区块链中的信息并非我们通常所理解的信息形态,而是一串特定长度的字符串,无法单独用于识别自然人。根据之前我们对匿名化与去标识化的定义可知,若区块链中信息无法用于识别且不能复原,则为匿名化信息,不属于个人信息;若它可与其他信息结合用于识别,则为去标识化信息,属于个人信息。下面,我们对交易信息及公钥是否属于去标识化信息进行判断。
1.交易信息
交易信息是经哈希算法得出的特定长度字符串。要判断交易信息是匿名化信息还是去标识化信息,重要的前提是判断哈希算法属于匿名化技术还是去标识化技术。《通知》3.24注1规定,“去标识化仍建立在个体基础之上,保留了个体颗粒度,采用假名、加密、加盐的哈希函数等技术手段替代对个人
金融信息的标识”。该通知明确将假名、加密、加盐的哈希函数界定为去标识化信息的技术种类。
2014年欧盟29条数据保护工作组在发布关于匿名化技术的意见中,也明确指出哈希算法是一种去标识化技术,而非匿名化技术。原因在于虽然哈希算法具有单向性不能反推,但如果知道输入值的范围,根据哈希值的稳定性(相同的输入值会导致相同的输出值),通过“野蛮算法”尝试所有可能的输入值,依靠哈希算法的高速运算特点,也可推断出特定的输入值。该意见同时认定哈希的其他变种,包括加盐哈希(salted-hash function)、带密钥哈希(keyed-hash function)同样是去标识化技术,而非匿名化技术。
可见,哈希算法为去标识化技术已经取得一定共识,而且实践中也出现了利用大数据技术对区块链中的交易历史信息进行分析并识别用户的做法,印证了哈希算法仅是去标识化技术,而非匿名化技术。故经哈希算法加密的交易信息应为去标识化信息,属于个人信息。
2.公钥
关于这个问题,存在两种不同的观点。一种认为,虽然公钥不能单独用于识别特定自然人,但与其他信息相结合时,是可能识别出特定自然人的。有研究表明,公钥结合IP地址可以识别特定自然人,而用户通常不会隐藏其IP地址。技术实践中,由于利益驱动等原因,对公钥、私钥的破译技术发展势头迅猛,市场上存在大量专业提供破译服务的公司。同时,由于监管日趋严格,为了符合客户调查(Know Your Clients,下称“KYC”)、反洗钱(Anti-Money Laundering,下称“AML”)等监管要求,会要求用户在链上公布更多必要信息,这也让破译变得更为容易,如今执法机构在办案过程中甚至也经常使用破译技术查找线索、追踪犯罪嫌疑人等。而另一种观点则认为,即使存在破译技术并存在破译的现实可能,但通常来讲,破译的难度和成本都很高,且往往破译的结果仅为特定第三方知晓,并未在公共范围内造成身份信息可识别。
对于这个问题,欧盟法院在Patrick Breyer v Germany案中对动态IP地址是否属于个人信息的认定有一定参考意义,该案中,法院认为即使动态IP信息仅能被第三方(如网络服务提供商)利用其结合掌握的其他信息识别特定自然人,仍应被认定为个人信息。该案虽然并不直接涉及公钥,但动态IP地址与公钥非常相似,二者同具有信息交换性质,动态IP地址被网络服务提供商用于识别身份,而公钥也会被相关机构按照KYC及AML的要求用于识别身份,欧盟法院认定动态IP信息属于个人信息,对于判断公钥是否属于个人信息有重要参考作用。
从以上个人信息的界定来看,我国个人信息保护法等法律法规仅做了概括性、原则性规定,并不清晰,甚至容易导致歧义。如个人信息保护法第51条规定个人信息处理者“采取相应的加密、去标识化等安全技术措施”,此处将加密与去标识化并列使用,容易理解为去标识化并非一种加密技术,若如此,则经哈希算法得出的交易信息及采用非对称加密技术的公钥就并非去标识化信息,而为匿名化信息,不属于个人信息,这显然与我们前述分析的结论不同,也不利于将
区块链技术纳入现有个人信息保护的法律框架中规制。
鉴于区块链中信息的特殊性,法律需要考虑并理解技术的特点及差异,并以此为基础制定规则,设计不同信息的保护模式。如前文提到的欧盟29条数据保护工作组2014年发布的关于匿名化技术的意见,就对不同技术做出了区分并加以举例,在明确哈希及其变种算法是一种去标识化技术,而非匿名化技术的同时,亦明确“添加噪音”(noise addition)是一种可被接受的匿名化技术等。我国也可借鉴上述做法,结合技术发展现状,根据实际情况界定不同技术属性及法律意义,既能保护、促进创新,又有效规制滥用行为,这对于更好地解决区块链技术中的个人信息保护问题具有重要意义。
多样态“个人信息处理者”
个人信息保护法第73条第1款规定,个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。在区块链中认定个人信息处理者存在较大困难,缘于区块链中各节点地位对等,承担的功能相同,并且按照共识算法平等参与决策过程。这与中心化技术存在本质不同,这样的技术结构也导致区块链中并不存在或者很难找到与中心化技术中心节点类似的个人信息处理者。中心化技术中,中心节点往往就是个人信息处理者,所有信息的存储与传输都要经过该节点,用户贡献数据但往往并不参与决策,或者仅参与与其相关的部分决策。
本部分我们将依据第73条中“自主决定处理目的、处理方式”的实质性要求,以是否具有实际控制权作为标准,对区块链结构中存在的不同主体进行具体分析,为区块链中个人信息处理者的认定提供参考。
版权申明:本内容来自于互联网,属第三方汇集推荐平台。本文的版权归原作者所有,文章言论不代表链门户的观点,链门户不承担任何法律责任。如有侵权请联系QQ:3341927519进行反馈。
