區(qū)塊鏈與個人信息保護法律規(guī)范的內(nèi)生沖突及其調(diào)和

王祿生

(東南大學 法學院，江蘇南京 211189)

引言

近年來，有關(guān)區(qū)塊鏈技術(shù)和個人信息保護相結(jié)合的討論日益豐富。與論者認為區(qū)塊鏈中加密算法、共識機制、去中心化存儲和智能合約等要素能夠有效化解當前個人信息保護面臨的困境，為知情同意、隱私保護、數(shù)據(jù)安全、數(shù)據(jù)共享帶來全新可能。首先，區(qū)塊鏈分布式賬本的數(shù)據(jù)架構(gòu)能夠避免中心化的個人信息存儲帶來的弊端，個人可以通過節(jié)點掌握個人數(shù)據(jù)的使用，從而獲得對自己數(shù)字信息和在線身份的控制權(quán)； 參見Michael Mainelli, , Havard Business Review(October 05, 2017), https://hbr.org/2017/10/smart-ledgers-can-help-us-reclaim-control-of-our-personal-data; Clare Sullivan & Eric Burger, - , 33 Computer Law & Security Review 460, 475(2017). 其次，區(qū)塊鏈鏈式存儲和不可篡改的特性，使得鏈上記錄了從創(chuàng)世區(qū)塊開始的所有信息。個人信息訪問、交互的所有行動均被記錄，且不可篡改、刪除與偽造。 參見Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.iii. 再次，區(qū)塊鏈利用加密算法可以極大提升個人數(shù)據(jù)的安全性。 參見M. H. Onik et al., - , 9 Open Computer Science, Volume 80, 80-91(2019). 最后，區(qū)塊鏈去中心化的信任機制以及加密算法的運用可以實現(xiàn)不需要第三方機構(gòu)信任背書的個人信息安全共享。參見Shraddha Kulhari, - : , Nomos Verlagsgesellschaft Mbh & Co, 2018, p31-34.

隨著區(qū)塊鏈技術(shù)的發(fā)展，不少國家與地區(qū)的官方機構(gòu)開始關(guān)注區(qū)塊鏈在個人信息保護領(lǐng)域的可能，相關(guān)的實踐也在一定范圍內(nèi)推動。歐洲議會2019年發(fā)布的研究報告《區(qū)塊鏈與通用數(shù)據(jù)保護條例》(Blockchain and the General Data Protection Regulation)，對區(qū)塊鏈在個人信息保護方面的應(yīng)用做了全面的分析。與此同時，歐盟委員會也推動成立“歐盟區(qū)塊鏈瞭望臺與論壇”(EU Blockchain Observatory and Forum)，旨在加速歐盟內(nèi)部的區(qū)塊鏈創(chuàng)新和區(qū)塊鏈生態(tài)系統(tǒng)的發(fā)展。該機構(gòu)成立后發(fā)布了多份區(qū)塊鏈與個人信息結(jié)合的研究，比如《區(qū)塊鏈與GDPR》(Blockchain and the GDPR)《區(qū)塊鏈與在線身份》(Blockchain and Digital Identity)。2019年9月，德國正式發(fā)布國家區(qū)塊鏈戰(zhàn)略，對該技術(shù)在個人征信等諸多領(lǐng)域的應(yīng)用做了全面規(guī)劃。參見Federal Ministry for Economic Affairs and Energy of German, : , https://www.bmwi.de/Redaktion/EN/Publikationen/Digitale-Welt/blockchain-strategy.pdf?__blob=publicationFile&v=3.在頂層規(guī)劃的推動下，結(jié)合區(qū)塊鏈技術(shù)展開的個人信息創(chuàng)新項目開始在世界范圍內(nèi)方興未艾。總而言之，區(qū)塊鏈影響現(xiàn)已超越金融領(lǐng)域，開始向身份管理、民主參與、公司治理等諸多領(lǐng)域擴展。參見Shraddha Kulhari, - : , Nomos Verlagsgesellschaft Mbh & Co, 2018, p.15-16.

與個人信息保護的結(jié)合，同樣是我國區(qū)塊鏈發(fā)展的重要方向。2019年10月24日，習近平總書記在中央政治局第十八次集體學習時就明確提出，“把區(qū)塊鏈作為核心技術(shù)自主創(chuàng)新重要突破口”“探索利用區(qū)塊鏈數(shù)據(jù)共享模式”。有學者認為，區(qū)塊鏈可以加大對個人信息商業(yè)化的規(guī)范力度，強化對信息主體的保護，實現(xiàn)通過信息科技手段科學管理和規(guī)范個人信息交易的目標。在國家網(wǎng)信辦發(fā)布的五批境內(nèi)區(qū)塊鏈信息服務(wù)備案的1238個區(qū)塊鏈應(yīng)用中，有多個直接涉及身份認證、征信管理、電子證照共享等方面，涉及知識產(chǎn)權(quán)、金融股票、房產(chǎn)交易、數(shù)據(jù)資產(chǎn)等個人財產(chǎn)、交易信息存證的區(qū)塊鏈則占據(jù)了更大比例?？梢灶A(yù)見，在頂層規(guī)劃與實踐需求的雙重加持之下，我國區(qū)塊鏈與個人信息結(jié)合的應(yīng)用將會日益豐富。

然而，在肯定區(qū)塊鏈應(yīng)用于個人信息領(lǐng)域的前景的同時，我們也不能忽視從形式上看區(qū)塊鏈的技術(shù)邏輯與現(xiàn)有的個人信息法律規(guī)范之間存在的不同程度的沖突與抵牾。舉例而言，區(qū)塊鏈以數(shù)據(jù)的不可篡改性為核心特征并構(gòu)建去中心化的信任機制，然而個人信息保護法律規(guī)范中普遍允許信息主體請求刪除和更正個人信息。由此，個人信息刪除與更正在區(qū)塊鏈的應(yīng)用中如何實現(xiàn)？更為重要的還在于，我國現(xiàn)有個人信息保護的規(guī)范整體上較為抽象，相關(guān)核心概念帶有不確定性。這進一步加劇了區(qū)塊鏈在個人信息保護領(lǐng)域應(yīng)用的合法性困境。舉例而言，個人信息保護法律規(guī)范允許網(wǎng)絡(luò)運營者在匿名化的前提下使用信息而免于刪除。然而，現(xiàn)行法律規(guī)范對何謂“匿名”的界定相對抽象，如《個人信息保護法》(下稱《個保法》)第73條。隨之而來便是一系列相關(guān)的問題，比如經(jīng)過哈希函數(shù)轉(zhuǎn)化并“上鏈”的個人信息是否屬于匿名化？現(xiàn)有法律規(guī)定，網(wǎng)絡(luò)運營者在收集個人信息時需要“保密”，采用公鑰和私鑰加密是否滿足“保密”需求？區(qū)塊鏈各節(jié)點地位平等，既處理本節(jié)點的數(shù)據(jù)，也通過共識機制驗證和共享其他節(jié)點的數(shù)據(jù)。按照此種結(jié)構(gòu)，個人作為公共區(qū)塊鏈節(jié)點(尤其是全節(jié)點)時實際上既使用服務(wù)又為其他節(jié)點提供服務(wù)。那么個人是否構(gòu)成“網(wǎng)絡(luò)服務(wù)者”“區(qū)塊鏈服務(wù)提供者”或“個人信息處理者”？如果構(gòu)成，個人如何承擔《網(wǎng)絡(luò)安全法》《個保法》所賦予的一系列安全保障、登記注冊、刪除更改的義務(wù)？上述合法性困境從表面上看起源于法律文本與區(qū)塊鏈技術(shù)特征的內(nèi)生沖突，但究其深層原因則與個人信息保護規(guī)范的抽象性與核心概念的不確定性緊密相關(guān)。因此，區(qū)塊鏈應(yīng)用合法性困境的解決就不能僅僅圍繞法律文本展開，而是要跳出法律文本，對“絕對刪除”與“相對刪除”、“去標識化”“假名化”與“匿名化”、“實質(zhì)控制”與“相對控制”、“目的限縮解釋”與“目的場景解釋”等多組相互沖突的理論路徑進行選擇。當然，這些路徑的選擇并非天馬行空，而是要受利益平衡立場的影響。概而言之，立場決定了合法化路徑的選擇進而決定了合法化方案的確定。唯有遵循從路徑證成到制度展開的邏輯，才能使得脫鏈存儲、密鑰刪除、非明文存儲、承諾模式、許可區(qū)塊鏈、輕量級節(jié)點、區(qū)塊鏈修剪、零知識證明等具體銜接方案具有統(tǒng)一的指向性和充分的理論來源。

一、區(qū)塊鏈與個人信息保護法律規(guī)范的內(nèi)生沖突

區(qū)塊鏈的技術(shù)發(fā)展日新月異，不同的主體可能采用不盡相同的技術(shù)架構(gòu)。比如一般而言，區(qū)塊鏈的各節(jié)點地位平等，然而，聯(lián)盟鏈和私有鏈卻允許“超級節(jié)點”存在。又比如通用區(qū)塊鏈中各節(jié)點均為完整節(jié)點，保有全局數(shù)據(jù)，但也不排除特定區(qū)塊鏈中存在“全節(jié)點”和“輕節(jié)點”的區(qū)分，前者保留全局數(shù)據(jù)，后者僅保留與節(jié)點服務(wù)相關(guān)的數(shù)據(jù)。因此，本部分的探討更多是從通用區(qū)塊鏈技術(shù)的一般特征展開，也就是大家慣常所了解的分布式存儲、共識機制、加密算法、智能合約等技術(shù)特征。整體而言，被譽為第四次工業(yè)革命發(fā)動機的區(qū)塊鏈技術(shù)固然與個人信息保護的理念存在諸多契合之處，但同時也與我國現(xiàn)行的法律規(guī)范形成不同程度的沖突。

(一)區(qū)塊鏈不可篡改性與個人信息刪除、更正的沖突

我國個人信息保護的法律規(guī)范奉行個人信息控制的理念，并由此演化出系列制度設(shè)計，其中就包括個人信息的刪除和更正?！毒W(wǎng)絡(luò)安全法》第43條規(guī)定，個人發(fā)現(xiàn)網(wǎng)絡(luò)運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權(quán)要求網(wǎng)絡(luò)運營者刪除其個人信息；發(fā)現(xiàn)網(wǎng)絡(luò)運營者收集、存儲的其個人信息有錯誤的，有權(quán)要求網(wǎng)絡(luò)運營者予以更正?！肚謾?quán)責任法》中亦有被侵權(quán)人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者予以刪除的規(guī)定。雖然，上述規(guī)范并未言明“刪除權(quán)”和“更正權(quán)”，但從現(xiàn)有立法的發(fā)展趨勢上看，“刪除”與“更正”有權(quán)利化認定和權(quán)能擴張的可能。《民法典》關(guān)于個人信息“更正”和“刪除”的規(guī)定就在“第四編 人格權(quán)”之下?！秱€保法》則在“第四章 個人在個人信息處理活動中的權(quán)利”中規(guī)定更正、補充與刪除的權(quán)利，并對上述權(quán)利的適用情形做了超過《網(wǎng)絡(luò)安全法》的擴張?？傊?，“刪除(權(quán))”與“更正(權(quán))”是個人信息保護法律規(guī)范體系的重要內(nèi)容。個人信息以“同意”開始，以“更正”居中，以“刪除”結(jié)尾，貫穿于個人信息使用的全生命周期。

然而，區(qū)塊鏈以不可篡改性為核心技術(shù)特征。該特征使得個人信息區(qū)塊鏈應(yīng)用直接面臨信息刪除與更正的規(guī)范沖突。具體而言，區(qū)塊鏈是區(qū)塊按時間順序生成、以鏈的方式組合在一起的分布式賬本系統(tǒng)，系統(tǒng)中的各方共同參與數(shù)據(jù)的寫入和維護，同時系統(tǒng)中各方都擁有實時更新的數(shù)據(jù)庫副本。數(shù)據(jù)的鏈式結(jié)構(gòu)儲存保障了數(shù)據(jù)只可以被寫入或讀取，并依靠區(qū)塊間的哈希指針和區(qū)塊內(nèi)的 Merkle樹實現(xiàn)鏈上數(shù)據(jù)的不可篡改。工作量證明(PoW)、權(quán)益證明(PoS)等共識機制保證單一節(jié)點數(shù)據(jù)難以通過分叉攻擊篡改歷史數(shù)據(jù)。當有節(jié)點試圖單方篡改或偽造數(shù)據(jù)時，由于未達成節(jié)點共識，將被其他節(jié)點同步覆蓋，從而保證數(shù)據(jù)的完整性和穩(wěn)定性。可見，區(qū)塊鏈的上述技術(shù)特征使得數(shù)據(jù)一旦寫入?yún)^(qū)塊鏈，只具備“增”和“查”的功能，而不具備“刪”和“改”的功能。由此，在個人信息保護領(lǐng)域大范圍引入?yún)^(qū)塊鏈創(chuàng)新時就會面臨信息刪除和更正無法有效行使的困境。盡管《個保法》第47條第2款引入“刪除豁免”制度試圖回應(yīng)上述困境，規(guī)定“刪除個人信息從技術(shù)上難以實現(xiàn)的，個人信息處理者應(yīng)當停止除存儲和采取必要的安全保護措施之外的處理”，但考慮到在傳統(tǒng)區(qū)塊鏈的技術(shù)架構(gòu)中，任何新區(qū)塊的添加都要對已有區(qū)塊進行驗證，這使得在區(qū)塊鏈技術(shù)上難以實現(xiàn)只“儲存”不驗證的制度設(shè)計。

(二)區(qū)塊鏈信息透明與個人信息保密規(guī)范的沖突

在我國個人信息保護的法律規(guī)范體系中，網(wǎng)絡(luò)運營者需要對收集的個人信息進行保密。《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第3條和《網(wǎng)絡(luò)安全法》第40條均明確規(guī)定，網(wǎng)絡(luò)服務(wù)者/網(wǎng)絡(luò)運營者應(yīng)當對其收集的用戶個人信息嚴格保密?！秱€保法》第25條規(guī)定，“個人信息處理者不得公開其處理的個人信息”。其中“不得公開”也包含保密的要求?？梢姡Ｃ苄允莻€人信息保護規(guī)范體系的重要內(nèi)容。它起源于個人信息所具有的人格利益屬性。有學者還進一步將信息保密解釋為個人信息權(quán)中的信息保密權(quán)，即“本人得以請求信息處理主體保持信息隱秘性的權(quán)利?！比绻麄€人信息的隱秘性無法得以保障，信息主體對其個人信息就難以控制。這不僅可能會侵害個人基本權(quán)利或精神利益，還有可能會危害個人的人身安全和財產(chǎn)安全。

然而，區(qū)塊鏈全局賬本完整、公開與同步的技術(shù)架構(gòu)使得信息透明成為區(qū)塊鏈的核心特征之一。尤其在個人信息與區(qū)塊鏈相結(jié)合的應(yīng)用場景中，個人信息本身就是區(qū)塊鏈所公開記載的內(nèi)容。由此便可能與個人信息保密性的需求形成直接沖突。這可以從三個方面展開：首先，區(qū)塊鏈采用鏈式存儲架構(gòu)，全局賬本包含初始創(chuàng)始區(qū)塊到最新區(qū)塊的所有數(shù)據(jù)。其次，區(qū)塊鏈通過公開性保障公信力，任一節(jié)點的信息都必須公開給所有參與節(jié)點。最后，任何節(jié)點的信息公開后，其他節(jié)點通過共識機制驗證后完成數(shù)據(jù)的同步。如果區(qū)塊鏈被應(yīng)用于個人信息的存儲，那么當用戶在一個節(jié)點完成個人信息上鏈時，其他節(jié)點也會通過共識機制校驗和共享上述信息。每個節(jié)點的鏈上個人信息相較于其他節(jié)點而言實質(zhì)上是透明的。這就使得區(qū)塊鏈的個人信息保護創(chuàng)新應(yīng)用需要面對保密性的合法性困境。

(三)區(qū)塊鏈完整性與個人信息目的限制、數(shù)據(jù)最小化的沖突

所謂“目的限制”(purpose limitation)是指個人信息在收集時應(yīng)當明確目的，并且數(shù)據(jù)的使用不能超過該目的約定的范圍；所謂“數(shù)據(jù)最小化”(data minimization)，也稱“最少夠用”“最短期限”，它是指除與個人信息主體另有約定外，只處理滿足個人信息主體授權(quán)同意的目的所需的最少個人信息類型和數(shù)量并只保存最短的期限?？偟膩碚f，“目的限制”和“數(shù)據(jù)最小化”旨在應(yīng)對個人信息保護領(lǐng)域普遍出現(xiàn)的超范圍收集、強制授權(quán)、過度索權(quán)、無限保存等突出問題。在《個保法》發(fā)布之前，上述原則零星地分布在特定的規(guī)范性文件中。比如《網(wǎng)絡(luò)安全法》第41條規(guī)定網(wǎng)絡(luò)運營者要“明示收集、使用信息的目的”；《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》第15條要求兒童個人信息處理奉行“最小授權(quán)”原則。此外，相關(guān)標準、規(guī)范、指南中也明確提及“最小夠用”“數(shù)據(jù)最小化”。比如公安部2019年發(fā)布的《互聯(lián)網(wǎng)個人信息安全保護指南》就提到“對被授權(quán)訪問個人信息數(shù)據(jù)的工作人員按照最小授權(quán)的原則，只能訪問最少夠用的信息，只具有完成職責所需的最少的數(shù)據(jù)操作權(quán)限”?！秱€保法》系統(tǒng)吸收了上述原則，在第6條、第14條和第20條規(guī)定，處理個人信息應(yīng)當具有“明確的目的”、采取對個人權(quán)益“影響最小”的方式、限于處理目的的“最小范圍”，處理目的變更時“應(yīng)當重新取得個人同意”，個人信息保存期限應(yīng)為實現(xiàn)處理目的所必須的“最短時間”。

區(qū)塊鏈與目的限制原則、數(shù)據(jù)最小化沖突的根源就在于目的限制和數(shù)據(jù)最小化強調(diào)個人信息數(shù)量、類型和使用的最低點，而區(qū)塊鏈技術(shù)追求數(shù)據(jù)的完整性和永久性。區(qū)塊鏈之所以強調(diào)數(shù)據(jù)的完整度、全面度和永久性，是為了保障各節(jié)點之間驗證賬本與更新賬本，促進區(qū)塊鏈共識協(xié)議的形成。參見Zheng Zibin et al., : , , , 2017 IEEE International Congress on Big Data (BigData Congress), Honolulu, HI, 2017, pp. 557-564.但此點也不可避免地造成了與目的限制和數(shù)據(jù)最小化的對立。具體而言，區(qū)塊鏈的分布式賬本中，任何該網(wǎng)絡(luò)的參與者均可保留完整的分類賬副本，并且所有副本的內(nèi)容完全相同，每一次交易的進行，都會在賬本上留痕，永久存儲，從而導致相關(guān)個人信息的多次復(fù)制、持續(xù)處理。在區(qū)塊鏈上使用個人信息(無論是公鑰還是交易數(shù)據(jù)的形式)執(zhí)行加密資產(chǎn)交易的情況下，即使該交易已成功完成，從某種意義上講，該個人信息仍將持續(xù)存儲在分類賬本中，并繼續(xù)根據(jù)其所使用的共識算法進行處理。參見Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.65-68.這不僅在一定程度上超出了目的的設(shè)置，還因為節(jié)點數(shù)據(jù)的完整性而產(chǎn)生大量數(shù)據(jù)冗余，由此便與目的限制和數(shù)據(jù)最小化形成直接沖突。

(四)區(qū)塊鏈分布式架構(gòu)與個人信息中心化責任體系的沖突

我國現(xiàn)有的個人信息保護的法律責任體系是建立在對個人信息中心化收集與處理的假定之上。依據(jù)這樣的假定，責任主體與權(quán)利主體的界限清晰明確。舉例而言，《網(wǎng)絡(luò)安全法》中將責任主體明確為“網(wǎng)絡(luò)運營者”，并進一步細分為網(wǎng)絡(luò)所有者、網(wǎng)絡(luò)管理者和網(wǎng)絡(luò)服務(wù)提供者。在《區(qū)塊鏈信息服務(wù)管理規(guī)定》中主體被明確為“區(qū)塊鏈信息服務(wù)提供者”，這實際上是“網(wǎng)絡(luò)運營者”中“網(wǎng)絡(luò)服務(wù)者”在區(qū)塊鏈信息服務(wù)場景中的再細化。在個人信息保護場景中，與“網(wǎng)絡(luò)運營者”對應(yīng)的權(quán)利主體則是“個人信息主體”，也就是個人信息所標識或關(guān)聯(lián)到的自然人。按照這一組對應(yīng)關(guān)系，“網(wǎng)絡(luò)運營者”需要承擔個人信息保護的諸多義務(wù)，比如安全保障等?！皞€人信息主體”可以要求“網(wǎng)絡(luò)運營者”履行特定的義務(wù)，比如信息的更正與刪除。當“網(wǎng)絡(luò)運營者”違反法律規(guī)定時，還可能面臨國家的懲罰。換言之，現(xiàn)有的法律體系傾向于認為對于個人信息保護而言，始終至少有一個或若干個自然人、法人承擔數(shù)據(jù)保護的責任。

然而，區(qū)塊鏈分布式存儲的方式形成了去中心化的數(shù)據(jù)結(jié)構(gòu)，這使得區(qū)塊鏈的節(jié)點發(fā)生權(quán)利主體與責任主體的競合，進而出現(xiàn)責任的混同與失靈。這具體可以從兩個方面展開：其一，每個節(jié)點都是網(wǎng)絡(luò)服務(wù)提供者，對數(shù)據(jù)進行收集和處理。由于共識機制的存在，每個節(jié)點在寫入數(shù)據(jù)的同時還與其他節(jié)點進行數(shù)據(jù)的共享。將區(qū)塊鏈節(jié)點視作責任主體的理念已經(jīng)被2019年出臺的《區(qū)塊鏈信息服務(wù)管理規(guī)定》所吸收。該規(guī)定第2條第3款規(guī)定：“本規(guī)定所稱區(qū)塊鏈信息服務(wù)提供者，是指向社會公眾提供區(qū)塊鏈信息服務(wù)的主體或者節(jié)點”。其二，在公民個人作為節(jié)點的場景下，個人節(jié)點兼具網(wǎng)絡(luò)服務(wù)使用者和網(wǎng)絡(luò)服務(wù)提供者雙重身份。舉例而言，公民A通過區(qū)塊鏈保存?zhèn)€人信息并成為一個A節(jié)點，那么A節(jié)點在保存A個人信息的同時還需要保存整個區(qū)塊鏈的全局賬本。在共識機制的運行過程中，A節(jié)點實際上積極參與了其他節(jié)點個人信息的處理。也正因如此，A就既是“個人信息主體”，又是“網(wǎng)絡(luò)服務(wù)提供者”。他/她既享受區(qū)塊鏈的服務(wù)，也在利用他人所有或者管理的網(wǎng)絡(luò)對其他節(jié)點提供區(qū)塊鏈服務(wù)。尤其在部分個人信息保護區(qū)塊鏈應(yīng)用中包含個人特定信息交易的設(shè)置，此時服務(wù)的屬性就更加顯著?？梢?，區(qū)塊鏈的分布式的數(shù)據(jù)架構(gòu)使得責任主體和權(quán)利主體發(fā)生了競合。這樣的競合其實帶來一個法律適用難題，就是普通的自然人在作為節(jié)點時如何履行法律賦予的一系列身份驗證、安全管理和登記備案的責任。尤其是考慮到個人節(jié)點對區(qū)塊鏈數(shù)據(jù)處理方式缺乏實質(zhì)影響的前提下，當其他服務(wù)使用者提請要求刪除或者更正信息時，個人節(jié)點如何響應(yīng)？當國家主管機關(guān)對特定區(qū)塊鏈應(yīng)用作出行政處罰時，個人節(jié)點又需要如何承擔？綜上所述，區(qū)塊鏈去中心化的數(shù)據(jù)結(jié)構(gòu)與中心化的網(wǎng)絡(luò)運營者責任體系形成沖突，使得區(qū)塊鏈的節(jié)點，尤其是個人節(jié)點雖然符合網(wǎng)絡(luò)服務(wù)提供者的形式要件，但卻無法實質(zhì)履行相應(yīng)的法律責任。正因如此，有學者就總結(jié)到，現(xiàn)有法律規(guī)范要求區(qū)塊鏈責任主體承擔警示、限制功能、關(guān)閉賬號等處置措施以及及時消除違反違規(guī)信息內(nèi)容等責任設(shè)置在去中心化的區(qū)塊鏈系統(tǒng)上幾乎不可能得到執(zhí)行。歐盟議會發(fā)布的《區(qū)塊鏈與通用數(shù)據(jù)保護條例》也認為，區(qū)塊鏈分布式數(shù)據(jù)庫的架構(gòu)以及由此引發(fā)的去中心化使得中心化責任體系的基本假設(shè)面臨沖擊，由此也就導致了相應(yīng)的責任分配以及由此引發(fā)的問責面臨挑戰(zhàn)。參見Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.2.

二、區(qū)塊鏈與個人信息保護法律規(guī)范銜接的路徑證成

歸納區(qū)塊鏈的合法性困境并非要唱衰區(qū)塊鏈技術(shù)，而是在區(qū)塊鏈“大熱”時保持必要的清醒與警惕。我們需要認識到，盡管區(qū)塊鏈技術(shù)在個人信息保護方面存在極大的潛力，但該技術(shù)不會自動符合個人信息保護規(guī)范的所有要求，因此需要在認識規(guī)范沖突的基礎(chǔ)上進行定制化地調(diào)整與開發(fā)，從而形成符合個人信息保護規(guī)范要求的區(qū)塊鏈應(yīng)用制度。要實現(xiàn)這一目標，就必須推動法律與技術(shù)更深層次的互動，使得區(qū)塊鏈成為個人信息保護的真實解決方案。

在正式展開對區(qū)塊鏈與個人信息保護規(guī)范銜接的闡述之前，需要首先明確本文所采取的“利益平衡”的總立場。這一立場，是由個人信息法益的獨特屬性所決定的?！皞鹘y(tǒng)的個人控制理論是建立在個人主義觀念下，忽視了個人信息的社會性、公共性，不僅不能全面反映個人信息的法律屬性，而且不能適應(yīng)大數(shù)據(jù)時代個人信息利用的新環(huán)境和新方式”。在信息時代，個人信息包含人格尊嚴與自由價值、商業(yè)價值、公共管理價值，涉及到信息主體、信息業(yè)者和國家三方主體。信息業(yè)者和國家的角色介入，以及個人信息社會屬性的出現(xiàn)，使得對個人信息的保護不能以單向度的權(quán)利保護為依托，而需要平衡保護與利用的二維視角，平衡數(shù)據(jù)有效保護和數(shù)據(jù)自由流動的雙重目標。在此背景下，個人信息法律規(guī)范的執(zhí)行需要特別考量信息主體與信息處理者的利益平衡。

單純的利益平衡解釋論由于沒有制度支撐容易使得權(quán)利保護陷入空洞化。因此需要在利益平衡解釋論的支撐之下進行相應(yīng)的路徑展開。在此過程中應(yīng)遵循以下的原則：其一，保持法律規(guī)范解釋的靈活性，不把個人信息視作由個人完全控制的客體，因此排除絕對保護主義的法律適用觀。在面對區(qū)塊鏈與個人信息保護潛在沖突時，要適當保證法律解釋的彈性。這有助于保持區(qū)塊鏈技術(shù)在發(fā)展初期的充足活力。其二，為區(qū)塊鏈創(chuàng)新主體賦予合理的個人信息保護義務(wù)，推動區(qū)塊鏈技術(shù)快速且有序地實質(zhì)運用。正如后文將會論證的那樣，此種合理化的義務(wù)分配不僅包括網(wǎng)絡(luò)運營者，也包括個人信息主體作為區(qū)塊鏈節(jié)點的義務(wù)豁免。換言之，利益平衡不是片面地站在網(wǎng)絡(luò)運營者或者個人信息主體某一方的立場來展開合法性困境的解決。利益平衡的解釋論為個人信息區(qū)塊鏈應(yīng)用面臨的困境提供了合法化的路徑?；诟鞣N合法化路徑，對通用區(qū)塊鏈技術(shù)進行定制化的開發(fā)便可以有效應(yīng)對區(qū)塊鏈與個人信息保護規(guī)范之間的沖突。

(一)利益平衡下個人信息刪除的“相對主義”路徑

區(qū)塊鏈與個人信息保護規(guī)范最直觀的沖突就在于個人信息的刪除、更正與區(qū)塊鏈技術(shù)不可篡改性之間的兼容難題。對于更正而言，區(qū)塊鏈可以通過添加新的個人信息區(qū)塊的方式完成，并不存在實質(zhì)的技術(shù)障礙。盡管原有的個人信息區(qū)塊仍然存在，但新的區(qū)塊可以在事實上起到“覆蓋”舊區(qū)塊的功能。與之形成鮮明對比的是，《個保法》“刪除豁免”制度無法完全適用于區(qū)塊鏈的應(yīng)用場景，這就使得區(qū)塊鏈應(yīng)用仍然需要回應(yīng)個人信息刪除的需求。因此，如何在保持區(qū)塊鏈核心技術(shù)特征的基礎(chǔ)上實現(xiàn)個人信息的刪除成為銜接區(qū)塊鏈與個人信息保護規(guī)范的重中之重。解決上述沖突必須對我國現(xiàn)有規(guī)范體系中的“刪除”進行合理界定。

本文第一部分已經(jīng)提及，“刪除”是信息主體實現(xiàn)個人信息控制最為重要的法律工具之一，《網(wǎng)絡(luò)安全法》《民法典》《個保法》等法律規(guī)范都明確規(guī)定。然而，通讀上述提及“刪除”的法律文本，均未對何為“刪除”做清晰的界定。如果我們進一步擴大搜尋范圍，將關(guān)注點放置到法律之外各類國家標準、官方指南、行業(yè)規(guī)范，則會發(fā)現(xiàn)它們雖然對“刪除”做了明確的界定，但具體內(nèi)容也存在差異。其中，國家標準《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》(GB/Z 28828-2012，以下簡稱《個人信息保護指南》)5.1將“刪除”定義為“使個人信息在信息系統(tǒng)中不再可用”，關(guān)鍵點在于“不再可用”。國家標準《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2017，以下簡稱《個人信息安全規(guī)范》)3.9將“刪除”定義為“在實現(xiàn)日常業(yè)務(wù)功能所涉及的系統(tǒng)中去除個人信息的行為，使其保持不可被檢索、訪問的狀態(tài)”，關(guān)鍵點在“系統(tǒng)中去除”且“不可被檢索、訪問”。這就涉及到有關(guān)個人信息“刪除”的兩種解釋方法：絕對刪除與相對刪除?！敖^對刪除”要求信息在系統(tǒng)空間完全刪除以達到不可再用——物理刪除(physical deletion)；“相對刪除”則只要求不再可用。國家標準《個人信息安全規(guī)范》某種程度上采取的是“絕對刪除”，即個人信息在信息系統(tǒng)中客觀上不存在。國家標準《個人信息保護指南》雖未明確，但卻給“相對刪除”留下了空間，換言之它只要求個人信息在系統(tǒng)中“不再可用”，而并未要求物理刪除。實際上，從技術(shù)角度來看，要做到“不再可用”，不一定要物理刪除，去標識化、匿名化抑或是刪除鏈接都是可選方案。

可見，對于個人信息“刪除”而言，采用何種解釋路徑會直接影響區(qū)塊鏈技術(shù)合法化方案的選擇。而解釋路徑的選擇又取決于在網(wǎng)絡(luò)運營者與信息主體之間的立場選擇?！敖^對刪除”由于強調(diào)物理刪除，其實質(zhì)是使得個人信息不復(fù)存在，因此其在立場上是傾向于信息主體的權(quán)利保障。與之對應(yīng)，“相對刪除”則不要求物理刪除，而是允許采用靈活的措施使得個人信息不可使用。由此，降低了網(wǎng)絡(luò)運營者的合規(guī)要求，并為大數(shù)據(jù)時代數(shù)據(jù)的利用提供了可能。從“利益平衡”總立場來看，應(yīng)該選擇“相對刪除”，原因如下：其一，“絕對刪除”雖然可以實現(xiàn)對信息主體最為有效的權(quán)利保障，但卻會給區(qū)塊鏈應(yīng)用帶來根本性的打擊。這是因為，“不可篡改性”是區(qū)塊鏈最核心的特征，它支撐起區(qū)塊鏈的共識機制，決定了去中心化信任機制的形成。個人信息的區(qū)塊鏈應(yīng)用正是要利用區(qū)塊鏈不可篡改性來解決傳統(tǒng)個人信息保護過程中存在的篡改、偽造等諸多弊端。因此，如果選擇“絕對刪除”的解釋論立場，就與區(qū)塊鏈技術(shù)形成根本沖突。也就是說，從實現(xiàn)個人信息保護的目的來看，保持區(qū)塊鏈的不可篡改性遠比實現(xiàn)區(qū)塊鏈的可刪除重要。參見Shraddha Kulhari,, Nomos Verlagsgesellschaft Mbh & Co, 2018, p.47. 其二，“絕對刪除”只考慮了個人信息的私人屬性，而沒有考慮其具有社會治理等諸多公共價值。在大數(shù)據(jù)時代，個人信息處理行為的規(guī)制原則應(yīng)是防止濫用，而非嚴格保護。其三，相較于隱私權(quán)的保護程度而言，個人信息的保護是一種弱保護?！跋鄬h除”在現(xiàn)有的技術(shù)能力下已經(jīng)能夠?qū)崿F(xiàn)對個人信息的有效保護，比如鏈上個人信息加密后對密鑰的刪除就可以使得個人信息事實上無法以指向個人的方式被使用。

實際上，即便在高度傾向于個人保護的歐盟，對于“刪除”的理解也采用“相對刪除”的方法。歐盟《通用數(shù)據(jù)保護條例》(下稱GDPR)第17條規(guī)定了刪除權(quán)(被遺忘權(quán))，但未對“刪除”的內(nèi)涵進行闡述。歐盟委員會的報告中指出，有跡象表明，GDPR規(guī)定的刪除權(quán)不必要求徹底刪除信息。參見Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.75.該觀點并非一家之言，奧地利數(shù)據(jù)保護局認為，“刪除”應(yīng)理解為指對存儲的個人數(shù)據(jù)進行任何形式的模糊處理，由此提出了“模糊刪除”的概念，并強調(diào)無論使用何種刪除方式，完全的不可逆是不必要的。參見Datenschutzbeh?rde, -1232700009-2018 ( 5, 2018),https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00.html.英國監(jiān)管機構(gòu)“信息專員辦公室”(Information Commissioner’s Office，下稱ICO)認為“刪除”只要個人信息“無法使用”(put beyond use)，從英文的直譯來看，更接近“放到用不到的地方”，參見Information Commissioner’s Office of UK, (December 31, 2019), https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/.并未要求“刪除”要達到物理上的不復(fù)存在。《德國聯(lián)邦數(shù)據(jù)保護法》(Federal Data Protection Act)則做了更具前瞻性的規(guī)定，該法第35(1)條明確提及，如果無法刪除個人數(shù)據(jù)，或者因為特定的儲存結(jié)構(gòu)而使得刪除可能造成不成比例的影響，那么數(shù)據(jù)控制者可以免除刪除責任。

(二)利益平衡下個人信息保密的“去標識化”路徑

前文已經(jīng)提及，我國現(xiàn)行個人信息保護規(guī)范要求對個人信息進行“嚴格保密”或“不得公開”，這與個人信息區(qū)塊鏈應(yīng)用的技術(shù)架構(gòu)形成內(nèi)生沖突。調(diào)和上述沖突的方式便是對上鏈的個人信息采取特定的加密、去標識化等措施以實現(xiàn)“形式公開”基礎(chǔ)上的“實質(zhì)不公開”。一般認為，“保密”是與“泄露”相對應(yīng)，意指保守事物的秘密，使其不被泄露?！凹用堋眲t是指以特定的方式改變原有的信息數(shù)據(jù)，使得未掌握密鑰的用戶即使獲得了已加密的信息，也無法真正知悉信息的內(nèi)容?？梢姡凹用堋笔且环N“保密”的方法?，F(xiàn)有法律規(guī)范賦予網(wǎng)絡(luò)運營者以個人信息保密的義務(wù)，那么何種方式可以被視為法定保密義務(wù)的適當履行方式呢？或者更具體一點展開，在區(qū)塊鏈中，哈希函數(shù)、非對稱加密是否符合個人信息“保密”的法律規(guī)范？要明確這個問題，就必須從技術(shù)的邏輯切入，分析加密、去標識化、假名化、匿名化等在內(nèi)涵上具有不確定性，但卻高度近似的概念。

按照《個保法》的規(guī)定，“去標識化”(de-identification)是指“個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程”。該定義與國家標準《個人信息安全規(guī)范》3.14條基本一致。對此可以簡化為“不借助額外信息+無法識別”來理解。對于“假名化”我國現(xiàn)有的規(guī)范體系并未明確解釋。在此可以參考歐盟GDPR的規(guī)定。GDPR第4(5)條指出“假名化”(pseudonymisation)是“在不使用附加信息的情況下，不再可以將個人數(shù)據(jù)歸于特定數(shù)據(jù)主體，但前提是此類附加信息應(yīng)單獨保存并且受技術(shù)和組織措施的約束，確保個人數(shù)據(jù)不歸屬于已識別或可識別的自然人?！薄凹倜北徽J為是GDPR在個人信息保護方面的重要創(chuàng)新，它可以被簡化為“不借助額外信息+無法識別+額外信息妥善保存”進行理解。從定義的內(nèi)容來看，GDPR的“假名化”與我國法律規(guī)范中的“去標識化”主體部分重合，但“假名化”是“去標識化”的進一步優(yōu)化——“附加信息應(yīng)單獨保存并且受技術(shù)和組織措施的約束，確保個人數(shù)據(jù)不歸屬于已識別或可識別的自然人”。由此可見，“去標識化”與“假名化”并非一個層面的概念，前者要包含后者。這一點與國家標準《個人信息安全規(guī)范》的界定高度一致。在該標準的概念體系中，“去標識化”項下包括“假名”“加密”“哈希函數(shù)”。以“加密”為例，在對數(shù)據(jù)進行加密的情況下，假設(shè)個人數(shù)據(jù)仍然存在于已加密的數(shù)據(jù)集中，則密鑰持有者仍可以通過解密來重新標識每個數(shù)據(jù)主體。這里的“秘鑰”就是“額外的信息”。運用“秘鑰”解密，就是“識別”個人的過程。因此“加密”是“去標識化”的一種方式。與“去標識化”“假名化”高度相關(guān)的一個概念便是“匿名化”。所謂“匿名化”(anonymization)，是指“個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程?！痹谟嬎銠C科學中，匿名強調(diào)“無關(guān)聯(lián)性”，也就是指站在攻擊者的角度，無法將用戶與系統(tǒng)之間的任意兩次交互進行關(guān)聯(lián)。換言之，“去標識化”或“假名化”都是在結(jié)合附加信息的情況下可以實現(xiàn)個人定位，而“匿名化”則是完全無法再次識別。兩者對個人信息保護的程度差異可見一斑。在歐盟關(guān)于區(qū)塊鏈的研究報告中明確提到，區(qū)塊鏈所慣常使用的哈希函數(shù)、非對稱加密、橢圓函數(shù)加密等方案，其實都只是“假名化”。具體而言，區(qū)塊鏈技術(shù)通常是在用戶的控制下利用公鑰加密算法(例如ECC)生成，但流出和流進某一地址的所有交易記錄哈希值都會被記錄在區(qū)塊鏈的全局賬本中，盡管加密使得信息得到了一定程度的保護，但這些存儲網(wǎng)絡(luò)層的傳播軌跡，可以追蹤與推測出區(qū)塊鏈地址對應(yīng)的真實身份。綜上所述，“保密”的范圍最大，“去標識化”“假名化”“匿名化”都是保密的一種方式；“去標識化”的范圍次之，它包含“假名化”“匿名化”“加密”“哈希函數(shù)”等；“假名化”則再次之，它包含了“匿名化”。

在完成相關(guān)概念的區(qū)分之后，接著要討論的問題就是，《網(wǎng)絡(luò)安全法》等個人信息保護規(guī)范中對個人信息的“保密”要求究竟是需要達到“去標識化”“假名化”，抑或是要達到更高程度，完全排除再識別可能的“匿名化”？筆者認為，根據(jù)“利益平衡”的總立場，“保密”只需要達到“去標識化”即可，而無需達到“匿名化”的程度，原因如下：第一，“匿名化”是完全排除再識別的可能性。從現(xiàn)有技術(shù)路徑來看，很少有技術(shù)能夠?qū)崿F(xiàn)嚴格意義的“匿名化”。這是因為，一方面，“匿名化”是一個高度動態(tài)且不確定性的技術(shù)標準?！澳涿敝信懦R別可能性的標準必須充分考慮到未來技術(shù)的發(fā)展。在區(qū)塊鏈中，個人信息理論上是永久保存的，按照這一標準，如果把時間軸放置得足夠長，那么理論上沒有技術(shù)可以完全“匿名化”，比如量子計算機的普遍運用?？梢?，如果按照嚴格“識別可能”來判斷，區(qū)塊鏈上所有的個人數(shù)據(jù)，無論基于何種加密，它都應(yīng)該被視為個人信息。另一方面，“匿名化”識別的可能性與嘗試識別者的技術(shù)條件密切相關(guān)。世界各國對識別時是否不計時間和成本存在爭議。即使是認為應(yīng)該采用“合理手段”來判斷識別可能性的國家內(nèi)部，也存在爭議。比如，英國就認為，判斷識別可能性只需要假定具備“合理手段”，這個“合理手段”不包括入侵者有黑客的專業(yè)知識或具有“專業(yè)的設(shè)備”。Information Commissioner’s Office of UK, : ( 2012), p.22-24, https://ico.org.uk/media/1061/anonymisation-code.pdf.個人信息區(qū)塊鏈應(yīng)用的重要目標就包括推動個人信息的可信共享。如果將“保密”設(shè)定為“匿名化”，則為區(qū)塊鏈創(chuàng)新主體設(shè)置無法達到的過高義務(wù)。第二，從法律規(guī)范的體系來看，“匿名化”由于已經(jīng)完全排除了再識別的可能性，因此不被以為是“個人信息”，并且也無法恢復(fù)為“個人信息”。由此，如果要求區(qū)塊鏈在“保密”時必須達到“匿名化”的標準，那么區(qū)塊鏈應(yīng)用于個人信息領(lǐng)域(認證、驗真等)的初始目的已無法實現(xiàn)。第三，無論是“去標識化”抑或是“假名化”都顯著降低了數(shù)據(jù)集與數(shù)據(jù)主體的原始身份之間的可鏈接性，已經(jīng)可以起到個人信息“保密”的功能。尤其是“假名化”還要求將識別個人身份的附加信息單獨保存并妥善保管，這進一步提升了“保密”的層級?？偠灾?，按照“利益平衡”的理論，區(qū)塊鏈上保存的個人信息只要“去標識化”就已經(jīng)達到《網(wǎng)絡(luò)安全法》等個人信息保護規(guī)范的“保密”標準，將“去標識化”后的個人信息“上鏈”應(yīng)當不被視作公開個人信息。

(三)利益平衡下目的限制與數(shù)據(jù)最小化的“場景解釋”路徑

分布式賬本中數(shù)據(jù)的完整性是區(qū)塊鏈的核心技術(shù)特征之一。從創(chuàng)世區(qū)塊開始，區(qū)塊鏈上的所有數(shù)據(jù)活動都被詳細記錄。任何區(qū)塊的增加原則上都需要對之前的所有區(qū)塊進行驗證。隨著特定區(qū)塊鏈應(yīng)用的推進，數(shù)據(jù)的冗余、效率的降低就成為必然。正因如此，區(qū)塊鏈應(yīng)用于個人信息保護就潛在地與目的限制與數(shù)據(jù)最小化的基本需求發(fā)生沖突。

從解釋論角度來看，無論是目的限制抑或是數(shù)據(jù)最小化，都與對區(qū)塊鏈收集個人信息的目的緊密相關(guān)。對目的解釋標準的寬松與否將直接決定區(qū)塊鏈應(yīng)用于個人信息保護時能否適應(yīng)目的限制與最小夠用的合法性要求。具體而言，嚴格限定的標準將個人數(shù)據(jù)使用的目的限縮在原初目的之上，并只做最有限的擴展。數(shù)據(jù)處理者只要對數(shù)據(jù)的使用與原初目的有所差異，則需要重新授權(quán)。同時，嚴格的目的解釋標準還會使得數(shù)據(jù)收集的范圍、數(shù)量、頻率局限在限縮的目的之下，進一步提升了區(qū)塊鏈適應(yīng)數(shù)據(jù)最小化要求的實現(xiàn)難度。毋庸置疑，嚴格限縮的解釋論是對個人信息最大化的保護。然而，大數(shù)據(jù)時代，數(shù)據(jù)的價值在多次挖掘中得以體現(xiàn)。數(shù)據(jù)控制者在收集數(shù)據(jù)之初無法對所有的可能性做充分的預(yù)期，因此也就無法對數(shù)據(jù)使用目的作出準確的預(yù)判。嚴格限縮的解釋論就在某種程度上給數(shù)據(jù)控制主體帶來了較重的合規(guī)義務(wù)。隨著大數(shù)據(jù)技術(shù)的推進，基于“利益平衡”的理論，“場景導向”(contextual approach)的目的解釋論被提出。它是指個人信息原始收集時的具體語境應(yīng)得到尊重，其后續(xù)傳播及利用不得超出原初的情境脈絡(luò)。場景導向路徑認識到個人信息保護的合理程度要置于其所處的環(huán)境中具體審視，避免脫離場景做抽象式的預(yù)判。換言之，信息收集目的的解釋不是嚴格的字面符合，而是從最初收集的場景中來判斷，考慮是否符合用戶的“合理預(yù)期”。場景導向的目的解釋由于摒棄了嚴格限縮解釋論帶來的要么合目的，要么不符合的二元對立劃分，而使得對個人信息使用的目的解釋具有一定的動態(tài)性和彈性。當前，美國主流的數(shù)據(jù)目的解釋便采用此種方式。與此同時，歐盟在目的解釋時也一定程度上采用了“場景化”的理念。我們大致可以把歐盟的上述理念概括為“嚴進寬出”。具體而言，在數(shù)據(jù)收集之初，對數(shù)據(jù)控制者設(shè)定了嚴格的要求，不允許數(shù)據(jù)控制者進行概括性或者抽象意義的目的陳述。作為補充，在數(shù)據(jù)具體運用過程中，允許目的有一定的彈性解釋空間，即允許“適當性使用”，或者說允許一定程度與目的不完全相同的使用。上述理念在GDPR第6(4)(a)條和6(4)(b)條就有明確的體現(xiàn)。

“目的場景化解釋”的思路對區(qū)塊鏈的運用具有很強的指導意義。也就是說對于利用區(qū)塊鏈收集個人信息的目的解釋必須充分考慮區(qū)塊鏈這樣一種獨特的技術(shù)方式及其應(yīng)用場景。一方面，不能把個人數(shù)據(jù)收集的目的限縮為僅與“個人”相關(guān)，而是必須考慮到區(qū)塊鏈去中心化等場景特征，將共識機制支撐的數(shù)據(jù)驗證與共享也納入到個人信息區(qū)塊鏈應(yīng)用的目的之中。另一方面，不能將數(shù)據(jù)最小化的理解限縮為僅與個人相關(guān)，或者只考慮單一節(jié)點的需要。相反，需要將數(shù)據(jù)最小化放置到整條區(qū)塊鏈所有節(jié)點共識機制形成的需求去進行場景化的理解。舉例而言，假設(shè)存在一個學歷驗證的公共區(qū)塊鏈，用戶通過加入?yún)^(qū)塊鏈上傳學歷的哈希值用以在特定場合時作為學歷驗證的使用。那么，這個公共區(qū)塊鏈的目的從微觀上說是將每個人的學歷信息以區(qū)塊的形式添加到區(qū)塊鏈之上，從宏觀上說則是實現(xiàn)學歷信息的驗證與共享。因此，區(qū)塊鏈的目的不僅包括初始的個人數(shù)據(jù)添加，還包括后續(xù)所有符合場景目標的數(shù)據(jù)活動?？梢?，在場景化的目的解釋中，區(qū)塊鏈分布式數(shù)據(jù)庫的復(fù)制性質(zhì)和數(shù)據(jù)的連續(xù)存儲可以被認為符合目的限制。參見Tom Lyons et al., , a Thematic Report Prepared by the European Union Blockchain Observatory and Forum(October 16, 2018), p.68.

(四)利益平衡下節(jié)點責任劃定的“實質(zhì)控制”路徑

本文第一部分已經(jīng)提及，區(qū)塊鏈分布式架構(gòu)以及全賬本的應(yīng)用，使得一般情況下每個節(jié)點都保有完整的數(shù)據(jù)。在個人信息應(yīng)用領(lǐng)域，每個節(jié)點，尤其是全節(jié)點既在本節(jié)點完成個人信息的寫入，也通過共識機制參與處理(共享)其他節(jié)點的數(shù)據(jù)，因此每個節(jié)點形式上符合《網(wǎng)絡(luò)安全法》“網(wǎng)絡(luò)運營者”中“網(wǎng)絡(luò)服務(wù)提供者”和《區(qū)塊鏈信息服務(wù)管理規(guī)定》中“區(qū)塊鏈信息服務(wù)提供者”的定義，權(quán)利主體和責任主體發(fā)生混同。此時，以“節(jié)點”為依據(jù)的形式判斷標準就可能在實踐中遭遇合法性困境。一方面，在區(qū)塊鏈，尤其是公共區(qū)塊鏈的應(yīng)用中，特定法律實體極有可能僅出于數(shù)據(jù)安全備份的考量而選擇區(qū)塊鏈服務(wù)。由于單純選擇數(shù)據(jù)服務(wù)而成為區(qū)塊鏈節(jié)點，并由此承擔安全保障、實名認證、登記備案、應(yīng)急處置等法律責任，按照權(quán)責相統(tǒng)一的原則，顯失公平。另一方面，區(qū)塊鏈的技術(shù)框架高度多元化，“節(jié)點”與“節(jié)點”之間也存在很大的差異。有些區(qū)塊鏈的架構(gòu)可能使得特定主體以“單純選擇服務(wù)”為幌子行“節(jié)點”之實。作為劃定法律責任承擔主體的執(zhí)法者，不能僅以相關(guān)主體自我聲明的形式要件來判斷是否需要承擔責任。因此，對于區(qū)塊鏈中心化運營責任履行困境而言，迫切的問題在于建立一種解釋框架，既能夠?qū)Α肮?jié)點”與“單純選擇服務(wù)”作出清晰的劃分，又可以促成“單純選擇服務(wù)”主體的責任豁免，實現(xiàn)權(quán)責的統(tǒng)一。這便是利益平衡下“實質(zhì)控制”解釋論的由來，其實質(zhì)是刺破“節(jié)點”的面紗，分析“節(jié)點”承擔責任背后的法理，從而破除非此即彼的簡單化責任主體劃分。

在正式展開分析之前，我們有必要追問一個本源問題，即“網(wǎng)絡(luò)運營者”為什么以及如何能夠承擔個人信息保護的責任。盡管我國的相關(guān)法律規(guī)范沒有言明，但從具體的法條可以推知，這種責任是來自于網(wǎng)絡(luò)運營者對個人信息的“收集”與“使用”以及由此帶來的直接或間接收益。歐盟GDPR也是類似思路，即責任來源于對個人信息的“控制”和“處理”。歐盟GDPR采用的是“相對控制”的理念，極大擴張了責任主體的范圍。具體而言，GDPR第4(7)條規(guī)定“數(shù)據(jù)控制者”(controller)是指單獨或與他人共同確定處理個人數(shù)據(jù)的目的和方式的自然人或法人，公共當局、機構(gòu)或其他機構(gòu)?？梢园l(fā)現(xiàn)，這里的“控制”是相對意義的控制，而并非實質(zhì)意義的占有或持有數(shù)據(jù)(in possession)?！跋鄬刂啤备叨葍A向于保護數(shù)據(jù)主體的，也就是通過擴大責任主體的范圍來保障數(shù)據(jù)主體的權(quán)利。2017年的“Facebook Insight案”就是一個典型的例子。該案中，一個教育機構(gòu)利用“臉書”(Facebook)的服務(wù)創(chuàng)建了一個粉絲頁面作為和客戶的交流工具。每個訪問該教育機構(gòu)頁面的用戶電腦上都會被放置一個cookie，但無論是“臉書”抑或是該教育機構(gòu)均沒有告知用戶。借助收集的數(shù)據(jù)，教育結(jié)構(gòu)可以通過名為“Facebook Insight”的工具來獲知粉絲的基本信息。在這起案件中，教育機構(gòu)只是單純地選擇“臉書”的一項服務(wù)，不開發(fā)粉絲頁面、不開發(fā)分析粉絲信息的工具“Facebook Insight”，也不參與對粉絲數(shù)據(jù)的處理。然而，主管機構(gòu)卻基于GDPR第4(7)的規(guī)定，要求關(guān)閉粉絲頁面。在主管機構(gòu)看來，教育機構(gòu)選擇“臉書”粉絲頁面的服務(wù)，實際上同意了該頁面數(shù)據(jù)收集的目的和方式，因此就和“臉書”成為粉絲個人數(shù)據(jù)的“聯(lián)合控制者”。盡管法院最終裁定政府方敗訴，但判決意見中仍然采用了“相對控制”的解釋路徑。法院認定，單純使用一項服務(wù)并不構(gòu)成“聯(lián)合控制者”，但是如果選擇服務(wù)的同時對數(shù)據(jù)處理產(chǎn)生了影響，則構(gòu)成“聯(lián)合控制”。舉例而言，按照“臉書”粉絲頁面的功能，教育機構(gòu)可以通過頁面來設(shè)置關(guān)注特定的用戶信息(例如人口統(tǒng)計和地理數(shù)據(jù)，或有關(guān)興趣，購買和生活方式的信息)。臉書也可以通過“Facebook Insight”的工具收集處理這些信息，并反饋給教育機構(gòu)，用以優(yōu)化服務(wù)。那么此時，教育機構(gòu)就與“臉書”成為“聯(lián)合控制者”?？梢姡凑諝W盟法院的意見，成為聯(lián)合控制者的門檻極低。如果按照歐盟的理念，區(qū)塊鏈服務(wù)的應(yīng)用者極易視為“共同控制者”，因為區(qū)塊鏈存續(xù)是依托共識機制，運用區(qū)塊鏈服務(wù)的前提是同意特定的共識機制，也就符合GDPR的4(7)條中規(guī)定的“共同確定數(shù)據(jù)處理目的和方式”。這種“相對控制”的理念的弊端顯著，因為作為單純的服務(wù)選定者，即使參與了共同目的的形成，但服務(wù)使用者絕大多數(shù)情況下對于數(shù)據(jù)的處理目的只有有限的影響力(微乎其微)，對于數(shù)據(jù)的處理方式則毫無影響力。即使相關(guān)節(jié)點(尤其是公鏈的個人節(jié)點)想要履行應(yīng)急處置、信息審核等法定義務(wù)，也會因為沒有實質(zhì)控制個人信息而無法實現(xiàn)。

因此，從“利益平衡”角度來看，區(qū)塊鏈責任主體的確定必須采用“實質(zhì)控制”原則來劃定責任主體范圍，具體標準有兩方面：其一，主體需要對數(shù)據(jù)的收集目的和使用方式有實質(zhì)影響，單純選用服務(wù)不構(gòu)成對數(shù)據(jù)收集目的和使用方式的實質(zhì)影響；其二，主體還需要對數(shù)據(jù)享有實質(zhì)的控制權(quán)，這個控制權(quán)不是一般意義的形式控制(control)而是實質(zhì)意義上的控制(possess)。只有同時具備兩個條件，才構(gòu)成《網(wǎng)絡(luò)安全法》上的責任主體，才能依法履行數(shù)據(jù)保護的相關(guān)責任。舉例而言，一個銀行決定用區(qū)塊鏈來存儲特定的賬戶交易信息，它不僅決定了處理數(shù)據(jù)的方式，還決定了哪些數(shù)據(jù)需要用這種處理的信息主體以及信息處理的目的(交易)。此時，按照“相對控制”的理念，銀行已經(jīng)是數(shù)據(jù)的共同控制主體，但是按照“絕對控制”的理念，還要判斷銀行是單純使用某項區(qū)塊鏈服務(wù)，還是作為節(jié)點參與到共識中。如果是后者，則銀行不僅實質(zhì)影響了數(shù)據(jù)處理的目的和方式，也實質(zhì)掌握了數(shù)據(jù)(全局賬本)，因此是當然的網(wǎng)絡(luò)運營者。如果是前者，銀行由于并未實質(zhì)掌握數(shù)據(jù)，那么數(shù)據(jù)控訴者的責任就由提供區(qū)塊鏈服務(wù)的主體承擔。實際上，實質(zhì)控制既是相關(guān)主體承擔責任的前提，也是承擔責任的保障。如果一個主體沒有形成對個人信息(數(shù)據(jù))的實質(zhì)控制，安全保障、信息修改、信息刪除的責任事實上也無法承擔。有學者在分析GDPR與區(qū)塊鏈的沖突時就指出，因為個人節(jié)點的特殊性，使得GDPR許多數(shù)據(jù)處理的要求“毫無意義”。參見Clare Sullivan & Eric Burger, - , 33 Computer Law & Security Review 460, 479(2017).“實質(zhì)主義”的判斷路徑平衡了信息主體與網(wǎng)絡(luò)運營者之間的身份競合，既有助于“節(jié)點”與“單純選擇服務(wù)”的區(qū)分，也有助于將個人節(jié)點排除在責任主體之外，為破除責任混同創(chuàng)造條件。

三、區(qū)塊鏈與個人信息保護法律規(guī)范銜接的制度展開

(一)“相對刪除”路徑的展開：“脫鏈存儲”與“密鑰刪除”

在“相對刪除”路徑指導下，通過構(gòu)建個人信息區(qū)塊鏈應(yīng)用“脫鏈存儲”與“密鑰刪除”的標準，可以在保持區(qū)塊鏈核心特性的基礎(chǔ)上滿足刪除個人信息的規(guī)范需求。

“脫鏈存儲”是將個人信息儲存在單獨的“脫鏈數(shù)據(jù)庫”中，僅通過散列鏈接到區(qū)塊鏈的分布式分類賬中。在區(qū)塊上僅保留索引信息以及個人信息轉(zhuǎn)換的哈希值。哈希值成為避免個人信息泄露的關(guān)鍵控制要素。當信息主體要求刪除個人信息時，區(qū)塊鏈服務(wù)提供者只要刪除區(qū)塊之上哈希值與脫鏈數(shù)據(jù)庫中特定個人信息的“可連接性”(linkability)即可實現(xiàn)，且不會破壞整個區(qū)塊鏈。當然，此種方案是以一定程度上犧牲個人信息的安全性、透明性和效率性為代價的。舉例而言，個人信息脫鏈將面臨管理難題，信息主體無法確定誰訪問了數(shù)據(jù)，以及誰可以訪問數(shù)據(jù)且容易遭受黑客攻擊。但“脫鏈存儲”能使得區(qū)塊鏈完全符合個人信息保護中的刪除要求。參見Carlo R.W. De Meijer, , Finextra(October 9, 2018), https://www.finextra.com/blogposting/16102/blockchain-versus-gdpr-and-who-should-adjust-most.當接收到刪除請求時，責任主體可以把區(qū)塊鏈之外的脫鏈數(shù)據(jù)庫完全刪除。當然，哈希函數(shù)在技術(shù)上雖然具有極高的破解難度，但其并非真正意義上的“匿名化”操作。因此，即使是脫鏈存儲，在區(qū)塊鏈上有關(guān)個人信息的哈希函數(shù)仍然是個人信息。也正因如此，此種方式仍然屬于“相對刪除”。

此外，密鑰刪除也是調(diào)和區(qū)塊鏈技術(shù)特征與個人信息刪除矛盾的有效方案，此種方案不刪除儲存在區(qū)塊之上的數(shù)據(jù)，而是通過刪除解密密鑰的方式來實現(xiàn)刪除。比如將A是本科學歷的信息記錄在區(qū)塊鏈上，同時對A的個人身份進行加密處理。在收到刪除個人信息的申請時將A對應(yīng)個人身份的解密密鑰刪除。此時，A是本科學歷的信息仍然儲存在區(qū)塊之上的分布式賬本之中，但是所有節(jié)點都只能訪問未解密A身份的學歷信息。參見Andrew Arnold, ?, Forbes(November 20, 2018), https://www.forbes.com/sites/andrewarnold/2018/11/20/can-blockchain-help-brands-become-gdpr-compliant/#315949c51203.當然，個人信息在區(qū)塊鏈之上通過加密的方式形成的數(shù)據(jù)仍然應(yīng)該被視為個人信息，其只是實現(xiàn)了“假名化”，而非不可逆的“匿名化”，因此也同樣屬于“相對刪除”，畢竟獲取密鑰就有可能再次恢復(fù)相應(yīng)的數(shù)據(jù)。不過從現(xiàn)有技術(shù)來看，刪除解密密鑰使得該份信息雖儲存在區(qū)塊鏈上，但其他節(jié)點只能訪問未解密的信息以滿足驗證的需求，個人信息“名存實亡”，從“相對刪除”的視角來看已經(jīng)等效于被刪除。在英國，此種方案被視為完成了“刪除”。英國ICO發(fā)布的指南就對此作了說明。英國ICO對“相對刪除”的解釋為：如果因為技術(shù)原因無法實質(zhì)刪除數(shù)據(jù)，則只要滿足以下四個條件就可以視同刪除：(1)無法或不會嘗試使用個人數(shù)據(jù)；(2)不允許其他組織訪問個人數(shù)據(jù)；(3)采用適當?shù)募夹g(shù)保障數(shù)據(jù)安全；(4)承諾在可能的情況下永久刪除。通過數(shù)據(jù)的加密結(jié)合密鑰的徹底刪除，在現(xiàn)有技術(shù)條件下，無論是網(wǎng)絡(luò)運營者抑或是其他主體事實上都難以有效訪問個人信息，因此可以視作數(shù)據(jù)被刪除。參見Information Commissioner’s Office of UK, , https://ico.org.uk/media/for-organisations/documents/1475/deleting_personal_data.pdf.

值得注意的是，近期有研發(fā)主體完成了“可編輯區(qū)塊鏈”(editable blockchain)的專利申請工作，其實質(zhì)是利用“變色龍哈希函數(shù)”(chameleon hash)在每個區(qū)塊上安裝一個可以編輯的“后門”，由此實現(xiàn)區(qū)塊鏈信息的可刪除、可編輯。該專利的核心目標是為了滿足政府對區(qū)塊鏈的監(jiān)管需求而犧牲區(qū)塊鏈核心的去中心化和不可撤銷性的技術(shù)優(yōu)勢。在“可編輯區(qū)塊鏈”的應(yīng)用場景中，由于哈希函數(shù)的可變性，它無法形成多節(jié)點的共識，而只能在使用“變色龍哈希函數(shù)”的兩個節(jié)點間形成共識。由此，區(qū)塊鏈賴以生存的共識機制也遭到破壞。試想，如果區(qū)塊鏈可以實現(xiàn)數(shù)據(jù)的篡改那么還如何實現(xiàn)去中心化的共識。也就是說，“可編輯區(qū)塊鏈”的運用已經(jīng)在某種程度上使得區(qū)塊鏈有名無實，與區(qū)塊鏈得以立足的創(chuàng)新背道而馳。正因如此，筆者并不認為“可編輯區(qū)塊鏈”是調(diào)和區(qū)塊鏈應(yīng)用與個人信息刪除之間沖突的合法性工具，盡管它在技術(shù)上也可以破除個人信息刪除的合法性困境。

(二)“去標識化”路徑的展開：“非明文存儲”與“承諾模式”

既然按照“利益平衡”的解釋論，區(qū)塊鏈個人信息應(yīng)用只要達到“去標識化”便符合法律規(guī)范的保密需求，那么，解決區(qū)塊鏈信息透明與個人信息隱秘性沖突的方式便是明確規(guī)定“上鏈”的個人信息必須采用“非明文存儲”與“承諾模式”相結(jié)合的方式。正如“法國國家信息自由與發(fā)展委員會”(Commission Nationale de l’Informatique et des Libertés，簡稱CNIL)所強調(diào)的：“保護區(qū)塊鏈上的個人信息重點在于不要將個人數(shù)據(jù)以明文形式存儲在區(qū)塊鏈上”。CNIL, : (November 6, 2018), p7, https://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-personal-data.由于全局賬本的存在，那種將個人信息明文放置在區(qū)塊鏈之上的做法直接與個人信息保密責任形成沖突。本文第二部分已提及，哈希函數(shù)、非對稱加密、公鑰和私鑰都屬于加密的方式，都達到了“去標識化”的要求，因此個人信息無論通過哪種方式，只要不是明文方式上鏈，都可以視作達到個人信息保護規(guī)范要求的“保密”要求。為貫徹“非明文存儲原則”，個人信息應(yīng)還可以進一步通過“承諾模式”(commitment)在區(qū)塊鏈上進行登記，從而在通用“去標識化”的基礎(chǔ)之上進一步加密。作一個形象的比喻，可以將“承諾模式”想象為信息主體將個人信息放入一個鎖著的盒子里，然后將盒子交給接收方(區(qū)塊鏈/上鏈)。盒子里的信息對接受者是隱藏的，接受者無法自己開鎖。同時，因為接收者盒子的存在，信息主體也無法自行修改相關(guān)信息。如果發(fā)送者決定特定時候給接收者以鑰匙，則信息就會顯示。換言之，“承諾”是一種凍結(jié)數(shù)據(jù)的加密機制，它可以通過附加信息(承諾)來確定哪些數(shù)據(jù)已被凍結(jié)，也可以通過附加信息(承諾)來查找或識別特定數(shù)據(jù)。通過“承諾”機制，個人信息的控制權(quán)將牢牢掌握在信息主體手中，即便該信息上鏈，其他主體也難以知曉其中內(nèi)容。

(三)“場景解釋”路徑的展開：“區(qū)塊鏈修剪”與“零知識證明”

場景化的目的解釋可以有效地回應(yīng)區(qū)塊鏈個人信息應(yīng)用中面對的目的限制的需求。在此基礎(chǔ)上，通過區(qū)塊鏈修剪與零知識證明技術(shù)就能夠回應(yīng)數(shù)據(jù)最小化的要求，從而實現(xiàn)目的限制與數(shù)據(jù)最小化的合法化應(yīng)對。

所謂區(qū)塊的修剪(pruning)是指從節(jié)點的本地儲存刪除非關(guān)鍵區(qū)塊鏈信息的過程。本文已經(jīng)反復(fù)提及，通用區(qū)塊鏈技術(shù)采用去中心化的分布式存儲模式，每個節(jié)點地位平等，并均保有區(qū)塊鏈自創(chuàng)始區(qū)塊以來內(nèi)容的完整副本(全局賬本)。截至2021年10月5日20時，從2009年1月9日的創(chuàng)世區(qū)塊開始，比特幣共有703,672個區(qū)塊，發(fā)生了超過6.76億次的交易，數(shù)據(jù)總體量為367.82GB；同時段，從2015年7月30日的創(chuàng)世區(qū)塊開始，以太坊共有13,358,974個區(qū)塊，發(fā)生了超過13.1億次交易，數(shù)據(jù)的總體量為295GB。換言之，每個比特幣或者以太坊的節(jié)點，不僅需要準備數(shù)百GB的空間，并且每新增一次交易都要遍歷所有節(jié)點，對既往數(shù)億次的交易進行驗證，這極大地降低了區(qū)塊鏈的運行效率。修剪后的節(jié)點具有大多數(shù)重要信息，并且仍然可以支持共識機制的形成。舉例而言，比特幣目前的修剪方式就允許節(jié)點只存儲550個區(qū)塊來進行交易驗證。盡管節(jié)點賬本的體量在修剪后有了顯著下降，但550個區(qū)塊的信息仍然包含完整的區(qū)塊頭和區(qū)塊體。因此，不同于只儲存區(qū)塊頭的“輕量級節(jié)點”，修剪的節(jié)點被認為是完整的節(jié)點，也可以驗證事務(wù)并參與共識。根據(jù)最新研究顯示，采用選擇性修剪技術(shù)，可以使得區(qū)塊鏈的賬本體量下降84.49%。參見Emanuel Palm, Olov Schelén &Ulf Bodin, , 2018 Crypto Valley Conference on Blockchain Technology (CVCBT), p.31.實際上，“輕量級節(jié)點”與“區(qū)塊修剪”技術(shù)結(jié)合可以進一步下降區(qū)塊鏈賬本的體量。

所謂“零知識證明”(zero knowledge proof，簡稱ZKF)可以看作是一種協(xié)議，通過該協(xié)議可以在不使用任何密碼或其他敏感數(shù)據(jù)的情況下促進數(shù)字身份驗證過程結(jié)果，無論從發(fā)送方還是接收方的任何信息都不會受到任何損害。參見Shiraz Jagati, - , , Cointelegraph(NOV 18, 2019), https://cointelegraph.com/explained/zero-knowledge-proofs-explained.通俗來講，“零知識證明是指一方(證明者)向另一方(驗證者)證明一個陳述是正確的，而無需透露除該陳述正確以外的任何信息”。經(jīng)典的零知識證明便是“阿里巴巴洞穴”。目前，零知識證明的機制已經(jīng)被應(yīng)用于區(qū)塊鏈相關(guān)的個人身份驗證之上。同樣以個人學歷信息驗證的區(qū)塊鏈應(yīng)用為例。傳統(tǒng)上，個人在尋找工作時，工作單位可能需要驗證應(yīng)聘人員是否具有本科學歷。按照傳統(tǒng)的驗證方式，應(yīng)聘人員需要提交本科學歷證書。在這個過程中，其實存在大量的信息冗余，因為用人單位很可能只需要知道是否具有本科學歷，而不需要知道學歷簽發(fā)的時間、專業(yè)、簽發(fā)人、畢業(yè)學校等。將這個例子平移到區(qū)塊鏈的個人信息應(yīng)用就會發(fā)現(xiàn)，傳統(tǒng)區(qū)塊鏈架構(gòu)需要保存?zhèn)€人特定的完整信息以滿足驗證的需要，而這一保存行為其實并不是最優(yōu)的選擇。零知識證明引入?yún)^(qū)塊鏈的實質(zhì)是允許個人不向用人單位共享學歷證書的情況下證明自己具有本科學歷。也正因如此，“零知識證明”機制的運用將會極大推動區(qū)塊鏈數(shù)據(jù)最小化的實現(xiàn)。有機構(gòu)就聲稱可以通過不斷遞歸，實現(xiàn)區(qū)塊鏈賬本體量由GB向KB的縮減，從而使得移動端也可以即時同步區(qū)塊鏈數(shù)據(jù)。參見: , Medium(May 10, 2018), https://medium.com/codaprotocol/coda-keeping-cryptocurrency-decentralized-e4b180721f42.

(四)“實質(zhì)控制”路徑的展開：許可區(qū)塊鏈與輕量級節(jié)點

1. 許可區(qū)塊鏈優(yōu)先。區(qū)塊鏈是一種極具變化的應(yīng)用技術(shù)，以“是否需要許可”為標準可分為“無許可區(qū)塊鏈”(permissionless blockchain)和“許可區(qū)塊鏈”(permissioned blockchain)。前者是指個人或者機構(gòu)不需要許可即可以自由訪問和添加數(shù)據(jù)的區(qū)塊鏈；后者是指個人或者機構(gòu)需要許可才能訪問和添加數(shù)據(jù)的區(qū)塊鏈。參見Bruce Bennett et al., , Insideprivacy(July. 24, 2018),https://www.insideprivacy.com/international/european-union/the-gdpr-and-blockchain/.同時，以場景和設(shè)計體系為標準還可分為公共鏈 (public blockchain) 、聯(lián)盟鏈 (consortium blockchain)和私有鏈(private blockchain)。一般而言，私有鏈和聯(lián)盟鏈是許可區(qū)塊鏈，而公共鏈則是非許可區(qū)塊鏈。從破除區(qū)塊鏈應(yīng)用的責任混同和責任不能困境角度出發(fā)，一個最為有效的合法化路徑就是明確規(guī)定個人信息的區(qū)塊鏈應(yīng)用必須遵循許可區(qū)塊鏈優(yōu)先的原則。

前文已經(jīng)提及，按照“實質(zhì)控制論”的解釋，對個人信息的實質(zhì)控制既是網(wǎng)絡(luò)運營者/區(qū)塊鏈服務(wù)提供者相關(guān)責任(刪除、更正、登記、審核)的來源，亦是履行責任的條件保障。從這個角度出發(fā)，“無許可區(qū)塊鏈”的技術(shù)特征與個人信息保護責任體系具有極強的沖突性。眾所周知，“無許可區(qū)塊鏈”屬完全分布式，各節(jié)點自由加入，共同維護全部交易數(shù)據(jù)。在上述架構(gòu)中，通常沒有一個單一的法律實體來決定所有節(jié)點的軟件、硬件。相反，這些決定是由一系列不同的參與者根據(jù)自身情況分散做出的決策。也就是說，無許可區(qū)塊鏈節(jié)點之間的數(shù)據(jù)驗證與共享主要取決于預(yù)先定義的服務(wù)器協(xié)議，個人節(jié)點對區(qū)塊鏈的數(shù)據(jù)處理的目的和處理方式?jīng)]有實質(zhì)影響力。因此，無許可區(qū)塊鏈的技術(shù)特點會造成一種悖論，即按照“相對控制”的解釋路徑，所有公共區(qū)塊鏈的個人節(jié)點都是網(wǎng)絡(luò)服務(wù)者，因此需要承擔相應(yīng)的法律責任。然而，個人節(jié)點由于資金、技術(shù)等多方面的限制事實上無法承擔責任；反之，如果按照“實質(zhì)控制”的解釋路徑，所有公共區(qū)塊鏈上的個人節(jié)點都可能不是網(wǎng)絡(luò)服務(wù)者，那么整個公共區(qū)塊鏈就可能沒有承擔責任的主體。也就是說，無論按照“實質(zhì)控制”還是“相對控制”，公共區(qū)塊鏈的架構(gòu)選擇都會陷入責任混同與責任不能的困境。

與非許可區(qū)塊鏈形成鮮明對比的是，許可區(qū)塊鏈(私有鏈和聯(lián)盟鏈)的架構(gòu)設(shè)計能夠較好地貼合“實質(zhì)控制論”的需求，從而為責任混同和責任不能的解決提供可能。首先，“許可區(qū)塊鏈”的節(jié)點通常由一個法律實體發(fā)起，其背后是一個已知的中心化機構(gòu)對區(qū)塊鏈進行直接管理。參見Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.5.由此，也就當然具有可以承擔法律責任的數(shù)據(jù)實質(zhì)控制節(jié)點。其次，“許可區(qū)塊鏈”相對封閉，只對特定的組織或人群開放。在“許可”的過程中可以對節(jié)點的資金、技術(shù)、人員的實力進行有效審核。節(jié)點也可以采用相同的軟件、硬件以及區(qū)塊鏈的基礎(chǔ)設(shè)置。由此，加入的節(jié)點也具有實質(zhì)控制數(shù)據(jù)的能力。再次，“許可區(qū)塊鏈”的節(jié)點群體較為穩(wěn)定，節(jié)點無法隨意加入與退出，因此責任主體的配置具有穩(wěn)定性。最后，“許可區(qū)塊鏈”還可以在節(jié)點加入時通過簽訂協(xié)議的方式明確各自的權(quán)利義務(wù)，從而有效地避免了責任的混同問題。因此，從個人信息保護的角度來看，許可區(qū)塊鏈節(jié)點的設(shè)立與其成員的法律關(guān)系能較好地兼容于現(xiàn)有法律責任體系，監(jiān)管難度低?！皻W盟區(qū)塊鏈觀察站與論壇”也認為，“許可區(qū)塊鏈”比“無許可區(qū)塊鏈”能更好地應(yīng)用于個人信息保護。參見Tom Lyons et al., , a Thematic Report Prepared by the European Union Blockchain Observatory and Forum(October 16, 2018), p14.

2. 輕量級節(jié)點構(gòu)建。“實質(zhì)控制”的解釋論固然能夠使得單純選擇服務(wù)的個人豁免于節(jié)點的責任。然而，節(jié)點的實質(zhì)是參與共識，是對數(shù)據(jù)的控制。成為節(jié)點固然會增加相應(yīng)的責任，但個人同樣可以通過節(jié)點來加強對個人信息的控制。因此，成為節(jié)點和單純選擇服務(wù)對于個人信息的控制不可等量齊觀。由此，便形成一種矛盾：個人想要更好地控制區(qū)塊鏈上的個人信息，就必須成為節(jié)點，然而成為節(jié)點又可能需要承擔網(wǎng)絡(luò)運營者的責任。輕量級節(jié)點技術(shù)的出現(xiàn)使得用戶可以享受對個人信息有效控制的基礎(chǔ)上，同時又不至于對其他節(jié)點的數(shù)據(jù)形成“實質(zhì)控制”，因此是當前技術(shù)條件下的一條最優(yōu)的路徑。

“輕量級節(jié)點”(lightweight node)是相對“全節(jié)點”(full node)而言的，是區(qū)塊鏈技術(shù)發(fā)展的必然需求。節(jié)點是存儲完整或部分區(qū)塊鏈副本并參與新塊驗證的計算機。參見Tom Lyons et al., , a Thematic Report Prepared by the European Union Blockchain Observatory and Forum(October 16, 2018), p46.在采用全節(jié)點的分布式存儲中，公民個人通過區(qū)塊鏈應(yīng)用的客戶端完成區(qū)塊鏈節(jié)點建設(shè)后，客戶端會在互聯(lián)網(wǎng)上搜尋區(qū)塊鏈的其他節(jié)點，并記錄每個節(jié)點的IP地址。當發(fā)現(xiàn)自己節(jié)點上的區(qū)塊鏈高度低于其他節(jié)點時，就會通過共識機制把最新的區(qū)塊鏈同步到自己的節(jié)點上。因為區(qū)塊鏈采用鏈式存儲，每個數(shù)據(jù)區(qū)塊依次疊加，因此最高的區(qū)塊鏈就是最新的區(qū)塊鏈。同樣，如果公民完成在自己接入上的數(shù)據(jù)寫入，那么其他節(jié)點也通過相同的機制完成全局賬本的更新與共享?？梢灶A(yù)想，在公鏈的環(huán)境下，當節(jié)點數(shù)量過大時，共享對資源的需求就越大。因為每個節(jié)點都可能隨機地更新數(shù)據(jù)區(qū)塊，一經(jīng)更新，其他節(jié)點也要同步更新。隨著數(shù)據(jù)量的增加，同步的耗時就會越來越大。因此，隨著區(qū)塊鏈技術(shù)的發(fā)展，就出現(xiàn)了“輕量級節(jié)點”的概念。

眾所周知，完整的區(qū)塊(block)包括為區(qū)塊頭(header)和區(qū)塊體(body)兩個部分。前者用以儲存本區(qū)塊哈希值、上一區(qū)塊哈希值、時間戳以及默克爾根(Merkle root)根等信息，其中默克爾根是節(jié)點之間區(qū)塊鏈校驗的關(guān)鍵設(shè)置，它可以理解為所有區(qū)塊鏈信息匯總之后形成的一個數(shù)據(jù)指紋，任何區(qū)塊鏈信息的變化都會影響這個數(shù)據(jù)指紋的狀態(tài)。區(qū)塊體則儲存著區(qū)塊鏈上所有的信息。在個人信息應(yīng)用領(lǐng)域，是每個主體上鏈的所有個人信息之和，以及個人信息交互的所有數(shù)據(jù)?？梢?，區(qū)塊體才是全局賬本構(gòu)建的關(guān)鍵，它包含了全局信息，而區(qū)塊頭只包含有限的信息，主要用于數(shù)據(jù)驗證。換言之，個人信息保護的區(qū)塊鏈應(yīng)用中，公民可以以輕量級節(jié)點的形式參與共識。具體而言，就是個人節(jié)點只保存自己全部信息，同時只獲取其他節(jié)點的區(qū)塊頭信息。由此，個人節(jié)點既參與了整個區(qū)塊鏈共識，享受了區(qū)塊鏈防篡改等安全保障，同時因為只獲取其他節(jié)點的區(qū)塊頭信息而并不會實質(zhì)處理其他節(jié)點的個人信息。它不驗證自己目的所需之外的任何信息。之所以能夠選擇輕量級節(jié)點來存儲個人信息，是因為在個人信息的區(qū)塊鏈應(yīng)用中，不需要類似比特幣的“雙花”交易驗證，而只需要通過簡化驗證機制(Simplified payment verification，簡稱SPV) 驗證特定交易是否在區(qū)塊鏈中，而不需要下載全局賬本。此時，驗證所需的信息就不需要完整的全局賬本，而只需要區(qū)塊頭的信息即可。完整節(jié)點通過允許輕量級節(jié)點連接并將信息傳輸?shù)絽^(qū)塊鏈網(wǎng)絡(luò)。因此在完整節(jié)點與輕量級節(jié)點的二元化分中，完整節(jié)點才是提供服務(wù)的節(jié)點。

結(jié)語

本文通過利益平衡的解釋論為區(qū)塊鏈與個人信息保護規(guī)范的銜接提供了利益平衡的解決方案，也為區(qū)塊鏈在個人信息保護方面的應(yīng)用掃除了部分障礙。然而，需要明確的是區(qū)塊鏈在個人信息保護上的應(yīng)用應(yīng)恪守必要性原則，即當個人信息處理不需區(qū)塊鏈即可實現(xiàn)特定目的時，就應(yīng)采用其他可行方案。區(qū)塊鏈并非無所不能，網(wǎng)絡(luò)運營者需要慎重考慮在相關(guān)個人信息保護的應(yīng)用中采用區(qū)塊鏈技術(shù)的必要性。如果決定采用，則需要關(guān)注技術(shù)的合規(guī)問題。盡管，解釋論已經(jīng)能夠較好地回應(yīng)區(qū)塊鏈在個人信息保護應(yīng)用過程中的合法性困境，但在未來立法上仍然可以就個人信息保護的諸多關(guān)鍵概念予以明確，降低適用的不確定性。同時，立法也要充分考慮區(qū)塊鏈技術(shù)的特點，構(gòu)建適合區(qū)塊鏈發(fā)展的責任主體識別標準及責任體系。這些內(nèi)容，都是未來可以進一步展開的研究。