联盟分析-政策法规 | ​区块链技术对个人信息权的影响与保护对策研究

|合规联盟原创出品 |

最近，国家发改委继续推出多部指导意见，推动区块链技术在各个领域的深入应用，加快我国经济发展。区块链技术基于其自身的去中心化、不可篡改等特性，保证了数据的真实性，也解决了信息孤岛的问题。

但也会产生信息安全的法律问题。区块链技术在发展的同时给个人信息安全带来了挑战。本文结合区块链技术的特征，先对我国个人信息权的法律规制现状概括总结，之后对区块链技术给个人信息权带来的影响分析，最后对个人信息权保护提出对策，以求促进区块链技术行业的良性发展。

一、我国个人信息权的法律规制现状

目前我国有关个人信息权的法律规范主要规定在《民法典》与《网络安全法》中。

《民法典》第1034条 

自然人的个人信息受法律保护。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

《民法典》第1035条

处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

(一)征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

(二)公开处理信息的规则；

(三)明示处理信息的目的、方式和范围；

(四)不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

《网络安全法》第76条 第五项

个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。

我国鉴定是否为个人信息的标准与日本《个人信息保护相关法》中几近一致。如果某个信息具备特定识别性与比照性就是个人信息，应当受到我国相关法律保护。

特定识别性是指，通过某一信息的具体内容可以指向具体特定的人物；比照性是指某一信息能够单独或者与其他信息相比照且较为容易地识别，并指向某个特定的人[1]。认定区块链中写入区块上的数据是否属于个人信息，主要看该数据是否具有特定识别性与比照性。

根据《民法典》第1035条，可知区块链技术在应用过程中与权利人的个人信息更正权、被遗忘权等四项权利的影响较大。

二、区块链技术对个人信息权的影响

区块链技术是按照时间排序将数据区块以链状方式组合形成的特定数据结构， 并以密码学方式保证其不可篡改和不可伪造的去中心化、去信任的分布式共享总账系统[2]。

其具备去中心化、不可篡改性、开放性、可追溯性、匿名性等传统互联网技术不可比拟的优越性。区块链技术在具体领域的应用过程中，当涉及到个人信息的使用时，会对个人信息更正权、被遗忘权、个人信息控制权及同意权产生影响。

1.对个人信息更正权与遗忘权的影响

《个人信息保护（草案）》中个人信息更正权是指当信息权利人认为信息存储机构所记载的个人信息存在不准确、不完整的情形时，可以请求存储机构予以更正的权利。被遗忘权是指当出现约定或法定事由时，信息主有权要求信息管理方销毁信息，其他机构及个人不得援引或使用[3]。

比如，区块链技术应用到个人征信系统中时，政府部门需要整合各个部门、领域的数据信息，建立完备的社会信用体系，往往会建立联盟链，实现各个主管机关的数据共享。但在数据共享的过程中，部分数据在上链之前本身不具有真实性，导致数据在共享的过程中发生错误。基于区块链技术的不可篡改性，一般情况下，若想修改区块链上的个人信息，需要耗费全网51%以上的算力与较多的电力资源成本才能进行，不具有可行性。

2.对个人信息控制权及同意权的影响

依据上述《民法典》第1035条的规定，个人信息控制权是指信息主体对个人信息享有占有、使用、收益及处分的权限，不受任何其他限制；个人信息同意权是指当他人收集、处理权利主体个人信息时，须经权利主体同意。

区块链技术利用非对称加密技术将个人信息保存在公钥中，私钥由数据使用者保有。多数人将私钥依然保存在手机等互联网端口，私钥容易丢失，并且一旦丢失无法找回，使得权利人对个人信息的控制权受到损害。基于区块链技术的去中心化且匿名的特点，发生个人信息泄露时，无法确认数据使用者的真实身份，使权利人失去对个人信息的控制权，也使权利人的同意权遭到侵害。

三、区块链时代个人信息保护对策

区块链技术在创新应用的同时，对个人信息更正权、被遗忘权、个人信息控制权及同意权产生影响，为了最大程度的实现人格利益与商业利益的平衡，笔者提出如下对策，促进区块链产业良性发展。

1.灵活运用智能合约，保护个人信息更正权与使用权

在智能合约中设置一定的识别条款。比如，增加隐私信息与敏感信息的识别条款，在触发智能合约执行条件时，个人信息中的隐私信息与敏感信息将不予上链，原路退回到政府部门或者监管机构中（作为超级节点）。在智能合约中设置个人信息的保存使用期限，链上个人信息经过一定使用期间，将会触发智能合约执行条件，自动删除对应的个人信息。保证了个人信息更正权与被遗忘权的实现。

2.完善私钥管理，保护个人信息控制权与同意权

对于实践中私钥容易丢失、被窃取的情形，可以将私钥实体化，提高私钥权利人管理私钥的能力。也有助于权利人更好的对个人信息掌控。其次，为数据使用者增加身份认证的程序，利用区块链分布式账本记录身份认证信息并生成用户证书，将用户证书与公钥相对应，防止个人信息被他人恶意使用[4]，保证权利人对个人信息的控制权与同意权的享有。

3.完善监管措施，保护个人信息

目前，各个领域较多使用联盟链的形式创新应用。监管者、行业自律组织等中心化机构部署为超级节点，由监管机构与行业自律组织等共同对区块链内部运行全程监控、制定统一合理的区块链技术标准。同时，可以借鉴英美日等三国对于区块链平台及服务提供商的监管举措。

区块链平台及服务提供商应当积极履行履行忠实、勤勉义务；要求区块链平台和服务提供商等必须履行备案，便于追责与调用信息[5]；必要时，将区块链平台及服务提供商纳入“沙盒监管”范围，进行项目试运行。

References

[1] 陈奇伟,聂琳峰.技术+法律：区块链时代个人信息权的法律保护[J].江西社会科学,2020(06):166-175.
[2] 同[1].
[3] 同[1].
[4] 陈丽燕,芮廷先,吕光金.基于区块链智能合约的个人征信隐私保护方案[J].计算机工程，2020（07）：30-34.
[5] 罗勇.特定识别与容易比照: 区块链背景下的个人信息法律界定[J].学习与探索,2020(03):59-65.

全球区块链合规联盟

“设立区块链行业标准，加强行业自律，共同维护良好的市场秩序和行业环境，为行业健康发展提供理论指导，推动行业健康可持续发展”。

“设立区块链行业标准，加强行业自律，共同维护良好的市场秩序和行业环境，为行业健康发展提供理论指导，推动行业健康可持续发展”。