今年的“3·15晚会”在广播中,许多企业因侵犯消费者权益而被曝光。例如,许多知名品牌使用人脸识别摄像头非法获取消费者个人信息。
区块链技术的一些特点(如公共和私人钥匙机制、加密算法等)被认为有利于个人信息保护,但在实践中,区块链分布式和弱集中的特点使得个人信息保护的义务和责任难以实施。因此,我们需要进一步思考和探索区块链在个人信息保护中的应用。
1.区块链技术和个人信息保护法的基本概念
(一)区块链技术
区块链技术本质上是一种以多个实体(节点)为共同目的(应用场景)在安全环境(不对称加密)下的大量数据(算法)的技术。
区块链技术不需要集中平台信用认可或作为信息处理中介完成交易,是一种分散的点对点分布式信息集成技术,技术内容包括 *** 多节点达成共识机制、智能合约、防篡改时间戳和不对称加密技术等。
基于区块链技术可以开发诸多应用,例如最早期金融领域的比特币等数字货币,除此之外,逐渐广泛用于信息追溯、存证、物流、认证、产权管理等领域,涉及 *** 科技、医疗、能源、农业、电商、旅游、服务等行业。
(二)个人信息保护法
《个人信息保护法(草案)》首先定义了个人信息,并特别规定了敏感信息,将匿名信息排除在个人信息之外;其次,围绕“告知-同意”设定个人信息的处理规则,也包括目的明确、个人信息处理最小化等原则;再次规定了个人对被收集的信息享有的各种权益,例如查阅、复制、更正、补充、请求删除等;最后与保障个人权利相对应,规定了处理个人信息的公司、平台等主体的义务,包括内部技术和组织措施、敏感信息或者高风险处理行为的事前评估、跨境传输特殊规则等。
《个人信息保护法(草案)》的核心概念内容和制度框架设计以及欧盟GDPR(《通用数据保护条例》)是一致的,GDPR以保护个人基本权利为出发点,规定数据控制器和数据处理器应当在获得数据主体同意的前提下,依照透明度等原则,保护个人对数据的充分控制。
(3)区块链技术挑战个人信息保护法
区块链技术的核心特点是点对点传输机制,不依赖集中平台集中处理数据,因此个人信息保护法律要求公司、平台处理个人信息主体的义务和责任难以落实,因为区块链技术没有公司、平台等主体集中处理个人信息。区块链技术通过算法自动处理数据并完成交易。从技术实现的角度来看,人工干预越少越好,以提高效率,防止篡改,这与个人对个人信息享有的要求纠正和撤回信息的决策和控制相矛盾。
简单地说,区块链技术中可能存在个人信息保护法的规定“谁承担义务?”、“向谁主张权利”以及“索赔的权利难以实现”的问题。
(4)促进区块链技术个人信息保护法
区块链技术的一些特点有利于个人信息的保护。《数据安全法(草案)》明确要求建立数据可追溯性系统,以追溯个人信息的直接或间接来源。《 *** 安全法》和《个人信息保护法(草案)》规定,应防止未经授权的访问信息、加密、去标识化和信息泄露。区块链技术逐一记录节点信息的创建和运行,并通过时间戳和多个会计核算交叉验证,以确保信息的准确性。这些技术特征有利于个人信息的保护。此外,区块链技术可以追溯信息处理的整个过程,可以增强个人对信息的控制。
2.区块链技术适用于个人信息保护法的主要问题
(1)个人信息处理者的角色定位和责任分配
问责制和责任制是实施 *** 安全和个人信息保护制度的核心。《个人信息保护法(草案)》将处理个人信息的主体分为个人信息处理器和委托受托人。前者是指能够独立决定处理目的和方式的组织和个人。后者只能按照个人信息处理器的指示处理。此外,它还涉及合并、共享和嵌入SDK由于第三方软件和其他原因处理信息的第三方有不同的义务和责任。《 *** 安全法》将上述主体统一称为 *** 运营商,并设定了 *** 安全和数据保护义务。GDPR处理个人信息的主体也分为信息控制器和信息处理器,但概念规定了信息控制器决定处理的目的和 *** ,并为信息控制器设定了更多的义务,GDPR另外,所有接收数据的一方都被统一地称为数据接收者。
区块链由提供分布式分类帐的节点组成。每个节点通过密码算法和分布式存储点对点处理数据。没有集中的数据处理器。从这个意义上说,每个节点都是数据控制器或数据处理器。区块链对数据的处理模式高度自动化,模糊了数据控制器和数据处理器之间的角色分工和界限。同时,由于不同的节点需要实现不同的功能(如负责分类帐数据一致性的共识节点和负责分类帐数据完整性的记账节点),区块链中每个节点的角色分工很难根据个人信息保护法确定处理目的和方节点,从而承担相应的责任和义务。
区块链节点在信息处理中的作用难以区分,导致责任分工不明确。个人信息保护法要求能够共同决定信息处理目的和 *** 的主体承担连带责任。受托人接受委托按照指示处理数据的,不能 *** 委托他人处理个人信息,这是基于明确区分责任主体。此外,由于它是一种分布式处理技术,每个节点可能不仅是信息控制器或处理器,而且是信息的来源和提供者,这使得个人信息保护法与控制器或处理器对应的个人信息主体之间的概念模糊。无论是中国的个人信息保护法还是GDPR,其信息控制人和处理人包括单位和个人,并不排除个人在处理人或控制人之外,因此法律保护的权利主体可能是区块链技术下的义务主体。此外,区块链技术通过算法实现,实时转换和大量发生这种权利和义务,法律规则是稳定的。当试图系统地定位或监管案件而不仅仅是从法律的角度来看时,就会遇到障碍。
造成这种困境的根本原因是个人信息保护法的制度设计是集中的“伞状”区块链技术本质上是分散的“网状”在设计中,个人信息保护法将责任归类为集中处理数据的顶级平台,平台对个人信息主体承担义务,个人信息主体享有权利。区块链中没有这样的集中处理数据平台,传统集中平台的数据处理功能由链中的节点和算法共同实现。由于实现功能的方式不同,将个人信息保护法设定的责任机制转移到区块链将受到挑战。
(二)个人信息处理原则和法律原因规则
个人信息保护法要求在最短的时间内为特定目的处理最少的个人信息,并确保数据的真实性、准确性和安全性。《个人信息保护法(草案)》规定的处理个人信息的原则主要包括合法、合法、明确的目的,只处理实现目的所需的最少信息,确保信息的准确性和及时更新。GDPR个人信息处理个人信息处理原则,包括法律、公平和透明度、目的限制、数据处理的最小化和准确性、存储期限和数据完整性和保密性。
基于上述原则,《个人信息保护法(草案)》规定,个人信息只能在特定情况下处理,包括取得个人同意、按合同或法律规定处理紧急情况、以公共利益为目的在特定范围内处理个人信息,并对同意规则进行了详细规定,如确保个人在充分了解的前提下自愿明确同意。GDPR也是围绕“告知-同意”设计分通知的前提下,设计处理规则需要明确同意特定的处理行为。
就“告知-同意”规则和根据合同约定处理而言,区块链技术依赖智能合约在不同的计算机之间达成协议,本质上是一种可自动执行的计算机程序,如同APP智能合同通过个人信息保护政策和弹出窗口通知用户并获得用户同意,将交易规则和条件从文本转换为数据,并在计算机之间通话。智能合同也是可扩展的,可以根据规则创建和编译。区块链共识机制主要是为了确保节点之间的一致性,即节点同意按照一致规则处理数据,不仅需要同意处理数据,还需要同意一致的处理规则。可以看出,在区块链技术中“告知-同意”规则与合同约定同步,但在个人信息保护法中,如GDPR在这种情况下,处理个人信息的合法性基础边界非常模糊,明确禁止事后选择合法处理的基础。
(三)个人信息主体权利
个人信息保护法的主要立法目的是保护个人权益,促进个人信息的合法利用。《个人信息保护法(草案)》赋予个人撤回同意、限制和拒绝处理信息的权利。个人有权查阅、复制个人信息、纠正和补充个人信息,并要求删除个人信息。GDPR规定大致相同,但也包括数据可携带权的规定。可携带权与复制或访问个人信息权的区别在于,可携带权要求数据控制器将数据分类为机器可读的机构形式,并自动传输给个人指定的其他数据接收器。
虽然区块链技术对相互操作的要求有利于实现可携带权、查询和复制权等,但总体而言,个人信息保护法作为自然人赋予个人决策权和控制信息的权利会造成人为干扰。个人可以在信息收集、使用和消失的整个生命周期中依法主张权利,但区块链应实现数据的高度自动化处理,并尽量减少人为干预,以确保计算效率和准确性。如果个人需要纠正、补充和删除个人信息,可能导致信息不准确,信息分散存储在每个节点,如何广播通知所有节点,确保每个节点采取一致的行动,如何确保节点执行机器转换内容和个人主张,节点是否需要根据数据控制或委托处理不同的要求采取不同的行动。
(4)个人信息类型和匿名化
《个人信息保护法(草案)》规定,个人信息是以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,包括种族、民族、宗教信仰、个人生物特征、医疗保健、金融账户、个人下落等敏感信息。匿名信息不是个人信息。GDPR这一规定大致相同。例如,所有被识别或可识别的个人都是个人信息,但也有所不同。例如,只有强调主要涉及自动化处理的信息才适用GDPR的规定,GDPR原则上,禁止处理敏感信息,将匿名信息分为假名化和匿名化。
中国个人信息保护法律对个人信息的载体规定更加宽松,包括电子方式体现的个人信息,也包括其他非电子方式体现的个人信息。而区块链中的个人信息均以电子方式体现,当然适用个人信息保护法律。而链下存储的信息有的以电子方式体现,有的可能以手写记录密码等非电子方式体现,也需要适用个人信息保护法律的规定,而GDPR如果不以自动化的方式处理数据而不形成文档,则无需适用GDPR规定的。
匿名性是区块链技术的初衷和目标。加密是一种匿名技术。区块链常用的加密技术包括非对称加密、同态加密和哈希函数,以实现不同的识别和验证目的。例如,在数字货币发行、采矿和交易中,公钥加密和私钥解密是一种不对称加密。在个人信息保护的法律背景下,理论上只要匿名也就是说,不是个人信息,不需要同意和其他法律原因可以处理,但在实践中实现匿名技术除了加密,每种技术可以实现不同程度的匿名,如GDPR规定个人在处理数据后仍可通过假名化技术识别,因此不完全匿名,仍需适用GDPR规定。因此,区块链采用的加密等匿名技术是否能满足个人信息保护法的要求存在疑问,如加密后的信息是否可逆转和重新识别个人。
区块链技术的应用涉及到大量的敏感信息,密码本身就是一种广泛的敏感信息。例如,比特币等数字货币的发行和交易将涉及身份识别、银行账户信息、识别信息、电子签名、密码等。数字货币的发行和交易本质上是机器处理数据的过程。为了确保真实性,需要广播到每个节点记录和验证相同的交易。在此过程中,个人财务信息的披露和个人匿名身份的识别应考虑个人信息保护法的要求,如防止披露特定的交易细节或识别用户。
同时,根据个人信息保护法,未经同意或者必须依法处理个人信息,以履行法律义务或者依法处理个人信息。例如,反洗钱法要求验证用户的真实身份,在中国使用区块链提供信息服务需要满足 *** 实名系统的要求。
(五)个人信息处理的技术和组织措施
《个人信息保护法(草案)》和《 *** 安全法》规定了个人信息处理者和 *** 运营商应采用的个人信息安全保护制度,如分类、去标识化、访问控制、应急预案等,GDPR一般要求是在默认情况下通过制度设计保护个人权利。
根据个人信息保护法的规定,高风险个人信息处理行为需要采取适应风险程度的特殊保护措施,高风险个人信息处理行为包括标签、肖像、自动化决策等,明确要求使用个人信息进行自动化决策前的风险评估和记录。虽然区块链从技术实现的角度需要尽可能保持一致性、自动化和减少人为干预,但从法律角度考虑合规,如中国个人信息保护法明确要求,个人有权拒绝个人信息处理者只通过自动决策,通过自动决策商业营销、信息推送,应同时提供其个人特征。
个人信息保留期是个人信息保护法的关键问题,其基本要求仅在必要的期限内保留信息,根据中国个人信息保护法,保留期为6个月(如 *** 日志)至3年(电子商务服务信息、直播信息等)。理论上,虽然区块链技术倾向于或使信息可以永久保留,但需要考虑信息存储的法律规定;由于区块链信息分散存储在节点,如何通知删除和完全删除也是编制智能合同设置交易条件时需要考虑的因素。《个人信息保护法(草案)》实际上为技术发展提供了冗余空间。例如,如果规定技术难以删除,则可以停止处理个人信息而不是删除。
(六)个人信息保护法的适用范围和跨境传输
虽然 *** 空间使物理区域的范围越来越毫无意义,但仍需遵守现行的法律框架规则。《个人信息保护法(草案)》扩大了法律的范围。除中国个人信息处理行为需要遵守法律规定外,还需要遵守中国的法律规定,为中国提 *** 品或服务,分析和评价中国的自然人行为。GDPR类似的规定适用于在欧洲经济区设立机构或向欧洲经济区个人提 *** 品、服务或监控其行为GDPR的规定。
区块链技术是一种超越国界的技术,如基于区块链的数字货币应用,甚至超越国家货币发行 *** ,实现数据点对点传输。因此,无论公司注册在哪个国家或服务器位于哪个国家,节点参与者来自世界各地,个人信息保护法都可能被确认为向国家提供商品或服务。此外,根据中欧个人信息保护法的规定,在境外处理国内个人信息也需要在国内设立代表机构。因此,在极端情况下,需要逐一考虑每个国家是否有在当地设立代表处的要求,所有国家法律都需要考虑。
3.区块链技术适用于个人信息保护法的合规建议
目前,根据中国法律的规定,有近1000家区块链企业通过备案,包括使用区块链技术和从事区块链技术研发的企业的应用。中国鼓励区块链技术的发展,但完全禁止数字货币的发行和融资。世界各地的区块链企业包括软件开发者、平台提供商、各行业的应用程序,如以太坊等提供智能合同底层技术的平台。从事区块链技术研发或使用区块链技术开发商品或提供服务的企业或平台需要考虑的个人信息保护法律问题包括:
(一)顶层设计选择合规风险小的区块链部署方式
根据行业流行的分类,区块链一般可分为私有链、联盟链和公共链。从是否需要许可加入节点开始,可分为许可链和非许可链。由于私有链和联盟链限制了节点开放的规模和实体,链上的数据比任何人都可以参与的公共链更可控。如果节点通过许可机制进行验证和注册,则从个人信息保护和可追溯性的角度来看,合规性更高。
(2)有意识地区分区块链中的许多主要角色和责任
区块链有软件开发人员、平台提供商、会计节点、验证节点、矿工等多个主体,如果根据个人信息保护法的规定,需要一对应的多个主体是决定处理目的和方式、接受委托处理数据或信息收集或处理用户个人等,形成权利义务分配和责任符合法律规定的预设。虽然区块链是通过分散的数据处理、开发人员、平台等不集中存储、管理数据,开发人员、平台本身是否属于信息控制人或处理人仍是需要考虑的因素,但无论如何都需要履行法律规定的信息安全和个人信息保护义务。
(3)考虑需要遵守的法律强制性规定
区块链的技术创新包括匿名交易,也会带来隐患,比如用数字货币洗钱。例如,需要考虑基于区块链技术的数字货币“了解您的客户”原则上,根据反洗钱法收集客户信息,根据中国 *** 实名制收集用户手机号码、身份证号码等真实信息,根据中国 *** 内容生态审计要求审核区块链信息发布的内容。此外,中国法律通常规定“除法律、行政法规另有规定外”,避免或必须处理各自行业的特殊规定。
(四)建立人工干预机制
理想的区块链信息都是通过机器计算和处理的,但为了满足个人信息保护法的规定,需要建立适当的人工干预机制,如个人主张访问、纠正、删除能够及时有效响应,在自动化决策中实现人工审计纠正机制。在编写智能合同时,需要提前考虑。如果链上的信息在时间戳后不能直接更正或删除,则需要通过添加代码来重写信息,以确保准确性。
(五)采取适当的技术和组织措施
单一和孤立的技术措施或组织措施不能保护个人信息,也不能满足法律要求。例如,在通过不对称加密匿名技术加密信息后,如果不采取有限的访问控制、单独存储信息和其他组织措施,则可以再次识别个人信息。另一个例子是,为了避免违反个人信息保护法,可以对个人信息进行分类,只存储在链下识别个人可能性或敏感信息。
4.总结区块链技术和个人信息保护法
区块链技术作为一种典型的颠覆性技术,实际上符合科技发展使生产生活虚拟化的趋势,进一步削弱了工业时代作为信用认可和信息中介平台的功能,实现了每个节点的个性化和点对点定制信息处理。但区块链技术仍在发展中,许多应用程序仍处于未知状态。与此同时, *** 的发展使大量的个人信息收集成为现实,利用个人信息可以深入探索人们的需求来实现商业价值,因此有必要通过法律对个人信息进行特殊的保护。可以看出,区块链技术和个人信息保护法都处于发展过程中,因此交界处的碰撞是不可避免的。区块链技术以节点利用机器分散数据处理为特征,个人信息保护法以数据控制和处理者集中处理人类信息为逻辑,个人信息保护法是以人为中心设计的系统,区块链技术和算法仍需要考虑现实生活中的区块链技术和个人信息。