区块链环境下个人信息删除权的保护*

海南大学 傅诚瀚

一、区块链环境下引发的个人信息删除权问题梳理

（一）不可篡改性与个人信息删除权的冲突

区块链技术本质是通过保证其链上所有节点信息一致性，以达到链上信息的原始性与不可篡改性，但区块链技术并不能保证其已上链的信息的真实性，因此必然会引发许多问题：1、信息内容自身便存在错误，当前区块链技术还不可避免的需要人工进行上传与交互，其准确性与真实性不能保证；2、信息交互过程发生错误，上传人员的过失亦或是故意，都会导致链上信息不真实；3、链上信息只能添加不能更改与删除，公民的个人信息无法做到及时的更新与撤销；

有观点认为，当下应当探索与发展区块链的编辑技术，以实现对链上信息的管控。但笔者认为，对区块链进行编进就已经违背了区块链技术的初衷，区块链上的信息的可信度便会大打折扣，同时一旦将删除权交给某个管理机构，则区块链又沦为普通的分布式账本技术。

（二）非对称加密技术与个人信息控制权的冲突

区块链采用的非对称加密技术导致当用户在使用区块链应用平台时，并不像传统应用平台一样生成账号密码，而是生成一串对应的数字秘钥，因为缺少中心化的数据管理机构，因此数字秘钥有着唯一性和不可更改性。也就是说一旦用户丢失了秘钥，则相当于丢失了链上的一切数据的控制权，尤其是当秘钥被盗时，用户也无法像传统平台一样通过更改密码等形式来及时止损。秘钥的这种不可找回与修改的特性与我国当前的法律制度相互抵触。

此外，秘钥的特性不仅仅只是影响公民对个人信息的控制权，更重要的是当前的技术与法律都无法对此情况提供有效的救济途径。区块链环境下，秘钥是用户唯一的身份标识，区块链技术的匿名性导致私钥的性质如同纸币，类似“占有即所有”的特点，其高度的匿名性致使用户秘钥一旦被盗，即相当于失去了链上一切信息及财产的所有权。虽然区块链技术抵抗外部攻击的能力超出传统模式，但用户的秘钥被盗的风险并没有减小。

（三）去中心化技术与传统监管之间的冲突

监管的前提是中心化的存储与管理，传统的信息管理模式都是由政府或者第三方专业存储中心为核心，从而达到对信息的监管与保护。但区块链去中心化的特点与传统监管模式恰恰相反，第一，传统监管模式建立在集中的中心化管理机构的前提上，而区块链环境下，链上的信息存储于各个参与者手中，监管难度太大；第二，去中心化技术同时也意味着没有明确的管理主体和责任主体，没有明确的信息控制者与管理者，导致监管也无从谈起；第三，个人信息监管制度存在滞后性，单单依靠网信办颁布的《区块链信息服务管理规定》，不足以应付当前区块链技术带来的冲突与挑战。

二、区块链环境下个人信息保护问题分析

删除权是法律赋予公民保护其个人信息的最后手段。但个人信息保护法、《民法典》1037条和《网安法》等相关立法中并没有对删除权删除的内容进行界定。不同于传统纸质时代，以前信息的删除可能是撕掉处理，而互联网时代的删除细化其内容。在互联网时代删除有两种意思，第一种便是彻底的清除，比如物理毁灭存储介质，格式化覆盖等。第二种则是删除数据与个人之间的关联性，通过匿名化技术亦或者是加密技术清除某个信息与个人之间的联系，从而达到保护个人信息的目的。

笔者认为，数据是一个社会的公共资源，无论是什么数据都是社会的一个组成部分，在当今的时代，数据一般是不能随意地进行删除的。数据有其本身的统计、科研、分析的作用，通过消除信息与个人身份的关联，使该信息无法识别到个人才是互联网时代删除的真意，也是解决当今区块链技术与个人信息删除权冲突的重要路径之一，删除权的实质应当是保护个人不被识别。此外《个人信息保护法》第三十条规定中也提到，当个人信息因为存储方式特殊，不能删除或者删除成本过大的情形，应当以封锁代替删除。因此，当今我们应当发展区块链中的封锁、加密、反识别等技术手段，从而达到保障公民删除权的正常行使。

首先，秘钥的唯一性与不可找回性虽然可能会导致用户丧失其个人信息的控制权，但也极大的保护了用户的个人信息安全，使任何应用平台都不能掌握用户的个人信息。一方面，我们应当提高用户的安全防范意识，鼓励通过多种方式存储自己的秘钥。另一方面，政府应当主导建立一个权威高效安全的秘钥储存管理系统，保证在一定程度上能够缓解秘钥不可找回性的缺点。其次，区块链应用应当采取多重签名的方式，以减少秘钥被盗的风险，也就是在一些重要的链上信息中，给予用户选择多重秘钥的保护方式，一个地址对应多个秘钥，只有全部秘钥都正确时，才可以对账户内的信息、资产进行操作。甚至在一些特殊的领域，可以将多重秘钥分开存放，避免因秘钥被盗从而丧失链上信息的控制权。

三、区块链环境下个人信息保护完善思考

（一）完善管辖原则，解决监管失灵

区块链项目一般只实行线上运营，不设立实体机构，同时因为我国关于区块链项目的准入政策较为严格，区块链项目大多选择监管和准入较为宽松的国家与地区注册，而我国的法律适用主要采用属地主义原则，导致在区块链的环境下，不设立实体机构的区块链项目，会因为缺失法人而失去适格的诉讼主体。尤其是公有链的项目，网络服务提供者通过合约与协议的方式将责任都分散给每一个节点，以至于逃避其应当承担的信息保护义务。因此，区块链成为了许多藏污纳垢的交易地点，不仅安全性没有保障，追责更是无从谈起。

目前，我国应当积极参加与探索全球区块链监管规则体系的构建，完善我国的区块链准入与监管政策。同时，进一步完善管辖原则，面对一些来自准入和监管较为宽松的国家与地区的区块链项目，应当采用属人主义的管辖原则，将责任直接从法人落实到个人。此外，构建红线防范机制，针对不同的区块链项目建立不同的风险评估标准，加强对来自监管地区宽松的区块链项目在我国进行业务活动的监督，做到及时提醒与采取熔断措施并重，防止发生重大损失。

（二）构建实名制的区块链身份系统

区块链的匿名性是一把双刃剑，匿名的特点在很大程度上能够防止个人信息被追踪与识别，但同时匿名性也会导致一系列的问题，如非法交易、侵犯他人权利等。在“区块链+”的大环境推行下，构建实名制的区块链身份管理系统乃是必不可少的，究其原因，还是因为区块链只能做到保证其发布的信息没有被篡改，而不能保障其信息本身的真实性。在“区块链+”的背景下，区块链用户的规模会大大增加，由此会产生过度泛滥的虚假信息，不仅不利于监管，更会导致信息的真实性程度大大减小，因此构建实名制的区块链身份系统迫在眉睫。

笔者认为，应当由政府牵头推行区块链身份管理系统的建设与管理，一方面，政府相对于其他第三方机构更具有可信度，且政府作为信息处理主体更有利于监管且有利于公民的救济。另一方面，有利于未来区块链全方位应用后的监管，形成一个官方的个人信息数据库，也能够使政府的各项工作的推进更加便利。实名制的注册主要分为两种，一种则是传统的面容、身份证等方式实名验证，另一种则是建立数字身份系统，每一个自然人都对应一个数字身份，用以对接区块链应用服务。笔者比较赞同采用第二种方法，数字身份不仅仅只是实名验证的一种方式，更是一种保护身份信息的手段，数字身份的应用相当于给公民的个人信息筑起了一道“防火墙”。

（三）提高行业准入门槛，完善配套监管机制

智能合约是区块链中的“最高章程”，通过各节点一致的同意，从而使链上信息在不可篡改、不可撤销的前提下自动执行与运营区块链。不同的智能合约的规则大径相庭，面对当前形式越发多样化的区块链应用，应当设立更细化的行业准入标准，通过对不同领域的区块链行业设立不同的准入标准，尤其是一些责任转承较大的区块链，应当设置更加严格的准入标准来保证代码本身的公平。同时，不仅要审核企业是否拥有足够的资金和技术背景，同时还要审查区块链底层代码是否公平且公开完备，防止一些安全性极低的甚至只是冠以区块链名义的应用系统在社会上运行。

政府应当主动推进与完善监管机制，扩大监管范围。必须加快立法进程，通过法律规范引导区块链行业的健康发展，提高监管的适应性和准确性。具体而言，可以借鉴美国的相关法律规定。第一，通过区分监管对象来灵活调整监管力度，对区块链服务的运营商，应当加大对其监管力度，保证其忠实履行各自的义务；对区块链用户的监管可以只把握大方向，监管异常较大的节点。第二，履行备案登记制度，要求区块链服务的运营商必须到政府部门备案审查，以便于政府对其追究责任。第三，因为区块链应用的专业性较强，可以要求区块链应用在对社会公开前，必须通过第三方专业机构的评估或律师的法律意见书等。第四，风险评估以及红线预警，要求区块链应用要直接适用现有法律。

建立区块链行业协会，形成区块链行业自治体系。区块链行业不同于其他传统行业，其入门门槛较高，对于信息保护的问题，内部的监督比外部的监督更加敏感与迅速。且因为区块链去中心化的特点，政府监管较为困难，过度的监管不仅会引起从业人员的不满，也不利于区块链行业的发展。政府应当倡导与鼓励设立高资质、高水准的区块链行业协会，并通过法律赋予其一定的解决争议和惩戒的权利。政府宏观监管与行业内部自治监督双管齐下，把控行业准入门槛，提高从业机构的质量，从而引导区块链行业有序健康的发展。一方面，行业内部形成良性竞争，相互监督；另一方面，政府在外部宏观把控风险与红线，区块链行业必定会得到更好的发展。

四、结语

技术的发展总会给法律造成一定的冲击，技术和法律的相互协调才能促进社会的发展。一个新兴事物如果受到法律的严重制约，便说明立法还未达到理想的效果。技术始终是中性的，法律应当在保证公民权利的基础上去寻求保持与发展区块链技术的价值，而不是对其进行过多的制约。一方面，要维护好法律赋予给公民的基本权利，另一方面，又要结合技术与时代的发展提出针对性的法律、政策，以期法律能为区块链技术的发展提供强力的制度保障。