区块链应用中的个人信息处理者确定问题研究
我国《个人信息保护法》第五章明确了个人信息处理者的义务,但敦促个人信息处理者履行相关义务首先应当对个人信息处理者进行识别和明确。然而,对于部分区块链应用,由于其经营模式特殊性,认定该业务中的个人信息处理者存在认定上的困难。因此,本文在此对该问题进行明确、分析和研究,供参考。
一、我国依靠个人信息处理者进行个人信息保护
我国《个人信息保护法》从路径上依靠个人信息处理者履行相关义务来保护个人信息,从方法上对个人信息处理者作出了界定,认为“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”根据概念界定,处理目的和处理方式是定义个人信息处理者的关键。其中,处理目的说明了个人信息处理为何发生,即为什么处理者要处理个人信息。处理方式则说明了个人信息处理如何发生,即处理者将如何处理个人信息。根据概念定义,决定了个人信息处理目的和处理方式的组织或个人就是我国法律中的个人信息处理者。在实践中,我国对个人信息处理者的认定非常广泛,由于个人信息处理统摄了围绕着个人信息开展的收集、存储、使用、加工、传输、提供、公开等一系列行为,个人信息处理者的范围事实上也涵盖了实施这些个人信息处理行为的全部主体。
认定个人信息处理者具有重要的法律意义。一方面,《个人信息保护法》规定了个人信息处理者处理个人信息的相关要求,个人信息处理者处理个人信息前,必须以显著方式、清晰易懂的语言真实、准确、完整地向个人告知法律规定的事项,除非法律、行政法规规定应当保密或者不需要告知,或者告知将妨碍国家机关履行法定职责的除外。[1]另一方面,《个人信息保护法》对个人信息处理者的义务作出了集中、详细的规定,构建了完整的义务体系。这些义务包括:个人信息处理者采取措施确保个人信息处理活动合法并保护个人信息安全的义务;按照规定指定个人信息保护负责人的义务;定期进行合规审计的义务;对于高风险个人信息处理活动进行个人信息保护影响评估并对处理情况进行记录的义务;在发生或可能个人信息泄露等安全事件时立即采取补救措施并通知监管机构和个人的义务等。[2]
二、区块链应用中个人信息处理者认定具有特殊性
区块链应用存在多种类型,导致认定个人信息处理者存在类型上的差别。一是公有链。公有链是去中心化程度最高的区块链,由链上所有参与者共享控制权,不受第三方机构的控制,世界上所有的人都可以读取在链上的数据记录、参与交易以及竞争新区块的记账权等。即使是程序开发者也无权干涉用户,各个参与者(即节点)可以自由加入和退出网络,并按照意愿进行相关操作。其特点为:所有节点共享,完全开放,任何个人或机构都能匿名加入,链上的数据全局可见,通常作为基础性服务。二是私有链。私有区块链则完全相反,该网络的写入权限由某个组织或者机构全权控制,数据读取权限受组织规定,要么对外开放、要么具有一定程度的访问限制。由于参与节点具有严格限制且数量少,与公有链相比,私有链达成共识的时间相对较短、交易速度更快、效率更高、成本更低。可以将其理解为一个弱中心化或者多中心化的系统。不过这种类型的区块链更适合于特定机构内部使用,比如Linux基金会、农行涉农互联网电商融资e贷链、浙商银行应收款链平台等。其特点为:企业内部使用,主要权限集中在运营组织者手中。三是联盟链。联盟链则是介于公有链以及私有链之间,可实现“部分去中心化”。链上各个节点通常有与之相对应的实体机构或者组织,参与者通过授权加入区块链并组成利益相关联盟,共同维护联盟链运行。从某种程度上来说,联盟链也属于私有链的范畴,只是私有化程度有所不同而已。因此,其同样具有成本较低、效率较高的特点,适用于不同实体间的交易、结算等B2B交易。例如,Hyperledger(超级账本)、企业以太坊联盟、运营商区块链研究组CBSG、微软Coco等。其特点为:私有链的联盟,对特定组织开放,链上的信息授权可见,具有很强隐私保护机制,侧重商务,性能已经达到实用阶段。这种区块链业务类型上的差别导致部分区块链场景存在大量个人信息,但却没有明确的处理个人信息的主体。区块链应用中涉及大量的个人信息的收集、存储、使用、加工、传输、提供等活动,确定区块链应用中的个人信息处理者对规范区块链应用发展具有重要意义。目前,我国法律尚未对各类型区块链应用的个人信息处理者进行明确规定。
三、域外对于区块链应用个人信息处理者的认定方式
欧盟立法没有采用数据处理者概念,而是对数据控制者和数据处理者进行了区分。1995年10月24日《欧洲议会以及欧盟理事会关于对于个人数据处理有关的个人进行保护以及数据自由流动的指令(95/46号指令)》第2条第4款、第5款分别规定:控制者(controller)是指单独或与他人联合决定个人数据处理的目的与方式的自然人、法人、公共机构、代理机构或者其他任何实体;如果数据处理的目的和方式由成员国或共同体的法律或法规决定,则控制者或其资格的具体标准由成员国或共同体的法律决定。处理者(processor)是代表控制者对个人数据进行处理的自然人、法人、公共机构、代理机构或者其他任何实体。上述区分的法律意义包括三个方面。一是控制者必须承担95/46号指令所规定的大部分的数据保护义务;二是在大多数情况下,是数据的控制者而非处理者承担违反数据保护的责任;三是数据处理者的工作非常有限,实际上只能按照控制者的指示来处理个人数据。
在实践中,欧盟对于区块链应用中的获取者、参与者、挖矿者进行了区分,明确了各自的职责。一是获取者是有权阅读和获得一份区块链副本的人。二是参与者是有权在区块链上书写的人。书写意味着发起一项交易,参与者将之提交以作验效。三是挖矿者是能够验证一项交易的人,通过适用区块链协议的规则创立区块,以便后者能被区块链社群所接受。对区块链框架下的数据处理负责人,欧盟认为,区块链中的“参与者”可被视为GDPR所要规范的数据处理负责人,因为“参与者”有权在区块链上进行交易,并决定将相关数据交由“挖矿者”核实。其不仅决定了最终目的(将交易数据提交以待核实),而且决定了实现此数据处理的手段(比如采用何种数据格式诉诸区块链,等等),符合GDPR第4条第7款对处理负责人“为何”及“如何”处理个人数据的要求,而受到GDPR相关条款的规束。而对于区块链中的“挖矿者”或“核实者”,则不被视为数据处理负责人,因为其仅限于将“参与者”提交的交易予以核实,但不干预这些交易的目标,所以并不决定数据处理之目的和运用之手段。[3]
四、认定区块链应用中的个人信息处理者
为规范区块链应用发展,有必要对区块链应用中的个人信息处理者进行明确,督促其履行相关义务。笔者认为,针对区块链应用个人信息处理者模糊问题,可借鉴欧盟关于区块链业务中的个人信息处理义务承担方法,进行分类型解释认定个人信息处理者。一是可将私有链业务中将业务经营者认定为个人信息处理者。因为私有链网络的写入权限由某个组织或者机构全权控制,数据读取权限受组织规定,主要权限集中在运营组织者手中。私有链业务经营者符合个保法规定自主决定处理目的、处理方式的组织或个人的条件,因此应当被认定为个人信息处理者。二是可将联盟链业务中将联盟整体认定为个人信息处理者。联盟链上各个节点通常有与之相对应的实体机构或者组织;参与者通过授权加入网络并组成利益相关联盟,共同维护区块链运行。从某种程度上来说,联盟链也属于私有链的范畴,只是私有化程度不同,由联盟整体控制。联盟链业务中的联盟符合个保法规定自主决定处理目的、处理方式的组织或个人的条件,因此应当被认定为个人信息处理者。三是可认为公有链业务中无个人信息处理者,但公有链业务需经国家机关审批后才能开展个人信息相关业务。公有链中的参与者虽然在定义上符合个保法规定自主决定处理目的、处理方式的个人的条件,但由于其自主决定的范围仅限在自己的个人信息范围内,个人难以向自己请求个保法上规定的权利,在实质不应当被认定为个人信息处理者。因为公有链上涉及大量个人信息且采集个人信息行为具有不可撤销性,而通过私权救济又呈现出无效的状态,因此有必要启动公权力管制,由国家对公有链上的个人信息处理行为进行规范。
除此之外,由于在区块链上存储个人信息具有永久保留的属性,个人难以向区块链应用个人信息处理者撤回同意,也难以删除和修改,带来的个人信息风险是永久性的,对个人具有超过一般个人信息处理行为的重要性。因此建议通过立法规定个人信息上区块链时应当明示提醒个人信息主体获得个人信息主体关于个人信息上链行为的单独同意,以减缓区块链业务中的个人信息处理风险。
来源:袁纪辉 信通院互联网法律研究中心研究员
[1]《中华人民共和国个人信息保护法》第十七条。
[2]详见《中华人民共和国个人信息保护法》第五章。
[3]https://mp.weixin.qq.com/s/ylayxpii9WubVCB95eling