态度对GDPR中过于严格、机械的同意原则和配套体系进行系统性思考,秉持对产业发展更加友好和开放的态度,保持规则的动态和弹性,更多采用自下而上、分布式的规则产生机制。
作为GDPR中最引人注目的规定,被遗忘权的设计引发了广泛争议。为了平衡被遗忘权与其他权利的关系,GDPR对被遗忘权的行使范围进行了限制性规定,即为了行使言论和信息自由权,或为了遵守欧盟或其成员国的法定义务,或为了公共利益执行职务,或为了公共卫生领域的公共利益,或为了科学或历史研究的目的,或为了法定请求权的确立、行使和抗辩等,数据控制者可以不予删除数据。目前,各国对被遗忘权的适用仍然是审慎的,需要进行利益衡量。中国的《网络安全法》第43条、《民法典》第1036条、《个人信息保护法》第47条均对个人信息处理的删除权进行了规定。在任甲玉与百度公司名誉纠纷案中,法院也强调了“任甲玉依据一般人格权主张被遗忘权,必须证明其在该案中的正当性和应予保护的必要性”③。
作为一种承载社会利益分配的经济理性的中立技术,区块链不会改变现有的规制环境,无论是采用技术和市场主导的自主规制,还是引入国家主导规制,抑或采用多利益相关者的核心管理,都不可避免地需要引用现有的规制框架[23]。因此,有必要调整区块链技术,重新设计与数据权利保护立法相契合的隐私保护方案。例如,采用链下存储数据、链上存储散列值、零知识证明、同态加密算法、变色龙哈希函数和在私有链中基于角色设置控制访问权限等方式来满足监管要求。其中,被提及较多的方案是通过删除基于哈希函数的密钥而非删除数据来实现与现行立法的兼容性。因为删除密钥将无法识别数据主体,从而达到与删除数据一致的目的,抑或将个人数据保存在链外环境中,个人数据的真实性可以通过区块链网络中存储的相关哈希函数来验证,协议允许删除链外存储器上的个人数据,而不必破坏链的一致性和完整性。此外,如果区块链架构的设计使得公钥符合匿名信息的定义,即确保任何非链式个人数据安全加密,并且解密不可用于允许与公钥重新关联,则可以免除GDPR的要求,包括删除权。鉴于智能合约是透过储存于区块链内的软件程式码来自动执行合约,其固有的“刚性”恐怕无法有效保障数据主体的权利诉求。因此,数据控制者应在技术设计上保留人工干预的可能性,其基本模式是产生删除个人数据的需求—提出申请—审核—驳回请求/执行请求,从而达成一种契约关系,为数据主体寻求事后救济手段提供空间和渠道。
此外,尽管区块链、数据深度挖掘及可视化等新兴技术极大提升了数据资源的存储规模和处理能力,但由于系统安全边界模糊,分布式节点之间和大数据相关组件之间的通信可能产生新的安全漏洞,并导致用户数据隔离的困难。为此,有必要实施更细粒度的访问控制,提升加密和密钥管理能力,打破传统基于安全边界的防护策略,从而保证数据安全。
(三)数据权利保护模式的优化:事先预防与事后评估机制相结合
随着传统社会向风险社会的变迁,个人信息保护模式也由权利保障向安全保障转变。这一转变主要体现为风险控制的积极预防性取向、意图保护扩张的法益普遍化趋势、基于问题解决的处罚早期化现象和重建规范信赖的立法象征化四个特点[24]。GDPR在数据权利保护模式上借鉴了“风险规制”(Risk Regulation)框架,采纳了数据风险管理的理念,建立了数据保护影响评估制度。《个人信息保护法》第51条也明确引入了风险管理理念,建构出个人信息安全风险监测、风险评估、风险监督管理和风险交流在内的全套机制,以期替代传统路径中“全有全无”的判断,凭借程序性量化,提升数据保护的有效性,促进数据的合理利用,并确立了个人信息处理者的合规审计制度。《民法典》也首次规定了隐私权和个人信息的保护原则,这不仅是对既往数据治理实践的经验总结和制度确认,更是为数据权利保护的未来发展塑造了秩序框架。然而,文本共识并不必然意味着实践,《民法典》中规定的个人信息保护制度还存在着不少未决的关键问题,对此,不仅需要在理念上达成共识,更需要在制度与技术层面形成自洽的内在逻辑和与外部环境相兼容的规范体系。
中国个人数据权利保护模式的优化,除了需要在事前形成完善的数据管理制度,还应侧重事中及事后的保护和救济,在评估是否应当适用罚款和确定罚款金额时,应当考虑以下因素:一是违法的性质、严重性与持续时间;二是数据控制者和数据处理者的主观状态,即基于故意还是过失;三是数据控制者或数据处理者为减轻数据主体损失而采取的行动;四是与监管机构的合作程度;五是监管机构得知违法行为的方式等。通过建立非诉纠纷解决、在线纠纷解决以及公益诉讼等制度减少数据主体的维权成本,畅通维权渠道。随着区块链在数据要素市场的应用,数据安全风险也逐步爆发,数据权利保护机制的设置若不合理,恶意节点就可能利用漏洞进行双花攻击,修改与披露区块链信息。为了更好地构建中国区块链环境下个人数据保护体系,笔者建议从以下三个方面来加以完善。
首先,对上链数据进行类型化甄选,采用分类分级保护思路,提高区块链的存储效率。区块链是关于通证(Token)的分布式账本,通证是可流通的加密数字权益证明,本质上是区块链内定义的状态变量。区块链内的数据既有与通证及其交易有关的数据,又有与通证及其交易无关的数据。从技术上来看,受制于区块链内的存储容量限制,与交易无关的数据往往只能以哈希摘要形式写入区块链,哈希摘要上链的主要作用是存证,为存放在本地设备或云端的原始数据增信[25]。如果要将个人数据纳入区块链应用程序,应当区别一般数据与特殊数据(敏感数据)。对于一般数据,应考虑其在社会中的作用并根据比例原则合理充分利用;对于特殊数据(如基因数据、生物特征数据、健康数据等),应予以特别保护。《个人信息保护法》第2章第2节专门规定了“敏感个人信息的处理规则”,强调“个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息”。针对区块链特殊数据的保护途径可以分为两个层面:一是在账本数据传播范围上,通过引入通道和私有数据集限制数据明文的流转范围,设置区块链组织参与方对于数据的访问权限;二是 在业务层设置数据上链方式,如采用对称与非对称加密、同态加密等方案,解决数据隐私和链上透明性问题。
其次,明晰区块链数据资产的权属和数据收益权的合理分配。数据权属是数据利用和流通以及数据产业化的逻辑起点。数据资产所有权的归属决定着数据价值利益的分配以及对数据质量、安全责任的划分。区块链支持溯源问责的数据获取和共享,并结合策略承诺(Policy Compliance)、违反检验(Violation Detection)和隐私审计(Privacy Audit),为评估监管数据和解决数据确权问题提供技术支持。《个人信息保护法》通过强化个人信息自决权,对数据处理从收集、使用到删除进行了全方位规定,使个人信息处理者获取个人数据的困难剧增,控制个人数据的能力降低。数据资产权属面临的法律争议点主要集中于四个方面,即数据公共性和财产化的冲突问题、数据垄断的风险防范问题、数据财产权的保护范围问题以及数据赋权方式问题[26]。个人信息保护究竟是纳入消极意义上的隐私保护范畴还是积极的财产权保护范畴,即个人信息自决权到底是人格权还是财产权,有关这一问题目前还未达成共识,也未能形成普遍的认知和实践做法。就数据保护法的法益而言,不宜把个人信息自决权解释为财产权意义上的支配权,其主要目的是保护个人人格尊严和隐私利益,而非让个人支配个人信息并获取经济利益[27-31]。数据资产的保护路径应在事实财产实践的基础上,取得法律认可,以演进出一套平衡数据持有人(保护私人利益)和数据自由流动(保护公共利益)的法律规则。为此,采用区块链数据资产管理是实现数据价值的现实选择。依赖于区块链技术的无信任系统和去中心化,有助于在数据采集层、服务层、分析层和应用层提供数据查询、数据交换和数据共享等功能,从而提高数据资产管理的效率,促进大数据应用及后续商业价值的实现。
最后,完善个人数据保护的事后救济机制。从目前中国数据主体个人信息权益受到侵害的救济途径来看,主要有向监管机关申诉、向侵权人或者违约方提起民事诉讼以及针对监管机关具体行政行为的行政诉讼,并建立了公益诉讼制度。《区块链信息服务管理规定》第19~22条明确了对区块链信息服务提供者的违规处罚,包括警告、责令限期改正、暂停相关业务、罚款等,构成犯罪的,依法追究刑事责任。从内容上来看,仍然以沿袭《互联网信息服务管理办法》《网络安全法》为主,并没有专门涉及个人信息保护的规定。传统的管制型监管模式无法适应区块链应用场景下的数字交易,跨地域交易及信息传递会产生跨地域监管的需求,各地监管政策的差异又将引发部分投机者利用监管漏洞套利。区块链的分散化、技术性、匿名性等特点增加了数据主体在证据保全和公证上的难度和维权成本。鉴于此,笔者建议,推进在线纠纷解决机制,充分利用溯源应用、沙盒监管、共识算法、开源社区、智能搜索、模式识别等研究成果,在司法领域创新事实认定方法,在线解决跨地域的互联网纠纷,令数据主体权利受到侵害时能够得到更加专业、高效的法律救济。
五、结语
区块链作为一种基于去中心化数据治理模型的技术,通过采取非对称加密算法为系统整体提供数据保护,为数据提供完整的证据链和可信任的追溯方式。采用的时间戳的链式区块结构能够在保证数据高度公开与透明的同时,有效保护参与者的个人隐私。然而,区块链的技术特性也决定了其无法满足基于中心化监管理念设计的现行数据保护立法的要求。权力下放带来的分散化给责任主体的识别带来潜在困难,隐私友好型的技术方案又可能造成有效监管回应的缺失,从而加剧社会脆弱性。透过对数据权利保护的正当性基础之分析,结合以GDPR为代表的数据保护立法在区块链环境下的法律适用困境,提炼总结区块链技术与个人数据保护耦合的路径选择,是保障中国大数据产业安全有序发展的重要突破口。法律乃区块链之友,而非区块链毁灭之根源。唯有秉持理性审慎的态度,方可化技术幽灵为算力之美。因此,需要构建与个人信息保护法兼容的区块链解决方案,以应对区块链的多元主体身份进行识别,并引入多元化的利益保护机制与隐私保护方案,纳入多元救济手段,明晰数据资产的权属,以构建区块链数据保护的协同治理机制。
注释:
① 使用“个人数据”称谓的主要是欧盟及其成员国,如1978年法国《资料保护法》、2016年欧盟GDPR;使用“个人隐私”称谓的主要是普通法国家,如1974年美国《隐私权法》、1987年加拿大《隐私权法》;使用“个人信息”称谓的主要是1978年奥地利《信息保护法》、2005年日本《个人信息保护法》及2021年《中华人民共和国个人信息保护法》。
② 匿名化(Anonymization)和假名化(Pseudonymization)的区别在于:匿名化是指将个人数据移除可识别个人信息的部分,并且通过这一方法,数据主体不会再被识别。匿名化数据不属于GDPR和《中华人民共和国个人信息保护法》的个人数据,享有个人数据保护规范的豁免权。假名化数据则可被识别身份的风险相对较高,用假名化数据而非真实身份来标注数据,假名化数据结合特定信息便会恢复身份属性,属于GDPR和《中华人民共和国个人信息保护法》的个人数据范畴。在监管实践中,两者往往通过“有动机的攻击者测试”(A Motivated Intruder Test)来判定。
③ 参见:北京市第一中级人民法院(2015)一中民终字第09558号民事判决书。