陈爱飞：解释论视域下的区块链个人信息删除权

本文载《南京社会科学》2022年第6期

作者：陈爱飞，中南财经政法大学法学院讲师、博士

摘    要：

在区块链场域中，个人信息删除权的行使与区块链记录的完整性、防篡改性、可追溯性等原生特性存在实践悖论，往往在技术上难以实现。由于我国现有关于个人信息保护的立法并未明确界定“删除”的含义，导致个人信息处理者在回应公民的链上个人信息删除请求时面临多重困境：链上删除存在法律解释难题，其是否与数据最小化原则相抵触，以及链上删除对算力要求过高等。为此，有必要基于解释论立场，以法律规范解读下的绝对删除与相对删除为切入点，多维度解释“链上删除”的含义。通过匿名化处理、断开、限制或屏蔽链上个人信息的访问路径等替代性方案发挥实质性删除效果，抑或从访问控制与链外存储的二元结合、历史记录追溯与特定信息检索的双重满足等方面构建“链上+链外”的个人信息删除权协同保障机制。

关键词：区块链  个人信息删除权  法律解释  NFT侵权第一案  替代性方案

一、问题的提出

数字时代个人信息的价值正不断凸显，网络平台能够通过应用程序、算法等形式收集用户的隐私信息，并以此建立几乎无限的数据点，若如此庞大的个人信息群缺乏足够的安全保障机制，将给公民的个人信息保护造成严峻挑战。我国《民法典》《个人信息保护法》等法律法规为公民的个人信息保护确立了一个大致的权利集群，如访问权、收集权、修改权、删除权、限制及反对处理权等。《民法典》第1037条第2款规定：“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。”《个人信息保护法》第47条、《电子商务法》第24条、《网络安全法》第43条更为细致地规定了何种情形下能够请求删除个人信息。上述规定不仅确立了与个人信息相关的基本权利与数据保护框架，也为个人信息删除权的行使提供了法律保障。

区块链去中心化特性伴生的信息管理权下放至个人信息处理者(网络平台)的做法是一种完全不同的数据管理模式。然而，应当注意的是，就区块链个人信息保护而言，该模式下的个人信息上链既可能促进交易安全，也可能导致公民的个人信息删除权受损。更有甚者，链上删除权的行使与区块链的完整记录、防篡改、可追溯等技术特性存在矛盾。具体体现为：其一，防篡改性是区块链的核心特征，从删除难度来看，立法所确立的各项规则在私有区块链尚有适用空间，但却难以适用于公共区块链，此时，个人信息处理者如何与信息主体协作修改或删除链上的个人信息将成为一大难题。其二，当在区块链上处理个人信息时，如何在合理解释删除权的基础上遵守个人信息保护规则，减少其与数据最小化等原则的冲突，进而提供多元化的替代性删除方案，也是不可忽视的问题。其三，修改权也是个人信息保护的一项基本权利，如果区块链能够与删除权和谐共存，则也能够解决链上的修改权问题。因而，本文关于区块链个人信息删除权的论证过程与结论也可同样类推适用于修改权。

然而，迄今为止，虽然我国颁布了一系列与个人信息保护、互联网、算法、区块链信息服务相关的法律法规，但总体而言，真正与链上个人信息删除权相关的规定极少。在当前链上个人信息删除法律法规缺失的情况下，区块链对个人信息保护的影响是否会导致监管机构、网络平台等改变其信息维护方法，又该从哪些维度保障链上个人信息删除权均是值得关注的议题。不仅如此，就研究现状而言，当前国内关于个人信息保护的论文不胜枚举，但关于区块链场景下个人信息删除权的研究却付之阙如。随着对个人信息保护的呼声愈来愈高，实务界对链上个人信息删除的立法指引与理论供给的需求将变得愈加紧迫。有鉴于此，本文以解释论为分析方法，以链上个人信息删除与区块链记录的完整性、防篡改性等特性的实践悖论为观察对象与前提要件，论证虽然区块链提供了更完整、透明的数据，但依然难以保证链上个人信息删除权的行使，并通过对“链上删除”的法律解释、与数据最小化原则的抵触、对算力的要求等实践困境的分析，探讨在我国现有法律框架下，如何通过解释论路径回应个人信息删除权在区块链场景下的保障问题。

二、区块链与个人信息删除权之间的潜在冲突

我国关于个人信息保护的立法框架主要是建立在个人信息能够通过技术手段予以删除的基础上，至于在技术上难以实现的情形，则通过兜底条款进行规定，此种立法模式导致在区块链场景下的个人信息保护出现“潜在冲突与链上删除”共生的尴尬局面。

区块链原生特性与我国《个人信息保护法》规定的删除权存在潜在冲突已成共识。事实上，在区块链技术被应用于个人信息保护之时，也产生了与之相关的基本特征：其一，链上所有类别的个人信息均是通过连续且完整的方式进行记录，即使某些数据实际上不需要通过上述方式进行处理，依然需要遵循区块链记录特有的记账规则；其二，区块链在将新的区块连接到前一个区块时，并不需要删除先前存储在链上的交易数据，而且链上数据一旦被篡改，后续生成的所有数据也将发生变动；其三，在完整性与不变性等因素的影响下，当个人信息添加到区块链中时，难以通过传统的数据删除技术对需要纠正的、非必要数据进行修改或删除。上述特征可能产生两方面影响：一是区块链通过去中心化数据存储与利用基于分类账的系统来记录、验证数据，为预防和缓解未来的数据泄露提供了数据安全保障；二是链上数据的记录规则与我国现有的个人信息保护法律框架存在不兼容之处，可能导致区块链与个人信息删除权之间的实践悖论。

一般情况下，如果个人信息不是记录在区块链上，而是记录在加密但可修改的数据库中，则可以在无需接触区块链的情况下删除个人信息。但区块链本身具有防篡改性，记录一旦存储，就难以在不留下标记的情况下对链上数据进行修改或删除。在区块链特有的完整且连续性的记录规则、链上信息对每个节点都可见的技术规则，以及哈希加密算法下衍生的防篡改技术特性的综合作用下，我国个人信息删除权的行使范式正在被改变。仅就链上删除而言，区块链技术在个人信息保护领域的运用可能是把“双刃剑”,一方面，保证数据的完整性和不变性是其备受欢迎的基石所在；另一方面，上述特性违反了数据最小化原则与有限存储原则，不利于信息主体链上删除权的实现，但如果去除了这些特性，人们又可能会质疑使用该技术的价值。7因而，为了使区块链的技术发展与现有法律规范相协调，应当审慎地看待区块链在个人信息保护领域的正面与负面影响，关注区块链技术的发展趋势及其在个人信息保护中的影响。

虽然区块链在个人信息保护领域具有积极作用，但与区块链不变性、完整性关联更为密切的“链上删除实践悖论”的负面影响更为显著。或许有人会提出质疑，认为从技术角度看，如果有人控制了链上51%以上的节点也能对链上数据进行变动，所以区块链的不变性并非绝对不变。然而，需要注意的是，随着链上区块和数据的不断增加，修改、删除的难度将以指数级方式递增，“相对不变性”也会逐渐向“绝对不变性”转化，尤其是就公共区块链而言，链上删除在技术上几乎不可能实现。简言之，在现有立法与技术条件下，难以真正实现链上的直接删除，这也使得区块链与个人信息删除权之间的实践悖论变得愈加突出，甚至引发了关于提升区块链技术潜力与禁用区块链技术的争论，究竟应不应当将区块链引入个人信息保护领域，如果禁止使用区块链技术处理个人信息能否保证相关的个人信息保护法规得到遵守，使信息修改和删除的权利受到保护?

笔者反对禁止将区块链技术运用于个人信息保护领域的观点，认为不能因噎废食，在缓和区块链与删除权之间紧张关系方面，应当采用“堵不如疏”的观点，不仅应提升区块链的技术潜力，而且还可以通过对“删除”的其他解释发挥其在个人信息保护方面的价值。理由如下：其一，区块链的公开、透明、可追溯、可访问、防篡改等特性能够产生防止欺诈交易与恶意串通的共谋性交易的效果，即使发生争议，还能通过区块链存证提供证据支持。其二，技术创新往往来源于实践中对问题的解决，而非遇到问题回避问题，甚至全面禁止其使用，这种做法将造成双重的负面效果，既可能使链上删除的困境不断扩大，也可能遏制区块链技术革新。故而，基于不禁用区块链的前提设定，后文对链上个人信息删除权的实践困境进行了多层解析，并提出了相对具有可行性的解释论路径。

三、链上个人信息删除权面临的现实困境

从我国立法现状来看，可以发现立法者其实已经意识到区块链与个人信息删除权之间的悖论问题，或许是由于暂时尚未找到合适的应对策略，因此采用了模糊性的立法方式。然而，此种方式却给链上删除带来了一系列困境。

(一)“链上删除”的法律解释难题

在允许将区块链技术运用于个人信息保护领域的情况下，应当思考《个人信息保护法》第47条的法律适用问题。易言之，如果区块链上的个人信息删除权在技术上难以实现，如何为“链上删除”提供解释路径就成为链上个人信息保护的重要问题点。事实上，链上删除权的不确定性不仅是因区块链技术本身的特性造成的，而且还与相关法律规范对“删除”的含义界定不够明确等因素有关。我国现有的个人信息保护框架是建立在信息可以删除的假设之上，但纵观《个人信息保护法》的所有条文，发现其并未明确界定“删除”的含义，这使得链上个人信息删除权面临法律解释难题。

从比较法视野来看，2018年，欧盟《一般数据保护条例》(General Data Protection Regulation, GDPR)第17条第1款规定：“信息主体有权要求控制者及时删除其个人信息，并在特定情形下，控制者有义务及时删除信息主体的个人信息。”该款同样未明确解释“删除”的确切含义，但在紧随其后的第2款中提到了“如果信息主体已经请求这些控制者们删除相关个人信息的任何链接，副本或复制件，但控制者已将个人信息公开，并且根据第1款有义务删除这些个人或者数据，控制者在考虑现有技术及实施成本后，应当采取合理步骤，包括技术措施，通知正在处理个人信息的控制者们”。就条文的解读而言，该款考虑到删除所面临的“现有技术与实施成本”问题，遗憾的是，也未给出明确解释。2020年正式生效的美国《加利福尼亚消费者隐私法》(the California Consumer Privacy Act, CCPA)同样规定了消费者享有删除请求权，但依然未对区块链上的个人信息删除的确切意涵给出明确释义。通过对本国法与域外法的双重考察，我们发现如何解释“链上删除”已经成为不得不澄清的问题。

(二)区块链与数据最小化原则相抵触

数据最小化原则又称最小必要原则，是指个人信息处理者必须仅持有保护信息主体权利所需的最低信息量，且信息处理必须限于实现合法目的之相关必要内容。虽然去中心化的区块链不存在中心式的数据控制者，但通过区块链应用程序收集、存储、利用用户信息的主体依然负有最小信息义务。数据最小化的原旨与区块链上的数据存储截然不同，删除权又对数据最小化原则极为重要，如果每次交易创建的区块链副本不遵守数据最小化和有限存储原则，将导致区块链的运作方式与信息主体的删除权存在更加严重的冲突。

然而，一般而言，未受保护的个人信息应记录在可修改的数据库中，如网络平台的私人数据库，在此类数据库中，如果出现《个人信息保护法》第47条规定的情形，可以按照规定删除公民请求删除的信息。域外法也有类似规定，譬如，GDPR第5条第1款第(c)、(e)项规定：“个人数据应充分、相关，及以个人数据处理目的之必要为限度进行处理”,“允许以数据主体可识别的形式保存数据的时间不得超过数据处理目的之必要”,这两项规定从时间上对个人信息处理者提出了最小必要与有限存储的要求。区块链的信息处理通常基于这样一种事实，即在信息主体为合同一方或在其要求下采取合同前信息处理措施时，处理应是必要的，如果是出于收集的目的存储个人信息，则违反最小必要原则，此时可将其作为删除链上个人信息的理由。但当信息主体决定参与区块链时，其应当意识到区块链平台为其办理相应业务需要应用到必要的个人信息，实质上形成了个人信息的“最小必要区间”,此时，可以认为在“最小必要区间”内链上每位成员的信息是数据处理所必需的，因此不适用删除权。为此，衍生了区块链上个人信息处理者的最小信息义务，既包括对信息量大小的要求，也包括存储时间的限制。当公民在享受区块链服务之时，个人信息处理者应当告知信息主体其信息将被暂时保留，直至“最小必要区间”结束。简言之，区块链上注册的所有个人信息，即使是加密的，都应当保持在最低限度。

《个人信息保护法》要求仅能为特定、明确和合法的目的收集个人信息，且不得以与前述目的不兼容的方式进一步处理。但如果个人信息一旦被添加至区块链，则将永久保留，且可以不断扩展，每增加一个数据区块，就会积累更多的数据。更重要的是，数据的完整副本存储在每个完整节点上，这与数据最小化原则的基本内涵相背离。值得注意的是，数据最小化原则与新的数据处理形式之间的冲突绝非最近产生的，现行法规与新型数据处理形式之间的紧张关系也不仅仅限于区块链技术。在大数据、人工智能等领域也同样强调如果不严重危害数据库的一致性，甚至仅仅只是对数据库产生了较小的影响，则应对个人信息进行更为审慎的处理。目前，法律界与技术界已经在探索相应的解决方案，例如，链外存储机制，即根据法律规定将相关个人信息群存储在链外，在公民请求删除个人信息时，可在链外对相应的数据进行修改或删除。后文在讨论链上个人信息删除权的保障路径时，有关于链外存储机制的具体论述，此处不再赘述。概言之，数据最小化原则是链上个人信息删除应考虑的重要原则，为了最大限度地弱化删除权与区块链的矛盾与悖论，可采用严格的最小化标准。

(三)删除链上数据对算力的要求极高

正如前文所述，区块链的防篡改性并非绝对，按照链上共识机制，如果有超过51%的节点同意则可能更改链上数据或撤销过去的交易。此时，问题也随之产生，随着区块高度和数据的不断增加，修改的难度也会增大，成本和算力也将以倍数递增，并且分叉式“删除”依然不是修改链上记录的直接方式。

当信息主体选择将其个人数据永久保存在区块链上时，删除的主要瓶颈就变成了区块链本身对算力的要求，这是一个极为严重的缺点。首先，就链上数据的存储方式而言，目前所有在区块链应用程序上记录的个人数据、用户公钥，以及某些元数据，都是存储在链上多个节点之上的，如果更改某一区块中的数据，后续区块都将失效，需要重新计算以使区块链再次有效。这实际上是区块链记录的连续性问题，并且连续性生效的所有交易也永久存储在链上。其次，除非是在由少数个人信息处理者构建的私人区块链中，能够通过协商、分叉的方式对链上数据进行修改或删除，但在司法实践中，对私人区块链的管控相对严格，主要是以公共区块链、公共联盟链为主，因而改变链上连续性记录的可行性也相对较低。再次，所有后续区块的变更依然需要链上节点的多数共识才可能按照数据更改前的状态重建区块链，此时对算力的要求将愈来愈高，成本也将不断增加，实际上是简单问题复杂化的缩影，不仅操作性与可行性差，而且给信息主体与信息处理者造成了双重困扰。

笔者并不建议选择通过链上分叉的方式“删除”链上个人信息。原因在于：其一，区块链在设计上是一个持久且连续的写入过程，上述方式将破坏记录的完整性与连续性，仅有极小可能适用于删除个别数据，若出现多个删除请求，分叉也将越来越多，操作难度将越来越大，对算力的要求将形成巨大挑战，几乎无法实现。其二，如何在链上个人信息处理者的技术能力、计算能力、操作成本与信息主体删除权的行使之间找到平衡点不易把握，是选择增强算力、增加分叉，还是选择其他成本低、易操作的替代性方案，需要进行综合衡量。其三，除非匿名化、链外存储等替代方案难以实现，或者无法完全删除，上述技术解决方案才可能进入备选并提供额外帮助，否则将无用武之地。

四、链上个人信息删除权行使的疏解路径

为了克服区块链和数据保护之间的紧张关系，应当制定符合链上个人信息删除权的兼容性解决方案。尤其应当多维度解释“链上删除”的含义，并在其基础上确定能够产生与删除类似效果的替代性方案，甚至可以将个人信息存储在链外，构建与链上删除互补的链外保障机制。

(一)多维度解释“链上删除”的含义

目前，由于《个人信息保护法》尚未定义“链上删除”的确切含义，这为相对删除提供了解释空间。国内有学者将“删除”解释为：“只要通过某种措施使得个人信息无法或者除非花费巨额的成本否则不可能再被处理者或其他人取得、读取与使用即可。”而从比较法视角来看，域外已有国家将关于删除权的解释导向了非绝对性的软化趋势。譬如，在德国关于个人信息删除权的保护框架中，如果在特定存储模式下无法删除数据，则可以采用不删除而仅限制数据处理的替代解决方案。不过，基于区块链记录连续性原理，链上个人数据将从始至终被处理，前面记录的数据也将构成后续区块必不可少的数据，此时，限制数据处理的软化删除方案能否应用于区块链还有待观察。尽管如此，德国法关于删除的替代性方案考量依然具有参考意义，其表明“删除”的内涵可以从目标与相关技术特征结合的角度进行多元化解释，这进一步为删除权的解释拓宽了渠道，也反映了替代性解决方案的必要性与可行性。

第一，法律规范解读下的绝对删除与相对删除。

绝对删除是指真正意义上的直接删除、完全删除，使链上数据完全消失，产生形式与实质的双重删除效果。相对删除则可以将删除权理解为取消与过去事件有关的个人信息的权利，虽然不具有删除的形式外观，但可以通过其他方式产生实质上的删除效果。根据《个人信息保护法》第47条第2款的规定：“删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”GDPR第17条第2款也提到“考虑现有技术及实施成本”的相对性数据处理方式。综合上述两款规定，可能会产生一个疑问，即我国法提到的“必要的安全保护措施”和GDPR规定中提及“现有技术”是否可以解释为以“不直接删除数据”为外观的相对删除，从而在不突破区块链技术限制的情形下，解决从技术上难以实现的删除问题。

有观点认为，在信息主体行使删除权之后，应当使被删除的信息处于不被检索、不被访问和浏览的状态，如此才达到了删除效果。笔者持赞同态度，且认为对于“删除”的含义可作扩张解释，即包括除直接清除之外的其他替代性或效果等同性的解释方案，从而将其信息处理目标与区块链的相关技术特征结合起来。譬如，对于符合法律规定的信息主体希望删除的个人信息，可采用解除联系、匿名化处理或者限制、禁止访问等方法，并将其视为信息删除的替代方案。在“谷歌诉法国国家信息与自由委员会(Google Inc. v. Commission nationale de I’informatique et des Libertes (CNIL))案”中，法院裁定，将从搜索引擎中断开信息访问链接视为删除。这实际上是解除联系的一种表现形式，其将解除联系视为实现删除权的一种手段。如果将解除联系类推适用于链上删除，也可以被视为一种合规的删除方式。但无论是绝对删除还是相对删除，均需明确一点，即作为个人信息处理者与信息处理者的区块链平台应当负有限制其他主体获取用户个人信息的义务，在信息主体提出合法的删除请求时，应履行删除义务并使删除程序透明化。

第二，相对删除视角下的具体解释路径。

2017年修订的《德国联邦数据保护法》第20条第3款第3项规定，在“删除是不可行的或者因特殊存储方式只有付出不成比例的代价才可删除”的情形下，应当封存而非删除个人数据。易言之，如果删除在技术上难以实现或者成本过高，可将封存作为一种删除的替代手段，其实质亦为相对删除。与绝对删除相比，封存是一种兼具原则性与灵活性的删除权实现方式。事实上，我国2017年版的《个人信息保护法(草案)》也参考过《德国联邦数据保护法》的规定，曾经提出过类似的相对删除策略，即第30条第3款第(3)项规定：“因存储方式特殊不能删除或需要过多费用才能删除的，应当以封锁代替删除。”但在2021年正式施行的《个人信息保护法》中删除了“封锁”的表述，而以第47条第2款的“删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理”取而代之。

就具体解释路径而言，其一，可从标准化角度出发，运用分类学知识来澄清链上个人信息删除的确切含义，以及在数据最小化过程中收集个人信息的限度。申言之，立法部门、最高人民法院，以及相关的监管机构应当为《民法典》第37条与《个人信息保护法》第47条规定的“删除”的含义制定明确的解读指南，并解释在何种程度上可以认定为数据被删除，或者产生了与删除类似的技术效果和法律效果。与此同时，数据保护监管机构还需与区块链技术标准化组织沟通，以确保二者标准一致。此外，区块链技术标准应确定帮助信息主体行使删除权的方式。例如，用户如何修改或删除链上不正确或不完整的信息?在什么情况下，用户能够请求删除链上信息?简言之，应确保在区块链环境中实现信息主体的个人信息删除请求。其二，通过软化删除的引入，重新解释删除权的内涵与外延，可以使记录个人信息的区块链等特定技术符合删除权，并明确具有类似删除效果的替代性方法是否足够、可行。譬如，可尝试将删除解释为使链上个人信息不可访问，其实质是将数据在区块链上不可访问等同于删除，该方式与谷歌案中在搜索引擎中的除名或断开所有网络访问链接的方式类似。这一解释路径意味着平台方有义务在数据源位置遵守信息主体的删除请求，但并不必然导致完全删除，将其类推适用于区块链，即存储在节点上的副本可能以不可访问的形式被“删除”。需要警惕的是，虽然关于相对删除的解释较为多元化，避免了删除的绝然化，但是，毕竟链上的个人信息并没有被完全删除，通过特定的技术手段甚至能够再次呈现，为避免此种情形的发生，应当对信息处理者的施加更为严格的信息保障义务。

(二)确立“链上删除”的替代性方案

区块链在数据复制和难以删除等方面与现有法律框架内的删除权直接对立。一般而言，无法直接在链上删除数据，但在实际意义上，可以使数据无法访问，这也契合上文提出的关于“链上删除”的多维解释路径。当个人信息处理者面临删除请求时，如果出现删除个人信息“从技术上难以实现的”的情况，应当考虑采用其他的安全保护技术，如匿名化处理、屏蔽这些个人信息的任何访问链接，或禁止复制这些个人信息。上述方案已然考虑到区块链的技术限制，从而在完全删除之外确立其他的替代性方案，使之产生与删除类似的法律效果。

第一，通过匿名化技术实现相对删除效果。

解决区块链与立法适配性的一种办法是将链上信息进行匿名化处理，以符合删除权的立法目的。根据《个人信息保护法》第51条第(三)项的规定，个人信息处理者可以采取相应的加密、去标识化等安全技术措施防止未经授权的访问以及个人信息泄露、篡改、丢失。35但是，在区块链场域中，上述所谓的去标识化等安全技术可能还会涉及到链上删除，实际上又陷入了链上信息难以删除的思维与实践怪圈。为此，应当以较为严格的匿名化取代去标识化，构建一种实质意义上的匿名化架构。有观点认为，数据被匿名化之后即被排除在个人信息的范畴之外，且以不可逆转的方式防止识别，能够有效发挥保障个人信息的作用。另根据《区块链信息服务管理规定》第8条的规定，“区块链信息服务提供者”应当对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证。该条实质上是要求区块链服务提供者自用户入链之时便对其身份进行统一验证，同时也收集了用户的个人信息。有鉴于此，在进行匿名化处理时，应从以下几方面展开：其一，在匿名化数据时，需对姓名、身份证号、地址、性别等为代表的识别因素进行匿名化处理，使数据不再具有可识别性，从而产生类似删除的效果。其二，匿名化意味着该信息不再用于识别个人，也就不再存在隐私问题，存储在区块链上的个人身份信息、事务性数据均可以匿名化，如果信息主体请求删除上述数据，但链上的个人信息已经进行了严格的匿名化处理，则可以无需删除任何内容。

也有学者提出，信息匿名化不能构成拒绝响应访问请求的理由，也不等同于删除权，其表明信息子对象的可干预性，即便进行匿名化处理也可能被破解，依然存在信息泄露的风险，而信息泄露的风险作为数据处理中的优先风险，很可能挑战区块链的安全优势。笔者赞成通过匿名化手段保障链上个人信息删除权的替代性方案，且认为不用刻意去追求极致，否则容易陷入思维怪圈。客观而言，虽然区块链的加密算法相较于其他加密方式具有很大的优势，但也无法保证做到绝对保密，这与其自身的不变性类似，也非绝对不变。故而，在将匿名化处理等同于删除这方面来看，同样不必绝对化，各种所谓的“删除”方式其实都是相对的，但它们却有着共同的效果，即能够在很大程度上避免链上的个人信息被其他人知晓，产生实质意义的删除效果。

第二，断开、限制或屏蔽链上个人信息的访问路径。

承认禁用区块链访问的权力在功能上等同于“删除”,这将使区块链与我国个人信息保护的立法架构保持一致。尽管删除权不是一项绝对权利，但个人有权请求信息处理者删除个人信息，并可在特定情况下阻止用于其他非正当目的。通过访问和授权技术，可以在区块链应用程序内将用户设置为唯一能够访问自己信息的人，从而构建用户的私密访问空间。因此，如果用户是唯一能够访问自己信息的人，那其自身就是信息处理者，即使限于区块链的防篡改性，自身也无法删除数据，但依然能禁止他人访问。虽然这种方法无法从区块中直接删除数据，但是可以禁用他人访问链上数据。此时，如果将“限制或禁止他人访问”在法律上等同于“删除”,则能够产生与删除相同的法律效果。2022年4月20日，杭州互联网法院审理并当庭宣判了原告奇策公司与被告某科技公司侵害NFT数字作品信息网络传播权纠纷一案，判决被告立即删除涉案平台上发布的“胖虎打疫苗”NFT(Non-Fungible Token)数字作品,即中国首例“NFT数字作品侵权案”。该案对NFT数字作品停止侵权的承担方式进行了探索，杭州互联网法院认可了被告某科技公司停止侵权的做法，并在判决中明确了可将断开区块链链接与打入地址黑洞作为NFT侵权案件的救济方式。从区块链上的删除效果来看，断开区块链链接与打入地址黑洞相配合将导致NFT原秘钥的持有人无法查看涉案作品，从而产生停止涉案NFT创作者侵权的效果。

《民法典》1195条规定：“网络用户利用网络服务实施侵权行为的，权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。”NFT不存储数字作品文件，只是记录了数字作品文件的数据特征，本身并不具备可直接转变为画面的数据。在《民法典》第1195条与“告知-删除义务”的要求下，区块链平台应对“数字作品图片文件”对应的NFT采取屏蔽、断开链接措施。但与传统互联网侵权案件不同的是，由于任何NFT数字作品的信息一旦上链，则具有极大程度的不变性或者不可篡改性，几乎不可能直接在区块链上删除相关数据。杭州互联网法院经审理认为，鉴于NFT数字作品及其交易的相关数据均保存于区块链服务器中，该区块链节点之间无法形成共识而无法删除，因此，在结合区块链技术特征与双方当事人意见的基础上，其在判决书的“民事责任承担”部分中指出，某科技公司可将该侵权NFT数字作品在区块链上予以断开并打入地址黑洞以达到停止侵权的法律效果。断开区块链链接并打入地址黑洞的做法能够在一定程度上产生相对性删除效果，实际上此种方式并未直接删除链上数据，其本质上是一种替代性删除方案。该停止侵权措施可分为两步：其一，断开区块链链接。通常NFT数字作品只有Token是存储在区块链上，其元数据则仍然是保存在发行者或平台的数据库或者服务器中，所以断开区块链链接主要是阻断NFT所指向的内容与相应服务器中所保存的数字内容的连接通道。其二，打入地址黑洞。即为“销毁”Token, 常见方法是将Token打入黑洞地址，这种做法并非实质意义上的删除或者摧毁，而是将Token从数据流通中永久去除，被销毁的Token相当于被永久性冻结，再也无法流入市场。

毋庸置疑，运用功能等同的逻辑，立法、司法、行政部门在解释、执行删除权的标准时，应将限制或禁止访问的行为视为法律上的删除，以此满足公民对链上个人删除权的请求，并使区块链技术更好满足社会公众的期望。幸运的是，目前已有一些区块链架构正在探索将信息控制权交给信息主体的解决方案，此类架构以链上代码编程的方式来满足对用户的隐私保护，创建类似于现实世界中使用物理凭证的数字身份，不仅能够解决在线身份问题，而且可以同时给予信息主体更多的信息控制权与处理权。

(三)构建与链上删除互补的链外保障机制

除了前文针对区块链自身的解决方案之外，还有一种不必立足于对链上信息进行操作就能实现个人信息删除效果的救济方式，即将个人信息存储在链外数据库，形成“链上+链外”的协同保障机制。

第一，访问控制与链外存储的二元结合。这种理念是将区块链用作保护个人信息的一种方式，其设计使用两个区块链的组合，一个用于访问控制，另一个用于信息的链外存储。链外信息存储由私人区块链维护，只有用户自己可以控制其数据。链上数据仅包含依据《个人信息保护法》下创设的匿名数据与哈希指针。为了保留区块链在确保数据完整性方面的优势，存储在外部数据库中的个人信息可以通过哈希指针连接在区块链中。虽然链上哈希值主要是用于确保区块链中存储的数据不被篡改，但该哈希值同样能够确保可以检测到外部数据库中存储的个人信息的任何变动情况。实际上，这解决了无法删除链上个人信息的问题，因为这些数据被存储在外部数据库中，当保留目的不再有效时，或者当信息主体行使删除权利时，则可以对链外存储的个人信息进行删除。

第二，历史记录追溯与特定信息检索的双重满足。区块链设计之初的一个重要目的即为存储与加密交易数据，但链上存储在信息检索方面弱于链外数据库检索，前者更适用于追溯历史记录，无法轻松搜索满足特定条件的所有事务记录，当搜索记录很重要时，通常的解决方案是将所有交易的索引存储在外部数据库中，因此在区块链中使用外部数据库并不鲜见。鉴于信息主体可以在保持区块链记录持续性的情况下轻松请求删除其数据，所以链外存储个人信息符合信息删除的基本要求。例如，数字交易链通过利用区块链的安全、授权和网络，使客户能够以数字方式发起交易，无论是在线交易还是通过移动设备，均能够从要约、承诺、支付、结算、通知等全流程对交易进行跟踪。同时，在基于区块链的交易中，可以使用个人身份信息，如姓名、支付方式和地址来完成交易，与之相关的非必要上链的个人信息则可以存储在链外，这样既能够遵守区块链上的数据最小化原则，仅保留最小必要的公开可见的内容，又能够保障链外个人信息删除权，从而实现链上与链外的协同共进。

第三，避免绝对化，把握好上链信息与链外存储的边界。是否应当禁止在区块链上记录个人信息?显然不是，如果个人信息全部存储在链外，和普通的数据库加密并无区别，则区块链在信息保护法方面的先天优势无法得到彰显，又为何要多此一举引入区块链。因此，不宜采用绝对化的理念，应当把握好上链信息与链外信息的边界。一个相对合适的解决方案是在链外存储事务性数据，以便可以在无需触及区块链本身的情况下根据信息主体的删除要求实现对链外信息的删除。同时，链外存储还有利于促进与事务性数据相关的个人信息保护规范的遵守。需要注意的是，无论是在链上还是链外注册、存储、共享个人信息，都必须以加密算法为技术支撑。

第四，链外存储便于明确涉区块链个人信息案件中跨境数据的司法管辖区。当前，区块链面临的一项关键问题是人们并不总是知道或能够预测区块链网络可能扩展到何处，因此在数据收集期间或每次节点扩展到新管辖区时都难以获得信息主体的直接授权。如果个人信息被扩展至域外司法管辖区，那么如何通过管辖权的确定使信息主体的删除权得到法律保障将成为信息保护领域的一大难题。此时，为了处理跨境数据问题，将个人信息存储在外部数据库中是一个相对合理的解决方案，这样可以保证即便使用区块链技术依然能够使个人信息保留在其收集的同一司法管辖区内，从而避免管辖权争议，这一点在国际数据纠纷中极为重要。加之，由于外部数据库不必位于中心位置，如果需要恢复被删除的个人数据，外部数据库中的单个记录仍可复制到位于相应司法管辖区的节点，辅之以辖区内的数据保护法律体系，能够较好地发挥个人信息删除权的法律效果。

五、结语

我国现有信息保护法律框架赋予了个人信息删除权，它是源自个人信息保护的基本权利，可能影响个人的自由发展，也是保护人格权和人格尊严的重要组成部分。删除权包含了充分落实信息主体各项权利的必要性，这些权利集群在保障个人信息删除权的实施过程中得以体现，从而以点带面，通过个人信息删除权的行使确保信息主体的其他基本权利得到有效保障。但链上个人信息删除权并不一定能够绝对性地行使，在考虑是否真正删除某项个人信息时，还需根据比例原则、数据最小化原则等对删除权与社会公共利益、言论自由、知情权和知识产权之间的关系进行权衡。此外，公共区块链的可访问性能够弱化个人信息处理的黑箱效应，但如果难以从技术上实现链上的个人信息删除权，无法在信息隐私保护与现行法律框架之间取得平衡，则并不能够发挥区块链在增强链上信息保护方面的技术优势，机械式地将个人信息记录在区块链上反而有画蛇添足之嫌。目前来看，可以在坚持数据最小化和有限存储原则的基础上，通过对“删除”的扩张解释与对“采取必要的安全保护措施”合理解读，使替代性删除方案合法化，与此同时，还可以通过构建“链外+链内”协同的个人信息存储机制来保障区块链视阈下的个人信息删除权。

相关阅读

商品书目

微信号 : DigitalLaw_ECUPL

探寻数字法治逻辑

展望数字正义图景

战略合作伙伴：上海中联律师事务所