李儀 王棟

摘 要：隨著區(qū)塊鏈技術(shù)的運(yùn)用，個(gè)人信息被集中地收集與傳輸、被分散地存儲(chǔ)與利用。這在提高了信息效率的同時(shí)對(duì)信息安全帶來(lái)破壞，由此群體的信息主體的人格權(quán)利被侵害、信息的有效利用也受到阻礙。對(duì)此我國(guó)應(yīng)通過(guò)立法保護(hù)信息主體與利用者權(quán)益，同時(shí)保護(hù)群體信息安全。在制度設(shè)計(jì)中，立法者應(yīng)立足于實(shí)際，將歐洲的被遺忘權(quán)與可攜帶權(quán)等立法成果做語(yǔ)境化的分析借鑒;在制度實(shí)施中，執(zhí)法者與司法者應(yīng)強(qiáng)化對(duì)區(qū)塊鏈產(chǎn)業(yè)的宏觀監(jiān)管，同時(shí)將部分管理權(quán)限下放給行業(yè)自律組織，為維護(hù)信息安全提供機(jī)制保障。

關(guān)鍵詞：區(qū)塊鏈;個(gè)人信息;信息安全風(fēng)險(xiǎn)

中圖分類號(hào)：D920.4? ?文獻(xiàn)標(biāo)志碼：A? ?文章編號(hào)：1002-2589（2020）01-0075-02

區(qū)塊鏈下，虛擬網(wǎng)絡(luò)通過(guò)信息流動(dòng)與現(xiàn)實(shí)社會(huì)聯(lián)結(jié)在一起，個(gè)人信息的保護(hù)也早已超過(guò)個(gè)體安全的范疇，演化成為融合經(jīng)濟(jì)、科技等領(lǐng)域的綜合性議題。破壞個(gè)人信息安全不僅侵害公民個(gè)人的合法權(quán)益，而且干擾了信息社會(huì)的正常秩序。我們應(yīng)通過(guò)多種手段保障個(gè)人信息安全，本文試圖探究個(gè)人信息安全法律保護(hù)的具體途徑。

一、解析區(qū)塊鏈下個(gè)人信息安全的風(fēng)險(xiǎn)

（一）個(gè)人信息及其安全之詮釋

根據(jù)歐盟于2016年頒行的《通用數(shù)據(jù)保護(hù)條例》第4條，個(gè)人信息是指與特定主體關(guān)聯(lián)從而能夠識(shí)別主體特征的數(shù)據(jù)、符號(hào)及其組合。個(gè)人信息一般包括姓名、年齡、籍貫等。自然法學(xué)家普遍認(rèn)為，個(gè)人信息是主體尊嚴(yán)與自由等人格價(jià)值的重要載體，此觀點(diǎn)在我國(guó)《民法總則》第111條中得到采納[1]。同時(shí)在信息科學(xué)視野中，信息保持安全狀態(tài)是維護(hù)主體權(quán)益與促進(jìn)信息資源開(kāi)發(fā)利用的重要條件，信息安全又主要包含如下要素：第一，完整和真實(shí)性。即信息應(yīng)該處于完整和真實(shí)狀態(tài)，以確保主體獲得正確的社會(huì)評(píng)價(jià)。第二，保密性。即信息應(yīng)保持秘密狀態(tài)，未獲主體授權(quán)不得泄露給其他信息控制者，以此確保主體生活的安寧與自由。第三，可用性。即信息在得到信息主體授權(quán)后，得以被谷歌等提供云服務(wù)的運(yùn)營(yíng)商（以下簡(jiǎn)稱“服務(wù)商”）收集后通過(guò)存儲(chǔ)、傳輸?shù)确绞教幚?，再傳輸給公共機(jī)關(guān)及電子商務(wù)企業(yè)等機(jī)構(gòu)加以利用，以此實(shí)現(xiàn)信息的社會(huì)價(jià)值。

（二）區(qū)塊鏈信息安全風(fēng)險(xiǎn)的解因

根據(jù)《中國(guó)區(qū)塊鏈技術(shù)和應(yīng)用發(fā)展白皮書(shū)》，區(qū)塊鏈?zhǔn)且环N去中心化存儲(chǔ)、分布式共識(shí)、加密算法等信息技術(shù)的創(chuàng)新應(yīng)用。區(qū)塊鏈下，利用者能夠運(yùn)用分布式賬本，分節(jié)點(diǎn)地存儲(chǔ)與利用信息，這在提高了信息處理效率的同時(shí)，也對(duì)信息安全帶來(lái)風(fēng)險(xiǎn)。一方面，區(qū)塊鏈作為新興技術(shù)，安全防護(hù)存在薄弱環(huán)節(jié)，并且對(duì)于信息保護(hù)機(jī)制的設(shè)置不合理。惡意節(jié)點(diǎn)可以利用漏洞進(jìn)行雙花攻擊，從而修改與披露區(qū)塊鏈信息，信息的完整性與隱秘性由此被破壞。最典型的事例是，區(qū)塊鏈企業(yè)存儲(chǔ)的個(gè)人信息因黑客攻擊而被篡改與泄露，損失約1 800萬(wàn)元[2]。另一方面，服務(wù)商時(shí)常借助集中收集與傳輸信息的優(yōu)勢(shì)地位，向利用者抬高信息價(jià)格從而謀取不當(dāng)利益，這阻礙了信息的正常流通從而破壞了信息的可用性。

二、中外風(fēng)險(xiǎn)對(duì)策之比較分析

為應(yīng)對(duì)前述風(fēng)險(xiǎn)，歐盟通過(guò)立法提出了對(duì)策。吸取這些對(duì)策中的精髓并審視我國(guó)現(xiàn)行法的不足，這對(duì)于我國(guó)完善立法從而維護(hù)信息安全、維護(hù)主體權(quán)益與促進(jìn)信息開(kāi)發(fā)利用具有積極的借鑒意義。

（一）歐盟風(fēng)險(xiǎn)對(duì)策之取精

根據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》第3章“信息主體的權(quán)利”，信息主體可行使刪除權(quán)、被遺忘權(quán)等權(quán)利，以防止信息的完整性與保密性被破壞;同時(shí)根據(jù)該條例第20條，信息主體與利用者可行使可攜帶權(quán)，向服務(wù)商等信息控制者索取通用化、可讀取和可編輯的信息;同樣根據(jù)該條例第6章“獨(dú)立監(jiān)管機(jī)構(gòu)”，歐盟數(shù)據(jù)委員會(huì)等機(jī)構(gòu)應(yīng)監(jiān)管服務(wù)商對(duì)于信息的收集、存儲(chǔ)與傳輸?shù)然顒?dòng)。對(duì)于前述組織破壞信息安全的行為，監(jiān)管機(jī)構(gòu)應(yīng)協(xié)同行業(yè)自律組織進(jìn)行查究。

前述規(guī)定在歐盟成員國(guó)的立法中也得到了體現(xiàn)。根據(jù)德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》第1編第4節(jié)，在公共機(jī)關(guān)與私人機(jī)構(gòu)運(yùn)用區(qū)塊鏈等大數(shù)據(jù)技術(shù)處理個(gè)人信息之前，原則上應(yīng)經(jīng)過(guò)主體同意;在處理的過(guò)程中，機(jī)構(gòu)應(yīng)當(dāng)采取必要技術(shù)與管理措施來(lái)保持信息的真實(shí)性、完整性與隱秘性等安全屬性;根據(jù)該法第3編第3章第36節(jié)，私人機(jī)構(gòu)任意破壞群體信息安全的，除了向主體承擔(dān)損害賠償?shù)蓉?zé)任外，還應(yīng)當(dāng)向行政部門繳納罰金。與此類似，英國(guó)《數(shù)據(jù)保護(hù)法》也對(duì)信息處理者設(shè)定了維護(hù)信息安全的義務(wù)。該法第三部分規(guī)定，取得了主體授權(quán)的機(jī)構(gòu)得以自主利用信息，從而實(shí)現(xiàn)信息可用性的安全要求。

通過(guò)比較我們發(fā)現(xiàn)，在區(qū)塊鏈下，歐洲在設(shè)計(jì)規(guī)則時(shí)存在如下的趨同性：第一，注重對(duì)群體而非個(gè)體信息的真實(shí)性與保密性的維護(hù)。第二，維護(hù)利用者的權(quán)益，通過(guò)實(shí)現(xiàn)信息的可用性來(lái)便利信息的開(kāi)發(fā)利用。第三，采取行政監(jiān)管與行業(yè)監(jiān)管并行的機(jī)制。

（二）我國(guó)現(xiàn)有法律風(fēng)險(xiǎn)之檢視

目前我國(guó)關(guān)于個(gè)人信息保護(hù)的法規(guī)主要有《民法總則》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等。其中，《網(wǎng)絡(luò)安全法》是我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律，構(gòu)建了我國(guó)信息安全網(wǎng)絡(luò)治理的基本框架。該法厘清了網(wǎng)絡(luò)運(yùn)營(yíng)商、網(wǎng)絡(luò)服務(wù)提供者等主體的責(zé)任;在《民法總則》第111條中，立法者明確了自然人的個(gè)人信息受到法律保護(hù);在2019年1月頒行的《電子商務(wù)法》第二章中，其規(guī)定電子商務(wù)環(huán)境下消費(fèi)者個(gè)人信息不受經(jīng)營(yíng)者侵害。還有一些行政法規(guī)與行業(yè)規(guī)章，譬如工業(yè)與信息化部的《互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》和中國(guó)廣告協(xié)會(huì)《互聯(lián)網(wǎng)定向廣告?zhèn)€人信息保護(hù)聲明》等。在維護(hù)信息主體的人格權(quán)益、規(guī)范信息時(shí)代的社會(huì)秩序等方面，前述規(guī)范的積極意義毋庸置疑。

然而相較歐洲經(jīng)驗(yàn)而言，我國(guó)法制尚存在以下不足：第一，對(duì)區(qū)塊鏈下的社會(huì)需求回應(yīng)能力不足。信息資源的開(kāi)發(fā)利用是區(qū)塊鏈下重要的需求，可用性則是前述需求得以回應(yīng)的重要前提。而現(xiàn)行法偏重對(duì)個(gè)人信息真實(shí)性和保密性的保護(hù)，忽略了對(duì)可用性的滿足，阻礙了區(qū)塊鏈下信息的開(kāi)發(fā)與利用。第二，保護(hù)措施缺乏有效性。區(qū)塊鏈下，服務(wù)商能對(duì)個(gè)人信息進(jìn)行海量收集，這時(shí)常導(dǎo)致不特定多數(shù)主體的信息安全被破壞，進(jìn)而侵害群體權(quán)益。我國(guó)現(xiàn)行法主要針對(duì)個(gè)體權(quán)益的保護(hù)，而欠缺能有效保障群體信息權(quán)益的機(jī)制。第三，制度的實(shí)施手段單一。就現(xiàn)行法而言，我國(guó)主要依靠行政與司法等外部手段強(qiáng)制干預(yù)。而在區(qū)塊鏈下，信息常被分節(jié)點(diǎn)地存儲(chǔ)，它們?cè)诟髯怨?jié)點(diǎn)內(nèi)具有一定管理權(quán)限。在欠缺行業(yè)自律機(jī)制的前提下，我國(guó)單靠立法這樣的外部手段很難引導(dǎo)機(jī)構(gòu)完善內(nèi)部管理來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)。

三、風(fēng)險(xiǎn)的法律應(yīng)對(duì)機(jī)制之具體構(gòu)造

（一）信息利用者的權(quán)益保障機(jī)制：回應(yīng)信息可用的安全需求

區(qū)塊鏈下，個(gè)人信息可用性的實(shí)現(xiàn)可以推動(dòng)信息產(chǎn)業(yè)的發(fā)展，也能夠滿足信息主體的服務(wù)需求。為回應(yīng)這一訴求，我國(guó)宜借鑒歐洲立法，按照可用性這一信息安全標(biāo)準(zhǔn)設(shè)置如下規(guī)則，以此體現(xiàn)信息開(kāi)發(fā)利用的價(jià)值取向：第一，利用者有權(quán)要求服務(wù)商對(duì)信息進(jìn)行合理計(jì)價(jià)，同時(shí)針對(duì)服務(wù)商阻礙信息合理傳輸?shù)男袨椋ㄈ缛我馓Ц咝畔r(jià)格并降低質(zhì)量）向行政部門投訴或向司法機(jī)關(guān)起訴。第二，對(duì)在區(qū)塊鏈中合法獲取的信息，利用者有權(quán)加以利用并防止侵害。根據(jù)國(guó)際標(biāo)準(zhǔn)組織于2014年制定的《公共云下個(gè)人信息保護(hù)實(shí)踐中的安全技術(shù)規(guī)范》第7點(diǎn)，利用的方式包括對(duì)信息進(jìn)行接收、分析、比對(duì)以及向服務(wù)商反饋等[3]。為防止服務(wù)商與利用者濫用信息優(yōu)勢(shì)地位侵害信息主體的權(quán)利，立法者應(yīng)對(duì)利用者的前述權(quán)利行使設(shè)定如下限制：第一，原則上對(duì)于信息的利用應(yīng)征得信息主體的同意，法律有例外規(guī)定的除外。第二，在信息的生命周期中，應(yīng)采取合理措施以確保信息處于完整和真實(shí)狀態(tài)。

（二）信息主體權(quán)益的強(qiáng)化保護(hù)機(jī)制：治理群體信息安全風(fēng)險(xiǎn)之公害

為應(yīng)對(duì)區(qū)塊鏈下主體人格權(quán)益因信息安全風(fēng)險(xiǎn)而面對(duì)的挑戰(zhàn)，立法者宜在現(xiàn)行法基礎(chǔ)上增設(shè)如下規(guī)則：第一，主體有權(quán)要求運(yùn)營(yíng)商刪除個(gè)人信息和傳播痕跡，以保持信息的隱秘狀態(tài)。針對(duì)區(qū)塊鏈不可刪除的特點(diǎn)，立法者宜要求運(yùn)營(yíng)商改良新技術(shù)，允許用戶刪除個(gè)人信息，以此尊重信息主體的被遺忘權(quán)[4]。第二，利用者對(duì)信息加以利用并獲取利益的，應(yīng)向主體分配部分收益。個(gè)人信息能被收集、存儲(chǔ)與傳輸進(jìn)而產(chǎn)生經(jīng)濟(jì)效益。按照分配正義的價(jià)值尺度，信息生產(chǎn)者理應(yīng)從中獲取收益。第三，服務(wù)商應(yīng)通過(guò)特定途徑（如建立跨區(qū)塊鏈信息傳遞機(jī)制），確保主體能利用自身信息從而實(shí)現(xiàn)信息的可用性，打破信息壁壘。第四，服務(wù)商與利用者危害信息安全并侵害主體權(quán)益時(shí)，后者有權(quán)請(qǐng)求侵害人按照實(shí)際損失的一定比例支付賠償金。比照我國(guó)法院對(duì)類似公害案件的司法裁決，賠償金的具體倍數(shù)可以按照損害所涉及的地域范圍與受害主體人數(shù)等因素來(lái)確定，一般為2-5倍。

（三）區(qū)塊鏈產(chǎn)業(yè)的雙重監(jiān)管機(jī)制：消除安全風(fēng)險(xiǎn)的產(chǎn)業(yè)內(nèi)部誘因

區(qū)塊鏈下，個(gè)人信息在被服務(wù)商集中收集與傳輸?shù)耐瑫r(shí)，又被利用者分節(jié)點(diǎn)存儲(chǔ)與利用。為應(yīng)對(duì)技術(shù)革新引發(fā)的變局，我國(guó)應(yīng)按照如下思路優(yōu)化配置監(jiān)管資源，重構(gòu)現(xiàn)有監(jiān)管機(jī)制，強(qiáng)化信息安全保障效能。一方面，在行政與司法監(jiān)管層面，通過(guò)創(chuàng)新監(jiān)管模式，豐富監(jiān)管手段從而延展監(jiān)管覆蓋面，提升監(jiān)管的管控力，保障行政與司法機(jī)關(guān)對(duì)于區(qū)塊鏈企業(yè)的監(jiān)督。譬如行政主管機(jī)關(guān)（如工業(yè)與信息化部）負(fù)責(zé)宏觀調(diào)控，立足全局對(duì)于區(qū)塊鏈產(chǎn)業(yè)進(jìn)行監(jiān)管，優(yōu)化區(qū)塊鏈產(chǎn)業(yè)的發(fā)展環(huán)境（如將違法企業(yè)納入黑名單數(shù)據(jù)庫(kù)）;另一方面，授權(quán)行業(yè)自律組織以行政規(guī)范為指引，發(fā)揮內(nèi)部治理的靈活性，結(jié)合行業(yè)規(guī)律進(jìn)行微觀治理，克服行政監(jiān)管的滯后性。

參考文獻(xiàn)：

[1]胡平仁，梁晨.人的倫理價(jià)值與人的人格利益 [J].法律科學(xué)，2012（4）：19.

[2]搜狐科技.黑客篡改區(qū)塊鏈交易數(shù)據(jù)，短短一周賺取超1800萬(wàn)元[EB/OL].[2019-05-25]. http：//www.sohu.com/a/232856432_

401710.

[3]Cyber security：protection of personal data online[EB/OL].[2016-06-25].http：//www.publlications parliament.uk/pa/cm

201617/cmselect/cmcumds/148/14802.htm.

[4]李佩麗，徐海霞，馬添軍，穆永恒.可更改區(qū)塊鏈技術(shù)研究[J].密碼學(xué)報(bào)，2018（12 ）.

收稿日期：2019-06-13

基金項(xiàng)目：國(guó)家社會(huì)科學(xué)基金項(xiàng)目“大數(shù)據(jù)時(shí)代個(gè)人信息盜竊的法律問(wèn)題與對(duì)策研究”（16CFX027）的階段性研究成果

作者簡(jiǎn)介：李儀（1981-），男，四川成都人，教授，博士、博士后，從事信息管理學(xué)與情報(bào)學(xué)研究;王棟（1998-），男，江蘇淮安人，助理研究人員，從事信息法學(xué)研究。