融合與沖突：區塊鏈技術在個人信息保護體系中的應用

趙婧薇

摘 要：我國個人信息保護體系以事前保護為基礎，事后保護為救濟。事前保護以“告知—同意”規則為核心，但規則本身存在缺陷;事后保護以侵權責任兜底，但侵權責任認定存在困難。鑒于區塊鏈技術中新型信任機制可對事前同意進行補足，不可篡改性與事后保護具有高度契合性，為大數據時代個人信息保護體系變革提供了全新視野與方法。區塊鏈技術嵌入個人信息保護體系中需要通過構建主權區塊鏈與重新解釋個人信息的“可識別性”的方式進行技術及理論的創新。但技術落地可能遭遇多重挑戰，需要平衡區塊鏈的不可篡改性與個人信息更正、刪除權的沖突、私鑰遺失與個人信息控制權的沖突及加密技術與信息共享的沖突，進而優化夯實個人信息權保護體系的有效運行。

關鍵詞：個人信息保護;區塊鏈技術;《民法典》

從現有研究來看，我國法學界已經存在對區塊鏈技術應用于法律治理規則體系構建的構想，但重點關注傳統法律監管和以區塊鏈為代表的去中心化監管模式的關系。隨著區塊鏈技術在數字貨幣、金融交易、數據存儲等領域的應用逐漸深入，區塊鏈的創新法律監管的研究方向正呈現出“多維度并行”的百花齊放樣態。既有“區塊鏈+知識產權”“區塊鏈+刑事犯罪”等實體性規范的探討，也有“區塊鏈+管轄”“區塊鏈+證據”等程序性規范的研究，但在圍繞個人信息保護的關鍵性問題卻鮮有人討論。鑒于此，本文將以區塊鏈在個人信息保護領域的新型應用為視角，嘗試對我國現行個人信息保護體系漏洞進行技術補足，在此基礎上提出區塊鏈技術嵌入個人信息保護體系的主權區塊鏈的技術創新與個人信息可識別性認定的理論創新，最后分析技術落地可能造成的后果并提出初步完善對策。

一、我國個人信息保護體系及存在問題

我國的個人信息保護體系分別從法律和制度兩方面獲得支持。法律方面，《中華人民共和國民法典》（以下簡稱《民法典》）實施后，我國建立了以《民法典》為基礎，輔之以《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）、《兒童個人信息網絡保護規定》等專門立法;《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《互聯網個人信息安全保護指南》等行政立法作為補充的個人信息法律保護體系，實現了從0到1的跨越。制度方面，“告知—同意”規則成了個人信息保護的基礎，告知屬于兼顧公法與私法性質的行為，同意則屬于信息主體對其權益的處分，“告知—同意”規則在個人信息保護體系中具有不可忽視的作用。但是，隨著數據產業不斷升級，個人信息的價值日益凸顯，個人信息的應用場景飛速擴展，與之相伴的各類新型個人信息侵權現象已無法單靠現有法律體系進行規制，問題已經出現，變革迫在眉睫。

（一）事前保護：“告知—同意”規則及缺陷

“告知—同意”規則，又可稱為“知情同意”“告知—選擇”或“同意”規則，是在個人信息利用中為確定信息主體與信息利用者之間的權利及義務的合同規則。在個人信息保護的歷史沿革之中，“告知—同意”規則已逐漸成了個人信息保護中事前預防的重要手段之一，但“告知—同意”規則在缺乏技術支持的背景下，存在制度設計缺陷。

1.信息主體意思表示存在瑕疵

意思表示是民事法律關系的核心。合同雙方作出意思表示的前提是對合同內容的知悉以及意思表示自由。在“告知—同意”規則的背景下，上述兩個要求均無法全面實現。

第一，信息主體缺乏對合同內容的知悉。要求信息主體完全閱讀并理解個人信息政策中全部條文既不合理也不可能。據統計，如果認真仔細閱讀所有隱私政策條文，用戶僅閱讀一年中所使用的網絡服務的隱私政策就需要花費 224小時，考慮到信息主體的教育水平不等、理解能力不一等現實困境，要求信息主體真正知悉合同內容確有困難。第二，信息主體缺乏意思表示自由。一方面，信息主體本身存在對信息控制者服務的依賴，導致信息主體意思表示不自由。例如，在注冊會員制

網絡經營者通過要求用戶注冊賬號并綁定手機號碼等作為進行交易的前提，本文將其簡稱為“注冊會員制”。情形下，用戶完成了單次買賣行為，而信息主體仍保有其“同意使用其個人信息”的合同條款。信息處理者均可通過注冊會員制與個人信息主體產生捆綁關系而獲得處理其個人信息的權限，且這種關系更為隱性，信息主體不易察覺自己的個人信息依然處于經營者手中，直到其注銷會員資格。另一方面，由于格式合同的設計，信息主體只能點擊“同意”或“不同意”，不存在折中選擇。信息主體喪失了選擇的權利便意味著意思表示不自由。

意思表示本身分為兩部分，即作為行動的意思表示以及作為客觀邏輯的意義構造的意思表示，需要同時將這兩個方面聯系起來，以行動展現對一種指向引發某種法律效果之意愿的宣告。一方面，信息主體欠缺對合同內容的理解，其“同意”的行動并不能展現對特定法律效果（如收集、處理其個人信息）的宣告。另一方面，“同意”并不一定是自由表意，盡管不同于欺詐、脅迫等意思表示瑕疵，但是很難說“同意”是信息主體真實的意思表示。因此，“告知—同意”規則并不能保障信息主體做出無瑕的真實意思表示。

2.收益覆蓋賠償和懲罰，信息控制者無意主動保護

信息控制者作為商業主體，有天然的逐利本性。以數據企業為例，其考慮的是在合理控制成本的前提下，如何實現自身商業利益的最大化。個人信息被稱為21世紀的“新型石油”，信息控制者將其整合利用可以創造巨大的商業價值。

當下，信息控制者通過以知情同意規則為核心的方式，用低廉的成本便捷地收集個人信息。信息主體一旦想使用信息控制者所提供的應用軟件或服務則必須同意其個人信息處理規則，面對信息控制者提供的格式合同，信息主體只能點擊“同意”或“不同意”，不存在折中選擇。在此種現實情況下，知情同意規則形同虛設，并喪失了維護信息主體控制權的設計初衷，反而變成了信息控制者的免責工具。信息主體的權利受到雙重打擊，不但沒有了選擇權，而且在授權信息控制者收集后便喪失控制權。

（二）事后保護：侵權保護及責任認定困難

從宏觀角度看個人信息保護法律體系已日趨完善，但從微觀角度看，現行立法如《民法典》《個人信息保護法》《網絡安全法》等法律中對個人信息保護的相關規定較為籠統，較多關注信息處理規則，較少關注個人信息責任認定等問題。由于缺乏相關法律規范，一些當事人只能通過其他案由起訴，

例如，淘寶（中國）軟件有限公司訴安徽美景信息科技有限公司不正當競爭案，杭州鐵路運輸法院（2017）浙8601 民初第4034號民事判決書。法官在處理個人信息侵權案件時也較難找到契合的裁判規則，從而存在法律適用困難等問題。

具體體現為以下幾個方面。

第一，侵權歸責原則設置不合理。在我國《民法典》侵權編中，過錯責任原則是最基本的損害賠償責任的歸責原則，無過錯責任原則、過錯推定原則等為特殊的歸責原則。

三項歸責原則分別規定于《民法典》第1165條：行為人因過錯侵害他人民事權益造成損害的，應當承擔侵權責任。依照法律規定推定行為人有過錯，其不能證明自己沒有過錯的，應當承擔侵權責任。

第1166條：行為人造成他人民事權益損害，不論行為人有無過錯，法律規定應當承擔侵權責任的，依照其規定。也就是說在沒有對侵害個人信息的行為單獨規定歸責原則的情況下，應當全部適用于過錯責任原則。有學者提出，由于我國《網絡安全法》當中規定了侵害自然人的個人信息便應當承擔民事責任，

《網絡安全法》第44條規定，任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

第74條第1款違反本法規定，給他人造成損害的，依法承擔民事責任。便意味著該規定確立了個人信息侵權的無過錯責任原則。但事實上該條規定并不能作為侵權歸責原則的依據，因其不具有獨立的請求權基礎，該規定僅僅是依隨我國立法慣例而來的一項具有銜接性的規定。因此，個人信息侵權認定一律應當適用過錯責任原則。

然而，將個人信息侵權案件不加區分地適用過錯責任原則既不符合現實情況，也不便于法官適用法律。一方面，不同類型的個人信息在“是否受到侵害”的問題上，認定程度是不同的。例如，敏感信息在被行為人暴露在網絡上當然就屬于受到侵害，而公開信息被肆意利用可能仍不屬于受到侵害。另一方面，不同類型的個人信息在利用上的免責條件也不盡相同。私密信息被利用時，應當具有較高的免責條件;非私密信息被利用時，相對應的免責條件較寬松。例如，整形醫院為宣傳其整形效果將患者整形前后的照片作對比展示的行為，醫院僅有在具有患者的親筆簽名同意的使用協議才可免責使用;而對于非私密信息，如求職網站根據工作經歷等將個人簡歷推送至用人單位的行為，雖屬于使用個人信息的行為，但應屬于使用非私密信息而免責。

第二，侵權人難以確定，且證據難以固定。個人信息侵權案件往往發生在存在“多手轉讓”的信息流轉中。在整個流轉過程中，究竟是由誰泄露了個人信息是難以準確確定的。即便信息主體想要通過訴訟的方式尋求保護，也因難以確定侵權主體而不符合《中華人民共和國民事訴訟法》（以下簡稱《民事訴訟法》）中的有關“適格主體”的規定。依據《民事訴訟法》的規定，個人信息侵權不屬于舉證責任倒置的情況，因此信息主體應當對侵權行為與損害事實之間的因果關系提供證據。但是，即便能夠確認侵權人，對侵權行為與損害事實的因果關系也仍然難以僅憑侵權人的能力提出有力證據。在證據固定上，信息主體只能通過錄視頻、截圖等方式，證據的證明力不強且關聯性無法說明。

第三，侵權損害事實標準難以達到。以《民法典》侵權編的規定為準，侵權責任的構成需要侵權行為、損害事實、因果關系和過錯四個要件。我國《民法典》第1165條第1款規定了對損害事實的要求，即必須達到相應的程度。例如，信息主體的身份信息及電話號碼被非法獲取后，行為人僅做出產品推銷等合法行為，并未用于詐騙等犯罪活動，信息主體權利損害程度較為輕微，法院無法就此認定損害已達相當程度。即使法院認定損害事實存在，依照《民法典》第1182條及《個人信息保護法》第65條規定的賠償方法，應當參照被侵權人的損失或侵權人所獲利益進行賠償。損失是難以計算的，就獲利而言，出賣電話號碼的利潤通常在0.5～2元人民幣，以2元以內的糾紛不僅需要經歷漫長的訴訟程序，還浪費了司法資源，既不能調動信息主體的積極性，也降低了司法效率。

二、區塊鏈技術應用于個人信息保護體系的融合及優勢

在前信息時代，個人信息大多保存于檔案館及特定的行政機構，不但利用率低，而且數據難以聚合，單個信息的財產價值有限。但在大數據時代，數據處理技術取得了突破性進展，大量的個人信息通過網絡以數據的方式形成、流轉和傳輸，信息有了聚沙成塔的效應，也造成了個人信息侵權案件頻發。區塊鏈的運行和個人信息的流轉具有高度契合性，將區塊鏈特有的去中心化、防篡改性、全留痕跡、加密性等特點有機融入個人信息保護體系，可以解決現有的一些問題，也可能激發更多的信息流轉活力和機遇。

（一）區塊鏈新型信任機制對“告知—同意”規則的補足

當下，公民通過“告知—同意”規則授權信息控制者使用其個人信息，這些信息被信息控制者統一存儲于中心化的信息管理系統中。從外部看，這種管理信息模式的安全性飽受質疑，全球范圍內的多次大型信息泄露事件讓信息主體信任感缺失。從內部看，信息控制者主動泄露或違約分享個人信息、監守自盜的現象也不可謂不多。長此以往，以“告知—同意”規則為制度核心的個人信息保護體系內憂外患，信息控制者面臨巨大的信任危機，甚至阻礙了信息的正常流通。

盧梭將法律稱為“社會契約”，意味著強力事實被賦予規范性，實現了從實然——自然狀態到應然——社會狀態的邏輯道路，將統治與被統治的“自然關系”升華為閃爍文明光輝的“社會關系”。在現代社會，法律同樣作為處理陌生人社會關系的重要制度手段。具體到個人信息保護的維度中，信息主體與信息控制者之間憑一紙合同文書——“告知—同意”規則建立信任感。然而，“告知—同意”規則存在諸多令人詬病的制度漏洞，例如，適用僵化、形同虛設、信息主體權利難以保障等問題使法律手段逐漸顯得捉襟見肘，以“告知—同意”規則為核心的信任機制遭到重創。

區塊鏈技術則是在信息控制者失信、監管失靈的社會背景下誕生的新型信任機制，意在以技術取代信任。將區塊鏈技術融入個人信息保護體系能夠為“告知—同意”規則給予下列補足：第一，區塊鏈的去中心化可以天然抵抗外部攻擊。區塊鏈不具備中心化的管理系統，信息以分散狀保存于各節點中，單個節點受到攻擊不會殃及其他節點。除此之外，節點中的內容無法被篡改，如刪改當中任何一個區塊的內容均會改變本區塊的哈希值，從而導致下一個區塊失效?？梢妳^塊鏈在抵御外部攻擊方面較傳統的信息存儲方式具有天然的技術優越性。第二，區塊鏈的身份加密技術對個人信息具有保護作用。區塊鏈中每個節點都使用化名，這種化名盡管不能完全實現真正匿名的效果但仍具有初級的保護作用。區塊鏈在任何需要身份認證的場景下均可提取公鑰以虛擬身份代替真實身份，這種方式可以減少信息控制者通過驗證而私自存儲個人信息的情況。區塊鏈所促生的分布式可驗證數據庫和高保密性等特點可以促成新型“技術契約”的治理模式，以更低成本、簡便地提升效率和確定性以便解決當下信任危機問題。

（二）區塊鏈不可篡改性與侵權責任認定的契合

個人信息侵權責任認定難的根本原因在于侵權主體的認定難以及侵權證據的固定難。一方面是因為信息流轉中所“經手”的信息控制者眾多，無法準確認定侵權主體;另一方面由于法律規范的缺失，我國《民事訴訟法》中對電子證據的取證規則、適用方式等均無明確規定。因此，在個人信息侵權案件中，基于“誰主張、誰舉證”的原則，信息主體應當承擔舉證責任，但信息主體只能通過自主截屏、拍攝視頻等方式留存證據。且不說證據是否具有關聯性，僅就電子證據本身來說，其具有虛擬性、易篡改等特性，在沒有其他證據佐證的情況下，此類證據難以被有效使用。在區塊鏈背景下，上述侵權責任認定問題或許可得到緩解。

區塊鏈的不可篡改性對侵權責任認定有諸多良性影響。首先，篡改難度極大，侵權成本因此增加，具有天然的侵權防范效果。理論上講，只有直接控制系統中的大多數區塊，才能篡改區塊鏈中的數據內容，但由于網絡的廣泛性導致這種直接控制幾乎無法實現。其次，即便侵權人企圖篡改，也無法及于全部數據塊，從而侵權痕跡得以保留。鑒于區塊鏈中每個數據塊所包含的內容具有一致性，篡改當中單個數據塊不會影響其他部分數據塊的內容。若行為人實施侵權行為后，即使篡改了其提取信息的區塊，仍然能夠輕易地追及至侵權人。再次，區塊鏈的全留痕跡特點，具有侵權案件處理的司法實踐意義。能夠幫助法官在處理個人信息多人侵權的案件時劃分責任的認定。法官可以結合智能合約，查看提取信息者的注意義務級別，再結合侵權人的主觀過錯判斷，得出責任的劃分標準。最后，利用區塊鏈的可溯源性特點，可有效追溯侵權人。區塊鏈可以提供信息主體的授權信息、信息控制者的分享記錄與提取記錄，有助于破解長期困擾實務界的侵權人的確定難題。

三、區塊鏈融合于個人信息保護體系的技術及理論創新

大數據技術逐漸從成長期進入成熟期，技術革新對行為規則的影響逐漸顯現。區塊鏈技術經過加密技術、共識算法等領域的重新整合，以全新的面貌進入公眾視野，其影響輻射至社會生活的方方面面。由于具有更高的信息存儲及使用的安全性，區塊鏈技術甚至被稱為“代替互聯網的未來趨勢”。區塊鏈技術給個人信息保護體系也帶來了不小的技術沖擊，但直接強硬地將二者結合在一起仍不能解決全部問題。要將區塊鏈技術更好地融入個人信息保護體系中，就需要通過技術結構創新和理論創新的方式來實現。

（一）個人信息保護框架下的技術創新：構建主權區塊鏈

幾乎所有的技術智力方案都需要與現有體系之間的深層次結構特征有所呼應，才能發揮積極作用。當然，個人信息保護也不例外。區塊鏈嵌入個人信息保護體系中，不僅要解決技術問題，更需要解決區塊鏈與個人信息保護體系的融合問題。為此，本文提出將區塊鏈單純的技術保護升級為主權區塊鏈。主權區塊鏈即由技術規則和法律制度規則共同形成的新型區塊鏈模式。區別于一般區塊鏈技術的應用，主權區塊鏈更強調法律及行業自律規則的作用，從“代碼即法律”的規則模式轉變為“代碼+法律”。

與傳統信息流轉不同的是，加入了區塊鏈技術的信息流轉不再進行信息控制者之間的直接傳遞，而是通過區塊鏈平臺進行傳輸控制。運用主權區塊鏈來控制個人信息的優點是我們可以完全掌控個人信息的提取資格和流向，由于每次提取信息均被記錄，也能夠加強信息控制者的自律，從而能夠在一定程度上避免個人信息的泄露。在個人信息保護框架下，主權區塊鏈的實現應當注意以下幾點：第一，信息控制者資格認證上，主權區塊鏈應當采取嚴格標準，不僅是技術上的表面審查，更應加強實質審查。第二，在監管上，主權區塊鏈強調對信息流轉過程中環節與周期的可監管性與可追溯性。在此背景下，主權區塊鏈通過運用其去中心化的數字存儲框架能夠有效地保證個人信息的存儲安全和傳播安全。第三，在規則設定上，設定不同敏感度的個人信息的不同獲取規則，從源頭上收緊對個人敏感度高的個人信息的收集和使用，用以補充侵權歸責原則設置不合理與侵權數額認定無法達到標準的缺陷。

（二）區塊鏈框架下的理論創新：個人信息“可識別性”的新解釋

區塊鏈通過其加密技術使得存入的信息均以哈希值的形式呈現于交易記錄中。有學者提出經過“哈?；钡膫€人信息是否已經喪失識別性？是否仍然為個人信息？若已經喪失識別性，不再是個人信息，便無須保護。就當前的個人信息認定標準的通說來看，經過“哈?；钡膫€人信息，已經喪失了識別性。如果因為不具備直接可識別性而選擇不保護這部分信息，可能會造成與個人信息保護及治理目的相反的效果。筆者建議在區塊鏈框架下，應當重新審視個人信息中對“可識別性”的認定標準，即通過解釋論的方法將概念中的“可識別性”進行擴大解釋為直接識別、間接識別與可能識別。

從個人信息概念的角度來說，我國立法在明確個人信息概念時對“可識別性”做出規定，但并未明確可識別性的含義。2012年，《關于加強網絡信息保護的決定》中首次確定了個人信息的概念，即需具有識別性與隱私性。后來通過《網絡安全法》對個人信息保護不斷強化，我國強化了可識別性與隱私性的概念。我國《民法典》將個人信息與隱私區分規定，進一步明確了個人信息的范圍?？傮w而言，我國立法對個人信息概念的傾向正在逐漸轉變：在認定要素上，隱私性不再作為個人信息認定的核心要素，只需要具有“可識別性”即可。但是立法并未對“可識別性”明確規定，司法實踐中在判斷是否具有“可識別性”時也不存在統一標準。

直接識別說認為，具有能夠由單一信息識別信息主體的信息才可稱為個人信息。間接識別說認為，既包含由單一信息確定信息主體的直接識別，也包含由多項信息結合共同識別信息主體的間接識別。筆者認為，直接識別說中，對個人信息的外延理解過于狹窄，將會損害信息主體的利益;間接識別說雖然考慮到個人信息范圍的廣泛性，卻忽視了我們所處的大數據的背景。筆者認為，應當將可能識別也納入“可識別”的范圍。大數據背景下，數據整合能力指數倍增長，只要付出成本去識別，任何信息主體都可以被輕松識別出來?？赡茏R別與間接識別唯一的區別是識別成本的問題，間接識別指由一般人通過多項信息綜合識別，可能識別則指需要通過技術手段才可識別。事實上，一般人對他人個人信息的侵犯力并不強，正是享有信息控制權的數據企業才更有能力侵犯信息主體的個人信息?？梢哉f，“可能識別”才是個人信息遭受侵害的元兇。因此，筆者認為，應當通過擴大解釋的方式，將直接識別、間接識別、可能識別均歸為具有“可識別性”。具體而言，可識別性可以隨著個人信息保護和信息流轉之間矛盾張力關系變化而做彈性判斷。例如，網頁瀏覽記錄在大數據發展初期是作為“數據垃圾”處理，隨著電子商務的發展，通過網頁瀏覽記錄分析得出的數據變成了重要的商業推廣手段，如淘寶網中的“猜你喜歡”模塊，結合瀏覽記錄與所在地區、用戶名等信息可以識別出特定信息主體的個人喜好，據此網頁瀏覽記錄也作為個人信息予以保護。同樣，經過“哈?；钡膫€人信息并非直接喪失識別性，還應對其做動態解讀。

四、區塊鏈技術融合于個人信息保護體系的沖突與協調

將新的技術融入新的制度中在存在機遇的同時也存在挑戰，區塊鏈技術能夠優化個人信息保護中較為薄弱的部分，但同時也存在一些局限性。由于區塊鏈的優勢過于明顯，技術與制度體系的沖突不應成為遏制其發展的動因。在區塊鏈技術真正在個人信息保護體系領域落地之前，應意識到可能存在的局限性并據此提出相應的解決方案。

（一）區塊鏈的不可篡改性與個人信息更正、刪除權的沖突與協調

我國《民法典》要求信息處理者及控制者應當依法保障信息主體的更正權及刪除權，

參見《民法典》第1037條。但從技術層面講，不可篡改性是區塊鏈技術的原生特性，同時也是其高安全性的體現。尚且沒有成熟的技術隨意更改或刪除區塊鏈上的信息，一旦修改或者刪除其中一個區塊內的內容將導致全部區塊失效。區塊鏈上的信息難以更正及刪除不僅影響個人信息的更新和撤銷，也與我國《民法典》關于信息主體更正、刪除權的規定相沖突。

對此，有學者提出為破除區塊鏈的不可篡改性應當探索可編輯區塊以實現動態監管。筆者認為，可編輯將違背區塊鏈信息不可篡改的技術設計初衷，將會導致區塊鏈的安全性及真實性遭遇嚴重打擊。事實上，區塊鏈的不可篡改性與信息更正權、刪除權之間的沖突并非不可調和。我國《個人信息保護法》第30條第2款規定，因存儲方式特殊不能刪除或需要過多費用才能刪除的，應當以封鎖代替刪除。該條文為區塊鏈技術與個人信息保護體系的融合提供了法律依據與合作空間。但需要注意的是，封鎖并非加密，任何加密都可以通過技術手段解決，封鎖技術則需要做到信息的永久滅失，無法再次恢復，從而保護信息主體的更正權、刪除權的順利行使。

（二）區塊鏈中私鑰遺失與個人信息控制權的沖突與協調

區塊鏈所采用的加密技術是由系統隨機形成一串符號作為私鑰，再通過算法推導出公鑰和地址。其中，公鑰相當于一般網絡平臺的“賬號”，而私鑰則是“密碼”。與一般網絡平臺不同的是，區塊鏈中的“密碼”是唯一的，即使私鑰遺失也無法再次形成新的私鑰以及時止損。而我國《個人信息保護法》中規定，自然人享有對個人信息的控制權，

參見《個人信息保護法》第44條。區塊鏈中遺失私鑰后便會永久喪失對信息的控制的情況與法律規定相抵觸。在面對二者的沖突處理上，個人信息控制權是個人信息保護的核心內容，在制度上無法讓步，只能通過技術手段、監管等方式減少私鑰遺失的可能性。通過更新私鑰的保護方式可以在保證私鑰的安全性的同時，保護好個人信息控制權。

在數字加密貨幣的發展進程中，出現了多重密鑰保護方式。其中，以是否可被互聯網訪問為基準，可以分為熱錢包和冷錢包。大部分互聯網平臺采用的是熱錢包的方式，即通過助記詞或郵箱等方式即可再次提取私鑰，而此種方式仍需借助中心化管理，要面臨較大的安全風險。冷錢包是目前最為安全的存儲方式，即使用類似移動硬盤實體設備在不聯網的情況下進行私鑰的存儲，區塊鏈即采用冷錢包的方式存儲。若區塊鏈大規模推行，要求用戶放棄熱錢包的便利轉而為了實現絕對安全使用冷錢包，可行度很低。因此，欲徹底解決私鑰遺失而導致信息主體喪失信息控制權的問題，需轉變私鑰的保護方式，將區塊鏈中私鑰保護方式從一貫使用的冷錢包轉變為熱錢包。當然，一旦轉變私鑰保護方式，將必然導致安全性的降低。筆者建議在轉變密鑰保護方式的同時增設多重簽名，將多個私鑰分開存放至不同區塊，當存在單獨簽名錯誤時，輔助其他簽名共同提取私鑰。如此，由于解密的復雜性增加，既可以防止出現發生重大個人信息泄露事件，也可以避免因其中一個私鑰遺失而導致信息主體喪失控制權。

（三）區塊鏈加密技術與信息共享的沖突與協調

區塊鏈在個人信息保護體系中落實還需要考量可能存在的現實困難。信息共享作為信息流轉的關鍵環節，應當具有高效性，而區塊鏈的加密技術可能會阻礙信息共享，二者的矛盾主要從以下幾個角度顯現：第一，公開信息無須加密。信息主體在社交網站主動發布的視頻、文字等可視為公開信息。公開信息經整合分析后依然可以產生巨大的商業價值，依舊受到眾多網絡服務提供商的追捧。依據個人信息保護法理，公開信息無須加密，但在收集和保護上仍應當符合信息處理規則。由信息主體主動公開的信息不視為信息主體對信息控制權的放棄。發布平臺在收集利用在本平臺所發布的個人信息時，無須經過信息主體的同意，但應具有合法目的、采取合法手段。但如果非發布平臺想利用此類信息則需符合一般個人信息的分享標準?，F實中許多網絡服務商為降低信息獲取成本利用網絡爬蟲等非法方式進行信息爬取，使得信息主體的權利受到侵害。第二，部分被要求平臺禁止加密，必須實現信息共享。當區塊鏈被廣泛應用后，即使技術上可以實現部分字節加密，但出于構建新型信任體系的目標及監管方面的要求，很多平臺面臨禁止加密的困境。例如，上市公司的運營情況及財務狀況影響著數億股民們的投資趨向，此類信息若加密將既不被社會認可，也將違反法律的規定。

加密技術和信息共享之間沖突相協調的關鍵是平衡信息主體與信息控制者的利益。最初，考慮將區塊鏈運用到個人信息保護體系的原因之一便是加密技術可以更好地保護信息主體的權利，但任何人的權利都不應是絕對至上的。信息控制者只有通過信息共享、整合分析后實現利潤才能源源不斷地作用于技術的發展?？萍伎梢宰鳛榉傻难a充和強化，相對地，面對技術落地所帶來的現實風險，可以利用法律制度來解決。針對無須或無法加密而導致信息被非法收集、利用的情況，有資料顯示，發生爬取現象的原因之一便是信息壁壘的存在，相關企業無法通過合法渠道獲取信息，轉而選擇非法渠道。區塊鏈技術對此雖無法提供全面的技術保護，但其去中心化的特點能夠打破信息壁壘，使信息控制者更容易合法獲取高質量信息。讓區塊鏈技術真正融入個人信息保護體系中，做個人信息保護中的“守門人”。應當在此基礎上加強對個人信息非法收集、利用的打擊力度，通過信息類型化的方式區分不同場景化治理，將個人信息劃分為公開信息、一般信息、私密信息，分別設置不同類型個人信息的加密級別上限，從制度上確保信息主體利益與信息控制者利益均衡化。

五、結語

技術與法律在相互作用中共同發展，技術可以作為促進法律制度建設的重要工具，法律則可為技術發展提供宏觀方向。在個人信息的財產價值被無限擴大的時代，個人信息的存儲、共享安全應當成為個人信息保護的重點內容。傳統的法律單一制保護模式已經逐漸被時代所拋棄。區塊鏈技術的引入為個人信息保護體系的完善提供了全新思維，這也成為技術促進法律制度的一種新嘗試。區塊鏈的去中心化、加密性、不可篡改性等特點剛好能夠滿足個人信息保護的多方面需求。當然，個人信息保護體系是一個復雜的系統工程，技術落地實踐依然存在些許風險，但是由于區塊鏈技術與個人信息保護體系的高度契合性，我們仍然應當給區塊鏈技術以探索的空間。期望區塊鏈技術能夠在構建新型信任機制中大放異彩，為構建個人信息保護體系帶來真正的曙光。

參考文獻

[1]李佳倫.區塊鏈信任危機及其法律治理[J].法學評論，2021，39（3）：118-129.

[2]祝烈煌，高峰，沈蒙，等.區塊鏈隱私保護研究綜述[J].計算機研究與發展，2017，54（10）：2170-2186.

[3]范為.大數據時代個人信息保護的路徑重構[J].環球法律評論，2016，38（5）：92-115.

[4] 萬方.個人信息處理中的“同意”與“同意撤回”[J].中國法學，2021（1）：167-188.

[5]卡爾·拉倫茨.法律行為解釋之方法——兼論意思表示理論[M].范雪飛，吳訓祥，譯.北京：法律出版社，2018.

[6] 黃锫.大數據時代個人數據權屬的配置規則[J].法學雜志，2021，42（1）：99-110.

[7] 齊愛民.個人信息保護法研究[J].河北法學，2008（4）：15-33.

[8] 葉名怡.個人信息的侵權法保護[J].法學研究，2018，40（4）：83-102.

[9] 刁勝先.論個人信息的民法保護基礎——兼論個人信息、民法保護的精神利益與物質利益[J].內蒙古社會科學（漢文版），2011，32（5）：58-62.

[10] 馬燕.蘋果確認用戶iCloud遭入侵 隱私安全體系或存漏[EB/OL].http：//industry. people.com.cn/n1/2018/0309/c413883-29857753. html.

[11] 李政葳.大數據時代，如何保護用戶隱私[N].光明日報， 2018-12-04 （10）.

[12] 董靜姝.基礎規范：超越法學視野的先驗預設[J].河南大學學報（社會科學版），2021，61（1）：40-45.

[13] 鄭戈.區塊鏈與未來法治[J].東方法學，2018（3）：75-86.

[14]劉利平.個人信息侵權法保護的價值與理據新論——基于大數據悖論的分析視角[J/OL].重慶大學學報（社會科學版）.http：//kns.cnki.net/kcms/detail/50.1023.C.20210526.1003.002.html. 2021-05-31.

[15]李曉輝.算法商業秘密與算法正義[J].比較法研究，2021（3）：105-121.

[16] 黃曉春. 技術治理的運行機制研究——關于中國城市治理信息化的制度分析[M].上海：上海大學出版社，2018.

[17] 羅勇.特定識別與容易比照：區塊鏈背景下的個人信息法律界定[J].學習與探索，2020（3）：59-65.

[18] 張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015（3）：38-59.

[19] 張里安，韓旭至.大數據時代下個人信息權的私法屬性[J].法學論壇，2016，31（3）：119-129.

[20] 齊愛民，張哲.識別與再識別：個人信息的概念界定與立法選擇[J].重慶大學學報（社會科學版），2018，24（2）：119-131.

[21]王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心[J].現代法學，2013，35（4）：62-72.

[22]周漢華.個人信息保護的法律定位[J].法商研究，2020，37（3）：44-56.

[23]高奇.《證據新規》下版權訴訟中的區塊鏈證據：需求、規制及治理應對[J].電子知識產權，2020（9）：91-102.

[24] 高富平.個人信息保護：從個人控制到社會控制[J].法學研究，2018，40（3）：84-101.

[25] 蘇青.網絡爬蟲的演變及其合法性限定[J].比較法研究，2021（3）：89-104.

[26] 賽博研究院.數據爬取治理報告[EB/OL].http：//www.cbdio.com/BigData/2019-12/02/content_6153175.htm.

[27] 張新寶.互聯網生態“守門人”個人信息保護特別義務設置研究[J].比較法研究，2021（3）：11-24.