李有星

(浙江大学 光华法学院，浙江 杭州 310008)

2019年10月，中共中央政治局就区块链技术发展现状和趋势进行第十八次集体学习，习近平总书记在学习时强调，要把区块链作为核心技术自主创新重要突破口，加快推动区块链技术和产业创新发展(1)《习近平在中央政治局第十八次集体学习强调 把区块链作为核心技术自主创新重要突破口 加快推动区块链技术和产业创新发展》，2019-10-25，http://www.xinhuanet.com/politics/leaders/2019-10/25/c_1125153665.htm。。区块链技术已经成为未来信息技术发展的一个重要方向，相关技术应用已延伸到数字金融、物联网、智能制造、供应链管理、数字资产交易以及个人信息处理等领域(2)《个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。。比如，基于区块链技术的征信系统依法收集、加工、公开自然人信用信息，并对外提供信用报告、信用评估和信用信息咨询等服务。区块链被认为承载着解决个人信息利用的伟大使命，可以在促使信息革新的同时有效解决个人信息保护问题。然而，区块链技术的去中心化、不可篡改、不可删除等特性，给《民法典》《个人信息保护法》等法律规定的个人信息删除与更正行为带来了技术上的困难，也引起了个人信息保护中删除权与更正权实现问题的争议。如疫情期间，有关部门为有效解决人员管理、登记、病例溯源的问题，通过区块链系统，将行为人的活动信息、健康信息、访客行程等个人信息“上链”整合，形成居民行踪轨迹，应用于健康码生成、病例溯源和排查等防疫管控工作。但是个人信息一旦“上链”，个人的身份、健康等信息的删除、更正就成为问题，若涉及个人隐私、敏感信息等，可能还会对当事人的合法权利构成侵害。2021年8月20日通过的《个人信息保护法》第四十六条、第四十七条赋予个人信息删除和更正的权利，个人有权请求个人信息处理者更正、补充、删除相关个人信息(3)《个人信息保护法》第四十七条规定，有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：(1)处理目的已实现、无法实现或者为实现处理目的不再必要；(2)个人信息处理者停止提供产品或者服务，或者保存期限已届满；(3)个人撤回同意；(4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息；(5)法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。。在区块链技术广泛应用的背景下，如何充分保障个人信息删除权和更正权的有效实现，成为亟须解决的法律问题。

一、个人信息删除权与区块链技术 不可删除之间的矛盾

区块链技术在写入和读取数据的安全性、公开透明性、加密性上具有优势，但也存在区块链不可撤销、可溯源性与个人信息删除、更正等权利之间的冲突(4)张涛、王珊：《区块链保护个人信息存“两面性”》，《通信世界》2018年第13期，第21页。。在数字技术时代，个人信息在客观上不能删除或者不适宜删除、更正的情况普遍存在。

维克托·迈尔-舍恩伯格认为，由于数字技术与全球网络的发展，遗忘成为人们的例外，而记忆成了常态，在大数据时代，所有人都将被数字化后进入数字版的“圆形监狱”，时时刻刻地受到监视(5)维克托·迈尔-舍恩伯格著，袁杰译：《删除：大数据取舍之道》，浙江人民出版社2013年版，第6-18页。。在互联网时代，个人信息一旦在网络中被大量传播，要想彻底删除或更正在理论上是难以做到的。由于互联网的特性，即使信息已被移除，该信息的副本仍可以从网页快照等高速缓存或镜像站点中获取。即便用户有权向这些二次站点主张移除信息，但让用户识别出控制、管理这些副本的网络服务提供商相当困难。对于网页快照等高速缓存而言，或许用户还能通过搜索引擎公司提供的线索，准确定位到信息副本的服务提供商，而搜索引擎公司为了避免责任追索，一般情形下也愿意合作(6)李媛：《被遗忘权之反思与建构》，《华东政法大学学报》2019年第2期，第57-67页。。但对于很多镜像站点，用户难以追踪，搜索引擎公司也没有相应权限去追索，更不可能完全追索全部的镜像站点，尤其是在这些站点服务器设置在域外的情形之下。

此外，区块链技术还有自身的特殊性，上传于非许可链(公有链)或其他具有开放特性的区块链系统中的个人信息，将在客观上无法被删除、更正。以比特币、以太坊为代表的非许可链(公有链)应用，在数字货币、智能合约等领域发挥了巨大作用(7)闵新平、李庆忠、孔兰菊等：《许可链多中心动态共识机制》，《计算机学报》2018年第5期，第1005-1020页。。由于非许可链是典型的去中心化分布式记账系统，是一个交易驱动的状态机(state machine)，其特点就是全网络节点共同维持一个账本的状态，含有交易信息的区块必须得到系统中大多数节点的认可才是“合法”有效的。任何对区块信息的篡改都会因为与总账本状态的不同而不被认为是“合法”的，由此维护全网络状态的一致性和不可篡改性。区别于联盟链和私有链等许可链，以公有链为代表的非许可链或者其他具有开放特性的区块链系统，对所有同意区块链协议的网络节点开放，没有任何节点可以直接控制区块链上的信息。由于系统的开放性，这些节点可能来自世界各地，互不相识，甚至大部分都是匿名的，想要凭借共识机制来删除、更正区块信息，就更加难以做到。这意味着，一旦相关个人信息被包含在区块内并“上链”，就难以被删除或更正，直到最后一台参与区块链的服务器被销毁为止。实际上，区块链上发布出去的个人信息，就如同传统纸质媒体上的信息，报刊纵有侵犯个人信息的地方，但因为已经完全被散发出去，落入千家万户，也就难以从根本上彻底删除或更正。

从计算机技术实现的角度看，区块链的不可篡改性具有相对性，事实上也没有任何信息是绝对不可修改、不可删除的，典型的例子就是以太坊The DAO事件后采取的硬分叉措施(8)硬分叉(Hard Fork)就是通过修订协议引入新的特性，使前一版本的协议失效，即运行新版协议的节点认定为有效的区块，会被运行旧版协议的节点认定为无效，从而使已经升级的新节点和没有升级的老节点在各自协议版本下扩展不同的区块链分支。软分叉(Soft Fork)就是不修改协议，只是在现有的验证规则中加入一些新的特性或条件，使得验证规则更为严格，这样就使得老的节点会接受所有区块，而新的节点会拒绝一些区块，可以避免硬分叉所造成的永久分裂。参见阿尔文德·纳拉亚南等著，林华等译：《区块链：技术驱动金融》，中信出版社2016年版，第94-95页。。黑客利用以太坊上The DAO项目的代码漏洞，窃取了大量以太币。事件发生后，以太坊开发团队就是通过硬分叉的方法，强行回滚了部分账户的状态，使得黑客利用漏洞转出交易的区块失效，找回了丢失的以太币。但是，在以太坊这样的非许可链(公有链)上采取任何修改、删除区块信息的做法，也必须符合非许可链去中心化的基本共识规则。以太坊开发团队试图凭借硬分叉的方法回滚交易信息，必须得到系统中51%以上算力节点的认可，事实上当时有85%的以太坊算力节点响应并支持了开发团队硬分叉的呼吁。即便通过软分叉的方式修改区块链验证条件，阻止相关信息被后续区块调取，也必须得到区块链网络大部分算力节点的支持。申言之，去中心化的特征意味着在区块链系统中删除、更正信息必须以去中心化的方式实现，而非某个开发者、节点可以决定。因此，在非许可链(公有链)上删除、更正信息是有限制条件的，如果没有获得51%以上的算力节点支持，删除、更正的措施就无法实现，而这一条件的实现将随着区块链网络节点数量的增加而愈发困难。此外，这种分叉的措施也存在着客观上无法彻底删除相关个人信息的情况，除非所有节点都同意分叉并在新链上挖矿，否则只要有一部分节点不同意分叉，并且继续在另一条分叉链上挖矿，相关个人信息也还会在该分叉上继续存在(如以太坊ETH和以太经典ETC的分裂(9)以太坊开发团队通过硬分叉的方式避免黑客盗取大量以太币，但这种人为强行回滚的做法也遭到了许多以太坊用户的反对，认为此次人为主导的硬分叉是对以太坊去中心化理念的彻底背离，不同意硬分叉而选择在原有链上继续贡献自己的算力。这就使得以太坊分裂为了ETH和ETC，黑客盗取以太币的交易信息在ETC上继续被认为“合法”有效。)，客观上根本无法删除和更正。

类似删除和更正成本极大、不适宜采用的情况，在许可链中更为常见。所谓不适宜删除或更正，是指相关个人信息在客观技术上可以实现删除或更正，但是因为技术或网络服务的特殊性，直接简单删除或更正、补充相关信息会大大增加社会成本，超出保护权利的合理限度。事实上，区块链技术的发展已经提出了几种在区块链应用中删除和更正个人信息(或者达到类似程度)的技术方案。比如，上文提到的交易记录回滚、分叉就是删除最常用的方法，更正则可以采用新区块信息取代旧信息的方法。虽然技术方案可以满足自然人删除和更正个人信息的请求，但也面临着巨大的社会成本。以最常见的联盟链为例，在联盟链中应用回滚的方式删除或者更正个人信息，首先需要解决有权记账节点如何达成共识的问题。虽然联盟链可能会有发起人、牵头人甚至有大型的全节点、服务器集群，但没有一个联盟成员可以直接支配区块链上的数据信息，可以不经过全联盟的共识机制肆意删除、修改相关信息，否则就失去了联盟应用区块链技术解决信任问题的意义。因此，联盟链上删除或修改个人信息首先需要解决共识问题，任何独断的、中心化的控制都会与区块链技术本身的价值相背离，动摇区块链技术应用的基石。其次，如何处理相关交易和时间戳，是删除、更正特定个人信息的最大成本所在。在区块链中，每一个区块都会包含许多信息，个人信息连同其他交易信息被打包装入一个区块，并进行某种形式的哈希算法得到一个哈希值，这一哈希值又会被包含在后一个区块的块头中，从而形成前后相连、相互印证的“默克尔树”(merkle trees)数据结构(10)“默克尔树”(merkle trees)是一种用哈希指针建立的二叉树数据结构。在“默克尔树”数据结构中，所有数据区块都被两两分组，指向这些数据区块的哈希指针被储存在上一层的父节点(parent node)中，而这些父节点再次被两两分组，并且指向父节点的哈希指针被存储在上一层父节点中，一直持续这个过程，直到最后到达树的根节点。任何篡改“默克尔树”中数据区块的行为，都会导致上一层的哈希指针不匹配，最终传递到树的顶端，致使任何企图篡改数据的行为都会被检测到。参见阿尔文德·纳拉亚南等著，林华等译：《区块链：技术驱动金融》，中信出版社2016年版，第16-17页。，任何对区块内信息的删除、修改都必然会影响到其他区块。此外，每一个新区块的产生都会被打上时间戳，区块链就是这样一条由时间上有序排列、前后关联的区块组成的链条。任何删除、更正区块信息的行为，必然要改动前一个区块的哈希值、当前区块的目标哈希值、默克尔根、时间戳、随机数与交易信息(11)袁勇、王飞跃：《区块链技术发展现状与展望》，《自动化学报》2016年第4期，第481-494页。，否则就会造成整个区块链系统的混乱和崩溃。上述技术特征意味着在联盟链中删除、更正个人信息存在巨大的外部性，会损害其他使用区块链技术的客户的合法权益。区块链技术应用规模越大、涉及面越广，所要删除和更正的信息区块时间越久远，产生的外部性就越大、社会成本就越高。

二、区块链技术与个人信息删除权、 更正权冲突的原因

区块链技术与个人信息保护之间的冲突是科技发展和法律制度需要互动的最新体现。具体而言，区块链技术应用之所以与个人信息保护删除权、更正权存在冲突，既有中心化立法思路矛盾、删除和更正概念模糊等法律方面的原因，也有对区块链技术不适当应用等技术方面的原因。

(一)区块链技术去中心化与中心化的个人信息删除立法思路矛盾

关于个人信息保护的法律规定，各国、各地区的立法思路大体具有一致性，都是源于单一的、中心化的信息数据控制人的前提假设。何渊(2020)认为，就个人信息和承载个人信息的数据载体而言，至少有一个自然人或法人是个人信息或数据的控制者、处理者，由此信息权益主体可以直接向该控制者或处理者请求实施删除、更正(12)何渊：《数据法学》，北京大学出版社2020年版，第90页。。比如，欧盟2018年出台的《一般数据保护条例》(General Data Protection,Regulation,GDPR)分别从主体权利要求、数据控制者义务承担两方面，对数据控制者的义务进行详细规定，从而落实数据保护责任。数据控制者和数据处理者是欧盟GDPR相关规定的核心抓手，是保护数据主体权利的主要义务主体。数据控制者是数据保护中主要的义务承担者，被处理的个人数据信息和隐私保护问题相关责任最终应由数据控制者承担(13)李有星、朱悦、金幼芳：《数据资源权益保护法立法研究》，浙江大学出版社2019年版，第38页;第81页。。我国《网络安全法》将保护个人信息权益的义务施加给“网络运营者”，认定收集、使用个人信息的网络运营者为信息控制者；《民法典》第一千零三十七条以“信息处理者”为义务主体；《个人信息保护法》则是“个人信息处理者”。可见，三部法律的基本思路都是相同的，即由对个人信息处理目的和处理方式有决定权的法律主体承担保护个人信息权益的主要义务和法律责任。

无论是欧盟GDPR还是我国个人信息保护相关立法，都只囊括了中心化的数据处理结构，而未考虑到区块链分布式的多中心取代单一决定者的去中心化技术特征。欧盟GDPR将“数据控制者”定义为单独或者联合他人决定个人信息处理目的和处理方式的自然人、法人、行政机关或其他组织。我国《个人信息保护法》第七十三条则将“个人信息处理者”定义为在个人信息处理活动中自主决定处理目的、处理方式的组织和个人。两者大同小异，均强调对信息处理目的和方式手段的决定性作用，但是这种个人信息处理中的决定性作用在区块链技术系统中难以成立。由于立法未考虑区块链技术应用中缺乏中心化的主导控制者和处理者的实际，而传统立法思维设定了个人信息删除、更正的要求，最终导致区块链技术应用与法定删除权、更正权之间的矛盾和冲突。

(二)删除法律概念和删除标准的不明确

删除权是个人信息数据被不当获取或使用时救济制度的体现。目前，删除权的定义没有形成通说，立法上没有形成法定术语(14)李有星、朱悦、金幼芳：《数据资源权益保护法立法研究》，浙江大学出版社2019年版，第38页;第81页。。国内学者采用删除权、消除权、被遗忘权等表达。有关个人信息保护领域中删除权的规定，体现在《民法典》第一千零三十七条：“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。”《网络安全法》第四十三条也赋予个人要求网络经营者删除信息的权利(15)《网络安全法》第四十三条规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。。《个人信息保护法》第四十七条更明确规定了删除权行使的条件。然而，对于最为关键的“删除”的法律概念，《民法典》《网络安全法》《个人信息保护法》均未给出明确定义，且《数据安全法》中也未出现数据删除、更正的字样。

对于“删除”的法律概念，可以从删除对象和删除方式两个层面去理解。就删除对象而言，亦即“删除什么”的问题。这存在两种截然不同的声音：一是删除权指向的对象是数据(16)按照《数据安全法》的定义，数据是指任何以电子或者其他方式对信息的记录。信息删除不等同于数据删除。，即要求删除承载个人信息的数据载体的物理删除(17)物理删除是指文件存储所用到的磁存储区域被真正的擦除或清零，这样删除的文件是不可以恢复的。；二是删除仅要求个人信息的逻辑删除(18)逻辑删除是指文件没有被真正的删除，只不过是文件名的第一个字节被改成操作系统无法识别的字符。通常这种删除操作是可逆的，即用适当的工具或软件可以把删除的文件恢复出来。，并不一定指向对数据的物理删除。就删除方式而言，即“如何删除”的问题，同样存在两种观点。第一种观点认为，删除权指向数据，这种删除基本等同于“擦除”(erasure)。在实现方式上大体有物理毁灭、格式化、覆盖、加密擦除四类，删除的结果指向结束数据的生命周期。欧盟GDPR规定的删除权就是指向“个人数据”(data)以及与之相关的任何链接、副本或复印件，删除的具体表述是“erasure”而非“delete”。第二种观点认为，删除权指向个人信息，因而并不需要彻底擦除数据，凡能使数据不再反映个人信息、断开数据与个人间的关联的技术手段，都属于删除。我国《信息安全技术个人信息安全规范》认为，删除是指“在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态”，并未要求彻底擦除数据。删除标准的不明确，造成了学界和业界的诸多争议。

(三)更正法律概念和实现路径的不明确

个人信息保护法律中的个人信息更正权，在性质上属于保护个人信息圆满状态的一种手段。更正权的行使必然与个人信息权益挂钩。《民法典》赋予自然人请求及时采取更正个人错误信息的权利，即更正以个人信息存在错误为前提。所谓个人信息错误，是指记载的个人信息与实际情况不一致的情形，即记载的个人信息未能准确反映自然人真实的情况，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息以及行踪信息等。

更正常常与删除并列，多以“删除或更正”的用语来表述，但更正容易被人忽视。更正似乎是个不需要过多解释的概念，以至于我国《信息安全技术公共及商用服务信息系统个人信息保护指南》《信息安全技术个人信息安全规范》都只单独定义了删除而没有规定更正的任何具体含义。在现实生活中，个人信息需要更正的情况远较删除普遍，《网络安全法》《民法典》《个人信息保护法》只规定了个人享有的更正权，却没有给出更正的法律定义和实现途径。欧盟GDPR第16条规定了“更正权”(right to rectification)，但也只是以举例的方式规定数据主体有权要求控制者通过“包括如提供补充声明的方式”对其个人信息予以补充，未给出更详细的定义；美国《加州消费者隐私法案》(California Consumer Privacy Act,CCPA)则干脆没有赋予消费者个人信息的更正权(19)Yallen J, Untangling the Privacy Law Web: Why the California Consumer Privacy Act Furthers the Need for Federal Preemptive Legislation, Loyola of Los Angeles Law Review, 2020, No.3, pp.787-826.。实际上，更正的技术实现方式比删除更为多样和复杂，相关法律概念的歧义也更大。按照一般的语义解释，更正就是指更改原有的信息。其技术实现路径则有三种：一是用新的信息覆盖原有信息，二是删除原有信息并且发布一条新的信息，三是不删除原有信息而直接发布一条新信息(并指明替代原有信息)。由于法律未对更正的内涵和外延作出界定，未规定各种更正技术路径效力标准，现实中产生了不少涉及个人信息更正的纠纷。

(四)敏感个人信息领域区块链技术的不适当应用

区块链与当前个人信息保护立法发生冲突的主要原因之一是：现有各国个人信息保护立法均是为由中心化的特定实体控制的数据治理结构而设计的，而区块链技术应用则在不同程度上使用了分布式的数据治理模式。中国、美国以及欧盟的立法最初并未预见到区块链技术的应用会变得如此广泛，也未充分了解不同的区块链应用在数据治理方面的差异(20)Gomez B S J, Risks of Blockchain for Data Protection: A European Approach, Santa Clara High Technology Law Journal, 2020, No.3, p.338.。然而，在承认现有个人信息保护立法与区块链应用之间存在矛盾关系、立法滞后于技术的同时，也必须承认，在当前对区块链技术的追捧中，不断扩大的区块链技术应用已经有部分偏离了该技术的核心功能，在涉及个人隐私、敏感信息的领域未经评估使用区块链技术超出保护个人信息的合理限度，导致个人信息删除权与更正权实现的困难。

在个人信息密集的领域，采用区块链技术应用尤其是公有链技术，如果缺乏相应的信息真实和准确性技术保障，将会是十分危险的区块链技术应用场景。这是因为，这种应用场景注定难以保障当事人个人信息删除、更正权利的实现，从而给自身带来巨大的法律风险。特别是可能涉及敏感个人信息、隐私信息的领域，不能滥用区块链技术。《个人信息保护法》第二十八条规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”因此，基于区块链技术不可删除的特性，其不分场景的无差别适用是造成区块链技术与删除权、更正权矛盾的原因。

三、区块链技术与个人信息删除、 更正规定的协调

区块链技术与个人信息删除、更正的协调需要在保护个人信息的共同价值目标基础上，合理解释法律规则和利用技术手段。通过对现有个人信息保护删除权、更正权立法目的的解释，“追本溯源”地解释相关法律，回应区块链技术与个人信息保护法律的共同价值基础，使得个人信息保护的删除权与更正权可以在法律目的应有的解释范围内合理适用(21)卡尔·拉伦茨著，黄家镇译：《法学方法论》，商务印书馆2020年版，第492页。。

(一)删除权、更正权立法目的在于保护个人信息权益

《民法典》《个人信息保护法》等法律规定，删除权与更正权的立法目的是有效保护个人的信息权利，其实质是保护人格权。个人信息保护的是个人信息处理中的主体权利不被侵犯，包括人之尊严、自由、平等价值，而不是对个人数据的控制、存储或决定权。个人不享有数据控制、存储或决定权，自然没有针对数据的删除权，故删除应指向“个人信息”而非承载信息之数据。个人信息和数据、内容与载体形式相生相伴，难以完全割裂开来，正因如此，才导致学界对于删除权“删除内容”“删除方式”的纠结，也导致人们对删除权与更正权在区块链技术应用中实现可能性的质疑。立法上，删除权的行使前提是“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息”，更正权的行使前提是发现相关个人信息存在错误。因此，当事人主张删除权与更正权是为了保护其个人信息内容上的利益，不是数据的物上利益、财产利益。删除权与更正权行使的利益主要指向当事人个人信息内容，因为相关信息在内容上存在遗漏、错误需要更正或者内容有损于当事人的人格尊严。正是个人信息内容与主体的勾连性，要求任何人在处理个人信息时尊重个人人格尊严和自由，防范个人信息处理对个人主体权益造成威胁和侵犯(22)高富平：《个人信息使用的合法性基础——数据上利益分析视角》，《比较法研究》2019年第2期，第72-85页。。

在删除权与更正权的应用场景中，当事人的删除和更正诉求指向的是个人信息内容不被他人支配(非法、未经授权或者撤回授权)，以减少个人信息被知晓和流通的范围。事实上，当事人并不关心数据的完整性或者存在形式。就救济措施而言，当事人为了保护个人信息而对数据本身提出一定的请求时，应以实现“保护个人信息”为最终目的，而不拘泥于数据的具体处理方式，只要数据作为载体形式不再反映个人信息即可。数据权益人依然可以对那些在内容上不再具备个人信息可识别性的数据享有受法律保护的数据权益。

(二)对删除权的恰当解释和差异化实现

删除权的法益基础在于个人信息权益而非数据权益，可以有差异化的要求和实现路径。美国《数据掮客问责与透明法案》规定，删除权只要求对含有个人信息的数据做模糊化处理，而不要求物理上彻底删除原始信息(23)Voss W G，Renard C C, Proposal for an International Taxonomy on the Various Forms of the Right to Be Forgotten: A Study on the Convergence of Norms, Colorado Technology Law Journal, 2016, No.2, p.338.。在欧盟“被遗忘权”(24)冯银东：《欧盟被遗忘权分析及本土化构建》，《湖南警察学院学报》2019年第6期，第66-71页。第一案“西班牙谷歌案”中，法院要求作为互联网搜索引擎运营商的谷歌公司从根据姓名检索产生的搜索结果中删除指向网页的链接(25)李媛：《被遗忘权之反思与建构》，《华东政法大学学报》2019年第2期，第57-67页。。没有信息是从源头删除的，权利只会影响基于个人姓名获得的搜索结果，不要求删除搜索引擎索引的链接。原始信息仍然可以通过使用其他搜索术语获取，或通过直接访问发布者的原始资料获得(26)徐明利译校：《欧盟法院第C-131/12号“谷歌西班牙公司和谷歌公司诉西班牙资料保护局和西班牙公民马里奥·哥斯德哈·冈萨雷斯”案判决实施指南》，《互联网法律通讯》2015年第2期，第8页。。2012年《欧洲网络信息安全机构安全部门的“被遗忘权”的报告书》对“被遗忘权”给出的定义是：某些信息即使借助技术也不能复原的删除；除非未经授权的第三方非法解密，允许拥有加密的个人数据；只要不显示在已经公布的索引或搜索服务的搜索结果中，认可保存个人数据的选择(27)Robert C P，Data Privacy and Dignitary Privacy: Google Spain, the Right to Be Forgotten, and the Construction of the Public Sphere，Duke Law Journal, 2018, No.5, p.986.。谷歌案的判决结果和欧洲报告书的内容都表明，删除是施加于义务人的“一切合理措施”，而非单一的物理上删除(28)宇贺克也著，杨琴、余梦凝、石龙潭译：《“被遗忘权”的日本司法判例与探析——以搜索服务运营商删除义务为焦点》，《贵州大学学报(社会科学版)》2019年第5期，第49-57页。。

我国在删除权问题上可着重考虑以下三点。一是明确删除定义。在个人信息保护立法和司法解释中，将删除定义为“消除数据与个人信息主体身份的关联性的一切合理措施，以达到不可复原或不可识别主体身份的效果”，如匿名化、不可访问等措施。二是建立一套以无法回溯、关联或识别等实质效果为基准的删除认定标准。删除权范围限定在删除数据与个人主体身份的关联性上，消除数据对数据主体的关联或识别风险。比如，在区块链中最为常用的密钥删除，就可以完全阻断其他有权节点对个人信息和数据的访问。在数据中采用去标识化、匿名化处理，也可使数据与特定个人信息脱钩而不具有可识别性，达到删除的实际效果。三是根据不同情况采取其他等同于“删除”效果的替代措施。《民法典》第一千一百九十五条第二款规定，网络服务提供者“根据构成侵权的初步证据和服务类型采取必要措施”。这就明确了网络服务提供者完全可以根据自身业务能力和性质、法律执行的难易程度采取不同的措施，以达到删除权所要求的权利保护程度。《个人信息保护法》第四十七条也规定：“法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”删除作为权利实现的手段，在不同主体技术和业务能力范围内，可以表现为多种不同的具体措施(29)对于不同类型主体提出差异化的删除要求，已经体现在我国的一些案例中。比如在“杭州刀豆网络科技有限公司与长沙百赞网络科技有限公司、深圳市腾讯计算机系统有限公司侵害作品信息网络传播权纠纷案”中，杭州互联网法院认为，微信小程序服务提供者仅仅提供页面接入技术，并不直接控制和存储相关的信息数据，也没有权限和技术对开发者提供的具体服务内容采取处理措施，“腾讯公司对小程序开发者提供的是架构与接入的基础性网络服务，性质与自动接入、自动传输服务类似，其对微信小程序中的内容无法定位删除，故不应承担小程序部分内容侵权时整体下架小程序的责任”。参见杭州互联网法院(2018)浙0192民初7184号民事判决书。。

(三)明确更正权的内涵及实现路径

更正权是指报刊、网络等媒体刊载的报道内容失实或有关信息控制者记载、公开的信息有误，侵害他人人格权益的，受害人有权请求该媒体或信息控制者及时更正(30)王利明：《论人格权请求权与侵权损害赔偿请求权的分离》，《中国法学》2019年第1期，第224-243页。。 《个人信息保护法》第四十六条规定：“个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。”此处所规定的错误就包括不准确和不完整，更正权相应地也包括更正、补充两类措施。

更正权作为个人信息的保护方式，也应当遵循一定的价值准则。更正的目的是保护自然人的个人信息准确性，指向的是人格权的完满状态。更正权的效果标准必须以切实维护人格权益为核心，而不是原有错误信息是否删除、是否有新信息出现等外在具体形式。结合更正的具体技术手段，可以沿着以下思路准确界定更正权的实现效果：第一，对于个人信息记载存在遗漏、不完整的情况，只需要发布新的信息以补充原有信息即可；第二，对于个人信息记载存在错误、不准确的情况，需要分“形式”“实质”两类处理。个人信息“形式”上的错误主要指个人信息记载存在轻微的笔误、格式错误等，属于明显轻微的瑕疵。这类“形式”上的瑕疵通过内部纠正即可，遵循程序简单、适用方便的原则，将有关情况通知当事人，采用发布更正通知的形式。个人信息“实质”上的错误，会对当事人的权利和义务关系产生实质影响。对于此类错误，可以通过发布新信息起到“广而告之”的作用，以达到更正目的。由于错误的个人信息毕竟没有消除，侵权状态仍在持续，亟须消除已经存在的错误信息。与不作为请求权指向未来的不法行为不同，“更正请求权”系非财产性请求权，指向的是在过去已经出现且还在持续的妨害(31)王利明：《论人格权请求权与侵权损害赔偿请求权的分离》，《中国法学》2019年第1期，第224-243页。。事实上，我国支付领域交易信息时有错误需要纠正的情况较为普遍，这就涉及更正权的问题。例如，信用卡能charge back，不仅是再做一笔负值的交易(发布新区块)把原来那笔冲掉，而且原来那笔交易的记录也必须要更正或抹掉，否则那些信息可能还会被误用。因此，对于“实质”错误的更正，首先要实现对错误个人信息的删除，以消除对人格权益“持续的妨害”，然后才可以发布新的、正确的个人信息，或者发布通知消除已经造成的不良影响等。

(四)审慎选择区块链应用场景并明确权利实现方式

基于不可篡改的特征，区块链技术有许多绝佳的应用场景，如用于食品安全追踪系统，将相关食品原料采集、加工、运输等信息予以整合并提供给生产者、销售者和消费者，又或者是将区块链技术结合到公司治理、物联网等，形成一个可信任的信息系统。在这些应用场景中，区块链技术都可以大有作为。但是，将区块链技术应用到个人信息保护领域或者牵涉个人信息的处理过程，无疑需要持更为谨慎的态度。正是基于这种谨慎的考虑，欧盟区块链观察论坛(Blockchain Observatory and Forum)在《区块链与GDPR》报告中提出了使用区块链技术处理个人信息的四项原则性建议：一是评估区块链的实际需求；二是避免在区块链上存储个人数据，充分利用数据混淆、加密和聚合技术对数据进行匿名化处理；三是在链外收集个人数据，如果无法避免使用区块链，则在私有的、经过许可的区块链网络上收集个人数据；四是对用户尽可能清晰、透明(32)Daoui S，Jensen T F，Lemperiere M, GDPR, Blockchain and the French Data Protection Authority: Many Answers but Some Remaining Questions, Stanford Journal of Blockchain Law & Policy, 2019, No.2, p.246.。四项建议的核心要义是希望区块链技术于应用之前，先行评估该技术应用对个人信息保护产生的影响，尽量不要使用无法保护个人信息的技术应用。在应用区块链技术前，合理评估对个人信息保护的删除权与更正权的方案，审慎选择先进技术。另外，选择应用区块链技术的场景，就有关个人信息保护中删除与更正权利的条款中，对删除、更正等基本含义，在特殊场景下的删除与更正权利的实现方式和替代方案等作明确说明，以取得契约型活动中当事人的事先同意和认同。这样有利于信息处理者灵活采取措施，确保个人信息删除权与更正权的实现。

四、结 语

删除权与更正权是立法上常用的传统基本权利形态，但由于区块链技术具有不可删除和更正数据、信息的特性，出现了权利实现难的问题。基于此，科学定义删除、更正的概念和评判删除、更正的实质性效果至关重要。个人信息保护中的“删除”不需要彻底的物理删除，而是可以设置逻辑删除的标准，即达到不能关联、无法回溯或识别等实质效果。更正权的实现重在确保个人信息的真实、准确和完整，针对错误的性质采用具有实质性效果的措施。区块链技术应用中凸显的删除、更正的困难，实质上反映出法律规定的传统权利须紧随科学技术的发展不断加以调整。从历史唯物主义的角度讲，在一定社会中，法律与科学技术的协调发展，是生产关系一定要适合生产力、上层建筑一定要适合经济基础这一客观规律的必然要求(33)郭锋：《论我国法律与科学技术的协调发展》，《现代法学》1985年第1期，第9-12页。。在个人信息保护法的发展过程中，信息处理和存储技术、网络传播技术的成熟催生了个人信息保护的法律，区块链、大数据、云计算和人工智能技术的进步又不断地打破个人信息保护相关法律所维持的利益平衡，促使法律规则不断地变革(34)罗莉：《作为社会规范的技术与法律的协调——中国反技术规避规则检讨》，《中国社会科学》2006年第1期，第72-84页。。

致谢：本人指导的经济法博士研究生潘政为本文作出重要学术贡献，特表感谢。