區(qū)塊鏈技術(shù)應(yīng)用于個人信息保護的法理解讀與治理

王從光

(吉林大學(xué) 法學(xué)院，吉林 長春 130012)

近年來，大數(shù)據(jù)時代個人信息(1)本文在同義上使用“個人信息”與“個人數(shù)據(jù)”兩概念，前者偏向于我國立法之表述，后者則多用于歐盟之立法表述，但在歐盟諸國，個人信息與個人數(shù)據(jù)概念之實踐運用無本質(zhì)差別。呈現(xiàn)指數(shù)級增長，Web應(yīng)用和中心化機構(gòu)大量收集、利用個人數(shù)據(jù)。雖然經(jīng)數(shù)據(jù)分析可以為信息主體提供個性化服務(wù)，但同時也引發(fā)了個人信息泄露、保護問題。ForgeRock最新公布的一項全球調(diào)查報告顯示，2020年用戶名和密碼等個人信息遭泄露數(shù)量比上一年增長450%，不法分子還結(jié)合社交網(wǎng)站上的其他個人信息，進行身份定位并訪問個人銀行賬戶、診療記錄等[1]。在我國，盡管國家三令五申要求加強個人信息保護，但非法收集、利用個人信息的情形仍屢禁不止。中共中央網(wǎng)絡(luò)安全和信息化委員會辦公室查驗核實，“滴滴出行”App存在嚴重違法違規(guī)收集使用個人信息的問題[2]，我國大量微軟用戶的個人信息被外國執(zhí)法部門通過技術(shù)手段違法違規(guī)獲取[3]。這不僅侵害公民的隱私信息，還會對國家安全和社會公共利益構(gòu)成威脅。

有鑒于此，國家不斷加強對個人信息的保護性立法。自2003年國家啟動個人信息保護立法到2012年全國人大常委會通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，再到2020年的《中華人民共和國民法典》(以下簡稱《民法典》)及2021年的《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)，個人信息保護廣泛進入不同層級的立法事項。有學(xué)者統(tǒng)計，我國目前的個人信息保護規(guī)范已近百部，散見于法律、部門規(guī)章、地方性法規(guī)中[4]。然而，盡管國家對個人信息保護日益重視，但個人信息泄漏不降反增。對此，有學(xué)者分析指出，我國個人信息保護面臨安全保障弱化、個人控制虛化、信息共享不足的實踐困境，認為信息主體與國家互動關(guān)系未發(fā)生根本性轉(zhuǎn)變的情形下，個人信息保護困境無法從根本上得以改觀，由此呼吁利用區(qū)塊鏈技術(shù)進行個人信息保護[5]。此類觀點并不鮮見，有論者還進一步分析了區(qū)塊鏈技術(shù)下的個人信息界定[6]、個人數(shù)據(jù)權(quán)屬問題[7]、區(qū)塊鏈技術(shù)與個人信息保護的兼容性[8]等，似乎區(qū)塊鏈技術(shù)與個人信息保護具有天然的契合性。但，在區(qū)塊鏈技術(shù)應(yīng)用炙手可熱的當下，將其應(yīng)用于個人信息保護不應(yīng)受制于功利主義的裹挾。質(zhì)言之，如果只從效果考量如何對個人信息進行保護，而不對區(qū)塊鏈下個人信息保護進行法理闡釋，則極易陷入技治蒙昧主義的困境。

本文正是由此出發(fā)，分析區(qū)塊鏈技術(shù)應(yīng)用于個人信息保護的法理基礎(chǔ)，以期能夠為區(qū)塊鏈下的個人信息保護提供一個理論視角，同時也為未來區(qū)塊鏈技術(shù)的更廣泛應(yīng)用進行一定的理論鋪墊?；诖?，本文圍繞區(qū)塊鏈技術(shù)應(yīng)用于個人信息保護的本質(zhì)展開：第一部分扼要分析個人信息保護背后信任模式的繼替和演化，指出區(qū)塊鏈技術(shù)應(yīng)用于個人信息保護的本質(zhì)是基于技術(shù)信任；在技術(shù)信任的基礎(chǔ)上，也不可忽視區(qū)塊鏈技術(shù)與個人信息具體權(quán)利義務(wù)的沖突，第二部分即檢視二者間的張力；最后部分在檢視二者張力的基礎(chǔ)上反思區(qū)塊鏈技術(shù)下個人信息保護的治理思路，并尋求技術(shù)與法律的融合治理之道。

一、區(qū)塊鏈技術(shù)下個人信息保護的法理解讀

如果說互聯(lián)網(wǎng)是我們探知世界的窗口，那么區(qū)塊鏈技術(shù)則是幫助打開窗口的鑰匙[9]241。作為最先應(yīng)用于數(shù)字貨幣的底層技術(shù)，區(qū)塊鏈在2008年金融危機后應(yīng)運而生，一個鋼筋水泥為標志的銀行信用大廈，被一個數(shù)據(jù)為土壤的區(qū)塊鏈信用所取代[10]。作為對中心化機構(gòu)“不可信任”的替代品，區(qū)塊鏈技術(shù)所帶來的信任模式革新已被廣泛應(yīng)用于教育醫(yī)療、食品安全及司法等場域，區(qū)塊鏈技術(shù)應(yīng)用于個人信息保護也是立基于該技術(shù)所形塑的新型信任模式。為此，需要扼要分析傳統(tǒng)個人信息保護的信任維度以彰顯其“新”，并深入探討此種信任模式其“新”何為。

(一)個人信息保護的信任維度

傳統(tǒng)個人信息保護經(jīng)歷了由人際信任向制度信任的發(fā)展。個人信息保護所體現(xiàn)的人際信任最先表現(xiàn)于以血緣為紐帶的“家”關(guān)系中?！凹摇笔潜舜苏J同悅納的界域，“家人”是維護家利益的共同體，也是值得依賴與信任的對象[11]。“我”不僅相信“家人”不會傷害“我”，而且相信“家人”會為維護“我”的個人利益(包括維護“我”的隱私利益)而抵御“他者”的侵害。隨著生產(chǎn)力的發(fā)展，“家”的概念逐漸突破血緣關(guān)系畛域，逐漸擴大到因組織體而形成的信任關(guān)系，德國社會學(xué)家盧曼將這種人與人之間的情感依賴關(guān)系稱之為人際信任[12]39?；诖朔N人際信任，人們之間可以相互交換信息，并將個人隱私信息傳遞給可信之人，合理期待被信任者會維護好個人隱私信息。

隨著生產(chǎn)力尤其是工業(yè)技術(shù)的發(fā)展，自給自足的自然經(jīng)濟已難以滿足人們的生活需要，人們不得不與外部世界發(fā)生更多的交往互動，交互方式逐漸由親緣關(guān)系為主轉(zhuǎn)向以業(yè)緣關(guān)系為主。交互方式的革新使得個人信息數(shù)量日漸增多，傳統(tǒng)的個人信息保護方式日漸乏力，作為信任基礎(chǔ)的情感依賴難以有效應(yīng)對陡增的社會風險，人們不得不反思個人隱私信息的保護方式，希望托庇于一個公正合理的制度，期待這個制度能給個人信息保護提供保障。也正是基于此，有學(xué)者主張將個人隱私信息上升為一種個人權(quán)利而與法律相聯(lián)系。路易斯·布蘭代斯和塞繆爾·沃倫于1890年在《哈佛法律評論》上發(fā)表了一篇題為《論隱私權(quán)》的開創(chuàng)性文章，認為隨著現(xiàn)代工業(yè)技術(shù)的進步，法律應(yīng)該提供有力武器保護個人“隱私”不受他人侵犯[13]。隨后，《美國聯(lián)邦憲法》第四修正案、第十四修正案、《電子通信隱私法》(Electronic Communications Privacy Act,ECPA)等加強了對個人信息保護；同樣，歐盟于1995年通過《個人數(shù)據(jù)保護指令》(Data Protection Directive,GPD)，在此基礎(chǔ)上2018年又通過了《通用數(shù)據(jù)保護條例》(General Data Protection Regulation,GDPR)。

一系列個人信息保護規(guī)范的相繼頒布表明，“法律的基本作用之一乃是使人類為數(shù)眾多、種類紛繁、各不相同的行為與關(guān)系達致某種合理程度的秩序，并頒布一些適用于某些應(yīng)予限制的行動或行為的行為規(guī)則或行為標準”[14]484。通常由某一中心實體制定法律規(guī)范或行為準則，期待通過法律規(guī)范或行為準則所代表的制度信任來維系復(fù)雜社會中的交互。一方面，法律規(guī)范、行為準則確保人們在“缺場”交互中信息安全，一定程度上應(yīng)對復(fù)雜社會關(guān)系帶給個人的信任危機；但另一方面，無論是法律規(guī)范還是行為準則，其約束力量有限(2)當然，這并不是否定人際信任、制度信任在個人信息保護中的作用，人際信任也發(fā)揮著重要作用，大量個人信息保護規(guī)范所確立的制度性承諾，體現(xiàn)的正是對個信息保護的制度信任。，尤其提供制度信任的主體通常是中心化的機構(gòu)(如銀行、醫(yī)療數(shù)據(jù)中心)，其任何一個偶爾的誤用，或因管理不善的濫用，都會給個人信息權(quán)造成嚴重損害，更不必說那些為謀取個人或中心化機構(gòu)狹隘利益的“惡意之用”[15]。根據(jù)埃德曼公司一項長達15年的跟蹤調(diào)查顯示，近年來全球信任指數(shù)總體呈下降趨勢，美國僅有15%的民眾信任中心化的制度系統(tǒng)[16]，近一半的美國民眾出于個人信息安全問題考慮而不敢使用網(wǎng)購服務(wù)[17]。在我國，盡管國家一再強調(diào)個人信息保護，數(shù)據(jù)行業(yè)、網(wǎng)絡(luò)服務(wù)提供者也制定相應(yīng)的數(shù)據(jù)安全規(guī)范，但這些數(shù)據(jù)服務(wù)中心仍存在內(nèi)外勾結(jié)販賣個人信息的情形，“金融、中介、招聘等服務(wù)行業(yè)由于嚴重依賴電話、短信等途徑進行營銷……買賣公民個人信息已成了行業(yè)‘潛規(guī)則’，每年泄露的數(shù)據(jù)總量高達數(shù)十億條，交易金額超10億元人民幣”[18]。盡管這也不可完全歸咎于個人信息保護的法律規(guī)范、行業(yè)規(guī)則，但伴隨大數(shù)據(jù)、人工智能等信息技術(shù)的發(fā)展和應(yīng)用，個人信息數(shù)量之巨、范圍之廣、樣態(tài)之多、跨越時空之能勢，完全顛覆了人們對于個人信息的傳統(tǒng)理解與認知，使得肇始于“小數(shù)據(jù)”時代的個人信息保護規(guī)范難以應(yīng)對“大數(shù)據(jù)”時代的個人信息保護。在傳統(tǒng)個人信息保護失范失穩(wěn)的背景下，區(qū)塊鏈技術(shù)以其去中心化的分布式賬本特性表現(xiàn)出在信息保護方面難以取代的優(yōu)勢，這本質(zhì)上是區(qū)塊鏈所具有的技術(shù)信任，是制度信任向技術(shù)信任轉(zhuǎn)變的重要表現(xiàn)(見表1)。

表1 個人信息保護的信任模式演進(3)該表概括了不同階段個人信息保護的主要信任模式，大致經(jīng)歷了人際信任、制度信任到技術(shù)信任的演進。當然，這并非說人際信任、制度信任已然式微，相反，無論是基于血緣、地緣關(guān)系而形成的人際信任，還是法律所確保的或中介結(jié)構(gòu)所提供的制度信任，對個人信息保護仍發(fā)揮著重要作用，都是社會有序運行的基石。

(二)區(qū)塊鏈應(yīng)用于個人信息保護的本質(zhì)展開

伴隨大數(shù)據(jù)背景下個人信息的大體量增長，傳統(tǒng)信任模式下的人際信任和制度信任已難以滿足個人信息保護的復(fù)雜需求，區(qū)塊鏈憑借其去中心化的技術(shù)信任建構(gòu)機制與個人信息保護的復(fù)雜需求相契合，即區(qū)塊鏈應(yīng)用于個人信息保護是基于技術(shù)信任。

首先，區(qū)塊鏈被認為是分布式賬本技術(shù)(Distributed Ledger Technology，DLT)，從區(qū)塊鏈技術(shù)1.0版本到現(xiàn)在的區(qū)塊鏈技術(shù)4.0版本，運行的速度及效益大幅度提升(4)區(qū)塊鏈技術(shù)已由1.0版本更新迭代至4.0版本，區(qū)塊鏈1.0主要應(yīng)用于金融領(lǐng)域的加密貨幣體系，如Bitcoin；區(qū)塊鏈2.0應(yīng)用于非金融領(lǐng)域，如Ethereum；區(qū)塊鏈3.0擴展至商業(yè)領(lǐng)域，如Cardano,Anion；區(qū)塊鏈4.0也應(yīng)用于工業(yè)4.0，如SEELE等；運行速率分別為7TBS、15TBS、1000s of TBS、1M TBS，see Panda,Sandeep & Jena,Ajay & Swain,Santosh & Satapathy。參見Suresh，Blockchain Technology：Applications and Challenges,Switzerland：Springer,2021，P.43.，但其運作原理仍依賴于去中心化的共識算法(Consensus Algorithm)機制。一方面，區(qū)塊鏈是一種建立在算法基礎(chǔ)上的全新分布式數(shù)據(jù)結(jié)構(gòu)，算法共識不再掌握于具體的機構(gòu)或個人手中，因而不存在中心化的機構(gòu)或個人。利用區(qū)塊鏈技術(shù)去中心化的特性存儲個人數(shù)據(jù)，意味著每一個節(jié)點存儲的個人數(shù)據(jù)完整且相同。這種數(shù)據(jù)的全知性可以有效防止傳統(tǒng)中心化數(shù)據(jù)存儲模式下信息的不對稱性，進而避免信息不對稱所誘發(fā)的機會主義行為。另一方面，加入任何以區(qū)塊鏈為底層技術(shù)的系統(tǒng)均以用戶的自主自愿為前提，也意味著各節(jié)點用戶自覺遵守共識算法。計算機技術(shù)專家安德烈亞斯·安東諾普洛斯在《精通比特幣》一書中將算法稱為“計算信任”(Trust is based on computation)，認為信任模式由“信任人或中心化機構(gòu)向信任數(shù)學(xué)轉(zhuǎn)變”[19]。區(qū)塊鏈技術(shù)應(yīng)用于個人信息保護也是基于這一特性，其存儲個人信息實現(xiàn)了個人信息保護的安全性升級。

其次，在區(qū)塊鏈技術(shù)去中心化的共識算法原理下，已有不少學(xué)者就區(qū)塊鏈中的哈希值、時間戳等展開論述，認為這些技術(shù)由特定的計算機編程代碼構(gòu)成[20]，這些固定與防篡改的技術(shù)手段可以保證信息數(shù)據(jù)無法被更改，通過驗證數(shù)值的一致性即可確信數(shù)據(jù)內(nèi)容的完整性與可靠性[21]。既有論述的前結(jié)構(gòu)假定了區(qū)塊鏈技術(shù)的防篡改特性，但不免陷入就技術(shù)論技術(shù)的窠臼，缺乏對區(qū)塊鏈技術(shù)與法律結(jié)合的探討，因而本部分試圖從技術(shù)邏輯的角度盡量以直觀的方式將其納入個人信息保護的討論之中。如下圖1所示，區(qū)塊鏈由順序相連的區(qū)塊組成，而每個區(qū)塊包含兩個部分：區(qū)塊頭和區(qū)塊體。區(qū)塊頭包含前一區(qū)塊和本區(qū)塊的哈希值、時間戳等，區(qū)塊體則包含交易記錄(Transaction list)等區(qū)塊數(shù)據(jù)，哈希值、隨機數(shù)、時間戳等共同作用以防止信息泄漏和篡改(見圖1)。

圖1 區(qū)塊鏈結(jié)構(gòu)圖(5)該圖是對《區(qū)塊鏈網(wǎng)絡(luò)安全，信任與隱私》第一章相關(guān)論述的總結(jié)，參見Choo·Ali Dehghantanha Reza M.Parizi，Blockchain Cybersecurity,Trust and Privacy，Switzerland：Springer,2020，P.10.

個人信息經(jīng)過哈希算法上鏈是個人信息存儲在區(qū)塊鏈上的重要方式，如圖1所示，經(jīng)過哈?；幚砗蟮膫€人信息以哈希值的形式出現(xiàn)在區(qū)塊N-1的區(qū)塊頭中，而在該區(qū)塊頭中生成一個只被使用一次的任意隨機數(shù)(Nonce)，包含隨機數(shù)等的N-1區(qū)塊頭經(jīng)過哈希算法成為區(qū)塊N區(qū)塊頭的一個部分，并按時間序列(Timestamp)依此往復(fù)。這有兩方面的重要意義：一方面，添加隨機數(shù)后經(jīng)哈希化的個人信息無法進行逆向工程，所以信息主體在區(qū)塊鏈上的可追溯性極低，一定程度上可以認為鏈上的個人信息不具有特定識別性；另一方面，后一個區(qū)塊頭以前一個區(qū)塊頭為“根”來形成鏈狀結(jié)構(gòu)，一旦某一區(qū)塊中的個人信息或數(shù)據(jù)發(fā)生變化，就會根據(jù)共識算法改變下一區(qū)塊的數(shù)值，并由此產(chǎn)生“鏈鎖反應(yīng)”。據(jù)此原理可以得出，修改某一區(qū)塊上個人信息的惟一方法是重新驗證該區(qū)塊以前的所有區(qū)塊(6)以比特幣挖礦為例，礦工欲向區(qū)塊鏈添加新區(qū)塊N+1，必須先驗證其所欲添加區(qū)塊N+1的先前區(qū)塊N，區(qū)塊N-1……。但是，這一過程需要通過工作量證明(Proof of Work,PoW)機制[22]，一旦某一區(qū)塊(節(jié)點)拒絕作出更改，則已有驗證將前功盡棄。因此，盡管在理論層面可以通過累積51%的算力來修改數(shù)據(jù)，但隨著區(qū)塊數(shù)增加，現(xiàn)實條件下聚集如此大算力越不可能。尼克·斯扎博將這一運作機理比喻為琥珀里的蒼蠅——時間越久、覆蓋的層數(shù)越多，蒼蠅保存得越完整[23]。

概括地說，將區(qū)塊鏈應(yīng)用于個人信息保護，在于個人信息無需再在任何“中心”存儲，無需社會倫理道德的反復(fù)重申和法律規(guī)范的不斷加碼，比較深入地化解個人信息存儲于中心化數(shù)據(jù)庫所帶來的信任危機問題，不信任即可驗證。另一方面，這一技術(shù)還可以增強個人對信息的控制權(quán)，避免信息被篡改和泄露。在個人信息巨量增長的背景下，這種基于技術(shù)信任的模式運用于個人信息保護似乎只能用“完美契合”來表達。然而，盡管區(qū)塊鏈所提供的技術(shù)信任具有人際信任、制度信任難以比擬的優(yōu)勢，但技術(shù)的工具理性不應(yīng)當被不合理夸大，更不能被推崇到“技術(shù)蒙昧主義”的程度。換句話說，在區(qū)塊鏈之技術(shù)信任所確保的個人信息安全的基礎(chǔ)上，還應(yīng)看到兩者之間存在的巨大張力。

二、區(qū)塊鏈技術(shù)與個人信息保護之張力

比特幣首席財務(wù)官約翰·馬修斯曾坦言：“從區(qū)塊鏈技術(shù)的發(fā)展來看，即使是為個人信息提供最為全面保護的《通用數(shù)據(jù)保護條例》也顯得不合時宜(out of date)。”[24]這主要是從區(qū)塊鏈技術(shù)與個人信息權(quán)利義務(wù)關(guān)系的角度而言，兩者主要存在三方面的緊張關(guān)系：哈?；膫€人信息是否屬于規(guī)范層面的個人信息；區(qū)塊鏈不可篡改的技術(shù)特性與修改、刪除權(quán)沖突；去中心化與義務(wù)主體特定化沖突。

(一)哈?；膫€人信息與規(guī)范層面的個人信息

我國《民法典》第1034條第2款規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！?7)文中《民法典》《個人信息保護法》相關(guān)內(nèi)容參見中國人大網(wǎng)(http://www.npc.gov.cn)。通過該條規(guī)定可以看出，“特定識別性”是個人信息的本質(zhì)特征，只要能夠單獨識別或結(jié)合識別的特定自然人的各種信息，都被納入個人信息的范疇。不過，有論者認為大數(shù)據(jù)時代信息的交叉驗證及迭代發(fā)展，使得該條規(guī)定的“特定識別性”之內(nèi)涵與外延不明[25]。對此，《個人信息保護法》第4條第1款規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化(8)根據(jù)《個人信息保護法》第73條第4款，匿名化是指個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程。處理后的信息?！薄疤囟ㄗR別性”仍是個人信息的本質(zhì)特征，但在單獨識別與結(jié)合識別之“已識別”的基礎(chǔ)上提出“可識別”標準，意指具有“識別可能性”的信息也被納入個人信息的范疇。

探討個人信息本質(zhì)特征的意義在于，經(jīng)哈希化的個人信息是否仍具有特定識別性，是否屬于法律規(guī)范層面的個人信息，是否應(yīng)當受個人信息保護相關(guān)法律的規(guī)范？根據(jù)《個人信息保護法》，匿名化處理后的信息不受個人信息保護法的規(guī)范。那么，區(qū)塊鏈中個人信息哈?；欠駥儆趥€人信息“匿名化”(anonymized)呢？這一追問實際上圍繞個人信息哈?；筇囟ㄗR別的可追溯性問題。戴維·波斯特認為：“‘可追溯性’(traceability)是通過額外信息等識別信息主體的容易程度”[26]。由于經(jīng)哈希化的個人信息無法進行逆向工程，所以區(qū)塊鏈上個人信息的可追溯性極低，甚至是“不可行的”(infeasible)[27]，因而其具有匿名性，脫逸于規(guī)范層面的個人信息。相反觀點認為，盡管哈希化的個人信息無法進行逆向識別，但個人信息與信息主體之間仍存在固有聯(lián)系，甚至可以通過“容易比照”或“暴力攻擊”來識別和追溯原始信息主體[28]，因而無法跨越匿名化的門檻而游離于法律的規(guī)制之外?？梢?，哈希化的個人信息是否屬于數(shù)據(jù)規(guī)范層面的個人信息存在巨大分歧。

(二)區(qū)塊鏈之不可篡改性與修改、刪除權(quán)沖突

我國《民法典》第1037條規(guī)定：“自然人可以依法向信息處理者查閱或者復(fù)制其個人信息；發(fā)現(xiàn)信息有錯誤的，有權(quán)提出異議并請求及時采取更正等必要措施。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的，有權(quán)請求信息處理者及時刪除?！痹摋l規(guī)定了個人信息的修改和刪除，相較于該條規(guī)定，《個人信息保護法》第46條、第47條分別細化了個人信息修改和刪除的適用情形。同樣，《通用數(shù)據(jù)保護條例》第16條、第17條分別規(guī)定了更正權(quán)、刪除權(quán)。無論域內(nèi)還是域外，修改權(quán)及刪除權(quán)是維護信息準確、實現(xiàn)個人信息自決權(quán)的重要方式。一方面，區(qū)塊鏈技術(shù)信任的特性就是防止人為篡改，盡管理論上存在修改的可能，但去中心化的架構(gòu)使得數(shù)據(jù)修改幾無可能通過節(jié)點驗證；另一方面，區(qū)塊鏈技術(shù)的單向性添加也與刪除權(quán)的行使相悖。

區(qū)塊鏈技術(shù)不可篡改的特性與個人信息修改權(quán)、刪除權(quán)之間的沖突。對于信息數(shù)據(jù)的修改，盡管《通用數(shù)據(jù)保護條例》第16條規(guī)定可以通過提供“補充說明的方式”實現(xiàn)對個人數(shù)據(jù)的修改，且區(qū)塊鏈通過添加新區(qū)塊“補充說明的方式”也較修改舊區(qū)塊上的數(shù)據(jù)更為容易，但此種方式是否符合《通用數(shù)據(jù)保護條例》第16條的內(nèi)在機理，仍值得商榷。在“諾瓦克訴數(shù)據(jù)保護委員會”(以下簡稱“諾瓦克案”)一案中，律師認為修改權(quán)的行使應(yīng)當符合數(shù)據(jù)收集和處理的目的。根據(jù)合目的性要求，如果數(shù)據(jù)主體有充分理由認為數(shù)據(jù)應(yīng)當刪除而非添加補充說明，那么添加“補充說明的方式”并非是實現(xiàn)數(shù)據(jù)修改的理想方式[29]。同樣地，埃森哲提出在區(qū)塊鏈中加入“變色龍哈?！?chameleon hash)，由哈希函數(shù)鏈接鏈上的兩個區(qū)塊，結(jié)合前文圖1所示，即使編輯區(qū)塊數(shù)據(jù)使得原始哈希函數(shù)被破壞，但變色龍哈希仍保持不變，以此確保被編輯區(qū)塊和已有區(qū)塊之間的鏈接，進而實現(xiàn)區(qū)塊鏈的“可編輯性”(editable)[30]。對于刪除權(quán)的行使，有觀點認為可以通過“哈希指針”(hash pointer)將數(shù)據(jù)進行鏈外存儲，當數(shù)據(jù)主體行使刪除權(quán)時，鏈外數(shù)據(jù)庫中的數(shù)據(jù)被刪除，鏈上的數(shù)據(jù)與鏈外數(shù)據(jù)庫中的數(shù)據(jù)之間的鏈接也被破壞，實現(xiàn)鏈外、鏈上數(shù)據(jù)的同時刪除[31]。以上觀點是否可行仍有待研判，但眾說紛紜實質(zhì)上表明區(qū)塊鏈不可篡改之特性與修改、刪除權(quán)存在沖突。

(三)區(qū)塊鏈之去中心化與義務(wù)主體特定性沖突

我國《個人信息保護法》第五章規(guī)定了個人信息處理者的義務(wù)，個人信息處理者是指那些自主決定處理目的、處理方式等個人信息處理事項的組織或個人，其應(yīng)該根據(jù)個人信息的種類以及對個人的影響、可能存在的安全風險等，采取相應(yīng)措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定。歐盟《通用數(shù)據(jù)保護條例》也規(guī)定數(shù)據(jù)控制者是個人數(shù)據(jù)保護的義務(wù)主體，是單獨或能聯(lián)合決定個人數(shù)據(jù)的處理目的和方式的自然人、法人、公共機構(gòu)、代理機構(gòu)或其他組織。可以看出，《個人信息保護法》與《通用數(shù)據(jù)保護條例》在個人信息義務(wù)主體的判斷上堅持實質(zhì)化的判斷標準，即特定主體是否能夠決定信息的處理目的和方式。

然而，無論是《個人信息保護法》還是《通用數(shù)據(jù)保護條例》的制定，都是以中心化的數(shù)據(jù)管理模式為前提，因而在應(yīng)對數(shù)據(jù)處理過程中的風險時，監(jiān)管機構(gòu)通過識別特定的組織或個人以明確義務(wù)主體。相反，區(qū)塊鏈則是去中心化的邏輯架構(gòu)，這必然導(dǎo)致認定區(qū)塊鏈系統(tǒng)中的數(shù)據(jù)控制者存在困難。以區(qū)塊鏈用戶為例，用戶可以自主決定是否安裝客戶端連接區(qū)塊鏈網(wǎng)絡(luò)以及通過客戶端入鏈后是否與其他節(jié)點用戶進行交易。因而有觀點認為，區(qū)塊鏈的技術(shù)架構(gòu)決定了只有節(jié)點用戶才能確定數(shù)據(jù)處理的目的和方式，因而節(jié)點用戶是個人信息保護的義務(wù)主體[32]。但是，該觀點不可一概而論，應(yīng)當區(qū)分用戶處理的是自身數(shù)據(jù)還是他人數(shù)據(jù)。根據(jù)實質(zhì)化的判斷標準，節(jié)點用戶不是他人數(shù)據(jù)的當然所有者，無權(quán)決定他人數(shù)據(jù)處理的目的和方式。此外，《通用數(shù)據(jù)保護條例》第26條還規(guī)定了聯(lián)合控制者，即由多個控制者決定數(shù)據(jù)處理的目的和方式，如何確定區(qū)塊鏈系統(tǒng)中聯(lián)合控制者之間的義務(wù)和聯(lián)合控制者與數(shù)據(jù)主體之間的關(guān)系，變得尤為困難。

三、區(qū)塊鏈技術(shù)下個人信息保護的治理思路

傳統(tǒng)中心化機構(gòu)的個人信息保護模式存在信任風險，區(qū)塊鏈技術(shù)的“脫域”機制很好地化解這一風險，是個人信息保護信任范式的一次轉(zhuǎn)變，但不能因技術(shù)信任而陷入技治主義的狂歡中。在現(xiàn)代化進程中，具有革命性的技術(shù)也意味著對原有的社會規(guī)范造成沖擊。就區(qū)塊鏈技術(shù)與個人信息保護規(guī)范的沖突而言，應(yīng)當樹立“技術(shù)—法律”二元互動的融合型治理理念，在技術(shù)與法律所形塑的不同信任維度中尋求治理之道。這既是對現(xiàn)有回應(yīng)型治理、管制型治理理念的總結(jié)反思，也是對完善區(qū)塊鏈下個人信息保護的未來展望。

(一)區(qū)塊鏈下個人信息保護的治理理念

區(qū)塊鏈下個人信息保護的治理本質(zhì)上是技術(shù)與法律對于個人信息的治理。理念是行動的先導(dǎo)，明確治理理念是區(qū)塊鏈下個人信息保護的前提和基礎(chǔ)?？偨Y(jié)當前關(guān)于區(qū)塊鏈下個人信息保護的治理理念，主要有管制型治理與回應(yīng)型治理。

管制型治理是壓制型法在技術(shù)領(lǐng)域的具體表現(xiàn)，是國家通過法律規(guī)范對技術(shù)發(fā)展進行規(guī)制，強調(diào)技術(shù)是實現(xiàn)法治治理目標的工具[33]31。換言之，如果技術(shù)與法律規(guī)范相抵觸，則需要對技術(shù)進行調(diào)整、馴化以適應(yīng)法律規(guī)范的要求。有觀點認為，區(qū)塊鏈技術(shù)的出現(xiàn)和應(yīng)用是自由主義思想在偶然事件排列行為中的歷史必然，與中心化機制方枘圓鑿，因而馴化“去中心化”的區(qū)塊鏈技術(shù)以適應(yīng)中心化機制是順應(yīng)治理趨勢的應(yīng)有之義[34]。實際上，管制型治理理念不利于技術(shù)創(chuàng)新，忽視了技術(shù)固有的自我管理價值，尤其是大數(shù)據(jù)時代的個人信息伴隨強技術(shù)性，更是離不開技術(shù)的自我監(jiān)管。相反，回應(yīng)型治理體現(xiàn)了回應(yīng)型法的要求，是一種以問題為中心并通過法律自我調(diào)適為主的多元共治理念，個人信息的回應(yīng)型治理將關(guān)注重點轉(zhuǎn)向信息控制者與監(jiān)管機構(gòu)在個人信息治理中的責任以及對這種責任的合理分配和實現(xiàn)[35]?；貞?yīng)型治理的弊端至少體現(xiàn)在以下兩方面：一是回應(yīng)型治理預(yù)設(shè)了技術(shù)決定論的技治主義立場，缺乏歸責實踐的道德內(nèi)嵌可能會使技術(shù)開發(fā)者責任脫逸；二是從新技術(shù)應(yīng)用到問題的出現(xiàn)及引發(fā)的社會后果無法在短時間內(nèi)進行全面有效評估，不可避免的滯后性使得回應(yīng)型治理難以及時有效應(yīng)對。

無論是管制型治理還是回應(yīng)型治理，均割裂了區(qū)塊鏈技術(shù)應(yīng)用于個人信息保護所內(nèi)含的技術(shù)與法律的關(guān)系，前者忽視了區(qū)塊鏈技術(shù)應(yīng)用于個人信息保護的實踐價值，后者則忽視法律價值對技術(shù)治理的引導(dǎo)作用，二者在本質(zhì)上均是“技術(shù)—法律”二元對立的理念。法律馴化技術(shù)，必然遏制創(chuàng)新；技術(shù)架空法律，必然引致無序，兼顧區(qū)塊鏈技術(shù)的發(fā)展與個人信息的保護是兩者相融合的基點所在，應(yīng)在此基礎(chǔ)上樹立“技術(shù)—法律”二元互動的融合型治理理念。融合型治理理念的合理性包括以下兩個方面。一是，就個人信息自身而言，個人信息既涉及人格利益，又涉及財產(chǎn)利益，將個人信息聚合還能產(chǎn)生較大的社會利益[36]，這使得肇始于小數(shù)據(jù)時代的個人信息之個人屬性逐漸轉(zhuǎn)向大數(shù)據(jù)時代的社會屬性，法律明確信息主體的權(quán)利邊界與權(quán)利保護的同時，通過技術(shù)確保個人數(shù)據(jù)的合理流動與物盡其用。二是，就區(qū)塊鏈技術(shù)而言，技術(shù)本身是一種客觀存在，有其自身的治理邏輯，但技術(shù)所產(chǎn)生的效用取決于技術(shù)使用者所追求的目標和價值。因此，技術(shù)開發(fā)主體應(yīng)具有責任意識，更需要認識技術(shù)主體的技術(shù)活動不只是單向度的技術(shù)產(chǎn)品開發(fā)，更是對現(xiàn)有社會價值的編撰與建構(gòu)。此外，就法律本身而言，一方面，新技術(shù)的迭代更新速度要遠超法律，舊的規(guī)范被打破而新的規(guī)范尚未建立，社會失范就會因此發(fā)生，但法律不可固步自封而遏制技術(shù)發(fā)展。另一方面，法律與技術(shù)追求著共同善(common good),體現(xiàn)著更大范圍的信任利益，是法律與技術(shù)保護個人信息共同的價值基礎(chǔ)[37]。大數(shù)據(jù)背景下的個人信息保護，不是僅依賴于數(shù)字技術(shù)運行的代碼(自律)，或僅依賴于國家法律制度規(guī)定的規(guī)則(他律)，也不是二者簡單地并行治理，而是法律規(guī)范向技術(shù)代碼、技術(shù)代碼向法律規(guī)范雙向融合的融合型治理。

(二)區(qū)塊鏈下個人信息保護的融合型治理措施

盡管區(qū)塊鏈技術(shù)的“脫域”機制使得其在物理架構(gòu)上是去中心化的，但因共識機制的存在使得其在邏輯層面是中心化的[38]，這為融合型治理理念下的具體措施提供了“再嵌入”的接口。在前文論述區(qū)塊鏈技術(shù)與個人信息保護沖突的基礎(chǔ)上，本部分結(jié)合區(qū)塊鏈技術(shù)明確哈?；瘋€人信息的性質(zhì)，修改、刪除權(quán)的行使及義務(wù)主體等。

1.結(jié)合區(qū)塊鏈技術(shù)明確哈?；瘋€人信息的性質(zhì)

特定識別性是個人信息的本質(zhì)特征，通過前文分析發(fā)現(xiàn)，哈?；瘋€人信息是否具有特定識別性、是否屬于匿名化而不受法律規(guī)范約束存在明顯分歧。個人信息哈?；举|(zhì)上并非個人信息匿名化，而應(yīng)當定位為個人信息假名化(pseudonymised)(9)匿名化與假名化的核心區(qū)別在于信息的可識別性風險，前者不能通過信息識別信息主體；后者則存在通過結(jié)合相關(guān)信息識別信息主體的風險。參見Stalla-Bourdillon,S.& Knight A，“Anonymous data v.personal data false debate：An EU perspective on anonymization,pseudonymization and personal data”Wisconsin International Law Journal，2016，P.284-322.。個人信息匿名化要求不可逆地防止識別，是一個使個人信息在不使用額外信息的情況下不指向特定信息主體的個人信息處理方式。在是否屬于匿名化的判斷標準上，作為歐盟委員會重要咨詢機構(gòu)的第29條工作組(the Article 29 Working Party，WP29)明確了三條標準：一是識別性(Singling out)，即是否存在識別特定個人的可能；二是鏈接性(Linkability)，指是否可以通過至少兩條信息記錄鏈接到特定個人；三是推論性(Inference)，根據(jù)已有信息并以極大似然性推斷特定個人，如果均作出否定回答，則認為該個人信息屬于匿名化信息[39]。

根據(jù)上述判斷標準，即使區(qū)塊鏈節(jié)點(用戶)去中心化地分布于物理世界的各個角落，但其與使用的電子設(shè)備、應(yīng)用程序、網(wǎng)絡(luò)服務(wù)協(xié)議等相關(guān)聯(lián)，存在著被識別的剩余風險(Residual risk)，如果這些信息與公鑰(public key)(10)公鑰(public key)和私鑰(private key)，公鑰是參與者可見，驗證身份所必須；私鑰(由持有者保密)用于身份驗證和加密。參見Benedetta Cappiello,Gherardo Carullo，Blockchain,Law and Governance,Switzerland:Springer,2020,P.18.相結(jié)合則可以間接地識別信息主體，因而經(jīng)哈?；膫€人信息仍不能排除鏈接性風險。此外，科學(xué)技術(shù)的發(fā)展表明，過去不能加以識別的個人信息(如DNA)隨著技術(shù)發(fā)展可以被再識別，因而不能合理假設(shè)添加到區(qū)塊鏈上的任何個人信息未來都無法進行識別。通過以上分析，我國區(qū)塊鏈上的個人信息應(yīng)當定位為假名化的個人信息，假名化的個人信息仍然是規(guī)范層面的個人信息，但在具體判斷上應(yīng)采用“容易識別性”標準，即結(jié)合其他信息就可輕易識別出特定個人的，屬于規(guī)范保護的個人信息。這一結(jié)合區(qū)塊鏈技術(shù)對個人信息性質(zhì)的定位，既有利于提升信息處理者的信息保護意識，同時哈希化的個人信息又可促進信息流動，是一種有價值且風險最小化的性質(zhì)定位。

2.結(jié)合區(qū)塊鏈技術(shù)明確修改、刪除權(quán)的行使

如前文所述，區(qū)塊鏈技術(shù)不可篡改、單向添加的特性與個人信息修改權(quán)、刪除權(quán)沖突，不同學(xué)者從不同角度以不同方式試圖實現(xiàn)個人信息的修改和刪除。這從另一側(cè)面反映出，無論“修改”還是“刪除”，概念界定不明導(dǎo)致適用爭議不斷。這一方面需要回到“修改權(quán)”“刪除權(quán)”的設(shè)立目的，另一方面也需要看到新技術(shù)對傳統(tǒng)“修改”“刪除”內(nèi)涵和外延的影響，忽視前者是無的放矢，固守后者則抱殘守缺。根據(jù)我國《個人信息保護法》第8條、《通用數(shù)據(jù)保護條例》第5條第1款(d)項均的規(guī)定，應(yīng)當采取一切合理方式確保不準確的個人信息得以及時更正或刪除?？梢钥闯?，個人信息的修改或刪除旨在確保信息的準確性，防止錯誤或過時信息影響信息主體的權(quán)利行使。如果能夠?qū)崿F(xiàn)相同的效果，在新技術(shù)背景下就應(yīng)當認為是合理的修改或刪除方式。

就修改而言，前文述及存在“鏈外存儲”“添加變色龍哈希”“添加補充說明”等方式，不同方式各具優(yōu)劣，但應(yīng)當結(jié)合區(qū)塊鏈技術(shù)進行綜合判斷?！版溚獯鎯Α钡男畔⒋鎯Ψ绞奖M管回避了區(qū)塊鏈的不可篡改性，但該畫蛇添足的方式使得信息存儲系統(tǒng)更加復(fù)雜，不但沒有發(fā)揮區(qū)塊鏈的功能優(yōu)勢，反而增加了鏈下信息受攻擊和破壞的風險?！疤砑幼兩埞！笔沟脜^(qū)塊鏈具有“可編輯性”，而一旦區(qū)塊鏈變得可編輯，實際上就推翻了區(qū)塊鏈的設(shè)立本旨。相較而言，“添加補充說明”盡管不是實現(xiàn)信息修改的理想方式，但卻是兼顧修改權(quán)行使和區(qū)塊鏈特性的可行方式。但是，結(jié)合前文諾瓦克案，法律應(yīng)當明確“添加補充說明”與刪除權(quán)的適用情形。對于個人信息的刪除權(quán)，傳統(tǒng)理解是信息主體要求信息處理者清除缺乏法律基礎(chǔ)的書面、電子記錄。然而，在區(qū)塊鏈技術(shù)背景下，刪除權(quán)的行使除了前文提及的哈希指針連接外，英國信息委員會辦公室還認為，“刪除”的判斷標準應(yīng)當具有靈活性，數(shù)據(jù)的“不可使用”(beyond use)也可視為數(shù)據(jù)刪除[40]。通過以上分析可以發(fā)現(xiàn)，區(qū)塊鏈技術(shù)與個人信息修改、刪除權(quán)的沖突，很大程度上是因為修改、刪除的含義及方式不明，因而我國立法者需要結(jié)合區(qū)塊鏈技術(shù)發(fā)展明確修改、刪除的新意涵。

3.明確義務(wù)主體：類型化判斷與一般性規(guī)定相結(jié)合

我國《個人信息保護法》規(guī)定個人信息處理者是個人信息保護的義務(wù)主體，當個人信息處理的數(shù)量達到網(wǎng)信部門規(guī)定的標準時，應(yīng)當指定個人信息負責人負責監(jiān)督個人信息處理活動的義務(wù)，這種一般性規(guī)定試圖將所有與個人信息處理活動的主體納入義務(wù)主體的范疇以實現(xiàn)監(jiān)管的有效性，但這又不可避免地導(dǎo)致義務(wù)主體泛化的后果。此外，與個人信息相關(guān)的研究中存在著信息業(yè)者[41]、信息控制者[42]、信息處理者[43]、信息服務(wù)提供者[44]等多種稱謂，這種內(nèi)涵互涉又有所區(qū)別的多詞現(xiàn)象非但未能對區(qū)塊鏈系統(tǒng)中的相關(guān)主體做出合理劃分，反而使得大多數(shù)的討論有意或無意地陷入語詞混用、濫用的窠臼中，使得本來就不易弄清楚的問題更加混亂。對于這一問題，《通用數(shù)據(jù)保護條例》有意識地區(qū)分了數(shù)據(jù)控制者與數(shù)據(jù)處理者，明確個人數(shù)據(jù)處理者是為數(shù)據(jù)控制者處理個人數(shù)據(jù)的實體，因而數(shù)據(jù)處理者不是當然的義務(wù)主體，這一區(qū)分在防止數(shù)據(jù)處理者越俎代庖的同時也明確了數(shù)據(jù)控制者的數(shù)據(jù)保護義務(wù)。

然而，結(jié)合區(qū)塊鏈技術(shù)判斷個人信息保護的義務(wù)主體仍較為復(fù)雜，我國的個人信息保護的義務(wù)主體需要采取類型化判斷與一般性規(guī)定相結(jié)合的方式。之所以需要進行類型化判斷，是因為區(qū)塊鏈按照準入機制可分為私有鏈、聯(lián)盟鏈和公有鏈3種類型。在私有鏈中，一般存在一個中心化實體決定個人信息的處理方式，如果該實體決定采用區(qū)塊鏈技術(shù)來存儲個人信息，則其即為信息處理者，履行個人數(shù)據(jù)保護義務(wù)。而在聯(lián)盟鏈和公有鏈中，存在著軟件開發(fā)者、礦工和節(jié)點用戶等多元主體。軟件開發(fā)者承擔著區(qū)塊鏈技術(shù)應(yīng)用開發(fā)、更新等工作，其在個人信息處理的目的和方式上影響有限，通常不被認為是個人信息處理者；礦工根據(jù)工作量證明的共識協(xié)議來決定是否添加新區(qū)塊，盡管其可以通過選擇共識協(xié)議的類型來影響信息的處理方式，但其是否足以影響信息的處理目的仍在爭議；就節(jié)點用戶而言，前文已有論及，茲不贅述。

此外，就個人信息保護義務(wù)的一般性規(guī)定而言，個人信息在大數(shù)據(jù)時代所具有的社會屬性，海量的個人信息不僅是企業(yè)生存和發(fā)展的生命線，更是國家的戰(zhàn)略資源。然而，大數(shù)據(jù)背景下的信息主體往往缺乏對個人信息收集和處理的實質(zhì)性明知，很多商業(yè)機構(gòu)沒有對信息主體履行充分的告知義務(wù)，個人信息就被“神不知鬼不覺”地收集和利用。即使充分保障信息主體對信息收集和處理的實質(zhì)性明知，每一條個人信息的處理都經(jīng)信息主體知情同意，那么個人每天將在“知情同意”中度過，社會勢必難以有效運轉(zhuǎn)。因此，基于個人信息的所具有社會屬性及中心化機構(gòu)對個人信息權(quán)利可能造成的侵害，需要國家履行個人信息保護的一般性義務(wù)。《個人信息保護法》和《數(shù)據(jù)安全法》都規(guī)定了國家網(wǎng)信部門和國務(wù)院有關(guān)部門對個人信息數(shù)據(jù)的分類分級、審計評估。除此之外，還應(yīng)當細化合目的性要求?！艾F(xiàn)代技術(shù)也是一個合目的的手段，因此，關(guān)于技術(shù)的工具性觀念規(guī)定著每一種把人帶入與技術(shù)的適當關(guān)聯(lián)之中的努力?！盵45]4結(jié)合區(qū)塊鏈技術(shù)，盡管存儲在每一區(qū)塊的信息相同，但通過細化合目的性要求，敏感個人信息入鏈前以知情同意為原則，入鏈后分級分類存儲，最大限度營造區(qū)塊鏈技術(shù)下個人信息保護的制度生態(tài)。

在法學(xué)理論中，密涅瓦的貓頭鷹總是在立法的黃昏才起飛(11)“密涅瓦的貓頭鷹要等到黃昏到來，才會起飛”，雅典娜肩頭上的貓頭鷹總是在黃昏才展開雙翅飛離大地，就是說智慧總是來得太遲了。參見[德]黑格爾：《法哲學(xué)原理》，范揚等譯，商務(wù)印書館1979年版，第14頁。。雖然我國的《個人信息保護法》已施行，但將新技術(shù)應(yīng)用于個人信息保護不能陷入法理貧困的窘境。囿于傳統(tǒng)個人信息保護模式存在的信任危機，區(qū)塊鏈因技術(shù)信任被應(yīng)用于個人信息保護，是個人信息保護信任范式的一次重要轉(zhuǎn)變。但是，區(qū)塊鏈為個人信息保護提供技術(shù)信任的同時也與個人信息權(quán)利行使、義務(wù)承擔存在沖突。堅持區(qū)塊鏈技術(shù)與個人信息保護的融合型治理理念，堅持技術(shù)創(chuàng)新與法律治理的有效溝通與反饋，才能跳出技術(shù)“自嗨”與規(guī)范“自閉”的窠臼，是個人信息保護科學(xué)化和體系化的關(guān)鍵步驟。在此意義上，盡管現(xiàn)行區(qū)塊鏈技術(shù)由1.0版本至4.0版本迅速發(fā)展，但其作為底層技術(shù)，對其開發(fā)和應(yīng)用還有待進一步完善。同時，規(guī)范層面相關(guān)概念的內(nèi)涵和外延應(yīng)當適時融合新技術(shù)的發(fā)展?？枴げㄆ諣栐裕骸八械目茖W(xué)都建立在流沙之上。”[46]就區(qū)塊鏈技術(shù)應(yīng)用于個人信息保護而言，仍是一項未完成的設(shè)計。