區塊鏈下個人信息安全風險的法律應對機制初探

李儀 王棟

摘 要：隨著區塊鏈技術的運用，個人信息被集中地收集與傳輸、被分散地存儲與利用。這在提高了信息效率的同時對信息安全帶來破壞，由此群體的信息主體的人格權利被侵害、信息的有效利用也受到阻礙。對此我國應通過立法保護信息主體與利用者權益，同時保護群體信息安全。在制度設計中，立法者應立足于實際，將歐洲的被遺忘權與可攜帶權等立法成果做語境化的分析借鑒;在制度實施中，執法者與司法者應強化對區塊鏈產業的宏觀監管，同時將部分管理權限下放給行業自律組織，為維護信息安全提供機制保障。

關鍵詞：區塊鏈;個人信息;信息安全風險

中圖分類號：D920.4? ?文獻標志碼：A? ?文章編號：1002-2589（2020）01-0075-02

區塊鏈下，虛擬網絡通過信息流動與現實社會聯結在一起，個人信息的保護也早已超過個體安全的范疇，演化成為融合經濟、科技等領域的綜合性議題。破壞個人信息安全不僅侵害公民個人的合法權益，而且干擾了信息社會的正常秩序。我們應通過多種手段保障個人信息安全，本文試圖探究個人信息安全法律保護的具體途徑。

一、解析區塊鏈下個人信息安全的風險

（一）個人信息及其安全之詮釋

根據歐盟于2016年頒行的《通用數據保護條例》第4條，個人信息是指與特定主體關聯從而能夠識別主體特征的數據、符號及其組合。個人信息一般包括姓名、年齡、籍貫等。自然法學家普遍認為，個人信息是主體尊嚴與自由等人格價值的重要載體，此觀點在我國《民法總則》第111條中得到采納[1]。同時在信息科學視野中，信息保持安全狀態是維護主體權益與促進信息資源開發利用的重要條件，信息安全又主要包含如下要素：第一，完整和真實性。即信息應該處于完整和真實狀態，以確保主體獲得正確的社會評價。第二，保密性。即信息應保持秘密狀態，未獲主體授權不得泄露給其他信息控制者，以此確保主體生活的安寧與自由。第三，可用性。即信息在得到信息主體授權后，得以被谷歌等提供云服務的運營商（以下簡稱“服務商”）收集后通過存儲、傳輸等方式處理，再傳輸給公共機關及電子商務企業等機構加以利用，以此實現信息的社會價值。

（二）區塊鏈信息安全風險的解因

根據《中國區塊鏈技術和應用發展白皮書》，區塊鏈是一種去中心化存儲、分布式共識、加密算法等信息技術的創新應用。區塊鏈下，利用者能夠運用分布式賬本，分節點地存儲與利用信息，這在提高了信息處理效率的同時，也對信息安全帶來風險。一方面，區塊鏈作為新興技術，安全防護存在薄弱環節，并且對于信息保護機制的設置不合理。惡意節點可以利用漏洞進行雙花攻擊，從而修改與披露區塊鏈信息，信息的完整性與隱秘性由此被破壞。最典型的事例是，區塊鏈企業存儲的個人信息因黑客攻擊而被篡改與泄露，損失約1 800萬元[2]。另一方面，服務商時常借助集中收集與傳輸信息的優勢地位，向利用者抬高信息價格從而謀取不當利益，這阻礙了信息的正常流通從而破壞了信息的可用性。

二、中外風險對策之比較分析

為應對前述風險，歐盟通過立法提出了對策。吸取這些對策中的精髓并審視我國現行法的不足，這對于我國完善立法從而維護信息安全、維護主體權益與促進信息開發利用具有積極的借鑒意義。

（一）歐盟風險對策之取精

根據歐盟《通用數據保護條例》第3章“信息主體的權利”，信息主體可行使刪除權、被遺忘權等權利，以防止信息的完整性與保密性被破壞;同時根據該條例第20條，信息主體與利用者可行使可攜帶權，向服務商等信息控制者索取通用化、可讀取和可編輯的信息;同樣根據該條例第6章“獨立監管機構”，歐盟數據委員會等機構應監管服務商對于信息的收集、存儲與傳輸等活動。對于前述組織破壞信息安全的行為，監管機構應協同行業自律組織進行查究。

前述規定在歐盟成員國的立法中也得到了體現。根據德國《聯邦數據保護法》第1編第4節，在公共機關與私人機構運用區塊鏈等大數據技術處理個人信息之前，原則上應經過主體同意;在處理的過程中，機構應當采取必要技術與管理措施來保持信息的真實性、完整性與隱秘性等安全屬性;根據該法第3編第3章第36節，私人機構任意破壞群體信息安全的，除了向主體承擔損害賠償等責任外，還應當向行政部門繳納罰金。與此類似，英國《數據保護法》也對信息處理者設定了維護信息安全的義務。該法第三部分規定，取得了主體授權的機構得以自主利用信息，從而實現信息可用性的安全要求。

通過比較我們發現，在區塊鏈下，歐洲在設計規則時存在如下的趨同性：第一，注重對群體而非個體信息的真實性與保密性的維護。第二，維護利用者的權益，通過實現信息的可用性來便利信息的開發利用。第三，采取行政監管與行業監管并行的機制。

（二）我國現有法律風險之檢視

目前我國關于個人信息保護的法規主要有《民法總則》《網絡安全法》《電子商務法》等。其中，《網絡安全法》是我國網絡安全領域的基礎性法律，構建了我國信息安全網絡治理的基本框架。該法厘清了網絡運營商、網絡服務提供者等主體的責任;在《民法總則》第111條中，立法者明確了自然人的個人信息受到法律保護;在2019年1月頒行的《電子商務法》第二章中，其規定電子商務環境下消費者個人信息不受經營者侵害。還有一些行政法規與行業規章，譬如工業與信息化部的《互聯網用戶個人信息保護規定》和中國廣告協會《互聯網定向廣告個人信息保護聲明》等。在維護信息主體的人格權益、規范信息時代的社會秩序等方面，前述規范的積極意義毋庸置疑。

然而相較歐洲經驗而言，我國法制尚存在以下不足：第一，對區塊鏈下的社會需求回應能力不足。信息資源的開發利用是區塊鏈下重要的需求，可用性則是前述需求得以回應的重要前提。而現行法偏重對個人信息真實性和保密性的保護，忽略了對可用性的滿足，阻礙了區塊鏈下信息的開發與利用。第二，保護措施缺乏有效性。區塊鏈下，服務商能對個人信息進行海量收集，這時常導致不特定多數主體的信息安全被破壞，進而侵害群體權益。我國現行法主要針對個體權益的保護，而欠缺能有效保障群體信息權益的機制。第三，制度的實施手段單一。就現行法而言，我國主要依靠行政與司法等外部手段強制干預。而在區塊鏈下，信息常被分節點地存儲，它們在各自節點內具有一定管理權限。在欠缺行業自律機制的前提下，我國單靠立法這樣的外部手段很難引導機構完善內部管理來應對風險。

三、風險的法律應對機制之具體構造

（一）信息利用者的權益保障機制：回應信息可用的安全需求

區塊鏈下，個人信息可用性的實現可以推動信息產業的發展，也能夠滿足信息主體的服務需求。為回應這一訴求，我國宜借鑒歐洲立法，按照可用性這一信息安全標準設置如下規則，以此體現信息開發利用的價值取向：第一，利用者有權要求服務商對信息進行合理計價，同時針對服務商阻礙信息合理傳輸的行為（如任意抬高信息價格并降低質量）向行政部門投訴或向司法機關起訴。第二，對在區塊鏈中合法獲取的信息，利用者有權加以利用并防止侵害。根據國際標準組織于2014年制定的《公共云下個人信息保護實踐中的安全技術規范》第7點，利用的方式包括對信息進行接收、分析、比對以及向服務商反饋等[3]。為防止服務商與利用者濫用信息優勢地位侵害信息主體的權利，立法者應對利用者的前述權利行使設定如下限制：第一，原則上對于信息的利用應征得信息主體的同意，法律有例外規定的除外。第二，在信息的生命周期中，應采取合理措施以確保信息處于完整和真實狀態。

（二）信息主體權益的強化保護機制：治理群體信息安全風險之公害

為應對區塊鏈下主體人格權益因信息安全風險而面對的挑戰，立法者宜在現行法基礎上增設如下規則：第一，主體有權要求運營商刪除個人信息和傳播痕跡，以保持信息的隱秘狀態。針對區塊鏈不可刪除的特點，立法者宜要求運營商改良新技術，允許用戶刪除個人信息，以此尊重信息主體的被遺忘權[4]。第二，利用者對信息加以利用并獲取利益的，應向主體分配部分收益。個人信息能被收集、存儲與傳輸進而產生經濟效益。按照分配正義的價值尺度，信息生產者理應從中獲取收益。第三，服務商應通過特定途徑（如建立跨區塊鏈信息傳遞機制），確保主體能利用自身信息從而實現信息的可用性，打破信息壁壘。第四，服務商與利用者危害信息安全并侵害主體權益時，后者有權請求侵害人按照實際損失的一定比例支付賠償金。比照我國法院對類似公害案件的司法裁決，賠償金的具體倍數可以按照損害所涉及的地域范圍與受害主體人數等因素來確定，一般為2-5倍。

（三）區塊鏈產業的雙重監管機制：消除安全風險的產業內部誘因

區塊鏈下，個人信息在被服務商集中收集與傳輸的同時，又被利用者分節點存儲與利用。為應對技術革新引發的變局，我國應按照如下思路優化配置監管資源，重構現有監管機制，強化信息安全保障效能。一方面，在行政與司法監管層面，通過創新監管模式，豐富監管手段從而延展監管覆蓋面，提升監管的管控力，保障行政與司法機關對于區塊鏈企業的監督。譬如行政主管機關（如工業與信息化部）負責宏觀調控，立足全局對于區塊鏈產業進行監管，優化區塊鏈產業的發展環境（如將違法企業納入黑名單數據庫）;另一方面，授權行業自律組織以行政規范為指引，發揮內部治理的靈活性，結合行業規律進行微觀治理，克服行政監管的滯后性。

參考文獻：

[1]胡平仁，梁晨.人的倫理價值與人的人格利益 [J].法律科學，2012（4）：19.

[2]搜狐科技.黑客篡改區塊鏈交易數據，短短一周賺取超1800萬元[EB/OL].[2019-05-25]. http：//www.sohu.com/a/232856432_

401710.

[3]Cyber security：protection of personal data online[EB/OL].[2016-06-25].http：//www.publlications parliament.uk/pa/cm

201617/cmselect/cmcumds/148/14802.htm.

[4]李佩麗，徐海霞，馬添軍，穆永恒.可更改區塊鏈技術研究[J].密碼學報，2018（12 ）.

收稿日期：2019-06-13

基金項目：國家社會科學基金項目“大數據時代個人信息盜竊的法律問題與對策研究”（16CFX027）的階段性研究成果

作者簡介：李儀（1981-），男，四川成都人，教授，博士、博士后，從事信息管理學與情報學研究;王棟（1998-），男，江蘇淮安人，助理研究人員，從事信息法學研究。