□ 文 吴基祥
互联网技术的创新给人类生活方式带来巨大变革。互联网技术在给人们生活带来便利的同时,也给用户个人信息带来了泄漏、被利用的潜在威胁。由于区块链技术具有不可篡改性,使用非对称加密技术,且能够对侵权行为进行溯源抓取记录,具有高度的信任背书,从而给网民个人信息带来新的保护方式。目前,区块链技术已广泛应用在数字金融、物联网、版权、医疗服务等领域,相较于以往的互联网个人信息安全保护机制,区块链技术不仅降低了个人信息泄漏的风险,同时也给现阶段互联网治理提供了一种新型可靠且实用的技术支持。
目前,学术界和产业界对区块链技术在个人信息保护中的发展前景给予厚望。学者张倩在《建高校学生档案区块链征信管理平台的探究》一文中分析指出,区块链技术在高校学生档案中应用,能够防止学生档案信息泄漏,保证学历信息的真实性,且能够为学生提供便捷和可靠的信息认证服务。王志诚教授在《互联网时代个人征信体系联盟区块链模式分析》一文中认为,区块链技术能够有助于互联网征信体系的建立,实现征信数据的有效快速分析运用。在产业界,京东全球购利用区块链技术,记录商品从生产到交易再到配送一系列环节的信息,保障商品的信息真实可靠,同时也对用户个人物流信息提供安全保护伞。人民网、微博等媒体,也引入区块链技术,用于保护作者的版权信息。
现阶段互联网中的个人信息面临着多方面的威胁,平台未经许可擅自收集、泄露用户个人信息;由于平台掌握技术优势,公民个人无法获得相关证据材料,因而在司法实践中存在举证能力不足等困境。目前,区块链技术尚处于起步阶段,技术还未成熟,相关法律制度也处于缺位状态。因此,区块链技术在对个人信息保护带来一些优势的同时,还面临哪些不足之处,以及如何对不足之处进行改进,本文将逐一进行探究。
区块链是由日本学者中本聪提出,用于电子现金交易的一种分布式账本和数据库。随着人们对区块链技术日益了解,其具有的各种技术优势也被挖掘,如区块链分布式账本中的去中心化、不可篡改性、溯源追踪、全痕记录等,且逐渐被推广应用于金融、教育、物联网等领域。
所谓去中心化,是与中心化概念相对。在传统的互联网生态中,用户使用的网络平台都是建立在某个公司所创建的软件技术服务基础之上,因而用户个人信息轻易地就会被平台所掌控。但是在去中心化的技术环境下,原本扮演着中心化角色的平台权力,被分散化,用户之间即可进行点对点的网络活动。用户对个人信息的主权利也重新得到技术承认和巩固,平台对用户个人信息的获取和收集使用行为,在区块链中也将会全痕记录。
以领主科技研发的OFID系统为例,OFID系统运用区块链技术,结合区块链所具备的各种优势条件,为用户个人信息提供了一个更为安全、全面的网络空间。首先,OFID系统采用实名制分布式账户系统。实名制分布式账户系统并不是一个简单的数据库系统,该系统充分考虑到了用户的隐私保护。在区块链中,用户的个人信息和相关数据由公钥和私钥一组非对称密码构成,平台只可显示用户的公钥地址,其他任何个人信息都无法被他人获取。除非获得授权,经过用户本人同意后,方可在账户系统中查询。同时,在区块链保护系统中,用户的每一份数据都被会形成一个独立的区块,只有当每一个注册管理节点均满足可信计算标准,才能实现远程验证。
其次,OFID系统实行实名监管。在该系统中,用户若想使用该平台进行相关网络活动,必须经过实名登记审核,否则无法进入区块链系统中。实名认证后,用户还可要求对相关的交易进行监管,这样一来,在区块链中的每个验证节点的交易都会在监管下进行,从而确保交易的真实合法性。即使发生相关侵权行为,区块链技术的全痕记录和不可篡改性,也能够追溯抓取侵权行为人。另外,OFID系统为注册用户提供个人专属身份识别码。OFID身份码利用区块链技术赋予每个节点哈希值的功能,自动分配给用户一串全球唯一的数字序列,相当于赋予用户一张“电子DNA”。并且OFID身份码能够将数字信息与用户的个人真实身份相分离,进而避免黑客、暗网组织通过网络攻击来获取用户真实个人信息。
在区块链技术下,用户的个人信息被存储在区块链节点中,即使他人想篡改窃取,难度也是极大,需要以修改全世界大部分接入互联网的设备为前提。个人信息通过节点的存储,结合区块链技术不可篡改的可信度,用户即可通过区块链节点的认证,实现对个人信息的保护,而无需再通过第三方来证明个人信息的真实性,也不用担心相关信息被窃取篡改,保障用户对个人信息拥有绝对主权利。
区块链技术的出现,为打破司法实践中的困境提供了发生条件,使得个人信息保护的举证维权胜诉率大幅提升。
首先,区块链证据的效力已得到法律认可。2018年6月,杭州互联网法院在审理一件版权纠纷案件时,原告通过第三方鉴定平台,使用区块链技术对被告的侵权行为进行抓取,并且形成的区块链证据得到了法院的认可,成为原告胜诉的重要因素。该案件是国内第一起使用区块链技术举证维权并胜诉的案例,为我国的司法实践提供了借鉴经验。同年9月,最高人民法院发布《关于互联网法院审理案件若干问题的规定》,其中第十一条提到,当事人提交的电子数据,通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证,能够证明其真实性的,互联网法院应当确认。这也是我国首次以司法解释形式,对使用区块链技术电子存证法律效力的认可。
其次,区块链技术在个人信息保护中,区块链技术结合爬虫、大数据等技术,能够对侵权行为进行抓取分析和识别。比如用户在原本区块链平台中上传发布个人简历或者作品文件,一旦他人非法盗取使用用户的相关信息文件,区块链技术能够对信息文件的使用痕迹进行记录,对盗用的文件进行哈希值分析,确定是否构成侵权。同时,结合爬虫和大数据分析,能够对用户由于被侵权而造成的损失进行动态分析,确定侵权人的侵权赔偿额,使得侵权行为在区块链技术面前无藏身之处。即使是匿名侵权者,用户在司法举证维权之时,也能够较为容易地提供相关侵权的全部证据,交由法院鉴定,而无需再请求平台公开披露。
技术具有中立性,即在使用技术的过程中,对个人信息进行保护的同时,也存在技术被非法利用的情况。区块链技术在个人信息保护的应用中,除了拥有不可篡改等技术优势和法律效力之外,还存在一些技术缺陷与法律制度的不足。
目前区块链技术还处于起步发展阶段,面临的风险和挑战也是一大安全问题。首先,区块链作为一种新兴复杂的网络技术,研究开发需要付诸大量的人力物力和财力,而目前区块链技术在人才、技术方面仍较短缺,且研发费用高昂,从而使得区块链技术在推广普及应用方面,往往也会受到价格因素的限制。其次,区块链技术所具有的不可篡改性优势,也不是绝对性的。虽然区块链技术降低了用户个人信息被篡改窃取的风险,但是也面临着黑客控制51%节点潜在威胁。黑客想要篡改区块链中的数据信息,必须通过控制区块链中绝大多数的节点,即控制超过51%的区块链节点,就可重改区块链分布式账本数据。由于网络是自由开放的,因此从理论上来说,区块链无法阻止黑客利用拥有足够多计算资源的节点进行不法操作。
此外,共识机制是区块链技术的重要组成部分,处于区块链技术架构的较底层。区块链系统中的各个节点能够在没有第三方信用机构存在的情况下,记录并认可某一行为,原因在于各节点自发地遵守一套事前设定好的规则。通过规则运行,可以直接判断行为记录的真实性,并将判断结果为真的记录记入区块链之中。但是将区块链技术应用于个人信息的保护治理中,并不能够完全取代传统的治理模式,如果用户恶意上传虚假信息,或者冒用他人的身份进行注册认证使用,区块链中的共识机制并不能够发挥其应有的作用。因此,完全寄托于区块链技术来实现个人信息的保护,也带有理想化的色彩,如果在一个区块链节点中,个人信息都是虚假伪造的,那区块链所塑造的信任机制也将不复存在。而建立在不可靠的区块链节点基础之上的网络活动,如线上交易、资源存储等,都将受到很大程度的威胁。
法律具有滞后性,因而导致目前区块链的法律法规和政策制度还处于摸索阶段。通过搜索目前关于区块链技术的法律法规政策文件发现,由于区块链技术尚处于起步发展阶段,很多规定还未能达到法律规范的程度,从而呈现出法律规范空缺的现象。首先,在“基本法”层面,刑法、民法都未有明确关于区块链技术的规范,但作为基本法,其作用在于能够涵盖区块链所涉及到的一些法律活动,如利用区块链技术盗取贩卖个人信息,将涉及“侵犯公民个人信息罪”“非法利用网络信息罪”等罪名;在民事法律中也可能触及网络交易合同、侵权赔偿等。其次,在行政法规层面,集中于规范使用区块链技术对用户信息安全的保障责任与义务;在规章以及行业技术规范层面,主要是针对区块链技术的具体运行操作,也尚处于阶段性摸索层面。
目前关于区块链技术的法律法规呈现出两个特点:一是法律位阶较高的法律行政法规,内容偏重于个人信息和网络安全方面,适用于区块链的法律条款都是一些原则性的内容,不够具体化;二是法律位阶较低的规章和规范性文件,针对区块链技术的应用规范比较具体,可操作性较强,内容也较为全面。从而呈现出法律位阶高低与对应内容的具体化之间不协调的局面。
区块链技术虽然给个人信息保护提供了诸多可靠的技术优势,但是同时也会产生新的法律问题。如在去中心化的区块链中,第三方平台的权力被分解,不存在所谓的中心化部门,但是当个人信息遭泄漏,被窃取时,由谁来承担相关法律责任?当个人信息被他人冒充注册使用,相关信息如何被追回?区块链技术使用非对称加密对用户个人信息进行保护,在传统的中心化网络中,密码丢失可以通过数据库找回,但是由于区块链技术的去中心化和不可篡改性,当用户遗忘密码时,私钥就无法找回,这是否意味着用户也失去了其对区块链个人信息所拥有的权利?以及其他还未显现的新问题,都给个人信息安全埋下了隐患。
区块链在技术和法律方面所存在的风险和不足之处,并非是对抗性的,可以通过技术的改进与法律的完善来弥补区块链所存在的缺陷问题,缓解技术与法律矛盾冲突,使区块链技术更好地应用在个人信息保护上。
针对区块链中的个人信息可能遭受51%攻击的风险,笔者认为,可以在区块链技术中设置拦截警示程序,当网络中某个用户控制超过一定数量的节点时(如超过50%),区块链拦截系统自动发出警示提醒,让区块链链中所有的节点用户引起重视。如果该用户控制的节点数不断增加,达到51%时,区块链中的个人信息面临被篡改的威胁。此时区块链可以溯源追踪锁定行为人,一方面可以呼吁网络“红客”对黑客的行为进行反击,限制其对更多节点的控制;另一方面,当系统发出警示时,其他用户可以将区块链中的个人信息删除,或通过其他方式将区块链中的个人信息数据复制保存,避免被泄漏盗取。
区块链共识机制是建立在用户自觉遵守区块链社区规范基础之上的,如实名认证,抵制发布不实信息。但是在区块链中,当用户冒充身份进行注册登记使用,或者进行虚假交易,试图破坏区块链的信任机制时,如何避免此类行为的发生,成为解决区块链可信性问题的关键。要想创建一个去中心化的信任空间和信任机制,单纯依靠区块链技术可能无法实现,还需借助人工智能、爬虫、公有联盟链等技术共同打造一个信任环境。如区块链技术和人工智能相结合,对身份验证可结合人脸识别技术,保障用户身份的真实性;与爬虫技术结合,实现对侵犯个人信息的行为实时监控和抓取;建立公有链联盟,即与第三方权威机构合作,如公安机关、工信部等,当发生个人信息侵权纠纷时,能够在线对用户提供信息进行权威对比分析,鉴定侵权行为。
目前关于区块链技术的法律法规呈现出法律位阶与内容详细度成反比的关系,即位阶越高的法律,关于规范区块链技术操作的内容越具有原则性,缺乏具体性。因此,可以尝试改变关于区块链法律在位阶与内容详细之间的反比关系,让法律规范内容更为详细具体的同时,也需提升区块链法律规范的位阶,使得规范区块链技术的法律规范不仅更具有权威性,也更具有可依据性和可执行性。
当然,规范区块链技术的法律法规并不是一蹴而就的,法律具有滞后性的原因在于法律规范的是社会中较为成熟稳定情形,但是法律并不能规范社会中所有的细节,尤其是面对飞速发展的网络科技,法律无法企及科技的演进速度。而区块链技术正处于起步发展的阶段,虽然目前已在很多领域应用,但是其呈现出来的问题以及将会暴露哪些缺陷,都无法预估。因此,在规范区块链技术的应用和法律责任时,首先应当注重实务界和学术界的研究和意见,当一项问题或现象逐渐增多时,及时通过法律法规或其他规范性文件的方式加以规范说明,或者在司法实践中创新应用;当该问题或现象普遍出现时,即可以更高位阶的法律形式加以规范。另外,对冒充身份进行使用的行为,试图通过伪造节点篡改区块链信息的行为,可能会涉及到刑事犯罪和行政、民事责任,当出现新的技术犯罪时,法律可能需要作扩大解释或目的解释来适用。若还无法涵盖区块链犯罪时,规范新技术犯罪的法律法规可能就会应运而生。
区块链技术的出现,既给个人信息保护带来了新的技术优势,同时也给信息保护带来了潜在的风险。面对当下区块链技术热潮,一方面,需要去拥抱技术,将技术优势应用于个人信息保护;另一方面,也需要对区块链技术保持谨慎态度,应用中可能出现的新问题,以及面临的法律挑战,还须随着技术的发展和应用中显露问题,结合技术与法律两方面的改良,来实现技术优势的最大化。■