申军 | 当区块链遇上《个人信息保护法》和GDPR

作者简介

申军，法国执业律师。主要业务领域为金融、公司、并购、跨境投资和国际商事合同; 熟稔数据保护、数字货币、区块链与数字资产、人工智能与算法、数字市场竞争、数字领域知识产权、碳交易与碳金融、数字劳动平台等新兴法律领域。工作语言为中文、法文和英文。里昂第三大学商事法博士、商事法硕士，墨尔本大学银行与金融法硕士，华东政法学院法学学士。

特别声明：本文仅代表笔者的个人观点，不构成法律意见。

《中华人民共和国个人信息保护法》(下称“个保法”)已于2021年11月1日生效。该法明确提及了人工智能(个保法第62条)，堪称与时俱进。相较而言，2016年4月27日颁布的欧盟《通用数据保护规章》(下称“GDPR”) 对人工智能未有陈述，可能是因为欧盟立法者对相关词汇的确切定义缺乏共识。不过，GDPR第4 条第4项所定义的“侧写”(profiling或profilage)，关乎个人性质数据的自动化处理，涉及大量的数据，因此算法和人工智能技术所起的作用自然不言而喻。实际上，正如法国国家信息技术与自由委员会(下称“CNIL”)所言，没有数据的算法是盲目的，没有算法的数据是哑默的。毋庸置疑的是，算法与人工智能息息相关。

至于和比特币颇有渊源的区块链(blockchain或chaîne de blocs)，在GDPR中亦无规定。依照该规章第35条第1款，当一种形式的数据处理，特别是诉诸一些新技术的处理，考虑到其本质、影响、背景和目的，可能会对自然人的自由和权利产生高昂风险时，处理负责人(responsable du traitement，即英文版的controller - 控制者)在处理之前，必须评估所设想的处理操作对个人性质数据保护的影响。GDPR立法动机阐述(considérant或recital)第89项亦有相关规定。

据此可以合理解读的是，如果数据处理使用诸如区块链之类的新技术，那么数据处理负责人大抵需要预先实现影响评估(impact assessment或analyse d'impact)，以确保履行GDPR第25条所阐明的privacy by design的原则，即从设计之始即注重私人生活。依笔者看来，GDPR对区块链不予明文规定，也可被理解为，在其被颁布之时，欧盟立法者对GDPR与区块链是否相容并不确定; 他们既不想排斥此技术在个人数据处理中的运用，也不便评估此技术对GDPR的适用所带来的风险程度。

相比于GDPR对区块链的触及可谓是“却在灯火阑珊处”，个保法对区块链的涉及则堪称“犹抱琵琶半遮面”。依据个保法第47条的规定，个人信息处理者在一些法定情形下应当主动删除个人信息，但删除个人信息从技术上难以实现的，其应当停止除存储和采取必要安全保护措施以外的处理。根据笔者对区块链的了解，如果删除相关个人信息在技术上难以实现，这实际上涉及存储在区块链上的个人信息，或者更为明确地讲，至少涉及公共区块链上储存的此类信息。众所周知，此种区块链上的信息原则上难以被删除，除非是在非常例外的情形，由多数成员达成共识方能完成。而相关删除成本的昂贵，往往令人望而却步，从而会在技术层面构成“不可能的任务”。

此外，上述规定也意味着个保法不排斥区块链技术在个人信息处理上的运用，相关信息可被存储在作为载体的区块链上。当然，仅就该条难以确定或可涉及的区块链的性质，不知其是一般意义上的公共区块链，还是私人区块链或是联盟链(以下会做介绍)。使用区块链技术的个人信息处理者可以是个人或是组织，还是二者皆可,也难窥端倪。

可以留意的是，由国家市场监督管理总局和国家标准化管理委员会发布的、完稿日期为2021年1月15日的《信息安全技术区块链信息服务安全规范》征求意见稿，在其引言中即明确指出，区块链的去中心化机制及链上信息难以修改等特征，给信息安全管理提出了挑战。该意见稿的第3条则列有区块链技术(简称为区块链)、联盟链和私有链的定义。笔者认为，据此规范，区块链在中国至少可被分为三类，即公共链、联盟链和私有链。

其次，依据个保法的此项规定，如果从技术上难以删除储存在区块链上的个人信息，那么相关的个人信息处理者除了需将相关信息妥善存储外，将不再能够进行个保法第4条所列的诸多处理活动，诸如对于个人信息的收集、使用、加工、传输、提供、公开、删除等。不过，个人信息处理者需要采取必要的安保措施。这涉及到如何确保储存在区块链上的个人信息的安全问题。

壹

区块链

值得阐明的背景资料是，从一般角度而言，区块链可被理解为是一种数据的存储及传输技术，可以由此创立可被复制及分散的“账簿”; 此类账簿即为电子交易历史的集合，其构成了区块链上的数据“区块”。区块链没有一个中央控制机构，其安全性基于加密技术得以保障，其结构性藉由互相联接的区块得以实现，其交易运作则依据惯常的时间间隔。依照CNIL的说法，区块链本身不是一种有着完整目的的数据处理，而是一种技术，可被用作多种处理活动的载体。

从技术角度而言，区块链所针对的是不同的信息技术协议，用户藉此实现诸多交易。区块链基于加密机制运作，因而要求用户拥有一枚公钥(或一个公共地址)和一枚私钥(又称密钥，即通行密码)，前者被用来在网络上验证用户，后者被用来验效一项交易的支付与否。在每项交易藉由时间顺序登记于账簿之前，专门的验证者——即节点或挖矿者，会对之进行验核。

从准法律角度来讲，法国丰富法语词汇委员会在2017年5月23日刊发于《法兰西共和国官方刊物》的一份建议中，将区块链定义为“生成数据的连续的登记模式，其形式为互相联接的、按照验效的时日盖戳排序的区块，每个区块以及它们的序列均受保护，免遭任何修改”。该委员会还另外指出，区块链特别被用于网络货币(cybermonnaie，如比特币)领域，其履行着交易的公共账簿的职能。

关于区块链的行为者，CNIL将其分为三类。其一为获取者，即有权阅读和获得一份区块链副本的人。其二为参与者，即有权在区块链上书写的人。书写意味着发起一项交易，参与者将之提交以作验效。其三为挖矿者，其验效一项交易，通过适用区块链协议的规则创立区块，以便后者能被区块链社群所接受。

关于区块链的分类，CNIL将之依照公共区块链、待许可区块链和私人区块链三种类型加以区分。其一，公共区块链(亦即开放式区块链)可对全球各地的任何人开放，他们可以执行交易，参与对区块的验效过程，或是获得区块链的一份副本。其二，待许可区块链(可被理解为半开放区块链)可对所有人或数量有限的人群开放，依照既定规则确定何人可以参与交易批准过程、或是执行交易。其三，私人区块链被单一行为者所控制，以期确保对区块链的参与和交易的验效之控制。

可资补充的是，私人区块链可在实践中再被细分为联盟链和纯粹意义上的私人链。藉由联盟链，数量有限的数个行为者得以集合在一起，在其交互利益的管理方面获得便利。相关成员分享相关的信息，解决或有的争端，在彼此之间建立信心。在此种区块链中，每位参与者均构成一个节点，没有区块的挖矿程序，没有必要建立共识的解决方案。而纯粹的私人链则更接近于一个内网运用程序，可在同一个组织内提供服务或获得生产力的增益；仅有一位行为者(比如一个法人机构)根据区块链的预设用途管理该链的发展。很明显，此种私人链实则诉诸的是完全的中心化，而非一般区块链所彰显的去中心化。

由此可见，GDPR、个保法与区块链似乎有着天然相悖之处。其一，区块链是向大众或是特定的群体分享数据或信息，而GDPR和个保法是要保护个人数据/信息，防止对它们的非法分享及滥用。其二，区块链原则上是试图去除第三人，以期建立从同侪到同侪(peer to peer)的去中心化的网络，而GDPR和个保法则要确定数据处理负责人(或称控制者)，或个人信息处理者的存在，以便对之施加法定义务，从而实现对于个人数据/信息的保护。其三，区块链上包含的数据/信息是一个不可分的整体，原则上不能对其篡改、修正和删除，以体现其特有的一成不变性，而GDPR和个保法规定对相关数据/信息进行有限期的保留，亦保护与个人数据/信息相关的读取权、修正权以及删除权等。

贰

GDPR与区块链

不过，在前述的CNIL看来，GDPR与区块链的关系并非水火不容。CNIL认为，当区块链涉及到个人性质的数据，GDPR即予以适用。根据它的说法，区块链可以包含两类个人性质的数据。其一为区块链“参与者”与 “挖矿者”的用户名。它们由一系列看似偶然的数字与字母组成。其二为补充性数据，即在前述用户名之外，可能与“参与者”与“挖矿者”以外的人相关的个人性质数据。这也反映出，区块链上的个人数据被认为是假名化、而非匿名化，否则GDPR所规定的权利和义务将不能施行。不难发现，GDPR不是为了规制区块链技术本身，而是为了规制在有涉个人数据的背景下相关行为者对于该技术的运用。而从广义上而言，区块链和GDPR的关系，可被理解为技术创新与个人基本权利保护之间的关系。

那么，区块链框架下的数据处理负责人可能是谁呢？根据CNIL的看法，区块链中的“参与者”可被视为GDPR所要规范的数据处理负责人，因为“参与者”有权在区块链上进行交易，并决定将相关数据交由“挖矿者”核实。其不仅决定了最终目的(将交易数据提交以待核实)，而且决定了实现此数据处理的手段(比如采用何种数据格式、诉诸区块链，等等)。因此，区块链中的“参与者”符合GDPR第4条第7款对处理负责人“为何”及“如何”处理个人数据的要求，而受到GDPR相关条款的规束。反之，区块链中的“挖矿者”或“核实者”，则不被视为数据处理负责人，因为其仅限于将“参与者”提交的交易予以核实，但不干预这些交易的目标，所以并不决定数据处理之目的和运用之手段。

关于区块链中的数据处理分包人(sous-traitant，又称processor、处理者)，CNIL认为，区块链中的“挖矿者”或“核实者”在某些情况下可被视为GDPR治下的此类分包人。实际上，在其核实一项交易是否遵守诸项技术标准时(比如核实交易的某种格式、某种容量限度，以及核实“参与者”是否有能力在区块链上实行交易)，“挖矿者”实则是在执行数据处理负责人的指示，故而与GDPR第4条第8款所规定的处理分包人相对应。“挖矿者”也因此应该依照GDPR第28条的相关条文，和“参与者”(即数据处理负责人)订立一份合约，以兹明确双方各自的义务。此外，一个智能合约(smart contract或contrat intelligent)软件的设计师，为了数据处理负责人的利益而处理个人性质的数据时，也会被CNIL视为是数据处理分包人。

至于相涉个人(personne concernée，又称data subject、数据主体)依据GDPR所享有的诸项权利，在区块链的框架下是否可被行使呢？CNIL的相关看法同样值得简述。

首先，CNIL认为，GDPR第15条规定的读取权(droit d’accès或right of access)、第20条规定的数据可携带权 (droit à la portabilité des données或 right to data portability)，与区块链的技术特性是相符合的，没有适用GDPR的特殊困难。

其次，对于GDPR第17条所规定的删除权或被遗忘权(droit à l’effacement - droit à l’oubli或right to erasure - right to be forgotten)，CNIL指出，当个人性质的数据被登记在区块链上，批准相涉个人的删除要求在技术上是不可能的。不过，它亦认为，某些技术解决方案可以达到接近于数据删除的效果。比如，当区块链上登记的数据是一种加密的固化数据、或是藉由哈希函数获取的数字指纹时， 数据处理负责人就能使得相关数据几近不能获取。从而与GDPR所要求的相关合规相接近。因此CNIL建议不要将个人性质的数据无遮掩地登记在区块链上，而应优先诉诸前述论及的加密程序。当然显而易见的是，此种方法只是治标之策，仅仅涉及一些被加密的数据，其在实践中的运用尚需得到进一步的评估。

再次，对于GDPR第16条规定的修正权(droit à la rectification 或 right to rectification)，CNIL认为，对登记在区块链上的加密或不加密的个人性质数据行使修正权，在技术上也不可能。但其对此的看法是，虽然在某个区块上登记的数据不可能被予修改，但这应引导数据处理责任人将经过更新的数据登记到一个新的区块上。实际上，一个嗣后的交易总是可以取消最初的交易，即使最初的交易将会一直显示在区块链上。

最后，对于个人性质数据在区块链框架下向欧盟境外的传输，CNIL认为需要加以区别分析。在其看来，相关数据在公共区块链框架下的跨境传输，难以达到GDPR的合规要求，既然数据处理负责人或会很难查控分布在欧盟以外“挖矿者”的所在位置，因而也很难确保对可能输出的个人性质数据采取相应程度的保护措施。如是，如果诉诸一种区块链技术不一定能达到对于个人数据的保护目标，CNIL建议相关处理负责人可以选择可替代的其它解决之道，以便尽可能确保与GDPR合规。

对于待许可区块链框架下的跨境个人数据传输，CNIL则认为，基于该类区块链既可对所有人开放，又可只对部分人开放，能对相关数据进行更好的管理，因此既有的针对欧盟之外的个人数据传输机制，比如具约束性的公司/企业规则(英文简称为BCR)或是标准合同条款(英文简称为SCC)，完全适用于此种区块链。至于私人区块链，CNIL认为其实质上是一个传统的分散式简单数据库，故不存在与GDPR合规的特别问题。不过CNIL也特别指出，对一个非公共区块链来说，从GDPR在数据安全性方面的要求考量，为了确保此类区块链的保密性，必须要对采取的相关措施进行特别的监督。

叁

个保法与区块链

依照笔者的看法，个保法第47条间接规定了运用区块链进行个人信息存储的情形。在此情况下，个人信息处理者只能继续进行相关存储的处理活动，其也应该依照该条的规定对相关个人信息采取必要的安全措施，确保它们不被他人非法获取或篡用。虽然何为必要的安全措施未被该条阐明，但是如果个保法的相关规定须与其他法律法规相协调，那么个人信息处理者需要采取的安全措施——无论个人信息被储存在公共链、联盟链或是私有链上，均可能都要从上述的《信息安全技术区块链信息服务安全规范》的最终版本中找到相关措施的参照。

由此引发的一个合理假设是，如果个人信息处理者本身又是区块链信息服务提供者(相关概念见诸2019年2月15日起施行的《区块链信息服务管理规定》)，如个保法第58条所规定的提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，同时又是该类信息服务提供者，那么相关平台企业的责任和义务又是如何？可否需在个保法实施细则中对其另有专门的规定？如何避免其与区块链信息服务使用者之间的潜在利益冲突？这些方面都值得后续的密切关注。

此外，如果GDPR要求对适用区块链等新技术进行的数据处理事先进行影响评估，那么区块链在个保法框架下的运用，是否也要诉诸同类评估，想来见仁见智。可资留意的是，区块链技术并非对所有的数据/信息处理而言都最为适合，因此预先考量是否有必要选择此类技术进行相关处理，无疑不容忽视。倘若在未来的个保法实践中相关影响评估也须被执行，那么所对应的法律基础可被归入到该法第55条中的第5点，即运用区块链技术进行的个人信息处理，属于其他对个人权益有重大影响的个人信息处理活动。

综上所述，GDPR与区块链之间并不存在不得逾越的“楚河汉界”。前者虽未明确规定后者在个人性质数据处理方面的运用，对相关影响也未阐明，但是法国CNIL的相关看法无疑有助于厘清这二者之间的相符度。同样，个保法虽未直接谈及区块链，但是根据笔者的解读，它们之间的关联还是见诸雪泥鸿爪。面对日新月异的数字科技的发展，个保法针对区块链场景的实施细则或需尽快出台，包括针对藉由区块链进行个人数据跨境传输的国际实践。

中国法律评论

我刊由中华人民共和国司法部主管、法律出版社有限公司主办。国家A类学术期刊，中文社科引文索引（CSSCI）来源期刊，人大复印报刊资料重要转载来源期刊。我刊秉持“思想之库府，策略之机枢”之理念，立足于大中华，聚焦中国社会的法治问题，检视法治缺失与冲突，阐释法律思想，弘扬法律精神，凝聚法律智慧，研拟治理策略，为建设法治中国服务，为提升法治效能服务，为繁荣法学服务。

《中国法律评论》唯一投稿邮箱：

chinalawreview@lawpress.com.cn

中法评微信公众号投稿邮箱：

stonetung@qq.com

刊号：CN10-1210/D.

订刊电话：010-83938198

订刊传真：010-83938216