區塊鏈應用中的個人信息處理者確定問題研究
我國《個人信息保護法》第五章明確了個人信息處理者的義務,但敦促個人信息處理者履行相關義務首先應當對個人信息處理者進行識別和明確。然而,對于部分區塊鏈應用,由于其經營模式特殊性,認定該業務中的個人信息處理者存在認定上的困難。因此,本文在此對該問題進行明確、分析和研究,供參考。
一、我國依靠個人信息處理者進行個人信息保護
我國《個人信息保護法》從路徑上依靠個人信息處理者履行相關義務來保護個人信息,從方法上對個人信息處理者作出了界定,認為“個人信息處理者,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。”根據概念界定,處理目的和處理方式是定義個人信息處理者的關鍵。其中,處理目的說明了個人信息處理為何發生,即為什么處理者要處理個人信息。處理方式則說明了個人信息處理如何發生,即處理者將如何處理個人信息。根據概念定義,決定了個人信息處理目的和處理方式的組織或個人就是我國法律中的個人信息處理者。在實踐中,我國對個人信息處理者的認定非常廣泛,由于個人信息處理統攝了圍繞著個人信息開展的收集、存儲、使用、加工、傳輸、提供、公開等一系列行為,個人信息處理者的范圍事實上也涵蓋了實施這些個人信息處理行為的全部主體。
認定個人信息處理者具有重要的法律意義。一方面,《個人信息保護法》規定了個人信息處理者處理個人信息的相關要求,個人信息處理者處理個人信息前,必須以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知法律規定的事項,除非法律、行政法規規定應當保密或者不需要告知,或者告知將妨礙國家機關履行法定職責的除外。另一方面,《個人信息保護法》對個人信息處理者的義務作出了集中、詳細的規定,構建了完整的義務體系。這些義務包括:個人信息處理者采取措施確保個人信息處理活動合法并保護個人信息安全的義務;按照規定指定個人信息保護負責人的義務;定期進行合規審計的義務;對于高風險個人信息處理活動進行個人信息保護影響評估并對處理情況進行記錄的義務;在發生或可能個人信息泄露等安全事件時立即采取補救措施并通知監管機構和個人的義務等。
二、區塊鏈應用中個人信息處理者認定具有特殊性
區塊鏈應用存在多種類型,導致認定個人信息處理者存在類型上的差別。一是公有鏈。公有鏈是去中心化程度最高的區塊鏈,由鏈上所有參與者共享控制權,不受第三方機構的控制,世界上所有的人都可以讀取在鏈上的數據記錄、參與交易以及競爭新區塊的記賬權等。即使是程序開發者也無權干涉用戶,各個參與者(即節點)可以自由加入和退出網絡,并按照意愿進行相關操作。其特點為:所有節點共享,完全開放,任何個人或機構都能匿名加入,鏈上的數據全局可見,通常作為基礎性服務。二是私有鏈。私有區塊鏈則完全相反,該網絡的寫入權限由某個組織或者機構全權控制,數據讀取權限受組織規定,要么對外開放、要么具有一定程度的訪問限制。由于參與節點具有嚴格限制且數量少,與公有鏈相比,私有鏈達成共識的時間相對較短、交易速度更快、效率更高、成本更低。可以將其理解為一個弱中心化或者多中心化的系統。不過這種類型的區塊鏈更適合于特定機構內部使用,比如Linux基金會、農行涉農互聯網電商融資e貸鏈、浙商銀行應收款鏈平臺等。其特點為:企業內部使用,主要權限集中在運營組織者手中。三是聯盟鏈。聯盟鏈則是介于公有鏈以及私有鏈之間,可實現“部分去中心化”。鏈上各個節點通常有與之相對應的實體機構或者組織,參與者通過授權加入區塊鏈并組成利益相關聯盟,共同維護聯盟鏈運行。從某種程度上來說,聯盟鏈也屬于私有鏈的范疇,只是私有化程度有所不同而已。因此,其同樣具有成本較低、效率較高的特點,適用于不同實體間的交易、結算等B2B交易。例如,Hyperledger(超級賬本)、企業以太坊聯盟、運營商區塊鏈研究組CBSG、微軟Coco等。其特點為:私有鏈的聯盟,對特定組織開放,鏈上的信息授權可見,具有很強隱私保護機制,側重商務,性能已經達到實用階段。這種區塊鏈業務類型上的差別導致部分區塊鏈場景存在大量個人信息,但卻沒有明確的處理個人信息的主體。區塊鏈應用中涉及大量的個人信息的收集、存儲、使用、加工、傳輸、提供等活動,確定區塊鏈應用中的個人信息處理者對規范區塊鏈應用發展具有重要意義。目前,我國法律尚未對各類型區塊鏈應用的個人信息處理者進行明確規定。
三、域外對于區塊鏈應用個人信息處理者的認定方式
歐盟立法沒有采用數據處理者概念,而是對數據控制者和數據處理者進行了區分。1995年10月24日《歐洲議會以及歐盟理事會關于對于個人數據處理有關的個人進行保護以及數據自由流動的指令(95/46號指令)》第2條第4款、第5款分別規定:控制者(controller)是指單獨或與他人聯合決定個人數據處理的目的與方式的自然人、法人、公共機構、代理機構或者其他任何實體;如果數據處理的目的和方式由成員國或共同體的法律或法規決定,則控制者或其資格的具體標準由成員國或共同體的法律決定。處理者(processor)是代表控制者對個人數據進行處理的自然人、法人、公共機構、代理機構或者其他任何實體。上述區分的法律意義包括三個方面。一是控制者必須承擔95/46號指令所規定的大部分的數據保護義務;二是在大多數情況下,是數據的控制者而非處理者承擔違反數據保護的責任;三是數據處理者的工作非常有限,實際上只能按照控制者的指示來處理個人數據。
在實踐中,歐盟對于區塊鏈應用中的獲取者、參與者、挖礦者進行了區分,明確了各自的職責。一是獲取者是有權閱讀和獲得一份區塊鏈副本的人。二是參與者是有權在區塊鏈上書寫的人。書寫意味著發起一項交易,參與者將之提交以作驗效。三是挖礦者是能夠驗證一項交易的人,通過適用區塊鏈協議的規則創立區塊,以便后者能被區塊鏈社群所接受。對區塊鏈框架下的數據處理負責人,歐盟認為,區塊鏈中的“參與者”可被視為GDPR所要規范的數據處理負責人,因為“參與者”有權在區塊鏈上進行交易,并決定將相關數據交由“挖礦者”核實。其不僅決定了最終目的(將交易數據提交以待核實),而且決定了實現此數據處理的手段(比如采用何種數據格式訴諸區塊鏈,等等),符合GDPR第4條第7款對處理負責人“為何”及“如何”處理個人數據的要求,而受到GDPR相關條款的規束。而對于區塊鏈中的“挖礦者”或“核實者”,則不被視為數據處理負責人,因為其僅限于將“參與者”提交的交易予以核實,但不干預這些交易的目標,所以并不決定數據處理之目的和運用之手段。
四、認定區塊鏈應用中的個人信息處理者
為規范區塊鏈應用發展,有必要對區塊鏈應用中的個人信息處理者進行明確,督促其履行相關義務。筆者認為,針對區塊鏈應用個人信息處理者模糊問題,可借鑒歐盟關于區塊鏈業務中的個人信息處理義務承擔方法,進行分類型解釋認定個人信息處理者。一是可將私有鏈業務中將業務經營者認定為個人信息處理者。因為私有鏈網絡的寫入權限由某個組織或者機構全權控制,數據讀取權限受組織規定,主要權限集中在運營組織者手中。私有鏈業務經營者符合個保法規定自主決定處理目的、處理方式的組織或個人的條件,因此應當被認定為個人信息處理者。二是可將聯盟鏈業務中將聯盟整體認定為個人信息處理者。聯盟鏈上各個節點通常有與之相對應的實體機構或者組織;參與者通過授權加入網絡并組成利益相關聯盟,共同維護區塊鏈運行。從某種程度上來說,聯盟鏈也屬于私有鏈的范疇,只是私有化程度不同,由聯盟整體控制。聯盟鏈業務中的聯盟符合個保法規定自主決定處理目的、處理方式的組織或個人的條件,因此應當被認定為個人信息處理者。三是可認為公有鏈業務中無個人信息處理者,但公有鏈業務需經國家機關審批后才能開展個人信息相關業務。公有鏈中的參與者雖然在定義上符合個保法規定自主決定處理目的、處理方式的個人的條件,但由于其自主決定的范圍僅限在自己的個人信息范圍內,個人難以向自己請求個保法上規定的權利,在實質不應當被認定為個人信息處理者。因為公有鏈上涉及大量個人信息且采集個人信息行為具有不可撤銷性,而通過私權救濟又呈現出無效的狀態,因此有必要啟動公權力管制,由國家對公有鏈上的個人信息處理行為進行規范。
除此之外,由于在區塊鏈上存儲個人信息具有永久保留的屬性,個人難以向區塊鏈應用個人信息處理者撤回同意,也難以刪除和修改,帶來的個人信息風險是永久性的,對個人具有超過一般個人信息處理行為的重要性。因此建議通過立法規定個人信息上區塊鏈時應當明示提醒個人信息主體獲得個人信息主體關于個人信息上鏈行為的單獨同意,以減緩區塊鏈業務中的個人信息處理風險。
