李仪 王栋
摘 要:随着区块链技术的运用,个人信息被集中地收集与传输、被分散地存储与利用。这在提高了信息效率的同时对信息安全带来破坏,由此群体的信息主体的人格权利被侵害、信息的有效利用也受到阻碍。对此我国应通过立法保护信息主体与利用者权益,同时保护群体信息安全。在制度设计中,立法者应立足于实际,将欧洲的被遗忘权与可携带权等立法成果做语境化的分析借鉴;在制度实施中,执法者与司法者应强化对区块链产业的宏观监管,同时将部分管理权限下放给行业自律组织,为维护信息安全提供机制保障。
关键词:区块链;个人信息;信息安全风险
中图分类号:D920.4 文献标志码:A 文章编号:1002-2589(2020)01-0075-02
区块链下,虚拟网络通过信息流动与现实社会联结在一起,个人信息的保护也早已超过个体安全的范畴,演化成为融合经济、科技等领域的综合性议题。破坏个人信息安全不仅侵害公民个人的合法权益,而且干扰了信息社会的正常秩序。我们应通过多种手段保障个人信息安全,本文试图探究个人信息安全法律保护的具体途径。
一、解析区块链下个人信息安全的风险
(一)个人信息及其安全之诠释
根据欧盟于2016年颁行的《通用数据保护条例》第4条,个人信息是指与特定主体关联从而能够识别主体特征的数据、符号及其组合。个人信息一般包括姓名、年龄、籍贯等。自然法学家普遍认为,个人信息是主体尊严与自由等人格价值的重要载体,此观点在我国《民法总则》第111条中得到采纳[1]。同时在信息科学视野中,信息保持安全状态是维护主体权益与促进信息资源开发利用的重要条件,信息安全又主要包含如下要素:第一,完整和真实性。即信息应该处于完整和真实状态,以确保主体获得正确的社会评价。第二,保密性。即信息应保持秘密状态,未获主体授权不得泄露给其他信息控制者,以此确保主体生活的安宁与自由。第三,可用性。即信息在得到信息主体授权后,得以被谷歌等提供云服务的运营商(以下简称“服务商”)收集后通过存储、传输等方式处理,再传输给公共机关及电子商务企业等机构加以利用,以此实现信息的社会价值。
(二)区块链信息安全风险的解因
根据《中国区块链技术和应用发展白皮书》,区块链是一种去中心化存储、分布式共识、加密算法等信息技术的创新应用。区块链下,利用者能够运用分布式账本,分节点地存储与利用信息,这在提高了信息处理效率的同时,也对信息安全带来风险。一方面,区块链作为新兴技术,安全防护存在薄弱环节,并且对于信息保护机制的设置不合理。恶意节点可以利用漏洞进行双花攻击,从而修改与披露区块链信息,信息的完整性与隐秘性由此被破坏。最典型的事例是,区块链企业存储的个人信息因黑客攻击而被篡改与泄露,损失约1 800万元[2]。另一方面,服务商时常借助集中收集与传输信息的优势地位,向利用者抬高信息价格从而谋取不当利益,这阻碍了信息的正常流通从而破坏了信息的可用性。
二、中外风险对策之比较分析
为应对前述风险,欧盟通过立法提出了对策。吸取这些对策中的精髓并审视我国现行法的不足,这对于我国完善立法从而维护信息安全、維护主体权益与促进信息开发利用具有积极的借鉴意义。
(一)欧盟风险对策之取精
根据欧盟《通用数据保护条例》第3章“信息主体的权利”,信息主体可行使删除权、被遗忘权等权利,以防止信息的完整性与保密性被破坏;同时根据该条例第20条,信息主体与利用者可行使可携带权,向服务商等信息控制者索取通用化、可读取和可编辑的信息;同样根据该条例第6章“独立监管机构”,欧盟数据委员会等机构应监管服务商对于信息的收集、存储与传输等活动。对于前述组织破坏信息安全的行为,监管机构应协同行业自律组织进行查究。
前述规定在欧盟成员国的立法中也得到了体现。根据德国《联邦数据保护法》第1编第4节,在公共机关与私人机构运用区块链等大数据技术处理个人信息之前,原则上应经过主体同意;在处理的过程中,机构应当采取必要技术与管理措施来保持信息的真实性、完整性与隐秘性等安全属性;根据该法第3编第3章第36节,私人机构任意破坏群体信息安全的,除了向主体承担损害赔偿等责任外,还应当向行政部门缴纳罚金。与此类似,英国《数据保护法》也对信息处理者设定了维护信息安全的义务。该法第三部分规定,取得了主体授权的机构得以自主利用信息,从而实现信息可用性的安全要求。
通过比较我们发现,在区块链下,欧洲在设计规则时存在如下的趋同性:第一,注重对群体而非个体信息的真实性与保密性的维护。第二,维护利用者的权益,通过实现信息的可用性来便利信息的开发利用。第三,采取行政监管与行业监管并行的机制。
(二)我国现有法律风险之检视
目前我国关于个人信息保护的法规主要有《民法总则》《网络安全法》《电子商务法》等。其中,《网络安全法》是我国网络安全领域的基础性法律,构建了我国信息安全网络治理的基本框架。该法厘清了网络运营商、网络服务提供者等主体的责任;在《民法总则》第111条中,立法者明确了自然人的个人信息受到法律保护;在2019年1月颁行的《电子商务法》第二章中,其规定电子商务环境下消费者个人信息不受经营者侵害。还有一些行政法规与行业规章,譬如工业与信息化部的《互联网用户个人信息保护规定》和中国广告协会《互联网定向广告个人信息保护声明》等。在维护信息主体的人格权益、规范信息时代的社会秩序等方面,前述规范的积极意义毋庸置疑。
然而相较欧洲经验而言,我国法制尚存在以下不足:第一,对区块链下的社会需求回应能力不足。信息资源的开发利用是区块链下重要的需求,可用性则是前述需求得以回应的重要前提。而现行法偏重对个人信息真实性和保密性的保护,忽略了对可用性的满足,阻碍了区块链下信息的开发与利用。第二,保护措施缺乏有效性。区块链下,服务商能对个人信息进行海量收集,这时常导致不特定多数主体的信息安全被破坏,进而侵害群体权益。我国现行法主要针对个体权益的保护,而欠缺能有效保障群体信息权益的机制。第三,制度的实施手段单一。就现行法而言,我国主要依靠行政与司法等外部手段强制干预。而在区块链下,信息常被分节点地存储,它们在各自节点内具有一定管理权限。在欠缺行业自律机制的前提下,我国单靠立法这样的外部手段很难引导机构完善内部管理来应对风险。
三、风险的法律应对机制之具体构造
(一)信息利用者的权益保障机制:回应信息可用的安全需求
区块链下,个人信息可用性的实现可以推动信息产业的发展,也能够满足信息主体的服务需求。为回应这一诉求,我国宜借鉴欧洲立法,按照可用性这一信息安全标准设置如下规则,以此体现信息开发利用的价值取向:第一,利用者有权要求服务商对信息进行合理计价,同时针对服务商阻碍信息合理传输的行为(如任意抬高信息价格并降低质量)向行政部门投诉或向司法机关起诉。第二,对在区块链中合法获取的信息,利用者有权加以利用并防止侵害。根据国际标准组织于2014年制定的《公共云下个人信息保护实践中的安全技术规范》第7点,利用的方式包括对信息进行接收、分析、比对以及向服务商反馈等[3]。为防止服务商与利用者滥用信息优势地位侵害信息主体的权利,立法者应对利用者的前述权利行使设定如下限制:第一,原则上对于信息的利用应征得信息主体的同意,法律有例外规定的除外。第二,在信息的生命周期中,应采取合理措施以确保信息处于完整和真实状态。
(二)信息主体权益的强化保护机制:治理群体信息安全风险之公害
为应对区块链下主体人格权益因信息安全风险而面对的挑战,立法者宜在现行法基础上增设如下规则:第一,主体有权要求运营商删除个人信息和传播痕迹,以保持信息的隐秘状态。针对区块链不可删除的特点,立法者宜要求运营商改良新技术,允许用户删除个人信息,以此尊重信息主体的被遗忘权[4]。第二,利用者对信息加以利用并获取利益的,应向主体分配部分收益。个人信息能被收集、存储与传输进而产生经济效益。按照分配正义的价值尺度,信息生产者理应从中获取收益。第三,服务商应通过特定途径(如建立跨区块链信息传递机制),确保主体能利用自身信息从而实现信息的可用性,打破信息壁垒。第四,服务商与利用者危害信息安全并侵害主体权益时,后者有权请求侵害人按照实际损失的一定比例支付赔偿金。比照我国法院对类似公害案件的司法裁决,赔偿金的具体倍数可以按照损害所涉及的地域范围与受害主体人数等因素来确定,一般为2-5倍。
(三)区块链产业的双重监管机制:消除安全風险的产业内部诱因
区块链下,个人信息在被服务商集中收集与传输的同时,又被利用者分节点存储与利用。为应对技术革新引发的变局,我国应按照如下思路优化配置监管资源,重构现有监管机制,强化信息安全保障效能。一方面,在行政与司法监管层面,通过创新监管模式,丰富监管手段从而延展监管覆盖面,提升监管的管控力,保障行政与司法机关对于区块链企业的监督。譬如行政主管机关(如工业与信息化部)负责宏观调控,立足全局对于区块链产业进行监管,优化区块链产业的发展环境(如将违法企业纳入黑名单数据库);另一方面,授权行业自律组织以行政规范为指引,发挥内部治理的灵活性,结合行业规律进行微观治理,克服行政监管的滞后性。
参考文献:
[1]胡平仁,梁晨.人的伦理价值与人的人格利益 [J].法律科学,2012(4):19.
[2]搜狐科技.黑客篡改区块链交易数据,短短一周赚取超1800万元[EB/OL].[2019-05-25]. http://www.sohu.com/a/232856432_
401710.
[3]Cyber security:protection of personal data online[EB/OL].[2016-06-25].http://www.publlications parliament.uk/pa/cm
201617/cmselect/cmcumds/148/14802.htm.
[4]李佩丽,徐海霞,马添军,穆永恒.可更改区块链技术研究[J].密码学报,2018(12 ).
收稿日期:2019-06-13
基金项目:国家社会科学基金项目“大数据时代个人信息盗窃的法律问题与对策研究”(16CFX027)的阶段性研究成果
作者简介:李仪(1981-),男,四川成都人,教授,博士、博士后,从事信息管理学与情报学研究;王栋(1998-),男,江苏淮安人,助理研究人员,从事信息法学研究。