其他
刘宁元 闫飞:区块链技术应用与GDPR紧张关系的构成及调和 | 齐鲁学刊202002
内容提要:欧盟GDPR(《一般个人数据保护条例》)于2018年5月正式生效,在法律适用方面,GDPR与区块链技术应用存在一定的紧张关系。对二者紧张关系的构成研究,宜采取由宏观至微观的构建方法。宏观层面分析,尽管区块链技术与GDPR有目的同向性,但区块链技术应用与GDPR确实存在法律适用的紧张关系。从微观层面看,区块链应用与GDPR的紧张关系主要体现在个人数据概念归入和数据控制者及处理者识别问题上。紧张关系调和应当采取二分法,从法制完善层面及应用完善层面双解决。
关键词:GDPR;区块链应用;紧张关系;法律适用
一问题的提出
近年来,欧盟《一般个人数据保护条例》(General Data Protection Regulation, GDPR)与区块链技术已经成为互联网、信息、经济、金融、法律领域乃至全社会所普遍关注的重要概念,区块链的研究与讨论成为了学术热点问题。伴随着GDPR于2018年5月正式生效,GDPR的法律规制与同期兴起的区块链技术之间是否存在法律适用紧张关系?应当使用什么法律方法进行构成分析?如果紧张关系确实存在,则又应当如何谋求二者的有效调和?上述问题都亟待理论和实践层面的专题研究。在区块链与GDPR相关法律问题研究领域,目前的研究成果主要集中在欧洲大陆,其中尤以基础问题研究为主。同时,相关研究普遍偏重于技术层面分析,而忽略了法律价值和法律方法的分析,或虽有运用法律方法进行问题梳理,却未能就相关问题展开体系化分析研究。而国内对于相关问题的研究尚在起步阶段,部分问题尚待讨论。我们知道,一个法律制度若要恰当地完成其职能,要同时力求实现正义与创造秩序,GDPR与区块链技术应用的调和问题的研究目的,就在于分析相关问题的法律价值的同时,讨论如何构建以新技术为框架的新秩序。
(一)GDPR的立法新突破。GDPR(《一般个人数据保护条例》)是欧盟个人数据保护和个人隐私保护领域的最新立法,该项立法总结了欧洲上世纪末至本世纪初以来的个人数据、隐私法保护经验,并在原有法律规范性文件基础上进行了诸多“升级”,也是当前世界范围内最为完善、最具实施力的个人数据保护法律制度。GDPR是在欧洲个人数据保护失效风险事件频发的时代背景下出台的。近年来,Facebook泄密、监听门等数据安全事件屡见报端,这使得一贯重视个人数据保护的欧盟希望通过加强立法完善其个人数据保护机制。
GDPR旨在全面实现欧洲自然人个人数据的保护,同时促进信息、技术的自由流动,其脱胎于欧盟1995年《个人数据保护指令》(Data Protection Directive 95/46/EC, DPD)。在承袭了DPD基本原则和立法逻辑框架的基础上,在法制适用方面,GD-PR广泛扩大了其法制适用范围,并进一步加强了欧洲个人数据保护的法规处罚力度,这使其成为该领域立法的标杆。GDPR的核心是加强对个人数据权利的保护:其一,明确个人数据保护相关的主体与客体。其主体可以抽象为权利主体、义务主体和监管主体等三个大类,每一类主体也因其不同特征得以明确定义。在客体方面,GDPR数据保护客体--“个人数据”概念范围得到进一步扩大。与此同时,GDPR也将普通个人数据与敏感个人数据进行了明确区分,并就普通个人数据与敏感个人数据的保护设置了不同的标准。其二,以更高位阶的法律规范性文件细化相关主体的权利义务。在GDPR之前的DPD属于欧盟指令(EU directive)层级的法律规范性文件,其立法内容需要经过欧盟成员国国内法转化方可得以实施。而GDPR作为一项欧盟条例(EU regulation),其在欧盟法律体系中拥有更高的法律位阶,其无需进行成员国国内法转化,即可实施。因此,GDPR的适用更直接,法律指引、保护、惩戒效果更为显著。其三,GDPR有效地确定了违反个人数据保护义务的判断标尺、监管程序及法律救济途径。GDPR将数据保护主管部门DPA的作用及管辖权加以明确,并细化规定了包括一站式主管机制在内的诸多执法协调机制。同时,GDPR设置了明确的违法及不合规处罚标准。GDPR被誉为“史上最严”个人数据及隐私保护法。
(二)区块链技术革新与挑战。区块链技术,是近年来互联网信息科技的“最热”概念。区块链技术,凭借以比特币(Bit-Coin)为代表的数字金融资产应用,超越了传统科学技术研究领域而受到社会大众的广泛关注。事实上,区块链技术的应用场景十分广泛,例如包括智能合约、数字身份识别领域,甚至涉及人道主义援助领域。区块链技术的主要原理,是通过去中心化、分布式记录账目的架构实现信息数据的控制处理。区块链技术的相关应用通常具备抗篡改的功能,其具有数据加密效果。区块链技术的革新价值广受关注,是人类自互联网时代以来最重要的技术革新之一。
去中心化的技术革新有益于实现信息权利的民主化,通过去中心化理念的实施,信息控制权(理论上)得以真正交还数据主体自身,个人数据安全因此获得保障。区块链技术架构的核心是通过哈希函数(hashing function)算法对数据进行加密,客观上,这种加密技术的应用也有益于个人数据保护。在区块链技术应用实施的维度中,以其开放或封闭程度不同,区块链技术具体应用可分为私区块链和公区块链,后者开放性较之前者更为显著。尽管区块链技术可以在一定程度上实现数据加密,但是关于区块链相关的数据安全问题仍然备受关注。区块链是否已经受到妥善的法律规制等问题,受到了广泛质疑。
GDPR法律制度是构建于现有经济基础和社会组织之上的上层建筑,考虑到技术革新往往领先于法律制度改革,其二者之间产生紧张关系符合客观规律。此外,GDPR强调对数据控制者及数据处理者的法律规制,是中心化法律规制的体现,无论是公区块链亦或是私区块链,都难以简单归入GDPR的法律规制范畴。
本文旨在运用宏观及微观构成法,讨论区块链技术应用与GDPR之间存在的法律紧张关系,从法律实施角度审视与区块链技术应用相关的个人数据法律规制问题。在寻求紧张关系调和的路径上,以二分法为基础,讨论调和方案。
二宏观构成:紧张关系的逻辑基础
(一)区块链技术与GDPR具有目的同向性。GDPR法律规制的核心目的,首先在于保护欧洲自然人的个人数据,其基本精神承袭了欧洲《保护人权与基本自由公约》第8条之原则,即人人有权享有使自己的私人和家庭生活、家庭和通信得到尊重的权利……。上述基本权利驱动因素,决定了对个人数据的保护成为GDPR的根本目的。与此同时,GD-PR也承担着促进数据信息自由流动的任务,其驱动因素在于具体经济发展及社会进步需求,属于软性目的。因此,不难判断,前者是根本、主导的立法目的,后者是辅助、伴随的立法目的。当二者出现冲突,毫无疑问,保护自然人个人数据的目的应当优先,而这种取向则在GDPR严格的数据保护条文中得以处处体现。
反观区块链技术,假使某项技术本身有其目的性,从区块链技术在比特币中的应用来看,其所追求的目的在于:通过去中心化特性的实际应用,促进数据信息的自由流动,同时确保信息安全。从另一方面看,新的信息技术本身,正如人类历史上出现的其他科技革新一样,必然是法律目的中立的。例如,我们不能以第二次世界大战中原子弹的使用,而认为原子物理技术具有危害人类的目的性。由此可以推出,从GDPR和区块链技术的顶层设计角度分析,GDPR和区块链技术的价值取向都是保护数据主体的信息确定性、安全性,并促进数据信息更畅通地流动。因此,区块链技术与GDPR本身不存在冲突或紧张关系,相反,二者具有明显的同向性。
(二)区块链应用与GDPR存在紧张关系。GD-PR针对个人数据的保护以中心化为顶层设计架构,与其他任何调整自然人权利义务关系的法律制度一样,个人数据保护法以明确相关主体(权利主体、义务主体等)为基础,法律关系中的主体便是各方的“中心”。例如,GDPR的法律实施以欧盟数据保护理事会、欧盟法院及成员国法院等机构为中心,以数据保护机构为数据保护的具体执法机构,以属地管辖为基础,这便强调了监管机关的中心作用。在具体区块链应用中,确认数据控制及处理者的物理位置比较困难,同时,难以明确数据保护机构及其管辖权。因此,当区块链技术进入个人数据控制及处理应用领域,其与GDPR的紧张关系不可避免地发生了。在这一对紧张关系中,甚至可以说,技术应用将挑战立法中最基础的法律价值与原则。甚至,因其本身具有规则性,区块链的具体应用在其范畴内具有替代法律的动向。
在公区块链应用中,区块链应用与GDPR的紧张关系具体体现在规则的逻辑冲突上。公区块链数据交互不受物理或封闭式网络限制,其允许通过外部机制进行识别,并将数据记录添加到区块链上验证者参与的各区块中。应用于公区块链的数据协议诞生已久,其被称为拜占庭容错协议(Byzantine Fault-Tolerant, BFT),BFT是一种开放式的数据交换协议。通过BFT或类似开放式数据交换协议,公区块链完成对相关主体的识别。识别过程不可避免地涉及GDPR项下的数据主体及其个人数据信息的控制与处理。在公区块链的应用中,预先设计的BFT或其他类似协议发挥“规则”作用,通过分布在不同地区承认该协议的区块或节点,区块链应用对所涉及的个人数据进行分布式处理。因此,公区块链的顶层设计似乎“天生地”与GDPR的法规存在冲突。事实上,公区块链与GDPR的紧张关系反映了去中心化应用与法律制度体系整体的哲学冲突,即法律制度本身就是中心化的制度产物,而公区块链应用却旨在从逻辑架构上去除中心化控制。
在私区块链领域,冲突主要体现在监管的应然性与实然性不匹配的问题上。在私区块链中,用户可以通过假名添加记录或验证交易,但是由于其数据交互仅仅发生在有限的定义范围内,私区块链上的数据信息更易被破解,通常的破解方式是恶意注册虚假用户。在私区块链的运行中,数据协议仍然存在。由于封闭式区块链的范围的有限性,理论上说,GDPR数据主管机构可以识别链上全部的数据控制者及处理者,通过这种识别,相关数据可以被主管机构完全掌握。然而,在实践中,为了确保区块链上的数据保密,私区块链通过扩大链上用户数量来降低破解风险,同时设置了各种模式的管控障碍。此外,私区块链上的数据经过哈希算法加密处理,监管机构仅在理论上有机会通过找寻责任主体的方法来识别私区块链上各方的身份。
三微观构成:紧张关系的内容
(一)归入分析悖论。GDPR的法律规制仅针对个人数据信息,因此,识别相关数据信息是否属于GDPR定义的个人数据是首要问题。GDPR规定,任何与被识别或可被识别的自然人相关的信息均属于个人数据。从整体逻辑概念上,以上概念似乎是无所不包的,无疑区块链技术应用上的数据应当归入GDPR个人数据的概念范畴。然而,从个别区块节点角度分析,区块链技术应用上的数据无法归入GDPR。这便构成了一个归入悖论。
GDPR项下“个人数据”概念的排除适用条件是:完全匿名。针对完全匿名的问题,从归入角度分析,似乎区块链上的个人数据无法完全排除GDPR个人数据概念的归入。根据欧盟GDPR第29条工作组意见,构成完全匿名的门槛较高,只有在数据信息不可回溯地完全不能识别自然人的情况,才能认定其不属于GDPR项下的个人数据。鉴于区块链应用上的数据应当便于数据主体的调取和使用,完全匿名的要求也与之相冲突。
此外,GDPR中要求的完全匿名,实际上是对数据主体与数据之间的所有连接点进行切断。举例,欧洲自然人A的个人电子邮箱地址构成一项个人数据,某单位对该项信息进行采集,并在数据系统中存储内容为:aaa@xxx.com。作为信息保护措施,某单位在系统内对该项数据进行了加密保护,并实现只有通过唯一密钥才可查阅上述数据。根据GDPR及第29条工作组的意见,该项数据归入个人数据,原因在于,可以根据数据内容最终识别数据主体--欧洲自然人A。前例稍作改动,当某单位进行信息采集时,仍然收集欧洲自然人A的电子邮箱地址信息,但在其数据系统中存储内容为“欧洲某自然人有xxx.com邮箱地址一项”,同时不将该项数据与欧洲自然人A进行任何关联,并采取同样的加密保护措施(甚至不采取加密保护措施)。由于通过该项信息数据根本无从识别欧洲自然人A,该项数据将落入GDPR个人数据概念之外,进而某单位无需履行GDPR项下的个人数据保护义务亦不会因此承担不利法律后果。从前两例可以看出,当我们讨论GDPR所定义的个人数据概念,问题的核心不在于数据控制或处理是否以中心化形式进行,而在于数据处理逻辑本身。区块链技术或任何当下为人所知的加密技术并不能根本改变该逻辑。事实上,区块链应用的加密技术在欧盟被认为是一种假名化技术(pseudonymisation technique),而非一项匿名化技术(anonymization technique),这也进一步佐证了,即使通过加密技术对相关数据进行加密,这些数据信息仍然可能构成GDPR项下的个人数据。区块链应用上经过哈希算法处理的数据信息,同理也应当落入GDPR法律规制下的个人数据范畴。
然而,当我们从另一个角度分析,这个问题却将得出不同结论。区块链技术应用上的数据在经过哈希函数算法处理后落入不同的区块进行存储记录,也就是说,无论在私区块链还是公区块链的任何具体区块上,具体区块所能控制或处理的只是数据的一部分,即数据碎片。在这种情况下,个别区块上的数据信息,即使其原数据内容是可以识别自然人的信息,却也无法独立完成对原数据主体的识别。因此,GDPR对于区块链应用的适用无法及于个别区块,个别区块或节点也因此无法构成GDPR法律规制下的数据控制者或处理者。当区块链上的个别区块或节点无法归入GDPR,则整个区块链应用从逻辑上也应当无法归入GDPR的法律规制。
那么,个别区块或节点是否可以被视为GDPR定义的共同数据控制者呢?在公区块链的理想架构设计中,并不存在所谓的运营者,每个节点都不受外部指示自主决定加入区块链,并根据协商一致的协议进行数据存储。这意味着,每个区块节点都是独立于整个区块链或是其他任何一个区块节点的,数个单一区块节点之间,并不存在共同处理某项具体数据信息的协商意思表示。因此,个别区块节点(无论其数量)都无法构成GDPR所规制的共同数据控制者。从个体区块节点角度分析,至少是公区块链技术应用上的自然人相关数据信息将无法受到现有GDPR的法律保护。而私区块链技术应用上产生共同数据控制者的可能性也仅存在于理论层面。
当我们从GDPR法律规制角度推演,区块链应用上的个人数据属于GDPR定义的个人数据范畴,然而从区块链应用角度推演,则得出相反结论。这种概念归入的悖论,形成了微观层面的首要冲突。
(二)主体识别困境。关于GDPR的中心化架构设计规制,前文已经提及但未展开。当GDPR论及数据控制者和数据处理者,事实上其概念已经假设存在一个或多个数据控制处理中介或平台。然而无论在现有的或概念中的区块链技术应用中,区块链的开发者通常都宣称其区块链并不存在所谓的中介或平台,因此从这个维度上看,GDPR的法律实施无从找寻到其定义的数据控制者、数据处理者。当主体识别问题无法解决,GDPR的适用性必然受到挑战。事实上,当区块链应用宣称其数据记录及存储过程没有中介平台参与时,尽管无法穷尽列举,以比特币为代表的区块链技术应用确实有开发者并且甚至可以实际追溯到决定个人数据处理的主体。这种溯源必须要仰仗技术手段,甚至溯源本身就必须建立一项区块链数据路径。
此外,GDPR法律规制中的数据保护责任主体概念十分明确。数据控制者,是指单独或与其他主体共同决定个人数据处理的目的及手段的公私主体;数据处理者,是指代表数据控制者处理个人数据的公私主体。从上述两项概念中不难推论:首先,GDPR对于两项关键主体的构成不是当然适用的,相反必须在满足特定的行为模式之前提下才能够成功完成归入,这就是GDPR数据控制者或处理者的行为要件。其次,数据处理者法律主体的存在,以数据控制者的法律主体之存在为必要条件。在一项数据处理系列行为中,首先必须得到确认的责任主体是数据控制者,因此,数据控制者的构成是评价区块链应用中的个人数据“处理”能否纳入GDPR规制的充要条件,即无数据控制者则无数据处理者。再次,从行为构成角度看,上述概念默示地隐含着两项要件,即意思表示要件和行为结果要件,二者缺一不可。控制和处理个人数据具有一定的目的性,并以产生法律后果为构成要件。
前文已经对个别区块节点的主体问题进行分析,关于这方面的问题,在此不做赘述。论及区块链技术应用的开发者,首先应当明确,区块链技术开发者是具体应用中技术规则的制定者,其重要程度相当于区块链应用的“立法部门”。然而,技术开发者并不直接参与具体应用的运营,缺乏构成数据控制者或处理者的行为结果要件,从主客观上,这也直接导致其无法满足意思表示要件的构成。因此,在区块链应用的相关主体中,无论是区块链整体,或是个别区块节点,还是区块链技术应用开发者、技术规则制定者,都难以明确归入GDPR法律制度下的数据保护责任主体之概念。
综上,个人数据概念归入的悖论以及责任主体的识别困难两项问题共同确立了GDPR与区块链技术应用紧张关系的微观构成。
(一)法规层面:完善GDPR相关主客体概念。尽管GDPR是一项相对较新的个人数据保护法律,但是其本身架构基本沿用了旧有的DPD,为了适应新的去中心化数据控制及处理方式,其应当考虑尽快调整完善。GDPR的法规修订,应当考虑如何将新的技术领域中的相关主体归入GDPR的数据控制者、数据处理者之概念的问题。
首先,应当细化数据控制者及数据处理者定义,并扩大个人数据概念的涵盖范围,以解决归入悖论。在无法解决中心化立法和去中心化技术应用之间的根本矛盾之前,出于个人数据保护的首要立法目的,GDPR的具体条款应当确认个人数据的范围包括(经哈希函数算法处理的)区块链上个人数据。同时,有必要直接将区块链应用相关的主体列为数据控制者或处理者,特别是私区块链技术应用上的运营者。然而,在进行概念扩张的同时,应当注意适当控制扩张范围,以避免因为概念扩张过泛而丧失了法规的科学针对性。在定义设计方面,应当专门根据区块链应用实践的特点进行多方面的立法设置,例如:实体方面,应当明确,不能通过技术手段实现识别自然人身份的区块链上信息不属于GDPR项下的个人数据。程序方面,当数据主体主张区块链技术应用侵犯其个人数据权利时,应当推定私区块链运营者或公区块链开发者属于GDPR项下的数据控制者或处理者,除非相关主体能够举证排除GDPR适用或者证明其主体不适格,即举证责任倒置。举证责任倒置的设置原因在于,通常自然人在其与区块链技术应用的技术对抗中往往处于劣势,处于技术优势的私区块链运营者或公区块链开发者都属于技术不中立的强势一方,其应当首先承担举证不利的法律后果。其次,应当引入数据协议、应用开发者责任主体的概念。在真正的公区块链中,不存在传统定义中的运营者,数据协议、应用开发者有权决定数据处理的程序,因此,这些主体应当对数据保护承担法律义务。具体而言,尽管区块链技术是中性的,区块链技术应用的开发也应当遵循有利于保护自然人数据主体的原则。假设公区块链应用确如其所标榜的可以实现去中心化运营,链上各区块节点根据数据协议以及应用设置运转,如果不对开发者加以约束,开发者将拥有决定数据处理规则的权利,同时却不受任何规则的约束,则极易造成权利义务的失衡。因此,应当考虑类比民事侵权法中的公平责任原则对GD-PR的相关条款进行修订,为公区块链中的这类主体设置义务,以确保数据协议、应用开发者在进行具体撰写、开发过程中为区块链数据协议及具体应用注入数据保护机制。
此外,如果采纳该做法,GDPR将在一定程度上突破现有的中心化主体思维,实现主体识别的去中心化。主体识别的去中心化并不是不识别主体或者将不适格的主体列入GDPR规制,而是应当尝试摆脱过分关注一项或多项具体数据处理行为进行判断的窠臼,转而以实际影响数据处理结果为标准,对主体进行识别。从立法技术层面,在引入新主体的同时,显然不能简单照搬现有的数据控制者或处理者的义务,应当考虑数据协议、应用开发者的实际情况,制定配套的数据保护义务规则。从法律实践层面,必须注意到,尽管此类主体具有较强的技术能力,但其本身可能并不具备充足的财务能力。在涉及较多个人数据主体的GDPR行政处罚、民事案件中,GDPR的规制对象往往是诸如谷歌、英国航空公司这样的大型跨国企业,而区块链数据协议、应用开发者责任主体则并不一定具备同等偿债能力以大规模补偿个人数据主体的经济损失。因此,相关制度设计应当优先倾向于事前事中预防性法律规制。
(二)应用层面:区块链+数据保护机制。作为欧盟层面的成文立法,GDPR的具体修订需要经过较长的立法程序,然而,利用工作组报告或其他补充文件进行法律解释亦无法全面地调和GDPR与区块链应用的紧张关系问题。因此,除了考虑立法的完善,也应当从技术应用设计层面考虑冲突的调和。从区块链技术应用架构设计层面,可以增设数据保护机制,明确个人数据保护义务主体责任并实现个人数据完全匿名化,以解决区块链技术应用的个人数据保护机制缺失问题。
增设数据保护机制的构想,可以实现从物理层面切断个人数据与区块链应用的实际联系,从而解决GDPR法律条款无法对应适用的问题。另一方面,在确保各方享受区块链技术带来的便利性之基础上,这种设置也可以兼顾链上个人数据的安全性。区块链+数据保护机制的构想模型如下:
在此架构模型中,数据保护主体端是重要的GDPR项下数据保护责任主体,其在实践中应当具有适当的技术能力和充分的财务能力。具体而言,数据保护主体端在控制和处理个人数据的过程中应当利用加密技术对相关数据进行处理,避免将未经处理、未经完全处理的GDPR项下个人数据上传至区块链应用,以实现风险控制。此外,如果出现数据保护侵权或不合规行为,其应当具有充分的财务能力以承担潜在的法律责任。
法律制度从来不是引领科学技术发展的动力,科学技术却也无法完全脱离现有法律的规制。脱离GDPR的个人数据保护规制,区块链技术应用上的个人数据将无法得到妥善保护,而过分强调监管则可能限制数据信息的自由流动。然而,不容否认的是,在世界各国的政治、经济体制内,以立法为主导的个人数据保护法律制度仍将是个人数据信息权利人赖以主张权利的制度体系。因此,在法制框架内规范新技术的实施仍然是解决二者冲突的基本途径。
随着区块链技术广泛投入实际应用,相信涉及具体处理个人数据的冲突实例很快将层出不穷。在缓解二者紧张关系的过程中,不论立法者还是技术开发者,都应当采取措施力求实现双向调和。
《齐鲁学刊》于1974年4月创刊,是曲阜师范大学主办的综合性人文、社会科学类学术期刊。《齐鲁学刊》近几年来先后被评为山东省优秀期刊、全国中文核心期刊、中国人文社会科学核心期刊、中文社会科学引文索引(CSSCI)选用期刊、 全国百强社科学报、中国人文社科学报核心期刊、中国人文社会科学引文数据库来源期刊、中国学术期刊综合评价数据库来源期刊,并数次入选美国R·R·BOWKER公司出版的国际权威性大型期刊介绍工具书《乌里希国际期刊指南》,在国内外学术界有良好的影响和声誉。
-END-
点击相应图片识别二维码
获取更多信息
北大法宝
北大法律信息网
法宝学堂
法宝智能
点击「在看」,就是鼓励