有機融合與雙向升級：區塊鏈技術下的個人信息保護研究

何沛軍，郭志遠

（1.安徽大學 法學院，安徽 合肥 230601；2.華東政法大學，上海 201620）

區塊鏈技術以其獨特的分布式記賬模型，正在改變著互聯網信息社會的固有思維?！皡^塊鏈＋”的豐富實踐與不斷發展，也使得區塊鏈時代逐步來臨。作為新一代智能革命的重要產物，區塊鏈給社會革命、價值革命和治理革命帶來巨大影響[1］。區塊鏈時代的個人信息保護集中體現了這種變動?！吨腥A人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）的出臺標志著我國個人信息保護法律規范的逐步完善，個人信息權利體系、個人信息處理制度及法律責任等也得以確立，個人信息保護步入全新階段。但區塊鏈技術下的個人信息處理模式與傳統互聯網時代有較大差異，這些差異給個人信息保護規范的運行帶來一定阻礙。正確協調好技術與規范之間的沖突，充分發揮技術優勢助力個人信息保護實踐，成為區塊鏈時代面臨的重要難題。

一、問題緣起：區塊鏈技術與個人信息保護之沖突

區塊鏈技術的基本特征可以概括為不可篡改、去中心化、匿名性與可追溯等，技術設計初衷是基于對傳統中心化數據處理模式的不信任，采用一種分布式記賬模型來替代中心化數據存儲，提升數據安全性。區塊鏈技術的核心優勢即去中心化，并以此為解決中心化機構普遍存在的高成本、低效率和數據存儲不安全等問題提供了解決方案[2］。因此，區塊鏈技術變革的是傳統信任模式，是已有信息技術的再組合，而非一項全新的信息技術。但這種重新組合的區塊鏈技術給信息安全、數據存儲等帶來改變，使得互聯網用戶的隱私保護、信息安全水平有所提升。而區塊鏈技術所凸顯的價值理念或與個人信息保護不相統一，從而引發技術與已有規范之間的沖突與矛盾。

（一）不可篡改性與個人信息更正權、刪除權之間的矛盾

區塊鏈技術是以網絡中各節點共同記錄交易行為的方式，排斥了中心化數據庫的信息處理，避免中心化數據庫出現數據篡改或刪除等行為，從而提升信息的安全性。區塊鏈中每個區塊包含區塊頭和區塊體兩部分，區塊體存放批量交易數據，區塊頭存放Merkle根、前塊哈希、時間戳等數據，基于塊內交易數據哈希生成的Merkle根實現了塊內交易數據的不可篡改[3］。所有參與系統的用戶共享一個公共區塊鏈，不會存在因為單點失效而導致系統故障的情況，故除掌握區塊鏈網絡51%的算力進行信息修改外，區塊鏈網絡可以被視為是可靠且安全的[4］。哈希算法、分布式記賬、可信時間戳等底層技術共同保障了區塊鏈網絡中數據不被篡改，不僅僅針對區塊鏈網絡中諸多相互平等的節點，也限制了區塊鏈網絡用戶個人，因此這種不可篡改性是絕對的、無差別的。在大多數情況下，絕對的、無差別的不可篡改是必要的，可以防止網絡服務提供者或數據處理者憑借互聯網主體地位，實施侵害公民個人信息的行為。例如網絡購物活動中，交易平臺作為中心化數據處理者，承擔著交易行為的數字記錄和存儲，交易雙方作為平等的參與者無法直接介入到數據生成和存儲環節中。但交易平臺可憑借數據處理的優勢地位，對其所掌握數據進行篡改，且成本較低。若該網絡交易發生在區塊鏈平臺中，則交易行為一旦被記錄至相應節點并進入區塊鏈網絡中，則除51%攻擊外即無法進行篡改。

隨著個人信息權利體系的逐步確立，個人信息更正權、刪除權等經歷了理論—規范—實踐的步驟，最終成為個人信息保護的重要依據。個人信息權一般指與特定個人相關聯的、反映個體特征的具有可識別性的符號系統，包括個人身份、工作、家庭、財產、健康等各方面的信息[5］。這些個人信息在日常的網絡活動中會被相關平臺主體收集、存儲，特定情況下會被使用。因個人信息權的人身專屬性，其具備以知情同意為基礎的積極權能和以刪除權為代表的消極權能，后者更衍生出更正權、限制或反對處理權以及刪除權等具體內容[6］。這些消極權能是個人信息權能夠被實現的重要依據，但在區塊鏈網絡中可能難以有效發揮作用。首先，我國個人信息保護的法律規范奉行個人信息控制的理念[7］。個人信息主體對于第三方存儲的錯誤個人信息有權要求予以更正，這也是個人信息專屬性的重要體現。當然對于個人信息正確與否，個人信息主體需進行說明并提供相應支撐材料。然而區塊鏈網絡中的個人信息同其他所有信息和數據一樣，具有不可篡改性，無論是區塊鏈網絡的參與者還是個人信息主體都無法修改。單純從技術角度而言，不可篡改性旨在保障信息安全，排斥中心化數據存儲主體的恣意行為，但這種絕對的不可篡改與個人信息的控制理念相違背，即使是個人信息主體也無法改變這種技術帶來的絕對性。故在區塊鏈網絡中，個人信息保護的規范體系可能無法有效發揮作用。其次，個人信息刪除權是個人信息消極權能的重要實現方式?！秱€人信息保護法》第四十七條規定了在特定情形下，個人信息處理者應當主動刪除個人信息或經權利人請求刪除個人信息。個人信息刪除權作為個人信息權的重要內容，更好地保障了個人對其個人信息處理活動享有的決定權[8］，同時也制約著互聯網平臺或其他主體的個人信息處理行為，刪除權的行使也保障了個人信息不被非法使用。但區塊鏈技術所采用的共識機制和分布式記賬使得區塊鏈網絡內的數據幾乎無法篡改，除非修改區塊鏈網絡中51%以上節點信息，否則個人信息一旦“上鏈”，便等同于無法修改和刪除。因此，區塊鏈技術的不可篡改性使得個人信息刪除權無法實現，兩者之間存在根本矛盾。

（二）匿名性與個人信息控制權、同意權之間存在沖突

區塊鏈用戶通過公鑰和私鑰進入網絡，在交易過程中其個人信息可以保持匿名不公開，生成的相應數據也可以進行加密處理，進而提升數據安全性，保護參與者隱私。非對稱密碼技術為區塊鏈匿名性提供技術支撐，可以保證鏈上特定信息資產對應特定權利主體：公鑰即身份，或稱之為“賬號”，里面包含著個人信息資產；私鑰即“密碼”，私鑰僅為權利主體所知曉[9］。只有同時掌握“賬戶”和“密碼”才能維護鏈上信息。區塊鏈平臺交易過程中用戶并不需要注冊賬號、提交手機號碼、電子郵箱和銀行卡號等個人信息，而是享有較高的匿名性[10］。換言之，區塊鏈網絡中交易雙方可以不進行身份驗證即完成交易，交易雙方相互隱藏真實身份，實現匿名化。區塊鏈的匿名化特征是在互聯網虛擬性的基礎上更進一步，只要擁有區塊鏈網絡認可的財產，通過公共密鑰才可進行交易。匿名性在很大程度上提升了交易的便捷程度，通過不公開的形式保護了參與者的個人信息安全，但也潛藏著交易不被監管之風險。通過對區塊鏈網絡匿名化的技術性分析，可以發現，其與個人信息權利體系中的控制權與同意權存在矛盾。首先，區塊鏈用戶私鑰丟失后難以找回，使得用戶對其個人信息喪失實際控制權。在非對稱加密技術下的區塊鏈用戶憑借公鑰和私鑰的組合作用，完成對信息的加密與解密[11］。其中，私鑰是用戶用以維護、修改個人信息的憑證，也是對交易信息加以解密的重要工具。私鑰一旦遺失，用戶便無法完成上述操作，其對個人信息的控制也即告終結。最終，法律規范中賦予個人的信息自決、處理等權利，會因技術性要素的作用而無法落實。其次，從監管角度而言，區塊鏈網絡的匿名性容易引發安全風險。區塊鏈網絡是去中心化運營，各節點共同維護，為整個網絡提供算力支持。對于交易的監管和風控，更多交由技術來完成。用戶同時掌握公鑰和私鑰即可實現對個人信息進行修改和維護，而無須經權利人本人同意或授權，加之區塊鏈網絡缺乏對用戶身份的實際驗證，易引發安全風險。

（三）去中心化與傳統監管模式差異顯著

隨著個人信息保護規范體系的逐步形成，當下對于個人信息保護的監管也初具特色，呈現出以國家網信部門監管為主、以互聯網平臺等個人信息處理者[12］為輔的監管格局。在實踐中，信息管理的主體單位仍然是以各領域的政府單位為核心，如銀行業信息數據由金融監管部門負責管理、醫療系統信息數據由衛生監管部門負責保管。這種政府機關主導的中心化監管模式可以明確主體責任，促進監督和管理相協調，最大限度地保障個人信息的安全，降低利益驅動帶來的信息泄露風險。當前階段政府主導的數據保管與存儲安全系數遠遠高于一般企業或互聯網平臺，后者更易受多方因素影響而失去主體地位，如黑客攻擊。

區塊鏈的去中心化特征使得網絡中的數據存儲、信息管理模式等與傳統監管模式存在較大差異。區塊鏈上各節點共同維護網絡安全，對信息進行存儲及處理，實現多中心化監管，任一節點信息被篡改，通過其他節點上信息的比對即可發現端倪，使得信息安全得以大幅提升。但這種多中心化監管模式與個人信息保護之間也存在一定抵牾。個人信息屬于人格權范疇，具有較強的人身依附性，只有權利主體可以對其個人信息享有特定權利。在傳統信息監管模式下，可以通過身份驗證和識別來保障個人信息主體與用戶的同一性，但在區塊鏈去中心化監管模式中，這種監管方式交由技術來實現，即通過公鑰和私鑰的對應來實現身份驗證。如前文所述，區塊鏈網絡中沒有針對個人信息主體和用戶的同一性進行的驗證程序，因此無法保障個人的信息安全。區塊鏈網絡中任何節點都沒有監管的義務，在對交易進行記錄時更加不會對用戶身份進行實質驗證，使得這種去中心化監管在個人信息保護方面作用有限。

（四）救濟途徑、責任主體與個人信息救濟權之間難以協調

《個人信息保護法》對個人信息主體的權利與個人信息處理者的義務進行了規定，同時也明確了監管主體的職責。當個人信息受到侵害時，個人可以通過訴訟、仲裁、行政、調解等多種方式實現救濟權。但在區塊鏈網絡中，個人信息權利被侵犯后，權利主體的救濟方式同技術的先進性相比稍顯滯后。雖然法律并未禁止相應主體的司法救濟權，但鑒于個體用戶舉證能力的局限性，區塊鏈網絡中的個人信息侵權責任幾乎很難證明，當區塊鏈用戶的個人信息被非法處理時，除非能夠明確具體的侵權人，否則無法通過司法途徑實現救濟。此外，現有規范僅規定了區塊鏈網絡服務提供者的安全義務，并未對用戶的特定權利加以明確。對于區塊鏈網絡服務提供者應承擔的責任類型也未明確規定，區塊鏈網絡服務提供者的過錯是否承擔責任的前提亦無明文規定。因此，區塊鏈網絡中個人信息權利救濟的途徑、責任主體、過錯類型均缺乏規范引導，個人信息救濟權無法落實。究其原因，區塊鏈作為全新的互聯網模型，不宜對其過多限制以妨礙技術發展。但技術的發展需要以安全為前提，并不得給已有的規范體系帶來沖擊。在個人信息權利救濟方面，區塊鏈技術仍然需要被監管。

二、理論解構：區塊鏈技術下個人信息的構成

為了從根本上協調好區塊鏈技術與個人信息保護之間的沖突，需要對個人信息的基本構成進行分析，了解區塊鏈網絡中個人信息的基本要素，才可以更清晰地厘清區塊鏈網絡中的數據與個人信息。區塊鏈是一個去中心化網絡，各節點均是獨立的數據存儲中心，區塊鏈網絡參與者的交易行為以及生成信息會被各節點記錄并保存，對這些數據和信息進行分類保護，也是區塊鏈時代數據保護的基本要求。

（一）區塊鏈技術下個人信息的基本范疇界定

個人信息具有人身專屬性，其與信息主體密不可分。根據歐盟的《通用數據保護條例》（以下簡稱GDPR）界定，與一個身份已經被識別或者可以被識別的自然人相關的任何信息都屬于個人信息范疇①General Data Protection Regulation，Article 4.，包括姓名、聯系方式、證件號碼等基本信息以及教育經歷、工作經歷、就醫情況等個人生活信息。個人信息指向信息主體，能夠顯現個人的生活軌跡，勾勒出個人人格形象，作為信息主體人格的外在標志，形成個人“信息化形象”[13］。因此，個人信息可以被視為信息時代下個人的標簽，與主體一一對應，同時兼具社會價值和經濟價值。在傳統互聯網領域，個人信息通過專屬性、可識別性等特征較易容易界定，可以準確地從海量數據中區分出個人信息，并以此作為個人信息權是否遭受侵害的判斷標準。但在區塊鏈網絡中，匿名化特征加之去中心化監管模式等因素，使得區塊鏈用戶的個人信息界定困難，也因此給區塊鏈參與者的個人信息保護帶來障礙。

1.區塊鏈匿名性特征使得個人信息界定困難。如前文所述，區塊鏈用戶多使用公鑰和私鑰進行系統操作，而匿名性特征使得個人信息主體與區塊鏈用戶之間無法實現同一性驗證。個人信息基本范疇的界定需要憑借人身專屬性和可識別性來加以判斷，在區塊鏈匿名性特征的作用下，交易中使用和生成的各種數據與信息僅能識別出區塊鏈用戶的虛擬身份，無法將其中的個人信息分離出來。故對于區塊鏈網絡中的信息均作為一般信息予以保護，缺乏人格權保護的力度。

2.區塊鏈信息哈?；率箓€人信息內容呈現困難。哈?；甘褂眉用芩惴▽^塊鏈傳輸的可變長文字列，通過哈希函數轉換為固定長度的文字列，其輸出值即為哈希值[14］。為保證信息安全，區塊鏈網絡中的信息均被哈?；幚?，無法直接呈現信息內容。交易中所涉及的個人信息也被哈?；?，此時的個人信息便不再具有可識別性，是否還是《個人信息保護法》保護的客體存在疑問。因此，個人信息哈?；谋憩F方式也是區塊鏈技術下個人信息界定困難的原因之一。

3.分布式存儲導致監管對象向節點實際控制者過渡。區塊鏈用戶在交易中所涉及的個人信息經哈?；蟠鎯τ诜植际劫~本中，由各節點共同維護。與以往中心化數據庫存儲模式不同，分布式存儲模式下不可能對每個節點均進行監管，因此保障信息安全的重點落在了對節點實際控制者的規制上。區塊鏈各節點之間是相互對等、交互、連通的關系，不存在任何中心化的特殊節點和層級結構。對于節點控制者而言，區塊鏈技術使它可以下載使用鏈上完整的交易信息并參與驗證，但無法對整鏈產生實際控制權[15］。故對區塊鏈中個人信息處理行為進行監管，重心需由原來的中心化數據庫控制者向區塊鏈節點的實際控制者轉移。鑒于區塊鏈匿名化特征，節點控制者的身份確認也較難實現，給個人信息的界定帶來障礙。

（二）區塊鏈技術下個人信息的構成要素分析

1.區塊鏈數據的構成。對于區塊鏈技術下個人信息的構成要素進行分析，首先需要明確區塊鏈網絡中的數據構成。依據數據的不同內容、不同類型或功能，可將區塊鏈中的數據進行不同劃分，比如賬戶數據、區塊數據、合約數據等。為將區塊鏈數據中的一般數據與個人信息進行區分，結合區塊鏈的基本原理，可將區塊鏈數據整體分為兩大類，即注冊數據和區塊數據。第一，注冊數據，即區塊鏈用戶在加入區塊鏈網絡中注冊賬戶信息所保留的個人數據信息，包括公鑰、私鑰以及一些用于識別用戶身份的數據。第二，區塊數據則指區塊鏈網絡中運行所生成的所有數據，包括交易數據、配置數據、賬本數據等。其中，交易數據是區塊鏈用戶間利用區塊鏈網絡進行交易，生成的二進制代碼信息，這些信息代表了交易的主要內容；配置數據指的是各區塊自身的基礎信息，包括區塊整體的哈希值、區塊的可信時間戳、區塊高度等；賬本數據即區塊鏈用戶交易過程中的智能合約、備份數據等，這些均被記錄在分布式賬本中以實現不可篡改的目的。上述這些區塊鏈數據中既有與區塊鏈用戶個人緊密關聯的信息，也有區塊鏈網絡運行而自動生成的系統數據。系統數據因無法識別出區塊鏈用戶個人，故不宜作為個人信息予以保護。

2.區塊鏈中的個人信息的構成。為將區塊鏈數據中的個人信息準確界定，以將之作為個人信息特別保護，需要依據可識別性與專屬性標準對區塊鏈數據進行重新劃分。首先，注冊數據中，私鑰是區塊鏈用戶用于維護賬戶信息的重要工具，具有專屬性，不對外公開，可以視為個人信息。注冊賬戶時所使用到的IP地址、系統郵箱等是用戶虛擬身份的代表，也屬于個人信息范疇。對于公鑰的屬性需視情況而定，一般來說，公鑰是用戶公開給特定對象以便于交易的工具，僅是一個匿名化的交易對象，不具有識別身份的功能，不屬于個人信息。但從技術角度而言，公鑰結合IP地址可以識別特定自然人，而用戶通常不會隱藏其IP地址[16］。此時，公鑰也可通過技術追蹤來實現身份識別的效果，則公鑰也屬于個人信息。其次，區塊數據中，配置數據是在區塊形成時由系統自動生成，對于區塊有識別價值，但基本不涉及個人信息的內容。交易數據和賬本數據中的大量信息是關于區塊鏈用戶間交易的主要內容，同傳統網絡交易不同，區塊鏈交易主要通過數字貨幣來完成。因此，交易數據和賬本數據很少會包含用戶的實際賬戶信息等個人信息，交易雙方均是匿名化的區塊鏈參與者。但在某些特定情況下，例如智能合約中包含了能夠識別主體身份的信息，則交易數據和賬本數據也可能成為個人信息的載體。綜上，區塊鏈中的個人信息主要存在于注冊數據中，在交易數據和賬本數據中含有個人信息的內容屬于例外情況。

三、權利重塑：區塊鏈技術下個人信息權的再認識

個人信息之上法律關系的多元反映了其上負載利益關系的多元，在個人人格利益及財產利益、企業財產利益之外，還體現著社會公共利益[17］。個人信息權的行使則是信息主體實現上述權益的重要方式?！秱€人信息保護法》就個人信息權利體系作了規范，其核心是以個人信息控制權為基礎的同意權、更正權、刪除權等。在區塊鏈網絡中，基于法秩序的同一性，區塊鏈用戶天然地享有上述個人信息權，但其實現方式或表現形式則與一般意義上的個人信息權有所差別，需要重新加以解釋。

（一）個人信息更正、刪除請求權在區塊鏈技術下的演變

區塊鏈技術的不可篡改性和匿名性特征使得區塊鏈網絡中所涉及的個人信息在出現錯誤時無法進行更正。因為區塊鏈網絡中的信息系分布式儲存與管理，網絡中各節點均對信息加以記錄，以便相互驗證，保障交易安全。信息主體并不是各區塊鏈網絡節點，不享有更正、刪除的權限，但基于個人信息的人格權益而享有更正及刪除請求權。依照《個人信息保護法》第四十六、四十七條，個人信息處理者在收到請求后應及時對個人信息進行更正、補充、刪除。傳統互聯網活動中，個人信息保存于中心化數據庫，此時個人信息處理者明確且具體，個人可以直接發出請求、實現權利。但在區塊鏈網絡中，個人信息更正與刪除請求權的實現存在一定困難，主要基于兩點原因：一是匿名化處理使得節點的實際控制者很難被區塊鏈用戶所知，用戶當發現其個人信息出現錯誤時，無法準確找到請求對象；二是區塊鏈采用多節點分布式記賬，區塊鏈網絡用戶的個人信息一旦被節點記錄，相應信息則會被同樣復制存儲于其他各區塊，并被哈?；幚?。當用戶發現其個人信息存在錯誤或者要求刪除時，僅要求某一節點進行更正或刪除是無法實現目的的。從理論上而言，對于51%以上節點進行修改方可實現區塊鏈信息的修改，而這對于算力的要求極高，一般區塊鏈用戶幾乎無法做到。因此，區塊鏈的不可篡改性給個人信息的直接更正或刪除帶來技術障礙。

在區塊鏈網絡的各種底層技術作用下，個人信息的更正、刪除請求權無法實現，個人信息權的實現方式需要因時而異。為了使個人信息權的相應權能在區塊鏈網絡下也能有效實現，需要對個人信息更正與刪除請求權進行重塑：首先，對個人信息更正權作擴張解釋。個人信息的更正是在個人信息確有錯誤且有必要更正的情形下而進行的相關處理，其主要目的是糾正信息錯誤。當區塊鏈用戶向區塊鏈平臺或某個節點實際控制者提出更正的主張時，從技術角度實現根本更正已無可能，無法修改某些信息而達成節點共識。但可以通過增加備份信息的方式來實現信息更正之目的，即對更正進行擴張解釋，不僅包括原有信息的修正，也包括新增信息來彌補原有信息錯誤。其次，對個人信息刪除權進行語義分類。個人信息的刪除從根本上理解即將數據庫中存儲的個人信息徹底刪除回收，使其以后不再被檢索或讀取到。根據《個人信息保護法》第四十七條第二款，在特殊情況下，刪除個人信息從技術上是難以實現的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。在面對技術障礙時，立法對個人信息的絕對刪除作了讓步。但在區塊鏈網絡中，各節點地位平等，無中心化管理者，個人信息的絕對刪除或者特定情形下的限制處理均難以實現。此時需要對個人信息刪除權進行語義分類，除絕對刪除外，特定情形下允許相對刪除的存在，否則個人信息刪除權在區塊鏈網絡中便被技術架空。具體而言，只要鏈上信息經技術處理后不會再被其他節點或參與者讀取或使用，即可視為相對刪除。

（二）區塊鏈技術下被遺忘權的全面確立

被遺忘權是英美信息立法中的產物，其最核心內容即對個人信息的刪除[18］。我國《個人信息保護法》中已就個人信息刪除請求權作了規定，但其僅為被遺忘權的重要方面，還需要對被遺忘權的其他權能進行明確。根據GDPR第十七條可知，被遺忘權指信息主體有權要求信息控制者刪除與其個人相關的資料信息，并有權要求任何已知的第三方刪除針對上述信息的所有復制和鏈接的權利①General Data Protection Regulation，Article 17.。因此，全面理解被遺忘權的內涵，需要對個人信息在互聯網時代的一般軌跡進行分析。首先，個人信息主體在注冊賬戶、登錄網頁、下載文件等過程中，會主動將其個人信息告知某互聯網平臺，即個人信息的收集過程。其次，互聯網平臺會將收集的個人信息存儲于中心化數據庫，作為系統數據進行存儲和運營，即個人信息存儲過程。最后，經個人信息主體知情且同意的情況下，互聯網平臺將會對個人信息進行處理，包括大數據分析、信息推送、信息共享等，即個人信息的處理過程。整個過程中，雖經立法規定了信息主體同意的大前提，但實踐中信息處理者仍占據主動地位。個人信息的收集、存儲、處理均是在信息處理主體單方參與的情況下作出的，個人信息主體難以對全部的信息流轉過程加以監督。通過上述個人信息運行軌跡的分析可以發現，除個人信息處理主體的初次收集、處理外，其可能基于商業利益驅動或安全協議要求，將其存儲的個人信息告知第三方。此時，個人信息主體很難及時發現并制止，即使其行使個人信息刪除權要求個人信息處理者將個人信息予以刪除，仍無法徹底阻止互聯網其他第三方的信息處理行為。這種局面無疑給個人信息主體行使權利增加了難度。此外，個人信息刪除權的主體應當是針對已知的信息處理者以及實際控制者，對于潛在的第三方而言，刪除權無法有效行使。例如，當被遺忘權指向對互聯網上舊聞及其搜索鏈接的刪除時，則產生新聞報道和信息自由對人格利益的侵入問題，此時需要通過利益衡量來作出取舍[19］。因此需要全面引入被遺忘權的概念，對刪除權作用的對象范圍予以擴大，納入任何未經同意而使用個人信息的主體?？傮w而言，被遺忘權意圖賦予主體權利去刪除那些過時、不相關或不再相關的數據，進而實現“被遺忘”的目的[20］。

在區塊鏈網絡中，個人信息的處理模式與傳統網絡有所區別，從個人信息上鏈的那一刻開始，其后的所有節點對于個人信息的讀取和使用均處于默認狀態。對于個人信息主體而言，其對個人信息上鏈的同意即視為個人信息在該區塊鏈網絡內公開。除初始上鏈個人信息的節點外，后續所有節點均能作為個人信息的處理者存在于區塊鏈網絡中。但需要以個人信息內容的完全公開為前提。區塊鏈網絡以非對稱加密技術為其數據提供安全保障，只有同時掌握公鑰和私鑰才可以對節點存儲的信息進行解密讀取。若區塊鏈用戶在上鏈之初即對個人信息進行加密處理，后續其他區塊也無法獲取完整個人信息。在未加密情況下，區塊鏈用戶對其個人信息享有相對刪除權，但僅針對個人信息的實際控制者，對于區塊鏈網絡外的其他平臺或信息處理者則無法奏效。因此，為全面保障信息主體的自決權，對于未加密上鏈的個人信息主體，其除享有對區塊鏈節點的相對刪除權外，還擁有對區塊鏈網絡外第三方的個人信息刪除權。兩者結合起來即為區塊鏈網絡中的個人信息被遺忘權的全部內涵。在某種程度上而言，信息一旦上網則永久無法刪除，因為無法絕對禁止他人獲取個人信息。因此，被遺忘權只能從源頭予以限制，屬于抑制和刪除信息獲取渠道的權利[21］。

（三）區塊鏈技術下個人信息可攜帶權的表現方式

數字經濟時代，數據和信息成了重要的戰略資源，具有較強的生產和經濟價值。隨著個人信息權利規范體系的不斷完善，對個人信息的保護與開發出現矛盾。一方面，互聯網時代下，信息的相關性對于互聯網產業的發展具有重要指導作用，合理有效地開發、運用個人信息會極大提升互聯網效率，給人們生活帶來便利；但另一方面，個人信息權利體系越完善，對個人信息的利用限制則越多，強調保護個人信息的人格屬性，則會對其經濟價值、社會價值的充分發揮產生阻礙。如何做到個人信息保護與合理利用之間的平衡，成為個人信息處理者面臨的首要難題。對此，數據可攜帶權的引入為個人信息合理開發利用的契機，進一步強化了個人信息的財產性價值。

具體而言，數據可攜帶權指的是個人有意將其數據攜帶或傳輸到另一平臺從而帶來強制性數據轉移的權利[22］。根據GDPR第二十條之規定，數據可攜帶權應包含兩層內涵：第一，數據主體有權獲取“經過整理的、通用的和機器可讀的”個人數據；第二，數據主體有權將個人信息從收集其數據的控制者那里傳輸給其他控制者[23］。通過主體授權，個人信息可以作為具有權屬的數字資源在不同平臺、企業間流通，以實現信息的社會屬性及經濟價值。但這以個人信息的權屬為前提，信息主體須能初步證明其具備個人信息的所有權。因此，個人信息可攜帶權的適用范圍應排除匿名化處理的個人信息。區塊鏈匿名化特征主要針對區塊鏈用戶而言，采取信息哈?；奶幚矸绞絹肀Ｗo個人信息安全，但這并不排斥可攜帶權的適用，因為哈?；膫€人信息于信息主體而言，仍然是享有權屬的。因此，在區塊鏈網絡中的個人信息可攜帶權應有新的表現形式，來實現個人信息的副本下載以及信息轉移。區塊鏈用戶對其個人信息的維護主要通過公鑰和私鑰來進行，同時掌握公鑰和私鑰即可從技術層面視為個人信息的主體。因此，區塊鏈網絡中的個人信息可攜帶權則表現為私鑰的占有及轉移。公鑰一般而言是在區塊鏈網絡中向特定用戶公開的，而私鑰則是主體身份象征，通過私鑰的轉移即能實現個人信息的流轉。

四、雙向升級：區塊鏈技術與個人信息保護的完善

區塊鏈網絡中的個人信息保護問題并非單純的法律解釋或適用問題，而是一項技術與法律的有機互動，其主題便是如何調和技術與規范之間的沖突，最大化地發揮個人信息的價值，在保護私權的基礎上又不妨礙技術的發展。

（一）區塊鏈技術下的個人信息保護理念的確立——公益或私權？

區塊鏈技術是人工智能時代的新興技術，其對個人信息法律保護的既有架構和監管體系造成顛覆性影響，與《個人信息保護法》在具體理念上存在差異[24］。區塊鏈技術的現有規范主要聚焦于保障和監管，即對于技術的運用予以適度監管以防止可能出現的風險。這種監管根本上仍是注重技術創新，保障其能平穩發展，同時防止危害發生，有學者將之形象地概括為“監管沙盒”[25］。從區塊鏈產生的源頭可以發現，其設計初衷便是對中心化監管模式的不信任[26］。因此，區塊鏈技術更傾向于私權保護，相對于中心化政府主導的互聯網交易模式，區塊鏈用戶更加熱衷于使用區塊鏈節點進行分布式記賬，保障交易及數據安全。這一點上與個人信息保護的目標不謀而合。個人信息作為重要的數字資源，具有較強的經濟價值，并因此常被企業非法傳播。為防止個人信息被非法處理，《個人信息保護法》完善了個人信息的權利體系、義務體系以及相應的責任體系，以信息主體同意為基本原則，充分尊重信息主體對個人信息的控制權?！秱€人信息保護法》也是從私權保護的角度出發，賦予信息主體以刪除權為核心的一系列個人信息權，其根本目的也是防止個人信息被違法處理和濫用，進而侵害信息主體合法權益。從私權保護角度出發，《個人信息保護法》與區塊鏈的技術設計具有一致性。

然而私權保護僅是《個人信息保護法》的一項宗旨，除此之外，規范個人信息處理活動也是一項重要任務。個人信息的合法正當處理能夠充分發揮個人信息的價值，使大數據時代以信息相關性為主導的活動原則最大限度被運用。在保護的基礎上合理開發和利用個人信息，才是《個人信息保護法》所確立的基本理念。對個人信息的合理開發與規范處理，本質上是為了社會公共利益。只有完善個人信息保護體系，健全監管制度，個人信息的價值才能最大限度地發揮，對于信息主體和社會整體而言均是利大于弊。故私權保護與公共利益的衡量也共同構成了《個人信息保護法》的基本宗旨，其中私權保護與區塊鏈技術相吻合。但區塊鏈技術過于凸顯節點自治，區塊鏈用戶間的交易不會被過多監管，智能合約等無相關主體審核易引發交易安全和個人信息保護風險。同樣鑒于區塊鏈技術的去中心化特征，這種風險一般只會作用于交易雙方，不致危害公共利益。因為區塊鏈的技術優勢，使得區塊鏈網絡中的個人信息處理者（大概率為節點實際控制者）很難像一般企業處理個人信息那樣影響面廣，分布式記賬使得區塊鏈網絡中的信息處理行為最終只能作用于節點本身。綜上，在區塊鏈網絡下的個人信息保護可以適當忽略公共利益而更側重于私權保護，需要更加尊重區塊鏈用戶對其個人信息所享有的專屬權利。

（二）技術升級：個人信息保護規范促進區塊鏈技術迭代

在私權保護的共同理念下，區塊鏈技術需要與現有個人信息保護規范相契合方能避免沖突、發揮優勢。區塊鏈的底層技術是分布式記賬、非對稱加密、可信時間戳以及哈希算法等，并以去中心化方式將網絡節點相互鏈接，形成鏈式網絡。所有存儲于區塊鏈上的用戶信息都使用了加密技術、Hash函數進行加密保護，降低了攻擊節點訪問個人數據并泄露的可能性[27］。在安全性方面，區塊鏈技術對于保護個人信息有積極作用，但個人信息權中要求對信息進行更正、刪除等功能在現有區塊鏈技術下便無法完成。我國個人信息保護規范已初具體系，在規范的適用與實施過程中可能會與區塊鏈技術產生摩擦。為此，可對區塊鏈進行技術的迭代升級，在充分發揮技術原有的特征基礎上，規避與個人信息保護規范不相適應的內容。區塊鏈的出現本身就是已有技術的重新整合，賦予新網絡以全新的運行邏輯。例如，哈希算法與非對稱加密技術原本就已經存在于計算機信息網絡中，結合起來就能夠實現節點信息加密和區塊鏈的匿名化，提升信息安全水平。但技術設計之初并未過多考慮個人信息的保護，同時對于個人信息權的相應權能的實現也未作參考。為與現有個人信息保護規范有機融合，區塊鏈技術需要解決信息不可更改和刪除的問題，從技術角度而言，可以通過以下兩種方式進行區塊鏈的技術升級。

1.可編輯區塊鏈的模型設計。首先需要說明的是，在分布式和去中心化的區塊鏈系統中，真正在所有節點上完全實現修改、刪除等編輯操作是不可能實現的[28］。因此，只能從技術上實現對部分節點進行操作以實現與修改和信息刪除同等的效力。具體而言，通過變色龍哈希函數可實現密鑰修改，進而擁有對區塊鏈信息的修改權限。變色龍哈希函數實質上是一種帶有陷門的單向哈希函數[29］，可以在不改變哈希輸出值的情況下，通過計算陷門信息，進而輕易改變哈希輸入值，以實現修改數據之目的。為實現數據在特定情形下的可修改，區塊鏈平臺應提供用戶可選擇的哈希函數，當區塊鏈用戶需要將個人信息上鏈時，可以借用變色龍哈希函數將個人信息哈?；鎯?。當需要對信息進行更正時，可通過變色龍哈希修改數據存儲密鑰，進而對節點數據進行更新。此外，雙區塊鏈模式也可完成信息修改之目的。雙區塊鏈模式由原始數據鏈和修正鏈構成，原有數據存儲于原區塊鏈上節點中，修改后數據存儲于修正鏈節點中。礦工們同時對兩條鏈按照可信時間戳和區塊高度進行順序驗證，當發現輸出哈希值不一致時則切換到修正鏈上讀取數據。但此種模式只能修改修正鏈生成之后的數據，對此前只有單一鏈條的數據依舊無法更改。

2.可刪除區塊鏈的技術設定。隨著區塊高度的不斷增加，區塊鏈中存儲信息量越來越大，普通節點可能缺乏足夠的存儲空間。對于一些過時且失效的數據已經缺乏存儲之必要，需要及時進行清理以釋放節點存儲空間。另外，關于個人信息刪除權的行使，在區塊鏈網絡中，對于信息主體請求刪除其個人信息時，應當有可行之路徑予以完成。有學者提出基于門限環簽名的可刪除區塊鏈方案，該方案中區塊鏈以空間證明的共識機制為基礎，當數據過期或失效時，經大多數用戶同意并簽名后，可以對過期數據進行刪除，并保持區塊鏈的結構不變，不影響其他區塊的存儲和使用[30］。此外，選擇性交易剪枝技術也可根據區塊的狀態可達性選擇特定的不重要交易并刪除[31］。對于一些非重要交易，刪除一個或一組信息并不會影響整個區塊狀態的改變，此時可以區塊節點的個體行為完成數據刪除。但不管是可編輯區塊鏈還是可刪除區塊鏈，技術的升級在一定程度上都損害了區塊鏈原有結構的去中心化，甚至以損害數據安全性為代價。因此，從技術升級角度而言，區塊鏈的個人信息保護不僅要注重與規范所確立的權利體系相契合，同時也要不斷彌補漏洞，選擇一種最適宜行業穩健發展的技術。

（三）規范升級：區塊鏈技術下的個人信息保護規范的體系解釋

法律的精髓在于解釋。對于新興技術中的個人信息保護問題，立法時無法予以充分預見，因此，需要對《個人信息保護法》中的部分問題進行合理解釋，以使規范與技術能夠有機融合，實現個人信息的保護與利用。對區塊鏈技術下的個人信息保護規范進行解釋，應著眼于全局，從已確立的保護體系角度出發，重點解決以下三個方面的問題。

1.明確個人信息與技術數據的邊界——“合理可能”標準的運用。個人信息的可識別性和人身專屬性是其基本屬性，也是區別于一般數據的重要標準。然而在區塊鏈匿名性特征作用下，所有個人信息均被哈?；幚?，無法直接讀取，更難以準確識別到信息主體。在區塊鏈網絡中，不管是注冊數據還是區塊數據，外觀上都以哈希代碼形式呈現，此時數據均不具備可識別性，難以區分個人信息與一般技術數據。區塊鏈信息的匿名化依靠哈希函數完成，但從技術角度而言，哈希函數逆向的解密并非絕對不可能，在更加進步的解密技術下，哈?；男畔⒁灿锌赡鼙蛔x取進而識別出用戶主體。因此，在區分個人信息與技術數據時，核心依據仍是以可識別性為主，但在區塊鏈網絡等因技術原因無法直觀識別的情況下，則要結合“合理可能”標準來作出判斷。根據GDPR序言（26）可知，可識別性應當考慮“所有合理可能的方法（All the Means Likely Reasonable）”，諸如識別的時間長短和成本，數據處理時可用的技術以及未來的技術發展等客觀因素①General Data Protection Regulation，Recital 26.。當對一項數據采用現有技術幾乎難以識別其內容或主體，則該數據為一般數據，不具有可識別性。反之，只要一項數據能夠在較短時間內以現有技術水平予以識別，則認為具有可識別性，該數據可歸為個人信息。例如Breyer案中，歐盟法院認為，動態IP地址在能夠合理地從第三方主體處獲取其他信息用來識別網站訪問用戶身份的情況下是個人信息②Patrick Breyer v.Bundesrepublik Deutschland，Case C- 582/14，http：//curia.europa.eu/jur-is/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=en&mode=1st&dir=&occ=first?=1&cid=851631（2023-02-20）.。當然，對于此標準中的合理性與可能性的判斷又易引發新的解釋問題，但從區塊鏈技術的實踐來看，以“合理可能”標準作為區分個人信息和一般數據的依據有一定的積極意義。

2.個人信息刪除權的規范解釋——以“相對刪除”為參考。刪除權是個人信息權的重要權能，體現了信息主體對于個人信息的自決原則，對個人信息進行刪除也是保護個人信息不受非法處理的重要方式。區塊鏈的不可篡改性與個人信息刪除之間具有天然沖突，調和好這種沖突不僅要從技術角度進行升級，對個人信息刪除權進行規范解釋也是重要出路。在區塊鏈網絡中，個人信息的鏈上刪除首先需要解決技術上的可行性問題。根據區塊鏈的共識機制可知，獲取區塊鏈51%以上節點的共識即可實現信息的修改或刪除，但51%節點修改的算力是否真實存在？至少從目前的區塊鏈實踐來看，節點數量越多，這種可能就越低。因此，可以認為對絕對去中心化的區塊鏈網絡中數據進行刪除，從操作上是難以實現的。故需要對個人信息刪除權中的“刪除”進行解釋，以使其在區塊鏈網絡下也能依然有效。對于刪除的理解，若從技術上無法徹底實現，則可分為絕對刪除與相對刪除，區塊鏈上的個人信息刪除更傾向于后者，即無法實現絕對刪除，而通過匿名化處理、切斷訪問路徑等方式來實現等同于刪除的實際效果。因為，個人信息保護規范所追求的效果并非純粹技術上的徹底刪除，而是規范目的的實現，即通過技術運行而實現與更正或刪除相同的法律效果。從語義角度出發，絕對刪除應當是個人信息的徹底銷毀，包括切斷獲取個人信息的相關鏈接，這是在技術允許情況下的通常做法。但在無法實現徹底銷毀時，如區塊鏈網絡中的個人信息，則需要采用相對刪除的做法，即利用技術切斷獲取個人信息的可能，包括匿名化處理、鏈上分叉、變色龍哈希函數等。但無論是對刪除進行擴大解釋，還是實用主義視角的理解，只要從根本上切斷數據保管者的使用行為與個人信息所有者權利受損之間的聯系，即可視為是個人信息的刪除。

3.區塊鏈共享機制與影響最小化原則之平衡——鏈外存儲與目的限制結合。我國《個人信息保護法》第六條確立了個人信息處理的影響最小化原則，要求信息處理者在處理公民個人信息時應當具有明確、具體的目的，并采取對個人權益影響最小的方式，收集個人信息時也限于實現處理目的的最小范圍，不得過度收集個人信息。而區塊鏈是一個去中心化的分布式記賬網絡，各節點間數據共享。從創世區塊開始，每增加一個區塊，都是對前一區塊內容的備份與共享，實現數據的完整復制。因此，區塊鏈的數據共享機制是保障數據安全且不被篡改的基礎，可以提升信息準確性。區塊鏈共享機制與信息處理的最小化原則之間存在沖突，對區塊鏈技術下的個人信息保護固然應遵循最小化原則，然而卻無法回避區塊鏈各節點間信息共享的現實。為實現兩者間的平衡，可從技術與原則兩個角度出發：一是從技術角度出發構建一套與區塊鏈數據存儲相協調的鏈外存儲模式，將非必要上鏈的數據存儲于鏈外數據庫中，實現鏈上鏈外的協同共進[32］；二是從目的解釋出發，區塊鏈節點在復試個人信息時不得超越個人信息上鏈時的最初目的，例如用于注冊公鑰而收集的注冊數據不得在區塊鏈交易中使用。區塊鏈上的個人信息處理以目的限制為基本原則，盡可能與《個人信息保護法》所確立的影響最小化原則相適應。通過鏈外存儲的技術更新與目的限制的原則相結合，能夠一定程度上緩和區塊鏈節點共享與影響最小化原則之沖突。但技術總是在更新迭代，規范卻始終保持滯后性，平衡技術與規范沖突的最根本要素應當是價值考量，從本源出發尋找契合點。

五、結語

區塊鏈與個人信息保護是數字時代下幾乎無法回避的問題，當兩者結合時，不僅在技術與規范之間產生沖突，更給信息處理者收集和利用個人信息提出了更高的要求。區塊鏈固然具有保障信息安全的技術優勢，但因不可篡改、匿名化等特征使其忽略了個人信息控制的基礎理念，并因此引發個人信息權無法有效行使之風險。例如，區塊鏈中私鑰遺失與個人信息控制權的沖突、區塊鏈加密技術與信息共享的沖突等[33］。不管以何種表現形式出現，最終均體現為技術與規范之間的矛盾。故調和好技術與規范之矛盾，使技術優勢最大化、規范目標最優化才是區塊鏈技術下的個人信息保護應追求的價值。然而區塊鏈技術并非絕對完美，法律規范也總是滯后，只有在實踐中不斷改進，不管是技術還是規范解釋在個人信息保護的問題上均能從同一出發點考量，則我國的個人信息保護體系將會愈發完善，區塊鏈技術的應用也會更加成熟。