區(qū)塊鏈在投資者適當性管理應用中的法律問題研究

姜帥 智佳琦

摘? ?要：區(qū)塊鏈及其技術(shù)體系應用于投資者適當性管理，能夠有效緩解行業(yè)數(shù)據(jù)共享難、投資者風險承受能力評估存在局限性、義務履行回溯合規(guī)弊端多、司法舉證要求高的痛點。螞蟻集團的先行實踐可以窺見其價值、模型以及前景。然而，該應用需與《個人信息保護法》相兼容，妥善預防風險并進行監(jiān)管安排。為此，平臺建設應明確表述個人信息處理目的，遵循適當性管理法定信息范圍，厘清落實“告知—知情—同意”的要求，保障用戶個人信息刪除權(quán)與可攜權(quán)，考慮通過保險機制預防個人信息損害帶來的連帶責任效應，使用國產(chǎn)可信硬件構(gòu)建穩(wěn)妥的可信計算環(huán)境。同時，為應對監(jiān)管挑戰(zhàn)，應制定“監(jiān)管鏈—投資者適當性管理鏈”應用級標準，完善聯(lián)盟鏈監(jiān)管方式。

關鍵詞：區(qū)塊鏈；投資者適當性管理；個人信息保護

中圖分類號：F830? 文獻標識碼：B? 文章編號：1674-2265（2023）06-0074-08

DOI：10.19647/j.cnki.37-1462/f.2023.06.009

一、引言

《證券期貨業(yè)科技發(fā)展“十四五”規(guī)劃》指出，要建設基于“監(jiān)管鏈—業(yè)務鏈”雙層架構(gòu)的證券期貨行業(yè)新型區(qū)塊鏈基礎設施，穩(wěn)步推進監(jiān)管鏈跨鏈對接行業(yè)各類業(yè)務鏈，建立鏈上業(yè)務服務體系，支撐監(jiān)管科技與金融科技協(xié)同創(chuàng)新試點探索。在該背景下，上海證券交易所“云鏈一體化”已實現(xiàn)落地，成為全行業(yè)一站式區(qū)塊鏈基礎設施（上海證券交易所課題組，2021）[1]，為金融行業(yè)傳統(tǒng)業(yè)務與區(qū)塊鏈技術(shù)深度融合奠定了重要基礎。

投資者適當性管理作為金融機構(gòu)必須履行的法定義務，高度依賴投資者個人信息是其顯著特征。金融機構(gòu)因此負有建立投資者評估數(shù)據(jù)庫并及時更新、充分使用已了解信息和已有評估結(jié)果、避免重復采集、提高評估效率的職責①。然而，金融機構(gòu)現(xiàn)有的投資者數(shù)據(jù)庫的功能主要在于客戶統(tǒng)計和日常維護，缺少收集、動態(tài)管理投資者適當性管理信息的功能（朱蕓陽，2020）[2]，并面臨數(shù)據(jù)共享、數(shù)據(jù)安全、隱私泄露等諸多難題和隱患。而區(qū)塊鏈及其技術(shù)體系作為新興前沿技術(shù)，不僅可以大幅提升隱私保護和數(shù)據(jù)安全水平，實現(xiàn)機構(gòu)間數(shù)據(jù)共享，還可以交叉驗證投資者風險測評，可信回溯交易記錄，大大降低司法舉證難度與合規(guī)成本。因此，金融行業(yè)對于在投資者適當性管理領域運用區(qū)塊鏈技術(shù)有著迫切需要，有關機構(gòu)也進行了先行探索。

但新技術(shù)的應用往往會帶來新的法律問題，其與投資者個人信息的深度融合不僅需與《個人信息保護法》（以下簡稱《個保法》）相兼容，還要提前預防有關技術(shù)風險，特別在涉及監(jiān)管科技的情況下，各方參與者的角色、義務、責任也需進一步厘清。鑒于此，本文先討論傳統(tǒng)方式下金融業(yè)投資者適當性管理的行業(yè)痛點，揭示該領域引入?yún)^(qū)塊鏈技術(shù)的必要性，闡述區(qū)塊鏈對投資者適當性管理的技術(shù)賦能邏輯和現(xiàn)有實踐，然后從合規(guī)與監(jiān)管兩個維度分析區(qū)塊鏈應用于投資者適當性管理的法律問題，提出相應的對策建議，以期推動該領域制度和實踐的發(fā)展完善。

二、應用邏輯：行業(yè)痛點背景下的技術(shù)賦能

（一）金融業(yè)落實投資者適當性管理制度的行業(yè)痛點

目前，我國已建立多層級的投資者適當性管理法律體系。然而，將投資者適當性管理制度落到實處對金融機構(gòu)而言卻是“知易行難”。從2015年開始，關于投資者適當性管理的司法案件快速增長，金融機構(gòu)因未適當履行投資者適當性管理義務而面臨與日俱增的民事、行政責任風險與合規(guī)成本。此種局面的形成與金融機構(gòu)仍沿用工業(yè)時代的投資者適當性管理模式緊密相關，具體痛點表現(xiàn)如下：

1. 數(shù)據(jù)共享難，投資者風險承受能力評估存在局限性。目前，我國金融機構(gòu)采集的投資者個人信息存儲于內(nèi)部信息系統(tǒng)，基本不與其他金融機構(gòu)共享，“信息孤島”與“信息豎井”較為常見。這主要歸咎于兩點：一方面，由于我國金融業(yè)當前實行分業(yè)經(jīng)營，投資者評估數(shù)據(jù)庫建設均按照機構(gòu)維度展開，實踐中各自為政，標準不一，跨行業(yè)的互聯(lián)互通面臨巨大困難和較高成本；另一方面，絕大多數(shù)金融機構(gòu)共享個人信息時需嚴格落實法律要求，面臨不菲的風險和成本。根據(jù)《個保法》第二十三條和第五十五條，共享個人信息不僅需要獲得個人的單獨同意，還應在事前進行個人信息保護影響評估。即便金融機構(gòu)同屬一個金融集團，亦不能享受特殊待遇。如共享中對個人信息造成侵害，還會面臨嚴厲的法律責任（邢會強和姜帥，2021）[3]。

上述情況自然對高度依賴信息的投資者適當性管理造成重要影響。適當性義務以“了解客戶”“了解產(chǎn)品”“適當性匹配”以及“風險揭示”為核心內(nèi)容，信息的不對稱和不充分可能使其成效從一開始就受到制約。有學者的實證研究就表明，既往司法實踐中，金融機構(gòu)因違反“了解客戶”“適當性匹配”義務而引發(fā)糾紛的案件最多，且賠率極高（黃輝，2021）[4]。

2. 義務履行回溯合規(guī)弊端多，司法舉證要求高?！蹲罡呷嗣穹ㄔ宏P于印發(fā)<全國法院民商事審判工作會議紀要>的通知》（法〔2019〕254號）規(guī)定，賣方機構(gòu)應對其是否履行適當性義務承擔舉證責任。因此，記錄并保存適當性義務履行過程中的相關證據(jù)對金融機構(gòu)而言十分重要。目前實踐中主要應用三種留痕方案：第一，線上雙錄。投資者按照既定的話術(shù)錄制視頻，記錄投資者行為過程和金融機構(gòu)風險警示等環(huán)節(jié)。第二，錄屏。要求投資者允許錄制操作屏幕，以記錄投資者在屏幕端的行為過程。第三，代碼校驗。將投資者行為所生成的交易記錄和交易附加信息背后的代碼進行存儲。

這三種方案都存在相應的弊端：首先，線上雙錄和錄屏收集大量個人信息，除收集設備信息外，還可能在操作過程中收集用戶賬號、密碼、通話內(nèi)容、電話號碼和面部等其他信息，此種信息收集不僅違反《個保法》規(guī)定的“最小必要原則”，而且有較大的隱私泄露風險。其次，線上雙錄和錄屏對存儲空間要求高，監(jiān)管部門也通常要求將資料保存較長的時間，大大增加了金融機構(gòu)的成本。再次，由于線上雙錄對于環(huán)境、網(wǎng)絡的要求高，操作步驟多，投資者容易出現(xiàn)疲勞、不耐煩等情緒。最后，代碼校驗方案可讀性差，作為證據(jù)還需進一步講解和展示才能讓法官知悉其背后的交易過程。而2020年5月1日，最高人民法院修訂后的《關于民事訴訟證據(jù)的若干規(guī)定》正式實施，新增了關于判斷電子證據(jù)真實性的專門條文，針對計算機系統(tǒng)、數(shù)據(jù)信息、證據(jù)主體提出了更多具體的條件，這進一步提高了金融機構(gòu)的舉證要求和成本（劉品新，2021）[5]。

（二）區(qū)塊鏈對投資者適當性管理的技術(shù)賦能及實踐

區(qū)塊鏈具有各節(jié)點共享賬本一致、鏈上數(shù)據(jù)加密不可篡改、痕跡可信存證等技術(shù)特性，理論上恰好能夠改善當前金融機構(gòu)在實施投資者適當性管理方面的困境。以數(shù)據(jù)共享為例，各金融機構(gòu)如果成為區(qū)塊鏈節(jié)點，不僅可以依托分布式賬本實現(xiàn)數(shù)據(jù)的充分聯(lián)通，還可以通過共識機制及時準確地感知用戶風險承受能力等級動態(tài)。在此基礎上，投資者的個人信息也將得到強化保護。一方面，區(qū)塊鏈上存儲的信息不可篡改，可信執(zhí)行環(huán)境（Trusted Execution Environment，TEE）等隱私計算技術(shù)的應用更增強了其安全性（中國信息通信研究院，2021）[6]。另一方面，結(jié)合分布式數(shù)字身份技術(shù)，可以賦予投資者唯一的分布式數(shù)字身份（Decentralized IDentity，DID）（畢丹陽等，2021）[7]，有效防止中心化身份機制下投資者信息被第三方收集、盜用、冒名、頂替等問題。除此之外，投資者依托該身份還可以有效減少風險測試疲勞，在首次完成風險承受能力測試后即可在之后的投資交易中直接授權(quán)其他金融機構(gòu)使用該測試結(jié)果。如果上述應用圖景得以實現(xiàn)，該平臺還可以與司法鏈跨鏈交互，在發(fā)生糾紛時使金融機構(gòu)進行更有效的舉證（伊然，2022）[8]。

基于此種技術(shù)賦能的優(yōu)勢，近年來螞蟻科技集團股份有限公司（以下簡稱螞蟻集團）率先在投資者適當性領域進行了積極探索，在集團內(nèi)部構(gòu)建了“螞蟻風測聯(lián)盟鏈”。該聯(lián)盟鏈能夠在獲得用戶授權(quán)的前提下將用戶第一次風險測試的數(shù)據(jù)共享至鏈上各成員機構(gòu)，并利用算法及時提示用戶更新個人風險測試數(shù)據(jù)，在改善投資者投資體驗的同時，也助推了業(yè)務效率的提升。根據(jù)運行團隊初步反饋，運用聯(lián)盟鏈進行投資者適當性管理，保守預估各業(yè)務提效6%，其帶來的安全、共享價值也較為顯著。

圖1是本文以螞蟻風測聯(lián)盟鏈為基礎融合隱私計算、分布式數(shù)字身份等多項技術(shù)的投資者適當性管理跨鏈協(xié)作模型，以此說明將區(qū)塊鏈技術(shù)運用于投資者適當性管理領域給投資者、金融機構(gòu)和監(jiān)管者帶來的“新力量”。

[可信

代碼][可信引擎][可信虛擬機][可信執(zhí)行環(huán)境][可信硬件服務器]

圖1：基于聯(lián)盟鏈的投資者適當性管理跨鏈協(xié)作平臺

基本結(jié)構(gòu)圖

首先，平臺以金融機構(gòu)構(gòu)建的聯(lián)盟鏈（以下簡稱金融鏈）為基礎，節(jié)點為參與建設聯(lián)盟鏈的金融機構(gòu)的服務器或計算機中的軟件程序，它們共享一份加密不可篡改的賬本。智能合約結(jié)合監(jiān)管機構(gòu)提出的投資者適當性管理要求和各金融機構(gòu)的個性化要求編譯而成，當某金融機構(gòu)發(fā)出適當性匹配請求時，智能合約自動執(zhí)行。若各節(jié)點達成共識，則將匹配結(jié)果返回給該機構(gòu)。以可信計算體系為中心的隱私計算技術(shù)從底層硬件服務器到應用軟件，打通鏈下數(shù)據(jù)源與鏈上數(shù)據(jù)，保證數(shù)據(jù)上鏈之前的真實性、鏈上數(shù)據(jù)的隱私保護和跨鏈通訊中的數(shù)據(jù)安全。

其次，用戶將身份信息加密存儲在金融鏈上，生成DID數(shù)字身份碼，利用非對稱加密算法等機制，只有用戶自己的私鑰才能解密獲得用戶身份的明文信息。用戶授權(quán)金融鏈收集其適當性管理相關數(shù)據(jù)，生成數(shù)字檔案，當其在金融機構(gòu)購買理財產(chǎn)品時，可以授權(quán)金融機構(gòu)查詢和使用其數(shù)字檔案，也可以終止授權(quán)。數(shù)據(jù)發(fā)生變更時，用戶可及時更新數(shù)字檔案，金融鏈根據(jù)用戶數(shù)據(jù)變化情況，也可通過被授權(quán)的金融機構(gòu)及時通知用戶更新檔案信息。整個過程中數(shù)據(jù)加密解密和計算都在可信執(zhí)行環(huán)境中進行，用戶檔案數(shù)據(jù)對機構(gòu)可用不可見，可有效防止隱私泄露。

最后，監(jiān)管機構(gòu)建設監(jiān)管鏈，與金融鏈進行跨鏈交互。監(jiān)管機構(gòu)見證整個系統(tǒng)的運行，同享賬本，當監(jiān)管機構(gòu)定期檢查金融機構(gòu)的適當性管理落實情況，或者用戶與金融機構(gòu)之間發(fā)生糾紛時，監(jiān)管機構(gòu)可獲取金融鏈上用戶的適當性管理相關數(shù)據(jù)。待時機成熟時，監(jiān)管機構(gòu)還可通過跨鏈交互對投資者信息、產(chǎn)品信息披露、適當性匹配等環(huán)節(jié)進行實時、事中監(jiān)管，與金融鏈實現(xiàn)互聯(lián)互通、以鏈治鏈。

三、應用挑戰(zhàn)：基于合規(guī)與監(jiān)管兩個維度的考察

如前文所述，聯(lián)盟鏈應用于投資者適當性管理將在有效克服既往行業(yè)痛點的同時，為整個行業(yè)締造全新的管理運作模式。但是，在這一場景中，區(qū)塊鏈投資者適當性管理平臺以及作為節(jié)點的各金融機構(gòu)也面臨著個人信息保護要求帶來的挑戰(zhàn)。除此之外，為保障該機制的可持續(xù)性，監(jiān)管者也需克服監(jiān)管挑戰(zhàn)，加入平臺建設當中。

（一）區(qū)塊鏈應用場景中的個人信息保護

1. 需避免過度處理個人信息。區(qū)塊鏈投資者適當性管理平臺本身存在著過度處理個人金融信息的隱憂。一方面，“鏈的完整副本存儲在每個完整節(jié)點上，這與個人信息最小化原則的精神完全相反”（江海洋，2021）[9]。另一方面，技術(shù)應用后很多個人信息處理活動由智能合約運行，雖然提高了業(yè)務效率，但也喪失了靈活性，對法律的介入產(chǎn)生隔閡（趙磊，2020）[10]。此外，作為節(jié)點的各金融機構(gòu)對用戶風險承受能力測試的需求也不盡相同，其在B端處理的個人信息范圍也可能因此而存在較大差異，并由此招致有關風險。

2. 需明晰取得用戶同意的進一步要求。區(qū)塊鏈投資者適當性管理平臺中絕大多數(shù)的個人信息處理均離不開用戶的同意。這是因為，雖然《個保法》第十三條條第一款第三項規(guī)定個人信息處理者為履行法定職責或者法定義務所必需的個人信息處理可以不取得個人同意，但是依據(jù)體系解釋，這一事由需要法律、行政法規(guī)明文規(guī)定。在我國當前投資者適當性管理的諸多規(guī)則中，符合此情形的僅有《證券法》第八十八條以及《證券投資基金法》第九十八條，且主體被限定為證券公司與基金銷售公司。所以，對于不是證券公司和基金銷售機構(gòu)的節(jié)點而言，只有其符合《個保法》第十三條第一款的其他豁免事項，方能不經(jīng)用戶同意處理個人信息，且仍要履行告知義務。

此外，關于取得用戶同意的相關合規(guī)舉措也有待具體化。其一，平臺上節(jié)點眾多，部分個人信息處理活動需經(jīng)由共識機制完成，且上鏈后不可篡改，具體的告知設計如何與《個保法》第十七條②保持一致仍需尋求妥當安排。其二，平臺及其節(jié)點處理的個人信息屬于“金融機構(gòu)通過開展業(yè)務或者其他渠道獲取、加工和保存的個人信息”③，即個人金融信息。該類信息在我國相對特殊，部分內(nèi)容有特別規(guī)定，如有關規(guī)章、行業(yè)標準就要求金融機構(gòu)處理個人金融信息時取得個人的明示同意④。

3. 需保障用戶的個人信息刪除權(quán)與可攜權(quán)。我國《民法典》第一千零三十七條第二款和《個保法》第四十七條規(guī)定了個人信息刪除權(quán)。由于區(qū)塊鏈技術(shù)只能保證鏈上數(shù)據(jù)傳輸?shù)恼鎸嵖煽?，無法確保上鏈數(shù)據(jù)本身是否真實可靠（石超，2020）[11]，如果信息內(nèi)容本身有誤、操作人員致使信息發(fā)生錯誤、用戶不當上傳信息等情形發(fā)生，那么平臺及其節(jié)點必須保障客戶的個人信息刪除權(quán)（陳奇?zhèn)ズ吐櫫辗澹?020）[12]。但從技術(shù)邏輯來講，不可篡改是區(qū)塊鏈技術(shù)的基本特性。如果要進行信息刪除，不僅需要改變其他所有區(qū)塊信息，還需要經(jīng)過共識機制的認可，除非實施者能夠同時控制系統(tǒng)中51%以上的節(jié)點，否則單個節(jié)點上的修改是無效的，但這通常極難實現(xiàn)。即便實現(xiàn)了對系統(tǒng)中51%以上節(jié)點的控制，在公有鏈上進行分叉仍無法做到完全刪除，聯(lián)盟鏈中的協(xié)作、控制雖然相對容易實現(xiàn)，但獨斷、中心化的控制容易動搖技術(shù)的信任機制，并帶來巨大成本（李有星，2022）[13]。

《個保法》第四十五條第三款規(guī)定了個人數(shù)據(jù)可攜權(quán)，并將行使條件交由網(wǎng)信部門具體規(guī)定。這主要是因為引入該權(quán)利雖然必要，但對一般的個人信息處理者而言具有較高的技術(shù)壁壘和成本負擔（邢會強，2020）[14]。雖然目前有關規(guī)定付之闕如，但平臺及節(jié)點仍需要做好相關準備。原因在于，相較于一般的個人信息處理者而言，金融機構(gòu)通常具備雄厚的資金實力和技術(shù)條件，聯(lián)盟鏈相較于公有鏈也具有實施的基礎。雖然目前我國國家標準《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273—2020）第8.6條未將金融交易信息列入數(shù)據(jù)可攜權(quán)的范圍，但在數(shù)字經(jīng)濟背景下，將其納入已然是未來趨勢（邢會強，2020）[15]。因此，未來如果有用戶發(fā)起移轉(zhuǎn)請求，平臺及節(jié)點則必須提供轉(zhuǎn)移路徑，向用戶指定的鏈下機構(gòu)移轉(zhuǎn)個人信息。

4. 需明確個人信息權(quán)益遭受侵害后的法律責任。與常見的個人信息處理方式不同，在區(qū)塊鏈上存儲、刪除個人信息必須由具有計算功能的節(jié)點共同見證，達成共識，在這一過程中平臺管理者、平臺系統(tǒng)操作運營者也會進行一定程度的參與。在個人信息權(quán)益遭受侵害發(fā)生糾紛的情況下，這可能使區(qū)塊鏈投資者適當性管理平臺陷入個人信息處理者不明確、諸主體間義務與責任難以分配的難題。然而，當前我國《區(qū)塊鏈信息服務管理規(guī)定》主要對區(qū)塊鏈信息服務提供者進行規(guī)制，尚未涉及此種新問題。

5. 需妥當保障數(shù)據(jù)在鏈下的真實性。區(qū)塊鏈的信任機制限于確保鏈上信息的真實、準確、完整。但鏈上信息終究來自鏈下，也終究要解密使用，這就涉及如何保障鏈下數(shù)據(jù)真實性的問題。如果鏈上鏈下信息不一致，依據(jù)《人民法院在線訴訟規(guī)則》第十六條條，鏈上存儲的數(shù)據(jù)會由此喪失其證明力⑤。目前，對此提供保障的主要是技術(shù)路徑，即通過隱私計算與可信計算體系協(xié)同來實現(xiàn)。然而，這一方案的核心與基礎——可信執(zhí)行環(huán)境（TEE）主要使用的Intel Software Guard Extensions（以下簡稱 SGX）⑥硬件環(huán)境面臨壟斷問題，如果Intel芯片或其服務器出現(xiàn)問題，或者Intel關閉此項功能，將會使項目無法運轉(zhuǎn)（劉千仞等，2020）[16]。

（二）監(jiān)管者的監(jiān)管挑戰(zhàn)

監(jiān)管者介入平臺的終極原因在于，聯(lián)盟鏈并不是完全去中心化的，如果聯(lián)盟內(nèi)部參與者達成合謀，鏈上的數(shù)據(jù)仍可以被任意篡改，外部參與者和監(jiān)管機構(gòu)將無法確認聯(lián)盟鏈數(shù)據(jù)的真實性（趙磊，2020）[17]。因此，監(jiān)管者加入平臺建設是不可或缺的，甚至在一定意義上構(gòu)成平臺發(fā)展運行的重要基礎。

總的來看，監(jiān)管者對區(qū)塊鏈投資者適當性管理平臺實施監(jiān)管，至少面臨著如下挑戰(zhàn)。第一，監(jiān)管中存在投資者適當性管理智能合約與監(jiān)管文本要求匹配性存疑、算法歧視與偏見問題。具體而言，智能合約是應監(jiān)管要求和各金融機構(gòu)的個性化要求編譯而成的計算機代碼，計算機語言是準確的，而監(jiān)管者和金融機構(gòu)提出的適當性管理要求卻可能是模糊的。如《證券期貨投資者適當性管理辦法》（2020年修訂）第十條要求經(jīng)營機構(gòu)綜合考慮收入來源、資產(chǎn)狀況、債務、投資知識和經(jīng)驗、風險偏好、誠信狀況等因素確定普通投資者的風險承受能力，其中明顯存在模糊性的因素就有“收入來源”“投資知識和經(jīng)驗”。即使通過具體嚴格的標準化、數(shù)量化過程形成了精準的智能合約程序，智能合約還可能因數(shù)據(jù)收集渠道有限、客戶畫像精準度不足、人類思維認知局限和道德缺陷等限制，帶來算法歧視與偏見（許多奇，2023）[18]。

第二，監(jiān)管者還可能面臨監(jiān)管主體分散、過度監(jiān)管以及監(jiān)管能力不足的問題。區(qū)塊鏈投資者適當性管理平臺的監(jiān)管主體可能包括證監(jiān)會、金融監(jiān)督管理總局、網(wǎng)信辦、工信部等多個部門。這很有可能帶來法律政策方面的重疊與矛盾，進而加重平臺的合規(guī)負擔。而監(jiān)管者利用區(qū)塊鏈技術(shù)，對平臺的節(jié)點準入、技術(shù)細節(jié)、算法、投資者適當性管理流程等方面的把控，也會對金融機構(gòu)的運行造成壓力，增加金融機構(gòu)運行成本（秦勇和韓世鵬，2021）[19]。此外，雖然我國監(jiān)管機構(gòu)獨立研發(fā)監(jiān)管科技，具有安全、獨立、自主的優(yōu)勢，但也存在著起步晚、底子薄、資金和研發(fā)不足等問題。根據(jù)德勤會計師事務所發(fā)布的《監(jiān)管科技世界》（The RegTech Universe）報告，截至2023年3月，報告覆蓋的485個監(jiān)管科技機構(gòu)中，英國等歐洲國家以及美國擁有全球最多的監(jiān)管科技機構(gòu)，中國尚未有監(jiān)管科技機構(gòu)進入名單。

四、應對對策：合規(guī)因應與嵌入平臺的創(chuàng)新監(jiān)管

（一）以《個保法》為中心采取合規(guī)措施

1. 明確表述個人信息處理目的，遵循法定信息范圍。為避免過度處理個人信息，平臺及其節(jié)點應主動嚴格落實目的限制原則。該原則實際上是個人信息處理合法、正當、必要、誠信原則的具體體現(xiàn)，對應《個保法》第六條⑦，以“直接相關”為核心要義。

據(jù)此，平臺及節(jié)點應使個人信息處理目的特定、明確。其中“特定”意味著對目的描述需提供足夠的細節(jié)使之具有辨識度，“明確”則意味著將該目的明白無誤地展現(xiàn)（張新寶，2019）[20]，除了使用清晰的言語外，還不能寬泛地表示（程嘯，2021）[21]。所以平臺及節(jié)點應將運用區(qū)塊鏈技術(shù)更好實現(xiàn)投資者與金融產(chǎn)品或服務達成匹配的目的與處理用戶個人信息的場景、流程相結(jié)合，充分揭示細節(jié)，即可表述為：“上述收集的個人信息將存儲于××聯(lián)盟區(qū)塊鏈，用于驗證投資者個人真實身份，經(jīng)投資者授權(quán)評估風險承受能力，進而評估投資者是否適合相關金融產(chǎn)品和服務交易?！?/p>

在信息范圍方面，平臺及節(jié)點應在收集端遵循“實現(xiàn)目的最小范圍”要求，原則上不逾越法定信息。我國《證券法》（2019年修訂）第八十八條第一款對證券公司履行適當性義務收集的信息進行了明確列舉，即包括投資者的基本情況、財產(chǎn)狀況、金融資產(chǎn)狀況、投資知識和經(jīng)驗、專業(yè)能力。《證券期貨投資者適當性管理辦法》（2020修訂）第六條在此基礎上做了更加細致的列舉，還囊括了金融機構(gòu)對專業(yè)投資者應當了解的信息。這兩項規(guī)定也是目前我國投資者適當性立法中層級最高規(guī)范對信息范圍的明確列舉，充分體現(xiàn)了立法部門對信息收集的必要性考量。因此，雖然鏈上各金融機構(gòu)風險測試問卷并不統(tǒng)一，但是收集的信息范圍均應嚴格依照上述規(guī)定，原則上不應按照上述規(guī)定中的兜底性條款展開個人信息收集，除非行業(yè)協(xié)會的有關問卷內(nèi)容指引有所細化或者經(jīng)過了內(nèi)部論證和審批。

2. 厘清落實“告知—知情—同意”的具體要求。在取得用戶同意或處理其個人信息前，除了將上文明確的處理目的、處理信息種類和范圍納入告知內(nèi)容外，平臺及節(jié)點還應依據(jù)《個保法》第十七條，向用戶特別告知處理主體和處理方式。

首先，鑒于處理主體數(shù)量較多且會發(fā)生變動，比較妥當?shù)姆绞绞浅肆谐鲇脩糁苯用鎸Φ墓?jié)點和平臺外，將其他個人信息處理者進行特別標識附錄在后。如果后續(xù)有節(jié)點加入或退出，平臺應以顯著的方式告知用戶個人信息處理者的變動，如在用戶操作的C端中彈窗或者推送提醒，并留存于專門的告知欄，不應滿足于靜態(tài)的未經(jīng)提醒的告知。

其次，對處理方式的告知應特別標識采用共識機制進行的個人信息處理行為，如存儲、刪除，同時告知用戶其分布式同步存儲的特性。由于區(qū)塊鏈不可篡改的特性對用戶的刪除權(quán)利產(chǎn)生的影響，還應告知刪除的技術(shù)措施和效果，相應地，也應告知用戶行使有關權(quán)利的方式。考慮到區(qū)塊鏈對一般用戶而言確實存在較高的理解壁壘，對這些內(nèi)容的告知應特別重視有效性，一方面，應優(yōu)化告知的語言，使之簡潔易懂，甚至應允許使用簡單的圖示和較短的視頻內(nèi)容；另一方面，還可考慮在用戶后續(xù)使用中設置二次告知，此種告知并非現(xiàn)行法律的強制要求，而是平臺基于充分保障用戶知情權(quán)益、管理與用戶關系的主動合規(guī)措施。此種經(jīng)驗也可被借鑒到對投資者超出自身風險等級購買有關產(chǎn)品和服務的告知中。對于大部分用戶而言，其一剎那的選擇并未意識到超越現(xiàn)有風險等級的具體后果，連篇累牘的文字告知遠不及易懂的圖示和短視頻的扼要提示。應認識到，告知虛化結(jié)果的產(chǎn)生是告知方和被告知方雙方共同導致的，重視告知對用戶權(quán)益保護和權(quán)利行使的基礎意義，改變告知方的遮掩和不作為是極必要的。

最后，聚焦于同意本身，應嚴格落實明示同意要求，設置由用戶做出肯定性動作的授權(quán)形式?！秱€人金融信息保護技術(shù)規(guī)范》第3.22條規(guī)定，明示同意是指個人金融信息主體通過書面聲明或者主動作出肯定性動作，具體包括主動作出聲明（電子或紙質(zhì)形式）、主動勾選、主動點擊“同意”“注冊”“發(fā)送”“撥打”、主動填寫或提供等。除此之外，非基于監(jiān)管的跨鏈操作等共享行為需按照《個保法》第二十三條和第五十五條取得個人的單獨同意，并進行事前影響評估。

3. 依托技術(shù)與平臺設施保障用戶個人信息刪除權(quán)與可攜權(quán)。對于個人信息刪除權(quán)，《個保法》第四十七條第二款規(guī)定，“刪除個人信息從技術(shù)上難以實現(xiàn)的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理”，改變了一審稿中“應當停止處理個人信息”的提法。這在法律層面擴張了“刪除”的外延，為通過一定技術(shù)手段實現(xiàn)鏈上信息的刪除提供了依據(jù)。因此，平臺應當優(yōu)先引入可靠的“刪除”技術(shù)，如銷毀私鑰、在智能合約中提前約定不可用數(shù)據(jù)等可以達到與傳統(tǒng)刪除同等效果的技術(shù)措施，實現(xiàn)個人對鏈上信息的更正、補充權(quán)及基于各種規(guī)定發(fā)起的刪除請求權(quán)。

對于數(shù)據(jù)可攜權(quán)，平臺可以充分利用區(qū)塊鏈分布式存儲優(yōu)勢，設置專門節(jié)點負責受理個人請求，發(fā)送個人信息副本和進行個人信息移轉(zhuǎn)。這樣的做法還具有兩個層面的益處。一是相較于鏈上節(jié)點各自保障數(shù)據(jù)可攜權(quán)，充分節(jié)約了成本，一定情況下還可由該節(jié)點代表平臺整體向個人適當收費，沖抵運營成本。二是可以避免形成委托其他個人信息處理者移轉(zhuǎn)個人信息的結(jié)構(gòu)，避免適用《個保法》對委托處理個人信息的嚴格約束。

4. 明確并預防個人信息損害帶來的連帶責任效應。平臺及節(jié)點采用共識機制處理個人信息的獨特機制激增了參與主體的數(shù)量，因而必須有效識別個人信息處理者，才能明確對應的責任。典型的存儲、刪除具體過程為，先由存儲節(jié)點在區(qū)塊鏈上寫入信息并要求計算節(jié)點（計算節(jié)點同時也可能是存儲節(jié)點）見證，而計算節(jié)點根據(jù)區(qū)塊鏈共識機制對信息進行見證后實現(xiàn)最終處理。支持該活動進行的共識機制、節(jié)點間協(xié)調(diào)等則由區(qū)塊鏈系統(tǒng)操作運營者在此之前完成。結(jié)合《個保法》附則釋義，個人信息處理者指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。那么經(jīng)由共識機制連接而組成的個人信息處理者大致可以確定，即包括了在鏈上承擔存儲、計算功能的節(jié)點、區(qū)塊鏈系統(tǒng)操作運營者以及對這一過程進行了實質(zhì)參與的平臺管理方。

必須指出的是，此種經(jīng)由共識機制連接組成的主體結(jié)構(gòu)構(gòu)成《個保法》第二十條規(guī)定的“共同個人信息處理者”，依據(jù)該規(guī)定，如果侵害個人信息權(quán)益造成損害的，所有主體應當依法承擔連帶責任。此種連帶責任可能會打擊金融機構(gòu)加入平臺的積極性，對此，可以通過保險機制予以克服，既可以通過向加入節(jié)點的經(jīng)營者收取一定比例的保險費來統(tǒng)一投保責任險，也可以通過成員之間的相互保險機制增強抗風險能力。

5. 構(gòu)建穩(wěn)妥的可信計算環(huán)境。可信執(zhí)行環(huán)境的原理在于將可信計算基（Trusted Computing Base）縮減到CPU本身，消除對于外部軟件以及其他硬件的安全依賴，從而為軟件提供更高級別的安全性（袁睿，2020）[22]。因此，可信執(zhí)行環(huán)境中可信計算硬件一般是指可信執(zhí)行控制單元已被預置集成的商用CPU計算芯片，如果CPU提供方存在難以置信的情形，就不得不預防此種風險。目前，雖然主流的可信執(zhí)行環(huán)境技術(shù)以X86指令集架構(gòu)的Intel SGX技術(shù)和ARM指令集架構(gòu)的TrustZone技術(shù)為代表，但國內(nèi)計算芯片廠商也推出了兆芯ZX-TCT（Trusted Computing Technology）、海光CSV（China Security Virtualization）等自主實現(xiàn)可信執(zhí)行環(huán)境功能的技術(shù)（隱私計算聯(lián)盟和中國信息通信研究院云計算與大數(shù)據(jù)研究所，2021）[23]。因此，平臺應當選用國產(chǎn)可信硬件來實現(xiàn)可信執(zhí)行環(huán)境功能，最大程度確定芯片廠商的可信，避免可能因壟斷而造成的風險。

（二）制定“監(jiān)管鏈—投資者適當性管理鏈”應用級標準，完善聯(lián)盟鏈監(jiān)管方式

《證券期貨業(yè)科技發(fā)展“十四五”規(guī)劃》提出建設基于“監(jiān)管鏈—業(yè)務鏈”雙層架構(gòu)的證券期貨行業(yè)新型區(qū)塊鏈基礎設施，2022年上證鏈與證監(jiān)會監(jiān)管鏈跨鏈對接項目的成功也為“監(jiān)管鏈—投資者適當性管理鏈”跨鏈監(jiān)管方案提供了指引（黃一靈，2022）[24]。在此基礎上，為應對上文提出的監(jiān)管挑戰(zhàn)，本文認為監(jiān)管者可采取如下對策：

其一，應明確監(jiān)管目標。結(jié)合監(jiān)管者介入的必要性可知，一方面，監(jiān)管者的監(jiān)管目標在于通過跨鏈接入?yún)^(qū)塊鏈投資者適當性管理平臺，見證平臺及節(jié)點中記錄的產(chǎn)生、運用及其真實性、完整性，從而充分發(fā)揮平臺對投資者適當性管理的留痕作用；另一方面，則在于保障處于弱勢地位的用戶權(quán)益，預防、糾正節(jié)點及平臺的不當行為。

其二，應出臺“監(jiān)管鏈—投資者適當性管理鏈”應用級標準，結(jié)合現(xiàn)有法律法規(guī)明確監(jiān)管規(guī)則。目前我國并未出臺專門規(guī)制區(qū)塊鏈的法律和行政法規(guī)，只有《區(qū)塊鏈信息服務管理規(guī)定》規(guī)定了區(qū)塊鏈信息服務提供者的相關義務，但遠難以回應前文提出的監(jiān)管問題。不過，在該領域軟法可能比硬法更有效。目前我國已提出43項區(qū)塊鏈相關標準，除基礎標準和信息安全標準外，多數(shù)屬于業(yè)務和應用標準。其中屬于金融領域的有行業(yè)標準《區(qū)塊鏈技術(shù)金融應用評估規(guī)則》（JR/T 0193-2020）和地方標準《金融行業(yè)區(qū)塊鏈平臺技術(shù)規(guī)范》（DB4403/T 127-2020），它們主要對區(qū)塊鏈平臺的技術(shù)要求作出了相關規(guī)定。參考這一思路，區(qū)塊鏈投資者適當性管理平臺應會同監(jiān)管者，根據(jù)平臺功能對數(shù)字身份管理、適當性信息管理、數(shù)據(jù)格式要求、智能合約與監(jiān)管文本的匹配要求、智能合約算法要求等作出詳細規(guī)定，出臺應用級標準《基于區(qū)塊鏈的投資者適當性管理平臺規(guī)范》，并將之定位為行業(yè)標準。對于智能合約算法的規(guī)制，不僅要在應用級標準中作出明確規(guī)定以避免歧視和偏見，還應要求平臺與節(jié)點遵循《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》進行備案，一旦發(fā)現(xiàn)算法歧視和偏見，平臺及節(jié)點應立即研究、更新算法。

其三，應明確監(jiān)管主體的主次地位，注重監(jiān)管的適度性和發(fā)展性。首先，區(qū)塊鏈投資者適當性管理平臺的本質(zhì)是投資者適當性管理的區(qū)塊鏈化、智能化，仍具有強烈的金融業(yè)務屬性，因此，監(jiān)管主體仍應以金融監(jiān)管機構(gòu)為主，其他監(jiān)管機構(gòu)為輔。具體來說，金融監(jiān)管機構(gòu)既負責通過跨鏈對投資者適當性管理的監(jiān)管，也負責監(jiān)管因技術(shù)應用產(chǎn)生的個人信息保護和數(shù)據(jù)安全等問題。對于后者，《個保法》和《數(shù)據(jù)安全法》為之提供了依據(jù)，即國務院有關部門可以在各自職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作，各主管部門承擔本行業(yè)、本領域數(shù)據(jù)安全監(jiān)管職責。其次，監(jiān)管者的監(jiān)管行為要遵守行政法的基本原則（秦勇和韓世鵬，2021）[19]。具體來說，要充分遵守目的的正當性、手段的適當性和狹義比例原則，即監(jiān)管者的目的只能是保護投資者、維護金融安全，應盡可能避免妨礙金融機構(gòu)和金融科技的發(fā)展和繁榮，在有多種監(jiān)管手段可供選擇的情形下，應優(yōu)先選擇對金融機構(gòu)損害最小的一種，并將其具體落實到“監(jiān)管鏈—投資者適當性管理鏈”應用級標準中。最后，金融監(jiān)管機構(gòu)還應積極推動監(jiān)管科技機構(gòu)的培育和發(fā)展，為監(jiān)管鏈的迭代更新及未來監(jiān)管科技發(fā)展存續(xù)技術(shù)力量，努力構(gòu)建監(jiān)管者、監(jiān)管科技機構(gòu)、金融機構(gòu)三者“孿生發(fā)展”的生態(tài)體系。

注：

①《證券期貨投資者適當性管理辦法》（2020修訂）第十三條。

②《個保法》第十七條規(guī)定：“個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（一）個人信息處理者的名稱或者姓名和聯(lián)系方式；（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（三）個人行使本法規(guī)定權(quán)利的方式和程序；（四）法律、行政法規(guī)規(guī)定應當告知的其他事項?！?/p>

③2020年2月13日中國人民銀行發(fā)布的《個人金融信息保護技術(shù)規(guī)范》（JR/T 0171-2020）第3.2條。

④《中國人民銀行金融消費者權(quán)益保護實施辦法》第二十九條第一款、中國人民銀行《個人金融信息保護技術(shù)規(guī)范》，JR/T 0171-2020，第3.22條。

⑤《人民法院在線訴訟規(guī)則》第十六條規(guī)定：“當事人作為證據(jù)提交的電子數(shù)據(jù)系通過區(qū)塊鏈技術(shù)存儲，并經(jīng)技術(shù)核驗一致的，人民法院可以認定該電子數(shù)據(jù)上鏈后未經(jīng)篡改，但有相反證據(jù)足以推翻的除外?！?/p>

⑥SGX是Intel在2013年推出的指令集擴展，旨在以硬件安全為強制性保障，不依賴于固件和軟件的安全狀態(tài)，提供用戶空間的可信執(zhí)行環(huán)境。

⑦《個保法》第六條規(guī)定：“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權(quán)益影響最小的方式。收集個人信息，應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。”

參考文獻：

[1]上海證券交易所課題組.區(qū)塊鏈在我國資本市場領域核心場景應用研究 [J].證券市場導報，2021，（03）.

[2]朱蕓陽.大數(shù)據(jù)技術(shù)在投資者適當性管理中的應用 [J].金融博覽，2020，（01）.

[3]邢會強，姜帥.數(shù)字經(jīng)濟背景下我國金融控股公司信息共享機制的完善 [J].金融評論，2021，13（06）.

[4]黃輝.金融機構(gòu)的投資者適當性義務：實證研究與完善建議 [J].法學評論，2021，39（02）.

[5]劉品新.論電子證據(jù)的真實性標準 [J].社會科學輯刊，2021，（01）.

[6]中國信息通信研究院.數(shù)據(jù)價值釋放與隱私保護計算應用研究報告（2021年）[EB/OL].http：//www.caict.ac.cn/kxyj/qwfb/ztbg/202111/t20211118_392849.htm.

[7]畢丹陽，景越，李婧璇，李?；?分布式數(shù)字身份及其在工業(yè)互聯(lián)網(wǎng)中的應用 [J].信息通信技術(shù)與政策，2021，（10）.

[8]伊然.區(qū)塊鏈存證電子證據(jù)鑒真現(xiàn)狀與規(guī)則完善 [J].法律適用，2022，（02）.

[9]江海洋.論區(qū)塊鏈與個人信息保護之沖突與兼容 [J].行政法學研究，2021，（04）.

[10]趙磊.區(qū)塊鏈技術(shù)的算法規(guī)制 [J].現(xiàn)代法學，2020，42（02）.

[11]石超.區(qū)塊鏈技術(shù)的信任制造及其應用的治理邏輯 [J].東方法學，2020，（01）.

[12]陳奇?zhèn)?，聶琳?技術(shù)+法律：區(qū)塊鏈時代個人信息權(quán)的法律保護 [J].江西社會科學，2020，40（06）.

[13]李有星.區(qū)塊鏈應用中的個人信息刪除權(quán)與更正權(quán)問題研究 [J].浙江樹人大學學報，2022，22（02）.

[14]邢會強.論數(shù)據(jù)可攜權(quán)在我國的引入——以開放銀行為視角 [J].政法論叢，2020，（02）.

[15]邢會強.數(shù)字經(jīng)濟視角下的新《證券法》——修訂解讀、實施支撐與未來展望 [J].浙江工商大學學報，2020，163（04）.

[16]劉千仞，薛淼，任夢璇，任杰，王光全.基于區(qū)塊鏈的數(shù)據(jù)共享與可信計算應用與研究 [J].郵電設計技術(shù)，2020，（11）.

[17]趙磊.區(qū)塊鏈類型化的法理解讀與規(guī)制思路 [J].法商研究，2020，37（04）.

[18]許多奇.論新發(fā)展理念下監(jiān)管科技法治化的融合路徑[J].東方法學，2023，（02）.

[19]秦勇，韓世鵬.監(jiān)管科技：概念重塑、適用邏輯與規(guī)范路徑 [J].金融發(fā)展研究，2021，476（08）.

[20]張新寶.個人信息收集：告知同意原則適用的限制 [J].比較法研究，2019，（06）.

[21]程嘯.我國個人信息保護法中的目的限制原則 [N].人民法院報，2021-09-02.

[22]袁睿. 一種基于TEE的公有智能合約的二層擴展方案 [D].上海交通大學，2020.

[23]隱私計算聯(lián)盟，中國信息通信研究院云計算與大數(shù)據(jù)研究所.隱私計算白皮書（2021年）[EB/OL].https：//mp.weixin.qq.com/s/is-aI9peji4bGIzPfkxgzA.

[24]黃一靈.上證鏈與監(jiān)管鏈實現(xiàn)全流程對接 [N].中國證券報，2022-04-23.