个人信息保护法与区块链技术冲突的双向纾解及合规监管

2022-02-17 07:31赵炳昊
法学论坛 2022年6期
关键词:保护法法益合规

赵炳昊

(中国政法大学 民商经济法学院,北京 100088)

在区块链技术高速发展的时代背景下,个人信息作为科技发展的基础资源需要得到新兴技术的妥善处理,既要发挥出个人信息的潜在价值,又要避免个人信息在技术处理过程中遭受侵害。面对日益增长的个人信息处理需求,2021年8月20日,中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议审议通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),这是针对个人信息处理的专门法律,标志着我国个人信息保护迈入了全新时代。《个人信息保护法》强调保护与使用并重,不但强化在个人信息处理过程中对个人信息的保护与救济,而且法律强制力的介入还意味着国家通过积极保护来支援个人对抗个人信息处理中面临的风险。(1)参见王锡锌:《个人信息国家保护义务及展开》,载《中国法学》2021年第1期。在此之前,欧盟发布《通用数据保护条例》(The General Data Protection Regulation,以下简称GDPR)来为个人信息提供专门保护,而美国也出台了包括《网络安全法》在内的多部专门保护个人信息的法规,(2)参见张立彬:《美英新个人信息保护政策法规的考察与借鉴》,载《情报理论与实践》2020年第6期。并据此构建专门的个人信息法律保护体系。与之相似,《个人信息保护法》结合科技发展的实际状况调整个人信息的处理与保护路径,其中第4条规定“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”,其中特别强调电子方式这一全新记录形式,体现了对以区块链技术为代表的新兴科技的重视。实际上,当前的《个人信息保护法》在规制区块链技术处理个人信息的过程中经常会因为自身的滞后性而难以发挥强制力,导致区块链技术风险与法律规范保护之间产生内生性冲突,需要从技术和法规两方面入手展开双向纾解。概言之,区块链技术虽然为个人信息处理提供了绝佳的技术方案,但是又因为自身的技术风险而与法律法规产生内生性冲突,而这不仅需要从技术和规范两方面入手进行双向纾解,同时也需要构建合规监管体系进行持续性的制度保障。

一、问题提出:个人信息保护法与区块链技术的冲突

区块链技术的迭代升级意味着个人信息处理模式面临整体性的技术革新,区块链技术的使命与《个人信息保护法》的立法目标都是优化个人信息的处理过程,但是两者在具体的适配过程中却存在一定的内生性冲突。《个人信息保护法》在立法目的上强调保护与使用并重,但是在规范内容上具有一定的滞后性,而区块链技术则更具灵活性且不断迭代升级,在处理个人信息过程中容易突破现有的法律规范的限制。在个人信息处理的整体方向上,《个人信息保护法》第7条规定处理个人信息应当遵循公开、透明原则,这一原则同样适用于指导区块链技术处理个人信息的过程,防止区块链技术对个人信息产生潜在威胁。实际上,区块链技术在实际处理过程中努力秉持公开、透明原则,比如借助区块链技术公开个人信息处理流程来落实《个人信息保护法》的具体要求,通过公开性增强了技术公信力,使得区块链技术处理后的个人信息被赋予了公开性的技术属性与科技增值,(3)参见Gabisori G, Policy Considerations for the Blockchain Technology Public and Private Applications, SMU science and technology law review, 2016, 19(3). pp. 327-350.并通过ShadowEth等智能私有合约的形式实现对个人信息的专门保护,(4)参见Yuan R, Xia Y B, Chen H B, ShadowEth: Private Smart Contract on Public Blockchain, Journal of Computer Science and Technology, 2018, 33(3). pp. 542-556.体现出《个人信息保护法》对应用区块链技术的价值指引。

值得注意的是,尽管区块链技术在整体上遵循了《个人信息保护法》的价值指引,但是在技术模式的具体运行过程中,区块链技术与《个人信息保护法》中的具体规范却存在内生性冲突,区块链技术的底层运算逻辑与《个人信息保护法》规范衔接不恰反而加速了区块链技术的迭代升级,造成了更大的法律监管漏洞,亟需配置对应区块链技术的合规监管措施。(5)参见Thierer, Adam, Privacy Law's Precautionary Principle Problem, Maine Law Review, 2017, 66(2). pp. 468-486.第一,区块链技术在《个人信息保护法》的监管语境下与法律规范的限制存在内生性冲突,区块链技术因为迭代升级频繁而容易触犯法律规范的限制边界,技术模式与《个人信息保护法》规定的个人信息处理要求相悖,因此需要对区块链技术的研发与运行进行调整,基于法律规范的要求填补技术手段的不足。第二,区块链技术的进步本质上是为了满足个人信息的处理需求,而其技术路径与《个人信息保护法》的规定产生冲突,侧面反映出当前《个人信息保护法》在个人信息处理的规定上存在一定的滞后性,因此需要完善《个人信息保护法》的规范内容并优化其解释路径,包括限制公共法益的范围、优化解释区块链技术处理方式以及提供针对应用区块链技术的合理豁免,从而使《个人信息保护法》成为个人信息处理的保障而非阻碍。第三,区块链带来的技术风险对保护个人信息构成持续性挑战,而持续性监管体系的缺失导致对内生性冲突的纾解呈现周期性状态,无法创设稳定的个人信息处理环境。从长远角度出发,需要通过合规监管的方式实现法律规范对区块链技术的持续性监管,而构建合规监管体系需要将《个人信息保护法》的规范内容贯彻其中,制定合规任务、保障技术合规并明确合规对象,通过合规监管体系保障区块链技术的可持续发展。

总之,针对《个人信息保护法》与区块链技术在个人信息处理上存在的适配障碍,一方面需要分别从区块链技术与《个人信息保护法》的角度出发进行双向纾解,在完善区块链技术发展的同时调整《个人信息保护法》的规范内容与解释路径;另一方面需要从长远角度出发构建基于《个人信息保护法》的合规监管体系进行持续性监督,在合规框架下发挥区块链的技术效能,从而大规模推广区块链技术的应用,并基于个人信息安全共享、新兴技术合规运用、监管体系逐步完善等多重视角构建个人信息数字化治理体系。(6)参见佟家栋、张千:《数字经济内涵及其对未来经济发展的超常贡献》,载《南开学报(哲学社会科学版)》2022年第3期。鉴于此,我国可以从技术与规范的双重角度出发构建完备的个人信息法律保护体系,通过合规科技以区块链技术为载体将《个人信息保护法》的内容转化为对个人信息的全生命周期保护。(7)参见许可:《个人信息治理的科技之维》,载《东方法学》2021年第5期。

二、内生性冲突促进区块链技术优化以适配法律规范

区块链技术作为新兴技术具备透明、加密、可溯源和不可篡改等诸多优势,不仅能大幅提升个人信息处理效率,还有助于降低信息泄露风险和处理成本,是未来科技发展的主要方向。但是在区块链技术处理个人信息的过程中,技术的复杂原理以及固有缺陷容易导致其与《个人信息保护法》产生内生性冲突,从技术应用的角度出发,应该基于《个人信息保护法》的诉求来推动技术优化。

(一)区块链技术原理与法律规范之间的适配调整

现有区块链技术在基础算法层面拥有多种类型的技术原理,不同的技术原理采用不同的处理模式,因此形成了不同的区块链技术类型,主要分为公有链和许可链。值得注意的是,即便是不同类型的区块链技术,其在基础技术原理上也都和《个人信息保护法》的规范内容存在适配失衡,这意味着区块链技术需要基于《个人信息保护法》的规定适度调整自身的底层技术原理。

区块链的技术原理的演变体现了个人信息处理需求的发展,为了更好地处理个人信息,区块链技术不断升级。传统区块链主要是公有链(Public Blockchain),其作为一种完全开放的区块链具备完全的去中心化特征,参与节点按照系统规格自由地接入网络并不受系统控制,基于共识机制开展工作并形成去中心化的信用机制,(8)参见曹雪莲、张建辉、刘波:《区块链安全、隐私与性能问题研究综述》,载《计算机集成制造系统》2021年第7期。公有链的防篡改机制是通过区块之间的连接展开,不存在控制公有链的实体,其本质上是一种分散的、不可变的信息分类存储账本。伴随个人信息处理环境的日趋复杂,许可链(Permissioned Blockchain)作为公有链迭代升级的产物被广泛应用,许可链中每个节点的更改都要经过许可,只有区块链中的预选成员才有能力读取并查看区块上的个人信息变更记录,其本质上是一种部分去中心化的区块链,并增强其可溯源性特征以便在事后对个人信息变动进行快速溯源,保持许可链相对稳定。相较而言,许可链更适合传递个人信息,因为其可以提供存储在不可变总账中的即时、共用以及完全透明的个人信息,并且只有获得许可的成员才能读取,可以据此把控个人信息交易的全过程。现有的ConsenSys Quorum就是利用许可链技术处理并分享个人金融信息的商业机构,其借助许可链的共识算法增强个人信息交换与共享的可扩展性和适用性,(9)参见Mazzoni M, Corradi A, Di Nicola V, Performance evaluation of permissioned blockchains for financial applications: The ConsenSys Quorum case study, Blockchain: Research and Applications, 2022, 3(1). pp. 1-12.并对个人信息处理全程进行合规监管,防止造成隐私泄露。

经过比较后可以发现,虽然不同类型的区块链技术存在技术原理上的差异,但是其技术原理中共有的共识机制、可溯源性、不可篡改性和去中心化等特征都与现有法律规范存在一定冲突,因此需要基于法律规范的要求来调整技术原理。第一,区块链中共识机制的运行需要参考《个人信息保护法》第20条规定的“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务”,这是共识机制运行的规范支撑。但是在不同类型的区块链中共识机制的主体也不同,传统公有链上的共识机制必须经过所有主体的同意验证,而许可链中共识机制的主体则限定为被许可的主体,因此技术升级反而与《个人信息保护法》的既有规范产生冲突,需要对许可链技术中的主体同意程序进行一定的修正,以权重方式代替被许可的方式来构建技术同意流程。第二,区块链技术中可溯源性的规范依据是工业和信息化部与中央网信办联合发布的《关于加快推动区块链技术应用和产业发展的指导意见》(以下简称《区块链指导意见》)中第2条“重点任务”规定的“用区块链建立……产品溯源体系,实现全生命周期的追踪溯源”,这保障了区块链参与者能够依时间顺序查看链上的个人信息,且追溯范围是个人信息的全生命周期。但是许可链对个人信息的管控力度下降,其为了提升处理效率在一定程度上降低了监管力度,这意味着溯源行为本身就存在技术风险,个人信息的过度透明将会导致个人隐私泄露以及信息被二次利用等次生损害,(10)参见谢绒娜、李晖、史国振等:《基于区块链的可溯源访问控制机制》,载《通信学报》2020年第12期。所以许可链技术的追溯路径和管控力度需要依据法律规范进行强化。第三,区块链的不可篡改性作为核心技术特征提供公信力背书,其规范依据是《区块链指导意见》规定的“通过数据透明、不易篡改、可追溯,有望解决网络空间的信任和安全问题”,这要求区块中的个人信息在添加到分布式账本后不能被编辑或删除。但是伴随着固有技术的漏洞与新兴技术的突破,区块链的不可篡改性特征也在逐渐动摇。比如公有链允许任何人仅凭最少的数据治理权就可以介入个人信息处理,但在具体操作过程中可能会因为监管漏洞引发篡改风险,反而与《个人信息保护法》等法律规范产生冲突,所以公有链需要在运行机理中强化对篡改行为的监管,将数据治理权与共识机制进行区分。第四,区块链去中心化的特征是技术创新的核心,参考最高人民法院发布的《关于加强区块链司法应用的意见》中第17条规定的“形成去中心化、去网系化、去系统化的数据串联”,区块链中的个人信息要分布到各个节点,这种技术原理有利于降低区块链技术存储个人信息的风险,即使个别节点出现故障,区块链也不会立即停滞,个人信息仍然被储存在相对安全的空间内。

总之,区块链技术的复杂原理与频繁技术升级导致其适用路径与既有的法律规范之间形成适配冲突,而技术与规范的适配失衡会影响区块链技术的处理效率,甚至造成个人信息泄露。鉴于此,基于内生性冲突来弥补区块链技术的适用缺陷,可以挖掘出技术原理的共性不足,减少技术与规范的适配失衡,(11)参见赵宏:《我国疫情信息公开机制以及问题——基于法规范的分析》,载《东南法学》2020年第2期。那么无论是采用何种技术原理的区块链技术,都可以在共有特征上减少与个人信息保护法律规范的内生性冲突。

(二)区块链技术基于个人信息保护法优化理念

区块链技术是人工智能时代的新兴技术,其对个人信息法律保护的既有架构和监管体系造成颠覆性影响,和《个人信息保护法》在具体理念上存在差异。对于技术与法规的理念差异,需要在技术创新升级与个人信息保护之间保持价值平衡,调整技术与法规达到相对一致的目的,平衡区块链技术处理个人信息时的各方诉求,在促进技术升级的同时实现对个人信息的全方位保障。

第一,区块链技术在处理范围的选择上应该契合《个人信息保护法》的目的诉求,将区块链处理个人信息的范围适当扩展至域外,提供合适的技术处理方案来最大程度地保护我国公民的个人信息自决权法益。《个人信息保护法》第3条对域外适用本法设定了限制条件,尽管该法不具备完全的域外规制效力,但同时设置了“法律、行政法规规定的其他情形”作为兜底条款,体现了《个人信息保护法》扩张保护范围、强化保护力度的追求。与之相对,区块链去中心化的技术特性决定了其处理范围并不局限在某一特定地域范围内,因此其技术监管范围便可以进行相应的延伸,只要个人信息有一个存储节点位于境内便可以参照《个人信息保护法》加以监管。区块链的技术路径倾向于对个人信息采用分布式去中心化记账模式加以处理,个人信息的存储与变更通过全节点验证在区块链上记载,并无特定的物理节点,从而提供了通畅的技术监管通道。质言之,适度扩张区块链处理个人信息的监管范围,有助于保护我国公民存储在区块链上的个人信息的安全,同时也促使《个人信息保护法》与域外GDPR等法律规范保持相对一致,在保证我国拥有区块链技术监管的绝对优势的前提下,推动个人信息保护的跨境合作。

第二,区块链技术对个人信息的处理应该基于《个人信息保护法》的立法目的展开,将保护与使用并重的理念转化为区块链的技术指标,并将相关技术指标作为具体的合规任务来构建对个人信息的专门保护,将区块链这一通用人工智能技术平移应用到专门的个人信息法律保护领域。(12)参见王禄生:《论法律大数据“领域理论”的构建》,载《中国法学》2020年第2期。《个人信息保护法》对个人信息倡导保护与使用并重,而保护和使用实际上都需要区块链技术的加持。在个人信息的保护上,区块链技术在处理个人信息时应该保持公开透明,不能以保护技术秘密为由剥夺公民对自身个人信息处理方式的知情权限,同时应利用新兴技术消除现代化社会的治理风险,(13)参见周佑勇、朱峥:《风险治理现代化中的公民知情权保障》,载《比较法研究》2020年第3期。实现对个人隐私的全方位保护。在个人信息的使用上,区块链技术需要发挥自身的技术优势,提升个人信息的处理效率,将技术效能赋值个人信息的使用价值,区块链技术处理后的个人信息不仅能挖掘出潜在价值,也能实现二次赋值。总之,区块链技术的应用理念需要参考《个人信息保护法》加以优化,并通过合规监管的“桥梁”来消弭技术与法律的错配,真正落实保护与使用并重的理念来提升技术效能。

第三,区块链技术在个人信息的处理过程中应当保持各方主体的地位平等,在处理路径的选择上避免过分重视某一方的保护需求,做到技术公正并贯彻《个人信息保护法》所倡导的公正平等理念。在个人信息的处理过程中,公正平等的处理原则要求区块链技术合规不应区分个人信息所有者的身份,对于被处理的个人信息,无论其内容构成、信息来源和应用目的有何不同,一律采用平等的处理模式,保护公民的个人信息自决权法益。为了保护公民个人信息自决权,区块链技术应该在底层逻辑上避免算法偏见,在坚持技术内核公正的同时将消除算法偏见作为区块链技术的合规要求,这本身也有利于降低技术成本,防止技术算力被无端消耗。退言之,如若区块链技术不能实现公平公正,那么其处理个人信息的技术红利将会被反噬,公众对区块链这一新兴技术的信任程度会降低,其应用范围也会随之限缩,《个人信息保护法》的强制力就会限制区块链技术的发展,所以区块链技术处理个人信息需要公平公正地协调各方利益,力图实现对个人信息的全方位保护。

(三)区块链技术弥补个人信息权利的保护缺漏

《个人信息保护法》在个人信息权利保护上围绕公民个人信息自决权的实质法益展开,个人信息权利保护来源于信息主体为了处理个人信息而让渡部分个人信息权限,并因此享有对应的决定权与控制权。区块链技术介入个人信息处理后,应该坚持技术公正,利用技术优势完善对个人信息自决权的保护,而当前个人信息权利的保护缺漏主要集中在三个方面,分别是补充更正权、被遗忘权与可携带权,区块链的技术优势可以从多方面入手弥补保护缺漏。

区块链技术应该根据个人信息权利内涵的差异提供针对性的保护。第一,《个人信息保护法》第46条规定了信息主体具有补充更正权,即个人信息主体有权要求更正不准确的个人信息,信息控制者在收到请求后必须从信息存储库中更正、修改或删除不准确或不完整的个人信息。为了落实这一权利,区块链技术可以对各个节点上的个人信息进行及时反馈,虽然其中的个人信息需要经由各方同意、按照共识机制实现更正,区块链上难以及时对个人信息进行删改,(14)参见王从光:《区块链技术应用于个人信息保护的法理解读与治理》,载《西北民族大学学报(哲学社会科学版)》2021年第6期。但是区块链技术的去中心化与可溯源化特征意味着可以按照合规程序进行删改,只要删改流程符合其技术原理,便可以提供事后的权利救济渠道。(15)参见陈奇伟、聂琳峰:《技术+法律:区块链时代个人信息权的法律保护》,载《江西社会科学》2020年第6期。第二,《个人信息保护法》引入了被遗忘权,从兼顾个人信息安全和社会公共法益的角度出发,较为明确地规定了几种可以请求删除的情形。(16)参见程啸:《论〈个人信息保护法〉中的删除权》,载《社会科学辑刊》2022年第1期。被遗忘权规定信息主体可要求从企业的存储器中删除其个人信息且不得无故拖延,这是个人信息数据控制与信息删除之冲突的一种平衡。(17)参见阮晨欣:《大数据时代账号注销权的保护实践——以〈个人信息保护法〉“删除”处理为视角》,载《东南法学》2021年第2期。当信息主体行使被遗忘权时,数据控制者须告知与其共享该个人信息数据的第三方并一同删除个人信息数据。被遗忘权作为新型权利对于区块链技术而言是一种全新的挑战,区块链技术必须在网络留痕的传统思维模式下不断探索如何保障公民的被遗忘权,组成区块链的各个节点可以及时清除个人信息的数据留存,满足公民对个人信息的控制自治和信息自由。(18)参见阮晨欣:《被遗忘权作为新型权利之确证与实践展开》,载《安徽大学学报(哲学社会科学版)》2022年第3期。第三,以往《个人信息保护法》中规定的可携带权在个人信息的实际处理过程中难以被妥善保护,个人信息蕴含的巨大利益以及技术发展的不成熟导致可携带权面临空置化的窘境。可携带权赋予个人信息所有者根据其要求以“结构化、普遍使用和机器可读”的格式从控制者处获得自己个人信息的权利,但这同时带来了隐私自治、数据迁移权的安全风险与合规成本利益失衡的潜在可能性。(19)参见康兰平、程文文:《数据可携带权在欧美法律实践上的权利要旨对我国个人信息权益保护的借鉴》,载《电子知识产权》2022年第3期。在区块链技术介入后,其可以强化个人信息保护壁垒,隐私自治被限制在一定范围内,在数据迁移过程中,个人信息在各节点的传输也处于可控制的范围内,从而利用技术优势降低了整体的合规成本。《个人信息保护法》第45条规定符合国家网信部门规定的个人信息处理者还需要提供转移路径,区块链的去中心化特征可以避免大型平台借助技术优势垄断个人信息,平台在个人信息传输过程中难以占据绝对主导地位,而是由多方共同参与个人信息的传输过程。

总之,《个人信息保护法》中强调的补充更正权、被遗忘权和可携带权的权利谱系可以借助区块链技术得以实现,但在技术应用的过程中仍需要坚持技术合规。实际上,在个人信息保护的过程中,区块链技术在不断调整适配个人信息的保护需求,(20)参见Timmons J, Hickman T, Blockchain and the GDPR: Coexisting in contradiction, Journal of Data Protection & Privacy, 2020, 3(3). pp. 310-322.并落实《个人信息保护法》的规范需求,实现对个人信息自决权的实质保护。区块链可以通过多重技术路径更迭个人信息,基于《个人信息保护法》规定的权利构成,区块链技术在处理链上的个人信息时需要强化合规监管,事先对技术机理、运行模式进行合规改进,才能借助合规模式预先处理《个人信息保护法》与区块链技术之间的龃龉,进行法律规范审查并规范信息处理流程,(21)参见赵炳昊:《个人信息保护法颁布后征信体系的调整与完善》,载《东方法学》2022年第3期。将区块链技术广泛地应用到个人信息的处理过程中。

三、镜鉴区块链技术发展完善个人信息保护法的适用

在完善个人信息处理的过程中,不能仅寄希望于区块链技术的单方面迭代升级,同时也要从完善法律规范的层面进行纾解,基于内生性冲突来完善《个人信息保护法》的规范内容与解释路径。根据区块链的技术特征,量化区块链技术的不合理成本以限制公共法益的无限延伸,灵活解释区块链处理个人信息的方式,并提供一定程度的技术豁免,构建贯彻个人信息全生命周期的法律保护体系,借助《个人信息保护法》的强制性来保护个人信息的私权利。(22)参见刘艳红:《人性民法与物性刑法的融合发展》,载《中国社会科学》2020年第4期。

(一)限制公共法益保护个人信息自决权

相较于《个人信息保护法》中对公共法益的延伸采用审慎的保护态度,GDPR中直接规定了为保护公共法益而不适用被遗忘权和可携带权的例外情形,如第9条规定为保护公共卫生安全或公共存档安全法益在处理个人信息的某些特殊情况中不适用被遗忘权,第20条规定为公共法益或为行使其被授权的官方权威所必须时,不适用可携带权,上述规定是在复杂语境下有所侧重地协调个人法益与公共法益的关系。(23)参见金晶:《欧盟〈一般数据保护条例〉:演进、要点与疑义》,载《欧洲研究》2018年第4期。在个人信息的实际处理过程中,很多跨国公司适用GDPR中保护公共法益的规定,但这必然会影响个人法益的保护,故而需要限制公共法益的保护范围,比如Medicalchain公司为了建立高质量的医疗保健系统来安全分享去中心化的个人信息而放弃使用被遗忘权。(24)参见毕浩然、曾智、姚育楠:《区块链+医疗个人健康数据存储——基于medicalchain平台的分析》,载《中国卫生事业管理》2021年第5期。ConsenSys Quorum为了建立高效的个人金融信息分享系统,在跨链访问比特币中的个人信息时基于服务公共法益而放弃被遗忘权,(25)参见李芳、李卓然、赵赫:《区块链跨链技术进展研究》,载《软件学报》2019年第6期。但在实际运行过程中也并非所有的区块链技术都可以适用保护公共法益的例外情形。鉴于区块链技术处理个人信息所要保护的核心法益是个人信息自决权,所以《个人信息保护法》需要框定公共法益的保护范围,既要兼顾对公共法益的特殊保护,又要防止肆意扩张公权力的规范范围。(26)参见杨杨、于水、胡卫卫:《区块链赋能重塑社会治理结构:场景、风险与治理之道》,载《电子政务》2020年第3期。在区块链技术的实际应用过程中,无视不合理成本而延伸公共法益的处理模式不具有长远的可行性,并不利于区块链的推广应用。

相较于GDPR,我国《个人信息保护法》中尚未规定基于公共法益的例外情形,也就无从确定公共法益的保护范围,那么对应的个人信息自决权的保护也就无所适从。(27)参见王利明:《论个人信息删除权》,载《东方法学》2022年第1期。公共法益是区块链技术处理个人信息时需要考虑的因素之一,但是区块链的技术核心仍然是围绕保护个人信息自决权展开,我国的《个人信息保护法》以保护私权利作为立法诉求,因此对公共法益的范围应该进行相应的限缩,尤其是在区块链等新兴技术的介入下,更要避免新兴技术对公共法益的过分扩张保护。在区块链技术的加持下,限制公共法益的价值范围需要基于个人信息的不同发展阶段、使用合约机制的差异以及区块链节点数量的不同进行区分解读,《个人信息保护法》作为功能性立法,(28)参见刘艳红:《中国反腐败立法的战略转型及其体系化构建》,载《中国法学》2016年第4期。需要将具体的公共法益参照标准限制在法律规范的价值功能范畴内。第一是时间要素,个人信息的不同发展阶段意味着公共法益与个人法益的权重比发生变化,在个人信息的后生命周期,公共法益的占比会随之上升,此时区块链技术介入后,如若为了公共法益就需要牺牲技术效率且增加不合理的技术应用成本,则应该限制对公共法益的保护。第二是合约机制要素,也就是区块链技术的原始运行机理,比如采用哈希化编校方案的区块链技术具有更强的技术灵活性,对于公共法益的影响较小,可以对个人信息进行合理处理,那么公共法益的范围也需要适当限缩,相反更应突出对个人信息自决权的保护。第三是节点数量不同,当个人信息被存储于多个节点时,其涉及的公共法益范围较广且关联较多,某一节点的变动可能会引起区块链上个人信息的连锁反应,此时区块链技术在处理个人信息时应该避免发生变动,限制公共法益的范围而优先保护个人信息的整体稳定性。总之,基于区块链技术的语境限缩公共法益的范围,应该拆解区块链技术的构成,并基于不同技术侧面强调对公共法益的限制,更多地将《个人信息保护法》的关注重心放在个人信息自决权上,才能更好地促进区块链技术创新,(29)参见Shahshahani S, The Role of Courts in Technology Policy, The Journal of Law and Economics, 2018, 61(1). pp. 37-61.同时为后续的合规监管提供量化依据。

(二)灵活解释区块链处理个人信息的方式

消解区块链技术与《个人信息保护法》之间的冲突,除了在立法上尽可能完善个人信息法律规范体系,同时也需要依据《个人信息保护法》对区块链处理个人信息的方式进行灵活解释,将应用区块链技术的核心灵活解释使其融入既有的法律框架内。实际上,宽松且灵活的实质解释路径能够在区块链技术与《个人信息保护法》的要求之间维持平衡,有助于防止《个人信息保护法》陷入空置化的窘境。

基于《个人信息保护法》的规范要求来灵活解释区块链处理个人信息的方式,需要参考《个人信息保护法》第4条的定义,即“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”,而上述操作流程都可以由区块链技术介入,因此法律规范对处理模式的限制也需要结合区块链技术特征进行实质解释。第一,对于区块链分布存储个人信息数据的行为模式,在涉及跨境存储个人信息时因为区块链的去中心化的技术特性而容易产生监管争议。《个人信息保护法》中对于跨境存储个人信息的规定是基于国家主权原则而倾向于将个人信息本地化存储,并倡导通过多边法律协助机制协调国际管辖冲突,这本身也符合个人信息数据的无形性特征。(30)参见吴玄:《云计算下数据跨境执法:美国云法与中国方案》,载《地方立法研究》2022年第3期。鉴于区块链技术的去中心化特征,必然有部分节点会被设置在境外或者其本身即为无实体的存储节点,那么在行为模式的规制上,不能机械地遵照既有规定,而应结合技术逻辑对区块链中的存储节点进行解释,只要个人信息的主体构成存储在境内的区块链节点上,就可以认为个人信息存储在境内。第二,考虑到区块链技术具有不可篡改性的特征,所以在删除行为模式上需要对《个人信息保护法》中的规定采用更为宽松的解释路径,将匿名化处理、断开、限制或屏蔽链上个人信息的访问路径等替代性方案作为实质删除的技术路径,(31)参见陈爱飞:《解释论视域下的区块链个人信息删除权》,载《南京社会科学》2022年第6期。采取了此种技术路径便可以认定达成了删除目标。对个人信息删除模式的宽松解释为区块链技术提供了更广阔的应用空间,受区块链技术原理所限,只要个人信息的核心识别性被破坏且难以追溯,实际上就达成了删除的效果,而这种宽松的解释路径也和GDPR的规定不谋而合,配合GDPR中关于个人信息删除的若干参考标准,可以为相关机构应对新技术背景下提出的删除请求提供衡量依据,(32)参见薛丽:《GDPR生效背景下我国被遗忘权确立研究》,载《法学论坛》2019年第2期。我国的《个人信息保护法》在采用了更为宽松的解释路径后也应该补充此类技术标准并且将其纳入合规任务的制定中。

总之,鉴于当前《个人信息保护法》面临的复杂多样的个人信息处理场景,在应对区块链技术带来的技术风险挑战时,需要对区块链技术处理个人信息的方式进行灵活解释,以此来保证个人信息得到合规处理,并确保个人信息的核心利益没有受到侵害。实际上,基于《个人信息保护法》来严格解释区块链技术的使用模式可能会打击技术发展的积极性,而过分限制区块链技术的应用显然不利于消除个人信息处理过程中的风险,(33)参见王海洋、郭春镇:《公开的个人信息的认定与处理规则》,载《苏州大学学报(法学版)》2021年第4期。对新兴技术采用宽松的解释模式实际上是技术发展的应然。

(三)个人信息保护法豁免处理技术责任

区块链技术的发展日新月异,迭代升级的技术路径具有潜在的处理效率优势,为了更加高效地处理个人信息,以《个人信息保护法》为代表的法律规范在合规监管过程中应该对技术本身持宽容的态度并部分豁免处理技术的应用。《个人信息保护法》可将一定程度的豁免纳入合规体系内,围绕个人信息自决权的实质法益展开保护,对于其他保护法益的监管则适当放松,同时对潜在的风险进行及时报送并探讨规范监管措施,这也符合《个人信息保护法》第53条“报送履行个人信息保护职责的部门”的规范要求。

GDPR中较为模糊地描述了某些关键节点的技术限制规范,提供了技术试错与责任豁免的空间,区块链技术可以在GDPR中的“灰色地带”寻求技术突破。对于区块链等新兴技术而言,法律规范在规定相关争议如何解决时基于技术是否侵害个人信息的实质法益来判断是否豁免责任,意味着法律与新兴技术之间达成“妥协”,促进了法律与技术间的良性互动。(34)参见Iancu A, The Role of the Courts in Shaping Patent Law & Policy, Berkeley technology law journal, 2019, 34(3). pp. 333-342.鉴于此,如果《个人信息保护法》对区块链技术秉持严格监管的态度,将会阻碍区块链技术创新并错失技术赋能的良机,对应的合规监管体系也会趋于滞后,无法对区块链技术的迭代升级做出及时应对,不利于区块链技术充分发挥出技术效能。

《个人信息保护法》对区块链技术应用的责任豁免,本质上是为了避免技术研发者和技术使用者在面对复杂多样的数字环境时承担苛重的责任。人工智能时代的到来意味着区块链技术面临日趋复杂的技术环境,而科技的不断发展所引发的高风险不仅需要法律规范进行预防,还需要技术迭代升级进行消除,(35)参见刘艳红:《刑法理论因应时代发展需处理好五种关系》,载《东方法学》2020年第2期。这就需要《个人信息保护法》为区块链技术提供较为宽松的监管环境与责任豁免空间,进而营造良好的技术发展环境。框定具体的责任豁免范围需要基于区块链处理个人信息所对应的实质法益展开,个人信息法益的内涵是公民个人信息自决权,公民有权决定如何处理自己的个人信息,而具体的处理技术方式也取决于其自身意志。(36)参见冀洋:《法益自决权与侵犯公民个人信息罪的司法边界》,载《中国法学》2019年第4期。鉴于此,只要区块链技术处理个人信息没有侵犯公民个人信息自决权,那么《个人信息保护法》就可以根据技术应用的实际情况、技术发展的现实水平以及处理信息的复杂程度提供一定范围的责任豁免。技术应用的实际情况主要考虑技术是否按照既定流程提供了个人信息处理的最佳方案,判断是否豁免责任需要参考区块链技术对处理个人信息产生的其他方面的影响。鉴于技术发展的现实水平,需要考虑区块链技术是否已经完全发挥出自身的技术效力,面对个人信息处理时能否在既有的处理能力内提供技术保障。衡量处理信息的复杂程度则需要考虑个人信息自身所处的状况,如若个人信息本身存在潜藏的风险,那么后续技术处理中只要没有增加风险就应该豁免技术的责任。实际上,《个人信息保护法》不仅要保护公民个人信息不受侵犯,其同时也要促进个人信息处理技术的进步,要求违反特定数据义务者承担侵权责任只是一种有效的补充或替代方式,(37)参见解正山:《个人信息保护法背景下的数据抓取侵权救济》,载《政法论坛》2021年第6期。而非法律监管的最终目的,《个人信息保护法》强调使用与保护并重,提供适当的责任豁免空间无可厚非,而且也并不存在成为违规避风港的风险。

总之,区块链技术和《个人信息保护法》的目标相对一致,区块链处理个人信息契合《个人信息保护法》提倡的保护与使用并重的诉求,人工智能时代法律归责体系也需要随之迭代升级,(38)参见周佑勇:《论智能时代的技术逻辑与法律变革》,载《东南大学学报(哲学社会科学版)》2019年第5期。推动区块链技术的部分责任豁免实际上有助于激发技术潜力。为了消除个人信息保护的积弊,通过优化区块链使用路径来提升安全性与透明度的行为不应被视为滥用技术,而应被视为优化《个人信息保护法》对个人信息的保护与使用模式的外部助力,体现出我国个人信息保护体系对网络时代公民个人信息权利保障诉求的回应。

四、基于个人信息保护法强化对区块链技术合规监管

区块链技术是未来处理个人信息的发展方向,因此《个人信息保护法》需要事先在法律规范的基础上结合技术发展境况构建对应的合规监管体系,在技术迭代升级的客观前提下,将个人信息保护的法律规范转化为具体的合规任务,推动区块链技术与《个人信息保护法》等法律规范之间的积极对话。(39)参见Schwerin S, Blockchain and Privacy Protection in the Case of the European General Data Protection Regulation (GDPR): A Delphi Study, The Journal of British Blockchain Association, 2018, 1(1). pp.1-77.在合规监管区块链技术风险的过程中,需要结合技术发展的实际情况调整合规监管的对象和技术路径,这种对区块链技术的外部干预契合了其发展的现实需求。(40)参见Jéssica N, Blockchain, Behavioural Remedies, and Merger Control: How can access remedies do better, Journal of European Competition Law & Practice, 2022, 13(3). pp. 167-186.为了确保区块链技术创新不被扼杀,相关法律规范必须完善技术指南来明确关于个人信息的违规条款,从而避免区块链技术陷入过于苛重的责任。(41)参见Mirchandani A, The GDPR-Blockchain Paradox: Exempting Permissioned Blockchains from the GDPR, Fordham Intellectual Property, Media and Entertainment Law Journal, 2019, 29(4). pp. 1201-1241.

(一)参考个人信息保护法规范制定合规任务

区块链技术与《个人信息保护法》配合的嫌隙来源于法律规范的滞后性导致其难以追随上技术升级的步伐,而法律规范在技术升级的过程中却始终扮演监管角色。在基于《个人信息保护法》塑造合规监管体系的过程中,合规任务是技术遵照执行的重点,而合规任务具体内容的确定则需要重新解读《个人信息保护法》中关于技术发展的规范内容,促使应用区块链技术的企业能够从外部规制转向自我管理,对应用区块链技术处理个人信息的潜在风险由事后规制模式转向事前预防模式。(42)万方:《合规计划作为预防性法律规则的规制逻辑与实践进路》,载《政法论坛》2021年第6期。

第一,将个人信息所有者事先同意作为区块链处理个人信息的合规前提,将知情同意制度作为合规任务予以考察。《个人信息保护法》第14条规定“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”,这一规范是塑造知情同意合规任务的规范依据。知情同意机制在个人信息处理过程中扮演合规出罪的角色,具有帮助区块链技术出罪的功能,虽然区块链的技术风险可能对个人信息处理带来冲击,但是只要其事先将技术处理方式告知公民并获得其同意,就可以在事后对可能出现的侵害公民个人信息自决权的行为出罪。(43)参见李立丰:《〈个人信息保护法〉中“知情同意条款”的出罪功能》,载《武汉大学学报(哲学社会科学版)》2022年第1期。.区块链技术本身就是促进信息流通共享的机制,《个人信息保护法》的立法目标就是确保个人信息所有者可以自由选择以明确同意的方式将个人信息的控制权交给区块链并由其进行技术加工。(44)参见周汉华:《个人信息保护的法律定位》,载《法商研究》2020年第3期。在合规监管体系中,将知情同意机制作为合规任务符合公开、透明原则,让公民参与到对区块链技术的合规监管过程中,既然公众在事前已经知道了区块链技术对自身信息的处理路径,那么在获得处理后收益的同时就应该将潜在的技术风险纳入合理的接受范围内。这保障了公民对自身个人信息处理的知情权,同时明确区块链技术的优势和威胁,(45)参见Rothchild, John A, Against Notice and Choice: The Manifest Failure of the Proceduralist Paradigm to Protect Privacy Online (or Anywhere Else), Cleveland State Law Review, 2018, 66(3). pp. 559-648.知情同意制度以合规任务的方式降低了个人信息处理的不确定性,将区块链技术这一新兴科技试验全方位纳入合规监管框架。

第二,调整《个人信息保护法》中对应处理个人信息权利的行为模式,在对个人信息处理模式进行宽松解释的基础上,将重新解释后的行为内容作为区块链的具体合规任务。以区块链的删除行为为例,《个人信息保护法》尚未规定在区块链技术中删除个人信息的具体含义,那么可以根据区块链技术的运行逻辑将合规的删除任务限定为将个人信息转移到新的访问权受限的区块或者在区块链中创建新的区块链分支,将上述两种删除个人信息的方式规定为合规有助于贯彻《个人信息保护法》对个人信息被遗忘权的保护,以此作为合规任务考虑到了区块链技术固有的不可篡改性特征,以转移访问或者创建新分支的模式覆盖节点中的原有个人信息,在实质上实现删除效果,同时避免合规任务和技术基础原理相冲突。对于区块链技术而言,技术发展需要限定在《个人信息保护法》的合规框架内,由于区块链技术的运行原理可能导致行为模式的创新和发展与法律规范相悖,因此需要对行为重新进行解释并作为合规任务敦促区块链技术遵守,否则区块链技术的应用将面临不确定的技术风险,合规体系的构建也会因此缺乏明确方向,甚至会阻碍区块链技术的推广。

总之,应基于《个人信息保护法》采用宽松的解释路径并结合技术发展现状围绕个人信息自决权法益塑造实质的合规任务,避免出现将法律规范的内容机械地转化为合规任务的情形,防止因为集体法益的抽象化导致法益保护原则的虚空。(46)参见刘艳红:《积极预防性刑法观的中国实践发展——以〈刑法修正案(十一)〉为视角的分析》,载《比较法研究》2021年第1期。合规监管体系的内在原理是特殊预防理论,(47)参见马明亮:《作为犯罪治理方式的企业合规》,载《政法论坛》2020年第3期。这和区块链技术作为新兴技术的特殊运行模式相契合,需要针对其在个人信息处理过程中的特殊情况加以预防,同时对一般性的技术路径保持开放态度。在个人信息风险层出不穷的背景下,制定合规任务需要在技术发展与规范要求之间寻求平衡,制定出真正满足公民个人信息保护需求且不会阻碍技术进步的合规任务。

(二)优化编校方案实现区块链技术合规升级

合规处理个人信息会倒逼区块链技术升级,在技术编校环节针对技术风险进行事先预防,在区块链技术的初始设计阶段优化其运行机理,通过调整区块链技术编校方案来规避使用争议以实现合规升级。实际上,域外区块链合规体系的完善已经促使诸如埃森哲公司等科技企业尝试改进区块链编校方案,消除区块链应用过程中的固有缺陷,(48)参见Ke H A, Xza B, Yi M C, Scalable and redactable blockchain with update and anonymity, Information Sciences, 2021, 546(15). pp. 25-41.其中典型的优化方案是具备特殊哈希功能的变色龙哈希(chameleon hash)区块链,当其被添加到链接链上两个区块的哈希函数中时会提供一个允许解锁区块之间链接的密钥,并在链上处理完个人信息后重新锁定区块,(49)参见Wu C, Ke L, Du Y, Quantum resistant key-exposure free chameleon hash and applications in redactable blockchain, Information Sciences, 2021, 548(1). pp. 438-449.而这正好满足《个人信息保护法》对个人信息处理提出的补充更正权、被遗忘权和可携带权的要求,通过编校方案预先在技术层面实现合规监管。(50)参见吴燕妮:《金融科技前沿应用的法律挑战与监管——区块链和监管科技的视角》,载《大连理工大学学报(社会科学版)》2018年第3期。变色龙哈希虽然在一定程度上破坏了区块链固有的去中心化及不可篡改的特征,但是其扩张了区块链技术的应用场景,在实际功能上将区块链的节点存储转化为数据库存储,通过技术原理改进实现对个人信息的合规保护并保护了个人信息的实质法益。

以变色龙哈希为代表的新兴区块链技术在编校方案中预设合规解决内生性冲突的技术路径,而这种编校方案能够保持合规的原因是其将个人信息存储在数据库而非单个链上的节点中,这同时也符合《个人信息保护法》第40条“将个人信息存储于境内的关键信息基础设施”的规定,将法律规范转化为合规基础。相较于传统区块链技术将个人信息存储在不同的无实体的链上节点,存储于形象具体的数据库中显然更容易进行合规监管,防止个人信息在跨境传输过程中出现泄露。变色龙哈希在处理个人信息时,除了链上对外展示的个人信息,备份的哈希化个人信息与哈希运算时输入的原始个人信息一一对应,并单独存储在数据库中,而数据库则是合规监管的重心,形成了区块链合规处理个人信息的程序闭环。(51)参见Herian R, Blockchain, GDPR, and fantasies of data sovereignty, Law, Innovation and Technology, 2020, 12(1). pp. 156-174.当个人信息主体行使被遗忘权时,数据库中哈希化个人信息以及对应的原始个人信息会被销毁,区块链上的个人信息与数据库中的个人信息之间的链接会被切断,区块链上的个人信息也就无法用于识别个人信息主体,从而达成删除效果。这种编校方案的区块链技术同样可以用于处理与回应个人信息的补充更正权和可携带权,其整体技术流程都在合规框架下运行,既没有突破《个人信息保护法》的规范要求,也没有篡改区块链的技术核心,当哈希化的个人信息都存储在数据库上就可以按照《个人信息保护法》的要求进行更改,降低以区块链为代表的新兴技术给个人信息法律保护体系带来的影响与冲击。(52)参见罗勇:《特定识别与容易比照:区块链背景下的个人信息法律界定》,载《学习与探索》2020年第3期。

针对新兴区块链技术编校方案构建合规监管体系,需要将《个人信息保护法》作为合规依据用以保护区块链技术优势,通过技术合规提升个人信息处理效率,在技术编校的初始阶段借助《个人信息保护法》的规范要求来保障技术优势。以哈希化编校方案中的数据库为例,数据库作为技术核心不能放任外界修改其中存储的个人信息,并且要求对修改过程进行备份且实现记录可追溯,保证信息主体知晓是谁在访问或修改数据库中的个人信息,保障数据库处理个人信息的透明性,将《个人信息保护法》第55条“个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录”转化为具体的合规任务并遵照执行。哈希化编校方案中对数据库进行合规监管,需要参考法律规范对技术方案的要求,在技术创新的基础上增加合规保障,以数据库取代节点存储是在技术赋能驱动的同时强调合规监管,并对新兴技术构成进行预先的合规审查。(53)参见黄震:《区块链在监管科技领域的实践与探索改进》,载《人民论坛·学术前沿》2018年第12期。

总之,基于对《个人信息保护法》的实质解读,通过优化区块链编校方案实现区块链技术的合规升级,是合规框架下区块链技术进步的必经之路。区块链技术的迭代升级过程需要在保证使用效率的基础上依据《个人信息保护法》的具体规定进行合规监管,编校方案决定了区块链技术的运行机理,预先设置合规监管体系能够避免因技术升级所导致的潜在处理技术越界风险。

(三)基于区块链技术发展方向明确合规对象

对于应用区块链技术的企业而言,强化合规监管并将合规计划纳入企业犯罪治理体系可以规避风险社会中“创新就可能犯罪”的风险,针对以区块链技术为代表的技术创新,需要明确具体的合规对象从而限制技术处理方式。实际上,经过区块链技术处理的个人信息作为合规对象被赋予了全新的价值内涵,合规处理后的个人信息属于《个人信息保护法》第4条规定的匿名数据,个人信息的可追溯性等要素都被区块链技术进行重组与改造并服务于不同的社会交流矩阵中。(54)参见Post D G, Pooling Intellectual Capital: Thoughts on Anonymity, Pseudonymity, and Limited Liability in Cyberspace, University of Chicago Legal Forum, 1996, 5(1). pp. 139-169.区块链技术对个人信息的技术改造改变了其基本属性,改造后的个人信息属于合规监管的重点,既要保持处理流程合规,又要确保个人信息的自身构成合规。

经过区块链技术合规处理后的个人信息是具体的合规对象,而个人信息的构成特征则是合规保护的重点。以当前被广泛应用的哈希区块链技术为例,处理后的个人信息的内在价值属性被深度改造,具有匿名性和不可追溯性的典型特征:在匿名性上,哈希化将个人信息的构成分散到不同的节点和数据库中,外界只能部分获取个人信息的内容,个人信息所有者的数据将会被隐藏;而在不可追溯性上,只要切断哈希链上个人信息与数据库中个人信息之间的关联,那么自然无法对个人信息的所属进行反向追溯。鉴于此,明确区块链合规处理的个人信息作为合规对象,可以发挥合规监管体系的强制力,参考《个人信息保护法》的规定展开合规监管。在处理流程上,明确合规对象可以避免处理流程中的权利争端,在合规框架下利用区块链技术处理的个人信息能够在一定范围内规避权利保护争议,以预设合规的方式肯定区块链技术对个人信息的处理模式,按照法律规范对个人信息进行逐步拆解与运算,防止其中的个人隐私泄露。在面对可能存在的技术威胁时,强调对合规对象的保护能够重塑公民对法律保护个人隐私的信心,合规处理后的个人信息在价值内涵上得到区块链技术的加密保护,以节点分布的方式降低了个人信息完全泄露的风险,从而构建了从技术路径到个人信息保护的整体合规处理流程,(55)参见顾理平:《区块链与公民隐私保护的技术想象》,载《中州学刊》2020年第3期。充分发挥区块链技术的合规处理效能。对于应用区块链技术的企业而言,明确合规对象意味着合规任务有了明确的保护目标,相应的合规保护措施也可以据此展开,从而将人工智能技术产能通过制度由公权力应用引向私权利保障,(56)参见李小猛:《司法大数据和法律人工智能的唯公权力化倾向及应对——以私权保障为中心》,载《苏州大学学报(法学版)》2020年第4期。将技术进步的时代红利以合规的方式应用于保护个人信息。

总之,对个人信息的合规监管首先需要明确合规保护的对象,将合规处理后的个人信息作为合规监管体系的保护核心,限缩了合规体系的监管范围,避免区块链负担过重的监管成本,同时能够对可能存在的犯罪风险进行精准的事先预防。围绕合规处理后的个人信息展开技术升级与体系建构,意味着《个人信息保护法》的保护内容有了明确的落脚点,而对公民个人信息自决权的保护也在传统个人信息的基础上增加了对处理技术的考量,通过保护合规对象实现对处理技术的监管,在保障合规处理后个人信息的实质法益的同时强化了区块链的技术优势,推动重点化构建、系统化推进、协同化衔接的个人信息合规监管体系的建设与完善。

结语

区块链技术代表了未来人工智能的发展方向,个人信息作为未来社会的重要生产资料,如何对其加以利用成为科技发展所必须思考的问题。区块链技术不能无限制地被应用于处理个人信息,而是应该基于《个人信息保护法》等法律规范的要求,在预设的合规框架下发挥自身的技术效能。区块链技术与《个人信息保护法》之间配合使用的内生性冲突,需要从法律规范与技术发展两个方面进行双向纾解,一方面推动区块链技术的合规化改造实现技术升级,另一方面调整相关法律的规范内容与解释路径,使其能更加有效地预防新兴技术风险。从区块链技术长久发展的角度来看,合规监管是推动区块链技术广泛应用并参与科技产业活动的外部保障,通过合规体系引导区块链技术实现跨越式发展,能为破解个人信息治理困境提供全新可能,(57)参见王禄生、王爽:《困境溯源与模式创新:基于区块链的个人信息合作治理研究》,载《中国行政管理》2020年第12期。确保其能够真正地发掘出个人信息的潜在价值。

猜你喜欢
保护法法益合规
我国将加快制定耕地保护法
未成年人保护法 大幅修订亮点多
对企业合规风险管理的思考
外贸企业海关合规重点提示
GDPR实施下的企业合规管理
犯罪客体要件与法益概念的功能性反思
浅谈刑法中的法益
聚众淫乱罪的保护法益及处罚限定
论刑法中的法益保护原则
侵犯销售假冒注册商标商品罪法益的界定